NRI Secure SANS NewsBites 日本版

Vol.2 No.25 2007年6月27日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.25 2007年6月27日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
       SANS Future Vision 2007 Tokyo 国内初開催!
    ~情報セキュリティの最新動向をキャッチアップする2日間~
    2007年7月17日(火)-18日(水) 会場:シェラトン都ホテル東京

    ◆SANSトレーニング(2日間コース) 特別開催!!◆
Cutting-Edge Hacking Tools:A Hands-On Session for Incident Handlers
[最新]インシデントハンドラーのためのハッキング技術の理解と防御対策演習
       → http://www.event-information.jp/sans-fv/training.html

 >>>地球上で最も危険なネットワークに接続し、ハッキング演習を体験!!
  >>>通常の受講料1,745ドル(約20万円)のところ、
              >>>特別価格69,300円(税込み)にてご提供!!
  >>>限定70席、申込み先着順に受付け
     ※満席が予想されます。お早めにお申込みください。

     参加受付け開始(事前登録制) 詳細はこちら↓↓↓
       http://www.event-information.jp/sans-fv/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.47-48(原版:2007年6月15日、19日)

■はじめに(Alan Paller:SANS Director of Research)

米国政府システムの安全性を確保するためのFISMA法に、とどめが指されつつ
ある。Computerworldが、連邦政府のセキュリティおよびその遵守検査を監督
する政府責任説明局のGreg Wilshusen氏にインタビューを行った。議会お抱え
の専門家らにすら、同法のアプローチは失敗だと言われている現在、政府改革
委員会が行動を起こさなければ、連邦政府システムのセキュリティ監督業務は、
今すぐ別の下院議会委員会に担当してもらうしかない。政府がセキュリティの
現状をチェックできるようになれば、成功をおさめられるのだ。セキュリティ
の技術的実務知識のある連邦政府請負業者らは、政府が単なる報告書の作成や
法遵守チェックリストを埋める作業をやめ、本当にセキュリティの現状をチェ
ックできるようになったときに大きな機会が到来すると言っている。政府の認
定認可(C&A)報告書は無意味であるが、議会や行政予算管理局が政府局(請負
業者の顧客)にやらせるため、仕方なく作成しているという。

PS
米国政府がFISMAによる過ちを正せば、「チェックリストによるセキュリティ
VS実際のセキュリティ状況チェック」という問題の重要性は、非常に高くなる
かもしれない。
────────────────

◆FBIの捜査“BotRoast”で感染したPC100万台以上が特定される(2007.6.4)

FBIがボットネットを厳しく取り締まったところ、監督者らは、マルウェアに
感染したPCを100万台以上も発見した。マルウェアに感染すると、マシンは乗
っ取られてボット軍の一部となり、他のマシンにアタックしたり、マルウェア
の感染を拡大したり、スパムを送信したりするのに一役買うことになる。FBI
は、カーネギーメロン大学のCERT統括センター(Computer Emergency Response
Team Coordination Center)協力のもと、感染コンピュータの所有者に対して
通知を行う予定だ。この捜査で逮捕に至った人数は計3人である。Robert
Solowayはスパムキットを販売してスパム行為のためにボットネットにアクセ
スした容疑で、James Brewerは世界中の1万台以上のPCを侵害した容疑で、そ
して、Jason Downeyはボットネットを使用して分散DoSアタックを行った容疑
でそれぞれ逮捕された。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9024720&source=rss_topic17
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9024718&source=rss_topic17
http://www.usatoday.com/tech/news/computersecurity/2007-06-13-fbi-arrests_N.htm?csp=34
http://informationweek.com/shared/printableArticle.jhtml?articleID=199903961

【編集者メモ1】(Paller)
このFBIの逮捕によって、ボット運用者やスパマー、ボットネットに依存して
いるその他犯罪者が、より一層悪行の結果によるリスクを懸念するようになる
だろう。警察が全ての犯罪を撲滅できるとは思わないが、今回の逮捕で大きく
何かが変わった。賞賛に値する。
【編集者メモ2】(Ullrich)
感染システムが100万件あることがわかった今、犠牲者はどのようにして問題
の存在を把握し、是正していけばよいのだろうか?
我々はこの数年間、DShieldデータで感染したユーザーに通知を試みてきたが、
あまり物分りのよいとは言えないISPらを通して行うしかなかった。実際、FBI
のWebサイトでは当初、感染したユーザーに対し、ISPに助けを求めるよう呼び
かけていた。しかしその後事態は変わり、ユーザーはクリーンナップ支援のあ
るさまざまなWebサイトに直結されるようになった。営利目的でハードウェア
やソフトウェアを販売し、インターネットアクセスを提供する人はたくさんい
るが、その後ユーザーがトラブルに巻き込まれた時に支援しようという人はほ
とんどいないのが現状だ。
────────────────

◆FBI データマイニング大プロジェクト(2007.6.2)

FBIは、2007年10月1日から始まる会計年度において、外国テロリスト追跡タス
クフォースが提案している米国セキュリティ侵害分析センター(National
Security Branch Analysis Center)に、予算1200万ドル申請している。FBIは、
テロリストの潜伏組織を検知するために行動分析に利用できるデータベースを
作成する意向だ。このデータベースには、2012年までに60億件の記録が蓄積さ
れる見込みである。しかし2人の議員が、このプロジェクトによって国民のプ
ライバシーに脅威が生じる懸念があると述べている。そのため同議員らは、
FBIの提案内容を調査するよう、米国説明責任局に求めている。懸念事項とし
ては、FBIにそのような巨大なデータベースを管理できる能力があるか、未来
を予測する方式でのデータマイニングに有効性があるか、という問題などがあ
る。過去には、米国が1億7000万ドル費やしたヴァーチャル事件ファイルシス
テム(Virtual Case File system)で、FBIが失敗した例もある。また昨年は、
コンサルタントがFBIの機密コンピュータへのアクセス権を獲得できてしまっ
た事例もあった。さらに最近、FBIが国家セキュリティレター(National
Security Letters)を乱用していた事実が発覚している。
http://dwb.heraldonline.com/24hour/politics/story/3638830p-12973000c.html
────────────────

◆FBIによるデータ収集ルール違反件数 3月より増加(2007.6.14)

最近FBI内部の監査を行ったところ、国内の通話記録や電子メール、財務取引
などのデータ収集に関して、1000件以上のルール違反が発覚した。これは、3
月に報告された件数をはるかに上回る数字である。違反例の大多数は、電話会
社やISPが、国家セキュリティレター(National Security Letters)で要望した
情報以上のデータをFBIに提供していたことによるものであった。中には、エ
ージェントが必要以上のデータを抹消する代わりに、そのデータも含んだ国家
セキュリティレターを新たに発行していたケースもあったという。今回の監査
では、ルール違反を意図的に行っていたかどうかはわからなかったものの、国
家セキュリティレターによるデータ収集の法的手順や事務処理について、エー
ジェントの理解が不足していることが示された。また、米国法下でエージェン
トが所持することを許されていない情報(電子メールのヘッダーなど)をエー
ジェントがリクエストしていたという違反があり、その件数は数十にのぼる。
同法下では、エージェントはメールの送受信者に関する情報はリクエストでき
るものの、メッセージの内容までリクエストすることは許可されていなかった。
今回、2002年以来のFBIのセキュリティ関連捜査のおよそ10%が監査されたと
いう。
http://www.washingtonpost.com/wp-dyn/content/article/2007/06/13/AR2007061302453_pf.html

【編集者メモ1】(Pescatore)
FBIに関する2つのニュースが並列していることが、全てを物語っている。米国
行政予算管理局(OMB)は長い間、ITプロジェクトに対して、情報やアプリケー
ションの保護に十分なだけの資金割り当てを必須条件としてきたはずだ。しか
し、この必須条件はしっかり施行されてこなかった。手始めにFBIから施行し
てはいかがだろう。
【編集者メモ2】(Ullrich)
たいていの場合、システム管理者は、FBIからの合法的なリクエストには進ん
で協力するだろう。しかし、FBIは国家セキュリティレターを使ってシステム
管理者に対して威張り散らしていたため、敬意を受けなくなってしまったので
ある。
────────────────

◆米国政府責任説明局が認める:FISMA法遵守しても連邦システムの安全性は確
  立されない(2007.6.14)

米国政府責任説明局GAOの情報セキュリティ問題担当官Greg Willshusenは、
「先週、私は(議会)証言で、各政府局は、FISMA法を遵守するだけの立場か
ら、効果的なセキュリティに重きを置く方向に転換しなければならないという
ことを示したかった」と述べた。また、同氏は「我々が各政府局に出向いてセ
キュリティコントロール・レビューを行うと、システムに重大な脆弱性を発見
することが多々ある。政府局は、“認定・認可”が反映されるプロセスを効率
よく導入するのではなく、単にシステムが“認定・認可”されるようにするこ
とだけに集中しているきらいがある」とも言及している。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9024658

【編集者メモ】(Schultz)
Wilshusenのコメントには、米国政府内のセキュリティを改善するために、上
層部がFISMA法の実態が実質的に変えられなければいけないと理解する必要が
あることが示されている。その意味でこのコメントは重要である。
────────────────

◆NATO諸国の国防相 サイバーセキュリティを注視するよう求める
  (2007.6.14-15)

エストニアのWebサイトやネットワークにサイバーアタックが仕掛けられたこ
とを受けて、NATO諸国の国防相らは、重大な情報システムのサイバーセキュリ
ティについて懸念を示している。それに対する対策行動の進め方はまだ定かで
ないものの、NATO国防相らは、緊急に対策を講じる必要性を感じている。NATO
は、まだまだアタック被害の続くエストニアに技術専門家を送りこんだ。国防
相らは、ヨーロッパのミサイル防衛システムの導入について、相互に議論を行
っている。
http://www.securityfocus.com/brief/527
http://www.theregister.co.uk/2007/06/15/cyber_war_screaming_fist/print.html
http://news.com.com/2102-7348_3-6191011.html?tag=st.util.print
────────────────

◆米国議会上院で反スパイウェア法案が提案される(2007.6.15)

米国議会上院議員Mark Pryor氏(アーカンソー州民主党)は、ユーザーの同意な
くPCにスパイウェアをインストールする行為を犯罪化する法案を提案した。
Pryor議員は、"対象産業界での自主規制がうまく行かなかった"ため、対スパ
イ2007年法の提案に踏み切ったと述べている。この法案では、スパイウェアを
インストールする行為を不正商慣習としている。また、連邦取引委員会(FTC)
に、法執行権限を与えている。違反者は民事および刑事罰に科される可能性が
あり、ともに罰金や最高で5年の懲役も考えられる。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=199904803
http://news.com.com/8301-10784_3-9729925-7.html
http://pryor.senate.gov/newsroom/details.cfm?id=276980&
────────────────

◆PayPal 二要素認証を導入(2007.6.18)

今後、PayPalユーザーはアカウントにアクセスするときに、より多くのセキュ
リティレイヤーを通過することになる。鍵に付けられるトークンが、6桁のラ
ンダムなセキュリティパスコードを30秒毎に生成する。このデバイスは、
PayPalとeBay両方の顧客であれば利用できる。eBayはPayPalの親会社である。
PayPalとeBayユーザーは、フィッシングされやすいグループとして、ターゲッ
トリストの首位に位置づけられる。このデバイスを使用するためには5ドル支
払わなければならないが、それ以外の費用はまったくかからない。
http://www.securityfocus.com/brief/528

【編集者メモ1】 (Ranum)
素晴らしい!喜んで5ドル払おう。
【編集者メモ2】(Shpantzer)
私は、厳しい認証に全面的に賛成だ。ただひとつある問題があるとすれば、実
際に詐欺が起きた場合に、顧客にトークンを付与している企業がトークン発行
の事実を理由に損失額を補填しなくて済むようになってしまう可能性があるこ
とだ。拒否(強力な認証を盾にした拒否)行為が、詐欺被害者に対して行われる
かもしれない。企業は、「我々はトークンを提供したではないか。あなた以外
に一体誰が使うというのか。だから一切返金しない」と言い出しかねない。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年6月18日配信 Vol.6 No.25)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 18(#1, #2, #3, #4)
Microsoft Office             1(#5)
その他のMicrosoft製品          10
サードパーティのWindowsアプリ     15(#6)
Mac OS                  1
Linux                   4
Solaris                  2
Novell                  1
クロスプラットフォーム          12(#7)
Webアプリ…XSS              14
Webアプリ…SQLインジェクション     5
Webアプリケーション          20
ネットワークデバイス          3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週は、Secure SocketsやInternet Explorer、Outlook Expressに重大な脆弱
性があるとのことで、Microsoft Windowsが脆弱なソフトウェアの首位に躍り
出ている。そして今週は、脆弱性の総件数がまたもや100件に届いてしまうこ
とに。これら脆弱性の多くはシステムソフトウェアではなく、アプリケーショ
ンソフトウェアにあった。アプリケーションセキュリティを改善する方法につ
いて、新しいSoftware Security Instituteのサイトをwww.sans-ssi.orgでご
覧ください。また、8月にDCで開催されるApplication Security Summitに参加
すれば、たくさんのユーザーが、アプリケーションセキュリティ・イニシアチ
ブを構築するうえで学んだ教訓を提供してくれる。
http://www.sans.org/appsummit07/
────────────────

