Archive for 9 月 9th, 2009

2009.09.09 水曜日

Posted in Typo, security on 9 月 9th, 2009 by gnome

09.09.09 の日・・・は無いかナ?
重陽(菊の節句)

ノストラダムスの大予言の日(1999.09.09) から10周年(笑)

カーネルズ・デー(カーネル・サンダース生誕 119年)OSのKernelじゃない・
※わーいまたやっちゃった(泣)

他にも
救急の日・温泉の日(大分県九重町)・占いの日・チョロQの日・吹き戻しの日・九九の日・ナインティナイン(吉本興業所属)の日・TOKYO MX(東京メトロポリタンテレビジョン)の日

----------
Microsoftの日
あるいはシス管の人が泣く日なのか?

2009年9月9日のセキュリティ情報
小野寺です
事前通知でお伝えした通り、セキュリティ情報 計5件 (緊急 5件)を公開しました。
また、セキュリティ情報を 1 件更新しています。

2009 年 9 月のセキュリティ情報

緊急MS09-045
詳細		JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (971961)
特別な細工がされたJScriptコードを含むWebサイトにアクセスすることで、コードが実行される可能性があります。
また、インストールしているInternet Explorerのバージョンによって、JScriptのバージョンが違います。Microsoft Update、WSUSやSystem Center等の更新プログラム配布ソリューションを利用している場合は、この辺が自動判別されるのですが、手動で配信する場合は、適用する更新プログラムに注意が必要です。
緊急MS09-046
詳細		DHTML 編集コンポーネントの Active X コントロール の脆弱性により、リモートでコードが実行される (956844)
特別な細工がされたWebサイト等を参照することで、コードが実行される可能性があります。
今回対策した脆弱性は、MS09-037(ATL)との関連性はなく別のものとなります。関連の有無に関わらず、早期の更新プログラムの適用をお勧めします。
緊急MS09-047
詳細		Windows Media Format の脆弱性により、リモートでコードが実行される (973812)
特別な細工がされた特定のメディアファイルを参照することで、コードが実行される可能性があります。
出所の不確かなメディアファイルの利用や、Web等でのストリーミングの利用により攻撃を受ける可能性がありますので、早期の更新プログラムの適用をお勧めします。
また、CVE-2009-2499は、日本から報告されたものになります。
緊急MS09-048
詳細		TCP/IP の脆弱性により、リモートでコードが実行される (967723)
特別な細工がされた特定の通信を受信することで、コードの実行または、サービス拒否となる可能性があります。
認証された通信ではなく、匿名の通信で攻撃が行える可能性があるため、早期の対応を強くお勧めします。なお、現時点でコードが実行される可能性ある脆弱性については、詳細は公開されていません。
緊急MS09-049
詳細		ワイヤレス LAN 自動構成サービスの脆弱性により、リモートでコードが実行される (970710)
特別な細工がされた無線フレームを受信することで、コードが実行否される可能性があります。
無線LANの受信可能範囲にあるコンピュータが影響を受ける可能性があります。早期の対応を強くお勧めします。なお、脆弱性については、詳細は公開されていません。

詳細をみれば判るのですが、見事に Windows7 x86/x64 は除外(影響を受けない)されています。

尚、現在 0-day 中の IIS FTPのセキュリティホールの穴埋めはされませんでした。

Microsoft September 2009 Black Tuesday Overview
September 2009 Security Bulletin Release
Assessing the risk of the September Critical security bulletins

MS09-045:
Microsoft Internet Explorer JScript arguments Invocation Memory Corruption Vulnerability
2009-04-28 - Vulnerability reported to vendor
アップルの事を笑えないじゃないか(笑)

----------
Cisco Router

MS-048に関連して、CiscoのルータにもCVE-2008-4609の脆弱性による DoS 攻撃の可能性があり、アドバイザリが出されています。

これは、TCPコネクションの洪水状態を作ることで接続状態もしくは終了待機状態を発生させ、任意のルータをDoS状態に追い込むことが可能です。

Cisco Security Advisory: TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products
When considering software upgrades, also consult http://www.cisco.com/go/psirt and any subsequent advisories to determine exposure and a complete upgrade solution.

In all cases, customers should exercise caution to be certain the devices to be upgraded contain sufficient memory and that current hardware and software configurations will continue to be supported properly by the new release. If the information is not clear, contact the Cisco Technical Assistance Center (TAC) or your contracted maintenance provider for assistance.

参考:
Cisco Guide to Harden Cisco IOS Devices
Limiting Access to the Network with Infrastructure ACLs

----------
TEH CLARITY BLUE (by Netbios)

Vista/2008/Windows 7 SMB2 BSOD 0Day
We have received a report from Tyler that a vulnerability affecting Microsoft SMB2 can be remotely crashed with proof-of-concept code that has been published yesterday and a Metasploit module is out.

