Microsoft Windows を標的とする Conficker ワーム

JPCERT-WR-2009-1301 2009-04-01 2009-03-22 2009-03-28

Microsoft Windows を標的とする Conficker ワーム US-CERT Technical Cyber Security Alert TA09-088A Conficker Worm Targets Microsoft Windows Systems http://www.us-cert.gov/cas/techalerts/TA09-088A.html

JPCERT/CC では Conficker ワームの大規模な感染活動を観測しています。Conficker ワームは MS08-067 を適用していない Windows に USB ドライブやネットワーク共有などを使用して感染します。 Conficker ワームの一部は 2009年4月1日以降に新たな活動を行うという情報があり、注意が必要です。 Conficker ワームの感染を防ぐため、Microsoft Update の実施とウイルス対策ソフトの使用を徹底してください。また感染した PC を復旧する手順をいくつかのセキュリティベンダーなどが提供しています。詳細については、下記関連文書を参照してください。

Microsoft サポートオンライン Win32/Conficker.B ワームに関するウイルス対策情報 http://support.microsoft.com/kb/962007 マイクロソフトセキュリティ Conficker コンピューターワームから身を守る http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx JPCERT/CC Alert 2009-02-05 [続報]TCP 445番ポートへのスキャン増加に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090002.txt Symantec W32.Downadup Removal Tool http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99

Java Runtime Environment (JRE) に複数の脆弱性 US-CERT Current Activity Archive Sun Releases Updates for Java SE http://www.us-cert.gov/current/archive/2009/03/26/archive.html#sun_releases_updates_for_java2

Java Runtime Environment (JRE) には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 12 およびそれ以前 - JDK/JRE 5.0 Update 17 およびそれ以前 - SDK/JRE 1.4.2_19 およびそれ以前 - SDK/JRE 1.3.1_24 およびそれ以前この問題は、Sun が提供する修正済みのバージョンに、該当する製品を更新することで解決します。なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポートが終了しています。今後修正プログラムは提供されません。後継のバージョンへの対応をおすすめします。

Sun Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u13.html Sun Alert 254569 Security Vulnerabilities in the Java Runtime Environment (JRE) LDAP Implementation may Allow a Denial of Service (DoS) and Malicious Code to be Executed http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1 Sun Alert 254570 Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1 Sun Alert 254571 Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1 Sun Alert 254608 Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1 Sun Alert 254609 A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Implementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service Endpoint http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1 Sun Alert 254610 A Security Vulnerability in the Java Runtime Environment (JRE) Virtual Machine With Code Generation May Allow Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1 Sun Alert 254611 Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1

Cisco IOS に複数の脆弱性 US-CERT Current Activity Archive Cisco Releases Multiple Security Advisories for IOS Vulnerabilities http://www.us-cert.gov/current/archive/2009/03/25/archive.html#cisco_releases_multiple_security_advisory

Cisco IOS には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、権限を昇格したりする可能性があります。この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を更新することで解決します。対象となる製品は広範囲に及びます。詳細については、Cisco が提供する情報を参照してください。

Cisco Security Advisory 109314 Cisco IOS cTCP Denial of Service Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-ctcp.shtml Cisco Security Advisory 109322 Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.shtml Cisco Security Advisory 109323 Cisco IOS Software Secure Copy Privilege Escalation Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml Cisco Security Advisory 109487 Cisco IOS Software Mobile IP and Mobile IPv6 Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20090325-mobileip.shtml Cisco Security Advisory 107397 Cisco IOS Software WebVPN and SSLVPN Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20090325-webvpn.shtml Cisco Security Advisory 109333 Cisco IOS Software Multiple Features IP Sockets Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml Cisco Security Advisory 109337 Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml Cisco Security Advisory 108558 Cisco IOS Software Multiple Features Crafted UDP Packet Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-udp.shtml

OpenSSL に複数の脆弱性 US-CERT Current Activity Archive OpenSSL Releases Security Advisory http://www.us-cert.gov/current/archive/2009/03/26/archive.html#openssl_releases_security_advisory1

OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者がセキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8k より前のバージョンこの問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに OpenSSL を更新することで解決します。詳細については、ベンダや配布元が提供する情報を参照してください。

