Return-Path: bugtraq-jp-return-110-kjm=ideon.st.ryukoku.ac.jp@securityfocus.com Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm Precedence: bulk List-Id: List-Post: List-Help: List-Unsubscribe: List-Subscribe: Delivered-To: mailing list bugtraq-jp@securityfocus.com Delivered-To: moderator for bugtraq-jp@securityfocus.com Received: (qmail 3927 invoked from network); 17 Mar 2002 05:52:34 -0000 To: bugtraq-jp@securityfocus.com Subject: SecurityFocus.com Newsletter #135 2002-3-4->2002-3-8 From: SAKAI Yoriyuki Message-Id: <200203171454.JGH45158.LTBJB@lac.co.jp> X-Mailer: Winbiff [Version 2.34PL1] X-Accept-Language: ja,en Date: Sun, 17 Mar 2002 14:54:29 +0900 Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 135 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - --------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml BugTraq-JP に関する FAQ: http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml - --------------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) http://www.securityfocus.com/archive/79 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 原版: Date: Mon, 11 Mar 2002 12:15:24 -0700 (MST) Message-ID: SecurityFocus Newsletter #135 - -------------------------------- Sponsored by Qualys - Make Your Network Secure I. FRONT AND CENTER(日本語訳なし) 1. Ten Windows Password Myths 2. Network Intrusion Detection Signatures, Part Four 3. Building an Anti Virus Engine 4. A Postcard From Brazil 5. In the Air Tonight 6. The American Management Training Association, Washington DC II. BUGTRAQ SUMMARY 1. AeroMail Server File Disclosure Vulnerability 2. CFS Multiple Buffer Overflow Vulnerabilities 3. ReBB Image Tag Cross-Site Scripting Vulnerability 4. Endymion Sake Mail Null Character File Disclosure Vulnerability 5. Endymion MailMan Alternate Templates File Disclosure Vulnerability 6. Real Networks RealPlayer Directory Traversal Vulnerability 7. Kame-Derived Stack Non-ESP IPV4 Forwarded Packets Policy... 8. Phorum User Information Disclosure Vulnerability 9. Zope Proxy Role Elevated Object Access Vulnerability 10. Multiple Vendor Radius Short Vendor-Length Field Denial Of... 11. Multiple Vendor Java Virtual Machine Session Hijacking... 