Last modified: Tue Apr 15 13:04:13 2003 +0900 (JST)
このあたりを読みつつ VERP 対応 & mead 化を検討中……。
5月30日以降は『WIndows XP』がインストールできない? (CNET)。 来週 XP を入れるのでヒトバシラーモード ON。
Operaでのセキュリティについて に、日本語版独自情報としてセキュリティねたが上がっています。 (info from 窓の杜)
住基プライバシー条例の適用検討へ 東京・杉並区長が表明 (毎日)。 やるなあ。
W32/Klez に関する FAQ (IPA) が出ていました。
ウェアラブルコンピュータ搭載のハイテク防弾チョッキ (ZDNet)。 Land Warrior 用とか?
2002.05.30 の CERT Advisory CA-2002-14 Buffer overflow in Macromedia JRun に追記した。 Macromedia Product Security Bulletin (MPSB02-02) ISAPI のバッファオーバーフロー対応パッチが利用可能です(JRun 3.0/3.1)。
Apache Tomcat java server v3.23, 3.24 に弱点。
SecurityFocus.com Newsletter 第 145 号日本語版 (テキスト)。
セキュリティ情報・パッチ - FUJITSU's SOFTWARE をアンテナに加えました。
FreeBSD-SA-02:26 Remote denial-of-service when using accept filters
FreeBSD 4.5-RELEASE に弱点。accept_filter(9) に問題があり、これを利用している場合 (デフォルトでは無効)、 DoS 攻撃を行うことが可能になってしまう。 accept_filter(9) を利用していなければこの問題はない。
FreeBSD 4.5-RELEASE-p6 で修正されている。 あるいは個別 patch を適用後、新しい kernel を作成・インストールするしリブートする。
FreeBSD-SA-02:27 rc uses file globbing dangerously
FreeBSD 4.4-RELEASE、4.5-RELEASE に弱点。 /etc/rc において、X Window のロックファイルを削除する際に、 rm -f /tmp/.X*-lock /tmp/.X11-unix/* としていたが、これは非常にヤバい状況になる可能性があった。 どれくらいヤバいかは、たとえば ln -s ~ /tmp/.page-unix; ls /tmp/.page-unix/* とかしてみればいいだろう。
4.5-RELEASE-p6, 4.4-RELEASE-p13 で修正されている。 あるいは個別 patch を適用後、新しい /etc/rc を作成・インストールする。
US TurboLinux Security Severely Out of Date
そのとおりなんだけど、日本のユーザには関係ない話。
FBIの大失態——テロ関連電子メールを誤って破棄 (WIRED NEWS)。 元ネタは FBI's CARNIVORE SYSTEM DISRUPTED ANTI-TERROR INVESTIGATION (EPIC)。
記者クラブ:サッカーW杯を機に国境なき記者団が批判 (毎日)。 日本の常識世界の非常識。
住基ネット:電子政府関連法案を自民党が了承 総務省 (毎日)。予定通り大幅に超過して (以下略)。
全日空と日テレ関連会社でも個人情報が流出 (毎日)。 あれまあ。
CIAC に Connecting to the Internet Securely; Windows 2000 というドキュメントが上がってます。
Linux で使える、 Virtual private servers and security contexts というものがあるそうです。
145万人が7,500万の音楽ファイルを交換
〜RIAJとACCSがファイル交換ソフトの利用実態を調査 (INTERNET Watch)。
「情報=お金、ネット上に流れているのはお金だと認識してほしい
」。
ACCS は正直でいいですなあ。
宇宙開発事業団情報に不正アクセス容疑、会社員3人逮捕 (asahi.com)。 教訓: 正直者はバカを見る。
「サイバー・スペースは現実社会と同じ,セキュリティは“プロセス”で考える」---Bruce Schneier氏 (日経 IT Pro)。コンパクト版「暗号の秘密とウソ」だったのかな。
それにしても、
Microsoft プロダクト セキュリティ 警告サービ
ス New Security Information (MS02-025) 速報
という subject: はどうにかならないんですかねえ。
テレサ協のガイドラインともども一家に一冊。
Ikegami さん情報ありがとうございます。
うーむ……
撮影したビデオの公開には厳格な規定を設けており、捜査であっても事件の概略を記した警察署長の依頼書がないと任意提出に応じないという
日本語に翻訳すると、テキトーにデッチ上げた「依頼書」があれば ok ok、ということかな。後出しで「あったことにする」なんてのも ok そうだな。
「失敗は許す。その代わり,早く打ち明けて対策を講じ,全社で共有せよ
」。
すばらしい。
勉強がてら遊んでみたいけど、暇が……。
匿名への道は遠く険しい。
MS02-023 の 6 つのセキュリティホールと、 「7 つ目」のセキュリティホールの解説。 制限つきサイトゾーンでフレームが使えなくなった話、の詳細。
Macromedia のアプリケーションサーバ JRun 3.0、3.1 の Windows 版に弱点。 JRun は IIS 4.0/5.0 の ISAPI フィルタ/アプリケーションとして動作するが、長大な host: ヘッダによってバッファオーバーフローしてしまう。結果として、remote から JRun 動作権限 (local SYSTEM) を奪取することが可能となる。
JRun 3.0、3.1 用 patch があるので適用すればよい。また JRun 4.0 にはこの問題はないので、JRun 4.0 に upgrade しても解決できる。
関連: NGSSoftware Insight Security Research Advisory: JRun 3.1 Remote System Buffer Overrun (ngssoftware.com)、 CERT Advisory CA-2002-14 Buffer overflow in Macromedia JRun (オリジナル英語版)
Macromedia Product Security Bulletin (MPSB02-02) ISAPI のバッファオーバーフロー対応パッチが利用可能です(JRun 3.0/3.1)。
Exchange 2000 に弱点。意図的に壊された (詳細不明) メールを処理する過程で、 Exchange Store service が CPU を 100% 使い切ってしまうため、その間他の機能が妨害されてしまい、DoS 状態になる。 該当メールを処理し終れば復旧する。 サービスの再起動やサーバのリブートでは、再起動/リブート後に直ちに問題のメールの再処理が再開されてしまうため、この問題からは回復できない。 またこの問題は Exchange 5.5 には存在しない。
patch があるので適用すればよい。
関連: ExchangeサーバにDoS攻撃への脆弱性——MSが修正 (ZDNet)
3万7000人の個人データ流出 エステサロンのTBC、 「転載ならプロバイダー責任法適用も」 TBC個人データ流出、 YKK子会社でも4万5000件の個人情報漏れ (毎日)。 たいへんですねえ。
関連: 「お手数ですが削除いただけますよう」──個人情報大量流出のTBC (ZDNet)。
[aml 28146] 対小林よしのり/名誉毀損判決 完敗!。 ふぅむ。 「脱ゴー宣」裁判を楽しむ会 も参照。
日付が変だったので修正。はせがわさん情報ありがとうございます。
HP 軍事レベルにセキュリティー強化したリナックスを発売 (毎日)。
「個人情報を扱う政府システム、ネット通信事業者、電子商取引事業者向けに最適としている
」
だそうだが、それらの多くは使いこなせないんじゃないの?
そうでもないのかな。
関連: 業界初、Linuxのセキュリティ強化バージョン「hp secure Linux」を発表 (日本HP)。
MSC 大阪セッション「決戦 ! Windows サーバー 〜現場の管理者が語るサーバープラットフォーム〜」、および 4th JWNTUG Open Talk in MSC 大阪に参加されたみなさん、ありがとうございました & おつかれさまでした。
そうそう、Outlook Express ハングアップ話は JWNTUG Newsletter Vol.6/No.035 - 2001.11.22 についてのお詫びと訂正 を参照してください。 風の噂では、いまだに直ってないらしいです。
住基ネット実施延期に言及 自民党・荒井総務部会長 (毎日)。 自民党内綱引きモード?
エネルギー基本法案成立へ 修正で「玉虫色」に (asahi.com)。 原発利権が出発点ではねえ。
らむじぃ工房分室〜LinuxとGameの宴〜/Sophos社製Anti-Virus製品、Sophos AntiVirus 3.58 用 nosrc.rpm 出ています。吉村さん情報ありがとうございます。
困ったものですよねえ。
ネタたまりすぎ……。
大量の ICMP redirect によってメモリが食いつぶされて DoS になるという話みたい。Cisco IOS ICMP redirect DoS - Cisco's response も参照。
Cisco Security Advisory: Multiple Vulnerabilities in Cisco IP Telephones
Cisco Security Advisory: ATA-186 Password Disclosure Vulnerability
Cisco Security Advisory: CBOS - Improving Resilience to DoS Attacks
FreeBSD-SN-02:03 security issues in ports
amanda, fetchmail, gaim, gnokii, horde, imap-uw, imp, linux-netscape6, mnogosearch, mpg321, ssh2, tinyproxy, webmin。
amanda (AMANDA security issues 参照) は Port removed、imap-uw と ssh2 は Not fixed になっている。
ports/mail/imap-uw
は
Disable building with RFC 1730 by setting FORBIDDEN if WITH_RFC1730
is specified
だ。
また、ports/security/ssh2
は最新状態では 3.1.2 となり fix されている。
File Locking Local Denial of Service; Impact on sendmail
sendmail 8.12.4 で fix される、のかな。 参照: File Locking Local Denial of Service (Sendmail's Impact) (SecuriTeam)。
SMS 2.0 によるセキュリティ・パッチ配布ソリューション
Microsoft Software Update Services と SMS 2.0 組みあわせネタ。根暗井さん情報ありがとうございます。
'sa' ブランクパスワードねた。
MS02-019 の対象ソフトウェアに Word X for Mac, Word 2001 for Mac, Excel 98 Macintosh Edition, Word 98 Macintosh Edition が追加された [memo:3987]。
MatuFtpServer Remote Buffer Overflow and Possible DoS
MatuFtpServer 1.1.3.0(1.13) にバッファオーバーフローバグがあるという話。
Problems with various windows FTP servers
FtpXQ, Broker FTP Server 5.0, Meteor FTP 1.2b, WFTPD に問題があるという指摘。
Excel XP xml stylesheet problems (Georgi Guninski security advisory #55, 2002)
Excel XP において、XML スタイルシートが含まれた Excel ファイルを開くと、 XML スタイルシートに含まれたスクリプトが警告なしで実行されてしまう、という話。 ただし「スタイルシートを使うか否か」については警告が出るので、このとき「使わない」と答えれば回避できる。
参照: ExcelのXMLスタイルシート処理に問題点? (ZDNet)
Reading ANY local file in Opera (GM#001-OP)
Opera 6.01、6.02 Windows 版に弱点。 悪意ある web サイトが local file を読むことができる。 6.01 より前のものにはこの問題はない。 Opera 6.03 で fix されている。が、あいかわらずアナウンスなし。 参照: Operaにまたもやファイルを読み取られるセキュリティ・ホール (日経 IT Pro)。
Opera6.01・6.02においてローカルファイルが読みとれる問題 (transware.co.jp)
Yahoo Messenger - Multiple Vulnerabilities
Yahoo! Messenger for windows 5.0.0 build 1061 に ymsgr:call?+<aaaaaaaaaaaaaaaa...> という URL で バッファオーバーフローする他、スクリプト経由で Yahoo! Instant Messenger をハイジャックできる等の弱点がある。 build 1065 で修正されている。
関連: Yahoo!、IMソフトのセキュリティホールを修正 (ZDNet)
豊田さん情報ありがとうございます。
「いわゆる迷惑メール」については、約 1,100 サイトに「是正を求めてい」る最中だそうで。 「経済産業省では、インターネット通信販売の適正化と消費者利益の保護を図るため、平成 13 年 9 月からインターネット上の広告について特定商取引法の尊守状況の常時点検を実施してい」るんだそうで。
AS02-20 も紹介し忘れていた模様。
そんな「いわくつき」だったんですか……。
該当機種は Microsoft の hotfix テスト環境にはない、ってことなんだろうなあ。 昨日の Open Talk では
ベンダーサイトから最新の video driver をダウンロード、インストールしたあとで、Windows Update が古いバージョンの video driver のインストールを促すことがある
という感じの話は出ていました。 で、素直に入れると blue になったりするとかしないとか。
で、もうすぐ Microsoft Software Update Services (SUS) が出るようなのですが、こういうこともあるので、OEM ベンダーそれぞれが 顧客向けの SUS サーバを立ちあげる、のがいいような気が。
関連: Windows UpdateでXPがフリーズ (slashdot.jp)。SONY VAIO の一部でも発生している模様。
めざせ 1984 年。 しかしはやくもトカゲのシッポ切りモードへ突入か?
防衛庁、情報公開請求者の身元を調査 思想なども記載 (asahi.com)
防衛庁、身上調査は「個人的な行為」 (読売)
重要なのはこの↓話でしょう。それ見たことか、でしかないんですが。
水野さん情報ありがとうございます。
あぁ、もう大阪へ行かナイト……。
OpenSSH 3.2.3 では May 22, 2002: Under certain conditions, on systems using YP with netgroups in the password database, it is possible that sshd(8) does ACL checks for the requested user name but uses the password database entry of a different user for authentication. This means that denied users might authenticate successfully while permitted users could be locked out などが修正されたようですね。
第 1 回 STPP セキュリティ対策セミナー、2002.06.18、センチュリーハイアット東京 (東京都新宿区)、無料。 私もあやしいタイトルでしゃべるらしいのですが、ごくあたりまえの結論が提示されるでしょう。
吉岡美穂がきっかけ? PIMソフトで販売差し止め訴訟 (ZDNet)。これで「酷似」ですか……。
2002.05.24 の [memo:3953] Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール に追記した。攻撃手法は、IE のセキュリティホールには依存しない模様。
本日施行、です。中身はたとえば プロバイダー責任法 (特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の概要) (netlaw.co.jp) を参照。
米陸軍公式戦闘ゲーム『America's Army』無料配布へ (CNET)。 自衛隊がこういうのをつくる……という状況はあり得そうにないなあ。 警察ならまだ可能性があるか? 原発警備隊 vs 某国スペシャルコマンドゥ、とか?
通信傍受を初公表 覚せい剤密売事件 警視庁が組員ら逮捕 (東京新聞)。
『有事法制』地方公聴会 正式中止 「賛成」の陳述者を自民、見つけられず (東京新聞)。 法案の不備をさらけ出してしまった模様。
Windows 版 PostPet 2.05 以前、 PostPet kids 1.01 以前, PostPet ViaVoice 対応版 2.05 以前に弱点。 PostPet が添付ファイルつきのメールを受信すると、この添付ファイルが既知のパス名のフォルダに自動的に展開される。 このため、ここに展開された攻撃コマンド等を、web ブラウザが持つ弱点を利用して悪意ある web ページから起動する、などの攻撃ができてしまう。 PostPetのセキュリティに関する重要なお知らせも参照。
PostPet 2.06、PostPet kids 1.02、PostPet ViaVoice 対応版 2.06 で修正されているので、アップデートした上で、添付書類フォルダに保存されている過去の添付ファイルは削除する。 また Mac 版や Windows CE 版の PostPet にはこの弱点はない。
高木さんのフォロー: [memo:3956] Re: Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール。攻撃手法は、IE のセキュリティホールには依存しない模様。
誤植 fix。やすださん感謝。
PostPetのセキュリティに関する重要なお知らせ が更新されている。新たに PostPet DX 1.2 以前や「お試し版」に関しても対応方法が記載されている。
Norton AntiVirus Corporate Edition (NAV CE) 7.0x/7.5 を利用している場合に、2002.05.22 付け Intelligent Updater (0522x86.exe) を実行して親サーバーのウィルス定義ファイルを更新すると、クライアントのウィルス定義ファイルが更新されず、おまけにリアルタイム保護も起動しないという。NAV CE 7.6 ではこの問題は発生しない。
近藤さん情報ありがとうございます。
chroot() / jail() を打ちやぶる方法。
2002.05.22 の Internet Security Systems セキュリティ アラート 2002 年 5月 21日: Microsoft SQL Spida ワーム の蔓延 に追記した。 eEye から脆弱性検査ツール登場。 JPCERT/CC Alert 2002-05-24。
XFree86 4.1.0 以前において、特定の日時に特定の処理が行われると X server がハングしてしまう。XFree86 4.2.0 ではこの問題は発生しない。 X server crashing every 49.7 days. を参照。 次は 2002.05.24 10:03:36 (JST) だ。
関連: XFree86 システム障害 2002/05/23 XFree86 の不正な時刻比較によるシステム障害 (Miracle Linux)
2002.05.22 の Internet Security Systems セキュリティ アラート 2002 年 5月 21日: Microsoft SQL Spida ワーム の蔓延 に追記した。 追加情報。
[memo:3827] ルート証明書の削除と「Microsoft Root Certificate Program」 で出ていた Microsoft Root Certificate Program の日本語版。 [memo:3950] も参照。
DebPloit - do everything in MS Windows NT 4.0 and Windows 2000 の話です。patch 出ているので適用しましょう。
CVE: CAN-2002-0367
頭痛のするコメントはことごとく AC だなあ (全ての AC コメントがそうだと言っているわけではない)。 jbeef さんのコメントが救い。 Tea Room for Conference の No.837 も参照。
"What are some links I can visit to help me further understand XSS?"
で示されている
Preventing Cross-site Scripting Attacks
によると、libwww-perl の HTML::Entities::encode() や、mod_perl
での Apache::Util::escape_html() が CSS 対策に利用できるそうだ。
参院議員への人権擁護法案アンケート結果公表 JCJなど8団体、
「読売試案は信義にもとる」 メディア総研が反対声明 (毎日)。
「読売新聞社社長が会長を務める日本新聞協会の方針から大きく逸脱し、信義にもとると言わざるをえない
」。
まあ、読売だし。
総務省、広告メール関連法律の施行規則について意見を募集 (INTERNET Watch) だそうです。
KaZaAネットワークに広がるBenjaminウィルスが繁殖〜金銭目的か? (INTERNET Watch)。 拾い食いには気をつけましょう。
JPCERT/CC web page に、JPCERT/CC が行ったアンケートの結果が出ています。
Information About Microsoft Security Bulletin MS02-023 (Microsoft) って日本語化されないんですかねえ。 ……と言ってるそばから翻訳版が: マイクロソフト セキュリティ情報 MS02-023 について (MSKK)。
NTT東日本、無線LAN接続サービス「Mフレッツ(仮称)」などを展示 (INTERNET Watch)。 後発だけあって、既存類似サービスの欠点をよくわかったうえでそこを埋めてきている、という感じ。 USB な認証キーですか。このテのものって、*BSD とか Linux とかでも使えるのかなあ。
SSH Secure Shell for Servers, SSH Secure Shell for Workstations (UNIX 版), SSH Secure Shell for Windows Servers 3.0.0〜3.1.1、 F-Secure SSH Server for UNIX 3.0.0〜3.1.0 に弱点。sshd2_config において AllowedAuthentications で許可する認証形式を指定できるが、 ここにパスワード認証が含まれていない場合でも、 古いバージョンの PuTTY を使うと、パスワード認証で接続できてしまう。 回避するには RequiredAuthentications で制限する。
バージョン 3.1.2 で修正されているそうだ。
F-Secure SSH Server for UNIX では、3.1.0 build 9 で修正されているそうだ。 また patch が用意されているそうだ。 触れられていないということは、F-Secure SSH Server for Windows では問題が出ないということなんだろうか。ふぅむ……。
Usagi Project がリリースした 2002.04 付の stable 版、 usagi-linux24-stable-20020408 において、Node Information Query の実装にいくつかのバッファオーバーフローする弱点がある。 未確認だが、usagi-linux24-stable-20020408 より前のものにも同様の弱点が存在する可能性がある。 最新の stable リリースでは修正されており、usagi-linux24-stable-20020408 への patch も提供されているので適用しよう。
具体的でわかりやすい。参考になるなあ。
MS SQL Server を狙う worm が流行っているようです。
関連:
Internet Security Systems Security Alert May 21, 2002 Microsoft SQL Spida Worm Propagation (ISS)
英語版。
Exploitation of Systems running Microsoft SQL Server (CERT/CC Current Activity)
IN-2001-13 類似であるとし、対応方法として PRB: Unsecured SQL Server with Blank (NULL) SA Password Leaves Vulnerability to a Worm (Q313418) (Microsoft) を紹介している。 この KB の日本語版はないみたい。
[stalk:01266] 1433/tcp への scan (stalk ML)
MSSQL Worm (sqlsnake) on the rise (incidents.org)
SQLsnake code analysis (incidents.org)
Digispid.B.Worm (シマンテック)
SQL Server を標的とした SQLSPIDA ワームに関する情報 (Microsoft)。 「影響を受ける恐れのある製品」をご確認の上、対策を。
MSSQL Worm (sqlsnake) on the rise (incidents.org) が update されています。
CERT Incident Note IN-2002-04: Exploitation of Vulnerabilities in Microsoft SQL Server (CERT/CC)
eEye から脆弱性検査ツール登場。 SQL Worm Scanner from eEye Digital Security からどうぞ。
JPCERT/CC Alert 2002-05-24: TCP 1433 番ポートへのスキャンの増加に関する注意喚起 (JPCERT/CC)
復権する秘密戦争の司令官たち (田中宇の国際ニュース解説)。
「CyberSupport for VAIO」 をプリインストールした SONY VAIO、 または別売プログラム「CyberSupport 2.5 for VAIO (PCF-SPCS1)」を別途インストールしたSONY VAIO に新たなセキュリティホール。詳細不明だが、 悪意ある web ページや HTML 形式電子メールを介した攻撃が可能で、 ローカルファイルを変更・破壊される恐れがあるという。 VAIO ユーザは 該当機種一覧 を確認されたい。 FAQ によれば、問題の発生する CyberSupport for VAIO バージョンは 2.0, 2.3, 2.5, 3.0, 3.1, 3.5。
2002.01.24 の ソニー、「バイオ」専用プログラムにセキュリティ・ホール とは別の話だとアナウンスされているので注意されたい。
対応するには「CyberSupportセキュリティ強化プログラム」を適用する。
memo ML に高木さんの投稿が:
[memo:3945] 「CyberSupport for 各社」にファイル破壊等のセキュリティ欠陥
今回の問題は SONY 用特有ではなく、JustSystem の CyberSupport 全体に影響する問題なのだそうだ。 だから JustSystem の web site に掲載されていたのか。 うーむ、わかりにくい。
日立製作所製パーソナルコンピュータ「Priusシリーズ」「FLORAシリーズ」ご利用のお客様へ CyberSupportのセキュリティに関する重要なお知らせ
株式会社東芝製パーソナルコンピュータ「DynaBook」ご利用のお客様へ CyberSupportのセキュリティに関する重要なお知らせ
日本電気株式会社製パーソナルコンピュータ「VALUESTAR」「LaVie」ご利用のお客様へ CyberSupportのセキュリティに関する重要なお知らせ
[memo:3946] で対象となる CyberSupport バージョンについてフォローされている。
[memo:3947] Re: 「CyberSupport for 各社」にファイル破壊等のセキュリティ欠陥
問題の詳細と回避方法。 CyberSupport に含まれる 「スクリプトを実行しても安全だとマークされているActiveXコントロール」 に問題があった模様。
高木さんの投稿にあわせて、既存の記述部分も一部変更した。 CyberSupportに脆弱性 (slashdot.jp) も参照。
link のみですまん。
ColdFusion ネタ。
Sonicwall SOHO Content Blocking Script Injection and Logfile DoS
dH team & SECURITY.NNOV: A variant of "Word Mail Merge" vulnerability
remote exploit 部分は Office 2000 SP2 で防げる模様。
dH team & SECURITY.NNOV: special device access, information leakage and DoS in Outlook Express
<BGSOUND> タグを使うといろいろできる、という話。
IE dot bug - Sandblad advisory #7
MS02-015 / MS02-023 で一部が修正されたが、問題はまだ残っているという。
OPEN SOURCE SECURITY TESTING METHODOLOGY MANUAL のうち、SPSMM (THE SECURE PROGRAMMING STANDARDS METHODOLOGY MANUAL) の日本語訳。
Internet Security Systems Security Alert Summary AS02-20 です。 38 Reported Vulnerabilities だそうで。
SecurityFocus.com Newsletter 第 143 号日本語版 (テキスト)。
FreeBSD-SA-02:24 - k5su utility does not honor `wheel' group
FreeBSD 4.4-RELEASE、4.5-RELEASE に弱点。 k5su (Kerberos 5 版の su) は user が wheel グループに含まれるか否かを検査しないし、その他にも標準 su が持つ機能のいくつか、たとえば password の期限や user の shell が /etc/shells に含まれているか否かの検査、が欠けている。
回避方法としては、chmod u-s /usr/bin/k5su する。また今後の FreeBSD では、k5su はデフォルトで suid root されなくなる。suid root したい場合は /etc/make.conf で ENABLE_SUID_K5SU して make する必要がある。
FreeBSD-SA-02:25 - bzip2 contains multiple security vulnerabilities
FreeBSD 4.4-RELEASE、4.5-RELEASE に弱点。 4.4-RELEASE 以降には bzip2 が標準で含まれているが、 伸張する間のファイル作成において、bzip2 は O_EXCL フラグを使う事に失敗しているため、警告なしにファイルを上書きしてしまう潜在的な危険性を持つ。 加えて、bzip2 はファイルの新規作成においてもセキュアでなく、 ファイル作成と正しいパーミッションの設定との間で競争状態 (race condition) が発生する。
また、シンボリックリンクに指し示されたファイルを圧縮する場合に、 bzip2 はファイル本体ではなくシンボリックリンクそのものに対してパーミッションを設定してしまう。これにより、圧縮後のファイルには、圧縮前にどのようなパーミッションであったとしても、umask に従ったパーミッション (デフォルトでは 644) が設定されてしまう。
4.5-RELEASE-p1 以降、4.4-RELEASE-p8 以降で修正されている。 最新の RELENG_4_4 / RELENG_4_5 / RELENG_4 へ upgrade するか、 個別 patch を適用して libbz2 と bzip2 を作成、インストールすればよい。
4.3-RELEASE 以前で bzip2 を ports 等からインストールしている人は、 最新の bzip2 を入れなおしておこう。もうすぐ出る 4.6-RELEASE に移ってしまってもいいかもしれないが。
ViewCVS 0.92 (最新版) 以前に弱点。クロスサイトスクリプティング脆弱性が存在する。 開発版ではこの問題が修正されているらしいが、それはまだリリースされていない。 0.92 に対する修正パッチが示されている。
FreeBSD の ports では、 ports/devel/cvsweb/ には FORBIDDEN マークが入っているが、 ports/devel/viewcvs/ には何もない。fix されているようには見えないが。
謝辞が [stalk:01265] にフォローされている。
これも参照かなあ: GOBBLES SECURITY ADVISORY #33 と Re: GOBBLES SECURITY ADVISORY #33。
DVDコピーツールの公開許さず——再びの判決 (ZDNet)。キビシイ。
同時多発テロ:事前に情報を得ていたと発表 米ブッシュ政権 (毎日)。 そういう意味でも「パールハーバー」なんだろうな。 [aml 27928] 転載:ブッシュは同時多発テロを事前に知っていた! も参照。
電子自治体構築を推進 高碕一郎・総務省地域情報政策室長 (毎日)。 セキュリティについても質問してくれぇ (ムンクの叫びモード) > 毎日。
プロバイダー責任法の施行は27日 総務省 (毎日)。 閣議決定されたのかなあ。
OCN TECHWEB - セキュリティ情報 というページがあるそうです。[memo:3931]
渋滞対応を迅速化 警察庁の光伝送交差点システムが稼動 (毎日)。
14 億 5000 万円だそうで。
要は N ですか?
「地震や事故が発生し
」ても切れないような超ジョーブなケーブルを使っているのかな。
裏目に出たMSの試み——対Lindows訴訟で「Windowsは一般語」再確認 (ZDNet)。 もうやめた方がいいと思うぞ > Microsoft。恥さらしなだけ。
スクウェア、PS2「ファイナルファンタジー XI」 アクセス集中により接続できないトラブルが発生 (PC Watch)。 6 月末まではβテスト期間になった、ってことなんだろうなあ。
ethereal 0.9.4 が出たそうです。 Potential security issues with Ethereal 0.9.3 が fix されたそうです。 0.9.3 以前の方は入れかえましょう。
P3Pはプライバシーを保証するものではない (ZDNet)。 ポリシーですから。
EZwebを騙る迷惑メール根絶へ〜KDDIがau.NETを修正 (ZDNet) だそうです。
Tohoku Linux Users Community 情報セキュリティ勉強会(第四回)、2002.06.01 13:00〜17:00 東北大学・川内キャンパス (宮城県仙台市)。
OpenBSD 3.1 が出たそうです。
どうするどうなる個人情報保護法案 (ゼロから練りなおしなさい)。
あと、これも関連だろうなあ:
個人情報保護法なしでの住基ネットの大幅利用拡大はイカンと公明党がゴネている、模様。 あってもイカンと思うんだが。
「Stanford 大の教授」とは
CODE — インターネットの合法・違法・プライバシー
のレッシグ氏ですね。
Creative Commons
の今後に注目しておきましょう。
We plan to launch the contributor application in Fall, 2002
だそうです。
パケット・アナライザか IDS か。
「場合によっては,導入自体が不必要なこともありうる
」
と書いてあるのは、さすが坂井さん。
ふむふむ……
厳密名を付けると、アセンブリにRSAデジタル署名が付けられる。また、マニフェストの中に、署名で使った秘密キーに対応する公開キーが埋め込まれる。そのため、あとで(実行時や導入時に)これを使って署名を検証すれば、ファイルの改ざんをチェックすることができる
すれば、ね。自動でチェックするようにできる (デフォルトでそうなっている) のかな。
……山本さんから (情報ありがとうございます):
ネットワーク上のアセンブリを実行するときには、少なくとも署名に対するチェックは入るようです。
ごく簡単な (HDD 上の画像を表示する) プログラムを作り、Web サイトやネットワークドライブに置いて、実行してみたところ、セキュリティ例外で止まってしまいました。 (IE を使ってる場合は、ダウンロードを指示しても、「実行 - 例外で停止」になってしまう。)
これを動作させるには、ユーザが、その「アセンブリを信頼する」という設定をするしかありません。そして、「信頼する」手順で、デジタル署名が付いている場合は、同じ署名の付いているアセンブリを全て信頼するかどうか、という選択肢が現れます。 これは、実行時に自動的に署名がチェックされている、ということだと思われます。
※ 本当の問題は、そこで、ファイルの改竄も本当にチェックされてるかどうかですが、そこまでは私にはわかりません。
.NET Framework の入っているマシンで「アセンブリを信頼する」操作の解説を http://nadia.kabe.to/bluewater/dotNet/tips01/ に載せてあります。ご参考までに。 ※ 「発行者証明書」とか用語がいいかげんです。すみません。 m(_`_)m
デフォルト安全側に倒れている模様ですね。 しかし、「信頼」させることさえできれば、顧客を騙すことができるようです。
PHP な豪快な例が出てます。
lukemftp, mpg321, imlib, nautilus, mozilla, fileutils, docbook-utils, apache, mod_ssl, icecast, xpilot, slrn, webalizer, tcpdump, webmin, perl-Digest-MD5, sharutils, MHonArc, sketch の fix 出てます。 詳細は Kondara MNU/Linux Errata ページを。
imap, webmin, mozilla, sudo の fix 出てます。 詳細は Turbolinux Japan Security Center ページを。
あら、Apache/1.3.14 (TurboLinux) mod_ssl/2.7.1 OpenSSL/0.9.5 PHP/4.0.3pl1 ですか?
imlib, sharutils, zlib, Mozilla, sudo, OpenLDAP, mpg321, mod_python, mpg321 fix 出ています。 Red Hat Linux 7.2 Security Advisories あたりとかを参照。
FreeBSD-SA-02:22.mmap: mmap/msync denial of service
4.5-RELEASE 以前に弱点。仮想記憶管理機構に問題があり、 特定の条件下で local user が OS を crash させることができてしまう。 回避方法はない。 対応するには、cvsup するなどして 4.5-RELEASE-p3 および 4.4-RELEASE-p10 以降に upgrade するか、 個別 patch を適用してから、kernel をつくりなおしてインストール後リブートする。
手元では最近、個別 patch は捨てて cvsup するようにしました。 個別 patch は適用に失敗することがあるし、ports/net/cvsup-mirror を使えば local mirror をかんたんにつくれたので。
Patch-ID# 112815-01 Synopsis: SunOS 5.6_x86: in.talkd has a "user format" security problem
SunOS 5.6 用: 112814-01
Patch-ID# 112669-01 Synopsis: SunOS 5.8_x86: /usr/bin/gzip patch
SunOS 5.8 用: 112668-01
「つまり現時点では、どうしても人手によるWebアプリケーションのセキュリティ維持が必要なのである
」、そしてそこには当然「スキルの差」という壁が。
「本報告書に価値があるとすれば、それは、単なる調査報告ではなく、実験の結果や成果、そして、経験に基づいて記述される点に尽きる
」だそうだが、
「あるアプリケーションでは……できなかった」「いくつかの CA では……をサポートしていなかった」などのはっきりしない態度は悲しい。
相互認証方式やブリッジ認証方式、失効証明まわりの機構などが丁寧に解説されているのはうれしいけど。
「9. 成果と将来課題」を読むと、PKI 相互運用はほんとにたいへんなんだなあと思う。参照実装がない、というのは致命的な気が。
Cisco Security Advisory: Transparent Cache Engine and Content Engine TCP Relay Vulnerability
Cisco Cache Engine / Content Engine のデフォルト設定に問題があり、 通信を意図せず中継してしまう模様。修正版に upgrade する他、次のように設定すれば回避できるという。
https destination-port allow 443
https destination-port deny all
https proxy を必要としない人には、最初の行は不要。
Cisco Security Advisory: Content Service Switch Web Management HTTP Processing Vulnerabilities
Cisco Content Service Switch (CSS) 11000 シリーズ (Arrowpoint) で動作する Cisco WebNS に弱点。 web 管理インターフェイスにおいて
XML データを投げるとこれを解釈できずに soft reset してしまう。
HTTPS で POST するとリブートしてしまう。
修正版を適用すれば回避できる。
OpenSSH 3.2.2 出ています。 (security) bug fix の他、 Privilege Separated OpenSSH の実験的サポートや OpenSC への対応などが行われているそうです。
2002.05.01 の Reading local files in Netscape 6 and Mozilla (GM#001-NS) に追記した。
[aml 27662] ATTAC京都設立集会のおしらせ、しまった、終ってるし…… (T_T)。
セキュリティ“事件”情報を提供 米国産データベース・サービスが上陸 (日経 IT Pro)。 日経オープンシステム 2002.05 の p.72 にもそれ系の記事が出てますね。
国家の報道介入を追認する個人情報保護法案の読売試案 (毎日)。 一刀両断。
Tea Room for Conference の No.822。ソフトは素直に使った方がいいですね。
それにしても、この Klez の山はいつになったらなくなるんだろう。
ヤマトそっぽで小泉大ピンチ (日経 BizTech)。 選挙で GO! 旅情編。
Windows XP ではデフォルトでルート証明書を Microsoft によって動的に管理・インストールするようです。 回避方法になるかもしれない方法が [memo:3835] に示されています。
語順が誤解を拡大しているのではないか、という指摘。 ハイテク防犯情報(第1号)〜国際電話・ダイヤルQ2への自動接続ソフトに注意〜 にある「年齢認証ダイアログ」の実例を見てから [memo:3828] を読もう。
サーバ証明書の発行ポリシーが CP/CPS に書かれていない、というのがいちばんアレゲな点かなあ。
Matt Conover 氏の文書は w00w00 on AOL Instant Messenger remote overflow #2 です。
こんにちわ、キューティー 40 分クッキングの時間です。 今日は、多くの指紋認証デバイスを騙すことができる「gummy finger」をつくってみましょう。……
関連記事: ゼラチンのニセ指でセキュリティーを突破 (CNET)
IE 5.01 SP2 / 5.5 SP1 / 5.5 SP2 / 6.0 において、新たに 5 種類の問題を修正。
ローカル HTML リソースのクロスサイト スクリプティング
IE allows universal Cross Site Scripting の件だと思うのだが、その後 GreyMagic Security Advisory Appendix GM#001-AX: Appendix to "IE allows universal Cross Site Scripting" で IE 5 / 5.5 にも問題があると指摘されているにもかかわらず、 Microsoft は IE 6.0 でのみ問題だとしている。 よって、patch 適用後も IE 5.01 SP2 / 5.5 SP[12] ではこの問題がひきつづき存在すると考えられる。 手元の IE 5.5 SP2 / Windows 2000 SP2 では patch 適用後もデモが動作すること、IE 6.0 / Windows 2000 SP2 では patch 適用後にはデモが動作しないことを確認した。
CVE: CAN-2002-0189
カスケードスタイルシートのサポートを提供する HTML オブジェクトによるローカルの情報の漏えい
Reading portions of local files in IE, depending on structure (GM#004-IE) の件。styleSheet オブジェクトの cssText プロパティを利用すると、既知パス名のローカルファイルを読むことができてしまう。
CVE: CAN-2002-0191
Cookie 内のスクリプトによる Cookie の読み取り
スクリプトを含む cookie を作ると、そのスクリプト経由で他の web サイト用の cookie を電子メールや web サーバへの送信により取得できる。
CVE: CAN-2002-0192
不正な Web ページによるゾーン偽装
ある状況において、web ページを「イントラネットゾーン」や「信頼済みサイトゾーン」に存在すると認識させることができてしまう。
CVE: CAN-2002-0190
「Content-Disposition」 の脆弱性の新しい変種
MS01-058 で解決されたはずの Content-Dispostion 問題の変種が 2 つ。 2 つのうち 1 つは SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically の件。SNS Advisory No.48 も改訂された。
CVE: CAN-2002-0193, CAN-2002-0188
patch が出ているので、なにはともあれ適用しよう。また、この patch を適用すると 制限つきサイトゾーンではフレームが使えなくなるそうだ。
Because Outlook Express 6.0, Outlook 98 and Outlook 2000 with the Outlook Email Security Update, and Outlook 2002 all read mail in the Restricted Sites zone by default, this patch, by extension, now disables frames and IFRAMES in those products by default.
In addition, customers using Outlook Express 5.0, Outlook 98 and Outlook 2000 without the Outlook Email Security Update who choose to read mail in the Restricted Sites zone will also see frames and IFRAMES disabled in those products.
Finally, any web sites that users place in the "Restricted Sites" zone will no longer be able to use frame or IFRAMES.
ウィルス対策のようで。それはそれでいいけど、「HTML メールの解釈の禁止」も Outlook Express のオプションに追加してほしいなあ。
単にウィルス対策なだけではなかった模様: IEのパッチで修正される,Outlookの“隠された”セキュリティ・ホール (日経 IT Pro)。
あまりに手抜きすぎなので、弱点の説明部分を書きなおし。
IE 5.01/5.5 に残っていた ローカル HTML リソースのクロスサイトスクリプティング問題は MS02-047 で修正された。
詳細は jbeef さんのタレコミを参照。 Opera 6.02 では修正されているそうですが、その事実を明記していない点が問題ですねえ。さっそく入れかえようかと思ったら、日本語版 Opera はまだ 6.01 までのようです。 だからフリーのOperaはスパイウェアだってば なんてフォローもされています。
Network Security Forum 2002、 2002.06.12〜13、工学院大学新宿校舎 (東京 新宿)。 6 月は別の用件のために時間を確保しなければならなそうなので、 行けそうにないなあ。6/13 の「NIRTの活動と日本における CSIRT連携について」(大野 浩之氏) とか、おもしろそうだけどなあ。 6/13 には「失敗事例に学ぶ、セキュアなWeb開発」(高木 浩光氏) もあるそうで。
N+I 2002 TOKYO、 SS1「ブロードバンド時代のセキュリティを考える 2002」 7月3日(水) 18:30-20:00。しかし同時刻に BOF「BSDなひととき」が。うーむ。困った。
とりあえず 7/3〜4 で出張スケジュール確定か?
……C30: 情報の危機管理〜セキュリティ情報とのつきあいかた〜 7月5日(金) 16:15-17:45 というのがあるそうで (高木さん情報ありがとうございます)。 しかしこれ、90 分で終るネタなのか? とてもそうは思えん……。
Microsoft TechNet - Security、デザイン変わりましたね。
PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ が更新されています。 設定ダイアログがローカライズされた、などの改良がある模様です。
postfix 1.1.10 が出ているそうです。 日刊ですか……(T_T)。 (from [installer 7282])
スゴイらしいと一部でウワサの ANTIDOTE for PC Hard Drive Data Copier / Eraser (web page では DriveMover / DriveFlash になっているみたい。名称変更?) が 第 9 回 JWNTUG ソフトウェアレビュー でレビュア募集されてます。
MDAC 2.7 がインストールされていると MS02-008 の MSXML 2.6 用 patch が適用できない、という話。 MDAC 2.6 じゃないと失敗する模様。 回避方法として、レジストリを無理矢理書きかえて MDAC 2.6 に見せかけ、インストール後レジストリを復旧する方法が述べられている。
「Office のパッチ」が取れないのはかなり痛いかもだけど、 これで少しは楽になる……かなあ。
富士通の先進先行事例、として
(14) 電子申請システム(総務省)
が紹介されています。
『本システムの受託範囲は、「認証システムの構築」「実験用オンライン共通受付システムの開発」「モデル業務による実証実験」
』(「まえがき」から)
だそうですが、このうちの
「認証システムの構築」
が
主な電子政府関連システムの受注実績
にある 10 万 5000 円の話につながっているんですかね。富士通は
『「実験用オンライン共通受付システムの開発」「モデル業務による実証実験」を担当した
』とあるので、「認証システムの構築」は富士通エフ・アイ・ピー自身が行った、のかなあ。
よくわからん。
富士通エフ・アイ・ピーという会社は、他にも 「申請・届出等手続の電子化に係るシステムの基本設計」(文科省、2001.10.12) も 2600 円で落札しているそうで (日経コンピュータ l2002.03.11)。 そういう用によく使われる会社名、なんですかね。
匿名希望さん情報ありがとうございます。 相澤さんご指摘ありがとうございます。記述を見直しました。
PHP 4.2.1 が出ています。麗美さん情報ありがとうございます。
ManHunt 2.0 が出たそうで。あいかわらずお高いようで。
[aml 27839] 放射能汚染への不安の声をくみあげて六ヶ所再処理工場の運転を阻止しよう!。 動いたら最後、まず間違いなくセラフィールド同様の半永久的な汚染が広がり、近隣の漁業は壊滅します。
どうせなら東京につくればいいのにね。都知事はこういうの好きみたいじゃん。
postfix 1.1.9 出てます。 virtual domain での user@domain@postfix-style.virtual.domain 形式ソースルーティングが禁止された、など。 逆に言えば、これまでの版では禁止されていない、ということか。 手元でも virtual domain 使ってるしなあ、要入れかえじゃのう。 やれやれ困ったもんですなあ (声: クレヨンしんちゃん)。 mirror site に出回るにはもう 1 日必要かも。 (info from [installer 7280])
第一回 PASSJ OFF Party、5/24 東京・新宿、¥2,500-。
アナウンスはされていませんが、 Netscape 6.2.3 英語版が登場しているようです。 Mac OS 8/9、Mac OS X、Windows。 日本語版もあるようです (森田さん感謝)。 Mac OS 8/9、Windows。
MS02-019 の Office 98 用 fix、 Microsoft Office 98 URL Security Updater が出ています ([memo:3885])。
NASAがネットオークションで買ったものは8086 (slashdot.jp)。 メンテナンスできなくなる前に次期システムに移行したいところですが、 予算がないとなかなかそうもいかないのはいずこも同じ。
ZDNet News、 cookie要らずの新しいスパイウェア に原文リンクがついているが、全ての記事がそうなった、というわけではないみたい。
Linux Security Auditing Tool (LSAT) というのがあるそうです。
IT Pro特集 みずほ銀行システム障害 ページができていました。
FreeBSD ports コレクション中のソフトに関するセキュリティねた。
「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する 法律第四条第一項の発信者情報を定める省令(案)」に対する意見募集にあげられているのは、氏名/名称、住所、e-mail address、IP address。
IPv6 の IPv4 compatible address (RFC1933) や 6to4 address (RFC3056) や IPv4 mapped address (RFC2553) 、 あるいはさまざまな IPv6-to-IPv4 translator を利用する上で発生することが予想される問題点と回避方法。 特定の v6 パケット+アプリケーションによって予期しない v4 トラフィックが発生したり、 v4 側の設定によって v6 側の通信が意図せずに許可されてしまったり、 v4 側での制限を回避するために v6 を利用できたりしてしまう、などの可能性があるという。
NetBSD では明示的に setsockopt しない限り IPv4 mapped address は使えず、 OpenBSD ではそもそも IPv4 mapped address がサポートされていない、そうです ([netbsd,07577])。 BSD/OS と FreeBSD はデフォルト有効だそうです (usagi-users 00284)。 FreeBSD で IPv4 mapped address を止めたい場合は sysctl で net.inet6.ip6.mapped_addr を 0 にすればよいようです (inet6(4))。
……という理解でいいのかな。不安だ。v6 使ってないし……。
梅本さんから (情報ありがとうございます):
今日のセキュリティホール memo で、FreeBSD では net.inet6.ip6.mapped_addr=0 にという記述がありますが、4.4-RELEASE 以降では NetBSD に合わせ、net.inet6.ip6.v6only=1 にすることで IPv4-mapped IPv6 address のサポートが disable されるように変更になっています。
また、/etc/rc.conf に ipv6_ipv4mapping="NO" と書いておくと、 net.inet6.ip6.v6only=1 が設定されるようになっています。
inet6(4) の記述が古いままになっていましたので、先程修正を 5-CURRENT に commit しました。4-STABLE の方は現在 4.6-RELEASE に向けて code freeze 中ですので、リリースエンジニアの許可がとれ次第 MFC する予定です。
X-Force URL の日本語版が待ちどおしいですね。
DNSHijacker, Semi-Automated DNS Hijacking Tool。 (info from kawa's memo)
PGP 6.5.8ckt の 日本語版、 PGP 6.5.8ckt 日本語版 r1 (2002/05/03) が出ています。 Daa さん情報ありがとうございます。
Sambaへの攻撃? 波紋呼ぶMSの技術文書 (ZDNet)。 どうしてこう、Open Talk 用のネタを提供してくれるかなあ。 ページ頭に出ている広告が「コストの違いを比べてください Microsft SQL Server 2000 Enterprise Edition」なのがギャグっぽい。 NT/2000 Server と samba とのコストの違いを比べてみれば……。
まあしかし、こうして攻撃されるってことは、 samba がいかに優秀かの証明でもあるってことなわけで。 そういう意味では、とてもわかりやすい会社ですね > Microsoft。
いまごろになって Windows 2000 World 2002.06 の「WindowsXPの標準機能で実現するセキュア無線LAN」 を読んでいるのですが、すごくいい記事ですね。 Windows じゃない人にも文句なくおすすめします。
penetration technique research site に「改ざんされたサイトのOpenPort(TCP)ランキング(2002.04.01-30)」が出ています。Windows より Linux の方が多いです。
Mozilla 1.0 RC2 出てます。 Reading local files in Netscape 6 and Mozilla (GM#001-NS) 問題 fix されている模様。
JWNTUG ソフトウェアレビュー で SSH SecureShell for Workstations/Windows Servers 3.1 のレビュアを募集してますね。
ラーゼフォン第 12 楽章見逃がした……。痛い。
Linux - FreeBSD の IPSec 接続を X.509 証明書を利用して行う方法。
2002.05.10 の MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022) に追記した。 CERT Advisory 登場。
その「IC カード」ですが、電子政府によるバックドアがないって保証はどこかにあるんですかね。 暗証はしょせん 4 桁の数字でしかないらしいですが、x 回連続で間違えたら IC カード自体がコワれるとかになっているんですかね。 そうしたところでたいていは「誕生日」だろうから意味なさげという意見もあるでしょうが。
ネット関連の苦情・相談が急増、前年度の3倍に 総務省 (毎日)。 国際電話ものはあいかわらず多いみたい。
tcsh最新版配布ページ から tcsh-6.11.01 が公開されているそうです。 2002.01.31 の echo $020129163642 問題が解決されているそうです。 (info from [installer 7269])
OpenSSL 0.9.6d 出たそうです。 (info from [installer 7275])
手元で SpamAssasin を仕掛けてみたが、まじめに日本語対応してあげないとダメっぽい。 とりあえず試用を中止。
Sophos Anti-Virus for UNIX Linux 用の nosrc.rpm と IDE ファイル自動更新ツール idesup。吉村さん情報ありがとうございます。
全リリースの Cisco IOS に弱点。 ntpd =< 4.0.99k remote buffer overflow の話で、CISCO IOS 11.x にも問題がある と指摘された件については再現できなかったものの、 潜在的な問題点が存在し、 特定の条件で IOS を crash させることができるという。
ACL を設定することにより回避できる。 対策版の IOS に upgrade することにより対応できる。
MSN チャットで用いる MSN Chat Control (ActiveX コントロール) に弱点。 バッファオーバーフローするため、悪意ある web ページや HTML メールにより、攻撃者がユーザコンピュータ上で任意のコマンドを実行できる。MSN Chat Control は MSN チャットを利用したことのあるユーザがインストールしている他、MSN Messenger 4.5 / 4.6、Microsoft Exchange Instant Messenger 4.5 / 4.6 にも含まれているので注意されたい。 参照: ADVISORY: MSN Messenger OCX Buffer Overflow。
修正プログラムがあるので適用すればよい。
CERT Advisory CA-2002-13 Buffer Overflow in Microsoft's MSN Chat ActiveX Control (LAC 邦訳版)。
すでに MS02-022 英語版は更新されていたが、遅ればせながら日本語版も更新された: MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022) 。MSN チャット コントロールや MSN Messenger、Exchange Instant Messenger のアップデート版が登場しているので、利用者は入れかえよう。
SecurityFocus.com Newsletter 第 142 号日本語版 (テキスト)。
SecurityFocus.com Newsletter 第 141 号日本語版 (テキスト)。
総務省の電子申請・届出システム (体験システムを含む) にも利用されている、 富士通の INTERSTAGE FormCoordinator V4.0L10 / V4.0L20 / V4.0L20A (Windows NT/2000)、 INTERSTAGE FormCoordinator デザイナ V4.0L10 / V4.0L20 / V4.0L20A (Windows 98/Me/XP/NT/2000)、 INTERSTAGE FormCoordinator 4.1 / 4.1.1 (Solaris 2.6/7/8) に弱点。クライアント側で利用する「部品」(Java アプレット) に問題があり、悪意ある web ページによるファイルの取得やファイルの破壊が可能になるという。
回避するには、問題のある「部品」を削除する。また対応するには、問題のある「部品」を更新する。対応版は security@soft.fujitsu.com に連絡しないと取得できないようだ。 どちらの場合も、利用者自身による対応が必要だ。
総務省の電子申請・届出システム (体験システムを含む) 利用者については、 電子申請・届出システム又は電子申請・届出システム(体験システム)をご利用された方へ のページで削除方法と更新方法が解説されている。 が、IE / Netscape のデフォルト状態に依存した記述がされているようなので、 デフォルトではない状態の IE / Netscape を利用している場合は意図を読み取って対応されたい。
総務省方面な観点からの関連記事:
なんだかよくわからない。
ネットの「電子政府」体験版に欠陥 問題点は解消 (asahi.com)
体験版だけではなく本番用にも同じ問題があるのだが。 「今月4日になって判明した」は asahi.com の独自取材?
