NRI Secure SANS NewsBites 日本版

Vol.2 No.42 2007年10月24日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                    Vol.2 No.42 2007年10月24日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2007 Autumn
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2007年11月5日~10日 開催間近!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!(10月29日まで)
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          http://www.event-information.jp/sanstokyo07/

┃ !!フォレンジックの上級コース 世界的第一人者 Rob Lee来日!!

┃ SANSのトレーニングは、内閣官房情報セキュリティセンターの「人材
┃ 育成・資格制度体系化専門委員会」報告書でも、「訓練・実習型の教
┃ 育プログラム」として取り上げられています。
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
   早期割引申込みの期限まであとわずか!
     残席数も少なくなってきています!!!

■■SANS NewsBites Vol.9 No.81-82(原版:2007年10月13日、10月17日)

■はじめに(Alan Paller:SANS Director of Research)

成果を上げているコミュニティのコンセンサスプロジェクト最新情報:

サイバーディフェンスイニシアチブプログラム(Cyber Defense Initiative
Program)は、チームや個人双方に対し、現在広範囲にわたっている問題のソリュー
ションを作成するプログラムだ。今年の成果は、ワシントンDCで12月11日から
18日にかけて開催されるSANS CDI 2007において発表される予定だ。今なら、4
つのイニシアチブのうちの一つ目のイニシアチブ、ModSecurityのWebアプリ用
バーチャルパッチ(Virtual Patching for Web Applications with
ModSecurity)のプレビューができる。その他のイニシアチブには、Webサービ
スベースの構造(Web Service Oriented Architecture)チェックリスト、PCIへ
の法遵守、IPv6への移行などがある。
http://www.sans.edu/resources/securitylab/virtual_patching_cdi.php
http://www.sans.org/cdi07/

ワシントンで開催されるSANS CDIは、高度なセキュリティトレーニングを受け
るのに最適である。世界各地から最も優れた講師陣がやって来ており、受講者
も積極的に関心を抱いているほか、彼らの理解度も高いからだ。
http://www.sans.org/info/14231

アプリケーションセキュリティが今アツい。アタッカーがアプリケーションの
脆弱性をターゲットにする度合いはますます高まっている。これに対抗できる
有益なレスポンスは以下2点:

1. 米および英政府局で働くプログラマーで、新しいGSSP(Secure Software
Programmer)認定獲得希望者には、奨学金がある。この奨学金は、アプリケー
ションセキュリティ向上と国家のインフラ保護を目的とした米政府と英政府共
同事業の一環である。SANSは、アプリケーションセキュリティの向上と国家の
インフラ保護において両政府と協力関係にあるため、この試験は11月にロンド
ン、12月にワシントンで、そして2006年前半にはその他多くの都市が受験地と
なる。奨学金についての情報を求めるは、spa@sans.orgまで(所属組織名称
明記のこと)。

2. プログラマーやテスターは、開発ライフサイクルの工程全てにセキュリテ
ィを導入し、工程のどの段階においてもセキュリティを確立できるようにする
方法を探索している。SANS Software Security Seriesにはソフトウェアおよ
びWebアプリケーションの安全性確立の担当者用コースが特別に設けられた。
このコースでは、ソフトウェアの開発ライフサイクルに対する最良のセキュリ
ティ導入方法を学習できる。詳細はこちら:
http://www.sans.org/softwaresecurity07/
───────────────

◆アンチウィルス製品を今すぐ徹底調査せよ(2007.10.10)

アンチウィルス製品が行うテスト方法を徹底的に調査しようという動きが、よ
り激しくなっている。現在、テストはシグネチャベースのマルウェア検知中心
に行われており、これまでの10年間でほとんど変更は加えられてこなかった。
しかし、アンチウィルスの技術は、新たなマルウェアの出現で生じた需要を満
たすべく、変化してきている。そのため、企業はこの変化を反映したテストを
再度公式化する必要があると考えている。現行のテストでは、早いスピードで
広がるマルウェアの捕捉に有益な技術である、行動異常マルウェア検知の有効
性については検査されない。新しいテスト方法や手順は、韓国のソウルで開か
れるアンチウィルス協会アジア研究者カンファレンス2007で発表される。
http://www.theregister.co.uk/2007/10/10/av_tests_revamp/print.html

