セキュリティホール memo - 2002.03

　なんか出てます。

• Retrieving information on local files in IE (GM#003-IE)

  (既知のパス名の?) ローカルファイルのファイル情報を得られる話かな。

• HELP.dropper: IE6, OE6, Outlook...lookOut

  手元の Windows 2000 ではうまく動かないみたいなのだけど、Windows 98 だと動くのかなあ。

　ホントにこんなにいっぱいあるの?

2002.04.01 追記:

　佐藤さんから (情報ありがとうございます):

リンク先で紹介されている「デフォルトのオラクルユーザ」は、「米国オ
ラクル本社が出荷している製品、オプションおよびデモンストレーション
環境全てを、デフォルトの状態でインストールした際に作成される、オラ
クルRDBMSのユーザアカウント」のようです。通常の方法でRDBMSを作成し
た際には、RDBMSに作成されるユーザはsys, system, outln, dbsnmpの四
ユーザとなります。

オラクルを利用したプログラムを作成する際に使用することのあるオプ
ション製品(Pro*C)およびそのデモンストレーションデータをインストー
ルしなければ作成されないユーザ、基幹業務アプリケーション(Oracle
Applications、SAP R/3と同じようなレイヤの製品です)およびそのデモン
ストレーションユーザをインストールしなければ作成されないユーザなど
が数多く並べられています。リスト中の多くは後者のものとなります。

外部ネットワークからオラクルへ接続することは通常厳しく制限されてい
ますし、またオラクルのインスタンスに大して与えられたID (SID)が分か
らなければ、ユーザ・パスワードが分かっていても接続はできません。

もっとも、内部ネットワークからのクラックには使えるリストであること
は確かですので、データベース管理者の啓蒙には十分役立つリストである
と思います。

　古いまんまのホスティングものって多いですよね。穴あり PHP つきとか。 堅めかつ安くて土管が太いホスティングなところってあるのかなあ。というか探してるんですが。

　JPCERT/CC のような金も資源も枯渇している (らしい) し立場も不安定 (らしい) 組織がどこまで「調整」できるのかには疑問があるのだけど、ニーズだけは山のようにあるんだろうなあ。というか、こういうところにちゃんと資金を投入しナイト > 政府。 10 億程度ですばらしい成果が出るぞ、多分。

　アジア太平洋地域セキュリティインシデント協力会議 は 3/24〜26 に行われていたようです。

　2002.02.19 の Microsoft Compiler Flaw Technical Note に追記した。MS コメントの日本語版 Visual C++ .NET セキュリティ機能に関する不正確な主張 が出ていた。

　稼働を開始した 総務省電子申請・届出システム に関する問題点 2 点。 情報処理振興事業協会 公募 もアレゲだったが、それを遥かに越えてアレゲ。

　関連スレッド: 総務省「電子申請・届出システム」は信頼できるか (slashdot.jp)。 関連報道: 総務省、インターネットによる申請・届出システムの運用を開始 (INTERNET Watch)。

2002.04.01 追記:

　総務省電子申請・届出システム等のセキュリティ対策 〜「安全な通信を行うための証明書」の確認のお願い〜 (soumu.go.jp, info from [memo:3508])。 何を批判されたのか理解できていない模様。

2002.04.02 追記:

　総務省　電子申請システムにセキュリティー上の問題 (毎日)。

　電子商取引では、企業などの第3者認証機関で認証された暗号を利用した電子認証の仕組みが一般化しつつある。マイクロソフトのIE（インターネット・エクスプロラー）や、ネットスケープ・ナビゲーターなど主要なブラウザーに、こうした認証機関が認められていれば、パソコンの画面に警告が出ず、そのまま利用できる。

　現状では、総務省はそうした認証機関として認められていず、暗号化を行えば主要ブラウザーでは「信用できない」と表示されるため、同省では「混乱を避けるため」暗号化を行わなかったとしている。

　また、民間認証局を利用しなかった点について、総務省情報流通振興課の宮田拓司課長補佐は「民間認証局と総務省のポリシーが全く同じとは限らず、将来的にその違いが問題化する可能性もあった」と説明している。さらに「電子申請システムは、多くの人が安全で簡単に操作できなければならないと考えており、今後検討したい」とシステム改善の可能性についても言及した。

　官僚用語「今後検討したい」を翻訳すると「とりあえず何もしない」かな。

2002.05.10 追記:

　総務省電子申請・届出システム等のセキュリティ対策等　〜　運用開始後１か月に伴うシステムの見直し　〜 (総務省)。いろいろとリニューアルされた模様。 セキュリティな改善点、とされているもの:

1. 申請システムに問題点が発見された場合は、利用者に e-mail で連絡。

2. 証明書のフィンガープリントを報道発表等により周知 (うーん……)。 http://www.e-gov.go.jp に載せる他、 官報による公示もされる予定だそうで。

3. 「部品」のセキュリティ fix (INTERSTAGE FormCoordinatorにおけるセキュリティの問題(2002.05.07) を参照)。

　電子申請・届出システム又は電子申請・届出システム（体験システム）をご利用された方へ で説明されている「部品」の修正版では、2 番目の問題である「Javaアプレット署名者の不可解な名前」(AppletSign) は「MPHPT (Soumu-sho)」に変更された模様。参照: ブラウザで自動実行される部品の署名者（AppletSign）を「信頼された発行元」から削除する手順。

　しかし、1 番目の問題、「ルート証明書の配付が安全に行われていない」についてはいまだ改善されていない。 安全な通信を行うための証明書について (title タグつけなさい) の A.4 は「ＳＳＬ環境下だから安心ということはありません」としているが、 それを言うなら「フィンガープリントを確認したから安心ということはありません」 でしょう。 官報による公示もされるようですが、それで解決ってことにはならないと思うし。 http://www.e-gov.go.jp にフィンガープリントを載せるそうなので、 https://www.e-gov.go.jp (というサイトはないみたい) をふつうの (民間) 証明書でつくるのがいちばん早道な気がするが……。

　Microsoft Internet Explorer 5.01 SP2, 5.5 SP1/2, 6 用の最新の修正プログラムが登場。これまで修正された全ての問題の他に、以下の 2 点の問題が修正されています。

• Local Executable Invocation via Object tag

  IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE) のことだと考えられます。

• Cookie-based Script Execution

  詳細は不明ですが、cookie に組み込んだ script を Local Computer Zone で実行させられるようです。 IE 5.01 にはこの問題はなく、5.5/6 のみの問題だそうです。

　また、一旦サポートが停止されていた Windows NT 4.0 SP6a 上での IE 5.01 SP2 の動作が再サポートされています。しかし Windows 9x/Me ではあいかわらず IE 5.5 SP1 以上しかサポートされていません。

2002.03.29 追記:

　正式版が出たので link を修正。

2002.04.05 追記:

　Cookie-based Script Execution の発見者による情報: IE: Remote webpage can script in local zone。 The problem is that IE can be tricked into thinking that any non binary local file is a html document なのだそうだ。 cookie やお気にいり (ブックマーク) の他、Winamp (インストールされていれば) のプレイリスト (c:/program files/winamp/winamp.m3u) を使った攻撃ができるみたい。

　Winamp については Winamp: Mp3 file can control the minibrowser という話もあるそうだ。 特殊な .mp3 ファイルで Winamp に組み込まれている minibrowser を制御できてしまう模様。

　多くの UNIX において、xdm が使用する XDMCP (X Display Management Console Protocol, 177/UDP) へのアクセスを制御する Xaccess ファイルに

* #any host can get a login window
* CHOOSER BROADCAST #any indirect host can get a chooser

と書いてあり、無制限にアクセスが許可されている、という指摘。 CERT/CC Vulnerability Note VU#634847。 FreeBSD 4.5-RELEASE (XFree86 3.3.6, /usr/X11R6/lib/X11/xdm/Xaccess) でも同様。 XFree86 4.x だとコメントアウトされているらしい。 Solaris だと /usr/dt/config/Xaccess。 xdm(1) も参照。

　対応としては、上記 2 行をコメントアウトする。

　Cisco CallManager 3.1 に弱点。CTI Framework authentication においてメモリリークするため、server が crash → reboot してしまう。 これを利用した DoS 攻撃が可能。 対応方法: 3.1 (3a) 以降に upgrade する。

　2002.03.06 の セキュアWebシステム構築術 第五回：不正侵入を見抜くために正確なログを取得 に追記した。「次号乞うご期待」の第六回が登場。

TurboLinux

• TurboLinux: zlib: zlib 関連のアップデート２

  zlibライブラリーをスタティックリンクしているパッケージをアップデートしましたのだそうです。

Debian

• [SECURITY] [DSA 125-1] New analog packages fix cross-site scripting vulnerability

  [analog-jp:01072] Analog におけるクロスサイトスクリプティングの危険性 の話。

　その「独自仕様」はほんとに secure なんですか?

　新型の DDoS 攻撃 "Distributed Reflection Denial of Service" (DRDoS) に関する実話。 第三者サーバを経由した SYN/ACK flood、と理解すればいいのかな。

　フィルタリングソフトをくぐり抜けるためのいくつかの方法。 13. Case sensitivity of Content-Type and Content-Disposition は Norton AntiVirus に対して有効なのだそうだ。

　またこれとは別に、FUJIWHARA さんから以下の情報をいただいている (ありがとうございます)。

先ほど、NAVメールゲートウェイがW32.Impo.Gen@mmに対応出来無い、と申し
あげました件ですが、当方にて引き続き調査した結果、NAVの仕様とMS製品
の仕様によるものであることが判明いたしました。

Symantec社が「壊れたMIME」としている物は、実際のウイルスでは、一行あ
たり、1000文字を超える行のBase64エンコードの事でした。

そして、MS社製品は、現在最新のUpdate(Microsoft(R) Outlook(R) 2000 
SR-1(9.0.0.5414)のOutlookでの検証ですが、このMIMEを解釈します。

これは、今回のW32.Impo.Gen@mmに限らず、全てのウイルスに関して起こる
ことを確認いたしました。即ち、別のウイルスをMIMEエンコードし、1216文
字で改行させる事により、NAVをすり抜ける事が判りました。無論これは、
通常のメーラでは、恐らく処理されないと思われますが（電信８号での確認
のみです）、Outlookでは処理されました。

弊社では、メールサーバの設定により、ウイルスの有無に関わらず、処理す
る設定を加える事により対処することになりました。

以上、当初のご報告とは若干形が変わってしまいましたが、問題としては、
メーラもしくはサーバが、RFC821/822での1000文字/行に準拠するかしない
か、に依存する問題であるという結論になりました。

　libsafe 2.0-11 以前に、format バグ防御機構を回避できてしまう弱点など。2.0-12 で fix されている。最新は 2.0-13。

　SecurityFocus.com Newsletter 第 136 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 135 号日本語版 (テキスト)。

　Qualcomm Eudora 5.1、Microsoft Outlook 2000, Outlook Express 5/6 をはじめとする、 WebBrowser コントロールを利用する任意のアプリケーションに弱点がある可能性。

　IE / WebBrowser コントロールの HTML+TIME 1.0 の機能を使うと、制限つきサイトゾーンの内部からでも既知のパス名にある .wmv ファイルを開くことができてしまう。 そして、たとえば Eudora 5.1 がデフォルトで添付ファイルを展開するパス名は既知である。 このため、たとえば Eudora 5.1 に対して次のような攻撃が実行可能だという:

1. 添付ファイル gmlaunch.wmv, gmbind.html, malicious.exe が含まれた HTML メールを用意する。

2. メールが開かれると、上記添付ファイルは C:/Program Files/Qualcomm/Eudora/Attach/ ディレクトリに展開される。

3. HTML+TIME 1.0 の機能を利用することにより、HTML メールから gmlaunch.wmv を media player で演奏させる。HTML メールで display:none; と記述することにより、media player の起動はユーザからは見えない。

4. gmlaunch.wmv が IE を開き、gmbind.html を解釈させる。

5. gmbind.html はマイコンピュータゾーンで解釈されるため、ここから <object> タグを使って攻撃コマンド malicious.exe を実行し悪の限りをつくせる。

　回避方法としては、たとえば Eudora 5.1 においては、WebBrowser の利用停止や、添付ファイルが展開されるディレクトリをデフォルト値から変更することが示されている。 また WebBrowser コントロールを用いる場合は、添付ファイルの展開ディレクトリが既知の値にならないようにしなければならないと指摘されている。 Eudora 5.1 はあくまで、弱点を持つアプリの 1 つでしかないことに注意されたい。 Outlook 2000 や Outlook Express 5/6 に対しても同様の攻撃が可能だと指摘されている。

　関さん情報ありがとうございます。

Debian GNU/Linux

• DSA-124-1 mtr -- buffer overflow

RedHat

• [RHSA-2002:048-06] New imlib packages available

• [RHSA-2002:035-18] Updated PHP packages are available [updated 2002-Mar-11]

  update されている。

• [RHSA-2002:026-43] Vulnerability in zlib library

  update されている。 Added kernel packages for Red Hat Linux 6.2 on sparc64. Updated VNC packages as the previous fix caused another denial of service vulnerability; thanks to Const Kaplinsky for reporting this だそうだ。

VineLinux

• mod_ssl にセキュリティホール

• fileutils にセキュリティホール

• zlib にセキュリティホール

　squid 2.3、2.4.STABLE4、2.5、2.6 に弱点。 内蔵 DNS コード (lib/rfc1035.c) において、圧縮された DNS アンサーメッセージの扱いに問題がありバッファオーバーフローが発生。悪意ある DNS サーバは DNS 応答を細工することにより squid を停止させることが可能。 ただし任意のコードの実行はできないと考えられている。

　squid 2.4.STABLE6、および最新の squid 2.5/2.6 で修正されているので入れかえる。また、内蔵 DNS コードの使用をとり止める (--disable-internal-dns オプションつきで configure する) ことにより、この問題を回避できる。

• FreeBSD: FreeBSD-SA-02:19 squid heap buffer overflow in DNS handling

2002.04.15 追記:

• Vine Linux: ●2002,4,11● squid にセキュリティホール

　Solaris と Windows 2000 での「セキュアなWebサーバ」の構築に関するドキュメント。全体としては、いまいち詳細さに欠けるような気がする。BIND とか qmail はいらないだろうし。 [connect24h:3524] から続くスレッドにも議論がある。

　web アプリの開発については同じく IPA の セキュア・プログラミング講座 を参照。 そういえば、平成13年度 IPA/ISEC 活動報告 というのも出てますね。

　2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 FreeBSD の新 patch 状況。

　2001.11.26 の ウェブアプリケーション用セッションIDの総当たり攻撃 に追記した。翻訳版が出たのはいいけど、なんと売りもの。

　Questionable security policies in Outlook 2002 の話だろう。iframe 中に URL を書くと問いあわせなしでダウンロードされてしまったり、JavaScript 実行が off になっていても実行させる方法があったり、HTML メールで cookie 禁止になっていても cookie が読み書きできたりするようだ。 もうひとつ記されている (.URL 添付ファイルの送信関連) が、それの何が問題なのか私にはいまいちよくわからない。 JavaScript 実行については How Outlook 2002 can still execute JavaScript in an HTML email message に詳細が記載されている。

　盗聴法の下に利用される「電子メール傍受用仮メールボックス」の正式入札仕様書に対する問題点の指摘。入札仕様書は http://www.jca.apc.org/privacy/wiretap-mbox/ でスキャナ取り込み画像を見ることができる [social-memo:14]。

　くぅ、読む暇が……。

　2002.03.22 の Vulnerability in Apache for Win32 batch file processing - Remote command execution に追記した。apache 1.3.24 登場。

　2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。Microsoft から反論が。

　php 穴と mod_ssl 穴のわかりやすい解説。 締切の関係からか、 Vulnerability in Apache for Win32 batch file processing - Remote command execution の話は書かれていない。 SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically の話もちょっと書かれているが、これは Microsoft から反論が出てますね。

　RFC 1122 では、broadcast / multicast アドレスへの TCP SYN を無視することになっているのだが、*BSD では無視されない場合があるという指摘。 これを受けて *BSD に修正が入っている:

• FreeBSD: src/sys/netinet/tcp_input.c

• NetBSD: syssrc/sys/netinet/tcp_input.c

• OpenBSD: src/sys/netinet/tcp_input.c

　ログ解析ソフト Analog 5.21 以前において、 「Analog の出力言語として日本語などのマルチバイト言語が指定された場合」に、 クロスサイトスクリプティング脆弱性が存在するという話。 Analog 日本語化パッチ にも同様の弱点がある。

　回避方法としては、「リクエスト不成功レポート」を生成しないようにする。

　対応方法としては、示されている patch を適用するか 5.22 以降に upgrade すればよい。ただしこれを実行すると、CSS 問題対応の副作用のため、JIS 出力時に文字化けしてしまう。どうしても JIS にしたい場合は、一旦 EUC-JP などで出力後 JIS に変換するなどする。

2002.03.29 追記:

• Debian: [SECURITY] [DSA 125-1] New analog packages fix cross-site scripting vulnerability

　Apache for win32 の 1.3.23 以前、2.0.33-BETA 以前に弱点。 .bat、.cmd な CGI スクリプトの処理に問題があり、パイプ文字 | を使って http://TARGET/cgi-bin/test-cgi.bat?|copy+..\conf\httpd.conf+..\htdocs\httpd.conf のようにすると、外部からシェルコマンドを実行できてしまう (有効なのは command.com や cmd.exe の内蔵コマンドだけかも……誰かテストして〜)。 2.0.x にはデフォルトで /cgi-bin/test-cgi.bat が存在するそうで、事態はより深刻。

　Apache 1.3.24, 2.0.34-beta で fix されるようです。まだどちらも出てません。 回避するには、.bat, .cmd な CGI を削除すればよいのでしょう多分。

　CVE: CAN-2002-0061

2002.03.22 追記:

　内蔵コマンドだけでなく、任意のコマンドを実行可能な模様です: [memo:3359]

2002.03.25 追記:

　apache 1.3.24 出ました。 麗美さん情報ありがとうございます。

　Windows XP の 「CD レコーダー」機能を利用して、Unicode 0xXX3b を含む文字 (医 (0x533b)、画 (0x753b)、活 (0x6d3b)、主 (0x4e3b)、鼻 (0x9f3b) など) を含むファイル名、フォルダ名のモノを CD-R / CD-RW に書き込むと、ファイル/フォルダが壊れたり、ディスク全体が使えなくなったりするという話。 3b って ; ですね。

　回避方法としては、3rd パーティーアプリケーションを使う、なのかな。

2002.03.22 追記:

　2001/12/26 には判明していた old news だった模様: [memo:3352]。 修正するのが困難なんでしょうかねえ。

2002.04.09 追記:

　fix が登場した模様。 KB も改訂されている。

　2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。ちゃんと回避方法が示されていた。なさけない > 俺。

FreeBSD

• FreeBSD Ports Security Advisory FreeBSD-SA-02:17.mod_frontpage

• FreeBSD Ports Security Advisory FreeBSD-SA-02:16.netscape

• FreeBSD Ports Security Advisory FreeBSD-SA-02:15.cyrus-sasl

• FreeBSD Ports Security Advisory FreeBSD-SA-02:14.pam-pgsql

SGI IRIX

• Apache vulnerabilities on IRIX

• IRIX TCP/IP Initial Sequence Numbers

• Additional CDE and CDE ToolTalk Vulnerabilities

Debian GNU/Linux

• [DSA 120-1] New mod_ssl and Apache/SSL packages fix buffer overflow

• [DSA 121-1] New xtell packages fix several vulnerabilities

• [DSA-123-1] listar buffer overflow

RedHat

• [RHSA-2002:042-12] Updated secureweb packages available

• [RHSA-2002:032-12] Updated cups packages are available

　2002.02.27 の Internet Explorer の不正な VBScript 処理により Web ページがローカルファイルを読み取る (MS02-009) に追記した。patch が改訂され、「過去のバージョンとの互換性」が取られた。

　2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 CERT Advisory の LAC 邦訳版、FreeBSD SA, RedHat fix update。 FreeBSD SA はちょっとマズいっぽい。

