Security Focus Newsletter #21 1999-12-20 ->1999-12-26
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
Security Focus Newsletter 第 21 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
Security Focus Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
引用に関する備考:
・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて
います。
・Security Focus Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる
形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
Security Focus Newsletter 第 21 号
目次:
I. 初めに
1. Happy Holidays(日本語訳なし)
2. BindView & SecurityFocus.com announcement: COME PARTY ONLINE
WITH US THIS NEW YEAR'S EVE!(日本語訳なし)
3. New paper available from JG Glaser, "Analysis of a Remote
Attack on NT"
II. 今週の BUGTRAQ から
1. SCO Unixware i2odialogd Remote Buffer Overflow Vulnerability
2. MS Outlook Express for MacOS HTML Attachment Automatic Download
Vulnerability
3. Solaris DMI Denial of Service Vulnerabilities
4. Lotus Notes Domino Webserver CGI Vulnerabilities
5. Microsoft IIS Virtual Directory Naming Vulnerability
6. SCO LibX11/X11 Toolkit/Athena Widget Library Buffer Overflows
Vulnerability
7. FreeBSD WMMon Vulnerability
8. Microsoft IIS Escape Character Parsing Vulnerability
9. Microsoft IE external.NavigateAndFind() Cross-Frame
Vulnerability
10. RealServer 5.0 ramgen Denial of Service Vulnerability
11. ZBSoft ZBServer GET Buffer Overflow Vulnerability
III. PATCH UPDATES
1. MS Outlook Express for MacOS HTML Attachment
2. IIS Virtual Directory Naming
3. IIS Escape Character Parsing
4. IE external.NavigateAndFind() Cross-Frame
5. WMMon Privilege Problem
I. 初めに
- -----------
CORE SDI のご提供による Security Focus がお送りする週刊ニューズレター
の第 21 号へようこそ。
年末年始休暇期間を挟むため、この号は簡略版となっています。
1. Happy Holidays(日本語訳なし)
2. BindView & SecurityFocus.com announcement: COME PARTY ONLINE
WITH US THIS NEW YEAR'S EVE!(日本語訳なし)
3. New paper available from JG Glaser, "Analysis of a Remote
Attack on NT"
最新の Guest Feature の記事についてお知らせします。これは Windows NT
Server に対してどのように攻撃手段をみつけ、リモートコントロール手段を
握ってしまうのかについてのプロセスの完全な解説記事が公開されました。
記事の中では NT OBJECTives, Inc. の管理者による新しいツール、NTOMax
の紹介があり、パワーポイント形式でダウンロード可能です。
この記事は以下の URL から参照可能です。
http://www.securityfocus.com/templates/forum_message.html?forum=2&head=607&id=607
II. 今週の BUGTRAQ から 1999-12-20 から 19990-12-26
- ----------------------------------------------------
1. SCO Unixware i2odialogd Remote Buffer Overflow Vulnerability
BugTraq ID: 876
リモートからの再現性: あり
公表日: 1999-12-22
関連するURL:
http://www.securityfocus.com/bid/876
まとめ:
i20dialogd は i20 サブシステムのコントロールのためのフロントエンド処理
を行うデーモンである。これは SCO Unixware に含まれ、デフォルトで root
として実行されるようにインストールされる。
このデーモンの認証メカニズムには一連のバッファオーバーフローがある。
ユーザ名とパスワードを管理するバッファは 88 文字以上の長さに固定され、
境界チェックは成されていないため、スタックを破壊し、リターンアドレスを
上書きし、実行コードを注入し、意図的なコードを実行可能なのである。
なお、攻撃用コードはサーバに送り込む前に base 64 で符号化して送り込む
必要がある。
2. MS Outlook Express for MacOS HTML Attachment Automatic Download
Vulnerability
BugTraq ID: 883
リモートからの再現性: あり
公表日: 1999-12-22
関連するURL:
http://www.securityfocus.com/bid/883
まとめ:
MacOS 用の Outlook Express 5 は HTML メッセージに含まれた添付ファイル
をユーザに問い合わせることなく自動的にダウンロードしてしまう。
この問題はユーザがいかなるコードであっても強制的に自動実行してしまうこ
とではない。また、特定のフォルダへファイルをコピーしてしまうことでもな
いが、他の攻撃の補助手段となり得る。
しかも、ダウンロードされた文書のデフォルトの格納場所はデスクトップであ
り、ユーザによってより実行される頻度が高い場所なのである。
3. Solaris DMI Denial of Service Vulnerabilities
BugTraq ID: 878
リモートからの再現性: あり
公表日: 1999-12-22
関連するURL:
http://www.securityfocus.com/bid/878
まとめ:
DMI は Sun の Solaris で提供されている、デスクトップを管理するためのイ
ンタフェースであり、アプリケーション管理のためのプログラムの一部である。
DMI を使って管理されるアプリケーションは MIF データベース (/var/dmi/db)
にdmisp (DMI サービスプロバイダデーモン)によって管理される MIF レコード
を持つ。(管理可能なコンポーネントとプロパティについてのレコードである)
新しい MIF レコードの追加にあたっては一切認証は必要とされないため、いか
なるユーザであっても新しいレコードを追加可能である。
従って、以下に示す様な 2 方法の使用不能攻撃の状況を引き起こす可能性があ
る。
最初の問題の可能性は /var 以下のディスク容量である。デフォルトでは /var
以下には DMI データベースがどの程度容量を使ってよいのかについてなんら制
限は掛けられていないのである。この問題は他の弱点を隠蔽するためにログの
採取を妨害するため等に用いられる可能性がある。
第二の問題の可能性は MIF レコードが特定の大きさ以上の場合に dmispd が
バッファオーバーフローを起こしてしまうことである。
単なる使用不能攻撃のみならず、root としてリモートから意図的なコードの実
行を許してしまう攻撃の可能性がある。
4. Lotus Notes Domino Webserver CGI Vulnerabilities
BugTraq ID: 881
リモートからの再現性: あり
公表日: 1999-12-21
関連するURL:
http://www.securityfocus.com/bid/881
まとめ:
Lotus Domino Server の Web サーバコンポーネントに CGI のハンドリング方
法についての 3 種類の弱点が見つかった。
1: パス情報が入手可能
存在しない CGI プログラムを指定することにより、攻撃者はファイルシステ
ムの構造を入手可能である。
例:
要求されたURL:
http: //victimhost/cgi-bin/asdf
レスポンス:
Error 500
Bad script request
- -- no variation of 'c:/notes/data/domino/cgi-bin/asdf' is executable
2: 匿名アクセスが禁止できない
サーバにおいて、匿名アクセスを使用停止しても、 cgi-bin ディレクトリに
対しては許可権限が残ったままである。
3: CGI のエラー処理にバッファオーバーフローが発生
GET リクエストを非常に長い URL を cgi-bin ディレクトリを含んで与えた場
合、サーバはクラッシュしてしまう。いかなる長い文字列であっても問題を起
こすとは限らないが、以下の例で示すリクエストを与えた場合では問題が発見
された。
例:
GET /cgi-bin/[800 ','][4000 'a'] HTTP/1.0
5. Microsoft IIS Virtual Directory Naming Vulnerability
BugTraq ID: 882
リモートからの再現性: あり
公表日: 1999-12-21
関連するURL:
http://www.securityfocus.com/bid/882
まとめ:
Web ページのサーバーサイドの処理が特別の状況下でバイパスされてしまう弱
点が発見された。 .asp や類似のファイルが正しい拡張子を付けて仮想ディレ
クトリに格納されている場合にソースコードがクライアントのブラウザへ送ら
れてしまう。
IIS は Web 文書 のための URL の解釈にファイル名の拡張子を用い、なにより
もまず最初に URL 中に登録された拡張子があるかどうかで処理が判断される。
そこで、file: /webroot/docs.htm/some.asp の様なリクエストが存在するファ
イルへ与えられた場合、IIS はパスを解釈し、.htm という拡張子を仮想ディレ
クトリ docs.htm 中に発見する。そこで IIS は前処理を行わず、そのまま
some.asp ファイルをそのままブラウザへ送ってしまうのである。
6. SCO LibX11/X11 Toolkit/Athena Widget Library Buffer Overflows
Vulnerability
BugTraq ID: 884
リモートからの再現性: なし
公表日: 1999-12-20
関連するURL:
http://www.securityfocus.com/bid/884
まとめ:
SCO Openserver には X に関連する多くの共有ライブラリ内のバッファオーバー
フローに由来する弱点がある。このことはこれらのライブラリにリンクされた
すべてのプログラムが、問題があるこれらのライブラリを呼び出すことで攻撃
を受けてしまう弱点があることを示している。
弱点があるライブラリは以下のライブラリである。
LibX11
LibXt
LibXaw
LibXmu
実際にオーバーフローがあるのかどうかはまだ確かではなく、指摘された問題
は 1997 年 8 月に Bugtraq ID: 237 として指摘された問題と 1999 年 3 月に
Bugtraq ID: 238 として指摘された Sun の X に関する問題に類似している。
7. FreeBSD WMMon Vulnerability
BugTraq ID: 885
リモートからの再現性: なし
公表日: 1999-12-22
関連するURL:
http://www.securityfocus.com/bid/885
まとめ:
WMMon は複数のプラットフォーム管理用の Window 作成・管理用のアプリケー
ションである。このプログラムは CPU の負荷やディスクの利用状況といった、
有用な情報を観測する。また、このプログラムはマウスをクリックすることで
他のアプリケーションへの切り替えを設定することも可能である。
WMMon が set uid あるいは set gid でインストールされた場合、ユーザが定
義したアプリケーションへの切り替え実行後にも権限は取り除かれない。従っ
てユーザはいかなるコマンドも実行可能であるため、ユーザはシェルや他のプ
ログラムを WMMon がインストールされた権限で実行可能な状態になってしまう。
FreeBSD の ports に含まれる WMMon は set gid kmem であり、古いバージョ
ンでは set uid root である。
8. Microsoft IIS Escape Character Parsing Vulnerability
BugTraq ID: 886
リモートからの再現性: あり
公表日: 1999-12-21
関連するURL:
http://www.securityfocus.com/bid/886
まとめ:
IIS は正しく符号化されていない文字をエスケープ表現した文字列中で受け付
けてしまう。RFC 1738 に準拠した Web サーバは符号化された文字を % 記号
を使って表す。しかし、IIS は不適切な符号化済み文字列をそのまま受け入れ、
文字列中に含まれる文字を ASCII 文字列に変換してしまうのだ。
この弱点はサードパーティのアクセスコントロールシステムや攻撃発見システ
ムをすり抜けるための URL が作成できてしまうことを示している。
(URL の例としてはテキスト、正しい符号化文字列、誤まった符号化文字列が
考えられる)
この問題は IIS そのものを攻撃可能な状態に晒すものではない。
9. Microsoft IE external.NavigateAndFind() Cross-Frame Vulnerability
BugTraq ID: 887
リモートからの再現性: あり
公表日: 1999-12-22
関連するURL:
http://www.securityfocus.com/bid/887
まとめ:
window.external.NavigateAndFind() を利用することで、IE4、5、5.1 のロー
カルのセキュリティ権限でリモートマシンから意図的な Javascript を実行可
能になる弱点が発見された。
この関数は Web 上の文書の読み込みと指定された文字列の探し出し、探し出し
結果の新しいフレームへの出力に用いられる。しかし、この関数は Javascript
で作成された Form 中の URL を受け付けてしまい、関数に URL が与えられた
場合には、新しいフレーム中のセキュリティ権限で Javascript が実行されて
しまい、フレームの現在の権限でアクセスできてしまうのである。
この弱点を利用することで PWL ファイル、ローカルの SAM データベース、クッ
キー、他のユーザが読み出し可能なローカルに保存されている情報にアクセス
可能である。この弱点を利用した攻撃は Web や HTML 形式を使ったメール、
あるいはネットニューズを経由して行われる可能性がある。
10. RealServer 5.0 ramgen Denial of Service Vulnerability
BugTraq ID: 888
リモートからの再現性: あり
公表日: 1999-12-23
関連するURL:
http://www.securityfocus.com/bid/888
まとめ:
RealServer 5.0 は 4082 バイト以上の長さの ramgen リクエストを送ることで
クラッシュ可能である。RealServer ソフトウェアの再起動により通常の機能は
復旧可能である。
11. ZBSoft ZBServer GET Buffer Overflow Vulnerability
BugTraq ID: 889
リモートからの再現性: あり
公表日: 1999-12-23
関連するURL:
http://www.securityfocus.com/bid/889
まとめ:
ZBServer Pro 1.5 は GET リクエストを取り扱うコードに対して未チェックの
バッファを持っている。この弱点は意図的なコードの実行を許可してしまう。
III. パッチと更新 1999-12-20 から 19990-12-26
- ---------------------------------------------
1. ベンダ: Microsoft
製品: MS Outlook Express for MacOS
対策された弱点: MS Outlook Express for MacOS HTML Attachment
Automatic Download
BugTraq ID: 883
関連するURL:
http://www.securityfocus.com/bid/883
パッチの入手元:
http://www.microsoft.com/mac/download
備考:
このパッチには MacOS 用の Outloook Express 5 および Internet Explorer 5
の認証用の証明書が有効期限切れを起こしてしまう問題の修正も含まれる。
2. ベンダ: Microsoft
製品: IIS
対策された弱点: IIS Virtual Directory Naming
BugTraq ID: 882
関連するURL:
http://www.securityfocus.com/bid/882
パッチの入手元:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16378
alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16379
備考:
このパッチを適用することで、IISのURLの解釈方法が変更される。
従ってこのパッチを適用後、IISは仮想ディレクトリ内の文書に対して、正し
い拡張子が必要な場合にはエラーを返す様になる。
3. ベンダ: Microsoft
製品: IIS
対策された弱点: IIS Escape Character Parsing
BugTraq ID: 886
関連するURL:
http://www.securityfocus.com/bid/886
パッチの入手元:
Intel:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16357
Alpha:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=16358
4. ベンダ: Microsoft
製品: Internet Explorer
対策された弱点: IE external.NavigateAndFind() Cross-Frame
BugTraq ID: 887
関連するURL:
http://www.securityfocus.com/bid/887
他の解決方法
アクティブスクリプティングをOFFにする。
5. ベンダ: FreeBSD
製品: Windowmaker wmmon 1.0b2
対策された弱点: WMMon Privilege Problem
BugTraq ID: 885
関連するURL:
http://www.securityfocus.com/bid/885
パッチの入手元:
http://www.securityfocus.com/vdb/bottom.html?section=solution&vid=885
Translated by SAKAI Yoriyuki / LAC <URL: http://www.lac.co.jp/>
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>
iQA/AwUBOG9zJJQwtHQKfXtrEQIS+QCgo9lIoRkesGbmpDR8ZNtPJF9sDxwAoOMO
xs9+csf8BZvJFdZYpPN8vVxw
=qCZI
-----END PGP SIGNATURE-----