-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-1301 JPCERT/CC 2009-04-01 <<< JPCERT/CC REPORT 2009-04-01 >>> ―――――――――――――――――――――――――――――――――――――― ■03/22(日)〜03/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Windows を標的とする Conficker ワーム 【2】Java Runtime Environment (JRE) に複数の脆弱性 【3】Cisco IOS に複数の脆弱性 【4】OpenSSL に複数の脆弱性 【5】Sun Java System Identity Manager に複数の脆弱性 【6】pam-krb5 に脆弱性 【7】IBM Access Support ActiveX コントロールにバッファオーバーフローの脆弱性 【今週のひとくちメモ】インターネットセキュリティの歴史 第28回「DNS アンプによる DDoS 攻撃」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr091301.html http://www.jpcert.or.jp/wr/2009/wr091301.xml ============================================================================ 【1】Microsoft Windows を標的とする Conficker ワーム 情報源 US-CERT Technical Cyber Security Alert TA09-088A Conficker Worm Targets Microsoft Windows Systems http://www.us-cert.gov/cas/techalerts/TA09-088A.html 概要 JPCERT/CC では Conficker ワームの大規模な感染活動を観測していま す。Conficker ワームは MS08-067 を適用していない Windows に USB ドライブ やネットワーク共有などを使用して感染します。 Conficker ワームの一部は 2009年4月1日以降に新たな活動を行うという 情報があり、注意が必要です。 Conficker ワームの感染を防ぐため、Microsoft Update の実施とウイ ルス対策ソフトの使用を徹底してください。また感染した PC を復旧す る手順をいくつかのセキュリティベンダーなどが提供しています。詳細 については、下記関連文書を参照してください。 関連文書 (日本語) Microsoft サポートオンライン Win32/Conficker.B ワームに関するウイルス対策情報 http://support.microsoft.com/kb/962007 マイクロソフト セキュリティ Conficker コンピューター ワームから身を守る http://www.microsoft.com/japan/protect/computer/viruses/worms/conficker.mspx JPCERT/CC Alert 2009-02-05 [続報]TCP 445番ポートへのスキャン増加に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090002.txt 関連文書 (英語) Symantec W32.Downadup Removal Tool http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99 【2】Java Runtime Environment (JRE) に複数の脆弱性 情報源 US-CERT Current Activity Archive Sun Releases Updates for Java SE http://www.us-cert.gov/current/archive/2009/03/26/archive.html#sun_releases_updates_for_java2 概要 Java Runtime Environment (JRE) には、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があり ます。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 12 およびそれ以前 - JDK/JRE 5.0 Update 17 およびそれ以前 - SDK/JRE 1.4.2_19 およびそれ以前 - SDK/JRE 1.3.1_24 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 なお、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。今後修正プログラムは提供されません。後継のバー ジョンへの対応をおすすめします。 関連文書 (英語) Sun Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u13.html Sun Alert 254569 Security Vulnerabilities in the Java Runtime Environment (JRE) LDAP Implementation may Allow a Denial of Service (DoS) and Malicious Code to be Executed http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1 Sun Alert 254570 Integer and Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) "unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1 Sun Alert 254571 Buffer Overflow Vulnerabilities in the Java Runtime Environment (JRE) with Processing Image Files and Fonts may Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1 Sun Alert 254608 Security Vulnerabilities in the Java Runtime Environment (JRE) With Storing and Processing Font Files May Allow Denial of Service (DOS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1 Sun Alert 254609 A Security Vulnerability in the Java Runtime Environment (JRE) HTTP Server Implementation May Allow a Denial of Service (DoS) Condition on a JAX-WS Service Endpoint http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1 Sun Alert 254610 A Security Vulnerability in the Java Runtime Environment (JRE) Virtual Machine With Code Generation May Allow Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1 Sun Alert 254611 Multiple Security Vulnerabilities in Java Plug-in May Allow Privileges to be Escalated http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1 【3】Cisco IOS に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Multiple Security Advisories for IOS Vulnerabilities http://www.us-cert.gov/current/archive/2009/03/25/archive.html#cisco_releases_multiple_security_advisory 概要 Cisco IOS には、複数の脆弱性があります。結果として、遠隔の第三者 が機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、 権限を昇格したりする可能性があります。 この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を 更新することで解決します。対象となる製品は広範囲に及びます。詳細 については、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory 109314 Cisco IOS cTCP Denial of Service Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-ctcp.shtml Cisco Security Advisory 109322 Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-sip.shtml Cisco Security Advisory 109323 Cisco IOS Software Secure Copy Privilege Escalation Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-scp.shtml Cisco Security Advisory 109487 Cisco IOS Software Mobile IP and Mobile IPv6 Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20090325-mobileip.shtml Cisco Security Advisory 107397 Cisco IOS Software WebVPN and SSLVPN Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20090325-webvpn.shtml Cisco Security Advisory 109333 Cisco IOS Software Multiple Features IP Sockets Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-ip.shtml Cisco Security Advisory 109337 Cisco IOS Software Multiple Features Crafted TCP Sequence Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-tcp.shtml Cisco Security Advisory 108558 Cisco IOS Software Multiple Features Crafted UDP Packet Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090325-udp.shtml 【4】OpenSSL に複数の脆弱性 情報源 US-CERT Current Activity Archive OpenSSL Releases Security Advisory http://www.us-cert.gov/current/archive/2009/03/26/archive.html#openssl_releases_security_advisory1 概要 OpenSSL には、複数の脆弱性があります。結果として、遠隔の第三者が セキュリティ制限を回避したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8k より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) OpenSSL Security Advisory [25-Mar-2009] Three moderate severity security flaws have been fixed in OpenSSL 0.9.8k. http://www.openssl.org/news/secadv_20090325.txt 【5】Sun Java System Identity Manager に複数の脆弱性 情報源 US-CERT Current Activity Archive Sun Releases Alert for Java System Identity Manager Vulnerabilities http://www.us-cert.gov/current/archive/2009/03/25/archive.html#sun_releases_alert_for_java 概要 Sun Java System Identity Manager (IdM) には、複数の脆弱性があり ます。結果として、遠隔の第三者がやり取りされるデータを傍受したり、 他の IdM アカウントを特定したり、そのパスワードを変更したり、ユー ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - パッチ 140935-01 未適用の Sun Java System Identity Manager 7.0 - パッチ 140936-01 未適用の Sun Java System Identity Manager 7.1 - パッチ 137621-11 未適用の Sun Java System Identity Manager 7.1.1 - パッチ 139010-06 未適用の Sun Java System Identity Manager 8.0 この問題は、Sun が提供する修正済みのバージョンに Java System Identity Manager を更新することで解決します。詳細については、Sun が提供する情報を参照してください。 関連文書 (英語) Sun Alert 253267 Sun Java System Identity Manager Security Vulnerabilities http://sunsolve.sun.com/search/document.do?assetkey=1-66-253267-1 【6】pam-krb5 に脆弱性 情報源 DOE-CIRC Technical Bulletin T-089 pam-krb5 Local Privilege Escalation Vulnerability http://www.doecirc.energy.gov/ciac/bulletins/t-089.shtml 概要 Pluggable Authentication Modules (PAM) の実装である pam-krb5 に は、脆弱性があります。結果として、ローカルユーザが権限を昇格する 可能性があります。 対象となるバージョンは以下の通りです。 - pam-krb5 3.13 より前のバージョン なお、Solaris や Debian などの PAM モジュールを利用する他の製品 も影響を受ける可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。詳細につい ては、各ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1721-1 libpam-krb5 -- 複数の脆弱性 http://www.debian.org/security/2009/dsa-1721.ja.html Debian セキュリティ勧告 DSA-1722-1 libpam-heimdal -- プログラムミス http://www.debian.org/security/2009/dsa-1722.ja.html 関連文書 (英語) Russ Allbery pam-krb5 2009-02-11 Advisory http://www.eyrie.org/~eagle/software/pam-krb5/security/2009-02-11.html Sun Alert 252767 A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1 【7】IBM Access Support ActiveX コントロールにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#340420 IBM Access Support ActiveX control stack buffer overflow http://www.kb.cert.org/vuls/id/340420 概要 IBM Access Support ActiveX コントロールには、バッファオーバーフ ローの脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で任意のコードを実行する可能 性があります。 2009年3月31日現在、この問題に対する修正プログラムは確認されてい ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。詳細については、下記関連文書を参照してください。 関連文書 (日本語) Lenovo IBM Access Support のご紹介 http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/SYJ0-01CD809 Lenovo Access Support - アップグレード情報 http://www-06.ibm.com/jp/domino04/pc/support/Sylphd06.nsf/jtechinfo/MIGR-51860 マイクロソフト サポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第28回「DNS アンプによる DDoS 攻撃」 2005年、DNS アンプによる DDoS 攻撃が大きな話題になりました。DNS アンプとは DNS 再帰的問合せを受け付けるサーバを踏み台にして、DNS 要求パケットの何倍もの大きさのパケットを送りつける手法です。 2006年1月3日から 2月中旬にかけて世界の約 1,500 の組織が対象となっ た DDoS 攻撃に、この DNS アンプの手法が使われたといわれています。 DNS キャッシュサーバが攻撃の踏み台として使われないように、再帰的 問合せを受け付ける範囲を必要最小限とするようにアクセス制限を施す ことが推奨されています。 参考文献 (日本語) JPCERT/CC Alert 2006-03-29 DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060004.txt JPRS トピックス&コラム DDoS にあなたの DNS が使われる〜 DNS Amp の脅威と対策〜 http://jpinfo.jp/topics-column/003.pdf 参考文献 (英語) US-CERT Security Publications The Continuing Denial of Service Threat Posed by DNS Recursion (v2.0) http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSdLB54x1ay4slNTtAQj8jQQAgyyaZdzbo4XgoQi0sBHmq16MhjELMXXF kdWwQlj3NIc/jok46x4BtMuEi53RpYrnVgrBdWLqLRDJCUqRVKRZ//AWVVGP2GSW EBXRpsMl1yjDqOlfzYmfjl5RFJY96Ugp5415l/VYRaRr2xhDhKA0VbPlVRLpgSv6 VvwDSdA90Ms= =eI4Y -----END PGP SIGNATURE-----