セキュリティホール memo - 2004.05

Last modified: Fri Jan 25 14:30:23 2008 +0900 (JST)


2004.05.31


2004.05.28

[ANNOUNCE] mod_ssl 2.8.18
(modssl.org, 2004.05.27)

 mod_ssl 2.8.17 以前に欠陥。 SSLOptions +FakeBasicAuth を指定していた場合に、 クライアント証明書の Subject-DN が 6KB を越えていると buffer overflow する欠陥がある。 元ネタ: [Full-Disclosure] mod_ssl ssl_util_uuencode_binary potential problem。 CVE: CAN-2004-0488

 mod_ssl 2.8.18 で修正されている。 また Apache 2.x にも同様の問題があり、 modules/ssl/ssl_engine_kernel.c 1.106 で修正されているそうだ。 patchSA11534 (secunia.com) 参照。

fix / patch:

[Full-Disclosure] Advisory 06/2004: libneon date parsing vulnerability
(Full-Disclosure, Wed, 19 May 2004 15:36:42 +0900)

 neon に含まれる libneon に欠陥。ne_rfc1036_parse() における sscanf() の使い方に欠陥があり、buffer overflow が発生。これを利用すると、libneon を利用するアプリケーションにおいて任意のコードを実行可能となる。 CVE: CAN-2004-0398

 neon 0.24.6 に含まれる libneon では修正されている。

fix / patch:

[Full-Disclosure] Advisory 08/2004: Subversion remote vulnerability
(Full-Disclosure)

 Subversion 1.0.2 以前に欠陥。libneon と同様の sscanf() がらみ欠陥により、remote user が任意のコードを実行可能となる。 CVE: CAN-2004-0397

 Subversion 1.0.3 で修正されている。最新は 1.0.4

fix / patch:

[Full-Disclosure] Advisory 07/2004: CVS remote vulnerability
(Full-Disclosure, Wed, 19 May 2004 15:38:08 +0900)

 CVS 1.12.7 / 1.11.15 以前に欠陥。 CVS エントリ行中の modified および unchanged フラグの処理に欠陥があり、 heap overflow が発生。これを利用すると、remote から CVS サーバ動作権限で任意のコードを実行できる。 攻撃を実行するには CVS サーバへのアクセス id / password が必要となるが、 よく見かける、anonymous で read-only 公開している場合でも実行可能である。 CVE: CAN-2004-0396

 CVS 1.12.8 / 1.11.16 で修正されているので入れかえればよい。

 exploit が公開されている。コメントが興味深い。

 cvshome.org <-- PLAY "FIND THE SUCKIT" と書かれているわけだが、www.cvshome.org が現実に侵入されていた (rootkit が仕掛けられていた) ことが明らかになっている。 関連: Handler's Diary May 27th 2004 (SANS ISC)。

fix / patch:

2004.06.01 追記:

 バージョン管理ツールCVSのセキュリティ・ホールを突いた不正侵入が続発 (日経 IT Pro)。流行ってます。

2004.06.09 追記:

 Vine Linux: [ 2004,06,07 ] cvs にセキュリティホール(修正版)。前の版は実は直っていなかった。

 Fedora Legacy: [FLSA-2004:1620] Updated cvs resolves security vulnerabilities

2004.07.12 追記:

 helium.ruby-lang.orgの侵害についての報告 (ruby-lang.org)、ruby-lang.org、クラックの詳細を公開 (slashdot.jp)。


2004.05.27


2004.05.26

追記

APPLE-SA-2004-05-21 Security Update 2004-05-24

 Apple プレスリリース: Mac OS Xアップデート、セキュリティ上の懸念に対処 (apple.co.jp)。 しかし Secunia は反論: 「Mac OS Xの脆弱性は未解決」とSecunia (ITmedia)。 実際、完全には直ってないんだから仕方ない。

 さらに、ssh: URI ハンドラにも欠陥があるとの指摘が: [Full-Disclosure] SSH URI handler remote arbitrary code execution

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム (副作用情報)

 さらなる障害情報:

[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities

 F-Secure: F-Secure Security Bulletin FSC-2004-1: Buffer overflow caused by malformed LHA archive。 更新版が用意されているので F-Secure 製品利用者は適用しよう。

 この一方で、さらなる buffer overflow の指摘が。 コマンド行引数で buffer overflow する模様。 patch が提案されている

FreeBSD Security Advisory FreeBSD-SA-04:11.msync
(FreeBSD, 2004.05.26)

 FreeBSD 4.x/5.x に欠陥。msync(2) の実装に欠陥があり、ファイルへの読み込み許可を持つユーザが、そのファイルへの変更がディスクに適用されるのを妨害することができる。source に patch を適用するなり CVSup で更新するなりしてから、kernel をつくりなおしてインストールし再起動すればよい。

[SA11699] F-Secure Anti-Virus Archived Virus Detection Bypass Vulnerability
(Secunia, 2004.05.25)

 F-Secure Anti-Virus 5.x に欠陥があり、zip ファイルに含まれた Sober.D と Sober.G を検出できないことがあるようだ。 hotfix が登場しているので適用すればよいようだ……が、日本語版にも適用できるんだろうか……。

ツールいろいろ
(various)

「マイクロソフト サポート ライフサイクル ポリシー」の改訂について
(Microsoft, 2004.05.26)

 副題の「ビジネスおよび開発用ソフトウェア製品のサポート期間を製品発売から最短で10年に延長、セキュリティ対策ニーズに対応するとともに、製品の新規導入・システム移行計画を支援」にあるように、ビジネスおよび開発用ソフトウェアは最短でも 10 年はサポートされるように、サポートライフサイクルポリシーが変更された。 単に「10 年になりました」ではなく、

メインストリームサポート

次のうちいずれか長い方
・ 製品発売から5年
・ 後継製品の発売から2年

延長サポート

次のうちいずれか長い方
・ メインストリームサポート終了から5年
・ 2番目の後継製品の発売から2年

なので、次期製品の登場がひどく遅れるような事態 (Windows 2000 を思い出せ) が発生した場合には、メインストリーム・延長サポート共に「最短 5 年」から延長されることになる。 少なくともサポート期間については、HP-UX など商用 UNIX 製品に追いつき追い越した、というところか。 商用 Linux 陣営はどう受けて立つのかな。

 なお、サービスパックについては

「サービスパック」については、最新、および1つ前のバージョンも、最新バージョン公開後、基本12ヶ月まで修正プログラムやセキュリティ更新プログラムを対象とします。(ただし、お客様のシステム移行状況等を考慮した結果、1つ前のバージョンのサポート期間を 24ヶ月とする場合があります。)

と、含みはあるものの、基本的には現状と同様のようだ。

 関連記事:


2004.05.25

追記

SYM04-009: Symantec Norton AntiVirus 2004 に ActiveX コントロールの脆弱性

 関連: Symantec Norton AntiVirus 2004 の脆弱性に関するお知らせ (富士通)。NAV 2004 がプリインストールされている機種があるそうで。

Symantec Norton AntiVirus 2004は下記の全てのFMVシリーズに添付されています。

* FMV-DESKPOWER / FMV-BIBLOシリーズ 2004年春モデル以降
* FMV Desktop / FMV LIFEBOOKシリーズ 2004年5月発表のモデル以降
IEEE 802.11 DSSS 無線機器における DoS の脆弱性

 CVE: CAN-2004-0459。 CERT/CC Vulnerability Note: VU#106678

トレンドマイクロもの
(トレンドマイクロ)

ネットワークアソシエイツもの
(NAI)

ePolicy Orchestrator
VirusScan
VirusScan Enterprise
VirusScan ASaP
  • VirusScan ASaP: ATOK利用コンピュータの終了時にMyAgtSvcエラーが発生する (NAI)。 ATOK 15 と VirusScan ASaP の Rumor 機能 (peer to peer での更新機能) が同じポート (port 6515) を使うためにかちあってしまう模様。 ATOK 15 の「オンメモリ辞書機能」を無効にする、 ATOK 15 にジャストシステム提供のアップデートモジュールを適用する、ATOK 16 以降にアップデートする、のいずれかで解決するそうだ。


2004.05.24

iDEFENSE Security Advisory 05.12.04: Opera Telnet URI Handler File Creation/Truncation Vulnerability
(iDEFENSE, 2004.05.13)

