<<< JPCERT/CC WEEKLY REPORT 2009-01-07 >>>
■12/21(日)〜01/03(土) のセキュリティ関連情報
目 次
【1】Microsoft SQL Server に脆弱性
【2】Trend Micro HouseCall ActiveX コントロールに複数の脆弱性
【3】Mayaa にクロスサイトスクリプティングの脆弱性
【4】サッポロワークスの BlackJumboDog に脆弱性
【5】MD5 を使用した X.509 証明書に偽造の可能性
【今週のひとくちメモ】インターネットセキュリティの歴史 第24回「ボットネット」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr090101.txt
https://www.jpcert.or.jp/wr/2009/wr090101.xml
【1】Microsoft SQL Server に脆弱性
情報源
US-CERT Vulnerability Note VU#696644
Microsoft SQL Server fails to properly validate parameters to the sp_replwriterovarbin extended stored procedure
http://www.kb.cert.org/vuls/id/696644US-CERT Current Activity Archive
Microsoft Releases Security Advisory (961040)
http://www.us-cert.gov/current/archive/2008/12/23/archive.html#microsoft_releases_security_advisory_961040
概要
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシー ジャのパラメータ処理に脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行する可能性があります。なお、本脆弱性に関する 実証コードが既に公開されています。 対象となる製品およびバージョンは以下の通りです。 - Microsoft SQL Server 2000 Service Pack 4 - Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4 - Microsoft SQL Server 2005 Service Pack 2 - Microsoft SQL Server 2005 x64 Edition Service Pack 2 - Microsoft SQL Server 2005 with SP2 for Itanium-based Systems - Microsoft SQL Server 2005 Express Edition Service Pack 2 - Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2 - Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4 - Microsoft SQL Server 2000 Desktop Engine (WMSDE) - Windows Internal Database (WYukon) Service Pack 2 2009年1月6日現在、この問題に対する修正プログラムは提供されていま せん。回避策としては、sp_replwritetovarbin 拡張ストアド プロシー ジャへのアクセスを拒否するなどの方法があります。詳細については、 Microsoft が提供する情報を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (961040)
SQL Server の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/961040.mspxJapan Vulnerability Notes JVNVU#696644
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性
http://jvn.jp/cert/JVNVU696644/index.html@police
SQL Server の脆弱性について
http://www.cyberpolice.go.jp/important/2008/20081223_125244.html
関連文書 (英語)
Microsoft Security Vulnerability Research & Defense
More information about the SQL stored procedure vulnerability
http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-procedure-vulnerability.aspx
【2】Trend Micro HouseCall ActiveX コントロールに複数の脆弱性
情報源
US-CERT Vulnerability Note VU#702628
Trend Micro HouseCall ActiveX control notifyOnLoadNative() uses previously free'd memory
http://www.kb.cert.org/vuls/id/702628US-CERT Vulnerability Note VU#541025
Trend Micro HouseCall ActiveX control does not adequately validate update server parameters
http://www.kb.cert.org/vuls/id/541025US-CERT Current Activity Archive
Trend Micro Releases Updates for HouseCall
http://www.us-cert.gov/current/archive/2008/12/23/archive.html#trend_micro_releases_updates_for
概要
Trend Micro HouseCall ActiveX コントロールには、複数の脆弱性があ ります。結果として、遠隔の第三者が細工した HTML 文書を閲覧させる ことで該当する ActiveX コントロールを使用しているユーザの権限で 任意のコードを実行したり、任意のファイルを書き込んだりする可能性 があります。 対象となるバージョンは以下の通りです。 - Trend Micro HouseCall ActiveX コントロール 6.6.0.1285 より前の バージョン この問題は、Trend Micro が提供する修正済みのバージョンに HouseCall ActiveX コントロールを更新することで解決します。
