PR

この記事は,日立製作所のHIRT(Hitachi Incident Response Team)のスタッフがCSIRTの担当者に向け,ぜい弱性対策情報から得られた知見,ぜい弱性対策に関するアドバイス,ツールなどを紹介するものです。

 脆弱性の公開に伴い,その脆弱性を確認するための検証情報の公開や脆弱性を悪用したインデントが発生することがあります。脆弱性対策を推進する場合,脆弱性だけではなく,付随した情報をまとめて見たいと思うことがあります。そこで10月分の総ざらいとして,マイクロソフト,シスコ,オラクルなどが公開したセキュリティ・アドバイザリを対象に,CVSSの評価値,検証情報とインシデントとを一覧してみましょう。

■マイクソフト「2007年10月のセキュリティ情報」(2007/10/10)

 「2007年10月のセキュリティ情報」では,セキュリティ更新プログラム6件が公開されました。検証情報は,以前から知られていたものばかりです。また,Wordの脆弱性(MS07-060)については,その脆弱性を悪用するトロイの木馬「MDROPPER」が2007年10月のセキュリティ情報の公開され翌日の10月11日に出現しました。

< 7.8

番号CVE
(JVN)
CVSS検証情報インシデント
基本値現状値[*]
MS07-055
緊急
Kodak Image Viewerの脆弱性
CVE-2007-2217 9.3 6.9--
MS07-056
緊急
Outlook ExpressおよびWindowsメール用の累積的なセキュリティ更新プログラム
CVE-2007-3897 9.3 6.9--
MS07-057
緊急
Internet Explorer用の累積的なセキュリティ更新プログラム
CVE-2007-3893 6.8 5.0--
CVE-2007-3892 7.5 5.5--
CVE-2007-1091 6.8 5.3[1]-
CVE-2007-3826 9.3 7.3[2]-
MS07-058
重要
RPCの脆弱性
CVE-2007-2228 5.8--
MS07-059
重要
Windows SharePoint Services 3.0およびOffice SharePoint Server 2007の脆弱性
CVE-2007-2581 4.3 3.4[3]-
MS07-060
緊急
Microsoft Wordの脆弱性
CVE-2007-3899 9.3 8.1-[4]

[1] BID22680: Microsoft Internet Explorer OnUnload Javascript Browser Entrapment Vulnerability
[2] BID24911: Microsoft Internet Explorer OnBeforeUnload Javascript Browser Entrapment Vulnerability
[3] BID23832: Microsoft SharePoint Server Cross-Site Scripting Vulnerability
[4] Wordの脆弱性を狙ったウイルスが早速出現
<!--

 脆弱性の詳細については, MS07-056(iDefense: Microsoft Windows Mail and Outlook Express NNTP Protocol Heap Overflow), MS07-058(Zero Day Initiative: ZDI-07-055: Microsoft Windows DCERPC Authentication Denial of Service Vulnerability)が公開されています。 -->

■OpenSSL に複数の脆弱性(2007/10/12)

 2007年10月12日,openssl-0.9.8f がリリースされました。今回のリリースでは,リモートから任意のコードが実行可能な,DTLS(Datagram TLS: UDP上でTLSを利用する仕様)処理の脆弱性(CVE-2007-4995)と,SSL_get_shared_ciphers関数で発生する1バイトのバッファ・オーバーフローの脆弱性(CVE-2007-5135)の修正を行なっています。また10月19日には,バグ対策を行なった openssl-0.9.8g がリリースされました。

番号CVECVSS検証情報インシデント
基本値現状値[*]
secadv_20071012OpenSSLに任意のコードが実行される脆弱性
CVE-2007-5135 6.8 5.0--
CVE-2007-4995 9.3 6.9--

■Mozilla Firefox, Thunderbirdのセキュリティ・アップデート(2007/10/18)

