Approved-By: n-miwa@LAC.CO.JP
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Message-ID:  <200001041616.BHE90877.JLBTB@lac.co.jp>
Date:         Tue, 4 Jan 2000 16:16:15 +0900
Reply-To: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
From: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Subject:      Security Focus Newsletter #22 1999-12-27 -> 2000-01-02
To: BUGTRAQ-JP@SECURITYFOCUS.COM

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

Security Focus Newsletter 第 22 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

Security Focus Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>

- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
引用に関する備考:
・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて
  います。
・Security Focus Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる
  形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
Security Focus Newsletter 第 22 号
目次:

I. 初めに
1. New Paper - A look at whisker's anti-IDS tactics by Rain Forest Puppy
II.  今週の BUGTRAQ から
1. MacOS 9 Open Transport ICMP Vulnerability
2. aVirt Rover POP3 Server Buffer Overflow DoS Vulnerability
3. CSM Mailserver HELO Buffer Overflow Vulnerability
4. AltaVista Search Engine Directory Traversal Vulnerability
5. Savant Web Server NULL Vulnerability
6. Mini-SQL w3-msql Buffer Overflow Vulnerabilities
7. InterScan VirusWall Scan Evasion Vulnerability
8. IBM Network Station Manager Race Condition Vulnerability
9. SCO Unixware pis/mkpis Symbolic Link Vulnerability
10. Majordomo Local resend Vulnerability
11. Majordomo Local -C Parameter Vulnerability
12. Optivity NETarchitect PATH Vulnerability
13. CamShot GET Buffer Overflow Vulnerability
14. AnalogX SimpleServer:WWW GET Buffer Overflow Vulnerability
15. Netscape FastTrack Server GET Buffer Overflow Vulnerability
16. IRIX midikeys/soundplayer Vulnerability
17. Ascend CascadeView tftpd Symbolic Link Vulnerability
III. パッチと更新
1. AltaVista Search Engine Directory Traversal
2. Internet Anywhere Mail Server
3. InterScan VirusWall Scan Evasion
4. FuseWare FuseMail POP Mail Buffer Overflow
5. SCO Unixware i2odialogd Remote Buffer Overflow
6. SCO Unixware pkginstall/pkgcat Buffer Overflow
7. SCO UnixWare 'xauto' Buffer Overflow
IV.  Security Focus の上位6位の記事
1. CIH virus author gets a job (Thu Dec 30 1999)
2. Script virus looks to ring in new year (Sat Jan 01 2000)
3. Hacker Disrupts Lloyds Web Site (Sun Jan 02 2000)
4.  Security loses to holiday rush (Mon Jan 03 2000)
5. Information theft losses double in three years (Mon Jan 03 2000)
6. Privacy Complaint Against Amazon (Mon Jan 03 2000)
V.  今週の INCIDENTS から
1. Re: Windows Hack'a'Tack trojan and port 31789 (Thread)
2. Re: Spam attack or DOS attack on Thursday (Thread)
3. Re: Interesting... (Thread)
4. Re: named ADMROCKS exploit replacing sshd1 (Thread)
5. Re: Webserver /SmpDsBhgRl exploit? (Thread)
6. Re: IMAP2 PROBE (Thread)
7. Re: ICMP time exceed in-transit packets (Thread)
8. extensive portscan incident (Thread)
9. Re: weird combo: port 65301/tcp and 22/udp (Thread)
10. ADMROCKS versus named (Thread)
11. ADMROCKS - We have it all backwards. (Thread)
12. interesting attempt at intrusion (Thread)
13. Source Host 0.0.0.0 (Thread)
14. Large number of BIND probes. (Thread)
15. Re: Attempted Sendmail attack? (Thread)
16. Strange connection attempts to port 1975 (Thread)
17. [Re: interesting attempt at intrusion] case solved! (Thread)
18. UDP Packets to Port 28431 (Thread)
20. Port Scan on 371... (Thread)
21. Y2K bug in Shadow IDS (Thread)
22. correlation between porscans and local activity (Thread)
23. Computer Forsenics (Thread)
24. Writeup: it. TLD going astray (Thread)
25. port 119 (Thread)
VI. 今週の VULN-DEV RESEARCH LIST から
1. Re: ssh quirks... (Thread)
2. Re: BSD chfn bug (Thread)
3. leaky kernel ? ;) (Thread)
4. Unix * weirdness (Thread)
5. Re: iishack/tesoiis.c - What's wrong ? (Thread)
VII.  求人案内(日本語訳なし)
VIII.  セキュリティ調査
IX. Security Focus が選ぶ上位6位のツール
1. SecurityFocus.com Pager (Win95/98/NT)
2. Bastille Linux 1.0 (Linux)
3. TCPView (95/98 and Windows NT)
4. NmapFE 0.9.5 (Linux)
5. VeteScan 12.26.99 (UNIX)
6. SuperScan 2.06 (Windows 2000 and Windows 95/98)

