Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200002231127.BIH23834.JTBLB@lac.co.jp> Date: Wed, 23 Feb 2000 11:27:48 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: Security Focus Newsletter #29 2000-02-13 -> 2000-02-21 X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 Security Focus Newsletter 第 29 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 Security Focus Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて います。 ・Security Focus Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる 形式のハイパーリンクも上記に準じてください。 1) - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- Security Focus Newsletter 第 29 号 目次: CORE-SDI のご提供による Security Focus がお送りする週刊ニューズレター の第 28 号へようこそ。 I. 今週の特集 1. Editors Note - Pared down version of the newsletter for February 21. 2. Mixter to be interviewed on Info.Sec.Radio today! (日本語訳なし) II. 今週の BUGTRAQ から 1. Microsoft FrontPage PWS Directory Traversal Vulnerability 2. Nameserver Traffic Amplification and NS Route Discovery Vulnerability 3. Multiple Vendor SNMP World Writeable Community Vulnerability 4. NetBSD procfs Vulnerability 5. SCO Unixware ARCserver /tmp symlink Vulnerability 6. Microsoft Windows 2000 Install Unprotected ADMIN$ Share Vulnerability 7. Ultimate Bulletin Board Arbitrary Command Execution Vulnerability 8. Microsoft Windows autorun.inf Vulnerability I. 今週の特集 - ------------- 1. Editors Note - Pared down version of the newsletter for February 16 本日は米国の「大統領の日」です。従ってこのニュースレターは基本的な事柄 のみに内容を「今週の Bugtraq から」とアナウンスに絞らせて頂いています。 ニュースレターの内容は次号、2/28号から元に戻ります。 2. Mixter to be interviewed on Info.Sec.Radio today!(日本語訳なし) II. 今週の BUGTRAQ から 2000-02-13 から 2000-02-21 まで - -------------------------------------------------------- 1. Microsoft FrontPage PWS Directory Traversal Vulnerability BugTraq ID: 989 リモートからの再現性: あり 公表日: 2000-02-16 関連するURL: http://www.securityfocus.com/bid/989 まとめ: Microsoft Front Page Personal Web サーバには相対パス文字列 ('/..../') を指定された URL 中で辿れてしまえる問題がある。このため、Web コンテンツ と同じ論理ドライブにあるファイルやディレクトリへ不正に読み出しアクセス ができてしまえる。隠し属性がついているファイルもこの方法で読み出し可能で あるが、Front Page が管理するディレクトリについてだけは不可能である。 攻撃者は読み出したいファイルへのパスを事前に知っておかねばならない。 2. Nameserver Traffic Amplification and NS Route Discovery Vulnerability BugTraq ID: 983 リモートからの再現性: あり 公表日: 2000-02-14 関連するURL: http://www.securityfocus.com/bid/983 まとめ: DoS 攻撃の可能性 (すなわち、DoS 攻撃を引き起こさせられる) 攻撃が多くの DNS サーバのデフォルト設定には見られる。