NRI Secure SANS NewsBites 日本版

Vol.1 No.11:2006年10月20日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           No.11 2006年10月20日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.81-82(原版:2006年10月14日、18日発行)

■はじめに:Alan Paller(SANS Director of Research)

失職したCISOに関するメールが、私のもとにさらに2通届いた。 CISOに対する
プレッシャーはますます増加しており、世間の注目を集めている。今週の2番
目のトピック「アイルランドのITマネージャの法遵守に関する考え」で、その
一端をご紹介する。SOX法とHIPAA(米国医療保険携行性および責任に関する法
律)、その他の法への遵守業務のために費やすセキュリティ予算を正当化して
きた人間は、システムの業務的安全性を実践する人間に排除されようとしてい
る。CEOや営業優先マインドの人間が、法に対する畏怖の念を失いつつあり、
また、ポリシーだけを作成してシステムを保護しないセキュリティ職の人間に
対してもそうだと示す情報をたくさん耳にしている。所属組織で、同様のプレッ
シャーが生まれているようなら、我々にお話いただきたい(paller@sans.org)。

あなたが現在CISOでなくとも、いつか同役職に就かれたいなら、アドバイスが
ある。技術部門を業務の安全性を促進できる部門に変えていける最先端の技術
を身につけられたい。同時に、セキュリティ部門を、ただ他人に命令するだけ
の「代表団」にしてしまった人間からは、なるべく距離を隔てた位置で行動す
るとよいだろう。
---

米国上訴裁判所が、「特定の状況下においては、従業員にも電子メールのプラ
イバシーがある」という決定を下した。この決定によって、今日にでも、ログ
オン用のバナーを再検討しようと考え直した組織も多いのではないだろうか。
この件に関しての詳細は、5番目のニュースをご覧あれ。
────────────────

◆英国のコンピュータ2,300台から盗難されたデータ 米国で見つかる
  (2006.10.11)

ロンドン警視庁は英国の個人用コンピュータ数千台からデータやパスワードが
盗難された事件を捜査している。この件に関連して、全世界で数万台規模のコ
ンピュータも同様の侵害に遭っているようだ。盗まれたデータは米国で発見さ
れた。警察は、データを盗難された被害者にこの旨の通知を行っている。
http://www.guardian.co.uk/uklatest/story/0,,-6139406,00.htmlhttp://news.zdnet.co.uk/internet/security/0,39020375,39284001,00.htm
────────────────

◆アイルランドのITマネージャのコメント:法遵守業務が効率化の妨げに
  (2006.10.12)

アイルランド企業のITマネージャ300人に対して調査を行ったところ、法遵守
業務と、効率化に向けた業務の間で食い違いがあることがわかった。回答者の
80%が、法令遵守で発生した問題に直面していると答えた。データ保護法、情
報公開法、企業改革法(SOX法)が、コンプライアンスを語る際に最も頻出し
た3つだった。法令遵守によって、企業が担うべき技術的負担が増加している。
回答者の40%が、ベンダーは顧客の法令遵守を支援するより、遵守で生じたビ
ジネス機会の方により興味があると考えている。
http://www.siliconrepublic.com/news/news.nv?storyid=single7185

【編集者メモ1】(Kreitner)
法令遵守は、円滑に運営されている企業によって生じた自然の副産物だという
抗議に、IT Process Institute(ITIP、www.itpi.org)は賛同していない。な
ぜなら同機関は、法令遵守は外部から課せられるものだと認識しているからだ。
ITPIの調査によると、パフォーマンスの悪いIT組織に比べて、パフォーマンス
のよいIT組織では、変更・設定を管理するための訓練が徹底的になされており、
計画性のない取組みやその場しのぎの措置は少なく、システム1つに対して、
担当のアドミニストレータの数が多い。このように企業組織が鍛錬されていれ
ば自然と業務が効率化されていくので、結果として必然的に法令遵守が達成で
きるのだ。
【編集者メモ2】(Schultz)
法令遵守は諸刃の剣である。法令によって、セキュリティが欠落している組織
に、その改善を強制できる。しかし一方で、遵守に必要なコントロールと、セ
キュリティリスクを軽減するコントロールは、それぞれ全てが組織内に同等に
存在しているというわけではない。責任あるセキュリティ慣行を行っている
組織が、ほかの責任感の薄い組織のおかげで罰せられるはめになっている。
────────────────

◆ICANN 裁判所命令が下ってもSpamhausを停止に追いやらず(2006.10.10-12)

