セキュリティホール memo - 2004.04

Last modified: Tue Apr 4 12:39:01 2006 +0900 (JST)


2004.04.30

追記

Squid Proxy Cache Security Update Advisory SQUID-2004:1
Linux kernel setsockopt MCAST_MSFILTER integer overflow

 Vine Linux: [ 2004,04,23 ] kernel にセキュリティホール

2004-04-14: Stable CVS Version 1.11.15 Released! (security update)

 Miracle Linux: 2004/4/23 CVS clientの脆弱性

[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities
(Red Hat, Fri, 30 Apr 2004 16:23:00 +0900)

 UNIX 版 LHa 1.14i に 2 つの欠陥。

 発見者による文書: [Full-Disclosure] LHa buffer overflows and directory traversal problems。 修正 patch とサンプル exploit が添付されている。 PoC コードも登場: [Full-Disclosure] Lha local stack overflow Proof Of Concept Code

 また、この欠陥は LHa だけでなく、WinZip、WinRar、McAfee plugin for CommuniGate Pro にもあるようだ: [Full-Disclosure] LHa repercussions: WinZip, WinRar, CommuniGate Pro McAfee plugin, blog

fix / patch:

 この一方で、さらなる buffer overflow の指摘が。 コマンド行引数で buffer overflow する模様。 patch が提案されている

835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム (副作用情報)
(Microsoft, 2004.04.28)

 Microsoft から MS04-011 の副作用情報が出ました。

 Microsoft は何も言ってないようですが、こういうものもあるようで:

 windows updateしたときに上げるスレ 13 (2ch.net) や Windows Update失敗したらageるスレ 5 (2ch.net) では「サウンドが鳴らなくなった」という事例も複数報告されているようですが、 本 KB (835732) にはそういった情報は (まだ?) ないですね。

2004.05.03 追記:

 関連情報:

2004.05.06 追記:

 PRIMERGY TX200FT > TX200FTのお知らせ > 留意事項 (富士通)

IAサーバPRIMERGY TX200FTに MS04-011:Microsoft Windows のセキュリティ修正プログラム (835732) を適用する際には、事前にダウンロード検索から下記の緊急修正プログラムをダウンロードし適用してください。

 MS04-011 をそのまま入れるとマズい模様。

2004.05.14 追記:

 Oracle に関する情報が出ました:

 一方、問題が解消する環境もあるようで:

 トレンドマイクロの ServerProtect for NetAPP では、アンインストールできなくなる不具合が:

2004.05.24 追記:

 某所で偉いひとに聞いてみたところ、MS04-011 の副作用の件については、サポートに連絡すれば無料で patch を得られるようです。本当によかった (ポリアンナ)。

 こんな話もあるそうです: 841632 - IIS 5.0 を実行するコンピュータに MS04-011 をインストール後、クライアント証明書でエラーが発生する (Microsoft)。IIS にもちゃんと patch をあてましょう。

2004.05.26 追記:

 さらなる障害情報:


2004.04.28

[rsync-announce] Rsync 2.6.1 released (includes security note)
(samba.org, Tue Apr 27 14:01:56 JST 2004)

 rsync 2.6.0 (それ以前も?) に欠陥。 chroot しない状態で read/write 可能な rsync daemon を動作させている場合、 remote の攻撃者が rsync daemon の動作権限で任意のファイルを上書きできてしまう……ということかなあ。 NEWS for rsync 2.6.1 (26 Apr 2004) (samba.org) によると Paths sent to an rsync daemon are more thoroughly sanitized when chroot is not used だそうなので、path の sanitize の仕方に問題があった模様。

 rsync 2.6.1 で修正されているそうだ。 CVE: CVE-2004-0426

fix / patch:

2004.04.27

追記

LD-WBBR/B のセキュリティ問題について

 fix が出たようです: 弊社ブロードバンドルータに関する重要なお知らせ (ELECOM)。 LD-BBR/B用 ファームウェア (ELECOM) によると:

Ver2.13
  • Telnetポートを無効にしました。
  • 当社メンテナンス用に設けていた管理用アカウント/CGIを削除しました。
  • WAN側からのファームアップを禁止しました。
  • ファームアップの際にパスワードが必要になりました。
  • ファームウェアファイルにスクランブルをかけました。

 まあ直ったのはなによりなのでしょうが、「当社メンテナンス用に設けていた管理用アカウント/CGI」ですか……。いやはや。

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)

 関連情報:

 まだあてていない人、いそいで patch をあてましょう。


2004.04.26

追記

Symantec Client Firewall Denial of Service Vulnerability

 Symantec Norton Internet Security 2003/2004の脆弱性に関するお知らせ (富士通)。 FMV にプリインストールされているのだそうで。

 発見者による情報: EEYE: Symantec Multiple Firewall TCP Options Denial of Service

TCP プロトコルに潜在する信頼性の問題
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)

 「PCT の脆弱性」関連アドバイザリ:

 exloit 続々:


2004.04.24


2004.04.23


2004.04.22

追記

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)

 PCT の脆弱性 (CVE-2003-0719, Microsoft SSL ライブラリにおけるリモートセキュリティ侵害の脆弱点) を突く exploit が登場したようです。 日本語版 Windows 2000 SP4 上での検証報告があります [Snort-users-jp:00933]。また、この exploit が発生させるパケットを検知する snort シグネチャが公開されています [Snort-users-jp:00931]

New OpenSSL releases fix denial of service attacks [17 March 2004]
TCP プロトコルに潜在する信頼性の問題

 draft-ietf-tcpm-tcpsecure-00.txt: Transmission Control Protocol security considerations (IETF) に TCP の改善方法が記載されている件を追記。TCP 上で動作するセキュリティプロトコル (SSL、SSH、……) はこの問題の影響を受けてしまう話を追記。 TCP ストリーム → TCP セッション (表記の統一)。

