NRI Secure SANS NewsBites 日本版

Vol.1 No.2:2006年8月16日発行

**********************************************************************
           NRI Secure Security Information
               2006年8月16日発行
                          with SANS Institute
**********************************************************************

このメールマガジンは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテク
ノロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。


■■SANS NewsBites(原版:2006年8月4日、8月8日発行)

◆(英)Barclays銀行、オンラインバンキング利用者にカード読み取り機を発
  行 (2006.8.3)

(英)Barclays銀行は、オンラインバンキング利用者にカード読み取り機を発
行する見込みだ。同行はオンラインバンキングの利用者になりすました詐欺を、
この機器を使って撲滅する計画だ。オンラインバンキングの利用者は、銀行カー
ドのチップをこの読み取り機に通した後、この機器から提供されたワンタイム
暗証コードをオンラインバンキングのポータルサイトに入力しなくてはならな
い。この特別な手法は、Apacs基準(英国の銀行集合体)に則っている。また、
その他の銀行は、キーホルダー取り付け式パスワード発生機器など、すでに2
因子認証を適用しているものの、まだApacs基準に遵守できていない。
http://www.vnunet.com/computing/news/2161570/barclays-issue-card-readers
────────────────

◆韓国政府、GoogleにID番号の除去を要請(2006.8.1-2)

韓国通信情報省(Ministry of Communication and Information)は、Googleに
対し、国民9万5,000人分の住民登録番号を除去するように要請する見込みだ。
この番号は、韓国の銀行や政府局、WebサイトなどでIDとして使用されていた。
今までに漏えいしたこれら住民登録番号を悪用して、身元詐称詐欺が発生して
いる。このため同省は、Webにある登録番号を探し当てるプログラムを使用し
て、問題の登録番号を特定する措置に乗り出した。
http://times.hankooki.com/lpage/200608/kt2006080117024010440.htm
http://joongangdaily.joins.com/200608/01/200608012102127839900090609061.html

【編集者メモ】(Tan)
韓国政府は、国民を保護するために積極的に行動しており、これは賞賛に値す
る。韓国におけるブロードバンド利用者の占める割合はアジアで最も高い。ま
た、同国はサイバーアタックの発信元としても首位層の国に入る。韓国政府は、
セキュリティ対策をレベルアップし、より安全なインターネット環境の確立を
図ろうと取り組んでいる。こういった改善の効果は目に見えるものであり、ま
た、その取組みの成果が現われているといえよう。
────────────────

◆トロイの木馬、(豪)コンピュータ1万台を攻撃:確定申告番号盗まれる
  (2006.8.2-3)

オーストラリアの国税局は、国民180人近くの確定申告番号が、電子確定申告
システム(e-tax system)にアクセス中に盗まれたと警告している。このデータ
盗難事件は、犠牲者のコンピュータがBackdoor.Haxdoor.Mトロイの木馬プログ
ラムに感染していたために発生したとのこと。このプログラムは、ユーザーの
キーストロークを記憶できるという。そして、記憶したキーストロークが確定
申告番号だった場合、それをインターネットに掲示してしまうのだ。このアタッ
クは、国税局のWebサイトだけにとどまらない。実にオーストラリアのコンピュー
タ1万台が、問題のトロイの木馬に感染していたようだ。
http://www.theage.com.au/articles/2006/08/02/1154198183117.html
http://www.smh.com.au/news/security/trojan-infects-10000-computers/
2006/08/03/1154198244503.html
────────────────

◆ホームユーザーの半数以上がWi-Fiネットワークの安全化を図る(2006.8.1)