【編集者メモ1】(Skoudis)
毎時間新たなマルウェアが出現するほど脅威も変化してきていることを考える
と、これはよい進展だろう。同僚も私も、今まで2年ほど同様のことを推進し
てきた。2006年2月のアンチスパイウェア同盟(Anti-Spyware Coalition)会議
の発言の場でも訴えた。また、Tom Listonと私は、1年半前、アンチマルウェ
ア・ベンダーの行動ベースの要求をテストするSpycarというツールをリリース
した。そこでわかったのは、ほとんどの製品は、行動ベースの検知をまったく
行っていないか、行動ベースの機能が著しく破損されていたということだ。ア
ンチマルウェア・ベンダーの多くは、我々のテスト結果を一蹴しただけだった
が、中には興味深いと考えたベンダーもあったようだ。先月、Matt Carpenter
と私で多数の製品をもう一度テストしたところ、主要なベンダーの製品におけ
る行動ベース検知機能は、大幅に欠落していることがわかった。この新しいイ
ニシアチブで、行動ベース検知の現状が改善されることを願うばかりだ。
【編集者メモ2】(Liston)
Ed Skoudisが言うところの「一蹴された」は、まだおしとやかな表現である。
つまることろ、ベンダーらは基本的に、自分たちは何もわからないアマチュア
だと言ってきたに等しいのだ。我々が、主要なベンダーの行動検知製品に重大
な欠陥を発見し、情報を開示した後だったにもかかわらず。リリースされるマ
ルウェアの数もますます増え、悪意あるコードによるアタックも増加の一途を
たどっていることから、行動ベースの検知は、アンチマルウェア防御前線とな
るだろう。この現実が露呈されたためにAVベンダーのテスト方法が変わり、対
処されるに至るのは喜ばしいことだ。我々が報われることも然り。
【編集者メモ3】(Northcutt)
アンチウィルス産業は、我々の役に立ってくれている。彼らなしでは、コンピ
ュータ自体動作しなくなったかもしれない。しかし彼らは、自身のやり方に少
し縛られており、その間にマルウェアがより複雑化してしまった。シグネチャ
検知以外のものについてもベンダーに責任を負わせようという、Spycarのよう
なプロジェクトが、引き続き功を奏することを望むばかりだ。
───────────────

◆火曜日に修正が出たWordの欠陥 すでに悪用されている(2007.10.10-11)

10月8日火曜日にリリースされたMicrosoftのセキュリティ警告6つのうち4つは、
危険度「重大」であった。今回の警告で言及されたこれらの脆弱性は、Wordと
Kodak Image Viewerのリモート・コード実行欠陥と、Outlook Expressと
Windows Mailの不正形式のNetwork News Transfer Protocol(NNTP)レスポン
スで生じる問題、IE 7の追加更新の問題などである。Wordの脆弱性は、ターゲッ
トを絞ったアタックですでに悪用されていることから、最優先でパッチ適用す
べきだとの声も多い。
http://www.theregister.co.uk/2007/10/10/october_patch_tuesday/print.html
http://www.theregister.co.uk/2007/10/11/exploit_wednesday/print.html
https://www.microsoft.com/technet/security/bulletin/ms07-oct.mspx
http://isc.sans.org/diary.html?storyid=3480
───────────────

◆Microsoft IE 7搭載WindowsのURI処理に欠陥があることを認める
  (2007.10.11)

Microsoftはセキュリティアドバイザリで、IE 7を運用しているWindows XPと
Windows Server 2003に、リモートのコード実行脆弱性があるとことを認めて
いる。この脆弱性が悪用されると、脆弱なマシンの制御が奪われてしまうとい
う。問題は、Uniform Resource Identifiers (URI)処理にある。アドバイザリ
では、この欠陥にパッチを発行するるかどうか明確に述べられていないものの、
Microsoftセキュリティレスポンスセンターのブログ記事には、この問題に対
する修正パッチを作成中であることが示されていた。また、アドバイザリには、
アタッカーがこの欠陥を悪用する可能性がかなり高いとの論評がたくさん出た
ため、Microsoftはこの問題の修正に踏み切る決断を示したという。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9042199&source=rss_topic17
MSセキュリティレスポンスへのリンク:
http://blogs.technet.com/msrc/archive/2007/10/10/msrc-blog-additional-details-and-background-on-security-advisory-943521.aspx
───────────────

◆Hotmail 受信者数を制限(2007.10.9-10)