もしサーバがリモートからのリク エストへ自サーバが提供している以外のホストに対しても名称解決機能を recursion機能を使って提供している場合、トラフィック増加を引き起こし可能 である。1 つの DNS サーバで増幅された数多くのパケットだけでは DoS 攻撃は 引き起こせられないが、DNS の階層構造を攻撃する事で多くのトラフィックを 1 つの DNS サーバへ向ける事ができるのだ。 ネームサーバがオーソライズされたネームサーバからのドメインに関する情報 を受け取れなかった場合の振る舞いに弱点が存在する。すなわち、ネームサー バが名称解決要求を受け取る際、典型的に、鎖状につながった他の DNS サーバ へ要求を転送する。もし名称解決要求がリモートにあるホストを解決できるネー ムサーバがないために解決できなかった場合、転送されたネームサーバ自身で 名称解決しようとしてしまうのだ。これは通常、3 回 試行され、0 秒、12 秒、 24 秒目に繰り返される。このため、トラフィックが複合的に増幅されてしまう のである。複数のネームサーバに害を与える事で、指定したネットワークへ多く のデータを流させてしまう事ができるのである。この場合、パケットのサイズは 多くとも 500 バイトである。 3. Multiple Vendor SNMP World Writeable Community Vulnerability BugTraq ID: 986 リモートからの再現性: あり 公表日: 2000-02-15 関連するURL: http://www.securityfocus.com/bid/986 まとめ: 多くのネットワークデバイス、OS にはどこからでも書き込めてしまえるデフォ ルトコミュニティが存在する。どこからでも書き込めてしまえる事を利用し、 リモートのユーザがデバイスや OS の設定を既知のコミュニティ名を知る事無く 認証無しでできてしまえるのである。 何種類かのデフォルトコミュニティと対応するベンダは以下の様になっている。 public (ascend,cisco,bay networks (nortel),microsoft,sun,3com, aix) private (cisco,bay networks (nortel),microsoft,3com, brocade, aix) write (ascend, very common) "all private" (sun) monitor (3com) manager (3com) security (3com) OrigEquipMfr (brocade) "Secret C0de" (brocade) admin default password tivoli openview community snmp snmpd system (aix, others) ルータの名称 (ie, 'gate') この弱点を突いた攻撃はルーティングテーブルの操作と事後の問題を引き起こ させられる arp キャッシュの汚染を引き起こし可能である。 この種の弱点はすでに何度も知られており、より詳しい情報は対応する Bugtraq ID のクレジットセクションを参照されたい。 さらに多くのデフォルト設定が読み出し、書き込み可能な設定で出荷されてい る製品があることが考えられる。もし、さらに詳しい情報や弱点についてご存 知の向きは 宛てに情報をお寄せ頂きたい。 (例えば特定のファームウェアのバージョンや修正情報等) 4. NetBSD procfs Vulnerability BugTraq ID: 987 リモートからの再現性: なし 公表日: 2000-02-16 関連するURL: http://www.securityfocus.com/bid/987 まとめ: NetBSD の procfs の実装には弱点があるy。これは 1.4.1 以上のバージョン である。攻撃者が /proc// にあるファイル、取り分け mem ファイルを操 作できるため、setuid プログラムが root で動作するシェルを得させてしまえ る弱点がある。 procfs_checkioperm() 関数は /proc//mem へのアクセスを保護している。 しかし、 uid 0 の影響下で動作しているアプリケーションは mem ファイルへ の書き込みを許されているのだ。もし setuid プロセスがこのファイルへ書き 込める様な仕掛けを施されていた場合、root 権限で実行可能な shell 環境を もたらしてしまえる様に操作できてしまえるのである。再現可能な 1 つの方 法が NetBSD アドバイザリに /proc//mem を開き、dup2() で標準出力へ 接続し、seek を行った後、親プロセスをフォークさせ、setuid バイナリを実 行するという方法が紹介されている。(lseek() あるいは fseek() 等のファイ ルのオフセットを変更できる命令を使って行う) この様なプログラムは mem ファイルの内容を標準出力へ出力してしまう。 そして setuid プログラムには印刷機能のエラーやメッセージにシェルコード を含むような仕掛けが行われているため、親プロセスが他の setuid プログラ ムを実行した場合、スタックはフォークされた setuid プロセスで上書きされ てしまう。従って uid 0 として実行できてしまうのである。 