NRI Secure SANS NewsBites 日本版

Vol.2 No.29 2007年7月24日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.29 2007年7月24日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
           SANS Future Vision 2007 Tokyo
    ~情報セキュリティの最新動向をキャッチアップする2日間~
           2007年7月17日(火)-18日(水)

    たくさんの皆様のご来場をいただきありがとうございました。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■■SANS NewsBites Vol.9 No.55-56(原版:2007年7月14日、7月18日)

■はじめに(Alan Paller:SANS Director of Research)

専門的な情報セキュリティ認定試験の価値が高まってきていることを示す調査
報告がある。中でも最も注目すべきものは、2005年から2007年にかけてセキュ
リティの包括的な認定資格の価値が下がってきている傾向が見られるものの、
フォレンジックや侵入検知、境界防御、ワイヤレスセキュリティ、インシデン
トハンドリング、脆弱性診断などの各実務分野に特化した認定を受けた者の価
値が高まっていることだ。なぜこのように変化したのだろうか。2000年から
2005年にかけては、法律遵守に則ったセキュリティが優勢であったため、技術
的なセキュリティスキルはあまり高い評価を受けていなかった。しかし、2006
年になってチェックリスト中心主義の弊害が発覚し、CIOらは高度かつ実践的
なセキュリティスキルを持つ人間を登用する方針に素早く転換したのだ。その
ような人材は不足していたため、その給与も大幅にアップした。
このニーズに対応できる認定はGIACだけである。
────────────────

◆フィッシャー シングルステップでその場でインストールできるキットを初
  めて使う(2007.7.10-11)

RSAが月次で発行している不正報告の最新版によれば、フィッシャーは、「プ
ラグ・アンド・プレイ(plug-and-play)」と呼ばれるフィッシングキットを開
発したという。このキットを使えば、侵害したサーバに数秒でフィッシング用
Webサイトをインストールできるという。必要なディレクトリを作成し、必要
なファイルを一度にインストールするのに必要とされるのは、たった一つの
PHPコードのファイルだ。通常、フィッシャーは標的のサーバに何度もアクセ
スしないと、フィッシングサイトを設けることはできない。そのため、この新
しいツールの出現によって、その検知率は低下してしまうだろう。
http://www.theregister.co.uk/2007/07/10/plug_and_play_phishing/
http://www.vnunet.com/computing/news/2194016/phishing-made-easy-fraudsters
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9026709&taxonomyId=17&intsrc=kc_top
────────────────

◆未成年者のWebcamをハッキングしていた男に25年の懲役(2007.7.10-12)

Mark Wayne Millerは、Webcamに侵入し、ひそかに自宅の未成年者を観察して
いた罪で、25年の懲役に処されるほか、出所後も生涯監視下に置かれる。2006
年1月、Millerはコンピュータに侵入し、児童の性的搾取を行った罪を認めた。
また、同人はすでに保護観察処分にあり、性犯罪者として登録されていたとい
う。同人には、Webcamの画像記録を他人と共有していた疑いもかけられている。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=201001050
http://cincinnati.fbi.gov/doj/pressrel/2007/ci071007a.htm

【編集者メモ1】(Northcutt)
私の家では、全てのコンピュータを公共の部屋に置いている。未成年者が自分
の寝室にコンピュータを置くのは好ましくないと私が思う理由は、いくつかあ
る。違う意見もおありだろうから、それは尊重したい。この記事によれば、
Millerはフィッシング技術を使ってパスワードを獲得していたという。つまり、
家庭内でもセキュリティ認識を高める訓練を行う必要があるということだ。と
ころで、Johnny Longのデータベースを見たところ、Webcamの多くにデフォル
トのパスワードがあるようだ:
http://johnny.ihackstuff.com/ghdb.php?function=summary&cat=18
【編集者メモ2】(Ullrich)
Webcamには、Webcamセンサーと物理的に直列連結している"activity LED"があ
るはずだ。このハードウェアによる予防措置がなかったとすれば、ユーザーに
知られることなく、カメラがオンになってしまった可能性も考えられる。
────────────────

◆データ窃盗で5年の懲役(2007.7.10)

Binyamin Schwartzは、10万人分以上の個人情報に不正アクセスを行い、その
データをシークレットサービスに売っていたため、5年の懲役に処される。
Schwartzは、保険会社のソフトウェアコンサルタントとして雇われた。
Schwartzに科される刑には、ほかに、監視下の保釈2年、インシデント関連で
発生した元雇用主へ損害賠償金50万ドルがある。同人は、個人情報窃盗、加重
の個人情報窃盗、デバイスの不正使用、優先通信不正行為の容疑で有罪となっ
た。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9026701&taxonomyId=17&intsrc=kc_top
────────────────

◆株価操作スキームで2人起訴(2007.7.10)

株価操作スパムのスキームで、2人の男、Darrel UseltonとJack Useltonが起
訴されている。両人は、ボットネットを使ってスパムを送信し、2005年5月か
ら2006年12月にかけて、特定の低価格株を人に買わせていたようだ。スパムメ
ールを受信した人のうちのひとりが米国証券取引委員会(SEC)の弁護士であっ
たため、逮捕に至った。当局は、このスキームに関連のある銀行口座にある
420万ドル以上の資金を差し押さえた。投資者らが騙し取られた金額は、総計
460万ドルと推定される。両人は、証券詐欺および資金洗浄の嫌疑にかけられ
ている。
http://www.theregister.co.uk/2007/07/10/stock_spam_charges/print.html
http://www.washingtonpost.com/wp-dyn/content/article/2007/07/09/AR2007070901780_pf.html
────────────────

◆社員が一番のサイバーセキュリティリスク(200.7.16)

セキュリティ研究者のSimple Nomad(別名Mark Loveless)氏は、サイバーセキ
ュリティにおける一番の問題はエンドユーザーであるという説について、その
経緯と理由を説明する。「ユーザーは、高性能のアタック媒体であるWindows
を使っている。しかも、皆がそれを使用しているので、エンドユーザーに共通
項が存在してしまう。それが問題だ」とNomad氏は言う。また、「アタッカー
から見れば、これは素晴らしいことなのだ。私がWindowsのエクスプロイトを
開発すれば、ユーザーの誰かひとりにそれをクリックしてもらうだけで、事は
足りてしまう」、「ボックスがスクリーンにポップアップしてきたとき、“OK”
をクリックすればボックスが消えてくれるので、ユーザーは“OK”をクリック
してしまいがちだ」という。
http://www.darkreading.com/document.asp?doc_id=129122&WT.svl=cmpnews1_1
────────────────

◆シアトルの新聞 サイバーセキュリティについてボーイング社に挑戦

Seattle Post Intelligencer誌のシリーズ記事で、ボーイング社のサイバーセ
キュリティには欠陥があると報じられている。ボーイング社は、内部監査、外
部監査両方を通過しなかったという。このシリーズ記事では、組織内の稀有な
一面を紹介している。サーベンス・オクスリー法(SOX法)の法文と法精神の
達成を目的にシリーズ掲載されている。これまでの5つの記事、およびURLは以
下のとおり:
「コンピュータセキュリティの欠陥 ボーイング社をリスクに晒す」
http://seattlepi.nwsource.com/business/323923_boeing17.html
「ボーイング社 以前にセキュリティの堕落を咎められた経緯あり」
http://seattlepi.nwsource.com/business/323910_boeingrice17.html
「ボーイング社による質疑応答:第2ラウンド」
http://seattlepi.nwsource.com/business/323842_boeingqa217.html
「ボーイング社による質疑応答:第1ラウンド」
http://seattlepi.nwsource.com/business/323843_boeingqa117.html
「会計改革は高くつく重荷だと企業は言う」
http://seattlepi.nwsource.com/business/323905_sox17.html


■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年7月17日配信 Vol.6 No.29)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー              件数(#は本稿掲載番号)
======================================================================
Windows                 3(#2,#3)
Microsoft Office                3(#1)
その他のMicrosoft製品            3
サードパーティWindowsアプリ          22(#7,#8)
Linux                   6
Unix                    1
クロスプラットフォーム           22(#4,#5,#9,#10)
Webアプリ…XSS              4
Webアプリ…SQLインジェクション       12
Webアプリケーション             14
ネットワークデバイス           3(#6)
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

2007年で最多級に新たな脆弱性が報告された一週間だった:

今週報告された脆弱性の中で最も重大なものが、Excelと.NET Frameworkに発
見された。全体で、Windowsには3つ、Officeには2つ、その他のMS製品に1つ報
告されている。Microsoftだけではない。SunやApple、Symantec、Adobe、
McAfee、Ciscoにもリスクの高い脆弱性が発見された。RSA Securityやその他
多くの製品で使用されているProgress Serverの脆弱性に加え、脆弱性の特定
や緩和対策に手間のかかる週になるだろう。
────────────────

1.危険度【重大】:Microsoft Excelに複数の脆弱性(MS07-036)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office System 2007
Mac用Microsoft Office 2004

<詳細>
Microsoft ExcelのExcel表ファイル処理に複数の欠陥が発見された。表ファイ
ルのExcelバージョンコードやアクティブなワークシート、ワークスペース情
報が細工されると、これらの欠陥が悪用されてしまう。これらの欠陥のどれか
ひとつでも悪用が実現すると、現在のユーザー権限で任意のコードを実行でき
るようになってしまう。最近のバージョンでは、表ドキュメントがユーザーの
確認なしで開かれることはない。これらの脆弱性のうち、少なくともひとつの
概念実証コードが公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、次期定例システムメンテナンススケジュールで更新
を配信する見込み。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-036.mspx
概念実証コード
http://securityvulns.com/files/example.xls
ISCハンドラーのダイアリー記事
http://isc.sans.org/diary.html?storyid=3120
SecurityFocus BIDs
http://www.securityfocus.com/bid/24803
http://www.securityfocus.com/bid/24801
http://www.securityfocus.com/bid/22555
────────────────

2.危険度【重大】:Microsoft .NET Frameworkに複数の脆弱性(MS07-040)

<影響のある製品>
Microsoft .NET Frameworkのバージョン1.0、1.1および2.0

<詳細>
Microsoft .NET frameworkの.NET executables処理には、複数の脆弱性がある。
.NET executablesは、.NET frameworkによって実行されるプログラムである。
このexecutable が細工されると、Just In Time(JIT)コンパイラー、もしくは
Portable Executable (PE)ローダーにある欠陥が悪用されてしまう。これらの
脆弱性の悪用が実現すると、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。設定によっては、特定の.NET executablesは、ユーザー
に対して最初にプロンプトせずに運用されてしまうので注意が必要だ。また、
ASP.NETにある情報開示脆弱性についてもこの警告で対処されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、次期定例システムメンテナンススケジュールで更新
を配信する見込み。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-040.mspx
ISCハンドラーのダイアリー記事
http://isc.sans.org/diary.html?storyid=3120
SecurityFocus BID
http://www.securityfocus.com/bid/24811
http://www.securityfocus.com/bid/24778
────────────────

3.危険度【高】:Microsoft WindowsのActive Directory LDAPにリモートのコ
  ード実行脆弱性(MS07-039)

<影響のある製品>
Microsoft Windows 2000 Server
Microsoft Windows Server 2003

<詳細>
Microsoft Active DirectoryのLightweight Directory Access Protocol(LDAP)
リクエスト処理には欠陥がある。正確ではない変換特性のある番号を含むよう
にLDAPリクエストが細工されると、この脆弱性が引き起こされる。この悪用が
実現すると、脆弱なプロセス(たいていの場合SYSTEM)権限で任意のコードを実
行できるようになってしまう。Windows Server 2003では、この脆弱性を悪用
する前にまず認証信用証明書が必要である。Windows 2000では、認証不要であ
る。このほかDoS脆弱性もあるが、これも今回のセキュリティ警告で対処され
ている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の全てが、次期定例システムメンテナンススケジュールで、更
新を配信する見込み。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-039.mspx
ISCハンドラーによるダイアリー記事
http://isc.sans.org/diary.html?storyid=3120
SecurityFocus BIDs
http://www.securityfocus.com/bid/24800
http://www.securityfocus.com/bid/24796
────────────────

4.危険度【高】:Adobe Flash Playerにリモートのコード実行脆弱性

<影響のある製品>
Adobe Flash Player 9.045までのバージョン

<詳細>
Adobe Flash Playerは、Webページやプレゼンテーション、その他の用途のイ
ンタラクティブコンテンツを配信するときに使われるFlashファイル形式のプ
レーヤーである。しかし、これにはインプット検証エラーがある。Flashファ
イルが細工されると、このエラーが引き起こされてしまい、現在のユーザー権
限で任意のコードを実行できるようになってしまう。Note that Flashコンテ
ンツは、Webページをロードしたときに自動的に再生されることがよくあるの
で、注意が必要だ。Adobe Flashプレーヤーは、デフォルトでMicrosoft
WindowsやApple Mac OS X、その他のLinux製品でインストールされている。ま
た、情報開示脆弱性についても、この更新で対処されている。

<現状>
Adobeはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
Adobe Flashは、委員会所属企業のほとんどでサポートされていない。しかし
ながら、企業は必要に応じて次期定例メンテナンスサイクルに合わせ、パッチ
で対処する見込み。

<参考>
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/bulletins/apsb07-12.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/23437
http://www.securityfocus.com/bid/24856
────────────────

5.危険度【高】:複数のベンダーによるProgress Serverにバッファオーバーフ
  ローの脆弱性

<影響のある製品>
Progress Serverもバージョン9.1E
Progress Serverソフトウェアを使用しているほかの製品(以下を含む):
RSA Authentication Managerのバージョン6.0と6.1
RSA ACE/Serverのバージョン5.2
RSA SecurID Applianceのバージョン2.0

<詳細>
Progress Serverは、RSAのセキュリティ製品や認証製品など、さまざまなソフ
トウェアで使用される企業開発プラットフォームである。しかし、Progress
Serverのインプット処理には欠陥があるため、バッファオーバーフローの状態
が引き起こされる。"mprosrv.exe"プロセスに過剰に長い文字列を送信すれば、
このバッファオーバーフローを引き起こし、脆弱なプロセス権限で任意のコー
ドを実行できるようになってしまう。この脆弱性の全技術的詳細が公表されて
いる。

<現状>
Progressはこの問題を認めており、更新をリリースしている。また、RSAも同
様に問題を認め、更新をリリースした。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、この脆弱性の対策を講じている。同社は、
Unixプラットフォーム上のRSA製品が危険に晒されているかどうか調査中だ。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-07-12
Progress Softwareのホームページ
http://www.progress.com
RSAセキュリティのホームページ
http://www.rsasecurity.com/
SecurityFocus BID
http://www.securityfocus.com/bid/24675
────────────────

6.危険度【高】:Cisco Unified Communications Managerに複数のバッファオ
  ーバーフロー脆弱性

<影響のある製品>
Cisco Unified CallManagerのバージョン4.1、4.2、4.3および4.0
Cisco Unified Communications Managerのバージョン4.3および5.1

<詳細>
Cisco Unified CallManagerおよびCisco Unified Communications Managerは、
Voice-over-IP (VoIP)やその他の通信処理に使用される。しかし、これらには
複数のバッファオーバーフロー脆弱性がある。ソフトウェアに向かうリクエス
トが細工されると、"CTLProvider.exe"もしくは"RisDC.exe"のコンポーネント
にバッファオーバーフローが引き起こされてしまう。これらのバッファオーバ
ーフローの悪用が実現すると、脆弱なプロセス権限で任意のコードを実行でき
るようになり、影響を受けるシステムの制御を完全に奪えるようになってしま
う可能性もある。これらの脆弱性によって、VoIPネットワークの電話サービス
が停止したり、障害が発生したりするので注意が必要だ。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例メンテナンススケジュールに合わせて更新を配信する見込み。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070711-cucm.shtml
IBM Internet Security Systemsのアドバイザリ
http://www.iss.net/threats/270.html
http://www.iss.net/threats/271.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/24867
http://www.securityfocus.com/bid/24868
────────────────

7.危険度【高】:SymantecアンチウィルスエンジンのCABおよびRAR分析に尾バ
  ッファオーバーローの脆弱性

<影響のある製品>
Symantecアンチウィルスエンジン

<詳細>
Symantecアンチウィルスエンジンを使用している製品は、CAB("cabinet")およ
びRARアーカイブファイル解析時に、複数のバッファオーバーフローが起こる
可能性がある。これらのアーカイブファイル形式は、アプリケーションや更新、
ドキュメント、その他のソフトウェアを配信するときに広範囲で使用されてい
る。しかし、CABもしくはRARアーカイブが細工されると、このアンチウィルス
エンジンに、バッファオーバーフローが引き起こされ、脆弱なプロセス権限で
任意のコードを実行できるようになってしまう。これらのファイルは、場合に
よっては明白にダウンロードされ、開かれる必要がないので注意が必要だ。ア
ンチウィルスエンジンはメールのスキャンに使われているため、脆弱なサーバ
を通過する形でメールを送信するだけで、悪用が可能になってしまう。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例メンテナンススケジュールに合わせて更新を配信する見込み。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-039.html
http://zerodayinitiative.com/advisories/ZDI-07-040.html
CABおよびRARアーカイブについてのWikipediaの説明
http://en.wikipedia.org/wiki/Cabinet_%28file_type%29
http://en.wikipedia.org/wiki/RAR
SecurityFocus BID
http://www.securityfocus.com/bid/24282
────────────────

8.危険度【高】:McAfee Common Management Agentに複数の脆弱性

<影響のある製品>
McAfee Common Management Agent 3.6.546までのバージョン
McAfee ePolicy Orchestrator 3.6.1までのバージョン
McAfee ProtectionPilot バージョン1.5 およびバージョン.1.1

