NRI Secure SANS NewsBites 日本版

Vol.2 No.8 2007年2月26日発行

**********************************************************************
NRI Secure Security Information
(SANS NewsBites、@RISKサマリー版)
Vol.2 No.8 2007年2月26日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

丸紅の内部統制整備ノウハウ提供!MSOL SOX PACKセミナー(3/7-8)━

┃・丸紅グループの内部統制整備プロジェクト「MARICO PROJECT」を実際
┃ に手がけた実務責任者を講師に、実際に活用した文書化ハンドブック・
┃ 文書化テンプレート・文書サンプルなど貴重な実務ノウハウを提供
┃ >お申込み・詳しい内容は →http://www.msol.co.jp/msp/seminar.html
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.9 No.14-15 (原版:2007年2月18、23日)

■はじめに(Alan Paller: SANS Director of Research)

Vistaの評価をしようとしている企業の皆様、Microsoft VistaのSSLF(安全な
設定)で動かなくなってしまうアプリケーションはないでしょうか? 連邦政
府と取引のある主なベンダーのほとんどが、SSLF上で自社のアプリケーション
を使用し始めています。現在、テストは初期段階ですが、アプリケーションは
うまく動作しているようです(ソフトウェア開発者のスキル不足による問題は
いくつか出ているようですが…)。今後、政府局の中には、XPにインストール
されているアプリケーションであっても、SSLFで正常に動作する保証のないも
のは購入しないとことも出てくるようです。動作しないアプリケーションが見
つかり、それを動かすためにSSLFの設定を変更せざるを得なかった方は、ぜひ、
paller@sans.orgまでご一報ください。それが本当に互換性の問題なのか、仕
事の手を抜いたプログラマーに原因があるのか、我々は解明を試みます。

SSLFで動くアプリケーションを購入した企業は、そのセキュリティの大幅な改
善や、セキュリティ関連費用の減少を目の当たりにするでしょう。
────────────────

◆米国防総省への中国からのサーバアタックは容赦ない (2007.2.13)

海軍のネットワーク戦コマンド(Naval Network Warfare Command)によると、
中国のハッカーは、米国防総省のネットワークをサイバーアタックの標的とし
て、容赦なく攻撃しているという。これらのアタックは量が多く、熟練した高
度なもので、この行為が政府によって支援を受けているという説を裏付ける。
中国からやって来るアタックの目的は、技術を盗む、諜報活動、敵陣からの脱
出、国防総省の業務の研究、国防総省ネットワーク内に潜伏して今後に備える
ことだと思われる。
http://www.fcw.com/article97658-02-13-07-Web&printLayout
────────────────

◆Zero-DayのWordの欠陥、ターゲットを絞ったアタックで悪用される
(2007.2.15)

Microsoft Wordにあるzero-day欠陥は、ターゲットを絞ったアタックに使用さ
れているようだ。バッファオーバーフローの脆弱性は、Microsoft Office
2000やMicrosoft Office XPに影響を及ぼす。このアタックは、特定の企業の
社員2人にターゲットが絞られて、個人情報やビジネス情報を引き出そうと試
みられたが、未遂に終わっている。このアタックが実行されるには、ユーザー
が、細工された悪意のあるOfficeの添付ファイルを開かなければならない。
http://www.informationweek.com/showArticle.jhtml?articleID=197006393&cid=RSSfeed_TechWeb
http://www.vnunet.com/vnunet/news/2183298/zero-day-word-attack-emerges

