セキュリティホール memo - 2001.12

Last modified: Tue May 27 18:32:56 2003 +0900 (JST)


2001.12.30


2001.12.28

FakeMH 0.10(Alpha) Online Manual
(Shadow Penguin Security, 2001.12.28)

 メール送信時にメールヘッダを書きかえる proxy server。 ダウンロードは Penguin Toolbox から。

Internet Week 2001 JWNTUG BOF 開催報告
(JWNTUG 内部 ML, 2001.12.28)

 プレゼン資料と会場の様子の画像が揃いました。 secure@microsoft.com の他に、 secfdbk@microsoft.com というのがあるって知ってました? 「hotfix のデジタル署名の有効期間が切れている」 なんて事象の場合は secfdbk@microsoft.com に mail するのがよいそうです。

Scan Security Wire NP Prizeを発表(Scan編集部)
(Vagabond PressClub, 2001/12/28)

 というわけで、このページと セキュリティホール memo ML が受賞した模様です。 これも情報を提供してくださるみなさんのおかげです。ありがとうございます。

format バグ 3 連発
(various)

2002.01.07 追記:

 stunnel format バグは、 Stunnel: Format String Bug update においては 3.15 <= 3.21c の問題だとされている。

預金者の口座を許諾なしに危険にさらす「残高照会サービス」
(Scan Daily Express, 01/12/28)

 lock したら lock したで、DoS 攻撃が可能ということですしねえ。 「口座の暗証番号を (そのまま) 用いる」 がそもそも問題ですね。

GNU プライバシーハンドブック (2001 年 12 月 27 日 翻訳)
(Tea Room for Conference , 12月28日 16時02分)

 The GNU Privacy Handbook の邦訳版。すばらしい。

ソフトウェアに紛れ込むスパイ
(ZDNet Security-Howto, 2001年12月26日)

 そういうものが世の中には存在しますので、気をつけましょう。 リストには、 RealPlayer 7 とか Netscape/AOL Smart Download なんてのもある。

SNS Advisory No.47: DeleGate Cross Site Scripting Vulnerability
(bugtraq-jp, Fri, 28 Dec 2001 11:43:47 +0900)

 多機能 proxy サーバ DeleGate 7.7.[01] (それ以前も?) を http proxy として利用する場合に弱点。 クロスサイトスクリプティング問題が発生してしまう。 7.8.0 以降で fix されているので入れかえる。

解説●情報セキュリティ管理の 認証制度が本格化(上)
(日経 IT Pro, 2001.12.27)

 不正経理で go go な団体でも取れるぞ、と。 日本情報処理開発協会が不正経理で申告漏れ (毎日)。 「請求書を書き換えて経費を計上するなど、悪質な経理操作を繰り返し」 する団体に公布されるような ISMS パイロット認証って……。 見てるところが違うんだろうけど、でもねぇ……。


2001.12.27

JPCERT/CC: 参考文書
(JPCERT/CC, 2001.12.27)

 技術メモが一気に更新されています。 今になって気がついたのですが、ftp.jpcert.or.jp って閉まってるんですね。

 diff 取ってみました:

 「MS Windows」はちょっとアレゲな表現のような気がします。

Authentication Gateway HOWTO
(linuxsecurity.com, December 26, 2001 20:42)

 公共利用の無線LAN/イーサネット・ジャックのセキュリティ対策 と似たような話だが、こちらは pam_iptables というものを利用して実現しているみたい。

2002.01.28 追記:

 日本語版: http://www.linux.or.jp/JF/JFdocs/Authentication-Gateway-HOWTO/index.html (info from Tea Room for Conference No.614)


2001.12.26

ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される (MS01-059)
(Microsoft, Fri, 21 Dec 2001 04:12:14 +0900)

 Windows XP, Me, 98/98SE で利用できる UPnP サービス (+ SSDP Discovery サービス?) に弱点。 悪意ある NOTIFY ディレクティブによって buffer overflow が発生し、サービス実行権限 (local SYSTEM) を獲得できてしまう。 SSDP サービスは broadcast / multicast アドレスを listen しているため、 一撃で broadcast / multicast ドメイン全体を攻略することが可能。 また、この NOTIFY ディレクティブの LOCATION: ヘッダに chargen (TCP port 19) を指定することにより DoS 攻撃を行うことも可能。 詳細: Multiple Remote Windows XP/ME/98 Vulnerabilities (eEye)。

 Windows XP では UPnP がデフォルトで有効とされている。 Me はデフォルトでは無効だし 98/98SE では optional software だという。 よって、主に問題になるのは Windows XP。 のだが、Windows XP 日本語版では UPnP サービス (Universal Plug and Play Devide Host) はデフォルトで「手動」「停止」で、 UPnP 関連の SSDP Discovery サービスは「手動」「開始」だという報告が多数ある。 また、OEM 先によっては Windows Me で UPnP をデフォルト有効にしているところもあるようだ。 プリインストール OS に何が入っていて何が起動されているかは OEM 依存なので、 プリインストール OS をそのまま利用している場合は状態を確認されたい。

 UPnP については、 upnp.org とか Universal Plug and Play in Windows XP とか Universal Plug and Play を参照。

 対策としては、patch があるので適用する。また、UPnP / SSDP サービスを無効にしたり、 これらが利用する port 1900 / 5000 を firewall 等で塞いてしまえばよい。 XP の personal firewall 機能では、unicast IP address 宛の攻撃は防げるが、 broadcast / multicast address 宛の攻撃は防げないので注意。

 CVE: CAN-2001-0876, CAN-2001-0877

 なお、 "Universal Plug and Play technology exploit code" というものも発表されているが、 eEye の発見したモノとは違うとフォローされている。

2002.01.18 追記:

 UnPlug n' Pray (抜いて祈る (^^;;)) というツールが公開されている。

 KB JP315056: ユニバーサル プラグ アンド プレイ サービスを使用するサービス拒否攻撃を防ぐ方法 が公開されている。

Service Pack のインストール後、または Windows コンポーネントの追加や削除後に .IDA および .IDQ マッピングが復元される
(Win セキュリティ虎の穴, 2001/12/22)

 そういうことなんだそうです。

Interner Explorer HTTPS certificate attack
(bugtraq, Sat, 22 Dec 2001 23:37:04 +0900)

 IE 5.5 SP2, 6 に弱点。異なるドメインのサーバ証明書を持つサイトに https:// で接続する場合に警告を発しない場合がある。 http://suspekt.org に実例がある。

 http://suspekt.org/ ページでは <img src="https://suspekt.org/nofile.gif" width=1 height=1> と https:// ページ中の存在しないファイルへの inline link が書いてある。 IE はこのとき、https://suspekt.org/ にある鍵が正当な認証局 (ex. VeriSign) から発行されているか否かのみをチェックして「https://suspekt.org/ は正当なサーバ証明書を持つ」と認識してしまうという。本来あわせて行うべき 「ドメイン名は証明書と整合しているか」「証明書の有効期間は過ぎていないか」 のチェックが抜けてしまうというのだ。 このため、その後 http://suspekt.org/ から https://suspekt.org/secure.html に移動しても IE は警告を発しない。

 なお、現状の IE であっても、IE を新規に起動し https://suspekt.org/secure.html へ直接移動した場合にはきちんと警告する。 罠ページ http://suspekt.org/ を経由する場合に問題が発生するのだ。

 UPDATE: IE https certificate attack にもあるように、 MS00-039: Patch Available for "SSL Certificate Validation" Vulnerabilities と同じ弱点に見える。なぜか復活してしまったらしい。

 Konqueror 2.2.1 (Mandrake Linux 8.1 + OpenSSL 0.9.6b) と lynx 2.8.4rel.1 (compiled with OpenSSL 0.9.6a on FreeBSD) には同じ問題 があるようだが、 Mac 版 IE では問題ないらしい。 また Konqueror 2.2.1.0-6 (no kdebase-crypto and kdelibs3-crypt) on Debian woody や Mozilla 0.9.6 では問題がなく、w3m 0.2.1-inu-1.5 では問題がある模様。 w3m 0.2.3.2 も同様。

 関連: 今度はニセの証明書に騙される穴 (slashdot.jp)、 IE【続報】 SSL偽装の脆弱性は、なくなったはずの脆弱性の再発だった(2001.12.26) (netsecurity.ne.jp)。

WebDAV時代のセキュリティ対策[後編]−包括的な対策テクニック−
(@IT, 2001/12/22)

 これのつづき。 WebDAV に興味がない人も、ngrep の紹介 のところは見ておいてソンはないかも。

エンタープライズセキュリティを実現するための5つのステップ「Step 5:警戒」
(ZDNet, 2001.12.21)

 「もし誰かがとがめた場合,その人にディナーの招待券をプレゼントした」、 ちゃんとご褒美を与えているところがえらいなあ。 step 4 まではこちらを。

2001.12.26 某誌を読む
(常時接続の宴, 2001.12.26)

 ネットワークセキュリティ Magazine のことですね。ゲテモノ好きの方以外は買わなくてもいいです。 立ち読みする暇すらないときにみつけたので買っちゃったんだけど。

Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug
(BUGTRAQ, Thu, 20 Dec 2001 08:59:14 +0900)

 IE 6 のアクティブスクリプトにおいて、素直に document.open() するだけで、任意のドメインの cookie を取得したり既知のパス名のローカルファイルを読み出せたりしてしまう。 http://www.osioniusx.com にデモが用意されている。 手元の IE 6 では SiteSpoofing.html は意図どおりに動かないようだが、 cookie を偽装ドメイン名で要求することには成功しているみたい。 (IE を起動しなおしてやりなおしたら成功したので打ち消し)

 アクティブスクリプトを無効にすれば回避できる。

OL2002: Users Can Read Nonsecure E-mail As Plain Text (Q307594)
(Scan Daily Express, 2001/12/26)

 Office XP SP1 では、Outlook (Outlook 2002) において、 HTML メールを plain text として表示するオプションが利用できるという話。

SecurityFocus.com Newsletter #124 2001-12-17->2001-12-21
(BUGTRAQ-JP, Tue, 25 Dec 2001 17:01:19 +0900)

 SecurityFocus.com Newsletter 第 124 号日本語版 (テキスト, 英語版)。 個人的注目:

SecurityFocus.com Newsletter #123 2001-12-10->2001-12-14
(BUGTRAQ-JP, Fri, 21 Dec 2001 12:14:08 +0900)

 SecurityFocus.com Newsletter 第 123 号日本語版 (テキスト, 英語版)。 個人的注目:

追記

 2001.11.13 の CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する に追記した。 Sun fix 登場。荒木さん情報ありがとうございます。

年末年始のセキュリティ対策について
(日経 IT Pro, 2001/12/25)

 Microsoft 自身がようやく「IE 5.01 SP2 ではダメダメ」であることを明記した模様。 参照: 「IE 5.5 SP2/IE 6 にバージョン・アップして,パッチの適用を」--- MSが警告 (日経 IT Pro)、 マイクロソフトがセキュリティ対策を呼びかけ〜年末年始警戒警報 (ZDNet)。

追記

 2001.12.20 の solution 3445: Microsoft Outlook Express でWeb メールをダウンロードするように設定している場合、Web メールの添付ファイルに対してウイルス検索を実行できますか? に追記した。 hotmail のウイルスチェックは web メール時にしか効かない模様。


2001.12.25

fusianasanトラップになんらかの対処を
(Scan Daily Express, Thu, 20 Dec 2001 12:47:11 +0900)

 その後いろいろな情報が集まったし、前回のものは焦点がズレているので改めて以下に書きなおします。

 拡張子を .gif や .jpg など画像ファイルのもので偽装した HTML ファイルによる攻撃。IE が Content-type を無視した処理を行う事を利用する他、「スクリプトを停止させていても強制的に実行させる」 という恐るべき手法が用いられている。 高木さんによる分析: [memo:2396]。 (4) で示されているスクリプト (オリジナルは 知能力学研究所強制的にスクリプトを実行スクリプト実行テスト) だが、手元の IE 6 / Windows 2000 SP2 で確認した限りでは、 "" なしだと IE 6 では動作しないようだ [memo:2455]

 「スクリプトを停止させていても強制的に実行させる」 攻撃は IE が実装している HTML+TIME2 という機能 (web ページにおけるマルチメディア規格のひとつ) に基づくものだという。 HTML+TIME2 の詳細については、MSDN の HTML+TIME ページなどを参照。

 回避するには、regsvr32 /u mstime.dll を実行する ([memo:2427]) 他、 [ツール] メニューの [インターネットオプション] から [詳細設定] タブを選択し、 [マルチメディア] の 「Web ページのアニメーションを再生する」のチェックを外すことでも可能 [memo:2432]。 ただしこれを実行すると、副作用として gif アニメーションが再生されなくなってしまう。

 他にも [詳細設定] には 「Web ページのサウンドを再生する」 「Web ページのビデオを再生する」 があり、ねんのためチェックを外しておいたほうがよいだろう。 知能力学研究所 には 強制的にサウンド再生 という例も紹介されているし。 テスト: http://www.st.ryukoku.ac.jp/~kjm/test/html_time2_sound.html

 根本対策としては、Microsoft による IE の修正 (Content-type 遵守と HTML+TIME2 まわり) が必要だろうが、さて……。

2003.05.27 追記:

 2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム (MS02-005) で修正された模様。

 また、「Web ページの XXXX を再生する」は HTML+TIME の全機能を停止しているわけではないので注意されたい。HTML+TIME の全機能を停止するには regsvr32 /u mstime.dll を実行するしかない。

 上↑の記事の「HTML+TIME2」は「HTML+TIME 2.0」と書くべきなんだろうなあ。

これで安心! メールのセキュリティ 〜ウイルス・情報漏えい対策法〜
(MYCOM PCWeb, 2001.12.21)

 丁寧に書かれているしよくまとまっているのだけど、 2001.12.21 付として公開される記事で IE 5.01 SP2 / 5.5 SP2 / 6 はセキュリティホールなし ではまずいんじゃないの? 初心者さんはこういう「結果」しか見ないし。 「執筆時点では xx だがその後状況が変化している可能性もあるので、 Microsoft セキュリティ情報を確認してほしい」とか書いてくれナイト。 IE 6 にしただけで安心してもらうとすごくマズい。

 一瞬 マイクロソフト製品をより安心してご利用いただくためのホームユーザー向けセキュリティ対策早わかりガイド を推奨した方がいいのかなとも思ったのだが、 IE のページ には 5.01 だの 4.01 だのといった「もはや維持されていない」ものが並んでいるのでダメダメ。 Microsoft は自分自身で「お勧め」程度では済ませられない状況にしているくせに、こういうページをつくるんだもんなあ。

なんでもあり?のトークライブ @Random インフォメーション
(at-random ML, Mon, 24 Dec 2001 11:47:49 +0900)

 というわけで、 気軽なノリ ということで。 「大阪/京都方面でトークライブ形式の小イベントをやろう」 ということ以外はまだなんも決まってない状況です。 詳細はおいおい発表されることでしょう。


2001.12.21

スクリプト実行テスト
([memo:2427], Fri, 21 Dec 2001 23:34:06 +0900)

 fusianasan トラップで使われた効果のテストと (IE を使いつづけられる) 回避方法。う〜む……。

solution 3445: Microsoft Outlook Express でWeb メールをダウンロードするように設定している場合、Web メールの添付ファイルに対してウイルス検索を実行できますか?
(トレンドマイクロ, 2001/12/20)

 具体的には hotmail のコトですよね。他のアンチウィルスベンダも同様なのかな。 Microsoft ってやっぱり「機能優先」なんだよね。

2001.12.25 追記:

 少なくとも hotmail については、hotmail 自身が NAI/McAfee の anti-virus software を利用しているのだそうです。池田さん情報ありがとうございます。

2001.12.26 追記:

 櫻井さんから (ありがとうございます):

Hotmail自身が持っているウイルスチェック機能ですが、
トレンドマイクロで配布しているテスト用ウイルスeicar.comを
自分自身に送ってテストした限りでは、
今回のようなケース(OEを使ってダウンロードする場合)では
チェック機能が働かないことを確認しました。(^○^;
Hotmailに組み込まれているMacafeeのソフトウェアは
あくまでもWebメールでしか機能しないようです。

 さっそく私の hotmail アカウントに Goner.A (もちろん本物) を送ってみたところ、手元の Outlook Express 6 経由で 見事に受信できてしまいました。 なんなんだ……。

文系の、文系による、文系の為の現代暗号基礎
(connect24h ML, Fri, 21 Dec 2001 18:09:12 +0900)

 A.D.2001 プレゼンテーション資料。 Windows での .pdf 作成は、free なツールでもがんばれないことはないと思いますが、 やっぱり Acrobat だとラクです。

ウイルスハッキング
(connect24h ML, Fri, 21 Dec 2001 13:52:14 +0900)

 A.D.2001 プレゼンテーション資料。 open source というと、 マクロウィルスとか? (なんかちがう)


2001.12.20

Linux Loadable Kernel Module Hacking
(直接 mail, Thu, 20 Dec 2001 23:33:35 +0900)

 A.D.2001 での 4lj 氏のプレゼン資料だそうです。 金床さん情報ありがとうございます。 (link fixed: 金床さんご指摘ありがとうございます)

広がる一斉摘発の波紋,WAREZコミュニティは混乱状態
(ZDNet, 2001.12.20)

 やっぱ大学ですか。ザルなとこ多いだろうからなあ。 こういう「悪評が立つ可能性」も考慮して、つーつーにするかフィルタばしばしにするか、などを決めましょう。

年末体制
(various)

 いよいよ年末ですねえ。ってのんびりしている場合じゃないのだが。

警告
アンチウィルスベンダ
その他

 さっそく「そういう」ウィルスも登場している模様: 米CAなどアンチウイルス・ベンダー各社が「Reeezak」ウイルスを警告 (日経 BizTech)。

2001年度ウイルス感染被害年間レポート ネットワーク型ウイルスの脅威が本格化 〜2001年1月1日〜12月14日データ速報〜
(トレンドマイクロ, 2001.12.19)

 MTX って多いんですね。

追記

 2001.12.17 の MS01-058: 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム に追記した。 CERT Advisory 登場。

fusianasanトラップになんらかの対処を
(Scan Daily Express, Thu, 20 Dec 2001 12:47:11 +0900)

 MS01-058 がらみなので、まだ読んでない人はそちらも参照。

 ああそうか、

<?php
Header("Content-type: image/gif");
Header("Content-Disposition: inline");
readfile("page.html");
?>

とかしておいて、page.html にアクティブスクリプトを書くわけか。 これ、一旦ダウンロードしてから実行するので、アクティブスクリプト経由でなんでもやり放題なような気が。対策としては、アクティブスクリプトを無効にするしかないような気が。どうも、アクティブスクリプトの有効/無効はサイトが所属するゾーンで制御されるようなのだけど、実際のスクリプトの実行自体は local computer ゾーンになっちゃうみたい。

 NetSecurity の記事 2ch でIE のセキュリティホールをつく「fusianasanトラップ」が蔓延 では「この問題に関しては、12月13日に発表された累積パッチにより解消することが可能だ」としているが、 ほんとに防げてます? 手元で試した限りでは、 Windows 2000 SP2 + IE 6, Windows NT 4.0 SP6a + SRP + IE 6, Windows 2000 SP2 + IE 5.5 SP2 いずれもスクリプトが実行されてるっぽいのだが。 手元の Windows 2000 SP2 + IE 6 の場合は、スクリプトの実行途中で失敗しちゃうみたいだけど、JavaScript の知識が決定的に足りないのでよくわからん。 WSH 5.6 のからみかとも思ったけど、違うみたい。 VisualStudio とかが入っているからかなあ。

 テストページ http://www.st.ryukoku.ac.jp/~kjm/test/readme.gif では、page.html として

<script>
var x=window.open('file://C:/boot.ini');
x.navigate("javascript:alert(document.body.innerText)");
</script>

を置いてある (高木さんがむかし示されたものをかっぱらった)。 これを試すとみなさんどうなります? (c:\boot.ini への読み取り許可がある user で試してね)

2001.12.20 追記:

 ……あー、 [memo:2392]。 単に .html から rename すればいいだけなんだ。そうなんだ。 .gif でも .jpg でも .txt でもおっけーですね。 結局は IE が Content-Type, Content-Dispostion を正常に扱ってない (01-058 patch を適用しても) ってコトなんですが。

 で、↑で書いたアヤシゲな script の実行なんですが、うまくいったりいかなかったりするみたいで、どうもよくわからんです。

VMware を使ったセ キュリティ実験環境の構築
(常時接続の宴, 2001.12.19)

 A.D.2001 プレゼン資料。「ハッカージャパン 21」Vol.7 も参照、かな。 サイズが大きいのは capture 画面が多いからかな。

 おくればせながら、手元の VMWare を 3.0 に upgrade した (2.0 から pre-purchase したので $89)。 確かに反応速度が上がっている。

solution 3436: ISUX:プロキシにFW-1を使用しているとパターンダウンロードが行なえない
(トレンドマイクロ, 2001.12.18)

 InterScan VirusWall UNIX において、Firewall-1 + 「ユーザ認証有りのプロキシ」 という状態で運用する場合に、パターンファイルの Update 処理において Firewall-1 が認証エラーを吐くのだそうだ。 リクエスト中に User-Agent が含まれていないためだそうで、次バージョンで対応されるそうだ。

Linux distributions and /bin/login overflow
(bugtraq, Thu, 20 Dec 2001 08:04:59 +0900)

 CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する に関連して、Linux のいくつかの distrib. では SysV login option を有効にした /bin/login を含めており、しかも vulnerable だという。 具体的には、Slackware 8.0 以前と SuSE 6.1 が vulnerable だと指摘されている。

 CERT/CC Vulnerability Note VU#569272 では RedHat, Mandrake, Caldera は Not Vulnerable だとされている。 ちなみに BSD 方面だと Apple, BSDI, NetBSD は Not Vulnerable だとされている。

ProFTPD - Problems in file globbing, gives segmentation fault.
(bugtraq, Wed, 19 Dec 2001 22:22:40 +0900)

 ProFTPD 1.2.4 以前に弱点。 ls /////////// (/ を 11 個以上つづける) とすると Segmentation Fault してしまう。1.2.5rc1 以降で fix されている。

