セキュリティホール memo - 2000.06

セキュリティホール memo - 2000.06

Last modified: Tue Apr 15 12:57:43 2003 +0900 (JST)


2000.06.30

追記

 2000.06.26 の FreeBSD-SA-00:23 Remote denial-of-service in IP stack追記した。 デモプログラムと ipfw を利用した回避方法が投稿されていた。

追記

 2000.06.08 の MS00-038: Patch Available for "Malformed Windows Media Encoder Request" Vulnerability追記した。 2000.06.21 に英語版 patch が再リリースされている。

IE 5 and Access 2000 vulnerability - executing programs
(from win2ksecadvice ML, Tue, 27 Jun 2000 20:47:18 +0900)

 IE 5 と Access 2000 とが組みあわさった環境 (ごくありふれてるよね) において、Access 文書 (.mdb) 内に VBA で攻撃コードを記述し <OBJECT data="db3.mdb" id="d1"></OBJECT> のように読み込ませると、Internet 経由にもかかわらず VBA コードが実行されてしまう、という指摘。 http://www.nat.bg/~joro/access.html にデモがある。 手元には Access 2000 がない (というか、Access にさわれる環境自体がない) ので確認できなかった。

 回避方法は記述されていない……ので、存在しないのだろうか? 関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール

2000.07.05 追記:

 ……この弱点なのだが、1999.08.02 の Alert : MS Office 97 Vulnerability を思い出してしまうのは私だけだろうか。 このときの対応方法 (Office ファイルを開く前に確認sandbox mode 3 の利用) で回避できるような気もするのだが、どうだろう (手元にないから試せないんだってば)。

 sandbox mode = 3 のまずいところは、どのように Access を利用しようとも sandbox mode = 3 になってしまい、一般利用においては制限がキツすぎる、 という点にある。 インターネットゾーンや制限つきゾーンに対してだけ sandbox mode = 3 を適用したい、というのが多くの Access 利用者の望みだろうと思うのだが、そのようにはできないのだろうか。 あるいは、IE/Outlook Express 用の Outlook 2000 SR-1 アップデート: 電子メール セキュリティ のようなもの (特定拡張子のファイルの操作を拒否する) ができるとか。 各ゾーンに対して open の許可/不許可を設定できるようであれば十分使えると思うのだが、どうだろう。 実装はそれほど難しくないと思うのだが。

2000.07.19 追記: Bulletin 出た。 MS00-049: Patch Available for "The Office HTML Script" Vulnerability and a Workaround for "The IE Script" Vulnerability を参照。

IE 5 and Excel 2000, PowerPoint 2000 vulnerability - executing programs
(from win2ksecadvice ML, Tue, 27 Jun 2000 20:47:13 +0900)

 IE 5 と Excel 2000 あるいは PowerPoint 2000 とが組みあわさった環境 (ごくありふれてるよね) において、<object> とアクティブスクリプトを組みあわせることにより、悪意ある web 管理者がユーザファイルの改変などを行うことができる。 http://www.nat.bg/~joro/sheetex.html にデモがある。手元の Windows 2000 Pro + Office 2000 Std. な環境でも再現できた (なにしろ \ に書けるからねえ……)。

 アクティブスクリプティングを無効とする、あるいは ActiveX コントロールとプラグインの実行を無効とすることで回避できる。 関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール

2000.07.19 追記: Bulletin 出た。 MS00-049: Patch Available for "The Office HTML Script" Vulnerability and a Workaround for "The IE Script" Vulnerability を参照。

Force Feeding
(from BUGTRAQ, Sat, 24 Jun 2000 13:00:26 -0700)

 すでに Office さんのところ中村正三郎のホットコーナー (あ、source が同じだ ^^;) で話題になっているので旧聞に属するが、自分の理解のためにも書いておくことにする (Office さん、せっかく教えていただいたのに反応がおそくてすいません)。

 IE 5, Outlook/Outlook Express に対する新たな攻撃方法が登場。 .mhtml (MIME な HTML のようです) を用いて、攻撃プログラム本体と起動用スクリプトが組みこまれた html ファイルをまとめておく。 これを IE が読み込むと、各パートは c:\windows\temp などの一時ファイルフォルダに展開される。 これを <meta http-equiv="refresh"content="5; url=mhtml:file://C:\WINDOWS\TEMP\attack.mhtml"> のように指定して再読み込みさせることにより、起動用スクリプトを local コンテキストで起動させることができる。 というわけで、ウィルス配布やトロイの木馬の埋めこみ、 ユーザファイルの削除/改変など、なんでもござれである。

 Windows 9x で動くデモが http://members.xoom.com/malware/mars.mhtml にあるので、(特にソース自身を) 御覧いただきたい。 よくできているなあと関心してしまう。 ちゃんといじれば Windows NT/2000 でも動くようになるのだろう。 指摘文書には、e-mail base で攻撃するための方法についても述べられている。

 これらは、 アクティブスクリプトや ActiveX を不許可にしていても実行されてしまう。 また .mhtml に対するファイルタイプ設定を変更しても、.mhtml という拡張子がついていると IE 自身がこれを積極的に解釈するようで、効果がない。 世の中的には .html となっているけど text/plain で送ってくる web server とかけっこうあって、 w3m でブラウジングしているとちゃんと plain text で表示してくれるのだが、 Netscape とか MSIE とかはそういうものも HTML として解釈してしまうのだ。 これはこれで重大な bug だと思う。

 この弱点のポイントは次の 2 点だろう:

 今のところ wall/cache/proxy で止めちゃうくらいしか回避方法がない (= 難易度が高い) ので、 すごくヤバいです。 「パーソナルファイアウォール」ものソフトを入れていると、こういうときに止められるようになるんだろうか。 WinWrapper とか、どうなんでしょう。

 関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール

2000.07.27 追記: いまごろであれだけど、 Windows 98 + WinWrapper で試したが、WinWrapper からはなんの警告も出なかったと吉松さんから (ずいぶん前に ^^;) 情報をいただいている (ありがとうございます……紹介がとてつもなく遅くてすいません)。

 あと、これやっぱり MS00-046: Patch Available for "Cache Bypass" Vulnerability で fix されている件だと思うので、そちらも参照ということで。

libedit would check for a .editrc file in the current directory
(from OpenBSD home page, June 28, 2000)

 *BSD に含まれる libedit に弱点。カレントディレクトリに存在する .editrc を読んでしまう。 *BSD ですでに fix されている。PC-UNIX security hole memo 2000.06 を参照。

追記

 2000.06.26 の Possible root exploit in ISC DHCP client. (fwd)追記した。 OpenBSD アナウンスを追記。

SPS Advisory #38: Canna-cannaserver remote buffer overflow
(from BUGTRAQ-JP, Thu, 29 Jun 2000 22:24:40 +0900)

 canna 3.5beta2 以前に弱点。 cannaserver に対して異常な長さの username、groupname が指定された IR_INIT コマンドを送ると buffer overflow してしまい、remote から cannaserver 実行権限 (一般的には root, bin, canna など) で任意のコマンドを実行できてしまう。 FreeBSD は bin ですね。TurboLinux 6.0 Workstation は root です (なんてこったい)。おなじみ UNYUN さんによる指摘。

 指摘文書に patch が添付されているので、これを適用する。 また、cannaserver は /etc/hosts.canna ファイルによるアクセス制限をかけられるので、patched なものをインストールするまでは /etc/hosts.canna ファイルを有効利用するとよい。

 UNYUN さんの patch は / とか : を計数していないように見えるので、 計数するようにした patch をつくってみました。これを適用した cannaserver に UNYUN さんのサンプル攻撃をかけてみましたが、ちゃんと守れているようです。 FreeBSD 3.4/4.0-RELEASE 上でパッケージをつくってみました。 for 3.4-RELEASE, 4.0-RELEASE


2000.06.29

追記

 2000.06.26 の Possible root exploit in ISC DHCP client. (fwd)追記した。 Debian から advisory が出ている。 これによると、remote root exploit とされている。

追記

 2000.06.26 の Problems with "kon2" package追記した。 Debian から fix アナウンスが出ている。


2000.06.28

 あーあ、2 weeks ago な内容だもんなあ。 悲惨な状況になってる。

SecurityFocus.com Newsletter #46 2000-06-07->2000-06-16
(from BUGTRAQ-JP, Tue, 20 Jun 2000 15:33:00 +0900)

 SecurityFocus.com Newsletter 第 46 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

MS00-020: Patch Available for "Desktop Separation" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 16 Jun 2000 04:12:28 +0900)

 Windows 2000 に弱点。 Windows 2000 セキュリティモデルでは、プロセスの分離のためにコンテナオブジェクトの階層が用いられている。 各 session には 1 つ以上の windows station があり、各 windows station には 1 つ以上の desktop がある。

  ┌─ session ──────────── ─────────────┐
  │┌─ windows station  ──┐ ┌─ windows station  ──┐     │
  ││[desktop] [desktop] ... │ │[desktop] [desktop] ... │ ... │
  │└────────────┘ └────────────┘     │
  └───────────────────────────────┘

 プロセスは windows station 内部で動作し、プロセス内のスレッドは 1 つ以上の desktop 内で動作する。あるプロセスは、自分が動作している windows station に属さない windows station 内部の desktop にはアクセスできない……はずだったが、実装バグのために、特別な状況においてこれが可能となってしまっていた。 これにより、同一 session 内で、ある windows station での I/O (たとえば password) などを他の windows station から読むことができてしまう。 これは admin 権限がなくても可能だという。

 この問題を利用できるのは、対話的に logon した local machine 内部のプロセスに対してのみ、である。 また、TSE 環境ではユーザごとに session を持つため、この弱点は影響しない。

 例によって英語版 patch のみ。日本語版はまだ。 MSKK2000-67 も参照されたい。

2000.08.21 追記: なんと、2000.07.05 付けで、MS ダウンロードセンターに fix が上がっていた。AT, PC-98x1。 この日付は本当なのか?

追記

 2000.05.23 の MS00-031: Patch Available for "Undelimited .HTR Request" and "File Fragment Reading via .HTR" Vulnerabilities追記した。 MS00-031 が改訂され、IIS 5.0 用 patch が再リリースされている。

追記

 2000.06.08 の MS00-035: Patch Available for "SQL Server 7.0 Service Pack Password" Vulnerability追記した。 MS00-035 が改訂され、patch も再リリースされている。

MS00-041: Patch Available for "DTS Password" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 15 Jun 2000 06:37:28 +0900)

 SQL Server 7.0 に弱点。Data Transformation Service (DTS) パッケージの作成時にアカウント名/パスワードを設定すると、 パッケージのプロパティダイアログでは **** のように表示されるが、 とあるプログラミング手段を用いることにより、ここから plaintext password を入手することができるという。……こういうの大昔に流行ったような。 これは次の条件がそろった場合にのみ発生するようだ:

 逆にいうと、これら条件を成立させないことによって回避できる。 デフォルトでは DTS が保存されている MSDB データベースは一般ユーザはアクセスできないし、またアクセスできるよう設定変更していたとしてもプロパティダイアログを見ることはできない。

 英語版の patch はあるが、日本語版はまだ。

追記

 2000.06.13 の MS00-040: Patch Available for "Remote Registry Access Authentication" Vulnerability追記した。 サンプル攻撃コードが投稿されていた。


2000.06.27


2000.06.26

Problems with "kon2" package
(from BUGTRAQ, Mon, 19 Jun 2000 23:51:53 +0100)

 kon2 0.3.9 にいくつか弱点があるという指摘。

  1. kon で kon VGA -StartupMessage `perl -e 'print "A"x10000'` すると segfault して EIP が取れるという指摘。 libsafe な環境で試してみたら、X が落ちた。 libsafe が止める前に壊してくれちゃったみたい。

  2. kon 付属の fld で

    CHARSET_REGISTRY"AAAAAAAAAAAAAAAAAAA"
    CHARSET_ENCODING"AAAAAAAAAAAAAAAAAAA"
    CHARSET_ENCODING"AAAAAAAAAAAAAAAAAAA"

    な read.me.and.die ファイルをつくって fld -t bdf read.me.and.die とすると……という指摘。

2000.06.29 追記: Debian から fix アナウンスが出ている。 http://ftp.debian.org/debian/dists/proposed-updates/kon2-0.3.9b-0slink3.diff.gz でされている fix は他の OS 利用者も参考になるはずだ。

AN HTTPD SEVER DoS Vulnerability
(from BUGTRAQ-JP, Fri, 23 Jun 2000 03:28:20 +0900)

 AN HTTPD SEVER 1.29 以前 に弱点。AH HTTPD に対して "Accept-Language:\r\r" (\rは改行コード) を含む (\n がない) リクエストを送ると、AN HTTPD が異常終了してしまう。 1.29b において fix されているので、これに入れかえる。

FreeBSD-SA-00:23 Remote denial-of-service in IP stack
(from FreeBSD-security ML, Fri, 23 Jun 2000 06:50:52 +0900)

 FreeBSD 3.4-RELEASE 以前、4.0-RELEASE, 2000-06-01 までの 5.0-CURRENT に弱点。IP オプション処理に不具合があり、意図的に壊された IP パケットを送られると panic down してしまう。 2000.05.08 の NetBSD Security Advisory 2000-002: IP options processing Denial of Service と同様の問題を含む、という。

2000.06.30 追記: デモプログラムと ipfw を利用した回避方法が投稿されていた。

2000.07.12 追記: Advisory 改訂版がリリースされている。 FreeBSD-SA-00:23 Remote denial-of-service in IP stack [REVISED]。 ipfw を用いた対応方法が追記された。

NetBSD Security Advisory 2000-007: bad key generation in libdes if no /dev/urandom
(from BUGTRAQ, Thu, 22 Jun 2000 14:04:48 +0900)

 19990624 〜 20000622 までの US 版 NetBSD-current に弱点。 /dev/urandom が存在しない場合、DES ライブラリの des_init_random_number_generator は容易に解読できるような key を生成してしまうという。 これは次のプログラムに影響する:

        /usr/bin/telnet
        /usr/libexec/telnetd
        /usr/sbin/kadmin
        /usr/sbin/kdb_edit
        /usr/sbin/kdb_init
        /usr/sbin/kerberos
        /usr/sbin/ksrvutil

 リリース版、および非 US 版には問題ない。 また 20000622 より後の -current ものも問題ない。

追記

 2000.06.13 の local root on linux 2.2.15追記した。 upgrade package リスト追加。

Possible root exploit in ISC DHCP client. (fwd)
(from FreeBSD-security ML, Sun, 25 Jun 2000 04:41:34 +0900)

 ISC DHCP 2.0pl1 より前、 および 3.0b1pl14 より前の版に弱点。 DHCP client に弱点があり、local user が (?) root 権限を取れる……らしい (詳細不明)。 2.0pl1 および 3.0b1pl14 以降で fix されている、ということのようだ。 FreeBSD での quick fix 方法が示されている。

2000.06.29 追記: Debian から advisory が出ている。 これによると、remote root exploit とされている。

2000.06.30 追記: OpenBSD アナウンスはこちら: http://www.openbsd.org/errata.html#dhclient

2000.07.13 追記: NetBSD Security Advisory 2000-008: dhclient vulnerability (revised)

追記

 2000.06.23 の [ftpd 680] wu-ftpd 2.6.0 remote root exploit追記した。 オフィシャル patch が出た。


2000.06.23

追記

 2000.05.22 の MS00-029: Patch Available for "IP Fragment Reassembly" Vulnerability追記した。 Windows 2000 用日本語 patch 登場。

[ftpd 680] wu-ftpd 2.6.0 remote root exploit
(from ftpd ML, Fri, 23 Jun 2000 18:10:49 +0900)

 wu-ftpd 2.6.0 以前に remote から root 権限を奪える弱点があり、 Linux/FreeBSD 対応の攻撃コードが BUGTRAQ に投稿されている。 Debian GNU/Linux 用の fix package が出たが、これの patch から security fix 部分を抜きだしたものがこれだ。 すこし前に BUGTRAQ で指摘された別の問題の fix も含まれている。

 こがさん転載許可ありがとうございます。

2000.06.26 追記: オフィシャル patch が出た。 ftp://ftp.wu-ftpd.org/pub/wu-ftpd/quickfixes/apply_to_2.6.0/lreply-buffer-overflow.patch から入手できる。 でもオフィシャル patch では lreply と setproctitle のところしか fix されてない。 こがさん版を適用したほうがなにかと安心、だと思う。

 fix announce がでているもの: Debian, Caldera, CONECTIVA, Red Hat。 まだ出ていない模様: Vine, Kondara, Turbo。 まあ patch あてればいいんだけどさ。 FreeBSD wu-ftpd port は ftp/wu-ftpd/patches/patch-aa 1.11 (2000.06.24) にこがさんの patch が入っている。 NetBSD pkgsrc には反映されてないみたい。