ICANN(The Internet Corporation for Assigned Names and Numbers)による
と、判事がイリノイ州の米国裁判所からの裁判所命令に署名しても、同組織は
それに従うつもりはないという。ICANNの広報は、同組織にはWebサイトを停止
させる権限はないと主張している。この件は、Spamhaus社が、e360 Insight
LLC社をスパムのブラックリストに掲載したが、それを不服とする同社に訴え
られていたものだ。裁判所は、Spamhausがe360に1,170万ドルを支払い、同社
の社名をリストから取り除く命令を下した。Spamhausは英国の企業であるため、
同社は米国裁判所の管轄ではない主張し、同国裁判所の判決には従わず、当日
の裁判にも欠席した経緯がある。
http://www.zdnetasia.com/news/internet/printfriendly.htm?AT=61959117-39001260c
http://www.theage.com.au/news/Technology/Antispam-group-warns-it-may-losedomain-name-potentially-unleashing-more-junk-mail/2006/10/10/1160246101148.html
http://www.theregister.co.uk/2006/10/12/icaan_spamhuas_dispute_latest/print.html
────────────────

◆米国下院委員会の報告:政府局すべてにおいてデータ紛失事件の報告
  (2006.10.13-16)

米国下院政府改革委員会の報告によると、政府局すべてにおいて、何らかのデー
タ紛失事件が発生しているという。しかし、政府局の多くが紛失したデータの
内容を特定できず、またその紛失事件の多くが政府の委託業者が原因で発生し
たようだ。オンラインアタックによって発生したデータ紛失事件の件数は極め
て少ない。物理的なセキュリティが手薄であったため、コンピュータやデータ
保存デバイスが紛失・盗難に遭うといった事件がほとんどだった。今春、復員
軍人援護局(VA)の職員の自宅からデータが保存されたノートパソコンと保存
デバイスが盗まれるというセキュリティ侵害事件が発生した。それを受けて政
府改革委員会は、政府局に対して委託業者や機密・個人情報の侵害・紛失など、
2003年以降発生したインシデントに関する詳細を報告するように要請した。す
ると、なんと700件以上ものインシデント情報が寄せられたのだ。これらのイ
ンシデントの中には、影響のある個人に対して通知が行われたものもあったが、
行われていないものもあった。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004168&intsrc=news_ts_head
http://www.gcn.com/online/vol1_no1/42299-1.html?topic=security
http://www.govexec.com/story_page.cfm?articleid=35270&sid=1
http://www.govexec.com/pdfs/AgencyBreachSummaryFinal.doc
────────────────

◆USCAAFの主張:米国海兵隊員が自身の電子メールに"プライバシーが
  存在すると期待"するのは当然(2006.9.27)

米国軍控訴裁判所は、「米海兵隊の海兵のJennifer Long下士官は、政府コン
ピュータに保存されている当人の電子メールにプライバシーが存在していると
個人的に期待しても当然」という判決を下し、「下級裁判所は、Long下士官の
電子メールを証拠として受理すべきではない」と述べた。裁判所が「プライバ
シーが存在していると個人的に期待しても当然だ」と決定する要因は、パスワー
ドはLong本人しか知らないものであったということだ。また、警告バナーには、
「アクセスは、コンピュータシステムを監視する目的で行われる。システムの
メンテナンス目的と関係なく、違法行為が行われていないかどうかを確かめる
目的で電子メールの内容を観察するためではない」という内容が書かれていた
とのことだ。
http://www.armfor.uscourts.gov/opinions/2006Term/05-5002.pdf

【編集者メモ1】(Schultz)
この判決は先例となるだろう。以前の裁判で「プライバシー存在の期待」の概
念が確立されたと思われたが、ここに来て再度この問題は宙に浮いた形になる。
少なくともこの軍のケースに関してはそうだ。
────────────────

◆プリンストンの研究者ら 光ファイバーケーブル「ノイズ」内のデータの暗号化を
  開発(2006.10.10-16)

プリンストン大学の研究者によると、光ファイバーネットワークで暗号化デー
タを送信する方法を発見したという。光ファイバーケーブルの信号に伴って発
生するノイズの中で暗号化を行う方法だ。送信者はまず、メッセージを短い光
パルス(波)に変換する。そして、それを光データ上に展開する。その後、受
信者は、入手したメッセージの展開方法に則ってノイズからメッセージを取り
出し、それを解読するというものだ。信号を光ファイバーケーブル内のノイズ
ジッターより速いスピードで高速化できたために、この発明につながった。
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=61960016-39000005c

http://www.ccnmag.com/news.php?id=4521

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年10月17日配信 Vol.5 No.41)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

