2012年3月10日土曜日

「Microsoft SQL Server」の脆弱性修正パッチ、公開は間もなくか|Microsoftウォッチ|トピックス|Computerworld

「Microsoft SQL Server」の脆弱性修正パッチ、公開は間もなくか|Microsoftウォッチ|トピックス|Computerworld

 Microsoftは12月24日、前々日の22日に明らかとなった「Microsoft SQL Server」の脆弱性について、8カ月以上前から修正パッチの開発に取り組んでいることを認めた。その一方で、「すでに2008年9月にはパッチを完成させていた」とする、オーストリアのセキュリティ研究者による主張の真偽は明らかにしなかった。

 同社は12月22日、SQL Serverの脆弱性に関するセキュリティ・アドバイザリ(961040)文書を公開している。脆弱性のあるバージョンは、SQL Server 2000/2000 Desktop Engine/2005/2005 Express Editionと「Windows Internal Database」であり、最新のSQL Server 2008や、2005 SP3、7.0 SP4といったバージョンはこの影響を受けないとされている。

 Microsoftの広報担当者が24日に明らかにしたところによれば、同社は「あるセキュリティ研究者からの第一報に基づき、2008年4月から同ぜい弱性の調査を開始している。報告を受けてからすぐに調査を開始しており、現在も継続して調査に取り組んでいる」という。


DVDケースにセキュリティロックを解除する方法

 上述の「あるセキュリティ研究者」とは、ウィーンに拠点を置くセキュリティ・コンサルティング会社、SEC Consult Securityのバーナード・ミュラー(Bernhard Mueller)氏のことだ。同氏は脆弱性の報告後、Microsoftから何の音沙汰もないのにしびれを切らし、12月9日に同脆弱性の詳細と攻撃実証コードを公開した(関連記事)。

 ミュラー氏がSEC Consultのサイトやセキュリティ関連のメーリング・リストで明らかにした内容によると、同氏が脆弱性の存在をMicrosoftへ報告したのは、2008年4月17日のことだった。Microsoftからは幾度かの返答があり、9月29日に最後の返答があった。その後、ミュラー氏は10月から11月にかけ、計4回にわたり脆弱性修正パッチの公開を求めていたという。

 同氏はまた、9月にMicrosoftからパッチを完成させた旨の連絡を受けていた事実も明らかにした。前述のMicrosoft広報担当者は、ミュラー氏が指摘した修正パッチの存在についてはコメントせず、「現時点では、Microsoftは(同脆弱性に対する)セキュリティ・アップデートを提供していない」と述べるにとどまった。


A5缶パイリンゴを買う

 だが、セキュリティ専門家の中には、Microsoftが間もなくパッチをリリースするだろうと予想する者もいる。

 セキュリティ企業であるQualysのCTO(最高技術責任者)、ウォルフガング・カンデック(Wolfgang Kandek)氏は、「Microsoftは今まさにパッチの仕上げにかかっているところだ。もうすく、緊急リリースという形で提供されると思われる」と述べた。

 Microsoftは、毎月の定例パッチ・リリースとは別に、緊急リリースもしくは定例外リリースと呼ばれるアップデートを行う場合がある。次回の定例アップデートは2009年1月13日に予定されているが、まだ3週間も先の話だ。

 カンデック氏は、先日緊急リリースされたIEのパッチよりも、今回のSQL Serverのパッチを適用する作業の方が、企業にとっては"悩みの種"になるだろうと話す。「大半の企業において、SQL Serverはシステムのコアを成す部分に組み込まれており、パッチを適用して、脆弱性が修正されるかどうかをテストするにはかなりの時間がかかる。したがって、すぐにパッチを適用することはできないだろう」(カンデック氏)。