[fw-wizard:674] FYI:Yet Another Solaris Security Package
(from FWD fw-wizard ML, Fri, 23 Jun 2000 16:45:25 +0900)

 Solaris 2.6/7 対応のセキュア設定、YASSP: Yet Another Solaris Security Package の紹介。 Solaris 8 もテスト中とされている。

 また、「なにはなくともこれをやらないとまともに使えない」とすら言える Solaris 2.x - tuning your TCP/IP stack and more に Solaris 8 な註釈がついています。 じつはつい最近 Solaris 8 for intel をインストールしたのですが、

If you are installing Solaris 8 for Intel, and you would like to use the stand-alone installation, boot from the 2nd CD-ROM. My installation with the web-installer failed frequently on different machines, and the stand-alone installation (my favourite, anyway) was the only way to get going.

には同意します。で、そうした場合でも default route を明示的に設定できないので、 インストール中にネットワークを参照することができない〜な状態になっちゃうんですよねえ。なんでこんななの? デフォルトルートが流れてくる環境ではたぶん ok だと思うのですが、たまたまそうじゃない (らしい) ところでやったので……。

 あと、Solaris というと Running BIND chroot on Solaris というのがあるそうです。

追記

 2000.05.11 の [JavaHouse-Brewers:33152] 警告: MacOS 版IE と MRJ のURLConnection にセキュリティホール追記した。 いまごろになってようやく Apple Tech Info Library 日本語版にこれの情報が登場。

脅威モデルと抑圧体系
(from TidBITS-J, Fri, 02 Jun 2000 01:22:32 +0900)

 なんやかやで紹介がおそくなってしまった……。


2000.06.22

 ねむい……。

SecurityFocus.com Newsletter #45 2000-06-01->2000-06-08
(from BUGTRAQ-JP, Wed, 14 Jun 2000 11:20:01 +0900)

 SecurityFocus.com Newsletter 第 45 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 なんか紹介がめちゃくちゃ遅れてしまってますね。すいません。


2000.06.21

SPS Advisory #37: WinProxy 2.0.0/2.0.1 DoS and Exploitable Buffer Overflow
(from BUGTRAQ-JP, Sat, 17 Jun 2000 01:13:53 +0900)

 WinProxy 2.0, 2.0.1 に弱点。 http proxy port に対して異常なリクエストを送ることにより WinProxy が停止し DoS 攻撃が成立する他、POP3 proxy でのいくつかのコマンド処理において buffer overflow する弱点があり、remote から任意のコマンドを実行することができてしまう。デモプログラムが添付されている。

 WinProxy 2.0.2 において fix されているので、これに入れかえる。


2000.06.20

 このところ時間がとれなくてろくに更新できてない。すまん。 じつは明日も時間がないのだ。

追記

 2000.06.02 の Latest wave of worms using hidden file-extensions追記した。 hidden file-extensions (レジストリ値 NeverShowExt) を利用するウィルスが登場。


2000.06.19

 HP Praesidium WebEnforcer製品説明会が HP プレシディアム・サポートセンター  セミナールームにて行われるそうです。 WebEnforcer では HP 独自の fix も提供され、英語版と日本語版の時差も 48h 以内だということです。 ただし、自社製カスタムアプリに潜む buffer overflow まで check してくれるわけではないそうです (と N+I でおっしゃっていらっしゃいました)。


2000.06.16

 コンビニに行くと Norton AntiVirus が安く入手できるらしいですね。 そんなのどうでもいいから NIS 2000 を……。

 J054215, W98: Windows9x の Net Password コマンドでパスワード変更が行われない、いかにもひっかかりそうな問題だなあ。仕様だそうだし。

 AOL の IM 支配に調査のメスが入るべき時、ですね。

追記

 2000.05.22 の Lotus ESMTP Service (Lotus Domino Release 5.0.1 (Intl))追記した。 5.0.4 出てます。


2000.06.15

 「セキュリティポリシーでネットビジネスに勝つ」という本が出るそうです。

 J052309, [NT] 固定ピッチフォントのポイントサイズによりピクセル幅が既存と異る の fix patch が再発行されています。

 ネット有害情報対策シンポ 電子ネット協が開催、6/21 13:30〜17:00 霞ヶ関ビル「プラザホール」だそうです。 詳細は「ENCコンファレンス 2000のご案内」 を。オーストラリアって、そうとうアレな法律ができた国でしたよねえ、たしか。

 「情報通信ネットワーク安全・信頼性基準の一部改正案の公表」、なんで e-mail ではだめなんだ? 郵政省はわりとまともだと思ってたのに……。

追記

 2000.04.24 の MS00-026: Patch Available for "Mixed Object Access" Vulnerability追記した。 日本語 patch が出ている。

追記

 2000.04.21 の MS00-021: Patch Available for "Malformed TCP/IP Print Request" Vulnerability追記した。 日本語 patch が出ている。

Outlook 2000 SR-1 アップデート: 電子メール セキュリティ
(from 新着サポート技術情報, 2000.06.15)

 先日英語版が登場した Outlook 98/2000 のセキュリティ向上 patch の日本語版が登場した。 実行ファイルを添付できなくなる/添付されている実行ファイルにアクセスできなくなる他、外部プログラムによるアドレス帳へのアクセスなどの場合に確認ダイアログを表示してくれる。 またデフォルトのセキュリティゾーンが「制限付きサイト」ゾーンに設定される。 Melissa や ILOVEYOU のような攻撃に対して一定の効果が期待できる。

 [OL2000] Outlook 2000 電子メールセキュリティアップデートの開発者向け情報には次の注目すべき情報がある:

Outlook と HTML メール

このセキュリティ アップデートにより、Outlook 98 と Outlook 2000 SR-1 はいずれも既定で「制限付きサイト」ゾーンに入れられます。 HTML 形式のメッセージを開き、そのメッセージにスクリプトが含まれていた場合、 スクリプトはインターネット セキュリティの設定に応じて動作します。

注意 : この機能は Outlook 98 と Outlook 2000 SR-1 の相違点となります。 Outlook 98 では、セキュリティ設定が適度に低く設定されていればこのアクティブコンテンツを引き続き実行させることができますが、 Outlook 2000 SR-1 ではインターネット セキュリティの設定に関わらず HTML 形式の電子メールに含まれるスクリプトを完全に無効にします。

 というわけで、この patch を適用しても残る問題は:

追記

 2000.06.08 の Patch Available for "SQL Server 7.0 Service Pack Password" Vulnerability追記した。 J054179, [SQL]FIX: SP インストールが標準セキュリティパスワードをファイルに保存する によると、英語版 patch を日本語版 SQL 7 にも適用可能のようだ。


2000.06.14

 今日は mush の bug fix で一日つぶれてしまった。くぅ。

追記

 2000.06.13 の local root on linux 2.2.15追記した。 SENDMAIL SECURITY TEAM ADVISORY: Sendmail Workaround for Linux Capabilities Bug日本語版が登場。


2000.06.13

 Norton Internet Security 2000 のプロダクトラインが整理されたというか変わったみたいですね。 N+I シマンテックブースでは NIS 2000 日本語版は予定なしっとか言われてしまったんだけど、Norton Personal Firewall 2000 だけでもほしいような。

 NetLOCK が Kondara MNU/Linux Server にくっついてくるみたいですが、そーゆーのよりは、VeriSign ID が安く取れるクーポン券とか、そーゆーものがついてきたほうがうれしいような。

 Dialup firewalling with FreeBSD というドキュメントが出てます。 あと、先日の FreeBSD Speech での Warner さんのプレゼン資料が http://people.freebsd.org/~imp/japan-00.ppt (PS 版: http://people.freebsd.org/~imp/japan-00.ps.gz) から入手できます。

 住友商事セキュリティセミナー、サイエンス・ライター白鳥 敬氏って、どんな人?

local root on linux 2.2.15
(from BUGTRAQ, Thu, 08 Jun 2000 07:38:14 +0900)

 Linux kernel 2.2.16pre5 以前に弱点。 setcap(2) に問題があるため、local user は sendmail や cron を通して、より大きな権限を入手することができてしまう。 sendmail の場合は root shell を手に入れることができる。 cron の場合は gid=0 を手に入れることができるという。

 sample exploit: [1], [2]。 [1] については、手元の TurboLinux 6.0 Workstation / sendmail 8.9.3 / kernel 2.2.13 で確認できた。

 この弱点は kernel 2.2.16pre5 において fix されている。 2.2.16 はすでにリリースされているが、2.2.16 には NFS lockd DoS バグ が残っているため、2.2.17pre1 への patch も公開されている。

 また、上記 sample exploit のように、sendmail を経由して攻撃を実施することができるため、これに対応した sendmail 8.10.2 が登場している。

 Caldera からさっそく fix package が出ている: Caldera Systems, Inc. Security Advisor: Security Update: serious bug in setuid()。 各ディストリビューションでも用意している最中かすでに出ているはずなので、 各自でしらべてみよう。 そういえば、さっき Turbo な人が「今となりでつくってます」と言っていた。

 あと、これを使った攻撃を察知するカーネルモジュールというのが登場している。

2000.06.14 追記: SENDMAIL SECURITY TEAM ADVISORY: Sendmail Workaround for Linux Capabilities Bug日本語版が登場。 ありがたや。

2000.06.26 追記: upgrade package リスト: RedHat, Mandrake, Turbo。 Vine や Kondara はまだみたい。

Windows 2000 server の DNS
(from JWNTUG OpenForum, 2000/06/05(月) 15:28)

 Windows 2000 の DNS サーバのデフォルト状態では、 権威のない DNS サーバから偽りの情報を教えられると、これを鵜飲みにしてそのまま使ってしまうため、かんたんに DNS spoofing できてしまう、という指摘。 「Pollution に対してセキュリティでキャッシュを保護する」オプションがデフォルト OFF のためらしい。 Windows 2000 の DNS サーバを使う場合は、忘れずに ON にしておこう。

 うーん、それにしても 「サーバーの詳細なパラメータを調整する」 の記述はなんだかよくわからん。「セキュリティで保護された応答オプション (secure response option)」っていったい何のことだろう。 Windows 2000 DNS を動かしてみるしかないなあ。

FreeBSD ネタ 3 つ

 FreeBSD ネタ 3 つ。

 00:23 と 00:24 が欠番になってるなあ。

追記

 2000.06.11 の more majordomo brokeness追記した。 patch には間違いがあるそうだ。

追記

 2000.05.17 の ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator追記した。 Caldera fix 登場。

CERT Advisory CA-2000-11: MIT Kerberos Vulnerable to Denial-of-Service Attacks
(from FWD fw-announce, Sat, 10 Jun 2000 11:48:58 +0900)

