データベースとファイアウオールの代表的な製品である「Oracle 8i」と「FireWall-1」に重大なセキュリティ・ホールが見つかった。サーバーの管理者権限を取得されたり,不正なパケットを送り込まれたりする恐れがあり,いずれも深刻なものである。しかし,それぞれの日本法人の対応には格差があった。こうした緊急度の高い情報については,早急に日本語で提供してほしいものだ。先週休載したこともあり,Windows関連のセキュリティ情報は全部で10件と比較的多い。いずれも重要度はそれほど大きくはないが,チェックはしておこう。

管理権限を取得されるセキュリティ・ホールが Oracle に

 Oracle 8i の重大なセキュリティ・ホールが,7月3日に米CERT/CCから報告された([関連記事])。Windows プラットフォームの場合には,TNSリスナーに対するバッファ・オーバーフロー攻撃により,サーバーの管理権限を取得される可能性がある。

 3日後の7月6日には,日本オラクルから正式な日本語レポートが公開された。レポートによると,実際に影響を受けるのは,Oracle 7.x,/8.0.x,/8.1.x。日本で現在フルサポートの対象となっているバージョン 8.1.7/8.1.6/8.0.6 の,それぞれの最新パッチレベル(例えば,「8.1.7.1」)に対応するパッチが順次公開されている。

 また,すべてのプラットフォームの製品がセキュリティ・ホールの影響を受ける。Windows NT 4.0 ではバージョン7.x から 8.1.x ,Windows 2000 では 8.1.6 から 8.1.7 が影響を受ける。しかし,現時点(7月16日現在)では,Windows プラットフォーム用のパッチは公開されていない。レポートが公開された7月6日から,各種UNIXプラットフォームについてはパッチが順次公開されているものの,Windows プラットフォームについては「テスト中です。今しばらくお待ちください」という表記のままで,残念ながら未公開である。

 「テスト中」とされているのは,8.1.6.3 と 8.1.7.1に対応するパッチのみ。そのため,これら以外のバージョンでは,8.1.6.3 あるいは 8.1.7.1 へリリース・アップしてから,パッチを適用する必要がある。

 パッチが公開されていないWindows版のユーザー(管理者)は,TNSリスナー接続が利用するポート番号1521, 1526をファイアウオールやエッジ・ルーター(境界ルーター)で外部から遮断し,一時的に回避する必要がある。

 もし,社外から直接TNSリスナーに接続する運用形態をとっている場合には,IPアドレスなどで接続元を限定して,それ以外からの接続は拒否するように設定すべきである。

不正なパケットを送り込まれるセキュリティ・ホールが FireWall-1 に

 イスラエル Check Point Software Technologies の FireWall-1 および VPN-1 Version 4.1 にも重大なセキュリティ・ホールが見つかった。ファイアウオールをバイパスして,ポート番号 259/UDP 経由で不正なパケットを送り込まれる恐れがある。7月9日にCERT/CCから報告された([関連記事])。

 同日,Check Point Software Technologies からの正式なレポートである「RDP Communication Vulnerability」が公開されている。

 当然のことながら,AIX や HPUX, Linux, Solaris 等のUNIX系プラットフォームに限らず,Windows プラットフォームも影響を受ける。具体的な対応策は,FireWall-1(VPN-1)Version 4.1 に Service Pack 4を適用した後,パッチである「SP4 hotfix」を適用すること。注意点として,「SP4 hotfix」は「management stations」に適用するのであって,「firewall modules」に適用する必要はないことを挙げている。ただし,パッチの入手にはあらかじめユーザー登録し,ダウンロード用ページにアクセスするためのユーザーIDとパスワードを入手しておく必要がある。

 また,7月12日に追加された情報である「RDP Bypass workaround for VPN-1/FireWall 4.1 SPx 」には,設定変更による一時的な回避方法が記述されている。同情報の記述に従って特定ファイルを変更すれば,影響を受けないように FireWall-1(VPN-1)自身を設定することも可能なようである。しかしながら,エッジ・ルーターにてポート番号 259/UDPをブロックするほうがより簡単で確実だろう。

