Security Focus Newsletter #29 2000-02-13 -> 2000-02-21
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
Security Focus Newsletter 第 29 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
Security Focus Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
引用に関する備考:
・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて
います。
・Security Focus Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる
形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
Security Focus Newsletter 第 29 号
目次:
CORE-SDI のご提供による Security Focus がお送りする週刊ニューズレター
の第 28 号へようこそ。
I. 今週の特集
1. Editors Note - Pared down version of the newsletter for
February 21.
2. Mixter to be interviewed on Info.Sec.Radio today! (日本語訳なし)
II. 今週の BUGTRAQ から
1. Microsoft FrontPage PWS Directory Traversal Vulnerability
2. Nameserver Traffic Amplification and NS Route Discovery
Vulnerability
3. Multiple Vendor SNMP World Writeable Community Vulnerability
4. NetBSD procfs Vulnerability
5. SCO Unixware ARCserver /tmp symlink Vulnerability
6. Microsoft Windows 2000 Install Unprotected ADMIN$ Share
Vulnerability
7. Ultimate Bulletin Board Arbitrary Command Execution
Vulnerability
8. Microsoft Windows autorun.inf Vulnerability
I. 今週の特集
- -------------
1. Editors Note - Pared down version of the newsletter for February 16
本日は米国の「大統領の日」です。従ってこのニュースレターは基本的な事柄
のみに内容を「今週の Bugtraq から」とアナウンスに絞らせて頂いています。
ニュースレターの内容は次号、2/28号から元に戻ります。
2. Mixter to be interviewed on Info.Sec.Radio today!(日本語訳なし)
II. 今週の BUGTRAQ から 2000-02-13 から 2000-02-21 まで
- --------------------------------------------------------
1. Microsoft FrontPage PWS Directory Traversal Vulnerability
BugTraq ID: 989
リモートからの再現性: あり
公表日: 2000-02-16
関連するURL:
http://www.securityfocus.com/bid/989
まとめ:
Microsoft Front Page Personal Web サーバには相対パス文字列 ('/..../')
を指定された URL 中で辿れてしまえる問題がある。このため、Web コンテンツ
と同じ論理ドライブにあるファイルやディレクトリへ不正に読み出しアクセス
ができてしまえる。隠し属性がついているファイルもこの方法で読み出し可能で
あるが、Front Page が管理するディレクトリについてだけは不可能である。
攻撃者は読み出したいファイルへのパスを事前に知っておかねばならない。
2. Nameserver Traffic Amplification and NS Route Discovery Vulnerability
BugTraq ID: 983
リモートからの再現性: あり
公表日: 2000-02-14
関連するURL:
http://www.securityfocus.com/bid/983
まとめ:
DoS 攻撃の可能性 (すなわち、DoS 攻撃を引き起こさせられる) 攻撃が多くの
DNS サーバのデフォルト設定には見られる。もしサーバがリモートからのリク
エストへ自サーバが提供している以外のホストに対しても名称解決機能を
recursion機能を使って提供している場合、トラフィック増加を引き起こし可能
である。1 つの DNS サーバで増幅された数多くのパケットだけでは DoS 攻撃は
引き起こせられないが、DNS の階層構造を攻撃する事で多くのトラフィックを
