セキュリティホール memo - 2003.01

Last modified: Mon Feb 2 10:34:35 2004 +0900 (JST)


2003.01.31

“単純”ウイルス、スラマーで大混乱  韓国のネットダウンが幸い?
(毎日, 2003.01.31)

 毎日の太田記者による Slammer さわぎのまとめ。 「KT の DNS」というのは、.kr な DNS なのかな。 太田記者は、ルートサーバ 5 台ダウンについては「根も葉もない情報」と断じていますね > F-Secure

世界規模で報告されたネット障害についての総括レポート 〜Slammerワームによる被害について〜
(経済産業省, 2003.01.31)

 経済産業省による Slammer ワーム状況まとめ。「多言語情報収集システム」なんてのがあるんですね。ふぅん。

 従来から言われてきたことであるが、今般の事案で一層明らかになったことは、情報セキュリティの確保を行うためには、予防の局面と事故対応(インシデント対応)の局面の両方からの重層的な措置が必要であると言うことである。

 うんうんそうそう。

(2) 事故対応(インシデント対応)の局面
 今回のようなワームによる感染の急激な広まりに際しては、関係組織間での情報連携が重要である。したがって、今後、 等が急務であると考える。

 おぉ「定点観測システムの構築」。すばらしい。3 番目のも、JPCERT/CC が近年力を入れている分野ですね。わくわく

2003.02.03 追記:

 経産省がネットを常時監視 (slashdot.jp)。 日経の記事もちょっとナニな気がするが、タレコミ者は輪をかけてナニ。

2003.02.19 追記:

 関連かな?: サイバーテロに備え総合対策——経産省、主要産業別に防御センター

まだまだつづくよ Slammer ねた
(various)

 余震継続中。

CERTの脆弱性情報“優先開示”に非難
(ZDNet, 2003.01.31)

 CERT/CC が一部組織に情報を先行リーク?! 組織として意図してやってるのか、特定メンバーが契約に違反してリークしているのか、それとも単なる誤解か。

セキュリティ研究者Mark Litchfield氏は、セキュリティ情報のメーリングリストBugtraqに投稿を寄せ

 bugtraq に流れてます? 手元には届いてないし、Neohapsis Archives にもないようなのだけど。 なので VulnDiscuss ML から: Mark Litchfield 氏のメールCERT/CC の返信

Despite being a competitor, I think it only fair to mention that ISS's reasons for not wishing to inform CERT on the Apache Transfer Encoding Chunked Issue have now been clearly justified.

 う〜〜む……。こういう言われ方をされちゃうとは。

2003.02.05 追記:

 詳細記事: CERTの「有料会員びいき」に、専門家が縁切り宣言 (ZDNet)。 「組織として意図してやっている」が正解なのね。


2003.01.30

韓国におけるネットワーク障害について
(ISSKK, 2003.01.30)

 関連報道: 韓国でまたネットまひ (サンケイ)。Slammer や Slammer 亜種ではなく、従来型の DoS ものの模様。


2003.01.29

トレンドマイクロ「GateLock X200」をご使用のお客様へ自動アップデート機能不具合のお知らせ
(トレンドマイクロ, info from INTERNET Watch, 2003.01.29)

 電源投入から、最初のインテリジェントアップデートが行われるまでの間 (30 分) にインターネット接続が行われないと、インテリジェントアップデートがうまくいかず、ウィルス定義データが古いまま運用されてしまう模様。2003.02.03 登場の新ファームウェアで修正されるそうな。

「N504iS」に不具合〜ストラップ取り付け部分が発熱する恐れ
(ZDNet, 2003.01.29)

本体の電流制御を司る部品が故障した際に、ストラップ取り付け部分が70−100度に発熱するおそれがある (中略)
2月中旬以降、改修済みの電池パックが準備でき次第ユーザーに送付し、交換する。

 それまでは、利用者はどうすればいいんだろう。 少なくとも、体表面に近いところに置いておくのは危険そうだなあ。

Microsoft Security Bulletin MS03-001 〜 MS03-003
(Microsoft)

Locator Service の未チェックのバッファにより、コードが実行される (810833) (MS03-001)

Windows NT 4.0 / 2000 / XP に弱点。 Microsoft Locator Service (%Windir%\System32\Locator.exe) に buffer overflow バグ。 remote から任意のコードを実行可能。 Windows NT 4.0 / 2000 Server がドメインコントローラの場合、Locator Service がデフォルトで動作しているので注意。その他の状況・その他の OS では、デフォルトでは動作していない。

CVE: CAN-2003-003。 CERT/CC: CERT Advisory CA-2003-03 Buffer Overflow in Windows Locator Service (LAC 邦訳版)

2003.02.15 追記:

[VulnWatch] Microsoft RPC Locator Buffer Overflow Vulnerability (#NISR29012003)

Microsoft Content Management Server 用の累積的な修正プログラム (810487) (MS03-002)

