Last modified: Fri Feb 14 12:51:48 2003 +0900 (JST)
Windows 2000 / XP 用、Kerberos 対応の password sniffer / cracker、 KerbCrack だそうです。
チョムスキーにまつわる流言飛語 が更新されてます。
日経エレクトロニクス/日経マイクロデバイス主催 緊急セミナ「富士通HDD回収事件に学ぶ」 〜LSI信頼性危機〜。 2002.12.06、東京都千代田区、¥19,800 (12/2 までの場合)。
Symantec AntiVirus Corporate Edition 8.0 のインストール後「AutoCAD のページ違反 モジュール AC1ST15.DLL 017f:655cle3b」が発生する 。patch があるそうで。
Norton Ghost 2003 で確認されている問題点について。liveupdate すると解決されるようですね。
Microsoftは全体で“Trustworthy Computing”(信頼できるコンピューティング)に取り組んでいる。これは10年先を見据えた戦略だ
port 135, 137〜139, 445 がデフォルトで塞がれるのは 10 年後、という意味だろうか。
短期的には、製品のデザイン、プログラミング、製品の出荷時の状態——などを見直すのだという。具体的には、プログラムが持つ実行権限やセキュリティ・ホールのないプログラム、デフォルト状態で不要なサービスが立ち上がっていないなどの対策を施すことを指す。この第一弾が2003年に出荷予定のWindows .NET Server 2003なのだという。
port 135, 137〜139, 445 は、Microsoft 的には「不要なサービス」ではないし「セキュリティ・ホールのないプログラム」ということなんだろうな。 そこ経由で crack された機械は 1 台もないんでしょう、きっと。
MS02-065 話ですが、MDAC 2.7 がインストールする msxml3.dll が、なんと MS02-008 patch よりも古いことが判明。 というわけで、またまた 学内向けのページ を更新。真部さん情報ありがとうございます。
東経大で個人情報漏れ 入学願書の郵送希望者3107人分 (毎日)。 ちゃんと web ページにも情報があるのは偉い。が、「万全の措置」とは具体的には何?
mod_limitipconn.c とか mod_conn.c というものがあるんですね。(info from [IDS-TALK 478])
もっともセキュリティが弱いOSはLinux,Aberdeen Groupがレポート (日経 IT Pro)。 CERT Advisory だけでセキュリティを語るようなアホが世の中に実在するとは。 さらに、それを何の註釈も加えずにそのまま紙面に掲載したり、さらにそれをそのまま翻訳したりする輩が世の中に実在するとは。脱力。
IE 5.01, 5.5, 6.0 の 6 つの新たな弱点を修正する、累積的 patch が登場。 FAQ に
攻撃者はこれらの脆弱性を悪用し、攻撃者の Web サイトまたはサーバーからユーザーのマシンにプログラムを読み込むことはできますか?
はい、できます。しかし、マイクロソフトはサポート技術情報 810687 を公開し、HTML ヘルプのショートカットを制限するレジストリ キー設定について説明しています。このレジストリ キーを設定すると、攻撃者がユーザーのシステムに悪質な実行可能ファイルを読み込むことができなくなり、攻撃者がユーザーのシステムに既に存在している実行可能ファイルを呼び出すことを制限します。
とあるように、組みあわせることで任意のコマンドを実行可能となる穴となる点に留意しよう。
『バグトラック』にIE悪用攻撃コードをそのまま掲載、賛否は両論 の話も関連なのかもしれないが、いまいちよくわからない。
とりあえず適用しておけば? (クレヨンしんちゃん風)
Unpatched IE security holes、現在は 18 個になっています。かなり減りました。それでも 18 個あるんですが。
MDAC 2.6 以前に弱点。MDAC に含まれる RDS データスタブにバッ ファオーバーフローする弱点があり、RDS が有効な IIS や、IE 5.01 / 5.5 / 6 が影響を受ける。具体的には、IIS では攻撃リクエストにより remote から local SYSTEM 権限を取得される。IE / Outlook Express では、悪意ある web ページや HTML メールにより IE / Outlook Express 動作権限を取得される。 ただし Windows XP は影響を受けない。 この問題は [緊急] とラベルされている。
対策としては、次の 3 つがある:
MDAC および RDS を無効にする (IIS の場合)
ふつうの IIS 管理者なら、これは既に設定してあるはずだ。
MDAC 2.7 をインストールする (IIS, IE / Outlook Express の場合)
Windows XP が影響を受けないのは、デフォルトで MDAC 2.7 がインストールされているためだ。
MS02-065 修正プログラムを適用する (IIS, IE / Outlook Express の場合)
MS02-065 修正プログラムには大きな欠陥がある。 問題を発生させる ActiveX コントロールは Microsoft によって署名されてしまっているため、攻撃者がバージョンの古い (= 弱点が含まれている) ActiveX コントロールを、強制的に、何ら警告を発生させることなくインストールさせることができてしまうのだ。これは致命的だ。
従って、推奨される対応は MDAC 2.7 のインストールとなる。しかしこれにも問題がある。MDAC 2.7 に含まれる msxml3.dll は、MS02-008 問題を修正済の版よりも古く、MS02-008 問題が含まれてしまっているのだ。 このため、MDAC 2.7 をインストールした後に、MS02-008 修正プログラムを適用しておく必要がある。ただし、IE 6.0 SP1 では MS02-008 問題が修正済みなので、MS02-008 修正プログラムを適用する必要はない。ややこしいね。
詳細は、山下さんの パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) を読んでください (^^;)。 学内向けのページ にも情報があります (が、学内向けなので一般には適用できないかもしれません)。
MS02-065 でも
本問題に対する完全な対策は、MDAC バージョン 2.7 以降を適用することです。MDAC バージョン 2.7 以降はこの脆弱性の影響を受けず、上述の Kill Bit 未設定によるコンポーネントの再登録の問題も発生しません。可能な限り MDAC 2.7 以降のバージョンへのアップグレードをお願いいたします。
という記述が登場していますね。ただし、
注意 : MDAC 2.7 を適用する事により、この機能を使用するアプリケーションが正しく動作しなくなる可能性があります。現在お使いのアプリケーションに与える影響に関しては、製品の開発元様までご確認ください。 現在 MDAC 2.7 に関して弊社で確認している問題は、ダウンロードページに記載されておりますので、ご確認のうえ適用ください。
ともありますのでご注意を。JP418820: [MDAC] インストールしても一部のファイルが DLLCACHE に登録されない は、最悪の場合 OS の再インストールが必要とされているので要注意。
hsj さんち に IIS 5.0 用の exploit が出ていました。
今度は“完全な対策”にとんでもない副作用——「Windowsの深刻なホール」続編 (日経 IT Pro)。 MDAC 2.7 をインストールした後では、MS02-008 の他、SQL Server を動作させている場合は MS02-030, MS02-040 を適用する必要がある模様。
IE、OE の安全な利用には高度な知識と情報収集能力が必要!? (NetSecurity)。 MS02-066 は MS02-065 の間違いだと思われ。 確かに今回の事例はお粗末すぎるが、だからって、他のブラウザの情報収集が簡単ってコトにはならないと思うぞ。
「Windowsの深刻なホール」対策で発生するトラブルを解決する (日経 IT Pro)。 MDAC 2.7 インストールの詳細。わかりやすい。
MDAC 2.7 SP1 が出ています。MS02-008 (MSXML 3.0 用のみ), MS02-030, MS02-040 は修正されているそうです。 しかし、MDAC 2.7 に存在した、インストール時の問題については、MDAC 2.7 SP1 で解消されているかどうかよくわかりません。念のため、MDAC 2.7 ダウンロードページ の記述をよく読み、同様の問題が MDAC 2.7 SP1 にもあるものとしてインストールした方がよいでしょう。学内向けのページも修正かけました。
2002.11.26 の SSH Secure Shell Unix server setsid() function call vulnerability (VU#740619) に追記した。F-Secure SSH サーバ UNIX 版の情報を追加。
古い情報が多くてアレですが……
bind 8.3.4 に upgrade される。 Vulnerability Note VU#457875: Various DNS service implementations generate multiple simultaneous queries for the same resource record への URL も書かれているので対応されたのかもしれないが、 Apple Computer Inc. Information for VU#457875 は 2002.11.19 版のままなので、いまいちよくわからない。 (記述修正: 石川さん感謝)
どうやら Mac OS X 10.1.x 以前への fix は用意されないようだ。 すさまじいベンダーだね。
2.5:
2.1.x:
w3m 0.3.2 以前 (記述修正: 佐藤さん感謝) に弱点。frame における < や > のエスケープ処理が不十分なため、悪意ある HTML ページ作成者が、 ユーザにフォームのボタンを押させることにより local cookie の読み出しが可能となっていた。ここからさらに local CGI を悪用し、任意のコマンドを実行される可能性があった。
w3m 0.3.2.1 で修正されている。w3m-m17n も 0.3.2.1 base になっている。 FreeBSD の ports/www/w3m はまだ 0.3.2 のままだ。
Vine Linux 2.5: w3mにセキュリティホール
2002.11.27 の Mulitple Buffer Overflow conditions in RealPlayer/RealOne (#NISR22112002) に追記した。実は直ってなかったようです。
GREATEST HIT ですか……。 しょせん、警察官による個人的な「のぞき」にしか使われないわけね。いやはや。
web バグも ウイルスではない? “感染”するグリーティングカード と同様の進化を遂げる模様。 ZDNet 版: “Webバグ”使うなら告知を——業界指針 (ZDNet)。
「強制アップグレード」と言えば聞こえがいいが、要は Windows に root backdoor をつけようという話にしか聞こえない。 どう考えてもシャレになってない。 ただでさえ「実は U.S. 政府用の backdoor あるんじゃないの?」なんて疑惑が払拭されず、そういう疑惑も電子政府の open source 化に一役買っていたりするはずなのに、これではねえ。
こんなことを考える前に、まずは .NET Server 2003 で「secure by default」を徹底してほしい。デフォルトで port 135, 137〜139, 445 が開きっぱなし、のどこが「secure by default」なのだ? 今やらずにいつやるのだ。
無線 LAN を安易な設定のまま業務で利用してしまっているところは多いんだろうなあ……。
山下さんの パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する (日経 IT Pro) を読んで愕然とし、 あわてて 学内向けのページ を更新。
インターネット・セキュリティ・セミナー、2002.11.28 (明日じゃん)、仙台市市民活動サポートセンター、¥3,000-。Y さんどうもです。
ip filter 3.4.30 出ているそうです。(info from [installer 7509])
時計合わせようよ > ISVW.nttls.co.jp。 10 分くらいズレてません?
複数の DNS サーバ実装に弱点。 弱点ありサーバにおいて、同じリソースレコード (RR) に対する複数のリクエストを同時に発生させると、 その RR へのクエリーが複数発生してしまう。 その結果、 brute-force な DNS spoof がすごく簡単にできてしまう、という話。 と理解していいののかな。
この話の元になったと思われる Vulnerability in the sending requests control of BIND versions 4 and 8 allows DNS spoofing (CAIS/RNP) によると、 bind 4.9.11 以前 (4.9.x), bind 8.2.7 以前 (8.2.x), bind 8.3.4 以前 (8.3.x) にはこの弱点があり、 bind 9.2.1 にはない、とされている。 また、Microsoft DNS Server も Vulnerable だとされている。 bind 開発元の ISC 自身は dnssec を使え と言っているようだ。
スクリーン セーバーが動作中に LockWorkstation() を呼び出すとコンピュータはハングする。再起動が必要になるそうで。
Windows 2000 Professional ベースのクライアント コンピュータから Windows NT 4.0 ベースのサーバーに割り当てられているドライブに文書を保存した場合のエラー メッセージ。「この問題は、InoculanIT Advanced Antivirus Software V4.53 build 631 を使用している場合に発生する可能性があ
」るのだそうで。
[OFF2000] 製品コード GUID の番号付けの仕組み、 [OFFXP] 製品コード GUID の番号付けの仕組み。
Windows 2000 で 497 日連続稼動した場合、WM_TIMER メッセージのプログラムへの通知が停止することがある。
Windows 2000 が動作するコンピュータでの 802.1x 認証の使用 。 Windows 2000 でもイケるようになるようです。
[IE]フレーム内に Excel を表示したページで複数部数の印刷をすると部数の二乗分出力される。2 倍じゃなくて 2 乗だそうで。おまけに仕様だそうで。
official: RealPlayer Buffer Overrun Vulnerability。 RealOne / RealPlayer に、外部から攻撃可能な buffer overflow 穴が 3 つあるという話。RealOne / RealPlayer 実行ユーザ権限で任意のコードが実行可能となる。 RealOne については Windows 用が、RealPlayer については全プラットホームで、ということなのかなあ。
RealOne Player for Windows 用 patch が配布されている。
実は直ってなかったようです: リアル、メディアプレーヤーの修正パッチを取り下げ (CNET)。
非営利団体のOWASP、オープンソースのファイアウォール/IDSを公開予定 (INTERNET Watch)。とりあえず 2 か月待ってみればいいのかな。
Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) 話ですが、学内向けのページ にいろいろ書いてみたりしてます (一部推測のまま書いてたりしますが……)。 このあたりの議論は JWNTUG security ML で進んでいたりします。 明日こそは、memo でもいろいろ書いておきたいと思うのですが……。
ノートパソコンの熱でペニスに火傷? (WIRED NEWS)。 いまどきの熱い CPU では、確かに laptop operation は危険かも (笑)。
インシデント報告件数の推移 (JPCERT/CC)。おお、ちょっと回復基調。 連載:管理者のためのセキュリティ推進室 第6回 インシデント発見前の注意点 (@IT) のコラムにもちっと最近の数が出ている。
スクウェアとエニックスが合併 (slashdot.jp)。 確かに、スクウェアにはつながるけどエニックスにはつながらないですね > 竹瀬さん。
セキュリティマガジン vol.007 おもしろいですねえ。根津さんの記事のおかげで誰でも AirSnort であそべるし、Office 節は爆発してるし。
Solaris 2.5.1〜9 の xfs サーバ (fs.auto) に弱点。 buffer overflow するため、これを利用すると remote から nobody 権限で任意のコードを実行可能。 patch はまだない模様 (もうすぐ出る?)。
関連: CERT Advisory CA-2002-34 Buffer Overflow in Solaris X Window Font Service (CERT/CC)。
Sun(sm) Alert Notification 48879: X Font Server May Allow Denial of Service (Sun)。 DoS?
Sun(sm) Alert Notification 48879: X Font Server May Allow Denial of Service が改訂されている。patch が登場したようだ。
ssh.com の SSH Secure Shell for Servers / Workstations 2.0.13 〜 3.2.1 の UNIX 版 (具体的には AIX, Linux, HP-UX, Solaris, BSD) に弱点。 pty/tty を使わない子プロセスに対して setsid() を実行していなかったために、 そのような場合に local 攻撃者が root 権限を取得できる可能性がある。
対応するには、SSH Secure Shell 3.1.5 あるいは 3.2.2 に upgrade する。 これらにおいては常に setsid() するように変更されている。
参照: VU#740619
F-Secure SSHサーバ UNIX版におけるログイン名偽装の脆弱性について (f-secure.co.jp)
[samba-jp:13875] [ANN] オリジナル版 Samba 2.2.7 における脆弱性修正と日本語版での影響の有無に関して (samba.org) 出てます。
Microsoft Windows 2000 SP3 の対応状況 (シマンテック)。
Athlon が燃える映像 だそうです (^^;)。 manapi さん情報ありがとうございます。
OSX-users メーリングリストができています。もちろん、例のくだらない「議論」から派生したものですね。というか、それがなくても macosx-jp ML は S/N 比があまりに低くなってしまった感あり。
という私の文章に対して、しろやまさんから:
この文面ですと、なんとなく「くだらない議論」を行う為に OSX-users が出てきたように感じられてしまいます。
現実は逆で、あれに嫌気がさしたからと言うのが大きいですし、小島さんもそこらへんはご理解されているというのは承知しておりますが、ただ、なんていいますか、「派生」に気にかかったのでご連絡した次第です。
どういう文面だといいかは私もいいかねますが、「例のくだらない「議論」のせいで macosx-jp MLから派生したものですね。」という感じだと、「議論」の飛び火ではなくmacosx-jpからの派生というのが分かっていただけるかなぁっと思います。
まあ、そういうことで。
smrsh な環境で .forward に "|IFS=' ' && exec /usr/bin/procmail -f- || exit 75 #hoge" なんて書くと、smrsh が「smrsh: IFS=' not available for sendmail programs」とか言って怒ったりするのですが、ときどきそういう人いますねえ。
ちょっと google さんに聞いてみたところ、たとえば Re: smrsh, procmail, IFS, and lime jello なんてのが出てきました。smrsh(8) も参照。
@Random/1st が 2003.02.08 に (ようやく (^^;;;)) 開催されます。 詳細についてはおいおい公開されていくと思いますので、もうしばらくお待ちくださいまし。 @Random/ZERO に参加された方には、近々に先行予約の案内メールが届くと思います。
バイオメトリックス利用の新パスポート導入を検討 外務省 (毎日)。 「対テロ」にかこつけて「1984 年」を実現しようとする輩は後を絶たず。 おまけに国民を守らないことでは定評のある「外務省」ですぜ旦那。
住基ネット拡大の電子政府3法案、参院で可決へ 今国会成立も、 審議わずか10時間 住基ネット利用範囲拡大に非難相次ぐ (毎日)。 最初から、こういうつもりだったってコトですな。
住基ネットの公務員不正利用に罰則 横浜市が全国初 (毎日)。 わかっている自治体はわかっているわけですが。 つーかこういうものこそ国で整備せいよ。
住基ネット不参加者からのデータ削除要求に応じず 東京都 (毎日)。 YES と言える東京。
From: や envelope from 宛に virus mail 警告を返すのはやめてほしいなあ > techmatrix.co.jp。ふつう詐称されてるんだってば。
中学生轢死事故の米軍に無罪の評決 (朝鮮日報)、 女子中学生死亡事件の米軍、無罪評決 (中央日報)。 「駐韓米軍・軍事裁判所」の評決。さすが米軍。
全然関係ないが、 100%独自開発ロケット、27日試験発射 (中央日報) なんて記事も出てるなあ。
SOHO・家庭向けの情報セキュリティ対策マニュアル [プレビュー版] (IPA)。feedback してあげてください。
独自ヒューリスティック検知を導入したウィルス対策製品「NOD32」が発売 (INTERNET Watch)。でも、NOD32 は 2003.02 予定、Tiny Personal Firewall は 2003.03 予定だそうなので、ずいぶん先の話。
ハッカーの挑戦 (shoeisha.com)。おもしろそう。
“3GHz”と“PCケース”の微妙な関係 (ZDNet)。 萌^H燃え系の懸念については、こんなふうになっているそうです。AMD Athlon はほんとうに燃える事例があるようなので気をつけませう。
「ウイルス被害に遭ったら“118”へ電話して」——韓国セキュリティ組織の取り組み (日経 IT Pro)。年間予算ってどのくらいなんだろうなあ。
関連: AVAR2002、 CERTCC-KR 日本語版。
http://www.securitymap.jp/ というサイトがあるんですね。これまたセコム上信越さんです。
OSX-users メーリングリストができています。もちろん、例のくだらない「議論」から派生したものですね。というか、それがなくても macosx-jp ML は S/N 比があまりに低くなってしまった感あり。
Sun Java JDK/SDK/JRE 1.1.8, 1.2.2, 1.3.0, 1.3.1, 1.4.0 に Zlib Advisory 2002-03-11: zlib Compression Library Corrupts malloc Data Structures via Double Free 穴があったという話。1.4.1 系列にはこの穴はないそうだ。 何をいまごろ……というのが正直な感想。これだから「Sun は糞」とか言われるわけで……。
fix 版が出ているので、これを適用するか、1.4.1 系列に移行すればよい。 穴のあるものと fix されたもののバージョン番号の詳細は Bulletin #00220 を参照。関連:
[memo:5000] FYI: JREのセキュリティホール情報 Fw: Double Free bug in zlib compression library
高木さん自身のフォロー [memo:5001] によると、fix 自体はず〜いぶん前にされていた模様です。 なぜ告知しないのだ Sun ……。
Java アプレット起動に使用される JVM のベンダとバージョンの確認 (java-house.jp)
手元で試してみた結果: [memo:5003]
Netscape Security News: Sun JRE (Java Runtime Environment) Issue (netscape.com)
HPSBUX0211-0226 SSRT2146 Java Zlib compression libraries bug (HP)
2002.11.20 の [INFO] コードの最適化における注意点 に追記した。 そういう機能は gcc にはまだないようです。(奥村さん感謝)
警察権力を強くしたところで、そもそも被害届が出ないのでは……。 犯人を捕まえたところで、もともとのセキュリティが弱々のままでは……。 ヤラレ模様をどんどん公開して「とっとと直さんかいゴラァ」と圧力をかけるしかないと思うのだが……。で、それを言えるのは、やっぱ金融当局なのだろうと思うのだが……。無理かなあ。無理なんだろうなあ。
いろいろ。
Cisco Security Advisory: Cisco PIX Multiple Vulnerabilities
CISCO PIX の 2 つの弱点。ある状況で認証機構の一部がバイパスされてしまう話と TACACS+ / RADIUS を使って HTTP トラフィック認証をかけるときに buffer overflow してしまう話。
CERT Advisory CA-2002-32 Backdoor in Alcatel OmniSwitch AOS
Alcatel の AOS 5.1.1 (on OmniSwitch 7700/7800) が、開発用の telnet サーバ (6778/tcp) を載せたまま出荷されてしまった模様。 remote からここに接続することで管理者権限を取得できる。 AOS 5.1.1.R02 や 5.1.1.R03 ではこの問題が修正されているので upgrade しよう。
The Samba Team are pleased to announce Samba 2.2.7 (samba.org)、 日本語訳 (samba.gr.jp)。
Samba 2.2.2〜2.2.6 に潜在的なセキュリティ問題があり、2.2.7 で修正された。 これは一時期 samba.gr.jp 方面で話題になった件で、 Samba 日本語版にはずいぶん前から fix が含まれている [samba-jp:13851]。 少なくとも Samba 日本語版は 2.2 系なら ok ok だそうだ。
[samba-jp:13875] [ANN] オリジナル版 Samba 2.2.7 における脆弱性修正と日本語版での影響の有無に関して (samba.org)。
いまさら Netscape Communicator 4.x の話をされても……。
[VulnWatch] iDEFENSE Security Advisory 11.19.02b: Eudora Script Execution Vulnerability
Eudora 5.1.1, 5.2 は添付ファイルの保存先が予測可能なので、 これを利用されると情報漏曳の可能性あり、という話。 どこかで聞いた覚えがあるような気も。
LOM: Multiple vulnerabilities in Macromedia Flash ActiveX
Macromedia Flash ActiveX 6.0 (6,0,47,0) for Microsoft Internet Explorer に、zlib double free 問題と flash オブジェクトの SWRemote パラメータで buffer overflow する問題がある、という指摘。これについて、zlib double free は 2002.03 時点で fix されているが、SWRemote overflow は確かに存在し、最新ベータ版では修正されている、 とフォローされている。
Proof of concept code が公開されている。手元の Flash ActiveX Control 6.0.47.0 + IE 6 SP1 でも見事に IE がツブれることを確認できた。
[VulnWatch] iPlanet WebServer, remote root compromise
iPlanet WebServer 4.x の SP11 以前に、remote から root を取られかねない穴があるという指摘。iPlanet 6.x にはこの穴はないそうだ。
RhinoSoft Serv-U FTP Anonymous Remote DoS Vulnerability
FTP Serv-U 4.0.0.4 以前に DoS 攻撃を受ける弱点。 4.1 で修正されている。
bind はやっぱり捨てるべき? CNET 版: 開発者はセキュリティーより金儲け優先?。
MSのFTPサーバーから、顧客データベースなど大量の内部資料が流出 (WIRED NEWS)。 どんな内容なんだろう。
関連:
もともとの指摘: How to execute programs with parameters in IE - Sandblad advisory #10 (Andreas Sandblad 氏)。
WIRED 記事にリンクされている Serious Internet Explorer Defect (jmu.edu) によれば、さきごろ登場した Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066) を適用すると、示された exploit は動作しなくなる、という。が、
However, it is not entirely clear yet whether the patch specifically and entirely addresses the Sandblad discovery.
そもそも MS02-066 で何が修正されているのか (されていないのか) もいまいちよくわからない。 .png 問題は eEye が発見したもののようなので、近々概要が eEye から示されるのだろう。また「フレームの不適切なクロス ドメインのセキュリティ検証」 (CAN-2002-1217) は GreyMagic Security Advisory GM#011-IE: Internet Explorer : The D-Day なのだそうだ。
ちなみに、Unpatched IE security holes には現在 32 個の問題点が列記されている。
[FreeBSD-users-jp 72175] FreeBSD 4.7/4.5 update packges。 FreeBSD 4.7, 4.5 用のバイナリアップデートパッケージをつくられた方がいらっしゃいます。便利かも。
WinSCP 2.0 beta (#93) が出ているそうです。白畑さん情報ありがとうございます。
Alien Autopsy: Reverse Engineering Win32 Trojans on Linux (securityfocus.com)。 WINE であそぶ話みたい。
“信頼性の実現”は、Microsoftの「10年計画」(1/2) (ZDNet)。 果てしなき流れの果てに、本当に現れるのは何だろう。 「計画中止」って選択肢もあるしなあ。
お手頃ホームセキュリティがやってくる (ZDNet)。攻撃者から見ると、「ハクり甲斐のある箱」に見えてしまうかも……。少なくとも、「悪意ある操作」に対する防御がちゃんとできてないとマズいと思うのだけど、そのあたり、どうなんだろう。
『.NET Server』、3度目の延期 (CNET)。 個人的にはじっくり育ててもらってかまわないと思うけど、近未来においてシステム構築・更新を計画している人にとってはシャレにならないだろうなあ。 遅れているスキに、「やっぱりデフォルトで port 135, 137〜139, 445 は塞ぎます」とか、そこまでいかずともせめて「インストール時に塞ぐことができるボタンをつけました」「インストール時にファイアウォール機能を簡単に有効にすることができるボタンをつけました」とかに変わるといいんだけど……。
マイクロソフトからの特許訴訟攻撃に備えるオープンソース陣営 (WIRED NEWS)。 次の戦場は特許?
5th JWNTUG Open Talk in MSC 大阪 に参加されたみなさん、おつかれさまでした。というか、遅れてすいません。 (またかよ > 俺)
guninski 氏による 2 つの指摘。
ユーザが、mod_php つき Apache 1.3 から外部プログラムを実行することができ、かつ php.ini で safe_mode が off の場合、少なくとも 50% の割合で http port を乗っとることができる、という指摘。
回避するには safe_mode を on にすればよい。 unofficial な対応 patch も添付されている。
2.4.19 より前の Linux カーネルをフリーズさせることができる、という指摘。 kernel 2.4.19 で直っているので、kernel 2.4.19 を入れればよい。
合谷さん情報ありがとうございます。 Full-Disclosure ML というのができていたんですね。さっそく subscribe しました。
良いニュースと悪いニュース の前半 (悪いニュース) も参照。ちなみに、 GCC の場合 はこんな感じになるのだそうだ。
#pragma optimize("-no-dead-code-removal") memset(Password, 0, sizeof(Password)); #pragma optimize("-dead-code-removal")
奥村さんから (どうもです):
これは「こんなふうにできるようになったらいいな」という話ではなかったでしょうか。
あっ、However, to the best of my knowledge, GCC does not support altering optimization
options on-the-fly though preprocessor statements
って書いてあるし。読みが足りない (つーかそれ以前 > 俺)。
こういう機能は gcc にはまだないようです。
すんません > all。
Macromedia ColdFusion MX 6.0, JRun 3.0 / 3.1 / 4.0 の IIS ISAPI ハンドラに弱点。buffer overflow するため、remote から SYSTEM 権限で任意のコードを実行可能。
fix (ColdFusion MX, JRun) があるので適用すればよい。 日本語版は、ColdFusion MX アップデータ リリース 1 (リリースノート) と JRun から入手できる。
インストールはおろか、利用においてすら administrator / Power Users 権限必要というあたりが、いかにも「セキュリティがわかってない」って感じで、さすが SONY。頭悪すぎ。
深刻度評価が 4 段階 (緊急, 重要, 警告, 注意 / Critical, Important, Moderate, Low) に変更された。
マイクロソフトでは、影響を受ける製品をご使用のお客様は、「緊急」または「重要」と評価されている脆弱性に対応するすべての修正プログラムを常に適用する必要があると考えています。「緊急」と評価されている修正プログラムは、直ちに適用する必要があります。「警告」または「注意」と評価されている脆弱性に関しては、セキュリティ情報を読み、その脆弱性がお客様の独自の構成に影響を及ぼす可能性があるかどうかを決定する必要があります。「注意」と評価されている脆弱性は、マイクロソフトがほとんどのお客様には影響が及ぶ可能性が低いと考えているものです。
より適切な評価方法になったと思うけれど、もちろん、個々の組織において Microsoft による評価がそのままあてはまる、わけでは必ずしもないわけで、Microsoft 自身も
この深刻度評価システムは、それぞれの問題を広く客観的に評価できるようにすることを目的としていますが、マイクロソフトは、お客様にそれぞれの環境を確認し、システムを保護するために必要な修正プログラムを決定することを強く推奨します。
と書いている。 Microsoft による評価は参考に止め、自分自身で行うことを心がけたい。 過小評価は禁物だけど。 まぁ、「緊急」「重要」はたいてい「緊急」「重要」でしょうけどね。
業界の経験上、お客様のシステムに影響を及ぼす攻撃は、攻撃者が未知の脆弱性を悪用した結果である場合はめったにありません。Code Red および Nimda ワーム ウイルスのように、攻撃はむしろ、修正プログラムがすでに提供されていても、それが適用されていない脆弱性が悪用される場合が多いのです。
Nimda の場合、「既知だけど Microsoft が patch を出していなかった脆弱性」も使っていたんだけどねぇ。というか、.DLL search path 話って、いまだに patch 出てませんよね?
さて、 5th JWNTUG Open Talk in MSC 大阪 に行かねば……。
R・ウィリアムスの新曲、ネット音楽交換サービスに“おとり”出現 (ロイター)。 どのくらい有効なのかなあ。
ProFTPD 用の OTP 認証用モジュール (ayamura.org, info from [ftpd 841])。
オライリージャパン 近刊案内。こ、これは……。12 月はただでさえ金が足りないのに……。 というか、やたら分冊になるの、なんとかならないんですかねえ。
米軍ネットワーク侵入容疑のイギリス人が犯した致命的なミス (WIRED NEWS)。 世の中厳しい。
情報処理学会 第65回全国大会 特別トラック (9): 消費者のためのセキュリティ -技術開発と普及活動-。 人材枯渇だよねえ。
チョムスキーにまつわる流言飛語 が加筆・改訂されています。それにしても、池田信夫といい 3K といい……。
The Shadow Penguin Security Lounge で「年明け辺りにオフ会みたいなモノを開催予定」と記載されています。
日本政府もオープンソースなOSを積極的採用へ (slashdot.jp)。 あいかわらずのこのテの発言もいいかげんやめてほしいが、 Linux にするだけでセキュリティレベルが上がると勘違いする人が増えたりするのもいやだなあ。
「電子政府」の安全性を高めるため、政府内ネットワークのコンピューターで採用する基本ソフト(OS)の見直しに乗り出す
なんて場合は、「Windows には U.S.A. 謹製のバックドアがあるかもね」レベルの話への対応、だと思うんだが……違うのかなあ。 いや、産総研とかでガリガリ source code review やって穴をあぶりまくってくれたりすると、もちろんうれしいんだけど、そういう話にはならないよねぇたぶん。
オープンソースと政府 (mri.co.jp) なんてページがあるんですね。
コンピュータウイルス対策 が http://kosuge.kdn.jp/anti/index.html に引越しているようです。 井上さん情報ありがとうございます。
いわゆる「認証VLAN」のようなシステムについての私的なメモ (hit-u.ac.jp)。 公共利用の無線LAN/イーサネット・ジャックのセキュリティ対策 (tohoku.ac.jp) も改訂されているそうです。後藤さん情報ありがとうございます。
MindTerm 2.3.1 が出ています。 personal use は無料です。後藤さん情報ありがとうございます。
PuTTY 0.53b が出ています。 PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ も 0.53b ベースになっています。後藤さん情報ありがとうございます。
ソースネクスト、ウイルス対策ソフト無償配布で就職活動を支援 (CNET)。 「MaAfee.com の 180 日期間限定版」だそうで。なんかセコくないか?