　U.S. 政府ご用達の backdoor なのかな。

D.I.R.T. is a specialized program designed to allow remote monitoring of a target PC by military, government and law enforcement agencies. Base functionality includes a specialized application with surreptitious keystroke logging capabilities and stealth transmission of captured data to a predetermined Internet address monitored and decoded by the Codex D.I.R.T. Command Center Software. Physical access to the target computer is NOT necessary.

　cryptme にはこの他にも:

• H.O.P.E. - DIRT's Dirtier Trojan Spy

• DIRT Release Feedback

  15 March 2002 の項には DIRT trojan JOHAR がトレンドマイクロに登録されているという情報が出てますね。 日本語サイトにある情報の中身は英語ですね。 発見日は 2002/02/05 だそうです。

• DIRT's Author

　DIRT Program, Installation and User Guide がお得なつめあわせセット (プログラム込み) のようです。 NAV CE 7.51 でチェックしてみたところ、この方は善きアメリカ市民な模様。 http://cryptome.org/moredirt.zip もあります。

2002.04.05 追記:

　DIRTy SPOCK (cryptme)。

2002.04.09 追記:

• DIRTy AntiSec (cryptme)

  ファイアウォールを越えるためのツールの模様。 実行ファイルあり。

• DIRTy T.O.A.S.T. (cryptme)

  DDoS を実行するツールの模様。 これはプレゼン資料だけ。

　2002.03.06 の Java HTTP proxy vulnerability に追記した。Bytecode Verifier にも問題が発見された。

　Windows 98, 98SE, NT 4.0, NT 4.0 TSE, Windows 2000 に弱点。Windows Shell (Shell32.dll) にバッファオーバーフローする弱点があり、悪意ある web ページ管理者や HTML メール送信者は、 「シェルがカスタム URL ハンドラを見つけることができ、しかし関連付けられたアプリケーションを見つけることができない場合」に任意のコマンドを実行可能。 またローカルシステム上のプログラムからなら、カスタム URL ハンドラがなくても攻撃を実行可能。 詳細: Windows Shell Overflow (eEye)。

　Windows 98, 98SE, NT 4.0, Windows 2000 については patch があるので適用すればよい。

　CVE: CAN-2002-0070

　ネタが古くてアレですが……

　MS01-037 patch を適用、かつメタベースで SMTPSVC/1/RoutingAction を 1 に設定した Windows 2000 SMTP サービスが relay を実行しないにもかかわらず relay すると答えてしまうため、mailroot\BAD フォルダにファイルが溜りつづけ、いずれは disk を食いつくしてしまう。

　ネタが古くてアレですが……

　Windows 2000、Windows XP、Exchange 2000 の SMTP サービスに弱点 (Exchange 2000 は内部的にWindows 2000 SMTP サービスを利用) 。 Mail Service (IMS) に弱点。「ある特定の SMTP コマンド」により DoS 攻撃が可能。

　patch があるので適用すればよい。patch は MS02-011 と共通。

　CVE: CAN-2002-0055

　ネタが古くてアレですが……

　Windows 2000 SMTP サービスと、これを利用している Exchange 5.5 Internet Mail Service (IMS) に弱点。NULL セッション (MAIL FROM:<>) に対する NTML 認証の処理に問題があるため、これを利用して「意図しない第三者中継」が可能となり、spam の発信などに利用される可能性がある。 詳細: IIS SMTP component allows mail relaying via Null Session (BindView Razor Team)。

　patch があるので適用すればよい。

　CVE: CAN-2002-0054

　2002.03.19 の 情報処理振興事業協会 公募 に追記した。IPA 方面の情報をフォロー。

　Windows NT / 2000 に弱点。 smss.exe に含まれる debugging subsystem を利用して DbgSsApiPort という LPC port に接続することにより、 任意の local ユーザが管理者権限を取得することができるという。 デモプログラムが公開されている。手元で試したところ、英語版 Windows 2000 SP2 では成功するようだが、日本語版 Windows 2000 SP2 では失敗するようだ。

　発見者の EliCZ 氏は More on DebPloit において、この問題は Gain Local Administrator Access on NT (July 27, 1998) 問題と非常に類似していると述べている。 MS98-009: Update Available for Windows NT Privilege Elevation Attack (q190288、JP190288) において Microsoft は csrss.exe にある穴は直したのだが、smss.exe に存在する同様の穴を直し忘れている、というのだ。

　対応方法としては、smss.exe に patch をあてる方法と、DbgSsApiPort へのアクセスを local SYSTEM に制限する方法が示されている。

　k-imaiz さん情報ありがとうございました。

2002.05.23 追記:

　Windows Debugger の認証問題により、アクセス権が昇格する (Q320206) (MS02-024) 登場。patch も出ている。

　「企業向けWindows Update」って、昨年から話だけは出ている話ですよね。 それは .NET Server がらみで出てくるという理解をしているんですが、違うのかなあ。 「近い将来」ってつまりそういうことだろうと。 2nd JWNTUG Open Talk in MSC 大阪 (2001.05.29): セキュリティ議事録 あたりも参照。

　ちなみに JWNTUG Open Talk は今年もやります。前回は参加者がイマイチ少なかった (大阪方面はイマ 3 くらい少なかった (^^;;;)) のですが、タダ飯タダ酒つきでおきらくに議論しようというイベントです。お時間の都合のつく方はぜひご参加ください。

　これを読んでいると、東京バイツ【第77回】いま、インターネットでクーデターが起こっている (MYCOM PC WEB) な話は、昨日今日はじまったのではないように見える。 結局、スチュアート・リン氏らは「9.11」という状況を利用しているだけなのでしょう。

　ところで、「会津泉氏の記事」というのはインターネットマガジンの何月号にあるんだろう。

　関連: ICANNの決定に「ユーザー参加の概念に反する」との批判 (ZDNet)。

　IE 6 に弱点。何らかの方法 (詳細は未公開) にて「ファイルを自動的にダウンロードし、かつ、それを自動的に実行してしまう問題」があるという指摘。 回避方法、修正方法は示されていない。どこまでいけばお茶の時間……。

2002.03.21 追記:

　ちゃんと回避方法書いてあるじゃん。どこ読んでんの > 俺。

[インターネットオプション]から適切なゾーンに対して[ファイルのダウンロード]を無効にすることでこの問題を回避することができます。

2002.03.25 追記:

　Microsoft から反論が: Inaccurate Claims Regarding IE Security Vulnerability。 Microsoft によると、 the behavior they reported occurs only when a third-party media player has been installed on the system なんだそうだ。 third-party media player ってなんだろう。 水野さん、関さん情報ありがとうございます。

2002.05.16 追記:

　Advisory が更新され、IE 5.01 SP2 でも問題が発生する事と、 MS02-023 : 2002年5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232) で修正された事、また検証用コンテンツの URL が記載されている。

　匿名希望さんからのタレコミ。(ありがとうございます)

