Last modified: Fri Apr 14 17:37:39 2000 +0900 (JST)
1999.08.04 に中央公聴会を開き、1999.08.05 には強行採決しようという動きに対応して、JCA-NET でふたたび要請文への賛同者を募集している。もう後がない。声を上げよう。
「秘密保持」と「盗聴」は矛盾 傍受法に異論 日本インターネット協会会長 (1999.07.30)
問題点がわかりやすくまとまっている。ようやく政府も個人情報保護法の検討を始めるようだが、盗聴法案とは違って時間がかかるんだろうな。
「POPサーバーをコピー」 法務省、メール傍受捜査の方法示す (1999.07.29)
電子メールの盗聴は /etc/aliases などに copy 先を書くことで実行するということなのだそうだ。
「携帯傍受は困難」 参院通信傍受法審議で専門家指摘 (1999.07.28)
そうかケータイか。でもそのうち盗聴できるようになるだろうけど。 ナニシロ大手をふって盗聴しようとしてるんだからなあ、技術開発もやりほうだいだよなあ。
NTT労組、傍受法に異議 「立ち会い条項」削除求める (1999.07.28)
超巨大組織 NTT ですらこれなので、弱小 ISP にとっては致命的である。おまけに、立ちあうといってもほんとに立ってるだけしかできないんだし。
UNIX の manual page を記述する n/troff において、 ファイルを読み書きしたりコマンドを実行したりできる。 これを使って、manual page に危険なコマンドを仕込んでおくことが可能だ、という指摘。危険だと指摘されているのは .pso command および .write stream string マクロ。
これに対して、 これは最新の CRYPTO-GRAM (July 15, 1999) で指摘されており、また .sy command も危険だというフォロー、 .pso は GNU groff 特有であるというフォロー、 -msafer をつければ disable されるよというフォローがされていた。 Linux だと /etc/man.conf とかで設定できるみたい。 FreeBSD では man コマンドは suid man だから致命的な事態だけは避けられそうだけど、気分はよくないなあ。 tmac.an とかで tmac.safer を読み込むようにすればいいのかな?
1999.08.06 追記: OpenBSD や FreeBSD-current では、nroff コマンド (中身は groff を呼び出す shell script だ) において groff -S とすることで fix していた。 FreeBSD の ja-groff パッケージの場合 /usr/local/bin/gnroff を修正することになる。 -S 相当が常に実行されるよう groff を修正したほうが more secure なような気がするが……。
Windows NT 4.0 付属の dialer.exe が dialer.ini ファイルの解釈時に buffer overflow する弱点。この弱点を利用するには Dialer が利用可能で、かつ dialer.ini ファイルを改変する必要があるため、dialer.ini ファイルの保護モードが重要になる。
NT Workstation/Server においては、dialer.ini は %systemroot% にあり、デフォルトでは world-writable だ。オオ、サイテー。 多くの人が実施していないと思われる Securing Windows NT Installation においては、Administrators/Creater Owner/System:Full Control, Everyone:Read に変更することが推奨されている。 そんなこと言うなら最初からそうしてよね。 NT Terminal Server Edition においては %systemroot%\Profiles\%username%\Windows にあり、これは world-writable ではない。さすが TSE。
patch (当然英語版) が発行されている。
Windows NT Server; Windows NT Server 4.0, Enterprise Edition; and Windows NT Workstation 4.0:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/
NT40/hotfixes-postSP5/Dialer-fix/
Windows NT Server 4.0, Terminal Server Edition:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/
nt40tse/hotfixes-postSP4/Dialer-fix/
参考資料:
FAQ: http://www.microsoft.com/security/bulletins/MS99-026faq.asp
KB: Q237185, Dialer.exe Access Violation with Phone Entry more than 128 Bytes
日本語 Security Advisor ページでも紹介されている: 「Dailer.exe を使用して不正に権利を取得する [1999/7/30]」。マイクロソフト日本法人は本当に告知が速くなりました。すばらしい。
1999.08.05 追記: サンプルコードが NTBUGTRAQ に投稿されていた。
1999.09.09 追記: ようやっと日本語 patch が出た。もうちょっと早くならないのかねえ。 ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/Dialer-fix/ から入手できる。
2000.04.14 追記: 日本語 KB が改訂され、NT TSE 版 fix の情報が追加された: J049358, [NT] ダイヤラ終了時にアクセス違反が発生する。
l0pht 重工から新しいツール AntiSniff β版発表のおしらせ。 AntiSniff は remote から network sniffer を検知するというかつてない tool。 現在は Windows9x/NT 用のβ版が配布されており、UNIX 版も登場予定という。
どうやって sniffer を発見するのかについては ECHNICAL DETAILS に記述されている (らしい……私にはよくわからん)。これに対し、全ての sniffer を検知できるわけではないという意見や、 さらには、AntiSniffer に発見されない sniffer "AntiAntiSniffer Sniffer" (+ patch) なんてものまで登場している。 まあ、IDS が完全ではないように、AntiSniffer も完全ではないだろう。しかし、detect tool の 1 つとして使う限りは有用となると思う。
参考: L0phtが『アンチスニッフ』を発表 (from WIRED NEWS, 7月23日 12:00pm PDT)
いいかげん、PDF で配布するか MacOS/UNIX 版の WordViewer つくってくれないかなあ。自己解凍ファイルっていうのもあれだし。
inetd を置きかえる rlinetd というがあるのだそうだ。 最新リリース版は 0.4。instances (サービスあたりの最大プロセス数) や nice や chroot や rlimit が指定できたりする。 もちろん tcp_wrapper 標準組み込み。IPv6 もサポートしているそうだ。ううむ。 RPM 形式は ftp://ftp.falsehope.com/pub/rlinetd から入手できる。
話題の MSN Messenger だが、後発のくせに ICQ や AIM の教訓を生かせておらず、いくつかの security hole がある、という指摘。指摘されているのは以下の点:
パスワードおよびコンタクトリストが平文でレジストリに記録されてしまう。
インスタントメッセージは暗号化なしの MIME 形式で送られる。 起動時に RSA どーたらとか表示されるにもかかわらず。
MSN Messenger を使うには Hotmail のアカウントが必要となる。 ところが、Hotmail では 120 日使われないとアカウントを消去してしまう。 このため、次のような状況が発生する可能性がある。
Hotmail に登録。
120 日使わない→アカウント消去。
誰かが同じ名前で登録→合法的なりすまし?!
多目的 proxy サーバ DeleGate において、一時ファイルなどが mode 777 になってしまうという指摘。 これはどうもそういう仕様のようなのだが、少なくとも /tmp/delegate/ 以下につくられるものについては umask に従っていたはずだ。 cachedir (/var/spool/delegate) につくられるものについてはその限りではないが、 せっかくなので、手元の 5.9.1 で使っている、強制的に mode 775 にする patch を投稿した。 要は、source で 777 とか 666 とかで決め打ちになってるところを 775 とか 664 に変えただけである。
もうすぐ DeleGate 6.x が登場するようだが、このあたりは変更されているのだろうか……。
1999.11.08 追記: ついに delegate 6.0.0 がアルファリリースされた (すでに fix 版 6.0.1 もリリースされている)。 上記についても
CONSIDERABLE INCOMPATIBILITY WITH DeleGate/5.X AND FORMERS ……(中略) Permissions of directory/file - created directory/file is set non-writable by others by default - can be compatible with former versions by SHARE=""
となっている (README からの抜粋)。その他多数の改善点があるが、まだ alpha 品質という位置付けとなっている。
GNU Finger 1.37 には昔指摘された bug が今だに残っている、という指摘。 しかし、いまどき GNU Finger なんて使いますかねえ。
しまった〜、今日宴会じゃん。更新しているヒマがないぞ。
ASUS って「エイサス」と読むとばかり思っていたのですが、ほんとは「アスース」って読むんですか?
local で security incident が発生してしまったため、ここの更新のための時間がとれなくなってきてます。げろげろ。
1999.07.26 の 日本語 Windows NT 4.0: MS99-021, 020, 017, 015 対応 patch に追記した。MS99-017 用として紹介した patch は、実際には MS99-017 と MS99-016 用の patch だった。
1999.07.19 の Root Perms Gained with Patrol SNMP Agent 3.2 (all others?) に追記した。実は old news だった。
WindowsNT World での「NT セキュリティ・テクニック」連載記事が集まっている……というか、著者自身のサイト。スルドいドメイン名である。
それにつけても、WindowsNT World での「NT セキュリティ・テクニック」の連載終了は大ショック。WindowsNT World の価値が 33% down (当社比) だ。 「NT セキュリティ・テクニック」連載最終回には、SP5 で直っているとされている \?? bug は実は直っていないのではないかという話も出てきて必読だ。
セキュリティチェックツール tiger に弱点。 local user が tiger の実行権限 (通常 root) で動作できるコマンドを製作することができる。2.2.3 および 2.2.4 への patch が ftp://net.tamu.edu/pub/security/TAMU/ に用意されているので適用する。最新版は 2.2.4p1 だ。
AN HTTPD 1.19b 以前に弱点。"..." バグがあり、ドキュメントルートの上位にあるファイルを読み出せてしまう。 1.19c で fix されているので、AN HTTPD ユーザは最新バージョンに入れかえよう。 参考: Microsoft Personal Web Server bug (MS99-010)
1999.07.26 の IIS respond private address に追記した。日本語 KB の情報を追加した。
全日空ハイジャック事件、すごい展開である。 1 か月以上前に犯人が羽田のセキュリティホールを警備当局およびマスメディアに詳細にレポートしていたにもかかわらず、何の対策も行われなかったとは……。 このために、指摘したとおりの手口を使った凶器の持ち込みを許し、ひいては人命まで失われる結果を招いてしまった警備当局の責任は重大である。
この話を知ったとき、IIS 4 の .htr バグに対する eEye の対応を思いだした。
17:43 現在 http://www.securityfocus.com/ にアクセスできない……止まっている?!
IIS 4 では Content-Location: に IP address がまるみえになっちゃう、という指摘。 firewall の内側 (あるいは DMZ) の IIS を外に見せている場合、これはちょっとイヤですよね。 これを防止するには KB Q218180 Internet Information Server Returns IP Address in HTTP Header (Content-Location) に従って設定すればよいと問題提起者自身によりフォローされている。
1999.07.27 追記: 日本語 KB は J048305 [IIS]IIS が HTTP ヘッダーに IP アドレスを返す だ。匿名希望さん、いつも情報ありがとうございます。
Linux 2.0.3[67] において、nmap などによる port scan を防止する patch。
なんと、Windows9x のブルースクリーン (blue screen of death, またの名をブルーサンダー, OS クラッシュ画面) の色はカスタマイズ (!) できるのだそうだ。 これは秀逸なパーティージョークだなあ。
WindowsNT では動かないとの指摘を受けたので改訂しました。確かに
This program seems to have no effect under Windows NT
と書いてあります。春山さんご指摘ありがとうございます。
RedHat Linux 6.0 に含まれる gnumeric 0.23 に潜在的なセキュリティホール。 これを fix したとする 0.27 版の package が用意されている。詳細は Errata を参照のこと。
他のプラットホームでも同様なんだろうなあ。
1999.07.21 の The Samba Team is pleased to announce Samba 2.0.5 に追記した。 RedHat Linux 用の fix package が登場した。
1999.06.08 の MacOS X system panic with CGI に追記した。fix が登場した。
日本語 Windows NT 4.0 用の post-SP5 hotfix が大量に登場している。
MS99-021: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/CSRSS-fix/
MS99-020: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/LSA3-fix/
MS99-017: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/RAS-fix/ および ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/RASPassword-fix/
MS99-015: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/WinHLP32-fix/
いづれも日本語 Security Advisor ページではまだアナウンスされていないようだ。
1999.07.27 追記: 上記で MS99-017 として紹介したものは、MS99-016 と MS99-017 の間違いだった。 以下、訂正版:
MS99-017: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/RASPassword-fix/
(RRASPassword-fix 日本語版はない: そもそも RRAS 日本語版がないから当然か)
MS99-016: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/RAS-fix/
1999.07.23 の iplogger Ymas problem に追記した。iplogger 1.2 の出所に関する情報を追加。
1999.07.21 の Microsoft Security Bulletin (MS99-025): Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS が 1999.07.23 (現地時間) 付けで update されている。 改訂が多岐にわたるので、改めて全体を記述する。追加情報もある。
IIS 3 or 4 を利用していて、かつ
MDAC 1.5 あるいは 2.0 をかつてインストールしたことがある場合、あるいは
全バージョンの MDAC SDK において "Sample Pages for RDS" をインストールした場合
に弱点。 remote user が IIS を動作させている機械の特権ユーザとして Shell コマンドを実行できてしまう。 NT Option Pack のデフォルトでは MDAC 1.5 がインストールされる。 Sample Pages for RDS は、NT Option Pack のデフォルトではインストールされないが MDAC 2.0 SDK ではデフォルトでインストールされる。 かつて MDAC 1.5/2.0 をインストールし、現在では MDAC 2.1 に version up している場合でも問題は継続している。多くの site ではかつて MDAC 1.5/2.0 をインストールしたはずなので、広範囲の site に影響があるはずだ。
この bulletin は MS98-004 の再発行という位置付けになっている。 問題発見者自身による記事によれば、MS98-004 時点では userid と password がわかなければコマンドは実行できないとされていたが、今回新たに SYSTEM 権限で、しかも password なしで (!!) コマンドを実行できてしまうことが判明したという。 NTBUGTRAQ モデレータ の Russ 氏もこの問題は重大であると警告している。
解決方法は次のとおり (この部分は bulletin ではなく MS99-025 FAQ を見て書いてます):
MDAC 1.5/2.0/Sample Page for RDS をインストールしており、MDAC に含まれる RDS DataFactory を使用しない場合:
IIS から /msadc 仮想ディレクトリを削除し、かつ
以下のレジストリを全て削除する。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\RDSServer.DataFactory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\AdvancedDataFactory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\VbBusObj.VbBusObjCls
特に、3 番目のものを削除しないと NTBUGTRAQ に投稿された sample attack code に対抗できないという。 安全のため、全て削除しよう。
MDAC 1.5 をインストールしており、MDAC に含まれる RDS DataFactory を使用する場合:
MDAC 2.1 をインストールし、次項に従ってレジストリを設定する。
SP4 の y2setup を実行すると MDAC 2.0 SP1 がインストールされます。 2.0 系列は 2.0 SP2 が最新、2.1 系列は 2.1.1.3711.11 (GA) が最新です。 MDAC の入手などについては Microsoft Universal Data Access のページを参照してください。
MDAC 2.x をインストールしている場合:
次のレジストリエントリを (存在しなければ作成し) 1 に設定する。
Hive | HKEY_LOCAL_MACHINE\SOFTWARE |
Key | Microsoft\DataFactory\HandlerInfo\ |
Name | HandlerRequired |
Type | DWORD |
Value | 0="unsafe mode" 1="safe mode" |
自己展開ファイル handsafe.exe から得られる handsafe.rem を handsafe.reg にリネームして regedit で設定するのが簡単です。 なお、MS99-025 公開当初は handsafe.exe ではなく handunsf.exe というファイルが公開されていたそうですが、handunsf.exe には間違った情報が書かれていたそうです。 早期に handunsf.exe で対応された方、ご注意ください。
Sample Page for RDS をインストールしている場合: 以下のいづれかを実行する。前者が最良。
%systemdrive%\program files\common files\system\msadc\samples 以下を全て削除する。
%systemdrive%\program files\common files\system\msadc\
samples\selector\middle_tier\vbbusobj\vbbusobj.dll ファイルを削除し、かつ
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/
Parameters/ADCLaunch/VbBusObj.VbBusObjCls
レジストリキーを削除する。
Microsoft Knowledge Base (KB) はこちら:
J042933, [IIS]RDS、IIS、ODBC のセキュリティ
参考資料:
ITE News: ITE Discovers Many Microsoft IIS Servers Vulnerable to Attack (7/19/99) - 発見者の site
管理者の怠慢? 大手サイトでも埋められていなかったセキュリティホール (from ZDNet News, 1999.7.19 4:22 PM PT)
サイトを危険にさらすMS『IIS』のバグ (from WIRED NEWS, 7月20日 12:00pm PDT)
日本語 Security Advisor ページの「RDSによる無許可アクセス [1999/7/21]」
IIS RDS Vulnerability (from NTBUGTRAQ home page, 7/24/99 10:23:15 AM)
Alert: IIS RDS vulnerability and fix (from NTBUGTRAQ, Fri, 23 Jul 1999 11:35:11 EST) - sample attack code!
NTのセキュリティーホールに別の侵入法が「開発」される (from WIRED NEWS, 7月23日 1:25pm PDT)
1999.08.04 追記: MS99-025 FAQ の日本語版が出てます。J049349, [IIS]Microsoft Security Bulletin MS99-025 の FAQ
1999.07.12 の HP SECURITY BULLETIN: #00100, The current directory is in the root user's PATH after logging in using CDE に追記した。bulletin の新版が出ていた。
TCP および ICMP コネクションを syslog 経由で log する tool "iplogger" 1.2 において、nmap などの port scan を log するためには Ymas (0x80) bogus flag もチェックしなければならないという指摘。patch が添付されている。
iplogger 1.2 ってどこから入手できるか、ご存知の方はいらっしゃいますか? 1.1 ならみつかるのですが……。
1999.07.26 追記: iplogger 1.2 というものは、RedHat がそう呼んでいるだけで実際には存在しないことがわかった。以下にまとめる:
Mike Edulla 氏が iplogger を作成した。最終バージョンは 1.1?
iplogger をベースに、[email protected] 氏が iplog を作成した。といっても、原形を止めないほど変更されている。 最新バージョンは 1.8。iplog では UDP もサポートされている。
RedHat Linux には iplogger-1.2 というものが入っているが、こいつは iplog に patch を適用したものだ。
% rpm2cpio iplogger-1.2-1.src.rpm | pax -v -rw-r--r-- 1 root wheel 8618 Feb 24 11:55 iplog-1.2.tar.gz -r-xr-xr-x 1 root wheel 1096 Feb 24 13:43 iplog.init -rw-r--r-- 1 root wheel 422 Feb 24 15:36 iplogger.patch -r--r--r-- 1 root wheel 2439 Feb 24 15:56 iplogger.spec
もと記事が述べている点については iplog 1.8 でも fix されていないように見える。 また、Debian GNU/Linux についてくる iplogger は 1.1 base のものだ。 iplogger を使っているのなら iplog 1.8 をがんばってインストールしたほうがいいと思う。
和田さんと佐藤@神奈川大学さん、情報ありがとうございました。
junk filter/privacy enhancer 用の proxy server として利用できる interMute だが、interMute を利用している他の user からの攻撃は防げないという指摘。
毎日新聞が 1999.07.18 朝刊に、一般市民の恐怖心をあおるだけの効果しかないクズのような Back Orifice 2000 (BO2K) に関する記事を載せたため IPA に問いあわせがきて、IPA がこれに関する解説記事を web に掲載することになったという話。
自分たちの記事が原因にもかかわらず「問い合わせ続出で」などと他人事のように書く毎日新聞記者の神経を疑わざるをえない。それが何で、どのような問題があり、どのように防げるのかくらい最初からきちんと書くのが新聞記者ってもんだろう。メディア人としての自覚はあるのか。こんなことだからサイバッチにバカにされるのだ。
BO2K については 1999.07.09 にはじまる記事を参照。
1999.07.19 の Y2K/HTMLA-fix updated に追記した。日本語 KB が出た。
盗聴法案のへの要請文の署名のおねがい。締め切りは 07.24 (明日!) だ。急げ。
http://www.jca.apc.org/privacy/ は情報がよくまとまっているなあ。
各種 OS に関する Security Bulletins の入手先がまとめられている。 Internet に露出している OS の Security Bulletins は可能な限り直接入手するようにしておこう。このページのような 2 次情報源はどうしても遅れがちだ。
SGI Array Services (array_services(5)) を構成する arrayd(1m) に弱点。array.auth(4) でのデフォルト設定に問題がある。デフォルトのままだと array 中の全ての clustered systems に local/remote user が root 権限でアクセスできてしまう。arrayd があるのは UNICOS 9.0 以降および IRIX 6.4 以降 (IRIX 6.2, 6.3 ではオプションとして供給)。
とりあえずの対策としては、array.auth を設定して SIMPLE authentication を有効にする。方法は Advisory に記述されている。
この件で CERT Advisory も出ている: CERT Advisory CA-99-09 Array Services default configuration
SKIP (Simple Key management for Internet Protocols) の mailing list が SKIP-info ML として再登場したというおしらせ。 http://www.skip.org/ から情報が得られる。
1999.06.29 の Attachments and MS Outlook and virusprotection に追記した。日本語版 patch が登場した。
AMaViS mail virus scanner 0.2.0-pre4 に弱点。remote user が root 権限で任意のコマンドを実行できてしまう。 この不具合は 07/19/1999 にリリースされた 0.2.0-pre5 で fix されている。 最新は 0.2.0-pre6 だ。
RedHat Linux 5.0〜5.2 のデフォルトの sendmail.cf に弱点。
RCPT TO: <"[email protected]"@relay.host.name>
形式の RCPT TO: を受けとると「意図しないメール中継」を行ってしまう。 まあ、日本ではふつう sendmail-8.9.3 + CF-3.7pl2 で sendmail.cf は即座につくりなおしているだろうけど。
IPX を利用するよう設定されている Novell Netware 5 SP2 (およびそれ以前) に弱点。管理者が使用する機械の MAC アドレスを使って管理者のセッションを hijack することができてしまう。 これは 1 年以上前に発見されたものだが Novell はいまだに fix していない、としている。 Pandora v4 にはこの攻撃コードが含まれている。 詳細については http://www.nmrc.org/pandora/ncp.txt 参照、だそうだ。
対策としては、いかなる場合でも Packet Signature Level 3 を使い
さらにクライアント側では signature 設定を変更できないようにする。
Use switched Ethernet
とも書いてあるが、世の中の多くの switch
は ARP spoof には対抗できないので、気休め程度でしかないと思う。
Sun Solaris 2.6/7 付属の xntpd の drift ファイルが mode 666 で作成されてしまう、という指摘。 対処するには umask 022 を /etc/init.d/xntpd に追加すればいい。 ACL での対処法もフォローされている。 ふむん、Solaris 2.x って ACL 使えるんですね。
おおお、こ、これは……。 値段もすごいが内容もすごそう。 う〜ん行きたいがそんな金があるわけもなく……。
samba 2.0.5 登場。security fix が含まれています。 smbd に buffer overflow バグ、nmbd に 2 つの DoS バグがあったそうです。 2.0.4 以前の全ての smbd に buffer overflow バグが存在するので、すみやかに 2.0.5 以降に移行しましょう。
1999.07.26 追記: 本家の最新バージョンは 2.0.5a となっている。 また、RedHat Linux 4.2/5.2/6.0 用の package が登場している。
IIS 3 or 4 を利用していて、かつ MDAC 1.5 がインストールされたことがある場合に弱点。 remote user が IIS を動作させている機械の特権ユーザとして Shell コマンドを実行できてしまう。 NT Option Pack のデフォルトでは MDAC 1.5 がインストールされる。 かつて MDAC 1.5 をインストールし、現在では MDAC 2.x に version up している場合でも問題は継続している。多くの site ではかつて MDAC 1.5 をインストールしたはずなので、広範囲に影響するはずだ。
この bulletin は MS98-004 の再発行という位置付けになっている。 問題発見者自身による記事によれば、MS98-004 時点では userid と password がわかなければコマンドは実行できないとされていたが、今回新たに SYSTEM 権限で、しかも password なしで (!!) コマンドを実行できてしまうことが判明したという。 NTBUGTRAQ モデレータ の Russ 氏もこの問題は重大であると警告している。
解決方法は次のとおり (この部分は bulletin ではなく MS99-025 FAQ を見て書いてます):
MDAC 1.5 をインストールしており、MDAC に含まれる RDS DataFactory を使用しない場合:
IIS から /msadc 仮想ディレクトリを削除してしまうか、
以下のレジストリを全て削除してしまう。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\RDSServer.DataFactory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\AdvancedDataFactory HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC \Parameters\ADCLaunch\VbBusObj.VbBusObjCls
MDAC 1.5 をインストールしており、MDAC に含まれる RDS DataFactory を使用する場合:
MDAC 2.1 をインストールし、次項に従ってレジストリを設定する。
SP4 の y2setup を実行すると MDAC 2.0 SP1 がインストールされます。 2.0 系列は 2.0 SP2 が最新、2.1 系列は 2.1.1.3711.11 (GA) が最新です。 MDAC の入手などについては Microsoft Universal Data Access のページを参照してください。
MDAC 2.x をインストールしている場合:
次のレジストリエントリを (存在しなければ作成し) 1 に設定する。
Hive | HKEY_LOCAL_MACHINE\SOFTWARE |
Key | Microsoft\DataFactory\HandlerInfo\ |
Name | HandlerRequired |
Type | DWORD |
Value | 0="unsafe mode" 1="safe mode" |
自己展開ファイル handsafe.exe から得られる handsafe.rem を handsafe.reg にリネームして regedit で設定するのが簡単です。 なお、MS99-025 公開当初は handsafe.exe ではなく handunsf.exe というファイルが公開されていたそうですが、handunsf.exe には間違った情報が書かれていたそうです。 早期に handunsf.exe で対応された方、ご注意ください。
Microsoft Knowledge Base (KB) はこちら:
J042933, [IIS]RDS、IIS、ODBC のセキュリティ
参考資料:
管理者の怠慢? 大手サイトでも埋められていなかったセキュリティホール (from ZDNet News, 1999.7.19 4:22 PM PT)
サイトを危険にさらすMS『IIS』のバグ (from WIRED NEWS, 7月20日 12:00pm PDT)
日本語 Security Advisor ページの「RDSによる無許可アクセス [1999/7/21]」
……以上はいま 3 つくらいよくわかってないまま書いているので、もしかするととっても間違っているかもしれない。変なところをみつけたら、ぜひおしえてください。
おぉ、量子コンピュータにつづいて分子コンピュータまで……。21 世紀にはナノ・アタックが実現するか?
SF 研究で理学士が取れるとは、さすが BIS をつくった国だなあ。A. C. クラーク先生も英国出身だし。
IIS 4 の Y2K/HTMLA-fix が 1999.07.16 付け (US 時間、だと思う) で update されていた。
1999.07.23 追記: 日本語 KB が出ていた。J049137, [IIS]HTMLA:構成のバックアップ時に日付の表示がおかしい
SP5 と RRAS は仲が悪いという話。 SP5 は fix only だったはずだが、動かなくなるものはやっぱりでてきてるみたい。 FAXport とか。
1999.08.02 追記: Exchange は hardware NIC からの RPC しか受けとれない、仮想インターフェイスからの RPC は受けとれないとフォローされていた。
IRC サーバ ircu 2.10.06 および ircu ベースのサーバに弱点。 m_join において、get_channel の戻り値をチェックしていないため user が server を core dump させることができる。fix patch つき。
BMC Software の Patrol 3.2 に弱点。Patrol に含まれる snmpmagt コマンドを利用すると、root が所有している領域に mode 666 のファイルを作成できてしまう。 ~root/.rhosts を作成するなどすれば root 権限を得ることができる可能性大。 いくつかフォロー (フォロー1、フォロー2) されているが、どうやら version 3.2.x (x = 0〜5) においては問題があるようだ。 Patrol の最新版は 3.3 のようだが、この問題が fix されているか否かは不明。
1999.07.27 追記: この問題は 1998.11 に ISS によって報告されており、3.2.05 で fix されているとフォローされていた。 うう、このページでも 1998.11.05 に報告してるじゃん。しくしく。
Common Desktop Environment (CDE) の Calendar Manager Service daemon (rpc.cmsd) に弱点。buffer overflow するため、remote user が root 権限を得られる。 問題が明らかになっているのは SCO UnixWare 7, Sun SunOS 4.x/5.x。 Sun については 1999.07.14 の Exploit of rpc.cmsd を参照のこと。
1999.11.08 追記: Compaq Tru64 UNIX V4.0D, V4.0E, V4.0F 用の fix が出た。 詳細については [fw-announce:342] SSRT0614U_RPC_CMSD Potential Security Problem When Using rpc.cmsd を参照。
1999.07.09 の Back Orifice 2000 に追記した。 bug fix 版と IDEA plugin が登場。
MS IIS 4.0 Security Checklist の日本語版が登場。 IIS 管理者は一読されたい。
1999.07.08 の Counterpane Systems and L0pht Heavy Industries Announce Analysis of Microsoft PPTP Version 2 に追記した。ZDNet から関連記事が出ていた。
So-net のシェルアカウントにまつわる話題。 MAOO さん情報ありがとうございます。 情報をいただいたのは、第 2 部の "7. 管理者によるパスワードの漏洩" についてなのだが、他のドキュメントもなかなか興味深い。 wtmp の話 (第 2 部の "3. 安全性低下について") は、利用者のプライバシー保護という観点もあるだろうから一概に「So-net は変」とは言えないと思うが、他のものは……。So-net ってひどいのね。
それにしても、シェルアカウント開放している機械でパスワードを引数にするコマンドを実行するか、ふつう。 イントラネットで利用者全員顔見知り、という環境とは違うんだぞ。 それともそういう感覚の人が root やってるんだろうか。 情報公開に消極的、という点も気にいらない。 SONY は network 方面にどんどん拡張しているようだけど、管理運営と情報公開をきちんとやらないと、足元すくわれるよ。
FreeBSD, NetBSD, BSD/OS, Linux など 4.4BSD 由来の shared memory 実装に弱点。 rlimits による制限を回避して mmap() あるいは shmget() を実行できてしまうため、DoS 攻撃を受ける。発見者がデモコードと Linux 用 fix patch を示している。
1999.05.10 の Microsoft Security Bulletin (MS99-013): Solution Available for File Viewers Vulnerability に追記した。ようやく日本語 patch が登場した。
1999.07.14 の Exploit of rpc.cmsd に追記した。 fix patch が登場した。
strcpy/strcat の使いやすさと strncpy/strncat の安全性をあわせもつ API、 strlcpy/strlcat についての論文。 セキュリティを project goal として掲げる OpenBSD の開発において、strncpy/strncat の誤った使用が多数発見されたことにより必要性が認識され、OpenBSD 2.4 で libc に実装された。 FreeBSD libc にもこれを実装しようよ、という話が起っている。
1999.07.09 の Back Orifice 2000 に追記した。 ウィルスの件と http://www.bo2k.com での配布開始。
話題の東芝サポート問題だが、 ついに東芝は裁判ざたにしてしまった。なんということを。なんという愚かな。
東芝広報にはセキュリティという概念がないのだろうか。 これで、この問題が単なる 1 VTR の品質ではなく、東芝の体質そのものの問題に変化してしまったことがわからないのだろうか。 この行為によって、東芝というブランド、東芝という会社そのものの信用に致命的な傷がつくことが理解できないのだろうか。 欠陥を隠してごまかすという手法はもはや通用せず、むしろ積極的に open にしたうえで fix したほうが遥かによい、ということがわからないのだろうか。
DynaTop カッコイイけど、こんな会社では買う気しないよな。 今すぐこのセキュリティホールを埋めないと、本当にとりかえしがつかないぞ。
Firewall Defenders の
DEF CON 7 レポート。
「DEFCON参加者へ発表直後に配布したBO2Kにはウィルスが混入
」というのがなかなかキている……。
1999.07.09 の Back Orifice 2000 に追記した。 ISS から Security Alert が出ていた。
1999.07.14 の aix 4.2 4.3.1, adb に追記した。temporary fix が登場した。
先日発売が開始された MS Office 200 のマクロ・ウイルス対策機能の問題点について述べた文書。 セキュリティ・レベル「低」はセキュリティなしを意味するとか、Access 2000 にはなぜかセキュリティ・レベル設定機能がないとか、いろいろおもしろいことが書いてある。
一太郎のマクロって、ウィルスを書けるだけの機能があるのですか?
web page へのコメント書き込みソフト
Third Voice に弱点。
コメント中に JavaScript などのプログラムコードを書き込むと、それが
client computer で実行されてしまうという。
fix されたらしい……のだが、どこに発表されているのかよくわからない。
そもそも、「マルタ島グループが警告しているバグについては理解しているが、
彼らは独自の修正版ソフトを作成したのだから、サード・ボイスのセキュリティーシステムそのものの問題ではない
」とか「一般的に、こうした危険は、ウェブソフトにはつきものだ
」なんていうやつのソフトを信用できるか、という問題があると思う。
セキュリティも考えずに EC EC といって立ち上がった
site がたくさんあったから、なんじゃないかな。
「1998年5月から1999年5月
」というのは、EC サイトに関する弱点の報告が相次いだ時期とも重なるし。
MacOS の password 保存方法が甘くてすぐわかっちゃうという指摘。
ftp://ftp.mesh.ne.jp/pub/48pub/security/ews/ で公開されている NEC EWS 4800 EWS-UX/V の patch が新しくなっている。
r7: NECe7s116 sendmail 8.9.3 r8: NECe8s143 sendmail 8.9.3 r9: NECe90426 特定の通信プログラムによるメモリ枯渇を防ぐ NECe9s423 sendmail 8.9.3 NECe9s429 CA-90:12.SunOS.TIOCCONS.vulnerability 対応 r9n: NECe90428 特定の通信プログラムによるメモリ枯渇を防ぐ NECe9s424 sendmail 8.9.3 NECe9s430 CA-90:12.SunOS.TIOCCONS.vulnerability 対応 r10: NECmas499 sendmail 8.9.3 r10n: NECeas228 sendmail 8.9.3 r11: NECmbs904 sendmail 8.9.3 r12: NECmc0545 STREAMS機構に対する特定の通信プログラムを用いた場合の メモリ枯渇を防ぐ NECmcs588 sendmail 8.9.3 r13: NECmd0323 CERT Advisory CA-98.05 "Multiple Vulnerabilities in BIND" NECmds304 sendmail 8.9.3 r13: NEC6d0334 CERT Advisory CA-98.05 "Multiple Vulnerabilities in BIND" (64) NEC6ds318 sendmail 8.9.3
同様に、ftp://ftp.mesh.ne.jp/pub/48pub/security/up/ の UP 4800 UP-UX/V の patch も。
r5: NECu5s106 domainnameにディレクトリ名を含む名前をあたえることで、 サーバー上のマップを上書きすることができる問題の fix NECu5s108 sendmail 8.9.3 r6: NECu6s295 domainnameにディレクトリ名を含む名前をあたえることで、 サーバー上のマップを上書きすることができる問題の fix NECu6s298 sendmail 8.9.3 r7: NECu7s687 sendmail 8.9.3 r11: NECmbs904 sendmail 8.9.3
また、NIS+ ServerKit に含まれる /usr/sbin/rpc.nisd に対する fix が、 Program Product (P.P) patch として登場している。 対象となるプロダクトコードは UB2689-21A, UB2689-NL22, UG3009-1X0, UG3009-NL2X0 だ。
Linux 2.0.37 では 1GB を越えるメモリーがサポートされたが、これが bug っているという指摘。この bug を利用すると local user が root 権限を得られる。 fix patch つき。
トロイの木馬プログラムが用いる port 番号のまとめ。
AIX 4.2, 4.3.1 に弱点。一般ユーザが adb を使って OS を down させることができる。
1999.07.15 追記: temporary fix が登場した。 ftp://aix.software.ibm.com/aix/efixes/security/adb_hang.tar.Z から入手できる。 (from BUGTRAQ, Tue, 13 Jul 1999 21:37:01 -0500)
1999.08.02 追記: IBM から正式なアナウンスがされている。ERS-SVA-E01-1999:002.1 Non-root users can cause the system to crash
Solaris 2.5/2.51/2.6 の rpc.cmsd に弱点。 buffer overflow し、root 権限を得られる。 最新 patch でも fix されておらず、 Solaris 7 にも問題があるという。
1999.07.16 追記: fix が登場したとフォローされていた。また、Solaris 2.4 も弱点を持つし、2.6 では 105566-07 だというフォローもついていた。 まとめるとこうなる:
107022-03 CDE 1.3 (Solaris 7/SPARC) 107023-03 CDE 1.3_x86 (Solaris 7/x86) 105566-07 CDE 1.2 (Solaris 2.6/SPARC) 105567-08 CDE 1.2_x86 (Solaris 2.6/x86) 104976-04 OW 3.5.1 (Solaris 2.5.1) 105124-03 OW 3.5.1_x86 (Solaris 2.5.1/x86) 103251-09 OW 3.5 (Solaris 2.5) 103273-07 OW 3.5_x86 (Solaris 2.5/x86) 102030-09 OW 3.4 (Solaris 2.4) 102031-07 OW 3.4_x86 (Solaris 2.4/x86) 101513-14 OW 3.3 (Solaris 2.3) 100523-25 OW 3.0 (SunOS 4.1.3/4.1.3C/4.1.3_U1/4.1.4)
SunOS 4.x JLE 版には OW 2.x がついているが、こいつの rpc.cmsd に弱点があるのかどうかはよくわかりません。 少なくとも、現時点では p0108 は更新されてません。
1999.07.12 の Communicator 4.[56]x, JavaScript used to bypass cookie settings に追記した。 解説に致命的な間違いがあったので修正版を書きました。
1999.07.09 の Back Orifice 2000 に追記した。
いやあ、マッチポンプですなあ。
1999.07.08 の HTML メール表示機能のセキュリティホール対策進む に追記した。Winbiff の正式 fix 版が登場。
1999.07.09 の Back Orifice 2000 に追記した。BO2K の配布と対抗データの登場。
1999.07.08 の PGP 6.5.1 has been released に追記した。 カリフォルニアを含む第 9 巡回裁判区 (ってどこ?) にあるものなら、もってきても大丈夫のようです。
Netscape Communicator 4.51/4.6/4.61 において、cookie の設定を「表示しているサーバと同じサーバからの cookie のみを受け付ける」と設定しておいても、JavaScript が有効だと <SCRIPT language="JavaScript1.1" SRC="http://server/..."> については (SCRIPT タグ内については) あらゆるクッキーを受け付けてしまうという指摘。 同様のことがスタイルシート <link rel="stylesheet" type="text/css" href="..."> についても言えるという。
とりあえずの対処法としては、「cookie を受け付ける前に警告する」を on するか、 JavaScript を disable するか、cookie を拒否するか、しかない。
cookie に関連して、.com, .edu, .net, .org, .gov, .mil, .int 以外の TLD については、ドット '.' が 3 つないと cookie に domain を指定できず (ex. hogehoge.co.jp だとダメ、www.hogehoge.co.jp なら ok)、 結果として cookie を他の server から読めてしまう (ex. hogehoge.co.jp が set した cookie を .co.jp のどこからでも読めてしまう) という、 トンデモない弱点がフォローされている。 驚くべきことに、世の中のほとんどの web ブラウザがこの弱点を持っている、とされている。safe とされているのは、MSIE 5 や lynx などごく一部にすぎない。
さぁ、これでも「すべての cookie を受け付ける」や「表示しているサーバと同じサーバからの cookie のみを受け付ける」を on したままでいられますか?
1999.07.14 追記: 上記のトンデモバグの説明が全く間違っていたので以下に正しい内容を書きます。 和田さんご指摘ありがとうございます。
Netscape 作成の HTTP Cookies Specification においては、cookie の domain 属性の値として
TLD が .com, .edu, .net, .org, .gov, .mil, .int の場合はドットが最低 2 個 (ex. .foo.com)
それ以外の場合はドットが最低 3 個 (ex. .foo.co.jp)
必要だと書いてあるが、実際にはいかなる TLD においても最低 2 個のドットのドメインなら受けつけてしまう。 このため、たとえば .co.jp とかいう domain 属性をつけてしまうと、当然ながら .co.jp ドメイン全体からこの cookie にアクセスできてしまう。
これは……現実問題、TLD をどんどんふやしていきましょう〜みたいな話もあるわけなので、上記のような実装にせざるをえない面というのもあるような気がするなあ。 ただ、いまのところ nTLD は 2 文字、gTLD は 3 文字ということになっているようなので、 TLD が 3 文字だったら 2 個、TLD が 2 文字だったら 3 個という実装でもいいような気がする。 もと記事で参照しろと書いてある RFC2109 - HTTP State Management Mechanism にはそういう話は出てこないのですね。ふむぅ。
というわけで、それほどトンデモなわけではなかったような気がしてきました。
HP-UX revision 10.X が動作する HP 9000 series 700/800 に弱点。 root ユーザで CDE を利用すると、ファイル検索パスにカレントディレクトリ '.' が含まれてしまう。 対策としては、/usr/dt/bin/Xsession の
# ########################################################################### # # Startup section.
の前に以下をつけくわえる。
###################### Clean up $PATH for root ########################## if [ "$USER" = "root" ] then Log "Clean up PATH for root user" Log "Old PATH = $PATH" PATH=`echo $PATH | awk ' { # Remove elements from PATH that are # (a) "." # (b) "" # (c) blank # gsub (" ",":", $0) # Substitite ":" for each blank n = split ($0, path, ":") # Split into elements with ":" as delimiter first = 1 # To suppress leading ":" in new PATH for (i=1; i<=n; i++) { len = length(path[i]) dot = index(path[i], ".") dot_only = 0 if ((len == 1) && (dot==1)) { dot_only = 1 } # print element if it is not "" and not "." if (!(len==0) && !(dot_only==1)) { if(first != 1) { printf (":") # if not first element, print ":" in front } printf ("%s",path[i]) first = 0 } } } END { printf ("\n") }'` Log "New PATH = $PATH" fi ###################### End - Clean up $PATH for root ####################
1999.07.23 追記: この問題だが、bulletin が Tue Jul 20 3:00:02 PDT 1999 に改訂されている。 追加部分ソースの for (i=1; i<=n; i++) { がホントは for (i=1; iX=n; i++) { (where X stands for the "less than" character) だよんといういう注記がついた。 web page でみる用に書いてあったんだね。
孫泰蔵、伊藤穣一、吉村伸、尾崎憲一、高橋徹、牧野二郎という顔ぶれから発信された、盗聴法案に関して「参議院において、データ通信を対象とした徹底した調査、審議を要求する」要望書が出されたというニュース。 現実問題、法務省どころか「審議」している当の連中の多くはインターネットオペレーションを理解しないままテキトーにやっているだけなんだろうな。
1999.06.24 の Microsoft Security Bulletin (MS99-020): Patch Available for "Malformed LSA Request" Vulnerability に追記した。日本語 KB が登場した。
FreeBSD 3.x において、システムコールを直接改変することによって backdoor をつくる、という攻撃方法に関するドキュメント。
1999.07.07 の Microsoft Security Bulletin (MS99-024): Patch Available for "Unprotected IOCTLs" Vulnerability に追記した。日本語 KB が登場した。
1999.06.16 の Retina vs. IIS4, Round 2, KO に追記した。 ようやく Alpha 用の日本語 patch が出た。
自分のやりたいことからどんどん遠ざかっていく……。 Netscape Communicator 4.x とつきあっていると、どこまでいくのだろう。
Sun の Hotspot VM が動いているサーバで http://www.myserver.com/servlet/[ にアクセスするとサーバが crash するという。 http://www.myserver.com/servlet/[foobar でも同様。 IIS 4, 5 上での Jrun および ServletExec で発生。
Netscape Enterprise Server 3.6 および 2.01D に弱点。 SSL handshake に bug があり、remote から crash させることができる。 http://help.netscape.com/business/filelib.html#SSLHandshake に patch があるので適用する。
1999.02.10 の Netect Advisory: palmetto.ftpd - remote root overflow に関する CERT Advisory CA-99-03 が更新されている。 追加されたのは SGI の情報なのだが、
% Silicon Graphics, Inc. (SGI) % IRIX and Unicos Currently, Silicon Graphics, Inc. is investigating and no further information is available for public release at this time. As further information becomes available, additional advisories will be issued via the normal SGI security information distribution method including the wiretap mailing list. Silicon Graphics Security Headquarters http://www.sgi.com/Support/security/
っておい……5 か月もかかってこれかよ。 何考えてんだ。
BSD copyright の free な socks 実装 Dante のおしらせ。
Office 2000 のアンチ ウイルス API 対応製品がさっそく登場。 そのうちアンチ ウイルス API 自身を攻撃するようなものも出てくるんだろうな。
1999.07.08 の HTML メール表示機能のセキュリティホール対策進むに追記した。 WeMail が「fix」された。
いよいよ Back Orifice 2000 (BO2K) が 1999.07.10 (現地時間だろう) に登場するというわけで、各所から警告や記事が出ています。
マイクロソフト日本法人から (1999.07.09)
Microsoft US 本社から (1999.07.09?)
NTBUGTRAQ から (Thu, 08 Jul 1999 16:18:05 -0400)
物議をかもすハッカーツール新版。セキュリティ各社が対応準備 (ZDNet News, '99.7.8 8:05 AM PT)
Windows NTを狙うトロイの木馬に高まる懸念 (CNET News, Fri 9 July 1999 13:15 PT)
BO2K は現在開催中の DEF CON 7 で発表されるそうなので、まもなく詳細が判明するでしょう。 とりあえず「NT support」「open source」というあたりが目玉ということになってます。CVS で最新 source が得られたりするんだろうか。 1999.07.01 の『バック・オリフィス2000』まもなく公開も参照。
DEF CON さがしてて気がついたのですが、Lycos にはこんなディレクトリまであるんですね。
1999.07.13 追記: 各社から BO2K 対応 anti-virus データが登場しています。 詳細は「NTを狙うトロイの木馬に駆除ソフトが続々登場」 (from CNET News, Mon 12 July 1999 13:15 PT) を参照してください。 それにしても、こんなところで配布していたとは。なぜ http://www.bo2k.com/ で配布しないんだろう。
1999.07.14 追記: BO2K について、こんな記事が出てます。 「Back Orifice 2000 は恐れるに足らず」(fro ZDNet News, 1999.7.12 2:41 PM PT)。 なんか gun control の gun 擁護派のような話だな。 まぁ nmap とか SATAN だって攻撃兵器としても防御兵器としても使えるわけだけど。 BO2K 拾ってきたけどまだインストールしていない私。
1999.07.15 追記:
ISS から Security Alert が出てます。
問題なのは Recommendations:
に書かれているこれでしょう:
It is very difficult to detect Back Orifice running on a machine because it is so highly configurable. By default, it will install itsself in your Windows system directory as the fileUMGR32.EXE. If you are running Windows NT, it will install a service listed as "Remote Administration Service." This is the default name, and can be changed.
一旦どこかに入りこまれると、それを発見するのは至難のワザになってしまう、というわけです。
1999.07.16 追記: DEF CON 7 配布 CD にウィルスが混入 (チェルノブイリ!) されていた件が CULT OF THE DEAD COW ホームページで報告されていた。 また、http://www.bo2k.com での bo2k 配布が開始されていた。
1999.07.19 追記: bug fix 版と IDEA 暗号化 plugin の登場が告知されていた。 また、PC Week に関連記事「帰ってきた Back Orifice」(1999.07.16) が登場していた。
あぁもう、Netscape Communicator 4.x につきあうのは、ほんとうにイヤ。 とっとと version 5 を出してくれ。
要は、NSA のような組織がつくりたい、ということだろうか。
政府それ自体がセキュリティホール化するのは日本の盗聴法案を見てもよくわかることだけど、政府関係者がオープンなコンファレンスにやってきてちゃんとしゃべること自体はとてもよいことだと思う。 法務省や警察庁の役人も、N+I 99 Tokyo ででも盗聴法案について説明すればよかったのだ。
それにしても、この記事が扱っている Black Hat Briefings USA - Las Vegas '99 のスケジュールはなかなかすごい。まる 2 日セキュリティ漬けでくるくるするのね。 さらに The Black Hat Briefings の web ページを覗くと、おお、Japan - Tokyo - '00 T.B.A. なんて書いてあるじゃありませんか。 これは注目だぞ。
1999.07.05 のマイクロソフト日本法人の情報公開の悪さに追記した。 マイクロソフト日本法人が改善を明らかにした。メーリングリストもできるそうだ。
1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability に追記した。 日本語 KB が登場した。「SP5 で fix」とはっきり書いてある。
かの有名な Microsoft CHAP v1 解析レポートにひきつづく、MS-CHAP v2 解析レポートが登場。
These (小島注: v1 から v2 への) changes do correct the major security weaknesses of the original protocol: the inclusion of the LAN Manager hash function and the use of the same OFB encryption key multiple times. However, many security problems are still unaddressed: e.g., how the client protects itself, the fact that the encryption key has the same entropy as the user's password, and the fact that enough data is passed on the wire to allow attackers to mount crypt-and-compare attacks.
This being said, Microsoft obviously took this opportunity to not only fix some of the major cryptographic weaknesses in their implementation of PPTP, but also to improve the quality of their code. The new version is much more robust against denial-of-service style attacks and no longer leaks information regarding the number of active VPN sessions.
というわけで、よい方向に向ってはいるものの、 MS-CHAP v2 においても問題が全て解決したわけではないということです。
参考: PPTP Revisited (from BUGTRAQ, Sat Feb 13 1999 10:28:40)。
1999.07.16 追記: ZDNet News でこれが報道されている: WindowsのVPNは十分安全と言えるのか? (1999.7.14 5:34 PM PT)
NORTEL の Contivity ExtranetSwitch 1500 みたいな安い IPsec 製品もでてきてるし、もうそろそろ PPTP とは bye-bye したいよね。 でも IPsec 製品の互換性ってだいじょうぶなんでしょうか。
NT 4.0 SP5 をインストールしたあとで IE 5.0 をインストールし SP5 を再適用していない場合、IE 5 インストーラが ENHSIG.DLL を削除してしまっているために hotfix (patch) のインストールができない、という指摘。「どんなソフトを入れてもそのあと SP を再適用」の原則を守っていれば防げる話、ではある。
Netware/NDS 攻撃ツール Pandora version 4.0 登場のおしらせ。 Windows9x/NT/Linux で動作するそうだ。いやはや。
暗号メールソフトとして有名な PGP 6.5.1 というのが出たそうだ。 PGPnet という IPsec ツールが付属するなど、いろいろな機能拡張がなされているようだ。 PGP を US から US/カナダ外に転送することは禁止されているので、 国際版が登場するのを待とう。
1999.07.13 追記:
US といっても、「カリフォルニアを含む第 9 巡回裁判区
」
(ってどこ? どこかに地図情報あったらおしえてください) にあるものなら日本にもってきても大丈夫のようです。
実際、ftp.jp.freebsd.org では
これに基いて US から DES ライブラリを入手し再配布しているそうです。
参照: 米政府の「敗訴」で米国の暗号規制は緩和されるか?
(from ZDNet News,
1999.5.6 3:06 PM PT)
1998 年 10 月に L0pht 重工から発表された Lotus Notes に関する Advisory はまだ有効であるという指摘。 Domino サーバ上のファイル一覧や log などを誰でも読めてしまうという。 これに対して L0pht の人から、Advisory の記述ミスと Domino R5 については調べてないよというフォローがついている。
1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホールに対する、 1999.07.07 現在の fix 状況。 しかし、開発/配布元サイトを見ても「対応しました」程度の情報しかないのはちょっとなぁ。「どのように」対応したかを書いてもらえるとユーザ側で評価しやすいのだが。 窓の杜に記述されている内容は独自調査なんだろうか。
こうして見てみると、たいていの Windows 用の mail クライアントは HTML メールに対応してるんですね。 MS Office2000 の HTML/XML サポートもキているものがあるし、これからは HTML/XML 文書添付が一般的になるんだろうか。
1999.07.09 追記:
WeMail
は Ver.1.91 で fix された。
ただし、fix 内容は「HTMLメール内に<APPLET>、<OBJECT>、<SCRIPT>タグがある場合に無効にするかどうかの問い合わせを行うようにしました
」というもの。デフォルトで無効にするようなオプションもほしいと思うのだが。
(from 窓の杜, 1999-7-9)
1999.07.14 追記:
最後の大物 Winbiff が
2.30 で正式 fix された。
しかし、ここでも「htmlメールを表示したときのセキュリティ問題に対応
」としか書かれていないなあ。
source 公開してないんだから、もうちょっと技術詳細を明確にすべきなんじゃないの?
(from 窓の杜, 1999-7-14)
中村正三郎さん、やさしいお言葉ありがとうございます _o_。 死なない程度にやっていこうと思ってます。
このページを Windows98 上の Netscape Communicator 4.5/4.6 で読むと Communicator が down する、という報告をいただいているのですが、みなさんのところではいかがでしょう。 ちょっとテストしているので、中身が現れたり消えたりしてます。 すいません。
……確認しました。手元の Windows95 上の Netscape Communicator 4.5 でも落ちます。昨日までは ok だったです。 やっぱ、Netscape Communicator 腐ってますわ。吐き気がする。 文書量が多くなると、Netscape Communicator が H3 用の CSS をうまく処理できなかったみたいです。げろげろ。 Netscape Communicator では H3 用 CSS を使わないようにしました。
1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability に追記した。 なんと SP5 では fix 済みだという。
関連記事「通信傍受法 JCA-NET理事、福冨忠和さんに聞く」も参照。 欲におぼれた公明党のおかげで成立しそうな盗聴法案 (通信傍受法)。 しかしまた、成立を阻止できるのも公明党だけなのだ。 目を覚ませ、公明党! まっさきに盗聴されるの、あんたたちなんだよ。 今テストしてるらしいし。
コンピュータウィルス文書 Codebreakers#5 について。 こういうものがあるのね……。
キーボードおよびマウスドライバからの入力を得るための IOCTL は一般ユーザ権限で実行できる。 この IOCTL をつかって、ユーザプログラムがキーボードおよびマウスを無効にできてしまう。こうなると、キーボードおよびマウスを再度有効とするには OS をリブートするしかなくなってしまう。 TSE の場合は、コンソールのキーボードおよびマウスが影響を受ける。
問題となるのは Windows NT 4.0 Workstation, Server, Server Enterprise, Server TSE (要は全部)。patch があるので適用する (英語版 OS 用)。 って、Enterprise Edition がないけど……どうすんだろう。 ふつうの NT Server 用が使えるんだろうか。
Windows NT Server and Workstation 4.0:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/
fixes/usa/nt40/Hotfixes-PostSP5/IOCTL-fix/
Windows NT Server 4.0, Terminal Server Edition:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/
fixes/usa/nt40tse/Hotfixes-PostSP4/IOCTL-fix/
Microsoft Knowledge Base (KB) はこちら: article Q236359, Denial of Service Attack Using Unprotected IOCTL Function Call
1999.07.12 追記: 日本語 KB が登場した。J048954, [NT] 不正な IOCTL 関数呼び出しによるサービス不能攻撃。 まだ patch は登場していないが、すばやい情報提供はたいへん助かる。 patch 作成もがんばっていただきたい。
1999.08.05 追記: 日本語 patch が登場した。ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP5/IOCTL-fix/ から入手できる。
2000.04.14 追記: 日本語 KB J048954, [NT] 不正な IOCTL 関数呼び出しによるサービス不能攻撃。 が改訂され、TSE 用 patch についても記述された。
1999.07.01 の NDIS.SYS Crashing unnder SP5 に追記した。sfmatalk.sys および sfmsrv.sys が古いままだというのが原因だとフォローされていた。
Windows98 に対する DoS 攻撃プログラム。 この他に moyari.c (ICMP-type13) とか pimp.c というのも出ている。 手元の Windows95 には効いてないみたい……Windows98 のみ?
Crypt API の解説文書。Informational です。 ちなみに RFC2629 は Writing I-Ds and RFCs using XML で、XML のひろがりを感じます。
MS Windows のトロイの木馬のまとめ part III。掲載されているのは DeepThroat 1, 2, 3, NetSphere 1.30, GateCrasher 1.2, Portal of Doom, GirlFriend 1.3, Hack'a'Tack, EvilFTP, phAse Zero, ExploreZip.worm, SubSeven。
UNIX 用のセキュリティスキャナ SATAN の Windows 版だというふれこみの WinSATAN は実はトロイの木馬だという指摘。 この木馬は Windows9x/3.1 で動作し NT では動かない。 起動すると IRC サーバに接続し、scroll1 および scroll にメッセージを送る。 さらに自分自身を c:\windows\fs-backup.exe という名前でコピーし、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run レジストリに登録するという。 駆除するには、レジストリをきれいにし、対象ファイルを削除する。
これに対し、感染した機械では port 999 で FTP サーバが動くというフォローがついている。
1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホールに追記した。 Becky! も fix 版が登場した。
今日はよしだともこさんとお話できてラッキー。
security 関連で、このページで述べていないものをあげると:
それにしても、ChangeLog の内容の濃さはすごい。これだけのものが毎週出る (しかも無料) というのだから……。 こういうものが存在するだけでも Linux に移行したくなる。
Mass Unsolicited Mailings and Postings (いわゆる spam) がなぜ Internet 社会にとって有害なのか、について述べた文書。 spam という言葉の由来とかもちゃんと書いてある。
* Spam is a name of a meat product made by Hormel. "spam" (no capitalization) is routinely used to describe unsolicited bulk email and netnews posts.
とも書いてあるので、この文章でも SPAM じゃなく spam と書いてみました。
cfingerd 1.3.2 に buffer overflow バグ。 これに対して、quick fix patch フォローと、 そんなのじゃなくて ffingerd とか dfingerd を使えというフォローがされている。 cfingerd 1.3.2 は 1996 年製造のもののようです。
LPRng (version?、最新は 3.6.2) に弱点。 コントロールパケットが priviledged port から出されているか否かの check にバグがあり、非 priviledged port からのコントロールパケットも受けつけてしまう。デモコードが付属している。 これを防ぐには、lpd.perms コントロールファイルに REJECT=X NOT PORT=1-1023 をつける、としている。
これに対して、LPRng 開発元からフォローがされている。
ここでは、/etc/lpd.conf ファイルに REJECT SERVICE=X NOT PORT=721-731
を追加せよ、としている。ただし RFC1179 が認証に関して本質的に信頼できないことこそが問題なのだ
、とも言っている。
そういうこともあって時代は IPP。Say good-bye to lpr、というわけで詳細は RFC 2565, 2566, 2567, 2568, 2569 を参照。protocol version 1.0 はまだ Exprerimental なんだけどね。 2.x で standard track に乗るのだそうです。
pine 4.10 以前に対する攻撃デモコード。 MIME 自動実行攻撃の変種で、lynx 経由で攻撃コードをダウンロードし攻撃を実行する。
ファイアウォール設置に関する技術文書。 選定から設置、運用に至るまでを記述している。 この他にも、CERT Security Improvement Modules ページには大量のドキュメントが設置されている。 必要に応じて参照されたい。
1999.07.05 の WebBrowser Control を使う MUA に特大のセキュリティーホールに追記 した。 EdMax の fix 版が出た。
ISS の Security Alert Summary 最新版。 eastman-cleartext-passwords はこのページでは記述してなかったような気がする。
WebTrends 社の WebTrends for Firewalls v1.2, WebTrends Security Analyzer v2.0, WebTrends Professional Suite v3.01, WebTrends Log Analyzer v4.51, WebTrends Enterprise Suite v3.5 およびそれら以前のバージョンに弱点。 これらソフトを NT のサービスとして起動し、MAPI profile を使って e-mail によりレポートを送信する機能を使っている場合に問題が発生する。 NT サービスのアカウント/パスワード、および MAPI profile の名前/パスワードが everyone フルコントロールのファイル WebTrend.INI に置かれてしまう。 このパスワードはいちおう「暗号化」されているけど、 アルゴリズムが単純なのですぐバレてしまうという。
対策としては、everyone フルコントロールを削除のうえ、128bit 暗号化をサポートする最新版 (WebTrends for Firewalls v1.2b Build 4163, WebTrends Security Analyzer v2.1a Build 8043, WebTrends Professional Suite v3.01a Build 4053, WebTrends Log Analyzer v4.51a Build 4108, WebTrends Enterprise Suite v3.5a Build 4212) に更新する。
IIS 4 の .htr buffer overrun バグ (1999.06.16 の Retina vs. IIS4, Round 2, KO 参照) の関連で、fw-wizard ML ではマイクロソフト日本法人の情報公開の悪さが話題になっています。 どのくらいの情報 (および patch) が公開されていないかは MS Security Advisor memo をご覧いただければわかります。
patch 作成にある程度の時間がかかるのは理解できるのですが、 情報公開が US 本社にくらべ異常に遅いこと、 および情報の中身に違いがありすぎることについては納得できません。 US 本社の Security Advisor ページは、最近では各 incident に関する FAQ まで掲載されており、 非常に詳細かつわかりやすい内容となっています。 一方の日本法人 Security Advisor ページは、もはや日本語 Knowledge Base へのリンク集でしかありません。 おまけに情報の追加・更新も非常に遅いときています。 今回の .htr バグの場合はこうでした:
1999.06.16 (日本時間) eEye が security hole を公開。ZDNet、CNET など各社 news site が報道開始 (注: CNET JAPAN はこれを報道していない)。
Microsoft 本社は直ちに MS99-019 を公開。 eEye の発表を追認し、対応方法 (拡張子マッピングの削除) を記述。
1999.06.17、eEye は IIS 4 乗っとりのデモコードを公開。 緊張感が一気に高まる (その後、このデモコードは一部を残して非公開とされた)。
1999.06.18、Microsoft 本社は英語 IIS 4 (intel/alpha) への patch を完成。 eEye が発見したものの他にも 2 つの弱点があったとし、 合計 3 つの DLL を新しくする patch を発表した。 MS99-019 を更新し、patch 配布を開始。
1999.06.21、Microsoft 本社は日本語 IIS 4 (intel) への patch を完成。 anonymous FTP site にて patch 配布を開始。 この時点では、マイクロソフト日本法人からのアナウンスは一切されていない。
1999.06.24、JWNTUG Newsletter Vol.4/No.020 に、 日本語 IIS にも弱点があることが確認されたとの記事が掲載される。 また、拡張子マッピングを削除するのではなく、「ファイルの存在を確認する」チェックをオンすることによって防ぐことができるという新情報を掲載。
1999.06.30、ようやく日本語 KB J048654, 「[IIS] 適切ではない HTTP リクエストで IIS が停止する」が登場。 最終更新: 1999/06/28 という記述はあくまで Microsoft 内部の値であり、一般利用者が参照できるようになった日付ではないことに注意。 すでに eEye の発表から 2 週間が過ぎている。 ここでも「ファイルの存在を確認する」チェックを用いた対応が述べられている。 しかし日本語 Security Advisor ページには一切記述なし。
1999.07.05、ようやく日本語 Security Advisor ページに J048654 へのリンクが登場。 eEye の発表から 3 週間近くが経過している。
これは、このときだけひどかった、わけでは全くありません。 たとえば 1999.06.25 の Microsoft Security Bulletin (MS99-022): Patch Available for "Double Byte Code Page" Vulnerability では、日本語 IIS 用の patch が当初から公開されているにもかかわらず、 マイクロソフト日本法人からのアナウンスはいまのところありません。 また 1999.01.22 の MS99-002: Patch available for "Word97 Template" Vulnerability に至っては、もはや半年が経過しようとしているにもかかわらず、 これまた何のアナウンスもされていません。
以上のように、US 本社が情報公開/fix に非常に力を入れているのに比べると、 日本法人の状況はお寒い限りです。 このような状況では、現実問題として日本語 WindowsNT を Internet サーバとして利用するのは不可能です。 fix patch 自体は US 本社で作成されているようですし、 patch 作成にある程度の時間が必要なのは理解できます。 しかし、それ以前の問題、情報公開が異常に遅いのは納得できません。
というわけで、こんなメールを送ってみました。
ZDNet さん宛というのもつくったのですが、ソフトバンクさん方面では動きがあるとの情報を受け取ったので、 送るのをやめました。
なお、 fw-wizard ML の議論は、「情報の早期公開を求める署名を募ろう」という動きになってきています。 もうすこしするとスタートするかもしれません。
1999.07.08 追記: マイクロソフト日本法人が告知体制の改善を明らかにした。メーリングリストもできるそうだ。詳細は、 「マイクロソフトがセキュリティ・ホールの告知体制を改善,告知用メーリング・リストを8月初めに開設」(from 日経インターネットテクノロジー, 1999.07.08) を参照。 すばらしいです。感謝感激。
ただ、MS99-024: Patch Available for "Unprotected IOCTLs" Vulnerability の発表は早かったものの、本日発表されている MS99-022: Patch Available for "Double Byte Code Page" Vulnerability の KB J048898, 「[IIS] 特定の文字が URL の最後にある時、ページ内容が表示される」については全く記載されていないなど、 まだまだ社内体制に問題が残っていることを伺わせる。期待しているので、日本法人の担当者さん、がんばってください。
さあ、残るは patch (hotfix) の早期リリースだ。日本語版が出てない patch はたくさんありますから。
.com トップドメインを管理している NSI に対する攻撃が 1999.07.03 (日本時間) に行われたようです。 NSI を指す DNS 情報が CORE や ICANN に書きかえられた他、.com ドメインに関して多くの混乱が発生していた模様です。 現在は収拾されているようです。
「.com」ドメインを登録する NSI のウェブサイトに攻撃
(from CNET News, Fri 2 July 1999 12:15 PT)
ネットワーク・ソリューションズがクラックされる
(from WIRED NEWS,
7月2日 1:45pm PDT)
ICANN PRESS RELEASE (7-2-99): INTERNET CORPORATION FOR ASSIGNED NAMES AND NUMBERS (ICANN) STATEMENT ON HACKING OF NETWORK SOLUTIONS' SERVERS
(from ICANN, July 2, 1999 (現地時間))
電脳火消隊から 2 題。
N+I 99 TOKYO
でのチュートリアル T220 「インターネットのセキュリティ技術」のドキュメントが登場しています。
(from fw-announce ML,
Thu, 01 Jul 1999 19:46:33 JST)
The 1st Annual NTBugtraq Conference
の
レポート
が登場しています。
(from fw-announce ML,
Mon, 05 Jul 1999 11:05:43 JST)
ようやく NT TSE 用の SP4 が出ました。ふつうのやつ用はもう SP5 なんですけどね。
WebBrowser Control を 使う mail ソフト、具体的には Becky!, EdMax, WeMail32, Winbiff に弱点。 WebBrowser Control の利用方法に問題がある。 サーバからダウンロードしたメッセージを一旦ローカルディスクに格納してから WebBrowser Control を呼び出しているため、 セキュリティーポリシーの設定が無視される。 ファイルがローカルディスクにあるので、ファイル内の実行可能コード (Java、JavaScript、ActiveX など) は完全に安全だとして実行されてしまう。
Datula 1.18 では fix されているという。 また、Outlook Express, Netscape Messenger, Eudora Pro ではこの問題はないという。
1999.07.06 追記: EdMax については、version 2.27 で fix されたと告知されている (from INTERNET Watch, 1999-7-6)。
1999.07.07 追記: Becky! も Ver1.25.05 で fix された (from 窓の杜, 1999-7-7)。
Security Focus の BUGTRAQ アーカイブをのぞいてみたけど、なんだか読みにくいなぁ。
かの有名な Back Orifice の新バージョンがまもなく登場するんだそうだ。NT もサポートする Open Source なソフトになるのだそうで、いはやは。
Cabletron Spectrum Enterprise Manager version 5.0.1 に弱点。 インストーラが作成するディレクトリ/ファイルに other write パーミッションが付いてしまうという。 インストール後、other write は落としておこう。
一年も前の bugfix patch を適用していなかった商用サイトの話。 これは MS98-003 の話で、NT 4.0 SP4 で fix されている。 つまり、このサイトは SP4 すら適用していなかった、ということになる。 いやはや。
日本は、じゃなくて「日本政府は」だと思うが。
「技術的な知識が欠如し、リーダーシップが不在だ……日本の最高位にあるリーダーたちは、単純に、技術的な理解を欠いている」
というのは、
正にそのとおりなんだろうな。
オブツ氏とかノナカ氏に技術的な知識があるとは思えない。
まぁ、歴代の自民党の top はほとんどそうだったような気がするが。
しかし、今最も危険な宗教ものはオウム真理教ではなく、 盗聴法案を通そうとする創価学会/公明党だと思うぞ。 ところで、なぜ創価学会の「関連リンク」に公明党がないのか、 公明党の「リンク集」に創価学会がないのか。そういうゴマカシはよくないぞ。
NT 4.0 SP5 で AppleTalk AUFS 互換機能を使うと NT がブルーサンダーになっちゃう、原因は NDIS.SYS だと表示される、という。 指摘者はネットワークカードを交換してみたり、 SP3 や SP4 での状況も確認しているが、SP5 でだけ現象が発生するという。
1999.07.07 追記: これは SP5 インストーラが sfmatalk.sys および sfmsrv.sys をうまく更新できないからだとフォローされていた。 対処するには、全ユーザを disconnect し、全ファイルを close、できれば network からも切りはなしたうえで SP5 を再適用する。
NT 4.0 (SP?) において、NDDEAGNT.EXE,
EXPLORER.EXE, USERINIT.EXE, TASKMGR.EXE などという名前の実行ファイルを起動ドライブのルートディレクトリ (c:\ とか) に置くと、
Microsoft Windows NT 4.0 Workstation/Server/Server TSE に弱点。 特別に設定された image header を持つ実行ファイルが実行されると、 OS が不安定となり、reboot せざるを得なくなるという。
SP4 用の patch が用意されている。もちろん英語版。 NT 4.0 SP5 ではこの弱点がすでに fix されているので一切の作業は不要である。
NT 4.0 Workstation/Server はこちら:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/
fixes/usa/nt40/Hotfixes-PostSP4/Kernel-fix/
NT 4.0 Server TSE はこちら:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/
fixes/usa/nt40tse/Hotfixes-PostSP4/Kernel-fix/
しかしそもそも、日本語版 TSE では SP4 が出ていない。 いつになったら出るのだろう。
Microsoft Knowledge Base (KB) はこちら: article Q234557, Executable with a Specially-Malformed Image Header May Crash Windows NT
FAQ はこちら: "Microsoft Security Bulletin MS99-023: Frequently Asked Questions"。 どのような脅威があるか、などが書かれていて、とってもわかりやすいです。