-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-0602 JPCERT/CC 2007-02-15 <<< JPCERT/CC REPORT 2007-02-15 >>> ―――――――――――――――――――――――――――――――――――――― ■02/04(日)〜02/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】主要 DNS サーバのレスポンスが悪化した件について 【2】トレンドマイクロのウイルス検索エンジンにバッファオーバーフローの脆弱性 【3】トレンドマイクロのルートキット対策ドライバに権限昇格の脆弱性 【4】CCCクリーナーにバッファオーバーフローの脆弱性 【5】Samba の AFS ACL マッピング VFS プラグインに脆弱性 【6】HP の Mercury LoadRunner、Performance Center、および Monitor over Firewall エージェントに脆弱性 【7】HP OpenView Storage Data Protector に脆弱性 【8】Sage に脆弱性 【9】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中 【今週の一口メモ】電子メールを暗号化する際の注意点 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr070602.html http://www.jpcert.or.jp/wr/2007/wr070602.xml ============================================================================= 【1】主要 DNS サーバのレスポンスが悪化した件について 情報源 Dave Knight, Nanog 39, Toronto This weeks DDoS against the root and TLDs http://www.nanog.org/mtg-0702/presentations/knight.pdf 概要 日本時間の 2007年2月6日 (火) 19:00頃に、ルート DNS サーバを含む 複数の主要 DNS サーバに対して複数のホストから大量のパケットが送 信されるサービス運用妨害 (DoS) 攻撃が行われました。 しかしながら、主要 DNS サーバの管理者と ISP とが協力して対策を実 施したため、攻撃による影響は速やかに解消されました。 なお、攻撃期間中に DNS による名前解決に問題が起きたという報告は ありませんでした。 ※ルート DNS サーバ: DNS サーバ群は、ドメイン名に対応した階層構 造を持つ分散データベースとして機能していますが、その最上位の階層 を構成する DNS サーバを指します。負荷分散および信頼性向上のため、 ルート DNS サーバは世界中に分散して配置されており、日本にも複数 存在します。ルート DNS サーバへの攻撃はインターネットにとって大 きな脅威となります。 関連文書 (日本語) !JP 日本レジストリサービス ドメイン名の最新動向 2007年2月 http://jpinfo.jp/news/2007/news_2007-02.html 関連文書 (英語) CERT/CC Current Activity Archive Anomalous DNS Activity http://www.us-cert.gov/current/archive/2007/02/13/archive.html#dnsanom RIPE NCC DNS Monitoring Services Unanswered Queries (AVERAGE) for L root (ICANN) http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=l.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW RIPE NCC DNS Monitoring Services Unanswered Queries (AVERAGE) for G root (DDN) http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=g.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW RIPE NCC DNS Monitoring Services Unanswered Queries (AVERAGE) for M root (WIDE) http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=m.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW RIPE NCC DNS Monitoring Services Unanswered Queries (AVERAGE) for F root (ISC) http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=f.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW 【2】トレンドマイクロのウイルス検索エンジンにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#276432 Trend Micro AntiVirus fails to properly process malformed UPX packed executables http://www.kb.cert.org/vuls/id/276432 CIAC Bulletin R-125 Trend Micro Antivirus UPX Parsing Vulnerability http://www.ciac.org/ciac/bulletins/r-125.shtml 概要 トレンドマイクロのウイルス検索エンジンには、細工された UPX 圧縮 実行ファイルを適切に処理できないことに起因するバッファオーバーフ ローの脆弱性があります。結果として、遠隔の第三者が任意のコードを 実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 対象となる製品およびバージョンは次のとおりです。 - ウイルス検索エンジン VSAPI 8.0 以降を使用しているすべての製品 これらは Windows 版および Linux 版の製品に含まれています。 この問題は、トレンドマイクロが提供するウイルスパターンファイル 4.245.00 (またはそれ以降) に更新することで回避できます。また、ト レンドマイクロが次回リリースするウイルス検索エンジンでは、この問 題が修正される予定です。 詳細については、トレンドマイクロが提供する情報を参照してください。 関連文書 (日本語) 製品Q&A アラート/アドバイザリ:ウイルス検索エンジンのUPXファイル検索処理における脆弱性 http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061390 JP Vendor Status Notes JVNVU#276432 Trend Micro AntiVirus が細工された UPX 圧縮実行ファイルを適切に処理できない脆弱性 http://jvn.jp/cert/JVNVU%23276432/index.html 関連文書 (英語) Solution Details [Vulnerability Response] Antivirus UPX Parsing Kernel Buffer Overflow Vulnerability http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034289 【3】トレンドマイクロのルートキット対策ドライバに権限昇格の脆弱性 情報源 US-CERT Vulnerability Note VU#666800 Trend Micro Anti-Rootkit Common Module fails to properly validate input http://www.kb.cert.org/vuls/id/666800 US-CERT Vulnerability Note VU#282240 Trend Micro Anti-Rootkit Common Module fails to properly restrict access to the "\\.\TmComm" DOS device interface http://www.kb.cert.org/vuls/id/282240 CIAC Bulletin R-126 Trend Micro TmComm Vulnerability http://www.ciac.org/ciac/bulletins/r-126.shtml 概要 トレンドマイクロのルートキット対策ドライバには権限昇格の脆弱性が あります。結果として、ローカルユーザが任意のコードを実行する可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - トレンドマイクロ ウイルスバスター 2007 (バージョン 15.x) - Trend Micro PC-cillin Internet Security 2007 ※PC-cillin はウイルスバスターの米国での名称です。 - Trend Micro Antivirus 2007 - Trend Micro Anti-Spyware for SMB 3.2 SP1 - Trend Micro Anti-Spyware for Consumer 3.5 - Trend Micro Anti-Spyware for Enterprise 3.0 SP2 - Client / Server / Messaging Security for SMB 3.5 - Damage Cleanup Services 3.2 この問題は、トレンドマイクロが提供するルートキット対策ドライバ 1.6 ビルド 1052 に更新することで解決します。詳しくは下記関連情報 を参照してください。 関連文書 (日本語) サポート情報 ウイルスバスター2007 トレンド フレックス セキュリティルートキット対策ドライバ1.6 ビルド1052 公開のお知らせ http://www.trendmicro.co.jp/support/news.asp?id=910 製品Q&A solution 2061405 アラート/アドバイザリ: ルートキット対策モジュール (TmComm.sys) における脆弱性について http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061405 関連文書 (英語) Solution Details [Vulnerability Confirmation] TmComm Local Privilege Escalation Vulnerability http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034432 【4】CCCクリーナーにバッファオーバーフローの脆弱性 情報源 JP Vendor Status Notes JVN#77366274 CCCクリーナーにおけるバッファオーバーフローの脆弱性 http://jvn.jp/jp/JVN%2377366274/index.html 概要 サイバークリーンセンターにて、2007年1月25日より2007年2月9日まで の間に提供された CCCクリーナーには、細工された UPX 圧縮実行ファ イルを適切に処理できないことに起因するバッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者が任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - CCCパターン Ver:185 およびそれ以前の CCCクリーナー 以下のバージョンでは、この問題は修正されています。 - CCCパターン Ver:253 (またはそれ以降) の CCCクリーナー この脆弱性は、トレンドマイクロのウイルス検索エンジンに発見された UPX 圧縮実行ファイルのスキャン処理時におけるバッファオーバーフロー の脆弱性の影響によるものです。この脆弱性については、本レポートの 「【2】トレンドマイクロのウイルス検索エンジンにバッファオーバー フローの脆弱性」を参照してください。また、本レポートの「【3】ト レンドマイクロのルートキット対策ドライバに権限昇格の脆弱性」で報 告された脆弱性は、CCCクリーナーには影響しないことが確認されてい ます。 