SecurityFocus.com Newsletter #114 2001-10-06->2001-10-09

To: bugtraq-jp@securityfocus.com
Subject: SecurityFocus.com Newsletter #114 2001-10-06->2001-10-09
From: SAKAI Yoriyuki <sakai@lac.co.jp>
Date: Sun, 21 Oct 2001 13:15:12 +0900
Delivered-To: mailing list bugtraq-jp@securityfocus.com
Delivered-To: moderator for bugtraq-jp@securityfocus.com
List-Help: <mailto:bugtraq-jp-help@securityfocus.com>
List-Id: <bugtraq-jp.list-id.securityfocus.com>
List-Post: <mailto:bugtraq-jp@securityfocus.com>
List-Subscribe: <mailto:bugtraq-jp-subscribe@securityfocus.com>
List-Unsubscribe: <mailto:bugtraq-jp-unsubscribe@securityfocus.com>
Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 114 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
Date: Mon, 15 Oct 2001 11:26:18 -0600 (MDT)
Message-ID: <Pine.GSO.4.30.0110151125420.24229-100000@mail>

SecurityFocus Newsletter #114
- -----------------------------

This newsletter is sponsored by: Black Hat <http://www.blackhat.com/>

I. FRONT AND CENTER(日本語訳なし)
     1. Win timely, customized vulnerability alerts from SecurityFocus
     2. ARIS extractor 1.5 release
     3. Comparing E-mail Server Virus Protection Solutions
     4. Kerberos and Windows 2000
     5. The Value of Honeypots, Part One: Definitions and Values of
        Honeypots
II. BUGTRAQ SUMMARY
     1. OpenBSD Connected Socket Ownership Vulnerability
     2. AOL Instant Messenger Long Filename Denial of Service...
     3. AOL Instant Messenger Large BuddyIcon Denial of Service...
     4. TYPSoft FTP 'RETR' and 'STOR' Denial of Service Vulnerability
     5. ht://Dig Remote Denial of Service/File Disclosure Vulnerability
     6. PHPBB 'bb_memberlist.php' Remote SQL Query Manipulation...
     7. Cisco Discovery Protocol Neighbor Announcment Denial of Service...
     8. Symantec Norton Antivirus LiveUpdate DoS Vulnerability
     9. Progress Database Malicious ProTermCap File Buffer Overflow...
     10. Util-Linux Login Pam Privilege Elevation Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. PGP Doesn't Pay For Network Associates
     2. Truth Could Be the Web's First Casualty
IV.SECURITYFOCUS TOP 6 TOOLS
     1. Legion of the Bouncy Castle Java Cryptography API v1.09
     2. IIS Worms Detector v1.1
     3. Bouncer v0.9.3
     4. NARC v0.5.1
     5. MailScanner v2.51-2
     6. Snort IDScenter 2001 v1.09b

I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------


II. BUGTRAQ SUMMARY
- -------------------
1. OpenBSD Connected Socket Ownership Vulnerability
BugTraq ID: 3406
リモートからの再現性: なし
公開日: 2001-10-06 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3406
まとめ:

