Last modified: Tue Apr 15 13:00:40 2003 +0900 (JST)
移しました: .jp 集中 crack 関連 (Last modified: Wed Mar 28 15:29:03 2001)
Internet Explorer 5.01 Service Pack 2 日本語版 が登場しているそうです。名倉さん情報ありがとうございます。 近々正式な案内が出るのでしょう……。
変わらずセキュリティが弱いWEP,対策に動くIEEE、
「WEPは完璧なセキュリティソリューションを目指したものではなく,有線ネットワークで実現されているのと同程度の防護を提供することを目的としたものだ」
、つまり、日本語に訳すと「セキュリティなんてなんもない」ということですな。
それならそうと最初から言えばいいのに。
いやー、http://ufo.simplenet.com/ いいっす。
電子署名法,認定認証局の基準の大枠決まる。詳細な条件は4月2日に告示、 インフラとしての PKI の整備がじぇんじぇん進んでない (CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates なんてことは起きるし) にもかかわらず、デンシセーフだけはどんどん先に進んでしまうのであった。
[fw-novice:2046] IIS Unicode attack other pattern & Snort patch about Unicode、いやはや。 これにも対抗するためのしかPさんの snort patch なわけです。
私が本人です---バイオメトリクス認証への期待、 イントラはともかく、インターネットな認証に使うのは、それはそれで恐いような気が。
【調査】ITプロフェッショナルの9割が「ストレスが増加」と回答、 なおアンケート実施中です。
おお、ついにメカ総理登場か?!
しかPさんの snort 1.7 unicode patch が source tree に含まれたそうです。 最新版を試したい場合は http://snort.sourceforge.net/snort-daily.tar.gz を get するとよいようです。
[RHSA-2001:025-14] Updated Kerberos 5 and pam_krb5 packages available っての出てる。 L-057: Kerberos /tmp Root Vulnerability の話、でいいのかな。
大阪高裁も「中古テレビゲームソフトの自由流通は合法」、妥当な判決ですな。薬害エイズも高裁でひっくり返るのかな。
あれだけのデータがありながら頭悪くてわかりませんでしたで 500 人殺してもいいってんだから、すごい判決だよなあ。 いやあ、やめられまへんなあ。 オウムもわかりません知りませんって言いながらサリンを撒けばよかったのかなあ。
2001.03.23 の CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates に追記した。 Windows 用 patch 登場。
MS Plus! 98 および Windows Me に弱点。 圧縮フォルダに設定したパスワードはシステム上に存在する特定のファイル (c:\windows\dynalog.zip) に書き込まれるため、攻撃者がそのファイルにアクセス可能な場合、パスワードを解読される可能性がある。 日本語 patch はまだない。
マイクロソフトによれば、
パスワード保護機能はセキュリティを強化するために設計されたものではない
のだそうだ。
パスワード保護機能は、他のサードパーティのデータ圧縮製品のパスワード保護機能との相互運用性のために追加されたもので、用意周到でない検査に対して保護するに過ぎません
ですって。
要は単なるパーティージョークってことだ。
CVE: CAN-2001-0152。
Visual Studio 6.0 Enterprise Edition、 Visual Basic 6.0 Enterprise Edition に弱点。 これらに含まれる VB T-SQL debugger object にバッファオーバーフローバグがある。 この object には remote からアクセスできてしまう。 結果として、攻撃者は remote から任意のコードを実行できてしまう。 ただし、攻撃される側が対話的に logon している必要がある。 日本語 patch はまだない。
firewall で port 137〜139 および 445 を塞いでいる場合は、 firewall 外からこの弱点を利用した攻撃はできない。
CVE: CAN-2001-0153。 詳細情報: Remote buffer overflow in DCOM VB T-SQL debugger (BindView)。
JSP がらみの指摘 3 つ。
CSA-200105: Tomcat 3.0 for win2000 Directory traversal Vulnerability
上がれちゃうようです。回避方法なし。
CSA-200106: JavaServer Web Dev Kit(JSWDK)1.0.1 for win2000 Directory traversal Vulnerability
上がれちゃうようです。JSWDK を (最新に?) upgrade すればよい。
/ をつけるとあら不思議、ソースが読めるよ。 http://www-4.ibm.com/software/webservers/appserv/efix.html から最新 fix を get する。
Georgi Guninski security advisory #40, 2001: Security bugs in interactions between IE 5.x, IIS 5.0 and Exchange 2000 の話。 "Microsoft OLE DB Provider for Internet Publishing" (MSD AIPP.DSO) に問題があり、active script 経由で任意のサーバに接続する機能を提供してしまっているという。 これを使うと、悪意ある web page 管理者は、悪意ある script を用意することで、 接続してきた user のイントラネット内サーバ (ex. IIS 5) にその user の権限で接続し、その object を操作できてしまうという。 イントラネットゾーンについては logon できている権限で自動的に認証して使えてしまうので、user は攻撃されていることに気がつかない可能性が高い。 さらに、Exchange 2000 は IIS 5 をその機能の実現に利用しているため、 攻撃者は Exchange に蓄えられたメールを読んだりできてしまう可能性がある。
Visiting malicious web sites is not real exploit scenario
だって?
まず URL つき e-mail を射ち込み、相手を適切な page に誘い込むなんてのはむしろありがちなシナリオだと思うぞ。
そんなことでいいのかマイクロソフト。
現在修正モジュールは開発中。回避方法としては、 アクティブスクリプトを停止する。
関連記事: マイクロソフトのIEに新たなセキュリティー欠陥 (CNet News)。
IIS 4 な箱に Internet Explorer 高度暗号化パックを入れると、 IE だけじゃなく IIS 4 も 128bit 暗号対応になる、という話。 NT 4.0 SP7 では標準で 128bit 対応になるといいね。
2001.03.21 の Passive Analysis of SSH (Secure Shell) Traffic に追記した。 RedHat, TTSSH fix。
Cisco VPN 3000 シリーズに弱点。SSL もしくは telnet port に大量のデータを送りつけると VPN 3000 が reboot してしまう。 software version 3.0.00 以上で fix されているので、software upgrade する。
MS Index Server 2.0 を利用している場合に、 .png ファイルが IE と関連づけられていると、 .png を HTML フィルタで処理しようとするが失敗し、timeout するまで CPU 100% 状態になってしまうという話。 意図的に設置すれば DoS だ。 回避するには、.png を削除する、IE との関連づけを削除する、など。
http://www.microsoft.com/technet/security/current.asp で、product と SP level を key にして advisory/patch の検索ができるようになった、という話。 試してみると、これは確かに便利便利。 ただしもちろん英語版 patch でしか表示されない。
MSKK の相当する URL、 http://www.microsoft.com/japan/technet/security/current.asp でも product を key にした検索はできるものの、SP level は指定できないのがツライ。 しかしまあ、昔にくらべれば遥かにすばらしい状態ではある。 KB や FAQ の存在/非存在も一目瞭然だし。
2001.03.26 の BIND worm (Lion Worm) に追記した。 追加情報など。
ミミカヅキ サントラ & DVD ほしいなー。貯金しなきゃ。
プラットフォームの壁を越えて感染するウイルス登場、GPL だというくせに binary distrib. only ですか? :-)
国境なき医師団 が必須医薬品キャンペーン 〜南アフリカの人々に明日への希望を〜 で 2001.04.15 まで署名運動してます。 賛同できる方はどうぞ。 430 万人ですか……。
情報システム部門責任者のための情報セキュリティブックレット、 フォント埋め込み版が登場しています。 既公開版で文字化けした方は、ちょっとサイズがデカいですが try してみましょう。 手元の Acrobat Reader 4.0 for Linux (on FreeBSD) でもちゃんと読めました。感謝。
RFC 3067 TERENA のインシデントオブジェクト記述法と交換 フォーマット要件 日本語版が出ています。
情報セキュリティ・インシデントへの組織的対応セミナー - インシデント対応体制のあり方について - 開催報告 が出ています。 公開プレゼン資料も、JPCERT/CC 白橋さんと IPA 小門さんの分が増えています。
FreeBSD の ssh、 S/Key support is broken in sshd って話があるんですって。 auth1.c まだ直ってみたい (そういう仕様なのかな)。
今日、はじめて ip filter の ipnat であそんでみたのですが、ipnat って ipf の外側に位置するんですね。 フィルタルール ipf.rules には NAPT で変換する前の条件で書かなきゃいけないことに気がつくのにちょっと時間がかかりました。 rules/nat-setup (FreeBSD 4.2-RELEASE なら /usr/src/contrib/ipfilter/rules/nat-setup) とか読んでおけばよかったんですが。
IP Filter + NAT (FreeBSD 4.2R) はすごく参考になりました。感謝。でもこの図は誤解を招くかも。
snort1.7のUNICODE誤検知抑制パッチ に bug があったそうで、「ある条件」において無限 loop に陥ってしまうそうです。 fix された新 patch が登場していますので、 original source に新 patch を入手・適用の上再構築・再インストールしてください。 しかPさん情報ありがとうございます。
[aml 21438] Re: [pmn 14033]教科書検定通過反対のネット攻撃だって、紅いお客さんからなどの便乗攻撃もあったりするのかな。 いちおう気をつけておきましょう。 なぜか [aml 21437] がアーカイブにないなあ。
ミカヅキ 6 夜観た。 いやーすげぇ。手に汗握る 1 時間。あけぼの重工いつのまに! (^^;) ってのはあるけど。 しかしあれですなあ、これだけの質の作品を G タイムに流せないってのは……。 やっぱフジサンケイってのがアレなのか?
個人情報保護法案を国会上程 政府が閣議決定だそうです。
自民党の一部からは「放送と同じように新聞・雑誌などの活字メディアにも監督官庁を置くべきだ」といった声が強く上がった
んだそうで、これまた狙い目がはっきりした声ですなあ。
自民党にこそ監督浣腸を置くべきなんじゃないの?
スッキリするよ、きっと。
[aml 21434] [cne 4746] クローズアップ現代の田中知事誹謗中傷キャンペーン!、国営放送 NHK powered by エビジョンイルがアレなのか、田中知事がアレなのか知りませんが……。
そういえば、MS00-073 については patch が登場しているようです。 273727 「不正な IPX NMPI パケットの脆弱性」パッチ を参照。名倉さん紹介が遅すぎてすいません。
メキシコシティー、リナックスを導入、破産真近な大阪府や日本政府も続くか?
「Windows XP」が素晴らしいと思う当たり前の理由、要は brush up した Windows 2000 なんだから、当然といえば当然なのでは。 XPは9xよりも魅力的だがWindows 2000導入企業にとってはメリットなし もそう。
少なくとも FWD fw-wizard ML については「頭を下げて subscribe してもらっているわけではないので、それが受け入れがたいものであれば unsubscribe してもらって結構」という ML 運営がなされ許容されているようですので、unsubscribe させて頂きました。 FWD の他の ML については、ひきつづき利用させていただきたいと考えています。 また fw-wizard ML についても、運営方針等の変更があれば再 subscribe させていただこうと思っています。fw-opinion における議論はひきつづき継続中です。 参照: [fw-opinion:306]、 [fw-opinion:312]。
<特報・ポルノ>中2生徒3人が石原、田中知事にメールで送る(毎日新 聞)、バカだねえ。 毎日の site にあるやつ: これ (内容は同じ)。
vimで、 echo "vim:ls=2:stl=%{system('rm\ testfile')}" > test.txt とかした test.txt を開くと、testfile が消えちゃうという話。 5.7.024 で fix されている。5.7.025 および 5.7.026 では Creating a temp file has a race condition な fix がされているので、 5.7 系の人は 5.7.026 (5.7 系最新 patch) にしておこう。 6.0 系 (まだ開発中) では 6.0u で fix されている。 最新は 6.0z まできちゃってるけど、このあとどうなるの? (^^;)
フレッツ・ADSL にしたら見えない site がある、という話。 thread が切れてるので、 アーカイブ まで戻ってつづきを読んでください。 結論としては、 FreeBSDで解決しようと思うなら,tcpmssdを使うのがよいらしいそうです。 あと、DaemonNews にも Cheaper Broadband with FreeBSD on DSL という記事があるそうです。
思い出したのは、この話。 path MTU discovery がちゃんと動くようにフィルタリングルールつくっておかないと、 同様の事例が今後多発する可能性があるような。 ICMP echo だけみたいな組織は要注意では? 自分では気がつきにくいのがあれですよね……。
security related じゃないんだけど、最近 (でもないか) 出ている Windows 2000 SP1 hotfix の KB が出てます。
"ERROR_NO_SUCH_DOMAIN" エラーメッセージが発生する
このエラー、見覚えあるような気がするなあ。
DoS と見ることも可能か。
Windows 2000 SP2 の登場が待たれますね。
アップル担当者がMac OS X製品版を語る、ビジネスとしてMac用ソフト開発者はもちろんのこと,サンデープログラマー,UNIXコミュニティの人々にも大いに興味を持ってもらいたいがための,今回のDeveloper Toolsのバンドル
だそうで。
やっぱ開発環境ついてくるってのはうれしいよね。
偉いぞ Apple。
米ワースト映画賞、「バトルフィールド・アース」が総なめ(ロイター)、まぁアレは宗教ですから、一般市場から評価される必要はもともとないのでしょう。
おぉ、 Happy Hacking Keyboardにカーソルキーが付いた! そうです。 これは買いだな。 オレ的には Fn キーもほしいのだが……テンキーはいらんのだけど。
「発信者情報開示は限定的に」 通信会社団体がネット接続で指針、バシバシ刑事告発しましょう〜ってことなのかな。
青少年健全育成条例改正案を可決 都議会文教委、全会一致で、7/1 施行だってさ。
「メディアによる人権侵害」も救済対象 法務省人権擁護審議会が再確認、反省なきマスメディアが対象に含まれるのは当然でしょう。
snort1.7のUNICODE誤検知抑制パッチ が新しくなってます。 [fw-novice:2046] IIS Unicode attack other pattern & Snort patch about Unicode で示されている「新しいパターン」にも対応されているそうです。
京大と WIDE の archie サービスが停止したそうです (そういえば、しばらく前から京大にはつながらなくなってましたが)。 これも時代なのでしょう。 http://ftpsearch.lycos.com/ とか使うのかな。
Referer リクエストヘッダの除去 の、たかださんの squid patch の URL と説明を修正。 たかださん情報ありがとうございます。 個人的には、TWDB="/var/db/tripwire" かなあという気が。
ゴミあさり方面を除くと、結局は「本人認証をどうするのか」に帰結するような。 こういうのの対策って、訓練を積むしかないような気がするんですけど、 定期的に無警告訓練してる組織ってどのくらいあるんでしょう。
2001.03.16 の Multiple vendors FTP denial of service に追記 した。 ProFTPD 1.2.2rc1 追記。
32h って約 1 week ですよね。 こういう事後コスト資料を「まずヤラれない体制」づくりに生かしましょう。
2001.03.23 の CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates に追記した。 関連報道、Norton AntiVirus 対応情報を追記。
2001.03.23 に軽く紹介してますが、 話題になってるので関連情報を含めてもういちど。
紅いお客さん Lion 氏と関係あるのかないのか知りませんが、 例の bind 穴を突いて繁殖するようです。 Lionfind で見つけられる他、 chkrootkit 0.30 が対応したそうです。 Norton AntiVirus も 2001/3/23 日版定義ファイルで対応してるそうです。 INCIDENTS ML で話題になってるみたいですが、securityfocus またつながらなくなってるなあ……。
関連報道:
Linuxを標的とした新たなウイルス 「Lion」 (ZDNet News)
BIND のセキュリティホールをついたワームが登場 (japan.internet.com)
FBIが「Lion」ワームを警告 (日経 IT Pro)
2001.03.29 追記: lion worm は UDP 53 だけじゃなくて TCP 53 も使っているそうで、 snort のルールセットが改訂されたりしている。23 March, 2001 の LION Worm Information のあたりとかも参照。 あと、 Lion TCPdump Trace にも情報がある。 ナマモノが見たい人は このへん にあるが (悪用しないように)、 24 時間常時接続 ML では独自に採取された方が「ところどころ違っている」と報告されているのは興味深い ([connect24h:02276])。
German armed forces ban MS software, citing NSA snooping、ホントにやめちゃうならすごい。 以後、どんなソフトを使うのかも興味あるなあ。
個人情報保護法最終案を了承 宗教・政治分野で除外枠を拡大、与党3党、 政治屋の保身が主目的の法律がまもなく誕生というわけで。 自浄できないままのマスメディアもなさけない。
LWN - 2001.03.22 - Security、 よくまとまってますねえ。
今度は PostgreSQL-jp ML に Hybris ですか。 ML アーカイブ にはその [pgsql-jp 20444] (No Subject in original) はまだないようです。 西川さん情報ありがとうございます。
ML (or MTA?) での anti-virus 対策が必須な時代なんでしょうね……。 ヤな世の中になったなあ。
「CRYPTREC セミナー 〜暗号技術評価について〜 (仮称)」開催予定のお知らせ が出てますね。4/18、東京だそうです。
BIND worm.、 あらあら、また Lion さんですか?
smsotp - one-time passwords via SMS、 SMS (Short Message Service) って何? ……SMS は「GSMに載ってるメッセージサービス」だそうです。伊藤さん情報ありがとうございます。
経過は明らかとなっていないが、結果として VeriSign は 2001.01.29 と 2001.01.30 に、Microsoft 社員を騙る第三者 (個人) に対して、 "Microsoft Corporation" の名の元に発行された VeriSign Class 3 Software Publisher 証明書を渡してしまった。 この証明書により Active X コントロール、Office マクロや通常の実行プログラムなどに署名することが可能である。 よって、この証明書を悪用すると、"Microsoft Corporation" と署名されたマクロウィルスや攻撃プログラムを作成、配布することが可能となる。 Microsoft 製だと信じて実行するとドカン、というわけだ。
VeriSign はすでに証明書を失効し、http://crl.verisign.com/Class3SoftwarePublishers.crl から入手できる Certificate Revocation List (CRL) に登録したという。 しかし Microsoft によれば、VeriSign のコード署名証明書は CRL 配布ポイント (CDP) を指定しないため、IE の CRL チェック機構は VeriSign CRL を利用できないのだという。なんじゃそれー。 この問題点を修復する patch は現在準備中。
一時的な対策としては以下がある。 根本的には、もうすぐ出るはずの patch の適用が必要。
証明の警告ダイアログをじっくり読む。 危険なヤツは 2001.01.29 と 2001.01.30 発行となっている。 (証明書の詳細は Q293817 にある)
Outlook 電子メールセキュリティアップデート (これは Office 2000 SP2 に含まれているはずなので SP2 の適用でも可なはず) で添付ファイルの実行を不許可としたり、 Office ファイルを開くときに確認するツール を使ってダイアログを出したりする。 って、前者は有効だろうが後者はちょっとなあ。
"VeriSign Commercial Software Publishers CA" 証明書を一時的に削除してしまう。 Q293819 参照。VeriSign Class 3 ルート証明書を、一旦 export してから削除すればよいのかな。 で、危機が終了した時点で export しておいたものを import する、と。
参照:
VeriSign Security Alert: Fraud Detected in Authenticode Code Signing Certificates
Q293818: Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
"Always trust content from Microsoft Corporation" していた場合の対策が記述されているので、そういう人は参照。 信用しすぎは火事のもと。
他にも同様事例があるんじゃないの VeriSign、とか疑ってしまうよね。 "社会工学" 的手法でヤラれたんだろうか。
告知の遅さが指摘されているけど、MS が、 patch がないにもかかわらず告知していることを見ると、 MS 自身が隠していたわけではなさそうな気が。 となると、VeriSign が「気がついた時点」「失効させた時点」「MS に告知した時点」 がいつだったのかが焦点かなという気がするのだけど、 これは明確にはなってないですね。
関連報道:
Microsoftの名をかたる電子証明書にご注意 (ZDNet News)
10 万ドルごときでは全く足りんよねえ。
米VeriSignがMicrosoftの偽署名を不審者に発行、Windowsユーザーは注意 (Internet Watch)
Microsoft は「マイクロソフト製品の全てのユーザー」に対して警告している。 Windows だけではなく、MacOS や UNIX 用の MS 製品の利用者も注意が必要だ。
2001.03.26 追記: 関連報道:
マイクロソフト、偽のデジタル証明書を警告 (CNet News)
「先週ベリサインから連絡を受けた
」とありますな。
やはり、致命的な対応の遅さ自体は VeriSign のミスのようです。
Thu 22 Mar 2001 14:40 PT の記事ですから、3/11〜17 のどこかだと。
「ベリサインが誤ってコードを発行したのは、今回の2つの証明書が初めてだ
」そうですが、あなた信じます?
日本ベリサイン,認証局を電子署名法対応に。認定基準を満たす施設開設し“電子の実印”発行へ
こういう会社に“電子の実印”を任せていいんですか? [y/n]
MSサイトからのダウンロードは要注意--何者かが電子証明書を不正取得 (日経 BizTech)
MSサイトからのダウンロード
は
DNS spoof とか
root サーバ乗っ取りとかされない限り問題ないと思いますけどねえ。
されると、確かにヤバいんですが。
Norton AntiVirus LiveUpdate Email March 24, 2001 によると、2001/3/23日版
のウィルス定義ファイルにおいて、
Norton AntiVirus は、これらの2つの証明書のいずれかで署名されたプログラムをInvalid Certificate として検出
するそうです。
他のワクチンものでも同様な対策が取られるんじゃないかなあ。
というわけで、ウィルス定義ファイルの update が多分いちばん簡単確実な対応になるのではないかと。
2001.03.30 追記: MS01-017: VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 が更新されている。 Windows XP, Windows 2000 SP2 以降、IE 6 以降ではこの問題が最初から fix されている。
Windows 95/98/98SE/Me/NT 4/2000 用の patch が出た。http://www.microsoft.com/downloads/release.asp?ReleaseID=28888。 UNIX や MacOS はどうなってるんだろう。
2001.04.04 追記: 関連記事: 米マイクロソフトの“偽デジタル証明書事件”が残した教訓 (from 日経 IT Pro, 2001/04/04)。
PostgreSQL 7.0.3 のデフォルト pg_hba.conf では、 localhost からの行為を完全に信用してしまうため、 複数のユーザが利用しているシステム上でそのまま使うのは非常に危険だという話。 対策としては、pg_hba.conf にいろいろとコメントされているし、 ドキュメントには security に関する項もあるので、よく読んで、 適切な値を設定する。
No.#320-11 には PHP な話もあります。 次の一撃で読めなくなるようなので、とりいそぎ。
マーフィーの法則は全てのものごとに作用するでしょう。 もちろん、.NET においても。
2001.03.22 の 暗号ソフト『PGP』に新たなセキュリティーホール に追記した。 ZDNet 記事を追記。
情報セキュリティ・インシデントへの組織的対応セミナー - インシデント対応体制のあり方について -
のお話。
実はついさきほど某社の某氏がいらっしゃって (おつかれさまです)、
似たような話題について 1 時間ほど議論してたりしました。
中心的話題は CSIRT じゃなくて「ぜい弱性情報のデータベース化
」
(というか日本語化というか) だったんですが。
SANS Institute
のような第三者組織があるといいのかなあ、とか思ったり。
お金的には、たとえば自衛隊がもうちょっと前に出てくる、 ってことは期待できないのかなあ。 朝日新聞とか共産党にイヤがられるかもだけど、F-2 一機分もあれば十分ですよね、きっと。 あ、「おもいやり予算」を削ればいいのか。なんだ、簡単じゃん (笑)。
STOP!原発ごり押しの「エネルギー基本法」、 自然エネルギーは、うまくやれれば日本の悲願であるはずの 「エネルギー自給率向上」 が図れるはずなのに、 ゴミ出しつづけなうえに出力調整運転ができない原発を推進するってのはね。 もう 21 世紀ですし、そーゆー裏の利権が透けて見えるコトは卒業しナイト。 現場に行ける人は行ってあげてください。
個人的には、集中発電の時代は 20 世紀で終りかと。 21 世紀は、やっぱ分散だよね。
[OFF2000]ServicePack2(SP2) を適用するとマクロが無効になる、署名があるだけで動いちゃうってのもなんだか……。
しまった、おはよう日本見逃がしたし。
再び深刻化? ITプロフェッショナルに迫る“心の健康”問題、 アンケート実施中のようです。
NAV では、2001/03/20 版定義ファイル (03/22 配布) で SubSeven 2.2 に対応するようですね。
青少年健全条例改正案の質疑終了 反対意見なく、都議会文教委、いよいよカウントダウンですか。
2001.03.21 の [stalk:00131] Re: snort のできなりパッチいりますか? に追記した。 新 patch 登場。すばやい。
偽屋さんは対抗策として link 先も偽造するような気がするが……。 「click した先が xxxx であり、かつ xxxx という内容が表示されること確認」 しないとマズいのでは。 (偽屋さんは DNS spoof とか domain jack とかまではしないと想定)
2001.03.21 の [stalk:00143] Microsoft Personal Werb Server (Re: snortのできなりパッチいりますか?) に追記した。 MSKK は PWS に patch できると言っているぞ?!
OpenPGP Message Format (RFC2440)、および PGP 7.0.3 の実装に弱点があるという指摘。 秘密鍵を秘かにチョコっと改変しておき、その改変した秘密鍵で署名したファイルを入手できると、 真の秘密鍵を知ることができてしまう、ということのようだ (合ってるかなあ)。 パスフレーズを知らなくても、あるいは暗号それ自体を破らなくても真の秘密鍵を知ることができるという点がポイントなのかな。 Zimmermann さんは「秘密鍵に write アクセスできるならもっとイロイロできるだろうから、この攻撃自体が行われる可能性は低い」という見方をされているようだけど、 たとえば insider による攻撃を考えたとき、 こういう微妙 (!) な攻撃の可能性は低くはないんじゃないかなあ。 こういうのされるのヤだなあ。
オリジナルプレスリリース: Cryptologists from Czech company ICZ detected serious security vulnerability of an international magnitude。 詳細: http://www.icz.cz/ ……ただしチェコ語。 英語版詳細はまだないようだ。
Jon Callas 氏 (RFC2440 の作者の一人) による記事: OpenPGP Broken?。 "OpenPGP Message Format に弱点" という指摘には疑問を投げかけている。
2001.03.23 追記: ZDNet 記事: OpenPGPに問題点——作者は危険性を否定。 「危険性を否定」ではミスリードを招くと思うけど……。
2001.04.19 追記: 英語版の詳細が登場している。 Czech PGP Flaw Tech Details を参照。
手元で使ってるやつは Digest::MD5 使うように改造してるし (これの fix のためじゃなかったんだけど)。 そろそろ tripwire に移行するかなあ (まだ試せてない……)。
読んでいくと、Windows Update Coorporate Site というのが出てくる。 実はこれが、JWNTUG OpenTalk in MSC 東京 / 大阪 のセキュリティテーブルで議論された「そのためのサイトを準備中」「例のサイト」 だったりする (時系列では東京が先で大阪が後なので、log はそのつもりで読んでね)。
Windows Update Coorporate Site は「修正モジュール一気ダウンロード」ができるのが魅力です。 使ってみるとわかりますが、 Language として Japanese や Japanese NEC を選択すれば、 日本語版修正モジュールもちゃんと検索・ダウンロードできます。 ただしインターフェイスは英語ですし、更新頻度が月 1 回と低いため、 最新の修正モジュールについては掲載されていない場合が多々あります。 あわせて最新の情報を TechNet セキュリティ センターなどで入手する必要があります。 なお日本語版インターフェイスが登場する予定はないそうです。
……というのが教科書的な紹介 (^^) なんですが、やってみるとわかるように「どうしてこういう検索結果になるの?」 「patch じぇんじぇん足りないじゃん」 と悩むことになります。 英語版 patch についてはそれなりな結果が出るようですが、 日本語版 patch (Language: Japanese) についてはきちんとメンテナンスされていないように見えます。 MSKK さんも Windows Update Coorporate Site に注力する意思はもはやないようです (推測) ので、まあこんなものなのでしょう。 MS ダウンロードセンター や TechNet セキュリティ センター は維持されているので、日本語 patch についてはこれらをこまめに check せざるを得ないのが現状だと思います。
個人的には、OpenTalk in MSC 大阪で出た「日本のサポート部隊が独自に維持しているページ」 の一般公開の可能性に期待していたりします。
「リスク分析に時間をかけ過ぎない」「対象を絞る」「トップ(経営者) を巻き込む」「自分たちで“汗を流す”」「テストする、監視を公知する」 など、参考になります。
Java つきなケータイを使って、Java な OTP 計算機によるリモート接続が実現するとスマートそうだなあ。
PHP-jp ML に AnnaKournikova が流れた ようですね。ML 本体に送りかえしてしまう InterScan は、場合が場合だけに適切な動作なのかなあ。 Nishikawa さん情報ありがとうございます。 Vbswg 1.50b ですか。
potential vulnerability of mysqld running with root privileges (can be used as good DoS or r00t expoloit) , root で動く mysql をインストールする OS は存在するようです。
[aml 21322] 大仏破壊1, [aml 21323] 大仏破壊2。 全国紙にはこういう話は載らないのかねえ。
Patchwork, Internet Anti-Intrusion Patch Verification and Intrusion Evidence Scanner - for Microsoft Windows NT というのが出てます。日本語 NT/2000 でも便利かどうかは知りません。 あと、 Don't be a Victim! Make Sure You're Protected Against Commonly-Exploited Vulnerabilities! ってのも出てます。 どっかで見たような事書いてあるでしょ?
NHK で HUC 関連の Web 改竄の報道、明日のおはよう日本 7:00〜7:30 AM だそうです。
増える「動かないコンピュータ」、ちゃんと内部のことわかってないと外注なんてできないはずなのですけど、内も外もわかってない人が多いのかな。
ZiVE DNS サービス のテスト運用がはじまっています。
NTT法などの改正案の国会提出を来月に延期へ 総務省、野中氏が (自民党の旧態依然体質が) 生きてる限りダメなんじゃないの? 自民党本部に眠る特別会計の財務諸表って話もあるし。
構造改革? ムリムリ。 自民党にできるのなら、土光臨調のときにとっくにできてるよ。 ねえ、中曽根さん。 あんとききちんとやっときゃ、今ごろ苦労せずに済んだはずなんですけどね。 そういう反省ができないのが自民党の自民党たるゆえんでしょう。
確かに、病気になってからワクチンができても遅いわけで。 そういえば、どこだかのデジタルイミューンシステム (だっけ?) ってどうなったんだっけ?
英語版オリジナル記事: Battling the Internet parasites。
MS01-016 で fix されているそうです。 でも日本語版 patch はまだないのよね。 まだかなー。
暗号化された ssh トラフィックを sniff できると、 password authentication の際のパスワード長 (!) とかパスワードに使っているであろう文字 (!) がわかってしまうという話。 結果として、brute-force attack が劇的にやりやすくなってしまう。 デモツール SSOHW が添付されている。
OpenSSH 2.5.0 以上、PuTTY 0.52 などでは fix されている。 ssh 1.2.x 用の patch が添付されている。 FreeBSD 4.3-RELEASE は結局 OpenSSH 2.3.0 なのかなー。
2001.03.29 追記: [RHSA-2001:033-04] Updated openssh packages available ですって。 OpenSSH 最新は 2.5.2 (portable は 2.5.2p2) になってますね。 TTSSH もこれの fix の 1.5.4 が出てる。 VineLinux 2.1.5 には OpenSSH 2.5.x が最初から入ってる。 西川さん情報ありがとうございます。
Windows XP Server (?) の登場は来年初頭のようですので、さ来年度には IIS 4 の更新ができるよう、来年度に予算の確保を行いましょう。
snort 1.7 についてくる、使いものにならない unicode attack detection code を改善する patch。近々全面書き直しされるそうです。 あと、encode の謎をご存知の方 (IIS の source が読める人とか……) はおしえてあげてください。
2001.03.22 追記: 新 patch 登場。 snort1.7のUNICODE誤検知抑制パッチ から入手できる。
2001.03.28 追記: bug が発見されました。「ある条件」において無限 loop に陥ってしまうそうです。 fix された新 patch が登場していますので、 original source に新 patch を入手・適用の上再構築・再インストールしてください。
Windows 98 についてくる Personal Web Server にも UNICODE bug があるという話。 もちろんそんな話は初出だし、patch も何もありゃしない。 もと記事: http://www.securityfocus.com/archive/1/169832、 マイクロソフト Scott Culp 氏の見解: http://www.securityfocus.com/archive/1/170026 (そういう無責任な製品なのね……)。
PWS はどう見ても維持されていないので、 AN HTTPD とか使ったほうがいいでしょう。 あ、1.33 の公開が中止されてる……。
2001.03.22 追記: あれぇ? Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答 の Q. MS00-086 のセキュリティ修正モジュールを Personal Web Server (PWS) に適用することはできますか ? には、NT 4.0 SP5 以上あるいは Windows 2000 Pro. に適用できる (Windows 2000 Pro. は PWS じゃなくて IIS 5 だから当然なのだが) って書いてあるぞ。どっちが本当? ……Scott Culp 氏のは「正式コメント」で、FAQ は「現場の情報」のようです (某所の ML より)。
2001.03.16 の 侵入検知システムを無効にするツール「Stick」,米ISSが警告 に追記した。 別の記事、stick 公開など。
【トラブル110番】Windows NT/2000のセキュリティ対策を知りたい、 445/TCP はいいんですか?
MS00-060: 「IIS クロスサイトスクリプティング」に対する脆弱性を解決する修正プログラム
ですが、記述内容に問題があるようです。
IIS 5 patch として
q260347
が示されていますが、「2000 年 11 月 2 日
」に改訂されたものは
q275657
で参照されるモノのようです (日本語版はまだないようです)。
また、q260347 版を Windows 2000 SP1 でインストールしようとするとエラーになるようです。佐藤さん情報ありがとうございます。
IIS 4 patch の方は、ちゃんと改訂後のものが示されているようです。
MS00-090: 「.ASX バッファ オーバーラン」と「.WMS スクリプト 実行」の脆弱性に対する対策 の 日本語版 patch 出てます。
ユニクロ、頻発するトラブルは役員主導で一気に火消し、
しかし「前年比1360%増
」ってとんでもない値だよねえ。
Windows 2000 なシステムは元気に動いてるんだろうか。
情報セキュリティ・インシデントへの組織的対応セミナー - インシデント対応体制のあり方について - (既に受付終了) のセッション 「CSIRT 体制と効果的なインシデント対応について」 のプレゼン資料が公開されています。
2001.03.16 の Multiple vendors FTP denial of service に追記 (と再追記) した。 ProFTPD, FreeBSD での対応策など。
広く利用されている、ヤマハのダイアルアップルータ RT50i において、 旧版ファームウェアでは port 80 に対して DoS 攻撃を受けるという指摘。 ファームウェア 3.05.xx で fix されている。
2001.03.16 の Remote DoS attack against SSH Secure Shell for Windows Servers Vulnerability に追記した。 回避方法を追記。
ふつうヤバそうと思うよねえ、やっぱし。 VPN すれば ok ok ということなんだろうか。
script で駆動し e-mail 経由で感染するものがほとんどなわけなので、 「メーラ (MUA) での script 等実行可能コンテンツ禁止」が最も効果的なわけですが、 シェアの大きなメーラ Outlook / Outlook Express のデフォルト値がそうなってないのがアレなわけで。
最近 (でもないな……) の OpenBSD security fixes。 patch があるので適用すれば ok。
readline ライブラリが、ヒストリーファイルを umask に従って作成してしまう。FreeBSD とかでも同様かも (調べてない)。
IPv4 での IPSec の認証ヘッダの処理でバッファオーバーランしてしまうという。 デフォルトでは使われていないそうだ。 FreeBSD とか NetBSD ではこのあたりどうなんでしょう。
参照: Buffer overrun in IPSEC AH handling。
2001.03.19 追記: NetBSD は syssrc/sys/netinet6/ah_core.c 1.22 / 1.19.2.2 で fix されている。 Jun-ichiro itojun Hagino さん情報ありがとうございます。 FreeBSD も sys/netinet6/ah_core.c 1.6 で fix されている (もうすぐ出る予定の 4.3-RELEASE では fix されているでしょう)。
i386 において USER_LDT オプションつきの kernel をつくると (local の?) 攻撃者が本来アクセスできないはずの kernel memory 内の特権領域にアクセスできてしまい、root 権限を得ることができてしまう。
NetBSD の NetBSD Security Advisory 2001-002: Vulnerability in x86 USER_LDT validation と同じ?
情報セキュリティ上の脅威と対策、 FreeBSD 4.2 上で acrobat reader 4.05 を使うとうまく表示できないフォントがあるようで。ふつうの明朝とふつうのゴシックを使っていただけると助かるのですが (まあ、Windows で読めばいいんですけど)。
RedHat のslrn, sgml-tools fix 出てます。
セキュリティを最優先するExchange 2000の最初のサービスパック、だそうです。
「同社が10月以降リリースしたExchange 2000のすべてのバグ修正をバンドルしたQFE(Quick Fix Engineering)バグ修正パッケージ
」というのは、
Exchange 2000 Server のリリース済み修正プログラム集
のことかなあ。
Sony,プレステエミュレータをConnectixから獲得、どうやら日本語版 Virtual Game Station は永遠に登場しなさそうですねえ。
Solaris 2.6/7/8 の snmpXdmid (SNMP to DMI mapper daemon) に buffer overflow する弱点があり、local および remote から root 権限を奪取できてしまうという指摘。とりあえずの対応策としては、 snmpXdmid を停止し、chmod 000 等して起動しないようにする。 インストールしている場合、 Solaris 2.6 では /etc/rc3.d/S77dmi で起動するようです。
2001.04.02 追記: CERT Advisory 登場。 CERT Advisory CA-2001-05 Exploitation of snmpXdmid。
Knark: Linux Kernel Subversion とか Scanner for loadable kernel-module rootkits (Analysis and detection tool for KNARK and ADORE) なんてのもありますね。 rootkit に対抗したい人は chkrootkit あたりも参照 (IIS 4.0?)。
mutt の 1.2.5 より前のやつに format bug ……ってあんた、それは July 28, 2000 に直ってるじゃん。
これまで知られていた UNICODE encoding bug (MS00-078, MS00-086, [fw-wizard:940] (Report)Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability などを参照) は \winnt のディレクトリ名を変更している場合は回避できていたが、 ディレクトリ名を変更しても回避できない変種を発見したという話題。 ただし、IIS 4.0 でかつ /iisadmpwd が存在する場合しか利用できない。 対策としては、MS00-086 patch を適用してあればいいようだ。 /iisadmpwd も消しましょうね。
postfix release-20010228 において、たとえば
From: [email protected] (KOJIMA Hajime / 小島肇)
という From: がついた mail を local mailer が処理すると
From: [email protected] (KOJIMA Hajime /\ 小島肇)
のように "\" がついてしまうという問題への fix patch。 結局 From: のつけかたを変えてしまったです。
MDaemon 3.5.4 Standard / Pro for Windows NT/2000 に弱点。Worldclient および Webconfig サービスにおいて、 http://www.foo.org:3000/aux という URL をリクエストすると サービスが crash してしまう。 3.5.6 で fix される。
Windows 用の ssh server 2.4 に弱点。 同時コネクション 64 個で crash してしまう。 2.5 で fix されるという。
2001.03.19 追記: MaxConnections 50 などと上限を設定することで回避できるようだ。
ProFTPD, NetBSD ftpd 20000723a, Microsoft ftp service 5.0 において、 ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../* というコマンドを発行すると CPU 100% 状態になるので DoS になるという指摘。wu-ftpd 2.6.1 では問題はないという。 手元では、wu-ftpd 2.6.1 で安全であること、また FreeBSD 4.2-RELEASE の ftpd には問題があることを確認した。
2001.03.19 追記: ProFTPD Project: Critical Bugs で状況と対策が紹介されている。 ProFTPD では DenyFilter \*.*/ で ok のようだ。こがさん情報ありがとうございます。
NcFTPd にはこの弱点はないそうだ。 あと、Elias Levy 氏による、反応のまとめ。 Pure-FTPd なんてのがあるのね。
2001.03.19 追記: FreeBSD の lib/libc/gen/glob.c 1.11.6.1 に修正が入りました。 MAX_GLOBENTRIES (現状は固定値……sysctl とかで変更できるといいな) によって制限されます。 4.3-RELEASE に間に合ったようです。こがさん情報ありがとうございます。
あと、 /../ を check するだけではダメ という話が出ています。
2001.03.26 追記:
ProFTPD 1.2.2rc1
には
Bug 1066 - new GNU glob() and friends, which properly limits recursion and
avoids DoS issues. Built-in glob support is now always compiled in to
proftpd regardless of libc support on build platform.
という修正が入っているそうです。(from installer ML)
2001.04.25 追記: OpenBSD fix, 026: SECURITY FIX: Apr 23, 2001 が出てます。
random src port でさまざまな攻撃っぽいパケットを大量に送付し、IDS を撹乱するツール Stick が登場というおしらせ。 大量に送られると IDS 自体が落ちる場合もあるという。 ジャミングとかデコイのイメージかな。
対抗するためにはどうすればいいんだろう。 世の中の組織が境界ルータとかで egress filtering をちゃんとやってくれてるかどうかがポイントなのでしょうが、外部組織に期待するのは間違いだしなあ。 wide-area な IDS 網を張れれば、何か見えてくるのかな。
2001.03.21 追記: こんな記事が出ている: FBIがパニックに? “危険度低”の攻撃ツール。 いささか騒ぎすぎなのでは? という主旨。
また、stick 自身が http://packetstorm.securify.com/distributed/stick.tgz で公開されている (from IDS ML)。 snort のルールをそのままジャミングに利用しているんですね。なるほど。
あと、checkpoint から: Denial of Service reported on RealSecure Network Sensor。
さらに悪質になったワーム作成ツールの最新版が配布される、 google でちょっと検索しただけで、すぐみつけられちゃうし。 いやはや。
XML標準の90%が失敗する?、最近の XML もの記事だと、日経コンピュータ 2001.3.12 (no.517) の特集がおもしろかったですね。
NEC EWS 用 bind patch、 UX/4800 R14.1 用 と UX/4800(64) R14.1 用 が出てます。
2001.03.14 の TCP に深刻なセキュリティホールを発見 に追記した。 CERT 記事追記。
いきなりアキバで「下さい」って言ってもねぇ……。 盗聴/盗撮のほうがはるかにありがちなのはおっしゃる通りだと思うけど。 でも、まじめな企業はちゃんとテンペスト対策してたりするのよね。 いつぞやのクローズアップ現代、再放送しないかな。
SONY から ポータブルCD-R/RWドライブ『CRX76A』および『CRX76U』付属のACアダプターおよび電源コード回収ならびに社告の実施について が出ています (from Mac お宝鑑定団)。 自分のMacを売ってしまう場合、中にある個人的なデータを全て削除するうまい方法はないのでしょうか? もイイかな。 ホントは、何度も書き書きしたほうがいいんでしょうけど (link 先変更: 植村さん情報ありがとうございます)。
スパイ行為をスパイし返す“Webバグ”回避ツール、興味深いですねえ。
あ、記述増えてる (^^) > Tea Room for Conference。 でもなんで、単に「与える」のではなく「委譲」なんだろう。
更新が続くマイクロソフトの「IIS 防御策」ドキュメント 頻繁に加筆・修正されているため,定期的なチェックが必須、 IIS 4.0のログ日付問題に触れられていますが、 Q223137: IIS 4.0 Log Field May Contain Invalid Constant Time Field にあるように SP5 + MS99-039 patch で (副作用として!) fix されます。 もちろん SP6a にしたほうが better だと思いますが、やってやれないことはないということで。
昨日のお客さん: Mar 13 21:23:04 starbow login: LOGIN FAILURE ON /dev/ttyp0 FROM 133.217.105.141, kjm。 その src address にアカウント持ってないんですけど。
ISN が予測可能だと IP spoofing attack が可能になっちゃったりするわけですが、 どのプロダクトがどのように問題なのかさっぱりわからないのでなんともかんとも。 CERT といっしょにやってんなら、どうして CERT から出るまで待てないのかもよくわかんない。けっきょく、「秘密保持契約」がらみのカネがほしいってコトなのか? 現時点ではマユにツバべっちょり。
2001.03.15 追記: CERT から出てます: Vulnerability Note VU#498440: Multiple TCP/IP implementations may use statistically predictable initial sequence numbers (from Tea Room for Conference, No.#328-8)。 CVE: CVE-1999-0077 ですし、「再警告」という位置付けで理解するのがよいような。 しかしなあ、やっぱ product 名出してもらわナイト。
2001.05.08 追記: CERT(R) Advisory CA-2001-09 Statistical Weaknesses in TCP/IP Initial Sequence Numbers 参照。
ハッカー文化を支えるロシアの国内事情(上)、ロシアですかー。
Windows 2000 Server リソースキット 7: IIS 5 リソースガイド 9 章 セキュリティ が公開されています (from Win セキュリティ虎の穴)。
うわ、こんどは爆撃ですか。 U.S.NAVY はどうなっちゃってるんでしょう。
SecurityFocus.com Newsletter 第 80 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:
Carey Internets Services Commerce.cgi Directory Traversal Vulnerability
Watchguard Firebox ll PPTP DoS Vulnerability
PPTP に細工パケット送ると DoS。
ridentd おもしろそうですね。
著名な backdoor、"SubSeven" の新バージョン 2.2 が登場したという話題。 機能概要と削除方法。 NAV 7.0 CE + 最新 data で検査したら何も言わんかった。まだ data に入ってないのかな。
CGI プログラミングに際しての留意点のリスト。 JAPU 氏は CGI Program Security Advisories も精力的に更新されています。 他人のフリ見て我がフリ直せ。
Tea Room for Conference にも書きましたけど、この文章には「ポータルサイト」という話が出てきます。 チャンネルを増やせば到達可能性は高くなると思うけど、 そもそも MS technet security に到達できない人がポータルになら到達できるのかなあ……。
Tea Room for Conference の著作権ほげほげですが、 そーゆーことなら全部「office」名義で書くべきなのかな。きゃは。 だいたい、字が小さすぎて見えないって (笑)。
MS01-015: Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう の WSH patch 出てます: 5.1, 5.5。 IE 用はまだ。
http://www.tripwire.co.jp ができています。めでたい。
セキュリティを考慮したWebメール・サービス、 セキュリティを気にするなら、そういうものを使うのがそもそも間違いのような気がするんですけど……。
アサヒが孤立? 発泡酒で各社不協和音、
「発泡酒はビールのまがい物
」ってあんた、
スーパードライこそが「ビールのまがい物」だ、というのが龍谷大学理工学部電子情報学科教員の間での主流の意見だったりするんですけどねえ。
まあそういう意味では、アサヒは最初からまがい物路線であり、
これまで「発泡酒」をやっていなかったのも「すでにまがい物があったから」からだ、という理解が可能 :-) だし、
マグナムドライなどの「発泡酒」がウケたのも、
スーパードライというまがいものの下地があったから :-)
という解釈ができるような気が。
なんか fix の山になってるし。
DSA-032-1 proftpd: proftpd running with incorrect userid, erroneous file removal
debian only な話かなあ。
DSA-033-1 analog: buffer overflow
Analog: Security warning: buffer overflow bug の話。 RedHat errata。
DSA-034-1 ePerl: remote root exploit
Embedded Perl 5 2.2.14 を suid root でインストールすると local user が root を取れるという話。 debian では、2.2.14-0.7 で fix。すでに 2.2.14-0.8 が出ている。
DSA-035-1 man2html: remote denial of service
man2html が memory を食いつぶすので DoS が成立という話。
DSA-036-1 Midnight Commander: arbitrary program execution
あるユーザが動かしている Midnight Commander に対して、 他のユーザがあるユーザの権限でコマンドを実行させることが可能。
[DSA 037-1] New versions of Athena Widget replacement libraries available
nextaw, xaw3d, xaw95 の tmp file のつくりかたに問題。 XFree86 4.0.1 /tmp Vulnerabilities の話?
[DSA 038-1] New version of sgml-tools available
sgml-tools の tmp file のつくりかたに問題。
[DSA-039-1] glibc local file overwrite problems
glibc RESOLV_HOST_CONF File Read Access Vulnerability, LD_PRELOAD File Overwriting Vulnerbility の件?
[DSA-040-1] slrn buffer overflow
slrn において、長大な header で buffer overflow し任意のコードを実行できてしまう。
[DSA-041-1] joe local attack via joerc
カレントディレクトリに存在する .joerc を読んでしまう。 RedHat errata。
[DSA 042-1] xemacs21/gnuserv buffer overflow and weak security
gnuserv の MIT-MAGIC-COOCKIE ベース認証において、 cookie が入っている buffer が overflow するため cookie の比較がフリーズ。 emacs 19/20 の emacsserver にはこの弱点はない。 RedHat errata 7.0, 6.2。
[DSA 043-1] zope several vuln. fix
Hotfix 2001-02-23 "Class attribute access" などの件。 RedHat errata。 Software Product: All Zope Hotfixes には Hotfix_2001-03-08 なんてのも出てるので、2.3.0 / 2.3.1 β 1 の人は参照。
MS01-014: 不正な URL により IIS 5.0 及び Exchange 2000 のサービスにエラーが発生する の IIS5 patch 出ました。
「教育目的」という7行のDVD保護解除プログラム。 7 行で十分ですよ、Mr. デッカード。わかってくださいよ。
中小企業IT化推進計画案に関する意見募集−政策への意見募集−、とりあえず、太い線を安く引けるようにすることと、コンピュータの減価償却を 3 年以下にすることが急務だと思うけどなあ。そのあたりは、2 年後にはなんとかなっているということなんだろうか。
「共通基盤的ソフトウェア等の整備
」なんて言ってつくってもΣみたいになるだけのような気がするし。
総務省、香りや触感のネット送信を実験、実用化された暁には「クサすぎて気絶しそうな臭いデータ添付攻撃」とか「クサいデータをフィルタする firewall」とか出てくると思うぞ (^^;)。
国内におけるセキュリティ情報流通に関するアンケート が行われています。 回答期限は 2001年3月16午後0時 になっています。
このページが選択項目に入っているので、載せておきます。 こういう行為自体も調査対象になっていると思うし。
IBM WebSphere と Net.Commerce に、管理者を含むアカウント名とパスワードを手に入れることができる穴があるという話。 IBM NetCommerce Security と Passwords in Net.Commerce/WebSphere decryptable, any version の話かなあ。 patch があるので適用すればよいそうだ。 ありかは記事に link されてるし。
IIS 5 に弱点。特殊な WebDAV リクエストを送ると、IIS 5 が CPU 100% 状態になり DoS 成立。ただし、リクエストの送出をやめた時点で IIS 5 はリスタートしサービスが復旧する。 Guninski 氏による詳細 (デモコードつき): IIS 5.0 PROPFIND DOS。 CVE: CAN-2001-0151。 NTBUGTRAQ: Surgeon General's Corporate Risk Assessment: MS01-016。
patch は英語版、日本語版共にまだない。 とりあえずの対応策としては、WebDAV を停止する。方法は Q241520 に詳述されている。
2001.03.15 追記: 英語版 bulletin が version 2.0 になった。 英語版 patch が登場。でも日本語版はまだ。
2001.05.09 追記: 類似の新種が登場: IIS 5.0 PROPFIND DOS #2。 やはり IIS 5 がリスタートしてしまう。 当面の対策としては、上記の方法で WebDAV を停止する。
IPA の DDoS攻撃に関する情報 が更新されています。 また、2001年2月ウイルス・不正アクセス届出状況 でも DDoS に触れられています。
メールの安全保証します - 個人で使える電子署名認証局「FreeCA」 の件ですが、 帆刈さんから情報をいただいて、 追記 (というか全文引用) しました。ありがとうございます。
わはは、 「人妻の写真」ウイルスが米軍、企業を襲撃、 男というのはどいつもこいつも…… :-)。
ZDNet も出てた: 禁じられた遊び——「人妻ウイルス」の誘惑。 メッセージの日本語訳が微妙に異なるところに想像力をかきたてられる :-)。
東京めたりっく通信のADSLルータにクラッキングの恐れの件、佐藤さんから情報をいただいて追記しました。ありがとうございます。
「サイバーテロが身近に迫っている緊張感が国民全体に欠けている点がある
」、いちばん欠けてるのは日経を含むメディア方面なんじゃないの?
「従来の事件は……攻撃モデルといえる
」のところ
(今回と従来の区別がついてない) とか
「日本のセキュリティ対策は明らかに後手に回ったように私には感じられた
」(断定なのか推測なのかどっち?) とか、日本語変だし。
IPA の対応についての記述も変だし (H.U.C しか追ってないんだろうね)、
ボランティアに「攻撃者を捕まえる
」権限なんてはじめからないし。
「セキュリティ組織の素早く、正確な情報を提供する活動が望まれる
」
とか言いながら、ケーサツの対応状況のバラつきには
「多少気になるが、いつか改善されていくだろう
」
なんてノンキな事言ってる。
古川氏自身も緊張感欠けてるじゃないの?
読めば読むほど気分悪くなってくるのはなんでなのか考えてみたのだが、 古川氏の視点は「高見の見物」なのだ。 で、後になってエラソーな事言ってる、としか私には受けとれないのだ。 気がついたのならそのとき助言してよ。 まあ、「KPMG ビジネスアシュアランス」(これ? 会計事務所ってのは or.jp なの?) はボランティアじゃないもんねー 情報ほしけりゃ金出しな hehehe ということなのかもしれんけど、 ボランティア情報を活用しているのなら、 ボランティアへの還元もしてほしいよね。
追記: 監査法人なら非営利 (公益?) 法人で or.jp なはずなのだそうです。 例: 中央青山監査法人。 しかし、監査法人トーマツ のような例もあるそうです。 横井さん情報ありがとうございます。
さらに追記: トーマツの築山さんからメールをいただきました (ありがとうございます)。 小島が下手に解釈するよりそのまま掲載したほうがよさそうなので:
簡単に申しますと、当法人は「その規則が決まる前にドメインを取得していた」というご理解が一番早いかと存じます。 もっとも実際に取得しましたのは、現存していない子会社「トーマツ・インフォテック株式会社」で、消滅後、当法人にドメインを移転しました。
ところで、小島さんや横井さん(どういう方か存じ上げませんが)も誤解されているようですが、監査法人は非営利法人では無い、と解釈するのが妥当であるようです。「公認会計士法 第五章の二 監査法人」が法的根拠ですが、法人形態としては合名会社形態を取っており、実際に「発生した利益を社員に分配している」ことからも、決して非営利法人ではないと思われます。
私は監査法人の社員ではありません(法で定める通り、「社員」は公認会計士でなければならず、私は公認会計士ではないため「職員」です)ので、私の意見が当法人を代表しているわけではありませんが、複数の社員および代表社員に確認したところ、同一の見解を得ています。
ちなみに、私は「監査法人はor.jpである」旨が最初に発表された際、JPNICのdomail-talk MLで「監査法人は非営利団体では無い」と投稿しましたが、黙殺されたようです。:-) その際の当法人内における雑談で「やはり監査法人というものはわかりにくいのだな」「少なくともJPNICに公認会計士はいないようだ」などの話が行われたのを覚えています。 まぁ「どうしてもor.jpに移行しなければならない」と言われたわけではありませんでした(or.jp->ne.jpに準ずる)ので、「ま、いっか」と思い、今日に至っております。:-)
そういう意味では、国内監査法人のなか、少なくとも大手監査法人のなかで、当法人以外はみな前述の規定の発表後にドメインを取得したのは事実です。
終わらない……。
MS01-014: 不正な URL により IIS 5.0 及び Exchange 2000 のサービスにエラーが発生する
(Fri, 02 Mar 2001 06:40:20 +0900)
よくわからないけど、特定の形式の URL リクエストを大量に受けると IIS 5.0 が異常終了するという話なのかな。 日本語 patch はまだない。Exchange 2000 を運用している場合、IIS 5 用と Exchange 用の両方の patch を適用する必要があるので注意。 でも日本語版 patch はまだない。
CVE: CAN-2001-0146
MS01-015: IE can Divulge Location of Cached Content
(Wed, 07 Mar 2001 09:54:27 +0900)
IE 5.01/5.5, WSH 5.1/5.5 に 4 つの脆弱性がある。 Guninski さんのがあるところは、Guninski さんの記事を読んだ方が話が早い。
Cached content identifier 脆弱性。 CVE: CAN-2001-0002。 Georgi Guninski security advisory #28, 2000: IE 5.x/Outlook allows executing arbitrary programs using .chm files and temporary internet files folder。
"frame domain" 脆弱性の新バリエーション。 CVE: CAN-2001-0148。 Georgi Guninski security advisory #31, 2001: Windows Media Player 7 and IE vulnerability - executing arbitrary programs。
Windows Scripting Host の脆弱性。 CVE: CAN-2001-0149。 Georgi Guninski security advisory #22, 2000: IE 5.5/Outlook Express security vulnerability - GetObject() expose user's files (BUGTRAQ bugid 1718)。
telnet 起動の脆弱性。 IE から telnet URL を起動する場合に、 SFU 2.0 に付属する telnet クライアントだと引数つきで起動できてしまう問題。 SF 2.0 telnet には log オプションがあるので、 これを使って、次回起動時に攻撃者の好みのコマンドを自動実行するようにできてしまう。 SFU 2.0 がインストールされていなければ顕在化しない。 CVE: CAN-2001-0150。
日本語版 patch はまだない。
ウェブサイトが改ざん被害 埼玉県、 復活した 埼玉県ホームページ は Apache/1.3.19 みたいですけど、その前はどうだったのかしら。 ……IIS 4 だったみたいですね。
しかし、http://www6.plala.or.jp/private-hp/samuraidamasii/tamasiitop/robotyuugoku/robotyuugoku.htm は笑える。
2001.03.07: asahi.com に link するのはやっぱアレなので、 毎日の記事に link しなおした。あと、robotyuugoku.htm 情報は from 2ch.net。
メールの安全保証します - 個人で使える電子署名認証局「FreeCA」、その FreeCA
自身はどの程度信用できるんですかという問題が。
「freeca.digion.com は転送される情報を保護するために、
暗号化を使用しているサイトです。
ですが、Netscape は、証明書に署名した発行人を認識できません
」
とか出ちゃうのはちょっとかなしいものがあるしなあ。
2001.03.07 追記: 帆刈さんから情報をいただきました。 そのまま掲載したほうがよさそうなので:
さて、「セキュリティホールmemo」3/6付で紹介されている「FreeCA」についてですが、どうやら、OpenCA (http://www.openca.org/)と、SSLeay FAQの、
http://www.infoscience.co.jp/technical/crypto/ssleay_jp.html#Mini-CAs and testing with Client Certificates
で紹介されているツールのどれかをベースにして証明書の発行/管理を行うようにしたシステムのように思えます。
# どこにも明記されていませんが、HTMLソースのそこかしこに
# mailto:Massimiliano Palaと入っているので
# OpenCAについては間違いないでしょう。
OpenCAの動作については、OpenSource PKIbook (http://ospkibook.sourceforge.net/)が詳しいですが、証明書の発行プロセスを全て自動化してしまっているのと、CAの証明書をあらかじめブラウザに組み込むプロセスを行わずに証明書の発行プロセスを開始してしまうようですので、「体験版」と割り切ってしまうべきなのではないかと思います。
なによりも、CPSが「Under Construction」のまま発行していることに強い不審感を持ってしまいます。
東京めたりっく通信のADSLルータにクラッキングの恐れ、パスワードに規則性があるか、WAN 側からつなげられるようになってましたとか……。 いやはや。
2001.03.07 追記: 対策の内容は次のようだと佐藤さんから情報をいただきました (ありがとうございます):
うーむ……。138 とか 445 はいいんですかね。
盗まれた米政府の衛星システム制御コード、web ページをアカくするのとはちょっとちがう。
個人情報保護法案全文を入手 報道は義務規定の対象外、 すでに政府の言うなりになっているマスメディアは ok ok でウワシンみたいなゲリラには網かけたいってことなのかな。
バックログたまりっぱなしですいません。特に、情報提供してくださってる方々。
いそがしさにかまけているうちに時間が経過しているし。
MS01-011: ドメインコントローラへの無効なリクエストがサービス拒否を発生させる
(Wed, 21 Feb 2001 11:18:32 +0900)
Windows 2000 ドメインコントローラ (DC) にある形式のリクエストを送ると、それが送られている間は DC が DoS 状態になる、ということみたい。リクエストがなくなれば復帰する。 patch が出ているので適用する。
要注目: CVE 番号が Bulletin に付加されるようになった (画期的)。 CAN-2001-0018。
MS01-012: Outlook と Outlook Express の vCard ハンドラが問題のあるバッファを含む
(Fri, 23 Feb 2001 12:36:02 +0900)
Outlook 98/2000, Outlook Express 5.x に弱点。 vCard (は vCard The Electronic Business Card Version 2.1 と RFC2426: vCard MIME Directory Profile あたりを見ればいいのかな? 電子的な名刺の規格だと思えばいいみたいす) の処理においてバッファオーバーフローが発生するため、 remote の攻撃者は悪意ある vCard を含んだ e-mail を送ることにより任意のコードを実行可能。
@stake: Microsoft Outlook 2000 vCard Buffer Overrun。
CVE: CAN-2001-0145。
日本語 patch は、いまのところ IE 5.5 SP1 用だけ出ている。 英語版は IE 5.01 SP1 用もある。 IE 5.01 SP2 および IE 5.5 SP2 で fix される。
MS01-013: Windows 2000 イベントビューアが問題のあるバッファを含む
(Tue, 27 Feb 2001 06:54:49 +0900)
Windows 2000 イベントビューアに弱点。 巧妙に細工したイベントレコードによりバッファオーバーフローが発生するため、イベントの詳細を表示させたときにイベントビューアがダウンしたり任意のコードが実行されたりしてしまう。
CVE: CAN-2001-0147
patch があるので適用する。
sendmail -bt で segmentation fault するので local user が root を取れるという話、なのだが、 [email protected] に流れている話では、確かに起るし 8.11.2 での fix 事項だけど root は取れない、とされている。 気になる人は upgrade されたい。最新は 8.11.3 だし。
Tea Room for Conference の No.299 で紹介されている @stake Security Advisory: Palm OS Password Lockout Bypass の話でしょう。 debugger なんていわれると、morris ワーム (= sendmail debug mode) を思い出してしまう私。 PalmOS 4.0 で fix されるそうです。
wget バグめっけ。
Namazu を利用した検索ページをつくりました。 EXCLUDE_PATH の書き方を理解するのに、 とてつもない時間を消費させていただきました。 わかればどうということはないのだけど……。
動作が変だったら、おしえてください。
IISの深刻なセキュリティ・ホール「RDS問題」 ベンダーはもっと詳しい情報提供を 、 やっぱ MS99-025: Re-Release: Unauthorized Access to IIS Servers through ODBC Data Access with RDS の日本語版はほしいような。 MS99-030: Office 「ODBC ドライバ」の脆弱性 までは訳されてるんですけどね。
情報セキュリティ・インシデントへの組織的対応セミナー - インシデント対応体制のあり方について -、 予想どおり、早くも受付終了してますね。 インターネットで中継……はやっぱりないんですよね (しつこい)。
あいかわらず攻撃が続いているようで、 EVERYDAY PEOPLE のリストも伸びつづけてます。 ryukoku.ac.jp も、class B 全体を scan してくださる方とかいらっしゃったようです (たいした成果なかったでしょ > 216.86.104.37)。
個人的には、花粉による DoS 攻撃の方がキビシイ。 あと 2 か月くらいつづくからなー。たまらん。
米国WildPackets社の開発による802.11対応の無線パケットアナライザ 「AiroPeek 1.0」を新発売。NET&COMでプレビュー、 無線 LAN 用の (software?) sniffer のようです。
Security Talk ML のβ版がスタートしています。 EasyML はあまり secure じゃないので、悪さしないようにしましょう > all。:-)
宇治市に賠償責任 住基台帳データ漏えいで京都地裁判決、宇治市のみなさ〜んもれなく (?) 3 万円もらえますよ〜ラッキー♪ (なんかちがう)。
原告 3 人だから 3 万円ずつ払ってもなんとかなるけど、 1 万人だったら 3 億円ですからねえ。 こういう判決が出るようになると、 ようやくセキュリティに本腰入れてもらえるのかな。
3月2日付・読売社説(1)[歴史教科書] ◆日本は思想の多様性許容の国だ◆ 、うわはははは。 社説でこんなの載せるとはねえ。 まあ、こんな新聞が売上日本一なんていうんだから、自民党が政権与党なわけだよねえ。
Postfix の Release 版 (NON BETA)、"Postfix Release 20010228" が出てます。
ProFTPD 1.2.1 が出たそうです (from installer ML)。
NCA5 の総会、いずこも悩みは同じですねえ。 大学サーバーはクラッカーの格好の標的(上) な話もでてました。 大学というところは、わかってないくせにわがままな人の宝庫ですから。 (専門領域ではそれなりに優秀なのだろうとは思うんですけどね……)
port137 に来てる人をざっと逆引きしてみたら、 .ac.jp からのお客さん、けっこういらっしゃってるし。
今から京大に行ってきます……。 NCA5 の総会なんですって。
Gnutellaワームはサイズで見分けろ、道があれば通るという話かな。 拾い食いはやめましょうと学校で習わなかった?
apache 1.3.19 が出たそうです。またバージョン飛んでるなあ。
6割が勤務先メールは監視されていると感じる RSAセキュリティ、回答していない人の人数がわからないから、あまり意味のない数字でしかなんですけど……。虚しい。