【編集者メモ1】 (Paller)
このストーリーをトップニュースに載せたのは、主だったアタック手段が説明
されているからだ。このようなアタック手法は、米国や米国の連合国軍事基地
を侵害する際に、また、犯罪組織が銀行を侵害する際に、さらに、その他の壊
滅的なアタックに用いられる。だまされやすい社員(そのほとんどが、退屈で
効果のないセキュリティ教育しか受けていない)が、添付ファイルを開いてし
まうか、悪意あるサイトへ誘導するメールのリクエストに引っかかっている。
社員がこのようなスピアフィッシングにひっかからないかをテストしないよう
なセキュリティ管理者は、まったく職務を全うしていないといえる。どこかの
過程で、必ずCEOは誰に原因があるのかと問うだろう。そうなれば、セキュリ
ティ管理者が隠れるところはない。米国の政府機関に向けてこのようなアタッ
クが成功していることを考えると、 米国下院政府監視改革委員会(US House
Government Oversight and Reform Committee)や、行政予算管理局(OMB)に
対して、「彼らが行っているアウェアネストレーニングに効果はあるのか」と
いう重要な問題提議をせざるを得ない。
【編集者メモ2】(Honan)
InformationWeekの記事にあったように、エンドユーザーがこのようなアタッ
クを検知することができれば、その企業が行ったセキュリティアウェアネスプ
ログラムには、賞賛の嵐が吹くだろう。そして願わくは、そのようなプログラ
ムを皆で共有したいものだ。
────────────────

◆Nationwide Building Society社 ラップトップを盗まれて罰金(2007.2.14)

英国金融サービス機構は、Nationwide Building Society社が「情報セキュリ
ティの手順やコントロールを十分に設置していなかった」ため、 98万ポンド
(192万ドル) の罰金を科した。2006年8月、社員の自宅から、1,100万人近くの
顧客の機密情報が保存されたノートパソコンが盗まれたのだ。問題の社員は、
この盗難事件をすぐに報告したものの、コンピュータの中に保存されていたデー
タの内容の報告を怠り、その報告がなされたのは、事件発生から3週間後、休
暇から帰ってきたときだった。その社員がまだ雇用されているか、懲戒処分に
なったかについては、何も述べてられていない。同社によれば、盗まれたデー
タに社会保険番号や、パスワード、残高情報はないという。同社の広報は、二
度と同じことは起こらないように対策を講じたと述べている。Nationwide社は、
影響のある顧客に対して、レターでこの旨を通知した。今のところ、金銭を損
失した顧客はいない。
http://news.bbc.co.uk/2/hi/business/6360715.stm
http://www.channel4.com/news/content/news-storypage.jsp?id=27099299
http://software.silicon.com/security/0,39024888,39165800,00.htm
http://www.zdnet.co.uk/misc/print/0,1000000169,39285928-39001084c,00.htm

【編集者メモ1】 (Honan)
Nationwide社が、機密情報が盗まれたノートパソコンに入っていたことを把握
していなかったなんて、なんと嘆かわしいことだ。情報の在り処がわからなけ
れば、どうやってそれを守ればよいのか。データは資産であり、その資産価値
に従って、適切な追加措置、コントロール、管理手段を用いなければならない。
また、もともとNationwide社は140万ポンドの罰金を科せられるはずだったが、
早期にFSAと示談に合意したため、罰金額が30%割引されているところが興味深い。
http://www.metro.co.uk/money/article.html?in_article_id=37377&in_page_id=36.
【編集者メモ2】(Schultz)
英国金融サービス機構が下した措置には、大いに賛同する。データセキュリティ
侵害が発生した企業に多額の罰金を科せば、それらの企業はデータセキュリティ
により大きな注意を払うようになる。
【編集者メモ3】(Kreitner)
金銭的な罰金を科せば、より多くの企業がセキュリティコントロールに注意を
払うようになるだろう。個人情報を侵害された可能性のある人に通知レターを
送付するなど、あまりにも簡単なことだ。
────────────────

◆ISPのデータ保存期間の決定権限を検事に与える法案(2007.2.15)

米国下院に提出された法案では、インターネットサービスプロバイダ(ISP)に、
顧客データを保持させる権限を検事に与えている。インターネットによる若者
の誘導および悪用の防止に関する2007年法(Internet Stopping Adults
Facilitating the Exploitation of Today's Youth Act of 2007)もしくは安
全法(SAFETY Act)として知られる法案(H.R. 837)では、ISPに対して、会員
氏名とその住所、電話番号、IPアドレス情報を保持することを義務付けている。
データの保存期間は、司法省によって定められる。Alberto Gonzalez検事総長
は、データは最低2年間保存されるべきだと述べた。プライバシー提唱者らは、
この法案の言い回しが曖昧なため、ISPは会員のWebサーフィンの傾向や、IMお
よびメール通信も保存しなくてはならないように解釈されかねないと指摘している。
http://www.internetnews.com/bus-news/print.php/3660201
http://thomas.loc.gov/cgi-bin/query/z?c110:H.R.837:
注意:この記事によって、「この法案でデータは永久的に保持されなければな
らない」という先週のストーリー(2月13日に発行されたNewsBites Vol. 9,
No.13) が改正されている。
────────────────