OpenSSL Security Advisory [25-Mar-2009] Three moderate severity security flaws have been fixed in OpenSSL 0.9.8k. http://www.openssl.org/news/secadv_20090325.txt

Sun Java System Identity Manager に複数の脆弱性 US-CERT Current Activity Archive Sun Releases Alert for Java System Identity Manager Vulnerabilities http://www.us-cert.gov/current/archive/2009/03/25/archive.html#sun_releases_alert_for_java

Sun Java System Identity Manager (IdM) には、複数の脆弱性があります。結果として、遠隔の第三者がやり取りされるデータを傍受したり、他の IdM アカウントを特定したり、そのパスワードを変更したり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。対象となるバージョンは以下の通りです。 - パッチ 140935-01 未適用の Sun Java System Identity Manager 7.0 - パッチ 140936-01 未適用の Sun Java System Identity Manager 7.1 - パッチ 137621-11 未適用の Sun Java System Identity Manager 7.1.1 - パッチ 139010-06 未適用の Sun Java System Identity Manager 8.0 この問題は、Sun が提供する修正済みのバージョンに Java System Identity Manager を更新することで解決します。詳細については、Sun が提供する情報を参照してください。

Sun Alert 253267 Sun Java System Identity Manager Security Vulnerabilities http://sunsolve.sun.com/search/document.do?assetkey=1-66-253267-1

pam-krb5 に脆弱性 DOE-CIRC Technical Bulletin T-089 pam-krb5 Local Privilege Escalation Vulnerability http://www.doecirc.energy.gov/ciac/bulletins/t-089.shtml

Pluggable Authentication Modules (PAM) の実装である pam-krb5 には、脆弱性があります。結果として、ローカルユーザが権限を昇格する可能性があります。対象となるバージョンは以下の通りです。 - pam-krb5 3.13 より前のバージョンなお、Solaris や Debian などの PAM モジュールを利用する他の製品も影響を受ける可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに、該当する製品を更新することで解決します。詳細については、各ベンダや配布元が提供する情報を参照してください。

Debian セキュリティ勧告 DSA-1721-1 libpam-krb5 -- 複数の脆弱性 http://www.debian.org/security/2009/dsa-1721.ja.html Debian セキュリティ勧告 DSA-1722-1 libpam-heimdal -- プログラムミス http://www.debian.org/security/2009/dsa-1722.ja.html Russ Allbery pam-krb5 2009-02-11 Advisory http://www.eyrie.org/~eagle/software/pam-krb5/security/2009-02-11.html Sun Alert 252767 A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1

IBM Access Support ActiveX コントロールにバッファオーバーフローの脆弱性 US-CERT Vulnerability Note VU#340420 IBM Access Support ActiveX control stack buffer overflow http://www.kb.cert.org/vuls/id/340420

IBM Access Support ActiveX コントロールには、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で任意のコードを実行する可能性があります。 2009年3月31日現在、この問題に対する修正プログラムは確認されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インターネットゾーンで ActiveX コントロールを無効にするなどの方法があります。詳細については、下記関連文書を参照してください。

Lenovo IBM Access Support のご紹介 http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/SYJ0-01CD809 Lenovo Access Support - アップグレード情報 http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/MIGR-51860 マイクロソフトサポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja

インターネットセキュリティの歴史第28回「DNS アンプによる DDoS 攻撃」 2005年、DNS アンプによる DDoS 攻撃が大きな話題になりました。DNS アンプとは DNS 再帰的問合せを受け付けるサーバを踏み台にして、DNS 要求パケットの何倍もの大きさのパケットを送りつける手法です。 2006年1月3日から 2月中旬にかけて世界の約 1,500 の組織が対象となった DDoS 攻撃に、この DNS アンプの手法が使われたといわれています。 DNS キャッシュサーバが攻撃の踏み台として使われないように、再帰的問合せを受け付ける範囲を必要最小限とするようにアクセス制限を施すことが推奨されています。 JPCERT/CC Alert 2006-03-29 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060004.txt JPRS トピックス＆コラム DDoS にあなたの DNS が使われる〜 DNS Amp の脅威と対策〜 http://jpinfo.jp/topics-column/003.pdf US-CERT Security Publications The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0) http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf