セキュリティホール memo - 2004.01

Last modified: Thu Jul 15 10:33:38 2004 +0900 (JST)


2004.01.30

Internet Explorer File Download Extension Spoofing
(secunia.com, 2004.01.28)

 IE 6 に欠陥。ファイル名に CLSID を埋め込むことにより、IE がファイルを「開く」場合に、本来開かれるべきアプリケーションではなく、CLSID に示されるアプリケーションが起動されてしまう。slashdot.jp #483561 の解説がわかりやすい。

 回避するには、ファイルを「開く」のをやめ、一旦ダウンロードした上で、ダウンロードしたファイルを開けばよい。

いろいろ
(various)

セキュリティフライデー、Windowsの新たな侵入口を発見(2004.1.30)
(NetSecurity, 2004.01.30)

 Fingerprinting through Windows RPC (blackhat.com) のことのようです……。

2004.02.03 追記:

追記

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手

プレゼン資料の流出が発生した模様:

McAfee ePolicy Orchestrator AgentのHTTP POSTの「バッファ誤管理に関する脆弱点」

ePolicy Orchestrator Agent 3.0 SP1 用の patch が出ました。2.5.1 用はまだです。

InterScan VirusWall NT 3.53J: WORM_MYDOOM(WORM_MIMAIL.R)が検出されずに通過する
(トレンドマイクロ, 2004.01.29)

 破損した MyDoom が InterScan VirusWall NT 3.53J で検出されずに通過してしまい、クライアント側で検出されることがある、という話の模様。 トレンドマイクロ的には、破損した MyDoom はパターンファイル 750 以降で WORM_MYDOOM.DAM として検出するそうだ。

 この現象は「WholeMailScan 機能」を有効にすることで対応できるそうだ。 手元にも、破損した MyDoom が届いているなあ。


2004.01.29

tool いろいろ
(various)

「フォルダ」に見せかけ任意のファイルを実行——Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)

 元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。デモファイル: http://www.malware.com/my.pics.zip

  1. Windows XP は、.folder 拡張子がついているとフォルダとして表示する (.folder 拡張子のファイルにはフォルダアイコンを表示する)
  2. ダブルクリック時にどのように処理するかは、動的に決定する (中身が HTML のようなら HTML として処理する)

ことを利用し、

  1. 攻撃プログラムを作成し、BinHex 形式でエンコード
  2. 上記 BinHex を埋め込み、さらに、それを自動的にデコードするような JavaScript を記述した HTML ファイルを用意
  3. HTML ファイルの拡張子を .folder に
  4. HTML ファイルを zip で圧縮

としたのが、上記デモファイルであるように見える。で、.zip を開いて、さらにフォルダが含まれていると思ってダブルクリックすると……ドカン。

 .folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれていなかった。Windows XP には存在した。

 typo fixed: 加納さん、Handa さん感謝。

MyDoom ねた: 亜種登場
(various)

 亜種 MyDoom.B が登場。MyDoom.B は

だそうで。

 各社 MyDoom で統一されたようで。

 MyDoom 関連記事:

Changes to CERT Advisories [INFO#04.20510]
(CERT/CC, Wed, 28 Jan 2004 22:48:15 +0900)

 US-CERT がらみでいろいろあるようで。 とりあえずお手並拝見かなあ。

 関連: 米国土安全保障省がサイバーセキュリティの警告システム (MYCOM PC WEB)

eEye Upcoming Advisories
(eEye)

 通報済みだけどまだ修正されていない (ので詳細も公開できない) 欠陥のリスト。 remote から SYSTEM 権限を取得できてしまうものも複数含まれている。

 半年経過しても修正できない欠陥というのは、どういう欠陥なんでしょうね……。 eEye が、再現に手間取るような報告をするとも思えないし……。

2004.02.12 追記:

 半年経過していたのは ASN.1 の脆弱性により、コードが実行される (828028) (MS04-007) だったようですね。 しかし、まだまだ残ってます……。


2004.01.28

いろいろ
(various)

JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワークショップ
(JPCERT/CC, 2004.01.28)

 2004.03.09 14:00〜17:00 東京都千代田区。申込〆切は 2004.02.27 17:00。

[参加対象企業]  主に IP (Internet Protocol) にかかわる製品を取り扱って
                いるメーカ、ベンダ
[対象参加者]  自社製品の品質保証/管理責任者

  自社開発製品に対して、脆弱性に関する品質保証、管理を行う部署、あるい
  はそれに関連する業務に携わる責任者。脆弱性情報/セキュリティ情報を全
  社 (全製品) 単位で取り扱う責任者。

 「定員になり次第、締め切らせていただきます」とあるが、その定員はなぜか明記されていませんね。ホテルニューオータニ 悠の間 だそうなので、入るだけ入れるのでしょう。

MyDoom ねた
(various)

 あいかわらず来てますね。

 アンチウィルスベンダー等からの情報 (いろいろ改訂されていますので再読しておいた方がよいでしょう):

 手元的には Sobig.F の方がひどかった気がするのだが、US 的にはそうではないらしい。Sobig.F には自動停止装置が仕掛けてあったが、MyDoom は単に停止するわけではないようだ。WORM_MIMAIL.R (トレンドマイクロ) から:

バックドア活動
 ワームは外部と通信し、外部からのリモートコントロールを可能にするバックドア型ハッキングツールとしての機能を持っています。外部のユーザはこのワームが侵入したコンピュータをリモートコントロールしてファイルのダウンロードと実行を行なうことができます。

 ワームは外部との通信のためにポート3127〜3198を使用します。ワームはポート3127から3198まで順番にポートのオープンを試みていき、オープンに成功したポート1つを通信に使用します。すべてのポートがオープンできなかった場合は3127に戻ってまた順にオープンを試みていきます。