 2000.05.19 の BUFFER OVERRUN VULNERABILITIES IN KERBEROS にひきつづき、MIT Kerberos 4/5, KTH-krb4 などに buffer overflow する弱点。 DoS attack を受けるという。 MIT からの情報 Security Advisory: MULTIPLE DENIAL OF SERVICE VULNERABILITIES IN KRB4 KDC によると、弱点があるのは:

で、ないのは:

 KTH-krb4 の旧バージョンにも弱点があるとされているので、BUFFER OVERRUN VULNERABILITIES IN KERBEROS のときには安全とされていた OS でも fix patch が登場する可能性がある。 続報に注意されたい。

 CERT Advisory 原文: http://www.cert.org/advisories/CA-2000-11.html

 そうそう、日本で MIT Kerberos 5 がほしい場合は ftp://ftp.iis.u-tokyo.ac.jp/pub/security/kerberos5/ にあるそうです。どこからどうやってここに来ているのか、までは知りません。 Kerberos Export Control の記述とか、気になりますけどね。

追記

 2000.06.06 の MS00-039: Patch Available for "SSL Certificate Validation" Vulnerabilities追記した。 CERT Advisory でも取りあげられている。

BRU Vulnerability
(from BUGTRAQ, Wed, 07 Jun 2000 06:22:24 +0900)

 BRU (バージョン不明) が suid root でインストールされている場合、環境変数 BRUEXECLOG を指定することによりシステムファイルを上書きできる、という指摘。 全ての状況で suid root インストールされるわけではないようだが、BRU ユーザは一度パーミッションを確認されたい。

MS00-040: Patch Available for "Remote Registry Access Authentication" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 09 Jun 2000 08:56:31 +0900)

 Windows NT 4.0 に弱点。 リモートからレジストリにアクセスするにはリモートレジストリサーバによる認証を受けるが、リモートレジストリサーバに対して意図的に壊れた要求を出すと、リモートレジストリサーバが誤動作してしまう。 リモートレジストリサーバには winlogon.exe が含まれているのだが、これもやっぱり誤動作してしまうため、結果としてシステム全体が誤動作してしまう。 回復するにはリブートするしかない。

 例によって英語版 patch のみ。リモートからのレジストリアクセス自体の制御については Q153183: How to Restrict Access to NT Registry from a Remote Computer で述べられている。

2000.06.28 追記: サンプル攻撃コードが投稿されていた。 nessus はこの弱点を発見できるようになるようだ。 ああ手元の nessus も更新しなきゃ。

山崎はるかのメモ: I LOVE YOU ウイルスのメモ - たぶん原型だと思うけど -
(from DM, Tue, 13 Jun 2000 10:04:55 +0900)

 山崎はるか氏による I LOVE YOU ウィルスの解説。 レジストリとかの \ が消えちゃってるみたいな気が……。 豊田さん情報ありがとうございます。


2000.06.12

 未読メール 2600 通、21MB……。 なんか www.st 自体も落ちてたっぽいですね。ごめんなさい。_o_

 Microsoft Internet Security and Acceleration Server 2000 ですか……。こういうのは、やっぱり英語版 OS で動かしたいですねえ。

 携帯電話をターゲットにした初のウイルスが登場、そういう時代なんですねえ。

 「高速デジタルアクセス技術に関する研究会」報告書(案)への意見募集、今日までです。xDSL サービスがまだ実施されていない地域にお住まいで、かつ xDSL がほしい人はぜひ!

 ほぉ、都道府県警察本部のハイテク犯罪相談窓口等一覧ですか……。

 オレンジソフト 渡部 直明 さんのご冥福をお祈りいたします。

 http://infoprox.virtualave.net/、盗人じゃなかったら、なんなんだろう。

 Tea Room for Conference で知った (上のもそうだけど) ジャンクメール受信記録はなかなかおもしろいですね。

SecurityFocus.com Newsletter 2000-05-26->2000-06-02
(from BUGTRAQ-JP, Tue, 6 Jun 2000 19:32:40 +0900)

 SecurityFocus.com Newsletter 第 44 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してなかったのは以下……のはず。

 訂正フォローがされていますので、こちらもご参照を。

 LibnetNT もとりあげられてますね。

追記

 2000.05.08 の AppleShare IP 6.3.2 squashes security bug追記した。 日本語 patch 登場。


2000.06.11

追記

 2000.03.27 の Multiple Linux Vendor gpm Setgid Vulnerability追記した。 TurboLinux fix 登場。

追記

 2000.05.01 の xlockmore 4.16.1 buffer overflow fix追記した。 TurboLinux fix 登場。

追記

 2000.05.30 の Nasty XFree Xserver DoS追記した。 XFree86 4.0 用の patch が投稿されていた。

more majordomo brokeness
(from BUGTRAQ, Tue, 23 May 2000 18:48:25 -0300)

 majordomo 1.94.5 に対して、-C オプションで指定されるコンフィギュレーションファイルについて、特定ディレクトリ下にある場合のみ許可する patch。 おおもとの majordomo はそうなっていないので -C オプションの存在が弱点になっている。 これは FAQ に書いてある話ではあるが、だからと言ってデフォルトセキュリティが不十分でいいわけないのである。ドキュメントに書いたから、なんていう Windows NT のような言い訳はやめてほしい。

 これに対し、RedHat からは fix package の案内が出ている。 また Debian では majordomo を Debian アーカイブから削除する、と案内されている。 the majordomo license does not allow us to fix these problems and distribute a fixed version. As a result we have decided to remove majordomo from our archives だそうなのだが、とすると RedHat のパッケージっていったい……。

