-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-1501 JPCERT/CC 2004-04-14 <<< JPCERT/CC REPORT 2004-04-14 >>> これは JPCERT/CC が 4/4(日) から 4/10(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Internet Explorer に含まれる ITS プロトコルハンドラの脆弱性 US-CERT Technical Cyber Security Alert TA04-099A Vulnerability in Internet Explorer ITS Protocol Handler http://www.us-cert.gov/cas/techalerts/TA04-099A.html US-CERT Current Activity Exploitation of IE ITS Cross-Domain Scripting Vulnerability http://www.us-cert.gov/current/current_activity.html#msits AusCERT Update AU-2004.007 Vulnerability in Internet Explorer Allows Program Execution http://www.auscert.org.au/render.html?it=3990 Microsoft Internet Explorer (以降 MSIE) には、InfoTech Storage (ITS) プロトコルハンドラが Compiled HTML Help (CHM) ファイルに保存された HTML コンポネントのセキュリティドメインを決める方法にクロスドメインス クリプティングの脆弱性があります。結果として、遠隔から第三者が、Web ペー ジや HTML 形式の電子メールなどを経由して MSIE を実行しているユーザの権 限を取得する可能性があります。 この問題は、WebBrowser ActiveX コントロールや MSIE の HTML 表示機 能 (MSHTML) を使用する全てのプログラムに影響します。例えば、 Outlook や Outlook Express にも影響します。また MSIE 以外の Web ブ ラウザでも、ITS プロトコルの URL を処理する際に MSIE を使用するも のであれば、同じように影響を受けます。 この問題を修正するためのパッチが公開されるまでの一時的な回避策の詳細に ついては上記文書を参照してください。 なお、この脆弱性を使用するコンピュータウィルスの存在やアクセスしてきた クライアントに対する攻撃を意図していると思われる Web サイトの存在が報 告されており、また実際に被害も発生しています。 不用意に不審な Web サイトにアクセスしないように注意することをお勧めし ます。また、アンチウィルス製品を使用している場合は、ベンダの提供する情 報を参照し、データファイルを最新版に更新することを強くお勧めします。 関連文書 (日本語) JPCERT/CC Vendor Status Note JVNTA04-099A Microsoft Internet Explorer に含まれる ITS プロトコルハンドラの脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-099A.html 関連文書 (英語) US-CERT Vulnerability Note VU#323070 Microsoft Internet Explorer does not properly validate source of CHM components referenced by ITS protocol handlers http://www.kb.cert.org/vuls/id/323070 [2] Cisco WLSE と HSE に標準で含まれる管理者アカウントの問題 CIAC Bulletin O-111 CISCO WLSE and HSE Contain Default Passwords http://www.ciac.org/ciac/bulletins/o-111.shtml Cisco Wireless LAN Solution Engine (WLSE) と Hosting Solution Engine (HSE) には、無効にできない管理者アカウントが残されている問題があります。 結果として、遠隔から第三者がこの管理者アカウントでログインする可能性が あります。対象となるのは以下のバージョンです。 - Wireless LAN Solution Engine (WLSE) 2.0, 2.0.2 および 2.5 - Hosting Solution Engine (HSE) 1.7, 1.7.1, 1.7.2 および 1.7.3 この問題は Cisco が提供するパッチを適用することで解決します。 関連文書 (日本語) Cisco Security Advisory WLSE と HSE におけるデフォルトユーザネーム http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/cisco-sa-20040407-username-j.shtml [3] Cisco VPN サービスモジュールに含まれる脆弱性 CIAC Bulletin O-112 Cisco IPSec VPN Services Module Malformed IKE Packet Vulnerability http://www.ciac.org/ciac/bulletins/o-112.shtml Cisco IP Security (IPSec) VPN サービスモジュール (VPNSM) には、 Internet Key Exchange (IKE) パケットの処理に脆弱性があります。結果とし て、第三者が遠隔からシステムを停止したり、再起動したりする可能性があり ます。対象となるのは以下のバージョンの IOS が動作している Cisco Catalyst 6500 シリーズスイッチおよび Cisco 7600 シリーズインターネット ルータです。 - 12.2(17b)SXA より前の 12.2SXA - 12.2(17d)SXB より前の 12.2SXB - 12.2(14)SY03 より前の 12.2SY - 12.2(14)ZA8 より前の 12.2ZA この問題は Cisco が提供するパッチを適用することで解決します。 関連文書 (英語) Cisco Security Advisory Cisco IPSec VPN Services Module Malformed IKE Packet Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20040408-vpnsm.shtml [4] Heimdal に含まれる cross-realm 認証の脆弱性 CIAC Bulletin O-109 Heimdal Kerberos Cross-Realm Vulnerability http://www.ciac.org/ciac/bulletins/o-109.shtml Kerberos 5 の実装である Heimdal バージョン 0.6 と 0.5.2 (およびそれ以 前) には、cross-realm リクエストを適切に確認しない脆弱性があります。結 果として、ローカルユーザが他のユーザになりすます可能性があります。 この問題は、Heimdal をバージョン 0.6.1 (もしくはそれ以降) または 0.5.3 (もしくはそれ以降の 0.5.x) に更新することで解決します。また、使用して いる OS のベンダや配布元が提供する修正済みのパッケージに更新することで も解決します。 関連文書 (日本語) Debian セキュリティ警告 DSA-476-1 heimdal -- クロスレルム (cross-realm) http://www.debian.org/security/2004/dsa-476.ja.html 関連文書 (英語) Cross-realm trust vulnerability in Heimdal http://www.pdc.kth.se/heimdal/advisory/2004-04-01/ [5] vfte に含まれる複数のバッファオーバーフローの脆弱性 CIAC Bulletin O-107 vfte Buffer Overflow Vulnerabilities http://www.ciac.org/ciac/bulletins/o-107.shtml fte パッケージに含まれる vfte には、複数のバッファオーバーフローの脆弱 性があります。結果として、ローカルユーザが root 権限を取得する可能性が あります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー ジに fte を更新することで解決します。 関連文書 (日本語) Debian セキュリティ警告 DSA-472-1 fte -- 複数の欠陥 http://www.debian.org/security/2004/dsa-472.ja.html [6] libxml2 に含まれる脆弱性に関する追加情報 JPCERT/CC REPORT 2004-03-10号でも紹介した、libxml2 に含まれる脆弱性に 関する追加情報です。 Turbolinux Security Advisory TLSA-2004-12 バッファオーバーフロー http://www.turbolinux.co.jp/security/2004/TLSA-2004-12j.txt 関連文書 (日本語) JPCERT/CC REPORT 2004-03-10号 http://www.jpcert.or.jp/wr/2004/wr041002.txt [7] CERT/CC 年次報告書 CERT Coordination Center 2003 Annual Report http://www.cert.org/annual_rpts/cert_rpt_03.html 米国のインシデント対応機関 CERT/CC の 2003年 1月から 12月までの活動報 告です。 [8] JPCERT/CC インターネット定点観測システム 2004年4月7日(水) - 2004年4月13日(火) の概況 http://www.jpcert.or.jp/isdas/ インターネット定点観測システム (ISDAS) のデータが更新されました。今回 は 2004年4月7日(水)から 2004年4月13日(火)の観測データを紹介しています。 [今週の一口メモ] ここでは、一般的なセキュリティ技術として既に知られていながら、あま り使用されていないと思われる技術を簡単にメモとして紹介します。 * 送信元 IP アドレスを詐称したパケットのフィルタリング ルータやファイアウォールにおいて、送信元 IP アドレスが詐称されているパ ケットをフィルタリングすることが推奨されています。 例えば、本来内部で保持していない IP アドレスを送信元とするパケットが外 部に送信される場合、送信元 IP アドレスが詐称されていると判断してフィル タします。 送信元 IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃 で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃 を防ぐためにも、このようなフィルタリングを設定することを強くお勧めしま す。なお、設定を一行追加するだけで実現できる装置もありますので、改めて マニュアルなどをご確認ください。 参考文献 (英語) Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing http://www.ietf.org/rfc/rfc2827.txt Global Incident Analysis Center - Special Notice - Egress Filtering v 0.2 http://www.sans.org/y2k/egress.htm [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQHyUKox1ay4slNTtAQEikwP/UPZ0wawP7G8CfaUPQ4yRVo/ZcKrcj3aW 8ps3PiZstWltntGstErhqOW1sv1dlEL7jrgWD1ODBUapFx0DFSlJCgMXELwi52dG 5RpS2F87mm3lRBVXn4G810IgCpuchQKmoDEKO+DluhJpQmPZtfrfPD5zS9lMG/w5 WuA6fWELY+o= =95EJ -----END PGP SIGNATURE-----