Hitach Incident Response Team

 1月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.1.2リリース(2012/01/22)

 WebアプリケーションフレームワークStrutsのバージョン2.3.1.2がリリースされました。このバージョンでは、ParametersInterceptorに組み込まれている防護機能を迂回して、OGNL(Object Graph Navigation Language)を使った任意のコード実行を許してしまう脆弱性(CVE-2011-3923)を解決しています。Struts 2.0.0~2.3.1.1に影響があります。

米シスコ IronPort製品に脆弱性(2012/01/26)

 FreeBSDカーネルをベースとした、電子メールシステムでスパムメール対策やウイルス対策を実現するCisco IronPort Email Security Appliances(ESA)と、IronPort製品群を集中管理するCisco IronPort Security Management Appliances(SMA)には、任意のコード実行を許してしまう脆弱性(CVE-2011-4862)が存在します。この脆弱性は、FreeBSDのtelnetdのバッファオーバーフロー問題に起因するものです(図1)。

図1●脆弱性脆弱性(CVE-2011-4862)の対応経緯
図1●脆弱性脆弱性(CVE-2011-4862)の対応経緯

Unbound 1.4.15リリース(2012/01/26)

 キャッシュDNSサーバーの一つであるUnboundのバージョン1.4.15がリリースされました。メモリーリーク対策、ハッシュテーブル生成処理の改善など、主にバグ修正を目的としたリリースです。ハッシュテーブル生成処理の改善では、ハッシュテーブルの衝突を悪用したサービス不能の報告を踏まえて、初期値を固定から乱数に変更しています。

MySQL Community Server 5.5.20リリース(2012/01/11)

 MySQL Community Server 5.5.20では、Windows service control managerによる起動時タイムアウトを解決するために、--slow-start-timeoutオプションを導入しました。そのほかに、InnoDB Storage Engineならびにレプリケーション処理でのバグを修正しています。セキュリティアップデートは含まれていません。

Samba 3.6.3リリース(2012/01/29)

 1月25日、Samba 3.6.2がリリースされました。このリリースは、主にバグ修正を目的としたもので、Winbind、SMB2でのバグなど、計63件を修正しています。

 1月29日、smbdのサービス不能攻撃を許してしまう脆弱性(CVE-2012-0817)を解決したSamba 3.6.3がリリースされました。脆弱性は、smbdがコネクションを受け付けるたびにメモリーリークが発生し、メモリーリークが累積した場合に、サービス不能状態に陥ってしまうというものです。Samba 3.6.0~3.6.2に影響があります。

制御システム系製品の脆弱性

 2011年の第4四半期頃から、ICS-CERTの注意喚起(ICS-CERT Alert)と脆弱性の詳細が記載されたアドバイザリー(ICS-CERT Advisory)の発行件数が増えてきています(図2)。また、2012年1月の注意喚起の大半が、1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったPLC(Programmable Logic Controller)の脆弱性に関するものです。

図2●ICS-CERTから発行されている注意喚起とアドバイザリー件数の推移
図2●ICS-CERTから発行されている注意喚起とアドバイザリー件数の推移

■ロックウェルのControlLogix PLC(2012/01/20)

 2012年1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったものです。ロックウェル(rockwellautomation.com)のControlLogixには、入力検証の不備に起因するサービス不能攻撃を許してしまう脆弱性が存在します。また、PLCコマンド「インタフェース制御、停止、リセット、ダンプ、ファームウエアアップグレード」を悪用された場合に、サービス不能攻撃、情報漏洩、任意のコード実行を許してしまう可能性があります。

■Schneider ElectricのModicon Quantum PLC(2012/01/20)

 2012年1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったものです。Schneider Electric(schneider-electric.com)のModicon Quantum PLCには、ツールとPLC間の認証機構の未サポート、バックドアアカウントの存在、HTTPならびにFTPサービスにおけるバッファオーバーフロー、クロスサイトスクリプティングの脆弱性が存在します。脆弱性による影響は、サービス不能攻撃、任意のコード実行、アクセス権限の昇格などです。