スパムが顧客の受信トレーを満杯にしてしまうのを防ぐため、Hotmailは送信
されたメールの受信先件数に徹底的な制限措置を施したようだ。ユーザーの報
告によれば、hotmailアドレスの最初の10件までは送信されるものの、それ以
上のあて先からは「522 受信者数が多すぎます」というメッセージとともにメー
ルが跳ね返されるという。Hotmailは、ユーザーが毎日受信するメール50億件
の90%はスパムだと述べている。このようなブロッキングは明らかに問題があ
り、緊急気象警報メッセージなどの場合は、危険を招くにちがいない。
http://www.theregister.com/2007/10/09/limits_on_hotmail/print.html
http://www.theregister.co.uk/2007/10/10/hotmail_blocks_emergency_alerts/print.html

【編集者メモ】(Kreitner)
少数の者が、多数の者に痛みを引き起こせる状態にしてはならない。できれば
20年後の未来にタイムスリップしてみて、このような現象に社会がどのように
対処していたのかを、なつかしく振り返ってみたい。長期的に見ても、このよ
うな対処法が耐えうるものだとは思えない。採用された対処法によって悪者を
阻止できることを切に願うものの、これでは、大多数の人間の利益が大幅に奪
われてしまうことになる。そして、その大多数の人間は、比較的安定した秩序
正しい社会で生活を楽しむには、他者の利益を尊重してバランスをとることが
重要であることをわかっているのである。
───────────────

◆シュワルツネッガー知事 データ保護法案を否認(2005.10.15)

カリフォルニア州のアーノルド・シュワルツネッガー知事は、セキュリティ侵
害で金融機関が被った損失を小売業者側に課す法案を否認した。この法案は、
小売業者に対し、取引データを保護するために厳しいセキュリティ対策の導入
を義務付け、特定の種類の取引情報の保管行為を禁止するものだった。シュワ
ルツネッガー知事は、この法案は民間部門のデータセキュリティ基準と相容れ
ない可能性があると述べたものの、法案自体を完全に棄却してはいない。彼は、
「法案の作成者と産業界が連携して、よりバランスのとれた法的アプローチを
生み出す」ことを望んでいる。
http://www.eweek.com/print_article2/0,1217,a=217199,00.asp
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9042630
───────────────

◆SWIFT EU取引プロセスを米から移動(2007.10.4-15)

国際決済プロセス組織SWIFTは、ヨーロッパの銀行取引プロセスを今後米国内
では処理しないように、そのシステム構造を再構築する見込みだ。同組織は、
2009年までにスイスにデータプロセスセンターを、香港にコマンドセンターを
設立するという。SWIFTには、システム機能と信頼性を向上させる目的のほか
に、特定のデータを米国の手の届かないところに置くという目的があるようだ。
ベルギーが拠点であるSWIFTは、米国の諜報機関にヨーロッパ市民の取引デー
タにアクセスさせていたため、厳しく非難されていた。SWIFTによれば、米国
でデータを処理していたため、米当局のアクセス申請に準拠を余儀なくされた
だけだという。ヨーロッパのデータ保護局は、それを実際に行ったSWIFTはデー
タ保護法に違反したことになると判断。欧米間の取引については、今後も米国
内で処理される。
http://www.heise.de/english/newsticker/news/96990
http://www.theregister.co.uk/2007/10/15/swift_processing_halt/print.html
http://www.swift.com/index.cfm?item_id=63570

【編集者メモ】(Honan)
スイスにデータプロセスセンターを移動すれば、スイスはEUに入っていないこ
とから、SWIFTはEUのデータ保護法の対象にならなくなる。しかし、この場合
SWIFTは、スイスのデータ保護法やプライバシー規則に従わなければならない。
このケースは、国際的な企業がその土地での法や規則に抵触してしまう、とい
うわかりやすい事例である。また、運営を行う地域ごとに、その管轄の法の専
門家を雇うことの重要性も浮き彫りにしている。
───────────────

◆カリフォルニア州 RFIDの必須埋め込みを禁止(2007.10.15)

カリフォルニア州は、ウィスコンシン州とノースダコタ州と同様に、雇用主や
その他の団体が、職員など人間の皮下に必須でRFIDチップを埋め込ませる行為
を禁止した。昨年、オハイオ州の警備会社が特定の従業員に対し、RFIDチップ
の埋め込みを義務付けた事件があった。この法案を提案した同州の上院議員
Joe Simitian(パロアルトの民主党)は、強制的なタグ付け行為は「究極のプラ
イバシーの侵害」だとしている。彼はまた、RFIDデバイスを製造・販売してい
る企業らが、この法案について沈黙していたことに失望している。シュワルツ
ネッガー知事は金曜日にこの法案に調印。2008年1月1日に有効となる。
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=202402856
http://www.mercurynews.com/breakingnews/ci_7162880

