セキュリティホール memo - 2004.10

　鶴亀メール 3.70 以前に欠陥。S/MIME の署名検証が不十分である (証明書パスが検証されない、有効期限が検証されない) ため、自己署名証明書を使った電子署名メールを送られても、そうとは気がつかない。

　鶴亀メール 3.71 以降で修正されている。 鶴亀メールの改版履歴 を見る限りでは 3.70 で直っているような気がしないでもないのだが、最新は 3.71 なので、まあいいか。

2004.11.01 追記:

　関連: 開発者のプライドか、それとも「脆弱性」のネガティブイメージの影響か (高木浩光＠茨城県つくば市 の日記, 2004.10.30)。

2004.12.22 追記:

　このままではJVNは役に立たない (高木浩光＠自宅の日記, 12/19)。 鶴亀メールの S/MIME まわりにはさらなる欠陥があり、4.00 版で修正された (「S/MIME電子署名の検証関係での脆弱性のバグ対応」) のだが、 そのことが JVN の記述からはわからない、という指摘。

　IE 6.0 SP1 において URL を詐称するリンクが作成可能だ、という指摘。 手元で試したところ、IE 6.0 SP1 と IE 5.01 SP4 で再現でき、 IE 6.0 SP2 (Windows XP SP2), Mozilla 1.7.3, Opera 7.54 では再現できなかった。 再現できないブラウザを使いましょう。

　……ひろりんさんから (ありがとうございます):

試されたものでは、
<a href="http://www.microsoft.com/"><table><tr><td><a href="http://www.google.com/">Click here</td></tr></table></a>
となっておりますが、これをHTML的に正しそうな状態である、
<a href="http://www.microsoft.com/"><table><tr><td><a href="http://www.google.com/">Click here</a></td></tr></table></a>
のようにテーブル内にもちゃんとを入れてやるとFirefox0.10.1でも、ステータスバーへのリンク先表示がmicrosoftになります。
このとき、リンクをクリックする方法によって、
１）同一ウインドウで表示させると、ステータスバーどおりでmicrosoft
２）他のタブや新ウインドウで表示させると、ステータスバーの内容に反してgoogle
のような挙動を示しました。

　さっそく試してみたところ、手元の Mozilla 1.7.3 でも同様になりました。 Opera 7.54 ではどちらも google が出ました。

2004.11.02 追記:

　さらに新たな手法: Re: New URL spoofing bug in Microsoft Internet Explorer。 例によってテストページをつくってみた。 IE 6.0 SP2 でもひっかかるっぽい (色が変だけど)。 Mozilla 1.7.3 はひっかからない。 Opera 7.54 だとひっかかりそう (よく見れば判断できるかもなのだけど)。

　関連: IEのステータス・バーを偽装する手法が複数公開される (日経 IT Pro, 2004.11.01)

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)

　888952 - [IC2004] MS04-038 適用後、連絡先情報でドラッグ アンド ドロップができない (Microsoft)。InterConnect 2004 で副作用が発生するそうです。

RealPlayer および RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース

　Exploit-RealSkin (マカフィー)。 「現行のエンジン」という書き方は誤解を招きそうだなあ。 英語版。

squid-2.5.STABLE6-SNMP_core_dump: SNMP related denial of service

　fix / patch:

• Debian GNU/Linux: DSA-576-1 squid

PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability

　PuTTY IPv6 も 0.56 ベースになったそうです。

　QuickTime 6.5.2 登場。2 つの欠陥が修正されている。

　QuickTime 6.5.2 は http://www.apple.com/quicktime/download/ から入手できる。 iTunes はイラネという人は QuickTime Standalone Installer から。 (らむじぃさん感謝)

　関連:

• 古暮涼氏による APPLE-SA-2004-10-27 QuickTime 6.5.2 邦訳版: [harden-mac:0690]

• High Risk Vulnerability in Quicktime for Windows。 NGSSoftware が発見したそうだ。詳細は 2005.01.28 に公開する、とされている。

RealPlayer および RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース

　High Risk Vulnerability in RealPlayer。NGSSoftware が発見したそうだ。詳細は 2005.01.27 に公開する、とされている。

Changes since cabextract 1.0

　CVE: CAN-2004-0916

　fix / patch:

• Debian GNU/Linux: DSA-574-1 cabextract -- missing directory sanitising

Apache HTTP Server 1.3.32 リリース

　[Apache-Users 4733] より:

開発者の間でも、release 用のディレクトリに tar ball が置かれたということは実質的にリリースされたようなものだ、という意見はあるようです。ですが、リリースのアナウンスのメール送られていません。来たるべき 1.3.33 のアナウンスでは 1.3.32 は「正式には」リリースされなかったということになっています。

　なんだそりゃ〜。

　PuTTY 0.55 以前に欠陥。SSH2_MSG_DEBUG パケットの処理に欠陥があるため、 悪意ある ssh サーバが PuTTY 動作権限で任意のコードを実行することが可能。 2004-10-26 ANOTHER SECURITY HOLE, fixed in PuTTY 0.56 によると、SSH2 プロトコルにおいては、攻撃はホストキー認証の前に行うことが可能とされている。

　PuTTY 0.56 で修正されている。 また PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ も 0.56 ベースのものが登場している。木村さん情報ありがとうございます。 PuTTY β 0.56 ごった煮版 も 0.56 ベースになったそうです。藤井さん情報ありがとうございます。

　関連: GLSA 200410-29 - PuTTY: Pre-authentication buffer overflow (gentoo.org)。

2004.10.29 追記:

　PuTTY IPv6 も 0.56 ベースになったそうです。

2004.11.01 追記:

　WinSCP 3.71 が出ています。SSH core upgraded to PuTTY 0.56 だそうです。stm_d さん情報ありがとうございます。

　PuTTY 0.56 + IPv6 patch10 + fix01 というものがあるそうです。stm_d さん情報ありがとうございます。

　LM ハッシュを破棄する方法と、その影響。 LM ハッシュは Project RainbowCrack とか使われるとすぐヤラれるらしいです。 セキュリティフライデー，脆弱なパスワードを数秒で解読するシステムを開発 (日経 IT Pro, 5/20) にあるように、NTLM も v2 でないとあれな模様なのですが、その話はきっと Part 2 以降で出てくるのでしょう。

Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037)

　「Program Group Converter の脆弱性」の回避策として「.grp ファイルと grpconv.exe アプリケーションの関連付けを削除するよう .inf ファイルを使用してレジストリの設定を変更する方法」が MS04-037 に記載されていたが、これは、 Windows NT 4.0 と Windows 2000 では機能しないことが判明。 「この回避策は、Windows XP、Windows XP Service Pack1 および Windows Server 2003 でのみ有効です」という注が追記された。

　Windows 用の RealOne Player v1/v2、RealPlayer 10 / 10.5 に欠陥。 DUNZIP32.DLL において buffer overflow する欠陥があり、 悪意あるスキンファイルによって任意のコードを実行可能。 Windows 用の RealPlayer 8 にはこの欠陥はない。 また Mac OS や Linux など、Windows でないプラットホーム向けの RealOne Player / RealPlayer にはこの欠陥はない。 CVE: CVE-2004-1094

　RealPlayer 10.5 (6.0.12.1056) で修正されている。 また、RealOne Player v1/v2、RealPlayer 10 / 10.5 用のアップデートが用意されている。

2004.10.28 追記:

　High Risk Vulnerability in RealPlayer。NGSSoftware が発見したそうだ。詳細は 2005.01.27 に公開する、とされている。

2004.10.29 追記:

　Exploit-RealSkin (マカフィー)。 「現行のエンジン」という書き方は誤解を招きそうだなあ。 英語版。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

　888098 - Windows XP SP2 ベースのコンピュータ上の Ntvdmd.dll ファイルのバージョン番号が、Windows XP SP2 ベースの他のコンピュータまたは更新プログラム MS04-032 に含まれる Ntvdmd.dll のバージョン番号より小さい (Microsoft)。仕様だそうです。

「欧州で流行する“サイバー恐喝”，国内でもDoS対策は不可欠」——米Top LayerのCEO

　関連記事: 警察庁、7〜9月のSYN flood攻撃について分析〜中国への攻撃が最多 (Internet Watch, 10/25)。

国別では中国からの跳ね返りパケットが73,474件で最多、続いて米国が2,267件で2位。警察庁では「この2国からのパケットは定常的に検知しており、両国に対するSYN flood攻撃が常態化している」という。 (中略) 米国からの跳ね返りパケットではオンライン賭博サイトからのものが多く、「企業恐喝にSYM flood攻撃が用いられている可能性が高い」と分析。

　ニセの Red Hat セキュリティ情報が出回っており、これに従って「patch」を適用すると、バックドアが作成される模様です。匿名希望さんご提供 (ありがとうございます) のニセ情報:

• RedHat: Buffer Overflow in "ls" and "mkdir"

　HTML メール、というあたりから怪しさ爆発です。ニセサイト www.fedora-redhat.com には現在は接続できないようです。

　Red Hat は Security and Updates で次のように注意を呼びかけています。

Official messages from the Red Hat security team are never sent unsolicited, are always sent from the address secalert@redhat.com, and are digitally signed by GPG. All official updates for Red Hat products are digitally signed and should not be installed unless they are correctly signed and the signature is verified. For more details see www.redhat.com/security/team/key.html.

　たとえば、ニセメールでは、patch のインストール手順がこのように説明されていました:

* First download the patch from the Security RedHat mirror: wget www.fedora-redhat.com/
fileutils-1.0.6.patch.tar.gz
* Untar the patch: tar zxvf fileutils-1.0.6.patch.tar.gz
* cd fileutils-1.0.6.patch
* make
* ./inst

　しかし、まともな Red Hat の patch であれば GPG 署名された .rpm 形式で配布されるので、このようなインストール手順が記載されるはずがない、ということですね。

　なお、バックドアコードとその解説が http://www.k-otik.com/news/FakeRedhatPatchAnalysis.txt.php に掲載されています。

　関連:

• Red Hatをかたる偽メール出現，危険なプログラムを修正パッチに見せかける (日経 IT Pro, 10/25)
• Red Hat装う偽メール横行、不正プログラムをダウンロード (ITmedia, 10/26)

　[Full-Disclosure] How to Break Windows XP SP2 + Internet Explorer 6 SP2 (http-equiv 氏) と [SA12889] Microsoft Internet Explorer Two Vulnerabilities (secunia) の件。http://www.malware.com/noceegar.html にデモページがある模様。

　PivX の Thor Larholm 氏は 問題の存在を確認し、 QwikFix をインストールしてあれば防げる、としている。 また、

In order for http-equiv's exploit to work the "ceegar.html" file uses the AnchorClick behavior to open "C:\WINDOWS\PCHealth\" in a named window which is then used as a drop target for the DYNSRC pointing to the "malwarez" file. When any behavior in IE tries to list a local directory it uses the Shell.Explorer ActiveX object, an object which has no justification of use inside the browser but which is heavily used by Windows Explorer itself.

ということに関連して、Shell.Explorer ActiveX オブジェクトに kill bit を設定するための .reg ファイルが http://www.pivx.com/research/freefixes/neutershellexplorer.reg で公開されているという。 neutershellexplorer.reg を適用すると、デモページがうまく動かなくなることを手元の Windows XP SP1 で確認した。

2004.11.08 追記:

　888534 - Internet Explorer のセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法 (Microsoft)。 MS04-038 を適用し、インターネットゾーンおよびイントラネットゾーンで「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」を無効とすれば回避できるようです。

2005.02.09 追記:

　MS05-008 と MS05-014 との合わせ技で修正されている。 (CVE: CAN-2005-0053

• SSHD / アノニマス(匿名)CVSにポートバウンス攻撃の脆弱性
• Firewire/IEEE1394に物理的セキュリティ侵害につながる脆弱性

2004.11.19 追記:

　pacsec.jp に参加した方から、Firewire/IEEE1394に物理的セキュリティ侵害につながる脆弱性 は恐いものがあった旨、教えていただいた。 ターゲットコンピュータに IEEE1394 経由で攻撃者のコンピュータを接続し、とあるツールを動かすと、ターゲットコンピュータの内部情報にアクセスできる他、ターゲットコンピュータ上で動作しているプロセスの権限を直接 (!) 変更できたりする……というデモが行われた模様。

2004.11.30 追記:

　FireWire Presentation and Demos on Video (Red Team, 11/18)。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

　MS04-032 の副作用問題、Microsoft により対応されたようです。

• マイクロソフト、修正パッチを当てるとSonicStageが起動しない不具合に対応 (Internet Watch, 2004.10.24)
• 887811 - Windows XP および Windows 2000 にセキュリティ更新プログラム MS04-32 (840987) を適用すると、Sony OpenMG システムを使用する音楽プログラムが正常に動作しなくなる (Microsoft)

　apache 1.3.32 以前の 1.3 系列に欠陥。mod_include に buffer overflow する欠陥があるため、server side include (SSI) が有効なサーバ領域にファイルをアップロードできる場合に、apache サーバ権限で任意のコードを実行することができる。 Exploit は Red Hat Linux 9.0 での実行を確認できている、とされている。 SSI を無効にすれば (デフォルトは無効)、この欠陥は回避できるはず。 CVE: CAN-2004-0940

　参照記事のタイトル自体は「Apache <= 1.3.31 mod_include local buffer overflow Exploit」なのだが、1.3.32 の登場により誤解されかねないので、この記事では <= 1.3.32 に直してある。

　apache-1.3/src/modules/standard/mod_include.c 1.141 ではこの欠陥が修正されている。 1.140 との diff を apache 1.3.32 に適用の上、apache を再構築すればいいのかな。

2004.11.01 追記:

　apache 1.3.33 が出ました。この欠陥が修正されています。 CHANGES_1.3。

• Gentoo Linux: GLSA 200411-03 / apache
• Debian GNU/Linux: DSA-594-1 apache -- buffer overflows
• FreeBSD: apache mod_include buffer overflow vulnerability。 ports/www/apache13/ は 1.3.33 ベースになった。

　apache 1.3.32 が登場しました。

CAN-2004-0492 (cve.mitre.org)
遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。

という欠陥が修正されているそうです。負の Content-Length というと、 先日の Helix Server の潜在的な脆弱性 が想起されます。 Overview of security vulnerabilities in Apache httpd 1.3 (apacheweek.com) を見ると、 CAN-2004-0492 は [Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows の fix である模様。

　apache 1.3.32 のリリースアナウンスにはこんな文章も:

Forensic ロギングが有効になっているときに、ある無効なリクエストを送られると子プロセスがセグメンテーションフォールトを起こす症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。

　mod_log_forensic というものが apache 1.3.30 以降にはあったんですね。知りませんでした。

2004.10.28 追記:

　[Apache-Users 4733] より:

開発者の間でも、release 用のディレクトリに tar ball が置かれたということは実質的にリリースされたようなものだ、という意見はあるようです。ですが、リリースのアナウンスのメール送られていません。来たるべき 1.3.33 のアナウンスでは 1.3.32 は「正式には」リリースされなかったということになっています。

　なんだそりゃ〜。

JVN#61857DA9: DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

　BIND query大量送信によるTCP SYN_SENT状態遷移時のサーバリソース消費に関する問題の分析結果 (IPA, 2004.10.22)

Fixed in Apache httpd 2.0.53-dev: SSLCipherSuite bypass CAN-2004-0885

　mod_ssl 2.8.20-1.3.31 が出ています。この欠陥が修正されています。

　fix / patch:

• Gentoo Linux: GLSA 200410-21
• FreeBSD: ports/www/apache13-modssl/、 ports/www/apache2/。apache13-modssl は 1.3.31+2.8.20 で、apache2 は 2.0.52_1 以降で修正されている。

　Mozilla や Opera などの多くのタブ対応 web ブラウザに欠陥。

• 非アクティブなタブにおける JavaScript なダイアログを、あたかも他のアクティブなタブに存在するように表示させることが可能。利用者は、アクティブなタブが示すサイトからのダイアログ表示だと勘違いしてしまう。 デモサイトが公開されている。

• 非アクティブなタブの form フィールドへ、フォーカスを強制することができてしまう。利用者は、アクティブなタブが示すサイトの form に入力していると勘違いしてしまう。 デモサイトが公開されている。

　Secunia によると、Mozilla 1.7.3, Firefox 0.10.1, Netscape 7.2, Avant Browser 9.02 / 10.0, Maxthon (MyIE2) 1.1.039 には両方の欠陥があるという。 また Opera 7.54 には前者の欠陥がある (後者については存在しない) という。 手元の Mozilla 1.7.3 でも欠陥の存在を確認できた。

　窓の杜によると、Sleipnir 1.66, WeBox 0.98A,すごいたぶちさん 4.0 にも両方の欠陥があるという。 また Collector 3.2 には前者の欠陥がある (後者については存在しない) という。 影鷹 0.3.1 にはどちらの欠陥も存在しないという。

　回避するには JavaScript (アクティブスクリプト) を無効とすればよい。 各ブラウザとも、修正版はまだ存在しないようだ。

　cabextract 1.0 以前に欠陥。.. バグがあり、意図しない場所にファイルが展開される恐れがある。 cabextract 1.1 で修正されている。 CVE: CAN-2004-0916

• Debian GNU/Linux: DSA-574-1 cabextract -- missing directory sanitising
• FreeBSD: ports/archivers/cabextract/。まだ直ってない。
  cabextract -- insecure directory handling

　Google Script Insertion Exploit の話のようです。 ITmedia 記事では「修正した」と過去形ですが、 Google Desktop Exploit で Jim Ley 氏は

Google have now patched their boxes, and the last time I saw the exploit working was 5:51 GMT on 20th October 2004, the fix doesn't seem to be complete to me - it still special cases the strings javascript and vbscript, so it's still possible to put things other than http urls into the img (which seems to be the only logical thing to allow to me)

と、「fix はまだ完全じゃない」と主張しています。

　権威ある DNS サーバが 53/tcp への問いあわせに答えないと、 DNS キャッシュサーバに負荷がかかる、という話。 DNS Anomalies and Their Impacts on DNS Cache Servers (NANOG) の前半にあるのは、 Antinny - www.accsjp.or.jp 話 (DDoS 食らってるからといって A レコードを削除するのはやめましょう)。 RFC3330: 特別に使用する IPv4 アドレス というものがあるんですね。TEST-NET ですか……。

　自分が管理している「権威ある DNS サーバ」が 53/tcp への問いあわせにもちゃんと答えることを簡単に確認するには、どうすればよいのだろう。 長大な回答になる逆引きを 1 個用意して、それが引けるかどうかを見ればよいのかな。

　…… bind 8 の dig だと +vc、bind 9 の dig だと +vc か +tcp というオプションが使えるようです。 加納さん、山本さん情報ありがとうございます。 bind 9.3.0 の dig(1) より:

+[no]tcp

Use [do not use] TCP when querying name servers. The default behaviour is to use UDP unless an AXFR or IXFR query is requested, in which case a TCP connection is used.

+[no]vc

Use [do not use] TCP when querying name servers. This alternate syntax to +[no]tcp is provided for backwards compatibility. The "vc" stands for "virtual circuit".

2004.10.22 追記:

　BIND query大量送信によるTCP SYN_SENT状態遷移時のサーバリソース消費に関する問題の分析結果 (IPA, 2004.10.22)

2004.11.26 追記:

　Internet-Draft が出たそうです:

• Internet-Draft: DNS authoritative server misconfiguration and a countermeasure in resolver (JPRS)
• IETF61 での発表資料 (JPRS)

　LibTIFF 3.6.1 以前に複数の欠陥。

• RLE 圧縮を伸張するコードに heap overflow する欠陥がある (3 か所)。 CESA-2004-006: libtiff-3.6.1 image decoder parsing flaws (Chris Evans)。 CVE: CAN-2004-0803
• integer overflow を通じて 0 割りが発生。 CVE: CAN-2004-0804
• integer overflow する欠陥がある。 CVE: CAN-2004-0886

　LibTIFF 3.7.0 で修正されている。

• Fedora Core: [SECURITY] Fedora Core 2 Update: libtiff-3.5.7-20.2。 CAN-2004-0804 は直っているのかなあ。
• Gentoo Linux: GLSA 200410-11。直っているのは CAN-2004-0803 だけ。
• Debian GNU/Linux: [SECURITY] [DSA 567-1] New libtiff packages fix remote code
• FreeBSD: ports/graphics/tiff/。最新は 3.7.0 ベースになっている。
  tiff --- RLE decoder heap overflows, tiff -- multiple integer overflows

　squid 2.5 以前に欠陥。 SNMP 機能が有効な場合に、細工した SNMP リクエストにより squid が Segmentation Fault し再起動してしまう。

• CVE: CAN-2004-0918
• Squid Web Proxy Cache Remote Denial of Service Vulnerability (iDEFENSE)

　squid 2.5.STABLE6 用の patch が用意されている他、squid 2.5.STABLE7 で修正されている。また、squid.conf に snmp_port 0 とすることで回避できる。

• Fedora Core: [SECURITY] Fedora Core 2 Update: squid-2.5.STABLE5-4.fc2.2
• Gentoo Linux: GLSA 200410-15
• Debian GNU/Linux: DSA-576-1 squid
• FreeBSD: squid -- SNMP module denial-of-service vulnerability.

CUPS STR #920: Device URIs containning username & password end up in error_log

　fix / patch:

• Debian GNU/Linux: [SECURITY] [DSA 566-1] New CUPS packages fix information leak

[Full-Disclosure] GNU sharutils <= 4.2.1 Format String POC

　fix / patch:

• FreeBSD: ports/archivers/sharutils/。 4.2.1_2 で修正されている。
  sharutils -- buffer overflows

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

　885920 - MS04-028 Enterprise Update Scanning Tool の入手方法および Systems Management Server を使用している環境での使用方法 (Microsoft)。

[Full-Disclosure] iDEFENSE Security Advisory 10.18.04: Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability

　Exploit-ZIP (マカフィー)。DAT4398 で対応。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

　この patch の適用により、副作用の発生するソフトが存在するようです。

• Windowsのパッチ適用でサードパーティのソフトウエアが動作しなくなる (日経 IT Pro, 10/19)

　複数のアンチウイルス製品に欠陥。 .zip ファイルのヘッダ情報の検証手法に欠陥がある。 .zip ファイルの 2 つのファイルヘッダ (local ヘッダと global ヘッダ) における非圧縮時のファイルサイズ情報を、.zip アーカイブとしての機能が損なわれない (WinZip や Windows XP の圧縮フォルダがきちんと機能する) 程度に改変すると、既知のウイルスがウイルス検査をすり抜けることができるという。 iDEFENSE は、マカフィー、コンピュータアソシエイツ (CA)、Kaspersky、Sophos、Eset、RAV の製品において現象を確認した、としている。

　マカフィー (CVE: CAN-2004-0932) は、DAT4398 にこの問題への対応が含まれているそうだ。最新 DAT は 4399。

　CA (CVE: CAN-2004-0933) は、http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp において、問題の説明と、修正プログラムの配布が行われている。

　Kaspersky (CVE: CAN-2004-0934) は、3.x / 4.x は次の累積的更新で、5.x は次のメインテナンスパックで、対応されるようだ。

　Eset (CVE: CAN-2004-0935) は、2004.09.16 21:00 CET に公開された archive-support module version 1.020 で対応されているそうだ。手元の NOD32 では 「アーカイブサポートバージョン 1.021 (20040917)」になっていた。

　Sophos (CVE: CAN-2004-0937) および RAV (CVE: CAN-2004-0936) については情報なし、とされている。

　WinZip などで展開される段階か、個別のファイルが実行される段階で、ウイルス検査にひっかかるだろうから、実害は大きくはなさそうな気はする。 また、本当に欠陥があるのは WinZip や Windows XP の圧縮フォルダ、のような気がする。

　関連: 複数のウイルス対策ソフトにぜい弱性，ZIPファイルを適切にチェックできない (日経 IT Pro, 10/19)

2004.10.20 追記:

　Exploit-ZIP (マカフィー)。DAT4398 で対応。

2004.11.24 追記:

　関連か: F-Secure Security Bulletin FSC-2004-3: ZIP-files with zero size may bypass scanning。 修正プログラムがあるので適用すればよい。

　そういう時代のようです。

2004.10.26 追記:

　関連記事: 警察庁、7〜9月のSYN flood攻撃について分析〜中国への攻撃が最多 (Internet Watch, 10/25)。

国別では中国からの跳ね返りパケットが73,474件で最多、続いて米国が2,267件で2位。警察庁では「この2国からのパケットは定常的に検知しており、両国に対するSYN flood攻撃が常態化している」という。 (中略) 米国からの跳ね返りパケットではオンライン賭博サイトからのものが多く、「企業恐喝にSYM flood攻撃が用いられている可能性が高い」と分析。

ハードディスクレコーダーからのコメントスパム攻撃

　JVN#E7DDE712: 東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能 (JVN)。

　Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 Network Dynamic Data Exchange (NetDDE) サービスに buffer overflow する欠陥があり、remote から任意のコードの実行が可能。 ただし、NetDDE サービスはデフォルトでは動作していない。 CVE: CAN-2004-0206

　修正プログラムがあるので適用すればよい。Windows NT Workstation 4.0 については、有償サポートに問いあわせること。

2005.01.31 追記:

• Microsoft NetDDE Service Unauthenticated Remote Buffer Overflow
• [EXPL] (MS04-031) NetDDE buffer overflow vulnerability PoC、 follow for Linux

2006.06.26 追記:

　MS04-031 patch に副作用があるようです。

• 915365 - A distributed application stops responding, or the network connection fails after you install Microsoft Security Update MS04-031 (Microsoft)

　有償サポートから patch をもらえるようです。

　Windows 2000 / XP / Server 2003 上の IIS 5.0 / 5.1 / 6.0 に欠陥。 特殊な WebDAV リクエストにより IIS が CPU・メモリを食いつくすため DoS 攻撃が成立。復旧には IIS の再起動が必要。 CVE: CAN-2004-0718

　修正プログラムがあるので適用すればよい。 適用すると MSXML 3.0 Service Pack 5 がインストールされる。

　Windows NT 4.0 SP6a / Windows NT 4.0 Server TSE 6.0 に欠陥。 RPC ランタイムライブラリに buffer overflow する欠陥があり、remote からメモリの読み取りや DoS 攻撃が可能。 CVE: CAN-2004-0569。 関連: BindView Advisory: Memory Leak and DoS in NT4 RPC server。

　修正プログラムがあるので適用すればよい。Windows NT Workstation 4.0 については、有償サポートに問いあわせること。

　Apache 2.0.35〜2.0.52 に欠陥。 directory あるいは location コンテキストにおいて SSLCipherSuite ディレクティブが使われており、 特定の暗号アルゴリズムを指定している場合に、 実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう。 CVE: CAN-2004-0885

　Apache 2.0.53 で修正される。開発版にはすでに修正が含まれている。

2004.10.22 追記:

　mod_ssl 2.8.20-1.3.31 が出ています。この欠陥が修正されています。

• Red Hat Linux ES 3: RHSA-2004:562-11
• Fedora Core:
  [SECURITY] Fedora Core 2 Update: httpd-2.0.51-2.9
  [SECURITY] Fedora Core 3 Update: httpd-2.0.52-3.1
• Turbolinux: TLSA-2005-2
• Gentoo Linux: GLSA 200410-21
• Vine Linux: [ 2004,10,27 ] apache2 にセキュリティホール
• FreeBSD: ports/www/apache13-modssl/、 ports/www/apache2/。apache13-modssl は 1.3.31+2.8.20 で、apache2 は 2.0.52_1 以降で修正されている。

2005.02.11 追記:

　Apache 2.0.53 が登場した。 CHANGES_2.0

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

　ClamAV 0.80rc4 が出ています。手元で試してみたところ、 0.75.1 では検出できない MS04-028 攻略 JPEG ファイルをきちんと検出できることを確認できました。

　2004.10.13 付で MS04-028 が改訂されています。

• Windows XP SP2 上の Office XP、Visio 2002、Project 2002 に対する、 改定版のセキュリティ更新プログラムが登場しています。 最初のセキュリティ更新プログラムは、うまく適用されないことがあった模様です。

  • 885876 - Important information that you must know about the MS04-028 security updates if you are using Windows XP Service Pack 2 (Microsoft)
  • 886992 - Software updates that prevent certain MS04-028 security updates from installing correctly (Microsoft)

  具体的には、%Programfiles%\Common Files\Microsoft Shared\Office10\Mso.dll が正しくアップデートされなかったようです。 改訂版では、この問題が修正されています。 自動更新や Windows Update、 Office Update で適用できるそうです。

  FAQ の「9 月に提供された Office XP のセキュリティ更新プログラムをインストールしましたが mso.dll のファイルバージョンが古いままでした。何か問題がありますか？」も参照。

• MS04-028 Enterprise Update Scanning Tool が登場しています。

  • 886988 - How to obtain and use the MS04-028 Enterprise Update Scanning Tool in environments that do not use Systems Management Server (Microsoft)

  関連: 米MS，JPEGファイル処理のセキュリティ・ホールをチェックする企業向けツールを公開 (日経 IT Pro, 2004.10.13)

• Windows 2000 用の Windows Journal Viewer 更新プログラムが登場しています。MS04-028 からダウンロードできます。自動更新や Windows Update からも適用できます。

  FAQ の「Windows Journal Viewer 用の更新プログラムが 2004 年 10 月 12 日 （米国日付） にリリースされたのはなぜですか?」も参照。

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)

　関連: ACROS Security: Poisoning Cached HTTPS Documents in Internet Explorer

Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033)

　関連: Buffer Overflow In Microsoft Excel。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

　関連: SetWindowLong Shatter Attacks。

　IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 / SP2 に複数の欠陥。

• CSS ヒープメモリの破損の脆弱性 - CAN-2004-0842

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 に欠陥。 CSS (Cascading Style Sheets) の処理において buffer overflow する欠陥があり、攻略 CSS により任意のコードを実行可能。

• 類似したメソッド名によるリダイレクトのクロスドメインの脆弱性 - CAN-2004-0727

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 に欠陥。 クロスドメイン セキュリティモデルの実装に欠陥があり、ローカルコンピュータゾーン権限で任意のスクリプトを実行可能。

  MSIE Similar Method Name Redirection Cross Site/Zone Scripting Vulnerability の話だそうだ。 報告者は Windows XP SP2 で確認したとしているが、報告日 (7/11) から見て、Windows XP SP2 RC1 以前の話と思われ。

• インストールエンジンの脆弱性 - CAN-2004-0216

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 に欠陥。 IE のインストールエンジン inseng.dll に buffer overflow する欠陥があり、 攻略 web ページや HTML メールによって任意のコードを実行可能。

• ドラッグアンドドロップの脆弱性 - CAN-2004-0839

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 / SP2 に欠陥。 ドラッグ & ドロップ処理機構がいくつかの DHTML イベントを正確に検出しないため、攻略 web ページでクリックすると、ファイルが自動的にダウンロードされてしまう。このときダイアログは一切表示されない。

  IEのドラッグ＆ドロップ処理に深刻な脆弱性、XP SP2でも防げず の件の修正。

• 2 バイト文字セットを使用するシステムにおけるアドレスバーのなりすましの脆弱性 - CAN-2004-0844

  IE 6.0 gold / SP1 に欠陥。2 バイト文字セット利用時の HTTP URL の解析に欠陥があり、 アドレスバーを詐称できてしまう。

• プラグインナビゲーションアドレスバーを使用したなりすましの脆弱性 - CAN-2004-0843

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 6.0 gold / SP1 に欠陥。 プラグインからのナビゲーションを処理する方法に欠陥があり、アドレスバーを詐称できてしまう。

• 画像タグのスクリプトによるファイルダウンロードの脆弱性 - CAN-2004-0841

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 に欠陥。 IMG タグにおけるスクリプトの検証に欠陥があり、ファイルを自動的にダウンロードさせることが可能。このときダイアログは一切表示されない。 [Full-Disclosure] Brand New Hole: Internet Explorer: HijackClick 3 の件。

• SSL キャッシュの脆弱性の脆弱性 - CAN-2004-0845

  IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 に欠陥。 SSL セッションにおけるコンテンツの検証処理に欠陥があり、 非 SSL サイトにアクセスした時にキャッシュされたコンテンツが、同ドメイン名の SSL サイトにアクセスした時にも表示されてしまう。

  関連: ACROS Security: Poisoning Cached HTTPS Documents in Internet Explorer

　修正プログラムがあるので適用すればよい。 なお、この修正プログラムを適用すると以下の状況が発生する。

• window.showHelp() コントロールは機能しない (MS03-004 以降と同様)。

• username:password@example.com URL は機能しない (MS04-004 と同様)。

• hrtbeat.ocx ActiveX コントロールに Kill Bit が設定される。

• インターネットから showHelp メソッドで HTML ヘルプファイルを開く際に行われるセキュリティチェックが、より厳しくなった。 これにより、インターネットゾーン上の Web ページから、 ローカルコンピュータ上の HTML ヘルプファイルをナビゲートすることが禁止される。

