NRI Secure SANS NewsBites 日本版

Vol.2 No.15 2007年4月17日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.15 2007年4月17日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.28-29(原版:2007年4月7日、11日)

◆判決:職場のPCにプライバシー尊重の権利は保証されない(2007.4.4-5)

米国連邦控訴裁判所は、職場でPCを使用している者にプライバシー尊重は期待
できないとの判決を下した。Michael Barrowsは、職場で使用していたPCに児
童ポルノを保存していたため6年の懲役刑に処せられた。Barrowsは、オクラホ
マ州グレンコー市出納官だった。市の職員とコンピュータを共有しなくてはな
らないことに不便を感じ、同人は自身のPCをオフィスに持ち込んで使用してい
た。Quickbooksの文書を開く際トラブルがあった市の職員が、過去にコンピュ
ータ関連の問題を解決してくれた警察官に助けを求めた。そのときBarrowsは
職場にいなかったが、同人のコンピュータが問題の発生源であることが判明。
この警察官がBarrowsのコンピュータを令状なしで捜査したところ、ファイル
共有プログラムが運用されていたことに気づいた。そこで複数のファイルをの
ぞいてみたところ、そこに児童ポルノが発見されたのだ。その後令状が発行さ
れ、Barrowsのコンピュータは差し押さえられた。Barrowsは、職場においても
このコンピュータを私有物扱いにしていたつもりだった。しかし、職場のネッ
トワークに接続していたにもかかわらずパスワードを設定していなかったため、
法廷はこの言い分を認めなかった。
http://news.com.com/2102-1028_3-6173540.html?tag=st.util.print
http://www.thedenverchannel.com/technology/11520936/detail.html

【編集者メモ1】(Pescatore)
このニュースをみる限りでは、Barrowsがパスワードを設定して個人的なコン
テンツを保護していたとしたら勝訴していたかもしれないことになる。また一
方で、職場に鍵のついた自分の工具箱を持ち込んだ場合、雇用主がその工具箱
を勝手にこじあけて物色してもよいという判決が出ていた可能性もある。
【編集者メモ2】(Schultz)
コンピュータ犯罪容疑者が言い訳に使う論理にはいつも唖然としてしまう。今
回の裁判でも例外ではない。児童ポルノ満載の個人用コンピュータを職場に持
ち込んだ人間が、「自分には、市のコンピュータを使用する他の職員にさえ与
えられていないプライバシー尊重の権利がある」などと、どうして言えよう。
────────────────

◆監査官の報告:米国国税庁のデータの保護は十分ではない(2007.4.5)

米国財務省税務管理監査官J. Russell George氏からの2007年3月23日付の報告
によると、「IRSは、ノートパソコンやその他の電子メディアデバイスに保存
されている納税者データを十分に保護できていない」という。2003年1月から
2006年6月までの3年半の間に、IRSのノートパソコン500台近くが盗まれるか行
方不明になっている。そして、それらの事件の多くが、IRSのコンピュータセ
キュリティオフィスに報告されていなかった。盗まれるか、もしくは紛失した
コンピュータにあったデータに関する明確な情報は限られていたものの、監査
官オフィスがIRSで現在使用されているノートパソコン100台をテストしたとこ
ろ、そのうち44台に納税者や職員の個人情報などの機密情報が暗号化されてい
ないまま見つかったという。IRSのMark Everson長官によると、当局は現在使
用しているほとんどのコンピュータに自動暗号化ソフトをインストールしたということだ。
(下のサイトを閲覧するには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2007/04/04/AR2007040402603_pf.html
http://www.usatoday.com/money/perfi/credit/2007-04-05-irs-usat_N.htm?csp=34
http://www.treas.gov/tigta/auditreports/2007reports/200720048fr.html
────────────────

◆米国政府説明責任局の指摘:国税局になおセキュリティ脆弱性あり  (2007.4.4)

米国政府説明責任局(GAO)の報告書によると、IRSには前回報告された2つの処
理拠点にあるセキュリティ脆弱性の修正は、限定的な範囲にとどまっていると
いう。前回指摘された脆弱性の3分の2がそのままの状態で残っていた。修正さ
れたのは、サーバのパスワードコントロール、監査の改善、メインフレームの
監視、Windowsユーザーの行動慣例であった。一方、未解決の問題としては、
アクセスコントロール、不明確な責務の分離、不十分な情報セキュリティプロ
グラムの配布状態があげられた。特に最後の問題は、連邦情報セキュリティマ
ネジメント法(FISMA)の必須条件でもある。これを受けてGAOは2つの推奨策を
作成した。1つ目は、国税庁長官に宛で、局全体をカバーする総括的なセキュ
リティプログラムの施行策であった。2つ目は、業務割り当てに関する、特定
の情報セキュリティの脆弱性を修正する為の行動施策であった。
http://www.fcw.com/article98135-04-03-0-Web&printLayout
http://www.gao.gov/new.items/d07364.pdf

【編集者メモ】 (Pescatore)
このニュースで、より重大な問題が指摘されている。それは、政府のセキュリ
ティプログラムは、脆弱性が特定されたにもかかわらず、改善に法外な時間が
かかっているということだ。問題は、推奨策への取り組みを指導しないことで
はなく、その取り組み自体が終わらないことである。原因は、政府の予算割当、
製品・サービスの調達方法にある。わかりやすく言うなら、1万マイルの距離
を車で移動しなくてはならないのに、3,000マイルごとにオイルを変えなくて
はならないような状態ということである。
────────────────

◆英国の詐欺被害者 銀行に被害届提出を義務付け(2007.3.30-4.2)

2007年4月1日から、英国の詐欺防止2006年法によって、「消費者は自身が利用
する金融機関に、小切手や銀行カード、オンライン詐欺の被害を届け出る」よ
う義務付けられる。警察よりも、金融機関への届け出が重要視される。
届け出を受けた機関がその届け出を適切な管理当局に転送する。この法改正は、
役所が詐欺事件記録に関わる割合を減らし、報告業務やその手の犯罪の初動捜
査を簡素化することが目的だ。銀行がその立場を利用して、実際の詐欺事件を
隠ぺいするのではないかという懸念もある。また、銀行にはこれらのケースを
処理するうえでの専門知識や能力が欠けているという指摘もある。当該新法は、
英国やウェールズ、アイルランド北部で施行される。
http://software.silicon.com/security/0,39024655,39166633,00.htm?r=1
http://news.bbc.co.uk/2/hi/programmes/moneybox/6513835.stm
http://www.thisislondon.co.uk/news/article-23390837-details/Fraud%20victims%20told:%20Go%20to%20the%20bank,%20NOT%20the%20police/article.do
────────────────

◆技術輸出法違反で2人逮捕される(2007.4.3-6)

米国連邦検事は、Cirrus Electronicsの創立者Parthasarathy Sudarshanを輸
出法違反、武器の国際的闇取引、外国政府のための諜報活動、陰謀の罪状で起
訴した。Sudarshanは米国のコンピュータ技術を兵器システムに利用するため、
インド政府局に輸出していたという。輸出された機材は、耐熱メモリチップや
マイクロプロセッサ、ミサイル誘導発射システムに使われる半導体などであっ
た。米国法廷はSudarshanの保釈申請を却下、国際貿易担当マネージャも逮捕
された。この他2名がこの件で起訴されている。
http://economictimes.indiatimes.com/News/PoliticsNation/US_firm_accused_of_aiding
_India_weapons_programmes/articleshow/1852565.cms
http://timesofindia.indiatimes.com/NEWS/India/US_court_rejects_Sudarshans_bail_plea
/articleshow/1868015.cms

http://www.federalnewsradio.com/index.php?nid=78&sid=1104771
http://www.usdoj.gov/opa/pr/2007/April/07_nsd_217.html
────────────────

◆ニューハンプシャー議会 Real ID法案否決(2007.4.6)

