NRI Secure SANS NewsBites 日本版

Vol.3 No.17 2008年5月2日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.17 2008年5月2日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。
────────────────

■はじめに(Alan Paller:SANS Director of Research)

昨日、ワシントンポストのBrian Krebsにより、「複数の国連加盟国および英
政府のサイトなど、数百万のWebサイトが最近ハッキングされており、
Microsoft Windowsの欠陥を悪用して訪問者のマシンに悪意のあるソフトウェ
アをインストールするコードを植えつけている」との記事が出た。サイバーセ
キュリティ管理に携わる方々は、Webアプリケーションアタックへアタッカー
が移行していく異常な状態を目の当たりにして、再度、人員や予算の優先順位
付けを強いられていることであろう。自身のWebアプリが確実に保護されてい
ることを上司に正確に伝えられないのなら、それができる人材をすぐに探そう。
来月、ラスベガスに最高水準の技術を持つWebアプリの先駆者が数多く集結し、
最も有効なWebアプリキャナの探し方、最も信頼できるWebアプリ侵入テスター
の見分け方、アプリ開発者にアプリケーションセキュリティの重要な改善業務
を支援させる方法など、彼らが学んだ教訓が提供される。絶対に見逃せない集
会である。Webアプリ侵入テストおよび安全なプログラミングコースも開催。
詳細:http://www.sans.org/info/24609

300人以上のプログラマーを擁している方は、うち10人から15人のプログラマー
について、新しい安全なプログラミングスキルのオンラインテストの無料受験が
可能。プログラミングセキュリティ(JavaまたはC)に関する彼らのレベルを把
握できる。
詳細:spa@sans.org

昨日、第44代大統領のためのサイバーセキュリティ委員会でのプレゼンテーショ
ンで、米国きっての2000年問題専門家John Koskinenが、基準や監査技術の中
で特定のものが他のものよりも有用である理由を説明している。彼は委員会委
員に対し、2000年問題処理も終わりに近づいてきていた時点で、組織に対し、
何をどれだけ行えば十分か教えることができたと述べている。彼は、最初に重
要な脅威を見極めてから、それらを取り除くことに集中することが重要だとし
ている。何を行う必要があるかという点において、他の専門家が全員彼に同意。
PCI基準もこれ(実際に使用されているアタック手法を特定する)に追随して
おり、NISTなど他の組織もこれを行っているため、この問題はセキュリティに
も関係があるだろう。PCIは完全ではないが、PCI監査は、その他の比較的緩め
の基準で行われた信頼度の低い監査に比べれば、かなり有効であると考えられ
ている。
────────────────

■■SANS NewsBites Vol.10 No.33-34
   (原版:2008年4月26日、30日配信)

◆英国企業 侵害による費用は減少・セキュリティ費用は増加と報告
  (2008.4.22-23)

これまでの6年間で、英企業のセキュリティ対策費用は、IT予算の2%から3倍
の6%へ増加。同期間にセキュリティ侵害によって生じた費用は3分の1に減少。
侵害による費用は企業規模によってさまざまであるが、1万5,000ポンド
(2万9,632ドル)から150万ポンド(296万ドル)までの範囲だ。しかし、調査対象
企業の21%において、IT予算のセキュリティに対する割合は1%減少している。
ワイヤレスネットワークの94%は暗号化され、6年前の47%に比べて増えてい
る。一方、コンピュータを盗まれた企業のおよそ80%がハードドライブを暗号
化していなかったという。この調査は英2008年情報セキュリティ侵害調査
(ISBS:Information Security Breaches Survey)のための事業規制改革
(BERR:UK Department of Business Enterprise and Regulatory Reform)に代
わってプライスウォーターハウスクーパーズが管理する共同体によって行われ
た。2年ごとに実施されている。
http://www.theregister.co.uk/2008/04/22/infosec_security_survey/print.html
http://software.silicon.com/security/0,39024655,39201844,00.htm
http://www.pwc.co.uk/eng/publications/berr_information_security_breaches_survey_2008.html
────────────────

