セキュリティホール memo - 2000.08

Last modified: Tue Apr 15 12:57:10 2003 +0900 (JST)


2000.08.31

追記

 2000.08.07 の Brown Orifice追記した。 高木さんから、さらにいくつか情報をいただいている。 この追記のおかげで、なんだか Netscape Communicator のバグを kick しちゃってるみたい……。 MSIE 5 とか Netscape 6 ではちゃんと見えるんだからね。

Samba 2.0.7 日本語版におけるセキュリティホールについて
(from BUGTRAQ-JP, Thu, 31 Aug 2000 09:47:17 +0900)

 samba 2.0.7-ja-1.2 以前の samba 2.0.7 日本語版に弱点。 web から samba を管理するツール SWAT において、誤ってデバッグフラグを有効にしたままリリースしてしまっていた。 このため、/tmp/cgi.log ファイルにデバッグ情報が書きこまれてしまっていた。 このファイルに書きこまれる情報には SWAT 接続時のパスワード情報も含まれているため、 /tmp/cgi.log が一般ユーザに読めるモードで作成されてしまっていた場合にとてもマズいことになる。 個人的には、この 他に symbolic link attack をされる心配もあるような気がするのだけど、どうなんだろう。

 samba オリジナル英語版や samba-2.0.5-ja シリーズにはこの問題はない。 samba 2.0.7 日本語版のみの問題である。

 対応としては、この問題は samba 2.0.7-ja-1.2a で fix されているのでこれに入れかえるか、 samba 2.0.7-ja-1.2 以前において cgi.c の #define CGI_LOGGING 1 を #define CGI_LOGGING 0 に書きなおして samba を再構築・再インストールすればよい。

 samba 2.0.7 日本語版を同梱してリリースされた free OS はないみたい。 FreeBSD ports の japanese/samba は すでに fix されている。 この他には、VineSeed に samba 2.0.7 日本語版があるようだ。 近々に fix されるだろう。


2000.08.30

追記

 2000.08.29 の Network Associates WebShield SMTP Trailing Period DoS Vulnerability追記した。 「末尾に . がつく」形式の envelope from/to はそもそも指定できないという事実の追記。


2000.08.29

FreeBSD Security Advisories

 FreeBSD Security Advisory がいくつか出てます。

SecurityFocus.com Newsletter #56 2000-08-17->2000-08-24
(from BUGTRAQ-JP, Tue, 29 Aug 2000 15:03:18 +0900)

 SecurityFocus.com Newsletter 第 56 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

SecurityFocus.com Newsletter #55 2000-08-09->2000-08-15
(from BUGTRAQ-JP, Tue, 22 Aug 2000 16:22:23 +0900)

 SecurityFocus.com Newsletter 第 55 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

追記

 2000.08.28 の CERT Advisory CA-2000-18 PGP May Encrypt Data With Unauthorized ADKs追記した。 日本語版 PGP に関する対応が公開されていた。


2000.08.28

CERT Summary (CS-2000-03) 日本語訳
(from JANUG ML, Mon, 28 Aug 2000 21:38:31 +0900)

 TODA 氏による CERT Summary (CS-2000-03) の日本語版。 rpc.statd, ftpd, ActiveX, Windows ファイル拡張子, Outlook/Outlook Express (MSIE) キャッシュ迂回問題, チャット用プログラムとネットワークセキュリティ の話。

追記

 2000.08.11 の MN128SOHOシリーズにおける、マニュアル記載外の機能について追記した。 B.U.G. 松原氏より、本問題に対応予定である旨が mn128-soho ML にて公表された。 まだスケジュールなどは未定のようだが、正しい方向へ進んでいる。 すばらしい。

追記

 2000.08.23 の WinBiff V2.31PL2からV2.31PL3への変更点(2000/8/20)追記した。 詳細情報が BUGTRAQ-JP に流れていた。 こちらも受信したとたんに攻撃が成立する。

[fw-novice:1737] 電信八号 Buffer overflow
(from fw-novice, Thu, 24 Aug 2000 11:11:11 +0900)

 V321.2b6-stable 以前の電信八号に弱点。 Becky Buffer OverflowWinBiff V2.31PL2からV2.31PL3への変更点(2000/8/20) と同様に、異常な長さのメールヘッダによって発症。 電信八号の場合は異常な長さの From: を持つ mail を受信すると Buffer overflow し、攻撃者が任意のコードを実行可能。 受信したとたんに攻撃が成立する点に注意されたい。 patch 0189901915 が組みこまれた V32.1.3.1 によって fix されるが、これはまだ登場していない。

2000.08.28 追記: 前野さんの指摘を受けて、全面的に改訂した (ご指摘ありがとうございます)。

2000.12.27 追記: V32.1.3.1 が 電信八号オフィシャルサイト で公開されています。

Xato Advisory: FrontPage DOS Device DoS
(from BUGTRAQ, Thu, 24 Aug 2000 00:18:28 +0900)

 Windows 9x, NT 4.0, 2000 上での FrontPage Server Extensions 1.1 の動作に弱点。 http://hoge/_vti_bin/shtml.exe/com1.htm, http://hoge/_vti_bin/shtml.exe/prn.htm, http://hoge/_vti_bin/shtml.exe/aux.htm など concon バグ類似の URL にアクセスされるとサーバが停止してしまう。でも http://hoge/_vti_bin/shtml.exe/com1, http://hoge/_vti_bin/shtml.exe/prn, http://hoge/_vti_bin/shtml.exe/aux とかは問題ないのだそうだ。 この問題は FrontPage Server Extensions 1.2 で fix されている。

 関連記事: MS、『フロントページ』のセキュリティーホールを密かに修正。 FrontPage Server Extensions 1.1 というと Microsoft FrontPage 2000 Server Extensions DoS Vulnerability が思い出されるが、これとは別の弱点。

CERT Advisory CA-2000-18 PGP May Encrypt Data With Unauthorized ADKs
(from pgp-users ML, Fri, 25 Aug 2000 00:37:47 +0900)

 PGP 5.5.x〜6.5.3 のキーエスクロウ対応機構 Additional Decryption Keys (ADK、付加復号鍵) に実装上の弱点。 それ以前 (PGP 2.x など) および GNU 版 PGP である GnuPG にはこの弱点はない。

 ADK を利用すると、鍵作成者個人のものとは別の復号化鍵 (付加復号鍵) を公開鍵証明書に付加できる。この機構は、 仕様としては、付加復号鍵を使うことに同意したユーザの証明書でのみ利用できるはずなのだが、実際には任意のユーザが勝手に付加復号鍵を追加できてしまっていた。 これはもちろん正当な付加復号鍵ではないのだが、 PGP 自身が正当か否かを検出できないため、公開鍵証明書に悪意ある付加復号鍵が含まれていたとしても、その証明書を受け取った人はそれを正当なものとして使ってしまう。 結果として攻撃者は、悪意ある付加復号鍵が含まれた公開鍵証明書に基づいて暗号化された情報を復号できてしまう。

 対応としては、PGP 6.5.8 で対応されているのでこれに入れかえる。 http://www.pgpi.org/news/#20000825 から入手できる。 もちろん、GnuPG に移行するという解決策もある (^^)

 英語版オリジナルアドバリザリには、正当な ADK と今回問題となる ADK の違いがわかる図もあったりするので、あわせて参照されたい (日本語訳版にも追加されました: 感謝)。 ベンダー情報: http://www.pgp.com/other/advisories/adk.asp。 オリジナルの指摘文書: http://senderek.de/security/key-experiments.html。 関連記事: PGPにセキュリティホール——鍵供託の機能追加に伴う問題

2000.08.29 追記: 日本語版 PGP に関する対応が公開されていた。 登録ユーザに対して FD or CD-ROM にて配布するそうで、 「輸出規制の関係で、日本国内でのダウンロードはご提供できません」 のだそうだ。

2000.09.20 追記: ソースネクストから「鉄壁セキュリティ対策Ver6.5.3」として販売されている PGP について、アップデートファイルが http://www.sourcenext.co.jp/download/pgp_hot_1.html から配布されている。高橋さん情報ありがとうございます。


2000.08.24


2000.08.23

追記

 2000.08.07 の Brown Orifice追記した。 Netscape のセキュリティホールの深刻さはJava史上最悪、しかも MSIE (MS JavaVM) にも同様の弱点が!

WinBiff V2.31PL2からV2.31PL3への変更点(2000/8/20)
(from 窓の杜:20000823)

 2000.08.18 の Becky Buffer Overflow と同様の弱点が fix されたと推測。

2000.08.28 追記: 詳細情報: Winbiff Buffer Overflow。 20,000 文字程度の Subject: 行を持つ mail を受信すると buffer overflow。 受信したとたんに攻撃が成立する点に注意されたい。

Q.通信傍受法が施行 『効果』と『弊害』、どっちが大きい?
(Tea Room for Conference, 2000.08月22日 17時57分 ( No.84 ))

 JIJI NEWS WATCH 主催のアンケート。私はとうぜん『弊害』に 1 票。

 それにしても、link されている犯罪捜査のための通信傍受に関する法律案Q&Aはなかなか楽しいですね。 たとえば


2000.08.21

MSサーバーの攻撃用ツールが一般公開
(from WIRED NEWS, 2000年8月17日 11:00am PDT)

 「MSサーバーの攻撃用ツールが一般公開」と聞かれたら、ふつうは「えっ? 本当?」ではなく「えっ? どれの話?」だと思う。 まあそういう意味では UNIX だって同様なんですが。

 Russ 氏のフォロー ([1], [2]) も参照。 IIS 5 用 fix 日本語版は AT 互換機用, NEC 用 が出てるけど、IIS 4 用はまだですね。

Windows2000スクリプト厨房
(from B-) の独り言, 2000.08.21)

 問題なのはやっぱり、こーゆーのが来るといきなり実行しちゃうような設定がデフォルトの OS ですよねえ。 shell script が mail で届いたらいきなり実行する UNIX があるか? ……へろへろな MUA を使っている場合は、あるかもしれんなあ。 Netscape なやつとか。 ちなみに私は MH をコマンドラインで使ってます。 MIME 関連の機能もほとんど off。

追記

 2000.08.19 の CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd追記した。 LAC の日本語版が登場。

追記

 2000.06.28 の MS00-020: Patch Available for "Desktop Separation" Vulnerability追記した。 なんと、2000.07.05 付けで、MS ダウンロードセンターに fix が上がっていた。


2000.08.19

追記

 2000.08.11 の MS00-057: Patch Available for "File Permission Canonicalization" Vulnerability追記した。 IIS 4 patch が出ていた。

stackguard 1.21 vulnerability
(from BUGTRAQ, Fri, 18 Aug 2000 14:22:54 +0900

 ProPolice の江藤氏による stackguard 1.21 の脆弱性の指摘。

追記

 2000.08.18 の Becky Buffer Overflow追記した。 1.26.04 でも「転送」で同様の問題が発生するそうで、これを fix した 1.26.05 が登場している。

CERT Advisory CA-2000-17 Input Validation Problem in rpc.statd
(from BUGTRAQ, Sat, 19 Aug 2000 10:18:42 +0900)

 2000.07.27 の Lots and lots of fun with rpc.statd の件。 PC-UNIX security hole memo にもまとめがあるのでよろしかったらどうぞ。 Vine はだいじょうぶなのかな。

2000.08.21 追記: LAC の日本語版が登場: http://www.lac.co.jp/security/intelligence/CERT/CA-2000_17.html

追記

 2000.08.07 の Brown Orifice追記した。 fix 版 Netscape 4.75 が登場。しかし……。

追記

 2000.08.15 の MS00-058: Patch Available for "Specialized Header" Vulnerability追記した。 日本語版 fix 出てます。

[NT]IIS が PASV コマンドに対しポート番号を順番に割り当てる
(from 新着サポート技術情報, 2000.08.18)

 Windows 2000 SP1 で fix だそうです。


2000.08.18

SecurityFocus.com Newsletter #54 2000-08-03 -> 2000-08-10
(from BUGTRAQ-JP, Tue, 15 Aug 2000 19:24:18 +0900)

 SecurityFocus.com Newsletter 第 54 号日本語版 (英語原文日本語テキスト原文 (PGP 確認したい人用))。

Becky Buffer Overflow
(from BUGTRAQ-JP, Fri, 18 Aug 2000 13:58:08 +0900)

 インターネットメールクライアント Becky! Internet Mail ver. 1.26.03 に弱点。 長い charset 文字列 (4200 文字以上) を持つメールを受信し、これに返信しようとするとバッファオーバーフローを起こす (受信自体には問題はない)。 DoS の他、remote user が悪意あるコマンドを実行可能。 Becky! Internet Mail ver. 1.26.04、あるいは Becky! ver. 2 では問題はない。

2000.08.19 追記: 1.26.04 でも「転送」で同様の問題が発生するそうで、これを fix した 1.26.05 が登場している。

ここに書いていなかった MS もの

 手抜きをしているうちに日本語 Advisory まで出てるし……。

IE 5.5/5.x for Win98 may execute arbitrary files that can be accessed thru Microsoft Networking. Also local Administrator compromise at least on default Windows 2000
(from win2ksecadvice ML, Tue, 15 Aug 2000 03:15:51 +0900)

 IE 5.5/5.x for Windows 98, IE 5.5/5.x for Windows 2000 に弱点。 フォルダを web ページだとして表示するよう設定 (Windows 98/2000 のデフォルト) していると、そのフォルダに含まれた web ページに攻撃コードを仕込むことで任意のコマンドを local computer ゾーンで動作させることができる、という指摘。 特に、Windows 9x のような脆弱な OS や Windows NT/2000 の Administrator 権限でこれが実行されると危険である。 ……が、手元の Windows 2000 ではデモプログラムがうまく動作しなかった。 うぅむ。

 関連: 専門家がWindowsおよびIEのセキュリティーバグを確認

FW: EBE Security Advisory: VirusScan for Windows NT
(from NTBUGTRAQ, Wed, 16 Aug 2000 03:20:30 +0900)

 NAI VirusScan 4.03a for Windows NT4/2000 に弱点。 Network Associates Task Scheduler Service が用いる HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VirusScan\Tasks\ 以下のレジストリキーのパーミッションが authenicated users: FULL CONTROL になっているため、一般ユーザが

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VirusScan\Tasks\Update]
"szUpdateShellScript"="c:\winnt\system32\musrmgr.exe"
"bRetrieveOnly"=dword:00000001
"bExecAfterUpdate"=dword:00000001
"bSchedEnabled"=dword:00000001
"bLogToFile"=dword:00000000

などと設定することで SYSTEM 権限でコマンドを動作させてしまうことが可能だという。

A Stateful Inspection of FireWall-1
(from BUGTRAQ, Wed, 16 Aug 2000 23:09:55 +0900)

 FireWall-1 4.0 SP5 / 4.1 SP1 に存在するさまざまな弱点についての論文。 認証プロトコル、パケットフィルタリング、ステートフルインスペクションそれぞれに問題があるとしている。 FW-1 ユーザは一読されたい。

 S/Key のところは、FW1 の S/Key は使い切ったら challenge を自動的に再生しちゃい、さらに seed (99 th91334 の th91334 の部分) のつくりかたに問題があって、これらから brute force attack が可能、という理解で合ってる?

追記

 2000.08.15 の MS00-058: Patch Available for "Specialized Header" Vulnerability追記した。 この問題の詳細が BUGTRAQ に投稿されている。

penetration technique research site
(from 直メール, Fri, 18 Aug 2000 13:39:28 +0900)

 Eiji James Yoshida 氏個人による、 penetration testの技術を調査するホームページ (Yoshida さん情報ありがとうございます)。 現在は、受動的攻撃についてと port scan に関する詳細な技術資料が設置されている。 penetration technique research siteは「個人」で運用している サイトなので、会社という枠を越えた情報の相互交換ができればと思います とのことなので、関心のある向きはぜひ連絡されたい。

 上記 port scan 資料にも記載されている nmap の関連資料、 http://www.insecure.org/nmap/nmap-fingerprinting-article.html の日本語版 http://www.insecure.org/nmap/nmap-fingerprinting-article-jp.html が登場している。

受動的攻撃に対する防御方法
(from Tea Room for Conference, 2000.08.17)

 受動的攻撃に対する防御方法のまとめ。 Windows NT/2000 固有の部分はほんのすこしだけであり、他 OS の利用者にも十分に有用である。必読。

xlock vulnerability
(from BUGTRAQ, Wed, 16 Aug 2000 15:17:24 +0900)

 X11R6 xlock の -d オプションに format 文字列がらみのバグがあるという指摘。 patch が添付されている。 同様の問題は xlockmore の最新版 4.17 にも存在すると installer ML で報告されている (xlock 同様に fix 可能)。 FreeBSD の場合、X11 には xlock は含まれず、port の xlockmore をインストールしていない限り問題はない。 Debian からはさっそく fix が登場。


2000.08.17

セキュリティホール対応版「Wnn6 jserver」提供について
(from installer ML, Thu, 17 Aug 2000 15:16:16 +0900)

 Win6 の全バージョンに弱点。 記述内容から見て、これは 2000.03.08 の [freewnn:00355] security problem of jserver の件、だと思う。 http://www.omronsoft.co.jp/SP/support/pcunix/wnn/update1.html において、OS バンドル版 Wnn6 や Wnn6 for Linux/BSD への fix が配布されている。

