[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性

JPCERT-WR-2008-2901 2008-07-30 2008-07-20 2008-07-26

[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 JPCERT-AT-2008-0014 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080014.txt

JPCERT/CC REPORT 2008-07-16 号【2】で紹介した「複数の DNS 実装にキャッシュポイズニングの脆弱性」の続報です。本脆弱性の詳細は海外のセキュリティ研究者により 2008年8月に公表される予定でしたが、当初の予定より早く 2008年7月22日に攻撃手法が公開されました。さらに 2008年7月24日、本脆弱性を狙った攻撃ツールが公開されました。このため、近日中に本脆弱性を狙った攻撃が発生する可能性が高まりました。対象となる製品は以下の通りです。 - ISC BIND (BIND 8 を含む) - Microsoft DNS サーバ - 複数の Cisco 製品 - 複数の Juniper 製品 (Netscreen 社製品を含む) - YAMAHA RT シリーズ - 古河電工 FITELnet シリーズの一部 - センチュリー・システムズ XR シリーズシステム管理者は、各製品ベンダが提供する修正済ソフトウエアを早急に適用してください。これによりクエリーのソースポートがランダムになり、キャッシュポイズニング攻撃の危険性が大幅に低減します。またその際には以下の点にご注意下さい。 1. 一部 Linux ディストリビューション上で BIND を使用している場合、バージョンアップ後に設定を変更しないとキャッシュポイズニング対策として不十分です。named.conf に DNS クエリーのソースポートを固定する設定が行われていないことを確認してください。 2. BIND においてバージョンアップ後に動作が不安定になる現象が確認されています。事前に十分な動作確認をおこなってください。 3. DNS サーバをルータ等のゲートウェイ機器の内側に設置している場合、NAT/NAPT 機能によってソースポートがランダムでなくなり、パッチによる効果が無くなる可能性があります。ゲートウェイ機器の NAT/NAPT 機能を確認する、DMZ に設置するなどの DNS サーバの設置環境の見直しをご検討ください。

JPCERT/CC REPORT 2008-07-16 【2】複数の DNS 実装にキャッシュポイズニングの脆弱性 http://www.jpcert.or.jp/wr/2008/wr082701.html#2 Japan Vulnerability Notes JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/JVNVU800113/index.html DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して) http://www.nttv6.net/files/DKA-20080723.pdf JPRS (緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報) http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html

「Mozilla 製品群に脆弱性」に関する追加情報 Mozilla Thunderbird 2.0.0.16 リリースノート http://mozilla.jp/thunderbird/2.0.0.16/releasenotes/

JPCERT/CC REPORT 2008-07-24【1】で紹介した「Mozilla 製品群に脆弱性」に関する追加情報です。 Thunderbird の修正済みのバージョン 2.0.0.16 が提供されました。詳細については、OS のベンダや配布元が提供する情報を参照してください。

JPCERT/CC REPORT 2008-07-24 【1】Mozilla 製品群に脆弱性 http://www.jpcert.or.jp/wr/2008/wr082801.html#1

NetApp の Data ONTAP に複数の脆弱性 US-CERT Vulnerability Note VU#329772 NetApp Data ONTAP contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/329772

NetApp の Data ONTAP には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行したり、機密情報を取得したり、システムをクラッシュさせたりする可能性があります。この問題は、NetApp が提供する修正済みのバージョンに Data ONTAP を更新することで解決します。詳細については、NetApp あるいは OEM 先が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#329772 NetApp Data ONTAP における複数の脆弱性 http://jvn.jp/cert/JVNVU329772/index.html NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.2.5.1 http://now.netapp.com/NOW/products/cpc/cpc0807-01.shtml NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.0.7 http://now.netapp.com/NOW/products/cpc/cpc0807-02.shtml NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.1.3 http://now.netapp.com/NOW/products/cpc/cpc0807-03.shtml

複数のセンチュリー・システムズ製ルータにクロスサイトリクエストフォージェリの脆弱性 Japan Vulnerability Notes JVN#67573833 複数のセンチュリー・システムズ株式会社製ルータにおけるクロスサイトリクエストフォージェリの脆弱性 http://jvn.jp/jp/JVN67573833/index.html

