SecurityFocus.com Newsletter #122 2001-12-03->2001-12-07



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 122 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml
BugTraq-JP に関する FAQ:
http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) http://www.securityfocus.com/archive/79
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Date: Mon, 10 Dec 2001 11:04:17 -0700 (MST)
Message-ID: <Pine.GSO.4.30.0112101103420.8557-100000@mail.securityfocus.com>

SecurityFocus Newsletter #122
- ---------------------------------

This issue is sponsored by VeriSign - The Value of Trust

- -------------------------------------------------------------------------------

I. FRONT AND CENTER(日本語訳なし)
     1. Advertising Information
     2. An Introduction to IDS
     3. Using IPSec in Windows 2000 and XP
     4. The Future of IDS
     5. 'Magic Lantern' Rubs the Wrong Way
II. BUGTRAQ SUMMARY
     1. Persits AspUpload Default Scripts Exploitable Vulnerability
     2. PHPNuke Cross-Site Scripting Vulnerability
     3. Microsoft Outlook Express for Macintosh Buffer Overflow...
     4. OpenSSH UseLogin Environment Variable Passing Vulnerability
     5. SpeedXess HA-120 Router Default Administrative Password...
     6. ValiCert Enterprise Validation Authority Code Execution...
     7. ValiCert Enterprise Validation Authority Path Disclosure...
     8. Lotus Domino SunRPC Denial of Service Vulnerability
     9. Frox FTP Cache Retrieval Buffer Overflow Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
     1. Lamo's Adventures in WorldCom
     2. Goner Worm Tops the Charts
IV.SECURITYFOCUS TOP 6 TOOLS
     1. userinfo v1.8
     2. Stealth HTTP Security Scanner v2.0b36
     3. CHX-I Universal Application Firewall and Intrusion...
     4. Mailfilter v0.3.1
     5. IP Sorcery v1.4
     6. WinARP Watch v1.0

I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------
1. Persits AspUpload Default Scripts Exploitable Vulnerability
BugTraq ID: 3608
リモートからの再現性: あり
公表日: Nov 30 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3608
まとめ:

AspUpload はリモートユーザに HTML フォームを利用し、ファイルをアップロー
ドする機能を提供する ASP 拡張である。

このソフトウェアと共にインストールされる、あるサンプルスクリプトによっ
て、ユーザは Web サーバの c:\upload ディレクトリへファイルのアップロー
ドが可能である。このスクリプトはフォーム内の hidden 変数の値としてアッ
プロード対象のファイル名を受け付ける仕様である。しかし、その際指定され
る変数は、../ 表記を利用する相対パス表記を用いたディレクトリ指定を利用
する攻撃に利用され、リモートユーザは C ドライブ内の任意のファイルをアッ
プロード先として指定可能なのである。

また、別のサンプルスクリプトを利用して、リモートユーザはディレクトリ構
造の参照が可能であり、サーバ内に存在する任意のファイルのダウンロードが
可能である。

サンプルスクリプトは C:\Program Files\PersitsSoftware\AspUpload\Samples
内にインストールされ、以下が問題を抱えるスクリプトである。

	UploadScript11.asp
	DirectoryListing.asp

AspUpload バージョン 3.0 においてもこれらサンプルスクリプトは同梱されて
いると推察される。

2. PHPNuke Cross-Site Scripting Vulnerability
BugTraq ID: 3609
リモートからの再現性: あり
公表日: Dec 03 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3609
まとめ:

PHPNuke は Web サイトの構築、管理機能を提供するソフトウェアである。

このソフトウェアにはクロスサイトスクリプティングを利用する攻撃の影響を
受ける疑いがある。

このソフトウェアでは、user.php スクリプトへリンクされた HTML ファイル
を介して与えられた HTML タグについて、フィルタリングがなされていないの
である。

ユーザ情報を参照するために利用されるスクリプトである user.php は、変数
uname を受け付けている。この変数に与えられる値は PHP が生成する HTML 内
に含まれ、クライアントへ引き渡される前に不要な内容の除去が行われていな
いのである。

この結果、PHPNuke を利用して構築されたサイト内のこのページに対し、悪意
あるスクリプトを含むリンクを作成する事が可能なのである。
このリンクが何ら現象を予期していないユーザによってクリックされる際、
PHPNuke 運用しているサイトから得られたコンテンツとして、悪意あるコード
が実行されてしまうのである。

この問題を利用する攻撃は、影響を受ける PHPNuke を利用して構築されたサイ
トに対して利用される、ユーザのクッキーを利用した認証用情報を盗み出すた
めに用いられる事が想定される。

