NRI Secure SANS NewsBites 日本版

Vol.4 No.32 2009年8月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.4 No.32 2009年8月11日発行
**********************************************************************

■はじめに

(1)サイバーセキュリティのキャリアのクールさを証明するには、目を見張る
  ほどの多額の給与を支払う組織があることを示すという手がある。我々は、
  今現在若くしてキャリアの階段を猛スピードで駆け上がっているプロフェッショ
  ナル(氏名の提供は不要)の事例を収集しているところだ。給与額が急激に上
  がっている事例(特に国防任務をサポートする分野の話)をご存じの方は、
  apaller@sans.org.までお知らせを。

(2)サイバー戦闘員および防衛員のキャリアマップはいかなる道なのか。その
  定義付けに取り組んでいる方は、国家が求める総合スキルと専門スキルのコン
  センサスの集約を目指すグループにぜひ加わっていただきたい。
  mbrown@sans.orgまでご連絡を。

重要コントロール20(CAG)の適用について朗報あり。今号5番目のコラム参照。
HIPPA(医療保険の相互運用性と説明責任に関する法律)とGLB(グラム・リー
チ・ブライリー法(金融制度改革法))を変えていくための次のステップは、
この重要コントロール20を当然の最低基準にすることである。

Alan

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
   SANS Tokyo 2009-2010 トレーニングイベント 好評申込み受付中!
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■SANS Tokyo 2009 Autumn:2009年10月19日(月)~24日(土)■
   ■SANS Tokyo 2010 Spring:2010年 2月15日(月)~20日(土)■
                  会場:UDXカンファレンス(秋葉原)

    ★セキュリティ管理者・エンジニア必須の5コースを実施★
          ↓↓↓詳細&お申込みはこちら↓↓↓
          http://sans-japan.jp/index.html

SANSのトップインストラクターによるライブ講義により、世界で最も進んだ情
報セキュリティのスキルを、東京で習得するチャンス!
  悪意ある第三者から自組織を防衛したいなら ―― 今すぐお申込みを!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■SANS NewsBites Vol.11 No.60-61
   (原版:2008年8月1日、8月5日配信)

◆ピアツーピアによる政府のデータ漏洩で 法案可決を促す(2009.7.29-30)

米国下院議員のEdolphus Towns(ニューヨーク州民主党)議員は、政府および
政府の請負業者のコンピュータにおけるピアツーピア(P2P)ファイル共有ソ
フトウェア使用禁止法案を提出した。また、Towns議員は、P2Pソフトウェアプ
ロバイダに「安全対策の導入に(ユーザーが)失敗した場合、その責任を負わ
せる」か否か決定するための調査を開始する、とも述べている。P2Pプログラ
ムの設定が脆弱だと、ユーザーが意図しないファイルまで共有できるようになっ
てしまう。問題のP2Pプログラムは、大統領専用車のルートに関する情報や、
元ファーストレディであるローラ・ブッシュを警護するシークレットサービス
潜伏場所、軍隊の兵士や病院の患者22万人以上の個人情報などをうっかり共有
したようだ。
http://www.washingtonpost.com/wp-dyn/content/article/2009/07/29/AR2009072902273_pf.html
http://voices.washingtonpost.com/securityfix/2009/07/report_locations_of_all_us_nuc.html
http://www.computerworld.com/s/article/9136053/Details_on_presidential_motorcades_safe_house_for_First_Family_leak_via_P2P?taxonomyId=17
http://www.smh.com.au/technology/technology-news/topsecret-obama-safe-house-leaked-on-limewire-20090730-e267.html
http://www.nextgov.com/nextgov/ng_20090729_2566.php?oref=topnews
http://www.nextgov.com/nextgov/ng_20090729_3555.php?oref=topnews
http://www.reuters.com/article/technologyNews/idUSTRE56S4T420090729
http://www.internetnews.com/government/article.php/3832556/Data+of+Soldiers+Hospital+Patients+Found+on+P2P.htm

【編集者メモ1】(Pescatore)
技術者が公共政策を打ち出そうとしたり、政治家が技術を云々しようとしたり
すると、たいていよい結果はもたらされない。いかなるインシデントにしても
ファイル共有ソフトを使用していること自体、ポリシー違反である。インシデ
ント発生により、今後ポリシーを導入すべきコントロール、およびセキュリティ
プログラムに存在する障害が指摘された。多くの場合、「皆にはそれをしては
いけないと言ってある」という一言を過信しているせいにすぎない。
【編集者メモ2】(Northcutt)
News Bites参加者のKathy Moss Bradfordに敬意を払いたい。彼女は非常に素
晴らしい研究を行った。「See what you share on P2P(P2Pで共有されている
ものを見よ)」というWebサイトをご記憶か。米国政府がこのサイトの掲示を
取り消させるために金銭を支払ったという噂がある。このサイトによって彼ら
はかなり恥ずかしい目に合わされたからだ。この話は今や都市伝説の1つとなっ
ている。しかし、P2Pを法律で禁止することが答えとして正しいとは言えない
のが実情だ。コラボレーションツールでもこの技術を使っているほか、
BitTorrentはデータの塊をある場所からほかの場所に移動させられる素晴らし
いプロトコルでもある。法律によるのではなく、我々自身が運用によってコン
トロールすべきなのだ。思うに、Bit9やCoreTrace、Savant Protectionなどの
エンドポイントセキュリティツールをホワイトリストとして抜き出すのが、最
良の方法だろう。エンドポイントセキュリティツールを使用しているのに、ア
プリケーションレベルのコントロールを得られている(もしくは得られていな
い)方は、ぜひその情報をstephen@sans.eduまで。
【編集者メモ3】(Ranum)
政府局に安全なネットワークを構築・管理する能力がないことに関して、その
責任をP2Pサービスプロバイダに負わせるなど言語道断である。Towns議員は、
この分野で何かを前進させたいのなら、政府局で障害が発生したときにはその
責任を管理者層に負わせる法案を提案すべきである。
────────────────

◆スマートグリッド補助金申請企業 セキュリティ重視の姿勢を実証する必要
  あり(2009.7.28)

米国エネルギー省は、同国のスマートグリッド用の連邦政府の補助金を望む企
業は、システムをサイバーアタックから守るポリシーや手順を装備しているこ
とをまず実証しなければならないという。政府は、連邦政府の緊急経済対策の
一環として、スマートグリッドの補助金に390億ドルを割り当てている。同国
の電力供給の効率性と信頼性を向上しながら、新しい仕事の場を創造するのが
狙いだという。
http://www.washingtonpost.com/wp-dyn/content/article/2009/07/27/AR2009072702988_pf.html

【編集者メモ1】(Pescatore)
全てのRFPにおいて、セキュリティに対する高い評価の取得を義務付けるのは、
よいことかもしれない。しかし、ポリシーや手順の存在を証明だけでは足りな
いだろう。セキュリティが実際にスマートグリッドに組み込まれていることも
実証すべきだ。
【編集者メモ2】(Northcutt)
少し紛らわしい。エネルギー省電力供給およびエネルギーの信頼性事務局
(Energy Department's Office of Electric Delivery and Energy
Reliability)のシニアマネージャーHank Kenchingtonは、「必須条件に関し
ては、取り組み方までは説明していない。なぜなら、まだ革新の余地を残して
おきたいからだ」という。さらに「サイバー分野以外の全てについてA評価を
取得していたとしても、我々には補助金付与のゴーサインを出さない権利が我
々にはある」とも述べた。
────────────────

◆AT&T 分散DoS攻撃の拡大を阻止するために4chanをブロック(2009.7.28)

AT&Tは、分散DoS攻撃が拡大して他の顧客向けサービスに影響が及ぶのを阻止
するため、4chanのWebサイトへのアクセスをブロックしたとのこと。先の報告
ではコンテンツ自体を理由にサイトの一部をブロックするとしていたようだが、
AT&Tは今回の措置について、「img.4chan.orgのコンテンツは全く関係ない。
我々は顧客を悪意のある通信から守ることに注力している」と述べた。4chan
の設立者Christopher Pooleによると、問題のサイトは数週間もの間アタック
を受けていたが、AT&Tからは今回の決定を下す前に何の連絡もなかったとのこ
とだ。
http://www.informationweek.com/news/internet/security/showArticle.jhtml?articleID=218700145

【編集者メモ】(Pescatore)
Googleが、検索リストにマルウェアサイトが出てきた場合リンクしにくくして
いるように、AT&Tが行ったことは良い。しかし、「ネットの中立性」の定義自
体を進化させていくならば、既知の悪意のあるサイトのブロックを定義する標
準的な方法を決定することも視野に含めなければならない。
────────────────

◆研究結果:デジタル証明書の警告は効果が小さい(2009.7.28-29)

カーネギーメロン大学の研究者らは、デジタル証明書の警告はセキュリティツー
ルとして有効でないことを発見した。この研究に参加した400人以上のうちの
大多数が、Secure Sockets Layer(SSL)証明書の期限切れについて警告を受
けても無視すると答えている。実際のところ、ユーザーに技術的知識があれば
あるほど警告を無視する傾向が強いようだ。証明書は、深刻な理由で期限切れ
になる場合も多いが、中には、中間者攻撃を示している場合もある。100人の
ユーザーが参加したもう1つの研究では、Firefoxのユーザーが証明書の期限切
れ警告を最も無視しない、との結果が出ている。研究者らは、証明書の期限切
れ警告はあきらめて、代わりにユーザーに危険な接続をさせないようにするこ
とを推奨している。
http://news.cnet.com/8301-1009_3-10297264-83.html?part=rss&subj=news&tag=2547-1009_3-0-20
http://www.h-online.com/security/Study-says-SSL-certficate-warnings-are-as-good-as-useless--/news/113879

【編集者メモ1】(Pescatore)
問題は、期限切れの証明書の大多数が、「安全でない」接続を示しているわけ
ではないということだ。本当に問題なのは、SSLは安全な接続であることを全
く示していないということである。標準のSSL証明書では、自分の接続先だと
信じているものに接続しているという確証は得られない。そこで、次の2つの
ことが言えよう:
(1)企業は、証明書の期限が切れる前に更新して、証明書管理に一層熱心に取
  り組まなければならない。
(2)CA(認証局)およびブラウザフォーラムのメンバーは、EV(Extended
  Validation)証明書の認識と安全なURLの基準ラインを高めるために、今より
  も大幅に投資を行う必要があるほか、CA産業はEV証明書の発行が煩わしいから
  といって、決して基準ラインを下げないよう留意しなければならない。
もちろん、研究結果を見れば、皆が警告を無視していることはわかる。しかし、
車のエンジンが変な音を立てているのに、気にせず延々とドライブを続ける人
間などいるだろうか?
【編集者メモ2】(Ranum)
説明文に「証明書は、重大でない理由で期限切れになることもある」とあるか
ら、知識のあるユーザーは無視してしまうのだ。Web取引の完全性はほとんど
ないことがわかっているからこそなのだから、この研究結果に過度にへそを曲
げるべきではない。
────────────────

◆NIST SP800-53の最終版を発表:重要コントロール(監査ガイドライン)の
  迅速な適用を可能に(2009.8.3)

米国立標準技術研究所(NIST:The National Institute of Standards and
Technology)は、「連邦情報システムおよび組織に推奨されるセキュリティコ
ントロール」、SP800-53の最終版(改正第3版)を発表した。この文書は、
2005年以来の連邦情報セキュリティマネジメント法(FISMA)の導入に関する
ガイドラインに、はじめて大きな改正を行ったものになる。この更新版の改正
部分には、「簡易化した6段階のリスクマネジメントフレームワーク」「導入
時や実施時にセキュリティコントロールの優先順位づけ推奨」「レガシーシス
テムおよび外部システムサービスのプロバイダ用にリスクマネジメントフレー
ムワークを使用するにあたってのガイダンス」などがあった。SP800-53新バー
ジョンでは、旧バージョンにあった3つの致命的な問題が解決されている。シ
ステム個別対応コントロールよりむしろ共通コントロールの策定、定期的認定
よりむしろ継続的監視の実施、全域に対するテストよりむしろテスト対象コン
トロールの優先順位の決定、などである。前述の3つが、この重要コントロー
ル20(CAG)の推進力になろう。現在、少なくとも5つの政府局で、以前800-53
を実施した請負業者らが、この「重要コントロール20」の導入力と評価力につ
いて再検査を受けているようだ。また、内閣レベルの省庁で重要コントロール
20を導入して継続的監視を実施するようになったところがあるが、関係してい
るシステム全体のリスクが総じて84%減少したと証明している。
http://gcn.com/Articles/2009/08/03/NIST-release-of-800-53-rev-3-080309.aspx
http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf

【編集者メモ】(Paller)
非常に素晴らしいニュースである。John Gilliganは、この「重要コントロー
ル20」文書の新バージョンが、NISTのリクエストにより表入りで来週リリース
されると報告している。これによって、重要コントロール20は、800-53の改正
版に掲載されている正式な優先度No.1のコントロールであると明示できるわけ
だ。重要コントロール20の導入およびテストに関するコースが、来月サンディ
エゴで、10月にシカゴで開催される
https://rr.sans.org/ns2009/description.php?tid=3467.
────────────────

◆国防総省 ソーシャルメディアに関するポリシーを再度取り上げる
  (2009.7.31-8.3)

米国戦略的指令(US Strategic Command)は、Facebook、MySpaceおよび
Twitterのようなソーシャルメディアを再検討し、その使用に関する国防総省
のポリシーの再診断に役立てようと考えている。ここでは、アタッカーがサイ
トを使用して司法省のネットワークにマルウェアを設置していること、オンラ
インであまりに多くの個人情報を掲示している職員がいることが、主な懸念事
項となっている。以前、司法省のネットワークにおけるソーシャルメディアの
使用は禁じられたが、今夏はじめ、米軍は全基地に対し、Facebookへのアクセ
スを許可している。
http://fcw.com/articles/2009/08/03/dod-rethinking-social-media-access.aspx
http://gcn.com/Articles/2009/07/31/DOD-ban-social-media-security-issues.aspx
http://www.scmagazineus.com/DoD-might-reblock-Facebook-Twitter/article/141103/

【編集者メモ】(Pescatore)
「司法省はインターネットアクセスポリシーを再考している」、「司法省はブ
ラックベリー使用ポリシーを再考している」、および「司法省はWLAN使用ポリ
シーを再考している」など、同じような記事が出ていたのはそう昔のことでは
ないはず。ひとたび人間が技術を使い始めると、雇用している企業や政府局は
その技術に対してブロックから包容へと方向転換せざるをえなくなるものだ。
────────────────

◆政府の請負企業 不十分なセキュリティで政府に払い戻し(2009.7.25)

調査で、米政府の業務を請け負っている企業によるサイバーセキュリティは不
十分なものであったこと、およびその下請けのコンピュータシステムが中国ベー
スのインターネットアドレスを介して侵害されていたことが発覚した。その企
業は国防総省との5,400万ドルの契約のうち1,300万ドルを払い戻した。侵入者
は、ルートネットワークに完全なアクセスを獲得。請負契約には、ソフトウェ
アの保守、更新、軍の保健システムのプログラムテストも含まれていたという。
http://www.washingtontimes.com/news/2009/jul/25/contractor-returns-money-to-pentagon/

【編集者メモ】(Ranum)
経費節約のために外注すると決めたら、そのチョイスに関する事後評価も公表
すべきだ。一見、かなりの数の外注プロジェクトが節約につながるように見え
るが、実際にはまだ完全に解明されていない財務上のブラックホールが残って
いるのでははないかと懐疑的である。
────────────────

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        ●アプリケーションエンジニアのための●
         セキュアプログラミング講座 9月開講!
         ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   ■AEのための情報セキュリティ技術基礎 <9月9日>■
   ■セキュアプログラミング演習(Java) <9月10日-11日>■
   ■セキュアプログラミング演習(C言語) <9月28日-29日>■
                 会場:野村総合研究所 セミナールーム

   !!セキュアプログラミングスキル認定のGSSP試験にも対応!!
        ↓↓↓詳細&お申込みはこちら↓↓↓
   http://www.nri-secure.co.jp/seminar/2009/0909_29_index_.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
         (原版:2009年7月31日 Vol.8 No.31)

<今週報告された脆弱性情報のサマリー>
======================================================================
カテゴリー                  件数(#は本稿掲載番号)
======================================================================
その他のMicrosoft製品              7 (#1, #2)
サードパーティのWindowsアプリ          2
Mac Os                     1
Linux                      4
BSD                       1
Solaris                     2
クロスプラットフォーム             32 (#3, #4)
Web アプリ - クロスサイトスクリプティング    9
Web アプリ - SQL インジェクション        9
Web アプリ                   17
======================================================================

Microsoftの問題についてはもうご存知だろう。定期外パッチを発行するレベ
ルだ。一方、Ciscoのワイヤレスにある問題も見逃してはならない。

Alan
────────────────

1.危険度【重大】:Microsoft Internet Explorerにさまざまな脆弱性
  (MS09-034)

<影響のある製品>
Microsoft Internet Explorer 5.01 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Microsoft Internet Explorer 6
Windows XP Service Pack 2およびWindows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Itaniumベースのシステム用SP2付きWindows Server 2003
Microsoft Windows Internet Explorer 7
Itaniumベースのシステム用SP2付きWindows Server 2003
Microsoft Windows Internet Explorer 8
Windows XP Service Pack 2およびWindows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Vista、Windows Vista Service Pack 1およびWindows Vista Service
Pack 2
Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1お
よびWindows Vista x64 Edition Service Pack 2
32-bit システム*用Windows Server 2008および32-bitシステム Service Pack
2*用Windows Server 2008
x64ベースのシステム用*Windows Server 2008およびx64ベースのシステムの
Service Pack 2*用Windows Server 2008
Itaniumベースのシステム用Windows Server 2008およびItaniumベースのシス
テムのService Pack 2用Windows Server 2008

<詳細>
Microsoft Internet Explorer(IE)には、細工されたWebページの処理時に
HTMLオブジェクトやキャッシュコンテンツを処理するにあたってにさまざまな
脆弱性がある。1つ目の問題は、IEが削除されたオブジェクトにアクセスする
方法が原因で生じるメモリ崩壊の脆弱性である。2つ目の問題は、IEが特定の
状況で表操作の処理をするときに生じるエラーが原因となっており、最終的に
メモリ崩壊が起こり、任意コードが実行される可能性がある。3つ目の問題は、
IEが削除されたオブジェクトを処理するときに生じるエラーが原因で、イニシャ
ライズされていないメモリが崩壊する脆弱性が引き起こされることである。こ
れらのケースが悪用されると、おのおの任意のコード実行につながるおそれが
ある。これらの脆弱性の技術的詳細がいくつか公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-034.mspx
製品のホームページ
http://www.microsoft.com/ie/
SecurityFocus BID's
http://www.securityfocus.com/bid/35826
http://www.securityfocus.com/bid/35827
http://www.securityfocus.com/bid/35831
────────────────

2.危険度【重大】:MicrosoftのVisual StudioのActive Template Libraryにさ
  まざまな脆弱性(MS09-035)

<影響のある製品>
Microsoft Visual Studio .NET 2003 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2005 Service Pack 1の64-bitでホストされている
Visual C++ツール
Microsoft Visual Studio 2008
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
Microsoft Visual C++ 2008 Redistributable Package
Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package

<詳細>
Active Template Library(ATL)は、Microsoftが開発したC++クラスのセット
で、これを使えば、Component Object Model(COM)をより簡単にプログラミ
ングできる。しかし、Microsoft Visual Studio ATLには、任意のコード実行
や情報開示を引き起こすおそれのある脆弱性が複数報告されている。1つ目の
問題は、ATLヘッダーにあるエラーによって引き起こされるイニシャライズさ
れない脆弱性で、これによって、VariantClearが正しくイニシャライズされて
いないVARIANT変数に呼び出されるようになってしまう。したがって、悪意の
あるストリームが細工されると、VariantClearをエラー処理中に呼び出すタイ
ミングをコントロールされるおそれがある。2つめの問題は、ATLヘッダーがデー
タストリームからオブジェクトをインスタンス化する方法にあるエラーによっ
て引き起こされる、リモートでコードが実行される脆弱性である。これによっ
て、正規のActiveXコントロールの使用によって特定のセキュリティポリシー
が回避され、IEで以前ブロックされた経緯のある信頼されていないActiveXコ
ントロールがロードされる可能性がある。3つ目の問題は、あるATLヘッダーの
いくつかが、終端でないNULLバイトを読み取るときに生じる情報開示の脆弱性
である。これらの脆弱性の技術的詳細がいくつか公表されている。Microsoft
Visual Studio ATLに組み込まれている他のベンダーのコンポーネントやコン
トロールも、これらの脆弱性の影響を受けるおそれがある。例えば、Adobe
Flash Player、Adobe Shockwave Player、およびCisco Unity Playerなどに注
意が必要。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS09-035.mspx
Adobeのセキュリティアドバイザリ
http://www.adobe.com/support/security/advisories/apsa09-04.html
http://www.adobe.com/support/security/bulletins/apsb09-11.html
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml
製品のホームページ
http://msdn2.microsoft.com/en-us/vstudio/default.aspx
SecurityFocus BID's
http://www.securityfocus.com/bid/35828
http://www.securityfocus.com/bid/35845
http://www.securityfocus.com/bid/35846
http://www.securityfocus.com/bid/35847
────────────────

3.危険度【重大】:Cisco Wireless LAN コントローラにさまざまな脆弱性

<影響のある製品>
Cisco 1500シリーズ
Cisco 2000シリーズWireless LANコントローラ
Cisco 2100シリーズWireless LANコントローラ
Cisco 4100シリーズWireless LANコントローラ
Cisco 4200シリーズWireless LANコントローラ
Cisco 4400シリーズWireless LANコントローラ
Cisco Catalyst 3750G 0
Integrated Services Router 0 用Cisco WLCモジュール
Cisco Wireless Serviceモジュール(WiSM)0

<詳細>
Cisco Wireless LAN Controller(WLC)は、重大な事業用アプリをサポートす
る企業規模のワイヤレスネットワークの主要な構造ブロックの一部で、システ
ム全体に及ぶワイヤレスLANの機能を担っている。しかし、このWLCのデバイス
・ファミリーにはさまざまな脆弱性が確認された。1つ目の問題は、認証リク
エストへのレスポンスが細工されたときに、その処理に生じるエラーによって
引き起こされる。この問題によって、管理用Webインタフェースにアクセスさ
れてデバイスをリロードされる可能性がある。2つ目の問題は、最終的にSSH管
理接続を処理するときに生じるエラーが原因で引き起こされる。これによって、
メモリの漏洩やDoS状態に至ってしまうおそれがある。このアタックを実行す
るのに3ウェイハンドシェイクは必要ないので注意。3つ目の問題は、脆弱な
WLCへのHTTPリクエストが細工されると、この処理にエラーが生じてDoSが引き
起こされる。これは、管理Webインタフェースを解して悪用されるおそれがあ
る。4つ目の問題は、認証されていないアタッカーから問題のWLC(WLCは管理
インタフェースやVLANにつながっている)への特定のHTTPやHTTPSリクエスト
の処理時に生じるエラーだ。悪用されると、未承認アクセスで影響のあるデバ
イスの設定を改変される可能性がある。これらの脆弱性の技術的詳細がいくつ
か公表されている。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
Ciscoのセキュリティアドバイザリ
http://www.cisco.com/warp/public/707/cisco-sa-20090727-wlc.shtml
Cisco応用緩和策情報
http://www.cisco.com/warp/public/707/cisco-amb-20090727-wlc.shtml
ベンダーのホームページ
http://www.cisco.com/
SecurityFocus BID's
http://www.securityfocus.com/bid/35805
http://www.securityfocus.com/bid/35817
http://www.securityfocus.com/bid/35818
http://www.securityfocus.com/bid/35819

======
このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが
配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ
ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ
リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、
およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ
ースソースとして活用されています。組織のセキュリティ管理に関する参考情
報としてお役立てください。

掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結
構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望され
る方は、弊社ホームページの以下の画面よりお申込みください。
https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ
る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し
ています。
配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただ
き、info@sans-japan.jpまで返信してください。