関連文書 (英語)
Trend Micro
[Hot Fix] B1285 - Trend Micro HouseCall 6.6 ActiveX Control"notifyOnLoadNative()" Vulnerability
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1038646&id=EN-1038646
【3】Mayaa にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#17298485
Mayaa におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN17298485/index.html
概要
Seasar プロジェクトが提供する Mayaa の標準のエラー画面には、クロ スサイトスクリプティングの脆弱性があります。結果として、遠隔の第 三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Mayaa 1.1.22 およびそれ以前 この問題は、Seasar プロジェクトが提供する修正済みのバージョンに Mayaa を更新することで解決します。
関連文書 (日本語)
Mayaa
Mayaa 1.1.22 以前にクロスサイトスクリプティングの脆弱性
http://mayaa.seasar.org/news/vulnerability20081225.html
【4】サッポロワークスの BlackJumboDog に脆弱性
情報源
Japan Vulnerability Notes JVN#98063934
BlackJumboDog における認証回避の脆弱性
http://jvn.jp/jp/JVN98063934/index.html
概要
サッポロワークスのイントラネット用簡易サーバ機能を持つソフトウェ ア BlackJumboDog には、脆弱性があります。結果として、遠隔の第三 者が BlackJumboDog の認証機能を回避する可能性があります。 対象となるバージョンは以下の通りです。 - BlackJumboDog Ver4.2.2 およびそれ以前 この問題は、サッポロワークスが提供する修正済みのバージョンに BlackJumboDog を更新することで解決します。
関連文書 (日本語)
サッポロワークス
BJDのWebサーバの認証機能に重大なセキュリティ問題
http://homepage2.nifty.com/spw/info/secure2.html
【5】MD5 を使用した X.509 証明書に偽造の可能性
情報源
US-CERT Vulnerability Note VU#836068
MD5 vulnerable to collision attacks
http://www.kb.cert.org/vuls/id/836068US-CERT Current Activity Archive
Rogue MD5 SSL Certificate Vulnerability
http://www.us-cert.gov/current/archive/2008/12/31/archive.html#md5_hashing_algorithm_vulnerability
概要
MD5 の collision attack を使用して、X.509 証明書の偽造に成功した という研究発表が行われました。この攻撃により、攻撃者はオリジナル の証明書と同一の署名を持つ、別の証明書を生成する可能性があります。
関連文書 (日本語)
マイクロソフト セキュリティ アドバイザリ (961509)
研究機関によるMD5対する衝突攻撃(collision attack)の実現可能性にの実証に関して
https://www.microsoft.com/japan/technet/security/advisory/961509.mspx
関連文書 (英語)
Mozilla Security Blog
MD5 Weaknesses Could Lead to Certificate Forgery
http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/Tim Callan's SSL Blog
This morning's MD5 attack - resolved
https://blogs.verisign.com/ssl-blog/2008/12/on_md5_vulnerabilities_and_mit.php
■今週のひとくちメモ
○インターネットセキュリティの歴史 第24回「ボットネット」
2004年ころから「ボット」や「ボットネット」への注目が高まってきま した。ボットという名前は IRC の自動対話プログラムが「bot」と呼ば れていたことに由来します。その名前の由来から分かるとおり、ボット の最大の特徴はユーザの PC に感染した後に定期的に C&C (Command and Control) サーバと呼ばれるコンピュータと対話を行い、 ハーダー (Herder) と呼ばれるボットネット管理者からの指示に従って 動作する点にあります。一般に何百〜何千という数のボットに感染した マシン群とその C&C サーバをまとめて、ボットネットと呼びます。 ハーダーはボットネットを使いスパム送信や DDoS 攻撃などを行います。 また、ハーダーは管理するボットネットを迷惑メール送信者などに貸し 出すビジネスも行っています。 現在も進化を続けるボット及びボットネットに対して、国内外で様々な 対策が行われています。たとえばアメリカでは FBI によって 「Operation Bot Roast」というプロジェクトが行われ、大規模なボッ トネットの管理者を逮捕しています。日本では、2006年から総務省およ び経済産業省が共同でサイバークリーンセンタープロジェクトというボッ ト感染者を減らすための試みを行っています。
参考文献 (日本語)
サイバークリーンセンター
https://www.ccc.go.jp/@police
平成17 年下半期(7〜12 月)におけるbotnet 観測システム観測結果
http://www.cyberpolice.go.jp/detect/pdf/20060316_botnet.pdf
参考文献 (英語)
Federal Bureau of Investigation
OPERATION: BOT ROAST
http://www.fbi.gov/page2/june07/botnet061307.htm
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/