Last modified: Tue Apr 15 13:02:37 2003 +0900 (JST)
コードレッドの発信地、中国の大学か (MAINICHI Interactive)、 というか、なぜ会計検査院が報告するのだ……?!
MSIE 4.01 SP2 / 5.01 SP1 / 5.5 セキュリティ対応状況 を更新して、IE 5.5 SP2 base としました。 が、謎な点がいくつかあります。 [memo:1160] に書きましたので、どなたかご存知であればおしえてください。_o_
『ブルートゥース』はすでに敗北 (CNet)、お前はもう死んでいる……あべしっ!
Lモード端末に不具合 NTT、松下など8万台以上 (MAINICHI Interactive)、 こういうのはテストでみつけられないんですかねえ。 開発期間短縮、の影響なんでしょうか。 あと、「L モード」コンテンツプロバイダ向け技術条件説明書 というのがあるそうです。 鯉沼さん情報ありがとうございます。
オープンソースコミュニティーに戦いの準備を命じるレシグ教授 (ZDNet)、 そういや CODE インターネットの合法・違法・プライバシー、 途中まで読んで積んだままになってるなあ。
開発者、運用者のセキュリティ意識のあまりの低さの一端がうかがえる。
これは SecurIT がつかんでいる情報のほんとうに一端なんだろうなあ。 やっぱり「痛みを恐れず」ドカッと公開してほしいところだ。 日本の腐った IT をぜひ改革していただきたい。
最近ではいたるところにカスタム web アプリがありますが、 そういうやつには穴があることが多いという話。 実体はやはりそういうことのようです。 [memo:1126] セキュアなシステムの構築について から続くスレッドでも議論されてますが、 「セキュアなプログラミング」をデフォルトにするための施策が必要なんですよねえ。 まずは日本語ドキュメントかなあ、やっぱり。 [memo:1135] を見ても、圧倒的に英語文献が多いわけで。 [memo:1147] や [memo:1150] でも参考文献が紹介されてます。
SecurIT でも数々の脆弱性を発見されているらしいのですが、 SecurIT の top 方面が情報公開を拒否しているらしいです。 そのような状況こそが、日本のネットワークセキュリティレベルを押し下げているということが理解できないのかなあ。 セキュリティなき「IT 革命」が何をもたらすのかを想像できないのかなあ。 現場で働いているプログラマー一人一人が「セキュアなプログラミング」を実行できない限り、いつまでたっても穴はなくならない (ばかりか増えつづける) と思うのだが。
日本IBM3千人増強へ 他社リストラ人員受け入れも (asahi.com)、 IBM やるなあ。この時期の「募集」はおいしいものがあるだろうし。 (from ポケットニュース)
今そこにあるエラー (一部伏せ字)。 関係者の善処を期待。
<[email protected]>: Name service error for garagesounds.gs: Host found but no data record of requested type
<[email protected]>: cannot access mailbox /var/mail/xxx for user xxx. error writing message: File too large
[サイバー・トーク] ハッカーといたちごっこ (読売)、
「もはやパスワードを盗み出してハッキングするのは時代遅れだと痛感した
」、はあ……。morris worm って何年でしたっけ。
もう 21 世紀なんですけどねえ。
これ
のレポートが「いたちごっこ」なのかな。なんだかなあ。
こういう人が語る
ネットワークセキュリティの現状・政策・展望
ってどんな内容なんですかね。
L9 さん情報ありがとうございます。
RealSecure 6.0 日本語版を出荷開始、まるでそれ以前の版では Code Red を捕捉することは不可能みたいな言い方ですなあ。 マーケ的にはそれでもいいのかねえ。 (ririto さん情報ありがとうございます)
「ウイルス猛威にどこ吹く風,PCユーザーの大半は無防備」と米社調査 (日経 IT Pro)、「回答率 12%」って……。
うぉっ、 IT Pro1周年記念セミナー 『ぜひ押さえたい21世紀のIT新常識』、 9/21 午後の「『動かないコンピュータ』,その傾向と教訓」と 9/28 午前がおもしろそう。 って、9/21 はセキュリティスタジアム 2001 もやってるんですが……。
xmbmon106pl1 出てます。
MS01-046: Windows 2000 赤外線デバイスドライバでのアクセス違反により、システムが再起動する
詳細: IrDA semiremote vulnerability。 irda-utils の irdaping を使って生成できるパケットでブルーサンダーになってしまう。 irda-utils は Debian や Kondara には添付されているようです。 Windows 98 にはこの弱点はないとされています。
例のさわぎ を受けてか、ようやく MS00-075: 「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性に対する対策 が改訂された。 遅いんだよなあ。
MS00-029: 「断片化された IP パケットの組み立てなおし」の脆弱性 の Windows 95/98 版日本語 patch が MSKK からもようやくアナウンスされている。麗美さん情報ありがとうございます。
MS01-038: Outlook ビューコントロールにより、安全でない機能が利用できる が改訂されている。 Outlook 2002 ではなんでもされ放題だが、Outlook 98/2000 では、 影響は遥かに限定的であるようだ。
FreeBSD-SA-01:54.ports-telnetd
ports の krb5, heimdal, SSLtelnet にも telnetd 穴 があるよんという話。krb5, heimdal は最新 ports では fix されている。
hsj さんが exploit を書いてらっしゃいます。
ビミョーな違いですね。:-)
IBM AIX Security Notification: Web site defacements
AIX を狙ったツールをわざわざ作成された人がいらっしゃるようです。
[memo:1071] FYI: Armoring Solaris: II
Solaris を要塞化するためのドキュメントです。
OpenBSD-current, FreeBSD 4.3 以前, NetBSD 1.5.1 以前, BSD/OS 4.1 以前の lpd に弱点。buffer overflow するため、remote から lpd 動作権限 (通常 root) で任意のコードを実行できてしまう。 BSD/OS 4.2 にはこの弱点はない。 この弱点を利用した攻撃を実行するには lpd が起動している必要があるため、 緊急回避措置としては lpd を停止すればよい。
BSD/OS 4.1 と OpenBSD 2.9 は fix が発表されている: BSD/OS 4.1, OpenBSD 2.9。 FreeBSD でも既に 直っている し NetBSD でも 直っている ので早晩 advisory が発表されるだろう。
関連:
ISS Advisory: Remote Buffer Overflow Vulnerability in HP-UX Line Printer Daemon
(BUGTRAQ, Tue, 28 Aug 2001 01:28:25 +0900)
HP-UX での同様の問題。fix が出ているので適用する。
CVE: CAN-2001-0670
今日の昼ごろ止まったのは、サーバじゃなくてネットワークの工事の影響です。 夕方止まったのは、サーバをいじってました。
例の 2ch.net 方面の話を読んで、 Apacheにmod_gzipを組み込んでHP配信を高速化する を参考にしながら mod_gzip を組みこんでみました。どうでしょう。
IIS 5.0 だと標準でついてくるんだそうです: IIS 5.0 Web サイトで HTTP 圧縮を使用する。(from [port139:00633])
米シマンテックが「Norton Internet Security 2002」を発表,Windows XP対応 (日経 IT Pro)、 ほら 2002 出たじゃん。
コーヒーはやはり心臓に悪い--血清脂質へ悪影響 (日経 BizTech)、 「1 日 3 杯以上飲むと明らかに健康に悪影響がある」という報告はすでに存在していたような気が。
日本語版 Netscape 6.1 for Linux も出たようですね。
UNYUN さんの本 「ハッカー・プログラミング大全」 が出るそうです。 わかっている人が書いている、類書がほとんどない (「インターネットセキュリティ 不正アクセスの手法と防御」でちらっと触れられていますが)、 となるとやっぱり買いですねえ。 (from port139 ML)
今日は H2A 1 号機打ち上げ の日です。うまく飛んでくれ……。 ……おお、うまく飛んでいるようですな。なによりなにより。 asahi.com の記事、なにげに「初号機」という言葉を使っているようだが、 それはエヴァ用語じゃぞ。
これで、2003 年の「情報収集衛星」(正直に偵察衛星って言えよな) の打ち上げへまた一歩前進。
[memo:1143] でも紹介されているが、ダメダメな状況の模様。 JPNIC ってどんどんダメダメになっていっているような気がするんだが、気のせいだろうか。
日弁連自身の発表はこれ: 行政機関等個人情報保護法制研究会中間整理に対する意見書。 しょせんは総務省ということか。
server をいじる暇がなくなってしまった……。明日以降ってことで。 見れなかったら、「やってんのね」と思ってください。_o_
『IE 6』のダウンロードが可能に (CNET)、出ましたか。
小野田襄二、小野田猛史、三島浩司および宮崎学が関与した 公安調査庁スパイ事件に対する革共同の態度と闘いのアピール、 内容も興味深いが、個人的には、世の中にはいまだに「レーニン主義の党建設に勝利しよう」という人がいるってところにびっくり。 いやはや。世の中広いというかなんというか。 (from [aml 23270])
あいかわらず sircam 来ますね。うーむ。
今ごろになって気がついたのですが、 security/ca-roots という ports があるんですね。 インストールして、たとえば w3m なら「SSLの認証局のPEM形式証明書群のファイル」に /etc/ssl/cert.pem を指定すれば ok のようです。 FreeBSD ports の w3m なら、デフォルトでここを見るようになっていて、 ca-roots に depend していてもいいような気がするなあ。
http://www.nt.phys.kyushu-u.ac.jp/shimizu/download/download.html から get できる mbmon/xmbmom、おもしろそうです。
JP223316, 暗号化ファイル システムの最善のプラクティス。 使う前に読んでおきましょう。
個人情報保護法をぶっ飛ばせ!2001人集会、 もりだくさんな内容です。 小泉君は「無修正で go!」ですか。 まあ、しょせん自民党だしなあ。
JCA-NET
の
「不十分な個人情報保護と広範な言論活動への政府の介入がセットになった、 的はずれの個人情報保護法案にJCA-NETは反対します
」
は、問題点を一言でズバリ言いあらわしていると思う。
関連: 9月2日,日比谷野音で個人情報保護法について考える (ZDNet)
FreeBSD Tripwire-2.3.1 port, in shar format だそうです (from freebsd-security ML)。
会員情報開示請求で原告敗訴 名誉棄損成立せずと東京地裁 (MAINICHI Interactive)、 反論−ネットワークにおける言論の自由と責任 な話とは別の話の判決。 現代思想フォーラムな話は 9/5 だそうです。 (ネタもと: EVERYDAY PEOPLE)
「バスジャック」のうそメール被告に実刑 静岡地裁 (MAINICHI Interactive)、シャレにならないイタヅラはシャレにならない結末を迎えるということで。
2001.08.23 の マイクロソフト製品をより安心してご利用いただくための ホームユーザー向けセキュリティ対策早わかりガイド: 修正プログラムをインストールしてセキュリティ対策を行いましょう! に追記した。 [memo:1124] を追記。
IIS 4.0/5.0 対応の IIS lockdown tool の話。 ようやく、本当にようやく、こういうツールが出てきましたか。 というか、Code Red 級の被害が発生しないと変わらないってことなんですかね。 それではあまりにも悲しいものがあると思うのだが。 IIS 6 ではデフォルトでこうなっていてほしいものだ……が、どうなんでしょ。
B-) さんち の IIS Lockdown Tool(2001/8/28) も参照。
いやあ、「魂の叫び」という感じでいいですねえ。
永遠? 根絶させることは可能でしょう。 そのためのしくみの作成がサボられているだけであって。 もっとも、アレゲな実装にするとプライバシー屋さんから文句言われるかもしれないから注意しないといけないんだけど。 やっぱ Windows Update が期待を裏切りつづけているってのがガンなような。
現時点での最重要問題は、fix を出す前にどうするかではなく、 出した後にどうやって管理者に知ってもらうか & 適用してもらうかだと思うんだが。 Responsible Disclosure Forum は前者に関することだよね。 fix がきちんと適用されていれば、Code Red とか sadmind/IIS とか先日のプライスロトのやつとかは何の影響もなかったわけで。
関連文書をさがしてみました:
米国防総省 (DoD: Department of Defence) 準拠方式: DoD 5220.22-M (DOD 5220.22-M CLEARING AND SANITIZING MATRIX [ NISPOM 8-306 ])
米陸軍 (US Army) 準拠方式: AR 380-19
米海軍 (US Navy) 準拠方式: パーソナルメディアは NAVSO P-5236-26 と書いているが、 NAVSO P-5239-26 の間違いなんじゃないかなあ。 ……あ、P-5239-26 になった。
米空軍 (US Air Force) 準拠方式: AFI 33-202
米国家コンピュータセキュリティセンター (NCSC: National Computer Security Center) 準拠方式: NCSC-TG-025, A Guide to Understanding Data Remanence in Automated Information Systems
グートマン (Gutmann) 方式: Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann, Sixth USENIX Security Symposium, 1996。 Gutmann さんのホームページには興味深いドキュメントがいっぱい。
これ、パーソナルメディアのアナウンス文にも出てましたね > B-) さん。
Secret and Below Interoperability (SABI) とか Federation of American Scientists (FAS) にはいろんな情報があるんですね。 「NSA 推奨方式」ってどんなのだろう。
……森田さんから情報をいただきました (ありがとうございます):
NSA 推奨のデータ抹消形式ですが、 NetJapan が出している Data Gone と言うソフトでは以下のようになってます。
NSA 標準: 2 種類のランダムパターンとゼロを書き込む
旧 NSA 標準:すべてのバイトをゼロに設定して、ディスクを 3 回上書きする (ディスクを 1->0->1 に設定する)
だそうです。
Gutmann さん方式ですが、「単に CPU が考えている 0/1 を書く (disk に 0/1 で書いたつもりになる) のではなく、実際に disk に書かれる状態での 0/1 を考えた上で、磁気読みとり装置でもみつけられないような情報消去を実行する」 ためにはどうすればいいか……という話のように見えます > B-) さん。
Jetico
の
BCWipe for UNIX には、DoD 5200.28 と
Gutmann さん方式が実装されているそうです。
wipe -bv /dev/hda
とかイケるそうです。
1FD UNIX (Linux, *BSD) をつくって BCWipe for UNIX を載せれば ok ok なのかな。
Windows 版には DoD 5200.28 しかないようです。
多分、明日、この web page はちょっとの間見れなくなる……。 server をちょっといじるつもりなので……。
ネタはたくさんあるのだが書く暇がない……。 すんません。
このwebサイトの読者だった方へ、おつかれさまでした。 解題・ムーノーローカルの作り方 または インターネットはおもしろいという人への饒舌な韜晦 は興味深い文章だと思います。
今日 queue にたまっているもの (一部伏せ字):
C675B1AB9E 4500 Fri Aug 24 15:37:51 [email protected] (host 707.to[61.127.115.196] said: 452 4.2.2 Not enough space, only 0 bytes available for [email protected]) [email protected]
関係者の善処を期待。
amavis.org にあったのですが、 Antiviren-Mailrelay mit Amavis: Wurmkur fur Brieftauben (google による英語訳) なんて記事があるんですね。 あと、qmail な人には qmail-scanner というのもあるそうです。 amavis も qmail でイケるはずですが。 (from postfix-jp ML)
[memo:1123] によると、qmail には qmail-scanner の方が合うってかんじみたいです。
個人認証システムに30億円 総務省が概算要求 (MAINICHI Interactive)、 平成13年版 情報通信白書 の 第3章 第7節 1 電子認証基盤の整備 からつづく話のようです。 crack できないようなモノにしてくださいよ。 www2.verisign.co.jp みたいな状況はシャレにならないので。
2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 IRIX, Vine, Turbo を追記。
知られていないウィルスも対処 (slashdot.jp)、 なんだかよくわからないことが多いので、 とりあえず公開されるのを待とう。
DES40ビット鍵の解読時間 (slashdot.jp)、数秒ですか……。
delegate 7.5.0 が出ています。
HP,独自のセキュリティ強化版Linuxを販売へ (ZDNet)、 hp secure OS software for Linux をちらっと見た限りでは、open source にできない部分が HP オリジナルなのかな、と。:-)
株式会社シマンテック、 限定パッケージの「Norton Internet Security 2001」を緊急追加出荷、 もうすぐ 2002 が出るんじゃありませんでしたっけ?
2001.08.22 の *ALERT* UPDATED BID 3163 (URGENCY 6.58): Sendmail Debugger Arbitrary Code Execution Vulnerability (fwd) に追記した。 hsj さんの exploit を試してみました。
コンシュマー向け製品 (Windows 9x/Me, IE, Office, ...) についての、セキュリティ関連 hotfix 一覧。 すばらしい。 ただし、いくつかの最新バージョン (IE 5.5 SP2, Office 2000 SP2, ...) に関する記述がないのはいただけない。 fix を適用する必要がないならないで、そのように記述すべきだよねえ。
[memo:1124]
によると、「中身のリストがよく検証されてないように思え
」るそうです。
Code Red / Code Red II は、感染先を探すのに乱数を使ったりしているが、 最初の感染を行う際に、感染可能であることがあらかじめ判明している site のリストを 50,000 サイトほど与えておけば、感染スピードは驚くほど速くできる (15 分以内) という話のようだ。
Flash Worms: Thirty Seconds to Infect the Internet ではさらに、もっと速く、30 秒以内にできるという話になっている。 あらかじめ、全ての (!!) IPv4 address 空間を調べてしまえ、ということみたい。 いやはや。そういう意味でもやっぱり時代は IPv6 ということなのでしょうか。 なにか違うような気がするけど……。
初代 Code Red は、さんざん騒がれた後にようやく whitehouse.gov を DDoS 攻撃しようとしたので対応できたが、 上記のような超高速拡散が本当に実現可能であれば、超高速拡散直後の、 対応不可能な DDoS 攻撃が可能となってしまうような。
我が家の台風被害: すだれ x 1。 被害程度: 崩壊 (^^;)。 撤去しておくべきだった……。
無線LANのセキュリティに気を配ろう (ZDNet)、 設定しても危ないと思うんですけど……。
Microsoft,Hotmailのセキュリティホールを修正 (ZDNet)、 hotmail では FreeBSD が依然として活躍中なのかな?
Apple,QuickTimeとIEのコンフリクトを解消 (ZDNet)、そういう問題があるんだそうです。
夜間撮影に威力を発揮する5メガピクセル機——ソニー,「サイバーショット F707」を発表(1) (ZDNet)、ナイトショットといえばやっぱりソニーですか (笑)。 サイバーショットを get して深夜の公園へ go! (なんかちがう〜)
もう一冊、新幹線の中で一気読みしてしまったのが 「ミグ25事件の真相 闇に葬られた防衛出動」。すごいっす。 政争にあけくれるダメダメ最高指揮官 (クリーン三木は頭もクリーンだったのか……) と、正式命令なしに独断専行する自衛隊。 きちんとやれる最高指揮官が過去に何人いたか、を考えると、 同様の状況はいつ発生してもおかしくないような。 最高指揮官が現東京都知事的だと、それはそれで別の意味で問題だろうけど。
夏休みの間に 「インターネットセキュリティ 不正アクセスの手法と防御」 を読んでいたのですが、いい本です。 わかっている日本人が書いているだけあってとても読みやすいです。 細かい難点はいくつかあるし、Windows 2000 SP2 / NT 4.0 SRP 直前に書かれてしまったという点もちょっと残念ですが、 いちばん最初に読むべきセキュリティ関連書籍だという気がします。
Code Red II の亜種が登場した模様です。[memo:1079] とあわせると、特徴は:
名前の元になった "CodeRedII" が "_________" になっている
攻撃アドレスマスクの変更 (オリジナルよりもランダムに攻撃する)
sendmail 8.11.0 以降に弱点。 sendmail のデバッグ機能 (-d) で指定する整数値は tTflag() 関数において signed int として扱われているが、 -d の引数に巨大な数値を指定すると、これを overflow させることができる。 これを利用すると、local user が root 権限を得られる可能性がある。 sendmail 8.11.6 および 8.12.0.Beta19 以降で fix されている。
OpenBSD fix: 013: SECURITY FIX: August 21, 2001。 FreeBSD: CVS log for src/contrib/sendmail/src/trace.c。
hsj さんち などに exploit 出てます。 hsj さんの exploit を FreeBSD 4.3-RELEASE で試すと root 取れました。 で、patch を試すと root 取れなくなりました。 ports の postfix を入れていたりしても /usr/libexec/sendmail/sendmail はちゃんと残ってたりするので、patch あてられない人は suid 落とすとか削除するとかしときましょう。
2001.08.19 の UNIX もの に載せてる話。 しかし、Multiple Vendor Telnetd Buffer Overflow Vulnerability とは異なります、ってどういう意味なんだろう。 問題点としては同じだと思うんだけど。
ここ にも書いたけど、 [2] CIAC Bulletin L-131 IBM AIX telnetd Buffer Overflow も同じ話ですよね。
話を「port 80」「致命的」に限定すれば、やっぱ多いですよ IIS の弱点は。 port 80 は穴をあけてしまうサービスの筆頭ですし。 まあ、OS のデフォルトインストールが弱いのも火に油を注いでいるので、 IIS だけを責めてもアレなんですけどね。 逆に言えば、セキュアインストールしておけば、かなりの攻撃を防げもするわけで。 最初が肝心です。
ところで、一度飲んでみたい Code Red なんですが、 どっか入手しやすい場所に売ってませんかねえ。
そういえば、 Original Code Red Switching Back to DDoS Mode Today だそうで。
Microsoft による、Code Red FAQ。
IIS 4.0 は感染するのか? 問題については
「IIS 4.0 へ攻撃が行なわれた場合には、idq.dll の未チェックバッファに書き込まれたプログラムが不正な動作を行なうため、IIS のサービスがイベントログへの記録も行なわずに停止します。この場合、ワームによる他のコンピュータへの感染は行なわれませんが、停止したサービスを復旧する必要があります
」
と明記されています。
というわけで、 「影響を受ける」は正しいが、「感染する」は間違いなのだと思います。 もちろん、IIS 4.0 でも感染する新版が登場すれば落ちるだけじゃ済みませんから、 ちゃんと hotfix (今なら MS01-044) を適用しておきましょう。
ちなみに、hsj さんからは
「ぼくも個人的に、NT4.0 / IIS4用の.ida exploitはつくったのですが、
作成する際に、EIPへのオフセット自体は同じでしたが、
そこからshellcodeへジャンプするルーチンに変更が必要でした
」
という情報をいただいています (ずいぶん前にいただいていたのですが、
紹介がおそくてすいません _o_)。
FAQ にこんな記述が追加されているし……。 もっと強くアナウンスすべきだと思うんだが。
Q. 感染するのは Windows 2000 だけですか ?
A. 本 FAQ の公開当初は、感染するのは Windows 2000 のみであることが確認されていました。 しかし 2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されています。 Code Red の種類や Windows NT/2000 の状態によっても感染の有無は変化いたします。 そのため、全ての環境で感染する可能性があると考えるべきです。
また、IIS 3.0 は
Q. IIS 3.0 は、影響を受けますか ?
A. 影響を受ける場合があります。 Index Server 1.1 をインストールしている環境のみ影響を受けます。Dos 攻撃を受けますが、感染することはありません。
だそうです。
IHA さん情報ありがとうございます。
2001.08.21 の 特定WebにアクセスするとPCに致命傷,Javaスクリプトで被害 に追記した。 トレンドマイクロ情報、Un FUCK japanese、脆弱性チェックページ。
MS01-044、 IIS 4.0 patch が登場しています。
sendmail
8.11.6 が出たそうです。
SECURITY: Fix a possible memory access violation when specifying
out-of-bounds debug parameters. Problem detected by
Cade Cairns of SecurityFocus
だそうです。(from installer ML)
参院選惨敗の郵政、もはや民営化に抵抗できず、票の切れ目は縁の切れ目……。
フリーソフトによるファイアウォール構築 でつくったもののテスト。hping2 の利用例なども掲載されている。
loki / loki 2 のように ICMP を使って壁抜けを図るツールもあるので ICMP を止めたくなる気持ちはわかるのですが、 外からの ICMP を全部止めると、たとえば path MTU discovery が動かない といった障害が発生します。 フィルタはよぉく考えてから設定してください。 キツくしすぎると使えないネットワークになるかもしれません。
あと、private address だけじゃなくて Immediate Actions Requested Of All Organizations Connected To The Internet に書いてあるアドレスからのパケットも止めたほうがいいと思います。
昨日の [memo:1042] 新種のウイルス? の話。関連:
ハッカーによるプログラム改ざんに関して (Price Loto)
ふうん、NHK で報道されたんだ。 このページ、Netscape 4.x では読めないみたい。
悪意ある Javaスクリプト実行による被害情報 - 特定のホームページを見た後、PCが立ち上がらなくなる - (IPA)
HP閲覧でPC使用不能に 悪意のJavaスクリプト IPAが警告 (MAINICHI Interactive)
緊急告知: Webを介して、Windowsの挙動に著しい障害をあたえる悪質なプログラムに対する対処方法 (2001/08/20) (NAI)
ポケットニュース
8/20 によると、「ウイルス対策掲示板でAKIO氏が公開したものをそのままパクっただけのようで、間違えてる箇所も一緒(笑)
」だそうだ。
ご本人も
「っていうかパクってんじゃねーよMcAfee!!!!!!!
」
とお怒りです。
2ch.net のは
プライスロトの不正プログラム復旧方法
かな。
流行のトロイの木馬 "Trojan.Offensive" 情報 (シマンテック)
木馬ですか……フツーの web page にみせかけて、という意味ではそうなのかも。
「Norton AntiVirus 2001 の スクリプト遮断機能が有効な場合、Trojan.Offensive が動作する前に警告が発せられ、
未然に防ぐことができます
」
だそうです。
海保システムがウイルス感染、新種の可能性 (Yomiuri On-line)
大当り、おめでとうございます。
Webページを見ただけなのに と McAfeeウィルス対策をコピペでぱくる (slashdot.jp)
不正スクリプトによるシステム被害(「JS_FLUG.A」、 not for japanese dog and pig, fuck japanese) (トレンドマイクロ)
脆弱性チェックページ (from [memo:1075])
2002.02.17 追記:
プライスロトからのメール 。 「メディアゲート株式会社 ハッカーによるプログラム改ざんに関して」 ですって。
2001.08.19 の snort の link と、セキュリティアンテナの link を http://snort.sourcefire.com/ に変更しました。かわぐちさん情報ありがとうございます。
そういえば、AirSnort なんてのも出たそうです。無線 LAN ものです。 あと、WEPCrack なんてのもあります。
なかなかにナマナマしい資料です。 崎山さんの 警察庁電子メール盗聴装置の問題点 も参照。
なんかたまってるので……。
[memo:909] Re: 携帯電話と POST メソッド
(Wed, 25 Jul 2001 21:49:38 +0900)
POST をサポートしていない携帯電話の機種リスト (DDI, J-PHONE 方面)。 古めの J-PHONE はともかく、H" の「全機種」というのはツライような。
[memo:938] Re: サイト証明書受付時のブラウザの説明
(Fri, 03 Aug 2001 09:51:26 +0900)
IE のダイアログは英語版と日本語版で意味が正反対になっている、という話。 そういえば IE 5.5 SP2 にしたんだと思って、どうなったのか試そうと思ったら、 www.j-phone-shop.com さんは Thawte の証明書つきなサイトになっていた。
[memo:954] http://www2.verisign.co.jp/
(Mon, 06 Aug 2001 06:08:53 +0900)
www2.verisign.co.jp 書きかえ事件。 日本ベリサインウェブサイト (www2.verisign.co.jp)に関するお知らせ (2001.08.14) が最新の報告のようです。 press room からもたどれるようにしようよ > ベリサイン。
[memo:997] パソコン雑誌編集者は無知なのか無恥なのか?
(Mon, 13 Aug 2001 10:44:40 +0900)
議論は [memo:1002] Win で使える安全なメーラ という方向で継続中。 個人的には、 [memo:1016] が興味深かったです。 アウトドア 危機管理考、まだ読んでない方はぜひ。
[memo:1006] PDFのウイルス(Peachy)について
(Mon, 13 Aug 2001 18:55:07 +0900)
フォロー されているように、CERT のは別の話 (SPS Advisory #39: Adobe Acrobat Series PDF File Buffer Overflow 参照)。 Peachy については outlook.pdfworm.txt を参照 (from BUGTRAQ)。
[memo:1042] 新種のウイルス?
(Mon, 20 Aug 2001 10:17:43 +0900)
ウイルス対策掲示板の おそろしいこと(3) 他で話題になっていたことですが、 MS00-075 らしい ということで、もしそうなら最新の MS Java VM (= build 3802) にすれば ok です。 [memo:1054] も参照。
2001.08.19 の Microsoft Security Bulletins に追記した。 MS01-041 fix は SRP に含まれているの間違いでした。 山下さん情報ありがとうございます。
SNS Advisory No.39: WinWrapper Professional 2.0 Remote Arbitary File Disclosure Vulnerability
2.0.1 で直っているそうです。
ウイルスバスターコーポレートエディション ver.3.5x IUSR権限で読み出せる任意のファイルをリモートから読み出されるセ キュリティホールの対応について の件です。
SNS Advisory No.37: HTTProtect allows attackers to change the protected file using a symlink
もう 1 か月前なんだけど、ここで紹介してなかったので……。
ネットワークフィルタリングによるCode Redワームウイルス対応方法
(from [connect24h:04015])
CISCO の Using Network-Based Application Recognition and Access Control Lists for Blocking the "Code Red" Worm at Network Ingress Points が参照されてます。 こういうのを入れたときのパフォーマンスってどんなかんじなんでしょう。
22:00 現在、http://www.bsa.or.jp/ がヤラレてるっぽいのですが、 なんだかオシャレなので意図した行為なのかもしれません (^^;)。 佐藤さん情報ありがとうございます。
Code Red Killer - QPQ 1.x 用 Code Red クラッシュ問題対策 Plugin - というのがあるそうです。 Quid Pro Quo 1.x を使ってない人には関係ありません。
pktfilter は IP Filter ライクな構文を使う、 Windows 2000 用の IP filtering device driver だそうです。 BSD license で配布、というところもなかなか。 もちろんソースつきです。 すばらしい (from [port139:00578])。
たまりにたまったネタの半分も消化できてないし……。
LAC さん方面、 9月度 SNSセミナー は無料だけど、 不正アクセス手法研究特別トレーニング 〜『不正アクセスの手法と防御』著者によるハンズオントレーニング〜 はバリバリ有料ですね。 初心/中級/上級と分かれていて、どれか 1 日だけでも受講できるところはなかなかよさげです。 1 日だけでも、気軽に出せる値段ではありませんが……。
他にもセミナー情報などをいただくことがあるのですが、 .ac.jp なサイトである関係上、 あまりに売らんかなな内容だ (と私が理解してしまう) と紹介できなかったりします。 FYI な内容ならいいんですけどね。
Phrack 57 が出たそうです。
snort 1.8.1 が出たそうです。
HFNetChk (Hfnetchk FAQ) という、とてもすばらしげな tool が出たようなのですが、 どうやら英語版 NT/2000 でしか使えないようで、 B-) さん が日本語版対応のおねがいを呼びかけています。
参照: MS、セキュリティーレベル評価ツールを発表 (CNet)、 Microsoft,IISパッチリリース——ようやく本気でセキュリティ対策? (ZDNet)。
公安調査庁スパイ工作集 という本が出たそうです。
A.D.2000 でのプレゼン資料を このへん に置きました。
[FreeBSD-users-jp 63437] Re: How to install Sophos と http://www.mars.dti.ne.jp/~marina/comp/FreeBSD/sendmail.html に sendmail + amavis + Sophos Anti-Virus の導入レポートがあります。
Windows 2000 Service Pack 3beta program というのが出ているそうです。 西川さん情報ありがとうございます。
IE 5.5 SP2 日本語版 が出ています。
FreeBSD Security Advisory FreeBSD-SA-01:52.fragment
patch は 4.2/4.3-RELEASE 対応だそうです。
FreeBSD Security Advisory FreeBSD-SA-01:53.ipfw
ipfw 使ってる人は check しておいてください。
UNIX / Windows 版の HP OpenView Network Node Manager (NNM) Version 6.1, Tivoli NetView Versions 5.x / 6.x に弱点。 これらに含まれる ovactuibd に弱点があり、remote から ovactuibd 動作権限 (local SYSTEM, bin 等) でコマンドを実行できてしまう。 patch があるので適用すればよい。
日本語版: reasoning.org、LAC。
新規:
MS01-043: Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する
Windows NT 4.0/2000, Exchange 2000 の nntp サービスに、 メモリーリークする弱点。 大量の post によってメモリーが枯渇し DoS になる。 Exchange 5.5 にはこの弱点はない。
patch が出ているので適用すればよい。 Exchange 2000 が利用するのは Windows 2000 の nntp サービスなので、 Exchange 2000 の nntp サービスを有効にしている場合は、Windows 2000 用 patch を適用すればよい。
日本語版 Bulletin には Exchange 2000 に関する記述がない (英語版 V1.0 相当) ようだ。 英語版、MS01-043: NNTP Service in Windows NT 4.0 and Windows 2000 Contains Memory Leak (V1.1) を参照されたい。
CVE: CAN-2001-0543
MS01-044: 2001 年 8 月 15 日 IIS 用の累積的な修正プログラム
IIS に新たな 5 つ (!!) の弱点。DoS の他、local SYSTEM 権限を得られる。 「累積的な修正プログラム」なので、過去に発見された弱点の fix も含まれている。
IIS 4.0 のみ。 Code Red affects patched IIS4 servers with URL redirection の話。
CVE: CAN-2001-0555
IIS 5.0 のみ。攻撃を受けると、IIS 5.0 は自動的に再起動するが、もちろんその時点でのコネクションはみんなパーだ。
CVE: CAN-2001-0508
IIS 5.0 のみ。攻撃を受けると、IIS 5.0 は自動的に再起動するが、もちろんその時点でのコネクションはみんなパーだ。 なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。
CVE: CAN-2001-0554
IIS 4.0/5.0 両方。
長大な <!--#include file="...."-->
において
ssinc.dll がバッファオーバーフローするため、攻撃者は local SYSTEM 権限を得られる。
なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。
CVE: CAN-2001-0506。 詳細: NSFOCUS Security Advisory (SA2001-06): Microsoft IIS ssinc.dll Buffer Overflow Vulnerability
IIS 5.0 のみ。 IIS 5.0 は「常にインプロセスで実行すべきシステムファイルのリスト」というものを保持しているのだそうだ。 で、これを絶対パスだけで判断すればいいものを、 相対パスでも判断してしまっているため、攻撃者がファイルリストに一致するファイル名でコマンドを実行させると、そいつはインプロセス (= local SYSTEM 権限) で動作してしまうという。 ひどすぎ。 なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。
CVE: CAN-2001-0507
IIS 5.0 用 patch はあるが、IIS 4.0 用はまだ。早期の登場が期待される。 (2001.08.21: IIS 4.0 用も登場した)
MS01-045: ISA Server H.323 Gatekeeper Service Contains Memory Leak
ISA Server 2000 に、DoS を受ける弱点 2 つ (H.323 Gatekeeper Servic, Proxy Service) と、 cross-site scripting な弱点 1 つがあるという話。 proxy server 2.0 にはこの弱点はないようだ。 CSS は [memo:941] Re: MS ISA etc. の fix。 patch があるので適用すればよい。 日本語版に適用しても ok のようだ。 ISA 2000 SP1 に含まれる。
改訂など:
MS01-038: Outlook View Control Exposes Unsafe Functionality の Outlook 2000 / 2002 patch が出ました。 こっち に追記しました。
MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される の IIS 4.0 patch が改訂され、NEC98 版も登場しています。 また、個別 patch ではなく SP6a + Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP) の適用が推奨されています。
Windows XP については RC1 で fix されているそうです。
SRP については、 Windows NT 4.0 セキュリティロールアップパッケージ適用後 STOP 0xA 発生 という事例もあるようなので、十分注意して適用することが必要です。 SRP のページの書かれ方を見ると、 Compaq でなくても発生しているという報告があるようです。 また、NT4 post SP6a +SRP breaks BlackIce という話もあります。BlackICE 利用者は注意してください。
MS00-094: 「電話帳サービスバッファオーバーフロー」の脆弱性に対する対策 の NT 4.0 patch が出ています。 SRP に含まれてますが。
MS01-041: 不正な RPC リクエストがサービスを異常終了させる の NT 4.0 patch が出ています。 SRP に含まれてません。
2001.08.20 追記: MS01-041 fix は SRP に含まれているの間違いでした。 Windows NT 4.0 SP6a のセキュリティロールアップパッケージ には記載がないのだが、MS01-041 (日本語、英語) や Q299444、 JP299444 には記載がある。 山下さん情報ありがとうございます。
あいかわらず Code Red 関連:
Important Information for IIS 4.0 Server Administrators Regarding the "Code Red" Worm (Microsoft)、 本当だった模様。
Code Red v3 (aka Code Red II) Fix 1.6 とか Early Bird というのもあるそうです。
Code Red拡散の責任は“管理者の不注意”だけではない? (ZDNet)、 やられてみないと伝わらない経営陣ってのはありがちでしょうし。
Code Red II続報〜事態は悪化するか? (ZDNet)、 やる気のある人がいればそうなるでしょう。 それだけの話のような気が。
HotmailがCode Redに感染。FedExでは配達に支障 (ZDNet)、 対応がいかに困難であるかの象徴のような。
"CodeRed"情報サイト (シマンテック) ができていました。
あいかわらず Code Red 関連:
Russ さんも Code Red - internal meltdowns なんて書いてますが、firewall の内側へ侵入されてひどい状況になっている、という事例が「某大手企業」を筆頭にあるようです。 モバイル PC や RAS、社内からの裏口的 dial-up 接続などには十分な注意が必要かと思います。 あと、社内であっても remote 穴くらいは塞ぎましょう。 アコギな社員の存在は十分仮定できますし。
IIS 4.0 で URL リダイレクトをしていると、 patch を適用していても落とされる、という話があるようです。 Code Red affects patched IIS4 servers with URL redirection 参照。 (incidents ML / incidents.org)
Handler on Duty: Date 8/08/01 には、上記の話の他、Code Red II による arp flood の話も出ています。 発見ツールもいろいろ出ているみたいですね。
ウイルス警報 VAC3「CODERED.C」 〜自動駆除ツールを無償提供〜 によると、トレンドマイクロは (0) Windows 2000 (IIS 5.0) へは常に有効 (1) Code Red v1/v2 は NT 4.0 (IIS 4.0) でも感染する (2) Code Red II については、日本語版/中国語版 IIS 4.0 でなら感染する「場合がある」 と認識しているようですね。
あ、現状の Code Red v1/v2/II で感染する/しないにかかわらず、 ちゃんと fix patch を適用すべきであることは言うまでもないです。
それと、NT/2000 の場合は「コマンドプロンプト」じゃないの? > トレンドマイクロ。
IPonEverything.net Security Advisory: Blocking Code Red Worm with Cisco IOS NBAR 、ふーん Network-Based Application Recognition なんてのがあったんだ。
hash's Security Alert 2001-02: Code Red II についての警告 は精力的に改訂されています。 一度参照された方も、もういちど参照してみてください。
ホテルから、Code Red 関連:
Code Red による深刻な問題に対する防護策と対処方法についての説明 (Microsoft)
Tool to eliminate the obvious effects of the Code Red II worm (Microsoft)
CodeRed 分布図とその中心 (info from connect24h ML)
Unixwiz.net - Software Consulting Central: Analysis of the new "Code Red II" Variant (info from connect24h ML)
ウイルス警報 VAC3「CODERED.C」 〜自動駆除ツールを無償提供〜 (トレンドマイクロ)
2001年 8月 8日 駆除ツールが有効でない場合があることの注意を追記 (IPA) だそうで。 上記 MS 製ツールはどうなんでしょうね。
緊急報告 - Microsoft IIS の脆弱性を使って伝播するワーム "Code Red II" (JPCERT/CC)
ううう時間がない……。とりあえず Code Red II 方面:
CERT(R) Advisory CA-2001-19 "Code Red" Worm Exploiting Buffer Overflow In IIS Indexing Service DLL と 橋本さん翻訳版 (情報どうもです)。
[memo:974] Code Red V1/2, Code Red II は IIS 4.0 に感染するのか ?
なんかつかれてきたので、「諸説あるがとりあえず patch あてとけ」 でいいような気がしてきた (^^;;)。
Microsoft Internet Security and Acceleration Server 2000 に弱点。 Cross-Site Scripting 問題があり、しかも Microsoft はそれを即座に修正するつもりがない。 「クリックさせない限り成功しない」 なんて言いわけが通用しないことは、それこそ Outlook/OutlookExpress 系列でさんざん判明しているはずにもかかわらず、まだそういうことを言っている。 insecure by default、はいいかげんやめてほしい。
2001.08.19 追記: MS01-045: ISA Server H.323 Gatekeeper Service Contains Memory Leak で fix された。 patch があるので適用すればよい。 日本語版に適用しても ok のようだ。
とりあえず、 最新の virus 定義データにしたうえで virus check してからでないと添付ファイルは開けちゃダメなのは Outlook/OutlookExpress じゃなくても同じですし。 IE 5.01 SP2/IE 5.5 SP2 の OutlookExpress なら、メールは制限つきゾーンで扱われて、ActiveScript は動かなくなるはずです。 制限つきゾーンの設定はデフォルトよりもさらにガチガチにしたほうがいいのは確かですけど。
MS 製品が「便利さ」を優先してセキュリティとか管理とかはそっちのけだった、ってのは確かにあって。 で、後付けしようとするんだけど、「互換性」とか言うひとがいるので後付けもなかなかすすまない、ってのも事実でしょう。 ってのは Windows 2000 の c:\ を見れば明らかなわけで。 アレを見るたびに虚しさを覚えます。
最近の MS は「secure by default」とか言っているようなのですが、 [memo:941] を読むと「ダメだこりゃ」とか思ったりするわけで。 「secure by default」を末端まで浸透させないと。 鎖はいちばん弱いところから切れますから。
個人的には、デフォルトでは添付ファイルも HTML メールも読めないような MUA を使ってます。 安全側に倒れたいのなら、そういう「不便な」MUA を使ったほうがいいのは確かだと思います。
16:45 ごろから、上流である京大の停電と、 これに起因する学内ネットワークの不調により、 21:00 ごろまで外部からこのページの閲覧ができませんでした。 すんません。
セキュリティ問題などを修正したIE 5.5 SP2英語版がリリース (窓の杜) だそうで。 ようやく、ですね。 IE 6 もそろそろ来そうですが。 IE 6 が出たら IE 5.0x はもう維持されないのかなあ。
『コード・レッド』対策用パッチは不安で一杯 (WIRED NEWS)、 patch 適用がめんどうなのはもちろんなのですが、 NT 4.0 もそろそろサポート終了ですし。 そういう観点での「心配」も大きいような気も。
韓国で電子住民カード構想が再浮上 カギを握る住基ネットの成否、 議論のないまま状況だけはどんどん進んでいたり。 けっきょくは「IT 企業」をもうけさせたいだけだったりして。
A.D.2000、関係者および参加者のみなさんおつかれさまでした _o_。 一時は参加できないのではと全身アセりました (文字どおりの状況) が、なんとか当日中に到着できました (というわけで、さいしょのあたり見逃した……くやしい)。 とりあえず、ジベタリアンだとケツが痛くなる (まだ痛いし……) のは改善提案しナイト。
うぅ、まだ眠いし……。
buffer overflow が発生するため、oracle group ユーザが root 権限を得られたり、 local user が oracle ユーザ権限を得られたり、local user が oracle ユーザ所有のファイルを読めたりするという指摘。
FreeBSD Security Advisory FreeBSD-SA-01:51.openssl [REVISED]
訂正版。
Sun Security Bulletin #00205: in.ftpd
[COVERT-2001-02] Globbing Vulnerabilities in Multiple FTP Daemons の fix。遅すぎ。
Code Red の新種 "Code Red II" が登場し、活発に活動中の模様。 "Code Red II" は、単に感染する/させるだけでなく、 local SYSTEM で動く backdoor の (かなりしつこい) 植えつけが含まれ、 悪質さはさらに増している。 このため、"Code Red II" によるアクセスログを見るだけで、 使い放題の shell account が手に入るという、とんでもない状況になっている。 Code Red v1/v2 と Code Red II は全くの別物なのでご注意。
なお、いままでの亜種が Code Red version 1 (CRv1)、Code Red version 2 (CRv2) と呼ばれてきたため、"Code Red II" は Code Red version 3 とか "Code Red III" と呼ばれる場合もあるようです。
SecurityFocus Code Red II Information Headquarters (SecurityFocus)
読みやすい PDF 文書です。
CodeRedII - New non-variant codered worm - Analysis. (incidents ML)
this second worm is _NOT_ a variant of the first CodeRed worm
と明記されている点に注意。
This worm, like the original Code Red worm, will only exploit Windows 2000
web servers because it overwrites EIP with a jmp that is only correct under
Windows 2000. Under NT4.0 etc... that offset is different so, the process
will simply crash instead of allowing the worm to infect the system and
spread
というわけで、Windows 系 mailing list では思い出したかのように
「最近、IIS がひんぱんに停止するのですが……」
という話題が登場するわけですね。
http://www.eeye.com/html/advisories/coderedII.zip
に詳細があるそうです。
hash's Security Alert 2001-02: Code Red IIについての警告 (reasoning.org)
橋本さんによる Code Red II の分析とまとめ (橋本さん情報ありがとうございます)。 reasoning.org と CERT Advisory迅速和訳計画 を定番情報源とアンテナに追加しました。
トロイの木馬を仕掛ける新種の「Code Red」ワームが猛威 (日経 IT Pro)
"Code Red" Worm の変種に関する注意喚起 (JPCERT/CC)
「Code Red ワームに関する情報」 -- 新種の Code Red IIに注意を -- (IPA)
機種依存文字はやめてほしいっす。 (しまった、さっきおはなししとけばよかった……今日はなにしろ眠いので……) ……なおってますね。
codered.v3 (シマンテック)
Code Red II の動作詳細。スレッド 300 個とか 600 個つくっちゃうそうで。 Windows File Protection を無効化するなど、かなり悪質。
警告文書: 株式会社シマンテック、 さらに悪質なCodeRedワームの変種を警告 −バックドア型トロイの木馬を仕掛けるCodeRed.v3−
NAI のもの: W32/CodeRed.c.worm
Code Red (II) (incidents.org)
Handler's Diary: Date 8/04/01 も参照。 http proxy での reject 方法なども記述されてます。 透過型 proxy を利用している組織もあると思いますが、 適用を考慮してみてください。
CodeRed Scanner from eEye Digital Security (eEye)
version 2.0 出てます。
関東地区ZOOTサービス速度障害について (interlink)
常時接続系方面はのきなみ DDoS 状態になっている模様。
RTシリーズのTCP/IPに関するFAQ: WWWサーバ機能の脆弱性(ぜいじゃくせい) ([memo:948])
RT80i/RTA50i の web サーバ機能が Code Red による攻撃を受けると、 ルータがリスタートしてしまう。 最新ファームで対応済み。
[infusers 2876] CodeRedワームに関して ([memo:952])
MUCHO-E シリーズでもルータリスタートが発生する模様。 リモートアクセス禁止スイッチを ON にするか、 フィルタリングで逃げる。
Code Red騒ぎでCode Redソーダが絶好調 (ZDNet)
これ、日本でも売ってるんですか? 日本では、Mountain Dew 自身あまり見かけないような気がするんですが。
なお、これまでの状況については以下を参照:
Initial analysis of the .ida "Code Red" Worm (2001.07.18〜)
CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm (2001.07.30〜)
あ、あっさり突破してるし。
ftp://ftp.netscape.com/pub/communicator/japanese/4.78/windows/ で Netscape Communicator 4.78 ja Windows 版が公開されているそうです。 パンタグラフ(fumika)さん情報ありがとうございます。
@IT の 連載:インターネット・プロトコル詳説(11) FTP(File Transfer Protocol)〜 前編 / 後編 はなかなかいいと思う。 Extensions to FTP (ftpext) とか RFC2577: FTP Security Considerations とかあったのね。
脆弱性関連情報 (IPA) っていつからやってるんでしょう。 なかなかいいです。
ウイルス発見届出状況(7月分) (IPA)、 情報漏曳という観点での警告ってあまり見かけませんね。 file を save してちょきちょきすれば取り出せるんですが。
明日、またもや韓国方面から サーバーシットインをやろう という話があるようです。 (from connect24h ML)
他人事ではない人はけっこういるでしょう。
「一方,Covington教授は,この件が原因で人々がジョージア州に悪いイメージを持つのではと心配している
」、当然の心配ですが、もう遅いような気が。
2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm に追記した。 現在の状況、関連記事など。
「教職員への教育」というのは、常に後手にまわるものですね。 ガセネタやウソを説いてまわる「エラい先生」や「自称パワーユーザー」、 アヤしいシステムを構築しようとする「信じられないエンジニア (通称 SE)」も少なくありませんし。
セキュリティスタジアム 2001 というのをやることになっているのですが、 これに協力していただけるボランティアを募集しています。 ご協力いただける方はぜひおねがいいたします。
Tripwire for Routers 1.0 評価版が ダウンロード できるのだそうです (from port139 ML)。
ntp 4.1.0 が出たそうです。
JP247054: カーソルの点滅速度を変更する方法、 Windows 9x only ですね (T_T)。 手元の Windows 2000 でためしてみたけど、 1200 より大きい値や -1 は効かないのかな。
JP299444: Post Windows NT 4.0 SP6a セキュリティ ロールアップ パ ッケージ (SRP) が出てますが、あいかわらず get できない模様。
14:40
「Japanese NEC」版は get できる。
「Japanese」は get できない。
なんなんだこれは……。
Windows NT 4.0 Service Pack 6a 以降のセキュリティ ロールアップ パッケージ (SRP) の提供を開始
では、まだ「今週中の公開を予定しておりますのでしばらくお待ち下さい
」になっている。
また、PC 互換機用朝イチ版を get できてしまった人向けの記述が追加されている:
当該モジュールを既に適用された方:
当該モジュールは適用することによって問題を引き起こすことはありませんが、新たに公開される最終確認済みのモジュールを正しく適用するためにも、当該モジュールのアンインストールをお願いいたします
だってさ。 山崎さん情報ありがとうございます。
20:35 PC 互換機用も get できるようになってました。 朝イチ版とは MD5 以前にサイズが違います。
MS01-035: FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む の patch を適用後、 Windows 2000 Advanced Server SP2 の IIS MMC で server extensions tab をクリックすると IIS MMC が落ちてしまうという話。 MS 自身 patch にマズいところがあった事を認めているが、 MS の推奨は「patch 適用」ではなく「Visual Interdev RAD 自身のアンインストール」 だそうだ。 そうなんだろうけど、そういうこと言うなら IIS インストールのデフォルトで check 入れないでよねえ。
tcpdump は current で直っているんですって。
2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm に追記した。 関連記事、anti-virus 各社の対応、など。
"Code Red"、ふたたび流行りはじめているようです。 WARNING WARNING (腕を上下に振ること)。
インターネットアニメ『ブラックジャック』 (slashdot.jp)、 確かに強烈です。強烈すぎます。先行者にも勝てるかもしれません。 「宇多田ピノコ」を聞いた次の瞬間にウィンドウを消した俺。 ダメージレベル 80%。
OpenPackages なんてのがあるんですね。 Milestone 2 Release だそうです。
添付ファイルは開くべからず、送るべからず (WIRED NEWS)、 MIME を考えた人は、まさかこんな世の中になるとは思ってなかったんだろうなあ。
Win セキュリティ虎の穴 さんの【2001/07/31】「Code Red」ワーム警報 継続中 にこんな情報が:
7月21日の時点で自己拡散を停止し、28日から活動そのものを停止しスリープ状態に入ったオリジナル版の「Code Red」ワームは、8月1日に再度目覚めるわけではなく、無限ループ状態に入り基本的に二度と目覚めることは無いとの情報を頂いています
IPA から 平成13年度暗号技術の公募について が出ています。
InterScan VirusWall for Windows NT
Ver.3.51用サービスパック1公開のお知らせ、
「トレンドマイクロではInterScan VirusWall for Windows NT ver. 3.51Jを使用しているすべてのお客様にこのサービスパック1を導入することを推奨いたします
」
だそうです。
sendmail 8.11.5 が出たそうです (情報源: installer ML)。
CERT/CC Current Activity、やっぱ telnetd ネタ出てきてますね。
2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 MIT Kerberos, AIX の情報を追記。