2010年2月14日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
オラクルWebLogic Serverにリモートから攻撃可能なぜい弱性(2010/02/07)
オラクルWebLogic Serverバージョン7~11gR1のノード・マネジャ・コンポーネントに、リモートから攻撃可能なぜい弱性(CVE-2010-0073)が確認されました。悪意ある第三者にぜい弱性を悪用された場合、Windowsではシステム権限を、Linux系ではWebLogic Serverプロセスの権限を取得されてしまう可能性があります。このぜい弱性の深刻度をCVSS(common vulnerability scoring system、共通ぜい弱性評価システム)で示すと次のようになります。
ぜい弱性そのものの特性を評価する基本評価値=10.0
AV:攻撃元区分=ネットワークから攻撃可能
AC:攻撃条件の複雑さ=低
Au:攻撃前の認証要否=認証操作が不要
C:機密性への影響(情報漏えいの可能性)=全面的な影響を受ける
I:完全性への影響(情報改ざんの可能性)=全面的な影響を受ける
A:可用性への影響(業務停止の可能性)=全面的な影響を受ける
[参考情報]
マイクロソフト2010年2月の月例セキュリティ・アップデート(2010/02/10)
2月の月例セキュリティ・アップデートでは、13件のセキュリティ更新プログラムを公開し、26件のセキュリティ問題を解決しています。
【 任意のコード実行 】
MS10-003:Microsoft Office(MSO)のぜい弱性
MS10-004:Microsoft Office PowerPointのぜい弱性
MS10-005:Microsoft ペイントのぜい弱性
MS10-006:SMB クライアントのぜい弱
MS10-007:Windows Shellハンドラーのぜい弱性
MS10-008:ActiveXのKill Bitの累積的なセキュリティ更新プログラム
MS10-009:Windows TCP/IPのぜい弱性
MS10-012:SMBサーバーのぜい弱性
MS10-013:Microsoft DirectShowのぜい弱性
【 サービス不能 】
MS10-010:Windows Server 2008 Hyper-Vのぜい弱性
MS10-012:SMBサーバーのぜい弱性
MS10-014:Kerberosのぜい弱性
【 アクセス権限の昇格 】
MS10-006:SMBクライアントのぜい弱
MS10-011:Windowsクライアント/サーバー ランタイム サブシステムのぜい弱性
MS10-012:SMBサーバーのぜい弱性
MS10-015:Windowsカーネルのぜい弱性
このうちWindowsカーネルのぜい弱性(MS10-015)には、1月21日にセキュリティ・アドバイザリ(979682)「Windows カーネルのぜい弱性により、特権が昇格される」で調査中であると報告されたぜい弱性の対策が含まれています。
[参考情報]
米シスコ Cisco IronPort Encryption Applianceに複数のぜい弱性(2010/02/10)
Cisco IronPort Encryption Applianceに任意のファイルを参照可能なぜい弱性(CVE-2010-0143、CVE-2010-0144)と、任意のコード実行につながるぜい弱性(CVE-2010-0145)が報告されています。任意のファイルを参照可能なぜい弱性は、管理インタフェースとWebSafeサーブレットに存在し、いずれも組み込みHTTPSサーバーを介した攻撃が可能となるものです。
[参考情報]
Adobe Flash Player 10.0.45.2/9.0.262.0リリース(2010/02/11)
米アドビ システムズのAdobe Flash PlayerとAdobe AIRに、許可されていない異なるドメインにまたがってアクセス可能とするぜい弱性(CVE-2010-0186)が存在します。影響を受けるバージョンは、Adobe Flash Player 10.0.42.34およびそれ以前のバージョンと、Adobe AIR 1.5.3.1920およびそれ以前のバージョンです。Adobe Flash Playerを利用しているユーザーは10.0.45.2へのアップデートを、Adobe AIRを利用しているユーザーは1.5.3.9130へのアップデートを実施してください。
[参考情報]
Squid 3.0.STABLE24(2010/02/12)
2.7.STABLE7ならびにそれ以前のSquid 2.x、Squid 3.0~Squid 3.0 STABLE23には、HTCP(hypertext caching protocol)ポートで細工されたパケットを受信した場合にサービス不能状態につながるぜい弱性(CVE-2010-0639)が存在します。古いバージョンでは、デフォルト設定でHTCPポート番号4827が有効でしたが、Squid 3.xではデフォルト設定で無効となっています。デバック・レベル“debug_options ALL,1”に設定して起動した際に、ログ・ファイルcache.logに“Accepting HTCP messages on port”が記録されている場合には、HTCPポートが稼働しています。この問題は3.0.STABLE24で解決されています。
[参考情報]
Cyber Security Bulletin SB10-040(2010/02/09)
2月1日の週に報告されたぜい弱性の中からThunderbirdのぜい弱性を取り上げます(Vulnerability Summary for the Week of February 1, 2010)。
■Thunderbird DNSプリフェッチ処理にぜい弱性(2010-01-29)
Thunderbird 3.0.1のDNSプリフェッチ処理に、Webバグに類似するぜい弱性(CVE-2009-4629)の存在が確認されました。Webバグとは、HTMLページに情報収集用の小さい画像を埋め込む手法です。埋め込んだ画像をトラッキングすることでアクセス状況を把握できるため、WebサイトやメールのHTMLページに利用される場合があります。特にメールの場合には、埋め込んだ画像を利用することでメールを開いたかどうかを判定できます。このためThunderbirdでは、リモートコンテンツの表示をブロックする機能を搭載しています(写真1の(2))のCVE-2009-4629.gifの表示をブロックして、その警告を写真1の(4))で表示しています)。今回報告されたぜい弱性は、DNSプリフェッチ処理を利用することで、Webバグと同じようにメールを開いたかどうかを判定できてしまうという問題です。
DNSプリフェッチ処理とは、HTMLページにリンク(例:CVE-2009-4629)があった場合、このリンクに記載されているドメイン名の名前解決を、前もって(ユーザーがリンクをクリックする前に)実施する処理です。これにより、リンクをクリックしてから表示までの時間を短くできます。DNSプリフェッチ処理は、HTTPヘッダー(X-DNS-Prefetch-Control: )や写真1の(1)に示すHTMLページのタグ()で制御します。写真1の場合には、x-dns-prefetch-controlが有効(content="on")になっているので、リンクに記載されているドメイン名cve-2009-4629.hirt.hitachi.co.jp(写真1の(3))がDNSプリフェッチ処理の対象になります。
Thunderbirdでは、写真1の(2)のCVE-2009-4629.gifの表示をブロックするため、情報収集用の小さい画像を埋め込む手法でのメール開封判定はできません。しかし、メールを開いた際に、DNSプリフェッチ処理が実行されるため、リンクに記載されたドメイン名の名前解決要求がDNSサーバーに発信されます(写真2)。このため、メール毎に異なるドメイン名(例:http://hirt_at_hitachi.co.jp_mailid12345678_example.com/)をつけたリンクを用意すると、情報収集用の小さい画像を埋め込む手法と同等の機能を実現できてしまうことになります。
今回のぜい弱性は、利便性を向上する過程で、セキュリティ問題が新たに発生する事例の一つとしてもとらえていきたいものです。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)とは』 |
HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
