セキュリティホール memo - 2001.10

Last modified: Wed May 12 20:28:37 2004 +0900 (JST)


2001.10.31

追記

 2001.10.30 の [pml-security,00137] HFNetChk セキュリティパッチの適応を確認する追記した。 日経 IT Pro の「今週のSecurity Check [Windows編]」に関連記事。

Microsoft Security Tool Kit のリリース ノート
(新着サポート技術情報, 2001/10/30)

 「インストーラは、最も無難なインストール方式を推奨するようになっています。たとえば、Microsoft Internet Explorer 5.01 がインストールされている場合、 Internet Explorer 5.5 Service Pack 2 ではなく Internet Explorer 5.01 Service Pack 2 が勧められます。これは、Internet Explorer 5.01 Service Pack 2 が、基本的なセキュリティを確保するための最小要件であるためです」。 ようやくこういうマトモな対応がされるようになったということかな。

[IIS]INFO: URLScan セキュリティ ツールについて
(新着サポート技術情報, 2001/10/30)

 Windows 2000 World 2001.12 と [port139:00737] URLScan の [DenyUrlSequences] も参照。

[IIS] IIS 5.0 でダイジェスト認証を有効にする方法
(新着サポート技術情報, 2001/10/30)

 「IIS 5.0 でダイジェスト認証を使用するためには、IIS のコンピュータは Active Directory を使用した Windows 2000 ドメインに参加している必要があります 」ってのがねえ。気軽には使えないんですよね。 MSDN online library にも「ダイジェスト認証は、Windows 2000 ドメイン コントローラを備えているドメインでのみ稼働します」って書いてあるし。

[IE6] Cookieの使用を許可している時もプライバシアイコンが表示される
(新着サポート技術情報, 2001/10/30)

 リロードすればよい、と。

[IE6] Webコンテンツゾーンのセキュリティ設定に加えられた変更
(新着サポート技術情報, 2001/10/30)

 「制限付きサイトのゾーン設定に関する変更……[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行] は [無効にする] に設定されますが、以前の設定は保持されます 」。 なぜわざわざ保持するかなあ。 アクティブ スクリプトは無効にしてるのに。

[IE5.5] スクリプトの cookie 配列の管理時にパフォーマンスが低下する
(新着サポート技術情報, 2001/10/30)

 DoS 攻撃が可能という意味かな。

[IE6] ローカル イントラネット のサイトごとのプライバシー設定を削除できない
(新着サポート技術情報, 2001/10/30)

 インポート処理に問題があるということなのかな。

Web サイト証明時の表示の一部が誤って表示される
(新着サポート技術情報, 2001/10/31)

 [memo:938], [memo:1640] で指摘されている話。hotfix 出してほしいよね。


2001.10.30

Gartner Column:第20回 マイクロソフトのセキュリティに対する考え方は根本的に間違っていないか?
(ZDNet エンタープライズ, 2001.10.29)

 JWUTNG 2nd Open Talk in MSC 大阪が終ったあとの宴会で聞いた話の印象だと、 US のヒトは「こんな機能できたぜ!」「Cooooooooooooooooooool!」って感じのノリでいきなり機能を追加しちゃうって感じ、らしい (未確認度 120%)。

 まあそれはともかく、.NET Server / IIS 6 ではだいぶマシになるっぽいのですが、フタを開けるとどうなるやら。

Javascript in IE may spoof the whole screen
(BUGTRAQ, Mon, 22 Oct 2001 01:01:21 +0900)

 DoS 系かなあ。

UNIX 関連
(various)

RedHat
AIX

追記

 2001.10.23 の SEshop.com セキュリティメンテナンス実施のお知らせ追記した。 「セキュリティ・カンファレンス 2001」で顛末が公開された模様。

[pml-security,00137] HFNetChk セキュリティパッチの適応を確認する
(pml-security ML, Sat, 27 Oct 2001 00:27:51 +0900)

 HFNetChk、待望の日本語対応。 リモートからも実施できる [pml-security,00138]。 手元では、MS01-007 を再入手して適用する必要があった。 いやあしかし、便利ですこれは。

2001.10.31 追記:

 関連記事: Windows製品のセキュリティを高めるツール「HFNetChk」の日本語版が登場 ただし,チェックの際には一時的にセキュリティ上は望ましくない状態に (日経 IT Pro)。 チェックサムについては早期対応を期待したいですよね。


2001.10.29

FML Advisory 2001-001: $AUTO_HTML_GEN pass through invalid URL (HTML 化機構が悪意ある URL を通過させ得る)
(fml-help ML, Sat, 27 Oct 2001 02:44:53 +0900)

 fml の内蔵 html 化機構を利用している場合、Subject: や From: に含まれた HTML タグがエスケープされないため、これらを利用してさまざまな攻撃を実施できてしまう。発生する危険性の詳細: [memo:1759]。 最初の指摘文書: [memo:1756]

 対策としては、 fml の内蔵 html 化機構を停止するか、 ftp://ftp.fml.org/pub/fml/workaround-fix2/ にある libsynchtml.pl および libhtmlsubr.pl に入れかえるか、 もうすぐ登場する (らしい) 4.0.3 release 以降に入れかえる。

[memo:1753] JScriptでクリップボード盗聴のセキュリティホール仕様
(memo ML, Fri, 26 Oct 2001 15:46:41 +0900)

 MS の JScript に「仕様という名の大穴がある」という話。 つづき: [memo:1755]高木さんによるデモ。 結局 IE 6 でも「仕様」のままですので、気になる人 (ふつう気になるぞ!) は「スクリプトによる貼り付け処理の許可」を「無効にする」にしましょう。

行政の個人情報保護の改正求める、総務省研究会
(毎日, 2001-10-26)

 【解説】なお不十分な公的分野の個人情報保護法制 (毎日)。 「国、民間部門、地方自治体レベルでは異なった保護規範に従うというちぐはぐなシステム」 のまま 役所への届け出、大半はネットで 総務省が計画 なんてのまでイっちゃうわけで。こんな状況でいいわけないぞ。

[port139:00752] Hotfix の再適用
(port139 ML, Tue, 23 Oct 2001 09:42:45 +0900)

 Windows 2000 においても「hotfix の再適用」が必要なケースが存在する、という話。 Windows 2000 World 2001.12 は「解題 マイクロソフト サポート技術情報」もなかなか。

 しかし、やっぱり SOHO 環境で IIS というのは、避けた方がいいような気がするなあ。 Windows Media とかやりたいとなるとしかたないのだろうけど。

追記

 2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service追記した。 日経 IT Pro 解説記事を追加。 。

SecurityFocus.com Newsletter #115 2001-10-13->2001-10-17
(BUGTRAQ-JP, Mon, 29 Oct 2001 14:54:20 +0900)

 SecurityFocus.com Newsletter 第 115 号日本語版 (テキスト)。

SecurityFocus.com Newsletter #114 2001-10-06->2001-10-09
(BUGTRAQ-JP, Sun, 21 Oct 2001 13:15:12 +0900)

 SecurityFocus.com Newsletter 第 114 号日本語版 (テキスト, 英語版)。

Alert: Non-responding servers after deploying newest Trend signature/engine
(NTBUGTRAQ, Sun, 28 Oct 2001 22:14:05 +0900)

 検索エンジン ver. 5.600 公開停止に関するお詫びと再公開のお知らせ で「一時中止」になった「海外で確認された問題」の実例報告。 報告者は Windows 2000 + DFS だった模様。

追記

 2001.10.25 の [memo:1724] コンソールプログラムで Windows 2000 がハングアップする追記した。 fj.os.ms-windows.programming の記事、今回の件とは異なる、コマンドプロンプトからのクラッシュ手法 (米山さん情報ありがとうございます) など。

追記

 2001.10.25 の Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow追記した。 cert.org に mail してみたら、ようやく Vulnerability Note の読みかたがわかった。


2001.10.26

Oracle もの 4 つ
(BUGTRAQ 他)

 http://otn.oracle.com/deploy/security/alerts.htm に情報があるようです。


2001.10.25

[memo:1724] コンソールプログラムで Windows 2000 がハングアップする
(memo ML, Thu, 25 Oct 2001 10:32:38 +0900)

 タブとバックスペースを連続出力するだけの単純なプログラムを Windows NT 4.0/2000 のコマンドプロンプトから実行すると、OS がハングアップあるいはリブートしてしまうという指摘。 Windows 98 では問題ないという。 エラー画面perl でも発生Java でも発生し、 cygwin では Cygwinのライブラリーを使わないようにすると発生する。 直接制御コードを埋めこめば、 バッチファイルでも発生する。 そして、 このバグを利用した ActiveX コントロールの作成は可能である と指摘されている。

 バックスペースを連打すると落ちることがあるそうで、 今回の状況との関連を指摘する人もいる。 サウンドを止めると現象が発生しなくなったという事例も報告されているが、 一般的には関係ないようだ。

 手元でも再現できた (VisualStudio インストールした……)。 うーむ……。

2001.10.29 追記:

 fj.os.ms-windows.programming の記事: Windows2000がハングアップするバグについて。 いや、google.com のやつの方がいいな: Windows 2000がハングアップするバ グについて。 \t が重要な要素のようです。

 [memo:1765] にはリモート DoS (?!) の例がある。

 関連: コンソールプログラムでWindows 2000がハングアップ (slashdot.jp)。リブートしてしまう .bat ファイルの例コンソール出力APIの問題? という意見もある。

 また、米山さんから以下の情報をいただきました (ありがとうございます):

既知の情報かもしれませんが、Windows2000をクラッシュ(BSOD)
させる方法が某CHATで流れてたので報告します。
既にご存知でしたら、聞かなかったことにしてください。。。

1. コマンドプロンプトを起動
2. dir /s
3. スクロールしている間にF7キーを押し、Enterキーを押し、さらにCtrl+Cを押す
4. 2〜3をもう1回繰り返す

 手元の Windows 2000 SP2 日本語版でも見事に再現できました。うーむ。

2002.08.05 追記:

 Windows 2000 SP3 で修正された模様: [memo:4711]

追記

 2001.09.04 の Timing Analysis of Keystrokes and Timing Attacks on SSH追記した。 対抗 patch が開発された。

追記

 2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure追記した。 日本語版 Windows 2000 patch 登場。

Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow
(CERT/CC, 2001.10.24)

 BindView advisory: sshd remote root (bug in deattack.c) の話。さきほど登場した ssh 1.2.32 では word32 になっているし、 rsaglue.c などにも手が入ってます (BUGTRAQ で流れてたのと同じ内容)。 openssh も 2.3.0 で fix されたはずですが、それでも実は直ってないという話……には見えないしなあ。よくわからん。

 関連: securitynewsportal.com hacked (incidents ML)

2001.10.29 追記:

 cert.org に mail してみたら、ようやく Vulnerability Note の読みかたがわかった (Jeffrey P. Lanza さん回答ありがとうございます)。 Systems Affected にある SSH Communications SecurityOpenSSH をたどると、そこは各ベンダーのホームページへのリンクがあるわけではなく、 各ソフトウェアのステータス詳細が記載されているのだ。 で、そこにはちゃんと「ssh 1.2.32 で fix されたと考えられる」 「OpenSSH 2.3.0 で fix されたと考えられる」と書いてある。 どうやら CERT/CC は、各ベンダーからの「正式な回答」があるまでは Status: Vulnerable としているようだ。 ……いや、そうじゃなくて、 Hewlett Packard Information for VU#131923 FreeBSD Information for VU#131923 を見る限り、 どうやら「デフォルト状態で脆弱性があるか否か」のようだ。

 なぜ「Vulnerable」の方にアンカーしないのだ。 あるいは、なぜ top page に patch availability を記述しないのだ。 私にはわかりにくいのだが、他の人はそうでもないのかなあ。

IE 6のプライバシ管理機能(前編・中編) —— IE 6で追加されたCookie管理機能のしくみを理解する ——
(@IT, 2001/10/20)

 かゆいところに手がとどく記事で、たいへんありがたいです。コンパクト・ポリシーってそういうものだったんだ。勉強になるなあ。

 後編にも大期待。

セキュリティ アップデート MS00-024 で SHGetFolderPath が機能しなくなる
(新着サポート技術情報, 2001.10.23)

 つまり、IE 5.5 SP2 でしか fix されてないってことなの?

 ……青木さんから以下の情報をいただきました (ありがとうございます)。

MS00-024 はレジストリのアクセス権を修正するだけのようです。
shfolder.dll に依存するということなのでそのバージョンを
追っかけてみました。

NT4.0 + SP6a + IE501 SP2 + MS00-024 の状態で

5.00.3314.2100
     ↓
    SRP を適用
     ↓
5.50.4719.1100 (US の KB Q303437 に記載されているバージョンと同じ)
     ↓
   IE5.5 SP2 をインストール
     ↓
5.50.4807.2300 (IE5.5 SP2 のバージョンになった)

で、Users 権限での SHGetFolderPath の挙動なんですが、
具体的にどこのレジストリのアクセス権で蹴られるのか分からない
のですが、SHGetFolderPath の第 2 引数に CSIDL_COMMON_ADMINTOOLS
または CSIDL_COMMON_APPDATA を指定した場合、

最初の状態が
CSIDL_COMMON_ADMINTOOLS: Error: 1411
CSIDL_COMMON_APPDATA: Error: 1411

SRP を適用すると
CSIDL_COMMON_ADMINTOOLS: The folder does not exist.
CSIDL_COMMON_APPDATA: C:\WINNT\Profiles\All Users\Application Data

IE5.5 SP2 を入れた後では
CSIDL_COMMON_ADMINTOOLS: Error: 1411
CSIDL_COMMON_APPDATA: Error: 1411

という結果で、SRP を適用した状態が最も正しいような
気がします。IE5.5 SP2 ではだめなような。。。
ちなみに、Error 1411 は GetLastError() の戻り値なのですが
「そのクラスはありません。」で、ますます分かりませんねぇ。
ちなみに、admin ではどの場合にも同じ結果 (上記で言う SRP の状態)
になるので、Users 権限ではやはりアクセス権で蹴られている
ようです。

http://www.microsoft.com/japan/support/kb/articles/JP303/4/37.htm
しかし、この KB はなんだか奥歯に物が挟まったような言い方で
要領を得ないですね。

 謎が謎を呼ぶ世界でしょうか。「真実は見えるか。」


2001.10.24

UNIX fixes
(various)

Sun
IRIX
RedHat

Trends in Denial of Service Attack Technology
(CERT/CC, October 19, 2001)

 DoS / DDoS 攻撃技術のトレンド。手動 → 自動、UNIX → Windows、特殊制御プロトコル → IRC 利用、などなど。概念的な話が多いので、これを読むまえに、たとえば The Strange Tale of the DENIAL OF SERVICES Attacks Against GRC.COM あたりで生々しい実例を頭に入れておくと読みやすいかもしれません。 VPN していると Personal Firewall が効かない場合がある、なんて話も出ています。

 それにしても、DDoS なんてのが出てきてまだ 2 年ちょっとくらいなんですねえ。

追記

 2001.10.18 の from memo ML追記した。 Java クリップボード問題関連続報。Sun と HP から情報が。 あなたの Netscape 6、Java SDK / JRE にも問題があるかも。

セキュリティポリシー策定 都道府県でわずか12.8%
(毎日インタラクティブ, 2001-10-23)

 こういう状況で 役所への届け出、大半はネットで 総務省が計画 されているのだよね。 まあ、半径 10km 全員顔見知りなんていうトコロと対テロ厳戒なトコロとでは意識が違ってあたりまえなんだけど、総務省計画が実現されれば、攻撃は世界中から予想されるわけで。鎖のいちばん弱いトコがボロッといってしまう。 この寒すぎる状況をなんとかしないとホントにヤバイのだが、うーむ……。

追記

 2001.10.12 の 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (MS01-051)追記した。 関連記事追加。

追記

 2001.10.04 の MacOS X 関連追記した。 MS から Security Bulletin 登場。

【2001/10/23】『今週のSecurity Check』拡大版 講演資料公開
(直接 mail, Tue, 23 Oct 2001 21:50:06 +0900)

 『今週のSecurity Check』拡大版の講演資料、ppt 94 枚が 3 分割されて公開されてます。 ありがたいことです。 山下さん (情報ともども) ありがとうございます。

2.2.20pre11 is out - security fixes censored
(cryptme, 2001.10.23?)

