セキュリティホール memo - 2001.09

Last modified: Tue Apr 15 13:02:37 2003 +0900 (JST)


2001.09.28

SecurityFocus.com Newsletter #111 2001-9-14->2001-9-18
(BUGTRAQ-JP, Tue, 25 Sep 2001 10:04:05 +0900)

 SecurityFocus.com Newsletter 第 111 号日本語版 (テキスト, 英語版)。

SecurityFocus.com Newsletter #110 2001-9-7->2001-9-12
(BUGTRAQ-JP, Mon, 17 Sep 2001 20:08:56 -0400)

 SecurityFocus.com Newsletter 第 110 号日本語版 (テキスト, 英語版)。 ProFTPD の話題は ftpd ML に patch が流れていた。

CISCO もの
(arious)

Making NT Bleed
(pen-test ML, Wed, 26 Sep 2001 14:36:32 +0900)

 IO Wargames での発表資料のようです。

U.S. テロ関連
(various)

Nimda 関連
(various)


2001.09.27


2001.09.26

BUGSLAYER: Optimize and Trim Your Code with New Switches in Visual C++ .NET
(MSDN Magazine, August 2001)

 VisualStudio.NET には、buffer overflow 対策のコンパイルオプション /GS が追加されるのだそうだ。 説明するより読んでいただいた方が早いだろう:

The Buffer Security Check Switch
The runtime checks are very cool, but another switch that you should always turn on is /GS, the Buffer Security Check switch. The purpose of /GS is to monitor the return address for a function to see if it is overwritten, which is a common technique used by viruses and Trojan horse programs to take over your application. /GS works by reserving space on the stack before the return address. At the function entry, the function prolog fills in that spot with a security cookie XOR'd with the return address. That security cookie is computed as part of the module load so it's unique to each module. When the function exits, a special function, _security_check_cookie, checks to see if the value stored at the special spot is the same as it was when entering the function. If they are different, the code pops up a message box and terminates the program. If you want to see the security code in action, read the source files SECCINIT.C, SECCOOK.C, and SECFAIL.C in the C runtime source code.
As if the security-checking capability of the /GS switch wasn't enough, the switch is also a wonderful debugging aid. While the /RTCx switches will track numerous errors, a random write to the return address will still sneak through. With the /GS, you get that checking in your debug builds as well. Of course, the Redmondtonians were thinking of us when they wrote the /GS switch, so you can replace the default message box function with your own handler by calling _set_security_error_handler. If you do whack the stack, your handler should call ExitProcess after logging the error.

 パフォーマンスがどの程度低下するのか、とかは記述されていない。 高橋さん情報ありがとうございます。 この文書の日本語版が MSDN Magazine 日本語版 No.18 にあるそうです。


2001.09.25

UNIX 方面
(various)

Debian GNU/Linux
RedHat
FreeBSD
  • FreeBSD Security Advisory FreeBSD-SA-01:60.procmail

  • Local vulnerability in libutil derived with FreeBSD 4.4-RC (and earlier)

    FreeBSD 4.4-RC 以前に付属する OpenSSH は、root 権限を保持したまま login class capability database の処理を行ってしまうため、 ~/.login_conf に

    default:\
     :copyright=/etc/master.passwd:

    とか

    default:\
     :welcome=/etc/master.passwd:

    とか書いておくと、これができてしまう、という指摘。 つまり、なんでも読める。 手元の 4.3-RELEASE で再現できることを確認した。 いやはや、これはマズい。 http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/lib/libutil/login_cap.c では、緊急対応として ~/.login_conf 機能を停止しているように見える。 4.3-RELEASE 用 patch。 4.4-RELEASE では、あらかじめ ~/.login_conf 機能が停止されている。 RELENG_3 や RELENG_2_2 でも fix が入っている。

    ports の security/openssh-portable を使っている人は ok。 security/openssh は使ってないからわかんないなあ……。

盗聴装置、民主的監視を
([social-memo:3], Sat, 22 Sep 2001 01:13:32 +0900)

 管理側は、当然ながら持てる力は可能な限り持とうとします。 しかも、秘密にできる部分は可能な限り秘密にします。 これを健全に監視するのはメディアの使命なのですが、 日本のメディアはあまり期待できなかったりするのがアレゲ。 必要な事は自分達でなんとかしよう。 それはまた、民主主義国家の国民に課せられた使命でもあるのだから。 と言ってみたり。言うのは簡単。やるのはたいへん。

Check Point FireWall-1 GUI Buffer Overflow
(Win2ksecadvice, Sat, 22 Sep 2001 01:06:01 +0900)

 Windows NT/2000 用の VPN-1/FireWall-1 4.0, 4.1 の Management Server に弱点。GUI 認証コードに buffer overflow する弱点があり、任意のコードを実行できてしまう。ただし、攻撃は認証された GUI クライアントの IP address からしか実行できないため、この弱点を利用した攻撃を実行するのは困難だと考えられる。 hotfix があるので適用すればよい。

ICMPを使って対象サイトのOSを特定する「Xprobe」
(日経 IT Pro, 2001年9月24日)

 Xprobe 自体はまだまだ完成度が低いようなのですが、 brush up されるとけっこうアレゲそう。 あと、Path MTU Discovery についてちゃんと書かれているのは good ですが、 ICMP を使った壁ぬけツールとか、 「これは止めよう危険な ICMP」に触れていないのはちょい残念。 続編を期待。

個人情報保護法関連
(MAINICHI Interactive)

Nimda 関連
(various)

U.S. テロ関連
(various)


2001.09.20

 今夜 セキュリティスタジアム 2001 へ向けて出発しますので、このページの更新は止まります。


2001.09.19

 ぐはっ (吐血)。reimy さんありがとうございます。

Nimda Worm
(various)

マイクロソフト
公的機関
アンチウィルスベンダ
セキュリティ関連サイト
ニュースサイト
その他

2001.09.18

SNS Spiffy Reviews No.2 個人情報漏洩の可能性のある脆弱性 − 大手人材派遣会社A社の例
(BUGTRAQ-JP, Tue, 18 Sep 2001 17:58:51 +0900)

 脆弱な web アプリケーションのほんの一例、なのでしょう。

SNS Spiffy Reviews No.1 Microsoft IIS SSI Buffer Overrun Privilege Elevation Vulnerability
(BUGTRAQ-JP, Tue, 18 Sep 2001 17:58:22 +0900)

 MS01-044 問題 (新規分) のうち、CAN-2001-0506 の検証プログラム。 これまで LAC は exploit を一切公開していなかったと理解しているが、 何が変化をもたらしたのだろう。 個人的には歓迎する変化なのだけど。

 さっそくアンテナに追加しておきました。

テロがらみ規制関連報道
(various)

 規制・権力ラブラブ派がいっせいに行動しているって感じ。 何が必要(悪)で、何はそうでないのかをきちんと見極めないと、 どさくさまぎれにとりかえしのつかない状況になる恐れあり。 CODE インターネットの合法・違法・プライバシー が予言するような未来は急激に接近しているのかもしれない。

ZDNet
WIRED NEWS

2001.09.17

UNIX fixes
(various)

TurboLinux

2001.09.14

SecurityFocus.com Newsletter #109 2001-8-31->2001-9-4
(BUGTRAQ-JP, Tue, 11 Sep 2001 08:01:54 +0900)

 SecurityFocus.com Newsletter 第 109 号日本語版 (テキスト, 英語版)。

FREAK SHOW: Outlook Express 6.00
(BUGTRAQ, Thu, 13 Sep 2001 02:39:29 +0900)

 Outlook Express 6.00 に 2 つの弱点。 text/plain なメールに JavaScript を書いてOutlook Express 6.00 に送ると、この JavaScript が実行されてしまうという。 また、10 か月前に指摘した html.dropper 問題 が解決されていないという。

セキュリティ経済学 第一話 会社生活今昔物語
(プラスセック, 2001/9/7)

 昔なら職業スパイか 007 しか持っていなかったようなモノが、今ではそのへんに売ってますしねえ。 将来的に進む方向としては、従業員監視用の脳内ナノソフトとかかなあ。いやだなあ。

Windows XP 関連 KB
(新着サポート技術情報 , 2001.09.14)

A week in the life of Fred, a corporate IT security administrator
(whalecommunications.com, Thu, 09 Aug 2001 18:07:12 GMT)

 実際にこういう闘いをされた方もいらっしゃるんでしょうね。

追記

 2001.09.12 の Multiple vendor 'Taylor UUCP' problems.追記した。 OpenBSD の対応を追記。

MS fixes
(Microsoft Product Security Notification Service)

MS01-047: OWA 機能により、認証されていないユーザーがグローバルアドレス一覧を列挙することができる

Exchange 5.5 で Outlook Web Access を利用している場合に弱点。 外部から "Find Users" 機能に直接アクセスできてしまうため、 Exchange のユーザ情報を得ることができてしまう。 Outlook Web Access を利用していない場合、Exchange 2000 を利用している場合にはこの弱点はない。 patch があるので適用すればよい。

詳細: Exchange Public Folders Information Leakage。 CVE: CAN-2001-0660

MS01-048: RPC Endpoint Mapper への不正なリクエストにより、RPC サービスが異常終了する

Windows NT 4.0 の RPC Endpoint Mapper (port 135) に異常なパケットを投げると、RPC サービスがダウンしてしまう。 Windows 2000/XP にはこの問題はない。 patch が出ているので適用すればよい。 ただし、TSE 用 patch はまだ出ていない。

CVE: CAN-2001-0662

URLScan Security Tool
(win2ksecadvice, Thu, 13 Sep 2001 02:28:24 +0900)

 Microsoft から、IIS 用の新しいセキュリティツール URLScan が登場。 B-) さんち (2001/9/13) に日本語解説がある。 またhsj さんち (01.09.13) にもレポートが出てます。この Server: タグは……(^^;;;)

  不正なリクエストを遮断,IIS用セキュリティ・ツールを米MSが公開 (日経 IT Pro) によると「マイクロソフトによると日本語版での動作は保証しないという。日本語版対応については現在計画中,公開時期は未定である」そうで。 MS 本社は、これまでの「事後に patch 提供」から (ようやく) 一歩進んで「やられないよう先手を打つ」態勢になっていているようだが、MSKK はまだ意識がそこまで行っていないのかな。

UNIX fixes
(various)

Vine Linux

2001.09.13


2001.09.12

追記

 2001.09.06 の ASSESSMENT 01-019: Buffer Overflow Vulnerability in Telnet Daemon (x.c worm) に追記した。 こがさんの疑問の話を追記。

WindowsXPの ファイアウォール機能を 検証する
(ZDNet, 2001/09/12)

 Windows 2000 Pro. と比べると、ずいぶんわかりやすくなった、とは言えますよね。

JPCERT/CC REPORT 2001-09-12
(JPCERT/CC, Wed, 12 Sep 2001 11:03:59 +0900)

 RUS-CERT Advisory 2001-08:01 Vulnerabilities in several Apache authentication modules の件は、ひきつづいて PostgreSQL 方面の PAM/NSS モジュールについても問題が発見されている: RUS-CERT Advisory 2001-09:01 Vulnerabilities in PAM and NSS modules using a PostgreSQL database

ISS Alert: Code Blue Worm
(focus-ms ML, Tue, 11 Sep 2001 03:37:46 +0900)

 予想どおり改良が続けられている、ということなんだろうなあ。 Code赤青緑、次は何色 (/.) にもあるように対抗ワームも登場しているっぽいが、 止めるにはとにかく埋めるしかないわけで。 でも Survey Shows 12% of IIS SSL Sites Have Backdoor にあるように穴つきがたくさん残ってますから、 root.exe 突きワームがつくられたらまたもや……。

 関連: 極悪ワームの「青」バージョン,感染拡大 (ZDNet)

Multiple vendor 'Taylor UUCP' problems.
(BUGTRAQ, Sat, 08 Sep 2001 19:58:39 +0900)

 GNU の uucp パッケージ 'Taylor UUCP' に弱点。 直接的には local user が uucp 権限を得られるのだが、 ここからさらに daily スクリプト経由で root が取れてしまう場合があるとされている。 Caldera fix: Security Update [CSSA-033.0]Linux - uucp argument handling problems

2001.09.14 追記:

 OpenBSD-current では、uucp を削除し、必要なら packages/ports から入れるようにしたそうだ。 参照: vulnerability in UUCPRe: vulnerability in UUCP (security-announce@openbsd.org)

UNIX fixes
(various)

RedHat
AIX

米国テロ関連
(various)

InterScan eManager for Windows NT ver. 3.51J CGIプログラムのバッファオーバーフローについて
(トレンドマイクロ, Sep 12, 2001)

  SNS Advisory No.42: Trend Micro InterScan eManager for NT Multiple Program Buffer Overflow Vulnerability の話。 InterScan eManager for Windows NT Ver. 3.51J を利用している人は適用しましょう。

Survey Shows 12% of IIS SSL Sites Have Backdoor
(incidents.org, September 10, 2001)

 「patch は適用できてもそれ以上のことはできない」という人が 10% いるってことなんでしょうねえ。

「サーカム」ウイルスがまん延 “だます”手口が巧妙に ツールに頼らない対策が必要
(日経 IT Pro, 2001.09.10)

 %u encoding IDS bypass vulnerability もそうだが、「防衛システムはすり抜けるが対象物は受け入れる」攻撃は今後もあるでしょうね。


2001.09.11


2001.09.10


2001.09.07

追記

 2001.09.06 の Title: Gauntlet Firewall for Unix and WebShield CSMAP and smap/smapd Buffer Overflow追記した。 CERT Advisory 登場。

UNIX fixes
(various)

FreeBSD
NetBSD
VineLinux

追記

 2001.09.06 の %u encoding IDS bypass vulnerability追記した。 ISS Alert: Multiple Vendor IDS Unicode Bypass Vulnerability


2001.09.06

FreeBSD Security Advisory FreeBSD-SA-01:59.rmuser
(freebsd-security ML, Wed, 05 Sep 2001 04:49:19 +0900)

 rmuser スクリプトに弱点。 パスワードファイル用の一時ファイルの処理に問題があり、 ある時点において一時ファイルのパーミッションが world-readable になってしまう。 4.4-RELEASE ではこの問題は fix されている。

SecurityFocus.com Newsletter #108 2001-8-24->2001-8-27
(BUGTRAQ-JP, Wed, 05 Sep 2001 11:42:49 +0900)

 SecurityFocus.com Newsletter 第 108 号日本語版 (テキスト, 英語版)。

Linux Administrators Security Guide
(BUGTRAQ, Tue, 04 Sep 2001 14:23:47 +0900)

 ひさびさに update されたのだそうです。 Preface, Introduction to Security, Installation, Physical and console security, Administration, Filesystem and files, Authentication, Limiting and monitoring users が増え、その他もろもろも改訂されているそうです。

Various problems in Baltimore WebSweeper URL filtering
(BUGTRAQ, Wed, 05 Sep 2001 17:57:27 +0900)

 WebSweeper による URL アクセス制限をかいくぐる方法。 ベンダーは It is not practical to use WEBsweeper to manage blacklists と述べていらっしゃるそうです。

%u encoding IDS bypass vulnerability
(FOCUS-MS ML, Thu, 06 Sep 2001 06:45:13 +0900)

 RealSecure, Dragon, Snort, NFR など世の中の IDS の多くに弱点。 IIS UNICODE bug で有名になった UNICODE (UTF) encoding だが、 よく知られる %01%23 といった形式の他に、%u0123 という形式も使えるのだそうで。 しかし世の IDS の多くは %u を利用した形式に対応していないため、 %u 形式を使うことで、IDS の警戒をすり抜けることが可能だそうで。

Credit:
This technique first came to our attention by an exploit written by HSJ. The %u encoding technique was used in HSJ's .ida buffer overflow exploit however it was not used to mask the attack to bypass Intrusion Detection Systems when performing attacks against IIS systems.

だそうで。

 対策としては、IDS 各社から patch が出ているので適用する (元記事参照)。 snort では 1.8.1 で fix されているそうだ。

2001.09.07 追記:

 ISS Alert: Multiple Vendor IDS Unicode Bypass Vulnerability

ASSESSMENT 01-019: Buffer Overflow Vulnerability in Telnet Daemon
(incidents ML, Tue, 04 Sep 2001 13:06:22 +0900)

 telnetd 穴 を突くワーム x.c が登場という話題。穴は塞ぎましょう。

2001.09.12 追記: 「第2のCode Red」となる可能性も——UNIXワーム「X.C」に警告 (ZDNet) には 「X.Cワームに感染する可能性があるのは,Solaris,SGI IRIX,Open BSD」 とあるが、 x.c worm analysis では「the worm affects BSDI 4.1, NetBSD 1.5, and FreeBSD 3.1 through 4.3」で、 Solaris や IRIX はどこから出てきたのか? という疑問を こがさんが投げかけている。 同様の弱点があるという意味では Linux も取りあげないとアレゲだし、 いまいちよくわからないですよね。

 リカバリーツール出てます: X.C. Worm Detection and Removal Tool (from LWN)

Title: Gauntlet Firewall for Unix and WebShield CSMAP and smap/smapd Buffer Overflow
(IPA ISEC 脆弱性関連情報, 2001.09.05)

 Gauntlet for UNIX 5.x/6.0 や WebShield for Solaris v4.1 などに含まれる smap/smapd および CSMAP デーモンに buffer overflow する弱点。remote から smap/smapd, CSMAP 動作権限で任意のシェルコマンドを実行できてしまう。 patch があるので適用する。

2001.09.07 追記:

 CERT Advisory 登場: CERT Advisory CA-2001-25 Buffer Overflow in Gauntlet Firewall allows intruders to execute arbitrary code (LAC による邦訳版reasoning.org による邦訳版)。


2001.09.05

追記

 2001.08.22 の Code Red による深刻な問題に対する防護策と対処方法についての説明: よくある質問と回答追記した。 「2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されて」 いるそうだ。IHA さん感謝。

要チェック,MSサイトに“旬”の「Security PickUp」コーナー リンクされているドキュメントには改善の余地あり
(日経 IT Pro, 2001年9月5日)

 Code Red 方面、Windows 2000 Pro. で「テストとして IIS を一時的に組み込んでいたために,感染したユーザーは多かった」、となっていますが、手元の組織でも Windows 2000 Pro. + IIS 5 でヤラれるという事例が先日発生しました。

 その人は Windows 2000 Pro. な note PC (DELL) を使用していたのですが、 どうやら「プレインストール」の段階ですでに IIS 5.0 がインストールされ稼働していたらしいのです。 このため、使用者は「IIS を動かしている」という自覚のないまま Windows 2000 Pro. を使いつづけ、結果として Code Red にヤラれてしまったようです。

 FAT/NTFS とかいうからみもありますし、 プレインストール OS はやっぱり一旦消すのが吉なんでしょうかねえ。

2001.09.18 追記:

 IISデフォルト動作のW2K機 (slashdot.jp)


2001.09.04

Timing Analysis of Keystrokes and Timing Attacks on SSH
(secureshell@securityfocus.com, Wed, 22 Aug 2001 23:53:30 +0900)

 ssh での通信はもちろん暗号化されている。 しかし、その暗号化されたパケットをながめると、いろいろなことがわかるという。

 くぅ、数式とかわかんないし……(T_T)

 関連: 研究チームがSSHを悪用したハッキングツールを開発(カリフォルニア大学バークレー校) (Vagabond / NetSecurity.ne.jp)。 予測じゃなくて推測ですよね。 中野さん情報ありがとうございます。

2001.10.25 追記:

 これに対抗するための openssh 2.9.9p2 用の patch が登場している。 http://www.silicondefense.com/software/ssh/index.htm では、2.9p2 / 2.9.9p2 用の patch と、patch が適用された openssh アーカイブが公開されている。 50ms 間隔で dummy packet を送付する patch だそうだ。

Multiple Xinetd Vulnerabilities
(IPA ISEC, 2001年9月4日)

 xinetd 2.3.0 に複数の弱点。 Solar Designer さんによる xinetd 2.3.0 audit status に基づくものだそうです。 2.3.0 では xinetd 2.3.0 bug の件が完全には fix されていないのだそうです。

2001.09.05 追記: xinetd 2.3.3 出てますね。


2001.09.03

SNS Advisory No.41 iPlanet Messaging Server 5.1(evaluation copy) Buffer Overflow Vulnerability
(BUGTRAQ-JP, Mon, 03 Sep 2001 11:53:22 +0900)

 Windows NT/2000 用の iPlanet Messaging Server 5.1 evaluation copy に弱点。 ユーザ情報を web ブラウザで編集するときに、長大なユーザ名を入力すると buffer overflow が発生してしまう。このため、remote から任意のコマンドを local SYSTEM 権限で実行できてしまう。売りもの版でどうなっているのかは不明。

 なんだか http://www.lac.co.jp/security/snsadv/ にアクセスできなくなっているような。 …… URL が http://www.lac.co.jp/security/intelligence/SNSAdvisory/ に変更になった模様です。 sugim さん情報ありがとうございます。

UNIX fixes
(various)

FreeBSD
Solaris
VineLinux

ロシア人ハッカー支援者が宣戦布告
(CNet News, Thu 30 Aug 2001 11:20 PT)

 Adobe はそういうことはしないだろうなあ。 そうするつもりなら、はじめから FBI とおはなしなんかしていないだろうから。 関連: アドビ・ファイルの暗号解読容疑者、上司とともに無罪を主張 (WIRED NEWS)

CERT(R) Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers
(CERT/CC, August 31, 2001)

 Windows NT/2000 に付属の DNS サーバは、デフォルトでは、 委任されていないサーバからの変な glue レコードを受け入れて cache に入れてしまう。 このため cache が汚染されてしまい、 結果としてユーザを偽の/誤ったサーバに誘導してしまう。 Q241352 に対応方法が書いてあるので適用する。 日本語版である JP241352: DNS キャッシュ破壊の防止策 では NT 4.0 にしか触れてないな……。 まあ、NT/2000 共に同じなんだけどね。

 これは、2000.06.13 の Windows 2000 server の DNS と同じ話ですね。

2002.03.08 追記:

 特集 インターネット「常時」接続計画 第6回 DNSサーバの設定と確認 (@IT)。Windows 2000 DNS サーバでの対策の方法が 1 ページ目にわかりやすく書かれている。


[セキュリティホール memo]
私について