2000.06.13 追記: 上記の patch には間違いがあり、 $cf = "$ENV{'MAJORDOMO_CFDIR'}/$ARGV[1]" unless $ARGV[1] =~ /\//; にしないとまずいという情報をこがさんからいただきました (ありがとうございます)。 こがさん自身は -C オプション自体を無効にすることを推奨されていらっしゃいます。

Remote DoS attack in Real Networks Real Server (Strike #2) Vulnerability
(from win2ksecadvice ML, Tue, 1 Aug 2000 07:58:06 -0300)

 Real Server G2 1.0, Real Server 7.0/7.0.1 (UNIX 版/Windows 版両方) に弱点。Real Server の http port (デフォルト: 8080) に特殊な情報を送ると Real Server はサービスを停止してしまうという。 指摘文書に具体例が記述されている。

 これに対し、対応策がフォローされている。 また、Real Server 7.02 版で fix されているとフォローされている。

[rootshell.com] Xterm DoS Attack
(from BUGTRAQ, Thu, 1 Jun 2000 11:21:16 -0700)

 xterm に window の resize を行う ESC シーケンスを送りつけることにより DoS を誘うという話。 XFree86 3.3.3.1 xterm や rxvt 2.6.1 が crash するという……が、 手元の XFree86 3.3.5 xterm では反応はしたが crash はしなかった。 その他、Eterm 0.8.10, 0.9 も crash し、 gnome-terminal や aterm 0.3.6 にはこの弱点はないとフォローされている。 手元の kterm 6.2.0 でも何も発生しなかった。


2000.06.08

MS00-038: Patch Available for "Malformed Windows Media Encoder Request" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 30 May 2000 17:45:21 -0700)

 Windows Media Encoder 4.0, 4.1 に弱点。 意図的に壊されたリクエストを受けると、Media Encoder が crash してしまう。 Windows Media を利用した生中継をしている場合に問題となる。 Windows Media Server には問題は発生しないので、 すでに encoding 済みのものの中継の場合はだいじょうぶ。

 英語版 patch はあるが、日本語版はまだ。 サンプル攻撃コード も公開されている。

2000.06.30 追記: 2000.06.21 に英語版 patch が再リリースされている。 もちろん日本語版はまだだ。

2000.07.05 追記: 日本語 patch 登場。 http://www.asia.microsoft.com/downloads/release.asp?ReleaseID=22479 から入手できる。バージョン 29035a というのは、たぶん新しいやつなんだろう。

MS00-035: Patch Available for "SQL Server 7.0 Service Pack Password" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 30 May 2000 13:09:56 -0700)

 MS SQL Server 7.0 SP1,2 に弱点。 Mixed Mode で利用している場合に、 管理者パスワードが \%TEMP%\sqlsp.log に平文で保存されてしまうため、 server に対話的に logon できるユーザは管理者パスワードを知ることができてしまう。Windows NT Authentication Mode を利用している場合にはこの問題はない。

 英語版 patch はあるが、日本語版はまだ。

2000.06.15 追記: J054179, [SQL]FIX: SP インストールが標準セキュリティパスワードをファイルに保存する によると、英語版 patch を日本語版 SQL 7 にも適用可能のようだ。 ただし、KB 中では「Windows NT セキュリティ認証を使用」することが強く推奨されている。

2000.06.28 追記: MS00-035 が改訂されている。\%TEMP%\sqlsp.log の他、%WINNT%\setup.is にも記録されていることが判明し、patch が再リリースされている。 詳細は MSKK2000-68 を参照。

ISSalert: ISS Security Alert Summary: v5 n5
(from FWD fw-announce, Fri, 2 Jun 2000 09:38:42 +0900)

 ISS Security Alert Summary June 1, 2000 Volume 5 Number 5。

MS00-032: Patch and Tool Available for "Protected Store Key Length" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 2 Jun 2000 10:42:36 -0700)

 Windows 2000 Pro/Server/Advanced Server に弱点。 秘密鍵などのセキュリティ情報を保存する Protected Store というものがある。 仕様としては、Protected Store は OS で利用できる最強の暗号化方式で暗号化されるのだが、Windows 2000 では、128bit 暗号が利用できるはずの場合でも常に 40bit 暗号 (40bit RC4?) が使用されてしまう。 日本語 Windows 2000 の場合は高度暗号化パックを適用すると 128bit 暗号が利用できるようになるのだが、その場合でも Protected Store は 40bit のままだ、ということだ。 このため、Administrator 権限を所有する攻撃者は、40bit 鍵を brute-force attack することで、ユーザの秘密鍵などを手に入れることができる。

 英語版 patch が用意されている。これを適用すると、128bit 暗号が利用できる場合はそれを Protected Store に適用するようになる。また、すでに 40bit 暗号を適用してしまっている Protected Store を再暗号化するための Keymigrt ツールもインストールされる。 もちろん、日本語版 patch はまだだ。

N+I 報告
(from NETWORLD+INTEROP 2000 TOKYO, 2000.06.07/08)

 いくつかメモ。


2000.06.07

 というわけで、新幹線の中だ。うーむ、新幹線は揺れるなあ。 気持ちわるぅ。

 SANS Windows 2000 security improvement project というのがはじまったそうです。

MS00-036: Reset Browser Frame & Host Announcment Flooding Vulnerabilities
(from Microsoft Product Security Notification Service, Fri, 26 May 2000 07:17:45 -0700)

 一部 [COVERT-2000-05] Microsoft Windows Computer で述べているが、改めて紹介しておく。 CIFS のコンピュータブラウザプロトコルまわりで 2 点の弱点が発見された。

 日本語版 Advisory: MSKK2000-59。 英語版 patch はあるが日本語版 patch はまだだ。

MS00-037: Patch Available for "HTML Help File Code Execution" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 2 Jun 2000 17:29:27 -0700)

