Hitach Incident Response Team

 9月20日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

Wiresharkに複数のぜい弱性(2009/09/15)

 Wireshark 1.2.0 ~ 1.2.1には,GSM(global system for mobile communications)の解釈処理,TLSの解釈処理にサービス不能につながるぜい弱性が存在します。また,Wireshark 0.99.6 ~ 1.2.1には,OpcUa(the OPC unified architecture protocol)の解釈処理にサービス不能につながるぜい弱性が存在します。これらの問題は,Wireshark 1.2.2で解決されています。

[参考情報]

Cyber Security Bulletin SB09-257(2009/09/14)

 9月7日の週に報告されたぜい弱性の中からApache,富士通Interstage HTTP Serverに関するぜい弱性を取り上げます(Vulnerability Summary for the Week of September 7, 2009)。

■Apache HTTPサーバーのftpプロキシ機能に複数のぜい弱性(2009/09/08)

 Apache HTTPサーバーのftpプロキシ機能(mod_proxy_ftp)にぜい弱性が2件報告されています。EPSVコマンドのぜい弱性(CVE-2009-3094)は,Apache HTTP Server 2.0.63と2.2.13に影響し,EPSVコマンドに対する不正な応答を受信した場合,ftpプロキシ機能のプロセスが異常終了する可能性があります。EPSV(entering extended passive mode)コマンドは,サーバーにデータ・コネクション用のポートを待機させ,そのポート番号を返すよう要求するコマンドです(写真1)。IPv6やNAT向けの拡張コマンドで,PASVコマンドと同じ役割を果たします。

 もう一つはAuthorization HTTPヘッダーに格納されたコマンドの処理に起因したぜい弱性(CVE-2009-3095)で,アクセス制御回避と任意のコマンド実行につながる可能性があります。ただし2009年9月3日時点で,ぜい弱性の存在までは公開されているが詳細については開示されていないこと,ぜい弱性の存在を公開しているサイトは信頼できる研究者によって運営されていることから,トラッキングのためにCVEを割り当てたとしています。

写真1●FTPプロトコルにおけるEPSVコマンド
[画像のクリックで拡大表示]

[参考情報]

■富士通Interstage HTTP Serverにおけるサービス妨害の問題(2008/12/25)

 Cyber Security Bulletin SB09-257に掲載されたぜい弱性2件は,2008年12月に富士通がWebサイトで公開したセキュリティ問題です。2008年12月に公開したセキュリティ問題には,CVE番号割り当て済みのぜい弱性対策4件と,それ以外の対策2件が含まれています。今回,後者の2件に対してCVE番号が付与されたことになります。

CVE番号割り当て済みのぜい弱性対策(4件)
・サーバーステータス監視機能におけるクロスサイト・スクリプティングの問題(CVE-2006-5752)
・キャッシュ機能におけるサービス妨害の問題(CVE-2007-1863)
・任意のプロセスにシグナルを送信するサービス妨害の問題(CVE-2007-3304)
・プロキシ機能におけるサービス妨害の問題(CVE-2007-3847)

CVE番号が付与された上記以外の対策(2件)
・特定のリクエスト受信におけるサービス妨害の問題(CVE-2008-7194)
・SSLを使用した運用におけるサービス妨害の問題(CVE-2008-7195)

 ぜい弱性対策としては,存在が明らかになったぜい弱性を除去するとともに,ぜい弱性の作り込みを防いでいく必要があります。ぜい弱性に関する情報の蓄積は,ぜい弱性の作り込み防止を含め,長期的な視点でぜい弱性対策を推進するための基礎データとなります。国内の場合には,JVN(http://jvn.jp/)が存在の明らかとなったぜい弱性の除去,JVN iPedia(http://jvndb.jvn.jp/)が長期的な視点でぜい弱性対策を推進するためのデータ蓄積の役割を担っていると言えます(図1)。

図1●JVN,JVN iPedia,MyJVN連携
[画像のクリックで拡大表示]

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。