 2007年10月18日のセキュリティ・アップデートでは,セキュリティ・アドバイザリ8件が公開されました。このうちMFSA2007-36は,Internet Explorer 7がインストールされたWindows XP上で発生し,一部のWeb関連URIの処理が不適切なために起因する脆弱性です。この脆弱性は,Adobe Acrobat Reader,Skypeなどの他のアプリケーションにも影響があることが報告されています。

番号CVE
(JVN)
CVSS検証情報インシデント
基本値現状値[*]
MFSA2007-29メモリー破壊の形跡があるクラッシュ(rv:1.8.1.8)
CVE-2007-5340 4.3 3.2--
CVE-2007-5339 4.3 3.2--
MFSA2007-30onUnloadイベントハンドラの「共連れ」
CVE-2007-1095 6.8 5.3[1]-
MFSA2007-31ダイジェスト認証リクエストの分割
CVE-2007-2292 7.8 5.8--
MFSA2007-32ファイル入力フォーカスの横取り
CVE-2007-3511 4.3 3.4[2]-
CVE-2006-2894 4.0 3.1[3]-
MFSA2007-33XUL ページによるウィンドウ・タイトルバーの隠ぺい
CVE-2007-5334 4.3 3.2--
MFSA2007-34SFTP プロトコルを通じた潜在的なファイル漏えい
CVE-2007-5337 4.3 3.2--
MFSA2007-35Script オブジェクトを通じた XPCNativeWraper汚染
CVE-2007-5338 9.3 6.9--
MFSA2007-36不正に%エンコードされたURIがWindowsによって誤って処理される
CVE-2007-4841 9.3 6.9--

[1] BID22688: Mozilla Firefox OnUnload Javascript Browser Entrapment Vulnerability
[2] BID24725: Mozilla Firefox OnKeyDown Event File Upload Vulnerability
[3] BID18308: Multiple Vendor Web Browser JavaScript Key Filtering Vulnerability

■RealPlayer に脆弱性(2007/10/19)

 2007年10月19日,RealPlayerの脆弱性を悪用するゼロデイ攻撃と,その脆弱性を悪用するトロイの木馬「Reapall」の報告とあわせて,修正プログラムがリリースされました。

番号CVECVSS検証情報インシデント
基本値現状値[*]
191007_playerRealPlayer playlist name 処理にスタックオーバーフローの脆弱性
CVE-2007-5601 9.3 8.1-[1]

[1] 「RealPlayer」に危険な脆弱性,「ゼロデイ攻撃」が出現

■オラクル「Oracle Critical Patch Update - October 2007」(2007/10/19)

 複数のオラクル製品とそのコンポーネントに複数のぜい弱性が確認されました。Oracle Critical Patch Update - October 2007 には,Oracle Database系で27個,Oracle Application Server系で11個のセキュリティ更新プログラムが含まれています。これらのぜい弱性は,該当するシステム上でのリモート攻撃者による任意のコード実行,情報の漏えい,サービス妨害(DoS: denial of service)などの影響を伴う可能性があります。オラクル製品の多くが,オラクル製品自身ならびにコンポーネントの取り込みや共有を行っているため,一つのぜい弱性がいろいろな製品やコンポーネントに影響を与えるので注意が必要です。

 脆弱性の詳細については,SQLサーバー脆弱性(SQL Slammer ワームが攻略した脆弱性)を発見したDavid Litchfield氏が, Next Generation Security Software Ltd.(Security Advisories)から公開しています。

番号CVECVSS検証情報インシデント
基本値現状値[*]
DB03Oracle CTX_DOC パッケージにおけるSQLインジェクション
CVE-2007-5508 5.5 4.1--
DB20Oracle RDBMS TNS DataパケットによるDoS脆弱性
CVE-2007-5506 5.0 3.7--
DB22XMLDB ftpサービスの脆弱性
CVE-2007-5507 5.0 3.7--
DB23Oracle TNS Listener における DoS 脆弱性
CVE-2007-5513 5.0 3.7--

■シスコ・セキュリティ・アドバイザリ [2007年8月~2007年10月]

 オラクルが3カ月ごとに実施するCritical Patch Updateに合わせ,今回もシスコの2007年8月~10月までのセキュリティ・アドバイザリの棚卸しをしてみたいと思います。

