セキュリティホール memo - 2000.09

Last modified: Thu Jul 15 16:53:40 2010 +0900 (JST)


2000.09.29

MS00-067: Patch Available for "Windows 2000 Telnet Client NTLM Authentication" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 15 Sep 2000 10:58:13 +0900)

 Windows 2000 の telnet クライアントに弱点。 Windows 2000 の telnet クライアントはデフォルトで NTLM 認証が利用可能となっているのだが、この状態において、悪意ある web site は hash な NTLM 認証情報を入手できてしまう。 一旦入手できさえすれば、辞書攻撃や総当り攻撃するなどして hash から元パスワードを割り出すことができる。

 詳細情報はこちら: @stake Security Advisory: NTLM Replaying via Windows 2000 Telnet Client (A091400-1)。 攻撃シナリオとデモプログラムが添付されている。 win2ksecadvice に投稿された記事も参照。

 英語版 patch はあるが日本語版はまだ。 とりあえずの回避方法としては、NTLM 認証を使わないようにすればよい。 telnet プロンプトから unset NTLM する。 display コマンドで状態を確認できる。 なお、英語版 patch は 9/22 に再リリースされている。

MS00-066: Patch Available for "Malformed RPC Packet" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 12 Sep 2000 08:43:55 +0900)

 Windows 2000 の RPC サービスに弱点。意図的に壊された RPC パケットを受信すると RPC サービスが fail してしまい、DoS が成立。 MS は firewall などで ports 135-139 および 445 をブロックすることを推奨している。

 英語版 patch はあるが日本語版はまだ。

あなたのオンライン・プライバシーを守る12の方法
(from Tea Room for Conference, 09月29日 01時16分)

 内容はともかく、なんか読みにくいなあ。 原文がそもそも読みにくいので、翻訳のせいじゃないんだけど。 Tea Room for Conference の No. 126 の Office さんのコメントも参照。


2000.09.27

SecurityFocus.com Newsletter #59 2000-09-08->2000-09-15
(from BUGTRAQ-JP, Sat, 23 Sep 2000 16:43:24 +0900)

 SecurityFocus.com Newsletter 第 59 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 #60 におなじものがまじってるらしいので、そっちで書きます。 16. としてあがっていた mgetty-sendfax .lastrun File Overwrite Vulnerability (bugid 1672) は空になってますし。

SecurityFocus.com Newsletter #58 2000-08-31->2000-09-07
(from BUGTRAQ-JP, Tue, 12 Sep 2000 15:24:09 +0900)

 いまごろであれだが、SecurityFocus.com Newsletter 第 58 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 書いてなかったのはこんなところでしょうか:

SecurityFocus.com Newsletter #57 2000-08-24->2000-08-31
(from BUGTRAQ-JP, Thu, 7 Sep 2000 13:24:54 +0900)

 いまごろであれだが、SecurityFocus.com Newsletter 第 57 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 書いてなかったのはこんなところでしょうか:

追記

 2000.09.26 の Cybozu Web Server dotdot bug and DoS exploit追記した。 サイボウズ Web サーバー 2.0(0.5) で fix されている。


2000.09.26

Double clicking on MS Office documents from Windows Explorer may execute arbitrary programs in some cases
(from bugtraq ML, Mon, 18 Sep 2000 22:50:34 +0900)

 MS Office 2000, Win98/Win2000 などに弱点。 MS Office のドキュメントファイルと同じディレクトリに riched20.dll あるいは msi.dll があると、ドキュメントファイルを開くときにシステムの DLL ではなくカレントディレクトリの DLL が開かれてしまう。 というわけで、毒入りの riched20.dll あるいは msi.dll を用意しておけばそれが実行されてしまう……という話。 Guninski さんによるデモ DLL が http://www.guninski.com/dll1.dll (ソースは http://www.guninski.com/dll1.cpp) にある (Guninski さん http://www.guninski.com/ 取ったんですね)。 一度 reboot したあと .RTF などを double click すると確認しやすい。