◆Hannaford社 セキュリティ強化(2008.4.22-24)

Hannaford Bros.社は、顧客のクレジットカード120万件を侵害された事件を受
け、データセキュリティに数百万ドルを投じたと述べている。問題のデータは、
購入の認証段階において、データが移行されている途中に盗まれた。
Hannafordによれば、現在、クレジットカードのデータは、社内ネットワーク
の中にある限り常に暗号化されているという。また、24時間無休で管理されて
いるセキュリティ監視および検知サービスを使用している。
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1310963,00.html
http://blog.washingtonpost.com/securityfix/2008/04/hannaford.html?nav=rss_blog
http://ap.google.com/article/ALeqM5ic85268s4GzOT78ixJKz-vlSzxuwD90725C00
────────────────

◆エンドユーザーのためのセキュリティ産業崩壊?(2008.4.22-23)

Bruce Schneier氏はブログで、最近のRSAカンファレンスの出席者は、展示企
業350社の商品を購入していないと述べている。なぜなら、「ほとんどの人が
その製品で行えることを理解できず、なぜそれを購入すべきかをわからない」
からだという。Schneier氏はこの現象を、エンドユーザー・セキュリティ産業
の崩壊につながる大転換の始まりと称している。現在、セキュリティは、IT製
品の中にますます組み込まれるようになってきている。Schneier氏は、IT製品
に組み込まれているセキュリティを、自動車のセキュリティ機能に例えている。
別売されている機能ではないが、意味のある重要なものだ。
http://www.schneier.com/blog/archives/2008/04/the_rsa_confere_1.html

【編集者メモ1】(Skoudis)
面白い記事だ。彼の言うことは正しい気もするが、そこにたどり着くまでには
あと5年から10年はかかると思う。
【編集者メモ2】(Schultz)
エンドユーザー・セキュリティとは、大々的な宣伝用文句であり、長続きしな
いセキュリティへのアプローチに終わるだろう。Windowsワークステーション
などのワークステーションには、ファット・クライアントがあり、時が経てば
それもまたよいものに変化していく。それにエンドユーザー・セキュリティ機
能を足しても、肥大化を招くだけだ。
【編集者メモ】(Northcutt)
Bruceの意見には、実際に書かれている内容以上のものがあるように思える。
例えば、「展示ブースは、広範囲でつかみどころのない製品説明、意味の無い
セキュリティの決まり文句、わかりにくい宣伝文でいっぱいになっている」と
ある。まさにそのとおりだ。ベンダーは、セキュリティについては何も知らな
い代わりに、差別化することだけを知っている広告代理店を使用しているのだ。
それでは産業全体が害を被ることになる。エンジニアに製品の説明をさせて
(顧客のために実際に何ができるのかという説明)、彼らの文章を営業サイド
の担当者に編集してもらえば、ベンダー製品も売れるようになるだろう。
────────────────

◆セキュリティ企業 Phormクッキーをブロック(2008.4.22)

セキュリティ企業の中には、Phormのターゲット広告サービスのクッキーが始
動した時点でそれをブロックすると豪語するところもある。Phormの使用に同
意したあるISPは厳格なオプトインサービスであると述べているが、他のISPは
オプトアウトサービスにしようとしている。また、少なくもセキュリティ企業
の一社はインフォームド・コンセントの条件を満たしていないため、当該企業
の製品はPhormクッキーをアドウェアとして認識するようになっているという。
また、その他の企業は、Phormが始動したらPhormの行動を監視し、適切なタイ
ミングで対処措置をとるつもりだという。
http://news.bbc.co.uk/2/hi/technology/7359024.stm

【編集者メモ】(Northcutt)
これは元121Mediaとして知られている企業で、"Open Internet Exchange"設計
の専売特許を持っている。この社会的実験(ブラウジング習性の監視およびター
ゲット広告の提供)が米ではなく英で行われていることは、まさにありがたい。
────────────────

◆PCIの更新で ネットワークとアプリ侵入テスト両方を必須に(2007.4.22)