仕様上の問題により DoS 攻撃に弱い、ということなのかな。ウーム……。
x86 Linux に対する local DoS コード。
Red Hat Linux: [RHSA-2002:262-07] New kernel fixes local denial of service issue
Red Hat Linux 7.1 〜 8.0 の更新パッケージ。 DoS は kernel 2.4.x でのみ有効、なのかな。
2002.11.15 の ウイルスではない? “感染”するグリーティングカード に追記した。各ベンダの対応状況を追記。たいていは対応しているみたい。
SnortSnarf 021111.1 出ています。021017.1 で Snort 1.9.0 に対応しています。大澤さん情報ありがとうございます。
アクセス制御機能に関する技術の研究開発情報の募集について (経済産業省, info from [IDS-TALK 475])。
大規模なサービス不能攻撃などを再現可能な「不正パケット模倣装置」を開発 (CRL)。
ギガビット級ネットワークを埋め尽くすほどの大量の不正パケットを発生させ、DDoS(Distributed Denial of Service: 分散型サービス不能)攻撃などの大規模な攻撃を再現することが可能です。
……WebAvalanche/WebReflector のことらしいです。ふくもとさん情報ありがとうございます。
ネットオークション規制法案を衆議院で可決 業者に初の規制 (毎日) だそうです。
パスポートのオンライン申請実験 福島県がモニター募集 (毎日)。 (電子的) 申請者の本人認証ってどうやるのかな。
JPNIC News & Views vol.44【定期号】2002.11.15。 セキュリティ事業スタート! だそうです。
『チョムスキー 9.11 Power and Terror (権力とテロ)』を見て (伊藤千尋)。 内容はともかく、目が痛い。なんとかならないんだろうか。
コシダテック、肉眼では画面が見えないTFT液晶 〜専用サングラスでプライバシー保護 (PC Watch)。おもしろそうな製品ですね。
14日に住基ネット拡大法案の趣旨説明 参院総務委員会 (毎日)。 参議院情報BOX で「会議の経過」→「総務委員会」を選択すると、 「平成14年11月14日」に
行政手続等における情報通信の技術の利用に関する法律案(第百五十四回国会閣法第一〇二号)
行政手続等における情報通信の技術の利用に関する法律の施行に一〇三号)
電子署名に係る地方公共団体の認証業務に関する法律案(第百五十四回国会閣法第一〇四号)
右三案について片山総務大臣から趣旨説明を聴いた。
とありますね。
今知っておくべき危険: 最終回 セキュリティー問題に正面から向き合う 〜A.D.2002イベントレポート (INTERNET Watch)。 連載終了なんですね。みなさんおつかれさまでした。
チョムスキーにまつわる流言飛語: 池田信夫のウソ (異分子(仮) -dissident- チョムスキー・アーカイヴ日本語版)。HotWired Japan には「編集者」は不在なんですかねえ。
tinyhttpd 0.1.0 に ../ バグがあるという話。ファイル読み取りや root 権限取得が可能となるそうだ。 fix patch が示されている。
KDE Security Advisory: resLISa / LISa Vulnerabilities (kde.org)
KDE 2.1 〜 3.0.4 / 3.1rc3 に弱点。 KDE に含まれる reslisa デーモンに buffer overflow する弱点があり、 reslisa が suid root でインストールされていた場合、local user が raw socket にアクセスできてしまう。 また lisa デーモンにも buffer overflow する弱点があり、 remote user が root 権限を取得できる可能性がある。 さらに、remote user は lan:// URL を利用することにより、KDE 利用者のアカウントを取得できる可能性もある。
CVE: CAN-2002-1306
KDE Security Advisory: rlogin.protocol and telnet.protocol URL KIO Vulnerability (kde.org)
KDE 2.1 〜 3.0.4 / 3.1rc3 の KIO サブシステムにに弱点。 KDE 2.1 〜 3.0.4 のでの rlogin プロトコルと、 KDE 2 での telnet プロトコル実装に問題があり、特殊な URL を含む web ページや HTML メールなどにより、任意のコマンドを KDE 利用者権限で実行させることが可能となる。
CVE: CAN-2002-1282, CAN-2002-1281
どちらも KDE 3.0.5 で修正されている。また、 ftp://ftp.kde.org/pub/kde/security_patches/ に 3.0.4 用 patch が用意されている。
高木さんち に 2002.10.17 に公開されたもの。冒頭に情報処理学会ネタあり。 これも、情報処理学会からは何のアナウンスもされていないような気が。
匿名希望さん情報ありがとうございます。
HTML 版:
テキスト版:
「Turbolinux は問題ない」という声明。
[SECURITY] [DSA 192-1] New html2ps packages fix arbitrary code execution
[SECURITY] [DSA 191-2] New squirrelmail packages fix problem in options page
[SECURITY] [DSA 193-1] New klisa packages fix buffer overflow
[SECURITY] [DSA 194-1] New masqmail packages fix buffer overflows
[SECURITY] [DSA 195-1] New Apache-Perl packages fix several vulnerabilities
[SECURITY] [DSA-196-1] New BIND packages fix several vulnerabilities
全てのウィルス / ワーム / トロイに使用許諾契約書を! (違)
Tea Room for Conference No.1123 も参照。 どこかで聞いたような話だなあとは思っていたのだけど、office さんだったのね……。
各ベンダの対応状況。Ikegami さん情報ありがとうございます。
WORM_FRIENDGRT.B (トレンドマイクロ)
Friend Greeting application (III) (nai.com)
W32.Friendgreet.worm (Symantec)
Friendgreetings (F-Secure)
電子グリーティングカード?不要のメールを蔓延させている可能性あり!ソフォス、新たな厄介メールに対して勧告 (sophos)
sophos は「ウィルス」としては対応しない模様。
“礼儀正しい害虫”がはやりそうだ (ZDNet)。
名古屋はえぇ〜よ〜、漏曳するがね〜。関連:
報告するときは hushmail (Java やら ActiveX 動作やらが必要です) とかを使うのがいいんですかねえ。なんだかなあ。 ……って、hushmail アカウントつくろうと思ったら IE 6 SP1 が死んじゃうじゃん。なんなんだ……。 ……うーん、hushmail って日本語使えない? 添付ファイルでゴマ化すしかないかな。
3 月に流出を確認したが何の対応もしなかった、のだそうで。 素敵ですね。関連:
UFJつばさ証券の顧客リスト流出、旧東和の1万人超分 (asahi.com)
insider による攻撃、なのかな。
同社によると、データは合併直前の00年3月に旧東和のコンピューター端末機から引き出されたらしい。しかし、アクセス記録は00年3月以前分は消去されており、だれが引き出したか確認できないという。
消えてしまったのか、それとも意図して消されたのか。 log って、こんなに早く消しちゃうものなんですか?
例によっての virus mail ばらまき事件。 アナウンスものやメールマガジン的なものは、ふつうは moderate な運用をすると思うんだけど、「してませんでした」ってことなんですかねえ。 福光さん情報ありがとうございます。
住民票コード占い(ベータ版)。なるほど。水月さん情報ありがとうございます。
ボケ予防にはワイン、ビールは逆効果か (日経 BizTech)。うーむ……。
Office 2000 アップデート: Service Pack 3 (SP-3) が出たそうです。森田さん情報ありがとうございます。
Trojan Found in libpcap and tcpdump (slashdot.org)。 このパターンの流行が懸念されていましたが、2 度あることは 3 度ある、ということなんでしょうかねえ。
あ、CERT Advisory CA-2002-30 Trojan Horse tcpdump and libpcap Distributions も出てるし。
2002.11.13 の BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点 に追記した。bind 4.9.10, 8.2.6, 8.3.3 用の patch が出ています。 CERT Advisory CA-2002-31 Multiple Vulnerabilities in BIND も登場。
ダウンロードする際には e-mail address の入力が必要。
で、「個人情報の取り扱いについては、こちらをご覧ください
」
なんて書いてあるわけだが、その「こちら」の内容のなさ加減は寒すぎ。
「プライバシーマーク制度」って、どうしてこうなんですかね。
逆効果だとしか思えないのだけど……。
ジャストシステムは、今からでも遅くはないから、 「日経コンピュータ」2002.11.18 の特集 2 『顧客情報は「両刃の剣」』 あたりを読んで、何をすべきか / すべきでないか再検討したほうがいいんじゃないの? って気も。
……登録すると、「ダウンロードボタンをクリックすると、ダウンロードを開始します」とゆーページが出てきますが、ここに示される URL を直接叩けば、登録作業なんかしなくってもそのまま get できちゃいますねえ。なんだかなあ。
HPに自分の全裸画像を掲載、会社員逮捕 愛知県警東署 (毎日)。 ネットコートマン?!
JPCERT/CC Seminar 2002 のパネリストが完全公開されてますね。
Internet Week 2002 早期割引締切は明日の 20:00 ですね。
特殊な patch は不要だけど、デフォルトとは違った設定は必要なわけで。「デフォルト状態で EAL4」なわけでは決してない。
有志によってリリースされた
かんな
3.6 では「クライアントから非常に長いユーザ名を送られると、バッファオーバーフローを起こすという問題
」が修正されているそうです。
この他にも、デフォルトでは TCP 接続は受けつけない (unix domain socket のみ)
とか、実行ユーザを -u で指定できるとか、いろいろうれしい仕様になっています
(Debian GNU/Linux 由来だそうです)。
FreeBSD の japanese/Canna
はすでに 3.6 になってます。
bind 4.9.10 以前の bind 4 に 1 つ、bind 8.3.3 以前の bind 8 に 3 つの穴がある模様。特に bind 4 / 8 両方が影響を受ける "BIND SIG Cached RR Overflow Vulnerability" は、これを利用することで外部から任意のコードの実行が可能とされており、危険性が大きいと考えられる。 bind 9 にはこの穴はないそうだ。
対応するには、bind 4.9.11, 8.2.7, 8.3.4 (まだ公開されていないみたい) に upgrade するか、bind 9 に移行する。いずれの問題についても、回避するには recursion を停止すればよいそうだ。 って、「キャッシュサーバとゾーンサーバは分離して運用する」を実行している組織なら、ゾーンサーバの recursion は停止できる (停止している) はずだけど、キャッシュサーバの recursion は……。
connect24h ML の [connect24h:5103] Bind 4&8 serious vulnerabilities からはじまるスレッドでは、bind 8 では動くけど bind 9 では動かない (ので bind 9 に移行できない!) 話に発展しています。 Internet Week 2002 の DNS DAY の午後には、そういう話も出るのかなあ。 (おもいっきり JPCERT/CC Seminar 2002 とカチあってるし……)
bind 4.9.10, 8.2.6, 8.3.3 用の patch が出ています。
らむじぃさんが Vine Linux 用私家版 rpm を作っていらっしゃいます (情報ありがとうございます)。
CERT Advisory CA-2002-31 Multiple Vulnerabilities in BIND も登場しました。
Vine Linux 2.5: bind にセキュリティホール
Debian GNU/Linux: [SECURITY] [DSA-196-1] New BIND packages fix several vulnerabilities
Red Hat Linux: [ALERT] Remote vulnerabilities in BIND 4 and 8
Turbolinux: bind - 3つのセキュリティ上の問題
OpenBSD: November 14, 2002: A buffer overflow exists in named(8) that could lead to a remote
crash or code execution as user named in a chroot jail.
patch: 3.2,
3.1,
3.0
FreeBSD: FreeBSD-SA-02:43 multiple vulnerabilities in BIND [REVISED]
NetBSD: NetBSD Security Advisory 2002-029: named(8) multiple denial of service and remote execution of code
新規: NetBSD, Turbolinux。更新: FreeBSD。 2002.11.15 のところに追記・更新しておいた。
あと、bind 4.9.11, 8.2.7, 8.3.4 も出てますね。
異分子(仮) - dissident - チョムスキー・アーカイヴ日本語版。 池田信夫という人は、ほんとうにダメダメな模様ですねえ
いまごろであれですが、 samhain 1.6.3 出てますね。
CERTCC-KR 日本語版 by セコム上信越 があるそうです。nobody さん情報ありがとうございます (紹介が遅くてごめんなさい)。 (typo 修正: 今泉さん感謝)
「内部エラー:13」と表示され、アップデートが完了しない (トレンドマイクロ)。日本語環境では PC-Cillin は使えないのか……。不便やのう。
「チョムスキー 9.11」オリジナルTシャツ なんてあったのね。
Internet Explorer で履歴をクリアしても今日アクセスしたページが履歴から削除されない 。safe mode ですか……。「パソコン文化」ですなあ。
[IE6] Q323759 (MS02-047) の修正プログラムをインストールすると MSHTML.DLL でアクセス違反が発生する。
この問題は、mshtml.dll バージョン 6.0.2720.3000 において修正されました。 現在は、この修正を含んだ、より新しい Internet Explorer 6 Service Pack 1 がリリースされているため、Internet Explorer 6 Service Pack 1 以降をインストールすることを推奨します。
だそうです。
連邦地裁、米海軍の低周波ソナー配備を一時差し止め (WIRED NEWS)。 「対テロ戦争」は「戦時中」なのかな。
無気力なのはパソコンのせい? (CNET)。 感覚的にすごく同意できるなあ。
ワームを運んでしまったウイルス警告メール (CNET)。うーむ……。
強力セキュリティーの『SE Linux』に改良版 (CNET)。要注目?
ハッカーのミトニック氏の著書から「失われた」第1章がネットで公開 (WIRED NEWS)。 来年には接続できるようになるんですね。
小林さんから (情報ありがとうございます):
おそらくInterop関連でnttpcが顧客にメールを送付するために利用しているアドレス「[email protected]」が誰からも投稿可能になっていて、ウィルスが流れたりしています。
素敵ですね。
しばらく前から server において異常な core dump が発生していたのだが、 どうやら memory が腐っていた模様。交換して memtest86 で再チェック中。
麻薬戦争からテロ戦争へ 、 肥大化する米軍の秘密部隊 (tanakanews.com)。 いまそこにある (演出された) 危機、って感じ?
IDG 主催:Security Tech Update Fall/2002 Tokyo (東京国際フォーラム)。 11/27〜29、無料。
新種ウイルス「W32/Bugbear」に関する情報 (IPA ISEC)。
2002年11月8日現在、W32/Bugbearに関する相談・届出が、10月より累計で400件以上となったため、緊急対策情報として掲載しました。
だそうですが、手元ではあいかわらず Klez が圧倒的に多いですねえ。
ITセキュリティ評価及び認証セミナー開催について (IPA ISEC)。12/6、東京都文京区、無料。
コーヒー愛飲者は糖尿病になりにくい (日経 BizTech)。 7 杯/day 以上って、そもそも胃が変にならないか? 2 杯/day を越えると死亡率に有意な差が出る (多いと大きくなる) という研究結果もあったような気が。
ファムオープンソースセミナー: Linuxサーバセキュリティ[中級] 構築編 (11/28)、 Linuxサーバセキュリティ[中級] 運用編 (11/28)。 各¥12,000-、横浜関内。
いつぞやのがんばれ!! ゲイツ君で話題になっていた件かなあ。頭の痛い「仕様」ですね。こういうことがあるので、「Windows 使うときはデフォルトで管理者権限ねっ」となって、いつまでたってもセキュアにならない、と……。
やっと読んだ。いきなり「セキュリティホール memo メーリングリスト」とか出てきてびっくりした (^^;)。 個人的には、
5.4 項に示されているように、民間証明書でコード署名された、GPKI/LGPKI ルート証明書インストーラを用意する。
さらに GPKI/LGPKI ルート証明書の内容を確認したい人のために、フィンガープリントを記載したファイルに民間証明書で電子署名を施して web に掲載する。 この web page は、民間証明書を利用した SSL page で用意することが望ましい (が必須ではない)。
がいいような気が。「CD-ROM を郵送等にて配布」は、非電子的攻撃に対する耐性はあまり高くないと思うし。(もしかして、書留とかで送ってくれてるのかなあ……)
関連:
情報処理学会 第5回コンピュータセキュリティシンポジウム(CSS 2002) 発表スライド (securit.etl.go.jp)
総務省電子申請システムの欠陥問題、学会は“認定” 今後論争も (毎日)
「当学会」は、「セキュリティーについては一線の学会であ」るなら、 [memo:4606] 情処学会のどあほー! 話や Tea Room for Conference #1115 話を明確に fix しなさい。
一方、総務省大臣官房企画課の阿向泰二郎課長補佐は、(中略) フィンガープリントの表示に、民間認証機関を利用したSSLを利用することについて「仮に電子申請システムのルート証明書が、通信上で改ざんされ、改ざんされたルート証明書がユーザーのブラウザに組み込まれたとしても、電子申請システムのサイトに接続すれば、『信頼できない』としてはじかれるわけで、ユーザーは問題を認識できるはずだ」と主張。
DNS 詐称などと組みあわせることで偽サーバに誘導されるかもしれない、という認識はどこにもない模様。
■■コラム■■ 片山総務相に期待 (太田 阿利佐) (毎日)
雷が落ちたりしない限り、片山総務相には期待できないような気が……。
Viva! 住基ネット。すばらしすぎて、涙が出ます。
VeriSign、ルートサーバ移設 (ZDNet)。J.ROOT-SERVERS.NET.のIPアドレスが変更される (slashdot.jp) 話ね。
米VeriSignは11月5日夜、バージニア州北部の同社の施設の1つに置かれていた2台の「ルートサーバ」のうち1台を、別の場所に移設した……(中略)……設置場所の変更に加え、これら2台を電子的に分離し、異なるネットワークアドレスを割り当てたという。
だそうです。
それにしても、情報公開がなにもされないところを見ると、 [memo:4606] 情処学会のどあほー! の話って、いまだに2002年7月16日 の段階から進んでないんですかね。
instantssl というものがあるそうです。Lef さん、りょうわさん情報ありがとうございます。紹介が遅くてすいません。
Free Sun Alert Notifications というものがあるんですね。知りませんでした。
住基ネット,現在の穴は約10個 (slashdot.jp)。「地方自治センター側から8月に1回改善プログラムが配布されただけ
」、の「1 回」の中身は何だったんだろう。
アンチウィルスのデータも update されてないようだし、既存のウィルスを
10 匹くらいバラまくだけで被害甚大になったりしないんだろうか。
[aml 30636] 報告_住基ネット違憲訴訟裁判 とか、 京都市に住基ネットの不服審査を請求 市民団体 (毎日) なんて記事も出ています。まだまだこれからです。
Windows2000 Datacener Serverでデータベースアプリケーションのパフォーマンス低下 (Microsoft, info from 中村正三郎のホットコーナー)。
Veritest
(「最大32CPU、32GBメモリ、4ノードクラスタ環境でテスト
」)
を通過したアプリにはこの問題は発生していない、とされている。
その Veritest ですが、Oracle や Sybase って文字列がどこにも見えませんね。 IBM はちゃんと入っていて、DB2 7.2 は Datacenter Server YES になってますね。 Microsoft SQL Server 2000 - Japanese Release v.8.0 が Datacenter Server YES になってないってのは、シャレにならないのでわ……。
Security Vulnerability in the ypserv(1M) and ypxfrd(1M) Daemons
対象: Solaris 2.5.1〜9
Web-Based Enterprise Management (WBEM) on Solaris 8 Installs Insecure Files
対象: Solaris 8
On Solaris 8 An Unprivileged User may Cause a System Panic if the 0x02 Bit is Set in "kmem_flags"
対象: Solaris 8
Sun Linux/Sun Cobalt Security Vulnerability in "fetchmail"
対象: Sun Linux 5.0
TCP Reset Segment Generation Could Result in a Denial of Service Attack
対象: Solaris 2.5.1〜8
Solaris 2.5.1 はもう fix 出ないんですね……。
J.ROOT-SERVERS.NET.のIPアドレスが変更される (slashdot.jp)。 私も JANOG ML で知ったクチ。さっき更新した。
インテリジェントウェイブ、ウイルス対策ソフト「ウイルスチェイサー」を公開 (窓の杜)。いろいろ出ますね。
PE_BRID.A (トレンドマイクロ)、 Brid に関する情報 (Microsoft)。さっき手元にも来た。
米海軍サイトにセキュリティーホール発覚 (WIRED NEWS)。 Domino ねた?
JPCERT/CC Seminar 2002 (internetweek.jp) ですが、興業上 (笑)、サブタイトルを「山口英氏 vs NIRT 某氏 60 分 1 本勝負」とかにした方がいいのではないか、 という話がちらほら。
DoS 攻撃ですねえ……。 最近の mail server には anti-virus 機能が入っていたりすると思うのですが、anti-virus ソフト君はけっこう CPU を食うので、大量 mail による DoS 攻撃を受けやすかったりしますし……。
2002.11.02 の エラー:"シマンテック社の電子メールプロキシが次の理由でメッセージを削除しました。"が表示されてメールが削除される に追記した。2002.11.08 09:00 AM の LiveUpdate で修復される予定の模様。
IE 6 SP1 では、Cookie の「HttpOnly 属性」を解釈できる、のだそうだ。 HttpOnly 属性が設定されていると、JavaScript などからのアクセスが禁止される、のだそうだ。もちろん、仕様上は、だろうけど。
みなさんもご存知でしょうが、 あえてお話しておきます。これは XSS の問題を解決しません! 脆弱性を一部軽減するだけです。適切なサーバー側プログラミング技法に置き換わるものではありません。
ありませんが、小さな積み重ねがだいじですから、設定しておきませう。
明日は謎の円盤 UFO 組織関連行事のため、このページの更新はありません。
Virus Killer 北斗の拳 2003 (viruskiller.jp)。 中身は イーフロンティアと瑞星科技社(中国・北京)が提携、 アンチウィルスソフトを発売 〜日中国交正常化30周年を迎え、中国発テクノロジーが日本に上陸〜 (viruskiller.jp) というモノのようですね。
Microsoft Conference 2002/fall開幕 〜Windows .NET Server 2003が本邦初公開 (PC Watch)。 「ほぉら、ちゃんと port 135, 137〜139, 445 もデフォルトで開いてますし」 というデモは……ないのだろうな。
詐欺師や泥棒のカモにされる NASA (WIRED NEWS)。 そういえば、このまえ本屋に行ったら 日本企業はNASAの危機管理に学べ! なんて本があった。 最近の NASA はいろいろアレなので学ばない方がいいような気もするのだが。 どっちかというと ドラゴンフライ—ミール宇宙ステーション・悪夢の真実 の方が興味深いのでは、と思う。
トレンドマイクロ ウイルスバスター 2003 出ているようですね。 最新のソリューション - 全製品 にもいろいろと情報が出ているので、入れる前に読んでおきませう。
g4u ("ghost for unix") 1.8 が出たそうです。NetBSD 1.6 base だそうです。
IE 6 の詳細設定にある「ダウンロードしたプログラムの署名を確認する」 (default: off) をチェックすると、ファイルを開くときに署名が自動的にチェックされるようになり、なかなかうれしいという話。 署名があればそれを表示の上で確認ダイアログになるし、署名がなければ警告ダイアログになる。
さらに、レジストリ設定により、右クリックで「署名を確認して開く...」を設定可能だとフォローされている [memo:4938]。 .reg file: 2000/XP, 98/NT 4.0。実際に「署名を確認して開く...」を試してみると、「ファイルのダウンロード」ダイアログが 2 回 (!) 出て、そのあとで署名検証のダイアログになるようだ。
いいですねぇ演習。したいなあ。
OpenBSD 3.2 出た模様。
住基ネット参加の是非 東京・国立市が市民意向調査 (毎日)。
NEC、パソコンのACアダプタなど230万台で輸入手続ミス (毎日)。 この手のものが続きますねえ。
5th JWNTUG Open Talk in MSC 大阪 (JWNTUG)。 うーみゅ、18 名はさびしいのお。
60年代の生物化学兵器実験を認めた米国防総省、湾岸戦争時にも疑惑 (WIRED NEWS)。 NHK 特集「RADIO BIKINI」を思い出してしまった。 あれは氷山の一角なのだな……。 (RADIO BIKINI、1987 年アカデミー賞 ドキュメンタリー長編賞 にノミネートされてたんですね)
[aml 30611] Re: 住基ネットの「後門の狼」個人情報保護法案で民主党がブレ。 BBL セミナー「個人情報保護法でインターネットはどうなる?」 において、
で、どこが重要かというと、掲示板サイト (中略) だけではなく、ここの議論では Google に代表させていますが、Web 検索サイト全般が規制対象となるという論点を提示していることです (中略)。 この点、江崎氏 (小島注: 経済産業省情報政策課課長補佐) は、検索エンジンが対象となることを「認めています」。 彼は、現実には商用検索サイトの運用で opt out が採用されているということをもって、実質的な影響がないかのように書いていますが、「自主規制」により opt out を実施しているのと、「主務大臣」の監督のもと opt out を実施するのは全く効果が異なるということを無視してはいけないでしょう。 プライバシー観において鋭く対立する藤原氏と池田氏が一致しているのも、この「主務大臣」による規制です。どちらの立場をとるにせよ、主務大臣制が問題となります。
だそうです。
[aml 30595] [情報]内部告発者関連の話題。 公益通報支援センター (通称・内部告発支援センター) がオープンしたそうです。
無線LANセキュリティーの新方式『WPA』発表 (WIRED NEWS)。 調べてみたらコイツもヨワヨワでした、なんてことにならなければいいが……。
ICANN、地域代表理事の公選制を廃止へ (WIRED NEWS)。 ICANN 漂流中?
ジャストシステム、メールによる機密漏洩を防ぐ 「SEQRIA Mail」発売 (INTERNET Watch)。 ConceptBase をエンジンに利用したメールフィルタソフト、だそうで。
Windows 2000がISOのセキュリティ認定を取得 (日経 IT Pro)。 詳細: Windows 2000 Achieves Common Criteria Certification (Microsoft)。Compaq の他に DELL を使っている、のが今風。
コピーコントロール CD、「買わない」が3割 (japan.internet.com)。まあそんなもんでしょう。 たなかさん情報ありがとうございます。
AN HTTPD 1.41f が出ています。少なくとも 1.41e に「外部からファイルを削除されることがある」という問題があったようです。
Norton Internet Security 2003 において、電子メールプロキシが、正常なメールを削除してしまうという事例がある模様。原因は今のところ不明。
関連報道: 【続報】シマンテックのセキュリティソフト、正常メールを削除する不具合 (日経 BP)。
Knowledge Base が更新された。
《 原因 》
Norton Internet Security 2003 のスパム警告機能は、電子メールをスキャンする際に、メモリ上でメールの中身を展開しチェックしますが、大量の電子メールを連続して 受け取った場合に、まれにメモリ管理上の問題が発生することに起因します。
《 発生の確認されている環境 》
数日間起動しつづけているコンピュータで、メールソフトの設定によりメールサーバーに頻繁にアクセスするように設定され且つ大量の電子メールの受信を行う環境にてご使用のお客様。
大量ってどのくらいの量なんだろう。高々数日間でというのだから、1 日 10 万通くらい受信する人なんだろうか。
《 対策 》
弊社ではこの問題に対応する修復を、11月8日午前9時にインターネット経由での修復処理であります LiveUpdate によって提供する予定です。
明日ですな。SINya さん情報ありがとうございます。
いやぁ……強烈です。こんな事例が現実に存在するとわ……。
apache, bind, sendmail で種類・バージョン表示を無効にする方法。
OpenSSHについては、ソフトウェア設定による対策が現行バージョンでは行えない、さらにはソースコードのバージョン変更をすると正常に機能しなくなるため、今回は対象外とした。
だそうです。
特に、日本国内の組織が関係するインシデントについては、ぜひJPCERT/CCに連絡してほしい
ということだそうです。
いやあ、他力さん、まとめ方うまいなあ。 というわけで、次の @Random は来年 2 月上旬に開催予定の模様。 今度は時間長いぞー。
おもいっきり時期を逸していますが……。
SQL Server 7.0/2000, MSDE 1.0/2000 に弱点。認証されたユーザは、 他のユーザが作成したものも含む、全ての web タスクを削除・挿入・更新できてしまう。既に作成されている Web タスクを更新すると、その更新された Web タスクはタスク作成者の権限で動作する。これを利用すると、権限を SQL Server サービスアカウントのレベルまで上昇させることが可能となる。 CVE: CAN-2002-1145
patch があるので適用すればよい。MS02-061 patch は累積的 patch になっている。
SQL Slammer ワーム 登場にあわせて、MS02-061 patch が出し直されている。 317748 patch が含まれ、かつインストーラ形式になった。
2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。MS02-059 で解説されている。patch もある。
2002.10.02 の Windows XP の 「ヘルプとサポート センター」 の脆弱性に関する情報 に追記した。MS02-060 で個別修正プログラムが公開されている。
Windows 2000 に弱点。
Windows 2000 では、[ファイル名を指定して実行] などいくつかの場合に、 システムルートディレクトリ (デフォルト: C:\) がパスに含まれてしまう。
Windows 2000 のデフォルトでは、システムルートディレクトリを含むルートディレクトリは Everyone フルコントロールだ。
システムルートディレクトリにトロイの木馬を設置しておくと、ログオン時などに、本物のかわりにトロイの木馬が実行される。
administrator がログオンしてくれたりすると、あとはやり放題。
謝辞には Security Focus の Jason Miller 氏の名があるが、 セキュリティ・スタジアム 2002 において SecurityFriday さんもこの問題を提起され、はまもとさんが実証されている。 2002.10.19 の成果 を参照されたい。
対応としては、システムルートディレクトリの ACL を適切に設定する、が示されている。しかし、「パスにシステムルートディレクトリが含まれてしまう」事は棚上げでいいのか?
CVE: CAN-2002-1184
Windows 2000 / XP に弱点。PPTP サービスを利用している場合に DoS 攻撃を受ける可能性がある。 「Windows 2000/XP」のPPTPにバッファーオーバーフローの脆弱性〜独企業が警告 の fix。 CVE: CAN-2002-1214
修正プログラムがあるので適用すればよい。
IIS 4.0, 5.0, 5.1 に新たな 4 種類の弱点。
アウトプロセスの権限の昇格の脆弱性 (CAN-2002-0869):
IIS をアウトプロセス (IIS 5.0, 5.1 のデフォルト) で動作させている場合、
web アプリケーションは IWAM_コンピュータ名 権限で実行されるが、
攻撃者が巧妙につくられたアプリケーションをサーバーに配置し、それを実行できる場合、
local SYSTEM 権限を奪取することが可能となる。
WebDAV のサービス拒否の脆弱性 (CAN-2002-1182):
WebDAV リクエストに対するメモリ割りあてに問題がある。
特定のリクエストによって大量のメモリが割りあてられるためにメモリが枯渇し OS が異常終了してしまう。
IIS 4.0 にこの弱点はない。
スクリプトソースアクセスの許可の脆弱性 (CAN-2002-1180):
この問題は WebDAV が有効である場合にのみ発現する。
「スクリプトソースアクセスの許可」を必要とするファイル一覧に誤植 (!!)
があり、結果として .com ファイルが一覧に含まれていない。
このため、.com 実行ファイルは「スクリプトソースアクセスの許可」がなくても、書き込み権限さえあれば upload できてしまう。
IIS 4.0、5.1 にこの弱点はない。
IIS 管理ページのクロスサイトスクリプティングの脆弱性 (CAN-2002-1181):
クロスサイトスクリプティング問題が 2 つ存在する。
累積的 patch が出ているので適用しよう。 ただし、Site Server ユーザはあらかじめ JP317815 を参照しておくこと。