 Guninski さんは Risk: Medium というが、Windows 9x/Me みたいな OS では致命的な結果を招きかねないような。 MS は Even if the user could be persuaded to use Windows Explorer or Start | Run to open an Office document on a remote site, the trojaned copy of riched20.dll or msi.dll would only launch if a bona fide version was *not* already in memoryフォローしているが、それは言いわけにはならんだろう。 また、 これは MS Office に限らず Windows 全般に渡る問題であるとのフォローがされている。 なんと、DLL を読むとき、OS 標準ディレクトリより前にカレントディレクトリを走査するのが仕様だというのだ。 UNIX で環境変数 path の先頭に '.' と書くようなものである。

 関連:

 関連: WindowsのDLL呼び出し順序に由来するセキュリティ・ホール

2000.10.12 追記: 中村正三郎のホットコーナーに、レジストリをいじると順序を無視して呼び出せるという話が出てきます。 櫻井さんの発言にある Q151646 によれば、 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs に DLL を登録すればいいみたいです。

 というわけで試してみました。回避できているように見えます。

[Macintosh] 「On Guard 3.2J」 Bug
(from 直接メール, Thu, 21 Sep 2000 21:01:10 +0900)

 MacOS 用の "セキュリティソフトウェア" OnGuard 3.2J に弱点。「Netscape のダウンロードを制限する」をチェックしても、 指定したユーザフォルダではなくデスクトップに保存されてしまう。 宮司さん情報ありがとうございます。

[RHSA-2000:062-03] glint symlink vulnerability
(from BUGTRAQ, Thu, 21 Sep 2000 11:13:00 +0900)

 RedHat 5.2 に含まれる glint に symlink bug があるという話。 6.0 以降には入ってないのかな。 Note that glint does not work with RPM 3.0 or higher. If you have RPM 3.0 or higher installed, just uninstall the glint package to remove this vulnerability だそうだ。

Cisco Security Advisory: Multiple Vulnerabilities in CiscoSecure ACS for Windows NT Server
(from FWD fw-announce ML, Sat, 23 Sep 2000 13:41:23 +0900)

 CiscoSecure ACS for Windows NT Server に複数の弱点があるという話。 remote からの DoS、remote からの任意のコードの実行、remote からのパスワードのクリアが可能なようだ。 2.1(x), 2.3(3), 2.4(2) を含む、全ての CiscoSecure ACS for Windows NT Server に問題あり。2.4(3) 以降で fix される。CiscoSecure ACS for UNIX にはこの弱点はない。

Cybozu Web Server dotdot bug and DoS exploit
(from BUGTRAQ-JP, Fri, 22 Sep 2000 11:50:27 +0900)

 Cybozu Webサーバー2 に .. バグおよび DoS を受ける弱点があるという指摘。

2000.09.27 追記: サイボウズ Web サーバー 2.0(0.5) で fix されている。 http://www.cybozu.co.jp/notice1.html を参照。スギモトさん情報ありがとうございます。

[Errata] IPSec Security patch available
(from OpenBSD announce ML, Sat, 23 Sep 2000 14:37:57 +0900)

 特定の状況下において、壊れた ESP/AH パケットが OpenBSD 2.7 の crash を招く。 patch が出ているので適用する。 errata も参照。

ISSalert: ISS Security Alert: New Variants of Trinity and Stacheldraht Distributed Denial of Service Tools
(from FWD fw-announce ML, Tue, 26 Sep 2000 09:15:12 +0900)

 DDoS ツール Stacheldraht と Trinity の新種 (変種?) が登場、という警告。 lsof の使い方の例にもなっているような。

Format strings bugs 4 連発
(from BUGTRAQ)

 あいかわらず続く format bug。


2000.09.25


2000.09.21

PGPとメーラーのBccについての問題
(from pgp-users ML, Thu, 21 Sep 2000 17:58:34 +0900)

 PGP に対応したメーラにおいて Bcc: をどのように扱うべきかを述べている。


2000.09.20

追記

 2000.08.28 の CERT Advisory CA-2000-18 PGP May Encrypt Data With Unauthorized ADKs追記した。 ソースネクストから「鉄壁セキュリティ対策Ver6.5.3」として販売されている PGP について、アップデートファイルが http://www.sourcenext.co.jp/download/pgp_hot_1.html から配布されている。高橋さん情報ありがとうございます。

[Q]ブラウザからヒストリーが漏れている?
(from fj.comp.security, 2000/09/20 12:47:05)

 [JavaHouse-Brewers:36131] Netscape 4.74「Brown Orifice」セキュリティ・ホール問題に関するまとめ はおおげさすぎるんじゃないの? という話 (匿名希望さん情報ありがとうございます)。 私はぜんぜんおおげさだとは思わないのですが。 というわけで、これのつづきな記事こういうフォローをしてみました。

 そうそう、Netscape 4.75 がらみではこんな話も。 やってくれますねえ。 Netscape 4.75 日本語版、ブックマーク文字化け問題が fix されてないんじゃ、 入れかえできないです。というわけで、もうしばらく 4.73 + Java=OFF でしのぐのかな。 Mozilla/Netscape 6 もけっこう安定してきてるし、そっちに行くのがいいかな。 でも <Q> のあつかいがなあ……。 あと、K-Melon が proxy 対応になってくれると助かるんだがなあ……あ、FAQ に書いてあるじゃん。


2000.09.19

サイト攻撃開始指令を待つ歩兵マシン
(from ZDNet News, 2000年9月19日)

 某プロバイダの某氏から今日届いたメールはこの記事の記述を一部裏づけていたりする。 Linux ディストリビューションのデフォルトインストールは穴だらけのはず。 少なくとも外向きサーバには fix package を入れましょう。 今日も klogd の format バグ fix (RedHat, Turbo) が出てたりしますし。


2000.09.18

フォーマットバグってなんですか?
(from The Shadow Penguin Security Technical Forum, 09/14 Thu 12:11:41)

 wu-ftpd や GNU glibc などにさまざまなモノに混入してい (た|る) ことが明らかとなってきている format bug の解説。 CERT/CC Current Activity を見ても、あいかわらず wu-ftpd attack とか流行ってるっぽいです。

続出するクライアントのセキュリティ・ホール WWWブラウザやメール・ソフトにデータ漏えいや乗っ取りの危険,ファイアウオールでも防御不能
(from 日経 IT Pro-Report, 2000.09.18)

 問題なのは、「セキュリティ・ホールが修正された最新版のソフトウエアを使用する」ようにするには

  1. そもそもそういう問題があること、修正版をインストールする必要があることを知る必要がある

  2. 最新版のソフトウエアを実際にインストールする必要がある

のだけど、これが両方とも困難であること、ですね。 なにしろ、ユーザ登録しても告知メールは来ませんし、インストールに至っては初心者 PC ユーザにとってはハードルが高いわけです。 私なんかは MS の Windows Update や MacOS のソフトウェア・アップデートのような機構が一般アプリにももっとあればと思うのですが、そういう機構は一方でプライバシー侵害だと指摘されたりもするわけです。 まあ、Windows Update 自体うまく動いているとは思えない (情報の update が遅い) し、MacOS のソフトウェア・アップデートは proxy 環境での動作がなんか変というのは困ったちゃんなんですが、狙い自体はいいと思うんですよね。

追記

 2000.09.13 の 常時接続の宴 2000.09.13追記した。 w3m で 104japan が利用できないのはバグであるという情報をいただいた。


2000.09.14

追記

 2000.09.13 の 常時接続の宴 2000.09.13追記した。 104japan だが、「対策後」もしばらくは、実は個人情報を検索できていたようだ。

MOにID付加で合意 MOメーカー8社、著作権保護機能狙い
(from インターネット事件を追う, 2000年9月13日)

 プライバシーが話題になる一方で、利用者を追跡する技術の付加が。 MO は US ではほとんど売ってないんですよね。 ZIP に同様の話がもち上がったらおおさわぎになるような気がするんですが。

MSNサイトで密かにウェブユーザーを追跡するマイクロソフト
(from CNET NEWS, Wed 13 Sep 2000 13:30 PT)

 この手の話題が続きますねえ。


2000.09.13

常時接続の宴 2000.09.13
(from 直接メール, Wed, 13 Sep 2000 16:48:45 +0900)

 104 と同等のサービスを Internet で無料で公開するサービス 104japan 開始! というと聞こえがいいが、なんと「個人」の電話番号を無制限に検索可能にしてしまっていたという。 さらに、検索結果においては個人名全体に加え、電話番号や住所までが、本人には全く知らされないまま公開されてしまっていたという。 はまもとさん情報ありがとうございます。

 多数の抗議のためか、現在は「個人」検索は停止されているが、 「法人」検索は有効だ。 「法人」検索をしてみると表示される内容が、「個人」の場合にも表示されていたのだろう。 ただし、手元の w3m や Netscape Communicator for FreeBSD 4.73 からはうまく検索できなかった (日本語 EUC が通らない? てもとの Netscape Communicator for FreeBSD 4.73 だとフレームの高さが足りなくて入力フォームがうまく見えないし)。

 そういえば、ハローページの宅配をとりやめる (お金がかかるわりに使われてないから) とかいう話があるようだが、 こういう時代だという意味でももうやめたほうがいいのかな。

 関連記事: アドバンス技研がNTTの104サービスと同等の無料サービスサイトを開設

2000.09.14 追記: 104japan だが、「対策後」もしばらくは、実は個人情報を検索できていたようだ。 104japan のフォーム上では「個人」が選択できなくなっていたが、実は受け側 .asp では「個人」を示す KoHoKbn=0 パラメータを指定すると見事に個人情報が得られたという。 手元で試した限りでは、今現在はすでに対策されているようだ (KoHoKbn=0 でも法人と認識される) が、はたして今までにどのくらいの個人情報が流出したのだろう。 阿部さん情報ありがとうございます。

2000.09.18 追記: w3m で 104japan が利用できないのはバグであるという情報をいただいた。 fix patch がhttp://mi.med.tohoku.ac.jp/~satodai/w3m-dev/200009.month/1066.html にあるそうです。坂本さん情報ありがとうございます。


2000.09.12

警告なしでウェブサーファーを追跡できるIEの機能が発覚
(from CNET NEWS, Mon 11 Sep 2000 12:50 PT)

 いつも悪役のクッキーの他にもまだあった、という話。

『ブルートゥース』に盗聴を許す欠陥
(from WIRED NEWS, 2000年9月11日 3:00am PDT)

 そういうものだと思って使うしかないということなのかしら。


2000.09.11

SecurityFocus.com Newsletter #53 2000-07-28 -> 2000-08-04
(from BUGTRAQ-JP, Tue, 8 Aug 2000 15:38:25 +0900)

 いまごろであれだが、SecurityFocus.com Newsletter 第 53 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 書いてなかったのはこんなところでしょうか:

SecurityFocus.com Newsletter #52 2000-07-21 -> 2000-07-27
(from BUGTRAQ-JP, Thu, 03 Aug 2000 17:57:56 +0900)

 いまごろであれだが、SecurityFocus.com Newsletter 第 52 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 書いてなかったのはこんなところでしょうか:

SecurityFocus.com Newsletter #51 2000-07-12 -> 2000-07-22
(from BUGTRAQ-JP, Fri, 28 Jul 2000 16:48:15 +0900)

 いまごろであれだが、SecurityFocus.com Newsletter 第 51 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

gd-1.8.3 のメモリ管理
(from 直接 mail、Thu, 07 Sep 2000 20:05:40 +0900)

 lynx for win32 でおなじみの千秋@産業短大さんから (情報ありがとうございます)。gd のメモリ管理が poor なため、 たとえば gd つきの php3 において
 <?
 ImageCreate(5000, 100000);
 ……
 ?>
などとして巨大なメモリ (この例では 5,000 * 100,000 * 4 = 2,000,000,000 バイト) を要する命令を発行するとサーバダウンを引きおこし DoS になってしまう。 対策としては、千秋さんは gd-1.8.3 に対する patch を作成されているので、これを適用する。

 gd つきの PHP を開放している ISP などは注意されたい。

tsworks Buffer Overflow
(from BUGTRAQ-JP, Thu, 7 Sep 2000 20:48:06 +0900)

 富士通の電子メール/ニュース統合ツール tsworks 3.096 に弱点。 Subject: が 500 文字以上あるとき、reply あるいは forward を行うとバッファオーバーフローしてしまう。 これを利用すると、DoS の他、攻撃者が悪意あるコマンドを実行可能となる。 3.097 (まだ登場していない) において fix されるという。

root kit
(from 直接メール, Sat, 09 Sep 2000 23:08:02 +0900)

 penetration technique research site の新着ドキュメント (PDF 文書)。 カーネルモードで動作する backdoor をユーザモードで動作するプログラムから発見するのは困難である、 ことが root kit と Tripwire での実例入りで解説されている。 Eiji James Yoshida さん情報ありがとうございます。 こういう意味でもやはり、やられたら clean install で復旧するのがいいですよね。

 そういえばこがさんから、侵入されてしまったらについて

侵入に気がついたら、まずは、ネットワークケーブルを抜く、です。 犯罪または被害の拡大を防ぐのが第一です。

次に、状況確認と状況の保存するようにします。

状況確認については Office さんも書いているのでいいでしょう。

重要なのは、問題の環境をつぶした「クリアインストール」をしないことです。 刑事事件に発展した場合、証拠隠滅扱いされかねません。 犯行現場の保存と考え方は一緒です。

解析するのであれば、問題の環境ディスクのコピーを作成し、 直接問題のディスク(マスタ)はいじらず、コピーを解析します。 マスタは警察に提出する必要がある場合があります。

というわけで、クリアな環境は別途作成することになります。

という意見をいただいています。 予備機があるとか予備 disk があるとか警察にとどけるつもりがあるならそれでもいいような気がしますが、おうおうにしてそういうわけではないような気がします (「予備 disk くらい最初から用意しとけよ」という意見はそれはそれであるでしょうが……)。 「とりあえず抜く」については個人的には賛成ですが、「状況確認」の一環としてあえてつなげたままにして監視する、という考え方もあるように思います。

 このあたりはやっぱり、各組織において「セキュリティポリシー」を策定し、 これに基づいて行動することになるのでしょう。


2000.09.08

Microsoft Word documents that "phone" home
(from BUGTRAQ, Wed, 30 Aug 2000 23:52:51 +0900)

 MS Word 文書には link が埋め込めるが、これに 1x1 画像など「それとわからない」ものへの link を埋め込んでおくと、Word 文書を開いた瞬間に 1x1 画像へもアクセスされる。こうして、web サーバはその文書を何処で読んでいるかを知ることができる。 これが web バグ。 1x1 画像は十分小さいからユーザが気づくことはない。

 アクセス情報だけでも十分な track ができるが、さらに、このアクセスに cookie を結びつけることによって、 より効果的に Word 文書の利用状況を監視することができる、という。 Word の他、Excel 文書や PowerPoint 文書でも同様なことを実行できる。 「バグ」と言ってもプログラム上の間違いの話ではないので注意。 バグというより「伝書鳩」という感じがする。

 要は、(1) URL が埋め込めて、(2) ファイルオープンと同時にそれを処理する、 (3) 処理されていることがユーザレベルで判別できない (ダイアログ等が表示されない)、 ようであれば MS Word でなくても同様の弱点があるわけだ。 MS Office だけにとらわれると危険を招く。 Sun StarOffice や MP3 ファイルにおいても同様のようだ (フォロー1フォロー2, MP3 はオリジナル文書にも指摘されている)。 また Adobe PDF の場合、Acrobat 4.x (PDF 1.3) によって実現した Acrobat Forms JavaScript を利用してイメージを inline 表示したり、 隠したフォームを使ってデータを送信できてしまうようだ。 インターネット時代の文書閲覧にはこういうリスクがあるということを認識しておくことが重要なのだろう。 Acrobat で JavaScript が動くなんて、今日まで知らんかった。

 関連記事:

追記

 2000.08.16 の [LSD] IRIX telnetd remote vulnerability追記した。 fix が登場。

MS00-065: Patch Available for "Still Image Service Privilege Escalation" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 07 Sep 2000 18:47:54 +0900)

 Windows 2000 の Still Image Service に弱点。 buffer overflow バグがあり、攻撃者が任意のコードを実行できてしまう。 そのため、local logon したユーザは Still Image Service の実行権限 (通常 LocalSystem) を得られる。 これは local logon したユーザにとっては事実上 admin 権限を得たに等しい。 Still Image Service はデフォルトではインストールされないものの、Windows 2000 ホストに デジタルカメラなどの still image device を接続すると自動的にインストールされてしまうという。なんて素敵。

 発見者による詳細: Windows Still Image Privilege Elevation (A090700-1)。 英語版 patch はあるが日本語版はまだ。

MS00-064: Patch Available for "Unicast Service Race Condition" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 07 Sep 2000 10:04:45 +0900)

 MS Windows Media Services 4.0/4.1 に弱点。 ある種の壊れたリクエストを Media server に送ると競争状態 (race condition) が発生し、競争に勝つことができると Windows Media Unicast Service がダウンする。 英語版 fix は出たが日本語版はまだ。

 日本語 Bulletin も参照。

MS00-063: Patch Available for "Invalid URL" Vulnerability
(from Microsoft Product Security Notification Service, Wed, 06 Sep 2000 10:57:02 +0900)

 IIS 4 に弱点。 ある間違った URL へのリクエストを受けると IIS が CPU とメモリーを食いつぶしてダウンしてしまう。 というわけで、remote から IIS 4 に対して DoS 攻撃が実施できる。 発見者による指摘: "Invalid URL" DoS

 英語版 patch はあるが日本語版はまだ。 日本語 Bulletin も参照。

MS00-062: Patch Available for "Local Security Policy Corruption" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 29 Aug 2000 05:10:01 +0900)

 MS Windows 2000 に弱点。 remote から RPC を用いて Windows 2000 のローカルセキュリティポリシーの一部を破壊し、ドメインに参加できなくしてしまえる。 また、ドメインコントローラがこの攻撃にやられると、誰も domain logon できなくなってしまう。 Wall などで RPC を閉じていれば、外部からの攻撃は防げる。 なんにせよ、この問題は SP1 で fix されているので、SP1 を適用しよう。

 参照: SP1なしのWindows 2000にセキュリティ上の問題——ネットワーク接続遮断の恐れも

MS00-061: Patch Available for "Money Password" Vulnerability
(from Microsoft Product Security Notification Service, Sat, 26 Aug 2000 04:00:28 +0900)

 MS Money 2000/2001 に弱点。 Money ファイルにパスワードを設定していた場合、ある条件下においてパスワードが平文で記入されてしまう。 この条件をつくりだすには、Money ファイルが local computer に設置されており、かつ攻撃者が Money ファイルにアクセスできる必要がある。 remote からの攻撃はできない。また、ACL などにより攻撃者がアクセスできない場合もだいじょうぶ。 MS は、Money パスワード保護は ACL の代りではないと言っている。 まあそうだろうけど、平文で記入されてしまうのはまずいよね。

 日本語版 Money 2000/2001 においては、この弱点にはすでに対応済みだそうだ。 日本語 Bulletinを参照。


2000.09.07

MS00-060: Patch Available for "IIS Cross-Site Scripting" Vulnerabilities
(from Microsoft Product Security Notification Service, Sat, 26 Aug 2000 02:08:42 +0900)

