CERT/CC(Computer Emergency Response Team/Coordination Center)により警告された,DNSサーバー・ソフト「BIND」のセキュリティ・ホールは,WindowsプラットフォームのDNSサーバーにも影響を与える恐れがある。DNSサーバー管理者は,現在使用しているDNSサーバー・ソフトが影響を受けるかどうかをチェックして,影響を受けるようなら,早急にバージョン・アップなどの対策をとる必要がある。

UNIXにとどまらない,深刻なセキュリティ・ホールの影響

 重要なセキュリティ情報の警告を発することで有名な,CERT/CCから,多数のDNSサーバーで使用されている「BIND *1」の新しいセキュリティ・ホールに関する警告レポートが,2001年1月29日に公開された([関連記事])。バッファ・オーバーフロー攻撃等により,DoS攻撃を受けたり,任意のプログラムを実行される可能性がある。

 BINDのバージョン4.xの最新版4.9.8,およびバージョン8.xの最新版8.2.3で,このセキュリティ・ホールは修正されている。そのため,このセキュリティ・ホールの影響を受けるのは,バージョン4.9.8未満のBIND 4.9.xと,バージョン8.2.3未満の 8.2.xである。バージョン 9.x は影響を受けない。

 BINDは,元々UNIXを稼働プラットフォームとして開発されてきたが,現在ではWindowsへも移植されている。また,BINDをベースとして開発されたWindows用DNSサーバー・ソフトも存在する。そのため,Windowsで稼働しているDNSサーバーも,セキュリティ・ホールの影響を受ける可能性がある。管理者は注意が必要である。

*1 ここでいう「BIND」とは,ISC (Internet Software Consortium)によってメンテナンスされている「ISC BIND (Berkeley Internet Name Domain) 」を指している。

一部のサーバー製品は,対応に遅れ

 一般的に,Windows上で稼働するDNSサーバー・ソフト(DNS機能)には,次の3種類がある。(1)Windows NT 4.0以降に標準搭載されたDNS機能,(2)Windowsへ移植された「BIND」そのもの,(3)「BIND」をベースに,ソフト・ベンダーが付加機能を盛り込んだDNSサーバー製品である。

 (1)は,「BIND」とは実装がまったく異なるため,CERT/CCのレポートにも「Microsoft's implementation of DNS is not based on BIND, and is not affected by this vulnerability.」と明記されているように,今回のセキュリティ・ホールの影響を受けない。

 (2)については,UNIX版同様,バージョン8.2.3未満は影響を受ける。しかしながら,吉川 洋太郎氏が公開している「BIND for Win32」の場合には,今回のセキュリティ・ホールに対応したバージョン8.2.3が,1月31日にリリースされている。BIND for Win32のユーザーは,早急にバージョン・アップして,対応しよう。

 最後の(3)が,日本では数多く見受けられる。その代表的な製品が,アスキーNTが販売する「Meta IP /Meta DNS」であろう。最新バージョンである「Meta IP /Meta DNS 4.1」は,「BIND」の8.2.2をベースとしているため,今回のセキュリティ・ホールの影響を受ける。しかしながら,2月16日の時点では,修正版のリリース時期はおろか,セキュリティ・ホールの影響を受けることすらも,同社のWebページでは公開されていない。

 「Meta IP」は,DNS機能を持つだけではなく,Microsoft Active Directoryや他の標準LDAPインプリメンテーションと互換性がある「分散LDAPディレクトリ・サービス・アーキテクチャ」でIPアドレスを管理できる優れた製品である。

 ところが,今回のように,深刻なセキュリティ・ホールが長期にわたって放置されるようでは,製品に対するユーザーの信用が揺らいでしまう恐れがある。フリーでも入手可能なDNSサーバー・ソフトを,ベンダーから購入する理由の一つは,会社として組織化されたサポート体制を期待しているからである。早急に,状況の説明や警告がなされ,セキュリティ・ホール対応版の製品がリリースされることを期待したい。

(IT Pro編集部注:2月19日,アスキーNTに問い合わせたところ,現在開発元のイスラエルCheck Point Software Technologiesが対応版を開発中で,近日中に同社Webサイトで公開する予定であるという。公開の日程が決まり次第,Webサイトでアナウンスする。また,セキュリティ・ホールの存在自体についても,早急にアナウンスしたいとの回答を得た。)

Media Playerのスキンと,PPTPに新規のセキュリティ・ホール

 上記以外の,Windows関連のセキュリティ・トピックス(2001年2月16日時点分)を整理する。「マイクロソフト セキュリティ情報」では,新規のセキュリティ・ホール情報が2件公開された。

 まず,Windows Media Player 7 が影響を受ける(1)「『Windows Media Player スキン ファイルのダウンロード』のぜい弱性に対する対策」が公開された。Windows Media Playerのルック・アンド・フィールを変更できる「スキン」という機能を悪用され,自分のパソコン上で任意のプログラムを実行されてしまう可能性がある。英語版パッチは公開されたが,日本語版パッチは公開されていない。

 このセキュリティ・ホールは,スキン機能を実現するカスタム・スキン(.WMS)ファイルには,スクリプトやJavaコードを含めることができ,それをリモートのパソコン上で実行させることが可能であるという“仕様”が原因である。

 今回のセキュリティ・ホールは,Java自身に問題があるわけではないが,たまたまJavaを利用しているため,Internet Explorerの「インターネットオプション」のセキュリティ項目にて,Javaを無効にすれば回避可能である。

 スキンに関するセキュリティ・ホールとしては,2000年11月27日に公開された(MS00-090)「『.ASX バッファ オーバーラン』と『.WMSスクリプト 実行』のぜい弱性に対する対策」が存在する。これも,日本語版パッチはリリースされていない。スキン・ファイルの利用には,十分な注意が必要だ。

 次に,Windows NT 4.0 Server/Server, Enterprise Edition/Server, Terminal Server Edition が影響を受ける(2)「『無効な PPTP Packet Stream』のぜい弱性に対する対策」が公開された。PPTP(Point to Point Tunneling Protocol)サービスのセキュリティ・ホールを突かれて,攻撃者からDoS攻撃を受ける可能性があるというものだ。PPTPとは,米Microsoftや米3Comなどが中心となって開発したセキュリティ・プロトコルである。

 英語版パッチは公開されたが,残念ながら,日本語版パッチは公開されていない。なお,Windows 2000のPPTPサービスは影響を受けない。NT 4.0でも,PPTPサービスを動作しているマシンのみが,このセキュリティ・ホールの影響を受ける。PPTPサービスはデフォルトでは動作していないため,影響は少ないであろう。

「クロスサイト スクリプティング」関連のドキュメントが4件

 「TechNet Online - Security」では,注目しておきたいドキュメントが4件公開された。いずれも,「クロスサイト スクリプティングのセキュリティ問題」関連である。

 「クロスサイト スクリプティングのセキュリティ問題」とは,悪意を持って作成されたスクリプトが,Web ページに送られる入力の中に埋め込まれ,あたかも信頼できる発行元からのものとして,Webブラウザに表示される可能性があるという問題である。この問題は,動的に生成されるWebページで,その生成に使用される入力データが,入力または出力の途中で検証されていないことに起因している。

 クロスサイト スクリプティング対策としては,既に「[ASP] HOWTO: クロスサイト スクリプティングのぜい弱性の問題」が公開されている。これは,クロスサイト スクリプティング攻撃を受けないような,ASP(Active Server Pages)ページの一般的な開発手法を説明したドキュメントで,このコラムでも紹介済みである。

 今回公開されたドキュメントは,このような長期的な解決方法ではなく,短期的な対処方法をまとめたものだ。影響を受ける可能性を最小限にするための,個人でも対処可能な手順などを説明している。(1)「クロスサイト スクリプティングのセキュリティ上のぜい弱性に関する情報」と,(2)「クイック スタート : クロスサイトスクリプティングに対する自衛策」,(3)「クロスサイト スクリプティング のセキュリティ問題 概要」,(4)「クロスサイト スクリプティング: よく寄せられる質問」の4件である。

 いずれも一読の価値があるが,特に(2)は,個人でも対処可能な具体的な手順が記載されているので,ぜひチェックしておこう。

ウイルス対策ソフトのセキュリティ・ホール

 トレンドマイクロから,「ウイルスバスター2001 Ver.8.02 + エンジン バージョン 5.30 へのアップデート」が公開された。これには,先日明らかになったセキュリティ・ホールに対する修正も含まれている([関連記事])。

 「ウイルスバスター2001」が持つ,メールの添付ファイルに対するウイルス・スキャン機能である「メール 検索」を使用している場合,極端に長いメール・ヘッダーやMIME Boundaryが含まれているメールを送信されると,バッファ・オーバーフローが発生し,メールの受信が不可能になってしまう。さらに,場合によっては,任意のコマンドを実行される可能性もある。深刻なセキュリティ・ホールである。ユーザーはすぐにVer.8.02へバージョン・アップしよう。

 トレンドマイクロからは,アップデート・モジュールが同社Webページで公開され,そのページには,バッファ・オーバーフローに関する記述もある。しかしながら,セキュリティ・ホールであるとは明記されておらず,説明不足である。また,ウイルスバスター2001の製品ページには,アップデートを促すような記述はない。深刻なセキュリティ・ホールであることを認識し,製品ページでもアップデートを促すようお願いしたい。



CERT/CCアドバイザリ

 ■CA-2001-02 Multiple Vulnerabilities in BIND(原文)

 ■CA-2001-02 Multiple Vulnerabilities in BIND(ラックによる邦訳版)


 ■Microsoft Products are not Affected by BIND Vulnerabilities(Microsoft)

 ■Port 53 Web Site(吉川 洋太郎氏)

 ■ASCII NT Products - Meta IP / Meta DNS(アスキーNT)


マイクロソフト セキュリティ情報

 ■(MS01-010) 「Windows Media Player スキン ファイルのダウンロード」のぜい弱性に対する対策(2001年2月15日:日本語解説公開)

 ■(MS01-009) 「無効な PPTP Packet Stream」のぜい弱性に対する対策(2001年2月14日:日本語解説公開)


TechNet Online 目的別インデックス(セキュリティ情報)

 ■クロスサイト スクリプティングのセキュリティ上のぜい弱性に関する情報

 ■クイック スタート : クロスサイト スクリプティングに対する自衛策

 ■クロスサイト スクリプティング のセキュリティ問題 概要

 ■クロスサイト スクリプティング: よく寄せられる質問


トレンドマイクロ

 ■ウイルスバスター2001 Ver.8.02 + エンジン バージョン 5.30 へのアップデート


 ■ウィルスバスター 2001 プログラムバージョン 8.00 に対する Buffer Overflow 攻撃が成立する条件を発見(ラック:2001年1月26日公開)

 ■ウィルスバスター 2001 プログラムバージョン 8.01 に対して,任意のコマンドを実行(ラック:2001年2月6日公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)