Last modified: Sun Aug 18 22:37:28 2013 +0900 (JST)
各セキュリティベンダー、Blasterウイルス対策CD-ROMを55,000枚用意 〜東京の量販店では開店前に長蛇の列 (INTERNET Watch)。
当初20万枚の配布を予定していると発表したマイクロソフトでは、「20万本の配分については検討中」としている。
RAV AntiVirus のパワーを利用して……という筋書きは、今はまだ無理なのかなあ。
大学新入生に個人情報を保護することの大切さを教えるゲーム (WIRED NEWS)。おもしろそう。
[PRB] ウイルス対策ソフトウェアが原因で IIS が突然停止することがある (Microsoft)。ウィルス定義ファイル 4265 以前、な話をいまごろされても、ねぇ……。賞味期限切れすぎ。
米でBlasterの亜種を作成、流布した18歳の容疑者逮捕 (INTERNET Watch)。おおもとの MINNEAPOLIS, MINNESOTA MAN ARRESTED FOR DEVELOPING AND RELEASING B VARIANT OF BLASTER COMPUTER WORM (usdoj.gov) と、さらにおおもとの http://www.usdoj.gov/usao/waw/press_room/2003/aug/pdf_files/blaster.pdf も参照。最後の PDF 文書は読みものとして読んでも興味深いと思います。
[セキュリティ]お勉強 (ハニーポッターの部屋)。 山崎氏は、いろいろな意味でアクティブなお方のようですね。
結局、一番問題だったのは、世間一般のセキュリティの考えとセキュリティ技術者が考えるところのギャップを最後まで埋められなかったこと。
競技内容が事前に煮詰められていなかった → プレスリリースに盛り込みきれなかった → ただでさえ勘違いしがちな一部マスメディア (aka 朝日新聞) の勘違いを防げなかった、という感じなのかなあ。 「はじめに高校生ありき」の主催側もまた勘違いだろうとは思うけど。
平成 15 年度「防災の日」総合防災訓練について (防災情報のページ)。自衛隊・消防・警察の連携具合って、最近はマシになってきているんだろうか……。いろいろな状況に対処する意味でも、連携できてくれないと困りますよね。
そうそう、8/28 と 8/29 は、このページの更新はありません。 明日は Windows Update の日だけど、だいじょうぶかなあ……。
だめだ……つながらないよ > はてな。 ……あ、つながった。
シャトルねた:
FBI、ウイルス作者の追及に「自信あり」 (ZDNet)。
株式会社シマンテック、ネットワーク侵入防止機能を強化した Symantec ManHunt 3.0を発表 (シマンテック)。
プロトコル異常検知機能は、新種の脅威や既存の脅威の変種、ポリモーフィック型の脅威などの識別と対応を可能にするもので、通信データの構造と内容に注目することにより、未知の攻撃や新種の攻撃の検出を実現しています。近年の脅威は、HTTP、FTP、RPC、SMTP、DNSといったアプリケーション・プロトコルを狙うものが少なくありません。Symantec ManHuntはプロトコルの規範ルールに基づき、想定外のデータ、余分な文字、無効な文字、バッファ・オーバーフローを起こし得る状態といった、プロトコルに違反するトラフィックを識別します。この種の攻撃はシグネチャだけに基づいた侵入検知方式では検知できませんが、Symantec ManHuntならプロトコル異常として検出してレポートしますので、新種の脅威にも余裕を持って対応できます。
SecurIT の URL が http://securit.gtrc.aist.go.jp/ に変更されたそうです。高木さん情報ありがとうございます。
「邪悪な文章」を書いたことで処分される生徒たちが続出 (WIRED NEWS)。唖然……。
白田秀彰の「インターネットの法と慣習」 第3回 自力救済と紛争解決、 第4回 名誉と自力救済、そして法。 匿名を多用するのは、個人的には好きになれない。 が、古来から「ペンネーム」というものはあったわけで。
Visual Basic スクリプトを使用してリモート ホスト コンピュータにセキュリティ修正プログラム 823980 (MS03-026) をインストールする方法 (Microsoft)。
相次ぐソフト脆弱性で浮上するメーカーの責任問題 (ZDNet)。
トレンドマイクロ、ISP会員向けWebフィルタリングソフトを発売 (INTERNET Watch)。
米Symantec、「Norton AntiVirus 2004」発表〜スパイウェアにも対応 (INTERNET Watch)。NAV 2004 では Blaster をちゃんと削除できるようになるんだろうか。
米軍の裏金と永遠のテロ戦争 (tanakanews.com)。 1 兆ドルですか……。帝国は強いわけだ。
州最高裁裁定:DVDの暗号解読コードは言論の自由の対象外 (WIRED NEWS)。 全員一致ですか……。帝国は強いわけだ。
OSSTMM - Open Source Security Testing Methodology Manual。 一部、INCOMPLETE って書かれてるなあ。
JSOC レポート (LAC) というページがあるんですね。西村さん情報ありがとうございます。
2003-09-04: 第4回 LBIセミナー - セキュリティ市場と技術の動向、 2003.09.04、東京都港区、¥2,000-。
正式告知: WindowsNTをご利用のユーザー様へ重要なお知らせ (viruschaser.jp)。Windows NT 4.0 + NTFS の場合にのみ問題が発生する模様。
この度、ファイルシステムがNTFSのWindowsNT4.0環境の一部のネットワークドライバとウイルスチェイサーの最新バージョン(C464V1467以上)に競合問題が発生する可能性が確認されました。
であるなら最新でないバージョンへダウングレードすれば回避できるような気がするのだが、なぜそれを実施できないのだろう。 Windows がクラッシュする原因の半分はアンチウィルスソフトとの競合だそうなので、こういう話は珍しいわけはないと思うのだが。
関連: ウイルス対策ソフト「ウイルスチェイサー」のバックアップソフト添付版 (INTERNET Watch)。マッチポンプのつもりはなかったのだろうが、このタイミングは……。
Windows NT Embedded / XP Embedded に対応した Blaster ワーム情報。
relays.osirusoft.com さんはおもいっきり壊れているようです。 その結果、relays.osirusoft.com を参照して spam 対策をしていた人は、 予期しない結果を得る場合が多々ある (あらゆる mail の受信を拒否してしまう、など) ようです。各地の ML において、relays.osirusoft.com を参照しているためとおぼしき受信拒否が観測されている模様です。
対策としては、relays.osirusoft.com さんの参照を停止すればよいようです。
関連: The Osirusoft DNSBL is quite broken、 [port139ml:03992] ぶらっくりすと、 http://relays.osirusoft.com/。
匿名希望さん情報ありがとうございます。
「IC カード対応と同時に、そちらについても対応を進めています」ならまだ話はわかるのだが、そういうわけでもなさそうですね。うーむ……。
認識が甘いのはカード会社ばかりではない。インターネット・プロバイダや電話会社なども,料金の明細書に,引き落とし口座番号の数字すべてを印字しているところが多い。これも,すぐさま“バッテン表示”に変えてほしいところだ。
ねぇ > cbook24.com。「お支払い方法がクレジットカードの場合は「カード番号」が印刷されますので保管する際には十分にご注意ください」なんて表示する前に、やるべきことがあると思うのですけど。
こういった意見に対して、総務省の馬返理事官は「住基ネットのセキュリティには十分注意している。全国の地方自治体のシステム担当者や住民基本台帳の管理業務担当者などを対象としたセキュリティ説明会を開催するなどの対策も進めている」と話す。
その結果が、たとえば 住民基本台帳カードをゲット に示された状況ですからね。総務省は、あれだけ長野県が騒いだにもかかわらず、今だに現場を理解できていないということなのでしょう。
関連: 本格稼働の住基ネット 参加は選択制にすべきだ (毎日)。
sendmail 8.12.0〜8.12.8 に欠陥。 FEATURE(`enhdnsbl') を利用している場合に、領域がきちんと初期化されない。 これを悪用すると、sendmail に対する DoS 攻撃が可能である他、任意のコードの実行が可能かもしれない (実際に可能かどうかは、わかっていないようだ)。 FEATURE(`enhdnsbl') を利用していない場合にはこの問題はない。
sendmail 8.12.9 で修正されている他、patch が公開されている。
FreeBSD: ANNOUNCE: [FreeBSD-Announce] FreeBSD Security Advisory FreeBSD-SA-03:11.sendmail。 FreeBSD 4.6〜4.8, 5.0-RELEASE に影響。 FreeBSD 5.1-RELEASE にはこの問題はない。
OpenBSD: OpenBSD Information for VU#993452。 OpenBSD 3.2 に問題があり、3.3 にはこの問題はない。
Sobig.Fに「7つの謎のURL」が発見される〜根絶まで警戒が必要 (INTERNET Watch)。
Slammer worm crashed Ohio nuke plant network (securityfocus.com)。
[aml 35403] 元スイス大使村田光平さんからの書簡 「原子力のタブーを打破しよう」。
[pml-security,00902] ブラスタ対策の IPSEC ポリシィを設定するツール : MS03-026 IPSec Mitigation Tools。
https://www.microsoft.com/ 証明書話ですが、対策が取られつつあるようです。
ISSKK Weekly SOC Report (ISSKK)。
X-Forceをはじめとして、数社から、日本時間の2003/8/23 04:00 から、Sobigがなんらかのプログラムをダウンロードするとのアラートが出されました。
弊社でも動向を見ておりましたが、表面的には何事もなかったように見受けられます。
しかしながら、この件については、情報・見解が錯綜しており、実際には何が起きたのかについて、はっきりしたことはわかっていない状況と考えています。
OpenBSD: OS Fingerprinting Merged Into PF (kerneltrap.org)。おもしろそうですね。
Opinion:Windows UpdateがUpdateの必要に迫られている理由 (ZDNet)。ダラダラと書かれているが、まとめると、こういうことかな:
最初の 2 つについては大いに同意するのだが、David Berlind 氏が指摘している観点については、 Windows Update がどうこうという話では必ずしもないと思うし。 もちろん Windows Update はいろいろとダメなのですけれど。 また最後のものは、David Berlind 氏がわかってないだけでしょう。 「重要な更新とService Pack」には DirectX 用の patch があったはずだから。
“踏み台”にされた企業に賠償責任? (日経 IT Pro)。
PHP 4.3.3 が出たそうです。
bsdsar というツールがあるんですね。
田中宇の国際情勢ウェブログ 「カダフィ恩赦の裏に均衡戦略?」。カダフィ氏って、いまでも大佐なのかなあ。
Server Exploit Vulnerability (real.com)
Helix Universal Server 9、RealSystem Server 8、RealSystem Server 7、 RealServer G2 に、外部から root を取得できてしまう欠陥がある、という話。 回避策として、サーバの /Plugins ディレクトリから vsrcplin.so (Windows の場合は vsrcplin.dll) の削除、が挙げられている。
関連: [Dailydave] Real security information is hard to come by、 [Full-Disclosure] Re: RealServer bugs + Exploit。
fix 登場: View Source プラグインの脆弱性の解決 (jp.real.com)。 ただし Helix Universal Server 9.0 用のみ。他については patch の提供予定はないようだ。
0061-01 [Oracle]Oracle9i Database Server XML Database の潜在的なセキュリティの脆弱性 (CTC)
TRUSTeの特徴は,認証後のチェック体制と苦情処理の方法にある。TRUSTeの実施母体である日本技術者連盟は,ライセンスを提供した企業のサイトを3カ月に1回チェックしている。「疑い深い利用者の視点で,個人データの収集などが適切に行われているかどうかを判断している」(日本技術者連盟高橋氏)。
結局は、調査者のスキルに依存する、ということなのかなあ……。
Kismet や AirSnort を 802.11a/802.11g で使える模様。 いいかげん手元でも、Kismet や AirSnort で遊んでみないとだめかなあ。
802.11PLANET Conference & Expo Japan 2003 なんてイベントもあるそうですが……。
住基ネットの第2次サービスが開始 (INTERNET Watch) だそうだが、 そこにつながっているものの一例。いやはや、これほど無造作に設置されているとは。 こんなふうに設置するような人達なら、TAP したりしても誰も気がつかないのでは。 こういう状況を、総務省用語で「万全のセキュリティ」と言うんですね。
まあ、そんな危ない橋を渡らなくても TEMPEST すれば一発なんだろうけど……。
「インストール時の注意」話の部分における、私の現状認識を明確化した。 青木さんの情報からも、この認識でいいように思える。 hide さん、大津さん、みねきちさん、青木さん情報ありがとうございます。
[port139ml:03920] Re: Blaster ワームの対策ツール に追記した、富士ゼロックスの複合機の話の正式版。 山本さん情報ありがとうございます。
問題があるとされているのは:
Print Server: DocuCentre Color 500/DocuColor 1250/DocuColor 1255 CP 用プリントコントローラ Print Server U/L/M、DocuPrint C1255 Uタイプ/Lタイプ、DocuWide C336/DocuWide C354 用プリントコントローラ Print Server W
Print Server MSBLAST対処方法について (富士ゼロックス) を参照。Windows 2000 ベースのものがあるので要注意。
Document Gate: DocuCentre Color 500/DocuColor 1250/DocuColor 1250 CP/DocuColor 1255 CP用オプション Document Gate/Document Gate 2/Document Gate 3
Windows NT 4.0 ベースなので Blaster にはヤラれないものの、……。
弊社の作業員が次回訪問時に修正プログラムを適用いたします。
DocumentGate-Wide: DocumentGate-Wide 付き DocuWide 6030MF/DocuWide 6050MF/DocuWide 5070MF
DocumentGate-Wide: コンピューターウイルス(MSBlast)対策のお願い (富士ゼロックス) を参照。Windows XP ベースなので要注意。
yutaka さんから (ありがとうございます):
うちが使っている DocuColore1250 が NT ベースの組み込み OS だが、次回の訪問時に脆弱修正を行うとあったので、問題はなかったのだが、新たなウィルスがでて NT ベースも対象になるといやだなと思い、サポートへ電話していつこのページの対応をしてくれるのか予定を聞いてみた。サポートの女性ではわからないというのでエンジニアから折り返し電話をいただいた。
そこには驚く回答が.....
