セキュリティホール memo - 2001.08

Last modified: Tue Apr 15 13:02:37 2003 +0900 (JST)


2001.08.31

ITコマースの脆弱な現実と危機回避に向けた展望
(SecurIT, 2001年8月31日)

 開発者、運用者のセキュリティ意識のあまりの低さの一端がうかがえる。

 これは SecurIT がつかんでいる情報のほんとうに一端なんだろうなあ。 やっぱり「痛みを恐れず」ドカッと公開してほしいところだ。 日本の腐った IT をぜひ改革していただきたい。

「個人情報漏えいなどの危険があるWebアプリが多数存在」 ---ラック コンピュータセキュリティ研究所が警告
(日経 IT Pro, 2001/08/30)

 最近ではいたるところにカスタム web アプリがありますが、 そういうやつには穴があることが多いという話。 実体はやはりそういうことのようです。 [memo:1126] セキュアなシステムの構築について から続くスレッドでも議論されてますが、 「セキュアなプログラミング」をデフォルトにするための施策が必要なんですよねえ。 まずは日本語ドキュメントかなあ、やっぱり。 [memo:1135] を見ても、圧倒的に英語文献が多いわけで。 [memo:1147][memo:1150] でも参考文献が紹介されてます。

 SecurIT でも数々の脆弱性を発見されているらしいのですが、 SecurIT の top 方面が情報公開を拒否しているらしいです。 そのような状況こそが、日本のネットワークセキュリティレベルを押し下げているということが理解できないのかなあ。 セキュリティなき「IT 革命」が何をもたらすのかを想像できないのかなあ。 現場で働いているプログラマー一人一人が「セキュアなプログラミング」を実行できない限り、いつまでたっても穴はなくならない (ばかりか増えつづける) と思うのだが。


2001.08.30

Windows 関連
(various)

SecurityFocus.com Newsletter #107 2001-8-17->2001-8-22
(BUGTRAQ-JP, Tue, 28 Aug 2001 23:50:45 +0900)

 SecurityFocus.com Newsletter 第 107 号日本語版 (テキスト, 英語版)。

UNIX 関連
(various)

FreeBSD
NetBSD
IBM AIX
Sun Solaris

ISS Advisory: Remote Buffer Overflow Vulnerability in BSD Line Printer Daemon
(BUGTRAQ, Thu, 30 Aug 2001 04:02:12 +0900)

 OpenBSD-current, FreeBSD 4.3 以前, NetBSD 1.5.1 以前, BSD/OS 4.1 以前の lpd に弱点。buffer overflow するため、remote から lpd 動作権限 (通常 root) で任意のコードを実行できてしまう。 BSD/OS 4.2 にはこの弱点はない。 この弱点を利用した攻撃を実行するには lpd が起動している必要があるため、 緊急回避措置としては lpd を停止すればよい。

 BSD/OS 4.1 と OpenBSD 2.9 は fix が発表されている: BSD/OS 4.1, OpenBSD 2.9。 FreeBSD でも既に 直っている し NetBSD でも 直っている ので早晩 advisory が発表されるだろう。

 関連:

2001.09.03 追記:


2001.08.29

JPNICがメールマガジン発行
(slashdot.jp, Tuesday August 28, @09:50AM)

 [memo:1143] でも紹介されているが、ダメダメな状況の模様。 JPNIC ってどんどんダメダメになっていっているような気がするんだが、気のせいだろうか。

「中間整理は遺憾」と日弁連 行政機関の個人情報保護法制で
(MAINICHI Interactive, 2001年8月28日)

 日弁連自身の発表はこれ: 行政機関等個人情報保護法制研究会中間整理に対する意見書。 しょせんは総務省ということか。


2001.08.28

追記

 2001.08.23 の マイクロソフト製品をより安心してご利用いただくための ホームユーザー向けセキュリティ対策早わかりガイド: 修正プログラムをインストールしてセキュリティ対策を行いましょう!追記した。 [memo:1124] を追記。

操作が容易な IIS用セキュリティ・ツールを米Microsoftが公開
(日経 IT Pro, 2001/08/24)

 IIS 4.0/5.0 対応の IIS lockdown tool の話。 ようやく、本当にようやく、こういうツールが出てきましたか。 というか、Code Red 級の被害が発生しないと変わらないってことなんですかね。 それではあまりにも悲しいものがあると思うのだが。 IIS 6 ではデフォルトでこうなっていてほしいものだ……が、どうなんでしょ。

 B-) さんち の IIS Lockdown Tool(2001/8/28) も参照。

本当に役立つ? MSの新しいセキュリティー診断ツール(上)
(WIRED NEWS, 2001年8月24日 2:00am PDT)

