SecurityFocus.com Newsletter #143 2002-4-29->2002-5-3
坂井@ラックです。
SecurityFocus.com Newsletter 第 143 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml
BugTraq-JP に関する FAQ:
http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml
(SecurityFocus.com Newsletter の和訳は BugTraq-JP で一次配布されています)
---------------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) http://online.securityfocus.com/archive/79
---------------------------------------------------------------------------
---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
---------------------------------------------------------------------------
---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BugTraq-JP へ Errata として修正
版をご投稿頂くか、監修者 (sakai@lac.co.jp) にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
---------------------------------------------------------------------------
---------------------------------------------------------------------------
原版:
Date: Mon, 6 May 2002 13:44:03 -0600 (MDT)
Message-ID: <Pine.LNX.4.43.0205061341180.12796-100000@mail.securityfocus.com>
SecurityFocus Newsletter #143
-----------------------------
This Issue is Sponsored by: Tumbleweed Communications
I. FRONT AND CENTER(日本語訳なし)
1. VBA Emulation: A Viable Method of Macro Virus Detection? Part Two
2. Restricting UNIX Users
3. No Stone Unturned, Part Three
4. IDS Evasion Techniques and Tactics
II. BUGTRAQ SUMMARY
1. Nullsoft Winamp Minibrowser ID3v2 Buffer Overflow Vulnerability
2. Intel D845 Motherboard BIOS Series Arbitrary Boot Media...
3. PHP-Survey Global.INC Information Disclosure Vulnerability
4. Qualcomm QPopper Bulletin Name Buffer Overflow Vulnerability
5. SAP R/3 with Oracle Unauthorized Data Access Vulnerability
6. DNSTools Authentication Bypass Vulnerability
7. Blahz-DNS Direct Script Call Authentication Bypass Vulnerability
8. ATGuard Personal Firewall Outgoing Connection Restriction...
9. PhpWebGallery Cookie Manipulation Account Compromise Vulnerability
10. Livre Dor' Information Disclosure Vulnerability
11. 0wn f0rum Script Injection Vulnerability
12. Solaris admintool Local Buffer Overflow Vulnerability
13. Solaris cachefsd Buffer Overrun Vulnerability
14. Solaris cachefsd Denial of Service Vulnerability
15. CIDER Shadow Analyzer Remote Command Execution Vulnerability
16. Solaris AdminTool Media Installation Path Buffer Overflow...
17. Solaris LBXProxy Display Name Buffer Overflow Vulnerability
18. CDE DTPrintInfo Help Volume Search Buffer Overflow Vulnerability
19. AutoLog IP Spoofing Vulnerability
20. Messagerie Arbitrary User Removal DoS Vulnerability
21. 3Com 3CDaemon Buffer Overflow Vulnerability
22. Mozilla / Netscape 6 XMLHttpRequest File Disclosure Vulnerability
23. Recherche Cross-Site Scripting Vulnerability
24. Messagerie Remote File Include Vulnerability
25. Sun Solaris RWall Daemon Syslog Format String Vulnerability
26. Kv Guestbook Cross-Site Scripting Vulnerability
27. Netscape/Mozilla IRC Buffer Overflow Vulnerability
28. SGI IRIX CPR Buffer Overflow Vulnerability
29. Netscape/Mozilla/Galeon Local File Detection Vulnerability
30. BEA Systems WebLogic Server URL Parsing Path Disclosure...
31. BEA Systems WebLogic Server Null Character DOS Device Denial...
32. BEA Systems WebLogic Server URL Parsing Source Code...
33. ISS RealSecure DHCP Signature Remote Denial Of Service...
34. SGI Irix Insecure IPFilter Device Permissions Vulnerability
35. Paul L Daniels alterMIME Denial of Service Vulnerability
36. MyGuestbook Script Injection Vulnerability
37. HP MPE/iX FTPSRVR Arbitrary Shell Command Execution Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
1. Melissa virus author jailed for 20 months
2. Hackers Continue 'Early Warning' Attacks On U.S. Web Sites
3. WinAmp's 'malicious MP3' vuln
4. New Stealth Attack Found Against Personal Firewalls
IV.SECURITYFOCUS TOP 6 TOOLS
1. Astaro Security Linux (ASL) v3.052(beta)
2. pam_hbci v1.0a
3. Linux Security Auditing Tool v0.5.0
4. Secure FTP Wrapper v2.1.1
5. Gringotts v0.4.4
6. Port Scan Attack Detector (psad) v0.9.8
I. FRONT AND CENTER(日本語訳なし)
---------------------------------
II. BUGTRAQ SUMMARY
-------------------
1. Nullsoft Winamp Minibrowser ID3v2 Buffer Overflow Vulnerability
BugTraq ID: 4609
リモートからの再現性: あり
公表日: Apr 26 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4609
まとめ:
Nullsoft Winamp は MP3 やその他のファイルに対応する、Microsoft Windows で
動作するメディアプレイヤーである。
ID3v2 は音声形式のファイル内に、関連する情報を含ませられるようにできる
タグ付けの体系である。
いくつかのバージョンの Winamp には ID3v2 タグの処理中にスタックオーバー
フローを引き起こされる問題が存在する。
ユーザが ID3v2 タグのタイトルフィールドを任意の文字列で改変した場合、そ
れが Winamp で処理される際にオーバーフローが生じるのである。
この問題は minibrowser が有効化されている場合にのみ報告されている。
このソフトウェアの設計では、当該の音声ファイルに関する追加情報を入手す
るために、このソフトウェアは Winamp の Web サイトへの接続を準備する。こ
の際 Winamp はファイル内の ID3v2 タグからのデータを含む URL を組み立て
る。この URL が一度作成されると、タイトルフィールド内の長いデータが問題
の影響を受けるバッファをあふれさせるのである。
このバッファオーバーフローにより、リターンアドレスを含むスタック内の値
が上書き可能である。また、これは任意のコードの実行に利用可能である。し
かし、ランダムなデータを与えるだけではこのソフトウェアをクラッシュさせ
ることのみが可能である。
この問題はバージョン 2.79 において検証され、これ以前のバージョンも同様
の問題を抱えている可能性がある点については留意されるべきである。
2. Intel D845 Motherboard BIOS Series Arbitrary Boot Media Vulnerability
BugTraq ID: 4610
リモートからの再現性: なし
公表日: Apr 26 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4610
まとめ:
D845 シリーズのマザーボードは Intel による製品である。
これら製品は Pentium 4 プロセッサをサポートするように設計されている。
特定の状況下において、ローカルユーザはコンピュータの起動用の媒体を変更
可能になると推察される。この問題は特別なキーの組み合わせで生じる。
D845 シリーズのマザーボードを利用するコンピュータが起動する際、例え BIOS
に対してパスワードが設定されている場合においても、起動処理を起動用媒体
の変更を行うために中断することが可能である。F8 キーを投入することにより、
D845 シリーズのマザーボードで提供されている BIOS はコンソールでメニュー
を表示してしまう。このメニューにおいて、ユーザは当該コンピュータが本来
起動媒体として選択するべきデフォルトの媒体と異なる媒体を指定可能なので
ある。BIOS に設定されているいかなるパスワードは、この処理を行うことによ
り迂回される。
この問題によりローカルの資源にアクセス可能なユーザは起動用媒体の設定を
改変可能になる。付け加えるならばこの種のユーザは当該コンピュータへ新規
に OS やソフトウェアをインストールを行い、また、その他の行為を企てるこ
とが可能であると推察される。報告によると、この問題は型番 D845HV と D845WN
のマザーボードに影響を及ぼす。
3. PHP-Survey Global.INC Information Disclosure Vulnerability
BugTraq ID: 4612
リモートからの再現性: あり
公表日: Apr 26 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4612
まとめ:
PHP-Survey は Web を介する調査機能を提供するエンジンソフトウェアである。
このソフトウェアは PHP 言語を利用して開発され、様々な UNIX や Linux で
稼動する。このソフトウェアは MySQL をバックエンドデータベースとして利用
している。
PHP-Survey は、ローカルホストの名称、データベース用の権限、調査作業の管
理者用権限などの設定用情報を含んでいる、global.inc と言う名称のスクリプ
トを含んで提供されている。このファイルは HTTP 経由でリクエストが与えら
れる際には PHP のスクリプトとしては解釈されないため、リモートの攻撃者は
global.inc に含まれる重要な情報へのアクセス権限を得られるのである。
4. Qualcomm QPopper Bulletin Name Buffer Overflow Vulnerability
BugTraq ID: 4614
リモートからの再現性: なし
公表日: Apr 28 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4614
まとめ:
qpopper は Qualcomm よりフリーで公開され、オープンソースのソフトウェア
パッケージとして配布されているソフトウェアである。このソフトウェアは様々
な OS で利用できるように設計されているが、この問題は UNIX 及び Linux 環
境で動作するバージョンに影響を及ぼす。
このソフトウェアにはローカルユーザがコードを実行可能な問題が存在する。
この問題は bulletin 情報の取り扱い部分に由来する。
qpopper はいくつかのデータ種に監視、十分な境界チェックを行っていない。
ユーザが長い名前の bulletin (256バイトより大きく)を設定した場合、バッ
ファオーバーフローが生じる。この問題の結果、スタック内のリターンアドレ
スを含む、プロセスに割り当てられたメモリの上書きを招き、コードを実行す
ることが可能である。
この問題によりローカルユーザは任意のコマンドを qpopper の実行権限で実行
可能である。典型的には、qpopper のプロセスは結果として root 権限でのコー
ドの実行が可能になる、root 権限で実行が開始されている。
各ユーザの .qpopper-options ファイルの内容を処理しない qpopper デーモン
へは、この問題は影響しない点については留意されるべきである。
5. SAP R/3 with Oracle Unauthorized Data Access Vulnerability
BugTraq ID: 4613
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4613
まとめ:
SAP R/3 のデフォルトインストール状態には、認証を行っていないユーザが
SAP R/3 内のデータへの脅威を招くことが可能な問題が報告されている。
報告によると、SAP R/3 はユーザのパーミッションの確認処理を失敗する。こ
のため、Oracle リスナーへ接続することにより、いかなるユーザであっても
SAP データの読み出し、書き込み、改変が可能である。この問題を利用する攻
撃を行うためには、System ID (SID) に関する知識が必要である。
この問題はいくつかのデータベース上で動作する Oracle, SAP R/3 においての
み検証されている点は留意すべきである。このため、他の実装においてもこの
問題の影響が及ぶ可能性がある。
6. DNSTools Authentication Bypass Vulnerability
BugTraq ID: 4617
リモートからの再現性: あり
公表日: Apr 28 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4617
まとめ:
DNSTools は DNS 情報を Web を介して管理を行うためのツールである。この
ソフトウェアは PHP 言語を利用して実装され、Linux と Solaris において利
用可能である。
いくつかのバージョンの DNSTools にはリモートのいかなる攻撃者であっても
管理者権限を奪取可能であるとの問題が報告されている。
アクセス権限の妥当性は変数 user_logged_in と user_dnstools_administrator
