http://iroiroshow.blog.shinobi.jp/ 個人の備忘録とかも兼ねて、セキュリティのこととか書けたらいいなって思ってます。あと、和訳した文章については勝手にやってるものなので転載とかはいいですが、クレームはやめてくださいね。 Sat, 08 Jun 2013 04:05:35 GMT ja © Ninja Tools Inc. Vulnerability Note VU#673343
Parallels Plesk Panel phppath/php vulnerability
Original Release date: 07 6月 2013 | Last revised: 07 6月 2013

概要

Linux プラットフォーム上の Parallels Plesk Panel versions 9.0 - 9.2.3 には、リモートコード実行の脆弱性が存在します。

説明

Linux プラットフォーム上の Parallels Plesk Panel versions 9.0 - 9.2.3 は、CVE-2012-1823 と Plesk phppath スクリプトエイリアスの使用法の組み合わせで悪用される可能性があります。この脆弱性は実際に悪用されていることが報告されています。

影響

認証されていないリモートの攻撃者が、Web サーバユーザのコンテキスト下で任意のコードを実行する可能性があります。

対策

アップデートを適用してください

Parallels Plesk Panel 9.0 - 9.2.3 は、サポート終了から3年以上経過しています。ユーザは最新版のバージョン 9.5.4 以降へアップグレードすべきです。Parallels は、影響を緩和する回避策として、Knowledge base article 116241 を提供する予定です。

アップグレードできない場合は、以下の回避策の適用を検討してください。

PHP をアップデートしてください

CVE-2012-1823 に対処したバージョンの PHP にアップデートしてください。

アクセスを制限してください

信頼されていないネットワークからは、Plesk Panel への接続を許可しないでください。

Vendor Information (Learn More)
Vendor Status Date Notified Date Updated
Parallels Holdings Ltd Affected 06 Jun 2013 07 Jun 2013

If you are a vendor and your product is affected, let us know.

CVSS Metrics (Learn More)
Group Score Vector
Base 7.5 AV:N/AC:L/Au:N/C:P/I:P/A:P
Temporal 6.5 E:H/RL:OF/RC:C
Environmental 4.9 CDP:ND/TD:M/CR:ND/IR:ND/AR:ND

References
http://kb.parallels.com/116241
http://kb.parallels.com/en/113818
http://www.parallels.com/products/plesk/lifecycle
http://seclists.org/fulldisclosure/2013/Jun/21
http://blogs.cisco.com/security/plesk-0-day-targets-web-servers/
http://kb.parallels.com/en/113814
http://www.php.net/archive/2012.php#id2012-05-03-1
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1823

Credit

Kingcope published an exploit for this vulnerability to the Full Disclosure mailing list.
This document was written by Jared Allar.

Other Information

CVE IDs: CVE-2012-1823
Date Public: 05 6月 2013
Date First Published: 07 6月 2013
Date Last Updated: 07 6月 2013
Document Revision: 15

Feedback

If you have feedback, comments, or additional information about this vulnerability, please send us email.]]> [US-CERT] Vulnerability Note http://iroiroshow.blog.shinobi.jp/-us-cert-%20vulnerability%20note/vu-673343 Sat, 08 Jun 2013 04:05:35 GMT iroiroshow.blog.shinobi.jp://entry/6 こちら

Alert (TA13-141A)
Washington, DC Radio Station Web Site Compromises
Original release date: May 20, 2013 | Last revised: May 22, 2013

影響を受けるシステム

Microsoft Windows システム上で動作する Adobe Reader、Acrobat または Oracle Java

概要

US-CERT は2013年5月16日、both www.federalnewsradio.com および www.wtop.com の両サイトで Internet Explorer のユーザをエクスプロイトキットへリダイレクトするよう改ざんされているとの通報を受けました。US-CERT の解析では、2013年5月17日の時点で、これらのサイトには悪意あるコードが存在していないことを確認しています。

説明

侵害された Web サイトは、隠された iframe を挿入されることで、ユーザにダイナミック DNS ホスト上の JavaScript コードを参照させるよう改ざんされていました。この参照先のサイトから返されたファイルは、Fiesta Exploit Kit のものであることが特定されています。このエクスプロイトキットは、以下のような既知の脆弱性のひとつを悪用することで、実行形式ファイルのダウンロードを試みます。

　・CVE-2009-0927: Stack-based buffer overflow in Adobe Reader and Adobe Acrobat
　・CVE-2010-0188: Unspecified vulnerability in Adobe Reader and Acrobat
　・CVE-2013-0422: Multiple vulnerabilities in Oracle Java 7 before Update 11

脆弱なバージョンの Adobe Reader、Acrobat または Oracle Java を使用しているシステムでアクセスすることで侵害されます。

影響

リダイレクトに成功すると、このエクスプロイトキットは　ZeroAccess Trojan の亜種を送信し、実行します。オープンソースの報告によれば、このマルウェアは FakeAV/Kazy マルウェアをダウンロードし、インストールします。
ZeroAccess Trojan は、二つのハードコードされたコマンドアンドコントロールアドレス（194.165.17.3 および 209.68.32.176）のひとつへの誘導を試みます。この誘導では、User-Agent に Opera/10 の設定された HTTP GET リクエストが発生します。
誘導後、このマルウェアは細工された Microsoft Cabinet ファイルをダウンロードし、16464/udp ポートを使用してピアツーピアネットワークに接続します。この Cabinet ファイルは、いくつかの IP アドレスのリストと偽の Flash インストーラを含んでいます。

対策

アップデートを適用してください

この問題に関連する脆弱性を修正するアップデートされたソフトウェアは以前から利用可能です。これらの脆弱性は攻撃者によく悪用されるため、ソフトウェアを最新版にアップデートすることが必要不可欠です

　・Adobe は、Adobe Security Bulletins APSB09-04 および APSB10-07 のそれぞれで Adobe Reader
　　および Acrobat の脆弱性（CVE-2009-0927 および CVE-2010-0188）を修正するアップデートを
　　提供しています。

　・Oracle は、Java の脆弱性を修正する Oracle Security Alert for CVE-2013-0422 を
　　リリースしています。

さらなる脆弱性に対する防御のために、最新版の Adobe Reader、Acrobat および Oracle Java をインストールしてください。この記事の公開時点において、Adobe Reader および Acrobat の最新版のセキュリティアップデートは　Adobe Security Bulletin APSB13-15 より、Java の最新版である Java 7 Update 21 は Oracle Java SE Critical Patch Update Advisory - April 2013 より参照可能です

感染したシステムを特定してください

感染したシステムからの潜在的な動作を特定するために、以下の IP アドレス宛のアクティビティを監視してください。

　・194.165.17.3
　・209.68.32.176

参考情報

　・WTOP and Federal News Radio Websites Back After Cyber Attack
　・K.I.A. - WTOP.com, FedNewsRadio and Tech Blogger John Dvorak Blog Site Hijacked - Exploits Java and Adobe to Distribute Fake A/V
　・Stack-based buffer overflow in Adobe Reader and Adobe Acrobat
　・Unspecified vulnerability in Adobe Reader and Acrobat
　・Adobe Security Bulletin APSB09-04
　・Adobe Security Bulletin APSB10-07
　・Adobe Security Bulletin APSB13-15
　・Multiple vulnerabilities in Oracle Java 7 before Update 11
　・Oracle Security Alert for CVE-2013-0422
　・Oracle Java SE Critical Patch Update Advisory - April 2013

Revisions

Initial release
Updated Solution section
]]> [US-CERT] Alert http://iroiroshow.blog.shinobi.jp/-us-cert-%20alert/ta13-141a Sat, 25 May 2013 06:16:49 GMT iroiroshow.blog.shinobi.jp://entry/5 こちら

Vulnerability Note VU#774103
Linux kernel perf_swevent_enabled array out-of-bound access privilege escalation vulnerability
Original Release date: 17 5月 2013 | Last revised: 17 5月 2013

Overview

Linuxカーネルの Performance Events 実装に配列の境界超過の脆弱性が存在します。ローカルの非特権ユーザはこの脆弱性を悪用することで権限を昇格する可能性があります。

Description

Linuxカーネルの Performance Events 実装に配列の境界超過の脆弱性が存在します。ローカルの非特権ユーザはこの脆弱性を悪用することで権限を昇格する可能性があります。Red Hat のバグレポートでは、この脆弱性の更なる解析結果が記載されています。いくつかの Linuxディストリビューションに対して有効なエクスプロイトが公開されています。

Impact

ローカルの認証されているユーザは、昇格した権限を得るためにこの脆弱性を悪用する可能性があります。

Solution

アップデートを適用してください。

Red Hat、Debian、CentOS および Ubuntu はパッチをリリースしています。ユーザは、これらの Linuxディストリビューションのアップデートプロセスより、パッチを取得してください。

影響を受けるディストリビューション

・Red Hat Enterprise Linux 6 & Red Hat Enterprise MRG 2
・CentOS 6
・Debian 7.0 (Wheezy)
・Ubuntu 12.04 LTS, 12.10, 13.04

その他のディストリビューションも影響を受ける可能性がありますが、現時点では確認できていません。

アップグレードできない場合には、以下の回避策を検討してください。

Red Hat は、Red Hat Knowledge Solution 373743 で回避策を提供しています。

Vendor Information (Learn More)
--------------------------------------------
Vendor Status Date Notified Date Updated
--------------------------------------------
CentOS Affected - 17 May 2013
Debian GNU/Linux Affected - 17 May 2013
Red Hat, Inc. Affected - 17 May 2013
Ubuntu Affected - 17 May 2013
Fedora Project Unknown - 17 May 2013
Slackware Linux Inc. Unknown - 17 May 2013
SUSE Linux Unknown - 17 May 2013
--------------------------------------------

If you are a vendor and your product is affected, let us know.

CVSS Metrics (Learn More)
--------------------------------------------
Group Score Vector
--------------------------------------------
Base 6.8 AV:L/AC:L/Au:S/C:C/I:C/A:C
Temporal 5.9 E:ND/RL:OF/RC:C
Environmental 4.4 CDP:ND/TD:M/CR:ND/IR:ND/AR:ND
--------------------------------------------

References
・https://rhn.redhat.com/errata/RHSA-2013-0830.html
・http://www.debian.org/security/2013/dsa-2669
・http://www.ubuntu.com/usn/usn-1825-1/
・http://www.ubuntu.com/usn/usn-1826-1/
・http://www.ubuntu.com/usn/usn-1827-1/
・http://www.ubuntu.com/usn/usn-1828-1/
・http://lists.centos.org/pipermail/centos-announce/2013-May/019729.html
・http://lists.centos.org/pipermail/centos-announce/2013-May/019733.html
・https://bugzilla.redhat.com/show_bug.cgi?id=962792
・https://bugzilla.redhat.com/show_bug.cgi?id=962792#c16
・https://bugzilla.redhat.com/show_bug.cgi?id=962799
・http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b0a873ebbf87bf38bf70b5e39a7cadc96099fa13
・http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/kernel/events/core.c?id=8176cced706b5e5d15887584150764894e94e02f
・http://packetstormsecurity.com/files/121616/semtex.c
・http://lkml.indiana.edu/hypermail/linux/kernel/1304.1/03652.html
・http://www.reddit.com/r/netsec/comments/1eb9iw/sdfucksheeporgs_semtexc_local_linux_root_exploit/c9ykrck

Credit

Tommi Rantala discovered this vulnerability.
This document was written by Jared Allar.

Other Information

CVE IDs: CVE-2013-2094
Date Public: 14 5月 2013
Date First Published: 17 5月 2013
Date Last Updated: 17 5月 2013
Document Revision: 26

Feedback

If you have feedback, comments, or additional information about this vulnerability, please send us email.]]> [US-CERT] Vulnerability Note http://iroiroshow.blog.shinobi.jp/-us-cert-%20vulnerability%20note/vu-774103 Sat, 18 May 2013 09:03:18 GMT iroiroshow.blog.shinobi.jp://entry/4 こちら

Alert (TA13-134A)
Microsoft Updates for Multiple Vulnerabilities

Systems Affected
・Microsoft Windows
・Internet Explorer
・Microsoft .NET Framework
・Microsoft Lync
・Microsoft Office
・Microsoft Windows Essentials

Overview
Micirosoft ソフトウェア製品には、複数の脆弱性が存在します。Microsoft はこれらの脆弱性を修正するアップデートをリリースしています。

Description
Microsoft Security Bulletin Summary for May 2013 は、Microsoft ソフトウェアに存在する複数の脆弱性について説明しています。Microsoft は、これらの脆弱性を修正するアップデートをリリースしています。

Impact
認証されていないリモートの攻撃者は、任意のコード実行、サービス妨害、またはファイルやシステムへ不正にアクセスする可能性があります。

Solution

Apply Updates
Microsoft は、Microsoft Security Bulletin Summary for May 2013 でこれらの脆弱性を修正するアップデートを提供しています。この Security Bulletin では、アップデートに関連する既知の問題についても説明されています。管理者は、これらの問題に注意するとともに、潜在的な悪影響について十分にテストすることが推奨されます。管理者はまた、Windows Server Update Service (WSUS) のような自動アップデート配布システムの利用を検討してください。Home (エディション)のユーザは自動アップデートを有効にする事が推奨されます。

References
Microsoft Security Bulletin Summary for May 2013
Windows Server Update Services
Turn automatic updating on or off

Revisions
Initial Release 5/14/2013]]> [US-CERT] Alert http://iroiroshow.blog.shinobi.jp/-us-cert-%20alert/ta13-134a Sat, 18 May 2013 04:46:29 GMT iroiroshow.blog.shinobi.jp://entry/3 こちら


Microsoft Internet Explorer 8 CGenericElement object use-after-free vulnerability

Overview
Microsoft Internet Explorer 8には、CGenericElementオブジェクトに解放後使用の脆弱性が存在し、すでに悪用が確認されています。

Description
Microsoft Security Advisory 2847140 states:
Internet Explorer 6、Internet Explorer 7、Internet Explorer 9 および Internet Explorer 10 は、この脆弱性の影響を受けません。

