Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <199912201829.BIH80831.LBBJT@lac.co.jp> Date: Mon, 20 Dec 1999 18:29:58 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: Security Focus Newsletter #20 1999-12-13 ->1999-12-19 X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 Security Focus Newsletter 第 20 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 Security Focus Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - --------------------------------------------------------------------- - --------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて います。 ・Security Focus Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる 形式のハイパーリンクも上記に準じてください。 1) - --------------------------------------------------------------------- - --------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - --------------------------------------------------------------------- - --------------------------------------------------------------------- Security Focus Newsletter 第 20 号 目次: I. 初めに 1. 楽しい休暇をお過ごしください II. 今週の BUGTRAQ から 1. VDO Live Player Buffer Overflow Vulnerability 2. NT Syskey Reused Keystream Vulnerability 3. FreeBSD 'xsoldier' Buffer Overflow Vulnerability III. パッチと更新 1. NT LSA DoS (Phantom) 2. NT Syskey Reused Keystream 3. Multiple Cisco Cache Engine Attacks V. Security Focus の上位6位の記事 1. 暗号を待ちながら (1999年 12月 14日) 2. ネット上のプライバシー保護の道具は攻撃中 (1999年 12月 15日) 3. No.1クラッカーの攻撃の中に既知の弱点が見つかる (1999年 12月 16日) 4. Internet watchdog がまたもやクラック (1999年 12月 16日) 5. 法律に関する情報公開に関わるパンドラの箱問題 (1999年 12月 17日) 6. クラッカー、新聞の組版の上に現れる (1999年 12月 17日) V. 今週の INCIDENTS から 1. Windows Hack'a'Tack trojan and port 31789 (Thread) 2. portmap connection request (Thread) 3. Linux attacks (Thread) 4. strange port (Thread) 5. Massive udp scans -- looks like coordinated traceroutes (Thread) 6. named ADMROCKS exploit replacing sshd1 (Thread) 7. Probes and attempts from uni-duesseldorf.de (Thread) 8. Port 538 -- accident or design? (Thread) 9. new probe tool? DoS spoof? something else? (Thread) 10. Webserver /SmpDsBhgRl exploit? (Thread) 11. Yahoo comprimised? (Thread) 12. 7778? (Thread) 13. POP3 scan from Japan (Thread) 14. FYI -- wide, low-level probe of ... hosts (Thread) 15. Re: Scanning from 210.217.26.15 (Thread) 16. boredom? (Thread) 17. Port 53 (Thread) 18. Domains in .tr and .hk (Thread) 19. Scannings for socks, telnet and other ports (Thread) 20. What is it? (Thread) VI. 今週の VULN-DEV RESEARCH LIST から 1. rpcclient 2.0.5a crashed services.exe (Thread) 2. Wireless LANs ? VII. 求人情報(日本語訳なし) VIII. セキュリティ調査 IX. Security Focus が選ぶ上位6位のツール 1. SecurityFocus.com Pager (Windows 95/98 and Windows NT) 2. SpyNet 3.0 (Windows 95/98 and Windows NT) 3. Webcracker 4.0 (Windows 95/98 and Windows NT) 4. gfcc (GTK+ Firewall Control Center) 0.7.3 (Linux) 5. Bastille Linux 1.0 (Linux) 6. exo 0.3 (Linux and Solaris) I. 初めに - --------- CORE SDI のご提供による Security Focus がお送りする週刊ニューズレター の第 20 号へようこそ。 http://www.core-sdi.com 1. 楽しい休暇をお過ごしください 年末のこの時期、 SecurityFocus.com より慎んで皆様にこのよき日の喜びを 謹んで申し上げます。 年始までの間にもう 1 号週間ニューズレターをお送りする予定ですが、年末 年始期間が挟まるため、内容については一部割愛してお伝えします。 これは繰り返しではありますが、改めて、 SecurityFocus.com へのご支援を 心より感謝いたします。 敬具 SecurityFocus.com スタッフ一同 II. 今週の BUGTRAQ から 1999-12-13 から 1999-12-19 まで - -------------------------------------------------------- 1. VDO Live Player Buffer Overflow Vulnerability BugTraq ID: 872 リモートからの再現性: あり 公表日: 1999-12-13 関係するURL: http://www.securityfocus.com/bid/872 まとめ: VDOLive Player v3.02には未チェックのバッファがあり、特別に加工された .vdo ファイルが読み込まれた際に意図的なコードを実行してしまう可能性が ある。 2. NT Syskey Reused Keystream Vulnerability BugTraq ID: 873 リモートからの再現性: あり 公表日: 1999-12-16 関係するURL: http://www.securityfocus.com/bid/873 まとめ: Syskey ユーティリティは Service Pack 3 以降に含まれる SAM データベース をオフライン状態でのブルートフォース攻撃から保護する道具である。 以前のバージョンでは、暗号化された SAM データベースを入手できた場合、 リモートマシンのパスワードをクラックすることができた。実際にリモートマ シンのパスワードをクラックする道具は何種類か公開済みである。 しかし、Syskey はデータベースの暗号化機能を強化し、パスワードをクラック するための演算には実際上とてつもなく多くの時間が必要な様にしてしまうの である。 Syskey は独立した RC4 のキーストリームをユーザ毎にユーザの RID と関係づ けて作成する。しかし、LMHash と NTHash 用のパスワードを暗号化するために 同じキーストリームを使ってしまうのである。(ハッシュをわかりにくくした後 にこの処理が行われる) これは以前の 2 種類のパスワードの保存形式と同じで ある。(SAM の項目中のパスワードヒストリーへの記録である) キーストリームが再利用されてしまうため、数式からパスワードを入手可能で ある。 最終的に、Syskey で暗号化されたパスワードのハッシュは互いに XOR 演算さ れる。その際、暗号化以前にハッシュを XOR 演算した結果は同じであることが 期待されている。これは、もしも標準的な Windows NT の暗号化プロセスによっ てあるパスワードが暗号化され、ハッシュがわかりにくくされた場合、2 種類の ハッシュは XOR 演算され、Syskey のハッシュの XOR 演算と比較され、あるパ スワードが正しいかどうかを判断されるためである。 なお、ユーザに依存したアルゴリズムの利用も破綻が見える。7 文字以下の文 字列からなるすべてのパスワードも類推可能である。そして、ハッシュリスト を事前に演算していた場合、それはどのようなマシンに対しても有効なのであ る。これらの結果から 7 文字以下のパスワードの LMHash の後ろ半分は既知の 状態になってしまう。従って NTHash の後ろ半分を入手するために以前のXOR 演算の結果と XOR 演算可能なのである。NTHash はその後、ディクショナリー ファイルのハッシュ化されたパスワードと比較されるのである。 3. FreeBSD 'xsoldier' Buffer Overflow Vulnerability BugTraq ID: 871 リモートからの再現性: なし 公表日: 1999-12-15 関係するURL: http://www.securityfocus.com/bid/871 まとめ: 特定のバージョンの FreeBSD (FreeBSD 3.3-RELEASE のみテスト済みである) に含まれる X11 で動作するゲームのパッケージの実行バイナリには弱点があ る。この問題があるバイナリは xsoldier であり、 X のコンソールで動作す るために setuid root に設定されている。 このバイナリはバッファオーバーフロー攻撃を受け、 root 権限を入手できて しまえる種類の代物である。(コマンドラインからの実行により) オーバーフローは -display オプションを取り扱う部分のコードにあり、ユー ザが指定した長い文字列によってオーバーフロー可能である。 III. パッチと更新 1999-12-13 から 1999-12-19 まで - ------------------------------------------------- 1. ベンダ: Microsoft 製品: Windows NT 対策された弱点: NT LSA DoS (Phantom) BugTraq ID: 465 関係するURL: http://www.securityfocus.com/bid/465 http://www.microsoft.com/security/bulletins/ms99-057.asp http://support.microsoft.com/support/kb/articles/q248/1/85.asp パッチの入手元: x86: http://www.microsoft.com/downloads/release.asp?ReleaseID=16798 Alpha: http://www.microsoft.com/downloads/release.asp?ReleaseID=16799 2. ベンダ: Microsoft 製品: Windows NT 対策された弱点: NT Syskey Reused Keystream BugTraq ID: 873 関係するURL: http://www.securityfocus.com/bid/873 http://www.microsoft.com/security/bulletins/ms99-056.asp http://support.microsoft.com/support/kb/articles/q143/4/75.asp パッチの入手元: Microsoft's hotfix page: x86: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16798 Alpha: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16799 Direct hotfix download links: x86: http://download.microsoft.com/download/winntsp/Patch/syskey/ NT4/EN-US/Q248183.exe Alpha: http://download.microsoft.com/download/winntsp/Patch/syskey/ ALPHA/EN-US/Q248183.exe 3. ベンダ: Cisco 製品: Cisco Cache Engine 対策された弱点: Multiple Cisco Cache Engine Attacks BugTraq ID: N/A (現在まだ収録されていない) 関係するURL: http://www.cisco.com/warp/public/707/cacheauth.shtml パッチの入手元: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/ webcache/ce17/ver17/wc17man.htm IV. Security Focus の上位6位の記事 - ---------------------------------- 以下に再掲した記事は SecurityFocus.com の Web サイトで他と比較してより 参照された率が高い記事です。 1. 暗号を待ちながら (1999年 12月 14日) 内容: クリントン政権のコンピュータ上のデータの暗号化製品の米国からの輸出を緩 和する新しい規則の発表は約一ヶ月遅れる、と商務省はこの月曜日に以前公表 した12月 15日の発表の締め切り日にあたって発表した。 URL: http://www.wired.com/news/politics/0,1283,33061,00.html 2. ネット上のプライバシー保護の道具は攻撃中 (1999年 12月 15日) カナダにあるある小さな企業が電子メールの送付中、チャットの利用中、Web の利用中に完全な匿名性を保証するサービスを提供し始めた。 このサービスはインターネットの利用者に機密性を持った通信や商取引のため のよりよいプライバシーを提供するものではあるが、良心を離れた無意味な批 判を受けるだけの電子メールの送信や子供のポルノ写真や海賊版ソフトウェア の交換に用いられてしまうことが危惧される。 URL: http://www.technologypost.com/internet/DAILY/19991215090451692.asp? Section=Main 3. No.1クラッカーの攻撃の中に既知の弱点が見つかる (1999年 12月 16日) この 2 年間の間にクラッカーの数は非常に増加している。その中の頂点は Internet Internet グループの代表、ankle biters として知られる Ira Winkler である。彼はシステムの管理者が全く忙しくない場合、管理者が担当 しているプリンタを起動し、使えない様にできてしまう、と語った。 (訳注:hackerという語句が原文では使われていますが、本来の意にそぐわない ため、対象を明確にする用語で訳しています。hackerに攻撃者の意味があると 考えることは無意味であると訳者は考えます。) URL: http://www.idg.net/idgns/1999/12/15/ KnownVulnerabilitiesAreNo1Hacker.shtml 4. Internet watchdog がまたもやクラック (1999年 12月 16日) 審議中のインターネットの監視政策を政府が広報していたオーストラリア放送 協会の Web サイトは三回に渡ってクラックを受けた。 (訳注:hack という語句が原文では使われていますが、本来の意にそぐわない ため、対象を明確にする用語で訳しています。hack に攻撃者の意味があると 考えることは無意味であると訳者は考えます。) URL: http://www.it.fairfax.com.au/breaking/19991216/A41879-1999Dec16.html 5. 法律に関する情報公開に関わるパンドラの箱問題 (1999年 12月 17日) 公共に対する財政問題に関する情報公開についての連邦政府の決定を伝える ニュース提供をインターネット上で公開されている文書の公開を停止する目 的のために拒否するのは法に則していると思うだろうか? この問題についての法学者の意見は「はい、いいえ、そしてたぶん」である。 URL: http://www.apbnews.com/cjsystem/findingjustice/1999/12/16/ judges_legal1216_01.html 6. クラッカー、新聞の組版の上に現れる (1999年 12月 17日) 新聞、Express 誌はクラッカーが新聞社の arch-rival 社製コンピュータシス テムに持ち込んだ内容の組版を阻止した。 (訳注:hacker という語句が原文では使われていますが、本来の意にそぐわない ため、対象を明確にする用語で訳しています。hacker に攻撃者の意味があると 考えるのは無意味であると訳者は考えます。) URL: http://www.theregister.co.uk/991217-000007.html V. 今週の INCIDENTS から 1999-12-13 から 1999-12-19 まで - -------------------------------------------------------- 1. Windows Hack'a'Tack trojan and port 31789 (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8&msg=000001bf45ad$049cb1e0$0200a8c0@Computer1 2. portmap connection request (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8& msg=Pine.LNX.4.10.9912131533490.22467-100000@wr5z.localdomain 3. Linux attacks (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8&msg=38553043.598C9072@cc.ttu.ee 4. strange port (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75& date=1999-12-8&msg=000101bf4660$5fd061c0$4510a8c0@latinalezzie 5. Massive udp scans -- looks like coordinated traceroutes (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8& msg=Pine.NEB.4.05.9912142238390.24618-100000@vals.intramed.rito.no 6. named ADMROCKS exploit replacing sshd1 (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8& msg=Pine.LNX.4.10.9912150510040.20239-100000@entropy.muc.muohio.edu 7. Probes and attempts from uni-duesseldorf.de (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-8& msg=Pine.LNX.4.05.9912151310590.29975-100000@biocserver.BIOC.CWRU.Edu 8. Port 538 -- accident or design? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=199912151928.OAA30344@netspace.org 9. new probe tool? DoS spoof? something else? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15& msg=17996643.945312662910.JavaMail.imail@seamore.excite.com 10. Webserver /SmpDsBhgRl exploit? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=38588FDC.6108349B@luna.cs.unm.edu 11. Yahoo comprimised? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15& msg=19991216144254.11286.qmail@securityfocus.com 12. 7778? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15& msg=XFMail.991217020818.Mike.Murray@utoronto.ca 13. POP3 scan from Japan (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=31933968789DD111BEAB0080C81D384CE94C@CT_NT 14. FYI -- wide, low-level probe of ... hosts (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15& msg=Pine.GUL.4.21.9912171349220.10893-100000@red2.cac.washington.edu 15. Re: Scanning from 210.217.26.15 (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=199912172014.OAA28234@rgfsparc.cr.usgs.gov 16. boredom? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=199912171838.NAA13839@disney.Biw.COM 17. Port 53 (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=385A51D3.D7221678@princeton.edu 18. Domains in .tr and .hk (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=0bfa01bf4937$d0dd3490$0201a8c0@aviram 19. Domains in .tr and .hk (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15&msg=0bfa01bf4937$d0dd3490$0201a8c0@aviram 20. Scannings for socks, telnet and other ports (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike?list=75& date=1999-12-15& msg=Pine.LNX.4.21.9912181509150.2934-100000@firewall.anowak.priv.pl 21. What is it? (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike? list=75&date=1999-12-15& msg=Pine.LNX.4.10.9912190109150.5412-100000@apollo.gestrike-linjen.x.se VI. 今週の VULN-DEV RESEARCH LIST から 1999-12-13 から 1999-12-19 まで - ---------------------------------------------------------------------- 1. rpcclient 2.0.5a crashed services.exe (Thread) 関係するURL: http://www.securityfocus.com/templates/archive.pike?list=82& date=1999-12-8&msg=3855E805.A72A85AE@thievco.com 2. Wireless LANs ? 