<前の日記(2004年12月15日) 次の日記(2004年12月21日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 581   昨日: 3852

2004年12月19日

このままではJVNは役に立たない

先日、セ キュリティアンテナを見に行ったところ、 「JPCERT/CC Vendor Status Notes (JVN)」が上の方に躍り出ていた。何が更新されたのかと見に行ったところ、 「Vender Status Notes - JP」の欄に、

JVN#E59B594B: 鶴亀メールにおけるS/MIMEの署名検証に脆弱性 [2004/12/16 19:00]

と書かれていた。これが更新部分なのだろう。そう思えた。

鶴亀メールのS/MIME署名検証に脆弱性といえば、10月にも一度発表されている。 このことは、10月30日の日 記でも次のように書いていた。

さて、JVN#E59B594Bが発表された。 これは、 鶴亀メールのS/MIME機能*1が、署名メールの証明書パス(証明書チェイン)が検証されないものだったという欠陥である。

このときと何が違うのだろうか。「JVN#E59B594B」という番号は、前回と今回 で同じになっている。

JVN#E59B594Bのペー ジを見に行ってみると、末尾にこう書かれていた。

登録日 16:00 2004/10/28
更新日 19:00 2004/12/16

やはり10月のものと同じ件のようだが、12月16日に何か更新されたようだ。 しかし、どこが改定されたのかさっぱりわからない。

唯一ヒントとなるのは、「ベンダ情報」の欄に、

ベンダステータス更新日
サイトー企画該当製品あり2004/12/16

と書かれていたことだ。このリンク先を見に行ってみると、次のように書かれ ていた。

サイトー企画の JVN#E59B594B への対応

公表日 2004/10/28
最終更新日 2004/12/16
状態 : 該当製品あり JVN#E59B594B

製品開発者からの提供情報

下記URLにて対処済み最新バージョンを公開しています。
http://hide.maruo.co.jp/software/tk.html

鶴亀メールの改版履歴
http://hide.maruo.co.jp/software/tkhist.html

脆弱性についての情報
http://hide.maruo.co.jp/software/tkparticular.html

これだけである。やはりどこが改定されたのかわからない。

「何か細かい記述の誤りとかが修正されただけなのだろうか?」 「バージョンアップする必要があるとか、そういう緊急性はないのかな?」 読者にそう思われても不思議でない。

その後、IPAから、

このメールは、取扱い番号 IPA#E59B594B に関する連絡です。

11/10 に頂いた情報をもとに、JVN の情報が、2004/12/16 19:00 に更新されましたことをご連絡いたします。

という連絡メールが来た*1。 どうやらこれは、私が届け出た件を受けて更新されたもののようだ。

じつは、私は11月10日に次のことを届け出ていた。


10月28日に発表されたJVN#E59B594Bは、

影響を受けるシステム
- 鶴亀メール v3.70 およびそれ以前

と伝えていた。セキュリティホールmemoの10月29日のエントリーには、

鶴亀メール 3.71 以降で修正されている。 鶴亀メールの改版履歴を見る限りでは 3.70 で直っているような気がしないでもないのだが、 最新は 3.71 なので、まあいいか。

セキュリティホールmemo - JVN#E59B594B 鶴亀メールにおけるS/MIMEの署名検証に脆弱性 (JVN, 2004.10.28)

と書かれていた。このときの届出をしたのも私だが、私が届け出たときに検証 したのは、バージョン 3.67beta3 だった。改版履歴によれば、 3.70で

[重要]S/MIME電子署名されたメールの検証で、電子署名自体は検証しつつも、証明書の検証がなされてなかったバグ修正。証明書が失効されてるかどうかもチェックできるボタンも追加した。

とあるように修正されたが、3.71で、

S/MIME電子署名の検証で、送り主のメールアドレスが一致してても「違ってる」と出てしまうことがあるバグ修正。

という修正もされたようだ。そこで、JVNは、「v3.70 およびそれ以前」を 「影響を受けるシステム」としたのだろう。

ところが、その後、バージョン 3.71を入手して再度検証を行ってみたところ、 証明書パスが検証されない現象は以前のまま再現することに気づいた。 そこで11月10日に以下の内容の連絡をしたのだった。

こちらで確認したところでは、信頼済みCAとして登録していない自己署名CAか ら発行したなりすまし証明書で署名したメールを表示したにもかかわらず、 「鶴亀メール Version 3.71」は、署名検証時に以下の表示をしました。 「証明書パスに問題はありません」という誤った表示が出ています。(略)


このことについて、ベンダーが主宰する掲示板にも次のように書かれていた。

秀まるお2 さん 04/11/16 23:16

S/MIMEにちょっとまずいバグが出てしまいました。実は、V3.68付近以下にて、 S/MIME電子署名の検証に脆弱性があるという話がありました。具体的には、電子 署名に疲れた証明書の有効性が検証されてないということと、証明書パスの検証 もされてないという話でした。

それに対して対処したつもりが、実はまったくテストしてないのがばれてしま いました。証明書パスが間違っていても、「×」と出なくて、「○ 有効」みた いに出てしまいます。

秀シリーズサポートフォーラム/鶴亀メール 情報交換 ― S/MIMEでのバグ(ちょっとまずい)

これを修正したのが、改版履歴

2004/12/16 V3.71 -> V4.00
* 主な変更点
o 迷惑メールフィルターを作った。
o S/MIME電子署名の検証関係での脆弱性のバグ対応。

と書かれていることからして、バージョン 4.00なのだと推察される。

つまり、バージョン 3.71 以前を使っている人は、S/MIME機能を使うのなら、 4.00 へのバージョンアップが必要だということだ。 にもかかわらず、JVN#E59B594B には、現時点においても、

影響を受けるシステム
- 鶴亀メール v3.70 およびそれ以前

と書かれている。これはどういうことなのか? 完全に間違ったことが書かれている。

そもそも、11月10日に連絡した私の指摘は、バージョン 3.71に対する新たな 脆弱性として、新規のJVN番号を割り当てて取り扱うべきだった。

「同じ製品に対する同じ種類の脆弱性については同じJVN番号で取り扱う」 ということなのだろうか? そういうことをすると、新たな欠陥が見つかっても、同じ文書の改定という 形で発表することになる。 そして、何が改定されたのか不明な文書が公開されている。

この文書はいったい誰に向けて公表しているのか?

誰に読ませて、何を知らせたい文書なのか?

窓の杜は10月のJVN発表に対して、11月2日に以下のように報道していた。

  • 「鶴亀メール」v3.69以前にS/MIMEの電子署名検証で証明書を検証しない脆弱性, 最新バージョンv3.71では修正済み, 窓の杜, 2004年11月2日

    JP Vendor Status Notesは10月28日、 メールソフト「鶴亀メール」v3.69以前に、S/MIMEの電子署名に関する脆弱性 が2件あると発表した。脆弱性の内容は、電子署名の証明書を偽装さ れたメールを正式な証明書として受信してしまう恐れがあるというもの。本脆 弱性は最新版のv3.71で修正されており、窓の杜や作者ホームページからダウ ンロードできる。まだ古いバージョンを使用しているユーザーはこれを機に最 新版へ更新しておこう。

こうした報道のための確かな情報源となるのが、JVNに求められる役割のはず だ。

だが、窓の杜は、鶴亀メール v4.00の発表に際して、以下のように報道してお り、S/MIME署名検証の脆弱性が修正されていることに触れていない。

  • 「鶴亀メール」、迷惑メールフィルターを新規搭載してv4.00へバージョンアップ ― ユーザー自身で迷惑メールの抽出精度を上げることが可能 , 窓の杜, 2004年12月17日

    (有)サイトー企画は16日、メールソフト「鶴亀メール」v4.00を公開した。今回のバージョンアップでは、新たに迷惑メールフィルター機能を搭載したほか、メール一覧を2段表示できるレイアウトなどが追加された。(略)

    そのほかの変更点では、既存の“ウイルス対策”機能が強化されている。添付されたZIP形式の圧縮ファイル内を調べて、指定した拡張子のファイルが存在する場合に自動削除する機能が追加された。

    また表示関連の変更として、メール一覧でSubjectとFromを2行で表示する新レイアウトや、一行おきに背景を色分けする“ストライプ表示”が追加されている。

16日に更新された JVNの情報が役立っていないことがわかる。

「影響を受けるシステム」のバージョン番号の部分を改定し忘れたのは、 JVNの単純ミスだったとしよう。 しかし、改定履歴を書かないのはまったく理解しかねる。

改定履歴さえ書いていれば、「影響を受けるシステム」のバージョン番号がお かしいことに気づくだろう。

率直に言って、JVNは、一般的に「文書を公表する」という仕事をするにあたっ て求められている基本的な能力に問題がある、そう言わざるを得ない。

*1 こうしたメールは、IPAの脆弱性情報届出窓口に 製品の脆弱性を届け出ていた人に対して、その件がJVNで公表された際に送ら れてくる。

本日のTrackBacks(全31件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20041219]
検索

<前の日記(2004年12月15日) 次の日記(2004年12月21日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2004年12月15日) 次の日記(2004年12月21日)> 最新 編集