Last modified: Tue May 1 12:04:49 2007 +0900 (JST)
ハッカーたちの人物像からハッキングの歴史をたどるドキュメンタリー番組 (WIRED NEWS)、日本でも放映しないかなあ。
いつも工事中 というページができていました (sugim さん情報ありがとうございます)。
汲めど尽くせぬセキュリティ・ホールに悩む企業 (日経 IT Pro)、 IIS がらみの致命的な弱点が多すぎってのは確かにそうなのだが、 だからと言って Linux だから安心ってことにはならないと思うぞ。
Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始、適用しましょう。
……なんと「7/31より提供を予定しておりました Windows NT 4.0 セキュリティ ロールアップ パッケージですが、大変申し訳ございませんが公開を一時見合わせていただきます
」
になってるっ!
朝はちゃんと get できたのに。
(匿名さん情報ありがとうございます)
朝に get した人、それは適用しない方がよいらしいです。 再公開を待ちましょう。 (匿名さん情報ありがとうございます)
LAC 無料セキュリティセミナー、2001.08.23 だそうです。
2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm に追記した。 警告を追加。
サンプルコード書きな人のためのアセンブリ言語チュートリアル、だそうです。 私にはこれ以上のことはよくわかりません。
ICMP を使って相手の OS 名/バージョンを調査するツール。 0.0.1 ですから、まだまだ未完成です。
ICAT vulnerability database が一般に開放されたんだそうです。
FreeBSD (とゆーか、sendmail) での anti-virus software の導入ガイド。
NFS mount コードで buffer overflow するため、 kernel mode で任意のコードを実行できてしまう。 ただし、この弱点を利用するには、攻撃者は mount(2) を実行できる権限を有している必要があるが、 これはデフォルトでは root だけ。 kern.usermount 変数で他のユーザに権限を認めている場合には問題になる。 patch があるので適用すればよい。
FreeBSD Security Advisory FreeBSD-SA-01:48.tcpdump
AFS RPC パケットの処理において tcpdump が buffer overflow するため、tcpdump 実行中に remote から攻撃されるとヤバいという話。
FreeBSD Security Advisory FreeBSD-SA-01:49.telnetd [REVISED]
multiple vendor telnet daemon vulnerability 対応 advisory の修正版。 インストール手順にちょいと問題があった。
FreeBSD Security Advisory FreeBSD-SA-01:50.windowmaker
X11 ウィンドウマネージャ windowmaker/windowmaker-i18n で buffer overflow。window list menu 中の長い window タイトルで発生する。 悪意ある web サイトが長い <title> をつけることにより、 web ブラウザの window タイトルを攻撃し任意のコードを実行させることが可能。 最新の ports では fix されている。
FreeBSD Security Advisory FreeBSD-SA-01:51.openssl
OpenSSL Security Advisory [10 July 2001] WEAKNESS OF THE OpenSSL PRNG IN VERSIONS UP TO OpenSSL 0.9.6a 対応 advisory。 これもさっそく「cd /usr/src/lib/libcrypto/ じゃなくて cd /usr/src/secure/lib/libcrypto でしょ?」 という話が FreeBSD-SECURITY ML であがっている。
Apache Artificially Long Slash Path Directory Listing Vulnerability の話。 1.3.19「以前」じゃなくて「より前」。 1.3.19 にはこの問題はない。
[RAZOR] Linux kernel IP masquerading vulnerability
Linux の ip マスカレードにおいて、IRC DCC のための機能を悪用すると、受動的攻撃とあわせて、外部から内部への侵入が可能になるという話 (でいいのかな)。 patch も添付されているが、 最新の patch はこちら。
IBM AIX: Buffer Overflow Vulnerability in libi18n Library
libi18n が LANG 環境変数の処理で buffer overflow。 patch を適用できない場合は、とりあえず aixterm の suid root をはずす。
[RHSA-2001:093-03] Updated procmail packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1
ADV/EXP:pic/lpd remote exploit - RH 7.0
RedHat 7.0 付属の pic (from groff-1.16-7) に format バグがある。 これを利用して LPRng 経由で攻撃すると……どうなるんだろう。 lpd 動作権限でコマンドが実行できるのかなあ。 RedHat 5.2/6.1 や Mandrake 8.0 でも問題だそうだ。これだけじゃすまないと思うけど。 FreeBSD 4.3 の pic もアレゲな感じ。 pic に対する patch も添付されている。
やらせだったアメリカのミサイル迎撃実験 (slashdot.jp)、ほ〜らやっぱりこういう話が出てくる……。 さすがは兵器メーカーラブラブ大統領ですなあ。
[aml 22898] 教科書情報資料センターから、 素敵な都知事ですね。 自民党大勝ということでコイズミ氏もヤスクニ参りに行きそうですし、 8/16 以降は中国・韓国方面からバシバシお客さんがやってきそうな気が。 ネットワーク管理者には夏休みはなしってことですかね。
aml 方面では[aml 22904] 宮崎駿が「作る会教科書」を批判 もおもしろい。高畑・宮崎作品研究所 なんてサイトがあったのね。
http://www.iisadministrator.com/ なんてのがあったのね。 超ひさしぶりに JWNTUG OpenForum をみたらでてた。まるまる 1 か月前じゃんか…… > 俺。
あいかわらず Sircam 来るんで decoder 書いちゃったす。 誰でもすぐ書けるので初心者でも安心 (ってなにがだ)。 アレゲな mail address がいっぱい入った excel 文書とか来てるし。
GPL攻撃のMS幹部に,オープンソース大会は氷のように冷たかった (ZDNet)、
「われわれがGPLについて抱いている懸念は,
それが,独自の閉鎖的なコミュニティを作っているということだ
」、なんぢゃそりゃあ。
「独自
」で「閉鎖的
」といえば Microsoft の専売特許
(特許収入で go!) だろうに。
どうしてこう、足元見ないかねえ。
オープンソースというと、Java What's Old [ 2001.4 ]
の 001.004.001 にある
「ブルドッグ、自社製品のソースを公開
」
が秀逸 (^^)。
ソースはブルドック!
を見ると、「ソースの使い方は無限大
」「合わせソースでいつもの素材を新しく
」
など金言が散りばめられていて最高です (^^;)。
名古屋なあなたにはコーミソースもあります (^^;;;)。
同じく Java What's Old [ 2001.4 ]
の 001.004.001 にある
「マイタロソフトのJ+_+に感染するウィルスが猛威をふるう
」
は、まるで最近流行ってる Sircam のようです。(情報源: 匿名さん)
defacements found for FreeBSD (alldas.de)、 telnetd 穴をヤラれているのでしょうねえ……。 なにしろ、デフォルトで上がってますし。 (情報源: 2001年最新 クラックされてしまった日本のサイト)
mail server が常に 250 を返す、というのは、そうしたいわけでは必ずしもなくて、 firewall がらみでしかたなくそうなっているという場合のほうが多いような気がするのですが、どうなんでしょう。 意図して 250 を返すような設定が可能な firewall プロダクト (and/or mail server) って存在するのでしょうか? その場合、受領した mail は自動的に破棄されるのかしら?
現在は活動停止中とみられる "Code Red" ワームの活動再開に関する警告。 LAC 邦訳版も出てます。 また、大阪女子大学情報教育センターの橋本さんが、 同じく CERT/CC の A Very Real and Present Threat to the Internet: July 31 Deadline For Action を訳されたものが http://www.reasoning.org/jp/cert/code_red_worm_alert.html にあります (橋本さん情報ありがとうございます)。
関連:
JPCERT/CC Alert 2001-07-30: Continued Threat of the "Code Red" Worm (JPCERT/CC)
A Very Real and Present Threat to the Internet: July 31 Deadline For Action (Microsoft)
今日中くらいに訳さないと意味ないと思うぞ > MSKK。 (これ、CERT/CC のと同じですね)
【警告】8月1日に「Code Red」が活動再開の恐れ,IISの管理者はそれまでにパッチを (日経 IT Pro)
明日はどっちだ。
緊急 : Code Red ワームに対する警告 - 日本時間 8 月 1 日 午前 9 時までにご対応ください - (Microsoft)
1日遅いんだってば……。 出さないよりはマシだけど。
緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム (Ver.02) (JPCERT/CC)
Code Redに改めて警戒を——世界に向けて異例の呼びかけ (ZDNet)
「システム時計がくるっているため感染を広げようとしているシステムは2000台ほどある
」、なるほどそういうことだったのか。
「Microsoftの当初の推定では,600
万以上のWebサイトで使われているサーバが,問題のセキュリティホールに対して脆弱なままだという
」、うーむすごい数だが、根拠はどこに……。
2001.07.30 の分のうち、橋本さんの http://www.reasoning.org/jp/cert/code_red_worm_alert.html に関連した、私の記述がとっても変だったので修正した (橋本さんごめんなさい)。
活動再開のCode Red,危険度は“高”か“低”か? (ZDNet)
patch してない IIS は高だし、してある IIS は低でしょう。
株式会社シマンテック、 CodeRedに対する2つの無償ツールを提供 (シマンテック)
脆弱性チェッカー Symantec Security Check と、CodeRed 駆除ツール FixCodeR の 2 種類。
あ、Symantec Enterprise Firewall
とゆーのは Raptor Firewall のコトだったのか。
あと、
xxx@notes.symantec.com Permanent error involving remote host.
554 Error writing message to safe storage; insufficient disk space
とか言って mail が error になってますぜ > シマンテック。
incidents.org では 8/1 の感染数を 149,825 だとしています。
セキュリティ屋にとっては、宣伝にはもってこいですねえ。
incidents.org、 感染ホスト数は前回値をあっけなく越えそうです。
http://www.dshield.org/ も参照。 気になる人は Are you cracked? とか IP info も check しておくといいでしょう。 情報提供できる方は We need your Code Red logs を読んで協力してあげてください。 しかし、アジア地域 111 多いなあ。
勢いの鈍ったCode Red,しかしまだ要注意 (ZDNet)
下には下がいます。
Code Redワーム騒動——黒幕は誰だ (ZDNet)
確かに的はずれですねえ。 中国が自国を悪く言う、なんてのがそもそもアヤしいような。
東京めたりっく通信の通信障害は CodeRed が原因か (ZDNet)
ブロードバンド時代ですねえ。
米McAfee ASaP(*1) が検査した20,000台のサーバのうち、1,230以上 のシステムでCode Redワームに対する脆弱点を検出 (NAI)
もうかりまっか?
今すぐチェックを 「Code Red ワームに関する情報」 (IPA)
更新されています。
よい方向に向ってはいるのはともかくとして、
デフォルトインストールさせといて「驚いた
」ってのはなんなんだ。
どういう感覚をしていればこういう発言ができるのだ?
無感覚?
ECM ですか。 ケータイ各社はさっそく ECCM として……なんてことにはならないんだろうなあ。
アンテナに anti-virus 系企業をたくさん追加しました。 microsoft 方面もうまくいってなかったので、直しました。
SirCamウイルス駆除ツールのダウンロード (PC98シリーズにも対応) (NAI) が出てます。
盗聴システム『エシュロン』への抗議行動を呼びかけ (CNet)、 X-Echelon: bomb, whitehouse, nuclear とかいう世界かな。
気がつくと、たまってます。
MS01-039: Services for Unix 2.0 の Telnet および NFS サービスでメモリリークが発生する
(Wed, 25 Jul 2001 04:12:44 +0900)
SFU 2.0 に弱点。NFS と telnet サービスで メモリリークしてしまうため、remote から DoS 攻撃が可能。 patch はまだない。
CVE: CAN-2001-0505
MS01-040: 無効な RDP データの受信により、ターミナル サービスでメモリ リークが発生する場合がある
(Thu, 26 Jul 2001 10:08:04 +0900)
Windows NT 4.0/2000 の Terminal server/service に弱点。 不正な RDP データによってメモリリークが発生するため、 メモリを使いはたしてしまい、DoS 状態になる。 再開するには再起動が必要となってしまう。 patch があるので適用すれば ok。
CVE: CAN-2001-0540
MS01-041: 不正な RPC リクエストがサービスを異常終了させる
(Fri, 27 Jul 2001 07:23:49 +0900)
Exchange 5.5/2000, SQL 7.0/2000, NT 4.0/2000 に弱点。不正な RPC リクエストを送るとサーバハングやサービス停止などが発生し DoS が成立。 Exchange 5.5/2000, Windows 2000 については既に patch があるので適用すればよい。 SQL 7.0/2000, Windows NT 4.0 はまだ。
CVE: CAN-2001-0509
2001.08.19 追記: 詳細: BindView Security Advisory: Multiple Remote DoS vulnerabilities in Microsoft DCE/RPC deamons
MS01-042: Windows Media Player .NSC ファイル処理に未チェックのバッファが含まれる
(Fri, 27 Jul 2001 10:01:16 +0900)
Windows Media Player 6.4 / 7.0 / 7.1 に弱点。 Windows Media が使用する .NSC ファイルの処理でバッファオーバーフロー。 web ページや添付ファイルに含まれた悪意ある .NSC により、 任意のコードが実行されてしまう。 patch があるので適用する。 ただし、7.0 については 7.1 に upgrade した後に patch を適用する。
CVE: CAN-2001-0541
2001.08.19 追記: コード例: Re: Microsoft Security Bulletin MS01-042 [a.k.a. - Windows Media Player File Execution ]
麗美さん情報ありがとうございます。
2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 NetBSD advisory, logdaemon 5.12 用お手製 patch, JPCERT/CC の注意喚起、 脆弱性スキャナと Windows 2000 telnet サービスで DoS になってしまう話。
InterScan VirusWall の他にも、シマンテック Norton AntiVirus 1.5 for FireWalls, Norton AntiVirus 2.1/2.51 for Gateways で Sircam を検出できない場合があるそうだ。 InterScan は昨日の記事を参照。 シマンテックのものについてはサポートに問いあわせられたい。
InterScan の話の前半部分 (.lnk を検出しない話) については、 検索エンジンの問題であるため、 クライアント側製品や UNIX 版 InterScan VirusWall でも該当する。 詳細は、 ウイルス検索エンジン VSAPI ver. 5.450 リリーススケジュールに関するお知らせ を参照。
CSEのセキュリティソリューション をみてみたら、 MIMEsweeper による Sircam ワーム対策強化 に似たような話が出ていた。 MIMEsweeper は一部の Sircam を「検出不可」とするのだが、 これをデフォルトの「検疫」ではなく「配信」としていると、Sircam が MIMEsweeper をすりぬけてしまうという。 対応策が記載されているので、MIMEsweeper の利用者は参照されたい。
というわけで、特定プロダクトだけの問題ではなさそうなので、 アンチウィルスゲートウェイものを利用している場合は一度サポートに状況を確認した方がよいのだろう。
金床さんから情報をいただいた (ありがとうございます) のだが、Sircam は前半がウィルス本体、後半がファイルで、バイナリエディタなどを用いればファイルをそっくり入手することができてしまうのだ。 手元でも、やってきた Sircam から文書ファイルを取りだすことができた。 単に前半部分を取りのぞくだけでいいのでとっても簡単。 どこまでが「前半」なのかは、dump して比較すればすぐわかる。 ちなみに、手元で使った UNIX 用バイナリエディタは beav。 なかなかいい。
というわけで、「収支計画.xls」「Business Plan(製品計画).doc」はすでに読まれているのだろう。
ICANNによる国際化ドメイン名(IDN)に関するコメント募集について (JPNIC)、 しめきりは 7/31 だそうです。
情報処理学会 分散システム/インターネット運用技術 (DSM) 研究会 の 2001年度第二回定例研究会、いよいよ明日です。 Windows Media による中継もあります。 http://www.kikuken.org/ribb/work/dsm2001live/ を参照してください。
JPCERT/CC インシデント報告件数の推移、 昨年を大幅に上回るペースで増加中。
今日はまる一日、会議と試験監督づけ。 メールもじぇんじぇん読めてない。
LAC SNS
の一連の報告にある弱点を回避するためのプログラム、なのだろう多分。
solution 2794: コーポレートエディションで確認されたセキュリティホールへの対応について
によると、「このツールは、CGIファイルのNTFS権限をWebマネージャ用、
クライアント通信用に分け、Webマネージャで使用するものに関しては管理者のみの実行権限に変更するというもの
」だそうだ。
トレンドマイクロの InterScan VirusWall for Windows NT ver.3.x に問題。話題のウィルス TROJ_SIRCAM.A が、次の場合に検出できない:
ウイルスファイルの拡張子が「.LNK」の場合
.lnk (ショートカットファイル) はウィルス検出から除外されているため。 検索エンジン 5.450 で対応。
ウイルスが送信するメール内のエンコードデータが不正な形式の場合
不正な形式のため、InterScan が添付ファイルを正しく認識できない (が、ふつうのメールソフトは正しく認識してしまう!)。 ver.3.51J 用の patch が配布されているので適用すればよい。
そういえば、手元にきたやつを復号するときも、 munpack さんが warning: Premature EOF と文句ブーたれる例があったなあ。
[memo:907] InterscanViruswallNT のバグ (SIRCAM) からはじまるスレッドも参照。 UNIX 版ユーザは [memo:911] も注目。
キッズgoo
のコンテンツフィルタリングがあまりにめちゃくちゃ、という話。
さっそく「セキュリティホール memo」で検索してみると、
(このページはキッズgooのルールいはんが見(み)つかったためひょうじしないよ)
がズラリと並ぶ。
まあたしかにそうなのかもしれん (T_T)
が、「ルール」の詳細がわからないことには対応しようがないぢゃないか。
かなり流行っているようです。 LAC 邦訳版も出てます。 トレンドマイクロからも「TROJ_SIRCAM.A」国内大規模感染警報 〜 自動駆除ツール無償提供開始 〜 だそうです。 VAC-1 発動ってひさびさですよね。
わたしのとこにもきました。thanks! > trans-cosmos.co.jp。 でも、1 こでいいのに、8 こもきちゃってるし。 「担当顧客リスト.xls」とか書いてあるけど、だいじょうぶなのか? > trans-cosmos.co.jp。 『SirCam』ワームでFBIの文書が流出 (CNet) なんて記事も出てますが。 サイズも 250k くらいあって、けっこうデカイもんですね。 サイズは、元文書に依存するのかな?
取り下げは賢明な判断ではあるが、脅しの実行という意味ではすでに十分な効果が出ているから、という見方もできる。
squid の話はここでは書いてませんでしたね。 Squid httpd acceleration acl bug enables portscanning です。
マイライン、大丈夫? 10月には駆け込みで「登録ラッシュ」到来も (@IT)、 さすが NTT ……。
「出版社は不適当」 個人情報保護法案で政府が答弁書 (MAINICHI Interactive)、 出版社を放送局に変更してもそのまま通るような気がするんだが……。 しょせん自民党ではこの程度のものしか出てきませんか。
予想されたことではありますが、 おうちシステムを狙われる事例が増えているそうです。 気をつけましょう。 LAC 邦訳版 出てます。
弱点があるのは UNIX 版 ssh 3.0.0 のみ。 ssh 3.0.1 で fix してます。詳細: URGENT SECURITY ADVISORY FOR SSH SECURE SHELL 3.0.0。
でも、世の中的にはふつう OpenSSH 2.x を使ってるような気がするんだけど、ちがうのかしら。 まあ、ssh 3 は PKI サポートとかうれしい機能があるんだけど。
2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 FreeBSD security advisory, CERT advisory 登場。
web フィルタ Proxomitron に cross-site scripting 問題があるという指摘。Naoko-4 BetaFive で fix されている。
DEF CON 9 でのプレゼン資料だそうです。
2001.07.18 の Initial analysis of the .ida "Code Red" Worm に追記した。 まだまだ続報が。
aml ML、 例のゲゲボ教科書がらみの戦いが hot です。 最近は、ゲゲボ教科書ラブリーな右むけ右都知事のおかげで東京が hot のようですね。いはやは。
アッカがAnnex Hを採用した理由 (ZDNet)、自宅サーバしたい人にも、 (他人の) 自宅サーバを悪用したい人にも朗報なのかな。
ip-filter 3.4.20 が出たそうです (installer ML)。
Netscape Communicator 4.78 が出たようですね。
リリースノート
には
Changes to Java classes have been made to improve security and simplify
internal use of the reflection API
なんて書いてあるが、詳細が不明だなあ……。
Improved support for Sun Java plug-in
でもあるそうですが。神戸さん情報ありがとうございます。
DNSが危ない! 日本語ドメイン名って本当に必要なのか (日経 IT Pro)、 いるのかいらないのかというレベルの話になると、 それこそ昔の「Subject: に日本語が必要なのか」と同じだと思うんですけど。 ふつうの日本人は、今ではなんも考えんと日本語 Subject: 使ってるでしょ。 スケールするかどうかとかはまた別の話ですが。
昨日も書いたけど、流行っているようなのでもういちど。 危険度 4 (高) だそうです。
「ごみ箱」に侵入する『SirCam』ワーム (CNet)
W32.Sircam.Worm@mm (シマンテック)
対応ツールを無償提供 (シマンテック)
CERT/CC Current Activity: W32/SirCam Virus (CERT/CC)
"Power" Worm なんてのもあるのね。
「TROJ_SIRCAM.A」国内感染報告急増中 〜「マイ ドキュメント」内のファイルを自動送信、情報漏洩の恐れ〜 (トレンドマイクロ)
Sircam ワーム - 保護されてますか? (CSE)
手元には届いてないなあ。 Hybris くらい流行らないと手元にはきてくれないんだけど。
CERT(R) Advisory CA-2001-22 W32/Sircam Malicious Code (CERT/CC)
「TROJ_SIRCAM.A」国内大規模感染警報 〜 自動駆除ツール無償提供開始 〜 (トレンドマイクロ)
トレンドマイクロ solution 3032: タイトル: TROJ_SIRCAM.Aが発見できない (トレンドマイクロ)
InterScan VirusWall for Windows NT ver.3.x での sircam すりぬけ問題と解決方法。
『SirCam』ワームでFBIの文書が流出 (CNet)
ウイルス対策ソフトの一部に「Sircam」ウイルスを検出できない不具合 (日経 IT Pro)
2001.07.18 の Initial analysis of the .ida "Code Red" Worm に追記した。 日本語技術解説、日本語版 Windows 2000 での検証結果など。 まだまだ終らない……。
検索大手が詐欺的行為 消費者団体が調査要請 (Mainichi Interactive)、いやはや……。 最近は google しか使ってないけど……。
ネットマルチ商法で社名公表 国民生活センター (Mainichi Interactive)、 ありがち……。
[aml 22739] [NNk]ブッシュ E カード、ハデなグリーンピースもアレですが、 ブッシュ政権もほんとうにキてますねえ。
関西電力によるアメリカへの劣化ウランの無償譲渡に関する質問主意書、そうかー、各地でバラまかれている劣化ウラン弾には日本産のものもあるかもしれないんだ。
政府答弁書
と
答弁批判
も参照。
「具体的な利用計画も何もない
」、
自衛隊用にしたかった、んじゃないのかなあ。
つーか、それしか思いつかんのだが。
「ごみ箱」に侵入する『SirCam』ワーム (CNet)、 シマンテック日本語情報は W32.Sircam.Worm@mm。 危険度 を 3 (中) から 4 (高) に上げたそうで、 対応ツールを無償提供だそうです。麗美さん情報ありがとうございます。
SARC のページとか、アンテナで見るようにした方がいいのかしら。
携帯電話システムメルトダウンのナゾ、当初は「成立しないFOMA高速通信のナゾ(メルトダウン編)」というタイトルだったそうで、謎は深まるばかりのようです (麗美さん情報ありがとうございます)。 第4世代携帯電話は100Mbps──総務省 なんてお気楽な方もいらっしゃるようですが。
パターン・マッチングはもう限界? 今のウイルス検出法が通用しなくなる日 (日経 Network)、 とりあえずがんばってくれ、としか言いようが。
危険と背中合わせのLモード (日経 IT Pro)、ウチにも来た。 NTT、ふざけすぎ。
このページの hsj さんち の link が直ってなかったので修正 (白畑さん感謝)。
Apache のデフォルト設定を考える、不要なものは外す、はやっぱり基本ですね。 package とかで入れるとデフォルトは「全部入り」になってる場合が多いですから注意しましょう。
企業顧客情報流出相次ぐ〜ソニーシーピーラボラトリーズでは女性のリストが約1万人分 (Internet Watch)、 http://whythishappened.tripod.co.jp/ からいろいろたどれるそうです。 参照: [memo:879] [memo:880] [memo:881]。
Windows XPの違法コピー防止機能,緩和へ (ZDNet)、ン?
「特定期間内の1台のPCへの何回かの変更は許す
」?
求められている機能は逆じゃないのか?
「特定期間経過後は activation 規律が緩くなる」
ようなものでないとイカンような。
この記事の 原文 によると、「60 日、90 日、あるいは 6 か月」(期間はまだ検討中) の間に、activation が見ている 10 個所のうち 4 個所の変更までは許可し、5 つ目になると再 activation になるようだ。 で、「60 日、90 日、あるいは 6 か月」が過ぎると、5 つ目を変えても 再 activation は必要ないのだ、と。伊藤さん情報ありがとうございます。
IE 5 系では、[高] にしても Java とか ActiveX とか止まらないので、 手元では [インターネット] ゾーンはカスタムしてます。 同様に、[制限付きサイト] ゾーンもカスタム。 [信頼済みサイト] ゾーンは、手元では [中] にしていたりします。
[イントラネット] ゾーンは予想に反した動作をするので、 [サイト(S)...] の [詳細(A)...] で明示的に URL を入れておくといいです。 たとえば http://*.ryukoku.ac.jp のように。
[ActiveXコントロールとプラグインの実行] で [ダイアログを表示する] にしたとき、「これこれこういう ActiveX コントロールを実行しようとしてるけど、いいすか?」 とか聞いてきてくれるともうちょっとマシかなあと思うのだけど、そういうダイアログは出ないんですよねえ。 なんかこう、痒いところに手がとどかない実装……。
squid 2.3.STABLE4 以前、squid 2.4.DEVEL4 以前に cross-site scripting バグがあるという指摘。squid 2.3.STABLE5, squid 2.4.PRE-STABLE で fix されている。 2.3.STABLE4 Bugs には列挙されていない。Squid version 2.3 には squid-2.3-200107222300 というのがあるが、STABLE5 とは SQUID_RELEASE_TIME しか違ってない。
2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 FreeBSD、NetBSD は fix された模様。 (itojun さん感謝)
2001.07.19 の [RHSA-2001:094-03] Updated UW imap packages available (imap/pop3/imaps/pop3s) に追記した。 たぼと RHJ の fix。
2001.07.18 の Initial analysis of the .ida "Code Red" Worm に追記した。 関連 link など多数。
オートレスポンダの作者氏、 そういうおそれはないです。不正アクセス行為の禁止等に関する法律 と 不正アクセス行為の禁止等に関する法律の概要 読めばわかるはずなんですが。
DSM研究会 2001年度第二回定例研究会プログラム (7/27)、 Internet 中継されるそうです。わくわく。
「パッチの呪縛」から解放されたい (ZDNet)、要は「多重防御は常に有効」と言ってるだけのような。 PitBull だって完全じゃないんだし。
著作権保護の“聖戦”に燃えるAdobe,DEF CON逮捕劇もその一環 (ZDNet)、
Adobe は法律をカサに着るガマの油売りなのか?
「セキュリティを破ろうとするハッカーに対して,100%不正コピーを防止できるソフトは存在しない
」
なんてアジの開きなおりされてもねえ。
権利保護 or 不正コピー助長? (slashdot)
の closedな「囲いこみ」を正当化するのがDMCA
も参照。
ProPolice, sparc-sun-solaris2.6 対応版と gcc-3.0 対応版が出ています。
Symantec Enterprise Firewall発表会のご案内 が出てますね。いまさらのように登場する企業向け firewall というのは、どういう製品なんだろう。
[WSJ] Windows XPはJavaをネイティブサポートせず、これで心おきなく「ふつうの Java VM」を使えるというものです。Windows 2000 なんか、 Windows File Protection の素敵な力のおかげで、 外したくても外せないんだもん。 good job.
ネット上のわいせつ物陳列罪成立 最高裁が判断 (asahi.com)、
最高裁第3小法廷、平成11年(あ)第1221号、平成13年7月16日判決(上告棄却) (scan.or.jp)
だそうで。「同条が定めるわいせつ物を「公然と陳列した」とは、その物のわいせつな内容を不特定又は多数の者が認識できる状態に置くことをいい、その物のわいせつな内容を特段の行為を要することなく直ちに認識できる状態にするまでのことは必ずしも要しないものと解される
」、なるほど。
(情報源: Tea Room for Conference)
BSD 由来の telnet daemon に弱点。 telnet オプションの処理において、たとえば AYT (Are You There) オプションの処理において buffer overflow が発生しており、remote から root 権限を取得されてしまう。
BSDI, FreeBSD, NetBSD, OpenBSD, IRIX, Linux, Solaris など多数の telnet daemon にこの弱点がある。logdaemon 5.9 の telnetd もダメのように見える。 一方、OpenBSD-current や Linux netkit-telnetd >= 0.14 にはこの弱点はないとされている。OpenBSD-current の telnetd は現在 heimdal-0.3f ベースとなっており、buffer overflow 対策があらかじめ講じられている。 (info from [stalk:00625])
FreeBSD では fix されたようだ。 /src/libexec/telnetd 以下を参照。
NetBSD も fix されたそうだ。 basesrc/libexec/telnetd/ 参照。(itojun さん情報ありがとうございます)
FreeBSD Security Advisory FreeBSD-SA-01:49.telnetd: telnetd contains remote buffer overflow
提供されている patch は 4.2-RELEASE, 4.3-RELEASE および 2001.07.20 以前の 3.5.1-STABLE に適用可能。
CERT Advisory CA-2001-21 Buffer Overflow in telnetd と LAC 邦訳版
logdaemon は 5.12 で対応、ということになっています……が、直ってるの AYT のトコだけですね。こういうのを対応と言っていいのかなあ。
BUGTRAQ 等に *BSD 用の exploit も登場していますね。さっそく試してみたところ、見事に root が取れました。 GCC extension for protecting applications from stack-smashing attacks も効きません。stack じゃない……んですよねこの場合は。
NetBSD Security Advisory 2001-012: telnetd(8) options overflow
NetBSD 1.3〜1.5.1 に適用可能な patch が公開されているので適用しよう。
logdaemon 5.12 は AYT のところしか直ってなくてどうにも気色悪いので、 気休めに patch を書いてみました。normal 版と、手元で維持しているモノとの diff なので、 こがさんの RFC1938 対応 patch とか NEWSOS 6 対応とかいろいろまざってます。 あと、snprintf() を使ってしまっているので、snprintf() がナイ環境の人はどっかから get してください。 たとえば、berkeley DB とか OpenSSH portable 版とかにあります。
telnetd に含まれる脆弱性に関する注意喚起 (JPCERT/CC)
どーしても止められない人は、とりあえず logdaemon 5.12 の telnetd にしちゃうのがよいと思います。 個人的には、上記の patch もいっしょに適用してますけど。
Telnetd AYT overflow scanner と results summary 出てます。 vulnerable と言われたら vulnerable のようだが、not vulnerable と言われても必ずしもそうではないようです。
また、上記 scanner を Windows 2000 の telnet サービスに適用すると DoS になってしまうそうだ。参照: Vulnerability in Windows 2000 TELNET service
FreeBSD Security Advisory FreeBSD-SA-01:49.telnetd [REVISED] が出ている。インストール手順にちょいと問題があった。
security advisory: krb5 telnetd buffer overflows
MIT Kerberos 5 の fix。RedHat Linux とかが該当するはず。
IBM AIX 4.3.x and 5.1: Buffer overflow vulnerability in telnet daemon
AIX 4.2 以前も該当なんだろうな。維持されてないんだけどさ。
Customers may wish to consider replacing telnet with a version
of Secure Shell (SSH), available from a variety of providers,
as a security enhancement over telnet
なんて言ってるヒマがあったら、OpenSSH とか lsh とかを添付しろよ……。
●2001,8,22● telnetd にセキュリティホール (Vine Linux)
telnet buffer overflowによるroot権限奪取 (TurboLinux)
2001.07.18 の Initial analysis of the .ida "Code Red" Worm に追記した。 完全版が登場: Full analysis of the .ida "Code Red" worm.
頭が痛いですねえ……。しかし、¥188,000- は高いな。
University of Washington (UW) Version 2000 of IMAP toolkit imap-2000c に弱点。バッファオーバーフローが発生するため、 remote からサーバー動作権限を得られる。 ただし、この弱点を利用した攻撃を行うには、あらかじめ認証される必要がある。 詳細は、BUGID 44321 - imap2000c security problems を。
ftp://ftp.cac.washington.edu/mail/ には imap-2001.BETA.SNAP-0107112053.tar.Z がありますね。 これには、上記 fix は含まれているようです。
2001.07.23 追記: fix:
オートレスポンダの作者氏が JAPU 氏を刑事告発 or 民事訴訟かも、ですか……。 恥の上塗りなだけなので、やめたほうがいいと思います > オートレスポンダの作者氏。
米国のミサイル防衛システム実験成功、しかし高まる批判 (wired news)、 本当に第三者の目から見て「成功」と言えるものだったのかどうかはともかく、 そんなことする金があったら地球温暖化防止に使わナイト。 化石賞:日米両国選ぶ 温暖化防止交渉の「悪役」 環NGO なんて記事書かれてる場合じゃないぞ。
ようやく SSH, The Secure Shell: The Defenitive Guide を読みはじめているのだが、p.438 のふくろうさんマークのところがなかなか (^^)。確かに、基本は ssh -v だと思うです。
あ、Web Caching なんて本も出てるし。 Incident Response てのもありますな。
平成 13 年度 富士総合火力演習、応募締切は 7/19 必着だ。 今日中に投函すれば ok か? web 経由で 500 名に入場券プレゼントもやってるぞ。
[IIS]Office97 OffFilt.dll が原因で Index Server が永久ループ、Office を入れると NT Server が不安定になるという噂はほんとうだったんですね。
DEF CON やってたようで、 大人になるハッカーたち——そして変わりゆく「DEF CON」 (ZDNet) とか 『デフコン』はいまだにハッカーたちの祭典(上) (WIRED NEWS) とか 人権を守るハッカーになってください (CNet) とか インターネットの「免疫系」整備提唱 (Mainichi Interactive) とか出てますね。 タイホ者まで出たようで: DEF CONで「セキュリティ専門家」逮捕——新著作権法めぐり広がる波紋 (ZDNet)。 脆弱性を指摘するとタイホされるってのは……。 (SEAWorks さん感謝)。
おくればせながら、 Referer リクエストヘッダの除去 を改訂しました。岩本さんからの情報、[memo:551]、[memo:826]、高木さんからの情報を反映。
TidBITS 日本語版 休刊ですか……。TidBITS Japanese Workshop のみなさん、おつかれさまでした _o_。 こういうのを続けるのってたいへんなんですよねえ。
ちなみに、JWNTUG Newsletter もマジやばいです。 いつ止まってもおかしくありません。 まぁ、くれくれ君ばっかりでは「予定どおり」でしかないんですけどね。
出てます。
HTTP を通じたセッション管理における脆弱性と回避方法の考察。 Referer リクエストヘッダの除去 にもこの記事の記述を追加しました。
各所で話題になっていた、MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される を利用する "Code Red" worm の解析。 snort home page でも .ida / .idq 攻撃検出用のルールが紹介されている他、 IPA の Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される問題について も改訂されている。
2001.07.19 追記: 完全版が登場: Full analysis of the .ida "Code Red" worm.
