Last modified: Mon Apr 28 19:44:20 2003 +0900 (JST)
多分、次の更新は来年です。
2002年回顧と展望(4) 脅威増すウイルス、住基ネットで大混乱 (毎日)。いろいろありました。
「住基ネット離脱は合法」 日弁連が意見書発表 (毎日)。 後方支援になるかな。
mod_security という apache module があるそうです。 [port139ml:01672]
VirusScan 4.5.1: Windows標準のOutlook Expressを使っていて受信ボックスからメールが消えることがある (NAI)。 4.5.1 SP1 で修正されているそうですが、それでもダメな場合の回避策、なんてのも書かれているので、完全な修正ではないのかな。
ウイルスバスター2003: 「まいと〜く FAX Server 2002」との競合問題につきまして (トレンドマイクロ)。とりあえず回避策を実行してお茶を濁そう。
連載:不正侵入の手口と対策 第4回 攻撃者が侵入後に行うバックドアの設置例 (@IT)。 下手につくるよりも、 あらかじめ存在する正規アカウントを使う、方がバレにくいんだろうなあ。 ここでは ssh が例になっているが、ssh の場合の対抗手段としては AllowUsers / DenyUsers で使う (使わない) 人を明記、かなあ。
“出会い系”を使った児童買春は未成年者も処罰対象に〜警察庁 (INTERNET Watch)。元ネタ: いわゆる「出会い系サイト」の法的規制の在り方について(中間検討案)に対する意見の募集について (警察庁)。
女子児童からの勧誘が事件のきっかけとなっているものが圧倒的多数の 198 件 (93.8%)、男性 (大人) からの勧誘が事件のきっかけとなっているものはわずか 13 件 (6.2%) でした。
そういうものなのですか……。
2002.12.25 の 注意:DDoS 攻撃を行う Dynamic Trojan Horse Network ワームの蔓延 に追記した。詳細な続報登場。
Life-Cycle Guidelines: Windows Operating System Components の日本版。US 版とはちょっと違う。 たとえば、US 版では注 3 として
3. Support for all versions of Internet Explorer on Windows 98 'Gold' ended June 30, 2002.
と書かれているが、日本版では:
[3] Windows 98「ゴールド」のInternet Explorer の全バージョンのサポートは、 2003 年 6 月 30 日まで製品サポートのみをご提供します。
まるまる 1 年違います (!) が、「製品サポートのみ」で Hotfix サポートはない、というあたりがミソのようです。US 版では、そのように分離した書かれ方はされていないんですよね。
で、Windows 2000 方面を見てもわかるように、IE 5.5 と IE 6 gold はもうすぐ打ちどめです。とっとと IE 6 SP1 へ移行するか、IE 5.01 に戻しましょう (笑)。IE 5.01 は Windows 2000 ある限り保守されるようですから。 ( IE 5.01 のままにしておくと、Windows Update で「IE 6 SP1 にしろー」と出続けるのはなんとかならないんですかね……意図して IE 5.01 のままにしてあるのに)
O さん情報ありがとうございます。ところで、Mac OS 版 IE の情報は別途どこかにあるんでしょうか。 ……プロダクトライフサイクル - Macintosh 版ソフトフェア にあるそうです。サポートプロダクトライフサイクル FAQ: Macintosh 版ソフトウェア も参照。 プロダクトサポートライフサイクル のページからたどれるんですね。 O さんまたまた情報ありがとうございます。_o_
東南海・南海地震同時発生 関東から九州、津波最大12メートル−−防災会議調査会 (毎日) な話の一次発表資料。 マスメディア情報ははしょりすぎなので、関係地域に住んでいる人は目を通しておきませう。
「ウイルス・不正アクセス相談電話 年末年始の受付休止について」 (IPA)。 年末年始は自分でなんとかしましょう。
WinSCP 2.0 beta (#110) 出ています。関谷さん情報ありがとうございます。
scp と言えば、 ftpscp 0.10 (alpha) (shadowpenguin.org) というものも出ています。FFFTP と組みあわせて利用できるそうです。
[port139ml:01694] Cake shop in Yokohama。 重要な情報ですね (^^)。 なんとなく、 三月うさぎ がよさげなのかなあ。とりあえず来年だな。覚えてるかな。
samhain 1.70 が出ています。
chkrootkit 0.38 が出たそうです。 (info from リンクとか備忘録とか日記とか 2002.12.25)
ハッカーを追え: エレクトリックフロンティアの法と無秩序 (katokt 氏)。 The Hacker Crackdown: Law And Disorder on the Electronic Frontier の翻訳。 (info from リンクとか備忘録とか日記とか 2002.12.25)
北朝鮮ミサイル船拿捕とイラク攻撃 、 イラク戦争を乗っ取ったパウエル (tanakanews.com)。 いろんなカケヒキがあるようで。
そういえば、 イラク戦争 元国連大量破壊兵器査察官スコット・リッターの証言 (trc.co.jp) なんて本も出ているそうです。
携帯110番、電柱番号で現場特定 警視庁が新システム (asahi.com)。
電柱には高さ3〜5メートルのところに地名と3けたの数字が記されたプレートがある。道路標識の場合は高さ約2メートルのところに10けたの数字が記されたプレートが取りつけられている。
うーん、子供 (背が低い) や老人 (視力が低下) には見にくいかもしれんなあ。 もっと低い位置にわかりやすく (大きく) つけて頂くわけにはいかんのだろうか。って、目的外利用だからなあ。
……あ、これ、よくよく見たら東京ローカル (警視庁) ですね。 全国展開じゃないんだ。
Tea Room for Conference No.1187 で興味深い状況が進行中のようです。
solution 5597: InterScan VirusWall NT: HTTP:Windows Updateなど大きなファイルがダウンロードができない (トレンドマイクロ)。patch があるそうです。
IPA Winter 生活維新 〜ユビキタス時代の情報セキュリティ〜、2003.01.24、東京国際フォーラム、1,000円 (事前登録者・招待券持参者は無料)。 有名どころによる講演・セミナーもあるようですが、 出展の部分もおもしろいかもしれません。
クラッキング防衛大全 Windows 2000編 (翔泳社)。 まだ出てないんですね。amazon ではまだ注文できないな。
[Apache-Users 2247] Re: WinXP で動かすときのライセンス問題。 うぉう、これは……。「インターネットの情報サービス」とは IIS のことだったのか。EULA の日本語なんとかしてください > マイクロソフト。
[FreeBSD-users-jp 72676] Re: ISVW を FreeBSD で動かしたいなぁ。 稼動しているそうです。
奥天さんが、いつのまにか師匠になられていらっしゃいます。
次回のお題は「ウイルス」、 投句の締め切りは2003年1月4日までです。
締切が近いですね……。
少なくとも読売新聞という会社に対しては、見出しとは全く関係ない文字列をつけて link した方がいいらしい。これからそうするよ。 わかってない奴、とか。
procmon の出力を syslog に出し、さらに chdir も log に出す patch。 procmon は Linux 2.4.x 用の kernel module なのか……俺的には使えないじゃん。 しくしく。というわけで、ちょっと google してみたら、こんなのが出てきました。
標準コマンド (!) です。知らんかった……。
MHonArc 2.5.13 以前の HTML メール処理にクロスサイトスクリプティング脆弱性が存在。2.5.14 で修正されている他、HTML メールの処理を抑止することにより回避可能。 回避方法も示されている。 text/x-html という奴への処理は手元では行っていなかったので、早速追加。
Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc な問題が日立 JP1 の JP1/Agent for Process Management (Linux版) にあったそうで。
Linux版のJP1/Agent for Process Managementは,OSが提供するDNSリゾルバライブラリに対するパッチ対策を行なっただけでは,完全に対策できない問題がありました。
(中略)
不正なDNS応答を受信すると,該当するシステム上で任意のコードを実行したり,DoS(Denial of Service)状態に陥る危険性があります。
patch があるので適用すればよい。
うーん、
2003年は「アンチウイルスソフトを入れて、定期的にアップデートしているから安心」という図式が成り立たなくなる可能性も高い。
すでに成り立たないと思うんですが……。アンチウイルスソフトにひっかからない攻撃プログラムなんていくらでもあるし、誰でも簡単につくれちゃうわけで。
SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) や Windows .NET Serverの最終ベータ版,Win 95/NTマシンのドメイン参加を“デフォルト禁止”に (日経 IT Pro) で話題の SMB 署名に関する、わかりやすいまとめ。
samba は残念ながら今のところ SMB 署名には対応していないのだそうです。
「無線 LAN は危ない」という認識は、まだまだ広まってはいないようですね。 まあ世の中、何度言っても直してくれない人もいますから、彼らは直しただけ偉いのかもしれません。「天下の朝日」からの指摘だったから、なのかもしれませんが。
