セキュリティホール memo - 2000.02

Last modified: Mon May 29 18:12:16 2017 +0900 (JST)


2000.02.29

 DNScache version 0.90 出てます。 日本語ページも参照。

 なにをいまさらって感じですよね。 これもね

特集: 米国でサイト攻撃多発
(from 中村正三郎のホットコーナー, 2000/02/29)

 ZDNet の DDoS 記事の一覧。

MP3交換ソフト,全米の大学で禁止の動き——カリフォルニア大は流れに逆行
(from ZDNet News, 2000.2.25 4:35 PM PT)

 Napster というソフトが net-abuse の原因になるという話。 なんだかなあ。

科学技術庁ホームページ
(from FWD fw-announce ML, Tue, 29 Feb 2000 17:52:04 +0900)

 「当分の間、ホームページの運用は、月曜日から金曜日の午前9時から午後9時」。これが日本の科学技術を統べる庁とは……。 なさけない。

Firewall 構築ガイド
(from FreeBSD-users-jp ML, Sat, 26 Feb 2000 12:12:03 +0900)

 FreeBSD 3.4R での、IPFW + NAT、 FWTK (FireWall Tool Kit)、 SOCKS5 の構築実例。

追記

 2000.02.24 の Bugzilla Bug 29079: file:///c|/con/con/con追記した。 情報サイトいろいろ。

追記

 2000.02.15 の MySQL 3.22.32 released (fwd)追記した。 FreeBSD ports での案内が出た。

DDoS ネタいくつか

 DDoS ネタいくつか (記事組みなおしました)。

 2000.02.15 の DDOS Attack Mitigation も参照。

Security Focus Newsletter #30 2000-02-21 ->2000-02-28
(from BUGTRAQ-JP, Tue, 29 Feb 2000 13:38:45 +0900)

 SecurityFocus.com Newsletter 第 30 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは:

ITS4: Open Source Software Security Tool
(from BUGTRAQ, Tue, 22 Feb 2000 05:54:17 +0900)

 ソフトウェアソースに対する弱点チェックツール ITS4 登場のおしらせ。 strcpy(buf, "\n"); などの弱点ありありコードの他、ファイルアクセスに対する競争状態 (race condition) もみつけて報告してくれるというふれこみです。

DoS for the iPlanet Web Server, Enterprise Edition 4.1
(from BUGTRAQ-JP, Wed, 23 Feb 2000 13:42:44 +0900)

 iPlanet Web Server, Enterprise Edition 4.1 for Linux に弱点。 2000 bytes 程度の引数を持つ GET リクエストを 700 回ほどくりかえすと、 "Out of memory for ***" でデーモンが落ちていき、ついには OS を再起動せざるを得なくなる。 Solaris 2.6J 上の iPlanet では発生しなかった、という。

Patch Available for "Remote Agent Permissions" Vulnerability
(from Microsoft Product Security Notification Service, Wed, 23 Feb 2000 10:57:30 +0900)

 MS Systems Management Server (SMS) 2.0 に弱点。 SMS 2.0 Remote Control がインストールされ enable されると、remote agent が存在するフォルダのパーミッションがデフォルトで Everyone Full Control (またか……) になってしまう。

 英語版 fix は出たが日本語版はまだだ。


2000.02.28

 さっきまでおおそうじしてました。 おおそうじというと「マカロニほうれん荘」を思い出してしまう私……。

 2000 年 2 月 29 日って明日ですよね? NT TSE SP4 管理者の方はご確認を

 Service for UNIX version 2.0 Japanese beta2 が出てますね。

Wordpad vulnerability, exploitable also in IE for Win9x
(from Win2K Security Advice, Wed, 23 Feb 2000 23:29:01 +0900)

 Windows 9x の Wordpad に弱点。 Wordpad は、.doc あるいは .rtf ファイルに組み込まれた実行ファイルを確認なしに実行してしまう。 http://www.whitehats.com/guninski/wordpad1.html にデモファイルがある。 手元の Windows 98 日本語版でも再現できた。 まいったねえ。

技術メモ - サービス運用妨害攻撃に対する防衛
(from JPCERT/CC announce ML, Mon, 28 Feb 2000 17:33:10 +0900)

 DoS 攻撃に関する対策の指針。

検証:Windows 2000 Serverに移行する理由
(from ZDNet News, 2000.2.16)

 全体として「今する必要はない」のはそれなりに理解できるのですが、 .htr バグとか RDS バグすら fix していない (できない) ようなサイトなら、そこだけ Windows 2000 Server に移行する理由としてはそれで十分のような気します。 ただし、もちろん新規インストールね。アップグレードはだめですよ。 あと、Port139 NT Security をよく読んで、fix patch とデフォルト設定変更をしましょう (Inetpub が依然としてあれらしいので、ACL をよく見てね)。 NT 4.0 に IIS をインストールすることを考えれば、めちゃくちゃ楽でしょ?

相次ぐセキュリティ問題で対応に追われるMicrosoft
(from ZDNet News, 2000.2.25 7:49 AM PT)

 なんでまたこうじゃんじゃか出るんですかねえ。

追記

 1999.12.21 の Security Focus Newsletter #20 1999-12-13 -> 1999-12-19追記した。 NT Syskey バグの fix が登場。

追記

 2000.01.19 の MS00-003: Patch Available for "Spoofed LPC Port Request" Vulnerability追記した。 日本語 patch が登場。

東北大など、ハッカー追跡に新技術・記録消しても逆探知
(from ポケットニュース, 2000/2/27)

 internet-draft が出てたりするということだろうか。

うのみにしてませんか?インターネット・セキュリティの定説
(from 日経 BizTech Mail, 2000/02/28)

 「定説」の正しい理解を求める記事で「狙われるのはセキュリティの弱いサーバー。そうしたサーバーを探し回るポート・スキャンという攻撃が日常化しているからだ」はちょっとまずいような……。 port scan は vulnerability scan (弱点スキャン) では必ずしもないと思うのだけど……。


2000.02.25

 Port139 B-) の独り言BlackICE Defender 製品版プレゼントキャンペーンの話がでてますね。

MS00-013: Patch Available for "Misordered Windows Media Services Handshake" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 24 Feb 2000 13:36:42 +0900)

 Windows NT 4.0/2000 Server 上の Microsoft Windows Media Services 4.0 および 4.1 に弱点。Media Player と Media Service との間の通信の確立は非同期で行われるが、Media Player から Media Service へのハンドシェークパケットが、特定のタイミングでかつ特定の狂った順番で送られると、サーバは初期化が完了するまえにリソースを使い切ってしまって初期化に失敗、crash してしまうという。

 英語版 patch は出ているが日本語版はまだだ。 また、Media Service 4.0 用 patch はない。Media Service 4.0 利用者は、まず Media Service 4.1 へ upgrade した後に patch を適用する。 日本語版 Media Service 4.1 for NT 4.0 はすでに配布されている

2000.03.14 追記: 日本語版 patch が登場。 NT 4.0 用, Windows 2000 用が用意されている。 時差は 3 週間程ですね。 なんとか 2 週間にならないものか……。

SOFTWARE BACK DOOR ?
(from Win2K Security Advice, Tue, 22 Feb 2000 06:37:59 +0900)

 MSIE 4.01, 5.0, 5.01 に裏口 (?!)。 「署名済み Active X コントロールのダウンロード」で「ダイアログを表示する」と設定していた場合、ふつうの会社の署名が入った Active X コントロールをダウンロードする場合は実行前に警告ダイアログが出るのに、 マイクロソフトの署名が入った Active X コントロールをダウンロードする場合は何の警告もなしにいきなり実行されてしまう、という指摘。 デモページが用意されている。 手元の Windows NT 4.0 SP6 Server + IE 5.01 でも確認できた。 嘘はいかんですよねえ嘘は。

 とりあえずの対応方法としては、「署名済み Active X コントロールのダウンロード」を無効にする。

 関連記事:

2000.07.13 追記: MS から Bulletin が出ている。 MS00-042: Patch Available for "Active Setup Download" Vulnerability。 日本語 patch はまだ。

Local/Remote D.o.S Attack in InterAccess Telnet Server Release 4.0 *ALL BUILDS* for Windows95/98/WinNT Vulnerability
(from Win2K Security Advice, Fri, 25 Feb 2000 06:39:46 +0900)

 InterAccess TelnetD Server 4.0 の build 7 までの全 build において、buffer overflow に基づく DoS 攻撃が可能だという指摘。 これに対し、最新の版で fix したとフォローされている。 Get the latest version of InterAccess TelnetD Product にある February 24, 2000 版の build 7 がその最新版であろう。

Bugzilla Bug 29079: file:///c|/con/con/con
(from 個別メール, Fri, 25 Feb 2000 13:04:08 +0900)