Microsoft Content Management Server 2001 に弱点。XSS 問題が存在。セッションハイジャックが可能。Microsoft Content Management Server 2002 にはこの問題はない。

CVE: CAN-2003-0002

Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする (812262) (MS03-003)

Outlook 2002 で、Version 1 の Exchange Server Security 証明書を利用している場合に問題が発生。メールが暗号化されず、plain text で送信されてしまう。 S/MIME を利用している場合には、この問題はない。また、Outlook 98、Outlook 2000 にはこの問題はない。

CVE: CAN-2003-0007

 いずれも patch があるので適用すればよい。

UNIX 関連
(various)

Red Hat Linux
Debian GNU/Linux

memo
(various)

 追いかけきれない。

オープンソースソフトウェアのセキュリティ確保に関する調査(ドラフト版)
(IPA ISEC, 2003.01.27)

オープンソースソフトウェアの安全性は、OSSを利用する側と、作成する側の2側面から考える必要があります。OSSは開発そのものがオープンであり、商用のソフトウェアの開発とは違った開発モデルが採用されています。OSSを利用する側からすればこうしたOSSの側面が、安全面で問題となります。そのため、安全性を自己責任において評価するための仕組みやガイドが示されていることが重要であると思われます。

 うーん、OSS には一律に「安全面で問題」があるような書かれ方だなあ。そういうことが言いたいわけではないのだろうが。isec-info@ipa.go.jp に mail しなきゃ。

【徹底解説:SQL Slammer対策の死角】クライアントも狙われる,パッチ適用でトラブルも
(日経 IT Pro)

 さすが山下さん。参考になります。

 その他の情報:

 SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 の方も随時改訂中です。あと、Microsoft の

も随時改訂されているので、読みなおしておいた方がいいです。

プロセッサにセキュリティ機能って何なの?
(@IT, 2003.01.28)

(Crusoeの) コードモーフィング・レイヤを隠れ蓑に、その下側にある一般のプログラマーがいじれない部分にセキュリティ機能を実装する、というのはよいアイデアだ。

 backdoor を実装するにもよいアイデア、のような気が。

(Intel の) LaGrande技術の方は、(中略) 実行中のプログラム自体を暗号化したり、プロセッサとメモリ間に流れるデータを暗号化したりするような技術も含まれるようだ。

 buffer overflow attack を実行しにくくなったりするのかなあ。

ネットワークの中核であるTCP/IPでも、IPSecなどセキュリティの枠組みが立ち上がろうとしている。

 今だに「立ち上がろうとしている」って言われてしまう IPsec って……。 まぁ実際そうだろうけど。永遠に言われつづけたりして。

あらまあ
(various)

追記

 2003.01.28 の Slammer 犯人さがし に追記した。nop とは……?!


2003.01.28

SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 よくある質問と回答
(Microsoft, ?)

 「Q. MSDE 2000 の Service Pack 3 をインストールするとエラーが表示されます」 や 「Q. .NET Framework SDK の Quick Start Tutorial でインストールされる MSDE 2000 に Service Pack 3 をインストールできません」 など、気になる情報があります。読みませう。

 FAQ では「Q. .NET Framework SDK の Quick Start Tutorial でインストールされる MSDE 2000 に Service Pack 3 をインストールできません」の答えはかなりアレなのですが、http://homepage3.nifty.com/dotnetfan/SP3Setup.htm にひとつの方法が解説されています (info from [pml-security,00673])。

2003.01.29 追記:

 Official fix 登場。 KB 813850 を参照。

Slammer 犯人さがし
(various)

2003.01.29 追記:

Slammer“サイバーテロ説”は安易だった?
(ZDNet, 2003.01.27)

 安易というか……ねえ。 9.11 とつなげるまぬけまで出てきたのには閉口しました。

 まあ、韓国ではそれくらい激烈な状況だっただろうから無理もないのだろうけど、日本など外地のメディアはもうすこし冷静に報道できたはず。


2003.01.27

DNSルートサーバーへのクエリーの98%は無意味 〜米研究者グループが調査結果を発表
(INTERNET Watch, 2003.01.24)

 日常が DoS 状態?!

連載:不正侵入の手口と対策 第5回 仕掛けられたバックドアの検出と対処
(@IT, 2003.01.25)

 [port139ml:02066] も読んでおきましょう。

2003.02.13 追記:

  2003/2/10 付で改訂されています。 「MAC timeの採取」などが追加されています。

追記

 2003.01.09 の T13 : 不正アクセスの手法から考える監視技術〜雑音の除去と行動分析からリアルタイムプロテクションまで〜 に追記した。講演資料が公開されている。

SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報
(Microsoft, 2003.01.26)

