JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2009 > Weekly Report 2009-04-01号

最終更新: 2009-04-01

Weekly Report 2009-04-01号


JPCERT-WR-2009-1301
JPCERT/CC
2009-04-01

<<< JPCERT/CC WEEKLY REPORT 2009-04-01 >>>

■03/22(日)〜03/28(土) のセキュリティ関連情報

目 次

【1】Microsoft Windows を標的とする Conficker ワーム

【2】Java Runtime Environment (JRE) に複数の脆弱性

【3】Cisco IOS に複数の脆弱性

【4】OpenSSL に複数の脆弱性

【5】Sun Java System Identity Manager に複数の脆弱性

【6】pam-krb5 に脆弱性

【7】IBM Access Support ActiveX コントロールにバッファオーバーフローの脆弱性

【今週のひとくちメモ】インターネットセキュリティの歴史 第28回「DNS アンプによる DDoS 攻撃」

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091301.txt
https://www.jpcert.or.jp/wr/2009/wr091301.xml

【1】Microsoft Windows を標的とする Conficker ワーム

情報源

US-CERT Technical Cyber Security Alert TA09-088A
Conficker Worm Targets Microsoft Windows Systems
http://www.us-cert.gov/cas/techalerts/TA09-088A.html

概要

JPCERT/CC では Conficker ワームの大規模な感染活動を観測していま
す。Conficker ワームは MS08-067 を適用していない Windows に USB 
ドライブ やネットワーク共有などを使用して感染します。

Conficker ワームの一部は 2009年4月1日以降に新たな活動を行うという
情報があり、注意が必要です。

Conficker ワームの感染を防ぐため、Microsoft Update の実施とウイ
ルス対策ソフトの使用を徹底してください。また感染した PC を復旧す
る手順をいくつかのセキュリティベンダーなどが提供しています。詳細
については、下記関連文書を参照してください。

関連文書 (日本語)

Microsoft サポートオンライン
Win32/Conficker.B ワームに関するウイルス対策情報
http://support.microsoft.com/kb/962007

マイクロソフト セキュリティ
Conficker コンピューター ワームから身を守る
http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx

JPCERT/CC Alert 2009-02-05
[続報]TCP 445番ポートへのスキャン増加に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090002.txt

関連文書 (英語)

Symantec
W32.Downadup Removal Tool
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

【2】Java Runtime Environment (JRE) に複数の脆弱性

情報源

US-CERT Current Activity Archive
Sun Releases Updates for Java SE
http://www.us-cert.gov/current/archive/2009/03/26/archive.html#sun_releases_updates_for_java2

概要

Java Runtime Environment (JRE) には、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した
り、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があり
ます。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 6 Update 12 およびそれ以前
- JDK/JRE 5.0 Update 17 およびそれ以前
- SDK/JRE 1.4.2_19 およびそれ以前
- SDK/JRE 1.3.1_24 およびそれ以前

この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。

なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー
トが終了しています。今後修正プログラムは提供されません。後継のバー
ジョンへの対応をおすすめします。

関連文書 (英語)

Sun Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u13.html

Sun Alert 254569
Security Vulnerabilities in the Java Runtime Environment (JRE) LDAP Implementation may Allow a Denial of Service (DoS) and Malicious Code to be Executed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1

Sun Alert 254570
Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1

Sun Alert 254571
Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1

Sun Alert 254608
Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1

Sun Alert 254609
A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Implementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service Endpoint
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1

Sun Alert 254610
A Security Vulnerability in the Java Runtime Environment (JRE) Virtual Machine With Code Generation May Allow Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1

Sun Alert 254611
Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1

【3】Cisco IOS に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Multiple Security Advisories for IOS Vulnerabilities
http://www.us-cert.gov/current/archive/2009/03/25/archive.html#cisco_releases_multiple_security_advisory

概要

Cisco IOS には、複数の脆弱性があります。結果として、遠隔の第三者
が機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、
権限を昇格したりする可能性があります。

この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を
更新することで解決します。対象となる製品は広範囲に及びます。詳細
については、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory 109314
Cisco IOS cTCP Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-ctcp.shtml

Cisco Security Advisory 109322
Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.shtml

Cisco Security Advisory 109323
Cisco IOS Software Secure Copy Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml

Cisco Security Advisory 109487
Cisco IOS Software Mobile IP and Mobile IPv6 Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090325-mobileip.shtml

Cisco Security Advisory 107397
Cisco IOS Software WebVPN and SSLVPN Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090325-webvpn.shtml

Cisco Security Advisory 109333
Cisco IOS Software Multiple Features IP Sockets Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml

Cisco Security Advisory 109337
Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml

Cisco Security Advisory 108558
Cisco IOS Software Multiple Features Crafted UDP Packet Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090325-udp.shtml

【4】OpenSSL に複数の脆弱性

情報源

US-CERT Current Activity Archive
OpenSSL Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/03/26/archive.html#openssl_releases_security_advisory1

概要

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が
セキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 0.9.8k より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

OpenSSL Security Advisory [25-Mar-2009]
Three moderate severity security flaws have been fixed in OpenSSL 0.9.8k.
http://www.openssl.org/news/secadv_20090325.txt

【5】Sun Java System Identity Manager に複数の脆弱性

情報源

US-CERT Current Activity Archive
Sun Releases Alert for Java System Identity Manager Vulnerabilities
http://www.us-cert.gov/current/archive/2009/03/25/archive.html#sun_releases_alert_for_java

概要

Sun Java System Identity Manager (IdM) には、複数の脆弱性があり
ます。結果として、遠隔の第三者がやり取りされるデータを傍受したり、
他の IdM アカウントを特定したり、そのパスワードを変更したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- パッチ 140935-01 未適用の Sun Java System Identity Manager 7.0
- パッチ 140936-01 未適用の Sun Java System Identity Manager 7.1
- パッチ 137621-11 未適用の Sun Java System Identity Manager 7.1.1
- パッチ 139010-06 未適用の Sun Java System Identity Manager 8.0

この問題は、Sun が提供する修正済みのバージョンに Java System
Identity Manager を更新することで解決します。詳細については、Sun
が提供する情報を参照してください。

関連文書 (英語)

Sun Alert 253267
Sun Java System Identity Manager Security Vulnerabilities
http://sunsolve.sun.com/search/document.do?assetkey=1-66-253267-1

【6】pam-krb5 に脆弱性

情報源

DOE-CIRC Technical Bulletin T-089
pam-krb5 Local Privilege Escalation Vulnerability
http://www.doecirc.energy.gov/ciac/bulletins/t-089.shtml

概要

Pluggable Authentication Modules (PAM) の実装である pam-krb5 に
は、脆弱性があります。結果として、ローカルユーザが権限を昇格する
可能性があります。

対象となるバージョンは以下の通りです。

- pam-krb5 3.13 より前のバージョン

なお、Solaris や Debian などの PAM モジュールを利用する他の製品
も影響を受ける可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、各ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian セキュリティ勧告 DSA-1721-1
libpam-krb5 -- 複数の脆弱性
http://www.debian.org/security/2009/dsa-1721.ja.html

Debian セキュリティ勧告 DSA-1722-1
libpam-heimdal -- プログラムミス
http://www.debian.org/security/2009/dsa-1722.ja.html

関連文書 (英語)

Russ Allbery
pam-krb5 2009-02-11 Advisory
http://www.eyrie.org/~eagle/software/pam-krb5/security/2009-02-11.html

Sun Alert 252767
A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1

【7】IBM Access Support ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#340420
IBM Access Support ActiveX control stack buffer overflow
http://www.kb.cert.org/vuls/id/340420

概要

IBM Access Support ActiveX コントロールには、バッファオーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が細工した HTML
文書を閲覧させることで、ユーザの権限で任意のコードを実行する可能
性があります。

2009年3月31日現在、この問題に対する修正プログラムは確認されてい
ません。

Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。詳細については、下記関連文書を参照してください。

関連文書 (日本語)

Lenovo
IBM Access Support のご紹介
http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/SYJ0-01CD809

Lenovo
Access Support - アップグレード情報
http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/MIGR-51860

マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja

■今週のひとくちメモ

○インターネットセキュリティの歴史 第28回「DNS アンプによる DDoS 攻撃」

2005年、DNS アンプによる DDoS 攻撃が大きな話題になりました。DNS 
アンプとは DNS 再帰的問合せを受け付けるサーバを踏み台にして、DNS 
要求パケットの何倍もの大きさのパケットを送りつける手法です。

2006年1月3日から 2月中旬にかけて世界の約 1,500 の組織が対象となっ
た DDoS 攻撃に、この DNS アンプの手法が使われたといわれています。

DNS キャッシュサーバが攻撃の踏み台として使われないように、再帰的
問合せを受け付ける範囲を必要最小限とするようにアクセス制限を施す
ことが推奨されています。

参考文献 (日本語)

JPCERT/CC Alert 2006-03-29
DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起
http://www.jpcert.or.jp/at/2006/at060004.txt

JPRS トピックス&コラム
DDoS にあなたの DNS が使われる〜 DNS Amp の脅威と対策〜
http://jpinfo.jp/topics-column/003.pdf

参考文献 (英語)

US-CERT Security Publications
The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0)
http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english