これはリモートコード実行の脆弱性です。この脆弱性は、Internet Explorer が削除済みまたは適切に配置されていないメモリオブジェクトへアクセスする方法に起因します。この脆弱性は、現在 Internet Explorer を実行しているユーザのコンテキストにおいて、攻撃者が任意のコードを実行することを可能にするメモリ破損を引き起こす可能性があります。攻撃者はこの Internet Explorer の脆弱性を悪用するために特別な細工を施した Webサイトをホストし、ユーザをこの Webサイトへアクセスするよう誘導します。
詳細は Microsoft のアドバイザリで確認してください。なお、この脆弱性を利用する Metasploitモジュールがリリースされています。

Impact
認証されていないリモートの攻撃者は、Internet Explorer 8 を実行しているユーザのコンテキストで任意のコードを実行する可能性があります。

Solution
現在、この問題を根本的に解消するソリューションはありません。以下の回避策を検討してください。

　Apply a Microsoft "Fix It"

Microsoft は、この脆弱性のために Microsoft "Fix It" ソリューションを提供しています。この "Fix It" ソリューションは、IE がロードする mshtml.dll のランタイムに小さな変更を加えるために、Windows Application Compatibility Toolkit を使用します。

　Use the Microsoft Enhanced Mitigation Experience Toolkit

この脆弱性の悪用を防ぐために、Microsoft Enhanced Mitigation Experience Toolkit (EMET) を使用することができます。CERT/CC は、Windows 7 上で EMET 3.0 をセットアップするチュートリアルビデオを作製しています。Windows XP および Windows Server 2003 などのプラットフォームでは ASLR をサポートしていないため、現行の Windows プラットフォームと同程度の保護は得られないことに注意してください。また、ベータ版 EMET 4.0 では、EMET 3.0 にはない更なる保護機能が提供されており、攻撃者が攻撃することをより難しくさせることが可能です。

　Enable DEP in Microsoft Windows

Windows でサポートされている Data Execution Prevention (DEP) の有効化を検討してください。DEP は、完全な回避策ではありませんが、いくつかの状況において、攻撃者によるコード実行を緩和することができます。Microsoft は、Security Research & Defense ブログの投稿 "Understanding DEP as a mitigation technology" の1部および2部で、DEP の詳細な技術情報を公表しています。このドキュメントで説明されているように、DEP は、アプリケーションのパッチやその他の緩和策とあわせて使用することが推奨されます。

なお、緩和策が DEP に依存する場合、Address Space Layout Randomization (ASLR) をサポートするシステムを使用することが重要となります。Windows XP または Windows Server 2003 以前は ASLR をサポートしていません。ASLR は、Microsoft Windows Vista および Windowes Server 2008 より提供が始まりました。Microsoft SRD のブログエントリを参照してください：On the effectiveness of DEP and ASLR for more details.

------------------------------------------------------------------------------------------------
Vendor Information (Learn More)
Vendor Status Date Notified Date Updated
Microsoft Corporation Affected - 06 May 2013
If you are a vendor and your product is affected, let us know.
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
CVSS Metrics (Learn More)
Group Score Vector
Base 9.4 AV:N/AC:L/Au:N/C:C/I:C/A:N
Temporal 8.9 E:H/RL:W/RC:C
Environmental 6.7 CDP:ND/TD:M/CR:ND/IR:ND/AR:ND
------------------------------------------------------------------------------------------------

References
http://blogs.technet.com/b/srd/archive/2013/05/08/microsoft-quot-fix-it-quot-available-to-mitigate-internet-explorer-8-vulnerability.aspx
http://technet.microsoft.com/en-us/security/advisory/2847140
http://blogs.technet.com/b/msrc/archive/2013/05/03/microsoft-releases-security-advisory-2847140.aspx
https://community.rapid7.com/community/metasploit/blog/2013/05/05/department-of-labor-ie-0day-now-available-at-metasploit
http://dev.metasploit.com/redmine/projects/framework/repository/revisions/a33510e82135355548a529e5f0cb5ab7134d674d/entry/modules/exploits/windows/browser/ie_cgenericelement_uaf.rb
http://labs.alienvault.com/labs/index.php/2013/u-s-department-of-labor-website-hacked-and-redirecting-to-malicious-code/

Credit
This vulnerability was discovered in the wild.
This document was written by Jared Allar.

Other Information
CVE IDs: CVE-2013-1347
Date Public: 03 5月 2013
Date First Published: 06 5月 2013
Date Last Updated: 09 5月 2013
Document Revision: 24

Feedback
If you have feedback, comments, or additional information about this vulnerability, please send us email.]]> [US-CERT] Vulnerability Note http://iroiroshow.blog.shinobi.jp/-us-cert-%20vulnerability%20note/vu-237655 Sun, 12 May 2013 03:08:42 GMT iroiroshow.blog.shinobi.jp://entry/2