 <A HREF="file:///c|/con/con/con">hoge</A> という link をクリックすると、Windows 98 が crash するという指摘。 手元で試したところ、<A HREF="file:///c|/con/con"> ですでに crash する。 Windows 98 + IE 5.01、Windows 95 SP1 + Netscape Communicator 4.51 (古いなあ) で再現し、Windows NT 4.0 SP6a Server + IE 5.01 では再現しない。 Windows 9x 自体の問題のような気がしますが、さて……。

 mozilla zine Daily Japanese Translation 日本版BBS では cd c:\con\con\con で Windows 98 が落ちたという話があるが、 手元の Windows 98 では再現しない (MS-DOS プロンプトが無反応にはなるけど)。 cd \con\con\con では MS-DOS プロンプトが即座に crash したが、 Windows 98 自体は無事だった。 Windows 98 + NeoPlanet 5.1 でも OS crash するという情報を学内 ML から得た。 またメーラー Becky! や Webページ作成ソフト Macromedia Dreamweaver 3J でも Windows 98 が crash するという情報を得た。 うーむ。やはり OS 自体の問題か。

 応用編としては、たとえば

が考えられる。これはかなり強烈な DoS attack だ。

 無津呂さん、池本さん、まりんさん情報ありがとうございました。

2000.02.29 追記: その後も情報が出てきている。

2000.03.02 追記: 株式会社テクノクラフトによる「conconバグ回避プログラム」が登場しています。 http://www.a2001.com/ から入手できます。 現在バージョン 0.1 で、まだ完全に防げるわけではない状態ですが、なにもしないよりは遥かにマシです。 速攻でインストールし、結果を http://www.a2001.com/ 内のツール掲示板に書きましょう。

2000.03.03 追記: 上記「conconバグ回避プログラム」が0.1a版になっています。 http://www.a2001.com/ から入手できます。 いくつかの不具合が解消されているので、入れかえましょう。 なお、まだいくつか不具合が残っているようです。 でも入れないためになくならない不具合よりははるかにマシ。

2000.03.06 追記: 上記「conconバグ回避プログラム」(decon) が0.1a2版になっています。 対応文字の追加、IE での異常終了に対応。 また、Windows 9x/NT 用の web サーバソフト AN HTTPD 1.26 でも独自に concon 問題への対応がされています。 Windows 9x で web サーバを上げる場合、 MS からの正式 fix の目処がたたない現状では、PWS などは使わず、 decon + AN HTTPD とするのが最良だと思います。 Windows 2000 とか Linux とか *BSD とかに移行するのも吉ですけど、 できる状況ならとっくにやってますよね……。

 うぇぶぶらうざうおっちさんを見てみたら、 Beckey! 1.26.01 以降でも対応 (1.26.02 で対応が改良されている) そうです。

2000.03.07 追記: PacketStorm では 03.03 あたりからこの話が取りあげられていますね。 でも日本のサイトのほうが詳細な情報があるので、読まなくていいです。

 中村正三郎のホットコーナーで、ユーザ名に con と入れると落ちるという話が出てます。 もうなにをか言わんや。

2000.03.08 追記: ユーザ名 con の復旧はかなり手間のようです。 簡単に修復できないという点では、これがいちばん強烈か? 以下に実例を紹介。武田さん情報ありがとうございます。

  (1) ユーザ名 con でログオンしようとする。
  (2) 「新しいユーザさんですね、♪イラッシャ〜イ」と歓迎され、
      ごそごそとなにやらデータを作ってくれて、無事にログオン。
  (3) ログオフしてみたら、その場で沈黙……… (^^;
  (4) Ctrl + Alt + Delete とすると、タスクマネージャには、
      「 Mprexe [応答なし] 」というメッセージが出ている。
  (5) 強制終了させるも、再び沈黙………。

  (6) しょうがないなぁと笑いながら、リセットボタンを「ポチっとな」。

  (7) しかし、ログオンウィンドウが出てこない…… (汗)
  (8) Ctrl + Alt + Delete とすると、タスクマネージャが、
      またまた「 Mprexe [応答なし] 」と、言ってくる。
  (9) 強制終了させるも、再び沈黙………。
 (10) しょうがないので、再びリセットボタンを「ポチっとな」。

 (11) しかし、むなしく (7) に戻る (汗×5)

 (12) Safe モードで起動。
 (13) レジストリエディタで、con ユーザのデータをゴッソリ削除。
 (14) 再起動。

 (15) しかし、またまた (7) に戻る (汗×10)

 (16) Safe モードで起動。
 (17) 「 Windows は、前回ログオンしたユーザを覚えているから、
      そこのデータも消さないといけないのかも…」と思い、
      再び、レジストリエディタを起動。
 (18) 検索で、「 con 」(完全一致のみ) を用いて、探し当てる。
      Logon ユーザを、安全なユーザ「 takeda 」に変更。
 (19) 再起動。

 (20) 無事に立ち上げる (ほ)

 試される場合は覚悟の上 (^^;) でどうぞ。

 また、Lynx for win32 開発版日本語対応版 2.8.3jdev21 でも独自に concon 問題に対応されています。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev21.zip から入手できます。 千秋@産業短大さん情報ありがとうございます。 ただ、lynx には現在長い URL で buffer overflow する問題 (Security Focus Newsletter #31 内で言及) が指摘されているのがあれですが……。

2000.03.08 再追記: 上記 buffer overflow が fix された 2.8.3jdev21a が早くも登場。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev21a.zip から入手できます。 この素早さがすばらしいです。 千秋@産業短大さん fix ありがとうございます。

2000.03.09 追記: Windows 9x マシンのネットワーク共有フォルダに対して、 echo > \\AAAA\BBBB\con\con とか echo < \\AAAA\BBBB\con\con とかすると、 公開元マシン AAAA は decon を入れていても落ちるそうです。 蛭子屋さん情報ありがとうございます。

 Windows95/98のconconバグについての BBS には、concon なタグが置いてある site の情報なども出てますね。 うーみゅ。

2000.03.10 追記: 「conconバグ回避プログラム」が 0.1a Beta3 版になっています。 http://www.a2001.com/ から入手できます。

2000.03.10 再追記: 関連記事が出てます: 「Windowsのバグでウェブ電子メールに問題 」(from CNet News, Thu 9 Mar 2000 13:00 PT)。 しかし、驚くほどゆがんだ内容ですね。 「パッチが完成するまでは、憶えのないファイルを開くときには注意すること、セキュリティーの設定を最高レベルに維持しておくことを、ユーザーに勧めている」なんてことでは全く対処できない問題なのに。 こんなことでだいじょうぶなのかマイクロソフト。

2000.03.13 追記: 千秋@産業短大さんによる lynx for win32 日本語版が 2.8.3dev22 ベースになりました。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev22.zip から入手できます。 concon 問題への対応も強化されているそうです。

 BUGTRAQ にも情報のまとめが投稿されてました。 しかし、

Microsoft has also been aware about the problem for a long while. As it was pointed out earlier in the thread this problem was reported last year to the list. Microsoft did not feel the problem was important enough to bother users with a security fix.

というのは……。

2000.03.14 追記: 関連記事: 「Windows 95/98の「欠陥」に対処する修正を準備するマイクロソフト」(from PCWEEK Online Japan, 2000.03.10)。 これほど簡単確実な DoS に対して「重要な問題だとはみなされなかった。 セキュリティの問題ではなく,迷惑なものに過ぎない」 という判断を下すとは、言語道断である。 マイクロソフトのセキュリティチームは判断能力ゼロか? ニィガタケンケィ幹部の判断とダブるところあるなあ。

 conconバグ回避プログラム decon が 0.2beta2 になってますね。

2000.03.17 追記: ようやく本家 Microsoft から Advisory と fix が出た。 MS00-017: Patch Available for "DOS Device in Path Name" Vulnerability だ。 でももちろん英語版だけ。 日本語版の登場予定はあと 3 か月くらいでしょうか……。

 あと、ZDNet News から関連記事が: マイクロソフト,CONCON問題対策のパッチを今週中に提供。 Becky! と Lynx for win32 への link がないのはどうしてなのかな。 MSKK から日本語版対応 patch が 1 week 以内に出る、といいな。

2000.03.17 再追記: NT 上で com1.1, com1.2, ... というファイルをつくると消せなくなっちゃうと指摘されている。 手元で確認したが、確かに消せない……というか、コマンドプロンプトで dir しても ls しても見えない。ls は 3 種類 (リソキ、cygwin、SFU) 試したけど、どれでも見えない。 samba など UNIX ベースの CIFS なら UNIX 側から消すことができるが、 NT の file share だと永遠に消せないような……。

2000.03.27 追記: Win セキュリティ虎の穴2000/03/24 に「英語版用パッチが日本語版にも適用可能」と報告されていた。もちろんこれは保証外なので、試される場合は at your own risk でどうぞ。 私はとりあえず decon です。

 あと、上の NT 上で com1.1, com1.2, ... というファイルをつくると消せなくなっちゃう話なのですが、どうも、そういう名前のファイルをつくっているわけではなく、本当に com1 デバイスに copy しているような気がしてきました。 バカでかいファイルを com1.1, com1.2, ... に copy しても disk full にならない (いくらでも copy できる) し、copy foo com2.1 すると「指定されたファイルが見つかりません」なんて言われるし。 森田@SOSさんから削除方法をご教示いただいたのですが、その方法では削除できなかったし。 NT Server 4.0 SP6a でのテスト結果です。

2000.03.30 追記: ついに日本語 patch が登場。 詳細については J052792, W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生 を参照。

2000.04.14 追記: 日本語 KB J052792, W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生 が改訂されている。 「注意:この情報は PC/AT互換機用です。PC-9800シリーズ用の修正モジュールについてはもうしばらくお待ちください」って、前はなかったですよね?

