NRI Secure SANS NewsBites 日本版

Vol.3 No.12 2008年3月31日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.12 2008年3月31日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

Excelの話は重大な教訓になる。アンチウィルスでWordやExcelのファイルをス
キャンしていても、最高レベルの防御を破る目的で犯罪者が使用している新し
い脆弱性を見つけることはできない可能性が高い。届く予定のないメールの添
付を開いてはならない。送信者にテキストメールで送り直すよう注意喚起しよ
う。この問題は、あなたのキャリアにも関係する。ルールを守れない人間は組
織のデータ盗難の原因になってしまうという事実から逃れられない。

ベストセキュリティ製品2008年版について。我々が作成したこのリストに間違
いはなかったか? セキュリティ製品ユーザーの方に、簡単なアンケートにご
協力いただきたい。どのセキュリティ製品があなたにとって重要であるか、ま
た、我々の絞込みリストに適切な製品が反映されているか調査したい。
アンケートにご協力いただける方はこちら:
http://www.surveymethods.com/EndUser.aspx?9BBFD3CA98DBCACB
────────────────

■■SANS NewsBites Vol.10 No.23-24
   (原版:2008年3月22日、26日配信)

◆アプリケーション欠陥の悪用件数 増加(2008.3.18)

広範囲で使用されているソフトウェア・アプリケーションに検知されたセキュ
リティホール件数、および悪用したアタック件数が増加している。ユーザーは、
添付ファイルを警戒する必要がある。悪意で細工された添付ファイルは、シス
テムに入り込み、データを盗難してしまう可能性がある。また、アプリケーショ
ンは添付ファイルの受信者が気付かないような形で悪用されるおそれもある。
一見何も問題ないファイルの裏に、悪意が潜んでいる場合があるのだ。
http://www.usatoday.com/tech/news/computersecurity/2008-03-18-hacker-attacks_N.htm

【編集者メモ1】(Schultz)
特にニュースと呼べる内容ではない。しかし、この事実を繰り返し伝えること
は非常に重要である。アタックの焦点は、ここ5-6年で大幅に変わってきてい
る。現在のターゲットは明らかにアプリケーションである。
【編集者メモ】(Grefer)
インストールされているソフトウェアの中で、安全でない、あるいはライフサ
イクルを終えた製品を、エンドユーザーや企業が監視できる有益なツールとし
てSecunia Personal Software Inspectorがある。しかも無料:
http://psi.secunia.com
────────────────

◆英国家セキュリティ戦略 サーバセキュリティ分野不十分(2008.3.20)

セキュリティ企業は、英首相Gordon Brownの国家セキュリティ戦略ではサイバー
アタックのリスクに十分に対処できないと、落胆している。プランでは、外国
やテロリストによるサイバーアタック件数の増加には触れているが、そのリス
クを緩和できるような具体的な戦略までは提供されていない。英ハイテク犯罪
ユニット(NHTCU:National Hi-Tech Crime Unit)が重大組織犯罪局(SOCA:
Serious Organized Crime Agency)に吸収されたので、サイバー犯罪に対処す
るためのリソースが十分に維持できなくなったとの声もある。多くの人が、サ
イバー犯罪に対処する政府機関の設立と、データ侵害に関する情報開示を義務
付ける法律の制定を願っている。
http://technology.timesonline.co.uk/tol/news/tech_and_web/article3590336.ece
http://www.vnunet.com/computing/news/2212365/national-security-strategy
http://www.zdnetasia.com/news/security/0,39044215,62039143,00.htm
http://interactive.cabinetoffice.gov.uk/documents/security/national_security_strategy.pdf
────────────────

◆独高等裁判所 データ維持法の一部を憲法違反と見なす(2008.3.19-20)

ドイツの連邦憲法裁判所は、電気通信事業者に対し、通話やインターネットデー
タの6ヶ月記録保存を義務付ける法に新しい制限を設けた。今週、同法の一部
が違憲であるとした差し止め命令が下された。EU指令を満たすべく可決された
同法だが、ドイツ国内の市民の自由提唱団体から多くの反対にあった。裁判所
は、電気通信事業者が通話先番号と通話時間、通話場所の情報を記録すること
を義務付けられているのに対し、情報は維持してもよいが、重大犯罪の捜査と
いう名目、もしくは令状がない限り、警察にその情報を渡してはならないと述
べている。
http://www.msnbc.msn.com/id/23725318/
http://www.spiegel.de/international/germany/0,1518,542398,00.html
http://www.dw-world.de/dw/article/0,2144,3203058,00.html

【編集者メモ】(Honan)
この決定は、同様の法的手段に訴えようと考えているアイルランドなどの他国
の市民の自由団体に影響を及ぼす可能性があるので、興味深い進展劇といえよ
う。
────────────────

◆訴訟に対する脅威で 投票マシンの監査が停止(March 20, 2008)

2月の大統領予備選で使用された監査用紙面の証跡とSequoia電子投票マシンの
メモリカートリッジに矛盾があると指摘されたため、ニュージャージーのユニ
オン郡の選挙管理関係者らは、プリンストン大学のコンピュータ科学のEd
Felten教授にマシンを検査するよう依頼した。検査前、Sequoiaは「検査は当
初のライセンス契約に違反している」ため、Feltenとユニオン郡を訴えると主
張していた。Sequoiaは、矛盾の原因は投票所職員の操作ミスだろうと述べて
いる。これに対しFeltenは、捜査が必要であり、その捜査はSequoiaとは全く
利害関係のない者が行わなければならないとしている。Sequoiaは、問題のマ
シンは2つの組織による外部分析を受けていると発表した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9069999
http://www.theregister.co.uk/2008/03/20/sequoia_kills_evoting_review/print.html

【編集者メモ1】(Schultz)
製品に潜んでいるかもしれない不具合について、真実が暴かれることを阻止す
るためなら何でもしようという投票マシンベンダーの事例がまたここに発生し
た。Sequoiaによる脅迫的な作戦は、長くは持たないだろう。
【編集者メモ2】(Northcutt)
物理的な監査証跡を残さない投票マシンにNOを。マシンに紙面証跡が残される
ので監査できるとは喜ばしい。昨年、カリフォルニア州がSequoiaマシンを検
査したときに、(その他競合他社製品も含め)検査に合格しなかったことは記
憶に新しい。この調査の主要調査官Matt Bishopによると、「Sequoia投票シス
テムについて完全な検査を行う時間はなかったが、それでも重大なセキュリティ
問題が見つかっている」と述べている。また、「これらの脆弱性は、選挙結果
を無効化、もしくは改ざんするという確固たる目的でアタッカーに悪用される
可能性がある」という。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9028262
http://www.sos.ca.gov/elections/elections_vsr.htm
────────────────

◆チベット支援グループを狙ったサイバーアタックが増加中(2008.3.21-24)

サイバーアタッカーらは、チベットにいる反中国活動家に賛同しているグルー
プをターゲットにしている。これらアタックは、活動を妨害し、グループや支
援者の情報を得る目的で行われており、ますます激しさを増している。中国の
人権団体は、今年はじめから100件以上のターゲッテッドアタックを受信して
おり、その数は2007年の年間合計40件よりも多いという。チベット・サポート
ネットワークは、1日20件以上のメールアタックを受けているようだ。
http://www.washingtonpost.com/wp-dyn/content/article/2008/03/21/AR2008032102605_pf.html
http://www.bbc.co.uk/blogs/technology/2008/03/tibet_the_cyber_wars.html

【編集者メモ】(Ullrich)
このニュースリリースは、何年もの積み重ねの結果によるものだ。今までは、
影響を受けているグループも、研究者がアタックを監視できるよう、これらの
アタックについて口を閉ざしていた。防御の請負業者や政府ネットワークによっ
て報告されたアタックにとても似ている。中には、前述の政治グループや政府
の請負業者に対するアタックで使用されたC&Cサーバと同じものが使用されて
いたケースもある。インターネットストームセンターは、これらのグループや
その他に対するアタックの多くは、犠牲者やセキュリティベンダーの間で情報
をある程度共有していれば防げたものであると考えている。
http://isc.sans.org/diary.html?storyid=4177
http://isc.sans.org/diary.html?storyid=4176
────────────────

◆Excelの欠陥に対するエクスプロイトコードが公表される(2008.3.24)

最近パッチが発行されたExcelの脆弱性に対するエクスプロイトコードが公表
された。ユーザーは、今月初旬にリリースされたパッチをなるべく早く適用す
る必要がある。この欠陥は1月中旬から悪用されており、アタックコード発表
されたのは先週である。このコードは、3月11日にMicrosoftがMS08-014セキュ
リティ警告でリリースしたパッチ群のエクスプロイトコードの冒頭のものであ
る。これは、当初リリースした警告の数日後に、Microsoftが回帰エラーを修
正するためにリリースした警告だ。この回帰エラーは、Excelの修正の1つに、
正しくない演算が生成されるというものだった。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9071099&taxonomyId=17&intsrc=kc_top
────────────────

◆米国務省 パスポートファイルの侵害に関連した請負業者を公表(2008.3.21-22)

米国国務省は、大統領候補のパスポートファイルを侵害した者を雇用していた
請負企業StanleyとThe Analysis Corporationの名を公表した。Stanley社は、
事件発覚後、即座に未承認アクセス者2名を解雇したと述べている。問題の侵
害事件は、未承認ファイルアクセスを認識できるソフトウェアにより検知され
た。このインシデントでいかなる違法行為があったか、捜査される予定だ。当
初、Barack Obamaのファイルのみがアクセスされたと考えられていたが、後に
Hillary ClintonとJohn McCainのファイルもアクセスされていたことが判明。
また、不正アクセス発生の警告を無視した請負業者がいるという報告もあるよ
うだ。ライス国務長官(Condoleezza Rice)は、今回の侵害について謝罪の意を
表明している。
http://www.fcw.com/online/news/152010-1.html?topic=security
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9070618&source=rss_topic17
http://www.washingtonpost.com/wp-dyn/content/article/2008/03/21/AR2008032100377_pf.html

【編集者メモ1】(Ullrich &Paller)
このような侵害は簡単には阻止できない。職務を遂行するにはアクセスが必要
だからだ。この一件で良かったことは、ポリシーがモニタリングで援護されて
いたということだ。業務に支障のないようアクセスが許可され、悪事を働いた
従業員も迅速に特定された。
【編集者メモ2】(Pescatore)
承認されたユーザーが承認されていない行動をとるというのは、昔からセキュ
リティインシデントとしてよくあることである。なぜなら、コンピュータ側か
ら認識できる形で、「承認された行動」を定義するのは難しいからだ。今回こ
ういった行動が検知されたということは、大きなプラスである。最近のインシ
デントの多くからもわかるように、ほとんどの企業にはこのような行動を検知
できるセキュリティコントロールが設置されていない。ポリシーやデータ分類
に依存しすぎているうえに、実際のアクセスとデータに対し、十分なモニタリ
ングが行われていないのである。
【編集者メモ3】(Northcutt)
すばらしいと思うのは、それを検知するように作られたソフトウェアによって、
正しく検知されたということである。国務省よ、よくやった。金賞モノだ。と
なると今度は我々の番である。いつになったら教訓から学ぶことができるのか?
ブリトニー・スピアーズが入院するとなれば、彼女の記録を盗み見た人間がきっ
と解雇されるに違いない。
http://www.latimes.com/news/local/la-me-britney15mar15,0,1421107.story
政府の機密情報データベースの生みの親、ブッシュ政権の最新情報によれば、
同政権はやっと、国家に対してReal IDを無理強いすることはできないと実感
し始めたようだ。
http://ap.google.com/article/ALeqM5hGWEcbtYTTl9RTiO3YS_POnaYJ9gD8VII6T80
【編集者メモ4】(Schultz)
このインシデントで、ウォーターゲート事件(もちろんこれほど重要ではない
が)を思い出す。1970年代前半、アメリカ国民は機密の選挙関連情報およびそ
の他情報が侵害されていたことに対して憤慨した。哀しくも、現在は、このよ
うな問題に無関心なことが多いようだ。John Meyerの「世界が変わるのを待っ
て……」という歌にあるように。
────────────────

◆盗まれたノートパソコンに NIH臨床試験データ(2008.3.24)

国立衛生研究所(NIH)の試験協力者2,005人の個人情報が暗号化されずに保存さ
れていたノートPCが、2月、鍵のかかったトランクから盗まれていた。NIHが影
響を受ける個人に通知するまでに、1ヶ月近くたっていたことになる。問題の
臨床試験データには、氏名、診断内容、病院の医療記録番号、MRIデータなど
があったが、社会保険番号、財務情報はなかった。政府のポリシーでは、ポー
タブル電子デバイスには暗号化ソフトを入れることが義務付けられていた。
NIHの発表によると、同局は全デバイスへの暗号化導入措置、およびノートPC
に個人情報を保存しない措置を施行途中であったという。
http://www.washingtonpost.com/wp-dyn/content/article/2008/03/23/AR2008032301753_pf.html
http://www.govhealthit.com/online/news/350283-1.html
http://www.govexec.com/dailyfed/0308/032408bb2.html

───────────────────────────────────
★無料 事業継続セミナー 開催 -- 2008.4.22.Tue@東京ミッドタウン ★
┃ Business Continuity Management Conference 
┃ 迫る国際標準化その2 -『サプライチェーン』 と 『事業継続』-
┃●Keynote【経済産業省の情報セキュリティ政策と事業継続計画の位置付け】
┃        経済産業省 商務情報政策局
┃        情報セキュリティ政策室 課長補佐 井土 和志 氏
┃●session>>大手各社が一堂に勢揃い!!驚愕の12セッション!!
┗事前登録実施中! http://www.idg.co.jp/click/location.cgi?expo_bcm14
───────────────────────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年3月21日 Vol.7 No.12)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品             1
サーとパーティのWindowsアプリ         9 (#5, #7, #10)
Mac OS                     2 (#2)
Solaris                     2
Unix                      2
クロスプラットフォーム            23 (#1, #3, #4, #6, #8, #9)
Webアプリ・クロスサイトスクリプティング    13
Webアプリ・ SQLインジェクション        18
Webアプリ                   18
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

Microsoftに重大な脆弱性のない一週間だった。AppleとSunには、今週、シス
テムレベルの脆弱性が報告されており、アプリケーションの脆弱性として報告
されているもののほとんどが、危険度「重大」および「高」となっている。CA
ArcServe(バックアップ)、IBM Informix(データベース)、Business Objects
(ビジネスインテリジェンス)、F-Secure(セキュリティ)などだ。また、Webア
プリケーションの脆弱性件数はまさにコントロール不能レベルにまで増加。カ
スタムでアプリケーションを購入・構築される方は、5月下旬開催のWebアプリ
ケーションセキュリティサミット(http://www.sans.org/appsec08_summit)
しくは侵入テストサミット(http://www.sans.org/pentesting08_summit)にぜ
ひご参加を。アプリケーションの脆弱性を減少させるために実効性のあるもの
が見出せるだろう。
────────────────

