Last modified: Tue Apr 15 13:02:36 2003 +0900 (JST)
ファイル交換サービスに罰金 (CNet)、ここでもそういう方向ですね。
アップル、『OS X』アップデートで大失策 (WIRED NEWS)、いやはや。
インターネット用語解説、いやあ、毒があっていいっす。(info from Tea Room for Conference)
[memo:2111] Namazu 2.0.9 was released、さらなる cross-site scripting 問題の修正だそうです。
Windows XP性能評価(1) アプリケーション実行性能 (@IT)、Windows 2000 よりも一般に重いことは間違いないようですねえ。 GHz 級 CPU なら気にならないのだろうけど。
【コラム】東京バイツ 第65回 執筆=福冨忠和 平文のパスワードでペンタゴンにアクセスするハッカーについて (MYCOM PCWEB)、そーゆー映画なのか……。 レンタルビデオ待ち行列行きだな。 (info from Win セキュリティ虎の穴)
業界擁護で go ということですかねえ。景気は下向きだしテロテロだし。 兵器メーカはウハウハだろうけど。
あいかわらず来てますしねえ。.ne.jp なアドレスが多いなあ。
2001.11.29 の *ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability に追記した。CERT Advisory 登場。オフィシャル fix への link も記載されています。
「ファイルローグは法に触れない」 日本MMO社長 (ZDNet)、まあがんばってちょうだい。いつまで言っていられるか知らんけど。
私は個人サポートをしているわけではないので、私がつくったコンテンツについてであればともかく、そうですらない質問には原則として答えません。単に無視しますのでそのつもりで。 質問ではなく情報提供であれば大歓迎ですが。 (全ての情報を生かせていなくてすいません)
アメリカで考える(1)、そういえば US の人って学校で星条旗教を洗脳されているような気が。
著作権法違反のロシア人研究者裁判 来夏に延期 (毎日)、 なかなか進みませんね。
迷惑メール防止の研究会発足 総務省 (毎日)、 とりあえず集まってみたのかな。
住基ネット「住民にメリット」は18%どまり、日弁連調査 (毎日)、そういう状態で開始しちゃイカンやろが。
ネットワーク不正侵入検知、ぐはぁ。いくらあっても時間もお金も足りない……。
[memo:2022] Namazu 2.0.8 was released だそうです。namazu.cgi に潜んでいたクロスサイトスクリプティング問題への対策だそうです。
fml的オフ会、 2001.12.07 19:00-21:00 ホライズン・デジタル・エンタープライズ (東京都渋谷区)。 うぅっ、どうしよう……。
3rd JWNTUG Open Talk in MSC 大阪 に参加されたみなさん、おつかれさまでした。
まだ正式には何も書かれていませんが、どうやら -nosum をつけなくても ok な模様です。Windows 2000 SP2 / Windows NT 4.0 SP6a + SRP 日本語版で確認しました。 stksecure.exe の更新状況については、これまたアンテナで見れるようにしておきました。
2001.11.30 追記:
ちなみに、今 get できる stksecure.exe に入っている stksecure.xml には
<?xml version="1.0" encoding="Shift_JIS"?>
<BulletinDatastore DataVersion="1.0.1.165" LastDataUpdate="11/14/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory=".164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">
とか書いてあります。mssecure.xml (英語版) の方はこうです:
<?xml version="1.0"?>
<BulletinDatastore DataVersion="1.0.1.167" LastDataUpdate="11/20/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory="167 includes data for 01-056 .165 includes data for 01-055 for all IE versions. .164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">
Internet Explorer allows reading of local files by remote webpages の話。今度は BASE64 encode ですか。対策は ActiveX の停止だそうだ。
IOS version 11.2P 以降で利用できる Cisco IOS Firewall Feature Set に弱点。 ip inspect を利用している場合に、packet の src/dest IP address/port は check するのだけど、IP protocol type を check していない。 問題となる IOS version と fix については上記 link 参照。
[RHSA-2001:157-06] Updated wu-ftpd packages are available の話、詳細情報が開示されました。というか、 Linuxサーバに「深刻な」セキュリティホール——早期の情報公開で各社混乱 (ZDNet) などからすると、RedHat が先走ったためにしかたなく開示された模様。
Oops! Linux Bug Escapes Early (SecurityFocus)
CORE-20011001: Wu-FTP glob heap corruption vulnerability (bugtraq)
Vulnerability Note VU#886083: WU-FTPd does not properly handle glob command (CERT/CC)
WU-FTPD 2.6.1 diff glob.c patch (bugtraq)
FreeBSD wu-ftpd port: patch-ap が更新された。
2001.11.30 追記:
CERT Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD (CERT/CC)。 CA-2001-33 reasoning.org 邦訳版。 オフィシャル fix への link も記載されています。 (reasoning.org さん link ミスってます、2001-32 に向いてます)
また、wu-ftpd-2.6.[01] に関するメモでは wu-ftpd-2.6.1.fix3.patch が登場している。
Microsoft オフィシャル情報登場。他のもまとめておきます:
MS SQL Worm: More Information (incidents.org)
SQL Serverを狙うハイブリット型DDoSワーム (ZDNet)
マイクロソフトSQLサーバーを狙ったワームが蔓延中 (NetSecurity)
FBI,トロイの木馬を使った電子傍受ツール「Magic Lantern」を開発 (ZDNet) の話。やはり、こういう話が出てくるわけですね。 FBIウィルスはアンチウィルスにひっかからない?! (slashdot.jp) から参照されているモノでは NAI ではなく Symantec が、ということになっている。 まあ「米国製 anti-virus メーカ」ということなのでしょう。 US soft の backdoor については EU は神経とがらせているはずですが、 一方の EU だってそのテのことをやっているかもしれず。
というわけで、ロシア製や韓国製などもおりまぜて cross check するのがよろしいかと。って、そんなにたくさんは入れられないしねえ。 anti-virus software そのものに backdoor が装備されている可能性だってあるわけで。
Badtrans.B も MIME 的に壊れた状態で届くことがあるらしい。
それは InterScan VirusWall を通過してしまう。
「この添付ファイルのエンコード情報はMUA(メーラー)側でも正常にデコードされない
」
って書いてあるけど、どのような MUA で確認したんだろう。
ウイルスバスター 2001 の「メール検索機能」を有効にしていると、
Aliz.A 受信時にタイムアウトしてしまう模様。
ウイルスバスター 2002 では発生しない。「サポート期間内であればアップグレードは無償
」だそうだ。
2002 にできない場合は、
一旦メール検索機能を無効として受信して回避し、受信後ふたたび有効にする。
Aliz さんはちょっと壊れ気味なようで、 いろいろとトラブルを誘発してくれているようです。 robust なプログラムはちゃんと耐えられているようなのですが。
qmail-scanner で Aliz.A ウィルスを見落とすことがあった模様。 Sophos/sweep には罪はなく [memo:2031]、 maildrop-1.3.6 で fix されている [memo:2032] そうです。
memo ML web archive の thread 画面、なんかちょっと変だな。
対象は Norton AntiVirus for Gateways 2.[125].x NT/Solaris と Norton AntiVirus for Firewalls 1.x。詳細不明。 実際に利用しているところでは身をもって理解できているのかな。 あいかわず Badtrans.B はバシバシきてますしねえ。
……Aliz.A / Badtrans.B 共に、Norton AntiVirus for Gateways 2.5.1.16 / for Firewalls 1.5.0.69 で対応されたそうです ([memo:2034])。 それにしても、こういう重要な情報が top page に掲載されないというのはどういう神経なのだろう。
「Badtrans.B」ウイルスが猛威,生かされないNimdaの教訓 (日経 IT Pro) なんて記事も出てますね。
2001.12.04 追記:
続報: [memo:2112]。 2重エンコードだそうです。 [memo:2096]、Symantec はセキュリティ update に金を取る会社な模様です。
そういえば、Symantec だけじゃなく NAI Webshield SMTP for WinNT MIME header vuln that allows BadTrans to pass (と フォロー1、フォロー2) なんて記事も出てますね。
とりあえずこれだけ: サイバー犯罪条約に関するアンケート調査票。 匿名希望さん情報ありがとうございます。
今日は時間がないのでなにもできません。
Vendors For WU-FTPD Please Read
の件か?
An overflowable buffer exists in earlier versions of wu-ftpd.
An attacker could gain access to the machine by sending malicious
commands
だそうだ。
freebsd-security ML にこがさんが RedHat patch を投稿されていらっしゃいます。 wu-ftpd 2.6.1 に適用すると for (pe = ++p; *pe; pe++) を for (pe = ++p; *pe; pe++) { にするところだけ reject されますが、 これは execbrc() への変更です。こんなかんじ:
--- glob.c.orig Fri Jan 19 14:06:31 2001 +++ glob.c Wed Nov 28 12:57:38 2001 @@ -298,7 +298,7 @@ for (lm = restbuf; *p != '{'; *lm++ = *p++) continue; - for (pe = ++p; *pe; pe++) + for (pe = ++p; *pe; pe++) { switch (*pe) { case '{':
ftpd ML には wu-ftpd 2.6.1 にそのまま適用できる patch も (これまたこがさんから) 投稿されています。 wu-ftpd-2.6.[01] に関するメモ にはまだ掲載されていないみたい。
特許論争に揺れるW3C 後編〜ロイヤリティ・フリーを求めて高まる声 (@IT)、 Apple (UI 裁判忘れてないぞ) や HP の「反対」は多分「営業上の理由」だよね。 声を上げていくことが重要なわけで。
MS01-013 の件 (新バージョン patch 登場アナウンス) は「何をいまごろ……」って感じがするなあ。 モノ自体はだいぶ前から配ってたし、 HFNetChk してる人はみんな気がついてたわけで。
007も顔負け? テロで活発になるハイテクスパイ道具の開発
(ZDNet)、パーソナライズホルスターですか。「9月11日以降,米国で銃器の売上が伸びている
」、なんかちがうって感じ。いかにも U.S. だけど。
ネパールが国家非常事態宣言 毛沢東主義ゲリラと交戦 (asahi.com)、まだ影響力あるんか…… > 毛沢東。 (info from HTTP_REFERER 通信 )
日立ソフトがWebサイトのアクセスを制御するソフトウエアを発売 (日経 IT Pro)、Assam WebGuard ですが、これ、Apache for win32 が対象なんですね。
"Kaiten" Malicious Code Installed by Exploiting Null Default Passwords in MS-SQL (CERT/CC Current Activity)、開店?
うちにも来るくらいなので流行っているようです > W32.Badtrans.B@mm。 あ、3 通目。 ウイルス対策ベンダー各社,新種ワーム「BADTRANS.B」に警告 (ZDNet)。トレンドマイクロなど、新種ウィルス「BADTRANS.B」を警告 (INTERNET Watch)。 今回、IPA さんからは情報ないみたいすね。……出た: 「W32/Badtrans」ウイルスの亜種に関する情報 。
bind 9.2.0 出たそうです。
ポリシー重要なんですけど、………手元の組織では (以下略)。
高木さんのセミナー資料はこちら。
たとえば関西方面に高木さんをお呼びしてセミナー開いていただけたら、人集まりますかねえ。高木さんに限らず、有名人をお呼びすること自体はそれほど難しくないと思うのですけど、問題は、人が集まらないってことなんですよねえ。 という話を先日も office さん / たりきさんとしていたのでした。
2001.10.12 の シマンテックのツールにセキュリティーホール に追記した。日本語版の LiveUpdate 1.63.12 が配布されています。
なんか、続きますねえ。だいじょうぶなのか > JPNIC。 (あまり人のことが言えないモード)
20011103-01-I: Various shells create temporary files insecurely
CERT/CC Vulnerability Note VU#10277: Various shells create temporary files insecurely when using << operator の話。なんかスゲー古い話のような気が。
20011102-01-I: Netscape Directory Server contains multiple vulnerabilities in LDAP handling code
CERT(R) Advisory CA-2001-18 Multiple Vulnerabilities in Several Implementations of the Lightweight Directory Access Protocol (LDAP) の話。patch があるので適用する。
20011101-01-I: Multiple Local Sendmail Vulnerabilities
RAZOR advisory: multiple Send mail vulnerabilities の話。 restrictqrun を追加しましょう〜、という内容。
まあ、そーゆー OS ということで。
おぉ。 FreeBSD の su は PAM 見てなさそうっぽいので、これ欲しいかも。 って他の Linux distrib. では既に実装されてたりするんだろうか。 …… HEAD ブランチの su は PAM 見てるみたい。
Albania, Armenia, Austria, Belgium, Bulgaria, Croatia, Cyprus,
Estonia, Finland, France, Germany, Greece, Hungary, Italy, Moldova, the
Netherlands, Norway, Poland, Portugal, Romania, Spain, Sweden, Switzerland,
"the Former Yugoslav Republic of Macedonia", Ukraine and the United Kingdom.
Canada, Japan, South Africa and the United States
が署名した模様。
あ、IIS 4.0 ですか > press.coe.int。
MS ダウンロードセンターに FrontPage Server Extension 2000 CFPSE 1.3 なんてのが for NT 4.0 SP6a として出てます。
Directions on Microsoft 日本語版というのが出るのだそうです。12月15日創刊だそうで。
「セキュリティ技術者の不足が深刻に」,大手人材紹介業者の幹部が語る (日経 IT Pro)、 「一般の技術者」の他に 「セキュリティ技術者」があると考えるところにこそ問題があるのでは。 それって何か違うよね。
経産省、迷惑メールに法の網・受信者の承諾必要に (日経 IT ニュース)、事後じゃ意味ないと思うぞ。 (info from EVERYDAY PEOPLE)
CSK、アスキー経営権放棄 (slashdot.jp)、私的にはもちろんつボイ@ラジオ (つーか enban.net 自体か) の先行きが心配だ。
FBI,トロイの木馬を使った電子傍受ツール「Magic Lantern」を開発 (ZDNet)、BO や SubSeven と何が違うのかは不明。 そのへんの「西側先進国」製 AntiVirus にはひっかからないかも。 日本政府とか、どうしてるんですかねえ。何も考えてない?
[connect24h:1333] Zebedee勉強会の案内、12月8日(土) 15:00〜16:00、東京都港区、1000 円だそうです。
真の“癒し系ロボット”はどこに? (ZDNet)、どう考えても「先行者」こそが癒し系だろう。中華キャノンで (以下略)。
W32/BadTrans.B-mm ってのが 流行っている ようです。 これまた MS01-020 脆弱性を使うようです。(from NTBUGTRAQ)
とりあえず FAQ を用意しよう。うん。
Nov 26 04:09:36 starbow login: LOGIN FAILURE ON /dev/ttyp0 FROM 165.194.17.74, ggalsami。cau.ac.kr ですか。問いあわせてみるかな。
多数の方から情報をいただきました (ありがとうございます) が、 「Yahoo!BB開通までの道のり〜放置プレイの後に快感はやってくるのか?〜」 は ADSL開通までの道のり〜Yahoo!BBからフレッツADSL〜 として geocities.co.jp に (!) 復活しています。
SecurityFocus vulnerability statistics、 これだけを見て何かを語るのは危険だけど、なかなか興味深い。
ネットワークセキュリティ Magazine というのが出るのだそうです (info from Tea Room for Conference )。
Outlook Express にセキュリティ・ホール,テキスト・メールにスクリプトを埋め込める 「ActivePerl」および「CDE」のプログラムにもセキュリティ・ホール (日経 IT Pro)。 Advisory: Outlook Express 5.5 が Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性、 NSFOCUS SA2001-07 : ActivePerl PerlIS.dll Remote Buffer Overflow Vulnerability、 SNS Advisory No.46: IBM AIX dtprintinfo Buffer Overflow Vulnerability の解説。
社内にあるIISの ぜい弱性を調べたい (日経 IT Pro)。Nimda Scanner は使ったことないなあ。
[memo:1912] の Outlook Express ハングアップ問題を JWNTUG Newsletter にそのまま載せてしまったために DoS 攻撃になってしまった件 (T_T) の FAQ。 (お詫びと訂正 _o_)。 マズい mail の削除方法とかもあります。
どうやら、Outlook Express のバージョンではなく Internet Explorer のバージョン (5.5 / 6) が問題な模様。
SQL Worm ネタ。 やられる前に check しましょう。 関連: SQL Serverを狙うハイブリット型DDoSワーム (ZDNet)
[memo:1955] 特定のPNGでNetscape6.2がクラッシュ の話。QuickTime plug-in を使って png を処理する状態 だと回避できるようです。 って UNIX 版だと無理のような。
brute-force attack でセッション ID を get できるという話。 弱々なものが多いのだそうです。 TCP/IP の教訓って生かされてないのね。歴史は繰り返す?
iDEFENCE.co.jp さん、日本語版出してくれないかなあ。
2002.03.26 追記:
翻訳版が出たのはいいけど、なんと売りもの: 「セッションIDの脆弱性」についての解説資料を販売開始 (netsecurity.ne.jp)。
apache 1.3.x でのセキュリティ問題の概要。 SecurityFocus vuln. database (+ これ) と見比べてみるのも一興かと。
肉骨粉食べた牛5100頭をすべて焼却処分へ 農水省 (asahi.com)、なんなんだこれは。 これでは「正直者がバカを見る」だけじゃん。 「食べた」とされていない牛が安全であることの証明はどこにもないし。 農水省は自分達の何が批判されているのか、あいかわらず理解していない模様。
プロバイダー責任法案、22日衆院本会議で成立へ (毎日)、 したのかな?
サイバー犯罪条約、政府が署名決定 (毎日)、実効は関連法が整備されてからと言うものの……。
アフガン現地レポートいろいろ出てますね: [aml 25187] 中村哲医師講演会(前編)、 (後編)。 [aml 25210] アメリカの悲劇・アフガンの悲劇(前編)、 (後編)。
間にあううちに兵器を実験したい人もいるようですが: アフガン攻撃:仏首相 原子力空母のインド洋派遣を表明 (毎日)。 クラスター爆弾ばらまいてる奴ならそう言うだろうな: 米、対人地雷禁止条約署名見送る動き 国防総省が提案 (asahi.com)。
http://members.tripod.co.jp/odyou/index.html (Yahoo!BB開通までの道のり〜放置プレイの後に快感はやってくるのか?〜) は削除されてしまった模様。(AIDO さん感謝)
「エネルギー基本法の経済産業委員会での審議が見送られることに
」なったそうです。
「個人情報保護法案」に異議あり! あまりの不透明さがネットビジネスの行方を遮る (日経 IT Pro)、法案はともかく、プライバシーポリシーをつくる段階で何が個人情報なのかははっきりすると思うんだけど。
[memo:1990] Re: TROJ_ALIZ.A、 これまた「便利」な機能だったのですね。
米国の戦争に抗議し日本の戦争への荷担に反対する (劣化ウラン研究会)。 すでにバラ撒かれてるのかなあ。 核関連だと、[aml 25203] 外務省の滑稽—「核兵器・核実験モニター」最新号もかなりギャグっぽい。
Re: MS01-055、なんか謎あるみたいですねえ。 私の手元では特に問題なさげなんですが。
で、MS01-055/056 patch で使えるコマンドラインスイッチはこういうふうなんだそうです。
最近、携帯にメールだけでなくSpam電話の被害が急増しているようです (info from EVERYDAY PEOPLE)。 うまいやりかた考えるなあ。
マイクロソフトのプライバシーツールは言い逃れか (ZDNet エンタープライズ)、そもそもツールなのかこれは。
Internet Week 2001 JWNTUG Windows NT/2000 BOF ですが、他の IW 2001 ものと同様、 web 経由での申込締切は本日 17:00 です。 このへん からできます。 まあ、当日受付も可能みたいですけどね。
J-フォンの第3世代携帯は“デュアル端末”?──Green社長
(ZDNet モバイル)、「添付ファイルに対応したJ-フォンのメールシステム「ロングメール」は,この1年間でトラフィックが514%に伸びており
」、
J-PHONE 方面メールがよくトラブるのはこの伸び率のおかげなのかな。
Scan Daily Express 有料化 だそうです。半年 2,400 円。とりあえず半年分発注した。
553 baltimore.com. config error: mail loops back to me (MX problem?)。 直りませんか?