 いやあ、「魂の叫び」という感じでいいですねえ。

永遠の命を持った『Code Red』ワーム
(CNET News, Mon 27 Aug 2001 9:35 PT)

 永遠? 根絶させることは可能でしょう。 そのためのしくみの作成がサボられているだけであって。 もっとも、アレゲな実装にするとプライバシー屋さんから文句言われるかもしれないから注意しないといけないんだけど。 やっぱ Windows Update が期待を裏切りつづけているってのがガンなような。

Interview:情報の「責任ある開示」を提唱するNTBugtraqのモデレーター
(ZDNet Enterprise, 2001.08.13)

 現時点での最重要問題は、fix を出す前にどうするかではなく、 出した後にどうやって管理者に知ってもらうか & 適用してもらうかだと思うんだが。 Responsible Disclosure Forum は前者に関することだよね。 fix がきちんと適用されていれば、Code Red とか sadmind/IIS とか先日のプライスロトのやつとかは何の影響もなかったわけで。

米軍、国防総省等の規格に準拠したデータ抹消ソフトの強化版を新発売 〜パーソナルメディアが「ディスクシュレッダー・スーパー」を9月18日より出荷〜
(MAINICHI Interactive, 2001.08.27)

 関連文書をさがしてみました:

 Secret and Below Interoperability (SABI) とか Federation of American Scientists (FAS) にはいろんな情報があるんですね。 「NSA 推奨方式」ってどんなのだろう。

 ……森田さんから情報をいただきました (ありがとうございます):

NSA 推奨のデータ抹消形式ですが、 NetJapan が出している Data Gone と言うソフトでは以下のようになってます。
NSA 標準: 2 種類のランダムパターンとゼロを書き込む
旧 NSA 標準:すべてのバイトをゼロに設定して、ディスクを 3 回上書きする (ディスクを 1->0->1 に設定する)
だそうです。

 Gutmann さん方式ですが、「単に CPU が考えている 0/1 を書く (disk に 0/1 で書いたつもりになる) のではなく、実際に disk に書かれる状態での 0/1 を考えた上で、磁気読みとり装置でもみつけられないような情報消去を実行する」 ためにはどうすればいいか……という話のように見えます > B-) さん

 Jetico の BCWipe for UNIX には、DoD 5200.28 と Gutmann さん方式が実装されているそうです。 wipe -bv /dev/hda とかイケるそうです。 1FD UNIX (Linux, *BSD) をつくって BCWipe for UNIX を載せれば ok ok なのかな。 Windows 版には DoD 5200.28 しかないようです。


2001.08.27


2001.08.24

追記

 2001.07.19 の multiple vendor telnet daemon vulnerability追記した。 IRIX, Vine, Turbo を追記。


2001.08.23

追記

 2001.08.22 の *ALERT* UPDATED BID 3163 (URGENCY 6.58): Sendmail Debugger Arbitrary Code Execution Vulnerability (fwd)追記した。 hsj さんの exploit を試してみました。

マイクロソフト製品をより安心してご利用いただくための ホームユーザー向けセキュリティ対策早わかりガイド: 修正プログラムをインストールしてセキュリティ対策を行いましょう!
(Microsoft, 2001.08.21)

 コンシュマー向け製品 (Windows 9x/Me, IE, Office, ...) についての、セキュリティ関連 hotfix 一覧。 すばらしい。 ただし、いくつかの最新バージョン (IE 5.5 SP2, Office 2000 SP2, ...) に関する記述がないのはいただけない。 fix を適用する必要がないならないで、そのように記述すべきだよねえ。

2001.08.28 追記:

 [memo:1124] によると、「中身のリストがよく検証されてないように思え」るそうです。

Warhol Worms: The Potential for Very Fast Internet Plagues
(incidents.org, 2001.08.21)

 Code Red / Code Red II は、感染先を探すのに乱数を使ったりしているが、 最初の感染を行う際に、感染可能であることがあらかじめ判明している site のリストを 50,000 サイトほど与えておけば、感染スピードは驚くほど速くできる (15 分以内) という話のようだ。

 Flash Worms: Thirty Seconds to Infect the Internet ではさらに、もっと速く、30 秒以内にできるという話になっている。 あらかじめ、全ての (!!) IPv4 address 空間を調べてしまえ、ということみたい。 いやはや。そういう意味でもやっぱり時代は IPv6 ということなのでしょうか。 なにか違うような気がするけど……。

 初代 Code Red は、さんざん騒がれた後にようやく whitehouse.gov を DDoS 攻撃しようとしたので対応できたが、 上記のような超高速拡散が本当に実現可能であれば、超高速拡散直後の、 対応不可能な DDoS 攻撃が可能となってしまうような。


2001.08.22

 我が家の台風被害: すだれ x 1。 被害程度: 崩壊 (^^;)。 撤去しておくべきだった……。

[memo:1078] CodeRedII 亜種
(memo ML, Wed, 22 Aug 2001 18:54:15 +0900)

 Code Red II の亜種が登場した模様です。[memo:1079] とあわせると、特徴は:

*ALERT* UPDATED BID 3163 (URGENCY 6.58): Sendmail Debugger Arbitrary Code Execution Vulnerability (fwd)
(BUGTRAQ, Wed, 22 Aug 2001 01:04:08 +0900)

 sendmail 8.11.0 以降に弱点。 sendmail のデバッグ機能 (-d) で指定する整数値は tTflag() 関数において signed int として扱われているが、 -d の引数に巨大な数値を指定すると、これを overflow させることができる。 これを利用すると、local user が root 権限を得られる可能性がある。 sendmail 8.11.6 および 8.12.0.Beta19 以降で fix されている。

 OpenBSD fix: 013: SECURITY FIX: August 21, 2001。 FreeBSD: CVS log for src/contrib/sendmail/src/trace.c

2001.08.23 追記:

 hsj さんち などに exploit 出てます。 hsj さんの exploit を FreeBSD 4.3-RELEASE で試すと root 取れました。 で、patch を試すと root 取れなくなりました。 ports の postfix を入れていたりしても /usr/libexec/sendmail/sendmail はちゃんと残ってたりするので、patch あてられない人は suid 落とすとか削除するとかしときましょう。

from JPCERT/CC
(JPCERT/CC)

JPCERT/CC Alert 2001-08-21: Linux の telnetd に含まれる脆弱性に関する注意喚起

2001.08.19 の UNIX もの に載せてる話。 しかし、Multiple Vendor Telnetd Buffer Overflow Vulnerability とは異なります、ってどういう意味なんだろう。 問題点としては同じだと思うんだけど。

JPCERT/CC REPORT 2001-08-22

ここ にも書いたけど、 [2] CIAC Bulletin L-131 IBM AIX telnetd Buffer Overflow も同じ話ですよね。

IT Professional への道: 第 5 回: 緊急! セキュリティの再確認
(B-), 2001/8/22)

 話を「port 80」「致命的」に限定すれば、やっぱ多いですよ IIS の弱点は。 port 80 は穴をあけてしまうサービスの筆頭ですし。 まあ、OS のデフォルトインストールが弱いのも火に油を注いでいるので、 IIS だけを責めてもアレなんですけどね。 逆に言えば、セキュアインストールしておけば、かなりの攻撃を防げもするわけで。 最初が肝心です。

 ところで、一度飲んでみたい Code Red なんですが、 どっか入手しやすい場所に売ってませんかねえ。

 そういえば、 Original Code Red Switching Back to DDoS Mode Today だそうで。

Code Red による深刻な問題に対する防護策と対処方法についての説明: よくある質問と回答
(Microsoft TechNet Flash Japan, 8/22)

 Microsoft による、Code Red FAQ。 IIS 4.0 は感染するのか? 問題については 「IIS 4.0 へ攻撃が行なわれた場合には、idq.dll の未チェックバッファに書き込まれたプログラムが不正な動作を行なうため、IIS のサービスがイベントログへの記録も行なわずに停止します。この場合、ワームによる他のコンピュータへの感染は行なわれませんが、停止したサービスを復旧する必要があります」 と明記されています。

 というわけで、 「影響を受ける」は正しいが、「感染する」は間違いなのだと思います。 もちろん、IIS 4.0 でも感染する新版が登場すれば落ちるだけじゃ済みませんから、 ちゃんと hotfix (今なら MS01-044) を適用しておきましょう。

 ちなみに、hsj さんからは 「ぼくも個人的に、NT4.0 / IIS4用の.ida exploitはつくったのですが、 作成する際に、EIPへのオフセット自体は同じでしたが、 そこからshellcodeへジャンプするルーチンに変更が必要でした」 という情報をいただいています (ずいぶん前にいただいていたのですが、 紹介がおそくてすいません _o_)。

2001.09.05 追記:

 FAQ にこんな記述が追加されているし……。 もっと強くアナウンスすべきだと思うんだが。

Q. 感染するのは Windows 2000 だけですか ?
A. 本 FAQ の公開当初は、感染するのは Windows 2000 のみであることが確認されていました。 しかし 2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されています。 Code Red の種類や Windows NT/2000 の状態によっても感染の有無は変化いたします。 そのため、全ての環境で感染する可能性があると考えるべきです。

 また、IIS 3.0 は

Q. IIS 3.0 は、影響を受けますか ?
A. 影響を受ける場合があります。 Index Server 1.1 をインストールしている環境のみ影響を受けます。Dos 攻撃を受けますが、感染することはありません。

だそうです。

 IHA さん情報ありがとうございます。

追記

 2001.08.21 の 特定WebにアクセスするとPCに致命傷,Javaスクリプトで被害追記した。 トレンドマイクロ情報、Un FUCK japanese、脆弱性チェックページ。


2001.08.21

SecurityFocus.com Newsletter #106 2001-8-10->2001-8-15
(BUGTRAQ-JP, Tue, 21 Aug 2001 14:44:27 +0900)

 SecurityFocus.com Newsletter 第 106 号日本語版 (テキスト, 英語版)。

ファイアウォール運用の基礎: 構築したファイアウォールの動作テスト
(@IT, 2001/8/16)

 フリーソフトによるファイアウォール構築 でつくったもののテスト。hping2 の利用例なども掲載されている。

 loki / loki 2 のように ICMP を使って壁抜けを図るツールもあるので ICMP を止めたくなる気持ちはわかるのですが、 外からの ICMP を全部止めると、たとえば path MTU discovery が動かない といった障害が発生します。 フィルタはよぉく考えてから設定してください。 キツくしすぎると使えないネットワークになるかもしれません。

 あと、private address だけじゃなくて Immediate Actions Requested Of All Organizations Connected To The Internet に書いてあるアドレスからのパケットも止めたほうがいいと思います。

特定WebにアクセスするとPCに致命傷,Javaスクリプトで被害
(ZDNet, 2001年8月20日 09:34 PM 更新)

 昨日の [memo:1042] 新種のウイルス? の話。関連:

2001.08.22 追記:

2002.02.17 追記:

 プライスロトからのメール 。 「メディアゲート株式会社 ハッカーによるプログラム改ざんに関して」 ですって。


2001.08.20

警察庁電子メール盗聴装置「仕様書」
(aml ML, Tue, 07 Aug 2001 03:35:46 +0900)

 なかなかにナマナマしい資料です。 崎山さんの 警察庁電子メール盗聴装置の問題点 も参照。

memo ML topics
(memo ML)

 なんかたまってるので……。

追記

 2001.08.19 の Microsoft Security Bulletins追記した。 MS01-041 fix は SRP に含まれているの間違いでした。 山下さん情報ありがとうございます。

SNS Advisories
(セキュリティアンテナ)

Code Red 方面
(various)


2001.08.19

UNIX もの
(various)

FreeBSD
Debian GNU/Linux
RedHat Linux

CERT(R) Advisory CA-2001-24 Vulnerability in OpenView and NetView
(CERT/CC, August 15, 2001)

 UNIX / Windows 版の HP OpenView Network Node Manager (NNM) Version 6.1, Tivoli NetView Versions 5.x / 6.x に弱点。 これらに含まれる ovactuibd に弱点があり、remote から ovactuibd 動作権限 (local SYSTEM, bin 等) でコマンドを実行できてしまう。 patch があるので適用すればよい。

 日本語版: reasoning.orgLAC

Microsoft Security Bulletins
(Microsoft Product Security Notification Service)

 新規:

 改訂など:


2001.08.12


2001.08.09


2001.08.08


2001.08.07

[memo:941] Re: MS ISA etc.
(memo ML, Sat, 04 Aug 2001 21:24:46 +0900)

 Microsoft Internet Security and Acceleration Server 2000 に弱点。 Cross-Site Scripting 問題があり、しかも Microsoft はそれを即座に修正するつもりがない。 「クリックさせない限り成功しない」 なんて言いわけが通用しないことは、それこそ Outlook/OutlookExpress 系列でさんざん判明しているはずにもかかわらず、まだそういうことを言っている。 insecure by default、はいいかげんやめてほしい。

2001.08.19 追記: MS01-045: ISA Server H.323 Gatekeeper Service Contains Memory Leak で fix された。 patch があるので適用すればよい。 日本語版に適用しても ok のようだ。

Outlook を使いつづける事は善か悪か
(slashdot.jp, Thursday August 02, @09:45PM)

 とりあえず、 最新の virus 定義データにしたうえで virus check してからでないと添付ファイルは開けちゃダメなのは Outlook/OutlookExpress じゃなくても同じですし。 IE 5.01 SP2/IE 5.5 SP2 の OutlookExpress なら、メールは制限つきゾーンで扱われて、ActiveScript は動かなくなるはずです。 制限つきゾーンの設定はデフォルトよりもさらにガチガチにしたほうがいいのは確かですけど。

 MS 製品が「便利さ」を優先してセキュリティとか管理とかはそっちのけだった、ってのは確かにあって。 で、後付けしようとするんだけど、「互換性」とか言うひとがいるので後付けもなかなかすすまない、ってのも事実でしょう。 ってのは Windows 2000 の c:\ を見れば明らかなわけで。 アレを見るたびに虚しさを覚えます。

 最近の MS は「secure by default」とか言っているようなのですが、 [memo:941] を読むと「ダメだこりゃ」とか思ったりするわけで。 「secure by default」を末端まで浸透させないと。 鎖はいちばん弱いところから切れますから。

 個人的には、デフォルトでは添付ファイルも HTML メールも読めないような MUA を使ってます。 安全側に倒れたいのなら、そういう「不便な」MUA を使ったほうがいいのは確かだと思います。


2001.08.06

 16:45 ごろから、上流である京大の停電と、 これに起因する学内ネットワークの不調により、 21:00 ごろまで外部からこのページの閲覧ができませんでした。 すんません。

Oracle もの
(BUGTRAQ)

 buffer overflow が発生するため、oracle group ユーザが root 権限を得られたり、 local user が oracle ユーザ権限を得られたり、local user が oracle ユーザ所有のファイルを読めたりするという指摘。

UNIX fixes
(various)

TurboLinux
FreeBSD

FreeBSD Security Advisory FreeBSD-SA-01:51.openssl [REVISED]

訂正版。

Sun

Sun Security Bulletin #00205: in.ftpd

[COVERT-2001-02] Globbing Vulnerabilities in Multiple FTP Daemons の fix。遅すぎ。

Code Red II
(various)

 Code Red の新種 "Code Red II" が登場し、活発に活動中の模様。 "Code Red II" は、単に感染する/させるだけでなく、 local SYSTEM で動く backdoor の (かなりしつこい) 植えつけが含まれ、 悪質さはさらに増している。 このため、"Code Red II" によるアクセスログを見るだけで、 使い放題の shell account が手に入るという、とんでもない状況になっている。 Code Red v1/v2 と Code Red II は全くの別物なのでご注意。

 なお、いままでの亜種が Code Red version 1 (CRv1)、Code Red version 2 (CRv2) と呼ばれてきたため、"Code Red II" は Code Red version 3 とか "Code Red III" と呼ばれる場合もあるようです。

 なお、これまでの状況については以下を参照:


2001.08.03

分散コンピューティングソフト導入で牢屋行き? システム管理者の悪夢
(ZDNet, 2001年8月2日 03:48 PM)

 他人事ではない人はけっこういるでしょう。 「一方,Covington教授は,この件が原因で人々がジョージア州に悪いイメージを持つのではと心配している」、当然の心配ですが、もう遅いような気が。

追記

 2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm追記した。 現在の状況、関連記事など。

学校のIT教育現場も人材不足 第3回 安全対策が危ない
(@IT, 2001/8/3)

 「教職員への教育」というのは、常に後手にまわるものですね。 ガセネタやウソを説いてまわる「エラい先生」や「自称パワーユーザー」、 アヤしいシステムを構築しようとする「信じられないエンジニア (通称 SE)」も少なくありませんし。


2001.08.02

MS01-035 Hot Fix for IIS
(BUGTRAQ, Wed, 01 Aug 2001 22:24:12 +0900)

 MS01-035: FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む の patch を適用後、 Windows 2000 Advanced Server SP2 の IIS MMC で server extensions tab をクリックすると IIS MMC が落ちてしまうという話。 MS 自身 patch にマズいところがあった事を認めているが、 MS の推奨は「patch 適用」ではなく「Visual Interdev RAD 自身のアンインストール」 だそうだ。 そうなんだろうけど、そういうこと言うなら IIS インストールのデフォルトで check 入れないでよねえ。

JPCERT/CC REPORT 2001-08-01
(JPCERT/CC, 2001.08.01)

 tcpdump は current で直っているんですって。

追記

 2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm追記した。 関連記事、anti-virus 各社の対応、など。


2001.08.01

追記

 2001.07.19 の multiple vendor telnet daemon vulnerability追記した。 MIT Kerberos, AIX の情報を追記。


[セキュリティホール memo]
私について