ペイメントカード産業データセキュリティ基準(PCI/DSS:Payment Card
Industry Data Security Standard)は、数万におよぶ世界中の政府や民間組織
が従っているものである。この基準内容が更新され、必須の侵入テストでカバー
されるべきものが明らかになった。侵入テストは外部や内部の脆弱性検査とは
違うものであるという。脆弱性検査では単純に顕著な脆弱性を特定し、その報
告をあげるが、侵入テストでは脆弱性の悪用を試み、実際に未承認アクセスや
その他の悪意のある活動の可否まで見極める。侵入テストは、ネットワークお
よびアプリケーションレイヤーのテスト、ネットワークやアプリのコントロー
ルやプロセスにまでおよび、ネットワーク外部からの侵入を試みるテスト(外
部テスト)やネットワーク内部でも行われる。Dark Readingの記事では、侵入
テストのベストプラクティスが学べる場所についても説明されている。
http://www.darkreading.com/document.asp?doc_id=152115&WT.svl=news1_1
https://www.pcisecuritystandards.org/pdfs/04-22-08.pdf
https://www.pcisecuritystandards.org/pdfs/infosupp_11_3_penetration_testing.pdf

【編集者メモ】(Paller)
PCIは、アタック分析や基準の更新などのどこをとっても最良の策を講じてお
り、これによって、最新のアタック手法がしっかりとブロックされるように図
られている。先週PCIは、再度ネットワーク侵入テストにアプリケーションセ
キュリティ侵入テストを追加した。ネットワーク侵入テストの技術では、重要
なアプリケーションの脆弱性を発見することはできないからだ。アプリ侵入テ
ストを行うには、さまざまなスキルが必要だ。それを学べる最良の場所は、ラ
スベガスで5月下旬開催されるWebアプリケーションセキュリティサミットか
Webアプリ侵入テストコースである。
コース詳細:http://www.sans.org/appsec08_summit/description.php?tid=1972
サミット全容:http://www.sans.org/appsec08_summit/
────────────────

◆Microsoft SQLインジェクションアタックは同社製品の欠陥によるものでは
  ないと主張:むしろアプリのプログラミングエラー(2008.4.27-28)

SQLインジェクションアタックがWebページ数十万件に広がっているが、
Microsoftは、このアタックは同社製のInternet Information Server(IIS)も
しくはSQL Serverにある新しい脆弱性や、詳細不明の脆弱性が原因ではないと
述べている。MicrosoftセキュリティレスポンスセンターのBill Sisk氏は、こ
れらのアタックはSQLインジェクションのエクスプロイトによるものであると
し、各組織に対し、ベストプラクティス一式を提供し、それにしたがってアタッ
クを防御するよう推奨した。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080678&source=rss_topic17
http://www.news.com/8301-10784_3-9929861-7.html?part=rss&subj=news&tag=2547-1_3-0-20
http://www.heise-online.co.uk/security/Microsoft-offers-assistance-to-combat-mass-SQL-injection--/news/110616
http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx

【編集者メモ】(Paller)
今回のSQLインジェクションアタックを有効にしてしまったような、プログラ
ミングエラーを回避する方法を説いたプログラマーのためのMicrosoftガイド
はすばらしい。
(詳細:http://msdn2.microsoft.com/en-us/library/ms998271.aspx)
ガイドラインには、Javaプログラマーのためのテストで計られるスキルが反映
されている。
────────────────

◆研究者ら Microsoftにパッチ配信システムの改良を要請(2008.4.23-25)