 この項は随時改訂中です

 話題沸騰の Slammer ワーム。SQL Server 2000 SP2 以前と SQL Server 2000 Desktop Engine (MSDE 2000) に存在する SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039) 弱点を攻略し、メモリ上に常駐したあと他ホストをランダムに攻撃する模様。 メモリ上にしか存在せず、ファイルは一切操作しないので、ファイル検査のみのウィルスチェックでは検知できない一方、リブートすれば消滅する。 [exploitcoding:0066] によると、ワームは日本語版 Windows 2000 SP2 上でも動作する。 [port139ml:02112] によると「Pen III 1.1GHzのマシンで秒間11000個くらいのワームを放出する」。そりゃあ DoS にもなるよなあ。

対応方法:

 以下のいずれかを実行する。

 SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 よくある質問と回答 (Microsoft) も参照されたい。

回避方法:

 1434/udp をフィルタしてしまえば回避できる。 ISS は 1433/udp も塞げ、としている。 PASSJ によると、1433 は SQL Monitor が使う port なのだそうだ。

SQL Server 2000 / MSDE 2000 が含まれているソフトウェア:
警告文書:
解説記事:
技術的情報:
トレンドマイクロ方面:
マスメディア:

 手元的には、2003-01-25 14:30:12 +09:00 が初検出で、1/25: 1791、1/26: 786 だなあ。1/27 は 19:15 現在で 398。確実に減っている。


2003.01.24

インサイド .NET Framework 第13回 コード・アクセス・セキュリティ(その4 後編)
(@IT, 2003.01.24)

本連載の読者であれば、インターネットからダウンロードされたコードには大幅に低い権限しか与えられていないことを知っているだろう。(中略) にもかかわらず、このコードはきちんと実行でき、Boot.iniの内容は読み取られてしまう。StreamReaderクラスのReadメソッドは、そのストリームの元になっているリソース(ファイルやデータベースなど)へのアクセス許可はチェックしていないからだ。もともとアクセス許可を持っているApp.exeがファイルを開いているので、その時点でアクセス許可のチェックは成功する。その後はチェックされないので、C:\Boot.iniファイルに対してアクセス許可のないアセンブリ(プラグイン)であっても、そのファイルの内容を読むことができてしまうのだ。これでは明らかにマズい。
(中略)
ここでInheritanceDemandの出番となる。(中略)具体的には、次の属性をIPlugInクラスに設定するだけでよい*1。

 プログラマが設定しなければならない、と。モバイルコード対策は、.NET Framework といえども、あくまでコードをきちんと書かないといけないということでいいのかな。 わざと設定せずにおいて「XX もできます」とか言うトコロも出てくるのかな。

追記

 2003.01.23 の [memo:5191] 81084 IE累積修正 に追記した。q324929.exe をインストールする方法が判明したが、インストールできただけではダメな模様。

[security:00253] Re: Windows File Protection Arbitrary Certificate Chain Vulnerability
(JWNTUG security ML, Thu, 23 Jan 2003 12:19:14 +0900)

 Microsoft Windows File Protection Signed File Replacement VulnerabilityMicrosoft Windows File Protection Code-Signing Verification Weakness 関連話。


2003.01.23

[memo:5191] 81084 IE累積修正
(memo ML, Tue, 21 Jan 2003 18:08:27 +0900)

 しばらく前から Windows NT 4.0 + IE 5.5 / 6 な環境の Windows Update に登場していた、謎の patch 「810847」に関する話題。 少なくとも 1/9 には存在したようだ [memo:5192]。 さらに、適用すると一部のファイルにはバージョンダウンが発生してしまう模様 [memo:5194]

 ここで信頼すべき情報源から情報が入った [memo:5195]

 810847 を適用してしまった場合、私はてっきり MS02-068 を再適用すれば解決すると思っていたのだが、そうは問屋が卸さない模様 [memo:5196] [memo:5197]。 インストールしようと思ってもこのようにインストールさせてもらえないのだ。

 不幸にして 810847 をインストールしてしまった場合は、一旦 IE 5.5 / 6 をアンインストールした後に、再度 IE 5.5 / 6 をインストールし、MS02-068 を適用するのが唯一の解決方法のようだ。ずいぶん手間のかかる話だ。

 この件については、Microsoft からはいまだ正式な発表はされていない。 何らかの発表がなされる事を期待したい。

2003.01.24 追記:

 [security:00257] 謎のセキュリティ修正プログラム「810847」。 伏谷@大塚商会さんからの「検証不十分な情報」。 q324929.exe をインストールする方法が判明したが、q324929.exe をインストールできただけではダメな模様。

2003.02.13 追記:

 謎 patch は Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004) の候補版だった。謎 patch を適用してしまった場合は、 MS03-004 patch を手動インストールすることにより回避できる。 (Windows Update には登場しないので注意)

追記

 2002.12.23 の SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) に追記した。bulletin が改訂された。XP SP1 にも patch を適用する必要がある。

追記

 2003.01.16 の Windows XP SP1導入後、ネットワークファイルエラーが発生する問題を発表 に追記した。MS02-070 が改訂。XP SP1 には patch が入っていなかった、とすると、原因は結局何だったの?