 Opera 7.23 以前に欠陥。telnet: URI ハンドラにおいて、ホスト名の先頭の '-' 文字をチェックしていないため、ハンドラによって起動されるプログラムにオプションを渡すことが可能となってしまう。 Opera 7.50 で修正されている。英語版の Opera 7.50 は存在するが、日本語版の Opera 7.50 はまだ存在しない。 この欠陥は telnet: URI ハンドラを無効化する (telnet: URI で起動するアプリケーションを指定しない) ことで回避できる。

 Opera 7.23 以前には、この他にも、アドレスバーを偽造される欠陥があり、これも Opera 7.50 で修正されている。

KDE Security Advisory: URI Handler Vulnerabilities
(KDE, Mon, 17 May 2004 20:02:01 +0900)

 KDE 3.2.2 以前に欠陥。 iDEFENSE Security Advisory 05.12.04: Opera Telnet URI Handler File Creation/Truncation Vulnerability に類似した欠陥が KDE の telnet, rlogin, ssh, mailto URI ハンドラにも存在する。 これらの URI ハンドラにおいて、ホスト名の先頭の '-' 文字をチェックしていないため、ハンドラによって起動されるプログラムにオプションを渡すことが可能となってしまう。

 CVE: CAN-2004-0411

 KDE 3.0.5b / 3.1.5 / 3.2.2 用の patch が用意されているので適用すればよい。

fix / patch:

APPLE-SA-2004-05-21 Security Update 2004-05-24
(apple, 2004.05.22)

 Mac OS X Help URI Handler Arbitrary Script Execution (secunia.com) の修正話。 古暮涼氏による邦訳版: [harden-mac:0671]。 おおもとは Safari remote arbitrary code execution のようで、 [Full-Disclosure] Vuln. MacOSX/Safari: Remote help-call, execute scripts にも参考になる記述がある。 help: URI ハンドラと disk: URI ハンドラに欠陥があり、この 2 つを組みあわせることで、 ダウンロードされた .dmg ファイル中の任意のアプリケーションやスクリプトを実行させることが可能となるようだ。 さらに、disks: URItelnet: URI もアレな模様。 telnet: URI 話は iDEFENSE Security Advisory 05.12.04: Opera Telnet URI Handler File Creation/Truncation Vulnerability に類似した欠陥のようです。

 Security Update 2004-05-24 として Mac OS X 10.2.8 / 10.3.3 用の修正が公開されているので、利用者は適用すればよい。 ……が、[harden-mac:0672] によると、disk: や disks:、telnet: については修正されない模様。 Disabling Unsafe URI Handlers With RCDefaultApp で紹介されている RCDefaultApp を利用すると、これらについても対策できるようだ。

 CVE: CAN-2004-0485 CAN-2004-0486 (まだ何もない)。

 関連記事:

2004.05.26 追記:

 Apple プレスリリース: Mac OS Xアップデート、セキュリティ上の懸念に対処 (apple.co.jp)。 しかし Secunia は反論: 「Mac OS Xの脆弱性は未解決」とSecunia (ITmedia)。 実際、完全には直ってないんだから仕方ない。

 さらに、ssh: URI ハンドラにも欠陥があるとの指摘が: [Full-Disclosure] SSH URI handler remote arbitrary code execution

2004.06.08 追記:

 APPLE-SA-2004-05-28 Mac OS X Update 10.3.4 (古暮涼氏による邦訳版)。 Mac OS X 10.3.4 には CAN-2004-0485 の修正が含まれています。

 さらに、APPLE-SA-2004-06-07 Security Update 2004-06-07 (古暮涼氏による邦訳版) が登場。disk: URI ハンドラについての修正が含まれています。 しかし、

コンポーネント: DiskImageMounter
CVE-ID: これは追加的な予防策であるため,CVE ID は取っていません。

このような扱いは全くいただけません。Apple という会社はあいかわらずのようです。 関連記事:

追記

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム (副作用情報)

 某所で偉いひとに聞いてみたところ、MS04-011 の副作用の件については、サポートに連絡すれば無料で patch を得られるようです。本当によかった (ポリアンナ)。

 こんな話もあるそうです: 841632 - IIS 5.0 を実行するコンピュータに MS04-011 をインストール後、クライアント証明書でエラーが発生する (Microsoft)。IIS にもちゃんと patch をあてましょう。

「性悪説」の情報漏えい対策は日本に根付くのか?
(日経 IT Pro, 2004.05.23)

