NRI Secure SANS NewsBites 日本版

Vol.2 No.12 2007年3月26日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.12 2007年3月26日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.22-23 (原版:2007年3月16、22日)

■はじめに(Alan Paller: SANS Director of Research)

速報:
ホワイトハウスは、3月20日午前9時(現地時間)に、連邦政府各局のCIOらに
指令を出した。その指令で彼らは、2007年6月30日以降、ITシステムを新しく
購入する場合はいかなる場合も、共通の安全な設定を義務付けられることとなった。
また、さらに重要な事項として、情報技術提供者(統括者やソフトウェアベンダー)は、
その安全な設定の下で、提供した製品が効果的に動作することを保証しなくては
ならない。このイニシアチブは、米国空軍の先駆的プログラムである「法遵守
なくして接続なし」をもとにしている。この考えは、XPとVista両方についても
言えることで、ちょうどWindows Vista用のアプリケーション(XPのアプリケー
ションも然り)を開発するプログラマーに対して影響を与えるため、それに
間に合うタイミングで発せられた。Vista用アプリケーションは、Vistaの
セキュアバージョン(SSLF)で動作しなければ、連邦政府局に販売することは
できない。XP用アプリケーションのベンダーも、販売するアプリケーションが、
安全な設定のWindows XPで動作することを保証しなくてはならない。
この一連の動きによって得られる利益は計り知れない。この共通の安全
設定によって、bot-netの感染スピードは遅くなり、パッチの遅れを大幅に解
消し、あらゆるアタックを阻止することが可能になろう。そして、これに準じ
た行動をとった組織は、コスト削減が実現されたと報告するであろう。

このイニシアチブによって、連邦政府によるIT関連支出が650億ドルにのぼる
がことになるが、これによって全ての政府内のユーザーにとって、システムが
より安全なものになる。これに引き続いて、政府外の組織でも同様の行動に
踏み切るようになるだろう。セキュリティパッチの効果が高まり、IT部門のユー
ザーサポート費用も抑えられる。これは、サイバー犯罪に立ち向かう戦いにおいて、
英雄的なリーダーシップと言えよう。ホワイトハウスの Clay Johnson
とKaren Evansは、今日のサイバーセキュリティの改善を求める全ての人から
の賞賛を受けるべきだ。

PS.
SANSは、もう2年以上「速報」を出していなかった。つまり、このホワイトハ
ウスの行動は、とても重要だと言える。
────────────────

◆データ侵害のほとんどは、企業側のエラーが原因(2007.3.14-15)

シアトルのワシントン大学の研究によると、データセキュリティ侵害の原因は、
外部からの侵入者というより、企業側にある場合が多いという。 Phil Howard 氏は、
1980年から2006年にかけて、メディアがカバーしたデータ侵害事件550件を調査した。
それら侵害事件の3分の2は、機器の紛失・盗難および管理ミスが原因だった。
外部からのアタッカーによる侵害事件は、全体の3分の1以下にすぎなかった。
http://www.networkworld.com/news/2007/031307-data-breach-companies.html
http://www.physorg.com/news93000637.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyId
=14&articleId=9013142&intsrc=hm_topic

【編集者メモ】 (Schultz)
この調査結果は、特に目新しいものでもない。今までの調査でも、企業内の人為的ミス
による損害の方が多いことがわかっている。
────────────────

◆国立標準技術研究所 所内のネットワークにVistaの使用を禁ず (2007.3.12-15)

米国国立標準技術研究所(NIST)は、運輸省(DoT)とともに、所内(省内)のネッ
トワークに、Microsoft Windows Vista OSを使用することを禁じている。NIST
とDoTは双方とも、新しいOSのセキュリティや、使用している他のソフトウェアとの
互換性に懸念を抱いている。NISTは、 政府ポリシーに遵守する目的で、
すべてのノートパソコンに暗号化対策を施した後、今後数か月のうちにVista
のテストを開始する予定だ。OSが承認されれば、NISTはVista使用禁止令を解除する。
http://www.informationweek.com/news/showArticle.jhtml?articleID=198000229
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=198001185
http://news.com.com/2102-1002_3-6166868.html?tag=st.util.print

【編集者メモ】(Pescatore)
いずれにしても、一般的な企業が計画作成や評価を完了してVistaに移行するには、
12~18か月かかる。すでに所有しているアプリケーションがVistaでサ
ポートできることがわかれば、PCやノートパソコンをVistaに移行するつもり
だろう。現在使用しているOSをわざわざ捨ててVistaに移行するというよりは、
人員の退職等で古いマシンが自然と減っていく結果、Vistaへ移行していくことを
狙う組織は、複数の種類のPCがある環境で業務を続ける期間も、視野に入れる必要がある。
────────────────