追記

 2003.01.22 の Advisory 01/2003: CVS remote vulnerability に追記した。CERT Advisory 登場。

cvs security problem
(タレコミ, Wed, 22 Jan 2003 19:17:52 +0900)

 Advisory 01/2003: CVS remote vulnerability 関連。 記事自体は Fri Jul 28 2000 - 03:21:28 CDT のものであることに注意。 Tanaka 氏は CVS/Checkin.prog と CVS/Update.prog におけるセキュリティ問題を 2000.07.28 に既に指摘していた。 ここからスレッドがつづいているのだが、 最終的な反応は、

PLEASE TRY TO UNDERSTAND: CVS is not insecure, _by_definition_!

CVS is DESIGNED *ONLY* to be used by people with shell access!!!! This fact *MUST* be taken into account by *everyone* who sets up annonymous CVS servers! I.e. you MUST assume that a determined cracker will eventually be able to gain shell access to your anonymous CVS server and you must take the precautions outlined above if you wish to protect it.

というもので、「CVS はそーゆーもの」ということらしい Re: cvs security problem。 というわけで、「そーゆーもの」だと認識した上でサーバを setup しましょう。

 このスレッドでは、chroot 環境で CVS を動かす方法への link や、 CVS-nserver といった別の CVS 実装の紹介などもあり、興味深い。

 KOBAYASHI さん情報ありがとうございます。

2003.02.15 追記:

 FreeBSD Security Advisory FreeBSD-SA-03:01.cvs (日本語版)。


2003.01.22

決済.comにおけるセキュリティについて (2002-12-27)
(Vagabond PressClub, Wed, 22 Jan 2003 19:31:19 +0900)

 「2002年12月 Prisoner'Choice インシデント事後対応 ベスト」 だそうだが、いやあ、これは確かにすばらしい。

追記

 2002.12.23 の Some vim problems, yet still vim much better than windo に追記した。 攻撃プログラム事例。

JPCERT/CC REPORT 2003-01-22
(JPCERT/CC, 2003.01.22)

2002年は 2001年に比べ報告件数が大幅に減少しました。この原因としては、 2000年や 2001年に多かったスキャンやプローブに関する報告が減ったことが挙げられます。

 スキャンやプローブに関する報告を JPCERT/CC に送ってあげてください。 その際は「情報提供」である旨を明記しましょう。報告様式 の 4-1 に A と書きます。

 記入例 に port scan の例がないというあたりがけっこう痛いのではという気もするなあ。

RIAAがKaZaAユーザーの身元開示請求裁判に勝訴〜音楽業界に貴重な武器となる判決
(INTERNET Watch, 2003.01.22)

この判決により、音楽業界が「著作権侵害を助長している」と主張するファイル交換ソフトの利用者について、個別に裁判を行なう前にISPに身元開示請求ができるようになった。

 すごい状況だなあ。主張さえすれば誰の情報でも get できる、と。

 Winny については Winny Tips ページ が詳しいようです。

Java搭載Windows出荷の“デッドライン”決まる
(ZDNet, 2003.01.22)

 Microsoft VM for Java 依存のモノを提供している人は、Sun 純正対応をいそいで準備した方がよろしいかと。ねぇ、総務省さん [memo:3933]総務省 電子申請・届出システムご利用方法 にはあいかわらず

(注1)Javaがインストールされた環境では、コントロールパネルのJDKの設定でJava Plug-inを有効にすると正常に動作しません。

と書いてありますね。

2003.01.23 追記:

 MS、Java出荷命令に控訴 (ZDNet)。はてさて、どうなりますか。

2003.02.04 追記:

 MSへのJava搭載命令、発効一時停止 (ZDNet)。控訴審はいつ?

Advisory 01/2003: CVS remote vulnerability
(various)

 CVS 1.11.4 以前に弱点。特殊な Directory リクエストにより CVS サーバで double-free() 状態が発生。他のリクエストと組みあわせることにより、anonymous read-only account しか提供していない場合でも、外部から CVS サーバ上で任意のコードを実行可能。CVS サーバが root 権限で動作しており、かつ CVSROOT/passwd ファイルが CVS ユーザに書きこみ可能であれば、外部から root 権限を奪取できる。 (typo fixed: 秋保さん / Kenji さん感謝。目がつぶれているらしい > 俺)

 CVS 1.11.5 で修正されている。 CVS サーバを実行させている人は今すぐ update しよう。

 FreeBSD の src/contrib/cvs/src/server.c を見る限り、RELENG_4_x や RELENG_5_0 にはまだ修正は入っていない。

 また、

You should also note, that the CVS client/server protocol includes two commands (Update-prog and Checkin-prog) that can be used by any CVS user with write access to the repository to execute arbitrary shell commands on the server. This is a questionable feature, because it is very badly documented, is unknown to most CVS administrators and cannot be turned off within the configuration files.

とあるように、CVS にはもともと意図不明の機能が標準で存在したりするようだ。

2003.01.23 追記:

ある日突然ADSLが・・・ベスト・エフォートへの不安
(日経 IT Pro, 2003.01.21)

 つながらない、というのは「ベスト・エフォート」の範囲を越えていると思うが……。やっぱり光かなあ。って、今住んでいるところでは、B フレッツどころか ADSL モアすらサービスされていないんだよなあ。eo ホームファイバー は最低契約期間 = 1 年というのがアレだし……。世の中ままならない。

solution 5695: ウイルス検索エンジン VSAPI 6.510で発生する問題について
(トレンドマイクロ, 2003/01/21)

 トレンドマイクロ ウイルスバスターで利用可能な最新の検索エンジン VSAPI 6.510 において、Microsoft Access ファイルのウィルスチェック時にパフォーマンスが低下したり、Windows 9x/Me においてパターンファイルの読み込みに失敗する場合があるという。2003.01.27 にこの問題が修正された検索エンジンが公開される予定だそうだ。


2003.01.21

[Apache-Users 2326] [Fwd: [ANNOUNCE] Apache 2.0.44 Released]
(apache-users ML, Tue, 21 Jan 2003 16:45:48 +0900)

 Apache 2.0.44 登場。 Windows プラットホーム向けの security fix が含まれています。

 Apache 2.0.43 以前を Windows で利用している場合は、即刻入れかえましょう。

iモード宛メールにおけるヘッダ情報を提供
(タレコミ, Fri, 17 Jan 2003 11:56:51 +0900)

NTTドコモ及びNTTドコモグループ8社は、迷惑メール対策の一環として、インターネットからの「iモード」宛メールのヘッダ情報の提供を開始いたします

というのが 2002.10.01 から開始されている、のはいいのだが、

インターネットからiモード宛に送られてきた電子メールのヘッダ情報を、ご希望のiモードご契約者に提供(郵送)いたします。

 ヘッダ情報を郵送?! たとえば NTTドコモ関西:iモードヘッダ情報の提供について を見ると

などかなりアレ。というか、「調査」って……。希望者には自動的にどっかのアドレスにトバせるようにする、とかできないんですかねえ。 嶋坂さんが問いあわせたところ、

Q1.1ヶ月まとめ送りはできませんか?
A1.出来ません。1週間毎の発送になります。
Q2.何でフロッピーディスク提供なんですか?
 最近のPCではフロッピーディスクドライブがついていないPCも
 多いですが。
A2.セキュリティのためです。誰にも見られないように週単位での
 フロッピーディスクでの提供とさせて頂いています。
Q3.料金高すぎませんか?
A3.総務省の指導で急遽始めたサービスなので設備投資などに
 お金がかかっているため、高価な料金設定になっています。
Q4.eビリングのようにWebからSSLで閲覧できませんか?
A4.現状、設備が対応していません。

だそうです。嶋坂さん情報ありがとうございます。

各社のJava VMに砂場の枠が外れる脆弱性
(slashdot.jp, 2003.01.19)

 Sun JDK 1.1〜1.4、Microsoft Java VM build 3805 つきの IE 4.0〜6.0、Netscape Communicator 4.0〜4.8 にいろいろな穴があるという話。

 fix 版のインストールの他、web browser 上では Java を無効にすれば問題を回避できる。

追記

 2002.11.28 の Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) に追記した。MDAC 2.7 SP1 登場に伴う追記。

UNIX fixes
(various)

Debian
Red Hat
OpenBSD
Sun Solaris

NTTドコモ、「iショット」でわいせつ画像の公開を不可能に
(CNET, 2003.01.20)

 あらゆる i ショット画像の閲覧が 50 回までになる模様。先日の事件への対応、なのでしょう。写メールとかでは、このあたりはどうなっているんだろう。 使ったことないからわかんないや。

 関連:


2003.01.20

IEのXSSバグで任意サイトのCookieが漏洩
(slashdot.jp, 2003.01.18)

 手元の IE 6.0 SP1 日本語版 + Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068) patch でも見事に再現。いやはや。

 例によってアクティブスクリプトを停止すれば回避できる他、 jbeef さん自身が 回避方法 を記載されている。

IEのCookieをオフにしても有効なCookieモドキ
(slashdot.jp, 2003.01.20)

 関連: [memo:3145][memo:5189]。cookie を使っている人でも「無効」で構わないと思います。「Java アプレットのスクリプト」同様、流行っていない機能のようですし。

2003.02.19 追記:

 UserData は Windows Update の「カスタマイズ」で利用されているそうです [memo:5210]

情報セキュリティマネジメントシステム(ISMS) 認証基準(Ver.2.0)(案)に関する意見募集
(JIPDEC, 2023.01.15)

 ISMS 認証基準 2.0、パブリックコメント募集段階まで来ています。 情報セキュリティ評価制度「ISMS」新版で経営トップの関与を明記 (日経 IT Pro) では経営陣の責任の明確化、を強調しているけど、 ISMS認証基準(Ver.2.0)(案)の特徴について を見ると、むしろ「リスクマネジメント」という観点 (PDCA ぐるぐる) が主眼なのかなあ。いや、よくしらないけど。


2003.01.17


2003.01.16

rootkitによるクラッキングとその防御: 第1回 rootkitの概要と検知
(ZDNet, 2003.01.15)

 tuxkit-1.0 を入れて様子をみていらっしゃいます。

音楽業界がP2P感染のワーム作成?
(ZDNet, 2003.01.16)

 [VulnWatch] *ALERT* INCLUDING EXPLOIT: Advisory / Exploit for mpg123 の話。 patch もいくつか投稿されている (これ とか これ)。

CERT Advisory CA-2003-01 Buffer Overflows in ISC DHCPD Minires Library
(CERT/CC, 2003.01.15)

 ISC DHCPD 3.0〜3.0.1rc10 に複数の buffer overflow 穴。 ホスト名解決のために NSUPDATE で利用される "minires library" に問題があり、これを利用すると、外部の攻撃者が任意のコードを DHCPD 動作権限で実行させることが可能。 "minires library" は BIND 8 リゾルバ由来だが、最新の BIND 8 にはこの問題はない、とされている。

 ISC DHCPD 3.0p2 および 3.0.1rc11 で修正されているので入れかえればよい。 また問題を回避するには、NSUPDATE 機能を停止すればよい。

 CVE: CAN-2003-0026

2003.01.21 追記:

2003.01.29 追記:

Windows XP SP1導入後、ネットワークファイルエラーが発生する問題を発表
(INTERNET Watch, 2003.01.15)

 どうやらこういうことらしい。

  1. SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) 問題が発生し、Microsoft は hotfix を公開した。また、Windows XP SP1 にはこの修正が含まれた。

  2. しかし、この修正は SMB 署名に関して非互換性を生じさせてしまうため、 hotfix を適用していない Windows 2000 Professional / Server と Windows XP SP1 との間での通信に問題が発生する。

  3. 問題を解決するには、Windows 2000 Professional / Server に hotfix を適用すればよい。 セキュリティ問題の解決のためにも、こちらが推奨される行動だろう。

  4. 問題を回避するには、SMB 署名を無効に設定する。

 よくわからない点: SMB 署名が有効になる状況で、

  1. Windows XP gold (hotfix なし) と Windows XP SP1 との間の通信には問題は発生しないの?

  2. hotfix を適用した Windows 2000 と hotfix を適用していない Windows 2000 との間の通信には問題は発生しないの?

 おまけ:

  1. hotfix は Windows 2000 SP2 / SP3 と Windows XP gold にしか適用できないので、 それ以前の Windows 2000 では回避策を実行するしかないだろう。

  2. 331519: Windows XP SP1 のインストール後、ネットワーク ファイル エラーが発生する の誤記は解消されている。水月さん情報ありがとうございます。

2003.01.23 追記:

 SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) が改訂されている。なんと、

2003/1/23: このセキュリティ情報のリリース後、このセキュリティ情報で説明された修正プログラムが Windows XP Service Pack 1 に含まれていないことが確認されました。この点を反映させ、このセキュリティ情報および修正プログラムを更新しました。

 なんじゃこりゃあ……。で、XP 用新 patch は XP SP1 にもインストール可能、なのだそうだ。すると、今回の問題というのはいったい……?!

追記

 2003.01.15 の MS、政府向けのWindowsソースコード/情報開示プログラム に追記した。日本語プレスリリース登場。


2003.01.15

MS、政府向けのWindowsソースコード/情報開示プログラム
(ZDNet, 2003.01.15)

 プレスリリース: A Matter of National Security: Microsoft Government Security Program Provides National Governments with Access to Windows Source Code (Microsoft)。間もなく日本語版プレスリリースも登場するのでしょう。

the GSP offers free access to source code of Windows 2000, Windows XP, and Windows Server 2003.

 開発ツールと Microsoft Office も……とか言われたりはしないのかなあ。 特に開発ツールは重要だと思うのだが。 Exchange などを使っている場合はもちろんそれらも……だろうけど。 あと、よく言われるように、変更反映具合がどのくらい見れるのか、とかですかね。

As I mentioned, the program also includes an invitation for agency representatives to visit us in Redmond for one to two weeks. (中略) The program also includes access to cryptographic code and development tools, subject to certain requirements, such as U.S. export regulations.

