PR

Hitach Incident Response Team

 2011年9月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米シスコ Nexus 5000、3000シリーズにアクセス制御迂回の脆弱性(2011/09/07)

 Nexus 5000、3000シリーズのスイッチには、アクセス制御リストのうちの拒否リストを迂回することができてしまう脆弱性(CVE-2011-2581)が存在します。IPv4、IPv6、MAC用のアクセス制御リストが影響を受け、QoS、route-map用は影響を受けません。

[参考情報]

認証局DigiNotarから発行された不正な電子証明書問題(続報)(2011/09/04)

 2011年8月19日、オランダの認証局DigiNotarが不正侵入を受け、google.comを含むいくつかの不正な電子証明書が発行されてしまった問題(認証局DigiNotarから発行された不正な電子証明書問題)の続報です。

 9月5日、オランダ政府のCSIRTであるGovcert.nlから、攻撃者によって作成された不正な電子証明書のCommon Nameリストが公開されました(図1)。この情報は、オランダのセキュリティベンダーFox-ITの中間報告に基づいたものです。また、同日に公開されたFox-ITの中間報告では、計531個の不正な電子証明書が発行されていたこと、さらに、認証局のシステムについて、一つの管理者権限アカウントですべての認証サーバーにアクセス可能なWindows環境で構築されていたこと、管理者権限アカウントのパスワードはブルートフォース攻撃で容易に解読可能であったこと、蔵置されたマルウエアはウイルス対策ソフトで検知可能なものであったこと、公開されていたサーバーで使用していたソフトはパッチが当てられておらず、サポート期間も終了していたことなどが報告されています。

 9月6日、マイクロソフト Internet Explorer、Mozilla Firefox、Mozilla Thunderbird、Google Chromeでは、上記の状況を踏まえて、DigiNotar Root CA、DigiNotar PKIoverheid CAを信頼できない証明書として明示的にリストアップして、不正な電子証明書を受け入れないよう追加対策しました(写真1)。

図1●認証局DigiNotarから発行された不正な電子証明書問題の対応経緯
図1●認証局DigiNotarから発行された不正な電子証明書問題の対応経緯

写真1●Internet Explorerでの対策(信頼されない発行元に不正な電子証明書を登録)
写真1●Internet Explorerでの対策(信頼されない発行元に不正な電子証明書を登録)

[参考情報]