12. Microsoft SQL Server xp_dirtree Buffer Overflow Vulnerability 13. MailServer by SH39 Denial of Service Vulnerability 14. TalentSoft Web+ Webpsvc Buffer Overflow Vulnerability 15. CVS Server Global Variable Denial Of Service Vulnerability 16. Microsoft IIS Authentication Method Disclosure Vulnerability 17. HP ProCurve Switch Denial of Service Vulnerability 18. AeroMail JavaScript Execution Vulnerability III. SECURITYFOCUS NEWS ARTICLES 1. Guesswork Plagues Web Hole Reporting 2. Stop Him Before He Hacks Again 3. Computer Virus Infections Continue To Climb - Report IV.SECURITYFOCUS TOP 6 TOOLS 1. Snort IDScenter v1.09 b1.3 2. Leka Rescue Floppy v0.5.2 3. Port Scan Attack Detector (psad) v0.9.6 4. CHX-I Packet Filter v1.0 5. OpenAntiVirus samba-vscan v0.2.3 6. MailScanner v3.12-5 I. FRONT AND CENTER(日本語訳なし) - --------------------------------- II. BUGTRAQ SUMMARY - ------------------- 1. AeroMail Server File Disclosure Vulnerability BugTraq ID: 4214 リモートからの再現性: あり 公表日: Mar 01 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4214 まとめ: AeroMail は Web インタフェースを持つ電子メールソフトウェアであり、Mark Cushman によって保守されている。このソフトウェアは Windows と UNIX 向け に設計されている。 このソフトウェアのいくつかのバージョンには、ユーザが Web 用の公開文書用 のディレクトリ内にあるファイルを、電子メールの添付ファイルに含める事が 可能な問題が存在している。 この結果、ユーザはホスト内の重要な情報の入手が可能である。この種の情報 は、攻撃対象へのさらなる攻撃の補助手段として利用可能である。 2. CFS Multiple Buffer Overflow Vulnerabilities BugTraq ID: 4219 リモートからの再現性: あり 公表日: Mar 02 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4219 まとめ: Cryptographic File System (CFS) for Unix はファイルシステムの暗号化を行 うソフトウェアパッケージである。 1.3.3-8-1 未満のバージョンには多くの場 所でバッファオーバーフローが生じる問題が存在する。現時点では、攻撃対象 のコンピュータでなんらかの権限の奪取を行う事が可能であるかどうかについ ては未詳である。しかし、暗号化されたファイルシステムに対する DoS を招く ために、この問題を利用する攻撃を行う事が可能である。 現時点ではより詳細な情報は公開されていない。 3. ReBB Image Tag Cross-Site Scripting Vulnerability BugTraq ID: 4220 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4220 まとめ: ReBB は Web インタフェースを利用する電子掲示板機能を提供するソフトウェ アであり、殆どの UNIX や Linux で動作し、また、Microsoft Windows におい ても動作する。このソフトウェアは PHP を用いて開発され、様々なデータベー スがバックエンドデータベースとして利用可能である。 このソフトウェアのユーザは電子掲示板のメッセージ内に、以下に示す文法を 利用して、画像タグを利用した画像の埋め込みが可能である。 [img]画像を指し示す URL[/img] しかし、画像タグ内の HTML タグは十分にフィルタリングが行われていない。 このため画像タグを利用して、電子掲示板のメッセージに任意のスクリプトを 注入する事が可能なのである。この結果、ReBB はクロスサイトスクリプティン グを利用する攻撃の影響が及ぶ疑いがある。埋め込まれたスクリプトは電子掲 示板を参照するユーザの Web ブラウザ内で実行され、攻撃者はクッキーに基づ く認証用情報の盗み出しを行う可能性がある。 4. Endymion Sake Mail Null Character File Disclosure Vulnerability BugTraq ID: 4223 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4223 まとめ: Endymion Sake Mail は Java で開発された、Web インタフェースを利用する電 子メールクライアントを実装した Servlet である。このソフトウェアは殆どの UNIX や Linux で動作し、さらには Microsoft Windows においても動作する。 このソフトウェアには、Web サーバの権限によって読み出し可能な任意のファ イルについて、リモートの攻撃者に対する開示が潜在的に可能になる、保護さ れたディレクトリ範囲以外に対してもアクセスが可能になる攻撃 (directory traversal attacks) の影響が及ぶ疑いがある。Web サーバの権限によって読み 出し可能な任意のファイルを指し示す、悪意ある HTTP リクエストを組み立て る事が、この問題を利用する攻撃を成功させるための必要事項である。 この悪意あるリクエストに ../ (2つのピリオドとそれに引き続くスラッシュ) とメタキャラクタ表記のヌル (%00) を含める事により、攻撃者によるこの種の リクエストは Web 用の公開文書用ディレクトリの範囲を越え、指定されたファ イルの内容を攻撃者に開示してしまうのである。 この問題は重要な情報をリモートの攻撃者に開示する可能性がある。 5. Endymion MailMan Alternate Templates File Disclosure Vulnerability BugTraq ID: 4222 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4222 まとめ: Endymion MailMan は Perl で開発された Web インタフェースを持つ電子メール ソフトウェアである。このソフトウェアは殆どの Linux や UNIX で動作し、さら には Microsoft Windows においても動作する。 このソフトウェアには Web 用の公開文書用ディレクトリの制限を回避し、Web サーバの権限で読み出し可能なファイルの内容を開示可能である疑いがある。 CGI 変数 ALTERNATE_TEMPLATES へ与えられる値に関する妥当性の確認が不十分 であるため、このソフトウェアは保護されたディレクトリ範囲以外に対しても アクセスが可能になる攻撃 (directory traversal attacks) の影響が及ぶ疑い がある。攻撃者は ../ (2つのピリオドとそれに引き続くスラッシュ)、開示対 象のファイル名、メタキャラクタ表記のヌル (%00) を含む悪意ある HTTP リク エストを組み立てる事により、Web サーバの実行権限で読み出し可能な任意の ファイルの参照を行える様になる可能性がある。 この問題により、リモートの攻撃者に重要な情報が開示される可能性がある。 6. Real Networks RealPlayer Directory Traversal Vulnerability BugTraq ID: 4221 リモートからの再現性: あり 公表日: Mar 02 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4221 まとめ: RealPlayer は Windows、Macintosh、Linux、Solaris 向けの、音声および映像 の再生ソフトウェアである。報告によると、このソフトウェアを利用して攻撃 対象のコンピュータ内のディレクトリ構造を辿る事が可能であり、重要な情報 の開示を潜在的に招く可能性がある。 報告によると、このソフトウェアはローカル環境でストリーミング形式のファ イルを再生する際、Web サーバ機能を利用している。また、報告によるとこの ソフトウェアがコネクションを待ち受けるポート番号へ、../ 文字列と既知の ファイルを含む HTTP の GET リクエストを与える事により、指定されたファイ ルの開示が可能である。 この問題を利用する攻撃が行われた場合、この問題は重要な情報を開示する結 果を招く可能性がある。 7. Kame-Derived Stack Non-ESP IPV4 Forwarded Packets Policy Bypassing Vulnerability BugTraq ID: 4224 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4224 まとめ: KAME はフリーで公開され、オープンソースである IPv6 と IPSec の実装であ る。このソフトウェアは KAME プロジェクトにより配布、保守が行われている。 このソフトウェアのポリシを利用するフィルタリング機構には、ルータに対し て未認証のトラフィックの通過を許可してしまう問題が存在する。この問題は 特定の種類のトラフィックに関するフィルタリング部に由来している。 RFC 2401 に示されている様に、Security Policy Database (SPD) は入力 (inbound) と出力 (outbound) 両方について、全てのトラフィックの処理を行う際に照会 されねばならない。この条件には通常の場合と IPSec のトラフィックの両方が 当てはめられる。付け加えるならば、特定のホストからのトラフィックに関す る Security Association (SA) が成される場合、パケットのマッチングは行わ れねばならず、トラフィックに関する SA 内の特定の行為は記録されねばなら ない。 しかし、いくつかの状況において、KAME は RFC に示されたプロトコルに従わ ず、セキュリティに関連する事象を引き起こす状態を招くのである。あるシス テムとルータの間で、Encapsulating Security Payload (ESP) を利用する IPv4 ネットワークが、Security Gateway (SG)において ESP ではないトラフィック を終点で抑止している場合、SG に送られる ESP ではないトラフィックは SG でさらに転送でき得てしまうのである。この状況は攻撃者による任意の資源へ のアクセスを行うための、SG を介する当該ネットワークの外部へのトラフィッ クの伝送を可能にしてしまう。なお、ルータがこの種のトラフィック種別を適 切に取り扱う事で、任意のホストへの SG を介するトラフィックの伝送は抑止 される。 8. Phorum User Information Disclosure Vulnerability BugTraq ID: 4226 リモートからの再現性: あり 公表日: Mar 02 2002 12:00A 関連するURL: http://www.securityfocus.com/bid/4226 まとめ: Phorum は PHP を利用して開発された Web インタフェースを利用する電子掲示 板機能を提供するソフトウェアパッケージである。このソフトウェアの管理用 スクリプトの設計の誤りにより、どのユーザであっても最も活動的なユーザの 情報を参照可能である。 管理用ディレクトリには stats.php と呼ばれるスクリプトが含まれ、このファ イルに対するユーザ権限に基づくアクセス制限は掛けられていない。このため、 このファイルはどのユーザであってもアクセス可能である。このファイルの情 報を参照する際、ユーザは最も活動的なユーザの一覧と電子メールアドレスを 入手可能である。 この結果、秘匿性の高いユーザデータが入手可能になる。例えば、この問題は 求められていない電子メールを送信する目的での、電子メールアドレスの入手 行為を企てるために有用に利用される可能性がある。また、この情報はソーシャ ルエンジニアリング攻撃を試みるために利用される可能性がある。 このソフトウェアのより初期のバージョンも同様の問題を抱えている可能性が あるが、これについては未検証である。 9. Zope Proxy Role Elevated Object Access Vulnerability BugTraq ID: 4229 リモートからの再現性: あり 公表日: Mar 01 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4229 まとめ: Zope は オープンソースの Web アプリケーションサーバであり、Zope Project により保守されている。これは Linux、Solaris そして Windows で動作する。 Zope の最近のバージョンではプロキシ機能をサポートしている。この機能は特 定のオブジェクトへのアクセスを行う際に、ユーザによる権限奪取を行うため に利用される問題を抱えている。 問題は Zope のいくつかのバージョンに存在する。プロキシ機能に割り当てら れたオブジェクトへアクセスを試みる場合、プロキシ機能によって生成された ユーザ権限が考慮されないのである。いくつかの状況下では、サイトのサブフォ ルダに定義された十分な権限を持つユーザが、サイト内のより高位の権限でオ ブジェクトへのアクセスを行う可能性がある。 10. Multiple Vendor Radius Short Vendor-Length Field Denial Of Service Vulnerability BugTraq ID: 4230 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4230 まとめ: RADIUS は RFC 2865 に基づく、リモートからの認証機構付きダイアルアップ 接続サービスである。 このプロトコルは様々なベンダによって開発、実装されており、Microsoft Windows、UNIX、Linux で利用されている。 このプロトコルの実装にはリモートユーザが正当なユーザ向けのサービスを利 用不能状態に陥らせる事が可能な問題が存在する。この問題は短い Vender-Length フィールドの取り扱いに由来している。 RADIUS プロトコルの規格はベンダが指定するオプションの利用を許可している。 これらオプションは特定ベンダの RADIUS プロトコルの実装毎に設計されてい る可能性があり、他のベンダによる実装とは非互換である事が推察される。 問題は各ベンダによるオプションの処理上に発見された。RADIUS パケットがク ライアントもしくはサーバに渡される際、クライアントもサーバも vendor- length フィールドの値の妥当性を確認しないのである。2 以下の vendor-length フィールド値の内容を持つ RADIUS パケットが送られた際、この種の vendor- length 値は負値として解釈される。この値は RADIUS サーバ、あるいはクライ アントの他の機能へ引き渡される可能性があり、結果的に予測不可能な結果を 招き、サーバもしくはクライアントがクラッシュする可能性がある。 この問題はリモートユーザによる悪意により組み立てられた RADIUS パケット の攻撃への利用を可能にし、RADIUS サービスの正当なユーザへのサービスを DoS 状態にする事が可能である。 11. Multiple Vendor Java Virtual Machine Session Hijacking Vulnerability BugTraq ID: 4228 リモートからの再現性: あり 公表日: Mar 04 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4228 まとめ: 様々な Java 仮想マシンの実装には盗聴や Web リクエストの乗っ取りを可能に すると推察される問題が存在する。 この問題はクライアントシステムが HTTP プロキシを利用する様に設定されて いる場合に発生する。この問題により、悪意によって組み立てられた Java コー ドによって、プロキシから任意のホストに対するリクエストのリダイレクトが 可能である。これはクライアントの同意処理やクライアントに認識される事な く、透過的に行われる。 この問題は悪意をもって組み立てられた、潜在的に Web ページに埋め込まれて いると考えられる、Java アプレットによっても実行可能である。その際、攻撃 対象のコンピュータは、問題の影響が及ぶ仮想マシンで悪意あるアプレットを 実行している必要がある。 この問題を行う攻撃の結果、ユーザのセッション情報は奪取され、詳細な情報 も読まれてしまうのである。これは、攻撃者によって生成されたリクエストに 対するレスポンスとして、本来の通信相手以外の相手の通信の傍受も可能であ る。 ビルド番号 3802 を含む、それ以前の全ての Microsoft Virtual Machine が、この問題による影響を受けることは留意されるべきである。 12. Microsoft SQL Server xp_dirtree Buffer Overflow Vulnerability BugTraq ID: 4231 リモートからの再現性:あり 公表日: Mar 05 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4231 まとめ: SQL サーバで提供される xp_dirtree 関数に問題が存在すると報告された。 XP は SQL サーバ上で高レベル関数を提供する DLL ファイル群である。この関 数が呼び出される際、これら関数は入力された値を解釈するために Srv_paraminfo() と呼ばれる関数を起動する。 極端に大きなパラメタがメモリ内に割り当てされた xp_dirtree プロシジャに 与えられた場合、バッファオーバーフロー状態が発生する。この結果、関数へ のリターンアドレスを含むスタックデータを上書きする可能性がある。そして これは SQL サーバのプロセス権限での任意のコードの実行を招く可能性がある。 SQLサーバは通常、SYSTEM 権限で稼動している。 任意の、割り当てられている領域以上のデータによって、この問題を利用する 攻撃を行う事で、SQL サーバを DoS 状態に陥らせる可能性がある。 これはより以前に公表された、Srv_paraminfo() 関数の呼び出しの危険な使用 方法に関する既知の問題に関連する可能性がある。これら既知の問題は BID 2030、 2031、2038、2039、2040、2041、2042、2043 で議論されている。しかし、これ らとこの問題の関係については未検証である。 13. MailServer by SH39 Denial of Service Vulnerability BugTraq ID: 4232 リモートからの再現性: あり 公表日: Mar 05 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4232 まとめ: SH39 によって保守されている MailServer は Micfosoft Windows で動作する SMTP/POP3 サーバである。 報告によると、このソフトウェアを稼動させているホストの 25 番ポートへ接 続し、通常あり得ない大量の任意のデータ (およそ 2500バイト) を与える事に より、このソフトウェアを DoS 状態に陥らせる事が可能である。 この問題は未チェックのバッファによることが推察される。この場合、問題の ターゲット上で任意のコードが実行される可能性がある。しかしながら、これ は検証されていない。 この問題は、25 番ポートへ telnet クライアントからの接続を行う際に生じる と報告されている。 14. TalentSoft Web+ Webpsvc Buffer Overflow Vulnerability BugTraq ID: 4233 リモートからの再現性: あり 公表日: Mar 01 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4233 まとめ: TalentSoft Web+ は、Web を利用したクライアントサーバアプリケーションを 開発するための環境である。 Microsoft Windows 9x/NT/2000 上で動作する。 Web+ の実行バイナリは、サービスに渡される文字列に対する境界チェックを 十分に行っていない。悪意を持って生成された外部からのデータが、デフォル トで SYSTEM 権限で動作している、Webpsvc サービスに渡される可能性がある。 さらに留意すべき点として、非常に長い URL によって、スタック変数が上書 きされ、攻撃者が指定したコードを実行してしまう潜在的な問題が存在する点 が挙げられる。影響範囲を少なく見積もった場合でも、この問題は Web+ サー ビスに対しての DoS 攻撃を引き起こす可能性がある。 問題を抱えるサービスは SYSTEM 権限で動作している。このため、この問題を 利用した攻撃が成功し任意のコードが実行される結果、リモートの攻撃者は問 題を抱えるソフトウェアを実行しているホスト全体の権限を奪取可能である。 15. CVS Server Global Variable Denial Of Service Vulnerability BugTraq ID: 4234 リモートからの再現性: あり 公表日: Mar 05 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4234 まとめ: CVS Server は、オープンソースであり、フリーで利用可能なソースコードの管 理と配布を行うために設計されたソフトウェアパッケージである。このソフト ウェアは Microsoft Windows、Linux、UNIX で利用可能である。 このソフトウェアに存在する問題により、正当なユーザに対する DoS 攻撃が 行われる可能性がある。この問題はグローバル変数の不適当な設定に由来して いる。 プログラム設計の誤りにより、CVS Server に利用されるグローバル変数が不適 切に初期化されてしまうのである。このため、リモートユーザは不適切に初期 化された変数を使用する環境を作成される可能性がある。これにより、サーバ 内で予期しない動作が行われたり、クラッシュする結果を招く事が可能である。 CVS サーバプログラムに使用されたグローバル変数が、プログラミングエラー が原因で不適切に初期化されるのである。