 このあたりが限界なんだろうなあ。で、それでは満足できないならば、やっぱり open source product へ流れる、と。

2003.01.16 追記:

 日本語プレスリリース: マイクロソフト、「政府向けセキュリティプログラム」を発表

ロシアとNATO(北大西洋条約機構)はすでにマイクロソフトとGSP契約を締結しており、さらに現在20カ国以上の政府との間で話し合いを進めています。

 ロシアも軍関係なのかなあ……。


2003.01.14

「情報を隠す」というセキュリティ対策
(日経 IT Pro, 2003.01.10)

 「隠す」というと聞こえが悪いけど、より適切な情報を提供するという意味で使えもするわけで。

追記

 2002.12.23 の ウェブアプリ開発の鉄則31カ条 JNSAセキュリティーセミナー に追記した。遅まきながら、高木さん自身によるフォローをリンク。

UNIX fixes
(various)

Debian GNU/Linux
Red Hat Linux

from JPNIC: APNIC FAQ 邦訳版
(JPNIC, 2003.01.09)

 JPNIC からいろいろ。「APNICのWebに掲載されているFAQを翻訳したもの」だそうです

safari ねた。
(harden-mac ML)

 safari ねた。 最新は v51 だそうで。

 個人的にはβじゃなくてαレベルのできだと思うし…… > safari。 しかし確かに速い。

Windows 9x 系 OS における DNS による NetBIOS 名の名前解決の注意点
(monyo.jp, info from samba-jp:14056 / Sun, 12 Jan 2003 04:14:02 +0900)

 Windows 9x で、NetBIOS 名の名前解決に DNS が利用される場合、その query packet では source port = 137/udp というアレすぎる状況になり、 さらに問い合わせている名前自体もアレ、という話。 NT/2000 ではもちろんそんなことはない。たかはしもとのぶ氏は

すくなくとも Windows 9x 系 OS の場合、NetBIOS 名を DNS で解決する機能は事実上使い物にならないと判断すべきではないかと思います。

とおっしゃっていらっしゃいます。


2003.01.10

SecurityFocus Newsletter #175〜178
(bugtraq-jp)

 HTML 版:

 テキスト版:

MPSB03-01 - Patch available for ColdFusion MX Enterprise Edition sandbox security issue that allows templates to include arbitrary files
(macromedia, 2003.01.09)

 ColdFusion MX Standalone Enterprise Edition (全ての言語版) に弱点。"Sandbox Security" の "Files/Dirs permissions" で設定した内容が、<cfinclude> タグと <cfmodule> タグでのファイル名指定で機能していない……ということでいいのかな。patch が出ているので適用すればよい。

Lirva (Avril) ウィルス
(various)

 亜種が登場しているようです。手元には本家も亜種も届いていないなあ。

2003年はセキュリティー総点検の年に  山口JPCERT委員長が直言
(毎日, 2003.01.10)

 山口先生、どうやら @Random/1st にゲストスピーカーとして参加してくださる模様 (^^)

——話しは変わって、1人のパソコンユーザーとして、今年のセキュリティー対策の課題は?

山口 もう「自分でやらないこと」だね。まじめに専門家のいうことを聞いて、「多少のお金を払ってでも、サービスを買え!」と言いたい。

 ふつうの人だと「ISP から買う」という線だと思うのだけど、現状で ISP から買えるのはウィルスチェックくらいですかねえ。それすらも incoming only だったりすることが多いようですが……。需要と供給がマッチしてないという話は先日の JPCERT/CC BOF でもありましたが、いつになったらマッチしますかねえ。 「多少」の具合が問題なんだよなあ。


2003.01.09

本家インタビュー:サイバー法学者レッシグ教授
(slashdot.jp, 2003.01.09)

 読むべし。……あぁ、「コモンズ」ぜんぜん手をつけれてないし。

2003.01.10 追記:

だがEFFにでも別のどこかにでも、トーヴァルズやその他歴史上の偉人たちの「十分の一税」に倣おう。一年分のインターネット接続料金を(君自身が払ってるのではなくとも)計算して、その10%を君自身の自由のために闘ってる団体に送るんだ。

 EFF なら Support EFF Today! ですね。

OCNが申込情報入力を中国企業へ委託
(slashdot.jp, 2003.01.09)

 ただただ唖然、「ヒス君、君はバカかね?」なのだが、実は世の中的には「もやはふつー」で、これは「氷山の一角」だったりするのだろうか。いや、いくらなんでもそんなことはない、と思いたいのだが……。

住基ネット利用で答申案 徴税事務盛り込む
(タレコミ, Fri, 27 Dec 2002 13:46:39 +0900)

 兵庫県は住基で突撃する模様。麗美さん情報ありがとうございます。紹介がおそくてすいません。

 パブリックコメントは 兵庫県本人確認情報保護審議会答申「住民基本台帳ネットワークシステムの活用について」案に関する県民意見提出手続(パブリック・コメント手続) から。答申案(全文)にはこんな文字列が:

住民基本台帳ネットワークシステムは個人情報を取り扱うことから、法、県個人情報保護条例等により、既に制度、技術、運用の各面で万全の個人情報保護措置が講じられ、適切に運営されているところであるが、

 寒い、寒すぎる……。

UNIX fixes
(various)

Debian GNU/Linux
Red Hat
Turbolinux
Sun
Sun Colablt RaQ4

T13 : 不正アクセスの手法から考える監視技術〜雑音の除去と行動分析からリアルタイムプロテクションまで〜
(internet week 2002, 2002.12.18)