の値を利用して制御されている。報告によると、これら値は適切に初期化され
ていないため、攻撃者は任意の値を示すように、巧妙に URL を組み立てること
が可能なのである。この問題により攻撃者はアクセスコントロール機構を回避
可能であり、結果としてこのソフトウェアの管理用権限へアクセス可能である。
管理用権限へのアクセスが可能になることにより、攻撃者はホスト名、DNS サー
バ、ドメイン情報を自在に改変することが可能になる。
DNSTools のより初期のバージョンもこの問題を抱えている可能性があるが、
しかし、これについては未検証である。
7. Blahz-DNS Direct Script Call Authentication Bypass Vulnerability
BugTraq ID: 4618
リモートからの再現性: あり
公表日: Apr 28 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4618
まとめ:
Blahz-DNS は DNS 情報を Web を介して管理を行うためのツールである。この
ソフトウェアは PHP 言語を利用して実装され、Linux において利用可能である。
いくつかのバージョンの Blahz-DNS にはリモートのいかなる攻撃者であっても
管理用権限を奪取可能である問題が発見されている。ログイン用ページを介し、
スクリプトへアクセスするための認証が求められている際、さらなる妥当性の
確認は行われていないのである。このため攻撃者は付随するスクリプトを直接
呼び出し、認証用機構を完全に回避する可能性がある。
この問題により、いかなる攻撃者であっても Blahz-DNS への管理用権限全てを
入手可能になる可能性がある。
8. ATGuard Personal Firewall Outgoing Connection Restriction Bypass Vulnerability
BugTraq ID: 4620
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4620
まとめ:
ATGuard Personal Firewall に問題が発見されている。報告によると、ユーザ
は ATGuard によるセキュリティ制限を回避可能である。ATGuard には認証済み
のアプリケーションのみに outbound 方向のコネクションを制限可能な機能が
備わっている。ユーザはこの制限設定を回避し、任意のプログラムでインター
ネットへのアクセスが可能である。
この問題を利用する攻撃は、Web 機能を備えている制限対象のプログラム名を
認証済みのプログラムの名称に付け替えることで企てられる。
例えば、icq.exe が制限対象のアプリケーションであり、iexplore.exe が認証
済みのアプリケーションである場合、ATGuard は icq.exe を iexplor.exe に
名称を付け替えることにより、icq.exe の利用制限が撤廃されるように仕向け
ることが可能なのである。
この問題は制限対象のアプリケーションかどうかの確認が十分ではない結果で
ある。
ATGuard Firewall は Symantec によって買収されており、この製品のサポート
は既に提供されていない可能性がある点については留意すべきである。
9. PhpWebGallery Cookie Manipulation Account Compromise Vulnerability
BugTraq ID: 4622
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4622
まとめ:
PhpWebGallery は画像の収集および展示機能の提供を可能にする Web アプリケー
ションであり、Pierrick Le Gall によって保守されている。
PhpWebGallery はクッキー利用する認証機能を利用している。ユーザにクッキー
が与えられる際、クッキーは平文で記録される。このため悪意あるユーザはクッ
キー内の値を改変可能であり、管理用アカウントを含む、このサービスの任意
のユーザ権限で認証可能である。
管理用権限の乗っ取りが成功した場合、悪意あるユーザによる管理用機能への
アクセスが行われる結果となる。
10. Livre Dor' Information Disclosure Vulnerability
BugTraq ID: 4629
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4629
まとめ:
Livre Dor は情報を開示してしまい、リモートユーザが重要なホスト内の情報
を入手可能になってしまう問題を抱えている疑いがある。
報告によると、config.inc と connexion.inc はいずれもどのユーザ権限から
も読み出し可能であり、いずれも非常に重要なデータを格納している。これら
ファイルに対して HTTP リクエストを行うことにより、いずれかのファイル内
に含まれる情報を奪取することが可能である。
config.inc にはデータベース名、管理者向けの認証用情報が平文で格納されて
いる。connexion.inc にはデータベース名、ユーザ認証用情報が、これらにつ
いても平文で格納されている。
いずれかのファイルに格納されている情報を入手することにより、アカウント
へのセキュリティ上の脅威を招くことになり、攻撃者による攻撃対象のコンピュー
タに対するさらなる攻撃の補助手段となる可能性がある。
11. 0wn f0rum Script Injection Vulnerability
BugTraq ID: 4626
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4626
まとめ:
0wn f0rum は ServicesWeb により保守されている、Web を利用する電子掲示板
機能を提供するソフトウェアである。
0wn f0rum にはスクリプトを注入可能な問題が発見されている。0wn f0rum は
十分にスクリプトとして解釈される内容が除去されていない、ユーザが与えた
値を含む HTML コンテンツを作成する。投稿内容の題名と本文へスクリプトの
注入が可能であることが既に公表されている。
注入されたスクリプトは 0wn f0rum を稼動させている Web サイトのコンテン
ツと同格の権限で実行され、投稿者として、コンテンツの投稿や削除を含む意
図的な行為を行うことが可能になると推察される。認証を行うためにはクッキー
が利用されているとの情報が公表されているため、この問題を利用する攻撃に
より、この問題はアカウントへの脅威となる可能性がある。
12. Solaris admintool Local Buffer Overflow Vulnerability
BugTraq ID: 4624
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4624
まとめ:
Solaris の admintool はユーザへ GUI を介して様々なシステム管理用作業を
可能にするユーティリティである。
admintool の実行ファイルにはローカルユーザがより昇格した権限を奪取可能
になる可能性がある、バッファオーバーフローの問題が存在する。admintool
はデフォルトインストール状態で、いかなるユーザであっても実行可能であり、
suid root である。
報告によると、この状態はプログラムへ非常に長いコマンドラインパラメータ
を引き渡すか、admintool によって利用される .cdtoc 設定ファイル内の PRODVERS
変数へ非常に長い値を設定することにより攻撃に利用される可能性がある。
13. Solaris cachefsd Buffer Overrun Vulnerability
BugTraq ID: 4631
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4631
まとめ:
Cache File System は Sun によって開発された、NFS のパフォーマンスとスケー
ラビリティを改善するための、ファイルシステムのキャッシュ機構である。こ
の機能はデフォルト状態の Solaris に同梱されている。
cachefsd にはローカルの攻撃者が root 権限を奪取可能なバッファオーバーフ
ローが存在する。この問題はユーザが指定するマウントポイントに対する境界
チェックが十分に行われていないために生じる。
この問題を利用する攻撃が成功した場合、OS そのものへの脅威を招く結果とな
る。
さらなる技術的な詳細情報については収集中である。
14. Solaris cachefsd Denial of Service Vulnerability
BugTraq ID: 4634
リモートからの再現性: あり
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4634
まとめ:
Cache File System は Sun によって開発された、NFS のパフォーマンスとスケー
ラビリティを改善するための、ファイルシステムのキャッシュ機構である。こ
の機能はデフォルト状態の Solaris に同梱されている。
Cache File System の RPC サーバコンポーネントには問題が発見されている。
不正な手順による RPC リクエストが行われた場合、報告によると cachefsd は
クラッシュしてしまう。この問題はサービスの中断、あるいは、データの損失
の可能性をもたらす結果を招くことが推察される。
さらなる技術的な詳細情報については収集中である。
15. CIDER Shadow Analyzer Remote Command Execution Vulnerability
BugTraq ID: 4625
リモートからの再現性: あり
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4625
まとめ:
CIDER (Cooperative Intrusion Detection Evaluation and Response) Shadow
Analyzer は Shadow Intrusion Detection System に含まれる、一コンポーネ
ントである。このソフトウェアは様々な Linux ディストリビューションで動作
する。CIDER Shadow Analyzer コンポーネントは内部ネットワークからのみア
クセス可能な状態であるような意図の元で設計されている。
CIDER Shadow Analyzer コンポーネントは CIDER Shadow Sensor 向けの Web
を利用する設定用インタフェースを提供している。内部ネットワークに存在す
る攻撃者はこの Web インタフェースを介してリモートからコマンドの実行を
企てることが可能である。
CIDER Shadow Analyzer はシェル用のメタキャラクタについての十分なフィル
タリングを行っていない。この結果、リモートの攻撃者はコマンドを、このソ
フトウェアを稼動させているコンピュータ上で、Web サーバの権限で実行可能
であると推察される。
この問題により、内部ネットワークのリモートの攻撃者は、問題を抱えるソフ
トウェアを稼動させている、コンピュータのローカルの資源にアクセス可能に
なる可能性がある。
CIDER Shadow 1.7 もこの問題を抱えているかどうかについては未詳である。
16. Solaris AdminTool Media Installation Path Buffer Overflow Vulnerability
BugTraq ID: 4632
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4632
まとめ:
Solaris の admintool はユーザへ GUI を介して様々なシステム管理用作業を
可能にするユーティリティである。
admintool はローカルから攻撃に利用可能なバッファオーバーフローの問題を
抱えている疑いがある。これはインストール用媒体のパス指定に関する、境界
チェックが十分ではないために生じる。パスとして非常に長い文字列を与える
ことにより、リターンアドレスなどのスタック内の値を上書き可能である。
攻撃者はこの状態を攻撃者が指定したコードが実行されるように攻撃に利用す
る可能性がある。
admintool は setuid root であるため、この問題を利用する攻撃を成功させら
れる攻撃者は、root 権限を奪取する可能性がある。
17. Solaris LBXProxy Display Name Buffer Overflow Vulnerability
BugTraq ID: 4633
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4633
まとめ:
Low-Bandwidth X Proxy (lbxproxy) は、X ウィンドウへの低帯域幅での接続を
取り扱うサーバである。多くの UNIX や様々な Linux で動作するように、この
ソフトウェアは Solaris 上でも動作する。
lixproxy はローカルからバッファオーバーフロー状態を生じさせる問題を抱え
る疑いがある。これは、コマンドラインパラメータ display の値に対する境界
チェックが十分に行われていないために生じている。この値は lbxproxy の接
続先の X サーバの接続ポートを指定するために利用されている。
このパラメータとして、非常に長い文字列を指定することにより、リターンア
ドレスを含む、スタック変数の上書きが可能となる。攻撃者は、自らが与えた
コードを実行するために、この状態を生じさせる可能性がある。
この問題を利用する攻撃が成功する場合、攻撃者が与えた任意の命令が実行可
能であると推察され、より高位の権限の奪取を招く結果となることが想定され
る。
Solaris で動作する lbxproxy は setgid root されてインストールされるため、
この問題を利用する攻撃が成功した場合、攻撃者は root グループの権限に昇
格が可能にと推察される。
この問題は Sun Solaris 上で動作する lixproxy において報告されている。
この問題がその他の OS 上で問題となるかどうかは未詳である。
18. CDE DTPrintInfo Help Volume Search Buffer Overflow Vulnerability
BugTraq ID: 4630
リモートからの再現性: なし
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4630
まとめ:
CDE は共通デスクトップ環境 (Common Desktop Environment) を提供するソフ
トウェアである。これはいくつかのバージョンの UNIX に同梱されており、多
くのベンダにより保守されている。
CDE はローカルユーザにより高位の権限の奪取が可能となる問題を抱えている。
この問題は dtprintinfo プログラムにおける境界チェックに由来する。
この問題により、 dtprintinfo プログラムを介して、任意のコードの実行が可
能となる。dtprintinfo プログラムが実行されている際、デスクトップにヘル
プメニューが表示される。このヘルプメニューを利用し、意図する長さの文字
列により検索を実行することで、スタック変数の上書きが可能となるバッファ
オーバーフローを引き起こすことが可能となる。
この問題を利用するためには、デスクトップへのアクセスを必要とする点は留
意されねばならない。ユーザがこの問題を利用する攻撃を行うためには、シス
テムのローカル環境へアクセスし、正当なユーザアカウントを取得するか、も
しくは CDE リモートログインのような仕組みを利用して、ローカルのデスク
トップからリモートホストへの CDE セッションを企てるかのどちらかを必要と
する。
19. AutoLog IP Spoofing Vulnerability
BugTraq ID: 4627
リモートからの再現性: あり
公表日: Apr 29 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4627
まとめ:
AutoLog は Web サイトの利用率の追跡調査を行うソフトウェアである。
これは Microsoft Windows オペレーティングシステムと同様、殆どの UNIX や
様々な Linux において動作する。
AutoLog は公開中の Web サイトにアクセスするユーザを追跡するために、クッ
キーを利用している。
リモートの攻撃者は任意の IP アドレスが挿入されている、特定の巧妙に作成
されたクッキーを送りつけることで、偽装された IP をこのスクリプト経由で
記録する可能性がある。
攻撃者は悪意ある Web を利用する行為の起原を隠蔽するためにこの問題を利用
する可能性がある。
20. Messagerie Arbitrary User Removal DoS Vulnerability
BugTraq ID: 4635
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4635
まとめ:
Messagerie は La Basse によって保守されている電子掲示板アプリケーショ
ンである。
このソフトウェアパッケージは、リモートの認証を行っていないユーザが、い
かなるユーザアカウントでも削除が可能となる問題を抱えている。この問題は
supp_membre.php スクリプトにおける権限の設定に由来する。
報告によると、既知であるユーザ名が注入された特定の巧妙に作成された URL
を送りつけることで、このスクリプトを介して、既知であるユーザアカウント
の削除が可能となる。
この問題はこのサービスを利用するユーザ、もしくは潜在的な管理者を DoS
状態に陥らせる結果を招くことが可能である。
21. 3Com 3CDaemon Buffer Overflow Vulnerability
BugTraq ID: 4638
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4638
まとめ:
3CDaemon は 3Com の Dan Gill によって開発された FTP サーバである。
報告によると、3CDaemon が稼動するホスト上でバッファオーバーフローを引き
起こすことが可能となる。
大量のデータ (少なくとも 400 文字) をログインプロンプトに送りつけること
で、スタックに由来するオーバーフロー状態を招くことが可能となる。
このオーバーフローはリターンアドレスを含むスタック変数の上書きが可能と
なり、任意のコードを実行するために利用される。ただし、でたらめなデータ
を送りつける場合は、アプリケーションのクラッシュを引き起こすことが可能
となるのみである。
22. Mozilla / Netscape 6 XMLHttpRequest File Disclosure Vulnerability
BugTraq ID: 4628
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4628
まとめ:
Mozilla と Netscape 6 が利用する XMLHttpRequest オブジェクトにおける HTTP
リダイレクトの処理には問題が存在する。
この XMLHttpRequest オブジェクトにより、クライアントマシンに HTTP リク
エストを介した XML ドキュメントの奪取が可能になる。通常、リモートの Web
サイトのような、信用されていないアクセス元からスクリプトがクライアント
へ引き渡される際、セキュリティチェック機構はこのオブジェクトによるロー
カルのファイルへの直接アクセスを阻害している。
サーバへの HTTP リクエストが XMLHttpRequest.Open() メソッドによって行わ
れ、リクエストへの応答がリダイレクトされる際に問題が存在する。この際、
XMLHttpRequest メソッドはそのままリダイレクトを受け継ぎ、ファイルの内容
を読み込むのである。読み込まれたファイルの内容は responceText のプロパ
ティとして、スクリプトの残りの部分からアクセス可能になり、他の Web サイ
トへ転送される可能性がある。
報告によると、この問題は DOM インプリメーションインタフェース方式のドキ
ュメント作成で作成される XML ドキュメントに適用されるロード方法にも存在
する。この問題を利用する攻撃手段は Mozilla 1.0RC1 に対するものが公開さ
れている。
この問題により、リモートの攻撃者への重要な情報の開示を招くことが可能と
なる。
23. Recherche Cross-Site Scripting Vulnerability
BugTraq ID: 4636
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4636
まとめ:
Recherche は Web サイト上で動作するように設計された検索アプリケーショ
ンである。 Recherche は PHP Gratuit において保守されている。
Recherche は URL パラメータに挿入されたスクリプトのフィルタリングを怠っ
ており、クロスサイトスクリプティングを利用する攻撃の影響を受ける疑いが
ある。攻撃者から与えられたスクリプトは、add.php スクリプトへの悪意ある
ハイパーリンク内に含まれる可能性がある。攻撃者から与えられたスクリプト
は、この悪意あるハイパーリンクを訪れる Web ユーザのブラウザ内で、Recherche
が稼動中のホストと同格のセキュリティコンテキストで実行されることが想定
される。この種の悪意を持ったハイパーリンクは、HTML 形式の電子メール、
もしくは悪意ある Web ページに注入されている可能性がある。
これの問題により、リモートの攻撃者によって Recherche が稼動する Web サ
イトの、正当なユーザのクッキーを利用した認証用証明書を奪取される可能性がある。
24. Messagerie Remote File Include Vulnerability
BugTraq ID: 4641
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4641
まとめ:
Messagerie は La Basse によって保守されている電子掲示板アプリケーショ
ンである。
このソフトウェアには悪意あるユーザによって、任意の PHP コードを実行され
てしまう問題が発見されている。
Messagerie はリモートからのファイルの注入が可能なのである。この結果、リ
モートの攻撃者は、対象となるリモートホスト上に存在する、任意のファイル
を注入する可能性がある。
注入されるファイルが PHP スクリプトである場合、問題のソフトウェアが稼動
するホスト上で実行されることが想定される。
攻撃者は問題のソフトウェアが稼動するホストに対し、ローカルアクセスを奪
取するための手段として、この PHP スクリプトを利用する可能性がある。
25. Sun Solaris RWall Daemon Syslog Format String Vulnerability
BugTraq ID: 4639
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4639
まとめ:
Solaris は Sun Microsystems において開発および配布されている、フリーで
利用可能な UNIX 由来の OS である。
Solaris はリモートの攻撃者にローカルアクセスを取得し、より高位の権限を
奪取される可能性がある問題を抱えている。この問題は rwall デーモンに由来
する。
rwall デーモンはリモートからの wall コマンド相当の機能を提供するデーモ
ンであり、システム全体に渡る同報メッセージを送信するように設計されてい
る。このソフトウェアはシステム間のリクエストを RPC を介して受け渡しを行
い、inetd を介して rwall デーモンの起動を取り扱うように動作を行っている。
この問題により、問題を抱えるシステム上で任意のコードを実行される可能性
がある。悪意をもって作成されたフォーマット文字列が、あるシステムから他
のシステムへ送られると、セキュアではない syslog() 関数の呼び出し手段が
行われているために、リモートの攻撃者は任意のコードを実行するための悪意
ある関数の呼び出しが可能になると推察される。
この問題は rwalld と同様に、inetd の動作を必要とする点は留意されねばな
らない。inetd の設定から rwalld が無効にされているシステム、もしくは
inetd が無効にされているシステムには、この問題の影響は受けない。さらに
付け加えるならば、この問題が実行されると、root としてコードの実行を招
く結果となる。
26. Kv Guestbook Cross-Site Scripting Vulnerability
BugTraq ID: 4647
リモートからの再現性: あり
公表日: Apr 27 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4647
まとめ:
Kv Guestbook は KillerVault において保守されている Web を利用した訪問
者名簿掲示板である。
Kv Guestbook は URL パラメータに挿入されたスクリプトのフィルタリングを
怠っており、クロスサイトスクリプティングを利用する攻撃の影響を受ける疑
いがある。攻撃者から与えられたスクリプトは、guestbook.php スクリプトへ
の悪意あるハイパーリンク内に含まれる可能性がある。その攻撃者から与えら
れたスクリプトはこの悪意あるハイパーリンクを訪れる Web ユーザのブラウザ
内で、 Kv Guestbook が稼動中のホストと同格のセキュリティコンテキストで
実行されることが推察される。この種の悪意を持ったハイパーリンクは、 HTML
形式の電子メール、もしくは悪意ある Web ページに注入されている可能性があ
る。
この問題により、リモートの攻撃者が Kv Guestbook が稼動する Web サイトの、
正当なユーザのクッキーを利用した認証用証明書を奪取する可能性がある。
27. Netscape/Mozilla IRC Buffer Overflow Vulnerability
BugTraq ID: 4637
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4637
まとめ:
Mozilla はフリーで利用可能なオープンソースの Web ブラウザである。
このソフトウェアは殆どの Linux や様々な UNIX で動作し、また、MacOS や
Microsoft Windows 9x/ME/NT/2000/XP でも動作する。 Netscape は Mozilla
と同様の環境で動作する、もう一つの Web ブラウザである。
IRC プロトコルを利用するチャンネルが非常に長いリクエスト (32KB+) を取
り扱う場合、Netscape と Mozilla はクラッシュするのである。
攻撃者は Web ブラウザをクラッシュさせるためにこの問題を実行する可能性が
ある。これは典型的には悪意をもって作成された Web ページ内のハイパーリン
クにより引き起こされる。しかし、HTML 形式の電子メールによっても、引き起
こされる可能性がある。
典型的には、この問題はバッファオーバーフローにより生じると考えられる。
しかし、この問題が攻撃者が指定する任意のコードを実行するために利用可能
であるかどうかについては未詳である。
Mozilla のコードを利用した (Galeon のような) 他のブラウザもまた、この問
題の影響を受ける可能性がある。
28. SGI IRIX CPR Buffer Overflow Vulnerability
BugTraq ID: 4644
リモートからの再現性: なし
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4644
まとめ:
IRIX は SGI によって販売、保守されている UNIX 由来の OS である。
IRIX はローカルユーザがより高位の権限を奪取可能である問題を抱えている。
この問題は cpr プログラムに由来する。
IRIX に含まれる cpr プログラムが、バッファーオーバーフローを発生させる
問題を抱えていることが発見されている。この問題により、リターンアドレス
を含む、スタック変数を上書きするために、オーバーフローをローカルから企
てることが可能になる。この問題により、より昇格された権限での任意のコー
ドの実行を招くことが可能になる。
cpr は setuid root 状態の実行ファイルとして、デフォルトでインストールさ
れる。この問題により、ローカルユーザは問題を抱えるシステムでの root 権
限での資源へのアクセスを企てるために、この問題を利用する攻撃を行うこと
が可能になる。
29. Netscape/Mozilla/Galeon Local File Detection Vulnerability
BugTraq ID: 4640
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4640
まとめ:
Mozilla はフリーで利用可能なオープンソースの Web ブラウザである。
このソフトウェアは殆どの Linux や様々な UNIX で動作し、また、MacOS や
Microsoft Windows 9x/ME/NT/2000/XP でも動作する。 Netscape は Mozilla
と同様の環境で動作する、もう一つの著名な Web ブラウザである。
Mozilla のソースに由来する Galeon ブラウザは、様々な Linux ディストリ
ビューションで利用可能である。
外部の Cascading Style-Sheets (CSS) が HTML ファイル内に埋め込み可能で
ある。これは、 <LINK> を使用することで実現される。 Web クライアントのセ
キュリティモデルは、リモートページから他の種類のファイルへのリンクや、
クライアントシステム上のローカルファイルへのリンクは拒否するように設計
されている。
Web ページで外部ファイルへリンクを作成することで、この制限を回避し、HTTP
リダイレクトを発生させる結果を招くことが実証されている。この問題を利用
することで、悪意あるページを閲覧した Web クライアントのローカルシステム
上に、特定のファイルが存在するかを知ることが可能となる。
この問題は、リモートの攻撃者に重要な情報を開示する結果を招く。
30. BEA Systems WebLogic Server URL Parsing Path Disclosure Vulnerability
BugTraq ID: 4643
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4643
まとめ:
BEA Systems WebLogic Server は企業レベルの Web 及びワイヤレスアプリケー
ションサーバである。これは Microsoft Windows や殆どの UNIX や Linux で
動作する。
このソフトウェアは、重要なパス情報を開示してしまう問題を抱えている。そ
の問題は、%00 といった NULL 文字を含んだある特定の意図的に組み立てられ
た HTTP リクエストの解析が困難であるために発生している。
様々な悪意をもって組み立てられた HTTP リクエストにより、Web 用のドキュ
メントルートディレクトリへの絶対パスを含んだエラーページが表示されてし
まうのである。例えば、 HTML ファイルに対するリクエストの終端に、'%00.jps'
という文字列を付加することによって生じる可能性がある。この状態は、HTML
ファイルのファイル名の先頭に エンコードされたバックスラッシュ (%5c) を
挿入することでも生じる可能性がある。他の種類の悪意をもって組み立てられ
た HTTP リクエストでも同様の現象が生じる可能性がある。
この問題を利用して得られたパス情報は、攻撃者によるホストに対するさらな
る攻撃の補助手段となる可能性がある。
31. BEA Systems WebLogic Server Null Character DOS Device Denial of Service Vulnerability
BugTraq ID: 4646
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4646
まとめ:
BEA Systems WebLogic Server は企業レベルの Web 及びワイヤレスアプリケー
ションサーバである。これは Microsoft Windows や殆どの UNIX や Linux で
動作する。
MS-DOS 由来のデバイス名 (AUX など) に対する Web リクエストに NULL 文字
を含ませることで、 DoS 状態に陥らせることが可能である。また、この意図的
に組み立てられたリクエストは接続を切断してしま。この種の HTTP リクエス
トを数回行った後は、一度に複数のスレッドが生成されていない限り、サーバ
はそれ以上の接続を受け付けなくなる。
この状態は NULL 文字を含んだリクエストの解析に由来しているが、 MS-DOS
由来のデバイスへの HTTP リクエストの扱いを怠っていることにも原因がある。
この問題は BugTraq ID 3816 "BEA Systems WebLogic Server DOS Device
Denial of Service Vulnerability" 示された問題とよく似ている。ただし、
これは WebLogicServer 6.1 SP2 で修正されている。しかし、 NULL 文字を含
んだこの種の攻撃は、 WebLogic Server 6.1 SP2 が動作しているシステムに影
響を及ぼす。他のバージョンも影響を受ける可能性がある。
通常動作への復旧には、サーバの再起動が必要となる。
32. BEA Systems WebLogic Server URL Parsing Source Code Disclosure Vulnerability
BugTraq ID: 4645
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4645
まとめ:
BEA Systems WebLogic Server は企業レベルの Web 及びワイヤレスアプリケー
ションサーバである。これは Microsoft Windows や殆どの UNIX や Linux で
動作する。
このソフトウェアは、 JSP スクリプトのソースコードを開示してしまう問題
を抱えている。この問題は、 %00 といった NULL 文字を含むような、ある特
定の悪意をもって組み立てられたリクエストの解析に由来している。
スクリプトのソースコードの開示は、攻撃者が他の問題を発見したり、データ
ベースの認証情報などの重要な情報を開示させることに利用される可能性があ
る。
悪意をもって組み立てられた HTTP リクエストにより、サーバは JSP スクリプ
トのソースコードを開示してしまうのである。例えば、存在する JSP スクリプ
トに対するリクエストに、'%00x' を付加することでこの問題を発生させること
が可能である。また攻撃者は、開示させるスクリプトコードへのリクエストの
終端に、 '+.' を付加させることでも同様の問題を引き起こすことが可能であ
る。他の悪意をもって組み立てられた HTTP リクエストによっても同様の状態
が発生する可能性がある。
33. ISS RealSecure DHCP Signature Remote Denial Of Service Vulnerability
BugTraq ID: 4649
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4649
まとめ:
RealSecure は商用の Intrusion Detection System (IDS) であり、ISS によっ
て販売、保守されている。
このソフトウェアはリモートユーザが IDS をクラッシュさせることが可能で
ある問題を抱えている。
RealSecure はシステム内に同梱されているいくつかの DHCP 用のシグネチャ
を処理する際、動作不能状態に陥ってしまうのである。3種類の DHCP に関する
シグネチャ (DHCP_ACK - 7131、DHCP_Discover - 7132、DHCP_Request - 7133)
の設計上の問題により、RealSecure の動作は不安定になるかクラッシュする可
能性がある。これはこのソフトウェアが NULL ポインタへの参照の解除を試み
るために発生する。
この問題により、リモートユーザが問題を抱えている RealSecure センサーを
クラッシュさせることが可能となる。サーバに対して悪意をもった DHCP トラ
フィックを送信することで、悪意のあるシグネチャの一つをセンサーに読み込
ませることが可能であり、問題が発生するのである。
この問題は、バージョン 5.x XPU 3.4 とそれ以降、 6.0 XPU 3.4 とそれ以降、
そして 6.5 に影響を及ぼす。
センサーが使用不能となった場合、さらなる攻撃が発見される間に行われる可
能性がある。
34. SGI Irix Insecure IPFilter Device Permissions Vulnerability
BugTraq ID: 4648
リモートからの再現性: なし
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4648
まとめ:
IPFilter は NAT (Network Address Translation) やパケットフィルタファイ
ヤウォール機能を提供するソフトウェアである。
SGI IRIX の /dev/MAKEDEV スクリプトは安全でないデフォルトのパーミッショ
ンで ipfilter のデバイスを作成する。この ipfilter デバイスは、いかな
るユーザでも読み込みが可能なパーミッション、644 で生成され、このデバイ
スに対してローカルユーザが権限がないにも関わらず、アクセスを行うことが
可能となることが推察される。
本来権限を所有しない、悪意あるローカルユーザがこのデバイスへ DoS を招く
行為を企てる可能性がある。実際には、ネットワークトラフィックの通過を妨
害する可能性があると報告されている。
35. Paul L Daniels alterMIME Denial of Service Vulnerability
BugTraq ID: 4650
リモートからの再現性: あり
公表日: Apr 26 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4650
まとめ:
Paul L Daniels による alterMIME は、送信メールにテキストを追加したり、
添付を編集する機能を含んだ、 MIME エンコードの電子メールを編集するプロ
グラムである。
特定のバージョンの alterMIME は潜在的に DoS 状態に陥る問題を抱えている。
いくつかの条件下において、sprintf() 関数の安全ではない呼び出し方法が
「一つずれ」エラーを招くのである。この問題により、この場合はファイル構
造体の構造を示す、スタック内のデータ近傍の領域の null による上書きが引
き起こされる。この問題により、ファイルポインタの破壊を引き起こすことが
可能である。
なお、この状態はプログラムの終了時にプログラムをクラッシュさせることを
可能にする報告が寄せられている。また、いくつかのの状況下では、この問題
を利用する攻撃は DoS 状態を引き起こす可能性がある。さらに付け加えるなら
ば、メモリ内容の破壊が生じるため、特に条件を絞れる場合、この問題により
攻撃者は任意のコードを alterMIME プロセスの実行権限で実行する可能性があ
る。しかし、この現象の可能性については未検証である。
36. MyGuestbook Script Injection Vulnerability
BugTraq ID: 4651
リモートからの再現性: あり
公表日: Apr 30 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4651
まとめ:
MyGuestbook はフリーで使用可能なゲストブックソフトウェアである。殆どの
UNIX や様々な Linux で動作し、 Microsoft Windows でも動作する。
MyGuestbook は全てのフィールドから HTML タグを適切にフィルタリングして
いないのである。よって、攻撃者は guestbook によって生成されたページに
任意のスクリプトコードを注入することが可能であると推察される。
攻撃者のスクリプトコードはゲストブックによって生成されたページを閲覧し
た任意のユーザによって、ソフトウェアの動作している Web ページのセキュ
リティ設定で実行される。
攻撃者は、潜在的にこの問題を利用し、 Web コンテンツをハイジャックした
り、クッキーを利用した認証情報を取得する可能性がある。
37. HP MPE/iX FTPSRVR Arbitrary Shell Command Execution Vulnerability
BugTraq ID: 4652
リモートからの再現性: あり
公表日: May 01 2002 12:00A
関連するURL:
http://www.securityfocus.com/bid/4652
まとめ:
MPE/iX は HP e3000 クラスのサーバ向けの、インターネット向けの即時利用
が可能な性能を持つ OS である。
MPE/iX サーバは、 FTP サーバへのアクセス権を所有したユーザが任意のコマ
ンドを実行することが可能となる問題を抱えている。これは FTP ユーザによっ
て生成された入力のチェックを十分に行っていないことに由来しており、
LIST コマンドの引数に含まれる、任意のコマンドが通過してしまうのである。
これは、本来シェルへのアクセスを持たないユーザに、通常のシェルへのアク
セス権を与える結果につながる。
この問題は匿名で FTP にアクセスするユーザに対してもシステムへのローカ
ルアクセス権を与えてしまう可能性がある。 MPE/iX が匿名 FTP をサポート
しているか、及び、それがデフォルトで有効になっているかどうかは、現時点
では未詳である。
III. SECURITYFOCUS NEWS AND COMMENTARY
------------------------------------------
1. Melissa virus author jailed for 20 months
著者: John Leyden, The Register
無名な Melissa ウイルスの開発者は、1999 年の 3 月にネット上の Melissa
ウイルスの広まりに関連して、数億ドルの損害をもたらしたことが原因により、
1 年 8 ヶ月の禁固刑の判決が今日下された。
http://online.securityfocus.com/news/385
2. Hackers Continue 'Early Warning' Attacks On U.S. Web Sites
著者: Steven Bonisteel, Newsbytes
米国内全体を対象にした、広範囲の Web サイトのコンテンツの改ざんを、国
家の保安への関心のために行う、と標榜するクラッカー集団は今日の改ざんリ
ストに Sandia 国立研究所、米国地質調査所、米国国立標準技術研究所 (NIST)
のサーバを加えたのである。
http://online.securityfocus.com/news/384
3. WinAmp's 'malicious MP3' vuln
著者: Thomas C. Greene, The Register
人気のあるフリーソフトである WinAmp player のユーザは、 Bugtraq に投稿
された、スウェーデンのセキュリティ研究者 Andreas Sandbland と彼が所属す
