SecurityFocus Newsletter #166 2002-10-7->2002-10-11(Re-post)
坂井@ラックです。
SecurityFocus Newsletter 第 166 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
---------------------------------------------------------------------------
BugTraq-JP に関する FAQ(日本語):
http://www.securityfocus.com/popups/forums/bugtraq-jp/faq.shtml
・SecurityFocus Newsletter の和訳は BugTraq-JP で一次配布されています
・BugTraq-JP への参加方法、脱退方法はこちらをご参照ください
---------------------------------------------------------------------------
---------------------------------------------------------------------------
SecurityFocus Newsletter に関するFAQ(英語):
http://www.securityfocus.com/popups/forums/securityfocusnews/intro.shtml
---------------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus の許可を株式会社ラックが得た上で行われています。
・SecurityFocus Newsletter の和訳を Netnews, Mailinglist, World Wide Web,
書籍, その他の記録媒体で引用される場合にはメールの全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませんが、
準用するものとします。
・また、SecurityFocus 提供の BugTraq-JP アーカイブ [*1] へのいかなる形式の
ハイパーリンクも上記に準じてください。
1) http://online.securityfocus.com/archive/79
---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BugTraq-JP へ Errata として修正
版をご投稿頂くか、監修者 (sakai@lac.co.jp) にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
---------------------------------------------------------------------------
This translation is encoded and posted in ISO-2022-JP.
原版:
Date: Tue, 15 Oct 2002 08:55:15 -0600 (MDT)
Message-ID: <Pine.LNX.4.43.0210150854490.20958-100000@mail.securityfocus.com>
SecurityFocus Newsletter #166
-----------------------------
This Issue Sponsored by: Wiley and Sons
I. FRONT AND CENTER(日本語訳なし)
1. Footprints in the Sand, Part One
2. Assessing Internet Security Risk, Part Five: Custom Web Applications
3. Mozilla's 'Code of Silence' Isn't
4. Shutting Down Spyware Loopholes
5. SecurityFocus DPP Program
6. InfoSec World Conference and Expo/2003
II. BUGTRAQ SUMMARY
1. Microsoft Content Management Server 2001 Cross-Site Scripting...
2. VBZoom Arbitrary File Upload Vulnerability
3. phpLinkat Multiple Cross Site Scripting Vulnerabilities
4. BearShare File Disclosure Variant Vulnerability
6. IRIX 'mv' Insecure Directory Permissions Vulnerability
7. IRIX rpcbind Symlink Vulnerability
8. IRIX Insecure Desktop File Permissions Vulnerability
9. IRIX uux Buffer Overflow Vulnerability
10. Cisco Unity Default Restrictions International Operator Call...
11. IRIX fsr_efs Symlink Vulnerability
12. Logsurfer Off-By-One Buffer Overflow Vulnerability
13. Cooolsoft PowerFTP Server Remote Denial Of Service Vulnerability
14. Microsoft IIS IDC Extension Cross Site Scripting Vulnerability
15. Oracle E-Business Suite Authentication Bypassing Vulnerability
16. Oracle 9i Application Server Web Cache Administration Tool...
17. Zope Failed Login Information Disclosure Vulnerability
18. Macromedia Flash Player File Access Vulnerability
19. Killer Protection Information Disclosure Vulnerability.
20. ArGoSoft Mail Server Pro E-Mail HTML Injection Vulnerability
21. Microsoft IIS Malformed HTTP HOST Header Field Denial Of...
22. Symantec VelociRaptor Denial of Service Vulnerability
23. NetBSD talkd Buffer Overflow Vulnerability
24. HP Tru64 Unspecifed Remote Route Daemon Vulnerability
25. TkMail Insecure Temporary Files Vulnerability
26. Multiple Platforms ypserv Remote File Disclosure Vulnerability
27. Multiple Platforms ypxfrd Remote File Disclosure Vulnerability
28. SSGBook Image Tag HTML Injection Vulnerabilities
30. VBZoom Remote SQL Injection Vulnerability
31. Check Point VPN-1 IKE Aggressive Mode Forcing Vulnerability
32. Sendmail Trojan Horse Vulnerability
33. Citrix Published Applications Information Disclosure...
34. PHPBB2 Avatar Images Information Disclosure Vulnerability
III. SECURITYFOCUS NEWS ARTICLES
1. Clues, Vandalism, Litter Sendmail Trojan Trail
2. Outlook Express in crypto processing flaw
3. Scottish ISP in repeat DDoS attack
4. FBI Misused Secret Wiretaps, According to Memo
IV.SECURITYFOCUS TOP 6 TOOLS
1. Modular Access Control System v0.6pre3 alpha
2. libGringotts v1.0.0
3. SEPPL v200210082244
4. Network-Accounting Daemon for Netfilter v0.2.1
5. MudPit v1.0
6. SASL Library v0.0.0
I. FRONT AND CENTER(日本語訳なし)
---------------------------------
II. BUGTRAQ SUMMARY
-------------------
1. Microsoft Content Management Server 2001 Cross-Site Scripting Vulnerability
BugTraq ID: 5922
リモートからの再現性: あり
公表日: Oct 09 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5922
まとめ:
Microsoft Content Management Server (MCMS) 2001 は電子商取引用 Web サイ
トの開発および管理を行うための .NET Enterprise Server シリーズの製品で
ある。
報告によると、Microsoft Content Management Server 2001 はクロスサイトス
クリプティングの問題を抱える疑いがある。
攻撃者は問題を抱えるソフトウェアが稼動する Web サイトを指し示す、意図的
な HTML とスクリプトを含む悪意あるハイパーリンクを作成可能である。この
種のハイパーリンクが Web サイトのユーザによってアクセスされた場合、攻撃
者によって与えられたコードは問題を抱えるソフトウェアが稼動する Web サイ
トと同格のセキュリティコンテキストで Web ブラウザ内で実行される。
この問題は 'ManualLogin.asp' スクリプトに由来している。攻撃者は悪意ある
スクリプトをこのスクリプトの URI パラメータ 'REASONTXT' を介して注入可
能である。
この問題は認証済のユーザから Cookie に由来する認証用情報を盗み出すため
の攻撃に利用可能である。他の攻撃についても引き起こされる可能性がある。
2. VBZoom Arbitrary File Upload Vulnerability
BugTraq ID: 5926
リモートからの再現性: あり
公表日: Oct 09 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5926
まとめ:
VBZoom は PHP 言語を利用して開発された電子掲示板システムである。
VBZoom 1.01 には攻撃者が問題を抱えるソフトウェアを稼動しているシステム
へ任意のファイルをアップロード可能になると推察される問題が発見されてい
る。
この問題は VBZoom が受け入れたファイルの種類に関する妥当性の確認を適切
に行っていないために生じている。妥当性の確認はクライアント側で解釈され
る JavaScript を利用して行われている。この問題は 'add-subject.php' スク
リプト内に存在する。攻撃者はアップロード対象となる意図的なファイルを指
定することによりこの問題を利用する攻撃を企てることが可能である。
この方法を利用してアップロードされたファイルは、アップロード先のファイ
ルシステム内の 'download/' ディレクトリへ格納される。意図的なファイルを
攻撃対象のコンピュータへアップロードする機会を与えることで、攻撃者は悪
意ある PHP ファイルを問題を抱えるシステムへアップロードするためにこの問
題を利用可能である。参照されたいずれの悪意ある PHP ファイルも VBZoom を
利用している Web サイトと同格のセキュリティコンテキストで実行される。
この問題は VBZoom 1.01 で発見されている。他のバージョンにおいても同様の
問題が存在するかどうかは未詳である。
3. phpLinkat Multiple Cross Site Scripting Vulnerabilities
BugTraq ID: 5890
リモートからの再現性: あり
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5890
まとめ:
phpLinkat は Web インタフェースを備えるハイパーリンクのインデックスを作
成するソフトウェアである。このソフトウェアは PHP を利用して実装されてお
り、Microsoft Windows、Linux、その他 UNIX 由来の OS で利用可能である。
報告によると、このソフトウェアはクロスサイトスクリプティングの問題を利
用する攻撃の影響を受ける疑いがある。
問題は showcat.php および addyoursite.php に存在する。
攻撃者は攻撃を想定していないユーザを HTML や スクリプトを含む悪意あるハ
イパーリンクに誘導することにより、この問題を利用する攻撃を企てる可能性
がある。攻撃者によって与えられた HTML やスクリプトは Web クライアント上
で、このソフトウェアを稼動させている Web サイトと同格のセキュリティコン
テキストで実行されると推察される。
攻撃者は潜在的に Web コンテンツの改ざんや Cookie に由来する認証用情報を
窃取するためにこの問題を利用する攻撃を行う可能性がある。攻撃対象のユー
ザとして意図的な行為を行うことも可能になると推察される。
この問題は phpLinkat 0.1.0 において発見されている。
4. BearShare File Disclosure Variant Vulnerability
BugTraq ID: 5888
リモートからの再現性: あり
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5888
まとめ:
BearShare は Microsoft Windows 環境向けのファイル共有用ユーティリティで
ある。
BearSgare が Website モードで稼動可能な間、ユーザはこのソフトウェアに添
付されている Web サーバを利用してファイルを公開可能である。
BearShare に付属する Web サーバプログラムは本来保護された範囲外のディレ
クトリへ相対的にアクセスし得る攻撃の影響が及ぶ疑いがある。この問題によ
り、攻撃者は Web 用の仮想ルートディレクトリの範囲外のディレクトリにアク
セスし、このソフトウェアを稼動させているコンピュータのファイルシステム
上を参照可能になると推察される。攻撃者は以下に示すようなエンコードされ
た値を含む URL を用いる、悪意ある HTTP リクエストを用いてこの問題を利用
する攻撃を企てる可能性がある。
この問題は BID 2672 に示されている問題の変種である。
この変種を利用する攻撃はバージョン 4.0.6 に対しては影響を及ぼさない。
しかし、Web サーバに対して URL エンコードされた内容を含む HTTP リクエス
トを用いることを利用するファイルの開示を引き起こすことは可能である。
以下の例は BearShare 4.0.6 に対しても有効な攻撃の変種である。
http://target:6346/%5c..%5c..%5c..%5cwindows%5cwin%2eini
5. Microsoft Windows XP System Restore Folder Permissions Weakness
BugTraq ID: 5894
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5894
まとめ:
Microsoft Windows XP には System Restore と称する、ユーザがソフトウェア
のインストールやハードウェア用のドライバのインストールに際して問題を抱
える際に特定のチェックポイントでシステムの状態をロールバック可能になる
機能を備えている。この機能は System Volume Information と称するフォルダ
へ情報を記録している。このフォルダにはそれぞれのレストア用のチェックポ
イント毎に通常高位の権限を持たないユーザであればアクセス不能なはずのレ
ジストリ情報を含むフォルダが作成されている。
