NRI Secure SANS NewsBites 日本版

Vol.3 No.10 2008年3月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                      Vol.3 No.10 2008年3月17日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

6月、ラスベガスにて、Webアプリケーションのセキュリティに関する集会が開
かれる。アプリケーションセキュリティ技術の最高峰(Jeremiah Grossman、
Gary McGrawを筆頭に)が終結。最新のアタック技術と、最善の影響緩和策が提
供される。また、経験豊富な銀行やその他組織のアプリケーションセキュリティ
マネージャたちが、実際に効果的なものとそうでないもの、アプリケーション
セキュリティイニシアチブ施行経験から得た教訓を教えてくれる。さらに、ア
プリケーションセキュリティの各ベンダーが、最新ツールを紹介する予定。ア
プリケーションセキュリティ向上に向けて確かな一歩を踏み出せるイベントで
ある。徹底的なトレーニングコースもいくつかご用意している。
詳細はこちら:
http://sans.org/info/24609

PS.
新手アタック手法の80%で、アプリケーションセキュリティの欠陥が悪用され
ている。アプリケーションセキュリティを導入できていないとなると、シンプ
ルかつ洗練されたアタックを受けやすい状態に置かれることになろう。

この数ヶ月間に新セキュリティコースが始動したことを知らない方が、何と多
いことか。セキュリティの動向は常に変化する。特に、新しいペネトレーショ
ンテストコースに注目。貴社のペネトレーションテスターが、去年のツールと
テクニックを使用したままであれば、時代遅れで効果がない。今回は、
NewsBites読者のためのスペシャルギフトとして、オーランド開催のJava/JEE
のセキュアプログラミングコースに、ご所属の組織のプログラマー数名をご招
待。ccalhoun@sans.orgにメールを送信して、割引コードをゲットしよう。
オーランド開催のSANS2008の詳細はこちら:
http://sans.org/info/20042
────────────────

■■SANS NewsBites Vol.10 No.19-20
   (原版:2008年3月7日、12日配信)

◆米軍 Street Viewから基地画像の削除を求める(2008.3.6)

米軍はGoogleに対し、軍基地セキュリティへの脅威を除去する目的で、Street
Viewサービスから特定の画像を取り除くよう求めている。軍は、基地入り口の
セキュリティを詳細に映し出している画像に、特に懸念を抱いている。また、
軍は、Googleがテキサス州の軍基地で撮影を行ったことを受けて、基地での動
画撮影を禁止している。これに対してGoogleは、軍基地へのアクセスを探求し
ているわけでも、専用道路や通り抜けエリアを掲示しているわけでもないと述
べている。Googleの広報は、すでに軍のリクエストに応じたという。
http://www.msnbc.msn.com/id/23505366/
http://ap.google.com/article/ALeqM5gJWAqizzLP80ddn0-BHPl7hy1uvgD8V84NVO0
http://afp.google.com/article/ALeqM5i3BOMCwxbAZg_Nfh9OyIAYPTlSQA
────────────────

◆米空軍 新しいサイバースペース指令を計画(2008.3.5)

米空軍は、今年の10月までに作戦可能な状態に持っていけるサイバー指令を設
ける計画だ。最近発表された文書によれば、この指令は、空軍サイバー指令戦
略構想(Air Force Cyber Command Strategic Vision)と称され、「米国の国
家セキュリティには、サイバースペースの統制が必要不可欠だ」とうたってい
る。また、サイバースペース指令によって、対戦用意の整った部隊が配備され
るようになる。そして、これらの部隊は空軍とスペース作戦と完全に統合され
ることとなる。
http://www.theregister.co.uk/2008/03/05/air_force_cyber_command/print.html
http://www.afcyber.af.mil/shared/media/document/AFD-080303-054.pdf
────────────────

◆スイス銀行 Wikileak問題の訴えを撤回(2008.3.5-6)

スイスのジュリアス・ベアー銀行は、Wikileaks.orgに対して起こした訴えを
撤回した。この訴えは、Wikileaksサイトに掲載されていた同行機密データの
削除を求めて起こしたものであった。判事は、Wikileak.orgを閉鎖する命令を
下したが、米憲法修正第一条に対する懸念から覆した経緯がある。ジュリアス
・ベアー銀行は。現在、他の手段を模索している。
http://www.msnbc.msn.com/id/23488121/
http://www.forbes.com/facesinthenews/2008/03/06/wikileaks-switzerland-tax-face-markets-cx_ll_0306autofacescan01.html

【編集者メモ】(Shchultz)
ジュリアス・ベアー銀行の機密文書削除を目的とした行動は、時が経つにつれ
て、意味をなさなくなってきている。文書が今後しばらく公表されたままであ
るということを考えると、すでに打撃を受けてしまっていると言えるのだから。
────────────────

