Last modified: Thu Feb 12 20:23:16 2004 +0900 (JST)
》 社内システムに「検疫所」を作りませんか? (日経 IT Pro)。Microsoft さんはそういう感じのことをやっていらっしゃるようですね…… (ちょっと違うかもだけど)。
》 [TOOL] WMIDump - Information Dumping via WMI (securiteam)。
》 【レポート】第8回 ICANN報告会 - 新たな組織像を目指して動き出すICANN (MYCOM PC WEB)。
特に途上国側は、ルートDNSサーバの管理に関するICANNとアメリカ商務省との契約が依然続いていることから「結局はアメリカが大枠を決めているのではないか」との疑いを持っており、Internetの管理をICANNではなくITUに任せるべきではないかとの意見が根強いという。
ITU ですか……なんともはや。しかし、そういう時代になったのかもしれず。
》 インターネット定点観測 (@police) の情報更新が、12 月から 1 時間おきになるそうです。
》 Mac OS Xに脆弱性--パッチはまだ手に入らず (CNET)。これって「Mac OS X の脆弱性」なんだろうか。 本来答えるべき DHCP サーバでないものからの DHCP reply をフィルタする、が答えなのでは?
patch 登場。
》 マイクロソフトの迷惑メール対策、今後の製品にスパム対策機能を導入 (Microsoft)。今後の製品にしか入れないから、欲しければバージョンアップしなさい、ということなのだろう。 それはそれとして、 結局、たとえば「Microsoft 発のメールには必ず電子署名をつけることにより、なりすましを防止する」といった方策はされないってことなんだろうか。
》 盗難通帳による払出し件数・金額等に関するアンケート結果について (全国銀行協会, info from 高木浩光@茨城県つくば市 の日記)。郵貯の場合: 郵便貯金 盗難通帳の被害は28億円 昨年度1400件 (毎日)。
この問題では、被害者の多くが「窓口確認をしっかり行えば被害は防げた」と金融機関に被害金の返還を要求。郵便局は「確認が不十分だった」として返還に応じるケースが多いが、銀行は「肉眼での印影照合で十分で、銀行に責任はない」として拒否する場合が大半だ。
この観点では「入れるなら郵貯」ですね……。 盗難時の手続き (ゆうちょ)。
》 即答 個人情報保護〜弁護士による実践的Q&A (MYCOM)。読んでおいた方がいいんだろうなあ。でも時間が……。
》 米上院、CAN-SPAM法案を可決 (CNET) だそうです。
》 Winny使用者が著作権法違反で逮捕、作者も強制捜索 (slashdot.jp)。 ACCS、つながるようになったようで: ファイル交換ソフト「Winny」を使った公衆送信権侵害を刑事摘発 (accsjp.or.jp)。全国展開して 100 人くらいガサッと一斉にやったほうが効果あると思うんだが、なぜそうしないんだろう。京都府警が「オレがイチバン」を主張したからだったりするんだろうか。
関連: ACCS、Winnyユーザー逮捕への経緯詳細を説明 〜京都府警の依頼で、送信可能化になっている著作物の同一性を鑑定 (INTERNET Watch)。
[RHSA-2003:286-01] Updated XFree86 packages provide security and bug fixes (7.1, 7.2)
[RHSA-2003:287-01] Updated XFree86 packages provide security and bug fixes (7.3, 8.0)
[RHSA-2003:286-01] Updated XFree86 packages provide security and bug fixes (7.1, 7.2)
[RHSA-2003:287-01] Updated XFree86 packages provide security and bug fixes (7.3, 8.0)
[RHSA-2003:288-01] Updated XFree86 packages provide security and bug fixes (9)
》 GNU screen buffer overflow。 screen 4.0.1 / 3.9.15 以前に buffer overflow する欠陥がある模様。 patch が添付されている。
》 [Full-Disclosure] [OpenCA Advisory] Vulnerabilities in signature verification。 OpenCA < 0.9.1.4 に複数の問題があり、0.9.1.4 で fix された模様。
》 GnuPG 1.0.2以降のElGamal鍵署名で秘密鍵が漏洩 (slashdot.jp)。 ElGamal できなくする patch: GnuPG's ElGamal signing keys compromised。
fix / patch:
》 [Full-Disclosure] FreeRADIUS 0.9.2 "Tunnel-Password" attribute handling vulnerability。 DoS 攻撃を受けるのは確実で、任意のコードの実行が可能なのかもしれないそうだ。
》 [Full-Disclosure] FreeRADIUS <= 0.9.3 rlm_smb module stack overflow vulnerability。 デフォルトでは rlm_smb はつくられないそうです。
57221 - A Vulnerability in JRE May Allow an Untrusted Applet to Escalate Privileges 。 SDK / JRE 1.4.1_04 / 1.3.1_09 / 1.2.2_016 で fix されているそうだ。 また SDK / JRE 1.4.2 にはこの欠陥はないそうだ。
57418 - Sun One Web Server Log Analyzer Vulnerability。 Sun ONE/iPlanet Web Server 6.0 SP6 以降 / 4.1 SP13 以降で fix されているそうだ。
57414 - uffer Overflow Vulnerability in the CDE DtHelp Library May Allow Unauthorized "root" Access。 T-patch というのが出てます。
》 two localhost panics。 OpenBSD fix が 2 件。
》 Linux Kernel <= 2.4.21 MXCSR Local DOS Exploitation。ついていけない……。
》 R7-0016: Sybase ASE 12.5 Remote Password Array Denial of Service。 Sybase ASE 12.5 ESD#2 以降で fix されているそうです。
》 CAN-2003-0901: PostgreSQL buffer overflow (7.2.x, 7.3.x < 7.3.4)
Microsoft Exchangeに重大なバグ--メールアカウントが公開される危険性 (CNET) として話題になった件。
Exchange 2003 および Windows Server 2003 に SharePoint Services 2.0 をインストールすると、IIS での Kerberos 認証が無効になってしまい、問題が発生していた模様。 from 832769 - [HOWTO] Kerberos 認証を使用するように Windows SharePoint Services を構成する方法:
Microsoft インターネットインフォメーションサービス (IIS) の仮想サーバーが Windows SharePoint Services で拡張されると、仮想サーバーは統合 Windows 認証 (旧称、NTLM または Windows NT チャレンジ/レスポンス認証) を使用するように構成されます。
一旦変更されると、SharePoint Services 2.0 をアンインストールしても元には戻らない。明示的に設定し直す必要がある。方法は 832769 - [HOWTO] Kerberos 認証を使用するように Windows SharePoint Services を構成する方法 参照。
また、832749 - Microsoft Exchange Server 2003 フロントエンドサーバーで HTTP 接続の再使用を無効にする方法を実行するのも有効なようだ。
黒トトロさんによる、とある「有名な住宅開発企業」の「ホームセキュリティ」システムがすごい、というか、すさまじい、という話。Naked Windows XP Embedded、って感じなんでしょうか。つづき:
しかしこのベンダー、ほんとうにだいじょうぶなんでしょうか。good luck.
PS. インターネットウォッチが要因?。でしょうね。私もそこで見つけましたし。
IE 5.01 / 5.5 / 6 にいくつもの重大な欠陥。 IE 6 SP1 + 最新 patch (MS03-048) でも再現可能だそうだ。
MHTML Redirection Leads to Downloading EXE and Executing
mhtml: URL を使ったリダイレクト機能に欠陥があるため、
攻撃者は local computer 上のファイルを読み込んだり、.exe ファイルを自動的にダウンロードさせ、実行させることが可能。
利用例: New "Clean" IE Remote Compromise。 デモコードを試すと、NAI VirusScan に「Exploit-CodeBase」だと言われた。 クリーンな Windows XP SP1 + hotfix 環境ではデモに成功した。 Qwik-Fix (最新は 0.57) を入れてあるとうまく動かないみたい。
BackToFramedJpu - a successor of BackToJpu attack
クロスドメインセキュリティが守られないため、攻撃者が my computer 権限でスクリプトを実行させることが可能。
デモコードを試すと、NAI VirusScan に「JS/Exploit-WhoFramed」だと言われた。
CVE: CAN-2003-1026
HijackClickV2 - a successor of HijackClick attack
攻撃者がクリック動作を奪い取り、いくつかの動作を自動的に実行させることが可能。
MS03-048
で修正された欠陥の亜種だそうだ。
CVE: CAN-2003-1027
Invalid ContentType may disclose cache directory
IE のダウンロード機能に欠陥があり、簡単に探知されないよう無作為に設定されているキャッシュディレクトリのパス名を知ることができてしまう。
これを利用することで、攻撃者は my computer 権限でスクリプトを実行させることが可能。表示されるダイアログで「保存」を選択すれば回避はできる、と理解していいのかなあ。
利用例:
Cache Disclosure Leads to MYCOMPUTER Zone and Remote Compromise
IE Remote Compromise by Getting Cache Location
デモコードを試すと、NAI VirusScan に「JS/Exploit-FileProxy」だと言われた。
関連: Note for "Invalid ContentType may disclose cache directory"
いずれについても、アクティブスクリプトを無効にすれば回避できる。 インターネットゾーンのアクティブスクリプトは当面「無効」に設定しておこう。 ちなみに、Unpatched Internet Explorer Bugs は 19 になってますね。
関連記事: Internet Explorerの新セキュリティホールは「極めて危険」 (ZDNet)。
2003.12 の Windows hotfix は用意されない: No Security Bulletins for December Monthly Release (Microsoft)。いつ fix されるのかは全く不明。
BackToFramedJpu と HijackClickV2 は Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004) で修正された。
》 小説仕立て? (極楽せきゅあ日記) と言われて セキュリティ管理者の憂鬱 (ISSKK) を思い出した。
》 828857 - コンピュータをシャット ダウンして再起動した場合、セキュリティ イベント ログにユーザー ログオフ イベント ID 538 が記録されない (Microsoft)。仕様です。
》 トレンドマイクロのWebページが文字化けする (トレンドマイクロ)。個人的には文字化けは経験していないが、汚なく表示されるのは何度も経験している。トレンドマイクロが、 CSS で font-family: Osaka を指定しているからだ (多分)。特定の環境 (Mac) でとっても汚なく表示されるのでやめてほしいんですよね。汚なく表示されるのが目的であるなら仕方ないのだけど。 トレンドマイクロは Mac 向け製品は出していないしなあ。
》 Creative Commons@Japan 日本の「クリエイティブ・コモンズ」の可能性 (hotwired.co.jp)。「CCjp正式ライセンス第一弾」というものが 2003.12.02 に登場する、のだそうです。 ローレンス・レッシグ教授との対話ミーティング も 2003.12.02 にあるそうです。まだ募集中のようです。 セキュリティホール memo BoF があるので私は行けませんが……。
》 大学ネットワークを利用した音楽の不正利用対策として、全国1,200国公私立大学等へ協力要請文書送付 (日本レコード協会)。
当協会では、昨日11月25日付で、全国約1,200の国公私立大学・短期大学に対して、「大学ネットワークを利用した音楽著作物の著作権及び著作隣接権侵害行為の防止」を目的としたネットワーク管理の徹底に関する協力要請文書を送付致しました。
国公私立大学・短期大学と名のつくところに、その実態がどうなっているかとは全く無関係に、「協力要請文書を送付」したということなのかな。 しかし、そんなのよりは、 たとえば大手書店の WinMX / Winny 本平積みコーナーに張りつけたりするべきなんじゃないのか?
》 バガボンドが社名変更 50%〜90%OFFキャンペーンを実施 (netsecurity.ne.jp)。 キャンペーンでは「お申込み後3ヵ月間の ご購読料金が50%OFF」「お申込みから1年間は最低購読期間」なので注意。 つまり、「個人12ヶ月 9,840円」が「個人12ヶ月 8,580円」になる、ということ。
ITR広川氏、「IPSec VPNとSSL VPNは、使い分けが必要」 〜第1回 enNetforum会合 SSL VPNセミナー 基調講演 (Enterprise Watch)
また広川氏は、便利な利点を持つSSL VPNでも、導入に際してはやはり留意点があるとする。1)対応は増えつつあるけれど、基本的にはWebベースのアプリケーションのみ対応となること、2)製品種別が多様なので、自社の必要要件、導入意図などをふまえて、製品選定に気を付けること、3)どんなものでもそうだが、盗難、紛失の場合の対策、離席中のアクセスやインターネットカフェでの利用の場合など、各ケースごとのセキュリティポリシーの徹底、の3点をあげて注意を呼びかけていた。
ベンダやSIなど9社が語る「SSL VPNはリモートアクセスの救世主か?」 〜第1回 enNetforum会合 SSL VPNセミナー パネルディスカッション (Enterprise Watch)
「SSL VPNとクライアントレスはほぼ同義でとらえられているが、これは本当だろうか」との臼井氏の問題提起に対し、(中略) 本間氏が「アプリケーションがWebブラウザベースで提供されるか、そうでないかでクライアントレスかどうかが決まる」と語った。
Webブラウザベースでない場合はクライアントレスではない、ということなのでしょう。
関連: 【特集】リモートアクセスの新潮流 SSL-VPNの導入メリット(後編) (@IT)。
》 詳報:JASDAQのシステム障害、運用マニュアルの不備が根本原因 (日経 BizTech)。 うーん、マニュアルの不備でもあるのだろうが、それよりも、 log 管理の不備、容量管理の不備、警告システムの不備、なんじゃないの?
》 イオン、米国の歯科医が考案した歯ブラシを首都圏で先行販売 (日経 BizTech)。使ってみたいなあ。
興味深いです。
民事訴訟法の条文では「署名・捺印があれば正しい文書だとされ、デジタルデータの場合にはデジタル署名があれば、同じ扱いになる」とのことで、「紙ベースとデータの文書は法律の上で扱いに違いがなくなっている」と語った。
「デジタル署名」は「捺印」のかわりであって「署名」のかわりじゃないんですけどね……。それだけだと「俺じゃない!! 機械がやったんだ!!」系で負けかねない気が。 [port139ml:04498] にもありますが、どこかでオフライン署名をしておくと確実なのでしょう。
同氏は、「物理的に残す紙ベースでの整理・保管といった“ファイリング”の考え方ではなく、データにおいては入手、作成から活用、保管、保存、管理までの一連の文書の流れを管理する“レコードマネジメント”の視点が必要になっている」と述べ、文書管理における企業の責任と、情報管理部門の必要性を語った。
電子データって形を変えて生きつづけることがあまりに容易だから、マネジメントし切れない、ことを前提としたリスクマネジメントをしナイトだめだと思うんですよね……。 DRM もの は第一歩なのでしょうが、それだけで済む話ではないだろうし……。
ほうら、やっぱり MS03-051 が見逃されてるし。 トラブル・メンテナンス速報 と 緊急レベルのセキュリティ修正プログラムについて の内容は同期させなくちゃ。後者でだけ MS03-051 が警告されているんですよね。
緊急レベルのセキュリティ修正プログラムについて は、「今一番危険なセキュリティホールは?」をページ先頭に移動させた方がよいのではないだろうか。alt 属性も設定してほしいし。画像はもうちょっと小さくてもいいんじゃないかなあ。
BIND 8.4.3 登場。BIND 8.3.7 も出てます。
Highlights (8.4.2) Security Fix: Negative Cache Poison Fix.
だそうです。対応する CHANGELOG はこれでしょうか:
1581. [bug] apply anti-cache poison techniques to negative answers.
関連:
Vulnerability Note VU#734644: ISC BIND 8 vulnerable to cache poisoning via negative responses
CVE: CAN-2003-0914
bind 9 な人には関係ない、と理解してよいのかな。
Vine Linux: [ 2003,12,03 ] bind にセキュリティホール。
NetBSD: NetBSD Security Advisory 2003-018。
》 「境界線セキュリティ」のためのWindows改訂計画が明らかに (ZDNet)。やっとと言うか、なんというか……。
》 Windows XP セキュリティ対策 CD-ROM : 入手方法 (Microsoft)。滋賀 ではジョーシンとミドリに設置されているらしい。
》 http://pc.2ch.net/test/read.cgi/sec/1068909338/208 に最近の eTrust ねたがよくまとまっている。 amazon で、というのは これ みたい。
》 おい、ブッシュ、世界を返せ!。マイケル・ムーア本。
》 クローン携帯で初提訴 (slashdot.jp)。 ふぅん、中の人なら簡単につくれるんだ。
》 セキュリティホール memo BoF を更新しました。部屋番号とか確定してます。
》 Windows Server 2003 リソースキット 導入編 (Microsoft)。これ、どうやら Microsoft Windows Server 2003 Deployment Kit (Microsoft) の邦訳のようなのですが、英語版は全部 online で公開されていたりするんですよね。Microsoft Windows Server 2003 Resource Kit (Microsoft) からいろいろたどれます。
》 ZoneLabs Software No Longer Recommended (spywareinfo.com)。「popup ウザイ」ということなのかな。
》 828012 - 外部記憶域装置への書き込み処理に時間がかかる (Microsoft)。 ふむん。(info from [port139ml:04549])
》 ITプロフェッショナルの過酷な労働実態 (日経 IT Pro)。過酷で、しかも評価されない、というのがねえ……。
》 これdo台 expert KD-2/FUL (century.co.jp)。2003.07.09 発売だったのか。知らなかった。消去機能までついてますね。(info from [port139ml:04540])
Opera ねたのつづきの話。 Opera 7.22 以前に 2 つの欠陥。
スキンファイルのファイル名として http://server/..%5c..%5c..%5c..%5c..%5c..%5c..%5..%5c..%5ccskin.zip のように指定することにより、悪意ある web サーバ管理者は zip ファイルを既知の任意のフォルダに設置させることが可能。
zip ファイルの処理において buffer overflow する欠陥があり、悪意ある web サーバ管理者はスキンファイルを利用して任意のコードを実行させることが可能。
opera 7.23 で fix されている (Changelog)。opera 7.23 の日本語版はまだないが、手元で試した限りでは、opera 7.22 日本語版に付属する日本語リソースファイル (って言うんですか?) はそのまま英語版 7.23 でも利用できた。
exploit とされているもの: Opera 7.22 File Creation and Execution Exploit (Malicious Webserver)
関連:
こんなページがあったとは。とりあえず、Mozilla 1.4 以前の人は速やかに Moziila 1.5 に upgrade しませう。ってお前だよ > 俺。
英語オリジナル: Known Vulnerabilities in Mozilla (mozilla.org)。
》 Intel製GbEカードの偽造品が出回る (slashdot.jp)。手元で最近買ったものを check したが、純正品の模様。 ほっ。
》 【特集】 導入前に知っておきたい バイオメトリクス認証(前編) 〜 バイオメトリクス認証のメリットとデメリット 〜 (@IT)
そこでICカードとバイオメトリクス認証のそれぞれの長所を活かし、これらの複合認証が実用化され始めている。特に指紋認証とICカードを組み合わせる方式はNTTデータや大日本印刷などをはじめ、多くのメーカーが発表している。
》 米国防総省、ミサイルの超音速化に着手 (WIRED NEWS)。非核弾道ミサイル、にしか見えないのだが……。
》 「サイバー犯罪一掃作戦」で100人以上の逮捕者 (ZDNet)。サンデビル作戦、のようなことにはならないんですよね?
続いて11月14日には、国内の治安維持を担当する秘密警察部門「シンベット」の4人の元長官たちが連名で、シャロン政権のパレスチナ人に対するやり方を強く批判し「早くパレスチナ側と和平を結ばない限り、イスラエル国家はいずれ破綻する」と断言した。(中略) シンベットの元長官たちの提案は逆に「イスラエルを守るために和平交渉が必要だ」という理論になっており、画期的である。
11月22日のロサンゼルス・タイムスによると、米軍は半年前にイラクの占領を始めてから、検問所のまわりの車止めの置き方から、ゲリラ犯人の捜索で住宅街の家を1軒ずつ立ち入り調査し、住民を尋問するときのやり方まで、多くのノウハウをイスラエルから教えてもらっている。
》 米CAによる、「eTrust EZ Armor」の無償提供に関する日本国内での対応について (CAJ)。
一般ユーザ向けデスクトップ用アンチウイルス、およびファイアウォール・ソフトウェアの統合製品「eTrust EZ Armor」は、日本国内での取り扱い対象外製品であり、現在のところ、国内でリリースする計画、および一般ユーザ向けに無償提供を実施する予定はありません。
》 電子政府にほど遠く…国家公務員、4割が現金で給与 (読売)。日本政府って、まだこんなことやってたんですか。 バカですか?
》 ネットウイルス新対策実施へ (NHK)。 「ネットワークに著しい障害が起きる可能性がある場合、と判断した場合」というレベルなら、既に独自判断で実施している ISP はあると思うのだが……。
》 学内の Nachi さわぎはようやく終息してきているようだ。 今回ありがちだったのは
Windows 2000 / XP を再インストールして、そのまま放っておきました
とかいう状況。「proxy な環境では自動更新が機能しない」という状況がこれに拍車をかけている、と思う。まあ、この手の人の場合「アンチウィルスソフト入れてませんでした」というオマケもついているので、Microsoft だけの責任ではないのですが。
Apache 1.3.29 および Apache 2.0.48 で
場合に、Apache がクラッシュしてしまう模様。 回避方法としては、CookieName Apache のように、明示的に CookieName を設定すればよい。 Bug 24483 には Apache 2.0.48 用の patch も示されている。
セキュリティ hotfix の強烈な副作用の数々の解説。 郵便番号変換ウィザードについては、[memo:6662] MS03-050と郵便番号変換ウィザード 以下のスレッドも参照。
補助記憶装置さえ確実に破壊できればいいわけで。スキルの低い人から漏曳することを考えると、下手にソフトものを使うよりは、 ハードディスク・クラッシャー (NEC フィールディング) のような「スイッチ一発」ものがいいですかねえ。やっぱり手元にも揃える必要があるかなあ。 PC 本体をそのままクラッシャーに設置できると作業的にはもっと楽なんだろうけど、50 万どころじゃなくなるよなあきっと……。
QTFairUse - QuickTime AAC memory dumper (nanocrew.net) を使うと、RAW AAC という形式のファイルが取り出せるのだそうです。 で、RAW AAC からいろんなものに変換できるらしいです (info from slashdot.jp 440216)。 QTFairUse のコンパイルには MinGW と MSYS が必要なのだそうです。
関連: iTunesのコピー防止技術を破るプログラムが登場 (ZDNet)
832270 - スクロールバーの空白部分をクリックすると画面スクロールが正しく行われない につづく、 MS03-048 の副作用の話。
怒涛の書き込み……
ポイントカードの場合は、「そもそもポイントカードなんて使わない」「記録してほしくないモノを買うときはポイントカードを使わない」という選択ができるだろう。でも「そこらじゅうに RFID が埋め込まれている世界」でそのような選択が可能になるのか? というと、それは疑問だろうなあ、と思う。
それにしても、goo って……。
fix / patch: に Mac OS X、Hitachi Web Server、Opera の情報を追記。
Tea Room for Conference に「ACCSのユーザ様、ファーストサーバー森川氏作のcgiをご利用になり情報を入力された全てのユーザ様への謝罪」という文書が掲載されている。
ファースト鯖 144- (2ch.net)。 特に 152-154 は興味深い。
》 総務省研究会、量子情報通信の早期実現施策 (毎日)。ふぅむ。
》 securenet.jp というドメインがあるのですか……。
最も考えられるのは、配信を妨げるようなネットワークトラブルが発生していることですが、送信先コンピュータの電源が切られていることや、送信先コンピュータでは現在メールシステムが実行されていないことも考えられます。
そうなんですか……。
》 [aml 36663] 暴力に訴える者は支持を得ることが出来ない。ざぶとん 3 枚。
》 ハンセン病回復者とふるさとをむすぶ から、 ハンセン病人権問題 (Yahoo! Japan)、特集 ハンセン病 (くまにち.コム)。 差別というものは、自動的になくなったりはしないんですよね……。
》 イスタンブールで連続爆破テロ 英総領事ら26人死亡 (asahi.com)。「対テロ戦争」はテロを激化させる、という指摘が以前からありましたが、いよいよ現実化してきた、という感じなのでしょうか……。
》 大学・研究機関における情報セキュリティマネジメント、2004.01.30 (金) 13:30-17:00、大阪市立大学文化交流センター。 日本ソフトウェア科学会非会員の一般参加者は 6,000 円。 上原先生情報ありがとうございます。
龍大は、↓を見てもわかるように、マネジメントできてませんね……。 あまり縛ると研究の自由度が減るだろうし、かといって「良識に委ねる」と「そんなものはない」ことが明らかになるし、むつかしいですねえ……。 全研究室・実験室をどさまわりして、かたっぱしから設定してまわるしかないのかなあ……。
》 なんだか学内ネットワークの調子がおかしい。 とりあえず、赤福オフの前日に某氏に指摘され、管理部門に報告したにもかかわらずいまだに直っていなかった点については再度報告しておいた。今回はちゃんと問題の存在を認識した模様なので、そのうちに対処されるだろう。でも、今発生している問題は、必ずしもそれとは関係ないような気がするんだよなあ……。
…… Nachi だったようです。いまごろ Nachi かよ……何度も警告してるのに…… (T_T)。 とある先生のところには Windows 2000 gold (!) なんてものがゴロゴロ転がっていた、ことが判明してびっくり。鬱だ……。
FireWire 800対応ディスクドライブをお使いの皆さまへ、重要なお知らせ が更新されています……が、3rd party link はぜんぜんないなあ。 やまざきさん情報ありがとうございます。 (遅くてすいません)
追記:
記述・構成を大幅に変更。Visual InterDev RAD Remote Deployment Support について へのリンクを追加。
Debian Project で使われている機械
が、この 24 時間以内にヤラレた模様。いくつかのサービスは、停止したり別の機械に移されたりしているそうだ。
すでに mirror されている、アナウンス直前の Debian GNU/Linux 3.0 (woody), release 3.0r2 は、このヤラレには影響されていないことが確認されているそうだ。
……と書いている間に日本語アナウンスが: [debian-announce:00040] 複数の Debian Project マシンへのセキュリティ侵害 (compromise) について (debian.or.jp)。 In particular は「特に」じゃなくて「具体的には」なんじゃないかなあ。じゃないと、「ほかのマシンに移動しています」との整合性が取れないだろうし。
張さん情報ありがとうございます。
関連: Debianサーバ攻撃--未知の脆弱性を突かれたか? (CNET)。続報に要注目、の模様。
欠陥詳細: Linux kernel do_brk() lacks argument bound checking。
ヤラレ状況詳細: Debian Investigation Report after Server Compromises。
tools:
RISwhois - IPv4/IPv6 Address to Origin Mapping (ripe.net)。興味深いですね。
[Full-Disclosure] New version of ike-scan (IPsec IKE scanner) available - v1.5.1
Osiris 2.1.0
使い方は整合性チェックツール Osiris を使う (ヽRノ日記) を参照。やっぱりヽRノ日記ですね。
documents:
セキュアOSに関する調査研究会 (総務省)。なかなか香ばしい議論が行われているようで……。
IIS 6.0 Resource Kit と IIS 6.0 Resource Kit Tools ですか……。 IIS 6 自体、まだまともにいじってないからなあ。
》 米ブッシュ政権、上院にサイバー犯罪条約の締結を迫る (CNET)。ほほぅ。
》 Linuxセキュリティ クックブック —システム防御のためのレシピ集 (オライリー) という本も出るんですね。
》 マスタリングTCP/IP SSL/TLS編 という本が出るそうです。SSL and TLS: Designing and Building Secure Systems の邦訳だそうで。もぐらさん情報ありがとうございます。
》 [aml 36647] 【再送】UMRCのドラコビッチ博士初来日:アフガニスタン戦争での劣化ウラン/ウランによる汚染・被害の実態 調査報告集会。 11/21 広島、11/23 大阪、11/24 東京。1,000 円。
ウラニウム医療研究センターUMRCは (中略) アフガニスタン住民の尿から通常の200倍に及ぶ高濃度のウラニウムを検出し、広範囲の人々が深刻な汚染に曝されたことを明らかにしました。
》 [port139ml:04512] 任意のSID設定。 NewSID (sysinternals.com) で可能だそうです。
ちゃんと Mac OS 10.2.8 と Mac OS 10.3 用が揃った、あたらしい fix の登場です。 とりあえず apple はやくそくを守っているようで、それは偉いのですが、 [harden-mac:0548] によると、明記されていない safari の更新が含まれているそうです。 undocumented な変更、は困りますねえ。
Red Hat, Debian fix 追記。CVE: CAN-2003-0730。
実は opera 7.22 では直り切っていない模様: ペンギンもオペラを嘆く (::operash::)。
CookieMonsterFix (hetima.com) 1.0.1 が登場しました。Mac OS X 10.2.x (safari 1.0) にも対応されているそうです。
》 電波タグで児童生徒の登下校情報をメールで配信 (slashdot.jp)。すごいなあ。サービスだそうで。
》 セキュリティ・ホールを突くコードが既に出現,4件目の“超特大”を解説する (日経 IT Pro)。XP 用の MS03-043 新 patch は、結局 Windows Update では出てこないんですよねえ。出てきてくれた方がありがたいんですが……。 あとテストツールですが、Nessus plugin ID 11921 の議論を参照、という話があるようです。
》 IDプライバシーBoFとか (高木浩光@茨城県つくば市 の日記)。温泉で酒飲みながら、とかがいいのかなあ……。
》 アクセス制御機能に関する技術の研究開発情報の募集について (経済産業省)。「情報の募集」だそうで。
》 通路に机、仕事は読書 転籍断り社内隔離7カ月でうつ病 (asahi.com)。ファンケルってそういう会社なんだ。すごいねえ。健康食品も売ってるらしいですよ。 配慮欠いたが報復ではない ファンケル取締役の話 (asahi.com):
そんなにひどい席とは思わない。
まあ、そういう会社ってことなんでしょうね。
》 Kerberos: The Definitive Guide (oreilly.com) ですが、現在 Kerberos Notes for Japanese の桑村さんを中心に翻訳作業が行われているそうです。我妻さん情報ありがとうございます。
》 IW2003 Security Day、ふと気がつくと時間が 20:00 までになってるし……。 memo BoF を 12/02 にしておいて本当によかった (ポリアンナ)。
》 eTrust EZ Armor Security Suite FREE for 1 year (my-etrust.com) だそうです。 (info from [port139ml:04509])。 関連: MS、CAのウイルスソフトを1年間無償提供 (ZDNet)。
》 SecurityFocus Newsletter 第 218 号 を手元の sendmail 8.12.8p2 が弾いていたようだ。いまごろ案内が来て気がついた。
553 5.0.0 Header Error
ん? と思ってよく見てみると、Message-ID: が 2 つある。ふしぎ。
Message-ID: [email protected]
Message-ID: <[email protected]>
bugtraq-jp 本家アーカイブから読もっと。第 219 号も出てるし:
》 内部ネットワークセキュリティ対策セミナー、2003.12.08 東京都中央区、無料。
safari 1.0 / 1.1 に、Netscape 6.2 以前 / Mozilla 0.9.6 以前と同様の、cookie が漏曳する問題があるのだそうです。Mac OS X 10.3 (safari 1.1) では CookieMonsterFix (hetima.com) を利用して回避できるそうですが、Mac OS X 10.2.x (safari 1.0) ではうまく動かないそうです。現在対応作業中だそうです。 それまでは、Mac OS X 10.2.x では、Mozilla 1.5 などを利用した方がよいのでしょう。
CookieMonsterFix (hetima.com) 1.0.1 が登場しました。Mac OS X 10.2.x (safari 1.0) にも対応されているそうです。
関連: 『再掲:SafariにCookieが漏洩する脆弱性』と同様の脆弱性を持つであろう、WebKitを使用しているアプリケーションに関しての一時的まとめ (リンクとか備忘録とか日記とか@はてな%暫定公開中&練習中)
official fix 登場:
Safari ではなく、もっとおおもとである Foundation.framework が修正されたようです [harden-mac:0572] [harden-mac:0573]。
パソコンのメールマガジンの配信を希望された平成14年10月17日現在の会員の方々の個人情報が流出し、その数は18万2780名が最大であるものと判断いたしました。
この結論に至った理由が詳細に記載されていて興味深い。残念ながら流出経路までは特定できておらず、法執行機関による調査待ちの模様。
匿名希望さんから情報をいただいた (ありがとうございます)。
Your mail was rejected.
DM対策の為フリーメール系からのメールは受け付けておりません。
(yahoo, hotmail, lycos, 等々)
受信したくないなら別に受信しなくてもいいが、それをわざわざ ML 管理者に毎度毎度伝える必要がどこにあるのだろう……。
》 Weekly SOC Report (ISSKK)。MS03-049について、ということで。
》 セキュリティな話題 で、Port139 ケーキオフ (赤福オフ) と Network Security Forum 2003 でのプレゼン資料を公開しました。また、Port139 ケーキオフページからは音声つきのものを参照できます。
》 大切なのはトラブル・ゼロよりトラブル後 (日経 IT Pro)。「予想できないものは防ぎようがない」「システムの安定稼働と顧客の信頼は別」。 金言だなあ。
》 Liberty Alliance Project、シングル・サインオン仕様最終版など公開 (日経 BizTech)。
》 832270 - スクロールバーの空白部分をクリックすると画面スクロールが正しく行われない (Microsoft)。 MS03-048 の副作用の話。2 ページスクロールの他にも副作用が。
》 「プロバイダ責任制限法」に残る、これだけの課題 (ZDNet)。なかなかむつかしいですねえ。
》
ソフテック、高木浩光氏と共同開発したセッション管理自動検証ツール
(INTERNET Watch)、NEWS HEADLINE
ソフテック、Webアプリのセッション管理脆弱性検査ツール「WebProbe」発表 (MYCOM PC WEB)。価格は98,000円(1カ月利用ライセンス)から
だそうです。
》 Webアプリケーションに潜むセキュリティホール 第7回 Webアプリケーションの検査(3) 〜 攻撃されないためのセッション管理の検査方法 〜 (@IT)。
》 サブウィンドウ開くウェブページは特許侵害!? (slashdot.jp)。電波な人が電波な特許を取得し電波な主張をしてさわぎになっているのかな。 電波な特許を取得させたのはこの方々だそうで。
》 佐久間氏と市民との対話 (benli, info from 真紀奈17歳さん)。
着手金50万円、成功報酬100万円くらい出せば、面白いからやってみようと言う若手弁護士は幾らでもいそうだし、CCCDを再生してCDプレイヤーが壊れてしまったという人をネットで集めてしまえば、そのくらいは何とかなると思うんですけどね。
150 万あれば CCCD に鉄槌を下せるかもしれないわけですね……。 1 人 1 万として 150 人。
で、話は 輸入権の導入? 輸入権について(続き) に続く、と……。
》 マイクロソフトが早稲田と“提携”、セキュリティ分野の人材を育成 (日経 BizTech)。この手のことをやろうとすると「大学が専門学校になってしまうのではないか?」なんて議論が出てきたりするのだけど、早稲田さんではそのあたりはどんな感じだったのだろう。あと、UNIX / Linux 原理主義者対策、とか。
OpenBSD 3.4 以前に欠陥。ibcs2 コードに stack overflow する欠陥がある。 これを利用すると、OpenBSD 3.3 以前では local user が root 権限を奪取できる? exploit: [1] [2]。 OpenBSD 3.4 では DoS になるようだ。
patch:
■展示・書籍販売のお知らせ (11/17)
今年は会議センター3Fのオープンスペースで、協賛企業・その他関連団体による展示を実施すると共に、出版社による書籍販売も実施いたします。
おぉ書籍販売。ぜひ「インシデント・レスポンス」も平積みしてほしいところですね。 って、翔泳社さんはいらっしゃるのかしら。
》 [aml 36605] 国会議員名簿 ver20031109。何かのときに役に立つ?
》 [aml 36640] 【やはりサマワで劣化ウランが使用された】明日、藤田氏(慶応大)イラク調査報告を聴くつどい。 2003.11.18 東京都渋谷区、一般 500 円 / 学生 300 円。
》 IT法大全 (日経 BP)。よさげらしい (from [connect24h:6736])。
》 警鐘●SQLインジェクションによる不正アクセスに注意 (日経 IT Pro)。
》 DAYS JAPAN、チラシと振込用紙を送付したとの mail あり。年間講読料金は 8,700 円。
》 京都府・丹後の加悦町で11月18日に講演します (tanakanews.com)。天橋立の近くのようです。
》 【(・∀・)イイ!!】eTrust【信頼】 (2ch.net)。 eTrust Antivirus v7 for Windows Promotional Version というものが話題になっているようで。
パターン 678 問題はパターン 680 で対応されたそうです。
時代は 2004 ですが……。
最近精力的に活動されている Liu Die Yu 氏による、まだ patch がない IE 穴のまとめ。 MS03-048 を適用しても、まだ 11 個ある模様。
「ハイテク犯罪に対処するための刑事法の整備に関する諮問」 (法務省) に対する、日弁連の意見書。
必要なことは全て書かれていると思いますし、周辺の法律の解説書としてもよくできているように思います。趣旨だけ読んでもあまりおもしろくないので、ぜひ全文を読みましょう。
で、諮問 (法務省) のあと答申 (法務省) が 2003.09.10 に出てますが、
程度、のように見えます。なんじゃこりゃ……。
ちなみに、答申の「第一」がそのまま法律になったら、セキュリティホール memo とセキュリティ関連 Mailing List アーカイブは閉鎖することになると思います。セキュリティホール memo メーリングリストを維持するのも困難かもしれません。
Windows XP 用修正プログラム話に追記。 英語版の MS03-043 ページでは、version 2.2 (2003.11.14) でこの件が追記された。
「ゲストアカウントが(Exchange 5.5/2000で)有効になっていれば、たとえログインに失敗しても、ゲストアカウントは何でもできる状態にあるため、メール送信が可能だ。サーバをセキュアにするあらゆる手を打ったと思っていても、依然としてスパム業者に対してオープンだ」
ゲストアカウントを無効にすればよい模様。 方法: KB 251149: [XIMS] ルーティングの制限に関係なく Guest アカウントを使用してメールを中継できる (Microsoft)。
ベンダって何だろう。たとえば FirstServer はベンダになり得るのだろうか? フリーソフトウェアを開発している個人は?
》 Security Warrior って、どういう本なんだろう……。 (info from けんのぼやき)
O'Reilly をのぞいてみて、 Kerberos: The Definitive Guide という本が出ていたのに気づく。でもどうして表紙が Kerberos じゃないんだろう。
》 うぇぶんるい でこのページを測定できるようになったそうです。lumin さん情報ありがとうございます。 しかし、たとえば 2003.10 を試してみると、どうして「Category: 暴力/暴言/冒涜:220 オタク:200」になるんだろうなあ。「株・先物取引:25」というのも気になるなあ。
追加:
FrontPage 2000 Server Extensions, FrontPage Server Extensions 2002, SharePoint Team Services 2002 に 2 つの欠陥。
Visual InterDev RAD Remote Deployment Support に含まれる fp30reg.dll に buffer overflow する欠陥がある。 これを悪用すると、remote から IWAM_machinename 権限で任意のコードを実行できる。
この欠陥は Visual InterDev RAD Remote Deployment Support をインストールしていない場合には発生しない。Visual InterDev RAD Remote Deployment Support をアンインストールすれば回避できる。 Visual InterDev RAD Remote Deployment Support については Visual InterDev RAD Remote Deployment Support について に情報をまとめてみたので、こちらも参照されたい。
CVE: CAN-2003-0822。 詳細情報: Frontpage Extensions Remote Command Execution。 exploit: Microsoft Frontpage Server Extensions fp30reg.dll Exploit (MS03-051)。 手元の Windows 2000 SP3 + FPSE 2000 + Visual InterDev RAD Remote Deployment Support でも再現できました。
これまでもたびたび欠陥が発見されている「SmartHTML インタープリタ」に DoS 攻撃を受ける欠陥がある。
CVE: CAN-2003-0824
patch があるので適用すればよい。ただし、FrontPage Server Extensions 2002 用の patch は Windows Update では適用されないので、該当者は注意されたい。 SharePoint Team Services 2002 は Office Update すると適用される。 なお、Windows 2000 SP4 を適用してある場合は、この欠陥は存在しない。 また、Windows 2000 SP4 および「MS03-051 patch KB810217 を適用した Windows 2000 gold 〜 SP3」では Visual InterDev RAD Remote Deployment Support をインストール / アンインストールできなくなってしまっているようだ。
UNIX 版 FrontPage Server Extensions については不明。 もし情報が出るとしたら、現在 FrontPage Server Extensions for UNIX をサポートしている Ready-to-Run Software のページ http://www.rtr.com/fpsupport/ に記載されるはず。ちなみに、MSDN の FrontPage Server Extensions のページ はもやはメンテナンスされていないように見える。
KB: 813360
記述・構成を大幅に変更。Visual InterDev RAD Remote Deployment Support について へのリンクを追加。
Ready-to-Run Software 公式見解: pdate on "Microsoft Security Update 813360, ref MS03-051": (rtr.com)。「UNIX versions for the Microsoft FrontPage 2002 Server Extensions」 にはこの欠陥はないそうだ。FrontPage 2000 Server Extensions for UNIX については何も語られていないことに注意。FrontPage 2000 Server Extensions for UNIX はもはや維持されていないので、利用者は FrontPage 2002 Server Extensions for UNIX に移行した方がいいだろう。
》 連載:インシデントレスポンスはじめの一歩 第6回 証拠保全のために正規のバックドアを用意する (@IT)。 シェルも特製なものを用意した方がいいのでしょうね。 static link で、.cshrc とかは一切読み込まず、.history とかも書かないような奴がいいのかな。 現場に走れるのなら telnet よりはシリアル接続の方がいいような気もするけど、Windows だとそうもいかないのかな。
本当は、ふつうの workstation みたいに、システムダンプスイッチがあるといいんでしょうねえ。まあ、ダンプを解析できる環境があるのか? という話はありますが。
》 ブラウザプラグイン特許、再審査が決定 (ZDNet)。はてさて、どうなりますか。
》 NEC,夜間にPCの電源を入れパッチを一括適用するソフトを発表 (日経 IT Pro)。各社とも、patch インストールに特化したものを出してきていますね。値段が同じくらいなら、あとはベンダーの技術力勝負かなあ。
》 HylaFAX Format String Vulnerability (Fixed) (securiteam.com)。 HylaFAX 4.1.8 で fix されているそうです。
Opera Directory Traversal in Internal URI Protocol (Advisory)。opera:/ URL を使うと localhost 上の既知パス名の任意のファイルにたどりつける模様。Opera 7.22 で fix されている。
Opera Skinned : Arbitrary File Dropping And Execution (Advisory)。 Opera がサポートする Opera 固有の MIME タイプ (例: application/x-opera-skin) を使ってファイルをダウンロードさせると、このファイルが既知パスに設置される。Opera Directory Traversal in Internal URI Protocol (Advisory) を組みあわせれば、……。 Opera 7.22 で fix されている。
Opera Skinned & Opera Directory Traversal (Additional Details & a Simple Exploit)。 サンプルコード。
実は opera 7.22 では直り切っていない模様: ペンギンもオペラを嘆く (::operash::)。
》 Update Your Copies of HijackThis and CWShredder (アダルトサイト被害対策の部屋)。 Windows 98/Me + 古い HijackThis / CWShredder + スパイウェア YAHOOSubst でシステム破壊の可能性がある、そうです。
》
書籍について (極楽せきゅあ日記)。
アチラでは、たとえば
Incident Response Second Edition: Computer Forensics [DOWNLOAD: ADOBE READER]
というものもあるんですね。Most publishers do not allow Adobe e-books to be printed
だそうですが。
》 悲劇からの復旧——9.11ディザスタリカバリを振り返る の SEC/FED ですが、SEC は U.S. Securities and Exchange Commission、FED は The Federal Reserve のことのようです。 また元ねたは Interagency Concept Release: Draft Interagency White Paper on Sound Practices to Strengthen the Resilience of the U. S. Financial System (sec.gov) だそうです。 KJM さん、Kobayashi さん情報ありがとうございます。
》 若手・中堅社員に急増--突然死・過労死から身を守る (日経 BizTech)。気をつけましょう。
》 罠にはまったアメリカ (田中宇の国際ニュース解説)。
》 ファミマ・クラブ会員の皆様へ 大切なお知らせ (ファミマ)。Sasaki さん情報ありがとうございます (紹介が遅くてすいません)。 関連: 督促通達書 (極楽せきゅあ日記、コメントも参照)。こないだ、っていつなんだろう。
》 [free-memo:288] BoF 開催決定 2003.12.02 18:00-20:30。 Internet Week 2003 でセキュリティホール memo の BoF を実施します。 お時間のある方はぜひご参加ください。
》 「平成15年5月中旬から9月上旬までの間の低温及び日照不足による災害についての激甚災害及びこれに対し適用すべき措置の指定等に関する政令」について (防災情報のページ)。3,000 億円ですか……。 (おおぼけ fixed: asap rexx さん感謝)
》 死角はないのか?リモート・アクセスの新定番「SSL-VPN」 (日経 IT Pro)。 個人的には ssh + socks5 で間にあってるからなあ……。
Oracle による深刻度表記: 1 (「非常にリスクが高くあまり専門的な知識がなくても攻撃が可能であるもの。影響が及ぶ製品に対して緊急(最も高い優先度)にパッチの適用または回避策の実施が必要です」)。
Oracle9iAS Portal 9.0.2.3.0 以前、3.0.9.8.5 以前に欠陥。 Oracle9iAS Portal へのリクエスト URL に対して SQL injection 攻撃が可能。 この結果、remote から認証なしで Oracle9i 上のデータにアクセスすることが可能となる。
回避策はない。patch があるので適用すればよい。また OracleAS Portal 9.0.4 にはこの欠陥はない。関連:
》 SNS Advisory No.70 tsworks "Expand the Attachment" Buffer Overflow Vulnerability (LAC)。 tsworks 3.1 で修正されている。
》 SNS Advisory No.69 Eudora "Reply-To-All" Buffer Overflow Vulnerabilty (LAC)。 Eudora 5.1-Jr3 (日本語版) / 6.0 (英語版) で修正されている。
》 アダルトサイト被害対策の部屋から:
》 [Full-Disclosure] SRT2003-11-06-0710 - IBM DB2 Multiple local security issues。IBM DB2 version 7 / version 8 には local buffer overflow や format string 穴があり、しかも suid root でインストールされるので、local user が root 権限を得られる、のだそうだ。Fixpak 4 (v8) / Fixpak 11 (v7) というもので修正されるのだそうだ。
「ある個人の方」は office さんですね。 Tea Room for Conference No.1613 と No.1612 も参照。 関連:
Tea Room for Conference No.1613-1。うーむ。 8 月の案内 の時点では旧 CGI の最新版からは既に欠陥は排除されていたのだろうが、旧 CGI の特定の版に欠陥があって修正され、さらに抜本的に改善されたのが新 CGI であることは、この文面からはわからないですねえ。
匿名希望さんから情報をいただいた (ありがとうございます)。
http://slashdot.jp/comments.pl?sid=133390&cid=435775 に記載されている「今年の8月にファーストサーバより利用ユーザ宛に以下のメールが届いている」の全文は、こういうものだったそうだ。 なので、少なくとも、 Tea Room for Conference No.1613 にある
また、今年には構造をまったくかえたCGIを新規にリリースして、該当のCGIの使用をやめるように指導しておりました。
は正しくないようだ。
さらに話はつづく。匿名希望さんによると、
office氏とファーストサーバーのやり取りの中にあった「ユーザーに対して危険性を告知して、入れ替えをお願いした」というのは事実無根であるようです。
というのもACCSが今回の件について記者会見することになったときに、ファーストサーバーは脆弱性のある旧CGIを利用しているユーザーのスクリプトを強制的に入れ替え作業を行っているからです。
つまり、危険性を認知していたとしたらその段階で入れ替え作業が可能だったわけですし、知らなかったとしたらoffice氏に伝えたことは全て虚偽の報告であることになります。
しかも、この入れ替え作業を行ったことについてサイト上では一切の報告がなされていません。
うーむ……。Tea Room for Conference No.1613 には
該当のCGIにつきましては、弊社でも脆弱性(洗浄不足)を認識しており、昨年末にお客樣へ通知の上、対応版をリリースし、
とあるが、ファーストサーバーはなぜこのときに総入れかえをしなかったのだろう。また「お客樣へ」行った「通知」の内容はどんなものだったのだろう。 さらに、利用者に対するアナウンスがされていないというのは、どういうつもりなんだろう。
Tea Room for Conference に「ACCSのユーザ様、ファーストサーバー森川氏作のcgiをご利用になり情報を入力された全てのユーザ様への謝罪」という文書が掲載されている。
ファースト鯖 144〜 (2ch.net)。 特に 152-154 は興味深い。
Windows 2000 / XP に欠陥。Workstation サービスに buffer overflow する欠陥があり、remote から local SYSTEM 権限で任意のコードを実行可能。 UDP 138/139/445, TCP 138/139/445 のフィルタリングや Workstation サービスの無効化によって回避できる。 Windows NT 4.0 / Me / Server 2003 にはこの欠陥はない。
修正プログラムがあるので適用すればよい。
Windows XP 用の修正プログラムは MS03-043 と共通。ただし、MS03-043 修正プログラムの古い版 (2003.10.16 配布開始) にはファイルの一部が正しくインストールされないという問題があった。これは新しい MS03-043 修正プログラム (2003.10.30 配布開始、デジタル署名のタイムスタンプが 2003.10.22 9:50:05 のもの) では修正されているそうだが、新しい MS03-043 修正プログラムは Windows Update や自動更新では更新できない。 また、新しい MS03-043 修正プログラムではインストールするファイルのバージョンも 5.1.2600.1301 から 5.1.2600.1309 へ変更されており、新しいものをインストールしないと HFNetChk / MBSA によるファイルチェックでエラーになってしまう。 というわけで、新しい MS03-043 修正プログラムを取得した上で、個別に適用する必要がある。
2003.11.17 追記:
英語版の MS03-043 ページでは、version 2.2 (2003.11.14) でこの件が追記された。 Frequently Asked Questions の「Why is Microsoft reissuing this security update?」以下を参照。 日本語版 MS03-043 ページについては、まだ改訂されていない。 対応作業をしている最中なのかなあ。
しかし、英語版 MS03-049 では「MS03-043 参照」としかなっていなくて、MS03-043 修正プログラムが更新されている話がうまく見えていない、というのは問題だなあ。
関連: Microsoft、Windows XP用セキュリティ修正プログラムを再リリース (INTERNET Watch)。
Windows 2000 の場合は MS03-043 修正プログラムを適用していてもダメなので、 MS03-049 修正プログラムを新規に適用すること。
CVE: CAN-2003-0812。 KB: 828749
追加:
MS03-043 version 2.2 (2003.11.14) 話を追記。
追記:
Windows Update の他に Office Update も必要です。
Internet Explorer 用の累積的なセキュリティ更新 (824145) (MS03-048)
対象: IE 5.01 SP2〜SP4、IE 5.5 SP2、IE 6 gold / SP1。 IE 5.01 SP2〜SP4 は Windows 2000 でのみサポートされる。 今流行っている ADODB.Stream ものの攻撃を止められるようになるのかな。
CVE: CAN-2003-0814 CAN-2003-0815 CAN-2003-0816 CAN-2003-0817 CAN-2003-0823
MS03-048 ページには NEC PC98x1 用の修正プログラムが掲載されていないけれど、Windows Update からは get できるそうです。麗美さん情報ありがとうございます。
関連:
Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
対象: Windows 2000 / XP。詳細はこちら。
Microsoft Word および Microsoft Excel の脆弱性により、任意のコードが実行される (831527) (MS03-050)
対象: Word 97 / 98 / 2000 / 2002、Excel 97 / 2000 / 2002。 Word 2003 / Excel 2003 にはこの欠陥はない。
Microsoft FrontPage Server Extensions のバッファオーバーランにより、コードが実行される (813360) (MS03-051)
対象: FrontPage 2000 Server Extensions, FrontPage Server Extensions 2002, SharePoint Team Services 2002。 詳細はこちら。
まとめページ:
関連:
》 spamする無線ルータ (slashdot.jp)。 ルータではないですが のスレッドが興味深かった。
》 顧客情報洩れ洩れメール の件、取締役名でおわびメールが来てました。 でもなんだか From: がアレ。
》 SELinux for Japanese Users から、Red Hat 9 用と Fedora Core 1 用のインストールパッケージが公開されています。
》 MSの「Virtual PC 2004」がRTMに、価格の大幅引き下げでユーザー開拓 (MYCOM PC WEB)。 official press release: Microsoft Releases Microsoft Virtual PC 2004 to Manufacturing To Ease Customer Migration to Windows XP (Microsoft)。 個人的には、無線 LAN まわりがどうなっているかに興味があるのだが……。
》 ドコモのFOMAで誤通知および誤課金の不具合が発生 (INTERNET Watch)。
交換機に依存するため、FOMAユーザーだけに発生する可能性があり、ムーバ(PDC)ユーザーにおいては発生しない。
そういえばクローン携帯話はその後どうなっているんだろう。 山崎はるかさんは、クローン携帯の真相は「誤課金」なのではないか、と指摘されていらっしゃったが……。
》 ポップアップをブロックするIE 6.05がWindows XP SP2でデビュー (日経 IT Pro)。個人的には web バグ対応機能もほしいのだが……。
FireWire 話に追記: A special message for Firewire 800 disk drive users (Apple)、FireWire 800対応製品をお使い方へ重要なお知らせ (ヤノ電器)。
》 情報セキュリティ教育の現状と課題 (日経 IT Pro)。 ふつうの人向けには Web Based Training ……はいいのだけど、そのへんにあるものって、WBT の中身の品質がけっこう低かったりしません?
》 「セキュリティ監査」入門 第 1 回: セキュリティ監査と効果的な管理策 (日経 BP)。世の中には「情報資産」なんて言葉が通じない相手もいるわけですが、……。
》 MS、Windows XP WPAサポート修正プログラムを公開 (MYCOM PC WEB)。WPA な人は適用しておきましょう。
》 悲劇からの復旧——9.11ディザスタリカバリを振り返る (ZDNet)。
SEC/FEDは、クリティカルな企業に対しバックアップデータセンターをニューヨーク市から200〜300マイル離すことを求めるガイドラインを策定しており、9.11の教訓に基づいたものとなっている。
SEC/FED って何だろう。日本の場合は「同時に地震が起きそうにない」という条件を追加する必要があるんだろうなあ。
》 @IT実践セキュリティセミナー レポート (@IT)。 「脆弱性公開から脅威拡散まで平均3カ月程度の余裕期間」というのはもはや通用しないような気がする。
》 Microsoft Windows Server 2003 への対応状況 (トレンドマイクロ)。
》 A.D.2003 に行ってきました。 次回も同じ小屋の予定のようですが、個人的には「酒なさすぎ」「質問しにくすぎ (マイク遠すぎ) 」は解決してほしいなあ。特に前者 (^^;;)。缶ビールは悲しすぎ。 スクリーンが大きくて見やすいのは good だったですが。 パイプイスなので痔が悪くなる……のは仕方ないんだろうなあ。 ほとんど床状態の 2F 席よりはよっぽどマシだったのでしょうが。
個人的には、お昼〜夜でもいいんじゃないかなあと思ったり。 いや、トシなだけなんですが。
とりあえず、staff & 参加者のみなさん、おつかれさまでした。
》 無線タグ使い、書籍の万引防止実験へ JPO (毎日)。プライバシー問題に関する実験も行われるのかなあ。
Virtual Disk Driver 3.1。bug fix だそうです。
HijackThisログの解析例 (4) (アダルトサイト被害対策の部屋)。
XSS 脆弱性検証支援ツール たりくろす (他力本願堂本舗)
》 BNFLは、米国の核兵器製造を手助けする (美浜の会)。 戦争を続けるために。
》 「Whoisデータベースが、個人情報の盗難を助長」:人権擁護団体が警告 (CNET)。
》 XP環境で「検索」を実行するとマシンの動作が極端に遅くなる。 (NAI)。アーカイブの検索をやめましょう、だそうです。
》 AOL、ウイルスメール遮断が5億通に (ZDNet)。 アンチウィルスサービスをやってる大手プロバイダーはみんなこんなかんじなのかな。
》 狙われたLinuxカーネル——「指紋照合」で不正変更を検知 (ZDNet)。侵入者はソースを変更したが、ソースの digital signature データベースの変更を怠ったので発見できた、ということなんだろうか。
》 Mac OS X 10.2.8はどう危険なのか?Remake。 今問われているのは Apple の姿勢であって、それ以上でもそれ以下でもないと思うのだが。技術的にどうこう、コミュニティがどうこうという話をして読者をミスリードさせたいのなら別だけど。
》 スパム発信元にDoS攻撃する「攻性防壁」 (WIRED NEWS)。誤爆だらけになるのがオチだろうから、やめといた方がいいと思うけど……。
》 JPCERT/CC、セキュリティ予報のためのインターネット定点観測システム (INTERNET Watch)、 定点観測ならではの予防情報を——JPCERT/CCがいよいよ「天気予報システム」開始 (ZDNet)。IODEF 対応による他組織との連携、はキーポイントのひとつのようです。
》 IIJ Technical WEEK 2003 という催しがあるのですね。 今日は "Application & Security" のお話だそうです。 残念ながら、当日券はないようですね。
「フリーフォームなどで作成した特定の OfficeArt の図形を含む」Office 2003 の文書ファイルに対して、
と、文書ファイルが壊れてしまう場合がある模様。Office 2003 用の patch があるので適用しよう。
》 Welcome to my SpywareInfo account (spywareinfo.com)。興味深いです。
》 [aml 36451] WTO交渉意見交換会 in 関西11月8日。大阪市北区、500 円。
》 サイバー犯罪条約批准ネタ (極楽せきゅあ日記)。 特殊開錠用具の所持の禁止等に関する法律 (ron.gr.jp) との関連で考えると、最低でも「業務その他正当な理由による場合を除いては」なんて文句があってしかるべきような気がする。
》 米マイクロソフト、ウイルス犯人逮捕に25万ドルの懸賞金 (CNET)、Microsoft、ウイルス作者の情報に賞金25万ドル (ZDNet)。いいお値段ですねえ。
》 Security Bulletin Search (Microsoft) が More Comprehensive, Flexible になったのだそうですが、日本語版 にはまだ反映されていないようです。というか、反映される予定ってあるんだろうか。
》 JPCERT/CC インターネット定点観測システムを稼動開始 セキュリティ予防情報をネットワーク・システム管理者向けに提供 (JPCERT/CC)。やっと出た出た出たマ〜ン (死語)。情報提供開始は 12 月だそうで。(typo fixed: やまざきさん感謝)
》 Binary Security Updates for FreeBSD (daemonology.net) というものがあるんですね (info from FreeBSD Update が 4.9-RELEASE の自動更新サポートを開始 (slashdot.jp))。ports についても対応しているのかなあ。OS だけのような気がするけど。
Mac OS X 10.3 および Mac OS X Server 10.3 に付属の「Terminal」アプリに欠陥があるそうだ。詳細不明だが、「Terminal」アプリから権限を越えたアクセスが可能になる模様。Mac OS X 10.2 以前にはこの欠陥はない。 patch が出ているのでソフトウェアアップデートで適用すればよい。
CVE: CAN-2003-0913。 古暮涼氏による邦訳版: [harden-mac:0542]。
CUPS 1.1.18 以前における CUPS の IPP サポートに欠陥があり、remote から CPU 100% 状態 (busy loop) にできてしまう模様。CUPS 1.1.19 では直っている模様。
Oracle による深刻度表記: 2 (「中程度のリスクがあり、攻撃には専門的な知識を必要とします。上記1ほど緊急ではありませんが、パッチの適用または回避策の実施が必要です」)
Oracle Collaboration Suite (OCS) リリース 1 に付属する Oracle Files 9.0.3.1.x, 9.0.3.2.0, 9.0.3.3.5 以前に欠陥。
場合に、Oracle Files 上の任意のユーザが、本来アクセスできないはずのコンテンツに対してアクセスすることが可能なのだそうだ。
Oracle Files 9.0.3.3.6 で修正されている。Oracle Files 9.0.4.1.0 にはこの欠陥はない。 また、回避方法が存在する。詳細はこちらを。
英語版: Unauthorized Access to Restricted Content in Oracle Files (oracle.com)。
OpenBSD の、少なくとも 3.3 と 2.8 に欠陥。特殊な細工を施した実行ファイルを実行させると OS が crash してしまう。デモコード。 2003.11.04 時点で修正されている。
OpenBSD 3.2 以前はもはや維持されていない。
S/MIME 話: NISCC Vulnerability Advisory - 006489/SMIME: Vulnerability Issues in Implementations of the S/MIME Protocol (uniras.gov.uk)
現状では、日立の PKI Runtime Library と Groupmax Mail - Security Option に DoS 攻撃を受ける欠陥があることが明らかになっている。 が、日立セキュリティ情報 には何もない。
時間の経過とともに、もっと増えるのかもしれない。
S/MIMEに関するセキュリティ問題の説明 (日立)。
X.400 話: NISCC Vulnerability Advisory 006489/X400: Vulnerability Issues in Implementations of the X.400 Protocol (uniras.gov.uk)
現状では、欠陥が明らかとなっている製品はない。 しかし、時間の経過とともに登場してくるのかもしれない。
OpenSSL 話: OpenSSL Security Advisory [4 November 2003]: Denial of Service in ASN.1 parsing (openssl.org)
NISCC Vulnerability Advisory 006489/OpenSSL: Vulnerability Issues in OpenSSL の修正として OpenSSL 0.9.6k を出したが、その後 Novell が、Windows 版 OpenSSL 0.9.6k に DoS 攻撃を受ける欠陥が存在することを発見したのだそうだ。この欠陥は OpenSSL 0.9.7 には存在しない。また、現時点で影響が明らかになっているのは Windows 版のみ。
OpenSSL 0.9.6l で修正されている。また OpenSSL 0.9.7 系列 (最新は 0.9.7c) に移行することでも解決される。
CVE: CAN-2003-0851
S/MIMEに関するセキュリティ問題の説明 (日立) を追記。
》 Apple、Mac OS X従来バージョンの脆弱性に対応表明 (ZDNet)。「談話」などではなく、プレスリリースを出すべきだ。
》 Auto-IDのセキュリティスタンスが来週発表される見込み (ZDNet)。vaporware じゃなきゃいいんですが。
》 ウイルスやスパイウェアの次に来る「電磁波の脅威」 (ZDNet)。歴史的には、コンピュータウィルスよりも古いはずなんですけど……。
》 [aml 36399] 【転送】11月8日・ICTA阪大公聴会。2003.11.09、大阪大学。アフガン関連。DU 話もあります。
》 [aml 36419] 【これ以上軍隊を送らないで!】11.12イラク現地取材報告のつどい・ふなばしのお知らせ。 ↓とは別の観点からの報告のようです。船橋勤労市民センター。
》 [aml 36417] 【劣化ウラン弾の恐怖と自衛隊派遣】11月18日、藤田氏イラク報告会のお知らせ。渋谷区勤労福祉会館、500 円。 自衛隊イラク被曝ツアー、カウントダウン続行中。
》 仲間と33か国のHP改ざんか…警視庁が17歳逮捕 (読売)。
調べに対し、「ハッカーの技術を誇示すれば、大企業に雇ってもらえると思った」と供述している。
connect24h ML ではこのネタから宗教論争に発展しかけたようだが、延焼する前に収まった模様。個人的には [connect24h:6690] が興味深かったです。
》 電子投票システム用のソフトで、またも懸念(上) (WIRED NEWS)。 このネタ、続きますねえ。
》 ベンダー各社、DoS攻撃などを行なうウイルス「MIMAIL.C」を警告 (INTERNET Watch)。あれよあれよという間に E まで来ているようですが……。 ウイルス辞典 (シマンテック) を見ると、 名称が各社でズレているようで。
手元では 1 匹しか捕獲できていないんですが。
》 Upgrading OpenBSD i386 from 3.3 to 3.4 without physical access (graveland.net)。a.out → elf だったんですね。
アップデートされた理由: 830846 - Windows Update のインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される (Microsoft)。
アップデートされた理由: 830846 - Windows Update のインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される (Microsoft)。
アップデートされた理由: 830846 - Windows Update のインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される (Microsoft)。
[Full-Disclosure] _another_ Internet explorer vulnerability (spread via IRC) - new variation of irc.trojan.fgt。類似品が登場しているようで。
Red Hat Linux: [RHSA-2003:309-01] Updated fileutils/coreutils package fix ls vulnerabilities
Miracle Linux: apache セキュリティ
》 PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ が 2003.10.31 にアップデートされています。stm_d さん情報ありがとうございます。
》 Default Account Database v4.00 というものがあるようなのですが、これって、紹介すると不正アクセス禁止法に触れたりするんだろうか……。
》 [port139ml:04351] SIDTk - SecurIT Intrusion Detection Toolkit
》 Virtual Disk Driver Version 3 (VMware の背中) が出ています。
》 Scanning Tools。いろいろまとめのあるページ。
》 mod_ssl 2.8.16-1.3.29 が出ています。
》 [Full-Disclosure] IE6 - Crash via DOS device。 [Full-Disclosure] Internet Explorer 6 DoS Bug の親戚でしょうか。
》 IRM 008: Citrix Metaframe XP is vulnerable to Cross Site Scripting。
》 Ultra 320 Time-Out Firmware Upgrade。 Cheetah 10K.6: ST3146807; ST373307; ST336607 の OEM firmware 0006 以前、 Cheetah 15K.3: ST373453; ST336753; ST318453 の OEM firmware 0005 以前で、少なくとも U320 Adaptec および LSI SCSI コントローラでは、RAID 0/1/5 していると、U320 packetized mode でハングったりする模様。firmware を upgrade すれば解決する。 upgrade については、 Seagate SCSI-HDDファームのアップ が参考になる。stm_d さん情報ありがとうございます。
先日手元に届いた disk がおもいっきり該当してるじゃん…… (T_T)。
》 multiple payload handling flaws in isakmpd。 OpenBSD の isakmpd にいくつかの問題。 2003/09/02 の変更で、いくつかについては fix されたみたい。
》 [BUGZILLA] Security Advisory - SQL injection, information leak。 bugzilla 2.16.4、および最新の開発ソースで修正されているそうです。
》 Security problems in Ethereal 0.9.15 (ethereal.com)。 Ethereal 0.9.16 で修正されているそうです。