　なぜか、IPA への電子申請には IPA 自身の「ルート証明書」のインストールが必要な模様です。 「情報処理振興事業協会では、ルート証明書の秘密鍵の管理については、十分注意を致します」だそうですが、PKI 関連技術解説 なんてものを出すところがこういうことでよいのかどうか。 Webモデル との比較で言えば、「登録」しようとしいる「ルートCAが本当に信頼できるか否かを、証明書利用者が確認」できるのでよい、ことになってしまうのかもしれませんが、ユーザから見ると「そこまで信頼するつもりはなかった」ってコトになりかねないような。 IPA に身を委ねられる組織か否かをこういうカタチで踏み絵してるのかしらん、とも思ったり。「対等な関係」を目指していないことだけは確かのような気が。 関連: [memo:732]。

　https://www.ipa.go.jp/ 自身は VeriSign を使っているようです。

2002.03.20 追記:

　IPA 方面から情報が届いたのでフォローしておきます。 IPA 的には、IPA 自身の存続 (「特殊法人改革」) や GPKI の動向が不明確な時点で開始しているためこうならざるを得なかった、模様です。 GPKI が本格稼働するころ (2004 年度?) には変更等がされるのかもしれません。

　いまだにこのテの問題が続いている、利用者への説明もない、というところがなかなか……。 根津さんが [sugj-free:2739] でおっしゃっていらっしゃるように、他人に勧められる業者でないことだけは確かな模様。

　第2回：メールサーバでのウイルススキャン　−qmail編− と 第3回：メールサーバでのウイルススキャン −Postfix編− が出ています。

　なぜそのような設問が用意されたのか、も含めて掲載されていて、たいへん興味深いです。この報告書はネタの宝庫のように見えます (^^)。 「回答企業の 84% が売上高 5 億以上の企業」だそうですが、それにもかかわらずこの回答、と読むのがよいのだろうと個人的には思います。

　報告書毎に見栄えがかなり違うのですが、せめて、行間の推奨値くらい設定できないんだろうかと思ったり…… > IPA さん。

　PKI に関する包括的なドキュメント。192 ページ。

　5.4 Webモデル の解説「Webモデルは便利な反面、事前に登録されているルートCAが本当に信頼できるか否かを、証明書利用者が確認できない[62]といった問題点があります」と [62] の内容「そもそもこのような信頼関係が存在していることにも気づかないと思われます」は、なかなか。 実際の web サイト構築ではこれに加えて https:// な URL すら隠蔽されたりしますし。

　JANOG 9 は参加してないのでアレなのですが、もしかして、これって「予告編」ですか?

　UNIX 版 InterScan VirusWall に弱点。Content-length: 0 の場合にウィルスチェックが行われないため、Content-length: 0 と詐称する web サーバからウィルスが侵入してしまう。 Windows 版 InterScan VirusWall にはこの問題はないという。

　対応としては、intscan.ini で skip_0_contlen=no とする (デフォルトは skip_0_contlen=yes)。 今後のバージョンでは no をデフォルト値とする予定だそうだ。

　2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。CERT Advisory, XFree86, TurboLinux, FreeBSD の状況。

　2002.03.07 の UNIX fixes に追記した。 NetBSD Security Advisory 2002-003: IPv4 forwarding doesn't consult inbound SPD が登場。

　2002.01.15 の gzip 1.2.4 may crash when an input file name is too long (over 1020 characters) に追記した。 NetBSD, Vine, FreeBSD の状況を追記。

　2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。NetBSD。MacOS X での状況。

　SecurityFocus.com Newsletter 第 134 号日本語版 (テキスト)。

　2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 Windows NT 4.0 用 fix、Oracle fix 登場。

　VeriSign の Secure Site シール問題 のいちおうの対策が終り、サービスが再開されたという話。対策はこれで終りではなく、今後数か月に渡っていろいろな対策が付加される模様。 「 Secure Site シールは、ウェブサイトの所有者についての認証情報およびブラウザのセキュリティ機能をチェックしただけでは得られない証明書のリアルタイム情報等の追加情報を提供しています」、ふうん。でも、ブラウザで完結できないのって、ブラウザの重大な問題点のような気が。

　NetSecurity.ne.jp の記事: 「 あれから１週間・・・「Secure Site シール」情報提供サービス再開（日本ベリサイン）」。 「Secure Site シールをベリサインのサーバから、ホスティングに変更」 では意味が変わってしまうぞ > NetSecurity.ne.jp。 「数ヶ月」という記述を見かけるたびに、「そうではなく数か月と書く」とおっしゃっていた、故 友人スミス氏を思い出す。

2002.03.14 追記:

　実は全く対策されていない模様: [memo:3236]。

2002.07.05 追記:

　まだ直っていない模様: いまだに残る日本ベリサイン偽装問題 Beyond Security とiDefense が検証(2002.7.5) (NetSecurity)。

　エイベックスが採用した Cactus Data Shield (CDS) のさまざまな問題点と、それにまつわるいろいろなことの解説。勉強になりました。 こばやし氏のミンナノキモチはどこにあるのかな もなかなか興味深い。

　いろいろな「セキュリティにつよい」OS に含まれている機能について調べられているようです。 第 III 編「環境構築検証編」では NSA 様ご謹製の Security-Enhanced Linux 環境を構築しています。興味深いです。

　なんか、行間が妙に広いような気がするんですけど。

　2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 Vine のアナウンス。

　CERT Summary CS-2002-01 の日本語版。

　結局は、例によって「米国の利益」 (商業的 and/or 軍事的) が最大限優先されるようなしくみをつくりたいのかな。 ICANNアクラ会議はどんな様子なんでしょう。

　zlib 圧縮ライブラリに弱点。 伸張アルゴリズムに問題がある。攻撃者が、zlib を利用するプログラム (例: ssh, XFree86, Linux kernel) に対して、特別につくられた不適格な圧縮データのブロックを渡すことができると、このデータを伸張する際に、zlib ルーチンは malloc で管理されている内部データ構造を破壊してしまう。 この結果、動的に確保されたメモリが複数回開放されてしまう。 これを利用すると、攻撃者は DoS 攻撃や任意のコードの実行が可能となる。

　対策としては、zlib 1.1.4 で修正されているので入れかえる。

• CERT/CC Vulnerability Note: VU#368819: Double Free Bug in zlib Compression Library Corrupts malloc's Internal Data Structures

• CVE: CAN-2002-0059

• RedHat: [RHSA-2002:026-35] Vulnerability in zlib library

  powertools 用: [RHSA-2002:027-22] Vulnerability in zlib library (powertools)

• Debian: [SECURITY] [DSA 122-1] New zlib & other packages fix buffer overflow

　他の free UNIX 用 fix も続々登場するはず。 FreeBSD でも HEAD には 1.1.4 が入った: src/lib/libz/。 OpenBSD も入った: src/lib/libz/。 NetBSD にはまだ入ってないっぽい: basesrc/lib/libz/。

　関連報道:

• zlib圧縮ライブラリに脆弱性，Linuxほか多数のプログラムに影響 (ZDNet)

