Hitach Incident Response Team

 DNSサーバーがOpen DNS Resolverかどうかをチェックできるサイトの追加情報です。DNSInspect(http://www.dnsinspect.com/)では、Open DNS Resolverのチェックだけではなく、DNSサーバーのNSレコード、SOAレコード、MXレコードなどの状態をチェックした後、数値化して表示します(図1)。なお、Open DNS Resolverのチェックは、NSレコードの項目の一つであるAllow Recursive Queriesとなります。

図1●DNSInspectによるチェック結果の例
[画像のクリックで拡大表示]

 ここからは、4月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 20.0、ESR 17.0.5リリース(2013/04/02)

 Firefox 20.0では、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、11件のセキュリティアドバイザリーに含まれる計13件の脆弱性を解決しています(図2)。

図2●Firefox 20.0、Thunderbird 17.0.5での対応
図2●Firefox 20.0、Thunderbird 17.0.5での対応

Thunderbird 17.0.5、ESR 17.0.5リリース(2013/04/02)

 Thunderbird 17.0.5では、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、11件のセキュリティアドバイザリーに含まれる計10件の脆弱性を解決しています(図2)。

PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17リリース(2013/04/04)

 PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17では、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-1899)を解決しています。この問題は、"-"(ハイフン)で始まるデータベース名を含む不正な接続リクエストにより、CVE-2013-1899の脆弱性を悪用された場合、データベース内のファイルを損傷、破壊される可能性があります。

 このほかに、contrib/pgcrypto 関数により生成される乱数値の推測を許してしまう脆弱性(CVE-2013-1900)、権限のないユーザーがバックアップへの介入を許してしまう脆弱性(CVE-2013-1901)、LinuxおよびMac OS X用のインストーラーに存在する脆弱性(CVE-2013-1902、CVE-2013-1903)を解決しています。なお、PostgreSQL 8.3系は、2013年2月にサポートを終了し、EOL(End-Of-Life)に入っています。

VMwareセキュリティアップデート:VMSA-2013-0005(2013/04/04)

 VMwareセキュリティアップデートでは、VMware vFabric Postgreに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1899)、contrib/pgcrypto 関数により生成される乱数値の推測を許してしまう脆弱性(CVE-2013-1900)、権限のないユーザーによるバックアップへの介入を許してしまう脆弱性(CVE-2013-1901)を解決しています。この問題は、PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17リリースに合わせたセキュリティアップデートです。

Samba 3.6.0~3.6.5に脆弱性(2013/04/02)

 2013年4月2日、Samba 3.6.0~3.6.5に存在する脆弱性(CVE-2013-0454)の情報が掲載されました。この問題は、CIFS共有属性を適切に処理しないことに起因し、read only = noと設定しても、read only = yesと処理される可能性があるというものです。SMB2をサポートするSamba 3.6.0~3.6.5のみに存在し、2012年6月25日にリリースされたSamba 3.6.6で解決されています。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら