セキュリティホール memo - 1999.07

Last modified: Fri Apr 14 17:37:39 2000 +0900 (JST)


1999.07.30

盗聴法(組織的犯罪対策法)案要請文の報告
(from JCA-NET, 1999.07.30)

 1999.08.04 に中央公聴会を開き、1999.08.05 には強行採決しようという動きに対応して、JCA-NET でふたたび要請文への賛同者を募集している。もう後がない。声を上げよう。

盗聴法案関連
(from インターネット事件を追う)

Troff dangerous
(from BUGTRAQ, Fri, 23 Jul 1999 22:16:42 +0200)

 UNIX の manual page を記述する n/troff において、 ファイルを読み書きしたりコマンドを実行したりできる。 これを使って、manual page に危険なコマンドを仕込んでおくことが可能だ、という指摘。危険だと指摘されているのは .pso command および .write stream string マクロ。

 これに対して、 これは最新の CRYPTO-GRAM (July 15, 1999) で指摘されており、また .sy command も危険だというフォロー.pso は GNU groff 特有であるというフォロー、 -msafer をつければ disable されるよというフォローがされていた。 Linux だと /etc/man.conf とかで設定できるみたい。 FreeBSD では man コマンドは suid man だから致命的な事態だけは避けられそうだけど、気分はよくないなあ。 tmac.an とかで tmac.safer を読み込むようにすればいいのかな?

1999.08.06 追記: OpenBSD や FreeBSD-current では、nroff コマンド (中身は groff を呼び出す shell script だ) において groff -S とすることで fix していた。 FreeBSD の ja-groff パッケージの場合 /usr/local/bin/gnroff を修正することになる。 -S 相当が常に実行されるよう groff を修正したほうが more secure なような気がするが……。

Microsoft Security Bulletin (MS99-026): Patch Available for "Malformed Dialer Entry" Vulnerability
(from Microsoft Product Security Notification Service, Thu, 29 Jul 1999 17:42:33 MST)

 Windows NT 4.0 付属の dialer.exe が dialer.ini ファイルの解釈時に buffer overflow する弱点。この弱点を利用するには Dialer が利用可能で、かつ dialer.ini ファイルを改変する必要があるため、dialer.ini ファイルの保護モードが重要になる。

 NT Workstation/Server においては、dialer.ini は %systemroot% にあり、デフォルトでは world-writable だ。オオ、サイテー。 多くの人が実施していないと思われる Securing Windows NT Installation においては、Administrators/Creater Owner/System:Full Control, Everyone:Read に変更することが推奨されている。 そんなこと言うなら最初からそうしてよね。 NT Terminal Server Edition においては %systemroot%\Profiles\%username%\Windows にあり、これは world-writable ではない。さすが TSE。

 patch (当然英語版) が発行されている。

 参考資料:

 日本語 Security Advisor ページでも紹介されている: 「Dailer.exe を使用して不正に権利を取得する [1999/7/30]」。マイクロソフト日本法人は本当に告知が速くなりました。すばらしい。

1999.08.05 追記: サンプルコードが NTBUGTRAQ に投稿されていた。

1999.09.09 追記: ようやっと日本語 patch が出た。もうちょっと早くならないのかねえ。 ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/Dialer-fix/ から入手できる。

2000.04.14 追記: 日本語 KB が改訂され、NT TSE 版 fix の情報が追加された: J049358, [NT] ダイヤラ終了時にアクセス違反が発生する

AntiSniff: Network Sniffer Detector
(from BUGTRAQ, Fri, 23 Jul 1999 14:02:37 -0400)

 l0pht 重工から新しいツール AntiSniff β版発表のおしらせ。 AntiSniff は remote から network sniffer を検知するというかつてない tool。 現在は Windows9x/NT 用のβ版が配布されており、UNIX 版も登場予定という。

 どうやって sniffer を発見するのかについては ECHNICAL DETAILS に記述されている (らしい……私にはよくわからん)。これに対し、全ての sniffer を検知できるわけではないという意見や、 さらには、AntiSniffer に発見されない sniffer "AntiAntiSniffer Sniffer" (+ patch) なんてものまで登場している。 まあ、IDS が完全ではないように、AntiSniffer も完全ではないだろう。しかし、detect tool の 1 つとして使う限りは有用となると思う。

 参考: L0phtが『アンチスニッフ』を発表 (from WIRED NEWS, 7月23日 12:00pm PDT)


1999.07.29

ホワイト ペーパー「SQL Server 7.0のセキュリティ」
(from Microsoft BackOfficeニュース, Wed, 28 Jul 1999 16:53:08 MST)

 いいかげん、PDF で配布するか MacOS/UNIX 版の WordViewer つくってくれないかなあ。自己解凍ファイルっていうのもあれだし。

rlinetd Home Page
(from redhat-announce ML, Fri, 23 Jul 1999 09:42:55 EST)

 inetd を置きかえる rlinetd というがあるのだそうだ。 最新リリース版は 0.4。instances (サービスあたりの最大プロセス数) や nice や chroot や rlimit が指定できたりする。 もちろん tcp_wrapper 標準組み込み。IPv6 もサポートしているそうだ。ううむ。 RPM 形式は ftp://ftp.falsehope.com/pub/rlinetd から入手できる。

First reflections on security of MSN Messenger
(from BUGTRAQ, Thu, 22 Jul 1999 03:40:35 -0400)

 話題MSN Messenger だが、後発のくせに ICQ や AIM の教訓を生かせておらず、いくつかの security hole がある、という指摘。指摘されているのは以下の点:

Delegate creates directories writable for anyone
(from BUGTRAQ, Wed, 21 Jul 1999 14:00:34 +0200)

 多目的 proxy サーバ DeleGate において、一時ファイルなどが mode 777 になってしまうという指摘。 これはどうもそういう仕様のようなのだが、少なくとも /tmp/delegate/ 以下につくられるものについては umask に従っていたはずだ。 cachedir (/var/spool/delegate) につくられるものについてはその限りではないが、 せっかくなので、手元の 5.9.1 で使っている、強制的に mode 775 にする patch を投稿した。 要は、source で 777 とか 666 とかで決め打ちになってるところを 775 とか 664 に変えただけである。

 もうすぐ DeleGate 6.x が登場するようだが、このあたりは変更されているのだろうか……。

1999.11.08 追記: ついに delegate 6.0.0 がアルファリリースされた (すでに fix 版 6.0.1 もリリースされている)。 上記についても

CONSIDERABLE INCOMPATIBILITY WITH DeleGate/5.X AND FORMERS
……(中略)
  Permissions of directory/file
    - created directory/file is set non-writable by others by default
    - can be compatible with former versions by SHARE=""

となっている (README からの抜粋)。その他多数の改善点があるが、まだ alpha 品質という位置付けとなっている。

old gnu finger bugs
(from BUGTRAQ, Wed, 21 Jul 1999 12:26:54 EST)

 GNU Finger 1.37 には昔指摘された bug が今だに残っている、という指摘。 しかし、いまどき GNU Finger なんて使いますかねえ。


1999.07.28

 しまった〜、今日宴会じゃん。更新しているヒマがないぞ。


1999.07.27

 ASUS って「エイサス」と読むとばかり思っていたのですが、ほんとは「アスース」って読むんですか?

 local で security incident が発生してしまったため、ここの更新のための時間がとれなくなってきてます。げろげろ。

追記

 1999.07.26 の 日本語 Windows NT 4.0: MS99-021, 020, 017, 015 対応 patch追記した。MS99-017 用として紹介した patch は、実際には MS99-017 と MS99-016 用の patch だった。

追記

 1999.07.19 の Root Perms Gained with Patrol SNMP Agent 3.2 (all others?)追記した。実は old news だった。

http://www.port139.co.jp
(from WindowsNT World, 1999.09 月号)

 WindowsNT World での「NT セキュリティ・テクニック」連載記事が集まっている……というか、著者自身のサイト。スルドいドメイン名である。

 それにつけても、WindowsNT World での「NT セキュリティ・テクニック」の連載終了は大ショック。WindowsNT World の価値が 33% down (当社比) だ。 「NT セキュリティ・テクニック」連載最終回には、SP5 で直っているとされている \?? bug は実は直っていないのではないかという話も出てきて必読だ。

tiger vulnerability
(from BUGTRAQ, Tue, 20 Jul 1999 09:37:39 -0500)

 セキュリティチェックツール tiger に弱点。 local user が tiger の実行権限 (通常 root) で動作できるコマンドを製作することができる。2.2.3 および 2.2.4 への patch が ftp://net.tamu.edu/pub/security/TAMU/ に用意されているので適用する。最新版は 2.2.4p1 だ。

AN HTTPD 1.19c security fix
(from 窓の杜, 1999-7-27)

 AN HTTPD 1.19b 以前に弱点。"..." バグがあり、ドキュメントルートの上位にあるファイルを読み出せてしまう。 1.19c で fix されているので、AN HTTPD ユーザは最新バージョンに入れかえよう。 参考: Microsoft Personal Web Server bug (MS99-010)

追記

 1999.07.26 の IIS respond private address追記した。日本語 KB の情報を追加した。


1999.07.26

 全日空ハイジャック事件、すごい展開である。 1 か月以上前に犯人が羽田のセキュリティホールを警備当局およびマスメディアに詳細にレポートしていたにもかかわらず、何の対策も行われなかったとは……。 このために、指摘したとおりの手口を使った凶器の持ち込みを許し、ひいては人命まで失われる結果を招いてしまった警備当局の責任は重大である。

 この話を知ったとき、IIS 4 の .htr バグに対する eEye の対応を思いだした。

 17:43 現在 http://www.securityfocus.com/ にアクセスできない……止まっている?!

IIS respond private address
(from BUGTRAQ, Sat, 17 Jul 1999 01:03:16 -0400)

 IIS 4 では Content-Location: に IP address がまるみえになっちゃう、という指摘。 firewall の内側 (あるいは DMZ) の IIS を外に見せている場合、これはちょっとイヤですよね。 これを防止するには KB Q218180 Internet Information Server Returns IP Address in HTTP Header (Content-Location) に従って設定すればよいと問題提起者自身によりフォローされている。

1999.07.27 追記: 日本語 KB は J048305 [IIS]IIS が HTTP ヘッダーに IP アドレスを返す だ。匿名希望さん、いつも情報ありがとうございます。

to prevert port scanning in linux 2.0.x
(from BUGTRAQ, Sat, 17 Jul 1999 12:48:19 +0200)

 Linux 2.0.3[67] において、nmap などによる port scan を防止する patch。

Eliminate the dreaded Blue Screen of Death FOREVER!
(from ChangeLog, 0.1.19990726)

 なんと、Windows9x のブルースクリーン (blue screen of death, またの名をブルーサンダー, OS クラッシュ画面) の色はカスタマイズ (!) できるのだそうだ。 これは秀逸なパーティージョークだなあ。

 WindowsNT では動かないとの指摘を受けたので改訂しました。確かに This program seems to have no effect under Windows NT と書いてあります。春山さんご指摘ありがとうございます。

Potential security problem in gnumeric 0.23
(from redhat-announce ML, Sat, 24 Jul 1999 18:11:28 -0400)

 RedHat Linux 6.0 に含まれる gnumeric 0.23 に潜在的なセキュリティホール。 これを fix したとする 0.27 版の package が用意されている。詳細は Errata を参照のこと。

 他のプラットホームでも同様なんだろうなあ。

追記

 1999.07.21 の The Samba Team is pleased to announce Samba 2.0.5追記した。 RedHat Linux 用の fix package が登場した。

追記

 1999.06.08 の MacOS X system panic with CGI追記した。fix が登場した。

日本語 Windows NT 4.0: MS99-021, 020, 017, 015 対応 patch
(from local mirror log, Sun, 25 Jul 1999 04:35:17 +0900 (JST))

 日本語 Windows NT 4.0 用の post-SP5 hotfix が大量に登場している。

 いづれも日本語 Security Advisor ページではまだアナウンスされていないようだ。

1999.07.27 追記: 上記で MS99-017 として紹介したものは、MS99-016 と MS99-017 の間違いだった。 以下、訂正版:

追記

 1999.07.23 の iplogger Ymas problem追記した。iplogger 1.2 の出所に関する情報を追加。

Update to Microsoft Security Bulletin (MS99-025): Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS
(from Microsoft Product Security Notification Service, Fri, 23 Jul 1999 18:08:35 MST)

 1999.07.21 の Microsoft Security Bulletin (MS99-025): Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS が 1999.07.23 (現地時間) 付けで update されている。 改訂が多岐にわたるので、改めて全体を記述する。追加情報もある。

 IIS 3 or 4 を利用していて、かつ

に弱点。 remote user が IIS を動作させている機械の特権ユーザとして Shell コマンドを実行できてしまう。 NT Option Pack のデフォルトでは MDAC 1.5 がインストールされる。 Sample Pages for RDS は、NT Option Pack のデフォルトではインストールされないが MDAC 2.0 SDK ではデフォルトでインストールされる。 かつて MDAC 1.5/2.0 をインストールし、現在では MDAC 2.1 に version up している場合でも問題は継続している。多くの site ではかつて MDAC 1.5/2.0 をインストールしたはずなので、広範囲の site に影響があるはずだ。

 この bulletin は MS98-004 の再発行という位置付けになっている。 問題発見者自身による記事によれば、MS98-004 時点では userid と password がわかなければコマンドは実行できないとされていたが、今回新たに SYSTEM 権限で、しかも password なしで (!!) コマンドを実行できてしまうことが判明したという。 NTBUGTRAQ モデレータ の Russ 氏もこの問題は重大であると警告している。

 解決方法は次のとおり (この部分は bulletin ではなく MS99-025 FAQ を見て書いてます):

 Microsoft Knowledge Base (KB) はこちら:

 参考資料:

1999.08.04 追記: MS99-025 FAQ の日本語版が出てます。J049349, [IIS]Microsoft Security Bulletin MS99-025 の FAQ


1999.07.23

追記

 1999.07.12 の HP SECURITY BULLETIN: #00100, The current directory is in the root user's PATH after logging in using CDE追記した。bulletin の新版が出ていた。

iplogger Ymas problem
(from BUGTRAQ, Mon, 19 Jul 1999 06:13:15 +0200)

 TCP および ICMP コネクションを syslog 経由で log する tool "iplogger" 1.2 において、nmap などの port scan を log するためには Ymas (0x80) bogus flag もチェックしなければならないという指摘。patch が添付されている。

 iplogger 1.2 ってどこから入手できるか、ご存知の方はいらっしゃいますか? 1.1 ならみつかるのですが……。

1999.07.26 追記: iplogger 1.2 というものは、RedHat がそう呼んでいるだけで実際には存在しないことがわかった。以下にまとめる:

 もと記事が述べている点については iplog 1.8 でも fix されていないように見える。 また、Debian GNU/Linux についてくる iplogger は 1.1 base のものだ。 iplogger を使っているのなら iplog 1.8 をがんばってインストールしたほうがいいと思う。

 和田さんと佐藤@神奈川大学さん、情報ありがとうございました。

Privacy concerns in interMute
(from BUGTRAQ, Fri, 16 Jul 1999 13:59:30 -0700)

 junk filter/privacy enhancer 用の proxy server として利用できる interMute だが、interMute を利用している他の user からの攻撃は防げないという指摘。

バックオリフィス対策 問い合わせ続出で、IPA が公開
(from インターネット事件を追う, 1999.07.22)

 毎日新聞が 1999.07.18 朝刊に、一般市民の恐怖心をあおるだけの効果しかないクズのような Back Orifice 2000 (BO2K) に関する記事を載せたため IPA に問いあわせがきて、IPA がこれに関する解説記事を web に掲載することになったという話。

 自分たちの記事が原因にもかかわらず「問い合わせ続出で」などと他人事のように書く毎日新聞記者の神経を疑わざるをえない。それが何で、どのような問題があり、どのように防げるのかくらい最初からきちんと書くのが新聞記者ってもんだろう。メディア人としての自覚はあるのか。こんなことだからサイバッチにバカにされるのだ。

 BO2K については 1999.07.09 にはじまる記事を参照。

追記

 1999.07.19 の Y2K/HTMLA-fix updated追記した。日本語 KB が出た。

盗聴法(組織的犯罪対策法)案に関する要請文
(from Infosystem Talk ML, Fri, 23 Jul 1999 11:46:42 JST)

 盗聴法案のへの要請文の署名のおねがい。締め切りは 07.24 (明日!) だ。急げ。

 http://www.jca.apc.org/privacy/ は情報がよくまとまっているなあ。

Security Bulletins入手先
(from fw-announce ML, Fri, 23 Jul 1999 04:29:13 JST)

 各種 OS に関する Security Bulletins の入手先がまとめられている。 Internet に露出している OS の Security Bulletins は可能な限り直接入手するようにしておこう。このページのような 2 次情報源はどうしても遅れがちだ。


1999.07.22

SGI Security Advisory: SGI arrayd default security configuration
(from SGI wiretap ML, Mon, 19 Jul 1999 11:27:56 -0700 (PDT))

 SGI Array Services (array_services(5)) を構成する arrayd(1m) に弱点。array.auth(4) でのデフォルト設定に問題がある。デフォルトのままだと array 中の全ての clustered systems に local/remote user が root 権限でアクセスできてしまう。arrayd があるのは UNICOS 9.0 以降および IRIX 6.4 以降 (IRIX 6.2, 6.3 ではオプションとして供給)。

 とりあえずの対策としては、array.auth を設定して SIMPLE authentication を有効にする。方法は Advisory に記述されている。

 この件で CERT Advisory も出ている: CERT Advisory CA-99-09 Array Services default configuration

SKIP Mailing List
(from FreeBSD-security ML, Mon, 19 Jul 1999 14:09:22 -0400)

 SKIP (Simple Key management for Internet Protocols) の mailing list が SKIP-info ML として再登場したというおしらせ。 http://www.skip.org/ から情報が得られる。

追記

 1999.06.29 の Attachments and MS Outlook and virusprotection追記した。日本語版 patch が登場した。

AMaViS virus scanner for Linux - root exploit
(from BUGTRAQ, Fri, 16 Jul 1999 16:00:43 GMT)

 AMaViS mail virus scanner 0.2.0-pre4 に弱点。remote user が root 権限で任意のコマンドを実行できてしまう。 この不具合は 07/19/1999 にリリースされた 0.2.0-pre5 で fix されている。 最新は 0.2.0-pre6 だ。

Mail relay vulnerability in RedHat 5.0, 5.1, 5.2
(from BUGTRAQ, Fri, 16 Jul 1999 18:12:54 +0800)

 RedHat Linux 5.0〜5.2 のデフォルトの sendmail.cf に弱点。

    RCPT TO: <"target@destination.com"@relay.host.name>

形式の RCPT TO: を受けとると「意図しないメール中継」を行ってしまう。 まあ、日本ではふつう sendmail-8.9.3 + CF-3.7pl2 で sendmail.cf は即座につくりなおしているだろうけど。

NMRC Advisory: Netware 5 Client Hijacking
(from BUGTRAQ, Thu, 15 Jul 1999 12:38:28 -0500)

 IPX を利用するよう設定されている Novell Netware 5 SP2 (およびそれ以前) に弱点。管理者が使用する機械の MAC アドレスを使って管理者のセッションを hijack することができてしまう。 これは 1 年以上前に発見されたものだが Novell はいまだに fix していない、としている。 Pandora v4 にはこの攻撃コードが含まれている。 詳細については http://www.nmrc.org/pandora/ncp.txt 参照、だそうだ。

 対策としては、いかなる場合でも Packet Signature Level 3 を使い さらにクライアント側では signature 設定を変更できないようにする。 Use switched Ethernet とも書いてあるが、世の中の多くの switch は ARP spoof には対抗できないので、気休め程度でしかないと思う。

Solaris 2.6/7 NTP permissions problem
(from BUGTRAQ, Wed, 14 Jul 1999 11:21:13 -0500)

 Sun Solaris 2.6/7 付属の xntpd の drift ファイルが mode 666 で作成されてしまう、という指摘。 対処するには umask 022 を /etc/init.d/xntpd に追加すればいい。 ACL での対処法もフォローされている。 ふむん、Solaris 2.x って ACL 使えるんですね。

Bugtraq セキュリティ技術トレーニング - 仕組みから学ぶセキュリティホールと対策 -
(from Security Focus home page, 1999.07.21)

 おおお、こ、これは……。 値段もすごいが内容もすごそう。 う〜ん行きたいがそんな金があるわけもなく……。


1999.07.21

The Samba Team is pleased to announce Samba 2.0.5
(From Installer ML, Wed, 21 Jul 1999 21:13:03 JST)

 samba 2.0.5 登場。security fix が含まれています。 smbd に buffer overflow バグ、nmbd に 2 つの DoS バグがあったそうです。 2.0.4 以前の全ての smbd に buffer overflow バグが存在するので、すみやかに 2.0.5 以降に移行しましょう。

1999.07.26 追記: 本家の最新バージョンは 2.0.5a となっている。 また、RedHat Linux 4.2/5.2/6.0 用の package が登場している。

Microsoft Security Bulletin (MS99-025): Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS
(from Microsoft Product Security Notification Service, Mon, 19 Jul 1999 10:23:17 MST)

 IIS 3 or 4 を利用していて、かつ MDAC 1.5 がインストールされたことがある場合に弱点。 remote user が IIS を動作させている機械の特権ユーザとして Shell コマンドを実行できてしまう。 NT Option Pack のデフォルトでは MDAC 1.5 がインストールされる。 かつて MDAC 1.5 をインストールし、現在では MDAC 2.x に version up している場合でも問題は継続している。多くの site ではかつて MDAC 1.5 をインストールしたはずなので、広範囲に影響するはずだ。

 この bulletin は MS98-004 の再発行という位置付けになっている。 問題発見者自身による記事によれば、MS98-004 時点では userid と password がわかなければコマンドは実行できないとされていたが、今回新たに SYSTEM 権限で、しかも password なしで (!!) コマンドを実行できてしまうことが判明したという。 NTBUGTRAQ モデレータ の Russ 氏もこの問題は重大であると警告している。

 解決方法は次のとおり (この部分は bulletin ではなく MS99-025 FAQ を見て書いてます):

 Microsoft Knowledge Base (KB) はこちら:

 参考資料:

 ……以上はいま 3 つくらいよくわかってないまま書いているので、もしかするととっても間違っているかもしれない。変なところをみつけたら、ぜひおしえてください


1999.07.19

 おぉ、量子コンピュータにつづいて分子コンピュータまで……。21 世紀にはナノ・アタックが実現するか?

 SF 研究で理学士が取れるとは、さすが BIS をつくった国だなあ。A. C. クラーク先生も英国出身だし。

Y2K/HTMLA-fix updated
(from local mirror log, Sat, 17 Jul 1999 05:20:01 JST)

 IIS 4 の Y2K/HTMLA-fix が 1999.07.16 付け (US 時間、だと思う) で update されていた。

1999.07.23 追記: 日本語 KB が出ていた。J049137, [IIS]HTMLA:構成のバックアップ時に日付の表示がおかしい

Problem with NT service pack 5 & RRAS
(from NTBUGTRAQ, Wed, 14 Jul 1999 12:48:26 -0400)

 SP5 と RRAS は仲が悪いという話。 SP5 は fix only だったはずだが、動かなくなるものはやっぱりでてきてるみたい。 FAXport とか。

1999.08.02 追記: Exchange は hardware NIC からの RPC しか受けとれない、仮想インターフェイスからの RPC は受けとれないとフォローされていた。

ircd exploit in ircu based code
(from BUGTRAQ, Tue, 13 Jul 1999 20:49:02 -0500)

 IRC サーバ ircu 2.10.06 および ircu ベースのサーバに弱点。 m_join において、get_channel の戻り値をチェックしていないため user が server を core dump させることができる。fix patch つき。

Root Perms Gained with Patrol SNMP Agent 3.2 (all others?)
(from BUGTRAQ, Tue, 13 Jul 1999 16:53:27 -0400)

 BMC SoftwarePatrol 3.2 に弱点。Patrol に含まれる snmpmagt コマンドを利用すると、root が所有している領域に mode 666 のファイルを作成できてしまう。 ~root/.rhosts を作成するなどすれば root 権限を得ることができる可能性大。 いくつかフォロー (フォロー1フォロー2) されているが、どうやら version 3.2.x (x = 0〜5) においては問題があるようだ。 Patrol の最新版は 3.3 のようだが、この問題が fix されているか否かは不明。

1999.07.27 追記: この問題は 1998.11 に ISS によって報告されており、3.2.05 で fix されているとフォローされていた。 うう、このページでも 1998.11.05 に報告してるじゃん。しくしく。

CERT Advisory CA-99-08-cmsd
(from fw-announce ML, Sun, 18 Jul 1999 00:56:58 +0900 (JST))

 Common Desktop Environment (CDE) の Calendar Manager Service daemon (rpc.cmsd) に弱点。buffer overflow するため、remote user が root 権限を得られる。 問題が明らかになっているのは SCO UnixWare 7, Sun SunOS 4.x/5.x。 Sun については 1999.07.14 の Exploit of rpc.cmsd を参照のこと。

1999.11.08 追記: Compaq Tru64 UNIX V4.0D, V4.0E, V4.0F 用の fix が出た。 詳細については [fw-announce:342] SSRT0614U_RPC_CMSD Potential Security Problem When Using rpc.cmsd を参照。

追記

 1999.07.09 の Back Orifice 2000追記した。 bug fix 版と IDEA plugin が登場。


1999.07.16

Microsoft Internet Information Server 4.0 セキュリティ チェックリスト
(from 日本語 Security Advisor, 1999/7/16)

 MS IIS 4.0 Security Checklist日本語版が登場。 IIS 管理者は一読されたい。

追記

 1999.07.08 の Counterpane Systems and L0pht Heavy Industries Announce Analysis of Microsoft PPTP Version 2追記した。ZDNet から関連記事が出ていた。

そこにある危機
(from 個人宛 mail, Thu, 15 Jul 1999 23:51:50 JST)

 So-net のシェルアカウントにまつわる話題。 MAOO さん情報ありがとうございます。 情報をいただいたのは、第 2 部の "7. 管理者によるパスワードの漏洩" についてなのだが、他のドキュメントもなかなか興味深い。 wtmp の話 (第 2 部の "3. 安全性低下について") は、利用者のプライバシー保護という観点もあるだろうから一概に「So-net は変」とは言えないと思うが、他のものは……。So-net ってひどいのね。

 それにしても、シェルアカウント開放している機械でパスワードを引数にするコマンドを実行するか、ふつう。 イントラネットで利用者全員顔見知り、という環境とは違うんだぞ。 それともそういう感覚の人が root やってるんだろうか。 情報公開に消極的、という点も気にいらない。 SONY は network 方面にどんどん拡張しているようだけど、管理運営と情報公開をきちんとやらないと、足元すくわれるよ。

Multiple Vendor shared memory Denial of Service Vulnerability
(from FreeBSD-security ML, Thu, 15 Jul 1999 18:15:28 -0300)

 FreeBSD, NetBSD, BSD/OS, Linux など 4.4BSD 由来の shared memory 実装に弱点。 rlimits による制限を回避して mmap() あるいは shmget() を実行できてしまうため、DoS 攻撃を受ける。発見者がデモコードと Linux 用 fix patch を示している。

追記

 1999.05.10 の Microsoft Security Bulletin (MS99-013): Solution Available for File Viewers Vulnerability追記した。ようやく日本語 patch が登場した。

追記

 1999.07.14 の Exploit of rpc.cmsd追記した。 fix patch が登場した。

strlcpy and strlcat - consistent, safe, string copy and concatenation.
(from FreeBSD-security ML, Thu, 15 Jul 1999 13:48:53 CST)

 strcpy/strcat の使いやすさと strncpy/strncat の安全性をあわせもつ API、 strlcpy/strlcat についての論文。 セキュリティを project goal として掲げる OpenBSD の開発において、strncpy/strncat の誤った使用が多数発見されたことにより必要性が認識され、OpenBSD 2.4 で libc に実装された。 FreeBSD libc にもこれを実装しようよ、という話が起っている。

追記

 1999.07.09 の Back Orifice 2000追記した。 ウィルスの件と http://www.bo2k.com での配布開始。


1999.07.15

東芝、ホームページ問題で仮処分申請 一部削除求める
(from サイバッチ, 07/15/99)

 話題の東芝サポート問題だが、 ついに東芝は裁判ざたにしてしまった。なんということを。なんという愚かな。

 東芝広報にはセキュリティという概念がないのだろうか。 これで、この問題が単なる 1 VTR の品質ではなく、東芝の体質そのものの問題に変化してしまったことがわからないのだろうか。 この行為によって、東芝というブランド、東芝という会社そのものの信用に致命的な傷がつくことが理解できないのだろうか。 欠陥を隠してごまかすという手法はもはや通用せず、むしろ積極的に open にしたうえで fix したほうが遥かによい、ということがわからないのだろうか。

 DynaTop カッコイイけど、こんな会社では買う気しないよな。 今すぐこのセキュリティホールを埋めないと、本当にとりかえしがつかないぞ。

DEFCON7 レポート
(from fw-announce ML, Thu, 15 Jul 1999 18:04:07 JST)

 Firewall DefendersDEF CON 7 レポート。 「DEFCON参加者へ発表直後に配布したBO2Kにはウィルスが混入」というのがなかなかキている……。

追記

 1999.07.09 の Back Orifice 2000追記した。 ISS から Security Alert が出ていた。

追記

 1999.07.14 の aix 4.2 4.3.1, adb追記した。temporary fix が登場した。

Office 2000 のマクロ・ウイルス対策と,その問題点
(from BizTech Mail, 1999/07/15)

 先日発売が開始された MS Office 200 のマクロ・ウイルス対策機能の問題点について述べた文書。 セキュリティ・レベル「低」はセキュリティなしを意味するとか、Access 2000 にはなぜかセキュリティ・レベル設定機能がないとか、いろいろおもしろいことが書いてある。

Norton AntiVirus に“一太郎”のマクロウィルス検知機能を搭載
(from ITNERNET Watch, 1999-7-15)

 一太郎のマクロって、ウィルスを書けるだけの機能があるのですか?

『サード・ボイス』にセキュリティーホール
(from WIRED NEWS, 7月9日 3:00am PDT)

 web page へのコメント書き込みソフト Third Voice に弱点。 コメント中に JavaScript などのプログラムコードを書き込むと、それが client computer で実行されてしまうという。 fix されたらしい……のだが、どこに発表されているのかよくわからない。 そもそも、「マルタ島グループが警告しているバグについては理解しているが、 彼らは独自の修正版ソフトを作成したのだから、サード・ボイスのセキュリティーシステムそのものの問題ではない」とか「一般的に、こうした危険は、ウェブソフトにはつきものだ」なんていうやつのソフトを信用できるか、という問題があると思う。


1999.07.14

最新調査:クラッキングが2倍に増加
(from CNET News, 7月13日 2:00pm PDT)

 セキュリティも考えずに EC EC といって立ち上がった site がたくさんあったから、なんじゃないかな。 「1998年5月から1999年5月」というのは、EC サイトに関する弱点の報告が相次いだ時期とも重なるし。

MacOS system encryption algorithm
(from BUGTRAQ, Sat, 10 Jul 1999 15:28:17 +0200)

 MacOS の password 保存方法が甘くてすぐわかっちゃうという指摘。

NEC EWS security patches
(from local mirror log, Tue, 13 Jul 1999 06:06:11 +0900 (JST))

 ftp://ftp.mesh.ne.jp/pub/48pub/security/ews/ で公開されている NEC EWS 4800 EWS-UX/V の patch が新しくなっている。

  r7:   NECe7s116 sendmail 8.9.3
  r8:   NECe8s143 sendmail 8.9.3
  r9:   NECe90426 特定の通信プログラムによるメモリ枯渇を防ぐ
        NECe9s423 sendmail 8.9.3
        NECe9s429 CA-90:12.SunOS.TIOCCONS.vulnerability 対応
  r9n:  NECe90428 特定の通信プログラムによるメモリ枯渇を防ぐ
        NECe9s424 sendmail 8.9.3
        NECe9s430 CA-90:12.SunOS.TIOCCONS.vulnerability 対応
  r10:  NECmas499 sendmail 8.9.3
  r10n: NECeas228 sendmail 8.9.3
  r11:  NECmbs904 sendmail 8.9.3
  r12:  NECmc0545 STREAMS機構に対する特定の通信プログラムを用いた場合の
                  メモリ枯渇を防ぐ
        NECmcs588 sendmail 8.9.3
  r13:  NECmd0323 CERT Advisory CA-98.05 "Multiple Vulnerabilities in BIND"
        NECmds304 sendmail 8.9.3
  r13:  NEC6d0334 CERT Advisory CA-98.05 "Multiple Vulnerabilities in BIND"
  (64)  NEC6ds318 sendmail 8.9.3

 同様に、ftp://ftp.mesh.ne.jp/pub/48pub/security/up/ の UP 4800 UP-UX/V の patch も。

  r5:   NECu5s106 domainnameにディレクトリ名を含む名前をあたえることで、
                  サーバー上のマップを上書きすることができる問題の fix
        NECu5s108 sendmail 8.9.3
  r6:   NECu6s295 domainnameにディレクトリ名を含む名前をあたえることで、
                  サーバー上のマップを上書きすることができる問題の fix
        NECu6s298 sendmail 8.9.3
  r7:   NECu7s687 sendmail 8.9.3
  r11:  NECmbs904 sendmail 8.9.3

 また、NIS+ ServerKit に含まれる /usr/sbin/rpc.nisd に対する fix が、 Program Product (P.P) patch として登場している。 対象となるプロダクトコードは UB2689-21A, UB2689-NL22, UG3009-1X0, UG3009-NL2X0 だ。

Linux 2.0.37 segment limit bug
(from BUGTRAQ, Sun, 11 Jul 1999 20:45:30 +0400)

 Linux 2.0.37 では 1GB を越えるメモリーがサポートされたが、これが bug っているという指摘。この bug を利用すると local user が root 権限を得られる。 fix patch つき。

New trojan ports
(from INCIDENTS, Sun, 11 Jul 1999 20:10:28 -0700)

 トロイの木馬プログラムが用いる port 番号のまとめ。

aix 4.2 4.3.1, adb
(from BUGTRAQ, Mon Jul 12 1999 18:13:13)

 AIX 4.2, 4.3.1 に弱点。一般ユーザが adb を使って OS を down させることができる。

1999.07.15 追記: temporary fix が登場した。 ftp://aix.software.ibm.com/aix/efixes/security/adb_hang.tar.Z から入手できる。 (from BUGTRAQ, Tue, 13 Jul 1999 21:37:01 -0500)

1999.08.02 追記: IBM から正式なアナウンスがされている。ERS-SVA-E01-1999:002.1 Non-root users can cause the system to crash

Exploit of rpc.cmsd
(from BUGTRAQ, Fri Jul 09 1999 08:25:31)

 Solaris 2.5/2.51/2.6 の rpc.cmsd に弱点。 buffer overflow し、root 権限を得られる。 最新 patch でも fix されておらずSolaris 7 にも問題があるという。

1999.07.16 追記: fix が登場したとフォローされていた。また、Solaris 2.4 も弱点を持つし、2.6 では 105566-07 だというフォローもついていた。 まとめるとこうなる:

        107022-03       CDE 1.3      (Solaris 7/SPARC)
        107023-03       CDE 1.3_x86  (Solaris 7/x86)
        105566-07       CDE 1.2      (Solaris 2.6/SPARC)
        105567-08       CDE 1.2_x86  (Solaris 2.6/x86)
        104976-04       OW 3.5.1     (Solaris 2.5.1)
        105124-03       OW 3.5.1_x86 (Solaris 2.5.1/x86)
        103251-09       OW 3.5       (Solaris 2.5)
        103273-07       OW 3.5_x86   (Solaris 2.5/x86)
        102030-09       OW 3.4       (Solaris 2.4)
        102031-07       OW 3.4_x86   (Solaris 2.4/x86)
        101513-14       OW 3.3       (Solaris 2.3)
        100523-25       OW 3.0       (SunOS 4.1.3/4.1.3C/4.1.3_U1/4.1.4)

 SunOS 4.x JLE 版には OW 2.x がついているが、こいつの rpc.cmsd に弱点があるのかどうかはよくわかりません。 少なくとも、現時点では p0108 は更新されてません。

追記

 1999.07.12 の Communicator 4.[56]x, JavaScript used to bypass cookie settings追記した。 解説に致命的な間違いがあったので修正版を書きました。

追記

 1999.07.09 の Back Orifice 2000追記した。

Back Orifice 開発集団が2つの“セキュリティソフト”を用意
(from ZDNet News, '99.7.12 11:44 AM PT)

 いやあ、マッチポンプですなあ。

追記

 1999.07.08 の HTML メール表示機能のセキュリティホール対策進む追記した。Winbiff の正式 fix 版が登場。


1999.07.13

追記

 1999.07.09 の Back Orifice 2000追記した。BO2K の配布と対抗データの登場。

追記

 1999.07.08 の PGP 6.5.1 has been released追記した。 カリフォルニアを含む第 9 巡回裁判区 (ってどこ?) にあるものなら、もってきても大丈夫のようです。


1999.07.12

Communicator 4.[56]x, JavaScript used to bypass cookie settings
(from BUGTRAQ, Fri, 9 Jul 1999 18:18:57 -0400)

 Netscape Communicator 4.51/4.6/4.61 において、cookie の設定を「表示しているサーバと同じサーバからの cookie のみを受け付ける」と設定しておいても、JavaScript が有効だと <SCRIPT language="JavaScript1.1" SRC="http://server/..."> については (SCRIPT タグ内については) あらゆるクッキーを受け付けてしまうという指摘。 同様のことがスタイルシート <link rel="stylesheet" type="text/css" href="..."> についても言えるという。

 とりあえずの対処法としては、「cookie を受け付ける前に警告する」を on するか、 JavaScript を disable するか、cookie を拒否するか、しかない。

 cookie に関連して、.com, .edu, .net, .org, .gov, .mil, .int 以外の TLD については、ドット '.' が 3 つないと cookie に domain を指定できず (ex. hogehoge.co.jp だとダメ、www.hogehoge.co.jp なら ok)、 結果として cookie を他の server から読めてしまう (ex. hogehoge.co.jp が set した cookie を .co.jp のどこからでも読めてしまう) という、 トンデモない弱点フォローされている。 驚くべきことに、世の中のほとんどの web ブラウザがこの弱点を持っている、とされている。safe とされているのは、MSIE 5 や lynx などごく一部にすぎない。

 さぁ、これでも「すべての cookie を受け付ける」や「表示しているサーバと同じサーバからの cookie のみを受け付ける」を on したままでいられますか?

1999.07.14 追記: 上記のトンデモバグの説明が全く間違っていたので以下に正しい内容を書きます。 和田さんご指摘ありがとうございます。

 Netscape 作成の HTTP Cookies Specification においては、cookie の domain 属性の値として

必要だと書いてあるが、実際にはいかなる TLD においても最低 2 個のドットのドメインなら受けつけてしまう。 このため、たとえば .co.jp とかいう domain 属性をつけてしまうと、当然ながら .co.jp ドメイン全体からこの cookie にアクセスできてしまう。

 これは……現実問題、TLD をどんどんふやしていきましょう〜みたいな話もあるわけなので、上記のような実装にせざるをえない面というのもあるような気がするなあ。 ただ、いまのところ nTLD は 2 文字、gTLD は 3 文字ということになっているようなので、 TLD が 3 文字だったら 2 個、TLD が 2 文字だったら 3 個という実装でもいいような気がする。 もと記事で参照しろと書いてある RFC2109 - HTTP State Management Mechanism にはそういう話は出てこないのですね。ふむぅ。

 というわけで、それほどトンデモなわけではなかったような気がしてきました。

HP SECURITY BULLETIN: #00100, The current directory is in the root user's PATH after logging in using CDE
(from HP Electronic Support Center, Thu, 08 Jul 1999 04:29:46 MST)

 HP-UX revision 10.X が動作する HP 9000 series 700/800 に弱点。 root ユーザで CDE を利用すると、ファイル検索パスにカレントディレクトリ '.' が含まれてしまう。 対策としては、/usr/dt/bin/Xsession の

# ###########################################################################
#
#   Startup section.

の前に以下をつけくわえる。

###################### Clean up $PATH for root ##########################
if [ "$USER" = "root" ]
then
  Log "Clean up PATH for root user"
  Log "Old PATH = $PATH"
  PATH=`echo $PATH | awk '
{
 # Remove elements from PATH that are
 #  (a)  "."
 #  (b)  ""
 #  (c)  blank
 #
   gsub (" ",":", $0) # Substitite ":" for each blank
   n = split ($0, path, ":")  # Split into elements with ":" as delimiter
   first = 1  # To suppress leading ":" in new PATH
   for (i=1; i<=n; i++) {
     len = length(path[i])
     dot = index(path[i], ".")
     dot_only = 0
     if ((len == 1) && (dot==1)) {
       dot_only = 1
     }
     # print element if it is not "" and not "."
     if (!(len==0) && !(dot_only==1)) {
       if(first != 1) {
         printf (":") # if not first element, print ":" in front
       }
       printf ("%s",path[i])
       first = 0
     }
  }
}
END { printf ("\n") }'`
Log "New PATH = $PATH"
fi
###################### End - Clean up $PATH for root ####################

1999.07.23 追記: この問題だが、bulletin が Tue Jul 20 3:00:02 PDT 1999 に改訂されている。 追加部分ソースの for (i=1; i&lt;=n; i++) { がホントは for (i=1; iX=n; i++) { (where X stands for the "less than" character) だよんといういう注記がついた。 web page でみる用に書いてあったんだね。

「ネットの視点で審議を」 通信傍受法案にプロ6人が要望
(from インターネット事件を追う, 1999.07.08)

 孫泰蔵、伊藤穣一、吉村伸、尾崎憲一、高橋徹、牧野二郎という顔ぶれから発信された、盗聴法案に関して「参議院において、データ通信を対象とした徹底した調査、審議を要求する」要望書が出されたというニュース。 現実問題、法務省どころか「審議」している当の連中の多くはインターネットオペレーションを理解しないままテキトーにやっているだけなんだろうな。

追記

 1999.06.24 の Microsoft Security Bulletin (MS99-020): Patch Available for "Malformed LSA Request" Vulnerability追記した。日本語 KB が登場した。

Attacking FreeBSD with Kernel Modules
(from BUGTRAQ, Fri, 09 Jul 1999 23:22:21 +0200)

 FreeBSD 3.x において、システムコールを直接改変することによって backdoor をつくる、という攻撃方法に関するドキュメント。

追記

 1999.07.07 の Microsoft Security Bulletin (MS99-024): Patch Available for "Unprotected IOCTLs" Vulnerability追記した。日本語 KB が登場した。

追記

 1999.06.16 の Retina vs. IIS4, Round 2, KO追記した。 ようやく Alpha 用の日本語 patch が出た。


1999.07.09

 自分のやりたいことからどんどん遠ざかっていく……。 Netscape Communicator 4.x とつきあっていると、どこまでいくのだろう。

Bug in SUN's Hotspot VM
(from NTBUGTRAQ, Tue, 06 Jul 1999 18:56:33 +0200)

 Sun の Hotspot VM が動いているサーバで http://www.myserver.com/servlet/[ にアクセスするとサーバが crash するという。 http://www.myserver.com/servlet/[foobar でも同様。 IIS 4, 5 上での Jrun および ServletExec で発生。

Netscape Enterprise Server SSL Handshake Bug
(from NTBUGTRAQ, Fri, 02 Jul 1999 09:38:46 +0200)

 Netscape Enterprise Server 3.6 および 2.01D に弱点。 SSL handshake に bug があり、remote から crash させることができる。 http://help.netscape.com/business/filelib.html#SSLHandshake に patch があるので適用する。

CERT Advisory CA-99-03-FTP-Buffer-Overflows
(from ftp.st.ryukoku.ac.jp mirror log)

 1999.02.10 の Netect Advisory: palmetto.ftpd - remote root overflow に関する CERT Advisory CA-99-03 が更新されている。 追加されたのは SGI の情報なのだが、

% Silicon Graphics, Inc. (SGI)

  % IRIX and Unicos

     Currently, Silicon Graphics, Inc. is investigating and no further
     information is available for public release at this time.

     As further information becomes available, additional advisories
     will be issued via the normal SGI security information distribution
     method including the wiretap mailing list.

     Silicon Graphics Security Headquarters
     http://www.sgi.com/Support/security/

っておい……5 か月もかかってこれかよ。 何考えてんだ。

Dante: a free socks implementation
(from FreeBSD-security ML, Thu, 08 Jul 1999 12:53:16 EST)

 BSD copyright の free な socks 実装 Dante のおしらせ。

ウイルスバスター for Office2000 平成11年7月9日 無償ダウンロード開始
(from INTERNET Watch, 1999-7-9)

 Office 2000 のアンチ ウイルス API 対応製品がさっそく登場。 そのうちアンチ ウイルス API 自身を攻撃するようなものも出てくるんだろうな。

追記

 1999.07.08 の HTML メール表示機能のセキュリティホール対策進む追記した。 WeMail が「fix」された。

Back Orifice 2000
(from various media)

 いよいよ Back Orifice 2000 (BO2K) が 1999.07.10 (現地時間だろう) に登場するというわけで、各所から警告や記事が出ています。

 BO2K は現在開催中の DEF CON 7 で発表されるそうなので、まもなく詳細が判明するでしょう。 とりあえず「NT support」「open source」というあたりが目玉ということになってます。CVS で最新 source が得られたりするんだろうか。 1999.07.01 の『バック・オリフィス2000』まもなく公開も参照。

 DEF CON さがしてて気がついたのですが、Lycos にはこんなディレクトリまであるんですね。

1999.07.13 追記: 各社から BO2K 対応 anti-virus データが登場しています。 詳細は「NTを狙うトロイの木馬に駆除ソフトが続々登場」 (from CNET News, Mon 12 July 1999 13:15 PT) を参照してください。 それにしても、こんなところで配布していたとは。なぜ http://www.bo2k.com/ で配布しないんだろう。

1999.07.14 追記: BO2K について、こんな記事が出てます。 「Back Orifice 2000 は恐れるに足らず」(fro ZDNet News, 1999.7.12 2:41 PM PT)。 なんか gun control の gun 擁護派のような話だな。 まぁ nmap とか SATAN だって攻撃兵器としても防御兵器としても使えるわけだけど。 BO2K 拾ってきたけどまだインストールしていない私。

1999.07.15 追記: ISS から Security Alert が出てます。 問題なのは Recommendations: に書かれているこれでしょう:

It is very difficult to detect Back Orifice running on a machine because it is so highly configurable. By default, it will install itsself in your Windows system directory as the fileUMGR32.EXE. If you are running Windows NT, it will install a service listed as "Remote Administration Service." This is the default name, and can be changed.

 一旦どこかに入りこまれると、それを発見するのは至難のワザになってしまう、というわけです。

1999.07.16 追記: DEF CON 7 配布 CD にウィルスが混入 (チェルノブイリ!) されていた件が CULT OF THE DEAD COW ホームページで報告されていた。 また、http://www.bo2k.com での bo2k 配布が開始されていた。

1999.07.19 追記: bug fix 版と IDEA 暗号化 plugin の登場が告知されていた。 また、PC Week に関連記事「帰ってきた Back Orifice」(1999.07.16) が登場していた。


1999.07.08

 あぁもう、Netscape Communicator 4.x につきあうのは、ほんとうにイヤ。 とっとと version 5 を出してくれ。

メール傍受は最先端技術で 警察庁、参院法務委で方針示す
(from インターネット事件を追う, 1999年7月7日)

 要は、NSA のような組織がつくりたい、ということだろうか。

サイバー戦争に参戦せよ
(from WIRED NEWS, 7月7日 2:25pm PDT)

 政府それ自体がセキュリティホール化するのは日本の盗聴法案を見てもよくわかることだけど、政府関係者がオープンなコンファレンスにやってきてちゃんとしゃべること自体はとてもよいことだと思う。 法務省や警察庁の役人も、N+I 99 Tokyo ででも盗聴法案について説明すればよかったのだ。

 それにしても、この記事が扱っている Black Hat Briefings USA - Las Vegas '99 のスケジュールはなかなかすごい。まる 2 日セキュリティ漬けでくるくるするのね。 さらに The Black Hat Briefings の web ページを覗くと、おお、Japan - Tokyo - '00 T.B.A. なんて書いてあるじゃありませんか。 これは注目だぞ。

追記

 1999.07.05 のマイクロソフト日本法人の情報公開の悪さ追記した。 マイクロソフト日本法人が改善を明らかにした。メーリングリストもできるそうだ。

追記

 1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability追記した。 日本語 KB が登場した。「SP5 で fix」とはっきり書いてある。

Counterpane Systems and L0pht Heavy Industries Announce Analysis of Microsoft PPTP Version 2
(from NTBUGTRAQ, Wed, 07 Jul 1999 01:56:23 MST)

 かの有名な Microsoft CHAP v1 解析レポートにひきつづく、MS-CHAP v2 解析レポートが登場。

These (小島注: v1 から v2 への) changes do correct the major security weaknesses of the original protocol: the inclusion of the LAN Manager hash function and the use of the same OFB encryption key multiple times. However, many security problems are still unaddressed: e.g., how the client protects itself, the fact that the encryption key has the same entropy as the user's password, and the fact that enough data is passed on the wire to allow attackers to mount crypt-and-compare attacks.

This being said, Microsoft obviously took this opportunity to not only fix some of the major cryptographic weaknesses in their implementation of PPTP, but also to improve the quality of their code. The new version is much more robust against denial-of-service style attacks and no longer leaks information regarding the number of active VPN sessions.

というわけで、よい方向に向ってはいるものの、 MS-CHAP v2 においても問題が全て解決したわけではないということです。

 参考: PPTP Revisited (from BUGTRAQ, Sat Feb 13 1999 10:28:40)。

1999.07.16 追記: ZDNet News でこれが報道されている: WindowsのVPNは十分安全と言えるのか? (1999.7.14 5:34 PM PT)

 NORTELContivity ExtranetSwitch 1500 みたいな安い IPsec 製品もでてきてるし、もうそろそろ PPTP とは bye-bye したいよね。 でも IPsec 製品の互換性ってだいじょうぶなんでしょうか。

Minor bug in IE 5.0 Installer
(from NTBUGTRAQ, Tue, 06 Jul 1999 01:01:31 -0400)

 NT 4.0 SP5 をインストールしたあとで IE 5.0 をインストールし SP5 を再適用していない場合、IE 5 インストーラが ENHSIG.DLL を削除してしまっているために hotfix (patch) のインストールができない、という指摘。「どんなソフトを入れてもそのあと SP を再適用」の原則を守っていれば防げる話、ではある。

Pandora v4 Announcement
(from BUGTRAQ, Tue, 06 Jul 1999 07:06:45 EST)

 Netware/NDS 攻撃ツール Pandora version 4.0 登場のおしらせ。 Windows9x/NT/Linux で動作するそうだ。いやはや。

PGP 6.5.1 has been released
(from BUGTRAQ, Tue, 06 Jul 1999 18:21:39 MST)

 暗号メールソフトとして有名な PGP 6.5.1 というのが出たそうだ。 PGPnet という IPsec ツールが付属するなど、いろいろな機能拡張がなされているようだ。 PGP を US から US/カナダ外に転送することは禁止されているので、 国際版が登場するのを待とう。

1999.07.13 追記: US といっても、「カリフォルニアを含む第 9 巡回裁判区」 (ってどこ? どこかに地図情報あったらおしえてください) にあるものなら日本にもってきても大丈夫のようです。 実際、ftp.jp.freebsd.org では これに基いて US から DES ライブラリを入手し再配布しているそうです。 参照: 米政府の「敗訴」で米国の暗号規制は緩和されるか? (from ZDNet News, 1999.5.6 3:06 PM PT)

L0pht 'Domino' Vulnerability is alive and well
(from BUGTRAQ, Mon, 05 Jul 1999 13:33:58 MST)

 1998 年 10 月に L0pht 重工から発表された Lotus Notes に関する Advisory はまだ有効であるという指摘。 Domino サーバ上のファイル一覧や log などを誰でも読めてしまうという。 これに対して L0pht の人から、Advisory の記述ミスと Domino R5 については調べてないよというフォローがついている。

HTML メール表示機能のセキュリティホール対策進む
(from 窓の杜, 1999-7-8)

 1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホールに対する、 1999.07.07 現在の fix 状況。 しかし、開発/配布元サイトを見ても「対応しました」程度の情報しかないのはちょっとなぁ。「どのように」対応したかを書いてもらえるとユーザ側で評価しやすいのだが。 窓の杜に記述されている内容は独自調査なんだろうか。

 こうして見てみると、たいていの Windows 用の mail クライアントは HTML メールに対応してるんですね。 MS Office2000 の HTML/XML サポートもキているものがあるし、これからは HTML/XML 文書添付が一般的になるんだろうか。

1999.07.09 追記: WeMail は Ver.1.91 で fix された。 ただし、fix 内容は「HTMLメール内に<APPLET>、<OBJECT>、<SCRIPT>タグがある場合に無効にするかどうかの問い合わせを行うようにしました」というもの。デフォルトで無効にするようなオプションもほしいと思うのだが。 (from 窓の杜, 1999-7-9)

1999.07.14 追記: 最後の大物 Winbiff が 2.30 で正式 fix された。 しかし、ここでも「htmlメールを表示したときのセキュリティ問題に対応」としか書かれていないなあ。 source 公開してないんだから、もうちょっと技術詳細を明確にすべきなんじゃないの? (from 窓の杜, 1999-7-14)


1999.07.07

 中村正三郎さん、やさしいお言葉ありがとうございます _o_。 死なない程度にやっていこうと思ってます。

 このページを Windows98 上の Netscape Communicator 4.5/4.6 で読むと Communicator が down する、という報告をいただいているのですが、みなさんのところではいかがでしょう。 ちょっとテストしているので、中身が現れたり消えたりしてます。 すいません。

 ……確認しました。手元の Windows95 上の Netscape Communicator 4.5 でも落ちます。昨日までは ok だったです。 やっぱ、Netscape Communicator 腐ってますわ。吐き気がする。 文書量が多くなると、Netscape Communicator が H3 用の CSS をうまく処理できなかったみたいです。げろげろ。 Netscape Communicator では H3 用 CSS を使わないようにしました。

追記

 1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability追記した。 なんと SP5 では fix 済みだという。

インターネットにも影 通信傍受法——自由なメディアに危機感
(from インターネット事件を追う, 1999.07.06)

 関連記事「通信傍受法 JCA-NET理事、福冨忠和さんに聞く」も参照。 欲におぼれた公明党のおかげで成立しそうな盗聴法案 (通信傍受法)。 しかしまた、成立を阻止できるのも公明党だけなのだ。 目を覚ませ、公明党! まっさきに盗聴されるの、あんたたちなんだよ。 今テストしてるらしいし

1 年後のウイルスを知る手段
(from ZDNet News, 1999.07.06)

 コンピュータウィルス文書 Codebreakers#5 について。 こういうものがあるのね……。

Microsoft Security Bulletin (MS99-024): Patch Available for "Unprotected IOCTLs" Vulnerability
(from Microsoft Product Security Notification Service, Tue, 6 Jul 1999 12:01:55 -0700)

 キーボードおよびマウスドライバからの入力を得るための IOCTL は一般ユーザ権限で実行できる。 この IOCTL をつかって、ユーザプログラムがキーボードおよびマウスを無効にできてしまう。こうなると、キーボードおよびマウスを再度有効とするには OS をリブートするしかなくなってしまう。 TSE の場合は、コンソールのキーボードおよびマウスが影響を受ける。

 問題となるのは Windows NT 4.0 Workstation, Server, Server Enterprise, Server TSE (要は全部)。patch があるので適用する (英語版 OS 用)。 って、Enterprise Edition がないけど……どうすんだろう。 ふつうの NT Server 用が使えるんだろうか。

 Microsoft Knowledge Base (KB) はこちら: article Q236359, Denial of Service Attack Using Unprotected IOCTL Function Call

1999.07.12 追記: 日本語 KB が登場した。J048954, [NT] 不正な IOCTL 関数呼び出しによるサービス不能攻撃。 まだ patch は登場していないが、すばやい情報提供はたいへん助かる。 patch 作成もがんばっていただきたい。

1999.08.05 追記: 日本語 patch が登場した。ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/IOCTL-fix/ から入手できる。

2000.04.14 追記: 日本語 KB J048954, [NT] 不正な IOCTL 関数呼び出しによるサービス不能攻撃。 が改訂され、TSE 用 patch についても記述された。

追記

 1999.07.01 の NDIS.SYS Crashing unnder SP5追記した。sfmatalk.sys および sfmsrv.sys が古いままだというのが原因だとフォローされていた。

ip stack bug in windows kod.c (kiss of death)
(from BUGTRAQ, Sun Jul 04 1999 02:21:38)

 Windows98 に対する DoS 攻撃プログラム。 この他に moyari.c (ICMP-type13) とか pimp.c というのも出ている。 手元の Windows95 には効いてないみたい……Windows98 のみ?

RFC2628: Simple Cryptographic Program Interface (Crypto API)
(from ftp.st mirror log)

 Crypt API の解説文書。Informational です。 ちなみに RFC2629 は Writing I-Ds and RFCs using XML で、XML のひろがりを感じます。

ISSalert: ISS Security Alert: Windows Backdoor Update III
(from fw-announce ML, Wed, 07 Jul 1999 11:09:53 JST)

 MS Windows のトロイの木馬のまとめ part III。掲載されているのは DeepThroat 1, 2, 3, NetSphere 1.30, GateCrasher 1.2, Portal of Doom, GirlFriend 1.3, Hack'a'Tack, EvilFTP, phAse Zero, ExploreZip.worm, SubSeven。

WinSATAN Backdoor/Trojan
(from INCIDENTS, Mon, 05 Jul 1999 10:54:09 MST)

 UNIX 用のセキュリティスキャナ SATAN の Windows 版だというふれこみの WinSATAN は実はトロイの木馬だという指摘。 この木馬は Windows9x/3.1 で動作し NT では動かない。 起動すると IRC サーバに接続し、scroll1 および scroll にメッセージを送る。 さらに自分自身を c:\windows\fs-backup.exe という名前でコピーし、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run レジストリに登録するという。 駆除するには、レジストリをきれいにし、対象ファイルを削除する。

 これに対し、感染した機械では port 999 で FTP サーバが動くというフォローがついている。

追記

 1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホール追記した。 Becky! も fix 版が登場した。


1999.07.06

 今日はよしだともこさんとお話できてラッキー。

ChangeLog 1999年7月3日発行分から
(from ChangeLog, Sat, 03 Jul 1999 02:20:23 JST)

 security 関連で、このページで述べていないものをあげると:

 それにしても、ChangeLog の内容の濃さはすごい。これだけのものが毎週出る (しかも無料) というのだから……。 こういうものが存在するだけでも Linux に移行したくなる。

RFC2635: DON'T SPEW: A Set of Guidelines for Mass Unsolicited Mailings and Postings (spam*)
(from net-abuse ML, 03 Jul 1999 06:42:35 JST)

 Mass Unsolicited Mailings and Postings (いわゆる spam) がなぜ Internet 社会にとって有害なのか、について述べた文書。 spam という言葉の由来とかもちゃんと書いてある。

* Spam is a name of a meat product made by Hormel. "spam" (no capitalization) is routinely used to describe unsolicited bulk email and netnews posts.

とも書いてあるので、この文章でも SPAM じゃなく spam と書いてみました。

cfingerd 1.3.2
(from BUGTRAQ, 02 Jul 1999 00:11:26 +0200)

 cfingerd 1.3.2 に buffer overflow バグ。 これに対して、quick fix patch フォローと、 そんなのじゃなくて ffingerd とか dfingerd を使えというフォローがされている。 cfingerd 1.3.2 は 1996 年製造のもののようです。

Security problem with LPRng
(from Fri, 02 Jul 1999 11:38:13 +1000)

 LPRng (version?、最新は 3.6.2) に弱点。 コントロールパケットが priviledged port から出されているか否かの check にバグがあり、非 priviledged port からのコントロールパケットも受けつけてしまう。デモコードが付属している。 これを防ぐには、lpd.perms コントロールファイルに REJECT=X NOT PORT=1-1023 をつける、としている。

 これに対して、LPRng 開発元からフォローがされている。 ここでは、/etc/lpd.conf ファイルに REJECT SERVICE=X NOT PORT=721-731 を追加せよ、としている。ただし RFC1179 が認証に関して本質的に信頼できないことこそが問題なのだ、とも言っている。

 そういうこともあって時代は IPP。Say good-bye to lpr、というわけで詳細は RFC 2565, 2566, 2567, 2568, 2569 を参照。protocol version 1.0 はまだ Exprerimental なんだけどね。 2.x で standard track に乗るのだそうです。

Fwd: Fw: pine exploit (fwd)
(from BUGTRAQ, Thu, 24 Jun 1999 21:01:29 EST)

 pine 4.10 以前に対する攻撃デモコード。 MIME 自動実行攻撃の変種で、lynx 経由で攻撃コードをダウンロードし攻撃を実行する。

CERT Security Improvement Modules: Deploying Firewalls
(from INTERNET Watch, 1999-7-6)

 ファイアウォール設置に関する技術文書。 選定から設置、運用に至るまでを記述している。 この他にも、CERT Security Improvement Modules ページには大量のドキュメントが設置されている。 必要に応じて参照されたい。

追記

 1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホール追記 した。 EdMax の fix 版が出た。


1999.07.05

ISS Security Alert Summary: Volume 4 Number 3
(from fw-announce ML, Mon, 05 Jul 1999 09:22:37 JST)

 ISS の Security Alert Summary 最新版。 eastman-cleartext-passwords はこのページでは記述してなかったような気がする。

ISSalert: ISS Security Advisory: Bad Permissions on Passwords Stored by WebTrends Software
(from BUGTRAQ, Sun, 04 Jul 1999 02:09:51 MST)

 WebTrends 社の WebTrends for Firewalls v1.2, WebTrends Security Analyzer v2.0, WebTrends Professional Suite v3.01, WebTrends Log Analyzer v4.51, WebTrends Enterprise Suite v3.5 およびそれら以前のバージョンに弱点。 これらソフトを NT のサービスとして起動し、MAPI profile を使って e-mail によりレポートを送信する機能を使っている場合に問題が発生する。 NT サービスのアカウント/パスワード、および MAPI profile の名前/パスワードが everyone フルコントロールのファイル WebTrend.INI に置かれてしまう。 このパスワードはいちおう「暗号化」されているけど、 アルゴリズムが単純なのですぐバレてしまうという。

 対策としては、everyone フルコントロールを削除のうえ、128bit 暗号化をサポートする最新版 (WebTrends for Firewalls v1.2b Build 4163, WebTrends Security Analyzer v2.1a Build 8043, WebTrends Professional Suite v3.01a Build 4053, WebTrends Log Analyzer v4.51a Build 4108, WebTrends Enterprise Suite v3.5a Build 4212) に更新する。

マイクロソフト日本法人の情報公開の悪さ
(from fw-wizard ML)

 IIS 4 の .htr buffer overrun バグ (1999.06.16 の Retina vs. IIS4, Round 2, KO 参照) の関連で、fw-wizard ML ではマイクロソフト日本法人の情報公開の悪さが話題になっています。 どのくらいの情報 (および patch) が公開されていないかは MS Security Advisor memo をご覧いただければわかります。

 patch 作成にある程度の時間がかかるのは理解できるのですが、 情報公開が US 本社にくらべ異常に遅いこと、 および情報の中身に違いがありすぎることについては納得できません。 US 本社の Security Advisor ページは、最近では各 incident に関する FAQ まで掲載されており、 非常に詳細かつわかりやすい内容となっています。 一方の日本法人 Security Advisor ページは、もはや日本語 Knowledge Base へのリンク集でしかありません。 おまけに情報の追加・更新も非常に遅いときています。 今回の .htr バグの場合はこうでした:

 これは、このときだけひどかった、わけでは全くありません。 たとえば 1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability では、日本語 IIS 用の patch が当初から公開されているにもかかわらず、 マイクロソフト日本法人からのアナウンスはいまのところありません。 また 1999.01.22 の MS99-002: Patch available for "Word97 Template" Vulnerability に至っては、もはや半年が経過しようとしているにもかかわらず、 これまた何のアナウンスもされていません。

 以上のように、US 本社が情報公開/fix に非常に力を入れているのに比べると、 日本法人の状況はお寒い限りです。 このような状況では、現実問題として日本語 WindowsNT を Internet サーバとして利用するのは不可能です。 fix patch 自体は US 本社で作成されているようですし、 patch 作成にある程度の時間が必要なのは理解できます。 しかし、それ以前の問題、情報公開が異常に遅いのは納得できません。

 というわけで、こんなメールを送ってみました。

 ZDNet さん宛というのもつくったのですが、ソフトバンクさん方面では動きがあるとの情報を受け取ったので、 送るのをやめました。

 なお、 fw-wizard ML の議論は、「情報の早期公開を求める署名を募ろう」という動きになってきています。 もうすこしするとスタートするかもしれません。

1999.07.08 追記: マイクロソフト日本法人が告知体制の改善を明らかにした。メーリングリストもできるそうだ。詳細は、 「マイクロソフトがセキュリティ・ホールの告知体制を改善,告知用メーリング・リストを8月初めに開設」(from 日経インターネットテクノロジー, 1999.07.08) を参照。 すばらしいです。感謝感激。

 ただ、MS99-024: Patch Available for "Unprotected IOCTLs" Vulnerability の発表は早かったものの、本日発表されている MS99-022: Patch Available for "Double Byte Code Page" Vulnerability の KB J048898, 「[IIS] 特定の文字が URL の最後にある時、ページ内容が表示される」については全く記載されていないなど、 まだまだ社内体制に問題が残っていることを伺わせる。期待しているので、日本法人の担当者さん、がんばってください。

 さあ、残るは patch (hotfix) の早期リリースだ。日本語版が出てない patch はたくさんありますから。

NSI に対する攻撃

 .com トップドメインを管理している NSI に対する攻撃が 1999.07.03 (日本時間) に行われたようです。 NSI を指す DNS 情報が COREICANN に書きかえられた他、.com ドメインに関して多くの混乱が発生していた模様です。 現在は収拾されているようです。

電脳火消隊ドキュメント追加など

 電脳火消隊から 2 題。

Microsoft Windows NT Server Version 4.0, Terminal Server Edition Service Pack 4
(from Windows NT Terminal Server Edition ML, Mon, 05 Jul 1999 10:21:45 JST)

 ようやく NT TSE 用の SP4 が出ました。ふつうのやつ用はもう SP5 なんですけどね。

WebBrowser Control を使う MUA に特大のセキュリティーホール
(from fw-announce ML, Mon, 05 Jul 1999 09:29:02 JST)

 WebBrowser Control を 使う mail ソフト、具体的には Becky!, EdMax, WeMail32, Winbiff に弱点。 WebBrowser Control の利用方法に問題がある。 サーバからダウンロードしたメッセージを一旦ローカルディスクに格納してから WebBrowser Control を呼び出しているため、 セキュリティーポリシーの設定が無視される。 ファイルがローカルディスクにあるので、ファイル内の実行可能コード (Java、JavaScript、ActiveX など) は完全に安全だとして実行されてしまう。

 Datula 1.18 では fix されているという。 また、Outlook Express, Netscape Messenger, Eudora Pro ではこの問題はないという。

1999.07.06 追記: EdMax については、version 2.27 で fix されたと告知されている (from INTERNET Watch, 1999-7-6)。

1999.07.07 追記: Becky! も Ver1.25.05 で fix された (from 窓の杜, 1999-7-7)。


1999.07.01

 Security Focus の BUGTRAQ アーカイブをのぞいてみたけど、なんだか読みにくいなぁ。

『バック・オリフィス2000』まもなく公開
(from WIRED NEWS, 6月30日 3:00am PDT)

 かの有名な Back Orifice の新バージョンがまもなく登場するんだそうだ。NT もサポートする Open Source なソフトになるのだそうで、いはやは。

Cabletron Spectrum security vulnerability
(from BUGTRAQ, Wed, 23 Jun 1999 16:17:08 EST)

 Cabletron Spectrum Enterprise Manager version 5.0.1 に弱点。 インストーラが作成するディレクトリ/ファイルに other write パーミッションが付いてしまうという。 インストール後、other write は落としておこう。

ウェブメールサービスでセキュリティーバグ発覚
(from WIRED NEWS, 6月29日 11:53am PDT)

 一年も前の bugfix patch を適用していなかった商用サイトの話。 これは MS98-003 の話で、NT 4.0 SP4 で fix されている。 つまり、このサイトは SP4 すら適用していなかった、ということになる。 いやはや。

サイバーテロ対策が遅れる日本
(from WIRED NEWS, 6月29日 11:53am PDT)

 日本は、じゃなくて「日本政府は」だと思うが。 「技術的な知識が欠如し、リーダーシップが不在だ……日本の最高位にあるリーダーたちは、単純に、技術的な理解を欠いている」というのは、 正にそのとおりなんだろうな。 オブツ氏とかノナカ氏に技術的な知識があるとは思えない。 まぁ、歴代の自民党の top はほとんどそうだったような気がするが。

 しかし、今最も危険な宗教ものはオウム真理教ではなく、 盗聴法案を通そうとする創価学会/公明党だと思うぞ。 ところで、なぜ創価学会の「関連リンク」に公明党がないのか、 公明党の「リンク集」に創価学会がないのか。そういうゴマカシはよくないぞ。

NDIS.SYS Crashing unnder SP5
(from NTBUGTRAQ, Tue, 29 Jun 1999 07:37:54 CST)

 NT 4.0 SP5 で AppleTalk AUFS 互換機能を使うと NT がブルーサンダーになっちゃう、原因は NDIS.SYS だと表示される、という。 指摘者はネットワークカードを交換してみたり、 SP3 や SP4 での状況も確認しているが、SP5 でだけ現象が発生するという。

1999.07.07 追記: これは SP5 インストーラが sfmatalk.sys および sfmsrv.sys をうまく更新できないからだとフォローされていた。 対処するには、全ユーザを disconnect し、全ファイルを close、できれば network からも切りはなしたうえで SP5 を再適用する。

NT runs Explorer.exe, Taskmgr.exe etc. from wrong location
(from NTBUGTRAQ, Mon, 28 Jun 1999 20:06:39 +0100)

 NT 4.0 (SP?) において、NDDEAGNT.EXE, EXPLORER.EXE, USERINIT.EXE, TASKMGR.EXE などという名前の実行ファイルを起動ドライブのルートディレクトリ (c:\ とか) に置くと、 %systemroot%%systemroot%\system32 にあるものではなく \ にあるものが実行されてしまう、という指摘。 示されている例を手元の NT 4.0 Server SP5 で試してみたけど、 再現できなかった。

Microsoft Security Bulletin (MS99-023): Patch Available for "Malformed Image Header" Vulnerability
(from Microsoft Product Security Notification Service, Wed, 30 Jun 1999 14:52:52 -0700)

 Microsoft Windows NT 4.0 Workstation/Server/Server TSE に弱点。 特別に設定された image header を持つ実行ファイルが実行されると、 OS が不安定となり、reboot せざるを得なくなるという。

 SP4 用の patch が用意されている。もちろん英語版。 NT 4.0 SP5 ではこの弱点がすでに fix されているので一切の作業は不要である。

 しかしそもそも、日本語版 TSE では SP4 が出ていない。 いつになったら出るのだろう。

 Microsoft Knowledge Base (KB) はこちら: article Q234557, Executable with a Specially-Malformed Image Header May Crash Windows NT

 FAQ はこちら: "Microsoft Security Bulletin MS99-023: Frequently Asked Questions"。 どのような脅威があるか、などが書かれていて、とってもわかりやすいです。


私について