Security Focus Newsletter #31 2000-02-28 -> 2000-03-05
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
Security Focus Newsletter 第 31 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
Security Focus Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
引用に関する備考:
・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて
います。
・Security Focus Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる
形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
Security Focus Newsletter 第 31 号
目次:
CORE SDI 社のご提供による Security Focus がお送りする週刊ニューズレター
の第 31 号へようこそ。
http://www.core-sdi.com/
I. 今週のハイライト
1. Info.Sec.Radio is on the air!
2. SecurityFocus.com is looking for writers.
3. New Guest Feature: 'Seeds may already be sown for worse attacks'
by Gene Kim
II. 今週の BUGTRAQ から
1. Sun Internet Mail Server Cleartext Passwords During Installation Vulnerability
2. RedHat Single User Mode Authentication Vulnerability
3. SSH xauth Vulnerability
4. Corel Linux buildxconfig Vulnerabilities
5. Corel Linux setxconf Vulnerability
6. Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility
7. Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities
8. RedHat man Buffer Overrun Vulnerability
9. Lynx Long URL Buffer Overflow Vulnerabilities
10. Trend Micro OfficeScan DoS Vulnerabilities
11. EZShopper Remote Command Execution Vulnerability
12. HP OpenView OmniBack DoS Vulnerability
13. Serv-U FTP Server Path Disclosure Vulnerability
14. Foundry Networks ServerIron TCP/IP Sequence Predictability Vulnerability
15. nmh Buffer Overflow Vulnerability
16. SCO cu Vulnerability
17. Linux "dump" Buffer Overflow Vulnerability
18. Allaire ColdFusion Path Disclosure Vulnerability
19. Realsecure DoS Attack Subversion Vulnerability
20. Realsecure CGI Attack Subversion Vulnerability
21. Netscape Enterprise Server GET Request Vulnerability
22. Axis StorPoint CD Authentication Vulnerability
23. ht://dig Arbitrary File Inclusion Vulnerability
24. HP-UX Ignite-UX Blank Password Field Vulnerability
25. DNSTools Input Validation Vulnerability
26. Rit Research Labs "The Bat!" X-BAT-FILES Vulnerabilities
27. Corel Linux Dosemu Distribution Configuration Vulnerability
28. SGI InfoSearch fname Vulnerability
29. Additional Patches
III. Security Focus の上位6位の記事
1. US Sees Progress in Hack Probe (Wed Mar 01 2000)
2. NSA Not To Violate Privacy (Wed Mar 01 2000)
3. Mitnick to Lawmakers: People, Phones are Weakest Links (Thu Mar
02 2000)
4. Hatch Won't Hatch Clinton Net Security Idea Wed (Fri Mar 01
2000)
5. Hacker attack latest in string of online credit card thefts
(Fri Mar 01 2000)
6. Computer crime 'a problem' for police (Fri Mar 01 2000)
IV. 今週の INCIDENTS から
V. 今週の VULN-DEV RESEARCH LIST から
VI. 求人案内(日本語訳なし)
VII. セキュリティ調査
VIII. Security Focus が選ぶ上位6位のツール
I. 今週のハイライト
- -------------------
1. Info.sec.radio is on the air! (日本語訳なし)
2. Interested in writing articles on Intrusion Detection or Incident
Handling for SecurityFocus.com? (日本語訳なし)
3. New Guest Feature: 'Seeds may already be sown for worse attacks ' by
Gene Kim
現在、 Guest Feature Forum では Tripwire 社の Gene Kim 氏がつい最近
生じた DDoS 攻撃に付随した事項についての解説を行っています。そして、
将来における類似のより悪意をこめた攻撃がどのように行えうるのかについ
ても解説を行っています。
URL:
http://www.securityfocus.com/templates/forum_message.html?forum=2&head=968&id=968
II. 今週の BUGTRAQ から
2000-02-28 から 2000-03-05 まで
- -----------------------------------
1. Sun Internet Mail Server Cleartext Passwords During Installation Vulnerability
BugTraq ID: 1004
リモートからの再現性: なし
公表日: 2000-02-19
関連するURL:
http://www.securityfocus.com/bid/1004
まとめ:
Solaris ISP Server 2.0 パッケージとして提供されているSun の
Sun Internet Mailer には弱点がある。インストール中に /tmp/sims_setup.dat
というファイルが作成されるのであるが、このファイルにはこの製品に関連する
べてのパスワードが平文で記録されている。しかも、すべてのユーザがこのファ
イルを読み出し可能である。
2. RedHat Single User Mode Authentication Vulnerability
BugTraq ID: 1005
リモートからの再現性: 未詳
公表日: 2000-02-23
関連するURL:
http://www.securityfocus.com/bid/1005
まとめ:
RedHat Linux 6.0 がシングルユーザモードで起動する際のシェルの呼び出しを
保護する方法には弱点がある。この RedHat ディストリビューションではシン
グルユーザモードに切り替える際に root のパスワードの入力を求める。しかし、
その際に CTRL+C (これは SIGINT シグナルを与えることになる) を与えること
で、ただちに root ユーザのシェルが利用可能になってしまうのである。
3. SSH xauth Vulnerability
BugTraq ID: 1006
リモートからの再現性: あり
公表日: 2000-02-24
関連するURL:
http://www.securityfocus.com/bid/1006
まとめ:
ssh のデフォルト設定には ssh クライアントのセキュリティ上の危険をもたら
す可能性がある弱点がある。デフォルトで ssh は X プトロコールを転送する
ためにネゴシエーションを行う様になっている。このネゴシエーションはユーザ
がログインできるために xauth プログラムがクッキーをリモートのコンピュー
タの認証用キャッシュに設定することで行われる。もしセキュリティ上の問題を
抱えるリモートコンピュータで xauth プログラムが動作しているか、あるいは
リモートコンピュータのスーパーユーザが信頼できない場合 xauth プログラム
が使うキーはセキュリティ上の問題を抱えてしまう。そして問題を抱えたままで
クライアントコンピュータとの接続に使われてしまうのである。
この問題により、クライアントコンピュータの幅広いセキュリティ上の問題を引
き起こせる事になる。
4. Corel Linux buildxconfig Vulnerabilities
BugTraq ID: 1007
リモートからの再現性: なし
公表日: 2000-02-24
関連するURL:
http://www.securityfocus.com/bid/1007
まとめ:
Corel Linux 1.0 に含まれる buildxconfig プログラムには問題がある。この
プログラムを用いることでローカルユーザが自分の権限を上昇させることがで
きるのである。
- -f と-x フラグについての引数チェックを失敗しているため、攻撃者は既存の
ファイルを追加することが可能であり、また存在していなかったファイルをも
作成できてしまうのである。-f 引数を使い、かつそこへ存在しないファイル名
を指定することでファイルへ情報を追加可能である。-x 引数を使い、かつファ
イルが存在する場合、 X サーバが選択するファイルへのパスのうちで、もっと
も最初に選択されるファイルの最初の 1 行を剥ぎ取ることができるのである。
もしもこれら両方の引数を利用した場合、すなわち存在しないファイル名を指
定し、ファイルが作成された場合にはシステム内のすべてのユーザに対してファ
イルへ読み出し、書き込み、実行権限が与えられてしまう。
5. Corel Linux setxconf Vulnerability
BugTraq ID: 1008
リモートからの再現性: なし
公表日: 2000-02-24
関連するURL:
http://www.securityfocus.com/bid/1008
まとめ:
Corel Linux 1.0 に含まれる setxconf ユーティリティには弱点がある。