2000.07.23 追記: 日本語 KB J052792, W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生 が改訂され、ついに PC98x1 用 fix が追加された。

2002.02.13 追記:

IMPRESS掲載記事について
(from The Shadow Penguin Security - Temporary Home, 2000/2/24)

 2000.02.22 の The Shadow Penguin Security 再構築中 で触れている IMPRESS の記事への、back section としての公式反論。 まずはご一読を。 The Shadow Penguin Security も着々と再構築中のようで、本当によかった (ポリアンナ)。 カッコイイんだこれがまた。

 おお、back section トップページには DEFCON JAPAN の画像が……。こ、これは……わくわく。


2000.02.24

 おぉ、2.6.0 になってます。 関係者のみなさん、ありがとうございます。_o_

% ftp ftp.mesh.ne.jp
Connected to meshsv05.tk.mesh.ad.jp.
220 ftp.mesh.ne.jp FTP server (Version wu-2.6.0(2) Wed Feb 23 22:33:06 JST 2000) ready.

 MacInTouch Security Resources というのができたそうです。MacOS X な時代になると、いろいろさわがしくなるんでしょうね。

 昨日 MS99-046: Patch Available to Improve TCP Initial Sequence Number Randomness の日本語 fix を紹介したけど、本日発売の Windows NT World 2000.04 (これも Windows 2000 World になっちゃうのね) の塩月さんの記事がちょうどこれを含む話題をあつかってますね。 いつものように、すごくわかりやすい記事です。 この記事だけでも 1280 円出す価値あるよね。

追記

 2000.02.22 の The Shadow Penguin Security 再構築中追記した。 その後の UNYUN 氏などによるフォローアップ等を総合して追記。

通信傍受疑惑で報道官 「産業スパイを任務としてない」
(from MAINICHI Interactive, 2000-02-24)

 そりゃあ「ええ、やってました」とは言わんわな。 三沢の「象の檻」は一回見てみたいとは思っているのですが……って、ふつうの人が見れるものなのかな。

霞が関WANにアタック 郵政省の研究機関サーバー経由
(from MAINICHI Interactive, 2000-02-24)

 あいかわらず続いているようです。

メールから侵入する新ハッカーソフト
(from CNet News, Wed 23 Feb 2000 4:35 PT)

 DDoS ツールの 1 つ Trinoo の新バージョン登場という話題。 Windows プラットホームで動作する。 e-mail の添付ファイルとしてやってくる、という。 あたまがいたいなあ。

 なんだかな題名だなあと思ったら、原文自体が New hacker software could spread by email だった。

Crashing Inetinfo.exe by using a longfilename in the \mailroot\pickup directory
(from NTBUGTRAQ, Wed, 16 Feb 2000 00:50:34 +0900)

 Microsoft IIS 4 の SMTP サーバ機能に弱点。 \mailroot\pickup ディレクトリ (c:\inetpub\mailroot\pickup など) に GGBLGCINFFYRFQWEUDVXLFEBKITFRUSXZHRSWCZOVFPYWRHLLLNGCGUCBJLMIUCYQIJTHJQVGNHZNYXMrad38A88.tmp.eml などのような 86 文字以上の名前 + .txt.eml という名前のファイルを設置すると、Inetinfo.exe (IIS 実行ファイル) が crash するという指摘。 デモ用の VB スクリプトが付属している。 手元の NT 4.0 Server SP6a + IIS 4.0 + 出てる patch 全部、で再現できることを確認した。

Security problems in Apple's search engine, Sherlock
(from Macintosh トラブルニュース, 2000.02.21)

 詳細は、Macintosh トラブルニュース2000/02/21 付け記事「Sherlock プラグインでのメールアドレス漏洩の可能性」に詳しいので、そちらをご覧いただきたい。

 うーんしかし、anonymous FTP パスワードに e-mail address を入力するのはマナーだと考えている派の一人としてはなあ……。

Allaire Security Bulletin (ASB00-05): Cross-Site Scripting Vulnerability Information for Allaire Customers
(from BUGTRAQ, Fri, 18 Feb 2000 11:06:24 +0900)

 CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests に対応するドキュメント。ColdFusion 管理者は一読を。

ANN: Bruce 1.0ea2: Networked Host-Vulnerability Scanner for Solaris & Linux
(from BUGTRAQ, Fri, 18 Feb 2000 03:08:37 +0900)

 Sun の Java2 ベース分散セキュリティシステム Bruce については 1999.11.26 に取りあげているが、v1.0 Early Access 2 (Beta) が出たいうおしらせ。

Remote Vulnerability in the MMDF SMTP Daemon
(from BUGTRAQ, Thu, 17 Feb 2000 03:55:42 +0900)

 (The current public release is 2.43) となっているが、この後 2.44 版 (2.44-final) が http://www.mmdf.org からリリースされている。

 SCO っていまだに MMDF なんですか?

Security Focus Newsletter #29 2000-02-13 -> 2000-02-21
(from BUGTRAQ-JP, Wed, 23 Feb 2000 11:27:48 +0900)

 SecurityFocus.com Newsletter 第 29 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

  1. Microsoft FrontPage PWS Directory Traversal Vulnerability

    似たような話が 1999.01.21 の Microsoft Personal Web Server にあるのですが、このときは NT はだいじょうぶという話でした。

    時は移って、NT 4.0 SP6a の [NT]Windows NT 4.0 Service Pack 6a 修正一覧W98:パーソナル Web サーバー利用時のセキュリティ問題について が含まれているのはなんでかなと思っているのですが、 いまだによくわかりません。

  2. Nameserver Traffic Amplification and NS Route Discovery Vulnerability

    2000.02.18 の TESO - Nameserver traffic amplify and NS route discovery の話。

  3. Multiple Vendor SNMP World Writeable Community Vulnerability

    書き込めるのは、まずいですよね。

  4. NetBSD procfs Vulnerability

    2000.02.18 の NetBSD Security Advisory 2000-001: procfs security hole の話。 Advisory は update されている。 どこが変ったかは diff を参照。

  5. SCO Unixware ARCserver /tmp symlink Vulnerability

    またまた一時ファイル攻撃を受ける (というか誘発するというか) ソフトが。

  6. Microsoft Windows 2000 Install Unprotected ADMIN$ Share Vulnerability

    管理者パスワードの設定が再起動するまで有効にならないなんて……。

  7. Ultimate Bulletin Board Arbitrary Command Execution Vulnerability

    これ使ってる人います?

  8. Microsoft Windows autorun.inf Vulnerability

    Windows の autorun は、 実は固定ディスクやネットワークドライブに対しても使えてしまうという指摘。 これを制限するためのレジストリ設定も記載されている。

追記

 2000.02.23 の ソフトバンク子会社にウイルスを「送ってしまった」少年を逮捕追記した。 不正アクセス対策法で、は無理なんじゃないの? という話。


2000.02.23

 がーん、(新) www.st 止ってました。さきほど再起動。 非力な機械なのでいぢめないでね。 さきほど、リプレースマシンを置く場所をつくってました。

 ChangeLog さんお休み延長だったのですか……。

 guard3.dll 1.02 版が出てます。IIS 管理者は速攻で入れかえましょう。

NT 4.0 patches
(from Port139 B-) の独り言, 2000/02/21)

 NT 4.0 patch 出てます。

 LPC Port Spoofing ってのが MS00-008 なのかなあ。 ……って、これは MS00-003 じゃん。だめだ、ボケてる。

追記

 2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java'追記した。 Windows 2000 での状況を追加。

DDoS ものいくつか

 DDoS ものネタをいくつか。link only。

追記

 2000.02.21 の MS00-010: Patch Available for "Site Wizard Input Validation" Vulnerability追記した。 日本語版 patch が出た。

追記

 2000.01.12 の IE 5 security vulnerablity - circumventing Cross-frame security policy and accessing the DOM of "old" documents.追記した。 ようやく日本語 patch が出た。

追記

 2000.02.02 の MS00-006: Patch Available for "Malformed Hit-Highlighting Argument" Vulnerability追記した。 やっとこさ Windows 2000 日本語版用の修正プログラムが登場。

ソフトバンク子会社にウイルスを「送ってしまった」少年を逮捕
(from ZDNet News, 2000.02.23)

 「威力業務妨害未遂」というのは存在しないんだろうな。 今なら不正アクセス対策法で、なんだろうけど。

2000.02.24 追記: 今起ったとしても、やっぱり威力業務妨害か計算機損壊等業務妨害しか適用できないのではないか、という意見を伊波さんからいただきました。 そう言われてみるとたしかにそうなのですが、 「ウィルス」の中身が、たとえば BackOrifice 2000 を植え付けるようなものであれば、

アクセス制御機能を有する特定電子計算機等に電気通信回線を通じて他人の識別符号等を入力して作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為

である不正アクセスとして (も) 取りあつかえるような気がします。 ちょっと苦しいですが (^^;)。 伊波さん情報ありがとうございました。

フランスで「MSソフトにNSAスパイプログラム」の報告
(from 個別メール, Wed, 23 Feb 2000 11:16:58 +0900)

 略しすぎでなんだかさっぱりわからない。 zdnet.com をうろついてみたのですが、もと記事をみつけられませんでした。 Le Monde には Echelon ネタがいっぱいあるので、これも Echelon ネタな記事なんじゃないかなあという気はするのですが。

 英語にも不自由しているしまつなので、フランス語はわからんです。

恐怖心は徐々に高まる? 一連のサイト攻撃で「ネットに不信感」の調査報告
(from ZDNet News, 2000.2.18 3:10 PM PT)

 この「調査」、ほんとうにアテになるデータなの?

ホームユーザーにも高まるセキュリティへの関心。広帯域ISPの対応が不十分?
(from ZDNet News, 2000.2.21 2:28 PM PT)

 ISP に細かいことまでやれというのは、一般には無理だと思うけどなあ。 もちろんサービス料金別払いというのはありだと思うけど。 それよりは、自社が管理してない source address なパケットが内側から来たら落すとか、 大きなレベルでの対応を望みたいような。

警察庁情報セキュリティ政策大系
(from INTERNET Watch, 2000-2-23)

 III-1 ハイテク犯罪対策の推進

○不正アクセス手法検証システムの整備(平成12年度予定)
 ハイテク犯罪捜査の迅速化に資するため、ハッカー等が相互に交換する技術情報、各ベンダーが発表するセキュリティ・ホール等の技術情報等、不正アクセス手法関連の情報を収集し、あらかじめその真偽を検証するためのシステムを整備する。
 当該システムによる検証作業においては、民間の技術者とも積極的に情報交換を行い、官民の交流を推進する。

は、ぜひ成果を公開してほしいです。期待してます。

シマンテック, ハッカーなどによるサービス拒否(DoS)攻撃に使われる不正プログラムの検知技術をNorton AntiVirusに追加
(from 日経 BizTech Mail, 2000/02/23)

 これは、DDoS それ自体を検出するわけでは全くないので注意されたい。

 ところで、NAV が稼働する OS で TFN2K, Trinoo, stacheldraht とかって動きましたっけ? というか、Solaris 2 とか Linux とかで NAV って使えましたっけ? Norton AntiVirus for Solaris Gateways とかで使えるよ、ってことかなあ。

 そんなことより、1999.12.27 の Norton Email Protection Remote Overflow を直してほしいです。


2000.02.22

 mesh.ne.jp さん、こんなバージョン使っていていいんですか? 独自に security fix されてるのかもしれませんが、Y2K もあるんですけど (実際困ってます)。

% ftp ftp.mesh.ne.jp
Connected to meshsv05.tk.mesh.ad.jp.
220 meshsv05 FTP server (Version wu-2.4(9) Thu Aug 10 19:07:54 JST 1995) ready.

 www.st.ryukoku.ac.jp を動かしている機械の入れかえをしました (ただいま DNS に反映中)。 1 か月以内にまた入れかえると思います。

Windows 2000 Professional(& Server)セキュリティチェックポイント
(from Port139, 2000/2/20)

 Port139 伊原さんによる、Windows 2000 の「最低限必要と考えられる」設定項目。B-) の独り言 のページも参照。InetPub 以下のアクセス権に注意。

追記

 2000.02.15 の Debian GNU/Linux GNU make fix追記した。 Debian からの正式な案内が出た。

FreeBSD ports ネタ 2 点

 FreeBSD ports ネタ 2 点。OS 本体の問題ではない。

ウイルス対策ソフト各社が電子メールにサイト広告を追加するActiveXコントロールを警告
(from 日経 BizIT,2000.2.20)

 そもそも『自動的にdownload.exeというソフトがダウンロード&インストールされる』のがまずいと思うのだけど……。 そういうのを許可しちゃいかんでしょう。 『Finjan Softwareのようにこのソフトを「ワームと同じ」と非難するベンダーもあらわれた』……トロイの木馬の方がイメージとしては近いような。

インターネット向けの公開サーバのポリシー
(from FWD fw-novice, Tue, 22 Feb 2000 07:27:08 +0900)

 すばらしいです。 さきほど fw-policy (セキュリティポリシーについての情報交換 ML) にも subscribe させていただきました。

セキュリティ対策の死角
(from 日経 BizIT, 2000.02.21)

 潜在的な「頼れるCIO」は少なくないと思うのだけど、なにしろここはニッポンなので、能力のある人には権限がなかったり、ボンクラ経営者にツブされたり、という話が多いんじゃないかという気がする。

 まあ、今回程度の話で全体を見直しているようなところは、それこそがダメな証拠なんですけどね。 ……いや、経営者にカネを出させるいい機会ではあるので、「頼れるCIO」ならここぞとばかり働きかけをしているか?

The Shadow Penguin Security 再構築中
(from INTERNET Watch, Tue, 22 Feb 2000 01:48:26 +0900)

 極めて良質のセキュリティ情報を提供してくれていた The Shadow Penguin Security がリニューアルのため閉鎖中です。 INTERNET Watch は The Shadow Penguin Security や UGTOP を「アンダーグラウンド・サイト」と言っているけど、 実際問題これらはアングラなんかじゃない (十分オモテ) だと思うんですけどねえ。 アングラっていうのは、23:00 からしか上がらない、ドメイン名もないようなサイトのことだと思っていたのですが、違うのかしら。

 The Shadow Penguin Security のコンテンツがまずくて Security FocusPacketStorm が ok (or、これらがアングラでない) っていうのはどう考えてもヘン (後者は特に……ねえ)。 「臭いものにフタ」して世界が安全になるわけではないことは、すでにさんざん明らかになっているはずなのに。 日本語サイトつぶせば済む話じゃないってことがマスメディア連中にはわからないのかねえ。

 INTERNET Watch 古川さん、自分にメディアとしての自覚があるのなら、もうちょっと考えて記事を書いて下さい。 あなたは、The Shadow Penguin Security や UGTOP が閉鎖されれば世界が安全になるとお思いなんですか? あとでメールでも出すか……。

 そもそも、どういった経緯でこういう事態になっているのでしょう。 マスメディア連中が焚きつけた?

2000.02.24 追記: BUGTRAQ での k00L 氏、UNYUN 氏によるフォローアップ、および個別メールでいただいた情報を総合すると、次のようだったようです。


2000.02.21

再追記

 2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java'再追記した。 なんと、追記した fix は指摘された問題へのものではなかった (!!!)。 ただし、指摘された問題への fix も含まれている。 ややこしい。 おまけに問題についての深刻さの説明が不足しているのだ。

MS00-010: Patch Available for "Site Wizard Input Validation" Vulnerability
(from Microsoft Product Security Notification Service, Sat, 19 Feb 2000 10:47:33 +0900)

 MS Site Server 3.0 Commerce Edition に弱点。 2 つのサンプル web サイト、および wizards のひとつから生成されるコードにおいて、入力値の 1 つである認証番号を検査せずにデータベースクエリーに入力してしまっていた。 英語版 fix は出たが日本語版はまだだ。

2000.02.23 追記: 日本語版 patch が出た。 http://www.microsoft.com/downloads/Release.asp?ReleaseID=18767 から入手できる。

追記

 2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java'追記した。 fix が登場。


2000.02.20

 このインタビューの「AJ (Adobe-Japan) 1-4 の15,000字だけでなく, X0213の文字もくわえていきたいですし」という発言はなかなか興味深い。

追記

 2000.01.19 の 米国の暗号輸出規制緩和をRSAなどが歓迎追記した。 Windows 2000 の High Encryption Pack の web ダウンロードを追記。 02.15 で述べているのは Windows 2000 じゃなく IE の High Encryption Pack なので注意。

追記

 2000.02.18 の DNScache 日本語ページ追記した。 バージョン番号の間違いを修正、publicfile の link 先を日本語ページに。


2000.02.18

 出てますねえ Windows 2000。間に合いでしたねえ Indexing Service バグ日本語版 fix。 「シングルバイナリー」になってもこういう状況なんですか……がっくし。 「Windows 2000 セットアップに関するご注意」 (Netscape Communicator ではうまく見れない……) に至っては記述すらされてないしなあ。 日経 BizIT の「バグがソロゾロ Win 2000--セキュリティ・ホールも!」 には「対応モジュールはすでに用意さていてダウンロードできる」と書いてあるけど、どこからダウンロードできるかご存知の方いらっしゃいますか? KB にはあいかわらず「開発中」と書いてあるんですが……。 Windows Update 経由とかで get できるのかなあ。

 「このページは、JavaScript/CSS対応ブラウザのみに対応しています」というセリフは、MSIE の既知の JavaScript バグを全部 fix してから言ってほしいです。

DNScache 日本語ページ
(from 個人宛メール, Thu, 17 Feb 2000 11:31:05 +0900)

 DNScache についてはすでに 2000.01.19 に紹介していますが、DNScache 日本語ページ が整備されたとの情報をいただきましたので、あらためて紹介しておきます。

