セキュリティホール memo - 2004.11

Last modified: Thu Feb 24 20:04:27 2005 +0900 (JST)


2004.11.30

Internet Security Systems Protection Alert: Microsoft WINS Server Vulnerability
(ISS, 2004.11.29)

 Windows NT 3.51 / 4.0 / 2000 / Server 2003 の WINS サーバに欠陥。 buffer overflow する欠陥が存在し、これを利用すると remote から任意のコードを WINS サーバ実行権限 (local SYSTEM) で実行可能。 この欠陥に対応した修正プログラムはまだ存在しない。 日本語版アドバイザリ: Microsoft WINS サーバーの脆弱性 (ISSKK)。

 関連文書 890710 - How to help protect against a WINS security issue (Microsoft) には、回避策として、WINS サーバを停止する / 削除する、WINS が利用する 42/tcp と 42/udp をファイアウォールやパケットフィルタによりフィルタする、 WINS サーバ間の同期については IPsec で保護する、 が挙げられている。

 この欠陥を突く攻略プログラムについて、ISS は以下のように述べている:

At the time of publication, no exploits are available to the public at large. However, X-Force expects that exploits for this vulnerability will appear in the near future.

 また Handler's Diary November 28th 2004 (SANS ISC) は、次の情報を掲載している:

There is some activity with irresponsible released exploits against WINS. As a precaution till Microsoft gets a chance to release a patch for it, we can only reiterate the urgent and continued need to make sure you block the unneeded ports in your firewalls (either the XP2 or the corporate firewall). Ports 42, 137-139, 445 both TCP and UDP can be safely blocked for most applications.

So far we doubt this will be a huge thing, but we might be proven wrong. Still the only thing you can do is block the protocols, which you probably already did if you read this.

I’ll be the first to acknowledge that big vendors aren’t easy to get to move in order to release a patch for something you discovered in their product. Take on top of that, their legal and marketing spin once they finally do and most people will get frustrated by the process. Still that’s no excuse to release attacking details without giving the world a chance to look into it and get ready for that newly created exploit. If the hackers out there are using it, you can’t really claim to have done it yourself, and if you’ve done it all, there’s not really that urgent a need to beat anybody to releasing the details, but an urge to get your 15 minutes of fame. My guess anyway.

2004.12.01 追記:

 元ネタ: Wins.exe remote vulnerability (immunitysec.com)。

 Microsoft KB 日本語版: WINS のセキュリティの問題からコンピュータを保護する方法 (Microsoft)

2004.12.15 追記:

 fix 登場: WINS の脆弱性により、リモートでコードが実行される (870763) (MS04-045)

追記

unarj 2.63 以前に 2 つの欠陥

 fix / patch:

pacsec.jp から

 FireWire Presentation and Demos on Video (Red Team, 11/18)。

IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に

 フィンランド政府、IEの使用中止を勧告--MSのBofra対策急がれる (CNET, 2004.11.29)。 元ネタは http://www.ficora.fi/suomi/tietoturva/cert.htm#2004-11-25_1337 (CERT-FI) かなあ。

 ちなみに 2004.11.22 の話ですが、その後 Sophos は minst.exe を Troj/Virtum-A として検出するようになりました。mmdom.exe はアドウェアなのであえて検出していないようです。

全主要ブラウザに影響する脆弱性発見
(ITmedia, 2004.11.30)

 http://www.edup.tudelft.nl/~bjwever/advisory_firefox_flaws.html の話。手元で試してみたところ、Mozilla 1.7.3 や IE 6.0 SP1 ではブラウザが落ちてしまった。IE 6.0 SP2 では、ブラウザは落ちないように見える。

Windows 2000に対するサービス・パックの提供はまだ続けてほしい
(日経 IT Pro, 2004.11.27)

 例えば現在,最新のパッチまでを適用した状態のWindows 2000に,Windowsコンポーネントの1つである「WINS」を追加すると,WINSはセキュリティ・ホールが残った状態でインストールされてしまう。SP4のリリース後に,WINSのセキュリティ上のぜい弱性が発見されて,セキュリティ修正パッチがリリースされているためだ。SP4以降のパッチをすべて適用しているシステムでも,パッチを再適用しなければならない。

 試してみました。WINS 追加後に Windows Update すると MS04-006 の修正プログラム KB830352 が表示されました。 また MBSA で調べると、ここでも MS04-006 が示されました。 ですから、

でよいのでは。あと、これって「再適用」じゃないですよね。

2004.12.07 追記:

 コンポーネントを追加したときに、セキュリティ更新プログラムが適用されない現象について (日本のセキュリティチームの Blog, 2004.12.07)。 「すでにインストールされているコンポーネント」については XP / Server 2003 の「デュアルモードインストール」で解決されているが、「まだインストールされていないコンポーネント」を解決する sticky updates はまだ実装されていない、ということなのかな。 とりあえずは MBSA で確認、が現状での最善手のようです。

 Windows と Windows コンポーネント用パッケージ インストーラ Update.exe の内部メカニズム (Microsoft) は、きちんと読んでおいた方がよさそうだなあ。

Windows Updateに不具合,Windows XP SP2で重要な更新プログラムが表示されない
(日経 IT Pro, 2004.11.29)

 Windows XP SP2 で Windows Update に接続すると、 Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038) の patch、 Windows XP Service Pack 2 用累積的なセキュリティ更新プログラム (KB834707) が、なぜか表示されない模様。自動更新については何も述べられていないので、多分問題ないのでしょう。 Windows XP SP2 な人は念のため、

などしておいた方がよさそうです。

2004.11.30 追記:

 マイクロソフト、Windows XP SP2におけるWindows Updateの不具合を修正 (Internet Watch, 11/30)。修正されたようです。


2004.11.29

追記

Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK

 .go.jp 方面などの電子申請システムには Java を使ったものが多いわけですが、例によって、この欠陥への対応は進んでいないようです。例:


2004.11.26

追記

ZIP ファイルねた

 SYM04-017: Symantec Windows LiveUpdate にサービス拒否およびディレクトリ・トラバーサルのわずかな危険性 (シマンテック, 2004.11.23)。

JVN#61857DA9: DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

 Internet-Draft が出たそうです:

ウイルス対策ソフト導入済みXP SP2でブルースクリーンになる不具合
(Internet Watch, 2004.11.26)

 Windows XP SP2 / XP Tablet PC Edition 2005 / Server 2003 に欠陥。 http.sys に欠陥があり、

場合に、http.sys がスタックを破壊してしまう。その結果、OS がブルーサンダー状態になってしまう。TDI フィルタドライバは、典型的にはアンチウイルスソフトやファイアウォールソフトに含まれるそうだ。

 この欠陥は Windows XP gold / SP1 には存在しない。

 Windows XP SP2 用の patch (KB887742) はあるが、Windows Server 2003 用の patch はまだない模様。Windows XP Tablet PC Edition 2005 用の patch については明記されていないのだが、

The Windows XP SP2 features and components are included in Windows XP Tablet PC Edition 2005.

だそうなので、Windows XP SP2 用の patch を適用できるんじゃないかという気がする。

2005.02.24 追記:

 KB 887742 の日本語版が登場: 887742 - Windows XP Service Pack 2 または Windows Server 2003 で Stop エラー "Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)" が表示される。 また、patch が Windows Update でも配布されているそうだ (日経 IT Pro)。 ただし、Windows Server 2003 用の patch はまだないし、Windows XP Tablet PC Edition 2005 に Windows XP Service Pack 2 用の patch を適用してもいいのか否かも明確ではない。Windows XP Tablet PC Edition 2005 で Windows Update してみれば答はわかるのかもしれない。


2004.11.25

追記

Microsoft Internet Explorer Two Vulnerabilities

 Internet Explorer 6.0 SP2 File Download Security Warning Bypass Exploit (k-otik.com)。上記における、後者の問題 (ファイル拡張子偽装) の exploit。 これ (非 IIS 版) を使ったテストページ をつくりました。

 マカフィーはこの exploit に対応したようです: Exploit-NotFound

[Full-Disclosure] Advisory 15/2004: Cyrus IMAP Server multiple remote vulnerabilities

 fix / patch:

Bash scripts run via Sudo can be subverted

 fix / patch:

いろいろ
(various)

unarj 2.63 以前に 2 つの欠陥
(various)

 unarj 2.63a 以前に 2 つの欠陥。

 unarj じゃなくて arj を使うべき、という話もある模様。Debian の unstable では unarj は arj のダミーらしい。

fix / patch:

XSS vulnerability in plugin/color.inc.php (1.4.x)
(タレコミ, 2004.11.25)

 PukiWiki 1.4.x に含まれる color プラグインに、クロスサイトスクリプティング欠陥が存在したそうです。plugin/color.inc.php 1.13 で修正されているそうです。 heno さん情報ありがとうございます。


2004.11.24

いろいろ
(various)

追記

[Full-Disclosure] iDEFENSE Security Advisory 10.18.04: Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability

 関連か: F-Secure Security Bulletin FSC-2004-3: ZIP-files with zero size may bypass scanning。 修正プログラムがあるので適用すればよい。

[SA13269] Winamp "IN_CDDA.dll" Buffer Overflow Vulnerability

 Winamp 5.06 でも欠陥が修正されていない旨が、問題発見者自身から指摘されている: [Full-Disclosure] Winamp - Buffer Overflow In IN_CDDA.dll [Unpatched]。 問題発見者は、 回避方法として、拡張子 .cda および .m3u への Winamp の登録を削除する事を挙げている。 うーむ。

Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK
(Sun, 2004.11.22)

 Java SDK / JRE 1.4.2_05 以前、1.4.1 および 1.4.0 系列全て、1.3.1_12 以前に欠陥。これらに含まれる Java Plug-in に欠陥があり、JavaScript を利用して、Java セキュリティマネージャを無効にできてしまう。この結果、Java アプレットをサンドボックスによる制限なしで動作させることが可能となる。

 Java SDK / JRE 1.4.2_06 および 1.3.1_13 で修正されている。 また、SDK / JRE 5.0 にはこの欠陥はない。関連:

2004.11.29 追記:

 .go.jp 方面などの電子申請システムには Java を使ったものが多いわけですが、例によって、この欠陥への対応は進んでいないようです。例:

2004.12.10 追記:

 サン、Javaプラグインの配布で不手際--初心者対応で課題浮き彫りに (CNET, 2004.12.08)。不手際というか、昔も今も変わらない企業というか。 [問] Microsoft の変化ぶりと比較せよ (20 点)。

 いたがきさんから (ありがとうございます):

Javaプラグインのアップデート配布の問題についてCNETに報じられていましたが、今日現在、プラグインの自動アップデート機能(コントロールパネルによるもの)が機能していないようです。1.4.2_05のマシンで手動確認ボタンを押しても、「最新のプラグインになっています」などというメッセージが表示されます。

 試しに J2SE SDK 1.4.2_03 をインストールして、Java Plug-in コントロールパネルからアップデートしてみたら、そこに現れるのは J2SE JRE 1.4.2_05-b04 というものでした。ふぅむ。なぜ 1.4.2_06 ではないのでしょうねえ。

2005.01.07 追記:

 SYM05-001: Sun Alert ID 57591:Java Runtime Environment (JRE) (シマンテック, 2005.01.04)。Symantec Gateway Security 5400 Series v2.0 / v2.0.1 、Symantec Enterprise Firewall v8.0 が該当するそうです。


