SecurityFocus.com Newsletter #111 2001-9-14->2001-9-18

To: bugtraq-jp@SECURITYFOCUS.COM
Subject: SecurityFocus.com Newsletter #111 2001-9-14->2001-9-18
From: SAKAI Yoriyuki <sakai@lac.co.jp>
Date: Tue, 25 Sep 2001 10:04:05 +0900
Delivered-To: mailing list bugtraq-jp@securityfocus.com
Delivered-To: moderator for bugtraq-jp@securityfocus.com
List-Help: <mailto:bugtraq-jp-help@securityfocus.com>
List-Id: <bugtraq-jp.list-id.securityfocus.com>
List-Post: <mailto:bugtraq-jp@securityfocus.com>
List-Subscribe: <mailto:bugtraq-jp-subscribe@securityfocus.com>
List-Unsubscribe: <mailto:bugtraq-jp-unsubscribe@securityfocus.com>
Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 111 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Date: Mon, 24 Sep 2001 12:23:23 -0600 (MDT)
Message-ID: <Pine.GSO.4.30.0109241222290.24253-100000@mail>

SecurityFocus Newsletter #111
- -----------------------------

This issued sponsored by: Osborne/McGraw-Hill

I. FRONT AND CENTER
     1. An Introduction to OpenSSL, Part Three: PKI- Public Key
        Infrastructure
     2. Anonymizing with Squid Proxy
     3. What September 11th May Mean to Netizens
II. BUGTRAQ SUMMARY
     1. Microsoft Index Server 2.0 File Information and Path Disclosure...
     2. WebDiscount E-Shop Remote Arbitrary Command Execution...
     3. Oracle 9i Application Server Path Revealing Vulnerability
     4. Computer Associates ARCServe Insecure Default Network Share...
     5. Computer Associates ARCServe Cleartext Administrative Password
     6. ZyXel Prestige 642R Router WAN Port Filter Bypass Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. Terror attacks revive crypto debate
     2. Yahoo! News hacked
     3. 'Nimda' worm hits net
     4. Hacking Vigilantes Deface WTC Victim's Site
IV.SECURITYFOCUS TOP 6 TOOLS
     1. IIS Worms Detector
     2. Code Blue Removal Utility
     3. Worm Report 1.2
     4. ifmonitor
     5. dcetest
     6. NFR BackOfficer Friendly v1-01


I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------
1. Microsoft Index Server 2.0 File Information and Path Disclosure Vulnerability
BugTraq ID: 3339
リモートからの再現性: あり
公開日: 2001-09-14
関連するURL:
http://www.securityfocus.com/bid/3339
まとめ:

IIS 4.0 に同梱されているサンプルファイル、sqlqhit.asp は Web を利用す
る SQL クエリを行うサンプルである。

このサンプルに対し、悪意あるユーザは特別に組み立てられた HTTP リクエス
トを Index Server を実行している IIS へ送ることにより、パス情報やファ
イル属性を開示し、また、ファイルの内容の一部の開示が行われる可能性があ
る。

このファイルは \inetpub\iissamples\ISSamples\ 内に存在し、デフォルトで
インストールされる。

2. WebDiscount E-Shop Remote Arbitrary Command Execution Vulnerability
BugTraq ID: 3340
リモートからの再現性: あり
公開日: 2001-09-15
関連するURL:
http://www.securityfocus.com/bid/3340
まとめ:

Webdiscount E-Shop Online Shop System は Web を利用した電子商取引を可
能にするアプリケーションであり、Michael Boehme によって作成されている。

このソフトウェアのデフォルト状態では、スクリプトへ悪意ある入力をユーザ
が行える可能性があると考えられる。これは信頼できない入力元からの入力に
対して十分な内容のフィルタリングを怠っているためである。
例えば、攻撃者がシェル用のメタキャラクタ (';'、'|'  等) を用いる事がで
きる場合、これにより Web サーバのプロセスの実行権限で任意のコマンドの
実行が行われる事が想定できる。

以下は悪意ある Web リクエストの例である。

host/cgi-bin/eshop.pl?seite=;ls|

この問題を利用する攻撃が成功した場合、攻撃者へ重要な情報が開示される可
能性がある。

3. Oracle 9i Application Server Path Revealing Vulnerability
BugTraq ID: 3341
リモートからの再現性: あり
公開日: 2001-09-17
関連するURL:
http://www.securityfocus.com/bid/3341
まとめ:

Oracle 9i Application Server は Apache に由来を持つ Web サーバであり、
Java servlet のエンジンである。

このソフトウェアには悪意あるユーザが Web コンテンツが含まれるフォルダ
のフルパスを参照する事を可能にする問題が存在する。もしも悪意あるユーザ
がこのソフトウェアへ存在しない .jsp ファイルに対する HTTP リクエストを
与えた場合、サーバは Web コンテンツが含まれるフォルダのパス情報を含む
エラーページを返してしまうのである。

例えば以下の HTTP リクエストは、

http://target.com/folder/java/unknown.jsp

この様にパス情報を含むエラーメッセージを返すのである。

c:\oracle\ias\apache\apache\htdocs\target\folder\java\jsp\unknown.jsp

この問題に関連する事が想定される同種の問題が Apache Tomcat 3.1 において
も発見されている。詳細は Bugtraq ID 1531 を参照されたい。

4. Computer Associates ARCServe Insecure Default Network Share Vulnerability
BugTraq ID: 3342
リモートからの再現性: あり
公開日: 2001-09-16
関連するURL:
http://www.securityfocus.com/bid/3342
まとめ:

ARCserve は Computer Associates 製の企業向けデータバックアップ、リカバ
リ機能を提供するソフトウェアである。

このソフトウェアのいくつかのバージョンでは、同一ドメイン内のいかなるユー
ザに対しても利用可能な共有資源、ARCSERVE$ を残したままにしてしまう、セ
キュアではないデフォルトインストール設定が行われている。

この共有資源へアクセスする事で、悪意あるユーザは重要なシステム情報を読
み出せ、あるいは、バックアップ処理を左右するファイルを上書き可能である。

なお、この製品に関する他の問題 (CA ARCServe Cleartext Administrative
Password Vulnerability) はこの問題の影響範囲をより広げる事に利用可能で
ある。

5. Computer Associates ARCServe Cleartext Administrative Password Vulnerability
BugTraq ID: 3343
リモートからの再現性: あり
公開日: 2001-09-16
関連するURL:
http://www.securityfocus.com/bid/3343
まとめ:

ARCserve は Computer Associates 製の企業向けデータバックアップ、リカバ
リ機能を提供するソフトウェアである。

このソフトウェア用の管理用アカウントと対応するパスワードは平文で以下の
ファイルに格納されている。
	\ARCSERVE$\DR\<TARGET_SERVER>\aremote.dmp.

バックアップを行うためのアカウントはシステムファイルへアクセス可能であ
り、また、NT ドメインの Administrator アカウント同様の権限で設定されて
いる可能性があるため、ARCserve 用アカウント情報を読み出し可能な攻撃者は
攻撃対象のホストを管理可能な権限を奪取する可能性がある。

6. ZyXel Prestige 642R Router WAN Port Filter Bypass Vulnerability
BugTraq ID: 3346
リモートからの再現性: あり
公開日: 2001-09-18
関連するURL:
http://www.securityfocus.com/bid/3346
まとめ:

ZyXel Prestige Routers では、管理者が WAN 側と LAN 側のインタフェースの
両方においてポートのフィルタリングを行う事が可能である。デフォルト状態に
おいて、フィルタの設定は WAN 側に割り当てられた IP アドレスがポート番号
23 番 (TCP) で提供されている telnet を利用する管理用インタフェースと、
ポート番号 21 番 (TCP) で提供されている FTP を利用する管理用インタフェー
スへのアクセスを禁止する設定が行われている。

また、管理者は LAN 側のインタフェースにおいても内部ネットワークの利用者
が管理用インタフェースへアクセスできないようにするためにフィルタを設定
する事が可能である。

WAN 側のインタフェースはこれらのポートへの内部用 IP アドレスによるアク
セスをフィルタしていないため、内部の攻撃者はルータの WAN 側の IP アド
レスに接続する事で管理用インタフェースへアクセスできてしまうのである。

なお、この問題は内部ネットワークへのアクセスを既に行っている悪意あるユー
ザによってのみ攻撃可能である点は、注記されねばならない。


III. SECURITYFOCUS NEWS AND COMMENTARY
- ------------------------------------------
1. Terror attacks revive crypto debate
著者: Ann Harrison