ニューハンプシャー議会は、268票対8票で連邦Real ID法案を否決した。ニュ
ーハンプシャー知事は、上院で可決されれば、同法を成立させると述べていた。
同法が成立していたら、関連各州は2009年12月31日までに遵守を迫られること
になっていた。法案では、国家免許基準の統一、データベース化が義務付けら
れていた。免許が基準に満たない人物は、連邦政府ビルへの出入りや、航空機
への搭乗を禁じられることになっていた。しかし、この法案は侵略的で導入費
用も高いとの非難を浴びていた。また、運転免許証データベースとのリンクは、
身元情報窃盗犯らにとって宝の山となってしまうことが懸念されていた。現在
26の州が、Real ID法案に対抗する同様の措置の施行を進めているようである。
http://www.concordmonitor.com/apps/pbcs.dll/article?AID=/20070406/REPOSITORY/
704060362/1037/NEWS04
────────────────

◆米国連邦通信委員会命令 顧客データ保護の第一歩となる(2007.4.3)

米国連邦通信委員会(FCC)は通信各社に対し、顧客記録の開示について、より
厳しい制限を命じた。この命令では、通信事業者は顧客がパスワードを渡さな
い限り、顧客記録を公表できない。そうでない場合は、通信会社が顧客記録に
ある電話番号に一報すれば、その住所に送付してよい。また、口座に変更が生
じた場合、企業は顧客にその旨知らせる義務があるほか、第三者とデータを共
有する場合は、顧客本人の同意を得なくてはならない。この命令は、ヒューレ
ット・パッカードの詐欺事件を受けて出された。当該事件は、私立探偵が会社
役員や社員、記者の電話番号を入手し、会社情報の漏えい源を特定しようとし
ていたというものであったため、米国通信事業者協会(Telcom Association)は、
「消費者に対して極端に厳しすぎる結果になってしまった」と不服を表明している。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=198702073
http://hraunfoss.fcc.gov/edocs_public/attachmatch/FCC-07-22A1.pdf
http://hraunfoss.fcc.gov/edocs_public/attachmatch/DOC-272008A1.pdf

【編集者メモ1】(Schultz)
Telcom Associationがこの動きを消費者に不利であると捕らえているのは、こ
の組織が実際には消費者のことを考えていないということにほかならない。
【編集者メモ2】(Grefer)
Telcom Associationの意見は、ドイツやヨーロッパ諸国の消費者になら受け入
れられるかもしれない。着信が無料で、料金は全て電話をかける側にかかる地
域からだ。しかし米国においては、かかってきた側にも電話料金がかかる。
────────────────

◆控訴裁判所:令状なしのサイバー捜査を正当化(2007.4.6)

米国第9巡回控訴裁判所は、Jerome Heckencamp自らのコンピュータ犯罪容疑を
覆そうとする試みを却下した。2004年、HeckencampはQualcommコンピュータシ
ステムに侵入するなど、さまざまなコンピュータ犯罪で8か月の懲役に処せら
れた。当時Heckencampは、マディソンのウィスコンシン大学の学生だった。同
校が、1999年12月のQualcommへの侵入は学内のネットワーク経由であるとの通
告を受けてその侵入源を追跡したところ、寮の彼の部屋に行き当たった。そこ
にあるコンピュータが、学内メールサーバへの侵入に使われていたことも突き
止めた。システム管理者は、HeckencampのIPアドレスをブロックしたが、彼が
IPアドレスを変更したため、問題のコンピュータが異なるIPアドレスを持った
同一のマシンであるかどうかを確認するため、そのコンピュータに侵入した。
この侵入の目的はウィスコンシン大学のコンピュータシステムを侵入から守る
ためであり、実際、そのコンピュータが同一のものである証拠を見つけた。そ
の後FBIが令状を入手して問題のコンピュータを差し押さえ、そのマシンが数
々の侵入や改変に使われていた証拠を突き止めた。Heckencampは、自分のコン
ピュータが最初に令状なしで捜査されたことを、合衆国憲法修正第4条(不法
な捜索や押収の禁止)に反していると主張し、自身の容疑を覆そうとした。し
かし法廷は、この場合、捜査の「特別な必要性」があったため同条は適用され
ないとし、令状なしのコンピュータ捜査を適法とみなした。
http://blog.wired.com/27bstroke6/2007/04/court_okays_cou.html