◆英国企業 障害回復プランを後回しに(2007.12.19)

NetBenefitの調査によると、英国の中規模企業の3分の2は、Webサイトの障害
回復プランを作成しているが、同プランを1年に1回以上テストしている企業は
38%にとどまったという。この調査に回答した企業の64%は、Webサイトがま
る1日ダウンしても業務に損害はない、もしくはほとんどないと見込んでいた。
この調査結果は、250人以上の社員がいる企業のIT部長100人の回答を集計したものだ。
http://www.vnunet.com/vnunet/news/2183550/uk-firms-under-fire-ignoring

【編集者メモ】 (Schultz)
この調査結果に驚きはない。また、この結果は、まさに英国ならではのユニー
クさがある。ほとんどの企業は、機能停止や混乱によって生じる業務への影響
を十分に理解できていない。起こり得る影響を理解できない限り、企業が適切
な業務継続計画を作成してテストする可能性は低いといえる。
────────────────

◆調査:アイルランド企業の98%が昨年サイバー犯罪を経験 (2007.2.15)

情報セキュリティシステム協会(ISSA:Information Security Systems
Association)とUniversity College Dublin (UCD)によるアイルランドサイバー
犯罪アンケートの結果によると、何らかのサイバー犯罪を経験した企業は全体
の98%にのぼった。回答企業の3分の1が、発生した問題を修正するために5万
ユーロ(6万5,755ドル)以上を費やしたという。また、22%の企業は、少なくと
も10万ユーロ(13万1,510ドル)以上を支払ったと回答している。半数以上の
回答企業は、影響軽減活動にかかった工数は10日、25%近くが50日と答えてい
る。90%の回答者がウィルス感染、63%が資産の盗難被害、56%がフィッシン
グアタックを経験したという。問題を修正するために外部支援を利用した企業
は53%のみだった。
http://www.siliconrepublic.com/news/news.nv?storyid=single7798
http://www.issaireland.org/ISSAUCD Irish Cybercrime Survey 2006.pdf

【編集者メモ】 (Honan)
このストーリーで、「わが社は規模が小さいのでサイバー犯罪のターゲットに
ならない」などと考えている人も覚醒するだろう。

**********************************************************************
■■@RISK:The Consensus Security Vulnerability Alert
(原版:2007年2月20日配信 Vol.6 No.8)

@RISKは、前週一週間に発見された重大な脆弱性およびエクスプロイトをリス
トアップした脆弱性のサマリー情報です。SANS Instituteと3Comの
TippingPointチーム主導の下に作成され、12社のセキュリティ管理者で構成さ
れる「セキュリティマネージャ委員会」の具体的アクションも掲載されています。
組織のシステムを保護するために有益で的確なガイダンスを提供します。
────────────────

■はじめに(Alan Paller: SANS Director of Research)
本号には、読者が Apple Mac OS や Cisco セキュリティ製品、 PHP、HP-UX、
広範囲で使用されている BitTorrent クライアントにある重要な脆弱性が看過
され兼ねないほど多くのMicrosoft Windows および Microsoft Officeの重大
な脆弱性が含まれている。
────────────────

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー             件数(#は本稿掲載番号)
======================================================================
Windows                   8 (#1, #4, #5, #6, #7, #8, #9, #12)
Microsoft Office              5 (#2, #3)
その他のMicrosoft製品           9
サードパーティのWindowsアプリ    5
Apple                      2 (#10)
Linux                     3
Solaris                    2
Aix                      1
Unix                       2
クロスプラットフォーム          8
Webアプリ…XSS             10
Webアプリ…SQLインジェクション     5
Webアプリケーション            27 (#11)
ネットワークデバイス            1 (#13, #14)
ハードウェア                3
======================================================================

1.危険度【重大】: Microsoft Data Access Components の脆弱性により、
リモートでコードが実行される (MS07-009)

<影響のある製品>
Microsoft Windows 2000/XP/2003

<詳細>
Microsoft Data Access コンポーネント(MDAC)は、DBや、その他のデータスト
レージシステムにアクセスするときに用いられ、Microsoft Windows ではデフォ
ルトでインストールされている。その MDAC のパーツとしてインストールされて
いる "ADODB.Connection" ActiveX コントロールに、バッファオーバーフローの
脆弱性がある。このコントロールをインスタンス化するWebページによってこの
オーバーフローを悪用されると、現在のユーザーの権限で任意のコードが実行さ
れてしまう。この脆弱性の技術的詳細やエクスプロイトコードが、公表されている。
また、任意のActiveXコントロールをターゲットにしたエクスプロイトコー
ドが広範囲に公表されており、このコードは、この脆弱性を悪用できるように応
用しやすくなっている。 過去に、 MDAC にある他の脆弱性が悪用された経緯もある。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoft の問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しての更新を加速推進する
ところのもあるようだ。

<参考>
Microsoft のセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-009.mspx
SANS ISCによるMicrosoft分析
http://isc.sans.org/diary.html?storyid=2232
概念実証コード
http://www.securityfocus.com/data/vulnerabilities/exploits/20704.txt
Microsoftセキュリティレスポンスセンターのブログ記事
http://www.securityfocus.com/data/vulnerabilities/exploits/20704.txt
SecurityFocus BID
http://www.securityfocus.com/bid/20704
────────────────

2.危険度【重大】: Microsoft Office の脆弱性により、リモートでコードが実行される (MS07-015)

<影響のある製品>
Microsoft Office 2000/XP/2003
Microsoft Project 2000/2002
Microsoft Visio 2002
Mac用Microsoft Office 2004

<詳細>
Microsoft Office には複数の脆弱性がある。

(1) Microsoft PowerPoint ファイルが細工されると、 不正なメモリアクセスを
引き起こし、現在のユーザーの権限で任意のコードが実行されてしまう。この脆
弱性は、Microsoft セキュリティ警告 MS06-062、MS06-058 にて最初に報告され
たものの、そこでリリースされた修正プログラムでは効果がなかったようだ。
(2)Microsoft Excel ファイルが細工されると、不正なメモリアクセスを引き起
こし、現在のユーザーの権限で任意のコードが実行されてしまう。この脆弱性
は、MS07-014 に関連性があると見られている。また、同脆弱性は、少なくと
も、2つのウィルス "Exploit-MSExcel.h" と "Exploit-MSExcel.h" にアタック
されてしまうようだ。

これらの脆弱なファイル各種は、Office 2000 以降の Microsoft Office であれ
ばどのバージョンでは、プロンプトなしで開かれてしまうので、注意が必要だ。
これらの問題は、@RISKのバックナンバーでも説明されている。これらの脆弱性
は、以前公表されたため、悪用のターゲットになりやすい。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しては、更新を加速推進す
るところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-015.mspx
Symantecによる記事("Trojan.Mdropper.Y")
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-020717-0252-99
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=5&i=41#widely5
http://www.sans.org/newsletters/risk/display.php?v=6&i=6#widely1
SecurityFocus BIDs
http://www.securityfocus.com/bid/20325
http://www.securityfocus.com/bid/22383
────────────────

3.危険度【重大】: Microsoft Wordに複数の脆弱性(MS07-014)

<影響のある製品>
Microsoft Word 2000/2002/2003
Microsoft Works Suite 2004/2005/2006
Mac 用Microsoft Office 2004

