セキュリティホール memo - 2000.11

セキュリティホール memo - 2000.11

Last modified: Tue Apr 15 12:50:53 2003 +0900 (JST)


2000.11.30


2000.11.29

懸念渦巻く「Whistler」の署名技術活用計画
(from ZDNet News, 2000年11月28日 04:11 PM 更新)

 署名があるということは署名があるということでしかないんだけどね。 それが真に secure であることを意味するわけではない。 VeriSign 高いし。

注目しているWebページが更新されたことをメールで通 知させる方法 (1)
(from @markIT, 2000.11.18)

 得てして「意図しない DoS 攻撃」になっちゃうというのがありがちなパターンである。novice は異様に短いチェック間隔を平気で入力しちゃうから。 そんなことしても意味ないっつーに。

中間とりまとめは美辞麗句 山崎公士・新潟大教授の話
(from インターネット事件を追う, 2000年11月28日)

 「人権救済制度の在り方に関する中間取りまとめ」ができたが、各論は腰砕けだという指摘。 法務省が人権擁護に力を入れるわけもないからね。 自民党議員諸君のための「人権擁護」だけは別だけどね。 いちおう意見募集と公聴会をやるそうではあるが、反映されるかどうかはまた別だからね。 聞いたけど無視無視ってのはありがち。

 関連: 中間とりまとめを公表 救済機関創設を提言、法務省審議会

成蹊大教授を逮捕 交際相手のわいせつ写真をネット販売
(from インターネット事件を追う, 2000年11月28日)

 要は、学力が優れているからといって倫理的にも優れているわけではまったくないというだけの話なのだが、教育機関にしても行政機関にしても、人間的とか倫理的とかに優れていることを第一要件にしているわけじゃないからな。倫理ってけっこうブレがあるし。 半径 50m 以内でも (以下自粛)。

IIS 5.0 with patch Q277873 allows executing arbitrary commands on the web server
(from BUGTRAQ, Mon Nov 27 2000 17:53:18)

 IIS 5.0 に対して、MS00-086 の最新英語版 patch を適用しても、なおかつ類似の攻撃が可能だという指摘。 手元で英語版 Windows 2000 をインストールして試してみたが、確かにそうなる。 まいったね。

 これは、MS00-078/MS00-086 のこれまでの fix が小手先だけであり、本質的な部分が修正されていないということなのだろう。 いつまでたっても直らないのは困ったものだ。 世界中の IIS 管理者は GO を煮やしていることだろう (アーチーチーアーチー)。 まあ hotfix level ではしかたないのかもしれないけど。 SP level ではもうちっとましなことをやっておいてほしいものだ。 でもそうすると、得てしてアプリが動かなくなるんですよねえ。

 今回はじめて英語版 Windows 2000 を動かしてみたんだけど、 いやあ、これはいいですね。システムを全部英語版で組んでも問題ないような気が。 もっと入手しやすくしてほしいなあ。 日本語キーボードの認識のさせかたがよくわかんなかったので、おもむろに HHK をつないじゃったけど、どうすればよかったんだろう。


2000.11.28

追記

 2000.11.09 の メビウス着信ユーティリティをお使いのお客様へ セキュリティホールのお知らせ追記した。 patch が出た。


2000.11.27

またもやIISに深刻なセキュリティ・ホール すべてのIIS4.0/5.0が影響を受ける
(from 日経 IT Pro, 2000/11/25)

 MS00-086: 「Web サーバーによるファイル要求の解析」の脆弱性に対する対策 の話。なるほど、cmd.exe の ACL を再設定はいいですね。 でもそれやっちゃうとまずい site もあるんだろうな。

 こういうことにならないように、\inetpub は OS とは別の disk に設置しましょう。UNIX で言う chroot() をしたような効果があります。 この話、IIS 4/5 checklist にも書いてないですね。 インストール時に別 disk にすることを推奨してほしいんですけどねえ。

 21 + 7 = 28 なので、明日には出るのかな? > 新 patch。


2000.11.24

ロータスノーツクライアント R5 内蔵Java VM のECL 機能のセキュリティ欠陥
(from 直接 mail, Fri, 24 Nov 2000 23:17:47 +0900)

