<<< JPCERT/CC WEEKLY REPORT 2009-07-08 >>>
■06/28(日)〜07/04(土) のセキュリティ関連情報
目 次
【1】VMware ESX に脆弱性
【2】HP OpenView Network Node Manager に脆弱性
【今週のひとくちメモ】3種類のクロスサイトスクリプティングとその対策
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr092601.txt
https://www.jpcert.or.jp/wr/2009/wr092601.xml
【1】VMware ESX に脆弱性
情報源
VMware Security Advisories (VMSAs) VMSA-2009-0008
ESX Service Console update for krb5
http://www.vmware.com/security/advisories/VMSA-2009-0008.html
概要
VMware ESX には、Kerberos 関連の入力処理に起因する脆弱性がありま す。結果として遠隔の第三者が任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、標準構成 の VMware ESX には Kerberos 関連のサービスはインストールされてい ないため、この問題の影響を受けません。 対象となるバージョンは以下の通りです。 - ESX 4.0 - ESX 3.5 - ESX 3.0.3 - ESX 3.0.2 - ESX 2.5.5 なお ESXi 3.5 は、この問題の影響を受けません。 この問題は、VMware が提供する修正済みのバージョンに VMware ESX を更新することで解決します。2009年7月7日現在、一部のバージョンに ついては修正版が提供されていません。詳細については、VMware が提 供する情報を参照してください。
関連文書 (英語)
MIT krb5 Security Advisory 2009-002 MITKRB5-SA-2009-002
ASN.1 decoder frees uninitialized pointer
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-002.txt
【2】HP OpenView Network Node Manager に脆弱性
情報源
DOE-CIRC Technical Bulletin T-158
HP OpenView Network Node Manager SNMP and MIB Unspecified Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-158.shtml
概要
HP OpenView Network Node Manager (OV NNM) には、脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - HP-UX、Solaris、Linux、Windows で動作し、SNMP 1.30.009 および MIB 1.30.009 より前を実行する以下の製品 - HP OpenView Network Node Manager (OV NNM) v7.51 および v7.53 この問題は、HP が提供する修正済みのバージョンに HP OpenView Network Node Manager を更新することで解決します。詳細については、 HP が提供する情報を参照してください。
関連文書 (英語)
HP
HP Network Node Manager (NNM) Advanced Edition software
http://www.openview.hp.com/products/nnm/index.html
■今週のひとくちメモ
○3種類のクロスサイトスクリプティングとその対策
クロスサイトスクリプティングは、攻撃者が用意したスクリプトを、ユー
ザが信頼する第三者の Web サイトから提供されたものとして、ユーザ
の Web ブラウザ上で実行させる手法です。
攻撃は、攻撃者のスクリプトを第三者の Web コンテンツ中に紛れ込ま
せることにより実現されます。紛れ込ませる手法は、次の3種類に分類
できます。
- persistent 型 (stored 型、蓄積型)
Web サイトが蓄積しているコンテンツ中に紛れ込ませる
- non-persistent 型 (reflected 型、反射型)
Web サイトが動的に作り出すコンテンツ中に紛れ込ませる
- DOM 型
Web ブラウザ内に蓄積しているコンテンツ中に紛れ込ませる
persistent 型および non-persistent 型のクロスサイトスクリプティ
ングでは、攻撃スクリプトが必ず Web サイトを経由します。Web アプ
リケーション側で入力データの検証や出力データの加工を適切に行うこ
とで、意図せぬスクリプトが混入しないよう防止することが可能です。
これに対して DOM 型クロスサイトスクリプティングは、Web ブラウザ
内部で行われるデータ構造の操作を悪用した攻撃であり、スクリプト自
身が Web サイトを経由するとは限りません。そのような攻撃を防止す
るためには、Web ブラウザに処理させるコードの内容を注意深く検証し、
どのようなデータを処理する場合でも悪用されないようにしておく必要
があります。
また、Web ブラウザを使用する場合は、以下のような点に注意しましょ
う。
- リンクをたどる際、その URL が想定しているドメイン名と異なって
いたり、異様に長い URL になっているなど、怪しい兆候がないか確
認する習慣をつける
- スクリプト実行を抑制する機能を活用する
参考文献 (日本語)
JPCERT/CC WEEKLY REPORT 2009-05-13
【ひとくちメモ】クロスサイトスクリプティング
https://www.jpcert.or.jp/wr/2009/wr091801.html#MemoJPCERT/CC
技術メモ - 安全な Web ブラウザの使い方
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf
参考文献 (英語)
Web Application Security Consortium
DOM Based Cross Site Scripting or XSS of the Third Kind
http://www.webappsec.org/projects/articles/071105.shtmlOWASP
Cross-site Scripting (XSS)
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)OWASP
DOM based XSS
http://www.owasp.org/index.php/DOM_Based_XSS
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
