2013年01月の記事 - ネットワーク管理者というお仕事

ネットワーク管理者というお仕事

元ネットワーク管理者のブログ。最初はネットワーク管理を中心に書いていましたが、最近はユーザ寄りのお話が多めです

Sponsored link 
UPnPのSDKであるlibupnpに脆弱性が見つかったそうです。US-CERTの脆弱性情報によるとCiscoやSONY、NEC(JVNVCだと調査中)等、libupnpを採用しているメーカーも多いようですので使用している機器が対象に入ってないか確認しておいた方がいいでしょうね。まあ大抵の場合は最初から外のポートを閉じているだろうから、焦る必要はそれ程ないんだろうけど。


  Portable SDK for UPnP にバッファオーバーフローの脆弱性(JVN)
  http://jvn.jp/cert/JVNVU90348117/index.html


  Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP(US-CERT)
  http://www.kb.cert.org/vuls/id/922681



ちなみに過去に見つかったUPnP関係の脆弱性を検索してみましたので、脆弱性のチェックにどうぞ

  脆弱性対策情報データベース検索(JVN)
  http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&useSynonym=1&keyword=UP%82%8EP

まあ対象機器に入っていなくてもUPnPを使わないのであれば停めておくのが得策かな。



追記:
Ciscoのセキュリティアドバイザリ

Portable SDK for UPnP Devices Contains Buffer Overflow Vulnerabilities(Cisco)
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130129-upnp



追記2:

この脆弱性を報告したRapid7のページ。ホワイトペーパーやチェックツール(ご使用は自己責任で)へのリンクもあります。これを見るとMiniUPnP v1.0の脆弱性も指摘されていますね。CERTの続報があるかも

Security Flaws in Universal Plug and Play: Unplug, Don't Play
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play


また、このホワイトペーパーを読むとインターネットからのM-SEARCHリクエストに応答したデバイスが8100万もあったそうで、UPnP SOAPを受け付けているデバイスもかなりあり、こちらは1725万と見積もったようです。想像以上に多いですね。
ただし、SSDPやSOAPが外部に公開されているのはmisconfiguredによるものとなっており、libupnpやMiniUPnPの脆弱性とは別に書かれています。このホワイトペーパーを読んだのは、今回のlibupnpやMiniUPnPの脆弱性によりSSDPやSOAPが外部から利用できるようになっている可能性を気にしたからなのですが、その心配は無さそうですね。一方で、今回の脆弱性がなくとも外部からSSDPやSOAPが利用できる状況自体問題だと思われますので、今回の対象機器以外の場合でも念のため設定の確認はしておいた方が良さそうではあります。


長々と書いてしまいましたが今回の件は以上(多分)。正直、英語力には自信がありませんので、本件について気になる方は自分で調べてみて下さい。Rapid7のホワイトペーパーは結構勉強になるかも


関連記事
先日、Java7 Update11が公開されましたが、Update11にも2件の脆弱性が見つかったそうです。また、そのUpdate 11へびアップデートを装う不正プログラムも出回っているそうですのでご注意を。

 Javaアップデートを装う不正プログラムが流通(@IT)
 http://www.atmarkit.co.jp/ait/articles/1301/21/news105.html

 Java 7 Update 11 Still has a Flaw(ISC)
 https://isc.sans.edu/diary/Java+7+Update+11+Still+has+a+Flaw/14983


Java7 Update11が公開された時の記事に追記しましたが、US-CERTに書かれているようにJavaを使わないのであればJavaプラグインは無効にしておいた方が良さそうですね。
関連記事
CiscoのUnified IP Phones 7900シリーズに脆弱性が見つかったということで、Ciscoのサイトにセキュリティアドバイザリーが掲載されています。盗聴に繋がる恐れがあるということでちょっと怖いですね。


 CiscoのIPフォンに脆弱性、物理アクセスで盗聴につながる恐れ(IT media)
 http://www.itmedia.co.jp/enterprise/articles/1301/11/news034.html


 Cisco Unified IP Phone Local Kernel System Call Input Validation Vulnerability(Cisco)
 http://www.cisco.com/cisco/web/support/JP/111/1117/1117015_cisco-sa-20130109-uipphone-j.html

関連記事
Java 7 Update 11が出ていたのでJavaコントロールパネルからアップデートしました。下記記事によると先日書いた脆弱性に対処しているとのこと。

 Oracle、Java 7 Update 11を公開 脆弱性に対処(IT media)
 http://www.itmedia.co.jp/news/articles/1301/14/news012.html