脆弱性があまり発見されない静かな時は過ぎ去ったようだ。今週は、120個の
脆弱性が新たに発見された。
重大な脆弱性は、Microsoftの脆弱性がほとんどを占めていたが、AOLの
"You've Got Pictures"のバッファオーバーフローによって新しいゾンビが多
数発生した。
────────────────

◆危険度【重大】:Microsoft WebViewFolderIconのActiveXコントロールに
  Integer Overflowの脆弱性 (MS06-057)

<影響のある製品>
Microsoft Windows XP SP0/SP1/SP2
Microsoft Windows 2000 SP0-SP4
Microsoft Windows Server 2003 SP0/SP1
Microsoft Windows Server 2000 SP0-SP4

<詳細>
WebViewFolderIconのActiveXコンポーネントは、Microsoft Windows(最近の
バージョン)にあるWindows Explorerのshellに使用されている。 しかし、こ
れには悪用可能なinteger overflowの脆弱性がある。このコントロールをイン
スタンス化するWebページによって、この脆弱性が悪用されると、現在のユー
ザーの権限で任意のコードが実行されてしまう。概念実証コードも多数公表さ
れている。この問題は、@RISKのバックナンバー(下の参考欄参照のこと)に
も掲載された。この記事には、Microsoftの公式発表、および対応策の詳細が
説明されている。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。
ユーザーは、Microsoftの"kill bit"機能を介して、影響のあるActiveXコント
ロールを無効にすれば、この脆弱性の影響を軽減できる。影響を受けるCLSID
は以下のとおり:
"e5df9d10-3b52-11d1-83e8-00a0c90dc849"
"844F4806-E8A8-11d2-9652-00C04FC30871"

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx
"kill bit"機能を解説Microsoft知識ベースの記事
http://support.microsoft.com/kb/240797
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/19030_invoke_calc_pof.html
http://downloads.securityfocus.com/vulnerabilities/exploits/ie_webview_setslice.pm
http://downloads.securityfocus.com/vulnerabilities/exploits/ieWebViewFolderIcon_exp.pl
http://downloads.securityfocus.com/vulnerabilities/exploits/pociewvf.c
http://downloads.securityfocus.com/vulnerabilities/exploits/19030.pl
http://downloads.securityfocus.com/vulnerabilities/exploits/MoBB18_poc.txt
http://downloads.securityfocus.com/vulnerabilities/exploits/webview_setslice.rb
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=29#widely2
SecurityFocus BID
http://www.securityfocus.com/bid/19030
────────────────

◆危険度【重大】: Microsoft Excelに複数の脆弱性(MS06-059)

<影響のある製品>
Microsoft Excel 2000/2002/2003
Microsoft Excel Viewer 2003
Mac用Microsoft Excel 2004/v.X
Microsoft Works Suite 2004/2005/2006

<詳細>
Microsoft Excelのファイル形式処理コード(ExcelファイルとLotus 1-2-3ファ
イル用)には、悪用可能な脆弱性が複数ある。Excelファイル、もしくはLotus
1-2-3ファイルを細工すれば、アタッカーはこれらの脆弱性を悪用して、現在
のユーザーの権限で任意のコードを実行できるようになってしまう。
Microsoft Excelファイルは、Microsoft Office Office Document Open
Confirmation ToolのないMicrosoft Office 2000以外では、デフォルト設定で
開かないようになっている。この脆弱性の概念実証コードがすでに公表されて
いる。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-059.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-033.html
概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/Nanika.xls
関連のあるMicrosoft Worksの概念実証コード(バイナリファイル)
http://www.securityfocus.com/data/vulnerabilities/exploits/BTFs_MSWorksSpreadsheet_PoCFiles.zip
SecurityFocus BIDs
http://www.securityfocus.com/bid/20391
http://www.securityfocus.com/bid/18989
http://www.securityfocus.com/bid/20345
http://www.securityfocus.com/bid/18872
http://www.securityfocus.com/bid/20344
────────────────

◆危険度【重大】:Microsoft Word に複数の脆弱性(MS06-060)

<影響のある製品>
Microsoft Word 2000/2002/2003
Microsoft Word Viewer 2003
Mac用Microsoft Office 2004/v.X
Microsoft Works Suite 2004/2005/2006

