セキュリティホール memo - 2001.06

Last modified: Tue Apr 15 13:02:37 2003 +0900 (JST)


2001.06.29

RMAと情報セキュリティ -自律分散協調論ゲスト講演-
(Tea Room for Conference, 06月29日 03時26分 ( No.432 ))

 WIDE University, School of Internet自律分散協調論 における武田さんのゲスト講演だそうです。 通信用空中線/電力系統破壊兵器なんてのがあるんだ……ふぅん。

Cisco Security Advisory: IOS HTTP Authorization Vulnerability
(
CA-2001-14, June 28, 2001)

 CISCO IOS 11.3 以降に弱点。 HTTP サーバを有効にし、かつ local 認証を利用していた場合に、 特定 URL にアクセスすると、認証機構を迂回して任意のコマンドを実行できてしまう。 コマンドは最高位の権限 (level 15) で実行されるという。 HTTP サーバを無効にした場合、あるいは TACACS+ や Radius など外部の認証を利用する場合はこの弱点を回避できる。 IOS の upgrade を行うと回避できる (もしあれば)。

2001.07.02 追記: 関連: シスコのIOSを無防備にするセキュリティ上の欠陥 (ZDNet)、 シスコのルーターにネットワークを掌握できるバグ (CNet)

2001.07.04 追記: CERT Advisory LAC 邦訳版登場: CERT Advisory CA-2001-14 Cisco IOS HTTP Server Authentication Vulnerability (坂井さんトラブル対応ありがとうございます _o_)。 exploit がさっそく BUGTRAQ に流れてました。

 あと、シスコのIOSを無防備にするセキュリティ上の欠陥 (ZDNet) で述べられている ssh の話は Cisco Security Advisory: Multiple SSH Vulnerabilities です。既知の問題点をようやく直しました、という話。 CRC-32 integrity check vulnerability なんて October 1998 ですから。

追記

 2001.06.28 の MS01-034: 不正な Word 文書が自動的にマクロを実行する追記した。 Word 2000 / 2002 ユーザは修正プログラムのインストール確認時にご注意を。

注意喚起
(常時接続の宴, 2001.06.28)

 MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される の exploit ねた。実は作者の方 (!) から情報をいただいた (ありがとうございます _o_) ので、あとでもうちょっと try してみます。


2001.06.28

MS01-035: FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む
(Microsoft Product Security Notification Service, Fri, 22 Jun 2001 09:49:22 +0900)

 IIS 4.0 / 5.0 のインストールにおいて Visual Studio RAD Support をインストールしてしまった場合に弱点。 バッファオーバーフローが発生するため、攻撃者は remote から IUSR_コンピュータ名 権限、あるいは local SYSTEM 権限を得ることができてしまう。

 MS は Visual Studio RAD Support は「デフォルトではインストールされない」と書いているが、 手元の Windows 2000 SP2 日本語版で IIS 5.0 を、 コントロールパネルの「アプリケーションの追加と削除」からインストールする場合、

□ インターネットインフォメーションサービス (IIS)

を check して [詳細] を見ると、

□ Visual InterDev RAD Remote Deployment Support

にもちゃんと check が入っている。こういうのは「デフォルトでインストール」と言わないのだろうか? もちろん、□ インターネットインフォメーションサービス の check 時には何の警告も出ない。 [詳細] から、 □ Visual InterDev RAD Remote Deployment Support の check を外し、再度 check するとそのときは警告が表示される。

 Windows 2000 用の patch は出ているが、NT 4.0 用はまだ。 というか、Visual Studio RAD Support を削除してしまえば問題は解決するはずのような気がする……のだが、「削除すれば回避できる」とはどこにも書いてないんだよなあ。よくわからん話だ。

 CVE: CAN-2001-0341NSFOCUS SA2001-03: Microsoft FrontPage 2000 Server Extensions Buffer Overflow Vulnerability

MS01-034: 不正な Word 文書が自動的にマクロを実行する
(Microsoft Product Security Notification Service, Fri, 22 Jun 2001 08:21:01 +0900)

 Word 2002 (XP), 2000, 97, 98(J), 2001 for Mac, 98 for Mac に弱点。 MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する と同様に、マクロが無警告で実行されてしまう弱点がある。 マクロチェック機構はマクロじゃないと認識するが、Word 自身はマクロと認識するようなマクロを設置することができるというのだ。 これにより、攻撃者はファイルの消去やハードディスクの再フォーマット、トロイの木馬の設置といったあらゆる悪さができてしまう。

 MS01-028 の patch を適用している場合はこの弱点はない。まだの人は、 ここ から patch を入手して適用しよう。ただし、Word 97 / 98 (J) 日本語版用の patch はいまだに存在しない。

 CVE: CAN-2001-0501

2001.06.29 追記: 青木さんから、 MS01-034 日本語 Bulletin に書いてある「修正プログラムのインストール確認方法」を Word 2000 で実行すると、 結果が合わないという情報をいただいた (ありがとうございます)。 9.00.00.5302 となるはずが、9.0.4402 SR-1 となるのだ。 青木さんは、 MS01-028 に書いてある方法 (Winword.exe のバージョンを見る) だときちんと 9.00.00.5302 となると指摘されている。 手元でも確認してみたが、そのとおりだった。

 なお、MS01-034 英語版 Bulletin では、Word 2000 と Word 2002 については Winword.exe のバージョン番号を確認せよ、とある。 というわけで、Word 2000 / 2002 ユーザはご注意を。

 間違いをみつけたときは、 フィードバック してあげると喜ばれます。

2001.07.12 追記: Word 97/98 用 patch 登場: Word 97, Word 98

追記

 2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される追記した。 exploit の話を追記。

TurboLinux patches
(turbolinux japan, 2001.06.27/28)

TrendMicro InterScan VirusWall 3.51 脆弱性
(BUGTRAQ-JP)

 どこまで続くのか、TrendMicro InterScan VirusWall ネタ。

 英語版 patch が出ているが、日本語版はまだ。 patch が出るまでは、IP address などによるアクセス制限が推奨されている。

追記

 2001.06.27 の CERT/CC Current Activity追記した。 W32LeaveWorm 関連情報を追加。

エシュロン、日本の外交電文も傍受 NZの研究者が証言
(インターネット事件を追う, 2001年6月27日)

 信じる者はバカを見る。太平洋戦争の戦訓という概念は、外務省にはないようだ。 まあ、機密費で豪遊してる連中には国益という概念もまたないのだろうが。


2001.06.27

Sun Microsystems, Inc. Security Bulletin: ypbind
([email protected], Fri, 22 Jun 2001 09:13:07 +0900)

 Solaris 2.4〜8 (SunOS 5.4〜5.8) の ypbind に弱点。 buffer overflow するため、remote から root 権限を得られる。 patch があるので適用すること。

2001.07.04 追記: JPCERT/CC Alert 2001-07-04: Sun ypbind Buffer Overflow Vulnerability

Solaris のプリンタデーモンに含まれる脆弱性に関する注意喚起
(JPCERT/CC, 2001-06-27)

 Solarisのプリンタソフトにセキュリティホール (ZDNet) の話。lpd は kill した上で起動しないようにしましょう。 詳細: ISS Security Advisory: Remote Buffer Overflow Vulnerability in Solaris Print Protocol Daemon。 まあふつう、外に向けてるホストで lpd を動かしたりはしていないと思うけど、……という前提が成立しない host はちゃんと存在して、 近日中にヤラれるんだろうなあ。

2001.07.03 追記: CERT Advisory と LAC 邦訳版:

JPCERT/CC レポート 2001-06-27
([email protected],Wed, 27 Jun 2001 11:03:52 +0900 )

 週刊 JPCERT/CC レポート登場。 やっぱり MS01-033 来てるみたいですねえ。 http://www.jpcert.or.jp/wr/ には「準備号」というものもある。

 http://www.jpcert.or.jp/wr/ もセキュリティアンテナで watch することにしておきした。

CERT/CC Current Activity
(CERT/CC, Tue Jun 26 09:52:57 EDT 2001)

 DoS攻撃の予兆? NIPCがワーム警報 (ZDNet) という話もあって、 Increased SubSeven Activity だそうで。

2001.06.28 追記: W32LeaveWorm については、incidents.org の W32LeaveWorm が詳しい。

怖い話:Officeが機能しないモードになります
(ZDNet News, 2001年6月26日 05:59 PM)

 トワイライト・ゾーンじゃなくて現実の話なんだよなあ。 シャレにならない。


2001.06.26

MSIE の謎なワイルドカード指定
(N/A)

 IE の [インターネット オプション] - [セキュリティ] の [インターネット] を除く各ゾーンにおいてサイトを登録する際、 ワイルドカードが使えるのだが、これがなんだか妙という話。

 昨日書いたものをもういちど:

IE でたとえば *.gov をまとめて登録したいときは、 URL として http://*.gov とか書けばよいです > 石川さん。 ……って、上記を入力すると http://*.*.gov に展開されてるなあ。

手元は IE 5.01 SP2 (Windows 2000 SP2) なんですが、 レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains には *.gov と登録されてます。 さらに、 インターネットオプションのダイアログから http://*.*.gov というのを削除しても (画面的には削除されたように見える)、 もういちどダイアログを表示させるとどっこい残っていますね。 これってバグなんじゃないかなあ。 regedit とかならちゃんと消せます。 表示上 *.*.gov に展開されるってあたりがマズそうな気が。

 これに対して、石川さんが MacOS 用 IE での状況を リンクとか備忘録とか日記とか 2001.06.26 に記載されている。手元の IE 5.0 (2022) on MacOS 9.0.4 (まだ 9.1 にしてないし……) でも状況を確認できた。 MacOS 用 IE では、どうやら *.*.gov が正当なものになっているようだ。

 IE 5.5 SP1 on Windows 2000 SP2 ではどうなのかと思って今確認してみたが、 IE 5.01 SP2 の場合と変わらない状況だった。 MS さンはどうしたいのか。よくわからん。

TurboLinux patches
(turbolinux japan, 2001.06.26)

 それにしても、US と jp とで security fix として list されるモノがこうも違うのってどうなってんの? jp で売ってるモノは [TL-Security-Announce] TLSA2001029 esound-0.2.22-1 とか ok なわけ?

追記

 2001.06.25 の [SECURITY] [DSA-065-1] samba remote file append/creation problem追記した。 [RHSA-2001:086-06: New Samba packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1 登場。

NFR is currently offering Back Officer Friendly as a FREE download for personal use only.
([connect24h:03300], Tue, 26 Jun 2001 09:46:03 +0900)

 BO, FTP, HTTP, IMAP2, POP3, SMTP, TELNET な機能を持つ アクセス検知 tool (honey pot とまではいかないみたい)。 Winetd にも同様の機能があるそうです。

追記

 2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される追記した。 マジな攻撃プログラムが登場したそうで。 まだ patch してない人はいそいで。

「WindowsユーザーはLinuxユーザーよりハイリスク」−−英損保が判断
(ZDNet News, 2001年6月25日 08:44 PM)

 設定状態に依存する話を一概に決めるってのはねえ。 まあ Windows NT 4.0 のデフォルト状態はアレすぎではあるんですが。


2001.06.25

電子商取引の深刻なセキュリティー問題(上)
(WIRED NEWS, 2001年6月22日 2:00am PDT)

 『これ以上サイトの「ハッキング」を続けるなら法的措置をとると脅された』、 いやはや。 [memo:441] 利用するEコマースサイトの脆弱性の有無を知る権利? からはじまる thread でもいろいろ議論されてますが、 いろんな人がいるわけで。 そういう意味では、ネットワークに強いメディア関係者に相談するというのもテのような気がするけど、日本ではあまり通用しない (そういうトコがない) ような気が。

[SECURITY] [DSA-065-1] samba remote file append/creation problem
(debian-security-announce ML, Sun, 24 Jun 2001 00:08:21 +0900)

既存の全バージョンの samba に弱点。 log file = /var/log/samba/%m と設定している場合において、%m (= client の NetBIOS 名) に UNIX パス名を含ませると、任意のシステムファイルを上書きできてしまうため、 remote から root 権限を取得できてしまう。 log file = /var/log/samba/%m.log の場合、これを利用した攻撃をするには local account で symbolic link を作成する必要がある。 log file = /var/log/samba/log.%m の場合は、この弱点はない。

 NetBIOS 名は 15 文字までのため対象となるファイルは制限されるが、 symbolic link を組みあわせることで無限の可能性が生まれる。

 対応としては、%m マクロを %I (IP address) に変更するのが最もよいとされている。

本家アナウンス: Security Vulnerability IMPORTANT: Security bugfix for Samba。 (from [memo:600])

2001.06.26 追記: [RHSA-2001:086-06: New Samba packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1 登場。

TurboLinux patches
(various)

RedHat patches
(BUGTRAQ)

追記

 2001.05.28 の MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する追記した。 他力本願堂本舗に解説が出た。


2001.06.22

追記

 2001.06.21 の IIS 5.0 セキュリティ対策ハンドブック追記した。 伊原さん自身によるフォローがされている。

追記

 2001.06.21 の 決定版! 「SP2適用後に必要なセキュリティ・パッチ一覧」 マイクロソフトのパッチ一覧は意味不明追記した。 feedback したらページが改善されている。

追記

 2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される追記した。 MS01-025 および MS00-006 を含む、という記述が消滅。


2001.06.21

追記

 2001.06.19 の 「トラブルたずねて三千里」(100)コンピューターお掃除大作戦追記した。 おてごろなブロワー。

MS01-032: SQL クエリ方法により、キャッシュされた管理者接続が再使用される
(Microsoft Product Security Notification Service, Wed, 13 Jun 2001 08:04:51 +0900)

 SQL Server 7.0 / 2000 を混合モードで使用している場合に弱点。 SQL Server への接続は、クライアント側から終了させても、サーバ側ではある程度 (詳細な時間は不明) 継続される (cache される)。 システム管理者 (sa) による接続が終了した後で、ある SQL query を別のユーザが送ると、cache された管理者接続をこのユーザが利用できてしまうという。もちろんこの場合、ユーザは管理者権限を得られる。

 この弱点は混合モードでのみ発生する。Windows 認証モードでは発生 しない。

 patch。日本語版でも ok。 CVE: CAN-2001-0344

追記

 2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される追記した。 関連情報を追加。

SNS Advisory No.33 TrendMicro InterScan WebManager Version 1.2 RegGo.dll Buffer Overflow Vulnerability
(BUGTRAQ-JP, Thu, 21 Jun 2001 13:19:00 +0900)

 またまたトレンドマイクロ InterScan もの。 InterScan WebManager Version 1.2 において、RegGo.dll が「ある特定の引数」でバッファオーバーフローするという。 どうやら、いつ登場するかわからない次期バージョンでしか修正されないようだ。

追記

 2001.06.19 の [memo:392] ORBS Reborn Again ?追記した。 どうやら 1 つではないらしい。

決定版! 「SP2適用後に必要なセキュリティ・パッチ一覧」 マイクロソフトのパッチ一覧は意味不明
(日経 IT Pro, 2001年6月20日)

 この記事で存在をはじめて知ったが、関連サービスパックおよび対応モジュール (Windows 2000 ServicePack 2 をインストール済みのお客様はこちらをご利用ください) なんてページがあるんですね。 ■ のありなしの意味がどこにも書いてないからわかりにくい? JP249599 は JP295534 の間違いのような気がしますし。 JP249599 は MS00-019 用の KB (しかも日本語版はいまだに出てない) だから。

 しかし、「実際に、該当する障害・問題の発生している機種に限定されるようお願いいたします」って MS さン、local SYSTEM 取られてからじゃ遅いでしょう。

2001.06.22 追記: feedback したら、丁寧な mail がきた。 関連サービスパックおよび対応モジュール (Windows 2000 ServicePack 2 をインストール済みのお客様はこちらをご利用ください) はデザイン変更により改善したそうだ。確かにわかりやすくなっている。 JP249599 については、間違いではないのだが、KB 自体は現在改訂中だそうだ (複数の KB を含むものについては、KB 番号の若い順に並んでいるから JP249599 が先頭になっているだけのようだ)。 patch はリリース日順に並んでいるので、 この順番に従ってインストールするのが best だろう。

 JWNTUG OpenTalk でも話が出たが、問題点があったらぜひ feedback してほしいという話だった。 feedback するとけっこう反映されるので、気がついたときは feedback しときましょう。 もちろん、変わらないものもあるんですが。

IIS 5.0 セキュリティ対策ハンドブック
(MS ダウンロードセンター, 2001.06.21)

 Windows 2000 World 2001.07 に掲載された伊原さんの記事。 PDF 版もある。 MSC 2001 spring でも大量に配布された……らしい (が、get できなかった……大阪では 1 日目にハケちゃったのかなあ)。

2001.06.22 追記: 伊原さん自身によるフォローが [memo:522] でされているので参照されたい。

[memo:510] Mac OS X の Apache を HFS+ 上で使う際の問題について
(memo ML, Thu, 21 Jun 2001 12:56:45 +0900)

 MacOS X を HFS+ で使う場合 (パフォーマンスの点からも通常はコレのはず)、 file system が大文字小文字の区別をしない、ということを考慮しておかないと、 アクセス制限をかけたハズが実はかかっていなかったという事態になるという話。 また、CGI の場合は実行結果ではなくソースが見えるという事態になるため、 CGI に SQL server のパスワードが書いてあったりとかするとすっげぇまずいだろう。 2001.06.21 番外編:Mac OS XのApacheをHFS+上で使う際の問題について に詳細がまとめられている。 mod_hfs_apple を入れるのがいいばんいいのかな。

アウトドア 危機管理考
(リンクとか備忘録とか日記とか, 2001.06.20)

 ものすごく興味深い。ぜひご一読を。 こういうものが読めるなんて、Internet はいいなあ。 ありがたいことです。

米政府系サイトでガイドライン違反
(MAINICHI Interactive, 2001年6月20日)

 「特にひどいのは国防省」というのがキています。 さて、軍事ラブラブなブッシュ政権になって、この問題はどのような方向に向かうでしょう? (1) より遵守されるようになる (2) ますます尊守されないようになる (3) ガイドライン自体が消滅する (4) その他。

 手元ではさきほど、.gov を、徹底的にガチガチに変更した「制限付きサイト」ゾーンに入れてしまった。 インターネットゾーンもほとんど変わらない内容に変更してあったんだけど。

L-mode にメールアドレス
(slashdot japan, Thursday June 21, @10:16AM)

 さすが NTT としか言いようがありませんな。 NTT の本音は「ばんばん spam ってくれ、俺も儲かるし」だとしか思えないね。 OCN 方面で spam 対策がなおざりなのともつながるし。 関連: Lモードも迷惑メールにご用心 (asahi.com)

特集:携帯電話の不具合が示唆すること
(ZDNet News, 2001年6月20日)

 不具合毎に回収回収では、メーカがもたんでしょう。 何らかの software upgrade 機能は必要だよね。 ある意味バグ慣れさせることになるので、嫌がる人はいるだろうけど、現実的には……。


2001.06.20

FTPをファイアウォール・フレンドリ・モードに変更する方法
(@IT, 2001/05/15)

 IE 5.5 だとそういうオプションがあったのか……ふぅん。

 ……@IT のこの記事について神戸さんからこんな mail が (情報どうもです):


    o PORTモード/ノーマル・モード/アクティブ・モード

のところで、

    データ転送用のTCPコネクションは、FTPサーバの側からFTPクライアントの
    20番ポートに向けてオープンされる。つまり、FTPのクライアント・プログ
    ラムを実行しているほうが、FTPサーバからのTCPコネクションのオープン
    を待ち受けしているのである。これは、制御用コネクションの向きとは逆

とありますが、最初の

「FTPサーバの側からFTPクライアントの20番ポートに向けてオープン」

は間違いで、

「FTPサーバの側の20番ポートからFTPクライアントに向けてオープン」

とでもしておくべきでしょう。続く内容は、そう誤っているわけではないので
残念です。
      
また、続けて、

    であることに注意されたい。この場合、待ち受けするポート番号はランダ
    ムだが、サーバ側のポート番号は(一般的なFTPサーバでは)20 番を使っ
    ている。

とあります。「サーバ側のポート番号は(一般的なFTPサーバでは)20 番」、
ftp-dataと固く信じていると、そうでないftp.gnu.orgだったか何かも実際に
ある様です。:-(

さて、PASVを勧める調子で書かれた記事として悪くはありませんが、PASVを
受ける側のフィルタリングの注意に触れていないところが残念です。そう
いった層を読み手には想定していないんでしょうけれどね。

 IE のオプションのトコしか見てなかったす _o_。 たしかに間違いですね。 また、20 番じゃない ftp server としては、たとえば publicfile があるように思います。 PASV 受け側の記事は、@IT の Linux 方面に書いてもらうのがいいような……。 IIS の ftp server って、PASV のとき開ける port をある範囲に制限するとか、そういう調節できるのかなあ……。

XATO Commentary on NSA security documents
(win2ksecadvice, Tue, 19 Jun 2001 14:18:24 +0900)

 NSA の Windows 2000 Security Recommendation Guides に関する XATO のコメント。 実はトンデモドキュメントだった?!

2001.07.03 追記: NSAWindows 2000 Security Recommendation Guides (nsa.gov じゃない場所になったのね) 復活してます。.zip まとめ版もあります。 .pdf の top page をちょいと見てみましたが、 Guide to Windows 2000 Kerberos Settings (Updated: June 27, 2001) と Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 (Updated: June 19, 2001) は変化しているような気がします。 他は変化してなさそうです。

from port139
(port139 ML)

SNS Advisory No.32 w3m malformed MIME header Buffer Overflow Vulnerability
(BUGTRAQ-JP, Tue, 19 Jun 2001 19:47:10 +0900)

 世界最強のテキストブラウザ w3m 0.2.1 に弱点。MIME base64 形式のヘッダの処理において、 エンコード後に 34 文字以上となった base64 文字列を受信するとバッファオーバーフローするため、remote から任意のコマンドを実行させることが可能。 patch を適用すれば ok。


2001.06.19

MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
(Microsoft Product Security Notification Service, Tue, 19 Jun 2001 04:53:56 +0900)

 IIS 4.0 の Index Server 2.0, IIS 5.0 の Index Service, Windows XP βの Index Service に弱点。idq.dll がバッファオーバーフローしてしまう。 Idq.dll は local SYSTEM 権限で動作するため、 Index Server / Indexing Service を稼働させている/いないにかかわらず、 idq.dll がインストールされており、 .idq または .ida のスクリプトマッピングがありさえすれば、 remote user は local SYSTEM 権限を獲得できてしまう。 詳細: All versions of Microsoft Internet Information Services, Remote buffer overflow (SYSTEM Level Access)

 つまり、南京大虐殺級の弱点がまたひとつ、というわけだ。 これを利用する攻撃プログラム/ワームの登場は時間の問題であり、 該当する IIS 4.0/5.0 管理者は今すぐ patch を適用しよう。 って、IIS まわりはこんなんばっかやなあ。 IIS 6.0 (XP β) でもあいかわらずってのが悲しい。

 あるいは、.idq および .ida のスクリプトマッピングを削除することでも回避できる。 Index Server / Service を利用していない場合は、それらをアンインストールしたり、 スクリプトマッピングを削除したりしよう。 また、IIS 自体を稼働させていない場合にも問題は発生しない。

 CVE: CAN-2001-0500。 KB: Q300972

 関連報道:

2001.06.21 追記: 関連情報:

2001.06.22 追記: MS01-033 には当初 MS01-025 および MS00-006 を含む と記述されていたのですが、 MS01-033 が改訂され、この記述が削除されました。 つまり、「じぇんじぇん含んじゃいなかった」ということです。 なんだかなあ。田仲さん情報ありがとうございます。

2001.06.26 追記: マジな攻撃プログラムが登場したそうで。 まだ patch してない人はいそいで。 IISのセキュリティホール,攻撃ツール完成で専門家が再度警告 (ZDNet)

2001.06.28 追記: 危険性が高まるIISサーバー,パッチ適用の徹底をで 国内某所で exploit が出回ってるという話が出ている (URL おしえてくださった方ありがとうございます _o_)。 また win2ksecadvice にも source が流れている。 両者は同じものだ (違うものだろうとばかり思ってた)。 おまけに、この exploit で日本語版でもイケてしまうという情報が。 ほんとならめちゃヤバ

 ……ちょっと手元でためしてみたんだけど、手元 (Windows 2000 Workstation SP2 に IIS 5 をインストール) では、流し込めてはいるみたい (IIS の動作が不安定になった) だけど local SYSTEM 奪取はうまくいかなかった。 一方、RedHat Linux 7.0 J から Windows 2000 Workstation/Server SP2 への攻撃が成功したという人もいる。 うーむ。

 なんにせよ、patch あてときましょう。 それがいちばん確実。

2001.07.06 追記: 追試結果: [memo:712]。 関連記事:

 たりきさんが書かれているように、HighSpeed Junkie さんではなくて、 「HighSpeed Junkie!主催者のhsjさん」 だと思うんだけど……。

2001.07.16 追記: IIS攻撃ツールを公開したhsj氏へのインタビュー (ZDNet)。 フォロー記事を出しているところはえらいぞ ZDNet Japan。 英語版にも feedback できるともっとえらい。

[memo:392] ORBS Reborn Again ?
(memo ML, Thu, 14 Jun 2001 21:23:18 +0900)

 復活の ORBS。SPAM 屋さんもご用達らしいという意味では 「必殺の術が撃つのは我が身なのか、と」。 ORB UK を参照。

 これもあってか、IPA ISEC の UBE(spam メール)中継対策 が update されています。

2001.06.21 追記: [memo:440] によると、どうやら 1 つではないようです。

追記

 2001.05.11 の ドコモ携帯SO503i 個人データ流出の恐れ 内蔵プログラムに欠陥追記した。 関連記事を追記。

「トラブルたずねて三千里」(100)コンピューターお掃除大作戦
(Mainichi INTERACTIVE Mail, 06/12/2001)

 『建築工事で使う「電動ブロワー」』ってどんなものなんだろう。 あ、[memo:437] でフォローされてる _o_。 例によって google で検索してみたら、 FURUTA/フルタ電機(株)[ベルト駆動ブロワー,電動ブロワー] とかありますね。これでいいのかな。

2001.06.21 追記: [memo:442] [memo:443] によると、↑のはおおきすぎみたいで、 MUB062 のようなやつがおてごろのようです。

ウィルス関連
(various)


2001.06.18

PowerPoint 2000 SR-1 セキュリティアップデート: ファイル解析の脆弱性 (更新版)
(直接 mail, Fri, 15 Jun 2001 20:07:56 +0900)

 MS01-002 『「PowerPoint のファイル解析」の脆弱性に対する対策』の fix patch 新版が登場。 しかし、Security Bulletin も KB も昔のままで、何が変わったんだかさっぱりわからない。 とりあえず、Office 2000 SP2 に適用できることは手元で確認した。 適用すると SR-1 (9.0.5107) になった (SP2 は 9.0.4527 みたい)。 張江さん情報ありがとうございます。

SecurityFocus.com Newsletter #95 2001-5-26->2001-5-29
(BUGTRAQ-JP, Tue, 05 Jun 2001 20:03:01 +0900)

 SecurityFocus.com Newsletter 第 95 号日本語版 (テキスト, 英語版)。 pickup:

SecurityFocus.com Newsletter #96 2001-5-30->2001-6-5
(BUGTRAQ-JP, Thu, 14 Jun 2001 13:20:33 +0900)

 SecurityFocus.com Newsletter 第 96 号日本語版 (テキスト, 英語版)。 pickup:

 FSS - File System Saint, Tripwire-like utility with primary focus on speed and ease of use ですか。

Linux updates
(BUGTRAQ 他)

 advisory が出ているかいないかにかかわらず、 他の Linux distrib. や *BSD などでも同じ問題があることが非常に多いですから、 見覚えがなくて、しかも同じソフトをインストールしてある場合は確認しましょうね。

Debian GNU/Linux
RedHat

2001.06.15

OpenBSD 2.9,2.8 local root compromise
(BUGTRAQ, Thu, 14 Jun 2001 23:14:46 +0900)

 OpenBSD 2.8, 2.9 に、local user が root 権限を取れる弱点。 イマイチよくわからないんだけど、ptrace() まわりに race condition があって、競争に勝てると root が取れるということかなあ。 FreeBSD 4.3-STABLE にはこの弱点はないと フォローされている。

Microsoft Wordを襲うトロイの木馬
(CNET NEWS, Thu 14 June 2001 13:05 PT)

 さっそく登場した、MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する の悪用事例。Office 97 用の patch がまだないんだよね。

不正アクセス対策に関するアンケート報告書
(警察庁, 2001.06.14 22:55:29)

 「実際に過去1年間にセキュリティ対策に投じた費用は、平均で全IT予算の1.2%にすぎず、なかには全く投資していないというものも31.9%」、世の中そんなもんだよねえ。

まったく“スマート”でないスマートタグ
(ZDNet News, 2001年6月15日 06:39 PM)

 「勝手に」というところがミソのようですな。 発展する方向を勝手に予測:

  1. スマートタグにより、Microsoft が望むリンクが自動的に設定される。

  2. スマートタグ 2nd Edition により、Microsoft が望まないリンクが自動的に消去される。

  3. スマートドキュメントにより、Microsoft が望む文書内容に自動的に変更される。

追記

 2001.06.11 の sshd(8) allows users to delete arbitrary files named "cookies" if X11 forwarding is enabled. X11 forwarding is disabled by default.追記した。 FreeBSD ports の話。

アマチュアハッカーの侵入を許した電力ネットワーク
(CNET NEWS, Wed 13 Jun 2001 21:15 PT)

 インフラを落とされるのはシャレにならないのだが、 こーゆーところは少なくないんだろうなあ……。

追記

 2001.06.11 の MS01-030: Exchange 2000 Outlook Web Access Service で添付ファイルの不正処理によりスクリプトが実行される追記した。 Exchange 5.5 patch は日本語版にも適用可能。 田仲さん情報ありがとうございます。


2001.06.14

追記

 2001.06.11 の Microsoft Word for Macintosh Security Update: Macro Vulnerability追記した。 日本語版: Microsoft(R) Word for Macintosh(R) セキュリティアップデート: マクロの脆弱性。 桑原さん感謝。

追記

 2001.06.11 の MS01-030: Exchange 2000 Outlook Web Access Service で添付ファイルの不正処理によりスクリプトが実行される追記した。 patch がまたもや再リリースされている。

iモード1325万台欠陥 悪質メール開くと強制ダイヤル 防止機能持たず NTTドコモ 申告者のみ修理へ
(西日本新聞, 2001.06.13)

 i-mode に、新種の「強制ダイヤル」とか「フリーズ」とかの攻撃を受ける弱点が発見 (?) された、という話。これまでにもあれとかこれとかあったが、 古くから知られているモノとは違うらしい。 まあ、似たようなものなんだろうけどさ。 SO503i の security fix 版 (昨日から無償交換開始済) については、この弱点に対する fix も含まれるようだ。 関連: iモードを脅かす新手の悪質メールが出現 (BizTech)、 iモードに新手の悪質メール 対策は「所在不明メール開封せず」のみ (MAINICHI Interactive)。

 NTT ドコモの言い分: iモードを利用した新たな悪質メールへの対応。 これを対応と言うとはね。 西日本新聞報道の「申告者のみ修理」という情報すらありませんな。 なんてスバラシイ会社。

 次世代通信システムでセキュリティー基準改定へ 総務省研究会 ってのもあるらしいけど、まずは、セキュリティのこと何も考えてない、性根の腐った i-mode って奴を叩き直さないとなんともならないのでは。

追記

 2001.06.11 の sshd(8) allows users to delete arbitrary files named "cookies" if X11 forwarding is enabled. X11 forwarding is disabled by default.追記した。 春山さんによる詳細解説と OpenSSH セキュリティ管理ガイドの話。


2001.06.13

Microsoft Word for Macintosh Security Update: Macro Vulnerability
(Mac お宝鑑定団, 2001/06/07)

 多分、MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する の Mac 版 Office 用 patch なのだと思う。 日本語版はまだないみたい。

2001.06.14 追記: 日本語版: Microsoft(R) Word for Macintosh(R) セキュリティアップデート: マクロの脆弱性。 桑原さん感謝。

パッチより Service Pack が優れている理由
(TechNet Flash Japan - Volume 68, Wed, 13 Jun 2001 05:23:02 +0900)

 ほんとにそう思うんだったら NT 4.0 SP7 を出してよ。

SNS Advisory No.31: Trend Micro InterScan VirusWall for Windows NT 3.51 FtpSaveC*P.dll Buffer Overflow Vulnerability
(セキュリティアンテナ, 2001/06/13 09:45)

 トレンドマイクロ InterScan VirusWall for Windows NT 3.51 にまたまた弱点。 SNS Advisory No.28: TrendMicro InterScan VirusWall for NT remote configuration Vulnerability とのあわせわざで、 管理者用設定プログラム FtpSaveCSP.dll, FtpSaveCVP.dll でバッファオーバーフローしてしまうため、remote から SYSTEM 権限を取得可能。 fix はいまのところないため、IP address 等による接続制限などを設定して守ること。

Debian Security Advisory DSA-059-1: man-db symlink attack
(debian-security-announce, Tue, 12 Jun 2001 23:43:38 +0900)

 man-db に弱点。from debian/changelog:

man-db (2.3.16-4) stable; urgency=high

  * Backport another security fix from unstable.
  * Count how many times privileges have been dropped, and don't regain them
    until regain_effective_privs() is called the same number of times. The
    lack of nesting meant it was still possible to create files owned by uid
    man (thanks, Luki R.; closes: #99624).

sshd(8) allows users to delete arbitrary files named "cookies" if X11 forwarding is enabled. X11 forwarding is disabled by default.
(セキュリティアンテナ, 2001/06/13 09:45)

 OpenBSD 2.9 の sshd (= OpenSSH 2.9 という理解でいいのかな) に弱点。X11Forwarding yes だと、cookies という名前の任意のファイルを削除できてしまう。 所有者や mode にかかわらず、ということなんだろう多分。

 patch が出ているので適用する。openssh-2.9p1 にもそのまま適用できてコンパイルも通るところまでは手元でも確認した (まだインストールしてない)。

2001.06.14 追記: 春山さんが詳細を [memo:385] で解説されている。 また、 OpenSSH セキュリティ管理ガイド という本を書かれたそうです。 さっそくさきほど注文してしまった。 サポートページの内容も充実しているぞ。

2001.06.15 追記: FreeBSD の ports (security/openssh) だと、PORTVERSION= 2.9 PORTREVISION= 2 で対応しているようです。 security/openssh-portable ってのもできたんですね。


2001.06.11

2001年5月クラックされてしまった日本のサイト情報のまとめ(IPA 風味)
(EVERYDAY PEOPLE, 2001年6月8日)

 めざせエイズ撲滅! (って話じゃないか……)。対数目盛なので注意。

ワーム+ハッキング=DoS攻撃の嵐?
(ZDNet News, 2001年6月11日 05:23 PM)

 DoS するワームですって。下品だなあ。

MS01-031: 推測可能な名前付きパイプが Telnet 経由でアクセス権の昇格を可能にする
(Microsoft Product Security Notification Service, Fri, 08 Jun 2001 12:02:36 +0900)

 Windows 2000 の telnet サーバに 7 つ (!!!) の弱点。 最悪なのは、うち 2 つは local system 権限を得られる弱点であることだ。 サーバ上でコマンドを実行できれば、この弱点を利用して local system 権限を得られるという。シナリオ例:

  1. MS01-026 を利用して IUSR_hostname 権限を取得。

  2. MS01-031 を利用して IUSR_hostname 権限から local system 権限へ昇格。

  3. やりたい放題 go go。

 ただし、あらかじめ telnet サーバ機能が有効になっていないと、この攻撃は成立しない。よって、telnet サーバの停止によって回避できる。

 その他にも、DoS ができる弱点が 4 つ、MS01-026 と同様に guest アカウント情報が漏れる弱点が 1 つ。 いやはや。DoS 弱点のひとつは、Microsoft Windows 2000 Telnet server vulnerability で詳細が公開されている。

 patch があるので適用すればよい。 Windows 2000 SP3 で fix される予定。

MS01-030: Exchange 2000 Outlook Web Access Service で添付ファイルの不正処理によりスクリプトが実行される
(Microsoft Product Security Notification Service, Thu, 07 Jun 2001 09:30:09 +0900)

 Exchange 5.5 / 2000 で Outlook Web Access (OWA) を利用している場合に弱点。 メールにおいて、スクリプトを含んだ HTML が添付されていると、 添付ファイルを開く時にこのスクリプトが実行されてしまう。 こういうときはふつう「だからスクリプトの実行を不許可にしなさいってば」という話が出るのだが、 OWA の場合、OWA サーバと同じゾーンにおけるスクリプト実行が許可されていなければならない (されていないと使えない) ため、そういうことは不可能だ。 なお、OWA を利用していない場合には問題はない。

 日本語版 Advisory ではまだ Exchange 2000 だけとなっているが、 英語版 Advisory は改訂され、Exchange 5.5 の OWA でも同様の問題があるとされている (Exchange 5.5 用 patch も出ている)。 また、Exchange 2000 用の patch も改訂されている。 これらに対応する、日本語版 patch はまだ出ていない (と思う、たぶん)。

 関連記事: Exchange 2000にセキュリティホール (ZDNet)。「もし私が数百万人にウイルスを送り付けたとしても,影響を受ける人の割合はごく少ないだろう」、それってつまり、自社製品のとある機能はほとんど誰も使っていないようなゴミ機能だとおっしゃりたいわけですか? 堂々と言うようなコトではないと思うんだけど。

2001.06.14 追記: 再リリースのExchangeパッチも問題あり? (ZDNet) などと話題になっていたが、 英語版 advisory が V 3.0 になり、 Exchange 2000 patch が再再リリースされている。 この V3.0 対応 patch (Version 06.00.27.4419) の日本語版は http://www.microsoft.com/downloads/release.asp?ReleaseID=30572 から入手できる。 Exchange 5.5 用の patch については V 2.0 Advisory 時のままで、 日本語版はまだ出てない。 桑原さん情報ありがとうございます。

2001.06.15 追記: 英語版 Bulletin によれば Localization: The Exchange 5.5 patch can be installed on any language platform なので、英語版 Exchange 5.5 patch は日本語版 Exchange 5.5 にも適用可能なはずだ。 田仲さん情報ありがとうございます。

 関連記事: 「3度目の正直」か「2度あることは3度」か——Exchangeパッチ,再々度のリリース

追記

 2001.05.21 の MS01-026: 不要なデコーディング操作により IIS でコマンドが実行される追記した。 memo ML でも話題になっていたが、NT 4.0 の dual CPU な機械に MS01-026 をインストールする場合には注意が必要だそうだ。

WFPに関するメモ(2001/6/11)
(port139, 2001/6/11)

 Windows File Protection に関する実証的な知見。 disk の空き容量には気をつけましょう。

Linux fixes
(many)

TurboLinux
Debian

SNS Advisory No.30: Trend Micro InterScan VirusWall for Windows NT 3.51 reconfigration without authentication
(セキュリティアンテナ, 2001/06/11 14:23)

 トレンドマイクロ InterScan VirusWall for Windows NT 3.51 に弱点。 管理者用設定画面 http://VirusWall/interscan/cgi-bin/interscan.dll へ認証なしでアクセスできてしまうため、remote から設定変更できてしまう。 何らかのアクセス制限を別途行おう。

 トレンドマイクロのウイルス対策ソフトに重大なセキュリティ・ホール に SNS Advisory 27〜29 のまとめがある。

追記

 2001.05.11 の ドコモ携帯SO503i 個人データ流出の恐れ 内蔵プログラムに欠陥追記した。 その後の状況など。

追記

 2001.06.05 の [JavaHouse-Brewers:43089] MRJ 2.2.4のクリップボード丸見えのセキュリティホールが2.2.5で説明なしに修正されている追記した。 Apple Security Updates に出たそうです。 ([memo:336])。


2001.06.08

SNS Advisory No.29: Trend Micro Virus Control System(VCS) Unauthenticated CGI Usage Vulnerability
(BUGTRAQ-JP, Thu, 07 Jun 2001 15:54:39 +0900)

 トレンドマイクロの Virus Control System (VCS) 1.8 に含まれる CGI プログラムに弱点があり、とある方法 (詳細未公開) を使うと認証なしで設定変更などが可能になってしまう。

 今年の終り頃 (!!) に対策される予定なんだそうだ。のんびりした会社ですね。

Q and A on Win32 TeX
(memo ML [memo:309], Thu, 07 Jun 2001 21:42:52 +0900)

 設定如何により、TeX ソースや .dvi ファイルに隠されたシェルコマンドを実行させられるかも、 という話。

[synnergy] - Sudo Vudo
(BUGTRAQ, Thu, 07 Jun 2001 00:03:43 +0900)

 sudo 1.6.3p6 で fix された、"the bug does not appear to be exploitable" とされた問題は、実は exploit 可能だという指摘。 upgrade しておきましょう。