1.危険度【重大】:Microsoft WindowsのSchannelにリモートでコードを実行さ
れる脆弱性(MS07-031)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

<詳細>
Microsoft Windows Secure Channel(Schannel)サブシステムは、Internetでは
基準であるSecure Sockets Layer(SSL)およびTransport Layer Security(TLS)
プロトコルのMicrosoft Windows実装である。これらのプロトコルは、インタ
ーネット上で暗号化された安全な通信を行うときに使用される。このサブシス
テムの暗号署名処理に欠陥がある。細工された署名がサーバから送信されると、
リモートでコードを実行される脆弱性が引き起こされる。SSL、もしくはTLSプ
ロトコルをSchannelサブシステム経由で利用しているアプリケーション(IEな
ど)は、この脆弱性は悪意あるWebサイトに利用される可能性がある。この脆弱
性の技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、次期定例メンテナンススケジュールに合わせて更新
を配信する予定である。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-031.mspx
Thomas Limによる掲示
http://www.securityfocus.com/archive/1/471203
SSLおよびTLSに関するWikipediaの説明
http://en.wikipedia.org/wiki/Secure_Sockets_Layer
http://en.wikipedia.org/wiki/Transport_Layer_Security
SecurityFocus BID
http://www.securityfocus.com/bid/24416
────────────────

2.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS07-033)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7

<詳細>
Microsoft Internet Explorerには複数の脆弱性がある。欠陥は、Microsoft
Component Object Model (COM)オブジェクト、Cascading Style Sheets(CSS)、
Microsoft言語パック、JavaScriptスクリプト、Microsoft Speech Controlの
処理に存在しており、これらを悪用されると、細工されたWebページによって
現在のユーザー権限で任意のコードが実行されてしまう。また、細工された
Webページはブラウザの"Navigation Canceled"ページにある欠陥を悪用でき、
そのページにある任意のコンテンツ(スクリプトコンテンツなど)を表示して
しまう可能性がある。このページによって実行されるスクリプトは、リモート
のWebページにあるスクリプトより上位の権限で実行される。これらの脆弱性
の技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、次期定例メンテナンススケジュールに合わせて更新
を配信する予定である。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-033.mspx
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-038.html
http://zerodayinitiative.com/advisories/ZDI-07-037.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/24372
http://www.securityfocus.com/bid/24423
http://www.securityfocus.com/bid/24429
http://www.securityfocus.com/bid/24418
http://www.securityfocus.com/bid/22966
http://www.securityfocus.com/bid/24426
────────────────

3.危険度【重大】:Microsoft Outlook ExpressおよびWindows Mailに複数の脆
  弱性(MS07-034)

<影響のある製品>
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista

<詳細>
Microsoft Outlook ExpressおよびMicrosoft Windows Mailに、複数の脆弱性
がある。電子メールメッセージのローカルのUniversal Naming Convention(U
NC)パスを正しく検証できないため、細工されたメールはユーザーがそのメー
ルのリンクをクリックしただけで任意のコードを実行できるようになってしま
う。また、細工されたMIME HTML(MHTML)リンクを含むWebページによって、ク
ロスサイトスクリプティングの脆弱性が引き起こされる。この欠陥は、Webブ
ラウザから悪用されてしまうので注意が必要。今回のセキュリティ警告で、こ
の2つの情報開示脆弱性のあるアプリケーションにパッチが発行されている。
これらの脆弱性の技術的詳細は、部分的ではあるが公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、次期定例メンテナンススケジュールに合わせて更新
を配信する予定である。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-034.mspx
MHTMLについてのWikipediaの説明
http://en.wikipedia.org/wiki/MHTML
SecurityFocus BIDs
http://www.securityfocus.com/bid/17717
http://www.securityfocus.com/bid/23103
http://www.securityfocus.com/bid/24392
http://www.securityfocus.com/bid/24410
────────────────

