セキュリティホール memo - 2002.03

Last modified: Fri Mar 5 23:57:21 2004 +0900 (JST)


2002.03.29

IE / Outlook Express / Outlook ものネタ
(various)

 なんか出てます。

Oracle Default Users, Passwords and Hashes
(pen-test ML, Thu, 28 Mar 2002 00:52:11 +0900)

 ホントにこんなにいっぱいあるの?

2002.04.01 追記:

 佐藤さんから (情報ありがとうございます):

リンク先で紹介されている「デフォルトのオラクルユーザ」は、「米国オ
ラクル本社が出荷している製品、オプションおよびデモンストレーション
環境全てを、デフォルトの状態でインストールした際に作成される、オラ
クルRDBMSのユーザアカウント」のようです。通常の方法でRDBMSを作成し
た際には、RDBMSに作成されるユーザはsys, system, outln, dbsnmpの四
ユーザとなります。

オラクルを利用したプログラムを作成する際に使用することのあるオプ
ション製品(Pro*C)およびそのデモンストレーションデータをインストー
ルしなければ作成されないユーザ、基幹業務アプリケーション(Oracle
Applications、SAP R/3と同じようなレイヤの製品です)およびそのデモン
ストレーションユーザをインストールしなければ作成されないユーザなど
が数多く並べられています。リスト中の多くは後者のものとなります。

外部ネットワークからオラクルへ接続することは通常厳しく制限されてい
ますし、またオラクルのインスタンスに大して与えられたID (SID)が分か
らなければ、ユーザ・パスワードが分かっていても接続はできません。

もっとも、内部ネットワークからのクラックには使えるリストであること
は確かですので、データベース管理者の啓蒙には十分役立つリストである
と思います。

[stalk:01221] インフォスフィア、 WebArenaのリスク管理
(stalk ML, Fri, 29 Mar 2002 02:17:03 +0900)

 古いまんまのホスティングものって多いですよね。穴あり PHP つきとか。 堅めかつ安くて土管が太いホスティングなところってあるのかなあ。というか探してるんですが。

ローカライズで脅威増すウイルス: アジア地域全体のセキュリティー向上が急務
(毎日, 2002.03.29)

 JPCERT/CC のような金も資源も枯渇している (らしい) し立場も不安定 (らしい) 組織がどこまで「調整」できるのかには疑問があるのだけど、ニーズだけは山のようにあるんだろうなあ。というか、こういうところにちゃんと資金を投入しナイト > 政府。 10 億程度ですばらしい成果が出るぞ、多分。

 アジア太平洋地域セキュリティインシデント協力会議 は 3/24〜26 に行われていたようです。

追記

 2002.02.19 の Microsoft Compiler Flaw Technical Note に追記した。MS コメントの日本語版 Visual C++ .NET セキュリティ機能に関する不正確な主張 が出ていた。

[memo:3458] 総務省「電子申請・届出システム」のセキュリティ上の問題点
(memo ML, Thu, 28 Mar 2002 23:29:46 +0900)

 稼働を開始した 総務省電子申請・届出システム に関する問題点 2 点。 情報処理振興事業協会 公募 もアレゲだったが、それを遥かに越えてアレゲ。

 関連スレッド: 総務省「電子申請・届出システム」は信頼できるか (slashdot.jp)。 関連報道: 総務省、インターネットによる申請・届出システムの運用を開始 (INTERNET Watch)。

2002.04.01 追記:

 総務省電子申請・届出システム等のセキュリティ対策 〜「安全な通信を行うための証明書」の確認のお願い〜 (soumu.go.jp, info from [memo:3508])。 何を批判されたのか理解できていない模様。

2002.04.02 追記:

 総務省 電子申請システムにセキュリティー上の問題 (毎日)。

 電子商取引では、企業などの第3者認証機関で認証された暗号を利用した電子認証の仕組みが一般化しつつある。マイクロソフトのIE(インターネット・エクスプロラー)や、ネットスケープ・ナビゲーターなど主要なブラウザーに、こうした認証機関が認められていれば、パソコンの画面に警告が出ず、そのまま利用できる。

 現状では、総務省はそうした認証機関として認められていず、暗号化を行えば主要ブラウザーでは「信用できない」と表示されるため、同省では「混乱を避けるため」暗号化を行わなかったとしている。

 また、民間認証局を利用しなかった点について、総務省情報流通振興課の宮田拓司課長補佐は「民間認証局と総務省のポリシーが全く同じとは限らず、将来的にその違いが問題化する可能性もあった」と説明している。さらに「電子申請システムは、多くの人が安全で簡単に操作できなければならないと考えており、今後検討したい」とシステム改善の可能性についても言及した。

 官僚用語「今後検討したい」を翻訳すると「とりあえず何もしない」かな。

2002.05.10 追記:

 総務省電子申請・届出システム等のセキュリティ対策等 〜 運用開始後1か月に伴うシステムの見直し 〜 (総務省)。いろいろとリニューアルされた模様。 セキュリティな改善点、とされているもの:

  1. 申請システムに問題点が発見された場合は、利用者に e-mail で連絡。

  2. 証明書のフィンガープリントを報道発表等により周知 (うーん……)。 http://www.e-gov.go.jp に載せる他、 官報による公示もされる予定だそうで。

  3. 「部品」のセキュリティ fix (INTERSTAGE FormCoordinatorにおけるセキュリティの問題(2002.05.07) を参照)。

 電子申請・届出システム又は電子申請・届出システム(体験システム)をご利用された方へ で説明されている「部品」の修正版では、2 番目の問題である「Javaアプレット署名者の不可解な名前」(AppletSign) は「MPHPT (Soumu-sho)」に変更された模様。参照: ブラウザで自動実行される部品の署名者(AppletSign)を「信頼された発行元」から削除する手順

 しかし、1 番目の問題、「ルート証明書の配付が安全に行われていない」についてはいまだ改善されていない。 安全な通信を行うための証明書について (title タグつけなさい) の A.4 は「SSL環境下だから安心ということはありません」としているが、 それを言うなら「フィンガープリントを確認したから安心ということはありません」 でしょう。 官報による公示もされるようですが、それで解決ってことにはならないと思うし。 http://www.e-gov.go.jp にフィンガープリントを載せるそうなので、 https://www.e-gov.go.jp (というサイトはないみたい) をふつうの (民間) 証明書でつくるのがいちばん早道な気がするが……。

MS02-015: 2002年3月28日 Internet Explorer 用の累積的な修正プログラム
(Microsoft, 2002.03.29)

 Microsoft Internet Explorer 5.01 SP2, 5.5 SP1/2, 6 用の最新の修正プログラムが登場。これまで修正された全ての問題の他に、以下の 2 点の問題が修正されています。

 また、一旦サポートが停止されていた Windows NT 4.0 SP6a 上での IE 5.01 SP2 の動作が再サポートされています。しかし Windows 9x/Me ではあいかわらず IE 5.5 SP1 以上しかサポートされていません。

2002.03.29 追記:

 正式版が出たので link を修正。

2002.04.05 追記:

 Cookie-based Script Execution の発見者による情報: IE: Remote webpage can script in local zoneThe problem is that IE can be tricked into thinking that any non binary local file is a html document なのだそうだ。 cookie やお気にいり (ブックマーク) の他、Winamp (インストールされていれば) のプレイリスト (c:/program files/winamp/winamp.m3u) を使った攻撃ができるみたい。

 Winamp については Winamp: Mp3 file can control the minibrowser という話もあるそうだ。 特殊な .mp3 ファイルで Winamp に組み込まれている minibrowser を制御できてしまう模様。

ProCheckUp Security Bulletin PR02-08: Popular Unix OS allow by default XDMCP (X Display Manager Control Protocol) connections from any host.
(freebsd-security ML, Thu, 28 Mar 2002 23:31:03 +0900)

 多くの UNIX において、xdm が使用する XDMCP (X Display Management Console Protocol, 177/UDP) へのアクセスを制御する Xaccess ファイルに

* #any host can get a login window
* CHOOSER BROADCAST #any indirect host can get a chooser

と書いてあり、無制限にアクセスが許可されている、という指摘。 CERT/CC Vulnerability Note VU#634847。 FreeBSD 4.5-RELEASE (XFree86 3.3.6, /usr/X11R6/lib/X11/xdm/Xaccess) でも同様。 XFree86 4.x だとコメントアウトされているらしい。 Solaris だと /usr/dt/config/Xaccess。 xdm(1) も参照。

 対応としては、上記 2 行をコメントアウトする。

Cisco Security Advisory: LDAP Connection Leak in CTI when User Authentication Fails
(CISCO, 2002 March 27 17:00 GMT)

 Cisco CallManager 3.1 に弱点。CTI Framework authentication においてメモリリークするため、server が crash → reboot してしまう。 これを利用した DoS 攻撃が可能。 対応方法: 3.1 (3a) 以降に upgrade する。

追記

 2002.03.06 の セキュアWebシステム構築術 第五回:不正侵入を見抜くために正確なログを取得 に追記した。「次号乞うご期待」の第六回が登場。

UNIX fixes
(various)

TurboLinux
Debian

2002.03.28

企業に浸透するか,「コンテンツ・セキュリティ」
(日経 IT Pro, 2002.03.28)

 その「独自仕様」はほんとに secure なんですか?


2002.03.27

Distributed Reflection Denial of Service
(grc.com, 2002.02.22)

 新型の DDoS 攻撃 "Distributed Reflection Denial of Service" (DRDoS) に関する実話。 第三者サーバを経由した SYN/ACK flood、と理解すればいいのかな。

Bypassing content filtering software
(bugtraq, Fri, 22 Mar 2002 19:24:42 +0900)

 フィルタリングソフトをくぐり抜けるためのいくつかの方法。 13. Case sensitivity of Content-Type and Content-Disposition は Norton AntiVirus に対して有効なのだそうだ。

 またこれとは別に、FUJIWHARA さんから以下の情報をいただいている (ありがとうございます)。

先ほど、NAVメールゲートウェイがW32.Impo.Gen@mmに対応出来無い、と申し
あげました件ですが、当方にて引き続き調査した結果、NAVの仕様とMS製品
の仕様によるものであることが判明いたしました。

Symantec社が「壊れたMIME」としている物は、実際のウイルスでは、一行あ
たり、1000文字を超える行のBase64エンコードの事でした。

そして、MS社製品は、現在最新のUpdate(Microsoft(R) Outlook(R) 2000 
SR-1(9.0.0.5414)のOutlookでの検証ですが、このMIMEを解釈します。

これは、今回のW32.Impo.Gen@mmに限らず、全てのウイルスに関して起こる
ことを確認いたしました。即ち、別のウイルスをMIMEエンコードし、1216文
字で改行させる事により、NAVをすり抜ける事が判りました。無論これは、
通常のメーラでは、恐らく処理されないと思われますが(電信8号での確認
のみです)、Outlookでは処理されました。

弊社では、メールサーバの設定により、ウイルスの有無に関わらず、処理す
る設定を加える事により対処することになりました。

以上、当初のご報告とは若干形が変わってしまいましたが、問題としては、
メーラもしくはサーバが、RFC821/822での1000文字/行に準拠するかしない
か、に依存する問題であるという結論になりました。

Bypassing libsafe format string protection
(bugtraq, Wed, 20 Mar 2002 19:35:04 +0900)

 libsafe 2.0-11 以前に、format バグ防御機構を回避できてしまう弱点など。2.0-12 で fix されている。最新は 2.0-13。

SecurityFocus.com Newsletter #136 2002-3-11->2002-3-15
(bugtraq-jp ML, Mon, 25 Mar 2002 14:04:12 +0900)

 SecurityFocus.com Newsletter 第 136 号日本語版 (テキスト)。

SecurityFocus.com Newsletter #135 2002-3-4->2002-3-8
(bugtraq-jp ML, Sun, 17 Mar 2002 14:54:29 +0900)

 SecurityFocus.com Newsletter 第 135 号日本語版 (テキスト)。

GreyMagic Security Advisory GM#002-IE: Automatically opening IE + Executing attachments
(NTBUGTRAQ,Fri, 22 Mar 2002 21:09:24 +0900 )

 Qualcomm Eudora 5.1、Microsoft Outlook 2000, Outlook Express 5/6 をはじめとする、 WebBrowser コントロールを利用する任意のアプリケーションに弱点がある可能性。

 IE / WebBrowser コントロールの HTML+TIME 1.0 の機能を使うと、制限つきサイトゾーンの内部からでも既知のパス名にある .wmv ファイルを開くことができてしまう。 そして、たとえば Eudora 5.1 がデフォルトで添付ファイルを展開するパス名は既知である。 このため、たとえば Eudora 5.1 に対して次のような攻撃が実行可能だという:

  1. 添付ファイル gmlaunch.wmv, gmbind.html, malicious.exe が含まれた HTML メールを用意する。

  2. メールが開かれると、上記添付ファイルは C:/Program Files/Qualcomm/Eudora/Attach/ ディレクトリに展開される。

  3. HTML+TIME 1.0 の機能を利用することにより、HTML メールから gmlaunch.wmv を media player で演奏させる。HTML メールで display:none; と記述することにより、media player の起動はユーザからは見えない。

  4. gmlaunch.wmv が IE を開き、gmbind.html を解釈させる。

  5. gmbind.html はマイコンピュータゾーンで解釈されるため、ここから <object> タグを使って攻撃コマンド malicious.exe を実行し悪の限りをつくせる。

 回避方法としては、たとえば Eudora 5.1 においては、WebBrowser の利用停止や、添付ファイルが展開されるディレクトリをデフォルト値から変更することが示されている。 また WebBrowser コントロールを用いる場合は、添付ファイルの展開ディレクトリが既知の値にならないようにしなければならないと指摘されている。 Eudora 5.1 はあくまで、弱点を持つアプリの 1 つでしかないことに注意されたい。 Outlook 2000 や Outlook Express 5/6 に対しても同様の攻撃が可能だと指摘されている。

 関さん情報ありがとうございます。

UNIX fixes
(various)

Debian GNU/Linux
RedHat
VineLinux

Squid Proxy Cache Security Update Advisory SQUID-2002:2
(installer ML,Wed, 27 Mar 2002 12:47:00 +0900 )

 squid 2.3、2.4.STABLE4、2.5、2.6 に弱点。 内蔵 DNS コード (lib/rfc1035.c) において、圧縮された DNS アンサーメッセージの扱いに問題がありバッファオーバーフローが発生。悪意ある DNS サーバは DNS 応答を細工することにより squid を停止させることが可能。 ただし任意のコードの実行はできないと考えられている。

 squid 2.4.STABLE6、および最新の squid 2.5/2.6 で修正されているので入れかえる。また、内蔵 DNS コードの使用をとり止める (--disable-internal-dns オプションつきで configure する) ことにより、この問題を回避できる。

2002.04.15 追記:

セキュアなWebサーバーの構築と運用に関するコンテンツ
(IPA, 2002. 3.26)

 Solaris と Windows 2000 での「セキュアなWebサーバ」の構築に関するドキュメント。全体としては、いまいち詳細さに欠けるような気がする。BIND とか qmail はいらないだろうし。 [connect24h:3524] から続くスレッドにも議論がある。

 web アプリの開発については同じく IPA の セキュア・プログラミング講座 を参照。 そういえば、平成13年度 IPA/ISEC 活動報告 というのも出てますね。


2002.03.26

追記

 2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 FreeBSD の新 patch 状況。

追記

 2001.11.26 の ウェブアプリケーション用セッションIDの総当たり攻撃 に追記した。翻訳版が出たのはいいけど、なんと売りもの。


2002.03.25

Outlook 2002はどこまで安全か
(ZDNet, 2002.03.25)

 Questionable security policies in Outlook 2002 の話だろう。iframe 中に URL を書くと問いあわせなしでダウンロードされてしまったり、JavaScript 実行が off になっていても実行させる方法があったり、HTML メールで cookie 禁止になっていても cookie が読み書きできたりするようだ。 もうひとつ記されている (.URL 添付ファイルの送信関連) が、それの何が問題なのか私にはいまいちよくわからない。 JavaScript 実行については How Outlook 2002 can still execute JavaScript in an HTML email message に詳細が記載されている。

[social-memo:13] 「電子メール傍受用仮メールボックス」入札仕様書の問題
(social-memo ML, Thu, 21 Mar 2002 02:12:51 +0900)

 盗聴法の下に利用される「電子メール傍受用仮メールボックス」の正式入札仕様書に対する問題点の指摘。入札仕様書は http://www.jca.apc.org/privacy/wiretap-mbox/ でスキャナ取り込み画像を見ることができる [social-memo:14]

 くぅ、読む暇が……。

追記

 2002.03.22 の Vulnerability in Apache for Win32 batch file processing - Remote command execution に追記した。apache 1.3.24 登場。

追記

 2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。Microsoft から反論が。

狙われるApacheサーバー,IE 6にも深刻なセキュリティ・ホール
(日経 IT Pro, 2002.03.25)

 php 穴mod_ssl 穴のわかりやすい解説。 締切の関係からか、 Vulnerability in Apache for Win32 batch file processing - Remote command execution の話は書かれていない。 SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically の話もちょっと書かれているが、これは Microsoft から反論が出てますね。


2002.03.22

TCP Connections to a Broadcast Address on BSD-Based Systems
(bugtraq, Sun, 17 Mar 2002 10:30:53 +0900)

 RFC 1122 では、broadcast / multicast アドレスへの TCP SYN を無視することになっているのだが、*BSD では無視されない場合があるという指摘。 これを受けて *BSD に修正が入っている:

[analog-jp:01072] Analog におけるクロスサイトスクリプティングの危険性
(analog-jp ML, Thu, 21 Mar 2002 18:02:28 +0900)

 ログ解析ソフト Analog 5.21 以前において、 「Analog の出力言語として日本語などのマルチバイト言語が指定された場合」に、 クロスサイトスクリプティング脆弱性が存在するという話。 Analog 日本語化パッチ にも同様の弱点がある。

 回避方法としては、「リクエスト不成功レポート」を生成しないようにする。

 対応方法としては、示されている patch を適用するか 5.22 以降に upgrade すればよい。ただしこれを実行すると、CSS 問題対応の副作用のため、JIS 出力時に文字化けしてしまう。どうしても JIS にしたい場合は、一旦 EUC-JP などで出力後 JIS に変換するなどする。

2002.03.29 追記:

Vulnerability in Apache for Win32 batch file processing - Remote command execution
(bugtraq, Fri, 22 Mar 2002 02:06:46 +0900)

 Apache for win32 の 1.3.23 以前、2.0.33-BETA 以前に弱点。 .bat、.cmd な CGI スクリプトの処理に問題があり、パイプ文字 | を使って http://TARGET/cgi-bin/test-cgi.bat?|copy+..\conf\httpd.conf+..\htdocs\httpd.conf のようにすると、外部からシェルコマンドを実行できてしまう (有効なのは command.com や cmd.exe の内蔵コマンドだけかも……誰かテストして〜)。 2.0.x にはデフォルトで /cgi-bin/test-cgi.bat が存在するそうで、事態はより深刻。

 Apache 1.3.24, 2.0.34-beta で fix されるようです。まだどちらも出てません。 回避するには、.bat, .cmd な CGI を削除すればよいのでしょう多分。

 CVE: CAN-2002-0061

2002.03.22 追記:

 内蔵コマンドだけでなく、任意のコマンドを実行可能な模様です: [memo:3359]

2002.03.25 追記:

 apache 1.3.24 出ました。 麗美さん情報ありがとうございます。

Windows XP: CD-R/RW ディスクにコピーしたファイルまたはフォルダが消失する
(JWNTUG Newsletter, 2002.03.21)

 Windows XP の 「CD レコーダー」機能を利用して、Unicode 0xXX3b を含む文字 (医 (0x533b)、画 (0x753b)、活 (0x6d3b)、主 (0x4e3b)、鼻 (0x9f3b) など) を含むファイル名、フォルダ名のモノを CD-R / CD-RW に書き込むと、ファイル/フォルダが壊れたり、ディスク全体が使えなくなったりするという話。 3b って ; ですね。

 回避方法としては、3rd パーティーアプリケーションを使う、なのかな。

2002.03.22 追記:

 2001/12/26 には判明していた old news だった模様: [memo:3352]。 修正するのが困難なんでしょうかねえ。

2002.04.09 追記:

 fix が登場した模様。 KB も改訂されている。


2002.03.21

追記

 2002.03.19 の SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically に追記した。ちゃんと回避方法が示されていた。なさけない > 俺。


2002.03.20

UNIX fixes
(various)

FreeBSD
SGI IRIX
Debian GNU/Linux
RedHat

追記

 2002.02.27 の Internet Explorer の不正な VBScript 処理により Web ページがローカルファイルを読み取る (MS02-009) に追記した。patch が改訂され、「過去のバージョンとの互換性」が取られた。

追記

 2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。 CERT Advisory の LAC 邦訳版、FreeBSD SA, RedHat fix update。 FreeBSD SA はちょっとマズいっぽい。

D.I.R.T.™ – Data Interception by Remote Transmission: VERSION 2.2 Reference Guide – Operations Manual
(cryptme, March 16, 2002)

 U.S. 政府ご用達の backdoor なのかな。

D.I.R.T. is a specialized program designed to allow remote monitoring of a target PC by military, government and law enforcement agencies. Base functionality includes a specialized application with surreptitious keystroke logging capabilities and stealth transmission of captured data to a predetermined Internet address monitored and decoded by the Codex D.I.R.T. Command Center Software. Physical access to the target computer is NOT necessary.

 cryptme にはこの他にも:

 DIRT Program, Installation and User Guide がお得なつめあわせセット (プログラム込み) のようです。 NAV CE 7.51 でチェックしてみたところ、この方は善きアメリカ市民な模様。 http://cryptome.org/moredirt.zip もあります。

2002.04.05 追記:

 DIRTy SPOCK (cryptme)。

2002.04.09 追記:

追記

 2002.03.06 の Java HTTP proxy vulnerability に追記した。Bytecode Verifier にも問題が発見された。

MS02-014: Windows Shell の未チェックのバッファにより、コードが実行される
(NTBUGTRAQ, Fri, 08 Mar 2002 09:45:28 +0900)

 Windows 98, 98SE, NT 4.0, NT 4.0 TSE, Windows 2000 に弱点。Windows Shell (Shell32.dll) にバッファオーバーフローする弱点があり、悪意ある web ページ管理者や HTML メール送信者は、 「シェルがカスタム URL ハンドラを見つけることができ、しかし関連付けられたアプリケーションを見つけることができない場合」に任意のコマンドを実行可能。 またローカルシステム上のプログラムからなら、カスタム URL ハンドラがなくても攻撃を実行可能。 詳細: Windows Shell Overflow (eEye)。

 Windows 98, 98SE, NT 4.0, Windows 2000 については patch があるので適用すればよい。

 CVE: CAN-2002-0070

[memo:2882] MS01-037を適用したSMTPサービス
(memo ML, Wed, 06 Feb 2002 11:11:53 +0900)

 ネタが古くてアレですが……

 MS01-037 patch を適用、かつメタベースで SMTPSVC/1/RoutingAction を 1 に設定した Windows 2000 SMTP サービスが relay を実行しないにもかかわらず relay すると答えてしまうため、mailroot\BAD フォルダにファイルが溜りつづけ、いずれは disk を食いつくしてしまう。

MS02-012: 不正なデータ送信リクエストにより Windows SMTP サービスが異常終了する
(Microsoft, Thu, 28 Feb 2002 12:33:36 +0900)

 ネタが古くてアレですが……

 Windows 2000、Windows XP、Exchange 2000 の SMTP サービスに弱点 (Exchange 2000 は内部的にWindows 2000 SMTP サービスを利用) 。 Mail Service (IMS) に弱点。「ある特定の SMTP コマンド」により DoS 攻撃が可能。

 patch があるので適用すればよい。patch は MS02-011 と共通。

 CVE: CAN-2002-0055

MS02-011: 認証問題により、承認されていないユーザーが SMTP サービスに認証することができる
(Microsoft, Thu, 28 Feb 2002 12:33:37 +0900)

 ネタが古くてアレですが……

 Windows 2000 SMTP サービスと、これを利用している Exchange 5.5 Internet Mail Service (IMS) に弱点。NULL セッション (MAIL FROM:<>) に対する NTML 認証の処理に問題があるため、これを利用して「意図しない第三者中継」が可能となり、spam の発信などに利用される可能性がある。 詳細: IIS SMTP component allows mail relaying via Null Session (BindView Razor Team)。

 patch があるので適用すればよい。

 CVE: CAN-2002-0054

追記

 2002.03.19 の 情報処理振興事業協会 公募 に追記した。IPA 方面の情報をフォロー。

DebPloit - do everything in MS Windows NT 4.0 and Windows 2000
(直接 mail, Tue, 19 Mar 2002 18:39:47 +0900)

 Windows NT / 2000 に弱点。 smss.exe に含まれる debugging subsystem を利用して DbgSsApiPort という LPC port に接続することにより、 任意の local ユーザが管理者権限を取得することができるという。 デモプログラムが公開されている。手元で試したところ、英語版 Windows 2000 SP2 では成功するようだが、日本語版 Windows 2000 SP2 では失敗するようだ。

 発見者の EliCZ 氏は More on DebPloit において、この問題は Gain Local Administrator Access on NT (July 27, 1998) 問題と非常に類似していると述べている。 MS98-009: Update Available for Windows NT Privilege Elevation Attack (q190288JP190288) において Microsoft は csrss.exe にある穴は直したのだが、smss.exe に存在する同様の穴を直し忘れている、というのだ。

 対応方法としては、smss.exe に patch をあてる方法と、DbgSsApiPort へのアクセスを local SYSTEM に制限する方法が示されている。

 k-imaiz さん情報ありがとうございました。

2002.05.23 追記:

 Windows Debugger の認証問題により、アクセス権が昇格する (Q320206) (MS02-024) 登場。patch も出ている。

セキュリティは「継続こそ力なり」,新たなセキュリティツールも準備するMS
(ZDNet, 2002.03.19)

 「企業向けWindows Update」って、昨年から話だけは出ている話ですよね。 それは .NET Server がらみで出てくるという理解をしているんですが、違うのかなあ。 「近い将来」ってつまりそういうことだろうと。 2nd JWNTUG Open Talk in MSC 大阪 (2001.05.29): セキュリティ議事録 あたりも参照。

 ちなみに JWNTUG Open Talk は今年もやります。前回は参加者がイマイチ少なかった (大阪方面はイマ 3 くらい少なかった (^^;;;)) のですが、タダ飯タダ酒つきでおきらくに議論しようというイベントです。お時間の都合のつく方はぜひご参加ください。


2002.03.19

ICANNの理事、組織記録の閲覧を求めてICANNを提訴 〜市民団体EFFが支援
(INTERNET Watch, 2002.03.19)

 これを読んでいると、東京バイツ【第77回】いま、インターネットでクーデターが起こっている (MYCOM PC WEB) な話は、昨日今日はじまったのではないように見える。 結局、スチュアート・リン氏らは「9.11」という状況を利用しているだけなのでしょう。

 ところで、「会津泉氏の記事」というのはインターネットマガジンの何月号にあるんだろう。

 関連: ICANNの決定に「ユーザー参加の概念に反する」との批判 (ZDNet)。

SNS Advisory No.48: Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically
(bugtraq-jp, Mon, 18 Mar 2002 11:53:19 +0900)

 IE 6 に弱点。何らかの方法 (詳細は未公開) にて「ファイルを自動的にダウンロードし、かつ、それを自動的に実行してしまう問題」があるという指摘。 回避方法、修正方法は示されていない。どこまでいけばお茶の時間……。

2002.03.21 追記:

 ちゃんと回避方法書いてあるじゃん。どこ読んでんの > 俺。

[インターネットオプション]から適切なゾーンに対して[ファイルのダウンロード]を無効にすることでこの問題を回避することができます。

2002.03.25 追記:

 Microsoft から反論が: Inaccurate Claims Regarding IE Security Vulnerability。 Microsoft によると、 the behavior they reported occurs only when a third-party media player has been installed on the system なんだそうだ。 third-party media player ってなんだろう。 水野さん、関さん情報ありがとうございます。

2002.05.16 追記:

 Advisory が更新され、IE 5.01 SP2 でも問題が発生する事と、 MS02-023 : 2002年5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232) で修正された事、また検証用コンテンツの URL が記載されている。

情報処理振興事業協会 公募
(直接 mail, Tue, 19 Mar 2002 15:49:52 +0900)

 匿名希望さんからのタレコミ。(ありがとうございます)

 なぜか、IPA への電子申請には IPA 自身の「ルート証明書」のインストールが必要な模様です。 「情報処理振興事業協会では、ルート証明書の秘密鍵の管理については、十分注意を致します」だそうですが、PKI 関連技術解説 なんてものを出すところがこういうことでよいのかどうか。 Webモデル との比較で言えば、「登録」しようとしいる「ルートCAが本当に信頼できるか否かを、証明書利用者が確認」できるのでよい、ことになってしまうのかもしれませんが、ユーザから見ると「そこまで信頼するつもりはなかった」ってコトになりかねないような。 IPA に身を委ねられる組織か否かをこういうカタチで踏み絵してるのかしらん、とも思ったり。「対等な関係」を目指していないことだけは確かのような気が。 関連: [memo:732]

 https://www.ipa.go.jp/ 自身は VeriSign を使っているようです。

2002.03.20 追記:

 IPA 方面から情報が届いたのでフォローしておきます。 IPA 的には、IPA 自身の存続 (「特殊法人改革」) や GPKI の動向が不明確な時点で開始しているためこうならざるを得なかった、模様です。 GPKI が本格稼働するころ (2004 年度?) には変更等がされるのかもしれません。

DHCP誤認問題から考える,Yahoo! BB網のセキュリティ
(日経 IT Pro, 2002.03.12)

 いまだにこのテの問題が続いている、利用者への説明もない、というところがなかなか……。 根津さんが [sugj-free:2739] でおっしゃっていらっしゃるように、他人に勧められる業者でないことだけは確かな模様。

特別企画: ウイルスからLinuxサーバを守る
(ZDNet Security-HowTo)

 第2回:メールサーバでのウイルススキャン −qmail編−第3回:メールサーバでのウイルススキャン −Postfix編− が出ています。

情報セキュリティの実態調査報告
(IPA, 2002.03.13)

 なぜそのような設問が用意されたのか、も含めて掲載されていて、たいへん興味深いです。この報告書はネタの宝庫のように見えます (^^)。 「回答企業の 84% が売上高 5 億以上の企業」だそうですが、それにもかかわらずこの回答、と読むのがよいのだろうと個人的には思います。

 報告書毎に見栄えがかなり違うのですが、せめて、行間の推奨値くらい設定できないんだろうかと思ったり…… > IPA さん。

PKI 関連技術解説
(IPA, 2002.03.18)

 PKI に関する包括的なドキュメント。192 ページ。

 5.4 Webモデル の解説「Webモデルは便利な反面、事前に登録されているルートCAが本当に信頼できるか否かを、証明書利用者が確認できない[62]といった問題点があります」と [62] の内容「そもそもこのような信頼関係が存在していることにも気づかないと思われます」は、なかなか。 実際の web サイト構築ではこれに加えて https:// な URL すら隠蔽されたりしますし。

JPCERT/CC公開プレゼンテーション資料: 迫りくる危機 〜DDoS Attack: 理論と対策〜
(JPCERT/CC, 2002-01-30)

 JANOG 9 は参加してないのでアレなのですが、もしかして、これって「予告編」ですか?

solution 3784: HTTP:Content-lengthを"0"と偽るWebサーバからのダウンロード時の検索動作
(トレンドマイクロ, 2002/03/14)

 UNIX 版 InterScan VirusWall に弱点。Content-length: 0 の場合にウィルスチェックが行われないため、Content-length: 0 と詐称する web サーバからウィルスが侵入してしまう。 Windows 版 InterScan VirusWall にはこの問題はないという。

 対応としては、intscan.ini で skip_0_contlen=no とする (デフォルトは skip_0_contlen=yes)。 今後のバージョンでは no をデフォルト値とする予定だそうだ。


2002.03.15

追記

 2002.03.12 の Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free に追記した。CERT Advisory, XFree86, TurboLinux, FreeBSD の状況。

追記

 2002.03.07 の UNIX fixes に追記した。 NetBSD Security Advisory 2002-003: IPv4 forwarding doesn't consult inbound SPD が登場。

追記

 2002.01.15 の gzip 1.2.4 may crash when an input file name is too long (over 1020 characters) に追記した。 NetBSD, Vine, FreeBSD の状況を追記。


2002.03.14

追記

 2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。NetBSD。MacOS X での状況。

SecurityFocus.com Newsletter #134 2002-2-25->2002-3-1
(bugtraq-jp, Sat, 09 Mar 2002 12:25:49 +0900)

 SecurityFocus.com Newsletter 第 134 号日本語版 (テキスト)。

追記

 2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。 Windows NT 4.0 用 fix、Oracle fix 登場。

「Secure Site シール」情報提供サービス 再開のお知らせ
(Scan Daily Express, 02/03/14)

 VeriSign の Secure Site シール問題 のいちおうの対策が終り、サービスが再開されたという話。対策はこれで終りではなく、今後数か月に渡っていろいろな対策が付加される模様。 「 Secure Site シールは、ウェブサイトの所有者についての認証情報およびブラウザのセキュリティ機能をチェックしただけでは得られない証明書のリアルタイム情報等の追加情報を提供しています」、ふうん。でも、ブラウザで完結できないのって、ブラウザの重大な問題点のような気が。

 NetSecurity.ne.jp の記事: 「 あれから1週間・・・「Secure Site シール」情報提供サービス再開(日本ベリサイン)」。 「Secure Site シールをベリサインのサーバから、ホスティングに変更」 では意味が変わってしまうぞ > NetSecurity.ne.jp。 「数ヶ月」という記述を見かけるたびに、「そうではなく数か月と書く」とおっしゃっていた、故 友人スミス氏を思い出す。

2002.03.14 追記:

 実は全く対策されていない模様: [memo:3236]

2002.07.05 追記:

 まだ直っていない模様: いまだに残る日本ベリサイン偽装問題 Beyond Security とiDefense が検証(2002.7.5) (NetSecurity)。

「CDS? あれはプロテクトじゃないです」——再び,コピーコントロールCDを考える
(ZDNet, 2002年3月13日 08:33 PM)

 エイベックスが採用した Cactus Data Shield (CDS) のさまざまな問題点と、それにまつわるいろいろなことの解説。勉強になりました。 こばやし氏のミンナノキモチはどこにあるのかな もなかなか興味深い。


2002.03.12

オペレーティングシステムのセキュリティ機能拡張の調査
(IPA ISEC, 2002.03.12)

 いろいろな「セキュリティにつよい」OS に含まれている機能について調べられているようです。 第 III 編「環境構築検証編」では NSA 様ご謹製の Security-Enhanced Linux 環境を構築しています。興味深いです。

 なんか、行間が妙に広いような気がするんですけど。

追記

 2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 Vine のアナウンス。

CERT Summary CS-2002-01 日本語版
(JANOG ML, Mon, 11 Mar 2002 02:23:43 +0900)

 CERT Summary CS-2002-01 の日本語版。

共同声明: ICANNの組織改悪に反対する
(connect24h ML, Mon, 11 Mar 2002 13:28:37 +0900)

 結局は、例によって「米国の利益」 (商業的 and/or 軍事的) が最大限優先されるようなしくみをつくりたいのかな。 ICANNアクラ会議はどんな様子なんでしょう。

Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free
(various, 2002.03.12)

 zlib 圧縮ライブラリに弱点。 伸張アルゴリズムに問題がある。攻撃者が、zlib を利用するプログラム (例: ssh, XFree86, Linux kernel) に対して、特別につくられた不適格な圧縮データのブロックを渡すことができると、このデータを伸張する際に、zlib ルーチンは malloc で管理されている内部データ構造を破壊してしまう。 この結果、動的に確保されたメモリが複数回開放されてしまう。 これを利用すると、攻撃者は DoS 攻撃や任意のコードの実行が可能となる。

 対策としては、zlib 1.1.4 で修正されているので入れかえる。

 他の free UNIX 用 fix も続々登場するはず。 FreeBSD でも HEAD には 1.1.4 が入った: src/lib/libz/。 OpenBSD も入った: src/lib/libz/。 NetBSD にはまだ入ってないっぽい: basesrc/lib/libz/

 関連報道:

2002.03.12 追記:

2002.03.15 追記:

2002.03.20 追記:

2002.03.26 追記:

 src/sys/net/zlib.c と src/lib/libz/deflate.c について、 FreeBSD RELENG_4_5, RELENG_4_4, RELENG_4_3 にも更新が入った (info from FreeBSD おぼえがき 2002年03月25日(月)14時05分08秒):

 src/lib/libz/infblock.c については変化なし (2/23 の修正のまま)。

2002.03.27 追記:

2002.03.29 追記:

2002.04.04 追記:

2002.04.06 追記:


2002.03.11

追記

 2002.03.08 の Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH に追記した。 OpenBSD, Debian, TurboLinux, RedHat のアナウンスと RELENG_4_3 話。

不正侵入の証拠を押さえろ——まずはディスクの内容を正しく保存する
(日経 IT Pro, 2002.03.08)

 ディスクの消去という観点でも、こういった mini UNIX は便利に使えると思う。 たとえば Jetico の BCWipe なら static につくっても 80KB 程だし。ふつうは wipe -bvq /dev/hda (U.S. DoD 5200.28) で十分なんじゃないかなあ (q をつけないとグートマン方式だから遅い)。 U.S. DoD 5200.28 は内部で DoD 5220.22-M を呼んでるみたい。

ベリサイン Secure Site に偽装の脆弱性 〜安心のマークが不安のマークに!〜
(netsecurity.ne.jp, 2002.3.9)

 VeriSign 提供の「Secure Site シール」が偽装できるという話。詳細: ベリサイン「Secure Site シール」の問題点 プログラムの設計方針に初歩的問題?。 VeriSign プレスリリース: セキュリティに関する重要なお知らせ(第三報)

 VeriSign なさけなさすぎなのですが、そもそも、そういうものを提供すること自体がよくないような気がする。ユーザーはあくまで「鍵アイコンのクリック/ダブルクリック」などによってそのサイトの証明書情報を確認すべきだと思うのだけど。それではわかりにくい、と VeriSign が判断するなら、VeriSign はブラウザベンダーに改良を要請すべきなのでは。

 今気がついたのだけど、Mozilla 0.9.8 だと「鍵アイコンのクリック」で、 IE 6 だと「鍵アイコンのダブルクリック」ですね。どっちかに統一できないのかなあ。 (個人的には IE 6 を「クリック」に直してほしい)

Cross Site Scripting Holes
(Tea Room for Conference, 03月09日 00時56分 ( No.673 ))

 各種有名どころ日本語 site の CSS 脆弱性の一覧。 U.S. でもあいかわらずのようで、たとえば最近も Cross Site Scripting Vulnerabilities on Major Websites とか Subversion of Information Vulnerabilities on Major News Sites なんて指摘がされている。

 ……え〜と (^^;;;;)、負荷の高い方に「真似しろ」などとは申 (し|せ) ません。というわけで Tea Room for Conference No.678 も参照ということで。


2002.03.08

Vulnerability Note VU#234971 mod_ssl and Apache_SSL modules contain a buffer overflow in the implementation of the OpenSSL "i2d_SSL_SESSION" routine
(CIAC M-053, March 6, 2002 00:00 GMT)

 mod_ssl 話 はすでに いろいろ で紹介したが、それだけでなく、Apache_SSL にも同様の問題がある模様。 mod_ssl 2.8.7 以降、Apache_SSL 1.3.22+1.46 以降で fix されている。

特集 インターネット「常時」接続計画 第6回 DNSサーバの設定と確認
(@IT, 2002/03/06)

 Windows 2000 DNS サーバでの CERT Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers 対策の方法が 1 ページ目にわかりやすく書かれている。

 cache が「破壊」されるわけじゃないんですけどね……。 どうしてこういう訳をするのかなあ > MSKK。

今知っておくべき危険: 第1回 「2ちゃんねる」を襲った「fusianasanトラップ」の実態
(INTERNET Watch, 2002.03.07)

 他力さんによる fusianasan トラップ問題 (HTML+TIME2 経由でのアクティブクリプト強制実行) の解説。regsvr32 /u mstime.dll による対応が紹介されている。

日本ベリサインのWebに重大な問題が! ファイルが丸見えに
(NetSecurity.ne.jp, 2002.3.7)

 https://www.verisign.co.jp/cgi-bin/haydn.exe?VHTML_FILE=../../../../../../etc/passwd などとすると素敵なファイルが get できていた模様。この問題は修正されている。 ベリサインのプレスリリース: セキュリティに関する重要なお知らせ (2002年3月7日) (中村さん情報ありがとうございます)。 しかし、よくもまあこんなものをつくりますねえ。

 某氏によるとベリサインには CSS 問題もあるらしいのだが、そちらについてはまだ修正されていない模様。なんだかなあ。

2002.03.08 追記:

 03.08 14:20 付けで「セキュリティに関する重要なお知らせ(第二報)」が出ています。また、問題点については「修正された」のではなく、haydn.exe を削除することで「対応」されたようです。実際、今「Secure Siteシール」をクリックすると『「Secure Site シール」に関する情報提供サービス一時停止のお知らせ』が出てきます。 http://pc.2ch.net/test/read.cgi/sec/1015522381/ も参照。

 匿名希望さん情報ありがとうございます。 (link fixed: Misaly さんどうもです)

Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH
(freebsd-security ML, Thu, 07 Mar 2002 23:39:12 +0900)

 OpenSSH 2.0〜3.0.2 に弱点。OpenSSH の「channel」の制御部分の実装に「off-by-one error」があり、これを利用すると、認証された remote user が root 権限を得られる。 今そのへんに転がってる *BSD/Linux 箱にある OpenSSH にはまず間違いなくこの穴があるので、影響範囲は大きく、攻撃に利用される可能性は高いと考えられる。 この弱点だけでは外部の任意のユーザからの攻撃は不可能だが、他の弱点と組みあわせることで大きな脅威になり得る。 とにかくおおいそぎで patch を適用しておこう。 また、OpenSSH 3.1 で修正されている。

 昨日の UNIX fixes で書いた「OpenSSH の channels.c に off-by-one error」はこの話。 FreeBSD Security Advisory も出てます:

 CVE: CAN-2002-0083。 CERT/CC Vulnerability Note VU#408419: OpenSSH contains a one-off overflow of an array in the channel handling code

2002.03.11 追記:

 RELENG_4_3 については [FreeBSD-users-jp 67493] Re: RELENG_4_3 security branch ?[FreeBSD-users-jp 67510] を参照。 そういうことなんだろう。 手元の 4.3-RELEASE も 4.5-RELEASE への移行に向け準備中。

2002.03.12 追記:

2002.03.14 追記:


2002.03.07

Norton AntiVirus Corporate Edition 7.5/7.6 をインストール後、 コンピュータにログオンする時にブルーバックの例外エラーが発生する
(シマンテック, 2002.03.07)

 Windows 9x/Me + NAVCE 7.5/7.6 (リアルタイム保護が有効) + 640MB 以上の MO ドライブ + MO ドライブで int13 ディスクアクセスが有効、である場合にブルーサンダーしてしまうという話。int13 ディスクアクセスを無効にすることで回避できるそうな。

UNIX fixes
(various)

Debian
FreeBSD

 SDEX Vol.164 2002/03/07 にある「NetBSDとFreeBSDが深刻なIPSecの問題をパッチ」 ってなんだろう。これかな (from KAME SNAP 20020304 CHANGELOG):

Mon Feb 25 10:58:09 JST 2002  [email protected]
        * sys/netinet/ip_input.c: enforce ipsec policy checking on forwarding
          case (the portion was lost during transition to PR_LASTHDR).
          From: Greg Troxel <[email protected]>

 src/sys/netinet/ip_input.c の Enforce inbound IPsec SPD な変更がそれなのかな。

2002.03.15 追記:

追記

 2002.02.20 の [memo:2989] 更新時刻取得エージェントにおけるCSS脆弱性 に追記した。 wdb に関する情報を追記 (大串さん情報ありがとうございます)。

追記

 2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。LAC の CERT Advisory 邦訳版登場、 Dragon IDS 情報 (匿名希望さん情報ありがとうございます)。

追記

 2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。LAC の CERT Advisory 邦訳版登場、別の exploit。

追記

 2002.02.22 の Squid Proxy Cache Security Update Advisory SQUID-2002:1 に追記した。Vine fix。

IEのセキュリティホール情報を整理,深刻な問題も
(ZDNet, 2002.03.06)

 最近発見/公開された IE 関連の弱点についての、よくまとまった記事。


2002.03.06

Java HTTP proxy vulnerability
(bugtraq, Tue, 05 Mar 2002 10:32:24 +0900)

 Sun および Microsoft の Java VM に弱点。 プロキシサーバ経由でブラウザを利用している場合に、 悪意ある web サイトは、 Java アプレットを経由して、 プロキシサーバ経由の HTTP トラフィックを別のサーバにリダイレクトできてしまう。 プロキシサーバを利用していない場合はこの攻撃を受けない。

 CVE: CAN-2002-0058

2002.03.20 追記:

 proxy 利用時のリダイレクト問題の他に、Bytecode Verifier にも問題が発見された。信頼されていない Java アプレットが権限を越えて活動できてしまう (詳細不明)。

追記

 2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。hsj さんの PHP 3.0.18 exploit。

セキュアWebシステム構築術 第五回:不正侵入を見抜くために正確なログを取得
(+SEC, 2002/3/6)

 ログの話はあまり出てこないような気が……。

 ……園田さんから (情報ありがとうございます):

ログについて書いてあるのは現在出回っている号になります。タイトルは編集部が付けたのそのままにしちゃってました。わかりにくいかと思い雑誌掲載時のタイトルをそのまま使ってます。
次号乞うご期待(笑)ということでお許しください。

2002.03.29 追記:

 出ました: 第六回:複数のログを見比べて侵入を検出

経産省 電子商取引への“適用ルール”案公表
(毎日, Tue, 05 Mar 2002 22:00:29 +0900)

 「売主側のセキュリティレベルが相当程度低い場合」 ってどういう状況なんだろう。たとえば、CSS な弱点を指摘したところ、そこだけは修正し「CSS な弱点を fix しました」と言ってるのだが、別の場所にはあいかわらず CSS な弱点がある場合、売主側を「セキュリティレベルが相当程度低い」とみなしてかまわないのだろうか。

2002.03.08 追記:

 パブリックコメント受付中: 「電子商取引等に関する準則(案)」に関するパブリックコメントの募集 。3/19 必着。 (info from slashdot.jp)


2002.03.05

CERT Advisory CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol
(CERT/CC, 2002.03.05)

 多数の Radius 実装に 2 種類の弱点が発見された。

 fix:

 まだ fix の出ていない radius ものがたくさんある……。

2002.03.15 追記:

 LAC 邦訳版: CERT Advisory CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol 。英語オリジナル版は幾多の更新がかけられている模様だが、LAC 邦訳版は初版のままの模様。

追記

 2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。Debian fix、関連記事、コンセプトコード、実はまだ bug があった話。

追記

 2002.03.01 の IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE) に追記した。 回避方法など。

Macのブラウザのセキュリティ脆弱性と危険なファイルの自動実行 (IE,NN,iCab,Opera,OmniWeb)
(直接 mail, Tue, 05 Mar 2002 02:22:20 +0900)

 2002.01.28 番外編: Auto file execution vulnerability in Mac OS の簡潔な解説。 iframe や frame でも自動ダウンロードが効いてしまうことが明らかとなっています。 森さん情報ありがとうございます。 リンクとか備忘録とか日記とか 2002.03.05 #3 も参照。

SecurityFocus.com Newsletter #133 2002-2-18->2002-2-22
(BUGTRAQ-JP, Fri, 01 Mar 2002 23:36:51 +0900)

 SecurityFocus.com Newsletter 第 133 号日本語版 (テキスト)。

SecurityFocus.com Newsletter #132 2002-2-11->2002-2-15
(BUGTRAQ-JP, Sat, 23 Feb 2002 22:27:34 +0900)

 SecurityFocus.com Newsletter 第 132 号日本語版 (テキスト)。


2002.03.04


2002.03.01

追記

 2002.02.20 の [memo:2996] 「VAIO」の出荷時設定で信頼済みサイトに特定サイトが登録されている問題 訂正 に追記した。 なんと percastv.net にクロスサイトスクリプティング脆弱性が存在し、 信頼済みサイトに percastv.net が登録されていることを利用して悪の限りをつくせてしまう。

IE execution of arbitrary commands without Active Scripting or ActiveX (GM#001-IE)
(bugtraq, Thu, 28 Feb 2002 02:40:16 +0900)

 IE 5.5 SP2 / 6、OutlookExpress 5.5 / 6 に超巨大な弱点。 アクティブスクリプトおよび ActiveX を無効にした場合においても、悪意ある web サイトや HTML メール送信者が任意のコマンドを実行可能。 XML の CDATA を使うことで IE のセキュリティ設定を迂回できてしまう、ということなのかな。 手元の IE 5.5 SP2/6 + Windows 2000 SP2 でも動作を確認できた。えらいこっちゃ。

 回避方法はない。Microsoft から fix が提供されるまで、IE 5.5 / 6 を使わず Netscape 6 や Opera 6 などを利用すること。あるいは IE 5.01 SP2 + patch 全部、を利用してもよい。もっともこれは Windows 2000 でしかサポートされないのだが。

2002.03.05 追記:

 発見者の web page http://security.greymagic.com/adv/gm001-ie/ に回避方法が掲載されている。マイコンピュータゾーン (デフォルトでは表示されない) における「未署名の ActiveX コントロールのダウンロード」を「無効にする」と設定する。 具体的には、レジストリ
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Internet Settings\Zones\0
の 1004 の値を 0 から 3 に変更する。3 ではなく 1 (ダイアログを表示する) にするのもいいだろう。 「署名済み ActiveX コントロールのダウンロード」についても同様に設定しておくのがよい。 以上、[memo:3110] を参照。

 また、レジストリ
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Internet Settings\Zones\0
の Flags の値を 33 (16 進数なら 21) から 1 に変更すると、インターネットオプションのセキュリティタブにマイコンピュータゾーンが表示されるので、ここから「未署名の ActiveX コントロールのダウンロード」の値を設定できるようになる。 以上、[memo:3126] を参照。

 問題の詳細については、slashdot.jp の IEとOEに任意コマンド起動の欠陥 が詳しいので一読されたい。CDATA は関係ないそうです。_o_ JavaScript のべんきょうも全然進んでないのに、世の中 XML なのね……。

2002.03.29 追記:

 MS02-015 で fix された模様: MS02-015 : 2002年3月28日 Internet Explorer 用の累積的な修正プログラム を参照。

追記

 2002.02.28 の CERT Advisory CA-2002-05 Multiple Vulnerabilities in PHP fileupload に追記した。RedHat fix, PHP/3.0.18-i18n-ja-3 登場。

いろいろ
(various)

 いろいろです。a.k.a. 手抜き。

bid 4131: Multiple Vendor HTTP CONNECT TCP Tunnel Vulnerability
(bugtraq, 2002.02.19)

 最初に出たのはこれ: CheckPoint FW1 HTTP Security Hole。 FireWall-1 で web サーバを公開している場合に、CONNECT メソッドによる意図しない接続を行われてしまうという指摘。FireWall-1 自身からのコネクションを制限していない場合に発生する模様 ([memo:3094], [memo:3096])。

 Check Point 社の見解: HTTP Connect Commands。 ちゃんと設定せん奴が悪いということの模様。 bid 4131 の [solution] の項にもいくばくかの回避方法の記述がある。

 FireWall-1 に限らず、非常にたくさんの cache/proxy サーバにこの問題がある模様。

追記

 2002.02.13 の CERT Advisory CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP) に追記した。CISCO、Debian、nCipher。

MEXユーザーズミーティングを開催 〜IPv6接続サービスを4月より商用化
(INTERNET Watch, 2002.02.28)

 セキュリティな話は「続いて」以降。 太すぎて、は、なかなか解決が困難なんですよね。


私について