SecurityFocus.com Newsletter #112 2001-9-21->2001-9-25

To: bugtraq-jp@SECURITYFOCUS.COM
Subject: SecurityFocus.com Newsletter #112 2001-9-21->2001-9-25
From: SAKAI Yoriyuki <sakai@lac.co.jp>
Date: Tue, 2 Oct 2001 15:51:15 +0900
Delivered-To: mailing list bugtraq-jp@securityfocus.com
Delivered-To: moderator for bugtraq-jp@securityfocus.com
List-Help: <mailto:bugtraq-jp-help@securityfocus.com>
List-Id: <bugtraq-jp.list-id.securityfocus.com>
List-Post: <mailto:bugtraq-jp@securityfocus.com>
List-Subscribe: <mailto:bugtraq-jp-subscribe@securityfocus.com>
List-Unsubscribe: <mailto:bugtraq-jp-unsubscribe@securityfocus.com>
Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 112 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Date: Mon, 1 Oct 2001 10:13:34 -0600 (MDT)
Message-ID: <Pine.GSO.4.30.0110011012540.1909-100000@mail>

SecurityFocus Newsletter #112
- -----------------------------

This newsletter is sponsored by: SecurityFocus
(http://www.securityfocus.com)

I. FRONT AND CENTER(日本語訳なし)
     1. IDS False Positive and False Negative Reduction Strategies and
        Techniques, Part Two
     2. Introduction to Security Policies, Part Two: Creating a Supportive
        Environment
II. BUGTRAQ SUMMARY
     1. Xcache Path Disclosure Vulnerability
     2. Squid Web Proxy Cache Denial of Service Vulnerabilty
     3. Baltimore Technologies MAILsweeper Script Filtering Bypass...
     4. Hylafax Hostname Format String Vulnerability
     5. IBM HACMP Port Scan Denial of Service Vulnerability
     6. H-Sphere Arbitrary File Disclosure Vulnerability
     7. Michael Barretto CardBoard Remote Command Execution Vulnerability
     8. PHPNuke Remote File Copy Vulnerability
     9. Compaq TruCluster Port Scan Denial of Service Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. Lawmaker Sounds Computer Security Warning
     2. Hackers face life imprisonment under 'Anti-Terrorism' Act
IV.SECURITYFOCUS TOP 6 TOOLS
     1. MRTG-eth-probe v1.4
     2. gShield v2.7.1
     3. Sysmon 0.91.6
     4. RATS (Rough Auditing Tool for Security) v1.2
     5. Retina Nimda Scanner v1.0.2
     6. CodeBlue v3

I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------
1. Xcache Path Disclosure Vulnerability
BugTraq ID: 3352
リモートからの再現性: あり
公開日: 2001-09-21
関連するURL:
http://www.securityfocus.com/bid/3352
まとめ:

Xcache は Microsoft Internet Information Server と組み合わされて利用さ
れる、動的なコンテンツキャッシング機能を提供するアプリケーションである。
このソフトウェアは必要に応じて特定のページ毎に、あるいはフォルダ単位で
キャッシュ機能を無効化する事が可能である。
このソフトウェアは Web サーバへ与えられる全ての HTTP リクエストを横取り
し、パフォーマンスを向上させるために Web サーバを介在させる事を行わずに、
キャッシュに取り込まれているページであればどのようなページであっても提
供する様に動作する。この際、このソフトウェアによりキャッシュへ取り込ま
れていないページへのリクエストが与えられた際、このソフトウェアはリクエ
ストを IIS サーバで処理を行わせるためにそのまま IIS へ引き渡している。

Web サーバへキャッシュへ取り込まれていないページないしフォルダへのリク
エストが行われる際、Xcache は HTTP ヘッダ情報内に該当ページのフルパスを
含んで応答を返してしまうのである。ここで開示されるパス情報は、当該のペー
ジがサーバ内のどの場所に格納されているかに関係なく返されている。

該当ページのパス情報は攻撃者に対し、例えば符号化された相対パス表記を用
いてディレクトリ内容を辿る攻撃と言った他の攻撃を行う手助けとして利用さ
れる可能性がある。

