NRI Secure SANS NewsBites 日本版

Vol.3 No.42-43(合併号) 2008年11月5日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
              Vol.3 No.42-43(合併号) 2008年11月5日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
            SANS GSSP試験 日本初実施!!
   ~セキュアプログラミングスキルを証明する世界唯一の認定資格~

   2008年12月13日(土)   会場:UDXカンファレンス(秋葉原)
            ↓↓↓詳しくはこちら↓↓↓
          http://www.entryweb.jp/sans/GIAC/
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

■はじめに(Alan Paller:SANS Director of Research)

Microsoftの緊急発表。10月22日付の記事からもわかるように、NewsBitesの編
集者には、新たに公表されたMicrosoftの脆弱性を悪用するワーム (このうち1
つはすでに出回っている)には、Blasterワームと同じくらいのレベルの影響を
及ぼすおそれがあると考えている者も……。
────────────────

■■SANS NewsBites Vol.10 No.82-85
   (原版:2008年10月18日、22日、25日、29日配信)

◆FBIのおとり捜査:DarkMarketカード賭博師フォーラムで大規模な犯人検挙
  (2008.10.14-16)

ドイツの公共ラジオ局が入手した文書により、米国FBIがDarkMarket Carder
Forum(注:Webサイト「DarkMarket.ws」で運営されていたカード賭博師のオ
ンライン・フォーラム)に潜入して、おとり捜査を行ったことが明らかになっ
た。同サイトはカード情報やその他の財務口座データ、カードのクローンを作
成するデバイスの売買取引の安全な場所として使用されていた。2年ほど運営
が続けられ、この間に収集した情報から少なくとも56件の逮捕につながった。
さらに、詐欺による数百万ドルの損失も阻止された模様。FBIは英国のSOCA
(Serious Organized Crime Agency)やトルコ、ドイツ当局と共同でこのおと
り捜査作戦を行っていた。
http://www.theregister.co.uk/2008/10/14/darkmarket_sting/
http://news.bbc.co.uk/2/hi/uk_news/7675191.stm
http://computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9117361&taxonomyId=17&intsrc=kc_top

【編集者メモ】(Paller)
FBIのサイバー犯罪プログラムがいかに素晴らしいものか示す一例が、また浮
上した。FBIの存在により、サイバー犯罪者は一層切磋琢磨しなくてはならず、
より大きなリスクを背負わなければならない。これ以上に重要なことがあるだ
ろうか? FBIと他の機関には大きな違いが3つある。優先事項先行型(最重要ア
タックへの注力)、先を見込んだ積極的な取組み(発生した事実への対応より、
むしろ活動中の犯罪組織に潜入する革新的な捜査テクニックの使用)、そして、
パートナーシップ(実際に目的達成可能な民間セクターや諸外国の警察との連
携)である。
────────────────

◆米国土安全保障省(DHS) サイバーアタックに対する対策不足に非難
  (2008.10.13)

米国下院議会・国土安全保障委員会代表のBennie Thompson氏(ミシシッピ州民
主党)によると、国土安全保障省は、大規模なサイバーアタックに備えるため
に必要なステップにまだ踏み切っていないという。National Response
Framework(全米レスポンスフレームワーク)代表のThompson氏が、10月23日
までにシナリオの完了スケジュールや関連文書の提出をDHSに要請したように、
本来ならばDHSはすでに8つの計画シナリオ、およびサイバーアタックなどのさ
まざまなアタック手法への対策文書を完成させていなければならないのだ。たっ
た数週間前、第44代大統領のためのサイバーアタック委員会で、DHSはサイバー
アタックに対する対策不足で非難を浴びたばかりである。同委員会は、国家的
なサイバーセキュリティの中心を他に設置し直すことを推奨している。これに
対しDHSは、「役割や責任の再編成は、ますます高度化しているサイバー脅威
に対する国家セキュリティの改善において、最も芳しくない」と反論している。
http://www.fcw.com/online/news/154055-1.html
http://news.cnet.com/8301-10787_3-10048033-60.html

【編集者メモ1】(Pescatore)
政権交替時によくある政治工作がたくさん絡んでいる。大きな問題点は、情報
セキュリティが非常に大きな事業であり、政府のみならず民間産業の予算策定
時にも、競合する事柄がたくさん出てきてしまうことだ。つまり、政府局は有
線および無線電話システムへの保護と同程度にしか、インターネットに接続し
ている無数の企業に対する保護を実際に後押しできないということになる。渦
中の問題に対して集中管理を行える解決策があるとの考えは、戦艦でテロリス
トを追おうとしているようなものだ。しかし、政府や産業界が全体の利益のた
めに協力できる証明済みのメカニズムもある。10年前、大統領決定指示第63号
(Presidential Decision Directive 63)によって、政府が担うべき役割の道筋
が整えられたが、今でもこれは最良の内容であると言える。しかし、今までに
新しい帝国や地方開発機会を作ろうとする動きがなかったために、この内容は
なおざりにされている。
【編集者メモ2】(Northcutt)
タイミングがものを言う。この事態は、空軍がサイバーコマンド(Cyber
Command(注:サイバースペースを専門とした部隊))の設立に二の足を踏んで
いた直後に浮上した。つまり、米国はセキュリティをまだ優先事項に入れてい
ないようだ。我々は今後痛い目に遭うだろう。
http://blog.wired.com/defense/2008/08/air-force-suspe.html
────────────────

◆州のデータ暗号化法施行(2008.10.16)

全ての企業に対し、電子的に送信される顧客データの暗号化を義務付けるネバ
ダ州法が今月施行を開始した。実際に施行された暗号化法としては初めてであ
るが、他の州にも同様の動きがある。2009年1月に施行されるマサチューセッ
ツ州法では、州住民の情報を収集している企業は、ノートパソコンやその他の
携帯用電子機器に保存している機密情報を暗号化しなければならないという。
州内の企業との取引実績や州内での営業活動経験のある企業も対象となる。
http://online.wsj.com/article/SB122411532152538495.html

【編集者メモ】(Schultz)
送信する顧客情報の暗号化を義務付けるネバダ州法は、同様の法が他の州で可
決される動きを促進する大きな力(カリフォルニア州法SB1386のように)になる
だろう。
────────────────

◆Common Causesの報告:米国には投票の正確性確立のために一層の努力が必
  要な州も(200.10.16)

Common Causesの調査では、「2008年11月4日に、米国内の1つ以上の区域で投
票マシンに障害が出る」と警告されている。残念ながらどこなのかはわからな
い。各州とシステム障害に備えることが急務となる。ほか、回避不可能な投票
マシンの問題によって、個人の投票権や投票集計能力に悪影響を及ぼさないた
めに必要な措置をとらなくてはならない。報告書では、投票マシンに関する4
区域の法や規制、手順についての調査も掲載されている。マシンの修理や紙面
投票の可否に関する要項、集計や調整に関する必須要件、投票者が検証可能な
紙面記録が使われているかどうか、その検証可能な紙面記録を使って行われる
選挙後の監査などについて吟味されている。全てのカテゴリについて格付けが
高かったのは6州のみで、カテゴリ4つ中3つの格付けが低い州は10州だったと
いう。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9117347&source=rss_topic17
http://www.brennancenter.org/content/resource/is_america_ready_to_vote
────────────────

◆Fortifyの報告:投票システムの信頼性を検査(2008.10.15)

Fortifyの報告書には、米国のさまざまな投票システムの信頼を掘り下げて調
査した結果が掲載されている。それによると、6つの投票方法のうち3つ(手動
の集計、光学スキャンによる投票、不在投票)は、極めて信頼度が高いという。
これらの方法は、来る米総選挙の60%で使用される予定である。しかしながら、
他の2つの方法(パンチカード、レバーマシン)には、重大な問題があったた
め、広範に使用される見込みはない。残るダイレクト記録電子投票システム
(Direct Recording Electronic voting system)は、約33%で使用される予定
だが、これは信頼度の低さが悪名高い。この投票システムでは、各票を検証す
る方法が提供されていないばかりか、細工もされ易いという。
http://blogs.usatoday.com/technologylive/2008/10/50-of-voting-sy.html?loc=interstitialskip
http://www.betanews.com/newswire/pr/Fortify_Software_Releases_Voting_Guide_in_Time_for_November_Elections/145273
────────────────

◆裁判所 男性2人に暗号化キー提出命令(2008.10.16)

英国控訴裁判所は、男性2人に対し、警察に暗号化キーの内容を明かさなけれ
ばならないとする判決を下した。男性2人は、キーを提出することは自己の有
罪を認めることと同じであり、個人の権利の侵害にあたると主張していた。裁
判所は、パスワードそのものが自己の有罪を認める行為にはならないとしたほ
か、キーやコンピュータの内容は彼らとは別のものであり、罪状に対する否認
の権利は絶対的でなく、「法的にはコンピュータの情報はすでに警察の占有下
にある」とした。彼らのうち1人は、当局の許可なく移動することを禁じられ
ている人物の移動を手助けしたため、反テロリズム法下で第三者の他の場所へ
の移動を幇助した罪で有罪になった。2人は捜査権限規制法下でキーの開示要
請通知を受けていた。
http://www.out-law.com//default.aspx?page=9514

【編集者メモ】(Northcutt)
このような判例法を確立することが重要である。しかし、米国では(暗号化キー
を放棄しなくてはならないものの、キーを保護する暗証番号の放棄は合衆国憲
法修正第5条に違反するという)少し違った決定が下されている。法の軸を見極
めるには、あと数件、事例が必要だろう。旅行者が税関に入る際にデータの暗
号化を解除させることには懸念が残る。税関にいる旅行者は、2国の間にいる
ことになるのだから……。
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=10&issue=61#sID306
────────────────

◆英国内の携帯電話購入者はID提示必要(2008.10.19)

英国政府は全ての携帯電話所有者のデータベースを作成しようと計画している
ため、英国内で携帯電話を購入する人は、パスポートかその他の正式な身分証
明書(ID)が必要になる可能性がある。この計画は、個人情報不要で現金で購入
可能なプリペイド携帯電話の購入者の身元特定を目的としている。英国情報長
官(UK Information Commissioner)Richard Thomas氏によると、携帯電話登録
の必須化が来年の法案に加わる可能性が高いという。しかし、内務省関係者は
同計画は違法な可能性があると指摘している。
http://www.timesonline.co.uk/tol/news/politics/article4969312.ece

【編集者メモ】(Northcutt)
私はこの一連の流れをずっと追ってきたが、計画はきっと頓挫すると思う。英
国のNewsBites読者の皆さん、この件に関するニュースが出てきたら、ぜひそ
のリンクの情報をstephen@sans.edu.まで
────────────────

◆電子フロンティア財団(EFF) 新FISA法の合憲性を疑う(2008.10.17-20)

電子フロンティア財団(EFF)は、FISA修正法の合法性を疑う裁判所文書を提出
した。新FISA法によって、国家安全保障局(NSA)が米国民の通話やメールの傍
受を支援した通信企業には、遡及免責が与えられている。また、通信傍受のほ
とんどは、令状や召喚状なしで行われるほか、傍受行為の承認は法廷ではなく
大統領によって下されるようになるという。これに対しEFFは、同新法は連邦
政府の三権分立だけでなく、しかるべき法手続きを踏む市民の権利の侵害にあ
たると主張している。
http://www.eweek.com/index2.php?option=content&task=view&id=50041&pop=1&hide_ads=1&page=0&hide_js=1
http://www.vnunet.com/vnunet/news/2228565/eff-takes-shot-immunity-law
http://www.informationweek.com/news/telecom/policy/showArticle.jhtml?articleID=211201760
────────────────

◆Microsoft 緊急パッチを発行(2008.10.22-23)

Microsoftは10月23日、リモートでコードが実行される重大な脆弱性に対する
パッチを急遽発行した。この欠陥は、悪用されるとユーザーの操作なしでワー
ムの感染が拡大するおそれがある。Windows 2000、XP、Server 2003、Server
2008、Vistaに影響を及ぼす。また、Severサービスにある非公開の脆弱性につ
いては、影響のあるシステムが細工されたRPC(Remote Procedure Call)リクエ
ストを受け取ると、リモートでコードが実行される可能性があるという。
http://voices.washingtonpost.com/securityfix/2008/10/microsoft_to_issue_emergency_s_1.html?nav=rss_blog
http://www.securityfocus.com/brief/844
http://www.theregister.co.uk/2008/10/23/windows_emergency_update/
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9117878&source=rss_topic17
http://news.cnet.com/8301-1009_3-10074072-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.us-cert.gov/cas/techalerts/TA08-297A.html
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

【編集者メモ1】(Skoudis)
これは誠にゆゆしき事態である。各企業は即座にパッチを入手し、現行の環境
に照らしたパッチのテストを迅速に行い、大丈夫と確認でき次第、適用せよ。
真に重要な局面で急遽パッチを発行したMicrosoftのガッツを賞賛する。あり
がたいことにMicrosoftが緊急パッチを頻繁に発行する必要はないが、今がそ
の時であることは間違いない。パッチは早めに、そしてこまめに適用すべし。
【編集者メモ2】(Honan)
この脆弱性を悪用するワームとしては最初のGIMMIV.Aが、すでに出回っている
ようだ。
http://www.sophos.com/security/analyses/viruses-and-spyware/trojgimmiva.html?_log_from=rss.
この脆弱性はRPCサービスに影響を及ぼし、MSBlasterに似ているワームの発生
にもつながるおそれがある。US-CERTはパッチをテストし、実際に適用に至る
までの間、このリスクを軽減できる方法についてガイドラインを発行している。
http://www.us-cert.gov/cas/techalerts/TA08-297A.html.
【編集者メモ3】(Schultz)
Microsftが今回、特別な顧客らに警告を発した事実を踏まえると、この脆弱性
がいかに重大なものか伺える。しかし、このような緊急性が見込まれると、
Microsoftの顧客らは、十分にテストを行わずにパッチを適用してしまいたい
という究極の衝動にかられる……。
────────────────

◆オランダ法廷 容疑者のGmailアカウントに関連したIPアドレスを明かすよ
  うGoogleに命令(2008.10.20)

オランダの判事はGoogleに対し、産業スパイ活動に使用されたと思われる
Gmailアカウントに関連したIPアドレスの提出を命じた。容疑者はiMergeとい
う企業の最高技術責任者(CTO)だったが、Googleは「ユーザーの身元を明かし
てしまうと、当人の表現の自由と名誉棄損のバランスが崩れてしまうという判
決に反する」という理由で、このリクエストに応じなかった。
同人は、ホスティングセンターにバックドア・サーバをインストールし、取締
役のメールボックスにあるメッセージを問題のGmailアカウントに転送するよ
う設定していた模様。
http://www.theregister.co.uk/2008/10/20/dutch_court_orders_google_to_reveal_gmail_user/
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=211201988
────────────────

◆ニューヨーク州の高校生 校長にセキュリティホールを知らせて重罪容疑に
  (2008.10.24-28)

Shenendehowa Central School(高校)の15歳の生徒が、コンピュータ侵入、個
人情報の不法所持、身元詐称詐欺、全ての重罪容疑で逮捕された。問題の生徒
は、コンピュータの授業中に学校のシステムデータベースへのアクセスを獲得
し、その後、校長に自分が成しえた内容を知らせた模様。ファイルは、学区パ
スワードを使えば、生徒も含め誰でもアクセスできるようになっていた。学区
管理者によると、ファイルはアクセス可能ではあったものの、実際にそれを特
定してアクセスするに至るには、ある程度のノウハウが必要とのこと。同生徒
には停学処分が下され、ニューヨーク州サラトガ郡の家庭裁判所で嫌疑に問わ
れる見込み。
http://timesunion.com/AspStories/story.asp?storyID=732745
http://www.dailygazette.com/news/2008/oct/25/1025_shendata/
http://www.theregister.co.uk/2008/10/28/student_charged/

【編集者メモ1】(Ullrich)
我々は、「責任ある情報開示」を行えるよう、よい方法を見出さなければなら
ない。まず、定義を行い、そしてどのようにインシデント処理手順に組み込む
か見極めよう。
【編集者メモ2】(Liston)
この事実について複数の記事を精読してみると、問題の生徒の意図に関しては
疑問が残されたままであるが、単にファイルに遭遇して即座に報告、というだ
けでは済まない行為であることは確かなようだ。彼の行為が重罪にあたるかど
うかは、法廷の判断に委ねられる。
【編集者メモ3】(Schultz)
問題のコンピュータシステムに、未承認アクセスを戒める警告バナーがあった
どうか疑わしい。なかったとすると、アクセスできるようにパスワードを付与
され、それを使用したからということで、15歳の生徒を厳しく罰する権限はな
いように思われる。また、学区管理者が、個人情報保護の責任(もしくはその
責任の欠如)について、さもたいしたことではないという態度をとっているの
には感心できない。管理者の中には、生徒がアクセスできた個人情報は十分に
保護されていなかったのではないかという問いに対し、問題のデータベースは
「1~2週間」だけ公開されていたと、肩をすくめて答えた者もいた。
【編集者メモ4】(Northcutt)
見解の難しいストーリーだ。解決するには、やはり法廷の力が必要であろう。
しかし、彼が校長にそれを知らせて、その後逮捕されるという経緯は腑に落ち
ない。彼がファイルを取得して所有し、他人のふりをしていたなど、さらに腑
に落ちない。このシステムを設計した人間を罪に問うという選択肢はないのだ
ろうか?
────────────────

◆米国行政予算管理局のメモの最終版 CIOの影響力を縮小(2008.10.24)

米国行政予算管理局(OMB)のメモの最終版では、連邦政府の最高情報責任官
(CIO)の責任について説明されている。しかし、そのメモからは、「CIOは政府
局の長の直属である」という条項や、「法や裁判所命令およびOMBの長の権限
放棄がない限り、CIOを上回る権限や責任を有する者は、各局のどの組織部門
にも存在しない」という条項は削除された。ほか、メモの初期原案から変更さ
れた部分としては、CIOに各局のITポートフォリオを計画、管理、監督する権
限を与えていたルールを削除し、代わりにそれらの責任は各局の長に与えられ
るとした部分などがある。しかし、この最終メモは、Clinger-Cohen法(注:
1996年の情報技術管理改革法)に反しているという声もある。同法では、連邦
政府局のCIOの立場を確立し、CIOは各局の長の直属でなければならないとして
いる。この変更は、キャリア職の者よりも政治任命を受けている者の手に権限
を維持しようという動きであるようだ。
メモの最近の原案と最終版の比較を行えるツールへのリンクが含まれている情
報はこちら:
http://www.nextgov.com/nextgov/ng_20081024_5887.php
────────────────

◆国土安全保障省(DHS) エアラインの搭乗客の審査を担うことに
  (2008.10.22-23)

1月から、搭乗客の監視、および、搭乗拒否リストに従ってエアラインの旅行
客の氏名をチェックする責務が、航空会社から米国土安全保障省(DHS)に移行
する。これによって、搭乗客が商用機に搭乗するには、氏名および生年月日、
性別を提出しなくてはならなくなるという。誤判定や、旅行期間の不正な延期
や阻止を大幅に減らす目的で、この度提出すべき情報が追加された。搭乗拒否
リストには、2,500人弱の氏名が記載されている。うち、米国民は10%。追加
で要質問対象者としてリストアップされているのが1万6,000人弱であり、うち
米国民は半数以下。Secure Flight Final Rule(セキュア・フライトの最終ルー
ル)を受けて、この移行が行われることとなった。
http://www.washingtonpost.com/wp-dyn/content/article/2008/10/22/AR2008102202646_pf.html
http://www.tsa.gov/press/releases/2008/1022.shtm
────────────────

--------- 『クリプト便』で実現する情報漏えい対策!!---------------
  ブラウザのご利用だけで、インターネットでの安全な情報交換を実現
個人情報のやりとりは、メール・郵送・FD/CDから「クリプト便」へ  
新機能「アドレス指定送付機能」も大好評!!まずは無料試用から!!
     ☆詳細は → http://www.nri-secure.co.jp/service/crypto/
-------------------------------------------------------------------

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年10月17日 Vol.7 No.42)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報ですSANS InstituteとTipping Pointチー
ム主導の下に作成されたもので、組織のシステムを保護するために有益で的確
なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                件数(#は本稿掲載番号)
======================================================================
Windows                   8 (#1, #2, #3, #6, #8,#9)
Microsoft Office              3 (#7)
その他のMicrosoft製品            8
サードパーティのWindowsアプリ        9 (#11)
Mac Os                   10 (#5)
Linux                    3
クロスプラットフォーム           29 (#4, #10)
Webアプリ-クロスサイトスクリプティング   2
Web アプリ- SQLインジェクション      24
Webアプリ                 21
ネットワークデバイス            3
======================================================================

CA ArcServeが、今週最も重大な脆弱性が発見された製品として、また
Microsoft WindowsやOffice、Appleと並んでしまった。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Microsoft Active Directoryにリモートでコードが実行さ
  れる脆弱性(MS08-060)

<影響のある製品>
Microsoft Windows 2000

<詳細>
Microsoft Active Directoryは、Lightweight Directory Access
Protocol(LDAP)実装であり、複数のMicrosoft製品やOSにとって不可欠である。
しかし、LDAPリクエスト処理にバッファオーバーフローの脆弱性がある。LDAP
のリクエストが細工されると引き起こされ、脆弱なプロセス(SYSTEMの場合が
多い)権限で任意のコードが実行される可能性がある。この脆弱性の技術的詳
細のいくつかが、公表されている。Microsoft Windows 2000を運賞しているシ
ステムでドメインコントローラになるように設定されているシステムだけが脆
弱だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS08-060.mspx
LDAPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
Microsoft Active Directoryのホームページ
http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/31609
────────────────

2.危険度【重大】:Microsoft Internet Explorerに複数の脆弱性(MS08-058)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoft Internet ExplorerのさまざまなHTMLおよびWebスクリプティング構
造の処理には複数の脆弱性がある。Webページが細工されると、脆弱性のいず
れかが引き起こされ、リモートでコードが実行される脆弱性や、クロスサイト
スクリプティング、情報開示の脆弱性につながるおそれがある。リモートでコー
ドが実行される場合は、現在のユーザー権限で行われるという。脆弱性の技術
的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-058.mspx
TippingPointのZero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-069/
SecurityFocus BIDs
http://www.securityfocus.com/bid/31618
http://www.securityfocus.com/bid/31617
http://www.securityfocus.com/bid/31654
http://www.securityfocus.com/bid/31616
http://www.securityfocus.com/bid/31615
http://www.securityfocus.com/bid/29960
────────────────

3.危険度【重大】:Microsoft Host Integration ServerのRPC Serviceにリモー
  トでコードが実行される脆弱性(MS08-059)

<影響のある製品>
Microsoft Host Integration Server 2000
Microsoft Host Integration Server 2004
Microsoft Host Integration Server 2006

<詳細>
Microsoft Host Integration Serverは、Microsoft Windowのプラットフォー
ムでさまざまなアプリケーションやデータソースの統合を支援するプラットフォー
ムである。この製品は、Remote Procedure Call(RPC)インタフェースをエクス
ポートする。しかし、このインタフェースのRPCリクエスト処理にはインプッ
ト検証エラーがある。リクエストが細工されると、脆弱なプロセス権限で任意
のコマンドが実行されるおそれがある。この脆弱性の概念実証コードと技術的
詳細が公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS08-059.mspx
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=745
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/31620.rb
Microsoft Remote Procedure CallについてのWikipediaの説明
http://www.microsoft.com/hiserver/default.mspx
製品のホームページ
http://www.microsoft.com/hiserver/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/31620
────────────────

4.危険度【重大】:Apple CUPSにリモートでコードが実行される脆弱性

<影響のある製品>
Apple CUPS 1.3.9以前のバージョン

<詳細>
CUPSは、Common Unix Printing Systemの略で、クロスプラットフォームのプ
リンタサーバとアクセスシステムである。このソフトウェアは、Appleから販
売されており、Apple Mac OS Xに不可欠なパーツである。ほか、UnixやLinux
のシステムのいくつかでも使用可能で、デフォルトインストールされているも
のもある。しかし、HP-GL(HP Graphics Language)リクエストを処理するとき
の特定のインプット処理に欠陥がある。印刷リクエストが不正形式HP-GLデー
タを含むように細工されると、この脆弱性が引き起こされる。悪用が実現する
と、脆弱なプロセス権限で任意のコードを実行される可能性がある。この脆弱
性の全技術的詳細はソースコードを分析すれば入手できる。また、概念実証コー
ドも公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
TippingPointのZero Dayイニシアチブ
http://zerodayinitiative.com/advisories/ZDI-08-067/
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT3216
CUPSの変更ログ
http://www.cups.org/articles.php?L575
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/31688.rb
製品のホームページ
http://www.cups.org
SecurityFocus BID
http://www.securityfocus.com/bid/31688
────────────────

5.危険度【重大】:Apple Mac OS Xに複数の脆弱性(Security Update 2008-007)

<影響のある製品>
Apple Mac OS X 10.5.5までのバージョン
Apple Mac OS X Server 10.5.5までのバージョン

<詳細>
Apple Mac OS Xのさまざまなコンポーネントには、複数の脆弱性がある。脆弱
性のほとんどは、OSの一部としてインストールされているサードパーティのコ
ンポーネントの古いバージョンに起因している。しかし、Microsoft Excelファ
イルや特定の画像ファイル形式の解析処理にある脆弱性は、ファイルが開かれ
たときにリモートでコードが実行される脆弱性を引き起こすおそれがある。悪
意のあるファイルを開いたり、閲覧したりするときに、プロンプトが出ない可
能性がある。サードパーティのコンポーネントにある脆弱性は、リモートでコー
ドが実行される脆弱性からクロスサイトスクリプティングまでさまざまである。
ローカルのみの脆弱性もたくさんあるが、今回の更新で対処されている。前述
のCUPSの脆弱性にも対処できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティ警告
http://support.apple.com/kb/HT3216
製品のホームページ
http://www.apple.com/macosx
SecurityFocus BID
http://www.securityfocus.com/bid/31681
────────────────

6.危険度【重大】:Computer Associates ARCServe Backupに複数の脆弱性

<影響のある製品>
Computer Associates ARCServe Backup r12.0 SP 1以前のバージョン

<詳細>
Computer Associates ARCServe Backupは、企業用バックアップソリューショ
ンとして広範に使用されているが、複数の欠陥があるRemote Procedure
Call(RPC)リクエスト処理に欠陥があるため、脆弱なプロセスによる任意のコ
マンド実行につながるおそれがある。また、ほかの脆弱性には、サブシステム
がDoSに陥る可能性がある。さらに、確認はとれていないものの、認証回避の
脆弱性についての報告もあるようだ。リモートでコマンドが実行される脆弱性
には、対応可能な概念実証コードが公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
cocoruderによる掲示 (概念実証コードを含む)
http://www.securityfocus.com/archive/1/497281
Computer Associatesのセキュリティ通知
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=188143
SecurityFocus BID
http://www.securityfocus.com/bid/31684
────────────────

7.危険度【高】:Microsoft Excelに複数の脆弱性(MS08-057)

<影響のある製品>
Microsoft Office 2000
Microsoft Office XP
Microsoft Office 2003
Microsoft Office 2007
Microsoft Office Excel Viewer
Microsoft Office SharePoint Server 2007
Mac 用Microsoft Office 2004
Mac 用Microsoft Office 2008
Mac 用Microsoft Open XML File Format Converter

<詳細>
Microsoft OfficeのExcel表ファイルの処理には複数の脆弱性がある。Excelファ
イルが細工されると引き起こされ、現在のユーザー権限で任意のコードを実行
される可能性がある。Microsoft OfficeやExcelの最近のバージョンのファイ
ルは、デフォルト設定ではプロンプトが出ずに開かれることはない。これらの
脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-057.mspx
TippingPoint のZero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-08-068/
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=746
SecurityFocus BIDs
http://www.securityfocus.com/bid/31706
http://www.securityfocus.com/bid/31702
http://www.securityfocus.com/bid/31705
────────────────

8.危険度【高】:Microsoft WindowsのInternet Printing Serviceにリモート
  でコードが実行される脆弱性(MS08-062)

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft WIndows Server 2008

<詳細>
Microsoft Windows Internet Printing Serviceは、MicrosoftのInternet
Printing Protocol(IPP)実装である。IPPは、ネットワークにあるプリンタに
アクセスするときに用いられるオープンプロトコルである。Microsoft IISは、
IPPをサービスとして実装している。しかし、この実装のIPPレスポンス処理に
は、インテジャーオーバーフローの脆弱性がある。IISサーバへのリクエスト
が細工されると、悪意のあるサーバに接続されてしまい、この脆弱性が悪用さ
れてしまう。悪用が実現すると、脆弱なプロセス権限で任意のコードを実行で
きるようになる。IISのデフォルト設定にあるこの脆弱性を悪用するには、認
証が必要だ。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-062.mspx
IPPについてのWikipediaの説明
http://en.wikipedia.org/wiki/Internet_Printing_Protocol
SecurityFocus BID
http://www.securityfocus.com/bid/31682
────────────────

9.危険度【高】:Microsoft Message Queueing Serviceにリモートでコードを
  実行される脆弱性(MS08-065)

<影響のある製品>
Microsoft Windows 2000

<詳細>
Microsoft Message Queueing Service(MSMQ)は、メッセージを送信するプロセ
ス間およびシステム間機能を提供する。このサービスは、Remote Procedure
Call(RPC)インタフェースをエクスポートする。しかし、このインタフェース
にはヒープベースのバッファオーバーフローがある。このバッファオーバーフ
ローの悪用が実現すると、SYSTEMユーザーの権限で任意のコードを実行できる
ようになる。この脆弱性の徹底的な技術的詳細が公表されている。問題のサブ
システムは、デフォルト設定でインストールされていたり、有効になっている
ことはない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-065.mspx
TippingPoint DVLabsのアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-07
Microsoftセキュリティ脆弱性研究および防御の記事http://blogs.technet.com/swi/archive/2008/10/14/ms08-065-exploitable-for-remote-code-execution.aspx
製品のホームページ
http://www.microsoft.com/windowsserver2003/technologies/msmq/default.mspx
Microsoft Remote Procedure CallについてのWikipediaの説明
http://www.microsoft.com/hiserver/default.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/31637
────────────────

10.危険度【高】:Sun Java System Web Proxy Serverにバッファオーバーフロー
  の脆弱性

<影響のある製品>
Sub Java Web Proxy Server 4.0.7までのバージョン

<詳細>
Sun Java Web Proxy Serverは、 サーバアプリケーションのSun Java System
コレクションであり、さまざまなプロトコル用のプロキシサーバを提供してい
る。しかし、FTPリソースの処理では特定の状態を正しく処理できない。サー
バへのHTTPリクエストが細工されるとサーバはFTPリクエストを発行し、この
脆弱性を引き起こす。悪用が実現すると、脆弱なプロセスの権限で任意のコー
ドを実行できるようになる。この脆弱性の技術的詳細がいくつか公表されてい
る。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=747
Sunのセキュリティアドバイザリ
http://sunsolve.sun.com/search/document.do?assetkey=1-66-242986-1
製品のホームページ
http://www.sun.com/software/products/web_proxy/
Web ProxyについてのWikipediaの説明
http://en.wikipedia.org/wiki/Proxy_server#Web_proxy
SecurityFocus BID
http://www.securityfocus.com/bid/31691

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年10月24日 Vol.7 No.43)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Windows                1 (#1)
その他のMicrosoft製品              1
サードパーティのWindowsアプリ          4 (#4, #5)
Linux                      2
Unix                       1
クロスプラットフォーム             19 (#2, #3)
Webアプリ-クロスサイトスクリプティング     7
Web アプリ- SQLインジェクション        31
Webアプリ                   18
======================================================================

少し前、今週の「重大な」脆弱性が公表された。ほぼ同時に、MicrosoftがXP
とVista(やその他のMS-OS)にあるRPC問題(すなわち、数千万のシステムに存
在する問題)に対する修正追加パッチを前倒しで発行すると発表した。迅速な
対応に出たMicrosoftを賞賛する。防御担当者らは即座に対応を。

ほか、多くの商用メールシステムがlibspf2の1.2.8以前のバージョンを使用し
ているため、リスクに晒されているという。3番目にあげられた重大な脆弱性
は、F-Secureの複数のセキュリティ製品に影響を及ぼす。
(Alan Paller:SANS Director of Research)
────────────────

1.危険度【重大】:Microsoft WindowsのRPCにリモートでコードが実行される
  脆弱性

<影響のある製品>
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Microsoft Windows Vista
Microsoft Windows Server 2008

<詳細>
Microsoftは、Remote Procedure Call(RPC)サービスにある脆弱性の通知を少
し前倒しで行った。問題の脆弱性は、Microsoftが緊急でセキュリティ更新を
発行するのが当然と言えるほど、重大なものと考えられている。詳細はまだ公
表されていないものの、10月23日のどこかで質疑応答形式のWebキャストで公
表される見込み。この脆弱性によって、未承認のユーザーでも脆弱なシステム
に任意のコードを実行できるようになるおそれが生じる。この脆弱性は、ワー
ムが出現してしまうような方法で悪用される可能性があると、Microsoftは考
えている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx
MicrosoftのWebキャスト情報
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032393978&EventCategory=4&culture=en-US&CountryCode=US
Microsoftセキュリティ警告アップデート
http://go.microsoft.com/fwlink/?LinkId=130719
Microsoft Advanced Notification
http://blogs.technet.com/sus/archive/2008/10/23/microsoft-security-bulletin-advance-notification-for-october-2008.aspx
SecurityFocus BID
http://www.securityfocus.com/bid/31874
────────────────

2.危険度【重大】:LibSPF2のDNS TXT Record処理にバッファオーバーフローの
  脆弱性

<影響のある製品>
libspf2 1.2.8までのバージョン

<詳細>
SPFは、Sender Policy Framework(以前は"Sender Permitted From"と称されて
いた)のこと。特定のドメインがメールをどのサーバから送信できるのかを示
して、未認証および迷惑メールメッセージ(スパム)を阻止する機能である。メー
ルを受信するサーバは、DNS記録を介してエクスポートされたSPF記録をチェッ
クし、特定のドメインからメールを送信したサーバが、正式に行っているかど
うかを判断している。LibSPF2は、SPFプロトコルの実装として広範に使用され
ており、さまざまなメール製品やDNS製品で使用されている。しかし、DNSから
エクスポートされたSPF記録の処理には、バッファオーバーフローの脆弱性が
ある。SPF記録が細工されると引き起こされる。アタッカーが、SPF記録をチェッ
クしているサーバにメールを単純に送信してこの脆弱性を悪用するシナリオが
一般的だ。したがって、ユーザーの操作は一切必要ない。悪用が実現すると、
脆弱なプロセスの権限(高い権限のあるアカウントが多い)で任意のコードを
実行できるようになる。この脆弱性の全技術的詳細と概念実証コードが公表さ
れている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
概念実証コード
http://downloads.securityfocus.com/vulnerabilities/exploits/31881.pl
Dan Kaminskyによる文書
http://www.doxpara.com/?page_id=1256
Sender Policy FrameworkについてのWikipediaの説明
http://en.wikipedia.org/wiki/Sender_Policy_Framework
ベンダーのホームページ
http://www.libspf2.org/index.html
SecurityFocus BID
http://www.securityfocus.com/bid/31881
────────────────

3.危険度【重大】:F-Secureの複数の製品のRPM File処理にインテジャーオー
  バーフローの脆弱性

<影響のある製品>
複数のF-Secure製品:ベンダーのアドバイザリ参照

<詳細>
RPM Package Manager(以前はRed Hat Package Managerもしくは"RPM"と称され
ていた)は、LinuxやUnixベースのOSの多くで使用されているパッケージマネー
ジャである。しかし、F-Secureのマルウェアスキャン製品の多くにおいて、
RPMパッケージの処理にインテジャーオーバーフローがある。RPMパッケージが
細工されると引き起こされ、脆弱なプロセスの権限での任意のコードの実行に
いたるおそれがある。脆弱な製品がメールのスキャンに使用される場合は、メー
ルがそのサーバを通過するだけで問題の脆弱性を引き起こしてしまう。ユーザー
の操作は必要ない。この脆弱性の技術的詳細のいくつかが公表されている。
RPMファイル形式は公開され、きちんと解説されているため、fuzzingの影響を
受けやすい。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのセキュリティアドバイザリ
http://www.f-secure.com/security/fsc-2008-3.shtml
RPMについてのWikipediaの説明
http://en.wikipedia.org/wiki/RPM_Package_Manager
RPMのホームページ
http://www.rpm.org
ベンダーのホームページ
http://www.f-secure.com/
SecurityFocus BID
http://www.securityfocus.com/bid/31846
────────────────

4.危険度【高】:Trend Micro OfficeScanのCGI処理にバッファオーバーフロー
  の脆弱性

<影響のある製品>
Trend Microsoft OfficeScan 8.0 SP1までのバージョン

<詳細>
Trend Micro OfficeScanは、企業用マルウェアスキャンアプリケーションとし
て広範に使用されている。これによって、WebインターフェースであるCommon
Gateway Interface(CGI)を介して管理機能やその他の機能が使えるようになる。
WebインタフェースのCGIプログラムのいくつかにおいて、HTTPリクエストの処
理にバッファオーバーフローの脆弱性がある。Webインタフェースへのリクエ
ストが細工されると、これらのバッファオーバーフローの脆弱性が引き起こさ
れ、脆弱なプロセスの権限で任意のコードを実行できるようになってしまう。
これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/secunia_research/2008-40/
ベンダーのセキュリティアドバイザリ
http://www.trendmicro.com/ftp/documentation/readme/OSCE_8.0_sp1p1_CriticalPatch_B3110_readme.txt
Common Gateway InterfaceについてのWikipediaの説明
http://en.wikipedia.org/wiki/Common_Gateway_Interface
ベンダーのホームページ
http://www.trendmicro.com
SecurityFocus BID
http://www.securityfocus.com/bid/31859
────────────────

5.危険度【高】:Hummingbirdに複数の脆弱性

<影響のある製品>
Hummingbird Deployment Wizard 10のActiveXコントロール
Hummingbird Host ExplorerのActiveX Control 8.0までのバージョン

<詳細>
Hummingbird Host Explorerは、リモートシステム用ターミナルアクセスソリュー
ションとして広範に使用されており、Hummingbird Deployment Wizardは、そ
の他のHummingbird製品を実行するときに用いられる製品である。両製品とも、
ActiveXコントロールを介して製品の機能のいくつかを提供している。しかし、
これらのコントロールには、バッファオーバーフローからインプット検証の脆
弱性までに及ぶさまざまな脆弱性がある。これらのコントロールをインスタン
ス化したWebページが細工されると引き起こされ、現在のユーザー権限で任意
のコードを実行できるようになってしまう。これらの脆弱性の技術的詳細およ
び概念実証コードが公表されている。

<現状>
今のところ、確認のとれている更新はない。Microsoftの"kill bit"機能を介
して問題のコントロールを無効にすることができる。しかし、通常の機能に影
響が出るおそれもあるので注意。

<参考>
概念実証コード
http://milw0rm.com/exploits/6776
ベンダーのホームページ
http://connectivity.hummingbird.com/home/connectivity.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
SecurityFocus BIDs
http://www.securityfocus.com/bid/31799
http://www.securityfocus.com/bid/31783

======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jp まで返信してください。