関係するURL: http://www.securityfocus.com/templates/archive.pike?list=82& date=1999-12-8&msg=19991214142605.U26666@hogia.net VII. 求人案内(日本語訳なし) - ---------------------------- VIII. セキュリティ調査 1999-12-13 から 1999-12-19 まで - ------------------------------------------------------- 1999-12-13 から 1999-12-19 までは以下の質問であった。 「Melissa ウィルスの作者、David Smith は収監されるべきでしょうか?」 はい 34% / 25 票 いいえ 65% / 47 票 全投票数: 72 票 IX. Security Focus が選ぶ上位6位のツール 1999-12-13 から 1999-12-19 まで - ----------------------------------------- 1. SecurityFocus.com Pager 著者:SecurityFocus.com URL: http://www.securityfocus.com/pager/sf_pgr20.zip プラットフォーム: Win95/98/NT ダウンロード数: 2490 このプログラムはユーザの皆様にブラウザを開き、コンテンツ内容を確認する ことなしに Security Focus が提供する Web サイトに追加された項目を確認 できる環境を提供します。 バックグラウンドで控えながら、ユーザが指定した周期でコンテンツを確認し、 システムトレイ内の点滅するアイコン、ポップアップメッセージ、これらの両 方で変更をお知らせします。(通知方法は設定可能です) 2. SpyNet 3.0 著者:Nicula Laurentiu URL: http://members.xoom.com/Laurentiu2/ プラットフォーム: Windows 95/98 および Windows NT ダウンロード数: 2096 SpyNet は取り込んだ内容をそのまま逐次的に再構築できるスニファプログラ ムです。 HTTP、POP3、telnet、login 等が対象です。 SpyNet はどの様なト ラフィックがご自身のシステム内を通過するのかを観測します。 もしもクラッカーがシステムに侵入しつつある場合、ファイヤウォールは様々 な状況を報告することでしょう。しかしスニファプログラムは証拠を捕らえる 事ができるのです。現在までの間、肉眼で証拠を捕らえる事は難しいのです。 しかし SpyNet は打鍵状態と動きそのものを逐次的に再構築できます。 3. Webcracker 4.0 著者:Daniel Flam, info@webcracker.net URL: http://www.webcracker.net プラットフォーム: Windows 95/98 and Windows NT ダウンロード数: 1834 このソフトウェアでご自身の制限機能がある Web サイトについて、認証済み のユーザだけが利用可能であることをテスト可能です。 Webcracker は Web サイト上の id とパスワードの組をテスト可能なセキュリ ティツールです。もしもユーザのパスワードをこのプログラムによって類推可 能な場合、実際それはクラッカーにとっても可能なのです。 Webcracker は未知の攻撃者にとって攻撃を受ける前に弱点を発見し、修正する 助けとなります。 (訳注:hacker という語句が原文では使われていますが、本来の意にそぐわない ため、対象を明確にする用語で訳しています。hacker に攻撃者の意味があると 考えるのは無意味であると訳者は考えます。) 4. gfcc (GTK+ Firewall Control Center) 0.7.3 著者:Koo Kyoseon, icarus@autostock.co.kr URL: http://icarus.autostock.co.kr/ プラットフォーム: Linux ダウンロード数: 1750 Gfcc は ipchains パッケージを利用した Linux で構築されたファイヤウォー ルのポリシーとルールを制御可能なツールです。 5. Bastille Linux 1.0 著者:Bastille Linux Project URL: http://bastille-linux.sourceforge.net/ プラットフォーム数: Linux ダウンロード数: 1638 Bastille Linux はセキュリティを専門としていなく、知識も少ないものの、 よりセキュアな Linux のディストリビューションを求めている人々に向いた ディストリビューションです。 私たちのゴールは既存の多くの支持があるディストリビューションに由来する よりセキュアなディストリビューションの作成です。現在は RedHat 6.0 のイ ンストール直後にすぐに実行されねばならない包括的なセキュリティ強化プロ グラムを提供しています。このプログラムは他と比較して最も際立っていて、 実行されるすべての動作はオプションとして与えることが可能であり、非常に 柔軟性に富んでいて、インストール時の回答に答える前に管理者へ必要な情報 を提供します。このインタラクティブな機能がセキュア化の内容が捕らえられ ない管理者にセキュア化の過程を通して教育的内容を提供します。 6. exo 0.3 著者:Mixter, mixter@newyorkoffice.com URL: http://1337.tsx.org プラットフォーム: Linux および Solaris ダウンロード数: 1204 exo は列挙されたコンピュータで提供されているポートの範囲を調査します。 このツールはローパケットを送信し、2 種類の異なるスレッドで応答を待ちう けます。この方法で exo は遅延なく開いているポートを発見可能です。 ご自身のお使いの回線のバンド幅が許す範囲で、効果的なポート番号の発見が 可能になります。 Translated by SAKAI Yoriyuki / LAC -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use iQA/AwUBOF14hpQwtHQKfXtrEQI6AwCgr5HZRAfF3p957WXL+UJ9L5X2sbQAnRNO By24ijIF+phJE9ehy0AcF/1G =kbFS -----END PGP SIGNATURE-----