NRI Secure SANS NewsBites 日本版

Vol.2 No.16 2007年4月23日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.16 2007年4月23日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

■■SANS NewsBites Vol.9 No.30-31(原版:2007年4月14日、18日)

■はじめに(Alan Paller:SANS Director of Research)

<NEWSBITESの更新>
朗報!米国行政予算管理局(OMB)が、Windows XPやWindows Vistaを政府機関
がインストールして使用する際、政府全体に必ず安全な設定を適用するよう要
請している。ソフトウェアやコンピュータ関連サービスを連邦政府に販売する
企業全てが影響を受ける一方で、ソフトウェアを購入して安全な設定を適用す
る教育機関や地方自治体は恩恵を受けることになる。
今年6月までには、連邦政府の発注契約全てに、サービスの供給側に「購入し
たソフトウェアが、OMBの示す政府標準の安全な設定で効果的に動作すること」
を確約させる要項が設けられる。詳細は、本号最初のニュース参照。
2月12日、米国下院政府監視改革委員会(US House Government Oversight and
Reform Committee)の有力メンバーであるTom Davis議員は、連邦セキュリティ
評価格付けに関して衝撃的かつ見通しの明るい声明を発表し、政府機関が迅速
かつ広範に安全な設定にシフトできるようインセンティブを設けることを検討
中であると述べた。州政府やその他政府機関は、OMBがこの設定移行を率先し
て決定するかどうか見守っている。安全な設定への移行がいかに重要か、また、
これによってセキュリティにどのような影響が生じるか理解したい場合は、
Government Executive Magazine誌の編集者であるTimothy B. Clark氏のブログ
を読むとよい。
http://blogs.govexec.com/techinsider/archives/2007/04/post_6.html

数週間後に、安全な設定のパイロットテストで得た教訓を共有するワークショ
ップが開催される。このワークショップでは、設定のテストや検査・監査ツー
ル、ソフトウェアを安全な設定で動作させるためのコンバート、安全な設定の
システムのみネットワーク接続可能なネットワーク・アクセスコントロールに
ついても、テストで得た教訓を共有する。
────────────────

◆米国政府も安全設定要請 万人のために役立つ(2007.4.12)

最近の米国行政予算管理局(OMB)は、政府コンピュータのWindows OSの安全な
設定に関して要請を出している。この要請の作成における討論会でエキスパー
トらは、政府システムだけでなく、民間部門のシステムにも利益のあることを
説明した。国家安全保障局(NSA)の分析によると、要請されている安全な設定
を使えば、ありがちな手法によるアタックの85%をブロックできるという。さ
らに政府機関には、安全なシステム設定の導入が義務付けられているため、ベ
ンダーは当該設定上でアプリケーションが適切に動作するように確認しなくて
はならなくなるが、「ある政府機関のためにそれぞれベンダーが問題を解決し
ていけば、全ての政府機関のためになる。ひいては、購入したアプリケーショ
ンを安全な設定で使用する組織全てのためにもなるのだ」
各局長官に宛てたOMBのメモ:
http://cio.gov/documents/Commonly_Accepted_Security_Configurations.pdf
CIOに宛てたOMBのメモ:
http://cio.gov/documents/Windows_Common_Security_Configurations.doc
Microsoft Windows XPのセキュリティ設定はこちら:
http://csrc.nist.gov/itsec/download_WinXP.html
そしてMicrosoft Vistaのセキュリティ設定はこちら:
http://csrc.nist.gov/itsec/guidance_vista.html.
http://www.gcn.com/online/vol1_no1/43457-1.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId
=288543&intsrc=news_ts_head
http://federaltimes.com/index.php?S=2677936

【編集者メモ】(Grefer)
インストールを待っているアプリケーションがまだたくさんあるというのに、
アプリケーションが管理者権限で運用されたがために大きな障害が出たり、一
般のユーザーではインストールしても全く動かないなど、まったくあきれてし
まう事態である。今回の要請によって、このような状況が回復されるよう願い
たい。
────────────────

◆ワシントン州法 全住民のクレジットレポートの凍結を許可
(2007.4.9-10)

ワシントン州議会は、SSB5826法案(全住民に対するクレジットレポート(個
人の信用調査報告書)への未承認アクセス凍結権利付与法案)を可決した。凍
結する権利だけでなく、住宅ローンの申込み時や、クレジットカード作成時、
車両購入時などに、迅速にクレジットレポートの凍結を解除する手段も設ける
という。現行法では、セキュリティ侵害事件で個人情報が侵害された人や身元
査証詐欺に遭った人のみが自身のクレジットレポートを凍結することができる
にすぎない。あとはワシントン州のChris Gregoire知事がこの法案に調印して
法が成立するのを待つのみである。アリゾナ州議会では、似たような法案の議
論が最終段階を迎えている。
http://www.azstarnet.com/allheadlines/177621

【編集者メモ】(Schultz)
すばらしい法案だ。消費者は、自身のクレジットレポートに対する措置を決め
る権限を与えられるべきである。実際に成立したら、これは他州のモデル法と
なるだろう。そしていつの日か、米国政府もこれならうことを願う。
────────────────

◆米国政府 セキュリティの成績はCマイナス(2007.4.12)

連邦政府のコンピュータセキュリティ年間通知票が、4月12日にリリースされ
た。この成績は、各機関が連邦情報セキュリティマネジメント法(FISMA)の必
須条件にどれだけ準拠できたかを表している。政府は全体でCマイナスの成績
であった。昨年のDプラスよりは一歩前進している。しかし、9つの政府機関は
昨年より成績が下がった。NASAは2005年のBマイナスから、2006年のDマイナス
へ下がり、他8つの政府機関も落第だった。復員軍人援護局は成績を付けるの
に十分な情報を提出しなかったので、成績自体付けられていない。FISMA法の
作成者であるTom Davis下院議員(バージニア州共和党)は、同法に対する批
判に対処するつもりだ。同法は、実際のコンピュータセキュリティ対策よりも
書類業務に重きが置かれていたため、批判の的になっていた。来年のセキュリ
ティ成績査定においては、各政府機関は「ホワイトハウスが設けた期日までに、
連邦コンピュータセキュリティ基準を満たす」ことができれば、何ポイントか
余分に上乗せできるようになる。このセキュリティ基準下では、Microsoft
Windows XPやVista搭載の既存または新しいPCには、特定のデフォルト設定が
施行されなければならない。
http://www.washingtonpost.com/wp-dyn/content/article/2007/04/12/AR2007041201010_pf.html
http://www.govexec.com/story_page.cfm?articleid=36603&dcn=todaysnews
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9016363&
source=rss_topic17
http://www.infoworld.com/article/07/04/12/HNusagencieslowsecuritygrades_1.html


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年4月17日配信 Vol.6 No.16)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                  8(#1,#4)
Microsoft Office             1
他のMicrosoft製品             2(#3,#5)
サードパーティのWindowsアプリ      12
Mac OS                  2
Linux                  12
HP-UX                   2
Solaris                  1
Unix                    2
クロスプラットフォーム          13
Webアプリ…XSS              7
Webアプリ…SQLインジェクション      6
Webアプリケーション           45
ネットワークデバイス           2(#2)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、MicrosoftのZero-Day欠陥によってたくさんの狂乱的活動が確認され
た。しかし今週の大きな"oh darn"の動きにより、多くの大企業にでワイヤレ
ス・インフラ担当者が、ユーザー名やパスワード、デフォルトのコミュニティ
文字列をハードコードしていたことがわかった。このようなネットワークはリ
モートで悪用可能になる。

また、別件だが、Rohit Dhamankarの協力により、新しい"Software Security
@RISK"ニュースレターが始動した。このニュースレターでは、@RISKに掲載さ
れている最新の主な脆弱性を分析し、それを引き起こしたプログラミングエラ
ーの詳細を説明する。安全なプログラミング試験(www.sans-ssi.org)に登録し
た受験者に対し、継続的にエラーについて学べるよう配信される。
────────────────

1.危険度【重大】:Microsoft DNSサーバのRPCインタフェースにバッファオー
バーフローの脆弱性(0-day)

<影響のある製品>
以下で動作するDNSサーバ:
Windows 2000サーバSP4
Windows 2003サーバSP1/SP2

<詳細>
Microsoft DNSサーバは、番号の大きなTCPポート(1023番以上)でアクセスさ
れるRPCインタフェースをサポートしている。このインタフェースは、tcp139
番および445番ポートの"\\dnsserver"という名のパイプからもアクセスできる。
しかし、このインタフェースでは、ファンクションコールに細工されたゾーン
名があるとバッファオーバーフローが引き起こされる。このオーバーフローが
悪用されると、DNSサーバにSYSTEM権限で任意のコードが実行されてしまう。
DNSサーバを侵害されると悪意あるドメインにリダイレクトされてしまうので、
企業内に侵入される可能性がある。この脆弱性のエクスプロイトコードが、公
表されており、欠陥もちまたで悪用されているようだ。ただし、53番ポートで
DNSサービスを運用している場合は、このバッファオーバーフローの影響を受
けない。

<現状>
Microsoftは、パッチリリースまでの間可能な回避策を公表している。その回
避策とは:
(a)TCP1023番より大きい番号、及び139、445番ポート経由でインターネットか
らDNSサーバにやってくるリクエストをブロックする。
(b)影響のあるDNSサーバのRPC機能のリモートマネジメントを無効にする。
これらの回避策を実行手順は、Microsoftアドバイザリに掲載されている。

<参考>
Microsoftのアドバイザリ
http://www.microsoft.com/technet/security/advisory/935964.mspx
SANS Handler's Diaryのディスカッション
http://isc.sans.org/diary.html?storyid=2637
http://isc.sans.org/diary.html?storyid=2627
エクスプロイトコード
http://archives.neohapsis.com/archives/bugtraq/2007-04/0245.html
http://metasploit.com/svn/framework3/trunk/modules/exploits/windows/dcerpc/msdns
_zonename.rb SecurityFocus BID
http://www.securityfocus.com/bid/23470
────────────────

2.危険度【重大】:CiscoワイヤレスLANコントローラとワイヤレス・コントロ
ールシステムに脆弱性

<影響のある製品>
ワイヤレスLANコントローラ
・Cisco4400/2100シリーズ・ワイヤレス LAN コントローラ
・CiscoワイヤレスLANコントローラモジュール
ワイヤレスIntegratedスイッチおよびルータ
・Cisco Catalyst 6500シリーズ・ワイヤレスサービスモジュール(WiSM)
・Cisco Catalyst 3750シリーズ・IntegratedワイヤレスLANコントローラ
・Ciscoワイヤレス・コントロールシステム4.0.96.0までのバージョン

<詳細>
CiscoワイヤレスLANコントローラおよびワイヤレス・コントロールシステムは、
重要なビジネス用アプリケーションをサポートする、企業規模のワイヤレスネ
ットワークの構築ブロックである。ワイヤレスLANコントローラは、SNMP
read-write操作のための「個人用」コミュニティ文字列である。アタッカーに
よって、デフォルトのSNMP read-write用コミュニティ文字列が悪用されると、
デバイスのコントロールを奪われてしまう。また同様に、Ciscoワイヤレス・
コントロールシステム(WCS)には、FTPサーバ用(バックアップ用に使用)にハ
ードコードされたユーザー名とパスワードがある。しかしアタッカーが、これ
らデフォルトのクレデンシャルを使用すれば、Cisco WCSアプリケーションを
運用しているサーバが侵害されてしまうおそれがある。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070412-wlc.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20070412-wcs.shtml
製品ホームページ
http://www.cisco.com/en/US/products/ps6302/Products_Sub_Category_Home.html
http://www.cisco.com/en/US/products/ps6305/index.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/23460
http://www.securityfocus.com/bid/23461
────────────────

3.危険度【高】:Microsoft Content Management Serverに複数の脆弱性
(MS07-018)

<影響のある製品>
Microsoft Content Management Server 2001/2002

<詳細>
Webサイトの作成・運用に使用されるMicrosoft Content Management Server
(MSCMS)には、複数の脆弱性がある:

(a)HTTP GETリクエストが細工されると、MSCMSにメモリ崩壊が引き起こされる。
この脆弱性の悪用されると、MSCMSサーバのプロセス権限で任意のコードを実
行されてしまう。

(b)MSCMSがHTMLリダイレクト・リクエストを処理する方法に、クロスサイトス
クリプティングの脆弱性がある。この脆弱性が悪用されると、他のユーザーの
システムに、インターネットからダウンロードされた他のスクリプトと同じ権
限で任意のスクリプトが実行されてしまう。この脆弱性の詳細情報が公開され
ている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、対策を講じる必要はないと報告されている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-018.mspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/22860
http://www.securityfocus.com/bid/22861
────────────────

4.危険度【高】:Microsoft Agentにメモリ崩壊の脆弱性(MS07-020)

<影響のある製品>
Microsoft Windows 2000/XP
Microsoft Windows Server 2003
注: Internet Explorer 7のユーザーは脆弱でないようだ。

<詳細>
Microsoft Agentとは、ユーザーとのコミュニケーションを図るためにアニメ
ーション化されたキャラクターを提供するMicrosoftの技術を指す。しかし、
このMicrosoft Agentには、メモリ崩壊の脆弱性がある。この脆弱性が悪用さ
れると、現在のユーザー権限で任意のコードが実行されてしまう。悪意ある
Webページに悪用目的のURLが組み込まれ、それをユーザーが閲覧するとこの脆
弱性が発現するようになっている。ユーザーがリンク自体をクリックしなくて
も悪用は可能だ。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、この問題に対策を講じており、次期定例メンテナン
ススケジュールに合わせてパッチを適用する見込みだ。

Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-020.mspx
Secuniaのセキュリティアドバイザリ
http://archives.neohapsis.com/archives/bugtraq/2007-04/0157.html
Microsoft Agentのホームページ
http://www.microsoft.com/msagent/
SecurityFocus BID
http://www.securityfocus.com/bid/23337
────────────────

5.危険度【高】:Kaspersky AntiVirusアンチウィルスに複数の脆弱性

Kaspersky AntiVirus のバージョン6.0
Kaspersky Internet Security 6.0
Kaspersky File Serverのバージョン6.0

<詳細>
Kaspersky AntiVirus製品には、以下の脆弱性がある:

(a)問題のアンチウィルス製品によってインストールされるActiveXコントロー
ルのAXKLPROD60Lib.KAV60InfoとAXKLSYSINFOLib.SysInfoは、ユーザーが悪意
のあるWebページを閲覧すると、ユーザーのシステムから、またはシステムへ、
任意のファイルをダウンロードまたは削除してしまう。

(b)問題のアンチウィルスエンジンには、ヒープベースのバッファオーバーフ
ローの脆弱性がある。これは、細工されたARJアーカイブによって引き起こさ
れる。この欠陥を悪用されると、問題のアンチウィルスエンジンの脆弱なバー
ジョンが運用されているシステムで任意のコードが実行されてしまう。e-mail
ゲートウェイが、最も厳しい影響を受ける。

<現状>
Kasperskyはこの問題を認めており、更新をリリースしている。

<参考>
Kasperskyのアドバイザリ
http://www.kaspersky.com/technews?id=203038693
http://www.kaspersky.com/technews?id=203038694
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-07-014.html
SecurityFocus BID
http://www.securityfocus.com/bid/23325
http://www.securityfocus.com/bid/23345
http://www.securityfocus.com/bid/23346
────────────────

6.危険度【重大】:Cosignに複数の認証回避脆弱性

<影響のある製品>
Cosign 2.0.1までのバージョン

<詳細>
cosignは、ミシガン大学が作成したシングル・サイン・オン・システムである。
教育機関で広く使用されているシステムであり、数々のWebサイトで中央認証
機能として使用されている。しかしこれには、2つの認証回避脆弱性がある:

(a)埋め込み復帰改行やcosignコマンドを含むcosignクッキーが細工されると、
cosignデーモンに認証回避が発生してしまう。このようなクッキーを送信すれ
ば、アタッカーは認証なしで任意のユーザーになりすますなど、任意のCosign
コマンド実行できるようになってしまう。

(b)中央のcosignサーバへのPOSTリクエストが細工されると、すでに認証され
たアタッカーであれば認証なしで他のユーザーのふりができる。

これらの脆弱性の完全な技術的詳細や概念実証コードが公表されている。

<現状>
ミシガン大学はこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、対策を講じる必要はないと報告されている。

<参考>
ミシガン大学のセキュリティアドバイザリ(技術的詳細や概念実証コードを含
む)
http://www.umich.edu/~umweb/software/cosign/cosign-vuln-2007-001.txt
http://www.umich.edu/~umweb/software/cosign/cosign-vuln-2007-002.txt
製品のホームページ
http://weblogin.org/
SecurityFocus BIDs
http://www.securityfocus.com/bid/23424
http://www.securityfocus.com/bid/23422

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してくだい。