 DNScache は qmail で有名な D. J. Bernstein さん作の DNS クライアント/サーバです。 最新は 0.82 版だそうです。 日本語で議論できるメーリングリストもできたそうです (subscribe 方法についてはDNScache 日本語ページを参照してください)。 DNScache 日本語ページに掲載されている「The 200 trusted .com servers」もたいへん興味深い話です。

 DNScache の登場で、

と主要インターネットサービス全てを DJB 印ソフトウェアで固めることができます。

 前野さん情報ありがとうございます。

2000.02.20 追記: バージョン番号の間違いを修正 (0.8.2 → 0.82) しました。 publicfile の link 先を publicfile 日本語ページにしました。 前野さん情報ありがとうございます。

TESO - Nameserver traffic amplify and NS route discovery
(from BUGTRAQ, Sun, 13 Feb 2000 02:56:01 +0900)

 外部への DNS クエリーをトラフィック増幅器として利用することが可能である、という指摘。デモプログラムが添付されている。 対策としては、たとえば bind を使っているなら bind を正しく (abuse されないよう) 設定する。 具体的には allow-query とか recursion no とかを設定する……んだと思います。

NetBSD もの 2 題
(from BUGTRAQ)

 NetBSD もの 2 題。

TurboLinux もの 2 題
(from TL-Security-Announce ML)

 TurboLinux もの 2 題。

HP もの 2 題
(from HP Electronic Support Center World Wide Web Service)

 HP もの 2 題。

追記

 2000.01.12 の IE 5 security vulnerablity - circumventing Cross-frame security policy and accessing the DOM of "old" documents追記した。 MS から Security Bulletin が出た。

自民党が「ハッカー・サイバーテロ対策」の緊急提言をまとめる
(from 日経エレクトロニクス online, 2000/2/16)

 自民党も、 全文 web page に掲載するくらいしてもよさそうなものなのになあ。 どうしてこう、いつもいつもマスメディア経由でしか情報が入手できないわけ? 目安箱にでも書くか……。

電子盗聴網は存在した! 米機密文書公開で明らかに
(from インターネット事件を追う, 2000年2月17日)

 別名「51 番目の州」の政府はあいかわらず反応が鈍いようですねえ。 自国企業も標的にされているらしいというのに。

Windows2000セキュリティアンケート
(from Port139 NT Security, 2000年2月16日)

 Port139 で Windows 2000 のセキュリティ機能についてのアンケートが行われています。 「景品などはありません」とされていますが、アンケート結果に基づいて素敵なコンテンツが充実されると思いますので、Windows 2000 とつきあう予定のある方はぜひどうぞ。 その他にも、NT Security のページには最近多数のコンテンツが上げられれているので、ぜひご一読を。


2000.02.17

 ZDNet さん、index 見えちゃう (画像) んですけど、いいんでしょうか。

 Think Different 映画監督シリーズ、なんで D. W. グリフィスが入ってないの?

新潟のCATVサイトも被害 また中国人ハッカー?
(from インターネット事件を追う, 2000.02.15)

 他には

もやられているようです (from School-Tech ML)。

New TurboLinux mailing lists
(from A.G.E.N.T, 02-17-2000)

 TurboLinux のセキュリティ関連メーリングリスト登場。 日本語で議論できるものもほしいなあ。


2000.02.16

 Windows 2000 に 63000 個バグがあるなんて話もありますが、 そう言われてみれば、これとか、すでに「βバージョンなので……」という記述がない KB が出てますね。

 そうか、保険屋が儲かるのか……。

RSAのサイト書き換えで,DNSセキュリティの不備が浮き彫りに
(from ZDNet News, 2000.02.15)

 「ハイレベルのDNSサーバ」って、どこ?

追記

 2000.02.15 の DDOS Attack Mitigation追記した。 関連記事を追記。


2000.02.15

 Windows 2000 製品版の Readme ファイルが公開されてますね。

追記

 2000.02.15 の Debian GNU/Linux GNU make fix追記した。 SRA の曽田さんからフォローをいただいたので追記。

サイトの背後に別の顔——SSLだけでは作れないセキュアなサイト
(from ZDNet News, 2000.02.15)

 Netscape Communicator につづいて MSIE でも 128bit 暗号が使えるようになりつつあるので、入れかえましょう。 Fortify でもいいんだけど、MSIE には対応してないんだよね。

DDOS Attack Mitigation
(from BUGTRAQ, Fri, 11 Feb 2000 17:31:01 +0900)

 話題の分散 DoS (DDoS, distributed denial of service) 攻撃についてのまとめ。 追記も参照。 このうち、

 これと関連して、 Dragos Ruiu 氏による文書 A DDOS proposal を柳岡@ラック氏が翻訳されている。 また、DoS 攻撃の逆探知を行う方法についての論文 Practical Network Support for IP Traceback が発表されたと JANOG ML で紹介 (アクセス制限あり: JANOG ML 参加者のみ閲覧可能) されている。

 TFN2K と Stacheldraht については、ISS からも Denial of Service Attack using the TFN2K and Stacheldraht programs が出ている。 また、TFN/TFN2K の作者へのインタビューが ZDNet News に掲載されている: 「口を開いたサイト攻撃ツール作者——「TFN」の生みの親にインタビュー

2000.02.16 追記: CNET にも TFN/TFN2K の作者へのインタビューが掲載されていた: 『「Mixter」サービス拒否攻撃について語る 』。 私は犯人追跡も security fix も両方必要だと思うけど、だからって「HDD よこせ」と言われるのは困るなあ。犯人追跡は実際には無理だろうし……とか思ってたら WIRED NEWS では『ネット攻撃の容疑者逮捕は「時間の問題」か』なんて記事も出てますね。

International 128-bit IE & W2K patches availabile
(from NTBUGTRAQ, Tue, 15 Feb 2000 04:35:46 +0900)

 MSIE 4.x/5.x 用の 128bit 暗号化機能追加パッケージ "High Encryption Pack" が登場しています。 Netscape Communicator 4.7 for FreeBSD でアクセスしたら何も出ないのであせったけど、IE 5 でアクセスしたら、ちゃんと [NEXT >] ボタンが表示されました。 まだ英語版しかないようですが、日本語版もおいおい登場するでしょう。

2000.03.17 追記: 日本語版が出てます。 http://www.microsoft.com/windows/ie_intl/ja/ から入手できます (info from INTERNET Watch)。 さっそく手元の Windows NT 4.0 SP6a Server/IE 5.01 と Windows 98 SP1/IE 5.01 に入れてみました。 Fortify の SSL チェックページで試すと RC4 cipher, 128-bit key になりました。

Debian GNU/Linux GNU make fix
(from our mirror-log, 2000.02.15)

 Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている GNU make の bug ですが、 Debian GNU/Linux では make_3.78.1-6 で mkstemp() を使った fix がされていました。 FreeBSD オンラインマニュアルの BUGS セクションにも An attacker can guess the filenames produced by mktemp(). Whenever it is possible mkstemp() should be used instead と書いてあるので、これが正当な fix のようです。 でも mkstemp() がない環境ではあいかわらずだめなんですが。 下手に fix するより mkstemp() を移植したほうが早い?

 また、坂井さんが BUGTRAQ-JP に「一時ファイルの望ましい取り扱い方」を投稿されていますので、あわせてお読みください。

2000.02.15 追記: SRA の曽田さんからフォローをいただきましたので、そのまま掲載させていただきます。曽田さん情報ありがとうございます。

まず、fstat(2) によるチェックだけでは、symbolic link による攻撃を防ぎきれないので、問題があると思います。 最低でも open(2) を使って O_CREAT|O_EXCL を指定することは必須でしょう。 逆に、O_CREAT|O_EXCL による open(2) が成功していれば、fstat(2) によるチェックは不要だと思います。 これにより、少なくとも既存のファイルが symbolic link 攻撃の結果、上書きされてしまうことはなくなります。 また、一時ファイルの削除も安全に行うことができます。 mkstemp(3) を使えば O_CREAT|O_EXCL で一時ファイルを作成してくれますから、安全です。
ただし、この方法でも、意図しないディレクトリに、新たにファイルを作成されてしまう危険 (また、その新たに作成されたファイルが削除されずに残る危険) は存在します。

これに対する防御は、BSD 系の場合は mkdir を使うことでしょう。 少なくとも BSD 系で、かつ local な filesystem に対する処理の場合、 /tmp/hogehoge -> /etc/hogehoge という symbolic link が存在しても、 mkdir /tmp/hogehoge の結果 /etc/hogehoge が作成されることはありません。 このような symbolic link がある場合、mkdir は失敗します。従って、mkdir によるディレクリの新規作成が成功した場合、たとえ /tmp のような誰でも書けるディレクトリの直下にあっても、symbolic link 攻撃による影響は受けません。 後は、このディレクトリの下に安全に一時ファイルを作ることができるわけです。 C プログラムの場合には、mkdtemp(3) を使ってディレクトリを作成するのが良いと思います。
また、シェルスクリプトが一時ファイルを作成する場合でも、(BSD 系であれば) この方法が使えます。 NetBSD や OpenBSD の /etc/security スクリプトが、 最初にまず /tmp 以下にディレクトリを作成し、 その mkdir が成功した場合に限り、その下に一時ファイルを作っているのは、このためです。

上記の O_CREAT|O_EXCL による open(2) は、全ての UNIX 系 OS で通用する筈です。

mkdir による防御も、BSD 系に限らず、多くの UNIX 系 OS で通用するのではないかと思いますが、こちらに関しては、OS 毎に検証が必要だと思います。

2000.02.22 追記: Debian からの正式な案内が出た。 「make におけるシンボリックリンク攻撃」を参照されたい。

人事院の不正アクセスで大学が調査結果発表--犯人は第三者の可能性
(from 日経 BizTech, 2000/02/14)

 「人事院には2分間に約1万2000回」の port scan というのは、高知工科大アドレスから2分間に約1万2000回、なのかな。 それってほんとに port scan ?

