セキュリティホール memo - 2002.02
Last modified: Tue Apr 15 13:03:48 2003
+0900 (JST)
日本の対テロ貢献国リスト漏れ、もう一度米に確認 外相
(asahi.com)、
また
というのがギャグっぽくていいですな。
オリジナルはこれですかね: Rumsfeld Praises Coalition Contributions In Anti-Terror War
(WASHINGTON, Feb. 26, 2002)。
ケツにリストされている
According to a DoD fact sheet, a partial list of countries providing support in the war against global terrorism include Australia, Bahrain, Belgium, Canada, the Czech Republic, Denmark, Egypt, Finland, France, Germany, Great Britain, Greece, Italy, Jordan, the Netherlands, New Zealand, Norway, Portugal, the Republic of Korea, Romania, Russia, Spain, Turkey, the United Arab Emirates and Uzbekistan.
には Japan がないぞーということのようですが、DoD News Briefing slides
に出てくる絵にはちゃんと Japan が "Force Providers" として表記されているように見えます。とはいうものの、Force Providers は青丸で、Direct Support は茶丸のようなのですが、韓国にあるべき茶丸が東京にあったり、青丸が北海道の真上にあったりして、これはこれでかなりアレゲです。まあ、彼らの感覚はしょせんそんなもんなんでしょう。
MAPS NML
(Non-confirming Mailing List)
というのがあるそうです。
Unconfirmed Mailing Lists の定義。
memo ML は
"Terms and conditions of address use must be fully disclosed"
の部分が不足してるなあ。
マイクロソフト,ISA Server 2000 Service Pack 1を再リリース (日経 IT Pro)
だそうです。
Draft Special Publication 800-42, Guideline on Network Security Testing (NIST)
が出ています。
IEを使い続けるための“お勧め”設定 ただし,セキュリティ・パッチの適用は不可欠 (日経 IT Pro)。設定しておきましょう。
電磁波の危険性は、携帯電話会社の特許記載が証明する? (WIRED NEWS)。
企業からの警告も怖くない (CNET)。
S/MIME Freeware Library (SFL)
というのがあるそうです。
Auto file execution vulnerability in Mac OS、
bugtraq に登場してますね。
■
ネットワーク・ファイル・システムチューニング
(samba-jp:12294, Wed, 27 Feb 2002 17:49:01 +0900)
まだ完成されていないようですが、十分に興味深い内容です。
SRP1 適用後に IE 5.5 SP2 をインストールすると inetcomm.dll が古いバージョンに置きかわってしまうので、SRP1 を再適用 (上書きインストール) する必要があるんだそうだ。
J070138: Windows 2000 SRP1 と IE 5.5 SP2 の適用手順
も参照。IE 5.5 SP2 をインストール後に SRP1 を適用する場合は問題ない模様。
Linux への Sophos Anti-Virus のインストールと、cron からのスケジューリングチェック、squid への対応機能の組み込み。
squid に入れると重くなりそうだなあ。
クライアント数が少ない環境なら気にならないかもしれないけど。
2.4.14〜2.4.18-pre8 までの Linux カーネルに弱点。
Linux カーネルには IRC の DCC プロトコル用の connection
tracking helper module が含まれているが、これに実装バグがあり、意図しない内向きコネクションが許可されてしまう。patch が示されている。
CVE: CAN-2002-0060
RedHat: [RHSA-2002:028-13] Updated 2.4 kernel available。
RedHat の場合、この module はデフォルトでは利用されていない。
UNIX などで広く利用されているスクリプト言語 PHP 3.0.10〜3.0.18、4.0.1〜4.1.1 に弱点。
ファイルの upload に利用される「multipart/form-data POST リクエスト」
(RFC1867: Form-based File Upload in HTML)
の実装において、php_mime_split 関数にいくつかの問題があり、結果として外部から攻略可能な弱点が発生してしまっているという。
詳細: Advisory 01/2002 PHP remote vulnerabilities。
バグレポート: PHP Bugs: #15736: Security Exploit。
回避するには、PHP 設定ファイル php.ini において file_uploads = off
としてファイルの upload を停止する。
あるいは web サーバにおいて PHP 自身を無効にする。
対応するには、patch があるので適用するか、弱点のない
PHP 4.1.2 以降に upgrade する。
すでに攻略プログラムが存在するようだ。
PHP exploit (Was Re: Wave of Nimda-like hits this morning?)
