セキュリティホール memo - 2002.07

Last modified: Wed Jun 18 10:54:50 2003 +0900 (JST)


2002.07.31

マイクロソフト、セキュリティへの取り組みを改めて強調
(ZDNet, 2002.07.30)

 「6月からのMSUSのダウンロード数が、6120サーバ」。 多いのやら、少ないのやら。

OpenSSL Security Advisory [30 July 2002]
(OpenSSL.org, 2002.07.30)

 OpenSSL 0.9.6d / 0.9.7 beta2 以前に複数の弱点が発見された。

 まず、A.L. Digital LtdThe Bunker が DARPA の CHATS プログラムの下に発見したもの。

  1. SSL2 の client master key において buffer overflow が発生する。 exploit 可能であることが実証されている。

    CVE: CAN-2002-0656

  2. SSL3 において client に発行される session ID で buffer overflow が発生する。

    CVE: CAN-2002-0656

  3. SSL3 server に発行される master key において stack buffer overflow が発生する。これは OpenSSL 0.9.7 beta3 より前の 0.9.7 において Kerberos が有効な場合にのみ発生。

    CVE: CAN-2002-0657

  4. 64 bit プラットホームにおいて、整数を ASCII 文字に変換するための buffer の多くのサイズが小さすぎる。

    CVE: CAN-2002-0655

 これにより、OpenSSL を用いて SSL または TLS を実現しているプロダクト (client / server 両方) に脆弱性が発生する。ただし、SSL 2.0 を無効にし、OpenSSL 0.9.6d を利用している 32 bit 環境ではこの問題は発生しない。 SSLeay においても「たぶん」この問題が発生するだろうという。

 さらにもうひとつ弱点がある。 OpenSSL の ASN1 ライブラリに問題があり、 正しくないエンコーディングを施したデータを利用して DoS 攻撃を行うことができる。 ASN1 ライブラリを利用するものには、全ての SSL / TLS アプリ、 S/MIME (PKCS#7) で ASN1 ライブラリを利用するもの、 certificate generation routines があるという。 CVE: CAN-2002-0659

 上記のすべての問題は OpenSSL 0.9.6e および 0.9.7-beta3 で修正されている。 また旧版への patch が示されている:

 fix package:

 関連:

2002.08.01 追記:

2002.08.05 追記:

2002.08.08 追記:

2002.08.09 追記:

 itojun さんから (情報ありがとうございます):

openssl 0.9.6eはバグ入りです。これあてないと駄目。なんで0.9.6fとか openssl advisoryが出ないのか不思議です。
http://marc.theaimsgroup.com/?l=openssl-cvs&m=102831422608153&w=2

 上記 URL、前半部分は FreeBSD の openssl2.patch と同じ (omax - (*p - *pp) になっているのは typo だと思う) で、 後半部分は [VulnWatch] RUS-CERT Advisory 2002-08: 01: Incorrect integer overflow detection in C code に出てくるやつですね。 両方要るぞ、と。

 ……と言っている間に OpenSSL 0.9.6f が出ています (info from [memo:4721])。該当個所、もちろん直ってます。

 ……中野さんから (情報ありがとうございます):

OpenSSL 0.9.6f をインストールしてたのですが、Makefile に問題がありそう
な気がしましたので、お知らせします。もし重要なことでしたら、webへの掲
載もしてもらえると嬉しいです。

問題のファイルは、
openssl-0.9.6f/Makefile.ssl
です。install_docs: 以後のところです。問題は、make install の時に発生
します。

691行目:
正:
        @pod2man=`cd ./util; ./pod2mantest ignore`; \
元:
        @pod2man=`cd ../../util; ./pod2mantest ignore`; \

703行目
正:
        for i in doc/crypto/*.pod doc/ssl/*.pod; do \
元:
        @for i in doc/crypto/*.pod doc/ssl/*.pod; do \
(頭の「@」をとる)

FreeBSDだと、
前者:
making all in tools...
cd: can't cd to ../../util
*** Error code 2

後者:
@for: not found
*** Error code 127

Solarisだと、
前者:
making all in tools...
sh: ../../util: 存在しません。
*** Error code 1
make: Fatal error: Command failed for target `install_docs'

後者:
making all in tools...
sh: 構文エラー 行12: `do' 予想外です
*** Error code 2
make: Fatal error: Command failed for target `install_docs'

このようにエラーが出て、停止してしまいます。
「正」の用に変更すると、インストールが正常終了します。

 [openssl.org #203] OpenSSL 0.9.6f install broken: no egcs, no doc, no shared libs にも情報があるそうです。合谷さんありがとうございます。

2002.09.17 追記:

 OpenSSL は 0.9.6g が最新です。うまく make できない問題は fix されています。 各ベンダーの OpenSSL パッケージ最新版、OpenSSL 0.9.6f 以降になっていれば問題ないと思いますが、0.9.6e 以前ベースの場合に 0.9.6f で修正された部分が入っているのかどうかは確認する必要ありかと思います。

 ちょっとまとめてみました:

Red Hat Linux
Vine Linux
Turbolinux
Miracle Linux
Debian GNU/Linux
FreeBSD
NetBSD
OpenBSD
HP-UX

2002.09.19 追記:

Debian GNU/Linux
Turbolinux

2002.07.30

ファイアウォールとアンチウイルスの新しい関係
(日経 IT Pro, 2002.07.26)

 ファイアウォール / パーソナルファイアウォールとアンチウィルスソフトが連携するようになってきた、という話。 米Symantecがネットワーク・クライアントとリモート・ユーザー向け統合セキュリティ・ソリューションを発表 (日経 IT Pro) も、その線をいっている製品なんですかね。

三重県四日市市職員 住民情報をのぞき見、職場でうわさ話
(毎日, 2002.07.29)

 四日市市にプライバシーなし。これも氷山の一角、なんでしょうねえ。 Tatekawa さん情報ありがとうございます。


2002.07.29

Mozilla cookie stealing - Sandblad advisory #9
(bugtraq, Wed, 24 Jul 2002 23:45:59 +0900)

 Mozilla において、悪意ある web サイトや HTML メール送信者が任意のドメインの cookie を読み出せてしまう弱点がある。 \n つきリクエストを使って任意のドメインの cookie を読める、模様。 1.1 beta では修正されている。 回避するにはスクリプトからの cookie 読み出しを拒否する (Advanced → Scripts & Windows の Read Cookies のチェックを外す) か、JavaScript 自体を無効にする (Advanced → Scripts & Windows の Enable JavaScript for のチェック) 。 関連:

2002.08.05 追記:

Linux 管理者への道 第 2 回: LDAPによるパスワードの一元管理
(@IT, 2002/7/27)

 LDAP でアカウントを集中管理する話。

[stalk:01344] cgiwrap 最新版で見つかっている新たなXSS脆弱性
(stalk ML, Fri, 26 Jul 2002 18:47:30 +0900)

 cgiwrap 3.7 において、デバッグ版 (cgiwrapd、nph-cgiwrapd) が利用できる状態だと、 特定のブラウザ (少なくとも、IE とデフォルト状態の Opera) との組みあわせにおいてクロスサイトスクリプティング脆弱性が発生してしまう。 これは IE やデフォルト状態の Opera が Content-Type: text/plain でも HTML だと解釈する場合があるため。

 回避するには、デバッグ版 (cgiwrapd、nph-cgiwrapd) を削除するなどして利用できなくなくする。[stalk:01345] では Apache で BrowserMatch を利用する例が示されている。 また、[stalk:01347] cgiwrap を改造して、丈夫にする案 でも回避できるようだ。IE/Opera が「これはテキストだあ」と判断できる状態にしてあげればよいということなのだろう。

 Cobalt RaQ な人は、[stalk:01342] にある URL から patch をインストールしよう。 [coba-q:11307] 【続報その2】 CGIWrap のクロスサイトスクリプティング脆弱性 によるとデバッグ版は利用不可になるで。 この patch では [memo:896] CGIWrap Cross-site Scripting Vulnerability とあわせて fix されているようです。

auの携帯電話にReferer誤送出の欠陥、KDDIは回収せず
(bugtraq-jp, Thu, 25 Jul 2002 23:31:38 +0900)

 jbeef さんの鋭い指摘にも注目。 対応準備完了時点でアナウンスくらいすべきだと思いますけどねえ > KDDI。

 お金モノを含め、ケータイでなんでもやろうなんて人がいるようですが、穴がみつかってもきちんと塞ぐつもりのないベンダーがあるような状況でやっていいんですか?

2002.08.02 追記:

 オフィシャルアナウンス登場: 一部au携帯電話におけるホームページURLの送出について (KDDI)。 「お客様個人を特定する情報(氏名、Eメールアドレス、電話番号など)が外部に送出されるものではありませんが」の後に「別の意味でとんでもないことになりかねません、というのは……」という説明があるべきなのでは?

ご利用にあたって、携帯電話機の電源を一旦切るか、ブラウザ履歴をクリアする設定(自動または手動クリア)を行えば、本件の事象は発生しません。

 これも誤解を与える記述な気が。「web page にアクセスする前に」の一言が必要なのでは? 「ブラウザ履歴の自動クリア」というのは、いつ自動でクリアするんだろう。

解説●ウイルスやメール誤送信による 情報漏えいを防ぐ(上)
(日経 IT Pro, 2002.07.25)

 メール保存ソフトとしてフィルタリング・ソフトを使うんですか……なるほど。 (下) もどうぞ。


2002.07.26

Microsoft 方面 4 つ + 1
(various)

 Microsoft 方面、いろいろ出たようで。

 あと、更新ものが 1 つ:

情報セキュリティ読本
(IPA, 2002.07.26)

 一般向けの資料です。製本版も用意されている模様。

ISOTK 話
(日本のくらっくサイト情報, 2002.07.26)