「NTベースについてはまだ弊社内で修正プログラムの適用がはじまっていません。 したがっていつお客様へ適用作業に伺えるかわかりません」
という内容でした。おおまかな日程でもいいんだけどっていったらじゃぁ、9月2週までくらいとしておきましょうって感じでした。最悪なエンジニア。 実は NT ベースはまるっきり後回しになってるんじゃないのかな? だったらページにあんなことかかないでほしいなぁ〜。
富士ゼロックスからの案内文書が更新された。新たに DocuPrint CG835、Color DocuTech シリーズ用 Fiery カラーサーバー の情報が追加された。
DocuPrint CG835
Windows 2000 ベースなので影響あり。 対策手順を参照。
Color DocuTech シリーズ用 Fiery カラーサーバー: Color DocuTech 60 用 Fiery EX2000/EX2000d カラーサーバー、Color DocuTech 60 V 用 Fiery EXP6000 カラーサーバー
Windows NT 4.0 ベースなので Blaster にはヤラれないものの、……。 Color DocuTechシリーズ用Fieryカラーサーバー MSBLAST修正プログラム適用手順について を参照。
富士ゼロックスからの案内文書が更新された: 弊社製複合機およびプリンター、Print Server、Document Gateなどをお使いのお客様へ 最近のWindowsの脆弱性およびコンピューターウイルスへの対応について 2003年9月19日。 MS03-039 も言及されている。
Nuclear Weapon Accident Response Manual (3.5MB) (dtic.mil) って読めなくなっちゃってるのかなあ。
ソフォス、ウイルス対策ソフト「Sophos Anti-Virus」のMac OS X対応版 (INTERNET Watch)。次の CD-ROM からついてきたりするのかな。 from Sophos Anti-Virus for Mac OS X リリースノート 2003年 9月(3.73B):
2. 既存の問題点 --------------- a) Mac OS X コンピュータにのみ、Sophos Anti-Virus のセントラルインストールを 作成できます。
あら……。
GnuPG 1.2.3 が出たそうです。
Port139勉強会の資料、 LKM rootkit 編 (2003/08/23) が公開されています。
戦争民営化のなれの果て (tanakanews.com)。 現場がこんな状況だとは……。 こういう状況が、イラク市民に対する過剰攻撃の温床になっているのかも。
アメリカで大規模な選挙不正が行われている? (tanakanews.com)。
InterScan VirusWall UNIX: HTTP:DirectXの脆弱性(MS03-030)に備えたセキュリティ対策方法 (トレンドマイクロ)。 「それで結局どうすればいいのか」が書かれていないような気が……。
セキュリティ研究者はプライバシーを理解しているのか (高木浩光@茨城県つくば市 の日記)。
あなたの「個人情報」が盗まれる (櫻井よしこ: 著) という本が出るそうで。
[port139ml:03956] [参加者募集 ]9/28Port139 勉強会(通称:ケーキオフ) 。 2003.09.28、東京都大田区、3,000円。
崎山伸夫さんのBlog ができているそうです。 RSS が公開されているサイトなので、RSS ベースで変化を watch した方がいいのかな……。
typo fixed。 TEST さん情報ありがとうございます。
話題の人話: @random/1st SP1 において、 話題の人の「デビュー」はなかった模様。 しかし洩れ聞こえる情報を総合して推測すると、話題の人は、別の意味で「デビュー」した (あるいは「洗礼を受けた」?) 模様。関連:
第4回 ハイテク犯罪ワークショップ in 越後: 「今、個人情報を考える」。 2003.10.02 (木) 〜 04 (土)、 新潟県 越後湯沢温泉。参加費 10,000 円 (「セッション及び車座会議の参加費及び資料代は含まれますが、交通費/宿泊費/食費/ナイトセッション及びフェアウェルパーティの参加費は含まれません」)。 参加・宿泊 申し込み は 2003.09.26 (金)までだそうで。
13:30 くらいから (?) しばらく落ちていたみたいですね。 どうやら UPS のバッテリーがへたっていたようで。 UPS いれかえました。 山崎さん、らむじぃさん、高橋さん情報ありがとうございます。
MDAC 2.5〜2.7 に欠陥。1434/udp に流されたブロードキャストパケットに対して攻撃的リプライパケットを流すと、 MDAC で buffer overflow が発生し、任意のコードの実行が可能になるようだ。
MDAC 2.8 (Windows Server 2003 に含まれる) にはこの欠陥はない。 また MDAC 2.1 以前については状況不明。もはやメンテナンスされていない模様。
MDAC 2.5 SP2 / SP3、MDAC 2.6 SP2、MDAC 2.7 SP なし / SP1 については修正プログラムがあるので適用すればよい。 その他 (MDAC 2.5 SP1 以前、MDAC 2.6 SP1 以前) については、 修正プログラムの存在するバージョンにまで引きあげるか、あるいは MDAC 2.8 をインストールする必要があるのだろう。 また MS03-033 修正プログラムには、先ごろ改訂され、全ての Windows で問題が発現することが明らかとなった MDAC 機能の未チェックのバッファにより、SQL Server が侵害される (Q326573) (MS02-040) 欠陥の修正も含まれている。 なお、MS03-033 修正プログラムはアンインストールできないので注意されたい。
MDAC 関連ダウンロード (microsoft.com) によると、MDAC には実にさまざまなバージョンがあってわかりにく事この上ない。MDAC には「refresh」という文字列がついているもの (ex. MDAC 2.7 SP1 refresh) があるが、MS03-033 としては、refresh がないもの (ex. MDAC 2.7 SP1) と同等に扱うべきもののようだ。 MS03-033 修正プログラムによってインストールされるモジュールのバージョンは [MS03-033] Microsoft Data Access Components のセキュリティ アップデート に明記されているので参照されたい。
この修正は MDAC 2.5 Service Pack 5 および MDAC 2.7 Service Pack 2 に含まれる予定だ、という。つまり:
MDAC 2.5 SP5、MDAC 2.7 SP2、MDAC 2.8
MDAC 2.5 SP4 以前、MDAC 2.6 全て、MDAC 2.7 SP1 以前
欠陥あり版をインストールした場合には、MS03-033 修正プログラムを再適用する必要があることに注意されたい。たとえば、MDAC 2.6 SP2 + MS03-033 修正プログラム な環境に MDAC 2.7 SP1 refresh (Windows XP SP1 に含まれている MDAC と同等) をインストールした場合には、MS03-033 修正プログラムを再適用しなければならない。 FAQ には、MDAC のバージョン確認には KB 307255 を参照、とあるけれど、 Component Checker ともども なんだか記述が古いっぽい。 穴があるか / ないかについては、下手に目視で確認しようとしたりせず、 HFNetChk / MBSA + 最新の XML DB、 などを使った方がよいだろう。
関連:
[NT] Buffer Overflow in UDP Broadcasts for Microsoft SQL Server Client Utilities (SecuriTeam)
CVE: CAN-2003-0353
「MS02-040」の修正パッチは「MS03-033」に含まれているため、「MS03-033」の修正パッチを当てれば修正されるが、パッチを当てる際に以下のような2つの問題が発生する可能性があるため、注意が必要だ。
・脆弱性を修正するためには「odbc32.dll」を修正済みのものに置き換えなければならないが、パッチを当てる際に何らかのアプリケーションがodbc32.dllを使用している場合は、置き換えることができない。したがって、脆弱性も修正されない。
という記述があるが、 MS03-033、 MS03-033 FAQ、 KB 823718 にはそのような記述は一切存在しない。 個人的には、
という点から、「MS03-033 には MS02-040 のようなインストール時の注意は不要」 だと認識しているが、いまいちよくわからない。 Microsoft 自身による明確化を期待したい。
「インストール時の注意」話の部分における、私の現状認識を明確化した。 しかし、私の認識が誤っている可能性は存在するので注意されたい。 hide さん、大津さん、みねきちさん情報ありがとうございます。
青木さんから (ありがとうございます):
意地悪してわざと odbc32.dll をロックした状態でパッチを当ててみました。結果は
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
にきちんと再起動時の置き換えが記述されて、再起動後は正しいファイルになっているのを確認しました。よって、
「したがって、脆弱性も修正されない。」
は、
「したがって、マシンを再起動するまでは脆弱性も修正されない。」
が正しいということになるのだと思います。
http://support.microsoft.com/default.aspx?scid=kb;ja;823718
ここにも一応、「ロックされているファイルがあった場合、インストーラにより、コンピュータを再起動するように求めるメッセージが表示されます。」と書いてあるので、再起動すれば問題ないと思います。
因みに Windows XP では必ず odbc32.dll は再起動後の置き換えになるようです。Windows 2000 に関しては私がパッチした範囲では、IIS がインストールされていると「再起動が必要」になりました。
いずれの場合もマシンを再起動すれば正しいファイルになっていることを確認してます。
どうやら「MS03-033 には MS02-040 のようなインストール時の注意は不要」という理解でよさそうだ。
あと、MDAC と言えば MS02-065 話があると思いますが、やはり MDAC 2.5、2.6 は 2.7SP1refresh に上げた後、MS03-033 パッチというのが推奨ということになるのでしょうね。
ですよね。もしくは、いっそ MDAC 2.8 に行ってしまってもいいのかもしれませんが、MDAC 2.8 の日本語情報が皆無なので、いま 3 つほど判断しかねます。
関連記事: MDACのセキュリティ情報には誤解を与える記述あり,適切な情報提供を (日経 IT Pro)。
ちなみに、 Microsoft Universal Data Access (Microsoft) に 8/28 付で MDAC 2.8 の情報が掲載されている。記載された内容を読む限りでは、インストールにおける注意事項は MDAC 2.7 SP1 refresh と同様のようだ。もっとも、中身の下位互換性についてはテストが必要なのだろう。「MDAC 2.8 refresh が出るまで待つべし」という意見もあるかもしれない (出るのかなあ……)。
問題のサーバを無効化できたので何も発生しなかった、ようですね。
IRAQ BODY COUNT、今だにじわじわ増えつづけていますね……。
なんでもかんでも「重要」だと、何が本当に重要なのかがわからなくなると思います。 > http://www.cyberpolice.go.jp/
ウイルス検索エンジン VSAPI 6.640 再公開のお知らせ (トレンドマイクロ)。
InterScan VirusWall for UNIX 3.6 および 3.8 Web VirusWall Security Patch(3.6-Build_1331, 3.8-Build_1150)公開のお知らせ (トレンドマイクロ)。
(R)日記 2003-08-22。OpenVPN というソフトが詳細に解説されています。
なつやすみモードが終るにつれ、学内で Blaster まつりが大盛況 (T_T)。 人海戦術モード ON。
トレンドマイクロ ウィルスバスターって、 イベントログには「PC-cillin Person al Firewall サービスへの接続中にタイムアウト (30000 ミリ秒) になりました。」 と外国の名前 :-) で出すんですね。
2003.08.23 04:00 JST。セカンド・インパクトに備えよ。何もないかもしれんが。 関連:
Sobig-F worm has twist in tail - Sophos warns of possible "Trojan horse" download (Sophos)
Sophos advises that the download can be avoided by configuring firewalls to block outgoing connection attempts to UDP port 8998. In addition, anti-virus software should be updated, and any infected PCs disinfected.
W32.Sobig.F@mm (シマンテック)
Sobig.F には、感染したコンピュータに任意のファイルをダウンロードし、実行する機能があります。ワームの作成者は、システム情報を盗む目的で、また感染したコンピュータにスパムリレー・サーバを設置する目的で、この機能を利用しています。
この機能はまた、ワームのセルフ・アップデート機能として利用されることがあります。Sobig.Fは、正しい条件の下において、ワーム作者のコントロールするマスタサーバのリストの1つとコンタクトしようとします。ワームは、そこで、悪意あるファイルの取得先を決定するためのURLを探し、その後、取得したURLから、自身のコンピュータに悪意あるファイルをダウンロードし、実行します。
問題のサーバを無効化できたので何も発生しなかった、ようですね。
IE 5.01 / 5.5 / 6 に 3 つの新たな欠陥。
BR549.DLL ActiveX コントロール (CLSID: 167701E3-FDCF-11D0-A48E-006097C549FF) で buffer overflow が発生する。これを悪用すると、攻撃者が IE 利用者権限で任意のコードを実行可能になると考えられる。
CVE: CAN-2003-0530
特定の状況が重なると、IE は (1) コンテンツを自動的にダウンロードし Temporary Internet Files ディレクトリ内で開いてしまい、さらに (2) マイコンピュータ ゾーン権限で、そのファイル中の OBJECT タグを解釈してしまう。 結果として、攻撃者がコマンド等を実行できることになる。
関連: SNS Advisory No.67 The Return of the Content-Disposition Vulnerability in IE (LAC SNS)。LAC は IE 6 でしか確認していないようだが、 MS03-032 によると IE 5.01 / 5.5 にも同様の欠陥がある。
object タグの data 属性で示された URL の処理に欠陥。 参照: EEYE: Internet Explorer Object Data Remote Execution Vulnerability 。
object タグの data 属性で示された URL に「危険でない」拡張子 (ex. .html) が設定されていたとする。たとえば:
<object data="www.example.com/danger.html"> </object>
しかし実際には、その URL をリクエストすると Content-Type: application/hta (通常、これの拡張子は .hta) な中身を返すようサーバが設定されているとする。 このとき、IE は「拡張子と Content-Type が一致しないからエラーとする」 なんてことはせず、application/hta な中身を素直に実行してしまうという。 しかも、自動的に。
CVE: CAN-2003-0532
また、Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020) で修正されたはずの「object タグの type 属性の処理に欠陥があり、buffer overflow が発生する」欠陥が、日本語を含む特定の言語版においては直っていなかった。 これも MS03-032 で修正された。 参照: SNS Advisory No.68 Internet Explorer Object Type Buffer Overflow in Double-Byte Character Set Environment (LAC)。
patch があるので適用すればよい。いずれも危険性の高い内容であり、早急な patch 適用が望ましい。
MS03-032 patch には副作用があることが判明。 Windows XP + ASP.NET 1.0 (.NET Framework 1.0) の環境で不具合が発生する。 Windows 2000 / Server 2003 では問題は発生しない。また Windows XP + ASP.NET 1.1 (.NET Framework 1.1) でも問題は発生しない。 詳細は 827641 - [BUG] セキュリティ修正プログラム MS03-032 をインストール後、ASP.NET で "Server Not Available" というエラーメッセージが表示される を参照。回避策も述べられている。
また、
の場合には、patch あて + 再起動後に管理者ログオンが必要となるのだそうだ。注意されたい。
さらに、MS03-032 patch は実は欠陥が直り切っていなかったことが判明。 米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず を参照。
MS03-040 で修正されている。
また、MS03-032 / MS03-040 には 827667 - [IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する 副作用があるそうだ。注意されたい。
Windows 98 / 98 SE / Me / 2000 対応の DirectX 8.x 用修正プログラムが用意された。
MS02-040 欠陥は「SQL Server 7.0/2000 をインストールした環境でのみ」発現するのではなく、Windows 全般で発現することが判明。MS02-040 が更新された。
MSとベンダー各社のBlasterウイルス対策CD-ROM、27日から順次配布開始 (INTERNET Watch)
マイクロソフト、セキュリティベンダーと共同で『Blasterワーム』緊急対策用無償CDを提供話。
W32.Blaster.Worm 、W32.Welchia.Worm 緊急対策用無償 CD-ROM のご提供のご案内 (シマンテック): 15,000 枚
MSブラスト対応レスキューCD-ROM配布のお知らせ (トレンドマイクロ): 10,000 枚
「W32/Lovsan.worm (MSブラスト)対策CD-ROM」詳細情報 (NAI): 10,000 枚。
配布開始時期: 2003 年 9 月上旬
それは、遅すぎるのでは……。
マイクロソフト、セキュリティベンダーと共同で『Blasterワーム』緊急対策用無償CDを提供 では
今回、この「Blasterワーム」緊急対策用無償CDは、現時点で約200,000枚の配布が予定されています。
となっていますが、ぜんぜん数が合ってません。ひきつづき協力者募集中、なのかな。
……お、 マイクロソフト、セキュリティベンダーと共同で『Blasterワーム』緊急対策用無償CDを提供<続報> が。これにあわせて改訂。
新種ワームはBlasterよりも悪質,気が付きにくい上にネットワークを“まひ”させる (日経 IT Pro)。 Welchi / Nachi 話。
「“正義の味方”に見せかけているが,実は危険なワームだ。一刻も早く対策を施す必要がある」(ラック 西本氏)
Blasterワームおよびその亜種による、意図せぬISDN回線の長時間接続の問題について (ヤマハ)。 Blaster などのおかげで、 ISDN での非常時接続時に、ネットワークが切れにくくなるという話。 原因が内側なら PC に対策を施す。原因が外側なら「ISDN 強制切断タイマ」を設定する。
周知徹底は周知されていなかった——MSBlastからベンダーが学んだこと (ZDNet)。
にもかかわらず、MSBlastは蔓延した。つまりこれは、普段からマイクロソフトのWebサイトにアクセスし、Windows Updateのメッセージに注意を払い、パッチを適用するユーザーがいかに少ないかを示すものだ。
標語が必要かな。「木曜日は Windows Update の日」とか。
「Nachi」は中国産?——当局がウイルス作者検挙に本腰 (ZDNet)。
二つのワームの猛攻でネットワーク大混乱 (ZDNet)。
MSBlastでCATVネット接続に障害相次ぐ (ZDNet)。
田中宇の国際情勢ウェブログ というページがあるのですね。
Sobig.F ねた:
Sobig.Fウイルスの成長率は過去最悪の可能性 (INTERNET Watch)
メールはSobig.Fだらけ——前代未聞の感染規模 (ZDNet)
あまりに大量に送ってくれてウザいので、手元では IP filter で接続自体を拒否してみるテスト中。
From: [email protected] を詐称してくれていている Sobig.F 送信者がいるみたいで。なんだかなあ。 で、ウィルス警告を From: あてに送り返してくれる組織もあって。 なんだかなあ。
Microsoft の記者説明会ねた:
マイクロソフト、Blasterウイルスの記者説明会開催 (INTERNET Watch)。
短期的には、修正プログラムとウイルス対策ソフトが入ったCD-ROMを、パートナー企業など各社と協力して無償配布する。 (中略) 同社によれば「一時的な対策」としているが、当面、CD-ROMによる修正プログラム配布を続ける。プレスされた版ごとに内容も異なり、その時の最新のプログラムに更新していくという。
わくわく。しかし…… (後述)。
ネットワークに依存しすぎた〜マイクロソフト (ZDNet)
ブロードバンド人口が1000万人を超えた現在、マイクロソフトならずとも、PCの多くは常時接続されているものと考えがちだ。 (中略) 実際には「相談窓口に寄せられる内容を聞く限り、ダイヤルアップのユーザーも予想以上に多いことが分かった」。
ナローバンドユーザ話はこれまでもことあるごとにされてきた筈なのに、何をいまさらって感じ。
またマイクロソフトは20日、トレンドマイクロ、ラック、シマンテックといったセキュリティベンダーと共同で「Blasterワーム緊急対策用CD-ROM」を約20万枚、無償配布することを明らかにした。これには、マイクロソフトの修正モジュール(MS03-026およびMS03-007)にくわえ、各ベンダーの駆除ツールが含まれる。
「MS03-026およびMS03-007」しか入っていないわけですね……。
コンシューマー向けOSとなると勝手が違う。一定の能力を期待できる企業のネットワーク管理者と異なり、利用者の知識やスキルはさまざま。
「一定の能力を期待できる企業のネットワーク管理者」というのは幻想だろう。どう考えても。能力があっても権限がなかったりする場合もあるだろうしなあ。
CD についてはこちら:
マイクロソフト、セキュリティベンダーと共同で『Blasterワーム』緊急対策用無償CDを提供 (Microsoft)
※CDの内容、配布時期、配布方法などは各社により異なります。
Microsoft がまとめたものを各社が配るのではなく、 Microsoft の patch + 各社独自の修正ツール、を各社が配る、ようだ。 だから、トレンドマイクロが配るものとシマンテックが配るものとでは中身が違うはず。Microsoft の patch 部分は同じかもしれないが。
やっぱり「hotfix CD」(の .iso イメージも) を Microsoft が毎月公開してくれるのがいちばんうれしい気がするなあ……雑誌の付録とかで。まあ、自分でつくればいいんだけどさ。
ウイルス感染者に対して下される“社会的制裁” (ZDNet)。 まあ、そんなもんかもね。
やはり問題はプライバシー、RFIDへの規制を求める声 (ZDNet)。
goo フリーメール を利用している方から「なんか変なメールがいっぱい届いているんですけど、これって大丈夫なんでしょうか?」と相談を受ける。 見てみると、コレモンで Sobig.F の大群 (笑)。 goo フリーメールにはアンチウィルスフィルタは適用されていないのですね。 まあ無料だからそういうものなのだろうが。 こういう状況だから、やっぱり http proxy にもアンチウィルス機能を付けざるを得ないかなあとも思ったり。
LACの駆除ツール (saposen.com) は Blaster を停止させた上で削除してくれるようだが、 Norton AntiVirus 2003 様はそんなに親切ではないので「削除できませんでした」エラーダイアログ出まくり、ということが今日実地で判明 (T_T)。ほとんど DoS。 他社のアンチウィルスものではどうなるんだろうなあ。って試せよ > 俺。
HIROMI 様からいただいた宿題が実施できないまま、はや数か月……。 ごめんなさい。_o_
CVS: InsufficientMemory って何だろう…… > SMTP_SERVER01.mail.ryoyu.co.jp。
Sobig.F 多すぎ。 なんとかしなさい > p2007-ipadfx41marunouchi.tokyo.ocn.ne.jp [220.98.1.7]。
【今週のSecurity Check】Blasterを回避しただけでは安心できない, “超特大”ホールに関する情報の継続的なチェックが必要 (日経 IT Pro)。
ICタグ飛躍への課題(中) (日経 IT Pro)。
SCOが開示したLinuxの盗用ソース....とその正体 (slashdot.jp)。 今週の山場〜〜〜〜〜、ポチッとな (自爆) って感じ?