このため、リモートのユーザは、不 適切に初期化された変数を使用した環境を作成される可能性がある。これによっ て、サーバ上で予期せぬ動作が生じたり、クラッシュしたりする結果を招くこ とになる。 この問題は、リモートユーザがサービスの正当なユーザに対して、DoS 攻撃を 行うことを可能にしてしまう。 16. Microsoft IIS Authentication Method Disclosure Vulnerability BugTraq ID: 4235 リモートからの再現性: あり 公表日: Mar 05 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4235 まとめ: Microsoft IIS は、基本認証と NTLM を利用する認証の両方が備えられている Web サーバである。報告によると、エラーメッセージを分析する事によって、 攻撃者に対して IIS に備わっている認証方式が開示されてしまう問題が存在す る。なお、これは匿名アクセスが行われた際にも生じる問題である。 不正なユーザ名かパスワードのいずれかを含むメッセージを介して、正当な認 証要求がサーバに与えられた際、エラーメッセージがユーザに返される。これ はリクエスト対象の資源への匿名アクセスが許可された際にも同様に行われる。 このため、攻撃者は、この情報を利用する事で、攻撃対象のコンピュータへの さらなる「知的な」攻撃を企てる可能性があり、また、既知のユーザ名に対す るパスワードの総当り攻撃を企てる可能性がある。 17. HP ProCurve Switch Denial of Service Vulnerability BugTraq ID: 4212 リモートからの再現性: あり 公表日: Mar 01 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4212 まとめ: ProCurve スイッチには、この装置の正当なユーザへの telnet サービスを DoS に陥らせる事が可能な問題が存在している。この問題は装置へのポートスキャ ンが行われた場合の対応に由来している。 このスイッチは、このスイッチに備わっている telnet サーバのサービスを DoS 状態に陥らせる事が可能な問題が存在する。このスイッチが、例えば nmap の 様な、短時間に大量の TCP の接続を確立させるためのリクエストを行う機能を 備えるツールによってポートスキャンされた場合、その時点でもはや、新規の telnet コネクションを確立できなくなってしまうのである。 報告によると、この問題はこの装置の ICMP または SNMP の取り扱い機構に影 響を及ぼすのではなく、また、telnet セッションの切断を招く訳でもない。 通常機能の復旧にはスイッチの再起動が必要である。 ファームウェアのバージョンが C.09.09 もしくは、C.08.22 である HP ProCurve 4000M がこの問題の影響を受けると報告されている。 18. AeroMail JavaScript Execution Vulnerability BugTraq ID: 4215 リモートからの再現性: あり 公表日: Mar 01 2002 12:00A 関連する URL: http://www.securityfocus.com/bid/4215 まとめ: AeroMail は Mark Cushman によって保守されている、Web を利用した電子メー ルプログラムである。AeroMail は Windows や UNIX 上で動作する様に設計さ れている。 AeroMail には、実行を意図して電子メールメッセージに含まれた JavaScript が、実際に実行されてしまう問題が存在する。 もし、悪意を持って作成された電子メールを AeroMail ユーザが受信した場合、 メッセージ内の JavaScript は実行される。 現時点では、詳細な追加技術情報は報告されていない。 III. SECURITYFOCUS NEWS AND COMMENTARY - ------------------------------------------ 1. Guesswork Plagues Web Hole Reporting 著者: Kevin Poulsen 良きサマリア人は顧客のクレジットカード番号の情報漏洩を防ぐための、納得 できるだけのラベルを考えるのに苦労しています。電子商取引サイトにおける セキュリティホールを報告する事は難しいのでしょうか? http://online.securityfocus.com/news/346 2. Stop Him Before He Hacks Again 著者: Alex Salkever, Business Week Adrian Lamo は企業のネットワーク内に侵入する事でかなり名を轟かせていま す。彼は危害を加えてはいませんが、それが問題ではないのです。 http://online.securityfocus.com/news/345 3. Computer Virus Infections Continue To Climb - Report 著者: Brian Krebs, Newsbytes 3月 11 日に公表された調査結果によると、米国の企業はコンピュータウイルス やワームに関するセキュリティ事件の件数の着実な増加を体験し続けている。 