<詳細>
Microsoft Word には、複数のメモリ破壊脆弱性がある。この脆弱性は、図表オ
ブジェクトや、文字列などのデータを含む文書を、Wordが分析するときに生じ
る。また、細工されたWord文書にマクロが含まれていると、それらの中には、
ユーザーへのプロンプトなしに、そのマクロを実行してしまうものもある。これ
らの脆弱性によって、現在のユーザーの権限で任意のコードが実行される可能性
がある。作用するエクスプロイトや概念実証コードが、リリースされており、こ
れらの欠陥の中には、警告が出る前から活発に悪用されているものもある。これ
らの脆弱性のうち2つは、"Trojan.Mdropper.Y" と"Trojan.Mdropper.Y"ウィルス
によって悪用されているようだ。

<現状>
Microsoftはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しての更新を加速推進する
ところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS07-014.mspx
概念実証コード(Word文書)
http://returnaddr.org/exploit/word2000/
http://www.securityfocus.com/data/vulnerabilities/exploits/12122006-djtest.doc
Symantecによる記事 ("Trojan.Mdropper.X"と"Trojan.Mdropper.Y")
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-020717-0252-99
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-013010-5422-99
Microsoftセキュリティレスポンスセンターのブログ記事(いくつかの欠陥が活発
に悪用されていることについて)
http://blogs.technet.com/msrc/archive/2006/12/15/update-on-current-word-vulnerability-reports.aspx
Juha-Matti Laurioによる掲示
http://www.securityfocus.com/archive/1/454093
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=6#widely1
http://www.sans.org/newsletters/risk/display.php?v=5&i=49#widely1
SecurityFocus BIDs
http://www.securityfocus.com/bid/22567
http://www.securityfocus.com/bid/22225
http://www.securityfocus.com/bid/22383
http://www.securityfocus.com/bid/22482
http://www.securityfocus.com/bid/21451
http://www.securityfocus.com/bid/21589
http://www.securityfocus.com/bid/21518
http://www.securityfocus.com/bid/22477
────────────────

4.危険度【重大】: HTML ヘルプの ActiveX コントロールの脆弱性により、リ
モートでコードが実行される(MS07-008)

<影響のある製品>
Microsoft Windows 2000/XP/2003

<詳細>
Microsoft HTML Help は、ヘルプ文書の Microsoft の基準形式である。ヘルプ
ファイルを閲覧する際に用いられる Microsoft HTML HelpのActiveXコントロー
ルにはバッファオーバーフローの脆弱性がある。このコントロールをインスタン
ス化するWeb ページによって、このオーバーフローが引き起こされると、現在の
ユーザーの権限で任意のコードが実行されてしまう。この脆弱性の完全な技術的
詳細は、まだリリースされていないようだ。しかし、過去には、似たようなエク
スプロイトが広範囲で悪用された経緯がある。任意のActiveXコントロールを
ターゲットした再利用可能なエクスプロイトコードも、広範囲にリリースされて
おり、そのコードは、応用しやすくなっているようだ。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しの更新を加速推進すると
ころのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-008.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/22478
────────────────

5.危険度【重大】: Microsoft Malware Protection Engine の脆弱性により、
リモートでコードが実行される (MS07-010)

<影響のある製品>
Microsoft Windows Live OneCare
Exchange 用およびSMTP Gateway 9.x用Microsoft Antigen
Microsoft Windows Defender
Microsoft Forefront Security

<詳細>
Microsoft Malware Protection Engineは、いろいろなMicrosoft製品において、
マルウェアのスキャンや検知に使用されている。しかしこれには、ヒープオー
バーフロー脆弱性がある。細工された PDFファイルによって、この脆弱性が引き
起こされると、文書にアクセスするプロセスの権限(多くの場合システム権限)
で任意のコードが実行されてしまう。多くの場合(添付ファイルをスキャンする
電子メールゲートウェイなど)においては、この脆弱性を悪用するための特別な
ユーザー操作は必要ない。このように悪用される文書は、メールやWeb、インス
タントメッセージ、ピアツーピアファイルなどによって、転送されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しての更新を加速推進する
ところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/ms07-010.mspx
IBM X-Forceの記事
https://www.it-isac.org/postings/cyber/alertdetail.php?id=4105&menutype=menupublic
SecurityFocus BID
http://www.securityfocus.com/bid/22479
────────────────

6.危険度【重大】: Internet Explorer 用の累積的なセキュリティ更新プログラ
ム(MS07-016)

<影響のある製品>
Microsoft Windows 2000/XP/2003

<詳細>
Microsoft Internet Explorerには、複数の脆弱性がある。

(1)Microsoft Internet Explorer には、 特定のComponent Object Model
(COM)をインスタンス化するときに発生する、メモリ破壊脆弱性がある。Webペー
ジが脆弱なオブジェクトのどれかをインスタンス化すると、この脆弱性が引き起
こされ、現在のユーザーの権限で任意のコードが実行されてしまう。 リリース
されているエクスプロイトは、脆弱なオブジェクトをアタックできるように簡単
に改造できる。
(2) Microsoft Internet Explorer の FTP レスポンスの解析には、メモリ破壊
脆弱性がある。悪意のあるFTPサーバは、この脆弱性を引き起こし、現在のユー
ザーの権限で任意のコードを実行してしまう。悪意のあるFTPサーバへのリンク
があるWebサイトも、この脆弱性を悪用できるようだ。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しては、更新を加速推進す
るところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-016.mspx
SecurityFocus BIDs
http://www.securityfocus.com/bid/22486
http://www.securityfocus.com/bid/22504
http://www.securityfocus.com/bid/22489
────────────────

7.危険度【高】:Microsoft OLE Dialogにメモリ崩壊脆弱性(MS07-011)

<影響のある製品>
Microsoft Windows 2000/XP/2003

<詳細>
Microsoft のオブジェクト・リンキングや組み込み(OLE)ダイアログのコンポー
ネントには、メモリ破壊の脆弱性がある。OLEコンポーネントを組み込んだRich
Text Format (RTF)文書が細工されると、この脆弱性を悪用して、現在のユー
ザーの権限で任意のコードを実行してしまう。Microsoft のセキュリティ警告に
よると、この脆弱性を引き起こすには、ユーザーが、組み込まれたコンポーネン
トを操作しなくてはならない。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しては、更新を加速推進す
るところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-011.mspx
オブジェクトのリンク付け、および、埋め込みについてのWikipediaの説明
http://en.wikipedia.org/wiki/Object_Linking_and_Embedding
Security Focus BID
http://www.securityfocus.com/bid/22483
────────────────

8.危険度【高】: Microsoft MFC の脆弱性により、リモートでコードが実行され
る(MS07-012)

<影響のある製品>
Microsoft Windows 2000/XP/2003
Microsoft Visual Studio .NET 2002/2003

<詳細>
Microsoft Windows や Microsoft Visual Studio .NET に同梱されている
Microsoft の MFC コンポーネントには、メモリ破壊脆弱性がある。OLE コン
ポーネントを組み込んだRich Text Format (RTF) 文書は、この脆弱性を悪用し
て、現在のユーザーの権限で任意のコードを悪用してしまう。セキュリティ警告
によると、この脆弱性を悪用するには、ユーザーは、この組み込みコンポーネン
トを操作しなければならないという。この問題は、先述のMS07-011と関連性があるようだ。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しては、更新を加速推進す
るところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-012.mspx
OLEについてのWikipediaの説明
http://en.wikipedia.org/wiki/Object_Linking_and_Embedding
Security Focus BID
http://www.securityfocus.com/bid/22476
────────────────

9.危険度【高】: Microsoft RichEditにメモリ破壊脆弱性(MS07-012)

<影響のある製品>
Microsoft Windows 2000/XP/2003

<詳細>
Microsoft RichEdit コンポーネントには。メモリ破壊脆弱性がある。OLE コン
ポーネントが組み込まれた Rich Text Format (RTF) 文書が細工されると、この
脆弱性を悪用し、現在のユーザーの権限で任意のコードが実行されてしまう。セ
キュリティ警告によると、この脆弱性を引き起こすには、ユーザーは、埋め込み
コンポーネントを操作しなくてはならないという。この問題は、先述の
MS07-011 に関連性があるようだ。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しては、更新を加速推進す
るところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-013.mspx
OLEについてのWikipediaの説明
http://en.wikipedia.org/wiki/Object_Linking_and_Embedding
Security Focus BID
http://www.securityfocus.com/bid/21876
────────────────

10.危険度【中】: PHPに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.4.8より前のバージョン
PHP 5.xから 5.2.1より前のバージョン
PHP 4.xから 4.4.5より前のバージョン

<詳細>
PHPには、リモートで悪用可能な脆弱性が複数ある。細工されたリクエストによ
り、これらの脆弱性が悪用され、その結果として、PHPプロセスの権限での任意
のコードが実行されたり、任意のファイルが上書きされたり、DoSに陥る可能性
がある。 PHPのアドバイザリによると、これらの脆弱性の中には、リモートで悪
用可能なものもあるという。 詳細な技術情報はリリースされていないが、PHPは
オープンソースであるため、ソースコードを分析すれば、技術的詳細は入手できる。

<現状>
PHPはこの問題を認めており、更新もリリースしている。欠陥を修正するため
に、バージョン4.4.5および5.2.1をリリースした。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業内で正式に使用されているところはない。しかし、企業ユーザー
でないユーザーは、更新されたい。

<参考>
PHP更新発表
http://www.php.net/releases/5_2_1.php
http://www.php.net/releases/4_4_5.php
SecurityFocus BID
http://www.securityfocus.com/bid/22496
────────────────

11.危険度【重大】: HP-UX SLSdに任意のファイルが作成される脆弱性

<影響のある製品>
Apple Mac OS X 10.4.8以前のバージョン
HP HP-UX 11.11iおよび10.20、それ以外のバージョンも脆弱な可能性あり

<詳細>
HPの UNIXベースのOSであるHP-UXは、"SLSd_daemon"プログラム中に、欠陥があ
る。このプログラムは、複数のコンピュータのグラフィックディスプレイを使用
して X デスクトップを設定できる機能を提供している。この脆弱性を利用した
攻撃が成功した場合、リモートの攻撃者に任意のファイルを上書きされ、リモー
トから root 権限で任意のコードを実行されたり、 root ユーザとして不正アク
セスされたりする危険性がある。この脆弱性の技術的詳細が、公表されている。

<現状>
HPはこの問題を認識しており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
委員会所属企業のうち2社が、影響のあるソフトウェアを使用していた。1社は、
HP-UX システム全てにおいて、SLSdを無効にしていた。もう1社は、次期定例シ
ステムメンテナンスに合わせて更新を行う予定である。

<参考>
HPのセキュリティアドバイザリ
http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00862809
iDefenseのセキュリティアドバイザリ
http://www.securityfocus.com/archive/1/460073/30/0/threaded
HP-UXのホームページ
http://h20338.www2.hp.com/hpux11i/cache/324545-0-0-0-121.html
SecurityFocus BID
http://www.securityfocus.com/bid/22551
────────────────

12.危険度【高】:ステップバイステップの対話型トレーニングの脆弱性によ
り、リモートでコードが実行される (MS07-005)

<影響のある製品>
Apple Mac OS X 10.4.8以前のバージョン
Microsoft Step-by-Stepインタラクティブトレーニング

<詳細>
Microsoft Step-by-Step対話型トレーニングは、あらゆる方法でエンドユーザー
を訓練するときに使用される。しかし、これには、バッファオーバーフロー脆弱
性がある。ブックマークファイル(インタラクティブトレーニングで、トピック
やその他の情報へのリンクを保存するときに使うファイル)が細工されると、こ
の脆弱性が悪用されてしまう。悪用が実現すると、アタッカーは、現在のユー
ザーの権限で任意のコードを実行できるようになってしまう。設定によっては、
プロンプトなしで、ブックマークファイルは自動的に開かれてしまうので注意が
必要だ。この脆弱性の技術的詳細が、公表されている。

<現状>
Microsoftはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
すべての委員会所属企業は、総じて同様に、Microsoftの問題に対して何らかの
対策を講じている。全社とも、次期定例システムメンテナンスに合わせて、パッ
チを配信する予定だ。中には、重大度の高い項目に対しての更新を加速推進する
ところのもあるようだ。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms07-005.mspx
Brett Mooreによる掲示(技術的詳細を含む)
http://www.securityfocus.com/archive/1/460009
SecurityFocus BID
http://www.securityfocus.com/bid/22484
────────────────