◆FTC米国公正取引委員会 TJXを調査(2007.3.13)

米国公正取引委員会(FTC)は、TJX(Marshallsの親会社T.J. Maxx)を調査して
いることを認めた。この会社は、顧客数百万人のクレジットカード情報やデビットカード
情報を外部に漏えいし、彼らの口座を詐欺事件のリスクにさらしてしまったセキュリティ
侵害事件を起こしたことを認めた企業だ。この侵害は今年1月に発覚した。
しかし、証拠を検証したところ、侵入者は2005年7月からシステムにアクセスし続けて
いたことがわかった。また、TJXがペイメントカード産業データセキュリティ基準
(PCI)を遵守していなかったという証拠も発見されている。
http://www.boston.com/business/globe/articles/2007/03/13/tjx_faces_scrutiny_by_ftc?mode=PF
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=198000608

【編集者メモ】(Pescatore)
TJ Maxxや他企業のインシデントを見れば、それにデータを保存すべきではないような
実にさまざまなデバイスに、データが保存されていたことがわかる。
コピー機や端末などは、設備基準としてデフォルトでセキュリティキットを内蔵しして
おくべきだろう。これは別に驚くことではない。
よって、マサチューセッツ州のような州が、新しい規則を可決して「我々の活動を支援する」とも
思えない。とある弁護士が、このトピックに興味深いコメントを残した。
http://www.sans.edu/resources/leadershiplab/tjx_security_comment.php

【編集者メモ】(Shpantzer)
この記事を「外部からの侵入者 vs 内部管理のミス」の研究に置き換えると…、
外部のハッカーは、まだまだセキュリティ上の重要な要素であると言える。
────────────────

◆Google 維持データの一部を匿名化(2007.3.14-15)

Googleは、同社が維持しているデータのデータ取得日が18か月から24か月前の
データから、IPアドレスの末尾8ビットを取り除くという。現在の仕様では、IP
アドレスによって検索源が特定できるようになっている。そのIPアドレスの末尾
8ビットが除かれた場合、そのアドレスから特定できるコンピュータの台数は、
1台から256台に膨れ上がる。現在のポリシーでは、Googleは情報の維持期間は
定めていない。一方、インターネットサービスプロバイダ(ISP)は、一定期間のみ
データを維持すればよいとされている。IDデータ(IPアドレスの一部)を取り除く
ことによって、必須維持期間後にユーザーと特定の情報を関連させることが不可能
になるわけではないものの、困難になることは必至だ。
当局はデータが匿名化される前にその情報を召還できるものの、Googleは法的に
強制された場合、情報を完全な形で維持しなくてはならない。プライバシー提唱者
の中には、「正しい方向へ踏み出しているものの、ユーザーのプライバシーを
保護するには、まだまだ十分ではない」と言う者もいるようだ。また、データは、
より早めに匿名化すべきだと主張する者もいる。Google自身は、分析や診断のために、
データは必要だと述べている。12か月から18か月の維持期間は、ヨーロッパの
データ維持法が示す期間と同様だ。このポリシーは、年末には有効になり、Googleの
ホームページで検索された検索事項に適用される。しかし、Googleカレンダーや
Gmailのやりとりには適用されない。
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=61996489-39000005c
http://www.usatoday.com/tech/news/internetprivacy/2007-03-14-google-privacy_N.htm?csp=34
http://www.theregister.co.uk/2007/03/15/google_anonymizes_data/print.html
http://www.washingtonpost.com/wp-dyn/content/article/2007/03/14/AR2007031402398_pf.html
http://googleblog.blogspot.com/2007/03/taking-steps-to-further-improve-our.html
────────────────

◆アンチスパイウェア法案支援者 3度目の正直を願う(2007.3.18)

アンチスパイウェア法案は、米国下院議会で2回可決されていたにもかかわらず、
上院で否決された。しかし、この法案が再び「商業・取引・消費者保護」
に関する下院分科委員会で議論されている。この法案では、コンピュータの制
御を奪ったり、登録キーを改ざんしたり、虚偽表示によってデータを収集したりする
ソフトウェアは禁止されている。また、連邦取引委員会(FTC)に、スパイウェアの責任
を企業や個人に追及する権限を、より多く与えている。
この法案の反対者らは、この法案はあまりにも制限的なため、合法的な広告業者や
マーケティング企業を懲罰することになりかねないことを懸念しているようだ。
http://www.theregister.co.uk/2007/03/18/anti_spyware_bill/print.html
http://www.securityfocus.com/print/news/11450