Oracleの公式ページにもありますので、Javaコントロールパネルからアップデート出来ないかたはこちらから

 Javaのダウンロード(Oracle)
 http://java.com/ja/

 全オペレーティング・システムのJavaのダウンロード一覧(Oracle)
 http://java.com/ja/download/manual.jsp


なお、Javaコントロールパネルの"ブラウザでJavaコンテンツを有効にする"という項目をチェックしない状態でJavaコントロールパネルからUpdate 11にアップデートした所、アップデート後もチェックは外れたままでJavaプラグインもブラウザに入っていませんでした。CERTやJVNの情報が更新されるまで、私はこの状態で様子を見る予定です。

--
2013/1/15追記1
上記ダウンロード先はJRE (Java Runtime Environment)のみですので、JDK (Java Development Kit)を使っている方は別途アップデートする必要があります。JDKは下記リンク先にあります。

 Java SE Downloads(oracle) 
 http://www.oracle.com/technetwork/java/javase/downloads/index.html


2013/1/15追記2
本日、JPCERT/CCに本件に関する注意喚起が掲載されています。またJVNの方も資料が更新されており、共に対策はUpdate 11へのアップデートになっています。

 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起(JPCERT/CC)
 http://www.jpcert.or.jp/at/2013/at130004.html



2013/1/16追記
US-CERTの脆弱性情報だと、ブラウザ上でJava使わないのであれば、今後発見されるかもしれない脆弱性からの影響を軽減するために、Update11にした後も引き続きJavaプラグインを無効にすることを検討して下さいとなってます。あと、ネットワーク管理者に対してProxy等でJavaアプレットへのアクセスを止めることも提案していますね。

 Oracle Java 7 Security Manager Bypass Vulnerability(US-CERT)
 http://www.kb.cert.org/vuls/id/625617

関連記事
JVNにJava7の脆弱性が掲載されています。JVNの脆弱性分析結果は緊急で、既に本脆弱性を使用した攻撃コードが公開されており攻撃も観測されているそうです。

  JVNTA13-010A Oracle Java 7 に脆弱性
  http://jvn.jp/cert/JVNTA13-010A/


現時点では対応策はないようですが、各ブラウザでJavaプラグインを無効にすることで本脆弱性の影響を軽減することが可能だそうです。

なお、最新のJava 7 Update 10であればJavaコントロール・パネルに「ブラウザでJavaコンテンツを有効にする」という項目があります※。私の環境で試した所、使っている複数のブラウザのプラグインからJavaが消えていましたので、私はこの項目を無効にすることで対応しています。戻すことも考えると個別は面倒なので(特にIE)

  コントロール・パネルからJavaを有効にするにはどうすればよいですか。(oracle)
  http://java.com/ja/download/help/enable_panel.xml

  Javaが動作しているかの確認は↓か、ブラウザの設定で確認
  コンピュータで Java が動作しているかどうかをテストするにはどうすればよいですか?(Oracle)
  http://java.com/ja/download/testjava.jsp



※最初、私のJava 7 Update10では「ブラウザでJavaコンテンツを有効にする」がありませんでしたが、再インストールした所、表示されるようになりました。原因は不明。アップデート時のバグかなんかかな


2013/1/16追記
Oracleから本脆弱性に対処したJava7 update11が出ましたので、本件に関して新たに記事を書きました。本脆弱性について調べている方はこちらもご確認を

  Java7 update11が公開されています(当ブログ)
  http://netstaff.blog92.fc2.com/blog-entry-224.html


関連記事
マイクロソフトからセキュリティアドバイザリーが出ています。Windows XPとWindows Server 2003、または失効した証明書の自動更新ツール(KB2677070)をインストールしていない場合は、Microsoft Update等で2798897更新プログラムを適用するよう推奨していますのでご確認を。


  マイクロソフト セキュリティ アドバイザリ (2798897)
  http://technet.microsoft.com/ja-jp/security/advisory/2798897

  トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに(CNET)
  http://japan.cnet.com/news/service/35026500/



なお、vista以降の場合は失効した証明書の自動更新ツール(KB2677070)が2012年6月13日からWindows updateで公開されていますが、vista以降のユーザもきちんと適用されているか念のため確認しておいた方がいいでしょうね。



その他のセキュリティアドバイザリーはこちら

 マイクロソフト セキュリティ アドバイザリ
 http://technet.microsoft.com/ja-jp/security/advisory/

こちらも日々のチェック等に便利

 JPCERT/CC
 http://www.jpcert.or.jp/


より細かい脆弱性情報はこちら

 JVN iPedia
 http://jvndb.jvn.jp/


関連記事
| ホーム |