-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2001-1601 JPCERT/CC 2001-09-12 <<< JPCERT/CC REPORT 2001-09-12 >>> これは JPCERT/CC が 9/3(月) から 9/7(金) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin L-139 Microsoft IIS "%u encoding IDS bypass vulnerability" http://www.ciac.org/ciac/bulletins/l-139.shtml Microsoft IIS は "%u unicode encoding" を用いた独自の HTTP リクエストエ ンコードを実装しています。このエンコード方式は、標準でないため、この方式 を使った不正なアクセスの試みは、いくつかの IDS (Intrusion Detection System) によって検知、もしくは報告されません。結果として、IIS に存在する URL デコードに関する問題を使って、第三者が遠隔から任意のコードを実行で きる可能性があります。現在のところ対象となるのは以下の製品となっています。 CISCO Cisco Secure Intrusion Detection System (NetRanger, Sensor component) Cisco Catalyst 6000 Intrusion Detection System Module http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml Dragon Dragon Sensor 4.x http://dragon.enterasys.com/ ISS RealSecure Network Sensor 5.x および 6.x (XPU 3.2 より前) RealSecure Server Sensor 6.0 for Windows RealSecure Server Sensor 5.5 for Windows http://www.iss.net/eval/eval.php http://www.iss.net/db_data/xpu/RS.php Snort Snort 1.8.1 より前のバージョン http://snort.sourcefire.com/ この問題は、ベンダや配布元が提供するパッチを適用することで解決します。 関連文書 (英語) eEye Digital Security %u encoding IDS bypass vulnerability http://www.eeye.com/html/Research/Advisories/AD20010705.html Internet Security Systems Security Alert Multiple Vendor IDS Unicode Bypass Vulnerability http://xforce.iss.net/alerts/advise95.php CERT Advisory CA-2001-12 Superfluous Decoding Vulnerability in IIS http://www.cert.org/advisories/CA-2001-12.html [2] RUS-CERT Advisory 2001-08:01 Vulnerabilities in several Apache authentication modules http://cert.uni-stuttgart.de/advisories/apache_auth.php ユーザ認証情報の保存に SQL データベースを使っている、Apache の認証モジュー ルのいくつかには、遠隔から第三者が SQL コードを実行できる可能性がありま す。対象となるのは以下のモジュールです。 AuthPG 1.2b2 (mod_auth_pg) mod_auth_mysql 1.9 mod_auth_oracle 0.5.1 mod_auth_pgsql 0.9.5 mod_auth_pgsql_sys 0.9.4 この問題は認証モジュールを更新することで解決します。更新が困難もしくは不 可能な場合はモジュールの使用を停止することが推奨されています。 [3] CERT Advisory CA-2001-25 Buffer Overflow in Gauntlet Firewall allows intruders to execute arbitrary code http://www.cert.org/advisories/CA-2001-25.html PGP Security 社の Gauntlet Firewall には、遠隔から攻撃可能なバッファオー バーフローの脆弱性があります。結果として、smap/smapd や CSMAP を実行し ているユーザ権限で、第三者が遠隔から任意の操作を実行できてしまう可能性 があります。対象となるのは Gauntlet Firewall を使用している以下の製品 が稼動しているシステムです。 Gauntlet for Unix versions 5.x PGP e-ppliance 300 series version 1.0 McAfee e-ppliance 100 および 120 series Gauntlet for Unix version 6.0 PGP e-ppliance 300 series versions 1.5, 2.0 PGP e-ppliance 1000 series versions 1.5, 2.0 McAfee WebShield for Solaris v4.1 この問題はベンダの提供するパッチを適用することで解決します。 関連文書 (英語) Gauntlet Firewall for Unix and WebShield CSMAP and smap/smapd Buffer Overflow Vulnerability Advisory http://www.pgp.com/support/product-advisories/csmap.asp CIAC Bulletin L-140 Gauntlet Firewall CSMAP and smap/smapd Buffer Overflow Vulnerability http://www.ciac.org/ciac/bulletins/l-140.shtml [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用下さい。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbJG4x1ay4slNTtAQGa5QQAitTConQ5XI87G8RoaKoJ2myK6p8Z25YY HhWfzhaxWu6ygqeBzrn4J7ymxhIAMOFFm3DSXD00QZ7K/CFmCn1mhR55emOuPlSi sW38cfZa9d0bEX30wWQJnKaiHKbyxiHUmJbQC5D/+hu19s+Y7xB/ta6UNplkuk/t gbCGouZsnHg= =9Gh7 -----END PGP SIGNATURE-----