NRI Secure SANS NewsBites 日本版

Vol.4 No.11 2009年3月17日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.11 2009年3月17日発行
**********************************************************************

■はじめに

コンセンサス監査ガイドライン(CAG)について、陪審の評決が出揃った。
Government Computer News誌には、「NIST(米国立標準技術研究所)のガイダ
ンスはCAGに差しかえるべきである」とする記事、および「CAGはFISMA法ガイ
ダンスの代替にはならない」と題した記事が掲載されている。後者のニュース
は、政府および政府をサポートする企業に広まっている。高官や企業上層部の
間では、GCN誌の論調通り、「連邦政府のセキュリティ監査の機軸にするのは
NISTで、CAGはそれを補強するにすぎない」と解釈されているようだ。これを
受けて、記事の担当者を決めた編集者Wyatt Kashが介入してきた。Kashは、月
曜の新聞の編集記に、「我々はNISTの成果を高く評価しているが、今直面して
いるサイバー関連の脅威を踏まえながらNISTのガイドラインを追随することに
は問題がある。新種の疫病が急激に広まる中、一般の医療事典に沿って対処し
ようとしているようなものだ」と書いている。
http://gcn.com/articles/2009/03/09/editors-desk-cag-security-triage.aspx

CAGと言えば、4月の第1週と最終週に、政府局がCAGの重要項目をどのように選
定したかをお知らせしたい。4月6日から7日にかけてワシントンで開催される
「What Works in Log Management and Analysisサミット」が、CAGにログ関連
のコントロールを実際に導入する方法を学べる最初の機会になる。このサミッ
トでは、CAGガイドラン(2009年2月23日に公表されたバージョン1.0)を導入
するために必要な14の重要行動が焦点となる。この中に「Quick Win」と銘打っ
た5つの行動がある。セキュリティ改善の有無を迅速に実証できる方法を知り
たいISOやISSM、コンサルタントは、是非ご参加を。
すでに必要なツール自体は揃えていても、しかるべき機能をオンにしていなかっ
たり、正しく実装していないケースが多い。連邦政府省庁レベルのCISOにはプ
ログラム参加フリーパスをお渡しするので、そういった方々とお知り合いの方
は、その旨伝えていただきたい。それ以外の方は、以下のリンクからご登録を。
http://www.sans.org/logmgtsummit09/
また、4月29日にはアプリケーションセキュリティサミットがワシントンで開
催される。CAGのコントロール7についての連邦政府や金融機関の経験談が中心
となる。

米国土安全保障省、国防総省(DoD)、NIST(米標準技術研究所)、その他の
米政府機関や産業界のセキュリティリーダー的組織らによる今朝のミーティン
グで、興味深い(と同時に厄介な)発表があった。まず、NISTは「国防総省や
IC(Intelligence Community)と連携をとって、連邦政府機関やIC、DoDに
NIST SP800-53を義務化する」意向であると述べた。しかし、国防政府高官は、
「米国の政府機関に対して仕掛けられたアタック手法のうち主なものは2つあ
るが、どちらもNISTのSP800-53では十分に言及されていなかった(ガイダンス
の中では、『この問題の対処に必要なコントロールを特定するのは至難のわざ
だ』という言い回しだった)」としている。後者の発表が本当だとしたら、ミー
ティングで異議を唱える人がいなかったことを考えると、SP800-53を最も重要
な政府用コンピュータに適用するかどうかは、再検討しなければならないだろ
う。

以下のリンクのSANS Reading Roomに新しくアプリケーションセキュリティの
論文が掲載された。冒頭の論文「Webアプリの保護:2つの大きな間違いとそれ
を回避する実践的な12のステップ」がそれだ。
http://www.sans.org/reading_room/application_security/

               Alan Paller(SANS Director of Research)
────────────────

■■SANS NewsBites Vol.11 No.18-19
   (原版:2008年3月7日、11日配信)

◆ホワイトハウスのサイバーレビューを議論

次週、議会の公聴会で、ホワイトハウスの60日サイバーレビューの進捗状況に
ついて議論が行われる見込み。
http://lastwatchdog.com/us-cybersecurity-review-hearing-scheduled-march-10/
────────────────

◆DNSSEC トップレベルの.govドメインに導入される(2009.3.5)

米一般調達局(GSA:General Services Administration)は、2009年2月28日付
でDNSSEC(Doman Name System Security Extensions)がトップレベルの.gov
ドメインで使用可能になったと発表した。行政予算管理局(OMB)が昨年8月に
設定した当初の期日は1月であったが、遅れること1か月でやっと導入発表に至っ
た。使用されているソフトウェアへの機能追加のため、延期を余儀なくされた
という。DNSSECにより、DNSクエリやレスポンスにデジタル署名ができるよう
になって認証が可能となったほか、勝手な操作やスプーフィングがしにくくな
る。
http://gcn.com/Articles/2009/03/05/DNSSEC-on-dot-gov.aspx

【編集者メモ1】(Liston)
長くかかるプロセスにおける、喜ばしい最初の一歩になる。
【編集者メモ2】(Schultz)
DCSSECの導入が複雑であることを考えると、重要な成果として評価できるだろ
う。
────────────────

◆濠警察にリモートのコンピュータ捜査権限を与える可能性(2009.3.9)

オーストラリアのニューサウスウェールズ州では、警察に対し、容疑者のコン
ピュータをリモートで捜査する権限を付与する法案が議論されている。捜査対
象者は、最高3年間、捜査された事実を知らされないという。許可が与えられ
るのは、有罪となった場合7年以上の懲役に科される可能性のある犯罪が対象
である場合に限られる。
http://news.cnet.com/8301-1009_3-10191514-83.html?tag=mncol;title
http://www.zdnet.com.au/news/security/soa/NSW-Police-to-get-hacking-powers/0,130061744,339295354,00.htm

【編集者メモ】(Northcutt)
よくない考えだ。警察官ハッカーの誕生を誘発する。
────────────────

◆加州法 データ侵害通知に特定の情報を盛りこむ義務(2009.3.6)

カリフォルニア州上院議員Joe Simitianは、データセキュリティ侵害のあった
組織に対し、通知レターで侵害に関する特定の情報を提供するよう義務付ける
法案を提案した。現在、州法ではセキュリティ侵害で個人情報が侵害された場
合、影響を受ける個人に対して通知を行わなければならないが、その通知レター
にはさらに疑念を深めるような内容のものが多いという。この法案が成立すれ
ば、州当局は影響を受ける個人と同時に通知を受けることになる。
http://news.cnet.com/8301-1009_3-10190978-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://blog.wired.com/27bstroke6/2009/03/ca-looks-to-exp.html
http://info.sen.ca.gov/pub/09-10/bill/sen/sb_0001-0050/sb_20_bill_20081201_introduced.html

【編集者メモ1】(Schultz)
カリフォルニア州法SB-1386に第2弾が出たように、法は時とともに進化する。
この法はもともと2002年に可決されたものだ。しかし、当時はたくさん抜け穴
があったので、随時改正を行ってそれを埋めてきた。新法案が可決されれば、
同州はデータ侵害通知の分野でリーダー的存在になるだろう。
【編集者メモ2】(Ranum)
侵害が発生しても事後処理の負担が顧客にある限り、顧客にかかるリスクの割
合はいつまで経っても変わらない。リスクを伴うべき組織に負担がかからない
かぎり、個人情報の侵害は続くだろう。
────────────────

◆Verizon社 データ共有契約をオプトアウトできる機会を顧客に提供
  (2009.3.8)

Verizon社は、顧客の個人情報を「同社の子会社、エージェント、親会社と共
有する」という合意事項を顧客にオプトアウトできるように、レターを送付し
ているという。この合意の対象となるデータは、サービス購入履歴(特定の通
話の送受信も含む)だけにとどまらず、請求書送付先情報、技術情報、場所情
報なども含まれるという。Verizon社の請求書をオンラインで受信している顧
客にはレターは送付されないが、自分のアカウントにアクセスすれば、同じ内
容が書かれたメッセージを閲覧できるようになっている。
http://yro.slashdot.org/article.pl?sid=09/03/08/196242

【編集者メモ】(Pescatore)
どちらかというと、もうそろそろ、「X社は顧客がオプトインしないかぎり個
人情報は共有しないと宣言した」というニュースを聞きたいものだ。
────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年3月7日 Vol.8 No.10)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
サードパーティのWindowsアプリ          9(#5)
Linux                      4
Novell                     1(#4)
クロスプラットフォーム             21(#1, #2, #3, #6)
Webアプリ- クロスサイトスクリプティング     4
Webアプリ- SQLインジェクション         8
Webアプリ                   21
======================================================================

今週は、FirefoxやThunderbird、Opera、Novell eDirectory、広範に使用され
ているCライブラリが、「重大な脆弱性リスト」に載った。
────────────────

1.危険度【重大】:Mozilla製品にさまざまな脆弱性

<影響のある製品>
Mozilla Firefox 3.0.7までのバージョン
Mozilla Thunderbird 2.0.0.18までのバージョン
Mozilla SeaMonkey 1.1.14までのバージョン

<詳細>
Mozilla FirefoxのWebブラウザなど、Mozillaをコードベースにしている製品
には、複数のインプット処理にさまざまな脆弱性がある。Webページかスクリ
プトが細工され、これらの脆弱性のいずれかが引き起こされると、悪用可能な
状況に陥る。深刻な場合は、Webページが細工されるとメモリ崩壊が引き起こ
され、現在のユーザー権限で任意のコードが実行されるおそれが生じる。脆弱
なブラウザが使用しているPNGライブラリのエラーの悪用により任意のコード
が実行されたり、ブラウザをクラッシュされたりする可能性がある。そのほか、
機密情報を読み取られる類のエラーで、前述と同じ原因の場合があるという。
これらの脆弱性の技術的詳細は、ソースコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Zero Dayイニシアチブのアドバイザリ
http://www.zerodayinitiative.com/advisories/ZDI-09-013
Mozilla のセキュリティ警告
http://www.mozilla.org/security/announce/2009/mfsa2009-07.html
http://www.mozilla.org/security/announce/2009/mfsa2009-08.html
http://www.mozilla.org/security/announce/2009/mfsa2009-09.html
http://www.mozilla.org/security/announce/2009/mfsa2009-10.html
http://www.mozilla.org/security/announce/2009/mfsa2009-11.html
ベンダーのホームページ
http://www.mozilla.org/
SecurityFocus BID
http://www.securityfocus.com/bid/33990/
────────────────

2.危険度【重大】:Opera Webブラウザにさまざまな脆弱性

<影響のある製品>
Opera 9.63までのバージョン

<詳細>
Operaは、Opera Software Company製のクロスプラットフォームのWebブラウザ
として広範に使用されている。しかし、リモートのコード実行やDoS(サービ
ス停止)、クロスサイトスクリプティングに悪用可能な脆弱性がいくつかある。
JPEG画像ファイルが細工されると問題のいずれかが引き起こされ、メモリ崩壊
に至ってしまう。悪用の実現により、DoS状態を引き起こされたり、アプリに
関連する任意のコードを実行されたりする可能性がある。ほか、プラグイン関
連の詳細不明な問題があるが、それは違うドメインでスクリプトコードを実行
するのに悪用されるおそれがある。さらに、重要度の低い詳細不明のエラーも
存在している。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Windows Changelog用Opera9.64
http://www.opera.com/docs/changelogs/windows/964/
ベンダーのホームページ
http://www.opera.com/
SecurityFocus BID
http://www.securityfocus.com/bid/33961
────────────────

3.危険度【重大】:libsndfile 'CAF'の処理にインテジャーオーバーフローの
  脆弱性

<影響のある製品>
libsndfile 1.0.18までのバージョン
NullSoft Winamp 5.55 までのバージョン

<詳細>
音サンプルを含むファイルの読み書きに使用されるCライブラリには、インテ
ジャーオーバーフローの脆弱性がある。NullSoft Winampのバージョンの中に
は、脆弱なlibsndfileを含むものがあるが、それらの中にはこの脆弱性の影響
を受けるものもある。Core Audio Format(CAF)ファイルが細工されるとこれ
らのCAFファイルを処理するとき十分に境界チェックが行われないため、この
脆弱性が引き起こされる。悪用の実現により、このライブラリを使ってアプリ
に関連する任意のコードを実行される可能性がある。この脆弱性の詳細はソー
スコードを解析すれば入手できる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Secuniaの研究:脆弱性情報
http://secunia.com/secunia_research/2009-7/
http://secunia.com/secunia_research/2009-8/
libsndfileのホームページ
http://www.mega-nerd.com/libsndfile/
SecurityFocus BID
http://www.securityfocus.com/bid/33963
────────────────

4.危険度【重大】:Novell eDirectoryのマネジメントコンソールの
  Accept-Languageにバッファオーバーフローの脆弱性

<影響のある製品>
Novell eDirectory 8.7.3 SP10b
Novell eDirectory 8.7.3 SP10 FTF1
Novell eDirectory 8.7.3 sp10
Novell eDirectory 8.7.3 9
Novell eDirectory 8.7.3 10
Novell eDirectory 8.7.3 .8 pre-SP9
Novell eDirectory 8.7.3 .8
Novell eDirectory 8.7.3
Novell eDirectory 8.8 SP4
Novell eDirectory 8.8 SP3
Novell eDirectory 8.8 SP2
Novell eDirectory 8.8 SP1
Novell eDirectory 8.8

<詳細>
Novell Inc製品のNovell eDirectoryは、複数のサーバやコンピュータのリソー
スへのアクセスを一元管理するときに用いられるものだ。しかし、Novell
eDirectoryのiMonitorというコンポーネントには、入ってくるHTTPリクエスト
の境界チェックが不適切であることが原因で生じるバッファオーバーフローの
脆弱性がある。HTTPリクエストが不正の“Accept-Language”ヘッダーを含む
ように細工されると、この脆弱性が引き起こされる。悪用の実現により、シス
テム権限かルート権限で任意のコードを実行される可能性がある。悪用が実現
しない場合でも、DoS状態が引き起こされるおそれがある。今のところベンダー
から提供されている更新は部分的なものにすぎない。この脆弱性の技術的詳細
がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新を部分的にリリースしている。

<参考>
完全な開示
http://seclists.org/fulldisclosure/2009/Mar/0002.html
Novell eDirectoryについてのWikipediaの説明
http://en.wikipedia.org/wiki/Novell_eDirectory
製品のホームページ
http://www.novell.com/products/edirectory/
SecurityFocus BID
http://www.securityfocus.com/bid/33928/
────────────────

5.危険度【高】:NovaStor NovaNETの‘DtbClsLogin()'にバッファオーバー
  フローの脆弱性

<影響のある製品>
NovaStor NovaNET 12ほか、それ以前のバージョンも脆弱な可能性あり

<詳細>
NovaStor製のプロフェッショナルネットワークバックアップ、NovaNETは、
‘DtbClsLogin()'機能にあるエラーが原因でバッファオーバーフローを引き
起こしやすい。過剰に長いユーザー名を含むようにリクエストが細工されると、
NovaNETドメインへの認証の最中にこの脆弱性が引き起こされる。悪用の実現
により、Linuxシステムは任意のコードが実行され、Windowsシステムは破壊さ
れるおそれがある。この脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Insight Technologies:NovaNET 12のリモートのバッファオーバーフロー
http://www.insight-tech.org/index.php?p=NovaNET-12-Remote-Buffer-Oveflow
製品のホームページ
http://www1.novastor.com/products/novanet.html
SecurityFocus BID
http://www.securityfocus.com/bid/33954/
────────────────

6.危険度【高】:Fujitsu Jasmine2000 Enterprise EditionのWebLinkにさま
  ざまな脆弱性

<影響のある製品>
Fujitsu Jasmine 2000 Enterprise Edition 0

<詳細>
Fujitsu Jasmine2000 Enterprise Editionには、DoSや任意のコード実行、ク
ロスサイトスクリプティングに悪用される脆弱性がいくつかある。Jasmine
Weblinkが管理するWebサイトへのアクセスを特定の方法で獲得されると、バッ
ファオーバーフローを引き起こされる可能性がある。悪用の実現により、任意
のコード実行やDoSにつながるおそれもある。そのほか、クロスサイトスクリ
プティングアタックを介して、HTMLやスクリプトコードを挿入するのに利用さ
れるような詳細不明のエラーもある。これらの脆弱性の技術的詳細がいくつか
公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Jasmine:
Weblinkテンプレート実行にあるさまざまな脆弱性
http://www.fujitsu.com/global/support/software/security/products-f/jasmine-200801e.html
ベンダーのホームページ
http://www.fujitsu.com/global/
SecurityFocus BID
http://www.securityfocus.com/bid/33940/

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。