る企業によって検証された問題を回避するために、バージョン 2.80 にアップ
デートすべきである。
http://online.securityfocus.com/news/383
4. New Stealth Attack Found Against Personal Firewalls
著者: Brian McWilliams, Newsbytes
パーソナルファイヤウォールソフトウェアに打ち勝つ新しい技術が発見されて
いる。しかし、少なくともあるファイヤウォールのベンダは、その謀略はコン
ピュータユーザには低リスクであると語っている。
Symantec、McAfee、そして他の企業のファイヤウォールの外部方向へのデータ
のフィルタリングを回避する実証プログラムである、Backstealth が、人気の
あるセキュリティツールサイトであるパケットストームに先週掲載された。
http://online.securityfocus.com/news/382
IV.SECURITYFOCUS TOP 6 TOOLS
-----------------------------
1. Astaro Security Linux (ASL) v3.052(beta)
作者: Astaro AG, info@astaro.de
関連するURL:
http://www.astaro.com/products/download.html
動作環境: Linux
まとめ:
Astaro Securiy Linux は新しいファイヤウォールソリューションです。ステー
トフルインスペクション、パケットフィルタリング、コンテンツフィルタリン
グ、ウイルススキャニング、IPSec を利用した VPN等を提供しています。 Web
を利用した管理ツールとインターネットを介したアップデート機能が利用可能
であり、非常に管理が容易です。また、特別に強固に設定された Linux カー
ネルバージョン 2.4 を元に収集されたこのディストリビューションは chroot
環境の元で多くのデーモンが動作し、このソフトウェア群の機能を利用して保
護されています。
2. pam_hbci v1.0a
作者: Stefan Palme
関連するURL:
http://online.securityfocus.com/tools/2634
動作環境: Linux, POSIX
まとめ:
pam_hbci は Linux 向けの PAM モジュールであり、認証や証明を行うための
HBCI chip-card を使用可能にします。 HBCI は TCP/IP を利用したホームバ
ンキングのドイツでの標準です。このモジュールは、多くのオプションを備え
ており、また、 CATPI インターフェースを利用した全ての chip-card ターミ
ナルをサポートしています。
3. Linux Security Auditing Tool v0.5.0
作者: Triode
関連するURL:
http://www.dimlight.org/~number9/lsat/
動作環境: Linux, POSIX
まとめ:
Linux Security Auditing Tool (LSAT) はインストール以後の状況に対するセ
キュリティ監査を行うためのツールです。このソフトウェアはモジュール化さ
れた設計が行われており、新機能の迅速な追加が可能です。このソフトウェア
は inetd 用の設定ファイルの内容を監査し、不必要な RPM パッケージを検査
します。Red Hat 以外のディストリビューションにおいても動作する機能やカー
ネルバージョンの検査を行う機能が拡張されています。
4. Secure FTP Wrapper v2.1.1
作者: Glub Tech, Inc.
関連するURL:
https://www.glub.com/store/export.jsp?product_id=ftpswrap_2_0
動作環境: Java
まとめ:
Secure FTP Wrapper は既存の FTP サーバをセキュアなサーバにすることが可
能な、サーバベースのパッケージです。このリリースで、セキュアソケットレ
イヤ、すなわち SSL を使用した FTP サーバへのコネクションに対応していま
す。
5. Gringotts v0.4.4
作者: Germano Rizzo
関連するURL:
http://devel.pluto.linux.it/projects/Gringotts/
動作環境: Linux, POSIX
まとめ:
Gringotts は小規模なユーティリティであり、重要なデータ (パスワード、
クレジットカード番号、暗証番号など) を簡単に読み書きできる、また簡単に
アクセスできる状態で、最も安全な形で書き留めておくことができます。
Gringotts は暗号化に MCrypt と MHash ライブラリを使用しており、 GTK+ 2
をインターフェースに使用しています。
6. Port Scan Attack Detector (psad) v0.9.8
作者: Michael Rash mbr@cipherdyne.com
関連するURL:
http://www.cipherdyne.com/psad/
動作環境: Linux
まとめ:
Port Scan Attack Detector (psad) is a program written in Perl that is
designed to work with Linux firewalling code (iptables in the 2.4.x
kernels, and ipchains in the 2.2.x kernels) to detect port scans. It
features a set of highly configurable danger thresholds (with sensible
defaults provided), verbose alert messages that include the source,
destination, scanned port range, begin and end times, TCP flags and
corresponding nmap options (Linux 2.4.x kernels only), email alerting, and
automatic blocking of offending IP addresses via dynamic configuration of
ipchains/iptables firewall rulesets. In addition, for the 2.4.x kernels
psad incorporates many of the TCP signatures included in Snort to detect
highly suspect scans for various backdoor programs (e.g. EvilFTP,
GirlFriend, SubSeven), DDoS tools (mstream, shaft), and advanced port
scans (syn, fin, Xmas) which are easily leveraged against a machine via
nmap.
Port Scan Attack Detector (psad) は、ポートスキャンを検出するために
Linuxのファイヤウォール機能を提供するプログラム (Kernel 2.4.x 系の
iptables や kernel 2.2.x 系の ipchains) と連携するように設計された、Perl
を利用して開発されたプログラムです。このプログラムは、危険度を設定でき
(標準では詳細)、送信先、送信元、スキャンされたポートの範囲、開始及び
終了時間、 TCP フラグ、 nmap オプションと一致しているか (Linux 2.4.x
kernel のみ)、電子メールによる警告機能などが備わっており、また、問題の
ある IP アドレスからの接続を、ipchains/iptables のファイヤウォールのルー
ルを動的に生成することによって遮断する機能なども備えています。さらに、
様々なバックドアプログラム (例えば EvilFTP、GirlFriend 、SubSeven) に
対するスキャンと疑われるものや、DDoS ツール、nmap によってホストに対し
て容易に利用される高等なポートスキャン (syn、fin、Xmas スキャンなど)
を検知するために Snort の TCP に関するシグネチャを利用します。
--
訳: 坂井順行(SAKAI Yoriyuki)、小笠原恒雄(OGASAWARA Tsuneo)、
藤本匡樹(FUJIMOTO Masaki)
監修: 坂井順行(SAKAI Yoriyuki)
LAC Co., Ltd.
http://www.lac.co.jp/security/
smime.p7s