I.   初めに
- -----------

CORE SDI のご提供による Security Focus がお送りする週刊ニューズレター
の第 22 号へようこそ。

1. 新着記事 - A look at whisker's anti-IDS tactics by Rain Forest Puppy

1999年 12月 23日、 rain forest puppy は Web サーバの弱点探査ツール Whisker
の最新版をリリースしました。この最新版 (v1.3.0a) には攻撃発見ツールの裏
をかくための技術が搭載されています。この記事では何に対して Whisker が動
作するのか、どのように、そしてなぜ Whisker は動作するのか、攻撃発見ツー
ルが裏をかく技法を見抜く可能性について述べています。
この記事は以下の URL から参照可能です。

http://www.securityfocus.com/templates/forum_message.html?
forum=2&head=670&id=670

II.  今週の BUGTRAQ から 1999-12-27 から 2000-01-02 まで
- --------------------------------------------------------


1. MacOS 9 Open Transport ICMP Vulnerability
BugTraq ID: 890
リモートからの再現性: あり
公表日: 1999-12-29
関連するURL:
http://www.securityfocus.com/bid/890
まとめ:

MacOS 9 に含まれる Open Transport の実装には攻撃者が Macintosh を他の
コンピュータへの使用不能攻撃の増幅器として使えるようにしてしまう弱点が
ある。

特別に作成された 29 バイトの udp パケットを MacOS 9 が動作している
Macintosh に送付した際、Macintosh は 1500 バイトの ICMP パケットを応答
する。もし、最初に送付したパケットが偽造された第三者の IP アドレスの場
合、かつ、何台かの MacOS 9 が動作する Macintosh に向けて送られた場合、
該当する IP アドレスのコンピュータに対する効果的なバンド幅の食いつぶし
を使った使用不能攻撃が可能である。

2. aVirt Rover POP3 Server Buffer Overflow DoS Vulnerability
BugTraq ID: 894
リモートからの再現性: あり
公表日: 1999-12-27
関連するURL:
http://www.securityfocus.com/bid/894
まとめ:

aVirt 社の Rover POP3 mailserver にはユーザ名を読み取るコードに未チェッ
クのバッファがあるためリモートから使用不能攻撃が可能な弱点がある。
もし、10000 文字を越えるユーザ名が指定された場合、その次に誰かが接続を
行う際にサーバはクラッシュしてしまう。

3. CSM Mailserver HELO Buffer Overflow Vulnerability
BugTraq ID: 895
リモートからの再現性: あり
公表日: 1999-12-29
関連するURL:
http://www.securityfocus.com/bid/895
まとめ:

CSM Mailserver には HELO コマンドを取り扱うコードに未チェックのバッファ
があり、12000 バイトを越える HELO コマンドを与えられた際にクラッシュを
おこしてしまう。

4. AltaVista Search Engine Directory Traversal Vulnerability
BugTraq ID: 896
リモートからの再現性: あり
公表日: 1999-12-29
関連するURL:
http://www.securityfocus.com/bid/896
まとめ:

AltaVista Search engine にはポート番号 9000 で検索要求を受け付けるため
の Web サーバがある。主検索機能には '../' という文字列を要求文字列に含
められてしまうため、http で公開しているディレクトリより一階層上の階層
をアクセスできてしまう。一階層上の階層には管理用の情報、例えばリモート
管理用のパスワード等が多く記録されている。パスワードは base64 で符号化
されているため、簡単に平文に復号化でき、攻撃者はサーチエンジンに対して
リモートからの管理権限を奪取できてすまう可能性がある。

5. Savant Web Server NULL Vulnerability
BugTraq ID: 897
リモートからの再現性: あり
公表日: 1999-12-28
関連するURL:
http://www.securityfocus.com/bid/897
まとめ:

Savant Webserver は GET リクエストに含まれる null 文字に対して十分な取
り扱いが成されていない。null 文字があった場合、クラッシュしてしまう。
この弱点に関する記録は以下で示すパスのファイルに記録される。
<savant_path>\Logs\general.txt .

6. Mini-SQL w3-msql Buffer Overflow Vulnerabilities
BugTraq ID: 898
リモートからの再現性: あり
公表日: 1999-12-27
関連するURL:
http://www.securityfocus.com/bid/898
まとめ:

w3-msql は Mini-SQL に含まれる CGI プログラムであり、msql に対する Web
インタフェースを提供する。しかし、少なくとも一つは攻撃対象となり得る、
バッファオーバーフローを引き起こす弱点を抱えている。攻撃対象となり得る
バッファは content-length フィールドであり、スタックは scanf() が呼ば
れる際にオーバーフローを引き起こす。
結果として、Web サーバの uid (通常 nobody) で意図的なコードをリモート
から実行できてしまう可能性がある。

7. InterScan VirusWall Scan Evasion Vulnerability
BugTraq ID: 899
リモートからの再現性: あり
公表日: 1999-12-27
関連するURL:
http://www.securityfocus.com/bid/899
まとめ:

Trend Micro 社製のウィルスチェックツール、InterScan VirusWall は電子メー
ルで感染するウィルスや危険なプログラムの感染を阻止する様に設計されたツー
ルである。これを実現するため、ウィルスのシグネチャと合致する SMTP トラ
フィックのフィルタリングを行う。しかし、改竄された電子メールに添付され
た文書中に意図的なコードが存在した場合、スキャニングを回避可能なのであ
る。
一つ以上の '=" 文字が base64 で符号化された添付ファイルの終端部分にある
場合、 InterScan はデータのスキャンに失敗し、未チェックのままで通過を許
可してしまうのである。しかし、InterScan はエラーを起こしたままで通過さ
せた場合にはログへ記録を行う。以下の様なログが記録される。

base64: Unexpected EOF seen

NewApt ワームはこの弱点を突いた攻撃として知られる。

8. IBM Network Station Manager Race Condition Vulnerability
BugTraq ID: 900
リモートからの再現性: なし
公表日: 1999-12-27
関連するURL:
http://www.securityfocus.com/bid/900
まとめ:

IBM の Network Station Manager は IBM Network Stations の状態の管理を
行うクライアント/サーバ型アプリケーションである。このプログラムには、
NetStation デーモンが動作するホストの root 権限を奪取できてしまう弱点
がある。
root 権限で動作する NetStation は /tmp に一時ファイルを予想可能な固定
の現在のシステム時間を元にしたファイル名で作成し、競合条件に打ち勝った
場合、 root 権限を奪取可能な競合状態を作り出せる。
シンボリックリンクを予想したファイル名で作成し、例えば /.rhosts にリン
ク先を向けておく場合、NetStation は /.rhosts に書き込んでしまう。
その状態では攻撃者は ++ を /.rhosts に記入できてしまうため、その後 root
に .rhosts の所有者を変更後、 rlogin あるいは rsh を使って root 権限で
ログインできてしまう。

9. SCO Unixware pis/mkpis Symbolic Link Vulnerability
BugTraq ID: 901
リモートからの再現性: なし
公表日: 1999-12-27
関連するURL:
http://www.securityfocus.com/bid/901
まとめ:

UnixWare の mkpis と pis バイナリのシンボリックリンクに対する弱点を利用
し、sys グループの所有権がある意図的なファイルの作成が可能である。
mkpis/pis は /tmp/pisdata という sys グループに所有権があるファイルを作
成する。作成時にはすでに該当するファイルの有無や他の場所へのシンボリッ
クリンクの有無は確認していない。そのため、mkpis/pis はシンボリックリン
クを辿ってしまい、リンクされた先のファイルを上書きしてしまう。/sbin は
sys グループにより書き込み可能であるため、事後にシステム全体を危険に晒
す可能性がある、改竄されたバイナリで上書き可能である。
(/sbin は既定値でサーチパスの最初に設定されている)

