Last modified: Fri Dec 13 21:03:58 2002 +0900 (JST)
[aml 30163] 横浜:住基ネット非通知約40万。 うーむ。すごいもんだ。
[aml 30158] ■西本願寺総局「国立追悼施設」問題■010。 なんだかゴタついているようで。
キャラクターがメインコンセプトの実用書『萌える法律読本』 (slashdot.jp)。 萌えというか、ちょっとエッチ系テイストな気が (表紙だけ?)。 校費で買うと、登録のために図書館に持っていくのはちょっと勇気が必要になりそうだな (笑)。
Privman - A library to make privilege Separation easy というものがあるそうです。 wu-ftpd 2.6.2 / BSD ftpd 6.5-0.32 用 patch も配布されています。 (info from [ftpd 839])
「テロ支援サイトへのリンクは違法」——米大学が学生に警告 (ZDNet)。 U.S.A. に自由なし。
incidents.org。22321 (wnn6_Tw) への scan が増えている?!
ベル研究所の落日のナゾ (今日の必ずトクする一言)。 June 29 ですよ奥さん! 山内さん情報ありがとうございます。
東電,「甘えがあった」---日本機械学会「東電問題」特別セッション (日経 D&M ONLINE)。 参照: 「検査の在り方に関する検討会」。 ヒコーキが 1 機落ちても日本は沈没しないが、原発が 1 個爆発する日本が沈没する、という意識はあるのかな……。 ヒコーキが 1 機落ちて原発にブチ当たる場合は、日本沈没だけど。
「会社が堕ちる時」、名門ほど危ない (日経 BizTech)。名門、と言うか、癒着体質企業、と言うか。 実際問題、癒着すると儲かるので、よけいにむつかしいですよね。
2. Description of the "tar" problem
は、GNU tar において、tar アーカイブに ../ なパス名入りのファイルを仕込んでおくと、
そのアーカイブの展開時に /etc/passwd などの重要ファイルを上書きさせることができる、という指摘なのかな。
1.3.19 以前の問題、とされていたが、1.3.25 でも類似の問題がある模様。
CVE: CAN-2001-1267、
CAN-2002-0399 (中身がない……)。
さらに、info-zip の unzip 5.42 以前にも同様の問題があるようだ。 CVE: CAN-2001-1268, CAN-2001-1269。History.550 にあるこれかな?
5.5h (12 Jan 02): - unzip.h, unzip.c; mapname() in all ports except CMS/MVS, Tandem, TOPS20: added code to strip "../" path components from extracted names and new option "-:" to allow deactivating this security feature; changed mapname()
Red Hat fix: [RHSA-2002:096-24] Updated unzip and tar packages fix vulnerabilities。 FreeBSD ports の archivers/gtar にはこの patch は含まれていなさそう。
CAN-2002-0399 は中身ができてます。
2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。CIACTech02-005。
平成14年7月24日(水)17:30〜20:50 開催の第 477 回理事会。直後だと言うのに、ウィルスメール送信騒ぎについて、何の議論もしていない模様。 あまりにダメすぎ。
2002.09.24 の 富士通 HDD 無償交換は氷山の一角? 高温多湿の状況下でLSIが経年劣化 に追記した。ソニー、メルコも無償交換。
時代は「ふつう RAID 1」ってコトなんでしょうか。まぁ、安いですけどねぇ。
サンがOpenSSLプロジェクトに暗号化技術を提供 (CNET) の話には、実は地雷が仕掛けてあるらしい。 #173053 も参照。Debian GNU/Linux さんはどうされるんだろう。
2002.09.27 の Tests of Anti-Virus Software: Comparison Test 2002-02 (Unix) Linux に追記した。 F-Secure AntiVirus は、--dumb オプションをつければほぼ 100% の模様。
2002.09.12 の Apple QuickTime ActiveX v5.0.2 Buffer Overrun (a091002-1) に追記した。おくればせながら、Apple オフィシャル情報を追記。 QuickTime 5 for Windows 用の fix は出ない模様。
TeraTerm Pro Web 3.1.2 - Enhanced Telnet/SSH2 Client (ayera.com)。 SSH2 はわかるが、組み込み web server って……。潮田さん情報ありがとうございます。
squid 2.5-STABLE1 出ています。いろいろ機能が増えてます。 acl で referer を制御できる話を Referer リクエストヘッダの除去 に追記しました。山賀さん情報ありがとうございます。
ベル研究所、論文捏造で研究者を免職 (CNET)。ベル研ですら、こういうのがあるんですねえ。
RC5-64 HAS BEEN SOLVED! (distributed.net)。 長い闘いであった……。 関連: distributed.netが64ビット暗号「RC5-64」の解読に成功 (INTERNET Watch)。
Microsoft FrontPage Server Extension 2000/2002 に弱点。 FPSE に含まれる Smart HTML インタープリタ (shtml.dll) に問題がある。 リクエストに特定の文字が含まれると CPU を食いつくしてしまい、 DoS 攻撃となってしまう。 また FPSE 2002 の場合はバッファオーバーフローする問題もあり、外部から任意のコードを実行される恐れがある。ヤバい。
patch があるので適用すればよい。当初 FPSE 2000 for Windows 2000/XP だけだったが、FPSE 2002 用、FPSE 2000 for NT 4.0 用も登場している。 Windows XP SP1 にはこの patch が含まれている。 また、FPSE 2002 用 patch を適用するには、あらかじめアップデート patch を適用しておく必要があるそうだ。 Q317296 を参照されたい。
なお、FPSE が不要な場合はアンインストールしてしまうのがよい。 デフォルトではインストールされてしまっているので注意されたい。
FPSE 2000 / 2002 for UNIX にはこの問題はないそうだ。参照:
Update - Microsoft Security Bulletin MS02-053 (rtr.com)
FPSE for UNIX をサポートしている Ready-to-Run Software による公式見解。
Microsoft FrontPage Server Extensions 2002 for UNIX (Microsoft)
最新バージョンは 5.0.2.2623。ただし、HEAD / HTTP/1.0 などを実行したときに表示されるのは mod_frontpage.c に書かれているバージョン番号で、これは 5.0.2.2623 とは一致しない場合がある。というか、添付されているものでは FrontPage/5.0.2.2510 になる。
Microsoft FrontPage 2000 Server Extensions SR1.2: Downloads for UNIX-Based Servers (Microsoft)
最新バージョンは 4.0.2.4222。 2003.02 に Service Release 1.4 というものが登場した時点で FPSE 2000 は打ちどめなのだそうだ。
けんのぼやき: 2002-12-10 shtml.dll (tdiary.net)
Microsoft PPTP Server and Client remote vulnerability の話。CNET の記事によれば、Microsoft は任意のコードの実行については否定しているようだ。DoS については確認されているみたい。
2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Mac OS / Mac OS X 用 IE 修正版が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac、 OutlookExpress for Mac。
Linux 用 anti-virus soft 12 種類のテスト結果。 Sophos AntiVirus と NAI UVScan が 100%、 F-Secure だけ 80% 台。 日本エフ・セキュア、アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが、……。
Comparison Test 2002-03 (Unix) FreeBSD, OpenBSD, Solaris も出てます。Sophos AntiVirus、Linux や FreeBSD では 100% なのに Solaris では 94.6% なのはなぜ?
日本エフセキュアの吉岡さんから (ありがとうございます):
●1. 「F-Secure だけ 80% 台。」は拡張子設定の違いによるものです。
「--dumb」オプションを指定することでほぼ全てのウイルスを検出いたします。
av-test.orgの評価中の「F-Secure」の項目は確かに80%台となっておりますが、これは、テスト中のF-Secureコマンドライン版スキャナの設定が他のソフトウェアと異なり、テスト対象ファイルに含まれるいくつかの拡張子が検査対象外になっているためです。
ファイル名を直接指定するか「--dumb」オプションを指定し、拡張子によらない検査を行うことで、ほぼ全てのウイルスを検出いたします。 決してF-Secureの検査エンジン自体の能力が劣っているわけではないことをご理解願います。
なお、拡張子によらない検査をした場合の検出率の一部が、av-test.orgの以下のページの「Best possible settings」の項目で確認できます。
http://www.av-test.org/down/data/2002-02-en/results.xls
拡張子設定の件を含めて各エンジンの動作詳細コメントがav-test.orgの以下のページでも確認できます。
http://www.av-test.org/down/data/2002-02-en/comments.txt
また、F-Secureでは24時間体制で活動するウィルス研究チームを擁しており、新規に発生するウィルスに対しても迅速に対応していますので、ウイルスに感染する可能性は極めて少ないと考えられます。
●2. 「F-Secure アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが...」については、"F-Secure アンチウイルスLinuxゲートウェイ"はコマンドライン版(Linuxサーバ版)とは別製品であり、デフォルト設定でほぼ全てのウイルスを検出いたします。
(F-SecureアンチウィルスLinuxゲートウェイ:
http://www.f-secure.co.jp/products/linux_gw/index.html )
先日発表いたしました「F-SecureアンチウィルスLinuxゲートウェイ」では全ての拡張子を検査いたしますので、ほぼ全てのウイルスを検出いたします。
決して、「F-SecureアンチウィルスLinuxゲートウェイ」のウイルス検査能力の能力が劣っているわけではないことをご理解願います。
「F-SecureアンチウィルスLinuxゲートウェイ」については以下のページで90日間試用版も公開しておりますので必要に応じて評価等にご利用いただけますと幸いです。
F-SecureアンチウィルスLinuxゲートウェイ[90日間評価版]:
http://www.f-secure.co.jp/download/trial/index.html
2002.09.26 はこのページの更新はありません。多分。
法輪功が2度目の電波ジャック 台湾から衛星システムに干渉 (毎日)。大胆だなあ。
「千と千尋」のDVD 国民生活センターが販売元に「注意」 (毎日)。 「現状のまま販売を続ける」のだそうで。まっかっか系の人は、まっかっかに見えない再生環境を整えるしかない模様。
拉致事件調査団 28日派遣、 山口 行方不明の女性公開手配、 京都 拉致容疑で家族究明要請 (NHK)。 「北」がどれだけ真面目に対応する気があるのやらわからぬが……。
それにしても 民主 執行部人事で対立鮮明 (NHK)。 そんなことしてる場合じゃないだろが。 こんなんだから支持率上がらないってのがわからないのか。
びわ湖のレジャー規制 条例案 (NHK)。 関連: 滋賀県琵琶湖のレジャー利用の適正化に関する条例要綱案に対して提出された意見・情報とそれに対する滋賀県の考え方 (滋賀県)。 実際、ギルとバスしか見たことないしな。リリース禁止でいいと思うし。 しかし、「リリース禁止」とは言っても罰則なしでは、けっきょく無視されるような気が。
あ、カメも見たことがある (魚じゃないって……)。 でもこれがまたミドリガメ (ミシシッピーアカミミガメ) で外来だったりするわけだ。
BeeAnywhere なんて製品があるんですね。
[security:00161] HFNETCHK 3.83 リリース。 だそうです。README によると、いろいろ機能が増えているようです。-sum がうれしいかな。
小泉訪朝の背景を探る (tanakanews.com)。たいへん興味深い。
NEWS HEADLINE あのGoogleが総合ニュースサイト開設 - 高速自動アップで常に世界最新記事 (MYCOM PC Web)。google おそるべし。news.google.co.jp はまだ存在しない模様。 (info from ポケットニュース)
penetration technique research site に 「改ざんされたサイトのOpenPort(TCP)ランキング(2002.08.01-31)」 が出ています。
装着型“ロボットスーツ”開発 脚力の一部を補助 (中日)。おぉ、強化外骨格! これでまた一歩「宇宙の戦士」に近づいた。カモーン! (はエイリアン 2)。 といっても現状の 20kg は動力が切れるとなかなかキツそうだが。
apache 2.0.42 出ました。mod_dav で DoS 攻撃されるバグが fix されているそうです。
path MTU discovery が通るような wall / フィルタを構築するように心がけましょう。ICMP need fragment はなるべくフィルタしないようにしましょう。
sourceforge からだと tripwire-2.3.1-2 が入手可能ですし、Red Hat Linux 7.0 以降には tripwire は標準添付されています。RH 7J でも tripwire-2.3-55 ですから、tripwire.org のやつはちょっと……。
#170987 で jbeef 氏は
指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います
と述べているわけだが、その直後から、実際に余計なエネルギーを必要としていそうな再反論を余儀なくされているようで、なんだかなあ。
個人的には、やっぱりコラムが興味深い。
伝言サービス未払いと恐喝。 10 人逮捕だそうで。 ワン切りモノ?
[aml 29987] ビッグビジネスの陰に。 NHKスペシャル 米ロ接近 変わるフロントライン では報道されなかった話題だそうで。NHK、さすがです。
[aml 29962] 保安院、8月7日以前にはシュラウドのことは何も知らない−9月17日交渉で保安院−、 [aml 29963] 福島第二原発3号機のシュラウドひび割れ隠蔽に保安院が関与。 電力屋を「保安」する院である証拠がまたもや。
[aml 29986] 転載・嫌がらせの実態。 チマ・チョゴリについては 「チマ・チョゴリ切り裂き事件」の疑惑 (infovlad.net) という話もあるそうで。「当面」ではなくずっと、着用しなくてかまわない、でよいのではないか。
infovlad.net への link は 【在日】ハウスバーモントカレーのCM【陰謀】 2 (の元スレ) で知ったんですが (info from EVERYDAY PEOPLE ですが)。 しかし、こんなのよく気がつくなあ。
KDDI,不正ダイヤルアップ対策で特定国への通話を休止 (日経 IT Pro)。 「犯罪国家」扱い?
「アンチ・ウイルスでシェア10%を奪う」——新規参入の韓国アンラボCEO (日経 IT Pro)。 他社ソフトにも対応、は、なかなかいいかも。 本当に|簡単に対応できるかどうかが問題になりそうだけど。
生存4人「明確な帰国意思示さず」と面会の駐英公使 (読売)。 示せるわけがないだろが……。
告発者を名指しで「危険人物」 保安院、東電に告発経緯まで (京都新聞)。 そうですか。なんでもしますか。電力屋が女王様なのね。 (info from EVERYDAY PEOPLE)
Internet Week 2002 プログラム。今年はおもしろそうな項目がけっこうあるなあ。 T13 : 不正アクセスの手法から考える監視技術〜雑音の除去と行動分析からリアルタイムプロテクションまで〜 とか。100 人なんてすぐ埋まってしまいそうな気が。
Mac OS X 10.2, 10.2.1 に弱点。悪意ある web ページ管理者や HTML メール送信者が、telnet:// URL を Mac OS X 10.2/10.2.1 利用者にクリックさせることで、Terminal 上で任意のシェルコマンドを実行させることが可能になる。という理解でいいのかな。 Security Update 2002-09-20 を適用することで弱点が塞がれる。 [memo:4864] も参照。
2002.09.21 の Bypassing SMTP Content Protection with a Flick of a Button に追記した。トレンドマイクロ solution 4732/4742 登場。
犯人は住友ベークライトのパッケージ封止材「EME-U」の模様。 影響が極めて広い範囲にわたる恐れあり。 HDD不良品の無償交換で富士通の負担は100億円超す (日経 BP) のだそうで。すごいね。
IO DATA: 弊社製ハードディスク製品に関するお知らせ。該当品は、希望者および修理時に無償交換、だそうです。
ソニー、バイオデスクトップのHDD不具合を告知 〜メルコも無償交換を告知 (PC Watch)。
富士通HDD不良、対策遅れ他製品へ波及懸念 (日経 BizTech)。
Visual C++ .NET の /GS スイッチ や IBM 江藤さんの ProPolice (SSP)、 FreeBSD packages/ports にも入っている libparanoia が紹介されていないのはなぜ?
2002.09.17 の CERT Advisory CA-2002-27 Apache/mod_ssl Worm に追記した。亜種登場。
[aml 29897] 法執行機関のグローバル化研究会(「サイバー犯罪条約」その他 10月5日)。 2002.10.05 14:00-17:00、青山学院大学。 A.D.2002 とは微妙に重ならない模様。 でも滋賀県方面の某裏番組とは重なるので私は参加できない……。
サンがOpenSSLプロジェクトに暗号化技術を提供 (CNET)。 楕円曲線暗号だそうで。
日本ハム子会社が賞味期限を偽造 (産経)。 賞味期限というのは簡単に変更できる/していいものらしい。
東北電力も98年秋検査で発覚の傷の兆候、公表せず、 中部電力も原発トラブル隠し 浜岡原発すべて停止へ (asahi.com)。けっきょくみんなやってるのね。 爆心地も トラブル隠ぺいさらに8件 東電 (産経) だそうで。さすがです。
第二回 情報セキュリティ関連の調査・開発に関する公募 (IPA)。
RFC2046: Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types の section 5.2.2.1 で定義されている Fragmentation and Reassembly 機構を利用すると、アンチウィルスゲートウェイを回避してウィルスを送り込むことが可能になる、という話。NIDS 回避ネタにもそういうのがありましたねえ。
回避方法としては、ファイアウォールなどで message/partial なメールを叩き落としてしまう方法がある。と言っても、ちょっと乱暴だよねぇ。やはりアンチウィルスゲートウェイ自身がきちんと対応することが望ましいわけで。 元記事では symantec や trendmicro などいくつものプロダクトの対応状況が述べられている他、 MIMEDefang では 2.21 で fix されたそうだ。また amavis-perl でも利用されている MIME::Tools 5.411a にもこの問題があり、 patch と、この patch を適用した MIME-tools-5.411a-RP-Patched.tar.gz が公開されている。
なお、各自で状況を試したい場合は http://www.gfi.com/emailsecuritytest/ に go! らしい。
CVE: CAN-2002-1121。 CERT Vulnerability Note: VU#836088。
solution 4742: InterScan VirusWall UNIX: SMTP:分割メールへの対応、 solution 4732: InterScan VirusWall NT: SMTP:分割メールへの対応 (トレンドマイクロ)。message/partial を隔離して終り、のように読める。
Microsoft Java VM build 3805 以前に 3 つの弱点。 悪意ある web ページ作成者や HTML メール送信者が
あらゆる DLL を読み込み、実行できる
使用不能攻撃 (IE の異常終了) が可能で、任意のコードの実行もできる可能性あり
Java アプレットからすべての任意の操作を実行可能
という、いずれも極めて危険な弱点だ。build 3805 用の fix patch が Windows Update 経由で入手できるので適用しよう。
なお、この patch を適用しても、jview コマンドなどで確認できる build 番号に変化はないようだ。KB Q329077
には This update upgrades your Microsoft VM with the
5.00.3807 patch
とあり、示されているレジストリにも
"Version"="5,00,3807,0"
なんて書いてあるのだが、MS02-052 自身にはわざわざ「注 : Jview により表示されるバージョン番号に関わらず、上記のレジストリキーはこの修正プログラムの正しいインストールを確認する要素となります
」と書いてあるので、そういうことなのだろう。いまいち納得できないのは確かなのだけど。(鄭さん情報ありがとうございます)
ところが、Microsoft Java VM には実はまだまだ穴があるらしい: 米MicrosoftのJavaセキュリティーホール修正は不十分と発見者が指摘 (INTERNET Watch)。 MS02-052 で fix されたのは、 Vulnerabilities in Microsoft's Java implementation で「10 を越える穴がある」とされたものの中の一部にすぎないというのだ。 ひきつづき、Java を off にするか、Sun の Java Plug-in などを利用するか、する必要があるようだ。
Technical information about the vulnerabilities fixed by MS-02-52。
Windows 2000 ターミナルサーバー、Windows XP リモートデスクトップにおける RDP 実装に 2 つの弱点。RDP セッションは暗号化されているが、これを解読できる可能性がある。また、特殊な RDP パケットを送ることにより DoS 攻撃が可能。 Windows NT TSE の RDP 実装にはこれらのの弱点はない。
patch があるので適用すればよい。また Windows XP SP1 ではこの問題は修正されている。
参照: Microsoft Windows XP Remote Desktop denial of service vulnerability。
2002.09.19 の 防衛庁のデータ流出で露呈(上)IT業界の下請け構造の危うさ に追記した。(下)登場。
HTML 版:
SecurityFocus Newsletter #159[1/2] 2002-8-19->2002-8-23、 SecurityFocus Newsletter #159[2/2] 2002-8-19->2002-8-23
テキスト版:
政府、業界、国民が一丸に——ホワイトハウスのネットセキュリティ戦略、 ネットセキュリティ強化に乗り出す米政府 (ZDNet)。
[aml 29909] 拉致家族に対する社民党の謝罪は?Re: [aml 29900] 社会民主党
(声明)。
「調印すべきでなかった」系もアレだが、月刊社会民主1997年7月号: 食糧援助拒否する日本政府の
「拉致疑惑事件は、日本政府に北朝鮮への食糧支援をさせないことを狙いとして、最近になって考え出され発表された事件なのであるる
」
はもっとアレだなあ。
第一回FSIJ技術セミナー。 2002.10.21、日本教育会館 (東京都千代田区)、有料。Debian が多いなあ。
Debian Security Advisory DSA-136-1 openssl、DSA-136-1〜3 の内容が merge されてるんだから、 DSA-136-1 って表記は変だと思うのだが。冒頭の DSA-136-1 ってトコだけ見て「まだ変ってねぇなー何やっとんじゃー」と誤解してい (る|た) 人は私だけではないはず。
京都朝日シネマ、 チョムスキー 9.11 Power and Terror の案内出てます。 2002年10月12日〜25日 シネマ1 レイトショー 20:45〜22:04 だそうです。見逃さないようにしなくちゃ。
アドバンスト・ファイルシステム・インプリメンター・ガイド 第11回 ファイルシステムの更新 (ibm.com/jp)。 (info from slashdot.jp)
Windows XP Service Pack 1 正式に登場しています。
http://www.linuxsecurity.com/ に (というか packetstorm への link なんだけど) openssl-too-open.tar.gz なんてのが出てますね。 うーむ、きれいに決まりすぎ。まずいっす。 まだ対策できてない人……いないですよね?
ちなみに、Red Hat Linux に撃ってみたところ、RH 7J だとこんな log が /var/log/httpd/error_log に入ります。
[Thu Sep 19 13:18:38 2002] [error] mod_ssl: SSL handshake failed (server XXX.ryukoku.ac.jp:443, client XXX.XXX.XXX.XXX) (OpenSSL library error follows)
[Thu Sep 19 13:18:38 2002] [error] OpenSSL: error:1406908F:SSL routines:GET_CLIENT_FINISHED:connection id is different
RH 7.2J だとこうです:
[Thu Sep 19 17:40:04 2002] [error] mod_ssl: SSL handshake failed (server XXX.ryukoku.ac.jp:443, client XXX.XXX.XXX.XXX) (OpenSSL library error follows)
[Thu Sep 19 17:40:04 2002] [error] OpenSSL: error:1406908F:lib(20):func(105):reason(143)
chkrootkit 0.37 出てますね。
[free-memo:196] セキュリティ・スタジアム 参加者募集のお知らせ。というわけで、募集してます。ふるってご参加ください。
セキュリティ・ビジネスに待ち構える難問 (日経 IT Pro)。 この分野、10 年 20 年の実績がある、なんて SI 屋はどこにもないだろうし。 そういう状況で信頼を寄せろったって無理でしょう。
Easel
の 2.2.1b4 が出ています。
Easel is a general-purpose modeling/simulation language and tool that is used to predict behavior in a seemingly uncertain world
というモノだそうで。
2002.06.25 の WindowsXPの5/30問題を考えるページ に追記した。Windows XP SP1 を適用すると、問題が消滅してしまう?!
正式に登場しています。IE 6 SP1 README も読みましょう。特に、セキュリティ拡張のための機能: 以降。
2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。Debian のさらに新しい fix package 出てます。 Turbolinux の警告。
2002.09.17 の UNIX fixes に追記した。FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors の部分に追記と修正。バカすぎ > 俺。
どう考えても「氷山の一角」。ここでも必要とされているのは「構造改革」なのだが、……。
防衛庁のデータ流出で露呈(下)IT業界の下請け構造の危うさ (日経 IT Pro)。
2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。Microsoft 公式見解登場。
数分で読めてしまうのだけど、経験上 (笑)、この記事を書くのはたいへんだっただろうと思う。そんな労作を無料で読めるのは本当にありがたいことです。
匿名希望さん、蟲ありがとうございます。
韓国アンラボが日本のセキュリティ市場に参入 (日経 IT Pro)。 他社の明確な優位性をアピールしちゃいかんでしょう (^^;)。 他社に対する明確な優位性をアピールしナイト。 複数のセキュリティ関連誌で優位どころじゃないレポートが示されている現状では、……。新版で過去を清算する能力を示さナイト。
チェック・ポイント,FireWall-1をIPv6対応にするモジュールを提供 (日経 IT Pro)。 来年の N+I TOKYO あたりなら制限なし版になっているのかなあ。
Tea Room for Conference No.1065 に、インターネット協会の素敵なライセンスの話が出ていますね。まるで宗教団体だなあ。
住基ネット方面: みんなで11けたに法律に基づく異義申し立てを! (seach.jkcc.gr.jp)。 [aml 29844] の内容が補足・詳細化されています。わかりやすく書かれています。 〆切は「異義申立てに係る処分があったことを知った年月日の翌日から 60 日」= 2002.10.04 必着、だそうなので、いそぎましょう。 いしはらさん情報ありがとうございます。
住基ネット方面: [aml 29844] Fwd: 住基ネットに【法律に基づく「異議申し立て」】を!、 [aml 29863] [情報] 住基ネットに関する話のビデオ(清水勉弁護士:全国市民オンブズマン全国大会 情報公開分科会にて)。
北朝鮮方面、8 名死亡とは……うーむ……。遺体を送還の上身元確認、くらいはしてもらわないと家族は納得できないだろう。
情報処理学会関西支部チュートリアル講演会 『情報セキュリティの実践と理論』 2002.10.17、関西学院大学三田キャンパス。 会員無料、非会員 ¥500-。 セキュリティ・スタジアム2002 の裏番組だなぁ……。
[harden-mac:0078] カム送り解錠。 NHK のムービー、開く早さと作業姿勢 (立ち位置で ok) がなかなか。 ふつうに開けてるのと区別つかなさそう。
〜インターネット・セキュリティ〜 初級セミナー編 、2002.09.28 仙台市市民活動サポートセンター、¥2,000-。横内さん情報ありがとうございます。
Windows XP 日本語版用 SP1 らしきものが get できるようですね。 手元では 9/14 時点で get してあったり。 S さん情報ありがとうございます。
正式発表前のものなので、インストールしたあと何が起こっても at your own risk ということで。
【情報セキュリティセミナー】開催のお知らせ (IPA ISEC)。 今年も開かれるようです。
研究報告「クローンには、ほぼ確実に異常が発生する」 (WIRED NEWS)。いくつもの地域で go がかかっているはずだが……。
ヤフオクで大規模詐欺事件発生 (slashdot.jp)。しょせん個人売買の世界ですからねぇ……。
VMware 3.2 が出たようですね。"Designed for Windows" を取ったようで。 Release Notes を読むと、Locking Out Interface Features なんてのも追加されたそうで。
って、「ブリッジネットワークを削除中」で止まってるじゃん > 3.1 のアンインストール。ぐはぁ (吐血)。 結局ハードリセットしてしまった。
インストール中、見事に MS02-050 の副作用が発生しますねえ。せっかく "Designed for Windows" 取ったみたいなのに。
参照: Security side-effects of Word fields。 隠しフィールド、ですか……。
報告された Microsoft Word フィールドの脆弱性に関する情報 (Microsoft)。
「最善のセキュリティのために、マイクロソフトはお客様に Word 2002 (Office XP) をご利用いただくことを推奨します
」
というのは、まあ、Microsoft としては、そうなんだろうなあ。
CIACTech02-005: Understanding Capturing Files with Microsoft Word Field Codes (CIAC)。 詳細な解説。
MS02-059: Word フィールドおよび Excel の外部データ更新の問題により、情報が漏えいされる (Q330008) 登場。Word 97/98/2000/2002, Excel 2002, Word 98/2001/X for Macintosh で問題が発生する。 Word 2000/2002, Excel 2002, Word 98/2001/X for Macintosh については修正プログラムもある。Word 97/98 for Windows だけ、まだ patch がない。
FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors
sgid kmem なアプリから起動したプロセスからは /dev/mem および /dev/kmem を直接読めないはずなのに、実は読めてしまう。 該当するアプリとしては ports の asmon, ascpu, bubblemon, wmmon, wmnet2 があるという。 発見者による情報: [VulnWatch] iDEFENSE Security Advisory 09.16.2002: FreeBSD Ports libkvm Security Vulnerabilities。
patch があるので適用するか、記載の修正済みバージョンを cvsup
する等して入手し kernel を再構築、インストールして reboot
libkvm ライブラリを再構築しインストール。
static link されたコマンドがあれば、それも再構築しインストール。
佐藤さんから (ありがとうございます):
> patch があるので適用するか、記載の修正済みバージョンを > cvsup する等して入手し kernel を再構築、 > インストールして reboot。 というのは誤りだと思います。この弱点は libkvm に関連するもので、 kernel の再構築を行なっても効果はありません。 SA には |b) Execute the following commands as root: | |# cd /usr/src |# patch < /path/to/patch |# cd /usr/src/lib/libkvm |# make depend && make && make install という手順が紹介されています。静的リンクしているバイナリを 再構築する必要はあるものの、今回の修正に関して、再起動は 必ずしも要求されません。 また、 > sgid kmem なアプリから起動したプロセスからは > /dev/mem および /dev/kmem を直接読めない > はずなのに、実は読めてしまう。 という部分も、厳密には適切な説明ではないと思います。 前提条件は 「sgid kmem されていること」ではなく 「親プロセスが /dev/kmem をオープンしていること」ですし、 exec(2) で descriptor が渡されれば、それにはアクセス できるのが普通ですよね。 今回の問題の要は、アクセスに高い権限が必要なファイルの descriptor は exec(2) したプロセスに渡さないよう close-on-exec を指定すべきなのに対して、close-on-exec を 指定するための方法が提供されていなかった、という部分にあります。 つまり「直接読めないはず」なのではなくて、 「読めないようにすべきなのに、そうなっていない」というのが 正しい理解だと思います。
kernel へげへげ部分の間違いは致命的なので <s> で囲って直しておきました。 日本語版の Re: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:39.libkvm も参照。つーかちゃんと読め > 俺。
[RHSA-2002:190-06] Updated gaim client fixes URL vulnerability
7.0 用。
[RHSA-2002:189-08] Updated gaim client fixes URL vulnerability
7.1〜7.3 用。
[RHSA-2002:036-26] Updated ethereal packages available
6.2/7.0/7.1 用。
[RHSA-2002:188-08] New wordtrans packages fix remote vulnerabilities
7.3 用。 参照: Guardent Client Advisory: Multiple wordtrans-web Vulnerabilities
NetBSD SA が大量改訂。NetBSD 1.6 登場にあわせて 改訂されているようです。また、2002-015 と 2002-016 は
NetBSD-SA2002-015 and NetBSD-SA2002-16 are pending advisories awaiting disclosure co-ordination with third parties. The issues they will describe are fixed in NetBSD-1.6 and NetBSD-current.
なのだそうです。
NetBSD Security Advisory 2002-006: buffer overrun in libc/libresolv DNS resolver
NetBSD Security Advisory 2002-007: Repeated TIOCSCTTY ioctl can corrupt session hold counts
NetBSD Security Advisory 2002-009: Multiple vulnerabilities in OpenSSL code
NetBSD Security Advisory 2002-011: Sun RPC XDR decoder contains buffer
NetBSD Security Advisory 2002-012: buffer overrun in setlocale
NetBSD Security Advisory 2002-013: Bug in NFS server code allows remote
NetBSD Security Advisory 2002-014: fd_set overrun in mbone tools and pppd
NetBSD Security Advisory 2002-017: shutdown(s, SHUT_RD) on TCP socket does not work as intended
NetBSD Security Advisory 2002-018: Multiple security isses with kfd daemon
AES (Rijndael) と Serpent に弱点が?! 今後登場するだろう、さまざまな解析を待つ必要があるようだけど、もしかすると、……。
過失の有無の判断には,“業界標準”に沿ったリスク管理を行っているかどうかが論点となる。損害を予防するために相応の対策を施していれば,第三者に損害を被らせても故意過失がないと考えられるからだ。
というような話は、第 1 回 STPP セキュリティ対策セミナー でもトレンドマイクロの久保さんが冒頭でおっしゃっていらっしゃいましたね。 久保さんはもちろん、「いまどきウィルス対策なしではダメダメでしょう」という話をされたのですが。
2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。OpenSSL 0.9.6g 話と各ベンダーでの最新の fix の状況をまとめてみた。 Debian の新しい fix package 出てます。特にまだ potato の人、今すぐ適用しよう。
OpenSSL 穴 を突く worm が登場。今のところ、 「mod_ssl が有効な Linux 上の Apache」 が攻撃対象の模様。攻撃は https (443/tcp) を通じて行われるので、これを塞いであれば、とりあえずこの worm からの攻撃は防ぐことができる。
今回対象になっている弱点に対応するには、通常は、各ディストリビュータ/ベンダーから配布されている、最新の OpenSSL パッケージをインストールすればよい。 あわせて mod_ssl パッケージも最新のものをインストールする必要があることがあるので注意されたい。
worm による攻撃が成功すると DDoS 攻撃用のソフトが植えつけられるそうだ。こいつは 2002/udp を使って通信を行うそうなので、これも塞いでしまうのがよい。
関連情報:
緊急報告 - OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム (JPCERT/CC)
日本でも感染事例が発見されているようです。注意しましょう。研究のために 1 匹ほしいけど、現状の手元の環境では採取できないんだよな。やっぱり昆虫採集用ネットワークがほしいなあ。
Analysis: OpenSSL Vulnerabilities (incidents.org)
攻撃対象は、今のところ
struct archs {
char *os;
char *apache;
int func_addr;
} architectures[] = {
{"Gentoo", "", 0x08086c34},
{"Debian", "1.3.26", 0x080863cc},
{"Red-Hat", "1.3.6", 0x080707ec},
{"Red-Hat", "1.3.9", 0x0808ccc4},
{"Red-Hat", "1.3.12", 0x0808f614},
{"Red-Hat", "1.3.12", 0x0809251c},
{"Red-Hat", "1.3.19", 0x0809af8c},
{"Red-Hat", "1.3.20", 0x080994d4},
{"Red-Hat", "1.3.26", 0x08161c14},
{"Red-Hat", "1.3.23", 0x0808528c},
{"Red-Hat", "1.3.22", 0x0808400c},
{"SuSE", "1.3.12", 0x0809f54c},
{"SuSE", "1.3.17", 0x08099984},
{"SuSE", "1.3.19", 0x08099ec8},
{"SuSE", "1.3.20", 0x08099da8},
{"SuSE", "1.3.23", 0x08086168},
{"SuSE", "1.3.23", 0x080861c8},
{"Mandrake", "1.3.14", 0x0809d6c4},
{"Mandrake", "1.3.19", 0x0809ea98},
{"Mandrake", "1.3.20", 0x0809e97c},
{"Mandrake", "1.3.23", 0x08086580},
{"Slackware", "1.3.26", 0x083d37fc},
{"Slackware", "1.3.26",0x080b2100}
};
のようです。
OpenSSL/Apache ワーム「Slapper」の蔓延 (ISSKK)
関連報道:
OpenSSL の脆弱性をねらう Slapper ワーム Linux+Apache+OpenSSLは注意(2002.9.16) (netsecurity.ne.jp)
Slapper ワーム 行政府、自治体でターゲットになるのは 38 IPアドレス(2002.9.16) (netsecurity.ne.jp)
Slapperワーム、攻撃のための歩兵マシンを組織中 (ZDNet / ロイター)
『リナックス』サーバーでネットワークを作るワーム『スラッパー』流行中 (WIRED NEWS)
さっそく亜種が出たそうで: 「Slapper」OpenSSL/Apache ワームの変種の蔓延 (ISSKK)。 crontab を設定したりするものもあるようです。 攻撃対象プラットホームはオリジナルと同じなので、攻撃コード自体は同一なんだろうな。
openssl-too-open.tar.gz なんてものもあるので、特定ファイルの有無だけでヤラレ具合を判断したりしないようにしましょう。
「ウイルスの進化」を示したSlapperワーム (ZDNet)。 これからは P2P が流行りなんでしょうか。
注意:4種類のワームの同時蔓延への注意 (ISSKK)。 さらなる亜種が 2 つ。
告発者情報を漏えい 保安院が東京電力に (岩手日報)。 やっぱり「電力屋を守る」のが最優先課題の組織なのですね。さすがです。
日本のくらっくサイト情報さんがまた移転しています。 2 度あることは 3 度あるに 100 まるぺ (^^;)。
だから原稿書け > 俺。
で、原稿書きのために Red Hat Linux 7.2 エラータ とか読んでいたりしたのだが、あまりにあまりな「日本語」が多すぎやしないか?
米国民、テロ対策法への意識に変化? (WIRED NEWS)。 [aml 29782] Re:イラク攻撃について [ ワシントン・ポストのふたつの記事]。 U.S. 国内でもバケの皮がはがれつつある、のかなあ。 子ブッシュは本当に戦争が大好きみたいだけど……。
NASDAに不正アクセスした元東芝社員に有罪判決 東京地裁 (毎日)。 正直者はバカを見る。 NASDA 自身のアホさ加減にはおとがめなし?
競作映画「セプテンバー11」 ニフティなどでBB公開 (毎日)。 そういえば、 チョムスキー 9.11 の 完成披露上映&トークライブ はどんな様子だったんだろう。
[aml 29780] おすすめ!ゴルゴ13 アトミッククライシス。 用件を聞こうか……。
本と言えば、某所で 不確実性のマネジメント が話題になっていたり。
気がつけば、 KUINS セキュリティ情報 も 日本のくらっくサイト情報 さんもデータベース化されてますね。 手元もデータベース化したいものがいろいろとあるのだけど、勉強がおいつかない……。
ようやく PASV が通るようになった。 個別 port の開け設定と PASV が喧嘩していた模様。 以前利用していた wall ではステートフルインスペクションなんてできなかったので、PASV 時に利用する port を個別に許可していたのだが、この設定を FW-1 へもそのまま移行させてしまっていた。この場合、その個別 port を ftp PASV で利用することは FW-1 が拒否する。したがって PASV できない、と。
考えてみれば当然な話ではある。 個別 port 設定を削除して解決。坂本さんお手間をとらせてすいません。
……しかし、該当サーバの個別 port でなくても、どこかのサーバの個別 port 設定と同じ番号の port を PASV が使おうとするだけでうまくいかないらしい。うーむ。それはなんだか変な動作のような気がするぞ。
住基ネットとの接続を切断 東京都中野区、 「システムの安全性は確認できない」 中野区長の会見要旨 (毎日)。 会見要旨を読むと、総務省の言う「十分なセキュリティー対策」がいかに不十分かがよくわかる。まじめな自治体ほど深く悩んで苦渋の決断をしているにもかかわらず、総務省から聞こえてくる言葉はあまりにも軽い。
[SECURITY] [DSA 159-2] New Python packages fix problem introduced by security fix
[SECURITY] [DSA 160-1] New scrollkeeper packages fix insecure temporary file creation
[SECURITY] [DSA 161-1] New Mantis package fixes privilege escalation
[SECURITY] [DSA 162-1] New ethereal packages fix buffer overflow
[SECURITY] [DSA 163-1] New mhonarc packages fix cross site scripting problems
[SECURITY] [DS 164-1] New cacti package fixes arbitrary code execution
TRU64 formal disclosure from Snosoft. なんてのも出てます。
QuickTime 5.0.2 for Windows の ActiveX コンポーネントに弱点。 pluginspage フィールドの処理においてバッファオーバーフローしてしまう。 これを利用すると、悪意ある web サーバや HTML メール送信者は、 ユーザコンピュータ上で任意のコードを実行させることが可能になる。
QuickTime 6 for Windows にはこの問題はないという。upgrade しましょう。
[harden-mac:0083] での指摘にあわせて "for Windows" を追記。
Apple オフィシャル: M-128: Apple QuickTime ActiveX Buffer Overrun [Apple Security Advisory APPLE-SA-2002-09-19]。 ここでも「QuickTime 6 for Windows に upgrade」になってます。QuickTime 5 for Windows 用の fix は出ない模様。
2 つの CRLF Injection 問題指摘。 リクエストに %0D%0A を挿入するとクロスサイトスクリプティング脆弱性が発生。
回避方法なし。入力値検査を行うことで回避されたい。
php.ini で allow_url_fopen を Off にすれば回避できる。
PGP Corporate Desktop 7.1.[01] に弱点。PGP はファイル名の長さをきちんとチェックしていないため、長大なファイル名を利用して任意のコードを実行可能だという。 patch ファイル PGPhotfix_OutlookLFN_20020828.zip が公開されているので適用すればよい。 patch の readme によれば、更新されるファイルは PGPexch.dll と PGPsc.dll のようだ。
関連報道: PGP暗号メールが“電子の弾丸”になる? (ZDNet)
MSIE と KDE Konqueror に対する指摘。
MSIEv6 % encoding causes a problem again
手元の XP + IE 6 ではうまくいかなげなんだが……。
MSIEv6 % encoding - Konqueror 3.0.3 also vulnerable
fix 出ました: KDE Security Advisory: Konqueror Cross Site Scripting Vulnerability
KDE 方面では KDE Security Advisory: Secure Cookie Vulnerability なんてのも出ているそうで。
Microsoft Java VM には 10 を越える未公開の脆弱性があるのだそうで。 Sun のオリジナル Java VM には同様の問題はないのだそうで。 とりあえず回避するには Java を無効にしておけばよいでしょう。 どうしても Java を使いたい人は Sun の Java Plug-in 1.3.1 以降を使えばよいでしょう [memo:1498]。 って、Microsoft Java VM 依存だとダメですが [memo:3933]。 住基ネットでおなじみの総務省ですな……。
関連報道: Internet ExplorerのJava環境にセキュリティーホール (INTERNET Watch)。山野井さん情報ありがとうございます。
日本語版が新たに 2 つ出てました (単に気がつくのが遅い > 俺)。
気分はインデペンデンス・デイ? 認証もなにもかかってないような無線 LAN なら、不正アクセス禁止法にも触れないだろうし……。
世の中 9.11 追悼なのはいいが、 あわせて、アフガニスタンで U.S. の「誤爆」や「不発弾」により亡くなられた人達のためにも祈るのが筋ってものだと思う。 つーか、補償くらいしろ > U.S.。
坂本さん情報ありがとうございます。つっついてみます。
……そういう項目は手元のヤツには存在しないそうです。(T_T)
2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 2000 用 patch が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。
また、この patch を適用することによる副作用が MS02-050 の「警告」欄に追記されている。patch を適用すると、 Microsoft 自身が利用している「ある特定の」デジタル証明書まで reject されてしまうため、実際には合格していても、「ドライバが Windows ロゴテストに合格していない」という警告表示がされる場合があるという。 この問題を修正する新 patch は現在開発中なのだそうだ。
透ける住民票コード通知、「私権侵害」損賠提訴へ 大分 (毎日)。 戦いはつづく。
お、H2A 3 号機打ち上げ成功したのですね。 おめでとうございます。 (link fixed: 一石さん佐藤さん明間さん感謝)
運転停止回避でひび隠しか、 緊急冷却装置もトラブル隠し (NHK)。 もうめちゃくちゃ。
ひまわり5号、燃料残りわずか 気象観測綱渡り続く (asahi.com)。
強まるデジタルコンテンツ規制に反発するオープンソース陣営 (WIRED NEWS)。
そういえば、次世代光ディスクの現状 第2回
青紫色レーザーも問題ない? 製品化に向け進むBlu-ray Disc
(ZDNet) には「Blu-ray Discでは、当初から、メディアだけでなくドライブに1つ1つ異なるユニークなIDを採用し、これを著作権保護以外にも積極的に利用できるようになっている
」なんて書いてある。いつぞやのインテル CPU 話を想起してしまうが、これといった声が聞こえてこないのはなぜ?
株式会社シマンテック、業界初のクライアント用統合型セキュリティ・ソリューション「Symantec Client Security」を発売 (symantec)。 NAVCE……じゃなくて SAVCE (Symantec AntiVirus Corporate Edition) 8.0 だそうで。「SAVCEは単体でのライセンス販売も行います」だそうで。
いまだに PASV 通らないじゃん……。
PHP4.2.3 リリース (slashdot.jp)。「どくいりきけん たべたらしぬで」になる場合がある模様。
IPSJ、 8/2 と 9/2 を間違えてる? ウィルスメール話はどうなったんだ……。 (fixed: s/ISPJ/IPSJ/; なかのさん感謝)
なんか、いまごろになってまた Nimda がちょくちょく流れてきているみたいですねえ……。 明暗を分けた2つの『Klez』 (CNET) なんて記事も出てますが。
Windows 2000 サービスパック 3 日本語版への対応ついて (トレンドマイクロ)。
Q328691: MIRC Trojan-Related Attack Detection and Repair (Microsoft)。
update されています。
Backdoor.IRC.Flood というモノだそうで。
Antivirus software may indicate that it has
detected Trojans, such as Backdoor.IRC.Flood
and its variants
と言われても、
Windows 2000 Server
に Antivirus software がどの程度入っているのやら。
そういう人は
ウイルスバスターオンラインスキャン
してみるとか?
(やったことないけど)
YEN 的噂話、9/22, 23 と広島方面でマニュファクチャリング・コンセントが上映されるそうだ。 9/23 は無料 (!!)。(info from 異分子(仮) -dissident- チョムスキー・アーカイヴ日本語版 )
とりあえず web page は見えるようになった模様です。 ftp.st.ryukoku.ac.jp は、PORT はできるけど、PASV するとうまくいかないみたい。 ただの FW-1 なのに、なぜ設定できない > NEC。
Mozilla Browserの再設計版 「Phoenix」 (slashdot.jp)。要注目か?! とりあえず proxy 対応実装してくれないと半径 50m 内では使えないぞ……。
MSDN Library: Security ページもアンテナに入れた方がよさそうだなあ。なんだかいっぱいあるぞ……。
関西オープンソース+フリーウェア2002、2002.12.06〜07、大阪産業創造館。 BOF は?
[memo:4766] 住基ネット調査委。 伊藤穰一氏の Japanese National ID に関連情報があるそうです。
東京電力: 福島第1原発1号機 原因深刻な個所隠ぺい (毎日)。 次から次へと出てきますねえ。
これが不審船だ (毎日)。 ふつうの漁船も「工作船」に見えるようにしてみるテスト? 「工作船」の払い下げ漁船?
2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows の日本語版、報告された Windows の構造上の問題に関する情報登場。 翻訳スピード上がってるなあ。
ジャストシステムの Shuriken, Shuriken Pro, Shurken Pro2, カラメル, カラメルパフェ, カラメル2, eタイム, eタイム2 に 2 つの弱点。
受信箱にある HTML メールを「ダブルクリックして別ウィンドウで」開くと、 HTML メールに記述された既知パス名のコマンドをマイコンピュータゾーンで動作させることが可能。 2. の弱点との組みあわせにより、任意のコマンドを実行させることも可能。
添付ファイルの一時展開先が既知である (ランダム化されていない) ために、 HTML メール内に、一時展開先に存在する添付ファイルへの直接リンクを設定することが可能。 このリンクをクリックさせることにより、添付ファイルに仕込まれた任意のコマンドを実行させることが可能。
対応としては、これらを fix する patch が出ているので適用すればよい。 ダウンロード先は [memo:4768] を参照。
それにしても、[memo:4769] 「セキュリティを強化」文化の伝承 にもありますが、どうして「修正」と言えないんでしょうかねえ。
2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 98/98SE/Me 用 patch が新たに登場。 まだ fix がないのは Windows 2000, XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。らむじぃさん情報ありがとうございます。
MS、コンピューターからの締め出し攻撃について警告 (WIRED NEWS)。
2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) 登場。Windows NT 4.0 と Windows XP 用の patch が配布されている。 Windows 9x/Me, 2000 用などはまだ。
2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows (Microsoft) 登場。 Microsoft 製プログラムのいくつかにもこの問題が発見され、patch 製作中、の模様。
Opinion:施錠されたマイクロソフトのIIS 6.0 (ZDNet)。 Web Server Edition、値段によっては大いにウケるかもしれない。 というか期待しているんですが。
自治体の条例に「住基ネット」の影響 (ZDNet)。 罰則ありは 10% に満たず、ですか。総務省自身があのていたらくですしねえ。
秋田沖に不審船「経済水域外で発見」 (読売)、 能登半島沖に不審船 海保、巡視船艇15隻を派遣し監視 (asahi.com)。 今回の対応状況は前回からどのように改善されているんでしょうね。
シマンテック、日本テレコムと協業し「ODN」のメールウイルスチェックサービスの本格的な提供を開始 (シマンテック)。送信メールのチェックはされない模様。だめだこりゃ。
ICANNが米VeriSignにWhoisデータベース改善を要求 〜最悪レジストラー認可取り消しも (INTERNET Watch)。 さすが VeriSign。
住基ネットで「自治体の是正措置権」検討へ 知事会で総務相、
三重県 国に個人情報保護法の早期制定を要望 (毎日)。
「住基ネットは、通信をすべて暗号化しており、技術的には万全の措置と考えている
」。暗号化ってのはセキュリティの一側面でしかないんだが。
XFree86 4.2.1 登場しています。 security fix も含まれています。 "Update XDarwin support for the Jaguar release" なんて文字列もありますね。(info from [macosx-xwinsys-jp:00551])
『Passport』のセキュリティーを強化 (CNET) だそうです。
弁護士らが内部告発支援センター発足へ ネットで事実公表も (毎日)。
「当面、民間の立場で『社会的告発は正当』と認知されるよう活動したい
」。
告発するとゴロだと言われたりもするようですが……。
「もっと自治体中心の運営を」 住基ネット調査委が発足、 住基ネットのトラブル、稼動1ヶ月で「30件ほど」 総務省 (毎日)。 なんでも隠すのが「セキュリティ」なのではないのだが。
ITセキュリティ予算に影響を与えたのは,9月11日のテロ攻撃より9月18日の「Nimda」 (日経 IT Pro)。9.11 級だと「広域災害」に近いし。 9.11 で危機管理体制全般を見直した、というのはあるだろうけど、IT セキュリティに特化して見直した、というシナリオは考えにくい。IT セキュリティという観点では CodeRed / Nimda の影響の方がはるかに大きい、というのはごくあたりまえの結論だろう。
韓国のウイルス対策ソフト最大手が日本市場に本格進出 (CNET)。 ウィルス警備隊 V3 ユーザは V3 VirusBlock LE への無償アップグレードか V3 VirusBlock の優待販売 となるそうです。
コンピューターウイルス集めDB化 総務省、対策研究 (asahi.com)。
「「民業圧迫」と批判を招かないよう、研究のための情報の蓄積や提供にとどめるという
」。民業、民業。
ソニー: ネット家電でリナックスを採用 テレビの基本ソフトに (毎日)。 テレビのソースコードが得られる時代になる模様。
原発推進派って、スリーマイル島 (TMI) 事故のころ (古くてすまん) 「日本の原発は U.S. よりはるかに厳しく検査してますから ok ok」なーんて言っていたような記憶があるんですが、実は U.S. と同じだったんですね。ハハハ。
「解雇」されていた東電原発トラブル隠しの情報提供者 (asahi.com) など、すばらしい状況があらわになりつつあるようで。 東電原発トラブル隠し (asahi.com) ページできてますね。
指摘文書: SecuRemote usernames can be guessed or sniffed using IKE exchange。 Check Point さんがおっしゃるには、
Check Point does not recommend the use of IKE Aggressive Mode, because of many well-known limitations in the protocol, and the Check Point products offer much more secure alternatives.
……中略……
By default, Aggressive Mode is not enabled in NG. In 4.1, the recommended configuration is to disable Aggressive Mode and use Hybrid Mode instead (which involves no change to the user experience).
なんだそうで。
Cisco VPN 3000 シリーズにさまざまな弱点がある、という話。DoS や remote exploit される穴などなどがあるようで。
対抗ソフトも紹介されてます。
複数のメールソフトを併用するのはけっこうむつかしいものがあるけど、複数の web ブラウザを併用するのはそれほどむつかしくない。Netscape 6 以降は「IE じゃないと読めないんだよね」ということも少なくなったし。Netscape/Mozilla/Opera なら MIME content-type もちゃんと解釈してくれる/するようにできるようだし。
とりあえず、MIME content-type 問題だけはなんとかしてほしい > IE。 シャレにならん。
ソフトの不正コピーをしていた専門学校を提訴、MSやジャスト (毎日)。 「損害賠償の額などで折り合わなかったため提訴に踏み切った」。 しかし、いまだに Apache/1.2.6 なんですね > www.accsjp.or.jp。
被災地に無線LANを 〜練馬区と都、合同訓練 (ZDNet)。民間企業なんですね。
猫虐殺のネット掲載事件 「厳罰嘆願」は共感を得られない (毎日)。 虐待方面は好き嫌いとはちょっと違うと思うのだが。 嫌煙権、というのは最近よく聞くが、嫌動物権、というのはなかなか聞かない、のも確かだが。私は動物嫌いじゃないけど、犬ウンコは回収してくれ > 犬散歩同伴者。
9月末までに住民票コードを再配達 名古屋市 (毎日)。 まだまだ迷走中ってかんじ?
住基ネットの管理・運用チェックへ長崎市が第三者委発足 (毎日)。 物理セキュリティだけを報告したのかなあ。 TAP されていないかどうか、とかの check してるのかなあ。
「住基ネットNO!」初日は1202人 横浜市で市民選択始まる (毎日)。 横浜市民はやりやすくていいなあ。
IIJ、中堅企業向けの情報漏洩対策サービス「IIJ Mailゲートウェイサービス」を開始 (IIJ)。 2002.09.12 の IIJセキュリティソリューション・セミナー が中身の説明なのかな。
同じ machine っぽい address から Klez が定期的にやってきたりして、いいかげんウザいと思っている人は、ISP に連絡して対応を促してみてもよいかもしれません。必ず対応される、というわけではありませんが。
Namazu 最新版 2.0.12 が登場しています。 標準エラー出力による問題 (クロスサイトスクリプティング問題につながってしまう) などが排除されています。Namazu 利用者はなにはともあれ upgrade しておきましょう。IIS 4.0/5.0 上で Namazu を利用している場合は特に。
参照: クロスサイトスクリプティング脆弱性(ver2.0.10) (namazu-devel-ja ML)
うーん、
ウィルス被害は、ムダにたれながされているIT予算の一部をまわせば、簡単に防ぐことができるはずなのに、あえて行なっていないのである。
ムダムダな「IT 予算」支出が存在することには同意するけれど、そもそもウィルス対策を政府予算でやるべきなんだろうか……。
ウィルスに感染しないもっとも効果的な方法は、「アウトルックエクスプレス(OE)とインターネットエクスプローラ(IE)を使わないこと」につきる。
IE/OE が困ったちゃんなことには同意するけど、他のメーラでも、添付ファイルをダブルクリックされたらオワリなわけで……。そういう部分での「基礎教育」はいずれにしろ必要かと。
Mac OS 9.2.2 以前用。Mac OS X 用は…… inetd で /bin/sh でも動かしとけば ok ok なのでしょう。
今のところは物理攻撃の方が簡単かつ有効な模様。斧が一本あれば電線切れるしなあ。
2002.09.02 の マイクロソフト セキュリティ情報センターの電話窓口について に追記した。それらしい記述が追加されました。当面は英語でがんばるしかないようです。(T_T)
2002.09.02 の solution 4576 - InterScan VirusWall UNIX - CVP:Security Patchを適用後CVPサービスが停止する に追記した。「HTTPのTrickle機能」の解説を追記。
教育機関対象 McAfee.comセキュリティ対策ソフトの無償配布のご案内 (ソースネクスト)。 タダなのは 1 年だけ、しかも東京23区内だけ。 右むけ右都知事に媚びるテストなのか? (邪推)
Updated for FreeBSD 4.6.2 Anti Trojan kernel option patches 出たそうです。
CERT Summary CS-2002-03 出てます。
新名称が示唆するWindows .NET Serverの遅れ (ZDNet)、というかそれはもう既定路線でしょ。 その分しっかり安全・安心なモノになってくれればそれでいいわけで。
Music Share-In Festival 2002 (EFF) というのがあるそうで。 OpenAudioLicense に興味のある方は、小西さんの Music Wants to be Free ページも参照されるとよいかも (小西さん、情報どうもです)。
日本のくらっくサイト情報、「アルテミスインターナショナル株式会社」は 株式会社アルテミス ではありません。あぁびっくりした。
あら、2002/08/16 に株式会社翔泳社なんて文字列が……。
linuxconf が長大な LINUXCONF_LANG 設定で buffer overflow する、という指摘。 特に、linuxconf が setuid されてインストールされている場合 (たとえば Mandrake が該当するそうだ) は注意が必要だ。
linuxconf 1.28r4 で修正されているので入れかえる。あるいは各ディストリビュータの fix package をインストールする。
--max_rtt_timeout 50 --max-parallelism 100 を試してみよう、という記事。
FreeBSD-SN-02:05 security issues in ports
対象: acroread5, aide, apache+mod_ssl, bugzilla, Canna, ethereal, fam, isakmpd, irssi, kdelibs[23], krb5, linux-netscape6, netscape7, linux-mozilla, mozilla, mm, mpack, newsx, openssh, openssh-portable, php, linux-png, png, postgresql7, samba, squid24, super, webmin, zmailer。
「HTTPのTrickle機能」を停止すれば回避できるようだが、「HTTPのTrickle機能」って何だろう。
イシゲさんから (ありがとうございます):
InterScanVirusWall(Solaris版)のhttpスキャン設定画面には、以下のようなメニューがあります。
---------
□ Use Trickle:
Send [ ] bytes of data to client for every [ ] kilobytes received.
(prevents browsers timeouts and provides progress)
---------
デフォルトではこのチェックはオフで、2048kbごとに5byteずつデータを送る数値が入っています。
httpやftpをInterScanでチェックさせると、ファイル一つをダウンロードし終えてウィルスチェックするまでクライアントに渡さないので、回線が混んでいたり、とても大きなファイルだと、クライアント(ブラウザ)がタイムアウトしてしまいます。これを防止するために、時々クライアントをつついて、セッションを保持するそうです。
もっともウチの会社では、ユーザとInterScanの間にSquidを置いているせいで効果がないのか、ファイルが大きい時はやっぱりタイムアウトして、ユーザに嫌われています (^_^;
らむじぃさんから (ありがとうございます):
(Check box) Use Trickle:
Send XXX bytes of data to client for every YYYY kilobytes received.
(prevents browsers timeouts and provides progress)
という設定項目になります。
要は YYYY キロバイトを受信する毎に XXX バイトをクライアント宛に送る機能ですね。
無通信時間が長いと早々にあきらめるクライアントの対策です。
以前はダミーヘッダを送り返すことで対応していましたが、
Outside <=> Proxy2 <=> ISVW <=> Proxy1 <=> Clients
という構成の場合、Proxy1との相性によりおかしくなる場合があったためにTricleが実装されたようです。
Oracle9i Application Server 9.0.2 の Web Cache 機能に弱点。 Web Cache 管理機能のパスワードがデフォルトでは暗号化されないまま、平文で保存されてしまう。
回避方法が記載されているので適用すればよい。
0-day であるか否かを問わず、侵入された場合に、「侵入された」こと自体を発見できるか否か、が問題になるんだろうなあ。その上で、あらかじめ対策手順をきちんとしておきましょう、と。これも 0-day であるか否かは関係なさそうだなあ。半径 50m 的にはどちらもかなりマズげなんですが (^^;;)。 web ページ書きかえられました系のようにわかりやすいものばかりならまだ楽そうですが、……。
PTRS の吉田さんから (ありがとうございます):
マイクロソフト セキュリティ情報センターの電話窓口についてですが、私の方でMSKKの方に確認したところ「電話での脆弱性の報告は受け付けていません。」との事です。
よって現状では脆弱性の報告先は [email protected] に英語にてメールを送るしか方法が無いということになります。
どうやらMS内部でも電話窓口のサポート範囲について混乱しているようですね。
この件、佐名木さんも Sat, 10 Aug 2002 11:04:19 +0900 付の bugtraq-jp へのポスト (archive は化けてます) で、やはり「米国へ連絡して欲しいと言われました」と報告なさってます。
というわけで、これら対応が意図された状態であるのなら、 TechNet セキュリティ センター の電話番号のところに「脆弱性情報については、セキュリティ関連事項についてマイクロソフトへ報告をご参照の上、お手数ですが英語にて [email protected] へ連絡して下さいますようお願いいたします」とかなんとかいう記述がほしいですね。
↑のような記述がTechNet セキュリティ センターに追加されました。当面は英語でがんばるしかないようです。(T_T)
2002.08.29 の ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる (Q326830) (MS02-045) に追記した。ISS セキュリティ アラート: Microsoft Windows SMB におけるサービス不能攻撃の脆弱点 (ISSKK)。