セキュリティホール memo - 2002.11

Last modified: Fri Feb 14 12:51:48 2003 +0900 (JST)


2002.11.29

Symantec もの
(Symantec)

【Security Solution Expo 2002速報】10年先を見据えた信頼できるコンピューティング目指す--MS・高沢氏
(日経 IT Pro, 2002.11.28)

Microsoftは全体で“Trustworthy Computing”(信頼できるコンピューティング)に取り組んでいる。これは10年先を見据えた戦略だ

 port 135, 137〜139, 445 がデフォルトで塞がれるのは 10 年後、という意味だろうか。

短期的には、製品のデザイン、プログラミング、製品の出荷時の状態——などを見直すのだという。具体的には、プログラムが持つ実行権限やセキュリティ・ホールのないプログラム、デフォルト状態で不要なサービスが立ち上がっていないなどの対策を施すことを指す。この第一弾が2003年に出荷予定のWindows .NET Server 2003なのだという。

 port 135, 137〜139, 445 は、Microsoft 的には「不要なサービス」ではないし「セキュリティ・ホールのないプログラム」ということなんだろうな。 そこ経由で crack された機械は 1 台もないんでしょう、きっと。


2002.11.28

Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066)
(Microsoft, 2002.11.21)

 IE 5.01, 5.5, 6.0 の 6 つの新たな弱点を修正する、累積的 patch が登場。 FAQ

攻撃者はこれらの脆弱性を悪用し、攻撃者の Web サイトまたはサーバーからユーザーのマシンにプログラムを読み込むことはできますか?

はい、できます。しかし、マイクロソフトはサポート技術情報 810687 を公開し、HTML ヘルプのショートカットを制限するレジストリ キー設定について説明しています。このレジストリ キーを設定すると、攻撃者がユーザーのシステムに悪質な実行可能ファイルを読み込むことができなくなり、攻撃者がユーザーのシステムに既に存在している実行可能ファイルを呼び出すことを制限します。

とあるように、組みあわせることで任意のコマンドを実行可能となる穴となる点に留意しよう。

 『バグトラック』にIE悪用攻撃コードをそのまま掲載、賛否は両論 の話も関連なのかもしれないが、いまいちよくわからない。

 とりあえず適用しておけば? (クレヨンしんちゃん風)

2002.12.02 追記:

 Unpatched IE security holes、現在は 18 個になっています。かなり減りました。それでも 18 個あるんですが。

Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065)
(Microsoft, 2002.11.21)

 MDAC 2.6 以前に弱点。MDAC に含まれる RDS データスタブにバッ ファオーバーフローする弱点があり、RDS が有効な IIS や、IE 5.01 / 5.5 / 6 が影響を受ける。具体的には、IIS では攻撃リクエストにより remote から local SYSTEM 権限を取得される。IE / Outlook Express では、悪意ある web ページや HTML メールにより IE / Outlook Express 動作権限を取得される。 ただし Windows XP は影響を受けない。 この問題は [緊急] とラベルされている。

 対策としては、次の 3 つがある:

 従って、推奨される対応は MDAC 2.7 のインストールとなる。しかしこれにも問題がある。MDAC 2.7 に含まれる msxml3.dll は、MS02-008 問題を修正済の版よりも古く、MS02-008 問題が含まれてしまっているのだ。 このため、MDAC 2.7 をインストールした後に、MS02-008 修正プログラムを適用しておく必要がある。ただし、IE 6.0 SP1 では MS02-008 問題が修正済みなので、MS02-008 修正プログラムを適用する必要はない。ややこしいね。

 詳細は、山下さんの パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) を読んでください (^^;)学内向けのページ にも情報があります (が、学内向けなので一般には適用できないかもしれません)。

 MS02-065 でも

本問題に対する完全な対策は、MDAC バージョン 2.7 以降を適用することです。MDAC バージョン 2.7 以降はこの脆弱性の影響を受けず、上述の Kill Bit 未設定によるコンポーネントの再登録の問題も発生しません。可能な限り MDAC 2.7 以降のバージョンへのアップグレードをお願いいたします。

という記述が登場していますね。ただし、

注意 : MDAC 2.7 を適用する事により、この機能を使用するアプリケーションが正しく動作しなくなる可能性があります。現在お使いのアプリケーションに与える影響に関しては、製品の開発元様までご確認ください。 現在 MDAC 2.7 に関して弊社で確認している問題は、ダウンロードページに記載されておりますので、ご確認のうえ適用ください。

ともありますのでご注意を。JP418820: [MDAC] インストールしても一部のファイルが DLLCACHE に登録されない は、最悪の場合 OS の再インストールが必要とされているので要注意。

2002.12.04 追記:

 hsj さんち に IIS 5.0 用の exploit が出ていました。

 今度は“完全な対策”にとんでもない副作用——「Windowsの深刻なホール」続編 (日経 IT Pro)。 MDAC 2.7 をインストールした後では、MS02-008 の他、SQL Server を動作させている場合は MS02-030, MS02-040 を適用する必要がある模様。

 IE、OE の安全な利用には高度な知識と情報収集能力が必要!? (NetSecurity)。 MS02-066 は MS02-065 の間違いだと思われ。 確かに今回の事例はお粗末すぎるが、だからって、他のブラウザの情報収集が簡単ってコトにはならないと思うぞ。

2002.12.12 追記:

 「Windowsの深刻なホール」対策で発生するトラブルを解決する (日経 IT Pro)。 MDAC 2.7 インストールの詳細。わかりやすい。

2003.01.21 追記:

 MDAC 2.7 SP1 が出ています。MS02-008 (MSXML 3.0 用のみ), MS02-030, MS02-040 は修正されているそうです。 しかし、MDAC 2.7 に存在した、インストール時の問題については、MDAC 2.7 SP1 で解消されているかどうかよくわかりません。念のため、MDAC 2.7 ダウンロードページ の記述をよく読み、同様の問題が MDAC 2.7 SP1 にもあるものとしてインストールした方がよいでしょう。学内向けのページも修正かけました。

追記

 2002.11.26 の SSH Secure Shell Unix server setsid() function call vulnerability (VU#740619) に追記した。F-Secure SSH サーバ UNIX 版の情報を追加。

UNIX fixes
(various)

 古い情報が多くてアレですが……

FreeBSD
NetBSD
Mac OS X

どうやら Mac OS X 10.1.x 以前への fix は用意されないようだ。 すさまじいベンダーだね。

Debian GNU/Linux
Red Hat Linux
Turbolinux
Vine Linux

2.5:

2.1.x:

w3m 0.3.2.1 released
([email protected], Wed, 27 Nov 2002 04:29:46 +0900)

 w3m 0.3.2 以前 (記述修正: 佐藤さん感謝) に弱点。frame における < や > のエスケープ処理が不十分なため、悪意ある HTML ページ作成者が、 ユーザにフォームのボタンを押させることにより local cookie の読み出しが可能となっていた。ここからさらに local CGI を悪用し、任意のコマンドを実行される可能性があった。

 w3m 0.3.2.1 で修正されている。w3m-m17n も 0.3.2.1 base になっている。 FreeBSD の ports/www/w3m はまだ 0.3.2 のままだ。

追記

 2002.11.27 の Mulitple Buffer Overflow conditions in RealPlayer/RealOne (#NISR22112002) に追記した。実は直ってなかったようです。

監視技術進展の先にあるものは?ステートウォッチのヘイズさんに聞く
(毎日, 2002.11.27)

 GREATEST HIT ですか……。 しょせん、警察官による個人的な「のぞき」にしか使われないわけね。いやはや。

米広告団体、広告測定タグ “Webビーコン”についてのガイドライン作成
(INTERNET Watch, 2002.11.27)

 web バグも ウイルスではない? “感染”するグリーティングカード と同様の進化を遂げる模様。 ZDNet 版: “Webバグ”使うなら告知を——業界指針 (ZDNet)。

MS、「セキュリティーのため」の強制アップグレード方針を示唆
(WIRED NEWS, 2002.11.25)

 「強制アップグレード」と言えば聞こえがいいが、要は Windows に root backdoor をつけようという話にしか聞こえない。 どう考えてもシャレになってない。 ただでさえ「実は U.S. 政府用の backdoor あるんじゃないの?」なんて疑惑が払拭されず、そういう疑惑も電子政府の open source 化に一役買っていたりするはずなのに、これではねえ。

 こんなことを考える前に、まずは .NET Server 2003 で「secure by default」を徹底してほしい。デフォルトで port 135, 137〜139, 445 が開きっぱなし、のどこが「secure by default」なのだ? 今やらずにいつやるのだ。

SNS Spiffy Reviews No.4: 個人情報漏洩の可能性のある脆弱性 − 百貨店で使用されている POS 機器の例
(LAC, 2002.11.27)

 無線 LAN を安易な設定のまま業務で利用してしまっているところは多いんだろうなあ……。


2002.11.27

Vulnerability Note VU#457875: Various DNS service implementations generate multiple simultaneous queries for the same resource record
(CERT/CC, 11/19/2002)

 複数の DNS サーバ実装に弱点。 弱点ありサーバにおいて、同じリソースレコード (RR) に対する複数のリクエストを同時に発生させると、 その RR へのクエリーが複数発生してしまう。 その結果、 brute-force な DNS spoof がすごく簡単にできてしまう、という話。 と理解していいののかな。

 この話の元になったと思われる Vulnerability in the sending requests control of BIND versions 4 and 8 allows DNS spoofing (CAIS/RNP) によると、 bind 4.9.11 以前 (4.9.x), bind 8.2.7 以前 (8.2.x), bind 8.3.4 以前 (8.3.x) にはこの弱点があり、 bind 9.2.1 にはない、とされている。 また、Microsoft DNS Server も Vulnerable だとされている。 bind 開発元の ISC 自身は dnssec を使え と言っているようだ。

Microsoft KB いろいろ
(新着サポート技術情報)

Mulitple Buffer Overflow conditions in RealPlayer/RealOne (#NISR22112002)
(NTBUGTRAQ, Sat, 23 Nov 2002 02:48:39 +0900)

 official: RealPlayer Buffer Overrun Vulnerability。 RealOne / RealPlayer に、外部から攻撃可能な buffer overflow 穴が 3 つあるという話。RealOne / RealPlayer 実行ユーザ権限で任意のコードが実行可能となる。 RealOne については Windows 用が、RealPlayer については全プラットホームで、ということなのかなあ。

 RealOne Player for Windows 用 patch が配布されている。

2002.11.28 追記:

 実は直ってなかったようです: リアル、メディアプレーヤーの修正パッチを取り下げ (CNET)。


2002.11.26

Solaris fs.auto におけるリモートからのセキュリティ侵害の脆弱性
(ISS, 2002.11.26)

 Solaris 2.5.1〜9 の xfs サーバ (fs.auto) に弱点。 buffer overflow するため、これを利用すると remote から nobody 権限で任意のコードを実行可能。 patch はまだない模様 (もうすぐ出る?)。

 関連: CERT Advisory CA-2002-34 Buffer Overflow in Solaris X Window Font Service (CERT/CC)。

2002.11.27 追記:

  Sun(sm) Alert Notification 48879: X Font Server May Allow Denial of Service (Sun)。 DoS?

2002.12.23 追記:

  Sun(sm) Alert Notification 48879: X Font Server May Allow Denial of Service が改訂されている。patch が登場したようだ。

SSH Secure Shell Unix server setsid() function call vulnerability (VU#740619)
(installer ML [installer 7507], Tue, 26 Nov 2002 11:29:15 +0900)

 ssh.com の SSH Secure Shell for Servers / Workstations 2.0.13 〜 3.2.1 の UNIX 版 (具体的には AIX, Linux, HP-UX, Solaris, BSD) に弱点。 pty/tty を使わない子プロセスに対して setsid() を実行していなかったために、 そのような場合に local 攻撃者が root 権限を取得できる可能性がある。

 対応するには、SSH Secure Shell 3.1.5 あるいは 3.2.2 に upgrade する。 これらにおいては常に setsid() するように変更されている。

 参照: VU#740619

2002.11.28 追記:

 F-Secure SSHサーバ UNIX版におけるログイン名偽装の脆弱性について (f-secure.co.jp)


2002.11.25

@Random/1st
(self)

 @Random/1st が 2003.02.08 に (ようやく (^^;;;)) 開催されます。 詳細についてはおいおい公開されていくと思いますので、もうしばらくお待ちくださいまし。 @Random/ZERO に参加された方には、近々に先行予約の案内メールが届くと思います。


2002.11.22

Sun Security Bulletin #00220: Double Free bug in zlib compression library
(Sun, 2002.11.19)

 Sun Java JDK/SDK/JRE 1.1.8, 1.2.2, 1.3.0, 1.3.1, 1.4.0 に Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free 穴があったという話。1.4.1 系列にはこの穴はないそうだ。 何をいまごろ……というのが正直な感想。これだから「Sun は糞」とか言われるわけで……。

 fix 版が出ているので、これを適用するか、1.4.1 系列に移行すればよい。 穴のあるものと fix されたもののバージョン番号の詳細は Bulletin #00220 を参照。関連:

追記

 2002.11.20 の [INFO] コードの最適化における注意点 に追記した。 そういう機能は gcc にはまだないようです。(奥村さん感謝)

金融機関を脅かすクラッカ・シンジケートが急増中
(日経 IT Pro, 2002.11.21)

 警察権力を強くしたところで、そもそも被害届が出ないのでは……。 犯人を捕まえたところで、もともとのセキュリティが弱々のままでは……。 ヤラレ模様をどんどん公開して「とっとと直さんかいゴラァ」と圧力をかけるしかないと思うのだが……。で、それを言えるのは、やっぱ金融当局なのだろうと思うのだが……。無理かなあ。無理なんだろうなあ。

いろいろ
(various)

 いろいろ。

セキュリティは二の次? BINDのパッチをめぐる波紋
(ZDNet, 2002.11.22)

 bind はやっぱり捨てるべき? CNET 版: 開発者はセキュリティーより金儲け優先?


2002.11.21

『バグトラック』にIE悪用攻撃コードをそのまま掲載、賛否は両論
(WIRED NEWS, 2002.11.21)

 関連:

 WIRED 記事にリンクされている Serious Internet Explorer Defect (jmu.edu) によれば、さきごろ登場した Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066) を適用すると、示された exploit は動作しなくなる、という。が、

However, it is not entirely clear yet whether the patch specifically and entirely addresses the Sandblad discovery.

 そもそも MS02-066 で何が修正されているのか (されていないのか) もいまいちよくわからない。 .png 問題は eEye が発見したもののようなので、近々概要が eEye から示されるのだろう。また「フレームの不適切なクロス ドメインのセキュリティ検証」 (CAN-2002-1217) は GreyMagic Security Advisory GM#011-IE: Internet Explorer : The D-Day なのだそうだ。

 ちなみに、Unpatched IE security holes には現在 32 個の問題点が列記されている。


2002.11.20

FullDisclosure: Fun with mod_php/Apache 1.3, yet Apache much better than II$
(タレコミ, Tue, 19 Nov 2002 20:23:14 +0900)

 guninski 氏による 2 つの指摘。

  1. ユーザが、mod_php つき Apache 1.3 から外部プログラムを実行することができ、かつ php.ini で safe_mode が off の場合、少なくとも 50% の割合で http port を乗っとることができる、という指摘。

    回避するには safe_mode を on にすればよい。 unofficial な対応 patch も添付されている。

  2. 2.4.19 より前の Linux カーネルをフリーズさせることができる、という指摘。 kernel 2.4.19 で直っているので、kernel 2.4.19 を入れればよい。

 合谷さん情報ありがとうございます。 Full-Disclosure ML というのができていたんですね。さっそく subscribe しました。

[INFO] コードの最適化における注意点
(バーチャルネットハッカーっ娘 沙耶16歳, 2002.11.19)

 良いニュースと悪いニュース の前半 (悪いニュース) も参照。ちなみに、 GCC の場合 はこんな感じになるのだそうだ。

#pragma optimize("-no-dead-code-removal")
memset(Password, 0, sizeof(Password));
#pragma optimize("-dead-code-removal")

2002.11.22 追記:

 奥村さんから (どうもです):

これは「こんなふうにできるようになったらいいな」という話ではなかったでしょうか。

 あっ、However, to the best of my knowledge, GCC does not support altering optimization options on-the-fly though preprocessor statements って書いてあるし。読みが足りない (つーかそれ以前 > 俺)。 こういう機能は gcc にはまだないようです。 すんません > all。

Macromedia ColdFusion/JRun Remote SYSTEM Buffer Overflow
(eEye, 2002.11.12)

 Macromedia ColdFusion MX 6.0, JRun 3.0 / 3.1 / 4.0 の IIS ISAPI ハンドラに弱点。buffer overflow するため、remote から SYSTEM 権限で任意のコードを実行可能。

 fix (ColdFusion MX, JRun) があるので適用すればよい。 日本語版は、ColdFusion MX アップデータ リリース 1 (リリースノート) と JRun から入手できる。

SME、新しいCDコピー防止技術
(slashdot.jp, 2002.11.20)

 インストールはおろか、利用においてすら administrator / Power Users 権限必要というあたりが、いかにも「セキュリティがわかってない」って感じで、さすが SONY。頭悪すぎ。

Microsoft Security Response Center マイクロソフト セキュリティ情報の深刻度評価システム (改訂版 2002 年 11 月)
(Microsoft, 2002.11.19)

 深刻度評価が 4 段階 (緊急, 重要, 警告, 注意 / Critical, Important, Moderate, Low) に変更された。

マイクロソフトでは、影響を受ける製品をご使用のお客様は、「緊急」または「重要」と評価されている脆弱性に対応するすべての修正プログラムを常に適用する必要があると考えています。「緊急」と評価されている修正プログラムは、直ちに適用する必要があります。「警告」または「注意」と評価されている脆弱性に関しては、セキュリティ情報を読み、その脆弱性がお客様の独自の構成に影響を及ぼす可能性があるかどうかを決定する必要があります。「注意」と評価されている脆弱性は、マイクロソフトがほとんどのお客様には影響が及ぶ可能性が低いと考えているものです。

 より適切な評価方法になったと思うけれど、もちろん、個々の組織において Microsoft による評価がそのままあてはまる、わけでは必ずしもないわけで、Microsoft 自身も

この深刻度評価システムは、それぞれの問題を広く客観的に評価できるようにすることを目的としていますが、マイクロソフトは、お客様にそれぞれの環境を確認し、システムを保護するために必要な修正プログラムを決定することを強く推奨します。

と書いている。 Microsoft による評価は参考に止め、自分自身で行うことを心がけたい。 過小評価は禁物だけど。 まぁ、「緊急」「重要」はたいてい「緊急」「重要」でしょうけどね。

業界の経験上、お客様のシステムに影響を及ぼす攻撃は、攻撃者が未知の脆弱性を悪用した結果である場合はめったにありません。Code Red および Nimda ワーム ウイルスのように、攻撃はむしろ、修正プログラムがすでに提供されていても、それが適用されていない脆弱性が悪用される場合が多いのです。

 Nimda の場合、「既知だけど Microsoft が patch を出していなかった脆弱性」も使っていたんだけどねぇ。というか、.DLL search path 話って、いまだに patch 出てませんよね?


2002.11.19


2002.11.18

新しい『Wi-Fi』のセキュリティー技術も攻撃には弱い
(WIRED NEWS, 2002.11.18)

 仕様上の問題により DoS 攻撃に弱い、ということなのかな。ウーム……。

i386 Linux kernel DoS
(stalk ML, Sat, 16 Nov 2002 01:06:26 +0900)

 x86 Linux に対する local DoS コード。

追記

 2002.11.15 の ウイルスではない? “感染”するグリーティングカード に追記した。各ベンダの対応状況を追記。たいていは対応しているみたい。


2002.11.15

Multiple vulnerabilities in Tiny HTTPd
(bugtraq, Mon, 11 Nov 2002 19:48:55 +0900)

 tinyhttpd 0.1.0 に ../ バグがあるという話。ファイル読み取りや root 権限取得が可能となるそうだ。 fix patch が示されている。

KDE ネタ 2 つ
(various)

 どちらも KDE 3.0.5 で修正されている。また、 ftp://ftp.kde.org/pub/kde/security_patches/ に 3.0.4 用 patch が用意されている。

2002.12.23 追記:

情報処理学会関西支部 チュートリアル講演会「情報セキュリティの実践と理論」スライド
(タレコミ, Wed, 13 Nov 2002 21:33:10 +0900)

 高木さんち2002.10.17 に公開されたもの。冒頭に情報処理学会ネタあり。 これも、情報処理学会からは何のアナウンスもされていないような気が。

 匿名希望さん情報ありがとうございます。

SecurityFocus Newsletter #168, 169
(bugtraq-jp)

 HTML 版:

 テキスト版:

UNIX fixes
(various)

Vine Linux 2.5
Turbolinux
Debian GNU/Linux
Red Hat Linux
OpenBSD
  • November 14, 2002: A buffer overflow exists in named(8) that could lead to a remote crash or code execution as user named in a chroot jail.
    patch: 3.2, 3.1, 3.0

FreeBSD

ウイルスではない? “感染”するグリーティングカード
(ZDNet, 2002.11.14)

 全てのウィルス / ワーム / トロイに使用許諾契約書を! (違)

 Tea Room for Conference No.1123 も参照。 どこかで聞いたような話だなあとは思っていたのだけど、office さんだったのね……。

2002.11.18 追記:

 各ベンダの対応状況。Ikegami さん情報ありがとうございます。

2002.11.28 追記:

 “礼儀正しい害虫”がはやりそうだ (ZDNet)。

「税務行政へのご意見・ご要望をお寄せください」コーナーからのお詫び
(名古屋国税局, 2002.11.12)

 名古屋はえぇ〜よ〜、漏曳するがね〜。関連:

UFJつばさ証券、顧客データ流出事実の公表控える
(読売, 2002.11.12)

 3 月に流出を確認したが何の対応もしなかった、のだそうで。 素敵ですね。関連:

キースリーメディア・イベント株式会社 11月9日付けメール配信についてのお詫び
(タレコミ, Fri, 15 Nov 2002 11:30:12 +0900)

 例によっての virus mail ばらまき事件。 アナウンスものやメールマガジン的なものは、ふつうは moderate な運用をすると思うんだけど、「してませんでした」ってことなんですかねえ。 福光さん情報ありがとうございます。


2002.11.14

追記

 2002.11.13 の BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点 に追記した。bind 4.9.10, 8.2.6, 8.3.3 用の patch が出ています。 CERT Advisory CA-2002-31 Multiple Vulnerabilities in BIND も登場。

一太郎ビューア
(一太郎通信, Thu, 14 Nov 2002 15:48:06 +0900)

 ダウンロードする際には e-mail address の入力が必要。 で、「個人情報の取り扱いについては、こちらをご覧ください」 なんて書いてあるわけだが、その「こちら」の内容のなさ加減は寒すぎ。 「プライバシーマーク制度」って、どうしてこうなんですかね。 逆効果だとしか思えないのだけど……。

 ジャストシステムは、今からでも遅くはないから、 「日経コンピュータ」2002.11.18 の特集 2 『顧客情報は「両刃の剣」』 あたりを読んで、何をすべきか / すべきでないか再検討したほうがいいんじゃないの? って気も。

 ……登録すると、「ダウンロードボタンをクリックすると、ダウンロードを開始します」とゆーページが出てきますが、ここに示される URL を直接叩けば、登録作業なんかしなくってもそのまま get できちゃいますねえ。なんだかなあ。


2002.11.13

Windows 2000が取得したセキュリティ認定が意味するもの
(日経 IT Pro, 2002.11.11)

 特殊な patch は不要だけど、デフォルトとは違った設定は必要なわけで。「デフォルト状態で EAL4」なわけでは決してない。

『かんな』Version 3.6 における変更点
(installer ML, Tue, 12 Nov 2002 23:20:55 +0900)

 有志によってリリースされた かんな 3.6 では「クライアントから非常に長いユーザ名を送られると、バッファオーバーフローを起こすという問題」が修正されているそうです。 この他にも、デフォルトでは TCP 接続は受けつけない (unix domain socket のみ) とか、実行ユーザを -u で指定できるとか、いろいろうれしい仕様になっています (Debian GNU/Linux 由来だそうです)。 FreeBSD の japanese/Canna はすでに 3.6 になってます。

BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点
(freebsd-security ML, Wed, 13 Nov 2002 02:28:20 +0900)

 bind 4.9.10 以前の bind 4 に 1 つ、bind 8.3.3 以前の bind 8 に 3 つの穴がある模様。特に bind 4 / 8 両方が影響を受ける "BIND SIG Cached RR Overflow Vulnerability" は、これを利用することで外部から任意のコードの実行が可能とされており、危険性が大きいと考えられる。 bind 9 にはこの穴はないそうだ。

 対応するには、bind 4.9.11, 8.2.7, 8.3.4 (まだ公開されていないみたい) に upgrade するか、bind 9 に移行する。いずれの問題についても、回避するには recursion を停止すればよいそうだ。 って、「キャッシュサーバとゾーンサーバは分離して運用する」を実行している組織なら、ゾーンサーバの recursion は停止できる (停止している) はずだけど、キャッシュサーバの recursion は……。

 connect24h ML の [connect24h:5103] Bind 4&8 serious vulnerabilities からはじまるスレッドでは、bind 8 では動くけど bind 9 では動かない (ので bind 9 に移行できない!) 話に発展しています。 Internet Week 2002 の DNS DAY の午後には、そういう話も出るのかなあ。 (おもいっきり JPCERT/CC Seminar 2002 とカチあってるし……)

2002.11.14 追記:

 bind 4.9.10, 8.2.6, 8.3.3 用の patch が出ています。

 らむじぃさんが Vine Linux 用私家版 rpm を作っていらっしゃいます (情報ありがとうございます)。

 CERT Advisory CA-2002-31 Multiple Vulnerabilities in BIND も登場しました。

2002.11.15 追記:

2002.11.20 追記:

 新規: NetBSD, Turbolinux。更新: FreeBSD。 2002.11.15 のところに追記・更新しておいた。

 あと、bind 4.9.11, 8.2.7, 8.3.4 も出てますね。


2002.11.12


2002.11.11

管理者権限を持たないユーザーによる IE の修正プログラム適用について
(新着サポート技術情報, 2002.11.08)

 いつぞやのがんばれ!! ゲイツ君で話題になっていた件かなあ。頭の痛い「仕様」ですね。こういうことがあるので、「Windows 使うときはデフォルトで管理者権限ねっ」となって、いつまでたってもセキュアにならない、と……。

GPKIおよびLGPKIにおけるルート証明書配布方式の脆弱性と解決策
(SecurIT, 2002.10.30)

 やっと読んだ。いきなり「セキュリティホール memo メーリングリスト」とか出てきてびっくりした (^^;)。 個人的には、

  1. 5.4 項に示されているように、民間証明書でコード署名された、GPKI/LGPKI ルート証明書インストーラを用意する。

  2. さらに GPKI/LGPKI ルート証明書の内容を確認したい人のために、フィンガープリントを記載したファイルに民間証明書で電子署名を施して web に掲載する。 この web page は、民間証明書を利用した SSL page で用意することが望ましい (が必須ではない)。

がいいような気が。「CD-ROM を郵送等にて配布」は、非電子的攻撃に対する耐性はあまり高くないと思うし。(もしかして、書留とかで送ってくれてるのかなあ……)

 関連:

Tea Room for Conference #1114
(Tea Room for Conference, 2002.11.08)

 Viva! 住基ネット。すばらしすぎて、涙が出ます。


2002.11.08

Oracle ねた
(various)

UNIX fixes
(various)

Debian GNU/Linux
Red Hat Linux
Vine Linux
OpenBSD
NetBSD
Sun

Solaris 2.5.1 はもう fix 出ないんですね……。


2002.11.07

「246.ne.jp」ドメインのメールが大量のスパムメール返信により遅延
(INTERNET Watch, 2002.11.07)

 DoS 攻撃ですねえ……。 最近の mail server には anti-virus 機能が入っていたりすると思うのですが、anti-virus ソフト君はけっこう CPU を食うので、大量 mail による DoS 攻撃を受けやすかったりしますし……。

追記

 2002.11.02 の エラー:"シマンテック社の電子メールプロキシが次の理由でメッセージを削除しました。"が表示されてメールが削除される に追記した。2002.11.08 09:00 AM の LiveUpdate で修復される予定の模様。

良いニュースと悪いニュース
(MSDN, 2002.10.29)

 IE 6 SP1 では、Cookie の「HttpOnly 属性」を解釈できる、のだそうだ。 HttpOnly 属性が設定されていると、JavaScript などからのアクセスが禁止される、のだそうだ。もちろん、仕様上は、だろうけど。

みなさんもご存知でしょうが、 あえてお話しておきます。これは XSS の問題を解決しません! 脆弱性を一部軽減するだけです。適切なサーバー側プログラミング技法に置き換わるものではありません。

 ありませんが、小さな積み重ねがだいじですから、設定しておきませう。


2002.11.05

[memo:4926] Re: IE 6の「ファイルのダウンロード」ダイアログはデフォルトが「開く」
(memo ML, Tue, 22 Oct 2002 04:07:56 +0900)

 IE 6 の詳細設定にある「ダウンロードしたプログラムの署名を確認する」 (default: off) をチェックすると、ファイルを開くときに署名が自動的にチェックされるようになり、なかなかうれしいという話。 署名があればそれを表示の上で確認ダイアログになるし、署名がなければ警告ダイアログになる。

 さらに、レジストリ設定により、右クリックで「署名を確認して開く...」を設定可能だとフォローされている [memo:4938]。 .reg file: 2000/XP, 98/NT 4.0。実際に「署名を確認して開く...」を試してみると、「ファイルのダウンロード」ダイアログが 2 回 (!) 出て、そのあとで署名検証のダイアログになるようだ。

非常時に備えろ,“セキュリティ・インシデント訓練”の勧め
(日経 IT Pro, 2002.11.01)

 いいですねぇ演習。したいなあ。


2002.11.01

エラー:"シマンテック社の電子メールプロキシが次の理由でメッセージを削除しました。"が表示されてメールが削除される
(ポケットニュース, 2002.11.01)

 Norton Internet Security 2003 において、電子メールプロキシが、正常なメールを削除してしまうという事例がある模様。原因は今のところ不明。

 関連報道: 【続報】シマンテックのセキュリティソフト、正常メールを削除する不具合 (日経 BP)。

2002.11.07 追記:

 Knowledge Base が更新された。

《 原因 》
Norton Internet Security 2003 のスパム警告機能は、電子メールをスキャンする際に、メモリ上でメールの中身を展開しチェックしますが、大量の電子メールを連続して 受け取った場合に、まれにメモリ管理上の問題が発生することに起因します。
《 発生の確認されている環境 》
数日間起動しつづけているコンピュータで、メールソフトの設定によりメールサーバーに頻繁にアクセスするように設定され且つ大量の電子メールの受信を行う環境にてご使用のお客様。

 大量ってどのくらいの量なんだろう。高々数日間でというのだから、1 日 10 万通くらい受信する人なんだろうか。

《 対策 》
弊社ではこの問題に対応する修復を、11月8日午前9時にインターネット経由での修復処理であります LiveUpdate によって提供する予定です。

 明日ですな。SINya さん情報ありがとうございます。

「動かないコンピュータ」とコンサルタントの関係
(日経 IT Pro, 2002.10.30)

 いやぁ……強烈です。こんな事例が現実に存在するとわ……。

UNIX fixes
(various)

Debian GNU/Linux
Turbolinux
Vine Linux

連載:不正侵入の手口と対策 第2回 攻撃者に有用な情報を与えない対策法
(@IT, 2002.10.23)

 apache, bind, sendmail で種類・バージョン表示を無効にする方法。

OpenSSHについては、ソフトウェア設定による対策が現行バージョンでは行えない、さらにはソースコードのバージョン変更をすると正常に機能しなくなるため、今回は対象外とした。

だそうです。

連載:管理者のためのセキュリティ推進室: 第5回 インシデント発見後の関係サイトへの連絡
(@IT, 2002.10.25)

特に、日本国内の組織が関係するインシデントについては、ぜひJPCERT/CCに連絡してほしい

ということだそうです。

今知っておくべき危険: 第16回 今知っておくべき危険とは
(INTERNET Watch, 2002.10.31)

 いやあ、他力さん、まとめ方うまいなあ。 というわけで、次の @Random は来年 2 月上旬に開催予定の模様。 今度は時間長いぞー。

MS02-061: SQL Server Web タスクで権限が昇格する (Q316333)
(Microsoft, 2002.10.17)

 おもいっきり時期を逸していますが……。

 SQL Server 7.0/2000, MSDE 1.0/2000 に弱点。認証されたユーザは、 他のユーザが作成したものも含む、全ての web タスクを削除・挿入・更新できてしまう。既に作成されている Web タスクを更新すると、その更新された Web タスクはタスク作成者の権限で動作する。これを利用すると、権限を SQL Server サービスアカウントのレベルまで上昇させることが可能となる。 CVE: CAN-2002-1145

 patch があるので適用すればよい。MS02-061 patch は累積的 patch になっている。

2003.01.27 追記:

 SQL Slammer ワーム 登場にあわせて、MS02-061 patch が出し直されている。 317748 patch が含まれ、かつインストーラ形式になった。

追記

 2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。MS02-059 で解説されている。patch もある。

追記

 2002.10.02 の Windows XP の 「ヘルプとサポート センター」 の脆弱性に関する情報 に追記した。MS02-060 で個別修正プログラムが公開されている。

Windows 2000 の既定のアクセス権により、トロイの木馬プログラムが実行される (Q327522) (MS02-064)
(Microsoft, 2002.10.31)

 Windows 2000 に弱点。

  1. Windows 2000 では、[ファイル名を指定して実行] などいくつかの場合に、 システムルートディレクトリ (デフォルト: C:\) がパスに含まれてしまう。

  2. Windows 2000 のデフォルトでは、システムルートディレクトリを含むルートディレクトリは Everyone フルコントロールだ。

  3. システムルートディレクトリにトロイの木馬を設置しておくと、ログオン時などに、本物のかわりにトロイの木馬が実行される。

  4. administrator がログオンしてくれたりすると、あとはやり放題。

 謝辞には Security Focus の Jason Miller 氏の名があるが、 セキュリティ・スタジアム 2002 において SecurityFriday さんもこの問題を提起され、はまもとさんが実証されている。 2002.10.19 の成果 を参照されたい。

 対応としては、システムルートディレクトリの ACL を適切に設定する、が示されている。しかし、「パスにシステムルートディレクトリが含まれてしまう」事は棚上げでいいのか?

 CVE: CAN-2002-1184

PPTP サービスの未チェックのバッファにより、サービス拒否の攻撃を受ける (Q329834) (MS02-063)
(Microsoft, 2002.10.31)

 Windows 2000 / XP に弱点。PPTP サービスを利用している場合に DoS 攻撃を受ける可能性がある。 「Windows 2000/XP」のPPTPにバッファーオーバーフローの脆弱性〜独企業が警告 の fix。 CVE: CAN-2002-1214

 修正プログラムがあるので適用すればよい。

Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)
(Microsoft, 2002.10.31)

 IIS 4.0, 5.0, 5.1 に新たな 4 種類の弱点。

 累積的 patch が出ているので適用しよう。 ただし、Site Server ユーザはあらかじめ JP317815 を参照しておくこと。


私について