セキュリティホール memo - 2002.04

　テレサ協のやつとか読んでみたんですが、名誉毀損・プライバシー方面とか、よほど極端なものでないと明確には対応できないような気が……。 対応方針とか決めとかないとマズいよねえ。

　Postfix で SMTP AUTH するための設定。

　sudo 1.5.7 - 1.6.5p2 に弱点。 -p オプションで指定できるプロンプト文字列として "%h" (ホスト名) や "%u" (ユーザ名) を指定できるが、解釈方法に問題があり、sudo は必要とするメモリより少ないメモリしか確保しない場合がある。 これを利用すると、local user が root 権限を得られる。 詳細: [Global InterSec 2002041701] Sudo Password Prompt Vulnerability.。 sudo 1.6.6 で fix されている。

• Debian: [SECURITY] [DSA-128-1] sudo buffer overflow

　FreeBSD の最新 ports も 1.6.6 になってます。

　Oracle9i 9.0.1.0 - 9.0.1.3 に弱点。Oracle9i からの機能「ANSI 結合構文」 を利用すると、SELECT 権限のないユーザでも表の内容を閲覧できてしまう。

　Oracle9i 9.0.1.4 で修正される予定。また、9.0.1.3 用の修正プログラムが配布されている。

　SecurityFocus.com Newsletter 第 140 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 139 号日本語版 (テキスト)。

　入れる場所もきちんと考えましょう。そういう観点では、 [port139:01325] .inc の情報漏洩と、拡張子マッピング中のメソッドの制限 にも似た話 (「メソッドの制限ができない理由がある場合の留意点」) が出てきています。

　link してもらえない JPCERT/CC はちょっと悲しい。

　NT 4.0 TSE 用の SRP。

　戸締まり用心火の用心。

　個人からのレポートが増えたのか、 法人/研究・教育機関からのレポートが減ったのか。両方かな。

　これも氷山の一角なんだろうなあ。 これからそこらじゅうで次々とヘンなものがロールアウトされて、……。 想像しただけで脱力。

　FreeBSD-SA-02:23 insecure handling of stdio file descriptors の件が、NetBSD-current では該当してしまうという指摘。 匿名希望さん情報ありがとうございます。

　.asp のインクルードファイル (.inc) の情報漏洩対策。

　このような「カジュアルハッキング」対策をした上で、 上位層プロトコルでの暗号化など根本的対策も必要でしょう。企業などでは特に。

Sun

• Patch-ID# 112439-01 SunOS 5.8_x86: /kernel/drv/random patch

  Problem Description: 4337350 RFE - Solaris should have /dev/random

• Patch-ID# 112673-01 SunOS 5.7_x86: vipw Patch

  Problem Description: 4198184 *vipw* changes the group of the passwd and shadow file

• Patch-ID# 112612-01 SunOS 5.8_x86:: /usr/lib/libz.so.1 patch

  Problem Description: 4644859 CERT: Security issue with zlib (libz(3)).

• Patch-ID# 112238-02 SunOS 5.8_x86: mech_krb5.so.1 patch

  Problem Description: 4338622 BUFFER OVERRUN VULNERABILITIES IN KERBEROS (SEAM)

FreeBSD

• FreeBSD-SA-02:23 insecure handling of stdio file descriptors

  FreeBSD 4.5-RELEASE 以前に弱点。 stdio で使われるファイルディスクリプタ 0, 1, 2 の取り扱いに問題があり、local user が root 権限を得ることができるという。 bert hubert 氏のまとめ によると、 Linux や NetBSD, OpenBSD, MacOS X にはこの弱点はないが Solaris 2.5.1〜2.8 にはこの弱点があるという。 また http://ds9a.nl/setuid-fd-2.tar.gz にチェックプログラムが示されている。

  この弱点を利用されてしまうコマンドとしては /usr/bin/keyinit が示されている。 とりあえずの回避方法としては、chmod 0555 /usr/bin/keyinit しておく。

  対応方法としては、patch があるので適用する。

• FreeBSD-SA-02:18 zlib double-free [REVISED]

　The Value of Honeypots の日本語版。

　MHonArc 2.5.2 以前に弱点。text/html 形式のメールを整形する際に script を不活性にする機能に問題があり、いくつかの場合に script が活性化されてしまう。

　MHonArc 2.5.3 で修正されている。また、

<MIMEFilters>
text/html;      m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>

と書いたファイルを用意し -rcfile file とオプション指定するなどして、 text/html 形式メールを plain text として処理すれば回避できる [memo:3744] [memo:3753]。 セキュリティを気にする場合は後者を設定した方がよいだろう。

　話題のツール fragroute の話。 CNET 版: 新しいセキュリティー・ツールはハッカーの隠れ蓑？

　たとえば Windows Update はクソだ と認識している人は外したいかも。

　Linux と FreeBSD (仮共有キー)、Linux と Linux (RSA キー) をつなぐ実例。宮本さんのドキュメントは安心して読めるので助かります。 後編では Windows 2000 との接続が行われるようです。わくわく。

　まとまっているけど、INTERNET Watch 自身が他人事モードのような気が。 自民党　個人情報保護法案反対勢力向けPT発足 (毎日) というのも出てますね。

　すでにみなさん対応していらっしゃると思いますが、情報漏曳という観点での警告は強く言われてなかったと思うので。 W32.Klez.h@mm を改めて読みなおすと、確かに ワームファイルに加え、次のいずれかの拡張子がついたファイルが添付されたメールが送信される: .mp8、.txt、.htm、.html、.wab、.asp、.doc、.rtf、.xls、.jpg、.cpp、.pas、.mpg、.mpeg、.bak、.mp3、.pdf って書いてありますね。

　SQL Server 7.0/2000 に弱点。 拡張ストアドプロシージャのいくつかにおいてバッファオーバーフローが発生し、 外部から任意のコマンドを SQL サーバ権限で実行できてしまう。

　詳細情報: SHATTER Team Security Alert: Microsoft SQL Server: Buffer Overflows in numerous extended stored procedures、 [pml-security,00271] SQL Server 7, 2000 にバッファオーバーフロー脆弱性のある拡張ストアードプロシジャ xp_controlqueueservice など、 [pml-security,00310] Re: MS02-020 SQL拡張プロシージャ機能に未チェックのバッファが含まれる。

　対策としては、修正プログラムが配布されているので適用すればよい。

　CVE: CAN-2002-0154

　NAV が Virus だと判定しているから、ということなのかな。

　個人的には、Using the backbutton in IE is dangerous や IE allows universal Cross Site Scripting が、あいかわらず外部から発見されていて、いまだ fix すらされてない点に要注目だと思っていたり。 このレベルの弱点が "Windows Security Push" で見つかって MS02-015: 2002年3月28日 Internet Explorer 用の累積的な修正プログラム に含まれていたのなら「おお Microsoft、やる気になればさすがだ」と言えるけど、18 March 2002 に指摘されて、いまだ fix が出ていないというのは、つまり、"Windows Security Push" を実行したにもかかわらず自分では見つけられなかったってコトですよね。 "Windows Security Push" とはその程度のものだった、と。 それとも、"Windows Security Push" の成果が反映されるのは、その次の「累積的な修正プログラム」なんだろうか。

　タイトルどおり実践的内容で勉強になるなあ。

　ノーツ/ドミノ R5.0.10 で fix されるそうです。回避方法も記述されています。

　「全国共同利用大型計算機センター長会議」の下、「大学の情報セキュリティポリシーに関する研究会」がまとめたもの、だそうです。

　それにしても、「HPの表紙」というタイトルはどうにかならないのだろうか。

　2002.04.17 の MS02-019: Internet Explorer for Mac および Office for Mac の未チェックのバッファによってコードが実行される(Q321309) に追記した。森さんからの続報。 (遅くてごめんなさい)

• Using the backbutton in IE is dangerous

  IE 6 で「戻る」ボタンを押したときに、 ローカルコンピュータゾーンで攻撃コードを実行させられるという指摘。 fix はまだない。 関連報道: IEに新たなセキュリティーホール：「戻る」ボタンで攻撃開始？ (WIRED NEWS)

• The dangers of using Windows Update

  Windows Update 経由で修正プログラムを適用した場合と、 マイクロソフトの web page から修正プログラムを入手した上で手動で適用した場合とで、適用される結果に違いがある、という指摘。 So Windows Update is a dog, now what? も参照。 Windows Update は It just sucks, period. だそうだ。

• IE allows universal Cross Site Scripting

  IE 6 に弱点。 shdoclc.dll に含まれる policyerror.htm, policylooking.htm, policynone.htm, policysyntaxerror.htm にある dialogArguments ルーチンでのコードチェックが不完全なため、 リダイレクトを利用してクロスサイトスクリプティング攻撃を行う事が可能。 この結果、悪意ある web ページから任意のコードをローカルコンピュータゾーンで実行させることが可能となってしまう。 さらに、 GreyMagic Security Advisory Appendix GM#001-AX: Appendix to "IE allows universal Cross Site Scripting" によれば、IE 6 だけでなく IE 5, IE 5.5 にも同様の弱点があるという。 (K-IMAIZ さん情報ありがとうございます)

  fix はまだない。 回避するにはアクティブスクリプトを停止する。

　うひゃあ準備罪ですか。bugtraq 読んでる人は全員準備罪でムショ行き確定 (笑)。

　しかし、 「不正プログラムの製造・譲渡等を、実際に生じた損害とは無関係に処罰する立法が」 「中国」にあるっていうのは本当なのか? 信じられないのだが。

　関連: サイバー犯罪条約　通信傍受法に抵触か　経産省研究会 (毎日)。

　トロイの木馬に対抗するため、実行時に kernel 内に保存した digital signature と比較する、という話みたい。 FreeBSD 用と OpenBSD 用の kernel patch が配布されている。

