セキュリティホール memo - 2002.09

Last modified: Fri Dec 13 21:03:58 2002 +0900 (JST)


2002.09.30

Allot Netenforcer problems, GNU TAR flaw
(bugtraq, Fri, 27 Sep 2002 09:11:07 +0900)

 2. Description of the "tar" problem は、GNU tar において、tar アーカイブに ../ なパス名入りのファイルを仕込んでおくと、 そのアーカイブの展開時に /etc/passwd などの重要ファイルを上書きさせることができる、という指摘なのかな。 1.3.19 以前の問題、とされていたが、1.3.25 でも類似の問題がある模様。 CVE: CAN-2001-1267CAN-2002-0399 (中身がない……)。

 さらに、info-zip の unzip 5.42 以前にも同様の問題があるようだ。 CVE: CAN-2001-1268, CAN-2001-1269。History.550 にあるこれかな?

5.5h (12 Jan 02):
 - unzip.h, unzip.c; mapname() in all ports except CMS/MVS, Tandem, TOPS20:
   added code to strip "../" path components from extracted names and new
   option "-:" to allow deactivating this security feature; changed mapname()

 Red Hat fix: [RHSA-2002:096-24] Updated unzip and tar packages fix vulnerabilities。 FreeBSD ports の archivers/gtar にはこの patch は含まれていなさそう。

2002.10.02 追記:

 CAN-2002-0399 は中身ができてます。

追記

 2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。CIACTech02-005。

第477回理事会報告
(情報処理学会, 2002.09.25)

 平成14年7月24日(水)17:30〜20:50 開催の第 477 回理事会。直後だと言うのに、ウィルスメール送信騒ぎについて、何の議論もしていない模様。 あまりにダメすぎ。

追記

 2002.09.24 の 富士通 HDD 無償交換は氷山の一角? 高温多湿の状況下でLSIが経年劣化 に追記した。ソニー、メルコも無償交換。

コスト削減でHDDの保証期間短縮へ
(ZDNet, 2002年9月30日 12:01 PM)

 時代は「ふつう RAID 1」ってコトなんでしょうか。まぁ、安いですけどねぇ。

OpenBSD, OpenSSLと訣別
(slashdot.jp, 2002.09.27)

 サンがOpenSSLプロジェクトに暗号化技術を提供 (CNET) の話には、実は地雷が仕掛けてあるらしい。 #173053 も参照。Debian GNU/Linux さんはどうされるんだろう。

追記

 2002.09.27 の Tests of Anti-Virus Software: Comparison Test 2002-02 (Unix) Linux に追記した。 F-Secure AntiVirus は、--dumb オプションをつければほぼ 100% の模様。

追記

 2002.09.12 の Apple QuickTime ActiveX v5.0.2 Buffer Overrun (a091002-1) に追記した。おくればせながら、Apple オフィシャル情報を追記。 QuickTime 5 for Windows 用の fix は出ない模様。


2002.09.27

Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (MS02-053)
(Microsoft, 2002.09.26)

 Microsoft FrontPage Server Extension 2000/2002 に弱点。 FPSE に含まれる Smart HTML インタープリタ (shtml.dll) に問題がある。 リクエストに特定の文字が含まれると CPU を食いつくしてしまい、 DoS 攻撃となってしまう。 また FPSE 2002 の場合はバッファオーバーフローする問題もあり、外部から任意のコードを実行される恐れがある。ヤバい。

 patch があるので適用すればよい。当初 FPSE 2000 for Windows 2000/XP だけだったが、FPSE 2002 用、FPSE 2000 for NT 4.0 用も登場している。 Windows XP SP1 にはこの patch が含まれている。 また、FPSE 2002 用 patch を適用するには、あらかじめアップデート patch を適用しておく必要があるそうだ。 Q317296 を参照されたい。

 なお、FPSE が不要な場合はアンインストールしてしまうのがよい。 デフォルトではインストールされてしまっているので注意されたい。

2002.12.13 追記:

 FPSE 2000 / 2002 for UNIX にはこの問題はないそうだ。参照:

UNIX fixes
(various)

Debian GNU/Linux
Red Hat Linux
SGI IRIX

マイクロソフトのVPNに脆弱性?
(CNET, 2002年9月27日(金)16時31分 JT)

 Microsoft PPTP Server and Client remote vulnerability の話。CNET の記事によれば、Microsoft は任意のコードの実行については否定しているようだ。DoS については確認されているみたい。

追記

 2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Mac OS / Mac OS X 用 IE 修正版が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac、 OutlookExpress for Mac。

Tests of Anti-Virus Software: Comparison Test 2002-02 (Unix) Linux
(Sophos Anti-Virus for Unix - 満点!, 2002.09.17)

 Linux 用 anti-virus soft 12 種類のテスト結果。 Sophos AntiVirus と NAI UVScan が 100%、 F-Secure だけ 80% 台。 日本エフ・セキュア、アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが、……。

 Comparison Test 2002-03 (Unix) FreeBSD, OpenBSD, Solaris も出てます。Sophos AntiVirus、Linux や FreeBSD では 100% なのに Solaris では 94.6% なのはなぜ?