System Volume Information フォルダは管理者権限を持つユーザによってのみ
アクセス可能である。しかし、このフォルダ内のフォルダはいかなるアクセス
コントロールも設定されていないため、高位の権限を持たないユーザによって
アクセスが可能な状態なのである。
高位の権限を持たないユーザは情報が格納されているフォルダへのパスを以下
に示す方法を用いてレジストリ情報へのクエリを行うことで入手可能である。
reg query "HKLM\System\CurrentControlSet\Control\BackupRestore\FilesNotToBackup" /v "System Restore"
ユーザがパス情報を入手し得た場合、ユーザは上位ディレクトリのアクセスコ
ントロールを回避し、直接ディレクトリを参照可能である。その後、高位の権
限を持たないユーザは当該フォルダ内に含まれる全てのファイルとフォルダ全
体へアクセスを行うと推察される。
6. IRIX 'mv' Insecure Directory Permissions Vulnerability
BugTraq ID: 5893
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5893
まとめ:
mv コマンドはファイルやディレクトリの名前の変更に用いられるプログラムで
ある。このコマンドは多くの UNIX においてデフォルトでインストールされる
標準的なツールである。
IRIX に同梱されている mv コマンドには問題が発見されている。
報告によると、ディレクトリの名称を変更する際、mv コマンドは新しいディレ
クトリのパーミッションに古いディレクトリのパーミッションを継承させてい
ない。新しいディレクトリはいかなるユーザであっても書き込み可能なパーミッ
ションで作成されてしまうのである。
この問題により、本来アクセス権限を持ち得ないユーザが重要なファイルや資
源を読み出せ、また、改変可能になる。
7. IRIX rpcbind Symlink Vulnerability
BugTraq ID: 5889
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5889
まとめ:
rpcbind は RPC プログラム番号をユニバーサルアドレスへ変換するサーバであ
る。このソフトウェアは、コンピュータ上でデーモンとして RPC 呼び出しを有
効化してある環境では必ず実行させておかねばならない。
このデーモンは IRIX では eoe.sw.svr4net パッケージに含まれている。
rpcbind の -w スイッチを利用する際に問題が発見されている。
rpcbind は不適切にシンボリックリンクを辿るため、潜在的に意図するファイ
ルが破壊ないし上書きされる結果を招くと推察される。
-w スイッチはウォームブートを可能にするために利用されるオプションで、
処理が中断後の rpcbind の機能復旧を容易に行えるようにするものである。
rpcbind が -w スイッチを伴って起動された場合、このプログラムは /tmp ディ
レクトリ内のファイルを利用して登録済のサービス一覧の記録を試みる。一時
ディレクトリ内のファイルは rpcbind のプロセスが SIGINT ないし SIGTERM
シグナルを受け取った際に書き込まれる。
rpcbind は不適切にシンボリックリンクを辿るため、rpcbind がこれらシグナ
ルを受け取る際、潜在的に意図するファイルが破壊ないし上書きされ得ると推
察される。
rpcbind のプロセスによって書き込み可能な重要なファイルは破壊され、結果
として DoS に陥ると推察される。攻撃者が意図的に組み立てられたデータでファ
イルを破壊可能である場合、権限昇格が可能になると考えられる。
eoe.sw.svr4net パッケージに含まれる rpcbind はデフォルトではインストール
されない点は留意されるべきである。
8. IRIX Insecure Desktop File Permissions Vulnerability
BugTraq ID: 5895
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5895
まとめ:
SGI IRIX は特定の一時ファイルのパーミッションをセキュアではない状態に設
定している。
SGI は IRIX が一時的に利用するデスクトップ環境用のファイルはいかなるユー
ザであっても書き込み可能なパーミッションであることを公表している。
このため、ローカルの攻撃者は潜在的にこれらファイルを意図的に組み立てら
れたデータで改変したり、トロイの木馬を仕込む可能性がある。
この問題の影響範囲は一時的に作成される、特定のデスクトップ環境用のファ
イルの内容に深く依存している。報告によると、問題を受ける一時的に作成さ
れるファイルは各ユーザのホームディレクトリ内に存在している。
9. IRIX uux Buffer Overflow Vulnerability
BugTraq ID: 5892
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5892
まとめ:
uux は UUCP 環境でコマンドを実行するために利用されるプログラムであり、IRIX
においても同梱されている。
このソフトウェアにバッファオーバーフローの問題が発見されている。
uux ユーティリティはデフォルトで setgid ビットが立てられた状態でインストー
ルされ、この問題を利用する攻撃を行うことで、結果として権限の昇格を伴う攻
撃者の意図するコードの実行が可能である。バッファオーバーフローの原因に関
する詳細な技術的背景はまだ公開されていない。
uux は eoe.sw.uucp パッケージの一部であり、デフォルトではインストールさ
れないことに留意すべきである。
この問題は、BID 2947 に記述されている問題と同種の問題であると考えられる。
10. Cisco Unity Default Restrictions International Operator Call Forwarding Vulnerability
BugTraq ID: 5896
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5896
まとめ:
Unity は、ユーザの受信トレイに入る音声メッセージや、FAX 、メールを一元管
理するために設計された Cisco 社のソフトウェア製品である。
このソフトウェアはユーザが認証を行わずにアクセス可能であるという問題を抱
えている。
特定の環境下において、ユーザは、許可されていない宛先に電話を転送可能で
あると推察される。Unity ソフトウェアによって実行されるデフォルトの制限
設定では、ユーザが 9 011 から始まる電話会社 (ダイアル直通国際電話) へ電
話を転送することを防止している。
しかし国際電話のオペレータ経由での通話を防止する手段は取られていない。
国際電話を取り扱うオペレータとは典型的に 9 00 を介して連絡可能である。
この番号へ電話を転送することで、国際電話を取り扱うオペレータ経由での通
話をどのような場所へも行い、Unity ソフトウェアを利用しているサイトに電
話料金を請求させることが可能である。攻撃者はこの問題を利用する攻撃を行
うために、問題を抱える Unity システム上のアカウントへのアクセス権を保持
していなければならないことに留意すべきである。
11. IRIX fsr_efs Symlink Vulnerability
BugTraq ID: 5897
リモートからの再現性: なし
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5897
まとめ:
fsr_efs は EFS ファイルシステムをマウントしている環境を改善するユーティ
リティである。このユーティリティは IRIX にデフォルトでインストールされ
る eoe.sw.base パッケージに同梱されている。
fsr_efs ユーティリティには問題が発見されている。
fsr_efs はファイルシステムの再編成が終了したのを確認するために、
/var/tmp/.fsrlast
にファイルシステムに関する情報を記録し、再び実行する際にそれを参照する。
SGI によると、fsr_efs は /var/tmp/.fsrlast ファイルにアクセスする
際に、シンボリックリンクを不適切にも辿ってしまうのである。
悪意あるユーザによりこの問題を利用する攻撃が可能であり、fsr_efs のプロ
セスによって書き込み可能な重要なファイルは破壊され、結果として DoS に陥
