SecurityFocus Newsletter #178 2002-12-30->2003-1-3

To: bugtraq-jp@securityfocus.com
Subject: SecurityFocus Newsletter #178 2002-12-30->2003-1-3
From: SAKAI Yoriyuki <sakai@lac.co.jp>
Date: Thu, 9 Jan 2003 13:40:19 +0900
Delivered-To: mailing list bugtraq-jp@securityfocus.com
Delivered-To: moderator for bugtraq-jp@securityfocus.com
List-Help: <mailto:bugtraq-jp-help@securityfocus.com>
List-Id: <bugtraq-jp.list-id.securityfocus.com>
List-Post: <mailto:bugtraq-jp@securityfocus.com>
List-Subscribe: <mailto:bugtraq-jp-subscribe@securityfocus.com>
List-Unsubscribe: <mailto:bugtraq-jp-unsubscribe@securityfocus.com>
Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm
References: <Pine.LNX.4.43.0301061148220.22535-100000@mail.securityfocus.com>
坂井@ラックです。

SecurityFocus Newsletter 第 178 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

---------------------------------------------------------------------------
BugTraq-JP に関する FAQ(日本語):
http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml
・SecurityFocus Newsletter の和訳は BugTraq-JP で一次配布されています
・BugTraq-JP への参加方法、脱退方法はこの FAQ をご参照ください
---------------------------------------------------------------------------
---------------------------------------------------------------------------
SecurityFocus Newsletter に関するFAQ(英語):
http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml
BugTraq に関する FAQ(英語):
http://www.securityfocus.com/popups/forums/bugtraq/faq.shtml
---------------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus の許可を株式会社ラックが得た上で行われています。
・SecurityFocus Newsletter の和訳を Netnews, Mailinglist, World Wide Web,
  書籍, その他の記録媒体で引用される場合にはメールの全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませんが、
  準用するものとします。
・また、SecurityFocus 提供の BugTraq-JP アーカイブ [*1] へのいかなる形式の
  ハイパーリンクも上記に準じてください。
1) http://online.securityfocus.com/archive/79
---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BugTraq-JP へ Errata として修正
  版をご投稿頂くか、監修者 (sakai@lac.co.jp) にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
---------------------------------------------------------------------------
This translation is encoded and posted in ISO-2022-JP.

原版:
Date: Mon, 6 Jan 2003 11:48:44 -0700 (MST)
Message-ID: <Pine.LNX.4.43.0301061148220.22535-100000@mail.securityfocus.com>

SecurityFocus Newsletter #178
-----------------------------

This Issue is Sponsored by GuardedNet - Transforming Security

I. FRONT AND CENTER(日本語訳なし)
     1. Exchange 2000 in the Enterprise: Tips and Tricks Part One
     2. Windows Forensics: A Case Study, Part 1
     3. The Briscoe Syndrome
     4. SecurityFocus DPP Program
     5. InfoSec World Conference and Expo/2003 (March 10-12, 2003,Orlando, FL)
II. BUGTRAQ SUMMARY
     1. Microsoft Windows File Protection Signed File Replacement...
     2. Sun Solaris RPC AUTH_DES Privilege Escalation Vulnerability
     3. Typespeed Local Buffer Overflow Vulnerability
     4. SkyStream Edge Media Router-5000 Local Buffer Overflow...
     5. monopd Remote Buffer Overflow Vulnerability
     6. PHP wordwrap() Heap Corruption Vulnerability
     7. Gallery Remote Code Execution Vulnerability
     8. Leafnode Resource Exhaustion Denial Of Service Vulnerability
     9. Web-cyradm Remote Denial of Service Vulnerability
     10. PlatinumFTPServer Information Disclosure Vulnerability
     11. PlatinumFTPServer Arbitrary File Deletion Vulnerability
     12. PlatinumFTPserver Denial Of Service Vulnerability
     14. PEEL Remote File Include Vulnerability
     15. Perl-HTTPd File Disclosure Vulnerability
     16. ShadowJAAS Command Line Password Disclosure Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. Macro and script viruses dying off
     2. US military medical records stolen in burglary
     3. FBI Arrests Russian Student Accused of Stealing Secret DirecTV...
     4. Unhappy new Yaha
IV. SECURITYFOCUS TOP 6 TOOLS
     1. DumpWin v2.0
     2. pfstats v0.1
     3. Nate Kohari's regular expression pipe v1.32
     4. HotSaNIC v0.5.0-pre3
     5. AlarmMon v0.35
     6. Jay's Iptables Firewall v0.8.1.1 (dev)

I. FRONT AND CENTER(日本語訳なし)
---------------------------------

II. BUGTRAQ SUMMARY
-------------------
1. Microsoft Windows File Protection Signed File Replacement Vulnerability
BugTraq ID: 6483
リモートからの再現性: なし
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6483
まとめ:

Microsoft Windows には Windows 自身が利用するシステムバイナリや関連する
ファイル、および Microsoft 以外の提供者によるバイナリやファイルに対して
適用された電子署名の妥当性を判断する、Windows File Protection (WFP) と
呼ばれる機能が備えられている。この機能にはサービスパックやホットフィッ
クスの適用によってファイルが置き換えられた後で、置き換えられる前の問題
を抱えたままのバージョンのファイルを再びインストールすることが可能にな
る結果を引き起こす問題が発見されている。

報告によると、古いバージョンのファイル群についてのハッシュ値を含む Security
Catalog は %WinDir%\System32\CatRoot 内に、サービスパックやホットフィッ
クスによって古いバージョンのファイル群自身が置き換えられ、削除された後
においてもそのまま格納されている。このため、新しいバージョンのファイル
群がファイルシステム内のいずれかの場所で古いバージョンのファイル群で置
き換えられてしまう際、Windows File Protection は 古いバージョンに関する
ハッシュ値が Security Catalog 内に存在するために、古いバージョンのファ
イルを不適当なものであると検知し得ないのである。

この問題により、攻撃者は攻撃対象のコンピュータへ問題を抱えるバージョン
のファイルを再インストールすることが可能になり、以後、問題を抱えるバー
ジョンのファイルを利用する攻撃を企てる可能性がある。

2. Sun Solaris RPC AUTH_DES Privilege Escalation Vulnerability
BugTraq ID: 6484
リモートからの再現性: あり
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6484
まとめ:

Sun はいくつかのバージョンの Solaris が権限昇格を引き起こす問題を抱えて
いることを公表した。

権限昇格は特定の RPC リクエストが行われる際に生じる。特に、AUTH_DES 認
証を利用している特定の RPC リクエストが利用される際にこの問題が生じる。

この問題はローカルとリモートの攻撃者の両方によって、より高位の権限でシ
ステム内の資源へアクセスするための攻撃に利用可能である。この問題を利用
する攻撃が成功するいくつかの事例に関する考察によると、攻撃者は root 権
限を奪取可能であると考えられる。

この問題は Sun Solaris 2.5.1 から Solaris 7 までに影響を及ぼす。

3. Typespeed Local Buffer Overflow Vulnerability
BugTraq ID: 6485
リモートからの再現性: なし
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6485
まとめ:

Typespeed はタイピング技術の程度に関する試験を行うために設計されたゲー
ムである。このソフトウェアは Debian Linux ディストリビューションにおい
てはデフォルトで setgid games としてインストールされている。

このソフトウェアには問題が発見されている。ユーザから与えられるパラメー
タを介して非常に大きなデータを引き渡すことにより、バッファオーバーフロー
を招くことが可能である。メモリ領域内の重要な情報を上書きするために、こ
の問題を利用する攻撃を企てることにより、ローカルの攻撃者はより昇格され
た権限でコードを実行可能であると推察される。

本問題に関する正確な技術的な詳細については現時点では不詳である。本 BID
はさらなる情報が公開され次第更新予定である。

4. SkyStream Edge Media Router-5000 Local Buffer Overflow Vulnerability
BugTraq ID: 6486
リモートからの再現性: なし
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6486
まとめ:

SkyStream Edge Media Router-5000 (EMR5000) は衛星経由によるコンピュータ
ネットワークを構築するためのルータである。この機器には telnet を介した
リモートからの管理機能の他、オプション扱いで Web を利用する管理用インタ
フェースが備えられている。

この機器にはバッファオーバーフローが生じる疑いがある。この問題は telnet
を介してアクセス可能な、telnet クライアントを介して利用可能なシェルを介
し、認証済のユーザによって攻撃に利用される可能性がある。

バッファオーバーフローはコマンドラインから非常に長い文字列を引き渡すこ
とにより生じさせることが可能であり、攻撃者によって与えられたデータによ
る、メモリ内の例えばスタック内の値のような重要な位置にある情報の上書き
を引き起こす可能性がある。この問題はより昇格された権限による意図的なコー
ドの実行を行うために利用される可能性がある。

5. monopd Remote Buffer Overflow Vulnerability
BugTraq ID: 6487
リモートからの再現性: あり
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6487
まとめ:

monopd はモノポリーに類似したボードゲーム用のゲームサーバである。このソ
フトウェアは Linux において利用されるように設計されている。

このソフトウェアにはバッファオーバーフローを生じる問題が発見されている。
この問題は vsprintf() 関数が不適切に利用されているために生じている。

攻撃者は非常に長いコマンド文字列をこのソフトウェアに引き渡すことにより
この問題を利用する攻撃を企てることが可能である。この動作により、バッファ
オーバーフローが生じ、攻撃者によって与えられた値でこのソフトウェアのプ
ロセスに割り当てられたメモリ内容が上書きされる結果となる。

この問題は monopd 0.6.1 以前のバージョンで発見されている。

6. PHP wordwrap() Heap Corruption Vulnerability
BugTraq ID: 6488
リモートからの再現性: あり
公表日: Dec 27 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6488
まとめ:

PHP はフリーに利用可能な、オープンソースの Web ページ内でスクリプトを利
用可能にする言語である。この言語のインタプリタは Microsoft Windows、UNIX、
Linux で利用可能である。

PHP インタプリタの組み込み関数である wordwrap () 関数には問題が発見され
ている。特定の状況において、この関数を利用するスクリプトへ文字列を引き
渡すことで、ヒープ内容を破壊する問題を引き起こすことが可能である。この
問題はワードラップが必要な文書を格納するために行われるメモリ領域の確保
が不十分であるために生じている。この関数を利用して引き起こされた破壊さ
れたメモリ内容は、以後、問題を抱える関数を利用するスクリプトを呼び出し
ている Web サーバによって参照される。

悪意ある人物はヒープ内に格納された malloc ヘッダを上書きするために、こ
の問題を利用する攻撃を企てることが可能であると推察される。これにより、
メモリ内の意図するワードが破壊されたメモリチャンクが free() 関数により
解放される際に上書きするように仕向けることが可能になる。Global Offset
Table 内のエントリを攻撃者によって与えられたデータを指し示すアドレスで
置き換えることにより、攻撃者は悪意あるコードを実行可能になると推察され
る。この際実行されるコードはいずれも問題を抱える関数を利用するスクリプ
トを実行させている Web サーバの実行権限と同格の権限で実行される。

7. Gallery Remote Code Execution Vulnerability
BugTraq ID: 6489
リモートからの再現性: あり
公表日: Dec 28 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6489
まとめ:

Gallery はオープンソースの Web インタフェースを備える写真アルバムソフト
ウェアである。このソフトウェアは PHP によって開発され、Linux および UNIX
由来の OS で利用可能であり、また、Microsoft Windows においても利用可能
である。

Windows XP に備わっている「インターネットに写真を発行」するためのサブシ
ステムをサポートする Gallery 1.3.2 の新機能には、BID 5375 において示さ
れている問題とほぼ同一であると考えられている問題が発見されている。

このソフトウェアに備わっている publish_xp_docs.php は、実際に値を利用す
る以前に初期化を行っていない PHP 変数に代入されている値を利用して組み立
てられたパスから init.php のインクルードを試みている。このため、悪意あ
るリモートのクライアントはこの変数へインクルードファイルの対象場所とし
てリモートのサーバを指定している値を引き渡す可能性がある。この種の行為
が企てられることにより、リモートのサーバは意図する PHP コードを Web サー
バと同格の権限で強制的に実行させることが可能になると推察される。

8. Leafnode Resource Exhaustion Denial Of Service Vulnerability
BugTraq ID: 6490
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6490
まとめ:

Leafnode はネットニュース (NNTP) 用のプロキシサーバであり、少数のユーザ
がニュースを購読しているサイトで利用されることを意図しているソフトウェ
アである。

このソフトウェアには DoS に陥る問題が発見されている。これは、このソフト
ウェアが特定の記事の読み出しを試みる際に生じる。取り分け、いくつかのニュー
スグループに対してクロスポストされた記事の取得を試みる際、このソフトウェ
アは利用可能な全ての CPU 資源を消費し尽くしてしまうのである。

攻撃者は他のニュースグループの後ろにいくつかのグループが列挙されるよう
にクロスポストを行うことにより、この問題を利用する攻撃を企てることが可
能である。このソフトウェアが Message-ID を基に新着記事の取得を試みる際、
このソフトウェアに同梱されている nntpd は無限ループを引き起こし、さらに
は利用可能な全ての CPU 資源を消費しつくすために、結果として DoS 状態に
陥ってしまうのである。

この問題は Leafnode 1.9.20 から 1.9.29 までのバージョンに影響を及ぼす。
なお、このソフトウェアのデフォルトのインストール状態へは影響は及ばない。

9. Web-cyradm Remote Denial of Service Vulnerability
BugTraq ID: 6491
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6491
まとめ:

Web-cryadm は PHP で開発された管理用ツールである。このソフトウェアは
Cyrus IMAP および Postfix を利用して構築された電子メールシステムで利用
され、UNIX および Linux で利用可能である。

このソフトウェアには問題が発見されている。動作を行うために必要な IMAP
デーモンが稼動していない場合にドメインに対する管理動作を試みた場合に DoS
に陥ってしまうのである。この状況に陥ってしまった場合、このソフトウェア
のプロセスは無限ループに陥り、処理エラーを生じる。
この問題は PHP スクリプト、browseaccounts.php、deleteaccount.php、
newaccount.php によって IMAP デーモンが稼動中であるかどうかの確認が正し
く行われていないために生じている。

この問題を利用する攻撃を行うことにより、正当なユーザによるリクエストを
阻害するように、ネットワーク資源を消費し尽くすことが可能であると推察さ
れる。特定の状況下において、CPU 利用率が増大することにより、OS そのもの
をクラッシュさせられるとも推察されている。

10. PlatinumFTPServer Information Disclosure Vulnerability
BugTraq ID: 6492
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6492
まとめ:

PlatinumFTPserver は Microsoft Windows 環境で利用可能な FTP サーバであ
る。

報告によると、このソフトウェアはいくつかの FTP コマンドに対するフィルタ
リングが十分に行われているかどうかの確認を怠っている。このため、攻撃者
はいくつかの FTP コマンドのパラメータとして、2 個のピリオドと 1 個のス
ラッシュを含む本来保護されているディレクトリの範囲外にアクセスでき得る
文字列を利用して、FTP によるファイル配布に設定された仮想ルートディレク
トリの範囲外の資源にアクセス可能である。取り分け、攻撃者は仮想ルートディ
レクトリの範囲外にある、問題を抱えるソフトウェアを稼動させているコンピュー
タ内の潜在的に重要であるファイル内の情報を奪取するために、 FTP コマンド
の DIR コマンドを利用する可能性がある。

重要なシステム内の情報の漏洩は、攻撃者による攻撃対象のコンピュータに対
するさらなる攻撃の補助手段に繋がる可能性がある。

この問題は PlatinumFTPserver 1.0.6 において発見されている。なお、他のバー
ジョンにおいても同様の問題を抱えているかどうかについては未詳である。

11. PlatinumFTPServer Arbitrary File Deletion Vulnerability
BugTraq ID: 6493
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6493
まとめ:

PlatinumFTPserver は Microsoft Windows 環境で利用可能な FTP サーバであ
る。

報告によると、このソフトウェアはいくつかの FTP コマンドに対するフィルタ
リングが十分に行われているかどうかの確認を怠っている。このため、攻撃者
はいくつかの FTP コマンドのパラメータとして、2 個のピリオドと 1 個のス
ラッシュを含む本来保護されているディレクトリの範囲外にアクセスでき得る
文字列を利用して、FTP によるファイル配布に設定された仮想ルートディレク
トリの範囲外の資源にアクセス可能である。取り分け、攻撃者は仮想ルートディ
レクトリの範囲外にある任意のファイルを削除するために、FTP コマンドの 
DELETE コマンドを利用する可能性がある。この問題を利用することで、攻撃者
は問題を抱えるシステムを完全に利用不能な状態に陥らせるための攻撃を企てる
可能性がある。