専門家は暗号鍵リカバリーシステムはネットワークセキュリティに対する脅威
であると警告を発した。

http://www.securityfocus.com/news/256

2. Yahoo! News hacked
著者: Kevin Poulsen

ニュース記事に被害を与えた犯人はまだ発見されていない。

http://www.securityfocus.com/news/254

3. 'Nimda' worm hits net
著者: Kevin Poulsen

IIS と Microsoft Outlook へ自己実行型のウイルスが被害を与えている。

http://www.securityfocus.com/news/253

4. Hacking Vigilantes Deface WTC Victim's Site
著者: Brian McWilliams, Newsbytes

Web の改ざんの首謀者は一般に考えられているよりもより多くの時間を利用で
きているのである。

http://www.securityfocus.com/news/252

IV.SECURITYFOCUS TOP 6 TOOLS
- -----------------------------
1. IIS Worms Detector
作者: Felipe Moniz
関連するURL:
http://www.securityfocus.com/tools/2224
動作環境: Windows 2000 and Windows 95/98
まとめ:

このソフトウェアは Code Red、Code Blue、Nimda ワームに関するスキャンを
ローカルから行います。

2. Code Blue Removal Utility
作者: Felipe Moniz, Security Specialist
関連するURL:
http://www.securityfocus.com/tools/2223
動作環境: Windows 2000
まとめ:

このソフトウェアは IIS 5.0 向けの Code Blue 発見および除去ユーティリティ
です。

3. Worm Report 1.2
作者: Robert S Muhlestein <rmuhlestein@yahoo.com>
関連するURL:
http://www.securityfocus.com/tools/2226
動作環境: Propietary Hardware
まとめ:

Worm Report はアクセスログから既知のワームによるアクセス記録の抽出をワー
ムの影響を受けたホストの IP 別、あるいはホスト別に分類されたファイルへそ
れぞれ行う、Perl で記述されたシンプルなスクリプトです。
回数、ホスト名、IP アドレス、所属ドメインの推測が含まれる基本報告はそれ
ぞれの情報分別を行いやすくするために標準出力へ出力されます。このスクリ
プトはワームに関する簡潔な情報を必要とする人々が有用にお使い頂けるもの
です。新しいワーム情報の追加はスクリプト内の DATA セクションにワームに
よるアクセスを示す文字列を追加する事で可能で、Apache 用のモジュールがそ
うある様に他に何もしなくてよい様に、利用しやすく (あるいは余す所がなく)
設計されています。

4. ifmonitor
作者: Edson Medina
関連するURL:
http://www.securityfocus.com/tools/2225
動作環境: Linux
まとめ:

ifmonitor は Linux 向けのネットワークインタフェースを経由するトラフィッ
クのログ採取と図化を行うソフトウェアです。このソフトウェアは SNMP には
依存せず、Perl/PHP によって記述されています。このソフトウェアはログを記
録するために MySQL を利用します。

5. dcetest
作者: daitel@atstake.com
関連するURL:
http://www.securityfocus.com/tools/2173
動作環境: UNIX
まとめ:

この小さなユーティリティは Windows からの MSRPC エンドポイント情報をダ
ンプします。Microsoft から提供されている rpcdump に類似していますが、DCE
スタックを必要としません。このため UNIX 上で動作します。このソフトウェ
アは DMZ 内でネットワーク上に存在する Windows で動作しているコンピュータ
のフィンガープリントを採取する場合に非常に有効にお使い頂けます。
このソフトウェアはポート番号 135 (TCP) で動作します。
(Windows 環境での rpcinfo -p コマンドの実行結果を思い浮かべてください)

6. NFR BackOfficer Friendly v1-01
作者: NFR Security
関連するURL:
http://www.securityfocus.com/tools/2222
動作環境: UNIX
まとめ:

NFR BackOfficer Friendly は軽量な不正アクセスへのアラームを発する有用な
ソフトウェアです。シンプルで、目立たず、インストールも簡単で、誰かが何
かの行為を利用者のシステムに試みる際に警告を発します。悪意あるアプリケー
ションの数々の中において、悪辣さに勝ると見なされる Back Orifice からの
攻撃も他の同種のスキャンと同様に同定します。
NFR は個人利用の目的のみにこのソフトウェアの無制限のダウンロードを許可
しています。

- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Supervised by SAKAI Yoriyuki
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki

iQA/AwUBO69ZdpQwtHQKfXtrEQKt0gCgpY7dKYUDrwiCNaEVhtXv4O99hUQAoJ/t
Mnw4W8bP/koJzeo7z6WhMXqR
=6RS2
-----END PGP SIGNATURE-----