昨日は東京都立大学や工学院大学からバンバン Welchia / Nachi ワームが来てたっぽいのですが、今日は静かなので、おさまったのかな。
[harden-mac:0485] [security-announce] APPLE-SA-2003-08-14 realpath。 FreeBSD Security Advisory FreeBSD-SA-03:08.realpath な fix。
Microsoft MCWNDX.OCX ActiveX buffer overflow。 Visual Studio 6.0 に付属する MCWNDX.OCX に buffer overflow 穴がある、という指摘。
ShellForge。シェルコードジェネレータ、だそうで。
Dropbear SSH Server <= 0.34。 Dropbear SSH Server 0.34 以前に format バグがあるという指摘。0.35 で修正されている。 最新は 0.36。
unix entropy source can be used for keystroke timing attacks。う〜む……。
[Full-Disclosure] Eudora Worldmail Server 2.0 -XSS Injection
MPSB03-05 Patch and Work Around for Dreamweaver MX, DRK, and UltraDev Server Behaviors。 Macromedia DW MX PHP Authentication Suit Vulnerabilities の話と思われ。 Dreamweaver MX, UltraDev, Developer's Resource Kit (DRK) vol.2 / vol.4 に問題が含まれているそうな。
Cisco Security Notice: Nachi Worm Mitigation Recommendations。
Cisco Security Advisory: CiscoWorks Application Vulnerabilities
Steven M. Bellovin, "A Technique for Counting NATted Hosts. Proc. Second Internet Measurement Workshop, November 2002. (PS, PDF)。 谷村さん情報ありがとうございます。
以前、FreeBSD の natd(8) が IP header の ID を保存するために NAT の向こう側にいる計算機毎に traffic が分類できるのではというメールをお送りしましたが、似たような paper が昨年出ていました。
Steven M. Bellovin, "A Technique for Counting NATted Hosts. Proc. Second Internet Measurement Workshop, November 2002.
URL: http://www.research.att.com/~smb/papers/fnat.ps
パッと見ですが、IP packet が連続して出てくる状況で、かつ ID が単なるカウンタの場合はかなり簡単に分離できるようです。また、例えば NAT を超えない packet を多く送信している計算機は ID が飛ぶので分類が難しい模様です。
なお、FreeBSD-current の ip_output() は、defrag 禁止な packet については ID をゼロにしてしまいます。といっても、defrag を禁止できるのは TCP の path MTU discovery の時ぐらいしかありませんが...
825819 - [HOWTO] COM インターネット サービス (CIS) および HTTP プロキシを経由した RPC のサポートを削除する方法 (Microsoft)。
この資料では、Windows NT 4.0 および Windows 2000 の COM (コンポーネントオブジェクトモデル) インターネットサービス (CIS) および Windows Server 2003 の RPC over HTTP (HTTP プロキシを経由した RPC) のサポートを無効にする方法および削除する方法について説明します。
夏井高人氏による、法的観点から見た、脆弱性情報公開ポリシーのあるべき姿に関する考察。
もともと不完全な存在であるソフトウェアを社会という環境の中に置くことが許されるのは、それが不完全な存在であることをユーザその他の第三者が他人に知らせたり、あるいは、他人から知らされたりすることが許容されているということを前提にしている。そうでなければ、不完全であるのに完全なものとしての代金やラインセンス料金を請求することそれ自体が、いわば一種の詐欺行為として反社会的な行為であることになる。
高木浩光氏の反応: 家電製品と汎用コンピュータの切り分け (高木浩光@茨城県つくば市 の日記)。
あと、免責話は オープンソースソフトウエアの利用状況調査/導入検討ガイドライン (真紀奈17歳さん) も関連かな。オープンソースと言いながら GNU / GNU GPL な話をするのが鼻につくというのもあって、まだ全部読めてないし……。
イラクの国連施設で爆破テロ、10人死亡・負傷者多数 (読売)。イラク情勢、なんだか、だんだんひどくなってません? イラク駐留米軍、ラマダン元副大統領を拘束 (読売) なんてニュースもあるようですが……。
Opinion:「ネットのID問題の解決法は目と鼻の先」とDNSの発明者 (ZDNet)。 あるいはアキレスと亀。
Microsoft、新しいWindowsインストーラ「MSI 3.0」のベータテストを開始 (MYCOM PC WEB)。 少しは幸せになれるのでしょうか。
「Windows地獄」から抜け出すためのトラブルシューティング (ZDNet)。 EventID.Net ですか。 知りませんでした。
HFNetChkLT 4.0.76 が出たんだそうで。
「年間に支払えるセキュリティ対策費用は5千円」:ユーザーのセキュリティ意識調査 (CNET)。まあ、そんなもんだろうなあ。
セキュリティに配慮していると思われる企業を質問したところ、(中略) 5位と6位にセキュリティベンダーである「シマンテック」と「トレンドマイクロ」が入っている。同じくセキュリティベンダーのマカフィーは37位と、一般ユーザーには認知度が低いようである。
うーん、「セキュリティに配慮」ってどういう意味なんだろう。 質問内容の詳細がわからないと、なんともかんとも。 元ネタはこれかな? 「家庭」のインターネットセキュリティに関する意識調査 (aeonvisty.co.jp)。 概要版ではよくわからないな。
イオンビスティーのリサーチはモニターの多くがイオンの店舗利用者であることが大きな特徴です。
とりあえず、そういうバイアスがかかってる、ってことで。
Phrack #61 が出たそうです。
LD調査は「人権侵害」と複数校が保留 東京都 (毎日)。専門家が作成、ねぇ……。
さっそくですか > Sobig-F。 もしかして、すりぬけてるのがあったりするかな。
Windows XP SP2の提供が2004年Q3に延期へ (日経 BizTech)。 来年の 7 月以降、ですか……。
Windows XPのファイアウオールを標準でオンに (日経 BizTech)、 Microsoft、Windows XPのICF機能を標準で有効へ (MYCOM PC WEB)。 だからぁ、Windows Server 2003 は?!
米陸軍、偵察ロボット車両を開発へ (毎日)。 めざせ HK。
ICタグの経済効果、2010年で最大31兆円 (毎日)。 煽ってますねえ。
ICタグ飛躍への課題(上) (日経 IT Pro)。
環境テロ国家 USA が何か言っているようです: 米ブッシュ政権の「クリアスカイ法案」、上下両院議員から強い支持得る (日経 BizTech)。 京都議定書 (外務省) では「先進国等に対し、温室効果ガスを1990年比で、2008年〜2012年に一定数値(日本6%、米7%、EU8%)を削減することを義務づけている」わけですが、 2000年というのは1990年の何倍なんだろう。
SELinux ねた:
LIDSの使い方(上) (honto.info)、 LIDS Kernel configure Help (Japanese) (honto.info)。
[HOWTO] ADPlus を使用した "ハング" および "クラッシュ" のトラブルシューティング方法 (Microsoft)。
新種ウイルス感染で家電店 パソコン持ち込み殺到 対策ソフト 爆発的な売れ行き メーカー品切れ入手困難 (山陽新聞)。 で、「マッチポンプなんじゃないの?」とか言われるわけだよな……。
次回@ランダムの事について (tomo.sslan.com)。 めいどさんですか。そうですか。 @random としては関知していない事項ですが。
らむじぃさんから (ありがとうございます):
www.microsoft.com をakamaiに逃がした (あるいはakamai担当分を増やした?) 様なのですが、今回の騒動対策で追加したnodeのサーバ証明書が 実ノード.akamai.net のままであり、https://www.microsoft.com/ を開くとCommonNameと違う証明書 の為警告が出てしまいます。
あちらを立てればこちらが立たず、って感じ?
certcc-kr.jp から:
Blaster (Lovsan) の亜種と分類しているベンダーと、そうではないと主張しているベンダーがあるようで。というか、Blaster (Lovsan) の亜種と分類しているのはもはやトレンドマイクロだけみたいですけど。 昨日の状況は Blaster ねた にあります。
Nachiは、すでに大半のMS Blastワームと置き換えられた可能性があります。 このため、MS Blastワームに焦点をあてた対策は、すでに的外れになっている可能性があります。
また、Nachiは、MS03-026のセキュリティパッチを適用するため、感染したマシンを見つけることが難しくなっている可能性があります。 これは、Nachiに感染したPCは、弊社をはじめいくつかのベンダが提供しているMS03-026の脆弱性検査ツールに対して、危険性がないPCと判断されるためです。
おねがいですから、名称を変更して頂けませんでしょうか? > トレンドマイクロ様。ややこしや〜。トレンドマイクロは 2003.09.16 付で名称を変更しました。よかったね。
特徴:
中国およびアジアの 16 ネットワークがハードコードされたリストを含む、より高度なスキャン ロジックが含まれています。
駆除方法: Nachi は、時計を一時的に 2004 年にしてあげれば自動的に消滅します。
政府方面 (麗美さん、情報ありがとうございます):
新種ワームの発生に関する注意喚起について (経済産業省)
本ワームはW32/Blasterを駆除するという情報もありますが、日本語環境では動作しないことが確認されておりますので、早急に対策を実施してください。
新種「W32/Welchi」ワームに関する情報 (IPA ISEC)
※ 日本語環境では修正プログラムのインストールは行われません。
新種コンピュータウイルス(BlasterワームD)の感染について (日本郵政公社)。
感染した場所
本社及び10支社(北海道、東北、南関東、東京、信越、北陸、東海、近畿、 中国、四国)
すごいことになっているのではないかと……。
<大阪>大阪府庁などでコンピュータウイルス感染 (ABC NEWS)
大阪府によりますと、これまでに日本の役所など公的機関にブラスターウイルスが感染し、ネットワーク障害を起こした例は聞いたことがないと話しています。
日本郵政公社も、なのでご安心を。
住基ネットのウイルス対策「放置」 修正ソフト検証中 (毎日)。 あいかわらずの運用なようで。ぜひとも「侵入テスト」を実施していただきたいものですな。
マスメディア方面: トレンドマイクロ様に引きずられて、 Blaster-D という名称を用いる方が多いようで (麗美さん、情報ありがとうございます)。 てゆーか、ほんとにタレ流しだなあ。
トレンドマイクロは 2003.09.16 付 (パターン 631 以降) で WORM_MSBLAST.D から WORM_NACHI.A へ名称を変更。あわせて WORM_MSBLAST.[EFG] から WORM_MSBLAST.[DEF] へと 1 個ずらしている。 これに対応して、この項の記述を変更した。伏谷さん情報ありがとうございます。
富士ゼロックスの Document Gate に関する、 山本さんからの情報を追記 (ありがとうございます)。
ひさしぶりに セキュリティアンテナ を調整。更新をうまく追えていなかったページが 10 くらいあったのを直した。
【コラム】ハイテクウォーカー 第82回 執筆=佐藤晃洋 Windows Rights Managementでできること (MYCOM PC Web)。 なかなかおもしろそうではあります。
[aml 35370] 行政機関等による監視カメラの設置等の適正化にかんする法律案。 なんだか、やたら「適切」という文字が目立つなあ。
New Book: Beyond Fear (schneier.com)。
FreeBSD 5.1-RELEASEにおける新機能の概要と活用例 (ZDNet)。♪まだかなまだかな〜、5.2-RELEASE まだかな〜。
アムネスティ・インターナショナル、 日本での元従軍慰安婦の人びとの行動に連帯を表明 (アムネスティ日本)。
アイリーン・カーン事務総長は、従軍慰安婦の人びとが拷問と性奴隷制の被害者となったとし、これは民間人に対する広範かつ組織的な人権侵害であり「人道に対する罪」を構成するとし、時効等の法的な制限要素が当てはまらない、と断じた。
ノータッチ・デプロイメント —— Web+Windowsという新たな可能性 —— (@IT)。 Java Applet みたいなもの、なのかな。
電子切手で全郵便物を追跡——米政府計画にプライバシー侵害の懸念 (ZDNet)。 RFID を埋め込んだりするのかな。
ブート機能を備えたフラッシュドライブ (ZDNet)。 便利かつ危険。
米Microsoft,ブラウザの特許侵害で巨額の支払いの評決 (日経 IT Pro)、 MSブラウザ敗訴の評決、競合各社にも広く影響? (ZDNet)。 うーむ。
容疑者どうやって特定? 米ISP団体がRIAAに質問状 (ZDNet)。
ところどころ古い情報があるのは、いまごろになって先週の mail を読んでいたりするから。どうかごかんべんを。
ICMPトラフィックの急増について (@police)。 [connect24h:62 55] また亜種でしょうか? によると、ping してから 135/tcp を突く奴が出てきた模様。
各社のウィルス名称による混乱が発生しているような気がするが、今回指摘されているものは
などといった特徴があるもの。
@police から続報: ICMPトラフィックを急増させたワームについて (8/18) (@police)。 関連: Increase in ICMP scans (ISC)。
Cisco Security Notice: W32.BLASTER Worm Mitigation Recommendations (Cisco)。
Blaster Worm Analysis (eEye)。 コメントつきの disassemble リストも示されています。 解析者の中には Yuji Ukai 氏の名前もありますね。
シマンテック、「Blasterウイルス」セミナー実施、最新状況を報告 〜ログ解析では、18日7時30分時点で53万システムが感染の疑い (INTERNET Watch)。
「18日から国内企業の業務が開始しているため、油断はできないものの、既に収束に向かっていると考えてよいだろう(星澤氏)」との見解を示した。
新種登場によって、終息どころかぶりかえしている模様です……。
McAfee Desktop Firewall 8.0 お試し版 (NAI)。各社とも売り込みに必死ですね。
NEC 8 番街: Microsoft社より新たに公開された 「Windowsのセキュリティホール」への対応について、 NEC製品に関する留意点。
マイクロソフトWindowsの脆弱性を狙ったワームの発生に関する状況について (経済産業省)。あいかわらず多くの相談が来ているんですね。
「被害届け出の急増は見られず,ただし油断は禁物」——Blaster,18日朝の状況 (日経 IT Pro)。半径 50m 以内はなつやすみ継続中みたいなかんじだしなあ。
[Full-Disclosure] Microsoft to enable XP firewall by default。 痛い目にあわないとこういう決断ができないんですねえ……。 Windows Server 2003 はどうなるんだろう。
Windowsワーム感染拡大が物語る「パッチの限界」 (ZDNet)。
例えばフロリダ大学では、広範な取り組みにより校内システムに厳重にパッチを当てていたにもかかわらず、ダイヤルアップで同校ネットワークにつながれた、脆弱性を抱えたままの1台のPCのせいで、数百台のシステムに被害が及んだ。
「厳重にパッチを当てていた」のなら「数百台のシステムに被害が及んだ」りはしないと思うのだが。
Windows NT Embedded 4.0 ベースの家電製品 (NEC SmartVision Pro HD40) に MS03-026 穴があるようだ、という話。 つづき: [port139ml:03921]。
サポート: 既に HD40 は生産終了した機種なので脆弱性があったとしてもアップデートはないものとお考え下さい。
それでいいと思っているのか! > NEC (思っているんだろうなあ)。 ちなみに SmartVision Pro HD40 Q and A (121ware.com) にはこの内容はありませんね。
組込機器クラッキングについては、 たとえば A.D.200X で UNYUN さんがいろいろやっていらっしゃいますが、 相手が Windows XX Embedded とか Linux とか *BSD ならとっても楽になったりするのかな。
山本さんから (ありがとうございます)。
富士ゼロックスの複合機(カラーコピー機)に「Document Gate」というPCを流用した外部コントローラーがあります。(コンビニなんかにもおいてあります)
これのOSがNT4をベースにした特注品(Embedded 4.0かどうかは不明)で、DCOM対応のスキャナーソフト調べると、いつも「VULNERABLE」になっております。
この件に関しまして、富士ゼロックスに問い合わせた結果、以下のような回答が来ました。
------------------------------------------------------------------------
ご指摘の通り今回のMSブラストにはNT4は感染しないのですが、
今後を考えると対策を講じる必要があると考えております。
弊社でも今後の亜種に対しての対応を含め、
弊社エンジニアによるパッチ作業の実施を予定しております。
時期に関しては未定ですが、早急に実施されると聞いております。
新しい情報が入り次第ご連絡差し上げます。
------------------------------------------------------------------------
ということで、ゼロックスは、NECよりも真面目そうです。(保守入っているから、当たり前か)
「日本が先制攻撃用の空母導入を準備中」 (中央日報)。ほんまかいな……。
坂口厚労相、新型ウイルスに降参?…自宅でPC感染 (読売)。 つまり、patch をあててもいなかったし、アンチウィルスソフトも入っていないか、入っていてもきちんと更新されていなかった、と……。すばらしきかな e-japan。
デンマーク兵、イラク武装集団に銃撃され死亡 (読売)。 イラク北部 パイプライン爆破される (NNN) なんてのもありますね。
日本興亜損保、事故受け石原軍団のCM自粛 16日から (asahi.com)。 うーむ。
Sophos AntiVirus の .ide 取得に失敗しているなあ……。 ……ローカルな問題であることが判明。 かなり最低なことをしてしまった……。なさけなさすぎ。 各地の ML 管理者のみなさん、ごめんなさい。_o_
[HOWTO] Windows XP、Windows 2000、または Windows Server 2003 で自動更新をスケジュールする方法 (Microsoft)。 この「自動更新」って proxy 経由だと動かないという理解で合っているのかな。
計画停電終了。実験用 Windows 2000 Server の disk が 1 つおかしくなった。こまったもんだ。
[memo:6275] MSBLAST fix Hoax。 Blaster 自体には e-mail での拡散機能はないようですが、 spam 的にばらまいている人がいたりするのかな。 ソフトウェアの配布に関するマイクロソフトの方針 (Microsoft) ってわけなので、Microsoft はそういうことはしません。
KB 823980 Scanning Tool を使用して、セキュリティ修正プログラム 823980 (MS03-026) がインストールされていないホスト コンピュータを特定する方法 (MS KB) を試してみたが、なかなかいい感じだ。 しかしなあ。Blaster なんてものが登場しないとこういうものが配布されないというのはなあ。
長野県、住基ネット離脱 田中知事「情報漏れの危険」 (毎日)。
長野県が離脱しても、県内市町村がネットから切り離されるわけではなく、従来通り業務が可能
というわけで、各社の見出しにはかなり温度差がありますな。
ウイルス対策とコンテンツフィルタを統合したSymantec Web Security 3.0 (MYCOM PC WEB)。
それにしても US・CANADA 大停電。ようやく NY でも復電してきているようですが、今に至るも原因も経過もはっきりしない、というのがすごいですね。
GNU プロジェクトのプライマリ FTP サーバ gnuftp.gnu.org (ftp.gnu.org / alpha.gnu.org) が 2003.03 から何者かによって root 権限を奪取されていた、という話。 このサイトに設置されていた全てのソフトウェアが改ざんされた可能性がある。 ただし GNU プロジェクト自身は、全てのソフトウェアについて、改ざんは発生していないと信じている。 正しい MD5 値を示したファイルが ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc と ftp://alpha.gnu.org/before-2003-08-01.md5sums.asc に示されているので、local mirror などを維持している人は確認しよう。 しかし、 ftp://ftp.gnu.org/MISSING-FILES に記載されているファイルについては、まだ確認されていないのだそうだ。
関連:
まつりの最中になつやすみだったので完全に乗り遅れてます。 中日新聞では 1 面トップが Blaster ねただったりしたので心配してましたが、 「今週の山場〜」であった 8/16 の windowsupdate.com 攻撃については、関係各者の努力もあり、ほとんど影響はなかったようです。 次の山場は 8/18 の始業時だそうで。 何らかの形で内部に到達できた Blaster が始業時に起動するのではないか、と心配されています。 patch あてましょう。
8/12 の 04:00 AM (JST) ごろから……という理解でいいのかなあ。
マイクロソフト FAX情報サービス:
番号: (FAX機より直接ダイヤルください)03-5454-8100 または03-5972-7149
手順: (電話が繋がったら) 「1」+「#」を入力 → 「1」+「#」を入力 → BOX番号:「324618」+「#」を入力 → 音声ガイドに従ってください。
遅すぎって感じもしますが、MS03-026 修正プログラムは 8/13 付で Windows 2000 SP2 に、 8/14 付で Windows NT 4.0 Workstation にも正式対応されています。 また、Microsoft 純正のスキャンツールが登場しています。
LAC SNS (NHK ニュースでもおなじみですね)
ISSKK
NAI
Symantec
トレンドマイクロ
Sophos
F-Secure
経済産業省
総務省
IPA ISEC
警察庁
@police
JPCERT/CC
CERT/CC
Blaster - 3654日後 (エフセキュアブログ, 2013.08.12)
InterScan VirusWall UNIX: HTTP:3.8へアップグレード後、HTTP VirusWallのレスポンス速度が低下してしまった。 (トレンドマイクロ)。エラーの発生を前提としているプログラムなんだろうか。
InterScan Messaging Security Suite: DNSの逆引きを行っているSMTPサーバからエラーが返される (トレンドマイクロ)。Windows 2000 / XP / Server 2003 一般な話、なのかな。InterScan は Server でしか動かないだろうけど。
FreeBSD Security Advisory FreeBSD-SA-03:09.signal
FreeBSD に欠陥。 ptrace(2) および 'spigot' video capture device driver において、負値、あるいは正常な範囲を逸脱したシグナルが発生する可能性があり、これが発生すると panic の原因となる。 ptrace(2) は 4.2-RELEASE 以降、spigot は FreeBSD 2.0.5 以降に欠陥が存在する。ただし spigot デバイスドライバはデフォルトおよび GENERIC コンフィギュレーションでは有効ではない。 また FreeBSD 5.x においては、カーネルオプション INVARIANTS が有効な場合にはこの問題は発生しない。
RELENG_4_3 以降に fix が含まれたので、最新の source にしてから kernel を再構築しインストール、再起動すればよい。
FreeBSD Security Advisory FreeBSD-SA-03:10.ibcs2
FreeBSD の Intel Binary Compatibility Specification 2 (iBCS2) バイナリ対応機能に欠陥。 iBCS2 対応機能が有効な場合に iBCS2 版の statfs(2) を長大なパラメータで呼び出すと、 広大な kernel メモリが返ってくる。 これにはさまざまなセンシティブ情報が含まれている可能性があるため、 センシティブ情報を利用した権限上昇などが可能になる可能性がある。 iBCS2 対応機能はデフォルトでは有効ではないが、 kernel loadable module (ibcs2.ko) もあるので注意されたい。
RELENG_3 および RELENG_4_3 以降に fix が含まれたので、最新の source にしてから kernel を再構築しインストール、再起動すればよい。
[SECURITY] [DSA-354-1] New xconq packages fix buffer
overflows
CVE: CAN-2003-0607
[SECURITY] [DSA-355-1] New gallery packages fix cross-site
scripting
CVE: CAN-2003-0614
[SECURITY] [DSA-356-1] New xtokkaetama packages fix buffer
overflows
CVE: CAN-2003-0611
[SECURITY] [DSA-358-1] New kernel source and i386, alpha
kernel images fix multiple vulnerabilities
CVE:
CAN-2003-0461
CAN-2003-0462
CAN-2003-0476
CAN-2003-0501
CAN-2003-0550
CAN-2003-0551
CAN-2003-0552
CAN-2003-0018
CAN-2003-0619
[SECURITY] [DSA-358-2] New kernel packages fix potential "oops"、 [SECURITY] [DSA-358-3] New kernel packages fix potential "oops"。 oops ですか……。
[SECURITY] [DSA-359-1] New atari800 packages fix buffer
overflows
CVE: CAN-2003-0630
[SECURITY] [DSA-360-1] New xfstt packages fix several
vulnerabilities
CVE: CAN-2003-0581
CAN-2003-0625
[SECURITY] [DSA-361-1] New kdelibs packages fix several
vulnerabilities
CVE: CAN-2003-0459
CAN-2003-0370
[SECURITY] [DSA-361-2] New kdelibs-crypto packages fix multiple vulnerabilities
[SECURITY] [DSA-362-1] New mindi packages fix insecure
temporary file creation
CVE: CAN-2003-0617
[SECURITY] [DSA-364-1] New man-db packages fix buffer
overflows, arbitrary command execution
CVE: CAN-2003-0620
CAN-2003-0645
デフォルト状態ではこの問題は発生しない。
[SECURITY] [DSA-364-2] New man-db packages fix problem with DSA-364-1 。前の版だと segmentation fault するのだそうで。 テストしているのだろうか……。
[SECURITY] [DSA-365-1] New phpgroupware package fix several
vulnerabilities
CVE: CAN-2003-0504
CAN-2003-0599
CAN-2003-0657
[SECURITY] [DSA-366-1] New eroaster packages fix insecure
temporary file creation
CVE: CAN-2003-0656
[SECURITY] [DSA-367-1] New xtokkaetama packages fix buffer
overflow
CVE: CAN-2003-0652
[SECURITY] [DSA-368-1] New xpcd packages fix buffer overflow
CVE: CAN-2003-0649
[SECURITY] [DSA-369-1] New zblast packages fix buffer
overflow
CVE: CAN-2003-0613
[SECURITY] [DSA-370-1] New pam-pgsql packages fix format
string vulnerability
CVE: CAN-2003-0672
イラク駐留米軍の泥沼 (tanakanews.com)。実に興味深い。
不当逮捕・盗み多発 イラク駐留米兵に苦情2517件 (asahi.com)。 米軍って、こんなのばっかですね。
長期休暇中のセキュリティ対策について (Microsoft)。
長期休暇に入る前の対策は万全ですか?
ぜんぜん万全じゃないですね。ははは…… (乾いた笑い)。
Windows Update から最新の修正プログラムを適用してください。
先日も、 「Windows Update したら、シャットダウンできなくなっちゃいました」 なんて相談を受けたりして……。世の中ままなりません。
2003上半期ベストセラービジネス書 〜プロマネ志望者必読の8冊〜 (@IT)。 不確実性のマネジメント がないのはだめすぎだな、と言ってみるテスト。
W32.HLLW.Antinny (沙耶16歳さん)。 そういうフォルダ名なわけですか……。 日本語版: W32.HLLW.Antinny (シマンテック)。
ツーカーセルラー東海から回答書がきた (高木浩光@茨城県つくば市 の日記)。
EZwebサーバーを実際に管理・運営しているKDDIにおいてもご指摘の事象については認識しており、その対策について検討を行っていると聞いております。状況ご斟酌頂き、何卒ご理解賜りますよう宜しくお願いいたします。
日本語に訳すと「とりあえず何もしない」ですね。
「脱ゴーマニズム裁判を楽しむ会」という名前通り、この5年間、私たちは十二分に楽しむことができました。
【レポート】住基ネット第2次稼働間近 - その現状と問題点とは (MYCOM PC WEB)。
無線LANのセキュリティに関するガイドライン (JEITA)。 2003.08.06 になってようやくこういうものが出てくる、というのがなあ。
[aml 35220] ベルギーの人道処罰法が廃止。♪帝国は〜とても〜強い〜。
ipcat (ip packet generator/sniffer) Version: 20030601。
eEye の RPC/DCOM Scanner が 1.0.4 になったらしいです。
Xprobe2 0.2rc1 release, white paper release, and Blackhat presentation availability。
Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策 の話。
方法 B: 2つのクッキーを使い分ける
(中略)
このとき、暗号化で保護が必要な画面(https://...を使うことにした画面)に対して、https://...でアクセスされても情報を表示しないようにサイトを作る必要があります。そうしないと、攻撃者は、盗聴で盗み出した https://... 用のsecure属性付きのクッキーを使って重要情報にアクセスできてしまうからです。
何か変じゃないですか? > IPA ISEC。 https:// を使うことにした画面に https:// でアクセスしたら情報を出さない、というのは……。
直ったようです。おつかれさまです > IPA ISEC の中の人。
[RHSA-2003:196-02] Updated Xpdf packages fix security vulnerability.
CVE: CAN-2003-0434
[RHSA-2003:238-01] Updated 2.4 kernel fixes vulnerabilities
CVE:
CAN-2003-0461
CAN-2003-0462
CAN-2003-0476
CAN-2003-0501
CAN-2003-0550
CAN-2003-0551
CAN-2003-0552
[RHSA-2003:187-01] Updated 2.4 kernel fixes vulnerabilities and driver bugs を置きかえ
[RHSA-2003:162-02] Updated Mozilla packages fix security vulnerability.
CVE: CAN-2002-1308
[RHSA-2003:234-01] Updated semi packages fix vulnerability
CVE: CAN-2003-0440
[RHSA-2003:221-01] Updated stunnel packages fix signal vulnerability
CVE: CAN-2002-1563
[RHSA-2003:222-01] Updated openssh packages available
CVE: CAN-2003-0190
[RHSA-2003:255-01] up2date improperly checks GPG signature of packages
CVE: CAN-2003-0546
NetScreen Security Advisory 57739: Potential Denial of Service of Security Device
これの話? : NetScreen ScreenOS 4.0.3r2 DOS
[SECURITY] Netfilter Security Advisory: NAT Remote DOS (SACK mangle)
Linux 2.4.20 および最近の 2.5 で、CONFIG_IP_NF_NAT_FTP か CONFIG_IP_NF_NAT_IRC が有効な場合、あるいは ip_nat_ftp か ip_nat_irc モジュールが load されている場合に欠陥。 Linux 2.4.21 で修正されている。 また Linux 2.4.20 用の patch が添付されている。 CVE: CAN-2003-0467
leak of information in counterpane/Bruce Schneier's (now open source) Password Safe program
Directory Traversal in Sun iPlanet Administration Server 5.1
Sun ONE Directory Server 5.2 および iPlanet Directory Server 5.1 Service Pack 2 で fix されているそうな。
台風 10 号情報 (NHK)。さきほど学内に避難勧告が出ました (^^;;)。
リナックスが国際セキュリティー認証を取得、独SuSE (毎日)。 SuSE Linux Enterprise Server 8 が EAL2 を取得、だそうで。
お知らせ (JPCERT/CC)。 ふと気がついたのだが、JPCERT/CC の [長期休暇を控えて] シリーズは、なつやすみには出ていないんですね。 JPCERT/CC には、なつやすみという概念は存在しないのかな。 少なくとも、某有名 ISP さんには存在しないようなのですが。
日経エレクトロニクス特別編集版「GPL最前線」モニター応募 (日経 BP)。
JNSA 「セキュリティスタジアム」セミナー。 2003.09.10。テーマは「コンピュータ・フォレンジック」。
[aml 35273] ★ハッキリした大量破壊兵器使用の張本人。Fw: [2002CostaRica] 【イラク医師が語る劣化ウラン弾被曝被害の実態】。
ハッカージャパン9月号。 やっぱり生は、ねぇ……。
ハッカージャパン9月号に「サイバー北朝鮮」という本の案内が出ていた。 著者はウラジミールさん。 おもしろそう。9/9 発売だそうだ。が、 http://www.byakuya-shobo.co.jp/ にはまだ案内がないっぽい。
APSL 2.0はフリーソフトウェア・ライセンス (slashdot.jp)。
とうとうビッグブルーが動いた--米IBM、米SCOを訴える (CNET)。 こちらも攻撃開始。
旅行は延期になったので、このページを更新。 なぜか 2 台の PC が同時に故障してるし。(T_T)
いろいろ。
[VulnWatch] tcpflow 0.2.0 Format String Vulnerability
tcpflow 0.2.0 に format バグがあるという指摘。 tcpflow 0.2.1 で修正されている。 CVE: CAN-2003-0671
[VulnWatch] defeating Lotus Sametime "encryption"
ヨワヨワ暗号ネタ。
既存のデバイスドライバを通じて任意のコードを実行させられる、という話。 事例として挙げられているのは Norton AntiVirus。
[VulnWatch] Local ZoneAlarm Firewall (probably all versions - tested on v3.1)
↑のデバイスドライバ話が ZoneAlarm にもある、という話。 関連: [VulnWatch] Vendor response to "Local ZoneAlarm Firewall (probably all versions - tested on v3.1)"。 fix はまだない。
Notepad popups in Internet Explorer and Outlook
IE で view-source: リンクをクリックするとデフォルトでは Notepad が view-source アプリとして起動されるが、 img タグと併用して Notepad を自動的に起動させると popup 広告や DoS 攻撃 (大量に使うと) が可能だ……という話。
[VulnWatch] ePolicy Orchestrator multiple vulnerabilities
NAI の ePolicy Orchestrator 2.x / 3.0 に 4 種類の穴がある、という指摘。 関連: ePolicy Orchestratorの脆弱点に関するご案内 (NAI)。patch があるので適用すればよい。
CVE: CAN-2003-0148 CAN-2003-0149 CAN-2003-0616 CAN-2003-0610 。
雑学アドバイザリの「時系列に追っかけてみよう・・・」がなかなか興味深いです。
女子高生を半年連れ回した疑いで逮捕 TV番組が発見 (asahi.com)。 TV のチカラ。
福島第二原発3号機で制御棒入れ忘れ 東電を厳重注意 (asahi.com)。豪快なミスだなあ。
台風10号、九州南部・四国方面へ 8日に上陸か (asahi.com)。 明日から移動せねばならないのだが、だいじょうぶなのかな……。
ちなみに、8/8 開催予定だった 2003 びわ湖大花火大会は 8/11 に延期されたそうです。 ご注意ください。
内田さんから (ありがとうございます):
住基ネット公開討論会の資料が県のサイトにでています。
http://www.pref.nagano.jp/soumu/shichoson/jyukisys/touron.htm
あと http://vivia.tv/ でも映像が見れます。登録が必要ですがこっちの方がクリアです。
上記サイトは「K嬢の長野県政ウォッチング日記」で知りました。
http://www2.diary.ne.jp/user/95992/
VSE7の自動アップデートを、"システム起動時"及び"ログオン時"にスケジュール設定した場合、アップデートに失敗する場合がある。 (NAI)。 ぐはぁ (吐血)。ドキュメントつくりなおさなきゃいけないじゃん。 なつやすみ前にがんばってつくったのに。
このページは、2003.08.07〜2003.08.17 の間は更新されないことが予想されています。また 2003.08.17 は計画停電のため、龍大の全ての web ページは見れなくなりますし、memo ML も停止してしまいます。 あらかじめご承知おき下さい。
InterScan VirusWall NT: 検索エンジンの自動更新時にサービスが停止する (トレンドマイクロ)。
“超特大”のセキュリティ・ホールを悪用する攻撃をラックが検知 (日経 IT Pro)。 流れてます。
消費者に理解されていない「ICタグ」 (日経 IT Pro)。 題名を「専門誌記者にすら理解されていない IC タグ」に変更すべきなのでは。
MS、Windows Server 2003対応の自動障害解析ツールを提供 (日経 BizTech)。 2003.08.15 から配布、だそうです。
ローソン 個人情報流出は業務委託先の可能性 (毎日)。 あらまあ、アイ・ティ・フロンティアですか?
Advanced Networking Pack for Windows XP の概要 (Microsoft)。
中国産ウナギ、さらに25件で合成抗菌剤検出 (asahi.com)。 この手の話、なかなかなくなりませんね。
WIDEとJPRS、首都圏災害に備えてDNSサーバーを大阪に分散 (INTERNET Watch)。 関連: JPRS update (JANOG12 meeting) (JPRS)。
住基ネット公開討論会での論議概要 (毎日)
総務省って、「セキュリティはだいじょうぶです」という念仏を唱えながら空想の利便性を追及する部署なんですね。
とりあえず、侵入テストはやってみればよいのでは。 山口氏↓は「単なる政治的なショーになってしまうのが心配だ」とおっしゃっていらっしゃいますが、ショーでもやらないことには先に進めそうにない、という状況のような気が。
ごもっともですが、おっしゃる内容を実現するには、組織を含めて一度全部捨てるしかないと思います。「現実に即した具体的なポリシーの策定・改訂とその実装」 という言葉から想起されるレベルの改訂で済む話じゃないと思います。 構造そのものを変えナイト。
ところで、誰も話題にしていないようですが、「Windows NT を使っている」という部分は、今後どうなる (というか、総務省はどうするつもり) なんでしょう。 つくりなおすならいい機会だと思うんですけどね。
関連: 東京工業大学 フロンティア創造共同研究センター 大山永昭教授 「住民基本台帳カードに関する諸動向 〜施策の狙いと普及に向けた課題〜」 (日立)。自画自賛ですか……。
Red Hat fix 追記。
FreeBSD / NetBSD / OpenBSD 情報、lukemftpd の情報を追記。
Turbolinux fix を追記。
ねたがたまっていますが、消化しきれません。 というか、締め切りを過ぎている仕事を優先しナイト……。
なんだか東京方面はどしゃぶりでたいへんみたいですね。
TCP135番ポートに対するアクセスの急増について (@police)。 手元でも 5 倍くらいになっているっぽい。 関連:
netsys.com の Full-Disclosure ML archive ですが、どうやら中身をいじくってくれたようで、link 先が変わってますね。 うーん、やっぱり bugtraq, vulwatch, full-disclosure ML くらいは自前で持つべきか。
日本ネットワークアソシエイツ、ASP型ウイルス対策サービスの機能強化 (INTERNET Watch)。
ウイルス定義ファイル(DAT)の更新時間を大幅に短縮したことだ。従来、24時間毎だったウイルス定義ファイルの更新を18時間毎に短縮したほか、接続失敗の場合のリトライ時間も従来の6時間毎から90分毎と短縮した。
18h でいいんですか?
http://www.bouei.com/ というサイト (右系かな〜) があるんですね。最初みつけたのは 吉永光里のページ (bouei.com) だったので、これはいったい何なのだろうか……とかなり悩みました。
システムの穴を「すぐに」ふさぐべき理由 (ZDNet)。 60 時間の間違いじゃないんですか?
Red Hat、「もう黙っていられない」とSCOを提訴 (ZDNet)。 攻撃開始。
作家らが「貸与権」求め訴え (NHK)。 買う気が起こらない本しかつくってないってことなんだろうなあ。
脆弱性報告と公開のポリシー (LAC SNS)。
本ポリシーの対象は市販製品になります。特定の事業者によるところの大きい情報システム及び情報機器に関しましては、本ポリシーの各条項を適用することはありません。(中略) ただし、偶発的に発見したものに関しては、例外として報告のみを行います。
ネットアーク、8月1日時点でのWinnyとWinMXの利用者数は56万ノード (INTERNET Watch)。 「調査開始2カ月で56万ノード超え」 というよりも、調査範囲が現実に追いつきつつあるという状況のような気がするなあ。
http://www.kaspersky.co.jp/ にコンテンツができつつありますね。まだ買えないみたいですが。
Tea Room for Conference No.1502 を読みながら、 そういえば、THX1138:4EB って 11 文字なんだなあ、と思ったり。 : を 1 文字と数えるのは反則かもだけど。
2. Windows 2000 Server+Citrix MetaFrameサーバ環境で、フロッピーディスク上からウイルス発見時にブルースクリーンエラーとなる問題を修正
(中略)
14. OfficeScan 5.5、パターン、エンジンアップデート時、ブルーバック問題の発生率を減少するために、フィルターを修正
先日の JWNTUG Open Talk in MSC 大阪で、小野寺さんが「Windows のブルースクリーンの半分は、アンチウィルスソフトとの不整合」だとおっしゃっていらっしゃったのを思い出した。API の整備が必要になる所以ですね。
飛行船が初めて成層圏に、航空宇宙研の滞空試験成功 (読売)。めでたい。 え? これがなぜセキュリティねたかって? 監視プラットホームにも適するからですよ。
それにしてもこの構図 (NAL)。東宝特撮映画ファンにはたまりませんな (なにかちがう)。
Linuxとフリーのツールで実現するComputer Forensic (ZDNet)。 個人的には、ヤラレ側ではなくヤリ側の方に興味があり、そういう意味で InfiniStream Security Forensics (NAI) のようなものが必要かなあ、と思ってみたりしているのだけど。 あと、「対外」だけでは済まない話もあったりするわけで、……。
戦争のボリュームコントロール (tanakanews.com)。
アメリカの属国になったイギリス (tanakanews.com)。
英政府は、F35に対して20億ポンド(4000億円強)もの開発コストを負担したにもかかわらず、BAEは部分的にしかシステムのプログラムコードを見ることができず、アメリカの許可なしには自社開発分のシステムを他に転用できないという不利な状況を受け入れるしかなかった。
おかげさまで、自衛隊 F-2 のフライトコンピュータ (FC) ソフトウェアは全部国産ですね。 下手に「共同開発」になるよりは、結果的にはよかったのかな。
ウイルスバスター コーポレートエディション 5: セキュリティサービスパック関連リンク (トレンドマイクロ)。
