NRI Secure SANS NewsBites 日本版

Vol.3 No.4 2008年1月29日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.3 No.4 2008年1月29日発行
**********************************************************************

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃    The Trusted Source for Computer Security Training
┃           SANS Tokyo 2008 Spring
┃          ~~~~~~~~~~~~~~~~~~~~~~~~
┃         2008年2月25日~3月1日 開催まであと1か月!!
┃          ┏━━━━━━━━━━━━━━━━━━━━
┃          ┃早期割引き申込み受付中!
┃          ┃    詳細はこちら
┃          ┗━━━↓↓↓↓↓↓↓↓━━━━━━━━━
┃          https://www.event-information.jp/sanstokyo08/

┃   !!SANSのトップインストラクター Eric Cole 再来日!!
┃   !!短期コース開催! 短い時間で効果的にスキルアップ!!

┃ SEC401 SANS Security Essentials Bootcamp Style(6日コース)
┃ SEC519 Web Application Security Workshop(2日コース)
┃ SEC517 Cutting-Edge Hacking Techniques Hands-On(2日コース)
┃ SEC533 Windows PowerShell(1日コース)
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
渡航費や宿泊費なしで、SANSの技術・スキルを身につける絶好のチャンス。
今すぐお申込みを!!
────────────────

■はじめに(Alan Paller:SANS Director of Research)

CIAは、サイバーアタックによって、複数市に停電が発生したことを認めた。
水曜、米国CIA上級アナリストTom Donohueはニューオリンズにて、米国、スウェー
デン、オランダの政府役人やエンジニア、および北米の電力、水道、石油・ガ
スほか重要な産業資産所有組織のセキュリティマネージャ300人の集まる会合
で発表した。CIAは、「恐喝要求を伴うユーティリティへのサイバー侵入につ
いての情報を米国外のさまざまな地域から収集した。このようなアタッカーの
中には内部の情報を何らかの方法で獲得した疑いがあるものもあるが、まだ確
認はとれていない。また、サーバアタックによって米国外の複数地域で電力機
器の動作が妨害されたという情報もある。そのうち少なくとも1件は、複数市
に停電を引き起こす阻害行為だった。一体何者がどんな理由でこのようなアタッ
クを行ったかはわかっていないが、侵入はすべてインターネットを通じて行わ
れていた」と述べた。Donohue氏によると、CIAはこの情報を公にするリスクと
メリットを積極的かつ徹底的に熟考したうえで、今回の開示に踏み切ったとい
う。同会合において、アタッカーの防御網回避方法、重大な脆弱性のほとんど
の影響を緩和する有効な実務対策について、情報が提供された。また、CIAは
共同で開発したSCADAおよびコントロールシステムサバイバルキット
(SCADA and Control Systems Survival Kit)も提供している。このサバイバル
キットの電子バージョンが、SANSの卒業生に来週無償で配布される予定。希望
者はscada@sans.orgまで。
────────────────

■■SANS NewsBites Vol.10 No.5-No.6
   (原版: 2008年1月18日、23日配信)

◆連邦政府 暗号化キー判決に対し控訴(2008.1.16)

連邦政府は、バーモント州判事による判決を不服として控訴した。問題の判決
は、コンピュータの暗号を解くためのパスワードを所有者本人が打ち明けなく
てもよいという内容だった。Jerome J. Niedermeier判事は、コンピュータ所
有者にパスワードの入力を強制する行為は、自身を法律上不利にする行為はし
なくてよいとする米国憲法修正第5条に反するとみなした。このケースは、米
国に合法滞在しているカナダ人が児童ポルノをコンピュータに保有していたこ
とが発覚したことにより発生。問題のコンピュータは差し押さえられたものの、
政府はまだ問題のZドライブへアクセスできていない。同ドライブがPGP暗号化
によって保護されているからだ。
(以下のサイトを閲覧するには、無料登録が必要)
http://www.washingtonpost.com/wp-dyn/content/article/2008/01/15/AR2008011503663_pf.html
http://www.heise-security.co.uk/news/101935

【編集者メモ1】(Pescatore)
米国には(カナダでもそうだろう)、容疑者に対し、鍵のかかった引き出しやロ
ッカー、金庫を開けさせる裁判所命令を発行した先例が必ずあるはずだ。した
がって、長期的に見ても同様の考え方が暗号化されたデータの解読に適用され
ないのはおかしいだろう。パスワードを入力するのは南京錠の暗証番号を教え
ることと同じだ。しかし、短期的視点で見ると、技術の進展速度は法規制の変
化速度を常に上回っていることがわかる。
【編集者メモ2】(Schultz)
この判決は、米国権利章典で「個人が自身を貶めるような証言をする必要はな
い」とされていることを踏まえると、おおいに理にかなっている。容疑者にパ
スワードや暗号化キーほか、自身に不利な証拠に捜査員がアクセスできるよう
に強いる行為は、実際、自身を貶める証言を行うよう仕向ける行為にほかなら
ない。
────────────────

◆中国 対著作権侵害戦に国際的協力を求める(2008.1.17)

中国は、インターネット上での著作権侵害に対抗する取り組みに、国際的な協
力を求めている。中国当局が昨年抱えていたインターネット著作権侵害件数は、
その前の2年間の合計件数の2倍以上に達した。インターネット著作権侵害者の
多くは、他国にあるサーバを使用して行われている。公安省高官Gao Fengによ
ると、同国は国際警察の協力と情報提供を求めているという。中国当局には、
他国で行ったサーバ登録情報へのアクセス権がないため、当局が侵害Webサイ
トをブロックするのは難しい。
http://today.reuters.co.uk/news/articlenews.aspx?type=internetNews&storyID=2008-01-17T0
────────────────

◆CMS HIPAA遵守についてレビュー開始の見込み(2008.1.17)

メディケア・メディケイド・サービスセンター(CMS)は、米国周辺の病院の業
務が、医療保険の携行性・相互運用性と責任に関する法律(HIPAA:Health
Insurance Portability and Accountability Act)1996年法を遵守しているか
について確認レビューを開始する。今後9ヶ月間で、10~20の病院が検査され
る見込み。CMSはレビュー結果を公開するという。レビューを実施する施設名
は開示していないものの、比較的大規模な病院や苦情のあった病院から検査を
開始する予定。CMSのE-Health基準およびサービス(E-Health Standards and
Services)事務局は、HIPAAが必須としているセキュリティプラクティスのチェッ
クリストを掲示する意向。
http://www.govhealthit.com/online/news/350176-1.html?type=pf

【編集者メモ1】(Schultz)
これはたいへん重要な進展かもしれない。CMSがこの発表を行ったということ
は、HIPAA法遵守は実際休眠中だったのだろう。今回のレビューによって、
病院側はHIPAA遵守作業に、より多くの時間とリソースを費やすことになるだ
ろう。
【編集者メモ2】(Kreitner)
今回のレビューが重要なセキュリティ問題を中心に行われ、医療提供組織が無
意味で愚直なことに時間を費やすのを止めることになるとよいだろう。例えば、
患者の配偶者が目を通してもよいという患者のサインが無いから、ルーチンの
ラボレポートを患者の自宅にFAXすることを拒否する(配偶者がFAX機のそばを
通る可能性があるかららしい……)というのも、愚かな例のひとつであろう。
生年月日、出生地、母の旧姓のみならず、配偶者がそのレポートを見てもよい
と告げても拒否されてしまうのだ。
────────────────

◆Oracleデータベース管理者はセキュリティ更新を適用せず(2008.1.4)

Sentrigo, Inc.の調査によると、Oracleデータベース管理者(DBA)の3分の2が、
Oracleのパッチを適用していないという。調査対象のDBA305人中206人が、
Oracleが発行している重大なパッチ更新(CPU)を適用していないと答えている。
Oracle CPUのほとんどをインストールしたと答えたのは31人のみ(回答者のたっ
た10%強)であった。Sentrigoは、パッチ・インストール率の低さの理由は主
に2つであり、1つ目は、修正によるデータベースのパフォーマンスへの影響を
懸念するから。もう1つは、各CPUは1つ前のCPUをインストールしていないと適
用できないからだという。つまり、1回パッチのインストールを行わなかった
ら、その後のインストールは雪だるま式にできなくなっていくのである。本件
についてコメントしている読者は、さらにもう1つ、CPUが適用されていない理
由を述べている。「DBAには、最善のセキュリティプラクティスを追随するの
に必要な行動力がない」と。組織は、もはやサポートされていないバージョン
のOracle製品を運用しているという。しかし、パッチが広範囲で適用されてい
ないことに関して異議をとなえる者は誰もいないようだ。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9057226&pageNumber=1
http://blogs.computerworld.com/dbas_not_to_blame_for_oracle_patch_application_failures
http://www.informationweek.com/shared/printableArticle.jhtml?articleID=205603104

【編集者メモ1】(Ranum)
生産システムのすばらしい管理プラクティスを達成するためには、セキュリテ
ィ欠陥を無視することはできない。したがって、ソフトウェアには常にパッチ
を適用することが重要だ。すなわち、機能している限りずさんに扱うな、とい
うことである。このトピックには声高の反論はそうたくさんないだろうと思う。
しかし、生産システムにある大きな品質管理問題がセキュリティであるという
ことは、当然ながら立証される。脆弱性開示に関わる現在のプラクティスでは、
管理者だけでなく誰にとってもマイナスになってしまうが、それは自業自得で
あるとも考えられる。
【編集者メモ2】(Liston)
ソフトウェアベンダーは、顧客がベンダーの意図どおりに作業しているという
間違った前提の下に活動している。ミッションクリティカルなシステムでは、
社内テストを集中的に行わない限りパッチは適用されないものである。適用さ
れるとしても、それはパッチを適用しない欠陥がもたらしうる危険が、パッチ
を適用して生じる危険をはるかに上回ったときだけである(「壊れていない限
り修理するな」というのがDBAの平均的思考)。「セキュリティ」という側面
からは今回の調査結果にうんざりするが、同時に、パッチ適用に要する多大な
る時間や、ずっと以前のパッチから順に適用していかざるを得ない過酷な状況
というDBAのジレンマが理解でき、同情する部分もある。
────────────────

◆Microsoft Excelの旧バージョンにある欠陥に警告(2008.1.15-17)

Microsoftは、Excelにあるリモートのコード実行脆弱性を悪用しているターゲ
テッドアタックについて警告を発表した。Excel 2003 SP3やExcel 2007および
Mac版Excel 2008には、この脆弱性はないと考えられている。米国コンピュー
タ緊急対策チーム(US-CERT)は、Excelの旧バージョンを使用しているユーザー
は、覚えのない添付や見知らぬ添付を開かないようにと、独自のアドバイザリ
を発表した。今のところ修正はリリースされていないので、Microsoftのアド
バイザリでも回避策が提供されている。
http://www.theregister.co.uk/2008/01/17/0day_excel_bug_menace/print.html
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9057439&source=rss_topic17
http://www.scmagazine.com/uk/news/article/777761/excel-exploit-targets-%20-vulnerability-wild/
http://www.zdnetasia.com/news/security/printfriendly.htm?AT=62036690-39000005c
http://www.microsoft.com/technet/security/advisory/947563.mspx
http://www.us-cert.gov/current/index.html#microsoft_office_excel_remote_code
http://isc.sans.org/diary.html?storyid=3854
────────────────

◆サイバースパイ ますます増加(2008.1.15-21)

サイバーアタッカーが、官民両部門に対するスパイ活動に注意を向けている証
拠が多数見つかっている。米国政府は、国内の研究所にあるコンピュータシス
テムに対し、組織的なアタックらしきものがあったことを報告している。民間
企業もターゲットになっているようだ。アタッカーは、スピアフィッシング
(信頼できるソースからきたと見せかけた偽メールを組織内の一部に向けて送っ
たもの)を使用しているようだ。このアタックに使用されているIPアドレスは、
中国から来ているように見せかけているものもある。この場合、実際にアタッ
クがそこから発せられているかどうかは関係ないが、中国自身がこれらのアタッ
クを阻止するために何か対策を打とうとしているようには見えない。証拠によ
れば、アタッカーは集中的に、何時間も、何日も同じ箇所にアタックを浴びせ
ているという。これらのアタックは高度なものであるようだ。三流ハッカーグ
ループにありがちなエラーがみられない。また、最近のNew Yorkerに掲載され
た記事によると、米国情報長官(Director of National Intelligence)Mike
McConnellは、「米国国防省では、ネットワーク内の疑わしい探査行動を1日お
よそ200万件検知している」と報告している。また、国務省も同様の探査行動
を200万件検知しているという。
http://www.pcworld.com/businesscenter/article/141474/cyber_espionage_a_growing_threat_to_business.html
http://www.infoworld.com/article/08/01/15/Cyber-espionage-moves-into-B2B_1.html
http://www.securecomputing.net.au/news/68565,china-has-penetrated-key-us-databases-sans-director.aspx
http://www.scmagazine.com/uk/news/article/777862/us-cyber-war-china-russia-says-new-yorker-magazine/

【編集者メモ】(Northcutt)
これは別にニュースではないのでは!?
しかし、人間には何度か明らかなことを目の前に突きつける必要があるものだ。
言うまでもないが、ここで最も重要なのは検知である。私が作成し、教鞭をとっ
ているコース「セキュリティリーダーシップエッセンシャル」では、マネージャ
に対し、部下がIDSコンソールの報告内容よりもさらに深く洞察できる能力が
あるかどうかをチェックする方法を教えている。宣伝するようで申し訳ない。
最も素晴らしい検知トレーニングは、SANSの徹底的な侵入検知(Intrusion
Detection in Depth)である。Mike PoorやJohannes Ullrichの授業をぜひお奨
めする。彼らは業界一の検知のプロである。GIAC認定侵入アナリストが最低数
すらいない組織は、今なおアタッカーに切りつけられている可能性が高い。
http://www.sans.org/training/description.php?mid=62
http://www.sans.org/training/description.php?mid=43
http://www.sans.org/training/instructors.php#Poor
http://www.sans.org/training/instructors.php#Ullrich
http://www.giac.org/certifications/Security/gcia.php ]
────────────────

◆税関職員 政府のデータベースへのアクセス権販売で懲役(2008.1.21)

米国税関サービスエージェントのRafael Pachecoは、会計執行情報システム
(TECS:Treasury Enforcement Communications System)データベースへのア
クセス権を販売していたため、7年以上の懲役を科せられることとなった。同
人は、収賄罪、公務執行妨害、資金洗浄、司法妨害、制限付きの連邦政府コン
ピュータデータベースに違法アクセスしていた罪で有罪となった。このケース
で、国際的な犯罪者データベースをまとめようというFBIの意向に対する他国
のデータプライバシー上の懸念が浮き彫りになった。
http://www.zdnetasia.com/news/security/0,39044215,62036805,00.htm

【編集者メモ】(Northcutt)
以下のリンクのレポーターは2人とも重要な点を突いている。巨大かつ機密の
政府データベースには、コントロール機能と監査が必要であるという点だ。政
府は最少権限の原則を施行し、州はReal ID(別名:米国運転免許)を問題視す
るべきだろう。このデータベースは今後ひどく濫用されるおそれがあるのだ
から。
http://abcnews.go.com/US/wireStory?id=2848002
────────────────

◆FERC 電気事業サイバーセキュリティ基準を発表(2008.1.18-19)

米連邦エネルギー規制委員会(Federal Energy Regulatory Commission)は、最
終的な規則、重大なインフラ保護における必須信頼性基準(Mandatory
Reliability Standards for Critical Infrastructure Protection)を発行し
た。この基準では、電気事業サイバーセキュリティ基準の承認リストが説明さ
れている。基準の中には、重大なサイバー資産ID、セキュリティ管理コントロー
ル、職員とトレーニング、電子セキュリティ境界、重大なサイバー資産の物理
的セキュリティ、システムセキュリティの管理、インシデントレポートおよび
レスポンス計画、重大なサイバー資産の回復プランなどの項目がある。先週
CIAが、諸外国の電力網がアタックされ、少なくとも1つの都市で停電が発生し
たことを発表した手前、今回のこの発表のタイミングは特に適切であると思わ
れる。ニューオリンズで開かれたSANSカンファレンスで、CIAアナリストTom
Donahueは、これらのアタックは、経済的利益を狙ったものであると述べてい
る。アタッカーは恐喝要求を行っていたようだ。同氏は実際にアタックされた
電力網の場所については明かしていない。
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9057999&source=rss_topic17
http://www.washingtonpost.com/wp-dyn/content/article/2008/01/18/AR2008011803277_pf.html
http://www.allheadlinenews.com/articles/7009768211
http://news.smh.com.au/new-cybersecurity-rules-for-power-cos/20080118-1mnl.html
http://www.ferc.gov/news/news-releases/2008/2008-1/01-17-08-E-2.asp
http://www.ferc.gov/whats-new/comm-meet/2008/011708/E-2.pdf
────────────────

◆アイルランド メールおよびチャットのデータ保持を始める(2008.1.19-20)

欧州連合(EU)法の必須条件を満たすため、アイルランドは市民のメールおよび
インターネット・チャット記録の保持を始める見込み。通信の内容は保持され
ないものの、参加者のIPアドレスや、通信時間、メッセージのサイズの記録は
保持される。このプランは国会での立法でなく、規制という形で、今後1ヶ月
以内に有効となる。同国は、データ保持プラン導入期限を3ヶ月過ぎていると
の通達をEUから受けていたため、この措置に踏み切った。市民の自由団体は、
このプランおよびその導入方法に対して異議を唱え、その一方で、警察は裁判
所命令や逮捕状ないしに保持データにアクセスが許可されるべきである、と述
べている。
http://www.ireland.com/newspaper/frontpage/2008/0119/1200605160420.html
http://www.siliconrepublic.com/news/news.nv?storyid=single10057
http://www.out-law.com/page-8814

【編集者メモ】(Honan)
自由な民主主義社会を保持しようとする戦いの中、自由を守るために導入した
法や措置自体が刃を向く道具にならないようにしなければならない。我々には、
保証と適切な安全措置、コントロール、責任が必要で、その透明性は常に維持
される必要がある。また、情報が濫用された場合は、迅速に厳格な処置が施さ
れる必要がある。残念ながら、提案されている法案は前述の措置について(も
し、そういった措置があるならばの話だが)はまったく不明瞭なままである。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2008年1月21日 Vol.7 No.4)

@RISKは、前週1週間に発見された重大な脆弱性およびエクスプロイトをリスト
アップした脆弱性のサマリー情報です。SANS Instituteと3ComのTipping Point
チーム主導の下に作成され、12社のセキュリティ管理者で構成される「セキュ
リティマネージャ委員会」の具体的アクションも掲載されています。組織のシ
ステムを保護するために有益で的確なガイダンスを提供します。

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
Microsoft Office                1 (#1)
その他のMicrosoft製品              1
サードパーティWindowsアプリ          10 (#3, #6, #7, #8, #9)
Linux                      4
Apple                      2 (#2)
Cisco                      1 (#4)
BSD                       3
Solaris                     3
クロスプラットフォーム             23 (#5)
Webアプリ…XSS                 8
Webアプリ…SQLインジェクション         22
Webアプリケーション              17
ネットワークデバイス              3
======================================================================

■はじめに(Alan Paller:SANS Director of Research)

今週はまた、Excelに重大な脆弱性(パッチ未適用)が発見された。この脆弱
性によって、たくさんのスピアフィッシングアタック(ウィルスチェッカーは
この新しいアタックに効力がないかもしれないのに、受信者がウィルスチェッ
カーによるチェック済みだと思いこんでしまうような添付がついたメールによ
るアタック)が実現してしまうだろう。また、Apple QuickTime、Citrix、
Cisco Unified Communications Managerの暗号証明処理に重大な脆弱性が出て
いる。防御に携わる方々には、あまりよくない一週間になりそうだ。
────────────────

1.危険度【重大】:Microsoft Excelのファイル処理にリモートのコード実行脆
  弱性

<影響のある製品>
Microsoft Office 2000/2002/2003
Mac 用Microsoft Office 2004

<詳細>
Microsoft Excelの特定のExcelファイル処理には欠陥がある。Excelファイル
が細工されると、Excelに詳細不明の脆弱性が引き起こされ、現在のユーザー
権限で任意のコードが実行できるようになってしまう。Microsoft Officeの最
近のバージョンでは、受信するとすぐにユーザーの操作なしにコンテンツが開
かれてしまうので注意が必要だ。この脆弱性の技術的詳細は公表されているが、
現在巷で盛んに悪用されている。

<現状>
Microsoftは問題を認めているものの、更新はリリースしていない。

<参考>
Microsoftのセキュリティアドバイザリ
http://www.microsoft.com/technet/security/advisory/947563.mspx
SecurityFocus BID
http://www.securityfocus.com/bid/27305
────────────────

2.危険度【重大】:Apple QuickTimeに複数の脆弱性

<影響のある製品>
Apple QuickTime 7.4までのバージョン

<詳細>
QuickTimeは、Apple Mac OS XおよびMicrosoft Windowsのストリーミングメデ
ィアフレームワークである。しかしQuickTimeには、複数のファイル形式の処
理にさまざまな脆弱性がある。QuickTime動画および画像ファイル、もしくは
ストリームが細工されると、これら脆弱性のいずれかが引き起こされ、現在の
ユーザー権限で任意のコードが実行されるようになってしまう。QuickTimeの
コンテンツは、一般的に受信するとすぐユーザーの操作なしに自動的に表示さ
れてしまう。Apple Mac OS XのシステムすべてにおいてQuickTimeはデフォル
トでインストールされるようになっており、Microsoft Windows版Apple
iTunes製品の一部としてもインストールされているので注意が必要だ。これら
の脆弱性の技術的詳細のいくつかが公表されている。

<現状>
Appleはこの問題を認めており、更新をリリースしている。

<参考>
Appleのセキュリティアドバイザリ
http://docs.info.apple.com/article.html?artnum=307301
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-01
iDefenseのセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=642
Apple QuickTimeのホームページ
http://www.apple.com/quicktime
SecurityFocus BIDs
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=642
http://www.securityfocus.com/bid/27298
http://www.securityfocus.com/bid/27299
http://www.securityfocus.com/bid/27300
http://www.securityfocus.com/bid/27301
────────────────

3.危険度【重大】:Citrix PresentationサーバのIMAにバッファオーバーフロ
  ーの脆弱性

<影響のある製品>
Citrix Presentation サーバ4.5までのバージョン
Citrix Metaframe Presentationサーバ3.0までのバージョン
Citrix Access Essentials 2.0までのバージョン
Citrix Desktop サーバ1.0

<詳細>
Citrix Presentationサーバは、アプリケーション共有システムである。しか
し、独立管理アーキテクチャIndependent Management Architecture(IMA)コン
ポーネントに欠陥がある。リクエスト処理時にユーザーリクエストが細工され
ると、バッファオーバーフローが引き起こされるという。このバッファオーバー
フローの脆弱性の悪用が実現すると、脆弱なプロセス(SYSTEMの場合が多い)権
限で任意のコードを実行できるようになってしまう。この脆弱性の技術的詳細
のいくつかが公表されている。

<現状>
Citrixはこの問題を認めており、更新をリリースしている。
可能であれば、TC2512番ポートおよび2513ポートへのアクセスをネットワーク
境界でブロックすると、影響を軽減できる。

<参考>
Citrixのセキュリティアドバイザ
http://support.citrix.com/article/CTX114487
Zero Dayイニシアチブのアドバイザリ
http://zerodayinitiative.com/advisories/ZDI-08-002.html
製品のホームページ
http://citrix.com/English/ps2/products/product.asp?contentID=186
SecurityFocus BID
http://www.securityfocus.com/bid/27329
────────────────

4.危険度【重大】:Cisco Unified Communications ManagerのCTLProviderにヒ
  ープオーバーフローの脆弱性

<影響のある製品>
Cisco Unified Communications Manager 4.1(3)までのバージョン

<詳細>
Cisco Unified Communications Manager(CUCM)は、Ciscoの電話管理プラット
フォームである。しかし、"CTLProvider"コンポーネントには欠陥がある。こ
のコンポーネントは暗号証明を管理するものだ。このコンポーネントへのリク
エストが細工されると、ヒープオーバーフローが生じる。この脆弱性の悪用が
実現すると、脆弱なプロセス権限で任意のコードを実行できるようになってし
まう。同脆弱性の悪用に認証は必要ない。この脆弱性の技術的詳細のいくつか
が公表されている。また、悪用が実現すると、緊急電話も含め、電話サービス
が阻害されてしまうおそれもある。

<現状>
Ciscoはこの問題を認めており、更新をリリースしている。
可能であれば、TCP2444番ポートおよび7978ポートへのアクセスをネットワー
ク境界でブロックすると、影響を軽減できる。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20080116-cucmctl.shtml#@ID
TippingPoint DVLabsのセキュリティアドバイザリ
http://dvlabs.tippingpoint.com/advisory/TPTI-08-02
製品のホームページ
http://www.cisco.com/warp/public/cc/pd/nemnsw/callmn/index.shtml
SecurityFocus BID
http://www.securityfocus.com/bid/27313
────────────────

5.危険度【高】:TIBCO SmartSocketsに複数の脆弱性

<影響のある製品>
TIBCO SmartSockets 6.x

<詳細>
TIBCO SmartSocketsは、企業用メッセージおよび通信アプリケーションとライ
ブラリのスイートである。これらのアプリケーション、およびこれらのライブ
ラリを使用して構築されている潜在アプリケーションのさまざまなユーザーリ
クエスト処理には、複数の脆弱性がある。リクエストが細工されると、これら
の脆弱性のいずれかが引き起こされ、バッファオーバーフローおよびメモリ崩
壊状態に至ってしまう。これら脆弱性のいずれかの悪用が実現すると、脆弱な
プロセス(SYSTEMの場合が多い)権限で任意のコードを実行できるようになって
しまう。これらの脆弱性の技術的詳細のいくつかが公表されている。

<現状>
TIBCOはこの問題を認めており、更新をリリースしている。

<参考>
TIBCOセキュリティアドバイザリ
http://www.tibco.com/resources/mk/ems_security_advisory_20080115.txt
http://www.tibco.com/resources/mk/sspfm_security_advisory_20080115.txt
http://www.tibco.com/resources/mk/smartsockets_security_advisory_20080115.txt
http://www.tibco.com/mk/smartsockets-sspfm-ems_advisory_20080115.jsp
iDefenseセキュリティアドバイザリ
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=641
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=640
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=639
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=638
製品のホームページ
http://www.tibco.com/software/messaging/smartsockets/
SecurityFocus BIDs
http://www.securityfocus.com/bid/27295
http://www.securityfocus.com/bid/27292
http://www.securityfocus.com/bid/27294
http://www.securityfocus.com/bid/27293
────────────────

6.危険度【高】:Crystal Reports Report Viewer ActiveXコントロールにバッ
  ファオーバーフロー

<影響のある製品>
Crystal Reports Report Viewer ActiveXコントロール

<詳細>
Crystal Reportsは、企業用レポート生成アプリケーションとして広範囲で使
用されており、リモートのユーザーが、生成されたレポートをWebブラウザ経
由で閲覧できるようにするものだ。この機能は、ActiveXコントロールによっ
て提供されている。しかし、このコントロールの"SelectedSession"メソッド
には、バッファオーバーフローがある。このコントロールをインスタンス化す
るWebページが細工されると、このバッファオーバーフローが引き起こされる。
そして、悪用が実現すると、現在のユーザー権限で任意のコードを実行できる
ようになってしまう。この脆弱性の全技術的詳細および概念実証コードが公表
されている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID "3D58C9F3-7CA5-4C44-9D62-C5B63E059050"
に設定して問題のコントロールを無効にすれば、影響を軽減できる。

<参考>
shinnaiによるセキュリティアドバイザリ(概念実証コードも含む)
http://shinnai.altervista.org/exploits/txt/TXT_BQrFU4TjcXBPTnIO8WIA.html
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.businessobjects.com/products/reporting/crystalreports/default.asp
SecurityFocus BID
http://www.securityfocus.com/bid/27333
────────────────

7.危険度【高】:Macrovision FLEXNet Connect ActiveX コントロールに複数
  の安全でないメソッド

<影響のある製品>
Macrovision FLEXNet ActiveXコントロール

<詳細>
Macrovision FLEXNet Connectは、ソフトウェア販売者およびベンダーが自動
的にソフトウェアを配信し、ユーザーの更新を通知できるようにするものであ
る。この機能の一部はActiveXコントロールによって提供されている。しかし、
このコントロールには安全でないメソッドが複数含まれている。悪意のある
Webページがこのコントロールをインスタンス化すると、"AddFile"もしくは
"DownloadAndExecute"メソッドを使用して、犠牲者のシステムへ任意のファイ
ルを自動的にダウンロードしたり、実行したりしてしまう。これが悪用される
と、機密ファイルの上書きや、現在のユーザー権限による任意のコード実行の
おそれがある。この脆弱性の全技術的詳細と複数の概念実証コードが公表され
ている。

<現状>
ベンダーはこの問題を認めていないため、更新もリリースしていない。
Microsoftの"kill bit"機能をCLSID "1DF951B1-8D40-4894-A04C-66AD824A0EEF"
"FCED4482-7CCB-4E6F-86C9-DCB22B52843C"に設定して問題のコントロールを無
効にすれば、影響を軽減できる。

<参考>
概念実証コード
http://milw0rm.com/exploits/4913
http://milw0rm.com/exploits/4909
Microsoftナレッジベースの記事("kill bit"機能を解説)
http://support.microsoft.com/kb/240797
製品のホームページ
http://www.macrovision.com/products/licensing/flexnet_connect.htm
SecurityFocus BID
http://www.securityfocus.com/bid/27279
────────────────

8.危険度【高】:AOL Nullsoft Winampに複数の脆弱性

<影響のある製品>
AOL Nullsoft Winamp 5.52までのバージョン

<詳細>
AOL Nullsoft Winampは、Microsoft Windows用のメディアプレーやとして広範
囲でしようされている。しかし、Ultravoxメディアストリーム処理には複数の
脆弱性がある。ストリームが細工されると、これらの脆弱性のうちどれかを引
き起こし、バッファオーバーフローにつながるおそれもある。これらのバッファ
オーバーフローのいずれかの悪用が実現すると、現在のユーザー権限で任意の
コードを実行できるようになってしまう。Ultravoxストリームは、システム設
定によっては、受信時にユーザーの操作なしで開かれてしまうおそれがあるの
で注意が必要だ。この脆弱性の技術的詳細が公表されている。

<現状>
AOLはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaのセキュリティアドバイザリ
http://secunia.com/advisories/27865/
http://secunia.com/secunia_research/2008-2/advisory/
WinampのChange Log
http://www.winamp.com/player/version-history
SecurityFocus BID
http://www.securityfocus.com/bid/27344
────────────────

9.危険度【高】:Skypeにクロスサイトスクリプティングの脆弱性

<影響のある製品>
Skype 3.5.xおよび3.6.x

<詳細>
Skypeは、クロスプラットフォームの音声および動画カンファレンシングシス
テムである。これによって、ユーザーはチャットセッションに動画やその他の
Webコンテンツを足すことができる。これらのセッションに足されたWebコンテ
ンツは、Microsoft WindowsではIEの「ローカルゾーン」権限で運用される。
したがって、現在のユーザー権限で任意のコードを実行できるようになってし
まう。そして、悪用されると、任意のコマンドおよびコードの実行につながる
おそれも生じる。この脆弱性の概念実証コードおよびビデオデモが公表されて
いる。この脆弱性は、関連のあるWebサイトにクロスサイトスクリプティング
脆弱性がないと存在できないようだ。

<現状>
Skypeは、この脆弱性に一時的な修正をリリースした。

<参考>
Skypeのセキュリティ警告
http://skype.com/security/skype-sb-2008-001.html
Miroslav Lucinskijによる掲示
http://seclists.org/fulldisclosure/2008/Jan/0328.html
Posting by Aviv Raff(ビデオデモも含む)
http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx
Skypeのホームページ
http://www.skype.com SecurityFocus BID
http://www.securityfocus.com/bid/27338

=======
ここに掲載されている情報は、e-mailを介して自由に他の方に再送していただ
いて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希
望される方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/security/news_letter/form.cgi

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@nri-secure.co.jpまたはinfo@sans-japan.jp まで返信してください。