Return-Path: bugtraq-jp-return-60-kjm=ideon.st.ryukoku.ac.jp@securityfocus.com Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm Precedence: bulk List-Id: List-Post: List-Help: List-Unsubscribe: List-Subscribe: Delivered-To: mailing list bugtraq-jp@securityfocus.com Delivered-To: moderator for bugtraq-jp@securityfocus.com Received: (qmail 15920 invoked from network); 25 Sep 2001 01:04:12 -0000 To: bugtraq-jp@SECURITYFOCUS.COM Subject: SecurityFocus.com Newsletter #111 2001-9-14->2001-9-18 From: SAKAI Yoriyuki Message-Id: <200109251004.FJG32898.BLJBT@lac.co.jp> X-Mailer: Winbiff [Version 2.33PL2] X-Accept-Language: ja,en Date: Tue, 25 Sep 2001 10:04:05 +0900 Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 111 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - --------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - --------------------------------------------------------------------------- 引用に関する備考: ・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 原版: Date: Mon, 24 Sep 2001 12:23:23 -0600 (MDT) Message-ID: SecurityFocus Newsletter #111 - ----------------------------- This issued sponsored by: Osborne/McGraw-Hill I. FRONT AND CENTER 1. An Introduction to OpenSSL, Part Three: PKI- Public Key Infrastructure 2. Anonymizing with Squid Proxy 3. What September 11th May Mean to Netizens II. BUGTRAQ SUMMARY 1. Microsoft Index Server 2.0 File Information and Path Disclosure... 2. WebDiscount E-Shop Remote Arbitrary Command Execution... 3. Oracle 9i Application Server Path Revealing Vulnerability 4. Computer Associates ARCServe Insecure Default Network Share... 5. Computer Associates ARCServe Cleartext Administrative Password 6. ZyXel Prestige 642R Router WAN Port Filter Bypass Vulnerability III. SECURITYFOCUS NEWS ARTICLES 1. Terror attacks revive crypto debate 2. Yahoo! News hacked 3. 'Nimda' worm hits net 4. Hacking Vigilantes Deface WTC Victim's Site IV.SECURITYFOCUS TOP 6 TOOLS 1. IIS Worms Detector 2. Code Blue Removal Utility 3. Worm Report 1.2 4. ifmonitor 5. dcetest 6. NFR BackOfficer Friendly v1-01 I. FRONT AND CENTER(日本語訳なし) - --------------------------------- II. BUGTRAQ SUMMARY - ------------------- 1. Microsoft Index Server 2.0 File Information and Path Disclosure Vulnerability BugTraq ID: 3339 リモートからの再現性: あり 公開日: 2001-09-14 関連するURL: http://www.securityfocus.com/bid/3339 まとめ: IIS 4.0 に同梱されているサンプルファイル、sqlqhit.asp は Web を利用す る SQL クエリを行うサンプルである。 このサンプルに対し、悪意あるユーザは特別に組み立てられた HTTP リクエス トを Index Server を実行している IIS へ送ることにより、パス情報やファ イル属性を開示し、また、ファイルの内容の一部の開示が行われる可能性があ る。 このファイルは \inetpub\iissamples\ISSamples\ 内に存在し、デフォルトで インストールされる。 2. WebDiscount E-Shop Remote Arbitrary Command Execution Vulnerability BugTraq ID: 3340 リモートからの再現性: あり 公開日: 2001-09-15 関連するURL: http://www.securityfocus.com/bid/3340 まとめ: Webdiscount E-Shop Online Shop System は Web を利用した電子商取引を可 能にするアプリケーションであり、Michael Boehme によって作成されている。 