◆Robberson兄弟 著作権侵害ソフトウェア販売で懲役(2008.3.8)

Maurice A.とThomas K.のRobberson兄弟は、著作権侵害ソフトウェアのオンラ
イン販売により懲役刑の判決を受けた。650万ドル相当の違法ソフト販売で、
100万ドル以上の収益をあげたものである。彼らは、この収益の没収にすでに
応じている。Mauriceは3年、Thomasは30ヶ月の懲役である。この犯罪に関わっ
たと見られる別の2人に対しても、すでに懲役刑の判決が下っている。違法ソ
フトには、Adobe Systems、Autodesk、Macromediaなどがあった。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9067418&source=rss_topic17
────────────────

◆中国のハッカー ペンタゴンのシステムに侵入したと主張(2008.3.7)

CNNと接触した中国のハッカー集団は、ペンタゴンのコンピュータに侵入し、
機密データをダウンロードしたと主張している。彼らは中国政府から報酬をも
らって活動しているという。中国政府はこの話を否定している。グループのリー
ダーはCNNに対し、「どのWebサイトも100%安全ではない。必ず弱点がある」
と述べている。
http://www.cnn.com/2008/TECH/03/07/china.hackers/index.html

【編集者メモ】(Pescatore)
上海デイリー(Shanghai Daily)には、このCNNの報道を否定するハッカーの記
事がある。
(http://www.china.org.cn/china/national/2008-03/11/content_12264393.htm)

【編集者メモ】(Skoudis)
記事によれば、アタッカー集団にはマーケティングで学位を取得した人間もい
るというので驚きだ。彼らのエクスプロイトストーリーには、真実のかけらも
混じっているとは思うが、自称マーケティング専門家がいるというのならば、
誇張が多くを占めていることは間違いない。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年3月7日 Vol.7 No.10)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             1
サーとパーティのWindowsアプリ         8 (#2, #5)
Linux                     8
Solaris                     1
クロスプラットフォーム            16 (#1, #3, #4, #6)
Webアプリ・クロスサイトスクリプティング    11
Webアプリ・ SQLインジェクション        14
Webアプリ                   18
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Only BorlandおよびVersantソフトウェアには、今週危険度「重大」と格付け
された脆弱性が出現。Webアプリケーションに膨大な脆弱性が確認された。
────────────────

1.危険度【重大】:Borland VisiBrokerに文字列処理の脆弱性

<影響のある製品>
Borland VisiBroker 8.00.00.C1.03までのバージョン

<詳細>
Borland VisiBrokerは、Common Object Request Broker Architecture(CORBA)
の商用実装として最も広く使用されている。CORBAは、インタープロセスコミュ
ニケーション用の産業標準オブジェクトモデル・設計である。VisiBrokerの
CORBA文字列の処理には欠陥がある。過剰に長くなるように文字列を細工する
と、インテジャーオーバーフロー脆弱性が引き起こされる。この脆弱性の悪用
が実現すれば、脆弱なプロセス権限で任意のコードが実行できるようになって
しまう。この脆弱性の概念実証コードと全技術的詳細が公表されている。

<現状>
Borlandはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaによるセキュリティアドバイザリ (概念実証コード)
http://aluigi.altervista.org/adv/visibroken-adv.txt
CORBAについてのWikipediaの説明
http://en.wikipedia.org/wiki/Common_Object_Request_Broker_Architecture
製品のホームページ
http://www.borland.com/us/products/visibroker/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/28084
────────────────

2.危険度【重大】:Borland StarTeamサーバに複数の脆弱性

<影響のある製品>
Borland StarTeamサーバ10.0.0.57までのバージョン

<詳細>
Borland StarTeamは、企業用の変更およびソースコード管理システムである。
サーバコンポーネントのユーザーリクエスト処理に、複数のインテジャーオー
バーフロー脆弱性がある。ユーザーリクエストが細工されると引き起こされる。
これら脆弱性のいずれかの悪用が実現すると、脆弱なプロセス権限で任意のコー
ドが実行できるようになってしまう。脆弱性の全技術的詳細と概念実証コード
が公表されている。また、StarTeam上に構築されているメッセージングシステ
ム、StarTeam MPXでも、ネットワーキングライブラリに脆弱なバージョンが使
用されているものがあり、複数の脆弱性につながることが明らかになった。こ
れらは@RISKのバックナンバーにも掲載されている。

<現状>
Borlandはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaによる掲示(概念実証コード)
http://aluigi.altervista.org/adv/starteammpx-adv.txt
http://aluigi.altervista.org/adv/starteamz-adv.txt
@RISKのバックナンバーに掲載された関連記事
http://www.sans.org/newsletters/risk/display.php?v=7&i=4#widely5
製品のホームページ
http://www.borland.com/us/products/starteam/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/28080
────────────────