 SGI からも 20000803-01-A: WorldView Wnn vulnerability として Advisory が出ている。

追記

 2000.08.16 の [LSD] IRIX telnetd remote vulnerability追記した。 鹿田氏から、再テストの結果をおしらせいただいた。


2000.08.16

[LSD] IRIX telnetd remote vulnerability
(from BUGTRAQ, Tue, 15 Aug 2000 04:51:55 +0900)

 IRIX 6.2-6.5.8[m,f] の telnetd に弱点。 telnet の IAC-SB-TELOPT_ENVIRON リクエストにより _RLD な環境変数を変更しようとすると syslog にエラーメッセージを書き出すのだが、この処理にまずい点があり、 うまいことやると telnetd のメモリイメージを上書きできてしまう。 結果として、remote から root 権限で任意のコマンドを実行できてしまう。 デモコードが http://lsd-pl.net/files/get?IRIX/irx_telnetd から入手できる。

 SGI からも Advisory 20000801-01-A: IRIX telnetd vulnerability が出ている……が、単に telnetd を止めろとしか書かれていない。

 鹿田氏はデモコードをテストした結果、次のようになったとおっしゃている: (情報ありがとうございます)

IRIX6.5.8、Octane:失敗(64ビットマシンはだめ?)
IRIX6.5.2、IndyR5000:成功(/var/adm/sulogの読み出しを実行、
              このファイルは属性600)

2000.08.17 追記: 鹿田氏から、再テストの結果

IRIX6.5.8、Octane:成功
IRIX6.5.8、Indigo2:成功
IRIX6.5.2、IndyR5000:成功

となったと続報をいただいた。 デモプログラムを実行すると、 6.5.2はすぐ帰ってきますが、6.5.8は時間がかかります。 switch文で6.5はiを11〜12でループとしていますが、 6.5.8はi=12の時にExploitしますとなるそうだ。 また、root 権限でのファイル作成についても確認できたそうで、鹿田氏は /etc/passwdや/etc/shadowの修正も可能と思われます とコメントされている。

 また、この攻撃を食らうと syslog に

Aug 16 18:42:25 0E:hogehoge telnetd[6944]: ignored attempt to setenv(_RLD,
^?D^X^\    ^?D^X^^
^D^P^?^?$^B^Cs#^?^B^T#d~^H#e~^P/d~^P/`~^T#`~^O^C^?^?L/bin/sh
Aug 16 18:56:03 5B:jetsg30 overly long syslog message detected, truncating

というような log が残るそうだ。 setenv(_RLD を trap してへろへろする、のはよい考えのような。

2000.09.08 追記: SGI Security Advisory が fix の登場とともに改訂された。 IRIX 6.2 および 6.5〜6.5.9 には fix がある。 6.5.10 にはこの弱点はなく、5.3 および 6.[34] 用 fix はまだ準備中。 5.2 以前と 6.[01]* 用の fix は作成されない。 fix がある OS は今すぐ fix を適用しよう。


2000.08.15

追記

 2000.07.19 の MS00-049: Patch Available for "The Office HTML Script" Vulnerability and a Workaround for "The IE Script" Vulnerability追記した。 patch 情報と CERT Advisory。

MS00-058: Patch Available for "Specialized Header" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 15 Aug 2000 12:08:10 +0900)

 IIS 5.0 に弱点。 いくつかの文字のうちひとつが末尾についた特殊なヘッダが含まれたリクエストを受けると、いくつかの拡張子 (.asp, .htr など) のファイルのソースを得られる。 Windows 2000 SP1 で fix されているそうなので、日本語版 patch はたぶん出ず、 SP1 でお茶を濁されるのだろう。

2000.08.18 追記: この問題の詳細が BUGTRAQ に投稿されている。 特殊なヘッダとは、WebDAV に用いる Translate: f というヘッダだそうだ。 また、IIS 4.0 でもこの弱点があるとしている。 IIS 4.0 については MS00-019 fix を適用すればよいようだ。 でも IIS 4.0 用 fix の日本語版はこれまた出てないのよねえ。

2000.08.19 追記: なんと日本語版 fix が出た。 AT 互換機用, NEC 用

 また、この問題のデモプログラムが多数登場している: [1], [2], [3]


2000.08.12

追記

 2000.08.11 の MN128SOHOシリーズにおける、マニュアル記載外の機能について追記した。 UNIX MAGAZINE 2000.09 号 (定期講読なの) p.54, 55 にも「MH128-SOHO SL11 - NAT の怪」として同様内容がレポートされている。 当然ながら、「ダメじゃん」「あかんがな」としめくくられている。