まず setxconf に -T オプションを与えて実行すると euid root で xinit が起
動される。次いで xinit は起動された後 ~/.xserverrc の内容を 解釈する。
従って悪意あるユーザは root 権限で実行コマンドを ~/.xserverrc 内に設定
しておけるのである。
6. Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility
BugTraq ID: 1009
リモートからの再現性: あり
公表日: 2000-02-25
関連するURL:
http://www.securityfocus.com/bid/1009
まとめ:
Nortel/Bay Networks Nautica Marlin ルータにはポート番号 161 (SNMP) で
0 バイトの UDP パケットを与えることでルータをクラッシュさせられる問題
がある。この問題は NMAP 等の UDP スキャナプログラムを用いることで引き
起こし可能である。
7. Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities
BugTraq ID: 1010
リモートからの再現性: あり
公表日: 2000-02-25
関連するURL:
http://www.securityfocus.com/bid/1010
まとめ:
Nortel networks 社の Netgear ISDN RH348 および RT328 ルータには多くの
問題がある。これらの問題はルータへの DoS 攻撃となり、ルータの良好な運
用を妨害してしまう。
Denial of Service 1:
NMAP の様なツールを用いて SYN スキャニングをルータに対して行っている場
合、telnet での接続を妨害し、ルータを利用できなくさせてしまう。
Denial of Service 2:
telnet コネクションをルータとの間で張った場合、接続中のユーザが認証され
たかどうかに依らず、他の telnet 接続を受け入れないのである。
Denial of Service 3:
ICMP フラッドのリダイレクトをルータへ向けることでルータのパケットのルー
ティング動作を止めることができてしまう。この場合、フラッドが止んでから
復旧までには約 30 秒かかってしまう。
Denial of Service 4:
このルータは RIP パケットを両方のインタフェースを起点として受け入れ、
適用できてしまう。従って、攻撃者は正しくないルートへパケットを流せてし
まえるか、他のマシンを通じてトラフィックを流せてしまうのである。
Denial of Service 5:
63000 から 65000 バイトの長さの 1 つの UDP パケットを送ることでルータを
30 秒間、機能停止可能である。
Denial of Service 6:
NAT が用いられている際、特定の種類のトラフィックの効率が低下する。この
問題の影響を受けるサービスには IRC、DCC、Real Audio/Video である。
Denial of Service 7:
NAT モードで 12 時間に渡り接続されていた場合、トラフィックがしばしば落
とされてしまうことがある。活動中のコネクションは影響を受けないが、新規
に張られるコネクションが張られなくなってしまうのである。
8. RedHat man Buffer Overrun Vulnerability
BugTraq ID: 1011
リモートからの再現性: なし
公表日: 2000-02-26
関連するURL:
http://www.securityfocus.com/bid/1011
まとめ:
RedHat Linux で提供される man プログラムの実装にはバッファオーバーフロー
を引き起こす弱点がある。注意深く作成された実行用コードを長いバッファ内
に与え、それを MANPATH 環境変数内に含めることで攻撃者が egid man を取得
できてしまえる可能性がある。
Pawel Wilk によってこの攻撃についての概要が説明されている。この攻撃につ
いては対応する BugTraq ID の Credit セクションからこの問題、すなわち攻
撃者が別のmanpage を作成することでコードが実行できてしまえるという問題
について情報が入手可能である。別の manpage を参照できてしまえるため、
コードは man を実行しているユーザの権限で実行されてしまえ、もしユーザ
が root だった場合、root 権限が入手できてしまえる。
9. Lynx Long URL Buffer Overflow Vulnerabilities
BugTraq ID: 1012
リモートからの再現性: あり
公表日: 2000-02-27
関連するURL:
http://www.securityfocus.com/bid/1012
まとめ:
Linx の特定のバージョンに存在する特定のバッファオーバーフローが生じる条
件を用いることでリモートユーザが Lynx が動作しているコンピュータへアク
セスできてしまえる問題がある。この問題は Lynx が特定の状況下で長い URL
を取り扱う方法の問題に由来しており、例えば、Lynx では長い URL 表記の
HTTP と ftp で lynx に指示を与えた場合、それは lynx がプロキシを利用し
て動作している場合にバッファオーバーフローの引き金となり得る。付け加え
るならば、長い URL を含むページのソースを参照することでオーバーフロー
のトリガとなり得る。
10. Trend Micro OfficeScan DoS Vulnerabilities
BugTraq ID: 1013
リモートからの再現性: あり
公表日: 2000-02-26
関連するURL:
http://www.securityfocus.com/bid/1013
まとめ:
Trend Micro OfficeScan はアンチウイルス製品でありネットワークの関所に
設置可能な製品である。管理用のソフトウェアをインストールしている間、