この問題は PlatinumFTPserver 1.0.6 において発見されている。なお、他のバー
ジョンにおいても同様の問題を抱えているかどうかについては未詳である。

12. PlatinumFTPserver Denial Of Service Vulnerability
BugTraq ID: 6494
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6494
まとめ:

PlatinumFTPserver は Microsoft Windows 環境で利用可能な FTP サーバであ
る。

報告によると、このソフトウェアは FTP コマンドに対するフィルタリングが十
分に行われているかどうかの確認を怠っている。問題を抱えるサーバに対して、
本来保護された範囲外のディレクトリへ相対的にアクセスし得る文字列を利用
した悪意あるリクエストを行うことにより、リモートの攻撃者が DoS を引き起
こすことが可能である。

攻撃者は FTP の CD コマンド内に、特別に組み立てられた 2 個のピリオドと
1 個のスラッシュ (../) を含む、本来保護された範囲外のディレクトリへ相対
的にアクセスし得る文字列を利用することによりこの問題を利用する攻撃を行
い、DoS を引き起こすことが可能である。

通常機能の復旧にはサービスの再起動が必要である。

この問題は PlatinumFTPserver 1.0.6 において発見されている。なお、他のバー
ジョンにおいても同様の問題を抱えているかどうかについては未詳である。

13. Microsoft Visual SourceSafe Client-Side Access Control Weakness
BugTraq ID: 6495
リモートからの再現性: あり
公表日: Dec 30 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6495
まとめ:

Microsoft Visual SourceSafe はいずれかのソフトウェア開発用言語を利用す
る開発プロジェクトを管理するためのソフトウェアである。

このソフトウェアはサーバ側ではなく、クライアント側において各プロジェク
トに対するアクセスコントロールの許可、不許可に関する妥当性の確認を行っ
ている。しかし、悪意あるこのソフトウェアのクライアントのユーザがプロジェ
クト内の保護されたファイルへ本来アクセス権限を持たないにも関わらずアク
セスするために、アクセスコントロール設定を潜在的に回避する可能性がある
ために、この仕様はセキュリティへの脅威であると推察される。
サーバ側においてアクセスコントロールを行う唯一の方法は NTFS 上でアクセ
スコントロールを設定することである。しかし、報告によると、プロジェクト
全体に対してアクセスコントロールが設定され、プロジェクト内のファイルや
フォルダへはアクセスコントロールは設定されないとのことである。

攻撃者がこの問題を利用する攻撃を企てることが可能な場合、攻撃者がアクセ
スでき得たプロジェクト内の保護されたファイルに対して本来アクセスを行う
権限を伴っていないにも関わらず、アクセスが可能になると考えられる。この
問題を利用する攻撃の結果として、悪意あるユーザはプロジェクト内のファイ
ルに対して、重要なデータの閲覧や改変が可能になると推察される。この問題
により、潜在的に開発中のプロジェクトに関するセキュリティポリシへの脅威
が引き起こされる可能性がある。

14. PEEL Remote File Include Vulnerability
BugTraq ID: 6496
リモートからの再現性: あり
公表日: Dec 31 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6496
まとめ:

PEEL は PHP 言語で開発されたカタログ管理システムである。

このソフトウェアにはリモートの攻撃者がリモートのサーバ内の意図的なファイ
ルをインクルード可能になると推察される問題を抱える疑いがある。この問題は 
PEEL に同梱されている 'modeles/haut.php' スクリプト内に存在している。

攻撃者は $dirroot 変数、または '$SESSION' 変数で、攻撃者の管理下にある
コンピュータ内に存在している、悪意をもって組み立てられたファイルへのパス
を指定することによりこの問題を利用する攻撃を行う可能性がある。

