<<< JPCERT/CC WEEKLY REPORT 2008-09-10 >>>
■08/31(日)〜09/06(土) のセキュリティ関連情報
目 次
【1】Google Apps 向け SAML Single Sign-On (SSO) Service に脆弱性
【2】NetBSD の ICMPv6 MLD クエリパケットの処理に脆弱性
【3】ディーアイシー製 shop_v50 および shop_v52 にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】DNSSEC Lookaside Validation (DLV)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr083502.txt
https://www.jpcert.or.jp/wr/2008/wr083502.xml
【1】Google Apps 向け SAML Single Sign-On (SSO) Service に脆弱性
情報源
US-CERT Vulnerability Note VU#612636
Google SAML Single Sign on vulnerability
http://www.kb.cert.org/vuls/id/612636
概要
Google Apps 向けの SAML Single Sign-On (SSO) Service には、認証 処理に起因する脆弱性がありました。結果として、サービスプロバイダ が自身のサイトにユーザをログインさせることができた場合には、その ユーザの Google アカウントへのアクセスや、他のサービスプロバイダ へのなりすまし攻撃が可能になっていました。 Google は、既に修正済みの SAML SSO Service を提供しています。
関連文書 (英語)
Google Apps APIs
SAML Single Sign-On (SSO) Service for Google Apps
http://code.google.com/apis/apps/sso/saml_reference_implementation.html
【2】NetBSD の ICMPv6 MLD クエリパケットの処理に脆弱性
情報源
US-CERT Vulnerability Note VU#817940
NetBSD malformed ICMPv6 MLD-QUERY denial of service
http://www.kb.cert.org/vuls/id/817940
概要
NetBSD の ICMPv6 MLD クエリパケットの処理には脆弱性があります。 結果として、同一セグメント上の第三者が、細工した ICMPv6 MLD クエ リパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行う可 能性があります。 対象となるバージョンは以下の通りです。 - NetBSD 4.0 - NetBSD-current August 22, 2008 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに NetBSD を更新 することで解決します。詳細については、配布元が提供する情報を参照 してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#817940
NetBSD の MLD query パケット処理にサービス運用妨害(DoS)の脆弱性
http://jvn.jp/cert/JVNVU817940/index.html
関連文書 (英語)
NetBSD Security Advisory 2008-011
ICMPv6 MLD query
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-011.txt.asc
【3】ディーアイシー製 shop_v50 および shop_v52 にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#79914432
株式会社ディーアイシー製 shop_v50 および shop_v52 におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN79914432/index.html
概要
ディーアイシーのショッピングカート用ソフトウェア shop_v50 および shop_v52 には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを 実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - shop_v50 バージョン3.0 およびそれ以前 - shop_v52 バージョン2.0 およびそれ以前 この問題は、ディーアイシーが提供する修正済みのバージョンに該当す る製品を更新することで解決します。
関連文書 (日本語)
ディーアイシー
shop_v50
http://www.d-ic.com/free/05/shop_v50.htmlディーアイシー
shop_v52
http://www.d-ic.com/free/05/shop_v52.html
■今週のひとくちメモ
○DNSSEC Lookaside Validation (DLV)
DNSSEC では、各ゾーンの権威 (authoritative) サーバが使う鍵は上位 ゾーンの権威サーバによって署名され保証されます。 DNS ツリーのルート以下全てのゾーンが DNSSEC に対応していれば、リ ゾルバが持つべき鍵はルートゾーンの署名に使われる鍵ひとつとなりま す。しかし DNSSEC が普及していない現状では、DNSSEC に対応してい る個々のゾーンの鍵を各リゾルバが持っておく必要があり、DNSSEC に 対応したゾーンが増えればそれだけ鍵の管理の手間も大きくなります。 このような状況に対応するための暫定的な仕組みとして、ISC (Internet Systems Consortium) では DNSSEC Lookaside Validation (DLV) という技術を提唱しています。 DLV に対応したリゾルバは、上位のゾーンで提供されるべき DS (Delegation Signer) レコードが見つからない場合に、あらかじめ設定 しておいたドメインから DLV レコードを参照して DS レコードの代わ りに使います。このようにして、トップレベルドメインまで DNSSEC 対 応が完了していない状態でも、リゾルバ側ではごく少数の鍵を持つだけ で署名を検証できるようにする仕組みを実現しています。 ISC では、BIND のバージョン 9.3.3 以降で DLV に対応するとともに、 DLV Registry を運用しています。
参考文献 (日本語)
JPCERT/CC REPORT 2008-09-03
【今週のひとくちメモ】DNSSEC (Domain Name System Security Extensions)
http://www.jpcert.or.jp/wr/2008/wr083401.html#Memo
参考文献 (英語)
ISC
ISC's DLV registry
https://secure.isc.org/ops/dlv/RFC4431: The DNSSEC Lookaside Validation (DLV) DNS Resource Record
http://tools.ietf.org/html/rfc4431RFC5074: DNSSEC Lookaside Validation (DLV)
http://tools.ietf.org/html/rfc5074
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/