【編集者メモ1】 (Ullrich)
スパイウェアには2つの形がある。ユーザーに同意するように求めるエンドユーザー
用使用許諾契約書(EULA)の収縮版か、もしくはもともと法など気にしていないところ
から来るもののどちらかだ。どちらにしろ、この法案によって何かが変わるとは思えない。
【編集者メモ2】(Schultz)
アンチスパイウェア法を可決するのはそう簡単ではない。なぜなら、インター
ネットベースの企業のほとんどがスパイウェアに依存しており、そういったスパイ
ウェアの中には、議員らが認識しているものもあるからだ。スパイウェア
をシステムにインストールする輩に対する抗議の声は高まっているものの、
米国スパイウェア法の類が可決され法となるのは時間の問題だ。
────────────────

◆がらくたWebページのほとんどが ホスト企業2社にあり(2007.3.19)

Microsoftとカリフォルニア大学、Davisの研究者らは、 ますます増える広告
に人をひっかける目的だけのWebページの背後にある企業を明らかにした。
研究によると、これらのページのほとんどが、Webホスト企業2社から発せられた
ものであり、広告の3分の2が、広告シンジゲート運営企業3社から来ているも
とだという。このスキームの黒幕が、特定ページの検索エンジンのランキング
を不当に上げていることも多々ある。検索項目の中には、検索結果の30%が、
広告が積まれたページにつながったものもあった。検索項目1,000 件のうち11%が、
広告のみのページを示していたという。
(以下のサイトを閲覧するには、無料登録が必要)
http://www.nytimes.com/2007/03/19/technology/19spam.html?_r=1&oref=slogin&ref
=technology&pagewanted=print
資料のダウンロード:
www.cs.ucdavis.edu/~hchen/paper/www07.pdf
────────────────

◆McAfee インターネットの安全性をランクで示す(2007.3.13-15)

McAfeeは、安全性をもとにインターネットをランク付けする調査を行った。
この調査で、主要な国のドメインおよび一般的なドメイン265個を対象に、
そのドメイン内で訪問したWebページがランク付け(赤・黄・緑)された。
赤のサイトは、マルウェアやスパムがあるか、他のランクの低いサイトにつながって
いるものであり、黄色はポップアップ広告が過剰に出てくるなど、苛立たしい
サイトを示している。緑は、そのサイトに脅威がないことを示す。ドメインの
中で、最もリスクが高かった国はルーマニア(.ro) とロシア(.ru)で、それぞれの
ドメインの5.6%、4.5%が警告対象だった。一般的なドメインとしては、
.info のドメインに、リスクの高いサイトが最も多く存在し(7.5%)、.comの
それは5.5%だった。これら両方のドメインには、エクスプロイトや自動ダウン
ロードがあるサイトが多かった。しかし、.com は広く使われているドメインで
あるため、そこにあるリスクの影響は大きい。米国政府のドメイン.gov には、
リスクのあるサイトは事実上皆無だった。
http://www.crn.com.au/print.aspx?CIID=75669&SIID=0
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=61995957-39000005c
http://www.siteadvisor.com/studies/map_malweb_mar2007.html
────────────────

◆盗まれた個人情報の値段

Symantecによる最新の「インターネットセキュリティの脅威」報告によると、
オンライン犯罪者らは、盗んだ個人の身元の全情報を$14ドルから$18ドルでお
互いに売買しているという。被害者の身元の全情報としては、社会保険番号、
パスワードなどの銀行口座情報、生年月日、母親の旧姓などがあげられる。オ
ンラインで身元情報を盗まれた犠牲者の多くは米国民であり、ひそかにオンラ
インで情報販売広告が出ているクレジットカードやデビットカードの86%は
米国基盤の銀行によって発行されたものだった。また、Symantecは報告書で、
botネットワークの使用率が11%増加し、全ボットネットワークの26%が中国
にあることを示した。さらに米国のサイトは、DoSアタック被害全ての52%を占めるという。
http://news.bbc.co.uk/2/hi/technology/6465833.stm
http://technology.timesonline.co.uk/tol/news/tech_and_web/the_web/article1536335.ece
http://www.computing.co.uk/computing/news/2185766/threats-begin-blend
http://www.infoworld.com/article/07/03/19/HNhackerssellids_1.html
http://blog.washingtonpost.com/securityfix/2007/03/stolen_identities_two_dollars.html
http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf

■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年3月20日配信 Vol.6 No.12)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されていま
す。組織のシステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー               件数(#は本稿掲載番号)
======================================================================
ほかのWindows製品             1
サードパーティのWindowsアプリ      8(#3)
Mac OS                      1(#1)
Linux                       6
BSD                       1(#4)
Unix                        2
クロスプラットフォーム             29(#2)
Webアプリ…XSS                7
Webアプリ…SQLインジェクション     13
Webアプリケーション             26
======================================================================

■はじめに(Alan Paller: SANS Director of Research)

AppleがMac OS Xに重大かつ大規模な一連の脆弱性があることを認めた。
中には、リモートでroot権限を侵害される脆弱性もある。これらの脆弱性のいくつ
かはすでに公表されているもので、実際に攻撃の対象になっている。
CAのバックアップ製品BrightStorが、重大な欠陥のあるソフトウェアに再び
仲間入りした。McAfeeのバグは前述のものよりは危険度は低いものの、いずれに
しても迅速な対応が求められる。今回のCAとMcAfeeの欠陥は、攻撃者は18か月
以内に、もう一度前のターゲットに戻るということを思い出させてくれている。
彼らは、バックアップやセキュリティ、業務用アプリケーション、更にはメディ
アプレーヤに至るまでの広い範囲のアプリケーションに対して研究を深め、
さまざまな手法で攻撃を仕掛けてくるだろう。
────────────────

1. 危険度【重大】: Apple Mac OS Xに複数の脆弱性(2007-003)