13.危険度【高】:Cisco侵入防御システムに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.4.8以前のバージョン
IOSのバージョン12.3および12.4を運用している、Cisco侵入防御システム

注* これらのバージョンのCisco IOS が多数リリースされているため、ユー
ザーは、Ciscoのセキュリティアドバイザリで、脆弱なバージョン全リストを
チェックされたい。

<詳細>
Cisco侵入防御システム(IPS)には、複数の脆弱性がある。

(1) 細工された IP fragmentsは、IPSの防御機能を回避し、悪意のある通信を脆
弱なシステムに通す許可が出てしまう恐れがある。ユーザーは、断片化したIP通
信を拒否すれば、この脆弱性の影響を軽減できる。しかし、そうすると、ネット
ワークのパフォーマンスに問題が生じる可能性がある。
(2) "ATOMIC.TCP"エンジンの正規表現機能を使用するように通信が細工される
と、このデバイスがリロードされ、DoS状態に陥るおそれがある。このエンジン
や正規表現機能を使用するフィルタはどれなのか、まだ公表されていない。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070213-iosips.shtml
Cisco応用インテリジェンスレスポンス
http://www.cisco.com/warp/public/707/cisco-air-20070213-iosips.shtml
SecurityFocus BID
http://www.securityfocus.com/bid/22549
────────────────

14.危険度【中】:Cisco Firewallサービスモジュールに複数の脆弱性

<影響のある製品>
Apple Mac OS X 10.4.8 以前のバージョン
Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータにある
Cisco Firewallサービスモジュール

<詳細>
Cisco Firewallサービスモジュールとは、Cisco CatalystスイッチやCiscoルー
タ用の統合型ファイアウォールモジュールである。しかし、これには複数の脆弱性がある。

(1) 細工されたHTTP通信により、脆弱なデバイスがリロードされ、その結果とし
て DoS に陥るおそれがある。このデバイスは、高度なHTTPリクエスト検査を行
う設定になっていると脆弱になる。
(2) Session Initiation Protocol (SIP)通信が細工されると、脆弱なデバイス
がリロードされ、DoS に陥るおそれがある。このデバイスが悪用されるには、高
度なSIP検査を行うように設定されている必要がある。デバイスのバージョンに
よっては、検査機能はデフォルトで有効になっているので注意が必要だ。
(3)Firewall サービスモジュールに直接向かうように通信が細工されると、デバ
イスがリロードし、デバイスにデバッグメッセージのログをとるように設定され
ている場合は、DoS に陥るおそれがある。
(4)HTTP や HTTPS 通信が細工されると、脆弱なデバイスがリロードする。そし
て、そのデバイスが「ネットワークアクセスの認証」をするように設定されてい
たり、特定のコマンドが設定の一部だったりすると、結果的にデバイスはDoS に
陥るおそれがある。
(5)HTTPS 通信が Firewall サービスモジュールに直接向かうように細工される
と、デバイスがリロードし、デバイスが内部 HTTP サーバを運用するように設定
されていると、DoS に陥るおそれがある。

<現状>
Ciscoはこの問題を認めており、更新もリリースしている。

<セキュリティマネージャ委員会所属企業の対応>
影響のあるソフトウェアや設定は、現在稼働していないか、極めて限定的な使
用にとどまっているため、どの委員会所属企業でも正式にサポートされていな
い。そのため、何の対策も講じる必要はないと報告されている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20070214-fwsm.shtml
SecurityFocus BID
http://www.securityfocus.com/bid/22561
────────────────

15.Sun Solaris/SunOSのTelnet Daemon認証回避脆弱性にパッチ

<詳細>
Sun Solaris/SunOSのtelnet daemon脆弱性が、先週の@RISKに掲載されたが、こ
れに対応するパッチが発行された。ユーザーは、このパッチをなるべく早く適用されたい。

<参考>
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102802-1
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=6&i=7#widely1

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望する方は下記までご連絡ください。

このメールは、SANS関連のイベントに参加された方、NRIセキュアからの情報
を希望された方を中心に配信しています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jpまで返信してください。