2004.11.23

[Full-Disclosure] Advisory 15/2004: Cyrus IMAP Server multiple remote vulnerabilities
(Full-Disclosure, Tue, 23 Nov 2004 08:22:48 +0900)

 Cyrus IMAP Server に 4 つの欠陥。攻撃者は任意のコードの実行が可能となる。

 Cyrus IMAP Server 2.2.9 で修正されている。

fix / patch:

APPLE-SA-2004-11-22 iCal 1.5.4
(Apple, 2004.11.23)

 iCal 1.5.3 以前に欠陥。 iCal でカレンダーを開くとき、あるいは import するときに、そのカレンダーに alarm が含まれていても、何の警告も表示されなかった。 alarm にはプログラムを開いたりメールを送ったりできる機能があるため、悪意あるカレンダーによって任意のコマンドが警告なしに実行される恐れがあった。

 iCal 1.5.4 で修正されている。iCal 1.5.4 では、そのようなカレンダーを開く / import する際には承認を求めるようになったようだ。

[SA13269] Winamp "IN_CDDA.dll" Buffer Overflow Vulnerability
(secunia, Tue, 23 Nov 2004 18:54:47 +0900)

 Winamp 5.05 以前に欠陥。IN_CDDA.dll に stack buffer overflow する欠陥があり、 細工した .m3u ファイルを利用して任意のコードを実行させることが可能。 詳細: [Full-Disclosure] Winamp - Buffer Overflow In IN_CDDA.dll

 Winamp 5.06 で修正されている。

2004.11.24 追記:

 Winamp 5.06 でも欠陥が修正されていない旨が、問題発見者自身から指摘されている: [Full-Disclosure] Winamp - Buffer Overflow In IN_CDDA.dll [Unpatched]。問題発見者は、 回避方法として、拡張子 .cda および .m3u への Winamp の登録を削除する事を挙げている。うーむ。

2004.12.06 追記:

 Winamp 5.07 が登場しています。欠陥が修正されたことになっているようです。

[Full-Disclosure] Sun Java Plugin arbitrary package access vulnerability
(Full-Disclosure, Tue, 23 Nov 2004 10:39:38 +0900)

 誤解を招きやすい内容だったので、書きなおしました。 書き直したもの: 57591: Security Vulnerability With Java Plug-in in JRE/SDK


2004.11.22

883951 - Microsoft Office 2004 for Mac Service Pack 1 (11.1.0) について
(Microsoft, 2004.11.19)

 セキュリティな話としては、

FileVault が有効な場合でも自動バックアップが正常に動作します。
マクロを含む書類を開くときのセキュリティが強化されました。
SSL を使用した SMTP が強化されました。

あたりか。improve の訳語は「強化する」よりも「改善する」の方が適切な場合が多いと思うのだが。

 あと、Office 2004 for Mac SP1 については、こんな話もあるそうで: 888136 - [XL2004] Excel 2004 for Mac を終了する時のエラー "非表示モジュール AutoExec 内でコンパイル エラーが発生しました。" (Microsoft)。

890435 - [MacIE] 指紋が17 バイト表示される。
(Microsoft, 2004.11.19)

 Mac OS X 用 IE 5.2 における 証明書の fingerprint の表示において、17 バイト目が異常になることがある模様。

1バイト目から16バイト目の情報が正しい場合には指紋情報が正しいと判断できますので 、現象が発生した際には 17 バイト目は無視して下さい。

 この会社は fingerprint を何だと思っているのだ。今すぐ直しなさい。

追記

ISA Server 2000 および Proxy Server 2.0 の脆弱性により、インターネット コンテンツのなりすましが行われる (888258) (MS04-039)

 890097 - マイクロソフト セキュリティ更新プログラム MS04-039 のインストール後に複数の障害が発生する (Microsoft)

IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に

 アドウェア屋さんもこの欠陥を使いはじめたようです:

 62.4.84.45 はまだ生きているようです。get できるものを検査してみると、

  • ClamAV 0.80 (main.cvd 28, daily.cvd 600) は mmdom.exe を Trojan.Dropper.Virmo-1 として検出しました。
  • トレンドマイクロ VSAPI v7.000-1011 (2.257.00) は minst.exe を TROJ_DLOADER.R として検出しました。
  • マカフィー VSE 8.0i (engine 4320, dat 4409) は minst.exe を Vundo として検出しました。
  • NOD32 (1.928) は mmdom.exe を Win32/Spy.Agent.NAD トロイとして検出しました。
  • Sophos AntiVirus 3.87.0 は何も検出しませんでした。

2004.11.19

netVigilance Security Advisory 5: Multiple XSS Vulnerabilities in phpMyAdmin 2.6.0-pl2 and prior
(netvigilance.com, 2004.11.18)

 phpMyAdmin 2.6.0-pl2 以前に複数のクロスサイトスクリプティング欠陥があるそうで、2.6.0-pl3 で直ったそうです。

ZoneAlarm Security Suite / ZoneAlarm Pro Ad-Blocking Instability
(Zone Labs, 2004.11.18)

 ZoneAlarm Security Suite / ZoneAlarm Pro に欠陥。 ad-blocking 機能に欠陥があり、web サイト上の特殊な JavaScript により DoS 状態になる。

 2004.11.8 に登場した 5.5.062 版で修正されている。 Check For Update を利用してアップデートすればよい。

追記

pacsec.jp から

 pacsec.jp に参加した方から、Firewire/IEEE1394に物理的セキュリティ侵害につながる脆弱性 は恐いものがあった旨、教えていただいた。 ターゲットコンピュータに IEEE1394 経由で攻撃者のコンピュータを接続し、とあるツールを動かすと、ターゲットコンピュータの内部情報にアクセスできる他、ターゲットコンピュータ上で動作しているプロセスの権限を直接 (!) 変更できたりする……というデモが行われた模様。

[SquirrelMail Security Advisory] Cross Site Scripting in encoded text

 fix / patch:

ISA Server 2000 および Proxy Server 2.0 の脆弱性により、インターネット コンテンツのなりすましが行われる (888258) (MS04-039)

 ISA Server 2000 (SBS 2000 / 2003) 用の patch が改訂されています。

  • ISA Server 2000 SP1 で動作するために必要なファイルが不足していた
  • Windows 2000 SP3 にうまくインストールできなかった
Bash scripts run via Sudo can be subverted

 とか言っている間に sudo 1.6.8p4 が出ましたよ。

552) The KRB5CCNAME environment variable is preserved during sudo execution for password lookups that use GSSAPI.

だそうです。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

 WORM_GOLTEN.A (トレンドマイクロ)。 Graphics Rendering Engine の脆弱性- CAN-2004-0209 を利用するウイルスだそうです。

Microsoft Internet Explorer Two Vulnerabilities
(secunia, 2004.11.17)

 SP2 を含む Internet Explorer 6 に 2 つの欠陥がある、という指摘。

 両者を組みあわせることで、攻撃ファイルを自動的にユーザコンピュータ上に保存させことが可能となるという。

 回避するには、アクティブスクリプトを無効とし、フォルダオプション「登録されている拡張子は表示しない」を無効にする (チェックを外す)。

 なお、MS、IEの脆弱性公表は「無責任」と批判 (ITmedia, 11/18) のように「secunia がバラした」と勘違いしている人がいるようだが、 secunia が報じた欠陥を発見したのは cyber flash という、secunia の外の人の模様。 完全未公開なら secunia は報じないだろうから、どこかでは詳細が公開されているのだろう (憶測度 200%)。

2004.11.25 追記:

 Internet Explorer 6.0 SP2 File Download Security Warning Bypass Exploit (k-otik.com)。上記における、後者の問題 (ファイル拡張子偽装) の exploit。 これ (非 IIS 版) を使ったテストページ をつくりました。

 マカフィーはこの exploit に対応したようです: Exploit-NotFound

他の IE ねた
(various)

FreeBSD Security Advisory FreeBSD-SA-04:16.fetch
(announce-jp, Fri, 19 Nov 2004 10:59:04 +0900)

 FreeBSD に付属の fetch コマンドに欠陥。整数オーバーフローが原因による buffer overflow が発生。攻略サーバに fetch で接続した場合に、fetch 動作権限により任意のコードを実行可能。

 FreeBSD 4.8 / 4.10 / 5.2 / 5.3 対応の patch が用意されている他、最新の RELENG_4_7 / RELENG_5_0 以降で修正されている。

JVN#B410A83F: Shuriken Pro3 のS/MIME機能で署名検証時にFromアドレスが確認されない
(JVN, 2004.11.19)

 Shuriken Pro3 に欠陥。電子署名メールにおいて、証明書の電子メールアドレスと、送られてきた電子メールに記載された電子メールアドレスが異なっていても警告が表示されないため、不適切な電子署名メールを正当と判断してしまいかねない。

 2004.11.16 以降の Shuriken Pro3 アップデートモジュールにより対応されている。 Shuriken Pro3 には Shuriken Pro3 、Shuriken Pro3 /R.2、Shuriken Pro3 /R.2 [ベリサイン セキュリティメールセット]でデジタル署名付きでメールを送信した際に受信者側で警告が表示される現象につ いて という話もあり、これについては 2004.06.30 以降のアップデートモジュールで対応されているようですね。

JVN#7C9208F1: Becky! Internet Mail におけるS/MIME の署名検証に脆弱性
(JVN, 2004.11.17)

 Becky! S/MIME plug-in 1.03 以前に欠陥。証明書チェインや証明書の有効期間が検証されないため、自己署名証明書を利用した詐称電子署名メールに気がつかなかったり、期限切れの証明書による署名に気がつかなかったりする。 また、証明書の電子メールアドレスと、送られてきた電子メールに記載された電子メールアドレスが異なっていても警告が表示されないため、不適切な電子署名メールを正当と判断してしまいかねない。

 Becky! S/MIME plug-in 1.04 で修正されている。Becky! S/MIME plug-in 1.04 は 2004.09.20 に作成されているようですね。

InterScan for Lotus Notes: InterScan管理者でないユーザがWebAccessを利用してウイルス検索設定を操作できるという報告について
(トレンドマイクロ, 2004.11.17)

 InterScan for Lotus Notes 2.51, 2.51J, 2.6, 2.6+SP1 に欠陥。 管理者権限がなくても、「ドミノWebAccess」を利用して InterScan を無効化できてしまう。

 patch は今のところ存在しないようだ。回避方法が記されているので、いずれかの方法を実施する。と言っても具体的な方法は記載されていないようなので、サポートに相談するのかな。


2004.11.18

追記

Apache <= 1.3.32 mod_include local buffer overflow Exploit

 fix / patch:

Bash scripts run via Sudo can be subverted

 どうやら sudo 1.6.8p2 は不十分だったようで、sudo 1.6.8p3 が出ています。 1.6.8p2 で修正されたはずの

549) Bash exported functions and the CDPATH variable are now stripped from the environment passed to the program to be executed.

が 1.6.8p3 では

549) Bash exported functions are now stripped from the environment passed to the program to be executed.

となっており、新たに

550) The CDPATH variable is now stripped from the environment passed to the program to be executed.

551) Fix temp file generation on systems where the _PATH_VARTMP macro lacks a trailing slash.

が追加されています。つまり、1.6.8p2 では CDPATH まわりが未修正である、と。 うぅ、1.6.8p2 を入れまくったのに……。(T_T)


2004.11.16

[SA12995] ImageMagick EXIF Parser Buffer Overflow Vulnerability
(secunia, 2004.10.28)

 ImageMagick 6.1.1 以前に欠陥。EXIF 形式ファイルの処理において buffer overflow する欠陥があり、攻略 EXIF ファイルによって任意のコードの実行が可能。 CVE: CAN-2004-0981

 ImageMagick 6.1.2 以降で修正されている。 ChangeLog

2004-10-25 Daniel Kobras <[email protected]>
* Fix EXIF code to prevent an overflow of the ifdstack array by one entry.

がこの修正。

fix / patch:

Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意
(Yahoo!, 2004.11.15)

 [memo:7884] Yahoo!を装った日本語フィッシングメール で語られているフィッシングメールの話。 [memo:7890] によると、このフィッシングは Yahoo! メールに存在するクロスサイトスクリプティング脆弱性を利用して JavaScript を実行し、情報を取得したり利用者をダマしたりしている模様。 さらに、[memo:7895] によると、偽サイトにも欠陥があるため、偽サイトに送られたはずの ID / password 情報が、騙されている他の Yahoo! ユーザに渡ってしまう場合がある模様。

 回避方法としては、web ブラウザで JavaScript を無効とすればよいようです [memo:7892]。しかし JavaScript 無効な web ブラウザで Yahoo! メールにアクセスすると、「ご利用のブラウザのJavaScriptの設定が無効になっている場合は下記の手順に従って、JavaScriptの設定を有効にしてください」と言われてしまいますね。

2004.12.06 追記:

 詳細が公開されています: ヤフーからの通知を装った日本語フィッシングで何が起きていたか (高木浩光@自宅の日記, 2004.12.05)。

Samba 3.x QFILEPATHINFO unicode filename buffer overflow
(bugtraq, 2004.11.16)

 Samba 3.0.7 以前の 3.0.x に欠陥。 細工した TRANSACT2_QFILEPATHINFO リクエストにより UJNICODE ファイル名での buffer overflow が発生、remote から任意のコードの実行が可能。 CVE: CAN-2004-0882

 Samba 3.0.8 で修正されている。また Samba 3.0.7 用の patch が用意されている。

IPSwitch-IMail-8.13 Stack Overflow in the DELETE Command
(bugtraq, 2004.11.13)

 IPSwitch IMail 8.13 に欠陥。長大な DELETE コマンドにより buffer overflow が発生するため、IMail の認証を通過できるユーザが、IMail 上で任意のコードを実行可能。

 最新は 8.14 のようだけど、この欠陥が修正されているのかどうかはよくわからない。 情報は Support のページ にいろいろあるみたいなんだけど。

[SA13191] Skype "callto:" URI Handler Buffer Overflow Vulnerability
(secunia, 2004.11.16)

 Windows 版の Skype に欠陥。callto: URI の取り扱いにおいて buffer overflow する欠陥があるため、攻略 callto: URI により任意のコードを実行される可能性がある。 secunia は The vulnerability affects versions 1.0.*.95 through 1.0.*.98 と書いているが、Windows 版 Skype の Change Log を見る限り、それに合致するのは 1.0.0.97 のみ。

 最新の Skype 1.0.0.100 で修正されている模様。

 関連: [Full-Disclosure] Skype callto:// BoF technical details


2004.11.15

Bash scripts run via Sudo can be subverted
(Sudo, 2004.11.11)

 sudo 1.6.8p1 以前に欠陥。 sudo で bash スクリプトを実行できる場合、local user による権限上昇が可能な模様。sudo 1.6.8p2 で修正されている。また、sudoers ファイルで

Defaults env_reset

を設定することで回避できる。

2004.11.18 追記:

 どうやら sudo 1.6.8p2 は不十分だったようで、sudo 1.6.8p3 が出ています。 1.6.8p2 で修正されたはずの

549) Bash exported functions and the CDPATH variable are now stripped from the environment passed to the program to be executed.

が 1.6.8p3 では

549) Bash exported functions are now stripped from the environment passed to the program to be executed.

となっており、新たに

550) The CDPATH variable is now stripped from the environment passed to the program to be executed.

551) Fix temp file generation on systems where the _PATH_VARTMP macro lacks a trailing slash.

が追加されています。つまり、1.6.8p2 では CDPATH まわりが未修正である、と。 うぅ、1.6.8p2 を入れまくったのに……。(T_T)

2004.11.19 追記:

 とか言っている間に sudo 1.6.8p4 が出ましたよ。

552) The KRB5CCNAME environment variable is preserved during sudo execution for password lookups that use GSSAPI.

だそうです。

fix / patch:

追記

[UNIX] Apache Multiple Space Header DoS

 fix / patch:

Fixed in Apache httpd 2.0.53-dev: SSLCipherSuite bypass CAN-2004-0885

 fix / patch:


2004.11.12

0081-01 VERITAS Cluster Server のセキュリティ脆弱性について
(CTC, 2004.11.12)

 VERITAS Cluster Server Solaris 版 / Linux 版に欠陥。 local user が root 権限を奪取可能。patch があるので適用すればよい。 また、VERITAS Cluster Server のコマンド群を chmod 500 することで回避できる。

Mozilla Firefox Multiple Vulnerabilities
(secunia, 2004.11.10)

 Mozilla Firefox の正式版 1.0 では、プレリリース版に存在した、 Known Vulnerabilities in Mozilla には記載されていない 3 つの欠陥が修正されているそうだ。

 Firefox 利用者は 1.0 にアップグレードしましょう。

Cisco Security Advisory: Cisco IOS DHCP Blocked Interface Denial-of-Service
(CISCO, 2004.11.10)

 CISCO IOS 12.2(18)EW, 12.2(18)EWA, 12.2(14)SZ, 12.2(18)S, 12.2(18)SE, 12.2(18)SV, 12.2(18)SW に欠陥。DHCP サーバ / DHCP リレーエージェントを動作させている (no service dhcp していない) 場合に、特定の細工した、配送できないような DHCP パケットを送られると、それが入力 queue に溜りつづけてしまう。そのようなパケットで queue が埋めつくされると DoS 状態になってしまう。

 DHCP が必要なければ no service dhcp することでこの欠陥を回避できる。また ACL を利用することで、攻撃を受ける可能性を小さくすることができる。

 対応としては、修正版の IOS が用意されているので、それに入れかえればよい。

 関連:

[UNIX] Apache Multiple Space Header DoS
(securiteam, Tue, 02 Nov 2004 23:14:32 +0900)

 apache 2.0.35〜2.0.52 に欠陥。大量の空白リクエストを送ると、apache が DoS 状態になってしまう。

 最新の apache 2.0.x 開発版では修正されている模様。

fix / patch:

2005.02.11 追記:

 Apache 2.0.53 が登場した。 CHANGES_2.0

SYM04-016: Symantec Norton AntiVirus Auto-Protect アラート通知の脆弱性により、限定的なサービス拒否が発生する
(シマンテック, 2004.11.10)

 このへんの話:

 指摘者は、Norton AntiVirus の「スクリプトブロック」機能をかいくぐって Auto-Protect (CCapp.exe) を停止させる VBScript を書くことができる、と主張しているみたい。シマンテックとしては、CCapp.exe を停止されても Auto-Protect そのものは生きているのでたいしたことにはならない、ということみたい。

 Norton AntiVirus 2005 用の patch があり、サポートから入手できるそうだ。


2004.11.11

[Full-Disclosure] Linux ELF loader vulnerabilities
(Full-Disclosure, Wed, 10 Nov 2004 20:59:25 +0900)

 Linux 2.4.27 以前 / 2.6.8 以前の ELF バイナリローダにおいて、 setuid されたバイナリの処理に複数の欠陥があるという指摘。 local user が root 権限を奪取できる可能性があるという。 デモコードが付属している。

 Linux 2.6.9 も同様だとフォローされている。

[SA13130] Samhain Database Update Code Buffer Overflow Vulnerability
(secunia, 2004.11.09)

 Samhain 1.8.9〜2.0.1 に欠陥。 データベースを更新するためのコードに欠陥があり、local user が samhain 動作権限を奪取できる模様。 ChangeLog にはこうある:

Fixed buffer overflow in sh_hash_compdata() (only in 'update' code)

 Samhain 2.0.2 で修正されている。最新は 2.0.2a。

[email protected]
(bugtraq, Tue, 09 Nov 2004 01:05:49 +0900)

 https://www.truste.org/ivalidate.php にクロスサイトスクリプティング問題が存在するという指摘。

[SquirrelMail Security Advisory] Cross Site Scripting in encoded text
(bugtraq, Wed, 10 Nov 2004 15:04:51 +0900)

 SquirrelMail 1.4.3a 以前 / 2004.11.23 以前の 1.5.1-cvs に欠陥。 特定のヘッダにおける encoded text のデコードに際してクロスサイトスクリプティング問題が発生。 1.4.3a 用の patch が用意されている。 1.5.1-cvs については、最新のものは修正されている。永野さん情報ありがとうございます。

 CVE: CAN-2004-1036

fix / patch:

Vulnerability Issues in Implementations of the DNS Protocol
(NISCC, 2004.11.09)

 特定の DNS 実装に欠陥。特定の形式の response メッセージを query メッセージと解釈してしまう実装がある。そのような実装では、query - response が無限に続く状況があり得るため、DoS 状態が発生し得る。 という理解でいいのかな。

 欠陥のあるものとしては、Axis 社の製品と、 DNS ライブラリ Poslib が示されている。 対応する JVN、NISCC-758884: DNSプロトコル実装における脆弱性 (JVN) には欠陥のあるものは記載されていない。


2004.11.10

ISA Server 2000 および Proxy Server 2.0 の脆弱性により、インターネット コンテンツのなりすましが行われる (888258) (MS04-039)
(Microsoft, 2004.11.10)

 ISA Server 2000 および Proxy Server 2.0 に欠陥。 ISA Server 2000 および Proxy Server 2.0 は、 DNS の逆引きで得られた情報をキャッシュするのはいいのだが、この逆引きキャッシュを正引きにも使用してしまう (なんちゅう実装だ……) ため、これを利用して DNS 詐称を引きおこすことが可能。結果として、 ISA Server 2000 または Proxy Server 2.0 を経由してインターネットに接続すると、偽サーバに誘導されてしまう可能性がある。 ISA 2000 は SBS 2000 / 2003 にも含まれているので注意。 ISA 2004 にはこの欠陥はない。 CVE: CAN-2004-0892

 回避策としては、ISA Server 2000 および Proxy Server 2.0 の DNS キャッシュサイズを 0 とする。具体的な方法は 889189 - How to work around the ISA Server 2000 and Proxy Server 2.0 DNS spoofing vulnerability described in Microsoft Security Bulletin MS04-039 で解説されている。

 対応としては、patch があるので適用すればよい。 patch は Proxy Server 2.0 SP1 および ISA 2000 SP1 / Feature Pack 1 / SP2 に適用できる。

2004.11.19 追記:

 ISA Server 2000 (SBS 2000 / 2003) 用の patch が改訂されています。

2004.11.22 追記:

 890097 - マイクロソフト セキュリティ更新プログラム MS04-039 のインストール後に複数の障害が発生する (Microsoft)

追記

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)

 MS04-038 の 2004.11.10 付変更に対応し、heartbeat.ocx を hrtbeat.ocx に修正。

GD Graphics Library integer overflow leading to heap overflow

 fix / patch:

[Full-Disclosure] EEYE: Kerio Personal Firewall Multiple IP Options Denial of Service
(bugtraq, Wed, 10 Nov 2004 03:38:13 +0900)

 Kerio Personal Firewall 4.0.0〜4.1.1 に欠陥。FWDRV.SYS に欠陥があり、長さ 0x00 の IP オプションを設定した TCP / UDP / ICMP パケットによって無限ループに陥ってしまう。 Kerio Personal Firewall 4.1.2 で修正されている。

 関連: KSEC-2004-11-04-01 (kerio.com)


2004.11.09

[SECURITY] CAN-2004-0930: Potential Remote Denial of Service Vulnerability in Samba 3.0.x <= 3.0.7
(bugtraq, Tue, 09 Nov 2004 02:45:02 +0900)

 samba 3.0.7 以前の 3.0.x に欠陥。 ワイルドカード文字が含まれたファイル名に対する入力値検証に欠陥があり、remote から DoS 攻撃 (高 CPU 負荷) を実施可能。 samba 3.0.7 用の patch が用意されているので適用すればよい。

 関連:

追記

IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に

 [memo:7841] などで再現成功が報告されていたので、web サーバの設定を見直したところ、再現に成功した。PoC コードは UNICODE で書かれているのだけど、手元の web サーバは

<Files *.html>
    ForceType 'text/html; charset=ISO-2022-JP'
</Files>

にしてあったので、なんだか変になっていた模様。

 というわけで、これはヤバいですね。この欠陥が修正されるまでは、IE の利用はしない方がよさそうです。Windows XP SP2 ならだいじょうぶなようですが。 関連: IEに新たなセキュリティ・ホール,WebページやHTMLメールを開くだけで被害を受ける (日経 IT Pro, 11/4)。

 あと、McAfee VSE 8.0i をインストールしてあると、VSE 8.0i のバッファオーバーフロー保護が機能して守ってくれるようです。画像

 Handler's Diary November 8th 2004 (SANS ISC)。この欠陥を利用する MyDoom 亜種が登場しているようです。

 exploit 用の signature も用意されているようです:

 関連: メールのリンクをクリックするだけで感染、IEの脆弱性を突くMydoom.AH (Internet Watch, 11/9)


2004.11.08

IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に
(ITmedia, 2004.11.03)

 MSIE <IFRAME> and <FRAME> tag NAME property bufferoverflow PoC exploit (was: pyth on does mangleme (with IE bugs!)) の件だと思われます。 対応方法としては、「IE は使わない」になるんですかねえ。 手元の Windows 2000 Server SP4 英語版 + IE 6.0 SP1、ではうまく動いてくれないみたいなので、よくわからないのですが。

2004.11.09 追記:

 [memo:7841] などで再現成功が報告されていたので、web サーバの設定を見直したところ、再現に成功した。PoC コードは UNICODE で書かれているのだけど、手元の web サーバは

<Files *.html>
    ForceType 'text/html; charset=ISO-2022-JP'
</Files>

にしてあったので、なんだか変になっていた模様。

 というわけで、これはヤバいですね。この欠陥が修正されるまでは、IE の利用はしない方がよさそうです。Windows XP SP2 ならだいじょうぶなようですが。 関連: IEに新たなセキュリティ・ホール,WebページやHTMLメールを開くだけで被害を受ける (日経 IT Pro, 11/4)。

 あと、McAfee VSE 8.0i をインストールしてあると、VSE 8.0i のバッファオーバーフロー保護が機能して守ってくれるようです。画像

 Handler's Diary November 8th 2004 (SANS ISC)。この欠陥を利用する MyDoom 亜種が登場しているようです。

 exploit 用の signature も用意されているようです:

 関連: メールのリンクをクリックするだけで感染、IEの脆弱性を突くMydoom.AH (Internet Watch, 11/9)

2004.11.22 追記:

 アドウェア屋さんもこの欠陥を使いはじめたようです:

 62.4.84.45 はまだ生きているようです。get できるものを検査してみると、

2004.11.30 追記:

 フィンランド政府、IEの使用中止を勧告--MSのBofra対策急がれる (CNET, 2004.11.29)。 元ネタは http://www.ficora.fi/suomi/tietoturva/cert.htm#2004-11-25_1337 (CERT-FI) かなあ。

 ちなみに 2004.11.22 の話ですが、その後 Sophos は minst.exe を Troj/Virtum-A として検出するようになりました。mmdom.exe はアドウェアなのであえて検出していないようです。

2004.12.02 追記:

 patch が出たようです: Internet Explorer 用の累積的なセキュリティ更新プログラム (889293) (MS04-040) (Microsoft)。

Cisco Security Advisory: Vulnerability in Cisco Secure Access Control Server EAP-TLS Authentication
(CISCO, 2004.11.02)

 Cisco Secure Access Control Server (ACS) 3.3.1 に欠陥。EAP-TLS 認証において、 形式的に正当な証明書であれば、自己署名だろうが何だろうが受け入れてしまう模様。 この欠陥は Cisco Secure ACS 3.3.1 のみに存在するそうだ。

Medium Risk Vulnerability in WinRAR
(bugtraq, Wed, 03 Nov 2004 00:50:20 +0900)

 WinRAR 3.40 以前に「medium risk vulnerability」が存在し、WinRAR 3.41 で修正されたのだそうだ。詳細については 2005.02.02 に公開されるそうだ。

勧告: Sophos Anti-Virus for Windows と「メールボックスを検索する」オプション
(Sophos, 2004.11.03)

 「メールボックスを検索する」は使っちゃダメらしい。

勧告:MailMonitor for SMTP - Unix バージョン2.1 における、変形されたメールのセキュリティ問題
(Sophos, 2004.11.05)

 Sophos MailMonitor for SMTP - UNIX 2.1 に欠陥。 詳細不明だが、細工したメールによって何かが起こる模様。 Linux / Solaris 用のアップデートパッケージが用意されているので適用すればよい。

#57606: Buffer Overflow Vulnerabilities in Sun Java System Web Proxy Server
(Sun, 2004.11.03)

 Sun Java System Web Proxy Server (Sun ONE Proxy Server) 3.6 SP4 以前に欠陥。 buffer overflow する欠陥があり、remote から Web Proxy Server 動作権限 (デフォルト: nobody) あるいは Admin Server 動作権限 (デフォルト: root) を奪取可能。Sun Java System Web Proxy Server 3.6 SP5 で修正されている。

 関連: Buffer Overflow Vulnerabilities in Sun Java System Web Proxy Server (pentest.co.uk)、 Sun fixes flaw in Java proxy server (techtarget.com)。connect をうまく扱えないそうで。

GD Graphics Library integer overflow leading to heap overflow
(bugtraq, 2004.10.26)

 GD 2.0.28 以前に欠陥。PNG ファイルの取扱いにおいて整数オーバーフローが発生するため、攻撃 PNG ファイルによって、GD を利用するアプリケーション上で任意のコードを実行可能。欠陥は gd_png.c の gdImageCreateFromPngCtx() にあるという。 CVE: CAN-2004-0990

 GD 2.0.29 で修正されている。最新は 2.0.33。

fix / patch:

[SA13028] Shadow "passwd_check()" Security Bypass Vulnerability
(secunia, 2004.10.29)

 shadow 4.0.4.1 以前に欠陥。libmisc/pwdcheck.c の passwd_check() に欠陥があり、 local user が chfn や chsh を利用してアカウントのプロパティを意図しない形で変更できてしまう。 CVE: CAN-2004-1001

 shadow 4.0.5 で修正されている。

fix / patch:

iptables May Fail to Automatically Load Some Modules
(securitytracker.com, 2004.11.01)

 iptables 1.2.11 に欠陥。特定の状況で、必要なモジュールがロードされない。 iptables.c と ip6tables.c に欠陥が含まれる模様。 CVS 版では修正されているそうだが、いつの時点で直ったのかよくわからない。 CVS の web インターフェイスは死んでいるようだし。 CVE: CAN-2004-0986

fix / patch:

Linux 2.6カーネルにセキュリティ・ホール、SUSE製品の一部に影響
(japan.linux.com, 2004.11.01)

 2.6.7 以前の Linux 2.6.x カーネルに欠陥。 iptables に整数アンダーフローする欠陥があり、remote から DoS 攻撃を実施可能。 Linux 2.6.8 で修正されている。

追記

ZIP ファイルねた

 [Full-Disclosure] [HV-MED] Zip/Linux long path buffer overflow の patch が示されている: その1その2

IEに2種類のセキュリティ・ホール,組み合わせるとXP SP2も影響を受ける

 888534 - Internet Explorer のセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法 (Microsoft)。 MS04-038 を適用し、インターネットゾーンおよびイントラネットゾーンで「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」を無効とすれば回避できるようです。


2004.11.05

 何日も前のメールを今ごろ読んでいるモード。

ZIP ファイルねた
(various)

2004.11.08 追記:

 [Full-Disclosure] [HV-MED] Zip/Linux long path buffer overflow の patch が示されている: その1その2

2004.11.26 追記:

 SYM04-017: Symantec Windows LiveUpdate にサービス拒否およびディレクトリ・トラバーサルのわずかな危険性 (シマンテック, 2004.11.23)。

2004.12.06 追記:

 zip 2.3 方面 fix:

Microsoft Security Bulletin Advance Notification Announcement
(Microsoft, 2004.11.04)

 「企業ユーザーもWindows XP SP2を適用すべき」——米MSのセキュリティ最高責任者 (日経 IT Pro, 9/24) にある「特定の顧客にセキュリティ情報を前もって知らせる制度」の提供対象が、NDA な人のみから IT Pro 一般になった模様。すばらしい。 ただしこの情報、

However, this information often changes due to the complexity of testing security updates. Therefore, the notification should not be viewed definitive.

あくまで予定であって決定ではないので注意しましょう。

 次回の Windows Update の日 (日本時間で 11/10) に予定されているのは、ISA サーバの「重要」な修正 1 件、だそうです。

追記

Apache <= 1.3.32 mod_include local buffer overflow Exploit

 fix / patch:

OpenPKG Security Advisory: OpenPKG-SA-2004.038-zlib

 zlib 1.2.2 が出たそうです。


2004.11.04


2004.11.02


2004.11.01

追記

New URL spoofing bug in Microsoft Internet Explorer

 さらに新たな手法: Re: New URL spoofing bug in Microsoft Internet Explorer。 例によってテストページをつくってみた。 IE 6.0 SP2 でもひっかかるっぽい (色が変だけど)。Mozilla 1.7.3 はひっかからない。 Opera 7.54 だとひっかかりそう (よく見れば判断できるかもなのだけど)。

 関連: IEのステータス・バーを偽装する手法が複数公開される (日経 IT Pro, 2004.11.01)

PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability

 WinSCP 3.71 が出ています。SSH core upgraded to PuTTY 0.56 だそうです。stm_d さん情報ありがとうございます。

 PuTTY 0.56 + IPv6 patch10 + fix01 というものがあるそうです。stm_d さん情報ありがとうございます。

JVN#E59B594B 鶴亀メールにおけるS/MIMEの署名検証に脆弱性

 関連: 開発者のプライドか、それとも「脆弱性」のネガティブイメージの影響か (高木浩光@茨城県つくば市 の日記, 2004.10.30)。

Apache <= 1.3.32 mod_include local buffer overflow Exploit

 apache 1.3.33 が出ました。この欠陥が修正されています。 CHANGES_1.3


[セキュリティホール memo]
私について