2. Squid Web Proxy Cache Denial of Service Vulnerabilty
BugTraq ID: 3354
リモートからの再現性: あり
公開日: 2001-09-21
関連するURL:
http://www.securityfocus.com/bid/3354
まとめ:

Squid Web Proxy Cache はフリーで提供され、かつ、オープンソースとして公
開されているプロキシサーバである。このソフトウェアは代理に中継を行うサー
ビスの範囲に含まれる、FTP プロトコルを用いた FTP サーバ内でのディレク
トリ作成を行うリクエストの取り扱い方法に問題を抱えている。
Squid を解してリモートの FTP サーバへ特別に組み立てられたディレクトリ
作成のみを意図する PUT リクエストが与えられた際、これはこのソフトウェ
アを完全に DoS に陥らせる事が可能である。この種のリクエストの例として
は以下が挙げられる。

nc proxy:3128 PUT ftp://ftpserver/WEB-INF/1/2/1/ HTTP/1.1 \
Content-type: application/octet-stream Content-length: 0 Pragma: no-cache

一度 DoS 状態に陥った場合、通常動作への復旧は Squid の再起動が必要であ
る。

3. Baltimore Technologies MAILsweeper Script Filtering Bypass Vulnerability
BugTraq ID: 3355
リモートからの再現性: あり
公開日: 2001-09-22
関連するURL:
http://www.securityfocus.com/bid/3355
まとめ:

Baltimore Technologies MAILsweeper for SMTP はゲートウェイレベルで電子
メールの内容のフィルタリングを行うための商用ソフトウェアである。

しかし、このソフトウェアは HTML が含まれる電子メールから適切にスクリプ
トを排除しないのである。HTML で符号化されたキャラクタを利用する事で、
このソフトウェアに備わるフィルタを回避する事が可能なのである。また、
HTML タグの前に "<" を付け加える事で、その様に修正されたスクリプトはフィ
ルタプログラムを完全に回避する事が可能なのである。

以下は実行が行われる例である。

<A HREF="ja&#118;ascript:alert('This part should be filtered')">Click
here</A>

<IMG SRC="ja&#118;ascript:alert('This part should be filtered')">

<<IMG SRC="javascript:alert('This part should be filtered')">

この問題を利用する攻撃が成功する場合、HTML 形式の電子メールを受信した
電子メールクライアント上での悪意あるコードの実行が想定される。
これは悪意ある電子メールがゲートウェイでフィルタされないために生じ、こ
のソフトウェアを用いた電子メールの内容に関するフィルタリングを行ってい
る組織への影響の波及が想定される。

4. Hylafax Hostname Format String Vulnerability
BugTraq ID: 3357
リモートからの再現性: なし
公開日: 2001-09-23
関連するURL:
http://www.securityfocus.com/bid/3357
まとめ:

Hylafax はファクシミリの授受を行うために設計されたソフトウェアパッケー
ジである。

このソフトウェアはローカルのユーザがいくつかの状況下において権限昇格を
行える可能性がある問題を抱えている。この問題はさらなるシステムのセキュ
リティに関する脅威をもたらし、管理者権限へのアクセスを引き起こす可能性
がある。

この問題は Hylafax で提供されているプログラム内のホスト名の取り扱い部分
に存在している。このソフトウェアパッケージ内のいくつかのプログラムでは
ユーザからのホスト名として与えられた値について十分な内容のチェックや内
容の妥当性の確認を怠っているのである。このため、任意のコードを実行可能
にするために、書式指定子の取り扱いに関する問題を引き起こす文字列をプロ
グラムへ渡すことが可能なのである。

問題は faxrm と faxalter プログラムに影響を及ぼすと知られており、この問
題はこれらユーティリティが共有するコードに存在している可能性があると推
測されている。

この問題は、Hylafax が典型的には setuid 権限抜きでインストールされてい
る多くのインストール状態では存在していない。しかし、いくつかのシステム
では setuid uucp 状態でインストールされているため、ローカルからの権限昇
格を招く可能性があります。

5. IBM HACMP Port Scan Denial of Service Vulnerability
BugTraq ID: 3358
リモートからの再現性: あり
公開日: 2001-09-24
関連するURL:
http://www.securityfocus.com/bid/3358
まとめ:

HACMP は IBM により販売、保守がなされている高機能なクラスタ機能を提供す
るソフトウェアである。

このソフトウェアはシステムを利用する正当なユーザへの DoS を招く事が可能
な問題を抱えていると報告されている。

問題は HACMP クラスタへポートスキャンが行われる際の処理の取り扱いで存在
している。このソフトウェアが他のシステムからポートスキャンを受け、ポート
スキャンが TCP の connect() 関数を利用している場合、クラスタに含まれるシ
ステムは停止してしまうのである。これは HACMP が利用するポートを connect()
関数を用いてスキャンを行う際に生じ、TCP SYN ステルススキャンが行われる
場合には影響を受けないと報告されている。

クラスタ内に含まれるシステムはスキャンされる度に停止してしまい、この結
果、クラスタを用いて構築されたシステムを利用不能にしてしまう結果をもた
らし、正当なシステムのユーザへのサービス提供をできなくしてしまうのであ
る。

6. H-Sphere Arbitrary File Disclosure Vulnerability
BugTraq ID: 3359
リモートからの再現性: あり
公開日: 2001-09-25
関連するURL:
http://www.securityfocus.com/bid/3359
まとめ:

H-Sphere は複数のサーバをまたがる Web ホスティングの自動化機能を提供す
るソフトウェアであり、Linux、FreeBSD、Microsoft Windows 2000 上で動作す
る商用製品である。このソフトウェアは Apache と IIS の両方をサポートして
いる。

このソフトウェアは幾つかに例示されるリクエスト内の ../ を含む文字列をフィ
ルタリングしていないため、重要な情報の開示を招く問題を抱えている。悪意
あるユーザは Web 用の公開ディレクトリの範囲を回避し、広範囲に渡りファイ
ルシステムを参照する特別に組み立てられた Web リクエストを組み立てる事が
想定されるのである。これは template_name 変数の値として ../ 文字列を利
用する事で行われる。

例:

http://www.target.com/some-path/psoft.hsphere.CP/some-path/?template_name=../../../../../../../../../../../../etc/passwd

http://www.target.com/shiva/psoft.hsphere.CP/admin/2628_0/?template_name=../../../../../../../../../../../../etc/passwd

任意の Web サーバの実行権限によって読み出し可能なファイルはこの問題を
利用する攻撃により読み出される事が想定される。

この問題を利用する攻撃を成功させるためには、悪意あるユーザは対象となる
Web サイトへアクセス可能なアカウントを保持していなければならない。

7. Michael Barretto CardBoard Remote Command Execution Vulnerability
BugTraq ID: 3360
リモートからの再現性: あり
公開日: 2001-09-25
関連するURL:
http://www.securityfocus.com/bid/3360
まとめ:

CardBoard は電子グリーティングカードの差出に利用されるアプリケーション
であり、Michael Barretto によって保守されている。

ユーザにより入力される値に含まれる特定の種類について適切なフィルタリン
グが行われていないために、ユーザはこのアプリケーションの実行権限でホス
ト上で任意のコマンドの実行を可能にする形態でグリーティングカードの差出
を行えてしまう可能性がある。

これは受信者フィールド内に任意のキャラクタを指定する事で準備可能であり、
その後、悪意あるユーザはグリーティングカードを差出せねばならない。
このソフトウェアは信頼を置けない入力元からの入力されたデータの内容の校
正を十分に行っていないのである。例えば、攻撃者は任意のコマンドの実行を
Web サーバの実行権限で攻撃の対象となったホスト上で行う様に、シェルのメ
タキャラクタ (';', '|', 等) を利用する事が可能である。

この問題を利用する攻撃が成功した場合、対象となるホストの権限は完全に奪
取される可能性がある。

8. PHPNuke Remote File Copy Vulnerability
BugTraq ID: 3361
リモートからの再現性: あり
公開日: 2001-09-24
関連するURL:
http://www.securityfocus.com/bid/3361
まとめ:

PHP Nuke は PHP3 で記述されている Web サイト作成、保守ツールである。

このソフトウェアはリモートの攻撃者が対象となった Web サーバ上にあるファ
イルを意図を持って組み立てられたデータで上書きを行う事が想定される問題
を抱えている。問題はパッケージ内の管理用コンポーネント admin.php 内に
存在している。

スクリプトへ upload 変数に値が設定されてリクエストが与えられる際、スク
リプトはファイルのコピーをコピー元とコピー先の指示をリモートから HTML
経由で与えられる値を元に試みる。しかし、スクリプトはリクエストを行うユー
ザが管理者かどうかの判断を確認していないのである。このため、リモートの
ユーザは Web サーバの実行権限が読み出し可能な任意のファイルの内容で
Web サーバの実行権限が書き込み可能な任意のファイルの上書きを行う様に仕
向ける事が可能なのである。また、攻撃対象となるホスト内のファイルシステ
ム内に位置する、Web サーバの実行権限で書き込み可能なディレクトリ内に任
意のファイルを追加する事も可能なのである。

その上、リモートの攻撃者は Web サーバへファイルのアップロードも可能なの
である。このため、攻撃者は Web サーバへ意図する内容のファイルをアップロー
ドする事が想定され、この結果として、Web サーバの実行権限で書き込み可能
な任意のファイルが意図する内容で上書きされる事が想定される。

なお、上書き対象のファイルが Web 用のドキュメントルートディレクトリ内に
ある必要はない。

この問題は攻撃者により対象となるホストの権限奪取を招く可能性があり、DoS
や攻撃対象となる Web サイトのコンテンツ改ざんを招く可能性がある。

PHP Nuke の派生物である Postnuke についても同様の問題を抱えると報告され
ている。

9. Compaq TruCluster Port Scan Denial of Service Vulnerability
BugTraq ID: 3362
リモートからの再現性: あり
公開日: 2001-09-25
関連するURL:
http://www.securityfocus.com/bid/3362
まとめ:

TruCluster は Compaq により販売、保守が行われている高機能が提供されてい
るサーバソフトウェアパッケージである。

このソフトウェアについて、ユーザを DoS に陥らせてしまう事が可能な問題が
発見されている。問題はこのソフトウェアがポートスキャンを受ける際の処理
の取り扱い部分に存在している。

DNS の PTR レコードなしのシステムからポートスキャンを受ける際、このソフ
トウェアは split-brain を開始してしまう。split-brain はクラスタ内の他の
サーバが他のシステムがまだ稼動中の状態にも関わらず、動作に失敗したサー
バの操作を肩代わりするために起動される状態である。

この結果、データの破壊や損失、DoS が生じ、ハードウェア障害も引き起こさ
れる恐れがある。


III. SECURITYFOCUS NEWS AND COMMENTARY
- ------------------------------------------
1. Lawmaker Sounds Computer Security Warning
著者: Robert MacMillan, Newsbytes

政府のコンピュータは未だ広く開かれている。

http://www.securityfocus.com/news/258

2. Hackers face life imprisonment under 'Anti-Terrorism' Act
著者: Kevin Poulsen

米国司法省は多くのコンピュータ犯罪をテロ行為として類別する起案を行った。

http://www.securityfocus.com/news/257


IV.SECURITYFOCUS TOP 6 TOOLS
- -----------------------------
1. MRTG-eth-probe v1.4
作者: Mario Witte mario.witte@chengfu.net
関連するURL:
http://www.sourceforge.net/projects/mrtg-eth/
動作環境: Linux
まとめ:

MRTG-eth-probe は Multi Router Traffic Grapher 用の調査ツールを提供し、
SNMP がサポートされていないネットワーク機器に対するトラフィック統計を行
います。このソフトウェアは /proc/net/dev (設定次第で別のデバイスファイル)
を統計処理用のインタフェースとして利用して読み出し、MRTG によって適当に
解釈される出力を作成します。
リモートからのデータの読み出しにあたっては SSH をサポートしています。

2. gShield v2.7.1
作者: R. Gregory, godot@mindspring.com
関連するURL:
http://muse.linuxmafia.org/gshield.html
動作環境: Linux
まとめ:

gShield は 2.4.x Linux カーネルに組み合わされて利用される iptables を
利用するファイヤウォールです。意欲的なデフォルト状態で提供され、BSD 形
式の用意に設定可能な設定ファイルが提供されています。また、NAT サポート
や様々なサービスへのアクセスコントロール機能、組み込み済のポートフォワー
ディング、透過型プロキシサポート等の機能が提供されています。
このソフトウェアは広範囲にファイヤウォールの管理を用意にする事を可能に
する事をねらいとしています。

新機能には以下が含まれます:
- - 問題を生じない動的あるいは静的 IP アドレス取り扱い機構
- - 選択可能な IP マスカレーディング機構の有効化
- - TCP_Wrappers 類似の機能サービスへのアクセスコントロール機能の提供
- - デフォルトで公開されているサービスのみがアクセスコントロールの対象
  と言う広範囲にまたがるデフォルト設定
- - 多くのコメントが追加された BSD 形式の設定ファイルによる容易な設定
- - スクリプト内のユーザが定義したルールセットの組み込み機能の提供

3. Sysmon 0.91.6
作者: Jared Mauch, jared@puck.nether.net
関連するURL:
http://www.sysmon.org/
動作環境: BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, Linux, NetBSD, SCO,
Solaris
まとめ:

Sysmon は高いパフォーマンスと正確なネットワークモニタリングを提供する様
に設計されたネットワークモニタリングツールです。現在、SMTP、IMAP、HTTP
TCP、UDP、Radius、NNTP、POP3 プロトコルに関するモニタリングを含むテスト
をサポートしています。また、個々のホストやルータへの ping 機能も搭載し
ています。Sysmon は実際のネットワークトポロジの構成を複数のパスに跨って
モニタする事で理解できる機能を搭載しており、停止中のルータに代えて、正
に停止中のデバイスのみをそのデバイスに接続されるホスト全てと共に報告し
ます。

4. RATS (Rough Auditing Tool for Security) v1.2
作者: Secure Software Solutions
関連するURL:
http://www.securesw.com/projects.html
動作環境: Windows 2000, Windows 95/98, Windows NT
まとめ:

RATS、the Rough Auditing Tool for Security、は C および C++ で記述され
たソース用のセキュリティ監査を行うためのユーティリティです。RATS はソー
スコードをスキャンし、危険である可能性を秘めた関数の呼び出しを見つけ出
します。このプロジェクトの到達点はバグの発見だけであるとは限られていま
せん。現在のこのプロジェクトの到達点は手作業によりセキュリティ監査を行
うための妥当な判断の開始点を提供する事です。

5. Retina Nimda Scanner v1.0.2
作者: eEye Digital Security
関連するURL:
http://www.eeye.com/html/Research/Tools/nimda.html
動作環境: Windows 2000, Windows NT
まとめ:

Retina Nimda Scanner は eEye Digital Security によって作成された一度に
254 個の IP アドレスをスキャンし、Nimda ワームに対する問題を抱えている
場合にはその判断を行う事が可能なツールです。対象のコンピュータ、あるい
はサーバがこのワームの影響を受け得ると判断できた場合には、該当するコン
ピュータの IP アドレスを表示します。

6. CodeBlue v3
作者: Michael mystic@tenebrous.com
関連するURL:
http://www.securityfocus.com/tools/2220
動作環境: UNIX, Windows 2000, Windows 95/98, Windows NT
まとめ:

CodeBlue は Apache のログの内容を調査する事で悪意あるワームに感染した
ホストの影響範囲を明確にする試みを行うソフトウェアで、電子メールによっ
て感染を受けたホストへ感染状況やワームを除去するための情報の入手方法を
報告します。
現在 Code Blue は Code Red、Code Red 2、Nimda のアクティビティが採取さ
れた Apache のログの内容を調査します。

- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Supervised by SAKAI Yoriyuki
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J

iQA/AwUBO7jlU5QwtHQKfXtrEQLeKwCg2GGQZbWLVlQM/SyJUzxsbjxYeV8Aniz+
Jlce9sI3Agt37T5hTrrMmfGQ
=+R6K
-----END PGP SIGNATURE-----