 ロータスノーツクライアント R5 独自の web ブラウザに塔載された Java VM に含まれる、ロータス独自の「ECL (Execution Control List)」機能に欠陥。 悪意ある web サイト管理者は、指定したパス名のファイルがローカルファイルシステム上に存在するか否かを知ることができてしまう。

 なんと、半年前に通知したにもかかわらず一向に改善されていないという。 ヒドいね。

2000年10月に発覚したInternet Explorerの新たなセキュリティ・ホールについて
(from 直接 mail, Fri, 24 Nov 2000 23:17:47 +0900)

 MS00-081: 「VM のファイルの読み取り」の脆弱性に対する対策、に関する詳細なレポート。 まずは一読されたい。 ここには個別具体的な EC サイト名、web メールシステム名は記載されていないが、 各自で調査されたい。cookie を使う web メールなら、その旨がどこかに書いてあるはずだ。 まあ、これについては Java VM を直せばいいのであるが。

 なお、MSKK 日本語 Bulletin では「Windows 2000 日本語版個別モジュールは、現在準備中です」となっているが、実はすでに配布されている

安全装置のないFBIの傍受システム「Carnivore」
(from ZDNet News, 2000年11月24日 04:57 PM)

 「Carnivoreには電子メールアカウントを持つユーザー全員を監視するだけの能力は備わっていない」けど「Carnivoreが収集した生のデータ」というものは存在するらしい。 詭弁にしか聞こえないんだが……。

Georgi Guninski security advisories
(from win2ksecadvice)

 Guninski さんあいかわらずキてます。

Microsoft Security Bulletin
(from Microsoft Product Security Notification Service)

 あいかわらずたくさん出てますね。今年はついに 3 桁突破か?!


2000.11.22

Denial of Service Attacks Planned For Christmas - ISS
(from 直接 mail, Wed, 22 Nov 2000 11:12:39 +0900)

 煽りなのか、本当なのか……。こがさん情報ありがとうございます。

OCNユーザのセキュリティを診断する 『OCNセキュリティチェックサービス』の提供について
(from Win セキュリティ虎の穴, 2000/11/21)

 plan 2 って、どの程度のレベルなのかな。ISS しておわりとか? plan 3 はラックさんなのね。

改善してほしい,情報提供のタイムラグ IISの深刻なセキュリティ・ホールに追加情報
(from 日経 IT Pro, 2000年11月22日)

 昨日の JWNTUG OpenTalk in MSC 大阪でもこのあたりの話題が出ましたが、 タイムラグは近々改善される予定の模様です。

 ……とか言っている間に、MS00-086: 「Web サーバーによるファイル要求の解析」の脆弱性に対する対策US 版はまたもや改訂されてます (Updated: November 21, 2000)。 「On November 21, 2000, we updated it again, to discuss two newly-discovered variants of the original vulnerability」 だそうで、 IIS 4.0 用の個別対応 patch も登場しています。 ただしこれの適用は NT 4.0 SP6a にしかできないようです。 日本語版 (新) はまだのようです。


2000.11.21


2000.11.20

 はてさて、ニホンのセイジはどうなりますか。 ……どうやらダメのようですな。 ミスター・カトーはどこまでいっても評論家で終りか。

DNSサーバー・ソフト「BIND」に見つかったセキュリティ・ホールと対策
(from 日経 IT Pro, 2000年11月20日)

 とりあえずなおしておこう。

Java VM Selector for IE v0.91
(from Tea Room for Conference, 11月20日 00時27分)

 すばらしいです。これで MS JavaVM とオサラバできるかな。

プロバイダー責任を明確化、著作権審議会
(from 毎日 Interactive, 2000-11-17)

 「12月8日公表」だそうで。「来年の通常国会」っていつかなあ。

FBIの電子メール傍受プログラム『カーニボー』の新真実
(from CNET NEWS, Thu 16 Nov 2000 17:15 PT)

 [aml 19807] 電子メール盗聴の新たな動向 によると、日本も『「フィルタリングされていない」インターネット・トラフィックを収集し、保存できる』システムへの移行を計画している……ように見える。

 そういえば、FERC が 11/19 に「監視カメラ」について報告していましたね。 11/19 分の調査ファイルは web にはまだ上がっていないようです。

Base system gcc patch (Re: FYI: Propolice for gcc-2.95.2)
(from freebsd-security ML, Fri, 17 Nov 2000 15:45:51 -0800)

 FreeBSD 4.x の OS 標準 gcc を ProPolice-enabled に変更する patch。 -fstack-protector すると stack overflow protect 機構が有効となる。 syslog に error を吐くといいかなーというのはやっぱりありますね。

 これとは別に、Herman ten Brugge Home Page に似たようなものがあるというフォローがされていた。 ProPolice のようにアーキテクチャに依存しないか否かは不明。

 FreeBSD 4.1.1 上で、propolice のページにあるようにつくった gcc だと __FreeBSD__ が 1 に define されちゃってこまったことになりました。 spec file で -D__FreeBSD__=4 になるようにしたら ok でした。 あと、__FreeBSD_cc_version とか __printf0like(fmtarg, firstvararg) で define される値もちがうみたいなんだけど、 これはとりあえずいいかなーとおもう (よくわかってない)。

 Kris Kennaway さんからこんなメールが:

 手元でもたしかにそうなるなあ。とりあえず Etoh さんに振ってしまった……。


2000.11.17

ターボリナックス セキュリティセンター
(from TLJ, 2000.11.17)

 実はこれまでも、TurboLinux は fix してないわけじゃなくて、 ftp.turbolinux.co.jp に行くと fix package が置いてあったりしたのですが、 ようやくまじめに告知することになった……のかなあ。

「情報セキュリティの現状2000年版(ドラフト)」公開のお知らせ
(from IPA, 2000年11月17日)

 link とかちゃんとつくってあって便利だし、 正式版も HTML/PDF で公開していただけるとありがたいなあ。


2000.11.16

Infowar Con 2000 出張報告
(from IPA, 2000.11.16)

 D- という言葉だけがまた一人歩きしそうだなあ。 正当な評価なのかもしれないけど。

 やっぱ US は軍が強いしこういう場にもどんどん出てくるけど、日本では自衛隊が出てくると風当りがつよいかもしれないし、だからといって警察が出てくるとそれはそれでなにか違うような気もするし。 個人的には、自衛隊はもっと前に出てきてもいいと思ってるんだけど。 技本の人達とか、なにかやってるんじゃないのかなあ。

 そういえば、パケモンでおなじみの武田さんのところに情報化時代の航空自衛隊 on the Web があります。

暗号メール入門スライド
(from pgp-users ML, Thu, 16 Nov 2000 20:16:16 +0900)

 山本和彦氏による PGP のプレゼン資料。

Crypto-Gram November 15, 2000
(from counterpane.com, Thu, 16 Nov 2000 08:58:58 +0900)

 "Why Digital Signatures Are Not Signatures"、 「アナログ署名」の真実性を強調しすぎのような気もするけど、焦点は「I am not signing anything; my computer is.」だという点、「the gap between me and my computer」にあるのでしょう。 印鑑なんてゆーインチキなモノを信用する社会ではこういうレポートは出ないのだろうな。


2000.11.15

 Bush - Gore = 300……。またえらくキリのいい数字になったなあ。

[aml 19807] 電子メール盗聴の新たな動向
(from JANOG ML, Wed, 15 Nov 2000 10:43:37 +0900)

 日本国の盗聴法に基づく電子メール盗聴の実体。 JANOG ML では「仮のメールボックス」計画に対して、高々 900 万な機械で性能的に大規模 ISP に通用するのか、という疑問が出ています。 はたのさん情報ありがとうございます。

 今日、盗聴法の廃止を求める国会議員と市民の集いというのをやってるのね……。

FreeBSD Security Advisories
(from various)

 FreeBSD Security Advisories。

追記

 2000.11.13 の 余計な機能がセキュリティ・ホールを招いていないか追記した。 Mozilla においてはいろいろと設定できるようだ。 村脇さん情報ありがとうございます。

トラブル続きのIISに,管理者は要注意
(from 日経 IT Pro, 2000年11月15日)

 MS00-086: 「Web サーバーによるファイル要求の解析」の脆弱性に対する対策 は、US 版は改訂 (Updated: November 10, 2000) されてますね。 しかし、もしかするとアレな人にとっては SP6a の適用というのはいちばんキツい話かもしれない。 まともなサイトでは適用しているだろうけど。

 ところで、日経さんはいつまで Netscape-Enterprise/3.6 SP3 を使いつづけるのだろう。それとももしかして、これは偽情報なんだろうか。


2000.11.14

自殺・犯罪マニュアルを不健全図書指定へ 都協議会が答申案
(from インターネット事件を追う, 2000年11月13日)

 きてますねえ、「同部会では今後は、インターネット上の有害コンテンツ規制に関しても検討していく」。もっとも ISP 的には「条例改正に対応して、サーバー設置場所を東京から大阪へと移設します」とかだったりして。 レンタルサーバのサービスメニューに「設置場所指定 (+2,000円)」がつくとか。 いやぁもうかりますなあ。

 ところで、具体的には販売方法についてどんな規制がつくんだろう。 いまどき、本屋で売ってなかったらインターネット通販とかコンビニ通販で買うだけだと思うけどなあ。 下手な規制は宣伝にしかならないと思うぞ。

[NT] SP1 のインストール後に Server Extens のバージョン が更新されない
(from 新着サポート技術情報, 2000.11月14日)

 FrontPage Server Extensions ってけっこう穴だったりするから、バージョンチェックの際にはまりそう。

[WinMe] ログオン・ログオフの繰り返しでリソースが減少
(from 新着サポート技術情報, 2000.11月14日)

 ひどい、ひどすぎる。

[NT]SP1 のアンインストール後に高度暗号化パック (128 bit) が削除される
(from 新着サポート技術情報, 2000.11月14日)

 SP 出シタラ、ワスレズニ。 (入レタラじゃなかった……)

CERT Advisory CA-2000-20 Multiple Denial-of-Service Problems in ISC BIND
(from US CERT, November 13, 2000, 2055 EDT)

 BIND Version 8.2.2 patchlevel 7 の話。RedHat, Kondara, Debian は fix package 出てます。 LAC の日本語版も参照。


2000.11.13

FreeBSD (Ports) Security Advisories
(from various)

 FreeBSD Security Advisories + FreeBSD Ports Security Advisores。

IE5 UNIX sp00ky p0st
(from BUGTRAQ, Fri, 13 Oct 2000 18:08:28 +0900)

 UNIX 版 IE5 での、既知の脆弱性の状況。 なにしろ UNIX 版 IE はマイナーな OS :-) でしか動かないので流行りませんねえ。fix も出ないし。 Linux 版が出たら話題になると思うけどねえ。

 紹介が 1 か月以上遅れてますね……すんません。

Hostile servers can force OpenSSH clients to do agent or X11 forwarding.
(from OpenBSD, Nov 10, 2000)

 This problem is fixed as of OpenSSH 2.3.0 だそうです。

余計な機能がセキュリティ・ホールを招いていないか
(from 日経 IT Pro, 2000.11.10)

 web page の Java, JavaScript (アクティブスクリプト)、ActiveX については「デフォルト off になっている」「必要となる domain についてのみ on にできる」になってればいいんじゃないですか? というわけで IE はやってやれないことはない。 Netscape 4/6 は失格。 ちなみに手元では w3m の使用頻度がどんどん上がっている。

 メールについては HTML 含め全部 off でいいですよね (原則として全て text として開く、明示的に操作した場合だけ HTML 表示)。 MS Office などのマクロ機能についてはなかなかむつかしいものがありますが (社内アプリで使ってたりするだろうから)、外部からやってくるものは wall とかで強制的にマクロをはぎとっちゃうとかいうテがあるかな。

2000.11.15 追記: Mozilla においてはいろいろと設定できるようだ。たとえば、 ドメイン毎に JavaScript の on/off を指定できる。

pref("capability.policy.myloosegroup.sites", "file:");
pref("capability.policy.myloosegroup.javascript.enabled", "allAccess");
pref("javascript.enabled",                  false);

とすると、デフォルトでは JavaScript off、 file: で始まるローカルファイルでは JavaScript on となる。 User Interface が実装されていないため、$MOZILLA/bin/defaults/all.js (これは UNIX の場合かな) を直接設定するなどする。 Configurable Security Policies にも情報があるようだ。 村脇さん情報ありがとうございます。

SecurityFocus.com Newsletter #65 2000-10-27->2000-11-03
(from BUGTRAQ-JP, Tue, 7 Nov 2000 19:54:49 +0900)

 SecurityFocus.com Newsletter 第 65 号日本語版 (テキスト, 英語版)。

BIND Version 8.2.2 patchlevel 7
(from installer ML, Sat, 11 Nov 2000 01:24:52 +0900)

 ZXFR DoS, "division by 0" DoS (signed zone って何だろう?) などが fix されています。 bind 8.x 系をつかっているところは入れかえましょう。 bind 8.x を見限って bind 9.x (最新は 9.0.1 - rc 取れました) や djbdns に入れかえるのもいいかもしれません。


2000.11.10

 327 票差……。決戦投票っていう概念はないんだろうな……。


2000.11.09

 US 新大統領決定は来週? どちらになるにしても、とんでもない接戦ですねえ。 http://www.cnn.com/ で再カウント記事出てますが、差が 1,000 を切ってるっていうのがすごいねえ。

メビウス着信ユーティリティをお使いのお客様へ セキュリティホールのお知らせ
(from FWD fw-wizard ML, Thu, 09 Nov 2000 10:02:21 +0900)

 シャープの Note PC "メビウス" シリーズ (の一部) に添付されている「メール着信ランプユーティリティ」に弱点。 remote user が「メール着信ランプユーティリティ」の SMTP/POP3 proxy 機能を利用できてしまうため、SPAM の中継などに利用される恐れがある。 詳細は [fw-wizard:941] メビウス着信ユーティリティ を参照。 対応策としては、「メール着信ランプユーティリティ」を使わないとか、 ZoneAlarm などパーソナルファイアウォールや NT/2000 RRAS の netsh コマンドなどを使って SMTP proxy の port 8025 へのアクセスを制限するとかが考えられるだろう (私には「メール着信ランプユーティリティ」の詳細動作がわからないので外している可能性あり)。

 しかし、「このセキュリティホールは、直接インターネットに接続されていない環境(企業イントラネット、ファイアウオール内など)では全く危険性はありません」と言い切っちゃうのはまずいんでないの? > シャープ。

2000.11.28 追記: patch が出ました。 メビウスメール着信ユーティリティ機能搭載機種 一覧表 から入手できます。 参照: [fw-wizard:955] Re: メビウス着信ユーティリティ。 Office さん情報ありがとうございます。


2000.11.08

 CNN 見てますが、US の大統領選挙はほんとに接戦ですね。 キメ手はやはりフロリダか? ……おっ、フロリダを取ったブッシュの勝ちのようですな。 ……あら、フロリダがふたたび NOT CALLED になってるぞ。どうなっとんじゃ。 ……おぉ、不在者投票分を見ないとわからないとは……。

ウイルス対策ソフトの落とし穴に注意 最新のウイルス定義ファイルを適用すると Windowsがフリーズするトラブルが発覚
(from 日経 IT Pro, 2000年11月8日)

 「自動アップデート」だと情報を得る前に update されちゃってるんですよねえ。 まあ、ソフトもデータも最新版を、ということなのでしょう。 世の中キビシイ。

[fw-wizard:940] (Report)Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability
(from FWD fw-wizard ML, Wed, 08 Nov 2000 12:04:08 +0900)

 MS00-078 問題の IIS 4.0 での検証結果。 patch だが、IIS 5.0 の場合は MS00-086 fix の http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25583 に MS00-078 fix も含まれるので、こちらを適用しよう。


2000.11.07

MS00-082: Patch Available for "Malformed MIME Header" Vulnerability
(from Microsoft Product Security Notification Service, Wed, 01 Nov 2000 08:35:52 +0900)

 Exchange 5.5 に弱点。 BUGTRAQ bugid 1869 によると、charset="" な mail を Exchange 5.5 に送ると Exchange が fail するという。 該当の mail を取りのぞいた上で Exchange を再起動すると元にもどるという。 Exchange 2000 では問題ない。

 日本語 patch はまだ。

2000.11.08 追記: Exchange 5.5 インフォメーションストア 修正プログラム に MS00-082 fix が含まれているそうです。川口さん情報ありがとうございます。

MS00-083: 「Netmon のプロトコル解析」の脆弱性に対する対策
(from Microsoft Product Security Notification Service, Thu, 02 Nov 2000 11:11:10 +0900)

