Ubuntu Weekly Topics

2009年7月3日号 9.10のDebian Import Freeze・OpenOffice.orgの日本語環境改善拡張機能・Firefox 3.5・UWN#148・Full Circle Magazine #26

この記事を読むのに必要な時間:およそ 4 分

今週のセキュリティアップデート

Thunderbirdのアップデータがリリースされています。メーラーとして利用されている方はアップデートを適用し,Thunderbirdを一度終了させてください。また,OpenSSLのアップデータがリリースされていますが,DTLS通信関連のアップデータですので,大抵の環境では影響はありません。

usn791-1:Moodleのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000920.html
  • Ubuntu 8.04LTS・8.10用のアップデータがリリースされています。CVE-2007-3215, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5153, CVE-2008-5432, CVE-2008-5619, CVE-2008-6124, CVE-2009-0499, CVE-2009-0500, CVE-2009-0501, CVE-2009-0502, CVE-2009-1171, CVE-2009-1669 を修正します。
  • CVE-2007-3215は,Moodleが利用するPHPMailerがEメールアドレスを適切にデコードしないことによる問題で,Eメールを送信する権限を持ったユーザーが,Webサーバ(通常はApacheのwww-data)の権限で任意のコマンドを実行できる問題です。
  • CVE-2008-4796は,HTTPSスキーマで始まるURLを取得する際に,不適切なシェルメタキャラクタを正しく除去しないことにより,curlコマンドが問題です。これにより,Moodleにアカウントを持つユーザーが不正なHTTPSサーバーへ誘導することで,Webサーバ(通常はApacheのwww-data)の権限で任意のOSコマンドを実行できる問題です。脆弱性の詳細はJVNDB-2008-000074を参照してください。
  • CVE-2008-4810, CVE-2008-4811, CVE-2009-1669は,いずれもMoodleに含まれるSmartyの問題で,入力に含まれる文字列を正しく検証しないことにより,Webサーバ(通常はApacheのwww-data)の権限で任意のPHPコード,もしくは限定的なOSコマンドを実行されうる問題です。CVE-2009-1669のみ,usn-791-3の記述も参照してください。
  • CVE-2008-5153はスペルチェッカのバグによるローカルファイルの上書きの可能性を,CVE-2008-5432はWikiページのクロスサイトスクリプティングの問題です。
  • CVE-2008-5619, CVE-2009-0500, CVE-2009-0502はいずれも「Login as」欄に出力されるユーザー名を正しくエスケープ処理しない問題です。これによりクロスサイトスクリプティングを発生させ,JavaScriptを埋め込む等の方法により,同一ドメインにある別サイトが存在する場合にCookie等の情報を不正に読み取ることが可能になります。
  • CVE-2008-6124は,HotPotモジュールが入力値を適切にエスケープしないことにより発生するSQLインジェクションです。
  • その他,複数の(大量の)脆弱性を修正します。詳細はUSNのオリジナルアドバイザリを参照してください。
  • 対処方法:アップデータを適用した上で,Moodleインスタンスに接続し,不適切なデータのキャッシュをクリアしてください。
  • 備考:Ubuntu 9.04向けのアップデータはusn-791-2としてリリースされています。
usn-791-2:Moodleのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000921.html
  • Ubuntu 9.04用のアップデータです。CVE-2009-1171を修正します。usn-791-1に相当するこれ以外の脆弱性は9.04のMoodleではすでに修正済みです。
  • CVE-2009-1171は,Moodleが備えるTeX出力フィルタが,外部から入力されたTeXファイルの書式を完全にチェックしないため,不正なTeXファイルを作成・入力することで任意のTeX関数を実行できてしまう問題です。これによりWebサーバ(通常はApacheのwww-data)の権限で任意のファイルの読み取り・書き込みが可能です。
  • 対処方法:アップデータを適用した上で,Moodleインスタンスに接続し,不適切なデータのキャッシュをクリアしてください。
  • 備考:Moodleが暗黙で利用するSmartyのアップデートも必要です。usn-791-3もあわせて確認してください。
usn-791-3:Smartyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000922.html
  • Ubuntu 9.04用のアップデータがリリースされています。CVE-2009-1669を修正します。
  • CVE-2009-1669は,Smartyのmath関数が入力を適切に解釈しないため,OSコマンドが実行可能な問題です。サイトの設定に依存しますが,攻撃コードがすでに存在します。
  • 対処方法:通常の場合,アップデートのみで問題を解決できます。ただし,mod_phpなどによりコードがキャッシュされる仕組みを利用している場合は,これらのキャッシュをクリアするためにWebサーバープロセスを再起動した方がよいでしょう。
usn-792-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000923.html
  • 現在サポートされている全てのUbuntu(6.06LTS・8.04LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1377, CVE-2009-1378, CVE-2009-1379, CVE-2009-1386, CVE-2009-1387を修正します。いずれもDTLSに関連する脆弱性です。
  • CVE-2009-1377は,DTLSの処理上,基準時間を未来にしたデータを送付した際にメモリ上にストアする容量を制限していない問題です。DTLSを用いてサービスをホストするサーバー環境において,攻撃者が意図的に改ざんしたデータを送出し続け,この処理を繰り返し発生させることで,メモリを使い尽くす形のDoSを行うことが可能です。
  • CVE-2009-1378もDTLSの処理上の問題で,同じシーケンス番号のメッセージをメモリ上にストアし続けてしまうことにより,攻撃者が意図的に改ざんした過大なデータを送り込むことでメモリを使い尽くす形のDoSを行うことが可能なものです。この問題もサーバーとして動作する場合に影響します。
  • CVE-2009-1386もDTLSの問題で,これもサーバーとして動作している場合に影響します。本来送付されるべきでない早期にchange cihper specリクエストが送付されてきた場合,ヌルポインタへのアクセスによってクラッシュします。攻撃者が意図的にパケットを送付することで,容易にDoSが行えると考えられます。
  • CVE-2009-1379もDTLSの問題ですが,クライアント側として機能する場合の問題です。DTLSによる通信中にx509v3エクステンションのついた証明書を検証する際,ポインタをfreeした後にアクセスするため,クライアントがクラッシュします。これはDoSとしてのセキュリティ上のリスクより,x509v3エクステンションを利用した証明書を利用できないアプリケーションバグとして深刻です。
  • CVE-2009-1387もDTLSの問題で,サーバー・クライアントの双方で影響を受ける可能性があります。ハンドシェイク処理上,不当なメッセージ番号を持ったパケットを受け取った場合,処理を継続していく過程でヌルポインタへのアクセスによるクラッシュが発生します。ただし,DoSの意味があるのはサーバーとして利用している場合がほとんどと考えられます。
  • 備考:CVE-2009-1386CVE-2009-1379CVE-2009-1387は無効なポインタへのアクセスによるクラッシュです。きわめて限定的な状況を構成できれば任意のコード実行が可能かもしれませんが,OpenSSLの動作を考慮するとほぼDoSとしてのみ機能します。
  • 対処方法:アップデータを適用した上で,システムを再起動してください。
usn-782-1:Thunderbirdのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入