この記事は,日立製作所の HIRT(Hitachi Incident Response Team)のスタッフがCSIRTの担当者に向け,ぜい弱性対策情報から得られた知見,ぜい弱性対策に関するアドバイス,ツールなどを紹介するものです。
2007年8月には,一太郎,Lhazなどのぜい弱性情報が話題になりました。それぞれ,ぜい弱性に関わるインシデント事例として,関連するイベントの時間的な流れを追いかけておきましょう。
■一太郎 にぜい弱性(2007/08/03)
一太郎のぜい弱性は,任意のコード実行に悪用される可能性のあるぜい弱性です。ぜい弱性に関わるインシデント事例として,関連するイベントの時間的な流れを追いかけておきましょう。
2007/08/02 セキュリティフォーカスにぜい弱性 BID 25187 として登録されました。 2007/08/02 シマンテックから,一太郎のぜい弱性を利用した侵害活動について報告がありました (Unknown Exploit Compromises Ichitaro) 2007/08/02 シマンテックTrojan.Tarodrop.D 2007/08/03 トレンドマイクロTROJ_TARODROP.Q 2007/08/03 ITpro 「一太郎」を狙うゼロデイウイルスが再び出現 2007/08/06 マカフィーExploit-TaroDrop.c 2007/08/08 NVDにぜい弱性CVE-2007-4246として登録されました。CVSS 2.0基本値は6.8と評価されています。 2007/08/09 一太郎アップデートモジュールのリリース 2007/08/09 @policeにジャストシステム社ワープロソフト一太郎のぜい弱性についてが掲載されました。 2007/08/09 JVNにぜい弱性JVNVU#343727として登録されました。 2007/08/09 ITpro「一太郎」が新種ゼロデイウイルスへのパッチを公開 2007/08/14 JVNにぜい弱性JVNDB-2007-000571として登録されました。 2007/08/27 シマンテックTrojan.Tarodrop.E
■マイクソフト「2007年8月のセキュリティ情報」 (2007/08/15)
「2007年8月のセキュリティ情報」では,セキュリティ更新プログラム9件が公開されました。
<攻撃者の用意した任意のコード実行の可能性>
<アクセス権限の昇格の可能性>
MS07-042 XMLコア サービスのぜい弱性 MS07-043 OLEオートメーションのぜい弱性 MS07-044 Microsoft Excelのぜい弱性 MS07-045 Internet Explorer用の累積的なセキュリティ更新プログラム MS07-046 GDIのぜい弱性 MS07-047 Windows Media Playerのぜい弱性 MS07-048 Windowsガジェットのぜい弱性 MS07-050 Vector Markup Languageのぜい弱性
MS07-049:Virtual PCおよびVirtual Serverのぜい弱性
ぜい弱性の詳細については, Zero Day Initiative(PUBLISHED ZDI ADVISORIES), iDefense(Public Advisories List), eEye Digital Security(Published AdvisoriesRSS Feed), NSFocus Security Team(Security Advisory) から情報が公開されています。また,検証情報として MS07-042:XMLコア サービスのぜい弱性に関する情報が公開されています。
■Lhazにぜい弱性(2007/08/22)
Lhaz のぜい弱性は,任意のコード実行に悪用される可能性のあるぜい弱性で,gzip書庫,LZH書庫の処理に存在します。ぜい弱性に関わるインシデント事例として,関連するイベントの時間的な流れを追いかけておきましょう。
2007/08/17 マカフィー Exploit-LHAZ.a 2007/08/17 マカフィーから,圧縮解凍ソフトのLHAZ v1.33についてのぜい弱性を利用した標的型攻撃の存在と,有害なファイルBackDoor-CKBを投下すると報告がありました。 (Targeted Zero-day Attack Against Free Tools - LHAZ)。 2007/08/17 セキュリティフォーカスにぜい弱性BID 25351として登録されました。 2007/08/18 シマンテックTrojan.Lazdropper 2007/08/18 シマンテックから,圧縮解凍ソフトウェア LHAZ v1.33 のぜい弱性を利用する tgz ファイルの存在について報告がありました (Another kind reminder)。 2007/08/20 トレンドマイクロTROJ_LZDROPPER.A 2007/08/20 ITproまたもや国産ソフトを狙った「ゼロデイウイルス」が出現 2007/08/20 NVD にぜい弱性CVE-2007-4428として登録されました。CVSS 2.0基本値は6.8と評価されています。 2007/08/22 JVNにぜい弱性JVNVU#492799, JVNDB-2007-000616 として登録されました。 2007/08/23 Lhaz v1.34(lhaz134.exe)リリース
ぜい弱性対策情報の覚書き
覚書きには,何かの時に広報しないといけないと思うぜい弱性対策情報やりリース情報を列挙します。■リリース情報
Apache Tomcat 6.0.14(2007/08/09)JVN#59851336:クロスサイトスクリプティングのぜい弱性, VU#993544:クッキーの処理にぜい弱性を修正したバージョンです。 BIND8サポート終了 (2007/08/27)
BIND8のサポート終了のアナウンスです。8.4.7-P1の新リリースはないとしており,BIND9への移行を推奨しています。 PHP5.2.4 (2007/08/30)
PHP 5.2.Xのプログラム安定性の向上に配慮し,120を越えるバグと,複数のぜい弱性が修正されています。
HIRT (Hitachi Incident Response Team) とは |
HIRT は,日立グループの CSIRT 連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。 ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。 HIRT では,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信や CSIRT 活動の成果を活かした技術者育成を行っています。