1.危険度【重大】:IBM Informix Dynamic Serverに複数の脆弱性

<影響のある製品>
IBM Informix Dynamic Server

<詳細>
IBM Informix Dynamic Serverは、企業用データベース管理システムとして広
範に使用されている。しかし、ユーザーログインリクエストの処理に複数の脆
弱性がある。パスワードやデータベースパスパラメータが過剰に長いと、バッ
ファオーバーフロー脆弱性が引き起こされる。これらのバッファオーバーフロー
の悪用が実現すると、脆弱なプロセス権限で任意のコードを実行できるように
なってしまう。これらの脆弱性は認証なしで悪用される可能性があるので、注
意が必要だ。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
IBMはこの問題を認めており、更新をリリースしている。
TCP1526番ポートへのアクセスをネットワーク境界でブロックすれば、影響を
軽減できる。

<参考>
Zero Dayイニシアチブのセキュリティアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-012/
http://zerodayinitiative.com/advisories/ZDI-08-011/
IBM のセキュリティアドバイザリ
http://www-1.ibm.com/support/docview.wss?uid=swg1IC55207
http://www-1.ibm.com/support/docview.wss?uid=swg1IC55208
http://www-1.ibm.com/support/docview.wss?uid=swg1IC55209
http://www-1.ibm.com/support/docview.wss?uid=swg1IC55210
製品のホームページ
http://www-306.ibm.com/software/data/informix/ids/
SecurityFocus BID
http://www.securityfocus.com/bid/28198
────────────────

2.危険度【重大】:Apple Mac OSに複数の脆弱性

<影響のある製品>
Apple Mac OS Xおよび10.5.x

<詳細>
Apple Mac OSには、さまざまなサブシステムとコンポーネントに複数の脆弱性
がある。これらの脆弱性は、リモートのコード実行からDoS、クロスサイトス
クリプティング、情報開示まで深刻度もさまざまである。中には、Mac OS Xに
同梱されているサードパーティ製品に関連した脆弱性もあるほか、OSだけにあ
る脆弱性もある。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307562
SecurityFocus BIDs
http://www.securityfocus.com/bid/28278
http://www.securityfocus.com/bid/28307
http://www.securityfocus.com/bid/28320
────────────────

3.危険度【重大】:Apple Safariに複数の脆弱性

<影響のある製品>
Apple Safari 3.1までのバージョン

<詳細>
Safariは、Mac OS XやMicrosoft Windows用のAppleのWebブラウザである。し
かし、さまざまなインプット処理に複数の脆弱性がある。これらの脆弱性は、
クロスサイトスクリプティング脆弱性につながるおそれがあり、少なくとも1
つの脆弱性は、現在のユーザー権限で任意のコード実行につながることが明
らかになっている。これらの脆弱性は、悪意あるWebページによって悪用され
るおそれがある。脆弱性の技術的詳細がいくつか公表されている。Safari for
Mac OS X版・Microsoft Windows版両方が影響を受ける。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307563
Safariのホームページ
http://www.apple.com/safari/download/
SecurityFocus BID
http://www.securityfocus.com/bid/28290
http://www.securityfocus.com/bid/28326
http://www.securityfocus.com/bid/28332
────────────────

4.危険度【重大】:Asteriskに複数の脆弱性

<影響のある製品>
Asterisk 1.4.17までのバージョン

<詳細>
Asteriskは、オープンソースのインターネット電話エンジンとして広範に使用
されており、VoIPサービスを提供するときによく用いられる。しかし、さまざ
まなユーザーリクエストの処理に複数の脆弱性がある。これらの脆弱性を悪用
すれば、脆弱なプロセス権限で任意のコードを実行したり、コール認証機能を
回避したり、DoS状態を引き起こしたりすることができるようになる。この脆
弱性を悪用されると、電話サービスが妨害されるおそれがあるので注意が必要。
少なくとも、これらの脆弱性のうち1つは公表されており、それ以上の詳細は
ソースコードを分析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Asteriskのセキュリティアドバイザリ
http://downloads.digium.com/pub/security/AST-2008-001.html
http://downloads.digium.com/pub/security/AST-2008-002.html
http://downloads.digium.com/pub/security/AST-2008-003.html
http://downloads.digium.com/pub/security/AST-2008-004.html
http://downloads.digium.com/pub/security/AST-2008-005.html
ベンダーのホームページ
http://www.asterisk.org/
SecurityFocus BIDs
http://www.securityfocus.com/bid/28308
http://www.securityfocus.com/bid/28316
http://www.securityfocus.com/bid/26928
http://www.securityfocus.com/bid/28310
http://www.securityfocus.com/bid/28311
────────────────

5.危険度【高】:Alt-N MDaemon IMAP のコマンド処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Alt-N MDaemon IMAPサーバ9.6.4までのバージョン

<詳細>
MDaemonは、Microsoft Windowsシステム用メールスイートとして広範に使用さ
れている。しかし、特定のIMAPコマンドの処理に欠陥がある。リクエストが細
工されると、バッファオーバーフローの脆弱性につながるおそれがある。この
バッファオーバーフローの悪用が実現すると、脆弱なプロセス(SYSTEMの場合
が多い)権限で任意のコードが実行できるようになってしまう。この脆弱性を
悪用するには認証が必要だ。この脆弱性の概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/28245.py
ベンダーのホームページ
http://www.altn.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28245
────────────────

6.危険度【高】:MIT Kerberosに複数の脆弱性

<影響のある製品>
MIT Kerberos のバージョン5.x

<詳細>
MIT Kerberosは、Kerberos認証プロトコルのリファレンス実装である。このプ
ロトコルは、安全でない可能性のあるネットワークの安全認証に使用されるが、
ユーザーリクエスト処理に複数の欠陥がある。リクエストが細工されると、
DoS状態やユーザー認証信用証明書の開示につながる可能性がある。報告され
た脆弱性のうち少なくとも1つは、リモートのコード実行に悪用できるものだ
が、まだ確証はない。Kerberosを運用しているシステムは、数々のユーザー
認証信用証明書のコピーを持っている。つまり、Kerberosサーバが悪用される
と、ひき続きその他のシステムの悪用も可能だということだ。これらの脆弱性
の技術的詳細は、ソースコードを分析すれば入手できる。KerberosのMIT実装
は、他のKerberosの基盤として使用されているほか、Linuxシステムのほとん
どでKerberosのデフォルトとなっている。

<現状>
MITはこの問題を認めており、更新をリリースしている。

<参考>
MITのセキュリティアドバイザリ
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-001.txt
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2008-002.txt
製品のホームページ
http://web.mit.edu/kerberos/www/
KerberosプロトコルについてのWikipediaの説明
http://en.wikipedia.org/wiki/Kerberos_%28protocol%29
SecurityFocus BIDs
http://www.securityfocus.com/bid/26750
http://www.securityfocus.com/bid/28303
http://www.securityfocus.com/bid/28302
────────────────

7.危険度【高】:BusinessObjects Report ViewerのActiveXコントロールにバッ
  ファオーバーフロー脆弱性

<影響のある製品>
BusinessObjects のバージョン6.x

<詳細>
BusinessObjectsは、企業に対し、レポート生成およびビジネス管理ソフトウェ
アを提供するものだ。これによって、"RptViewerAX"として知られるソフトウェ
のいくつかとともにActiveXコントロールが配信されるようになっている。し
かし、このコントロールのユーザーリクエスト処理には、バッファオーバーフ
ローの脆弱性がある。このコントロールをインスタンス化するWebページが細
工されると、バッファオーバーフローが引き起こされる。このバッファオーバー
フローの悪用が実現すると、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
BusinessObjectsはこの問題を認めており、更新をリリースしている。
ユーザーは、Microsoftの"kill bit"機能を
CLSID"B20D9D6A-0DEC-4d76-9BEF-175896006B4A"に設定して問題のコントロー
ルを無効にすれば、これらの脆弱性の影響を軽減できる。

<参考>
US-CERTのセキュリティアドバイザリ
http://www.kb.cert.org/vuls/id/329673
BusinessObjectsの更新情報
http://support.businessobjects.com/downloads/service_packs/default.asp
Microsoftナレッジベースの記事 ("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28292
────────────────

8.危険度【高】:F-Secureに複数のアーカイブ処理脆弱性

<参考>
F-Secure Message Security Gateway
F-Secure Anti-Virus
F-Secure Internet Gateway
F-Secure Internet Security

<詳細>
複数のF-Secure製品のアーカイブファイル処理に脆弱性があることがわかった。
アーカイブファイルが細工されると、これら脆弱性のいずれかが悪用され、
DoS状態に発展するおそれがある。脆弱性の少なくとも1件は、リモートのコー
ド実行につながると考えられているが、まだ確証はない。メールやその他のファ
イルが脆弱なシステムをただ通過するだけで、ユーザーの操作もなく、これら
の脆弱性が悪用されるおそれがあるので注意が必要。複数の概念実証コードの
アーカイブファイルも公表されている。

<現状>
F-Secureはこの問題を認めており、更新をリリースしている。

<参考>
F-Secureのセキュリティアドバイザリ
http://www.f-secure.com/security/fsc-2008-2.shtml
概念実証コード
http://www.ee.oulu.fi/research/ouspg/protos/testing/c10/archive/
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/29397/
SecurityFocus BIDs
http://www.securityfocus.com/bid/28282
────────────────

9.危険度【高】:CUPSのCGI処理にバッファオーバーフローの脆弱性

<影響のある製品>
CUPS 1.3.5までのバージョン

<詳細>
CUPSは、Common Unix Printing Systemのことであり、さまざまなUnix、Unix
に類似したシステム、Linuxのシステムでプリンタサービスを提供している。
また、Mac OS Xシステムではデフォルトの印刷システムとなっている。しかし、
共有プリンタ管理リクエストの処理に欠陥がある。リモート管理アプリケーショ
ンへのリクエストが細工されると、バッファオーバーフローが引き起こされ、
脆弱なプロセス権限で任意のコードを実行できるようになってしまう。
この脆弱性は、ネットワークでプリンタを共有しているマシン上でのみ、リモー
トで悪用が可能である。技術的詳細はソースコードを分析すれば入手できる。

<現状>
CUPSはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=674
製品のホームページ
http://www.cups.org/
SecurityFocus BIDs
http://www.securityfocus.com/bid/28307
http://www.securityfocus.com/bid/28334
────────────────

10.危険度【高】:CA BrightStor ARCserve BackupのActiveXコントロールにバッ
  ファオーバーフローの脆弱性

<影響のある製品>
ノートPCおよびデスクトップ両用CA BrightStor ARCserve Backup r11.5まで
のバージョン

<詳細>
CA BrightStor ARCserv Backupは、バックアップアプリケーションとして広範
に使用されている。デスクトップ・ノートPC両用の機能の一部はActiveXコン
トロールによって提供されている。このコントロールの"AddColumn"メソッド
にはバッファオーバーフロー脆弱性がある。このコントロールをインスタンス
化するWebページが細工されると、このバッファオーバーフロー脆弱性が引き
起こされ、現在のユーザー権限で任意のコードを実行できるようになってしま
う。この脆弱性の概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
ユーザーは、Microsoftの"kill bit"機能を
CLSID"BF6EFFF3-4558-4C4C-ADAF-A87891C5F3A3"に設定して問題のコントロー
ルを無効にすれば、影響を軽減できる。しかし、通常のアプリケーション機能
に影響が出るおそれもあるので注意。

<参考>
概念実証コード
http://milw0rm.com/exploits/5264
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
ベンダーのホームページ
http://www.ca.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28268

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。