なお、PostNuke も報告された所によると問題を抱えているとの事である。

3. Microsoft Outlook Express for Macintosh Buffer Overflow Vulnerability
BugTraq ID: 3611
リモートからの再現性: あり
公表日: Dec 03 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3611
まとめ:

いくつかのバージョンの Microsoft Outlook Express for Macintosh は、バッ
ファオーバーフローを生じる問題を抱えている。

悪意あるユーザがメッセージの本文中に通常あり得ない長さの行を含む、特別
に組み立てられた電子メールを該当するソフトウェアのユーザに送信した際、
報告された所によると、任意のコードの実行を可能にするスタックオーバーフ
ローが生じるのである。ランダムなデータを送信する事により、アプリケーショ
ンをクラッシュ可能である。

攻撃者はスタック上のリターンアドレスを置換可能であり、また、メモリ内に
悪意ある実行コードの注入を行う事が推察される。この結果として、攻撃者は
攻撃対象となったホストへのアクセスが可能になる事が想定される。

この攻撃の影響を受ける状況に陥る条件は、害をもたらす電子メールを、ただ
ユーザがダウンロードを行うのみであると考えられる。

メールサーバ上で悪意あるメッセージが除去可能になるまでの間、クライアン
トはクラッシュし続けてしまうために、攻撃者による持続した DoS が成立する
と考えられる。管理者、あるいは他の影響を受けない電子メールクライアント
のいずれかが該当するメールの除去を行うまでの間、電子メールの取得動作が
行われる度毎に、この悪意あるメッセージはクライアントをクラッシュさせ続
けるのである。

4. OpenSSH UseLogin Environment Variable Passing Vulnerability
BugTraq ID: 3614
リモートからの再現性: なし
公表日: Dec 04 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3614
まとめ:

OpenSSH はフリーであり、オープンソースである Secure Shell プロトコルの
実装である。このソフトウェアは OpenBSD チームにより保守されている。

このソフトウェアにはローカルユーザが権限を昇格可能な問題が発見されてい
る。OpenSSH はユーザが特定のキーを利用してログインする際、特定の環境変
数を利用する事を可能にしている。サーバが UseLogin フラグを利用し、明示
された login コマンドを利用する様に設定されている際、関連する環境変数の
値が login コマンド用に設定される。

この処理はローカルの攻撃者が login コマンド用に LD_PRELOAD 環境変数経由
による、任意の共有ライブラリを読み込ませる事による攻撃を可能にし、より
昇格された権限での任意のコードの実行を招く事を可能にするのである。

UseLogin フラグが設定される際、ローカルユーザは root 権限を奪取可能であ
る。なお、UseLogin フラグはデフォルトでは有効になっていない。

5. SpeedXess HA-120 Router Default Administrative Password Vulnerability
BugTraq ID: 3617
リモートからの再現性: なし
公表日: Dec 04 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3617
まとめ:

SpeedXess HA-120 ルータは DSL 接続のルーティングに利用される家庭向けの
ルーティング手段を提供するハードウェアである。この機器は Hyundai Networks
によって販売、保守が行われている。

この機器には、認証を行っていないユーザが機器そのものへアクセス可能とな
る問題が存在する。ルータが導入される際のパスワードの変更を促す処理に、
問題が存在するのである。

機器が導入された後、ルータはユーザにパスワードを変更する催促は行わない
のである。この問題に加え、他の同種のルータに対して工場出荷時に設定され
たパスワードは、デフォルト状態で既知であると言う事実がある。

このため、リモートユーザはデフォルトパスワードを変更せずに導入された、
全ての HA-120 ルータへ無権限のままで管理機能へアクセスする事が可能なの
である。

6. ValiCert Enterprise Validation Authority Code Execution Vulnerability
BugTraq ID: 3619
リモートからの再現性: あり
公表日: Dec 04 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3619
まとめ:

ValiCert Validation Authority は包括的で、スケーラブルであり、デジタル
証明書の妥当性を確認するための信頼できるフレームワークを提供し、いずれ
の証明機関においても実際に発行されている。

報告された所によると、証明書を作成する際、ディスクリプションフィールド
内にユーザは HTML コードを含める事が可能なのである。ValiCert 管理サーバ
からその証明書を参照する際、含まれている HTML はインタフェースの一部を
成すものとして解釈されてしまうのである。

なお、悪意ある証明書の作成は権限を保持するローカルユーザのみが行えると
言う点は注記されねばならない。

攻撃者は管理用インタフェースの内容として含まれる様に、悪意あるスクリプ
トの実行や偽の情報の表示が可能になる事が推定される。

7. ValiCert Enterprise Validation Authority Path Disclosure Vulnerability
BugTraq ID: 3615
リモートからの再現性: あり
公表日: Dec 04 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3615
まとめ:

ValiCert Validation Authority は包括的で、スケーラブルであり、デジタル
証明書の妥当性を確認するための信頼できるフレームワークを提供し、いずれ
の証明機関においても実際に発行されている。

しかし、悪意あるユーザが Valicert のインストール先のパスを参照可能にな
る問題が存在している。

悪意あるユーザが、存在しない種類のカスタマイズされた拡張子を追加するた
めの HTTP リクエストを Enterprise VA へ送信した際、サーバは Enterprise
サーバのインストール先のパスを含むエラーページを返してしまうのである。
ファイルシステム上のアプリケーションのインストール先情報は、重要な情報
の格納先情報を推測するための情報となり、攻撃対象のホストへ行われる、以
後の攻撃に利用される可能性がある。

悪意あるリクエストはポート番号 13333 へ forms.exe を介して行われる必要
がある。

8. Lotus Domino SunRPC Denial of Service Vulnerability
BugTraq ID: 3607
リモートからの再現性: あり
公表日: Nov 30 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3607
まとめ:

Lotus Domino Server は Web を利用した協業環境を提供するための、アプリケー
ションを構築するためのフレームワークを提供するソフトウェアである。この
ソフトウェアは複数の環境で動作し、広く普及している Lotus Notes クライア
ントソフトウェア向けのサポート機能を含んでいる。

Lotus Domino が SunRPC の NULL コマンドをポート番号 443 で受け取る際、
nhttp プロセスはクラッシュしてしまい、Domino Server への DoS 攻撃が成立
してしまうのである。通常動作への復旧はこのプロセスの再起動が必要である。

SunRPC の NULL コマンドを利用する攻撃は、-sR フラグ付きで nmap を実行す
る事で企てる事が可能であると考えられる。

この問題を利用する攻撃は http タスクを ssl を有効にして実行している Domino
Server に対して有効である。

9. Frox FTP Cache Retrieval Buffer Overflow Vulnerability
BugTraq ID: 3606
リモートからの再現性: あり
公表日: Nov 30 2001 12:00A
関連するURL:
http://www.securityfocus.com/bid/3606
まとめ:

Frox はフリーであり、オープンソースである FTP プロキシ機能を提供するソ
フトウェアパッケージである。このソフトウェアはパブリックドメイン状態で
保守がなされており、Sourceforge のインデックス内に格納されている。

このソフトウェアには、ユーザがより高位の権限の奪取が可能である問題が発
見されている。問題は長いパス名の取り扱い部に存在している。

この問題は FTP によるファイル取得時に、FTP プロキシがキャッシングを行う
様に設定されている際にのみ、明らかに発現する事が証明されている。このソ
フトウェアでは境界チェックが十分ではないために、バッファオーバーフロー
を長いパス名付きのファイルを指定する事により引き起こす事が可能なのであ
る。この結果、リターンアドレスを含むスタック内の値の上書きを行い、Frox
の実行権限でのコードの実行を招く事が可能である。

この問題を利用する事で、悪意ある FTP サーバは問題を抱えるソフトウェアを
実行しているシステムの、ローカルへのアクセスを行うためのシェルを起動す
る事が可能になる。Frox は典型的には root ではない権限で実行されるプログ
ラムである。


III. SECURITYFOCUS NEWS AND COMMENTARY
- ------------------------------------------
1. Lamo's Adventures in WorldCom
著者: Kevin Poulsen

周囲への教訓をもたらす人物がまたもや事件を起したのである。今回の事件は
とある企業の内部向け Web サイトにアクセスする方法を見つけ出し、その企業
のセキュリティ担当者へその後に全てを語ったと言うものである。
この事件を引き起こしたのが Adrian Lamo である。なぜ、彼はこの事件を引き
起こしたのだろうか。また、Kinkos が彼を解雇したとしても彼の生活は事前と
変わりないのだろうか。

http://www.securityfocus.com/news/296

2. Goner Worm Tops the Charts
著者: Steve Gold and Steven Bonisteel, Newsbytes

ある1日の間で、新種のウイルスが際も際立った脅威となったのである。

http://www.securityfocus.com/news/295


IV.SECURITYFOCUS TOP 6 TOOLS
- -----------------------------
1. userinfo v1.8
作者: Michael Vogt michael.vogt@clicknet.ch
関連するURL:
http://www.clicknet.ch/chscene/chscene.php
動作環境: Windows 2000, Windows NT
まとめ:

