JPCERT コーディネーションセンター

Weekly Report 2007-02-15号

JPCERT-WR-2007-0602
JPCERT/CC
2007-02-15

<<< JPCERT/CC WEEKLY REPORT 2007-02-15 >>>

■02/04(日)〜02/10(土) のセキュリティ関連情報

目 次

【1】主要 DNS サーバのレスポンスが悪化した件について

【2】トレンドマイクロのウイルス検索エンジンにバッファオーバーフローの脆弱性

【3】トレンドマイクロのルートキット対策ドライバに権限昇格の脆弱性

【4】CCCクリーナーにバッファオーバーフローの脆弱性

【5】Samba の AFS ACL マッピング VFS プラグインに脆弱性

【6】HP の Mercury LoadRunner、Performance Center、および Monitor over Firewall エージェントに脆弱性

【7】HP OpenView Storage Data Protector に脆弱性

【8】Sage に脆弱性

【9】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中

【今週のひとくちメモ】電子メールを暗号化する際の注意点

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr070602.txt
https://www.jpcert.or.jp/wr/2007/wr070602.xml

【1】主要 DNS サーバのレスポンスが悪化した件について

情報源

Dave Knight, Nanog 39, Toronto
This weeks DDoS against the root and TLDs
http://www.nanog.org/mtg-0702/presentations/knight.pdf

概要

日本時間の 2007年2月6日 (火) 19:00頃に、ルート DNS サーバを含む
複数の主要 DNS サーバに対して複数のホストから大量のパケットが送
信されるサービス運用妨害 (DoS) 攻撃が行われました。

しかしながら、主要 DNS サーバの管理者と ISP とが協力して対策を実
施したため、攻撃による影響は速やかに解消されました。

なお、攻撃期間中に DNS による名前解決に問題が起きたという報告は
ありませんでした。

※ルート DNS サーバ: DNS サーバ群は、ドメイン名に対応した階層構
造を持つ分散データベースとして機能していますが、その最上位の階層
を構成する DNS サーバを指します。負荷分散および信頼性向上のため、
ルート DNS サーバは世界中に分散して配置されており、日本にも複数
存在します。ルート DNS サーバへの攻撃はインターネットにとって大
きな脅威となります。

関連文書 (日本語)

!JP 日本レジストリサービス
ドメイン名の最新動向 2007年2月
http://jpinfo.jp/news/2007/news_2007-02.html

関連文書 (英語)

CERT/CC Current Activity Archive
Anomalous DNS Activity
http://www.us-cert.gov/current/archive/2007/02/13/archive.html#dnsanom

RIPE NCC DNS Monitoring Services
Unanswered Queries (AVERAGE) for L root (ICANN)
http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=l.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW

RIPE NCC DNS Monitoring Services
Unanswered Queries (AVERAGE) for G root (DDN)
http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=g.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW

RIPE NCC DNS Monitoring Services
Unanswered Queries (AVERAGE) for M root (WIDE)
http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=m.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW

RIPE NCC DNS Monitoring Services
Unanswered Queries (AVERAGE) for F root (ISC)
http://dnsmon.ripe.net/dns-servmon/server/plot?type=drops&server=f.root-servers.net&day=6&month=2&year=2007&hour=0&period=24h&plot=SHOW

【2】トレンドマイクロのウイルス検索エンジンにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#276432
Trend Micro AntiVirus fails to properly process malformed UPX packed executables
http://www.kb.cert.org/vuls/id/276432

CIAC Bulletin R-125
Trend Micro Antivirus UPX Parsing Vulnerability
http://www.ciac.org/ciac/bulletins/r-125.shtml

概要

トレンドマイクロのウイルス検索エンジンには、細工された UPX 圧縮
実行ファイルを適切に処理できないことに起因するバッファオーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が任意のコードを
実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。

対象となる製品およびバージョンは次のとおりです。

- ウイルス検索エンジン VSAPI 8.0 以降を使用しているすべての製品

これらは Windows 版および Linux 版の製品に含まれています。

この問題は、トレンドマイクロが提供するウイルスパターンファイル
4.245.00 (またはそれ以降) に更新することで回避できます。また、ト
レンドマイクロが次回リリースするウイルス検索エンジンでは、この問
題が修正される予定です。

詳細については、トレンドマイクロが提供する情報を参照してください。

関連文書 (日本語)

製品Q&A
アラート/アドバイザリ:ウイルス検索エンジンのUPXファイル検索処理における脆弱性
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061390

JP Vendor Status Notes JVNVU#276432
Trend Micro AntiVirus が細工された UPX 圧縮実行ファイルを適切に処理できない脆弱性
http://jvn.jp/cert/JVNVU%23276432/index.html

関連文書 (英語)

Solution Details
[Vulnerability Response] Antivirus UPX Parsing Kernel Buffer Overflow Vulnerability
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034289

【3】トレンドマイクロのルートキット対策ドライバに権限昇格の脆弱性

情報源

US-CERT Vulnerability Note VU#666800
Trend Micro Anti-Rootkit Common Module fails to properly validate input
http://www.kb.cert.org/vuls/id/666800

US-CERT Vulnerability Note VU#282240
Trend Micro Anti-Rootkit Common Module fails to properly restrict access to the "\\.\TmComm" DOS device interface
http://www.kb.cert.org/vuls/id/282240

CIAC Bulletin R-126
Trend Micro TmComm Vulnerability
http://www.ciac.org/ciac/bulletins/r-126.shtml

概要

トレンドマイクロのルートキット対策ドライバには権限昇格の脆弱性が
あります。結果として、ローカルユーザが任意のコードを実行する可能
性があります。

対象となる製品およびバージョンは以下の通りです。

- トレンドマイクロ ウイルスバスター 2007 (バージョン 15.x)
- Trend Micro PC-cillin Internet Security 2007
  ※PC-cillin はウイルスバスターの米国での名称です。
- Trend Micro Antivirus 2007
- Trend Micro Anti-Spyware for SMB 3.2 SP1
- Trend Micro Anti-Spyware for Consumer 3.5
- Trend Micro Anti-Spyware for Enterprise 3.0 SP2
- Client / Server / Messaging Security for SMB 3.5
- Damage Cleanup Services 3.2

この問題は、トレンドマイクロが提供するルートキット対策ドライバ 
1.6 ビルド 1052 に更新することで解決します。詳しくは下記関連情報
を参照してください。

関連文書 (日本語)

サポート情報
ウイルスバスター2007 トレンド フレックス セキュリティルートキット対策ドライバ1.6 ビルド1052 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=910

製品Q&A solution 2061405
アラート/アドバイザリ: ルートキット対策モジュール (TmComm.sys) における脆弱性について
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061405

関連文書 (英語)

Solution Details
[Vulnerability Confirmation] TmComm Local Privilege Escalation Vulnerability
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1034432

【4】CCCクリーナーにバッファオーバーフローの脆弱性

情報源

JP Vendor Status Notes JVN#77366274
CCCクリーナーにおけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2377366274/index.html

概要

サイバークリーンセンターにて、2007年1月25日より2007年2月9日まで
の間に提供された CCCクリーナーには、細工された UPX 圧縮実行ファ
イルを適切に処理できないことに起因するバッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者が任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- CCCパターン Ver:185 およびそれ以前の CCCクリーナー

以下のバージョンでは、この問題は修正されています。

- CCCパターン Ver:253 (またはそれ以降) の CCCクリーナー

この脆弱性は、トレンドマイクロのウイルス検索エンジンに発見された 
UPX 圧縮実行ファイルのスキャン処理時におけるバッファオーバーフロー
の脆弱性の影響によるものです。この脆弱性については、本レポートの
「【2】トレンドマイクロのウイルス検索エンジンにバッファオーバー
フローの脆弱性」を参照してください。また、本レポートの「【3】ト
レンドマイクロのルートキット対策ドライバに権限昇格の脆弱性」で報
告された脆弱性は、CCCクリーナーには影響しないことが確認されてい
ます。

詳細については、下記関連文書を参照してください。

関連文書 (日本語)

総務省・経済産業省 連携プロジェクト
Cyber Clean Center サイバークリーンセンター
https://www.ccc.go.jp/index.html

