SecurityFocus.com Newsletter #118 2001-11-05->2001-11-09



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 118 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml
BugTraq-JP に関する FAQ:
http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) http://www.securityfocus.com/archive/79
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------

Date: Mon, 12 Nov 2001 12:08:03 -0700 (MST)
Message-ID: <Pine.GSO.4.30.0111121207320.962-100000@mail.securityfocus.com>

SecurityFocus.com Newsletter #118
- ---------------------------------

This Issue Sponsored by: VeriSign - The Value of Trust

- -------------------------------------------------------------------------------

I. FRONT AND CENTER(日本語訳なし)
     1. Advertising Information
     2. Virtual Honeynets
     3. Basic Security Checklist for Home and Office Users
     4. Keep Security Censorship Away From Linux
II. BUGTRAQ SUMMARY
     1. Entrust GetAccess File Disclosure Vulnerability
     2. Red Hat TUX HTTP Server Oversized Host Denial of Service...
     3. Ipswitch WS_FTP Server 'STAT' Buffer Overflow Vulnerability
     4. Raptor Firewall Zero Length UDP Packet Resource Consumption...
     5. PHP Nuke Copying and Deleting Files Vulnerability
     6. Zone Labs ZoneAlarm Pro Unauthorized Local Security Settings...
     7. CDE DTSVC Library Buffer Overflow Vulnerability
     8. IBM HTTP Server Source Code Disclosure Vulnerability
     9. Slashcode Guessable SessionID Vulnerability
     10. Apache mod_usertrack Predictable ID Generation Vulnerability
     11. Microsoft Internet Explorer Cookie Disclosure/Modification...
     12. RedHat Linux IPTables Save Option Unrestorable Rules...
     13. Solaris PT_CHMOD Arbitrary Terminal Writing Vulnerability
     14. Rational ClearCase DB Loader TERM Environment Variable Buffer...
III. SECURITYFOCUS NEWS ARTICLES
     1. Microsoft Reveals Anti-Disclosure Plan
     2. White House: Prepare for Super-Hackers
     3. Lawyer: Business As Usual Under Surveillance Law
     4. NIPC Warns Of Anti-U.S. Hackers
IV.SECURITYFOCUS TOP 6 TOOLS
     1. WormScan v1.2
     2. Swatch v3.0.4
     3. snort-rep v1.7
     4. SILC (Secure Internet Live Conferencing)(server) v0.6.2
     5. Linux Port/Socket Pseudo ACLs v2.4.14-11 (2.4)
     6. NTLM Authorization Proxy Server v0.9.5


I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------
1. Entrust GetAccess File Disclosure Vulnerability
BugTraq ID: 3508
リモートからの再現性: あり
公表日: Nov 05 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3508
まとめ:

Entrust GetAccess は個々のユーザのアクセス権限の管理機能と、大規模なポー
タル Web サイトにアカウントを持つ顧客のプロファイルの管理機能を提供可能
なソフトウェアである。

このソフトウェアに同梱されているシェルスクリプトは、個々のサイト毎に設
定されるヘルプ機能とユーザ向けの対話型操作機能を提供している。しかし、
このサンプルスクリプトはユーザによって与えられた値に対する、妥当性の確
認を十分に行っていないのである。

このため、../ 文字列、null 文字やシェルによって解釈されるメタキャラクタ
を含む HTTP リクエストを与える事が可能なリモートの攻撃者は、攻撃対象と
なったホストの Web 用のドキュメントルートディレクトリの範囲外の資源 (例
えば Web サーバの実行権限で読み出し可能な任意のファイルが想定される)
にアクセス可能なのである。

http://getAccessHostname/sek-bin/helpwin.gas.bat?

