-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-4601 JPCERT/CC 2009-12-02 <<< JPCERT/CC WEEKLY REPORT 2009-12-02 >>> ―――――――――――――――――――――――――――――――――――――― ■11/22(日)〜11/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 に脆弱性 【2】Opera ブラウザに複数の脆弱性 【3】制御システムセキュリティに関するドキュメントを 2本公開 【今週のひとくちメモ】 .com および .net の DNSSEC 導入予定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr094601.html https://www.jpcert.or.jp/wr/2009/wr094601.xml ============================================================================ 【1】ISC BIND 9 に脆弱性 情報源 Internet Systems Consortium BIND 9 Cache Update from Additional Section https://www.isc.org/node/504 概要 ISC BIND 9 には、DNSSEC 検証処理に起因する脆弱性があります。結果 として、DNSSEC 検証を有効にしている場合に、遠隔の第三者が細工し たクエリを処理させることで、キャッシュポイズニング攻撃を行う可能 性があります。なお、BIND 9.5 以降では DNSSEC 検証機能が標準で有 効に設定されています。 対象となるバージョンは以下の通りです。 - BIND 9 全てのバージョン ISC はこの問題への修正版として以下のバージョンを公開しています。 - BIND 9.4.3-P4 - BIND 9.5.2-P1 - BIND 9.6.1-P2 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND 9 を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) 日本レジストリサービス BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について http://jprs.jp/tech/security/bind9-vuln-cache-poisoning.html 関連文書 (英語) Internet Systems Consortium Downloads - BIND https://www.isc.org/downloadables/11 【2】Opera ブラウザに複数の脆弱性 情報源 Opera Software Opera 10.10 (Opera Unite) for Windows 更新履歴 http://www.opera.com/docs/changelogs/windows/1010/ 概要 Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第 三者が機密情報を取得したり、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 10.10 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ ザを更新することで解決します。 関連文書 (英語) Opera Software Advisory Error messages can leak onto unrelated sites http://www.opera.com/support/kb/view/941/ Opera Software Advisory Heap buffer overflow in string to number conversion http://www.opera.com/support/kb/view/942/ 【3】制御システムセキュリティに関するドキュメントを 2本公開 情報源 JPCERT/CC 制御システムセキュリティガイドライン、標準、及び認証への取り組みに関する分析 https://www.jpcert.or.jp/ics/document.html#guideline JPCERT/CC 重要社会インフラのためのプロセス制御システム (PCS) のセキュリティ強化ガイド https://www.jpcert.or.jp/ics/information02.html#PCSSecGuide 概要 JPCERT/CC では、11月24日に制御システムのセキュリティに関するドキュ メント 2本を公開しました。 ひとつめは、制御システムのセキュリティに対する米国における取組み 状況を日本国内の関係者に紹介するため、Digital Bond 社の調査資料 をもとに、重要な制御システムのセキュリティガイドライン、標準及び 認証への取組み、それぞれの取組みによって最も影響を受けるセクター 及び地理的地域、取組みの動向などについてまとめたものです。 ふたつめは、プロセス制御システム (PCS: Process Control System) のセキュリティに関する意識向上を意図して、SEMA (スウェーデン緊急 管理庁) によりスウェーデン語で作成された文書の英訳版を JPCERT/CC が邦訳したものです。ヨーロッパの産官学の各界が、さまざまな共通課 題に共同で取り組めるよう、また、必要に応じて集中的な取り組みとリ ソースの共有を行えるよう、制御系に特化したセキュリティに対する推 奨事項が実例とともに分かりやすく述べられています。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ .com および .net の DNSSEC 導入予定 .com および .net のレジストリ業務を行なっている Verisign 社は、 2009年11月16日のプレスリリースにて、2011年第一四半期には .com お よび .net TLD への DNSSEC 導入を完了するべく、作業を進めているこ とを発表しました。 ICANN では 2010年7月に root ゾーンへの DNSSEC 対応を完了する予定 です。また、日本では JPRS が .jp ドメインへの DNSSEC 導入を 2010 年中を目処に進めています。 今後 2、3年以内には本格的に DNSSEC によるドメイン情報の検証を行 う環境が整ってくることが期待されます。DNSSEC 導入に伴う影響や、 運用しているネームサーバの DNSSEC 対応計画について、調査・検討を 始めることをお勧めします。 参考文献 (日本語) JPRS JP ドメイン名サービスへの DNSSEC の導入予定について http://jprs.jp/info/notice/20090709-dnssec.html 参考文献 (英語) Verisign VeriSign Announces DNSSEC Deployment Support Plans to Enhance Internet Security https://press.verisign.com/easyir/customrel.do?easyirid=AFC0FF0DB5C560D3&version=live&prid=558203&releasejsp=custom_97 ICANN 36 SEOUL Workshop - DNSSEC http://sel.icann.org/node/7089 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLFb/VAAoJEDF9l6Rp7OBI3moH/2FFt4r3ps1tCjXgAOQcIZfs Yz5XvOJFAEl5ruGApQvU8GUFaWfOVRwKw44j77myMT/DS77zmhL6QHbsidqcPN8D o2ZPOMTUhXP5PsGImJGT8kOORBPju9mcWG9G/iGz/iR5dKPE2Ejzyf7A8DbjiFGg ppu+bx+rdFE8ELXxS583/fl5SY/5kkjaPLfl0RVqkjskxxL+Jar/vLZvwJ0ROKbQ qjwWU7+CHqr2NghTozymF5yBZAlotNmxWf3HgDdp64OOsax++SsAfmvblh7A6CaA DFpp+AVHSm5U8BNw+td+tDQgJEVmT9LOT/X4fTEaaxt2NJsiidzJyleAqsKN8H4= =5/QQ -----END PGP SIGNATURE-----