NRI Secure SANS NewsBites 日本版

Vol.1 No.12:2006年10月27日発行

**********************************************************************
           NRI Secure Security Information
          (SANS NewsBites、@RISKサマリー版)
                           No.12 2006年10月27日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

■■SANS NewsBites Vol.8 No.83-84(原版:2006年10月21日、25日発行)

◆(米)内務省CIO FISMA法遵守に別の測定手段を
  (2006.10.18)

(米)内務省CIOオフィスは同省の監査官 (IG)と連携し、連邦情報セキュリティ
管理法(FISMA)の必須条件をどれだけ満たせているかを測れる大局的な方法を
見出せないものかと思案している。 内務省のCIO Hord Tipton氏は、「チェッ
クボックスにチェックしていくだけとは違う測定方法が必要だ」と述べている。
Tipton氏によると、同政府局の最近の FISMA成績表の成績は芳しくなかったが、
同省のサイバーセキュリティー強度は、今までになく高いと豪語している。
http://www.gcn.com/online/vol1_no1/42328-1.html?topic=security
────────────────

◆Spamhaus e360 Insight裁判の判決を上訴
  (2006.10.18)

英国基盤のアンチスパム組織 Spamhausによると、同社は米国裁判所が下した、
1,700万ドルの支払いを命じた判決を上訴する。 Spamhausは以前、米国裁判所
には英国基盤の企業に対して権限がないことを理由に、この判決を無視するつ
もりであったようだ。しかし、ドメイン没収のおそれが生じたため、その意向
を変えたようだ。Spamhausの意向に対抗して、e360がSpamhausのドメイン停止
の裁判所命令を要求したための措置と思われる。現在のところ、判事はまだそ
の要求には署名しておらず、ICANN(The Internet Corporation for Assigned
Names and Numbers)も、同機関にはドメインを独断で停止する権限がないと
述べている。(このニュースの記事は、先週のNewsLetterにも掲載)
http://www.theregister.co.uk/2006/10/18/spamhaus_fight_back/print.html
────────────────

◆Spamhaus.orgのドメイン停止させる裁判所命令発行要求 却下される(上記ニュースのその後)
  (2006.10.20-23)

e360 Insightは、Spamhausが(欠席裁判の)判決を無視したため、ドメイン名
を停止させる裁判所命令を要求していたが、判事はこの裁判所命令発行の要求
を却下した。却下の理由は、「ドメインを停止した場合、命令に反する行為以
外のSpamhausの合法的なオンライン活動までもが遮断されてしまう」こと。裁
判所はさらに、この件においては、ICANNもカナダの登録機関 Tucowsも、
Spamhausに協力していたわけではないことから、これらの団体を関連団体とし
てこの件に巻き込むのは不当だとした。
http://www.theregister.co.uk/2006/10/20/spamhaus_domain_pull_request_refused/print.html
http://www.zdnet.co.uk/print/?TYPE=story&AT=39284264-39020651t-10000022c
欠席裁判の判決
http://www.spamhaus.org/archive/legal/Kocoras_order_to_Spamhaus.pdf
e360 Insightが要求した裁判所命令
http://www.spamhaus.org/archive/legal/e360/kocoras_order_6_10.pdf
判事による要求却下
http://www.icann.org/legal/spamhaus/denial-proposed_order-19oct06.pdf
────────────────

◆IFPI 世界中でさらに8,000件のファイル共有訴訟を起こす
  (2006.10.18)

国際レコード産業連盟 (IFPI) は、違法にファイルを共有した者に対して、世
界中でさらに8,000件の訴訟を起こした。中には、ブラジル、メキシコ、ポー
ランドで初めての裁判になるものもある。 被告の多くは、著作権法に違反し
てファイルを共有した未成年者の親であった。これによって、 米国外でIFPI
が起こした訴訟件数は13,000件に達した。
http://australianit.news.com.au/articles/0,7204,20601881%5E15306%5E%5Enbv%5E,00.htmlhttp://news.bbc.co.uk/2/hi/technology/6058912.stm
────────────────