上記に示される HTTP リクエストを想定する場合、以下に示すスクリプトへの
パラメータを含む必要がある。

mode=
&draw=x
&file=x
&module=
&locale= [relative FILE/PATH] [Nullbyte/0x00] [Backslash/0x5c]
&chapter=

Web サーバの実行権限で読み出し可能な任意のファイル内に含まれる重要な情
報が開示されてしまった場合、攻撃対象のホストへのより手の込んだ攻撃を招
く事が想定される。

2. Red Hat TUX HTTP Server Oversized Host Denial of Service Vulnerability
BugTraq ID: 3506
リモートからの再現性: あり
公表日: Nov 05 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3506
まとめ:

TUX は GNU Public License に基づいて公開されているカーネル組み込み型の
HTTP サーバである。このソフトウェアでは静的コンテンツの提供、動的コン
テンツのキャッシュ機能、動的コンテンツを生成するための他の HTTP サーバ
との協調動作が可能である。

しかし、TUX デーモンが規格外の Host: ヘッダを HTTP リクエストの一部とし
て与えられた際、問題が生じるのである。この様なヘッダが与えられた場合、
処理は明瞭に失敗し、大抵の場合、カーネルパニックを生じてしまうのである。
この様な状況下においては、システムは通常動作へ復旧するためには再起動が
必要である。

この問題を利用する攻撃が行われた際には、不正な EIP アドレスを示すエラー
が発生する。このエラーから考察する限りでは、この問題を利用する攻撃が任
意のコードを実行するために利用し得るとは考えられていないのである。

3. Ipswitch WS_FTP Server 'STAT' Buffer Overflow Vulnerability
BugTraq ID: 3507
リモートからの再現性: あり
公表日: Nov 05 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3507
まとめ:

Microsoft Windows 環境向けの著名な FTP サーバソフトウェアである WS_FTP
Server は、ユーザが特別に組み立てた FTP コマンドを与える事により、バッ
ファオーバーフローが生じる問題を抱えている。このソフトウェアはデフォル
ト状態で SYSTEM 権限のサービスとして動作している。

このバッファオーバーフローを利用する攻撃は STAT コマンドを与える際に引
き起こす事が可能である。STAT コマンドはユーザが処理中の状態をサーバへ
リクエストを行うために利用され、リクエストが与えられたサーバはリプライ
形式を取り、状態報告を返送するのである。

WS_FTP Server を実行中のホストへ既にログイン済みのユーザが任意の文字列
(約 479 bytes) を伴う STAT コマンドを与える際、リターンアドレスを含む
スタック内の値の上書きを引き起こす事が可能であり、結果として SYSTEM
権限での任意のコードが実行される可能性が想定される。

なお、攻撃対象となるバッファに含まれる一連の値は様々なシステムに応じた
様々な値をとり得る事が注記されねばならない。これらの値はスタック値の上
書きとリターンアドレスの定義を試みる際に必ず考慮せねばならない値である。

この問題を利用する攻撃が成功した場合、攻撃対象のコンピュータの全権限を
奪取する事が可能である。

4. Raptor Firewall Zero Length UDP Packet Resource Consumption Vulnerability
BugTraq ID: 3509
リモートからの再現性: あり
公表日: Nov 05 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3509
まとめ:

Raptor Firewall は Symantec から販売されている、商用ファイヤウォール製
品の実装である。

このファイヤウォールの実装には、あるユーザが他の別な正当なネットワーク
資源のユーザへ、サービス提供を停止可能な問題が存在する。
問題は特定の形式の UDP パケットの取り扱い部分に存在している。

Raptor Firewall はファイヤウォールとして利用されているコンピュータを介
し、TCP/IP を利用するトラフィックをファイヤウォールが代わりに通過させ
るための、様々なモジュールを利用している。これらモジュールを利用する事
で、このファイヤウォールはコンテンツフィルタリングや目的と合致しないト
ラフィックのフィルタリングを行う事が可能になっているのである。

しかし、Raptor Firewall へ大量の長さ 0 の UDP パケットが与えられた際、
ファイヤウォールとして利用されているコンピュータでは CPU の能力を超え
る現象が生じるのである。ファイヤウォールは 100% の CPU 資源を費やして
しまい、ファイヤウォールがインストールされているコンピュータは応答不能
状態に陥ってしまうのである。
この結果、ファイヤウォールのどちらの側のネットワークに対しても、正当な
ユーザへのサービス提供が阻害されてしまう。

通常動作への復旧を行うためには再起動が必要である。

5. PHP Nuke Copying and Deleting Files Vulnerability
BugTraq ID: 3510
リモートからの再現性: あり
公表日: Nov 05 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3510
まとめ:

PHP Nuke は Web ポータルの構築と管理を行うパッケージであり、PHP によっ
て実装されている。このソフトウェアのデフォルトインストール状態には、
admin/case/case.filemanager.php というサーバ上のファイルシステム内にあ
るファイルのコピーや削除を行うために利用可能なスクリプトが含まれている。

これらの内、case.filemanager.php スクリプトはリモートユーザの認証機能を
担当するスクリプトである admin.php からのみ呼び出し可能な状態に設計され
ている。しかし、この実装は PHP による $PHP_SELP 変数の値の取り扱いに存
在するバグのために不備が残る状態なのである。リモートユーザは URL 内に
$PHP_SELF 変数に追加される様に URL 内に情報を含め、この変数の値に関する
確認処理を回避可能である。

この方法でスクリプトを呼び出し、スクリプトへ任意のファイル名を引き渡す
事により、リモートユーザは Web サーバ内のどのようなファイルであっても、
コピーや削除が可能なのである。
なお、この動作は Web サーバを実行しているユーザ権限の元で行われる。

例えば、リモートユーザは  /etc/passwd を Web サーバ上で通常表示される
ファイルへコピーし、重要な情報を入手する事が想定される。あるいは、リモー
トユーザが攻撃対象の Web サーバへファイルをアップロード可能である場合、
この種の攻撃者は標準的な PHP Nuke スクリプト群をアップロードを行ったファ
イルで上書きし、任意のスクリプトが Web サーバの利用者によって実行される
状態を可能にする事が想定される。

6. Zone Labs ZoneAlarm Pro Unauthorized Local Security Settings Vulnerability
BugTraq ID: 3512
リモートからの再現性: あり
公表日: Nov 06 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3512
まとめ:

ZoneAlarm は Windows 向けのファイヤウォールソフトウェアであり、他の様々
なセキュリティ機能を提供するソフトウェア同様、このソフトウェアはどのア
プリケーションがネットワークを介した通信を行えるかどうかについての制限
をかける機能を備えている。Internet Explorer 同様、このソフトウェアはユー
ザによるローカルのイントラネットゾーンと、インターネットゾーンを設定可
能にするセキュリティ設定機能を備えている。ローカルゾーンとしてみなされ
たホストは、より制約が緩やかなセキュリティ設定の元でファイヤウォールと
して設定されたホスト上のサービスへアクセス可能である。

しかし、ZomeAlarm はローカルのセキュリティ設定に属するホストへ不正ユー
ザを接続可能にしてしまう問題を抱えているのである。

アクセスを試みるユーザが利用するコンピュータの IP アドレスの最初の 2 オ
クテットが、攻撃対象のホストの IP アドレスと同一である場合、ZoneAlarm
はローカルのセキュリティ設定の元で、攻撃対象へのホストへのアクセスを可
能にしてしまうのである。

この問題はサービス中のポート番号やネットワーク共有に関する情報と言った
重大な情報を、本来そうあるべきではないにも関わらず開示させてしまえるの
である。悪意ある外部のホストから保護されていると考えられている、脆弱な
サービスは、リモートの攻撃者からアクセス可能な状態になる事が想定される
(例えば同一の ISP ネットワーク内に攻撃者が存在している事が想定される)。

7. CDE DTSVC Library Buffer Overflow Vulnerability
BugTraq ID: 3517
リモートからの再現性: あり
公表日: Nov 06 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3517
まとめ:

OpenUnix および UnixWare は Caldera により提供され、旧来 SCO によって提
供されていた UNIX 由来の OS である。

この OS にはリモートの攻撃者がより高位の権限を奪取可能であると想定され
る問題が存在する。問題は libDtSvc ライブラリに由来している。

多くの CDE 環境で動作するプログラムは libDtSvc ライブラリとリンクされて
いる。現在の所、ライブラリ内に存在する既知のバッファオーバーフローは、
dtspcd に影響を与え、リターンアドレスを含むスタック内の値の上書きを可能
にし、任意のコードの実行を可能にすると推察される。

この問題により、攻撃者は攻撃対象のシステムにおいてローカルからの管理者
権限の奪取を招く事が可能である。現在の所、この問題が他の CDE 環境で動作
するアプリケーションに影響を及ぼすかどうかは未詳である。

8. IBM HTTP Server Source Code Disclosure Vulnerability
BugTraq ID: 3518
リモートからの再現性: あり
公表日: Nov 08 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3518
まとめ:

IBM HTTP Server for the AS/400 には、リモートの攻撃者により特別に組み立
てられた HTTP リクエストを与える事で、スクリプトのソースコードを表示可
能にする、入力の妥当性を怠っている疑いがある。

/ が既存のスクリプトへのリクエストの末尾に追加された場合、スクリプトの
ソースが実行される代わりに表示されてしまうのである。

これは以下に示すリクエストを与える事で再現可能である。

http://www.targetserver.com/script.jsp/

スクリプト内に含まれる情報に依存するが、この問題は重要な情報を攻撃者に
開示する結果を招く事が想定される。


9. Slashcode Guessable SessionID Vulnerability
BugTraq ID: 3519
リモートからの再現性: あり
公表日: Nov 07 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3519
まとめ:

Slashcode は Web ページシステムに類似する、著名な掲示板システムである。
掲示板システムのユーザはアカウントを作成可能であり、システムへログイン
後にメッセージを投稿し、さらにメッセージへ返答を行う事が可能である。
ユーザの継続的な認証はクッキー内に割り当てられたセッション ID を利用し
て行われている。

このシステムにアカウントを作成するユーザは、ランダムに生成された 8 文字
のパスワードを初期パスワードとして割り当てられる。

デフォルト状態のパスワードを利用するアカウントに割り当てられるセッショ
ン ID は、ユーザに割り当てられた初期パスワードとユーザ ID を連結したも
のから成り立っている。ユーザ ID は新規にアカウントが作成される度毎に連
続値として与えられ、アカウントを作成する事で推測可能である。また、既存
の類似のユーザ ID を利用する事で、他のアカウントの類推は可能である。
デフォルト状態のパスワードは、それぞれ 56 通りの種別を取り得る 8 文字で
生成されているため、実用上妥当な時間の範囲内で、パスワードが取り得る文
字列空間を踏査する事は可能である。

なお、一度ユーザがパスワードを変更した場合、セッション ID は実践的に利
用される総当り推測攻撃 (brute force guessing attack) に対して影響を受け
ない、新しいパスワードから生成される妥当な長さの MD5 ハッシュを利用して
作成される様になる点は注記される。

他のバージョンの Slashcode も同様の問題を抱えている事が推測される。

10. Apache mod_usertrack Predictable ID Generation Vulnerability
BugTraq ID: 3521
リモートからの再現性: あり
公表日: Nov 08 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3521
まとめ:

Apache はインターネット上で広範囲に利用され、また、著名なオープンソース
の HTTP サーバである。Apache は 'mod_usertrack' と呼ばれるモジュールを
同梱して提供されている。このモジュールには個別の Web セッションとリクエ
ストそれぞれに対して、唯一の識別子を生成するためのコードが含まれている。

しかし、生成された ID は全くランダムではないのである。このモジュールは
接続元クライアントの ID、システム時間、サーバのプロセス ID を元に ID を
生成しているのである。これらの値はランダムとは言えない値であるため、生
成された ID は認証に利用する目的で利用する事は意図されないのである。
このため、このモジュールで生成される ID に依存して認証済みセッションの
追跡を行うアプリケーションは、どのようなものであったとしても ID 推測攻
撃の影響を受ける事が推察される。

アプリケーションの実装に依存するが、ある ID を推測可能な攻撃者はユーザ
のセッションとアカウントを高い可能性を持ってハイジャック可能である。

攻撃者が攻撃対象のコンピュータのローカルの資源に既にアクセスしていた場
合、推測なしにシステム時間と Web サーバのプロセス ID と言った情報は入手
可能である。

なお、この問題は Apache そのものの問題ではない点は注記されねばならない。
これはアプリケーションがこれらの ID を、認証済みのユーザを追跡するため
に利用している場合にのみ影響を及ぼす問題である。

11. Microsoft Internet Explorer Cookie Disclosure/Modification Vulnerability
BugTraq ID: 3513
リモートからの再現性: あり
公表日: Nov 09 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3513
まとめ:

Internet Explorer には攻撃者が意図的な Web サイトを利用して、クッキー情
報を表示あるいは改変するための URL を組み立て可能な問題が存在する。

about:protocol が Web サイトを参照する様な URL が組み立てられる際、URL
内に含まれる JavaScript は document.cookie を介し、その Web サイトに関
連付けられたクッキーをどのようなものであったとしてもアクセス可能なので
ある。
この種の JavaScript は MSIE に存在する、about:protocol に関連したクロス
サイトスクリプティングのために実行されてしまうのである。

攻撃対象の Web サイトがすでにアクセス済みであり、クッキーが失効していな
い状況であれば、この状態をもたらす事が可能である。
攻撃対象のユーザがこの種のリンクをクリックするか悪意を持って開設された
Web サイトへアクセスする際、ユーザへ知られる事も、同意を得る事もなく自
動的にこの攻撃は実行可能である。
なお、HTML を利用する電子メールを介した場合でも、この問題を利用する攻撃
は実行可能であると推定される。

以下はこの問題を利用する攻撃を行うために利用される URL の例である。

about://www.target.com/<scriptlanguage=javascript>alert(document.cookie);</script>

この例では alert() ポップアップウインドウへ www.target.com に関連付けら
れたクッキー内の値の表示が行われる。

この例以外を想定するならば、どのような Web サイトに関連付けられたクッ
キーであっても URL 中に含まれる攻撃者が作成した JavaScript によって操作
する事が可能である。JavaScript はクッキー内の値を改変、またはリモートの
サーバへ送信する様に設計可能である。

この問題を利用する攻撃が成功した場合、セッション ID、認証用情報等の重要
な情報が開示される可能性がある。また、この問題はユーザやクッキーを発行
した Web サーバへのさらなる攻撃の補助手段とする事が可能である。

12. RedHat Linux IPTables Save Option Unrestorable Rules Vulnerability
BugTraq ID: 3520
リモートからの再現性: あり
公表日: Nov 08 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3520
まとめ:

Red Hat Linux はフリーで利用可能であり、オープンソースで提供されている
UNIX のクローン OS である。この OS は Red Hat Incorporated により配布
され、保守されている。

このソフトウェアパッケージに同梱されているファイヤウォール構築用ソフト
ウェアには、管理者に知られる事なく、システムに不要のリスクを抱えさせる
結果を招く問題が存在する。

問題は iptables によって利用される保存形式に存在する。iptables は -c
オプションが利用された際、現在有効なルールセットをファイルへ保存を行う。
管理者がファイヤウォールのルールセットをファイルへ保存を試みる際、リ
ロードの試みによって保存済みルールセットが作成された場合、ルールセット
が保存される形式は iptables によって解釈可能な形式ではないのである。

ファイヤウォールの設定状態を次回の再起動時にシステムによって設定ファイ
ルが読み込まれる様に、ファイルへ保存している管理者はシステムを保護され
ていない状態に放置しているのである。
この結果、システム内の重要な情報にリモートのユーザはアクセス可能な状態
をもたらし、セキュアではない状態に放置されたままのシステムのローカルの
資源へのアクセスや権限昇格を招く可能性がある。