 となりの大学を含め、確かに ac.jp 方面いっぱい。主として Windows 狙いな人 (?) なのかな。

住基ネット本格運用控え「セキュリティ会議」 東京都
(毎日, 2002.07.26)

 直前になっても「新設する方針を固めた」レベルですか。 「住基ネットのセキュリティーは信頼に足るものだ」、どうやら「信頼」は独自に定義されている模様。

住基ネット、ウイルス情報更新は2週間ごと
(毎日, 2002.07.26)

 この時代に「2週間ごと」だぁ? 「住基ネットはインターネットとは異なり、閉じたネットワークで、毎日の更新は必要はない」? 今どきの、瞬時に拡散する複合型ウィルスにそんな悠長な態度で勝てるとでも思っているのか。アホか。

 わからんちーの「地方自治情報センターの戸田夏生・システム担当部長」になにか言ってやってよ > IPA さん。ダメすぎ。

防犯用「開かずの間」住宅、日本でも発売 引きあい好調
(asahi.com, 2002.07.26)

 そういう時代、なんですねえ。 ピッキング対策進み窓破り横行、防犯ガラスに各社が本腰 耐火性強化・盗難見舞金も (asahi.com) もあわせて。

自治体サーバは危ない?
(ZDNet, 2002.07.25)

 少なくとも「安全」というレベルでないことは確か、なのでしょう。

追記

 2002.07.23 の Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default に追記した。DnsCache\Parameters ではなく TcpIp\Parameters なのでは、という指摘。しかしそうなると、Microsoft の他のドキュメントは全部バグ入りってことに……。


2002.07.25


2002.07.24

non-exec stack
(若草 OpenBSD 友の会, Wed, 24 Jul 2002 16:48:14 +0900)

 OpenBSD に stack でのコード実行を禁止する機能がついた模様。

Pressing CTRL in IE is dangerous - Sandblad advisory #8
(bugtraq, Wed, 24 Jul 2002 04:50:30 +0900)

 Microsoft によると、これはセキュリティ脆弱性ではないのだそうだ。 そういうことは「スクリプトによる貼り付け処理の許可」をデフォルトで無効に変更してから言ってほしいのだが。

[stalk:01331] [FYI] Mailman のクロスサイトスクリプティング脆弱性
(stalk ML, Wed, 24 Jul 2002 17:34:26 +0900)

 mailman 2.0.11 以前にクロスサイトスクリプティング問題があるという話。 2.0.12 で修正されているという。

[memo:4655] CacheOS Cross-Site Scripting Vulnerability
(memo ML, Wed, 24 Jul 2002 13:42:05 +0900)

 CacheFlow CacheOS V4.1.06 にクロスサイトスクリプティング問題があるという話。 V4.1.07 で修正されているという。

Phrack 59
(bugtraq, Tue, 23 Jul 2002 22:53:37 +0900)

 なにはともあれ読みましょう。

FMWORLD.NET:FMV-DESKPOWERシリーズ内蔵ハードディスクの不具合について
([stalk:01333], Wed, 24 Jul 2002 18:00:44 +0900)

 「2000年冬モデルFMV−DESKPOWERシリーズ」 FMV-DESKPOWER ME5/655、FMV-DESKPOWER ME5/657 の一部に含まれる HDD に、 「高温多湿の使用環境で長時間使用した場合」に「まれに (中略) 不具合が発生することが判明」したのだそうです。該当するかどうかは、上記 URL で製造番号を入力すればチェックできます。

 2ch.net の 富士通製ハードディスクまだ続く?突然死 3台目 も関連のようです。

 また、HDD というわけではないかもですが、ノートPCにおいて、本体温度が通常以上に高くなることに関する重要なお知らせ (NEC LaVie NX、VersaPro NX) という話もあるそうです。福光さん情報ありがとうございます。

 手元で最近 write error 出しまくってくれたのは Maxtor のやつだなあ。 この HDD が入っていた PC は「朝焼けの光の中に立つ影は〜」な状態にあったことが判明したので、直射日光が当たらないようにしておきました (^^;;)

RFC3227: 証拠収集とアーカイビングのためのガイドライン
(IPA, 2002.07.22)

 RFC3227 の日本語版。

ハリウッド、「P2P」ネット攻撃も辞さない構え
(CNET, 2002.07.24)

 すごい発想だなあ。U.S. どこへ行く。

solution 4331: InterScan VirusWall UNIX: 不正なヘッダを使用したウイルス感染メールを検出できない
(トレンドマイクロ, 2002.07.22)

 InterScan VirusWall UNIX 3.6 および 3.6 Patch[12] において、「不正なヘッダ情報」を利用したウィルスが通過してしまう問題があるという。 CVP 版は solution 4333 を参照。

 「2002年7月22日時点で日本でリリースしているInterScan VirusWall for UNIX の全ての最新のバージョンで発生」するのだそうだ。patch があるので適用すればよいみたい。

ワキ甘い住基ネット 簡単ID・パスワード、情報漏れる恐れ?
(毎日, 2002.07.23)

 「組織名などから容易に推測できる字句を利用したうえ、全国の自治体職員に同一のID・パスワードを使わせている」……。ワキどころじゃないでしょうこれは。総務省のセキュリティ意識はあまりにも杜撰。こんな状況で住基ネットをやってもらっては困る。実害が出る。

 高木さんのコメントについては、高木さん自身によるフォローが表明されています: [memo:4654]

 関連: 地方自治情報センター 一部重要情報をサイトから削除 (毎日)。 本当に情報のランクづけをきちんとやっているのか? 秘密保持の必要が本当にないのなら、いっそのこと全て公開すべきなのでは。

 福島・矢祭町の住基ネット不参加表明 総務相が苦い顔 (毎日)。 「個人情報保護法がなければ情報が漏れるということはない」。言ってるそばからじゃじゃ漏れなんですけど。片山虎之助総務相って「裸の王様」にしか見えないです。

 【解説】総務省、同調を懸念 矢祭町の離脱表明住基ネット 矢祭町に続き離脱考えては (毎日)。 違法はどっちだ。


2002.07.23

いろいろ
(various)

Internet Security Systems Security Alert Summary AS02-29
(ISS, 2002.07.22)

 ISS Security Alert Summary AS02-29 です。

天災と同じ——通信事業者の破綻にどう備えるか
(ZDNet, 2002.07.23)

 龍大瀬田学舎の場合、滋賀が無事でも京都が崩壊するとネットワーク切れちゃうんだよなあ。対策は……今のところ何もないぞ、と。

Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default
(CERT/CC, 2002.07.23)

 Microsoft Windows 98, NT, 2000, XP に塔載されている DNS クライアント (resolver) の初期設定に弱点。DNS query を送った IP アドレスからの DNS reply だけでなく、 どんなアドレスから送られた DNS reply でも受けつけてしまう。 これにより、悪意ある攻撃者による DNS 詐称や DNS cache 汚染が可能となってしまう。 この弱点は致命的な結果を招く可能性があるので、今すぐ対応しよう。

 回避方法:

 実はけっこう有名な話みたいなんだけど、私は初耳だったなあ (ドキュメントの読みが足りない証拠……)。 日本語な URL ないかなあ。 ISS の win2k-dns-resolver (4280) の日本語版は V-STAF にはまだないみたいだ。

 関連:

2002.07.26 追記:

 JWNTUG security ML で、レジストリを設定しても効かないという指摘 [security:00036] や、DnsCache\Parameters ではなく TcpIp\Parameters 下に設定したら効いたという指摘 [security:00052] [security:00053] がされている。確かに、 Microsoft Windows 2000 TCP/IP 実装詳細 では TcpIp\Parameters になっているし、この位置なら Windows NT 4.0 でも効きそうな感じですよね。

 しかしそうなると、Microsoft の他のドキュメントは全部バグ入りってことに……。

2002.08.21 追記:

 企業セキュリティのベスト プラクティス - 名前解決の管理者権限 がめでたく日本語に訳された (すばらしい)。しかし DnsCache\Parameters は (まだ) そのままになっている。確認作業が続けられている模様。

2003.06.12 追記:

 匿名の方から Windows 2000 と Windows Server 2003 での情報を教えていただきました: [port139ml:03414]。 どなたか KB 出してもらってください。 あ、Windows XP の情報を聞き忘れた……。

2003.06.18 追記:

 塩月さんによる検証結果: [port139ml:03435]。 Windows Server 2003 では、Dnscache\Parameters の方が優先されるようです。 検証ツールも公開されています: Dnsreply3

CERT Advisory CA-2002-21 Vulnerability in PHP
(CERT/CC, 2002.07.23)

 PHP 4.2.0、4.2.1 に弱点。HTTP POST リクエストの処理において入力値のチェックに問題があり、local/remote から web サーバ実行権限を取得できる可能性がある。 IA32 環境では、任意のコードの実行には失敗したが、PHP and/or web サーバを crash させることには成功したという。

 PHP 4.2.2 で修正されているので、PHP 4.2.0/4.2.1 ユーザは即座に入れかえよう。 回避方法としては、HTTP POST リクエストを web server 側で抑止すればよい。 Advisory には Apache での抑止設定例が示されている。

 関連:

2002.08.01 追記:


2002.07.22

迅速なセキュリティ・インシデント対応のために
(日経 IT Pro, 2002.07.22)

 計画を立てるだけのリソースがなかなか捻出できず…… (T_T)。 きっちり計画しておかナイト、結局バータリーになってしまってイカンのですが、……。

恐るべし“ハッカー会議”——参加者の言動に頭を痛める
(日経 IT Pro, 2002.07.21)

 恐るべし“小林雅一”氏の偏見——記事内容に頭を痛める。 この人には「ご冗談でしょう,ファインマンさん」を一読されることを推奨しておこう。

Snortのルール構造とその作成方法
(ZDNet, 2002.07.17)

 ZDNet Security How-To の snort シリーズ第 4 弾。

追記

 2002.07.15 の AppleCare Document: 75304: This document contains the Security Update 7-12-2002 に追記した。新版 Security Update 7-18-02 登場。


2002.07.19

追記

 2002.07.15 の 「Re:Your Password!」の件名に注意,新種ウイルスが国内で流行の兆し に追記した。日経 IT Pro の ML 管理者への警告記事。

JPCERT/CC 活動概要 [ 2002年4月1日 〜 2002年6月30日 ]
(JPCERT/CC, 2002.07.19)

 インシデント報告件数の推移 を見ても、着実に減少していってしまっている。 しかし CERT/CC Statistics 1988-2002 を見ると、Q1-Q2,2002 ですら 43,136 件。この差はどこから来るのだろう。

追記

 2002.07.18 の 住民基本台帳システムはWindows!? に追記した。いくつかのフォローと注目記事。


2002.07.18

いろいろ
(various)

[connect24h:4459] ノートンがvbsウィルスのソースに誤反応
(connect24h ML, Thu, 18 Jul 2002 09:44:56 +0900)

 狼少年 NAV。

官民がコンピューター・セキュリティー評価基準で合意
(CNET, 2002.07.18)

 合意したのは Windows 2000 のセキュリティー評価基準。 The Center for Internet Security から入手できる。[port139:01414] スコア 6.25 点 以降のスレッドで実行結果がいろいろ示されている。

 そういえば、Microsoft 自身も最近 Windows 2000 Server セキュリティ運用ガイド というのを出していましたね。 あと、@IT の IIS安全対策ガイド・インターネット編6.FTPを利用したコンテンツの更新 以降も登場しています。

追記

 2002.07.15 の 「Re:Your Password!」の件名に注意,新種ウイルスが国内で流行の兆し に追記した。NAI のレポート、CERT Incident Note IN-2002-05、Symantec の駆除ツール。

住民基本台帳システムはWindows!?
(slashdot.jp, 2002.07.17)

 文藝春秋 2002.08 の記事「警告! ネット監視社会が来る」は興味深いので読みましょう。読んでから書いたこと。 改札方面とかは、黙ってではなくて正式サービスとして実装されちゃう (住基カードでなんでもできまっせ奥さん) のかもしれないけど。

 von_yosukeyan さんの投稿 で知ったのですが、 財団法人 地方自治情報センター (LASDEC) (「総務省の外郭団体」なんだそーで) 内に 住民基本台帳ネットワークシステム 全国センター ホームページ なんてものがあるんですね。

 匿名希望さんから (情報ありがとうございます):

「財団法人 地方自治情報センター (LASDEC)」と言えば、このニュースを忘れてはなりますまいです。

住民基本台帳ネットを担当する地方自治情報センターのサイトに脆弱性(2002.5.8)
https://www.netsecurity.ne.jp/article/1/5055.html

 そういえば、slashdot.jp でも [memo:4491] 宝塚市、伊丹市、川西市、猪名川町のICカード利用者に任意コード実行攻撃の脅威 (was Re: ブラウザのセキュリティ設定を安全性を下げるよう指示しているサイト) が取りあげられていましたが、 2002.07.18 付で 緊急の注意喚起 が行われています ([memo:4632])。

 ActiveX コントロールについては、「プログラマのためのセキュリティ対策テクニック」 では、注意深くプログラムしよう、そのうえで、穴が発見されたときに悪用されないように、利用できるドメインを制限しよう、という話が出てきますね (p.324〜)。でも [memo:4491] の場合は、client side のセキュリティレベルそのものを下げさせてしまいますので、 自分達がつくった ActiveX コントロールに穴があろうがなかろうが、利用者にとっては致命的だ、というわけで。

2002.07.19 追記:

 読んでから書いたこと にいくつかフォローがついている。ありがたや。非接触型 IC カード関連のフォローが多いみたい。操作するのはそれほど簡単な話ではない、と理解していいのかな。

 注目記事: 「多漢字環境」を採用しなかったツケ (slashdot.jp)。ユーザー権限が Administrator となっ?! うーむ。確かにこれでは心配にもなりますな。 なぜこれがスコア 0 なのだ。

追記

 2002.06.06 の SECURITY.NNOV: Courier CPU exhaustion + bonus on imap-uw に追記した。imap-uw、どうやら修正された模様。


2002.07.17

追記

 2002.07.15 の 「Re:Your Password!」の件名に注意,新種ウイルスが国内で流行の兆し に追記した。トレンドマイクロの個別対策プログラム、Microsoft からの情報提供、など。


2002.07.16

@stake Advisory: Norton Personal Internet Firewall HTTP Proxy Vulnerability
(bugtraq, Tue, 16 Jul 2002 04:42:13 +0900)

 シマンテック official: Symantec Norton Internet Security 2001 Denial of Service Buffer Overflow