 このワームのバックドア機能は"SHIMGAPI.DLL"に集められています。

その他の情報:
・システム日付が「2004年2月12日」以降だった場合、ワームは上記の「バックドア活動」のみを行ないます。それ以外の行動は行ないません。

 どうやら、新たな指令を待つようだ。うへぇ。

 巧みなソーシャルエンジニアリングが引き起こしたMyDoomのまん延 (ITmedia) でも [memo:6785] と同様、エラーメールになることを狙ったのではないかという説が示されていますね。from も to もあてずっぽうなアドレス、というメールが存在するので [memo:6786]、必ずしもそうではないような気が個人的にはするのですが……。 狙ったにせよ結果的にそうなったにせよ、効果があったのは確かなようですが。

2004.01.28 追記:

 アドレス偽りウイルス発信 第4管区海保 (共同通信)。あの〜、そんな状況はそこらじゅうで発生しているんですが…… > 海保 & 共同。 まつださん情報ありがとうございます。

834489 - Microsoft plans to release a software update that modifies the default behavior of Internet Explorer for handling user information in HTTP and HTTPS URLs
(Microsoft, 2004.01.28)

 IEにURLを偽装できるパッチ未公開の脆弱性が発見された 話、ようやく fix が近日登場するようです。 Stay tuned.

 ……まあ、fix というよりは仕様変更 (URL での username:password を無効にする) なのですが、これだけ悪用されている以上、仕方ないのでしょう。

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

IE 用 fix が近日登場のようです: 834489 - Microsoft plans to release a software update that modifies the default behavior of Internet Explorer for handling user information in HTTP and HTTPS URLs 。まあ、fix というよりは仕様変更 (URL での username:password を無効にする) なのですが、これだけ悪用されている以上、仕方ないのでしょう。

また koricoli さんによると (情報ありがとうございます)、先ごろ登場した Mozilla 1.6 では、ステータスバーについても ○ になっているそうです (koricoli さんによるキャプチャ画像)。

APPLE-SA-2004-01-26 Security Update 2004-01-26

[VulnWatch] MacOS X TruBlueEnvironment Buffer Overflow

[mod_python] [ANNOUNCE] Mod_python 2.7.10
(Full-Disclosure ML, Wed, 28 Jan 2004 01:41:33 +0900)

 mod_python 2.7.9 で直ったはずの DoS 穴が、実は直っていなかった模様。再修正版の 2.7.10 がリリースされた。 Apache 2.x 用の mod_python 3.0.4 にはこの問題はないそうだ。

 しかし、2.7.10 にも問題が残っているという指摘が: [mod_python] Re: [ANNOUNCE] Mod_python 2.7.10

symlink vul for Antivir / Linux Version 2.0.9-9 (maybe lower)
(bugtraq, 13 Jan 2004 18:37:30 -0000)

 H+BEDV AntiVir の Linux 版 2.0.9-11 以前に欠陥。一時ファイル名を予想できてしまうため、symbolic link 攻撃を受ける。

 AntiVir 2.0.9-12 で修正されたそうです。 antivir --update コマンドで自動アップデートできる他、 ダウンロードページ から入手できます。


2004.01.27

APPLE-SA-2004-01-26 Security Update 2004-01-26
([email protected], Tue, 27 Jan 2004 09:26:51 +0900)

 Mac OS X 10.3.2 / 10.2.8 用の他、なんと 10.1.5 用の patch が用意された。 すばらしい。古暮涼氏による邦訳版

 CVE: CAN-2003-0542 CAN-2003-0789 (Apache) CAN-2004-0089 (Classic) CAN-2004-0085 CAN-2004-0086 (Mail) CAN-2004-0092 (Safari) CAN-2004-0087 CAN-2004-0088 (System Configuration) CAN-2004-0090 (Windows File Sharing)。

2004.01.28 追記:

 [VulnWatch] MacOS X TruBlueEnvironment Buffer Overflow (CAN-2004-0089)

いろいろ
(various)


2004.01.26

追記

CERT Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities

H.323 Vulnerability (checkpoint.com)。FireWall-1 で H.323 している場合は、hotfix を適用しよう。

MDAC 機能のバッファオーバーランにより、コードが実行される (832483) (MS04-003)

Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」 が何度も表示される という問題が発生することがあるそうだ。インストールされている MDAC のバージョンが、修正プログラムが用意されている MDAC のバージョンに適合しない場合にそうなるようで。835173 - INF: MDAC セキュリティ修正モジュールの適用に関連する補足事項 (Microsoft) によりインストールされている MDAC のバージョンを確認し、必要であれば MDAC をアップグレードしてから Windows Update すればよい模様。 修正プログラムが用意されている MDAC バージョンは:

  • MDAC 2.5 SP2 / SP3
  • MDAC 2.6 SP2
  • MDAC 2.7 gold / SP1 / SP1 refresh
  • MDAC 2.8

ふつうの人は、MDAC 2.7 SP1 Refresh か MDAC 2.8 がよろしいでしょう。関連:

[Full-Disclosure] bzip2 bombs still causes problems in antivirus-software
(Full-Disclosure, Sat, 10 Jan 2004 02:37:52 +0900)

 0 だけとか 1 だけとかの巨大なファイルを作った上で、bzip2 で圧縮すると、とっても小さくなる (サンプル)。 そういうものをアンチウィルスプロダクトで検査すると、ディスクが溢れたり、溢れないまでも CPU を大量に消費したりする、という話。 この話は [Full-Disclosure] AV "feature" does more DDoS than Sobig ですでに指摘済みだが、「2GB の 0 なファイル」のかわりに「2GB の 1 なファイル」を用意したりすると依然として有効だ、としている。

 指摘者が問題の存在を確認しているのは

* kavscanner of
   Kaspersky AntiVirus for Linux 5.0.1.0 (probably all versions since 4.0.3.0)
* vscan of
   Trend Micro InterScan VirusWall 3.8 Build 1130 (probably other versions, too)
* uvscan of
   McAfee Virus Scan for Linux v4.16.0 (probably other versions, too)
* AMaViS 0.2.x/0.3.x, amavisd below amavisd-new-20021116, amavis-ng

 トレンドマイクロについては製品 Q&A が公開されている:

 日本語版 Q&A もいくつかあるが、英語版と同期しているわけでは必ずしもないみたい:

 AMaViS からも情報が出ている。amavis-ng と amavisd-new-20021116 以降には回避方法がある模様:

 八尾さん、山本さん情報ありがとうございます。

2004.02.04 追記:

 bzip2のDoS攻撃の可能性について (NAI)。デフォルトで 15 分は CPU 過負荷攻撃が効く、とも理解できるのだが。 展開時のディスクあふれ系の問題については記載されていないようだが、発生しないのだろうか。

2004.02.13 追記:

 VirusScan ASaP - bzip2のDoS攻撃に関して (NAI)。VirusScan ASaP での状況。


2004.01.23

追記

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手

ASKACC に「事故調査委員会」からの「調査報告書」が 2004.01.22 付で掲載されている件など。


2004.01.22

追記

Windows 98 の延長サポートフェーズが 2006 年 6 月 30 日までに延長された

「延長サポートフェーズ」の延長だ、と言いつづけていることにそもそもの問題があると思うのですが。

[RHSA-2004:007-01] Updated tcpdump packages fix various vulnerabilities
[Full-Disclosure] lftp buffer overflows

Turbolinux: Turbolinux Security Advisory TLSA-2004-2


2004.01.21


2004.01.20

追記

Windows 98 の延長サポートフェーズが 2006 年 6 月 30 日までに延長された

有償サポート契約なんて結んでいないふつうの人にとっては「Windows 98 / 98 SE / Me はもう終り」という理解で正しい。 有償サポート契約を結んでいれば、問いあわせベースで、IE などのコンポーネントを含めて、新規セキュリティ hotfix を入手できる。

[Full-Disclosure] Lame crash in qmail-smtpd and memory overwrite according to gdb, yet still qmail much better than windows yet still qmail much better than windows
(Full-Disclosure ML, )

 qmail 1.03 に欠陥。2GB を越える長大な SMTP セッションにより、qmail-smtpd で integer overflow が発生、qmail-smtpd がクラッシュしてしまう。 Guninski 氏は it is possible to overwrite memory in qmail-smtpd 1.03 としているが、これには反論が投稿されている。

 回避するにはメッセージサイズの最大値として 2GB 以内の数字を /var/qmail/control/databytes に設定しておく、と Secunia Advisories SA10649 (secunia.com) では説明されている。 しかし databytesはディスクに保存されるバイト数!? (slashdot.jp) では、databytesはディスクに保存されるバイト数であって、ネットワークを通過するバイト数ではな (qmail.jp) と指摘されている。 databytes の設定では不十分かもしれない。

 qmailにバッファオーバーフローの脆弱性 (slashdot.jp) では unofficial patch がいくつか紹介されている。肝部分は同じみたい。

 菊地さん情報ありがとうございます。

NetScreen Security Advisory 58290: Communications between devices running ScreenOS 5.0 and NetScreen-Security Manager not encrypted
(NetScreen, 2004.01.14)

 ScreenOS 5.0 と NetScreen-Security Manager との間の通信が、デフォルトでは暗号化されていないという話。設定さえすれば 128 bit AES で暗号化されるそうです。 また NetScreen-Security Manager 2004 Feature Pack 1 で修正されるそうです。


2004.01.19

[vine-users:063783] 起動時のfsck にてファイル破損及び起動不良
(vine-users ML, Thu, 08 Jan 2004 00:31:24 +0900)

 Vine Linux 2.6r3 をクリーンインストールした環境において、ext3 ファイルシステムを作成すると、fsck がかかった時点でファイルシステムが破壊される、という話。たとえば shutdown -r -F now (-F = 再起動時に強制的に fsck する) でダメになるそうだ [vine-users:063787]。当面の回避策としては、Vine Linux 2.6r3 で ext3 ファイルシステムを作成した場合、たとえばそれが /dev/hda2 なら tune2fs -O ^dir_index /dev/hda2 のようにしておけばよい模様 [vine-users:063789] [vine-users:063968]

地震波が巨大構造物を襲う
(NHK スペシャル, 2004.01.18)

 東海・東南海・南海地震によって発生する「長周期地震動」によって、石油コンビナートのタンクはおろか、高層ビルが大打撃を受ける (かもしれない)、なんていう状況はこれまで誰も想定していない模様。まずすぎ、やばすぎ。 弾道ミサイル防衛に 7000 億円かけてる場合じゃないと思うのだが。 地震のほうが、よっぽど「今そこにある危機」だぞ……。

 再放送 は 1/20 24:40 から。高層ビルにオフィスがある、なんて人は必ず見ておきましょう。

2004.03.01 追記:

 京葉臨海の石油タンク、巨大地震で半数被災…早大予測 (読売)。 番組中でも取りあげられていたと記憶しています。

Shadow Penguin Security 閉鎖のお知らせ
(SPS, 2004.01.18)

 特定少数への情報提供に移行されるのだそうです……。 (T_T)