る可能性がある。
12. Logsurfer Off-By-One Buffer Overflow Vulnerability
BugTraq ID: 5898
リモートからの再現性: あり
公表日: Oct 04 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5898
まとめ:
Logsurfer は、UNIX や Linux で利用可能であり、swatch と同様なログ解析プ
ログラムである。
Logsurfer には問題が発見されている。
報告によると、特定の環境下において意図的に作成したログエントリにより一
つずれ (off-by-one) に由来するバッファオーバーフローを引き起こすことが
可能である。この問題は、検索文字列に合致した文字列の長さを計算する時に
発生し、context.c 内の context_action() 関数に由来している。オーバーフ
ローを引き起こすことによって、ヒープ領域のメモリが破壊されると推察され
る。特定の環境下では logsurfer のプロセスが終了する可能性がある。
未確認であるが、攻撃者は任意のコードを実行可能であることも推察される。
13. Cooolsoft PowerFTP Server Remote Denial Of Service Vulnerability
BugTraq ID: 5899
リモートからの再現性: あり
公表日: Oct 05 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5899
まとめ:
PowerFTP サーバは、Microsoft Windows プラットフォームで利用可能なシェア
ウェアの FTP サーバである。このアプリケーションは、Coolsoft により販売、
保守が行われている。
PowerFTP が抱える問題により、リモートのユーザはサーバの正当なユーザへの
サービスを阻害するように仕向けることが可能である。
PowerFTP サーバは長いユーザ名を適切に処理しない問題が報告されている。
3000 文字以上のユーザ名が入力される時にサーバは不安定になる。この問題を
利用する攻撃により典型的にはサーバはクラッシュする。FTP サービスを回復
するためには手動による再起動が必要である。
この問題は攻撃に利用可能なバッファオーバーフローであると見なされる。
もし、この問題を利用する攻撃が可能な場合、攻撃者は PowerFTP サーバの実
行権限で意図するコードを実行可能である。このサービスは通常 SYSTEM 権限
で実行されると推察される。
14. Microsoft IIS IDC Extension Cross Site Scripting Vulnerability
BugTraq ID: 5900
リモートからの再現性: あり
公表日: Oct 05 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5900
まとめ:
Microsoft Internet Information Server (IIS) が抱える問題により、クロス
サイトスクリプティングの問題を利用する攻撃が可能であると推察される。
報告によると、問題は Microsoft IIS Internet Database Connector (.idc)
形式のファイルの取り扱い部分に存在する。idc 形式のファイルは Microsoft
Frontpage 環境を成す 1 コンポーネントである。idc 形式のファイルは Microsoft
製のデータベース製品との通信を容易にし、Web サーバに情報を提供する。
IIS が .idc 形式のファイルに対する HTTP リクエストを受け取る際、そのペー
ジが存在しない場合は、通常サーバは 404 エラーを示すページを返す。しかし、
長い URL 、かつ末尾に .idc の拡張子が付く HTTP リクエストが IIS に与え
られる際には、HTTP リクエストに含まれる URL の全てが入力値に対するフィ
ルタリングが行われないままでエラーページとして返されてしまうのである。
この結果、意図するコードが実行可能になる。
この問題により、攻撃者は問題を抱えるサイトと同格のセキュリティコンテキ
ストでスクリプトを実行可能であると推察される。この問題を利用する攻撃を
行うためには、334 バイトの URL に引き続きスクリプトを注入する必要がある。
この問題が以前の IIS のバージョンに影響するかどうかは不明である。
15. Oracle E-Business Suite Authentication Bypassing Vulnerability
BugTraq ID: 5901
リモートからの再現性: あり
公表日: Oct 06 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5901
まとめ:
E-Business Suite は Oracle により配布、保守されている、オンラインビジネ
スを支援するソフトウェア群である。
このソフトウェアが抱える問題により、認証を伴わずにリモートのユーザはア
クセス権を奪取可能であると推察される。
いくつかのパッチレベルのこのソフトウェアが抱える問題により、ユーザ認証
が回避可能になることが報告されている。問題は AolSecurityPrivate.class
ファイルに含まれており、このソフトウェアの実装に関する知識を有するユー
ザは認証を回避することが可能である。
バージョン 115.7 から 115.18 までの AolSecurityPrivate.class ファイルが
存在するシステムにのみ問題が生じることに留意するべきである。このファイ
ルは通常 apps.zip ファイル中の $JAVA_TOP ディレクトリ内にアーカイブされ
ている。
16. Oracle 9i Application Server Web Cache Administration Tool Denial Of Service Vulnerability
BugTraq ID: 5902
リモートからの再現性: あり
公表日: Oct 06 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5902
まとめ:
Oracle 9i Application Server (9iAS) では Web 管理モジュールを介し、リモー
トからの管理が可能である。このソフトウェアが抱える問題は Microsoft Windows
上で稼動する Oracle 9iAS に影響を及ぼす。
Oracle 9iAS に同梱されている Web 管理モジュールが抱える問題により、DoS
に陥る可能性が報告されている。
意図的に組み立てられたリクエストが Web 管理モジュールに送信される際に、
このモジュールは予測不能な挙動を示す可能性がある。このモジュールに悪意
を持って組み立てられたリクエストを送信することにより、管理サーバをクラッ
シュさせることが可能である。サービスの復旧を行うためにはサーバの手動操
作による再起動が必要である。
この問題は Web 管理モジュールのみに影響を及ぼすことに留意すべきである。
Web 管理モジュールはサーバの専用のポート番号コネクションを待ち受けてい
る。
17. Zope Failed Login Information Disclosure Vulnerability
BugTraq ID: 5903
リモートからの再現性: あり
公表日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5903
まとめ:
Zope はオープンソースの Web アプリケーションサーバであり、Zope Project
によって保守されている。このソフトウェアは Linux、UNIX および Microsoft
Windows で利用可能である。
報告によると、管理インタフェースへのログインが失敗した後にユーザが 'Cancel'
を選択した場合に、このソフトウェアはパス情報を開示してしまう。この情報
はエラーページ表示後に出力されるスタックトレース中で漏洩される。
攻撃者がファイルシステムの詳細に関する情報を取得可能である場合、この情
報は結果として、攻撃対象のコンピュータに対する更なる攻撃を行うにあたり
有益な情報となると推察される。
18. Macromedia Flash Player File Access Vulnerability
BugTraq ID: 5904
リモートからの再現性: あり
公表日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5904
まとめ:
Maromedia Flash はより充実した Web コンテンツが閲覧できるように設計され
たモジュラーパッケージであり、ユーザは様々なマルチメディア Web コンテン
ツの閲覧可能である。Flash player のいくつかのバージョンにエラーが報告さ
れている。悪意ある Flash アニメーションは意図するローカルファイルを読み
出し可能であると推察される。
この問題は Flash Player がリモートの SMB ネットワーク共有資源からアニメー
ションファイルを読み込む際の処理の誤りに由来している。
このソフトウェアが SMB ネットワーク共有資源からアニメーションファイルを
読み込む際、それはユーザがローカルディスクからファイル読み出すのと同様
に取り扱われるのである。
この問題により、攻撃者はこのソフトウェアの XML コントロールを介してロー
カルファイルの内容を閲覧可能になると推察される。
攻撃者は攻撃対象のユーザを悪意ある flash アニメーションをダウンロードし、
閲覧するよう誘導することにより、この問題を利用する攻撃を行うことが可能
である。ファイルが読み込まれた際に、悪意ある flash アニメーションは
Flash Player に既知のローカルファイルの内容を読み出させる。この方法で取
得された情報は、攻撃者が問題を抱えるシステムに対するさらなる攻撃、また
潜在的に破壊的な攻撃を可能にすると推察される。
19. Killer Protection Information Disclosure Vulnerability.
BugTraq ID: 5905
リモートからの再現性: あり
公開日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5905
まとめ:
Killer Protection は、Web ページ上の重要な情報を保護することを目的とする
スクリプトである。
このソフトウェアには問題が発見されている。
報告によると、本来アクセス権限を持たないユーザが Killer Protection のユー
ザ認証に使用される 'vars.inc' ファイルへアクセスすることが可能である。
このファイルから得た情報を利用することで攻撃者は任意のユーザとして重要な
ページにログインすることが可能である。
'vars.inc' ファイルへアクセスするためには、意図的に作成した悪意ある HTTP
リクエスト内で特定の絶対パス及びファイル名を指定する必要がある。
攻撃者はこの問題を利用する攻撃を利用して収集した情報を用い、さらなる攻
撃が可能である。
20. ArGoSoft Mail Server Pro E-Mail HTML Injection Vulnerability
BugTraq ID: 5906
リモートからの再現性: あり
公開日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5906
まとめ:
ArGoSoft メールサーバ は、 Microsoft Windows 環境で動作する、SMTP、POP3
および Finger サーバである。 またリモートからのメール操作が可能な組み込
み型ウェブサーバを備えている。
ArGoSoft Mail Server Pro の Web メールシステムには、電子メールメッセージ
内の HTML リクエストを十分にフィルタリングしない。これはリモートの攻撃者
が任意の HTML リクエスト及びスクリプトコードを電子メールメッセージ内に注
入することを可能にする。この攻撃は悪意あるメッセージが表示されたユーザの
Web クライアント上で実行されると推察される。攻撃者より送りつけられたスク
リプトコードは Web メールシステムを運用しているサイトと同格のコンテキス
トで実行される。
リモートの攻撃者は潜在的にこの状況を Web メールシステムの正当なユーザか
ら Cookie に由来する認証情報を奪取するのに利用可能である。さらに、Cookie
に含まれている平文のユーザの認証情報が奪取可能であると報告されている。
攻撃者は奪取した認証情報を本来アクセス権限を持ち得ないユーザが Web メー
ルアカウントにアクセスを行うのに利用可能である。
21. Microsoft IIS Malformed HTTP HOST Header Field Denial Of Service
Vulnerability
BugTraq ID: 5907
リモートからの再現性: あり
公開日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5907
まとめ:
Microsoft Internet Information Server (IIS) は、リモートから DoS 状態に
陥る可能性がある問題を抱えると報告されている。
IIS に同梱されている 'shtml.dll' が悪意ある HOST フィールドを含む HTTP
リクエストを受け取ることによりこの問題が生じる。大量のスラッシュから構
成された HOST ヘッダーフィールドを含む HTTP POST リクエストを作成し、
問題を抱えるホストに送信することにより、この問題は再現可能である。この
サーバはある短時間内に与えられた HTTP リクエストに対して応答できないと
報告されている。この問題を利用することで、さらなるサービス妨害も引き起
こすことが可能であると推察される。
この問題は 'shtml.dll' 内に存在し、また他の種類の悪意あるリクエストによっ
ても同様の状態が再現できると推察される。
現時点において、この問題に関する詳細情報は公開されていない。この問題に
関する詳細情報が公表され次第、本 BID は更新予定である。
22. Symantec VelociRaptor Denial of Service Vulnerability
BugTraq ID: 5909
リモートからの再現性: あり
公開日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5909
まとめ:
VelociRaptor Firewall は Axent Technologies が元々開発した企業向けファ
イアウォール製品である。このソフトウェアは Microsoft Windows および UNIX
環境において利用可能である。
Symantec は VelociRaptor Firewall がメモリリークに由来するバグを抱え、
潜在的に DoS に陥らせられることを公表した。他のセキュリティに関わる問題
も存在し、本 BID で示されている問題に対応するパッチによって修正されてい
る。
現時点において、この問題に関する詳細情報は公開されていない。この問題に
関する詳細情報が公表され次第、本 BID は更新予定である。
23. NetBSD talkd Buffer Overflow Vulnerability
BugTraq ID: 5910
リモートからの再現性: No
公開日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5910
まとめ:
talkd は、多くの UNIX や様々な Linux に同梱されているローカルもしくはリ
モートユーザー間の通信に使用されるクライアントサーバ型アプリケーションで
ある。
NetBSD に同梱されている talkd サービスにバッファオーバーフローが発生す
るとの報告がされている。報告によると、リモートとの通信時に talkd は到着
メッセージをコピー先バッファへコピーする前に適切な境界チェックを行って
いない。取り分け、問題は libexec/talkd/process.c 内の find_user() 関数
で生じている。