意図的に組み立てられたファイルが PHP スクリプトの場合、攻撃者によって与
えられた PHP コードが Web サーバの実行権限で実行可能であると推察される。

この問題は PEEL 1.0b において報告されており、それ以前のバージョンについ
てこの問題の影響が及ぶかどうかについては未検証である。

15. Perl-HTTPd File Disclosure Vulnerability
BugTraq ID: 6497
リモートからの再現性: あり
公表日: Dec 31 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6497
まとめ:

Perl-HTTPd は Perl で開発された Web サーバである。

このアプリケーションは特定の HTTP リクエストを適切にフィルタリングしな
い問題が発見されている。この問題を攻撃することにより、攻撃者は本来保護
された範囲外のディレクトリへ相対的にアクセスし得る意図の、2 個のピリオ
ドと 1 個のスラッシュ (../) を含む文字列を利用し、Web 用の公開文書向け
のディレクトリの範囲外の領域にアクセス可能である。また、攻撃者は Web 用
の公開文書向けのディレクトリの範囲外にある、このソフトウェアが読み出し
可能なファイルのいずれの内容も読み出し可能になると推測される。

重要な OS のファイルの漏洩は攻撃者による攻撃対象へのさらなる攻撃の補助
手段となり得る可能性がある。

この問題は Perl-HTTPd 1.0 および 1.0.1 に報告されている。

16. ShadowJAAS Command Line Password Disclosure Vulnerability
BugTraq ID: 6498
リモートからの再現性: なし
公表日: Dec 28 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/6498
まとめ:

ShadowJAAS は認証機能を提供するアプリケーションソフトウェアであり、この
のソフトウェアを用いることで Java アプリケーションはシャドウパスワード
を利用し、ローカルのユーザアカウント情報を利用して認証を行うことが可能
になる。

このソフトウェアにはユーザの認証用情報を他のローカルユーザへ漏洩してし
まう可能性がある設計上の誤りを抱えている疑いがある。

問題を抱えるバージョンのこのソフトウェアはユーザ認証を行う際、ユーザ名
とパスワードから成る認証用情報を標準入力を介して授受を行う代わりに、コ
マンドラインパラメータを介して引き渡す必要がある。このため、ユーザ認証
用情報は様々な方法を用いて他のローカルユーザが入手可能な状態にあると推
察される(例としては ps コマンドが挙げられる)。

III. SECURITYFOCUS NEWS AND COMMENTARY
--------------------------------------
1. Macro and script viruses dying off
著者: John Leyden, The Register

大量に電子メールを送りつける種類のワームの脅威は収束に向かっていると
見なせる。実際それは 2003 年末よりも前におきてしまうだろう。しかし、こ
の種のワームに取って代わるコード、トロイの木馬やスパイウェアがさらに脅
威を招くであろう。

http://online.securityfocus.com/news/1962

2. US military medical records stolen in burglary
著者: John Leyden, The Register

先月、500,000 件以上の現役、および退役した米国軍関係者の医療記録、社会
保障記録が盗難に遭った。この 12 月 14 日に Arizona 州 Phoenix において、
TriWest Healthcare Alliance の事務所からコンピュータが盗まれた際、その
中には氏名、住所、社会保障番号、さらには現役の米国軍人に関する疾病の診
断結果の請求情報のいくつかが含まれていたのである。

http://online.securityfocus.com/news/1963

3. FBI Arrests Russian Student Accused of Stealing Secret DirecTV
Documents
著者: Ted Bridis, The Associated Press

FBI はこの木曜日に大手衛星放送局 DirecTV から海賊版対策に関わる新技術に
関する数多くの文書を盗み出し、さらには配布したという廉でロシア人大学生
を逮捕した。

http://online.securityfocus.com/news/1960

4. Unhappy new Yaha
著者: John Leyden, The Register

電子メールを介して数多く伝播し続けている Yaha ワームの最新版が出回り、
来週からの悪意あるプログラムにとっても同様の、仕事初めに際して軽率な行
動によるつまづきが予想される所である。

http://online.securityfocus.com/news/1946

IV. SECURITYFOCUS TOP 6 TOOLS
-----------------------------
1. DumpWin v2.0
作者: Network Intelligence India Pvt. Ltd.
関連するURL:
http://www.nii.co.in/tools.html
動作環境: Windows 2000, Windows NT, Windows XP
まとめ:

Dumpwin は Windows のシステム情報を収集するためのツールであり、DumpACL
ツールの機能も同梱しています。さらに、このツールはシステム情報、ユーザ
情報、グループ情報、ドライバ情報、共有情報、実行中のプロセス情報、イン
ストールされているソフトウェア情報、インストールされているハードウェア
情報、サービス情報、コネクションを待ち受けているポート等の情報も収集し
ます。また、ユーザが指定したファイルやフォルダの ACL やレジストリキーを
ダンプする機能も備えています。このツールは Windows コンピュータ内から関
連する情報を全てダンプする必要がある、セキュリティ監査を行う人々に有用
なソフトウェアです。

2. pfstats v0.1
作者: George Hedfors george@sr-71.nu
関連するURL:
http://www.sr-71.nu/pfstats/
動作環境: OpenBSD, POSIX
まとめ:

pfstats は MRTG を拡張する単機能の外部スクリプトです。このソフトウェア
は pfctl(8) 形式のログファイルから採取された情報を基に統計処理を行いま
す。処理結果には入力側コネクションの中でブロックされた量が示されます。

3. Nate Kohari's regular expression pipe v1.32
作者: Nate Kohari
関連するURL:
http://www.lagfactory.net/projects/re/
動作環境: Perl (any system supporting perl)
まとめ:

RE はファイルの管理の補助手段となるべく設計されたユーティリティです。
ディレクトリ名、正規表現、一般的にシェルで利用されるコマンドの指定に従
い、このソフトウェアは指定されたディレクトリ内でファイルを解釈し、正規
表現とのマッチングを行い、パラメータとして指定されたファイル名を利用し
てマッチしたファイルのそれぞれに対して一度づつコマンドを実行します。
このユーティリティは元々、既に付けられている MP3 形式のファイル名の一部
を一度に変更するために設計されました。

4. HotSaNIC v0.5.0-pre3
作者: Bernd Pissny bernisys@prima.de
関連するURL:
http://www.sourceforge.net/projects/hotsanic/
動作環境: Linux, POSIX
まとめ:

HotSaNIC は UNIX 環境向けの Web インタフェースを備えた情報センターです。
このソフトウェアは特定のネットワークやシステムに関する統計情報に関する
図示を行います。このソフトウェアは主に Perl 5 を用いて拡張性を重んじて
プログラムが成されているため、必要な機能に高い柔軟性を持たせており、ユー
ザ自身などによってさらに追加されたモジュールによって拡張可能です。

5. AlarmMon v0.35
作者: Konstantin N. Terskikh
関連するURL:
http://sourceforge.net/projects/alarmmon/
動作環境: OS に依存しない
まとめ:

AlarmMon は TCP/IP ネットワーク向けの警報モニタリングシステムです。この
ソフトウェアは "alarm" クライアント、"alarmsvr" サーバ、そしていくつか
のエージェントから構成されており、集中型の登録型データベースと連動しま
す。このソフトウェアは BIND、sendmail、モデムを含む様々なサービスの状況
を追跡し、電子メールや SMS、ポケットベルにより警告を通知します。

6. Jay's Iptables Firewall v0.8.1.1 (dev)
作者: Jerome Nokin
関連するURL:
http://www.wallaby.be/firewall.php
動作環境: Linux, POSIX
まとめ:

Jay's Iptables Firewall は複数の外部、内部インタフェース、TCP/UDP/ICMP
制御、マスカレード、synflood 制御、スプーフィング制御、ポートフォワード、
アップロード制限 (試験実装)、VPN、ToS、ホスト制限、ZorbIPTraffic、スパ
イウェアが用いる IP アドレスの一覧、ログ機能やそれ以外の機能にも対応し
たスクリプトです。このスクリプトは既存の iptables の接続ルールを全て失
わせることはありません。
--
訳: 坂井順行(SAKAI Yoriyuki)、石田暁久(ISHIDA Akihisa)、
酒井美貴(SAKAI Miki)、新町久幸(SHINMACHI Hisayuki)、
森彩香(MORI Ayaka)
監修: 坂井順行(SAKAI Yoriyuki)
LAC Co., Ltd.
http://www.lac.co.jp/security/
smime.p7s