Timbuktu Pro 2.0b650 DoS
(from BUGTRAQ, Sat, 12 Feb 2000 04:43:30 +0900)

 NT 4.0 SP5 上で動作する Timbuktu Pro 2.0b650 に DoS 攻撃を受ける弱点。 TCP port 407 および port 1417 への接続/接続解除をするだけで、Timbuktu Pro への正常な接続ができなくなってしまう。 このようになったら、Timbuktu Pro を再起動するしかない。

FireWall-1 Passive FTP Vulnerability
(from BUGTRAQ, Sat, 12 Feb 2000 19:45:30 +0900)

 Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている FireWall-1 の passive FTP の件の fix が登場したというおしらせ。

MySQL 3.22.32 released (fwd)
(from BUGTRAQ, Tue, 15 Feb 2000 00:37:45 +0900)

 Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている MySQL bug が fix された 3.22.32 が出たというおしらせ。

2000.02.29 追記: FreeBSD の ports の話が出ている。 FreeBSD-SA-00:05 MySQL allows bypassing of password authentication

2000.03.13 追記: TurboLinux 用 fix package が出ている

KAME IPv6/IPsec stack, STABLE kit 20000214
(from OpenBSD announce ML, Mon, 14 Feb 2000 17:36:59 +0900)

 BSD 系 UNIX OS 用 IPv6/IPsec 実装でおなじみ KAME project から、STABLE kit 20000214 が出たというおしらせ。 BSD/OS、FreeBSD、NetBSD、OpenBSD のリリース版で使える。 FreeBSD、NetBSD、OpenBSD の current 版では KAME の統合も進んでいる。

再び大量のクレジットカード番号盗難か?
(from WIRED News, 2000.2月11日 10:30am PST)

 氷山の一角なんでしょうね……。

RSA Laboratories Unveils Innovative Countermeasure To Recent "Denial of Service" Hacker Attacks
(from INTERNET Watch, 2000-2-15)

 client と server の両方に実装しなくちゃいけないし、そもそも port 80 にだけ攻撃するわけでもないだろうし。ほんとに有効なのかなあ。

「サイバーセキュリティ公開実験」実施要綱
(from INTERNET Watch, 2000-2-15)

 売りたい方としては「この特殊安全 OS を使えば安心」と言いたいところなのだろうけど、crack する方がそんな特殊なものを crack することに意義を見出せるかどうか……。結果として「安全でした」と言われても、ふつうに Apache とか IIS とか iPlanet 等々を使っている大多数の人には関係ないし……。

技術メモ - Web ページの改竄に対する防衛
(from Yuichiro MASUI さんからのメール, Mon, 14 Feb 2000 20:40:35 +0900)

 例の官庁 web crack に対応した文書のようです。 今回の騒ぎで大いに誤解されている firewall についても、わざわざ一章を割いて言及されています。 MASUI さん情報ありがとうございます。


2000.02.14

ハイテク犯罪センター発足 警視庁、60人体制で始動
(from インターネット事件を追う, 2000年2月10日)

 てっきり警察庁かと思ったら、これ警視庁なので、東京ローカルな話題ですね。どうもまぎらわしくていけない。

Security Focus Newsletter #28 2000-02-05 -> 2000-02-13
(from BUGTRAQ-JP, Mon, 14 Feb 2000 14:27:56 +0900)

 SecurityFocus.com Newsletter 第 28 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは……って、まるまる全部なので (^^;)、ちょっとフォロー。

サイト攻撃の横行,いずれは恐喝に発展?
(from ZDNet News, 2000.02.10)

 結局は、Internet 全体のデフォルトセキュリティレベルを上げないとどうにもならないような気がするのだが……。


2000.02.10

人気サイトが次々と標的に——米で続く「サービス拒否」攻撃
(from ZDNet News, 2000.2.8 11:11 PM PT)

 Yahoo! の他、Buy.com、eBay、CNN もやられたようだ。 続報: 攻撃3日目,被害サイトさらに拡大——犯人逮捕に向けFBIが本格捜査を開始

Local / Remote D.o.S Attack in Serv-U FTP-Server v2.5b for Win9x/WinNT Vulnerability
(from Win2K Security Advice, Fri, 04 Feb 2000 14:34:47 +0900)

 Windows 用 ftp サーバ FTP Serv-U 2.5b に弱点。……というか、Windows 自身の弱点なんだけど。 Windows の SHGetPathFromIDList() API が buffer overflow するため、異常なファイル長を指定した .lnk ファイルを upload することにより FTP Serv-U が crash する。 この弱点は Windows 2000 には存在しないという。 この話はすでに BUGTRAQ-JP で R00tZer0 氏において 3 か月前に指摘されているものだ。

 FTP Serv-U においては 2.5c において fix されている。 Windows 本体については fix されていない。

気象庁、夜間・休日はサイト閉鎖 「本末転倒」の批判も
(from インターネット事件を追う, 2000年2月9日)

 呆然唖然。 「平日の日中は職員が画面を監視しているが」というあたりも口あんぐり……。 画面なんか監視する暇があるならもっとやることがあるだろうに。

ファイアウォールはもはや旧型ツール
(from INTERNET Watch, 2000-2-9)

 HP VirtualVaultの宣伝。 でも、うちでは無理だなあ。30 万円出すのにも苦労してるんだから。(^^;)

 似たような記事が出ている。


2000.02.08

 FreeBSD 3.4-RELEASE に upgrade したら、/etc/hosts.allow を書き換えられた。 なんで restore されなかったんだろう……。 /usr/tmp/etc/ から救出できたからいいけど……。

 明日はしけんかんとくのため更新できません。

米Yahoo!に「サービス拒否」攻撃,サイトが3時間ダウン
(from ZDNet News, 2000.2.7 6:07 PM PT)

 DoS は簡単にできるし、防ぎようがない部分がありますからねえ……。

“ハッキング特需” セキュリティ業者に依頼どっと
(from インターネット事件を追う, 2000年2月8日)

 「米国では7割の保守率が、日本では4割しかない」ですか……。 入れてからの方が問題なんですけどねえ。

セキュリティー後進国・ニッポン 甘い官庁の認識
(from インターネット事件を追う, 2000年2月7日)

 そういえば Black Hat Briefings を日本でという話があったような……と思ってアクセスしてみたら、 S. Asia - Singapore '00 April 3rd and 4th in Singapore [Note: Right before Comdex Singapore] になってますね。

Security Focus Newsletter #27 2000-01-30 -> 2000-02-04
(from BUGTRAQ-JP, Tue, 8 Feb 2000 11:58:12 +0900)

 SecurityFocus.com Newsletter 第 27 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは、

1. Allaire Spectra 1.0 invoke.cfm Unauthenticated RAS Access
   Vulnerability
2. Rightfax Webclient Predictable Session Number Vulnerability
5. NT LsaQueryInformationPolicy() Domain SID Leak Vulnerability
10. MS Frontpage htimage.exe Path Leak Vulnerability
11. surfCONTROL SuperScout Content Filtering Bypass Vulnerability
13. WWWThreads SQL Command Input Vulnerability

 Debian MBR の話は、Debian GNU/Linux 2.2.6 版での boot floppy では fix されているそうです。

MS00-007: Patch Available for "Recycle Bin Creation" Vulnerability
(from Microsoft Security Notification Service, Wed, 02 Feb 2000 05:30:27 +0900)

 Windows NT 4.0 Workstation/Server/Server, Enterprise Edition に弱点。 各ユーザのごみ箱は %SystemRoot\Recycler\ 下のディレクトリに map されているのだが、map されるディレクトリ名は各ユーザの SID に基づいて作成されるため、ディレクトリ名を予測できてしまう。 また初期状態においてこのディレクトリは存在しない。 このため、悪意あるユーザはこのディレクトリをあらかじめ作成しておくことにより、攻撃対象者がごみ箱に入れたファイルを見たりできてしまう。 なお、TSE 版にはこの弱点はない。

 日本語 KB が出ている: J052253, [NT] ワークステーションの共有でごみ箱のアクセス権が設定できてしまう

 問題発見者による情報: Arne Vidstrom 氏, 三輪氏。 三輪氏の記事にはデモプログラムも紹介されている。 三輪氏によると、英語版 fix に 3 か月かかったそうだ。 Vidstrom 氏の記事では Windows 2000 もクレジットされているが、Microsoft の文書にはないので、Windows 2000 製品版では fix されているのだろう。

 関連ツール: sid2user / user2sidDom2sid

2000.03.06 追記: ようやく日本語 fix が登場。 x86Alpha

ISSalert: ISS Security Alert Summary: v5 n1
(from FWD fw-announce ML, Thu, 03 Feb 2000 15:46:42 +0900)

 ISS Security Alert Summary February 1, 2000 Volume 5 Number 1 です。

追記

 2000.02.07 の CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests追記した。 誤解を招いていたようなので、ちょっと追記 & 関連情報追記。

追記

 2000.02.03 の ISS E-Security Alert: Form Tampering Vulnerabilities in Several Web-Based Shopping Cart Applications追記した。 関連情報を追記。


2000.02.07

 Mac OS 9日本語版のDHCP問題が解決したそうです。 ソフトウェアアップデートを用いたインストール方法Open Transport 2.6 アップデータMacintosh トラブルニュース 00/02/07 記事 (手元の MacOS 9 でもこれにひっかかった) も参照。 日本語 MacOS 8.6/9 ユーザは結局まるまる 2 か月待たされたことになる。

CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
(from NTBUGTRAQ, Thu, 03 Feb 2000 03:33:53 +0900)

 さまざまな方法により JavaScript などの危険なスクリプトコードを挿入することによる攻撃についての案内。 一連の IE/OE JavaScript バグで指摘された点や Hotmail バグもこれ関連と言える。 その他、URL そのものに JavaScript コードを挿入するとか (動くんですよ、これがまた……)、とにかくいろいろな攻撃 (挿入) 方法がある。 そういう入力を check してない WWW サーバ/CGI プログラム、あるいは JavaScript を許可している web ブラウザにはさまざまな危険が考えられる。

 ベンダーからの情報 (と patch) が出ているところがある:

 JavaScript は、ダメですよね。 JavaScript disable すると CSS が使えないブラウザ、迷惑だよな。

2000.02.08 追記: 誤解を招いていたようですので、追記します。

 これまでも CGI 経由での OS コマンド実行という観点での CGI セキュリティについてはさんざん言われてきていますから、(まともな) CGI 設計者はその点には注意を払っていると思います。 で、今回の Cross-Site Scripting において指摘されているのは、これまでの CGI セキュリティに加え、CGI 等経由で JavaScript など web スクリプトものを埋め込んでしまうことによる攻撃というものがあるよ、 ちゃんと対応してね、ということだと理解しています。 しかも、これに対して server 側で対処するのは、一連の hotmail ものの指摘 (たとえばこれとかこれ) を見てもわかるように実は極めて困難で、結局は web ブラウザ側での対応が必要だと理解しています。

 そういうわけで「JavaScript は、だめですよね」になるのですが、 これの意図は「JavaScript をデフォルトで enable しちゃだめですよね」です。 MS さんも Quick Start: What Customers Can Do to Protect Themselves from Cross-Site Scripting なんての出してますが、新バージョン IE 5.5(Win)/5.0(Mac) においてはこれをデフォルトにしてほしいところです (これら設定をポリシーで制御できるようになってくれるとうれしいような……もしかして、もうなってます?)。 mozilla も M13 がでてますが、 あいかわらず ON/OFF しか選択できないというのはちょっとなと思います (自分でなおせばいいんだけどね……)。

 シスポート・コアの井口さんが 「Cross-Site Scripting問題とは?」というページを作成していらっしゃいます。 あわせてどうぞ。井口さん、ご指摘/おしらせありがとうございます。

拝啓,中央省庁の皆様
(from ZDNet News, 2000年2月4日)

 Netscape-Enterprise/2.01 ですか…。


2000.02.03

Security Focus Newsletter #26 2000-01-24 -> 2000-01-30
(from BUGTRAQ-JP, Thu, 3 Feb 2000 16:46:09 +0900)

 SecurityFocus.com Newsletter 第 26 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは、

ISS E-Security Alert: Form Tampering Vulnerabilities in Several Web-Based Shopping Cart Applications
(from FWD fw-announce ML, Wed, 02 Feb 2000 16:16:05 +0900)

 いくつかの web ショッピングカートアプリに form tampering vulnerabilities (フォーム改竄の脆弱性) があるという指摘。 隠しフィールド内で利用されている名前、重量、個数、プロダクト ID、単価などを改竄してリクエストを発行することによって、価格をチョロまかして発注することができてしまうアプリがあるという。 また、URL 中に価格を示し、これを CGI で呼び出すことによって価格を算出するアプリもあったという。 いくつかのものでは HTTP ヘッダ中の referer フィールドを用いてチェックを行っているが、これも改竄が可能であり完全ではない。

The web store operator should verify the price of each item ordered in the shopping cart application database or email invoice.

なんてことでは、何のためにコンピュータ使ってるんだか……。

2000.02.08 追記: 関連情報が MS KB に上がっていた: J052291, [IE4] セキュリティ保護されていない状況で Referer ヘッダーを送信しない

Debian もの 2 題
(from BUGTRAQ)

 Debian ネタが 2 つとどいてます。

Outlook Express 5 vulnerability - Active Scripting may read email messages
(from win2ksecadvice, Tue, 01 Feb 2000 22:50:34 +0900)

 Windows 95 での Outlook Express 5.01 (他の OS 上でも同様と推測) に弱点。 悪意あるメッセージを開くと、その後ひきつづいて開くメールを攻撃者が読むことができてしまう。悪意あるメッセージの例は次のとおり:

<SCRIPT>
a=window.open("about:<A HREF='javascript:alert(x.body.innerText)' >Click
here to see the active message</A>");
a.x=window.document;
</SCRIPT>

 とりあえずの回避方法としては、アクティブスクリプティングを停止する。 ええ、またもやです。

セキュリティ技術で国家試験 来秋、第1回実施へ
(from インターネット事件を追う, 2000年2月1日)

 天下り先に仕事を!

追記

 2000.01.06 の SECURITY ALERT - WAR FTP DAEMON ALL VERSIONS追記した。 1.67-3 以前に DoS 攻撃を受ける弱点が指摘され、1.67-4 がリリースされている。

"Strip Script Tags" in FW-1 can be circumvented
(from NTBUGTRAQ, Sat, 29 Jan 2000 22:51:46 +0900)

 FireWall-1 3.0 に弱点。<SCRIPT> タグが

<<SCRIPT LANGUAGE="JavaScript">
alert("hello world")
</SCRIPT>

のようになっている場合に、 MSIE や Netscape Communicator/Navigator は上記を実行できてしまうが、 FW-1 3.0 はこれを通過させてしまうという指摘。

ISAPI フィルタ 「guard3.dll」
(from 下記セキュリティ勧告, 2000.02.01)

 セキュリティ勧告 - NTサーバ上におけるJetセキュリティ問題にも示されている ISAPI フィルタ。 長大なリクエストの排除、特定パスにおける文字の置き換え、これらのロギングをサポートする。 ドキュメントを読んだところ、少なくとも IIS 3 と IIS 4 で使えるようだ。 ソースコードも添付されているのはすばらしい。 非常に強力なので、ぜひインストールしよう。

セキュリティ勧告 - NTサーバ上におけるJetセキュリティ問題
(from JWNTUG admins ML, Thu, 03 Feb 2000 12:41:04 +0900)

 あいかわらずの Jet セキュリティ問題 (まだいっぱいあったのね……)。 指摘者は Windows NT World 誌の連載でおなじみの塩月氏だ。 1999.05.31 の Advisory: NT ODBC Remote Compromise や 1999.08.02 の Alert : MS Office 97 Vulnerability も参照されたい。 Office 95 用のって、結局出てませんよね……。

2000.03.15 追記: Office 95 (Jet 3.0) 用の fix が出ました。 鈴木さん情報ありがとうございます。

 まずアップデートをインストールし、その後 J052570 を参照して sandbox mode を設定します。3 (常に sandbox mode を使用) にするのがよろしいでしょう。

悪用された高知工科大 人事院不正アクセス事件<上>
(from FWD fw-novice ML, Thu, 03 Feb 2000 10:45:04 +0900)

 「今回の人事院への不正アクセスとは、このポートスキャンのことだ」。 えっ? port scan でおおさわぎしているわけ? 下の記事の「不正アクセスの形跡」ってのはもっと直接的なものかと思っていたのですが、ただの port scan? 今回の騒ぎで「おまえらいったい何動かしてるんだ?」と思って port scan かけてみた人ってけっこう多いと思うけど。

 <下>のほうで機種依存文字が使われているような気がする。

不正アクセスアンケート 省庁・政府機関、危機意識低く
(from インターネット事件を追う, 2000年2月2日)

 おざなりな対応のように見えてしかたないのだが……。


2000.02.02

 RFC2228 実装 SafeTP が US 暗号輸出制限緩和を受けて get 可能になっています。 UNIX と MS Windows で使えます。

追記

 2000.01.28 の 省庁サイト改ざんで初会合 政府の対策検討委グループ追記した。 わかってないのは俺でした。_o_

追記

 2000.01.27 の remote root qmail-pop with vpopmail advisory and exploit with patch追記した。 詳細な情報を滝澤さんからいただいた。

