エンタープライズ:トピックス 2002年6月07日更新

最近のセキュリティホールを一挙に整理

 6月に入ってからまだ1週間しかたっていないが、その間にも幾つか新たなセキュリティホールが発見された。その主なものを整理してみた。

BIND 9の脆弱点

 DNSサーバソフトの「BIND 9」のうち、バージョン9.2.1よりも以前のものにセキュリティ上の弱点が存在する。BIND 4/8系列には影響はないが、HP-UX、Caldera Open UNIXやなど、幾つかのOSに影響のあるBINDが含まれているという。

 この問題は、特定のDNSパケットが送りつけられるとBINDが停止してしまう、いわゆるDoS攻撃を受ける可能性があるというもの。ただしシャットダウン後、攻撃者がサーバ上で任意のコマンドを実行することはできない。BINDをカレントバージョンの9.2.1にアップグレードするか、各OSが提供するアップグレードパッケージを適用することで対策できる。

▼CERT advisory

▼ISS X-Force

▼BIND

▼RedHat Linuxが提供するアップデート

Internet ExplorerのGopherサポートの問題

 マイクロソフトのInternet Explorer(IE)5.5、6.0に組み込まれたGopherクライアントに、バッファオーバーフローの問題が発見された。HTML形式のメールやWebページから、悪意あるGopherサーバへとリダイレクトさせることで、攻撃者がユーザーのシステム上で任意のコードを実行するなど、システムを自由に制御できるという。

 この問題を発見したのは、フィンランドのセキュリティ企業、オンライン・ソリューションズだ。同社は5月20日に、この件をマイクロソフトに報告。マイクロソフトでは現在、問題の調査と修復パッチの作成に取り掛かっているというが、パッチ公開の次期は明らかにされていない。

 それまでは、IEでGopherプロトコルを無効にするか(10年前はいざ知らず、現在ではほとんど支障はない)、インターネット・オプションの設定を変更し、Gophorについてプロキシサーバを設定(プロキシサーバとして「Localhost」を、ポートは「1」を指定する)することで、問題を避けられるという。

▼Online Solutions

ASP.NETのバッファオーバーフロー(MS02-226)

 今年3月より提供が開始されたばかりの「Microsoft .NET Framework version 1.0」に、バッファオーバーフローの問題が発見された。このうちASP.NETコンポーネントに問題があり、DoS攻撃を受けたり、攻撃者が選んだ悪意あるコードを実行させてしまう可能性がある。

 具体的に影響があるのは、Windows 2000/XPでInternet Information Services(IIS)5.0以上を稼働させ、ASP.NETアプリケーションを利用している環境。マイクロソフトが公開したパッチを適用することで問題を解消できるが、適用には「.NET Framework Service Pack 1」が必要だ。

▼マイクロソフト:MS02-026に関する情報(要約)

▼米マイクロソフト:MS02-026 : Unchecked Buffer in ASP.NET Worker Process(Q322289)(詳細)

▼修正パッチ

WebDAVモジュール「mod_encoding」の脆弱点

 WebDAVの拡張モジュール「mod_encoding」に、セキュリティホールが発見された。6月6日に吉沢孝敏氏によって発見されたもので、これを受けて7日にWebDAV Resources JPが修正版を公開している。

 mod_encodingは、クライアントから送信される文字コードを変換してサーバに渡すことによって、日本語環境での文字化けを防ぐ拡張モジュール。だがこの脆弱点を悪用すると、Apacheの実行ユーザー権限でアクセスできる任意のファイルを読み出されてしまう可能性がある。少なくとも「mod_encoding-20011026a.tar.gz」「mod_encoding-20011211a.tar.gz」の2つのバージョンに影響があることが確認されているという。

 解決策は、この問題を修正した新バージョン「mod_encoding-20011211a-hotfix.tar.gz」を、WebDAV Resources JPよりダウンロードして入れ替える。または、mod_encoding-20011211aに含まれる「mod_encoding.c」の手動パッチの方法が公開されているので、これに基づいて修正の上、コンパイルとインストールを行ってもよい。

 また、Apache2向けに開発が進められている試作版にも同様の修正が施されている。

▼WebDAV Resources JP

IEのFTPサイト用フォルダ ビューの問題

 IEの「FTPサイト用フォルダ ビュー」に、アドレスとして与えられたスクリプトを実行してしまう脆弱性が発見された。影響があるのは、Windows 2000 SP2とIE5.5 SP1/IE 5.5 SP2/IE6.0の組み合わせだ。

 IEの詳細設定のオプション「FTPサイト用のフォルダ ビューを使用する」と、フォルダのオプション「フォルダでWebコンテンツを使う」の両方が、初期設定のまま選択されていると、アドレスとして入力されたスクリプトが「マイコンピュータゾーン」の権限で実行されてしまう。危険性は大きい。解決策としては、上記のオプションのいずれかを無効にする。

 なお、この問題を発見したのは、Eiji James Yoshida氏。同氏は2001年12月22日に米マイクロソフトにこの問題について報告したが、半年以上経っても同社からの公式な対応はなく、情報も公開されていないという。

▼Microsoft Internet Explorer 'Folder View for FTP sites' Script Execution vulnerability(Bugtraq)

▼penetration technique research site

[ ITmedia]