 Windows NT 4.0/2000 および SMS 1.2/2.0 に含まれるネットワークモニタ (Netmon) に弱点。Netmon が利用するいくつかの .dll (browser.dll, snmp.dll, smb.dll) にバッファオーバーフローバグがあり、攻撃パケットを流すことにより DoS の他任意のコマンドを実行させることも可能。 詳細は COVERT-2000-11 Multiple Network Monitor Overflows を参照。 日本語 patch はまだ。

MS00-084: 「インデックス サービスのクロスサイト スクリプティング」の脆弱性に対する対策
(from Microsoft Product Security Notification Service, Fri, 03 Nov 2000 09:01:54 +0900)

 IIS 5.0 cross site scripting vulnerability - using .htw の話。

2003.04.15 追記:

 MS00-084 が改訂されている。実は Index Server 2.0 (NT 4.0 Option Pack) にもこの問題があり、patch が登場した。

Securax-SA-08 - IIS4.0 DoS.
(from win2ksecadvice ML, Mon, 06 Nov 2000 01:51:15 +0900)

 昔発見された IIS DoS attack と同じ事を、UNICODE 文字列にエンコードしてやってみたら効いちゃうという話。 どなたか手元で試されたという方いらっしゃいます? (やっぱお試し用 IIS 4 は必要だなあ)

Microsoft IIS 4.0 ISAPI Buffer Overflow Vulnerability
(from BUGTRAQ, Fri, 03 Nov 2000 23:16:08 +0900)

 IIS 4.0 で <SCRIPT LANGUAGE="[buffer]" RUNAT="Server"> としたとき buffer に 2220 chars 以上入れると buffer overflow するという話。 MS00-080MS00-060 に fix が含まれているそうだ。

MS00-085: Patch Available for "ActiveX Parameter Validation" Vulnerability
(from Microsoft Product Security Notification Service, Fri, 03 Nov 2000 16:09:57 +0900)

 Windows 2000 に弱点。 ActiveX コントロール sysmon.ocx (System Monitor) がバッファオーバーフローするため、 web ページや HTML メールを使って DoS 攻撃が可能。 さらに、任意のコードの実行も可能な模様。 Windows 9x/Me/NT ではこの問題は発生しない。 英語 patch はあるが日本語 patch はまだ。

 発見者による詳細: USSR-2000057: System Monitor ActiveX Buffer Overflow Vulnerability。 デモコードも公開されている。

MS00-086: Patch Available for "Web Server File Request Parsing" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 07 Nov 2000 04:22:42 +0900)

 IIS 5.0 に弱点。 MS00-078 と同様に、remote から OS コマンドを実行させられる弱点があるようだ。 FAQ には The problem has to do with the way IIS handles requests for executable files scripts, batch files, compiled files, and so forth とあるので、実行ファイル名をほにゃららして呼ぶとビンゴになるのかな。 IIS 4.0 は関係ない。IIS 5.0 のみの弱点。

Microsoft strongly recommends that all customers running IIS 5.0 immediately apply the patch for this vulnerability. The patch also eliminates the "Web Server Directory Traversal" vulnerability discussed in Microsoft Security Bulletin MS00-078.

だそうなので、IIS 5.0 オーナーは今すぐ patch を。 日本語 IIS 5.0 用は http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25583 から。 このように、当初から用意されていると非常に助かりますね。

パスワードは4ケタ 住民基本台帳ネット、地方自治センター方針
(from インターネット事件を追う, 2000年11月6日)

 銀行のやつとかは 3 try くらいで lockout するんですよね、ふつう。 そういう前提で、「生年月日」「電話番号」など致命的なものでなければ 4 ケタでもまあ ok かなあとも思うのですが、 なにしろ致命的なパターンが多いわけで。 これは桁数を増せばいいという問題ではない。

 あと問題は lockout した後の対応で、きちんと本人確認をした上で password 再発行しなきゃいけないんですが、そういう教育が日本中の自治体職員に徹底されるかどうか。「住民全員顔見知りだから問題ないっす」という地域なら、それはそれでいいんですが……。 1 時間したら再 try できますなんてシステムだと最低ですが、まさか……。

 牧野二郎弁護士は電話番号を覚えられないのかな。 最近はケータイと呼ばれる電話機能つき携帯電話帳があるしなあ。 ケータイの番号は私もじぇんじぇん覚えられない (ボケが始まったのかも)。

Windowsにもっと互換性を
(from 日経 IT Pro, 2000/11/07)

 気持ちはわかるのだけど、私は違う見方を持っていたりする。

 Windows 2000 上で Windows NT 対応のアプリがまともに動かない理由の多くは、 おおもとのアプリのつくりが腐っていたからだと理解している。 Securing Windows NT Installation の状態でテストしてあったアプリがはたしていくつあったのか。 Windows NT C2 Evaluations の状態で動作するアプリがはたしていくつあったのか。 Windows 9x と同じつもりでつくってあるアプリの何と多かったことか。 今だに「Power Users 権限が必要です」という「Windows 2000 ウソ対応」なアプリも多い。 まともにつくってあれば、Users 権限で十分なはずだ。

 もちろん、そもそもの問題は Windows NT のデフォルト状態が致命的に腐っていたからであることは間違いない。 しかし、それを事あるごとに声高に叫んだメディアははたしていくつあったのか。 Securing Windows NT Installation の状態での主要アプリ動作テストを行ったメディアははたしていくつあったのか。 責任の一旦はメディア自身にあることを認識すべきだ。

 まあ、Windows 2000 に (ウソ対応ではなく) きちんと対応しているアプリなら、Whistler ではさくっと動くでしょう、きっと。


2000.11.06

パスワード規定盛らず 住基法の政省令改正案、自治省
(from インターネット事件を追う, 2000年11月2日)

 どうもよくわからないのだが、これって全国どこでもなシステムなんですよね? 認証システムに対して「幅広い自治体の裁量権」を認めても全国どこでもなシステムとして成立するんですか? しかしまあ、フタを開ければ「誕生日と同じ」「電話番号と同じ」程度の人が続出するんだろうなぁという気はする。

 スマートカード認証をすればそれで安全になるか? 盗まれたら終りです。 ではスマートカードの有効化キーにパスワードを使うようにする? 結局パスワードにつきまとう不具合 (脆弱なパスワードを使う、同じパスワードを使いつづける、……) からは逃れられません。

 一方で生体認証というのがあるのですが、これはたいてい生体データを中央認証サーバに保管する必要がありますよね。 この場合のイヤなシナリオとしては、たとえばこんなのが考えられます。

 というわけで、個人的にはこんなのがそれなりかなーとか思ったり:

 でも今回の話は政府システムなので、生体認証情報をスマートカードに保存する過程でデータを政府に盗まれる可能性を否定できない……からやっぱりやだな。

在宅勤務とセキュリティのバランス
(from ZDNet News, 2000年11月2日 10:19 PM 更新)

 むつかしいですよねえ。

メモリー管理が原因の新たなセキュリティ・ホールが発覚 ネットワーク・ツール「traceroute」のバグが話題に
(from 日経 IT Pro, 2000年11月6日)

 うぅ、ProFTPD 1.2.0 RC2 をそのまま勧めちゃうのはちょっとまずいんでないかい。 最新 CVS 版がいいと思うぞ。

samba ネタ
(from securityfocus.com, 2000.11.01)

 samba ネタが 3 つ securityfocus に上がっている:


2000.11.03

propolice: GCC extension for protecting applications from stack-smashing attacks
(from FWD fw-wizard ML, Fri, 03 Nov 2000 16:17:34 +0900)

 ついに patch が公開されています。 ……が、egcs-20001101.tar.gz が get できないようです (T_T)


2000.11.01

Microsoft was cracked 関連
(from various)

 いくつか。

検証:Microsoftへの侵入事件
(from ZDNet News, 2000年11月2日 06:35 PM 更新)

 認証はやっぱり One-Time Password だなあと思う。

CERT/CC Current Activity
(from セキュリティアンテナ, Thu Nov 2 09:04:54 GMT-0500 2000)

 あいかわらず rpc.statd と wu-ftpd は流行っているようですね。

NTFS Alternate Data Streams
(from focus-ms, Tue, 31 Oct 2000 20:49:24 +0900)

 ADS (Alternate Data Streams) って実行できるんだ……へえ〜。 ADS の有無って、Tripwire とかで check できるのかしら。


私について