2001.07.23 追記: 関連 link など:
「Code Red」ワーム VS. ホワイトハウス (ZDNet)
ホワイトハウス,Code Red感染サーバからの一斉攻撃を回避 (ZDNet)
Code Redの脅威は消えず (ZDNet)
CERT(R) Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL (CERT/CC)
CISCO の話は Cisco Security Advisory: "Code Red" Worm Customer Impact を参照。IIS を含んでいるから問題なんですって。
CERT(R) Advisory CA-2001-20 Continuing Threats to Home Users (CERT/CC)
code red は one of them だけど、触れられているのでいちおう。
CodeRed: the next generation (BUGTRAQ)
Code Red には、はやくも変種が登場しているのだそうです。 Code Red にあるいくつかの問題点は、徐々に修正されていくのかもしれません。
CodeRed worm honeypot & reverse-tester (in Java) と Errata for CodeRedLogger.java (BUGTRAQ)
Re(2): Re(2): 'Code Red' does not seem to be scanning for IIS (BUGTRAQ)
270,000 ですか……。いやはや。 その後も 「数的にはずいぶんと少なくなったけど、あいかわらず来て」(from [stalk:00644]) いるそうなので、要注意。 (web archive って時差あるのね……しくしく > stalk)
Microsoft IIS サーバの脆弱性を使って伝播する Worm に関する注意喚起 (JPCERT/CC)
Infected hosts list (info from snort.org)
なかなか強烈です。 http://condor.depaul.edu/~jkristof/codered-hosts.txt にもあるそうです。merge したら 14527 行になりました。 .comp-host-list.txt の方はちょっとゴミがあるので注意。 ここ に merged 版をおいておきます。
Handler on Duty: Vickey Irwin (incidents.org)
セキュリティ・ベンダーがワーム「Code Red」を警告,IISをねらう (日経 IT Pro)
CodeRed Scanner from eEye Digital Security ( [connect24h:03566])
関連 link など:
「Code Red」続報− 改良された亜種を確認 (ZDNet)
わかりやすい解説です。読みましょう。
[memo:902] (fwd) CodeRed Worm の動作確認について (memo ML)
日本語版 Windows 2000 + IIS 5 についての検証結果です。
CERT Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL 邦訳版 (LAC)
あ、CERT Advisory では、 CISCO ものについては Cisco 600 シリーズ DSL ルータでの誤動作についての方を協調してたんだ。 英語版ナナメ読みでは気がつかんかった……。 やっぱ日本語版はありがたいです。
英語オリジナル も 2001.07.20 日版に update されているようです。 邦訳版は 2001.07.19 版の邦訳になっているみたい。
ホワイトハウスを狙ったウイルス攻撃、失敗に終わる (WIRED NEWS)
225,000 っていう数字は、 裏が取れてるのかなあ……。
Code Red感染者を馬鹿にしていると…… (ZDNet)
GCC extension for protecting applications from stack-smashing attacks みたいなものをイメージしているのか、何か別のものなのか、 それとも適当に言っているだけなのか。
"Code Red" IIS ワームに関するセキュリティ情報 (Microsoft)
IIS サーバーを襲う「Code Red」ワームのメカニズムを解説する 現在は休眠状態だが油断は禁物 (日経 IT Pro)
緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム (JPCERT/CC)
「3300の全国の自治体と10省庁がネットワークでつながる中、他の自治体から宇治市の住民情報が流出する可能性は否定できない
」、その場合は誰が責任を取るんでしょうねえ。
2001.07.17 の CERT(R) Advisory CA-2001-18 Multiple Vulnerabilities in Several Implementations of the Lightweight Directory Access Protocol (LDAP) に追記した。 LAC さんの CERT Advisory 邦訳版登場。
Windows 2000 のEncrypting File System (EFS) に関する話題。
EFS を使って平文ファイルや平文ファイル入りのディレクトリを暗号化する場合、 あるいは EFS 化されたディレクトリに平文ファイルをコピーすることによって暗号化する場合に、 Windows 2000 は一時ファイル領域に対象ファイルをコピーし、これを使って暗号化を行う。 だが、暗号化後、この一時ファイルは「安全に削除」はされないため、物理 disk にアクセスできる者は暗号化したはずの内容 (の断片) を読み出せてしまう。 EFS を「推奨される方法」で利用する場合には、暗号化対象ファイルは暗号化されたフォルダの中でのみつくられる (この場合、一時ファイルも暗号化されたフォルダの中につくられる) のでこの問題は発生しない。
3rd パーティのディスク消去ユーティリティはたいてい Windows 2000 で使っている disk は消去しないので、やはり問題が残る。
JP298009: 暗号化ファイルシステム用 Cipher.exe セキュリティツール を使うと、この断片を掃除してくれるというのだが、 手元で試した限りでは、/W オプションは「指定されたプログラムは、新しいバージョンの Windows を必要とします。」と言われてしまうのだよなあ……。 謎。
07/15 EVERYDAY PEOPLE 夏休みのお知らせ、快傑黒頭巾〜〜♪ (を聴きたい場合は あっ超ー を買おう。龍谷大学的には「本願寺ブルース」がイチオシというかなんというか。デジタル特捜隊もなかなか)
盗聴法の廃止を求める署名実行委員会に 参議院選挙全国立候補予定者アンケート結果 が出ています。自民、保守、公明の与党 3 党はほとんどが無回答ですな。
暗号化ファイルシステム用 Cipher.exe セキュリティツール、EFS にしないとダメってことなんだろうなあ。
体の不自由な方に役立つ Knowledge Base の資料の検索方法、ふむん。 視覚障害のあるお客様が利用できるソフトウェアマニュアル、英語のみですか……。
stunnel 3.15 出たそうです (情報源: installer ML)。
MacWIRE「一度に1人ずつの革命」コラムに対するご説明 2 の話は長くなったのでこっちに移しました。
old news ですが、 integrit の 2.01.01-stable が出ていました。 Project Info の方から get できます。
このページ用の CSS をちょっとだけいじりました。 @import を一行目に書くようにして、H3 で font-size: normal; にしました。 麗美さんご指摘ありがとうございます。_o_ (あ、麗美さんのご指摘は @import のトコです、font-size: はあたしが勝手にやったの)
CSS で「本文と同じサイズのフォントを H3 タグに適用したい」ときにどうすればいいか、ご存知の方いらっしゃったらおしえてください _o_。 本文および H3 それぞれでフォントサイズを直に指定するのはなし、 という条件下で。 どうも、Mac 版 IE 5.0 と Windows 版 IE 5.0x では、「normal」という言葉の意味が異なるようなので……。たぶん Mac 版の方がまともなのだろうと思うのですが。
……NiAOU さんに font-size: 1em; とするとよいとご指摘いただきました。 ありがとうございます _o_。なるほど……。 さっそく反映させていただきました。
また、http://www.w3.org/TR/REC-CSS2/fonts.html#font-size-props にあるように font-size: normal; という記述はそもそも間違っているともご指摘いただきました。だめじゃん > 俺。 まじめに読まなきゃいかんなあ……。
[SECURITY] [DSA-066-1] cfingerd remote exploit
Steven Van Acker 氏の指摘というのは cfingerd local vulnerability (possibly root)。 ALLOW_LINE_PARSING が有効な場合に buffer overflow してしまうことと、 local user が root 権限を得られる。 また format bug があり、remote user が root 権限を得られる。 exploit は BUGTRAQ にたくさん出てますね。
[RHSA-2001:095-04] New util-linux packages available to fix vipw permissions problems
vipw を終了すると、/etc/shadow が誰でも読めるようになってしまう。 豪快だなあ。
[RHSA-2001:091-07] New elm packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1
message-id の処理において buffer overflow。
拡張子マッピングを削除しても、再起動すると復活するんだそうです。 レジストリ設定で完全に機能停止できるそうです。
ニセの MS01-039 を通じて、悪意ある .exe ファイルを実行させようとしている人がいるようです。 http://www.microsoft.com@%36%32%2E%35%32%2E%31%36%32%2E%31%34%37/%68%69%63%61%67%6F%67%70%70%72/%6D%73%5F%76%32%37%35%36%35%37%5F%78%38%36%5F%65%6E.e%78%65 だなんて、怪しさ爆発ですね。 decode すると http://www.microsoft.com@62.52.162.147/hicagogppr/ms_v275657_x86_en.exe ですね。LYCOS ですか。
Microsoft の Information on Bogus Microsoft Security Bulletin も参照。しかし、実行前に Microsoft の digital sign がついてるかどうか確認する手段ってあるのかな? ……ああ、プロパティ見るとわかりますね。なるほど。
そうそう、ニセといえばニセ首相官邸ですが、 治安悪化への対策についてが出ています。 本物の首相官邸も、これくらい明確な政策を示してほしいものです (笑)。 ニセ内閣メールマガジン、は、やらないのかな。
iPlanet, IBM, Lotus などから出ている幾多の LDAP サーバに弱点。 DoS 攻撃を受けたり意図しないアクセスを許可したりしてしまう。 PROTOS プロジェクト作成の PROTOS LDAPv3 test suite を用いた成果だそうだ。
LDAP サーバ動作権限が取られることが判明しているものは、 iPlanet Directory Server, Lotus Domino R5 Server, Network Associates PGP Keyserver, Oracle 8i Enterprise Edition である。 IBM SecureWay Directory Teamware Office Microsoft Exchange 5.5 LDAP Service OpenLDAP は DoS を受けることが判明している。 また Qualcomm Eudora WorldMail Server についてはまだ詳細が判明していない。