【編集者メモ】(Schultz)
システム管理者が他人のシステムに侵入するという違法な手段で入手した証拠
が法廷で認められるとは厄介なことだ。結果は手段を正当化する(諺)。
Heckenkampの抗弁は、コンピュータ犯罪者がよく使う言い訳の中で、まかり通
る数少ない抗弁なのだが…。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年4月10日配信 Vol.6 No.15)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                      16 (#1)
サードパーティのWindowsアプリ      8 (#2,#3,#4,#7,#8)
Linux                       6
Solaris                      1
Unix                        1
クロスプラットフォーム            28 (#5,#6,#9)
Webアプリ…XSS                5
Webアプリ…SQLインジェクション      21
Webアプリケーション              20
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Microsoft、AOL、Yahoo、さらにセキュリティベンダーのKasperskyラボからシ
マンテック、ヒューレット・パッカードにひどいリスクが確認された。また、
MIT Kerberosにも問題があることが判明した。
────────────────

1.危険度【重大】:Microsoft Windowsに複数のGDI脆弱性(MS07-017)

<影響のある製品>
Microsoft Windows 2000/XP/Vista
Microsoft Windows Server 2003

<詳細>
Microsoftは、Windowsのアニメーションカーソル(ANI)ファイル処理に確認さ
れたzero-day欠陥のために、通常の月次パッチ日程より早めにセキュリティ更
新(MS07-017)を発行した。この欠陥はちまたで悪用されていた。このzero-day
に関する詳細は、@RISKのバックナンバーを参照していただきたい。MS07-017
パッチはANI問題に加えて、ローカルで悪用可能な複数の脆弱性やWindows GDI
画像サブシステムにあるリモートのDoS脆弱性を修正する。リモートのDoS脆弱
性は、細工されたWindows Metafile(WMF)によって発生し、悪用されるとシス
テム停止や再起動を引き起こす。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。影響のあるシ
ステム全てに必ずパッチが適用されている状態にすること。
MS07-017パッチインストール後に起こる問題:
Windows XP SP2や他のサードパーティのアプリケーションのいくつかが起動し
ない可能性がある。Microsoftはこのような影響を軽減する措置を以下に掲載している:
http://support.microsoft.com/kb/925902
http://support.microsoft.com/kb/935448/

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業が何らかの対策を講じている。ある1社はすでに更新を
実行、他の1社は優先的にパッチを適用した。脅威の説明・パッチのインスト
ール検証をするようユーザーに要請する通知を送信した企業もある。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=14#widely1
SecurityFocus BID
http://www.securityfocus.com/bid/23194
────────────────

2.危険度【重大】:Yahoo!メッセンジャーのAudio Conferencing ActiveXコントロールにバッファオーバーフローの脆弱性

<影響のある製品>
Yahooメッセンジャー2007-03-13以前にリリースされたバージョン

<詳細>
Yahoo!メッセンジャーにデフォルトで同梱されているAudio Conferencing
ActiveXコントロールには、バッファオーバーフローの脆弱性がある。このコ
ントロールをインスタンス化し、"socksHostname"と"hostname"のプロパティ
に大きな値を指定する悪意あるwebページによってこのバッファオーバーフロ
ーが悪用されると、現在のユーザー権限で任意のコードが実行されてしまう。
この脆弱性の技術的詳細が部分的に公表されている。

<現状>
Yahoo!はこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートしておらず、
対策を講じる必要はないと報告している。ある1社は、Yahoo!メッセンジャー
をブロックしたと述べている。

<参考>
Yahoo!のセキュリティ更新
http://messenger.yahoo.com/security_update.php?id=031207
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-012.html
SecurityFocus BID
http://www.securityfocus.com/bid/23291
────────────────

3.危険度【重大】:Kasperskyの複数の製品に複数の脆弱性

<影響のある製品>
Kaspersky Internet Security、Anti-Virus、File Serverのバージョン6.0

<詳細>
Kasperskyのセキュリティ製品に複数の脆弱性:

(1)細工されたARJアーカイブを正確に処理できないため、Kasperskyアンチウ
ィルスエンジンにヒープオーバーフローが起こる。email、webページ、もしく
は共有ディレクトリなど、悪意あるARJアーカイブはさまざまな方法で送られ
てくる。このバッファオーバーフローの脆弱性が悪用されると、アタッカーが
アンチウィルスエンジンの権限で任意のコードを実行できるようになってしまう。

(2)"AxKlProd60.dll"および"AxKLSysInfo"のActiveXコントロールは、ファイ
ル操作のためのさまざまなメソッドをエクスポートする。これらの機能は、呼
び出しプロセスに機能実行の許可があるかどうかを検証しない。これらのコン
トロールをインスタンス化する悪意あるWebページは、"DeleteFile"メソッド
を呼び出して、現在のユーザーの権限でそのメソッドを削除してしまうか、も
しくは"StartBatchUploading"、"StartStrBatchUploading"、"StartUploading"
を呼び出して、任意のファイルをリモートサーバにアップロードしてしまう。

<現状>
Kasperskyはこの問題を認めており、可能な更新を、リリースしている。
ユーザーは、Microsoftの"kill bit"機能を介して影響のあるコントロールを
無効にすれば2番目の問題を軽減できる。
影響のあるCLSIDは:
"D9EC22E7-1A86-4F7C-8940-0303AE5D6756"
"BA61606B-258C-4021-AD27-E07A3F3B91DB"
である。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートしておらず、
対策を講じる必要はないと報告している。

<参考>
Kasperskyのセキュリティアドバイザリ
http://www.kaspersky.com/technews?id=203038693
http://www.kaspersky.com/technews?id=203038694
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-014.html
http://www.zerodayinitiative.com/advisories/ZDI-07-013.html
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=504
Microsoftナレッジベースの記事("kill bit"機能の説明)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/23325
────────────────

4.危険度【高】:AOL Nullsoft Winampに複数の脆弱性

<影響のある製品>
AOL Nullsoft Winampのバージョン5.33までのバージョン

<詳細>
Microsoft Windowsのメディアプレーヤとして広範囲で使用されているAOL
Nullsoft Winampには、複数の脆弱性がある:

(1)不正形式のMatlabサウンドファイを正しく処理できないため、メモリ崩壊
脆弱性がある。この欠陥は"libsndfile.dll"のコードが原因だ。このライブラ
リを使用しているアプリケーションにはいずれも脆弱性がある。

(2)"in_mod.dll"のWinampプラグインの"S3M"と"IT"ファイル処理には、メモリ
崩壊脆弱性がある。細工されたS3Mファイル、もしくはITファイルによって引
き起こされる可能性がある。

これらの脆弱性が悪用されれば、アタッカーは現在のユーザー権限で任意のコ
ードを実行することができる。設定によっては、脆弱なファイルはWinampのプ
ロンプトなしに開かれてしまう。これらの脆弱性に関する技術的詳細や概念実
証コードが公表されている。

<現状>
AOLはこの問題を認めていないため、更新をリリースしていない。

<参考>
Piotr Baniaによるアドバイザリ
http://www.piotrbania.com/all/adv/nullsoft-winamp-libsndfile-adv.txt
http://www.piotrbania.com/all/adv/nullsoft-winamp-it_module-in_mod-adv.txt
http://www.piotrbania.com/all/adv/nullsoft-winamp-s3m_module-in_mod-adv.txt
製品ホームページ
http://www.winamp.com
SecurityFocus BIDs
http://www.securityfocus.com/bid/23351
http://www.securityfocus.com/bid/23350
────────────────