力の論理を超えて ル・モンド・ディプロマティーク 1998-2002 (NTT 出版)。
脆弱性情報公開はDMCA違反? (ZDNet)。そういう可能性があるということで。
Internet Week 2003、 2003.12.02〜2003.12.05、いつもの場所、だそうです。
RIAAの個人追及は「やりすぎ」とISPが提訴 (ZDNet)。
MSサイトにDoS攻撃、脆弱性とは無関係 (ZDNet)。 実際に停まってしまったから記事になっているだけで、DoS 攻撃自体は日常的に行われているんだろうなあ。
ネットジャパン、不正アクセス防止ソフト「PestPatrol」をパッケージ販売 (INTERNET Watch)。¥8,500- ですか。 アンチウィルスソフトが ¥2,000〜4,000- で買える時代としては、 いささかお高い感があるなあ。¥4,000- くらいだと「保険だと思ってアンチウィルスといっしょに買っておきましょう」とか気軽に言えそうですが……。 英語版 は $39.95 なんですよね。
[aml 35228] [映画] チョムスキー:: ドキュメンタリー2本同時上映。 2003.08.15 なかの ZERO (東京都中野区: JR / 地下鉄東西線中野駅のそば)。
ドコモ、「オレオレ詐欺」対策を強化 (日経 BizTech)。強化というか……
NTTドコモ・グループ9社は7月31日、プリペイド(料金前払い)式携帯電話サービス「ぷりコール」の悪用防止策を強化すると発表した。(中略) 9月1日以降は (中略) 一般的なポストペイド式携帯電話サービスと同様の手続きとなる。
わざわざユルい基準で売ってるものがあったので悪用された、というだけなのでは……。
Mimail というウィルスが流行ってるようですね。
京大から来てるしなあ。 関連:
postfix に 2 種類の欠陥。
1.1.9〜1.1.12 のデフォルト状態、および 1.1.8 以前で append_dot_mydomain を無効にしている状態に欠陥。 アドレス解析部分に欠陥があり、remote から DoS 攻撃を行うことが可能。
postfix 2.x にはこの欠陥はない。
1.1.11 以前に欠陥。配送先に <[server_ip]:service!@local-host-name> と指定すると、postfix は [server_ip]:service に対して SMTP 接続してしまう。このため、port スキャナや DDoS エージェントとして利用できてしまう。
postfix 1.1.12 および 2.x にはこの欠陥はない。
解決方法としては、postfix 2.x に移行するか、postfix 1.1.13 に移行するか、付属の patch を適用するか、あるいは 指摘文書 に添付されている回避手段を採用する。postfix 1.1.13 は、ミラーサイトにはまだなかったりもするようだ。1.1.12 と 1.1.13 の diff を取ってみた: postfix-1.1.12-1.1.13.diff
[RHSA-2003:251-01] New postfix packages fix security issues. を fix / patch に追記。
関連情報を追記。
ワームはまだない、 と言っている間にワームが出てきたようで。
FreeBSD の realpath(3) に wu-ftpd fb_realpath() off-by-one bug と同様の off-by-one バグがある。というか、wu-ftpd に付属しているものは FreeBSD 3.0 由来のコードだ。 lukemftpd(8) や sftp-server(8) をはじめとする、 realpath(3) を使っているコマンドに影響がある。 FreeBSD Security Advisory FreeBSD-SA-03:08.realpath に realpath(3) を使っている packages/ports の一覧がある。
RELENG_3、RELENG_4_3〜RELENG_4_8、RELENG_5_0 において修正されている。 cvsup 等を用いて最新のソースにした後に、OS を再構築する。 FreeBSD ハンドブックの 19.4. make world の利用 を参照。 また 5.1-RELEASE (RELENG_5_1) にはこの問題はない。
NetBSD / OpenBSD にも同様の問題がある。patch があるので適用しよう。
lukemftpd は '-r' オプションを使っていない場合に root を取れるそうだ:
これにあわせて FreeBSD SA が改訂されている:
「スーパーフリー」黒幕的存在の素顔 (TBS NEWSi)。いやはや。
戦闘地域の線引きは不可能との見方 (TBS NEWSi)。区別できません。
[aml 35157] 7/14 関電交渉/「候補地点に御坊市が入っているかどうかは言えない」(美浜の会HP)。
「アメリカで (小島注: 使用済み核燃料の輸送・貯蔵) キャスクに重大な欠陥が見つかっているという事実そのものは把握しているのか」と関電に聞くと、関電は「そのような事実は一切知らない」と答えた。また、ホルテック社の技術を導入した三井造船のキャスクを使うのかどうかについても、「まだ何も決まっていないから答えられない」という。まったく無責任きわまりない。アメリカで現実にキャスクに重大な欠陥があると言われており、大きく報道されている。しかも、同じ会社の技術で作られたキャスクを使用するかも知れないのである。関電として、「知らない」ではすまされないはずである。
セキュリティ対策の再確認について (cyberpolice.go.jp)
近々、日本国内のサイトに対し攻撃が行われる可能性があるという情報を入手しました。
と申されましても、日常とどう違うのかさっぱりわかりませぬが……。 @ Everyday People (blogspot.com) さんによりますと、「中国愛国同盟 8.1 日本進行一次愛国的网絡攻撃」なのだそうです。って、もうすぐ 2003.08.01 は終ってしまうんですけど……。手元的にはなにもなかったんですけど。
[aml 35180] 【都教委】「独特な目つき」「共感性乏しい」など、全児童に75項目の調査。すさまじいですね。東京都、さすがです。
IISShield 1.0.2 が出ています。
IIS Crash/Hang Agent & IIS Dump (Microsoft)。
IPv6 Internet Connection Firewall SDK (Microsoft)。
監視カメラ専門家会議がスタート 東京・杉並区 (毎日)。
Win-Trap 1.0。 buffer overflow 防御ソフトみたい。シェアウェア $20。
@stake tool announcements: NetScan / MobilePenTester / PDAZap。
Debian 10周年記念/Vine 5周年記念 - 新宿BOF開催 (debian.or.jp)。2003.08.16 00:00〜05:00。¥1,000-。
「トロイの木馬」入りスパムが増加中 英社調査 (毎日)。 少なくとも私の手元ではそのような現象は観測されていないのだが……。
住基ネットねた (毎日):
FSAV for SAMBA (F-Secure)。 10 月末までキャンペーン価格だそうで。サーバ数 1 の場合の単価は ¥40,000-。 F-Secure アンチウィルス for Linux からのアップグレードも可能だそうで。
Apache 1.3.28 では CGI で不具合が出るようですね。 参照: [Apache-Users 2925] など。 CGI を使っている人は、1.3.28 への移行は待った方がよさそう。
[aml 35205] 緊急集会・フジモリ元大統領の引渡請求される!。 日本政府は「やなこった」と言っているようですな。
固まった「30日+30日」の脆弱性公表ルール (ZDNet)。 OIS の Guidelines for Security Vulnerability Reporting and Response Process - V1.0 (oisafety.org)。
ベガスに結集、セキュリティコミュニティーは前進できるか (ZDNet)。
これらをはじめ過去1年間に発見された数多くの脆弱性は、「情報セキュリティ」への関心の高まりとは裏腹、「情報」と「セキュリティ」という2つの単語は、いまだ相いれない関係にあるという、一部の批判的意見の裏付けとなっている。
そもそも「関心の高まり」なんてものは存在しないと思うけど。 特にコンシューマー方面には。 半径 50m 以内もコンシューマーだらけだなあ……。
米国防総省の『ライフログ』プロジェクト、真の目的は人工知能構築 (WIRED NEWS)。スカイネットですか? :-)
米国防総省、将来のテロ攻撃などについて賭け金を集める市場を構想 (WIRED NEWS)。USA がやったのでは、ただの自作自演になると思うのだが。
ワイデン上院議員は、政策分析市場は、退役海軍中将のジョン・ポインデクスター氏の監督のもとで実施されていると述べた。ポインデクスター氏はTIAプログラムの責任者で、1980年代にはレーガン大統領の国家安全保障顧問だった。
関連: 賭け金を集める「政府運営の政策分析市場」、支持派が反論 (WIRED NEWS)。
PivX な人は I can positively confirm this vulnerability on both WMP 7 and 8 on Windows 98, ME, 2000, XP and 2003 だそうなのだが、手元では再現できない……。 .asf ファイルに何か仕込んであるんですかねえ。 いずれにせよ、Windows Media Player 9 な環境では問題ないのだそうだ。
螺旋さんという方からもこれの情報を頂いたのだが、螺旋さんのところでは再現できているのだろうか……。
Solaris 2.6〜9 (sparc/x86) の ld.so.1 に欠陥。LD_PRELOAD 環境変数に長大な文字列を設定すると buffer overflow が発生するため、 SUID root なコマンドを利用するなどして、local user が root 権限を奪取可能。 具体例として、/usr/bin/passwd を利用した攻撃に成功したという。 patch があるので適用すればよい。
CVE: CAN-2003-0609
発見者による情報: [Full-Disclosure] Solaris ld.so.1 buffer overflow。
日本語版: #57: EXTPROC実行モジュールの潜在的なセキュリティの脆弱性、対抗策 (oracle.co.jp)
関連: Oracle Extproc Buffer Overflow (#NISR25072003)
NGSSoftware alerted Oracle to this vulnerability on 30th September 2002.
泣けますね……。
日本語版: #56: E-BUSINESS SUITE の潜在的なバッファ・オーバーフロー・セキュリティの脆弱性、対抗策 (oracle.co.jp)
関連: Integrigy Security Alert - Oracle E-Business Suite FNDWRR Buffer Overflow
日本語版: #55: EBSの一部のjspファイルの潜在的なセキュリティの脆弱性 (EBS11i 11.5.1 - 11.5.8)、対抗策 (oracle.co.jp)
関連: Oracle E-Business Suite AOL/J Setup Test Information Disclosure
#56 と #57 は特にヤバそうですね。patch があるそうなので、適用しましょう。
Oracle の日本語セキュリティページって新しくなっていたんですね。日本語でも通報できるみたい:
製品等における脆弱性が発見された場合、日本オラクルとサポート契約をお持ちのお客様はOiSCにログインしTARを使ってご連絡をお願いします。それ以外の場合は詳細情報を[email protected] 宛にご連絡ください。
Linux 2.4.20 以前に欠陥。 NFSv3 プロシージャコールの XDR データ処理部に int と unsigned int を混同する個所があるため、remote から DoS 攻撃が可能。 Linux 2.4.21 で修正されている。
CVE: CAN-2003-0619
Linux 用の VMware GSX Server 2.5.1 以前、Linux 用の VMware Workstation 4.0 以前および VMware ESX Server 1.5.2 patch 3 以前に欠陥。 環境変数の処理に何らかの欠陥があり、仮想マシンの起動時に (ということは local user が、だろう) root 権限を持つシェルなどを起動可能。
GSX Server 2.5.1 patch 1、VMware Workstation 4.0.1、ESX Server 1.5.2 patch 4 で修正されている。
KDE 3.1.2 以前に含まれる Konqueror (web ブラウザ) に欠陥。 http://user:password@host/ 形式で接続すると、その認証データを Referer の形で他のサイトに送ってしまう。
KDE 3.1.3 で修正されている他、KDE 2.2.2 / KDE 3.0.5b に適用できる patch が ftp://ftp.kde.org/pub/kde/security_patches に用意されている。
CVE: CAN-2003-0459
やばすぎるコードの話のつづき、CERT Advisory。
UpdateEXPERT 5.1 日本語版の情報を追記。UpdateEXPERT 5.1 日本語版ではファイルバージョンもチェックしているそうです。 能祖さん情報ありがとうございます。
wu-ftpd 2.5.0〜2.6.2 に欠陥。fb_realpath() 関数に off-by-one バグがあるため、 STOR RETR APPE DELE MKD RMD STOU RNTO コマンドで buffer overflow が発生する。 この結果、remote から root 権限を奪取できる場合がある。
CVE: CAN-2003-0466
関連:
FreeBSD Security Advisory FreeBSD-SA-03:08.realpath: wu-ftpd に付属しているものは FreeBSD 3.0 由来のコードなので……。
[Full-Disclosure] wu-ftpd-2.6.2 off-by-one remote exploit.: さっそく出てますね……。
Turbolinux Security Advisory TLSA-2003-46: wu-ftpd を fix / patch に追記。