何、小泉総理が尊敬する歴史上の人物は吉田松陰? 吉田松陰と言えばやっぱり こっち のような気が。 次回のつボイ@ラジオのネタだろうなあ。 「吉田松陰物語」はまだ聴いたことないんですよね私。 このへんとかでおぼろに様子がわかりますが。
「システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない
」って……。いやはや。
Outlook Express 5.x/6 に <" http://www.testtest.co.jp/ "@www.testtest.co.jp> と書いたメールを送ると、これをプレビューしたときにハングしてしまう。 さらにハングったままメモリリークするようで、ほっておくとどんどんメモリを食いつづける。 3 月に MS に知らせたがなしのつぶての模様。 http: の他、file: や ftp: などでも同様の模様 [memo:1921]。
2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。
フォローにもあるが、こんな内容で何を判断・検証せぇと言うのだ。 どうしようもないぞ。
謎と言えば、Vendors For WU-FTPD Please Read も謎ですね。どうせ ProFTPD に移行しようと思ってたので作業開始してますが。
Nimda, SSH1 CRC-32, MS DNS の cache 汚染, DoS 攻撃の動向, UNIX Security Checklist v 2.0 (かわぐちさんの邦訳版)。 かわぐちさんにはげましの feedback をおくろう。
HP-UX 10.x, 11.x の rlpdaemon (ふつうの UNIX で言う lpd) に弱点。特殊な印刷要求を出すことによって、 remote から rlpdaemon 動作権限 (= root) で任意のファイルに書き込めるため、 結果として root 権限を奪取できる。 rlpdaemon はデフォルトで起動しているのだそうだ。
対応としては、patch を適用する。 rlpdaemon を利用していないなら、止めてしまってよい。
2001.12.18 追記:
詳細: HP-UX setuid rlpdaemon induced to make illicit file writes。 なぜか「バッファオーバーフロー」として紹介していたので記述を修正。
ジフ・デイビス、1万2500人の個人情報を誤ってウェブに掲載 (WIRED NEWS)、We're OPEN。
「アルカイダ核兵器資料」報道の顛末 (WIRED NEWS)、 ギャグ番組「第三の選択」をまじめに報道してしまったヤオイ氏みたい。
おぉっ、作ってわかる C プログラミング。void さんだぁ。
Vulnerability Note VU#898480: MandrakeSoft Mandrake Linux Apache default configuration sample programs disclose server information (CERT/CC)、Mandrake 特有なのかなあ。
新種ウイルス「W32/Aliz」に関する情報 (IPA)、流行っているようです。
第2回 SNSトレーニング セキュリティポリシーの策定と実践 (机上演習含む) 、2001.12.13〜14, ¥40,000 + 60,000/人。 こういう企画が通る時代になったのですね。
Windows XP発売記念特別企画: 鈴木直美の「Windows Messenger使用記」 〜ルータとWindows Messengerの微妙な関係 (PC Watch)、Universal Plug and Play ですか……。 なんか、なんでもアリゲって感じな気がしますねえ。
cryptme に Proposal for a COUNCIL FRAMEWORK DECISION on combating serious attacks against information systems (anti-hacking proposal of the EU Commission) が出ています。
浜岡原発1号炉で連続する重大な事故(1) (原子力資料情報室)。 悲惨な状況になっていなかったのは単に運がいいだけかも。
ちょっと古いけど、[aml 25027] アメリカ大学研究者ブッシュ外交政策批判者に圧力。 アカ狩りを想起しますねえ。
特許論争に揺れるW3C(前編) (@IT)、ふぅむ。
Fw: kernel panic [linux 2.2.19-7] on UDP scan CP4.1-SP5 、 ドライバの問題だったそうで。気をつけましょう。
MacSSH 2.1fc2 出てます。x-forwarding できるようになったらしいです。
マイクロソフト セキュリティ ツールキット CD の申込ができるようです。 無料です。 (info from Win セキュリティ虎の穴)
CERT/CC Current Activity 、Exploitation of vulnerability in SSH1 CRC-32 compensation attack detector あいかわらず流行っているようです。 'Limpninja' Trojan horse emerges なんてのもあるそうで。 (こがさん情報ありがとうございます)
Scan の アンケート、どういう人を前提にしたアンケートなんだろうと、たとえば Q7 をみながら考えてしまう。
「マイライン」獲得競争“脱線”
NTT西日本 加入者情報外部へ流出
代理店通じ3500人分
(中日新聞)、とりあえず「大阪府と兵庫県の少なくとも約三千五百人
」だそうだが「被害は二府県以外にも広がっている可能性がある
」のだそうで。
いやはや。
にしても、なんちゅう URL だ > 中日新聞。
ISP法案:
今国会で成立へ 表現の自由への影響を検証 (毎日)、
免責は「発信元の会員に照会し、7日たっても申し出がなかった場合
」
だそうですが、「照会」した「事実」って簡単に捏造できるような気が。
トレンドマイクロの 最新のソリューション-全製品 のページって、なんか調子悪くないですか? power 足りない?
OpenSSH 3.0.1 出ています。 Kerberos V 方面 security 穴と excessive memory clearing bug で daemon crash する問題が直っているそうです。
状況依存で Policy Editor あるいは Security Template Editor snap-in を利用した権限設定がリセットされてしまうそうです。
パスワードリセット時、監査を設定していても成功/失敗にかかわらず監査イベントが発生しない、という話の模様。SP3 で fix ですって。
""><script>alert(document.cookie)</script>" というちょっとヒネった方法を使うとあらまあ不思議、Cross Site Scripting がゾロゾロという話 (かな)。 解決策としては ", >, <, ' をフィルタ / quote するべしとされている。 高木さんの調査で green だったところでも、こちらでは red かも。
これが「secure by default」などと叫ぶ会社のやることか? なんのつもりなのだいったい……。
FTP Serv-U 3.0 に弱点。 管理クライアントから FTP Serv-U に接続するときに S/Key One-Time Password を使うように設定している場合に、管理クライアントが FTP Serv-U からの S/Key challenge を無視してパスフレーズをそのまま平文でネットワークに流してしまうのだそうで。 fix はまだないそうで。
(下) はこちら。 そういえば、セキュリティ・コンファレンス 2001 での高木さんの セッション資料 (ただし空白ページ多数) も公開されてます。 あと、[memo:1904] メールマガジンのセキュリティ (Re: 虚偽の個人情報保護方針) もダメダメ web アプリという意味では同じですね。
そこらじゅうでアレゲであることは間違いないようです。
パスワード管理ツールを使うのはいいけど、 パスワード管理ツール自体の安全性は誰が保証してくれるのだろう。 詳細不明な「パスワード管理ツール」を使うくらいなら、 plain text に書いた上で、 GnuPG のような open かつ広く利用されている暗号化ツールで暗号化した方がいいような気が。 運用はちょっと手間だけどね。
あ、Project Ägypten なんてできてるし。
セキュリティ・スタジアム 2001 な記事。 読み読み……。ふむん。 そういう意味では「3 分でできる IE / Outlook Express のセキュアな設定講座」みたいなプレゼンがあってもよかったのかな。
セキュリティ・スタジアムは楽しいイベントでしたし、来年もあるといいね。 (と、あたりさわりのない言い方をしておくテスト)
横浜で「ロボフェスタ」開幕、最先端技術に驚き (毎日)、 特別ゲストとして先行者が来ていたらもっと集まっただろうなあ (^^)。
「狂牛病に触れるな」(共同通信社)、 「バカは死ななきゃ直らない」て奴か? (info from HTTP_REFERER 通信)
Cyclone ですか。こういうものが求められる時代なわけですよね。 (info from slashdot.jp)
[aml 25102] なにひとつ問題は解決していない!、
「ケニアの債務はいわゆる『重債務貧困国』のレベルであり、
……日本は緊縮財政で、無駄な支出を省く『構造改革』を進めているはずですが、こんな返済されるあてのない国に、今またさらに100億円もの資金を貸し付けようとしているのです
……受注が日本企業
」。
このパターンはいつまで繰りかえされるのでしょうね。日本が破産するまで?
タイムリミットは近い (元歌の方)。
強まるメディア規制 「青少年の健全育成」を名目に (毎日)、
殲滅すべき民放バカ番組も確かに存在する (それは少なくない) ってのも確かってのがアレゲなんだよな。
しかし、「文科省推薦の『テレビ番組』
」。うひゃあ。イヤゲ。
警察庁など3省庁 アクセス制御技術開発情報を募集 (毎日) だそうです。
米英で復活する植民地主義 (from [aml 25132])。 いやはや。
WebDAV Resources JP ができています (from [webdav-jp:0033])。
Ie6 password input problem (vuln-dev)、 読み込み自体がアレゲになって STOP 押されそうな気が。 今時はそうでもないのかな。
「J-SH51」の魅力に迫る──何でも入るSDカード
(ZDNet)、「J-フォンが独自に開発した「HUF」という暗号化
」……悪い予感が。メモリカードという発想それ自体はよさげなのだけど。
石川さんち の 2001.11.19 の 2. のあたりですが、 リモートアシスタンスでも NetMeeting でもその他商用ものでもなんでもいいと思うのですが、 まじめにやりたい人は IPSec とか使うんじゃないんでしょうか。 標準でついていると「xxx をインストールしてください。インストール手順は……」という資料をつくる必要がなくなる (!) ので私的にはうれしいです。 もっとも、何か穴がみつかったら 「patch をインストールしてください。インストール手順は……」という資料をつくる必要ができちゃうんですが。
米連邦政府機関の ITセキュリティシステム評価 (japan.internet.com)、 「農務省」「国際開発局」などえらくおおざっぱなカテゴリだけど、ほんとうはサイト毎の結果とか出てるのかなあ。 (info from EVERYDAY PEOPLE)
ITAA press release は ITAA Calls Failing Grade for Fed Cyber Security Unacceptable (November 9, 2001) かなあ。
DSLのイーアクセス、NTT東西を独禁法違反で訴え (asahi.com)、半年後に NTT が自分からやめて、1 年後に公正取引委員会が「もはや何の意味もない」停止命令だかなんだかを出すんですかね。 (info from slashdot.jp)
JP309308: ACPI BIOS による無効な I/O ポート アドレスへの書き込み 、出るようなら BIOS upgrade しろってことか。
[aml 25165] 写真展「環境破壊大国・日本」のお知らせ、 2001.12.01/02, スペース AK (大阪市北区天神橋)。
ネタ box に入りっぱなしになっていた……。もう 1 か月以上前なんですが。 うだうだ説明するよりも読んで頂いた方が早いので:
Sun のやつだけ今見てみましたが、変ってませんね……。
サンのオンラインプライバシーに関するポリシー
にある「ただし、法的に必要な場合を除きます
」に該当するとは考えられないしなあ。[email protected] に mail すると、何か反応あるんだろうか。
あーらくらく。
Red Hat Linux 7.1 General Advisories: Updated pam and usermode packages available(RHBA-2001:149-14):
このページもはいぱ〜日記システムに移行しようかなあ。 こういうの とか強力そうですしねえ。 いまいち見え方が気に入らないんだけど……。 CSS とかでカスタマイズできるのかなあ。
ツール 3 本。
いやあ、こんなおもしろい話があったとは。全く見逃してました。
そして日本には、まだ NIPC に類する組織すらないという事実を考えると……。 何かができたとして、その成果を上げはじめるまでに何年かかるやら。 役所がどこも伏魔殿であることは日米を問わないだろうし。
RunAs ネタ 3 本です。
MS サンは RE:Radix Research Reports RADIX1112200101, RADIX1112200102, and RADIX1112200103 で
RADIX1112200101 を実行するには Administrator 権限が必要だから、 そもそもそこに至ってはなんでもありだよね、だそうで。
RADIX1112200102 も、MS さんは Administrator 権限でしか再現できなかった模様。問題発見者は sample code は提供しなかった模様。
RADIX1112200103 は RunAs サービスそれ自身のみへの local machine からの DoS 攻撃を示しているだけで、それ以外への影響はないから極めて限定された効果しかない、としている。
なので、確かに直さなくちゃいけないのだけどそれは簡単ではないし、 Windows 2000 SP3 での fix とあいなったそうな。
ルータ自身の local broadcast interface 宛、あるいはグローバル NAT エントリー宛の ARP リクエスト/リプライを送る。 すると、Cisco IOS はその ARP リクエストに書かれた偽の MAC アドレスを、 そのままルータ自身の ARP テーブルに書き込んでしまう。 このため、この ARP エントリが破棄されるまでルータは DoS 状態に陥る。 対象となる機器・IOS/CatOS バージョンは多岐にわたるので上記 URL を参照のこと。
acl "bogon" がちょっとふつうでないあたり注目? class A ってほんとにこういうふうなの? ほんとなら「オラオラァッ! アドレスいっぱい空いてんじゃ〜ん。とっとと固定アドレスよこしなっ!」って感じするんだけど。
2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 もうひとつの cookie 問題の公開、 オリジナル問題の発見者による状況公開。
UNIX では予約済みポート (reserved ports; 0〜1023) という概念があり、 これらは root 権限がないと扱えないが、 NT 4.0 TSE 環境では誰でも何の問題もなく扱えてしまうねという話。 TSE 環境のように「ふつうマルチユーザ」だと、この仕様は困りますね。
2001.11.13 の CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する に追記した。 関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する。
2001.11.09 の MS01-054: 無効なユニバーサルプラグアンドプレイのリクエストがシステムのオペレーションを妨害する に追記した。 Me 用新 patch 登場 (麗美さん感謝)。
MS01-055 patch を適用すると、HTTP_USER_AGENT に Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461) なんて感じで patch 情報が流出してしまうという話。 IE 5.5 SP2 だと Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; T312461) となる [memo:1891]。
これは HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform にあるレジストリ値が反映されたもの [memo:1892] で、Post Platform のかわりに Pre Platform に値を入れると Mozilla/4.0 (compatible; MSIE 6.0; FooBarBaz; Windows NT 5.0) なんてこともできるそうだ [memo:1894]。
ActiveState ActivePerl 5.6.1 build 629 以前に弱点。 perlIS.dll が長いファイル名によって buffer overflow してしまうため、これを利用している web アプリなどを経由して、remote から任意のプログラムを実行できてしまう。 権限は、IIS 4.0 上なら SYSTEM、IIS 5.0 上なら IWAM_machinename。 Apache や Sambar などでも SYSTEM じゃないかな。
build 630 で fix されているので、利用している場合はおおいそぎで入れかえる。 しかし、 Build 630 ChangeLog には何も書かれてないような気が。 また対応策として、perlIS.dll ISAPI エクステンションの設定で「Check that file exists」を有効にする、が挙げられている (どうしてデフォルトで on じゃないの?)。
CVE: CAN-2001-0815
FREAK SHOW: Outlook Express 6.00
と同様、OE 5.5 でも text/plain な mail でスクリプトが実行されてしまうという話。
しかも、「本文が60文字(正確には60バイト)までだとスクリプトを実行して、それ以上だとスクリプトを実行しない
」という謎な状況。
メールを開いた時点で攻撃が成功してしまうので始末に悪い。
回避策として、Yoshida さんは「インターネット ゾーンのアクティブ スクリプトを [無効] に
」とおっしゃっているが、ここはやっぱり
[ツール] メニューの [オプション] を選択し、
表示された [オプション] ウィンドウから [セキュリティ] タブを選択し、
「使用する Internet Explorer セキュリティゾーンを選択してください」 を [制限付きサイト ゾーン] に設定
したうえで、制限付きサイトゾーンのアクティブ スクリプトを [無効] にするのが吉のような。IE 5.01 SP2 / 5.5 SP2 / IE 6 以降は、制限付きサイトゾーンのアクティブ スクリプトはデフォルトで無効だったんじゃなかったかな。
Yoshida さん情報ありがとうございます。 あちらの方も期待してます。(^^)
関連: Full Disclosure (crypt-gram 2001.11)。 ZDNet News 版 (日本語版出るといいね)。
なんか、タイトル「壮大なセキュリティプランを立てるマイクロソフト」と中身が一致しないような気がするんだが、もともとこういうタイトルだったのかなあ。 原文 link ほしいぞ。探すの疲れるし。
<[email protected]>: Name service error for rsasecuirty.com: Host not found。オイオイ……こういうところで誤植しちゃイカンだろ……。
[WinXP]Windows XP Pro にアクセスするとパスワードを要求される、 guest 有効化が筆頭の解決方法ですか。 なんだかなあ。
……select してなるほど。「単語帳」ってこういうサービスだったのか。
法務省のメールサーバー 不正使用の可能性明らかに (毎日)、バージョンがどうこうというレベルの問題なのか? (問題なのかも) ……あら、moj-smtp.moj.go.jp つながらないじゃん……。
関連: やはり悪用されていた法務省メールサーバー(2001.11.16) (NetSecurity)。
財務相、たばこと発泡酒の増税の検討を
(asahi.com)、「ビールとあまり変わらないのに大きく税率が変わるのはおかしい
」、財務省の人間は味覚なし、と。
「IE Cookie覗き見バグ」のパッチ公開 〜Microsoftのセキュリティー品質に懸念も (INTERNET Watch)、 [email protected] 氏はどのような公開なら妥当でないと認識されるのだろう。
IO DATA の 業界初! 物理的に改ざんを防止するWEBサーバを開発 鍵でハードディスクを読み出しのみに切り替え可能 セキュアーWEBサーバ 「SafetyWeb」 、どうやら Ni-3100 を利用した製品のようですね。 slashdot.jp のスレッド、 そういう反応をしたくなる気持ちもわかるけど、 道具を生かすも殺すも運用者次第なんてのはなんでも同じなわけで。
あ、Server: Microsoft-IIS/6.0 みっけ。 ……あれ? また 5.0 に戻った。
うおっ、 日経Windowsプロ 新創刊記念読者限定セミナー なんてのがあるんだ。東京 11月19日(月)、大阪 11月21日(水)。 知らんかった。 (info from +SEC)
<世界初>ハードウェア制御でハードディスクを保護するシステム 「Secure Disk ProtectionTM(セキュア ディスク プロテクション)」 Ni-3100を発売 〜不正アクセスによるWebサーバの改ざんを防止〜 (SII) ですが、Internet World Japan の SII ブースで技術的質問を受け付けるそうです。 匿名希望さん情報ありがとうございます。 私が当初思ってたよりもよさげな製品みたいなので、 どなたかレポート希望〜と言ってみるテスト。
プレスリリース読みなおしてみたのですが、 これ、SCSI ←→ IDE 変換してるんですね。
Mozilla で見ると文字化けしてるなあ > http://www.jca.apc.org/。 IE 6 や w3m なら ok みたい。
<平成13年12月1日から> 自動車のナンバープレートに赤外線を吸収又は反射する 「ナンバーカバー」 を取り付けたり 「テープ」 などを付着させて運転すると罰則が科せられます、つまり今月中は ok ok ということか?
2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 patch 登場。MS01-055 の他、MS01-051 の積みのこしもあわせて fix されている。 のだが、しかし……。 (たくさんの方から情報いただきました。ありがとうございます)
欧州評議会「サイバー犯罪条約 案(確定版)」 [仮 訳] あるんだ。すばらしい。助かるなあ。
「本条は,本条第1項に示す
……中略……行為が,コンピュータ・システムの権限に基づく試験又は保護のためになされる場合のように,本条約 第2条ないし第5条により設けられる犯罪を実行するためになされるのではない場合には,刑事責任を課すものとして解釈してはならない
」
だそうなので、つくる側としてはそういう
banner でも出しとけばいいんですかね。
その banner を office さんの「ライセンスハッキング」的に処理された場合どうなるかは知りませんが。
構築に入る前に、簡単なものでもいいからまずポリシーをつくろう、という話。
長野知事が読売記者質問拒む 他県版載る新聞配達に異議 (asahi.com)、No と言える県知事。
[aml 25101] マクドナルド米国本社のアジアの民衆に対する姿勢、しょせんマクドだからねえ。オモテの顔とウラの顔が違うってやつか? (もしかしたらダダかも)
それにしても、index ページはあいかわらず 10 月までしかないなあ。
うは、なんじゃこりゃあ……(T_T)。
何度も繰り返して恐縮だが、インパクなどというものへの予算の10%でも中小企業と個人のセキュリティのために使ってもらえないものだろうか?
(from 企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13))。
なんてこったい。
国際文化学部で 11.20 15:10〜16:40 にあるステファニー・ファリアー氏 (ペンシルバニア州立大学国際法教授) 講演 「国際法による人権・民族差別への対応」はずいぶんマトモそうなんだけど、龍大 home page には何もないね。もったいない。 その筋では有名な方のようなのに。
企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13) (NetSecurity)、要は「セキュリティはもーからん」という意識をどうにかしないとどうにもならん、という話ですね。 結局、コテンパンにたたきのめされる (大) 企業が出ないとだめなのかな。
セキュリティ・チェツクのお手伝いをします。、チェックじゃなくてチェツクだそうです。 portscan するだけで 10 万円ですか。もうかりまっか? Layer9 さん情報ありがとうございます。
あいかわらず Nimda.E (だよなぁこれ) 来ますねえ。 yha.att.ne.jp, mail.fwi.ne.jp。
ドコモのスパムメール対策,「らくらくホン」より「らくらくスパムメール拒否」を (ZDNet)、まあ進歩には違いないが、もうけ口を閉じさせるような話だから、 ドコモがどれだけ本気かは……。
退くも痛し,進むも痛し——ますます荒れ模様のHP/Compaq合併計画 (ZDNet)、Sun とか IBM は大笑いしているんだろうなあ。
[FreeBSD-users-jp 65534]、ですよねえ。 (signature 部分ね)
不正中継を続ける法務省のメールサーバ スパムメールの温床になる危険性(2001.11.14) (NetSecurity)、広く全世界に開かれた法務省をめざしているのかも (んなわけない)。
Mac OS X Update 10.1.1 出てます (info from リンクとか備忘録とか日記とか)。 Installer アップデート 1.0 を適用していない場合は、まず Installer アップデート 1.0 をインストール/リブート後、改めて software update を起動しないと Mac OS X Update 10.1.1 が出てきません。
しかし、software update 画面で「“”をダウンロードしています」(だったかな) とか出てきちゃうのはマズいんじゃないか?
MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection にある about.reg は NT 4.0 では使えないのだそうで、佐藤さんが NT4 な人用の NT4_about.reg を提供してくださいましたた (ありがとうございます)。 もと記事の方にも追記しておきました。
よくよく見たら「UNICODE」になってましたね。 about.reg も ASCII にしておきました。 (でも NT 4 では食えないのだけど)
まだ見ぬ OpenBSD 3.0 の security fix、 A security issue exists in the vi.recover script that may allow an attacker to remove arbitrary zero-length files, regardless of ownership などが掲載されています。
IE 5.01 って、October 28, 2001 で hotfix 開発終了してたんですね。 いやはや。Windows 2000 SP3 には IE 6 が添付されたりするんだろうか。 それとも、Extended が N/A だから、まだまだ続くということなんだろうか。よくわからん。
Windows 98 や NT 4.0 も、そろそろなんだなあ。
vsftpd 1.0 というのが出たそうです。from SECURITY/DESIGN:
vsftpd employs a secure design. The UNIX facilities outlined above are used to good effect. The design decisions taken are as follows: 1) All parsing and acting on potentially malicious remote network data is done in a process running as an unprivileged user. Furthermore, this process runs in a chroot() jail, ensuring only the ftp files area is accessible. 2) Any privileged operations are handled in a privileged parent process. The code for this privileged parent process is as small as possible for safety. 3) This same privileged parent process receives requests from the unprivileged child over a socket. All requests are distrusted. Here are example requests: - Login request. The child sends username and password. Only if the details are correct does the privileged parent launch a new child with the appropriate user credentials. - chown() request. The child may request a recently uploaded file gets chown'ed() to root for security purposes. The parent is careful to only allow chown() to root, and only from files owned by the ftp user. - Get privileged socket request. The ftp protocol says we are supposed to emit data connections from port 20. This requires privilege. The privileged parent process creates the privileged socket and passes it to child over the socket. 4) This same privileged parent process makes use of capabilities and chroot(), to run with the least privilege required. After login, depending on what options have been selected, the privileged parent dynamically calculates what privileges it requires. In some cases, this amounts to no privilege, and the privileged parent just exits, leaving no part of vsftpd running with privilege.
MS ダウンロードセンターに、 Visual Studio 6.0 C Runtime Denial of Service Fix なんてのが掲載されてますね。これは一体なんだろう。
Gartner Column:第22回 マイクロソフトを変えるのは司法省ではなく,マイクロソフト自身だ (ZDNet エンタープライズ)、MS さんが本気になると恐いからねえ。
歌舞伎町火災後の緊急点検で問題ビル続出、 改善指導だの督促強化だのいう生っちょろいことをやってお茶を濁しているのが問題なんとちゃうの? 見逃がしをいいことにカネを得ている寄生虫野郎とかさ。
本当ならゴア大統領だった (slashdot.jp)、 U.S. の現状を見ると、ゴアならなんぼかマシだったんじゃないかと思っちゃうなあやっぱり。50 歩 51 歩かもしれないけど。
日本Sambaユーザ会 第3回 通常総会およびセミナー開催のお知らせ 、2001.11.22 東京都港区、1000円。
<世界初>ハードウェア制御でハードディスクを保護するシステム 「Secure Disk ProtectionTM(セキュア ディスク プロテクション)」 Ni-3100を発売 〜不正アクセスによるWebサーバの改ざんを防止〜 (SII)、 結局ソフト的に解除する方法があるってことか。 いかんな。 あくまでハード的にしかいじれない、って製品がほしいような。 (info from port139: NT Security_B-)
Avalon—灰色の貴婦人、一気読み。おもしろい。 明らかに、映画を観たあとで読むべき本ですね。 ムライの配役はやっぱり千葉 繁氏かなあ。
石川さんちの 2001.11.12、 Mac が BSD UNIX になる時代ですからねえ。 OS ソースも同梱してほしいな > Apple。 Darwin にない部分はバイナリだけでもいいから。
Investigators: No terror link to plane crash (CNN)、どうも最近気になっているのだが、 ビンラディン / アルカイダ方面がやっているのは「テロ」なのに、 子ブッシュがやっているのは「戦争」なのはなんで? 呼称をどっちかに統一してくれ。
トレンドマイクロ,Linuxファイル・サーバー用ウイルス対策ソフトを発売 (日経 IT Pro)、リアルタイム検出可能なのは確かにいいですね。 samba なあなたに。
流行っている ssh1 CRC32 overflow bug 攻撃の解析結果。
tooleaky 同様、Personal Firewall を越えられるプログラムの実例。 関連報道: ファイアーウォールを導入しても個人情報流出 (CNET)。
CDE の dtspcd にバッファオーバーフローする弱点。remote から root 権限で任意のコマンドを実行できてしまう。 ISS: Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control Service 。 CVE: CAN-2001-0803。
dtspcd というと、 CA-1999-11 Four Vulnerabilities in the Common Desktop Environment (LAC 邦訳版) というのもありましたね。 CDE 全体ではもっといろいろ出てますし、 なにしろ今回の弱点、1999.03 に発見されて、いまだに fix がないベンダーが多いと言うのですから呆れます。
2001.11.14 追記:
HP: HPSBUX0111-175 Sec. Vulnerability in dtspcd
2001.11.19 追記:
関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する (日経 IT Pro)
2001.12.26 追記:
Sun fix: Buffer Overflow in CDE Subprocess Control Service (dtspcd)。 荒木さん情報ありがとうございます。
「毎年のようにバージョンアップを繰り返すシステムは危険
」、有名メーカ アンチウィルスものや Linux, *BSD は全滅、と。
「ライバル製品と同時期に発売している製品は危険
」、
これまた同様、と。
「セキュリティホールが繰り返し報告されるシステムを開発している企業は危険
」、Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。
「新しいシステムは未知の危険がある可能性がある。しばらく様子を見るべきだ
」、古いシステムはメンテされなくなる可能性があるからダメだしなあ。
「人材の異動が激しすぎる企業の製品は危険
」、TurboLinux 方面は社長変りすぎ、と。
「不要な機能を多数備えたシステムは避けた方が無難
」、
やっぱり Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。
「長く使われていて改変のないシステムは比較的安全
」、
そんなものどこにあるの?
結論はなんだろう。「AS/400 を使え」か?
Microsoft, Guardent, @Stake, Bindview, Foundstone, ISS ですか。 「穏健派」:-) ですかねえ。 eEye とか SecurityFocus といった「過激派」:-) が含まれてないでは、 実質上、現状と何も変わらないような気が。 ちなみに、Russ 氏のは Proposal - The Responsible Disclosure Forum です。
いちばんアレゲな点は、発見者がまともに動いても、vendor がまともな反応を返す保証なんてどこにもない、という部分のような気が。 「それは仕様です」で終りになったらどーすんの?
まあそれでも Microsoft は実はずいぶんマシな方で、Sun なんか……ねえ。 たとえば、それなりな日本語 Advisory がすばやく出てくる会社というのは、実は MSKK くらいだってとこに気がついてる人がどれだけいることやら。 いやもちろん、そこまでやって「ふつう」であるべきなんですけどね。
「IBM社は、自社製品のセキュリティーに関する問題には、どんなことにも慎重に対応している。そしてこの問題の場合は、理論の上だけで成立する種類のものだと判断した
」、日本語に訳すと「IBM社は、自社製品のセキュリティーに関する問題には、どんなことでも隠したい、なかったことにしたいと思っている。そしてこの問題の場合は、隠そうと思えば隠すことができる種類のものだと判断した」になるのかな。
実際には Netscape 方面にも (見つかってないだけで) いろいろあるんじゃないかなあという気がするので R-MS という名前にはアレゲさを感じてしまうけど、主旨自体には賛成。 J(ava)Script を安易に使うのはやめて頂きたい。いまどき「JavaScript を有効にしてください」と書くのって恥だと思う。
関連:
スクリプトの利用を強要するサイトはネット利用者の脅威である(2001.11.12) (NetSecurity)
スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを(2001.11.12) (NetSecurity)
しかし、どうして microsoft.com とか symantec.com とか、 OS / セキュリティ方面企業の名が筆頭に上げられていないんだろう。 そういう意味では、やっぱり R-MS でいいのかな。
アルジャジーラ製作、 劣化ウラン弾の嵐 4000 円だそうです。
XCON: Routing Restrictions Do Not Work with % Addresses RFC 1123 5.2.16、仕様ですか……。
[aml 25022] 宮崎氏問題の政治的利用に反対する、 これを機会にいろいろな人を排除したいと願う人もいるってことなのでしょう。
http://www.ms-event.com/netdc/ が 2001.11.09 11:30 ごろに Nimda にヤラレていたという匿名のタレコミがあったのですが、 どなたか裏付け情報持ってらっしゃる方いらっしゃいませんか? タレコミ情報では、11:45 には対策されたと言うのですが……。
RedHat fix 方面は kawa さんち の方がくわしいのでそっち見てください。
いまさら気味ですが、 「コードは言論」——DVDハッカーに有利な裁定下る (WIRED NEWS)、 すばらしいっす。
「迷惑メール防止法案」を作成中です。インターネットユーザーの皆さんのご意見をお寄せください (民主党)、関心のある方はぜひ。 民主党にメールアドレス教えたくない人は、freemail ものとか使えばよいでしょう。
Welcome to the era of drive-by hacking (BBC)、ちゃんと IPSec とかで暗号化してないと痛い目にあうのでしょうね。 (from incidents.org)
Yahoo! BBのサポート混乱は社内連携ミスが原因---ヤフーに聞く (日経 IT Pro)、 いやはや、すごいですなあ。 日経 IT Pro ですらここまで書くとなると、 Yahoo!BB開通までの道のり〜放置プレイの後に快感はやってくるのか?〜 も本当なんだろうなあ。 (from connect24h:0761)
ソフトバンク・テクノロジーと日本ネットワークアソシエイツ ブロードバンドネットワークの運用支援ソリューションの共同開発、販売で提携 なんてのも出てるみたいですが、それ以前の部分をなんとかしナイト。
米ブロードコムのSSLアダプタがRed Hat LinuxにPnPで導入可能に,毎秒4000件を処理 (日経 IT Pro)、FreeBSD にも対応してください。 _o_
arp spoof 対策な話題から。時代はやっぱり VLAN なのね。 おねだんも今ではめちゃくちゃ高いというわけではなさそう。
確かに、google で スクリプトによる貼り付け を検索 すると、いろいろ出てきますね。 ほんとにこの機能を使っているなら、Netscape や Mac 版 IE では正常に機能しないはずなのですが、そういうサイトをつくっていらっしゃるのでしょうかねえ。
NHK の FAQ や mycom.co.jp の QandA からは、"「スクリプトによる貼り付け処理の許可」を有効に" が消えてますね。「Javaアプレットのスクリプト」もいらないと思うんだけど。 TAB CO−OP の記述はこりゃまたばっさり消えているなあ。
MS ISA Server が DoS 攻撃を受けるという話。
Windows Me, XP および「インターネット接続共有 (ICS) クライアント」を 別途 Windows 98/98SE にインストールしている場合に弱点。 これらに含まれる「ユニバーサルプラグアンドプレイ (UPnP) サービス」 に対して異常なリクエストを発行すると、OS のパフォーマンス低下や異常終了をきたすという。
patch が出ているので適用すればよい。 ただし Windows Me 用の patch は、米国では問題が発生し今日づけで一時削除されている。 MSKK のページ には Me 用 patch も掲載されているが、適用する場合はある種の覚悟が必要だろう。 98 / XP 用 patch は問題ないようだ。
CVE: CAN-2001-0721。
2001.11.19 追記:
Me 用新 patch が登場している。 MS01-054 参照。
IE 5.5 / 6 for Windows に弱点。悪意ある web page や HTML メール経由で、 任意の cookie の値を覗いたり変更したりできてしまう。 Minor IE vulnerability: about: URLs および Microsoft IE cookies readable via about: URLS の話ではないかと考えられる (危険なのは後者)。 手元の IE 6 on Windows 2000 SP2 で 後者 のデモ (URL じゃなくてドメイン名を入力する) を試したところ、見事に cookie が表示されてしまいましたとさ。あららん。 あ、デモで、cookie 取られると致命的なサイト (ex. amazon.co.jp) を試さないようにしましょうね。デモ作成者が悪いことするかしないかは不明ですぞ。
CVE: CAN-2001-0722。 高木さんによる [memo:1863] も参照されたい。
現状での対応としては、アクティブスクリプトを禁止する。 patch ができるまでは、IE 利用者は「こんなこともあろうかと〜」 インストールしているであろう Netscape 6.2 を使いましょう。 「代替手段の確保」は重要ですね。
……[memo:1865] [memo:1866] で回避方法が確認されてます。手元の IE 6 でもうまく動いているようなので、 about.reg (NT4 な人用 NT4_about.reg: 佐藤さんご提供ありがとうございます) として置いておきます。
アクティブスクリプトに対して「プロンプトを表示」にしておくとこんなダイアログが出るのだけど、 たまにメチャ危険で致命傷になりかねないのが問題なのだよなあ。
2001.11.13 追記:
日本語 Advisory: Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される (MS01-055)
2001.11.15 追記:
patch 登場。もともとの MS01-055 問題の他、 これとは異なる cookie 漏曳問題と、 MS01-051: 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう において「patch を適用しても残る問題」があわせて fix されている。 また、patch はアンインストールできない。
Outlook Express や Outlook に関する情報が追加されている (英語版)。 Outlook E-mail Security Update を適用している場合、および Outlook Express で「制限付きサイトゾーン」を利用するよう設定している場合には、 今回の弱点は影響しないという。
CVE も 2 つ追加された: CAN-2001-0723, CAN-2001-0724。
ただし、[memo:1881] をみる限り、about: プロトコルへの入力を変換するなどの根本的治療ではないようだ。about: プロトコルを制限付きサイトゾーンで動作するようにした人は、念のためそのまま続けておい方がいいだろう。 私も元に戻すつもりはない。
また [memo:1881] では、当初 high だった max risk が moderate に変更されていると指摘されている。 確かに、version 1.0 では high だったのに、version 2.0 では moderate になっている。 そもそも high というのが変という意見もある [memo:1883]。確かに、Microsoft Security Response Center Security Bulletin Severity Rating System には high というランキングはない。
ちょっと気になって gpg --verify で signature を確認してみたのだが、 version 1.0 の方は「不正な署名」と言われてしまう [memo:1882]。 どうもよくわからない。pgp 7 を使えばみんな ok になるんだろうか。
2001.11.19 追記:
もうひとつの cookie 問題が公開されている: the other IE cookie stealing bug (MS01-055)。
オリジナル問題の発見者が状況を公開している (from [memo:1898]):
2001-11-09 History of finding the Microsoft Internet Explorer cookie vulnerability
2001-11-15 Microsoft has released a fix for the Internet Explorer cookie vulnerability
2001.11.22 追記:
Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。 マイクロソフト、「ウソでした」 (CNET)、 「責任ある開示」とは? IEのセキュリティホールめぐり“遅れ”を認めたMicrosoft (ZDNet)。
2002.02.17 追記:
BUGTRAQ bugid 3513: Microsoft Internet Explorer Cookie Disclosure/Modification Vulnerability.
2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure に追記した。 日本語版 NT 4.0 TSE patch 登場。
Russ 氏の反応と、それへのフォロー記事も参照。 SSL な IIS サイトについてしか語ってない、とか言っても、SSL な IIS サイト (= それなりにセキュリティに気をつかっているはず) がいろいろとアレゲな事実は変化しないと思うけど。 The Netcraft Secure Server Survey: Jan. 2001 見ると、SSL なサイトって、総計でも高々 10 万台くらいしかないみたいだし。 SSL な IIS は top share なわけですし。
いよいよ「UNIX 用の anti-virus soft」も必須な時代がやってくるのでしょうか。 いやだなあ。
ネットワークの盗聴は可能か(1) (ZDNet)、最近は便利危険なツールがたくさんありますから、
簡単に盗聴できちゃうんですよねえ。
おぉっ、 アルジャジーラ日本で放送(共同通信社)!! オリジナル: 「アルジャジーラ」の試験放送開始について (SKY PerfecTV!)。 でもこれ、原語のままなんだろうか (T_T)。 (info from EVERYDAY PEOPLE)
http://www.apple.com/downloads/macosx/unix_apps_utilities/ に MacOS X 用のツールがいっぱいあるそうです。 (from macosx-jp ML)
JP281980: [Windowsのセキュリティ] を開こうとすると [Windowsタスクマネージャ] が開く、結局 [ユーザーの簡易切り替えを使用する] というヤツにムリがあるということなんだろうか。 やっぱ使ってみないとわからんなあ > XP。
「コードのDNA」を鑑定するウイルス検出ソフト(上) (WIRED NEWS)、 なんかめちゃめちゃアヤシゲなんですけど……。
来年4月から「朝刊紙」に 首都圏の産経新聞 (サンケイ)、「オピニオン性を特徴とする産経新聞」ですか。まあ、良くも悪くも「特徴」には違いない。
openfiles.exe や fsutil.exe いいですねえ。
2001.11.07 の 法務省アドレスの不審メール 不正中継DBに登録されていた法務省サーバ に追記した。 NetSecurity の続報、 関連報道と法務省からのおわび。
個人情報保護法案の成立見送りへ、政府・自民党 (毎日)、 来年の国会ですか。
User-Agentについてのたわごと、いやあ勉強になります。 (from [memo:1826])
SNARE - System iNtrusion Analysis & Reporting Environment というのがあるそうです。 IDS というよりは監査ツールの色彩が濃いのかな。 GUI つきなのはうれしいですね。 (from [memo:1816])
Linux & セキュリティ入門セミナ、 11/14, 11/16、神奈川県横浜市、¥15,000、昼食つきだそうです。
Ultimate FXP: tutorials、 単なる「本来あるべき」PASV の使いかたというだけのように見えます。 wu-ftpd の場合は、FIGHT_PASV_PORT_RACE を有効にしていると使えない手ですが。 (info from incidents.org)
株式会社シマンテック、 企業向けウイルス対策ソリューションの最新版 「Norton AntiVirus Enterprise Solution 4.6」を発売 、Windows XP 対応、TSE 対応あたりはうれしいな。特に後者。
[aml 24987] 情報2件、
「タリバンは協力を保証している。
しかし、米国からは何の返答もない
……(中略)……過去6年間、タリバンとそれに対抗する北部同盟は、予防接種の間休戦してきた
」。
「人道援助」という文字が 2001.09.11 以降、辞書から検閲削除されているのかな。
OpenSSH 3.0 出ました。Smartcard support や Rekeying support も入ってます。
ISO/IEC TR 13335-5:2001 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security が購入可能になったそうです (AIDO さん情報ありがとうございます)。 CHF はスイスフランだそうで、 1 CHF は 74 円くらいみたいです。
JP224420: [Windows 重要な更新の通知]機能について、 ふぅん、そういうふうに動くんだ。 (info from Win セキュリティ虎の穴)
MSKK さんが セキュリティ問題に関する常設の専門無料電話相談窓口を開設 だそうです。
改ざんされたサイトのOpenPort(TCP)ランキング(2001.10.01-31) (penetration technique research site )、Linux 多いなあ。 ところで、geocities 方面の例のアレはその後進展あったのでしょうか? > Yoshida さん。
セキュリティ・コンファレンス 2001 の セッション資料 が公開されています (info from kawa's memo)
Acrobat 4.0 Windows 版に含まれる Office マクロテンプレートに施された署名の有効期間が切れているという話。 「Solutions (解決方法)」として、Adobe は Office のセキュリティレベルを下げろと言っている。 それは解決方法じゃなくて対応方法 (Workaround) でしょうが。
ひこさかさん情報ありがとうございます。 Acrobat 5.0 ではまだ有効みたいでした。
URL 調べるのに苦労させていただきました > adobe。 なぜわざわざ隠す……。隠し体質な会社なのか……。 著作権保護の“聖戦”に燃えるAdobe,DEF CON逮捕劇もその一環 (ZDNet) とかいうのが出てくるのも体質なのか……。
2001.12.12 追記:
ひこさかさんからは「4.0 から upgrade した 5.0 だとダメダメ」との情報をいただいていました。そこへやってきた
Acrobat 5.0.5 アップデート。
「Acrobat 5.0.5をインストールすることで、バージョン5.0の電子署名に関する問題を修正できます
」
とある。これを適用すると ok のようです [memo:2290]。
ようやく重い腰を上げた模様。
迷惑メール撲滅に向けた新たな対策について (NTT ドコモ)
関連: あて先不明メールを大量に送れば強制削除 ドコモが対策 (asahi.com)、 ドコモ,迷惑メールに新対策──宛先不明メールのブロックも (ZDNet Mobile)。 8億通ってのはすごいなあ。
ntt-docomo.co.jp じゃないんだよね。 いつも間違えるんだよなあ。
OCNサービスにおける『迷惑メール』対策の実施について (NTT コミュニケーションズ)
関連: OCN,スパマー対策を強化 送信制限や法的措置も (ZDNet)、 NTTコム、スパムなどの「迷惑メール」対策を強化 (INTERNET Watch)。
「ズ」がついていたのか……はじめて気がついた。
JavaScript から file:// プロトコル経由で local computer 内部の画像ファイルにアクセスすることにより、remote computer はプログラムのインストール状況を確認できる、という話。 sys_snoop2.html の方は、手元ではうまく動かないみたいだけど。
匿名希望さん (ありがとうございます) から「あやしいメール」そのものをいただいているのですが、 「本文がない」「To: だらだら」という特徴、および Received: 行の内容から考えると、 「法務省のSMTPサーバを不正中継した詐称メール」や 「単純な法務省アドレスの詐称メール」という線は、私には考えにくいです。 「事故」なんでしょう、多分。
しかし、法務省ホームページ にはいまだに何の情報もありませんなあ。 当該メールが gate.moj.go.jp (= moj.go.jp) から来たのは間違いないのですけどねえ。 (法務省ホームページは http://www.moj.go.jp/ だったので、URL 修正)
関連: 法務省からメールアドレス流出 (slashdot.jp)、 [memo:1811] 法務省が open relay? 以下のスレッド。
NetSecurity の続報: web では告知なし法務省 不審メールは内部の事故の可能性大。 関連報道: 法務省が5000人にメールを誤送信 アドレス漏れる (asahi.com)。
匿名希望さん (またまた情報ありがとうございます) によると、法務省から釈明メールがきたそうです:
X-Lotus-FromDomain: MOJ@EXT Date: Thu, 8 Nov 2001 03:12:38 +0900 From: "MOJ WEBMASTER" <[email protected]> Subject: 法務省からのメール送信について(お詫び) 昨日は,複数のメールアドレスが表示されたメールが当省から送信されるという 事態を引き起こし,大変ご迷惑をおかけしました。誠に申し訳ございません。 当省では,昨日以降,原因を調査してきましたところ,現時点までの調査結果は 以下のとおりです。 当省では,現在,コンピュータ・システムの外部監査(外部からの侵入に対する システムの脆弱性の調査)を実施しておりますところ,その監査の実施過程におい て,プログラム内部について全くの部外者と同等の立場にある監査業者が,通常の 留意をして,複数のファイルにアクセスしたところ,それらのファイルが予期せぬ 作動をしたため,メーリングリストに登載されている複数のメールアドレスに対し ,同時にメールが送信され,複数のメールアドレスが同じメールの中に表示される という事態が生じたものとみられます。 なお,以後のセキュリティ確保のためもあって,調査結果のご報告はこの限度に ならざるを得ないことをお許し下さい。 当省では,今回の事態に至った要因については既に対策を講じております。また ,今後,二度とこのようなことが起こらないよう,セキュリティ対策に万全を講じ てまいりたいと思っております。 法務省
これはつまり、外部から侵入あるいは起動可能な穴があった、 ことを意味しているような気が。 そうなると、もっとうまく立ちまわっていたヤツがいたら、 もっとアレゲなこともできていた可能性も……。
この文章をそのまま web にも上げればいいのに。なぜしないかなあ。
「あらゆるソフトウェアの問題は原理的には修正可能であるためだ
」、
単にコーディングが bug っているなら簡単に (?!) 直せるのですが、
広く普及しているプロトコルや機能 (仕様) が bug っている場合はなかなかに難しいものがありますよね。
syn flood みたいに、原理的に完全には防げない攻撃とかあるわけで。
まあ、世の中には
[memo:1753] JScriptでクリップボード盗聴のセキュリティホール仕様
なんていう「仕様」もあったりするわけですが。
私自身は公開派なんですけどね。 だって、公開しなかったら彼らは弱点の存在そのものを隠すだけだもん。 マイクロソフトのセキュリティー対策は本気か (CNET) とか読んでも、ねえ。
「信頼されるプログラム」(= MSIE) をデータの送受信に利用することで、 任意のプログラムが personal firewall をくぐりぬけられるという話。 うまい手ですねえ。関心している場合じゃないんですが……。
Windows 用の著名な ftp サーバである WS_FTP Server 2.03 以前に弱点。 STAT コマンドが buffer overflow してしまうため、remote から local SYSTEM 権限を得られる。 2.04 で fix されているので入れかえる。
JWNTUG では、 Windows NT/2000 BOF 〜眠れない管理者と闘うプログラマのために 2〜 というのを InternetWeek 2001 の一環として 12月6日 18:00 〜 20:30 にやります。 BSDなひととき とか リチャードストールマンと話そう とおもいっきりカチあっているという最悪な状況なのですが、 今年はセキュリティねたでパネルをやることになりました。 現在ねた選定中。入場料 1000 円かかっちゃうのですが、 モトはとれるものにします。
セキュリティねたというと JPCERT/CC Seminar 2001 とか ブロードバンド時代のセキュリティを考える 〜Code Redの教訓〜 とか JNSAセキュリティセミナー in IW2001 とおもいっきりカチあうかもしれないのがアレゲなのですが、 あまり考えてもアレなので、やれることをやれるだけやろうと思ってます。
混沌の屋形船Direct:Mac OS Xの余韻さめやらぬままWindows XPを入れてみた (MacWIRE)、もちろん Windows のインターフェイス (の悪さ) は Apple が昔起こした UI 訴訟が今だに影響しているに違いないのである。 しかし、一言「UI と BGM 気にいらない」と言えばすむことを、 5 ページにもわたってダラダラ書くかふつう。
間山さんから (情報ありがとうございます)。
http://www.fx.sakura.ne.jp/~kikumaru/bbs/article/n/nandemo/204/geyxos/wpdziq.html#wpdziq からたどって見た時には XP は 80GB の HDD と一緒に買ったけど HDD は mac で使う(つまり明確なライセンス違反)と書いてありました。 ですが先程見たところ、その段はなくなっていました。 まずいことに気がついて消しちゃったのでしょうね。
OEM 製品は一緒に購入した貴社ハードウェアと共にのみ使用することが出来ます、 だそうです。 そのあとに続く投稿もなかなか興味深いものがあります。(^^)
MS vs 司法省和解ですが、 和解案はまるで「不思議の国のアリス」 とか [WSJ]和解案に欠陥——州政府は改訂を要求か を読む限り、和解というより MS 大勝利という方が正しそうですね。
米ハイテク各社の常識? 「テロの影響」への言及 (ZDNet)、ヤな時代ですねえ。
私がよく使うのは diff -urN ですねえ。
CITIBANK の左上にある「CitiWorld 登録・変更・利用」をクリックしてみましょう (事前に JavaScript を有効にする必要があります)。 有効期限切れてます。
世の中の銀行ってこういうものなのでしょうか。 匿名希望さん情報ありがとうございます。
「攻撃してくれ」と言わんばかりの目標だよねえ。
ブリッジ認証局CP/CPS、
ログは 3 年、アーカイブは 30 年保管かあ……。
「5.1.9 オフサイトバックアップ 規定しない
」、ほほう。
きっと「規定しない」と「実施しない」は意味が違うんだろうな。
後編出ました。手元の IE 6 では、11.Cookieのマニュアル管理(2):Cookieの自動フィルタリングをやめ、強制的に指定の処理を行わせる にある「ダイアログを表示する」でやってます。 以外なほど手間にならない、と認識しています。
Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow の話。どうも流行ってるらしいです。
各種 UNIX (*BSD, BSDi, HP-UX, AIX, *Linux, SCO, SGI, Solaris) の lpd にさまざまな弱点があるという話。 オリジナル: CERT Advisory CA-2001-30 Multiple Vulnerabilities in lpd 。 LAC 邦訳版。 patch があるので適用すればよい。
2001.11.05 の 警告:iTunes 2 Mac OS X 版インストーラがハードディスクを初期化 に追記した。 なんとなさけない失敗の原因。
HFNetChk なんですが、
なにげに XML ファイルをみてみると
Built for Microsoft by Shavlik TEchnologies, On the web at: www.shavlik.com
なんて書いてあるので http://www.shavlik.com/ につないでみたら、
HFNetChk Pro なんてものがあるんですね。
2001年最新 クラックされてしまった日本のサイト、株式会社アシストなんて出ててびっくりしたけど、 ビル・トッテン氏 でおなじみの アシスト (K.K.Ashisuto) とは別の会社ですね。
A.D.2001、 一般参加申し込み開始だそうです。 遠いのだよなあ…… (前回もそんなこと書いていたような……)。 悩ましい生八つ橋 (最近食べてない)。
1ch.tv 方針転換 (slashdot.jp)、さようなら。
Open Web Application Security Project なんてのがあるんですね。 (from 常時接続の宴)
英バーミンガムで車上爆弾 「真のIRA」か (CNN)、 「真」を殲滅すると次は「ネオ」が出てくるのだろうか。
snort 1.8.2 が出たそうです。
お、 O'Reilly から 「マスタリング IPsec」なんて本が。 先月にひきつづき金がないんですけど……。
携帯から「アムロ行きます!」は“ストロングバイ!”に認定? (ZDNet)、いやあ笑った。スゴい。スゴすぎる。買わないけど (笑)。
呼びだし音がつづくと「もっと速く反応してくれぇっ!」とか言わないのかな。
rxvt、
Changes: 2.6.3 to 2.6.4
に fixed a possible buffer overflow problem
という文字列が。
(from installer ML)
Nimda.E、get だぜ。 ウチにも来るくらいなので、それなりに流行ってるのかな。 New York Times“攻撃”,真犯人はNimda.E なんてのも出てましたね。 すでに anti-virus 各社は対応している筈なんですけど。
テストはこちら: Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する。
IE 5.1 for MacOS X の環境設定見てみましたが、そもそも「スクリプトによる貼り付け処理の許可」がありませんね。 で、テストしてもなんも出てきません。 きっと、この点についてはまともな実装になっているのだろうと思います > 石川さん。 もちろん JavaScript (つーか JScript か?) は IE for Mac でもちゃんと動きます。 動かないと Microsoft 自身が (!) 困ります。
一方、MSIE 6 for Windows で「スクリプトによる貼り付け処理の許可」を「ダイアログを表示する」としておくと、こんなダイアログが出てきて楽しいです。 また、ダイアログのデフォルト値は「いいえ」のようなのですが、 IntelliPoint のプロパティで「ポインタを自動的に規定のボタン上に移動する」を有効にしていると、なぜか「はい」にポインタが移動します。 楽しいですね。
CSS については、高木さんの クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策 を参照。 この Passport の件も、基本的には「2. クロスサイトスクリプティング脆弱性とは」 に書いてあることそのまんまみたいです。 Passport というシステム自身が否応なしに「cross-site」 せざるを得ないという点と、 いろんなレベルのサイトが同一の cookie ベース認証システムを使うとなると、 全体のセキュリティレベルは最悪のサイトのセキュリティレベルに依存するような気がするのがアレゲなような気がするのは気のせいでしょうか。 せめてアクティブスクリプト切れればいいと思うのですが、そうはいかないのがまたアレゲ。
ちょっと試してみたところ、<_img は対策されたように見えます。
関連記事:
MS『パスポート』に重大なセキュリティーホール (WIRED NEWS)
Passportのセキュリティホールで,“財布”の中身が丸見えに (ZDNet)
MSの『Passport』認証が破られる (CNET)
「これらは非常に洗練された手口だ。ハッカー・サイトからスクリプトをダウンロードして実行するだけ、というのとは違う
」、
だから何?
頭のいいヤツはマフィアやヤクザにもいるだろうしさ。
確かに、データベース屋は儲かるだろうなあ。 日本は「企業が消費者の個人情報を簡単に集めたり,使ったり」できる国ですが、にもかかわらず National ID も導入されます。 で、役所への届け出、大半はネットで 総務省が計画 と大穴あける予定です。よかったね。
なかなか興味深い内容です。 Cold Fusion、Solaris 版は日本語版もあるのか。 Linux 版にはないのね。
log アナライザ webalizer に cross-site scripting する弱点。 2.01-09 で fix されている。 RedHat fix。 FreeBSD ports も fix 入ってます。
そうか、広く使われているソフトなんだ。ふぅん。
なんか、やたら出てるし。
RHSA-2001:142-15] kernel 2.2 and 2.4: syncookie vulnerability
syncookie まわりで DoS 攻撃を受ける可能性に対する fix。 2001.05.24 の syn cache も参照。
[RHSA-2001:112-10] Printing exposes system files to reading.
(link fixed: 中山さん感謝)
ghostscript を lpd フィルタとして利用する場合 -dSAFER モードを使ったりすると思うが、 -dSAFER モードは
-dSAFER Disables the "deletefile" and "renamefile" opera- tors and the ability to open files in any mode other than read-only. This may be desirable for spoolers or other sensitive environments where a badly written or malicious PostScript program must be prevented from changing important files.
というものなので、悪意ある「read」リクエストには無力だという話。 これに対抗するため、 print spooling context では read もできないようにする修正がされたそうだ。 ちょっと前にも fix 出てたけど、
[UPDATE] : previous versions of this errata used packages:
rhs-printfilters-1.46-6,
rhs-printfilters-1.63-2.rh6.2,
rhs-printfilters-1.63-2.rh6.2j,
rhs-printfilters-1.81-2.rh7.0, and
rhs-printfilters-1.81-2.rh7.0j.
These caused spools to break upon upgrade, though they could easily be fixed
by editing the spools with printtool. The updated versions of the errata
packages address this bug.
だそうで。 参照: kawa さんち
[RHSA-2001:101-07] New ucd-snmp package to fix several security vulnerabilities
- /tmp race and setgroups() privilege problem
- Various buffer overflow and format string issues
- One signedness problem in ASN handling
というわけで remote から root 取られる bug が fix されているそうです。
[RHSA-2001:102-10] New teTeX packages available
fixing a temporary file handling
vulnerability and an insecure invocation of dvips in a print filter
だそうです。
[RHSA-2001:147-07] remote exploit possible in lpd
The lpd printing daemon possess a flaw in the displayq code which makes a
remote buffer overflow attack possible
だそうです。
Wizard なんてご立派な名前をつけるのがよくないですよねえ。 Novice とか Bogus とかだったらみんな「こりゃぁ自分で面倒見にゃかんわ (Nagoya dialect)」と思うだろうに。
iTunes のページ にはこんなふうに書いてありますね:
Apple has identified an installer issue with iTunes 2.0 for Mac OS X that affects a limited number of systems running Mac OS X with multiple volumes (drives or partitions) mounted. For those systems, running the iTunes 2.0 installer can result in loss of user data. While this error is highly unlikely to affect most users, Apple strongly advises that anyone who has downloaded the 2.0 version of iTunes for Mac OS X, as well as anyone who has a beta version of iTunes 2.0 for Mac OS X, immediately remove the iTunes.pkg installer file from their system. A new version that corrects this issue, iTunes 2.0.1 for Mac OS X, is now available from this page. Users who have already installed iTunes 2.0 without incident do not need to reinstall iTunes 2.0.1, but they should still immediately remove the 2.0 installer file from their system. This issue does not affect users of iTunes 2.0 for Mac OS 9.
While this error is highly unlikely to affect most users
ってアンタ、そんなの言いわけにならんっしょ。
こういう致命的なバグを開発元自ら出しているようでは、
まだまだ MacOS X は勧められないよなあ。
石川さんちにもっと詳しい記事あります。
iTunes 2.0 for Mac OS Xインストールパッケージ使用によるデータ消失の可能性 によると、原因はなんとシェル変数のぞんざいな参照であるという。 ふつう "" で囲むでしょうが……。だめすぎ。
Unix バックアップ & リカバリ (2 章すげぇいいっす) にも出てましたけど、off-site backup 重要ですよねえ。 いつ「ならず者国家」 (ワシのマークとの説あり) が爆弾の雨を降らすかわかりませんし。
UNIX 本 や システム & ネットワーク管理本、 セキュリティ本 の欄に Unix バックアップ & リカバリが並んでないのは不適切だと思います > O'Reilly。
[aml 24882] 非人道的兵器クラスター爆弾、 [aml 24903] [情報]今度は環境兵器か!?、 [aml 24920] [情報]クラスター爆弾と対人地雷禁止条約。 U.S. は対人地雷バンザイ国家だしなあ。 関連: 同じ黄色の食糧と爆弾間違えないで 米軍、ラジオで警告、 米軍、投下食糧パックの色を「青」に変更 爆弾混同問題 (asahi.com)。
元麻布春男の週刊PCホットライン
Windows XPのアクティベーションを検証
(PC Watach)、
「すなわちケースこそMicrosoftが定義する「1台のPC」の実態なのだろうか
」。うーむ……。
(tag fixed: 山崎さん情報ありがとうございます)
VGAデジカメの次世代スタンダード? 「Che-ez! SPYZ」 (PC Watch)、常に携帯してメモがわりに使うはずなので、屋内撮影で苦労するようでは困るなあ。
Webアプリケーション開発者向け緊急臨時セミナー eビジネス時代のセキュリティ セミナー、11/26 東京国際フォーラム 1,500円。安い、かな?
東京ばっかであれだよなあという気もするのですが、一方で、たとえば 3rd JWNTUG Open Talk の東京と大阪の応募者の差を見ると、えらい人を大阪までお呼びしても人が集らないかなあと思ったり。
国防長官「太平洋戦争で日本への空爆は3年半だった」 (CNN)、 塔載量も命中精度もぜんぜん違うだろが。
Windows XP: Kernel Improvements Create a More Robust, Powerful, and Scalable OS (MSDN)、わかるとこだけ拾い読みしても十分おもしろかった。 アプリの対応がひとだんらくしたあたり (2 月くらい?) で 2000 Pro. から XP に乗りかえかなあ。 (info from JWNTUG OpenForum)
セキュリティ方面では、たとえば Re: セキュリティ・タブについて あたりは要注意っぽいです。
Kondara MNU/Linux 2.1 beta1 が出てます。
Exchange 5.5 と Exchange 2000 に対応してます。
ウィルスバスター 2002 のパーソナルファイアウォール機能は、デフォルト値がキツめになっているのかしらん?
「同封されています「初めてのパーソナルファイアウォール」に簡単な設定等が載っていますので一度お読みくださりますようお願いいたします
」
だそうです。
……うわ、最新のソリューション-全製品 に山のような 2002 関連ドキュメントが。 とても紹介しきれん。
「敵にできないなら味方にしてしまえ」? なぜか link がありませんが、「プライバシー財団」は http://www.privacyfoundation.org/ です。 Richard Smith's Tipsheet というページもあります。
MS Security Advisor memo と Windows NT/2000 セキュリティ対応状況 をすこし直しました。 橋本さん、松井さん情報ありがとうございます。
MS01-038 patch への link を追加
MS01-011, MS01-024 patch への link を修正 (MS01-036 に含まれる)
MS01-037 の patch への link を修正
[email protected] さん、Name service error for itscad.com: Host not found でコントロールメッセージを返せません。 DNS まわりをなんとかしてください。
元麻布春男の週刊PCホットライン: Windows XP OEM版の抱える問題点 (PC Watch)、 今では FDD やバルクメモリにバンドルされて売られてるんですか……。 いやはや。
聴覚障害者専用の119番緊急メール通報システム (毎日)、 こういうのはもっとどんどんできてほしいですねえ。
手元でも IIS LockDown とか URLScan とかで遊んでみないといかんなあ。
No と言える東京? しかしよくよく読むと、「消費者が拒絶の意思表示をしても……」が条件で「事業者からの 1 回目の勧誘は不適正とすることはできない」んだそうだ。 spam の多くは拒絶の意思表示すら拒絶される (ex. from にうそんこ書いてあるから reply できないよ) のだが、 その点は理解されているんだろうか。 「dial-up 先を Q2 へ変更」モノも対象から外す旨が明記されてますね。
2001.11.15 までご意見募集しているようなので、feedback はお早めに。
そういえば、広告屋さんが 許諾付きダイレクトメールは効果大なんて言ってるらしいですね。 眉にツバを 50t?
なんじゃこりゃ。こういうことを言っているから呆れられるのに……。
しかし,Linuxには目に見えないコストがあると,Microsoftは主張している。「一見Linuxは低コストのように見え,多くの顧客がそれに引きつけられているように思う。そういった顧客はLinuxの真の問題を理解しておらず,結局,長期的にかなりのコストを支払うことになるのだ」と,MicrosoftのWindows部門で競争戦略ディレクターを務めるDoug Miller氏は語る。
Linuxを導入すると,顧客はソフトアップデートやセキュリティを管理したり,複数のソフトが競合しないようにするなど,「自分でOSの面倒を見なければならなくなる」とMiller氏。「そういった仕事は,Microsoftのようなソフトベンダーがやることだ」
このテのジョークはジョークにならないってことがわからないのか。
顧客が「ソフトアップデートやセキュリティを管理
」する必要があるのは
Microsoft 製品だって同じだ。
それを怠った組織 (Microsoft 自身を含む!) が
CodeRed や Nimda やその他大勢の
worm/virus にヤラレているのを何だと思っているのか。
ふつうの UNIX / Linux では
「複数のソフトが競合しないようにする
」必要なんてない。
そーゆーことにものすごく気をつかう必要があるのは、
Doug Miller さん、あなたの会社の
OS 自身だってことをご存知か?
ふつうの OS では、DLL HELL
なんてことは起こらないの。最初から。
なぜ IISは捨てなさい——Gartnerが企業に警告 とか Gartner Column:第20回 マイクロソフトのセキュリティに対する考え方は根本的に間違っていないか? なんて意見が発生しているのかをきちんと認識できていれば、こういう発言はされないはずなのだが。それともこれは、 3rd JWNTUG Open Talk 用のネタ提供のつもりなのか? (それはないだろうが……)
ところで、DLL Hell の終焉 の 将来の方向性 で延べられている事項って、Windows XP では実現されているんでしょうか?
IPA の Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 って、10/29 に「Web サーバーシステムインテグレーター向けの技術情報」が大幅追記されていたんですね。知りませんでした。
これで世の中もようやく少しは動きますかねえ。
「我が国の憲法では、行政機関が適正な手段を執行するのは当然のことだ
」
という座長は
「茂串俊・元内閣法制局長官」。
反論になってないよ。
しょせん「ヤク人の論理」にすぎないことに気がついているのかいないのか。
話の流れからすると、「住民基本台帳ネットワークシステム」は、 やっぱりクラック・悪用されることが前提なのでしょうね。
FreeBSD の ipfw 変更予告。
ふと読んでみて気がついた点:
Digest authentication is not supported in this release
。
まだみたい。
File URLs will not be read if they are inside a network based (HTTP) document. To disable this feature, add the following pref (instructions here):
user_pref("security.checkloadURI", false);
non-local (Internet にある) として扱うオプションがほしいような気が。既にあるのかなあ。
Netscape may not be able to connect to some secure (https) IBM Web servers. This is a problem with the servers' software, not with Netscape .
「IBM Web servers' software」の fix ってあるんだろうか。
Port restrictions. For security reasons, Netscape does not allow connections to certain ports. To override this on a per-port basis, add a comma-separated list of ports to default/all.js (in your Netscape installation directory). For example, to unblock ports 1, 3, and 7, use the following line:
pref("network.security.ports.banned.override", "1,3,7");
Note that this cannot be done on a per profile basis - it must be done for the entire Netscape installation.
手元の mozilla 0.9.4 では defaults/pref/all.js で pref("network.security.ports.banned", "1,2,3,4,5"); となっているなあ。 もっといろいろ追加してもいいような気がする。
ダウンロード等は Netscape 6.2 の概要 から。概要ページからリリースノートへたどりつけないのはなんとかしてほしいなあ。
なお Sun Microsystems, Inc. Security Bulletin 00208: Swing の件だが、Netscape 6.2 for Windows を Windows 2000 にインストールしてみたところ、java -version の出力は こうなった:
java version "1.3.1" Java(TM) 2 Runtime Environment, Standard Edition (build 1.3.1-b24) Java HotSpot(TM) Client VM (build 1.3.1-b24, mixed mode)