には snort 用の signature が示されている。
関連: PHP における複数の脆弱点:リモートからセキュリティを侵害するエクスプロイトが流通
(ISSKK)。
2002.03.01 追記:
2002.03.05 追記:
2002.03.06 追記:
2002.03.07 追記:
2002.03.27 追記:
Commerce Server 2000 に弱点。
Commerce Server 2000 の認証フィルタ (ISAPI フィルタ)
にバッファオーバーフローする弱点があり、リモートから local SYSTEM 権限を取得することが可能となる。
素の IIS 4.0/5.0、Site Server 3.0 や Site Server
3.0 Commerce Edition にはこの弱点はない。
回避方法としては、URLScan を用いて
URL 中のデータの種類を大幅に制限する方法がある。
対策としては、patch
があるので適用すればよい。
CVE: CAN-2002-0050
IE 5.01, 5.5, 6 に弱点。VBScript を経由して、悪意ある web サイトや HTML メール送信者が、
ユーザコンピュータ内部の既知のパス名のファイルを得ることができる。
ただし、この攻撃で得られるのは、テキストや HTML、画像など、「ブラウザウィンドウで表示できるファイル」だけ。
また、Outlook 2002 と Outlook Express 6 はこの問題の影響を受けない。
Outlook 98/2000 の場合は、
Outlook 電子メールセキュリティアップデート
を適用していれば回避できる。
これですが、最新修正パッチ適用したIEにクラッシュの危険性
の話なんじゃないかかなあという気がしますが、どうなんでしょ。
注目したいのは、IE 5.01 SP2 用 patch が、Windows 2000 用だけでなく、
NT 4.0 や 95/98 用もあるということだ。ただし「サポート」はされていない模様。
こういうことになると、MS02-005 用 IE 5.01 SP2 patch を
NT 4.0 や 95/98 に適用しても ok ok なのかな。
2002.03.20 追記:
Bulletin が改訂された。全文引用:
警告 :
サード パーティのスクリプト言語は、この問題の影響を受ける可能性があります。今後リリースされる予定の Internet Explorer サービス パックで、この問題がサード パーティのスクリプト言語にとって問題にならないようにアーキテクチャの変更が行われる予定です。
この修正プログラムのリリース以来、マイクロソフトは、この修正プログラムによって無効にされる VBScript の動作に依存する少数のサードパーティのアプリケーションの存在を確認しています。このセキュリティ修正プログラムに少量の変更を加え、この問題を修正し、過去のバージョンとの互換性を確認しました。
この修正プログラムを適用後、サードパーティのアプリケーションの問題があるお客様は、変更された修正プログラムをダウンロードする必要があります。最初の修正プログラムのバージョンをダウンロードし、問題がないお客様は、対策を講じる必要はありません。
というわけで patch が新しくなっている模様。できれば新版を適用しておきたい。
麗美さん情報ありがとうございます。
MSXML 2.6 (msxml2.dll), 3.0 (msxml3.dll), 4.0 (msxml4.dll) に弱点。
悪意ある web サイトが、ユーザコンピュータ上の既知のパス名のファイルを読み出すことができる。この攻撃は、電子メール経由では実施できない。
詳細: MSIE6 can read local files (2001.02.15)。
bugtraq bugid 3699。
これらは Windows XP, IE 6.0, SQL Server 2000 に同梱されている。
回避するには、アクティブスクリプト、ActiveX コントロールとプラグインの実行、
スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行、のいずれかを無効にすればよい。
対応だが、patch
は XML Core Services 4.0 用だけが公開されている。2.6/3.0 用はまだ準備中。
Windows 2000 + IE 6 だと MSXML 3.0 (msxml3.dll) が入っているようだ。
まだ patch がない部分については、回避方法でしのぐしかない。
CVE: CAN-2002-0057
2002.04.02 追記:
すでに Windows Update 経由で 2.6/3.0 用 patch が入手できていたが、
ようやくふつうの web page でも入手できるようになった:
patch。
2002.05.15 追記:
[MDAC] サポート技術情報の JP318202 およびセキュリティ情報の
MS02-008 で提供されている修正モジュールを適用することができない。
MDAC 2.7 が入っているとインストールに失敗する話とその回避方法。
SQL Server 7.0/2000 に弱点。
リモートデータソースへの接続には "ad hoc" 接続を利用できるが、このとき
「OLE DB プロバイダ名の処理」にバッファオーバーフローする弱点がある。
この弱点を利用すると、SQL Server への DoS 攻撃の他、SQL Server 動作権限 (デフォルト: ドメインユーザ) で任意のコードを実行できてしまう。
詳細: MSDE, Sql Server 7 & 2000 Adhoc Heterogenous Queries Buffer Overflow and DOS。
対応としては、patch があるので適用すればよい。
この patch は MS01-060 を含む。
河端氏のまとめ [pml-security,00238] も参照されたい。
CVE: CAN-2002-0056
Misaly さんから (ありがとうございます):
今さっきSQL Server 2000 PersonalEditionにSP2をあてて
パッチをあててみたところ、
見事にサービスが起動しませんでした。
パッチ自体は(all Edition)と書いてあったはずなんですけどね・・・
サービスが起動しないので、修正クエリーも発行できないんですけど・・・
ふぅ。やれやれ。って感じです。
世の中キビシイ。
住基法:解説 施行前の再改正 異例の措置に重大な説明責任 (毎日) もどうぞ。ほ〜ら来た来たァッという感じでしょうか。
e-gov
的には「予定された行動」なんでしょう。
麗美さん情報ありがとうございます。
2002.02.22
の
Windows Media PlayerにDVDタイトル追跡機能
に追記した。
WinDVD の謎の行動など。
私は Linux についてはシロートなので、べんきょうになります。
■
Oracle 関連
(Oracle, 2002/2/15)
- TurboLinux
-
- Debian GNU/Linux
-
- RedHat Linux
-
- HP-UX
-
Serious privacy problems in Windows Media Player for Windows XP
の話。Windows XP 用の Media Player だけ、ってことみたい。
Microsoft に情報をこっそり盗み出されるという
eXPerience を追及した結果なのかな。
対応として、Microsoft はソフトウェアではなくプライバシーポリシーを変更したそうです。「それは仕様です」。
2002.02.25 追記:
原文: Windows Media is watching you (zdnet.com)。
shinobu9 さんから (情報ありがとうございます):
2/22 付けで 上記の記事が出ていましたが、私はこの記事を見るまでは、
うすうすは気がついていたのですが、具体的にはわかっていませんでした。
私の環境は Windows XP + Symantec Internet Security2002 + WinDVD2000 という環境です。
DVD タイトルは、WinDVD で再生しており、Media Player にはインターネットアクセスを全て許可しています。
ただ、面白いのは、 DVDタイトルを再生しようとするたびに、
Internet Security から「services.windowsmedia.com に WinDVD
が情報を送ろうとしている」と警告が出ることです。
現在では デフォルトで WinDVDのインターネットアクセスを遮断していますが、
この様子だと、Media Player の DVD に関する部分か、もっと深い部分
(システムレベル?) で情報収集が実装されているようですね。
おそらくこれが、修正パッチを「メディアプレイヤーの修正」として簡単に出せない理由の一部ではないかと思います。多分、ほかの DVD ソフトをインストールしても、同様に情報を発信しようとするのでしょうね、、、
■
MS サポート技術情報
(Microsoft Developer Network Weekly News Japan (JWNTUG vendor-info), Fri, 22 Feb 2002 00:50:21 +0900)
squid 2.4.STABLE3
以前に 3 つの問題。
SNMP インターフェイス (オプション、デフォルトでは無効)
でメモリリークするため、squid SNMP ポートにアクセス可能なユーザによる
DoS 攻撃が可能。
ftp:// URL でバッファオーバーフローするため、
このリクエストが可能なユーザによる DoS 攻撃が可能。
また任意のコードの実行の可能性もある (未確認)。
オプションの HTCP インターフェイスを squid.conf から無効にできない。
これはデフォルトでは無効で --enable-htcp すると有効になる。
いくつかのベンダーは --enable-htcp した squid を配布している。
回避方法は:
--enable-snmp で作成していない squid の場合は問題がない。
--enable-snmp で作成した squid の場合は、
squid.conf で snmp_port 0
として SNMP 機能を無効にしたり、
snmp_incoming_address 127.0.0.1
としてアクセス可能なホストを制限したりする。
次の ACL を設定し、anonymous FTP でない ftp 接続を禁止する。
acl non-anonymous-ftp url_regex -i ^ftp://[^/@]*@
http_access deny non-anonymous-ftp
--enable-htcp しない squid を作成・インストールする。
SNMP 問題と HTCP 問題は、OS 付属のパケットフィルタ機能 (IP Filter, ipfw, iptables, ipchains など)
を用いて制限することもできる。
対応としては、2.4.STABLE4 で修正されているので入れかえればよい。
fix package:
2002.02.25 追記:
ftp:// におけるバッファオーバーフロー問題の詳細: Squid buffer overflow。
2002.02.28 追記:
RedHat: [RHSA-2002:029-09] New squid packages available
2002.03.07 追記:
ふつうのブラウザで、JavaScript 有効で試しましょう
(「ダイアログを表示する」にしておくと、それ自体が DoS になるのでやめたほうがいいです)。
当然ながら、w3m でアクセスしてもあまりおもしろくありません (^^;;)。
……あ、IE 6 で JavaScript エラーが……。
SecurityFocus.com Newsletter
第 131 号日本語版
(テキスト)。
最近の VAIO では、独自のプリインストールソフト URecSight の利用上の利便性の向上のため、IE の「信頼済みサイト」に https://www.percastv.net があらかじめ設定され、しかもユーザに一切アナウンスされていなかった、という話。
アナウンスについては先頃行われている: Internet Explorer の信頼済みサイトに登録されている URL に関するお知らせ (デスクトップ PC 用)
と
Internet Explorer の信頼済みサイトに登録されている URL に関するお知らせ
(ノート PC 用) (中身同じじゃん……)。
信頼済みサイトが勝手に設定されている件ですが、もちろんできればやめてほしいとは思いますが、私自身は「しょせん OEM 版 OS なので、アナウンスされており、かつ登録されているのが https:// なサーバであれば、不適切とまでは言えない」という立場です。個人的には「IIS プリインストール」「UPnP プリインストール」なんてやつの方がよっぽどタチ悪いと思います。
まあ、たとえば
[memo:2901] SSL証明書の発行者名
から続くスレッドとか見ても、https:// まわりはいろいろとアレゲな模様なんで
「https:// なら……」というのもアレゲっぽいのですが。
2002.03.01 追記:
なんと percastv.net にクロスサイトスクリプティング脆弱性が発見された。
信頼済みサイトに percastv.net が登録されていることを利用すると、
悪意ある web サイトは、
悪意のある署名済み Java アプレットを強制実行させるなどの攻撃が可能となる。
詳細は [memo:3039] を参照。
「信頼済みサイト勝手に設定」のダメダメさ加減がここに証明されてしまいました。
前言撤回です。_o_
[memo:3014] 信頼済みサイトへの登録が必要な場面はあるか? (was Re: 「VAIO」の出荷時設定で...)
も参照。
2002.06.25 追記:
高木さんによるフォロー記事: [memo:4180]。新モジュール開発により、問題のサイトは信頼済みサイトゾーンから外せるようになった模様。
更新時刻取得エージェント (いわゆる「アンテナ」) にクロスサイトスクリプティング脆弱性があるという話。
wdb や朝日奈アンテナに関する情報はいまのところないようだ
(ないこと即ち安全、ではないことに注意)。
2002.03.07 追記:
wdb については、作者の GORRY さんから
■WDBのCSS問題
に見解が発表されています (大串さん情報ありがとうございます)。
なんかネタがたまってるので手抜きモードということで。
MS02-005
を適用した IE で VBScript の execScript を使っている
web ページを閲覧するとクラッシュすることがある、という話。
ソースが同じだと思われる文章は、たとえばここ:
Latest IE patch can cause browser crash
。
マイクロソフト様は例によって「ブラウザのクラッシュはセキュリティ問題ではない」と主張されていらっしゃいます。IE がダメなら
Netscape 6 やら Opera 6 やらを使えばよいということなんでしょう。
マイクロソフト用語をちゃんと訳してくれないと困るんだが。
「知識ベース」じゃわかんないよ。「サポート技術情報」って書いてもらわないと。
ちなみに、NTbugtraq で
Re: IE cumulative security patch
という記事が流れてますが、関係あるんですかね。
KAZZ さん情報ありがとうございます。
またですか……。物理層にセキュリティを期待してはいけないってことなんですかねえ。
仮想 Honeynet のつくりかた。
やっぱ餌としては BSD より Linux の方がいいんだろうなあ。
そういう意味で Linux もべんきょうしナイトいかんなあ > 俺。
名刺に住所が記載されていない謎の組織 (^^;;)
JPCERT/CC がアンケートを行っています。
「本アンケート調査は、コンピュータ緊急対応センター (JPCERT/CC) が発信するセキュリティ関連情報等を利用される方々のご要望をお伺いし、今後のJPCERT/CCの活動の参考にさせていただくために実施するもの
」だそうです。
アンケート期間は 3/1 までの模様。
うーんしかし、問1からいきなり選択肢が……(T_T)。
なぜ「上位組織の管理者に相談する」とか「ユーザコミュニティに相談する」がないのだろう。
世の中にはベンダーと SI と公的機関しかないと思っているのか?