2002.03.12 追記:

• OpenBSD is not vulnerable as OpenBSD's malloc implementation detects double freeing of memory. The zlib shipped with OpenBSD has been fixed in OpenBSD-current in January 2002 (CERT/CC VU#368819, info from slashdot.jp)

  OpenBSD ですでに fix されてたってのは src/lib/libz/infblock.c 1.2 → 1.3 の話かな。3.0 には間にあってないので 3.0 以前な方はご注意。

  malloc() については、FreeBSD の malloc() も 2 重開放については問題なしという話が作者自身 (Poul-Henning Kamp <phk@freebsd.org> 氏) から出ています: Re: RedHat advisory - RHSA-2002:026-35 zlib double free -- Is this this 4.5-R-p1?。Kobayashi さん情報ありがとうございます。

2002.03.15 追記:

• CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library

  XFree86 4.2.0 用の patch が ftp://ftp.xfree86.org/pub/XFree86/4.2.0/fixes/ にあるのだそうだ。

• TurboLinux: zlib: buffer overflowによるroot権限奪取

• FreeBSD の lib/libz/infblock.c なのですが、2002.02.23 付で OpenBSD と同様の修正が入っていることに今ごろ気がつきました。

2002.03.20 追記:

• LAC 邦訳版: CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library

• RedHat: [RHSA-2002:026-39] Vulnerability in zlib library

  Update 14 Mar 2002: Updated kernel packages for Red Hat Linux 6.2 and 7.0 which were missing the zlib fix; added missing kernel-headers package for 6.2 だそうです。

• FreeBSD Ports Security Advisory FreeBSD-SA-02:18.zlib

  回避するには、/etc/malloc.conf や環境変数 MALLOC_OPTIONS から A (Abort) フラグを削除しておけばよい。 デフォルトでは A フラグは存在しない。

  対応するには patch を適用し、libz と kernel を再構築、さらに libz を static link しているコマンドがあればこれも再構築する。

  のだけど、HEADS UP: FreeBSD-SA-02:18.zlib vs kern/35969 という話があって、 kern/35969 で src/sys/net/zlib.c には修正が入っている。というわけで、patch は出しなおしになる可能性が大かと。

2002.03.26 追記:

　src/sys/net/zlib.c と src/lib/libz/deflate.c について、 FreeBSD RELENG_4_5, RELENG_4_4, RELENG_4_3 にも更新が入った (info from FreeBSD おぼえがき 2002年03月25日(月)14時05分08秒):

• src/sys/net/zlib.c

• src/lib/libz/deflate.c

　src/lib/libz/infblock.c については変化なし (2/23 の修正のまま)。

2002.03.27 追記:

• RedHat: [RHSA-2002:026-43] Vulnerability in zlib library

  update されている。 Added kernel packages for Red Hat Linux 6.2 on sparc64. Updated VNC packages as the previous fix caused another denial of service vulnerability; thanks to Const Kaplinsky for reporting this だそうだ。

2002.03.29 追記:

• TurboLinux: zlib: zlib 関連のアップデート２

  zlibライブラリーをスタティックリンクしているパッケージをアップデートしましたのだそうです。

2002.04.04 追記:

• VNC Security Bulletin - zlib double free issue

• Cisco Security Advisory: Vulnerability in the zlib Compression Library

2002.04.06 追記:

• rsync には zlib が含まれている。rsync 2.5.4 で zlib 1.1.4 に入れかわった。

　2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 OpenBSD, Debian, TurboLinux, RedHat のアナウンスと RELENG_4_3 話。

　ディスクの消去という観点でも、こういった mini UNIX は便利に使えると思う。 たとえば Jetico の BCWipe なら static につくっても 80KB 程だし。ふつうは wipe -bvq /dev/hda (U.S. DoD 5200.28) で十分なんじゃないかなあ (q をつけないとグートマン方式だから遅い)。 U.S. DoD 5200.28 は内部で DoD 5220.22-M を呼んでるみたい。

　VeriSign 提供の「Secure Site シール」が偽装できるという話。詳細: ベリサイン「Secure Site シール」の問題点　プログラムの設計方針に初歩的問題？。 VeriSign プレスリリース: セキュリティに関する重要なお知らせ（第三報）。

　VeriSign なさけなさすぎなのですが、そもそも、そういうものを提供すること自体がよくないような気がする。ユーザーはあくまで「鍵アイコンのクリック/ダブルクリック」などによってそのサイトの証明書情報を確認すべきだと思うのだけど。それではわかりにくい、と VeriSign が判断するなら、VeriSign はブラウザベンダーに改良を要請すべきなのでは。

　今気がついたのだけど、Mozilla 0.9.8 だと「鍵アイコンのクリック」で、 IE 6 だと「鍵アイコンのダブルクリック」ですね。どっちかに統一できないのかなあ。 (個人的には IE 6 を「クリック」に直してほしい)

　各種有名どころ日本語 site の CSS 脆弱性の一覧。 U.S. でもあいかわらずのようで、たとえば最近も Cross Site Scripting Vulnerabilities on Major Websites とか Subversion of Information Vulnerabilities on Major News Sites なんて指摘がされている。

　……え〜と (^^;;;;)、負荷の高い方に「真似しろ」などとは申 (し|せ) ません。というわけで Tea Room for Conference No.678 も参照ということで。

　mod_ssl 話 はすでに いろいろ で紹介したが、それだけでなく、Apache_SSL にも同様の問題がある模様。 mod_ssl 2.8.7 以降、Apache_SSL 1.3.22+1.46 以降で fix されている。

• [RHSA-2002:041-08] Updated mod_ssl packages available (RedHat)

　Windows 2000 DNS サーバでの CERT Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers 対策の方法が 1 ページ目にわかりやすく書かれている。

　cache が「破壊」されるわけじゃないんですけどね……。 どうしてこういう訳をするのかなあ > MSKK。

　他力さんによる fusianasan トラップ問題 (HTML+TIME2 経由でのアクティブクリプト強制実行) の解説。regsvr32 /u mstime.dll による対応が紹介されている。

　https://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd などとすると素敵なファイルが get できていた模様。この問題は修正されている。 ベリサインのプレスリリース: セキュリティに関する重要なお知らせ (2002年3月7日) (中村さん情報ありがとうございます)。 しかし、よくもまあこんなものをつくりますねえ。

　某氏によるとベリサインには CSS 問題もあるらしいのだが、そちらについてはまだ修正されていない模様。なんだかなあ。

2002.03.08 追記:

　03.08 14:20 付けで「セキュリティに関する重要なお知らせ（第二報）」が出ています。また、問題点については「修正された」のではなく、haydn.exe を削除することで「対応」されたようです。実際、今「Secure Siteシール」をクリックすると『「Secure Site シール」に関する情報提供サービス一時停止のお知らせ』が出てきます。 http://pc.2ch.net/test/read.cgi/sec/1015522381/ も参照。