カーネギーメロン大学およびカリフォルニア大学バークレーキャンパス、ピッ
ツバーグ大学のコンピュータ科学の研究者らはMicrosoftに対し、同社のパッ
チ配信システムを再設計するよう求めている。現行では、4人の研究者が開発
した自動パッチベースのエクスプロイト生成(APEG: automatic patch-based
exploit generation)技術を適用。この技術を使えば、プログラムの脆弱なバー
ジョンとパッチを適用したバージョンのプログラムを比較し、アタック・コー
ドを生成できる。しかし、この技術が実際にアタック・コード生成に悪用され
てしまうこともある。そのため、研究者グループは、そのようなアタックをよ
り困難にするために、いくつかアドバイスを提供している。「コードの難読化、
パッチ暗号化タイミングでのキー配信スタンバイ、ピアツーピア配信の使用に
より、パッチをより迅速に押し出すことができる」
http://www.securityfocus.com/news/11514
http://www.heise-online.co.uk/security/Automatic-exploits-by-patch-analysis--/news/110612
http://www.cs.cmu.edu/~dbrumley/pubs/apeg.html
────────────────

◆FBI ISPへの最低2年間のユーザーデータ維持義務付けを提案(2008.4.23)

先週の公聴会で、FBIのRobert Mueller長官は米国下院司法委員会に対し、イ
ンターネットサービスプロバイダ(ISP)に最低2年間はユーザー活動データの維
持を義務付けるべきだと発言し、議会で二大政党の支持を受けた。ただし、
どの種類の情報が維持されるのか明確ではない。ISPは、データ保持法によっ
てユーザーに割り当てられたIPアドレス情報の維持を義務付けられる可能性が
あるが、同時に、メールやインスタントメッセージ、Webサイト訪問履歴も維
持するよう求められるかもしれない。現在、ISPには営業に必要のない情報を
破棄させているが、警察が捜査を行う場合は破棄行為がストップさせられる。
http://www.news.com/8301-13578_3-9926803-38.html
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年4月25日 Vol.7 No.17)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成されたもので、組織のシステムを保護するために有益で
的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Windows 2 2 (#5)
サードパーティのWindowsアプリ          8 (#1, #6, #7)
Linux                      5
クロスプラットフォーム             22 (#2, #3, #4)
Webアプリ ? クロスサイトスクリプティング    11
Web アプリ- SQLインジェクション         17
Webアプリ                   21
ネットワークデバイス              2
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

よくない一週間だった!
広範に使用されているIntelワイヤレスドライバによって、その範囲内にいる
だけで、接続していなくても感染してしまうおそれがある。Adobe製品にいく
つか重大な脆弱性があるが、Adobeはまだパッチをリリースしていない。
Oracleは、重大なパッチ更新(リモートのコード実行脆弱性)をリリースしたが、
組織の多くは、長きにわたってこのパッチをインストールしていない。
OpenOffice.orgには、ユーザーの同意なしに感染したファイルを開いてしまう
脆弱性があるようだ。CA-Unicenterやその他のCA製品、Microsoft Worksにあ
るActive Xの脆弱性に加えて、パッチの適用方法がわからない、もしくは近々
適用するつもりがないというように、たくさんの脆弱性を抱えた人がわんさか
いるのだ。

ところで、これらの問題に対する実践可能な大々的ソリューションはただ2つ。
このソリューションや、その他たくさんの対策が、今後数年で公表されるだろ
う。まずは、MicrosoftやApple、その他OSベンダーが、そのOSで運用されるソ
フトウェアベンダーに対し、パッチ適用可能なサービスを提供するという方法。
もう1つの方法は、(NISTの協力を得た)米国家安全保障局(NSA)のPhase II
S-CAPイニシアチブである。長期的には、このイニシアチブが、より包括的な
ソリューションを提供してくれることだろう。
────────────────

1.危険度【重大】:Intel Centrino Wireless Driverにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Intel Centrino 2200BG Wireless Device Driver

<詳細>
The Intel Centrino 2200BGは、広範囲で使用されているワイヤレスのネット
ワーク(802.11)カードであり、ノートパソコンで一般的に使用されている。し
かし、Microsoft Windows版のドライバには、ワイヤレスネットワーク通信の
処理にバッファオーバーフロー脆弱性がある。ワイヤレスネットワークのフレー
ムが細工されると引き起こされ、kernelレベルの権限で任意のコードを実行で
きるようになってしまい、脆弱なシステムは完全に侵害される。脆弱なシステ
ムにあるワイヤレスネットワークインタフェースがアタッカーの範囲にあるだ
けで生じる。また、特定のワイヤレスネットワークに接続していなくても、脆
弱になる。この脆弱性の技術的詳細と概念実証コードが公表されている。