• Windows XP 上の IE におけるセキュリティ設定「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」の機能が修正された。 これを「無効にする」あるいは「ダイアログを表示する」と設定した場合での、 ファイルをドラッグ / ドロップ / コピー / ペーストした場合における動作が、 Setting Up Security Zones (Windows 2000 Server Resource Kit → IE 5 Resource Kit → Part 1 → Chapter 7) に記載されているものと異なっていたが、ドキュメントと同一となるよう修正された。

• ドラッグ & ドロップイベントで使用される画像要素の検証が強化された。 ドラッグ & ドロップイベントにおける要素が正しい画像でないと判断されると、その画像は拒否される。 で、詳細は KB 887437 参照……と FAQ に書いてあるのだが、887437 は Systems Management Server deployment packages are available for MS04-038 security updates for Internet Explorer 6 SP1 というものなんですが……。これ、正しい参照先なんですか? > Microsoft。

• 関数ポインタ用の検証が強化された。 イベントハンドラが DOM 関数を直接ポイントすると、強化された検証が実行される。887741 - Internet Explorer does not execute code when an event handler is set to directly reference a DOM function after you install the MS04-038 security update 参照。

2004.10.14 追記:

　ACROS Security: Poisoning Cached HTTPS Documents in Internet Explorer を追加。

2004.10.29 追記:

　888952 - [IC2004] MS04-038 適用後、連絡先情報でドラッグ アンド ドロップができない (Microsoft)。InterConnect 2004 で副作用が発生するそうです。

2004.11.10 追記:

　MS04-038 の 2004.11.10 付変更に対応し、heartbeat.ocx を hrtbeat.ocx に修正。

　Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に複数の欠陥。

• シェルの脆弱性 - CAN-2004-0214

  Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) に欠陥。 Windows シェルに buffer overflow する欠陥があり、攻略リンクをクリックすることにより任意のコードを実行させることが可能。

• Program Group Converter の脆弱性 - CAN-2004-0572

  Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に欠陥。Program Group Converter に buffer overflow する欠陥があり、.grp ファイルを利用して任意のコードを実行させることが可能。

　Windows NT 4.0 Server / 2000 / XP (SP1 以前) / Server 2003 用の修正プログラムが用意されているので適用すればよい。Windows XP SP2 ではこれらの欠陥は既に修正されている。 Windows 98 / 98 SE / Me / NT 4.0 Workstation については、修正プログラムがほしければ有償サポートと相談する。

　修正プログラムをインストールすると、Windows XP と Server 2003 においては、Windows XP SP2 と同様に、shell: プロトコルが無効化される。

2004.10.27 追記:

　「Program Group Converter の脆弱性」の回避策として「.grp ファイルと grpconv.exe アプリケーションの関連付けを削除するよう .inf ファイルを使用してレジストリの設定を変更する方法」が MS04-037 に記載されていたが、これは、 Windows NT 4.0 と Windows 2000 では機能しないことが判明。 「この回避策は、Windows XP、Windows XP Service Pack1 および Windows Server 2003 でのみ有効です」という注が追記された。

　Windows NT 4.0 Server / 2000 Server / Server 2003 に欠陥。 NNTP コンポーネントに欠陥があり、remote から任意のコードを実行可能。 CVE: CAN-2004-0574

　修正プログラムがあるので適用すればよい。 この欠陥を回避するには、port 119, 563 を遮断したり、NNTP を無効にしたりすればよい。

　Exchange Server 2003、Windows XP 64-Bit Edition Version 2003 / Server 2003 に欠陥。SMTP コンポーネント (reapi.dll / smtpsvc.dll) における DNS 照会に欠陥があり、攻略 DNS レスポンスによって任意のコードの実行が可能。 CVE: CAN-2004-0840

　修正プログラムがあるので適用すればよい。 なお、Windows Server 2003 上に Exchange Server 2003 をインストールした場合は、Windows Server 2003 用の修正プログラムだけをインストールする。 一方、Windows 2000 Server 上に Exchange Server 2003 をインストールした場合は、 Exchange Server 2003 用の修正プログラムをインストールする。

　この欠陥を利用した攻撃を回避するには、53/tcp を遮断すればよい。

2005.02.10 追記:

　Exchange 2000 Server もこの欠陥の影響を受けることが判明。 Exchange 2000 Server SP3 用の修正プログラムが用意された。 なお、この修正プログラムを適用するには「2004 年 8 月公開の Exchange 2000 Server Service Pack 3 以降の更新プログラムの ロールアップ」が必要。

　Windows XP / Server 2003 に欠陥。 Windows XP / 2003 における 圧縮 (zip 形式) フォルダの処理において、 DUNZIP32.DLL に buffer overflow する欠陥があるため、 攻略 zip ファイルによって任意のコードを実行させることが可能。 攻略 zip ファイルを添付してメールを送ったり、web ページ上に設置して閲覧させるといった攻撃が考えられる。 CVE: CAN-2004-0575

　修正プログラムがあるので適用すればよい。 この欠陥を回避するには、regsvr32 /u zipfldr.dll によって圧縮 (zip 形式) フォルダ処理の登録を解除すればよい。

　関連: [Full-Disclosure] EEYE: Windows Shell ZIP File Decompression DUNZIP32.DLL Buffer Overflow Vulnerability

2004.12.21 追記:

　[Full-Disclosure] Compressed files overflow

　Office 2000 SP3 / Excel 2000 SP3 以前、Office XP SP2 / Excel 2002 SP2 以前、 Office 2001 / Excel 2001 for Mac、Office v.X / Excel v.X for Mac に欠陥。 攻略 Excel ファイルを開くと任意のコードが実行される、ような欠陥が存在する模様。 Mac OS 版 Excel にも欠陥があるので注意されたい。 攻略 Excel ファイルを添付してメールを送ったり、web ページ上に設置して閲覧させるといった攻撃が考えられる。 Office XP SP3、Office 2003 / Excel 2003、Excel 2004 for Mac にはこの欠陥はない。CVE: CAN-2004-0846

　修正プログラムが存在するので適用すればよい。 Office 2000 / XP / 2003 では Office Update が利用できる。その他の場合は MS04-033 から個別の修正プログラムを入手し適用する。

2004.10.14 追記:

　関連: Buffer Overflow In Microsoft Excel。

　Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に複数の欠陥。

• 「Window Management」の脆弱性- CAN-2004-0207

  Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 の Windows Management API に欠陥があり、local user による権限上昇が可能。

  関連: SetWindowLong Shatter Attacks

• VDM （仮想 DOS マシン）の脆弱性- CAN-2004-0208

  Windows NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 の VDM (仮想 DOS マシン) サブシステムに欠陥があり、local user による権限上昇が可能。

  関連: [Full-Disclosure] EEYE: Windows VDM #UD Local Privilege Escalation。6 か月かかったそうです。

• Graphics Rendering Engine の脆弱性- CAN-2004-0209

  Windows 2000 / XP (SP1 以前) / Server 2003 の Graphics Rendering Engine Windows メタファイル (WMF) および拡張メタファイル (EMF) 画像形式のレンダリング処理に欠陥があり、攻略 WMF / EMF ファイルによって任意のコードの実行が可能。 攻略 WMF / EMF ファイルを添付してメールを送ったり、web ページ上に設置して閲覧させるといった攻撃が考えられる。

  JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028) に類似の攻撃が可能だと考えられるが、MS04-028 とは違い、この欠陥は 3rd party ソフトには派生しないという。

• Windows カーネルの脆弱性- CAN-2004-0211

  Windows Server 2003 のカーネルに欠陥があり、local user がシステムをハングさせることが可能。

　Windows NT 4.0 Server / 2000 / XP (SP1 以前) / Server 2003 用の修正プログラムが用意されているので適用すればよい。Windows XP SP2 ではこれらの欠陥は既に修正されている。 Windows 98 / 98 SE / Me / NT 4.0 Workstation については、修正プログラムがほしければ有償サポートと相談する。

2004.10.20 追記:

　この patch の適用により、副作用の発生するソフトが存在するようです。

• Windowsのパッチ適用でサードパーティのソフトウエアが動作しなくなる (日経 IT Pro, 10/19)

2004.10.25 追記:

　MS04-032 の副作用問題、Microsoft により対応されたようです。

• マイクロソフト、修正パッチを当てるとSonicStageが起動しない不具合に対応 (Internet Watch, 2004.10.24)
• 887811 - Windows XP および Windows 2000 にセキュリティ更新プログラム MS04-32 (840987) を適用すると、Sony OpenMG システムを使用する音楽プログラムが正常に動作しなくなる (Microsoft)

2004.10.26 追記:

　888098 - Windows XP SP2 ベースのコンピュータ上の Ntvdmd.dll ファイルのバージョン番号が、Windows XP SP2 ベースの他のコンピュータまたは更新プログラム MS04-032 に含まれる Ntvdmd.dll のバージョン番号より小さい (Microsoft)。仕様だそうです。

2004.11.19 追記:

　WORM_GOLTEN.A (トレンドマイクロ)。 Graphics Rendering Engine の脆弱性- CAN-2004-0209 を利用するウイルスだそうです。

2004.12.14 追記:

　Microsoft Windows Metafile (.emf) Heap Overflow Exploit (MS04-032) (k-otik.com)。

　NTT 東日本のブロードバンドルータ Web Caster X400V に欠陥。メールの添付ファイルとしてメールが添付されていると、添付されている方のメールにウイルスが存在したとしても、ウイルスチェックをすり抜けてしまうことがある模様。 更新版ファームウェアが用意されているので更新すればよい。

　しかし、「機能改善」ですか……。

「InterScan VirusWall for UNIX 3.8 サービスパック 1 用 Patch1」 「InterScan VirusWall for UNIX 3.81 用 Patch1」公開のお知らせ

　吉村さんから (ありがとうございます):

ISVW for UNIXの XSSですがTrendMicroに問い合わせてみた結果、以下のような 脆弱性である可能性が高いという結論に達しました。

• http/ftp スキャンにおいて、ウイルス検出されたURLの表示は実際にリクエス トされたURLそのまま(エスケープ処理が無いか、不完全)であり、ファイル名や ディレクトリ名部にhtml等をそのまま挿入することが現実的に可能である

これについてはウイルスURLを表示しない、という選択肢が無いため、回避する 方法がないと思われます。

http://www.example.com/<SCRIPT />スクリプト本体</SCRIPT>/eicar.txt
とか。
＊生憎手元にISVWをインストールした環境がないのでテストできておりません

　[memo:7796] Fw: イーバンク銀行が導入したキーワード確認機能はフィッシング詐欺防止にならない の話。624 行あるねたメモに埋もれてた…… orz。

　イーバンクは PayPal と提携しているのですか。 PayPal の Security Center には

Avoid Fake Websites
Log in safely to your account. Open a new web browser (e.g., Internet Explorer or Netscape) and type in the following: https://www.paypal.com/

と書かれていますが、一方のイーバンクは https://www.ebank.co.jp/ を提供していないようですね。

　[HV-HIGH] MS Word multiple exceptions, at least one exploitable の話。 MSに連絡せずOfficeの欠陥を発表したセキュリティ会社 (日経 IT Pro, 2004.10.11) とか勘違いしている人がいるようだが、 Secunia が発見・発表したわけじゃない。 勘違いよけのためか、 Microsoft Word Document Parsing Buffer Overflow Vulnerability (Secunia) にもこんな註釈がついている:

Please note: The information, which this Secunia Advisory is based upon, comes from third party unless stated otherwise.

Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

　発見者自身は「MS Word 2002 (10.6612.6714) SP3 with all the latest patches」で確認した、としている。また Secunia は 「The vulnerability has been confirmed in Microsoft Word 2000, but has also been reported in Microsoft Word 2002.」としている。

2005.04.26 追記:

　Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023) で修正された。

　Mac OS X 10.2.8 / 10.3.5 用のセキュリティアップデート登場 (古暮涼氏による邦訳版)。 修正されているのは:

• AFP Server: CAN-2004-0921 CAN-2004-0922
• CUPS: CAN-2004-0558 CAN-2004-0923
• NetInfo Manager: CAN-2004-0924
• postfix: CAN-2004-0925
• QuickTime: CAN-2004-0926
• ServerAdmin: CAN-2004-0927

　QuickTime と ServerAdmin は 10.2.8 にも該当、残りは 10.3.5 のみ。

　PHP 4.3.9 / 5.0.2 が登場。これらにおいて、次の欠陥が修正されているという。

• Php RFC1867 Upload Vuln. POC Released

  PHP を利用したアップロードサイトを構築している場合に欠陥が発現。 PHP スクリプトにおいて、 $_FILES の要素名にアンダースコア '_' が含まれている場合、 特殊な name 属性を設定した multipart/form-data ファイルを アップロードすることにより、これを上書きできてしまう。 これを利用すると、PHP マニュアルに記載されている除染処理を突破できてしまう。

  上記リンクに含まれる、失敗する除染処理例のオリジナル版の日本語版を 第 18章ファイルアップロードの処理 (PHP マニュアル) で見ることができる。

  Re: [VulnDiscuss] Php RFC1867 Upload Vuln. POC Released によると、 php_variables.c 1.45.2.7、 rfc1867.c 1.122.2.26 で修正されているそうだ。

• [VulnWatch] PHP Vulnerability N. 1

  php_variables.c における配列処理に欠陥があり、PHP が利用しているメモリの内容を見ることができてしまう。全ての GET, POST, COOKIES 変数が影響する。 修正個所が示されている。

• Gentoo Linux: GLSA 200410-04
• FreeBSD: ports/lang/php4/、 ports/lang/php5。4.3.9 / 5.0.2 に移行。
  php -- vulnerability in RFC 1867 file upload processing
  php -- php_variables memory disclosure

　CUPS 1.1.21 以前 (?) に欠陥。 認証が必要なデバイスに印刷する場合に、ユーザ名とパスワードが error_log に記録されてしまう模様。 GLSA 200410-06 には「認証の必要な SMB 共有プリンタに遠隔プリントする場合に」と書かれている。 CVE: CAN-2004-0923

　CUPS 1.1.22rc1 で修正されている。

• Fedora Core: [SECURITY] Fedora Core 2 Update: cups-1.1.20-11.4
• Gentoo Linux: GLSA 200410-06
• Debian GNU/Linux: [SECURITY] [DSA 566-1] New CUPS packages fix information leak
• FreeBSD: ports/print/cups/"。ぜんぜん直ってなさげ。
• Mac OS X: APPLE-SA-2004-09-30 Security Update 2004-09-30

　Foomatic 3.0.1 以前に欠陥。 foomatic-rip に欠陥があり、remote user が lp などのプリンタスプーラユーザ権限で任意のコマンドを実行できてしまう。 Foomatic 3.0.2 で修正されている。 CVE: CAN-2004-0801

• Fedora Core: [SECURITY] Fedora Core 2 Update: foomatic-3.0.1-3.1
• SUSE Linux: SUSE-SA:2004:031
• Gentoo Linux: GLSA 200409-24

　CUPS 1.1.20〜1.1.21rc1 に欠陥。 空の udp パケットを port 631 に送ると、cupsd が port 631 を listen しなくなってしまうため、DoS 攻撃が成立。 CUPS 1.1.21rc2 で修正されている。 STR #863: denial of service hole in CUPS がそれだそうだが、 Common UNIX Printing System 1.1.21rc2 (cups.org) にはなぜか掲載されていない。 CVE: CAN-2004-0558

• Red Hat Linux ES 3: RHSA-2004:449-17
• Fedora Core: [SECURITY] Fedora Core 2 Update: cups-1.1.20-11.3
• SUSE Linux: SUSE-SA:2004:031
• Gentoo Linux: GLSA 200409-25
• Debian GNU/Linux: DSA-545-1 cupsys -- サービス不能 (DoS) 攻撃
• FreeBSD: ports/print/cups/"。ぜんぜん直ってなさげ。
• Mac OS X: APPLE-SA-2004-09-30 Security Update 2004-09-30

　SANS Top 20 の 2004 年版。Windows の Top 10 と UNIX の Top 10 をあわせて Top 20 です。2003 年版 とくらべると:

　「W10 IM」とか「U4 Version Control Systems」「U10 Kernel」が目新しいですかね。

　日本語版 PDF もあるんですね。ありがたいことです。_o_

　WebSphere Application Server v4.0/v5.0/v5.1 に欠陥。 "Divide and Conquer": HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics (sanctuminc.com) で述べられている HTTP Response Splitting 攻撃の影響を受けてしまい、クロスサイトスクリプティング攻撃や Web Cache 汚染攻撃、 結果として 悪意あるサイトへの情報漏洩などが発生するという。 匿名希望さん情報ありがとうございます。 紹介がとんでもなく遅くてごめんなさい。

　patch があるので適用すればよい。patch を適用すると、HTTP Response Splitting 攻撃に対してはエラーコード 500 が返るようになるという。