OpenBSD には同一システム上で動作する他のユーザの権限で動作するプロセス
へローカルのプロセスからシグナルを送信できてしまう問題が存在している。
この問題はシグナルを受け取ったプロセスに対する予測不能の挙動や DoS を
招く可能性がある。OpenBSD において SIGIO と SIGURG シグナルをプロセス
が受信する際のデフォルトの挙動は「無視」である。しかし、この問題はこれ
らシグナルを受け取る様に設計されたプロセスに対してなおも影響を及ぼす事
が考えられるのである。
OpenBSD を含む多くの UNIX においては非同期 I/O はシグナルサブシステム
を利用して実装されている。一度データが読み出し可能な状態にソケットが設
定される事が可能である場合、SIGIO シグナルがソケットに所有権を持つプロ
セスへ送られるのである。また、SIGURG シグナルも Out-Of-Band 状態のデー
タが受信される際にソケットを所有するプロセスへ送られる事が仮定されてい
る。通常、シグナルを受け取るプロセスはソケットの生成を行ったプロセスで
ある。しかし、プロセスを与える対象の PID が fcntl() の F_SETOWN 処理や
ioctl() FIOSETOWN 処理を用いて設定可能なのである。
通常、あるプロセスは他のユーザが所有する任意のプロセス ID へディスクリ
プタオーナーを設定でき得るべきではない。ソケットの所有権に関する情報は
ソケット構造体 so_siguid と so_sugeuid へカーネルによって格納されており、
シグナルが生成された際にソケットを受け取るプロセス UID が、生成処理によ
るソケットの生成プロセスの権限を侵害していないかどうかの妥当性を確認す
るために再度確認される。しかし、これは注記されねばならないが、この妥当
性の確認は fcntl() F_SETOWN が呼び出される際には行われず、シグナルが生
成される際にのみ行われるのである。
この問題はコネクションが完全に終了し、accept() が読み出される際に発現す
る。新しく接続されるソケットを生成するルーチンである sonewconn1 は
"so_siguid" および "so_sigeuid" 内のフィールドを新しいソケットへの適切
な複製作業を失敗してしまい、代わりに 0 を設定してしまうのである。この様
に設定されてしまうため、ソケットがシグナルを生成する際に権限の妥当性の
確認ルーチンは妥当性の確認を失敗してしまうのである。この結果として
SIGIO と SIGURG シグナルが F_SETOWN あるいは FIOSETOWN で再度定義された
正当な対象ではないプロセスへ送る事が可能になってしまうのである。
この問題を利用可能な攻撃者は SIGIO あるいは SIGURG シグナルをホスト上の
任意のプロセスへ送信する事が想定される。
なお、この問題が他の BSD 由来の OS へも影響を及ぼす可能性がある点は注記
されねばならない。

2. AOL Instant Messenger Long Filename Denial of Service Vulnerability
BugTraq ID: 3407
リモートからの再現性: あり
公開日: 2001-10-06 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3407
まとめ:

AOL Instant Messenger (AIM) はユーザへリアルタイムメッセージ交換サービ
ス機能を提供するソフトウェアである。
このソフトウェアは AIM クライアントの応答を停止させることが可能な問題を
抱えている。このソフトウェアが通常ありえない長いファイル転送用のファイ
ル名を含むインスタントメッセージを受け取る際、この問題を利用する攻撃を
可能とする状況に陥らせる事が可能である。
通常状態への復旧はアプリケーションの再起動が必要であると考えられる。

3. AOL Instant Messenger Large BuddyIcon Denial of Service Vulnerability
BugTraq ID: 3408
リモートからの再現性: あり
公開日: 2001-10-06 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3408
まとめ:

AOL Instant Messenger (AIM) はユーザへリアルタイムメッセージ交換サービ
ス機能を提供するソフトウェアである。このソフトウェアは画像を利用し、ネッ
トワーク上のユーザの状態を判断可能な BuddyIcon と呼ばれる機能を備えて
いる
このソフトウェアは AIM クライアントの応答を停止させることが可能な問題を
抱えている。
このソフトウェアはインスタントメッセージが送られる際の BuddyIcon の大
きさの妥当性に関する確認を適切に行っていない。このため、ユーザが通常あ
りえない大きさの BuddyIcon を画像表示部に含ませたインスタントメッセージ
を送信した場合、攻撃対象となったクライアントは応答を停止してしまうので
ある。
通常状態への復旧はアプリケーションの再起動が必要であると考えられる。

4. TYPSoft FTP 'RETR' and 'STOR' Denial of Service Vulnerability
BugTraq ID: 3409
リモートからの再現性: あり
公開日: 2001-10-09 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3409
まとめ:

TYPSoft FTP server はリモートの攻撃者がサーバの応答を停止する事が可能と
なる問題を抱えている。
RETR あるいは STOR コマンドのいずれかを利用する事で攻撃は可能であり、悪
意ある引数を伴ってこれらコマンドが利用される場合攻撃対象のホスト上で動
作しているこのソフトウェアを DoS 状態にする事が可能である。
通常動作への復旧はサービスの再起動が必要である。
この問題は未チェックのバッファが存在するために生じると考えられており、
もし、この仮定が当てはまる場合、任意のコードが問題を抱えるホスト上で実
行される可能性がある。しかし、この問題に関する検証はまだ行われていない。

5. ht://Dig Remote Denial of Service/File Disclosure Vulnerability
BugTraq ID: 3410
リモートからの再現性: あり
公開日: 2001-10-07 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3410
まとめ:

ht://Dig はフリーで提供され、オープンソースである Web 用のサーチエンジン
機能、Web コンテンツへのインデックス作成機能を提供するソフトウェアである。

このソフトウェアは Web インタフェースあるいはコマンドラインから利用可能
である。このソフトウェアにはリモートの攻撃者により DoS に陥らせる事が可
能か、 Web サーバの実行権限で読み取り可能な任意のファイルが読み出し可能
と考えられる問題が存在している。これは Web インタフェースからもコマンド
ラインパラメータが利用可能であるために問題となるのである。
コマンドラインパラメータの中で、とりわけ -c [filename] は通常、代わりの
設定ファイルを指し示すために利用されるのであるが、このパラメータを利用
した悪意を持って作成された /dev/zero に対する Web リクエストはホスト内
で利用可能な資源を利用し尽くさせる事が可能な DoS を引き起こす可能性があ
る。また、Web サーバの実行権限で読み取り可能なファイルはこのパラメータ
を利用する事で本来そうあってはならないにも関わらず開示されてしまう可能
性がある。

例:

http://target/cgi-bin/htsearch?-c/dev/zero

http://target/cgi-bin/htsearch?-c/path/to/webreadablefile

最初の例はホスト内全体の資源を (資源の限度に依存) 利用し尽くしてしまう
DoS を起こし、次の例は Web サーバの実行権限で読み取り可能なファイルを
開示させてしまう可能性がある。

Web サーバの実行権限で開示されたファイル内に含まれている重要な情報は、
攻撃対象のホストへのさらなる攻撃を行うために利用される事が想定できる。

6. PHPBB 'bb_memberlist.php' Remote SQL Query Manipulation Vulnerability
BugTraq ID: 3411
リモートからの再現性: あり
公開日: 2001-10-08 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3411
まとめ:

phpBB はフリーであり、オープンソースで利用可能で、PHP で記述された電子
掲示板機能を提供するソフトウェアであり、MySQL によりバックエンド処理が
行われている。
このソフトウェアには悪意あるユーザがリモートから SQL クエリの論理構造を
操作可能な問題が存在する。

以下は問題を引き起こすコードの一部の引用である。

switch($sortby) {
   case '':
      [...]
   case 'posts':
      [...] }

$sql = "SELECT * FROM users WHERE [...] ORDER BY $sortby";


この問題は bb_memberlist.php 内の switch ブロックに default: ラベルが設
定されていないために生じる。このため、MySQL データベース内のデータを参
照、削除、改変する事が可能になると想定される。

7. Cisco Discovery Protocol Neighbor Announcment Denial of Service Vulnerability
BugTraq ID: 3412
リモートからの再現性: あり
公開日: 2001-10-09 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3412
まとめ:

Cisco Discovery Protocol (CDP) は Cisco Internet Operating System によ
る実装として公開されているネットワーク上の隣接した機器を検出するプロト
コルである。
このプロトコルはユーザが正当なユーザが管理するネットワーク資源を DoS
に陥らせる事が可能な問題を抱えている。DoS はルータの処理に必要な演算用
資源が消費尽くされてしまうために生じる。
このプロトコルはマルチキャストを利用してあるネットワーク内のセグメント
内の全てのホストへトラフィックを送信する事で動作し、他のネットワークへ
のルータやインターネット越しには動作する事は不可能である。
ローカルネットワーク内に大量の CDP トラフィックを生成する事で、Cisco 製
ルータを予測不能な状態に陥らせ、結果としてルーティング動作に必要なトラ
フィックを停止可能な状態に陥らせる事が可能なのである。
この結果、ルータは DoS に陥ってしまう。

8. Symantec Norton Antivirus LiveUpdate DoS Vulnerability
BugTraq ID: 3413
リモートからの再現性: あり
公開日: 2001-10-05 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3413
まとめ:

Symantec が提供するソフトウェア、Norton Antivirus には LiveUpdate と呼
ばれる機能が含まれている。この機能はインターネット越しに新しいウイルス
定義情報の有無を確認し、Symantec 社の配布元サイトからダウンロード後にイ
ンストールを行う処理を行っている。また、この機能は定時での動作と、任意
に手動で指定した際の動作の両方が可能である。
しかし、Symantec Norton Antivirus LiveUpdate の実装には誤りが存在して
いるのである。リモートのユーザはこの機能をリモートのユーザ自信が指定す
るサイトからダウンロードするように処理を仕向ける事が可能なのである。
この状況は DNS データの内容改変、DNS データの無名化などによって実行可
能である。
この結果、リモートのホストは通常ありえない大きさのファイルを更新用とし
て送信可能であり、攻撃対象のシステムを DoS に陥らせる可能性がある。

なお、Symantec からダウンロードされる更新用ファイルには全て暗号を利用し
たシグネチャが含まれている。このため、リモートのユーザが任意のファイル
を攻撃対象のシステム上で実行する事は不能である。

9. Progress Database Malicious ProTermCap File Buffer Overflow Vulnerability
BugTraq ID: 3414
リモートからの再現性: なし
公開日: 2001-10-09 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3414
まとめ:

Progress は Progress Software によって提供されているデータベースソフト
ウェアの 1 つの実装物である。
このソフトウェアはローカルのユーザが任意のコードを実行可能な状態を招く
事が可能な問題を抱えている。この問題はこのソフトウェアが setuid ビット
を設定してインストールしている状態に起因を持たせられ、この問題は protermcap
ファイル内の長い項目の取り扱い部に由来して生じている。
Progress によって読み込まれる termcap ファイルへユーザが自分自身で定義
した設定項目を挿入する事が可能である。もし悪意をもって作成されたデータ
量 9000 バイトのデータが項目として作成されている場合、それらは PROTERMCAP
あるいは PROMSGS 環境変数経由で参照させる事が可能である。
この状態に設定可能である場合、Progress の実行時にバッファオーバーフローが
生じてしまうのである。バッファオーバーフローはリターンアドレスを含むスタッ
ク内の値を上書きする結果を招き、結果として任意のコードが実行可能な状況
を招いてしまう。また、Progress の実行ファイルが setuid ビットを設定して
インストールされている場合、より昇格した権限で任意のコードの実行を引き
起こす事が可能である。

10. Util-Linux Login Pam Privilege Elevation Vulnerability
BugTraq ID: 3415
リモートからの再現性: なし
公開日: 2001-10-09 00:00:00
関連するURL:
http://www.securityfocus.com/bid/3415
まとめ:

util-linux はフリーであり、また、オープンソースとして公開されているいく
つかの標準的な UNIX 用ユーティリティ、例えば login 等を提供しているソフ
トウェアパッケージである。
このパッケージにはローカルのユーザが権限昇格可能な問題が存在する。
これは PAM と組み合わせて利用する際に発現する予測不能な現象のために生じ
る。
ユーザはこのユーティリティを利用してシステムへログイン可能であり、その
際により昇格された権限を入手可能なのである。特定のグループに属する数多
くのユーザが pam_limits モジュールを利用して権限を制限され、それらのユー
ザが login コマンドを利用してシステムへアクセスを行った場合、これらユー
ザはいかなる種類の妥当性の判断であっても妥当であると判断される事が可能
なのである。
この現象により、正当なアクセス権限を保持するユーザがシステムへより高い
権限にアクセスするためにログインする事が可能になり、重要な情報へのアク
セスあるいは重要なプログラムへのアクセスが想定可能なのである。
この問題を利用可能なユーザはコンソールの正当な利用権を入手可能であり、
また、仮想端末 pts/0 の正当な利用権も入手可能になる事が想定できる。

III. SECURITYFOCUS NEWS AND COMMENTARY
- ------------------------------------------
1. PGP Doesn't Pay For Network Associates
著者: Brian McWilliams, Newsbytes

デスクトップパソコン用暗号製品と、Gauntlet firewall がまさに今売り出し
中である。

http://www.securityfocus.com/news/264

2. Truth Could Be the Web's First Casualty
著者: Alex Salkever, Business Week

誤報を元に市場を動かす輩がいるのだ。この戦時下の元で、ニュースサイトを
改ざんし、あまつさえ混乱を引き起こすような、技術を持つ小賢しい連中を許
してはならない。

http://www.securityfocus.com/news/263


IV.SECURITYFOCUS TOP 6 TOOLS
- -----------------------------
1. Legion of the Bouncy Castle Java Cryptography API v1.09
作者: The Legion of the Bouncy Castle feedback-crypto@bouncycastle.org
関連する URL:
http://www.bouncycastle.org/
まとめ:

Legion of the Bouncy Castle Java Cryptography API は、JCE と JCA のため
のプロバイダ (JCE 1.2.1のクリーンルームでの実装 (訳注: 他のコードを参照
せず、コードをゼロから起こすこと)) であり、バージョン 1 と 3 の X.509 
証明書のジェネレータである、省資源で動作する暗号機能を扱う API です。
J2ME、JDK 1.0、JDK 1.1、JDK 1.2、JDK 1.3 がサポートされています。

2. IIS Worms Detector v1.1
作者: Felipe Moniz
関連する URL:
http://www.nstalker.com
プラットフォーム: Windows 2000、Windows 95/98
まとめ:

このソフトウェアは Code Red、Code Blue、Nimda ワームに関するスキャンを
ローカルから行います。

3. Bouncer v0.9.3
作者: Chris Mason chris@r00t3d.org.uk
関連する URL:
http://www.r00t3d.org.uk/bin/
プラットフォーム: FreeBSD、Linux、OpenBSD、Windows 2000、Windows NT
まとめ:

Bouncer はプロキシの制限を迂回し、内部 LAN から外部に接続する機能を提供
するネットワークツールです。SSL トンネリングを使用し、プロキシを使用せ
ず、安定した接続を保ちます。プロキシで制限されてはいるものの、オンライ
ンショッピングサイトにセキュアなチャンネルでアクセス可能である場合、ど
んなホストのどんなポートでも利用し外部に接続できます。socks 5、基本認証、
アクセス制限リスト、Web ブラウザを使用する管理画面など、多数の機能をサ
ポートし、Windows、Linux、FreeBSD 上で動作します。

4. NARC v0.5.1
作者: zellen
関連する URL:
http://www.knowplace.org/netfilter/narc.html
プラットフォーム: Linux
まとめ:

NARC (Netfilter Automatic Rules Configurator) は、BSD ライセンスの元で
提供される、Netfilter/Iptables を利用したフリーのファイヤウォールパッケ
ージです。iptables ツールを使い、ファイヤウォール (ステートフルパケット
フィルタ) の簡便なセットアップを提供します。単純な設定ファイルに基づく 
Netfilter の (上手くいけば) 最適化されたセキュアなルールを生成する bash
シェルスクリプトです。シンプルな設定ファイルを使用して、コネクション追
跡 (フラグメント化されたパケットの再組み立て)、カスタマイズ可能なロギン
グ、プローブ検出 (TCP、UDP ともに)、その他様々な機能を迅速にセットアッ
プできることがを特長です。

5. MailScanner v2.51-2
作者: Julian Field
関連する URL:
http://www.sng.ecs.soton.ac.uk/mailscanner/downloads.shtml
プラットフォーム: AIX、FreeBSD、HP-UX、Linux、NetBSD、OpenBSD、SunOS
まとめ:

MailScanner は、電子メールウイルススキャナでスパムタグ付けソフト (訳注:
スパムメールに印をつける模様) です。sendmailとExim MTA、SophosとMcAfee 
アンチウィルススキャナをサポートします。インストールするのが非常に簡単
で、sendmail.cf ファイルを変更する必要はありません。少ない資源で動作す
るように設計されていて、高負荷に伴うメールシステムの停止を招く事はあり
ません。

6. Snort IDScenter 2001 v1.09b
作者: Ueli Kistler
関連する URL:
http://www.eclipse.fr.fm/snort.htm
プラットフォーム: Windows 2000、Windows 95/98、Windows NT
まとめ:

IDScenterは、Snort-Win32 用の制御用のインタフェースを提供するソフトウェ
アです。Snort IDS の管理、制御、監視を行うためのツールです。IDScenter
ではアラーム音機能をサポートし、エラーチェック機能が備えられています。
Snort が停止された場合、IDScenter は直ちに Snort の動作を再開させます。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Supervised by SAKAI Yoriyuki
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J

iQA/AwUBO9HNQZQwtHQKfXtrEQIyPACffAUnmmxrztVl+FMnJhHV4AVKf7wAni8N
Hrp7MVwG7zlUAgTgeukzHCVX
=cD9U
-----END PGP SIGNATURE-----