-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-3502 JPCERT/CC 2008-09-10 <<< JPCERT/CC REPORT 2008-09-10 >>> ―――――――――――――――――――――――――――――――――――――― ■08/31(日)〜09/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Google Apps 向け SAML Single Sign-On (SSO) Service に脆弱性 【2】NetBSD の ICMPv6 MLD クエリパケットの処理に脆弱性 【3】ディーアイシー製 shop_v50 および shop_v52 にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】DNSSEC Lookaside Validation (DLV) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr083502.html http://www.jpcert.or.jp/wr/2008/wr083502.xml ============================================================================ 【1】Google Apps 向け SAML Single Sign-On (SSO) Service に脆弱性 情報源 US-CERT Vulnerability Note VU#612636 Google SAML Single Sign on vulnerability http://www.kb.cert.org/vuls/id/612636 概要 Google Apps 向けの SAML Single Sign-On (SSO) Service には、認証 処理に起因する脆弱性がありました。結果として、サービスプロバイダ が自身のサイトにユーザをログインさせることができた場合には、その ユーザの Google アカウントへのアクセスや、他のサービスプロバイダ へのなりすまし攻撃が可能になっていました。 Google は、既に修正済みの SAML SSO Service を提供しています。 関連文書 (英語) Google Apps APIs SAML Single Sign-On (SSO) Service for Google Apps http://code.google.com/apis/apps/sso/saml_reference_implementation.html 【2】NetBSD の ICMPv6 MLD クエリパケットの処理に脆弱性 情報源 US-CERT Vulnerability Note VU#817940 NetBSD malformed ICMPv6 MLD-QUERY denial of service http://www.kb.cert.org/vuls/id/817940 概要 NetBSD の ICMPv6 MLD クエリパケットの処理には脆弱性があります。 結果として、同一セグメント上の第三者が、細工した ICMPv6 MLD クエ リパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可 能性があります。 対象となるバージョンは以下の通りです。 - NetBSD 4.0 - NetBSD-current August 22, 2008 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに NetBSD を更新 することで解決します。詳細については、配布元が提供する情報を参照 してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#817940 NetBSD の MLD query パケット処理にサービス運用妨害(DoS)の脆弱性 http://jvn.jp/cert/JVNVU817940/index.html 関連文書 (英語) NetBSD Security Advisory 2008-011 ICMPv6 MLD query http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-011.txt.asc 【3】ディーアイシー製 shop_v50 および shop_v52 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#79914432 株式会社ディーアイシー製 shop_v50 および shop_v52 におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN79914432/index.html 概要 ディーアイシーのショッピングカート用ソフトウェア shop_v50 および shop_v52 には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - shop_v50 バージョン3.0 およびそれ以前 - shop_v52 バージョン2.0 およびそれ以前 この問題は、ディーアイシーが提供する修正済みのバージョンに該当す る製品を更新することで解決します。 関連文書 (日本語) ディーアイシー shop_v50 http://www.d-ic.com/free/05/shop_v50.html ディーアイシー shop_v52 http://www.d-ic.com/free/05/shop_v52.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNSSEC Lookaside Validation (DLV) DNSSEC では、各ゾーンの権威 (authoritative) サーバが使う鍵は上位 ゾーンの権威サーバによって署名され保証されます。 DNS ツリーのルート以下全てのゾーンが DNSSEC に対応していれば、リ ゾルバが持つべき鍵はルートゾーンの署名に使われる鍵ひとつとなりま す。しかし DNSSEC が普及していない現状では、DNSSEC に対応してい る個々のゾーンの鍵を各リゾルバが持っておく必要があり、DNSSEC に 対応したゾーンが増えればそれだけ鍵の管理の手間も大きくなります。 このような状況に対応するための暫定的な仕組みとして、ISC (Internet Systems Consortium) では DNSSEC Lookaside Validation (DLV) という技術を提唱しています。 DLV に対応したリゾルバは、上位のゾーンで提供されるべき DS (Delegation Signer) レコードが見つからない場合に、あらかじめ設定 しておいたドメインから DLV レコードを参照して DS レコードの代わ りに使います。このようにして、トップレベルドメインまで DNSSEC 対 応が完了していない状態でも、リゾルバ側ではごく少数の鍵を持つだけ で署名を検証できるようにする仕組みを実現しています。 ISC では、BIND のバージョン 9.3.3 以降で DLV に対応するとともに、 DLV Registry を運用しています。 参考文献 (日本語) JPCERT/CC REPORT 2008-09-03 【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions) http://www.jpcert.or.jp/wr/2008/wr083401.html#Memo 参考文献 (英語) ISC ISC's DLV registry https://secure.isc.org/ops/dlv/ RFC4431: The DNSSEC Lookaside Validation (DLV) DNS Resource Record http://tools.ietf.org/html/rfc4431 RFC5074: DNSSEC Lookaside Validation (DLV) http://tools.ietf.org/html/rfc5074 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSNG9j4x1ay4slNTtAQg65wQA18JO31fU9gSJVt3Pad2SvbRjKCt/sg/Y RPlATM+Dvrs86w78To3r+FmpTZA2j+j0y6girhGiK4gRP+58YDRoRA0S0CWPFp0R dNvKVl1LAYfNChV+NPFqbEIDLHhEGX0vCb4J4A9XMT+qIrecFp4ZL59HtwciR1Sx GbR2DAfJx7k= =zfQj -----END PGP SIGNATURE-----