 以下の追加:


2004.04.21

いろいろ
(various)

Linux kernel setsockopt MCAST_MSFILTER integer overflow
(bugtraq, Tue, 20 Apr 2004 20:30:14 +0900)

 Linux kernel 2.4.22〜2.4.25、2.6.1〜2.6.3 に欠陥。 setsockopt() のサブルーチン ip_setsockopt() に、MCAST_MSFILTER ソケットオプションを設定した場合に integer overflow する欠陥がある。 これを利用すると、local user が DoS 攻撃を実施したり root 権限を得たりできる。 DoS 状態を発生させるというコード: [Full-Disclosure] Linux kernel setsockopt MCAST_MSFILTER integer overflow proof of concept code

 Linux kernel 2.4.26 / 2.6.4 で修正されている。

 CVE: CVE-2004-0424

fix / patch:

追記

Linuxカーネルに複数の脆弱性

 Vine Linux: [ 2004,04,21 ] kernel にセキュリティホール

2004-04-14: Stable CVS Version 1.11.15 Released! (security update)

 Vine Linux: [ 2004,04,21 ] cvs にセキュリティホール

Symantec Client Firewall Denial of Service Vulnerability
(Symantec, 2004.04.20)

 Symantec の NIS 2003 / 2004、Norton Personal Firewall 2003 / 2004、 Client Firewall 5.01 / 5.1.1、 Client Security 1.0 に欠陥。DoS 攻撃を受ける。 CVE: CVE-2004-0375

 対応としては、NIS 2003 / 2004、Norton Personal Firewall 2003 / 200 は LiveUpdate を実行、Symantec Client Firewall と Symantec Client Security はサポートから提供される patch を適用する。 ……と英語版 advisory には書かれているのだが、日本語版でも既に fix package が入手できるのだろうか。

 ……日本語版: SYM04-007: Symantec Client Firewall にサービス拒否の脆弱性 (シマンテック)。LiveUpdate を実行、でいいのかな。 Symantec Client Firewall と Symantec Client Security という製品は英語版のみのようです。

 みみさん、そうださん情報ありがとうございます。

2004.04.26 追記:

 Symantec Norton Internet Security 2003/2004の脆弱性に関するお知らせ (富士通)。 FMV にプリインストールされているのだそうで。

 発見者による情報: EEYE: Symantec Multiple Firewall TCP Options Denial of Service

CISCO IOS における SNMP メッセージ処理の脆弱性
(JPCERT/CC, 2004.04.21)

 Cisco IOS 12.x の SNMP がヤバい模様。 ぜんぜん読めていないのですが、とりいそぎ。

TCP プロトコルに潜在する信頼性の問題
(JPCERT/CC, 2004.04.21)

 NISCC Vulnerability Advisory 236929: Vulnerability Issues in TCP (uniras.gov.uk) の話。 古来から知られている TCP リセット攻撃について、従来認識されていた「(2^32)/2 (= 2,147,483,648) 個のセグメントを作成する必要があり、それほど容易ではない」よりも容易に行える方法が発見された模様。 詳細は draft-ietf-tcpm-tcpsecure-00.txt: Transmission Control Protocol security considerations (IETF) を参照。この文書には、この問題を軽減するための TCP プロトコルの改善方法も掲載されている。

 この問題は、主に長時間に及ぶ TCP セッションに影響します。そのような TCP セッションを必要とするプロトコルの代表として、Border Gateway Protocol (BGP) が考えられます。

 BGP セッションは持続時間が長く、接続が切断された場合にはルーティングテーブルの再構築などが必要であるため、可用性の面からも影響の大きさが懸念されます。そのような問題を回避する方法として、BGP では TCP MD5 Signature Option を適用することもご検討ください。
(中略) 併せて、この問題を使用した攻撃を防ぐためにも、送信元 IP アドレスが詐称されているパケットをフィルタリングする事が推奨されています。送信元IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐためにも、このようなフィルタリングを設定することもお勧めします。

 「今週の一口メモ」の震源はこれか……。 ingress / egress filtering はぜひ実施しましょう。 RFC3013: インターネットサービスプロバイダにおけるセキュリティー業務および手順勧告 (しらはた氏訳) というのもあるそうで。

 TCP 上で動作するセキュリティプロトコル (SSL、SSH、……) はこの問題の影響を受けてしまうので注意する。 IPsec のように、TCP よりも下で動くものであれば影響を回避できる。

 同様にして TCP セッションへのデータ挿入が考えられるが、その実現可能性は TCP 実装におけるパケットの破棄・再構成のされ方に依存する。 この欠陥を利用した TCP セッションへのデータ挿入は実証されていないし、容易ではないと考えられている。

 関連:

 関連報道・記事:

Changelog:

2004.04.22

 draft-ietf-tcpm-tcpsecure-00.txt: Transmission Control Protocol security considerations (IETF) に TCP の改善方法が記載されている件を追記。TCP 上で動作するセキュリティプロトコル (SSL、SSH、……) はこの問題の影響を受けてしまう話を追記。 TCP ストリーム → TCP セッション (表記の統一)。

 以下の追加:

2004.04.26
2004.06.02
2005.04.20

2004.04.20

いろいろ
(various)

Access Support セキュリティ修正プログラム
(IBM, 2004.04.13)

 IBM の ThinkPad などにインストールされている Access Support に「セキュリティ上の問題」があり、「今すぐ上記セキュリティ修正プログラムをインストール」することが推奨されている。Access Support がプリインストールされている機種は:

 ただし、2004.02 以降の ThinkPad X40 には Access Support はプリインストールされていないという。また、プリインストールされていない機種で別途 Access Support をインストールした場合は、同様にセキュリティ修正プログラムをインストールする必要がある。

 松本さん情報ありがとうございます。

2004-04-14: Stable CVS Version 1.11.15 Released! (security update)
(cvshome.org, 2004.04.14)

 CVS 1.11.14 / 1.12.6 以前に欠陥。CVS におけるパスの扱いに欠陥があったようだ。

 1.11.15 / 1.12.7 で修正されている。2004-04-14: CVS Feature Version 1.12.7 Released! (security update)。 CVE: CVE-2004-0180 CVE-2004-0405

fix / patch:

追記

[memo:7530] 鶴亀メールにバッファオーバーランのセキュリティホール

 Tsuru-Kame Mail 3.50 for Windows Buffer Overflow Vulnerability (LAC)。


2004.04.19

Linuxカーネルに複数の脆弱性
(ITmedia, 2004.04.16)

 Linux カーネルに複数の欠陥が発見された。いずれも local user でないと利用できないが、root 権限を取得できるものもあるので要注意。

fix / patch:

追記

MP3のID3タグに潜むMac OS Xウイルスが見つかる

 関連記事: Mac OS X のトロージャン技術: 達人の手土産には注意せよ (TidBITS)。

Microsoft Jet データベースエンジンの脆弱性によりコードが実行される (837001) (MS04-014)
(Microsoft, 2004.04.14)

 Jet 4.0 に buffer overflow する欠陥があり、remote から任意のコードの実行が可能となる。Jet 4.0 は OS ばかりでなく、Microsoft Office や Visual Studio をはじめとする Microsoft 製アプリや 3rd party 製アプリに含まれることが多々あるので注意。欠陥を含む Jet 4.0 がインストールされているか否かを確認するには:

 MBSA でもチェックできるので活用されたい。

 欠陥のある Jet 4.0 がインストールされている場合は、修正プログラムを適用しよう。

 CVE: CVE-2004-0197

2004.05.12 追記:

 Windows XP gold (SP なし) 用の修正プログラムのローカライズが不完全だったそうで、新しい更新プログラムが登場している。 Windows XP SP1 用修正プログラムには、この問題はない。

Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
(Microsoft, 2004.04.14)

 Internet Explorer showHelp() Restriction Bypass Vulnerability の fix。CVE: CVE-2004-0380 の記述がすっきりしていていい感じ:

The MHTML protocol handler in Microsoft Outlook Express 5.5 SP2 through Outlook Express 6 SP1 allows remote attackers to bypass domain restrictions and execute arbitrary code, as demonstrated on Internet Explorer using script in a compiled help (CHM) file that references the InfoTech Storage (ITS) protocol handlers such as (1) ms-its, (2) ms-itss, (3) its, or (4) mk:@MSITStore, aka the "MHTML URL Processing Vulnerability."

 Outlook Express 5.5 SP2 / 6 / 6 SP1 用の修正プログラムがあるので適用しよう。 Windows 98/98SE/Me にも適用できる。 対応する Internet Explorer は:

Outlook Express Internet Explorer
5.5 SP2 5.01 SP4 (Windows 2000 SP4)
5.01 SP3 (Windows 2000 SP3)
5.5 SP2 (Windows Me)
6 6 (Windows XP 32bit gold)
6 SP1 6 SP1 (Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP
6 (Windows Server 2003) 6 (Windows Server 2003)
6 (Windows XP 64bit)

 ふつうの人は Internet Explorer 6 SP1 を使っているはずですよね。


2004.04.16

Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
(Microsoft, 2004.04.14)

 Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP / Server 2003 の RPC / DCOM 関連で 4 つの新たな欠陥。

 修正プログラムがあるので適用すればよい。 この修正プログラムは MS03-026 / MS03-039 を置きかえられるそうだ。

Subversion Neon Client Code Format String Vulnerabilities
(secunia, Fri, 16 Apr 2004 19:20:25 +0900)

 Subversion で利用されている neon HTTP / WebDAV クライアントライブラリの 0.24.4 以下に format バグがあり、 悪意ある WebDAV サーバへのアクセスにより任意のコードが実行される恐れがある模様。 neon 0.24.5 で修正されている。 CVE: CVE-2004-0179

fix / patch:

OpenOffice Neon Client Code Format String Vulnerabilities
(Secunia, Thu, 15 Apr 2004 22:53:29 +0900)

 OpenOffice.org で利用されている neon HTTP / WebDAV クライアントライブラリの 0.24.4 以下に format バグがあり、 悪意ある WebDAV サーバへのアクセスにより任意のコードが実行される恐れがある模様。 neon 0.24.5 で修正されている。 CVE: CVE-2004-0179

fix / patch:

古いハードディスクはきれいにして捨てよう
(日経 IT Pro, 2004.04.14)

 この記事にリンクが記載されているもの:

GNU GPL
  • Autoclave。1FD Linux 上で GNU shred を使って HDD を消去する、ようだ。 IDE HDD のみ対応っぽい。

    Autoclave は CD boot には対応していないようだが、CD boot させたいなら、たとえば KNOPPIX 上で GNU shred を使えばよいわけで。 text boot させればそれほど重くもないでしょう。

  • Eraser。 MS-DOS, Windows 9x / Me / 2000 / XP 対応。 IDE, SCSI, RAID 対応。HDD 全体消去だけでなく、Explorer ライクな GUI からファイルやディレクトリを消去したり、cookie や paging file を消去したりもできるようだ。詳細は Features 参照。

    boot drive も含めた、全ての HDD の消去については FAQ の「How do I Erase all hard drives on my PC?」 を参照。

