セキュリティ関係(7/24)
■ JPCERT/CC Alert 2008-07-24 [続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起 (JPCERT/CC, 7/24)
昨日メモした、[DNS脆弱性の詳報が手違いで流出 (ITmedia, 7/23)]の件を踏まえ、再度の注意喚起。
II. 対象
影響を受ける主要な製品は以下の通りです。
- ISC BIND (BIND 8 を含む)
- Microsoft DNS サーバ
- 複数の Cisco 製品
- 複数の Juniper 製品 (Netscreen 社製品を含む)
- YAHAMA RT シリーズ
- 古河電工 FITELnet シリーズの一部詳細につきましては、下記 JVN Web サイトより各社の発表を確認してください。
JVNVU#800113
複数の DNS 実装にキャッシュポイズニングの脆弱性
http://jvn.jp/cert/JVNVU800113/index.html
なお JVN に記載されていない製品も影響を受ける可能性があります。上記
以外の DNS サーバをお使いの場合、ベンダにお問い合わせください。
III. 対策
各製品ベンダが提供する修正済ソフトウエアに製品をアップデートしてくだ
さい。これによりクエリーのソースポートがランダムになり、キャッシュポイ
ズニング攻撃の危険性を大幅に低減します。注意1:
Debian GNU/Linux や Fedora などで BIND を使用している場合、
named.conf に以下のような DNS クエリーのソースポートを固定する設定が
行われている場合があります。query-source port 53;
query-source-v6 port 53;このような場合、BIND をバージョンアップ後に設定を変更しないとキャッ
シュポイズニング対策として不十分です。変更方法につきましては各ベンダ
からの情報を参照してください。注意2:
対策後には DNS サーバからのクエリーのソースポートがランダムになりま
す。このため、ファイアウォールなどで DNS サーバからの通信が制限され
る可能性があります。設定変更の際には、事前にファイアウォールなどの設
定を確認することを推奨いたします。注意3:
DNS サーバをルータ等のゲートウェイ機器の内側に設置している場合、
NAT/NAPT 機能によってソースポートがランダムでなくなり、パッチによる
効果が無くなる可能性があります。ゲートウェイ機器などの NAT/NAPT 機能
を確認したり、DMZ に設置するなどの DNS サーバの設置環境の見直しをご検
討ください。
関連:
■ Thunderbird 2.0.0.16 リリースノート (Mozilla, 7/24)
8件の脆弱性が修正されている。
Thunderbird 2.0 セキュリティアドバイザリ − hunderbird 2.0.0.16 で修正済された脆弱性:
- MFSA 2008-34 CSS 参照カウンタのオーバーフローによるリモートコード実行
- MFSA 2008-33 ブロックリフローにおけるクラッシュとリモートコード実行
- MFSA 2008-31 自己署名証明書の代替名を利用したサーバ偽装
- MFSA 2008-29 不適切な .properties ファイルによる未初期化メモリの使用
- MFSA 2008-26 MIME 処理におけるバッファ長のチェック
- MFSA 2008-25 mozIJSSubScriptLoader.loadSubScript() による任意のコード実行
- MFSA 2008-24 キャッシュファイルからのクロームスクリプトの読み込み
- MFSA 2008-21 メモリ破壊の形跡があるクラッシュ (rv:1.8.1.15)
■ iPhoneの「Mail」と「Safari」にフィッシング攻撃の脆弱性 (CNET Japan, 7/24)
iPhone版の Mail と Safari にスプーフィングの脆弱性があり、フィッシング攻撃が可能。
影響を受けるのは、
- iPhone 1.1.4 および 2.0
パッチはまだ無い。関連:
- iPhoneにドメイン偽装の脆弱性が存在か (ITmedia, 7/24)
■ YouTube Blogに複数の脆弱性 (ITmedia, 7/24)
4件の脆弱性が存在し、クロスサイトスクリプティング攻撃やSQLインジェクション攻撃、情報流出などの恐れがあるもよう。
■ Critical Patch Update - July 2008 (Oracle)
2008年7月の Critical Patch Update 出てます。
■ Windows版Safariに脆弱性見つかる (ITmedia, 7/24)
深刻度は低い。パッチはまだ無い。