-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-2901 JPCERT/CC 2008-07-30 <<< JPCERT/CC REPORT 2008-07-30 >>> ―――――――――――――――――――――――――――――――――――――― ■07/20(日)〜07/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 【2】「Mozilla 製品群に脆弱性」に関する追加情報 【3】NetApp の Data ONTAP に複数の脆弱性 【4】複数のセンチュリー・システムズ製ルータにクロスサイトリクエストフォージェリの脆弱性 【5】K's CGI 製アクセスログ解析にクロスサイトスクリプティングの脆弱性 【6】Geeklog Forum Plugin にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】インターネットセキュリティの歴史 第18回 「個人情報保護法」(上) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr082901.html http://www.jpcert.or.jp/wr/2008/wr082901.xml ============================================================================ 【1】[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性 情報源 JPCERT-AT-2008-0014 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2008/at080014.txt 概要 JPCERT/CC REPORT 2008-07-16 号【2】で紹介した「複数の DNS 実装に キャッシュポイズニングの脆弱性」の続報です。 本脆弱性の詳細は海外のセキュリティ研究者により 2008年8月に公表さ れる予定でしたが、当初の予定より早く 2008年7月22日に攻撃手法が公 開されました。さらに 2008年7月24日、本脆弱性を狙った攻撃ツールが 公開されました。このため、近日中に本脆弱性を狙った攻撃が発生する 可能性が高まりました。 対象となる製品は以下の通りです。 - ISC BIND (BIND 8 を含む) - Microsoft DNS サーバ - 複数の Cisco 製品 - 複数の Juniper 製品 (Netscreen 社製品を含む) - YAMAHA RT シリーズ - 古河電工 FITELnet シリーズの一部 - センチュリー・システムズ XR シリーズ システム管理者は、各製品ベンダが提供する修正済ソフトウエアを早急 に適用してください。これによりクエリーのソースポートがランダムに なり、キャッシュポイズニング攻撃の危険性が大幅に低減します。 またその際には以下の点にご注意下さい。 1. 一部 Linux ディストリビューション上で BIND を使用している場合、 バージョンアップ後に設定を変更しないとキャッシュポイズニング 対策として不十分です。named.conf に DNS クエリーのソースポー トを固定する設定が行われていないことを確認してください。 2. BIND においてバージョンアップ後に動作が不安定になる現象が確認 されています。事前に十分な動作確認をおこなってください。 3. DNS サーバをルータ等のゲートウェイ機器の内側に設置している場 合、NAT/NAPT 機能によってソースポートがランダムでなくなり、パッ チによる効果が無くなる可能性があります。ゲートウェイ機器の NAT/NAPT 機能を確認する、DMZ に設置するなどの DNS サーバの設 置環境の見直しをご検討ください。 関連文書 (日本語) JPCERT/CC REPORT 2008-07-16 【2】複数の DNS 実装にキャッシュポイズニングの脆弱性 http://www.jpcert.or.jp/wr/2008/wr082701.html#2 Japan Vulnerability Notes JVNVU#800113 複数の DNS 実装にキャッシュポイズニングの脆弱性 http://jvn.jp/cert/JVNVU800113/index.html DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して) http://www.nttv6.net/files/DKA-20080723.pdf JPRS (緊急)複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について(続報) http://jprs.jp/tech/security/multiple-dns-vuln-cache-poisoning-update.html 【2】「Mozilla 製品群に脆弱性」に関する追加情報 情報源 Mozilla Thunderbird 2.0.0.16 リリースノート http://mozilla.jp/thunderbird/2.0.0.16/releasenotes/ 概要 JPCERT/CC REPORT 2008-07-24【1】で紹介した「Mozilla 製品群に脆弱 性」に関する追加情報です。 Thunderbird の修正済みのバージョン 2.0.0.16 が提供されました。詳 細については、OS のベンダや配布元が提供する情報を参照してくださ い。 関連文書 (日本語) JPCERT/CC REPORT 2008-07-24 【1】Mozilla 製品群に脆弱性 http://www.jpcert.or.jp/wr/2008/wr082801.html#1 【3】NetApp の Data ONTAP に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#329772 NetApp Data ONTAP contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/329772 概要 NetApp の Data ONTAP には、複数の脆弱性があります。結果として、 遠隔の第三者が任意のコマンドを実行したり、機密情報を取得したり、 システムをクラッシュさせたりする可能性があります。 この問題は、NetApp が提供する修正済みのバージョンに Data ONTAP を更新することで解決します。詳細については、NetApp あるいは OEM 先が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#329772 NetApp Data ONTAP における複数の脆弱性 http://jvn.jp/cert/JVNVU329772/index.html 関連文書 (英語) NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.2.5.1 http://now.netapp.com/NOW/products/cpc/cpc0807-01.shtml NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.0.7 http://now.netapp.com/NOW/products/cpc/cpc0807-02.shtml NetApp (登録が必要です) Announcing the Availability of Data ONTAP 7.1.3 http://now.netapp.com/NOW/products/cpc/cpc0807-03.shtml 【4】複数のセンチュリー・システムズ製ルータにクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#67573833 複数のセンチュリー・システムズ株式会社製ルータにおけるクロスサイトリクエストフォージェリの脆弱性 http://jvn.jp/jp/JVN67573833/index.html 概要 複数のセンチュリー・システムズ製ルータには、クロスサイトリクエス トフォージェリの脆弱性があります。結果として、遠隔の第三者がパス ワードなどの設定を変更する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - XR-410 ver1.6.8 およびそれ以前 - XR-440 ver1.7.7 およびそれ以前 - XR-510 ver3.5.0 およびそれ以前 - XR-540 ver3.5.2 およびそれ以前 - XR-640 ver1.6.7 およびそれ以前 - XR-730 ver3.5.0 およびそれ以前 - XR-1100 ver1.6.2 およびそれ以前 - XR-410-L2 ver1.6.1 およびそれ以前 - XR-640-L2 ver1.6.1 およびそれ以前 この問題は、センチュリー・システムズが提供する修正済みのバージョ ンに、該当する製品のファームウェアを更新することで解決します。な お、2008年7月29日現在、一部の製品のファームウェアについては、修 正済みのバージョンが提供されていません。センチュリー・システムズ によると近日公開予定であると報告されています。詳細については、セ ンチュリー・システムズが提供する情報を参照してください。 関連文書 (日本語) センチュリー・システムズ株式会社 XRシリーズの設定画面におけるクロスサイト・リクエスト・フォージェリの脆弱性について http://www.centurysys.co.jp/support/xr_common/JVN67573833.html 【5】K's CGI 製アクセスログ解析にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#46869708 K's CGI 製アクセスログ解析(jcode.pl版) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN46869708/index.html Japan Vulnerability Notes JVN#72065744 K's CGI 製アクセスログ解析(Jcode.pm版) におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN72065744/index.html 概要 K's CGI 製アクセスログ解析の analysis.cgi には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - アクセスログ解析 (jcode.pl 版) の analysis.cgi Ver.1.44 および それ以前 - アクセスログ解析 (Jcode.pm 版) の analysis.cgi Ver.1.44 および それ以前 この問題は、K's CGI が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、K's CGI が提供する 情報を参照してください。 関連文書 (日本語) K's CGI アクセスログ解析(jcode.pl版)ページ http://www.kumacchi.com/cgiroom/cgis/accesslog/accesslog.html K's CGI アクセスログ解析(Jcode.pm版)ページ http://www.kumacchi.com/cgiroom/cgis/accesslogex/accesslogex.html 【6】Geeklog Forum Plugin にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#60419863 Geeklog Forum Plugin におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN60419863/index.html 概要 コンテンツ管理システム Geeklog の掲示板プラグイン Geeklog Forum Plugin には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります 対象となるバージョンは以下の通りです。 - Geeklog Forum Plugin 2.7 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに Geeklog Forum Plugin を更新することで解決します。詳細については、配布元が提供 する情報を参照してください。 関連文書 (日本語) Geeklog Japanese 掲示板プラグインに脆弱性 http://www.geeklog.jp/article.php/20080723010954675 関連文書 (英語) PortalParts.com Forum Plugin Version 2.7.1 - Security Fix http://www.portalparts.com/article.php?story=20080719084735929 Geeklog Forum Plugin Version 2.7.1 - Security Fix http://www.geeklog.net/article.php/20080719093147449 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第18回 「個人情報保護法」(上) わが国の個人情報保護法制は、1973年に徳島市「電子計算組織運営審議 会条例」が制定されたのを皮切りに、地方公共団体による一連の条例制 定からスタートしたといえます。OECD の「プライバシーガイドライン」 が採択された1980年には、既に、49 の地方公共団体が個人情報保護条 例を制定していました。 国レベルでは、 - 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法 律 (1988年公布) が制定されたのが最初になります。当時は、民間部門の規制は時期尚早 との判断に基づき、行政機関に対象を絞り、かつ、コンピュータによっ て処理される「個人情報ファイル」のみを対象とした法制とされました。 その一方で、当時、民間事業者による個人情報の無断収集・利用が問題 となっていたことから、1989年に、通商産業省(当時)の情報化対策委 員会個人情報保護部会が、 - 民間部門における電子計算機処理に係る個人情報の保護についての指 針 を公表しました。この指針は、1997年に - 民間部門における電子計算機処理に係る個人情報の保護に関するガイ ドライン (平成9年通商産業省告示98号) に全面改正され、以後、個人情報保護法が制定されるまで、企業や団体 がガイドラインを制定したり、取り扱いルールを定めたりする際の参考 とされていました。 この後、インターネット社会の進展、住民基本台帳法ネットワークの構 築、EU 個人情報保護指令への対応や、個人情報漏洩事件の多発を背景 に、個人情報保護法立法に向けた本格的な検討が開始されることになり ます。 参考文献 (日本語) 内閣府 個人情報保護トップページ http://www5.cao.go.jp/seikatsu/kojin/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSI/Hx4x1ay4slNTtAQhHxwP8CjtsEcCAmcubE1ObnQHgqPShWUrUcz09 v92T1H+e1cka62W6KRwR2s9uhftIUbuWMYwdm5fD68oqna66erLE/M7qItKQKavq KzM9YSpVom6MlcNi8c/mswhWYAKZfPDwnauCLeKZbcEHJwvKSXV/RgZyInM+yVKv ogi8hiuaIFg= =dVqq -----END PGP SIGNATURE-----