セキュリティホール memo - 2001.11

Last modified: Tue Apr 15 13:02:36 2003 +0900 (JST)


2001.11.30

デジタル著作権法反対派に痛烈な2判決
(WIRED NEWS, 2001年11月29日 9:00am PST)

 業界擁護で go ということですかねえ。景気は下向きだしテロテロだし。 兵器メーカはウハウハだろうけど。

CERT Incident Note IN-2001-14: W32/BadTrans ワーム
(reasoning.org, 2001年11月28日)

 あいかわらず来てますしねえ。.ne.jp なアドレスが多いなあ。

追記

 2001.11.29 の *ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability に追記した。CERT Advisory 登場。オフィシャル fix への link も記載されています。


2001.11.29

HFNetChk 用日本語 OS 対応 XML ファイル (stksecure.xml)
(3rd JWNTUG Open Talk in MSC 大阪, 2001.11.28)

 まだ正式には何も書かれていませんが、どうやら -nosum をつけなくても ok な模様です。Windows 2000 SP2 / Windows NT 4.0 SP6a + SRP 日本語版で確認しました。 stksecure.exe の更新状況については、これまたアンテナで見れるようにしておきました。

2001.11.30 追記:

 ちなみに、今 get できる stksecure.exe に入っている stksecure.xml には

<?xml version="1.0" encoding="Shift_JIS"?>
<BulletinDatastore DataVersion="1.0.1.165" LastDataUpdate="11/14/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory=".164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">

とか書いてあります。mssecure.xml (英語版) の方はこうです:

<?xml version="1.0"?>
<BulletinDatastore DataVersion="1.0.1.167" LastDataUpdate="11/20/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory="167 includes data for 01-056 .165 includes data for 01-055 for all IE versions. .164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">

インターネット・エクスプローラーのバグを利用したローカルファイルの盗用
(netsecurity, 2001.11.29)

 Internet Explorer allows reading of local files by remote webpages の話。今度は BASE64 encode ですか。対策は ActiveX の停止だそうだ。

Cisco Security Advisory: A Vulnerability in IOS Firewall Feature Set
(CISCO, 2001 November 28 08:00 (UTC -0800))

 IOS version 11.2P 以降で利用できる Cisco IOS Firewall Feature Set に弱点。 ip inspect を利用している場合に、packet の src/dest IP address/port は check するのだけど、IP protocol type を check していない。 問題となる IOS version と fix については上記 link 参照。

 Vulnerability Note VU#362483: Cisco IOS Firewall Feature Set fails to check IP protocol type thereby allowing packets to bypass dynamic access control lists (CERT/CC)

*ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability
(bugtraq, Thu, 29 Nov 2001 02:05:28 +0900)

 [RHSA-2001:157-06] Updated wu-ftpd packages are available の話、詳細情報が開示されました。というか、 Linuxサーバに「深刻な」セキュリティホール——早期の情報公開で各社混乱 (ZDNet) などからすると、RedHat が先走ったためにしかたなく開示された模様。

2001.11.30 追記:

 CERT Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD (CERT/CC)。 CA-2001-33 reasoning.org 邦訳版。 オフィシャル fix への link も記載されています。 (reasoning.org さん link ミスってます、2001-32 に向いてます)

 また、wu-ftpd-2.6.[01] に関するメモでは wu-ftpd-2.6.1.fix3.patch が登場している。

Microsoft SQL Server を狙ったワームに関する情報
(PASSJ, Wed, 28 Nov 2001 20:31:03 +0900)

 Microsoft オフィシャル情報登場。他のもまとめておきます:

セキュリティー製品に政府用の「裏口」?(上)
(WIRED NEWS, 2001年11月27日 8:25am PST)

 FBI,トロイの木馬を使った電子傍受ツール「Magic Lantern」を開発 (ZDNet) の話。やはり、こういう話が出てくるわけですね。 FBIウィルスはアンチウィルスにひっかからない?! (slashdot.jp) から参照されているモノでは NAI ではなく Symantec が、ということになっている。 まあ「米国製 anti-virus メーカ」ということなのでしょう。 US soft の backdoor については EU は神経とがらせているはずですが、 一方の EU だってそのテのことをやっているかもしれず。

 というわけで、ロシア製や韓国製などもおりまぜて cross check するのがよろしいかと。って、そんなにたくさんは入れられないしねえ。 anti-virus software そのものに backdoor が装備されている可能性だってあるわけで。

solution 3359: E-MAIL:WORM_BADTRANS.Bが発見されない
([memo:2033], Thu, 29 Nov 2001 13:45:36 +0900)

 Badtrans.B も MIME 的に壊れた状態で届くことがあるらしい。 それは InterScan VirusWall を通過してしまう。 「この添付ファイルのエンコード情報はMUA(メーラー)側でも正常にデコードされない」 って書いてあるけど、どのような MUA で確認したんだろう。

ウイルスバスター2001をお使いのお客さまへ 「WORM_ALIZ.A(またはTROJ_WORM_ALIZ.A」)が添付されている メールを受信する際にタイムアウトを起こす
(トレンドマイクロ, 2001.11.28)

 ウイルスバスター 2001 の「メール検索機能」を有効にしていると、 Aliz.A 受信時にタイムアウトしてしまう模様。 ウイルスバスター 2002 では発生しない。「サポート期間内であればアップグレードは無償」だそうだ。 2002 にできない場合は、 一旦メール検索機能を無効として受信して回避し、受信後ふたたび有効にする。

 Aliz さんはちょっと壊れ気味なようで、 いろいろとトラブルを誘発してくれているようです。 robust なプログラムはちゃんと耐えられているようなのですが。

qmail-scanner が Aliz を見落とす
(memo ML, Wed, 28 Nov 2001 19:25:04 +0900)

 qmail-scanner で Aliz.A ウィルスを見落とすことがあった模様。 Sophos/sweep には罪はなく [memo:2031]maildrop-1.3.6 で fix されている [memo:2032] そうです。

 memo ML web archive の thread 画面、なんかちょっと変だな。

現在、以下の製品でW32.Aliz.Worm及びW32.Badtrans.B@mmの検知/駆除において問題が確認されております
(Scan Daily Express, Vol.101 01/11/28)

 対象は Norton AntiVirus for Gateways 2.[125].x NT/Solaris と Norton AntiVirus for Firewalls 1.x。詳細不明。 実際に利用しているところでは身をもって理解できているのかな。 あいかわず Badtrans.B はバシバシきてますしねえ。

 ……Aliz.A / Badtrans.B 共にNorton AntiVirus for Gateways 2.5.1.16 / for Firewalls 1.5.0.69 で対応されたそうです ([memo:2034])。 それにしても、こういう重要な情報が top page に掲載されないというのはどういう神経なのだろう。

 「Badtrans.B」ウイルスが猛威,生かされないNimdaの教訓 (日経 IT Pro) なんて記事も出てますね。

2001.12.04 追記:

 続報: [memo:2112]。 2重エンコードだそうです。 [memo:2096]、Symantec はセキュリティ update に金を取る会社な模様です。

 そういえば、Symantec だけじゃなく NAI Webshield SMTP for WinNT MIME header vuln that allows BadTrans to pass (と フォロー1フォロー2) なんて記事も出てますね。


2001.11.28

[RHSA-2001:157-06] Updated wu-ftpd packages are available
(bugtraq, Wed, 28 Nov 2001 08:37:00 +0900)

 Vendors For WU-FTPD Please Read の件か? An overflowable buffer exists in earlier versions of wu-ftpd. An attacker could gain access to the machine by sending malicious commands だそうだ。

 freebsd-security ML にこがさんが RedHat patch を投稿されていらっしゃいます。 wu-ftpd 2.6.1 に適用すると for (pe = ++p; *pe; pe++)for (pe = ++p; *pe; pe++) { にするところだけ reject されますが、 これは execbrc() への変更です。こんなかんじ:

--- glob.c.orig Fri Jan 19 14:06:31 2001
+++ glob.c      Wed Nov 28 12:57:38 2001
@@ -298,7 +298,7 @@
 
     for (lm = restbuf; *p != '{'; *lm++ = *p++)
        continue;
-    for (pe = ++p; *pe; pe++)
+    for (pe = ++p; *pe; pe++) {
        switch (*pe) {
 
        case '{':

 ftpd ML には wu-ftpd 2.6.1 にそのまま適用できる patch も (これまたこがさんから) 投稿されています。 wu-ftpd-2.6.[01] に関するメモ にはまだ掲載されていないみたい。


2001.11.27

「日経Windowsプロ」新装刊記念読者限定セミナー資料: セキュリティポリシーの機能と効用
(+SEC, 2001.11.27)

 ポリシー重要なんですけど、………手元の組織では (以下略)。

セミナーレポート: Webアプリケーション開発者向け緊急セミナー eビジネス時代のセキュリティ
(+SEC, 2001.11.27)

 高木さんのセミナー資料はこちら

 たとえば関西方面に高木さんをお呼びしてセミナー開いていただけたら、人集まりますかねえ。高木さんに限らず、有名人をお呼びすること自体はそれほど難しくないと思うのですけど、問題は、人が集まらないってことなんですよねえ。 という話を先日も office さん / たりきさんとしていたのでした。

追記

 2001.10.12 の シマンテックのツールにセキュリティーホール に追記した。日本語版の LiveUpdate 1.63.12 が配布されています。

IW2001 ニュース: メール送信についてお詫びとお願い (2001.11.26)
(IW2001登録事務局, Mon, 26 Nov 2001 18:27:50 +0900)

 なんか、続きますねえ。だいじょうぶなのか > JPNIC。 (あまり人のことが言えないモード)

IRIX 3 題
(SGI)

 まあ、そーゆー OS ということで。

TurboLinux security center: sh-utils: su コマンドにPAMを使用するように修正
(TurboLinux, 2001.11.26)

 おぉ。 FreeBSD の su は PAM 見てなさそうっぽいので、これ欲しいかも。 って他の Linux distrib. では既に実装されてたりするんだろうか。 …… HEAD ブランチの su は PAM 見てるみたい。

30 states sign the Convention on Cybercrime at the opening ceremony
(INTERNET Watch, 2001.11.27)

 Albania, Armenia, Austria, Belgium, Bulgaria, Croatia, Cyprus, Estonia, Finland, France, Germany, Greece, Hungary, Italy, Moldova, the Netherlands, Norway, Poland, Portugal, Romania, Spain, Sweden, Switzerland, "the Former Yugoslav Republic of Macedonia", Ukraine and the United Kingdom. Canada, Japan, South Africa and the United States が署名した模様。

 あ、IIS 4.0 ですか > press.coe.int。


2001.11.26

JWNTUG Newsletter Vol.6/No.035 - 2001.11.22: Outlook Express ハングアップ: よくある質問とその回答
(俺, 2001.11.26)

 [memo:1912] の Outlook Express ハングアップ問題を JWNTUG Newsletter にそのまま載せてしまったために DoS 攻撃になってしまった件 (T_T) の FAQ。 (お詫びと訂正 _o_)。 マズい mail の削除方法とかもあります。

 どうやら、Outlook Express のバージョンではなく Internet Explorer のバージョン (5.5 / 6) が問題な模様。

SQL Server Security Checklist
(NTBUGTRAQ, Sat, 24 Nov 2001 03:49:35 +0900)

 SQL Worm ネタ。 やられる前に check しましょう。 関連: SQL Serverを狙うハイブリット型DDoSワーム (ZDNet)

特定の画像ファイルで Netscape がクラッシュ
(NetSecurity, 2001.11.22)

 [memo:1955] 特定のPNGでNetscape6.2がクラッシュ の話。QuickTime plug-in を使って png を処理する状態 だと回避できるようです。 って UNIX 版だと無理のような。

ウェブアプリケーション用セッションIDの総当たり攻撃
(NetSecurity, 2001.11.22)

 brute-force attack でセッション ID を get できるという話。 弱々なものが多いのだそうです。 TCP/IP の教訓って生かされてないのね。歴史は繰り返す?

 iDEFENCE.co.jp さん、日本語版出してくれないかなあ。

2002.03.26 追記:

 翻訳版が出たのはいいけど、なんと売りもの: 「セッションIDの脆弱性」についての解説資料を販売開始 (netsecurity.ne.jp)。

Overview of security vulnerabilities in Apache httpd 1.3
([memo:2010], Sat, 24 Nov 2001 00:36:21 +0900)

 apache 1.3.x でのセキュリティ問題の概要。 SecurityFocus vuln. database (+ これ) と見比べてみるのも一興かと。


2001.11.22

SecurityFocus.com Newsletter #119 2001-11-12->2001-11-16
(BUGTRAQ-JP, Tue, 20 Nov 2001 23:28:47 +0900)

 SecurityFocus.com Newsletter 第 119 号日本語版 (テキスト, 英語版)。

マイクロソフトSQLサーバーを狙ったワームが蔓延中(2001.11.22)
(NetSecurity, 2001.11.22)

 「システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない」って……。いやはや。

[memo:1912] Re: MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection
(memo ML, Tue, 20 Nov 2001 21:40:12 +0900)

 Outlook Express 5.x/6 に <" http://www.testtest.co.jp/ "@www.testtest.co.jp> と書いたメールを送ると、これをプレビューしたときにハングしてしまう。 さらにハングったままメモリリークするようで、ほっておくとどんどんメモリを食いつづける。 3 月に MS に知らせたがなしのつぶての模様。 http: の他、file: や ftp: などでも同様の模様 [memo:1921]

追記

 2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。

[ALERT] Remote File Execution By Web or Mail: Internet Explorer
(vuln-dev, Thu, 22 Nov 2001 04:12:00 +0900)

 フォローにもあるが、こんな内容で何を判断・検証せぇと言うのだ。 どうしようもないぞ。

 謎と言えば、Vendors For WU-FTPD Please Read も謎ですね。どうせ ProFTPD に移行しようと思ってたので作業開始してますが。

CERT Summary CS-2001-04
(CERT/CC, 2001.11.20)

 Nimda, SSH1 CRC-32, MS DNS の cache 汚染, DoS 攻撃の動向, UNIX Security Checklist v 2.0 (かわぐちさんの邦訳版)。 かわぐちさんにはげましの feedback をおくろう。

CERT Advisory 2001-32: HP-UXのラインプリンタデーモンにディレクトリトラバーサルの脆弱性が存在する
(CERT 勧告 勝手に迅速和訳プロジェクト, 2001.11.22)

 HP-UX 10.x, 11.x の rlpdaemon (ふつうの UNIX で言う lpd) に弱点。特殊な印刷要求を出すことによって、 remote から rlpdaemon 動作権限 (= root) で任意のファイルに書き込めるため、 結果として root 権限を奪取できる。 rlpdaemon はデフォルトで起動しているのだそうだ。

 対応としては、patch を適用する。 rlpdaemon を利用していないなら、止めてしまってよい。

 CERT オリジナルLAC 邦訳版CIAC M-021

2001.12.18 追記:

 詳細: HP-UX setuid rlpdaemon induced to make illicit file writes。 なぜか「バッファオーバーフロー」として紹介していたので記述を修正。


2001.11.21


2001.11.20

Q311444: Creator/Owner Rights Are Removed by Policy Editor
(bugtraq, Thu, 15 Nov 2001 03:34:11 +0900)

 状況依存で Policy Editor あるいは Security Template Editor snap-in を利用した権限設定がリセットされてしまうそうです。

Q302662: Password Rest Success or Failure Is Not Audited
(bugtraq, Thu, 15 Nov 2001 03:34:11 +0900)

 パスワードリセット時、監査を設定していても成功/失敗にかかわらず監査イベントが発生しない、という話の模様。SP3 で fix ですって。

Cross Site Scripting Vulnerabilities
(bugtraq, Sat, 17 Nov 2001 11:05:53 +0900)

 ""><script>alert(document.cookie)</script>" というちょっとヒネった方法を使うとあらまあ不思議、Cross Site Scripting がゾロゾロという話 (かな)。 解決策としては ", >, <, ' をフィルタ / quote するべしとされている。 高木さんの調査で green だったところでも、こちらでは red かも。

[connect24h:1071] Re: サイバー犯罪条約締結へ  欧州評議会、日本も署名予定
(connect24h ML, Fri, 16 Nov 2001 06:35:40 +0900)

 サイバー犯罪条約 (夏井氏による 仮訳 ) に関する崎山さんのコメント。

Windows XP Homeにパスワードなしの隠れた管理者ユーザー,悪用が容易なので設定が必要
(日経 IT Pro, 2001.11.19)

 これが「secure by default」などと叫ぶ会社のやることか? なんのつもりなのだいったい……。

Vulnerability Note VU#279763: RhinoSoft Serv-U remote administration client transmits password in plaintext
(CERT/CC, 19-Nov-2001)

 FTP Serv-U 3.0 に弱点。 管理クライアントから FTP Serv-U に接続するときに S/Key One-Time Password を使うように設定している場合に、管理クライアントが FTP Serv-U からの S/Key challenge を無視してパスフレーズをそのまま平文でネットワークに流してしまうのだそうで。 fix はまだないそうで。

解説●ほとんどのECサイトに セキュリティ上の問題あり(上)
(日経 IT Pro, 2001.11.16)

 (下) はこちら。 そういえば、セキュリティ・コンファレンス 2001 での高木さんの セッション資料 (ただし空白ページ多数) も公開されてます。 あと、[memo:1904] メールマガジンのセキュリティ (Re: 虚偽の個人情報保護方針) もダメダメ web アプリという意味では同じですね。

 そこらじゅうでアレゲであることは間違いないようです。

Security How-To 第7回:パスワードクラッキングの現実性
(ZDNet Security How-To, 2001.11.16)

 パスワード管理ツールを使うのはいいけど、 パスワード管理ツール自体の安全性は誰が保証してくれるのだろう。 詳細不明な「パスワード管理ツール」を使うくらいなら、 plain text に書いた上で、 GnuPG のような open かつ広く利用されている暗号化ツールで暗号化した方がいいような気が。 運用はちょっと手間だけどね。

 あ、Project Ägypten なんてできてるし。

公開セキュリティ競技でユーザーの裾野を広げたい
(日経 IT Pro, 2001/11/20)

 セキュリティ・スタジアム 2001 な記事。 読み読み……。ふむん。 そういう意味では「3 分でできる IE / Outlook Express のセキュアな設定講座」みたいなプレゼンがあってもよかったのかな。

 セキュリティ・スタジアムは楽しいイベントでしたし、来年もあるといいね。 (と、あたりさわりのない言い方をしておくテスト)


2001.11.19

虚偽の個人情報保護方針
(memo ML)

 ネタ box に入りっぱなしになっていた……。もう 1 か月以上前なんですが。 うだうだ説明するよりも読んで頂いた方が早いので:

 Sun のやつだけ今見てみましたが、変ってませんね……。 サンのオンラインプライバシーに関するポリシー にある「ただし、法的に必要な場合を除きます」に該当するとは考えられないしなあ。[email protected] に mail すると、何か反応あるんだろうか。

from kawa's memo: Linux 関連
(kawa's memo)

 あーらくらく。

 このページもはいぱ〜日記システムに移行しようかなあ。 こういうの とか強力そうですしねえ。 いまいち見え方が気に入らないんだけど……。 CSS とかでカスタマイズできるのかなあ。

tool 3 本
(pen-test ML)

 ツール 3 本。

『全米インフラストラクチャー保護センター』が「無能」な理由
([memo:1903], Mon, 19 Nov 2001 19:30:20 +0900)

 いやあ、こんなおもしろい話があったとは。全く見逃してました。

 そして日本には、まだ NIPC に類する組織すらないという事実を考えると……。 何かができたとして、その成果を上げはじめるまでに何年かかるやら。 役所がどこも伏魔殿であることは日米を問わないだろうし。

RunAs ネタ
(bugtraq)

 RunAs ネタ 3 本です。

 MS サンは RE:Radix Research Reports RADIX1112200101, RADIX1112200102, and RADIX1112200103

  1. RADIX1112200101 を実行するには Administrator 権限が必要だから、 そもそもそこに至ってはなんでもありだよね、だそうで。

  2. RADIX1112200102 も、MS さんは Administrator 権限でしか再現できなかった模様。問題発見者は sample code は提供しなかった模様。

  3. RADIX1112200103 は RunAs サービスそれ自身のみへの local machine からの DoS 攻撃を示しているだけで、それ以外への影響はないから極めて限定された効果しかない、としている。

 なので、確かに直さなくちゃいけないのだけどそれは簡単ではないし、 Windows 2000 SP3 での fix とあいなったそうな。

Cisco Security Advisory: Cisco IOS ARP Table Overwrite Vulnerability
(CERT/CC VN #399355, 15-Nov-2001)

 ルータ自身の local broadcast interface 宛、あるいはグローバル NAT エントリー宛の ARP リクエスト/リプライを送る。 すると、Cisco IOS はその ARP リクエストに書かれた偽の MAC アドレスを、 そのままルータ自身の ARP テーブルに書き込んでしまう。 このため、この ARP エントリが破棄されるまでルータは DoS 状態に陥る。 対象となる機器・IOS/CatOS バージョンは多岐にわたるので上記 URL を参照のこと。

Secure BIND Template Version 3.1
(CIAC, 11/14/2001)

 acl "bogon" がちょっとふつうでないあたり注目? class A ってほんとにこういうふうなの? ほんとなら「オラオラァッ! アドレスいっぱい空いてんじゃ〜ん。とっとと固定アドレスよこしなっ!」って感じするんだけど。

追記

 2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 もうひとつの cookie 問題の公開、 オリジナル問題の発見者による状況公開。

[Apache-Users 701] apacheの実行ユーザーとポート番号について
(Apache-Users ML, Thu Nov 15 15:43:00 2001)

 UNIX では予約済みポート (reserved ports; 0〜1023) という概念があり、 これらは root 権限がないと扱えないが、 NT 4.0 TSE 環境では誰でも何の問題もなく扱えてしまうねという話。 TSE 環境のように「ふつうマルチユーザ」だと、この仕様は困りますね。

追記

 2001.11.13 の CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する に追記した。 関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する

追記

 2001.11.09 の MS01-054: 無効なユニバーサルプラグアンドプレイのリクエストがシステムのオペレーションを妨害する に追記した。 Me 用新 patch 登場 (麗美さん感謝)。

[memo:1890] Re: MS01-055のパッチ
(memo ML, Fri, 16 Nov 2001 10:50:25 +0900)

 MS01-055 patch を適用すると、HTTP_USER_AGENT に Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461) なんて感じで patch 情報が流出してしまうという話。 IE 5.5 SP2 だと Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; T312461) となる [memo:1891]

 これは HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform にあるレジストリ値が反映されたもの [memo:1892] で、Post Platform のかわりに Pre Platform に値を入れると Mozilla/4.0 (compatible; MSIE 6.0; FooBarBaz; Windows NT 5.0) なんてこともできるそうだ [memo:1894]

NSFOCUS SA2001-07 : ActivePerl PerlIS.dll Remote Buffer Overflow Vulnerability
(bugtraq, Thu, 15 Nov 2001 12:39:43 +0900)

 ActiveState ActivePerl 5.6.1 build 629 以前に弱点。 perlIS.dll が長いファイル名によって buffer overflow してしまうため、これを利用している web アプリなどを経由して、remote から任意のプログラムを実行できてしまう。 権限は、IIS 4.0 上なら SYSTEM、IIS 5.0 上なら IWAM_machinename。 Apache や Sambar などでも SYSTEM じゃないかな。

 build 630 で fix されているので、利用している場合はおおいそぎで入れかえる。 しかし、 Build 630 ChangeLog には何も書かれてないような気が。 また対応策として、perlIS.dll ISAPI エクステンションの設定で「Check that file exists」を有効にする、が挙げられている (どうしてデフォルトで on じゃないの?)。

 CVE: CAN-2001-0815

Advisory: Outlook Express 5.5 が Content-Type: text/plain; のメールに書かれている Script を実行してしまう脆弱性
(penetration technique research site, 2001.11.18)

 FREAK SHOW: Outlook Express 6.00 と同様、OE 5.5 でも text/plain な mail でスクリプトが実行されてしまうという話。 しかも、「本文が60文字(正確には60バイト)までだとスクリプトを実行して、それ以上だとスクリプトを実行しない」という謎な状況。 メールを開いた時点で攻撃が成功してしまうので始末に悪い。

 回避策として、Yoshida さんは「インターネット ゾーンのアクティブ スクリプトを [無効] に」とおっしゃっているが、ここはやっぱり

したうえで、制限付きサイトゾーンのアクティブ スクリプトを [無効] にするのが吉のような。IE 5.01 SP2 / 5.5 SP2 / IE 6 以降は、制限付きサイトゾーンのアクティブ スクリプトはデフォルトで無効だったんじゃなかったかな。

 Yoshida さん情報ありがとうございます。 あちらの方も期待してます。(^^)

壮大なセキュリティプランを立てるマイクロソフト
(ZDNet エンタープライズ, 2001.11.14)

 関連: Full Disclosure (crypt-gram 2001.11)。 ZDNet News 版 (日本語版出るといいね)。

 なんか、タイトル「壮大なセキュリティプランを立てるマイクロソフト」と中身が一致しないような気がするんだが、もともとこういうタイトルだったのかなあ。 原文 link ほしいぞ。探すの疲れるし。


2001.11.16


2001.11.15

追記

 2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 patch 登場。MS01-055 の他、MS01-051 の積みのこしもあわせて fix されている。 のだが、しかし……。 (たくさんの方から情報いただきました。ありがとうございます)

おぎやんコラム12: 暗黒の非フルディスクロージャー世界?
(+SEC, 2001.11.14)

 欧州評議会「サイバー犯罪条約 案(確定版)」 [仮 訳] あるんだ。すばらしい。助かるなあ。

 「本条は,本条第1項に示す……中略……行為が,コンピュータ・システムの権限に基づく試験又は保護のためになされる場合のように,本条約 第2条ないし第5条により設けられる犯罪を実行するためになされるのではない場合には,刑事責任を課すものとして解釈してはならない」 だそうなので、つくる側としてはそういう banner でも出しとけばいいんですかね。 その banner を office さんの「ライセンスハッキング」的に処理された場合どうなるかは知りませんが。

セキュアWebシステム構築術 第一回:セキュリティポリシーで保護対象などと規定
(+SEC, 2001.11.12)

 構築に入る前に、簡単なものでもいいからまずポリシーをつくろう、という話。


2001.11.14

UNIX fixes
(various)

Debian GNU/Linux
RedHat Linux
OpenBSD

まだ見ぬ OpenBSD 3.0 の security fix、 A security issue exists in the vi.recover script that may allow an attacker to remove arbitrary zero-length files, regardless of ownership などが掲載されています。

Sun
HP

SecurityFocus.com Newsletter #118 2001-11-05->2001-11-09
(BUGTRAQ-JP, Tue, 13 Nov 2001 22:26:43 +0900)

 SecurityFocus.com Newsletter 第 118 号日本語版 (テキスト, 英語版)。

CLIENT OPERATING SYSTEMS LIFECYCLE ANNOUNCEMENT
(中村正三郎のホットコーナー, 2001/11/14)

 IE 5.01 って、October 28, 2001 で hotfix 開発終了してたんですね。 いやはや。Windows 2000 SP3 には IE 6 が添付されたりするんだろうか。 それとも、Extended が N/A だから、まだまだ続くということなんだろうか。よくわからん。

 Windows 98 や NT 4.0 も、そろそろなんだなあ。


2001.11.13

SSH CRC32 Compensation Attack Detector Exploit Code Analyzed
(incidents.org, 2001.11.12)

 流行っている ssh1 CRC32 overflow bug 攻撃の解析結果。

FireHole: How to bypass your personal firewall outbound detection or Game Over: An exercise in futility
(CNET, Fri 9 Nov 2001 15:15 PT)

 tooleaky 同様、Personal Firewall を越えられるプログラムの実例。 関連報道: ファイアーウォールを導入しても個人情報流出 (CNET)。

CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する
(CERT 勧告 勝手に迅速和訳プロジェクト, 2001.11.12)

 CDE の dtspcd にバッファオーバーフローする弱点。remote から root 権限で任意のコマンドを実行できてしまう。 ISS: Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control Service 。 CVE: CAN-2001-0803

 dtspcd というと、 CA-1999-11 Four Vulnerabilities in the Common Desktop Environment (LAC 邦訳版) というのもありましたね。 CDE 全体ではもっといろいろ出てますし、 なにしろ今回の弱点、1999.03 に発見されて、いまだに fix がないベンダーが多いと言うのですから呆れます。

2001.11.14 追記:

 HP: HPSBUX0111-175 Sec. Vulnerability in dtspcd

2001.11.19 追記:

 関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する (日経 IT Pro)

2001.12.26 追記:

 Sun fix: Buffer Overflow in CDE Subprocess Control Service (dtspcd)。 荒木さん情報ありがとうございます。

セキュリティのつぼ(1)
(@IT, 2001/11/10)

 「毎年のようにバージョンアップを繰り返すシステムは危険」、有名メーカ アンチウィルスものや Linux, *BSD は全滅、と。 「ライバル製品と同時期に発売している製品は危険」、 これまた同様、と。 「セキュリティホールが繰り返し報告されるシステムを開発している企業は危険」、Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。 「新しいシステムは未知の危険がある可能性がある。しばらく様子を見るべきだ」、古いシステムはメンテされなくなる可能性があるからダメだしなあ。 「人材の異動が激しすぎる企業の製品は危険」、TurboLinux 方面は社長変りすぎ、と。 「不要な機能を多数備えたシステムは避けた方が無難」、 やっぱり Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。 「長く使われていて改変のないシステムは比較的安全」、 そんなものどこにあるの?

 結論はなんだろう。「AS/400 を使え」か?

Microsoft,セキュリティホールの「責任ある開示」を目指す団体を設立
(ZDNet NEWS, 2001.11.12)

 Microsoft, Guardent, @Stake, Bindview, Foundstone, ISS ですか。 「穏健派」:-) ですかねえ。 eEye とか SecurityFocus といった「過激派」:-) が含まれてないでは、 実質上、現状と何も変わらないような気が。 ちなみに、Russ 氏のは Proposal - The Responsible Disclosure Forum です。

 いちばんアレゲな点は、発見者がまともに動いても、vendor がまともな反応を返す保証なんてどこにもない、という部分のような気が。 「それは仕様です」で終りになったらどーすんの?

 まあそれでも Microsoft は実はずいぶんマシな方で、Sun なんか……ねえ。 たとえば、それなりな日本語 Advisory がすばやく出てくる会社というのは、実は MSKK くらいだってとこに気がついてる人がどれだけいることやら。 いやもちろん、そこまでやって「ふつう」であるべきなんですけどね。

銀行のATMに重大なセキュリティーホール、大学生が発見
(WIRED NEWS, 2001年11月9日 8:30am PST)

 「IBM社は、自社製品のセキュリティーに関する問題には、どんなことにも慎重に対応している。そしてこの問題の場合は、理論の上だけで成立する種類のものだと判断した」、日本語に訳すと「IBM社は、自社製品のセキュリティーに関する問題には、どんなことでも隠したい、なかったことにしたいと思っている。そしてこの問題の場合は、隠そうと思えば隠すことができる種類のものだと判断した」になるのかな。

スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を
(NetSecurity, 2001.11.12)

 実際には Netscape 方面にも (見つかってないだけで) いろいろあるんじゃないかなあという気がするので R-MS という名前にはアレゲさを感じてしまうけど、主旨自体には賛成。 J(ava)Script を安易に使うのはやめて頂きたい。いまどき「JavaScript を有効にしてください」と書くのってだと思う。

 関連:

 しかし、どうして microsoft.com とか symantec.com とか、 OS / セキュリティ方面企業の名が筆頭に上げられていないんだろう。 そういう意味では、やっぱり R-MS でいいのかな。


2001.11.09

マルチプル VLAN
(port139 ML, Wed, 07 Nov 2001 20:27:01 +0900)

 arp spoof 対策な話題から。時代はやっぱり VLAN なのね。 おねだんも今ではめちゃくちゃ高いというわけではなさそう。

「スクリプトによる貼り付け処理の許可」が必要なサイト
(memo ML, Mon, 05 Nov 2001 07:41:13 +0900)

 確かに、google で スクリプトによる貼り付け を検索 すると、いろいろ出てきますね。 ほんとにこの機能を使っているなら、Netscape や Mac 版 IE では正常に機能しないはずなのですが、そういうサイトをつくっていらっしゃるのでしょうかねえ。

 NHK の FAQmycom.co.jp の QandA からは、"「スクリプトによる貼り付け処理の許可」を有効に" が消えてますね。「Javaアプレットのスクリプト」もいらないと思うんだけど。 TAB CO−OP の記述はこりゃまたばっさり消えているなあ。

Microsoft ISA Server Fragmented Udp Flood Vulnerability
(BUGTRAQ, Sat, 03 Nov 2001 02:51:40 +0900)

 MS ISA Server が DoS 攻撃を受けるという話。

MS01-054: 無効なユニバーサルプラグアンドプレイのリクエストがシステムのオペレーションを妨害する
(Microsoft Product Security Notification Service, Fri, 02 Nov 2001 09:21:06 +0900)

 Windows Me, XP および「インターネット接続共有 (ICS) クライアント」を 別途 Windows 98/98SE にインストールしている場合に弱点。 これらに含まれる「ユニバーサルプラグアンドプレイ (UPnP) サービス」 に対して異常なリクエストを発行すると、OS のパフォーマンス低下や異常終了をきたすという。

 patch が出ているので適用すればよい。 ただし Windows Me 用の patch は、米国では問題が発生し今日づけで一時削除されている。 MSKK のページ には Me 用 patch も掲載されているが、適用する場合はある種の覚悟が必要だろう。 98 / XP 用 patch は問題ないようだ。

 CVE: CAN-2001-0721

2001.11.19 追記:

 Me 用新 patch が登場している。 MS01-054 参照。

SecurityFocus.com Newsletter #116 2001-10-20->2001-10-24
(BUGTRAQ-JP, Mon, 05 Nov 2001 13:06:45 +0900)

 SecurityFocus.com Newsletter 第 116 号日本語版 (テキスト, 英語版)。

MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection
(セキュリティアンテナ, 2001.11.09)

 IE 5.5 / 6 for Windows に弱点。悪意ある web page や HTML メール経由で、 任意の cookie の値を覗いたり変更したりできてしまう。 Minor IE vulnerability: about: URLs および Microsoft IE cookies readable via about: URLS の話ではないかと考えられる (危険なのは後者)。 手元の IE 6 on Windows 2000 SP2 で 後者デモ (URL じゃなくてドメイン名を入力する) を試したところ、見事に cookie が表示されてしまいましたとさ。あららん。 あ、デモで、cookie 取られると致命的なサイト (ex. amazon.co.jp) を試さないようにしましょうね。デモ作成者が悪いことするかしないかは不明ですぞ。

 CVE: CAN-2001-0722。 高木さんによる [memo:1863] も参照されたい。

 現状での対応としては、アクティブスクリプトを禁止する。 patch ができるまでは、IE 利用者は「こんなこともあろうかと〜」 インストールしているであろう Netscape 6.2 を使いましょう。 「代替手段の確保」は重要ですね。

 ……[memo:1865] [memo:1866] で回避方法が確認されてます。手元の IE 6 でもうまく動いているようなので、 about.reg (NT4 な人用 NT4_about.reg: 佐藤さんご提供ありがとうございます) として置いておきます。

 アクティブスクリプトに対して「プロンプトを表示」にしておくとこんなダイアログが出るのだけど、 たまにメチャ危険で致命傷になりかねないのが問題なのだよなあ。

2001.11.13 追記:

 日本語 Advisory: Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される (MS01-055)

2001.11.15 追記:

 patch 登場。もともとの MS01-055 問題の他、 これとは異なる cookie 漏曳問題と、 MS01-051: 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう において「patch を適用しても残る問題」があわせて fix されている。 また、patch はアンインストールできない。

 Outlook Express や Outlook に関する情報が追加されている (英語版)。 Outlook E-mail Security Update を適用している場合、および Outlook Express で「制限付きサイトゾーン」を利用するよう設定している場合には、 今回の弱点は影響しないという。

 CVE も 2 つ追加された: CAN-2001-0723, CAN-2001-0724

 ただし、[memo:1881] をみる限り、about: プロトコルへの入力を変換するなどの根本的治療ではないようだ。about: プロトコルを制限付きサイトゾーンで動作するようにした人は、念のためそのまま続けておい方がいいだろう。 私も元に戻すつもりはない。

 また [memo:1881] では、当初 high だった max risk が moderate に変更されていると指摘されている。 確かに、version 1.0 では high だったのに、version 2.0 では moderate になっている。 そもそも high というのが変という意見もある [memo:1883]。確かに、Microsoft Security Response Center Security Bulletin Severity Rating System には high というランキングはない。

 ちょっと気になって gpg --verify で signature を確認してみたのだが、 version 1.0 の方は「不正な署名」と言われてしまう [memo:1882]。 どうもよくわからない。pgp 7 を使えばみんな ok になるんだろうか。

2001.11.19 追記:

 もうひとつの cookie 問題が公開されている: the other IE cookie stealing bug (MS01-055)

 オリジナル問題の発見者が状況を公開している (from [memo:1898]):

2001.11.22 追記:

 Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。 マイクロソフト、「ウソでした」 (CNET)、 「責任ある開示」とは? IEのセキュリティホールめぐり“遅れ”を認めたMicrosoft (ZDNet)。

2002.02.17 追記:

 BUGTRAQ bugid 3513: Microsoft Internet Explorer Cookie Disclosure/Modification Vulnerability.

追記

 2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure追記した。 日本語版 NT 4.0 TSE patch 登場。

Netcraft Web Server Survey - Oct. 2001
(NTBUGTRAQ, Thu, 08 Nov 2001 23:40:17 +0900)

 Russ 氏の反応と、それへのフォロー記事も参照。 SSL な IIS サイトについてしか語ってない、とか言っても、SSL な IIS サイト (= それなりにセキュリティに気をつかっているはず) がいろいろとアレゲな事実は変化しないと思うけど。 The Netcraft Secure Server Survey: Jan. 2001 見ると、SSL なサイトって、総計でも高々 10 万台くらいしかないみたいだし。 SSL な IIS は top share なわけですし。

Portable and Powerful Unix ELF Infection Techniques
(incidents.org, 11/06/2001)

 いよいよ「UNIX 用の anti-virus soft」も必須な時代がやってくるのでしょうか。 いやだなあ。


2001.11.08

Windows XPの正体 強化されたコマンドライン・ツール(中編)
(@IT, 2001/11/08)

 openfiles.exe や fsutil.exe いいですねえ。

追記

 2001.11.07 の 法務省アドレスの不審メール 不正中継DBに登録されていた法務省サーバ追記した。 NetSecurity の続報、 関連報道と法務省からのおわび。


2001.11.07

Acrobat 4.0(Win):Microsoft Office 2000 のアプリケーションを起動する際にエラー「証明(署名または発行元)は有効期限が切れました。」
(adobe.co.jp, 2001/01/12)

 Acrobat 4.0 Windows 版に含まれる Office マクロテンプレートに施された署名の有効期間が切れているという話。 「Solutions (解決方法)」として、Adobe は Office のセキュリティレベルを下げろと言っている。 それは解決方法じゃなくて対応方法 (Workaround) でしょうが。

 ひこさかさん情報ありがとうございます。 Acrobat 5.0 ではまだ有効みたいでした。

 URL 調べるのに苦労させていただきました > adobe。 なぜわざわざ隠す……。隠し体質な会社なのか……。 著作権保護の“聖戦”に燃えるAdobe,DEF CON逮捕劇もその一環 (ZDNet) とかいうのが出てくるのも体質なのか……。

2001.12.12 追記:

 ひこさかさんからは「4.0 から upgrade した 5.0 だとダメダメ」との情報をいただいていました。そこへやってきた Acrobat 5.0.5 アップデート。 「Acrobat 5.0.5をインストールすることで、バージョン5.0の電子署名に関する問題を修正できます」 とある。これを適用すると ok のようです [memo:2290]

NTT 方面の spam 対策新体制
(various)

 ようやく重い腰を上げた模様。

Minor IE System Info Disclosure
(BUGTRAQ, Mon, 05 Nov 2001 07:11:22 +0900)

 JavaScript から file:// プロトコル経由で local computer 内部の画像ファイルにアクセスすることにより、remote computer はプログラムのインストール状況を確認できる、という話。 sys_snoop2.html の方は、手元ではうまく動かないみたいだけど。

TUX HTTPD Denial of Service Condition
(BUGTRAQ, Mon, 05 Nov 2001 21:57:15 +0900)

 kawa さんちの #5 [Security] TUX HTTPD Denial of Service Condition (Large Host)(SecuriTeamより) をみてください。

法務省アドレスの不審メール 不正中継DBに登録されていた法務省サーバ
(netsecurity.ne.jp, 2001.11.7)

 匿名希望さん (ありがとうございます) から「あやしいメール」そのものをいただいているのですが、 「本文がない」「To: だらだら」という特徴、および Received: 行の内容から考えると、 「法務省のSMTPサーバを不正中継した詐称メール」や 「単純な法務省アドレスの詐称メール」という線は、私には考えにくいです。 「事故」なんでしょう、多分。

 しかし、法務省ホームページ にはいまだに何の情報もありませんなあ。 当該メールが gate.moj.go.jp (= moj.go.jp) から来たのは間違いないのですけどねえ。 (法務省ホームページは http://www.moj.go.jp/ だったので、URL 修正)

 関連: 法務省からメールアドレス流出 (slashdot.jp)、 [memo:1811] 法務省が open relay? 以下のスレッド。

2001.11.08 追記:

 NetSecurity の続報: web では告知なし法務省 不審メールは内部の事故の可能性大。 関連報道: 法務省が5000人にメールを誤送信 アドレス漏れる (asahi.com)。

 匿名希望さん (またまた情報ありがとうございます) によると、法務省から釈明メールがきたそうです:

X-Lotus-FromDomain: MOJ@EXT
Date: Thu, 8 Nov 2001 03:12:38 +0900
From: "MOJ WEBMASTER" <[email protected]>
Subject: 法務省からのメール送信について(お詫び)

昨日は,複数のメールアドレスが表示されたメールが当省から送信されるという
事態を引き起こし,大変ご迷惑をおかけしました。誠に申し訳ございません。
 当省では,昨日以降,原因を調査してきましたところ,現時点までの調査結果は
以下のとおりです。
 当省では,現在,コンピュータ・システムの外部監査(外部からの侵入に対する
システムの脆弱性の調査)を実施しておりますところ,その監査の実施過程におい
て,プログラム内部について全くの部外者と同等の立場にある監査業者が,通常の
留意をして,複数のファイルにアクセスしたところ,それらのファイルが予期せぬ
作動をしたため,メーリングリストに登載されている複数のメールアドレスに対し
,同時にメールが送信され,複数のメールアドレスが同じメールの中に表示される
という事態が生じたものとみられます。
 なお,以後のセキュリティ確保のためもあって,調査結果のご報告はこの限度に
ならざるを得ないことをお許し下さい。
 当省では,今回の事態に至った要因については既に対策を講じております。また
,今後,二度とこのようなことが起こらないよう,セキュリティ対策に万全を講じ
てまいりたいと思っております。
                                         法務省

 これはつまり、外部から侵入あるいは起動可能な穴があった、 ことを意味しているような気が。 そうなると、もっとうまく立ちまわっていたヤツがいたら、 もっとアレゲなこともできていた可能性も……。

 この文章をそのまま web にも上げればいいのに。なぜしないかなあ。

Gartner Column:第21回 マイクロソフトのセキュリティ対応についてさらに語ろう
(ZDNet エンタープライズ, 2001.11.06)

 「あらゆるソフトウェアの問題は原理的には修正可能であるためだ」、 単にコーディングが bug っているなら簡単に (?!) 直せるのですが、 広く普及しているプロトコルや機能 (仕様) が bug っている場合はなかなかに難しいものがありますよね。 syn flood みたいに、原理的に完全には防げない攻撃とかあるわけで。 まあ、世の中には [memo:1753] JScriptでクリップボード盗聴のセキュリティホール仕様 なんていう「仕様」もあったりするわけですが。

 私自身は公開派なんですけどね。 だって、公開しなかったら彼らは弱点の存在そのものを隠すだけだもん。 マイクロソフトのセキュリティー対策は本気か (CNET) とか読んでも、ねえ。

TooLeaky or "Why Your Firewall Sucks"
(incidents.org, 2001.11.05)

 「信頼されるプログラム」(= MSIE) をデータの送受信に利用することで、 任意のプログラムが personal firewall をくぐりぬけられるという話。 うまい手ですねえ。関心している場合じゃないんですが……。

Vulnerability Note VU#986843: WS-FTP Server vulnerable to buffer overflow via long string sent as argument to ftp command
(CERT/CC, 11/06/2001)

 Windows 用の著名な ftp サーバである WS_FTP Server 2.03 以前に弱点。 STAT コマンドが buffer overflow してしまうため、remote から local SYSTEM 権限を得られる。 2.04 で fix されているので入れかえる。


2001.11.06

citibank.co.jp の証明書
(直接 mail, Tue, 06 Nov 2001 18:45:17 +0900)

 CITIBANK の左上にある「CitiWorld 登録・変更・利用」をクリックしてみましょう (事前に JavaScript を有効にする必要があります)。 有効期限切れてます。

 世の中の銀行ってこういうものなのでしょうか。 匿名希望さん情報ありがとうございます。

連載 PKI 基礎講座: 最終回 キーワードで学ぶ電子政府 〜電子政府とPKIの関係を整理しよう
(@IT, 2001/10/26)

 「攻撃してくれ」と言わんばかりの目標だよねえ。 ブリッジ認証局CP/CPS、 ログは 3 年、アーカイブは 30 年保管かあ……。 「5.1.9 オフサイトバックアップ 規定しない」、ほほう。 きっと「規定しない」と「実施しない」は意味が違うんだろうな。

実験 IE 6のプライバシ管理機能
(@IT, 2001.10.27)

 後編出ました。手元の IE 6 では、11.Cookieのマニュアル管理(2):Cookieの自動フィルタリングをやめ、強制的に指定の処理を行わせる にある「ダイアログを表示する」でやってます。 以外なほど手間にならない、と認識しています。

CERT Incident Note IN-2001-12
(CERT/CC, November 5, 2001)

 Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow の話。どうも流行ってるらしいです。

CERT Advisory CA-2001-30 lpdに存在する複数の脆弱性
(CERT 勧告 勝手に迅速和訳プロジェクト, 2001.11.06)

 各種 UNIX (*BSD, BSDi, HP-UX, AIX, *Linux, SCO, SGI, Solaris) の lpd にさまざまな弱点があるという話。 オリジナル: CERT Advisory CA-2001-30 Multiple Vulnerabilities in lpd LAC 邦訳版。 patch があるので適用すればよい。

追記

 2001.11.05 の 警告:iTunes 2 Mac OS X 版インストーラがハードディスクを初期化追記した。 なんとなさけない失敗の原因。


2001.11.05

[memo:1792] Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
(memo ML, Mon, 05 Nov 2001 05:43:00 +0900)

 テストはこちら: Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する

 IE 5.1 for MacOS X の環境設定見てみましたが、そもそも「スクリプトによる貼り付け処理の許可」がありませんね。 で、テストしてもなんも出てきません。 きっと、この点についてはまともな実装になっているのだろうと思います > 石川さん。 もちろん JavaScript (つーか JScript か?) は IE for Mac でもちゃんと動きます。 動かないと Microsoft 自身が (!) 困ります。

 一方、MSIE 6 for Windows で「スクリプトによる貼り付け処理の許可」を「ダイアログを表示する」としておくと、こんなダイアログが出てきて楽しいです。 また、ダイアログのデフォルト値は「いいえ」のようなのですが、 IntelliPoint のプロパティで「ポインタを自動的に規定のボタン上に移動する」を有効にしていると、なぜか「はい」にポインタが移動します。 楽しいですね。

Microsoft Passport to Trouble
(ZDNet, 2001年11月5日 02:50 PM)

 CSS については、高木さんの クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策 を参照。 この Passport の件も、基本的には「2. クロスサイトスクリプティング脆弱性とは」 に書いてあることそのまんまみたいです。 Passport というシステム自身が否応なしに「cross-site」 せざるを得ないという点と、 いろんなレベルのサイトが同一の cookie ベース認証システムを使うとなると、 全体のセキュリティレベルは最悪のサイトのセキュリティレベルに依存するような気がするのがアレゲなような気がするのは気のせいでしょうか。 せめてアクティブスクリプト切れればいいと思うのですが、そうはいかないのがまたアレゲ。

 ちょっと試してみたところ、<_img は対策されたように見えます。

 関連記事:

 「これらは非常に洗練された手口だ。ハッカー・サイトからスクリプトをダウンロードして実行するだけ、というのとは違う」、 だから何? 頭のいいヤツはマフィアやヤクザにもいるだろうしさ。

テロに揺れる米国で高まるNational ID論争
(日経 IT Pro, 2001/11/05)

 確かに、データベース屋は儲かるだろうなあ。 日本は「企業が消費者の個人情報を簡単に集めたり,使ったり」できる国ですが、にもかかわらず National ID も導入されます。 で、役所への届け出、大半はネットで 総務省が計画 と大穴あける予定です。よかったね。

マイクロソフトのIIS:とどまるべきか,乗り換えるべきか
(ZDNet エンタープライズ, 2001.11.02)

 なかなか興味深い内容です。 Cold Fusion、Solaris 版は日本語版もあるのか。 Linux 版にはないのね。

Cross-site Scripting Flaw in webalizer
(BUGTRAQ, Wed, 24 Oct 2001 22:18:14 +0900)

 log アナライザ webalizer に cross-site scripting する弱点。 2.01-09 で fix されているRedHat fixFreeBSD ports も fix 入ってます。

 そうか、広く使われているソフトなんだ。ふぅん。

RedHat Linux 方面 fix
(redhat-watch-list など)

 なんか、やたら出てるし。

デフォルト・インストールとぜい弱なパスワードの危険性を考える
(日経 IT Pro, 2001.11.02)

 Wizard なんてご立派な名前をつけるのがよくないですよねえ。 Novice とか Bogus とかだったらみんな「こりゃぁ自分で面倒見にゃかんわ (Nagoya dialect)」と思うだろうに。

警告:iTunes 2 Mac OS X 版インストーラがハードディスクを初期化
(Macintosh トラブルニュース, 01/11/5)

 iTunes のページ にはこんなふうに書いてありますね:

Apple has identified an installer issue with iTunes 2.0 for Mac OS X that affects a limited number of systems running Mac OS X with multiple volumes (drives or partitions) mounted. For those systems, running the iTunes 2.0 installer can result in loss of user data. While this error is highly unlikely to affect most users, Apple strongly advises that anyone who has downloaded the 2.0 version of iTunes for Mac OS X, as well as anyone who has a beta version of iTunes 2.0 for Mac OS X, immediately remove the iTunes.pkg installer file from their system. A new version that corrects this issue, iTunes 2.0.1 for Mac OS X, is now available from this page. Users who have already installed iTunes 2.0 without incident do not need to reinstall iTunes 2.0.1, but they should still immediately remove the 2.0 installer file from their system. This issue does not affect users of iTunes 2.0 for Mac OS 9.

 While this error is highly unlikely to affect most users ってアンタ、そんなの言いわけにならんっしょ。 こういう致命的なバグを開発元自ら出しているようでは、 まだまだ MacOS X は勧められないよなあ。

 石川さんちにもっと詳しい記事あります。

2001.11.06 追記:

 iTunes 2.0 for Mac OS Xインストールパッケージ使用によるデータ消失の可能性 によると、原因はなんとシェル変数のぞんざいな参照であるという。 ふつう "" で囲むでしょうが……。だめすぎ。

緊急事態に対する計画と対処
(ガートナー, 2001.10.26)

 Unix バックアップ & リカバリ (2 章すげぇいいっす) にも出てましたけど、off-site backup 重要ですよねえ。 いつ「ならず者国家」 (ワシのマークとの説あり) が爆弾の雨を降らすかわかりませんし。

 UNIX 本システム & ネットワーク管理本セキュリティ本 の欄に Unix バックアップ & リカバリが並んでないのは不適切だと思います > O'Reilly


2001.11.02

[XCCC] Exchange 環境での IIS Lockdown と URLscan の設定
(新着サポート技術情報, 2001.11.02)

 Exchange 5.5 と Exchange 2000 に対応してます。

ウィルスバスター 2002 関連
(最新のソリューション-全製品, 2001.11.01)

 ウィルスバスター 2002 のパーソナルファイアウォール機能は、デフォルト値がキツめになっているのかしらん? 「同封されています「初めてのパーソナルファイアウォール」に簡単な設定等が載っていますので一度お読みくださりますようお願いいたします」 だそうです。

 ……うわ、最新のソリューション-全製品 に山のような 2002 関連ドキュメントが。 とても紹介しきれん。

プライバシー保護よりもセキュリティー
(CNET, Wed 31 Oct 2001 18:00 PT)

 「敵にできないなら味方にしてしまえ」? なぜか link がありませんが、「プライバシー財団」は http://www.privacyfoundation.org/ です。 Richard Smith's Tipsheet というページもあります。


2001.11.01

IISのセキュリティを強化するアドオンツール
(ZDNet エンタープライズ, 2001.10.31)

 手元でも IIS LockDown とか URLScan とかで遊んでみないといかんなあ。

スパムを条例で規制 東京都審議会が提言
(ZDNet, 2001.10.31)

 No と言える東京? しかしよくよく読むと、「消費者が拒絶の意思表示をしても……」が条件で「事業者からの 1 回目の勧誘は不適正とすることはできない」んだそうだ。 spam の多くは拒絶の意思表示すら拒絶される (ex. from にうそんこ書いてあるから reply できないよ) のだが、 その点は理解されているんだろうか。 「dial-up 先を Q2 へ変更」モノも対象から外す旨が明記されてますね。

 2001.11.15 までご意見募集しているようなので、feedback はお早めに。

 そういえば、広告屋さんが 許諾付きダイレクトメールは効果大なんて言ってるらしいですね。 眉にツバを 50t?

「節約するならLinux」をAmazonが実証(1)
(ZDNet, 2001年10月31日 09:55 PM)

 なんじゃこりゃ。こういうことを言っているから呆れられるのに……。

 しかし,Linuxには目に見えないコストがあると,Microsoftは主張している。「一見Linuxは低コストのように見え,多くの顧客がそれに引きつけられているように思う。そういった顧客はLinuxの真の問題を理解しておらず,結局,長期的にかなりのコストを支払うことになるのだ」と,MicrosoftのWindows部門で競争戦略ディレクターを務めるDoug Miller氏は語る。

 Linuxを導入すると,顧客はソフトアップデートやセキュリティを管理したり,複数のソフトが競合しないようにするなど,「自分でOSの面倒を見なければならなくなる」とMiller氏。「そういった仕事は,Microsoftのようなソフトベンダーがやることだ」

 このテのジョークはジョークにならないってことがわからないのか。

 なぜ IISは捨てなさい——Gartnerが企業に警告 とか Gartner Column:第20回 マイクロソフトのセキュリティに対する考え方は根本的に間違っていないか? なんて意見が発生しているのかをきちんと認識できていれば、こういう発言はされないはずなのだが。それともこれは、 3rd JWNTUG Open Talk 用のネタ提供のつもりなのか? (それはないだろうが……)

 ところで、DLL Hell の終焉 将来の方向性 で延べられている事項って、Windows XP では実現されているんでしょうか?

経済産業省,Webアプリのセキュリティ問題への対応を関係団体に要請
(日経 IT Pro, 2001/10/31)

 IPA の Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 って、10/29 に「Web サーバーシステムインテグレーター向けの技術情報」が大幅追記されていたんですね。知りませんでした。

 これで世の中もようやく少しは動きますかねえ。

行政の個人情報保護法改正  官に甘く民に厳しい内容に
(毎日, 2001-10-31)

 「我が国の憲法では、行政機関が適正な手段を執行するのは当然のことだ」 という座長は 「茂串俊・元内閣法制局長官」。 反論になってないよ。 しょせん「ヤク人の論理」にすぎないことに気がついているのかいないのか。

 話の流れからすると、「住民基本台帳ネットワークシステム」は、 やっぱりクラック・悪用されることが前提なのでしょうね。

HEADS UP: a bunch of ipfw MFC in the next 1-2 days
(freebsd-ipfw ML, Thu, 01 Nov 2001 10:37:55 +0900)

 FreeBSD の ipfw 変更予告。

Netscape 6.2 Release Notes
(Netscape, 30 October, 2001 17:04 PST)

 ふと読んでみて気がついた点:

 ダウンロード等は Netscape 6.2 の概要 から。概要ページからリリースノートへたどりつけないのはなんとかしてほしいなあ。

 なお Sun Microsystems, Inc. Security Bulletin 00208: Swing の件だが、Netscape 6.2 for Windows を Windows 2000 にインストールしてみたところ、java -version の出力は こうなった:

java version "1.3.1"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.3.1-b24)
Java HotSpot(TM) Client VM (build 1.3.1-b24, mixed mode)

[セキュリティホール memo]
私について