このソフトウェアのデフォルト状態では、スクリプトへ悪意ある入力をユーザ が行える可能性があると考えられる。これは信頼できない入力元からの入力に 対して十分な内容のフィルタリングを怠っているためである。 例えば、攻撃者がシェル用のメタキャラクタ (';'、'|' 等) を用いる事がで きる場合、これにより Web サーバのプロセスの実行権限で任意のコマンドの 実行が行われる事が想定できる。 以下は悪意ある Web リクエストの例である。 host/cgi-bin/eshop.pl?seite=;ls| この問題を利用する攻撃が成功した場合、攻撃者へ重要な情報が開示される可 能性がある。 3. Oracle 9i Application Server Path Revealing Vulnerability BugTraq ID: 3341 リモートからの再現性: あり 公開日: 2001-09-17 関連するURL: http://www.securityfocus.com/bid/3341 まとめ: Oracle 9i Application Server は Apache に由来を持つ Web サーバであり、 Java servlet のエンジンである。 このソフトウェアには悪意あるユーザが Web コンテンツが含まれるフォルダ のフルパスを参照する事を可能にする問題が存在する。もしも悪意あるユーザ がこのソフトウェアへ存在しない .jsp ファイルに対する HTTP リクエストを 与えた場合、サーバは Web コンテンツが含まれるフォルダのパス情報を含む エラーページを返してしまうのである。 例えば以下の HTTP リクエストは、 http://target.com/folder/java/unknown.jsp この様にパス情報を含むエラーメッセージを返すのである。 c:\oracle\ias\apache\apache\htdocs\target\folder\java\jsp\unknown.jsp この問題に関連する事が想定される同種の問題が Apache Tomcat 3.1 において も発見されている。詳細は Bugtraq ID 1531 を参照されたい。 4. Computer Associates ARCServe Insecure Default Network Share Vulnerability BugTraq ID: 3342 リモートからの再現性: あり 公開日: 2001-09-16 関連するURL: http://www.securityfocus.com/bid/3342 まとめ: ARCserve は Computer Associates 製の企業向けデータバックアップ、リカバ リ機能を提供するソフトウェアである。 このソフトウェアのいくつかのバージョンでは、同一ドメイン内のいかなるユー ザに対しても利用可能な共有資源、ARCSERVE$ を残したままにしてしまう、セ キュアではないデフォルトインストール設定が行われている。 この共有資源へアクセスする事で、悪意あるユーザは重要なシステム情報を読 み出せ、あるいは、バックアップ処理を左右するファイルを上書き可能である。 なお、この製品に関する他の問題 (CA ARCServe Cleartext Administrative Password Vulnerability) はこの問題の影響範囲をより広げる事に利用可能で ある。 5. Computer Associates ARCServe Cleartext Administrative Password Vulnerability BugTraq ID: 3343 リモートからの再現性: あり 公開日: 2001-09-16 関連するURL: http://www.securityfocus.com/bid/3343 まとめ: ARCserve は Computer Associates 製の企業向けデータバックアップ、リカバ リ機能を提供するソフトウェアである。 このソフトウェア用の管理用アカウントと対応するパスワードは平文で以下の ファイルに格納されている。 \ARCSERVE$\DR\\aremote.dmp. バックアップを行うためのアカウントはシステムファイルへアクセス可能であ り、また、NT ドメインの Administrator アカウント同様の権限で設定されて いる可能性があるため、ARCserve 用アカウント情報を読み出し可能な攻撃者は 攻撃対象のホストを管理可能な権限を奪取する可能性がある。 6. ZyXel Prestige 642R Router WAN Port Filter Bypass Vulnerability BugTraq ID: 3346 リモートからの再現性: あり 公開日: 2001-09-18 関連するURL: http://www.securityfocus.com/bid/3346 まとめ: ZyXel Prestige Routers では、管理者が WAN 側と LAN 側のインタフェースの 両方においてポートのフィルタリングを行う事が可能である。デフォルト状態に おいて、フィルタの設定は WAN 側に割り当てられた IP アドレスがポート番号 23 番 (TCP) で提供されている telnet を利用する管理用インタフェースと、 ポート番号 21 番 (TCP) で提供されている FTP を利用する管理用インタフェー スへのアクセスを禁止する設定が行われている。 また、管理者は LAN 側のインタフェースにおいても内部ネットワークの利用者 が管理用インタフェースへアクセスできないようにするためにフィルタを設定 する事が可能である。 WAN 側のインタフェースはこれらのポートへの内部用 IP アドレスによるアク セスをフィルタしていないため、内部の攻撃者はルータの WAN 側の IP アド レスに接続する事で管理用インタフェースへアクセスできてしまうのである。 なお、この問題は内部ネットワークへのアクセスを既に行っている悪意あるユー ザによってのみ攻撃可能である点は、注記されねばならない。 