 Norton Personal Firewall 2001 (Norton Internet Security 2001 にも含まれる) に buffer overflow する弱点がある、という指摘。Norton Personal Firewall 2002 にはこの問題はない。patch ができしだい、LiveUpdate により配信されるようだ。 つまり、まだ patch はない。

MFC ISAPI Framework Buffer Overflow
(bugtraq, Fri, 12 Jul 2002 01:05:33 +0900)

 フォロー: by Chris WysopalMFC Overflow Test Code

 Visual Studio 6.0 SP3 以前において MFC ISAPI framework を利用してモジュールを作成すると、もれなく mfc42.dll 内部で buffer overflow するバグがついてくる、という話。回避するには、Visual Studio 6.0 SP4 以降で再コンパイルする。

 Microsoft official:

Portcullis Security Advisory - IIS Microsoft SMTP Service Encapsulated SMTP Address Vulnerability
(bugtraq, Fri, 12 Jul 2002 21:45:06 +0900)

 IIS 4.0/5.0/5.1 付属の smtp サービスに弱点。 mail relay が許可されていなくても mail relay させることが可能になる、という。MS99-027 の update だとされている。

いろいろ
(various)

 いろいろ。

RealONE Player Gold / RealJukebox2 ネタ
(SPS, July. 12, 2002)

 2 つ出てます。

 回避方法: RealOne Player Gold および RealJukebox 2 のバッファ オーバーフローに関する脆弱性 (jp.real.com)。対応 patch はまだない。

2002.07.23 追記:

SecurityFocus.com Newsletter #152 2002-7-1->2002-7-5
(bugtraq-jp, Sun, 14 Jul 2002 21:35:40 +0900)

 SecurityFocus.com Newsletter 第 152 号日本語版 (テキスト)。

SecurityFocus.com Newsletter #151 2001-6-24->2002-6-28
(bugtraq-jp, Tue, 09 Jul 2002 09:27:35 +0900)

 SecurityFocus.com Newsletter 第 151 号日本語版 (テキスト)。

FreeBSD SAs
(freebsd-security ML)

 3 つ出てます。

 私的には 4.6.1-RELEASE 待ちモードに入ってますが……。

追記

 2002.07.15 の 「Re:Your Password!」の件名に注意,新種ウイルスが国内で流行の兆し に追記した。トレンドマイクロ、シマンテック、NAI、Sophos、F-Secure、ANTIDOTE は対応を完了。


2002.07.15

「Re:Your Password!」の件名に注意,新種ウイルスが国内で流行の兆し
(日経 IT Pro, 2002.07.15)

 Frethem の亜種話、まとめておきます。

 この項 special thanks: 田中さん。

2002.07.16 追記:

 各種 anti-virus ソフトの追記については上に書いた。関連:

 この他に、エンテラシス・ネットワークス の「委託先ASPで管理されているサーバが、ウイルスの侵入を受け」「弊社の名を騙ったウィルス・メールが皆様に配信された」ようです。福光さん情報ありがとうございます。ここも web page には何もありません。

 うわぁ、IMAP4-ML もだああ。

2002.07.17 追記:

 うわぁ、TurboLinux な ML もだあ: ウィルスファイル添付メールの配信に関するご報告

2002.07.18 追記:

 情報処理学会 はあいかわらず対応を検討中なんですかね。そんなに悩む内容なのか? というか、A タグくらいつけなきゃ。駆除ツールへの link も併記してさ。

2002.07.19 追記:

AppleCare Document: 75304: This document contains the Security Update 7-12-2002
([macosx-jp:11316], Sat, 13 Jul 2002 22:34:58 +0900)

 MacOS X SoftwareUpdate Vulnerability に対する Apple の回答。ファイルに署名し、これを検証するようになった模様。 https: なページ もちゃんとできています。https: なページから get しましょう。

 すばやい対応、Apple やるじゃん。

2002.07.15 追記:

 新しい SoftUpdate は Mac OS 10.1.5 を要求する模様。参照: [macosx-jp:11331]

2002.07.22 追記:

 新版が出ています: TIL 75304: Security Update 7-18-02 に関する情報とソフトウェアのダウンロード


2002.07.12

いろいろ
(various)

 手抜きモード、a.k.a. 棚ざらい。

CERT Advisory CA-2002-20 Multiple Vulnerabilities in CDE ToolTalk
(CERT/CC, July 10, 2002)

 CDE の rpc.ttdbserverd に 2 つの問題。

 回避するには rpc.ttdbserverd を停止する。 対応するには patch を適用する、のだが、Sun など patch がまだないベンダーもけっこうある。

 詳細: [CORE-20020528] Multiple vulnerabilities in ToolTalk Database server

 関連報道: UNIXのプログラム間通信機能に新たなセキュリティ・ホール,任意のコードを実行される (日経 IT Pro)

IE allows universal Cross Domain Scripting (TL#003)
(bugtraq, Wed, 10 Jul 2002 23:32:19 +0900)

 Microsoft の WebBrowser コントロールを利用する全てのアプリケーションに潜在的な弱点。そのようなアプリケーションの典型例としては、IE や Outlook、Outlook Express がある。

