-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-0801 JPCERT/CC 2008-02-27 <<< JPCERT/CC REPORT 2008-02-27 >>> ―――――――――――――――――――――――――――――――――――――― ■02/17(日)〜02/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】AWStats の既知の脆弱性を狙った攻撃について 【2】Internet Scanner のレポート出力機能に脆弱性 【3】OpenCA にクロスサイトリクエストフォージェリの脆弱性 【4】Kerio MailServer に複数の脆弱性 【5】複数の Tor World 製 CGI スクリプトにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】ソフトウェアの脆弱性情報の収集と対応 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr080801.html http://www.jpcert.or.jp/wr/2008/wr080801.xml ============================================================================ 【1】AWStats の既知の脆弱性を狙った攻撃について 概要 AWStats はオープンソースのサーバログ解析・表示ツールです。 JPCERT/CC では 2008年2月20日午前 7時頃 AWStats の既知の脆弱性を 狙った攻撃を多数観測しています。また、国内の複数組織においても、 本攻撃による被害が確認されています。 本攻撃は AWStats の 2005年1月に修正された脆弱性を使用するものと 考えられます。脆弱性を含む古いバージョンの awstats.pl に不正な引 数を与えることで、サーバ上にマルウェアがインストールされ、サーバ がボットとして利用される可能性があります。 対象となる製品およびバージョンは以下の通りです。 - AWStats バージョン 6.2 及びそれ以前 本攻撃で使用される脆弱性は AWStats バージョン 6.3 (2005/1/28 公 開) で既に修正されています。それより前のバージョンをお使いの場合、 早急に最新版であるバージョン 6.7 に更新してください。バージョン アップが困難な場合、外部から awstats.pl へのアクセスを制限するな どの回避策をご検討ください。 関連文書 (日本語) JPCERT/CC REPORT 2005-02-23 [3] AWStats の複数の脆弱性 http://www.jpcert.or.jp/wr/2005/wr050801.txt 関連文書 (英語) AWStats Free log file analyzer for advanced statistics http://awstats.sourceforge.net/ 【2】Internet Scanner のレポート出力機能に脆弱性 情報源 Japan Vulnerability Notes JVN#42381549 Internet Scanner のレポート出力機能において任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN%2342381549/index.html 概要 IBM が提供する Internet Scanner には、検査結果のレポートを HTML ファイルとして出力する機能があります。このレポートを出力する際の 処理が不適切なため、出力された HTML ファイルをユーザが閲覧した際 に任意のスクリプトが実行される脆弱性が存在します。 対象となるバージョンは以下の通りです。 - Internet Scanner 7.0 Service Pack 2 7.2.2005.52 Release この問題は、IBM が提供する修正済みのバージョンに Internet Scanner を更新することで解決します。詳細については、IBM が提供す る情報を参照してください。 関連文書 (日本語) IBM インターネット セキュリティ システムズ Internet Scanner http://www.isskk.co.jp/product/internet_scanner.html 【3】OpenCA にクロスサイトリクエストフォージェリの脆弱性 情報源 US-CERT Vulnerability Note VU#264385 OpenCA allows Cross site request forgery (XSRF) http://www.kb.cert.org/vuls/id/264385 概要 OpenCA には、クロスサイトリクエストフォージェリの脆弱性がありま す。結果として、遠隔の第三者が細工したページをユーザに読み込ませ ることで、任意の証明書を発行するなど CA において任意の操作を行う 可能性があります。 対象となるバージョンは以下の通りです。 - OpenCA 0.9.2.x この問題は、配布元が提供する修正済みのバージョンに OpenCA を更新 することで解決します。詳細については、配布元が提供する情報を参照 してください。 関連文書 (英語) Cynops GmbH Security Advisory AKLINK-SA-2008-001 OpenCA - Cross Site Request Forgery (XSRF) https://www.cynops.de/advisories/CVE-2008-0556.txt 【4】Kerio MailServer に複数の脆弱性 情報源 CIAC Bulletin S-192 Kerio MailServer Vulnerabilities http://www.ciac.org/ciac/bulletins/s-192.shtml 概要 Kerio MailServer には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Kerio MailServer 6.5.0 より前のバージョン この問題は、Kerio が提供する修正済みのバージョンに Kerio MailServer を更新することで解決します。 関連文書 (英語) Kerio Technologies Inc. Kerio MailServer Release History http://www.kerio.com/kms_history.html 【5】複数の Tor World 製 CGI スクリプトにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#54593414 複数の Tor World 製 CGI スクリプトにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2354593414/index.html 概要 Tor World が提供する複数の CGI スクリプトには、クロスサイトスクリ プティングの脆弱性があります。結果として、遠隔の第三者がユーザの ブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Tor Search:Ver1.1 およびそれ以前 - i-Navigator:Ver4.0 - Mobile Frontier:Ver2.1 およびそれ以前 - 今日の一言:Ver1.5 およびそれ以前 - Tor News:Ver1.21 およびそれ以前 - Simple BBS:Ver1.3 およびそれ以前 - Interactive BBS:Ver1.3 およびそれ以前 - Tor Board:Ver1.1 およびそれ以前 - Simple Vote:Ver1.1 およびそれ以前 - Com Vote:Ver1.2 およびそれ以前 この問題は、Tor World が提供する修正済みのバージョンに該当する製 品を更新することで解決します。詳細については、Tor World が提供す る情報を参照してください。 関連文書 (日本語) Tor World CGIスクリプトの脆弱性に関する報告 http://download.torworld.com/bug/20080221.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ソフトウェアの脆弱性情報の収集と対応 本号【1】で紹介した「AWStats の既知の脆弱性を狙った攻撃」は、今 から3年以上前に修正された脆弱性を狙うものです。 ソフトウェアベンダからアップデート情報が公開されると、そこで修正 された脆弱性情報の悪用を試みる不正なアクセスが増加することが知ら れています。またそれらの攻撃手法はマルウェアなどに取り込まれ、そ の後も攻撃に使われ続けます。 使用しているソフトウェアについて、脆弱性情報や攻撃情報が出ていな いか常に注意を払い、迅速に対応を行なうことが重要です。 JPCERT/CC では JPCERT/CC REPORT の発行や注意喚起、また JVN の活 動を通じてこのような情報の提供に努めています。また、有料のセキュ リティ情報提供サービスも様々な形態のものが存在します。業務環境に 合せて適切な情報収集とシステムへの対応体制の整備を検討してくださ い。 参考文献 (日本語) JPCERT Coordination Center http://www.jpcert.or.jp/ Japan Vulnerability Notes http://jvn.jp/ 参考文献 (英語) US-CERT Vulnerability Notes http://www.kb.cert.org/vuls/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBR8S99ox1ay4slNTtAQik2wP/ZAEio1nO35CUUmXw6FeDO5scT0/JIX1j pPeXDbwvDfO2iAFyUqW7Lx5+c0ud/M1NudV97FO/v79T+Rbam1Z7FjGYjNCaSRY6 1pFj68UhUgRhhVG5bOE2hFWaL4TxwX5QrimlwJrINoVvoYygx+oYPMaRIKqQGkGZ n/GMANIdSkU= =DeT9 -----END PGP SIGNATURE-----