Hitach Incident Response Team

 4月17日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

VMwareセキュリティアップデート:VMSA-2016-0004(2016/04/14)

 VMSA-2016-0004では、Client Integration Pluginに存在する中間者攻撃やセッションハイジャックを許してしまう脆弱性(CVE-2016-2076)を解決しています。この問題は、Client Integration Pluginのセッション管理が適切でないことに起因しています。影響を受ける製品は、Client Integration Pluginを同梱しているVMware vCenter Server、vCloud Director、vRealize Automation、Identity Applianceです。

米シスコ製品

■Unified Computing System Central(2016/04/13)

 複数のCisco UCSドメインを管理するUnified Computing System(UCS) Centralソフトウエアには、不正なHTTP要求を受信した場合に、任意のコード実行を許してしまう脆弱性(CVE-2016-1352)が存在します。この問題は、ユーザーからの入力データを適切に処理していないことに起因しています。

Samba 4.4.2、4.3.8、4.2.11リリース(2016/04/12)

 Samba 4.4.2、4.3.8、4.2.11では、中間者攻撃によるユーザーのなりすまし、サービス拒否攻撃などを許してしまう計8件の脆弱性(CVE-2015-5370、CVE-2016-2110~CVE-2016-2115、CVE-2016-2118)を解決しています。このうち、脆弱性CVE-2016-2118は、DCERPC上のSecurity Account Manager Remote(SAMR)プロトコルとLocal Security Authority Remote(LSAD)プロトコル通信が中間者攻撃により、認証されたユーザーのなりすましを許してしまう問題です。これはBadlock問題とも呼ばれているものです。影響を受けるバージョンは、3.6、4.0~4.4系です。なお、バージョン4.1以前に対しては、EOL(End-Of-Life)に入っていることからアップグレードを推奨しています。

マイクロソフト2016年4月の月例セキュリティアップデート(2016/04/13)

 2016年4月の月例セキュリティアップデートでは、12件のセキュリティ更新プログラムが公開されました。これらにより、29件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回です(図1)。このうち、MS16-047は、Badlock問題と呼ばれている、Windows SAM(Security Account Manager)およびLSADダウングレードの脆弱性(CVE-2016-0128)を解決しています。

 また、月例セキュリティアップデートに合わせ、Internet Explorer 10/11およびMicrosoft Edge用のAdobe Flash Playerの更新プログラム(APSB16-10、Adobe Flash Player 21.0.0.213)対応として、MS16-050が発行されました。

図1●脆弱性による影響(4月の月例セキュリティアップデート)
図1●脆弱性による影響(4月の月例セキュリティアップデート)

Samba:Badlock問題(CVE-2016-2118、CVE-2016-0128)への対応

 2016年4月12日に明らかとなった中間者攻撃により、認証されたユーザーのなりすましを許してしまう脆弱性、通称Badlock問題を製品開発ベンダーから発信されたセキュリティ情報を追いかけてみましょう。なお、SambaのBadlock問題にはCVE-2016-2118、マイクロソフトWindows環境のBadlock問題にはCVE-2016-0128、別々のCVE番号が付与されています。

■3月22日

■4月12日

■4月13日