2002.09.30 追記:

 日本エフセキュアの吉岡さんから (ありがとうございます):

●1. 「F-Secure だけ 80% 台。」は拡張子設定の違いによるものです。
  「--dumb」オプションを指定することでほぼ全てのウイルスを検出いたします。

 av-test.orgの評価中の「F-Secure」の項目は確かに80%台となっておりますが、これは、テスト中のF-Secureコマンドライン版スキャナの設定が他のソフトウェアと異なり、テスト対象ファイルに含まれるいくつかの拡張子が検査対象外になっているためです。
 ファイル名を直接指定するか「--dumb」オプションを指定し、拡張子によらない検査を行うことで、ほぼ全てのウイルスを検出いたします。 決してF-Secureの検査エンジン自体の能力が劣っているわけではないことをご理解願います。
 なお、拡張子によらない検査をした場合の検出率の一部が、av-test.orgの以下のページの「Best possible settings」の項目で確認できます。
    http://www.av-test.org/down/data/2002-02-en/results.xls
 拡張子設定の件を含めて各エンジンの動作詳細コメントがav-test.orgの以下のページでも確認できます。
    http://www.av-test.org/down/data/2002-02-en/comments.txt
 また、F-Secureでは24時間体制で活動するウィルス研究チームを擁しており、新規に発生するウィルスに対しても迅速に対応していますので、ウイルスに感染する可能性は極めて少ないと考えられます。

●2. 「F-Secure アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが...」については、"F-Secure アンチウイルスLinuxゲートウェイ"はコマンドライン版(Linuxサーバ版)とは別製品であり、デフォルト設定でほぼ全てのウイルスを検出いたします。
  (F-SecureアンチウィルスLinuxゲートウェイ:
    http://www.f-secure.co.jp/products/linux_gw/index.html )

 先日発表いたしました「F-SecureアンチウィルスLinuxゲートウェイ」では全ての拡張子を検査いたしますので、ほぼ全てのウイルスを検出いたします。
 決して、「F-SecureアンチウィルスLinuxゲートウェイ」のウイルス検査能力の能力が劣っているわけではないことをご理解願います。
 「F-SecureアンチウィルスLinuxゲートウェイ」については以下のページで90日間試用版も公開しておりますので必要に応じて評価等にご利用いただけますと幸いです。
  F-SecureアンチウィルスLinuxゲートウェイ[90日間評価版]:
    http://www.f-secure.co.jp/download/trial/index.html

2002.09.25

[ANNOUNCE] Apache 2.0.42 Released
(Apache-Users 1918, Wed, 25 Sep 2002 09:52:52 +0900)

 apache 2.0.42 出ました。mod_dav で DoS 攻撃されるバグが fix されているそうです。

[harden-mac:0114] Fw: PMTUD breakage at www.apple.com and downloads.apple.com
(harden-mac ML, Mon, 23 Sep 2002 14:44:49 +0900 (JST))

 path MTU discovery が通るような wall / フィルタを構築するように心がけましょう。ICMP need fragment はなるべくフィルタしないようにしましょう。

Tripwireによるファイル改ざんの検知 第 1 回 Tripwireを導入する−その1
(ZDNet, 2002.09.11)

 sourceforge からだと tripwire-2.3.1-2 が入手可能ですし、Red Hat Linux 7.0 以降には tripwire は標準添付されています。RH 7J でも tripwire-2.3-55 ですから、tripwire.org のやつはちょっと……。

Slashcodeに一部ユーザのパスワードが漏れるリスク(対処済)
(slashdot.jp, Tuesday September 24, @07:18AM)

 #170987 で jbeef 氏は

指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います

と述べているわけだが、その直後から、実際に余計なエネルギーを必要としていそうな再反論を余儀なくされているようで、なんだかなあ。

管理者のためのセキュリティ推進室 第4回 インシデント発見時の対応手順
(@IT, 2002.09.25)

 個人的には、やっぱりコラムが興味深い。


2002.09.24

[memo:4863] [Mac OS X] 受動的攻撃:プロトコルヘルパーを利用したUNIXコマンドの実行(修正済み)
(memo ML, Sat, 21 Sep 2002 17:35:11 +0900)

 Mac OS X 10.2, 10.2.1 に弱点。悪意ある web ページ管理者や HTML メール送信者が、telnet:// URL を Mac OS X 10.2/10.2.1 利用者にクリックさせることで、Terminal 上で任意のシェルコマンドを実行させることが可能になる。という理解でいいのかな。 Security Update 2002-09-20 を適用することで弱点が塞がれる。 [memo:4864] も参照。

追記

 2002.09.21 の Bypassing SMTP Content Protection with a Flick of a Button に追記した。トレンドマイクロ solution 4732/4742 登場。

