JPCERT コーディネーションセンター

Weekly Report 2008-07-30号

JPCERT-WR-2008-2901
JPCERT/CC
2008-07-30

<<< JPCERT/CC WEEKLY REPORT 2008-07-30 >>>

■07/20(日)〜07/26(土) のセキュリティ関連情報

目 次

【1】[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性

【2】「Mozilla 製品群に脆弱性」に関する追加情報

【3】NetApp の Data ONTAP に複数の脆弱性

【4】複数のセンチュリー・システムズ製ルータにクロスサイトリクエストフォージェリの脆弱性

【5】K's CGI 製アクセスログ解析にクロスサイトスクリプティングの脆弱性

【6】Geeklog Forum Plugin にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】インターネットセキュリティの歴史 第18回 「個人情報保護法」(上)

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr082901.txt
https://www.jpcert.or.jp/wr/2008/wr082901.xml

【1】[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性

情報源

JPCERT-AT-2008-0014
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080014.txt

概要

JPCERT/CC REPORT 2008-07-16 号【2】で紹介した「複数の DNS 実装に
キャッシュポイズニングの脆弱性」の続報です。

本脆弱性の詳細は海外のセキュリティ研究者により 2008年8月に公表さ
れる予定でしたが、当初の予定より早く 2008年7月22日に攻撃手法が公
開されました。さらに 2008年7月24日、本脆弱性を狙った攻撃ツールが
公開されました。このため、近日中に本脆弱性を狙った攻撃が発生する
可能性が高まりました。

対象となる製品は以下の通りです。

- ISC BIND (BIND 8 を含む) 
- Microsoft DNS サーバ
- 複数の Cisco 製品
- 複数の Juniper 製品 (Netscreen 社製品を含む)
- YAMAHA RT シリーズ
- 古河電工 FITELnet シリーズの一部
- センチュリー・システムズ XR シリーズ

システム管理者は、各製品ベンダが提供する修正済ソフトウエアを早急
に適用してください。これによりクエリーのソースポートがランダムに
なり、キャッシュポイズニング攻撃の危険性が大幅に低減します。

またその際には以下の点にご注意下さい。

1. 一部 Linux ディストリビューション上で BIND を使用している場合、
   バージョンアップ後に設定を変更しないとキャッシュポイズニング
   対策として不十分です。named.conf に DNS クエリーのソースポー
   トを固定する設定が行われていないことを確認してください。
2. BIND においてバージョンアップ後に動作が不安定になる現象が確認
   されています。事前に十分な動作確認をおこなってください。
3. DNS サーバをルータ等のゲートウェイ機器の内側に設置している場
   合、NAT/NAPT 機能によってソースポートがランダムでなくなり、パッ
   チによる効果が無くなる可能性があります。ゲートウェイ機器の 
   NAT/NAPT 機能を確認する、DMZ に設置するなどの DNS サーバの設
   置環境の見直しをご検討ください。

関連文書 (日本語)

JPCERT/CC REPORT 2008-07-16
【2】複数の DNS 実装にキャッシュポイズニングの脆弱性
http://www.jpcert.or.jp/wr/2008/wr082701.html#2

Japan Vulnerability Notes JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
http://jvn.jp/cert/JVNVU800113/index.html

DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して)
http://www.nttv6.net/files/DKA-20080723.pdf

JPRS
(緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報)
http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html

【2】「Mozilla 製品群に脆弱性」に関する追加情報

情報源

Mozilla
Thunderbird 2.0.0.16 リリースノート
http://mozilla.jp/thunderbird/2.0.0.16/releasenotes/

概要

JPCERT/CC REPORT 2008-07-24【1】で紹介した「Mozilla 製品群に脆弱
性」に関する追加情報です。

Thunderbird の修正済みのバージョン 2.0.0.16 が提供されました。詳
細については、OS のベンダや配布元が提供する情報を参照してくださ
い。

関連文書 (日本語)

JPCERT/CC REPORT 2008-07-24
【1】Mozilla 製品群に脆弱性
http://www.jpcert.or.jp/wr/2008/wr082801.html#1

【3】NetApp の Data ONTAP に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#329772
NetApp Data ONTAP contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/329772

概要

NetApp の Data ONTAP には、複数の脆弱性があります。結果として、
遠隔の第三者が任意のコマンドを実行したり、機密情報を取得したり、
システムをクラッシュさせたりする可能性があります。

この問題は、NetApp が提供する修正済みのバージョンに Data ONTAP 
を更新することで解決します。詳細については、NetApp あるいは OEM
先が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#329772
NetApp Data ONTAP における複数の脆弱性
http://jvn.jp/cert/JVNVU329772/index.html

関連文書 (英語)

NetApp (登録が必要です)
Announcing the Availability of Data ONTAP 7.2.5.1
http://now.netapp.com/NOW/products/cpc/cpc0807-01.shtml

NetApp (登録が必要です)
Announcing the Availability of Data ONTAP 7.0.7
http://now.netapp.com/NOW/products/cpc/cpc0807-02.shtml

NetApp (登録が必要です)
Announcing the Availability of Data ONTAP 7.1.3
http://now.netapp.com/NOW/products/cpc/cpc0807-03.shtml

