PR

Hitach Incident Response Team

 2010年10月10日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

ASP.NETのセキュリティアップデート(定例外)(2010/09/29)

 2010年9月18日に公開されたASP.NETのぜい弱性(CVE-2010-3332)を解決するためのセキュリティアップデートがリリースされました。復号化処理中に出力される詳細なエラーコードが、暗号化されたデータの復号に悪用されてしまう可能性があるという問題です。この攻撃手法は、パディングオラクル攻撃と呼ばれています。暗号文としてデータ列を送付し、パディングが不正である場合に発生するエラーなどを用いて、データ列が暗号文として適切かどうかを判定する手法です。繰り返し実行することでデータ列の解読につながる可能性があります。

 セキュリティアップデートが定例外リリースされるまでの経緯を振り返っておきましょう(図1)。報告されたぜい弱性は限定的ですが、既に侵害活動に利用されています。ASP.NETのセキュリティアップデートの適用を確認してください。

図1●ぜい弱性(CVE-2010-3332)の対応経緯

[参考情報]

Samba 3.5.6リリース(2010/10/08)

 Samba 3.5.6がリリースされました。ただしこのリリースでは、バグフィックスが中心で、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

PostgreSQL 最新版リリース(2010/10/04)

 PostgreSQLの各シリーズの最新版(9.0.1、8.4.5、8.3.12、8.2.18、8.1.22、8.0.26、7.4.30)がリリースされました。

[参考情報]

Cyber Security Bulletin SB10-277(2010/10/04)

 9月27日の週に報告されたぜい弱性の中からPHPで開発されたWebサイト用プログラムのぜい弱性を取り上げます(Vulnerability Summary for the Week of September 27, 2010)。

■PHPで開発されたWebサイト用プログラムのぜい弱性

 9月27日の週に報告されたPHPで開発されたWebサイト用プログラムのぜい弱性は計18件です。2010年7月~9月までの3カ月間についてみると、米国ぜい弱性データベースNVDに登録されたCVEの件数は計992件でした。このうちPHPで開発されたWebサイト用プログラムのぜい弱性は216件(22%)でした(図2)。ぜい弱性の種別は、SQLインジェクション(CWE-89)、クロスサイトスクリプティング(CWE-79)、パストラバーサル(CWE-22)が上位を占めています(図3)。

図2●PHPで開発されたWebサイト用プログラムのぜい弱性登録件数
図2●PHPで開発されたWebサイト用プログラムのぜい弱性登録件数

図3●PHPで開発されたWebサイト用プログラムのぜい弱性種別
図3●PHPで開発されたWebサイト用プログラムのぜい弱性種別


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ


『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。