　匿名希望さん情報ありがとうございます。 (link fixed: Misaly さんどうもです)

　OpenSSH 2.0〜3.0.2 に弱点。OpenSSH の「channel」の制御部分の実装に「off-by-one error」があり、これを利用すると、認証された remote user が root 権限を得られる。 今そのへんに転がってる *BSD/Linux 箱にある OpenSSH にはまず間違いなくこの穴があるので、影響範囲は大きく、攻撃に利用される可能性は高いと考えられる。 この弱点だけでは外部の任意のユーザからの攻撃は不可能だが、他の弱点と組みあわせることで大きな脅威になり得る。 とにかくおおいそぎで patch を適用しておこう。 また、OpenSSH 3.1 で修正されている。

　昨日の UNIX fixes で書いた「OpenSSH の channels.c に off-by-one error」はこの話。 FreeBSD Security Advisory も出てます:

• FreeBSD Security Advisory FreeBSD-SA-02:13 OpenSSH contains exploitable off-by-one bug

  対象が FreeBSD 4.4-RELEASE, 4.5-RELEASE, FreeBSD 4.5-STABLE prior to the correction date, openssh port prior to openssh-3.0.2_1 になっているが、弱点があるのは OpenSSH 2.0 以降なので、 4.3-RELEASE 以前でも問題になる。4.1-RELEASE だと OpenSSH-2.1 が入っていた模様。

  [FreeBSD-users-jp 67474] RELENG_4_3 security branch ? という疑問の答えは、どうなんでしょうね。

　CVE: CAN-2002-0083。 CERT/CC Vulnerability Note VU#408419: OpenSSH contains a one-off overflow of an array in the channel handling code 。

2002.03.11 追記:

• OpenBSD: March 8, 2002: An off-by-one check in OpenSSH's channel forwarding code may allow a local user to gain super-user privileges.

• Debian: DSA-119-1 ssh -- local root exploit, remote client exploit

  Debian 2.2 (potato) には脆弱性はない、というアナウンス。

• TurboLinux: openssh: ローカルユーザーによるroot権限奪取

• RedHat: [RHSA-2002:043-10] Updated openssh packages available

　RELENG_4_3 については [FreeBSD-users-jp 67493] Re: RELENG_4_3 security branch ?、 [FreeBSD-users-jp 67510] を参照。 そういうことなんだろう。 手元の 4.3-RELEASE も 4.5-RELEASE への移行に向け準備中。

2002.03.12 追記:

• VineLinux: ●2002,03,12● OpenSSH にセキュリティホール

2002.03.14 追記:

• NetBSD: NetBSD Security Advisory 2002-004: Off-by-one error in openssh session

• MacOS X での状況: OpenSSH2.0〜3.0.2でのセキュリティーホールと、OpenSSH3.1のインストール (諸橋さん)。Apple による official fix はまだ出てない。

　Windows 9x/Me + NAVCE 7.5/7.6 (リアルタイム保護が有効) + 640MB 以上の MO ドライブ + MO ドライブで int13 ディスクアクセスが有効、である場合にブルーサンダーしてしまうという話。int13 ディスクアクセスを無効にすることで回避できるそうな。

Debian

• [SECURITY] [DSA 116-1] New CFS packages fix security problems

• [SECURITY] [DSA 117-1] New CVS packages fix potential security problem

• [SECURITY] [DSA 118-1] New xsane packages fix insecure temporary files

FreeBSD

• OpenSSH の channels.c に off-by-one error。以下で修正されている: ports/security/openssh-portable/files/patch-channels.c、 ports/security/openssh/files/patch-channels.c、 src/crypto/openssh/channels.c rev. 1.8。 (info from FreeBSD おぼえがき 2002年03月07日(木)01時02分05秒)

　SDEX Vol.164 2002/03/07 にある「NetBSDとFreeBSDが深刻なIPSecの問題をパッチ」 ってなんだろう。これかな (from KAME SNAP 20020304 CHANGELOG):

Mon Feb 25 10:58:09 JST 2002  itojun@iijlab.net
        * sys/netinet/ip_input.c: enforce ipsec policy checking on forwarding
          case (the portion was lost during transition to PR_LASTHDR).
          From: Greg Troxel <gdt@ir.bbn.com>

　src/sys/netinet/ip_input.c の Enforce inbound IPsec SPD な変更がそれなのかな。

2002.03.15 追記:

• NetBSD Security Advisory 2002-003: IPv4 forwarding doesn't consult inbound SPD

  BSD: IPv4 forwarding doesn't consult inbound SPD in KAME-derived IPsec (bugtraq) だそうです。見逃してるし > 俺。

　2002.02.20 の [memo:2989] 更新時刻取得エージェントにおけるCSS脆弱性 に追記した。 wdb に関する情報を追記 (大串さん情報ありがとうございます)。

　2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。LAC の CERT Advisory 邦訳版登場、 Dragon IDS 情報 (匿名希望さん情報ありがとうございます)。

　2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。LAC の CERT Advisory 邦訳版登場、別の exploit。

　2002.02.22 の Squid Proxy Cache Security Update Advisory SQUID-2002:1 に追記した。Vine fix。

　最近発見/公開された IE 関連の弱点についての、よくまとまった記事。

　Sun および Microsoft の Java VM に弱点。 プロキシサーバ経由でブラウザを利用している場合に、 悪意ある web サイトは、 Java アプレットを経由して、 プロキシサーバ経由の HTTP トラフィックを別のサーバにリダイレクトできてしまう。 プロキシサーバを利用していない場合はこの攻撃を受けない。

• Sun Microsystems, Inc. Security Bulletin #00216 HttpURLConnection

  最新の Java SDK/JRE に入れかえる。 Sun JVM (Java Virtual Machine) Issue (Netscape) も同様。

• Java アプレットがブラウザトラフィックをリダイレクトする (MS02-013)

  最新の MS Java VM (build 3805) を入れる。Windows 2000 日本語版用も登場している。

　CVE: CAN-2002-0058

2002.03.20 追記:

　proxy 利用時のリダイレクト問題の他に、Bytecode Verifier にも問題が発見された。信頼されていない Java アプレットが権限を越えて活動できてしまう (詳細不明)。

• Sun Microsystems, Inc. Security Bulletin #00218: Bytecode Verifier

  Netscape 6.2.1 以前に付属の JRE、 SDK and JRE 1.3.1_01a 以前、 SDK and JRE 1.3.0_05 以前、 SDK and JRE 1.2.2_010 以前、 JDK and JRE 1.1.8_008 以前などが影響。 最新の Java SDK/JRE に入れかえる。

• Java アプレットがブラウザトラフィックをリダイレクトする (MS02-013)

  最新の MS Java VM (build 3805) を入れる。

　2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。hsj さんの PHP 3.0.18 exploit。

　ログの話はあまり出てこないような気が……。

　……園田さんから (情報ありがとうございます):

