<<< JPCERT/CC WEEKLY REPORT 2008-04-09 >>>
■03/30(日)〜04/05(土) のセキュリティ関連情報
目 次
【1】Apple QuickTime に複数の脆弱性
【2】Cisco Unified Communications 製品ファミリに認証を回避される脆弱性
【3】gcc がオーバーフロー検査のコードを省略する問題
【4】OpenSSH の X11 転送機能に脆弱性
【5】HP OpenVMS TCP/IP Services の SSH サーバに脆弱性
【6】「SQL インジェクションによる Web サイト改ざんについて」に関する追加情報
【今週のひとくちメモ】インターネットセキュリティの歴史 第15回 「『電子認証』関連法制度−電子署名・認証業法」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr081403.txt
https://www.jpcert.or.jp/wr/2008/wr081403.xml
【1】Apple QuickTime に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA08-094A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-094A.htmlUS-CERT Cyber Security Alert SA08-094A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-094A.html
概要
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工した画像やメディアファイルを閲覧させることで、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Apple Mac OS X 版 QuickTime 7.4.5 より前のバージョン - Microsoft Windows 版 QuickTime 7.4.5 より前のバージョン なお、iTunes など QuickTime を使用するソフトウェアをインストール している場合も影響を受けます。詳細については、Apple が提供する情 報を参照してください。 この問題は、Apple が提供する修正済みのバージョン 7.4.5 に QuickTime を更新することで解決します。
関連文書 (日本語)
Apple - サポート
QuickTime 7.4.5 のセキュリティコンテンツについて
http://support.apple.com/kb/HT1241?viewlocale=ja_JPApple - サポート
QuickTime
http://www.apple.com/jp/support/quicktime/Japan Vulnerability Notes JVNTA08-094A
Apple QuickTime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-094A/index.html
【2】Cisco Unified Communications 製品ファミリに認証を回避される脆弱性
情報源
CIAC Bulletin S-249
Cisco Unified Communications Disaster Recovery Framework Vulnerability
http://www.ciac.org/ciac/bulletins/s-249.shtml
概要
Cisco Unified Communications 製品ファミリの Disaster Recovery Framework (DRF) には、認証を回避される脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、管理者 権限で任意のコマンドを実行したりする可能性があります。 対象となる製品は次のとおりです。 - Cisco Unified Communications Manager (CUCM) 5.x および 6.x - Cisco Unified Communications Manager Business Edition - Cisco Unified Precense 1.x および 6.x - Cisco Emergency Responder 2.x - Cisco Mobility Manager 2.x この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。
関連文書 (英語)
Cisco Security Advisory 101129
Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a008096fd9a.shtml
【3】gcc がオーバーフロー検査のコードを省略する問題
情報源
US-CERT Vulnerability Note VU#162289
gcc silently discards some wraparound checks
http://www.kb.cert.org/vuls/id/162289
概要
gcc 4.2 およびそれ以降のバージョンでは、ポインタの加減算を行うコー ドブロックがコンパイラの最適化により省略されてしまう問題がありま す。結果として、オーバーフロー検査を行うオブジェクトコードが実行 プログラムに含まれないケースが発生する可能性があります。 2008年4月8日現在、この問題に対する修正プログラムは確認されており ません。 回避策としては、整数オーバーフロー検査をポインタ演算の前に行う、 型変換を使用する、該当するバージョンの gcc を使用しない、適切な コンパイラオプションを使用するなどの方法があります。詳細について は、上記情報源および下記関連文書を参照してください。
関連文書 (英語)
CERT Secure Coding
ARR38-C. Do not add or subtract an integer to a pointer if the resulting value does not refer to an element within the array
https://www.securecoding.cert.org/confluence/x/SgHm
【4】OpenSSH の X11 転送機能に脆弱性
情報源
OpenSSH
OpenSSH 5.0
http://www.openssh.com/txt/release-5.0
概要
OpenSSH には、X11 転送接続をローカルユーザにハイジャックされる脆 弱性があります。 対象となる製品は次のとおりです。 - OpenSSH 4.9/4.9p1 及びそれ以前 この問題は、OpenSSH が提供する修正済みのバージョン 5.0/5.0p1 に、 OpenSSH を更新することで解決します。