　SAC とは……。"Divide and Conquer": HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics に掲載されているのは WAS だけじゃないんですけねえ。

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース

　関連:

• EEYE: RealPlayer pnen3260.dll Heap Overflow。 pnen3260.dll における .rm ファイルの処理に欠陥があり、integer overflow が発生。これを利用して直接 heap を上書きできてしまうため、攻撃者は任意のコードを実行可能。

• Patch available for multiple high risk vulnerabilities in RealPlayer (NGSSoftware)。 詳細は 2005.01.06 に公開する、とされている。

ColdFusion / JRun ねた

• [Full-Disclosure] iDEFENSE Security Advisory 10.05.04a: ColdFusion MX 6.1 on IIS File Contents Disclosure。MPSB04-09 の話。 CVE: CAN-2004-0928

• [Full-Disclosure] iDEFENSE Security Advisory 09.29.04 - Macromedia JRun 4 mod_jrun Apache Module Buffer Overflow Vulnerability 。MPSB04-08 の話。 CVE: CAN-2004-0646

報告された Microsoft ASP.NET の脆弱性に関する情報

　Handler's Diary October 6th 2004 (SANS ISC) に関連情報があります。URL の '/' を '\' や '%5C' にするとアレな状況になってしまうようです。

　報告された Microsoft ASP.NET の脆弱性に関する情報 (Microsoft) が 10/8 に更新されています。

この問題を緩和する選択肢として、HTTP モジュールインストーラを使用できます。緩和策としてこのモジュールが使用できることになったのをお知らせするために、このページは 2004 年 10 月 7 日 (米国日付) に更新されました。このモジュールは、Web サーバー上の全 ASP.NET アプリケーションを、マイクロソフトが現時点で把握しているすべての正規化の問題から保護します。

Samba Security Announcement -- Potential Arbitrary File Access

　CVE: CAN-2004-0815

　fix / patch:

• Debian GNU/Linux: [SECURITY] [DSA 600-1] New samba packages fix arbitrary file access

　iDEFENSE Security Advisory 10.07.04: RealNetworks Helix Server Content-Length Denial of Service Vulnerability の件。 9.0.4.958 以前の Helix Universal Server 9 に欠陥。Content-Length に -1 を設定した POST リクエストによって DoS 攻撃が可能。Helix Universal Server 9.04 (9.0.4.960) で修正されている。

　CVE: CAN-2004-0774

　Norton AntiVirus と Sophos AntiVirus において、MS-DOS 予約デバイス名の取り扱いに欠陥がある。AUX, CON, PRN, COM1, LPT1 といった MS-DOS 予約デバイス名でウイルスを設置すると、そのウイルスに対する検査が回避されてしまう。 関連: Norton AntiVirusにセキュリティ・ホール，MS-DOSの予約語が付いたファイルをチェックしない (日経 IT Pro, 10/7)。

• 》 SYM04-015: Symantec Norton AntiVirus： MS-DOS 予約デバイス名の処理方法に関する問題と対応 (シマンテック, 2004.10.05)

  iDEFENSE Security Advisory 10.05.04b: Symantec Norton AntiVirus Reserved Device Name Handling Vulnerability の件。 Norton AntiVirus 2003 / 2004 / 2005 にこの欠陥があり、2004 については LiveUpdate を経由して修正プログラムが配布されているという。 2003 / 2005 については修正プログラムはまだない。

  CVE: CAN-2004-0920

• 》 勧告：予約デバイス名処理にあった脆弱性の修正 (Sophos, 2004.10.04)

  iDEFENSE Security Advisory 09.22.04 - Sophos Small Business Suite Reserved Device Name Handling Vulnerability の件。 ここで名前が挙がっているのは Sophos Small Business Suite だが、この欠陥は Sophos Anti-Virus for Windows NT/2000/XP/2003 一般に存在し、 最新の 3.86 版で修正されているそうだ。

  CVE: CAN-2004-0552

ハードディスクレコーダーからのコメントスパム攻撃

　oyak さんから (ありがとうございます):

http://www.rd-style.com/support/info/security/security.htm をよんでみると・・・

　さて、弊社製ＨＤＤ＆ＤＶＤビデオレコーダー（対象製品は下記をご参照ください。）におきまして『ネットdeナビ』機能をお使いの場合に、悪意の第三者によってお客様が知らないうちに当該製品から大量のスパム（無意味な電子データ）が発信されてしまった事例の報告がありました。
　調査の結果、外部ネットワークとの接続を行っている（下記 1. (2) をご参照ください。）お客様が、常時（長時間）接続されて、ネットワーク設定のセキュリティ機能を利用されていない場合に発生することがわかりました。

ということで、いかにもセキュリティ機能をonにしていれば、大丈夫的な記述に読めてしまい、旧バージョンだとセキュリティ機能をonにしていても問題だということを東芝は明記してくれていません。

対応部分に関しては、バージョンアップ＆セキュリティ設定onにしろということで、問題ないのですが、この書き方だと、バージョンアップをしない人もいるかもしれないですね。

　藤村さんから (ありがとうございます):

東芝のアナウンスやインプレスの記事についても、認証設定のことだけが大きく採り上げられているように読み取れます。
問題は認証バイパスできてしまうことですので、この点（ファームウェアアップグレードが最優先）を注意されるとよいかと思います。

　そう言われて 東芝、HDD搭載DVDレコーダ「RD」シリーズが“踏み台”になる危険性 〜セキュリティ設定「あり」に変更を呼びかけ (Internet Watch, 10/6) を見ると、

　東芝は対策として、ソフトを最新版にバージョンアップすることとセキュリティ設定を「あり」に変更することを呼びかけている。セキュリティ設定を「あり」にすることで、外部からアクセスする際にユーザー名とパスワードの入力が必要になり、不正アクセスを防げるようになる。

とあり、「ソフトを最新版にバージョンアップ」しないと、セキュリティ設定を「あり」にしても無意味な模様であることは強調されてはいませんね。

　InterScan VirusWall for UNIX 3.8 SP1 / 3.81 に、クロスサイトスクリプティング欠陥が存在した模様。"patch1" で修正されている。 InterScan VirusWall for UNIX 3.8 Patch 1 Readme によると、この他にもこんな文章が:

   1. 本リリースには、セキュリティの脆弱性を修正する最新のOpenSSLとLibSSLライブ
      ラリのリリースが含まれます。
(中略)
   3. 次のパラメータの値が「intscan.ini」ファイルに設定されている場合に、
      InterScan VirusWall FTPサービス経由で送信されるデータが破損する問題
      を修正します。

      - putmode=thru
      - trickle=yes 

   4. InterScan VirusWallが、拡張子「.vbs」のファイルをブロックできない問題を
      修正します。
(中略)
  13. File Type Block機能でOther typesフィールドに拡張子vbsを指定した場合に、
      HTML部分が削除されてしまう問題を修正します。

  14. File Type Block機能でOther typesフィールドに拡張子pifを指定した場合に、
      pifファイルをブロックできない問題を修正します。

　13. については以前ちいちゃんさんから情報を頂いていた (ありがとうございます) のだが、「サポート情報が出たら載せよう」と思って待っているうちに忘れてました _o_。結局サポート情報が出ないまま patch1 で修正されたみたい。

2004.10.13 追記:

　吉村さんから (ありがとうございます):

ISVW for UNIXの XSSですがTrendMicroに問い合わせてみた結果、以下のような 脆弱性である可能性が高いという結論に達しました。

• http/ftp スキャンにおいて、ウイルス検出されたURLの表示は実際にリクエス トされたURLそのまま(エスケープ処理が無いか、不完全)であり、ファイル名や ディレクトリ名部にhtml等をそのまま挿入することが現実的に可能である

これについてはウイルスURLを表示しない、という選択肢が無いため、回避する 方法がないと思われます。

http://www.example.com/<SCRIPT />スクリプト本体</SCRIPT>/eicar.txt
とか。
＊生憎手元にISVWをインストールした環境がないのでテストできておりません

　何の話なのかよくわかりませんが、ASP.NET を利用している場合には、 887459 - ASP.NET の正規化の問題をプログラムによって確認する方法 (Microsoft) にある

Application_BeginRequest イベント ハンドラを Global.asax ファイルに追加

を実行しないとたいへんなことになる恐れがあるのでしょう。

2004.10.08 追記:

　Handler's Diary October 6th 2004 (SANS ISC) に関連情報があります。URL の '/' を '\' や '%5C' にするとアレな状況になってしまうようです。

　報告された Microsoft ASP.NET の脆弱性に関する情報 (Microsoft) が 10/8 に更新されています。

この問題を緩和する選択肢として、HTTP モジュールインストーラを使用できます。緩和策としてこのモジュールが使用できることになったのをお知らせするために、このページは 2004 年 10 月 7 日 (米国日付) に更新されました。このモジュールは、Web サーバー上の全 ASP.NET アプリケーションを、マイクロソフトが現時点で把握しているすべての正規化の問題から保護します。

2005.02.12 追記:

　ASP.NET パス検証の脆弱性 (887219) (MS05-004) で修正された。

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

• GDI+の脆弱性実証コード、そのままでは日本語版での悪用は困難？ (ITmedia, 10/5)。逆に言うと、penetration technique research site に PoC JPEG ファイルがあるように、「日本語版専用のコード」があれば動くわけで。苺キ●タマなんてものが流行ったことも考えあわせると、甘く見ない方がいいだろう。

• GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ) (Microsoft, 9/15)。こんなページがあったとは。 MSDN Online Japan (Microsoft) は watch しておく必要があるようだ。くぅ。アンテナに入れました。

• ウイルスバスター2004: JPEG処理の脆弱性（MS04-028）を利用したウイルスには対応していますか (トレンドマイクロ)。デフォルトでは、オンアクセススキャナが反応しないようです。

　IP fragment を利用した DoS 攻撃「Rose Attack」 と、その改変である「New Dawn Attack」の解説、および Windows / Linux でのテスト結果。 サンプルコードあり。Rose Attack が fragment の最初と最後を送るのに対し、New Dawn Attack は fragment の最初と真ん中と最後を送り、最後についてはずーっと送りつづけるみたい。

　FreeBSD 5.x に欠陥。syscons CONS_SCRSHOT ioctl(2) の入力引数の検証が不十分なため、CONS_SCRSHOT ioctl が kernel メモリの一部を返してしまう場合がある。 回避方法はない。最新の RELENG_5_2 ブランチでは修正されており、5.2-RELEASE 用の patch も用意されている。

ハードディスクレコーダーからのコメントスパム攻撃

　浅見さんから (ありがとうございます):

東芝のRDシリーズの公式サイトに、
＜重要なお知らせ：セキュリティ設定のお願い＞
http://www.rd-style.com/support/info/security/security.htm
という情報が掲載されていましたのでお知らせします。

レコーダ本体のバージョンが古いと、本体セキュリティの設定がONでも匿名proxyとして動作するのでバージョンアップせよ、ということみたいです。

ちなみに、私が所有しているのは"RD-X4"に機能拡張キットを適応した"RD-X4EX" ですの で、すでに本体セキュリティ設定をONにしておけば、Proxy動作をするときでもBASIC認証ダイアログがでました。

　重要なお知らせ：セキュリティー設定のお願い (rd-style.com) によると、対象となるのは RD-XS40, RD-X3, RD-XS31, RD-XS41, RD-XS41KJ-CH869, RD-X4, RD-X4EX, RD-XS43, RD-XS53, RD-XS34 (10/5 現在) だそうです。

　Samba 2.2.11 以前 / 3.0.5 以前に欠陥。remote から、共有領域の外部に存在するファイルにアクセスできる可能性がある。 欠陥を回避するには wide links = no を設定すればよい。

　Samba 2.2.12 / 3.0.6 で fix されている。また Samba 3.0.5 用の patch が配布されている。 http://us1.samba.org/samba/ftp/patches/security/ には Samba 2.2.11 と 2.2.12 の diff も設置されている。

　CVE: CAN-2004-0815

• Debian GNU/Linux: [SECURITY] [DSA 600-1] New samba packages fix arbitrary file access
• FreeBSD: ports/net/samba/, ports/net/samba3/, ports/japanese/samba/。 前 2 者は対応済み。

[Full-Disclosure] GNU sharutils <= 4.2.1 Format String POC

　[GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c によると、unshar.c にも欠陥があった模様。

fix / patch:

• Gentoo Linux: [GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c
• FreeBSD: ports/archivers/sharutils/。まだ直ってない。

Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる

　セキュリティフライデーの関さんから (ありがとうございます):

”Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる”に関してですが、一つ補足させていただきますと、NTLMv1でも単純でない１５文字以上のパスワードを使えばそれなりに安全だと思います。

　Norton Internet Security 2003、Norton AntiVirus 2003 Professional などに含まれる "Network Dispatch Driver" SYMTDI.sys に欠陥があるという指摘。 複数 CPU を塔載した、あるいは Intel Hyper Threading が有効な状態において、 大量の socket (and 大容量のデータ転送?) を扱うようなプログラムを動かすと、OS がクラッシュしてしまうという。このため、local user が DoS 攻撃を実施できる。シングル CPU ではこの欠陥は発現しないという。

　Norton 2004 / 2005 シリーズではどうなのか、は不明。 手元の Norton AntiVirus 2004 には 5.3.2.67 というバージョンが入っていた。

　Firefox Preview Release に欠陥。ダウンロードディレクトリ内のファイルを削除してしまうような、ダウンロードリンクを設置することが可能。 Firefox Preview Release update (0.10.1) で修正されている。 関連:

• Fixed in Firefox Preview Release update (0.10.1) (mozilla.org)

　元ネタ: Automatically passing NTLM authentication credentials on Windows XP (セキュリティフライデー)。 Windows 2000 / IIS 5.0 で構築した web ページに Word ドキュメントを設置 (例: http://www.example.com/test/foo.doc) し、 Office 2000 / XP をインストールした Windows XP から http://www.example.com/test/foo.doc を開き、そして閉じると、 Windows XP はなぜか \\www.example.com\test への SMB 接続を行おうとし、そのとき NTLM 認証が行われてしまうという話。

　クライアント側で「WebClient」サービスを停止するとこの現象を回避できるそうだ。

　"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点　 第 2 部 : ネットワーク保護技術 の WebDAV リダイレクタ が関連なのかな (これは WebDAV 側から書かれているわけだけど……もっと適切な資料どこかにないかな)。Windows XP の仕様的には WebDAV と SMB は統合されており、NTLM は暗号化されていることになっているから SMB アクセス時に洩れても ok ok、というのが設計思想なのかな。でも実際には NTLMv1 はもうだめだめなわけで (参照: Windows認証を数秒で解析 脆弱なパスワードは即座に破られる (日経 IT Pro, 6/1))。

　なんかこう、Windows の「なんでもやってくれすぎ主義」の弊害がまたもや発生している、という気が。個人的には、WebDAV を勝手に SMB に翻訳したり、SMB を勝手に WebDAV に翻訳したりしてほしくはないのだが。

2004.10.04 追記:

　セキュリティフライデーの関さんから (ありがとうございます):

”Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる”に関してですが、一つ補足させていただきますと、NTLMv1でも単純でない１５文字以上のパスワードを使えばそれなりに安全だと思います。

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

• JPEG処理の脆弱性悪用画像、今度はAIMのプロフィールに (ITmedia, 9/30)。

• InterScan VirusWall NT: JPEG処理のバッファオーバーランに関する脆弱性(MS04-028)の悪用に備えたセキュリティ対策方法 (トレンドマイクロ)。

• penetration technique research site で「MS04-028 の Windows XP SP1 日本語環境用検証ファイル」が公開されています。手元の Windows XP SP1 (MS04-028 patch なし) で動作を確認できました。

　まだまだ NT 4.0 and/or Windows 98 というところも多いのかなあ。

　GNU sharutils 4.2.1 に format バグがあるという指摘。PoC コードつき。 GNU sharutils 4.3.77 で「src/shar.c(shar): fix fscanf buffer overrun vulnerability」として修正されているようだ。 手元で試した限りでは、sharutils-4.3.76-4.3.77.diff.gz に含まれる src/shar.c の差分は GNU sharutils 4.2.1 にそのまま適用できた。

2004.10.04 追記:

　[GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c によると、unshar.c にも欠陥があった模様。

• Gentoo Linux: [GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c
• FreeBSD: ports/archivers/sharutils/。 4.2.1_2 で修正されている。
  sharutils -- buffer overflows