───────────────────────────────────
★無料 『事業継続セミナー』 開催★  http://www.idg.co.jp/expo/bcm
┃Business Continuity Management 2007
┃               -- 2007.11.30.Fri@東京ミッドタウン
┃ 迫る国際標準化(ISO)-「事業継続」と「IT継続」-
┃●Keynote>>世界におけるBCIの取組み、英国規格 そして国際標準化への軌跡
┃      英国BCI Technical Services Director Lyndon Bird 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の20セッション!!
┗事前仮登録実施中!今すぐ!! http://www.idg.co.jp/expo/bcm ━━━━━
───────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
        (原版:2007年10月16日 Vol.6 No.42)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                 件数(#は本稿掲載番号)
======================================================================
Windows                     2 (#5, #12)
Microsoft Office 3 (#2, #4)
その他のMicrosoft製品              4 (#3)
サードパーティWindowsアプリ           11 (#1, #7, #8, #9)
Linux                      3
BSD                       1
Solaris                     4
クロスプラットフォーム             17 (#6)
Webアプリ…XSS                 12
Webアプリ…SQLインジェクション         7
Webアプリケーション              34
ネットワークデバイス              5
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週の最も重大な脆弱性4つは、Windowsユーザーのほとんどに影響を及ぼす
(Internet Explorer、Outlook Express、Word、Kodak Image Viewer)。

Kodakにある問題は、有益でありながらも不愉快な事実を露呈した。この製品
はWindowsと同梱されていたため、Microsoftは同製品にパッチを施した。しか
し、あとで追加された他の製品のほとんどは、自動的にパッチされてない。ベ
ンダーの多くは、ユーザー自身がWebサイトをチェックして、パッチが必要な
欠陥の存在を把握するよう期待している。犯罪者らはそのことを知っており、
そのため、アプリケーションに対するアタックに新しい波が生まれてしまって
いる。あまりにもたくさんの脆弱性が、アプリケーションに(今週だけで100近
くが商用アプリケーションに、社内開発アプリケーションにはそれよりもかな
り多くの脆弱性が)見つかっているため、カスタムソフトウェアやパックソフ
トウェアの大型バイヤーは、サプライヤーや外注業者らに対し、企業システム
に導入されるソフトウェアを操作する人員には、安全なプログラミングスキル
の証明を必須条件として提示させるよう通知している。

所属組織にソフトウェア開発者がいるのであれば、安全なプログラミングの専
門技能を実証するために、12月にワシントンで行われる安全プログラミング試
験を受けるよう(強く)勧めてください。(www.sans.org/gssp)
────────────────

1.危険度【重大】:Kodak Image Viewer/Microsoft Windowsの画像形式の脆弱
  性(MS07-055)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

<詳細>
Kodak Image Viewerは、Microsoft Windowsに同梱されているアプリケーショ
ンで、さまざまな画像形式を閲覧するときに使用される。しかし、このアプリ
ケーションのTagged Image File Format(TIFF)画像ファイル処理には、欠陥が
ある。TIFFファイルが細工されると、メモリ崩壊脆弱性が引き起こされる。そ
のため、この脆弱性を悪用すれば、現在のユーザー権限で任意のコードを実行
できるようになってしまう。このような画像をホストしている悪意のあるWeb
サイトによっても、この脆弱性を悪用されるおそれがある。この脆弱性の技術
的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-055.mspx
BreakingPoint Systemsのブログ記事(技術的詳細の全容を含む)
https://strikecenter.bpointsys.com/articles/2007/10/10/october-2007-microsoft-tuesday
TIFFについてのWikipediaの説明
http://en.wikipedia.org/wiki/TIFF
SecurityFocus BID
http://www.securityfocus.com/bid/25909
────────────────

2.危険度【重大】:Microsoft Outlook ExpressおよびWindows MailのNNTP処理
  にバッファオーバーフローの脆弱性(MS07-056)

<影響のある製品>
Microsoft Windows 2000/XP/Server 2003用Microsoft Outlook Express
Microsoft Windows Vista用Microsoft Windows Mail

<詳細>
Microsoft Outlook ExpressおよびWindows Mailは、Microsoft Windows上のデ
フォルトのNetwork News Transport Protocol(NNTP)クライアントである。
"netnews"もしくは単に"news"と俗に言われるNNTPは、分散型ディスカッショ
ングループへアクセスするときのプロトコルである。Microsoft Outlook
ExpressとWindows Mailは、NNTPサーバからの不正形式のレスポンスの中で特
定のものを正しく処理できない。そのため、サーバ・レスポンスが細工される
とこの脆弱性が悪用され、現在のユーザー権限で任意のコードが実行されてし
まう。脆弱なアプリケーションは、ユーザーがNNTP URL("news://"で始まる
もの)にアクセスした場合、デフォルトでオープンになるように設定されてい
る。したがって、悪意のあるWebサイトもこの脆弱性を悪用できるおそれがあ
る。この脆弱性の技術的詳細が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-056.mspx
BreakingPoint Systemsのブログ記事(技術的詳細の全容を含む)
https://strikecenter.bpointsys.com/articles/2007/10/10/october-2007-microsoft-tuesday
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=607
NNTPについてのWikipediaの説明
http://en.wikipedia.org/wiki/NNTP
SecurityFocus BID
http://www.securityfocus.com/bid/25908
────────────────

3.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS07-057)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista

<詳細>
Microsoft Internet Explorerには、リモート・コード実行やユーザーインタ
ーフェース・スプーフィングにつながる複数の脆弱性がある。キューファイル
のダウンロードを正しく処理できないために、メモリ崩壊脆弱性が生じる。
Webページが細工されると、この脆弱性が悪用され、現在のユーザー権限で任
意のコードが実行されてしまう。その他の脆弱性は、ユーザーがWebサイトか
ら離れた後でも、WebページがWebブラウザとしつこく接触し続けるようにする
ものだ。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-057.mspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/25916
http://www.securityfocus.com/bid/25915
────────────────

4.危険度【重大】:Microsoft Wordにメモリ崩壊脆弱性(MS07-060)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Mac用Microsoft Office 2004

<詳細>
Microsoft Wordには、特定の不正形式文書の処理にメモリ崩壊脆弱性がある。
Microsoft Office文書が細工されるとこの脆弱性が引き起こされ、現在のユー
ザー権限で任意のコードが実行できるようになってしまう。このアタックには、
Apple MacintoshバージョンのMicrosoft Officeのファイル形式が関連してい
ると思われる。このファイル形式は、同ソフトウェアの全てのバージョンで開
けるようになっていない。 Office 2000以降のOfficeのバージョンでは、ユー
ザーに事前にプロンプトすることなしに文書は自動的に開かれないようになっ
ている。この脆弱性は、ちまたで活発に悪用されているようだ。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-060.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/25906
────────────────

5.危険度【高】:Microsoft WindowsのURI処理に脆弱性

<影響のある製品>
Internet Explorer 7使用時のMicrosoft Windows XPおよびServer 2003

<詳細>
Internet Explorer 7のあるMicrosoft Windowsはアプリケーションから引き渡
されたURIを正しく消毒できない。そのため、URIが細工されるとこの脆弱性が
引き起こされ、現在のユーザー権限で任意のコマンドが実行されてしまう。こ
の欠陥は、Windows ShellへのURIを処理するアプリケーションどうしが相互作
用するときに生じる。この脆弱性で問題となっているURIのいくつかが、例と
して公表されている。アプリケーションの中には、Windows Shellに引き渡す
前にURIを検証できるようパッチが適用されたものもあるが、その他のアプリ
ケーションやWindows Shell自体はまだ脆弱である。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/943521.mspx
Microsoftセキュリティレスポンスセンターのブログ記事
http://blogs.technet.com/msrc/archive/2007/10/10/msrc-blog-additional-details-and-background-on-security-advisory-943521.aspx
US-CERTの脆弱性ノート
http://www.kb.cert.org/vuls/id/403150
SecurityFocus BID
http://www.securityfocus.com/bid/25945
────────────────