5.危険度【高】:Symantec Enterprise Security Managerに認証回避の脆弱性

<詳細>
Enterprise Security Managerエージェントのバージョン6.5.3までの全てのバージョン

<詳細>
Symantec Enterprise Security Managerは、e-ビジネスアプリケーションおよ
びサーバのセキュリティポリシーにある脆弱性を自動検知する。この製品は、
監視対象サーバにエージェントをインストールして使用する。このエージェン
トの"upgrade"リクエスト処理には脆弱性がある。このエージェントは、信頼
できるソースから更新リクエストが発行されているかどうか検証する。その結
果、アタッカーはエージェントに対して直接更新リクエストを発行することは
できないが、バックドアなど悪意あるプログラムをエージェントのシステムに
インストールできるようにはなってしまう。エージェントはSYSTEM/root権限
で動作するので注意を要する。この脆弱性が悪用されると、企業の重要なサー
バが侵害されるおそれがある。エージェントとESMマネージャ間のプロトコル
に関する知識があれば、この欠陥を悪用できる。

<現状>
シマンテックはバージョン6.5.3をリリースして問題を修正した。ESMマネージ
ャも6.5.3に更新しなければならない。回避策としては、ネットワーク境界で
udp5601番ポートとtcp5601番ポートをブロックするとよい。

<参考>
シマンテックのアドバイザリ
http://www.symantec.com/avcenter/security/Content/2007.04.05d.html
製品のホームページ
http://www.symantec.com/enterprise/products/overview.jsp?pcid=1004&pvid=855_1
SecurityFocus BID
http://www.securityfocus.com/bid/23287
────────────────

6.危険度【高】:MIT Kerberosに複数の脆弱性

<影響のある製品>
MIT Kerberos 5のバージョン1.6までのバージョン
KerberosのMITを実装しているシステムは全て脆弱な可能性

<詳細>
Kerberos認証プロトコルの実装例であるMIT Kerberosには、複数の脆弱性がある。

(1)認証にKerberosを使用するTelnetサーバには、認証回避脆弱性がある。
"-e"で始まるユーザー名を引き渡すと、アタッカーはすべての認証やログイン
を回避し、ユーザーの誰かとしてログインできるようになってしまう。

(2)Kerberosマスター・サーバ上で動作するKerberos管理デーモンには、バッ
ファオーバーフローの脆弱性がある。Kerberosリクエストが細工されると、そ
のリクエストがバッファオーバーフローを引き起こし、Kerberos管理デーモン
プロセス権限(多くの場合SYSTEM/root権限)で任意のコードが実行されてしまう。

(3)Kerberos管理デーモンには脆弱性がある。認証アタッカーがこの脆弱性を
利用すると、管理プロセス(多くの場合SYSTEM/root権限)で任意のコードを
実行できるようになってしまう。

マスター・サーバは、全てのKerberosドメインのための認証情報を保持してい
るため、このサーバが侵害されると、同じ認証ドメインの他のシステムが侵害
される可能性が生じる。これら脆弱性の技術的詳細が公表されている。MIT
Kerberosは、UNIXやUNIXに類似したシステムなどあらゆるOSで使用されている。
ただ、Kerberos認証はデフォルト有効になっていない可能性もあるので、アタ
ックの影響範囲は思ったよりも狭い範囲にとどまるかもしれない。

<現状>
MITはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされておらず、
対策を講じる必要はないと報告されている。

<参考>
MITのセキュリティアドバイザリ
http://web.mit.edu/Kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-003.txt
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=500
Kerberosに関するWikipediaの説明
http://en.wikipedia.org/wiki/Kerberos_%28protocol%29
MIT Kerberosのホームページ
http://web.mit.edu/Kerberos/
SecurityFocus BIDs
http://www.securityfocus.com/bid/23285
http://www.securityfocus.com/bid/23281
http://www.securityfocus.com/bid/23282
────────────────

7.危険度【高】:HP Mercury Quality Centerの"SPIDERLib" ActiveXコントロールに
バッファオーバーフローの脆弱性

<影響のある製品>
HP 9.1.0.4353、また、それ以前のバージョンも脆弱な可能性

<詳細>
HP Mercury Quality Centerは、ソフトウェアの質のテストを促進するwebベー
スのアプリケーションである。このアプリケーションのユーザーは、
"SPIDERLib"ActiveXコントロールをインストールしなければならない。しかし、
このコントロールの"ProgColor"プロパティ処理には、バッファオーバーフロ
ーの脆弱性がある。悪意あるwebページによって、このコントロールがインス
タンス化されるとバッファオーバーフローが悪用され、現在のユーザー権限で
任意のコードが実行されてしまう。この脆弱性の具術的詳細が公表されている。