 IIS 4.0, 5.0 に CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests (クロスサイトスクリプティング、XSS) な弱点。 これの元文書は Georgi Guninski 氏の IIS 5.0 cross site scripting vulnerability - using .shtml files or /_vti_bin/shtml.dll。 .shtml あるいは /_vti_bin/shtml.dll (FrontPage extension が入っている場合) な URL 中に <SCRIPT>...</SCRIPT> を書いておく。 この link をたどると当然エラーとなるが、エラーページ中に SCRIPT が含まれてしまう。結果として、 URL 中に指定された web サーバのセキュリティコンテキストで script が実行されてしまう。 たとえば <a href="http://target/<SCRIPT>alert('document.domain='+document.domain)</SCRIPT>.shtml"">hoge</A> という link をクリックすると、表示されるエラーページのおかげで、 target のコンテキストで script が解釈・実行されてしまうのだ。 一見ブラウザの問題のように見えるが、実は IIS 側の問題なのだ。

 特に問題となるのは、target として信頼済みサイトゾーンやイントラネットゾーンの host が指定されていた場合だ。 インターネットゾーンにおいて script の実行を停止している場合でも、 信頼済みサイトゾーンやイントラネットゾーンのホストに対しては script の実行を許可している場合があるだろう。 そういう場合においても、 target が信頼済みサイトゾーンやイントラネットゾーンな link を設定すると、 信頼済みサイトゾーンやイントラネットゾーン権限で script を実行させてしまえるのだ。 とんでもない話である。

 /_vti_bin/shtml.dll については、FrontPage Server Extensions 1.2 で fix されているという。 .shtml については、英語版 patch は出ているが日本語版はまだ。 すでに日本語 Bulletin も出ているので、これも参照のこと。

2000.09.08 追記:

 状況を確認することができたので、上記記述をよりわかりやすくするため一部修正した。

2002.12.13 追記:

 Microsoft FrontPage 2000 Server Extensions for UNIX の一部のバージョンにもこの問題が含まれているようだ。 おまけに、弱点つきのサーバが Internet 中にゴロゴロ転がっている模様。

 最新の FPSE 2000 for UNIX は Service Release 1.2 (version 4.0.2.4222) なのだが、これに付属している mod_frontpage.c には FrontPage/4.0.4.3 とあり、この数字が外部には見えてしまう。このため、FrontPage/4.0.4.3 とあっても脆弱とは限らないし、安全とも限らない。shtml.exe に含まれるバージョン文字列を確認する必要がある。 Guninski 氏は IIS 5.0 cross site scripting vulnerability - using .shtml files or /_vti_bin/shtml.dll において FrontPage Service Release 1.2 fixes the bug と述べているので、FPSE 2000 for UNIX Service Release 1.2 (version 4.0.2.4222) が入っていればだいじょうぶだと思われる。逆に言えば、4.0.2.4222 より前ではダメだろう、と。参照:

[JavaHouse-Brewers:36131] Netscape 4.74「Brown Orifice」セキュリティ・ホール問題に関するまとめ
(from 直接メール, Thu, 07 Sep 2000 09:04:05 +0900)

 電総研の高木さんによる、 Brown Orifice と付随する話のまとめ (情報ありがとうございます)。 すばらしいデモプログラムも公開されているのでぜひ試されたい。 また、あわせて Netscape 4.74「Brown Orifice」セキュリティ・ホール問題意識調査が実施されているので、ぜひ答えられたい。 高木さんは「ふだんはセキュリティ情報などチェックしないような人」にこそ、このアンケートに答えてほしいと考えていらっしゃるので、宣伝手段を持っている人はどんどん宣伝してやってください。 ただし SPAM などの net-abuse な行為はだめよん。(^^)


2000.09.06


2000.09.05


2000.09.04


2000.09.02


2000.09.01


私について