2000.08.11

MS00-055: Patch Available for "Scriptlet Rendering" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 10 Aug 2000 10:53:03 +0900)

 MSIE 4.x, 5.x にさらに新たな 2 つの弱点。

 英語版 patch が出ている。 これには MS00-033, 039, 049 の patch が含まれている。

MS00-056: Patch Available for "Microsoft Office HTML Object Tag" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 10 Aug 2000 11:05:36 +0900)

 Office 2000 (Word 2000, Excel 2000, PowerPoint 2000) に弱点。 Office 2000 アプリが HTML を読み込むときに使う HTML インタプリタにバッファオーバーフローする弱点があり、DoS 攻撃の他、悪意あるコマンドを実行させることも可能。 題名および FAQ の記述から見て、OBJECT タグがらみのもののようだ (またか……)。

 英語版 fix は出たが日本語版はまだ。

MS00-057: Patch Available for "File Permission Canonicalization" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 11 Aug 2000 03:08:48 +0900)

 IIS 4.0, 5.0 に弱点。CGI あるいは ISAPI フィルタに map されたファイル (例: .asp) において、特殊なリクエスト (..\ を含ませるもののようだ) を送ると、 ファイルが設置されているフォルダの状況により、本来あるべき permission を越えたアクセスが可能になってしまうという。

 具体的には、例えば c:\inetpub\wwwroot\test1\test2\test.asp があったとする。ここで c:\inetpub\wwwroot\test1\test2\ は物理フォルダであるとする (仮想フォルダの場合はこの弱点は発生しない)。 test2 の permission が「実行のみ」であっても test1 に「読み込み可」の permission があれば、特殊なリクエストを送ることにより test.asp そのものを読み出すことが可能となるという。

 英語版 fix はあるが日本語版はもちろんまだだ。

2000.08.19 追記: IIS 4 patch が出ていた。

MN128SOHOシリーズにおける、マニュアル記載外の機能について
(from BUGTRAQ-JP, Fri, 11 Aug 2000 12:36:02 +0900)

 「最新」ファームウェアを塔載した MH128-SOHO シリーズ全機種に弱点。 暗黙のうちに AutoNAT 機能 (NAPT) が basic NAT に切り替わってしまうため、 AutoNAT 機能 + LAN 側プライベートアドレス利用時においても、 WAN 側から LAN 側に容易に接続が可能となってしまっている。 具体的には、WAN 側から LAN 側の portmap や port 21 (ftp), 23 (telnet), UDP 53 (DNS) などに接続できることを確認できたという。

 指摘者の濱田氏は MN128-SOHO Slotin にて確認されたとのことだが、 MH128 サポートは現行firmware全てに共通する最近搭載した機能だという。 もっとも、元祖 MH128-SOHO のファームウェア最新版 1.50 は 99.09.20 公開であり、とてもじゃないが「最近」とは言えないと思う。 NTT-ME では 1 年以内は「最近」なんですかね。 NTT-ME では dog year じゃなくて tsurukame year なのかな。

 回避するには MN128-SOHO のフィルタ機能をつかうしかない。 また、NTT-ME MN128SOHOサポートでは、これは重大な問題であるとは認識していないそうだ。 最低ですね。 多くのユーザーから要望が上がった場合には、速やかな対応を検討するそうで、この問題を懸念する方はサポートに連絡し要望をあげて欲しいのだそうだ。 こういう会社の製品、もし万一 fix されたとしても、今後も使いたいですか?

2000.08.12 追記: UNIX MAGAZINE 2000.09 号 (定期講読なの) p.54, 55 にも「MH128-SOHO SL11 - NAT の怪」として同様内容がレポートされている。 当然ながら、「ダメじゃん」「あかんがな」としめくくられている。 本当にダメですな。

2000.08.28 追記: B.U.G. 松原氏より、本問題に対応予定である旨が mn128-soho ML にて公表された。 まだスケジュールなどは未定のようだが、正しい方向へ進んでいる。すばらしい。

Apache Distributed Denial of Service
(from NTBUGTRAQ, Fri, 11 Aug 2000 10:02:52 +0900)

 Apache 1.2.4 以前に対する DDoS 攻撃が存在するという指摘。 リクエスト URL に ////////////////... と / を数千ふくめると 暴走してしまうという。 1.2.5 以降であれば問題ない。


2000.08.10

追記

 2000.08.07 の Brown Orifice追記した。 問題は Java 1.1.8 にも存在するようだ。

追記

 2000.08.01 の JPEG COM Marker Processing Vulnerability in Netscape Browsers追記した。 Netscape 6 PR[12] での状況を追記。


2000.08.09

追記

 2000.08.07 の Brown Orifice追記した。 ISSalert と電総研高木さんの記事を追記。

ProPolice: Protecting from stack-smashing attacks
(from 個人宛 mail, Wed, 09 Aug 2000 11:08:01 +0900)

 IBM 東京基礎研究所の Hiroaki Etoh 氏と Kunikazu Yoda 氏による、gcc 組み込み型の buffer overflow 対策 "ProPolice" の論文。 先日の 2000年春季 Firewall Defenders セキュリティ ワークショップの懇親会において江藤氏からその存在が明らかにされ、懇親会参加者がどよめいたものだ。

 StackGuard とは異なり gcc の中間言語に実装されているため、OS にもプロセッサにも依存しない。 つまり、Linux/alpha とか NetBSD/hpcmips とか cygwin とかでもイケるということだ。 また機能的にも性能的にも StackGuard/StackShield を上回っている。 すばらしい。 差分の一般公開と gcc 本体への merge を大いに期待したいところだ。 江藤さん情報ありがとうございます。


2000.08.08


2000.08.07

Brown Orifice
(from BUGTRAQ, Sun, 06 Aug 2000 23:57:00 +0900)

 Netscape Communicator (バージョン不明) の Java 実装に 2 つの弱点。

  1. Java から local file を含む任意の URL をアクセス可能
  2. 任意のクライアントからアクセス可能な server を起動できる

 上記のデモとして BOHTTPD が公開されている。 手元の Netscape Communicator 4.73 for FreeBSD で BOHTTPD の起動と local file の公開を確認できた。 とりあえずの対策としては Java を OFF にする。

2000.08.09 追記: ISSalert が出ている: ISSalert: Brown Orifice, BOHTTPD, a Platform Independent Java Vulnerability in Netscape。 これによると、Netscape 4.74 以前で Java が有効な場合に問題があるという。 Netscape 6 PR1 や Mozilla、MSIE にはこの問題はない。 Netscape 6 では Sun 純正の JRE (Java Plug-in) が使われるようになっている。

 電総研の高木さんによる以下の記事も参照されたい:

 関連記事:

2000.08.10 追記: 電総研の高木さんは [JavaHouse-Brewers:35315] において、 クラスjava.net.ServerSocketをサブクラス化することで、 close()メソッドを無効化したSocketImplを使用するよう変更すれば、 SecurityManagerによる「checkAccept」をスキップできてしまう 問題は Java 1.1.8 にも存在すると指摘されている。 Java 1.2 以降で fix されているそうだ。

 高木さんは もうとにかく、Java 2じゃないJavaは皆で捨てたほうがいいです とされている。さらに 「<APPLET>タグをJava Plug-in用のタグに変換してしまうProxyサーバ」 を作って普及させるべき ともおっしゃっているのだが、こういう proxy server ってあるのでしょうか? DeleGate なら実装できるかな。 (2000.08.11 <APPLET> を修正: 戸井さん、篠原さんご指摘ありがとうございます)

2000.08.19 追記: fix 版 Netscape 4.75 英語版が登場。 しかし、窓の杜にもあるように、4.74/4.75 英語版では日本語のブックマークが壊れてしまうのだ。 詳細は Macintosh トラブルニュース 00/08/09 にある。 セキュリティ以前の問題があるというのは困ったものだ。

 高木さんから、JDK 1.1.x などでの状況についての続報をいただいている。 詳細については [JavaHouse-Brewers:35409] とそのフォローである [JavaHouse-Brewers:35426] を参照されたい。

2000.08.23 追記: 高木さんから、「Netscape のセキュリティホールの深刻さはJava史上最悪」という記事を執筆したとの情報をいただいた (ありがとうございます)。 これまで知られていたものに加え、about:global (ヒストリ一覧) が読めてしまう、 cookie 情報もやりとりできてしまう (amazon.com など cookie ベースな EC サイトにアクセスし、正当な利用者へなりすますことが可能)、https: にもアクセス可能、 なことが明らかになったそうです。 「つまり、ブラウザが完全に乗っ取られるということです」。

 さらに、MSIE (MS JavaVM) にも同様の弱点があることが明らかになっている。 詳細は http://www.oltres.com/ms-bug/ を参照されたい。デモコードもある。 手元の MS JavaVM build 3240 (Windows 2000)、build 3309 (Windows 98) でデモコードが動作することを確認した。 また、MS00-059: Patch Available for "Java VM Applet" Vulnerability fix を適用するとこのデモが動かなくなることを確認した。 MS00-059 FAQ には

I heard about something called "Brown Orifice". Is this vulnerability related to it?