 DMCA の影響がこんなところにも。 アメリカはどこへ行く。

 cryptmeEFF をアンテナに加えました。


2001.10.23

SEshop.com セキュリティメンテナンス実施のお知らせ
(直接 mail, Tue, 23 Oct 2001 17:27:37 +0900)

 これまでの流れから想像すると、やはり cross-site scripting 脆弱性があったということなのかな? 詳細は「セキュリティ・カンファレンス 2001」で公開されるのだろうか。 「このようにして脆弱性を見逃してしまった」「このように対策した」というような実例が報告されるとうれしい人はたくさんいると思うが、さて……。

 title 文字列は「セキュリティメンテナンス実施のお知らせ」なのに本文では「SEshop.comのシステムメンテナンス実施のお知らせ」なのはとても気になる。

 匿名希望さん情報ありがとうございます。

2001.10.30 追記:

 「セキュリティ・カンファレンス 2001」で顛末が公開された模様です [connect24h:0573]。 英断に拍手。

RSA Security ACE/Agent for Windows 関連
(CERT/CC, 10/19/2001)

Vulnerability Note VU#348040: RSA Security ACE/Agent for Windows and RSA Security ACE/Agent for Windows 2000 do not properly handle unicode characters in URL

RSA の ACE/Agent に unicode な URL をきちんと評価できない弱点があり、 認証機構によって守っているはずの IIS から認証なしでデータを取り出せるという。 詳細: Unicode directory transversal in RSA SecurID WebID

Vulnerability Note VU#609840: RSA Security ACE/Agent for Windows and RSA Security ACE/Agent for Windows 2000 do not properly handle null characters in URL

RSA の ACE/Agent は URL の最初のディレクトリの先頭に NULL 文字列 (%00) があると debug mode に落ちてしまう (crash してしまう)。 このとき、他のプログラムの重要情報が得られる場合もあるという。 詳細: Debug mode flaw in RSA SecurID WebID

Yahoo! BBユーザの一部でセキュリティ問題
(日経 IT Pro, 2001.10.22)

 CATV 方面とかでもありがちな話ですよね。 personal router でフィルタするとか personal firewall 入れるとかもあわせて行うのが吉。


2001.10.22

追記

 2001.10.18 の クッキーでホームページ訪問者は管理されている?追記した。 高木さんのフォロー。

追記

 2001.10.18 の [memo:1643] Mac OS X setuid root security hole追記した。 patch 登場。(link fixed: 石川さんどうもです)

追記

 2001.10.04 の MacOS X 関連追記した。 IE patch が登場。

DSA-085-1 nvi: Format string vulnerability
(debian-security-announce ML, Sun, 21 Oct 2001 22:56:22 +0900)

 nvi の全バージョンに format バグ。nvi-1.79/common/exf.c の msgq(sp, M_INFO, s); がそれ、ということでいいのかな。 FreeBSD の nvi にも同様の問題がある。 Debian では msgq(sp, M_INFO, "%s", s); にされた。

IISは使うべきではないのか?(下)
(日経 IT Pro, 2001.10.18)

 IIS 6.0 になれば、もうすこし楽ができるのかなあ。

Internet Explorer 6 のプライバシー機能
(Microsoft, July 25, 2001)

 IE 6 で実装された、cookie まわりの機能の解説。「信頼済み」ゾーンでは「すべての Cookie を受け入れる」と同じになってしまうそうで、要注意。 「信頼済み」ゾーンの site に張りついている 3rd party cookie についてはどうなるんだろう。 よくわからん……。

 しかしあれですね、P3P って性善説に基づいているような気が。

 あっ、タイミングよく JP293222: Internet Explorer 6 のデフォルトのプライバシ設定 なんてのが出てますね。

MS digital rights management scheme cracked
(直接 mail, Sat, 20 Oct 2001 16:09:40 +0900)

 Microsoft Windows Media で利用されている、Version-2 Microsoft digital rights management (DRM) が破られたという話。 Windows コマンドラインで実行可能なツールが配布されています。 元ネタは CryptomeMicrosoft's Digital Rights Management Scheme - Technical Details だそうだ。 匿名希望さん情報ありがとうございます。

追記

 2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure追記した。 日本語版 advisory と英語版 patch の状況を追記。


2001.10.19

追記

 2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)追記した。 全 patch 正式に登場。

MS01-052: Invalid RDP Data can Cause Terminal Service Failure
(Microsoft Product Security Notification Service, Fri, 19 Oct 2001 02:57:21 +0900)

 Windows NT 4.0 TSE および Windows 2000 Terminal Service に DoS 攻撃を受ける弱点。 Remote Data Protocol (RDP) プロトコルの実装に問題があり、 ある特定のデータパケットのくみあわせを送られるとサーバが停止し、DoS となる。

 CVE: CAN-2001-0663

 英語版 patch は出ていた……のだが、Windows 2000 用 patch でトラブルが発生している模様。 from NTBUGTRAQ: [1], [2], [3] (russ 氏によるまとめ)。 NT 4.0 での問題発生報告は存在しない模様。 たいていは boot はできアンインストールすることで切りぬけられているそうだが、 boot 時にブルーサンダーになるのでどうしようもない事例もいくつかあるそうだ。 で、今現在は The patch has been temporarily removed になっている。 えらいこっちゃ。

 こういうのがあるので、「patch の自動インストール」は恐いんだよね。 で、「事前テスト」が必要になるんだけど、やってる最中にワームが襲ってくる、と……。

2001.10.22 追記:

 日本語版: 無効な RDP データが Terminal Service を異常終了させる (MS01-052) 。 まだ patch 出てません。 英語版については、NT 4.0 TSE 用 patch については問題なしとして再掲載されています。

2001.10.25 追記:

 日本語版 Windows 2000 patch 登場。 英語版 Windows 2000 patch も再登場しています。

2001.11.09 追記:

 日本語版 NT 4.0 TSE patch 登場。

2004.05.12 追記:

 NT 4.0 TSE 用 patch が更新された。以前の版では、攻撃を防げない場合があるという。

クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策
(SecurIT, 2001年10月18日)

 cross-site scripting 問題に的を絞っている分、 ITコマースの脆弱な現実と危機回避に向けた展望 には記述されていない情報が含まれています。

 cross-site scripting 問題については、IISクロスサイト・スクリプティング問題 (Windows 2000 World 2000年11月号 月刊セキュリティレポート No.10) や セキュアWebプログラミング ASP(Active Server Pages)編 Part 1 も参照してみてください。 連載復活で Mr. X とのダブルヘッダー希望、と書いてみるテスト。

2001.10.22 追記:

 関連記事: ほとんどのECサイトにセキュリティ上の問題,産業技術総合研究所が調査 (日経 IT Pro)

2001.10.25 追記:

 関連: Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 - ユーザーのセッションが奪われる可能性 - (IPA)

追記

 2001.10.18 の from memo ML追記した。 [memo:1574] ある種のPOPサーバとMac版Eudra及びARENAの挙動 の件、ARENA は次バージョンで仕様変更予定だそうだ。

サンフランシスコ空港がNECと米Identixの指紋認証技術を採用,新規雇用者の犯罪歴をチェック
(日経 IT Pro, 2001/10/19)

 「データベース自体を参照できるので問題ないよ」ってなるのがオチのような気が。こんなおいしい話、見逃すわけがない。

CERT/CC Vulnerability Note VU#847803: Php variables passed from the browser are stored in global context
(CERT/CC, 10/18/2001)

 By default php stores variables passed from the URL in a global context という仕様自体も豪快すぎるような気がするんだけど……。PHP ってそういうものなんですか。

 solution section では、ベストは「グローバル変数使わない」だけど、 もしグローバル変数使うなら、 php.ini で set variables_order = "egcps" して、グローバル変数を使う全てファイルで全てのグローバル変数の値を設定しろ、となってますね。

UNIX fixes
(various)

Debian GNU/Linux
RedHat

A vulnerability has been found in the ptrace code of the kernel (ptrace is the part that allows program debuggers to run) that could be abused by local users to gain root privileges ですって。

HP-UX

2001.10.18

解説●IISは使うべきではないのか?(上)
(日経 IT Pro, 2001.10.18)

 IIS 4.0 のころから問題になってたと思いますけど……。

from memo ML
(various)

2001.10.19 追記:

 [memo:1574] ある種のPOPサーバとMac版Eudra及びARENAの挙動 の件、ARENA は次バージョンで仕様変更予定だそうだ。 (info from リンクとか備忘録とか日記とか 2001.10.18)

2001.10.24 追記:

 Java クリップボード問題関連:

2001.11.01 追記:

 Netscape 6.2 for Windows を Windows 2000 にインストールしてみたところ、java -version の出力は こうなった:

java version "1.3.1"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.3.1-b24)
Java HotSpot(TM) Client VM (build 1.3.1-b24, mixed mode)

UNIX fixes
(various)

RedHat
Debian

MSからハッカーへ:「コードを公開するな」
(CNET, Wed 17 Oct 2001 13:15 PT)

 隠せばすべてが解決するわけではないし、「なかったこと」にされる恐れもある。 MS に事前に情報提供しているにもかかわらず MS 自身が「こんなのセキュリティ問題じゃない」という態度を取った事例だってあるわけで (remember concon)。

 仮にこれが正論だとしても、port 80 に大穴を開けつづけた本人がこういうことを言ってはいかんと思うのですよね。実際に被害を受けた人はこれではたまらんでしょう。 Code Red や Nimda は要するに、これまでの悪業 (default = security 感覚の欠如) のツケなわけで。IIS 6 ではようやく前向きな改正が行われるようですが、 この感覚欠如は OS のあちこちにまだはびこっているような気もして。 まさかとは思いますが、Windows XP でもまだ C:\ が everyone: full control だなんてことは、ないんですよね? (さすがにそれはないそうです: 高橋さん情報ありがとうございます)

 ちなみに、Bruce Schneier 氏は 暗号の秘密とウソ: ネットワーク社会のデジタルセキュリティ で「一般に、わたしは完全開示運動を支持しているし、それはセキュリティを下げるより高める効果のほうがずっと大きかったと考えている。……(中略)……ただしこの規則には例外もある。……(中略)……弱点を利用したツールを配布するのはやりすぎだと思っている」(p.480〜481) と書いています。 しかし、さまざまな企業のさまざまな応対のようすを (open/close いろいろな機会に) 聞いていると、そういうものを出すしかない場面というのはやっぱりあるのかなとも思ったり。 現実問題として、企業が開示する情報だけではあいまいすぎて対応のしようがなく、 問題発見者による参照コードを得てようやく状況を理解できたなんてことはザラにあるわけで。 私には、一概に「やりすぎ」とはとてもじゃないが言えません。

 MS さんの文書: It's Time to End Information Anarchy

クッキーでホームページ訪問者は管理されている?
(ZDNet Security How-To, 2001.10.17)

 cookie に関する解説。さきほどはじめて試してみましたが、確かに、 IE 6 の cookie 処理まわりは長足の進歩を遂げています。 「いままであきらめていた cookie のアクセス制限もホラ! このとおり」(背景: うわぁ〜)。 ついでに mozilla の cookie も調べてみたら、見事に .ne.jp なんてのがあった。 困ったもんだ。

2001.10.22 追記:

 高木さんが memo ML でフォローされてました: [memo:1711]

[port139:00737] URLScan の [DenyUrlSequences]
(port139 ML, Thu, 18 Oct 2001 12:13:11 +0900)

 URLScan では、? 以降の文字列は DenyUrlSequences に含まれていても拒否しないというテスト結果。 Q307608: INFO: Availability of URLScan Security Tool を読むと、確かに ? 以降は「path」とはみなされないように見える。 確かに URI は <scheme>://<authority><path>?<query> だから path じゃないのだけど、しかしふつう query まで含んで URI だぞ。

追記

 2001.10.12 の 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (MS01-051)追記した。 patch が出た……がしかし、完全に直っていないらしい。

[memo:1643] Mac OS X setuid root security hole
(memo ML, Thu, 18 Oct 2001 11:04:23 +0900)

 MacOS X 10.1 において、5 ステップで root を得る方法。 「どなたでも行える簡単な作業です」。私にもできました。 NetInfo Manager の他に、Disk Utility でも同様だそうだ。 いやはや……。

 関連: 2001.10.18 番外編 Mac OS X setuid root security hole (リンクとか備忘録とか日記とか)。 回避方法のひとつとして挙げられている、 “復帰の際にパスワード認証を求める” + “ホットコーナー”を有効にしたスクリーンセーバー、をさっそく設定してみましたが、なかなかいいです。 xlock みたいなのないのかなーと思ってたのですよね。

2001.10.22 追記:

 MacOS X 10.1 のソフトウェア・アップデートで出てくる Security Update 10-19-01 によって修正されるそうです [memo:1704]。 ただし suid root はそのままなので、潜在的な問題はまだまだあるかも。 気になる人は chmod u-s して、root な terminal から起動するようにすればいいだろう。

 関連:


2001.10.17

役所への届け出、大半はネットで 総務省が計画
(asahi.com, 2001.01.16 01:24)

 総務省は、「03年度までには大半の行政への届け出が家庭やオフィスのパソコンから24時間いつでもネットを通じてできるようになる」ようにするそうだ。 具体的には、「国、地方自治体はインターネット上に総合窓口となるホームページを設け、ここから全中央省庁、都道府県、市町村への手続きを可能にする」そうで、 「03年度までには全申請・届け出項目の95%、約1万5000項目でネット手続きの対応ができるようになるという」。

 つまり、全世界から、誰でもアクセスできる、とんでもなくいろんなことができる web page というやつが 2003 年までには全国に整備されるのだ。 「役所の端末」からいろんなことを 1 stop でできるようにする、のではない。 「全世界」からできるようにする、というのだ。 もしこれに穴があったら…… crack されたら……。 考えただけで背筋が寒くなるのだが、総務省は全く聞く耳もたないらしい。

 総務省は、本当はサイバーテロを大歓迎しているんだろうな。


2001.10.16

SecurityFocus.com Newsletter #113 2001-10-01->2001-10-05
(BUGTRAQ-JP, Mon, 15 Oct 2001 23:00:47 +0900)

 SecurityFocus.com Newsletter 第 113 号日本語版 (テキスト, 英語版)。

SNS Advisory No.44 Trend Micro OfficeScan Corporate Edition (Virus Buster Corporate Edition) Configuration File Disclosure Vulnerability
(BUGTRAQ-JP, Tue, 16 Oct 2001 11:32:50 +0900)

 トレンドマイクロの OfficeScan / ウイルスバスター Corporate Edition Ver.3.53 に弱点。仮想ディレクトリ /officescan/hotdownload に外部から認証なしでアクセスできるため、 攻撃者は /officescan/hotdownload/ofcscan.ini を取得できる。 ここにはパスワードが「暗号化」されて保存されているが、この「暗号」は容易に解読できてしまうため、攻撃者はパスワードを入手できてしまう。 パスワードがあれば、攻撃者は管理者権限でやりたい放題できてしまう。

 ウイルスバスターについては solution 3182 タイトル: 仮想ディレクトリの設定により任意のファイルが読み出せる でオフィシャル解説と fix が公開されている。

 これまでのトレンドマイクロものの対応表をつくってみました:

SNS Advisory No. TrendMicro Solution ID
44 3182
42 3142
40 2922, 3086
38 3086
36 ?
35 ?
34 ?
33 ?
31 2816
30 2816
29 2786
28 2783
27 2694

CIAC M-005: Office XP Error Reporting May Send Sensitive Documents to Microsoft
(Scan Daily Express, Tue, 16 Oct 2001 11:10:31 +0900)

 Office XP, IE 5.0 以降、Windows XP および最新の Microsoft プロダクトに含まれる、crash 時にデバッグ情報を Microsoft に送信する機構 ("Microsoft's Error Reporting") に危険性。 デバッグ情報にはメモリダンプが含まれるため、編集・閲覧していた文書情報を意図せずに Microsoft に送ってしまう可能性がある。 CIAC が行った簡単なテストでは、3 回のうち 1 回文書情報が含まれていたという。 機密情報・プライベート情報を扱っていたりするときに Error Reporting すると……。 Sircam もびっくり。

 対応としては、レジストリを設定したり、アプリケーションの追加と削除で該当機能を削除したりコントロールパネルを設定したりする。対応詳細は M-005 にあるので参照。

「97%のサイトのWebアプリケーションに何らかのセキュリティ・ホール」---Webアプリ侵入検知/検査ツール・ベンダーSanctumの創業者に聞く
(日経 IT Pro, 2001.10.12)

 実際、多いのでしょうね……。


2001.10.15

Microsoft Security Response Center Security Bulletin Severity Rating System
(microsoft.com, 2001.10.15?)