[memo:2362] Becky! 2.00.07 Script Filtering Bypass Vulnerability
(memo ML, Wed, 19 Dec 2001 04:40:37 +0900)

 Becky! 2.00.07 以前の「実行可能タグを無効化」機能に問題があり、 いくつかの方法で HTML メール内の JavaScript を実行させることができてしまう。 2.00.08 で fix されているので適用する。

 2.00.08 ではこの他にも、anti-virus ソフトとのからみで不具合が発生する問題への対応などが含まれているようです。 ウイルス対策を施した「Becky! Internet Mail」v2.00.08が公開 などを参照してください。


2001.12.19

Windows NT Server 4.0 の製品販売期間と製品サポート期間に関するガイドラインについて
(win セキュリティ虎の穴, 12月18日)

 英語版: Retiring Windows NT Server 4.0: Changes in Product Availability and Support

 というわけで、2003.01.01 以降は security fix であろうとなかろうとタダでは手に入らなくなる、と。 『デスクトップオペレーティングシステム(OS)の提供およびサポートの提供期間に関するガイドライン』−企業ユーザー様向け−『デスクトップオペレーティングシステム(OS)の提供およびサポートの提供期間に関するガイドライン』−コンシューマユーザー様向け− も読んでおきましょう。

 関連: Windowsの「引退スケジュール」に,昨年出た“あの”OSも (ZDNet)。open source 方面はもっと変化しますが、 必要なお金の額が違うから (まだ) 気にならないですね。


2001.12.18

WebDAV 時代のセキュリティ対策
(webdav-jp ML, Sun, 16 Dec 2001 05:53:15 +0900)

 なんでも http 時代第 1 弾の WebDAV です。 お勉強しておきましょう。 かゆいところに手が届く内容になっていて助かります。

追記

 2001.12.13 の CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する に追記した。 再現方法など。

UNIX モノ
(various)

Sun
FreeBSD
Debian GNU/Linux
RedHat
HP-UX
TurboLinux

エンタープライズセキュリティを実現するための5つのステップ「Step 3:検知」
(ZDNet エンタープライズ, 2001.11.26)

 Secrets & Lies の翻訳本は 暗号の秘密とウソ。 題名でソンしてるよねえ。暗号の話はそれほど出てこないんだもん。 というか、冒頭からして……。

 いきなり CVE ってのは何か違うような気がするが。CVE って要は xref だよね? ……あ、RedHat も CVE 使うようになったんだ。 他の Linux distrib. や PC-UNIX 方面でも使ってくれるとメチャ助かるのだが。

 まあしかし、あれもやれぇこれもやれぇと言ったところで、できる企業は限られているような気が。それこそ 優先順位を考えて効率的なセキュリティ対策を なわけで。

 「Step 4: 対応」も出ている。 backup を用意しても、 backup server にも同じ弱点があった、なんてコトだとシャレにならないけど。 step 1, 2 は エンタープライズセキュリティを実現するための5つのステップ を。

優先順位を考えて効率的なセキュリティ対策を
(日経 IT Pro, 2001/12/13)

 基本をきちんとやっておけば、少なくともスクリプトキディ程度にはやられないはず。どこまでが基本なのよ、という話もありますが。


2001.12.17

MS01-058: 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム
(Microsoft Security Notification Service, Fri, 14 Dec 2001 15:23:39 +0900)

 IE 5.5 SP2 / 6.0 に、新たな 3 つの問題。

  1. HTML ストリームの Content-Dispostion ヘッダ フィールドおよび Content-Type ヘッダ フィールドの処理のある問題」。 Nimda が利用した MS01-020 のように、 web ページや電子メールの閲覧によって、 一切の確認なしにいきなり .exe を実行させられるようだ。 やばい、のだが詳細不明。何に対して警戒すればよいのかよくわからん。 IE 6 のみの問題とされている。

  2. MS01-015: フレームのドメイン照合脆弱性の変種」。 詳細はよくわからない。 IE 5.5 / 6 共通の問題とされている。

  3. ファイルのダウンロードが開始されると、ダイアログ ボックスにファイルの名前が表示されます。しかし、場合によっては攻撃者がダイアログ ボックスに実際のファイル名とは異なる名前を表示させることができる可能性があります」。 IE 5.5 / 6 共通の問題とされている。 これは RE: File extensions spoofable in MSIE download dialog の話だと思う。

 1 番目と 3 番目の違いは、3 番目はウソであってもとにかくダイアログが出るが 1 番目はそれすら出ない、ということなのかなあ。3 番目のやつの特殊形が 1 番目? ちょっと試してみたけどよくわかんないや。 試した結果は RE: File extensions spoofable in MSIE download dialog の方に追記しておいた。

 対策としては、IE 5.5 SP2 / 6 には patch があるので適用すればよい。 3 番目については IE 5.5 も十分致命的なので、ちゃんと patch を適用しよう。 その意味で、Microsoft の言う「危険度: 中 (moderate)」には賛成できない。

 少なくとも 3 番目の問題については、IE 5.01 SP2 には IE 6 と同程度の問題がある。という話は RE: File extensions spoofable in MSIE download dialog に書いた。 試しに手元の IE 6 に MS01-058 fix を適用してみたら、まともなダイアログを表示するようになった。しかし、同様の問題がある IE 5.01 SP2 用の fix は出ないのだ。 IE 5.01 SP2 以前のユーザは IE 5.5 SP2 あるいは IE 6 に移行される事を強く推奨する。

 CVE: CAN-2001-0727, CAN-2001-0874, CAN-2001-0875

 関連記事: IE 5.5/6.0に新たなセキュリティホール (ZDNet)、 New Internet Explorer Vulnerabilities and Patch (incidents.org)。

2001.12.18 追記:

 関連記事: IE 5.5/6で発生する深刻なセキュリティ問題の修正プログラムが公開 (窓の杜)

2001.12.20 追記:

 CERT Advisory 登場: CERT Advisory 2001-36: Microsoft Internet ExplorerはContent-Disposition並びにContent-Typeの両 MIMEヘッダを尊重していない (reasoning.org)。 英語オリジナル: CA-2001-36 Microsoft Internet Explorer Does Not Respect Content-Disposition and Content-Type MIME Headers

 あと、fusianasanトラップになんらかの対処を という話も出てます。IE 5.5 SP2 でも問題になる ところを考えると、MS01-058 の 1 番目の問題はこれでもないみたいなんだよなあ。

2002.01.18 追記:

 MSIE may download and run programs automatically - details

2002.02.20 追記:

 IEとWindows NT/2000のセキュリティ・ホールを検証する (日経 IT Pro)。

セキュリティ Audit(監査)の重要性
(日経 IT Pro, 2001.12.17)

 昔は資源が乏しかったのでがんばってカリカリに tuning してたりしましたが、 今ではそのへんの数万円の PC でもとんでもないパフォーマンスですし、 その分台数も多くなったので、あまりまじめに tuning できてないなあ。 あ、新サーバに tripwire 入れとかなくちゃ。

Secure Programming - 安全なプログラミングのために -
(直接 mail, Mon, 17 Dec 2001 13:57:35 +0900)

 A.D.2001 でのプレゼン資料だそうです。 おそるべし > Sun。 KuniG さん情報ありがとうございます。

しゃぶり付くす snort & hogwash も毒見してみる
(しかPさんち, 2001.12.13)

 A.D.2001 でのプレゼン資料だそうです。snort し (ようとし) ている人は読みましょう。 宗教上の理由で .ppt が読めない方はこちら: pdf 版

MSIE6 can read local files
(bugtraq, Sat, 15 Dec 2001 11:20:49 +0900)

 IE 6 に弱点。IE 6 に同梱されている Microsoft.XMLHTTP ActiveXObject (という表現でいいのかな) に弱点。 悪意ある web サイトは、この ActiveXObject を利用して、既知のパス名のファイルを読みとることが可能。 IE 5.5 にはこの弱点はないという。 手元の IE 6 / Windows 2000 SP2 日本語版でも見事に成功した。

 ActiveScript, ActiveX コントロールとプラグインの実行, スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行 のいずれかを無効にすれば回避できる。

RootKit の紹介と対処法
(みっきーのネットワーク研究所, 12がつ16にち はれ)

 A.D.2001 でのプレゼン資料だそうです。解説つき。すばらしい内容。 「もしかしたらスグに消すかも」 と書かれているので、速攻で wget -r -np。


2001.12.14

Version2.6.1以前のBJDのWebサーバにクロスサイトスクリプティング脆弱性
(窓の杜, 20011215)

 Windows 用の proxy サーバ BlackJumboDog 2.6.1 以前に弱点。クロスサイトスクリプティング脆弱性が存在する。 2.6.2 で fix されているので upgrade する。 BlackJumboDog 開発元と弱点発見者の高木さんとのやりとりが全て公開されているのが興味深い。

Lotus Domino ネタ 2 点
(Notes/Domino Weekly, 2001.12.14)

追記

 2001.12.05 の [memo:2162] アップルのメールサーバはオープンリレー に追記した。 mail-in.asia.apple.com は直ったが、mail-in.euro.apple.com だとイケるという話。

CERT Advisory CA-2001-35: セキュアシェルデーモンに対する最近の攻撃活動
(CERT/CC, December 13, 2001)

 ssh に関する既知の脆弱性、特に Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow まわりについての警告。 SSHスキャンの激増 (NetSecurity) を受けて、でしょうね。 References が素敵。 オリジナル: CERT Advisory CA-2001-35: Recent Activity Against Secure Shell Daemons

 というわけで、そろそろ protocol version 1.x は捨てたいと思っていたりするのですが、「日本語」+「Windows」というところでネックになっていたり。 試してみた限りでは SSH Secure Shell for Workstations Japanese 3.0 はなかなかいい感じなのですが、いかんせんおタカいですし。 PuTTY あたりが日本語バリバリになるか、TeraTerm 用の ssh2 extension が登場するかするとうれしいのですが。 実力があれば自分で書くのですが、ないので (T_T)

 (reasoning.org から日本語版が出たので、表題はそちらに変更しておきました)

TRANSCRIPT OF USAMA BIN LADEN VIDEO TAPE
(cryptome.org, 13 December 2001)

 video 自体はどこかで公開されているんだろうか。 しかしこの「テープ」、CIA などによる捏造ではないという証拠はあるんですかね (そんなもんはどこにもないだろうけど)。 たとえば [aml 25629] ISIとCIAの関わり、と。

 そういえば、事故だかなんだか知らないけど、B-1B が 1 機墜落したらしいですね。

 ……ビデオも公開されているようですね: ビン・ラディンのビデオにネットユーザー殺到 (CNET)。わはは、DoS。

 あとは、たとえば [aml 25629] ISIとCIAの関わり とか [aml 25610] アメリカが自由主義・・・ (炭疽菌とアメリカの報道) とか。 米軍は U.S. を守るのか、破壊するのか。

Vulnerability Note VU#228186: Hot Standby Router Protocol (HSRP) uses weak authentication
(CERT/CC, 12/13/2001)

 耐障害用途に広く使われているらしい HSRP だが、7. Security Considerations にあるようにセキュリティは皆無なので、 同じ LAN セグメントにアクセスできる攻撃者から DoS 攻撃が可能という話。 HSRP とはそういうものだ、という理解が必要だということだろう。 Workaround としては、IPsec の利用が挙げられている。


2001.12.13

[port139:00848] 顔文字拡張子(笑) (Re:[XP] ソフトウェアの制限ポリシー)
(port139 ML, Thu, 13 Dec 2001 01:51:26 +0900)

 [port139:00849] も参照。foo.~[e^x^e]~ ですか……。 もしかして、~[e^x^e]~.~[e^x^e]~ なんてコマンドも実現可能ということだろうか。うーむ。

 なんか XP 欲しくなってきた (なんかちがう)。

CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する
(CERT/CC, December 12, 2001)

 AIX 4.3〜5.1, HP-UX, SCO OpenServer 5.0.6 以前, SGI IRIX 3.x (!!), Sun Solaris 8 以前 (ってどこまでさかのぼれるの?) に弱点。 これらに含まれる、System V 由来の login コマンドに buffer overflow する弱点があり、攻撃者が root 権限を得られる。 login を呼ぶコマンドとしては、たとえば telnetd とか rlogind とかが挙げられる。 そのため、これらのコマンドを経由して remote から root 権限を奪取することが可能だという。 英語オリジナル: CERT Advisory CA-2001-34 Buffer Overflow in System V Derived Login

 対応としては、patch があれば patch を適用。 patch がない場合は、telnetd や rlogind など login を呼ぶコマンドを停止する。 この他に乱暴な方法 (^^) として、login を S/Key (logdaemon) や OPIE 付属のものに取り換えてしまうというテもあるだろう。

 Appendix A. - Vendor Information では、HP は「HP-UX is NOT Exploitable」だと言っている。 AIX からは emergency fix が出ている。 Sun はまだ。SGI IRIX 3.x……は patch 出ないだろうさすがに。

 関連: Vulnerability Note VU#569272: System V derived login contains a remotely exploitable buffer overflow (CERT/CC)、 Internet Security Systems Security Advisory: Buffer Overflow in /bin/login (ISS)。

 (reasoning.org から日本語版が出たので、表題はそちらに変更しておきました)

2001.12.18 追記:

 nessus ML に投稿された binlogin_overflow.nasl によると、 こういうことらしい:

port = get_kb_item("Services/telnet");
if(!port) port = 23;

function login(env)
{
soc = open_sock_tcp(port);
if(soc)
{
 buffer = telnet_init(soc);
 send(socket:soc, data:string("nessus ", env, "\r\n"));
 r = recv(socket:soc, length:4096);
 close(soc);
 if("word:" >< r)
  {
        return(1);
  }
 }
 return(0);
}

if(login(env:""))
{
 my_env = crap(data:"A=B ", length:400);
 res = login(env:my_env);
 if(!res)
 {
  security_hole(port);
 }
}

 あと、Sun Security Bulletin #00213: login が出たので Solaris な人は適用しましょう。

2001.12.20 追記:

 Linux distributions and /bin/login overflow という話がある模様。


2001.12.12

ハッカーに挑戦状を叩きつけたOracle
(ZDNet, 2001.12.11)

 それって何が「Unbreakable」なの? 必ずしも Oracle なワケではないような気が。

 ZDNet の記事だとイマイチよくわからないのだが、 Oracle 自身は「Oracle9i Application Server release 2」が Unbreakable だと言いたい模様。 最初から穴つきでは論外だけど、 こんなのは使う人次第でどうにでもなってしまうと思うのだがなあ。

 ……A+ さんから鋭いツッコミをいただきました (ありがとうございます):

この記事で、

> 「Unbreakable」を開始してから7週間,
> 当社のサイトが攻撃される回数は週に3000回ほどだが,
> いまや週に3万回の攻撃を受けている。

とあるけど、この7週間って調度 Nimda が発生した時期に重なる気がするんですよね。

私も個人でひっそりサーバ立ててまして、
ふと、自分のとこにきた Nimda の数を数えてみたんだが
うちでも週3万超えてるんですよね…。
うちの apache も侵入を許してはいません(当然ですが)。

もしもこの攻撃のカウントに Nimda が含まれているとすれば
世の中にあるサーバは殆どが賞賛されなければいけないことになってしまいますよ
ねぇ。
つまりうちのサーバも「Unbreakable」ということになるわけです(笑

> 「ハッカーはWindows NTのバグを探そうとOracleのWebサイトに攻撃を仕掛けてくる。
> かわいそうなことに,それはフロントガラスにぶつかる蝿のようなもの。
> フロントガラスはびくともしない」(同氏)
とあるがこのことからも攻撃の大半が Nimda であると予想がつきます。

というわけでこの記事、
実は全く的外れなことを書いてるのかも知れず…
と思いました。

# Oracle の良いように宣伝に使われてるだけ?

 メールアドレス鋭すぎです > A+ さん (^^;;;)

Microsoft's Outlook Express 6 "E-mail attachment security" Flawed
(bugtraq, Wed, 05 Dec 2001 08:46:00 +0900)

 Outlook Express 6 のセキュリティオプション「ウィルスの可能性がある添付ファイルを保存したり開いたりしない」をチェックする (デフォルトはチェックなし) と、「ウィルスの可能性がある添付ファイル」を開いたり保存したりできなくなる。 のだが、そういうものが添付されたメールを「転送」して表示された Fw: ウィンドウの「添付:」経由では、開いたり保存したりできてしまう、という話。 これは「仕様」だそうです。 まあそんなもんでしょう。

 「ウィルスの可能性がある添付ファイル」とは何かについては以下参照: OLEXP: Using Virus Protection Features in Outlook Express 6 (Q291387) [OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法 (JP291387)。 OE 専用に別途定義できないってのはつらいなあ。

Non-Standard Packet Drivers and Why We Need Full Disclosure
(incidents.org, 2001.12.10)

 Windows 用 Personal FireWall ソフトが、 MS 標準の protocol stack から送られたものではないパケットを検査できないという話。 少なくとも、ZoneAlarm と Tiny Personal Firewall にはこの問題があるとされている。

[memo:2318] INTERSTAGE Cross Site Scripting Vulnerability
(memo ML, Wed, 12 Dec 2001 04:23:37 +0900)

 富士通の J2EE 対応アプリケーションサーバ INTERSTAGE に Cross Site Scripting 脆弱性があるという指摘。 Cross-Site Scripting問題に関するINTERSTAGEの対応(2001.11.30) に回避策および patch が示されているが、 全ての INTERSTAGE に対して patch が用意されているわけではない。 patch がある製品については patch を適用し、 そうでない製品については回避策を実施されたい。

特別な形式の HTML メールのスクリプトが Exchange 5.5 OWA で実行される (MS01-057)
(Microsoft Product Security Notification Service, Fri, 07 Dec 2001 08:35:19 +0900)

 Exchange 5.5 + Outlook Web Access (OWA) で弱点。 特殊なスクリプトを含む HTML メールを OWA で開くと、そのスクリプトが OWA サーバが属するゾーンの権限で実行されてしまい、結果としてスクリプト経由でメールの発信・移動・削除などが可能になってしまう。 ただし、この弱点を利用したメールの大量送信 (spam) はできないそうだ。 また、OWA を利用していない場合はこの弱点の影響は受けない。

 patch があるので適用すればよい。ただし、Exchange サーバ上にインストールしてある IE が 5.5 SP2 以降である必要があるようだ。 参照: Potential Problem with Microsoft Security Bulletin MS01-057

追記

 2001.11.07 の Acrobat 4.0(Win):Microsoft Office 2000 のアプリケーションを起動する際にエラー「証明(署名または発行元)は有効期限が切れました。」 に追記した。 Acrobat 5.0.5 で対応された模様。

情報セキュリティセミナー実施報告
(IPA, 2001.12.06)

 セミナー資料と質疑応答の記録。

Windows 方面ネタ
(various)

 息切れしてきたのでここまでを公開。

UNIX 方面ネタ
(various)

Debian GNU/Linux
FreeBSD
RedHat
HP
  • security bulletins digest

    HP-UX の rpc.ttdbserverd の続報と、HP Secure OS software for Linux Release 1.0 の Linux kernel version が 2.4.5 になったという話。


2001.12.11

Internet Week2001,JNSAセキュリティセミナーレポート
(+SEC, 2001.12.11)

 「個人レベルでの暗号化が、当たり前となる」? ISP が PKI サービスするくらいにならないと普及しないような気が (「インフラ」だしねえ)。 してるとこってありましたっけ?

 こういう時代なんだし、個人にもサーバ鍵出してほしいよねえ。 非商用 only でいいから安いやつを。

杉並型条例の制定表明 埼玉・上福岡市 住基ネット対策
(毎日, 2001.12.10)

 「個人情報が漏れたり悪用された場合に、住基ネットへの接続を切断できる」。わかっていらっしゃる自治体は違う。問題は「個人情報が漏れたり悪用された」ことをどうやって検知するかかなあ。 とりあえず条例つくればそれで済むわけじゃないだろうし。

Windows .Net Serverで強化されるセキュリティ
(ZDNet エンタープライズ, 2001.12.03)

 デフォルト設定が安全側に倒れたのはいいのだけど、

IIS 6.0の内部デザインは,新しいhttpd.sysをベースとする。HTTPサーバとキャッシュからなるhttpd.sysは,ネットワークスタックと直接交信を行い,カーネルモードで動作することで速度の改善を図っている。

 カーネルモードですか……。

SecurityFocus.com Newsletter #122 2001-12-03->2001-12-07
(BUGTRAQ-JP, Tue, 11 Dec 2001 14:30:41 +0900)

 SecurityFocus.com Newsletter 第 122 号日本語版 (テキスト, 英語版)。 Stealth HTTP Scanner (2.0 Build 37 が出てます) は http://www.nstalker.com/stealth.php に移動したようです。

「情報セキュリティの実態調査」の実施
(IPA, 2001.11.14)

 「2001.12.07 アンケート調査票の発送を開始 」だそうです。ちゃんと調査票を公開してるあたりエライなあ。

 でも、全ての質問内容を理解できるトコロってどのくらいあるんだろう。 「ペネトレーションテストって何だ?」とかありがちっぽくない?

InterScan VirusWall for Windows NT ver. 3.51J WORM_BADTRANS.Bウイルスへの対応方法
(トレンドマイクロ, 2001.12.10)

 検出できない場合があるので hotfix が用意されたそうです。

MacSFTP - Secure FTP Client for the Macintosh
(securemac.com, 2001.12.10)

 MacOS 8.6 以降 / MacOS X で使える sftp (ssh についてくる sftp) クライアント。

pf IMPLIMENTATION
(若草 OpenBSD 友の会 ML, Tue, 11 Dec 2001 00:23:06 +0900)

 ライセンスがアレゲな ip filter にかわり OpenBSD 3.0 以降に塔載されている pf の実装についての記事。


2001.12.10

マイクロソフト セキュリティ情報で提供される 「深刻性」 の評価について
(memo ML, Mon, 10 Dec 2001 11:49:29 +0900)

 [memo:2282] の問題は修正された模様。

snort の tips
(みっきーのネットワーク研究所, 2001.12.10)

 snort 用サーバ機がまだ届かない。 つーか、すでに届いている他のサーバをまず setup しろよ > 俺。

Windows XP の再インストール、修復、またはアップグレードを行うとデータが失われることがある
(日経 IT Pro, 2001.12.08)

 OEM 版ユーザは要注意ですねえ。 「この問題を解決する OPK (OEM Preinstall Kit) のアップデートは、コンピュータの製造元に配布されました」 そうですが、 フロッピードライブやパワーケーブルの OEM で購入した (!) ユーザはどうなるんでしょうね。 Q312369 には "Windows XP Update Package, November 19, 2001" をインストールするとか Undo_guimode.txt を削除するとか出てますが。

最も小さなワーム〜W32.Aliz
(ZDNet, 2001.11.27)

 「これらのウイルスの中には,1つもVBスクリプトで作成されたウイルスがないのである」、確かに……。

2001.12.14 追記:

 記事(2) で「Outlook Expressのプレビュー機能をOffにする」 方法として挙げられている 「Outlook Expressの「ツール」−「オプション」でオプション画面を起動し,「読み取り」タブで「プレビューウィンドウで表示するメッセージを自動的にダウンロードする」のチェックを外せばよい」 は、POP3 を利用している場合には効果がない。 IMAP, news, hotmail の場合には効果がある。

 POP3 でも効果のあるプレビュー無効化は次の手順: メールフォルダ (どれでもよい) を選択してから 表示メニューの [レイアウト(L)...] で「ウィンドウのレイアウトのプロパティ」 を表示させ、[プレビューウィンドウを表示する] のチェックを外す。

 参照: [memo:2323], [memo:2325]

DoS攻撃について考える
(ZDNet, 2001.11.29)

 Trends in Denial of Service Attack Technology によると、handler / agent model はもう古いみたい。 プラットホームは Windows で、制御は IRC で、というのが流行りのようです。 grc.com がヤラれた話 もこのパターンですよね。

常時接続がこのまま広がれば,セキュリティはどうなる?
(ZDNet エンタープライズ, 2001.12.07)

 JPCERT/CC Seminar 2001 では警察庁の坂氏が注目されていたという話を聞いたのだけど、 この記事ではぜんぜん出てこないな。 やっぱ現場に行かなきゃイカンなあ。

インターネットはテロで遮断されるか?〜Internet Weekで村井純氏が講演
(INTERNET Watch, 2001.12.06)

 DNS root server については、 DNSミーティング で root server M についての発表が WIDE 加藤氏により行われていた。 「関東がつぶれたとき」用に、 backup が大阪方面某所に用意されるよう準備中の模様。 また named version についても、現行 M さん (bind 8) とは違うコードベースのもの (bind 9) を利用する方向で検討中の模様。 ただし bind 9 のパフォーマンス (bind 8 の半分程度) は懸念事項の模様。

 DNSミーティングでは、遅くてデカい bind 9 も、ガンコ一徹すぎの djbdns も「大規模運用ではちょっとね」という雰囲気だったので、ここで一発 「bind 8 のパフォーマンスと djbdns の堅牢性」 をあわせ持つ DNS server をスクラッチする人が出ると、 ヒーローになれることうけあいの模様。

ブロードバンドが攻撃側も助長する 〜JPCERTが「IW2001」で活動報告
(INTERNET Watch, 2001.12.06)

 参照: JPCERT/CC 活動概要 [ 2001年7月1日 〜 2001年9月30日 ] インシデント報告件数の推移。 私は IP Meeting 2001 には参加できていないのだが、 別途伝え聞いた情報によると、 2001.07.01〜09.30 の報告件数が 04.01〜06.30 よりも減っているのは 「これまでこまめに、しかも JPCERT/CC にとって処理しやすい形でしてくれていた方からの情報提供がなくなった」 ためなのだそうです。 あと、あくまでこれは「件数」であることに注意。 整理した情報をまとめてドカッと送っても「1件」。 「助けて!」とだけ書いて JPCERT/CC を混乱させても「1件」。

 JPCERT/CC くらい、期待されている活動内容と実際の組織規模とのギャップが激しい組織もなかなかないですよねえ。 「JPCERT はマイクロソフトになんとかしろとは言わないのか」 というのも期待のアラワレなんだろうけど、 なんとかしろと言わねばならぬ相手はマイクロソフトに限らないし、 マイクロソフトはどっちかとゆーと 「セキュリティ fix も情報もちゃんと出している企業」 なわけで (この事実を理解できていない人は多いようだ)。 どうして「JPCERT は Project Vine になんとかしろとは言わないのか」 という声が上がらなかったのか、私にはよくわからないです。 (そういう声も上がっていたのならごめん)

 というわけで、JPCERT/CC にはやっぱり CC (Coordination Center) の部分でがんばって頂きたいと思ったり。現状 JPCERT/CC が有する資源ではいろいろとたいへんであることは理解していますが。

理由が分からないパッチのアップデート,重要情報は日本語での提供を Windows 2000 SP2 未収録のパッチには“準備バージョン”が存在
(日経 IT Pro, 2001.12.05)

 HFNetChk 用の xml ファイルはこまめに update されているので、下手に悩むよりはこれを基準にするのがいちばんいいのでしょう。 自動 get するのは英語版 xml ファイルなのだけど、せっかく MSKK から配布するなら日本語版 xml ファイルを自動 get するようになっていてほしいような。

株式会社シマンテック、 Mac OS X v10.1対応のNortonシリーズを12月22日に新発売
(symantec, 2001.12.06)

 「Norton AntiVirus for Macintosh (NAVM)はAutoProtect機能、スケジューラ機能がMac OS X上で動作しません」なんて状態で「対応」と言っていいのか? デスクトップ OS 用としては明らかに不合格だぞ。 「シマンテックではMac OS X上でネイティブに稼働するよう設計した製品ラインを現在開発中です」 だそうなので、この次の版で対応なんですかねえ。

 まあ、こういう意味でも「MacOS X はまだまだ使えない」のでしょう。

JPCERT/CC に関してよくある質問と答え
(JPCERT/CC, 2001.12.05)

 「名刺に住所が書かれていない謎の組織」JPCERT/CC に関する FAQ。 これができあがるまでには、さまざまな苦労があった模様。 (typo fixed: 横井さん感謝)


2001.12.05

[memo:2162] アップルのメールサーバはオープンリレー
(memo ML, Wed, 05 Dec 2001 17:41:30 +0900)

 mail-in.asia.apple.com が open relay を許しているという指摘。 試してみたが、確かにその通りのようだ。

2001.12.14 追記:

 mail-in.asia.apple.com は直ったが、mail-in.euro.apple.com だとイケるという話。 参照: [memo:2337]


2001.12.04

追記

 2001.12.10 の 最も小さなワーム〜W32.Aliz に追記した。 記事中の記述の一部に、POP3 ユーザにとっては意味がないものがある。

RE: File extensions spoofable in MSIE download dialog
(BUGTRAQ, Thu, 29 Nov 2001 11:51:32 +0900)

 こんな内容の php スクリプトを用意し、

<?php
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

これを readme.txt という名前で保存する。で、AddType application/x-httpd-php .txt する。で、IE からアクセスしてみる。

 IE 5.01 SP2 や IE 6 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、今度は 「次のファイルをダウンロードしています - calc.exe - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」 というダイアログが出る。これは正常だ。

 ところが、IE 5.5 SP2 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出たときに「開く」と答えると、 いきなり calc.exe が実行されてしまうのだ。あな恐しや。 手元では IE 5.01 SP2 / 5.5 SP2 / 6 on Windows 2000 SP2 で確認した。

 実験したい人は http://www.st.ryukoku.ac.jp/~kjm/test/readme.txt にアクセスされたい。ここでは calc.exe ではなく lhasa016.exe になっている。

 .asp の場合はこんなふうなのだそうだ。

 Netscape 6.2 でも試してみたが、指定されていないアプリで開くか保存するかしかできないようなので ok だろう。

2001.12.17 追記:

 MS01-058: 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム で修正されている。これを適用すると、IE 6 では最初から 「次のファイルをダウンロードしています - calc.exe - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」 というダイアログが出るようになる。

 あと、こんなふうに変更してみて

<?php
Header("Content-type: application/ms-word");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

readme.doc という名前にして AddType application/x-httpd-php .doc として IE 6 (MS01-058 patch なし) で試すと、「次のファイルをダウンロードしています - readme.doc - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、 calc.exe がいきなり実行されてしまう。 これで IE 6 も IE 5.5 と同程度に危険ということに。 patch ありではちゃんと「calc.exe」になる。 もっとも、Office がインストールされていない環境とか、 Office の open 時のデフォルトの挙動の設定とかにも依存するのだろう。 (きっと「デフォルト = open」が影響しているに違いない)

追記

 2001.11.29 の 現在、以下の製品でW32.Aliz.Worm及びW32.Badtrans.B@mmの検知/駆除において問題が確認されております (Norton AntiVirus for Gateways 2.[125].x 問題) に追記した。いくつかの続報。 (link fixed: 志村さん感謝)

[memo:2132] パスワードの無いサービス
(memo ML, Mon, 03 Dec 2001 13:00:22 +0900)

 ソニースタイルにおいては、login ID がパスワードとして用いられているため、 推測しやすい login ID を選択しているユーザの個人情報を誰でも簡単に入手・変更することができてしまうという話。 こういうものを「認証」だと言ってしまうところもアレゲだが、 高木氏とソニースタイルとのやりとりがまたアレゲ。 さらにつづきがあり [memo:2140]、 またまたアレゲだがとりあえずやめることにはなった模様。

 「さすがといわれる会社」ですねえ。

CentreNET AT-TCP/32 Elite-FTP exploit
(BUGTRAQ-JP, Mon, 03 Dec 2001 17:15:42 +0900)

 CentreNET AT-TCP/32 Elite-FTPクライアント 2.1 pl 0 に弱点。 長大なバナー文字列によって buffer overflow が発生するため、 バナーに攻撃コードを仕込むことにより、悪意ある ftp サーバがクライアント上で任意のコマンドを実行させることができる。 2.1 pl 1 で修正されているので update する。

UNIX 関連 fix
(various)

RedHat
TurboLinux
Debian GNU/Linux
OpenBSD

SecurityFocus.com Newsletter #121 2001-11-26->2001-11-30
(BUGTRAQ-JP, Tue, 04 Dec 2001 12:08:50 +0900)

 SecurityFocus.com Newsletter 第 121 号日本語版 (テキスト, 英語版)。

SecurityFocus.com Newsletter #120 2001-11-19->2001-11-23
(BUGTRAQ-JP, Tue, 27 Nov 2001 23:11:22 +0900)

 SecurityFocus.com Newsletter 第 120 号日本語版 (テキスト, 英語版)。

.Netのセキュリティにゴーサイン
(ZDNet エンタープライズ, 2001.12.03)

 JWNTUG 2nd Open Talk in MSC 大阪では、Windows Update (の進化形) は単なる hotfix の入手用などというものではなく、3rd パーティソフトや企業内管理者からも利用可能なものとして動く、という話を聞いた。まあしかし、ワクチンソフトの data ファイル程度のものでない限り、入手自体は自動化させても、最終的な配布までは自動化したくないだろう。 過去の事例を見ても、ね。

 しかし、このタイトルはなんだか意味不明だなあ。

 ……山崎さんから:

業務の関係で OSや使用していたウィルススキャンのバージョンア
ップが出来なく、たまたま該当した為に全部所の NT Workstation
で自動アップデートかかったコンピュータすべて起動しなくなる
という洒落にならん状態に陥ったことがあります。

http://web.archive.org/web/20001109184200/http://www.nai.com/japan/download/dat4102.asp

# naiは無かったことにしたいらしいですね… Webサイト見て
#も痕跡すら残っていません。 archive.orgにあってよかった :-)

小島さんのサイトにも載っていたような記憶があるなぁと思って
みてみたらありました。2000.11.08付けのものですね。

というわけで「ワクチンソフトの data ファイル程度」であって
もハマル場合があるので、自分でテストして大丈夫と思わない限
りは入手配布は自動化させたくないと思ったりしてます。

#…とはいってもコスト等の絡みでしな自動化しなきゃならん場
#合が多いんですけど。

 そういうリスクがあるのは理解していますが、これだけ virus わさわさな時代ですので、現実問題としてテストしている時間ってとれないような気が。 data がアレゲで社内システムがダウンするリスクと、virus にひっかかって社内システムがダウンしさらに外部に被害を及ぼすリスク (+ それぞれについての復旧するためのコスト) をてんびんにかけて判断することになるのでしょうが、ふつうは前者の方が低いような気が。

 あと、Windows を使わないことによるリスク回避は現状ではとても有効だと思います。

Buffer over flow on Outlook express for Macintosh
(BUGTRAQ, Mon, 03 Dec 2001 16:34:27 +0900)

 特定の形式のメールを受信すると、Outlook Express 5.0, 5.01, 5.02 for Mac がダウンしてしまう。5.03 で修正されているそうだ。英語版 5.03 が入手可能だが、 日本語版はまだ。 ただし、日本語メールの読み書きについては英語版でも可能だそうだ。 落ちるメールの例としては Simple .ida exploit method and POC code. があるそうだ。手元でも MacOS X 10.1.1 + Outlook Express 5.02 日本語版 (Classic 環境) で落ちることを確認した。

 [stalk:01055] [FYI]Buffer over flow on Outlook express for Macintosh 以降でも議論されているので参照。

 リンクとか備忘録とか日記とか: 2001.12.04 番外編 にまとまった記事が出ました。 手元の OE 5.02 では DELE してから crash してくれたっぽいのですが、 これはタイミング依存なのかな。

2001.12.17 追記:

 Outlook Express 5.03 Macintosh Edition 登場。利用者は入れかえましょう。

ネット上のパブリックサービスに免許制を!? 無能な管理者を駆逐せよ
(NetSecurity, 2001.12.4)

 その「免許」システムがまともなものになるという保証も、 「免許」があるからまともなサービスがなされるという保証もないような。 結局ユーザ自身が判断しなければならないということ自体は何も変わらないような。


2001.12.03

衆議院議員島さとしの事務所からウィルスメール送信(2001.12.3)
(Scan Daily Express, 01/12/03)

 迷惑メール防止法案 なんてものを出す人間が、この程度の認識でいてもらっては困るのだがなあ。 これだから民主党はドッチラケ (死語) 政党なんだよなぁ。 イージス艦出さなかったから賛成ってなんなんだよ一体。

 ってことを言っててもラチあかないから、センセー方を教育するしかないのかな。 ガッコのセンセー方よりは人の話を聞いてくれそうな気はしないでもない。 50 歩 51 歩かもしれんが。

 関連: 議員も間違う行政のサイバーテロの定義 検討経過と有効性に大きな疑問R-MSX サイトだった島さとし議員のサイト (NetSecurity)。 JPCERT/CC って今でも「原則はボランティア組織」なんでしたっけ? IW 2001 で確認しておかナイト。


[セキュリティホール memo]
私について