攻撃者は問題を抱えるシステムで高位の権限を奪取するためにこの問題を利用
する攻撃を企てることが可能である。
この問題はバッファオーバーフローに由来する問題であるため、悪意ある人物
は talkd の実行権限でコードを実行可能である。しかし、これについては未検
証である。
talkd サービスは、コアコンポーネントとして多くの Linux および様々な
UNIX に同梱されており、様々なディストリビューションで保守されている。
24. HP Tru64 Unspecifed Remote Route Daemon Vulnerability
BugTraq ID: 5913
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5913
まとめ:
True64 は元々 DEC によって開発された UNIX であり、現在は HP により販売
および保守が行われている。
Tru64 にはリモートのユーザが認証せずに資源へアクセスする可能性のある問
題が存在する。
route daemon (routed) にはユーザが認証を伴わずにファイルにアクセス可能
になると推察される問題が発見されている。報告によると、この問題はリモー
トから攻撃に利用可能であるとのことである。この問題に関する詳細情報につ
いては多くは公開されていない。
routed は通常特権 (root 権限) で実行されるプロセスであるため、この問題
を利用する攻撃はシステム内の重要なファイルに対するアクセス権を奪取する
際に有用な手立てとなり得る。ファイルの内容を読み出すために企てられるこ
の問題を利用する攻撃により、攻撃者はパスワードのシャドウファイルやその
他の root に所有権が設定されている重要な情報を含むファイルへのアクセス
権の奪取が可能である。
25. TkMail Insecure Temporary Files Vulnerability
BugTraq ID: 5911
リモートからの再現性: なし
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5911
まとめ:
TkMail は X Window 環境で動作する電子メールクライアントであり、Perl と
Tcl/Tk によって実装されている。
TkMail はセキュアでない方法で一時ファイルを作成する。クライアントが一
時ファイルの作成を試みた際、ファイルが既に存在するかをチェックしない。
加えて、このソフトウェアはシンボリックリンクを辿る。
ローカルの攻撃者は意図するファイルを示す悪意あるシンボリックリンクを
TkMail によって作成される一時ファイルのいずれかの名前で作成可能である。
攻撃者はこのソフトウェアを実行するユーザが所有するファイルを上書きする
ために、この問題を利用する攻撃を企てることが可能である。
26. Multiple Platforms ypserv Remote File Disclosure Vulnerability
BugTraq ID: 5914
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5914
まとめ:
ypserv は Network Information Service (NIS) サーバであり、UNIX 上で利用
可能である。
HP は ypserv サーバがファイルを開示する問題を抱えていることを公表した。
報告によると、この問題を悪用することにより、ローカルもしくはリモートの
攻撃者は YP サーバ内にある重要なファイルに対して、認証を行わずに内容を
読み込み可能になると考えられる。
現時点において、この問題に関する詳細情報は公開されていない。この問題に
関する詳細情報が公表され次第、本 BID は更新予定である。
27. Multiple Platforms ypxfrd Remote File Disclosure Vulnerability
BugTraq ID: 5912
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5912
まとめ:
ypxfrd は NIS マップ転送デーモンであり、UNIX 上で利用可能である。
HP は ypxfrd デーモンがファイルを開示する問題を抱えていることを公表した。
報告によると、この問題を悪用することにより、ローカルもしくはリモートの
攻撃者は YP サーバ内にある重要なファイルに対して、認証を行わずに内容を
読み込み可能になると考えられる。
現時点において、この問題に関する詳細情報は公開されていない。この問題に
関する詳細情報が公表され次第、本 BID は更新予定である。
28. SSGBook Image Tag HTML Injection Vulnerabilities
BugTraq ID: 5915
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5915
まとめ:
SSGbook は ASP で開発されたゲストブックソフトウェアである。
SSGbook は HTML を利用して整形し、ゲストブック内の項目の内容の配置を設
定する機能を実装するコードを同梱している。例えば、ユーザは[image] タグ
もしくは [img] タグで画像を指定することにより画像をゲストブック内に配置
可能である。しかし、意図的な HTML やスクリプトがこれらタグ内では十分に
フィルタリングされていないのである。
結果として、ユーザは悪意ある HTML やスクリプトをゲストブック内の項目へ
注入する可能性がある。攻撃者によって注入された攻撃者は悪意あるゲストブッ
クの項目にアクセスしたユーザの Web クライアントで解釈され、このソフトウェ
アを稼動させている Web サイトと同格のセキュリティコンテキストで実行され
る。
このソフトウエアの管理者権限でのアクセス機能が有効化されている場合、こ
の問題を利用する攻撃によりこのソフトウェアの管理者からの Cookie に由来
する認証用情報の窃取が可能になると推察される。
また、他の攻撃も可能になると推察される。
29. Multiple Vendor PC Firewall Auto Block Denial Of Service Weakness
BugTraq ID: 5917
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5917
まとめ:
リモートから DoS 状態に陥らせることが可能な問題が、特定の個人向けの PC
上で動作するファイアウォール製品で報告されている。この問題は、スプーフィ
ングされた通信の取り扱いに由来する。
各種の PC 上で動作するファイアウォールソフトウェアパッケージには、自動
的に通信を遮断するオプション機能が実装されている。このオプションは、受
け入れる通信が製品内部のデータベースに蓄えられたシグネチャにより不正ア
クセスの基準を満たした際に、特定のホストからの通信を遮断するためのルー
ルを自動的に追加するように設計されたものである。1度特定のホストからの通
信が不正アクセスであるとみなされると遮断ルールは自動的に追加されるので、
特定のホストから受け取るそれ以降の通信は自動的に遮断されるのである。
特定の状況下においてリモートユーザは、PC 上で動作するファイアウォールソ
フトウェアを使用するユーザが様々なサイトのサービスを利用出来ない状態に
陥らせるように仕向けることが可能である。ファイアウォールソフトウェアパッ
ケージにより不正アクセスであると見なされるように偽装したトラフィックを
送信することで、攻撃者は攻撃対象のシステムがアクセス可能なサイトの範囲
を効率よく制約することが可能である。この問題のために、ファイアウォール
