セキュリティホール memo - 2009.03

Last modified: Tue Nov 17 18:47:37 2009 +0900 (JST)

【CSL】CSL緊急注意喚起レポート 〜新手のSQLインジェクションを行使するボットの確認〜 (LAC, 2008.10.06 改訂) で示されているような IPS / WAF 回避手法が、 ASP.NET においても、特定の条件においては有効になってしまうという指摘。 下記条件の場合、ASP.NETでも類似の回避手法が存在することが分かった。 ASP.NET 1.1を利用している(ASP.NET 2.0以上の場合は問題なし)

HTTPリクエストの文字エンコーディングとしてUTF-8を利用している この場合に、「不正なUTF-8シーケンス」をASP.NETは除去することが分かった。 ASP.NET 2.0 にはこの欠陥はないそうだ。

こういう欠陥だそうです。 ユーザーが非公開文書に画像をエンベッドすると、その画像ファイルはGoogleのサーバにアップロードされるが、このファイルはユーザーがアクセスを許可していない相手もアクセスしダウンロードが可能になっている。しかもユーザーが問題の文書を削除した後でもこのファイルには依然として誰でもアクセス可能なのだ。 Googleが昨日発表した作図機能を利用して図を作り、それを文書にエンベッドして誰かと共有した場合、その共有相手は、エンベッドされた図のすべてのバージョンを閲覧できる ユーザーが共有相手から誰かを削除した後でも、オーナーが知らない間に、その相手はある方法でその文書に依然としてアクセス可能な場合がある。 なんだか、 名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス の件ににひどく似ているような。おまけに、Google 様からはこんな回答が得られているそうで。 現在まで入手できた情報に基づく限り、指摘のあった問題はGoogleドキュメントに重大なセキュリティー上の危険をもたらすものではないと考えています。 (小島注: 原文は Based on the information we've received, we do not believe there are significant security issues with Google Docs. )

OpenSSL 0.9.8j 以前に 3 つの欠陥。 ASN1_STRING_print_ex() を使って BMPString や UniversalString を印刷する場合に、文字列の encoded length が不正だと、不正なメモリアクセスが発生して crash する。 CVE-2009-0590

OpenSSL の Cryptographic Message Syntax (CMS) 対応コードに欠陥。 CMS_verify() に欠陥があり、エラー状況を正しく処理できない。 CVE-2009-0591 CMS は OpenSSL 0.9.8h 以降でサポートされている。

izeof(long) < sizeof(void *) となるような環境 (例: WIN64) において、細工された ASN1 structure の処理において不正なメモリアクセスが発生して crash する。CVE-2009-0789 OpenSSL 0.9.8k で修正されている。iida さん情報ありがとうございます。

アラート アドバイザリ：Webコンソールの管理者権限を持たないユーザが管理者権限を必要とする一部の設定を変更できる問題：HTTP通信において、Proxy-Authorizationヘッダが削除されずWebサーバ側に到達してしまうことがある問題 (トレンドマイクロ, 2009.03.18) InterScan Web Security Suite 2.x / 3.x、InterScan Web Security Appliance 3.x 話。修正モジュールがあるので適用すればよい。

Trend Micro ビジネスセキュリティ 5.0 Patch 2 公開のお知らせ (トレンドマイクロ, 2009.03.18) 過去に公開された critical patch の内容を含んでいます。ビジネスセキュリティ 5.0 patch 1 の日本語版は存在しないのだそうで。

[JS09001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について 一太郎 Lite 2 の patch が登場しました。 [JS09001] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2009.03.23 改訂) を参照。

BIND 9.5.1-P2 / 9.4.3-P2 登場。 BIND 9.4.x / 9.5.x で DNSSEC Lookaside Validation (DLV) を利用する場面において、未知の署名アルゴリズムが使用されている場合には「署名されていない」として扱うべきであるにもかかわらず、「署名検証に失敗」としてしまう欠陥があった。これが修正されている。 2009.03.15 に .gov における DLV 運用が開始されたのだそうで。しかし上記の欠陥のため中断しているみたい。で、2009.05.01 に再開されるみたい。

iTunes 8.1 登場。2 件の欠陥が修正されている。 iTunes Digital Audio Access Protocol (DAAP) の処理において無限ループが発生する。このため、攻略 DAAP メッセージによる DoS 攻撃が可能。Windows 版 iTunes でのみ発生する。Mac 版にはこの欠陥はない。 CVE-2009-0016

iTunes におけるポッドキャストの扱いに設計上の欠陥があり、 攻略ポッドキャストを講読すると、iTunes のユーザ名とパスワードが開示されてしまう。This update addresses the issue by clarifying the origin of the authentication request in the dialog とあるので、もともとの実装では origin が表示されず、ダイアログの偽装 が可能だった、ということかな。 CVE-2009-0143

Adobe Reader/Acrobatに新たな脆弱性、Adobeがアドバイザリを公開の件、 予定どおり Acrobat 9.1 / Adobe Reader 9.1 出ました。 CVE-2009-0658 今後の予定: Adobe Reader 7 / 8 および Acrobat 7 / 8 の fix が 2009.03.18 に登場予定。

Adobe Reader 9.1 for Unix は 2009.03.25 に登場予定。

もうそんな季節。緊急 x 1、重要 x 2。全て Windows 本体が対象。要再起動。

Firefox 3.0.7 登場。5 件のセキュリティ欠陥が修正されている。5 件の欠陥はいずれも SeaMonkey / Thunderbird にも影響しており、 SeaMonkey 1.1.15 / Thunderbird 2.0.0.21 で修正される予定。 iida さん情報ありがとうございます。 2009.03.21 追記: Thunderbird 2.0.0.21 出ました。 Thunderbird 2.0.0.21 での変更点 (mozilla.jp)。上記 Firefox 3.0.7 で修正された 5 件のセキュリティ欠陥のうち 4 件が修正されている。残り 1 件 (MSFA2009-11) は、実は Thunderbird には影響しない (Firefox のみに影響する) 事が明らかになったのだそうだ。

Opera 9.64 登場、複数のセキュリティ欠陥が修正されている。 攻略 JPEG ファイルによって任意のコードを実行できる欠陥

プラグインを使ってクロスドメインスクリプティングを実行できる欠陥。 詳細はまだ公開されていない。

moderately severe な欠陥。詳細はまだ公開されていない。 加えて、DEP や ASLR への対応といった機能追加もされている。

ClickJacking の概要解説と X-FRAME-OPTIONS の概要および設定方法の解説。X-FRAME-OPTIONS には、IE8 の他、NoScript 1.8.9.9 以降も対応している。