関連文書 (英語)
CVE
CVE - CVE-2008-1483 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1483
【5】HP OpenVMS TCP/IP Services の SSH サーバに脆弱性
情報源
CIAC Bulletin S-248
HP OpenVMS SSH Using TCP/IP Services for OpenVMS
http://www.ciac.org/ciac/bulletins/s-248.shtml
概要
HP OpenVMS TCP/IP Services の SSH サーバには、脆弱性があります。 結果として、遠隔の第三者がサーバに不正にアクセスする可能性があり ます。 対象となるプラットフォーム、製品およびバージョンは以下のとおりで す。 - HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.4 ECO 7 より前のバージョン - HP Integrity または HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.5 ECO 3 より前のバージョン - HP Integrity または HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.6 ECO 2 より前のバージョン この問題は、HP が提供するアップデートキットを適用することで解決 します。詳細については、HP が提供する情報を参照してください。
関連文書 (英語)
HP Support document c01414022
HPSBOV02278 SSRT071479 rev.1 - HP OpenVMS SSH Using TCP/IP Services for OpenVMS, Remote Unauthorized Access
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01414022
【6】「SQL インジェクションによる Web サイト改ざんについて」に関する追加情報
情報源
JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2008/at080005.txt
概要
JPCERT/CC REPORT 2008-03-19 で紹介した「SQL インジェクションによ る Web サイト改ざんについて」に関する追加情報です。 JPCERT/CC は、4月初から攻撃に使用されるドメインが変更されたこと を確認しています。この攻撃によって改ざんされた Web サイトを国内 外で複数確認されています。引き続き一連の攻撃が行われている可能性 がありますので、Web サイトの閲覧には十分ご注意下さい。
関連文書 (日本語)
注意喚起 【LAC|ラック】
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
関連文書 (英語)
US-CERT Current Activity
Compromised Websites Redirect Users to Malicious Websites
http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of
■今週のひとくちメモ
○インターネットセキュリティの歴史 第15回 「『電子認証』関連法制度−電子署名・認証業法」
2000年5月、「電子署名及び認証業務に関する法律」(電子署名・認証業 法) が成立し、翌 2001年4月から施行されました。 わが国においては、紙の文書にする署名や押印に関する一般的な法的要 件を定めた法令は存在しないため、諸外国の電子署名法のように、電子 署名に手書きの署名と同等の法的効果を与えるための法律が存在しなく ても、電子署名が付された電磁的記録を手書き署名や押印のある文書と 同等に扱うことに問題はありませんでした。わが国の法令において、手 書きの署名または押印のある文書に法的効果を与える唯一の規定であっ た、民事訴訟法の「文書の真正な成立の推定効」 (A さんの署名がされ ている文書は、それを覆す別の証拠がでてくるまでは、訴訟において、 A さんが自分の意思で作成した文書として取り扱われるという効果) に ついても、何が署名であり、何が押印であるかについての規定は存在し ないことから、電磁的記録についても、裁判官が署名の付された準文書 であるとの心証を形成することができれば足り、電磁的記録に契約書等 の文書と同等の効力を与えるために立法が不可欠であるという状況では ありませんでした。 しかしながら、当時の国際的な動向として、特に、手書きの署名等の要 件や効果が法定されている国々を中心に、電子署名に手書きの署名と同 等の法的効果を与えるための電子署名法の立法が相次いで行われていた ため、わが国において電子署名法の立法を行わない場合は、日本では電 子署名が手書き署名と同等に扱われないのではないかという誤解を生み、 国境を超えて行われる電子商取引の分野等においてわが国企業等の競争 的地位によくない影響が生じることが懸念されました。また、電子署名 を署名と同等に扱うことに法令上の障害が存在しないとしても、訴訟に おいて裁判官がどのような判断をするかの予見ができにくい状況では、 企業等が電磁的記録による契約等に二の足を踏んでしまうことも心配さ れました。 そこで、わが国の法令において、手書きの署名または押印に法的効果を 与える唯一の規定であった、民事訴訟法の「文書の真正な成立」の推定 効を、電子署名がされた電磁的記録にも与えることを内容とすることで 電子署名法の立法が行われたものです。 また、どのような電子署名がこのような推定効を与えられ得るかに関す る利用者の予見可能性の向上や、信頼できる電子証明書の発行業務(認 証業務)の基準を明らかにすることによる電子署名の利用促進を目的と して、「その方式に従って本人にしかできない電子署名」の要件や、認 証業務の認定制度が併せて規定されています。このため、わが国の電子 署名法は、「電子署名・認証業法」という略称でも分かるとおり、電子 署名の効果、要件のほかに、電子認証業務に関する規定が多く盛り込ま れたものとなっています。
参考文献 (日本語)
高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)
http://www.kantei.go.jp/jp/singi/it2/index.html電子署名及び認証業務に関する法律の概要
http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf電子署名・電子認証ホームページ
http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/