BIND 9 ソフトウエアに複数の脆弱性

JPCERT-WR-2006-3501 2006-09-13 2006-09-03 2006-09-09

BIND 9 ソフトウエアに複数の脆弱性 US-CERT Vulnerability Note VU#915404 BIND vulnerable to an assertion failure when querying for SIG records http://www.kb.cert.org/vuls/id/915404 US-CERT Vulnerability Note VU#697164 BIND vulnerable to an INSIST failure via sending of multiple recursive queries http://www.kb.cert.org/vuls/id/697164 CIAC Bulletin Q-303 Multiple DoS Vulnerabilities in the BIND 9 Software http://www.ciac.org/ciac/bulletins/q-303.shtml

BIND 9 には、署名レコード問合せに関する脆弱性と INSIST エラーに関する脆弱性があります。結果として、遠隔の第三者により、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。対象となるバージョンは以下の通りです。 - BIND バージョン 9.3.0 - BIND バージョン 9.3.1 - BIND バージョン 9.3.2 - BIND バージョン 9.3.3b1 - BIND バージョン 9.3.3rc1 - BIND バージョン 9.4.0a1 - BIND バージョン 9.4.0a2 - BIND バージョン 9.4.0a3 - BIND バージョン 9.4.0a4 - BIND バージョン 9.4.0a5 - BIND バージョン 9.4.0a6 - BIND バージョン 9.4.0b1 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに更新することで解決します。

JP Vendor Status Notes JVNVU#697164 BIND において複数の再帰問合せ処理時に INSIST エラーが発生する脆弱性 http://jvn.jp/cert/JVNVU%23697164/index.html JP Vendor Status Notes JVNVU#915404 BIND の署名レコード問合せにおけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU%23915404/index.html JP Vendor Status Notes NISCC-172003 BIND 9 ソフトウエアに複数のサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/niscc/NISCC-172003/index.html NISCC Vulnerability Advisory 172003/NISCC/BIND9 Multiple DoS Vulnerabilities in the BIND 9 Software http://www.niscc.gov.uk/niscc/docs/re-20060905-00590.pdf?lang=en

OpenSSL に証明書が正しく検証されない脆弱性 CIAC Bulletin Q-304 OpenSSL Security Update http://www.ciac.org/ciac/bulletins/q-304.shtml

OpenSSL には証明書が正しく検証されない脆弱性があります。結果として、Exponent が3の RSA 鍵で署名された PKCS #1 v1.5 署名を偽造される可能性があります。対象となるバージョンは以下の通りです。 - OpenSSL バージョン 0.9.7j およびそれ以前 - OpenSSL バージョン 0.9.8b およびそれ以前この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケージに OpenSSL を更新することで解決します。

Red Hat Security Advisory RHSA-2006:0661-8 Important: openssl security update https://rhn.redhat.com/errata/RHSA-2006-0661.html OpenSSL Security Advisory RSA Signature Forgery (CVE-2006-4339) http://www.openssl.org/news/secadv_20060905.txt Debian Security Advisory DSA-1173-1 openssl -- cryptographic weakness http://www.debian.org/security/2006/dsa-1173 Debian Security Advisory DSA-1174-1 openssl096 -- cryptographic weakness http://www.debian.org/security/2006/dsa-1174

Solaris の libX11 にバッファオーバーフローの脆弱性 CIAC Bulletin Q-307 Buffer Overflow Vulnerability in libX11 http://www.ciac.org/ciac/bulletins/q-307.shtml

Solaris の libX11 にはバッファオーバーフローの脆弱性があります。結果として、権限のないローカルユーザにより、昇格された権限で任意のコードやコマンドを実行される可能性があります。この問題は Sun が提供するパッチを適用することで解決します。対象となる Solaris のバージョンなど、詳細についてはベンダが提供する情報を参照してください。

Sun Alert Notification 102570 Buffer Overflow Vulnerability in libX11 http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102570-1

SQL インジェクション攻撃への対策について CIAC Technical Bulletin CIACTech06-001 Protecting Against SQL Injection Attacks http://www.ciac.org/ciac/techbull/CIACTech06-001.shtml

データベースのフロントエンドとして機能するウェブサーバが増えている中で、SQL インジェクションによってサーバのセキュリティが侵害される危険性が非常に高くなっています。攻撃用のソフトウェアが出回っていることもあり、最近では SQL インジェクションによる攻撃の増加が見られます。本文書では、SQL インジェクションの解説および、攻撃による脅威を軽減しセキュリティを向上させるための実践的な方法を紹介しています。

一時ファイルの取り扱いに注意アプリケーションの処理過程で作成された一時ファイル (テンポラリファイル) の中には、作業終了後、自動的に消去されない場合があります。例えば、暗号化されたメールを復号した際に生成された平文のテキストや、インストーラが展開したファイルなどが蓄積されている可能性があります。そのため、情報管理やディスク容量に関して注意が必要です。一時ファイルが作成されるディレクトリを把握しておくとともに、一時ファイルを定期的に確認し、不要なファイルは削除することをお勧めします。なお、一時ファイルが作成されるディレクトリに存在するファイルを定期的に削除するプログラムやタスクが OS によって予め備えられていることもありますので、そのようなプログラムやタスクを有効にすることも併せてご検討ください。