FreeBSD

• FreeBSD-SA-02:20 syncache/syncookies denial of service

  4.5-RELEASE、2001-12-14 以降の 4.4-STABLE、2002-02-21 より前の 4.5-STABLE に弱点。SYN cache ("syncache") と SYN cookie ("syncookie") 機構に問題があり、正常な TCP/IP 通信がシステムクラッシュを招いてしまう。 4.4-RELEASE 以前にはこの問題はない。

  syncookie の問題を回避するには、sysctl -w net.inet.tcp.syncookies=0 で syncookies を無効にする。デフォルトでは有効になっている。 しかし syncache の問題は回避できない。 対応するには、patch があるので適用し、kernel をつくりなおして再起動する。 また 4.4-STABLE ユーザは最新の 4.5-STABLE に upgrade する。

• FreeBSD-SA-02:21 routing table memory leak

  4.5-RELEASE、2001-12-07〜2002-03-22 の 4-STABLE に弱点。 ICMP echo reply の処理に問題があり、routing table でメモリリークが発生する。これを利用すると、remote から DoS 攻撃を行うことが可能となる。 4.4-RELEASE 以前にはこの問題はない。

  回避するには、ICMP echo をパケットフィルタでフィルタリングする。 対応するには、patch があるので適用し、kernel をつくりなおして再起動する。

Debian GNU/Linux

• [SECURITY] [DSA-126-1] Horde and IMP cross-site scripting attack

• [SECURITY] [DSA-127-1] buffer overflow in xpilot-server

Compaq Tru64 UNIX

• [SNS Advisory No.51] Compaq Tru64 UNIX libc Buffer Overflow Vulnerability

• [SNS Advisory No.50] Compaq Tru64 UNIX dtprintinfo "-session" Buffer Overflow Vulnerability

IRIX

• IRIX cron daemon vulnerability

• IRIX XFS filesystem denial of service attack

　CRM モノとして有名な SAP R/3 の開発言語 ABAP で書かれたウィルスなのだそうで。 こういうものを企業中枢に打ち込まれると、どうなるんだろう。

　山口さん情報ありがとうございます。

　-R ってそうやって使うんだ。勉強になるなあ。

　レポートファイルを $EDITOR で開いたとき、たま〜に反射的に ^Z しちゃうときがあるんだけど、suspend しないであさっての方向に逝っちゃうんだよなあ。

　IE 5.1 for MacOS 8 & 9, IE 5.1 for MacOS X, Outlook Express 5.0.-5.0.3 for Mac, Entourage 2001/v.X for Mac, PowerPoint 98/2001/v.X for Mac, Excel 2001/v.X for Mac に弱点。

1. 特定の HTML 要素によって buffer overflow する弱点。 悪意ある web サイトや HTML メール送信者は web サイトやメールを読んだユーザの権限で任意のコマンドを実行させられる。 また危険な HTML ファイルを上記 Office アプリで開いた場合にも同様の状況が発生する。 詳細: Microsoft IE/Office for Mac OS Buffer Overflow Vulnerability (securiteam)。

   CVE: CAN-2002-0152

2. 悪意ある web サイトが local に存在する既知のパス名の AppleScript をユーザの確認なしに起動できてしまう弱点。IE 5.1 for Mac OS 8 & 9 でのみ発生。

   詳細: Macinosh IE file execuion vulerability

   CVE: CAN-2002-0153

　IE 5.1 for MacOS X, for MacOS 8 & 9 用の patch が登場している。 for MacOS X 用はソフトウェアアップデート経由で、MacOS 8 & 9 用はweb page で配布されている。patch を適用すると IE 5.1.4 になる。 というか、MacOS 8 & 9 用 patch は patch じゃなくて IE 5.1.4 そのものらしい。 Office 用の patch はまだない。

　森さんから (情報ありがとうございます):

あいかわらずMacのIE5の自動実行のセキュリティバグの件ですが、IE5.1.4 (classic版)でも全然直ってませんね。今回の件に劣らず、すごく危険なんですけどね。 （ついでにクッキーのバグも直ってませんけど）

ところで、Operaの現在のバージョン (PPC版5.0.485とOS X版5.0b4.498.Cbnで確認) では、デフォルトで「Always show save dialog」になって、ダイアログでダウンロードがキャンセルできるようになりましたね。

で、PPC版は、配布されてるファイルの修正日が2002.1.9なんですよね。 バグに気がついた時にはすでに問題のないバージョンが出ていたのかも知れませんが、どうなんでしょうね。

2002.04.18 追記:

　森さんからの続報:

今回のIE5.1.4の対処は、Web上のHTMLファイルからローカルのアプリケーションを起動する前にダイアログを表示するという形で、自動ダウンロードと自動マウント後でさえも起動前にダイアログを出してキャンセルできるようになりました。

しかし、相変わらず自動ダウンロードをキャンセルできない上に、ローカルのHTMLファイルからのアプリケーシ?の起動には対処していないため、アプリケーションファイルと一緒にHTMLファイルも自動ダウンロードされてしまうと、起動を防ぐことができないのです。

　というわけで、何も fix されていないわけではないのだけれど、 結論としては、これまでと同じ回避方法を続ける必要があるようです。 森さんの Macのブラウザのセキュリティ脆弱性と危険なファイルの自動実行 (IE,NN,iCab,Opera,OmniWeb) もわかりやすく更新されているので、あわせて参照してください。

2002.05.01 追記:

　Outlook Express 5.0.4 for Mac と Entourage 2001/v.X for Mac, PowerPoint 2001/v.X for Mac, Excel 2001/v.X for Mac 用の修正プログラムが登場。PowerPoint 98 for Mac 用はまだ。

2002.05.14 追記:

　Microsoft Office 98 URL Security Updater。 PowerPoint 98 だけでなく、Office 98 全体に問題があったのか?

　TCP port 445 に 10k 文字の NULL パケットを送ると Windows 2000 SP0〜SP2 がブルーサンダーになるという指摘。回避方法については Denial of Service Attack on Port 445 May Cause Excessive CPU Use (Q320751) を参照。

　Windows Software Update Services (SUS, 旧称 Federated Corporate Windows Update Program) は .NET がらみだという話だったと記憶していますが、どうやら NT/2000/XP でも動くようになる模様。しかし、そのころには NT って既に……。

　関連記事: マイクロソフト、セキュリティーについての取り組みを発表 〜セキュリティーを強化しないと、マイクロソフトには先が無い (INTERNET Watch)。

　2002.01.24 の ソニー、「バイオ」専用プログラムにセキュリティ・ホール に追記した。高木さんによる詳細情報 (のつづき)。

　link のみでごかんべん。

• CIACTech02-002: Microsoft Browser Helper Objects (BHO) Could Hide Malicious Code。 監視ツール BHO Cop というモノがあるそうです。

• Webサイトのプライバシーポリシーを小鳥がチェック「AT&T Privacy Bird」。 小鳥さんのおめめが凶悪な気が。

• [RHSA-2001:089-08] Updated tcpdump packages available for Red Hat Linux 6.2 and 7.x

• Firewall Tester v.0.6

• SPIKE

• IRIX Mail, mailx, timed and sort vulnerabilities

• The Tivoli Storage Manager webserver 4.2.x.x, running on port 1580, has a buffer overflow condition

　2002.04.09 の KPMG-2002007: Watchguard SOHO Denial of Service に追記した。5.0.35a のワケ。

　2002.03.27 の Squid Proxy Cache Security Update Advisory SQUID-2002:2 に追記した。Vine Linux fix。

　OpenBSD の mail(1) に弱点。対話モードでない場合でもチルダエスケープ (~!) が有効になってしまうため、/tmp/ 下にソレゲなファイル名のファイルをつくっておいて /etc/daily が起動するのを待つと、local user が root 権限を取れる、みたい。 local root compromise in openbsd 3.0 and below も参照。 patch があるので適用すればよい。

　FreeBSD にはこの弱点はないそうだ。

　Cisco Media Gateway Controller (MGC) や Cisco IDS は Solaris 上で動作するため、 CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する の影響を受けるものがある、という話。 なーんか、遅すぎなんじゃないの? > Cisco。

　経済産業省関連の申請・届出手続きに係わる電子申請システム(ITEM2000) を利用するためのソフトには Java2 JRE が含まれているのだが、これに 弱点 があったという話。 ITEM2000 Version 1.0.2A はこの問題の影響を受けない JRE1.3.1_03 ベースになっているので、古い ITEM2000 をインストールしている場合は 1.0.2A に入れかえればよい。 [memo:3571] 経済産業省でのITEM２０００システムに 以降のスレッドも参照。

　ちゃんとメンテしないとイカンという観点では Apache も IIS も同じだと思うけど、 IIS の場合、標準でついてくる機能にアレゲな穴が多いという点が……。 まあ、add-on module とか PHP 方面とか入れれば、バグの数では似たようなものにはなるのかな。

　「ガイドラインの概要」しか発表されていないように見えるんですけど: パソコンの廃棄・譲渡時のハードディスク上のデータ消去に関するご注意−JEITAがガイドラインを発表− (JEITA)。

　そういえば、今日の「クローズアップ現代」でこのあたりのネタが放映されるようですね。

　意見を募集しているガイドライン案は プロバイダ責任法ガイドライン等検討協議会 を参照。この法律では、ISP に限らず、掲示板などの該当サービスを提供している一般の人にも全く同じ責任がかかります。気をつけましょう。

　意見募集期限は 5/9 正午だそうです。 「プロバイダ責任法」はこちら: 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律 (総務省)。 たぶんこっち (毎日) の方が読みやすい。

　どう見ても administrative issue だけど、そういうアレゲな運用が意外と多いってことなんだろうか。

　IIS 4.0/5.0/5.1 に新たな 10 個 (!!) の弱点。

1. Active Server Page によるチャンクされたエンコードリクエストでの heap overflow。外部から IWAM_machine 権限で任意のコードを実行できる。 この問題についてだけは、IIS 5.1 は影響を受けない。

   詳細: Windows 2000 and NT4 IIS .ASP Remote Buffer Overflow (eEye)。 DoS 攻撃を起こすサンプルコードが示されている。

   .ASP を許可していない場合、あるいは URLScan でチャンクされたエンコードリクエストを拒否している場合は回避できる。

   CVE: CAN-2002-0079

2. 上記に関連して Microsoft が発見した、ASP データ転送機構に存在する問題。 ただしこちらは 5.1 でも問題が発生。 外部から IWAM_machine 権限で任意のコードを実行できる。

   .ASP を許可していない場合は回避できる。

   CVE: CAN-2002-0147

3. HTTP ヘッダの処理に問題があり、バッファオーバーフローが発生してしまう問題。HTTP ヘッダをパースする前に safety check が実行されていた。 外部から IWAM_machine 権限で任意のコードを実行できる。

   .ASP を許可していない場合は回避できる。 また URLScan のデフォルト設定を利用している場合は DoS 攻撃しかできない。

   CVE: CAN-2002-0150

4. Microsoft が発見した、SSI 処理中におけるバッファオーバーフロー問題。 IWAM_machine 権限で任意のコードを実行できる。

   .ASP を許可していない場合は回避できる。 また URLScan のデフォルト設定を利用している場合は DoS 攻撃しかできない。

   CVE: CAN-2002-0149

5. HTR ISAPI エクステンションにおける heap overflow。 外部から IWAM_machine 権限で任意のコードを実行できる。

   詳細: @stake advisory: .htr heap overflow in IIS 4.0 and 5.0、 KPMG-2002010: Microsoft IIS .htr ISAPI buffer overrun

   HTR ISAPI エクステンションを無効にしている場合は回避できる。 また URLScan のデフォルト設定を利用している場合も回避できる。

   CVE: CAN-2002-0071

6. ISAPI からの長大な URL リクエストに対するエラー処理に問題があり、 DoS 攻撃を受ける。

   詳細: KPMG-2002009: Microsoft IIS W3SVC Denial of Service。 問題となるエラーを発生させる ISAPI フィルタは FrontPage Server Extension と ASP.NET の一部として含まれている。これらをインストールしていない状況では問題は発生しない。

   CVE: CAN-2002-0072

7. FTP サービスが STAT リクエストを処理する方法に問題があり、DoS 攻撃を受ける。

   FTP サービスを無効にしていれば回避できる。

   CVE: CAN-2002-0073

8. クロスサイトスクリプティング (CSS) 問題が 3 件。

   • IIS ヘルプファイル検索機能のクロスサイトスクリプティング。 詳細: Cgi Security Advisory #9: Netware Web Search Engine, and Microsoft IIS Help File Search Fac Cross Site Scripting Holes (LAC 邦訳版)。 CVE: CAN-2002-0074

   • HTTP エラーページのクロスサイトスクリプティング。 詳細: IIS allows universal CrossSiteScripting。 CVE: CAN-2002-0148

   • リダイレクト応答メッセージのクロスサイトスクリプティング。 詳細: SNS Advisory No.49: A Possibility of Internet Information Server/Services Cross Site Scripting。 CVE: CAN-2002-0075

　patch があるので適用すればよい。可能な限り早急に適用しておこう。 ただし NEC PC98x1 版 Windows 2000 用はまだないみたい。 また IIS 6.0 (.NET Server) については、ビルド 3605 以降で修正されているそうだ。

　MS02-018 の「警告」欄にいくつかの注意書きがあるので読んでおこう。 MS02-018 に含まれていない fix や、Windows 2000 + Site Server 3.0 の環境に MS02-018 を適用すると Membership 認証が行われなくなる、などといった情報が記載されている。Site Server 3.0 については修正プログラムが (有償で?) 配布されているようだ。

　関連: CERT Advisory CA-2002-09 Multiple Vulnerabilities in Microsoft IIS (LAC 邦訳版)

2002.04.18 追記:

　Cisco ネタ: Cisco - Microsoft IIS Vulnerabilities in Cisco Products - MS02-018

　ウワサの NIRT が所属する、内閣官房情報セキュリティ対策推進室の web page です。NIRT は「官民のコンピュータセキュリティ専門家15名から構成」だそうで。期待していいのかな。

　11.21 より前の Cisco Aironet Access Point 340 / 350、Aironet Bridge 350 に弱点。telnet アクセスを有効にしている場合に DoS 攻撃を受ける。11.21 で修正されているので upgrade する。

　2002.04.09 の KPMG-2002007: Watchguard SOHO Denial of Service に追記した。firmware 5.0.35 には問題があるそうで、5.0.35a が出ているんだそうです。

　Windows NT/2000/XP に弱点。 UNC 形式 (\\foo\bar など) のアクセスリクエストを処理する Multiple UNC Provider (MUP, mup.sys) にバッファオーバーフローする弱点があり、これを利用すると local user が任意のコードを実行できるため、DoS 攻撃ができる他、SYSTEM 権限を得られる。ただし Windows 2000 ではこの弱点を利用した SYSTEM 権限取得はうまくいかない。

　patch があるので適用すればよい。

　問題発見者による情報: NSFOCUS SA2002-02 : Microsoft Windows MUP overlong request kernel overflow

　変な IP オプションつきの TCP パケットを流すと Watchguard SOHO が crash するという話。firmware 5.0.35 で fix されている。

2002.04.10 追記:

　firmware 5.0.35 には問題があるそうで、5.0.35a が出ているんだそうです。 今泉さん情報ありがとうございます。

2002.04.15 追記:

　5.0.35a のワケ: KPMG-2002008: Watchguard SOHO IP Restrictions Flaw。

FreeBSD

• FreeBSD Security Notice FreeBSD-SN-02:01 security issues in ports

  ports コレクションにおける最近発見された問題と現在の状況。 ANNOUNCE: NEW: FreeBSD Security Notices によると、これからは、FreeBSD 固有の話でないものについては Security Notices の方でフォローされるみたい。

RedHat

• [RHSA-2002:053-12] Race conditions in logwatch

　SecurityFocus.com Newsletter 第 138 号日本語版 (テキスト)。 zebedee 2.2.2 も zlib double-free ものですね。

　MS Office 2000 / XP に付属する Office Web Components (OWC) 関連の弱点の指摘が 4 つ出てます。 なかなか強烈です。

• GM#005-IE: Scripting for the scriptless with OWC in IE

  OWC を利用すると、アクティブスクリプトを無効にしていてもアクティブスクリプトを強制的に実行させることができる。 OWC 10 (Office XP) で可能。

• GM#006-IE: Reading local files with OWC in IE

  OWC を利用すると、既知のパス名の local file が読めてしまう。 OWC 9/10 (Office 2000/XP) で可能。

• GM#007-IE: Controlling the clipboard with OWC in IE

  OWC を利用すると、「スクリプトによる貼り付け処理の許可」が無効になっていても強制的にクリップボードを操作できてしまう。 OWC 9/10 (Office 2000/XP) で可能。

• GM#008-IE: Multiple local files detection issues with OWC in IE

  OWC を利用すると、いくつもの方法で既知のパス名のローカルファイルの存在・非存在を確認できてしまう。 OWC 9/10 (Office 2000/XP) で可能。

　回避するには、「Active X コントロールとプラグインの実行」を無効にする。 手元の Windows 2000 + IE 6 + Office 2000 で試した限りでは、GM#006〜8 については 「スクリプトを実行しても安全だとマークされている Active X コントロールのスクリプトの実行」を無効にしても回避できるようだ。 というか Office XP が手元にないので、手元では GM#005 は確認できていない。

　最近の攻撃のトレンド。簡潔にまとまっている。目新しいことは書かれていない。 と思う (だんだん弱気)。

　2002.03.20 の D.I.R.T.™ – Data Interception by Remote Transmission: VERSION 2.2 Reference Guide – Operations Manual に追記した。ファイアウォール越えツールなど追加。

　Microsoft 製セキュリティツールがまた 1 つ。Windows NT 4.0/2000/XP を scan して、セキュリティ上問題となる点を発見・報告してくれるツール、らしい。 まだ英語版だけ。 実行ファイルが動作するプラットホームは Windows 2000/XP に限られる。 ただし XP Home/Pro. の simple file sharing model では local scan しかできないそうだ。 参照: Microsoft Baseline Security Analyzer (MBSA) Version 1.0 Is Available (Q320454)。

　関連記事: マイクロソフト，セキュリティキット「MBSA」提供を計画 (ZDNet)。

　中山さん、金子さん情報ありがとうございます。

2002.04.15 追記:

　日本語 KB: Microsoft Baseline Security Analyzer (MBSA) 1.0 のリリース 。

　学生はもちろん、教員/研究者自身が盗用することも問題になっていますよね。

　掃除機で電源が……はけっこうありがちな気が。最近の PC は電気食いだし。 手元の環境も実はちとマズい状況だったり。レイアウト変えナイト。 UPS が警告を発しているにもかかわらず平然と掃除をつづけるバイトのにーちゃん (理工学部院生) にはまいるが。