対応としては、patch があれば適用し、なければ ldap / ldaps ポートへのアクセスを禁止する。 patch については CA-2001-18 の Appendix A 参照。
2001.07.18 追記: LAC さんの CERT Advisory 邦訳版登場: CERT Advisory CA-2001-18 Multiple Vulnerabilities in Several Implementations of the Lightweight Directory Access Protocol (LDAP)
ハッカートラップの「ハニーネット」を強化するんだそうです。
phrack の link 修正 (園田さん感謝)。
[memo:821]、なさけねぇ > 俺。 ごめんなさい > 参加者のみなさま。 B-) さんち の Tripwire temporary files その2 (2001/7/16)もこの影響です。 すいません。 というか、これで発生したエラー通知で気がついたという……。 よろしかったら再送してください。_o_
ケータイの不具合,なぜ起こる? (日経 IT Pro)、いやはや。
A.D.200X.ORG が登場しています。わくわく。 (情報源: Shadow Penguin Security)
FreeBSD 4.3-RELEASE 以前のシグナルの取り扱いに弱点。 プロセスを exec した後でも、小プロセスから親プロセスのシグナルのいくつかを扱えてしまう。 これにより local user は、suid つきコマンドを exec することで、root 権限を得ることができてしまう。
詳細: FreeBSD 4.3 local root, yet Linux and *BSD much better than Windows (Georgi Guninski)。 Guninski 氏は /usr/bin/login と /usr/bin/rlogin を例に上げているが、 freebsd-security ML での議論を見ると、 /usr/bin/passwd, /usr/local/bin/ssh1, /usr/bin/su などでも ok なようだ。 また shellcode をちょっと工夫する例も紹介されている。 手元でも root が取れることを確認できた。
4.3-RELEASE 用の patch が出ているので適用すればよい。 CVS log for src/sys/kern/kern_exec.c によると、 RELENG_3 も 1.93.2.6 で fix されたようだ。
Outlook 98, 2000, 2002 に含まれる Active X コントロール "Microsoft Outlook View Control" に弱点。 悪意ある web ページ作成者 / メール送信者は、この Active X コントロールを通じて任意のコマンドを実行できてしまう。 このため、Outlook / Outlook Express や IE などを通じて、 致命的な状況が発生する可能性がある。
patch はまだない。対象となるゾーン (特にインターネットゾーンや制限つきサイトゾーン) において、 「ActiveX コントロールとプラグインの実行」を無効にすれば回避できる。 Outlook 電子メールセキュリティアップデート (Outlook 98、 Outlook 2000) や Office 2000 SP2 を適用すると、 Outlook での電子メールについては制限つきサイトゾーンが適用されるようになるので、 制限つきサイトゾーン内ではなんでもかんでも無効に設定してしまえばよい。
関連情報:
詳細: MS Office XP - the more money I give to Microsoft, the more vulnerable my Windows computers are (Georgi Guninski)。
NTBUGTRAQ Russ 氏によるまとめ: Vulnerability in IE/Outlook ActiveX control。 問題のファイルは \Program Files\Microsoft Office\Office\OUTLCTL.DLL だそうだ。
2001.08.19 追記: 英語版 patch が登場したため、 MS01-038 が改訂された。 現在、Outlook 2000 / 2002 用の patch が入手できる。 Languages Supported に Japanese という文字も含まれるので、日本語版 Outlook 2000 / 2002 にも適用できるはずだ。 Outlook 98 用はまだ。
delegate 7.4.0 用の cross site scripting 問題対応 patch (ということでいいんだよねきっと……)。 delegate 7.4.0 自体はまだ ALPHA ステータスなので注意。
2001.07.10 の Tripwire temporary files に追記した。 patch 情報。
2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 IIS攻撃ツールを公開したhsj氏へのインタビュー (ZDNet) が出ていました。
2001.07.10 の Check Point FireWall-1 RDP Bypass Vulnerability に追記した。 関連記事と参照コード情報追加。
マイクロソフトの独占による被害はブラウザのみにあらず (ZDNet)、やっぱり全文読まなきゃだめですか……。
合体変形する宇宙ロボ,デビュー 産業総研 (ZDNet)、カッコイイ!
DEMARC、よさげですねえ。
DEMARC is an all-inclusive network monitoring program that allows you to monitor an entire network of servers
from one powerful web interface
だそうです。
手元でも MySQL にするかなあ……。
(情報源: みっきーのネットワーク研究所)
情報漏洩対策は念入りに! CD-R/RWを物理的に判読不能にするCDシュレッダー (MYCOM PC WEB, 情報源: Win セキュリティ虎の穴)、一台ほしいなあ。
[memo:801] Destroying Compact Disc (CD shredder) を読んで「CD 廃棄 溶解」で google 検索してみたら、 情報資源セキュリティ講座(4)「情報資源セキュリティの評価」 なんてのがひっかかった。 住友海上リスク総研: リスクマネジメントライブラリ・情報通信分野 にはいろいろなドキュメントがありますね。
[memo:806] によると、電子レンジでチン、でも ok のようです。 「CD 破壊用に電子レンジを……」と言って禀議通るかどうかはまた別の話でしょうが。(^^;;)
snort-1.8p1 出ているそうです (情報源: stalk ML)。
13 日の、金曜日。
MacWIRE「一度に1人ずつの革命」コラムに対するご説明、おお、反論出てますね。 これを機会に、原文への link の常設を希望。
Dvorak キーボード レイアウト、 MS-DOS 5〜6, Windows 3.1〜95, Windows NT 対応の dvorak driver。
文部科学省から、「特定胚の取扱いに関する指針(案)」の意見公募について が出ています。締切は 7/23 です。
報告「地震に関する基盤的調査観測計画の見直しと重点的な調査観測体制の整備について」 の意見公募について というのもありますね。
OpenSSL 0.9.6a 以前に弱点。 OpenSSL に含まれる pseudo-random number generator (PRNG) に設計上の問題がある。特定の PRNG リクエストに対する出力を知ることで、 攻撃者は PRNG の内部状態、および未来における PRNG の出力を得ることができるという。
この問題は OpenSSL 0.9.6b で修正されており、0.9.6b への upgrade が推奨されている。 また、0.9.6b への upgrade が困難な場合に適用可能な patch (OpenSSL 0.9.5 〜 0.9.6a に適用可能) が示されている。
HDD メーカ各社が配布しているツールでは、こういうことはできないんでしょうか?
OpenSSH 2.x を socks 経由で使う際に便利な http://www.imasy.or.jp/~gotoh/connect.c に問題があることの指摘と fix patch。 現在配布されている connect.c はこの問題が修正されている。 また [FreeBSD-users-jp 62903] で、native に socks 対応とするための patch が示されている。
2001.06.28 の MS01-034: 不正な Word 文書が自動的にマクロを実行する に追記した。 Word 97/98 用 patch 登場。
ネットマークス の マルチバイオメトリクスソリューションセミナー (7月26日)、 いろんな話が聞けておもしろそうです。
rpm つかってる Linux distrib. で rootkit イレられたっぽいときは、 rpm -Va とかやると (rpmdb を書き換えられていたり、rpm コマンド改造されていなければ) イイそうです (某ペンキン屋さん: 談)。
電子政府向けプロテクションプロファイルの公開 (IPA ISEC)、 いま 3 つほどよくわからない……。
packet storm の link 先を http://packetstormsecurity.org/ に変更 (てらしまさん情報ありがとうございます)。
出てます。
というか、障害はMSN Messengerだけで済むのか……? (ZDNet) とか見ると、「セキュリティ以前にちゃんと安定運用できるの?」 という疑問が。 MSNメッセンジャー、7日目に入っても問題解決せず (wired news)、 ふつう避雷針つけると思うんだが。
2001.07.10 の Check Point FireWall-1 RDP Bypass Vulnerability に追記した。 関連記事追加。patch もあるようです。
障害者にパソコン給付求める声明 NAP、「IT 革命」は健常者のためだけにあるんですかねえ > 厚生労働省。 ワープロは ok で PC はダメってのは理解できんなあ。
障害はMSN Messengerだけで済むのか……?、まだ直ってなかったのね。
韓国、青少年性犯罪者178人の名簿をインターネットで公開、うーむ……。
セキュリティホール情報などを日刊で配信するサービスを開始 (Scan編集部) ですが、どうやら scan Security Wire を講読している人のところには届いているようです。
韓国外相、教科書修正なければ「対抗措置」、また戦いの日々になるんでしょうか。
あら〜、 名古屋市美術館がヤラれてるし。 だめじゃん。 (情報源: EVERYDAY PEOPLE)
一度に1人ずつの革命:さらにApple報道における翻訳の問題は続く (1/2)、 最近もこのへんとかありましたが、訳の問題はほんとに頭痛いですね。 で、(2/2) ですが、 やっぱりこれは 特選!大人の裏画像!! な話がしたいのだろうと思うのです (^^)。
snort 1.8 が出たそうです (情報源: stalk ML)。 ……が、snort home page からは URL 違いで download できないですね。 http://www.snort.org/files/snort-1.8-RELEASE.tar.gz で get しましょう。
日本レコード協会ら、国内におけるファイル交換ソフトの実態について報告 (情報源: ポケットニュース)、
このテの「調査」は利権側に都合のいい値を出してくるのは当然ですねえ。
全ての計算のベースが「Webサイト上で行なわれたアンケート
」にあるようですが、そのアンケートの妥当性がさっぱりわからないですねえ。
“迷惑メール商法”規制、都が消費生活条例改正へ (情報源: EVERYDAY PEOPLE)、 本当の目的は「これを隠れミノにして、ケータイメールの利用情報を get したい」だったりして。
なんかいろいろするんですねえ。ごくろうさんなことで。
Warning: a bug was found in xinetd's string handling routines.
All versions
of xinetd prior to 2.3.0 are vulnerable.
Please upgrade to xinetd 2.3.0
ですって。xinetd つかってる人はご注意。
libs/src/str/strprint.c の
strx_*() の引数 len に負の値が入ったときの処理が追加されたようです。
RedHat: [RHSA-2001:092-02] Updated xinetd package available for Red Hat Linux
Tripwire 2.2.1, 2.3.0 for Linux の一時ファイルのつくり方は安全じゃないので symlink attack を受ける、という話。 tripwire-2.3.1-2 でも、まだ fix が完了していないため、 tripwire-2.3.1-2 に upgrade したうえで、TEMPDIRECTORY を設定して root しか書けないような一時ファイルディレクトリを指定すればよい。
2001.07.13 追記: B-) さん の Tripwire temporary files (2001/7/13)に情報がありますのでご参照。
2001.07.16 追記:
Re: Tripwire temporary files
で tripwire-1.3.1 および 2.3.1-2 用の patch が示されています。
upcoming FreeBSD Tripwire-2.3.1
port
はまだかなー。
Qube3 で発生。'..' バグがあるので remote user がファイル読めちゃうそうです。
FreeBSD Ports Security Advisory FreeBSD-SA-01:41.hanterm
ふつうの日本人はインストールしてないでしょう。
[RHSA-2001:088-04] New xloadimage packages available
netscape から呼ばれることがあるから、悪意ある web server が攻撃 iamge file を設置することにより、……という話だそうです。
[memo:724] から続くスレッドでも話題になっているのですが、 リバース・プロキシで secure にするという発想は、どうにも理解できないです。 delegate の mount 機能みたいにすることで内部ホスト情報を隠蔽できる、 という話でもないようですし。
ベストセラー firewall ソフト FireWall-1 / VPN-1 4.1 に弱点。 FireWall-1 が利用する RDP プロトコルに偽装した UDP パケットを port 259 に送ると、FireWall-1 の防御をかいくぐり、任意のホストへパケットを送ることができてしまうという。また、この「暗黙ルール」は、FireWall-1 policy editor で簡単に削除できるものではないという。定義されている場所については、Detailed description の項を参照。 fix は現在準備中。
CERT Advisory: CA-2001-17 Check Point RDP Bypass Vulnerability、 LAC 邦訳版
2001.07.11 追記: 関連記事追加: FireWall-1 にセキュリティ・ホールが発覚,不正なパケットを送り込まれる恐れあり (日経 IT Pro)。 記事によると、patch もあるようです。 私は FW1 ユーザじゃないので確認できないのですが。
2001.07.12 追記: あ、日経 IT Pro の記事に、 Check Point の official release も出てますね: RDP Communication Vulnerability
2001.07.16 追記: 関連記事: ファイアウオールのデフォルト設定を考える (日経 IT Pro)。 どれだけの SI 屋があらかじめきちんとツブしていたんでしょうね。
参考コードが公開されています: FW-1 RDP Vulnerability Proof of Concept Code (from SecurePoint)。 なんか、SecurityFocus の BUGTRAQ アーカイブって壊れてません?
web server 上の word / excel ドキュメントを読もうとすると認証されるのはなぜ?
(声: ネーヤ)
という話なのですが、その正体はやっぱり Office 2000 の素敵な機能
だったという話。しかも、「Officeドキュメントにより認証の形態が異なる
」というおまけつき。さすがです。
KB: J051441。
ジョージア州が distributed.net 参加者を告訴、いきなりケーサツ呼ぶか?! ふつう。それでいったい何を「教育」しようと言うのだジョージア州政府。
侍魂、TOP絵募集企画ついに結果発表、すばらしすぎます。
[WD2002] 初回起動時に頭文字に"\"を入力すると応答なし、動かなくなる Word もアレだが、入力する方もする方のような気が (^^;;)。
Lモードの羅生門的プライバシー条項のナゾ (情報源: Tea Room for Conference No.443)、 i-mode と同程度の「迷惑メール対策」すらしようとしてないからなあ、Lモードって。
あ、Lモード提供不可局番一覧表 西日本(若番順) なんてのあるんですね。ふーんダメなとこがあるんだ。 ADSL もそうだけど、「一部ご利用になれない地域があります」(L モード用) とか「かなりご利用になれない地域があります」(ADSL 用) とか、 CM でちゃんと註釈つけておくべきだよね。
成立しないFOMA高速通信のナゾ(簡単な算数編) もイカしてます。
PowerBook G3 電源アダプタ交換のご案内、「1998年5月から2000年3月までの期間に工場出荷された旧型PowerBook G3に付属して販売された電源アダプタ
」
が対象だそうです。
Apple とか SONY とか、特定メーカーにこのテの話がつづきますねえ。
web 選挙運動ですが、 miyadai.com の2001年7月4日がおもしろいです (情報源: Tea Room for Conference No.442)。 論拠なかったのね > 総務省。
BlackICE Defender for Sever
が登場したようですが (情報源: B-) さんトコ)、「Windows NTサーバ、Windows 2000サーバに向けられた特殊な攻撃に対する防御機能
」ってなんだろう。
とりあえず、
お値段が違う
ことはわかるんだけど。
謎に包まれた国際電子諜報網“エシュロン”とは何か?、ネッシーですか。そうですか。 ホントにいなけりゃ別にいいんですけどね。
Lotus Domino 5.0.6 以前に、クロスサイトスクリプティングが発生する弱点がある。 エラーページをカスタマイズして回避できる、かもしれない。 fix は 5.0.9 で予定されている。 SPR 番号は JCHN4V2HUY。http://www.notes.net/r5fixlist.nsf で検索可能。
……これってつまり、3/18 にベンダーに通告したのになーんも進んでなくて、 しびれを切らして BUGTRAQ に投稿したら 5.0.9 で直すと言ってきた、ってことですよねえ。 なんだかなあ。
問題になるのは MIME で .stm を送ったときだけと理解していいのかな。
アンチウィルス API は、次のような場合にはメッセージを正常にスキャンしません。
……
別の Exchange 2000 ベースのサーバーから直接送信されたメッセージを Exchange 2000 ベースのサーバーが受信して、受信サーバーのユーザーが、サポートされているクライアントを使用してメッセージを開こうとした場合。
をみると、そうじゃないような気もするのだけど。
2001.07.06 の MS01-037: SMTP サービスの認証エラーがメールの中継を可能にする に追記した。 patch 出ました。
W32LeaveWorm の話のつづきのようです。
2001.07.04 の [COVERT-2001-04] Vulnerability in Oracle 8i TNS Listener に追記した。 日本オラクルからの情報。
公選法、ネットがもたらす空洞化 求められる「ネチズン」の議論参加、
いやあおもしろい。
「では、無料ホームページサービスを利用したらどうか。その場合は、
サービスの提供者が同法違反に問われる
」
とか、
「ちなみに、「○○候補を落選させよう」という落選運動は「特定の候補者を有利にする行為」ではないため、違反にはあたらない
」
とか、
実に直感に反するような気がするんだけど、
今のところ、ここはそういう国のようです。
Windows NT/2000 セキュリティ対応状況 を、ようやく Windows 2000 SP2 base に変更しました。
IPA が情報セキュリティ関連の調査・開発に関する公募をしています。 「15. セキュアMailing List Serverの開発」とかあるなあ。
電子メールを盗み見るだけじゃ,スパイとは言えない、ステガノグラフィしているからといってスパイとは限らないし。日本じゃ、ただのダウンローダーの可能性の方が高いような。ステガノグラフィと言うよりも「偽装」の方が通じるだろうし。
あなたの顔はスキャンされている!? ストリート設置のカメラを警察が監視 (from ポケットニュース)、 ちょっと前に F.E.R.C. でも英国と日本の状況をリポートしてましたね。
「週平均で4000件」と相次ぐDDoS攻撃に対処 米国で対策サービスが活発化 ゾンビーを追跡,シャットアウト。 関連: “ガマの油”か特効薬か,DoS攻撃対策ソフト (ZDNet)。 ISP にこういう事前対策を期待できるのかな。 ユーザ側でできる対策としては、akamai みたいなコンテンツ分散方面の方が有力なような気がしているんですが。
「悪性ウイルスも100%検出」,米CAのウイルス対策ソフトがICSAからお墨付き、 日本での対応製品は何なんだろう。 US と日本で名前が違ってるモノが多いからなあ……。 もしかして、日本では売ってなかったり?
Windows 2000 の SMTP サービスに弱点。 SMTP サービスを利用するには認証が必要なのだが、間違った認証情報を流しても「認証された」としてしまう。この方法によって、誰でも anonymous relay を実現できてしまう。
NT Option Pack の SMTP サービスや、Exchange 5.5/2000 にはこの弱点はない。 また、Windows 2000 がドメインメンバサーバである場合にも問題は発生しない。 Windows 2000 SMTP サービス単独で、しかも Windows 2000 がスタンドアロン構成の場合にのみ弱点が発現する。
日本語 patch はまだない。 SMTP サービスが不要なのであれば、停止させておこう。 CVE: CAN-2001-0504
2001.07.09 追記: patch 出ました。
2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 追試結果と関連記事。 HighSpeed Junkie さんじゃなくて、……。
Merit 3.6b (以前) および Lucent 2.1-2 (以前) の RADIUS 実装に弱点。認証ルーチンにおいてバッファオーバーフローするため、 攻撃者は DoS 攻撃や radiusd 動作権限の取得が可能となる。 Merit のものは 3.6b1 で fix されている。Lucent のものはまもなく patch が登場する予定。
3.6B と 3.6B1 の diff 取ってみましたが、strcpy() や sprintf() をなんも考えんと使ってました〜というおきまりのパターンに見えます。
CVE: CAN-2001-0534
Windows 2000 で snort + MySQL + IIS (with SSL) + PHP + ACID + BlackICE してます。
セキュリティホール情報などを日刊で配信するサービスを開始 (Scan編集部)、つまりふつうの人は読めないってことなんですよねえ。
不正アクセス情報届出状況概要(4〜6月分)、sadmind 系はすこしはおさまってきてるのかなあ。 EVERYDAY PEOPLE さんとか見てるとあいかわらず sadmind とか li0n とか出てるけど……。
−よくある5つの相談事例−、Hybris ってあいかわらず届くしなあ。 ウイルス発見届出状況(6月分) でも Hybris がトップだし。経路はほとんどがメールですね。
侍魂、ウワサの先行者携帯マスコット&キーチェーンが紹介されてます。 下手に持ち歩くとコワれそうな気がするけど……。
気象衛星「ひまわり」ピンチ、1年半の延命作戦 (from EVERYDAY PEOPLE)、 予想されたこととはいえ、いよいよヤバい。 H2A はちゃんとあがるかなあ。
Over 100 Greenpeace volunteers invade Menwith Hill spy base to expose Britain's role in Star Wars programme (from [aml 22530])、 GREENPEACE はあいかわらず過激です。
欧州議会特別委がエシュロン認定 最終報告書採択、 見られて困るものは暗号化しましょう。 でもトラフィック分析はされちゃう……もちろんしてるんだろうなあ。
存続の危機を生き延びる迷惑メール防止情報サイト、使うも自由、使わざるも自由。 overkill はいやだし何もしないのもなあ、という人は DSM研究会 2001年度第二回定例研究会プログラム の「(9)発信者詐称SPAMメールに対する対策手法」に注目すると吉かも。
JPCERT/CC REPORT 2001-07-04 出てます。 mail 版が手元に配送されるまでに、3 時間ちょっと経過しているなあ。 sendmail だから?
Floppy-1、 ipfw + natd なのかな。
BIND 9.1.3 が出ています。
[memo:711] で崎山氏自身によりフォローされています。 とりあえず、 日行連認証局 の日本行政書士会連合会認証局運用規定 (日行連 CPS) と 日本ベリサイン認証局運用規定 (VeriSign CPS) を頭に叩き込まないとコメントできなさそうなのですが、 私的には読む時間が……うぅ。
[memo:711] のヨソのひとつは Tea Room for Conference No.435 だと思います。
Oracle 8i 8.1.7 以前の TNS (Transparent Network Substrate) Listener に弱点。 弱点は Windows と UNIX 版両方にある。 バッファオーバーフローが発生するため、remote user が local SYSTEM (Windows 版) や oracle (UNIX 版) 権限を取得できてしまう。 対策としては、bug number 1489683 に対応する patch をインストールする。
CERT Advisory と LAC 邦訳版が出ている:
COVERT Labs からは、同時期に [COVERT-2001-03] Oracle 8i SQLNet Header Vulnerability も出ている。 こちらの弱点は remote からの DoS 攻撃に限られるそうだ。
2001.07.09 追記: 日本オラクルからの情報: 文書番号 28679、 Net8およびSQL*NetのTNSリスナー関連のニュースに関するお知らせ パッチダウンロード (情報源: Win セキュリティ虎の穴)。 まだ Linux 版と Windows 版用日本語 patch はないようです。2001.06.29 の Cisco Security Advisory: IOS HTTP Authorization Vulnerability に追記した。 CERT Advisory LAC 邦訳版登場 (坂井さんトラブル対応ありがとうございます _o_)。
「ただし,そうした悪質なハッカーからの関心が高まるのは,Appleがサーバ市場で確保しているほんのわずかなシェアを,拡大することができればの話だ
」
という意見には納得できないなあ。MacOS X ってちょっと毛色の違った
BSD UNIX ですから、ふつうの
Mac ユーザが使ってる弱々なモノが十分狙い目なわけで。
特集 とことん韓国語! 日本語環境で利用できる韓国語関連ソフト ワールドカップまでに韓国語をマスターしよう、 いまどきの世の中、中国語と韓国語は重要なような気が。
NSA の Windows 2000 Security Recommendation Guides (nsa.gov じゃない場所になったのね) 復活してます。.zip まとめ版もあります。 .pdf の top page をちょいと見てみましたが、 Guide to Windows 2000 Kerberos Settings (Updated: June 27, 2001) と Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 (Updated: June 19, 2001) は変化しているような気がします。 他は変化してなさそうです。
どうして http://www.nsa.gov/ だとつながらないんだろう。
J060246: [ISA]ISA Server 環境でのフレッツ接続ツールのエラー。 フレッツな方はご注意を。
[postfix-jp:844] で ORBZ (Open Relay Blackhole Zones) が、 [postfix-jp:845] で Osirusoft's Open Relay Spam Stopper が紹介されてました。いっぱいあるんですね。
おぉ〜ルパン 1st シリーズ DVD-BOX (from B-) さん)。 ほしいかも。
あたしのページ程度のもんに文句ぶーたれてる暇があったら、 もっとまともなもんをとっととつくってほしいです。 おねがいします。大いに利用させていただきますから。 自分に実力がないことは最初から自覚してやってるんで、 まともなもんが他にあればとっととやめるか学内 only にでもします。 > 2ch 方面。
あ、2ch はふだんは全く読んでません。
ネットワーク情報セキュリティマネージャー(NISM) 資格認定講習 第1期受講者募集開始のお知らせ、 「基礎」だの「基本」だのという言葉がならんでいるのが気になるな。
判決後,マイクロソフト分割の可能性は消えてないとする専門家たち、そういうもんですか。
Dragon IDS でおなじみ インタ−ナショナル・ネットワ−ク・セキュリティ で 8/1 に「第5回情報セキュリティ・セミナー」というのがあるそうです。 attrition.org の Brian Martin さんのお話がおもしろそう。
security talk ML [stalk:00558] で、訳者の宮川さんは「フラグメントA、B のくだりは原文がバグってるような
」とフォローされています。
2001.06.27 の Solaris のプリンタデーモンに含まれる脆弱性に関する注意喚起 に追記した。 CERT Advisory と LAC 邦訳版。
「まず注目すべきは,ファイアウオールに許可されたアクセスの記録である
」。なるほど……。
おぉっ、 「DAICONFILM版 帰ってきたウルトラマン」DVD! ほしいかも。 つーか、 愛國戦隊大日本 や 快傑の〜てんき の DVD 化希望 (笑)。
Tomcat, JRun, WebSphere, Resin のクロスサイトスクリプティング問題。 少なくともこれら 4 つに同じ問題があったというのが肝なのだろう。 クロスサイトスクリプティング問題それ自体は決して新しいものではなかったわけだし。
マイクロソフト的にはサポートがとってもたいへんになるような気が。 あ、サポート料金で儲かったり、3rd party も「できる! セキュア IIS」とか出したりできていいのか。(やっぱできるシリーズほしいっす…… > インプレスさん)
日経Windows2000連載記事のフォローアップ版だそうです。 1 か月遅れで毎月読める、ということになるのかな。
このシリーズ、どこまで続くんでしょう。 「次期バージョン」が登場するまではどうしようもなさそうですね。
![[セキュリティホール memo]](/~kjm/security/memo/sechole-memo.gif){kind=small}
私について