両ベンダーの日本法人の対応に格差

 代表的なソフトウエア・ベンダーだけあって,両社とも英語の情報提供やパッチの公開は素早かった。しかしながら,日本法人の対応には格差があった。上述のように,Oracle 8iのセキュリティ・ホールについては,公開から3日後に日本オラクルから日本語情報が公開された。しかし,Check Point Software Technologies の日本法人であるチェック・ポイント・ソフトウェア・テクノロジーズのWebサイトには,現在(7月16日時点)でも日本語情報は掲載されていない。

 また,これは日本法人の問題ではないが,Oracleのパッチは誰でも入手可能であるが,FireWall-1のパッチはユーザーIDとパスワードが必要であり,この点でも違いが見られる。

 パッチ提供に関しては,ベンダーのサポート・ポリシーが関係するので,「誰でも入手できるようにすべきだ」とは言えないが,ベンダーからの正式な警告レポートについてはきちんと各国語版を用意すべきであろう。今回のように影響度が大きいセキュリティ・ホールの場合にはなおさらである。チェック・ポイント・ソフトウェア・テクノロジーズは,日本語版のレポートをぜひ用意してもらいたい。

『Windows 2000』は新規の日本語版パッチが1件,情報追加が2件

 Windows関連のセキュリティ・トピックス(2001年7月18日時点分)を,各プロダクトごとに整理して解説する。

 『Windows 2000』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規の日本語版パッチが1件公開され,セキュリティ・ホール情報が2件追加された。

(1)SMTP サービスの認証エラーがメールの中継を可能にする

 Windows 2000 にデフォルトでインストールされる SMTP サービスが使用する認証プロセスにセキュリティ・ホールが存在するため,権限のないユーザーが不正な資格情報を使用して認証を受けられる可能性がある。その結果,メールの不正中継などに悪用される恐れがある。しかしながら,取得されるのはユーザー・レベルの権限で,管理者レベルの権限を取られることはない。

 なお,スタンドアロンのマシンだけが影響を受け,ドメイン・メンバーの場合には影響を受けない。また Exchange サーバーは,Windows 2000 で稼働している場合でも影響を受けない。さらに,当然のことながら SMTP サービスを無効にすれば回避可能である。通常は使っていないだろうから,無効にしても問題はないだろう。

 以上のように,簡単に回避可能なので危険性は低い。しかし,日本語版パッチが日本語情報の3日後に公開されているので,メンテナンスの機会にでも念のため適用しておこう。

(2)LDAP SSL で公開される機能がパスワードの変更を可能にする

 セキュリティ・ホール自体については既に紹介済みである。「LDAP SSL セッション」を使用している場合,ユーザーがディレクトリ・プリンシパルのデータ属性を変更する機能にセキュリティ・ホールが存在するため,ほかのユーザーのドメイン・ログイン・パスワードが変更可能となるものだ。最も深刻な場合には,攻撃者がドメイン管理者のアカウントにログインする可能性もある。

 今回,セキュリティ情報が更新され,修正パッチには 「(MS01-024)ドメイン コントローラへの不正なリクエストがメモリを使い果たす」の修正が含まれているとの情報が追加された。

(3)不要なデコーディング操作により IIS でコマンドが実行される

 これも既に紹介済みのセキュリティ・ホールである。Internet Information Server/Services(IIS)4.0/5.0 のユーザー・リクエスト解析バグを悪用されて,任意のコードをサーバー上で実行される恐れがある。

 今回,「警告」 欄が更新され,現行パッチがFTP および W3SVCでの UPN 形式のログオンを無効にするという,二次的影響の説明が追加された。要注意である。

『Windows NT 4.0』は日本語版パッチが1件追加

 『Windows NT 4.0』関連は,「マイクロソフト セキュリティ情報一覧」にて,セキュリティ・ホール情報が2件追加された。うち1件は上記『Windows 2000』の(3)と同じなので,もう1件のみを紹介する。

(1)不正な NTLMSSP リクエストによりシステム特権でコードが実行される

 これについても紹介済み。NTLMSSP(NTLM Security Support Provider)サービスに問題があることに起因しており,ローカルでログオンしているユーザーに,管理者レベルのアクセス権を取得される可能性があるというものであった。