◆E-Trade Loses 過去90日間にサイバー詐欺で1,800万ドルの損失:同産業界に影響拡大
  (2006.10.24)

ハッカーによるオンライン証券口座へのアタックが急増している。彼らは、不
当な取引で数百万ドルを稼いでいるようだ。業界第4位のオンライン証券
E-Trade Financialは、東欧とタイの組織によって、過去3か月間だけで1,800
万ドル以上を失った。業界第3位のTD Ameritradeにおいても、顧客口座への詐
欺が報告されている。
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/23/AR2006102301257.html
────────────────

◆FBI Dieboldのソースコード漏えいについて捜査
  (2006.10.20-21)

元メリーランド州議員Cheryl C. Kagan氏のオフィス宛に、DieboldのBallot
Station(投票機器)と Global Election Management System (GEMS:選挙管
理システム) のソースコード情報が入ったディスクが3枚届いた。Kagan氏は、
電子投票反対派として知られている。匿名の手紙によると、これらのディスク
は、メリーランド州政府選挙委員会から入手したものだという。現在FBIは、
これらのディスクの実際の出所を調査している。ディスクのラベルには、「ディ
スク内のソフトウェアは、すでにメリーランド州では使用されていないバージョ
ンである」旨が示されていた。しかし、米国の他の地域では、ここに表記され
ていたプログラムの別のバージョンを使用しているところもある。ワシントン
ポスト紙は、これらのディスクのコピーを水曜日に入手し、ジョンホプキンズ
大学コンピュータ科学部のAvi Rubin教授にそのレビューを委ねた。ディスク
のコピーを作成しないという条件の下、Rubin教授は、同僚と大学院生ととも
に、問題のソフトウェアを検証する。ポスト紙は10月20日(金)、レビュー後
にこれらのディスクをDiebold社に返還することに同意した。
(ワシントンポスト紙のWebサイトを閲覧するには無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/19/AR2006101901818_pf.html
http://www.washingtonpost.com/wp-dyn/content/article/2006/10/20/AR2006102001542_pf.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004339

【編集者メモ】(Schultz)
電子投票で万事OKと考えている人たちは、いったいいつになったらこの現実に
目覚めるのだろうと常々思っていた。たぶんこのニュースが役に立つだろう。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年10月24日配信 Vol.5 No.41)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

<巻頭言> Alan Paller(SANS Director of Research)
その昔、Novellは安全な環境だと考えられていた。それは、アタッカーがNovell
自体を無視していたからである。今回の脆弱性の記事をご覧になればわかるよ
うに、もはやそうとは言えなくなった。
その理由は、サイバー犯罪者が、悪用できそうなアプリケーションとアプライ
アンスを求めて、WindowsとUNIX以外のOSを探求するようになったからだ。今
週の@RISKにおいて理解しにくいのは、脆弱性が発見されたアプリケーション
の数である(今週だけで66個ある)。 これらの脆弱性は、WindowsやUNIXほど
広範囲では使用されていないソフトウェアにあることから、さほど重大ではな
いと見なされる。しかし、これらのソフトウェアパッケージだけを考えると、
その脆弱性は重大であるといえよう。これらのWebアプリケーションの脆弱性
は、プログラマーによって生じたものだ。プログラマーは、よくあるエラーや、
エラーを回避する方法につて訓練を受けていない場合が多い。
3か国の政府・民間組織22団体が、新しい種類の試験を試みる見込みだ。この
試験では、プログラマーが一般的なセキュリティ・エラーやそれらのエラーの
対策法についてどれくらい知っているかを測っていく。この試みに参加する意
思のある組織をあと8団体募っている。
参加資格は以下の3点である。
(1) 少なくとも200人のプログラマーを雇用していること、
(2) 組織団体の従業員のほとんどにこの試験を受験させ、匿名のフィードバッ
  クを提供できること、
(3) このプロジェクトのための質問事項に答えられること
興味がおありなら、SPA@sans.org宛てに、組織についての情報とプログラマー
の人数を添えてご連絡を。
 ※SPAは、Secure Programming Assessmentの頭文字である。
────────────────

◆危険度【重大】: NovellのeDirectoryに複数のバッファオーバーフローの脆弱性

<影響のある製品>
Novell eDirectoryのバージョン8.xから8.8.1 FTF1

<詳細>
NovellのeDirectoryは、世界中で数百万件実装されているマルチプラットフォー
ムのディレクトリサービスであり、企業はこれを使用してID管理を行い、ネッ
トワークリソースへのアクセスを制限している。eDirectory製品は、LDAPプロ
トコルだけでなく、IP上のNetware Core Protocol(NCP)もサポートしている。
(a) NovellのiMonitorは、HTTPを介して、Novell eDirectoryの監視と診断を
行える。eDirectoryのiMonitorサーバは、デフォルトではTCP8008番ポートか
らlistens onするようになっており、Windows上のeDirectoryサービスと一緒
に自動的にスタートする。しかし、このサーバには、スタックベースのオーバー
フローの脆弱性がある。これは、HTTPの"Host"ヘッダーが64バイト以上の場合
に引き起こされる。このオーバーフローを悪用されると、SYSTEMかroot権限で
任意のコードが実行されてしまう。過去に発見された類似の欠陥のエクスプロ
イトコードがすでに公表されているので、注意されたい。
(b) LDAPサーバとeDirectoryのNCP機能には、ヒープベースのバッファオーバー
フローの脆弱性がある。未認証のアタッカーでもこれらの欠陥を悪用して、
eDirectory サーバに任意のコードを実行できてしまう。これらの欠陥の技術
的詳細がすでに公表されている。

<現状>
Novellは、バージョン8.8.1 FTF1をリリースし、LDAPとNCPサービスあるバッ
ファオーバーフローに対処した。バージョン8.7.3.8 FTF1では、iMonitorのバッ
ファオーバーフローに対処。

<参考>
Ryan SmithとMichael Lighによる掲示
http://www.mnin.org/advisories/2006_novell_httpstk.pdf
iDefenseアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-10/0368.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0367.html
http://archives.neohapsis.com/archives/bugtraq/2006-10/0369.html
製品のホームページ
http://www.novell.com/products/edirectory/
iMonitor情報http://www.novell.com/documentation/ndsedir86/taoenu/data/a5hgofu.html
NovellのNCPプロトコル
http://www.javvin.com/protocolNCP.html
SecurityFocus BID
http://www.securityfocus.com/bid/20663
http://www.securityfocus.com/bid/20664
http://www.securityfocus.com/bid/20655
────────────────

◆危険度【高】: Oracle 2006年10月期の重大なパッチ更新

<影響のある製品>
以下の数多くのOracle製品:
Oracle Database Server、
Oracle Application Express、
Oracle Application Server、
Oracle Collaboration Suite、
Oracle E-Business Suite、
Oracle 製薬アプリケーション、
Oracle PeopleSoft/JDE Tools
( 影響のある製品のバージョンの詳細については、Oracleアドバイザリを参
照のこと)

<詳細>
Oracleは、2006年10月17日に、数々の製品に対するセキュリティパッチを次々
にリリースした。この重大なパッチ更新は、100以上の脆弱性に対するもので、
これらは、HTTPもしくはOracle Netプロトコルで悪用されるおそれがある。影
響のある製品の中で最も問題が深刻なのは、Oracle Application Expressで、
存在する脆弱性の危険度として「CVSS」格付けを併記(この格付けは、Oracle
独自の算出によるもの)。Oracleのアドバイザリでは、データベースの多数の
欠陥に対して低いCVSSスコア(欠陥の危険度が「中」か「低」)が付けられてい
ても、これらのデータベース欠陥の中には、ユーザーIDやパスワードなしで悪
用されかねないものもあると、NGSSoftwareは指摘している。したがって、
Oracle Database とApplication Expressのパッチは、優先的に適用されたい。