<影響のある製品>
Mac OS X 10.4.9までのバージョン
Apple iPhoto 6.0.5、もしくは、それ以前のバージョン

<詳細>
Mac OS Xには複数の脆弱性があり、それらを悪用されるとシステムが完全に侵害される。

(a)画像についている組み込み式ColorSyncプロファイル(さまざまなディスプレイの間で、
色の一貫性を維持するためのデータ)が細工されると、スタックベースのバッファ
オーバーフローの脆弱性が発生する。このバッファオーバーフローの悪用が実現すれば、
アタッカーは、現在のユーザーの権限で任意のコードを実行できるようになってしまう。
この欠陥によって、Webページに組み込まれた画像は、影響を受ける可能性がある。
(b)Disk Imageファイルが細工されると、integerオーバーフローおよびバッファ
オーバーフローなど、複数の脆弱性が引き起こされる。これらの脆弱性の悪用
が実現した場合、現在のユーザーの権限か、もしくは、kernelレベルの権限で
任意のコードが実行されてしまう。Safariの設定によっては、disk imageはダウンロード後、
自動的に開かれるようになっている。 Disk imageは、ソフトウェアやソフトウェアの
更新の配信に用いられることが多い。
(c)DirectoryServiceサブシステムにあるロジックエラーによって、 権限のないLDAP
ユーザーでも、rootのパスワードを任意に変更できるようになってしまう。
それゆえ、システムが完全に侵害されるおそれがある。この脆弱性を悪用
するには、システムが、LDAPを使用できる設定になっている必要がある。
(d)GNU tar(tape archive)ファイルが細工されると、抽出時に任意のファイル
が上書きされるおそれがある。悪用を実現するには、これらのファイルは、現
在のユーザーが所有している必要がある。設定によっては、tarファイルは、
ダウンロード後、自動的に抽出されるので、注意が必要だ。
(e)GIF、PICTやRAW画像ファイルが細工されると、 ImageIOサブシステムの
integerオーバーフローか、もしくは、QuickDrawマネージャ・サブシステムの
ヒープオーバーフローが悪用されるおそれがある。これらのオーバーフローが
実際に悪用されると、アタッカーは、現在のユーザーの権限で任意のコードを
実行できるようになってしまう。この欠陥によって、Webページに組み込まれ
た画像に影響を受けるので、注意が必要だ。
(f) Mac OS Xサーバに同梱されているデフォルトバージョンのMySQLサーバに
は、複数の脆弱性がある。それらの中には、MySQL プロセスの権限で、任意の
コードを実行に利用されるおそれがあるものもある。
(g)Mac OS Xサーバのサーバマネージャ・サブシステムの認証証明書の処理に
おけるロジックの欠陥を悪用すれば、アタッカーは、正確に認証されなくとも、
サーバマネージャにアクセスできるようになってしまう。
(h)ソフトウェア更新カタログファイル(Software Update Catalog file)が悪用されると、
ソフトウェア更新サブシステムの脆弱性が悪用され、アタッカーは、ソフトウェア
更新プロセスの権限で任意のコードを実行できるようになってしまう。
(i)iPhotoは、細工されたXMLを正確に処理できない。そのため、悪意のある
photocastを購読すると、iPhotoに書式文字列が引き起こされ、現在のユーザー
の権限で、任意のコードが実行されてしまう。この悪用を実現するには、ユーザーが、
悪意のあるpodcastに手動で加入していなくてはならない。
この更新は、Apple Security Update 2007-003とは別の更新としてリリースされた。
これらの脆弱性のいくつかに関する技術的詳細や、有効な攻撃手法が、公表され
た(下の参考URLを参照あれ)。また、これらの問題の中には、@RISKのバック
ナンバーに掲載されたものもある。このソフトウェア更新では、ローカルのみ
の脆弱性、DoSやクロスサイトスクリプティングなど、ほかの危険度の低い脆弱性
についても説明している。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち一社のみが、影響のあるソフトウェアを使用していた。
現在、同社は、影響のあるシステムに更新を適用中である。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=305214
http://docs.info.apple.com/article.html?artnum=305031
http://docs.info.apple.com/article.html?artnum=305215
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=5#widely6
http://www.sans.org/newsletters/risk/display.php?v=6&i=8#widely10
Month of Apple Bugsのリファレンス
http://projects.info-pull.com/mokb/MOKB-30-11-2006.html
http://projects.info-pull.com/moab/MOAB-24-01-2007.html
http://projects.info-pull.com/moab/MOAB-04-01-2007.html
http://projects.info-pull.com/moab/MOAB-14-01-2007.html
http://applefun.blogspot.com/2007/01/moab-10-01-2007-apple-dmg-ufs.html
http://projects.info-pull.com/moab/MOAB-23-01-2007.html
http://projects.info-pull.com/mokb/MOKB-20-11-2006.html
http://projects.info-pull.com/mokb/MOKB-21-11-2006.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/22630
http://www.securityfocus.com/bid/22228
http://www.securityfocus.com/bid/21236
http://www.securityfocus.com/bid/21201
http://www.securityfocus.com/bid/22948
http://www.securityfocus.com/bid/22207
http://www.securityfocus.com/bid/21993
http://www.securityfocus.com/bid/21383
http://www.securityfocus.com/bid/22222
http://www.securityfocus.com/bid/21871
http://www.securityfocus.com/bid/22041
────────────────

2.危険度【重大】: CA BrightStor ARCServeのBackup Tape Engineおよび
Portmapperに脆弱性

<影響のある製品>
BrightStor製品:
BrightStor ARCserve Backup r11.5、r11.1、r11、r10.5, v9.01
CA Protection Suites r2
CA Server and Business Protection Suites r2
Microsoft Small Business Server Standard Edition r2用CA Business
Protection Suite
Microsoft Small Business Server Premium Edition r2用CA Business
Protection Suite

<詳細>
Computer AssociatesのBrightStor ARCserveの Backup製品は、 Windows、
NetWare、LinuxおよびUNIX用にバックアップサービスを提供している。 Tape
Engine機能によって、バックアップ製品は、テープドライブを保存用メディア
として利用できるようになる。Tape Engineプロセスは、TCP6502番ポートの呼
びかけを聞くようになっている。しかし、このプロセスのRPCリクエスト処理
には、複数の脆弱性があり、悪用されると、Tape Engineサービスが停止する
か、"SYSTEM" 権限で任意のコードが実行されてしまう。また、portmapperサー
ビスには、サービスをクラッシュするために悪用されるおそれのある脆弱性も
ある。これに関する技術的詳細は、まだ公表されていない。

<現状>
CAは影響のある製品にパッチをリリースした。tcp6502番ポートとudp111番ポー
トへのアクセスをネットワーク境界でブロックすれば、インターネットからの
アタックを阻止できる。
特記事項: CA BrightStor製品は、昨年、広範囲で悪用された経緯がある。そ
のため、このパッチは優先的に適用すべきだ。

<参考>
Computer Associatesのアドバイザリ
http://www3.ca.com/securityadvisor/newsinfo/collateral.aspx?cid=101317
SecurityFocus BID
http://www.securityfocus.com/bid/22994
────────────────