JupiterResearchの統計のよると、Wi-Fiホームネットワークユーザーの60%が、
これらのネットワークのセキュリティ機能を有効にしているという。Wi-Fi保
護アクセス(WPA)プロトコルは、事実上全ての消費者版ワイヤレスアクセスカー
ドとルータに含まれている。JupiterResearchの他の調査報告によると、ホー
ムユーザーのおよそ30%が出先では安全でないワイヤレスネットワークに便乗
(piggyback)し、10%が隣人宅のネットワークに便乗しているという。
http://www.techweb.com/wire/security/191601015
http://www.vnunet.com/vnunet/news/2161582/home-users-getting-wise-wi

【編集者メモ1】(Schultz)
オープンなワイヤレスネットワークに便乗することで生じる懸念は、時間とも
に拡大している。たくさんのユーザーが、いけないこととは思わずに、また、
悪影響を被る可能性を予想だにせず、ネットワークへの便乗行為を行っている。
JupiterRreseachの研究報告では、他人のワイヤレスネットワークに便乗して
いるホームユーザーは、全体の30%となっているが、これは実際よりも低い見
積もりであろう。調査の回答者の中には、便乗行為をしていると率直に答えら
れない人もいるのだから。

【編集者メモ2】(Northcutt)
この調査結果は、まったく科学的ではない。実際、近隣をちょっとドライブし
て安全なネットワークを探してみたら、ほとんど見つからなかった。したがっ
て、60%のユーザーが安全なネットワークを使用しているなどという調査結果
は非常に疑わしい。住人がSSIDをデフォルト設定(例えば、Linksys)のままに
していれば、隣人がネットワークに便乗することは必至だ。皆が旅先でワイヤ
レスネットワーク(Linksysという名前のネットワーク)に接続しているため、
家に帰ってもそれを使ってしまうことが多々ある。あなたが使用している正式
なネットワークに不具合が生じれば、あなたのWindowsは自動的にLinksysに接
続しようとするだろう。
────────────────

◆Google、悪質な疑いのあるサイトにクリックしたユーザーに警告(2006.8.7)

Googleは現在、スパイウェアやその他のマルウェアをホストしているリンクを
クリックしたユーザーに対して警告を発している。これらのサイトは、「バッ
ドウェアストップ同盟」(Stop Badware Coalition)からの情報をもとに「悪質
な疑いのあるサイト」として識別されている。サイトに関する警告は、対象の
サイトがユーザーのコンピュータとどのように相互作用するかを研究者が見極
めたうえで、「一般」レベルから「特定」レベルまでに分けられている。
Googleは、警告印のついたサイトへユーザーが訪問しようとするのを阻止して
いるわけではない。2006年5月の報告書によると、平均でおよそ5%のサイトが
マルウェアに感染したサイトであるとのことだ。「無料スクリーンセーバー
(free screensavers)」など特定のキーワードを使うと、マルウェアに感染
したサイトを表示する割合が大幅に上昇するようだ。
http://news.bbc.co.uk/2/hi/technology/5251742.stm
http://www.theregister.co.uk/2006/08/07/google_malware_warning/print.html
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=39380284-39000005c

【編集者メモ】(Schultz)
Googleの対策は、インターネットセキュリイティを向上させるための大きな前
進といえよう。ユーザーのほとんどが、クリックするサイトが安全か否か、まっ
たくわからないのが現状だ。
────────────────

◆(米)行政予算管理局が設定したデータセキュリティ期日 間近に迫る
  (2006.8.4)

6月下旬、(米)行政予算管理局(OMB)は連邦政府局に対し、モバイル機器に保
存されている個人情報を保護するために特定の措置をとるように義務付けた。
OMBのセキュリティガイドラインを導入する期日はこの2006年8月7日(月)ま
でであった。情報保護のためのチェックリストは、米国立標準技術研究所
(NIST: National Institute of Standards and Technology)の必須要件をもと
に作成された。政府局の監査官(IG)らは、このチェックリストをもとに、各局
の遵守状況のレビューをすでに始めている。対策措置としては、デバイス全て
のデータの暗号化、2因子認証の導入(そのうちの1因子は、アクセスする側の
コンピュータとは別に置く)など、セキュリティ向上のために政府局がとるべ
き4つの推奨行動が記載されている。
http://www.govexec.com/story_page.cfm?articleid=34713&printerfriendlyVers=1&
http://www.whitehouse.gov/omb/memoranda/fy2006/m06-16.pdf

【編集者メモ】(Pescatore)
ノートパソコンの暗号化や2因子認証は、OMBの4つの必須要件のうち比較的あ
まり重要でないものだ。その他の要件として、機密情報データベースからの抽
出については、継続的な利用がない限り90日以内に削除することが政府局に義
務付けられている。このようなデータ維持ポリシーはよいことではあるが、こ
れの導入は大きなチャレンジである。決して45日間でなせるようなプロジェク
トではない。
────────────────

◆米国 サイバー犯罪条約を批准(2006.8.4)

(米)上院議会は、サイバー犯罪に関する欧州委員会の条約を批准した。この
条約は、すでに調印した43か国間で、インターネット犯罪関連法の調整を図る
目的で設けられた。また、同条約では捜査テクニックの向上や国家間の協力体
制の強化も図る。(米)検事局長Alberto Gonzalesによると、この条約は米国
憲法に沿っており、米国法に改正を加える必要はまったくないという。ただし、
米国は、言論の自由やその他の権利を害するような要請があった場合は、協力
を拒む可能性を示唆した。
http://www.usatoday.com/tech/news/techpolicy/2006-08-04-cybercrimetreaty_x.htm
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=cybercrime_hacking&articleId=9002214&taxonomyId=82
サイバー犯罪条約に関する文書:
http://conventions.coe.int/Treaty/EN/Treaties/Html/185.htm

【編集者メモ】(Grefer)
条約締結からおよそ5年が過ぎ、やっと今批准されたか・・・・・・

**********************************************************************

■■@RISK:The Consensus Security Vulnerability Alert
(原版:2006年8月8日配信)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

<Iintroduction from SANS Director of Research>
8月9日にMicrosoft関連の脆弱性のリリースに先行する形で、たくさんの発表
事項があります。最も注目すべきは、Apple Macに確認された複数の重大な脆
弱性です。このほかにも、ワイヤレスに関する脆弱性も報告されています。ほ
ぼすべてのワイヤレスカードに影響が及ぶとのことです。また、CA eTrust AV
に重大な脆弱性が確認されました。早急にこれらの脆弱性に対するパッチを適
用必要があります。さらに、今週は120個の新しい脆弱性が確認されました。
これを年換算すると、実に6,000個の脆弱性が発見されていることになります。
これらの大半は、Webアプリケーションにある脆弱性です。

ラスベガスのSANS Network Security Programをはじめ、世界各国で開催され
るSANSトレーニングでは、世界トップレベルの実践的な集中コースが提供され
ます。ぜひご活用ください。
                              Alan Paller

◆危険度【重大】:Apple Mac OS Xセキュリティ更新2006-004をリリース

<影響のある製品>
Apple Mac OS X 10.4.7以前のバージョン

<詳細>
Appleは、数々の脆弱性に関するセキュリティ修正プログラムをリリースした。
これらの脆弱性には、アタッカーに悪用されるとMac OS Xのシステムを侵害さ
れるおそれのあるものが少なくとも5つある。Appleファイリングプロトコルサー
バや、Image 10 の画像閲覧および操作フレームワーク(image viewing and
manipulation framework)、fetchmailメール修復クライアント、および
DHCP/BOOTPクライアントコードにあるそれぞれ5つ欠陥によって、リモートで
コードを実行される可能性が生じてしまう。そのほかの脆弱性には、任意のファ
イルを上書きする脆弱性や、情報開示、サービス停止状態(DoS)を引き起こす
ものなどがある。ユーザーは早急に更新を行うべきだ。少なくともfetchmail
脆弱性の概念実証コードが1つ、すでに公表されている。

<現状>
Appleは、これらの脆弱性を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアを使用している委員会所属企業は、すでにこの更新を
実施するよう周知した。

<参考>
Appleセキュリティ更新2006-004
http://docs.info.apple.com/article.html?artnum=304063
SANS Internet Storm Center担当者日誌
http://isc.sans.org/diary.php?storyid=1534
Fetchmailの概念実証型エクスプロイト
http://downloads.securityfocus.com/vulnerabilities/exploits/osx_fetchmail_priv_esc.txt
http://downloads.securityfocus.com/vulnerabilities/exploits/osx_fetchmail_priv_esc_ppc.txt
http://downloads.securityfocus.com/vulnerabilities/exploits/osx_fetchmail_priv_esc_x86.txt
SecurityFocus BID
http://www.securityfocus.com/bid/19289
────────────────

◆危険度【重大】:Computer Associates eTrust WebScanに複数の脆弱性

<影響のある製品>
eTrust AntiVirus WebScan 1.1.0.1047以前のバージョン

<詳細>
Computer AssociatesのeTrust AntiVirus WebScanは、ActiveXコンポーネント
を使用している。しかし、このActiveXコンポーネントには、リモートで悪用
可能な脆弱性が複数含まれている。ユーザーに悪質なWebサイトに訪問させ、
そこでコンポーネントをインスタンス化し、そのコンポーネントにアプリケー
ションを更新させれば、アタッカーは現在のユーザーの権限で任意のコードを
実行できるようになってしまう。もしくは、アンチウィルスエンジンによって
ユーザーが利用できる保護措置が大幅に限定されてしまう。これらの欠陥のう
ち2つは、更新したファイルリストを正しく検証できないために生じる。つま
り、ファイルが悪質なバージョンに(これによって、リモートでのコード実行
のおそれが生じる)、もしくは旧式バージョン(これによって、保護が制限さ
れる)に差し替えられてしまうのだ。さらに、更新したファイルリストにある
ファイル名が長すぎると、バッファオーバーフローや任意のコード実行が発生
してしまう。悪用の実現には、ユーザーが悪質なWebページを訪問する以外に
操作を行う必要はない。

<現状>
Computer Associatesはこれらの脆弱性を認識しており、更新もリリースして
いる。

<参考>
TippingPointセキュリティ研究チームアドバイザリ(技術的詳細も含む)
http://www.tippingpoint.com/security/advisories/TSRT-06-05.html
http://www.tippingpoint.com/security/advisories/TSRT-06-06.html
Computer Associatesセキュリティアドバイザリ
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34509
SecurityFocus BID
http://www.securityfocus.com/bid/19351
────────────────

◆危険度【高】:複数のベンダーのWiFiカードドライバに脆弱性

<影響のある製品>
複数のベンダーによるWiFi (802.11a/b/g)ワイヤレスカード

<詳細>
研究者らが、さまざまなWiFiネットワークカード用の複数のデバイスドライバ
に欠陥を発見した。これらの欠陥を悪用されると、任意でコードを実行されて
しまうおそれがある。細工したWiFiプロトコル・トラフィックを標的のマシン
に送信すれば、アタッカーは脆弱なシステムのコントロールを完全に奪うこと
ができる。Mac OS Xにあるサードパーティ製WiFiカードの概念実証コードが、
Black Hat 2006 Security Conferenceで実演された。当初開示された情報によ
ると、これらの欠陥は“他のオペレーティングシステム+WiFiカード“の組合
せに発見された。これらの欠陥はデバイスドライバのレベルに存在しているた
め、標的のマシンがワイヤレスネットワークにつながっている必要はない。ア
クティブなWiFiカードがそこにあるだけで悪用は実現できてしまうのだ。“カー
ド+OS”のどのような組合せが脆弱なのか、今のところ定かではない。

<現状>
Intelは、この問題を修正できるMicrosoft Windows用のドライバの更新版をリ
リースした。しかし、Intelは更新文書において、特にBlack Hat 2006の開示
情報に言及していない。これによって、他のベンダーが影響を受けるかどうか
は不明だ。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てがこの問題を調査している。ほとんどの企業は、この更
新を近日中に適用する見込みだ。その他の少数の企業は、この問題の解決策を
現在も模索している。

<参考>
ビデオクリップ: MacBookへの侵入
http://news.com.com/Flawed+Wi-Fi+drivers+can+expose+PCs/1606-2_3-6101573.html?tag=fd_cars
SANS Internet Storm Center担当者日誌
http://isc.sans.org/diary.php?storyid=1540
Brian Krebsによるブログ(関連記事)
http://blog.washingtonpost.com/securityfix/2006/08/
hijacking_a_macbook_in_60_seco_1.html
Intel Centrinoのワイヤレスサポートに関する説明
(ドライバ更新などの情報も含む)
http://support.intel.com/support/wireless/wlan/sb/CS-023065.htm
Wikipediaのデバイスドライバについての説明
http://en.wikipedia.org/wiki/Device_driver
SecurityFocus BID (Intelに関してのみ)
http://www.securityfocus.com/bid/19298
────────────────

◆危険度【中】: Mozilla Firefox の詳細不明な脆弱性(リモートでコードを
  実行される)

<影響のある製品>
Mozilla Firefox 1.5以前のバージョン

<詳細>
Mozilla Firefoxには、任意のコードを実行されるおそれのある脆弱性がある。
この欠陥は、ブラウザが"SPAN HTML"タグ全体にわたってスタックされている
複数の"CSS"属性を正しく検証できないために引き起こされる。この脆弱性に
関する技術的詳細が既に公表されている。また、サービス停止(DoS)状態を引
き起こす概念実証コードが、TORネットワーク(匿名のルーティングネットワー
ク)において既に公表されている。リモートでこのコードが作動するかどうか
明らかでないものの、有料でリリースされている。

<現状>
Firefoxはまだこの脆弱性を認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のほとんどは、まだ正式にFirefoxをサポートしていない。し
かし、多くの企業にてFirefoxが使用されているのが現状だ。そのため、これ
らの企業は、ソフトウェアの更新に関して、ユーザー自身に自動更新機能を適
用してもらう方法に依存することとなる。

<参考>
Andrew Aによる掲示(概念実証型へのリンクも含む)
http://archives.neohapsis.com/archives/fulldisclosure/2006-07/0723.html
SecurityFocus BID
http://www.securityfocus.com/bid/18228
────────────────

◆危険度【中】:PHP機能に複数の脆弱性

<影響のある製品>
PHP 4.4.3 以前のバージョン

<詳細>
PHPはWeb中心のプログラム言語として広範囲で使用されているが、このほどリ
モートで悪用されるおそれのある脆弱性が発見された。ただし、今のところこ
れらの欠陥の詳細は公表されていない。これらの欠陥は、wordwrap()、
tempnam、error_log ()、substr_compare()、phpinfo()、およびセッション名
を解析するコードにあることがわかっている。PHPはオープンソースソフトウェ
アであるため、ソースコードを分析すればこれら脆弱性の技術的詳細は簡単に
入手できる。

<現状>
PHPはこれらの脆弱性を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、この問題に対処する見込みだ。この企業の
サーバは、来週中に更新される。

<参考>
PHP 4.4.3のリリース発表
http://www.php.net/release_4_4_3.php
SecurityFocus BIDs
http://www.securityfocus.com/bid/17363
http://www.securityfocus.com/bid/19349
────────────────

◆危険度【中】:LibTIFFライブラリに複数の脆弱性

<影響のある製品>
LibTIFF 3.8.2以前のバージョン

<詳細>
LibTIFFは、TIFF画像の解析に用いられるライブラリとして広範囲で使用され
ているが、リモートで悪用できる脆弱性が複数確認された。TIFFの画像ファイ
ル形式は、高性能のグラフィックアプリケーションに使用されている。ユーザー
に細工したTIFF画像ファイルを閲覧させれば、アタッカーは現在のユーザーの
権限で任意のコードを実行できるようになってしまう。LibTIFFは、Mac OS X
システムにデフォルトでインストールされているほか、LinuxやUnix、Unixの
ようなシステムなどの大半にもインストールされている。アプリケーションの
中には、LibTIFFをMicrosoft Windowsシステムにインストールできるものもあ
る。システム設定によっては、悪用を実現する際に、ユーザーが悪質な電子メー
ルやWebページを閲覧する以外の操作を行う必要はない。LibTIFFはオープンソー
ス・ソフトウェアであるため、これらの脆弱性の技術的詳細はソースコードを
分析すれば簡単に入手できる。

<現状>
Linuxのあらゆるベンダーから、更新がリリースされている。

<セキュリティマネージャ委員会所属企業の対応>
委員会企業のうち2社がこの問題を解決しようとしており、両社とも次のシス
テム更新スケジュールに合わせて更新を適用する見込みだ。

<参考>
LibTIFFのホームページ
http://www.remotesensing.org/libtiff
RedHatのセキュリティアドバイザリ
http://rhn.redhat.com/errata/RHSA-2006-0603.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/19282
http://www.securityfocus.com/bid/19283
http://www.securityfocus.com/bid/19284
http://www.securityfocus.com/bid/19286
http://www.securityfocus.com/bid/19288
http://www.securityfocus.com/bid/19290
────────────────

◆危険度【中】:McAfee SecurityCenterに詳細不明の脆弱性(リモートからコー
ド実行のおそれ)

<影響のある製品>
McAfee SecurityCenterのバージョン4.3から6.0.22まで

<詳細>
MacAfee SecurityCenterは、包括的なクライアントセキュリティスイートだが、
リモートでコードを実行できる詳細不明な脆弱性が発見された。ユーザーに悪
質なURLをクリックさせれば、アタッカーは、現在のユーザーの権限で任意の
コードを実行できるようになってしまう。この脆弱性に関する技術的詳細は、
今のところ公表されていない。

<現状>
McAfeeはこの脆弱性を認識しており、更新をリリースしている。また、同社は
ライブ更新サーバ経由で、修正バージョンもリリースした。

<参考>
McAfeeのセキュリティ警告
http://ts.mcafeehelp.com/faq3.asp?docid=407052
eEyeのセキュリティアドバイザリ
http://www.eeye.com/html/research/upcoming/20060719.html
SecurityFocus BID
http://www.securityfocus.com/bid/19265
────────────────

◆危険度【重大】:TWikiにリモートで任意のコードを実行される脆弱性

<影響のある製品>
TWikiのバージョン4.0.0から4.0.4まで

<詳細>
TWikiは、企業コラボレーションプラットフォームとして広範囲で使用されて
いるが、リモートでコマンドを実行できる脆弱性がある。細工したHTTP POST
リクエストをTWiki“構成”スクリプト(デフォルトで"/twiki/bin/configure"
としてインストールされている)に送信すれば、アタッカーは、Webサーバ・プ
ロセスの権限で任意のコードを実行できるようになってしまう。TWikiのセキュ
リティアドバイザリには、この脆弱性の技術的詳細と概念実証コードが掲載さ
れている。

<現状>
TWikiはこの脆弱性を認識しており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、どの委員会所属企業でも稼動していないか、
ごく限定的な使用にとどまっている。したがって、正式にこれをサポートして
いる企業はない。そのため、特に対策は必要はないと報告されている。

<参考>
TWikiのセキュリティ警告
http://archives.neohapsis.com/archives/vulnwatch/2006-q3/0017.html
TWikiのホームページ
http://twiki.org
SecurityFocus BID
http://www.securityfocus.com/bid/19188
────────────────