1 つの DNS サーバへ向ける事ができるのだ。
ネームサーバがオーソライズされたネームサーバからのドメインに関する情報
を受け取れなかった場合の振る舞いに弱点が存在する。すなわち、ネームサー
バが名称解決要求を受け取る際、典型的に、鎖状につながった他の DNS サーバ
へ要求を転送する。もし名称解決要求がリモートにあるホストを解決できるネー
ムサーバがないために解決できなかった場合、転送されたネームサーバ自身で
名称解決しようとしてしまうのだ。これは通常、3 回 試行され、0 秒、12 秒、
24 秒目に繰り返される。このため、トラフィックが複合的に増幅されてしまう
のである。複数のネームサーバに害を与える事で、指定したネットワークへ多く
のデータを流させてしまう事ができるのである。この場合、パケットのサイズは
多くとも 500 バイトである。
3. Multiple Vendor SNMP World Writeable Community Vulnerability
BugTraq ID: 986
リモートからの再現性: あり
公表日: 2000-02-15
関連するURL:
http://www.securityfocus.com/bid/986
まとめ:
多くのネットワークデバイス、OS にはどこからでも書き込めてしまえるデフォ
ルトコミュニティが存在する。どこからでも書き込めてしまえる事を利用し、
リモートのユーザがデバイスや OS の設定を既知のコミュニティ名を知る事無く
認証無しでできてしまえるのである。
何種類かのデフォルトコミュニティと対応するベンダは以下の様になっている。
public (ascend,cisco,bay networks (nortel),microsoft,sun,3com, aix)
private (cisco,bay networks (nortel),microsoft,3com, brocade, aix)
write (ascend, very common)
"all private" (sun)
monitor (3com)
manager (3com)
security (3com)
OrigEquipMfr (brocade)
"Secret C0de" (brocade)
admin
default
password
tivoli
openview
community
snmp
snmpd
system (aix, others)
ルータの名称 (ie, 'gate')
この弱点を突いた攻撃はルーティングテーブルの操作と事後の問題を引き起こ
させられる arp キャッシュの汚染を引き起こし可能である。
この種の弱点はすでに何度も知られており、より詳しい情報は対応する Bugtraq
ID のクレジットセクションを参照されたい。
さらに多くのデフォルト設定が読み出し、書き込み可能な設定で出荷されてい
る製品があることが考えられる。もし、さらに詳しい情報や弱点についてご存
知の向きは <vuldb@securityfocus.com> 宛てに情報をお寄せ頂きたい。
(例えば特定のファームウェアのバージョンや修正情報等)
4. NetBSD procfs Vulnerability
BugTraq ID: 987
リモートからの再現性: なし
公表日: 2000-02-16
関連するURL:
http://www.securityfocus.com/bid/987
まとめ:
NetBSD の procfs の実装には弱点があるy。これは 1.4.1 以上のバージョン
である。攻撃者が /proc/<pid>/ にあるファイル、取り分け mem ファイルを操
作できるため、setuid プログラムが root で動作するシェルを得させてしまえ
る弱点がある。
procfs_checkioperm() 関数は /proc/<pid>/mem へのアクセスを保護している。
しかし、 uid 0 の影響下で動作しているアプリケーションは mem ファイルへ
の書き込みを許されているのだ。もし setuid プロセスがこのファイルへ書き
込める様な仕掛けを施されていた場合、root 権限で実行可能な shell 環境を
もたらしてしまえる様に操作できてしまえるのである。再現可能な 1 つの方
法が NetBSD アドバイザリに /proc/<pid>/mem を開き、dup2() で標準出力へ
接続し、seek を行った後、親プロセスをフォークさせ、setuid バイナリを実
行するという方法が紹介されている。(lseek() あるいは fseek() 等のファイ
ルのオフセットを変更できる命令を使って行う)
この様なプログラムは mem ファイルの内容を標準出力へ出力してしまう。
そして setuid プログラムには印刷機能のエラーやメッセージにシェルコード
を含むような仕掛けが行われているため、親プロセスが他の setuid プログラ
ムを実行した場合、スタックはフォークされた setuid プロセスで上書きされ
てしまう。従って uid 0 として実行できてしまうのである。
5. SCO Unixware ARCserver /tmp symlink Vulnerability
BugTraq ID: 988
リモートからの再現性: 不詳
公表日: 2000-02-15
関連するURL:
http://www.securityfocus.com/bid/988
まとめ:
SCO Unixware 7 に含まれる ARCserve エージェントにはシンボリックリンクを
辿ってしまうために発生する弱点がある。起動時に、ARCserve エージェントプ
ログラムは /tmp に何種類かのファイルを作成する。しかしそれは 777 のモー
ドなのであり、削除できてしまえ、システム内の誰であっても置きかえられてし
まえるのである。もし、ファイルがシンボリックリンクと置きかえられた場合、
ファイルシステム上のいかなる場所であっても root 所有でファイルが作成され
てしまうのである。これは既存のファイルのパーミッションの変更は行えないが、
/usr/CYEagent/agent.cfg に新しいファイルの内容が記録されてしまえる。この
ファイルはすべてのユーザから書き込み可能である。
6. Microsoft Windows 2000 Install Unprotected ADMIN$ Share Vulnerability
BugTraq ID: 990
リモートからの再現性: あり
公表日: 2000-02-15
関連するURL:
http://www.securityfocus.com/bid/990
まとめ:
Windows 2000 のインストール作業中において、ADMIN$ を利用した共有が作成
される。しかし、アドミニストレータのパスワードが入力されたにもか関わら
ず、次の再起動までは有効になっていない。従ってインストール中に攻撃対象
となっているコンピュータへネットワーク越しにアクセスが可能ないかなるユー
ザであってもパスワード無しで Administrator 共有ができてしまえる。
7. Ultimate Bulletin Board Arbitrary Command Execution Vulnerability
BugTraq ID: 991
リモートからの再現性: あり
公表日: 2000-02-13
関連するURL:
http://www.securityfocus.com/bid/991
まとめ:
Infopop 社の Ultimate Bulletin Board ソフトウェア (しばしば、UBB と綴ら
れる) は perl で書かれた広く使われる Web を利用した掲示板システムである。
しかし入力値に対する正規表現の取り扱いに問題があるため、UBB が動作して
いるサーバで意図的なコマンドを実行できてしまえる可能性がある。
ubb_library.pl 中で、$ThreadFile の値が UBB が動作している Web サーバの
ファイルシステムへデータの記録のための open() 関数の呼び出しをファイルへ
のパス用の文字列の最後に追加される。
正規表現が正しいフォーマットかどうかを確認するために用いられている。
if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb/)
しかし商業版では以下の様になっている:
if ($ThreadFile =~ /\d\d\.[m|n|ubb|cgi]/) {
不幸なことに、文字列の最後の .ubb は正規表現では必須とされていない。
これは .ubb の後に特別のデータを記入でき、表現に与えられたデータがマッ
チする場合、open() 関数に引き渡せてしまうことを示している。($ThreadFile
が正しく作成できた場合である)
$Threadfile の値は隠された HTML フォームの topic 変数から指定されるた
め、これがリモートから問題を引き起こさせられる弱点になっている。
8. Microsoft Windows autorun.inf Vulnerability
BugTraq ID: 993
リモートからの再現性: なし
公表日: 2000-02-18
関連するURL:
http://www.securityfocus.com/bid/993
まとめ:
Windows の Autorun 機能は着脱可能なメディアのいかなる場所に指定された
実行ファイルとアイコンを処理できるようになっている。メディアが挿入され
た際、アイコンはドライブの上に表示され、実行ファイルは自動的に起動され
る。この機能は固定メディアであっても実行できてしまえるのであるため、こ
の機能を悪用する事は容易である。ローカルドライブのルートディレクトリへ
アクセス可能ないかなるユーザが実行ファイルをインストールし、autorun.inf
にファイルの位置を示した場合、ドライブがその後アクセスされたどのような
時であっても、指定されたコードは現在ログオン中のユーザの権限で実行され
しまうのである。この方法は権限上昇攻撃に用いることが可能である。
この問題は着脱可能なメディアに対する問題ではあるが、いかなるローカルド
ライブ経由で指定したコードを自動実行させる事による攻撃を容易にできる問
題である。
Translated by SAKAI Yoriyuki / LAC <URL: http://www.lac.co.jp/>
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>
iQA/AwUBOLLHFJQwtHQKfXtrEQJAiQCeOGw0R4PF6Z2AkckvIHVLoGSDASQAn27d
JAV+CeFa47yw5jxjxpyOMbu3
=l3Sf
-----END PGP SIGNATURE-----