 これまでは「対策しなさすぎ」だったと思うので、ある程度、そういう方向に進むのは仕方ない (というか、やるべき) だろうなあとは思う。

 あるシステム・インテグレータは「情報を外部に持ち出すのは,会社に対して不満を持つ不幸な従業員であるケースが多い」と指摘する。確かにその通りだろう。

 先日の「第 8 回 コンピュータ犯罪に関する白浜シンポジウム」では、「そういう状況では全くない個人情報漏曳事件」の事例を聞く機会があった。それは、こういう事例だったそうだ (聞きおぼえなので細かい部分は違っているかもしれない):

 このような、「役人の天下り」に類似した構造に基づく漏曳状況は、個人情報に限らず、日本のあちこちに存在し、しかもより根が深いような気がするのだが、私の気のせいだろうか。 なお、その事例を聞かせてくださった方は「(当事者が) 金のためにやったとは全く思えない、なぜなら我々は十分な報酬を得ているから」と語っていた。


2004.05.21

SYM04-009: Symantec Norton AntiVirus 2004 に ActiveX コントロールの脆弱性
(シマンテック, 2004.05.20)

 Norton AntiVirus 2004 に含まれる Active X に欠陥。この欠陥を利用すると、NAV 2004 に対する DoS 攻撃を実行できたり、ローカルコンピュータ上のコードを実行させたりすることが可能。 対応するには LiveUpdate を利用して最新版にアップグレードすればよい。

 関連: SNS Advisory No.72: Symantec Norton AntiVirus 2004 ActiveX Control Vulnerability (LAC)。

2004.05.25 追記:

 関連: Symantec Norton AntiVirus 2004 の脆弱性に関するお知らせ (富士通)。NAV 2004 がプリインストールされている機種があるそうで。

Symantec Norton AntiVirus 2004は下記の全てのFMVシリーズに添付されています。

* FMV-DESKPOWER / FMV-BIBLOシリーズ 2004年春モデル以降
* FMV Desktop / FMV LIFEBOOKシリーズ 2004年5月発表のモデル以降

2004.05.18

SecurityFocus Newsletter
(bugtraq-jp)

シスコ製品用のソースコードがネットに流出
(ITmedia, 2004.05.17)

このニュースの出所は「Securitylabs.ru」というロシアのサイトで、現地時間15日に同サイトで公開された模様。

 http://www.securitylab.ru/45221.html のようです。 Russian 読めない人は、 PROMT-Online / URL mode (paralink.com) などの翻訳サイトをどうぞ。 google の Language Tools には、残念ながら russian to english はありませんね。

 関連: セキュリティ専門家:「シスコ製品のコード流出による脅威の可能性は低い」 (ITmedia)。


2004.05.17

Security Management - May 2004:: Help: I Got Hacked. Now What Do I Do?
(Microsoft, 2004.05.07)

 「ハクられちゃいました、何をすればいいの?」の答えは

The only way to clean a compromised system is to flatten and rebuild.

「まっさらにしてから再構築するのが唯一の方法」ということで。Security Management columns の日本語版ってあるのかな。 ……ないみたい

追記

古いハードディスクはきれいにして捨てよう

 Eraser 5.7 に含まれている「全 HDD 消去ディスク」を試してみたところ、その中身は DBAN でした。手元の、処理が必要な機械 (NEC SV28D、FreeBSD 4.8 がインストールされている) で実行してみたところ、なぜかうまく起動しないようでした。うーむ。謎。 FreeBSD では問題ないのに。

 Active@ Kill Disk の場合は、FreeDOS + exe な disk がつくられました。こちらはうまく起動でき、消去処理もできたようです。free 版では「0 書き 1 回」しかできませんが、casual hack 対策であればこれでも十分でしょう。機密情報が書かれているような disk なら、もっと気合いを入れる必要があるでしょうが。

 ……なんだか、FreeSBIE な CD つくった方が早いような気がしてきました。

Symantec Client Firewall - 不正リモートアクセスとサービス拒否の脆弱性と対応

 関連:


2004.05.15


2004.05.14

SYM04-008 Symantec Client Firewall - 不正リモートアクセスとサービス拒否の脆弱性と対応
(Symantec, 2004.05.14)

