Last modified: Tue Apr 15 13:03:48 2003 +0900 (JST)
日本の対テロ貢献国リスト漏れ、もう一度米に確認 外相 (asahi.com)、 また というのがギャグっぽくていいですな。
オリジナルはこれですかね: Rumsfeld Praises Coalition Contributions In Anti-Terror War (WASHINGTON, Feb. 26, 2002)。 ケツにリストされている
According to a DoD fact sheet, a partial list of countries providing support in the war against global terrorism include Australia, Bahrain, Belgium, Canada, the Czech Republic, Denmark, Egypt, Finland, France, Germany, Great Britain, Greece, Italy, Jordan, the Netherlands, New Zealand, Norway, Portugal, the Republic of Korea, Romania, Russia, Spain, Turkey, the United Arab Emirates and Uzbekistan.
には Japan がないぞーということのようですが、DoD News Briefing slides に出てくる絵にはちゃんと Japan が "Force Providers" として表記されているように見えます。とはいうものの、Force Providers は青丸で、Direct Support は茶丸のようなのですが、韓国にあるべき茶丸が東京にあったり、青丸が北海道の真上にあったりして、これはこれでかなりアレゲです。まあ、彼らの感覚はしょせんそんなもんなんでしょう。
MAPS NML (Non-confirming Mailing List) というのがあるそうです。 Unconfirmed Mailing Lists の定義。 memo ML は "Terms and conditions of address use must be fully disclosed" の部分が不足してるなあ。
マイクロソフト,ISA Server 2000 Service Pack 1を再リリース (日経 IT Pro) だそうです。
Draft Special Publication 800-42, Guideline on Network Security Testing (NIST) が出ています。
IEを使い続けるための“お勧め”設定 ただし,セキュリティ・パッチの適用は不可欠 (日経 IT Pro)。設定しておきましょう。
電磁波の危険性は、携帯電話会社の特許記載が証明する? (WIRED NEWS)。
企業からの警告も怖くない (CNET)。
S/MIME Freeware Library (SFL) というのがあるそうです。
Auto file execution vulnerability in Mac OS、 bugtraq に登場してますね。
まだ完成されていないようですが、十分に興味深い内容です。
実に興味深い。
「ODA (政府開発援助) 以外で大使館や領事館に世話になったことはない」、 逆から読めば、ODA というモノがいかにアレゲか、ということでもあるような。
「(13)小さなミスには厳しいが、大きな失敗には寛容」、あるある〜 (爆笑)。
SRP1 適用後に IE 5.5 SP2 をインストールすると inetcomm.dll が古いバージョンに置きかわってしまうので、SRP1 を再適用 (上書きインストール) する必要があるんだそうだ。 J070138: Windows 2000 SRP1 と IE 5.5 SP2 の適用手順 も参照。IE 5.5 SP2 をインストール後に SRP1 を適用する場合は問題ない模様。
Linux への Sophos Anti-Virus のインストールと、cron からのスケジューリングチェック、squid への対応機能の組み込み。 squid に入れると重くなりそうだなあ。 クライアント数が少ない環境なら気にならないかもしれないけど。
2.4.14〜2.4.18-pre8 までの Linux カーネルに弱点。 Linux カーネルには IRC の DCC プロトコル用の connection tracking helper module が含まれているが、これに実装バグがあり、意図しない内向きコネクションが許可されてしまう。patch が示されている。
CVE: CAN-2002-0060
RedHat: [RHSA-2002:028-13] Updated 2.4 kernel available。 RedHat の場合、この module はデフォルトでは利用されていない。
2002.02.22 の Squid Proxy Cache Security Update Advisory SQUID-2002:1 に追記した。 RedHat fix 登場。
UNIX などで広く利用されているスクリプト言語 PHP 3.0.10〜3.0.18、4.0.1〜4.1.1 に弱点。 ファイルの upload に利用される「multipart/form-data POST リクエスト」 (RFC1867: Form-based File Upload in HTML) の実装において、php_mime_split 関数にいくつかの問題があり、結果として外部から攻略可能な弱点が発生してしまっているという。 詳細: Advisory 01/2002 PHP remote vulnerabilities。 バグレポート: PHP Bugs: #15736: Security Exploit。
回避するには、PHP 設定ファイル php.ini において file_uploads = off としてファイルの upload を停止する。 あるいは web サーバにおいて PHP 自身を無効にする。
対応するには、patch があるので適用するか、弱点のない PHP 4.1.2 以降に upgrade する。
すでに攻略プログラムが存在するようだ。 PHP exploit (Was Re: Wave of Nimda-like hits this morning?) には snort 用の signature が示されている。
関連: PHP における複数の脆弱点:リモートからセキュリティを侵害するエクスプロイトが流通 (ISSKK)。
[RHSA-2002:035-13] Updated PHP packages are available (RedHat)
PHP Internationalization ページで、この問題が fix された php-3.0.18-i18n-ja-3 が公開されている。廣田さん情報ありがとうございます。
[SECURITY] [DSA 115-1] New PHP packages fix security problems (Debian GNU/Linux)
Apache+php Proof of Concept Exploit (vuln-dev ML)
Apache/1.3.x + php_4.0.6 用。
Bug #15849 Bugs found in rfc1867.c by source inspection (php.net)
某所での hsj さんの書きこみから情報を拝借。
PHP 3.0.18 / heap overrun remote exploit (hsj さん)
外部から apache 動作権限なシェルを獲得できるようです。 root が取れる local 穴があれば次の一手で詰み。
CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload 邦訳版 (LAC)
PHP 3.0.16/4.0.2 remote format overflow exploit
。
TunnelShell というのがあるそうです。
「最大の問題はリソース不足」,米セキュリティフォーカスのCEO,ウォン氏 (ZDNet)、SecurityFocus の SIA (Security Intelligentce Alert) と ARIS Threat Management System を日本語化して NST-Japan が 2002.04 からサービスするのだそうだ。
マンガでわかるネチケット。全体としてできはいいのだけど、うーん。 フリーソフトウェアは「著作権フリー」なのか? ようごかいせつ の方にはまともなことが書いてあるのに。 たいていの「先生」や「おうちの人」の著作権まわりの理解はアレゲな気がするしなあ……って話はしてはいけないんだろうなきっと。 (奥村さんからの情報を加味)
Project PINEAPPLE、rpm もべんきょうしナイト。
「W32/Klez」ウイルスの亜種に関する情報 (IPA ISEC) が出ています。
solution 3722 タイトル: パーソナルファイアウォール有効時、Tracertコマンドの途中結果がタイムアウトとなります (トレンドマイクロ)。融通が効かないようです。
Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities for Cisco Non-IOS Products , Revision 2.0 になってます。
Internet-Draft Responsible Vulnerability Disclosure Process に対する Guninski 氏 のコメントが出ています: Responsibility RFC 。
「Windowsクラッシュの原因解析します」——NTTデータ先端技術らが4月よりサービス提供 (ZDNet)。オリジナル: Windowsシステム故障解析サービス(NACCIDENTービス)の提供開始 (NTTデータ先端技術)。 NACCIDENTービス ってのがアレゲだし、 <title> タグもアレゲだし、 PDF 用意してないってのもアレゲなんですが。 (ほとんど直ったみたいです。まだ <title> タグがアレゲですが。惜しい)
AppleがMac OS XのJavaをアップデートし,1.3.1に (ZDNet) だそうです。
Commerce Server 2000 に弱点。 Commerce Server 2000 の認証フィルタ (ISAPI フィルタ) にバッファオーバーフローする弱点があり、リモートから local SYSTEM 権限を取得することが可能となる。 素の IIS 4.0/5.0、Site Server 3.0 や Site Server 3.0 Commerce Edition にはこの弱点はない。
回避方法としては、URLScan を用いて URL 中のデータの種類を大幅に制限する方法がある。
対策としては、patch があるので適用すればよい。
CVE: CAN-2002-0050
IE 5.01, 5.5, 6 に弱点。VBScript を経由して、悪意ある web サイトや HTML メール送信者が、 ユーザコンピュータ内部の既知のパス名のファイルを得ることができる。 ただし、この攻撃で得られるのは、テキストや HTML、画像など、「ブラウザウィンドウで表示できるファイル」だけ。 また、Outlook 2002 と Outlook Express 6 はこの問題の影響を受けない。 Outlook 98/2000 の場合は、 Outlook 電子メールセキュリティアップデート を適用していれば回避できる。
これですが、最新修正パッチ適用したIEにクラッシュの危険性 の話なんじゃないかかなあという気がしますが、どうなんでしょ。
注目したいのは、IE 5.01 SP2 用 patch が、Windows 2000 用だけでなく、 NT 4.0 や 95/98 用もあるということだ。ただし「サポート」はされていない模様。 こういうことになると、MS02-005 用 IE 5.01 SP2 patch を NT 4.0 や 95/98 に適用しても ok ok なのかな。
Bulletin が改訂された。全文引用:
警告 :
サード パーティのスクリプト言語は、この問題の影響を受ける可能性があります。今後リリースされる予定の Internet Explorer サービス パックで、この問題がサード パーティのスクリプト言語にとって問題にならないようにアーキテクチャの変更が行われる予定です。
この修正プログラムのリリース以来、マイクロソフトは、この修正プログラムによって無効にされる VBScript の動作に依存する少数のサードパーティのアプリケーションの存在を確認しています。このセキュリティ修正プログラムに少量の変更を加え、この問題を修正し、過去のバージョンとの互換性を確認しました。
この修正プログラムを適用後、サードパーティのアプリケーションの問題があるお客様は、変更された修正プログラムをダウンロードする必要があります。最初の修正プログラムのバージョンをダウンロードし、問題がないお客様は、対策を講じる必要はありません。
というわけで patch が新しくなっている模様。できれば新版を適用しておきたい。 麗美さん情報ありがとうございます。
MSXML 2.6 (msxml2.dll), 3.0 (msxml3.dll), 4.0 (msxml4.dll) に弱点。 悪意ある web サイトが、ユーザコンピュータ上の既知のパス名のファイルを読み出すことができる。この攻撃は、電子メール経由では実施できない。 詳細: MSIE6 can read local files (2001.02.15)。 bugtraq bugid 3699。 これらは Windows XP, IE 6.0, SQL Server 2000 に同梱されている。
回避するには、アクティブスクリプト、ActiveX コントロールとプラグインの実行、 スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行、のいずれかを無効にすればよい。
対応だが、patch は XML Core Services 4.0 用だけが公開されている。2.6/3.0 用はまだ準備中。 Windows 2000 + IE 6 だと MSXML 3.0 (msxml3.dll) が入っているようだ。 まだ patch がない部分については、回避方法でしのぐしかない。
CVE: CAN-2002-0057
すでに Windows Update 経由で 2.6/3.0 用 patch が入手できていたが、 ようやくふつうの web page でも入手できるようになった: patch。
[MDAC] サポート技術情報の JP318202 およびセキュリティ情報の MS02-008 で提供されている修正モジュールを適用することができない。 MDAC 2.7 が入っているとインストールに失敗する話とその回避方法。
SQL Server 7.0/2000 に弱点。 リモートデータソースへの接続には "ad hoc" 接続を利用できるが、このとき 「OLE DB プロバイダ名の処理」にバッファオーバーフローする弱点がある。 この弱点を利用すると、SQL Server への DoS 攻撃の他、SQL Server 動作権限 (デフォルト: ドメインユーザ) で任意のコードを実行できてしまう。 詳細: MSDE, Sql Server 7 & 2000 Adhoc Heterogenous Queries Buffer Overflow and DOS。
対応としては、patch があるので適用すればよい。 この patch は MS01-060 を含む。
河端氏のまとめ [pml-security,00238] も参照されたい。
CVE: CAN-2002-0056
Misaly さんから (ありがとうございます):
今さっきSQL Server 2000 PersonalEditionにSP2をあてて パッチをあててみたところ、 見事にサービスが起動しませんでした。
パッチ自体は(all Edition)と書いてあったはずなんですけどね・・・
サービスが起動しないので、修正クエリーも発行できないんですけど・・・
ふぅ。やれやれ。って感じです。
世の中キビシイ。
Free Hacking Zoneへようこそ!、手元からだと http://www.hackerslab.org に接続できないっぽいのだが……。 karisuma さん情報ありがとうございます。 例のブツはきちんと読めることを確認いたしました。 _o_
MSほかセキュリティ/ソフト各社,「責任ある開示」推進団体に向け協議 (ZDNet)、Internet-Draft は Responsible Vulnerability Disclosure Process です。
アンテナの「HFNetChk 用 XML ファイル (日本語版 - stksecure.xml)」 のチェック内容を修正。備前さん情報ありがとうございます。
Managed Virus Protection (nai.com)、 それでも 3 時間はかかってしまうわけですか。うーむ。
「Windows XP Professional ステップアップグレード」発売のご案内 、アップグレード時の注意点が出てます。
情報の“視覚化”技術をセキュリティ分野に (日経 IT Pro)。
オクラホマ爆破事件と911(2) (田中宇の国際ニュース解説)。いやはや。
InterScan VirusWall for UNIX (Linux版) Patch2公開のお知らせ (トレンドマイクロ) が出ています。Solaris 版の Patch2a 相当だそうです。
Domino Hash Breaker というのが出ています。
セキュアWebシステム構築術の 第三回:万一の侵入まで想定してOSを設定 と 第四回:デフォルト設定を徹底的に疑う が出ています。
sendmail による「!広告!」フィルタ というのがあるそうです。にっしゅさん情報ありがとうございます。
オンライン海賊行為を排除する国際条約がいよいよ発効へ (ZDNet) だそうです。
ヤノ電器、Mac OS X 10.1.3上でMOドライブの不具合 (PC Watch)。 でも悪いのは Apple で、ヤノじゃないんです。 ヤノ発表: Mac OS X 10.1.3でのMOドライブ動作不具合と対応について。 しろやまさん情報ありがとうございます。
postfix 1.1.4 が出てます。もうそろそろいいかなあ。 (info from installer ML)
@Random/ZERO、多数のご参加ありがとうございました。 いろいろと至らない点がありご迷惑をおかけしたと思いますが、 次回に向け改善できる点は改善していきたいと思ってます。 とりあえず時間短かすぎ問題を解決しないとです。 時間足りないプレゼンでごめんなさい。_o_
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。CISCO 方面書きもらし。
住基法:解説 施行前の再改正 異例の措置に重大な説明責任 (毎日) もどうぞ。ほ〜ら来た来たァッという感じでしょうか。 e-gov 的には「予定された行動」なんでしょう。
麗美さん情報ありがとうございます。
2002.02.22 の Squid Proxy Cache Security Update Advisory SQUID-2002:1 に追記した。 ftp:// におけるバッファオーバーフロー問題の詳細。
2002.02.22 の Windows Media PlayerにDVDタイトル追跡機能 に追記した。 WinDVD の謎の行動など。
私は Linux についてはシロートなので、べんきょうになります。
プレゼン作成中。……できた。PowerPoint 25 枚。 どう考えても 15 分で終る内容じゃない。どうしよう。
“神”だけが逮捕されるとは限らない──ACCSが継続的な摘発を示唆 (ZDNet)、がそっと 100 人くらいアレになればいろいろと話題になるのでは。
グァンタナモの捕虜は捕虜じゃない?? いよいよ図に乗るブッシュ政権。 テロリストと認定すればなんでもできるようで。世の中便利ですな。
Internet-Draft Responsible Vulnerability Disclosure Process が登場したそうです。
セキュリティコミュニティに所信表明したマイクロソフト (ZDNet)、結果で示してくださいね。
ルータトラブルは直った模様。ご迷惑をおかけして申しわけありませんでした。 61.0.0.0/8 な人のところにつながらなかった模様。
solution 3716 タイトル: Patch2 Readme.txt中の誤記 (トレンドマイクロ)。 InterScan VirusWall for UNIX Patch2a ではこの問題は fix されているってことなんでしょうか。
バイオメトリクスは面白い (日経 IT Pro)。Big brother is watching YOU.
すんません、手抜きモードです。
[SA-2002:01] Slashcode login vulnerability
slash 方面のアレ。
CSS でもいろいろと遊ぶことができるという話。
Exim 3.35 で fix されている。from ChangeLog:
6. Exim crashed if called with -C followed by a ridiculously long string. 7. Some other potential points of trouble caused by pathological input data have been defended.
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 ツールもの、Dragon IDS 話など追記。
遅まきながら、載せておきます。
HP-UX security bulletins digest: Thu Feb 21 12:15:02 PST 2002
HPSBUX0111-175 Sec. Vulnerability in dtspcd (rev. 2) HPSBUX0202-184 Sec. Vulnerability in SNMP (rev. 2) HPSBUX0202-185 Sec. Vulnerability with HP AdvanceStack hubs HPSBUX0202-183 Sec. Vulnerability with setrlimit()
Serious privacy problems in Windows Media Player for Windows XP の話。Windows XP 用の Media Player だけ、ってことみたい。 Microsoft に情報をこっそり盗み出されるという eXPerience を追及した結果なのかな。
対応として、Microsoft はソフトウェアではなくプライバシーポリシーを変更したそうです。「それは仕様です」。
原文: Windows Media is watching you (zdnet.com)。
shinobu9 さんから (情報ありがとうございます):
2/22 付けで 上記の記事が出ていましたが、私はこの記事を見るまでは、 うすうすは気がついていたのですが、具体的にはわかっていませんでした。
私の環境は Windows XP + Symantec Internet Security2002 + WinDVD2000 という環境です。
DVD タイトルは、WinDVD で再生しており、Media Player にはインターネットアクセスを全て許可しています。
ただ、面白いのは、 DVDタイトルを再生しようとするたびに、 Internet Security から「services.windowsmedia.com に WinDVD が情報を送ろうとしている」と警告が出ることです。
現在では デフォルトで WinDVDのインターネットアクセスを遮断していますが、 この様子だと、Media Player の DVD に関する部分か、もっと深い部分 (システムレベル?) で情報収集が実装されているようですね。
おそらくこれが、修正パッチを「メディアプレイヤーの修正」として簡単に出せない理由の一部ではないかと思います。多分、ほかの DVD ソフトをインストールしても、同様に情報を発信しようとするのでしょうね、、、
おもしろそうなサポート技術情報。
squid 2.4.STABLE3 以前に 3 つの問題。
SNMP インターフェイス (オプション、デフォルトでは無効) でメモリリークするため、squid SNMP ポートにアクセス可能なユーザによる DoS 攻撃が可能。
ftp:// URL でバッファオーバーフローするため、 このリクエストが可能なユーザによる DoS 攻撃が可能。 また任意のコードの実行の可能性もある (未確認)。
オプションの HTCP インターフェイスを squid.conf から無効にできない。 これはデフォルトでは無効で --enable-htcp すると有効になる。 いくつかのベンダーは --enable-htcp した squid を配布している。
回避方法は:
--enable-snmp で作成していない squid の場合は問題がない。 --enable-snmp で作成した squid の場合は、 squid.conf で snmp_port 0 として SNMP 機能を無効にしたり、 snmp_incoming_address 127.0.0.1 としてアクセス可能なホストを制限したりする。
次の ACL を設定し、anonymous FTP でない ftp 接続を禁止する。
acl non-anonymous-ftp url_regex -i ^ftp://[^/@]*@ http_access deny non-anonymous-ftp
--enable-htcp しない squid を作成・インストールする。
SNMP 問題と HTCP 問題は、OS 付属のパケットフィルタ機能 (IP Filter, ipfw, iptables, ipchains など) を用いて制限することもできる。
対応としては、2.4.STABLE4 で修正されているので入れかえればよい。 fix package:
FreeBSD: FreeBSD-SA-02:12 multiple security vulnerabilities in squid port
TurboLinux: squid: メモリーリークとhtcp_portの使用不可設定の修正
ftp:// におけるバッファオーバーフロー問題の詳細: Squid buffer overflow。
RedHat: [RHSA-2002:029-09] New squid packages available
●2002,3,6● squid にセキュリティホール (Vine Linux)
どうも、かなりのネットワークから龍大に到達できない模様。 ルータが腐ってるっぽい。
Mac OS X 10.1.3が登場 (ZDNet) だそうです。
がが〜ん > BBS 多重投稿。 なさけなさすぎ (T_T)。 ごめんなさいごめんなさいごめんなさい。_o_
w3m 0.2.5 だと、 istream.c の ssl_get_certificate() から呼ばれてる SSL_get_peer_certificate(stream->ssl.handle->ssl) で常に NULL が返ってくるようなのだけど、なんでなのかなあ。 https://www.netsecurity.ne.jp でも https://www.ipa.go.jp でもそうなる。 もしかして OpenSSL の問題なのかな。FreeBSD 4.4-RELEASE 標準のやつですが (0.9.5a だっけ?)。
参院自民VS経産省 迷惑メール防止で双方が法案作成 (毎日)。 これも利権争いですかねえ。
ネットオークションを規制 法案全文入手 命令違反に懲役1年 (毎日)。 どうにも警察利権 UP が目的にしか見えなかったり。
なんかめちゃくちゃ昔のネタですが: 個人情報保護法案の歯止めを模索 政府・検討部会委員3委員が2件の修正案、 個人情報保護法案でシンポ 大阪で150人が参加 (毎日)。
PEAK/IT Open Forum2002 Spring インターネット・セキュリティ、 2002年3月9日 (土)、大阪産業創造館 (地下鉄堺筋線 堺筋本町下車)。 森本さん情報ありがとうございます。
スパムとともに排除されるアジアからのメール (WIRED NEWS)。いやはや。
雪印ブランドは「邪魔な存在」/アクセス社長に聞く (日経 BizTech)、 ふつうブランド捨てって思うよねえやっぱり。
SII ネットワークセキュリティページ ができています。
srvchk.pl v0.0.1 が出ています。
JP312461: スクリプトにより、IE の Cookie データが漏洩または改ざんされる の誤訳は解消された模様。水野さん情報ありがとうございます。
Ghost Port Scan 0.9.1 が出ています。Linux/BSD サポート。 利用するには libnet と libpcap が必要です。 カナダさん情報ありがとうございます。
ふつうのブラウザで、JavaScript 有効で試しましょう (「ダイアログを表示する」にしておくと、それ自体が DoS になるのでやめたほうがいいです)。 当然ながら、w3m でアクセスしてもあまりおもしろくありません (^^;;)。
……あ、IE 6 で JavaScript エラーが……。
SecurityFocus.com Newsletter 第 131 号日本語版 (テキスト)。
SecurityFocus.com Newsletter 第 130 号日本語版 (テキスト)。
25. Microsoft Windows NTFS File Hiding Vulnerability (SUBST コマンドを利用したファイル隠し) は要注目です。 [NT] Virus Can Exploit Long Path under NTFS to Evade Detection (securiteam.com) も参照。
最近の VAIO では、独自のプリインストールソフト URecSight の利用上の利便性の向上のため、IE の「信頼済みサイト」に https://www.percastv.net があらかじめ設定され、しかもユーザに一切アナウンスされていなかった、という話。 アナウンスについては先頃行われている: Internet Explorer の信頼済みサイトに登録されている URL に関するお知らせ (デスクトップ PC 用) と Internet Explorer の信頼済みサイトに登録されている URL に関するお知らせ (ノート PC 用) (中身同じじゃん……)。
信頼済みサイトが勝手に設定されている件ですが、もちろんできればやめてほしいとは思いますが、私自身は「しょせん OEM 版 OS なので、アナウンスされており、かつ登録されているのが https:// なサーバであれば、不適切とまでは言えない」という立場です。個人的には「IIS プリインストール」「UPnP プリインストール」なんてやつの方がよっぽどタチ悪いと思います。 まあ、たとえば [memo:2901] SSL証明書の発行者名 から続くスレッドとか見ても、https:// まわりはいろいろとアレゲな模様なんで 「https:// なら……」というのもアレゲっぽいのですが。
なんと percastv.net にクロスサイトスクリプティング脆弱性が発見された。 信頼済みサイトに percastv.net が登録されていることを利用すると、 悪意ある web サイトは、 悪意のある署名済み Java アプレットを強制実行させるなどの攻撃が可能となる。 詳細は [memo:3039] を参照。
「信頼済みサイト勝手に設定」のダメダメさ加減がここに証明されてしまいました。 前言撤回です。_o_
[memo:3014] 信頼済みサイトへの登録が必要な場面はあるか? (was Re: 「VAIO」の出荷時設定で...) も参照。
高木さんによるフォロー記事: [memo:4180]。新モジュール開発により、問題のサイトは信頼済みサイトゾーンから外せるようになった模様。
更新時刻取得エージェント (いわゆる「アンテナ」) にクロスサイトスクリプティング脆弱性があるという話。
たまてばこの場合: hina.di の Authorized-url: 処理、Regexp: フィールド処理で問題が発生。 tama-1.0.1(安定版) もしくは tama-1.1.65(開発版) で修正されている。 詳細は たまてばこ Security を参照。
なつみかんの場合: タイトル,著者名,Authorized-URL で問題が発生。 http://toga.vegalta.org/etc/2002/0216 に patch が示されている。
wdb や朝日奈アンテナに関する情報はいまのところないようだ (ないこと即ち安全、ではないことに注意)。
wdb については、作者の GORRY さんから ■WDBのCSS問題 に見解が発表されています (大串さん情報ありがとうございます)。
なんかネタがたまってるので手抜きモードということで。
MS02-005 を適用した IE で VBScript の execScript を使っている web ページを閲覧するとクラッシュすることがある、という話。 ソースが同じだと思われる文章は、たとえばここ: Latest IE patch can cause browser crash 。 マイクロソフト様は例によって「ブラウザのクラッシュはセキュリティ問題ではない」と主張されていらっしゃいます。IE がダメなら Netscape 6 やら Opera 6 やらを使えばよいということなんでしょう。
マイクロソフト用語をちゃんと訳してくれないと困るんだが。 「知識ベース」じゃわかんないよ。「サポート技術情報」って書いてもらわないと。
ちなみに、NTbugtraq で Re: IE cumulative security patch という記事が流れてますが、関係あるんですかね。
KAZZ さん情報ありがとうございます。
またですか……。物理層にセキュリティを期待してはいけないってことなんですかねえ。
仮想 Honeynet のつくりかた。 やっぱ餌としては BSD より Linux の方がいいんだろうなあ。 そういう意味で Linux もべんきょうしナイトいかんなあ > 俺。
名刺に住所が記載されていない謎の組織 (^^;;)
JPCERT/CC がアンケートを行っています。
「本アンケート調査は、コンピュータ緊急対応センター (JPCERT/CC) が発信するセキュリティ関連情報等を利用される方々のご要望をお伺いし、今後のJPCERT/CCの活動の参考にさせていただくために実施するもの
」だそうです。
アンケート期間は 3/1 までの模様。
うーんしかし、問1からいきなり選択肢が……(T_T)。 なぜ「上位組織の管理者に相談する」とか「ユーザコミュニティに相談する」がないのだろう。 世の中にはベンダーと SI と公的機関しかないと思っているのか? そもそもこういう選択肢しか書かれていないことから推測される回答者像とは何なのだ。 というわけで、とりあえず「その他」にチェック。
……お、問2からいきなり問5に飛んだぞ。 「何か」をチェックしないと「問3」や「問4」には行けない模様。
……問11や問12はどう考えればいいんだろう。 JPCERT/CC の announce ML から送られてくるものは全部目を通しているけど、それを何度も読まないと「よく参照する」には該当しないのかな。でも JPCERT/CC から来るものってたいていは、それ自体を何度も読むようなものじゃないよね。 そういう意味で「たまに参照する」にチェック。
……問18、「JPCERT/CCの現在のイメージについてあなたのお考えを教えてください
」というより、「JPCERT/CC について正しいと思う項目をチェックしてください」かなあ。
……問25に選択肢「連絡自体、必要とは思わない」があるのは不適切だなあ。
MS01-058 問題のわかりやすい解説など。読んでおきましょう。
ドミノ 5.x ネタ 3 つ出てます。
Lotus Domino password bypass の件。 何が「バイパスされていません」なのかよくわからないが、 「.ntf」ファイルに対する Anonymous アクセス権を削除すれば、非認証ユーザによるアクセスは回避できるということか。 とはいうものの「新しいドミノサーバーをセットアップする際」にしか設定できないということなのかな。だめじゃん。
R5.0.9 で fix されているそうだ。 bugtraq bugid 4022。
Script for find domino's users, Re: Script for find domino's users の件か? [Web サーバー認証] オプションで [強いセキュリティで少ない名前のバリエーション] を設定すれば回避できる。 bugtraq bugid 3991。
ロータスドミノ Web サーバーの DOS デバイスを使った DoS の脆弱性
KPMG-2002004: Lotus Domino Webserver DOS-device Denial of Service の件。R5.0.9a で修正されている。 bugtraq bugid 4019, 4020。
MSN ワーム
の詳細解説。「Java 機能
」という表現はちょっとアレゲな気が。
B-) さまからのご入金を確認しております。 (mail とどいてます?)
お寒い日本の狂牛病対策 (日経 BizTech)、
「日本で実施されている狂牛病の検査方法は非常に精度が低い。多分、感染した牛の半分から3分の2は見逃されているだろう
」、う〜〜む……。
旧ソ連製航空母艦をアミューズメント施設に改装=人民網 (日経 BizTech)、実は秘かに偽装して、とか。 でも使いにくそうな艦だしなあ。強襲揚陸艦だったらともかく。
OpenBSD libskey の一般 UNIX 用 port が ftp://ftp.ayamura.org/people/ayamura/skey/ で公開されています (from [ftpd 832])。すでに 1.1 版が出てます。 って 1.0 は 1.1 への symlink になってるぞ?!
JANOG 9 プレゼンテーション資料が公開されているそうです。
進むXML電子署名の標準化。W3Cが推奨規格をリリース (ZDNet)。 オリジナル: XML Signature の公開について (W3C 勧告)。Kobayashi さん情報ありがとうございます。
[IIS] Windows 2000 SMTP サービスで 8BITMIME を無効にする方法 、メタベースってうっとぉしいですね。
IEのセキュリティ設定を変更してセキュリティ機能を強化する (@IT)、IE 6 に対応した改訂がされた……のかな。
IEのオートコンプリート履歴を削除する (@IT)、なるほど。
JP312461: スクリプトにより、IE の Cookie データが漏洩または改ざんされる 、
This patch requires that domains that use cookies MUST only have alpha-numeric characters (or '-' or '.') in the domain name. If they do not, cookies may not work properly.
をどう考えて「訳す」と
この修正モジュールは、クッキーをつかうドメインのドメインネームに '-' や '.' といった、記号が含まれているかを要求します。もし、これらの記号が使用されてないと、cookie が正常に動作しない可能性があります。
になるのだ MSKK。ひどいよこれは。 http://support.microsoft.com/default.aspx?scid=http%3a%2f%2fwww.microsoft.com%2fisapi%2fgomscom.asp%3fTARGET%3d%2fjapan%2fsupport%2fkb%2farticles%2fJP312%2f4%2f61.asp なんて URL もシャレにならんし。 何をどう考えるとこういう設計になるのだ……。
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 MS patch 登場など。
VisualStuio .NET の新セキュリティ機能 /GS スイッチは逆にセキュリティを下げてしまう?! という話。 Microsoft のコメント: Inaccurate Claims Regarding Visual C++ .NET Security Feature。
関連記事:
MS、新しい開発ツールにもセキュリティーホール (CNET)
MSの「欠陥」コードをめぐり議論が過熱 (CNET)
[WSJ]Microsoftのコンパイラにセキュリティホール (ZDNet)
[memo:2984] 以降で誤訳に関する議論がされているので参照されたい。 原文は Did MS bug alarm go off too early? だそうです。
脆弱性というより設計思想の問題——争点変わったMS開発ツール論争 (ZDNet)
ある状況において /GS による防御が既知の攻撃手法で見事に攻略されてしまうのは確かにアレなのだけど、一方で Cigital のやりかたも多分に営業目的であるように私には見える。 もちろん /GS がより強固なものになるのは皆にとって喜ばしいことなので、 MS さんにはちゃんと改良してほしいですね。 遅くなるからこれ以上はダメ、とかいうのは、セキュリティを最優先 と言っている企業の言葉とは思えませんし。 少なくとも SSP については体感速度変らないですし。 あ、SSP の 4.4-RELEASE 用の patch 出てますね。
ところで .NET Server って、/GS つきで作成されるんでしょうかね。
とっくに日本語版が出ていた: Visual C++ .NET セキュリティ機能に関する不正確な主張。 technet/security で紹介してくれないと気がつかないよ……。
今日はロクに更新できない予定です。ごめんなさい。
お、O'Reilly Japan で DNS & BIND 第4版の翻訳本の予約注文してます。
先日クソいそがしいのに 機動警察パトレイバー 2 the Movie のビデオを借りてきて観た。 画面に 1999 年とか 2002 年とか出てくるのにもびっくりした (パトレイバーってそんな時代設定だったっけ?) のだが、 映画のストーリーがまるで 9-11 に見えてしまうのにもびっくり。
全国縦断オープンソースセミナー2001・冬 セミナー資料ダウンロード だそうです。(info from kawa さんち)
米下院がサイバー・セキュリティー法案を可決:専門家養成に重点 (WIRED NEWS)。
うぉっ、PuTTY で ISO 2022 による日本語表示・入力を可能にするパッチ。 これはテストせねば。(info from [connect24h:2721])
terminfo → termcap: enacs → eA, smacs → as, rmacs → ae。 手元で維持している kterm 用 termcap では readme2.html に記載されている内容はデフォルトで定義されていた。
読者の意見に答える——「プロのITエンジニア育成問題」に対して (上)、(下) (日経 IT Pro)。 おっしゃるとおりだが、「教育機関としての大学」が求められていることを認識していない教職員のなんと多いことか。前途は厳しい。しかしこれを実現しなければ、実は 10 年後に確実にやってくる「冬の時代」を生き残れないんだよな。
綜合警備保障、ネット利用の安価なセキュリティ製品「るすメイト」 (INTERNET Watch)。確かに「従来のホームセキュリティとは一味違っ」ている。 しかしキティちゃんって……。
pdumpfs: Plan9もどきのバックアップシステム、おもしろそう。 (info from [FreeBSD-users-jp 66940])
MSN Messengerのセキュリティ修正版リリースへ (ZDNet) だそうです。
「第2のエンロンにはならない」と懸命のノーテル社 (WIRED NEWS)、なったらそれこそエラいことだ。
セキュリティ・コンファレンス 2002 Spring、 2002.03.12、東京品川・コクヨホール。有料セッション参加料: パートナー ¥24,000, 一般 ¥28,000。 手元では本年度の予算は使い切りました。 セキュリティマガジン Vol.002 でその存在を知ったときには時すでに遅し (T_T)。くぅ。くやしい。
IIJ,3月よりセキュリティ検査サービスを開始 (ZDNet) だそうです。
宇宙開発事業団に不正侵入 (slashdot.jp)、高々 2 つしかないのに、他者分を推測できるようなパスワードを配布するかふつう? 配布元に問いあわせるのではなく実際に試してしまったのは NEC 東芝スペースシステム側の落度だろうが、しかしなあ……。
InterScan VirusWall for UNIX(Solaris版) Patch2a公開のお知らせ だそうです。
QuickTime Player 5.01/5.02 for Windows (日本語版) に弱点。web server が長大な Content-Type を含むレスポンスを返すと buffer overflow してしまう。 これにより、悪意ある web サーバによって、ユーザコンピュータ上で任意のコードを実行できてしまう。修正プログラムは存在しない。「ActiveXをOFFにする」「.mov ファイルにリンク埋めこみがないか確認する」といった回避方法が示されているが、事実上「使えない」ってかんじ。
……あれ? 何か出てたような気がするけど、消えてるぞ……?!
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 Debian, HP, TurboLinux を追加。
以下の記述はトレンドマイクロからの情報と、匿名希望さんからの情報を統合している。匿名希望さん情報ありがとうございます。
トレンドマイクロの ftp://ftp.trendmicro.com/pcc/virus_pattern/japan/regdata/ に「ウイルスバスター 95」の顧客情報の一部 1388 件のデータが設置されており、 anonymous で login / get できる状態にあった。 設置されていたデータには、氏名、住所、電話番号などが記載されていた。 トレンドマイクロに連絡があったのは 2/13 の夜だそうだが、 2/14 朝には該当ファイルを削除のうえ、外部からのアクセスが遮断された。 記載のあった顧客に対しては個別に連絡が行われている模様。
公開されている経過を見ると、「バックアップからのリストア」が意外な展開をみせてしまったことがわかる。組織における情報セキュリティにおいて「バックアップ」の重要性は認識されていると思うが、「リストアされる過去のデータの存在可否のチェック」の重要性は認識されているだろうか。
発生した事象はアレゲだが、経緯や対応が細かく説明されており、たいへん好感が持てる。
Microsoft official: CoolNow に関する情報。 MS02-005 で修正されている弱点を利用しているので、まずは MS02-005 patch の適用を。 各アンチウィルスベンダーも対応しているようなので、あわせて最新データへの update を。 [memo:2955] MSN メッセンジャー 以下のスレッドも参照。 [memo:2955] には MSN ワームのコードそれ自体が示されているので、アンチウィルスソフトが反応するかもしれません (実行はされません)。
おくればせながらまとめておきます。 IE 5.01 SP2, IE 5.5 SP1/SP2, IE 6 の 6 つの弱点が fix されてます。
HTML ディレクティブのバッファオーバーラン (IE 5.5, 6)
dH & SECURITY.NNOV: buffer overflow in mshtml.dll (CERT Vulnerability Note VU#932283: Microsoft Internet Explorer HTML rendering engine contains buffer overflow processing SRC attribute of HTML <EMBED> directive ) のことだと考えられる。<EMBED> を解析する場合に利用される mshtml.dll に stack buffer overflow する弱点があるため、 悪意ある web ページ開設者、HTML メール送信者はユーザコンピュータ上で任意のコードを実行可能となる。
回避するには [ActiveX コントロールとプラグインの実行] を無効とする。インターネットゾーンではデフォルトで有効になっている。
CVE: CAN-2002-0022
mshtml.dll バッファオーバーフローの詳細が公開されている: Details and exploitation of buffer overflow in mshtml.dll (and few sidenotes on Unicode overflows in general)
GetObject 機能による既知のパス名のローカルファイルの読み取り (IE 5.01, 5.5, 6)
IE GetObject() problems のことだと考えられる。
CVE: CAN-2002-0023
Content-Type および Content-ID フィールドによる [ファイルのダウンロード] ダイアログのなりすまし (IE 5.01, 5.5, 6)
MS01-058 とどう違うのかについて、Microsoft はこのように記述している:
マイクロソフトセキュリティ情報 MS01-058 で説明されている脆弱性の 1 つにも、Content-Disposition ヘッダフィールドおよび Content-Type ヘッダフィールドに関連するものがありました。これは同じ問題ですか?
いいえ、違います。マイクロソフトセキュリティ情報 MS01-058 では、確かに同じヘッダフィールドの処理に関連する脆弱性に関して説明しています。しかし、その脆弱性の影響は、この脆弱性とは根本的に異なります。MS01-058の脆弱性は、実行可能ファイルを自動的に実行させるために使用され、今回の脆弱性は、不正なファイル名を表示するためにのみ使用されます。
また、patch を適用した結果が MS01-058 と大きく異なる:
[ファイルのダウンロード] ダイアログの既定の設定は何ですか?
Internet Explorer 6 以前のすべてのバージョンでは、 [ファイルのダウンロード] ダイアログの既定の設定では、[保存] が選択されており、 ダウンロードしたファイルはシステムに保存されるのみで、実行はされません。 Internet Explorer 6 の問題により、既定で [ファイルを開く] に設定されます。 しかし、この修正プログラムにより、この問題が排除され、 Internet Explorer 6 は以前のバージョンと同じ設定をするようになります。
デフォルト値がまともになる (というか、まともに戻る) のだ。
CVE: CAN-2002-0024
Content-Type フィールドによるアプリケーションの起動 (IE 5.01, 5.5, 6)
[ GFISEC04102001 ] Internet Explorer and Access allow macros to be executed automatically のことだと考えられる。 VBA 入りの Access データベースファイル (.mdb) を Outlook Express email file (って .eml のこと?) か Multipart HTML (.mht) ファイルに含ませておく。 これを IE でアクセスすると .mdb 内の VBA が自動的に実行されてしまうという。 また HTML メールでは、iframe なアクティブスクリプトを利用して 自動実行させることができるという。 http://www.gfi.com/emailsecuritytest にサンプルコードが用意されている。
CVE: CAN-2002-0025
ユーザーがスクリプトを無効にしている場合でも、Web ページがスクリプトを実行することができる脆弱性 (IE 5.5, 6)
fusianasanトラップになんらかの対処を の話 (HTML+TIME2 によるスクリプト実行) だと考えられる。
CVE: CAN-2002-0026
Document.Open 機能による「フレームのドメイン照合」の変種 (IE 5.5, 6)
Internet Explorer Document.Open() Without Close() Cookie Stealing, File Reading, Site Spoofing Bug (既知のパス名のローカルファイルの読み取り) の話。
CVE: CAN-2002-0027
patch があるので適用すればよい。IE 5.01 SP2, IE 5.5 SP1/SP2, IE 6 用が用意されている。ただし IE 5.01 SP2 用の対象は残念ながら Windows 2000 だけだ。 この patch は一度キャンセルされたあとで再度登場したようだ。 [memo:2909] MS02-005 以下のスレッドを参照。
この patch を適用しても修正されない問題については http://jscript.dk/unpatched にまとまった情報がある。ひきつづきアクティブスクリプトの停止などが必要である。
ISSKK 技術情報 をアンテナに追加。
JPCERT/CC への インシデント報告様式がマイナーバージョンアップ されています。
はまもとさん、さすが。大人の対応。 私にはマネできないなあ。
Tea Room for Conference に書きこみできないのは意図されている状況なのかしらん。 ……意図されている状況みたいですね。
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 JPCERT/CC、ISSKK、YAMAHA、MSKK からのドキュメントへのリンクを追加。
あ、 http://www.securityfocus.com/ top page のみばえが変ってる……。
Project: Cerber -- security module for FreeBSD、 デバッグツールとしても有用かもしれません。 (info from FreeBSD おぼえがき)
solution 3663
タイトル: ウイルスバスター2002をインストール後、Outlook Expressの動作が遅くなります
(トレンドマイクロ)、「なお、Mcafee VirusScanをアンインストール時にIMAGEHLP.DLLが削除されることがあります
」。だめじゃん > NAI。
魔の「090金融」被害広がる 携帯番号以外明かさず (asahi.com)、いかにもアヤしそうですが、ワラにすがったために滝壷に落ちる人が多いのかな。
バレンタインにはeカードよりチョコレートを (Sophos)、だそうです。
Adobe PhotoDeluxe 3.1 に弱点。
Adobe PhotoDeluxe 3.1 をインストールした Windows 上で IE/OE を動作させている場合、web ページや HTML メールを経由して「ローカルファイルシステムのディレクトリ名のリスト」を取得されてしまう。
Adobe PhotoDeluxe 3.1 をインストールした Windows 上で PhotoDeluxe 3.1 を起動し、PhotoDeluxe 3.1 の「リンクボタン」 から IE を起動すると、web ページに仕掛けられた任意の Java コードは sandbox を突破できてしまうため、ファイルの閲覧・削除やウィルスの設置などあらゆる悪事が可能となる。
いくつかの回避方法が記述されているが、個人的には以下を設定するのがよいだろうと思う。 これは本弱点のありなしにかかわらず設定が推奨される項目だ。
IE で「Javaアプレットのスクリプト」を「無効にする」に設定する
OE の「セキュリティタブ」で「制限付きサイトゾーン(安全性が向上します)」を選択する
なお、PhotoDeluxe 4.0 ではこの問題は発生しない。
アドビは
Adobe(R) PhotoDeluxe(R) 3.1のセキュリティーホールについて
において
「本件は最新版のPhotoDeluxe for ファミリー 4.0
で発生していないことが報告されております。
最新版へのアップグレードをおこなっていただけますようお願いいたします
」
と述べている。
fix patch を出すつもりはどこにもないらしい。
アコギな会社。
関連: CERT/CC Vulnerability Note VU#116875: Adobe PhotoDeluxe does not adequately restrict Java execution
hns-SA-2002-01: log.cgi および title.cgi におけるリモートから悪用可能な セキュリティ上の弱点(合計2点)
log.cgi および title.cgi にクロスサイトスクリプティング脆弱性が存在。
hns-SA-2002-02: webif.cgi におけるリモートから悪用可能セキュリティ上の弱点
webif.cgi が「direct モード」で動作する場合に認証が不完全。 mail2nikki モード (デフォルト)、 ftp モードでは問題ない。
2002.02.11 以降のハイパー日記システムで修正されている。 hns-2.10-pl2 (stable) か hns-2.19.3 (current) にバージョンアップすればよい。
多数の SNMPv1 実装に弱点。 SNMPv1 request handling (VN#854306) と SNMPv1 trap handling (VN#107186) のどちらかあるいは両方に問題があり、DoS 攻撃や任意のコマンドの実行などが可能。 OUSPG (Oulu University Secure Programming Group) の PROTOS プロジェクトによる成果だそうだ。 PROTOS Test-Suite: c06-snmpv1 というのがそれかな。 アナウンスが出ているもの:
Sun Security Bulletin #00215: snmpdx
Solaris 2.6, 7, 8 用 patch あり。
patch あり。
[RHSA-2001:163-20] Updated ucd-snmp packages available
patch あり。
MS02-006: Unchecked Buffer in SNMP Service Could Enable Arbitrary Code to be Run
弱点あり。まだ patch はない。disable 方法が記載されている。
SGI Security Advisory 20020201-01-A: SNMP Vulnerabilities
「調査中」だそうで。
Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities
affected 多いですねえ。
上記の他にも OS ベンダ、ルータ・スイッチベンダの製品など多数に弱点がある模様。 advisory の Appendix A. - Vendor Information をチェックしておこう。
net-snmp (ucd-snmp)
は 4.2.2 以降で fix されている。
と CERT/CC のドキュメントには書いてあるんだけど、FreeBSD Ports Security Advisory FreeBSD-SA-02:11
とかだと The Net-SNMP port, versions prior to 4.2.3, contains several remotely
exploitable vulnerabilities
になってますね。
……net-snmp の README 見てみました:
*4.2.2* Security Bug Fixes: - A few security bugs have been found and fixed. No known exploits have been released to date. However, users are encouraged to upgrade to the 4.2.2 release as soon as possible.
FreeBSD ports の net/net-snmp は 4.2.1 から 4.2.3 に飛んでいるのでああいう書かれ方になったんでしょうきっと。 今野さん情報ありがとうございます。
関連報道: SNMPに脆弱性——多くのネットワーク機器に影響 (ZDNet)。
IPA から: 広範囲に該当する SNMP の脆弱性について 。
SNMPv1 の実装に含まれる脆弱性に関する注意喚起 (JPCERT/CC)
パクリリンク:
PROTOS リモート SNMP 攻撃ツール (ISSKK)
SNMPv1セキュリティ問題について (YAMAHA)
[SECURITY] [DSA-111-1] Multiple SNMP vulnerabilities (Debian GNU/Linux)
更新版の HP-UX security bulletins digest: HPSBUX0202-184 Sec. Vulnerability in SNMP (rev. 1) も参照。
ucd-snmp: SNMPのサービス停止 (TurboLinux)
MS02-006: SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される (MSKK)
Windows 2000 / XP 用の patch が登場。NT 4.0 など他の OS 用はまだ。
FreeBSD Ports Security Advisory FreeBSD-SA-02:11 ucd-snmp/net-snmp におけるリモートから悪用可能なセキュリティ上の弱点
ツールもの:
[TOOL] SNMP Self-Test Tool Released (Windows)
入手するには [email protected] にメールする。
SNScan (Windows)
flash が有効じゃないとページが見れません。
Getif (Windows)
[pml-security,00232] System Scripting Runtime : SNMPにアクセスできるコンポーネント
VU#107186 と VU#854306 が改訂されているので参照されたい。Vendor 情報ガンガン増えてます。
匿名希望さん (ありがとうございます) からこんな情報が:
もしかしたら、すでに情報を持っていらっしゃるかもしれませんが、CERT advisory CA-2002-03 にも載っていないので情報提供します。
SNMP の脆弱性をつかれるとある特定の設定状態の時に、Dragon IDS が落ちるという情報が Dragon の ML とサポートページに載っています (サポートページは、ID とパスがないと入れません)。
Dragon Sensor (ネットワーク型) の場合、Ver.5 のみが対象ですが NIDS 回避の SNMP トラフィックを受け取ったとき、IDS のプロセスが落ちてしまうそうです。 ただし、SNMP の IDS 回避を検知するような設定になっている場合のみです。
Dragon Squire (ホスト型) の場合、全てのバージョンが対象で、SNMP トラップを収集するような設定の時にプロセスが落ちてしまうそうです。
Dragon Squire に関しては、すでに対策済みのバイナリを利用することができます。 ただし、Ver.5 のみで、Ver.4 のバイナリが出るか不明です。 Sensor に関しては、近いうちに対策済みのバイナリが利用できるようになるようです。
書いてなかったので:
Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities for Cisco Non-IOS Products
Revision 1.3 (Last Updated 2002 February 20) 出てます。 Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities の方は Revision 1.5 (Last Updated 2002 February 20) です。
CISCO のは、 Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities と Cisco Security Advisory: Malformed SNMP Message-Handling Vulnerabilities for Cisco Non-IOS Products が Revision 2.0 になってます。
[SECURITY] [DSA-111-2] Update for SNMP security fix
Debian 用 fix が upgrade されている。
daily HP-UX security bulletins digest: HPSBUX0202-184 Sec. Vulnerability in SNMP (rev. 4)
匿名希望さん (ありがとうございます) からの Dragon IDS 情報つづき:
未だに残っていた Dragon Sensor (ネットワーク型IDS) の SNMP に関する脆弱性ですが、対応したバイナリが 3/1 付けで Dragon のサポートページからダウンロードできるようになっています。
これで、Dragon の SNMP に関する脆弱性はすべてなくなったようです。
SNMP サービスに含まれる未チェックのバッファにより、任意のコードが実行される (MS02-006)
Windows NT 4.0 用 fix が登場した。
SNMPにおける潜在的なセキュリティの脆弱性 対応策 (Oracle)
Master Peer Agent が動作している場合に問題となる。patch があるので適用する。
http://mail.yahoo.com からの mail のフッタになぜか ^M がついているので fml が Security Alert を出しているなぁ……。
某氏 (にしておいた方がいいのかな) から、 "Guidelines on Firewalls and Firewall Policy" は National Institute of Standards and Technology (NIST) Computer Security Division (CSD) の Special Publication (SP) の 800 番台である、との情報をいただきました (ありがとうございます)。 まだ見てなかった (^^;) のでさっそく見てみると、Appendix B. に NIST CSD サイト http://csrc.nist.gov が掲載されています。 SP には 800 番台の他に 500 番台というのがあるのだそうです。
京都新聞の物理版がいちばん詳しかったらしい。 龍谷大 入学金納付期限が二転 合格者の抗議殺到で訂正 (京都新聞)。 それにしても、シャレにならない。
Windows XP「引越ラクラク」テクニック (後編) (@IT)、
「すると転送元側の転送ウィザードはブロードキャストによって転送先を探し出し
」って……。
XP になってもいまだにブロードキャストなのか。
その発想をどうにかしてくれ。
まあ home edition についてはわからないでもないが。
「@Random ってなんですか?」「あんまり盛り上がらない関西セキュリティ界を気軽なノリで盛り上げようというイベントです」。
というわけで 2002.02.23 開催の @Random/ZERO の受付登録が開始されました。
開催日 | 2002.02.23 (土) 14:00-17:00 |
---|---|
場所 |
Club Joule |
料金 | 前売 ¥4,000- 当日 ¥5,000- |
手順としてはこういう感じのはずです:
受付登録する。
@Random から送金方法が書かれた受付確認メールがやってくる。
メールの内容に従って送金する。
@Random から参加者コードが書かれた受領確認メールがやってくる。
プログラムは最終ツメ中なのでもうちょっとまってね。 BBS にちょっと出てますけど。
多数のご参加をお待ちしておりますです。 実際には振込手数料がかかるので前売と当日の差は ¥1,000- もないのですが (ごめんなさい)。 あとですね。万が一 (^^;;) 前売で席が埋まったら当日券はないです。 お金方面のイロイロもあるので、お手数をおかけしますがなるべく前売ってことでおねがいします。_o_
エンロンが示したアメリカ型経済の欠陥 (tanakanews.com)、興味深いですね。
MS,セキュリティ強化でコード修正へ (ZDNet)、境界チェックレベル (buffer overflow とか) で話が済めば簡単なんでしょうが、JavaScript ものみたいに、そういうレベルでは済まないだろうものもけっこうあるわけで、どのくらいの成果が出るかは……。 良い方向に向かっていることだけは確かなようですが。
リマインダー機能を外せ (slashdot.jp)、「不要である」に賛成。
とあるエラーメールから:
XXXXXX@XXXXX... Deferred: Connection timed out with XXXXXX.sun.com. Message could not be delivered for 2 minutes Message will be deleted from queue
2 分で切っちゃうのね……。
龍谷大:入学金納入期限の記載ミス 合格発表時訂正で抗議殺到 (毎日)、なさけなさすぎ。
入学金納付期限が2転、龍谷大に抗議殺到 (日経)、
『龍谷大入試課は「入試要項は約10万部も配布したため、訂正できなかった
』、内部で 2/21 に移せは外には見えんだろが……。
そもそも顧客たる受験生の便宜を考えれば「2/18 に移す」なんて案が出るわけもなく。
営業ノルマ第一じゃ雪印と同じじゃん。実力で勝負しナイト。
bind 8.3.1 の Critical bug fix to prevent DNS storms
の詳細。8.3.0 な人は早急に 8.3.1 に移行するか
9.x に移行するか djbdns に移行するか等の対策をしましょう。
社会復帰中。
CIAC から "Guidelines on Firewalls and Firewall Policy" が出ています。
昨年の盗聴捜査は0件 通信傍受法 (毎日)、本当にしてないかどうかって結局わかんないよねえ。
不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 (総務省)、どうとでも取れる「認知件数」よりも、 検挙状況にほとんど変化がないというコトの方が気になる。
大量データ送りコンピュータに侵入 マレー人留学生逮捕 (asahi.com)、快感になってしまいましたか。確かにスカッと決まると気持ちいいですけど、ケーサツのおせわになる場所で決めるのはやめましょう。
セキュリティーソフトが言論の自由を侵害 (CNET)、隠し体質なんですかねえ。
公取委、電子政府の安値受注で富士通に警告 (japan.internet.com)、
『内閣官房の「情報セキュリティ対策業務支援システム」
』ってどんなものなんだろう。謎の NIRT 関連だったりするのかしら。
「安値入札」で富士通にも公取委が警告 (日経 IT Pro) によると「情報セキュリティ対策支援システム」は 297万5000円 ですな。
Windows XP「引越ラクラク」テクニック(前編) —— 「ファイルと設定の転送ウィザード」による環境移行 —— (@IT)、Net & Com 2002 の Windows XPの社内システムへの展開事例 では「バグってるから使うな」と言っていたが、要は Windows Update してなかったということか。
Tea Room for Conference の #623-1。 これが MS 系の話題なら 1 分以内に取りあげられてるんだろうね。
penetration technique research site に 「改ざんされたサイトのOpenPort(TCP)ランキング(2002年1月)」 が出ています。
[memo:2909] MS02-005、近々ようやく fix が出る模様。 IE 5.01 SP2 用、IE 5.5 SP1 用 fix もあるみたい なのは注目。
Bluetooth凌ぐ超低電力軍事無線技術、民生用解禁へ (日経 BizTech)、 「非常に広い帯域」とは「数 GHz」を意味する模様。
いまだに前売りがはじまらない @Random/ZERO ですが (ごめんなさい)、 こういうことになってます。なんとか 2/12 には前売開始したいなあ。
開催日 | 2002.02.23 (土) 14:00-17:00 |
---|---|
場所 |
Club Joule |
料金 | 前売 ¥4,000- 当日 ¥5,000- |
カッコイイ本番サイトももうすぐできると思います (多分)。 あと、終了後に何かあるという話もあります。
Cisco Security Advisory: Cisco CatOS Telnet Buffer Vulnerability
問題になるのは以下のスイッチだそうで:
The following Cisco Catalyst Switches are vulnerable: ・ Catalyst 6000 series ・ Catalyst 5000 series ・ Catalyst 4000 series ・ Catalyst 2948G, 2980G, 2980G-A, 4912G - use Catalyst 4000 series code base ・ Catalyst 2901, 2902, 2926[T,F,GS,GL], 2948 - use Catalyst 5000 series code base
Cisco Secure Authentication Control Server (ACS) 3.0.1 for Windows NT を Novell NDS と組みあわせて利用している場合に、NDS 上で "expired" あるいは "disabled" されても ACS での認証ができてしまうという。 ACS 2.6 以前の場合や NDS を利用していない場合、ACS for UNIX を利用している場合は問題ない。
Windows 2000 telnet サービス、Interix 2.2 の telnet daemon に弱点。 バッファオーバーフローが発生するため、remote から telnet サービス/daemon に対する DoS 攻撃の他、telnet サービス/daemon 実行権限 (Windows 2000: local SYSTEM, Interix: 「インストール プロセスの一部として実行されるセキュリティ コンテキスト」) における任意のコマンドの実行も可能。 これってなんだか multiple vendor telnet daemon vulnerability に見えるのだが、CVE 番号は新規のモノになっている。
patch があるので適用すればよい。 Windows 2000 patch は Windows 2000 SRP1 に含まれている。
CVE: CAN-2002-0020
Exchange 2000 に弱点。 Exchange の Microsoft Exchange System Attendant に問題があり、誰でも remote からレジストリの WinReg キーにアクセスできてしまう。 patch があるので適用すればよい。
CVE: CAN-2002-0049
Office v. X for Mac に弱点。 Office v. X for Mac に含まれる海賊版防止機能 Network Product Identification (PID) Checker に対して特定の不正なリクエストを送ると PID Checker がダウンしてしまう。 そして PID Checker がダウンすると Office v. X もダウンしてしまい、DoS 攻撃が成立。
回避方法としては「ポート 2222、ポート 3000 より大きいトラフィックのブロック」を行う。なにやら妙にあいまいな記述だが、多分、localhost でこれを行えば PID Checker それ自体の機能が封じられてしまうため、わざとボカしているのだろうと推測。 それにしても貧弱すぎる記述だなあと思うことしきり。
対応方法としては patch があるので適用すればよい。
リンクとか備忘録とか日記とか の2002.02.08 の 3. 、patch に書いてあることは MS02-002 にも増してわけわかめですものね。 あわせて ■ によるリンクをまねっこしてみるテスト。
CVE: CAN-2002-0021
認知件数は大幅に増加したにもかかわらず、検挙件数にはほとんど変化がない。 これが意味するのは「警察担当者 DoS 状態」か? 認知件数では「ホームページ書換えプログラムによるホームページ書換え事案 (813 件)」 (sadmind/IIS のコトのようです) が最も多いようだが、これらは事実上「捜査してません」ってことなんだろうか。 なんだろうな。
「検挙事件の特徴」は、このような状況が存在しないと警察は検挙できないのだ、とも取れる。 要は、古典的な事件捜査が有効である範囲、ですよねえこれって。
検挙した35事件(67件)中20事件(33件)が元社員や元交際相手等の顔見知りからパスワードを知り得た者の犯行であり、不正アクセス行為が行われた原因としては、パスワードの定期的な変更を行っていなかったことが挙げられる。
というあたりは「やっぱパスワード管理は基本」とは言えると思うけど。
DeleGate で pop3 proxy を行っている場合に、長大な USER (1024 以上) を指定すると buffer overflow が発生するという指摘。 指摘者は「DeleGate はデフォルトで stack ランダム化を行うが、我々は EIP 上書きに成功した」と延べている。 execve() trap 機能 (-Tx) の方は試してないのかな。
Re: [Global InterSec 2002012101] DeleGate Application Proxy - Multiple Vulnerabilities では、-Tx に対する攻撃可能性が示されている。もっとも、成功しましたぁという話ではないようだ。
NetScreen を使っているときに内側から外側に向かって port scan すると NetScreen 自体が DoS になってしまうという話。 対策としては、2.6.1 以降についている set firewall session-threshold source-ip-based [num] を使って source address あたりのセッション数を制限する。 NetScreen Response to ScreenOS Port Scan DoS Vulnerability も参照。
この会社/この製品に限らず、firewall 製品の「同時セッション数」には限りがあるのがふつうなので、同様の設定をしておこう。
mIRC 5.91 以前において 100 文字以上の "NICK" メッセージによってバッファオーバーフローが発生。これを利用すると、悪意ある IRC サーバ管理者は mIRC が動作するコンピュータ上で mIRC 動作権限において任意のコマンドを実行できる。これは mIRC 6.0 で修正されている。
「悪意ある IRC サーバ」なんてのには接続しないから ok ok と思っているのは間違い。 web page に <iframe src="irc://irc.hackme.com:6666"> と書いてあると mIRC は自動的に接続してしまうのだ。 もしここに「悪意ある IRC サーバ」が指定されていたら……。 これは 6.0 でもそのまんま。
詳細: mIRC Nickname buffer overflow, mIRC irc:// handling vulnerability。
ここに書かれているのは「意図して」書かれた攻撃だけど、Nimda みたいに「意図せずに」攻撃スクリプトが書かれる場合もあるわけで。困ったものです。
エンロンが仕掛けた「自由化」という名の金権政治 (田中宇の国際ニュース解説 )、たまには抵抗勢力も役に立つ? まあ癒着着々という意味では大同小異のような気も。
Daisy 1.5 出てます。 HFNetChk みたいなもののようです。ソースつき、というところが good。 (info from NTBUGTRAQ)
浜崎発言に関するコメント (AVEX)、真実は見えるか。 (info from INTERNET Watch)
2/6, 7 は千葉方面に出張するのでこのページの更新はたぶん止まります。 気が変わったらホテルからいじるかもしれませんが……。
mailbox size も認識しないままアーカイブを get するのはやめてほしいよね。
[memo:2852] [FYI][MIV]【ウイルスメールに関するセキュリティインシデント対処方法】コンテンツ作成プロジェクト、 関連事例として JWNTUG 方面でアレゲな mail を出しちゃったときの話とかまとめておくといいのだろうけど、今は時間が取れない……。
HFNetChk 3.32 が出たそうです ([memo:2860])。 -d の問題が fix されているようです。
Computer Security Incident Response Team (CSIRT) Frequently Asked Questions (FAQ) (CERT/CC) だそうです。
大手検索サイトに見るクロスサイトスクリプティングの脆弱性の実態 (netsecurity.ne.jp) の関連資料。 Tea Room for Conference は No.623 もなかなかアレゲですね。
あ、slashdot.jp に
お知らせ: メンテナンスのため,2/6(水) 14:00- サービスを一時停止します. 夕方には復旧する予定です
なんて出てますね。
Vulnerability in Black ICE Defender への回避策。 Windows 2000 / XP 上で BlackICE Defender 2.9 や 2.9.caq (2.9.caqJ) を利用すると、デフォルト状態では 10,000 バイトの ping パケットを送りつづけられるとブルーサンダーかリブートしてしまうのだそうだ。 fix 版はまだないので回避策を取っておきましょう。
藤井さん情報ありがとうございます。 ところでこのページ、mozilla 0.9.7 だと読めないんですが、意図された行為なんですかねえ。
mozilla で読めない件は修正されたそうです。安食さん情報ありがとうございます。
あまりこまごまと書かれてるわけじゃありませんが、MS の人が書いたわけじゃないので、snort とか netcat とか dshield.org とかも登場してます。 dshield.org 的なサイトには mynetwatchman.com なんてのもあったんだ。ふぅん。
リンクとか備忘録とか日記とか の 2002.02.03 ですが (Tea Room for Conference No.620 も盛りあがってますが)、 そんなに問題ですかねえ。 今回の問題の経緯を考えれば、石川さんと太洋さんが公開しなかったらそれでよかった、と簡単に言えるようなものじゃないとも思いますし。
1 点だけ:
例えばブラウザからダウンロード機能が削除されたり、Stuffit Expanderで.sit.hqxなファイルを解凍しても.sitが出来るだけで完全な解凍までしてくれなくなったら、それはどうなんでしょう? 誰も使わなくなるでしょうね。そこまでの利便性の後退は要求していませんが。
MacOS じゃない世界では「.sitが出来るだけで完全な解凍までしてくれな」いのがふつうなのですけど……。 なんでもしてくれ主義って insecure への第一歩だと思うし。
クリントン前大統領:テロリズムを終息させるのは「共通の人類意識」 (WIRED NEWS)、 「テメェがやってきたことを棚に上げてよく言うよ」 ってやつですか。 US の言う「共通の人類意識」なんてやつは、おうおうにして「US の価値観のおしつけ」だったりもするしさ。
[aml 26319] 「さわぎり」乗員事件裁判とは、
『(海自の) 事故調査報告書については、「自浄・内部改革能力はなく読むに耐えない」と指摘
』
と断定されているあたりが「さすが」自衛隊。
Postfix 1.1.3 が出てます(info from postfix-jp ML)。 やっぱり 2 度あることは 3 度あった。 もうしばらく寝かそう……。
bind 8.3.1 出てます (info from installer ML)。from README:
BIND 8.3.1 Highlights Critical bug fix to prevent DNS storms. If you have BIND 8.3.0 you need to upgrade.
「権威ある雑誌に載ったものではあるが,当社はこの論文を評価していない
」。It's a SONY。
……八重倉さんから (ありがとうございます):
ZDNetJapanが重大な誤訳をしているように見受けられますのでメール致しました。
ZDNetUK (http://news.zdnet.co.uk/story/0,,t269-s2103574,00.html) の原文 では、
We're not belittling this report, though, as it comes from a reputable source.
とありますので、「(前の文を受けて)しかし、我々はこの報告を軽視していない、なぜなら尊敬すべきソースによるものだからだ。」くらいが正しい訳かと思います。ZDNetJapanはbelittleの訳を間違えているようです。
該当個所をまるっと抜き出すとこうですね:
Speaking to ZDNet UK on Friday, Sony insisted that it already supplies health warnings with its products. "We recommend that users take a 15-minute break every hour, and stop playing immediately if they suffer discomfort. Playing a PlayStation for seven hours a day is against all the guidance we offer," a Sony spokesman said. "We're not belittling this report, though, as it comes from a reputable source."
though は "Playing a PlayStation for seven hours a day is against all the guidance we offer" にかかっているんでしょうね。 というわけで、悪く書いてごめん > SONY。 だから原文 link 必要なんだってば > ZDNet。 いつになったら訳者よりも読者を意識するようになるのやら。 このままでは鈴木省と同じじゃん。
Macinosh IE file execuion vulerability のつづき。IE、iCab だけでなく、全てのブラウザ、さらには Stuffit Expander を呼び出す全てのアプリで問題が発生する可能性。 とりあえず、リンクとか備忘録とか日記とか 2002.02.01 にある対応方法を読んで対応しておいた方がよさげ。
しかしこれはやっぱり、Mac ユーザは「日常的に利用している機能を止める」ことになるわけですから、詳細がわからないと対応する気にならないだろうし。 公開すんなって言ってる人は「Mac ユーザってたいていアレゲだから、詳細がわかっても対応しないかも」とか思ってるのかもしんないけど。 まーそれはそれで正しいのだろうが、そういう意味では Windows だって Linux だってたいして違わんだろうし。 というわけで、ことさら「Mac コミュニティ」を持ち出してどうこういうのもなんだか。 MacOS X が出た段階でそういう甘い話はもう終ってるんだし。
また元はと言えば、autorun だのディスクイメージ自動解凍だのという「どう見たって危険だろオイ」という機能が見事に悪事の原因となっているわけですし、 autorun 悪用したモノがあったのは今に始まった話でもないですし。 そういう意味でも、隠したところでどうなるってもんじゃないと思うし。
ちなみに IE 4.5 で回避とかいう話ですが、 昔のわたし は『IE 4.5 は一般利用という観点では「セキュリティ以前」の問題がある』と書いてますね。
mozilla: 任意のホストのクッキーが不正に取得されてしまう
これがウワサの「巨大」fix package ですね。 まあ IRIX の patch を慣れた人から見れはカワイイもんですが。 私の場合、UUCP 2400bps のころから patch 50MB はあたりまえだったので、なんとも思いません。
FreeBSD-SA-02:08.exec の exec-43R.patch ですが、 FreeBSD-SA-01:55.procfs の procfs.patch と競合しちゃいますね。 sys/miscfs/procfs/{procfs_mem.c,procfs_vnops.c} がそうなんですが、 これらについては CVS から RELENG_4_3 の最新版をまるごともってきて置けばいいのかなあ。
Nikto web scanner だそうです (info from securiteam.com)。
不正アクセス対策カンファレンス、2002.02.15 津田ホール (東京、JR千駄ヶ谷駅前)、無料。 警察庁や経済産業省情報の人を呼んできているあたりが、さすが NTT コミュニケーションズ (ここでの「さすが」にはもちろん複数の意味がある)。 藤井さん情報ありがとうございます。
うぉう、学研電子ブロック EX-150 先行予約 2002年2月13日 (火) 10:00 AM 開始、先着2000名限定となっ。lock on。
防衛庁関連データ盗難 戦闘機開発装置の資料 (中日)、 少なくとも私がいたころは、あそこの入退室管理はとってもザルだったしなあ。 今回のだって、ハードが盗まれたからわかったのであって、データだけ盗まれてたらわからなかったでしょ、きっと。 渥美さん情報ありがとうございます。
cacanet-talk という ML があったのね。
おぉ、「ROBO-ONE」に「先行者」!! (ZDNet)。 (皇(こう)さん感謝)
[social-memo:12] よくやるよ・迷惑メール、 そう言われてみれば、2 月になったんですね。 私もさきほど [email protected] に送ってみた。 さて、今日一日でどれくらい集まるんですかね。
SecurityFocus.com Newsletter 第 129 号日本語版 (テキスト)。
「IIS が Httpext.dll の読み込みに失敗した場合、コアの Web サービスは内部ルーチンを使用して PUT 要求を処理します。DAV を無効にすることは IIS で設計されている設定ではないため、この内部ルーチンのテストは行われていません
」。
うーん。凄すぎる。
レジストリを設定することで ok になるんだってさ。 また SRP1 で修正されているんだそうだ。
氷山の一角、というか、氷山のひとかけでしょうか。