のルールが手動で解除される際にのみ解決可能な DoS 状態に陥らせることが可
能である。
30. VBZoom Remote SQL Injection Vulnerability
BugTraq ID: 5919
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5919
まとめ:
VBZoom は PHP 言語を利用して開発された電子掲示板システムである。
SQL 構文を注入可能な問題が、VBZoom v1.01 において発見されている。
register.php ファイル内での SQL クエリの構成に利用される変数に対するフィ
ルタリングが不十分であるため、攻撃者はどのユーザのパスワードであっても
リセット可能である。
$ChangeProfile 変数の値が '1' に設定されている、悪意によって組み立てら
れたフォームに対するデータを register.php に送信することで、攻撃者は
SQL クエリの内容にアクセス可能である。このことから、攻撃者がクエリ内に
含まれているデータを操作可能である。
この問題の本質を考慮するならば、攻撃者はバックエンドデータベースの内容
を破壊可能であると推察される。
31. Check Point VPN-1 IKE Aggressive Mode Forcing Vulnerability
BugTraq ID: 5920
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5920
まとめ:
VPN-1 は Check Point Software Technologies により販売されているファイ
アウォールおよび仮想プライベートネットワークソフトウェアパッケージであ
る。
VPN-1 が抱える問題により、ユーザは意図する重要な情報を開示可能になる。
VPN-1 ではセッションが確立されている際に、IKE 標準のアグレッシブモード
をサポートする。このモードを通常のセッションモード、もしくは Check Point
が開発したハイブリッドモードに変更されることも推察される。アグレッシブ
モードは潜在的に重要なデータを不注意に開示しているホストを発着するコネ
クションを防止する。
しかし、特定の状況下において、VPN-1 では強制的にアグレッシブモードでの
セッション確立を企てられてしまうである。システムがアグレッシブモード以
外の他のモードに設定されており、ユーザがアグレッシブモードを利用してセッ
ション確立を試みる場合、VPN-1 はセッションを確立してしまうのである。こ
れは重要な情報を開示する結果を招く可能性がある。
32. Sendmail Trojan Horse Vulnerability
BugTraq ID: 5921
リモートからの再現性: あり
公表日: Oct 08 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5921
まとめ:
sendmail はフリーで利用可能な MTA である。このソフトウェアは Sendmail
Consortium により配布および保守されている。
報告によると、最近 sendmail を提供するサーバ ftp.sendmail.org が危険に
さらされたのである。侵入者は sendmail のソースコードにトロイの木馬を挿
入して改良したことが報告されている。2002年 9月 28日 から 2002 年 10月
6日 までの間にダウンロードした sendmail ソースコードには、トロイの木馬
が挿入されていると推察されている。
報告によると、最近 sendmail を提供するサーバ ftp.sendmail.org がセキュ
リティ上の脅威に曝されている。侵入者は sendmail のソースコードにトロイ
の木馬を混入して改変したことが報告されている。
2002年 9月 28日 から 2002 年 10月 6日 までの間にダウンロードされた sendmail
のソースコードには、トロイの木馬が混入されていると推察されている。
なお、これは未確認ではあるが、当該ホスト上でポート番号 6667 でコネクショ
ンを待ち受けるサービスは既に無効化されているとのことである。
Sendmail コンソーシアムのサイトから HTTP を介して入手した sendmail の
各バージョンは、影響を受けないようである。
ftp.sendmail.org 以外のサイトが影響を受けるかどうかは未詳である。
Sendmail コンソーシアムは正当な sendmail の配布パッケージに対し、以下の
PGP による署名を行っている
pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002
<sendmail@Sendmail.ORG> Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A
9A 9B 35 22 45
さらに付け加えるならば、以下のチェックサムを用いてパッケージの妥当性を
立証可能である。
73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig
33. Citrix Published Applications Information Disclosure Vulnerability
BugTraq ID: 5908
リモートからの再現性: あり
公表日: Oct 07 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5908
まとめ:
Citrix は広範囲で利用されている、リモートからのデスクトップ環境へのアク
セス機能を提供するアプリケーションである。クライアントからサーバへのア
クセス環境は、フリーで利用可能な Citrix ICA クライアントにより提供され
る。
Citrix には問題が発見されている。
報告によると、攻撃者はサーバに対して特別に巧妙に作成したリクエストを送
信することで、公開しているアプリケーションの存在を決定付けることが可能
である。
無効な状態のアプリケーションを対象にするリクエストを行うことで Citrix
サーバは 32 バイトのパケットを返し、有効な状態のアプリケーションを対象
にするリクエストを行うことで Citrix サーバは 64 バイトのパケットを返す。
Citrix サーバ上の公開されているアプリケーションへの総当り攻撃を行うため
に、この情報を利用することが可能である。この情報を得ることで、攻撃者は
サーバに対して更なる攻撃を企てることが可能であると推察される。
34. PHPBB2 Avatar Images Information Disclosure Vulnerability
BugTraq ID: 5923
リモートからの再現性: あり
公表日: Oct 09 2002 12:00AM
関連するURL:
http://www.securityfocus.com/bid/5923
まとめ:
phpBB2 は PHP 言語を利用して開発されおり、数多くのデータベース製品を
バックエンドデータベースとしてるオープンソースな Web フォーラムアプリ
ケーションである。
phpBB2 はユーザの IP アドレスを漏洩することが報告されている。この問題
はアバターファイルに対する phpBB2 のファイル名の命名規則に由来する。
アバターファイルは投稿メッセージを独自にするために、ユーザにより通常
GIF 形式の画像ファイルとしてアップロードされている。
ユーザが phpBB2 が稼動するシステムにアバターファイルのアップロードを試
みる際、システムではランダムな名前でファイルを保存されることになる。ラ