総務省が電子申請・届出システムのセキュリティー強化 (日本工業新聞)
「部品」にセキュリティ問題が発生していたことは記載されていない。
総務省電子申請・届出システム等のセキュリティ対策等 〜 運用開始後1か月に伴うシステムの見直し 〜 (総務省)
「部品」の件が 3 番目で、セキュリティ問題の重大性も記載されてないってのは……。
総務省の電子申請・届出システム、問題残して再開 (slashdot.jp)
あと、オンラインにはないみたいですが、
日本経済新聞 5/9 朝刊に詳しい記事が出ていました。
「第三者の専門家からの指摘で判明
」だそうです。
日経の記事では、専門家からの指摘によりシステム停止・調査が行われたように読めます。asahi.com の「今月4日になって判明した」とは矛盾するんですよね。
[memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点 も参照。関連事項を追記しました。
旅の窓口 にいくつかのクロスサイトスクリプティング問題があったという指摘。 すでに修正されているという。
またこれとは別に、他の会員の個人情報を変更できてしまう問題、 cookie 情報における ID の「暗号化」が稚拙であった問題があったと指摘されている ([memo:3863])。 こちらについても、すでに修正されているという。
旅の窓口は、問題指摘後の対応は早いようだが、 会員への情報公開は全く行われていないようだ。
中小企業については別途アンケートを取るのだそうです。
関連記事。報道の仕方が微妙に違っていて興味深い。
総務省、セキュリティー対策の状況調査結果を発表 〜不正侵入検知や暗号化対策においては米国よりかなり低水準 (INTERNET Watch)
病院の“ウイルス対策”が未整備? ——総務省 (ZDNet)
地方公共団体のセキュリティ・ポリシー策定率は民間企業の半分以下 (japan.internet.com)
話のつづきが Tea Room for Conference No.813 にあります。
この話の観点から e-Japan 重点計画 2002 (案) の 5. (4) まる1 の ア) 「情報セキュリティポリシーの実効性の確保」 (5-4 ページ) を読むと、なかなか寒いものがあります。
ISS セキュリティアラート、日本語版があるそうです: アンダーグラウンドのファイル共有ネットワークに関連したハッキングの増加。Layer9 さん情報ありがとうございます。
不正なネットワーク リクエストにより Office v. X for Mac が異常終了する (MS02-002) 問題を Mac OS X 付属のパケットフィルタ ipfw によって回避する方法。
例えば「Outlook Express」は、公開鍵認証基盤 (PKI: Public Key Infrastructure) を利用した暗号化、電子署名が利用できますが、GPKIで利用されるブリッジ認証方式、証明書のオンライン検証などには未対応であるという問題を抱えています
点が S/Goma OE により解決されるようです。
ところで、GPKI 自身では、「GPKI 対応ソフトウェア」が本当に GPKI に対応しているかどうかを検証する体制とか、あったりするんだろうか。 まあ、自分達でさえアレゲな状況のようだから、あったとしてもまたアレゲかもなのだけれど。
ベネズエラとアメリカ (田中宇の国際ニュース解説)。
Large scale MSSQL scans (incidents.org) とか Increased Hacking Activity Associated with Underground File-Sharing Networks (ISS) というのがあるようで。
自民PRチーム 個人情報保護法案で城山三郎氏らを中傷 (毎日)。 すばらしい政党のすばらしい議員諸君。いやあ、ご立派ですなあ (クレヨンしんちゃんの声で)。
MDaemon 5.0.5.0 に複数の弱点。 MDaemon に含まれる WorldClient (web メール機能) において、
デフォルトパスワードつきのデフォルトユーザが存在する
パスワードファイルの暗号化アルゴリズムが弱い
バッファオーバーフローするため、remote から攻撃コードを実行可能
添付ファイル名を操作することにより、WorldClient と同じドライブ上にあるファイルを削除できる
MDaemon 5.0.6 で修正されている。
ISC DHCPD 3.0〜3.0.1rc8 に弱点。 NSUPDATE の応答メッセージを記録する処理に format バグがあり、これを悪用すると remote から dhcpd 動作権限 (通常 root) で攻撃コードを実行できる。 patch が示されている他、 ISC DHCPD 3.0pl1 および 3.0.1rc9 で修正されている。
関連: [NGSEC-2002-2] ISC DHCPDv3, remote root compromise
LAC 邦訳版: CERT Advisory CA-2002-12 Format String Vulnerability in ISC DHCPD
Webmin 0.960、Usermin 0.90 に 2 つの弱点。
SNS Advisory No.53: Webmin/Usermin Session ID Spoofing Vulnerability
特定の状況において、任意のセッション ID とユーザの組み合わせがログイン済みだと Webmin / Usermin に認識させることができてしまう。
SNS Advisory No.52: Webmin/Usermin Cross-site Scripting Vulnerability
クロスサイトスクリプティング問題がある。
Webmin 0.970、Usermin 0.910 で修正されている。
「延長フェーズ突入後は、セキュリティ fix も有償になるんだろうか」という点が、どうもはっきりしない。
大規模組織ならともかく、個人や SOHO 環境で「プレミアサポート ウン百万円」ってのはあり得ないだろうし。
Windows NT Server 4.0 の製品販売期間と製品サポート期間に関するガイドラインについて
には
「セキュリティフィックスは当面の間引き続き無償にてすべてのお客様に提供してゆく予定です
」
とあるのだが、「当面の間」がいつまでなのか、とか、デスクトップ OS についてはどうなるのか、とか、わからないことがいっぱい。
[vine-users:050192] updatedb for ntfs、 VineLinux2.5 2.4.18-0vl3 で NTFS を mount していると updatedb 実行時にフリーズするという指摘。
JP309816: [HOW TO] Windows 2000 で Internet Explorer の FTP を PORT モードと PASV モードの両方を使用するように構成する方法 。
Tripwire for Servers 3.0 と Tripwire Manager 3.0 が 5/20 に登場するんだそうで。 プレスリリース。
solution 3978:
製品: ServerProtect Ver5
タイトル: 検索エンジン(vsapi.nlm)ver.6.150問題についての問題 (トレンドマイクロ)。検索エンジンをバージョン5.600にロールバック
する必要があるんだそうで。
Postfix 1.1.8 出たそうです。
昨日の TBS ニュース 23 で、セラフィールド再処理工場による海洋汚染な話をやってましたね。興味のある方は 美浜の会ホームページ あたりからはじめるのがよろしいかと。 六ヶ所再処理工場が稼働すれば、セラフィールドと同様の事態が周辺に発生するのは必至です。
MS02-006: SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される の Windows 98, 98SE 用 patch が登場したそうです。
龍大のネットワークが 5/3 12:05 から 5/7 11:30 (?) まで落ちていたのですが、 これに関連して、memo ML の配送がおもいっきり遅延してるっぽいです。 今晩中にはなんとかなる……と思うんだけど……。
非力な gateway server に負荷をかけすぎてしまった私のミスなんです。 ごめん。 うーん、power up せねばならんが、そのための予算は確保してないし……。
A Buffer Overflow Study: Attacks & Defenses (PDF 版) という資料があるんだそうです。
マイクロソフトの CIFS 仕様ライセンスで、Samba チームが声明 (japan.internet.com)。 オリジナル: CIFS, Microsoft and the Samba Team (samba.org)。 (info from [samba-jp:12749])。
apache 2.0.36 が出たそうです。
米アップルが「Mac OS X」の次期版「Jaguar」をプレビュー (日経 IT Pro)。
FreeBSD 4.4 と同等になり、IPv6 や IPSec も使える模様。
ふつうの Mac OS X ユーザには「ハードウエアでアクセラレートされた「Quartz」グラフィックス描画エンジン
」
がいちばんうれしいかな。
というか、次期版でそんなことを自慢するような製品を売るなよ。
iMac (flatpanel) で DVD 観るとときどきコマ落ちする問題
(シャレにならん) も解決するかなあ。
……しろやまさんから (ありがとうございます):
今回発表されたのは「Quartz Extream」という新しい技術で、確かにこれは「ハードウェアによるレンダリング」をウリとしてますが、それ自身が売りなのではなく、「OpenGL(3D), Video, 2Dを一緒くたに一気に扱う」というのがポイントです。
例えば、現状の Mac OS Xですと、DVDPlayerを真ん中あたりで再生させキーボードから音量や輝度を変えると、本来半透明で表示されるはずの音量や輝度の表示が灰色になってしまいます。これは、Video と2Dがそれぞれ別処理なので重ね合わせで透明度をうまく処理できないためです。(たんにビットマップを張り合わせているだけ) Quartz Extreamが有効になると、全て OpenGLのパイプラインに突っ込まれまして一気に処理が行われ、透明度を保ったまま美しく重ね合わせがなされます。このOpenGLのパイプラインで、グラフィックカードの OpenGLアクセラレータなどが有効利用されるという訳です。
デモでは、「Cocoaで実装は1週間、考え出してからなら二週間」というアプリで「背景、複数のQuickTimeの映像、OpenGLで作ったオブジェクト」を重ね合わせて、映画の1シーンのような場面を作り出しておりました。透明度や色合いを考慮した重ね合わせ処理が OS側でできるので、アプリはオブジェクトを乗っければいいだけという感じでした。(iMovieの様なアプリが作りやすくなりますね。)
つまり、「これまでの画像処理が遅いから、アクセラレータ使いました」という考え方ではなく「より高度な処理ができるようになりました。その中でアクセラレータを有効活用するようにしました」という感じです。
# もちろん、Extream対応機種なら、通常処理もより高速に行われる
# 事かとは思いますが...
ただし、これが有効なのは「Rage128以降, AGPx2, 32MVRAM」という条件が付きます。したがって、旧機種はほぼ全て恩恵を受けることができません。
# 使えるのはほぼ最新のPowerMac, iMac, 二代目以降のPBG4等
# という感じです。
この条件はわざわざJobsも「誤解を受けているので...了承してくれ」っと(かのJobsが)詫びるような姿勢をとりつつ話しておりました。
現場に立ち会った側としては、(Xを「十」とか「エックス」とか訳してくれる同時翻訳経由ですら) QuartzExtream の意味は明白で、リンク先の日経の記事はいかがなものか(笑)という感じです。
うーむ。Mac OS の「最新機種移行圧力」は Windows 以上か?! (笑)
チェック・ポイント,FireWall-1用のIDSモジュールを2002年第3四半期に提供 (日経 IT Pro)。
SmartDefenseが検知するのは「深刻な攻撃に限られる」
んだそうで。
Red Hat Linux 7.3リリース (slashdot.jp) だそうで。
イージス艦派遣、海幕が米軍に裏工作 対日要請を促す (asahi.com)。 姑息ですねえ。
hotmail の「[サインアウト] をクリックするまで、すべての .NET Passport 対応サイトにサインインしたままにする
」オプションを使う場合、
cookie の有効期間がとっても長くなるようなので、
cookie を盗まれるととてもヤバイという話。
もちろん、このオプションを使わなくても
cookie を盗まれるととてもヤバイのだけど、このオプションが有効の場合はヤバさが半端じゃない模様。
きちんと動いてさえくれれば便利なんですが……。 それにしても、XP ではそんなに頻繁に出るんですか? (いいかげん、XP を試さないとイカンな……)
Macromedia Flash ActiveX OCX Version 6, revision 23 (たぶんそれ以前も) に弱点。 buffer overflow する弱点があるため、悪意ある web ページや HTML メールにより、攻撃者がユーザコンピュータ上で任意のコマンドを実行できる。 最新の Flash で修正されているので入れかえる。 手元で入れてみたら 6.0 r29 (6.0.29.0) になった。
ISS X-Force の脆弱性データベースを日本語化し、無償で公開するという話。 個人的には緊急アラートを最優先してほしいような気が。
V-STAF Database 公開されています。
Solaris 2.5.1, 2.6, 7, 8 の cachefsd に弱点。 buffer overflow する弱点があり、remote から cachefsd 動作権限を取得される。 既に exploit が出回っている模様。 もうちょっと詳しい記事: [LSD] Solaris cachefsd remote buffer overflow vulnerability 。
patch はまだないので、/etc/inetd.conf の
100235/1 tli rpc/tcp wait root /usr/lib/fs/cachefs/cachefsd cachefsd
をコメントアウト (行頭に # をつける) してから inetd に HUP シグナルを送る。 その後、動作中の cachefsd を kill する。 VU#635811: Sun Solaris cachefsd vulnerable to heap overflow in cfsd_calloc() function via long string of characters も参照。
LAC 邦訳版: CERT Advisory CA-2002-11 Heap Overflow in Cachefs Daemon (cachefsd)
人類初の世界一周は中国人? (田中宇の国際ニュース解説)。 マゼランが来た!