5. SCO Unixware ARCserver /tmp symlink Vulnerability BugTraq ID: 988 リモートからの再現性: 不詳 公表日: 2000-02-15 関連するURL: http://www.securityfocus.com/bid/988 まとめ: SCO Unixware 7 に含まれる ARCserve エージェントにはシンボリックリンクを 辿ってしまうために発生する弱点がある。起動時に、ARCserve エージェントプ ログラムは /tmp に何種類かのファイルを作成する。しかしそれは 777 のモー ドなのであり、削除できてしまえ、システム内の誰であっても置きかえられてし まえるのである。もし、ファイルがシンボリックリンクと置きかえられた場合、 ファイルシステム上のいかなる場所であっても root 所有でファイルが作成され てしまうのである。これは既存のファイルのパーミッションの変更は行えないが、 /usr/CYEagent/agent.cfg に新しいファイルの内容が記録されてしまえる。この ファイルはすべてのユーザから書き込み可能である。 6. Microsoft Windows 2000 Install Unprotected ADMIN$ Share Vulnerability BugTraq ID: 990 リモートからの再現性: あり 公表日: 2000-02-15 関連するURL: http://www.securityfocus.com/bid/990 まとめ: Windows 2000 のインストール作業中において、ADMIN$ を利用した共有が作成 される。しかし、アドミニストレータのパスワードが入力されたにもか関わら ず、次の再起動までは有効になっていない。従ってインストール中に攻撃対象 となっているコンピュータへネットワーク越しにアクセスが可能ないかなるユー ザであってもパスワード無しで Administrator 共有ができてしまえる。 7. Ultimate Bulletin Board Arbitrary Command Execution Vulnerability BugTraq ID: 991 リモートからの再現性: あり 公表日: 2000-02-13 関連するURL: http://www.securityfocus.com/bid/991 まとめ: Infopop 社の Ultimate Bulletin Board ソフトウェア (しばしば、UBB と綴ら れる) は perl で書かれた広く使われる Web を利用した掲示板システムである。 しかし入力値に対する正規表現の取り扱いに問題があるため、UBB が動作して いるサーバで意図的なコマンドを実行できてしまえる可能性がある。 ubb_library.pl 中で、$ThreadFile の値が UBB が動作している Web サーバの ファイルシステムへデータの記録のための open() 関数の呼び出しをファイルへ のパス用の文字列の最後に追加される。 正規表現が正しいフォーマットかどうかを確認するために用いられている。 if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb/) しかし商業版では以下の様になっている: if ($ThreadFile =~ /\d\d\.[m|n|ubb|cgi]/) { 不幸なことに、文字列の最後の .ubb は正規表現では必須とされていない。 これは .ubb の後に特別のデータを記入でき、表現に与えられたデータがマッ チする場合、open() 関数に引き渡せてしまうことを示している。($ThreadFile が正しく作成できた場合である) $Threadfile の値は隠された HTML フォームの topic 変数から指定されるた め、これがリモートから問題を引き起こさせられる弱点になっている。 8. Microsoft Windows autorun.inf Vulnerability BugTraq ID: 993 リモートからの再現性: なし 公表日: 2000-02-18 関連するURL: http://www.securityfocus.com/bid/993 まとめ: Windows の Autorun 機能は着脱可能なメディアのいかなる場所に指定された 実行ファイルとアイコンを処理できるようになっている。メディアが挿入され た際、アイコンはドライブの上に表示され、実行ファイルは自動的に起動され る。この機能は固定メディアであっても実行できてしまえるのであるため、こ の機能を悪用する事は容易である。ローカルドライブのルートディレクトリへ アクセス可能ないかなるユーザが実行ファイルをインストールし、autorun.inf にファイルの位置を示した場合、ドライブがその後アクセスされたどのような 時であっても、指定されたコードは現在ログオン中のユーザの権限で実行され しまうのである。この方法は権限上昇攻撃に用いることが可能である。 この問題は着脱可能なメディアに対する問題ではあるが、いかなるローカルド ライブ経由で指定したコードを自動実行させる事による攻撃を容易にできる問 題である。 Translated by SAKAI Yoriyuki / LAC -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use iQA/AwUBOLLHFJQwtHQKfXtrEQJAiQCeOGw0R4PF6Z2AkckvIHVLoGSDASQAn27d JAV+CeFa47yw5jxjxpyOMbu3 =l3Sf -----END PGP SIGNATURE-----