<詳細>
Microsoft Wordのファイル形式処理コードには、複数の脆弱性がある。Word文
書が細工されると、これらの脆弱性のどれかが悪用され、現在のユーザーの権
限で任意のコードが実行されてしまう。Microsoft Wordファイルは、Microsoft
Office Document Open Confirmation ToolのないMicrosoft Office 2000以外
では、デフォルト設定で開かないようになっている。この脆弱性のエクスプロ
イトが巷に出回っているようだ。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-060.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-034.html
SecuriTeamのブログにあるzero-dayについての記事
http://blogs.securiteam.com/?p=586
SecurityFocus BIDs
http://www.securityfocus.com/bid/20358
http://www.securityfocus.com/bid/20341
http://www.securityfocus.com/bid/20387
────────────────

◆危険度【重大】: Microsoft Officeに複数の脆弱性(MS06-062)

<影響のある製品>
Microsoft Office 2000 SP3
Microsoft Office XP SP3
Microsoft Office 2003 SP1/SP2
Microsoft Project 2000/2002 Service Release 1
Microsoft Visio 2002 SP2
Mac用Microsoft Office 2004/v.X

<詳細>
Microsoft Officeには、さまざまなOfficeファイル形式の解析処理に複数の脆
弱性がある。細工されたOfficeファイルによって、これらの脆弱性のどれかが
悪用されると、現在のユーザーの権限で任意のコードを実行されてしまう。ほ
とんどのMicrosoft Officeファイルは、Microsoft Office Document Open
Confirmation ToolのないMicrosoft Office 2000以外では、デフォルト設定で
開かないようになっているが注意が必要だ。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-062.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-034.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/20382
http://www.securityfocus.com/bid/20320
http://www.securityfocus.com/bid/20383
http://www.securityfocus.com/bid/20384
────────────────

◆危険度【高】: Microsoft PowerPointに複数の脆弱性(MS06-058)

<影響のある製品>
Microsoft PowerPoint 2000/2002/2003
Mac用Microsoft PowerPoint 2004/v.X

<現状>
Microsoft PowerPoint のファイル形式処理コードには、複数の脆弱性がある。
PowerPointファイルを細工されると、これらの脆弱性のどれかが悪用され、現
在のユーザーの権限で任意のコードを実行されてしまう。Microsoft
PowerPointファイルは、Microsoft Office Document Open Confirmation Tool
のないMicrosoft Office 2000以外では、デフォルト設定で開かないようになっ
ている。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS06-058.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-06-032.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/20304
http://www.securityfocus.com/bid/20322
http://www.securityfocus.com/bid/20325
http://www.securityfocus.com/bid/20226
────────────────

◆危険度【高】:Microsoft Core XMLサービスに複数の脆弱性(MS06-061)

<影響のある製品>
Microsoft XML Parser 2.6 とMicrosoft XML Coreサービス 3.0は、以下の製
品に使用されている :
Microsoft Windows 2000 SP 4
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft XML解析(used to parse XML文書の解析に必要) とMicrosoft XML
Core サービス(文書の操作に必要) には、複数の脆弱性がある。
(1) 細工されたXSLT (Extensible Stylesheet Language Transformations)文
   書によって、XML解析コンポーネントにあるバッファオーバーフローの脆
   弱性を衝かれると、現在のユーザーの権限で任意のコードが実行されてし
   まう。XSLT文書は、Webページの閲覧中にユーザーの操作なしで密かにダ
   ウンロードされる。
(2) 細工されたWebページによって、XML Core サービスのコンポーネントにあ
   るクロスサイトスクリプティングの脆弱性が悪用されると、Webコンテン
   ツのDomain Restrictionが回避されてしまう。

<現状>
Microsoftはこれを認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms06-061.mspx
XMLとXSLTについてのWikipediaの説明
http://en.wikipedia.org/wiki/XML
http://en.wikipedia.org/wiki/XSLT
SecurityFocus BIDs
http://www.securityfocus.com/bid/20338
http://www.securityfocus.com/bid/20339
────────────────

◆危険度【高】:AOL You've Got PicturesのActiveXコントロールにバッファ
  オーバーフローの脆弱性

<影響のある製品>
America Online 9.0 Security Edition

<詳細>
America OnlineのYou've Got PicturesのActiveX コントロールは、写真の管
理や閲覧に使用される。しかし、これには悪用可能な脆弱性がある。このコン
トロールをインスタンス化するWebページによってこの脆弱性が悪用されると、
現在のユーザーの権限で任意のコードを実行されてしまう。この脆弱性に対す
る再利用可能なエクスプロイトコードがすでに公表されている。また、類似し
た脆弱性が、広範囲で悪用された経緯がある。 脆弱なActiveXコントロールは、
ユーザーの次回ログイン時に自動更新される。

