チェックしておきたい脆弱性情報<2012.01.25>

Hitach Incident Response Team

 1月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2012年1月の月例セキュリティアップデート(2012/01/11)

 1月の月例セキュリティアップデートでは、6件のセキュリティ更新プログラムを公開し、7件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行3件、アクセス権限の昇格1件、情報漏洩3件、セキュリティ機構の迂回1件です。

 セキュリティ更新プログラム(MS12-006)は、平文とそれに対応した暗号文を手がかりに暗号解読(選択平文攻撃)が可能であるというSSL 3.0/TLS 1.0のCBCモードの脆弱性(CVE-2011-3389)を解決します。この問題は、2002年2月から知られていた問題ですが、2011年9月の講演により再度注目を集めた脆弱性です(図1)。

図1●脆弱性(CVE-2011-3389)の対応経緯
図1●脆弱性(CVE-2011-3389)の対応経緯

Adobe Reader X(10.1.2)、Adobe Reader 9.5リリース:APSB12-01(2012/01/10)

 Windows、Macintosh版Adobe ReaderならびにAcrobatのバージョン10.1.2、9.5がリリースされました。これらのリリースでは、メモリー破損、ヒープ破損に起因する、任意のコード実行を許してしまう脆弱性6件を解決しています。このうち2件の脆弱性(CVE-2011-2462、CVE-2011-4369)は、12月6日に米アドビ システムズから報告され、9.x系ではバージョン9.4.7で解決された脆弱性です(図2)。

図2●脆弱性(CVE-2011-2462)の対応経緯
図2●脆弱性(CVE-2011-2462)の対応経緯

DHCP 4.2.3-P2リリース(2012/01/12)

 ISC DHCP 4.2.3-P2では、DHCPサーバーに存在するサービス不能攻撃を許してしまう脆弱性(CVE-2011-4868)を解決しています。この問題は、DHCPv6のリース処理に起因し、IPv6アドレスとDDNS(Dynamic DNS)を提供している場合に発生するというものです。4.2.2、4.2.3、4.2.3-P1が影響を受けます。

PHP 5.3.9リリース(2012/01/10)

 PHP 5.3.9では、2件のセキュリティ問題対策と100件以上のバグ対策を行っています。セキュリティ問題対策では、ハッシュテーブルの衝突を悪用したサービス不能攻撃を許してしまう脆弱性(CVE-2011-4885)を解決するために、GET/POST/COOKIEで利用できるパラメーター数上限を指定するmax_input_vars(デフォルト1000)を導入しました。また、EXIF(Exchangeable Image File Format)ヘッダー処理で発生する整数オーバーフローの脆弱性(CVE-2011-4566)を解決しています。

MySQL Community Server 5.1.61リリース(2012/01/10)

 MySQL Community Server 5.5.61では、InnoDB Storage Engine処理でのバグ対策などを目的としており、セキュリティアップデートは含まれていません。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら