NRI Secure SANS NewsBites 日本版

Vol.2 No.1:2007年1月5日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.1 2007年1月5日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。
原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値の
あるニュースソースとして活用されています。組織のセキュリティ管理に関す
る参考情報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃The Trusted Source for Computer Security Training
┃ SANS Tokyo 2007 Spring
┃ ~~~~~~~~~~~~~~~~~~~~~~~~~~
┃   2007年2月19日~24日 開催決定!

┃■SANS認定インストラクターの高いスキル、豊富な実例■
┃■講師と受講者相互によるディスカッション形式の講義■
┃■参考書と呼ぶにふさわしい詳細な解説付きの研修教材■
┃■国内はもちろん世界でも比類のない充実のプログラム■

┃ ┏━━━━━━━━━━━━━━━━━━━━
┃ ┃早期割引き申込み受付中!(2月12日まで)
┃ ┃詳細はこちら
┃ ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
http://sans-japan.jp/SJ/tokyo2007_spring/index.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━AD━━

過去にSANSカンファレンスに参加された方々からのコメントを以下に紹介する。
これらを読めば、プログラムのイメージが沸くだろう。

"素晴らしい! 有益な情報がたくさん得られる。このプログラムに参加して、
私の頭はゼリーのような状態に柔軟化した。来年も必ず参加する。"
(米国骨髄提供者プログラム Kurt Danielson)

"今回で4度目のSANSカンファレンスになる。毎度のことながら講師陣はぴか一
だ。いつも驚嘆し、多くを習得して会場を後にすることができる。"
(ワシントン州 CTED Bill Wildprett)

"今まで私が参加した他のプログラムのどれよりも素晴らしく、中身の濃い、
価値の高いプログラムだ。大学の学士課程や修士課程と比べても然り。"
(RT Communications Mark Laughlin)

"このカンファレンスで、私の職場におけるプロセスを即座に改善できるスキ
ルを習得できた。"
(AT&T Karissa Truitt)

渡航費や宿泊費なしで、SANSの技術?スキルを身につける絶好のチャンス。
今から計画を!
────────────────

■■SANS NewsBites Vol.9 No.1 (原版:2007年1月3日配信)

◆仏法廷 著作権侵害よりプライバシーが優先される判決
  (2006.12.21)

フランス法廷は、著作権所有者にはインターネットが著作権侵害者を監視する
自由な権利はないとの判決を下した。この裁判では、ある男がP2Pソフトウェ
アを使用している最中にIPアドレスがトレースされていたことが争点となって
いた。フランスでは、コンテンツの著作権を侵害していると見られる人間の身
元を特定したい場合は、情報技術と自由に関する委員会であるNational
Commission for Information Technology and Libertyから承認を得なくては
ならない。そして、フランス国民のプライバシーを侵害した場合、最高で30万
ユーロ(39万6,500ドル)の罰金に科せられる可能性がある。
http://www.iht.com/articles/2006/12/21/business/privacy.php

【編集者メモ1】(Grefer)
ドイツ警察は、ビジネスソフトウェア同盟(BSA)のような団体から、捜査や
フォレンジックの協力を無償で受けていた。しかし、この行為は明らかに利害
が一致していないため、ドイツの裁判所も、昨年末ドイツ警察に懲戒処分を科
した。
【編集者メモ2】 (Northcutt)
IPアドレスは封筒に書かれている情報のようなものに過ぎない。つまり、この
判決は覆される可能性が高い。でなければ、許可なしに車両のナンバープレー
トをメモしてはいけないという新法までをも成立させるしかない。この裁判で
は、最も高度なP2Pソフトウェア、shareazaが問題となった。このソフトウェ
アは、4つのネットワーク(Guntella、5万人のユーザーのいるGuntella2、
eDonkey、BitTorrent)を同時に接続できる。また、詳細なユーザー・キュー
も併せ持つ。あなたの社内ネットワークにあるshareazaソフトウェアのコピー
は、他に類を見ないほど幅の広い帯域を呑み込むことができる。
────────────────

◆High Definition DVDの暗号 破られる
  (2006.12.29-2007.1.1)

High-Definition DVD暗号化システムがクラックされた。何者かがAdvanced
Access Content Systemをどのように破壊したかの詳細を公表した。このシス
テムは、High-Definition DVDが再生できるデバイスに制限を設けて、著作権
侵害を防止することができるとされていた。Advanced Access Content System
は、HD-DVDとBlu-Ray標準双方に使用されている。これら2つは、デジタルメディ
アに対して常に関心の高いあらゆる企業に支持されている。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9006918&source=rss_topic17
http://www.nytimes.com/2007/01/01/technology/01hack.html?ei=5088&en=38ddb2918d77f8a4&ex=1325307600&partner=rssnyt&emc=rss&pagewanted=print

【編集者メモ】 (Ranum)
これは仕方のないことだ。データにアクセスできるようにして、さらにそのま
まそのアクセスをコントロールし続けることはできない。コンテンツのコント
ロールは、指で堤防の裂け目からの漏れを止めようとしているようなものだ。
────────────────

◆米国運輸保安局のセキュアフライトプログラム 著作権法を侵害
  (2006.12.22)

米国国土安全保障省(DHS)プライバシー事務局の報告によると、米国運輸保安
局(TSA) のセキュアフライトプログラム(Secure Flight program)は、2004年
秋から2005年春までのプログラムテスト段階で連邦法を侵害したという。この
プログラムでは、搭乗者本人にきちんと通知せずに、データブローカーから搭
乗者データが入手されていた。この行為は、プライバシー1974法にある必須要
件、「米国国民のプライバシーに影響を及ぼすような連邦プログラムに何らか
の変更が加えられた場合は、大衆に通知しなければならない」に違反している。
実際のテストも、TSAが当初説明していたものとは違っていた。TSAによると、
同局は、民間の情報源から得た搭乗者データと、政府システムとの間あるファ
イヤウォールを管理維持していく方針だという。しかし、TSA がすでにそれら
の情報にアクセスし、保存までしてしまっている可能性も否めない。このプロ
グラムは、プライバシーやセキュリティの懸念に十分な対処がなされるまでは
休止される。報告書では、このプログラムは、推奨事項に準じない限り、より
多くの問題に直面すると予測されている。推奨事項の中には、搭乗者データの
収集とその使用法の透明性などについて、言及されている部分もある。
http://www.washingtonpost.com/wp-dyn/content/article/2006/12/21/AR2006122101621_pf.html
http://www.techweb.com/showArticle.jhtml;jsessionid=QRDW4ITMSYZAEQSNDLOSKHSCJUNN2JVN?articleID=196701747
http://www.dhs.gov/xlibrary/assets/privacy/privacy-secure-flight-122006.pdf
────────────────

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年1月3日配信 Vol.6 No.1)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)

脆弱性の少ない1週間だった。しかし、Novell Netmailのユーザーは、ただち
に更新を行い、Quicktimeのユーザーは、Appleがプログラムにある問題を修正
するまで、無用心なブラウジングを避ける必要がある。

1. 危険度【重大】:Apple QuickTimeのRTSP URLハンドラーにバッファオーバーフローの脆弱性

<影響のある製品>
Mac OS用・Windows用QuickTimeバージョン7.1.3、およびそれ以前のバージョン

<詳細>
Apple QuickTimeは、メディアプレーヤとして広範囲で使用されている。しか
し、これのRTSP URLには、スタックベースのオーバーフローの脆弱性がある。
このオーバーフローの脆弱性は、"Month of Apple Bugs(今月のAppleバグ)"プ
ロジェクトで発見された。同脆弱性は、300バイト以上になるように細工され
たRTSP URLによって引き起こされる。悪意のあるWebページやメディアファイ
ルによってこの欠陥が悪用されると、ユーザーのシステムに任意のコードが実
行されてしまう。QuickTimeをデフォルトのメディアプレーヤとして使用して
いるシステムは、ユーザーが悪意のあるWebページを閲覧すれば、操作なしで
も侵害されるおそれがある。この欠陥のエクスプロイトコードがすでに公開さ
れている。

<現状>
Appleはこの問題を認識していないため、パッチもリリースしていない。回避
策として、RTSP URLハンドラーを無効にしておくとよい。

<参考>
Month of Apple Bugs (今月のAppleバグ)
http://projects.info-pull.com/moab/MOAB-01-01-2007.html
エクスプロイトコード
http://www.milw0rm.com/exploits/3064
────────────────

2. 危険度【重大】:Novell NetMailに複数のバッファオーバーフローの脆弱性

<影響のある製品> NetMailのバージョン3.52e、およびそれ以前のバージョン

<詳細>
Novell Netmailは、メール・カレンダー管理システムである。しかし、これの
IMAP and NMAP (Network Messaging Application Protocol)サービスには、複
数のバッファオーバーフローの脆弱性がある。
(a) IMAPプロトコルによって、文字列は"literal"か"quoted"かに識別される。
"literal"文字列の場合、length value は、実際の文字列の前にくる。し
かし、 NetMailのIMAPサービスは、ユーザーが提供したliteral文字列の
長さを、IMAPコマンドの引数として正しく検証できない。そのため、IMAP
コマンドに向かう引数を細工すれれば、ヒープベースのオーバーフローが
引き起こされる。未認証のアタッカーであっても、このオーバーフローの
脆弱性を悪用すれば、NetMailサーバに任意のコードを実行できるように
なってしまう。
(b) IMAPサービスの"APPEND"や"SUBSCRIBE"コマンド実装には、バッファオー
バーフローの脆弱性がある。同様に、NMAPサービスの"STOR"コマンド実装
にもバッファオーバーフローの脆弱性がある。これらの欠陥は、認証され
たアタッカーによって悪用されると、NetMailサーバに任意のコードが実
行されるおそれがある。

<現状>
Novellはこの問題を認識しており、NetMailをバージョン3.52e ftf 2に更新し
た。Hula (アルファバージョン)は、NetMailをベースにしたオープンソースプ
ロジェクトであるが、ソフトウェアを現在テストしている人は、使用している
バージョンが、これらの欠陥に脆弱かどうかチェックすべきである。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、ベンダーからパッチがリリースされるのを待ち望ん
でいる状態にある。これら企業は、次期定例更新スケジュールに合わせて、も
しくは、自動更新機能を介してパッチを適用する見込みだ。

<参考>
Novellのアドバイザリ
https://secure-support.novell.com/KanisaPlatform/Publishing/134/3096026_f.SAL_Public.html
https://secure-support.novell.com/KanisaPlatform/Publishing/328/3717068_f.SAL_Public.html
Zero-Dayイニシアチブ
http://www.zerodayinitiative.com/advisories/ZDI-06-052.html
http://www.zerodayinitiative.com/advisories/ZDI-06-053.html
http://www.zerodayinitiative.com/advisories/ZDI-06-054.html
iDefenseのアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2006-12/0386.html
http://archives.neohapsis.com/archives/bugtraq/2006-12/0387.html
Hulaプロジェクト
http://www.hula-project.org/Hula_Server
SecurityFocus BIDs
http://www.securityfocus.com/bid/21723
http://www.securityfocus.com/bid/21724
http://www.securityfocus.com/bid/21725
────────────────

3. 危険度【重大】:Cacti cmd.php にリモートのコマンド実行およびSQLインジェクションの脆弱性

<影響のある製品>
Cactiのバージョン0.8.6i

<詳細>
Cactiは、UNIX用ネットワーク画像ソフトウェアパッケージとして、広範囲で
使用されている。しかし、Cactiの"cmd.php"スクリプトには、リモートのコマ
ンド実行とSQLコマンド実行、SQLインジェクションの脆弱性がある。アタッカー
がこれらの脆弱性を悪用すれば、Cactiを運用しているWebサーバに任意のコー
ドを実行できるようになってしまう。エクスプロイトコードもすでに公表され
ている。

<現状>
ベンダーはこの問題を認識していないため、パッチもリリースしていない。回
避策として、cmd.phpスクリプトがWebリクエスト経由でアクセスできないよう
になっているかを確かめるとよい。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が、ベンダーからパッチがリリースされるのを待ち望ん
でいる状態にある。これら企業は、次期定例更新スケジュールに合わせて、も
しくは、自動更新機能を介してパッチを適用する見込みだ。

<参考>
Secuniaのアドバイザリ
http://archives.neohapsis.com/archives/secunia/2006-q4/1323.html
エクスプロイトコード
http://www.milw0rm.com/exploits/3029
ベンダーのホームページ
http://www.cacti.net/
SecurityFocus BIDs
http://www.securityfocus.com/bid/21799
http://www.securityfocus.com/bid/21823
────────────────