【4】複数のセンチュリー・システムズ製ルータにクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#67573833
複数のセンチュリー・システムズ株式会社製ルータにおけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN67573833/index.html

概要

複数のセンチュリー・システムズ製ルータには、クロスサイトリクエス
トフォージェリの脆弱性があります。結果として、遠隔の第三者がパス
ワードなどの設定を変更する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- XR-410 ver1.6.8 およびそれ以前
- XR-440 ver1.7.7 およびそれ以前
- XR-510 ver3.5.0 およびそれ以前
- XR-540 ver3.5.2 およびそれ以前
- XR-640 ver1.6.7 およびそれ以前
- XR-730 ver3.5.0 およびそれ以前
- XR-1100 ver1.6.2 およびそれ以前
- XR-410-L2 ver1.6.1 およびそれ以前
- XR-640-L2 ver1.6.1 およびそれ以前

この問題は、センチュリー・システムズが提供する修正済みのバージョ
ンに、該当する製品のファームウェアを更新することで解決します。な
お、2008年7月29日現在、一部の製品のファームウェアについては、修
正済みのバージョンが提供されていません。センチュリー・システムズ
によると近日公開予定であると報告されています。詳細については、セ
ンチュリー・システムズが提供する情報を参照してください。

関連文書 (日本語)

センチュリー・システムズ株式会社
XRシリーズの設定画面におけるクロスサイト・リクエスト・フォージェリの脆弱性について
http://www.centurysys.co.jp/support/xr_common/JVN67573833.html

【5】K's CGI 製アクセスログ解析にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#46869708
K's CGI 製アクセスログ解析(jcode.pl版) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN46869708/index.html

Japan Vulnerability Notes JVN#72065744
K's CGI 製アクセスログ解析(Jcode.pm版) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN72065744/index.html

概要

K's CGI 製アクセスログ解析の analysis.cgi には、クロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で任意のスクリプトを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- アクセスログ解析 (jcode.pl 版) の analysis.cgi Ver.1.44 および
  それ以前
- アクセスログ解析 (Jcode.pm 版) の analysis.cgi Ver.1.44 および
  それ以前

この問題は、K's CGI が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、K's CGI が提供する
情報を参照してください。

関連文書 (日本語)

K's CGI
アクセスログ解析(jcode.pl版)ページ
http://www.kumacchi.com/cgiroom/cgis/accesslog/accesslog.html

K's CGI
アクセスログ解析(Jcode.pm版)ページ
http://www.kumacchi.com/cgiroom/cgis/accesslogex/accesslogex.html

【6】Geeklog Forum Plugin にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#60419863
Geeklog Forum Plugin におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN60419863/index.html

概要

コンテンツ管理システム Geeklog の掲示板プラグイン Geeklog Forum 
Plugin には、クロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実
行する可能性があります

対象となるバージョンは以下の通りです。

- Geeklog Forum Plugin 2.7 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに Geeklog Forum
Plugin を更新することで解決します。詳細については、配布元が提供
する情報を参照してください。

関連文書 (日本語)

Geeklog Japanese
掲示板プラグインに脆弱性
http://www.geeklog.jp/article.php/20080723010954675

関連文書 (英語)

PortalParts.com
Forum Plugin Version 2.7.1 - Security Fix
http://www.portalparts.com/article.php?story=20080719084735929

Geeklog
Forum Plugin Version 2.7.1 - Security Fix
http://www.geeklog.net/article.php/20080719093147449

■今週のひとくちメモ

○インターネットセキュリティの歴史 第18回 「個人情報保護法」(上)

わが国の個人情報保護法制は、1973年に徳島市「電子計算組織運営審議
会条例」が制定されたのを皮切りに、地方公共団体による一連の条例制
定からスタートしたといえます。OECD の「プライバシーガイドライン」
が採択された1980年には、既に、49 の地方公共団体が個人情報保護条
例を制定していました。

国レベルでは、

- 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法
  律 (1988年公布)

が制定されたのが最初になります。当時は、民間部門の規制は時期尚早
との判断に基づき、行政機関に対象を絞り、かつ、コンピュータによっ
て処理される「個人情報ファイル」のみを対象とした法制とされました。

その一方で、当時、民間事業者による個人情報の無断収集・利用が問題
となっていたことから、1989年に、通商産業省(当時)の情報化対策委
員会個人情報保護部会が、

- 民間部門における電子計算機処理に係る個人情報の保護についての指
  針

を公表しました。この指針は、1997年に

- 民間部門における電子計算機処理に係る個人情報の保護に関するガイ
  ドライン (平成9年通商産業省告示98号)

に全面改正され、以後、個人情報保護法が制定されるまで、企業や団体
がガイドラインを制定したり、取り扱いルールを定めたりする際の参考
とされていました。

この後、インターネット社会の進展、住民基本台帳法ネットワークの構
築、EU 個人情報保護指令への対応や、個人情報漏洩事件の多発を背景
に、個人情報保護法立法に向けた本格的な検討が開始されることになり
ます。

参考文献 (日本語)

内閣府
個人情報保護トップページ
http://www5.cao.go.jp/seikatsu/kojin/index.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter