SQL Injection

2009年7月のセキュリティ情報

小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-028 (DirectX):特別な細工が施されたQuickTimeファイルを開くか、Webやメール上のコンテンツが再生・配信された等に場合にリモートでコードが実行される可能性があります。対応した3つの脆弱性の中の一つは、セキュリティ アドバイザリ 971778 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。Windows Vista以降で使われているDirectX 10以降のバージョンは、影響を受けませんが、Windows XP, Windows 2000用のDirect X9以下のバージョンが影響を受けます。Windows 2000での展開は特に複数のバージョンが組織内で混在している可能性があるため、配布するパッケージに注意が必要かもしれません。WSUS等の配布ソリューションを使っている場合はバージョンに合わせて自動選択されるため気にする必要はありません。 MS09-029 (EOT):特別な細工が施されたEmbedded Open Type (埋め込みフォント)を持つファイルやWebサイトを開くことで、リモートでコードが実行される場合があります。 MS09-030 (Publisher):特別な細工が施されたPublisherファイルを開くことで、リモートでコードが実行される場合があります。 MS09-031 (ISA):特別な細工が施された通信リクエストを処理する際に、特権の昇格が発生する可能性があります。 MS09-032 (Killbit – Video):特別な細工が施されたMicrosoft ActiveXが埋め込まれたWebサイト等を参照することで、リモートでコードが実行される可能性があります。セキュリティ アドバイザリ 972890 でお伝えしていた件になります。すでに悪用も確認されているため、速やかに更新プログラムを適用する事を推奨しています。セキュリティ更新プログラムに関してですが、影響を受けないWindows 2000, Windows Vista, Windows Server 2008にも更新プログラムを配信します。 これは、将来的にVista等に何らかの理由でActiveXコントロールがインストールされ、この脆弱性が悪用される事を事前に阻止するための予防措置となります。 また、今回は、マイクロソフト製品について新たに対応しているため、セキュリティアドバイザリではなく、セキュリティ情報として公開しています。 MS09-033 (Virtual PC/Server):特別な細工が施されたプログラムを、ゲストOS上で実行することで特権の昇格が発生する可能性があります。特権の昇格はあくまでも、ゲストOS内でのみ発生し、そのゲストOS(仮想化環境)をホストしている側に影響はおよびません。 また、別の仮想化技術であるHyper-V(Windows Server 2008)は影響を受けません。  セキュリティ アドバイザリ (更新): セキュリティ アドバイザリ …

2009年7月のセキュリティ情報 Read More »

2009年6月のセキュリティ情報

小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規):概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。http://technet.microsoft.com/ja-jp/dd251169.aspx MS09-018 (Active Directory):特別な細工が施されたLDAP (LDAPS) リクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000 Server のActive Directory (AD) のみで、Windows Server 2003 などの他のOSでは、攻撃が成功しても、サービス拒否状態となり深刻度も、重要と評価しています。どちらにしても、ADが侵害、または停止するのは好ましくありませんの早々の適用を推奨します。 MS09-019 (Internet Explorer):幾つかの脆弱性に対処していますが、多くの場合、不正な細工が行われたWebサイトを参照する事で、リモートでコードが実行されます。公開した時点で、悪用は確認されていませんが、最近の被害事例を考えると実際に悪用がなされる前に適用しておきたい更新プログラムです。 MS09-020 (IIS):特別な細工が施されたWebDAVリクエストの受信、または処理中に特権の昇格が発生する可能性があります。セキュリティ アドバイザリ (971492) で、お知らせしていた脆弱性に対応したものとなります。 MS09-021 (Excel):特別な細工が施されたExcelファイルを開くことで、リモートでコードが実行される可能性があります。Office 2000 (Excel 2000) の深刻度のみ緊急と評価しています。 Office XP以降のバージョンでは、実際にコードが実行可能である確立がOffice 2000よりも下がる事が社内の検証で分かっています。 しかし、ドキュメントファイルを使った攻撃は依然として多い状況ですので、適用はするべきです。 MS09-022 (Spooler):特別な細工が施された印刷スプーラーに対するリクエストの受信、または処理中にリモートでコードが実行される可能性があります。リモートでコードが実行される可能性があるのは、Windows 2000のみとなっており、他のOS環境では、特権の昇格または、情報漏えいの可能性のみとなります。 MS09-023 (Windows Search):特別な細工が施されたファイルが、Windows Searchで検索結果として表示される場合に、情報漏えいの可能性があります。今回影響を受ける環境では、Windows Searchは、既定ではインストールされておらず、任意にインストールしている必要があります。尚、Windows XPの検索機能とは別のものです。 MS09-024 …

2009年6月のセキュリティ情報 Read More »

More information about the SQL stored procedure vulnerability

Security Advisory 961040 provides mitigations and workarounds for a newly-public post-authentication heap buffer overrun in SQL Server, MSDE, and SQL Express. This blog post goes into more detail about the attack surface for each affected version and the overall risk from this vulnerability. As listed in the advisory, the following products have the vulnerable code: …

More information about the SQL stored procedure vulnerability Read More »

Internet Explorerのセキュリティ更新プログラム提供開始

小野寺です。 先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。Microsoft Update または 自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。  http://update.microsoft.com/microsoftupdate/ 今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。  MS08-078: Internet Explorer 用のセキュリティ更新プログラム (960714)  http://www.microsoft.com/japan/technet/security/bulletin/MS08-078.mspx   絵で見る MS08-078 : Internet Explorer の重要な更新  http://www.microsoft.com/japan/security/bulletins/MS08-078e.mspx 今回のInternet Explorer向けのセキュリティ更新プログラムは、「累積」ではありません。 そのため、12月の月例で公開している MS08-073 も合わせて適用する事を推奨します。 MS08-073が、検証中等の理由で直ぐに適用できない場合でも、MS08-078 のみを先に適用する事も可能です。 また、今回の更新プログラムを含めて、被害を軽減するための推奨事項を実施されているかを是非確認してみてください。

Internet Explorerの更新の事前通知

小野寺です。 先日から、セキュリティ アドバイザリ 961051や、ブログでもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。 マイクロソフト セキュリティ情報の事前通知 – 2008 年 12 月 (定例外)http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec-ans.mspx 本日 Windows Update で、Windows XP 向けに KB960763 を公開していますが、この更新は、セキュリティ更新プログラムではありません。通常の Windows XP 向け更新プログラムになります。 セキュリティ更新プログラムは、12/18のセキュリティ情報の公開に合わせて、影響を受けるすべての環境に対して配信します。  

IIS & ASP 向け検査・対策ツールを公開

小野寺です。 ニュースとしては、比較的下火になっているかもしれない、SQL インジェクションの対策が済んでいないサイトが、まだまだ、残っています。 しかし、実際に対策を進めてみると「検査方法が分からない」「開発元がもうすでに・・・」「色々有ってコードが変更できない」といった様々なフィードバックというか悩みがでてきます。 現在のSQL インジェクションの問題の怖いところは、侵害されたサイトが、そのサイトの利用者にも被害を伝播させるところです。そして利用者側で自衛するのは大変難しいと言えます。現在発見されている多くのパターンは、セキュリティ更新を適用しておけば被害を受ける可能性は低くなりますが、ゼロではありません。将来、もしも未知の脆弱性が発見された場合、この多数のSQL インジェクションに耐性のないサイト群が犯罪者にとって都合のよい犯罪のプラットフォームになってしまう事も考えられます。 ということで、少なくとも先ずは、自分のところから何とかしようということになりまして、Internet Information Services (IIS) と ASP の対策・検査ツールを新たに提供することにしました。 (前置きが長かったです。) 1. Microsoft Source Code Analyzer for SQL Injection (SQLインジェクションに関するソースコード分析ツール)  このツールは、ASP のソースコードを静的に分析して、SQL インジェクションの原因となるような未検証の外部入力や、外部入力を直接使った SQL コマンド/ステートメントの構築等々を検出します。ツールでは、以下の6種類の点について検査し、警告を出力します。 80400 – Possible SQL Injection vulnerability through data that is read from the Request object without any input validation.  These warnings are very likely bugs that …

IIS & ASP 向け検査・対策ツールを公開 Read More »

New tools to block and eradicate SQL injection

The MSRC released an advisory today that discusses the recent SQL injection attacks and announces three new tools to help identify and block these types of vulnerabilities. The advisory discusses the new tools, the purpose of each, and the way each complements the others. The goal of this blog post is to help you identify the …

New tools to block and eradicate SQL injection Read More »

セキュリティ デベロップメント “ライフサイクル”:裏側と表側

小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの?ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。 そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。 最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。

SQL Injection Attack

(Special thanks to Neil Carpenter for helping out on this blog post) Recent Trends Beginning late last year, a number of websites were defaced to include malicious HTML <script> tags in text that was stored in a SQL database and used to generate dynamic web pages. These attacks began to accelerate in the first quarter …

SQL Injection Attack Read More »

最近のWeb改ざんとかSQLインジェクションとか

小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。 SQL インジェクション攻撃とその対策http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx 実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。  ;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略) そのほか、特殊記号 (‘ ; –等)がログに残っている場合も同様に注意が必要でしょう。 問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。 最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。 すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。