◆危険度【高】:Jetboxに複数の脆弱性

<影響のある製品>
JetboxCMSのバージョン 2.1 SR1
また、それ以前のバージョンも脆弱な可能性あり

<詳細>
Jetboxはコンテンツ管理システムとして広範囲で使用されているが、リモート
で悪用可能な脆弱性がある。これらの脆弱性には、Webサーバ・プロセスの権
限でリモートでコマンドを実行される欠陥、クロスサイトスクリプティング、
セッションハイジャック、情報開示などの欠陥がある。リモートでコマンドを
実行される脆弱性を回避するには、PHPの"magic_quotes_gpc"設定コマンドが
無効になっている必要がある(PHPの最近のバージョンでは、これがデフォル
トで有効になっている)。これらの脆弱性の技術的詳細が既に公表されている。

<現状>
Jetboxはこれらの脆弱性を認識していないため、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、どの委員会所属企業でも稼動していないか、
ごく限定的な使用にとどまっている。したがって、正式にこれをサポートして
いる企業はない。そのため、特に対策は必要はないと報告されている。

<参考>
Secuniaのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-08/0035.html
Jetboxのホームページ
http://jetbox.streamedge.com/index.php
SecurityFocus BID
http://www.securityfocus.com/bid/19303
────────────────

◆危険度【高】:複数の製品に、PHPファイル含有脆弱性

<影響のある製品>
Kayako eSupportのバージョン 2.x
Joomla Security Images Componentのバージョン3.x
PHPAuctionのバージョン2.1 (phpAdsNewのバージョン2.0.5と併用時)
ModernBillのバージョン1.6

<詳細>
以下のソフトウェアパックのPHPには、リモートでファイルを含有してしまう
脆弱性がある。対象のソフトウェアパックは、Kayako eSupport、the Joomla
のSecurity Images Component、PHPAuction (phpAdsNewとの併用時)、
ModernBillおよびWoW Rosterだ。これらの欠陥がリモートのアタッカーによっ
て悪用されると、脆弱なソフトウェアパックをホストしているWebサーバに任
意のPHPコードが実行されてしまう。これらの欠陥を悪用するための悪質な
HTTPリクエストの作成法が既に公表されている。ユーザーは、可能であれば
"register_globals"オプションを無効にし、Webサーバ・ソフトウェアを低権
限アカウントで運用するとよい。

<現状>
Kayakoはこの脆弱性を認識しておらず、更新もリリースしていない。
Joomlaはこの脆弱性を認識しておらず、更新もリリースしていない。
PHPAuctionはこの脆弱性を認識しておらず、更新もリリースしていない。
ModernBillはこの脆弱性を認識しておらず、更新もリリースしていない。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、どの委員会所属企業でも稼動していないか、
ごく限定的な使用にとどまっている。したがって、正式にこれをサポートして
いる企業はない。そのため、特に対策は必要はないと報告されている。

<参考>
Secuniaのセキュリティアドバイザリ(Kayako eSupportに関して)
http://archives.neohapsis.com/archives/secunia/2006-q3/0448.html
milW0rmの概念実証型(Kayako eSupportに関して)
http://milw0rm.com/exploits/2115
Kayakoのホームページ
http://www.kayako.com
Joomlaのホームページ
http://www.joomla.org
Philipp Niedzielaによる掲示(PHPAuctionに関して)
http://archives.neohapsis.com/archives/bugtraq/2006-07/0551.html
PHPAuctionのホームページ
http://www.phpauction.net
Chris Hasibuanによる掲示(ModernBillに関して)
http://archives.neohapsis.com/archives/bugtraq/2006-08/0069.html
ModernBillのホームページ
http://www.modernbill.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/19315
http://www.securityfocus.com/bid/19254
http://www.securityfocus.com/bid/19335