http://online.securityfocus.com/news/344 IV.SECURITYFOCUS TOP 6 TOOLS - ----------------------------- 1. Snort IDScenter v1.09 b1.3 作者: Ueli Kistler 関連する URL: http://www.eclipse.fr.fm/snort.htm 動作環境: Windows 2000, Windows 95/98, Windows NT まとめ: IDScenter は、Snort-Win32 用の制御用のインタフェースを提供するソフトウェ アです。Snort IDS の管理、制御、監視を行うためのツールです。 IDScenter ではアラーム音機能をサポートし、エラーチェック機能が備わっています。 Snort が停止された場合、IDScenter は直ちに Snort の動作を再開させます。 2. Leka Rescue Floppy v0.5.2 作者: Tuomas Kokki reeppi@linuxmail.org 関連する URL: http://leka.muumilaakso.org/ 動作環境: Linux, POSIX まとめ: Leka Rescue Floppy は、1 枚のフロッピーからインストールする小規模な Linux のディストリビューションです。これは障害の復旧のみを目的としてい るわけではなく、DHCP サーバ 、Web ブラウザ、IRC クライアントなど、多く のネットワーク接続機能を備えています。 3. Port Scan Attack Detector (psad) v0.9.6 作者: Michael Rash mbr@cipherdyne.com 関連する URL: http://www.cipherdyne.com/psad/ 動作環境: Linux まとめ: Port Scan Attack Detector (psad) は、ポートスキャンを検出するために Linuxのファイアウォール機能を提供するプログラム (Kernel 2.4.x 系の iptables や kernel 2.2.x 系の ipchains) と連携するように設計された、Perl で書かれたプログラムです。このプログラムは、危険度を設定でき(標準では 詳細)、送信先、送信元、スキャンされたポートの範囲、開始及び終了 時間、 TCP フラグ、 nmap オプションと一致しているか (Linux 2.4.x kernel のみ)、電子メールによる警告機能などが備わっており、また、問題のある IP アドレスからの接続を、ipchains/iptables のファイアーウォールのルールを 動的に生成することによって遮断する機能なども備えています。さらに、様々 なバックドアプログラム (例えば EvilFTP、GirlFriend 、SubSeven) に対する スキャンと疑われるものや、DDoS ツール、nmap によってホストに対して容易 に利用される高等なポートスキャン (syn、fin、Xmas スキャンなど) を検知す るために Snort の TCP に関するシグネチャを利用します。 4. CHX-I Packet Filter v1.0 作者: IDRCI Inc. 関連する URL: http://www.idrci.net/idrci_products.htm 動作環境: Windows 2000, Windows XP まとめ: CHX-I Packet Filter は、ネットワーク層でのファイヤウォールである CHX-I アプリケーションファイアーウォールエンジンを補うために開発され、ネット ワークの最前線での防御壁として Windows 2000/XP 上で稼動されます。 このプログラムは優れたグラフィックインターフェースを備え、柔軟な管理機 能により、迅速なフィルタ作成と運用を実現しています。 5. OpenAntiVirus samba-vscan v0.2.3 作者: reniar 関連する URL: http://www.openantivirus.org/ 動作環境: Linux, Solaris, SunOS, UNIX まとめ: samba-vscan は、Sophos Sweep+Sophie と Treand Micro+Trophie により、 Sambaで共有されたファイルを対象にするオンラインスキャン機能を提供します。 このソフトウェアは VFS を有効化して稼動する Samba 2.2.x に対応していま す。 6. MailScanner v3.12-5 作者: Julian Field 関連する URL: http://www.sng.ecs.soton.ac.uk/mailscanner/downloads.shtml 動作環境: AIX, FreeBSD, HP-UX, Linux, NetBSD, OpenBSD, SunOS まとめ: MailScanner は、電子メールウイルススキャナでスパムタグ付けソフト (訳注: スパムメールに印をつける機能を備えるソフトウェア) です。 Sendmail と Exim MTA、Sophos と McAfee アンチウイルススキャナをサポー トします。インストールは非常に簡単で、sendmail.cf ファイルの変更を行う 必要はありません。少ない資源で動作するように設計されていて、高負荷に伴 うメールシステムの停止を招く事はありません。 - -- 訳: 坂井順行(SAKAI Yoriyuki)、小笠原恒雄(OGASAWARA Tsuneo)、 藤本匡樹(FUJIMOTO Masaki) 監修: 坂井順行(SAKAI Yoriyuki) LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBPJOxBZQwtHQKfXtrEQIDOQCgqX7cJJ9Nm3yXNXfkCJfcv5PlZA4AmweK Vq3dy4dwLK+9s5PVvRR9/m5d =OvF/ -----END PGP SIGNATURE-----