 OBJECT 要素によって組み込まれたドキュメントの object プロパティを呼び出すことによって、組み込まれたドキュメントに対するリファレンスを多重化でき、これを利用すると Domain Object Model (DOM) を逸脱したアクセスが可能になってしまう。 具体的には、攻撃者は悪意ある web ページや HTML メールを経由して、クッキーを読みとったり、local file を読み取ったり、任意のコマンドを実行させたり、できるという。 http://www.PivX.com/larholm/adv/TL003/ にデモプログラムが用意されている。

 patch はまだない。回避方法としては、ActiveX を停止するか、「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を停止する。 Outlook や Outlook Express においては、「制限つきサイトゾーン」で実行するように設定し、かつ「制限つきサイトゾーン」での「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を停止するよう設定しておけばよい。Outlook Express 6 ではこれがデフォルト値だ。

 関連報道: 『Outlook』と『IE』に新たなセキュリティーホール (CNET)。

信頼できるウェブサイトしか閲覧しないユーザー (中略) は、影響を受けないという

なんてのは、DNS cache 汚染がデフォルトで有効なプロダクトを販売している会社が言っていいセリフではないですね。

2002.08.29 追記:

 MS02-047 で修正された。

Microsoft SQL Server 関連
(various)

 SQL Server 関連ネタがいっぱい出ています。


2002.07.11

追記

 2002.07.11 の iPlanet 関連 に追記した。後者の問題も 6.0 SP3 / 4.1 SP10 で修正されるとフォローされている。

追記

 2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。AIX クロ、glibc も一部クロ。ただし glibc については多くの環境では問題にならないと考えられる。また、djb 氏による DNS client (resolver) ライブラリが public domain 宣言された。


2002.07.10

追記

 2002.07.05 の Squid Proxy Cache Security Update Advisory SQUID-2002:3 に追記した。Miracle Linux fix。

追記

 2002.06.25 の mod_sslのバクフィックス版2.8.10-1.3.26がリリース に追記した。Debian, Turbo, OpenBSD の fix への link を追記。

追記

 2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。ZDNet 記事話を追加。

 半径 50m 以内的にも、いまだに直してくれない人はいますし……。

iPlanet 関連
(bugtraq)

2002.07.12 追記:

 後者の問題も 6.0 SP3 / 4.1 SP10 で修正されるとフォローされている。

Microsoft 関連
(various)

 (</ul> 抜けてました……Kuriyama さん感謝)

V-STAF Database 2002年6月25日公開
(タレコミ, Wed, 03 Jul 2002 20:34:50 +0900)

 2002.05.07 の ネットワークセキュリティ脆弱性データベースの公開について が、実際に公開されています。応援・feedback してあげませう。 協力メンバーも募集しているみたいです。

 koricoli さん情報ありがとうございます。

セキュリティスタジアム 2002
(いろいろ)

 今年は競技とセミナーの他にも出しものがあるそうです。 10 月はいろんなものが重なってタイヘンそう。

 現在 free mail ものを利用している Mailing List (manoeuvre とか) についても、順次 security-stadium.org での運用に移行すると思います。

Microsoft Software Update Servicesの実力を探る(前編)
(@IT, 2002.07.09)

 試すヒマが取れない……。9x/Me 対応せず、という時点でヤル気が 80% ダウン (当社比) だし。

追記

 2002.07.08 の 【今週のSecurity Check】信頼を得るための,企業のセキュリティ・ホール対応 に追記した。関連リンクを追加。


2002.07.09

Webサイトから個人情報流出 何者かが検索エンジンで発見か (上)
(日経 IT Pro, 2002.07.04)

 「警察は被害届を受け取らず」。現実は厳しい。


2002.07.08

存在自体が不正アクセスを防いだ? 今年初登場のSOC
(ZDNet, 2002.07.05)

 SOC は IPv6 には対応していません (というか、そもそも IPv6 対応の製品がありません)、という話を ShowNet テクニカルセミナーで聞いた。それって「IPv4 と IPv6 が同じトポロジーで動いている」という今年の ShowNet との対比において重要だと思うのだけれど、ZDNet の記者氏は何も書いてないなあ。それとも本当は、IPv6 な何か、が動いていたりしたんだろうか。

 セキュリティ製品方面、まだ IPv6 対応してません、はともかく、対応予定の文字すら見えない現状では、IPv6 はまだまだ遠いなあと思ったり。N+I という場でこの反応の鈍さは……はっきり言ってガックリ。世の中ままならない。

【今週のSecurity Check】信頼を得るための,企業のセキュリティ・ホール対応
(日経 IT Pro, 2002.07.05)

 以下、関連話、だと思う。

 先日の STPP セキュリティ対策セミナーの懇親会で、ある方から質問されたのだが、報告される側としては、報告者に悪意があるのではないか、と疑心暗鬼になる場合があるようだ。たとえば、その相手が、特定ブランドのセキュリティホールを集中的に調査・報告することにより、そのブランドの価値を下げさせる、ことを目的としているのではないか、というような疑いを持ったりすることがあるようだ (これは私が理解した限りにおいてなので、その方の発言内容とは多少の違いがあるかも……ねんのため)。

 確かにそのような「攻撃」は可能だろうし、たとえば guninski 氏が Netscape のコンサルだった話 もそういう疑いをもたれたりした例だろう。しかし元はと言えば、穴をつけて出荷しているベンダー自身に根本原因があるわけで。脅威の対象となっているのは自社の顧客である、という意識があれば、そういった問題をさほど重視する必要があるとも思えないのだが。誠実な対応を続けることによって、顧客の信頼は (中長期的には) 上昇することが期待できると思うし。

 ちなみに、そこで話題になった「ある人物」については、悪意の存在を明確に否定できる材料を持っていたので、明確に否定しておきました。

2002.07.10 追記:

 Tea Room for Conference の No.939 (No.942 も?!) に関連する話題があります。


2002.07.05

Squid Proxy Cache Security Update Advisory SQUID-2002:3
(bugtraq, Thu, 04 Jul 2002 06:25:06 +0900)

 Squid 2.4-STABLE7 登場。gopher 関連や FTP 関連、認証関連におけるいくつものセキュリティ問題が修正されている、そうです。個別 patch で修正されていたものが STABLE7 で本体に入ったみたいです。

2002.07.10 追記:

 squid セキュリティホール: バッファオーバーフロー他 (Miracle Linux)。 FreeBSD ports (www/squid24) も STABLE7 になってます。

追記

 2002.07.02 の Samba 2.2.3以降にバッファオーバーフロー に追記した。わかりやすい解説と 2.2.3a、2.2.4、2.2.5 用 patch が登場。

追記

 2002.06.27 の CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling に追記した。TurboLinux fix 登場。

Internet Security Systems Security Alert Summary AS02-26
(ISS, 2002.07.01)

 ISS Security Alert Summary AS02-26 です。

追記

 2002.03.14 の 「Secure Site シール」情報提供サービス 再開のお知らせ に追記した。まだ直っていない模様。日本ベリサイン、さすがです。


2002.07.02

Samba 2.2.3以降にバッファオーバーフロー
([samba-jp:13058], Mon, 01 Jul 2002 16:40:56 +0900)

 Samba 2.2.3〜2.2.5 で、--with-tdbsam 利用時に buffer overflow が発生、remote から samba の各 daemon の動作権限を奪取可能な模様。--without-tdbsam な場合には問題は発生しない。

 Samba 2.2.5 用の patch が示されているので、2.2.[34] 利用者は 2.2.5 に upgrade した上で適用すればよい。

2002.07.05 追記:

追記

 2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。Mac OS X、GNU glibc、Microsoft はシロ。Sun Microsystems Inc. はクロ。

IIS安全対策ガイド・インターネット編(前) —— インターネット・サービス向けIIS設定ガイド ——
(@IT, 2002/06/29)

 待望のインターネット・サービス編。


2002.07.01

SecurityFocus.com Newsletter #150 2002-6-17->2002-6-21
(bugtraq-jp, Mon, 01 Jul 2002 15:24:36 +0900)

 SecurityFocus.com Newsletter 第 150 号日本語版 (テキスト)。

SecurityFocus.com Newsletter #149 2002-6-10->2002-6-14
(bugtraq-jp, Tue, 25 Jun 2002 17:51:36 +0900)

 SecurityFocus.com Newsletter 第 149 号日本語版 (テキスト)。

追記

 2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。FreeBSD 4.6-RELEASE-p1、4.5-RELEASE-p7 ISO イメージ、CERT Advisory。

追記

 2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。worm ネタ、Mac OS X 用 fix 登場、RedHat package 再リリース、富士通 Interstage Application Server など。

追記

 2002.06.27 の CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling に追記した。Mac OS X 用 fix 登場、Vine Linux 2.5 fix 更新、など。

日本のくらっくサイト情報
(タレコミ, Mon, 01 Jul 2002 17:10:14 +0900)

 tsukachan 氏がまとめていらっしゃるヤラレ情報。「チェックしていたeveryday peopleさんが更新止まってしまったみたいなので無いと不便なので自分で作りました」そうです。 情報ありがとうございます。 維持たいへんだと思いますが、がんばって下さい。

弊社 FireWireドライブ製品・ケース製品をご使用の皆様へ大切なおしらせ Macの本体標準 FireWire ポートのご使用に関して
(リンクとか備忘録とか日記とか, 2002.06.25)

 「Macの電源が入った状態でMac標準の FireWire ポートにバスパワード機器を接続すると、Mac側の FireWireポートを破損する恐れがある」のだそうです。 文字どおりの Plug and Pray ですね。 問題が発生する Mac 機種は「対象となるMacの機種について」の項を参照。 バスパワード機器ではない場合にはこの問題は発生しないようです。


私について