10. Majordomo Local resend Vulnerability
BugTraq ID: 902
リモートからの再現性: なし
公表日: 1999-12-28
関連するURL:
http://www.securityfocus.com/bid/902
まとめ:

majordomo に含まれるバイナリ、resend を攻撃することで権限の上昇を伴う意
図的なコマンドの実行が可能である。
set uid root の状態でインストールされているラッパープログラムは resend
を setuid() と setgid() で権限の下降を行った上で実行する。(しかし、権限
は高いままである) resend には open() が含まれ (これは perl で記述された
プログラムである)、open() の引数の最初に '|' があった場合、シェルコマン
ドを実行可能である。例えばそれが '@|shell;commands;here' であった場合、
シェルコマンドは resend の権限で実行されてしまう。

11. Majordomo Local -C Parameter Vulnerability
BugTraq ID: 903
リモートからの再現性: なし
公表日: 1999-12-29
関連するURL:
http://www.securityfocus.com/bid/903
まとめ:

ローカルユーザが majoromo の権限を意図的なコマンドの実行により奪取可能
な弱点が発見された。もし -C 引数が set uid root で動作している majorodmo
に引き渡された場合、-C に続く引数の内容は majordomo の権限で動作してし
まう。

以下の例は Olaf Kirch <okir@monad.swb.de> 氏が Bugtraq に投稿した内容で
ある。

shevek@tirin ~$ cat foo.pl
system("/bin/csh");
shevek@tirin ~$ /usr/local/majordomo/wrapper majordomo -C /home/shevek/foo.pl
%
%whoami
majordom

12. Optivity NETarchitect PATH Vulnerability
BugTraq ID: 907
リモートからの再現性: なし
公表日: 1999-12-30
関連するURL:
http://www.securityfocus.com/bid/907
まとめ:

NETarchitect は ネットワークスイッチの設定の設計と組合わせ方法を単純化
するためのアプリケーションである。これは Nortel Networks が製造し、
Optivity Network 設定システムの一部である。
このユーティリティが動作している HP-UX (Solaris でも同様の可能性がある)
では root 権限を /opt/bna/bin/bna_pass のパスの取り扱い方法を攻撃する事
で奪取できてしまう弱点がある。
bna_pass は利用者のパス環境変数が正しいと仮定して rm コマンドを実行する。
このため、have bna_pass はパス環境変数が変更された場合、意図的なバイナ
リを root 権限で実行可能である。悪意あるユーザは . (カレントディレクト
リ)をパス環境変数へ含ませ、悪意あるユーザ自身のバイナリをコマンドに発見
させる。そしてパスに見つかった他のコマンドに先駆けてカレントディレクト
リのコマンドを実行させる。従って、不正な rm コマンドは実行され、システ
ムを危険な状態に晒してしまう。

13. CamShot GET Buffer Overflow Vulnerability
BugTraq ID: 905
リモートからの再現性: あり
公表日: 1999-12-30
関連するURL:
http://www.securityfocus.com/bid/905
まとめ:

CamShot はコンピュータに接続されたビデオカメラと組み合わせて動作する Web
サーバである。このソフトウェアはクラッシュを引き起こし、意図的なコード
の実行を許可してしまう弱点がある。これは GET リクエストが 2000 バイト
以上の場合に生じる。

14. AnalogX SimpleServer:WWW GET Buffer Overflow Vulnerability
BugTraq ID: 906
リモートからの再現性: あり
公表日: 1999-12-31
関連するURL:
http://www.securityfocus.com/bid/906
まとめ:

AnalogX の WWW personal webserver package に含まれる SimpleServer には
バッファオーバーフローを引き起こす弱点がある。1000 バイトを越える GET
リクエストを受け取った場合、サーバはクラッシュし、リクエストから与えら
れたデータは EIP へ与えられる。この事は意図的なコードを実行させるため
の攻撃が可能である事を示している。

15. Netscape FastTrack Server GET Buffer Overflow Vulnerability
BugTraq ID: 908
リモートからの再現性: あり
公表日: 1999-12-31
関連するURL:
http://www.securityfocus.com/bid/908
まとめ:

UnixWare 7.1 に含まれる Netscape  FastTrack server にはリモートからの
バッファオーバーフロー可能な弱点がある。デフォルトでは、UnixWare 上 の
httpd はポート番号 457 で接続を待ちうけ、文書を公開する。もしも、367
文字を越える GET リクエストを与えた場合、スタックが溢れ、 EIP が上書き
されてしまう。従って、意図的なコードが httpd の権限 (通常 nobody) で実
行可能である。

16. IRIX midikeys/soundplayer Vulnerability
BugTraq ID: 909
リモートからの再現性: なし
公表日: 1999-12-31
関連するURL:
http://www.securityfocus.com/bid/909
まとめ:

SGI の IRIX OS では X で動作する .WAV ファイルを再生するための soundplayer
というアプリケーションを提供している。このプログラムは set uid root で
はないが、古い IRIX システムでは set uid midikeys として呼ばれた場合、
root 権限を奪取する手段に用いられてしまう。
このプログラムは入力されたデータに対する検証手段に弱点があり、このプロ
グラムがディスクにデータを保存する際に「正しい」か「既存」のファイル名
の後ろにセミコロンを追加した場合、セミコロン以降のコマンドは実行されて
しまう。(スペースはセミコロン以降に付けない) コマンドは soundplayer の
権限で動作する。(権限が上昇するか否かに関わらない)
従って、set uid midikeys 状態で実行され、攻撃された場合、この弱点を通じ
てローカルからの root 権限を奪取されてしまう可能性がある。

17. Ascend CascadeView tftpd Symbolic Link Vulnerability
BugTraq ID: 910
リモートからの再現性: 不詳
公表日: 1999-12-31
関連するURL:
http://www.securityfocus.com/bid/910
まとめ:

Ascend 社の B-STDX 8000/9000 ネットワークデバイス用の CascadeView に
含まれる tftpd は /tmp に tftpd_xfer_status.log というログファイルを
作成する。もし、このログファイルがシンボリックリンクとしてすでに存在
していた場合、 tftpd はリンクを辿ってしまい、リンクの指し示す先を上書
きしてしまう。(tftpd は root 権限で動作する)
従って、攻撃者はログファイルから /.rhosts の様なファイルへシンボリッ
クリンクを作成し、デバイスの権限の上昇が可能である。この現象は単一の
コンピュータで生じたとしてもネットワーク越しに影響の波及が考えられる。

III. パッチと更新 1999-12-27 から 2000-01-02 まで
- -------------------------------------------------

1. ベンダ: AltaVista
製品: Search Engine
対応する弱点: AltaVista Search Engine Directory Traversal
Vulnerability
BugTraq ID: 896
関連するURL:
    http://www.securityfocus.com/bid/896
パッチの入手元:
    http://doc.altavista.com/business_solutions/search_products/
    free_downloads/search_intranet.shtml
    このパッチには以下のラベルがつけられている。
    "AltaVista Search Intranet V2.3A Security Patch 12/99"

2. ベンダ: True North Software
製品: Internet Anywhere Mail Server
対応する弱点: Internet Anywhere Mail Server Multiple Buffer
Overflow Vulnerabilities
BugTraq ID: 730
関連するURL:
    http://www.tnsoft.com
    http://www.securityfocus.com/bid/730
パッチの入手元:
    http://www.tnsoft.com/download.html
    (新バージョン 3.1.3)

3. ベンダ: Trend Micro
製品: InterScan VirusWall
対応する弱点: InterScan VirusWall Scan Evasion Vulnerability
BugTraq ID: 899
関連するURL:
    http://www.trend.com
    http://www.securityfocus.com/bid/899
パッチの入手元:
    http://www.antivirus.com/download/patches.htm
    このパッチには以下の題が付いている。
    isvwsol301a_u2.tar

4. ベンダ: FuseWare
製品: FuseMail
対応する弱点: FuseWare FuseMail POP Mail Buffer Overflow
Vulnerability
BugTraq ID: 634
関連するURL:
    http://www.crosswinds.net/~fuseware
    http://www.securityfocus.com/bid/634
パッチの入手元:
    http://www.crosswinds.net/~fuseware/FuseMail.exe
    (新バージョン)

5. ベンダ: SCO
製品: Unixware
対応する弱点: SCO Unixware i2odialogd Remote Buffer Overflow
Vulnerability
BugTraq ID: 876
関連するURL:
    http://www.securityfocus.com/bid/876
パッチの入手元:
    http://www.sco.com/security
     - Patch SSE054

6. ベンダ: SCO
製品: Unixware
対応する弱点: SCO Unixware pkginstall/pkgcat Buffer Overflow
Vulnerabilities
BugTraq ID: 853
関連するURL:
    http://www.securityfocus.com/bid/853
パッチの入手元:
    http://www.sco.com/security
     - Patch SSE053


7. ベンダ: SCO
製品: Unixware
対応する弱点: SCO UnixWare 'xauto' Buffer Overflow Vulnerability
BugTraq ID: 848
関連するURL:
    http://www.securityfocus.com/bid/848
パッチの入手元:
    http://www.sco.com/security
     - Patch SSE047


IV. Security Focus の上位6位の記事
- ----------------------------------

以下に再掲した記事は SecurityFocus.com の Web サイトで他と比較してより
参照された率が高い記事です。

1. CIH virus author gets a job (Thu Dec 30 1999)
見出し:
台湾のある技術系企業がこの4月に世界中のあちらこちらの大量のコンピュータ
に感染したことで悪名高い、チェルノヴィリウィルスを作成したクラッカーを
ハードウェアのテストを行わせるために雇用した。
訳注:hackerという語句が原文では使われていますが、モラルのない行為は
hack にそぐわないという訳者の観点から対象を明確にする用語、クラッカー
(cracker)と訳しています。
URL:
http://www.zdnet.com/zdnn/stories/news/0,4586,2415539,00.html


2. Script virus looks to ring in new year (Sat Jan 01 2000)
見出し:

Computer Associates International Inc. のウィルス担当者は西暦 2000 年
の最初のウィルスの問題について、この年始の週末を忙しく過ごしている。
CA (NYSE: CA) はこの日曜日、二件の早期警報を Feliz.Trojan と Armagidon
という新しい Microsoft Word のマクロで動作するウィルスの問題について
発表している。どちらも高い危険性が考えられる。

URL:
http://www.zdnet.com/filters/printerfriendly/0,6061,2415783-2,00.html

3. Hacker Disrupts Lloyds Web Site (Sun Jan 02 2000)

世界の保険業の市場のリーダー格である、ロンドンのロイド社はクラッカーが
システムを破壊した後に Web サイトを閉鎖した。
クラッカーは二回攻撃し、二回ともシステムを破壊した後にクラッカー自身の
メッセージを残して外部から参照できる状態にしている。
訳注:hackerという語句が原文では使われていますが、モラルのない行為は
hack にそぐわないという訳者の観点から対象を明確にする用語、クラッカー
(cracker)と訳しています。

URL:
http://www.excite.co.uk/news/news_story/technology/tech0.txt

4.  Security loses to holiday rush (Mon Jan 03 2000)

なんら対応することなく、企業がセキュリティの問題を脇に取り除けておく
状態になっている。この問題はより影響を増大化させ、この年始休暇中にも
進行させてしまい、電子商取引を行っているサイトのセキュリティをより弱
体化させている。

URL:
http://www.zdnet.co.uk/news/2000/0/ns-12339.html

5. Information theft losses double in three years (Mon Jan 03 2000)

報告によると、多くの企業がクラッカー対策のためにこの年末年始にシステ
ムを見張るとのことである。彼ら企業は馬を馬屋に引き入れた後で戸締まり
を十分に行ったのである。
訳注:hackerという語句が原文では使われていますが、モラルのない行為は
hack にそぐわないという訳者の観点から対象を明確にする用語、クラッカー
(cracker)と訳しています。

URL:
http://www.technologypost.com/enterprise/DAILY/20000103122305678.asp?
Section=Main

6. Privacy Complaint Against Amazon (Mon Jan 03 2000)

インターネットセキュリティの専門家は米国通産局 (Federal Trade Commission)
に Amazon.com について訴えを提出した。Richard Smith の資料によると、
プライバシーの尊重に抵触する他の製品がある、との事である。

V. 今週の INCIDENTS から 1999-12-27 から 2000-01-02 まで
- --------------------------------------------------------

1. Re: Windows Hack'a'Tack trojan and port 31789 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-22&msg=19991227095455.12484.qmail@securityfocus.com

2. Re: Spam attack or DOS attack on Thursday (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&
msg=6E4BDD74D378D311941E0008C75D8870021FD01F@tmoexh1.turkcell.com.tr

3. Re: Interesting... (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-22&
msg=Pine.OSF.3.95.991227173638.6506A-100000@gemini.oscs.montana.edu

4. Re: named ADMROCKS exploit replacing sshd1 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=3867F513.4BFB4AB3@secureaustin.com

5. Re: Webserver /SmpDsBhgRl exploit? (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-22&msg=19991227142635.16914.qmail@securityfocus.com

6. Re: IMAP2 PROBE (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=3.0.2.32.19991228071149.0556be20@www.wittys.com

7. Re: ICMP time exceed in-transit packets (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=3868CB23.791BCB11@sover.net

8. extensive portscan incident (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=Pine.LNX.4.10.9912281619320.31387-100000@wr5z.localdomain

9. Re: weird combo: port 65301/tcp and 22/udp (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=NDBBIFIKDEKCCCNINKGLCEIKCNAA.bugtraq@robertgraham.com

10. ADMROCKS versus named (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=3868FF0C.4A9A9167@ifnet.com.br

11. ADMROCKS - We have it all backwards. (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=010101bf51d2$537ac500$452dbb0a@coldslaw

12. interesting attempt at intrusion (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=38696AA0.650B5B7B@sysconn.com

13. Source Host 0.0.0.0 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=19991228194124.24803.qmail@securityfocus.com

14. Large number of BIND probes. (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&
msg=Pine.LNX.4.10.9912291049280.13682-100000@dolemite.psionic.com

15. Re: Attempted Sendmail attack? (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-22&msg=19991229121415.E5219@alcove.wittsend.com

16. Strange connection attempts to port 1975 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-29&msg=19991229173026.7867.qmail@securityfocus.com

17. [Re: interesting attempt at intrusion] case solved! (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-29&msg=386AEC50.41AF1D34@hotmail.com

18. UDP Packets to Port 28431 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-29&
msg=Pine.LNX.4.21.9912292101450.14130-100000@luchs.luchs.at

19. Analysis of "stacheldraht"
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-29&
msg=Pine.GUL.4.21.9912301323250.20803-100000@red5.cac.washington.edu

20. Port Scan on 371... (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-29&msg=003f01bf552b$12a65ab0$3a551ed0@wilborne

21. Y2K bug in Shadow IDS (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-29&msg=20000102135758.C11780@pine.nl

22. correlation between porscans and local activity (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-29&
msg=Pine.LNX.4.10.10001022055010.23597-100000@wr5z.localdomain

23. Computer Forsenics (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=75&date=1999-12-29&
msg=Pine.LNX.4.10.10001031430030.11073-100000@secured.wiitwd.org

24. Writeup: it. TLD going astray (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-29&msg=14448.36071.957507.573139@cap-ferrat.albourne.com

25. port 119 (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=75&
date=1999-12-29&
msg=Pine.LNX.4.10.10001031229270.19191-100000@rh-master.graff.com.pl


VI. 今週の VULN-DEV RESEARCH LIST から 1999-12-27 から 2000-01-02 まで
- ----------------------------------------------------------------------

1. Re: ssh quirks... (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=82&date=1999-12-22&msg=19991227190636.26364.qmail@ishiboo.com

2. Re: BSD chfn bug (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=82&date=1999-12-22&msg=199912272310.QAA57459@harmony.village.org

3. leaky kernel ? ;) (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?list=82&
date=1999-12-29&
msg=Pine.LNX.4.10.9912292212050.734-100000@pentium.localdomain

4. Unix * weirdness (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=82&date=1999-12-29&msg=386E79F5.167DB5D1@thievco.com

5. Re: iishack/tesoiis.c - What's wrong ? (Thread)
関連するURL:
	http://www.securityfocus.com/templates/archive.pike?
list=82&date=1999-12-29&
msg=NDBBIMKFBIKGAABJAPBJAECOCBAA.SysAdmin@sassproductions.com


VII.  求人情報 (日本語訳なし)
- -----------------------------

VIII.  セキュリティ調査 1999-12-27 から 2000-01-02 まで
- -------------------------------------------------------

以下の調査項目については一ヶ月以上に渡り、継続調査を行っています。
この調査を元にしてすばらしい議論が行われています。ぜひ、関連する議論
にご参加下さる事をお勧めします。議論については www.securityfocus.com
のトップページから参照可能です。

「Melissa ウィルスの作者、David Smith は収監されるべきでしょうか?」
1999-12-27 から 2000-01-02 までは以下の質問であった。

はい					41% / 71 票
いいえ					57% / 100 票

全投票数:				173 票


IX.  Security Focus が選ぶ上位6位のツール
     1999-12-27 から 2000-01-02 まで
- -----------------------------------------

1. SecurityFocus.com Pager
著者: SecurityFocus.com
URL: http://www.securityfocus.com/pager/sf_pgr20.zip
プラットフォーム: Win95/98/NT
ダウンロード数: 3600

このプログラムはユーザの皆様にブラウザを開き、コンテンツ内容を確認する
ことなしに Security Focus が提供する Web サイトに追加された項目を確認
できる環境を提供します。
バックグラウンドで控えながら、ユーザが指定した周期でコンテンツを確認し、
システムトレイ内の点滅するアイコン、ポップアップメッセージ、これらの両
方で変更をお知らせします。(通知方法は設定可能です)

2. Bastille Linux 1.0
著者: Bastille Linux Project
URL: http://bastille-linux.sourceforge.net/
プラットフォーム: Linux
ダウンロード数: 3283

Bastille Linux はセキュリティを専門としていなく、知識も少ないものの、
よりセキュアな Linux のディストリビューションを求めている人々に向いた
ディストリビューションです。
私たちのゴールは既存の多くの支持があるディストリビューションに由来する
よりセキュアなディストリビューションの作成です。現在は RedHat 6.0 のイ
ンストール直後にすぐに実行されねばならない包括的なセキュリティ強化プロ
グラムを提供しています。このプログラムは他と比較して最も際立っていて、
実行されるすべての動作はオプションとして与えることが可能であり、非常に
柔軟性に富んでいて、インストール時の回答に答える前に管理者へ必要な情報
を提供します。このインタラクティブな機能がセキュア化の内容が捕らえられ
ない管理者にセキュア化の過程を通して教育的内容を提供します。

3. TCPView
著者: Mark Russinovich, mark@sysinternals.com
URL: http://www.sysinternals.com/tcpview.htm
プラットフォーム: Windows 95/98 および Windows NT
ダウンロード数: 3012

TCPView は Windows で動作し、ご自身のコンピュータからの TCP コネクショ
ンと UDP コネクションの終着点の模様をリモートアドレスと TCP コネクショ
ンの状態と共に表示するプログラムです。TCPView は Windows NT と Windows
98 で提供されている netstat の使いやすいサブセットです。

4. NmapFE 0.9.5
著者: Zach Smith, key@aye.net
URL: http://codebox.net/nmapfe.html
プラットフォーム: Linux
ダウンロード数: 2984

NmapFE は皆様にご愛用頂いているスキャニングプログラム、nmap のフロント
エンドです。nmap はポートスキャナで TCP/IP 上の指紋を使ってリモートで
動作している OS の発見が可能です。大規模ネットワークのスキャンに nmap
を適用可能ですし、単一のホストに対してももちろん可能です。このフロント
エンドは nmap を利用するためのシンプルな GUI を利用したインタフェース
を提供します。GUI では様々なサービスに対応した色分け表示を提供し、他の
スキャニング動作の終了後、何かスキャニング結果のデータベースを作成する
ために、次のスキャニング動作を追加可能です。

5. VeteScan 12.26.99
著者: Vetesgirl, admin@self-evident.com
URL: http://www.self-evident.com/
プラットフォーム: UNIX
ダウンロード数: 2498

VeteScan は最新のトロイの木馬プログラムやリモートからの攻撃に対する、
Windows NT と UNIX の弱点をもつプログラムのスキャニングが可能なプログ
ラムです。このプログラムは一つのホストに対してスキャニングをホストの
確認なしで行える他、複数のホストにまたがるスキャニングも可能です。
そして、A、B、C クラスの IP ネットワークに対するスキャニングも可能で、
多くの弱点に対する修正を行います。

6. SuperScan 2.06
著者: Robin Keir
URL: http://members.home.com/rkeir/software.html#superscan
プラットフォーム: Windows 2000 および Windows 95/98
ダウンロード数: 2351

このツールは効果的なコネクトベースの TCP ポートスキャナです。pinger お
よび hostname の名称解決機能も持っています。マルチスレッドかつ非同時性
技術がこのプログラムを非常に高速で有効なものに仕上げています。
ping によるスキャニング、port スキャニングはどのような IP アドレス幅で
も指定可能で、アドレス指定を定義したテキストファイルによる指定によって
も作業可能です。

Translated by SAKAI Yoriyuki / LAC <URL: http://www.lac.co.jp/>

-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>

iQA/AwUBOHEfsJQwtHQKfXtrEQKdBgCgrLbbpYGnaITK+buABTp3z0/dX4kAoOtK
hg9ZhSXOyI1l0XrbzVhKJWlK
=Dw6V
-----END PGP SIGNATURE-----