3.危険度【重大】:Versant Object Databaseに任意のコマンド実行の脆弱性

<影響のある製品>
Versant Object Database 7.0.1.3までのバージョン

<詳細>
Versant Object Databaseは、C++およびJavaの企業用オブジェクトデータベー
スシステムとして広範囲で使用されている。しかし、ユーザーリクエスト処理
時にインプット消毒の欠陥が生じる。細工されたコマンド名がユーザーリクエ
ストに含まれていると、オブジェクトデータベースプロセス権限で任意のコマ
ンドを実行できるようになってしまう。この脆弱性の全技術的詳細と概念実証
コードが公表されている。

<現状>
Vendorはこの問題を認めていないため、更新もリリースしていない。

<参考>
Luigi Auriemmaによるセキュリティアドバイザリ(概念実証コード)
http://aluigi.altervista.org/adv/versantcmd-adv.txt
製品のホームページ
http://www.versant.com/en_US/products/objectdatabase
SecurityFocus BID
http://www.securityfocus.com/bid/28097
────────────────

4.危険度【重大】】:GNOME Evolutionのメッセージ処理に書式文字列の脆弱性

<影響のある製品>
GNOME Evolution 2.12.3までのバージョン

<詳細>
Evolutionは、GNOMEのデスクトップ環境でのメールおよび個人情報管理アプリ
ケーションである。細工されたメッセージを開くか、もしくは表示すると、書
式文字列の脆弱性が生じる。この脆弱性の悪用が実現すれば、現在のユーザー
権限で任意のコードを実行できるようになってしまう。GNOMEデスクトップ環
境は、Red HatおよびUbuntuなど、さまざまなLinuxディストリビューションに
おいてデフォルトとなっているデスクトップ環境である。また、GNOMEは、Sun
のSolaris OSの最近のバージョンでも主なデスクトップ環境となっている。こ
の脆弱性の技術的詳細は、ソースコードを解析すれば入手可能だ。

<現状>
GNOMEはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-8/advisory/
Evolutionのホームページ
http://www.gnome.org/projects/evolution/
GNOMEのホームページ
http://www.gnome.org/
SecurityFocus BID
http://www.securityfocus.com/bid/28102
────────────────

5.危険度【高】:Windows版Symantec Backup Execに複数のActiveX脆弱性

<影響のある製品>
Windows用Symantec Backup Exec 12.0.1364までのバージョン

<詳細>
Symantec Backup Execは、企業用バックアップソリューションとして広範に使
用されている。Windows上での機能の一部は、ActiveXコントロールによって提
供されている。しかし、このコントロールのメソッドのいくつかに、複数の脆
弱性が含まれている。悪意あるWebページのこのコントロールをインスタンス
化すると、脆弱性のひとつが引き起こされてしまう。脆弱性のいずれかの悪用
が実現すると、現在のユーザー権限で任意のコードを実行できるようになって
しまう。これら脆弱性の概念実証コードが公表されている。

<現状>
Symantecはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2007-101/advisory/
http://secunia.com/secunia_research/2007-101/advisory/
Symantecのセキュリティアドバイザリ
http://www.symantec.com/avcenter/security/Content/2008.02.29.html
SecurityFocus BIDs
http://www.securityfocus.com/bid/28008
http://www.securityfocus.com/bid/26904
────────────────

6.危険度【高】:SARGに複数の脆弱性

<影響のある製品>
SARG 2.xまでのバージョン

<詳細>
SARGとは、Squid Analysis Report Generatorのことである。これは、人気の
SquidキャッシングWebプロキシエンジンによって書かれたログをもとに、レポー
トの分析・生成に使用されている。これは、Webサーバやプロキシサーバで自
動的に運用されることが度々あり、ログプロセス間隔を設定する。しかし、
Squidログファイル処理に複数の脆弱性がある。これらのログファイルには、
関連のあるプロキシサーバへのリクエストから取得したログがあるため、外部
のユーザーが、そのコンテンツに影響を及ぼす可能性がある。悪意あるリクエ
ストのログを含むようにログファイルを細工されると、SARGにバッファオーバー
フローの脆弱性が引き起こされ、脆弱なプロセス権限で任意のコードを実行で
きるようになってしまう。さらに、SARGはJavaScriptコード用のログエントリ
を正しくサニタイズできない。このため、生成されたレポートを閲覧するのに
ブラウザが使用されると、そのコードがブラウザ内で実行されるおそれもある。
これらの脆弱性の技術的詳細は、ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/28668/
SARGのリリースノート
http://sourceforge.net/project/shownotes.php?release_id=581212
SARGのホームページ
http://sarg.sourceforge.net/sarg.php
Squidのホームページ
http://www.squid-cache.org/
SecurityFocus BID
http://www.securityfocus.com/bid/28077

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。