<現状>
Intelはこの問題を認めており、更新をリリースしている。パッチは下記の
Intelサイトで入手可。

<参考>
概念実証コード
http://milw0rm.com/exploits/5461
Intelのセキュリティアドバイザリ
http://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00001&languageid=en-fr
802.11およびWireless Network ProtocolについてのWikipediaの説明
http://en.wikipedia.org/wiki/IEEE_802.11
SecurityFocus BID
まだ公表されておらず
────────────────

2.危険度【重大】:複数のAdobeの製品のBitmap処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Adobe Photoshop Album Starter
Adobe After Effects CS3
Adobe Photoshop CS3

<参考>
複数のAdobe製品のBitmap(BMP)画像形式処理にバッファオーバーフロー脆弱性
がある。BMP画像が細工されると引き起こされる。悪用が実現すると、現在の
ユーザー権限で任意のコードを実行できるようになってしまう。この脆弱性の
全技術的詳細と概念実証コードが公表されている。設定によっては、BMPファ
イルはユーザーにプロンプトせずに脆弱なアプリケーションによって開かれて
しまうおそれがあるので注意が必要。

<現状>
Adobeはこの問題を認めているものの、更新はリリースしていない。

<参考>
c0ntexのアドバイザリ(概念実証コードも含む)
http://archives.neohapsis.com/archives/fulldisclosure/2008-04/0551.html
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa08-04.html
BMP画像形式についてのWikipediaの説明
http://en.wikipedia.org/wiki/BMP_file_format
Adobeのホームページ
http://www.adobe.com
SecurityFocus BID
http://www.securityfocus.com/bid/28874
────────────────

3.危険度【高】:複数のOracle製品にさまざまな脆弱性(2008年4月期重大なパッ
  チ更新)

<影響のある製品>
Oracle Database
Oracle Sieble Sim Builder
Oracle PeopleSoft PeopleTools
Oracle PeopleSoft Human Capital
OpenView 用HP Oracle

<詳細>
Oracleは、2008年4月期の重大なパッチ更新をリリース。この更新で、さまざ
まな深刻度の複数の脆弱性に対処しており、その範囲は脆弱なプロセス権限で
の未認証のリモートコード実行からSQLインジェクション、情報開示まで多岐
にわたる。これら脆弱性の技術的詳細がいくつか公表されている。脆弱性の中
には@RISKのバックナンバーで言及されたものもある。

<現状>
Oracleはこの問題を認めており、更新をリリースしている。

<参考>
Oracle重大なパッチ更新
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html
Red Databaseのセキュリティアドバイザリ
http://www.red-database-security.com/advisory/oracle_outln_password_change.html
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_util.html
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_idx.html
http://www.red-database-security.com/advisory/oracle_sql_injection_sdo_geom.html
Impervaのセキュリティアドバイザリ
http://www.imperva.com/resources/adc/adc_advisories_oracle-dbms-04172008.html
SecurityFocus BID
http://www.securityfocus.com/bid/28725
────────────────

4.危険度【高】:OpenOffice.orgに複数の脆弱性

<影響のある製品>
OpenOffice.org 2.3までのバージョン

<詳細>
OpenOffice.orgは、オープンソースのオフィススイートとして広範囲で使用さ
れており、UnixやUnixに類似したシステムおよびLinuxの多くにデフォルトで
含まれている。しかし、さまざまなファイル形式処理に複数の脆弱性がある。
Microsoft Officeファイル、Microsoft Extended Metaファイル、もしくは、
Quattro Proファイルが細工されると、いずれかの脆弱性が悪用されてしまう
おそれがある。悪用が実現すると、現在のユーザー権限で任意のコードを実行
できるようになってしまう。設定によっては、これらのファイルはユーザーに
プロンプトせずに脆弱なアプリケーションによってデフォルトで開かれてしま
うおそれがあるので注意が必要。脆弱性の全技術的詳細はソースコードを分析
すれば入手できる。
OpenOffice.orgはStarOfficeスイートとコードのほとんどを共有しているため、
StarOfficeもこれらの問題に脆弱であると考えられる。

<現状>
OpenOffice.orgはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=694
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=693
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=692
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=691
OpenOffice.orgのセキュリティアドバイザリ
http://www.openoffice.org/security/cves/CVE-2008-0320.html
http://www.openoffice.org/security/cves/CVE-2007-5745.html
http://www.openoffice.org/security/cves/CVE-2007-5746.html
http://www.openoffice.org/security/cves/CVE-2007-5745.html
OpenOffice.orgのホームページ
http://www.openoffice.org/
SecurityFocus BID
http://www.securityfocus.com/bid/28819
────────────────

5.危険度【高】:Microsoft WorksのActiveX Controlにリモートのコード実行
  の脆弱性

<影響のある製品>
Microsoft Works 7、もしくはそれ以前のバージョンも脆弱なおそれあり

<詳細>
Microsoft Worksは、Microsoftによるオフィススイートで広範に使用されてい
る。機能の一部は、"WkImgSrv.dll"というActiveXコントロールによって提供
されていが、このコントロールにはリモートのコード実行脆弱性がある。悪意
のあるWebページがこのコントロールをインスタンス化すると、現在のユーザー
権限で任意のコードを実行できるようになってしまう。この脆弱性の技術的詳
細および概念実証型が公表されている。

<現状>
Microsoftはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
wsn1983による掲示(概念実証コードを含む)
http://www.securityfocus.com/archive/1/491027
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BID
http://www.securityfocus.com/bid/28820
────────────────

6.危険度【高】:Computer Associates DSMのActiveXコントロールにリモート
  のコード実行脆弱性

<影響のある製品>
Computer Associates Unicenter Software Delivery
Computer Associates Unicenter Remote Control
Computer Associates Unicenter Desktop Management Bundle
Computer Associates Unicenter Asset Management
Computer Associates Remote Control
Computer Associates Desktop Management Suite
Computer Associates Desktop & Server Management
ノートパソコンおよびデスクトップ用Computer Associates ARCserve Backup

<詳細>
複数のComputer Associatesアプリケーションには、"gui_cm_ctrls.ocx"の
ActiveXコントロールがあり、これらアプリケーションの"DSM"コンポーネント
に使用されている。しかし、このコントロールのさまざまなメソッドパラメー
タ処理にリモートのコード実行脆弱性がある。このコントロールをインスタン
ス化するWebページが細工されると引き起こされ、現在のユーザー権限で任意
のコードを実行できるようになってしまう。この脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
Computer Associatesはこの問題を認めており、更新をリリースしている。
Microsoftの"kill bit"機能をCLSID"E6239EB3-E0B0-46DA-A215-CFA9B3B740C5"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。


<参考>
Computer Associatesのセキュリティアドバイザリ
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=174256
SecurityFocus BID
http://www.securityfocus.com/bid/28809
────────────────

7.危険度【重大】:Big Antの企業用メッセージングにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Big Ant Server 2.2 までのバージョン

<詳細>
Big Ant Serverは、企業用インスタントメッセージサーバであるが、そのユー
ザーリクエスト処理にバッファオーバーフロー脆弱性がある。ユーザーリクエ
ストが細工されると引き起こされる。悪用が実現すると、脆弱なプロセス権限
で任意のコードを実行できるようになってしまう。この脆弱性の全技術的詳細
と概念実証コードが公表されている。

<現状>
Big Antはこの問題を認めていないため、更新もリリースしていない。
TCP6080番ポートへのアクセスをネットワーク境界でブロックすれば、影響を
軽減できる。

<参考>
概念実証コード
http://milw0rm.com/exploits/5451
Big Antソフトウェアのホームページ
http://www.bigantsoft.com/
SecurityFocus BID
http://www.securityfocus.com/bid/28795

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。