番号CVE
(JVN)
CVSS検証情報インシデント
基本値現状値[**]
cisco-sa- 20070808-scpCisco IOSにおけるSCPの実装においてユーザーの権限を適切にチェックしない問題
CVE-2007-4263 8.5 7.0[1]-
cisco-sa- 20070808-nhrpCisco IOSにおけるNHRP機能におけるバッファ・オーバーフローの脆弱性
CVE-2007-4286 8.5 7.7[2]-
cisco-sa- 20070808-IOS-IPv6-leakCisco IOS におけるIPv6パケットに関する脆弱性
CVE-2007-4285 5.8 4.8--
cisco-sa- 20070808-IOS-voiceCisco IOSとCisco Unified Communications Manager(CUCM)の音声通信に関する脆弱性
CVE-2007-4295 6.8 5.6--
CVE-2007-4294 6.8 5.6--
CVE-2007-4293 7.1 5.9--
CVE-2007-4292 9.3 7.7--
CVE-2007-4291 7.1 5.9--
cisco-sa- 20070815-vpnclientCisco VPN Clientにおける権限昇格に関する脆弱性
CVE-2007-4414 6.8 5.9[3]-
CVE-2007-4415 6.8 5.9[3]-
cisco-sa- 20070829-ccmCisco CallManagerとUnified Communications Managerのログオン・ページにXSSとSQL インジェクションの脆弱性
CVE-2007-4634 9.3 7.7[4]-
CVE-2007-4633 6.4 5.3[4]-
cisco-sa- 20070905-videoCisco Video Surveillance IP Gateway と Services Platform の認証に関する脆弱性
CVE-2007-4747 10.0 8.7[5]-
CVE-2007-4746 9.0 7.8[5]-
cisco-sa- 20070905-csmCisco Content Switching Moduleにサービス運用妨害を伴う脆弱性
CVE-2007-4789 7.8 6.4--
CVE-2007-4788 7.8 6.4--
cisco-sa- 20071010-wcsCisco Wireless Control System Conversion Utilityにおけるデフォルト・パスワード追加
CVE-2007-5382 10.0 8.3[6]-
cisco-sa- 20071017-IPCCCisco Unified CommunicationsのWebベースの管理機能に不正アクセスを伴う脆弱性
CVE-2007-5539 9.0 7.4--
cisco-sa- 20071017-cucmCisco Unified Communications Managerにサービス運用妨害を伴う脆弱性
CVE-2007-5538 10.0 8.3--
CVE-2007-5537 7.8 6.4--
cisco-sa- 20071017-asaCisco PIXとASAのMGCP/TLSパケット処理にサービス運用妨害を伴う脆弱性
CVE-2007-5569 7.1 5.9--
CVE-2007-5568 7.1 5.9--
cisco-sa- 20071017-fwsmFirewall Services Moduleにサービス運用妨害を伴う脆弱性
CVE-2007-5571 6.8 5.6--
CVE-2007-5570 7.8 6.4--

[**] シスコ・セキュリティ・アドバイザリに記載されている現状値を参照しています。またシスコ・セキュリティ・アドバイザリでは,「攻撃される可能性」に関して,特別な手法による攻撃が必要ない場合を除いては,「攻撃コードが存在し,ほとんどの状況で使用可能である」と評価しています。
[1] BID25240: Cisco IOS Secure Copy Security Bypass Vulnerability
[2] BID25238: CISCO IOS NHRP Remote Buffer Overflow Vulnerability
[3] BID25332: Cisco VPN Client for Windows Multiple Local Privilege Escalation Vulnerabilities
[4] BID25480: Cisco CallManager/Communications Manager SQL Injection and Cross-Site Scripting Vulnerabilities
[5] BID25549: Cisco Video Surveillance Products Multiple Authentication Vulnerabilities
[6] BID26000: Cisco Wireless Control System Insecure Password Vulnerability

HIRT(Hitachi Incident Response Team)とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。