VSAMは、何を支援している

 Microsoftは、パッチを提供する代わりに、脆弱性の悪用につながるストアド・プロシージャへのアクセス拒否措置を採るよう勧告している。23日にはセキュリティ・アドバイザリの「推奨するアクション/回避策」の項目が更新され、上述のアクセス拒否設定を行うスクリプトが公開されている。Microsoftで広報担当を務めるビル・シスク(Bill Sisk)氏は、Microsoft Security Response Centerのブログにおいて、「このスクリプトは動作中のSQL Serverインスタンスすべてに対し適用される。『public』ユーザーへのアクセス権限(execute:実行)を拒否する設定を、ストアド・プロシージャ『sp_replwritetovarbin』に対して実行する」と説明している。

 Qualysのカンデック氏は、Microsoftのアドバイザリを参考に対策を行うことをユーザーに推奨している。

 「SQL ServerはEコマースや人事関連などの重要なアプリケーションで利用されているが、そうしたアプリケーションから個人情報が漏洩したり、アプリケーションが不具合を起こしたりするおそれがある。利口な攻撃者が、この脆弱性をフィッシングなどほかの攻撃手段と組み合わせて悪用し、企業がファイアウォールで保護している情報を盗み出すことはそれほど難しいことではない」(カンデック氏)



These are our most popular posts:

セキュリティホール memo - 2011.02

2011年3月23日 ... 「Web Application Firewall(WAF)読本 改訂第2版」を公開~WAF導入における工程を 10項目に細分化し、要点を拡充~ (IPA, 2/28). 》 「セキュリティ担当者のための脆弱性 対応ガイド」などを公開~「情報システム等の脆弱性情報の取扱いに関する研究会」 2010年度 .... トップはリビア一色。 .... 全米映画協会、ファイルホスティングサービスの Hotfileを提訴 (CNET, 2/9) ... マイクロソフト セキュリティ アドバイザリ (2491888) Microsoft Malware Protection Engine の脆弱性により、特権が昇格される ... read more

お知らせ(Webで拾ったニュース)

不況のせいか、ネットで買った商品の代金支払いを拒否するフレンドリー詐欺が増えて いる。 ... 大手ソーシャルネットワーキングサービス(SNS)のFacebookやMySpaceで 猛威を振るったマルウェアの「Koobface」が、数日前から再び勢力を盛り返している という。 .... SNSはメールの10倍危険? ... SecuniaとVUPENは、QuickTimeの脆弱性 情報に関するアドバイザリーを公開した。 .... Windows VistaとWindows Server 2008 のSP2、「数週間以内に」一般公開へ .... ヤフーが運営する子供向けポータルサイト「 Yahoo! read more

Flash Playerに危険度「高」の脆弱性 - ITmedia ニュース

Flash Playerで2件の脆弱性が発見されたが、最新版では修正されている。 ... IT総合 情報ポータル「ITmedia」 ... 2006年07月10日 10時46分 UPDATE ... 月7日、「Adobe Flash Player」でシステム乗っ取りやサービス拒否(DoS)攻撃に悪用される恐れがある 複数の脆弱性が発見されたと報告した。 ... 関連リンク. アドバイザリー. Copyright© 2012 ITmedia, Inc. All Rights Reserved. 共有する. プリント/アラート ... アクセス トップ10 ... read more

セキュリティホール memo

6 時間前 ... 国立国会図書館、「東日本大震災アーカイブ構築プロジェクト」のウェブページを開設 ( カレントアウェアネス・ポータル, 3/9)。 ... ベルトで、事故後、浪江町に残っていた成人 だった。2番目に高かったのは77ミリシーベルトの成人で、福島市への避難前に同町 津島地区に2週間以上滞在していた。 ... 最高値は福島県浪江町在住の87ミリシー ベルトで、10ミリシーベルト以上も26人いた。 ..... 情報家電など、非PC端末における 未知脆弱性の自動検出技術に関する研究開発 (フォティーンフォティ技術研究所) ... read more

Related Posts



投稿者 Max 時刻: 4:34

0 コメント:

コメントを投稿

登録: コメントの投稿 (Atom)