-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-1403 JPCERT/CC 2008-04-09 <<< JPCERT/CC REPORT 2008-04-09 >>> ―――――――――――――――――――――――――――――――――――――― ■03/30(日)〜04/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple QuickTime に複数の脆弱性 【2】Cisco Unified Communications 製品ファミリに認証を回避される脆弱性 【3】gcc がオーバーフロー検査のコードを省略する問題 【4】OpenSSH の X11 転送機能に脆弱性 【5】HP OpenVMS TCP/IP Services の SSH サーバに脆弱性 【6】「SQL インジェクションによる Web サイト改ざんについて」に関する追加情報 【今週のひとくちメモ】インターネットセキュリティの歴史 第15回 「『電子認証』関連法制度−電子署名・認証業法」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr081403.html http://www.jpcert.or.jp/wr/2008/wr081403.xml ============================================================================ 【1】Apple QuickTime に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA08-094A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-094A.html US-CERT Cyber Security Alert SA08-094A Apple QuickTime Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-094A.html 概要 Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工した画像やメディアファイルを閲覧させることで、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となる製品は以下の通りです。 - Apple Mac OS X 版 QuickTime 7.4.5 より前のバージョン - Microsoft Windows 版 QuickTime 7.4.5 より前のバージョン なお、iTunes など QuickTime を使用するソフトウェアをインストール している場合も影響を受けます。詳細については、Apple が提供する情 報を参照してください。 この問題は、Apple が提供する修正済みのバージョン 7.4.5 に QuickTime を更新することで解決します。 関連文書 (日本語) Apple - サポート QuickTime 7.4.5 のセキュリティコンテンツについて http://support.apple.com/kb/HT1241?viewlocale=ja_JP Apple - サポート QuickTime http://www.apple.com/jp/support/quicktime/ Japan Vulnerability Notes JVNTA08-094A Apple QuickTime における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-094A/index.html 【2】Cisco Unified Communications 製品ファミリに認証を回避される脆弱性 情報源 CIAC Bulletin S-249 Cisco Unified Communications Disaster Recovery Framework Vulnerability http://www.ciac.org/ciac/bulletins/s-249.shtml 概要 Cisco Unified Communications 製品ファミリの Disaster Recovery Framework (DRF) には、認証を回避される脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、管理者 権限で任意のコマンドを実行したりする可能性があります。 対象となる製品は次のとおりです。 - Cisco Unified Communications Manager (CUCM) 5.x および 6.x - Cisco Unified Communications Manager Business Edition - Cisco Unified Precense 1.x および 6.x - Cisco Emergency Responder 2.x - Cisco Mobility Manager 2.x この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。 関連文書 (英語) Cisco Security Advisory 101129 Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a008096fd9a.shtml 【3】gcc がオーバーフロー検査のコードを省略する問題 情報源 US-CERT Vulnerability Note VU#162289 gcc silently discards some wraparound checks http://www.kb.cert.org/vuls/id/162289 概要 gcc 4.2 およびそれ以降のバージョンでは、ポインタの加減算を行うコー ドブロックがコンパイラの最適化により省略されてしまう問題がありま す。結果として、オーバーフロー検査を行うオブジェクトコードが実行 プログラムに含まれないケースが発生する可能性があります。 2008年4月8日現在、この問題に対する修正プログラムは確認されており ません。 回避策としては、整数オーバーフロー検査をポインタ演算の前に行う、 型変換を使用する、該当するバージョンの gcc を使用しない、適切な コンパイラオプションを使用するなどの方法があります。詳細について は、上記情報源および下記関連文書を参照してください。 関連文書 (英語) CERT Secure Coding ARR38-C. Do not add or subtract an integer to a pointer if the resulting value does not refer to an element within the array https://www.securecoding.cert.org/confluence/x/SgHm 【4】OpenSSH の X11 転送機能に脆弱性 情報源 OpenSSH OpenSSH 5.0 http://www.openssh.com/txt/release-5.0 概要 OpenSSH には、X11 転送接続をローカルユーザにハイジャックされる脆 弱性があります。 対象となる製品は次のとおりです。 - OpenSSH 4.9/4.9p1 及びそれ以前 この問題は、OpenSSH が提供する修正済みのバージョン 5.0/5.0p1 に、 OpenSSH を更新することで解決します。 関連文書 (英語) CVE CVE - CVE-2008-1483 (under review) http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1483 【5】HP OpenVMS TCP/IP Services の SSH サーバに脆弱性 情報源 CIAC Bulletin S-248 HP OpenVMS SSH Using TCP/IP Services for OpenVMS http://www.ciac.org/ciac/bulletins/s-248.shtml 概要 HP OpenVMS TCP/IP Services の SSH サーバには、脆弱性があります。 結果として、遠隔の第三者がサーバに不正にアクセスする可能性があり ます。 対象となるプラットフォーム、製品およびバージョンは以下のとおりで す。 - HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.4 ECO 7 より前のバージョン - HP Integrity または HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.5 ECO 3 より前のバージョン - HP Integrity または HP Alpha 向け OpenVMS の TCP/IP Services for OpenVMS v5.6 ECO 2 より前のバージョン この問題は、HP が提供するアップデートキットを適用することで解決 します。詳細については、HP が提供する情報を参照してください。 関連文書 (英語) HP Support document c01414022 HPSBOV02278 SSRT071479 rev.1 - HP OpenVMS SSH Using TCP/IP Services for OpenVMS, Remote Unauthorized Access http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01414022 【6】「SQL インジェクションによる Web サイト改ざんについて」に関する追加情報 情報源 JPCERT/CC Alert 2008-03-14 SQL インジェクションによる Web サイト改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2008/at080005.txt 概要 JPCERT/CC REPORT 2008-03-19 で紹介した「SQL インジェクションによ る Web サイト改ざんについて」に関する追加情報です。 JPCERT/CC は、4月初から攻撃に使用されるドメインが変更されたこと を確認しています。この攻撃によって改ざんされた Web サイトを国内 外で複数確認されています。引き続き一連の攻撃が行われている可能性 がありますので、Web サイトの閲覧には十分ご注意下さい。 関連文書 (日本語) 注意喚起 【LAC|ラック】 日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について http://www.lac.co.jp/news/press20080312.html 関連文書 (英語) US-CERT Current Activity Compromised Websites Redirect Users to Malicious Websites http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第15回 「『電子認証』関連法制度−電子署名・認証業法」 2000年5月、「電子署名及び認証業務に関する法律」(電子署名・認証業 法) が成立し、翌 2001年4月から施行されました。 わが国においては、紙の文書にする署名や押印に関する一般的な法的要 件を定めた法令は存在しないため、諸外国の電子署名法のように、電子 署名に手書きの署名と同等の法的効果を与えるための法律が存在しなく ても、電子署名が付された電磁的記録を手書き署名や押印のある文書と 同等に扱うことに問題はありませんでした。わが国の法令において、手 書きの署名または押印のある文書に法的効果を与える唯一の規定であっ た、民事訴訟法の「文書の真正な成立の推定効」 (A さんの署名がされ ている文書は、それを覆す別の証拠がでてくるまでは、訴訟において、 A さんが自分の意思で作成した文書として取り扱われるという効果) に ついても、何が署名であり、何が押印であるかについての規定は存在し ないことから、電磁的記録についても、裁判官が署名の付された準文書 であるとの心証を形成することができれば足り、電磁的記録に契約書等 の文書と同等の効力を与えるために立法が不可欠であるという状況では ありませんでした。 しかしながら、当時の国際的な動向として、特に、手書きの署名等の要 件や効果が法定されている国々を中心に、電子署名に手書きの署名と同 等の法的効果を与えるための電子署名法の立法が相次いで行われていた ため、わが国において電子署名法の立法を行わない場合は、日本では電 子署名が手書き署名と同等に扱われないのではないかという誤解を生み、 国境を超えて行われる電子商取引の分野等においてわが国企業等の競争 的地位によくない影響が生じることが懸念されました。また、電子署名 を署名と同等に扱うことに法令上の障害が存在しないとしても、訴訟に おいて裁判官がどのような判断をするかの予見ができにくい状況では、 企業等が電磁的記録による契約等に二の足を踏んでしまうことも心配さ れました。 そこで、わが国の法令において、手書きの署名または押印に法的効果を 与える唯一の規定であった、民事訴訟法の「文書の真正な成立」の推定 効を、電子署名がされた電磁的記録にも与えることを内容とすることで 電子署名法の立法が行われたものです。 また、どのような電子署名がこのような推定効を与えられ得るかに関す る利用者の予見可能性の向上や、信頼できる電子証明書の発行業務(認 証業務)の基準を明らかにすることによる電子署名の利用促進を目的と して、「その方式に従って本人にしかできない電子署名」の要件や、認 証業務の認定制度が併せて規定されています。このため、わが国の電子 署名法は、「電子署名・認証業法」という略称でも分かるとおり、電子 署名の効果、要件のほかに、電子認証業務に関する規定が多く盛り込ま れたものとなっています。 参考文献 (日本語) 高度情報通信ネットワーク社会推進戦略本部(IT戦略本部) http://www.kantei.go.jp/jp/singi/it2/index.html 電子署名及び認証業務に関する法律の概要 http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf 電子署名・電子認証ホームページ http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSA2NLYx1ay4slNTtAQiw6AP+ObD8nwZL57zT4a6VzVkYUkQ40Sc822/4 ifysBIiurQk7DR//a7mP7xjx8GWr26G1X8OzisyiUge7tSlj4zvAMmKwWmQvlw0r AhgUUB1lI0Nz2It8jnP//gZ3ZqSiCrAAjZqrJcbfYldDmptWdKZr3cNd8asFYYYa zJPbkSYpOqI= =Fhhl -----END PGP SIGNATURE-----