 Symantec の Norton Internet Security/Professional 2002 / 2003 / 2004、 Norton Personal Firewall 2002 / 2003 / 2004、 Norton AntiSpam 2004、 Symantec Client Firewall 5.01 / 5.1.1、 Symantec Client Security 1.0 / 1.1 / 2.0 (SCF 7.1) に欠陥。これらに含まれる SYMDNS.SYS に複数の欠陥がある。

  1. EEYE: Symantec Multiple Firewall Remote DNS KERNEL Overflow

    細工をした、長大な CNAME RR を送ると stack buffer overflow が発生する。 これを利用することで、remote から kernel レベル権限で任意のコードを実行可能となる。 これを利用するには UDP 1 パケットで十分であり、 しかも、すべてのポートがフィルタリングされていたり、すべての侵入ルールが設定されていたりした場合でも成立してしまう。

    CVE: CAN-2004-0444

  2. EEYE: Symantec Multiple Firewall NBNS Response Processing Stack Overflow

    細工をした NetBIOS Name Service (NBNS, 137/udp) パケット 1 つを送ることにより、stack buffer overflow が発生し、remote から kernel レベル権限で任意のコードを実行可能となる。 この欠陥を利用した攻撃は、内向きの 137/udp を拒否していれば成立しない (デフォルトで拒否)。

    CVE: CAN-2004-0444

  3. EEYE: Symantec Multiple Firewall NBNS Response Remote Heap Corruption

    NetBIOS Name Service (NBNS, 137/udp) の応答パケットの処理に欠陥があり、heap を破壊することが可能となるため、 remote から kernel レベル権限で任意のコードを実行可能となる。 この欠陥を利用した攻撃は、内向きの 137/udp を拒否していれば成立しない (デフォルトで拒否)。

    CVE: CAN-2004-0444

  4. EEYE: Symantec Multiple Firewall DNS Response Denial-of-Service

    DNS 応答パケットの処理に欠陥があり、 細工した DNS 応答 1 パケットで DoS 攻撃 (システムフリーズ) を行うことが可能となる。いったん攻撃を受けると、回復させるには再起動するしかない。

    CVE: CAN-2004-0445

    exploit: HOD-symantec-firewall-DoS-expl.c

 修正プログラムが配布されているので適用すればよい。 Norton シリーズの場合は LiveUpdate を利用して最新の状態に更新する。 Symantec Client Firewall、Symantec Client Security については、 修正プログラムを入手し適用する。

2004.05.17 追記:

 関連:

追記

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム (副作用情報)

 Oracle に関する情報が出ました:

 一方、問題が解消する環境もあるようで:

 トレンドマイクロの ServerProtect for NetAPP では、アンインストールできなくなる不具合が:

IEEE 802.11 DSSS 無線機器における DoS の脆弱性

 無線LANにDoS攻撃の脆弱性 (ITmedia)。論文発表は、日本時間では 5/15 (土) だそうです。 匿名希望さん情報ありがとうございます。


2004.05.13

IEEE 802.11 DSSS 無線機器における DoS の脆弱性
(JPCERT/CC, 2004.05.13)

 802.11, 802.11b および 802.11g の低速通信で使われている DSSS 2 次変調方式に欠陥。妨害電波による DoS 攻撃を受ける。ただし、この攻撃を行うためには、攻撃者は電波到達範囲内から妨害電波を出し続けなければならない。 802.11a および 802.11g の高速通信では DSSS ではなく OFDM が使われているためこの欠陥の影響は受けない。 また 802.11 の赤外線通信と FHSS を用いた無線通信にもこの欠陥の影響はないはず。

 これはプロトコルの欠陥であるため、DSSS を利用する全ての機器が欠陥の対象となる。AA-2004.02 -- Denial of Service Vulnerability in IEEE 802.11 Wireless Devices (AusCERT) にはいくつかの軽減策が述べられているが、この欠陥を回避できるわけではない。 欠陥に対応するには、802.11a や 802.11g の高速通信などの、DSSS を使用しないプロトコルを用いた通信に移行するしかない。

 詳細: AA-2004.02 -- Denial of Service Vulnerability in IEEE 802.11 Wireless Devices (AusCERT)。 参考: 鈴木直美の「PC Watch先週のキーワード」 ■ 第190回 (PC Watch)。

2004.05.14 追記:

 無線LANにDoS攻撃の脆弱性 (ITmedia)。論文発表は、日本時間では 5/15 (土) だそうです。 匿名希望さん情報ありがとうございます。

2004.05.25 追記:

 CVE: CAN-2004-0459。 CERT/CC Vulnerability Note: VU#106678


2004.05.12

HijackThis、Spybot、CWShredderなどがダウンロードできない、動かない
(アダルトサイト被害対策の部屋, 2004.5.7)

 このお話なのですが、どうやら、「root kit "Hacker defender 1.0.0" を利用したスパイウェアが横行している」という状況のようです。 Hacker defender を利用して、 スパイウェア対策ツールの定番 HijackThisSpybot の動作を妨害してしまう、というわけです。[Hidden Table] に HijackThis や Spybot が登録されていたりするのかな……(2004.05.13 追記: そのとおりだったそうです)。 いやはや、たいへんです。

 掲示板でいろいろ議論されていたそうなのですが、苦労がにじみ出ていますよね……。 揮発性情報を取得した後は、 WinPE (BartPE) とか BerryLinux とかを使って調べた方がよいのかもしれません。 いや、私はまだどちらも使ったことがないのであれなのですが。

 群青さん情報ありがとうございます。

Clam AntiVirus Unsafe VirusEvent Directive May Let Local Users Gain Root Privileges
(SecurityTracker, 2004.04.01)

 Clam AntiVirus 0.70-rc 以前に欠陥。特殊なファイル名を設定したウィルスを利用して、local user が clamd 動作権限でコマンドを実行することが可能。 回避するには、clamav.conf の VirusEvent ディレクティブから %f を削除するか、 VirusEvent ディレクティブ自身をコメントアウトする。

 Clam AntiVirus 0.70 で修正されている。

Apache HTTP Server 1.3.31 Released
(Apache.org, 2004.05.11)

 Apache 1.3.31 登場。4 つの欠陥が修正されている。

 mod_ssl 2.8.17-1.3.31 も出ているそうです。

fix / patch:

「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される (840374) (MS04-015)
(Microsoft, 2004.05.12)

 Windows XP / Server 2003 に欠陥。ユーザに特殊な HCP:// URL の記載されたリンクをクリックさせることで、攻撃者のコマンドをマイコンピュータゾーン権限で動作させることが可能となる。

 修正プログラムがあるので適用すればよい。ただし:

 関連: MS04-015/840374 「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される危険性 (hotfix.jp)。

追記

Microsoft Jet データベースエンジンの脆弱性によりコードが実行される (837001) (MS04-014)

 Windows XP gold (SP なし) 用の修正プログラムのローカライズが不完全だったそうで、新しい更新プログラムが登場している。 Windows XP SP1 用修正プログラムには、この問題はない。

MS01-052: Invalid RDP Data can Cause Terminal Service Failure

 NT 4.0 TSE 用 patch が更新された。以前の版では、攻撃を防げない場合があるという。

[Full-Disclosure] Buffer overflows in exim, yet still exim much better than windows

 [SECURITY] [DSA 502-1] New exim-tls packages fix buffer overflows

APPLE-SA-2004-04-30 QuickTime 6.5.1

 利用可能なQuickTimeのバージョン (Apple) が改訂され、Windows 用の QuickTime 6.5.1 日本語版の存在が明示された。 skel.103M さん情報ありがとうございます。


2004.05.11

Outlook ExpressやEudoraなどにステータス・バーを偽装できるセキュリティ・ホール
(日経 IT Pro, 2004.05.11)

 Internet Explorer (Outlook, Outlook Express にも影響) と Eudora に、 URL を偽装できてしまう新たな欠陥。 phishing に代表される詐欺行為に悪用される懸念がある。

 いずれについても、修正プログラムはまだ存在しない。 Outlook / Outlook Express については、HTML メールをテキスト表示に設定することでこの欠陥を回避できる。Outlook Express 6.0 SP1 の場合は、ツールメニューのオプション () を開き、[読み取り] タブにある「メッセージはすべてテキスト形式で読み取る(R)」をチェックし、[適用] をクリックする () 。


2004.05.10

APPLE-SA-2004-05-03 Security Update 2004-05-03
(Apple, 2004.05.03)