詳細については、下記関連文書を参照してください。 関連文書 (日本語) 総務省・経済産業省 連携プロジェクト Cyber Clean Center サイバークリーンセンター https://www.ccc.go.jp/index.html JPCERT コーディネーションセンター (JPCERT/CC) JPCERT-PR-2007-0002 サイバークリーンセンターにおいて提供された「CCC クリーナー」の脆弱性についてのお知らせ http://www.jpcert.or.jp/pr/2007/pr070002.pdf JPCERT/CC Alert 2007-02-10 「CCCクリーナー」の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2007/at070004.txt 【5】Samba の AFS ACL マッピング VFS プラグインに脆弱性 情報源 US-CERT Vulnerability Note VU#649732 Samba AFS ACL mapping VFS plug-in format string vulnerability http://www.kb.cert.org/vuls/id/649732 CIAC Bulletin R-122 Samba Format String Bug http://www.ciac.org/ciac/bulletins/r-122.shtml 概要 Samba の AFS ACL マッピング VFS プラグイン (afsacl.so) の書式指 定文字列の処理には脆弱性があります。結果として、遠隔の第三者が samba が動作しているコンピュータ上で任意のコードを実行する可能性 があります。 対象となるバージョンは以下の通りです。 - Samba 3.0.6 から 3.0.23d までの各バージョン この問題は、使用している OS のベンダや配布元が提供するパッチを適 用するか修正済みのバージョンに Samba を更新することで解決します。 関連文書 (英語) Samba - Security Announcement Archive CVE-2007-0454: Format string bug in afsacl.so VFS plugin http://samba.org/samba/security/CVE-2007-0454.html Debian Security Advisory DSA-1257-1 samba -- several vulnerabilities http://www.debian.org/security/2007/dsa-1257 【6】HP の Mercury LoadRunner、Performance Center、および Monitor over Firewall エージェントに脆弱性 情報源 CIAC Bulletin R-123 HP Mercury LoadRunner, Performance Center, Monitor over Firewall Agents Vulnerability http://www.ciac.org/ciac/bulletins/r-123.shtml 概要 HP の Mercury LoadRunner、Performance Center、および Monitor over Firewall エージェントには脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - AIX、HP-UX、Linux、Solaris、および Windows NT で動作する以下 の製品およびバージョン - Mercury LoadRunner Agent 8.1 SP1、FP1、FP2、FP3、および FP4 - Mercury LoadRunner Agent 8.1 GA - Mercury LoadRunner Agent 8.0 GA - Mercury Performance Center Agent 8.1 FP1、FP2、FP3、および FP4 - Mercury Performance Center Agent 8.1 GA - Mercury Performance Center Agent 8.0 GA - Mercury Monitor over Firewall 8.1 この問題は、使用している製品およびバージョンに応じて、HP が提供す るパッチを適用するか、適切なバージョンに更新してから該当するパッチ を適用することで解決します。詳細については、HP が提供する情報を参 照してください。 関連文書 (英語) SUPPORT COMMUNICATION - SECURITY BULLETIN c00854250 (登録が必要です) HPSBGN02187 SSRT061280 rev.1 - Mercury LoadRunner, Performance Center, Monitor over Firewall, Remote Unauthenticated Arbitrary Code Execution http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=200000085086210 【7】HP OpenView Storage Data Protector に脆弱性 情報源 CIAC Bulletin R-124 HP OpenView Storage Data Protector Vulnerability http://www.ciac.org/ciac/bulletins/r-124.shtml 概要 HP OpenView Storage Data Protector には脆弱性があります。結果と して、ローカルユーザが任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - PHSS_35149 または PHSS_35150 がインストールされた HP-UX B.11.00、B.11.11、または B.11.23 で稼動する HP OpenView Storage Data Protector 5.50 - DPSOL_00229 がインストールされた Solaris で稼動する HP OpenView Storage Data Protector 5.50 この問題は、HP が提供するパッチを適用することで解決します。詳細に ついては、HP が提供する情報を参照してください。 関連文書 (英語) SUPPORT COMMUNICATION - SECURITY BULLETIN c00862204 (登録が必要です) HPSBMA02190 SSRT071300 rev.1 - HP OpenView Storage Data Protector, Local Execution of Arbitrary Code http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=200000085086212 【8】Sage に脆弱性 情報源 JP Vendor Status Notes JVN#84430861 Sage において任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN%2384430861/index.html 概要 Mozilla Firefox に RSS/Atom フィードリーダー機能を追加する機能拡 張である Sage には脆弱性があります。結果として、遠隔の第三者がユ ーザの Mozilla Firefox 上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Sage 1.3.9 およびそれ以前 この問題は、配布元が提供する修正済みのバージョン 1.3.10 (または それ以降) に Sage を更新することで解決します。 また、この脆弱性は Sage++ にも影響があることが確認されています。 2007年2月9日、Sage++ の公開およびアップデートは停止されました。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#84430861「Sage」において任意のスクリプトが実行される脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_84430861.html 関連文書 (英語) Sage: Blog Sage 1.3.10 Released http://sage.mozdev.org/blog/archives/2007/1/sage_1_3_10_released.html 【9】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中 情報源 JPCERT/CC JPNIC・JPCERT/CC セキュリティセミナー2007 http://www.jpcert.or.jp/event/sec-seminar.html 概要 社団法人日本ネットワークインフォメーションセンター (JPNIC) と JPCERT/CC は、今までのセキュリティセミナーの集大成として、当セミ ナーと InternetWeek で特に人気の高かったプログラムをアレンジし 「知っておくべき不正アクセス対策 〜総集編〜」を開催します。 プログラムの日程、会場、内容、参加費および参加申込方法の詳細につ いては、情報源および関連文書をご参照ください。 関連文書 (日本語) JPNIC JPNIC・JPCERT/CC Security Seminar 2007 http://www.nic.ad.jp/security-seminar/ ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○電子メールを暗号化する際の注意点 PGP や S/MIME によって電子メールを暗号化することは、情報漏洩の危 険性を減らすうえで有効です。しかしながら、暗号化電子メールの誤っ た使用は、情報漏洩につながる恐れがあります。そこで、メールを暗号 化する際の注意点を、以下に示します。 (1) 送信先の公開鍵情報は事前に入手し、真正であることを確かめてお く 送信先の公開鍵情報 (PGP の場合は公開鍵、S/MIME の場合は電子 証明書) は事前に入手し、真正であることを確認しておく必要があ ります。 公開鍵情報の真正性を確認する方法としては、公開鍵情報自身のフィ ンガープリントを照合する、あるいは予め信頼している別の鍵情報 によって施された電子署名を検証するといった方法があります。具 体的な確認方法の詳細については、各ソフトウェアのドキュメント を参照してください。 なお、フィンガープリントによって公開鍵情報の真正性を確認する 場合は、鍵保持者に、鍵情報を送った際に使用した通信手段と異な る信頼できる通信手段で公開鍵のフィンガープリントを問い合わせ ることをお勧めします。 (2) Bcc に注意 暗号化したメールの中には、暗号化に使った公開鍵情報の一部が含 まれていることがあります。結果として、To や Cc で送信した 相手に、Bcc で送信した相手が誰であるか知られてしまう可能性 があります。 (3) 宛先 (To・Cc) や差出人 (From) 、件名 (Subject) などのメール ヘッダは通常、暗号化されないことに気をつける 参考文献 (日本語) JPCERT/CC イラストでわかるセキュリティ 情報セキュリティの脅威に対する対策 11.電子メールは必要に応じて暗号化する http://www.jpcert.or.jp/magazine/security/illust/part1.html#11 JPCERT/CC REPORT 2007-02-07号 [今週の一口メモ] 電子メールは必要に応じて暗号化する http://www.jpcert.or.jp/wr/2007/wr070502.html#Memo JPCERT/CC REPORT 2004-09-29号 [今週の一口メモ] 電子署名 http://www.jpcert.or.jp/wr/2004/wr043801.txt JPCERT/CC REPORT 2004-06-30号 [今週の一口メモ] PGP 公開鍵の取得方法 http://www.jpcert.or.jp/wr/2004/wr042501.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRdPv5Yx1ay4slNTtAQH7yQP9F15UXhwaL8dpwm/iMXjYM9W19K23tRil pVTlDkQA9klEoCyaarc8/CImrjyURxhZvrYLa4uiA4Vg3nfLOUo555NXeLfQzwC/ EwlpDcylJwQ36mijJHlsJa9hweVTlGxmhFO9yaUgS2ybThVD3fp/IMn9RzN+xvdD mKIOLtxVlt0= =4jr5 -----END PGP SIGNATURE-----