ログについて書いてあるのは現在出回っている号になります。タイトルは編集部が付けたのそのままにしちゃってました。わかりにくいかと思い雑誌掲載時のタイトルをそのまま使ってます。
次号乞うご期待（笑）ということでお許しください。

2002.03.29 追記:

　出ました: 第六回：複数のログを見比べて侵入を検出。

　「売主側のセキュリティレベルが相当程度低い場合」 ってどういう状況なんだろう。たとえば、CSS な弱点を指摘したところ、そこだけは修正し「CSS な弱点を fix しました」と言ってるのだが、別の場所にはあいかわらず CSS な弱点がある場合、売主側を「セキュリティレベルが相当程度低い」とみなしてかまわないのだろうか。

2002.03.08 追記:

　パブリックコメント受付中: 「電子商取引等に関する準則（案）」に関するパブリックコメントの募集 。3/19 必着。 (info from slashdot.jp)

　多数の Radius 実装に 2 種類の弱点が発見された。

• Vulnerability Note VU#589523: Multiple implementations of the RADIUS protocol contain a digest calculation buffer overflow

  message digest の計算過程でバッファオーバーフローが発生。 DoS 攻撃の他、攻撃者が秘密鍵を知っていた場合には radius サーバ/クライアント実行権限 (通常 root) で任意のコードを実行される可能性もある。

• Vulnerability Note VU#936683 Multiple implementations of the RADIUS protocol do not adequately validate the vendor-length of the vendor-specific attributes

  いくつかの radius サーバではベンダ固有属性の Vendor-Length の検査に失敗している。 このようなサーバに対して、細工されたベンダ固有属性による DoS 攻撃が可能。

　fix:

• [RHSA-2002:030-08] Updated radiusd-cistron packages are available (RedHat)

　まだ fix の出ていない radius ものがたくさんある……。

2002.03.15 追記:

　LAC 邦訳版: CERT Advisory CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol 。英語オリジナル版は幾多の更新がかけられている模様だが、LAC 邦訳版は初版のままの模様。

　2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。Debian fix、関連記事、コンセプトコード、実はまだ bug があった話。

　2002.03.01 の IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE) に追記した。 回避方法など。

　2002.01.28 番外編： Auto file execution vulnerability in Mac OS の簡潔な解説。 iframe や frame でも自動ダウンロードが効いてしまうことが明らかとなっています。 森さん情報ありがとうございます。 リンクとか備忘録とか日記とか 2002.03.05 #3 も参照。

　SecurityFocus.com Newsletter 第 133 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 132 号日本語版 (テキスト)。

　2002.02.20 の [memo:2996] 「VAIO」の出荷時設定で信頼済みサイトに特定サイトが登録されている問題 訂正 に追記した。 なんと percastv.net にクロスサイトスクリプティング脆弱性が存在し、 信頼済みサイトに percastv.net が登録されていることを利用して悪の限りをつくせてしまう。

　IE 5.5 SP2 / 6、OutlookExpress 5.5 / 6 に超巨大な弱点。 アクティブスクリプトおよび ActiveX を無効にした場合においても、悪意ある web サイトや HTML メール送信者が任意のコマンドを実行可能。 XML の CDATA を使うことで IE のセキュリティ設定を迂回できてしまう、ということなのかな。 手元の IE 5.5 SP2/6 + Windows 2000 SP2 でも動作を確認できた。えらいこっちゃ。

　回避方法はない。Microsoft から fix が提供されるまで、IE 5.5 / 6 を使わず Netscape 6 や Opera 6 などを利用すること。あるいは IE 5.01 SP2 + patch 全部、を利用してもよい。もっともこれは Windows 2000 でしかサポートされないのだが。

2002.03.05 追記:

　発見者の web page http://security.greymagic.com/adv/gm001-ie/ に回避方法が掲載されている。マイコンピュータゾーン (デフォルトでは表示されない) における「未署名の ActiveX コントロールのダウンロード」を「無効にする」と設定する。 具体的には、レジストリ
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　　Internet Settings\Zones\0
の 1004 の値を 0 から 3 に変更する。3 ではなく 1 (ダイアログを表示する) にするのもいいだろう。 「署名済み ActiveX コントロールのダウンロード」についても同様に設定しておくのがよい。 以上、[memo:3110] を参照。

　また、レジストリ
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　　Internet Settings\Zones\0
の Flags の値を 33 (16 進数なら 21) から 1 に変更すると、インターネットオプションのセキュリティタブにマイコンピュータゾーンが表示されるので、ここから「未署名の ActiveX コントロールのダウンロード」の値を設定できるようになる。 以上、[memo:3126] を参照。

　問題の詳細については、slashdot.jp の IEとOEに任意コマンド起動の欠陥 が詳しいので一読されたい。CDATA は関係ないそうです。_o_ JavaScript のべんきょうも全然進んでないのに、世の中 XML なのね……。

2002.03.29 追記:

　MS02-015 で fix された模様: MS02-015 : 2002年3月28日 Internet Explorer 用の累積的な修正プログラム を参照。

　2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。RedHat fix, PHP/3.0.18-i18n-ja-3 登場。

　いろいろです。a.k.a. 手抜き。

• Cisco Security Advisory: Data Leak with Cisco Express Forwarding Enabled (CISCO, 2002.02.27)

• 地方公共団体による公的個人認証サービス制度の創設について (総務省, 2002.02.28)

  社団法人行政情報システム研究所 なんて団体があったのね。 (info from [memo:3099])

• [UNIX] DoS Attack Against FreeRADIUS (Other RADIUS Servers Affected) (SecuriTeam, 2002.02.28)

• セキュア・プログラミング講座 (IPA, 2002.03.01)

  info from [stalk:01197]

• PCFriendly DVD Backchannel

• mod_ssl Buffer Overflow Condition (Update Available)

  mod_ssl 2.8.7 (for apache 1.3.23) で fix されている。 modssl.org 自身のサーバが Apache/1.3.6 (Unix) mod_perl/1.20 mod_ssl/2.3.5 OpenSSL/0.9.3a DAV/0.9.8 だってのはなかなかアレゲ。

　最初に出たのはこれ: CheckPoint FW1 HTTP Security Hole。 FireWall-1 で web サーバを公開している場合に、CONNECT メソッドによる意図しない接続を行われてしまうという指摘。FireWall-1 自身からのコネクションを制限していない場合に発生する模様 ([memo:3094], [memo:3096])。

　Check Point 社の見解: HTTP Connect Commands。 ちゃんと設定せん奴が悪いということの模様。 bid 4131 の [solution] の項にもいくばくかの回避方法の記述がある。

　FireWall-1 に限らず、非常にたくさんの cache/proxy サーバにこの問題がある模様。

　2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。CISCO、Debian、nCipher。

　セキュリティな話は「続いて」以降。 太すぎて、は、なかなか解決が困難なんですよね。