ジェニン調査団の解散検討 アナン氏、安保理に伝える (asahi.com)、 なんなんだこの状況は。 [aml 27641] 5月1日付けパレスチナ続報ならびに各種のご案内、 「シャロンの真の狙い」必読。 [aml 27638] ジェニン虐殺の国際監視団受け入れに対する署名のお願い、 署名サイトは Jenin--Forget you not--。
bind 9.2.1 が出ています。
2002.05.01 の Reading local files in Netscape 6 and Mozilla (GM#001-NS) に追記した。その後の状況。
Solaris 2.5.1, 2.6, 7, 8 の rpc.rwalld に弱点。 format バグがあり、remote から rpc.rwalld 動作権限 (ふつう root) を奪取できる。 patch はまだないので、/etc/inetd.conf の rpc.rwalld の項をコメントアウトし、 inetd を再起動することによって回避する。
LAC 邦訳版: CERT Advisory CA-2002-10 Format String Vulnerability in rpc.rwalld
[memo:3821] Re: Klez の From と Envelope-From、 うーむ。そうなのか。
UNIX (Mac OS X 含む), Windows で動く packet sniffer GreedyDog 2.3-Release が出ています。 もうβではありません。(^^)
[aml 27585] 「脱ゴーマニズム裁判」ほぼ完全勝訴のお知らせ。 マンガの引用は ok。ただし「同一性保持違反」と取られることがあるので「分割引用」にはご注意。
「将来の脅威よりも,現状の脅威への対処を適切に」——セキュリティ専門家が警告 (日経 IT Pro)。このタイトルは、「SANS 顧問委員が警告」では通じない、という認識かなあ。
ペースメーカーの誤作動めぐり勉強会開催へ (毎日)。 5/5、千葉県・我孫子市民プラザ、¥1,000-。
「電子申請・届出システム」を一時休止 総務省 (毎日)。 5/7 の再開時に何が変わっているかに期待でしょうか。
IRIX 方面、いろいろ出てます。
Klez,感染率でSirCam,Nimdaを超える (ZDNet)。いまだに来ますねえ。
[aml 27468] 4月24日付けパレスチナ続報ならびに各種のご案内、 [aml 27617] 4月30日付けパレスチナ続報ならびに各種のご案内。 あいかわらずのようです。 [aml 27450] アムネスティ発表:ジェニンでの予備的調査 (4/22)。 国連調査団はいまだに入れていないようですし。
130万ものポストカードがブレアに近づいている。スゲェ。 (link 修正: マサキさん感謝)
■■コラム■■ 戦場とデジカメ (毎日)。 MIL spec なデジカメ? 耐水はありそうだけど、耐衝撃や灼熱・極寒はどうだろう。
ISS RealSecure Network Sensor 5.x, 6.0, 6.5 に弱点。 remote 攻撃者が特殊な DHCP パケットを投げると、RealSecure Network Sensor が crash してしまい、DoS 攻撃が成立。 回避するには、パケットフィルタなどで UDP/67 (DHCP) をフィルタする。 対応するには、RealSecure X-Press Update 4.3 により修正されるので、これを適用する。
OpenSSH 3.2.1 より前の sshd に弱点。 AFS サポートが有効な場合、あるいは KerberosTgtPassing か AFSTokenPassing が sshd_config で有効になっている場合に、バッファオーバーフローのために local (OpenSSH 3.2.1 より前) あるいは remote (OpenSSH 2.9.9 より前) から root 権限を得られる。 AFS / Kerberos が無効の場合には問題がない。
patch があるので適用すればよい。
Outlook 2000 / 2002 で、WordMail を利用している場合に、 forward / reply するときに、メールに含まれたスクリプトを実行させることができる。 More Office XP problems (Version 2.0) の fix で、patch も出ています。 CVE の CAN-2002-1056 にも Guninski さんの文書がリンクされてるし。
mozilla 0.9.7 以降、Netscape 6.1 以降に弱点。 XMLHTTP 実装に問題があり、XMLHTTP コントロールにより、ローカルファイルにアクセスすることができる (MS02-008) と同様の弱点が発生、悪意ある web サイトが local file を取得できるという。 http://security.greymagic.com/adv/gm001-ns/ にデモがある。 手元の mozilla 0.9.9 on FreeBSD 4.4-RELEASE でも見事に成功してしまった。
さらに、RE: Reading local files in Netscape 6 and Mozilla (GM#001-NS) では IRC:// URL での #channel の処理に buffer overflow があったり、 <link rel="stylesheet" href="r.asp?r=file://file" /> のようにリダイレクトを使うことでローカルファイルの存在を確認できてしまうことが示されている。 http://jscript.dk/2002/4/moz1rc1tests/ircbufferoverrun.html と http://jscript.dk/2002/4/NS6Tests/LinkLocalFileDetect.asp にデモがある。
関連記事: Netscape/Mozillaにローカルファイル読みとりの脆弱性 (slashdot.jp)。修正中らしい。 Bug 141061 XMLHttpRequest allows reading of local files も参照。
石川さんちの 2002.05.01 の 1. に Mac OS X 版の Mozilla 0.9.9+ でのテスト結果が出ています。
石川さんちにさらに追加されており、 2002.05.02 の 1. で Mac OS 9.2.2 での状況が、 2002.05.02 の 2. で mozilla trunk daily builds の状況が、フォローされています。 最新ソースでは直っているようです。 slashdot.jp でみかける「RC2」というのも daily builds のことなのかな。
関連記事: NetscapeとMozillaにセキュリティーホール発覚 (INTERNET Watch)。
UPDATE (1-May-2002): Reading local files in Netscape 6 and Mozilla (GM#001-NS)。 既知パス名のファイルだけでなく、ディレクトリ情報までが取得できてしまうという。 えらいこっちゃ。 いちおう書いておくと、回避するには JavaScript を無効にすればいいです。
Mozilla trunk daily builds の他、 FreeBSD の最新 ports (mozilla-1.0.rc1_1,1) では修正されているので、 入れかえられる人は入れかえよう。 IRC:// overflow はまだ fix されてないみたい。
Mozilla 1.0 RC2 出てます。 fix されている模様。
Netscape 6.2.3 英語版が登場しているようです。 Mac OS 8/9、Mac OS X、Windows。 日本語版もあるようです (森田さん感謝)。 Mac OS 8/9、 Mac OS X、 Windows。 Netscape Security Center の記述はまだ更新されていません。
Linux 各ディストリビュータから mozilla パッケージ出てます:
FreeBSD の ports も 1.0rc2 になりました。
また、slashdot.jp にこんな指摘がありました: すくなくとも Windows 版はそのままではだめです。 Netscape 6.2.3 の Windows 版に添付されている Flash や Winamp が古いままだという指摘。注意しましょう。
2002.04.17 の MS02-019: Internet Explorer for Mac および Office for Mac の未チェックのバッファによってコードが実行される(Q321309) に追記した。 Outlook Express 5.0.4 for Mac と Entourage 2001/v.X for Mac, PowerPoint 2001/v.X for Mac, Excel 2001/v.X for Mac 用の修正プログラムが登場。PowerPoint 98 for Mac 用はまだ。
MBSA 2.0 にならないと日本語対応にならないしなあ。
qpopper 4.0.[34] で -u オプション使用時に、~/.qpopper-options の解釈で buffer overflow が発生するという指摘。 detail。
WarDriving ツール NetStumbler の紹介。河端氏は
今、現在、無線LAN を導入する予定があるかないかにかかわらず、 NetStumbler などの無線 LAN 利用状況監視ソフトを利用できる環境はセキュリティ対策予算として、早急に検討したほうがいいと思われます
と指摘している。note PC 買わナイト。