 MSIE 4.0x/5.0x に弱点。 悪意ある web サイトは、コンパイル済み HTML ヘルプファイル (.chm) を参照して起動させることにより、.chm 中に含めたショートカットを利用して、データの改ざんや削除、データ通信など悪意あるコードを実行させることが可能となる。 この攻撃を行うには .chm ファイル自体は UNC シェアか local computer に設置する必要がある。最も考えられるシナリオは HTML メール + 添付ファイルによる攻撃、だろう (また HTML メールかよ)。 これを利用するウィルスの登場も時間の問題であろう。

 英語版 patch が出たが、日本語版はまだだ。 .chm の起動にはアクティブスクリプトが有効になっている必要があるため、アクティブスクリプトを無効にすることにより、この問題を回避できる。


2000.06.06

 なんかぜんぜん更新できてませんが、明日から N+I に行かねばならないのでさらに遅れます。ごめん。 (新幹線のなかで作業するかなあ……)

MS00-039: Patch Available for "SSL Certificate Validation" Vulnerabilities
(from Microsoft Product Security Notification Service, Tue, 06 Jun 2000 10:52:41 +0900)

 IE 4.0x/5.0x にも ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator のような弱点があった、という話。具体的には:

 発生しうる問題は ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator の場合と同様。 MS Advisory では The circumstances under which these vulnerabilities could be exploited are fairly restricted なんてほざいているが、DNS 乗っ取りは決してめずらしい話ではないし、 Windows 2000 DNS サーバにそのような攻撃を受けやすい脆弱性があるのではと疑われているのだ (未確認: これに関する freebsd-net-jp ML の記事)。 SSL は現在の e-コマースの安全性の根幹をなす部分のひとつであり、これには脆弱性があってはならないのだ。

 発見者による詳細情報: ALERT: Bypassing Warnings For Invalid SSL Certificates In Internet Explorer。 日本語版 patch はもちろんまだない。

2000.06.13 追記: CERT Advisory でも取りあげられている。 CERT Advisory CA-2000-10: Inconsistent Warning Messages in Internet Explorer (原文) 参照。

2000.07.27 追記: patch あり。IE 5.01 SP1/5.5 で fix。


2000.06.05

SecurityFocus.com Newsletter #43 2000-05-18->2000-05-25
(from BUGTRAQ-JP, Fri, 2 Jun 2000 09:59:38 +0900)

 SecurityFocus.com Newsletter 第 43 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してなかったのは以下……だと思うけど、数がおおくて自信ないな。


2000.06.02

追記

 2000.05.22 の Lotus ESMTP Service (Lotus Domino Release 5.0.1 (Intl))追記した。 5.0.4 で fix されているそうだ。

Latest wave of worms using hidden file-extensions
(from NTBUGTRAQ, Fri, 26 May 2000 19:01:03 +0900)

 MS Windows においては、ファイル拡張子を表示するよう explorer を設定していたとしても、.pif や .url, .lnk などは表示されない。 このため、readme.txt.pif などと拡張子を設定しておくと、ユーザにはいかにもふつうのテキスト文書 (readme.txt) のように見えてしまう。 アイコンは一般のテキスト文書とは異なるし、詳細表示でならファイル種類が 「MS-DOS プログラムへのショートカット」になっていることもわかる。 しかし、はたしてどのくらいの人が気付くことができるかは大いに疑問である (.pif, .url, .lnk についてはアイコンを変更できるそうだ……朽木さん情報ありがとうございます)。 .pif ファイルは .bat のように働き、ファイルの削除やら format やらができてしまうので安易に実行するのは問題なのだが、上記のようにテキストファイルなどの「安全な」ファイルに見せかけることにより実行させやすくすることが可能となっている。

 これを回避するには、レジストリ値 NeverShowExt を削除する。 .pif の場合は HKEY_CLASSES_ROOT\piffile にある。 regedit から検索することにより NeverShowExt を持つもの全てを発見できる。 全部削除しちゃおう……と言いたいところだが、.lnk (ショートカット) と .url (インターネットショートカット) について NeverShowExt を消すと、 スタートメニューとかブックマーク (お気に入り) とかの見栄えがへろへろなので、 そのあたりも考えて実行されたい。

2000.06.20 追記: 新種ウイルス「Stages」,米大手企業でも感染——テキスト装った添付ファイルに注意によると、 NeverShowExt を利用するウィルスが登場したそうだ。 ただし、利用されたのは .pif や .lnk ではなく .shs (Windows scrap) だ。 Outlook 2000 SR-1 アップデート: 電子メール セキュリティはこの攻撃にも有効だという。 CERT Incident Note IN-2000-07: Exploitation of Hidden File Extensions も参照。

ネットロック 米国家安全保障局開発のセキュリティソフト発売
(from MAINICHI INTERACTIVE, 2000-06-01)

 このソフトには NSA 用の backdoor が存在すると思いますか? [はい] [いいえ] [わからない] [しってるけどこたえられない]


2000.06.01

 OpenSSH 2.1.0p3 出てます。

 簡単にインストールできる SSHD for WinNT。 cygwin でつくってあるみたい。 このサイト、その他にもおもしろそうな tool がならんでるなあ。

 dnscache.comtinydns.org ができたそうです。日本語 page への link もあります。 前野さん情報ありがとうございます。

追記

 2000.05.30 の RFC2827: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing追記した。 IPA 宮川さんによる日本語版情報を追記。

今日のサポート技術情報
(from 新着サポート技術情報, 2000.06.01)

 pick up。


私について