III. SECURITYFOCUS NEWS AND COMMENTARY - ------------------------------------------ 1. Terror attacks revive crypto debate 著者: Ann Harrison 専門家は暗号鍵リカバリーシステムはネットワークセキュリティに対する脅威 であると警告を発した。 http://www.securityfocus.com/news/256 2. Yahoo! News hacked 著者: Kevin Poulsen ニュース記事に被害を与えた犯人はまだ発見されていない。 http://www.securityfocus.com/news/254 3. 'Nimda' worm hits net 著者: Kevin Poulsen IIS と Microsoft Outlook へ自己実行型のウイルスが被害を与えている。 http://www.securityfocus.com/news/253 4. Hacking Vigilantes Deface WTC Victim's Site 著者: Brian McWilliams, Newsbytes Web の改ざんの首謀者は一般に考えられているよりもより多くの時間を利用で きているのである。 http://www.securityfocus.com/news/252 IV.SECURITYFOCUS TOP 6 TOOLS - ----------------------------- 1. IIS Worms Detector 作者: Felipe Moniz 関連するURL: http://www.securityfocus.com/tools/2224 動作環境: Windows 2000 and Windows 95/98 まとめ: このソフトウェアは Code Red、Code Blue、Nimda ワームに関するスキャンを ローカルから行います。 2. Code Blue Removal Utility 作者: Felipe Moniz, Security Specialist 関連するURL: http://www.securityfocus.com/tools/2223 動作環境: Windows 2000 まとめ: このソフトウェアは IIS 5.0 向けの Code Blue 発見および除去ユーティリティ です。 3. Worm Report 1.2 作者: Robert S Muhlestein 関連するURL: http://www.securityfocus.com/tools/2226 動作環境: Propietary Hardware まとめ: Worm Report はアクセスログから既知のワームによるアクセス記録の抽出をワー ムの影響を受けたホストの IP 別、あるいはホスト別に分類されたファイルへそ れぞれ行う、Perl で記述されたシンプルなスクリプトです。 回数、ホスト名、IP アドレス、所属ドメインの推測が含まれる基本報告はそれ ぞれの情報分別を行いやすくするために標準出力へ出力されます。このスクリ プトはワームに関する簡潔な情報を必要とする人々が有用にお使い頂けるもの です。新しいワーム情報の追加はスクリプト内の DATA セクションにワームに よるアクセスを示す文字列を追加する事で可能で、Apache 用のモジュールがそ うある様に他に何もしなくてよい様に、利用しやすく (あるいは余す所がなく) 設計されています。 4. ifmonitor 作者: Edson Medina 関連するURL: http://www.securityfocus.com/tools/2225 動作環境: Linux まとめ: ifmonitor は Linux 向けのネットワークインタフェースを経由するトラフィッ クのログ採取と図化を行うソフトウェアです。このソフトウェアは SNMP には 依存せず、Perl/PHP によって記述されています。このソフトウェアはログを記 録するために MySQL を利用します。 5. dcetest 作者: daitel@atstake.com 関連するURL: http://www.securityfocus.com/tools/2173 動作環境: UNIX まとめ: この小さなユーティリティは Windows からの MSRPC エンドポイント情報をダ ンプします。Microsoft から提供されている rpcdump に類似していますが、DCE スタックを必要としません。このため UNIX 上で動作します。このソフトウェ アは DMZ 内でネットワーク上に存在する Windows で動作しているコンピュータ のフィンガープリントを採取する場合に非常に有効にお使い頂けます。 このソフトウェアはポート番号 135 (TCP) で動作します。 (Windows 環境での rpcinfo -p コマンドの実行結果を思い浮かべてください) 6. NFR BackOfficer Friendly v1-01 作者: NFR Security 関連するURL: http://www.securityfocus.com/tools/2222 動作環境: UNIX まとめ: NFR BackOfficer Friendly は軽量な不正アクセスへのアラームを発する有用な ソフトウェアです。シンプルで、目立たず、インストールも簡単で、誰かが何 かの行為を利用者のシステムに試みる際に警告を発します。悪意あるアプリケー ションの数々の中において、悪辣さに勝ると見なされる Back Orifice からの 攻撃も他の同種のスキャンと同様に同定します。 NFR は個人利用の目的のみにこのソフトウェアの無制限のダウンロードを許可 しています。 - -- Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya Supervised by SAKAI Yoriyuki LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBO69ZdpQwtHQKfXtrEQKt0gCgpY7dKYUDrwiCNaEVhtXv4O99hUQAoJ/t Mnw4W8bP/koJzeo7z6WhMXqR =6RS2 -----END PGP SIGNATURE-----