<詳細>
McAfee Common Management Agentは、システムの管理やメンテナンス用に、さ
まざまなMcAfee製品に使用されている。しかし、McAfee Common Management
Agentには、複数のメモリ崩壊の脆弱性がある。このエージェントを使用する
製品に向かうリクエストが細工されると、これらの脆弱性のどれかひとつが引
き起こされてしまうため、脆弱なプロセス(たいていの場合SYSTEM)権限で任意
のコードを実行できるようになってしまう。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例メンテナンススケジュールに合わせて更新を配信する見込み。

<参考>
McAfeeのセキュリティアドバイザリ
https://knowledge.mcafee.com/article/764/613367_f.SAL_Public.html
https://knowledge.mcafee.com/article/763/613366_f.SAL_Public.html
https://knowledge.mcafee.com/article/762/613365_f.SAL_Public.html
https://knowledge.mcafee.com/article/761/613364_f.SAL_Public.html
製品のホームページ
http://www.mcafee.com/us/smb/products/management_solutions/protection_pilot.html
http://www.mcafee.com/us/enterprise/products/system_security_management/epolicy_orchestrator.html
IBM Internet Security Systemsのアドバイザリ
http://www.iss.net/threats/269.html
SecurityFocus BID
http://www.securityfocus.com/bid/24863
────────────────

9.危険度【高】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.2までのバージョン

<詳細>
メディアストリーミングに使用されるAppleのフレームワーク、Apple Quick
Timeには、リモートのコード実行から情報開示までの範囲で、複数の脆弱性が
ある。動画ファイルやSynchronized Multimedia Integration Language(SMIL)、
もしくはWebサイトが細工されると、メモリ崩壊やinteger overflow、デザイ
ン欠陥が引き起こされてしまい、現在のユーザー権限で任意のコードを実行で
きるようになってしまう。多くの場合、QuickTimeムービーは、追加プロンプ
トなしで再生されてしまう。中には、侵害するにはユーザーが悪意あるWebサ
イトを訪問する必要がある脆弱性もいくつかある。また、情報開示脆弱性も、
このセキュリティ更新で対処されている。Mac OS X用とMicrosoft Windows用
両方のQuickTimeが影響を受けるので注意が必要だ。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち1社のみが、影響のあるソフトウェアを使用していた。
同社は、次期定例メンテナンススケジュールに合わせて更新を配信する見込み。

<参考>
Apple のセキュリティ更新
http://docs.info.apple.com/article.html?artnum=305947
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=556
Security-Protocolsのアドバイザリ
http://security-protocols.com/sp-x46-advisory.php
http://security-protocols.com/sp-x45-advisory.php
SMILについてのWikipediaの説明
http://en.wikipedia.org/wiki/Synchronized_Multimedia_Integration_Language
SecurityFocus BIDs
http://www.securityfocus.com/bid/24873
http://www.securityfocus.com/bid/23652
http://www.securityfocus.com/bid/23650
────────────────

10.危険度【高】:Sun Java RuntimeとDevelopment KitのXSLTにリモートでコ
  ードを実行される脆弱性

<影響のある製品>
Sun Java Development Kitバージョン6更新版1までのバージョン
Sun Java Runtime Environmentバージョン6更新版1までのバージョン
Sun Java System Web Serverのバージョン7.0
Sun Java System Application Server

<詳細>
Sun Java Runtime Environment(JRE)およびJava Development Kit(JDK)の
Extensible Stylesheet Language Transformations(XSLT)ドキュメント処理に
は、欠陥がある。XML署名内にあるXSLT stylesheetが細工されると、この脆弱
性が引き起こされ、XSLT stylesheetを開くプロセス権限で任意のコードを実
行できるようになってしまう。この脆弱性の技術的詳細が公表されている。

<現状>
Sunはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業の中には、この脆弱性の危険があるかどうか調査しているとこ
ろもある。今のところ、どのような対策をとるべきかは決まっていない。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102993-1
iSEC Security Partnersのアドバイザリ
http://www.isecpartners.com/advisories/2007-04-dsig.txt
Bradley W. Hillによる白書
http://www.isecpartners.com/files/XMLDSIG_Command_Injection.pdf
XSLTについてのWikipediaの説明
http://en.wikipedia.org/wiki/XSLT
SecurityFocus BID
http://www.securityfocus.com/bid/24850

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、RSA Conference等の弊社
講演枠に登録された方、弊社からの情報を希望された方を中心に配信していま
す。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。