-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-0101 JPCERT/CC 2009-01-07 <<< JPCERT/CC REPORT 2009-01-07 >>> ―――――――――――――――――――――――――――――――――――――― ■12/21(日)〜01/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft SQL Server に脆弱性 【2】Trend Micro HouseCall ActiveX コントロールに複数の脆弱性 【3】Mayaa にクロスサイトスクリプティングの脆弱性 【4】サッポロワークスの BlackJumboDog に脆弱性 【5】MD5 を使用した X.509 証明書に偽造の可能性 【今週のひとくちメモ】インターネットセキュリティの歴史 第24回「ボットネット」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr090101.html http://www.jpcert.or.jp/wr/2009/wr090101.xml ============================================================================ 【1】Microsoft SQL Server に脆弱性 情報源 US-CERT Vulnerability Note VU#696644 Microsoft SQL Server fails to properly validate parameters to the sp_replwriterovarbin extended stored procedure http://www.kb.cert.org/vuls/id/696644 US-CERT Current Activity Archive Microsoft Releases Security Advisory (961040) http://www.us-cert.gov/current/archive/2008/12/23/archive.html#microsoft_releases_security_advisory_961040 概要 Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシー ジャのパラメータ処理に脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行する可能性があります。なお、本脆弱性に関する 実証コードが既に公開されています。 対象となる製品およびバージョンは以下の通りです。 - Microsoft SQL Server 2000 Service Pack 4 - Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4 - Microsoft SQL Server 2005 Service Pack 2 - Microsoft SQL Server 2005 x64 Edition Service Pack 2 - Microsoft SQL Server 2005 with SP2 for Itanium-based Systems - Microsoft SQL Server 2005 Express Edition Service Pack 2 - Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2 - Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4 - Microsoft SQL Server 2000 Desktop Engine (WMSDE) - Windows Internal Database (WYukon) Service Pack 2 2009年1月6日現在、この問題に対する修正プログラムは提供されていま せん。回避策としては、sp_replwritetovarbin 拡張ストアド プロシー ジャへのアクセスを拒否するなどの方法があります。詳細については、 Microsoft が提供する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (961040) SQL Server の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/961040.mspx Japan Vulnerability Notes JVNVU#696644 Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性 http://jvn.jp/cert/JVNVU696644/index.html @police SQL Server の脆弱性について http://www.cyberpolice.go.jp/important/2008/20081223_125244.html 関連文書 (英語) Microsoft Security Vulnerability Research & Defense More information about the SQL stored procedure vulnerability http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-procedure-vulnerability.aspx 【2】Trend Micro HouseCall ActiveX コントロールに複数の脆弱性 情報源 US-CERT Vulnerability Note VU#702628 Trend Micro HouseCall ActiveX control notifyOnLoadNative() uses previously free'd memory http://www.kb.cert.org/vuls/id/702628 US-CERT Vulnerability Note VU#541025 Trend Micro HouseCall ActiveX control does not adequately validate update server parameters http://www.kb.cert.org/vuls/id/541025 US-CERT Current Activity Archive Trend Micro Releases Updates for HouseCall http://www.us-cert.gov/current/archive/2008/12/23/archive.html#trend_micro_releases_updates_for 概要 Trend Micro HouseCall ActiveX コントロールには、複数の脆弱性があ ります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させる ことで該当する ActiveX コントロールを使用しているユーザの権限で 任意のコードを実行したり、任意のファイルを書き込んだりする可能性 があります。 対象となるバージョンは以下の通りです。 - Trend Micro HouseCall ActiveX コントロール 6.6.0.1285 より前の バージョン この問題は、Trend Micro が提供する修正済みのバージョンに HouseCall ActiveX コントロールを更新することで解決します。 関連文書 (英語) Trend Micro [Hot Fix] B1285 - Trend Micro HouseCall 6.6 ActiveX Control"notifyOnLoadNative()" Vulnerability http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1038646&id=EN-1038646 【3】Mayaa にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#17298485 Mayaa におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN17298485/index.html 概要 Seasar プロジェクトが提供する Mayaa の標準のエラー画面には、クロ スサイトスクリプティングの脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Mayaa 1.1.22 およびそれ以前 この問題は、Seasar プロジェクトが提供する修正済みのバージョンに Mayaa を更新することで解決します。 関連文書 (日本語) Mayaa Mayaa 1.1.22 以前にクロスサイトスクリプティングの脆弱性 http://mayaa.seasar.org/news/vulnerability20081225.html 【4】サッポロワークスの BlackJumboDog に脆弱性 情報源 Japan Vulnerability Notes JVN#98063934 BlackJumboDog における認証回避の脆弱性 http://jvn.jp/jp/JVN98063934/index.html 概要 サッポロワークスのイントラネット用簡易サーバ機能を持つソフトウェ ア BlackJumboDog には、脆弱性があります。結果として、遠隔の第三 者が BlackJumboDog の認証機能を回避する可能性があります。 対象となるバージョンは以下の通りです。 - BlackJumboDog Ver4.2.2 およびそれ以前 この問題は、サッポロワークスが提供する修正済みのバージョンに BlackJumboDog を更新することで解決します。 関連文書 (日本語) サッポロワークス BJDのWebサーバの認証機能に重大なセキュリティ問題 http://homepage2.nifty.com/spw/info/secure2.html 【5】MD5 を使用した X.509 証明書に偽造の可能性 情報源 US-CERT Vulnerability Note VU#836068 MD5 vulnerable to collision attacks http://www.kb.cert.org/vuls/id/836068 US-CERT Current Activity Archive Rogue MD5 SSL Certificate Vulnerability http://www.us-cert.gov/current/archive/2008/12/31/archive.html#md5_hashing_algorithm_vulnerability 概要 MD5 の collision attack を使用して、X.509 証明書の偽造に成功した という研究発表が行われました。この攻撃により、攻撃者はオリジナル の証明書と同一の署名を持つ、別の証明書を生成する可能性があります。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (961509) 研究機関によるMD5対する衝突攻撃(collision attack)の実現可能性にの実証に関して https://www.microsoft.com/japan/technet/security/advisory/961509.mspx 関連文書 (英語) Mozilla Security Blog MD5 Weaknesses Could Lead to Certificate Forgery http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/ Tim Callan's SSL Blog This morning's MD5 attack - resolved https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第24回「ボットネット」 2004年ころから「ボット」や「ボットネット」への注目が高まってきま した。ボットという名前は IRC の自動対話プログラムが「bot」と呼ば れていたことに由来します。その名前の由来から分かるとおり、ボット の最大の特徴はユーザの PC に感染した後に定期的に C&C (Command and Control) サーバと呼ばれるコンピュータと対話を行い、 ハーダー (Herder) と呼ばれるボットネット管理者からの指示に従って 動作する点にあります。一般に何百〜何千という数のボットに感染した マシン群とその C&C サーバをまとめて、ボットネットと呼びます。 ハーダーはボットネットを使いスパム送信や DDoS 攻撃などを行います。 また、ハーダーは管理するボットネットを迷惑メール送信者などに貸し 出すビジネスも行っています。 現在も進化を続けるボット及びボットネットに対して、国内外で様々な 対策が行われています。たとえばアメリカでは FBI によって 「Operation Bot Roast」というプロジェクトが行われ、大規模なボッ トネットの管理者を逮捕しています。日本では、2006年から総務省およ び経済産業省が共同でサイバークリーンセンタープロジェクトというボッ ト感染者を減らすための試みを行っています。 参考文献 (日本語) サイバークリーンセンター https://www.ccc.go.jp/ @police 平成17 年下半期(7〜12 月)におけるbotnet 観測システム観測結果 http://www.cyberpolice.go.jp/detect/pdf/20060316_botnet.pdf 参考文献 (英語) Federal Bureau of Investigation OPERATION: BOT ROAST http://www.fbi.gov/page2/june07/botnet061307.htm ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSWQDfox1ay4slNTtAQhbtgQAnjzsui881VXPCwMvFEMkOePcpIeMe/te 3Q8h5READMmTa4DPXr/YAdYVqsKTH/yD1Jym6NE4qODFNy0fCjd6loj63cw8OdgY vp87MlzakOPz8eOuiCpceokQzC7VZQfTNIchK72lkVfENuIZ55KHjMNPjTgLI2dm 6c1g6mg4l3M= =8B2/ -----END PGP SIGNATURE-----