このアプリケーションの目的は、Microsoft が実装した RestrictAnonymous
レジストリ設定の内容に、一貫性に欠けた部分を示す事です。

2. Stealth HTTP Security Scanner v2.0b36
作者: Felipe Moniz, Security Specialist
関連するURL:
http://www.hideaway.net/stealth
動作環境: Linux, Windows 2000, Windows 95/98, Windows NT
まとめ:

Stealth 1.0 は 2883 種類の HTTP に関連する問題について、スキャンを行い
ます。このツールはシステム管理者、セキュリティコンサルタント、IT 関連
の専門化が想定されるセキュリティホールを確かめ、攻撃者が攻撃可能な既存
のいかなるセキュリティ上の問題をも検査できる様に、特に着目して設計され
ています。商業利用、非商業利用のいずれにおいても完全にフリーで利用可能
です。

3. CHX-I Universal Application Firewall and Intrusion Detection Engine.
   v1.7
作者: IDRCI Inc.
関連するURL:
http://www.idrci.net/default.htm?tryit=en
動作環境: Windows 2000, Windows NT
まとめ:

CHX-I は TCP に対してアプリケーション層レベルで実装されているファイヤウォー
ルです。最新版は 1.7 が提供されています。
・SSL トラフィックの分析を行うエンジンが搭載され、伝送中の TCP トラフィッ
  ク内に含まれる内容に関してフィルタリングが可能です
・SSL を利用したサーバサイドで行われる透過型暗号化機能により、TCP で実
  装されたアプリケーション層のトラフィックの暗号化が可能です
・重要な、あるいは、目的外のデータの操作に関して、それらを伝送中の TCP
  トラフィック内のデータの改変が可能です
・非同期的なリバースデータフローの検索、すなわちトラフィックの方向性を
  元にした検索が可能です
・例えば Drop、Log、Replace と言った複数のアクションを、エンジンはトラ
  フィックのフロー毎に行います

4. Mailfilter v0.3.1
作者: Andreas Bauer
関連するURL:
http://mailfilter.sourceforge.net/
動作環境: POSIX
まとめ:

Mailfilter は受け取りたくない spam メールを、ローカルにあるコンピュータ
にダウンロードしてしまい問題に巻き込まれてしまう前に、除去するための柔
軟に対応可能なユーティリティです。このソフトウェアは 1 個以上の POP3
アカウントをサポートし、とりわけモデム経由のダイアルアップアカウント環
境において有用です。ユーザはどのメールが配送されるべきで、どのメールが
破棄されるべきかを判断する個別のフィルタ (ルール) を設定可能です。

5. IP Sorcery v1.4
作者: Case ajz023@motorola.com
関連するURL:
http://www.legions.org/~phric/ipsorcery.html
動作環境: Linux, POSIX, UNIX
まとめ:

IP Sorcery は TCP/IP パケット生成ソフトウェアです。このソフトウェアは
TCP、UDP、ICMP パケットを GTK+ インタフェースを利用して送信可能です。

6. WinARP Watch v1.0
作者: Andreas Vernersson andver-8@student.luth.se
関連するURL:
http://jota.sm.luth.se/~andver-8/warp/
動作環境: Windows 2000, Windows 95/98, Windows XP
まとめ:

WinARP Watch は Windows の ARP キャッシュのモニタリングを行うプログラム
です。ARP キャッシュには IP アドレスと MAC アドレスの対が含まれているた
めに、IP パケットが送られる度にキャッシュの内容から IP アドレスと MAC ア
ドレスの対応付けが、ブロードキャストを介した MAC アドレスのリクエストが
行われる事がありません。

しかし、偽の ARP 応答を返す事が可能であるため、キャッシュに偽の内容を格
納する問題があり得るのです。これは ARP 内容の汚染と呼ばれ、決してよい結
果をもたらす事はありません。

このプログラムはキャッシュの内容を見張り、プログラム内のリストへ新しい
IP アドレスと MAC アドレスの対を全て格納します。
組み合わせが既に既知である場合、プログラムはキャッシュ内の内容と変化が
あるかどうかを確認します。
- --
訳: 坂井順行(SAKAI Yoriyuki), 影山徹哉(KAGEYAMA Tetsuya)
監修: 坂井順行(SAKAI Yoriyuki)
LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki

iQA/AwUBPBUbcZQwtHQKfXtrEQICwACfV7LiTJVsOJ3pUJ3Z5ti2v68JnIsAnj5o
sApIucIHGuiecUm9N9KlKROG
=J5dp
-----END PGP SIGNATURE-----