追記

SRT2004-01-9-1022 - Symantec LiveUpdate allows local users to become SYSTEM

オフィシャル: SYM04-001 2004年1月12日 Symantec 自動LiveUpdateの脆弱性により、ローカルユーザの特権が昇格される (シマンテック)。「LiveUpdate v2.0の最新リリース」で対応されているのだそうです。CVE: CAN-2003-0994


2004.01.16

SecurityFocus Newsletter #227, 228
(bugtraq-jp)

追記

Linux kernel do_mremap local privilege escalation vulnerability

http://isec.pl/vulnerabilities/isec-0013-mremap.txt が 2004.01.15 に改訂された。/bin/bash を起動する exploit が添付された詳細情報が記載されている。


2004.01.15

いろいろ
(various)

追記

IE もの

[Full-Disclosure] Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV については、PivX の Thor Larholm 氏が反論を出している: RE: Self-Executing HTML: Internet Explorer 5.5 and 6.0 Part IV

関連記事: IEに2種類の新たなセキュリティ・ホールが見つかる (日経 IT Pro)。日経 IT Pro 勝村氏による解説記事。

銀行カード偽造、暗証番号割出しの謎が

RFIDタグは20年前の過ちを繰り返すか (高木浩光@茨城県つくば市 の日記, 2003.12.08) でも言及されていたので追記。 (info from みゃー氏なページ) (link fixed: しばてんさん感謝)

Windows 98 の延長サポートフェーズが 2006 年 6 月 30 日までに延長された

ニュースリリース出ました: Microsoft(R) Windows(R) 98、Microsoft Windows 98 Second EditionおよびMicrosoft Windows Millennium Edition の延長サポート期間を2006年6月30日までさらに延長することを決定 (Microsoft)


2004.01.14

銀行カード偽造、暗証番号割出しの謎が
(TBS, 2004.01.13 (info from タレコミ))

 ATM だと 3 回間違えたあたりでロックされてしまうが、自動音声案内を使えば、何度でも試せる上に、1 日 3 回程度のトライなら疑われないのだそうだ。 なんじゃそりゃー。

 しばてんさん情報ありがとうございます。

2004.01.15 追記:

 RFIDタグは20年前の過ちを繰り返すか (高木浩光@茨城県つくば市 の日記, 2003.12.08) でも言及されていたので追記。 (info from みゃー氏なページ)

Windows 98 の延長サポートフェーズが 2006 年 6 月 30 日までに延長された
(various)

 延長されたのは「延長サポートフェーズ」です。「非サポート対象フェーズ」ではありません。というか、これまで「旧ライフサイクルガイドライン」に従うとされてきた Windows 98 / 98 SE / Me を「新ライフサイクルガイドライン」に従うものとする変更のようです。 Windows デスクトップ製品のライフサイクル (Microsoft) はそのうち書き直されるのでしょう。

 今週中には全体像がはっきりしそうです。

 しかし……これで Windows 9x/Me サポートをやめられなくなったソフトベンダーはどのくらい出てくるのでしょう。 Windows 9x/Me なんて、たいていは low spec な機械で動きつづけているのでしょうし。 正直ぞっとするものがあるのですが……。

2004.01.15 追記:

 ニュースリリース出ました: Microsoft(R) Windows(R) 98、Microsoft Windows 98 Second EditionおよびMicrosoft Windows Millennium Edition の延長サポート期間を2006年6月30日までさらに延長することを決定 (Microsoft)

提供サポート内容: 有償サポート契約をお持ちのお客様に対し、製品サポート(*1)、およびセキュリティ修正プログラム(リクエストベース)
*1:QA対応、既存ホットフィックスの提供。

 Windows デスクトップ製品のライフサイクル (Microsoft) の [6]:

Windows98、および Windows98 Second Edition (SE) の製品サポートを 2006 年 6 月 30 日までご提供いたします。有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで、通常ご利用いただくサポート窓口にて既存セキュリティホットフィックスを無償にてご提供いたします。また同じように、有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで通常ご利用いただくサポート窓口にて新規セキュリティホットフィックスをリクエストしていただくことが可能です。お客様の環境において修正プログラムの提供が必須と判断された場合にセキュリティホットフィックスをご提供いたします。オンラインセルフ ヘルプ サポートは、製品サポート終了後、最短でも 1 年間 (2007 年 6 月 30 日まで ) ご利用いただけます。既にご案内させていただいているとおり、メインストリームサポートは 2002 年 6 月 30 日で終了、また、無償サポート、およびセキュリティ以外のホットフィックス サポートについては 2003 年 6 月 30 日で終了しています。

2004.01.20 追記:

 上記を引用したときには [6] だったのだが、今では [5] になっている。中身は同じようだ。

 で、「延長」の実態なのだが、上記の

有償サポート契約をお持ちのお客様は、2006 年 6 月 30 日まで通常ご利用いただくサポート窓口にて新規セキュリティホットフィックスをリクエストしていただくことが可能です。お客様の環境において修正プログラムの提供が必須と判断された場合にセキュリティホットフィックスをご提供いたします。

が肝のようだ。つまり

 有償サポート契約なんて結んでいないふつうの人にとっては「Windows 98 / 98 SE / Me はもう終り」という理解で正しい。

 また、Windows 9x/Me 上での IE などのコンポーネントについてだが、OS 本体と同様に、有償サポート契約者は 2006.06.30 までセキュリティ hotfix を入手できる。 ただし最新のコンポーネントのみ対応となっている。

2004.01.22 追記:

 「延長サポートフェーズ」の延長だ、と言いつづけていることにそもそもの問題があると思うのですが。

MDAC 機能のバッファオーバーランにより、コードが実行される (832483) (MS04-003)
(Microsoft, 2004.01.14)

 MDAC 2.5〜2.8 に欠陥。MDAC を利用するクライアントが発生させる特定のブロードキャストリクエストに対して、細工したリプライを返すと buffer overflow が発生。 これを悪用することで任意のコードを実行させることが可能。 ただし Winows Server 2003 64 bit Edition に同梱の MDAC 2.8 にはこの欠陥はない。

 具体的にはこんな感じのようだ:

  1. ブロードキャストドメイン内にニセ SQL Server を設置
  2. 標的がネットワーク上のコンピュータ一覧を得ようとして、リクエストパケットをブロードキャスト
  3. ニセ SQL Server が攻撃リプライパケットを返す→攻撃終了

 MDAC 2.5〜2.8 用の修正プログラムが用意されているので適用すればよい。 事実上、世の中のほとんど全ての MDAC にこの欠陥が存在するので注意されたい。

 CVE: CAN-2003-0903。KB: 832483

2004.01.26 追記:

 Windows Update に接続すると 「Microsoft Data Access Components 用セキュリティ問題の修正プログラム (KB832483)」 が何度も表示される という問題が発生することがあるそうだ。インストールされている MDAC のバージョンが、修正プログラムが用意されている MDAC のバージョンに適合しない場合にそうなるようで。835173 - INF: MDAC セキュリティ修正モジュールの適用に関連する補足事項 (Microsoft) によりインストールされている MDAC のバージョンを確認し、必要であれば MDAC をアップグレードしてから Windows Update すればよい模様。 修正プログラムが用意されている MDAC バージョンは:

 ふつうの人は、MDAC 2.7 SP1 Refresh か MDAC 2.8 がよろしいでしょう。関連:

Exchange Server 2003 の脆弱性により、権限が昇格する (832759) (MS04-002)
(Microsoft, 2004.01.14)

 Exchange 2003 and Outlook Web Access Issue の話。Outlook Web Access (OWA) を実行する際に、フロントエンドサーバとバックエンドサーバ間で NTLM 認証を利用している場合に欠陥。 HTTP 接続を再利用する方法に欠陥があり、ある OWA ユーザが別の OWA ユーザのメールボックスにアクセスできてしまう (ただし、ランダムに)。 OWA for Microsoft Exchange Server 2003 を実行している Exchange Server 2003 でのみ発生。 Exchange 5.5 / 2000 にはこの欠陥は存在しない。

 フロントエンドサーバに適用するための修正プログラムが用意されているので適用すればよい。また、回避策に記載されている方法で回避できる。

 CVE: CAN-2003-0904。 KB: 832759

CERT Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities
(CERT/CC, 2004.01.14)

 H.323 プロトコルを実装した各社のプロダクトのいくつかに欠陥。 元ネタ: NISCC Vulnerability Advisory 006489 (uniras.gov.uk)。 現在明らかになっている欠陥ありものとしては:

 CVE: CAN-2003-0819。 CERT/CC Vulnerability Note: VU#749342

関連:

2004.01.26 追記:

 H.323 Vulnerability (checkpoint.com)。FireWall-1 で H.323 している場合は、hotfix を適用しよう。

Helix Server / Gateway のサービス運用妨害 (DoS) 攻撃に関する脆弱性
(RealNetworks, 2004.01.12)

 Helix Universal Server / Gateway 9、Helix Mobile Server / Gateway 10 に欠陥。RealNetworks Administration System plug-in に欠陥があり、特定の HTTP POST メッセージによる DoS 攻撃を受ける。ただしこの攻撃を行うには、当該サーバへの管理者ログインが必要。 なので、ふつうの状況では問題にならないのかな。

 この欠陥を修正した plug-in が用意されているので入れかえればよい。

 英語版: Potential Server/Proxy Denial-of-Service Vulnerability (real.com)

2004.03.02 追記:

 Helix Server / Gateway の潜在的な脆弱性 - 更新版 (real.com)。 Helix Universal Server / Gateway 9 のアップデート版が登場。

追記

CVS security update

Debian GNU/Linux: [SECURITY] [DSA-422-1] multiple CVS improvements


2004.01.13

追記

CVS security update

Red Hat Linux: [RHSA-2004:003-01] Updated CVS packages fix minor security issue


2004.01.09

追記

ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題

池田さんから情報をいただきました (ありがとうございます)。

Norton AntiVirus 2003 で 2004 年 1 月 7 日付のウイルス定義ファイルを更新後、コンピュータの動作が不安定になった

ルート証明書を更新すると追加されるもの、2004/01/08 で有効期間が切れるルート証明書に関する記述を追記。

関連記事:

もしかして、これって日本語版固有の現象だったりします? ……そうではないようだ:

あと、シマンテックの推奨対応策が「[発行元証明書の取り消しを確認する] のチェックを外す」に変更されています:

  • 2004 年 1 月 7 日以降、コンピュータの動作が異常に遅くなり、Microsoft Word や Excel が起動できなくなった (シマンテック)

    この現象は、2004 年 1 月 7 日から 1 月 8 日にかけて、ベリサイン社のサーバーに対し異常な数の「証明書失効リスト」のダウンロードを要求する接続が行われたことに起因しています。2004 年 1 月 7 日以降、ダウンロード要求の接続が急激に増加したため、ベリサイン社のサーバーの処理効率の低下を招くことになりました。

    プログラムのセキュリティ維持のため、シマンテック製品は定期的にシステムコンポーネントの整合性を確認する作業を行っていますが、上述の理由によりベリサイン社のサーバーの処理効率が低下していたため、整合性の認証を行うことができなくなっていました。そのため、コンピュータの動作が異常に遅くなるなどの現象を引き起こしていました。

834374 - Windows Update でエラーが発生した場合のエラー番号について
(Microsoft, 2003.01.09)

 Windows Update 時のエラー番号と、その対応方法との間の対応表。波間さん情報ありがとうございます。 以下は個人的に興味深かった点:

 来週の水曜日 (2004.01.14) は Windows Update の日です。備えましょう。

[SECURITY] INN: Buffer overflow in control message handling
(bugtraq, Thu, 08 Jan 2004 11:16:38 +0900)

 ネットニュースサーバ INN 2.4.0 に欠陥。コントロールメッセージを処理するコードに buffer overflow 穴があり、remote から INN 動作権限で任意のコードを実行可能。 INN 2.3.x 以前にはこの欠陥はない。INN 2.4.1 で修正されている。advisory には INN 2.4.0 用の patch が添付されている。


2004.01.08

Norton AntiVirus 2003 で 2004 年 1 月 7 日付のウイルス定義ファイルを更新後、コンピュータの動作が不安定になった
(Symantec, 2004/01/08)

 表題のとおり。現象としては、アイコン上で右クリックした場合の右クリックメニューの表示や、Microsoft Office の動作が遅くなったりするそうだ。 原因不明なれど、いくつかの操作で改善されることがあるそうです。

 うーむ。もしかして、CA証明書を更新したJDK1.4.2_03リリース[memo:6762] 中間CA局証明書の期限切れ が関連だったりするんだろうか。 手元のテスト用 Windows 2000 SP4 + Norton AntiVirus 2003 + 2004/01/07 data ではべつに問題ないみたいです。このテスト環境 (VMware) には Microsoft Office は入っていないから助かっているのかなあ。よくわからん……って、私にすぐわかるようなら、シマンテックがとっくに解決しているのだろうなあ。

 みゃーさん、小山田さん情報ありがとうございます。「晴れ姿」にも期待しております > みゃーさん。

2004.01.08 追記:

 i_to_shi さんから情報をいただきました (ありがとうございます):

この件ですが、おそらくベリサインの中間CA局証明書の期限切れが原因です。
http://www.verisign.co.jp/server/cus/rootcert/gsid_intermediate.html

プログラムの中にベリサインのデジタル署名を使用しているものが含まれているのだと思います。
社内で発生している環境と発生しない環境があり(私はOffice付でも大丈夫でした)、 違いを調べていると、どうもルート証明書の更新が関係しているようでした。 OSが持っている証明書の期限が切れてしまい、デジタル署名自体がダメになり、 プログラムがダメダメに… 影響を受けていたマシンでルート証明書の更新し再起動したところ直りました。
WindowsUpdateの「インストールする更新の選択」のOS名のところにルート証明書の更新があります。 「重要な更新」に入っていないので、ルート証明書を更新していない人は多いのではないでしょうか。

実は全然違うのかもしれませんが、問題が起きたときとベリサインの期限切れのタイミングが一致するので、ビンゴだと思っています。 シマンテックにも伝えているので、今は検証中だと思います。 ダメモトでも、時間を変更するよりははるかにマシな手だと思うので、

「WindowsUpdateでルート証明書を更新してください」

と一行載せてくれるといいのですが… ルート証明書を更新したとことで、他のプログラムに影響が出るとも思えないですし。

#なぜベリサインを疑ったのかというと、期限切れの影響で午前中ずーっと対応に
#追われておりました…

 ルート証明書を更新しても、IE に付属するベリサイン中間 CA 局証明書自身は更新されないようです。でもそれでうまくいった例がある、ということは、……やっぱり謎。

 …… Windows 2000 SP4 + Norton AntiVirus 2003 な環境の ルート証明書を見ていたのですが、「Symantec Root CA」というもの (有効期限 2011/05/01) が入っているんですね。

2004.01.09 追記:

 ルート証明書を更新すると、VeriSign 関係では以下のものが追加されるように見えます:

[インターネットオプション - コンテンツ - 証明書 の画面]

 2004/01/08 で有効期間が切れているルート証明書もいくつかありますね:

[インターネットオプション - コンテンツ - 証明書 の画面]

 関連記事:

 もしかして、これって日本語版固有の現象だったりします? ……そうではないようだ:

 あと、シマンテックの推奨対応策が「[発行元証明書の取り消しを確認する] のチェックを外す」に変更されています:

追記

Linux kernel do_mremap local privilege escalation vulnerability

Fedora fix では RTC 問題の修正は含まれていなかった。 RTC 問題はさらに新しいパッケージ 2.4.22-1.2140.nptl で修正されている。

Linux Kernel do_mremap Improved Test。 Red Hat Linux 7.1〜8 用 package があるのは「特別に」でなく、2003.12.31 以前に用意されていたからだった: 板垣さん感謝。

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手

 関連記事:


2004.01.07

追記

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手

Motoyuki's Diary 2004/1/6(Tue) に関連する話。

JPCERT/CC インターネット定点観測システム Welchia/Nachi ワームの感染活動が減少していることを観測
(JPCERT/CC, 2004.01.07)

 ISDAS を見ると、ICMP ECHO および 135/tcp が大幅に減少しています。 一方、年末年始におけるワームの活動状況について(01/06) (@police) では ICMP ECHO は減っているが 135/tcp は微増だとしています。

 これについて、いぬいさんから以下の指摘をいただきました (ありがとうございます):

ご指摘のとおり、135/tcpの検知件数について、 @policeとJPCERTの数字の傾向が一致していないようです。 この理由について、少し考察してみましたので、 参考にしていただければ幸いです。

Nachiの感染動作は、(ご存知とは思いますが) ICMP ECHO REQUESTに応答するIPアドレスに対して、 135/tcpでのアクセスにいくとのことですので、 ICMP ECHO REQUESTに応答するかどうかで、 その後の135/tcpにアクセスがくるかどうかが 変わってくるのではないでしょうか。

@policeの定点観測のページを見てみると、 元々ICMPの検知件数に比して、 135/tcpの検知件数が桁が1つ違うほど少ないようです。 逆にJPCERTの定点観測の数字を見ると、 ICMPに比して135/tcpが若干少ないですが、 桁が違うという差ではないようです。
この状況から、
@policeの観測機器は、ICMP ECHO REQUESTにECHO REPLYを返さない、
JPCERTの観測機器は、ICMP ECHO REQUSTにECHO REPLYを返す、
と設定されている推測しています。

どちらも観測機器の設定の詳細を公開していないので、 正解かどうかはわかりませんが、 割と合理的な説明になっているかなと思います。

 手元では ICMP ECHO REPLY を返しているので JPCERT/CC の結果と符合する、と。 なるほど……。

 ……JPCERT/CC の山賀さんに確認情報をいただきました (ありがとうございます)。 上記で正しいそうです (警察庁さん了解済)。


2004.01.06

Linux kernel do_mremap local privilege escalation vulnerability
(Full-Disclosure, Mon, 05 Jan 2004 21:30:32 +0900)

 Linux カーネル 2.2 / 2.4 / 2.6 系全てに欠陥。mremap(2) の境界チェックに欠陥があり、長さ 0 の異常な仮想記憶領域を作成することができてしまう。 これを利用すると、local user が root 権限を奪取することが可能となる。

当初 Linux カーネル 2.2 にもこの欠陥があるとされていたが、2.2 にはこの欠陥はないことが明らかになっている。参照: [Full-Disclosure] Linux mremap bug correction

 Linux カーネル 2.4.24 / 2.6.1-rc2 で修正されている。また各ディストリビュータから修正パッケージが登場し {ている|しつつある} ので入れかえればよい。 CAN-2003-0984 の欠陥もあわせて修正されているようですね。

関連情報:

fix / patch:

Changelog:

2004.01.07

Linux カーネル 2.2 にはこの欠陥はない話。 [SECURITY] [DSA 413-1] New Linux 2.4.18 packages fix locate root exploit

2004.01.08

Fedora では RTC 問題の修正は含まれていなかった。 RTC 問題は 2.4.22-1.2140.nptl で修正されている。

Linux Kernel do_mremap Improved Test。 Red Hat Linux 7.1〜8 用 package があるのは「特別に」でなく、2003.12.31 以前に用意されていたからだった: 板垣さん感謝。

2004.01.16

[ 2004,01,11 ] kernel にセキュリティホール

追記

CA証明書を更新したJDK1.4.2_03リリース

 Oracle 製品にも同じ問題があったようです。三月兎さん情報ありがとうございます。

欠陥を指摘するはずが個人情報流出。セキュリティ専門家に捜査の手
(slashdot.jp, 2004.01.04)

 ACCS運営ホームページのセキュリティ問題について(2003/11/11) の話なのだけど、とりあえずの話として、 「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (asahi.com) と、たとえば 朝日新聞オンライン記事データベース「聞蔵(きくぞう)DNA for Libraries」 で検索すると出てくる

とを読み比べると、かなり心証が違うわけで。 『研究員のサイト侵入 警鐘逸脱し過激化 「手直し迫ろうと騒ぎ」』にある解説部分

○事業者の安全策不十分

 《解説》身近なインターネットサイトにも個人情報流出の危険性が残る背景には、サイトの安全性を評価する仕組みが不十分であることと、対策の必要性について意識の低いサイト運営者やサーバー提供事業者が少なくないことがある。

 今回、個人情報を引き出した研究員は、様々なサイトの「欠陥」を匿名で指摘したが、多くは無視され、対策がとられてもその経過が利用者に公表されなかったという。

 サイト運営者やサーバー提供事業者側からすれば、匿名で指摘されても返答や対応をしづらい面がある。相手にサイトに侵入する意図があるかもしれず、メールを返信するとかえって侵入方法のヒントを与えかねないからだ。

 専門家からは、企業や団体のサイトの安全性を調査、公表する仕組みを求める声が出ている。経済産業省の外郭団体・情報処理振興事業協会は、外部から寄せられる欠陥情報をどのように扱うかを検討している。

 一方、日本では第三者に指摘されないとサイト運営者やサーバー提供事業者が欠陥を改善しない傾向が続いてきた。

 02年5月、エステティックサロン大手のサイトから約3万8千人分の個人情報が流出した。公開の情報と同じ場所に、非公開にすべき情報が保存されていた初歩的な欠陥だった。

 これ以降、同じ種類の欠陥を持つサイトが外部の第三者によって次々と、ネット上の匿名掲示板で暴露された。今ではこの欠陥を持つサイトは大幅に減ったとされる。

 経済産業省はサイトの安全性について専門家の検査を受けるようサイト運営者に呼びかけているが、浸透していないのが実情だ。

 ネット問題に詳しい牧野二郎弁護士は「個人情報保護が社会問題となるなか、サイト運営者やサーバー提供事業者が十分な安全対策をとらず漫然と放置することは、犯罪的行為とも言える」と話している。

がざっくり抜けている 「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (asahi.com) は「office ゴラァ」で終ってしまい、バランスに欠ける記事になってしまっていると思うのだが。

 関連: Tea Room for Conference No.1642

2004.01.06 追記:

 被害を拡大、深刻化させる方向に運用されはじめた「不正アクセス禁止法」(2004.1.6) (netsecurity.ne.jp)。

筆者がこの事件で一番気になるのは、個人が特定のインターネットサイトの安全性の確認を行うことを抑圧する方向に「不正アクセス禁止法」が運用されようとしているのではないかという点である。

2004.01.07 追記:

 from Motoyuki's Diary 2004/1/6(Tue) :

当該カンファレンスに出席した (と思われる) 小島さんの セキュリティホール memoや office 氏の掲示板に出入りしている人の論調を読んで非常に気になった点。

* 「新聞の意図」なるものの分析に興味があるらしい。
* 「office 氏ゴラァ」で終わる記事ではバランスに欠けるらしい。なぜ?
* 多数が見ている場所で入手した個人情報を公開する必要があったのかという話題にはあまり触れたくないように見える。

 以下、ポイント毎に書いておく。

現時点 (2004/01/07 1:00 AM) で office 氏のサイト (www.office.ac) 上に「ACCS のユーザ様 (中略) への謝罪」と題した文書が掲載されているが、 office 氏自身が個人情報が含まれる資料を多数のカンファレンス参加者 (asahi.com によれば約 300 人) に向けて公開した点、さらに発表資料 (Microsoft PowerPoint らしい) を参加者にコピーして配布した点については一切触れられていない。

 「office 氏自身が個人情報が含まれる資料を多数のカンファレンス参加者 (asahi.com によれば約 300 人) に向けて公開した」というのは、多分、 A.D.2003 会場内に主催者が設置したサーバに置かれていた、ということなのだろうが、私自身はその時点でそこにあったのかどうかは確認していない。 もしそのような状況にあったのなら、主催者から何らかのアナウンスがされてしかるべきだろう。私の知る限り、主催者からはそのようなアナウンスはされていない。

 「発表資料 (Microsoft PowerPoint らしい) を参加者にコピーして配布した」 という行為は、それが紙媒体を意味するのであれば、私の知る限り行われていなかった。

2004.01.08 追記:

 関連記事:

2004.01.23 追記:

2004.01.30 追記:

 プレゼン資料の流出が発生した模様:

2004.02.04 追記:

 不正アクセス: 個人データ引き出す 京大の研究員を逮捕 (毎日)。ついに来てしまいましたね……。

河合容疑者は盗んだデータをイベントで公表していた。

データ全部、と取られかねない書かれ方だなあ……。公開したのはごく一部 (4 人分) なのだが……。だからって ok という話ではないが、しかしなあ……。

不正アクセス行為禁止法違反と威力業務妨害の容疑で逮捕した。
(中略)
同月8日に渋谷区内で開かれたイベントでこのデータを公開したうえ、情報が漏れたことをメールで協会に知らせ、サイトの閉鎖に追い込んだ疑い。

えぇっ?! 「メールで協会に知らせ」ると「威力業務妨害」の「疑い」で逮捕されるのなら、もはや誰も何も知らせたりはしなくなるでしょうね。そして欠陥だけが残り black hat の天下、と。メールの内容とか、そこに至るまでのプロセスにもよるのでしょうが、しかしなあ……。

河合容疑者は、掲示板サイトなどで一般的に使われているプログラム「CGIプログラム」の一部を書き換えて、

CGI それ自身を書き換えたわけではないのだが……。

関連:

2004.02.05 追記:

2004.02.06 追記:

2004.02.09 追記:

2004.02.10 追記:

2004.02.12 追記:

2004.02.13 追記:

2004.02.24 追記:

2004.03.04 追記:

 ACCS は、調査報告書 (ASKACCS) にある

本件の技術的な原因は、ASKACCS で採用していたCGIプログラムの脆弱性にあるが、本質的には、(1)ACCSが、当該CGIプログラムの採用にあたって、十分なセキュリティ等のチェックを行っていなかったこと、(2)必要以上に個人情報を取得したことが原因である。

をどのように受けとめた上で損害賠償訴訟を開始したのだろう。 それはそれ、これはこれ、なのだろうか。

ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題
(Microsoft, 2004.01.06)

ntoskrnl.exe を含む修正プログラムをインストール後に、ハイパースレッディングの設定を変更した場合には、ntoskrnl.exe を含む修正プログラムのアンインストールを行なわないで下さい。

 ……なんだかなあ……なんちゅう OS だ……。

2004.01.10 追記:

 池田さんから情報をいただきました (ありがとうございます)。

「ハイパー スレッディング対応マシンにて修正プログラムをアンインストールすると発生する問題 」についてはある程度、理由は推測できます。ハイパースレッディングの実装が、ソフトウェアから見ると、マルチプロセッサに見える以上、ハイパースレッディングを有効にした段階で、マルチプロセッサカーネルがインストールされているはずです。

で、それを念頭において、現象の文章を見ると、

ハイパースレッディングを OFF に設定した状態で、ntoskrnl.exe を含む修正プログラムをシステムにインストール後、 ハイパースレッディングの設定を ON に変更し、ntoskrnl.exe を含む修正プログラムをアンインストールした場合、オペレーティングシステムが起動できなくなる現象が発生することがあります。

修正プログラムの前後で、ハイパースレッディングのON/OFFを切り替えているので、カーネルはマルチプロセッサ・シングルプロセッサで行き来していることがわかります。こいつは、本来、カーネル自体を再構築しなければ、いけないくらい大きなインパクトを与えるはずです。

おそらく、その前後で、インストールされるファイルに不整合が発生するのでしょう。多分、マルチプロセッサ構成にしなければならないところに、シングルのを持ち込んだりするのでしょう。

2004.01.05

ツールもの
(various)

IE もの
(various)

 次から次へときますねぇ……。

 関連記事: IEに2種類の新たなセキュリティ・ホールが見つかる (日経 IT Pro)。日経 IT Pro 勝村氏による解説記事。

いろいろ
(various)

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

 NAI VirusScan の ウィルス定義ファイル 4311 以降で、この欠陥に対応されている。


[セキュリティホール memo]
私について