3.危険度【高】: McAfeeのePolicy Orchestrator およびProtectionPilotに複
数の脆弱性

<影響のある製品>
McAfee ePolicy Orchestratorのバージョン3.5p6 および3.6.1以前のバージョ

McAfee ProtectionPilotのバージョン1.1.1p3および1.5.0以前のバージョン

<詳細>
McAfee ePolicy OrchestratorおよびProtectionPilotの"SiteManager"
ActiveXコンポーネントには、複数の脆弱性がある。このコンポーネントをイ
ンスタンス化する、悪意のあるWebページによって、これらの脆弱性が悪用さ
れると、現在のユーザーの権限で、任意のコードが実行されてしまう。一般的
に、このコンポーネントは、OrchestratorかProtectionPilotサーバ、もしく
は、これらのアプリケーションのどれかのための管理コンソールがあるシステ
ムに、インストールされている。これらの脆弱性の技術的詳細が公表されてお
り、ActiveXコンポーネントに対する再利用可能なエクスプロイトコードは、
このコンポーネントを狙うため簡単に応用できる。

<現状>
McAfeeは問題を認めており、更新をリリースしている。ユーザーは、CLSID
"4124FDF6-B540-44C5-96B4-A380CEE9826A"に、Microsoftの"kill bit"機能を
設定し、脆弱なコントロールを無効にすれば、この脆弱性による影響を軽減で
きる。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。その
うち1社は、次期定例メンテナンススケジュールに合わせてパッチを適用する
見込みである。もう1社は、今後とるべき対策について調査中である。この企
業のシステムは、親会社のシステムへの統合の途上にあるため、この脆弱性に
よるリスクを受容するかもしれない。

<参考>
McAfeeのセキュリティアドバイザリ
https://knowledge.mcafee.com/article/26/612496f.SAL_Public.html
Fortinetセキュリティ研究チームの掲示
http://archives.neohapsis.com/archives/fulldisclosure/2007-03/0162.html
Microsoftナレッジベースの関連記事 ( "kill bit"機能の説明)
http://support.microsoft.com/kb/240797
製品のホームぺージ
http://www.mcafee.com/us/enterprise/products/system_security_management/
epolicy_orchestrator.html
http://www.mcafee.com/us/smb/products/management_solutions/protection_pilot.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/22952
────────────────

4.危険度【中】: OpenBSDのIPv6にKernelメモリ崩壊の脆弱性

<影響のある製品>
OpenBSDのバージョン3.1 - 4.1、また、それ以前

<詳細>
OpenBSDは、高度なセキュリティを目的に設計された、BSD OSの派生型(Unixに
由来するもの)である。しかし、これのIPv6通信処理には、kernelメモリ崩壊
の脆弱性がある。IPv6パケットが細工されると、このメモリ崩壊問題が引き起
こされ、kernelの権限で任意のコードが実行されてしまい、脆弱なシステムは、
制御を完全に、かつ、効率よく奪われてしまう。 この脆弱性の悪用を実現す
るには、アタッカーは、脆弱なシステムのローカルネットワークに、通信を挿
入できなくてはならない。OpenBSDでは、IPv6がデフォルトで有効になってい
る。この脆弱性の技術的詳細や、有効な攻撃手法が、公表されている。

<現状>
OpenBSDは、この問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、この問題に対応している。そのうち1社は、定例
システムメンテナンスのスケジュールに合わせて、すでにシステムにパッチを
適用した。もう1社は、ユーザーに対し、ユーザー自身でシステムを更新する
ようにアドバイスいた。

<参考>
OpenBSDのErrataに関するエントリー(パッチを含む)
http://www.openbsd.org/errata40.html#m_dup1
Core Security Technologiesの掲示(作用するエクスプロイトも含む)
http://archives.neohapsis.com/archives/bugtraq/2007-03/0158.html
SANS Internet Storm CenterのHandler's Diary
http://isc.sans.org/diary.html?storyid=2445
Slashdotのディスカッション
http://it.slashdot.org/article.pl?sid=07/03/15/0045207
BSDに関するWikipediaの記事
http://en.wikipedia.org/wiki/Berkeley_Software_Distribution
"Unix-Like"に関するWikipediaの記事
http://en.wikipedia.org/wiki/Unix-like
OpenBSDのホームページ
http://www.openbsd.org
SecurityFocus BID
http://www.securityfocus.com/bid/22901

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。