ンダムなファイル名は、他の文字列に続き 16 進数表記にエンコードしたユー
ザの IP アドレスで構成される。
悪意ある人物は phpBB2 が稼動するシステムのユーザの IP アドレスを見つけ
出すために、この問題を利用することが可能である。攻撃者は phpBB2 フォー
ラムを稼動させているシステムのユーザに対して攻撃を引き起こすために、こ
の情報を利用する可能性がある。
この問題は phpBB2 2.0.0 から 2.0.3 において報告されている。その他のバ
ージョンも影響を受ける可能性がある。
III. SECURITYFOCUS NEWS AND COMMENTARY
--------------------------------------
1. Clues, Vandalism, Litter Sendmail Trojan Trail
著者: Kevin Poulsen
有名な電子メールサーバに密かに仕込まれたバックドアはそれ以前の攻撃と関
連している。しかし、警告通知の手順において問題が隠蔽されていたために犯
人は問題追跡を回避する可能性がある。
http://online.securityfocus.com/news/1113
2. Outlook Express in crypto processing flaw
著者: John Leyden, The Register
Outlook Exoress においてメッセージの妥当性を判断するために利用されるコー
ドは、攻撃対象のコンピュータ上で悪意あるコードを実行するために攻撃者に
よって利用され得ると考えられる。
http://online.securityfocus.com/news/1127
3. Scottish ISP in repeat DDoS attack
著者: John Lettice, The Register
エディンバラに営業拠点を持つインターネットサービスプロバイダ、edNET は
再び DDoS 攻撃の打撃を被ったのである。
http://online.securityfocus.com/news/1126
4. FBI Misused Secret Wiretaps, According to Memo
著者: Dan Eggen, Washington Post
議員が入手した内部記録によると、FBI は何万件ものテロやサイバー犯罪に対
する極秘調査に際し、法廷の許可なく不法に容疑者をビデオで撮影し、不当に
電話の通話記録を録音し、電子メールの内容を盗聴していたのである。
http://online.securityfocus.com/news/1105
IV. SECURITYFOCUS TOP 6 TOOLS
-----------------------------
1. Modular Access Control System v0.6pre3 alpha
作者: Mario D. Santana
関連するURL:
http://macs.sf.net/
動作環境: OS に依存しない
まとめ:
Modular Access Control System (MACS) は、グローバルな認証、承認、ユー
ザやグループ、あるいは資源の運用、アプリケーションサービスを提供するシ
ステムです。
2. libGringotts v1.0.0
作者: Germano Rizzo
関連するURL:
http://prosa.com/people/grizzo/libgringotts/index.php?page=home
動作環境: POSIX, UNIX
まとめ:
libGringotts は、当初 Gringotts のために開発された小さく、使い易い、ス
レッドセーフな C ライブラリです。その目的は、暗号化され、圧縮されたファ
イルへデータをカプセル化することです。可能な限り安全にデータを保護する
ために、RIJNDAEL、128/256、SERPENT、TWOFISH、CAST256、SAFER+、LOKI97、
3DES のような強力の暗号アルゴリズムを使用しています。また、暗号化処理中
にはユーザは完全に暗号化、ハッシュ関数、圧縮のアルゴリズムを制御可能に
なりま。libGringotts は一時ファイルを暗号化する機能、および、安全にメモ
リを管理するための機能も提供します。
3. SEPPL v200210082244
作者: Mezcalero
関連するURL:
http://www.ring2.org/seppl/
動作環境: Linux, POSIX
まとめ:
SEPPL は IPv4 向けの新しい暗号化層のプロトコル定義、およびその実装ソフ
トウェアです。このソフトウェアは非常に負荷が少なく、操作が容易です。ま
た、このソフトウェアは Linux カーネル用に実装されており、netfiler およ
び Linux CryptoAPI を利用します。このソフトウェアは WEP の代替ソフトウェ
アとして意図されていますが、無線以外の LAN 上で同様に使用することも可能
です。まさに、VPN のソリューションに適しています。
4. Network-Accounting Daemon for Netfilter v0.2.1
作者: Hilko Bengen
関連するURL:
https://savannah.nongnu.org/projects/ulog-acctd/
動作環境: Linux, POSIX
まとめ:
ulog-acctd はユーザ領域で動作する、ネットワークトラフィック状態を調査す
る目的で収集されるログを生成するネットワーク管理デーモンです。
このソフトウェアは Linux 2.4 以上の netfilter を介するトラフィック内の
IP パケットのヘッダ情報を収集します。このソフトウェアは、プロトコルの種
類、送信元および送信先アドレス、ポート番号、バイト数、パケット数、そし
て入出力のあったインタフェースを含む統計情報をログファイルに記録します。
このツールを使用して Cisco 社の "IP accounting output packets" 形式のロ
グを容易に生成可能です。
5. MudPit v1.0
作者 Gene Savchuk savchuk@fidelissec.com
関連するURL:
http://www.fidelissec.com/mudpit/
動作環境: Linux, POSIX
まとめ:
MudPit は侵入検知システム Snort で利用されるスプールプロセッサです。
Barnyard project が開発中のソフトウェアに類似していますが、このソフトウェ
アは検知中に生成されるログおよびアラート双方を処理することが可能です。
容易なモジュール方式で信頼性があります。
6. SASL Library v0.0.0
作者 Simon Josefsson
関連するURL:
http://josefsson.org/libgsasl/
Platforms: POSIX
まとめ:
Libgsasl は IETF で規格化される容易な認証およびセキュリティ層 (SASL)
のフレームワークで特定の SASL メカニズムを実現するライブラリです。SASL
はクライアントから認証をリクエストするため、サーバ (IMAP や SMTP 等)
やサーバに対して認証を行うクライアント上で利用されています。
--
訳: 坂井順行(SAKAI Yoriyuki)、小笠原恒雄(OGASAWARA Tsuneo)、
石田暁久(ISHIDA Akihisa)、酒井美貴(SAKAI Miki)、
新町久幸(SHINMACHI Hisayuki)、森彩香(MORI Ayaka)
監修: 坂井順行(SAKAI Yoriyuki)
LAC Co., Ltd.
http://www.lac.co.jp/security/
smime.p7s