[ Cobalt ] Security Advisory -- 01.31.2000
(from BUGTRAQ, Tue, 01 Feb 2000 02:43:04 +0900)

 Cobalt RaQ[1-3] に弱点。 Site Administrator が admin (RaQ[12]) や一般ユーザ (RaQ3) のパスワードを変更できてしまう。 fix が出ているので適用する。 もと記事はこれ

patch 情報

 patch 情報いくつか。

OpenSSH 情報
(from 個別メール, Fri, 28 Jan 2000 17:30:07 +0900)

 春山さんが OpenSSH に関する情報ページを作成していらっしゃいます。 現状では README と UPGRADING の翻訳文書があります。 (いつも情報ありがとうございます)

sshd and pop/ftponly users incorrect configuration
(from FreeBSD security-ML, Tue, 25 Jan 2000 19:30:11 +0900)

 ユーザに対して POP や FTP のみを許可している環境で sshd1 を動作させている場合、これがセキュリティホールになり得るという指摘。 sshd へのアクセスが成功するが、シェルが /bin/false になっているとか、 特別な限定 shell になっているとかいう理由ですぐに logoff されてしまうような場合がこれにあたる。 このような場合においてもユーザは、root@localhost (IDENT するとそう見える) から TCP コネクションを開いたり、loopback 上で防御されていないようなサービスに接続したり、攻撃されたホストから他のリモートホストへ接続したりできるという。

 回避方法としては、接続を拒否したいユーザを特定のグループに参加させ、 sshd_config で DenyGroups group1 group2 ... と指定する。 他にもいろいろ記述されているが、DenyGroups を使うのが推奨されている。

MS00-006: Patch Available for "Malformed Hit-Highlighting Argument" Vulnerability
(from Microsoft Security Notification Service, Thu, 27 Jan 2000 14:52:49 +0900)

 Windows NT/2000 に塔載される Index Server (NT では Option Pack に同梱、2000 では Indexing Service として標準装備) に 2 つの弱点。 MSKK による日本語での警告文書が http://www.microsoft.com/japan/security/ で読める。 弱点は以下のとおり:

 英語版 patch はあるが、日本語版 patch はまだだ。 とりあえずの対策としては、.HTW, .IDQ, .IDA ファイルへの拡張子マッピングを削除する。 やりかたは、1999.06.16 の Retina vs. IIS4, Round 2, KO を参照。

 Windows 2000 製品版に含まれる弱点という意味で、メディアにも取りあげられている。

 個人的に注目しているのは、Windows 2000 日本語版用の fix がいつ登場するか、だ。 Windows NT と違い、Windows 2000 においては各国語版についても source tree が (英語版と) 一本化されているため、 日本語版 fix も英語版とそれほど時差をおかず登場することが期待されていた。 いよいよその真価が問われている。

 なお、この Advisory から、これまでと掲載場所が変わっている (http://www.microsoft.com/technet/security/ 内になった)。 この変更のおかげで、lynx や w3m でもちゃんと読めるようになってくれている (これまでは読めなかったのだ)。 これは助かる。 また、KB についても http://www.microsoft.com/technet/support/kb.asp?ID=251170 という形式で示されるようになった。もちろん http://www.asia.microsoft.com/ に対しても有効だ。これも助かる。

2000.02.23 追記: やっとこさ Windows 2000 日本語版用の修正プログラムが公開されている (KB が直っていないのは御愛嬌)。 結局 4 週間ほどかかったことになる。 「シングルバイナリー」といってもこれですか……。 英語版 Windows 2000 はどこで買えるんだろう。 通販?

2000.03.01 追記: NT 4.0 用 fix が登場。 外向け IIS 管理者は速攻で適用しましょう。 情報源: JWNTUG OpenForum。

2000.04.04 追記: 新たな問題が発見され、 MS00-006 が改訂された。 指摘者はまたもや Mnemonix 氏。 Cerberus Information Security Advisory (CISADV000330) に問題の詳細がある。 英語版については patch が update されているらしい。


2000.02.01

 FWD のメーリングリストって、web アーカイブが見れたのか……。 ぜんぜん知らなかった。 便利に使わせてもらおっと。

追記

 2000.01.28 の *BSD procfs vulnerability追記した。 http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/kern/kern_exec.c も直す必要があった。

Warning: Yet Another Security Hole of `Microsoft VM for Java'
(from JavaHouse-Browsers ML, Fri, 28 Jan 2000 18:35:47 JST)

 Microsoft 製 Java VM build 3234 以前に重大な弱点。 特定のコード (たった 1 行!) を記述することで、 Java VM が起動するときのカレントディレクトリ以下のファイルを読み出すことが可能。 IE 3.x では問題ないという。 このカレントディレクトリは次のようになるという (警告文書より引用):

 デモコードが http://java-house.etl.go.jp/~takagi/java/test/microsoft_insecurity/Test.html で公開されている。 手元の Windows NT 4.0 Server SP6a + IE 5.01 + MS Java VM build 3229 で試したところ、確かにデスクトップ (C:\Winnt\Profiles\username\デスクトップ\) 以下のファイルを読み出すことができた。

 回避方法としては、MS Java VM の使用を停止する、 Netscape Navigaor/Communicator を使用する、Sun の Java Plug-in を用いて IE においても Sun の Java VM を使うようにする、が示されている。

 指摘の英訳版が http://java-house.etl.go.jp/ml/archive/j-h-b/030411.html にある。 Microsoft という会社の場合、security については日本語で報告できる窓口がなくて、Secure@microsoft.com に英語で報告するしかないんだけど、ここには報告されているのかなあ。 MSKK に言っただけではらちが開かないような……。

 ますいさん、豊田さん、情報ありがとうございます。

2000.02.01 追記: MSKK から警告が出た。 MSKK2000-10: "仮想マシン サンドボックス" の脆弱性の回避策"。 すばやい告知は評価したい。 すばやい fix にも期待したいところだ。

2000.02.21 追記: Microsoft から Security Bulletin MS00-011: Patch Available for "VM File Reading" Vulnerability と fix が登場。build 番号によってダウンロードすべきファイルが異なるので注意。

 build 番号は jview コマンドで判別できる。 出力の 1 行目の末尾 4 ケタの数字がそれだ。

2000.02.21 再追記: なんと、上記 fix は指摘された問題へのものではなかった。 MS00-011: Patch Available for "VM File Reading" Vulnerability の末尾には Microsoft thanks Hideo Nakamura of NEC in Tokyo, Japan とあるが、この NEC 中村さんの指摘は、 今回の指摘とは別のものなのだ。 中村さんによると、この問題は Sun JDK では 1.1.6 版で修正されているという。

 ただし、ややこしいことに、今回の指摘についても上記で示された新版 Java VM で fix されていることが確認されている。 手元の Windows NT 4.0 Server SP6a + IE 5.01 + MS Java VM build 3240 でも fix されていることを確認した。

 電子技術総合研究所の高木さんから 『「Microsoft VM for Java」のセキュリティホールに関する再警告』 がなされている。概要部分を以下に引用する:

概要
----
  1. 警告の対象に Windows 2000を追加

  2. IE 5の被害規模は当初の警告内容「デスクトップ以下だけが読める」
     より大きいものだった、つまり他にも情報が漏れる — ことが判明

  3. Microsoftの「Security Bulletins」のページでこの問題が解決されて
     いる新しいVMのダウンロードが可能になったが、このセキュリティホー
     ルの深刻さの説明が掲載されていない。

 ぜひ一読されたい。 高木さんは、この問題についての深刻さの説明が不足している点について、たいへん心配していらっしゃることを強調しておきたい。 高木さん情報ありがとうございました。

2000.02.23 追記: Windows 2000 でも問題があるのは上記のとおりだが、現在配布されている 3200 series builds は Windows 2000 にはインストールできない。 port139 B-) の独り言 によると、1〜2週間中に Windows 2000 用のものが登場するようだ。

2000.03.01 追記: Windows 2000 用が登場。 http://www.microsoft.com/downloads/release.asp?ReleaseID=19004 から入手できる。 情報源: BUGTRAQ-JP ML。

Microsoftのセキュリティはいったいどうなっているのか
(from ZDNet News, 2000年1月28日)

 「デフォルト値を安全側に倒す」のは基本中の基本だと思いますが、それができていないソフトウェア製品は Microsoft に限らず多いですね。

Windows2000への対応について 一太郎などデスクトップ製品
(from 日経 BizTech news, 0/01/29)

 『*1 弊社ではこの「制限ユーザー(Usersグループ)」は、概ね企業内において、限定的に利用されるものと想定しています』とか、 『当面、これら各製品については、多くのユーザーが利用すると考えられる「Administrator」と「標準ユーザー」を動作保証対象とし、「制限ユーザー」については、6月を目処に対応モジュールを別途、提供する予定です』という文章には死ぬほど驚いた。 ジャストシステムのセキュリティ意識の欠如を感じるのは私だけだろうか。


私について