We have confirmed it affects Windows 7/Vista/Server 2008. The exploit needs no authentication, only file sharing enabled with one 1 packet to create a BSOD. We recommend filtering access to port TCP 445 with a firewall.

リモートから SMB2(Port445)を経由して対象マシンに素敵な青空を描くことができる(BSoD)実証コードが送られてきたそうで、SANSでは実行可能であることを確認したようです。

まさかとは思いますが、WANに445をタレ流してる(Routerで外部へ/からの制御を行っていない)人は至急チェックしてみてください。
そろそろ、Port 137/138/139/445 の悪夢とオサラバしてほしいんですが・・

尚、SMB2サービスの停止は以下を参照してください。
Two Minute Drill: Overview of SMB 2.0
ど・・ドリル!?

Microsoft Windows SMB Processing Array Indexing Vulnerability

----------
Password of Microsoft SQL still have issue?

Microsoft SQL Server divulges passwords

SQL Server information disclosure non-vulnerability (09.09.02)

MS的には、SQLパスワードがメモリ上で平文展開されていても、管理権限がなければ読み取ることは不可能と主張。仮にmemory上のパスワードを読み取ったとしても、そこから他人のパスワードを抜き取るためには更に何段階かの Admin 権限コマンドの実行が必要としています。

対して、セキュ企業であるSentrigo は
Sentrigo's point is that since users often use the same passwords for different systems, this makes it unnecessarily easy for an attacker to compromise other applications.
大方のユーザは別のシステムでも同じパスワードを使いまわしているため、危険度が高まると警告・・・

あ・・耳が痛いですね(苦笑)

----------
Bot Bot Bot

2009年07月度 サイバークリーンセンター活動実績
7月の収集数は先月より減少傾向となっている。月末の収集数が大きく減少しているが、これは大量配布を行っていた海外の特定サイトからの収集数が大幅に減少したためである。この海外特定サイトは月末に新たな未知検体を配布する傾向にあったが、先月から配布時期が月初めに遷移している。

減少傾向というのはあくまでも検出検体ですからネ・・いまだに Gumblarを抱えている人もいる(苦笑)ようですので注意を怠らないようにしましょう。

----------
SQL お注射注意

チェックしておきたいぜい弱性情報<2009.09.08>
■PHPで開発された複数のWebサイト用プログラムにぜい弱性
PHPで開発されたWebサイト用プログラムにぜい弱性が計70件報告されています。8月17日の週に報告されたぜい弱性が計153件ですので,半分が PHPで開発されたWebサイト用プログラムに関するぜい弱性で,さらにその半分(全体の20%)がSQLインジェクションです。

SQLインジェクションによる被害報告例が、最近頻発していて微妙に恐怖感を感じていらっしゃる方、まずは既存のアプリ・コンポネンツのチェックから始めましょう
起こってしまったらもう終わりなご時勢ですので・・・

デジタルダイレクト、通販サイトからクレジットカード情報5万2000件流出
カード情報流出続報~「湘南乃風」など芸能関係通販サイトでも流出被害
カード情報流出続報~アリコジャパンは4228件に拡大、アミューズは891件増
アリコは内部犯行の可能性が高いという報道もありますね

----------
10,000,000

Opera 10、リリース1週間で1000万ダウンロードを達成
当方で利用してみた経験で判断するのなら、Opera利用者はハッピーなのではなかろうか。TechCrunchの記事でも触れたように、Opera 10はおそろしく速い。体感した速度はGoogle Chromeに匹敵する。また、速いだけではなく、閲覧時に不具合を生じるページもない。Operaの(刷新された)インタフェースにも完全に慣れてしまい、後戻りができないほどだ。

速いのはイインデスガ、(将来的にでも)アドオンが充実する環境でないと私は乗り換えられないかなぁ・・
まぁでも Operaには頑張ってほしいです。
Chromeは別の方向に向かってますしね・・

----------
DDoSのメカニズム

DDoS Response: Part 1
DDoS Response: Part 2

斜め読みですが、DDoSの発生事例から対処あたりを纏めてあります。
一般企業としてDDoSの対象になったらどうすることもできない部分もあるんですけどね~

----------
JPドメインなんかいらないってばさ

JPRSが「秘密結社 鷹の爪」とコラボ、JPドメイン啓発サイト開設

コメント欄にヒドイこといっぱい書かれてますが・・(苦笑)

個人的には Windows系の Shift-JIS(CP932) デフォルトってのをなんとかする啓蒙運動のほうが先だと思います。

EoF

1 Comment »

ホットワード padding margin 水曜日 Typo 重陽
割引クーポンまとめ情報 - クー割