-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2601 JPCERT/CC 2009-07-08 <<< JPCERT/CC WEEKLY REPORT 2009-07-08 >>> ―――――――――――――――――――――――――――――――――――――― ■06/28(日)〜07/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】VMware ESX に脆弱性 【2】HP OpenView Network Node Manager に脆弱性 【今週のひとくちメモ】3種類のクロスサイトスクリプティングとその対策 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092601.html https://www.jpcert.or.jp/wr/2009/wr092601.xml ============================================================================ 【1】VMware ESX に脆弱性 情報源 VMware Security Advisories (VMSAs) VMSA-2009-0008 ESX Service Console update for krb5 http://www.vmware.com/security/advisories/VMSA-2009-0008.html 概要 VMware ESX には、Kerberos 関連の入力処理に起因する脆弱性がありま す。結果として遠隔の第三者が任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、標準構成 の VMware ESX には Kerberos 関連のサービスはインストールされてい ないため、この問題の影響を受けません。 対象となるバージョンは以下の通りです。 - ESX 4.0 - ESX 3.5 - ESX 3.0.3 - ESX 3.0.2 - ESX 2.5.5 なお ESXi 3.5 は、この問題の影響を受けません。 この問題は、VMware が提供する修正済みのバージョンに VMware ESX を更新することで解決します。2009年7月7日現在、一部のバージョンに ついては修正版が提供されていません。詳細については、VMware が提 供する情報を参照してください。 関連文書 (英語) MIT krb5 Security Advisory 2009-002 MITKRB5-SA-2009-002 ASN.1 decoder frees uninitialized pointer http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-002.txt 【2】HP OpenView Network Node Manager に脆弱性 情報源 DOE-CIRC Technical Bulletin T-158 HP OpenView Network Node Manager SNMP and MIB Unspecified Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-158.shtml 概要 HP OpenView Network Node Manager (OV NNM) には、脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - HP-UX、Solaris、Linux、Windows で動作し、SNMP 1.30.009 および MIB 1.30.009 より前を実行する以下の製品 - HP OpenView Network Node Manager (OV NNM) v7.51 および v7.53 この問題は、HP が提供する修正済みのバージョンに HP OpenView Network Node Manager を更新することで解決します。詳細については、 HP が提供する情報を参照してください。 関連文書 (英語) HP HP Network Node Manager (NNM) Advanced Edition software http://www.openview.hp.com/products/nnm/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○3種類のクロスサイトスクリプティングとその対策 クロスサイトスクリプティングは、攻撃者が用意したスクリプトを、ユー ザが信頼する第三者の Web サイトから提供されたものとして、ユーザ の Web ブラウザ上で実行させる手法です。 攻撃は、攻撃者のスクリプトを第三者の Web コンテンツ中に紛れ込ま せることにより実現されます。紛れ込ませる手法は、次の3種類に分類 できます。 - persistent 型 (stored 型、蓄積型) Web サイトが蓄積しているコンテンツ中に紛れ込ませる - non-persistent 型 (reflected 型、反射型) Web サイトが動的に作り出すコンテンツ中に紛れ込ませる - DOM 型 Web ブラウザ内に蓄積しているコンテンツ中に紛れ込ませる persistent 型および non-persistent 型のクロスサイトスクリプティ ングでは、攻撃スクリプトが必ず Web サイトを経由します。Web アプ リケーション側で入力データの検証や出力データの加工を適切に行うこ とで、意図せぬスクリプトが混入しないよう防止することが可能です。 これに対して DOM 型クロスサイトスクリプティングは、Web ブラウザ 内部で行われるデータ構造の操作を悪用した攻撃であり、スクリプト自 身が Web サイトを経由するとは限りません。そのような攻撃を防止す るためには、Web ブラウザに処理させるコードの内容を注意深く検証し、 どのようなデータを処理する場合でも悪用されないようにしておく必要 があります。 また、Web ブラウザを使用する場合は、以下のような点に注意しましょ う。 - リンクをたどる際、その URL が想定しているドメイン名と異なって いたり、異様に長い URL になっているなど、怪しい兆候がないか確 認する習慣をつける - スクリプト実行を抑制する機能を活用する 参考文献 (日本語) JPCERT/CC WEEKLY REPORT 2009-05-13 【ひとくちメモ】クロスサイトスクリプティング https://www.jpcert.or.jp/wr/2009/wr091801.html#Memo JPCERT/CC 技術メモ - 安全な Web ブラウザの使い方 https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf 参考文献 (英語) Web Application Security Consortium DOM Based Cross Site Scripting or XSS of the Third Kind http://www.webappsec.org/projects/articles/071105.shtml OWASP Cross-site Scripting (XSS) http://www.owasp.org/index.php/Cross-site_Scripting_(XSS) OWASP DOM based XSS http://www.owasp.org/index.php/DOM_Based_XSS ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSlPn9DF9l6Rp7OBIAQgonwgAmif2I15CQihje8zEE/vPD3SSLIZB5gW4 U9WMfaFp6BqLh+BKzD9UkKCDxIqHOR6V/QSWR1E1d4dn2a4dAPu0vVwP7TlZ/OYD xmiKZQPN6fqf9OvKWfuZmclZuhWBoShbfm0YZw2uiwPmZmZ651wYK1eeHCjK64Hf rb1FieEByiyHxl5aEQF1qR27+KqJnGRipnHcF1qQRIy1tXP4WrRJ/hdI+L0yplqR 6B+DnH1VqjRAZvAZTtL8gPFpdHPoM8fNw+BKHDRUTFcf85x9q2VVwL11+2hi0L/t 2CY+kiX5NSZwDSoZtGhraizo/g6Z7nMECoRysbDRE+/PSNjCMWLyVg== =lDst -----END PGP SIGNATURE-----