No. "Brown Orifice" is a program that exploits multiple vulnerabilities in several vendors' Java implementations. The vulnerability at issue here is different from those exploited by "Brown Orifice", although it is similar in scope and effect to one of them.

なんて書かれている。高木さんのコメント: [JavaHouse-Brewers:35586] IE にも類似の原因のセキュリティホール(was Re: Netscape のセキュリティホールの深刻さはJava 史上最悪)。 file:// URL や about:global ができない程度で、他の部分は Netscape と同様の強烈な脆弱性を示しているようだ。 頭痛い。

 また、IE 5.01/5.5 を (Windows 2000 以外で、JavaVM を明示的に選択して) インストールすると Java VM があたらしくなっているのだけど、 [JavaHouse-Brewers:32585], [JavaHouse-Brewers:32588], [JavaHouse-Brewers:32590] の弱点はまだ残ってるみたい。

2000.08.24 追記:Netscape のセキュリティホールの深刻さはJava史上最悪」の説明として記述した 「これまで知られていたものに加え、about:global (ヒストリ一覧) が読めてしまう、 cookie まで取得できてしまう、https: にもアクセス可能」の「cookie まで取得できてしまう」は誤解を招くので (cookie ってそもそも server 側が start させて client 側に保存されるもの……でしたよね?)、 「cookie 情報もやりとりできてしまう (amazon.com など cookie ベースな EC サイトにアクセスし、正当な利用者へなりすますことが可能)」に修正しました。 多くの EC サイトは cookie ベースでやってますから、悪意ある applet が偽のオーダーを発注する、なんてことも可能だということを意味します。 高木さんご指摘ありがとうございます。

2000.08.31 追記: 高木さんから、さらにいくつか情報をいただいている。

2000.09.07 追記: 高木さんによるまとめが出ている: [JavaHouse-Brewers:36131] Netscape 4.74「Brown Orifice」セキュリティ・ホール問題に関するまとめ


2000.08.04


2000.08.03

追記

 2000.07.28 の セキュリティホール,見つけても「黙っておけ」?追記した。 Adobe から Acrobat 4.05 アップデート 2 の案内メールが来た。 すばらしい。

追記

 1999.12.27 の Norton Email Protection Remote Overflow追記した。 なんと、2000.07.06 付けで fix が登場していた。 しかしねえ、英語版 fix から半年遅れるかねえ、ふつう。

 インストール時にユーザ登録させてんだからさ、 正規ユーザにくらいちゃんと告知してほしいよね。 おまけに、security fix が含まれているとはどこにも書いてない。 これがセキュリティを追及するはずの会社のやることかね。

 シマンテック、お前もか。


2000.08.02


2000.08.01

JPEG COM Marker Processing Vulnerability in Netscape Browsers
(from BUGTRAQ, Tue, 25 Jul 2000 08:56:42 +0900)

 Netscape Communicator 4.73 以前、および Mozilla M15 以前に弱点。 JPEG ファイルの処理において、JPEG ファイルの length フィールドに 1 を設定すると、JPEG ファイルのコメント文字列処理用のバッファの確保に失敗し、Netscape Communicator は既存のメモリ領域を上書きしてしまう。 この結果バッファオーバーフローが発生するため、webページや電子メールに添付されたJPEG ファイルを用いて、ユーザコンピュータ上で任意のコマンドを実行することができてしまう。 プラットホームには依存せず、Windows/UNIX/Mac など全てのプラットホームで問題が生じる模様。

 この問題は Netscape Communicator 4.74 および Mozilla M16 において fix されている。 鹿田さん情報ありがとうございました。

2000.08.10 追記: 無津呂さんから、リリース時期から見て Netscape 6 PR1 にもこの弱点があるのではという情報をいただいた (ありがとうございます)。 手元で調べた限りでは、確かに PR1 は落ちる。 また、先ごろリリースされた Netscape 6 PR2 では、 読み込み処理が終了しないものの、落ちるということはないようだ。

追記

 2000.07.28 の セキュリティホール,見つけても「黙っておけ」?追記した。 port139 の伊原さんと Shadow Penguin Security の UNYUN さんが関連文書を書いていらっしゃる。


私について