チェックしておきたいぜい弱性情報2009＜＞

Size: px

Start display at page:

Download "チェックしておきたいぜい弱性情報2009＜＞"

みちしげめいこ
5 years ago
Views:

1 チェックしておきたいぜい弱性情報 2009 < > Hitachi Incident Response Team 寺田真敏 Copyright All rights reserved. Contents 月 24 日までに明らかになったぜい弱性情報のうち気になるものを紹介しますそれぞれベンダーなどの情報を参考に対処してください. TCP パケットを用いた DoS 攻撃 2. Adobe Flash Player Acrobat Reader 3. X.509 証明書のドメイン名処理 4. Mozilla Firefox 5. PHP で開発された Web サイト用プログラム 6. コラム : まずチェックできる仕組み作りから 7. 参考情報 Copyright All rights reserved.

TCP パケットを用いた DoS 攻撃 990 年代中盤 (TCP/IP パケット自身が DoS 攻撃の実体トラフィック増による負荷増 ) 2004 年 (TCP 通信の切断 ) 2009 年 (TCP 通信維持による負荷増 ) 980 985 990 995 2000 2005 200 RFC79: Internet Protocol RFC793: Transmission Control

2 TCP パケットを用いた DoS 攻撃 990 年代中盤 (TCP/IP パケット自身が DoS 攻撃の実体トラフィック増による負荷増 ) 2004 年 (TCP 通信の切断 ) 2009 年 (TCP 通信維持による負荷増 ) RFC79: Internet Protocol RFC793: Transmission Control Protocol A Weakness in the 4.2BSD Unix TCP/IP Software(Robert T. Morris) Security Problems in the TCP/IP Protocol Suite(Steve Bellovin) CA-995-0: IP Spoofing Attacks and Hijacked Terminal Connections CA-996-0: UDP Port Denial-of-Service Attack CA-996-2: TCP SYN Flooding and IP Spoofing Attacks SYN cookies (Server SYN Cookie)(D.J.Bernstein) CA : Denial-of-Service Attack via ping CA : IP Denial-of-Service Attacks - Teardrop, Land CA-998-0: Smurf IP Denial-of-Service Attacks CA TCP 初期シーケンス番号の統計学的なぜい弱性 JVNTA04-A TCPにサービス運用妨害を伴うぜい弱性 CVE TCPのゼロウィンドウサイズ CVE TCPの孤立した接続状態 2 TCP 通信のサスペンド実験 TCP 通信のサスペンド実験 HTTP Linux+Apache Windows+IIS FTP UNIX 系 Windows+IIS Linux+Apache の事例 30 分以上 TCP コネクションは維持された 3

0:02:0 0:0:3 0:0:00 0:00:30 Windows+IIS の事例 0:00:00 5:07 5:4 5:2 5:28 5:36 5:43 5:50 サスペンド開始時刻 4 TCP 通信のサスペンド実験 TCP 通信のサスペンド実験 HTTP

3 TCP 通信のサスペンド実験 0:02:0 0:0:3 0:0:00 0:00:30 TCP 通信のサスペンド実験 HTTP Linux+Apache Windows+IIS FTP UNIX 系 Keep Alive 間隔 ( 時 : 分 : 秒 ) Windows+IIS Linux+Apache の事例 0:00:00 7:33 7:40 7:48 7:55 8:02 8:09 8:6 サスペンド開始時刻 Keep Alive の間隔は ~2 分 Keep Alive 間隔 ( 時 : 分 : 秒 ) 0:02:0 0:0:3 0:0:00 0:00:30 Windows+IIS の事例 0:00:00 5:07 5:4 5:2 5:28 5:36 5:43 5:50 サスペンド開始時刻 4 TCP 通信のサスペンド実験 TCP 通信のサスペンド実験 HTTP Linux+Apache Windows+IIS FTP UNIX 系 Windows+IIS Windows+IIS の事例 HTTP の場合には Range ヘッダで再開 Range: bytes= FTP の場合には REST コマンドで再開 REST 04 5

TCP 通信のゼロウィンドウサイズ実験 TCPのゼロウィンドウサイズ実験クライアント :CentOS 5.