機能限定の Free 版がある
商用

 この記事にはないもの:

GNU GPL
  • DBAN - Darik's Boot and Nuke。FD / CD-ROM boot でき、IDE と SCSI に対応しているそうです。ぼくちんさん情報ありがとうございます。

2004.05.17 追記:

 Eraser 5.7 に含まれている「全 HDD 消去ディスク」を試してみたところ、その中身は DBAN でした。手元の、処理が必要な機械 (NEC SV28D、FreeBSD 4.8 がインストールされている) で実行してみたところ、なぜかうまく起動しないようでした。うーむ。謎。 FreeBSD では問題ないのに。

 Active@ Kill Disk の場合は、FreeDOS + exe な disk がつくられました。こちらはうまく起動でき、消去処理もできたようです。free 版では「0 書き 1 回」しかできませんが、casual hack 対策であればこれでも十分でしょう。機密情報が書かれているような disk なら、もっと気合いを入れる必要があるでしょうが。

 ……なんだか、FreeSBIE な CD つくった方が早いような気がしてきました。 ……つくりました。 簡単でした。


2004.04.15

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
(Microsoft, 2004.04.14)

 Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP / Server 2003 に複数の欠陥。 この advisory では 14 個の欠陥が解説されている。

 修正プログラムがあるので適用すればよい。ただし、Windows 98 / 98 SE / Me 用の修正プログラムは「脅威度判定が緊急ではない」という理由で、公開されていないので注意されたい。 また、NetMeeting の「スタンドアロン版」用の修正プログラムは 個別の修正プログラム として用意されており、これは Windows 98 / 98 SE / Me にも対応している。 Windows 2000 / XP / Server 2003 に添付されている NetMeeting については、MS01-011 修正プログラムで修正されるが、「スタンドアロン版」はそうではないので注意されたい。「スタンドアロン版」の更新状況は MBSA でもチェックできないそうなので、なおのこと注意が必要だ。

 なお、よく寄せられる質問 にあるように、この修正プログラムを適用すると、次の機能上の変更が行われるそうだ。

この修正プログラムにより、‘.folder’のファイル拡張子で終わるファイルが、ディレクトリに関連付けられなくなります。‘.folder’のファイル拡張子で終わるファイルが、これらの脆弱性の影響を受けるオペレーティングシステムで今後もサポートされます。しかし、これらのファイルがエクスプローラおよび他のプログラムでディレクトリとして表示されなくなるように機能上の変更が追加されます。

 ふつうのファイルとして表示されるようになる、ということかな。

2004.04.22 追記:

 PCT の脆弱性 (CVE-2003-0719, Microsoft SSL ライブラリにおけるリモートセキュリティ侵害の脆弱点) を突く exploit が登場したようです。 日本語版 Windows 2000 SP4 上での検証報告があります [Snort-users-jp:00933]。また、この exploit が発生させるパケットを検知する snort シグネチャが公開されています [Snort-users-jp:00931]

2004.04.24 追記:

 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) の「PCT の脆弱性」の exploit が複数登場しています。

 これに対応して、PCT/SSL の悪用を試みるコードに関する情報 (Microsoft) というページが公開されています。まだ MS04-011 の適用ができていない場合は、IIS については 187498 - [IIS]PCT 1.0、SSL 2.0、SSL 3.0 を IIS 上で無効にする方法 (Microsoft) によって PCT 1.0 を無効にすることで、「PCT の脆弱性」については回避することが可能だそうです。「MS04-011 patch の適用」か「PCT 1.0 の無効化」のどちらかを早急に実行しましょう。

 なお、MS04-011 patch (835732) は windows updateしたときに上げるスレ 13 (2ch.net) や Windows Update失敗したらageるスレ 5 (2ch.net) で不具合に関する話題が出ているようなのでご注意ください。 手元の Windows 2000 SP4 では特に問題は出ていないようなのですが。 一部の 3rd party ドライバ (and/or BIOS) が刺さる感じ、なのかなあ。

 インターネット定点観測 (cyberpolice.go.jp) では、443/tcp の port scan データは明示されていないし、PCT 1.0 attack の数もわからないなあ。

2004.04.26 追記:

 「PCT の脆弱性」関連アドバイザリ:

 exloit 続々:

2004.04.27 追記:

 関連情報:

 まだあてていない人、いそいで patch をあてましょう。

2004.04.30 追記:

 835732 - [MS04-011] Microsoft Windows のセキュリティ修正プログラム。 副作用情報キター。

2004.05.02 追記:

 Sasser ワームについてのお知らせLSASS 穴 attack worm キター。Gaobot じゃないよ。

2004.05.07 追記:

 『「LSASS の脆弱性」の回避策』が更新された。新たに登場した回避策は:

%systemroot%\debug\dcpromo.log という名前のファイルを読み取り専用の属性で作成します。ファイルの作成には、次のコマンドを実行してください。

echo dcpromo > %systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

 なぜこれでいいのか。この欠陥に関する eEye の技術文書 Windows Local Security Authority Service Remote Buffer Overflow (eEye) にはこうある:

The buffer overflow bug is in a logging function which generates a string for the log file using vsprintf(). The name of the log file is "DCPROMO.LOG", and it is located in the Windows "debug" directory.

 dcpromo.log への書き込み処理において vsprintf() が buffer overflow するのだろう。そこで、そもそも dcpromo.log を write open できないようにしてしまえば……ということでいいのかな。


2004.04.14

Cisco Security Notice: Dictionary Attack on Cisco LEAP Vulnerability
(CISCO, 2004.04.04)

 CISCO の無線 LAN 認証プロトコル LEAP に対して辞書攻撃を行うことが可能だという話があるそうで。そのためのツールが公開されている。

 この問題は、新しいプロトコル EAP-FAST では修正されているそうだ。 というか、asleap 作者は EAP-FAST が完成するまで asleap は公開しないで、とお願いされた模様。

 で、http://asleap.sourceforge.net/ にアクセスすると、こんな記述がありますね:

I wrote asleap while researching weaknesses in the Cisco proprietary LEAP protocol after I discovered that LEAP uses a modified MS-CHAPv2 exchange to authenticate users. MS-CHAPv2 is very bad.

 関連:

追記

MP3のID3タグに潜むMac OS Xウイルスが見つかる

 Mac OS X 初のトロイの木馬??? − MP3Concept その後 (リンクとか備忘録とか日記とか)。 Mac OS Xウイルス対策ツールを無償提供 (ITmedia) なんて記事も出ているようですが、Life with MacOS X (SHIRO's pages) の「4/13 MP3Concept 対策」の方がよいと私も思います。1 回インストールすればよいわけですし。ありがたいことです。

 関連:

  • 『マックOS X』を狙った「トロイの木馬」情報でひと騒ぎ (WIRED NEWS)
    ウィスコンシン大学のシステムエンジニア、デイブ・シュレーダー氏は、「脅威があるかのような印象を与えているが、そんなことはない。これは、思いついたテクニックを実証するためにニュースグループに掲示された無害なものだ。野放し状態になっているわけではないし、野放し状態では感染を広めることができない。まったく問題ではない」と指摘した。
    「コンセプトウィルス」がこういう評価を受けるわけですか……。コンセプトで済んでいる間に根本的な対策をしておかないと、後でひどい目に合うと思うんですけどねえ。
  • MP3Concept (シマンテック)
  • MAC OS X MP3 TROJAN THREAT OVERHYPED (Sophos)

 少なくとも Apple からの official fix が出るまでは、「騒ぎ」はぜんぜん収まってないと思うのですけどねえ……。

Symantec Norton Internet Securityに任意のコードが実行できる脆弱性

 4/8 付で AntiSpam 2004 用 fix が登場していました: 2004年4月8日(木)よりSymantec Norton AntiSpam 2004 for Windows 修正パッチの LiveUpdate による配布を開始しました (シマンテック)。


2004.04.13

追記

Internet Explorer showHelp() Restriction Bypass Vulnerability

 ひきつづき悪用されているようです。


2004.04.12


2004.04.09

MP3のID3タグに潜むMac OS Xウイルスが見つかる
(ITmedia, 2004.04.09)

 この ITmedia 記事を読んでも Mac OS Xにもトロイの木馬の危険性、MP3を偽装する「MP3Concept」 (MYCOM PC WEB) を読んでも ntego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept (intego.com) を読んでも、何が起こっているのかよくわからなかった。 しかし More details on Trojan Horse for Mac OS X (MacNN) と、しろやまさんの [harden-mac:0632] Re: First Mac OS X Trojan Horse を読むと、どうやら、Mac OS X の「レガシー Mac OS 風味」な部分と「NeXT 以来の UNIX 的部分」との隙間をうまく縫った攻撃であるようだ。 (ごめん、いまだにきちんと理解できていない)

 対抗策だが、たとえばしろやまさんの [harden-mac:0632] Re: First Mac OS X Trojan Horse は、file の magic 部分をきちんと解釈しましょう、というように見える。

 しかし、intego の人達は、Apple にこの欠陥の存在を通知していたんだろうか。 どうも、そうには見えないのだが……。

2004.04.14 追記:

 Mac OS X 初のトロイの木馬??? − MP3Concept その後 (リンクとか備忘録とか日記とか)。 Mac OS Xウイルス対策ツールを無償提供 (ITmedia) なんて記事も出ているようですが、Life with MacOS X (SHIRO's pages) の「4/13 MP3Concept 対策」の方がよいと私も思います。1 回インストールすればよいわけですし。ありがたいことです。

 関連:

 少なくとも Apple からの official fix が出るまでは、「騒ぎ」はぜんぜん収まってないと思うのですけどねえ……。

2004.04.19 追記:

 関連記事: Mac OS X のトロージャン技術: 達人の手土産には注意せよ (TidBITS)。

追記

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について

 関連記事:

  • きゃぁ、恥ずかしいわ… (Lucrezia Borgia の Room Cantarella)

     偶然なのに「故意だろ!」とつっつかれるとか、悪意はないのに「悪意ありありだろ!」とつっつかれるとか、いう可能性は確かにありますね。 しかし、このフローを使う場合には、開発・運営側には IPA によってフィルタされた情報が届くようになりますから、発見者が直接報告する場合よりは冷静に受け止められるようになるのでは、と期待しています。

     これまでは、ちょっとした言葉使いがモトで話がこじれちゃったりすることが少なくなかったのでは、と思っています。そういうトラブルは少なくなってくれるかなあ、と。なってくれるといいなあ。

Internet Explorer showHelp() Restriction Bypass Vulnerability

 関連情報:

 SOggy さんから (ありがとうございます):

私もsquidのアクセスコントロールに追記をしようと、詳細を調べに関連ページとして紹介されている<http://www.kb.cert.org/vuls/id/323070>を見に行ったのですが、ページ中に次の記述があります(The Problemのところ)。

-----引用ここから-----
An attacker could exploit this vulnerability using a crafted HTML document containing script or an ActiveX object or possibly an IFRAME element. Due to the way IE determines the MIME type of a file referenced by a URL, an HTML document may not necessarily have the expected file name extension (.html or .htm). Likewise, a CHM file may not have the expected .chm extension.
-----引用ここまで-----

この文章と、斜め読みをした <http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp>のページを読むと、CHMファイルへのアクセスを禁止することは、まったく無効ではないでしょうが、攻撃者が別の拡張子に書き換えることが予想されるので、効果が薄いように思えます。

 確かに……。まあ、効果がないわけではないだろうということで。 「ms-its, its, mk プロトコルハンドラを無効にする」という回避方法は副作用が大きいですし、「他のブラウザを使う」は、特定のメールソフトを使っている人には通じないだろうし。


2004.04.08

穴いろいろ
(various)

ツールいろいろ
(various)

RealNetworks, Inc. がセキュリティ上の問題に対応するアップデートをリリース
(RealNetworks, 2004.04.06)

 Real Player 8, RealOne, RealOne v2 for Windows, RealPlayer 10 Beta, ReaPlayer Enterprise に欠陥。.R3T ファイルの処理に欠陥があり、stack overflow が発生。このため、この欠陥を悪用すると、悪意ある .R3T ファイルによって任意のコードを実行可能となる。

 回避するには、「Rich Text 3D」コンポーネントを削除すればよい。 対応するには、セキュリティアップデートを適用するか、RealPlayer 10 にアップグレードする。

 関連: REAL One Player R3T File Format Stack Overflow

[ GLSA 200404-07 ] ClamAV RAR Archive Remote Denial Of Service Vulnerability
(bugtraq, Thu, 08 Apr 2004 03:12:32 +0900)

 Clam AntiVirus 0.68 以下における RAR ファイルの扱いに欠陥。 Beagle.A の亜種によって生成されるものを含む、ある種の RAR ファイルによって Clam AntiVirus が crash してしまう。Clam AntiVirus 0.68.1 で修正されている。

 関連: announcing ClamAV 0.68-1 (comp.security.virus.clamav.announce)。 0.68 で直したつもりが直っていなかった模様。 でも ClamAV team は、0.6x よりも 0.70-rc にした方がいい、って書いていますね。 FreeBSD の ports/security/clamav は 0.70-rc になってます。

追記

Squid Proxy Cache Security Update Advisory SQUID-2004:1
[Full-Disclosure] R7-0017: TCPDUMP ISAKMP payload handling denial-of-service vulnerabilities
[memo:7530] 鶴亀メールにバッファオーバーランのセキュリティホール

 3.52 版にも別の欠陥があったそうで、3.53 版が登場している [memo:7536]

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について

 関連記事:

  • 脆弱性かな?と気付いたら (高木浩光@茨城県つくば市 の日記)

  • 受けつけりゃいいってもんじゃなくってよ? (Lucrezia Borgia の Room Cantarella, info from 極楽せきゅあ日記)

    ここもすごいわね。発見者の保護を「何もしない」っていっているのと同意よ?

     そう言っているのでしょう。したくても、日本の法令が、「発見者の保護」が可能になるようにはなっていない、ということなのでしょう。 「発見者の保護」が必要であるのなら、そのような法令に変えていく必要があるのでしょう。

    この時点で事実上「あらゆる(調査目的を含めた)アタックは違法」って言い切っているわ。どうやって「攻撃せずに脆弱性を発見する」ことが可能なのか、是非伺ってみたいものだわね。

     「特にWebの脆弱性に絞って考えた場合」、偶然発見してしまうような場合を除いては、やめておいたほうが無難ということなのでしょう。 local で同等のサイトを構築・実験できるようなら別でしょうが。

 個人的には、受けつけるようになっただけでも前進ではあると思っています。ねえ、office さん。

Cisco Security Advisory: A Default Username and Password in WLSE and HSE Devices
(CISCO, 2004.04.07)

 CISCO の Wireless LAN Solution Engine (WLSE) ソフトウェアバージョン 2.0, 2.0.2, 2.5 および Hosting Solution Engine (HSE) ソフトウェアバージョン 1.7, 1.7.1, 1.7.2, 1.7.3 に欠陥。 ハードコードされたユーザ名 / パスワードがあり、そのユーザ名 / パスワードを使うと、デバイスを完全に制御できてしまう。おまけに、ハードコードされているだけあって、ユーザ名 / パスワードを変更・消去する手段が塔載されていない。つまり、回避方法はない。

 対応するには、WLSE-2.x-CSCsa11583-K9.zip patch (WLSE 用)、あるいは HSE-1.7.x-CSCsa11584.zip patch (HSE 用) を適用する。

 日本語版出ました: Cisco Security Advisory: WLSE と HSE におけるデフォルトユーザネーム (CISCO)。


2004.04.07

「拡張子が『.pif』などの添付ファイルはフィルタリングすべき」——専門家
(日経 IT Pro, 2004.04.07)

 アンチウィルスソフトがウィルスの山に追いつけない時代ですしね……。

 しかし、たとえば「パスワードつき zip ファイル」をフィルタしてしまっていいのかどうか、といったあたりは微妙な気が。 「パスワードつき zip ファイル」は phishing にも利用されてきているようです: [Full-Disclosure] Another phishing attack。 一方で、いくつかのアンチウィルスソフト屋さんは、サンプル提出に「パスワードつき zip ファイル」を要求したりするんですよね。なので、止めちゃうとサンプルが提出できないという……。

 また、たとえば Windows XP では、変な拡張子でもコマンドプロンプトからならちゃんと実行されるんですよね。そういった事実を利用した攻撃が増えるかも。 参照: [port139:00848] 以下のスレッド。 (^.^) が実行ファイル名になり得るとは。 Windows XP 恐るべし。

いろいろ
(various)

Nullsoft Winamp 'in_mod.dll' Heap Overflow
(NGSSoftware, 2004.04.05)