 予想していたものとはかなり違っていたのですが、「インシデント・レスポンスから考えるリスク分析」という観点はたいへん興味深く思いました。目からウロコがぼろぼろ。

技術者はいかに守るかをまず考えがちだが、むしろ最初にインシデント・レスポンスを考えるべきではないか。インシデント・レスポンスを考えることにより、経営層などに具体的なイメージがつかみやすくなり、ひいてはより正確なリスク分析が可能となる。

 日経コンピュータ 2002.12.30 p.57 でも紹介されていますね。Developers Summit 2003 でも関連したお話が拝聴できるのではないかと勝手に想像してます。

2003.01.27 追記:

 講演資料が公開されている: PDFLHa

追記

 2003.01.07 の PINE-CERT-20030101: Integer overflow in FreeBSD kernel に追記した。SA 登場。

Tea Room for Conference No.1217
(Tea Room for Conference, 01月09日 10時08分)

 最近よくみかける「知人にこのページを紹介する」機能には、意図しない (だろう) 使い方ができてしまうことが多い、という話。代表事例 (?!) として挙げられているのは MSKK。


2003.01.07

[EXPL] OpenBSD and NetBSD LKM That Hides Files by Patching getdirentries()
(securiteam, Mon, 06 Jan 2003 07:41:31 +0900)

 そういうものだそうです。やっぱ LKM は常に無効にしたいなあ。

(IE 6) SP1 のインストール後、Outlook Express で電子メールの添付ファイルを開くことができない (329570)
(新着サポート技術情報, 2003.01.07)

 IE 6 SP1 で [ウイルスの可能性がある添付ファイルを保存したり開いたりしない] オプションがデフォルトで有効になっているためにそうなる。 この問題の回避方法。「安全でないファイル一覧」については Internet Explorer 6 の安全でないファイル (Unsafe File) 一覧に関する情報 (291369) にあります。

 [OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法 (291387) も参照、なんだろうけど、訳語を統一してほしいなあ。

PINE-CERT-20030101: Integer overflow in FreeBSD kernel
(VulnWatch, Mon, 06 Jan 2003 21:48:10 +0900)

 FreeBSD 以降に弱点。kernel 内のいくつかの int 変数が overflow するため、 DoS 攻撃や root 権限の奪取が可能となる可能性がある。

 NetBSD や OpenBSD にはこの問題はない。

2003.01.09 追記:

 SA 登場: FreeBSD-SA-02:44.filedesc - file descriptor leak in fpathconf。 RELENG_4_4 以降については fix されている。

[VulnWatch] Etherleak: Ethernet frame padding information leakage (A010603-1)
(VulnWatch, Tue, 07 Jan 2003 02:24:19 +0900)

 複数のベンダーの Ethernet ドライバに弱点。初期化処理がきちんとされていない、などのために、以前に処理した情報の一部が残存してしまい、結果としてそれが外部に漏曳してしまうことがある。@stake のレポート では、その詳細と、appendix として弱点つき Linux 2.4.18 標準添付ドライバの一覧が示されている。

 CERT/CC Vulnerability Note VU#412115: Network device drivers reuse old frame buffer data to pad packets によると、CISCO や F5、HITACHI、NEC にはこの穴はないそうだ。 Microsoft も穴なしだが、Microsoft Corporation Information for VU#412115 には「ドキュメントのサンプルに穴があり、これをそのまま使うと……」という話が出ている。 3rd party ドライバを利用している場合は続報に要注意、かも。

関連:

fix / patch:

IISからApacheへの移行で 逆にセキュリティー問題が拡大?
(INTERNET Watch, 2003.01.06)

アイ・サイナップでは (中略) この事件を機にApacheに移行したサーバーが逆にセキュリティー問題を拡大させる結果となっていると指摘している。

 元ネタとおぼしき アイ・サイナップ調査部 Web Serverシェア を見ても、どれだけの組織が「Apacheに移行した」のかが全く示されていないし……。正直言って頭痛がしてくるんですが。次の引用は元ネタから:

今後LinuxをはじめとするUnix系のOSベンダーや導入ユーザーがISO15408にどう対応するかが問われています。

 そういうレベルの問題じゃないと思うんですがねえ……。


2003.01.06

[VulnWatch] Leafnode security announcement SA:2002:01
(VulnWatch, Mon, 30 Dec 2002 05:50:23 +0900)

 leafnode 1.9.20 〜 1.9.29 に弱点。特定の形式の記事により CPU 100% 状態になってしまうため、DoS 攻撃が可能。 1.9.30 と 1.9.31 では修正されている。

PHRACK #60
(bugtraq, Sun, 29 Dec 2002 05:49:00 +0900)

 PHRACK #60。興味深いです。 Big Loop Integer Protection では integer oveflow とその対抗策が示されています。 Basic Integer Overflows もあります。 SMB/CIFS BY THE ROOT は たかはしもとのぶさんによる翻訳版が http://www.monyo.jp/technical/samba/rfc/p60-0x0b.ja.txt にあります。某所で話題になった man in the middle attack は仲介者攻撃と訳されていますね。


[セキュリティホール memo]
私について