4.危険度【高】:Microsoft Win32のAPIにリモートでコードを実行される脆弱
  性(MS07-035)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

<詳細>
Microsoft Windowsの"Win32"アプリケーションプログラミング・インタフェー
ス(API)においては、機能に引き渡される特定のパラメータ検証処理に欠陥が
ある。どの機能なのか定かでないが、Microsoftはこのアタックに脆弱になっ
てしまうような方法でIEが問題の機能を呼び出すことを確認したようだ。問題
の機能を使用する他のアプリケーションも脆弱である可能性が高い。細工され
たWebページは、IEに欠陥を引き起こす。他のアプリケーションでは他の悪用
手法が考えられる。この脆弱性の悪用が実現すると、脆弱なアプリケーション
の中で任意のコードを実行できるようになってしまう。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、次期定例メンテナンススケジュールに合わせて更新
を配信する予定である。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-035.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/24370
────────────────

5.危険度【高】:Microsoft Visioに複数の脆弱性(MS07-030)

<影響のある製品>
Microsoft Visio 2002
Microsoft Office 2003

<詳細>
Microsoftの作図ツールであるMicrosoft Visioには、複数の脆弱性がある。不
正形式のバージョン番号か、もしくは充填オブジェクトを含むようにVisioフ
ァイルが細工されると、メモリ崩壊脆弱性が引き起こされる。これらの脆弱性
の悪用が実現すると、現在のユーザー権限で任意のコードを実行できるように
なってしまう。Visioファイルは、設定によってはプロンプトなしに開かれて
しまうので注意が必要。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
全ての委員会所属企業は、次期定例メンテナンススケジュールに合わせて更新
を配信する予定である。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-030.mspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/24349
http://www.securityfocus.com/bid/24384
────────────────

6.危険度【高】:さまざまなActiveX Controlsに複数の脆弱性

<影響のある製品>
Zoomify Viewer ActiveX Control
Corel ActiveCGM ActiveX Control

<詳細>
ActiveXコントロールには、リモートのコード実行もしくはコマンド実行につ
ながる脆弱性があると報告されている。これらのコントロールをインスタンス
化するWebページが細工されると、現在のユーザー権限で任意のコードが実行
されてしまう。任意のActiveXコントロールをターゲットにする再利用可能な
エクスプロイトコードが広範囲に出回っており、そのコードはこれらのコント
ロールをアタックできるように手軽に改変できるので、注意が必要。

<現状>
ベンダーに問い合わせて、これらの脆弱性の現状を確かめるべきである。また、
Microsoftの"kill bit"機能を介して問題のコントロールを無効にすれば、こ
れら脆弱性の影響を軽減できる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Zoomifyのホームページ
http://www.zoomify.com
Corelのホームページ
http://www.corel.com
Microsoft知識ベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/24421
http://www.securityfocus.com/bid/24464
────────────────

7.危険度【高】:Firebird Databaseの"connect"にバッファオーバーフロの脆
  弱性

<影響のある製品>
Firebird SQL Serverのバージョン2.x
BakBone NetVaultのバージョン6.x

<詳細>
Firebird SQLデータベースサーバの"connect"リクエスト処理には欠陥がある。

細工されたconnectリクエストを発行すると、メモリ上書き状態を引き起こす
ことができるようになってしまう。この状態の悪用が実現すると、現在のユー
ザー権限で、任意のコードを実行できるようになってしまう。悪用するのに認
証は必要ない。この脆弱性の技術的詳細が公表されている。

<現状>
Firebirdはこの問題を認めており、更新をリリースしている。可能であれば、
TCP3050番ポートへのアクセスをブロックすれば、この脆弱性の影響を軽減で
きる。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-07-11
Firebirdのリリースノート
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.1-ReleaseNotes.pdf
Firebirdのホームページ
http://www.firebirdsql.org/
SecurityFocus BID
http://www.securityfocus.com/bid/24436

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。