お知らせ
- 「ITpro Smart」リリース!
- 書籍「IT提案戦術」5月21日発売!
- 電子ブック新刊!「説得・交渉術」など
|
|
CSIRTメモ
チェックしておきたいぜい弱性情報<2010.03.30> 2010年3月21日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
Thunderbird 2.0.0.24リリース(2010/03/17)Thunderbird 2.0.0.24では、9件のセキュリティ問題を解決しています。
【 任意のコード実行 】
【 なりすまし 】 [参考情報]
マイクロソフト Virtual PCのセキュリティ問題(2010/03/16)Virtual PC、Virtual PC 2007、Virtual Server 2005にセキュリティに関連する問題があるという指摘が報告されています。この問題は、仮想マシン・モニターのメモリー管理に関係し、悪用されるとDEP(data execution prevention )、SafeSEH(safe structured error handling)、ASLR(address space layout randomization)などのセキュリティ機能を仮想マシン上で回避される可能性があるとしています。 [参考情報]
Cyber Security Bulletin SB10-074(2010/03/15)3月8日の週に報告されたぜい弱性の中からSambaのぜい弱性を取り上げます(Vulnerability Summary for the Week of March 8, 2010)。 ■Sambaにディレクトリ・トラバーサルのぜい弱性(2010/03/08) Samba 3.5.0rc3、3.4.5、3.3.10のデフォルト設定には、ディレクトリ・トラバーサルにつながるぜい弱性(CVE-2010-0926)が存在します。まず、このぜい弱性の対応経緯を見てみましょう。
2010年2月4日 発見者:ぜい弱性の概要をYouTubeで公開 この問題は、シンボリック・リンクを利用することにより、共有フォルダ以外のファイルを参照できてしまうという問題です(写真1)。Fix bug 7104では、Widelinksのデフォルト設定をnoとする仕様が組み込まれ、Samba 3.3.11、3.4.6、3.5.0にその仕様が反映されています。影響を受けるバージョンを利用している場合には、smb.confに"wide links = no"を設定して、共有フォルダ以外へのシンボリック・リンク設定を制限してください。
写真1●シンボリック・リンクの設定操作(cpe:/a:samba:samba:3.0.33の例)
[参考情報] 寺田 真敏 Hitachi Incident Response Team チーフコーディネーションデザイナ
HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。 連載新着記事一覧へ >>
|