　2002.03.22 の Windows XP: CD-R/RW ディスクにコピーしたファイルまたはフォルダが消失する に追記した。patch 登場。

　Windows 2000 ドメインコントローラに弱点。グループポリシーファイルを開くとポリシーファイルがロックされることを利用して、グループポリシーの適用を回避することができる。patch があるので適用すればよい。

2002.04.09 追記:

　これは SECURITY.NNOV: file locking and security (group policy DoS on Windows 2000 domain) の fix なのだそうだ。また、この patch は LDAP SSL で公開される機能がパスワードの変更を可能にする (MS01-036) を含むのだそうだ。

　IPA からいくつかドキュメントが出ています。

• OECD 情報セキュリティガイドラインに関する調査

• 各国電子政府および PKI プロジェクトの調査

• リモートアクセス環境におけるセキュリティ

　「このように、一旦不正侵入を許すと、それに関連する調査にはかなりの時間と手間がかかります。また関係者への聞きこみに伴って、職場内部の人間関係にも著しい影響の発生が予想できます。年間 xxx 万円を社内セキュリティに割り当て、このような事象の発生を可能な限り防止することは、十分採算が取れる行為ですし、労働環境の健全化という観点でも重要です。」

　……とか言えば予算が取れるだろうか。

　SecurityFocus.com Newsletter 第 137 号日本語版 (テキスト)。 WinSSHD というのがあるんですね。 値段も安いみたいです。

　Office XP に弱点。アクティブコンポーネント (Active X, Active Script) を含む HTML メールを forward あるいは reply するときに、特定の web page に強制的にアクセスさせることができる。 もうひとつ、spreadsheet コンポーネントの Host() 関数にも問題があり、 これを使うと任意の名前/拡張子でファイルを作成することができる。 で、両者を組みあわせると、web page から攻撃プログラムをダウンロードし、 それをユーザの startup ディレクトリに格納できる、ということみたい。

2002.05.01 追記:

　MS official: 電子メール エディタの問題により、返信または転送でスクリプトが実行される (Q321804) (MS02-021)。patch も出ています。

　また、Guninski さんの文書は version 3.0 になっています。

　ハイパー日記システムの hns-2.10-pl3 より前、hns-2.19.4 より前の版に弱点。 カレンダー表示部分にクロスサイトスクリプティング問題がある。 hns-2.10-pl3 / hns-2.19.4 で修正されている。

　2002.03.29 の MS02-015: 2002年3月28日 Internet Explorer 用の累積的な修正プログラム に追記した。Cookie-based Script Execution 問題の具体的な情報。

　P2P ファイル交換ソフト「KaZaA」に、これとは全く別の P2P ソフト「Altnet Secure Install」が黙って組み込まれている、という話。 削除方法が ZDNet に出ている: Kazaaの“おまけ”をアンインストールする方法。

　多機能サーバ Sambar Server の 5.1 production より前のバージョンに弱点。 長大な入力により buffer overflow が発生し server.exe が停止してしまう。 HTTP ヘッダやサンプル CGI への入力として実行可能。 5.1 production 版で fix されている。 Sambar Server Security Alert ページも参照。

　streaming mp3 audio server の Icecast 1.3.11 以前にいくつもの弱点があるという指摘。 remote から icecast 動作権限 (root) を取れる模様。 exploit も登場済み。

　アプリックスが JBlend の改良版 meta OS を出した、という記事なのだが、「安全性が確認済みのJavaアプリに対してはアクセス制限をなくす」 「これまでJava VMで実行していた処理の一部を，Java VMを介さずに実行」 など、悪い予感のする文字列が並んでいる。 「日の丸Microsoft」の座、というのは、そういう意味なのか? 当の Microsoft は既に "Trustworthy Computing" へ舵を向けているのだが。 転針するにはまだ時間がかかりそうだけど。

　このテの数字は信用できないのであれですが、実際 CodeRed / Nimda で億単位の被害を受けた組織はいくつもあると想像できますし。気をつけましょう。

　2002.04.04 の 静止軌道上に直径50メートルの物体、米極秘衛星か に追記した。関連記事を追加。

　Cisco Secure Access Control Server for Windows releases 2.6.x と ACS 3.0.1 (build 40) に 2 つの弱点。Administrator 権限で任意のコードが実行されるものと、情報の漏曳が発生するもの。 前者は format バグで、後者は .. (dotdot) バグ。 patch があるので利用者は至急適用しよう。

　CISCO プロダクトの Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free 関連話。 Cache Software/ACNS, ME1100, Cisco IDS, Metro 1500 DWDM, Hosting Solution Engine (HSE) のいくつかに問題があるそうだ。