JPCERT コーディネーションセンター (JPCERT/CC) JPCERT-PR-2007-0002
サイバークリーンセンターにおいて提供された「CCC クリーナー」の脆弱性についてのお知らせ
http://www.jpcert.or.jp/pr/2007/pr070002.pdf

JPCERT/CC Alert 2007-02-10
「CCCクリーナー」の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070004.txt

【5】Samba の AFS ACL マッピング VFS プラグインに脆弱性

情報源

US-CERT Vulnerability Note VU#649732
Samba AFS ACL mapping VFS plug-in format string vulnerability
http://www.kb.cert.org/vuls/id/649732

CIAC Bulletin R-122
Samba Format String Bug
http://www.ciac.org/ciac/bulletins/r-122.shtml

概要

Samba の AFS ACL マッピング VFS プラグイン (afsacl.so) の書式指
定文字列の処理には脆弱性があります。結果として、遠隔の第三者が 
samba が動作しているコンピュータ上で任意のコードを実行する可能性
があります。

対象となるバージョンは以下の通りです。

- Samba 3.0.6 から 3.0.23d までの各バージョン

この問題は、使用している OS のベンダや配布元が提供するパッチを適
用するか修正済みのバージョンに Samba を更新することで解決します。

関連文書 (英語)

Samba - Security Announcement Archive
CVE-2007-0454: Format string bug in afsacl.so VFS plugin
http://samba.org/samba/security/CVE-2007-0454.html

Debian Security Advisory DSA-1257-1
samba -- several vulnerabilities
http://www.debian.org/security/2007/dsa-1257

【6】HP の Mercury LoadRunner、Performance Center、および Monitor over Firewall エージェントに脆弱性

情報源

CIAC Bulletin R-123
HP Mercury LoadRunner, Performance Center, Monitor over Firewall Agents Vulnerability
http://www.ciac.org/ciac/bulletins/r-123.shtml

概要

HP の Mercury LoadRunner、Performance Center、および Monitor
over Firewall エージェントには脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

  - AIX、HP-UX、Linux、Solaris、および Windows NT で動作する以下
    の製品およびバージョン
    - Mercury LoadRunner Agent 8.1 SP1、FP1、FP2、FP3、および FP4
    - Mercury LoadRunner Agent 8.1 GA
    - Mercury LoadRunner Agent 8.0 GA
    - Mercury Performance Center Agent 8.1 FP1、FP2、FP3、および
      FP4
    - Mercury Performance Center Agent 8.1 GA
    - Mercury Performance Center Agent 8.0 GA
    - Mercury Monitor over Firewall 8.1

この問題は、使用している製品およびバージョンに応じて、HP が提供す
るパッチを適用するか、適切なバージョンに更新してから該当するパッチ
を適用することで解決します。詳細については、HP が提供する情報を参
照してください。

関連文書 (英語)

SUPPORT COMMUNICATION - SECURITY BULLETIN c00854250 (登録が必要です)
HPSBGN02187 SSRT061280 rev.1 - Mercury LoadRunner, Performance Center, Monitor over Firewall, Remote Unauthenticated Arbitrary Code Execution
http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=200000085086210

【7】HP OpenView Storage Data Protector に脆弱性

情報源

CIAC Bulletin R-124
HP OpenView Storage Data Protector Vulnerability
http://www.ciac.org/ciac/bulletins/r-124.shtml

概要

HP OpenView Storage Data Protector には脆弱性があります。結果と
して、ローカルユーザが任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- PHSS_35149 または PHSS_35150 がインストールされた
  HP-UX B.11.00、B.11.11、または B.11.23 で稼動する
  HP OpenView Storage Data Protector 5.50
- DPSOL_00229 がインストールされた Solaris で稼動する
  HP OpenView Storage Data Protector 5.50

この問題は、HP が提供するパッチを適用することで解決します。詳細に
ついては、HP が提供する情報を参照してください。

関連文書 (英語)

SUPPORT COMMUNICATION - SECURITY BULLETIN c00862204 (登録が必要です)
HPSBMA02190 SSRT071300 rev.1 - HP OpenView Storage Data Protector, Local Execution of Arbitrary Code
http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=200000085086212