そもそもこういう選択肢しか書かれていないことから推測される回答者像とは何なのだ。
というわけで、とりあえず「その他」にチェック。
……お、問2からいきなり問5に飛んだぞ。
「何か」をチェックしないと「問3」や「問4」には行けない模様。
……問11や問12はどう考えればいいんだろう。
JPCERT/CC の announce ML から送られてくるものは全部目を通しているけど、それを何度も読まないと「よく参照する」には該当しないのかな。でも JPCERT/CC から来るものってたいていは、それ自体を何度も読むようなものじゃないよね。
そういう意味で「たまに参照する」にチェック。
……問18、「JPCERT/CCの現在のイメージについてあなたのお考えを教えてください
」というより、「JPCERT/CC について正しいと思う項目をチェックしてください」かなあ。
……問25に選択肢「連絡自体、必要とは思わない」があるのは不適切だなあ。
MS01-058 問題のわかりやすい解説など。読んでおきましょう。
MSN ワーム
の詳細解説。「Java 機能
」という表現はちょっとアレゲな気が。
VisualStuio .NET の新セキュリティ機能 /GS スイッチは逆にセキュリティを下げてしまう?! という話。
Microsoft のコメント: Inaccurate Claims Regarding Visual C++ .NET Security Feature。
関連記事:
ある状況において /GS による防御が既知の攻撃手法で見事に攻略されてしまうのは確かにアレなのだけど、一方で Cigital
のやりかたも多分に営業目的であるように私には見える。
もちろん /GS がより強固なものになるのは皆にとって喜ばしいことなので、
MS さんにはちゃんと改良してほしいですね。
遅くなるからこれ以上はダメ、とかいうのは、セキュリティを最優先
と言っている企業の言葉とは思えませんし。
少なくとも SSP
については体感速度変らないですし。
あ、SSP の 4.4-RELEASE 用の patch 出てますね。
ところで .NET Server って、/GS つきで作成されるんでしょうかね。
2002.03.29 追記:
とっくに日本語版が出ていた: Visual C++ .NET セキュリティ機能に関する不正確な主張。
technet/security で紹介してくれないと気がつかないよ……。
QuickTime Player 5.01/5.02 for Windows (日本語版)
に弱点。web server が長大な Content-Type を含むレスポンスを返すと
buffer overflow してしまう。
これにより、悪意ある web サーバによって、ユーザコンピュータ上で任意のコードを実行できてしまう。修正プログラムは存在しない。「ActiveXをOFFにする」「.mov ファイルにリンク埋めこみがないか確認する」といった回避方法が示されているが、事実上「使えない」ってかんじ。
- Debian GNU/Linux
-
- TurboLinux
-
- RedHat
-
- OpenBSD
-
以下の記述はトレンドマイクロからの情報と、匿名希望さんからの情報を統合している。匿名希望さん情報ありがとうございます。
トレンドマイクロの ftp://ftp.trendmicro.com/pcc/virus_pattern/japan/regdata/
に「ウイルスバスター 95」の顧客情報の一部 1388 件のデータが設置されており、
anonymous で login / get できる状態にあった。
設置されていたデータには、氏名、住所、電話番号などが記載されていた。
トレンドマイクロに連絡があったのは 2/13 の夜だそうだが、
2/14 朝には該当ファイルを削除のうえ、外部からのアクセスが遮断された。
記載のあった顧客に対しては個別に連絡が行われている模様。
公開されている経過を見ると、「バックアップからのリストア」が意外な展開をみせてしまったことがわかる。組織における情報セキュリティにおいて「バックアップ」の重要性は認識されていると思うが、「リストアされる過去のデータの存在可否のチェック」の重要性は認識されているだろうか。
発生した事象はアレゲだが、経緯や対応が細かく説明されており、たいへん好感が持てる。
Microsoft official: CoolNow に関する情報。
MS02-005
で修正されている弱点を利用しているので、まずは MS02-005 patch の適用を。
各アンチウィルスベンダーも対応しているようなので、あわせて最新データへの update を。
[memo:2955] MSN メッセンジャー
以下のスレッドも参照。
[memo:2955] には MSN ワームのコードそれ自体が示されているので、アンチウィルスソフトが反応するかもしれません
(実行はされません)。
おくればせながらまとめておきます。
IE 5.01 SP2, IE 5.5 SP1/SP2, IE 6 の 6 つの弱点が fix されてます。
HTML ディレクティブのバッファオーバーラン (IE 5.5, 6)
dH & SECURITY.NNOV: buffer overflow in mshtml.dll
(CERT Vulnerability Note VU#932283:
Microsoft Internet Explorer HTML rendering engine contains buffer overflow processing SRC attribute of HTML <EMBED> directive
)
のことだと考えられる。<EMBED> を解析する場合に利用される mshtml.dll に stack buffer overflow する弱点があるため、
悪意ある web ページ開設者、HTML メール送信者はユーザコンピュータ上で任意のコードを実行可能となる。
回避するには
[ActiveX コントロールとプラグインの実行]
を無効とする。インターネットゾーンではデフォルトで有効になっている。
CVE: CAN-2002-0022
2002.03.20 追記:
mshtml.dll バッファオーバーフローの詳細が公開されている:
Details and
exploitation of buffer overflow in mshtml.dll (and few sidenotes on Unicode
overflows in general)
GetObject 機能による既知のパス名のローカルファイルの読み取り (IE 5.01, 5.5, 6)
IE GetObject() problems
のことだと考えられる。
CVE: CAN-2002-0023
Content-Type および Content-ID フィールドによる [ファイルのダウンロード]
ダイアログのなりすまし (IE 5.01, 5.5, 6)
MS01-058
とどう違うのかについて、Microsoft はこのように記述している:
マイクロソフトセキュリティ情報 MS01-058 で説明されている脆弱性の 1 つにも、Content-Disposition ヘッダフィールドおよび Content-Type ヘッダフィールドに関連するものがありました。これは同じ問題ですか?
いいえ、違います。マイクロソフトセキュリティ情報 MS01-058 では、確かに同じヘッダフィールドの処理に関連する脆弱性に関して説明しています。しかし、その脆弱性の影響は、この脆弱性とは根本的に異なります。MS01-058の脆弱性は、実行可能ファイルを自動的に実行させるために使用され、今回の脆弱性は、不正なファイル名を表示するためにのみ使用されます。
また、patch を適用した結果が MS01-058 と大きく異なる:
[ファイルのダウンロード] ダイアログの既定の設定は何ですか?
Internet Explorer 6 以前のすべてのバージョンでは、
[ファイルのダウンロード]
ダイアログの既定の設定では、[保存] が選択されており、
ダウンロードしたファイルはシステムに保存されるのみで、実行はされません。
Internet Explorer 6 の問題により、既定で
[ファイルを開く] に設定されます。
しかし、この修正プログラムにより、この問題が排除され、
Internet Explorer 6 は以前のバージョンと同じ設定をするようになります。
デフォルト値がまともになる (というか、まともに戻る) のだ。
CVE: CAN-2002-0024
Content-Type フィールドによるアプリケーションの起動 (IE 5.01, 5.5, 6)
[ GFISEC04102001 ] Internet Explorer and Access allow macros to be executed automatically
のことだと考えられる。
VBA 入りの Access データベースファイル (.mdb) を
Outlook Express email file (って .eml のこと?) か
Multipart HTML (.mht) ファイルに含ませておく。
これを IE でアクセスすると .mdb 内の
VBA が自動的に実行されてしまうという。
また HTML メールでは、iframe なアクティブスクリプトを利用して
自動実行させることができるという。
http://www.gfi.com/emailsecuritytest
にサンプルコードが用意されている。
CVE: CAN-2002-0025
ユーザーがスクリプトを無効にしている場合でも、Web ページがスクリプトを実行することができる脆弱性 (IE 5.5, 6)
fusianasanトラップになんらかの対処を
の話 (HTML+TIME2 によるスクリプト実行) だと考えられる。
CVE: CAN-2002-0026
Document.Open 機能による「フレームのドメイン照合」の変種 (IE 5.5, 6)
Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug
(既知のパス名のローカルファイルの読み取り) の話。
CVE: CAN-2002-0027
patch があるので適用すればよい。IE 5.01 SP2, IE 5.5 SP1/SP2, IE 6 用が用意されている。ただし IE 5.01 SP2 用の対象は残念ながら Windows 2000 だけだ。
この patch は一度キャンセルされたあとで再度登場したようだ。
[memo:2909] MS02-005
以下のスレッドを参照。
この patch を適用しても修正されない問題については
http://jscript.dk/unpatched
にまとまった情報がある。ひきつづきアクティブスクリプトの停止などが必要である。
Adobe PhotoDeluxe 3.1 に弱点。
Adobe PhotoDeluxe 3.1 をインストールした Windows 上で
IE/OE を動作させている場合、web ページや HTML メールを経由して「ローカルファイルシステムのディレクトリ名のリスト」を取得されてしまう。
Adobe PhotoDeluxe 3.1 をインストールした Windows 上で
PhotoDeluxe 3.1 を起動し、PhotoDeluxe 3.1 の「リンクボタン」
から IE を起動すると、web ページに仕掛けられた任意の Java コードは
sandbox を突破できてしまうため、ファイルの閲覧・削除やウィルスの設置などあらゆる悪事が可能となる。
いくつかの回避方法が記述されているが、個人的には以下を設定するのがよいだろうと思う。
これは本弱点のありなしにかかわらず設定が推奨される項目だ。
なお、PhotoDeluxe 4.0 ではこの問題は発生しない。
アドビは
Adobe(R) PhotoDeluxe(R) 3.1のセキュリティーホールについて
において
「本件は最新版のPhotoDeluxe for ファミリー 4.0
で発生していないことが報告されております。
最新版へのアップグレードをおこなっていただけますようお願いいたします
」
と述べている。
fix patch を出すつもりはどこにもないらしい。
アコギな会社。
関連: CERT/CC Vulnerability Note VU#116875:
Adobe PhotoDeluxe does not adequately restrict Java execution
■
ハイパー日記システム関連
(memo ML, Mon, 11 Feb 2002 23:33:54 +0900)
2002.02.11 以降のハイパー日記システムで修正されている。
hns-2.10-pl2 (stable) か hns-2.19.3 (current) にバージョンアップすればよい。
多数の SNMPv1 実装に弱点。
SNMPv1 request handling (VN#854306)
と
SNMPv1 trap handling (VN#107186)
のどちらかあるいは両方に問題があり、DoS 攻撃や任意のコマンドの実行などが可能。
OUSPG (Oulu University
Secure Programming Group) の PROTOS プロジェクトによる成果だそうだ。
PROTOS Test-Suite: c06-snmpv1
というのがそれかな。
アナウンスが出ているもの:
上記の他にも OS ベンダ、ルータ・スイッチベンダの製品など多数に弱点がある模様。
advisory の Appendix A. - Vendor Information をチェックしておこう。
net-snmp (ucd-snmp)
は 4.2.2 以降で fix されている。
と CERT/CC のドキュメントには書いてあるんだけど、FreeBSD Ports Security Advisory FreeBSD-SA-02:11
とかだと The Net-SNMP port, versions prior to 4.2.3, contains several remotely
exploitable vulnerabilities
になってますね。
……net-snmp の README 見てみました:
*4.2.2*
Security Bug Fixes:
- A few security bugs have been found and fixed. No known exploits
have been released to date. However, users are encouraged to
upgrade to the 4.2.2 release as soon as possible.
FreeBSD ports の net/net-snmp は 4.2.1 から 4.2.3 に飛んでいるのでああいう書かれ方になったんでしょうきっと。
今野さん情報ありがとうございます。
関連報道: SNMPに脆弱性——多くのネットワーク機器に影響
(ZDNet)。
IPA から: 広範囲に該当する SNMP の脆弱性について
。
2002.02.14 追記:
2002.02.15 追記:
2002.02.19 追記:
2002.02.22 追記:
ツールもの:
VU#107186
と VU#854306
が改訂されているので参照されたい。Vendor 情報ガンガン増えてます。
匿名希望さん (ありがとうございます) からこんな情報が:
もしかしたら、すでに情報を持っていらっしゃるかもしれませんが、CERT
advisory CA-2002-03 にも載っていないので情報提供します。
SNMP の脆弱性をつかれるとある特定の設定状態の時に、Dragon IDS
が落ちるという情報が Dragon の ML とサポートページに載っています
(サポートページは、ID とパスがないと入れません)。
Dragon Sensor (ネットワーク型) の場合、Ver.5 のみが対象ですが NIDS
回避の SNMP トラフィックを受け取ったとき、IDS
のプロセスが落ちてしまうそうです。
ただし、SNMP の IDS 回避を検知するような設定になっている場合のみです。
Dragon Squire (ホスト型) の場合、全てのバージョンが対象で、SNMP
トラップを収集するような設定の時にプロセスが落ちてしまうそうです。
Dragon Squire に関しては、すでに対策済みのバイナリを利用することができます。
ただし、Ver.5 のみで、Ver.4 のバイナリが出るか不明です。
Sensor に関しては、近いうちに対策済みのバイナリが利用できるようになるようです。
2002.02.25 追記:
書いてなかったので:
2002.03.01 追記:
2002.03.07 追記:
2002.03.14 追記:
http://mail.yahoo.com からの mail のフッタになぜか ^M がついているので
fml が Security Alert を出しているなぁ……。
某氏 (にしておいた方がいいのかな) から、
"Guidelines on Firewalls and Firewall Policy"
は National Institute of Standards and Technology (NIST)
Computer Security Division (CSD) の Special Publication (SP) の 800 番台である、との情報をいただきました
(ありがとうございます)。
まだ見てなかった (^^;) のでさっそく見てみると、Appendix B. に NIST CSD サイト
http://csrc.nist.gov
が掲載されています。
SP には 800 番台の他に 500 番台というのがあるのだそうです。
京都新聞の物理版がいちばん詳しかったらしい。
龍谷大 入学金納付期限が二転
合格者の抗議殺到で訂正 (京都新聞)。
それにしても、シャレにならない。
Windows XP「引越ラクラク」テクニック (後編) (@IT)、
「すると転送元側の転送ウィザードはブロードキャストによって転送先を探し出し
」って……。
XP になってもいまだにブロードキャストなのか。
その発想をどうにかしてくれ。
まあ home edition についてはわからないでもないが。
「@Random ってなんですか?」「あんまり盛り上がらない関西セキュリティ界を気軽なノリで盛り上げようというイベントです」。
というわけで 2002.02.23 開催の @Random/ZERO の受付登録が開始されました。
| 開催日 |
2002.02.23 (土) 14:00-17:00 |
| 場所 |
Club Joule
大阪市営地下鉄御堂筋線心斎橋、三角公園横 ブルータスビル
|
| 料金 |
前売 ¥4,000-
当日 ¥5,000- |
手順としてはこういう感じのはずです:
受付登録する。
@Random から送金方法が書かれた受付確認メールがやってくる。
メールの内容に従って送金する。
@Random から参加者コードが書かれた受領確認メールがやってくる。
プログラムは最終ツメ中なのでもうちょっとまってね。
BBS にちょっと出てますけど。
多数のご参加をお待ちしておりますです。
実際には振込手数料がかかるので前売と当日の差は ¥1,000- もないのですが
(ごめんなさい)。
あとですね。万が一 (^^;;) 前売で席が埋まったら当日券はないです。
お金方面のイロイロもあるので、お手数をおかけしますがなるべく前売ってことでおねがいします。_o_
エンロンが示したアメリカ型経済の欠陥
(tanakanews.com)、興味深いですね。
MS,セキュリティ強化でコード修正へ
(ZDNet)、境界チェックレベル (buffer overflow とか) で話が済めば簡単なんでしょうが、JavaScript ものみたいに、そういうレベルでは済まないだろうものもけっこうあるわけで、どのくらいの成果が出るかは……。
良い方向に向かっていることだけは確かなようですが。
リマインダー機能を外せ
(slashdot.jp)、「不要である」に賛成。
とあるエラーメールから:
XXXXXX@XXXXX... Deferred: Connection timed out with XXXXXX.sun.com.
Message could not be delivered for 2 minutes
Message will be deleted from queue
2 分で切っちゃうのね……。
龍谷大:入学金納入期限の記載ミス 合格発表時訂正で抗議殺到 (毎日)、なさけなさすぎ。
入学金納付期限が2転、龍谷大に抗議殺到 (日経)、
『龍谷大入試課は「入試要項は約10万部も配布したため、訂正できなかった
』、内部で 2/21 に移せは外には見えんだろが……。
そもそも顧客たる受験生の便宜を考えれば「2/18 に移す」なんて案が出るわけもなく。
営業ノルマ第一じゃ雪印と同じじゃん。実力で勝負しナイト。
bind 8.3.1 の Critical bug fix to prevent DNS storms
の詳細。8.3.0 な人は早急に 8.3.1 に移行するか
9.x に移行するか djbdns に移行するか等の対策をしましょう。
いまだに前売りがはじまらない @Random/ZERO ですが (ごめんなさい)、
こういうことになってます。なんとか 2/12 には前売開始したいなあ。
| 開催日 |
2002.02.23 (土) 14:00-17:00 |
| 場所 |
Club Joule
大阪市営地下鉄御堂筋線心斎橋、三角公園横 ブルータスビル
|
| 料金 |
前売 ¥4,000-
当日 ¥5,000- |
カッコイイ本番サイトももうすぐできると思います (多分)。
あと、終了後に何かあるという話もあります。
Windows 2000 telnet サービス、Interix 2.2 の telnet daemon に弱点。
バッファオーバーフローが発生するため、remote から telnet サービス/daemon に対する DoS 攻撃の他、telnet サービス/daemon 実行権限 (Windows 2000: local SYSTEM, Interix: 「インストール プロセスの一部として実行されるセキュリティ コンテキスト」) における任意のコマンドの実行も可能。
これってなんだか
multiple vendor telnet daemon vulnerability
に見えるのだが、CVE 番号は新規のモノになっている。
patch があるので適用すればよい。
Windows 2000 patch は Windows 2000 SRP1 に含まれている。
CVE: CAN-2002-0020
Exchange 2000
に弱点。
Exchange の Microsoft Exchange System Attendant
に問題があり、誰でも remote からレジストリの
WinReg キーにアクセスできてしまう。
patch があるので適用すればよい。
CVE: CAN-2002-0049
Office v. X for Mac に弱点。
Office v. X for Mac に含まれる海賊版防止機能
Network Product Identification (PID) Checker
に対して特定の不正なリクエストを送ると PID Checker がダウンしてしまう。
そして PID Checker がダウンすると Office v. X もダウンしてしまい、DoS 攻撃が成立。
回避方法としては「ポート 2222、ポート 3000 より大きいトラフィックのブロック」を行う。なにやら妙にあいまいな記述だが、多分、localhost でこれを行えば PID Checker それ自体の機能が封じられてしまうため、わざとボカしているのだろうと推測。
それにしても貧弱すぎる記述だなあと思うことしきり。
対応方法としては patch があるので適用すればよい。
リンクとか備忘録とか日記とか
の2002.02.08 の 3.
、patch に書いてあることは
MS02-002
にも増してわけわかめですものね。
あわせて ■ によるリンクをまねっこしてみるテスト。
CVE: CAN-2002-0021
認知件数は大幅に増加したにもかかわらず、検挙件数にはほとんど変化がない。
これが意味するのは「警察担当者 DoS 状態」か?
認知件数では「ホームページ書換えプログラムによるホームページ書換え事案 (813 件)」 (sadmind/IIS のコトのようです) が最も多いようだが、これらは事実上「捜査してません」ってことなんだろうか。
なんだろうな。
「検挙事件の特徴」は、このような状況が存在しないと警察は検挙できないのだ、とも取れる。
要は、古典的な事件捜査が有効である範囲、ですよねえこれって。
検挙した35事件(67件)中20事件(33件)が元社員や元交際相手等の顔見知りからパスワードを知り得た者の犯行であり、不正アクセス行為が行われた原因としては、パスワードの定期的な変更を行っていなかったことが挙げられる。
というあたりは「やっぱパスワード管理は基本」とは言えると思うけど。
DeleGate
で pop3 proxy を行っている場合に、長大な USER (1024 以上) を指定すると buffer overflow が発生するという指摘。
指摘者は「DeleGate はデフォルトで stack ランダム化を行うが、我々は EIP 上書きに成功した」と延べている。
execve() trap 機能 (-Tx) の方は試してないのかな。
2002.02.28 追記:
Re: [Global InterSec 2002012101] DeleGate Application Proxy - Multiple Vulnerabilities
では、-Tx に対する攻撃可能性が示されている。もっとも、成功しましたぁという話ではないようだ。
NetScreen を使っているときに内側から外側に向かって port scan すると
NetScreen 自体が DoS になってしまうという話。
対策としては、2.6.1 以降についている
set firewall session-threshold source-ip-based [num]
を使って source address あたりのセッション数を制限する。
NetScreen Response to ScreenOS Port Scan DoS Vulnerability
も参照。
この会社/この製品に限らず、firewall 製品の「同時セッション数」には限りがあるのがふつうなので、同様の設定をしておこう。
mIRC 5.91 以前において 100 文字以上の "NICK" メッセージによってバッファオーバーフローが発生。これを利用すると、悪意ある IRC サーバ管理者は mIRC が動作するコンピュータ上で mIRC 動作権限において任意のコマンドを実行できる。これは mIRC 6.0 で修正されている。
「悪意ある IRC サーバ」なんてのには接続しないから ok ok と思っているのは間違い。
web page に <iframe src="irc://irc.hackme.com:6666">
と書いてあると mIRC は自動的に接続してしまうのだ。
もしここに「悪意ある IRC サーバ」が指定されていたら……。
これは 6.0 でもそのまんま。
詳細: mIRC Nickname buffer overflow, mIRC irc:// handling vulnerability。
ここに書かれているのは「意図して」書かれた攻撃だけど、Nimda みたいに「意図せずに」攻撃スクリプトが書かれる場合もあるわけで。困ったものです。
大手検索サイトに見るクロスサイトスクリプティングの脆弱性の実態 (netsecurity.ne.jp)
の関連資料。
Tea Room for Conference は No.623 もなかなかアレゲですね。
あ、slashdot.jp に
お知らせ: メンテナンスのため,2/6(水) 14:00- サービスを一時停止します. 夕方には復旧する予定です
なんて出てますね。
Vulnerability in
Black ICE Defender
への回避策。
Windows 2000 / XP 上で BlackICE Defender 2.9 や 2.9.caq (2.9.caqJ) を利用すると、デフォルト状態では 10,000 バイトの ping パケットを送りつづけられるとブルーサンダーかリブートしてしまうのだそうだ。
fix 版はまだないので回避策を取っておきましょう。
藤井さん情報ありがとうございます。
ところでこのページ、mozilla 0.9.7 だと読めないんですが、意図された行為なんですかねえ。
2002.02.08 追記:
mozilla で読めない件は修正されたそうです。安食さん情報ありがとうございます。
あまりこまごまと書かれてるわけじゃありませんが、MS の人が書いたわけじゃないので、snort とか netcat とか dshield.org
とかも登場してます。
dshield.org 的なサイトには
mynetwatchman.com
なんてのもあったんだ。ふぅん。
リンクとか備忘録とか日記とか
の 2002.02.03 ですが (Tea Room for Conference
No.620 も盛りあがってますが)、
そんなに問題ですかねえ。
今回の問題の経緯を考えれば、石川さんと太洋さんが公開しなかったらそれでよかった、と簡単に言えるようなものじゃないとも思いますし。
1 点だけ:
例えばブラウザからダウンロード機能が削除されたり、Stuffit Expanderで.sit.hqxなファイルを解凍しても.sitが出来るだけで完全な解凍までしてくれなくなったら、それはどうなんでしょう? 誰も使わなくなるでしょうね。そこまでの利便性の後退は要求していませんが。
MacOS じゃない世界では「.sitが出来るだけで完全な解凍までしてくれな」いのがふつうなのですけど……。
なんでもしてくれ主義って insecure への第一歩だと思うし。
クリントン前大統領:テロリズムを終息させるのは「共通の人類意識」 (WIRED NEWS)、
「テメェがやってきたことを棚に上げてよく言うよ」
ってやつですか。
US の言う「共通の人類意識」なんてやつは、おうおうにして「US の価値観のおしつけ」だったりもするしさ。
[aml 26319] 「さわぎり」乗員事件裁判とは、
『(海自の) 事故調査報告書については、「自浄・内部改革能力はなく読むに耐えない」と指摘
』
と断定されているあたりが「さすが」自衛隊。
Postfix
1.1.3 が出てます(info from postfix-jp ML)。
やっぱり 2 度あることは 3 度あった。
もうしばらく寝かそう……。
bind
8.3.1 出てます (info from installer ML)。from README:
BIND 8.3.1 Highlights
Critical bug fix to prevent DNS storms. If you have BIND 8.3.0 you
need to upgrade.
「権威ある雑誌に載ったものではあるが,当社はこの論文を評価していない
」。It's a SONY。
……八重倉さんから (ありがとうございます):
ZDNetJapanが重大な誤訳をしているように見受けられますのでメール致しました。
ZDNetUK (http://news.zdnet.co.uk/story/0,,t269-s2103574,00.html) の原文
では、
We're not belittling this report, though, as it comes from a reputable
source.
とありますので、「(前の文を受けて)しかし、我々はこの報告を軽視していない、なぜなら尊敬すべきソースによるものだからだ。」くらいが正しい訳かと思います。ZDNetJapanはbelittleの訳を間違えているようです。
該当個所をまるっと抜き出すとこうですね:
Speaking to ZDNet UK on Friday, Sony insisted that it already
supplies health warnings with its products. "We recommend that users
take a 15-minute break every hour, and stop playing immediately if
they suffer discomfort. Playing a PlayStation for seven hours a day
is against all the guidance we offer," a Sony spokesman said. "We're
not belittling this report, though, as it comes from a reputable
source."
though は "Playing a PlayStation for seven hours a day
is against all the guidance we offer" にかかっているんでしょうね。
というわけで、悪く書いてごめん > SONY。
だから原文 link 必要なんだってば > ZDNet。
いつになったら訳者よりも読者を意識するようになるのやら。
このままでは鈴木省と同じじゃん。
Macinosh IE file
execuion vulerability
のつづき。IE、iCab だけでなく、全てのブラウザ、さらには Stuffit Expander を呼び出す全てのアプリで問題が発生する可能性。
とりあえず、リンクとか備忘録とか日記とか 2002.02.01
にある対応方法を読んで対応しておいた方がよさげ。
しかしこれはやっぱり、Mac ユーザは「日常的に利用している機能を止める」ことになるわけですから、詳細がわからないと対応する気にならないだろうし。
公開すんなって言ってる人は「Mac ユーザってたいていアレゲだから、詳細がわかっても対応しないかも」とか思ってるのかもしんないけど。
まーそれはそれで正しいのだろうが、そういう意味では Windows だって Linux
だってたいして違わんだろうし。
というわけで、ことさら「Mac コミュニティ」を持ち出してどうこういうのもなんだか。
MacOS X が出た段階でそういう甘い話はもう終ってるんだし。
また元はと言えば、autorun だのディスクイメージ自動解凍だのという「どう見たって危険だろオイ」という機能が見事に悪事の原因となっているわけですし、
autorun 悪用したモノがあったのは今に始まった話でもないですし。
そういう意味でも、隠したところでどうなるってもんじゃないと思うし。
ちなみに IE 4.5 で回避とかいう話ですが、
昔のわたし
は『IE 4.5 は一般利用という観点では「セキュリティ以前」の問題がある』と書いてますね。
FreeBSD-SA-02:08.exec の exec-43R.patch ですが、
FreeBSD-SA-01:55.procfs の procfs.patch と競合しちゃいますね。
sys/miscfs/procfs/{procfs_mem.c,procfs_vnops.c} がそうなんですが、
これらについては
CVS
から RELENG_4_3 の最新版をまるごともってきて置けばいいのかなあ。
Nikto
web scanner だそうです (info from securiteam.com)。
不正アクセス対策カンファレンス、2002.02.15 津田ホール (東京、JR千駄ヶ谷駅前)、無料。
警察庁や経済産業省情報の人を呼んできているあたりが、さすが
NTT コミュニケーションズ (ここでの「さすが」にはもちろん複数の意味がある)。
藤井さん情報ありがとうございます。
うぉう、学研電子ブロック EX-150 先行予約 2002年2月13日 (火)
10:00 AM 開始、先着2000名限定となっ。lock on。
防衛庁関連データ盗難 戦闘機開発装置の資料 (中日)、
少なくとも私がいたころは、あそこの入退室管理はとってもザルだったしなあ。
今回のだって、ハードが盗まれたからわかったのであって、データだけ盗まれてたらわからなかったでしょ、きっと。
渥美さん情報ありがとうございます。
cacanet-talk
という ML があったのね。
おぉ、「ROBO-ONE」に「先行者」!! (ZDNet)。
(皇(こう)さん感謝)
[social-memo:12] よくやるよ・迷惑メール、
そう言われてみれば、2 月になったんですね。
私もさきほど meiwaku@nissankyo.jp に送ってみた。
さて、今日一日でどれくらい集まるんですかね。
SecurityFocus.com Newsletter
第 129 号日本語版
(テキスト)。
「IIS が Httpext.dll の読み込みに失敗した場合、コアの Web サービスは内部ルーチンを使用して PUT 要求を処理します。DAV を無効にすることは IIS で設計されている設定ではないため、この内部ルーチンのテストは行われていません
」。
うーん。凄すぎる。
レジストリを設定することで ok になるんだってさ。
また SRP1
で修正されているんだそうだ。
私について