富士通 HDD 無償交換は氷山の一角? 高温多湿の状況下でLSIが経年劣化
(日経 BizTech, Rankin'BizTech:2002/09/24)

 犯人は住友ベークライトのパッケージ封止材「EME-U」の模様。 影響が極めて広い範囲にわたる恐れあり。 HDD不良品の無償交換で富士通の負担は100億円超す (日経 BP) のだそうで。すごいね。

 IO DATA: 弊社製ハードディスク製品に関するお知らせ。該当品は、希望者および修理時に無償交換、だそうです。

2002.09.30 追記:

 ソニー、バイオデスクトップのHDD不具合を告知 〜メルコも無償交換を告知 (PC Watch)。

2002.10.02 追記:

 富士通HDD不良、対策遅れ他製品へ波及懸念 (日経 BizTech)。

バッファ・オーバーフローの発生を抑える方法
(日経 IT Pro, 2002.09.20)

 Visual C++ .NET の /GS スイッチ や IBM 江藤さんの ProPolice (SSP)、 FreeBSD packages/ports にも入っている libparanoia が紹介されていないのはなぜ?

追記

 2002.09.17 の CERT Advisory CA-2002-27 Apache/mod_ssl Worm に追記した。亜種登場。


2002.09.20

Bypassing SMTP Content Protection with a Flick of a Button
(securiteam, Thu, 12 Sep 2002 21:24:39 +0900)

 RFC2046: Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types の section 5.2.2.1 で定義されている Fragmentation and Reassembly 機構を利用すると、アンチウィルスゲートウェイを回避してウィルスを送り込むことが可能になる、という話。NIDS 回避ネタにもそういうのがありましたねえ。

 回避方法としては、ファイアウォールなどで message/partial なメールを叩き落としてしまう方法がある。と言っても、ちょっと乱暴だよねぇ。やはりアンチウィルスゲートウェイ自身がきちんと対応することが望ましいわけで。 元記事では symantec や trendmicro などいくつものプロダクトの対応状況が述べられている他、 MIMEDefang では 2.21 で fix されたそうだ。また amavis-perl でも利用されている MIME::Tools 5.411a にもこの問題がありpatch と、この patch を適用した MIME-tools-5.411a-RP-Patched.tar.gz が公開されている。

 なお、各自で状況を試したい場合は http://www.gfi.com/emailsecuritytest/ に go! らしい。

 CVE: CAN-2002-1121。 CERT Vulnerability Note: VU#836088

2002.09.24 追記:

 solution 4742: InterScan VirusWall UNIX: SMTP:分割メールへの対応solution 4732: InterScan VirusWall NT: SMTP:分割メールへの対応 (トレンドマイクロ)。message/partial を隔離して終り、のように読める。

MS02-052: Microsoft VM JDBC クラスの問題により、コードが実行される (Q329077)
(Microsoft, 2002.09.19)

 Microsoft Java VM build 3805 以前に 3 つの弱点。 悪意ある web ページ作成者や HTML メール送信者が

  1. あらゆる DLL を読み込み、実行できる

  2. 使用不能攻撃 (IE の異常終了) が可能で、任意のコードの実行もできる可能性あり

  3. Java アプレットからすべての任意の操作を実行可能

という、いずれも極めて危険な弱点だ。build 3805 用の fix patch が Windows Update 経由で入手できるので適用しよう。

 なお、この patch を適用しても、jview コマンドなどで確認できる build 番号に変化はないようだ。KB Q329077 には This update upgrades your Microsoft VM with the 5.00.3807 patch とあり、示されているレジストリにも "Version"="5,00,3807,0" なんて書いてあるのだが、MS02-052 自身にはわざわざ「注 : Jview により表示されるバージョン番号に関わらず、上記のレジストリキーはこの修正プログラムの正しいインストールを確認する要素となります」と書いてあるので、そういうことなのだろう。いまいち納得できないのは確かなのだけど。(鄭さん情報ありがとうございます)

 ところが、Microsoft Java VM には実はまだまだ穴があるらしい: 米MicrosoftのJavaセキュリティーホール修正は不十分と発見者が指摘 (INTERNET Watch)。 MS02-052 で fix されたのは、 Vulnerabilities in Microsoft's Java implementation で「10 を越える穴がある」とされたものの中の一部にすぎないというのだ。 ひきつづき、Java を off にするか、Sun の Java Plug-in などを利用するか、する必要があるようだ。

2002.10.01 追記:

 Technical information about the vulnerabilities fixed by MS-02-52

MS02-051: RDP プロトコルの暗号の問題により、 情報が漏えいされる (Q324380)
(Microsoft, 2002.09.19)

 Windows 2000 ターミナルサーバー、Windows XP リモートデスクトップにおける RDP 実装に 2 つの弱点。RDP セッションは暗号化されているが、これを解読できる可能性がある。また、特殊な RDP パケットを送ることにより DoS 攻撃が可能。 Windows NT TSE の RDP 実装にはこれらのの弱点はない。

 patch があるので適用すればよい。また Windows XP SP1 ではこの問題は修正されている。

 参照: Microsoft Windows XP Remote Desktop denial of service vulnerability

追記

 2002.09.19 の 防衛庁のデータ流出で露呈(上)IT業界の下請け構造の危うさ に追記した。(下)登場。

SecurityFocus Newsletter #159〜161
(bugtraq-jp)

 HTML 版:

 テキスト版:


2002.09.19

追記

 2002.06.25 の WindowsXPの5/30問題を考えるページ に追記した。Windows XP SP1 を適用すると、問題が消滅してしまう?!

Internet Explorer 6 Service Pack 1
([memo:4853], Thu, 19 Sep 2002 14:21:57 +0900)

 正式に登場しています。IE 6 SP1 README も読みましょう。特に、セキュリティ拡張のための機能: 以降。

追記

 2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。Debian のさらに新しい fix package 出てます。 Turbolinux の警告。

追記

 2002.09.17 の UNIX fixes に追記した。FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors の部分に追記と修正。バカすぎ > 俺。

防衛庁のデータ流出で露呈(上)IT業界の下請け構造の危うさ
(日経 IT Pro, 2002.09.19)

 どう考えても「氷山の一角」。ここでも必要とされているのは「構造改革」なのだが、……。

2002.09.21 追記:

 防衛庁のデータ流出で露呈(下)IT業界の下請け構造の危うさ (日経 IT Pro)。

追記

 2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。Microsoft 公式見解登場。

Windows XP SP1の完成度を英文ドキュメントで探る
(日経 IT Pro, 2002.09.17)

 数分で読めてしまうのだけど、経験上 (笑)、この記事を書くのはたいへんだっただろうと思う。そんな労作を無料で読めるのは本当にありがたいことです。


2002.09.18


2002.09.17

MS Wordに文書のハイジャックを許す問題点
(ZDNet, 2002.09.14)

 参照: Security side-effects of Word fields。 隠しフィールド、ですか……。

2002.09.19 追記:

 報告された Microsoft Word フィールドの脆弱性に関する情報 (Microsoft)。 「最善のセキュリティのために、マイクロソフトはお客様に Word 2002 (Office XP) をご利用いただくことを推奨します」 というのは、まあ、Microsoft としては、そうなんだろうなあ。

2002.09.30 追記:

 CIACTech02-005: Understanding Capturing Files with Microsoft Word Field Codes (CIAC)。 詳細な解説。

2002.11.01 追記:

 MS02-059: Word フィールドおよび Excel の外部データ更新の問題により、情報が漏えいされる (Q330008) 登場。Word 97/98/2000/2002, Excel 2002, Word 98/2001/X for Macintosh で問題が発生する。 Word 2000/2002, Excel 2002, Word 98/2001/X for Macintosh については修正プログラムもある。Word 97/98 for Windows だけ、まだ patch がない。

UNIX fixes
(various)

Debian GNU/Linux
FreeBSD
  • FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors

    sgid kmem なアプリから起動したプロセスからは /dev/mem および /dev/kmem を直接読めないはずなのに、実は読めてしまう。 該当するアプリとしては ports の asmon, ascpu, bubblemon, wmmon, wmnet2 があるという。 発見者による情報: [VulnWatch] iDEFENSE Security Advisory 09.16.2002: FreeBSD Ports libkvm Security Vulnerabilities

    patch があるので適用するか、記載の修正済みバージョンを cvsup する等して入手し kernel を再構築、インストールして reboot libkvm ライブラリを再構築しインストール。 static link されたコマンドがあれば、それも再構築しインストール。

    2002.09.19 追記:

    佐藤さんから (ありがとうございます):

      > patch があるので適用するか、記載の修正済みバージョンを
      > cvsup する等して入手し kernel を再構築、
      > インストールして reboot。 
    
     というのは誤りだと思います。この弱点は libkvm に関連するもので、
     kernel の再構築を行なっても効果はありません。
    
     SA には
    
      |b) Execute the following commands as root:
      |
      |# cd /usr/src
      |# patch < /path/to/patch
      |# cd /usr/src/lib/libkvm
      |# make depend && make && make install
    
     という手順が紹介されています。静的リンクしているバイナリを
     再構築する必要はあるものの、今回の修正に関して、再起動は
     必ずしも要求されません。
    
     また、
    
       > sgid kmem なアプリから起動したプロセスからは
       > /dev/mem および /dev/kmem を直接読めない
       > はずなのに、実は読めてしまう。
    
     という部分も、厳密には適切な説明ではないと思います。
     前提条件は 「sgid kmem されていること」ではなく
     「親プロセスが /dev/kmem をオープンしていること」ですし、
     exec(2) で descriptor が渡されれば、それにはアクセス
     できるのが普通ですよね。
    
     今回の問題の要は、アクセスに高い権限が必要なファイルの
     descriptor は exec(2) したプロセスに渡さないよう
     close-on-exec を指定すべきなのに対して、close-on-exec を
     指定するための方法が提供されていなかった、という部分にあります。
     つまり「直接読めないはず」なのではなくて、
     「読めないようにすべきなのに、そうなっていない」というのが
     正しい理解だと思います。
    	    

    kernel へげへげ部分の間違いは致命的なので <s> で囲って直しておきました。 日本語版の Re: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:39.libkvm も参照。つーかちゃんと読め > 俺。

Red Hat Linux
NetBSD

NetBSD SA が大量改訂。NetBSD 1.6 登場にあわせて 改訂されているようです。また、2002-015 と 2002-016 は

NetBSD-SA2002-015 and NetBSD-SA2002-16 are pending advisories awaiting disclosure co-ordination with third parties. The issues they will describe are fixed in NetBSD-1.6 and NetBSD-current.

なのだそうです。

AES News
(crypt-gram, September 15, 2002)

 AES (Rijndael) と Serpent に弱点が?! 今後登場するだろう、さまざまな解析を待つ必要があるようだけど、もしかすると、……。

会社はあなたのメールを監視できるのか——弁護士が判例を基に解説
(日経 IT Pro, 2002.09.13)

過失の有無の判断には,“業界標準”に沿ったリスク管理を行っているかどうかが論点となる。損害を予防するために相応の対策を施していれば,第三者に損害を被らせても故意過失がないと考えられるからだ。

というような話は、第 1 回 STPP セキュリティ対策セミナー でもトレンドマイクロの久保さんが冒頭でおっしゃっていらっしゃいましたね。 久保さんはもちろん、「いまどきウィルス対策なしではダメダメでしょう」という話をされたのですが。

追記

 2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。OpenSSL 0.9.6g 話と各ベンダーでの最新の fix の状況をまとめてみた。 Debian の新しい fix package 出てます。特にまだ potato の人、今すぐ適用しよう。

CERT Advisory CA-2002-27 Apache/mod_ssl Worm
(CERT/CC, 2002.09.14)

 OpenSSL 穴 を突く worm が登場。今のところ、 「mod_ssl が有効な Linux 上の Apache」 が攻撃対象の模様。攻撃は https (443/tcp) を通じて行われるので、これを塞いであれば、とりあえずこの worm からの攻撃は防ぐことができる。

 今回対象になっている弱点に対応するには、通常は、各ディストリビュータ/ベンダーから配布されている、最新の OpenSSL パッケージをインストールすればよい。 あわせて mod_ssl パッケージも最新のものをインストールする必要があることがあるので注意されたい。

 worm による攻撃が成功すると DDoS 攻撃用のソフトが植えつけられるそうだ。こいつは 2002/udp を使って通信を行うそうなので、これも塞いでしまうのがよい。

2002.09.17 追記:

 関連情報:

 関連報道:

2002.09.24 追記:

 さっそく亜種が出たそうで: 「Slapper」OpenSSL/Apache ワームの変種の蔓延 (ISSKK)。 crontab を設定したりするものもあるようです。 攻撃対象プラットホームはオリジナルと同じなので、攻撃コード自体は同一なんだろうな。

 openssl-too-open.tar.gz なんてものもあるので、特定ファイルの有無だけでヤラレ具合を判断したりしないようにしましょう。

2002.09.25 追記:

 「ウイルスの進化」を示したSlapperワーム (ZDNet)。 これからは P2P が流行りなんでしょうか。

2002.10.02 追記:

 注意:4種類のワームの同時蔓延への注意 (ISSKK)。 さらなる亜種が 2 つ。


2002.09.13


2002.09.12

UNIX fixes
(various)

Red Hat
Debian
HP (Compaq) Tru64 UNIX

TRU64 formal disclosure from Snosoft. なんてのも出てます。

HP-UX
IRIX

Apple QuickTime ActiveX v5.0.2 Buffer Overrun (a091002-1)
(bugtraq, Wed, 11 Sep 2002 05:57:25 +0900)

 QuickTime 5.0.2 for Windows の ActiveX コンポーネントに弱点。 pluginspage フィールドの処理においてバッファオーバーフローしてしまう。 これを利用すると、悪意ある web サーバや HTML メール送信者は、 ユーザコンピュータ上で任意のコードを実行させることが可能になる。

 QuickTime 6 for Windows にはこの問題はないという。upgrade しましょう。

2002.09.17 追記:

 [harden-mac:0083] での指摘にあわせて "for Windows" を追記。

2002.09.30 追記:

 Apple オフィシャル: M-128: Apple QuickTime ActiveX Buffer Overrun [Apple Security Advisory APPLE-SA-2002-09-19]。 ここでも「QuickTime 6 for Windows に upgrade」になってます。QuickTime 5 for Windows 用の fix は出ない模様。

PHP CRLF Injection
(bugtraq)

 2 つの CRLF Injection 問題指摘。 リクエストに %0D%0A を挿入するとクロスサイトスクリプティング脆弱性が発生。

Foundstone Labs Advisory - Remotely Exploitable Buffer Overflow in PGP
(bugtraq, Sat, 07 Sep 2002 02:54:17 +0900)

 PGP Corporate Desktop 7.1.[01] に弱点。PGP はファイル名の長さをきちんとチェックしていないため、長大なファイル名を利用して任意のコードを実行可能だという。 patch ファイル PGPhotfix_OutlookLFN_20020828.zip が公開されているので適用すればよい。 patch の readme によれば、更新されるファイルは PGPexch.dll と PGPsc.dll のようだ。

 関連報道: PGP暗号メールが“電子の弾丸”になる? (ZDNet)

% エンコーディングでクロスサイトスクリプティングもの
(bugtraq)

 MSIE と KDE Konqueror に対する指摘。

 KDE 方面では KDE Security Advisory: Secure Cookie Vulnerability なんてのも出ているそうで。

Vulnerabilities in Microsoft's Java implementation
(NTBUGTRAQ, Mon, 09 Sep 2002 21:23:49 +0900)

 Microsoft Java VM には 10 を越える未公開の脆弱性があるのだそうで。 Sun のオリジナル Java VM には同様の問題はないのだそうで。 とりあえず回避するには Java を無効にしておけばよいでしょう。 どうしても Java を使いたい人は Sun の Java Plug-in 1.3.1 以降を使えばよいでしょう [memo:1498]。 って、Microsoft Java VM 依存だとダメですが [memo:3933]。 住基ネットでおなじみの総務省ですな……。

 関連報道: Internet ExplorerのJava環境にセキュリティーホール (INTERNET Watch)。山野井さん情報ありがとうございます。

MSDN: Code Secure コラム
(Microsoft)

 日本語版が新たに 2 つ出てました (単に気がつくのが遅い > 俺)。

無線LANでspamを送る
(slashdot.jp, 2002.09.12)

 気分はインデペンデンス・デイ? 認証もなにもかかってないような無線 LAN なら、不正アクセス禁止法にも触れないだろうし……。


2002.09.11

追記

 2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 2000 用 patch が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。

 また、この patch を適用することによる副作用が MS02-050 の「警告」欄に追記されている。patch を適用すると、 Microsoft 自身が利用している「ある特定の」デジタル証明書まで reject されてしまうため、実際には合格していても、「ドライバが Windows ロゴテストに合格していない」という警告表示がされる場合があるという。 この問題を修正する新 patch は現在開発中なのだそうだ。


2002.09.10


2002.09.09


2002.09.06

追記

 2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows の日本語版、報告された Windows の構造上の問題に関する情報登場。 翻訳スピード上がってるなあ。

[memo:4768] ShurikenPro2などに任意コマンド実行、添付ファイル強制起動のセキュリティホール
(memo ML, Thu, 05 Sep 2002 17:16:35 +0900)

 ジャストシステムの Shuriken, Shuriken Pro, Shurken Pro2, カラメル, カラメルパフェ, カラメル2, eタイム, eタイム2 に 2 つの弱点。

  1. 受信箱にある HTML メールを「ダブルクリックして別ウィンドウで」開くと、 HTML メールに記述された既知パス名のコマンドをマイコンピュータゾーンで動作させることが可能。 2. の弱点との組みあわせにより、任意のコマンドを実行させることも可能。

  2. 添付ファイルの一時展開先が既知である (ランダム化されていない) ために、 HTML メール内に、一時展開先に存在する添付ファイルへの直接リンクを設定することが可能。 このリンクをクリックさせることにより、添付ファイルに仕込まれた任意のコマンドを実行させることが可能。

 対応としては、これらを fix する patch が出ているので適用すればよい。 ダウンロード先は [memo:4768] を参照。

 それにしても、[memo:4769] 「セキュリティを強化」文化の伝承 にもありますが、どうして「修正」と言えないんでしょうかねえ。

追記

 2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 98/98SE/Me 用 patch が新たに登場。 まだ fix がないのは Windows 2000, XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。らむじぃさん情報ありがとうございます。


2002.09.05

追記

 2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) 登場。Windows NT 4.0 と Windows XP 用の patch が配布されている。 Windows 9x/Me, 2000 用などはまだ。

追記

 2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows (Microsoft) 登場。 Microsoft 製プログラムのいくつかにもこの問題が発見され、patch 製作中、の模様。


2002.09.04

東京電力:損傷隠し「米基準で判断」 担当者、虚偽認める
(毎日, 2002.09.04)

 原発推進派って、スリーマイル島 (TMI) 事故のころ (古くてすまん) 「日本の原発は U.S. よりはるかに厳しく検査してますから ok ok」なーんて言っていたような記憶があるんですが、実は U.S. と同じだったんですね。ハハハ。

 「解雇」されていた東電原発トラブル隠しの情報提供者 (asahi.com) など、すばらしい状況があらわになりつつあるようで。 東電原発トラブル隠し (asahi.com) ページできてますね。

Check Point Statement on use of IKE Aggressive Mode (VPN-1/FireWall-1)
(Check Point, 2002.09.03)

 指摘文書: SecuRemote usernames can be guessed or sniffed using IKE exchange。 Check Point さんがおっしゃるには、

Check Point does not recommend the use of IKE Aggressive Mode, because of many well-known limitations in the protocol, and the Check Point products offer much more secure alternatives.
……中略……
By default, Aggressive Mode is not enabled in NG. In 4.1, the recommended configuration is to disable Aggressive Mode and use Hybrid Mode instead (which involves no change to the user experience).

なんだそうで。

Cisco Security Advisory: Cisco VPN 3000 Concentrator Multiple Vulnerabilities
(Cisco, 2002.09.03)

 Cisco VPN 3000 シリーズにさまざまな弱点がある、という話。DoS や remote exploit される穴などなどがあるようで。

CIACTech02-004: Parasite Programs; Adware, Spyware, and Stealth Networks
(CIAC, 2002.08.16)

 対抗ソフトも紹介されてます。

考えなしにIEを使うのはそろそろやめよう
(日経 IT Pro, 2002.09.03)

 複数のメールソフトを併用するのはけっこうむつかしいものがあるけど、複数の web ブラウザを併用するのはそれほどむつかしくない。Netscape 6 以降は「IE じゃないと読めないんだよね」ということも少なくなったし。Netscape/Mozilla/Opera なら MIME content-type もちゃんと解釈してくれる/するようにできるようだし。

 とりあえず、MIME content-type 問題だけはなんとかしてほしい > IE。 シャレにならん。


2002.09.03

Klez 対策 web: Klez ウィルスへの対応
(Tea Room for Conference No.1032, 2002.08.27〜)

 同じ machine っぽい address から Klez が定期的にやってきたりして、いいかげんウザいと思っている人は、ISP に連絡して対応を促してみてもよいかもしれません。必ず対応される、というわけではありませんが。

Namazu 2.0.12 released
([email protected] ML, Tue, 03 Sep 2002 15:49:19 +0900)

 Namazu 最新版 2.0.12 が登場しています。 標準エラー出力による問題 (クロスサイトスクリプティング問題につながってしまう) などが排除されています。Namazu 利用者はなにはともあれ upgrade しておきましょう。IIS 4.0/5.0 上で Namazu を利用している場合は特に。

 参照: クロスサイトスクリプティング脆弱性(ver2.0.10) (namazu-devel-ja ML)

個人情報流出はネット公害 当事者意識のない企業と関係官庁(2002.9.2)
(NetSecurity, 2002.09.02)

 うーん、

ウィルス被害は、ムダにたれながされているIT予算の一部をまわせば、簡単に防ぐことができるはずなのに、あえて行なっていないのである。

 ムダムダな「IT 予算」支出が存在することには同意するけれど、そもそもウィルス対策を政府予算でやるべきなんだろうか……。

ウィルスに感染しないもっとも効果的な方法は、「アウトルックエクスプレス(OE)とインターネットエクスプローラ(IE)を使わないこと」につきる。

 IE/OE が困ったちゃんなことには同意するけど、他のメーラでも、添付ファイルをダブルクリックされたらオワリなわけで……。そういう部分での「基礎教育」はいずれにしろ必要かと。

Macintoshセキュリティ−クラシック環境でのバックドアツール−
(ZDNet, 2002.08.26)

 Mac OS 9.2.2 以前用。Mac OS X 用は…… inetd で /bin/sh でも動かしとけば ok ok なのでしょう。

悲劇から1年、米サイバーテロの現実味は?
(ZDNet, 2002.09.03)

 今のところは物理攻撃の方が簡単かつ有効な模様。斧が一本あれば電線切れるしなあ。

追記

 2002.09.02 の マイクロソフト セキュリティ情報センターの電話窓口について に追記した。それらしい記述が追加されました。当面は英語でがんばるしかないようです。(T_T)

追記

 2002.09.02 の solution 4576 - InterScan VirusWall UNIX - CVP:Security Patchを適用後CVPサービスが停止する に追記した。「HTTPのTrickle機能」の解説を追記。


2002.09.02

iDEFENSE Security Advisory: Linuxconf locally exploitable buffer overflow
(bugtraq, Wed Aug 28 2002 - 10:58:53 CDT)

 linuxconf が長大な LINUXCONF_LANG 設定で buffer overflow する、という指摘。 特に、linuxconf が setuid されてインストールされている場合 (たとえば Mandrake が該当するそうだ) は注意が必要だ。

 linuxconf 1.28r4 で修正されているので入れかえる。あるいは各ディストリビュータの fix package をインストールする。

Improving NMAP Performance
(nessus ML, Sat, 31 Aug 2002 01:50:15 +0900)

 --max_rtt_timeout 50 --max-parallelism 100 を試してみよう、という記事。

UNIX fixes
(various)

FreeBSD
  • FreeBSD-SN-02:05 security issues in ports

    対象: acroread5, aide, apache+mod_ssl, bugzilla, Canna, ethereal, fam, isakmpd, irssi, kdelibs[23], krb5, linux-netscape6, netscape7, linux-mozilla, mozilla, mm, mpack, newsx, openssh, openssh-portable, php, linux-png, png, postgresql7, samba, squid24, super, webmin, zmailer。

RedHat
HP Tru64 UNIX
HP-UX

solution 4576 - InterScan VirusWall UNIX - CVP:Security Patchを適用後CVPサービスが停止する
(トレンドマイクロ, 2002.08.29)

 「HTTPのTrickle機能」を停止すれば回避できるようだが、「HTTPのTrickle機能」って何だろう。

2002.09.03 追記:

 イシゲさんから (ありがとうございます):

InterScanVirusWall(Solaris版)のhttpスキャン設定画面には、以下のようなメニューがあります。
---------
□ Use Trickle:
Send [ ] bytes of data to client for every [ ] kilobytes received.
(prevents browsers timeouts and provides progress)
---------

デフォルトではこのチェックはオフで、2048kbごとに5byteずつデータを送る数値が入っています。

httpやftpをInterScanでチェックさせると、ファイル一つをダウンロードし終えてウィルスチェックするまでクライアントに渡さないので、回線が混んでいたり、とても大きなファイルだと、クライアント(ブラウザ)がタイムアウトしてしまいます。これを防止するために、時々クライアントをつついて、セッションを保持するそうです。

もっともウチの会社では、ユーザとInterScanの間にSquidを置いているせいで効果がないのか、ファイルが大きい時はやっぱりタイムアウトして、ユーザに嫌われています (^_^;

 らむじぃさんから (ありがとうございます):

(Check box) Use Trickle:
Send XXX bytes of data to client for every YYYY kilobytes received.
(prevents browsers timeouts and provides progress)

という設定項目になります。
要は YYYY キロバイトを受信する毎に XXX バイトをクライアント宛に送る機能ですね。

無通信時間が長いと早々にあきらめるクライアントの対策です。

以前はダミーヘッダを送り返すことで対応していましたが、

Outside <=> Proxy2 <=> ISVW <=> Proxy1 <=> Clients

という構成の場合、Proxy1との相性によりおかしくなる場合があったためにTricleが実装されたようです。

Oracle Security Alert #39: WebCache の管理者パスワードがデフォルトで暗号化されていない問題
(Oracle, 2002.09.02)

 Oracle9i Application Server 9.0.2 の Web Cache 機能に弱点。 Web Cache 管理機能のパスワードがデフォルトでは暗号化されないまま、平文で保存されてしまう。

 回避方法が記載されているので適用すればよい。

アタッカはある日突然やってくる——「0-day Exploit」の事例と対策
(日経 IT Pro, 2002.08.30)

 0-day であるか否かを問わず、侵入された場合に、「侵入された」こと自体を発見できるか否か、が問題になるんだろうなあ。その上で、あらかじめ対策手順をきちんとしておきましょう、と。これも 0-day であるか否かは関係なさそうだなあ。半径 50m 的にはどちらもかなりマズげなんですが (^^;;)。 web ページ書きかえられました系のようにわかりやすいものばかりならまだ楽そうですが、……。

マイクロソフト セキュリティ情報センターの電話窓口について
(タレコミ, Sat, 31 Aug 2002 21:20:05 +0900)

 PTRS の吉田さんから (ありがとうございます):

マイクロソフト セキュリティ情報センターの電話窓口についてですが、私の方でMSKKの方に確認したところ「電話での脆弱性の報告は受け付けていません。」との事です。

よって現状では脆弱性の報告先は [email protected] に英語にてメールを送るしか方法が無いということになります。

どうやらMS内部でも電話窓口のサポート範囲について混乱しているようですね。

 この件、佐名木さんも Sat, 10 Aug 2002 11:04:19 +0900 付の bugtraq-jp へのポスト (archive は化けてます) で、やはり「米国へ連絡して欲しいと言われました」と報告なさってます。

 というわけで、これら対応が意図された状態であるのなら、 TechNet セキュリティ センター の電話番号のところに「脆弱性情報については、セキュリティ関連事項についてマイクロソフトへ報告をご参照の上、お手数ですが英語にて [email protected] へ連絡して下さいますようお願いいたします」とかなんとかいう記述がほしいですね。

2002.09.03 追記:

 ↑のような記述がTechNet セキュリティ センターに追加されました。当面は英語でがんばるしかないようです。(T_T)

追記

 2002.08.29 の ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる (Q326830) (MS02-045) に追記した。ISS セキュリティ アラート: Microsoft Windows SMB におけるサービス不能攻撃の脆弱点 (ISSKK)。


私について