<現状>
HPは問題を認めており、更新をリリースしている。ユーザーは、Microsoftの
"kill bit"機能をCLSID"98C53984-8BF8-4D11-9B1C-C324FCA9CADE"に設定して
影響のあるコントロールを無効にすれば、この脆弱性の影響を軽減できる。し
かし、そうすることによって影響のあるアプリケーションの合法的な使用も阻
止されてしまう可能性がある。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされておらず、
対策を講じる必要はないと報告されている。

<参考>
HPのセキュリティアドバイザリ
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00901872
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=497
Microsoftナレッジベースの記事 ("kill bit"機能の説明)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.mercury.com/us/products/quality-center/
SecurityFocus BID
http://www.securityfocus.com/bid/23239
────────────────

8.危険度【重大】:SolidWorks"sldimdownload"のActiveXコントロールにリモートのコード実行

<影響のある製品>
SoldWorks"sldimdownload"ActiveXコントロール16.0.0.6までのバージョン

<詳細>
SolidWorksは、Microsoft Windows用のComputer Aided Design(CAD)パックで
ある。しかし、この"sldmidownload"ActiveXコントロールには、リモートでコ
ードを実行される脆弱性がある。悪意あるwebページによってこのコントロー
ルがインスタンス化されると、同コントロールの"Run"メソッドを呼び出し、
そのメソッドが現在のユーザー権限で任意のコードを実行してしまう。この脆
弱性の技術的詳細が部分的に公表されている。

<現状>
SolidWorksはこの問題を認めており、更新もリリースしている。ユーザーは、
MicrosoftのMicrosoft機能をCLSID"AB6633A8-60A9-4F5D-B66C-ABE268CC3227"
に設定して、影響のあるコントロールを無効にすれば、この脆弱性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされておらず、
対策を講じる必要はないと報告されている。

<参考>
Microsoftのナレッジベースの記事("kill bit"機能の説明)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.solidworks.com
SecurityFocus BID
http://www.securityfocus.com/bid/23290
────────────────

9.危険度【高】:Firebug(Mozilla Firefoxのエクステンション)にリモートコード実行の脆弱性

<影響のある製品>
FireBug versions 1.03までのバージョン

<詳細>
FireBugは、詳細なJavaScriptデバッグレポートを提供するMozilla Firefoxの
エクステンションとして広範囲で使用されている。しかし、特定のJavaScript
構成を正しく処理できないため、任意のJavaScriptが制限なく実行されてしま
う。このため、悪意あるスクリプトが現在のユーザー権限で任意のコードを実
行してしまう。FireBugは、デフォルトでインストールされていないので注意
が必要だ。この脆弱性に作用するエクスプロイトコードや技術的詳細が公表されている。

<現状>
Vendorはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、正式にはサポートされていないものの、影
響のあるソフトウェアを使用していた。このソフトウェアを運用しているユー
ザーは、エクステンションも含め、自動更新機能をオンにすること。

<参考>
GNUCITIZENのブログ記事 (includes概念実証コードも含む)
http://www.gnucitizen.org/blog/firebug-goes-evil
FireBugのホームページ
https://addons.mozilla.org/en-US/firefox/addon/1843
SecurityFocus BID
http://www.securityfocus.com/bid/23315
────────────────

10.エクスプロイト:AOL SuperBuddyにエクスプロイト

<詳細>
先週の@RISKには、AOL SuperBuddy ActiveXコントロールには脆弱性があると
報じられている。この脆弱性に対して作用するエクスプロイトがリリースされた。

<参考>
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=14#widely4
kradchadとleetpeteによるエクスプロイトコード
http://www.milw0rm.com/exploits/3662

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。