4 TCP 通信のゼロウィンドウサイズ実験 TCPのゼロウィンドウサイズ実験クライアント :CentOS Client SYN Cookie ベースのプログラムサーバ :Windows XP(SP3)+ Apache [FIN, ACK] に対してゼロウインドウサイズの [ACK] を応答するサーバの TCP 遷移状態 4:00:37 FIN_WAIT_ (268 秒 ) 4:05:05 6 TCP 通信のゼロウィンドウサイズ実験 TCPのゼロウィンドウサイズ実験クライアント :CentOS Client SYN Cookie ベースのプログラムサーバ :Windows XP(SP3)+ Apache ゼロウインドウサイズのHTTP 要求の送信と [ACK] に対してゼロウインドウサイズの [ACK] を応答するサーバの TCP 遷移状態 5:24:35 FIN_WAIT_ (789 秒 ) 5:37:44 7

TCP 通信のタイムアウト実験 TCPのゼロウィンドウサイズ実験クライアント :CentOS 5.2

2.4 TCPコネクション確立後に ncを強制終了し応答しないクライアントの TCP 遷移状態 :46:57 ESTABLISHED :47:04 FIN_WAIT_(209 秒 ) :50:33 サーバの TCP 遷移状態 :46:57 ESTABLISHED(300 秒 )

5 TCP 通信のタイムアウト実験 TCPのゼロウィンドウサイズ実験クライアント :CentOS nc.84 + iptables サーバ :Windows XP(SP3)+ Apache TCPコネクション確立後に ncを強制終了し応答しないクライアントの TCP 遷移状態 :46:57 ESTABLISHED :47:04 FIN_WAIT_(209 秒 ) :50:33 サーバの TCP 遷移状態 :46:57 ESTABLISHED(300 秒 ) :5:57 FIN_WAIT_(88 秒 ) :55:05 8 TCP 通信のコネクション確立実験 TCP 通信のコネクション確立実験クライアント :Windows XP SP3 + TCP 通信プログラムサーバ :Windows XP(SP3)+ Apache ならびに IIS 件の HTTP 要求を TCP コネクション確立状態で維持する (60 秒間隔で新規更新操作 ) TCPコネクション確立状態を維持した HTTP 要求の事例維持数 ( 件 ) Apache IIS TCP コネクションを確立した状態の HTTP 要求数経過時間 ( 分 ) 9

6 TCP 通信のコネクション確立実験 TCP 通信のコネクション確立実験クライアント :Windows XP SP3 + TCP 通信プログラムサーバ :Windows XP(SP3)+ Apache ならびに IIS 件の HTTP 要求を TCP コネクション確立状態で維持する (60 秒間隔で新規更新操作 ) SYNパケット数 ( 件 ) Apache 40 IIS TCPコネクション確立要求数 ( クライアントサーバへの SYNパケット数 ) 経過時間 ( 分 ) RST パケット数 ( 件 ) Apache IIS 経過時間 ( 分 ) 拒否された TCP コネクション確立要求数 ( サーバクライアントへの RST パケット数 ) 0 2 Adobe Flash Player Acrobat Reader 2008 年 Adobe Flash Player のアップデート : ( ) 2008 年 Acrobat Reader のアップデート : Security Update 8..3(9.0) Adobe Flash Player Acrobat Reader /02/24:APSB Gumblar 2009/03/8:APSB Gumblar 2009/07/30:APSB /05/2:APSB /06/09:APSB /07/3:APSB /0/08:APSB

7 3 X.509 証明書のドメイン名処理ドメイン名に NULL 文字 (" x00") を含む X.509 証明書の取り扱いに関するぜい弱性で SSL クライアントと SSL サーバ証明書を発行する認証局で証明書に記載されたドメイン名の取り扱いが異なることに起因する 2009 年 8 月 CVE :Mozilla Firefox Thunderbird CVE :fetchmail CVE :WebDAV クライアントライブラリ neon 2009 年 0 月 CVE : アップルSafari CVE :Google Chrome CVE :Internet2 Shibboleth Service Provider software CVE :Gnu Wget CVE : マイクロソフト Internet Explorer(CVE に変更 ) CVE :RIM BlackBerry Device Software(Blackberry Browser) CVE :ProFTPD CVE :OpenLDAP 2 3 X.509 証明書のドメイン名処理認証局が発行する SSL サーバ証明書のドメイン名 x00.ssl.hitachi.co.jp ぜい弱なSSLクライアント実装ではドメイン名を先頭から読み始め NULL 文字が出現したところで処理を終了対策前対策後 3

3 X.509 証明書のドメイン名処理認証局が発行する SSL サーバ証明書のドメイン名 www.example.com x00.ssl.hitachi.co.jp ぜい弱なSSLクライアント実装ではドメイン名を先頭から読み始め NULL 文字が出現したところで処理を終了対策前 NULL 文字 (" x00") 対策後 4 4 Mozilla Firefox 2008 年 Firefox のアップデート : 2.

0.0.4 Firefox 2.0.0.5 Firefox 2.0.0.6 Firefox 2.0.0.7 Firefox 3.0.4 Firefox 3.0.5 Firefox 3.0.6 Firefox 3.0.7 Firefox 3.0.8 Firefox 2.0.0.8 Firefox 2.0.0.9 Firefox 2.0.0.20 Firefox 3.