<現状>
AOLはこれを認識しており、更新もリリースしている。ユーザーは、Microsoft
の"kill bit"機能を介して 影響のあるActiveX コントロールを無効にすれば、
この脆弱性の影響を軽減できる。影響を受けるCLSIDは以下のとおり:
"D670D0B3-05AB-4115-9F87-D983EF1AC747"

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社のみが、この問題に何らかの対策を講じている。 そ
のうち1社は、コンピュータにActiveXコントロールがあるかどうか調査中で、
もう1社は、次期定例メンテナンススケジュールに合わせて修正プログラムを
導入する見込みだ。

<参考>
iDefenseのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/448410
"kill bit" 機能について解説しているMicrosoft知識ベースの記事
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/20472
────────────────

◆危険度【中】: Microsoft Object PackagerにDialogueスプーフィングの脆弱性
  (MS06-065)

<影響のある製品>
Microsoft Windows XP SP1/SP2
Microsoft Windows Server 2003 SP0/SP1

<詳細>
Microsoft Object Packagerは、ソフトウェアパッケージのファイル作成に使
用されるツールだ。しかし、これには脆弱性がある。ファイルの拡張子を正確
に検証することができないため、パッケージファイルが細工されると、処理さ
れるファイルのタイプが誤った形式で表示されてしまい、結果的にアタッカー
が悪質なコードをインストールできるようになってしまう。 この脆弱性を悪
用するには、ユーザーが多数の操作を行わなければならない。

<現状>
Microsoftはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業がこの問題に何らかの対策を講じている。ほとんどの企
業がこのパッチを優先的に適用しているが、一部の企業は、次期定例メンテナ
ンススケジュールに合わせてパッチを適用する見込みだ。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms06-065.mspx
Microsoft Object Packagerの概要
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/packager_what_is_obj_pkg.mspx

SecurityFocus BID
http://www.securityfocus.com/bid/20318
────────────────

◆危険度【中】:IBM WebSphereに複数の詳細不明な脆弱性

<影響のある製品>
IBM WebSphere 6.1.0

<詳細>
IBM WebSphereは、EnterpriseとServer Softwareのスイートとして広範囲で使
用されている。しかし、これには悪用可能な脆弱性が複数ある。これらの脆弱
性の詳細は公表されていないものの、認証回避や権限昇格の脆弱性、情報開示
の脆弱性、そのほか影響の詳細が不明な脆弱性が少なくとも1つ含まれている
ようだ。

<現状>
IBMはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち3社が、この脆弱性によって社内にどのような影響が生
じ得るかを調査している。他の企業は、問題の製品を使用していない。

<参考>
IBM WebSphereのセキュリティ更新
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24013142
IBM WebSphereのホームページ
http://www-306.ibm.com/software/websphere/
SecurityFocus BID
http://www.securityfocus.com/bid/20455
────────────────

◆危険度【中】: cPanelのSUID Wrapperにリモートの権限昇格の脆弱性

<影響のある製品>
cPanel 10.8.2 118 以前のバージョン

<詳細>
cPanelは、Webホスティングのコントロールパネルシステムとして広範囲で使
用されている。しかし、これには悪用可能な権限昇格脆弱性がある。この脆弱
性を悪用するアタッカーは、昇格された権限(もしくはルート権限)で任意の
コードを実行できるようになってしまう。ただし、アタッカーがこの脆弱性の
悪用を実現するにはAuthentication Credential(その人しか知らない秘密)
が必要だ。この脆弱性はすでに悪用されている。また、悪用された後、この脆
弱性は、Microsoft Internet Explorerの一般的なエクスプロイトを、他のユー
ザーに流布するために利用される。

<現状>
cPanelはこれを認識しており、更新もリリースしている

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/20163
http://www.securityfocus.com/data/vulnerabilities/exploits/Nima.php
このエクスプロイトを使用して他のエクスプロイトの感染を拡大させることにつ
いてのSlashdotの記事
http://it.slashdot.org/it/06/09/23/2218254.shtml
cPanelのホームページ
http://www.cpanel.net/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/20163
────────────────