Last modified: Fri Mar 5 23:57:21 2004 +0900 (JST)
ウイルスの次のターゲットはMSメディア・プレーヤーか (WIRED NEWS)、これまでも安定して穴を供給してますしねえ。
■コラム■■ インターネット・ジャーナリズムの試み (毎日)、あら〜終っちゃうの?
そういえば、
Microsoft .NET Framework Service Pack 1
というのが出てますね。
[INFO] .NET Framework におけるデフォルトのマシン レベル セキュリティ ポリシーの変更について
という変更がされているんだそうで、「インターネット ゾーンからダウンロードされるマネージ コードの実行が許可されなくな
」るそうです。
アップル、15歳のオープンソース開発者を締め出し (WIRED NEWS)。NSA 用の穴をつくるとか、アダルトな機能を付加するとか、そういうことが予定されているんだろうか (邪推)。
新着サポート技術情報 を読もうと思ってアクセスしたら、 こんなエラーが出た。
[WSJ] プライバシー問題に敏感なサイトが増加傾向 (ZDNet) だそうです。
なんか出てます。
Retrieving information on local files in IE (GM#003-IE)
(既知のパス名の?) ローカルファイルのファイル情報を得られる話かな。
HELP.dropper: IE6, OE6, Outlook...lookOut
手元の Windows 2000 ではうまく動かないみたいなのだけど、Windows 98 だと動くのかなあ。
ホントにこんなにいっぱいあるの?
佐藤さんから (情報ありがとうございます):
リンク先で紹介されている「デフォルトのオラクルユーザ」は、「米国オ ラクル本社が出荷している製品、オプションおよびデモンストレーション 環境全てを、デフォルトの状態でインストールした際に作成される、オラ クルRDBMSのユーザアカウント」のようです。通常の方法でRDBMSを作成し た際には、RDBMSに作成されるユーザはsys, system, outln, dbsnmpの四 ユーザとなります。 オラクルを利用したプログラムを作成する際に使用することのあるオプ ション製品(Pro*C)およびそのデモンストレーションデータをインストー ルしなければ作成されないユーザ、基幹業務アプリケーション(Oracle Applications、SAP R/3と同じようなレイヤの製品です)およびそのデモン ストレーションユーザをインストールしなければ作成されないユーザなど が数多く並べられています。リスト中の多くは後者のものとなります。 外部ネットワークからオラクルへ接続することは通常厳しく制限されてい ますし、またオラクルのインスタンスに大して与えられたID (SID)が分か らなければ、ユーザ・パスワードが分かっていても接続はできません。 もっとも、内部ネットワークからのクラックには使えるリストであること は確かですので、データベース管理者の啓蒙には十分役立つリストである と思います。
古いまんまのホスティングものって多いですよね。穴あり PHP つきとか。 堅めかつ安くて土管が太いホスティングなところってあるのかなあ。というか探してるんですが。
JPCERT/CC のような金も資源も枯渇している (らしい) し立場も不安定 (らしい) 組織がどこまで「調整」できるのかには疑問があるのだけど、ニーズだけは山のようにあるんだろうなあ。というか、こういうところにちゃんと資金を投入しナイト > 政府。 10 億程度ですばらしい成果が出るぞ、多分。
アジア太平洋地域セキュリティインシデント協力会議 は 3/24〜26 に行われていたようです。
2002.02.19 の Microsoft Compiler Flaw Technical Note に追記した。MS コメントの日本語版 Visual C++ .NET セキュリティ機能に関する不正確な主張 が出ていた。
稼働を開始した 総務省電子申請・届出システム に関する問題点 2 点。 情報処理振興事業協会 公募 もアレゲだったが、それを遥かに越えてアレゲ。
関連スレッド: 総務省「電子申請・届出システム」は信頼できるか (slashdot.jp)。 関連報道: 総務省、インターネットによる申請・届出システムの運用を開始 (INTERNET Watch)。
総務省電子申請・届出システム等のセキュリティ対策 〜「安全な通信を行うための証明書」の確認のお願い〜 (soumu.go.jp, info from [memo:3508])。 何を批判されたのか理解できていない模様。
総務省 電子申請システムにセキュリティー上の問題 (毎日)。
電子商取引では、企業などの第3者認証機関で認証された暗号を利用した電子認証の仕組みが一般化しつつある。マイクロソフトのIE(インターネット・エクスプロラー)や、ネットスケープ・ナビゲーターなど主要なブラウザーに、こうした認証機関が認められていれば、パソコンの画面に警告が出ず、そのまま利用できる。
現状では、総務省はそうした認証機関として認められていず、暗号化を行えば主要ブラウザーでは「信用できない」と表示されるため、同省では「混乱を避けるため」暗号化を行わなかったとしている。
また、民間認証局を利用しなかった点について、総務省情報流通振興課の宮田拓司課長補佐は「民間認証局と総務省のポリシーが全く同じとは限らず、将来的にその違いが問題化する可能性もあった」と説明している。さらに「電子申請システムは、多くの人が安全で簡単に操作できなければならないと考えており、今後検討したい」とシステム改善の可能性についても言及した。
官僚用語「今後検討したい」を翻訳すると「とりあえず何もしない」かな。
総務省電子申請・届出システム等のセキュリティ対策等 〜 運用開始後1か月に伴うシステムの見直し 〜 (総務省)。いろいろとリニューアルされた模様。 セキュリティな改善点、とされているもの:
申請システムに問題点が発見された場合は、利用者に e-mail で連絡。
証明書のフィンガープリントを報道発表等により周知 (うーん……)。 http://www.e-gov.go.jp に載せる他、 官報による公示もされる予定だそうで。
「部品」のセキュリティ fix (INTERSTAGE FormCoordinatorにおけるセキュリティの問題(2002.05.07) を参照)。
電子申請・届出システム又は電子申請・届出システム(体験システム)をご利用された方へ で説明されている「部品」の修正版では、2 番目の問題である「Javaアプレット署名者の不可解な名前」(AppletSign) は「MPHPT (Soumu-sho)」に変更された模様。参照: ブラウザで自動実行される部品の署名者(AppletSign)を「信頼された発行元」から削除する手順。
しかし、1 番目の問題、「ルート証明書の配付が安全に行われていない」についてはいまだ改善されていない。
安全な通信を行うための証明書について (title タグつけなさい)
の A.4 は「SSL環境下だから安心ということはありません
」としているが、
それを言うなら「フィンガープリントを確認したから安心ということはありません」
でしょう。
官報による公示もされるようですが、それで解決ってことにはならないと思うし。
http://www.e-gov.go.jp にフィンガープリントを載せるそうなので、
https://www.e-gov.go.jp (というサイトはないみたい) をふつうの (民間) 証明書でつくるのがいちばん早道な気がするが……。
Microsoft Internet Explorer 5.01 SP2, 5.5 SP1/2, 6 用の最新の修正プログラムが登場。これまで修正された全ての問題の他に、以下の 2 点の問題が修正されています。
Local Executable Invocation via Object tag
IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE) のことだと考えられます。
Cookie-based Script Execution
詳細は不明ですが、cookie に組み込んだ script を Local Computer Zone で実行させられるようです。 IE 5.01 にはこの問題はなく、5.5/6 のみの問題だそうです。
また、一旦サポートが停止されていた Windows NT 4.0 SP6a 上での IE 5.01 SP2 の動作が再サポートされています。しかし Windows 9x/Me ではあいかわらず IE 5.5 SP1 以上しかサポートされていません。
正式版が出たので link を修正。
Cookie-based Script Execution の発見者による情報: IE: Remote webpage can script in local zone。
The problem is that IE can
be tricked into thinking that any non binary local file is a html
document
なのだそうだ。
cookie やお気にいり (ブックマーク) の他、Winamp (インストールされていれば)
のプレイリスト (c:/program files/winamp/winamp.m3u) を使った攻撃ができるみたい。
Winamp については Winamp: Mp3 file can control the minibrowser という話もあるそうだ。 特殊な .mp3 ファイルで Winamp に組み込まれている minibrowser を制御できてしまう模様。
多くの UNIX において、xdm が使用する XDMCP (X Display Management Console Protocol, 177/UDP) へのアクセスを制御する Xaccess ファイルに
* #any host can get a login window
* CHOOSER BROADCAST #any indirect host can get a chooser
と書いてあり、無制限にアクセスが許可されている、という指摘。 CERT/CC Vulnerability Note VU#634847。 FreeBSD 4.5-RELEASE (XFree86 3.3.6, /usr/X11R6/lib/X11/xdm/Xaccess) でも同様。 XFree86 4.x だとコメントアウトされているらしい。 Solaris だと /usr/dt/config/Xaccess。 xdm(1) も参照。
対応としては、上記 2 行をコメントアウトする。
Cisco CallManager 3.1 に弱点。CTI Framework authentication においてメモリリークするため、server が crash → reboot してしまう。 これを利用した DoS 攻撃が可能。 対応方法: 3.1 (3a) 以降に upgrade する。
2002.03.06 の セキュアWebシステム構築術 第五回:不正侵入を見抜くために正確なログを取得 に追記した。「次号乞うご期待」の第六回が登場。
TurboLinux: zlib: zlib 関連のアップデート2
zlibライブラリーをスタティックリンクしているパッケージをアップデートしました
のだそうです。
postfix 1.1.6 が出てます。 postfix-1.1.6.RELEASE_NOTES によると、1 行の長さ関連の変更が主のようです。 Bypassing content filtering software の話にも通じるものがあると思います。
[Umdhtools.exe] Umdh.exe を使用してメモリ リークを検出する方法 というのがあるそうです。
サイバーテロ緊急対応支援チームを設置へ 政府 (毎日)。これがウワサの NIRT かな?
「官民のコンピューターセキュリティーの専門家15人
」ってだれなんだろう。
細野豪志の国会へ行こう#67 『辻元清美議員の政策秘書給与ネコババ疑惑』、JavaScript が有効でないと読めない top page はなんとかしてほしいぞ。
これまでで最もパフォーマンスの高い「SSH Secure Shell 3.1 日本語版」出荷開始 (ZDNet)、ようやく日本語版も 3.1 になった模様。 「あれ」は直っているのかなあ。
PC 互換機を動かす前に、バルクなメモリを入れた際などは特に、 memtest86 でチェックしたりするのですが、Mac で使えるこういうソフトとしてはたとえば マックメムテスター というものがあるそうです。 Gauge PRO では 1GB over をテストできないので新規につくってしまったのだそうで。 (info from [macosx-jp:10024])
みずほ銀、システム未統合のまま見切り発進へ (日経 BizTech)。マジなのか?! カミカゼ・アタックか?!
有限会社 丸伊食品 から 「このメールは、Exchangeサーバーの製品登録をなさっているお客様で弊社からの情報の受け取りを希望されている方にお送りしています」 という「Exchange 5.5 Speed Migration セミナー」の案内メールがやってきた。 有限会社 丸伊食品との取り引きなんてしていないし、Exchange サーバーも持っていないのだが。
その「独自仕様」はほんとに secure なんですか?
http://www.imasy.or.jp/~ume/presentation/ で梅本肇さんのプレゼンテーション資料が公開されています。 また http://www.imasy.or.jp/~ume/published/ には梅本さんが FreeBSD PRESS 等で発表された記事が公開されています。
WinMXで逮捕の2人に罰金命令 (ZDNet) だそうです。
「仕組まれた9・11」と中国、本が出たんだそうで。
ケンウッドとセコム、セキュリティ機能持つカーナビ開発 (日経 BizTech)。盗難対策、かな。 そういえば、松下電工、セキュリティ用高感度GPS発売へ (毎日) というのもありましたね。
経済産業省,3月29日に“ECの法解釈”を公開 (日経 IT Pro) するんだそうです。
第一勧銀ATM障害の原因はプログラム・ミス (日経 BizTech)、統合がらみのトラブルだそうで。
新型の DDoS 攻撃 "Distributed Reflection Denial of Service" (DRDoS) に関する実話。 第三者サーバを経由した SYN/ACK flood、と理解すればいいのかな。
フィルタリングソフトをくぐり抜けるためのいくつかの方法。 13. Case sensitivity of Content-Type and Content-Disposition は Norton AntiVirus に対して有効なのだそうだ。
またこれとは別に、FUJIWHARA さんから以下の情報をいただいている (ありがとうございます)。
先ほど、NAVメールゲートウェイがW32.Impo.Gen@mmに対応出来無い、と申し あげました件ですが、当方にて引き続き調査した結果、NAVの仕様とMS製品 の仕様によるものであることが判明いたしました。 Symantec社が「壊れたMIME」としている物は、実際のウイルスでは、一行あ たり、1000文字を超える行のBase64エンコードの事でした。 そして、MS社製品は、現在最新のUpdate(Microsoft(R) Outlook(R) 2000 SR-1(9.0.0.5414)のOutlookでの検証ですが、このMIMEを解釈します。 これは、今回のW32.Impo.Gen@mmに限らず、全てのウイルスに関して起こる ことを確認いたしました。即ち、別のウイルスをMIMEエンコードし、1216文 字で改行させる事により、NAVをすり抜ける事が判りました。無論これは、 通常のメーラでは、恐らく処理されないと思われますが(電信8号での確認 のみです)、Outlookでは処理されました。 弊社では、メールサーバの設定により、ウイルスの有無に関わらず、処理す る設定を加える事により対処することになりました。 以上、当初のご報告とは若干形が変わってしまいましたが、問題としては、 メーラもしくはサーバが、RFC821/822での1000文字/行に準拠するかしない か、に依存する問題であるという結論になりました。
libsafe 2.0-11 以前に、format バグ防御機構を回避できてしまう弱点など。2.0-12 で fix されている。最新は 2.0-13。
SecurityFocus.com Newsletter 第 136 号日本語版 (テキスト)。
SecurityFocus.com Newsletter 第 135 号日本語版 (テキスト)。
Qualcomm Eudora 5.1、Microsoft Outlook 2000, Outlook Express 5/6 をはじめとする、 WebBrowser コントロールを利用する任意のアプリケーションに弱点がある可能性。
IE / WebBrowser コントロールの HTML+TIME 1.0 の機能を使うと、制限つきサイトゾーンの内部からでも既知のパス名にある .wmv ファイルを開くことができてしまう。 そして、たとえば Eudora 5.1 がデフォルトで添付ファイルを展開するパス名は既知である。 このため、たとえば Eudora 5.1 に対して次のような攻撃が実行可能だという:
添付ファイル gmlaunch.wmv, gmbind.html, malicious.exe が含まれた HTML メールを用意する。
メールが開かれると、上記添付ファイルは C:/Program Files/Qualcomm/Eudora/Attach/ ディレクトリに展開される。
HTML+TIME 1.0 の機能を利用することにより、HTML メールから gmlaunch.wmv を media player で演奏させる。HTML メールで display:none; と記述することにより、media player の起動はユーザからは見えない。
gmlaunch.wmv が IE を開き、gmbind.html を解釈させる。
gmbind.html はマイコンピュータゾーンで解釈されるため、ここから <object> タグを使って攻撃コマンド malicious.exe を実行し悪の限りをつくせる。
回避方法としては、たとえば Eudora 5.1 においては、WebBrowser の利用停止や、添付ファイルが展開されるディレクトリをデフォルト値から変更することが示されている。 また WebBrowser コントロールを用いる場合は、添付ファイルの展開ディレクトリが既知の値にならないようにしなければならないと指摘されている。 Eudora 5.1 はあくまで、弱点を持つアプリの 1 つでしかないことに注意されたい。 Outlook 2000 や Outlook Express 5/6 に対しても同様の攻撃が可能だと指摘されている。
関さん情報ありがとうございます。
[RHSA-2002:035-18] Updated PHP packages are available [updated 2002-Mar-11]
update されている。
[RHSA-2002:026-43] Vulnerability in zlib library
update されている。
Added kernel packages for Red Hat Linux 6.2 on sparc64. Updated VNC
packages as the previous fix caused another denial of service
vulnerability; thanks to Const Kaplinsky for reporting this
だそうだ。
squid 2.3、2.4.STABLE4、2.5、2.6 に弱点。 内蔵 DNS コード (lib/rfc1035.c) において、圧縮された DNS アンサーメッセージの扱いに問題がありバッファオーバーフローが発生。悪意ある DNS サーバは DNS 応答を細工することにより squid を停止させることが可能。 ただし任意のコードの実行はできないと考えられている。
squid 2.4.STABLE6、および最新の squid 2.5/2.6 で修正されているので入れかえる。また、内蔵 DNS コードの使用をとり止める (--disable-internal-dns オプションつきで configure する) ことにより、この問題を回避できる。
Vine Linux: ●2002,4,11● squid にセキュリティホール
Solaris と Windows 2000 での「セキュアなWebサーバ」の構築に関するドキュメント。全体としては、いまいち詳細さに欠けるような気がする。BIND とか qmail はいらないだろうし。 [connect24h:3524] から続くスレッドにも議論がある。
web アプリの開発については同じく IPA の セキュア・プログラミング講座 を参照。 そういえば、平成13年度 IPA/ISEC 活動報告 というのも出てますね。
Microsoft Money 集計表問題、 これってつまり「まともに計算できてない」ってコトですよねえ。 いやはや。 (info from 中村正三郎のホットコーナー)
歴史的な言論メディア裁判で最悪最低の判決が!本誌側は即日東京高裁に上告手続き! (uwashin.com)。 スゲェ判決だが、このおかげで (!!) ウワシンはあと 2 年は続く模様。 皮肉だなあ。 (info from 中村正三郎のホットコーナー)
2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 FreeBSD の新 patch 状況。
2001.11.26 の ウェブアプリケーション用セッションIDの総当たり攻撃 に追記した。翻訳版が出たのはいいけど、なんと売りもの。
枯れた手口が一番怖い。IM/IRC利用者は特に注意 (ZDNet)。どくいりきけん たべたらしぬで。
MS,文字よりもセキュアな「画像パスワードシステム」のデモ (ZDNet)、画像もたいして覚えられないと思うんだが。少なくとも私にはよ〜覚えれん。
jasdf.go.jp、確かに Organization が変ですね。(from [memo:3388])
“暮しの手帖”的なセキュリティ情報を (日経 IT Pro)。 日経ネットワークセキュリティ 2002 Vol.1 のサポートページつくらないといけないなあアセアセ。 誤殖が多くてごめんなさい。_o_
……つくりました。
誰がアフガン女性のために戦ったというのか (ル・モンド・ディプロマティーク 日本語・電子版)。 フランスでは、主流メディアにもちゃんとこういう話が出るってことなんでしょうか。
きれいな戦争という汚い嘘 (ル・モンド・ディプロマティーク 日本語・電子版)。
やっぱり劣化ウラン。心配された通りの状況になっている模様。
「UNEPの調査はひいき目に言ってもつじつまが合わず、WHOのものはほとんど信用がおけない
」ってあたり、救いがなさすぎ。
台湾や韓国や日本も、「いざ鎌倉」で米軍が「援軍」にやってきたら劣化ウラン汚染で GO! ってコトを認識した方がいいと思う。花粉症どころのサワギではない。いや、花粉症でも十分ひどいのだが。
日本に求められる正真正銘の政府 (ル・モンド・ディプロマティーク 日本語・電子版)。あの『アメリカ帝国への報復』の人ですね。
Windows XP Professional および Windows XP Home Edition のセキュリティ最新情報。UPnP に大穴がある状態で出荷されております、とか、IE 6 は穴だらけです、など、売り文句にならないことは書かれていない。
Questionable security policies in Outlook 2002 の話だろう。iframe 中に URL を書くと問いあわせなしでダウンロードされてしまったり、JavaScript 実行が off になっていても実行させる方法があったり、HTML メールで cookie 禁止になっていても cookie が読み書きできたりするようだ。 もうひとつ記されている (.URL 添付ファイルの送信関連) が、それの何が問題なのか私にはいまいちよくわからない。 JavaScript 実行については How Outlook 2002 can still execute JavaScript in an HTML email message に詳細が記載されている。
盗聴法の下に利用される「電子メール傍受用仮メールボックス」の正式入札仕様書に対する問題点の指摘。入札仕様書は http://www.jca.apc.org/privacy/wiretap-mbox/ でスキャナ取り込み画像を見ることができる [social-memo:14]。
くぅ、読む暇が……。
2002.03.22 の Vulnerability in Apache for Win32 batch file processing - Remote command execution に追記した。apache 1.3.24 登場。
2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。Microsoft から反論が。
php 穴と mod_ssl 穴のわかりやすい解説。 締切の関係からか、 Vulnerability in Apache for Win32 batch file processing - Remote command execution の話は書かれていない。 SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically の話もちょっと書かれているが、これは Microsoft から反論が出てますね。
Windows Update で MS02-008 の MSXML 3.0 日本語版用 fix が配布されてるみたいですね。 web page の方にはまだ情報はないみたいですが。
ソフトウェアの配布に関するマイクロソフトの方針、「マイクロソフトが電子メールで直接ソフトウェアを配布することは一切ありません
」ってコトで。
web page で配布してるヤツには電子署名がついてるので気になる人は確認しよう (プリファレンスを見ればよい)。
ときどき壊れてたり期限切れだったりするけど (苦笑)。
W32.MyLife.B@mm というのが出てきたそうで。 「virus check を受けたフリ」な記述があるのが新味らしい。
Ghost Port Scan 0.9.2 が出ています。カナダさん情報ありがとうございます。
コピー防止CDに統一マーク レコード協会が策定へ (毎日)。 まずは、「CD」という文字がどこにも登場しないようにしていただきたいなあ。
NHK、メーリングリストの発言に訂正・謝罪を要求 (毎日)、 エビジョンイルと呼ばれた男が率いているだけはある。
シマンテックとラック エンタープライズセキュリティ事業で提携—業界初の包括的なセキュリティサービスが提供可能に— (シマンテック) だそうです。
「“今までどおり”でできるなら,コピーしても問題ありません」——コピーコントロールCDの法的側面 (ZDNet)、 CDモドキ第二弾でAvexが公式掲示板閉鎖 (slashdot.jp)、 AVEX発売のコピーコントロールCDについて考えるページ ([email protected] 氏)。AVEX は楽しい会社のようですね。
Netscape 6.2.2 が出たようですね。まだ英語版だけなのかな。
RFC 1122 では、broadcast / multicast アドレスへの TCP SYN を無視することになっているのだが、*BSD では無視されない場合があるという指摘。 これを受けて *BSD に修正が入っている:
FreeBSD: src/sys/netinet/tcp_input.c
NetBSD: syssrc/sys/netinet/tcp_input.c
OpenBSD: src/sys/netinet/tcp_input.c
ログ解析ソフト Analog 5.21 以前において、 「Analog の出力言語として日本語などのマルチバイト言語が指定された場合」に、 クロスサイトスクリプティング脆弱性が存在するという話。 Analog 日本語化パッチ にも同様の弱点がある。
回避方法としては、「リクエスト不成功レポート」を生成しないようにする。
対応方法としては、示されている patch を適用するか 5.22 以降に upgrade すればよい。ただしこれを実行すると、CSS 問題対応の副作用のため、JIS 出力時に文字化けしてしまう。どうしても JIS にしたい場合は、一旦 EUC-JP などで出力後 JIS に変換するなどする。
Apache for win32 の 1.3.23 以前、2.0.33-BETA 以前に弱点。 .bat、.cmd な CGI スクリプトの処理に問題があり、パイプ文字 | を使って http://TARGET/cgi-bin/test-cgi.bat?|copy+..\conf\httpd.conf+..\htdocs\httpd.conf のようにすると、外部からシェルコマンドを実行できてしまう (有効なのは command.com や cmd.exe の内蔵コマンドだけかも……誰かテストして〜)。 2.0.x にはデフォルトで /cgi-bin/test-cgi.bat が存在するそうで、事態はより深刻。
Apache 1.3.24, 2.0.34-beta で fix されるようです。まだどちらも出てません。 回避するには、.bat, .cmd な CGI を削除すればよいのでしょう多分。
CVE: CAN-2002-0061
内蔵コマンドだけでなく、任意のコマンドを実行可能な模様です: [memo:3359]
Windows XP の 「CD レコーダー」機能を利用して、Unicode 0xXX3b を含む文字 (医 (0x533b)、画 (0x753b)、活 (0x6d3b)、主 (0x4e3b)、鼻 (0x9f3b) など) を含むファイル名、フォルダ名のモノを CD-R / CD-RW に書き込むと、ファイル/フォルダが壊れたり、ディスク全体が使えなくなったりするという話。 3b って ; ですね。
回避方法としては、3rd パーティーアプリケーションを使う、なのかな。
2001/12/26 には判明していた old news だった模様: [memo:3352]。 修正するのが困難なんでしょうかねえ。
2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。ちゃんと回避方法が示されていた。なさけない > 俺。
squid 2.4.STABLE6 出ています。
セキュリティーホール公開ガイドラインを却下 (CNET)、 RFC にすべきことがらではないということか。 関連: "Responsible Disclosure" IETF Document (CRYPTO-GRAM March 15, 2002)
http://www.ph00ls.net/~ph00l/patch/apache_1.3.23/sig_token.html で、apache の ServerTokens の設定内容を ServerSignature にも反映させる patch が公開されています。ph00l さん情報ありがとうございます。 手元ではもっと汚い手で逃げてしまいました。(src/include/httpd.h を編集した)
Becky!
2.00.10, 1.26.08 が出ています。1 つ前のバージョン (2.00.09, 1.26.07)
で「IEコンポーネントを用したHTMLの表示の内部仕様の変更によるセキュリティの強化
」がされています。
「コンポーネントを呼び出す方式が変更されたため、IE3.0
は非サポートとなります。IE4は、動作するかもしれませんが確認していません。
基本的にIE5以上が対象になるとお考え下さい
」だそうです。
麗美さん情報ありがとうございます。
踏み台サーバが多い国は米国,韓国,中国 (ZDNet) だそうです。
2002.02.27 の Internet Explorer の不正な VBScript 処理により Web ページがローカルファイルを読み取る (MS02-009) に追記した。patch が改訂され、「過去のバージョンとの互換性」が取られた。
2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 CERT Advisory の LAC 邦訳版、FreeBSD SA, RedHat fix update。 FreeBSD SA はちょっとマズいっぽい。
U.S. 政府ご用達の backdoor なのかな。
D.I.R.T. is a specialized program designed to allow remote monitoring of a target PC by military, government and law enforcement agencies. Base functionality includes a specialized application with surreptitious keystroke logging capabilities and stealth transmission of captured data to a predetermined Internet address monitored and decoded by the Codex D.I.R.T. Command Center Software. Physical access to the target computer is NOT necessary.
cryptme にはこの他にも:
15 March 2002 の項には DIRT trojan JOHAR がトレンドマイクロに登録されているという情報が出てますね。 日本語サイトにある情報の中身は英語ですね。 発見日は 2002/02/05 だそうです。
DIRT Program, Installation and User Guide がお得なつめあわせセット (プログラム込み) のようです。 NAV CE 7.51 でチェックしてみたところ、この方は善きアメリカ市民な模様。 http://cryptome.org/moredirt.zip もあります。
DIRTy SPOCK (cryptme)。
DIRTy AntiSec (cryptme)
ファイアウォールを越えるためのツールの模様。 実行ファイルあり。
DIRTy T.O.A.S.T. (cryptme)
DDoS を実行するツールの模様。 これはプレゼン資料だけ。
2002.03.06 の Java HTTP proxy vulnerability に追記した。Bytecode Verifier にも問題が発見された。
Windows 98, 98SE, NT 4.0, NT 4.0 TSE, Windows 2000 に弱点。Windows Shell
(Shell32.dll) にバッファオーバーフローする弱点があり、悪意ある web ページ管理者や HTML メール送信者は、
「シェルがカスタム URL ハンドラを見つけることができ、しかし関連付けられたアプリケーションを見つけることができない場合
」に任意のコマンドを実行可能。
またローカルシステム上のプログラムからなら、カスタム URL ハンドラがなくても攻撃を実行可能。
詳細: Windows Shell Overflow (eEye)。
Windows 98, 98SE, NT 4.0, Windows 2000 については patch があるので適用すればよい。
CVE: CAN-2002-0070
ネタが古くてアレですが……
MS01-037 patch を適用、かつメタベースで SMTPSVC/1/RoutingAction を 1 に設定した Windows 2000 SMTP サービスが relay を実行しないにもかかわらず relay すると答えてしまうため、mailroot\BAD フォルダにファイルが溜りつづけ、いずれは disk を食いつくしてしまう。
ネタが古くてアレですが……
Windows 2000、Windows XP、Exchange 2000 の SMTP サービスに弱点 (Exchange 2000 は内部的にWindows 2000 SMTP サービスを利用) 。 Mail Service (IMS) に弱点。「ある特定の SMTP コマンド」により DoS 攻撃が可能。
patch があるので適用すればよい。patch は MS02-011 と共通。
CVE: CAN-2002-0055
ネタが古くてアレですが……
Windows 2000 SMTP サービスと、これを利用している Exchange 5.5 Internet Mail Service (IMS) に弱点。NULL セッション (MAIL FROM:<>) に対する NTML 認証の処理に問題があるため、これを利用して「意図しない第三者中継」が可能となり、spam の発信などに利用される可能性がある。 詳細: IIS SMTP component allows mail relaying via Null Session (BindView Razor Team)。
patch があるので適用すればよい。
CVE: CAN-2002-0054
2002.03.19 の 情報処理振興事業協会 公募 に追記した。IPA 方面の情報をフォロー。
Windows NT / 2000 に弱点。 smss.exe に含まれる debugging subsystem を利用して DbgSsApiPort という LPC port に接続することにより、 任意の local ユーザが管理者権限を取得することができるという。 デモプログラムが公開されている。手元で試したところ、英語版 Windows 2000 SP2 では成功するようだが、日本語版 Windows 2000 SP2 では失敗するようだ。
発見者の EliCZ 氏は More on DebPloit において、この問題は Gain Local Administrator Access on NT (July 27, 1998) 問題と非常に類似していると述べている。 MS98-009: Update Available for Windows NT Privilege Elevation Attack (q190288、JP190288) において Microsoft は csrss.exe にある穴は直したのだが、smss.exe に存在する同様の穴を直し忘れている、というのだ。
対応方法としては、smss.exe に patch をあてる方法と、DbgSsApiPort へのアクセスを local SYSTEM に制限する方法が示されている。
k-imaiz さん情報ありがとうございました。
Windows Debugger の認証問題により、アクセス権が昇格する (Q320206) (MS02-024) 登場。patch も出ている。
「企業向けWindows Update」って、昨年から話だけは出ている話ですよね。 それは .NET Server がらみで出てくるという理解をしているんですが、違うのかなあ。 「近い将来」ってつまりそういうことだろうと。 2nd JWNTUG Open Talk in MSC 大阪 (2001.05.29): セキュリティ議事録 あたりも参照。
ちなみに JWNTUG Open Talk は今年もやります。前回は参加者がイマイチ少なかった (大阪方面はイマ 3 くらい少なかった (^^;;;)) のですが、タダ飯タダ酒つきでおきらくに議論しようというイベントです。お時間の都合のつく方はぜひご参加ください。
ヨーロッパ独自のGPS計画『ガリレオ』、EUが資金投入を決定 (WIRED NEWS)、EU エライ。
[aml 26854] (=^o^=)/チョムスキーの映画上映会やります、観てみたい……。
The Power of X Presentation (Mac お宝鑑定団)。 Encrypted disk images なんてあるんだ。ふーん。 これ の翻訳だそうです。
Norton Internet Security for Macintosh 2.0 (シマンテック)、MacOS X ネイティブ対応。 対抗がない状況だし、とりあえず自宅の iMac (電気スタンド) 用に買いだなあ。 shop には届いたらしいので、生産がめちゃくちゃ追いついてないということはないみたいな気が。
ソニーファイナンス、EC決済に対応したクレジットカード「My Sony Card」開始 (INTERNET Watch)、さっそく穴がみつかって「さすが」と言われるのか、どうか。
驚異的な広がりを見せる日本語ウイルス (ZDNet) が出ています。
Tripwireによるホスト型IDSの構築 (@IT) が出ています。
squid
Squid-2.4.STABLE5 出てます。
Fixed an array bounds bug in lib/rfc1035.c. This bug
could allow a malicious DNS server to send bogus replies
and corrupt the heap memory.
だそうです。
……お?! 2.4.STABLE5 is a buggy release. Do not use it. になっている模様。
以上ネタ元は installer ML。
龍大で爆弾騒ぎ 卒業生ら避難 脅迫電話 爆発物なし (京都新聞)、「友人が留年して落ち込んでいる」ってのがナントモ。電話したのは本人だろう、というのがもっぱらの見方。 ちなみに今日は瀬田方面で卒業式です。
これを読んでいると、東京バイツ【第77回】いま、インターネットでクーデターが起こっている (MYCOM PC WEB) な話は、昨日今日はじまったのではないように見える。 結局、スチュアート・リン氏らは「9.11」という状況を利用しているだけなのでしょう。
ところで、「会津泉氏の記事」というのはインターネットマガジンの何月号にあるんだろう。
関連: ICANNの決定に「ユーザー参加の概念に反する」との批判 (ZDNet)。
IE 6 に弱点。何らかの方法 (詳細は未公開) にて「ファイルを自動的にダウンロードし、かつ、それを自動的に実行してしまう問題
」があるという指摘。
回避方法、修正方法は示されていない。どこまでいけばお茶の時間……。
ちゃんと回避方法書いてあるじゃん。どこ読んでんの > 俺。
[インターネットオプション]から適切なゾーンに対して[ファイルのダウンロード]を無効にすることでこの問題を回避することができます。
Microsoft から反論が: Inaccurate Claims Regarding IE Security Vulnerability。
Microsoft によると、
the behavior they reported occurs only when a
third-party media player has been
installed on the system
なんだそうだ。
third-party media player ってなんだろう。
水野さん、関さん情報ありがとうございます。
Advisory が更新され、IE 5.01 SP2 でも問題が発生する事と、 MS02-023 : 2002年5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232) で修正された事、また検証用コンテンツの URL が記載されている。
匿名希望さんからのタレコミ。(ありがとうございます)
なぜか、IPA への電子申請には IPA 自身の「ルート証明書」のインストールが必要な模様です。
「情報処理振興事業協会では、ルート証明書の秘密鍵の管理については、十分注意を致します
」だそうですが、PKI 関連技術解説
なんてものを出すところがこういうことでよいのかどうか。
Webモデル
との比較で言えば、「登録」しようとしいる「ルートCAが本当に信頼できるか否かを、証明書利用者が確認」できるのでよい、ことになってしまうのかもしれませんが、ユーザから見ると「そこまで信頼するつもりはなかった」ってコトになりかねないような。
IPA に身を委ねられる組織か否かをこういうカタチで踏み絵してるのかしらん、とも思ったり。「対等な関係」を目指していないことだけは確かのような気が。
関連: [memo:732]。
https://www.ipa.go.jp/ 自身は VeriSign を使っているようです。
IPA 方面から情報が届いたのでフォローしておきます。 IPA 的には、IPA 自身の存続 (「特殊法人改革」) や GPKI の動向が不明確な時点で開始しているためこうならざるを得なかった、模様です。 GPKI が本格稼働するころ (2004 年度?) には変更等がされるのかもしれません。
いまだにこのテの問題が続いている、利用者への説明もない、というところがなかなか……。 根津さんが [sugj-free:2739] でおっしゃっていらっしゃるように、他人に勧められる業者でないことだけは確かな模様。
なぜそのような設問が用意されたのか、も含めて掲載されていて、たいへん興味深いです。この報告書はネタの宝庫のように見えます (^^)。 「回答企業の 84% が売上高 5 億以上の企業」だそうですが、それにもかかわらずこの回答、と読むのがよいのだろうと個人的には思います。
報告書毎に見栄えがかなり違うのですが、せめて、行間の推奨値くらい設定できないんだろうかと思ったり…… > IPA さん。
PKI に関する包括的なドキュメント。192 ページ。
5.4 Webモデル
の解説「Webモデルは便利な反面、事前に登録されているルートCAが本当に信頼できるか否かを、証明書利用者が確認できない[62]といった問題点があります
」と [62] の内容「そもそもこのような信頼関係が存在していることにも気づかないと思われます
」は、なかなか。
実際の web サイト構築ではこれに加えて https:// な URL すら隠蔽されたりしますし。
JANOG 9 は参加してないのでアレなのですが、もしかして、これって「予告編」ですか?
UNIX 版 InterScan VirusWall に弱点。Content-length: 0 の場合にウィルスチェックが行われないため、Content-length: 0 と詐称する web サーバからウィルスが侵入してしまう。 Windows 版 InterScan VirusWall にはこの問題はないという。
対応としては、intscan.ini で skip_0_contlen=no とする (デフォルトは skip_0_contlen=yes)。 今後のバージョンでは no をデフォルト値とする予定だそうだ。
新種ウイルス「W32/Fbound」に関する情報 (IPA)、各社対応したようですね。 シマンテックは W32.Impo.Gen@mm という名前に変えたんだそうで (ころころ変わるなあ……)。 ソフォス: W32/FBound-C、F-Secure (山田洋行): Fbound.C。 関さん情報ありがとうございます。
結局 ServerSignature は EMail にして、ソースの方をいじることにした。
セキュアでないOCNセキュリティニュース (slashdot.jp)、よさげだからこその反応 (ギャップありすぎ) だと思っていたんだけど、違うのかなあ。
CD屋も知らなかったコピーコントロール「CD」 (slashdot.jp)、周知徹底されていない模様。
2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。CERT Advisory, XFree86, TurboLinux, FreeBSD の状況。
2002.03.07 の UNIX fixes に追記した。 NetBSD Security Advisory 2002-003: IPv4 forwarding doesn't consult inbound SPD が登場。
2002.01.15 の gzip 1.2.4 may crash when an input file name is too long (over 1020 characters) に追記した。 NetBSD, Vine, FreeBSD の状況を追記。
あいかわらず office さんがガンガン行ってますが、 Tea Room for Conference の No.694 はほんとうに強烈です。No.694-9 が完成版 URL。
WORM_FBOUND.B というのが流行っているようです。トレンドマイクロではパターンファイル 241 で対応しているそうです。 感染警報VAC-3 「WORM_FBOUND.B」(エフバウンド.B) (トレンドマイクロ)。 NAI は対応。 シマンテックは 解析中 だそうで。 新ワーム“patch.exe”に注意! (日経 BizTech)。 新種ウイルス「W32/Fbound」に関する情報 (IPA)。
slashdot.jp の このあたり を見ながら ServerTokens を設定してみたり。
でもこれだけだと http://www.st.ryukoku.ac.jp/not-there とかにアクセスするとエラーに version 番号が出ちゃうので ServerSignature Off もしないとダメなんだそうです。でも Off だとさびしいなあ。うーん。 匿名希望さん情報ありがとうございます。
子供へのネット有害情報 カットを講習 大阪府 (毎日)、フィルタリングソフトの限界についての講習も入っているんだろうか。
2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。NetBSD。MacOS X での状況。
SecurityFocus.com Newsletter 第 134 号日本語版 (テキスト)。
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 Windows NT 4.0 用 fix、Oracle fix 登場。
VeriSign の Secure Site シール問題
のいちおうの対策が終り、サービスが再開されたという話。対策はこれで終りではなく、今後数か月に渡っていろいろな対策が付加される模様。
「 Secure Site シールは、ウェブサイトの所有者についての認証情報およびブラウザのセキュリティ機能をチェックしただけでは得られない証明書のリアルタイム情報等の追加情報を提供しています
」、ふうん。でも、ブラウザで完結できないのって、ブラウザの重大な問題点のような気が。
NetSecurity.ne.jp の記事:
「 あれから1週間・・・「Secure Site シール」情報提供サービス再開(日本ベリサイン)」。
「Secure Site シールをベリサインのサーバから、ホスティングに変更
」
では意味が変わってしまうぞ > NetSecurity.ne.jp。
「数ヶ月」という記述を見かけるたびに、「そうではなく数か月と書く」とおっしゃっていた、故 友人スミス氏を思い出す。
実は全く対策されていない模様: [memo:3236]。
まだ直っていない模様: いまだに残る日本ベリサイン偽装問題 Beyond Security とiDefense が検証(2002.7.5) (NetSecurity)。
エイベックスが採用した Cactus Data Shield (CDS) のさまざまな問題点と、それにまつわるいろいろなことの解説。勉強になりました。 こばやし氏のミンナノキモチはどこにあるのかな もなかなか興味深い。
手元にも XP がきた (あくてぃべーしょん必要なバージョンらしい) ので、 これ を「Windows NT 4.0/2000/XP セキュリティ対応状況」に改訂しました。 XP の場合は日常的に「Windows Update」しておけばいいみたいですが。
高浜4号用データ不正MOX燃料の返還輸送に関する質問書 (美浜の会)。 エネルギー方面にも「ムネヲ」ライクな人物はいるんだろうなあ。
マイクロソフト、Xboxのディスク傷問題で修理・交換開始 (日経 BizTech)、Xboxの販売再開 ラオックスとサトームセン (毎日)、 Xbox(TM) 動作時に発生するDVD/CDディスクへの 影響と対応について (マイクロソフト)。 ようやく鎮静化しつつあるんだろうか。それとも、これからが本番だろうか。
[aml 26787] 国家公安委員会、警察庁が証拠隠滅か?、隠滅説は考えすぎだったようですが [aml 26794]、書かれている内容は確かにアレゲです。 件の文書は http://www.npsc.go.jp/report14/2_7.pdf で閲覧できます。
旧バージョンのサポート終了(EOL)のお知らせ (Kondara Project)。 Kondara 2.1 (Asumi) がもうすぐ出るので Kondara 1.x はおしまい。各地のミラーからも消えるはずなので、考古学的見地などから必要とする人は今のうちに get しておきましょう。
Linux.Jac.8759 (シマンテック) なんてのがいるそうで。
日本エフ・セキュア社、 (株)山田洋行から業務を全面移管 (F-Secure)。 http://www.f-secure.co.jp/ のコンテンツはまだまだ準備中という印象が強いが、4/1 にはちゃんと揃うのだろうか。
PGPは儲からない——Network Associatesの結論 (ZDNet)。
龍谷大も出題ミス 10人追加合格 理工学部入試 (京都新聞)、あ〜あ身内だよ。 「記者会見」はやったらしいが、web page には何の情報もないな。 体質の古さをおもいっきり示してしまっているわけで。 とりあえず事務方面に連絡。
いろいろな「セキュリティにつよい」OS に含まれている機能について調べられているようです。 第 III 編「環境構築検証編」では NSA 様ご謹製の Security-Enhanced Linux 環境を構築しています。興味深いです。
なんか、行間が妙に広いような気がするんですけど。
2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 Vine のアナウンス。
CERT Summary CS-2002-01 の日本語版。
結局は、例によって「米国の利益」 (商業的 and/or 軍事的) が最大限優先されるようなしくみをつくりたいのかな。 ICANNアクラ会議はどんな様子なんでしょう。
zlib 圧縮ライブラリに弱点。 伸張アルゴリズムに問題がある。攻撃者が、zlib を利用するプログラム (例: ssh, XFree86, Linux kernel) に対して、特別につくられた不適格な圧縮データのブロックを渡すことができると、このデータを伸張する際に、zlib ルーチンは malloc で管理されている内部データ構造を破壊してしまう。 この結果、動的に確保されたメモリが複数回開放されてしまう。 これを利用すると、攻撃者は DoS 攻撃や任意のコードの実行が可能となる。
対策としては、zlib 1.1.4 で修正されているので入れかえる。
CERT/CC Vulnerability Note: VU#368819: Double Free Bug in zlib Compression Library Corrupts malloc's Internal Data Structures
CVE: CAN-2002-0059
RedHat: [RHSA-2002:026-35] Vulnerability in zlib library
powertools 用: [RHSA-2002:027-22] Vulnerability in zlib library (powertools)
Debian: [SECURITY] [DSA 122-1] New zlib & other packages fix buffer overflow
他の free UNIX 用 fix も続々登場するはず。 FreeBSD でも HEAD には 1.1.4 が入った: src/lib/libz/。 OpenBSD も入った: src/lib/libz/。 NetBSD にはまだ入ってないっぽい: basesrc/lib/libz/。
関連報道:
OpenBSD is not vulnerable as OpenBSD's malloc implementation detects double freeing of memory. The zlib shipped with OpenBSD has been fixed in OpenBSD-current in January 2002 (CERT/CC VU#368819, info from slashdot.jp)
OpenBSD ですでに fix されてたってのは src/lib/libz/infblock.c 1.2 → 1.3 の話かな。3.0 には間にあってないので 3.0 以前な方はご注意。
malloc() については、FreeBSD の malloc() も 2 重開放については問題なしという話が作者自身 (Poul-Henning Kamp <[email protected]> 氏) から出ています: Re: RedHat advisory - RHSA-2002:026-35 zlib double free -- Is this this 4.5-R-p1?。Kobayashi さん情報ありがとうございます。
CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library
XFree86 4.2.0 用の patch が ftp://ftp.xfree86.org/pub/XFree86/4.2.0/fixes/ にあるのだそうだ。
TurboLinux: zlib: buffer overflowによるroot権限奪取
FreeBSD の lib/libz/infblock.c なのですが、2002.02.23 付で OpenBSD と同様の修正が入っていることに今ごろ気がつきました。
LAC 邦訳版: CERT Advisory CA-2002-07 Double Free Bug in zlib Compression Library
RedHat: [RHSA-2002:026-39] Vulnerability in zlib library
Update 14 Mar 2002:
Updated kernel packages for Red Hat Linux 6.2 and 7.0 which were missing
the zlib fix; added missing kernel-headers package for 6.2
だそうです。
FreeBSD Ports Security Advisory FreeBSD-SA-02:18.zlib
回避するには、/etc/malloc.conf や環境変数 MALLOC_OPTIONS から A (Abort) フラグを削除しておけばよい。 デフォルトでは A フラグは存在しない。
対応するには patch を適用し、libz と kernel を再構築、さらに libz を static link しているコマンドがあればこれも再構築する。
のだけど、HEADS UP: FreeBSD-SA-02:18.zlib vs kern/35969 という話があって、 kern/35969 で src/sys/net/zlib.c には修正が入っている。というわけで、patch は出しなおしになる可能性が大かと。
src/sys/net/zlib.c と src/lib/libz/deflate.c について、 FreeBSD RELENG_4_5, RELENG_4_4, RELENG_4_3 にも更新が入った (info from FreeBSD おぼえがき 2002年03月25日(月)14時05分08秒):
src/lib/libz/infblock.c については変化なし (2/23 の修正のまま)。
RedHat: [RHSA-2002:026-43] Vulnerability in zlib library
update されている。
Added kernel packages for Red Hat Linux 6.2 on sparc64. Updated VNC
packages as the previous fix caused another denial of service
vulnerability; thanks to Const Kaplinsky for reporting this
だそうだ。
TurboLinux: zlib: zlib 関連のアップデート2
zlibライブラリーをスタティックリンクしているパッケージをアップデートしました
のだそうです。
rsync には zlib が含まれている。rsync 2.5.4 で zlib 1.1.4 に入れかわった。
TechStyle Onsite Seminar WEB Technology Watch - 「PHPによるOSSインテグレーションの可能性」、2002.03.18 17:20〜、デジタルハリウッド大阪校 (大阪市北区)、3,000 円。 あ、memo ML にも流れてるし: [memo:3166]
「OCNセキュリティニュース」の提供開始について (NTT)、 OCN ユーザでなくても申し込めるみたいだが、まだ http://www.ocn.ne.jp/secnews/ には接続できない。……できるようになったみたい。ジャマさん情報ありがとうございます。
2002/02/22「2chの日」同時多発オーダー IN 吉野家、単なる迷惑だしおもしろくもなんともない。
「ITセキュリティ評価・認証セミナー2002」 ご案内 (IPA ISEC)。2002.03.28〜29、イイノホール (東京都千代田区)、無料。 いいなあ東京は。
情報セキュリティ関連の調査・開発に関する公募 (IPA ISEC) が出てます。
外部との接続が切れているが気にせず書くことにする。 ……あ、直ったっぽい。
2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 OpenBSD, Debian, TurboLinux, RedHat のアナウンスと RELENG_4_3 話。
ディスクの消去という観点でも、こういった mini UNIX は便利に使えると思う。 たとえば Jetico の BCWipe なら static につくっても 80KB 程だし。ふつうは wipe -bvq /dev/hda (U.S. DoD 5200.28) で十分なんじゃないかなあ (q をつけないとグートマン方式だから遅い)。 U.S. DoD 5200.28 は内部で DoD 5220.22-M を呼んでるみたい。
VeriSign 提供の「Secure Site シール」が偽装できるという話。詳細: ベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?。 VeriSign プレスリリース: セキュリティに関する重要なお知らせ(第三報)。
VeriSign なさけなさすぎなのですが、そもそも、そういうものを提供すること自体がよくないような気がする。ユーザーはあくまで「鍵アイコンのクリック/ダブルクリック」などによってそのサイトの証明書情報を確認すべきだと思うのだけど。それではわかりにくい、と VeriSign が判断するなら、VeriSign はブラウザベンダーに改良を要請すべきなのでは。
今気がついたのだけど、Mozilla 0.9.8 だと「鍵アイコンのクリック」で、 IE 6 だと「鍵アイコンのダブルクリック」ですね。どっちかに統一できないのかなあ。 (個人的には IE 6 を「クリック」に直してほしい)
各種有名どころ日本語 site の CSS 脆弱性の一覧。 U.S. でもあいかわらずのようで、たとえば最近も Cross Site Scripting Vulnerabilities on Major Websites とか Subversion of Information Vulnerabilities on Major News Sites なんて指摘がされている。
……え〜と (^^;;;;)、負荷の高い方に「真似しろ」などとは申 (し|せ) ません。というわけで Tea Room for Conference No.678 も参照ということで。
FreeBSD の ports/security/tripwire がついに 2.3.1-2 ベースになってます。
■■コラム■■ 貴族のような生活 (毎日)。 もちろんエアコンもレーゾーコもクラックされて、家に帰ると灼熱地獄だったり、身に覚えのない発注でレーゾーコがあふれかえったりするんでしょうな。
MS クレイグ・マンディー氏話:
MicrosoftのCTOが語る“信頼できるコンピューティング” 3つの“D”でセキュリティの向上を図る (INTERNET Watch)
各社の報道は微妙に違っていて興味深い。
セキュリティ関連 API に関する調査 (IPA) が出ています。
な〜んか @Newsletters.Microsoft.com からバケバケなメールが来てるなあ。 Content-Type: text/plain; charset="us-ascii" になってるよ。とりあえず http://www.microsoft.com/japan/technet/security/bulletin/ms02-014ov.asp という URL はわかるけど。 Windows 2000 / NT 4.0 (アクティブデスクトップ有効) / Windows 98 用 fix 出てます。NT 4.0 (アクティブデスクトップ無効) 用はまだ。
Xbox,無償修理へ——マイクロソフトに15の質問
(ZDNet)、
「Q:製品番号などで,不具合のあるXboxを把握していないのですか?
」
「A:そういったデータは持ち合わせていません。
」
この会社の商品管理は……。
Xboxのトラブル,ハードウェアメーカー関係者は「信じがたい」
(ZDNet)、そういうミスがある製品を出してしまうということが「信じがたい」模様。
Xbox不具合、ユーザーの独自報告 トレーが原因? (毎日) という記事も出てます。(info from slashdot.jp)
Xbox 取り扱いを中止 ラオックスとサトームセン (毎日)、 家電の常識から見れば「不良品」ということだよなあ結局。
mod_ssl 話 はすでに いろいろ で紹介したが、それだけでなく、Apache_SSL にも同様の問題がある模様。 mod_ssl 2.8.7 以降、Apache_SSL 1.3.22+1.46 以降で fix されている。
Windows 2000 DNS サーバでの CERT Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers 対策の方法が 1 ページ目にわかりやすく書かれている。
cache が「破壊」されるわけじゃないんですけどね……。 どうしてこういう訳をするのかなあ > MSKK。
他力さんによる fusianasan トラップ問題 (HTML+TIME2 経由でのアクティブクリプト強制実行) の解説。regsvr32 /u mstime.dll による対応が紹介されている。
https://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd などとすると素敵なファイルが get できていた模様。この問題は修正されている。 ベリサインのプレスリリース: セキュリティに関する重要なお知らせ (2002年3月7日) (中村さん情報ありがとうございます)。 しかし、よくもまあこんなものをつくりますねえ。
某氏によるとベリサインには CSS 問題もあるらしいのだが、そちらについてはまだ修正されていない模様。なんだかなあ。
03.08 14:20 付けで「セキュリティに関する重要なお知らせ(第二報)」が出ています。また、問題点については「修正された」のではなく、haydn.exe を削除することで「対応」されたようです。実際、今「Secure Siteシール」をクリックすると『「Secure Site シール」に関する情報提供サービス一時停止のお知らせ
』が出てきます。
http://pc.2ch.net/test/read.cgi/sec/1015522381/ も参照。
匿名希望さん情報ありがとうございます。 (link fixed: Misaly さんどうもです)
OpenSSH 2.0〜3.0.2 に弱点。OpenSSH の「channel」の制御部分の実装に「off-by-one error」があり、これを利用すると、認証された remote user が root 権限を得られる。 今そのへんに転がってる *BSD/Linux 箱にある OpenSSH にはまず間違いなくこの穴があるので、影響範囲は大きく、攻撃に利用される可能性は高いと考えられる。 この弱点だけでは外部の任意のユーザからの攻撃は不可能だが、他の弱点と組みあわせることで大きな脅威になり得る。 とにかくおおいそぎで patch を適用しておこう。 また、OpenSSH 3.1 で修正されている。
昨日の UNIX fixes で書いた「OpenSSH の channels.c に off-by-one error」はこの話。 FreeBSD Security Advisory も出てます:
FreeBSD Security Advisory FreeBSD-SA-02:13 OpenSSH contains exploitable off-by-one bug
対象が FreeBSD 4.4-RELEASE, 4.5-RELEASE, FreeBSD 4.5-STABLE prior to the correction date, openssh port prior to openssh-3.0.2_1 になっているが、弱点があるのは OpenSSH 2.0 以降なので、 4.3-RELEASE 以前でも問題になる。4.1-RELEASE だと OpenSSH-2.1 が入っていた模様。
[FreeBSD-users-jp 67474] RELENG_4_3 security branch ? という疑問の答えは、どうなんでしょうね。
CVE: CAN-2002-0083。 CERT/CC Vulnerability Note VU#408419: OpenSSH contains a one-off overflow of an array in the channel handling code 。
Debian: DSA-119-1 ssh -- local root exploit, remote client exploit
Debian 2.2 (potato) には脆弱性はない、というアナウンス。
TurboLinux: openssh: ローカルユーザーによるroot権限奪取
RedHat: [RHSA-2002:043-10] Updated openssh packages available
RELENG_4_3 については [FreeBSD-users-jp 67493] Re: RELENG_4_3 security branch ?、 [FreeBSD-users-jp 67510] を参照。 そういうことなんだろう。 手元の 4.3-RELEASE も 4.5-RELEASE への移行に向け準備中。
VineLinux: ●2002,03,12● OpenSSH にセキュリティホール
NetBSD: NetBSD Security Advisory 2002-004: Off-by-one error in openssh session
MacOS X での状況: OpenSSH2.0〜3.0.2でのセキュリティーホールと、OpenSSH3.1のインストール (諸橋さん)。Apple による official fix はまだ出てない。
本気の対策はとられるか?スパムに揺れる中国
(WIRED NEWS)。
「韓国の学校のサーバーはすべて1社により設定され、すべてオープンリレーを稼働させているからだ
」、すごいなあ。
Active Directory-Integrated DNS Zone Serial Number Behavior (Q282826)。third-party DNS server というのはたとえば BIND ですね。そういうことなのか。
ウイルス検索エンジン ver. 6.100公開のお知らせ (トレンドマイクロ)。 「スクリプトウイルス駆除に対応」など、さまざまな機能向上があるようです。 2002年3月11日(月) に公開されるのだそうです。 混み混みにならないような対策されてるんだろうか。
Xbox,無償修理へ (ZDNet)。最初からそうしていればいいのに。
MS02-008 の本番ドキュメントで回避方法が消えている話 は fix されました。のはいいのですが、更新日が更新されていない……。
Windows 9x/Me + NAVCE 7.5/7.6 (リアルタイム保護が有効) + 640MB 以上の MO ドライブ + MO ドライブで int13 ディスクアクセスが有効、である場合にブルーサンダーしてしまうという話。int13 ディスクアクセスを無効にすることで回避できるそうな。
OpenSSH の channels.c に off-by-one error。以下で修正されている: ports/security/openssh-portable/files/patch-channels.c、 ports/security/openssh/files/patch-channels.c、 src/crypto/openssh/channels.c rev. 1.8。 (info from FreeBSD おぼえがき 2002年03月07日(木)01時02分05秒)
SDEX Vol.164 2002/03/07 にある「NetBSDとFreeBSDが深刻なIPSecの問題をパッチ」 ってなんだろう。これかな (from KAME SNAP 20020304 CHANGELOG):
Mon Feb 25 10:58:09 JST 2002 [email protected] * sys/netinet/ip_input.c: enforce ipsec policy checking on forwarding case (the portion was lost during transition to PR_LASTHDR). From: Greg Troxel <[email protected]>
src/sys/netinet/ip_input.c の Enforce inbound IPsec SPD な変更がそれなのかな。
2002.02.20 の [memo:2989] 更新時刻取得エージェントにおけるCSS脆弱性 に追記した。 wdb に関する情報を追記 (大串さん情報ありがとうございます)。
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。LAC の CERT Advisory 邦訳版登場、 Dragon IDS 情報 (匿名希望さん情報ありがとうございます)。
2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。LAC の CERT Advisory 邦訳版登場、別の exploit。
2002.02.22 の Squid Proxy Cache Security Update Advisory SQUID-2002:1 に追記した。Vine fix。
最近発見/公開された IE 関連の弱点についての、よくまとまった記事。
SVPテクニカルサポートセンター メール着信障害についてのお詫びとご連絡 (シマンテック) だそうです。
システム制御情報学会 MUIS研究分科会例会 「セキュリティ」、 2002年3月20日 18:00〜、大阪市北区 (地下鉄「西梅田」駅)。 MUIS 会員でない場合、参加費 ¥500 (という理解でいいのかな)。
アメリカで秘密裏に稼動する「影の政府」 (田中宇の国際ニュース解説)。状況は終了していないようです。
5月の7日間 という映画はまだ観てませんが (観たいなあ)、 現実は、クーデターなんていう正面攻撃はせず、ダラスでクロスファイア浴びせた、ということなんですかね。ちなみに「未知への飛行」は原作を読んだほうがおもしろいです。
Sophos Anti-Virus、新機能登場 (Sophos) だそうです。
shadowpenguin.org の DNS トラブル、復旧されてます。
PCERT/CC REPORT 2002-03-06 出てます。 48シリーズOSのSNMPに関するセキュリティ問題への対応 は、よくよく見たら top page (もぎたて広場) から link されていた。
■■コラム■■ 音楽の買い方 (毎日)。 私が聴いてみたいものはたいていのレンタル屋にはないので買うしかないのだが、やっぱり「ハズレ」はあるわけで。
12日に個人情報保護法案集会 各党担当者も参加 (毎日)。 裏番組が セキュリティ・コンファレンス 2002 Spring ですねえ……。
再連絡 弊社製品のWindows NT 3.51対応製品のサポート終了のお知らせ (トレンドマイクロ)。 solution 3745 タイトル: Windows NT 3.51 上の ServerProtect 5.31 のサポートについて というのも出てますね。
Sun および Microsoft の Java VM に弱点。 プロキシサーバ経由でブラウザを利用している場合に、 悪意ある web サイトは、 Java アプレットを経由して、 プロキシサーバ経由の HTTP トラフィックを別のサーバにリダイレクトできてしまう。 プロキシサーバを利用していない場合はこの攻撃を受けない。
Sun Microsystems, Inc. Security Bulletin #00216 HttpURLConnection
最新の Java SDK/JRE に入れかえる。 Sun JVM (Java Virtual Machine) Issue (Netscape) も同様。
Java アプレットがブラウザトラフィックをリダイレクトする (MS02-013)
最新の MS Java VM (build 3805) を入れる。Windows 2000 日本語版用も登場している。
CVE: CAN-2002-0058
proxy 利用時のリダイレクト問題の他に、Bytecode Verifier にも問題が発見された。信頼されていない Java アプレットが権限を越えて活動できてしまう (詳細不明)。
Sun Microsystems, Inc. Security Bulletin #00218: Bytecode Verifier
Netscape 6.2.1 以前に付属の JRE、 SDK and JRE 1.3.1_01a 以前、 SDK and JRE 1.3.0_05 以前、 SDK and JRE 1.2.2_010 以前、 JDK and JRE 1.1.8_008 以前などが影響。 最新の Java SDK/JRE に入れかえる。
Java アプレットがブラウザトラフィックをリダイレクトする (MS02-013)
最新の MS Java VM (build 3805) を入れる。
2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。hsj さんの PHP 3.0.18 exploit。
ログの話はあまり出てこないような気が……。
……園田さんから (情報ありがとうございます):
ログについて書いてあるのは現在出回っている号になります。タイトルは編集部が付けたのそのままにしちゃってました。わかりにくいかと思い雑誌掲載時のタイトルをそのまま使ってます。
次号乞うご期待(笑)ということでお許しください。
出ました: 第六回:複数のログを見比べて侵入を検出。
「売主側のセキュリティレベルが相当程度低い場合」
ってどういう状況なんだろう。たとえば、CSS な弱点を指摘したところ、そこだけは修正し「CSS な弱点を fix しました」と言ってるのだが、別の場所にはあいかわらず CSS な弱点がある場合、売主側を「セキュリティレベルが相当程度低い」とみなしてかまわないのだろうか。
パブリックコメント受付中: 「電子商取引等に関する準則(案)」に関するパブリックコメントの募集 。3/19 必着。 (info from slashdot.jp)
尾瀬の携帯電話エリア拡大、自然保護団体が質問状 (毎日)。 静寂を守るためのジャマーは必須アイテム (なにか違う)。
オークション規制法案、修正へ 経産省や総務省も「過剰規制」と懸念 (毎日)。ケーサツは反論がなければ黙って通しちゃいますから、ちゃんと反論することは重要。
コピーコントロール機能付きCD——問題点は何か? (ZDNet)。変なモノを売ることは簡単に決定できるにもかかわらず、利用者への告知や再生できなかった場合の対応については決定できていないんだそうで。 すばらしいですなあ。
Gartner Column:第37回 日本の電子政府はCRMの反面教師? (ZDNet)。もちろん、プライバシーなんて考えてないでしょう。 なにしろ彼らは、国民のプライバシーを可能な限りはぎ取ろうと努力してる最中なんですから。
日本人ゲーマーはGates会長の“読み”を超えた? (ZDNet)。「自然現象」だそうで。 「Q. PS2 とくらべて XBOX はどこが優れていますか? A. XBOX は PS2 では成し得なかった自然現象を発生させることが可能です」 とか、どこかに書いておけばいいのに。
NEC EWS-UX/V(Rel4.2MP), UX/4800, UX/4800(64), UP-UX/V(Rel4.2MP) 用の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) fix 出てます。 ftp://ftp.biglobe.ne.jp/pub/48pub/security/ から入手できます。
情報ページがあった: 48シリーズOSのSNMPに関するセキュリティ問題への対応 (NEC)。いくつかはまだドキュメントだけなのかな。 ところで、 http://www.mid.comp.nec.co.jp/48info/48patch/ の状況って意図されたものなんですかねえ。 つーか 48シリーズ 重要パッチ ダウンロードサービス からリンクされてるページってめちゃくちゃあいまいな書かれ方しかしてないな。意味不明だぞこれじゃ。せっかくつくった 48シリーズOSのSNMPに関するセキュリティ問題への対応もリンクされてないし。なんなんだ。
つーか Server: CERN/3.0A っていったい……。
多数の Radius 実装に 2 種類の弱点が発見された。
message digest の計算過程でバッファオーバーフローが発生。 DoS 攻撃の他、攻撃者が秘密鍵を知っていた場合には radius サーバ/クライアント実行権限 (通常 root) で任意のコードを実行される可能性もある。
いくつかの radius サーバではベンダ固有属性の Vendor-Length の検査に失敗している。 このようなサーバに対して、細工されたベンダ固有属性による DoS 攻撃が可能。
fix:
まだ fix の出ていない radius ものがたくさんある……。
LAC 邦訳版: CERT Advisory CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol 。英語オリジナル版は幾多の更新がかけられている模様だが、LAC 邦訳版は初版のままの模様。
2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。Debian fix、関連記事、コンセプトコード、実はまだ bug があった話。
2002.03.01 の IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE) に追記した。 回避方法など。
2002.01.28 番外編: Auto file execution vulnerability in Mac OS の簡潔な解説。 iframe や frame でも自動ダウンロードが効いてしまうことが明らかとなっています。 森さん情報ありがとうございます。 リンクとか備忘録とか日記とか 2002.03.05 #3 も参照。
SecurityFocus.com Newsletter 第 133 号日本語版 (テキスト)。
SecurityFocus.com Newsletter 第 132 号日本語版 (テキスト)。
不具合のXbox、返品受け付ず マイクロソフト (毎日)。それは仕様です。
solution 3728 タイトル: クロスサイトスクリプティング問題 (トレンドマイクロ)、InterScan WebManager で利用している Tomcat 3.2.1 の問題だそうで。HotFix を適用すればよいです。 って、[JavaHouse-Brewers:43813] 複数ベンダーのJava サーブレットコンテナにクロスサイトスクリプティング脆弱性 の話ですねこれ。
Sharpei に関する情報 (MSKK) なんですって。 関連: 『C#』で書かれたウイルス確認 (CNET)。
『iPod』は格好の「万引き」道具? (WIRED NEWS)、そうまでしてほしいプログラムなのかなあ。
S/Goma V2 が出ています。証明書なしライセンスもできてます。
shadowpenguin.org さんにつながらないために @Random にもつながらないみたい。 やっぱり、1st に向けて独自サイトをなんとかしよう。
……ああっ。今まさに他力さんちにつながらないのはかなり痛い……。
ガラパゴスってやっぱり東京にあるんですか。 私の場合、どうもコマツ方面を想起してしまってアレなんですが。
mothra-v1.c というのが出ています。banner grabber だそうです。ラドンもそうだそうだと言っています (違)。
IP Filter 3.4.24 が出ています (info from [installer 7203])。
「!広告!」で何が変わったのか? (ZDNet)。 住所とかもきちんと書いてあるのって、まだまだ少ないような気がするんですが。
「迷惑メール」に法の網、罰金や懲役刑も…経産省 (読売)。
Japan がない問題、 DoD の出しなおし版は、これですかね: Nations Unite to Combat Terrorism (WASHINGTON, Feb. 28, 2002)。
エイベックスがコピーコントロールCDを発売,国内初 (ZDNet)。いたちごっこ。
RIAJとJASRAC、ファイルローグに対して3億6,500万円の損害賠償請求 (INTERNET Watch)。状況開始。
2002.02.20 の [memo:2996] 「VAIO」の出荷時設定で信頼済みサイトに特定サイトが登録されている問題 訂正 に追記した。 なんと percastv.net にクロスサイトスクリプティング脆弱性が存在し、 信頼済みサイトに percastv.net が登録されていることを利用して悪の限りをつくせてしまう。
IE 5.5 SP2 / 6、OutlookExpress 5.5 / 6 に超巨大な弱点。 アクティブスクリプトおよび ActiveX を無効にした場合においても、悪意ある web サイトや HTML メール送信者が任意のコマンドを実行可能。 XML の CDATA を使うことで IE のセキュリティ設定を迂回できてしまう、ということなのかな。 手元の IE 5.5 SP2/6 + Windows 2000 SP2 でも動作を確認できた。えらいこっちゃ。
回避方法はない。Microsoft から fix が提供されるまで、IE 5.5 / 6 を使わず Netscape 6 や Opera 6 などを利用すること。あるいは IE 5.01 SP2 + patch 全部、を利用してもよい。もっともこれは Windows 2000 でしかサポートされないのだが。
発見者の web page
http://security.greymagic.com/adv/gm001-ie/
に回避方法が掲載されている。マイコンピュータゾーン
(デフォルトでは表示されない) における「未署名の ActiveX コントロールのダウンロード」を「無効にする」と設定する。
具体的には、レジストリ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\0
の 1004 の値を 0 から 3 に変更する。3 ではなく 1 (ダイアログを表示する) にするのもいいだろう。
「署名済み ActiveX コントロールのダウンロード」についても同様に設定しておくのがよい。
以上、[memo:3110] を参照。
また、レジストリ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\0
の Flags の値を 33 (16 進数なら 21) から 1 に変更すると、インターネットオプションのセキュリティタブにマイコンピュータゾーンが表示されるので、ここから「未署名の ActiveX コントロールのダウンロード」の値を設定できるようになる。
以上、[memo:3126] を参照。
問題の詳細については、slashdot.jp の IEとOEに任意コマンド起動の欠陥 が詳しいので一読されたい。CDATA は関係ないそうです。_o_ JavaScript のべんきょうも全然進んでないのに、世の中 XML なのね……。
MS02-015 で fix された模様: MS02-015 : 2002年3月28日 Internet Explorer 用の累積的な修正プログラム を参照。
2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。RedHat fix, PHP/3.0.18-i18n-ja-3 登場。
いろいろです。a.k.a. 手抜き。
Cisco Security Advisory: Data Leak with Cisco Express Forwarding Enabled (CISCO, 2002.02.27)
地方公共団体による公的個人認証サービス制度の創設について (総務省, 2002.02.28)
社団法人行政情報システム研究所 なんて団体があったのね。 (info from [memo:3099])
[UNIX] DoS Attack Against FreeRADIUS (Other RADIUS Servers Affected) (SecuriTeam, 2002.02.28)
セキュア・プログラミング講座 (IPA, 2002.03.01)
info from [stalk:01197]
mod_ssl Buffer Overflow Condition (Update Available)
mod_ssl 2.8.7 (for apache 1.3.23) で fix されている。 modssl.org 自身のサーバが Apache/1.3.6 (Unix) mod_perl/1.20 mod_ssl/2.3.5 OpenSSL/0.9.3a DAV/0.9.8 だってのはなかなかアレゲ。
最初に出たのはこれ: CheckPoint FW1 HTTP Security Hole。 FireWall-1 で web サーバを公開している場合に、CONNECT メソッドによる意図しない接続を行われてしまうという指摘。FireWall-1 自身からのコネクションを制限していない場合に発生する模様 ([memo:3094], [memo:3096])。
Check Point 社の見解: HTTP Connect Commands。 ちゃんと設定せん奴が悪いということの模様。 bid 4131 の [solution] の項にもいくばくかの回避方法の記述がある。
FireWall-1 に限らず、非常にたくさんの cache/proxy サーバにこの問題がある模様。
2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。CISCO、Debian、nCipher。
セキュリティな話は「続いて」以降。 太すぎて、は、なかなか解決が困難なんですよね。