FreeBSD Security Advisory: FreeBSD-SA-01:40.fts
(freebsd-annouce-jp ML, Wed, 06 Jun 2001 03:08:44 +0900)

 FreeBSD 4.3-RELEASE 以前、および 2001-06-01 以前の 4.3-STABLE に弱点。 libc の fts(3) ルーチンに問題があり、指定したパスの外部のファイルにまで効果を及ぼしてしまう。 このため、たとえば find path ... -delete とか rm -rf ... とかしたときに、意図しない削除が実行される可能性がある。 ……って理解でいいのかな。

 patch があるので適用する。patch は 4.[23]-RELEASE に利用可能。

 [FreeBSD-users-jp 62166] で、記述されている fix 手順が変なんじゃないかという話が出ていますが、 疑いを持つ人は make buildworld; make installworld しちゃったほうが早いと思います。どうせやるなら ProPolice を入れちゃってもいいでしょう。

Red Hat Security Advisory
(redhat-watch-list)


2001.06.05

不正侵入 乗っ取り、一瞬の間
(memo ML [memo:213], Sat, 02 Jun 2001 01:58:05 +0900)

 「こまめに電源オフを」、ちがうでしょ〜 > 平子義紀氏。 特定の URL に罠を仕掛け、そこへ誘い込むだけで PC を乗っ取れるんだから。 こまめに電源オフしたところで、電源オンしたら backdoor も一緒に起動するのがふつうだと思うぞ。

 「閲覧ソフトのインターネットエクスプローラーにあったセキュリティーホール」の詳細と、その対策法を URL 込みできちんと紹介しなよ。 「修正ソフトを今年3月、インターネットで公開した」じゃわかんないでしょうが。 どうしてこう、マスメディア方面ってのはわかってないのが多いんだろうか。 これで「報道」になっていると思っているのか。 いたずらに混乱をひきおこすだけの報道はまずいでしょ。 asahi.com はダイオキシン報道から何も学んでいないのか。

 これは多分、 [memo:219] にもあるように、 MS01-020 の件でしょう。他力さんのところ の Windows Security 実験十四そのまんまって感じがしますし。 MS01-027 が MS01-020 fix を含んでいるので、MS01-027 patch を適用しましょう。 ……って考えなきゃいけない記事はやめてほしい。

 BlackICE の東陽テクニカが、 朝日新聞6/1夕刊に関するコメント を出してます。 anti-virus 必須ってのはもはや常識なので、そういう意味 (平子義紀氏は anti-virus 入れてなさそうっぽい) でもアレゲですよねえ。 まあ、カスタムアプリだと anti-virus では勝てないだろうけど。

[JavaHouse-Brewers:43089] MRJ 2.2.4のクリップボード丸見えのセキュリティホールが2.2.5で説明なしに修正されている
(memo ML [memo:281], Tue, 05 Jun 2001 00:35:44 +0900)

 MRJ 2.2.5 には security update なんてどこにも書いてないのだが、実は security update が含まれているという恐るべき指摘。 こういうことではいかんなあ Apple。

2001.06.11 追記: Apple Security Updates に出たそうです。 ([memo:336])。

SETI@homeのサーバーに攻撃、5万人分のメールアドレスが盗まれる
(INTERNET Watch, Mon, 04 Jun 2001 23:59:18 +0900)

 from SETI@home Technical News Reports June 1, 2001:

We also had a security problem. A malicious person or persons obtained a number of user email addresses. There was no server breakin. The perpetrator made use of a hole in our client/server communications protocol. They obtained around 50,000 email addresses and posted these on a web site. We see this as a significant theft of our (and your) data and are pursuing legal action against this person or persons. If you think you have received email from the perpetrator, please go here. We closed the security hole with the side effect that several fields in the user_info.sah are now blank or zero. We realize that this is a problem for some very cool third party add-ons and are putting some of the fields back.

なので、INTERNET Watch の「データベースサーバーが何者かに侵入され」というのは間違いかと。 remote から e-mail address を取得する request を発行できちゃっていた、 のかな。

 関連というか補足: [memo:290] SETI@home のサーバーに攻撃 ?

SNS Advisory No.28 TrendMicro InterScan VirusWall for NT remote configuration Vulnerability
(BUGTRAQ-JP, Thu, 31 May 2001 15:45:46 +0900)

 トレンドマイクロ InterScan VirusWall for Windows NT 3.51 英語版において、 CGI プログラム FtpSave.dll を外部から直接呼び出すことができるため、remote user が設定変更できてしまうという。 FtpSave.dll をインストールしたつもりがなくても入ってしまっている例 ([memo:248]) があるようなので注意されたい。 また、[memo:285] の雰囲気だと、どうやら続きがあるらしい。うぅむ……。

 一方で、NEC,トレンドマイクロの「InterScan VirusWall for Linux」を搭載したウイルスチェック専用サーバを販売開始なんて記事も出てますね。

2001.06.20 追記: advisory が更新されている。


2001.06.04


2001.06.01

Unauthorized Access to Apache Software Foundation Server
(memo ML [memo:166], Thu, 31 May 2001 21:43:51 +0900 (JST))

 またやられたそうです。 概要は [memo:166] をどうぞ。 前回の: How we defaced www.apache.org。 "the nightly automated security audits" が tripwire みたいに働いて事象を発見できたようです。

[memo:128] ARP を使用した悪戯 (Win9x)
(memo ML, Thu, 31 May 2001 10:31:55 +0900)

 RedHat Linux などに付属する arping コマンドを使うと、Windows 9x にいたづらできるという話。Me や 2000 にも効くそうです。

su な話
(memo ML)

オープンソースに思わぬ落とし穴
(CNet News, Wed 30 May 2001 17:50 PT)

  IP Filter のライセンスにまつわる問題。利用および再配布はできるが変更はできないということで、 OpenBSD source tree からは削除されてしまった。 NetBSD ML でも話題になってました。


[セキュリティホール memo]
私について