13. Solaris PT_CHMOD Arbitrary Terminal Writing Vulnerability
BugTraq ID: 3522
リモートからの再現性: なし
公表日: Nov 08 2001 12:00A
関連する URL:
http://www.securityfocus.com/bid/3522
まとめ:

Solaris はフリーで利用可能な Unix オペレーティングシステムの実装である。
このソフトウェアは Sun Microsystems により保守が行われ、配布されている。

このソフトウェアにはローカルのユーザがアクセスが制限された端末にデータ
を書き込み可能な問題が発見された。この問題は端末によるアクセスコントロー
ルのエントリの取り扱いに由来している。

システムにログイン時、各ユーザには端末が割り当てられる。ユーザは端末を
保持する一方、端末上にアクセスコントールエントリを設定できる可能性があ
る。セッションを終了するとき、端末は端末プールに返却され、再度必要とさ
れた際に別のユーザに割り当てられる。

しかし、プールへ端末が返却される際、アクセスコントロールエントリは端末
上で初期化されないのである。このため、次のユーザに端末が割り当てられる
際には端末の以前の使用者が端末に書き込みを行う事が推察される。

14. Rational ClearCase DB Loader TERM Environment Variable Buffer Overflow Vulnerability
BugTraq ID: 3523
リモートからの再現性: なし
公表日: Nov 09 2001 12:00A
関連する URL:
http://www.securityfocus.com/bid/3523
まとめ:

ClearCase は商用利用可能なソフトウェア変更管理パッケージである。このソ
フトウェア は Rational により保守、配布されている。

このパッケージに存在する問題のため、ローカルユーザはさらに高位の権限を
奪取する可能性がある。この問題は、db_loader による環境変数の取り扱いに
起因している。

db_loader プログラムは、setuid root に設定されたプログラムであり、ソフ
トウェアパッケージのインストール時にデフォルトでインストールされる。
このプログラムは、プログラムを実行するユーザの環境変数からの入力を適切
に取り扱えないのである。
ユーザが TERM 環境変数に 550 バイトの文字列を指定して db_loader プログ
ラムを実行する場合、バッファオーバーフローが発生する。これはリターンア
ドレスを含めることが可能なスタック変数の上書きによる結果である。この結
果を利用し、攻撃者は指定した任意のプログラムの実行が可能である。

db_loader プログラムは setuid root に設定されているため、ローカルユーザ
は root 権限でプログラムを実行する事が可能であり、管理者としてアクセ
スを行う可能性がある。

III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Microsoft Reveals Anti-Disclosure Plan
著者: Kevin Poulsen

Microsoft とコンピュータセキュリティ会社 5 社はソフトウェアのセキュリテ
ィホールの公開を抑制する標準を策定するために協力する運びとなった。
http://www.securityfocus.com/news/281

2. White House: Prepare for Super-Hackers
著者: Kevin Poulsen

サイバーセキュリティアドバイザの Richard Clarke は、現在のクラッカーの
攻撃とウイルスによる損害は、将来起こりうる洗練された攻撃での損害に比べ
たら、はした金にしかすぎないと述べた。
http://www.securityfocus.com/news/280

3. Lawyer: Business As Usual Under Surveillance Law
著者: Kevin Poulsen

プライバシー擁護者は、最近の米愛国法の通過に顔をしかめているが、論議を
呼んでいる新しい監査に関する法案は、インターネットサービスプロバイダや
通信会社にはほとんどなにも影響を与えないだろうと、検事である前 NSA 職員
は火曜日に語った。
http://www.securityfocus.com/news/279

4. NIPC Warns Of Anti-U.S. Hackers
著者: Brian McWilliams, Newsbytes

金曜日、FBI の国家インフラ防護センタは、コンピュータネットワークへの
DDoS 攻撃が増加する現状に警告を発した。
http://www.securityfocus.com/news/278


IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. WormScan v1.2
作者: Andriy Rozeluk
関連する URL:
http://www.websoup.net/wormscan/
プラットフォーム: N/A
まとめ:

WormScan は、Apache Web サーバへの攻撃の試行をレポート化するために、
Java 言語で作成されたユーティリティです。どんなにたくさんのワームにも対
応できるように設計されています。しかし、非常に拡張性が高く、Web サーバ
のログファイルに発見されうるどんなことについても、検索し報告する設定が
容易にできます。レポートはカスタマイズ可能で、ニーズに合わせて変更でき
ます。多数の設定オプションで、パフォーマンスと出力を調整可能です。

2. Swatch v3.0.4
作者: Todd Atkins
関連する URL:
http://www.stanford.edu/~atkins/swatch/
プラットフォーム: BSDI、Linux、Solaris、UNIX
まとめ:

Swatch は元々 UNIX の syslogd を介してで採取されるログを能動的にログの
内容を監視するために作成されたソフトウェアです。視覚的な方法とイベント
を引き起こす方法の複数の警告手段が準備されていいます。ログの集中管理を
行うホストに最も適したツールと言えるでしょう。現在 Linux (Red Hat 5)、
BSDI、Solaris 2.6(パッチの適用が必要) 上で動作確認が行われています。

3. snort-rep v1.7
作者: David Schweikert
関連する URL:
http://people.ee.ethz.ch/~dws/software/snort-rep/
プラットフォーム: POSIX
まとめ:

snort-rep は、syslog ファイルからテキスト形式や HTML 形式でレポートを出
力する Snort レポートツールです。このツールは、システム管理者に電子メー
ルレポートを毎日発行するために設計されました。すべてのレポートには優先
度情報が記述されており (Snort 1.8 以降を使用した場合)、HTML 形式で出力
した場合は、whitehats.com の IDS の説明ページへのリンクが指定されています。

4. SILC (Secure Internet Live Conferencing)(server) v0.6.2
作者: Pekka Riikonen priikone@poseidon.pspt.fi
関連する URL:
http://silcnet.org/
プラットフォーム: Linux
まとめ:

SILC (Secure Internet Live Conferencing) は、インターネットのセキュアで
ないチャンネルを経由して、セキュアなカンファレンスサービスを提供するプ
ロトコルです。SILC は IRC に表面上似てはいますが、内部は全く違います。
SILC の目的はセキュアなカンファレンスサービスを提供することにあります。
強力な暗号を利用して、すべての通信内容をセキュアにします。

5. Linux Port/Socket Pseudo ACLs v2.4.14-11 (2.4)
作者: anthonyu
関連する URL:
http://original.killa.net/infosec/acls/
プラットフォーム: Linux
まとめ:

Linux Port/Socket Pseudo ACLs パッチを使用すれば、管理者は、非 root ユ
ーザに保護されたネットワーク資源への権限委譲が可能になります。
通常、このソフトウェアは、信用されていない、あるいは、セキュアでないア
プリケーションを非権限プロセスとして実行するために使用されます。そのた
め、まだ発見されていない DoS 攻撃や root 権限奪取攻撃を未然に防ぐことが
可能です。保護されたポート、raw ソケット、パケットソケットをサポートし
ます。

6. NTLM Authorization Proxy Server v0.9.5
作者: Dmitry Rozmanov
関連する URL:
http://www.geocities.com/rozmanov/ntlm/
プラットフォーム: Windows 95/98、Windows NT
まとめ:

NTLM Authorization Proxy Server は NTLM プロトコルを使用して MS Proxy 
Server 経由で認証可能にするためのプロキシソフトウェアです。クライアント
のリクエストヘッダの任意の値を変更可能なため、変更されたリクエストは MS
IE で生成されたように見えます。
このソフトウェアは Python 言語の v1.5.2 で作成されています。
- --
訳: 坂井順行(SAKAI Yoriyuki), 影山徹哉(KAGEYAMA Tetsuya)
監修: 坂井順行(SAKAI Yoriyuki)
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki

iQA/AwUBO/ChA5QwtHQKfXtrEQKhcACfeLFxvA0dfbjvEDMqQ0NbKboPQPQAn1Ga
kiNbW0A2UiisfClwNyS1/mq0
=ut/U
-----END PGP SIGNATURE-----