AWStats の既知の脆弱性を狙った攻撃について

JPCERT-WR-2008-0801 2008-02-27 2008-02-17 2008-02-23

AWStats はオープンソースのサーバログ解析・表示ツールです。 JPCERT/CC では 2008年2月20日午前 7時頃 AWStats の既知の脆弱性を狙った攻撃を多数観測しています。また、国内の複数組織においても、本攻撃による被害が確認されています。本攻撃は AWStats の 2005年1月に修正された脆弱性を使用するものと考えられます。脆弱性を含む古いバージョンの awstats.pl に不正な引数を与えることで、サーバ上にマルウェアがインストールされ、サーバがボットとして利用される可能性があります。対象となる製品およびバージョンは以下の通りです。 - AWStats バージョン 6.2 及びそれ以前本攻撃で使用される脆弱性は AWStats バージョン 6.3 (2005/1/28 公開) で既に修正されています。それより前のバージョンをお使いの場合、早急に最新版であるバージョン 6.7 に更新してください。バージョンアップが困難な場合、外部から awstats.pl へのアクセスを制限するなどの回避策をご検討ください。

JPCERT/CC REPORT 2005-02-23 [3] AWStats の複数の脆弱性 http://www.jpcert.or.jp/wr/2005/wr050801.txt AWStats Free log file analyzer for advanced statistics http://awstats.sourceforge.net/

Internet Scanner のレポート出力機能に脆弱性 Japan Vulnerability Notes JVN#42381549 Internet Scanner のレポート出力機能において任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN%2342381549/index.html

IBM が提供する Internet Scanner には、検査結果のレポートを HTML ファイルとして出力する機能があります。このレポートを出力する際の処理が不適切なため、出力された HTML ファイルをユーザが閲覧した際に任意のスクリプトが実行される脆弱性が存在します。対象となるバージョンは以下の通りです。 - Internet Scanner 7.0 Service Pack 2 7.2.2005.52 Release この問題は、IBM が提供する修正済みのバージョンに Internet Scanner を更新することで解決します。詳細については、IBM が提供する情報を参照してください。

IBM インターネットセキュリティシステムズ Internet Scanner http://www.isskk.co.jp/product/internet_scanner.html

OpenCA にクロスサイトリクエストフォージェリの脆弱性 US-CERT Vulnerability Note VU#264385 OpenCA allows Cross site request forgery (XSRF) http://www.kb.cert.org/vuls/id/264385

OpenCA には、クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三者が細工したページをユーザに読み込ませることで、任意の証明書を発行するなど CA において任意の操作を行う可能性があります。対象となるバージョンは以下の通りです。 - OpenCA 0.9.2.x この問題は、配布元が提供する修正済みのバージョンに OpenCA を更新することで解決します。詳細については、配布元が提供する情報を参照してください。

Cynops GmbH Security Advisory AKLINK-SA-2008-001 OpenCA - Cross Site Request Forgery (XSRF) https://www.cynops.de/advisories/CVE-2008-0556.txt

Kerio MailServer に複数の脆弱性 CIAC Bulletin S-192 Kerio MailServer Vulnerabilities http://www.ciac.org/ciac/bulletins/s-192.shtml

Kerio MailServer には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Kerio MailServer 6.5.0 より前のバージョンこの問題は、Kerio が提供する修正済みのバージョンに Kerio MailServer を更新することで解決します。

Kerio Technologies Inc. Kerio MailServer Release History http://www.kerio.com/kms_history.html

複数の Tor World 製 CGI スクリプトにクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#54593414 複数の Tor World 製 CGI スクリプトにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2354593414/index.html

Tor World が提供する複数の CGI スクリプトには、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となる製品およびバージョンは以下の通りです。 - Tor Search：Ver1.1 およびそれ以前 - i-Navigator：Ver4.0 - Mobile Frontier：Ver2.1 およびそれ以前 - 今日の一言：Ver1.5 およびそれ以前 - Tor News：Ver1.21 およびそれ以前 - Simple BBS：Ver1.3 およびそれ以前 - Interactive BBS：Ver1.3 およびそれ以前 - Tor Board：Ver1.1 およびそれ以前 - Simple Vote：Ver1.1 およびそれ以前 - Com Vote：Ver1.2 およびそれ以前この問題は、Tor World が提供する修正済みのバージョンに該当する製品を更新することで解決します。詳細については、Tor World が提供する情報を参照してください。

Tor World ＣＧＩスクリプトの脆弱性に関する報告 http://download.torworld.com/bug/20080221.html

ソフトウェアの脆弱性情報の収集と対応本号【1】で紹介した「AWStats の既知の脆弱性を狙った攻撃」は、今から3年以上前に修正された脆弱性を狙うものです。ソフトウェアベンダからアップデート情報が公開されると、そこで修正された脆弱性情報の悪用を試みる不正なアクセスが増加することが知られています。またそれらの攻撃手法はマルウェアなどに取り込まれ、その後も攻撃に使われ続けます。使用しているソフトウェアについて、脆弱性情報や攻撃情報が出ていないか常に注意を払い、迅速に対応を行なうことが重要です。 JPCERT/CC では JPCERT/CC REPORT の発行や注意喚起、また JVN の活動を通じてこのような情報の提供に努めています。また、有料のセキュリティ情報提供サービスも様々な形態のものが存在します。業務環境に合せて適切な情報収集とシステムへの対応体制の整備を検討してください。 JPCERT Coordination Center http://www.jpcert.or.jp/ Japan Vulnerability Notes http://jvn.jp/ US-CERT Vulnerability Notes http://www.kb.cert.org/vuls/