 Mac OS X 10.2.8 および 10.3.3 に存在する 8 個の欠陥の修復パッケージ登場。 古暮涼氏による邦訳版

 関連報道: アップル、セキュリティ勧告の「不適切」な分類に再三の批判 (ITmedia)。

APPLE-SA-2004-04-30 QuickTime 6.5.1
(Apple, 2004.05.01)

 eEye: Apple QuickTime (QuickTime.qts) Heap Overflow の話。 QuickTime 6.5 に欠陥。 特殊な movie ファイルを作成することで heap overflow が発生、SYSTERM 権限 (Windows 版の場合?) で任意のコードを実行可能だという。

 bid 10257 - Apple QuickTime Sample-to-Chunk Integer Overflow Vulnerability (securityfocus.com) によると、Windows だけでなく、Mac OS / Mac OS X 用でもこの欠陥に影響されるそうだ。同文書は QuickTime 6.5 だけでなく、それより前のバージョンもこの欠陥の影響を受ける、としている。 APPLE-SA-2004-04-30 QuickTime 6.5.1 (古暮涼氏による邦訳版) によると QuickTime が crash するだけ、となっているが、eEye はこう書いている:

Apple is doing a disservice to its customers by incorrectly labeling this vulnerability as a "crash bug" rather than stating correctly that attackers can compromise systems running the affected Apple software.

 この欠陥は QuickTime 6.5.1 で修正されているという。利用可能なQuickTimeのバージョン (Apple) を見る限りでは Windows 用の QuickTime 6.5.1 日本語版はまだ存在しないようだが、QuickTime ダウンロードページ ダウンロードすると「QuickTime 6.5.1 にようこそ」と出るので 6.5.1 日本語版なのだろう。

 CVE: CAN-2004-0431

2004.05.12 追記:

 利用可能なQuickTimeのバージョン (Apple) が改訂され、Windows 用の QuickTime 6.5.1 日本語版の存在が明示された。 skel.103M さん情報ありがとうございます。

CAN-2004-0421 - libpng に DoS 攻撃を受ける欠陥
(various, 2004.04.30 ごろ)

 libpng 1.0.15 および 1.2.5 以前に欠陥。壊れた png ファイルを扱う場合に使われるエラー処理部分における境界処理が不十分であるため、libpng を利用するアプリが crash する。

fix / patch:

2004.05.09


2004.05.07

[Full-Disclosure] Buffer overflows in exim, yet still exim much better than windows
(Full-Disclosure, Thu, 06 May 2004 08:24:19 +0900)

 UNIX 用の MTA Exim に 2 つの欠陥。Exim 3.x では両方、4.33 までの Exim 4.x では 1 つが該当。

fix / patch:

2004-05-06: Kerberos 4 buffer overrun in Heimdal kadmin
(2004.05.06, KTH Royal Institute of Technology)

 Kerberos 5 実装 Heimdal に欠陥。 0.6.2 より前の Heimdal に含まれる Kerberos 4 kadmin 互換モジュールに buffer overflow する欠陥があり、remote から任意のコードを実行される恐れがある。

 Heimdal 0.6.2 で修正されている。また、kadmin を --no-kerberos4 オプションつきで起動させれば、Kerberos 4 kadmin 互換機能は無効となり、この欠陥を回避できる。

 CVE: CAN-2004-0434

fix / patch:

追記

2004-04-01: Cross-realm trust vulnerability in Heimdal

 FreeBSD: FreeBSD-SA-04:08.heimdal - heimdal cross-realm trust vulnerability

[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities

 発見者による文書: [Full-Disclosure] LHa buffer overflows and directory traversal problems。 修正 patch とサンプル exploit が添付されている。PoC コードも登場: [Full-Disclosure] Lha local stack overflow Proof Of Concept Code

 また、この欠陥は LHa だけでなく、WinZip、WinRar、McAfee plugin for CommuniGate Pro にもあるようだ: [Full-Disclosure] LHa repercussions: WinZip, WinRar, CommuniGate Pro McAfee plugin, blog

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)

 『「LSASS の脆弱性」の回避策』が更新された。新たに登場した回避策は:

%systemroot%\debug\dcpromo.log という名前のファイルを読み取り専用の属性で作成します。ファイルの作成には、次のコマンドを実行してください。

echo dcpromo > %systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

 なぜこれでいいのか。この欠陥に関する eEye の技術文書 Windows Local Security Authority Service Remote Buffer Overflow (eEye) にはこうある:

The buffer overflow bug is in a logging function which generates a string for the log file using vsprintf(). The name of the log file is "DCPROMO.LOG", and it is located in the Windows "debug" directory.

 dcpromo.log への書き込み処理において vsprintf() が buffer overflow するのだろう。そこで、そもそも dcpromo.log を write open できないようにしてしまえば……ということでいいのかな。

0xbadc0ded Advisory #03 - 2004/05/06 - DeleGate <= 8.9.2 (SSL-filter)
(Full-Disclosure ML, Thu, 06 May 2004 20:35:41 +0900)

 DeleGate 8.9.2 以前に欠陥。SSLway フィルタに buffer overflow する欠陥があり、remote から任意のコードを実行可能。 DeleGate 8.9.3 で修正されている。8.9.3 では、SSLway の他にも

[FIX]
 + SSLway: fixed possible overflow in certificate printing (6.1.18)
 + HTTP: fixed SEGV by overflow on long method (8.8.8)
 + HTTP: fixed to forbid access to off-limit files by escaped URL
 + HTTP: fixed Referer MOUNT to cope with virtual hosting
 + HTTP: fixed breaking SSL negotiation on SSLtunnel / CONNECT (8.9.2)
 + HTTP: removed delay on response by repetitive chunkes (8.7.7)
 + CGI: fixed to return 404 for non-existent CGI file
 + FTP: fixed FTP+SSLway on the first data-connection (8.8.0)
 + SMTPGATE: fixed to try secondary MX lists after failure
 + Resolvy: fixed RES_CONF="file:/path/of/..." (6.1.0)
 + auth: fixed SEGV in scan_ListL() for unbalanced as "{list,..."
 + log: fixed pushing out delayed client process on Win32
 + porting: fixed detecting availability of libraries
 + Udprelay: fixed port mapping for TCPrelay by udprelay
 + Tcprelay: changed tcprelay-DeleGate to work as a Sticky server
 + Telnet: coped with telnet client of WinXP

と、多数の修正項目が並んでいる (全てがセキュリティ関連なわけではない) ので、DeleGate 利用者は upgrade しませう。


2004.05.06

追記

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム

 PRIMERGY TX200FT > TX200FTのお知らせ > 留意事項 (富士通)

IAサーバPRIMERGY TX200FTに MS04-011:Microsoft Windows のセキュリティ修正プログラム (835732) を適用する際には、事前にダウンロード検索から下記の緊急修正プログラムをダウンロードし適用してください。

 MS04-011 をそのまま入れるとマズい模様。

Sasser ワームについてのお知らせ

2004.05.05

追記

Sasser ワームについてのお知らせ

 #541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?

 あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。

 Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。


2004.05.04

追記

Sasser ワームについてのお知らせ

2004.05.03

追記

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム

 関連情報:

Sasser ワームについてのお知らせ

 またまた亜種 (Sasser.c) 登場:

 関連:

 あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) に、Sasser.A/B の検出機能が追加されています。ただし、Internet Explorer でアクセスしないと動きません。

 ……と書いている間に Sasser.D が登場したようで:


2004.05.02

Sasser ワームについてのお知らせ
(Microsoft, 2004.05.01)

このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報 MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

 MS04-011 LSASS 穴 attack worm キター。Gaobot じゃないよ。

 これが原因なのかどうか知りませんが、5/2 01:00 AM 現在 Symantec ThreatCon は Level 3 になってますね。 ……あ、level 2 に戻った (5/2 02:10)。

 関連:

2004.05.02 追記:

 さっそく亜種登場:

 トレンドマイクロは WORM_SASSER.B をレッドアラート扱いにしていますね。 (5/3 19:00)

2004.05.03 追記:

 またまた亜種 (Sasser.c) 登場:

 関連:

 あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) に、Sasser.A/B の検出機能が追加されています。ただし、Internet Explorer でアクセスしないと動きません。

 ……と書いている間に Sasser.D が登場したようで:

2004.05.04 追記:

2004.05.05 追記:

 #541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?

 あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。

 Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。

2004.05.06 追記:


[セキュリティホール memo]
私について