8 3 X.509 証明書のドメイン名処理認証局が発行する SSL サーバ証明書のドメイン名 x00.ssl.hitachi.co.jp ぜい弱なSSLクライアント実装ではドメイン名を先頭から読み始め NULL 文字が出現したところで処理を終了対策前 NULL 文字 (" x00") 対策後 4 4 Mozilla Firefox 2008 年 Firefox のアップデート : ~ Firefox 3 Release Candidate Firefox 3 Release Candidate 2 Firefox 3 Release Candidate 3 Firefox 3.0. Firefox Firefox アドバイザリ発行件数 Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox Firefox 3.5 Firefox 3.5. Firefox Firefox Firefox Firefox Firefox Firefox Firefox 3.0. Firefox Firefox Firefox Firefox

9 5 PHP で開発された Web サイト用プログラム NVD(National Vulnerability Database) に登録された ( CVE: Common Vulnerabilities and Exposures が割り当てられた ) ぜい弱性総件数と Web サイト用プログラムのぜい弱性件数の推移件 997 クロスサイトリクエストフォージェリ (CWE-352) パストラバーサル (CWE-22) クロスサイトスクリプティング (CWE-79) SQL インジェクション (CWE-89) ,54 5,632 5,3 2,35, PHP で開発された Web サイト用プログラム 2009 年 NVD に登録された PHP で開発された Web サイト用プログラムのぜい弱性 (,472 件 )+ その他 (3,47 件 )= 総件数 (4,69 件 ) 件 /5 2/2 3/2 3/3 4/27 5/26 6/22 7/20 8/7 9/4 0/2 件 /5 2/2 3/2 3/3 4/27 5/26 6/22 7/20 8/7 9/4 0/2 その他 PHP で開発された Web サイト用プログラムのぜい弱性その他クロスサイトリクエストフォージェリ (CWE-352) 情報漏えい (CWE-200) 不適切な入力確認 (CWE-20) 認可権限アクセス制御 (CWE-264) 不適切な認証 (CWE-287) コードインジェクション (CWE-94) パストラバーサル (CWE-22) クロスサイトスクリプティング (CWE-79) SQLインジェクション (CWE-89) 7

10 6 コラム : まずチェックできる仕組み作りから対策方法は簡単ではあるが最新の状態に維持することは難しい出典 :( 独 ) 情報処理推進機構対策 OS やアプリケーション ActiveX などのプラグインウイルス対策プログラムの定義ファイルを随時最新の状態にするなどの対策が有効である 8 6 コラム : まずチェックできる仕組み作りからチェックのためのツールは整備されつつある最新版がインストールされている場合左記以外 Firefoxプラグインのバージョンチェック Flash Player のバージョンチェック 9

6 コラム : まずチェックできる仕組み作りからステップアップ : 国際的な共通基準を活用した機械化処理の基盤整備共通仕様 ( 例えば OVAL:Open Vulnerability and Assessment Language セキュリティ検査言語 ) に基づき作成された定義ファイルが流通することにより確認手続きを共有できさらに

11 6 コラム : まずチェックできる仕組み作りからステップアップ : 国際的な共通基準を活用した機械化処理の基盤整備共通仕様 ( 例えば OVAL:Open Vulnerability and Assessment Language セキュリティ検査言語 ) に基づき作成された定義ファイルが流通することにより確認手続きを共有できさらにその定義ファイルに従ってチェックするプログラムを誰もが開発できる MyJVNバージョンチェッカ参考情報 HIRT: CSIRT メモチェックしておきたいぜい弱性情報 JVN(Japan Vulnerability Notes) MyJVN 脆弱性対策情報の利活用基盤 MyJVNの提案情報処理学会コンピュータセキュリティシンポジウム 2008 (Oct.8-0, 2008) MyJVNを用いた脆弱性対策情報提供サービスの検討情報処理学会コンピュータセキュリティ研究報告 Vol.2009 No.20, pp (Mar. 5-6, 2009) NVD(National Vulnerability Database) OVAL(Open Vulnerability and Assessment Language: セキュリティ検査言語 ) CVE(Common Vulnerability and Exposures: 共通脆弱性識別子 ) 2

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C 211 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別す別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は脆弱性の種類を識別するための共通の脆弱性タイプの一覧で CWE を用いるとソフトウェアの多種多様にわたる脆弱性に関して脆弱性の種類 ( 脆弱性タイプ ) の識別や分析が可能になります

チェックしておきたいぜい弱性情報2009＜ ＞

チェックしておきたいぜい弱性情報2009＜＞