 以前から公開されていたWindows NT 4.0 Server版に加え,今回 Windows NT 4.0 Server, Terminal Server Edition版 の日本語版修正パッチが公開された。必要に応じて適用しよう。

クライアント・アプリは新規のセキュリティ・ホールが1件,日本語版パッチが3件

 各種クライアント・アプリについては,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件,パッチが3件公開され,情報追加が1件あった。対象は Outlook,MS Word,NetMeeting,Internet Explorer。

(1)Outlook ビュー コントロールにより,安全でない機能が利用できる

 Microsoft Outlook 98/2000/2002 を使用している場合,攻撃者からWeb ページまたは HTML 形式の電子メールを介し,メールの削除,カレンダ情報の変更のほか,攻撃者が選択したコードを実行される可能性がある([関連記事])。原因は,Outlook メール フォルダを Web ページで表示できるようにする ActiveX コントロール「Microsoft Outlook ビュー コントロール」のセキュリティ・ホールである。日本語情報は公開されたが,残念ながら日本語版パッチは公開されていない。

 しかし,「Outlook 電子メール セキュリティアップデート」の適用と,Internet Explorer のインターネット ゾーンでActiveX コントロールを無効にするという2つの作業で簡単に回避可能である。

 どちらとも,このコラムでも何度もお知らせしているセキュリティ上の基本的な項目であるので,既に対応済みで危険度は低いと思われる。

 なお,「Outlook 電子メール セキュリティアップデート」の適用は,Outlook 2002を使っている場合,あるいは「Office 2000 Service Pack 2」を適用済みの場合は不要である。

(2)不正な Word 文書が自動的にマクロを実行する

 (2)以降のセキュリティ・ホールの内容については,いずれも既に紹介済みである。そのため,セキュリティ・ホールの詳細についてはそれぞれ過去のコラムなどを参照してほしい。まず(2)については,MS Word 2002/2000/98/97を使用している場合,Word文書を開いた際に自動的に悪意のあるマクロを実行させられ,あらゆる操作を許してしまう可能性があるというものであった。

 当初から公開されていたMS Word 2002/2000版パッチに加え,MS Word 98/97版の日本語版修正パッチが今回公開された。対象製品のユーザーは早速適用しておこう。

(3)テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する

 MS Word はマクロを実行する際にユーザーの承諾を必要とするセキュリティ・メカニズムを保有しているにも関わらず,攻撃者がテンプレートにマクロを埋め込み,これにリンクする RTF文書を他のユーザーに提供すると,ユーザーの承諾なしにマクロが実行される可能性があるというものであった。

 当初から公開されていたMS Word 2000版に加え,今回MS Word 98/97版の日本語版修正パッチが公開された。上記の(2)『不正な Word 文書が自動的にマクロを実行する』のパッチと共通なので,どちらかを適用すればよい。

(4)「NetMeeting リモート デスクトップ共有」の脆弱性に対する対策

 NetMeetingサービスには DoS 攻撃を受けるセキュリティ・ホールが存在するため,攻撃の間にCPU使用率が100%となり,一時的にNetMeetingサービスを提供するのを妨げられてしまう恐れがある。

 今回セキュリティ情報が更新された。新たにリリースされた修正パッチを適用すれば,従来のセキュリティ・ホールと新種のセキュリティ・ホールの両方を解消できるという。NetMeeting ユーザーは早速適用しておこう。

(5)Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう

 Internet Explorer 5.01/5.5 と Windows Scripting Host 5.1/5.5 が対象の,計4種のセキュリティ・ホールである。例えば,ユーザーが攻撃者の Web サイトを訪問したり,攻撃者が送信した HTML電子メールを開いた場合,攻撃者が選択したコードを実行してしまう可能性がある。

 今回セキュリティ情報が更新され,IE 5.01 SP1 の「キャッシュされたコンテンツ識別の脆弱性」 に関する「修正プログラムのインストール確認方法」 の情報が追加されている。

「TechNet セキュリティ センター」ではドキュメントが1件公開

 「TechNet セキュリティ センター」では,ドキュメントが1件公開された。「Microsoft セキュリティ パッチのダウンロード場所」というドキュメントで,セキュリティ パッチを掲載してあるMicrosoft の各 Web サイトとそれらの利点について説明している。

 「Microsoft ダウンロード センター」と「Windows Update サイト」の違いについて説明しているほか,パッチの開発に関しては比較的ローテク (例えば,「手動でインストールする必要がある」,「対応する言語が限られる」等) のパッチのリリースを優先し,その後自動的にインストール可能な,複数の言語に対応するパッチを開発しリリースするという方針を明確にしている。一応チェックしておくとよいだろう。

 なお,セキュリティ パッチといえば,以前のコラムでも述べたように,製品とサービスパックの組合せにより必要なパッチを検索できる,Microsoft TechNet Security「Security Bulletin Search」の日本語版を私は熱望している。これは,ユーザーすべてが望んでいるのではないだろうか。マイクロソフトは,提供することをぜひ検討していただきたい。



CERT Advisory CA-2001-16 Oracle 8i contains buffer overflow in TNS listener
 (CERT/CC:2001年 7月 3日 注:LACによる自主翻訳版)

セキュリティ情報 Net8およびSQL*NetのTNSリスナー関連の問題に関するお知らせがあります。
パッチ ダウンロード
 (日本オラクル:2001年 7月 6日)

CERT Advisory CA-2001-17 Check Point RDP Bypass Vulnerability  
 (CERT/CC:2001年 7月 9日 注:LACによる自主翻訳版)

RDP Communication Vulnerability  
 (Check Point Software Technologies:2001年 7月 9日)

マイクロソフト セキュリティ情報一覧

『Windows 2000』

◆(MS01-037)SMTP サービスの認証エラーがメールの中継を可能にする  
 (2001年 7月 6日:日本語情報新規公開,日本語版パッチ未公開)
 (2001年 7月 9日:日本語版修正パッチ公開)

◆(MS01-036)LDAP SSL で公開される機能がパスワードの変更を可能にする  
 (2001年 7月13日:修正パッチには MS01-024 で提供された修正が含まれているとの情報追加)

◆(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される  
 (2001年 7月 5日:「警告」 欄が更新され,現行パッチがFTP および W3SVCでの UPN 形式のログオンを無効にするという二次的影響を説明)

『Windows NT 4.0』

◆(MS01-026)不要なデコーディング操作により IIS でコマンドが実行される  
 (2001年 7月 5日:「警告」 欄が更新され,現行パッチがFTP および W3SVCでの UPN 形式のログオンを無効にするという二次的影響を説明)

◆(MS01-008)不正な NTLMSSP リクエストによりシステム特権でコードが実行される  
 (2001年 7月 2日:Windows NT 4.0 Server Terminal Server Edition の日本語版修正パッチが公開)

『Outlook』

◆(MS01-038)Outlook ビュー コントロールにより,安全でない機能が利用できる  
 (2001年 7月13日:日本語情報新規公開,日本語版パッチ未公開)

『MS Word』

◆(MS01-034)不正な Word 文書が自動的にマクロを実行する
 (2001年 7月11日:Microsoft Word 97 および Microsoft Word 98の日本語版修正パッチ公開,MS01-028と共通パッチ)

◆(MS01-028)テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する  
 (2001年 7月11日:Microsoft Word 97 および Microsoft Word 98の日本語版修正パッチ公開)

『NetMeeting』

◆(MS00-077)「NetMeeting リモート デスクトップ共有」の脆弱性に対する対策
 (2001年 7月 4日:新たにリリースされた修正パッチが従来のセキュリティ・ホールと新種のセキュリティ・ホールの両方を解消する情報が追加)

『Internet Explorer』

◆(MS01-015)Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう
 (2001年 7月 4日:IE 5.01 SP1 の「キャッシュされたコンテンツ識別の脆弱性」 に関する「修正プログラムのインストール確認方法」 の情報が追加)

TechNet セキュリティ センター

Microsoft セキュリティ パッチのダウンロード場所(2001年 7月 9日公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)