<現状>
2006年10月期のOracleの重大なパッチ更新を適用されたい。NGSSoftwareによ
ると、プラットフォームによっては、更新がリリースされていないものもある
という。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどが、この問題について何らかの対策を講じており、
近々パッチを適用する見込みだ。数社は、次期定例メンテナンススケジュール
に合わせてこれを行う。他の企業は、通常、厳格なOracleパッチリグレッショ
ンを行っており、テストが成功すればパッチを適用する見込みだ。

<参考>
Oracle のアドバイザリ
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html
NGSSoftwareの掲示
http://www.databasesecurity.com/oracle/OracleOct2006-CPU-Analysis.pdf
SecurityFocus BID
http://www.securityfocus.com/bid/20588
────────────────

◆危険度【高】: Asterisk CiscoのSkinny解析にInteger Overflowの脆弱性

<影響のある製品>
Asteriskバージョン1.2.xから1.2.13
Asteriskバージョン1.0.xから1.0.12

<詳細>
Asteriskは、UNIXベースのシステム用のオープンソースのPBXサーバで、中小
企業から大企業に至るまで、VoIPサービスに使用されている。しかし、この
Asteriskには、ヒープベースのバッファオーバーフローの脆弱性がある。この
脆弱性は、細工されたSkinnyプロトコルパケットによって引き起こされる。未
認証のアタッカーでも、AsteriskサーバのTCP2000番ポートに接続できれば、
このオーバーフローの脆弱性を悪用して、root権限で任意のコードを実行でき
るようになってしまう。概念実証コードのエクスプロイトが、すでに公表され
ている。

<現状>
ベンダーはこれを認識している。Asteriskのバージョン1.2.13、1.0.12、1.4.x
は脆弱でない。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の1社が、影響のあるソフトウェアを使用していた。同社では、
同社の設定が脆弱かどうかを調査中である。

<参考>
Securityアセスメントのアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-10/0311.html
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/20617.pl
ベンダーのホームページ
http://www.asterisk.org
SecurityFocus BID
http://www.securityfocus.com/bid/20617
────────────────

◆危険度【中】: ClamAVのPEファイル処理にオーバーフローの脆弱性

<影響のある製品>
ClamAV 0.88.5以前のバージョン

<詳細>
ClamAVは、オープンソースのアンチウィルスのソフトウェアであり、UNIXのメー
ルゲートウェイでメールをスキャンする際に使用する。このソフトウェアには、
ウィルススキャン用のライブラリlibClamAVがある。このライブラリは、サー
ドパーティのemailやWeb、FTPスキャナー、メールクライエントに使用されて
いる。しかし、このライブラリには、細工された実行(PE) ファイルによって
引き起こされるヒープベースのバッファオーバーフローの脆弱性がある。アタッ
カーは、emailやWeb、FTP、ファイル共有を介して、悪意のあるファイルを送
信し、ヒープベースのオーバーフローを悪用して、ClamAVライブラリを運用し
ているシステムに任意のコードを実行できるようになってしまう。修正版ソフ
トウェアと影響のあるソフトウェアを比較すれば、技術的詳細を入手できる。
mail/Web/FTPのゲートウェイを侵害する際に、ユーザーの操作は必要ないこと
に注意。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、制限付きで影響のあるソフトウェアを使用
していた。同社は今、更新(DSA-1196-1)を適用しているところだ。

<参考>
http://sourceforge.net/project/shownotes.php?release_id=455799
ClamAVを使用しているサードパーティソフトウェア
http://www.clamav.net/whos.html#pagestart
(Mac OS Xサーバを含む)
http://www.clamav.net/3rdparty.html#pagestart
SecurityFocus BID
http://www.securityfocus.com/bid/20535
────────────────