【8】Sage に脆弱性

情報源

JP Vendor Status Notes JVN#84430861
Sage において任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN%2384430861/index.html

概要

Mozilla Firefox に RSS/Atom フィードリーダー機能を追加する機能拡
張である Sage には脆弱性があります。結果として、遠隔の第三者がユ
ーザの Mozilla Firefox 上で任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは以下の通りです。

- Sage 1.3.9 およびそれ以前

この問題は、配布元が提供する修正済みのバージョン 1.3.10 (または
それ以降) に Sage を更新することで解決します。

また、この脆弱性は Sage++ にも影響があることが確認されています。
2007年2月9日、Sage++ の公開およびアップデートは停止されました。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#84430861「Sage」において任意のスクリプトが実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_84430861.html

関連文書 (英語)

Sage: Blog
Sage 1.3.10 Released
http://sage.mozdev.org/blog/archives/2007/1/sage_1_3_10_released.html

【9】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中

情報源

JPCERT/CC
JPNIC・JPCERT/CC セキュリティセミナー2007
http://www.jpcert.or.jp/event/sec-seminar.html

概要

社団法人日本ネットワークインフォメーションセンター (JPNIC) と
JPCERT/CC は、今までのセキュリティセミナーの集大成として、当セミ
ナーと InternetWeek で特に人気の高かったプログラムをアレンジし
「知っておくべき不正アクセス対策 〜総集編〜」を開催します。

プログラムの日程、会場、内容、参加費および参加申込方法の詳細につ
いては、情報源および関連文書をご参照ください。

関連文書 (日本語)

JPNIC
JPNIC・JPCERT/CC Security Seminar 2007
http://www.nic.ad.jp/security-seminar/

■今週のひとくちメモ

○電子メールを暗号化する際の注意点

PGP や S/MIME によって電子メールを暗号化することは、情報漏洩の危
険性を減らすうえで有効です。しかしながら、暗号化電子メールの誤っ
た使用は、情報漏洩につながる恐れがあります。そこで、メールを暗号
化する際の注意点を、以下に示します。

(1) 送信先の公開鍵情報は事前に入手し、真正であることを確かめてお
    く

    送信先の公開鍵情報 (PGP の場合は公開鍵、S/MIME の場合は電子
    証明書) は事前に入手し、真正であることを確認しておく必要があ
    ります。

    公開鍵情報の真正性を確認する方法としては、公開鍵情報自身のフィ
    ンガープリントを照合する、あるいは予め信頼している別の鍵情報
    によって施された電子署名を検証するといった方法があります。具
    体的な確認方法の詳細については、各ソフトウェアのドキュメント
    を参照してください。

    なお、フィンガープリントによって公開鍵情報の真正性を確認する
    場合は、鍵保持者に、鍵情報を送った際に使用した通信手段と異な
    る信頼できる通信手段で公開鍵のフィンガープリントを問い合わせ
    ることをお勧めします。

(2) Bcc に注意

    暗号化したメールの中には、暗号化に使った公開鍵情報の一部が含
    まれていることがあります。結果として、To や Cc で送信した
    相手に、Bcc で送信した相手が誰であるか知られてしまう可能性
    があります。

(3) 宛先 (To・Cc) や差出人 (From) 、件名 (Subject) などのメール
    ヘッダは通常、暗号化されないことに気をつける

参考文献 (日本語)

JPCERT/CC イラストでわかるセキュリティ
情報セキュリティの脅威に対する対策 11.電子メールは必要に応じて暗号化する
http://www.jpcert.or.jp/magazine/security/illust/part1.html#11

JPCERT/CC REPORT 2007-02-07号 [今週の一口メモ]
電子メールは必要に応じて暗号化する
http://www.jpcert.or.jp/wr/2007/wr070502.html#Memo

JPCERT/CC REPORT 2004-09-29号 [今週の一口メモ]
電子署名
http://www.jpcert.or.jp/wr/2004/wr043801.txt

JPCERT/CC REPORT 2004-06-30号 [今週の一口メモ]
PGP 公開鍵の取得方法
http://www.jpcert.or.jp/wr/2004/wr042501.txt

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter