セキュリティホール memo - 2004.01
Last modified: Thu Jul 15 10:33:38 2004
+0900 (JST)
IE 6 に欠陥。ファイル名に CLSID を埋め込むことにより、IE がファイルを「開く」場合に、本来開かれるべきアプリケーションではなく、CLSID に示されるアプリケーションが起動されてしまう。slashdot.jp #483561 の解説がわかりやすい。
回避するには、ファイルを「開く」のをやめ、一旦ダウンロードした上で、ダウンロードしたファイルを開けばよい。
■
いろいろ
(various)
Fingerprinting through Windows RPC (blackhat.com)
のことのようです……。
2004.02.03 追記:
破損した MyDoom が InterScan VirusWall NT 3.53J で検出されずに通過してしまい、クライアント側で検出されることがある、という話の模様。
トレンドマイクロ的には、破損した MyDoom はパターンファイル 750 以降で
WORM_MYDOOM.DAM として検出するそうだ。
この現象は「WholeMailScan 機能」を有効にすることで対応できるそうだ。
手元にも、破損した MyDoom が届いているなあ。
元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。デモファイル: http://www.malware.com/my.pics.zip。
- Windows XP は、.folder 拡張子がついているとフォルダとして表示する
(.folder 拡張子のファイルにはフォルダアイコンを表示する)
- ダブルクリック時にどのように処理するかは、動的に決定する
(中身が HTML のようなら HTML として処理する)
ことを利用し、
- 攻撃プログラムを作成し、BinHex 形式でエンコード
- 上記 BinHex を埋め込み、さらに、それを自動的にデコードするような JavaScript を記述した HTML ファイルを用意
- HTML ファイルの拡張子を .folder に
- HTML ファイルを zip で圧縮
としたのが、上記デモファイルであるように見える。で、.zip を開いて、さらにフォルダが含まれていると思ってダブルクリックすると……ドカン。
.folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれていなかった。Windows XP には存在した。
typo fixed: 加納さん、Handa さん感謝。
亜種 MyDoom.B が登場。MyDoom.B は
- www.sco.com と www.microsoft.com を攻撃
- アンチウィルス関連サイトへのアクセスを妨害
- リモートアクセスポートは 1080 / 3128 / 80 / 8080 / 10080
だそうで。
各社 MyDoom で統一されたようで。
MyDoom 関連記事:
US-CERT
がらみでいろいろあるようで。
とりあえずお手並拝見かなあ。
関連: 米国土安全保障省がサイバーセキュリティの警告システム
(MYCOM PC WEB)
通報済みだけどまだ修正されていない (ので詳細も公開できない) 欠陥のリスト。
remote から SYSTEM 権限を取得できてしまうものも複数含まれている。
半年経過しても修正できない欠陥というのは、どういう欠陥なんでしょうね……。
eEye が、再現に手間取るような報告をするとも思えないし……。
2004.02.12 追記:
半年経過していたのは
ASN.1 の脆弱性により、コードが実行される (828028) (MS04-007)
だったようですね。
しかし、まだまだ残ってます……。
■
いろいろ
(various)
2004.03.09 14:00〜17:00 東京都千代田区。申込〆切は 2004.02.27 17:00。
[参加対象企業] 主に IP (Internet Protocol) にかかわる製品を取り扱って
いるメーカ、ベンダ
[対象参加者] 自社製品の品質保証/管理責任者
自社開発製品に対して、脆弱性に関する品質保証、管理を行う部署、あるい
はそれに関連する業務に携わる責任者。脆弱性情報/セキュリティ情報を全
社 (全製品) 単位で取り扱う責任者。
「定員になり次第、締め切らせていただきます」とあるが、その定員はなぜか明記されていませんね。ホテルニューオータニ 悠の間
だそうなので、入るだけ入れるのでしょう。
あいかわらず来てますね。
アンチウィルスベンダー等からの情報 (いろいろ改訂されていますので再読しておいた方がよいでしょう):
手元的には Sobig.F の方がひどかった気がするのだが、US 的にはそうではないらしい。Sobig.F には自動停止装置が仕掛けてあったが、MyDoom は単に停止するわけではないようだ。WORM_MIMAIL.R (トレンドマイクロ) から:
バックドア活動
ワームは外部と通信し、外部からのリモートコントロールを可能にするバックドア型ハッキングツールとしての機能を持っています。外部のユーザはこのワームが侵入したコンピュータをリモートコントロールしてファイルのダウンロードと実行を行なうことができます。
ワームは外部との通信のためにポート3127〜3198を使用します。ワームはポート3127から3198まで順番にポートのオープンを試みていき、オープンに成功したポート1つを通信に使用します。すべてのポートがオープンできなかった場合は3127に戻ってまた順にオープンを試みていきます。
このワームのバックドア機能は"SHIMGAPI.DLL"に集められています。
その他の情報:
・システム日付が「2004年2月12日」以降だった場合、ワームは上記の「バックドア活動」のみを行ないます。それ以外の行動は行ないません。
どうやら、新たな指令を待つようだ。うへぇ。
巧みなソーシャルエンジニアリングが引き起こしたMyDoomのまん延
(ITmedia) でも [memo:6785]
と同様、エラーメールになることを狙ったのではないかという説が示されていますね。from も to もあてずっぽうなアドレス、というメールが存在するので [memo:6786]、必ずしもそうではないような気が個人的にはするのですが……。
狙ったにせよ結果的にそうなったにせよ、効果があったのは確かなようですが。
2004.01.28 追記:
アドレス偽りウイルス発信 第4管区海保
(共同通信)。あの〜、そんな状況はそこらじゅうで発生しているんですが…… > 海保 & 共同。
まつださん情報ありがとうございます。
IEにURLを偽装できるパッチ未公開の脆弱性が発見された
話、ようやく fix が近日登場するようです。
Stay tuned.
……まあ、fix というよりは仕様変更 (URL での username:password を無効にする) なのですが、これだけ悪用されている以上、仕方ないのでしょう。
mod_python 2.7.9
で直ったはずの DoS 穴が、実は直っていなかった模様。再修正版の
2.7.10 がリリースされた。
Apache 2.x 用の mod_python 3.0.4 にはこの問題はないそうだ。
しかし、2.7.10 にも問題が残っているという指摘が: [mod_python] Re: [ANNOUNCE] Mod_python 2.7.10。
H+BEDV AntiVir
の Linux 版 2.0.9-11 以前に欠陥。一時ファイル名を予想できてしまうため、symbolic link 攻撃を受ける。
AntiVir 2.0.9-12 で修正されたそうです。
antivir --update
コマンドで自動アップデートできる他、
ダウンロードページ
から入手できます。
■
いろいろ
(various)
- CERT Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities
H.323 Vulnerability (checkpoint.com)。FireWall-1 で H.323 している場合は、hotfix を適用しよう。
- MDAC 機能のバッファオーバーランにより、コードが実行される (832483) (MS04-003)
Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」 が何度も表示される
という問題が発生することがあるそうだ。インストールされている MDAC のバージョンが、修正プログラムが用意されている MDAC のバージョンに適合しない場合にそうなるようで。835173 - INF: MDAC セキュリティ修正モジュールの適用に関連する補足事項
(Microsoft) によりインストールされている MDAC のバージョンを確認し、必要であれば MDAC をアップグレードしてから Windows Update すればよい模様。
修正プログラムが用意されている MDAC バージョンは:
- MDAC 2.5 SP2 / SP3
- MDAC 2.6 SP2
- MDAC 2.7 gold / SP1 / SP1 refresh
- MDAC 2.8
ふつうの人は、MDAC 2.7 SP1 Refresh か MDAC 2.8 がよろしいでしょう。関連:
0 だけとか 1 だけとかの巨大なファイルを作った上で、bzip2 で圧縮すると、とっても小さくなる
(サンプル)。
そういうものをアンチウィルスプロダクトで検査すると、ディスクが溢れたり、溢れないまでも CPU を大量に消費したりする、という話。
この話は
[Full-Disclosure] AV "feature" does more DDoS than Sobig
ですでに指摘済みだが、「2GB の 0 なファイル」のかわりに「2GB の 1 なファイル」を用意したりすると依然として有効だ、としている。
指摘者が問題の存在を確認しているのは
* kavscanner of
Kaspersky AntiVirus for Linux 5.0.1.0 (probably all versions since 4.0.3.0)
* vscan of
Trend Micro InterScan VirusWall 3.8 Build 1130 (probably other versions, too)
* uvscan of
McAfee Virus Scan for Linux v4.16.0 (probably other versions, too)
* AMaViS 0.2.x/0.3.x, amavisd below amavisd-new-20021116, amavis-ng
トレンドマイクロについては製品 Q&A が公開されている:
日本語版 Q&A もいくつかあるが、英語版と同期しているわけでは必ずしもないみたい:
AMaViS からも情報が出ている。amavis-ng と amavisd-new-20021116 以降には回避方法がある模様:
八尾さん、山本さん情報ありがとうございます。
2004.02.04 追記:
bzip2のDoS攻撃の可能性について
(NAI)。デフォルトで 15 分は CPU 過負荷攻撃が効く、とも理解できるのだが。
展開時のディスクあふれ系の問題については記載されていないようだが、発生しないのだろうか。
2004.02.13 追記:
VirusScan ASaP - bzip2のDoS攻撃に関して
(NAI)。VirusScan ASaP での状況。
- 欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
ASKACC
に「事故調査委員会」からの「調査報告書」が 2004.01.22 付で掲載されている件など。
- Windows 98 の延長サポートフェーズが 2006 年 6 月 30 日までに延長された
有償サポート契約なんて結んでいないふつうの人にとっては「Windows 98 / 98 SE / Me はもう終り」という理解で正しい。
有償サポート契約を結んでいれば、問いあわせベースで、IE などのコンポーネントを含めて、新規セキュリティ hotfix を入手できる。
qmail 1.03 に欠陥。2GB を越える長大な SMTP セッションにより、qmail-smtpd
で integer overflow が発生、qmail-smtpd がクラッシュしてしまう。
Guninski 氏は it is possible to overwrite memory in qmail-smtpd 1.03
としているが、これには反論が投稿されている。
回避するにはメッセージサイズの最大値として 2GB 以内の数字を
/var/qmail/control/databytes に設定しておく、と
Secunia Advisories SA10649 (secunia.com) では説明されている。
しかし
databytesはディスクに保存されるバイト数!?
(slashdot.jp) では、databytesはディスクに保存されるバイト数であって、ネットワークを通過するバイト数ではな (qmail.jp) と指摘されている。
databytes の設定では不十分かもしれない。
qmailにバッファオーバーフローの脆弱性
(slashdot.jp) では unofficial patch がいくつか紹介されている。肝部分は同じみたい。
菊地さん情報ありがとうございます。
ScreenOS 5.0 と NetScreen-Security Manager との間の通信が、デフォルトでは暗号化されていないという話。設定さえすれば 128 bit AES で暗号化されるそうです。
また NetScreen-Security Manager 2004 Feature Pack 1 で修正されるそうです。
Vine Linux 2.6r3 をクリーンインストールした環境において、ext3
ファイルシステムを作成すると、fsck がかかった時点でファイルシステムが破壊される、という話。たとえば shutdown -r -F now
(-F = 再起動時に強制的に fsck する) でダメになるそうだ
[vine-users:063787]。当面の回避策としては、Vine Linux 2.6r3 で
ext3 ファイルシステムを作成した場合、たとえばそれが /dev/hda2 なら
tune2fs -O ^dir_index /dev/hda2
のようにしておけばよい模様
[vine-users:063789]
[vine-users:063968]。
東海・東南海・南海地震によって発生する「長周期地震動」によって、石油コンビナートのタンクはおろか、高層ビルが大打撃を受ける (かもしれない)、なんていう状況はこれまで誰も想定していない模様。まずすぎ、やばすぎ。
弾道ミサイル防衛に 7000 億円かけてる場合じゃないと思うのだが。
地震のほうが、よっぽど「今そこにある危機」だぞ……。
再放送
は 1/20 24:40 から。高層ビルにオフィスがある、なんて人は必ず見ておきましょう。
2004.03.01 追記:
京葉臨海の石油タンク、巨大地震で半数被災…早大予測 (読売)。
番組中でも取りあげられていたと記憶しています。
特定少数への情報提供に移行されるのだそうです……。
(T_T)
■
いろいろ
(various)
》
イスラエルの清算 (tanakanews.com)。
》
Learn About or Report Fraudulent E-mails
(citibank.com)。日常的に発生しているようで。
Anti-Phishing.org
というサイトもあるそうで。
(info from Handlers Diary January 13th 2004)
》
米旅客機にミサイル防衛システム導入を検討 (WIRED NEWS)。
それではなぜ、ノースロップ社は民間旅客機を防御することができるのかどうかを調査するために2年もの時間が必要なのか?
軍産複合体を維持するための「公共事業」だからでしょ……。
》
「9ヵ月以内に起きる地震の予知に成功」UCLAが発表
(WIRED NEWS)。本当に安定した結果が得られるのならすごいけど……。
》
One Point Wall (netagent.co.jp)
ですが、「SSL対応のSoftEther0.50beta3もちゃんとブロックできるようになりました」そうです。杉浦さん情報ありがとうございます。
SoftEther 作者の登さんは [softether:00362] で次のようにおっしゃっていらっしゃいますね:
これは推測ですが、おそらく SSL 接続があった場合接続先のホストに対して SoftEther のプロトコルと同じプロトコルで実際に接続してみて、応答が返ってきたら接続先は仮想 HUB であるとして認識しているのだろうと思います。
もちろん、「One Point Wall」に対応するように SoftEther を修正することは簡単にできますが、そもそも One Point Wall は、会社などでシステム管理者が意図的に SoftEther の外向き通信を妨害するためのファイアウォールですので、それに対抗しようなどとは考えておりません。
SoftEther を SSL 対応にした理由は、「ファイアウォールをすり抜ける」ためではありません。
純粋に安全な暗号化通信を実現するという目的のために SSL を導入したのであり、SoftEther の通信を検出することを難しくするために SSL を導入したのではありませんので誤解されぬようお願いいたします。
ATM だと 3 回間違えたあたりでロックされてしまうが、自動音声案内を使えば、何度でも試せる上に、1 日 3 回程度のトライなら疑われないのだそうだ。
なんじゃそりゃー。
しばてんさん情報ありがとうございます。
2004.01.15 追記:
RFIDタグは20年前の過ちを繰り返すか
(高木浩光@茨城県つくば市 の日記, 2003.12.08) でも言及されていたので追記。
(info from みゃー氏なページ)
延長されたのは「延長サポートフェーズ」です。「非サポート対象フェーズ」ではありません。というか、これまで「旧ライフサイクルガイドライン」に従うとされてきた
Windows 98 / 98 SE / Me を「新ライフサイクルガイドライン」に従うものとする変更のようです。
Windows デスクトップ製品のライフサイクル (Microsoft)
はそのうち書き直されるのでしょう。
Windows 98のサポート、2006年6月30日まで延長 (ITmedia)
マイクロソフト、Windows 98/Meのサポートを2006年6月30日まで延長
(Internet Watch)
Windows 98/98SE/Meのサポート期間延長 (slashdot.jp)
山本さんから (ありがとうございます):
私も/.Jで読んでから気になって、MSKKの担当営業に確認しました。
その回答では、
(中略)
> 2004年1月16日をもって非サポート対象 フェーズへ移行予定であった
> Windows 98、Windows 98 SEおよび
> Windows Millennium Edition (Me)の延長サポート期間(Extended
> Support phase)を2006年6月30日までさらに延長することを決定しました。
> 従来からの4年というサポート期間が適用されていたWindows 98 SEに対し、
> 弊社の新しい製品には適用されている7年というサポート期間を適用すべき
> だという判断であると思います。
(中略)
> 今回のサポート期間延長に関する全詳細情報は、明日1月15日付けで
> 以下のサイトに掲載される予定です。
> http://support.microsoft.com/lifecycle
加藤さんからは「16 日に発表があるという情報を MS の人から聞きました」
という情報をいただいています (ありがとうございます)。
Win 98サポート延長は、バルマーCEOの「顧客第一主義」の表れか (ITmedia)
今週中には全体像がはっきりしそうです。
しかし……これで Windows 9x/Me サポートをやめられなくなったソフトベンダーはどのくらい出てくるのでしょう。
Windows 9x/Me なんて、たいていは low spec な機械で動きつづけているのでしょうし。
正直ぞっとするものがあるのですが……。
2004.01.15 追記:
ニュースリリース出ました:
Microsoft(R) Windows(R) 98、Microsoft Windows 98 Second EditionおよびMicrosoft Windows Millennium Edition の延長サポート期間を2006年6月30日までさらに延長することを決定
(Microsoft)
提供サポート内容: 有償サポート契約をお持ちのお客様に対し、製品サポート(*1)、およびセキュリティ修正プログラム(リクエストベース)
*1:QA対応、既存ホットフィックスの提供。
Windows デスクトップ製品のライフサイクル (Microsoft)
の [6]:
Windows98、および Windows98 Second Edition (SE) の製品サポートを 2006 年 6 月 30 日までご提供いたします。有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで、通常ご利用いただくサポート窓口にて既存セキュリティホットフィックスを無償にてご提供いたします。また同じように、有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで通常ご利用いただくサポート窓口にて新規セキュリティホットフィックスをリクエストしていただくことが可能です。お客様の環境において修正プログラムの提供が必須と判断された場合にセキュリティホットフィックスをご提供いたします。オンラインセルフ ヘルプ サポートは、製品サポート終了後、最短でも 1 年間 (2007 年 6 月 30 日まで ) ご利用いただけます。既にご案内させていただいているとおり、メインストリームサポートは 2002 年 6 月 30 日で終了、また、無償サポート、およびセキュリティ以外のホットフィックス サポートについては 2003 年 6 月 30 日で終了しています。
2004.01.20 追記:
上記を引用したときには [6] だったのだが、今では
[5]
になっている。中身は同じようだ。
で、「延長」の実態なのだが、上記の
有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで通常ご利用いただくサポート窓口にて新規セキュリティホットフィックスをリクエストしていただくことが可能です。お客様の環境において修正プログラムの提供が必須と判断された場合にセキュリティホットフィックスをご提供いたします。
が肝のようだ。つまり
- 有償サポート契約を結んでいないと、新規セキュリティ hotfix は入手できない。もちろん Windows Update にも載らない。
- 有償サポート契約を結んでいても、サポート窓口にリクエストしないと新規セキュリティ hotfix は入手できない。
有償サポート契約なんて結んでいないふつうの人にとっては「Windows 98 / 98 SE / Me はもう終り」という理解で正しい。
また、Windows 9x/Me 上での IE などのコンポーネントについてだが、OS 本体と同様に、有償サポート契約者は 2006.06.30 までセキュリティ hotfix を入手できる。
ただし最新のコンポーネントのみ対応となっている。
2004.01.22 追記:
「延長サポートフェーズ」の延長だ、と言いつづけていることにそもそもの問題があると思うのですが。
MDAC 2.5〜2.8 に欠陥。MDAC を利用するクライアントが発生させる特定のブロードキャストリクエストに対して、細工したリプライを返すと buffer overflow が発生。
これを悪用することで任意のコードを実行させることが可能。
ただし Winows Server 2003 64 bit Edition に同梱の MDAC 2.8 にはこの欠陥はない。
具体的にはこんな感じのようだ:
- ブロードキャストドメイン内にニセ SQL Server を設置
- 標的がネットワーク上のコンピュータ一覧を得ようとして、リクエストパケットをブロードキャスト
- ニセ SQL Server が攻撃リプライパケットを返す→攻撃終了
MDAC 2.5〜2.8 用の修正プログラムが用意されているので適用すればよい。
事実上、世の中のほとんど全ての MDAC にこの欠陥が存在するので注意されたい。
CVE: CAN-2003-0903。KB: 832483。
2004.01.26 追記:
Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」 が何度も表示される
という問題が発生することがあるそうだ。インストールされている MDAC のバージョンが、修正プログラムが用意されている MDAC のバージョンに適合しない場合にそうなるようで。835173 - INF: MDAC セキュリティ修正モジュールの適用に関連する補足事項
(Microsoft) によりインストールされている MDAC のバージョンを確認し、必要であれば MDAC をアップグレードしてから Windows Update すればよい模様。
修正プログラムが用意されている MDAC バージョンは:
- MDAC 2.5 SP2 / SP3
- MDAC 2.6 SP2
- MDAC 2.7 gold / SP1 / SP1 refresh
- MDAC 2.8
ふつうの人は、MDAC 2.7 SP1 Refresh か MDAC 2.8 がよろしいでしょう。関連:
Exchange 2003 and Outlook Web Access Issue
の話。Outlook Web Access (OWA) を実行する際に、フロントエンドサーバとバックエンドサーバ間で NTLM 認証を利用している場合に欠陥。
HTTP 接続を再利用する方法に欠陥があり、ある OWA ユーザが別の OWA ユーザのメールボックスにアクセスできてしまう (ただし、ランダムに)。
OWA for Microsoft
Exchange Server 2003 を実行している Exchange Server 2003 でのみ発生。
Exchange 5.5 / 2000 にはこの欠陥は存在しない。
フロントエンドサーバに適用するための修正プログラムが用意されているので適用すればよい。また、回避策に記載されている方法で回避できる。
CVE: CAN-2003-0904。
KB: 832759。
H.323 プロトコルを実装した各社のプロダクトのいくつかに欠陥。
元ネタ: NISCC Vulnerability Advisory 006489 (uniras.gov.uk)。
現在明らかになっている欠陥ありものとしては:
CVE: CAN-2003-0819。
CERT/CC Vulnerability Note:
VU#749342
関連:
2004.01.26 追記:
H.323 Vulnerability (checkpoint.com)。FireWall-1 で H.323 している場合は、hotfix を適用しよう。
Helix Universal Server / Gateway 9、Helix Mobile Server / Gateway 10
に欠陥。RealNetworks Administration System plug-in に欠陥があり、特定の
HTTP POST メッセージによる DoS
攻撃を受ける。ただしこの攻撃を行うには、当該サーバへの管理者ログインが必要。
なので、ふつうの状況では問題にならないのかな。
この欠陥を修正した plug-in が用意されているので入れかえればよい。
英語版: Potential Server/Proxy Denial-of-Service Vulnerability (real.com)
2004.03.02 追記:
Helix Server / Gateway の潜在的な脆弱性 - 更新版 (real.com)。
Helix Universal Server / Gateway 9 のアップデート版が登場。
- ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題
池田さんから情報をいただきました (ありがとうございます)。
- Norton AntiVirus 2003 で 2004 年 1 月 7 日付のウイルス定義ファイルを更新後、コンピュータの動作が不安定になった
ルート証明書を更新すると追加されるもの、2004/01/08 で有効期間が切れるルート証明書に関する記述を追記。
関連記事:
もしかして、これって日本語版固有の現象だったりします?
……そうではないようだ:
あと、シマンテックの推奨対応策が「[発行元証明書の取り消しを確認する] のチェックを外す」に変更されています:
Windows Update 時のエラー番号と、その対応方法との間の対応表。波間さん情報ありがとうございます。
以下は個人的に興味深かった点:
来週の水曜日 (2004.01.14) は Windows Update の日です。備えましょう。
ネットニュースサーバ INN 2.4.0 に欠陥。コントロールメッセージを処理するコードに buffer overflow 穴があり、remote から INN 動作権限で任意のコードを実行可能。
INN 2.3.x 以前にはこの欠陥はない。INN 2.4.1 で修正されている。advisory には INN 2.4.0 用の patch が添付されている。
》
ウインドウズセキュリティホールの詳細 (NAI)
というページがあるんですね。
》
McAfee Support Information [2004/01/08]
によると、
NAI VirusScan の新スキャンエンジン 4320 が正式にリリースされたそうです。
今のところは Engine Only SuperDAT のみ、かつ英語版のみだそうで。
2004.02.04 以降、ふつうの SuperDAT にも含まれるそうです。
■4320 Engine新機能
-Microsoft Office 2003 XML ドキュメントのサポート
-RAR フォーマットへの対応の改善
-最新の ZIP ファイルフォーマットへの対応
-破損ZIPファイルへの対応の改善
》
インターネット事件簿
第3回:京都府警がWinnyに叩きつけた挑戦状
—「われわれはすべてを解き明かした」
(Internet Watch)。
「Winnyの作者は、某有名国立大学の助手を務めている人物です。学内での立場もあり、今回の事件で家宅捜索を受けたことで開発をこれ以上進めるのは無理なのではないでしょうか」
》
アメリカによる世界経済支配の終焉 (tanakanews.com)。
》
お代官様、あんまりだ。 (真紀奈17歳さん)。
第6回知的財産戦略本部議事録 (首相官邸) より引用:
○中山本部員
(中略)
私個人の意見が封じられるなら大した問題にないのですけれども、実は多くの弁護士や裁判官や研究者等々の、知財の専門家に対して議論をする場、あるいは議論をする時間が全く与えられていないということが最大の問題だと考えております。
今、行われているような世界に例を見ないような大きな知財改革を行うに際しまして、これほど短い時間で行うという例も私は知りません。 例えばアメリカにおきましては、数年をかけて、各界の議論を基にして、特許裁判所は弊害が大きいということで、特許裁判所に代わってCAFCをつくったという経緯がございます。
(中略)
仮に今の改革ができたといたしましても、現実に裁判等々を運営していく知財の専門家から、これほどまでの怨嗟の的になっていて、果たして実効性のある改革ができるかという点を私は非常に危惧しております。
小泉改革の真髄、ってやつですかね。
公明党も強力にバックアップしてくださっているし。
》
OpenSourceSM4: これでいいのかインターネット〜spamとプライバシーの観点から〜。2004.02.07 14:00-18:00、名古屋市中区 (鶴舞)、一般 1,500 円。
渥美さん情報ありがとうございます。
表題のとおり。現象としては、アイコン上で右クリックした場合の右クリックメニューの表示や、Microsoft
Office の動作が遅くなったりするそうだ。
原因不明なれど、いくつかの操作で改善されることがあるそうです。
- IE のインターネットオプション → [詳細設定] で
[サーバー証明書の取り消しを確認する] のチェックを外し、再起動
- Microsoft Office を最新版にアップデートする
- Office プラグインを無効にする
- システムの日付を 1 週間前に戻す
うーむ。もしかして、CA証明書を更新したJDK1.4.2_03リリース
や
[memo:6762] 中間CA局証明書の期限切れ
が関連だったりするんだろうか。
手元のテスト用 Windows 2000 SP4 + Norton AntiVirus 2003 + 2004/01/07 data ではべつに問題ないみたいです。このテスト環境 (VMware) には Microsoft Office は入っていないから助かっているのかなあ。よくわからん……って、私にすぐわかるようなら、シマンテックがとっくに解決しているのだろうなあ。
みゃーさん、小山田さん情報ありがとうございます。「晴れ姿」にも期待しております > みゃーさん。
2004.01.08 追記:
i_to_shi さんから情報をいただきました (ありがとうございます):
この件ですが、おそらくベリサインの中間CA局証明書の期限切れが原因です。
http://www.verisign.co.jp/server/cus/rootcert/gsid_intermediate.html
プログラムの中にベリサインのデジタル署名を使用しているものが含まれているのだと思います。
社内で発生している環境と発生しない環境があり(私はOffice付でも大丈夫でした)、
違いを調べていると、どうもルート証明書の更新が関係しているようでした。
OSが持っている証明書の期限が切れてしまい、デジタル署名自体がダメになり、
プログラムがダメダメに…
影響を受けていたマシンでルート証明書の更新し再起動したところ直りました。
WindowsUpdateの「インストールする更新の選択」のOS名のところにルート証明書の更新があります。
「重要な更新」に入っていないので、ルート証明書を更新していない人は多いのではないでしょうか。
実は全然違うのかもしれませんが、問題が起きたときとベリサインの期限切れのタイミングが一致するので、ビンゴだと思っています。
シマンテックにも伝えているので、今は検証中だと思います。
ダメモトでも、時間を変更するよりははるかにマシな手だと思うので、
「WindowsUpdateでルート証明書を更新してください」
と一行載せてくれるといいのですが…
ルート証明書を更新したとことで、他のプログラムに影響が出るとも思えないですし。
#なぜベリサインを疑ったのかというと、期限切れの影響で午前中ずーっと対応に
#追われておりました…
ルート証明書を更新しても、IE に付属するベリサイン中間 CA 局証明書自身は更新されないようです。でもそれでうまくいった例がある、ということは、……やっぱり謎。
…… Windows 2000 SP4 + Norton AntiVirus 2003 な環境の
ルート証明書を見ていたのですが、「Symantec Root CA」というもの (有効期限
2011/05/01) が入っているんですね。
2004.01.09 追記:
ルート証明書を更新すると、VeriSign 関係では以下のものが追加されるように見えます:
![[インターネットオプション - コンテンツ - 証明書 の画面]](/%7Ekjm/security/memo/2004/0109-rootCA-changed.png)
2004/01/08 で有効期間が切れているルート証明書もいくつかありますね:
![[インターネットオプション - コンテンツ - 証明書 の画面]](/%7Ekjm/security/memo/2004/0109-rootCA-expired.png)
関連記事:
もしかして、これって日本語版固有の現象だったりします?
……そうではないようだ:
あと、シマンテックの推奨対応策が「[発行元証明書の取り消しを確認する] のチェックを外す」に変更されています:
- Linux kernel do_mremap local privilege escalation vulnerability
Fedora fix では RTC 問題の修正は含まれていなかった。
RTC 問題はさらに新しいパッケージ 2.4.22-1.2140.nptl
で修正されている。
Linux Kernel do_mremap Improved Test。
Red Hat Linux 7.1〜8 用 package があるのは「特別に」でなく、2003.12.31 以前に用意されていたからだった: 板垣さん感謝。
- 欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
関連記事:
ISDAS
を見ると、ICMP ECHO および 135/tcp が大幅に減少しています。
一方、年末年始におけるワームの活動状況について(01/06)
(@police) では ICMP ECHO は減っているが 135/tcp は微増だとしています。
これについて、いぬいさんから以下の指摘をいただきました (ありがとうございます):
ご指摘のとおり、135/tcpの検知件数について、
@policeとJPCERTの数字の傾向が一致していないようです。
この理由について、少し考察してみましたので、
参考にしていただければ幸いです。
Nachiの感染動作は、(ご存知とは思いますが)
ICMP ECHO REQUESTに応答するIPアドレスに対して、
135/tcpでのアクセスにいくとのことですので、
ICMP ECHO REQUESTに応答するかどうかで、
その後の135/tcpにアクセスがくるかどうかが
変わってくるのではないでしょうか。
@policeの定点観測のページを見てみると、
元々ICMPの検知件数に比して、
135/tcpの検知件数が桁が1つ違うほど少ないようです。
逆にJPCERTの定点観測の数字を見ると、
ICMPに比して135/tcpが若干少ないですが、
桁が違うという差ではないようです。
この状況から、
@policeの観測機器は、ICMP ECHO REQUESTにECHO REPLYを返さない、
JPCERTの観測機器は、ICMP ECHO REQUSTにECHO REPLYを返す、
と設定されている推測しています。
どちらも観測機器の設定の詳細を公開していないので、
正解かどうかはわかりませんが、
割と合理的な説明になっているかなと思います。
手元では ICMP ECHO REPLY を返しているので JPCERT/CC の結果と符合する、と。
なるほど……。
……JPCERT/CC の山賀さんに確認情報をいただきました (ありがとうございます)。
上記で正しいそうです (警察庁さん了解済)。
Linux カーネル 2.2 / 2.4 / 2.6 系全てに欠陥。mremap(2)
の境界チェックに欠陥があり、長さ 0 の異常な仮想記憶領域を作成することができてしまう。
これを利用すると、local user が root 権限を奪取することが可能となる。
Linux カーネル 2.4.24 / 2.6.1-rc2 で修正されている。また各ディストリビュータから修正パッケージが登場し {ている|しつつある} ので入れかえればよい。
CAN-2003-0984
の欠陥もあわせて修正されているようですね。
関連情報:
fix / patch:
Changelog:
- 2004.01.07
Linux カーネル 2.2 にはこの欠陥はない話。
[SECURITY] [DSA 413-1] New Linux 2.4.18 packages fix locate root exploit
。
- 2004.01.08
Fedora では RTC 問題の修正は含まれていなかった。
RTC 問題は 2.4.22-1.2140.nptl
で修正されている。
Linux Kernel do_mremap Improved Test。
Red Hat Linux 7.1〜8 用 package があるのは「特別に」でなく、2003.12.31 以前に用意されていたからだった: 板垣さん感謝。
- 2004.01.16
[ 2004,01,11 ] kernel にセキュリティホール
- CA証明書を更新したJDK1.4.2_03リリース
Oracle 製品にも同じ問題があったようです。三月兎さん情報ありがとうございます。
ACCS運営ホームページのセキュリティ問題について(2003/11/11)
の話なのだけど、とりあえずの話として、
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (asahi.com)
と、たとえば 朝日新聞オンライン記事データベース「聞蔵(きくぞう)DNA for Libraries」
で検索すると出てくる
- 個人情報守れぬサイト 危険性指摘の研究員が 1200 人分引き出す
- 研究員のサイト侵入 警鐘逸脱し過激化 「手直し迫ろうと騒ぎ」
とを読み比べると、かなり心証が違うわけで。
『研究員のサイト侵入 警鐘逸脱し過激化 「手直し迫ろうと騒ぎ」』にある解説部分
○事業者の安全策不十分
《解説》身近なインターネットサイトにも個人情報流出の危険性が残る背景には、サイトの安全性を評価する仕組みが不十分であることと、対策の必要性について意識の低いサイト運営者やサーバー提供事業者が少なくないことがある。
今回、個人情報を引き出した研究員は、様々なサイトの「欠陥」を匿名で指摘したが、多くは無視され、対策がとられてもその経過が利用者に公表されなかったという。
サイト運営者やサーバー提供事業者側からすれば、匿名で指摘されても返答や対応をしづらい面がある。相手にサイトに侵入する意図があるかもしれず、メールを返信するとかえって侵入方法のヒントを与えかねないからだ。
専門家からは、企業や団体のサイトの安全性を調査、公表する仕組みを求める声が出ている。経済産業省の外郭団体・情報処理振興事業協会は、外部から寄せられる欠陥情報をどのように扱うかを検討している。
一方、日本では第三者に指摘されないとサイト運営者やサーバー提供事業者が欠陥を改善しない傾向が続いてきた。
02年5月、エステティックサロン大手のサイトから約3万8千人分の個人情報が流出した。公開の情報と同じ場所に、非公開にすべき情報が保存されていた初歩的な欠陥だった。
これ以降、同じ種類の欠陥を持つサイトが外部の第三者によって次々と、ネット上の匿名掲示板で暴露された。今ではこの欠陥を持つサイトは大幅に減ったとされる。
経済産業省はサイトの安全性について専門家の検査を受けるようサイト運営者に呼びかけているが、浸透していないのが実情だ。
ネット問題に詳しい牧野二郎弁護士は「個人情報保護が社会問題となるなか、サイト運営者やサーバー提供事業者が十分な安全対策をとらず漫然と放置することは、犯罪的行為とも言える」と話している。
がざっくり抜けている
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (asahi.com)
は「office ゴラァ」で終ってしまい、バランスに欠ける記事になってしまっていると思うのだが。
関連: Tea Room for Conference No.1642。
2004.01.06 追記:
被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」(2004.1.6)
(netsecurity.ne.jp)。
筆者がこの事件で一番気になるのは、個人が特定のインターネットサイトの安全性の確認を行うことを抑圧する方向に「不正アクセス禁止法」が運用されようとしているのではないかという点である。
2004.01.07 追記:
from Motoyuki's Diary 2004/1/6(Tue) :
当該カンファレンスに出席した (と思われる) 小島さんの セキュリティホール memoや office 氏の掲示板に出入りしている人の論調を読んで非常に気になった点。
* 「新聞の意図」なるものの分析に興味があるらしい。
* 「office 氏ゴラァ」で終わる記事ではバランスに欠けるらしい。なぜ?
* 多数が見ている場所で入手した個人情報を公開する必要があったのかという話題にはあまり触れたくないように見える。
以下、ポイント毎に書いておく。
2 か月も前にすでに知っていたのだから「なぜ今頃になって?」
と思うし、その疑問が「何の意図をもって?」に変化するのは
1 秒で十分。少なくとも私にとってはそうだった。
単に一個人をバッシングすれば世の中の危険な CGI がなくなるわけではないし、危険な CGI を稼働させているサイトの個人情報がきちんと保護されるようになるわけでもない。
言わすもがなのことをわざわざ記述しないと「あまり触れたくないように見える」わけですか。なんだかなあ。
office 氏の行為という観点ではポイントは 4 つある。
- ACCS サイトの CGI から個人情報を引き出してしまった点。
- ACCS サイトの CGI から個人情報を引き出す際の手法の点。(不正アクセス禁止法に抵触するか否か、など)
- ACCS サイトの CGI から個人情報を引き出す際の手法を 0-day で公開してしまった点。
- ACCS サイトの CGI から個人情報を引き出す際の手法を公開する際に、取得した個人情報の一部を、モザイクや墨塗りなしにそのまま示してしまった点。
多くの人が指摘しているように、少なくとも 4. は避けるべき行為。
3. も誉められたものではない。
1. については「CGI のソースが読めた段階で通報する」が考えられるが、ではそれで相手に話が通じるのか、というと、なかなか難しいのも現実だろう。
もちろん、そもそもそういうことを行うべきかという話はあり、これの政治的に正しい答えは「よいこは真似しない」だろう。
2. については、実際に裁判をしてみないとわからないし、裁判官依存でもあるだろう。
現時点 (2004/01/07 1:00 AM) で office 氏のサイト (www.office.ac) 上に「ACCS のユーザ様 (中略) への謝罪」と題した文書が掲載されているが、 office 氏自身が個人情報が含まれる資料を多数のカンファレンス参加者 (asahi.com によれば約 300 人) に向けて公開した点、さらに発表資料 (Microsoft PowerPoint らしい) を参加者にコピーして配布した点については一切触れられていない。
「office 氏自身が個人情報が含まれる資料を多数のカンファレンス参加者 (asahi.com によれば約 300 人) に向けて公開した」というのは、多分、
A.D.2003 会場内に主催者が設置したサーバに置かれていた、ということなのだろうが、私自身はその時点でそこにあったのかどうかは確認していない。
もしそのような状況にあったのなら、主催者から何らかのアナウンスがされてしかるべきだろう。私の知る限り、主催者からはそのようなアナウンスはされていない。
「発表資料 (Microsoft PowerPoint らしい) を参加者にコピーして配布した」
という行為は、それが紙媒体を意味するのであれば、私の知る限り行われていなかった。
2004.01.08 追記:
関連記事:
2004.01.23 追記:
2004.01.10 に UNYUN さんから A.D.2003 参加者に対して「AD2003に参加された方へのACCSの件の状況説明とお願い」というメールが送られていますね。そういうことだったのですか……。
関連だと思いますが、Shadow Penguin Security が 2004.01.18 付で「一般公開を全て休止」されています。
ASKACC
に「事故調査委員会」からの「調査報告書」が 2004.01.22 付で掲載されています。ACCS はきっちりした対応と随時の情報公開をしているように見え、好感が持てます。
一方のファーストサーバ (「レンタルサーバー会社」) の動向については、ファースト鯖スレ
(2ch.net) くらいでしか一般にはわからないですね。
直接の顧客に対してはいろいろやっていらっしゃるようですが……。
2004.01.30 追記:
プレゼン資料の流出が発生した模様:
2004.02.04 追記:
不正アクセス:
個人データ引き出す 京大の研究員を逮捕
(毎日)。ついに来てしまいましたね……。
河合容疑者は盗んだデータをイベントで公表していた。
データ全部、と取られかねない書かれ方だなあ……。公開したのはごく一部 (4 人分) なのだが……。だからって ok という話ではないが、しかしなあ……。
不正アクセス行為禁止法違反と威力業務妨害の容疑で逮捕した。
(中略)
同月8日に渋谷区内で開かれたイベントでこのデータを公開したうえ、情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。
えぇっ?!
「メールで協会に知らせ」ると「威力業務妨害」の「疑い」で逮捕されるのなら、もはや誰も何も知らせたりはしなくなるでしょうね。そして欠陥だけが残り black hat の天下、と。メールの内容とか、そこに至るまでのプロセスにもよるのでしょうが、しかしなあ……。
河合容疑者は、掲示板サイトなどで一般的に使われているプログラム「CGIプログラム」の一部を書き換えて、
CGI それ自身を書き換えたわけではないのだが……。
関連:
2004.02.05 追記:
ネット界も困惑? ACCS不正アクセス事件
(毎日)
善意のぜい弱性の指摘が萎縮するのを問題と見るネット関係者もいる。こうしたなか、経済産業省は情報処理推進機構(IPA)に委託し、ぜい弱性対策の研究を始めた。ぜい弱性を発見したらどこに届け出て、不正アクセス禁止法に抵触せず、ぜい弱性の指摘をするにはどうしたよいのかなどについての基準作りを行うものだ。年度内にも結論が出ることが期待される。
期待しています > IPA。
「不正アクセスではない」 研究員逮捕で京都大が会見
(山形新聞:FLASH24)
著作権協サイト、別の2人も京大研究員と同手法で侵入か
(asahi.com)
不正侵入の疑いが持たれている2人は、閉鎖の前にサイトに入ったとみられる。侵入経路の特定を防ぐためか、国内から、アメリカやポーランド、リトアニアにあるサーバーを経由して接続していたという
すると
ASKACCSユーザーの皆様へ
(2004.1.22)
にある
・ASKACCSのサーバーに記録が残っていた平成15年10月6日以降のアクセスログを解析した結果、合計4回、外部から相談者の個人情報にアクセスされた形跡が認められた。情報提供者に確認したところ、これら4回のアクセスは、いずれも情報提供者自身によるものとの回答がなされた。なお、アクセスログの情報によれば、これらのアクセスは、いずれも同一の種類の回線、OS、ブラウザを利用したものであるため、同一人物によるアクセスの可能性が高く、情報提供者の回答に合致している。
・上記4回以外に、外部から個人情報を取得されたことを示すアクセスログは認められなかった。
は間違いだった?
不正アクセス、他にも数人が侵入か (TBS NEWSi)。
河合容疑者は、侵入の手口を東京・渋谷で行われたイベントで 参加者に公表していましたが、その後、同じような手口で著作権協会のサイトが 7件の不正アクセスを 受けていたことが わかりました。これらのアクセスは、千葉県や静岡県からのものと、 海外のサーバーを 経由したものでした。
声明 officeこと、河合一穂の逮捕にあたって (ヨセフアンドレオン)
2004.02.06 追記:
2004.02.09 追記:
2004.02.10 追記:
- CGIの欠陥突き情報引き出した京大研究員逮捕 警視庁
(IT/IP law blog)
ちなみに米国では、ほとんどの州で"unauthorized access to a computer that results in damage"を違法としており、連邦法レベルでは、18 U.S.C. Section 1030が一定のコンピュータへのaccess without authorizationを禁じている。後者では、私人のコンピュータについては、有価値物で5000ドル(1年内の合計額)を超えるvalueのものを取得する場合に限って禁じている。したがって、情報を取得しない場合には、処罰の対象とならない(18 U.S.C. Section 1030(a)(4))。顧客情報の取得が目的とされれば処罰される可能性はあるが、単に脆弱性を指摘する目的であって情報を取得しないのであれば(私人のPCに対する場合など一定の場合に限るが)処罰されないことになる。
- 2004-02-04 (Wed) Free Office (deadman — 今日死んだひと)
- やまのあなたのそらとおく
2004.02.12 追記:
2004.02.13 追記:
2004.02.24 追記:
2004.03.04 追記:
ACCS は、調査報告書 (ASKACCS)
にある
本件の技術的な原因は、ASKACCS で採用していたCGIプログラムの脆弱性にあるが、本質的には、(1)ACCSが、当該CGIプログラムの採用にあたって、十分なセキュリティ等のチェックを行っていなかったこと、(2)必要以上に個人情報を取得したことが原因である。
をどのように受けとめた上で損害賠償訴訟を開始したのだろう。
それはそれ、これはこれ、なのだろうか。
ntoskrnl.exe を含む修正プログラムをインストール後に、ハイパースレッディングの設定を変更した場合には、ntoskrnl.exe を含む修正プログラムのアンインストールを行なわないで下さい。
……なんだかなあ……なんちゅう OS だ……。
2004.01.10 追記:
池田さんから情報をいただきました (ありがとうございます)。
「ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題 」についてはある程度、理由は推測できます。ハイパースレッディングの実装が、ソフトウェアから見ると、マルチプロセッサに見える以上、ハイパースレッディングを有効にした段階で、マルチプロセッサカーネルがインストールされているはずです。
で、それを念頭において、現象の文章を見ると、
ハイパースレッディングを OFF に設定した状態で、ntoskrnl.exe を含む修正プログラムをシステムにインストール後、 ハイパースレッディングの設定を ON
に変更し、ntoskrnl.exe を含む修正プログラムをアンインストールした場合、オペレーティングシステムが起動できなくなる現象が発生することがあります。
修正プログラムの前後で、ハイパースレッディングのON/OFFを切り替えているので、カーネルはマルチプロセッサ・シングルプロセッサで行き来していることがわかります。こいつは、本来、カーネル自体を再構築しなければ、いけないくらい大きなインパクトを与えるはずです。
おそらく、その前後で、インストールされるファイルに不整合が発生するのでしょう。多分、マルチプロセッサ構成にしなければならないところに、シングルのを持ち込んだりするのでしょう。
次から次へときますねぇ……。
関連記事: IEに2種類の新たなセキュリティ・ホールが見つかる
(日経 IT Pro)。日経 IT Pro 勝村氏による解説記事。
■
いろいろ
(various)
- IEにURLを偽装できるパッチ未公開の脆弱性が発見される
NAI VirusScan の
ウィルス定義ファイル 4311 以降で、この欠陥に対応されている。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif)
私について