　おもしろそうですが、手元で試す暇はなさそうだなあ。(T_T)

　む〜、時代は XML。ぜんぜん追いつけない…… (T_T)。

　修正されたのを受けて、Tea Room for Conference No.#743-7 にデモスクリプトが公開されています。いやあ恐いですねえ。

　(6/6) に、ウィルス警告メールの宛先を管理者のみにする方法も記載されています。

　日本スペースガード協会が、 直径約50メートルの謎の球体を静止軌道上に発見したという報告。 日本スペースガード協会の web page にはまだ情報がないみたい。

　飯島さん情報ありがとうございます。

2002.04.05 追記:

　関連: 静止軌道上に謎の巨大物体 (slashdot.jp)。サンダーバード 5 号説、S.I.D. (Space Intrusion Detector) 説などが囁かれている一方で、 INTRUDER や MERCURY / VORTEX II、 TRUMPET / MENTOR ではないかという話が出ている。彼らはこんな傘も持ってるのね。

　報道: 静止軌道上に５０メートルの未確認物体、米偵察衛星か (asahi.com)、 宇宙空間に５０ｍの巨大物体 (読売)。

　影響多大なので、設定には注意しましょう。 ……お、ウチもだ……。直さなきゃ。 最新の申請書類を JPNIC から…… うぉっと、4/1 で JPRS に移管されたのか。 どうやればいいんだ? …… ドメイン名情報の更新・変更（属性型地域型JPドメイン名） かな?

　DNSのセカンダリサーバ: セカンダリサーバは必要か ですが、jpshop.jp の ネームサーバの設定（属性型地域型JPドメイン名） では「2台以上用意していただくことを推奨します」になってますね。

　Solaris 2.6/7/8 の /usr/openwin/bin/Xsun の -co オプションに buffer overflow する弱点があるという指摘。local user が root 権限を得られるという。 Sun は 2001.08.08 に通知を受けているそうだ。

　VNC での Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free 関連話。 一部の VNC 関連ソフト、たとえば TightVNC viewer の 1.2.3 より前、TridiaVNC viewer (win32) の 1.5.6 より前などに問題があるようだ。詳細は bulletin を参照。

　MacOS X での、SSL (Mail.app) と OpenSSH を利用した「セキュアなメール読み環境」構築記事。

　「利用者は各金融機関の取引暗証番号を証券会社に登録しておけば、証券会社側で各行の預金残高などを調べ、教えてくれる仕組みだ」。 暗証番号を証券会社に登録!! いやあすごいなあ。 こんな豪快なサービスがあるんだ。

　「知人の都銀幹部」氏は 「そんなことが許されるなら、暗証番号などなんの意味もなくなる」 というから「そうだよなあ、やっぱ顧客のセキュリティが心配だよなあ」 と思ってたら続いて 「苦労して構築した顧客情報管理システムを横取りされるようなものだ」。 自社利益を第一に心配するとは。 これまたすごい。

　残念ながら、「secure@microsoft.com の日本語版ができた」という話ではない。 「http:// で fingerprint 公開されても」という方は https:// ページ をご参照。

　2002.03.29 の [memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点 に追記した。「混乱を避けるため」取った手段で混乱を助長してどうする……。

　qpopper 4.03 に弱点。2048 を越える文字が qpopper に送られると DoS になってしまう。patch-popper::popper.c を適用したあとで qpopper を再構築する。 Problem Report ports/36326 も参照。

2002.04.17 追記:

　qpopper 4.04 出ています。Fixed DOS attack seen on some systems なので、これが fix された模様。浅田さん情報ありがとうございます。

　2002.03.29 の [memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点 に追記した。総務省は何を批判されたのか理解できていない模様。

　2002.03.29 の Oracle Default Users, Passwords and Hashes に追記した。 特殊な状況では本当にいっぱいできる模様。

　4 月中に出る模様。ゲラ読ませていただいたりしたのですが、めちゃ濃いです。 問答無用で「買い」。 個人的には「NFS & NIS 2nd Ed.」も買いだなあ。

　ドミノ 5.0.8 以前に弱点。異常な envelope を持つメール (って何だ) によりメールが loop し、その間 CPU を 100% 使い切る模様。5.0.9 で対応されている。 また 5.0.8 以前での回避方法が記載されている。

2002.04.01 追記:

　玉岡さんから (情報ありがとうございます):

■ Title: ドミノ R5 SMTP： ルーティング ループによる DoS 
(Denial of Service) 攻撃 (Lotus, 2002.04.01) 

ですが，

http://online.securityfocus.com/archive/1/209116

でかなり以前に報告されていたものだと思います。またドミノの
この問題が原因となって ORBZ が閉鎖に追い込まれた経緯もあり
ます。

http://www.wired.com/news/business/0,1367,51218,00.html