 これからは Critical, Moderate, Low でランクづけするそうです。 目安にはなるのでしょう。 それにたよらず自分で判断する必要があるのはこれまでと同じではあるのですが。

「職場でのIM利用が急増中,セキュリティは深刻な事態に」---米Gartnerが分析
(日経 IT Pro, 2001/10/12)

 「情報漏曳」という観点がいちばんイヤゲなような気がするんですけど、どうなんでしょう。いまどきの IM ものって、client 間で直接メッセージが渡されるのか、それとも server 経由なのか? ……というわけで memo ML に投げてみたところ、以下の情報を得ました (ありがとうございます > all):

自衛隊法改正で「防衛秘密」を新設 国家秘密法案の内容盛る
([aml 24440], Sun, 14 Oct 2001 10:45:11 +0900)

 それが「防衛上特に秘匿することが必要」か否かなんて JSDF の当事者にしかわからないのに、政治家・国家公務員・防衛関連企業従事者はおろか「報道記者」まで入っているのは明らかにやりすぎのような。 日本の「防秘」には、外国 (ex. US) では open な情報が含まれていたりすることもあるしなあ。

 こういう法案を平気で出せるってのがなあ > 政府/自民党。 日曜日のサンデープロジェクトで話題にしてましたが、 「防衛上特に秘匿することが必要」か否かを判断できるのは誰なのか、 ここに挙げられている人間全員がそれを判断できるとした上での法案なのか、 という観点での議論はなかったような。 いや実際、前職で「これは秘だ」と言われたことがあるんですが、「秘だ」としか言われてないので、それは「防衛上特に秘匿することが必要」なのか否かは私にはわかんないんですよね。 何をどこまで秘匿しなければいけないのかよくわかんない職場でしたし。 「防衛上特に秘匿することが必要」なのは「極秘」レベルなのかなあ。 でもあの資料自身には「秘」とも「極秘」ともされていなかったような気がするし。 そういう意味で私にとっては身近な話題だったりするのですが、うーむ。謎。

 自衛隊法の一部を改正する法律 (jda.go.jp) に情報あります。

テロ/戦争方面関連
(various)

公共利用の無線LAN/イーサネット・ジャックのセキュリティ対策
(直接 mail, Sat, 13 Oct 2001 19:26:27 +0900)

 無線 LAN 経由で外に出ていく際に、OpenSSH (with Heartbeat/Watchdog patch) + Simple Authenticating Gateway for Linux なゲートウェイサーバで認証をかける、という話。 Heartbeat (または Keepalive Null Packet) をサポートした Secure Shell クライアントとしては、以下があるそうです:

 情報処理教育研究集会の資料も数日中に公開されるそうです。 後藤さん情報ありがとうございます。


2001.10.12

UNIX 関連
(various)

FreeBSD
RedHat

シマンテックのツールにセキュリティーホール
(CNET, Thu 11 Oct 2001 10:45 PT)

 シマンテックの AntiVirus プロダクトで利用されている LiveUpdate に弱点。 LiveUpdate 1.4 (NAV 5.x に同梱) の場合、ftp サーバ update.symantec.com に接続して zip ファイル /opt/content/onramp/livetri.zip を取得し、この中の LIVEUPDT.TRI ファイルに基いてアップデートを行う。 このため、何らかの手法 (たとえば VU#109475) で DNS をダマして update.symantec.com の偽サーバを実現できさえすれば、 やりたい放題ができてしまう。

 LiveUpdate 1.6 では、LiveUpdate 1.4 とは違い、汎用の zip ファイルではなく symantec 独自形式で、かつ各ファイルの digital signature が記録されているため、 1.4 のように話は簡単ではない。 しかし、 get しきれないくらい巨大なファイルを偽サーバに用意することで DoS 攻撃が可能と指摘している。 また、LIVEUPDT.TRI 自体については digital signature によるチェックが行われていないという。

 気になる 1.4 ユーザは LiveUpdate を 1.6 に update しよう。 最新の LiveUpdate は LiveUpdate updates, patches, and manuals ページから入手できる。 試しに手元の Norton AntiVirus Corporate Edition 7.51 (J) の LiveUpdate (1.5.3.11) を LiveUpdate updates, patches, and manuals にある 1.6.3.12 に変更してみたが、正常にデータファイルを取得できているようだ。

2001.11.27 追記:

 日本語版の LiveUpdate 1.63.12 が配布されています。 詳細は LiveUpdate 1.4〜1.6の脆弱性に対する対策 から。 2001.10.25 には出ていたみたいですね。

追記

 2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)追記した。 patch インストール情報、EditFlags が変化してしまうという話など。

MS01-051: 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう
(Microsoft Product Security Notification Service, Thu, 11 Oct 2001 09:52:02 +0900)

 MSIE 5.0/5.5/6 に 3 つの弱点。

ゾーン偽装の脆弱性

IP アドレスをドット '.' のない形式で記述することができるのだが、 IE はドットのない URL はイントラネットゾーンであると理解してしまうため、 外部 URL (通常インターネットゾーン) などをイントラネットゾーンとして解釈させることが可能となってしまう。

MS は「デフォルトではインターネットゾーンとイントラネットゾーンはほとんど違わない」とかトンチンカンなことを言っているが、 デフォルトではどちらも同様に脆弱であるというだけの話だ。 まともな企業やセキュリティに気をかけるユーザは当然インターネットゾーンはガチガチに設定してあるだろうが、 イントラネットゾーンはデフォルトのままという場合も多いだろう。 それがイントラネットゾーンと同じ脆弱な扱いになってしまうというのだから、 これはもちろん大問題である。

発見者による情報: Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing。 IE 4 でも同様の問題があるという。 IE 6 にはこの問題はない。

CVE: CAN-2001-0664

HTTP リクエスト エンコードの脆弱性

URL に特定のエンコード文字列を設定すると、送信される HTTP リクエストに攻撃者のリクエストを混ぜることができるという。

CVE: CAN-2001-0665

Telnet 実行の脆弱性の新種

MS01-015: Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう に出てくる telnet 脆弱性の新種だそうだ。 SFU 2.0 の telnet コマンドにのみ発生するものなので、 ふつうのユーザには関係ないだろう。

CVE: CAN-2001-0667

 日本語 patch はまだない。

2001.10.18 追記:

 IE 5.01 SP2, 5.5 SP2, 6 用の日本語版 patch が出た。 がしかし、この patch を適用してもあいかわらずイントラネットゾーンになってしまう場合があるという報告がされている。IE 5.01 SP2, 5.5 SP2 で確認されている [port139:00720], [port139:00722]。 さらに別パターン: [port139:00738], [port139:00740]。 手元の IE 5.5 SP2 でも確認できた。まずいねえ。

 さらに、IE 5.01 SP2 用の patch では、cookie 関連のメッセージが英語になっ てしまうという不具合が報告されている ([memo:1653] [memo:1657] など)。 IE 5.5 SP2, IE 6.0 用ではそのような現象は発生しないようだ。

 関連記事: IE 5.01/5.5 に再び深刻なセキュリティ・ホール,パッチ公開までは使用禁止に (日経 IT Pro)

2001.10.24 追記:

 関連記事: パッチを適用しても解決しない,IE の「ドットなしIPアドレス」問題に注意 (日経 IT Pro)。

2001.11.15 追記:

 MS01-055: Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される の patch に、上記の「解決しない」ものへの fix が含まれた。


2001.10.11

追記

 2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)追記した。 Excel / PowerPoint 2000 / 2002 (XP) 用の日本語対応 patch は存在した。 田尾さん情報ありがとうございます。

追記

 2001.10.09 の 日本ボルチモア テクノロジーズ連続改竄事件の事後対応の問題点(2001.10.9)追記した。 baltimore.co.jp、いよいよヤバそうです。

solution 3208: 検索エンジン5.550対応後、リアルタイム検索が自動起動しない
(直接 mail, Thu, 11 Oct 2001 13:33:07 +0900)

 ウィルスバスター、Windows NT 4.0 / 2000 + 検索エンジン5.550 (Windows 版だけ最新が 5.550 になったようです) の場合にリアルタイム検索が自動起動しない問題への対応 patch 登場。 しかし、情報提供者の馬塲さん (ありがとうございます) も指摘されているが、最新のソリューション-全製品 での「公開日付」が変化していないため、 情報が更新されたかどうかの確認ができないのはツラい。 公開日付の他に、更新日付も掲載できないものか。

 検索エンジン 5.5 方面では、 検索エンジン ver.5.500に関するQ&A も出ている。

追記

 2001.10.10 の Cisco CDP attacks追記した。 Vulnerability Note VU#139491: Cisco IOS vulnerable to denial of service via Cisco Discovery Protocol (CERT/CC)。

“Officeアクティベーション騒動”の顛末
(ZDNet, 2001年10月10日 09:55 PM)

 1 人に 1 枚 (いや 2 枚か?)、Office の CD、のコピーですよねえ、多分。 これが Microsoft の望んだ結果なのだろうか。

 ふと見ると、Downloads for Office 2002/XP のページには Office XP Activation Update: October 4, 2001 なんてのがありますね。 Languages Supported には Japanese も含まれている。 MSKK のページ にはまだないみたいだけど。


2001.10.10

Code Red ワームを阻止するための ISA Server の設定方法
(microsoft.com, 2001 年 10 月 9 日)

 なんでいまごろ、という気もしますが、 Code Red Re-Release? という話もあるようですし。

National Security Agency: Security Recommendation Guides
(直接メール, Tue, 09 Oct 2001 16:09:45 +0900)

 NSA の Security Recommendation Guides のうち、Cisco Router Guides が更新されているそうです。こがさん情報ありがとうございます。 話題になった Windows 2000 Guides も更新されているようですね。

 http://nsa2.www.conxion.com/ にも同じものがあるようです。

Cisco CDP attacks
(BUGTRAQ, Tue, 09 Oct 2001 23:44:53 +0900)

 CISCO IOS が、CISCO 独自プロトコル Cisco Discovery Protocol (CDP) を使う場合に DoS 攻撃を受ける弱点。 CDP neighbor announcements を垂れ流す (flood) と、 IOS はこの情報を格納するためメモリを使い切ってしまい、 routing 情報の更新や telnet による接続などができなくなってしまう。 結果として、ルータは停止したりリブートしたりするという。 問題が発生する機器および IOS バージョン情報が記載されているので参照されたい。 CISCO のひとからも情報が投稿されている。

 CDP は layer 2 プロトコルなので、この弱点を利用した攻撃は broadcast domain からしかできないのだそうだ。 そうは言っても操作可能な木馬が 1 個あれば十分だろうから、 そういうことまで考えると世の中キビシイ。

 関連: Cisco CDP DoS Vulnerability (incidents.org)。

 最初に CISCO に連絡したのは 04/25/2001 だそうだ。 fix には半年かかるんですね。

2001.10.11 追記:

 Vulnerability Note VU#139491: Cisco IOS vulnerable to denial of service via Cisco Discovery Protocol (CERT/CC)。

UNIX Security Checklist v2.0
(CERT/CC, October 8, 2001)

 けっこうな分量です。 ところで、たとえば tcp_wrapper のトコに CONSIDER running with the RFC931 (ident) option とか書いてあるけど、ident してうれしいことって何だろう? 「faked id を見て遊ぶ」くらいしか思いつかないのだけど。 ENSURE that you are using the latest version of Majordomo って言われても虚しいものを感じたり。

とりあえず動かすsnort+ACID(αversion)
(犬小屋掲示わん!, 10月01日(月)22時47分11秒)

 snort 1.8.1 + PostgeSQL 7.1 + ACID な環境の構築事例。


2001.10.09

追記

 2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service追記した。 CERT Advisory, JPCERT/CC Alert 追記。

日本ボルチモア テクノロジーズ連続改竄事件の事後対応の問題点(2001.10.9)
(EVERYDAY PEOPLE, 2001.10.07)

 ほぼ同じ内容の記事: 大手セキュリティ・ベンダ 日本ボルチモア テクノロジーズ連続改竄(2001.10.8)。baltimore.co.jp 自身のプレスリリース: 2001年10月9日 弊社 お客様/パートナー企業様ならびに関係者各位 不正アクセスについて。 いやあ、top page には何もないのかと思ってたら、「2001年10月9日 弊社 お客様/パートナー企業様ならびに関係者各位」 とだけ書いてある。 気がつかないよこれじゃ。 まあ、JavaScript を on していないと http://www.baltimore.co.jp/ から top page にたどりつくことさえできないような site ですし、 電話をすれば自動応答のようですし、 PKI の I (インフラストラクチャ) ってのはしょせんこんなもんなのでしょうか。 よかったね > 国土交通省。

 ……なんか、今、プレスリリース見れなくなっているようです。 パスを曝け出しながら ([memo:1578], [memo:1580])。 「必要でなさそうな cookie を食わそうとしてくる」そうですし ([memo:1577], [memo:1579])。 baltimore.co.jp は一体どうなっちゃってるんでしょう。

 ところで、今回の事件と IIS を Nimda、Code Red などの脅威から自動防御する SecureIIS 配布再開 って、何がどう関連しているんですか? > NetSecurity.ne.jp。

2001.10.11 追記:

 baltimore.co.jp、いよいよヤバそうです。

 おそろしいことです。 baltimore.co.jp は一体どうなっちゃってるんでしょう。 PKI をやっている会社なんですが。

追記

 2001.10.04 の MacOS X 関連追記した。 Apple KB 106503: Mac OS X 10.1: Internet Explorer Executes Downloaded Software Automaticall

追記

 2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)追記した。 CIAC, CERT/CC からの情報を追記。Excel/PowerPoint 97 にも同様の問題がある。


2001.10.08


2001.10.07

RIETI政策シンポジウム III: ブロードバンド時代の制度設計
(ilc-C ML, Sat, 06 Oct 2001 23:41:03 +0900)

 "CODE インターネットの合法・違法・プライバシー" の著者、 ローレンス・レッシグ氏のキーノート・スピーチあります。 パネルにも参加されるようです。2001年10月19日(金)三田共用会議所 (東京都港区)。 無料。 くぅぅぅぅぅっ……東京人はいいなあ。

BSD security fundamentals
(www.linuxsecurity.com, 2001.10.05)

 ToorCon 2001 でのプレゼン資料だそうです。 options RESTRICT_RST がなくなって net.inet.tcp.blackhole / net.inet.udp.blackhole になったこととか、 FreeBSD 4.4-RELEASE な内容をカバーしているので、 upgrade の前に読んでおくことを推奨します。 個人的にひっかかったのは、OpenSSL のバージョンが上がっているため、 ports/openssh-portable が OpenSSL バージョンチェックで起動しなかったこと。 まあ、どうせ ports-current の ports/openssh-portable (現在 2.9.9p2 ベース) をつくって入れるんだからいいんだけど。 何度も書いていますが、tripwire は FreeBSD Tripwire-2.3.1 port, in shar format をベースにされることを強く推奨します。


2001.10.05

不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050)
(Microsoft Product Security Notification Service, Fri, 05 Oct 2001 06:56:03 +0900)

 Excel 2000/2002 for Windows, 98/2001 for Mac および PowerPoint 2000/2002 for Windows, 98/2001 for Mac に弱点。 Excel / PowerPoint のマクロ警告機能をバイバスする方法が存在する。 まあ、警告されたところで「マクロがある」ことしかわからないんだけど。 危険なマクロなのか否かは、結局のところ anti-virus ものなどで検査しないとダメなのだ。

 日本語 patch はまだない。

 CVE: CAN-2001-0718

2001.10.09 追記:

 CIAC, CERT/CC からの情報:

2001.10.11 追記:

 Excel / PowerPoint 2000 / 2002 (XP) 用の日本語対応 patch は存在した: Excel 2002, PowerPoint 2002, Excel 2000, PowerPoint 2000。 いづれも英語ページだが、Languages Supported には Japanese が含まれている。 多分だいじょうぶだろうと思うが、 試したい人は at your own risk で。 心配な人は MSKK からのアナウンスを待とう。

 田尾さん情報ありがとうございます。

2001.10.12 追記:

 上記 patch は正常にインストールできるものの、 やはり EditFlags が書きかえられてしまうと報告されている [memo:1602]。 気に入らない人は、Confirm.exefxrgconf.exe で修復 :-) しよう。 1999.08.02 の Alert : MS Office 97 Vulnerability も参照。

 Vulnerability Note VU#287067 Microsoft PowerPoint and Excel fail to properly detect macros thereby automatically executing malicious code via crafted document (MS01-050) (CERT/CC)。

2001.10.19 追記:

 MacOS 版も含め、全ての日本語対応 patch が正式に登場している。 MS01-050 のページ から入手されたい。Office 2000/2002 (XP) patch については、既報のものと同一のようだ (info from [memo:1691])。

Vulnerability Note VU#327281: Solairs rpc.yppasswdd does not adequately check input allowing users to execute arbitrary code
(CERT/CC, 10/04/2001)

 rpc.yppasswd に buffer overflow する弱点があって、 remote から root とられるという話。 Solaris 2.6/7/8 用 patch があるので適用する。 なお、Solaris 2.5/2.5.1 にはこの弱点はない。

2001.10.24 追記:

 関連: M-008: Sun rpc.yppasswdd Security Vulnerability [Sun Microsystems Security Bulletin #00209] (CIAC)。

solution 3205: 「PE_NIMDA.A」駆除ツール 実行後ウイルスバスターなどで「JS_NIMDA.A/A-1」が検出される
(トレンドマイクロ 最新のソリューション-全製品, 01/10/04)

 つまり、駆除ツールでは駆除しきらんということか。


2001.10.04

トロイの木馬から身を守る
(ZDNet Security-Howto, 2001年10月3日)

 やっぱりいまどきは SubSeven ですか。

remote root exploit (was Re: cvs commit: ports/ftp/wu-ftpd Makefile ports/ftp/wu-ftpd/filespatch-aa)
(freebsd-security ML, Wed, 03 Oct 2001 21:03:38 +0900)

 ports/ftp/wu-ftpd/files/patch-aa に加えられた OPIE まわりの fix は exploit 可能なものだったのか? という話題提供 (無視されてるっぽい)。 この fix をあてないと、signal 11 で落ちることがあるらしい。 手元の OPIE な wu-ftpd はこの patch を適用したモノに入れかえた。

Re: Kernel-loadable Root Kits
(freebsd-security ML, Thu, 04 Oct 2001 18:30:34 +0900)

 FreeBSD において、kernel configuration file で options NO_KLD を定義した場合には kldload(2) と kldunload(2) を無効とする patch。

Cisco Security Advisory: Cisco PIX Firewall Authentication Denial of Service Vulnerability
(BUGTRAQ, Thu, 04 Oct 2001 00:30:00 +0900)

 Cisco Secure PIX Firewall 4.0 以降の AAA 認証機構に DoS 攻撃を受ける弱点。 AAA 認証を使用していない場合は問題はない。 6.0(1) 以降ではこの問題は fix されている。

AOL Instant Messager DoS Exploit Released
(BUGTRAQ, Wed, 03 Oct 2001 07:53:55 +0900)

 とあるインスタントメッセージを AOL Instant Messenger/Win32 4.7.2480 以前に送ると、クラッシュしてしまう。 攻撃ツールも発表されている。

マイクロソフト、セキュリティプログラム「ストラテジックテクノロジープロテクションプログラム」日本版を発表
(直接 mail, Thu, 04 Oct 2001 16:10:37 +0900)

 Microsoft Aligns Company Resources to Ensure Secure Customer Networks (日本語参考訳) を受け、日本で Strategic Technology Protection Program の日本語版をスタートする、というプレスリリース。 Windows Update にセキュリティ fix が組みこまれる他、 Microsoft Security Tool Kit 日本語版も近日中に登場するようだ。 IIS 6.0 で buffer overflow 対策を組みこむというのは、やはり BUGSLAYER: Optimize and Trim Your Code with New Switches in Visual C++ .NET な話なんだろうな。 中山さん情報ありがとうございます。

 関連記事: 米MSがウイルス/ワーム対応の新サービス・プログラム,Windows 2000にはSP3 (日経 IT Pro), 「MS製品は危険」の懸念を払拭しようとするMicrosoft (ZDNet)、 威信回復にのりだすMS(上) (CNET)。 ZDNet 版から:

GartnerのPescatore氏は,Microsoftのアプローチをバンジージャンプにたとえている。「Microsoftはユーザーの(バンジージャンプの際に付ける)ゴムバンドを少し短くしようとしている。Microsoftのこれまでのアプローチは,顧客に長いゴムバンドを渡してバンジージャンプさせて,“うわあ,すごい水しぶきだ。ゴムバンドを短くする方法を教えてあげられたのに”と言うようなものだった」

 うまいなあ。ざぶとん 3 枚! しかしうーん、よくよく見ると翻訳版はどちらもちょっとアレゲ。 原文: ZDNet, CNET。 ZDNet 版の原文から:

Pescatore likened Microsoft's approach to running a bungee-jumping concession. "You probably ought to make the rubber band a little short," he said. "What Microsoft has always done in the past is give a really big rubber band and say, 'Oops, we heard a splat. Here's how you can shorten the rubber band.'"

 これまでの Microsoft 的には 「あ〜らら、スゲー音。ここに短くする方法をちゃんと用意してあるのに……」 だと思う。そういうものは、やっぱり msn.co.jp のトップページに置いてほしいよね。 そういえば Windows XP スペシャルサイト、 デーモン閣下のところは「近日 OPEN!」になってますね。

追記

 2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service追記した。 CERT/CC Vulnerability Note VU#595507: Multiple implementations of CDE ToolTalk RPC Server rpc.ttdbserverd contain format string vulnerability

MacOS X 関連
(various)

2001.10.09 追記:

 Apple KB 106503: Mac OS X 10.1: Internet Explorer Executes Downloaded Software Automaticall

2001.10.22 追記:

 Internet Explorer for MacOS の問題は、MacOS X 10.1 の ソフトウェア・アップデートで出てくる "Internet Explorer 5.1 Security Update" によって修正されるそうです [memo:1704]。 手元でも試してみましたが、MacOS X 10.1 のソフトウェア・アップデートは proxy server 経由でもちゃんとまともに動くようです。

 上記 KB はまだ変更されてませんね。

2001.10.24 追記:

 MS から Security Bulletin: MS01-053: Downloaded Applications Can Execute on Mac IE 5.1 for OS X

UNIX 関連
(various)

TurboLinux
HP-UX

いずれについても patch あるいは緊急対応プログラムがあるので、それをインストールすればよい。

RedHat Linux
AIX

2001.10.03

追記

 2001.10.01 の [memo:1426] IE 6の「ファイルのダウンロード」ダイアログはデフォルトが「開く」追記した。 この状況の制御方法と、セキュリティ修正パッチを適用すると状況が悪化してしまう事例を追記。ひどすぎ。

セキュリティホールを“指名手配”。SANSが「脆弱性トップ20」公表
(ZDNet, 2001年10月3日 00:25 PM)

 励行しましょう。

LAC SNS: 今週のアタック
(直接 mail, Wed, 03 Oct 2001 18:36:32 +0900)

 これはどう理解すればいい図なんだろう。 LAC が管理している機械全体に対する攻撃傾向だろうか。 それとも、どこか特定の場所に置いてある機械で捉えた攻撃傾向だろうか。 興味深いのだけど、説明が何もないのは惜しい。

 かわぐちさん情報ありがとうございます。

エンジン4.1.50バージョンを使用時のメールフォルダ削除の危険性について
(直接 mail, Wed, 03 Oct 2001 17:49:22 +0900)

 NAI VirusScan で最新のスキャンエンジン 4.1.50 を利用すると、Netscape Messenger 利用時に不具合が発生するという話。 ウィルスの削除ボタンを押してしまうと、ウィルスつきメールだけでなく、他のフォルダを含めたメール全体が消滅してしまうのだそうだ。 回避方法が記述されているが、回避できなかった場合のリスクはあまりに大きい。

 ウィルスはどっちだ……。小原さん情報ありがとうございます。

MS01-049: 深くネスト化した OWA リクエストによりサーバーの CPU が消費される
(Microsoft Product Security Notification Service, Thu, 27 Sep 2001 07:54:09 +0900)

 Exchange 2000 Outlook Web Access に弱点。foo\bar\baz\tako\ika\kani\.... のように、たいへん深くネストしたメールフォルダに対するリクエストを繰り返して発行すると、DoS 攻撃となるという。 リクエストに用いるフォルダが実際に存在している必要はないが、 攻撃者はあらかじめ認証されている必要がある。 Outlook Web Access を利用していない場合、 Exchange 5.5 を利用している場合にはこの問題はない。 対応としては、patch があるので適用すればよい。 この patch は MS01-041: 不正な RPC リクエストがサービスを異常終了させる を含む。

ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service
(bugtraq, Wed, 03 Oct 2001 01:08:19 +0900)

 商用 UNIX 系 OS に多く採用されている、ToolTalk の rpc.ttdbserverd に format バグがあり、remote user による DoS 攻撃や任意のコードの実行が可能だという指摘。 HP, Compaq, IBM 方面には patch があるようだが、 SGI, Sun 方面はまだみたい。

2001.10.04 追記:

 CERT/CC Vulnerability Note VU#595507: Multiple implementations of CDE ToolTalk RPC Server rpc.ttdbserverd contain format string vulnerability

2001.10.09 追記:

 CERT Advisory CA-2001-27 Format String Vulnerability in CDE ToolTalk (CERT/CC)。 邦訳版: reasoning.orgラック

 JPCERT/CC Alert 2001-10-09: CDE ToolTalk に含まれる脆弱性に関する注意喚起

2001.10.29 追記:

 関連記事: UNIXのプログラム間通信機能に見つかった深刻なセキュリティ・ホールを解説する (日経 IT Pro)

2001.11.14 追記:

 Sun: #00212: rpc.ttdbserverd (CERT Advisory CA-2001-27)


2001.10.02

RAZOR advisory: multiple Sendmail vulnerabilities
(BUGTRAQ, Tue, 02 Oct 2001 00:57:12 +0900)

 sendmail に 3 つの問題。sendmail 8.12.0 で local user が mail queue を read-write できちゃう問題の他、 RestrictQRun を設定していない場合の問題が 2 点 (デフォルトでは設定されない)。

 CVE: CAN-2001-0713, CAN-2001-0714, CAN-2001-0715

 fix 版の sendmail 8.12.1 出てます。

JANOG8 Meeting Program
(janog ML, Fri, 21 Sep 2001 11:30:27 +0900)

 JANOG 8 における発表資料とログ。

[sec-stadium:00621] Re: Let me introduce bash logging tool
(sec-stadium ML, Sat, 22 Sep 2001 23:37:56 +0900)

 bash のヒストリー機能を拡張して syslog に出力するツール。

[sec-stadium:00620] FreeWnn のセキュリティホール
(sec-stadium ML, Mon, 24 Sep 2001 03:43:46 +0900)

 FreeWnn や Wnn6 の古めのサーバ (jserver) に対して、 たとえば "../../../../../../tmp/hoe" という辞書ファイルを作成するリクエストを送ると jserver はすなおにファイルをつくってしまう。 Wnn6 の最新版では fix されているようだ。 FreeWnn にはまだ正式 fix がないが、Debian GNU/Linux の FreeWnn 最新版では独自 fix がされている。 状況を [sec-stadium:00629] にまとめてみた。

memo ML から
(memo ML)

 たまってます……。

[memo:1450] 受信確認できちゃうspam

HTML な spam メールに外部 CGI の起動リンクを img タグに埋めこむ等しておくと、 意図せずに受信通知が行われてしまう。 これも web バグ の一種なのかなあ。 対応としては、 HTML メールをフィルタする、 メッセンジャーを使わない、などがある。

[memo:1433] ne3.jp

写メ蔵 は、一見おもしろいサービスを無料提供しているように見えるが、 裏を返せば高品質 SPAM アドレス収集機とも見なせる [memo:1437] という話。 プライバシーポリシー等も全くない模様 [memo:1439]

レンタルビデオ屋と同じビジネスモデルってことでしょうか。

[memo:1188] 虚偽の個人情報保護方針

信じるものはバカを見る、ということでしょうか。

[memo:1189] ISMS guidline by JIPDEC

「情報セキュリティマネジメントシステム(ISMS)ガイド(Ver.0.8)に関する意見募集」の紹介。

[memo:1220] Re: セキュアなシステムの構築について

Building Secure Software: How to Avoid Security Problems the Right Way のご紹介。 [memo:1221] でさらにいくつかの書籍がフォローされています。

だれか訳してください。_o_

SecurityFocus.com Newsletter #112 2001-9-21->2001-9-25
(BUGTRAQ-JP, Tue, 02 Oct 2001 15:51:15 +0900)

 SecurityFocus.com Newsletter 第 112 号日本語版 (テキスト, 英語版)。


2001.10.01

セキュリティ・スタジアム 2001技術セミナ プレゼンテーション資料ダウンロード・ページ
(sec-stadium ML, Wed, 26 Sep 2001 11:32:59 +0900)

 セキュリティ・スタジアム 2001 で行われた技術セミナの資料。 30 分しかないのに 29 ページの ppt って多すぎなんだよなあ > 俺。

[memo:1426] IE 6の「ファイルのダウンロード」ダイアログはデフォルトが「開く」
(memo ML, Sun, 30 Sep 2001 13:01:41 +0900)

 IE 6 で hoge.exe などを get しようとするとすると開くダイアログのデフォルトが、「保存」ではなく「開く」(= 直接実行する) になってしまっているという指摘。 [memo:1432] によると、IE 6 正式版で「わざわざ」変更を施したようだ。 MS は何を考えているんだ……。

2001.10.03 追記:

 これらは HKEY_CLASSES_ROOT\exefile キーの EditFlags 値の 3 番目のオクテットで制御されるそうです [memo:1445] J051843。 00 だと [この種類のファイルであれば常に警告する] が有効に (自動的には開かれなく) なります。 01 だと自動的に開かれます。

 さらに、セキュリティ修正パッチがこの値を 01 に書きかえてしまうという事例が [memo:1475] で報告されています。 Microsoft は、よっぽどファイルを自動的に開いてほしいのでしょうか。

POWERBOOK ARMY:無線インターネット接続いよいよ本格化?
(ZDNet MACWire, 2001年9月29日)

 Nimda さわぎの件は 無防備なPC (slashdot.jp) や [sec-stadium:00719] 無防備な PC (slashdot.jp) 以下のスレッドを参照してください。 アンチウィルス屋さんはたいへんだったみたいですね。

 しかし、「802.11b標準を使った無線インターネット接続やホテルの客室からの高速インターネット接続など,LAN技術を利用するインターネット接続サービスでは,同様の危険が伴う」というのは、一体何が言いたいんだろう。 LAN技術を利用しないインターネット接続サービスだって危険性は同じだと思うのだが。 個人で接続するのなら個人で責任を持つのはあたりまえだし。


[セキュリティホール memo]
私について