 Winamp 2.91〜5.02 に欠陥。plug-in ファイル in_mod.dll における Fasttracker 2 ('.xm') ファイルの処理に欠陥があり、heap overflow が発生。 このため、悪意ある .xm ファイルを利用して任意のコードを実行可能となる。

 Winamp 5.03 で修正されている。 また、"Fasttracker 2" plug-in を無効化することにより回避できる。 Preferences で設定できるようだ。

 関連報道: メディア再生ソフト「Winamp」に任意のコードを実行可能な脆弱性 (Internet Watch)。

追記

Internet Explorer showHelp() Restriction Bypass Vulnerability

 RE: [Full-Disclosure] IE exploit going around on irc[Full-Disclosure] IE exploit going around on irc で示された攻撃は、MS03-032 の「オブジェクトタグの脆弱性」と今回の欠陥とを組みあわせたものだ、という解説。

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について

 関連報道:


2004.04.06

Internet Explorer showHelp() Restriction Bypass Vulnerability
(secunia.com, 2004-03-29)

 CHM ファイル (圧縮 HTML ヘルプファイル) のハンドラに 2 つの欠陥。

 この欠陥を利用した攻撃が実際に行われている模様: Fw: new IE vurn[Full-Disclosure] IE exploit going around on irc。 悪意ある web ページにアクセスしただけで攻撃が成功してしまうようだ。まずすぎ。

 回避するには、CHM ファイルへの関連づけを削除する (Windows ヘルプは無効化される) か、他のプロダクトを使う、とされている。proxy server で CHM ファイルへのアクセスを止めるのも有効かもしれない。

 関連: Vulnerability Note VU#323070: Microsoft Internet Explorer does not properly validate source of CHM components referenced by ITS protocol handlers (CERT/CC)

2004.04.07 追記:

 RE: [Full-Disclosure] IE exploit going around on irc[Full-Disclosure] IE exploit going around on irc で示された攻撃は、MS03-032 の「オブジェクトタグの脆弱性」と今回の欠陥とを組みあわせたものだ、という解説。

2004.04.09 追記:

 関連情報:

 SOggy さんから (ありがとうございます):

私もsquidのアクセスコントロールに追記をしようと、詳細を調べに関連ページとして紹介されている<http://www.kb.cert.org/vuls/id/323070>を見に行ったのですが、ページ中に次の記述があります(The Problemのところ)。

-----引用ここから-----
An attacker could exploit this vulnerability using a crafted HTML document containing script or an ActiveX object or possibly an IFRAME element. Due to the way IE determines the MIME type of a file referenced by a URL, an HTML document may not necessarily have the expected file name extension (.html or .htm). Likewise, a CHM file may not have the expected .chm extension.
-----引用ここまで-----

この文章と、斜め読みをした <http://msdn.microsoft.com/workshop/networking/moniker/overview/appendix_a.asp>のページを読むと、CHMファイルへのアクセスを禁止することは、まったく無効ではないでしょうが、攻撃者が別の拡張子に書き換えることが予想されるので、効果が薄いように思えます。

 確かに……。まあ、効果がないわけではないだろうということで。 「ms-its, its, mk プロトコルハンドラを無効にする」という回避方法は副作用が大きいですし、「他のブラウザを使う」は、特定のメールソフトを使っている人には通じないだろうし。

2004.04.13 追記:

 ひきつづき悪用されているようです。

2004.04.19 追記:

 Outlook Express 用の累積的な修正プログラム (837009) (MS04-013) で修正されました。

「情報システム等の脆弱性情報の取扱いに関する研究会」報告書の公表について
(IPA, 2004.04.06)

 経産省、ソフトの欠陥修正に「45日ルール」 (日経) の影響で、「45 日」という部分が slashdot.jp でも話題になっていますが、今回発表された報告書には「45 日」という記載はどこにもありません。p.92 (資料 - 20) より:

JPCERT/CC は、製品開発者と協議の上、脆弱性関連情報に関する対策方法の策定に関するスケジュール、および脆弱性関連情報と対策方法の一般公表に関するスケジュールを決定します。以後、JPCERT/CC は、JPCERT/CC が製品開発者に最初の連絡を行った後から起算して一定期間内に公表するよう促します。ただし、製品開発者の都合等により、相談の上公表日時を変更することがあります。また、複数の製品開発者に関連する脆弱性関連情報の場合、複数の製品開発者が同時に公表することを原則とします。

 「製品開発者に最初の連絡を行った後から起算して一定期間内」とは何日なのか、ということになるのでしょうが、現時点ではまだ何も決まっていないように見えます。 日経報道 にある「45 日」というと思い出すのは、 CERT/CC の公開ポリシーですね。p.109 (資料 - 37) にも、海外事例の一覧があります。

 この報告書をベースにして、5 月上旬までに「政府の公的ルール案」をつくってパブリックコメントを募集するようです。そこには、もしかすると「日数」が登場するのかもしれません。刮目して待て。

 経産省版: 「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

 関連報道:

2004.04.07 追記:

 関連報道:

2004.04.08 追記:

 関連記事:

 個人的には、受けつけるようになっただけでも前進ではあると思っています。 ねえ、office さん。

2004.04.09 追記:

 関連記事:

追記

URL偽装問題再び——IEとOutlookに

 Ikegami さんからの情報によると、Mozilla1.7b (20040329) はだいじょうぶ、Opera7.23J はだめだそうです (ありがとうございます)。

 対抗策として、ユーザスタイルシートを使って警告的表示を行う方法が提案されているようです:

 ユーザースタイルシートの設定方法は、たとえば ユーザースタイルシートのススメ (Personnel) を参照。センスのいいページだなあ。うらめやましい。

 関連記事: リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 (日経 IT Pro)。

セキュリティの観点からは,「いつもはテキスト形式で表示させて題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といっい方が望ましい。OEでは,「ツール」の「オプション」メニューで表れる「読み取り」タブの「メッセージはすべてテキスト形式で読み取で容易に切り替えられる。

とは言うものの、これ、all or nothing な設定なのがつらいですね。 デフォルトはテキスト表示にしておいて、右クリックで HTML 表示にできる、といった UI があるとうれしいのかなあ。 個人的には、HTML メールなどという危険なものを送ろうと考えるのなら、せめて電子署名くらいつけるべきだと思うし。電子署名から判断できる差出人が xxx の場合のみ HTML 表示を許可する、なんて設定ができてほしい気が。


2004.04.05

[memo:7530] 鶴亀メールにバッファオーバーランのセキュリティホール
(memo ML, Fri, 02 Apr 2004 23:14:02 +0900)

 鶴亀メールの「だいぶ前から」のバージョンに欠陥。 e-mail アドレスの名前部分に長大な文字列を設定しておくと、その e-mail アドレスを右クリックした時点で buffer overflow が発生し、任意のコードの実行が可能な模様。 3.52 版で修正されている。

2004.04.08 追記:

 3.52 版にも別の欠陥があったそうで、3.53 版が登場している [memo:7536]

2004.04.20 追記:

 Tsuru-Kame Mail 3.50 for Windows Buffer Overflow Vulnerability (LAC)。

LD-WBBR/B のセキュリティ問題について
(龍義さん, 2004.04.02)

 Elecom の LD-BBR/BLD-WBBR/B、 LD-WBBRA/P、LD-WBBRB/P、LD-WBBRB/AP に複数の欠陥があるという指摘。以下の欠陥があるという。

  1. バックドアアカウント tsubota が存在し、とあるパスワードを使うと WAN 側から telnet で login できてしまう。

  2. 隠し cgi「iptables.cgi」を利用して、root 権限で任意のコマンドを実行することができてしまう。

  3. WAN 側からファームウェアをアップデートできてしまう。

 いずれも致命的な欠陥のように見えるのだが、さらに困ったことに、Elecom はこれらの欠陥を「fix は行わないし、その予定もない」としているという。 さらに、さらに困ったことには、この製品、GPL 違反問題 (龍義さん) も抱えているそうで。

 龍義さん情報ありがとうございます。BBルータ解剖 (龍義さん) には興味深い情報がいっぱいありますね。

 関連: ELECOMのルータでGPL違反とセキュリティ問題が発覚 (slashdot.jp)。 玄箱の pcastd のセキュリティホール (山下康成のページ) という話もあったのですか。

2004.04.27 追記:

 fix が出たようです: 弊社ブロードバンドルータに関する重要なお知らせ (ELECOM)。 LD-BBR/B用 ファームウェア (ELECOM) によると:

Ver2.13

 まあ直ったのはなによりなのでしょうが、「当社メンテナンス用に設けていた管理用アカウント/CGI」ですか……。いやはや。


2004.04.02

URL偽装問題再び——IEとOutlookに
(ITmedia, 2004.04.02)

 偽装……というか、Form は無視して、表示どおりに trusted_site へのリンクをたどってくれればいいだけなんですけどね。

 Mozilla 1.5 はだいじょうぶっぽいです。 テストページ。 マズい場合は www.st.ryukoku.ac.jp につながってしまいます。 だいじょうぶな場合は www.microsoft.com につながります。

2004.04.06 追記:

 Ikegami さんからの情報によると、Mozilla1.7b (20040329) はだいじょうぶ、Opera7.23J はだめだそうです (ありがとうございます)。

 対抗策として、ユーザスタイルシートを使って警告的表示を行う方法が提案されているようです:

 ユーザースタイルシートの設定方法は、たとえば ユーザースタイルシートのススメ (Personnel) を参照。センスのいいページだなあ。うらめやましい。

 関連記事: リンク先のURLを偽装できるセキュリティ・ホールがIEに,OEユーザーは特に注意 (日経 IT Pro)。

セキュリティの観点からは,「いつもはテキスト形式で表示させて題がないHTMLメールを読む場合だけ,HTML形式で表示させる」といっい方が望ましい。OEでは,「ツール」の「オプション」メニューで表れる「読み取り」タブの「メッセージはすべてテキスト形式で読み取で容易に切り替えられる。

とは言うものの、これ、all or nothing な設定なのがつらいですね。 デフォルトはテキスト表示にしておいて、右クリックで HTML 表示にできる、といった UI があるとうれしいのかなあ。 個人的には、HTML メールなどという危険なものを送ろうと考えるのなら、せめて電子署名くらいつけるべきだと思うし。電子署名から判断できる差出人が xxx の場合のみ HTML 表示を許可する、なんて設定ができてほしい気が。

いろいろ
(various)


2004.04.01

Winnyユーザーの個人情報をACCSに送信するウイルスが出現 〜4月4日や5月5日になると、「www.accsjp.or.jp」にアクセス
(Internet Watch, 2004.04.01)

 個人情報を ACCS に送ってしまうキン●マ亜種登場。「そういうものが出てきたら……」的話題があちこちにあったように思いますが、本当に出てきたんですね。

平成15年度における防犯性能の高い建物部品の開発・普及に関する 官民合同会議による防犯性能試験の実施結果について
(警察庁, 2004.04.01)

 目録部分のリンクはなぜか切れているようなので、PDF 版を見た方がよいでしょう。 関連かな: ガラスの防犯性能に関する板硝子協会基準 (板硝子協会)。


[セキュリティホール memo]
私について