JPCERT-WR-2009-2601
2009-07-08
2009-06-28
2009-07-04
VMware ESX に脆弱性
VMware ESX には、Kerberos 関連の入力処理に起因する脆弱性がありま
す。結果として遠隔の第三者が任意のコードを実行したり、サービス運
用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、標準構成
の VMware ESX には Kerberos 関連のサービスはインストールされてい
ないため、この問題の影響を受けません。
対象となるバージョンは以下の通りです。
- ESX 4.0
- ESX 3.5
- ESX 3.0.3
- ESX 3.0.2
- ESX 2.5.5
なお ESXi 3.5 は、この問題の影響を受けません。
この問題は、VMware が提供する修正済みのバージョンに VMware ESX
を更新することで解決します。2009年7月7日現在、一部のバージョンに
ついては修正版が提供されていません。詳細については、VMware が提
供する情報を参照してください。
MIT krb5 Security Advisory 2009-002 MITKRB5-SA-2009-002
ASN.1 decoder frees uninitialized pointer
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2009-002.txt
HP OpenView Network Node Manager に脆弱性
HP OpenView Network Node Manager (OV NNM) には、脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、サービス運用
妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- HP-UX、Solaris、Linux、Windows で動作し、SNMP 1.30.009 および
MIB 1.30.009 より前を実行する以下の製品
- HP OpenView Network Node Manager (OV NNM) v7.51 および v7.53
この問題は、HP が提供する修正済みのバージョンに HP OpenView
Network Node Manager を更新することで解決します。詳細については、
HP が提供する情報を参照してください。
HP
HP Network Node Manager (NNM) Advanced Edition software
http://www.openview.hp.com/products/nnm/index.html
3種類のクロスサイトスクリプティングとその対策
クロスサイトスクリプティングは、攻撃者が用意したスクリプトを、ユー
ザが信頼する第三者の Web サイトから提供されたものとして、ユーザ
の Web ブラウザ上で実行させる手法です。
攻撃は、攻撃者のスクリプトを第三者の Web コンテンツ中に紛れ込ま
せることにより実現されます。紛れ込ませる手法は、次の3種類に分類
できます。
- persistent 型 (stored 型、蓄積型)
Web サイトが蓄積しているコンテンツ中に紛れ込ませる
- non-persistent 型 (reflected 型、反射型)
Web サイトが動的に作り出すコンテンツ中に紛れ込ませる
- DOM 型
Web ブラウザ内に蓄積しているコンテンツ中に紛れ込ませる
persistent 型および non-persistent 型のクロスサイトスクリプティ
ングでは、攻撃スクリプトが必ず Web サイトを経由します。Web アプ
リケーション側で入力データの検証や出力データの加工を適切に行うこ
とで、意図せぬスクリプトが混入しないよう防止することが可能です。
これに対して DOM 型クロスサイトスクリプティングは、Web ブラウザ
内部で行われるデータ構造の操作を悪用した攻撃であり、スクリプト自
身が Web サイトを経由するとは限りません。そのような攻撃を防止す
るためには、Web ブラウザに処理させるコードの内容を注意深く検証し、
どのようなデータを処理する場合でも悪用されないようにしておく必要
があります。
また、Web ブラウザを使用する場合は、以下のような点に注意しましょ
う。
- リンクをたどる際、その URL が想定しているドメイン名と異なって
いたり、異様に長い URL になっているなど、怪しい兆候がないか確
認する習慣をつける
- スクリプト実行を抑制する機能を活用する
JPCERT/CC WEEKLY REPORT 2009-05-13
【ひとくちメモ】クロスサイトスクリプティング
https://www.jpcert.or.jp/wr/2009/wr091801.html#Memo
JPCERT/CC
技術メモ - 安全な Web ブラウザの使い方
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf
Web Application Security Consortium
DOM Based Cross Site Scripting or XSS of the Third Kind
http://www.webappsec.org/projects/articles/071105.shtml
OWASP
Cross-site Scripting (XSS)
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
OWASP
DOM based XSS
http://www.owasp.org/index.php/DOM_Based_XSS