6.危険度【高】:IBM DB2 Universal Databaseに複数の脆弱性

<影響のある製品>
IBM DB2 Universal Database 8.2までのバージョン

<詳細>
IBMのDB2 Universal Databaseは、IBMの企業用データベースシステムである。
しかし、これには複数の脆弱性がある。DB2JDSサブシステムにある欠陥は、過
剰に長い文字列がシステムに供給されるとバッファオーバーフローの脆弱性を
引き起こす。この脆弱性の悪用が実現すれば、現在のユーザー権限で任意のコー
ドが実行できるようになってしまう。また、ほかにDoS脆弱性2件に関する情報
が開示されている。

<現状>
IBMはこの問題を認めており、更新をリリースしている。可能であれば、TCP67
89番ポートおよび7978ポートへのアクセスをネットワーク境界でブロックすれ
ば、この脆弱性の影響を軽減できる。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-07-056.html
IBMのセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg1IY97750
SecurityFocus BID
http://www.securityfocus.com/bid/26010
────────────────

7.危険度【高】:Computer Associates BrightStor ARCServeに複数の脆弱性

<影響のある製品>
Computer Associates BrightStor ARCServ Backup 11.xまでのバージョン

<詳細>
Computer Associates BrightStor ARCServ Backupは企業用バックアップアプ
リケーションとして広範囲で使用されている。このアプリケーションは、
Remote Procedure Call(RPC)インタフェースを多数エクスポートする。これら
のインタフェースへのコールが細工されると、バッファオーバーフローが引き
起こされるか、認証なしでシステム設定を変更できるようになってしまう。こ
れらの脆弱性のどれかの悪用が実現すると、脆弱なプロセス権限で任意のコー
ドを実行できるようになってしまう。これらの脆弱性の技術的詳細のいくつか
が公表されている。

<現状>
Computer Associatesはこの問題を認めており、更新をリリースしている。

<参考>
Computer Associatesのセキュリティアドバイザリ
http://supportconnectw.ca.com/public/storage/infodocs/basb-secnotice.asp
Fortinetセキュリティ研究チームによる掲示
http://lists.grok.org.uk/pipermail/full-disclosure/2007-October/066528.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/24680
http://www.securityfocus.com/bid/26015
────────────────

8.危険度【高】:EMC RepliStorにリモートのバッファオーバーフロー脆弱性

<影響のある製品>
EMC RepliStor 6.1.3までのバージョン

<詳細>
EMC ReplIStorは、EMC製のバックアップおよび保存管理ソリューションとして
広範囲で使用されている。しかし、このサービスのユーザーリクエスト処理に
は、バッファオーバーフロー脆弱性がある。アプリケーションへのリクエスト
が細工されると、このバッファオーバーフローが悪用され、脆弱なプロセス権
限(SYSTEMの場合が多い)で任意のコードを実行できるようになってしまう。こ
の脆弱性の技術的詳細のいくつかが公表されている。

<現状>
EMCはこの問題を認めており、更新をリリースしている。可能であれば、TCP71
44番ポートおよび7978ポートへのアクセスをネットワーク境界でブロックすれ
ば、この脆弱性の影響を軽減できる。

<参考>
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-07-18
製品のホームページ
http://software.emc.com/products/software_az/replistor.htm
SecurityFocus BID
http://www.securityfocus.com/bid/26014
────────────────

9.危険度【高】:Kaspersky Labs Online Virus Scannerの ActiveXコントロー
ルに書式文字列の脆弱性

<影響のある製品>
Kaspersky Labs Online Virus ScannerのActiveXコントロール

<詳細>
Kaspersky Labs Online Virus Scannerは、Webベースのアンチウィルスソリュ
ーションである。このアプリケーションは、使用時にActiveXコントロールを
インストールするようになっているが、そのActiveXコントロールには書式文
字列の脆弱性がある。悪意のあるWebページがこのコントロールをインスタン
ス化すると、この脆弱性が引き起こされ、現在のユーザー権限で任意のコード
が実行されるようになってしまう。この脆弱性の技術的詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。Microsoftの
"kill bit"機能をCLSID "0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75"に設定して
問題のコントロールを無効にすれば、これらの脆弱性の影響を軽減できる。こ
のコントロールを無効にすると、正式なアプリケーションの用途まで阻止され
ることもあるので注意が必要だ。

<参考>
Kaspersky Labsのアドバイザリ
http://www.kaspersky.com/news?id=207575572
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=606
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
書式文字列脆弱性についてのWikipediaの説明
http://en.wikipedia.org/wiki/Format_string_attack
SecurityFocus BID
http://www.securityfocus.com/bid/26004

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。