2002.12.23 の Some vim problems, yet still vim much better than windows に追記した。6.1.265 で修正されている。
もう一つの「邪悪根絶」:アメリカを査察する。 http://www.rootingoutevil.org を日々 watch していらっしゃるようです。 紹介されている Get special discounts on advance orders for U.S. terrorist infrastructure map (indymedia.org) はなかなか素敵です。もうすぐ打ちあげられる日本の偵察衛星でも、ぜひとも偵察の上情報公開して頂きたいものです。(^^)
川上さん情報ありがとうございます。
遠吠え日記 (みっきーのネットワーク研究所) によると、 不正アクセス調査ガイドが来年改訂されるようです。わくわく。著者のお 2 方にみんなではげましのおたよりを送りましょう。
ハッカーの挑戦の話が出ていますが、おもしろい本です。推理小説のように楽しめるセキュリティ本ってなかなかないと思います。って、log を読んで楽しめる種類の人でないと楽しめないかもしれませんが (^^;)。 みっきーさんもおっしゃるようにネタが古い部分がちょっとあったので、Hacker's Challenge 2 はぜひ素早く翻訳していただけるとありがたいです。 (もちろん翻訳されるのですよね? > 翔泳社さん)
NAIMSERV.EXEがCPUに高負荷をかけてしまう (NAI)。 修正モジュールがあるそうです。
Systems Management Server (SMS) 2.0 Feature Packs (Microsoft) 出ています。
米国の地方自治体、『パトリオット法』拒否を続々決議 (WIRED NEWS)。
NRAが今年のセキュリティ10大ニュースを発表 (slashdot.jp)。 ネットワークリスクマネジメント協会、なのでこういう順序なんでしょう。 しかし、なんだか伏せ字が多い top 10 ですねえ。
Mac OS X v10.2.3 への対応について (シマンテック)。最新状態なら ok なようです。
ZDNN Weekly Access Top10(2002年12月15日−12月21日) “Windows Update”が暴露したXPの脆弱性 (ZDNet)。
昨年末に登場した新OS「Windows XP」の普及元年となった2002年は、このポップアップメッセージを頻繁に見ることができた。だがその多くが、OSの機能アップよりも脆弱性を修正するものだったとは、Microsoft自身も予想しなかったのではないだろうか。
予想していたと思うに 100 クレジット。
こんなん出てますけど:
<[email protected]>: Command died with status 255: "/usr/sbin/amavis". Command output: Bareword found where operator expected at /usr/local/lib/perl5/site_perl/5.005/Archive/Zip.pm line 1255, near "`ToFileH`ndle" (Missing operator before ndle?) Bareword "ndle" not allowed while "strict subs" in use at /usr/local/lib/perl5/site_perl/5.005/Archive/Zip.pm line 1256. Can't use global @_ in "my" at /usr/local/lib/perl5/site_perl/5.005/Archive/Zip.pm line 1256. BEGIN failed--compilation aborted at /usr/sbin/amavis line 36.
狙われているのは「西ヨーロッパの商用のターゲット
」だそうです。
当社で発見した限りでは、DTHN の感染は 5000 件に満たないものです。これは最近活動している攻撃としては重大な DDoS の危険性を持つものの、Nimda や Code Red レベルの脅威には及びません。
5000 台弱 (ということなんだろう) がこのように評価される時代なのですね……。
詳細な続報: DDoS 攻撃を行う Dynamic Trojan Horse Network ワームの蔓延 (ISSKK)。更新機能もあるそうで。
2002.12.23 の Advisory 05/2002: Another Fetchmail Remote Vulnerability に追記した。Mac OS X 10.2.3 では直っていません。_o_
毎回興味深い連載でしたが、最終回なんですね。
http://garage.freebsd.pl/ にはいろいろおもしろそうなものがあるようで。
ムダが指摘される「電子政府予算」財務省の改革案も効果は“期待薄” (日経 IT Pro)。オープンソースプロダクトへのシフトを契機に、このあたりも抜本改革……なんてことになるとすごいかもしないが、カンリョーには無理かなあ。
こんなに怖い!無線LAN (日経 IT Pro)。 まあ、リスクを理解した上で使えばいいわけで。 こういうのを使いはじめると、SSL したくなったり。
VirusScanプレインストール版 旧エンジン使用時のPCトラブル「ブルースクリーン」について (NAI)。古いものを使いつづけないようにしましょう。
Windows .NET Serverの最終ベータ版,Win 95/NTマシンのドメイン参加を“デフォルト禁止”に (日経 IT Pro)。.NET Server 2003 RC2 では署名 (SMB 署名?) が常時有効になったらしい。
諜報機関なみ? ますます強力になる従業員の監視ツール (WIRED NEWS)。 あなたの会社も「1984 年」。
住基ネットで「本人確認情報保護条例案」可決 横浜市議会 (毎日)。実刑つき。
概要 : Windows 2000 の Common Criteria (共通基準) 認定 (Microsoft) が出ています。
Microsoft Baseline Security Analyzer 1.1 の 日本語ドキュメント が出ています。
卒業課題で高校のコンピューターに侵入、見事に成功 (CNN)。 SEAWorks さん情報ありがとうございます。
節電をお願い申しあげます (東京電力)。
冬の電気のご利用は、午後4時から7時の間にピークを迎えます。 節電にご協力いただきますようお願いいたします。
だそうです。素敵ですね。
……はっちさんから (どうもです):
東京電力のトップページについてですが、これって第二版ですね。
初版のほうが好感が持てましたが、お偉いさんからクレームでもついたんですかね。
初版は 東電「お話させていただきます」──トップページ全面で異例の謝罪 (ZDNet) で読めるそうです。
今日は休日じゃないんだよねえ、龍大的には。
Microsoft Java VM build 3805 以前に複数の弱点。 攻撃者は、悪意ある web ページや HTML メールを利用して、ユーザコンピュータ上で任意のコードを実行させること、などが可能となる。 MS02-052 での積みのこし分、なのかなあ。
Java VM build 3809 で修正されているので入れかえる。でも、Sun Java plug-in を使っている人は、ひきつづき使ったほうがいいと思う。
CVE: CAN-2002-1257, CAN-2002-1258, CAN-2002-1259, CAN-2002-1260, CAN-2002-1261, CAN-2002-1325, CAN-2002-1263
Windows 2000/XP に弱点。攻撃者は SMB 署名の設定をダウングレードさせ、署名なしの状態にさせた上で、署名のないデータを改ざんすることでグループポリシーを変更し、ローカル管理者を追加したり任意のコードを実行させたりすることが可能。
patch がある他、Windows XP SP1 ではすでに修正されている。
CVE: CAN-2002-1256
bulletin が改訂された。
2003/1/23: このセキュリティ情報のリリース後、このセキュリティ情報で説明された修正プログラムが Windows XP Service Pack 1 に含まれていないことが確認されました。この点を反映させ、このセキュリティ情報および修正プログラムを更新しました。
なんじゃこりゃあ……。で、新しい XP 用 patch は XP SP1 にもインストール可能、なのだそうだ。
Windows NT/2000/XP に弱点。
対話的なデスクトップのあるプロセスが、別のプロセスがタイマを設定していない場合でも、そのプロセスに対してコールバック機能を実行させることができ、ここにセキュリティ上の脆弱性が存在します。WM_TIMER メッセージを受けたプロセスが、メッセージを出したプロセスよりも高い権限で実行されていた場合、この脆弱性により、メッセージを出したプロセスはその高い権限で処理を実行することができます。
というわけで、この弱点を利用すると、local user が local SYSTEM 権限を得られる。 patch があるので適用しよう。
これは White paper: Exploiting the Win32 API. 話の fix。 http://security.tombom.co.uk/shatter.html は現在読めないみたいなので、google cache をどうぞ。 http://www.securitycentric.com/files/papers/programming/ にも何かあるようです。
CVE: CAN-2002-1230
Windows NT 4.0 用の patch が出し直されていました。 旧版では不具合が発生していたようです。 KB: 328310 - [MS02-071] Windows WM_TIMER メッセージ処理の問題により権限が昇格する。
vim 6.0/6.1 に弱点。 テキストファイルにごにょごにょ書いておくと、そのテキストファイルを vim で開いたとたんにシェルコマンドが実行されてしまう。 回避するには .vimrc などに set modelines=0 と書いておく。
vim 6.1.265 で修正されているようです。匿名希望さん情報ありがとうございます。
Patch 6.1.265 Problem: libcall() can be used in 'foldexpr' to call any system function. rename(), delete() and remote_send() can also be used in 'foldexpr'. These are security problems. (Georgi Guninski) Solution: Don't allow using libcall(), rename(), delete(), remote_send() and similar functions in the sandbox. Files: src/eval.c
しかし、6.1.265 だけだと Win32 環境でコンパイルエラーになるようです。 6.1.266 も適用しましょう。
The First VIM Worm (SecuriTeam.com)
FreeBSD http://www.freebsd.org/cgi/cvsweb.cgi/ports/editors/vim/: 2003.01.04 に Vim 6.1 patchlevel 271 になっています。
HTML 版:
テキスト版:
Fetchmail remote vulnerabilities につづく buffer overflow 問題。fetchmail 6.1.3 以下に heap buffer overflow する問題があり、悪意あるメール送信者により任意のコードを実行させることが可能。 fetchmail 6.2.0 で修正されている。
CVE: CAN-2002-1365
リンクとか備忘録とか日記とか: 2002.12.24 - 1。 なんか勘違いしていたようです。確かに、Mac OS X 10.2.3 では直っていません。 <s> で囲っておきまた。_o_
Safe.pm 2.0.7 以前が利用されている perl 5.8.0 以前で、Safe.pm による防御を突破する方法があるという話。FreeBSD ももちろん該当してるっぽいが、SA は出てませんねえ……。
Debian GNU/Linux: [SECURITY] [DSA 208-1] New Perl packages correct Safe handling
Turbolinux: perl: Safe モジュールの脆弱性
CVE: CAN-2002-1323
ports/lang/perl5/files/patch-Safe.pm と src/contrib/perl5/ext/Opcode/Attic/Safe.pm (freebsd.org)。
MySQL 3.23.53a 以前, 4.0.5a 以前に複数の弱点。remote から任意のコードを実行できるものも含まれる。MySQL 3.23.54 で修正されている。
CVE: CAN-2002-1373, CAN-2002-1374, CAN-2002-1375, CAN-2002-1376
いろいろ出てます。
[SECURITY] [DSA 207-1] New tetex-lib packages fix arbitrary command execution
[SECURITY] [DSA 208-1] New Perl packages correct Safe handling
[SECURITY] [DSA 211-1] New mICQ packages fix denial of service
[SECURITY] [DSA 213-1] New libpng packages fix buffer overflow
[SECURITY] [DSA 214-1] New kdentwork packages fix buffer overflows
2002.11.15 の KDE ネタ 2 つ の 1 個目の話。
[RHSA-2002:246-18] Updated Canna packages fix vulnerabilities
[RHSA-2002:229-10] Updated wget packages fix directory traversal bug
[RHSA-2002:222-21] Updated apache, httpd, and mod_ssl packages available
[RHSA-2002:293-09] Updated Fetchmail packages fix security vulnerability
[RHSA-2002:228-11] Updated Net-SNMP packages fix security and other bugs
Errata policy updates and product end of life
Red Hat Linux 8.0 (Psyche) December 31, 2003
Red Hat Linux 7.3 (Valhalla) December 31, 2003
Red Hat Linux 7.2 (Enigma) December 31, 2003
Red Hat Linux 7.1 (Seawolf) December 31, 2003
Red Hat Linux 7.0 (Guinness) March 31, 2003
Red Hat Linux 6.2 (Zoot) March 31, 2003
2002.11.26 の Solaris fs.auto におけるリモートからのセキュリティ侵害の脆弱性 に追記した。patch 登場。
2002.12.22 の Foundstone Research Labs Advisory - Multiple Exploitable Buffer Overflows in Winamp に追記した。official 情報を追記。
@Random/1st の一般受付がはじまっています。いまだに詳細が不明確なアヤシイ集いですが、時間とお金の都合がつく方はぜひどうぞ。
関連: 大論戦の予感 「@Random/1st」 (笑)。 料金はですね……ほんとはもっと安くしたいんですけど、ショバ代が高くてねえ。 すんません。 次はもっと安い場所を探します、はい。 SSL じゃない? 確かに……。次回までにはなんとかしたいですねえ。 安いやつで (笑)。 でもそんなので本当にいいの? って話もあるわけで……。 悩ましいところです。 domain 屋さんが SSL 屋さんもやってくれるとうれしいんですけどねえ。
Macromedia Flash 6.0.65.0 より前に弱点。 .SWF ファイルのヘッダ部分の処理に buffer overflow する弱点があり、悪意ある web サイトや HTML メール送信者により任意のコードを実行可能。
Flash 6.0.65.0 で fix されている。 最新バージョンに upgrade すればよい。
関連: Flashにいろいろ出来ちゃう脆弱性 (slashdot.jp)。
KDE 2.x, 3.x に複数の弱点。 URL, ファイル名、電子メールアドレスなどの quoting に問題があるため、攻撃者が KDE 利用者権限で任意のコマンドを実行することが可能。 KDE 3.0.5a で修正されている他、KDE 2.2.2 用の patch が配布されている。
CUPS 1.1.17 以前に複数の弱点。 最悪の場合 local / remote user が root 権限を獲得する可能性があるという。 いくつかフォローもされている (Joe Testa 氏, zen-parse 氏) が、穴があることは間違いない。
CUPS 1.1.18 で fix されているので入れかえる。 Mac OS X 10.2 以降では CUPS が標準装備されているが、 Mac OS X 10.2.3 で修正されている。
CVE: CAN-2002-1366, CAN-2002-1367, CAN-2002-1368, CAN-2002-1369, CAN-2002-1371, CAN-2002-1372, CAN-2002-1383
fix 提供期間の長さが特徴のひとつであった Red Hat Linux だが、どうやら過去のものとなるようだ。 Red Hat Linux 利用者は、今後どう対応するのか、まじめに考えたほうがよいだろう。
TCO 議論方面で Microsoft にちょっと (かなり?) 有利になるのかな。
Errata policy updates and product end of life
Red Hat Linux 8.0 (Psyche) December 31, 2003
Red Hat Linux 7.3 (Valhalla) December 31, 2003
Red Hat Linux 7.2 (Enigma) December 31, 2003
Red Hat Linux 7.1 (Seawolf) December 31, 2003
Red Hat Linux 7.0 (Guinness) March 31, 2003
Red Hat Linux 6.2 (Zoot) March 31, 2003
RealNetworks Helix Universal Server 9.0 に 3 つの buffer overflow する弱点。 patch があるので適用すればよい。
Winamp 2.81 および 3.0 に buffer overflow する弱点。 MP3 ファイルの ID3v2 タグ (Winamp 2.81: Artist フィールド、Winamp 3.0: Artist および Album フィールド) の取りあつかいで buffer overflow するため、Winamp 2.81 はクラッシュ、Winamp 3.0 では任意のコードの実行が可能。
Winamp 3.0 build #488 で修正されている。 また、現在公開されている Winamp 2.81 でも修正されている (?) ようで、 in_mp3.dll が 2.81b になっているそうだ (Richard Stanway 氏のフォロー)。
Security Fixes For Winamp: Get The Latest And Be Protected (winamp.com)。 (info from [memo:5127])
If you haven't downloaded Winamp since 12-17-2002 then you are vulnerable to the security exploit.
だそうです。
CVE: CAN-2002-1176, CAN-2002-1177
Windows XP に弱点。Windows Shell における
.MP3 および .WMA ファイルの「カスタム属性を自動的に抽出する
」処理に buffer overflow する弱点があるため、悪意ある .MP3 / .WMA ファイルにより任意のコードが実行可能。攻撃ファイルは演奏される必要すらなく、
ユーザーがそのファイル (Web ページまたはローカル ディスクのいずれかに配置されているファイル) のアイコンの上にマウス ポインタを移動するか、またはそのようなファイルが保存されている共有フォルダを開くと、この脆弱性の影響を受けるコードが呼び出される可能性があります。ユーザーがそのような HTML 形式の電子メールを開くかまたはプレビューした際に、そのメールにより、この脆弱性の影響を受けるコードが呼び出される可能性があります。
大流行した MS01-020 級の弱点のように見える。 今すぐ修正プログラムを適用しよう。
関連:
Foundstone Research Labs Advisory - FS2002-11: Exploitable Windows XP Media Files
CERT Advisory CA-2002-37 Buffer Overflow in Microsoft Windows Shell (CERT/CC)
CERT Advisory CA-2002-37 Buffer Overflow in Microsoft Windows Shell 邦訳版 (LAC)
CVE: CAN-2002-1327
関連記事を追加。
2002.12.17 の CERT Advisory CA-2002-36 Multiple Vulnerabilities in SSH Implementations に追記した。 Cisco Security Advisory 登場、その他。
アドビ電子書籍の著作権保護解除のロシア企業に無罪の評決 (WIRED NEWS)。めでたい。
安全なP2P環境の構築を研究する「セキュアP2Pフォーラム」が発足 (INTERNET Watch)。誰にとっての「安全」を追及するんだろう。
CNETの日本法人設立、1月1日より新生「CNET Japan」をスタート (INTERNET Watch)。めでたい。
うーむ……。やってきた警官自身が犯罪を犯そうとしている可能性、くらいは考慮すべきだと思うのだが……。国家の安全もいいけど、コラテラル・ダメージにされるのはねえ。
訴訟開始。 依頼したい被害者さんは 弁護団への依頼手続き (TBC プライバシー被害弁護団) を参照。 勝ち目などについては Q & A (TBC プライバシー被害弁護団) を参照。
請求額
(slashdot.jp) には「50000人がそれぞれ、うっかり(?)100万円の損害賠償請求をしてしまうと、総額500億円の請求になってしまいます
」という話が出てきますが、
参考判例
(TBC プライバシー被害弁護団)
を見る限り、10 万円/人程度は十分可能性があるわけで、その場合でも
総額 50 億円。というわけで、判決に注目。
類似訴訟が爆発的に増大する可能性、もあるよね。
(あるからみなさん手弁当でやっていらっしゃるのかもだけど)
Winwows NT 4.0 + フレッツ接続ツール Ver 2.2 + ウイルスバスター 2003 (パーソナルファイアウォール有効) 利用時にブルーサンダー発生。 回避方法としては、ウイルスバスター 2003 のパーソナルファイアウォールをアンインストールする。
長期休暇を控えて (JPCERT/CC)
年 末 警 報 (IPA ISEC)
長期休暇中のセキュリティ対策について (Microsoft)
JPCERT/CC や IPA ISEC 自体は、年末年始も活動しているんだろうか……。
日本のサイバーテロ対策技術はFBIにも引けを取らない〜警察庁熊谷氏 (INTERNET Watch)
2001年度の警察へのハイテク犯罪に関する相談件数の合計は1万7,277件となっているが、これを警察官が2,000人規模の県警の場合で考えると、県警に配置されている情報セキュリティ・アドバイザー1人が年間170件程度対応しなければならない数だという。
17277 / ((1+1+2+43)*2) = 169 ですか。県警あたり 2 名しかいないの? まあ、どんな部署でも人手は足りないのだろうけど。 (typo fixed: はせがわさん感謝)
実際の捜査は各都道府県で行なうものの、ログを保管しているISPやサーバーがほとんど東京に集中しているため、捜査を行なうたびに東京へ出張する必要性が発生し、捜査費用が増えてしまうという問題がある。さらには、多くのハイテク犯罪の場合は刑が軽いため、そのほとんどが略式命令で終わってしまい、捜査費用や労力の割には投資対効果が低いと言わざるを得ない状況とのことだ。
なるほど、確かに……。後者はともかく、前者はそれこそネットを使って cost down できないのかしらん。1 から 10 まで「各都道府県」の人間がずっとやるってのがもはやアレなのでしょう。
「政府が考える情報セキュリティー」〜内閣官房・吉原氏が講演 (INTERNET Watch)
例えばWebセキュリティーでは、改ざんされた2000年当時よりも格段に良くなったとのことだ。
そんな、「下の下」と比べても……。
NIRTは、サイバーテロなどの緊急時に対応を行なうプロフェッショナル集団で、現在17名が在籍している。17人は5人程度の3チームに分けられており、24時間365日体制で対応しているという。こちらも幸いなことに、現在のところ出番は無いとのこと。
実際にインシデントがないのか、インシデントは存在するが気がついていないだけなのか、……。
JNSAセキュリティセミナー「WEPは認証がなく同じ鍵を共用することが問題だ」 (INTERNET Watch)
802.1x 対応製品は登場してきているようですが、うまくイケたとしても認証だけですしねえ。 まあ、ないよりはるかにマシなのですが。
JNSAセキュリティセミナー、ホットスポットでのVPN利用について解説 (INTERNET Watch)
SSL や ssh (+ port forwarding) の方がお手軽かつ trouble free なのかなあ。
「緊急対応組織の連携」テーマにセミナー JPCERT (毎日)
大野氏も「住基ネットやLGWANについて無関心ということではないが、NIRTは一義的には各省庁の緊急事態に対応するもの。地方自治体で発生したものの対応については混乱している状態で、NIRTとしても今後の検討課題になると思う」と述べた。
LASDEC にも IRT は必要なのだろうが、まずはそれ以前の問題をきちんとやっていただけないと。patch あて、やってます? アンチウィルスソフトの data 更新、やってます?
IAjapan エグゼクティブフォーラム〜どうなる日本のIT!〜 って、けっこう興味深い内容だったのかなあ。
明日まで横浜。
IraqiWorm ですが、 W32/Lioten-A (sophos)、 W32.HLLW.Lioten (シマンテック) などとして、各アンチウィルスベンダーで対応されたようですね。 CERT Incident Note IN-2002-06: W32/Lioten Malicious Code (CERT/CC) も出ています。
JWNTUG Windows NT/2000/XP BOF に参加された皆さん、おつかれさまでした & ありがとうございました。
IraqiWorm (CERT/CC) とな?!
myNetWatchman Alert: IraqiWorm や "Iraq Oil" worm reverse engineering & analysis にも情報があるそうで。(info from incidents ML)
時間がないので手抜き……。
SSH Communications Security SSH や F-Secure SSH、PuTTY などが該当。 ただし PuTTY 0.53b にはこの問題はない (ので upgrade しませう)。 また、OpenSSH 3.5 以前や lsh 1.4.2 / 1.5 にはこの問題はない。
F-Secure SSH products are not exploitable via these attacks.
とか
SSH Secure Shell products are not exploitable via these attacks.
など、まぎらわしい言い方をしているので注意。 Rapid 7 Advisory R7-0009 Vulnerabilities in SSH2 Implementations from Multiple Vendors を読んでから CERT Advisory を読んだ方がよくわかると思われ。
CA-2002-36 の Vendor Info は連日改訂されている。 Cisco Security Advisory: SSH Malformed Packet Vulnerabilities が登場したり、PuTTY の情報が消えたり。 消えたことから誤解をしている人がいるようだが、VU#389665 をみてもわかるように、PuTTY 0.53b で fix されている、という部分は変化していない。
あと、SSH Communications Security と F-Secure なのだが、 親 server プロセスから fork された子 server プロセスが crash するだけで、親 server プロセスは何ら影響を受けないし、攻撃者が悪意あるコードを実行させる事もできない、としている。 影響は極めて小さいようだ。が、crash してしまうのはうれしくないだろう。
[IPS] PUTTY SSH-Client Exploit。 PuTTY 攻略用ニセ ssh サーバだそうです。
WinSCP 2.1 beta (#119) で fix されたそうです。高柳さん情報ありがとうございます。
JNSA作成キュリティ啓発CD-ROM 「ネットワーク社会のここが危ない!!」 (JNSA)。 Internet Week 2002 で配ってたりするのかなあ。
www.at-random.org の DNS がまだ古い IP address を指していますが、 さきほど変更かけました。まだ反映されてないっぽいです _o_。 ちなみに新しいサーバは こちら。 ……うぅ、BBS に post できないっぽい……。というか、……。
……ごめんなさい、私のオペレーションミスで mailto:[email protected] が届かない場合が発生しています。 うまく届かないときは、私 ([email protected]) か office さんに mail してみてください。_o_
……多分、両方とも直ったと思います。
あ、 Writing Secure Code, Second Edition (MS Press) なんて出てるんだ。
スタンフォード大学のLawrence Lessig氏が慶應義塾大学で講演 バランスの取れた著作権法が知的所有権の保護につながる (INTERNET Watch)。 その「バランス」がどこに落ちつくのかが問題だよなあ。 しばらくは綱引きがつづくのでしょう。
車のガソリン、アルコール混合に転換へ 環境省方針 (asahi.com)。 これ、低コストで導入できるの?
滋賀県議が顧問務める会社が無許可で琵琶湖埋め立て (asahi.com)。その「同社顧問の自民党県議」ってのは誰なんだよ〜 (つボイノリオの「断絶の壁」風に)。
これから増えるコピーコントロール「CPRM/CPPM」——その仕組みはどうなっている? (ZDNet)。だそうです。
くぅ、こんな状況でプレゼン資料準備できるのか?!
不正アクセス被害の検出と診断方法 (東京会場) 〜その時!囮サーバでは何がおきたか〜、2003.01.22, 東京都渋谷区, ¥50,000-。 30 名、法人受付のみ。 うーん行きたし金なし暇なし。大阪でも 2 月に予定されているそうです。
足元には気をつけよう (^^;;)。
古川:あと、セキュリティを強化させるためのHotfixのダウンロード数って日本は他の国と比較するとけっこう少ないんですね。それだけそういったことをご存じない初心者の方が多いとも言えるんですが、実は上級者の方のダウンロード数というのも意外と少なくて、これが悩ましかったりするんですね。特にシステム管理者の方などは職業柄保守的じゃないですか?保守する立場の方ですから。Windowsアップデイトなどで環境が変わってしまったりすることにネガティブになったり、Hotfixがリリースされる度に会社の全てのパソコンに反映させなくてはいけないでしょう。今後上級者向けにもTechNetのサイトなどとうまく連携して啓蒙していきたいですね。
今でもそうなんだろうか…… > ダウンロード数。
個人情報保護法案が廃案に 次期国会で修正案を提出へ (毎日)。はてさて、どうなりますか。
「総務省はNGO参加に消極的」 世界情報社会サミットで公開書簡 (毎日)。 総務省、さすがです。
Adobe Photoshop Elements 2.0 日本語版に関する重要なお知らせ (Adobe)。 日本語版 Photoshop Elements 2.0 固有の問題のようですが、豪快ですね。 なぜ気づかない……。
新着サポート技術情報 って、いつから「2002/11/28 から X 日間さかのぼって表示します」になっちゃったのかなあ。手元の環境の問題なのかなあ。 ……更紗さんちでもそうだそうなので (情報どうもです)、手元の環境の問題ではなさげ。 ……直ったようです。
http://tarikihongandou.shadowpenguin.org につながらない。困った……。
経産省,「IPアドレス認証局」に関する調査研究を開始 (日経 IT Pro)。 ドメイン屋さんが、安い、ふつうの認証局のサービスをやってくれればそれでいいと思うのだけれど……。
312496 - [IE] HTTP 圧縮を使用している Web サーバーから返送されたデータの最初の 2,048 バイトが Internet Explorer で失われる (Microsoft)。 IE 6 SP1 にすれば問題ないようで。 (info from [port139ml:01650])
solution 5530: ウイルスバスター2003: 通信速度の低下について
修正モジュールが公開されている。
solution 5537: ウイルスバスター2003: ウイルスバスター2003をインストール後、ネットワークにつながらなくなる (その2)
状況を改善する (かもしれない) レジストリ設定ファイルが示されている。
2000.09.07 の MS00-060: Patch Available for "IIS Cross-Site Scripting" Vulnerabilities に追記した。FrontPage 2000 Server Extensions for UNIX に関する話題を追記。
2002.09.28 の Smart HTML インタープリタでバッファオーバーランによりコードが実行される (Q324096) (MS02-053) に追記した。FPSE 2000 / 2002 for UNIX にはこの問題はないそうだ。
2002.12.12 の CERT Advisory CA-2002-35 Vulnerability in RaQ 4 Servers に追記した。今泉さんによる経緯と日本語版 RaQ 4 での状況の解説。 日本語版 RaQ 4 にはこの問題は存在しない。
GreedyDog 2.4 が出ています。
東京電機大学・佐々木教授「日本の情報セキュリティ教育の現状と今後」を語る (INTERNET Watch)。 うーん……業界寄りなだけでは教育は成立しないと思うんだが。 職業訓練なら別だけど。 佐々木氏はもちろんそんなことは言っていないわけだが、SEA/J という団体は、……。
脆弱性の存在確認を自動化する「OVAL」〜非営利企業MITREが発表 (INTERNET Watch)。 HFNetChk みたいなものをつくれる、ということかな。
なんだかなあ……。
[ このメールは自動的に送信されています。 ]
5月1日よりメールアドレスが変更になりました。
旧アドレスは6月末ぐらいで利用不可になりますので
アドレス帳などに登録されている方はお手数ですが、
登録の修正をお願い致します。
って ML admin 宛に言われてもねえ。 何から何に変わったのか書いてもらわナイト。
新着サポート技術情報 が 2002/11/28 から になってるのって、手元の問題なのかなあ。
マイクロソフト,Netscapeでセキュリティ情報を閲覧できない問題に対応 (日経 IT Pro)。 いまどき Netscape 4.x を使う方が悪いと思うが……。
「動かないコンピュータ」は無くならない (日経 IT Pro)。 おぉ、単行本。 が、amazon.co.jp にはかなりきびしいレビューがついている。 とりあえず立ち読みモードかなあ。
2002.12.05 の Local root vulnerability found in exim 4.x (and 3.x) に追記した。4.11 で修正されています。
「シグマリオン II」をご愛用のお客様へ(お詫びとお知らせ) (NTT ドコモ)
NTT ドコモのシグマリオン II の一部のロットに含まれる AC アダプタに問題があり、キーボードの一部が熱により変形する恐れがあるそうな。シグマリオン II をお持ちの方は確認を。水野さん情報ありがとうございます。
Cyrus SASL library buffer overflows (bugtraq)
Cyrus SASL Library 2.1.9 に buffer overflow などの問題があるという話。 patch が添付されている。また、Cyrus SASL Library 2.1.10 で修正されている。 2.1.8 以前についてはよくわからないが、1.5.28 には存在しない、とされている。
CVE: CAN-2002-1347
local user が root 権限で任意のコードを実行可能。 patch はないが、 49131: Security Vulnerability Involving the priocntl(2) System Call に回避方法がある。
MPSB02-14 - Patch available for web services denial-of-service vulnerability in JRun 4.0 and ColdFusion MX (macromedia)
Cisco Security Advisory: OSM Line Card Header Corruption Vulnerability (cisco)
複数の ftp クライアントに弱点。たとえば、ftp サーバがパス名つきのファイル名 "../passwd" を返した場合に、ftp クライアントがそれを ../passwd (親ディレクトリ上の passwd ファイル) として保存してしまう場合がある。 テストは '../' の他、絶対パス (/foo/bar)、Microsoft 形式 (..\..)、トリプルドット (...、Microsoft OS では ../.. と同じ意味になる) で行われた。
wget 1.[78].1、OpenBSD 3.0、Solaris 2.6/7 に弱点が発見されている。
Vulnerability Note VU#210409: Multiple FTP clients contain directory traversal vulnerabilities (CERT/CC)
もと記事では弱点なし、とされているが、 NcFTP Software Information for VU#210409 によると、NcFTP 3.0.0〜3.1.4 にはこの弱点があり、 3.1.5 で修正された、とされている。
Red hat: [RHSA-2002:229-10] Updated wget packages fix directory traversal bug
FreeBSD ports の ftp/wget 最新版では直っている。
Turbolinux: wget に2つの脆弱性
Turbolinux fix link 追加。
2002.11.28 の Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) に追記した。「Windowsの深刻なホール」対策で発生するトラブルを解決する (日経 IT Pro) が出た。わかりやすい。
2002.12.10 の Linux最新カーネルにデータ消失のバグ に追記した。ZDNet 版、らむじぃさんからの情報。
Security Hardening Package (SHP) パッケージ入りの RaQ 4 に弱点。 remote から root 権限を奪取可能。 この話だと思われ: Cobalt RaQ4 Remote root exploit (bugtraq)。
対応するには RaQ4-en-Security-2.0.1-SHP_REM.pkg を適用すればよい、と書かれている。 Sun Cobalt RaQ 4 Patches によると、RaQ4-en-Security-2.0.1-SHP_REM.pkg というのは、SHP を修正するのではなく、削除するもののようだ。 日本語版 RaQ 4 patch には該当する patch がないようだが、そもそも日本語版 RaQ 4 には SHP は存在するのだろうか。 ……日本語版 RaQ 4 には SHP は存在しないようです。I さん情報ありがとうございます。
[memo:5090] Cobalt RaQ4サーバのSHPを削除するパッチについての誤解について。 SHP 問題の経緯と、日本語版 RaQ 4 には SHP 自身がない旨が解説されている。 また、US 版 patch を日本語版 RaQ 4 に適用しようとした場合、SHP が存在しないので exit するとフォローされている [memo:5091]。
国内約20万件のco.jpドメインの実態調査結果レポート (NetSecurity.ne.jp)。 virtual domain とかもあるだろうから、単位は「台」ではないのでは?
Netscape 7.01 が出たみたいですね。
2002.12.06 の ウイルスバスター: メール検索機能におけるバッファオーバフロー問題につきまして に追記した。Unchecked buffer in PC-cillin が公開された。
/procによるLinuxチューニング [前編] 〜 /procで理解するOSの状態 〜 (@IT)。 ハッカーの挑戦 (shoeisha.com) の Solution 3 に proc filesystem を使う例が出てますね (p.208)。 「ハッカーの挑戦」に出てきたのは Solaris ですが。 FreeBSD 4.x だと /proc/pid/file みたい。
OpenSSL 0.9.6h、出しなおしされているそうです。 ftp://ftp.openssl.org/source/openssl-0.9.6h.BOGUS-0.9.6h.patch に patch があるそうで。
[memo:5069] トレンドマイクロ パターンファイル409。 トラブっているようです。 ActiveUpdate: パターンファイル409に更新されない問題 (トレンドマイクロ)。 ……パターン410 が出たようです。
MS純正セキュリティチェックツール「MBSA v1.1」リリース (MYCOM PCWEB)。 どのような環境で試したのかくらい書いてくれナイト。 日本語対応になるのは v2 以降だったはずだし。
Linux 2.4.20 + ext3 の環境で、特殊なモード (って何?) を設定していた場合に、ファイルシステムの umount 前 30 秒以内に保存されたファイルが消失する可能性があるという話。 デフォルト状態では発生しないそうです。
ZDNet 版: Linuxカーネルのデータ損失バグ修正。
らむじぃさんから (ありがとうございます):
デフォルトではメタデータのみのジャーナリングを行うモード(data=ordered)なのですが、マウントオプションで明示的に実データも取るモードに変更している(data=journal)場合、或いは個別のファイルに chattr コマンドの -j オプションで実データもジャーナリング対象に指定していた場合に限ります。
このモードは ext3 の中ではもっとも整合性が保てるものの、そのせいでもっとも遅くて現状ではあまり用いられていません。デフォルトの orderd の方がバランスがとれていて、現実的です。
UW IMAP 2002 以前に buffer overflow 穴があり、認証されたユーザが認証されたユーザの権限で任意のコードをメールサーバ上で実行可能だった模様。 UW IMAP 2002a で修正されているそうな。
security fix: html_quote for img alt attributes
だそうです。
Vine Linux 2.5: ●2002,12,10● w3mにセキュリティホール
Canada to send a weapons inspection team to the USA (indymedia.org)。 合州国に (化学・生物・核) 兵器査察チームを送ろう、という話。 すばらしい。はたのさん情報ありがとうございます。 興味ある方は Rooting Out Evil へ GO!
ぜひとも、ホワイトハウス地下とか、マウント・ウェザーを査察していただきたいですね。
第三回 情報セキュリティ関連の調査に関する公募 (IPA)。 締切 2002.12.16 なので、応募される方はお急ぎを。 M さん情報ありがとうございます。
OpenSSL 0.9.6h が出ています (湯(ゆ)さん情報ありがとうございます)。 こんな機能が増えたそうで:
New function OPENSSL_cleanse(), which is used to cleanse a section of memory from it's contents. This is done with a counter that will place alternating values in each byte. This can be used to solve two issues: 1) the removal of calls to memset() by highly optimizing compilers, and 2) cleansing with other values than 0, since those can be read through on certain media, for example a swap space on disk.
[Geoff Thorpe]
Norton AntiVirus / Internet Security / SystemWorks 2003 の FAQ。 NIS 2003 はデフォルトで referer 切るんですか……。
シマンテックにも、 新着サポート技術情報 (Microsoft) とか ここ一週間のあいだに更新(あるいは新掲載)されたQ & A みたいなページがあると便利なんだが……。個別製品全部追いかけるのはタイヘン。
2002.12.06 の ウイルスバスター: メール検索機能におけるバッファオーバフロー問題につきまして に追記した。コーポレート版では、5.02 のみにこの問題があるそうだ。
2002.12.06 の Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068) に追記した。深刻度が「警告 (Moderate)」から「緊急 (Critical)」に変更された。 (typo fixed: chewie さん感謝)
この話だと思われ: Potential Vuln in McAfee VirusScan 451 (bugtraq)。 VirusScan 4.5.1 SP1 (最新版) において、ダウンロードスキャンかインターネットフィルタが有効な場合、WebScanX.exe が利用される。 が、WebScanX.exe は、mswsock.dll, regemul.dll, msjava.dll, psapi.dll, setupapi.dll, browseui.dll といった DLL を、\winnt\system32 ではなく、なぜか home directory から読み込もうとしてしまう。 このため、home directory に攻撃コード入りのニセ DLL を設置できると、WebScanX.exe 動作権限 (local SYSTEM) で悪の限りを尽すことができてしまう。 Nimda ウィルスを思い出そう……この場合は local SYSTEM を取られるので、もっと悲惨な被害が発生する可能性がある。
回避方法としては、ダウンロードスキャンとインターネットフィルタを無効にし、WebScanX.exe が動作しないようにする。
修正方法については、「本脆弱点を修正したモジュールがございますので、弊社テクニカルサポートセンターまでご連絡下さい
」だそうだ。
セキュリティ fix を公開しない企業、ですか……。
2002/11/29 版 HotFix (HotFix 40) で直っているようです。
Personal FireWall を運用するにはそれなりの資金 (メンテナンスコスト含む) とそれなりのスキルが必要なわけですが、これらの調達が簡単なら苦労しないわけで。特に後者 (^^;;)。 [samba-jp:13876] Master Browser をまた、奪われてしまいました。 なんて話もありますしねえ。
技術的対策が不可能である以上、最も高度な判断を行える可能性がある「人間」による最終ライン防御を強化する必要があるわけですが、これが簡単なら苦労しないわけで (^^;;)。
住基ネットに批判の声相次ぎ実態調査へ 長野県保護審が初会合、 住基ネット拡大法案 自民有志からも「反対」声明、 住基ネット条例可決、個人情報保護を強化 東京都世田谷区 (毎日)。 拡大法案、成立したのかな? したみたい: 電子政府関連3法案が成立 住基ネット利用範囲を大幅に拡大 (毎日)。
個人情報保護法案は廃案、大幅修正し新法案提出へ 与党3党首、 個人情報保護法案 着手から3年半、批判に「廃案」「出し直し」、 個人情報保護法案 成否は修正案の内容次第に (毎日)。 さて、まともなものが登場するかどうか、……。
……お、個人情報保護与党修正案 なお主務大臣の監督権温存、 個人情報保護法与党修正案 基本原則撤廃、行政機関に罰則も (毎日)。 あいかわらずいやらしさが残っている模様。
燃え系の話について。 明間さん情報ありがとうございます。紹介が遅くてすいません。
TLUC 大忘年会2002 〜IPv6とセキュリティで年忘れ〜、2002.12.21, 蔵王ハイツ (宮城県刈田郡)、¥13,000-。温泉いーなー。 Y さん情報ありがとうございます。
OpenBSD開発者、Sunのオープンソース対応を批判 (ZDNet)。詳細版。
RealSecure Desktop Protector お試しキャンペーン実施中 (ISSKK) だそうです。 旧製品名: BlackICE Agent for Workstation だそうです。
うーん、「アンケートにご協力ください」って、協力しないという選択肢があるような書き方だなあ。
レッシグの新著「コモンズ」 (slashdot.jp)。山形氏の訳は、個人的にはどうも相性がよくない感じであれなんだけど。
Tea Room for Conference No.1155 で興味深い議論が進行中です。 世の中には、認証じゃないものを認証だと勘違いしている人がいる、ということなのかな。
proftpd
1.2.7 出たそうです。
When scrubbing secrets in memory doesn't work
問題に対応するため、Added custom memory scrubber routine
したそうです。
(info from [installer 7517])
MS02-066 にひきつづき、またもや Internet Explorer 用の累積的な修正プログラムが登場。 MS02-066 では修正されなかった、クロスドメインセキュリティ問題が修正されている模様。 今回修正された弱点は、IE 5.5 / 6 のみが対象で、IE 5.01 は関係ない。 この弱点を利用すると、悪意ある web サイトや HTML メール送信者によるローカルファイルの読み取り、既知のパス名にある実行ファイルの起動が可能になるという。 patch が出ているので適用すればよい。
関連: Notes on MS02-068, extensive downplaying of severity。 実行ファイルが起動できちゃうのに「警告 (Moderate)」でいいのか、という話。 私も、コマンド実行可能な穴は「重要 (Important)」以上に分類したほうがいいと思う。
批判を受けてか、深刻度が「警告 (Moderate)」から「緊急 (Critical)」に格上げされています。patch 自体は同じです。O さん、麗美さん情報ありがとうございます。
JP810687 - HTML ヘルプの Shortcut コマンドと WinHelp コマンドを制限する方法 も実施しておいた方がよさげですね。 しかし、EnableDefaultShortcuts.reg とか DisableAllShortcuts.reg とかのファイルって、どこにあるんですかねえ。少なくとも、私の Windows XP Professional SP1 には入っていないみたいなのですが……。
Outlook 2002 に弱点。メールヘッダの処理に問題があり、POP3、IMAP、WebDAV プロトコルを使用している場合に、「不正な形式の電子メール」によって Outlook 2002 がクラッシュしてしまう。Outlook 98 / 2000、Outlook Express にはこの問題はない。 Office XP SP2 に適用できる patch が出ているので適用すればよい。
Outlook Express のこの話もはやく直してほしいなあ。
関連: [port139:01621] Re: FYI : Windows XP の無線 LAN 機能。 結局のところ、 「無線 LAN のセキュリティなんて信用しちゃダメだ」という、いつもの結論になってしまうような……。
セキュリティ・スタジアム 2002 で得られた教訓のまとめ。
pre-login buffer overflow in Cyrus IMAP server
Cyrus IMAP Server に、login しなくても remote から攻撃可能な buffer overflow 穴がある、という指摘。 1.4 および 2.1.10 で確認した、とされている。 patch が添付されている。
Cyrus Sieve / libSieve buffer overflow
Cyrus Sieve に buffer overflow 穴があるという指摘。 Cyrus IMAP 2.1.10 もこれを利用しているので影響する。 patch が添付されている。
Cyrus IMAP Server 2.1.11 では修正されているようだ。from Changelog:
Changes to the Cyrus IMAP Server since 2.1.10
- Fixed some potential buffer overflows in the sieve code, as well as a pre-login buffer overflow in the IMAP parsing code.
- ipurge can now skip flagged messages
- Fix a problem with the flat backend and tracking new files
- Fix a problem with the memory pool routines on 64-bit machines
ウイルスバスター 2002 / 2003 の「メール検索機能」に buffer overflow 穴があった模様。修正モジュールが配布されている。
solution 5480: ウイルスバスター コーポレートエディション 5: POP3 Scanner のバッファオーバーフロー問題について (トレンドマイクロ)。 コーポレート版では、5.02 のみにこの問題があるそうだ。
Unchecked buffer in PC-cillin (bugtraq) 登場。 今回の件の詳細情報。
CVE: CAN-2002-1349
「電気亜鉛めっき」だと問題になる可能性がある、模様。 該当した場合の対策はたいへんそう。問題のない部材を使いませう。って半径 50m 以内がどうなってるのか、調べナイト……。
くぅ、ほんとうに私がやるんですか? まじですか?
NTFSの便利な拡張機能を使いこなすためのオンラインソフト (窓の杜)。 いろいろあるんですね。
Internet Week 2002 事前申込受付の締切が 12/10 17:00 までに延長されています。 予約状況。 さすがに、LAC 西本さんのは sold out になってますね。
「ワン切り」対策法成立、年内施行 (CNET) だそうです。
Windows .NET Server 2003のRC2は,12月20日にリリース (日経 IT Pro)。 まだまだ先は長そうですが……。
最近なぜか「広告出してみませんか」という問いあわせが多いのですが、ここは .ac.jp (アカデミックサイト) なので、広告は載せられないんです。 ごめんなさい。
「SunがOpenBSD開発を妨害」と非難 (ZDNet)。 差別はよくないですなあ。
「史上最大」のクレジット・カード詐欺,その手口はあきれるほどシンプル (日経 IT Pro)。e-mail で通知、は確かに便利そう。
光学迷彩が現実に (slashdot.jp)。プラズマディスプレイ……熱そう……。
ウイルス・不正アクセス届出状況 (11月分) (IPA)。 Opaserv、けっこう多いですね。
携帯メール利用し集団カンニング 一橋大の期末試験 (毎日)。 この種の攻撃の登場は容易に予想されてきたわけですが、実際に発生してしまいましたか……。
Developers Summit、 2003.02.20〜21、東京青山。21 日にセキュリティものあるそうです。
Windows XP + ブリッジ接続 + ウイルスバスター 2003 の組みあわせで、インターネット接続時にブルーサンダーになる、という話。 XP じゃない場合、ブリッジ接続じゃない場合にはこの問題は発生しない、という。
personal firewall を不用意に使ったために Master Browser を奪われて、 組織内ネットワークが混乱したりするという話。 多くの personal firewall は「外向き許可、内向き拒否」がデフォルトだと思うが、 この場合
『ブラウズマスタになりたい』と要求するだけして、拒否されても聞く耳を持たないので、本来のマスタが諦めて権限を放棄しているのではないかと推測しています。
ということになるようだ [samba-jp:13880] [samba-jp:13887]。
Microsoft Network のタコな機構は使うな、という気もしないではないが、なかなかそうもいかないのが現実というものなのだろう。
Updated version of HFNetChk now available
HFNetChk 3.86 登場、だそうです。なにかと話題の MDAC をサポートしています。
New Integrity Protection Driver (IPD) Available
対 rootkit ソフトウェア Integrity Protection Driver (IPD) 1.2 以前に存在した問題が修正されているされているそうです。 参照: Phrack 59-16, Bypassing Integrity Protection Driver (time vulnerability)。
command line sniffer だそうです。
[FreeBSD-users-jp 72376] ufs_copy (Re: disk の先頭から何セクタ使われているか どのように調べることができますか。)
-current なんてもってないので、どっかにバイナリないですかねえ。 http://people.freebsd.org/~simokawa/ufs/ にもソースしかないし。
TCP Connection Killer だそうです。
NetScreen Security Alert 51897: Predictable TCP Initial Sequence Numbers
NetScreen Security Alert 51929: 'Malicious-URL' Feature may be Circumvented Using IP Fragmentation
NetScreen Security Alert 52020: Potential H.323 Denial of Service
NetScreen Security Alerts をアンテナに追加しておきました。
Exim 4.10 以前、3.35 以前に、local user が root 権限を奪取できる穴がある、という指摘。Debian GNU/Linux Woody i386 用の exploit つき。
exim 4.11 で修正されています。from ChangeLog:
148. Minor security problem involving pid_file_path (admin user could get root) has been fixed.
HTML 版:
テキスト版:
2002.12.03 の Internet Security Systems Issues Vulnerability Disclosure Guidelines, Aligns with National Efforts For Responsible Disclosure of Security Holes に追記した。ZDNet から解説記事が登場。
solution 5459: Trend Micro Control ManagerはMDACの機能を使用していますか?
使っているそうです。
「MDACの機能をIISから利用不可能にする設定等は行わないでください
」
だそうで。
solution 5434: Trend Virus Control SystemはMDACの機能は使用していますか
使っていないそうです。
そうかー、「新たな電子政府用システムを構築する場合、より長いハッシュ値のものが使用されるのであれば、256ビット以上のハッシュ関数を選択することが望ましい
」
のか……。もうそんな時代なのね……。
RSA セキュリティ、「RC6の普及活動を一切停止
」ですか……。
で、電子政府推奨暗号リスト案に関するパブリックコメント (METI) が求められていますので、答えられる方はどうぞ。
Windows 9x/Me/NT 4.0 のサポート終了と共に、これら OS 上の IE もどんどんサポート終了になるようで。 2003.12.31 で IE 5.5 SP2 / 6 SP1 の Extended phase も終ってしまうようで。
うーむ、Support for all versions of Internet Explorer on Windows 98 'Gold' ended June 30, 2002
だったのか。あいやー。
[port139:01602] life cycle。Microsoft、恐るべし (笑)。
日本版登場: Windows デスクトップ製品のライフサイクル - Internet Explorer および他の Windows オペレーティングシステムのコンポーネント。
激化するアメリカ権力中枢の戦い (tanakanews.com)。 関連: 「ビンラディン肉声テープ」は偽物か (WIRED NEWS)。
PGP 8.0 が登場したそうです。(info from What's new about PGP)
WinSSLMiM (securiteinfo.com)。 https で中間介入 (man-in-the-middle) 攻撃を行うためのツールだそうです。
セキュリティに秘密兵器なし——Bruce Schneier氏の苦言 (ZDNet)。 いつものおことば。
ソフトの悪用阻止と人権擁護を明記した新ライセンス 〜ハッカーグループが発表 (INTERNET Watch)。 「米国のような民主国家」という文字列はなかなかアレだ。
frequently asked RC5-72 questions (distributed.net)。 RC5-72 へは version 2.9001 以降で対応されているそうです。 状況開始。
4.1.60エンジンのサポート期間変更について (NAI)。 4.1.60 エンジンを利用している場合のサポート期間が延長されている。 ただし、エンジンとは別に 製品 EOS も存在するので注意。
Problem Report kern/39502 (freebsd.org)。smbfs + scp でうまくいかない、という話。 scp が悪いらしい。(info from FreeBSD おぼえがき)
2002.11.28 の Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) に追記した。 hsj さんが IIS 5.0 用 exploit を公開。 MDAC 2.7 をインストールした後に、 MS02-008 の他、 SQL Server を動作させている場合は MS02-030, MS02-040 を適用する必要がある模様。
2002.12.02 の Canna Security Advisory Canna-2002-1: 複数の canna サーバーの脆弱性 に追記した。hsj さんが exploit を公開。
2001.07.25 以降に販売開始されたナナオ / EIZO 製品、具体的には FlexScan L365/L365-BK, L365-A/L365-BK-A, L465/L465-BK, L565/L565-BK, L565-A/L565-BK-A, L665/ L665-BK, PLACEO の一部のロットで、
コンピュータの電源を切っている、あるいはコンピュータがパワーセーブモードに入っている時に、ディスプレイの入力信号切り替え機能が「オート(Auto)」設定状態で、かつ、ディスプレイの電源を入れたままにしている状態を長期間継続させた場合
に、「ScreenManager メニューが取扱説明書で解説されているものと異なった表示になる
」「電源ボタンを押しても画面が表示されない
」などの問題が発生するという。
該当機種を利用の場合は、シリアルナンバーが該当するか否かを確認し、該当する場合は示されている回避策を実施しておこう。
修理が実施されるのは、来年 1 月下旬から、だそうだ。 半径 50m 以内にいる人がフリーダイヤルに電話してみたところ、つながらなかった模様。
富士ゼロックス株式会社製印字装置(エンジン)搭載の モノクロレーザープリンター等の無償部品交換について (2002.10.22) の話。11月19日にまたもや焼損事故が発生しているのだそうだ。 すでに 8 割が対策済みだそうだが、2 割残っている、ということでもあるわけで。 まだの人は、いそいで対策してもらおう。
@Random/ZERO に参加された方への先行予約受付中です。 Forum にも情報がありますのでお読みください。
一般の方の予約受付は 12/21 から開始の予定です。 Information を参照してください。
samba-jp の archive って更新されないのかなあ。 いや、[samba-jp:13876] からはじまる話を紹介したいだけなんですけどね。 [samba-jp:13880] [samba-jp:13882] とか。
Propolice stack protector merged in -current (openbsd-misc ML) だそうです。すばらしい。 (info from 若草 OpenBSD 友の会 ML)
ハイテク犯罪捜査の基礎知識 (立花書房) をとりあえず発注。
「将来戦闘機」の資料を電車で紛失 三菱重工社員 (asahi.com)。なさけないぞ名航……。
埼玉・深谷の4歳、歯科治療中死亡、麻酔でショック死か (asahi.com)。 さっきまで元気だったのに、 病院に行って殺されたり、半身不随にされたりする話はけっこうある。 特に、高齢での切った貼ったには危険がつきもののようで。
アレルギーというのは死につながる、という自覚のなさ加減は、たとえば半径 50m 以内の食堂にもあったりするわけで。 うどんとそばを同じところで茹でている、とか。
色が悪い 「千と千尋」のDVD交換求め弁護士ら提訴 (asahi.com)。 ついに訴訟に発展。らむじぃさん情報ありがとうございます。
千と千尋DVD色調異常で購入者が提訴 京都地裁 (毎日)。 「受け止め方の違い」だそうで。あいかわらずですなあ。 (link 先変更: 三月さん感謝)
WinSCP 2.0 beta (#99) が出ています。真船さん、白畑さん情報ありがとうございます。
確かに、「1 文字目に \」というのはなかなかなさげな気が。 \(^^)/wa-i ならけっこう強いのかな (^^;;;)。 (素の john には ok だけど、顔文字辞書を適用されるとアレかな……)
セキュリティ上の問題だからこそ、あえて詳細を公開してほしいんですけどねぇ……。
今回の取材にあたって,リクルートからは「要因を公表することで,他社などで同様のトラブルが発生する可能性もある。こういう要因が広くあると報道することが,危険性をはらんでいることも考慮していただきたい」(同社広報室)という趣旨のご意見をいただいた。
「他社などで同様のトラブルが発生する可能性」があるからこそ、詳細を広く公開し、問題をあぶり出し、各個撃破していく必要があるんじゃないのかな。 そうやってこそ、日本全体のセキュリティレベルの底上げが可能なんじゃないのかな。 何も言わなかったら問題がなくなるとでもリクルートは言うのかな。
そもそもうまくいかないんじゃないの? という意見が多いようだけど、 うまくいったとしても、対テロ戦争が口実の 1984 化計画にしか見えないし。 まぁ、パキスタン系移民に対して問答無用で人権蹂躙を行う国のやることだから、なんでもありなのかな。
たとえばトレンドマイクロのウィルスバスターは IE'en を動かなくしてしまうけれど、それが本質的な防衛になるわけではもちろんないわけで。 世の中には、たとえば Microsoft Office といっしょに動く用の IE'en ライクなもの、もあるらしいです。
図 3 は Windows NT/2000 のもののようです。 Windows XP の dcomcnfg では、コンソールルート→コンポーネントサービス→コンピュータ→マイコンピュータ を表示させ、ここで右クリックして [プロパティ] を選択すると、それっぽいダイアログが出るようです。[画像]
メルコの "AirStation" 無線 LAN アクセスポイント WLAR-L11G-L に弱点。WLAR-L11G-L 上で稼働する web サーバに GET / HTTP/1.0 と投げると WLAR-L11G-L が再起動してしまうという。
ファームウェアバージョン
1.41.180 beta3
で修正されているので適用すればよい。修正リストのいちばん最後に
「エアステーションに対して特定のパケットを送ると再起動してしまう問題を修正しました
」
と書いてありますね。
別の人が bugtraq に流したもの: Buffalo AP Denial of Service。 この人は WLA-L11G Ver.2.31 に問題があるとしているのだが、WLA-L11G 用の fix 版ファームウェアは今のところ存在しないように見えます。うーむ。
ガイドライン: http://documents.iss.net/literature/vulnerability_guidelines.pdf。通常は、30 日の猶予をくれる (ようになる?) ようです。 明日くらいには日本語版も出るのかなあ。
何が変わった? ISSのバグ開示指針 (ZDNet)
ISSはこれまでも、2日に公開したのと似たような方針に従っていたが、新しい指針には大きな変更点がある。Apacheなどのオープンソースソフトの開発者を、Microsoftなどプロプライエタリなソフトの開発元と同じように扱うという点だ。
これまでそうしていなかった、という事自体が大きな驚きなんですが……。
なさけない link ミス fix: なかのさん感謝。
Unpatched IE security holes、現在は 18 個になっています。 MS02-066 の登場でかなり減りました。それでも 18 個あるんですが。
MEMTEST for Mac OS X が出ているそうです。(info from [osx-users:0041])
@Random/ZERO に参加された方に、 @Random/1st 先行予約の案内を発送致しました。 他力さん、おつかれさまです。
登録に対するメールの送付は、完全に自動化されているわけじゃないので、気長にお待ちください。でも、あまりに遅い (48h 待っても何も返事ない、とか) ときはお問いあわせを。_o_
MSデータアクセスソフトの脆弱性、「Webサーバへの影響は小」の報告 (ZDNet)。 クライアントの方は影響大だと思う……。
おお〜。中身読めてないので「おお〜」としか言えないのがアレですが……。
Mac OS X 10.2.2 で、mkdir hoge; cd hoge; mkdir hoge; mv hoge .. すると panic になるという話。 10.1.x だと panic はしないけど上書きしちゃうそうで [osx-users:0052]。 UFS だとだいじょうぶなので HFS+ の問題なのでは [osx-users:0056] とされている。
さらに、 smb でもカーネルパニックが発生する [osx-users:0063] のだそうで。いろいろ出ますねえ。
canna 3.6 以前に 2 つの弱点。 irw_through 関数で buffer overflow が発生するため、remote から canna サーバ動作権限 (通常 canna や bin など) を奪取できる可能性がある。 またリクエストの正当性の検査に問題があり、remote から canna サーバの内部情報を取得できてしまう。
patch が示されているので適用して再構築するか、canna 3.6p1 で修正されているので入れかえればよい。
Vine Linux 2.5/2.6: ●2002,12,02● Cannaにセキュリティホール
Turbolinux: Canna: 複数のcanna サーバーの脆弱性
FreeBSD ports-current: japanese/Canna
Shadow Penguin Society じゃなくて Shadow Penguin Security の hsj さん、だと思う……。
itojun さん情報ありがとうございます。
hsj さんち に canna-3.5b2 用の exploit が出ていました。
「SSL (https) が通らないとうまくいかん」話は出てないなぁ……。