複数のセンチュリー・システムズ製ルータには、クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三者がパスワードなどの設定を変更する可能性があります。対象となる製品およびバージョンは以下の通りです。 - XR-410 ver1.6.8 およびそれ以前 - XR-440 ver1.7.7 およびそれ以前 - XR-510 ver3.5.0 およびそれ以前 - XR-540 ver3.5.2 およびそれ以前 - XR-640 ver1.6.7 およびそれ以前 - XR-730 ver3.5.0 およびそれ以前 - XR-1100 ver1.6.2 およびそれ以前 - XR-410-L2 ver1.6.1 およびそれ以前 - XR-640-L2 ver1.6.1 およびそれ以前この問題は、センチュリー・システムズが提供する修正済みのバージョンに、該当する製品のファームウェアを更新することで解決します。なお、2008年7月29日現在、一部の製品のファームウェアについては、修正済みのバージョンが提供されていません。センチュリー・システムズによると近日公開予定であると報告されています。詳細については、センチュリー・システムズが提供する情報を参照してください。

センチュリー・システムズ株式会社 XRシリーズの設定画面におけるクロスサイト・リクエスト・フォージェリの脆弱性について http://www.centurysys.co.jp/support/xr_common/JVN67573833.html

K's CGI 製アクセスログ解析にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#46869708 K's CGI 製アクセスログ解析(jcode.pl版) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN46869708/index.html Japan Vulnerability Notes JVN#72065744 K's CGI 製アクセスログ解析(Jcode.pm版) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN72065744/index.html

K's CGI 製アクセスログ解析の analysis.cgi には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となる製品およびバージョンは以下の通りです。 - アクセスログ解析 (jcode.pl 版) の analysis.cgi Ver.1.44 およびそれ以前 - アクセスログ解析 (Jcode.pm 版) の analysis.cgi Ver.1.44 およびそれ以前この問題は、K's CGI が提供する修正済みのバージョンに、該当する製品を更新することで解決します。詳細については、K's CGI が提供する情報を参照してください。

K's CGI アクセスログ解析(jcode.pl版)ページ http://www.kumacchi.com/cgiroom/cgis/accesslog/accesslog.html K's CGI アクセスログ解析(Jcode.pm版)ページ http://www.kumacchi.com/cgiroom/cgis/accesslogex/accesslogex.html

Geeklog Forum Plugin にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#60419863 Geeklog Forum Plugin におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN60419863/index.html

コンテンツ管理システム Geeklog の掲示板プラグイン Geeklog Forum Plugin には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります対象となるバージョンは以下の通りです。 - Geeklog Forum Plugin 2.7 およびそれ以前この問題は、配布元が提供する修正済みのバージョンに Geeklog Forum Plugin を更新することで解決します。詳細については、配布元が提供する情報を参照してください。

Geeklog Japanese 掲示板プラグインに脆弱性 http://www.geeklog.jp/article.php/20080723010954675 PortalParts.com Forum Plugin Version 2.7.1 - Security Fix http://www.portalparts.com/article.php?story=20080719084735929 Geeklog Forum Plugin Version 2.7.1 - Security Fix http://www.geeklog.net/article.php/20080719093147449

インターネットセキュリティの歴史第18回「個人情報保護法」(上) わが国の個人情報保護法制は、1973年に徳島市「電子計算組織運営審議会条例」が制定されたのを皮切りに、地方公共団体による一連の条例制定からスタートしたといえます。OECD の「プライバシーガイドライン」が採択された1980年には、既に、49 の地方公共団体が個人情報保護条例を制定していました。国レベルでは、 - 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 (1988年公布) が制定されたのが最初になります。当時は、民間部門の規制は時期尚早との判断に基づき、行政機関に対象を絞り、かつ、コンピュータによって処理される「個人情報ファイル」のみを対象とした法制とされました。その一方で、当時、民間事業者による個人情報の無断収集・利用が問題となっていたことから、1989年に、通商産業省（当時）の情報化対策委員会個人情報保護部会が、 - 民間部門における電子計算機処理に係る個人情報の保護についての指針を公表しました。この指針は、1997年に - 民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン (平成9年通商産業省告示98号) に全面改正され、以後、個人情報保護法が制定されるまで、企業や団体がガイドラインを制定したり、取り扱いルールを定めたりする際の参考とされていました。この後、インターネット社会の進展、住民基本台帳法ネットワークの構築、EU 個人情報保護指令への対応や、個人情報漏洩事件の多発を背景に、個人情報保護法立法に向けた本格的な検討が開始されることになります。内閣府個人情報保護トップページ http://www5.cao.go.jp/seikatsu/kojin/index.html