コンピュータの管理者は Web サーバからソフトウェアを管理するのか、ある
いはファイルサーバから管理するのかを尋ねられる。もし Web サーバが選択
された場合、OfficeScan を動作させているクライアントはポート番号 12345
で定期的にデータベースの更新とOfficeScan マネージャからの他の管理コマ
ンドを待ち受ける。
この状態で攻撃者は何種類かの使用不能攻撃を引き起こし可能である。
ランダムなデータをポート番号 12345 に送り付けることで、tmlisten.exe を
用いて CPU 利用率を 100% にまで押し上げたり、Visual C++ 由来のエラーを
発生させ、コンピュータを停止させられるのである。
しかも、5回を越える連続したコネクションがポート番号 12345 にランダムな
データを用いて送り付けらえた場合、結果としてサービス停止を招いてしまう。
この場合、サービスは停止されねばならず、クライアントマシン毎に再起動が
必要になってしまう。
しかも、ネットワークスニファを用いることでローカルユーザが管理用コマン
ドの状態を採取できてしまうのである。管理用コマンドは改変可能で、様々な
影響を与えるために他のクライアントに対して適用可能である。リクエストの
最後の 2 バイトを改変することでクライアントの応答を変更可能である。
04: OfficeScan の完全なアンインストール
06: スキャン開始
07: スキャン停止
クライアントはサーバへいくつかの CGI プログラムを介してリクエストを出す。
これは設定情報を求めるためである。設定に用いられるプログラムの中の
一つ、cgiRqCfg.exe プログラムはスキャンを行うことで設定情報を入手させて
しまう弱点がある。
攻撃者が Web サーバを正しい管理用 Web サーバと同一の IP アドレスで構築
していた場合、正しい管理用 Web サーバの OfficeScan に用いるファイル構成
はそっくり攻撃者の Web サーバへ複製され、正しい管理用サーバは使えなくなっ
てしまう。これはインストールされたもののスキャン対象のファイルを制限して
(例えば .txt ファイルのみをスキャンする等) いなかったり、スキャン対称の
ドライブ (リムーバル、ハードディスク、CD-ROM ドライブをスキャンしないよ
うに、等) を制限していなかった場合、他の種類の DoS 攻撃を招く可能性があ
る。
なお、クライアント内ではウイルスに感染したファイルをローカルマシン中のい
かなる場所へも移せてしまえるという問題もある。
11. EZShopper Remote Command Execution Vulnerability
BugTraq ID: 1014
リモートからの再現性: あり
公表日: 2000-02-27
関連するURL:
http://www.securityfocus.com/bid/1014
まとめ:
EZShopper は Alex Heiphetz Group, Inc. から提供されている Perl で作成さ
れた電子商取引を行うためのソフトウェアパッケージである。このソフトウェア
には open() 関数の呼び出し時にユーザが入力した内容をそのまま与えてしまう
というチェック漏れがあるためにリモートから対象となったホストの権限を得ら
れてしまう、という問題がある。
問題点は EZShopper に含まれる loadpage.cgi と search.cgi の 2 種類のスク
リプトにある。
第 1 の問題点は、open() へ与えられた値がそのままファイルを呼び出してしま
い、loadpage.cgi というプログラムに渡されてしまうことである。指定された
ファイル名にはなんらチェックはかけられていないため、もし ../ の様に意図
的なファイルやパスがファイルを読み出すための引数として与えられた場合、
../ はそのまま解釈されてしまい、ファイルシステム中の意図したファイルは
表示されてしまう。(この場合、Web サーバの uid がアクセスできるファイル
に限られる)
また、引数にパイプが含まれている場合、意図的なコマンドがターゲットとなっ
たコンピュータ上で実行できてしまい、攻撃者が Web サーバの uid でリモート
からアクセスできてしまえる。(これは通常 nobody 権限である)
第 2 の弱点は最初の弱点とは異なる種の弱点ではあるが、やはり search.cgi
に存在する。search.cgi では template と database の 2 つの入力値に対し
てはチェックが行われていない。(これらの入力値はその後、open() へ渡され
る)
そのため、search.cgi を通じてファイルや実行コマンドを介して参照できて
しまうのである。
12. HP OpenView OmniBack DoS Vulnerability
BugTraq ID: 1015
リモートからの再現性: あり
公表日: 2000-02-28
関連するURL:
http://www.securityfocus.com/bid/1015
まとめ:
HP OpenView OmniBack のポート番号 5555 へ複数コネクションを与えることで
100% の利用率を引き起こし、プログラムのクラッシュを引き起こせる。コネク
ションを切断することではこの問題を回避できず、プログラム自体の手動での
再起動が問題を解決するために必須である。
13. Serv-U FTP Server Path Disclosure Vulnerability
BugTraq ID: 1016
リモートからの再現性: あり
公表日: 2000-02-29
関連するURL:
http://www.securityfocus.com/bid/1016
まとめ:
Serv-U のデフォルト設定には以下の状況下で物理的なフルパス情報を返してし
まう問題がある。
存在しないファイルや存在しないディレクトリへ移動しようとした際、以下に
示す様な情報が参照できてしまえる。
550 /d:/ftproot/nonexist: No such file or directory.
しかも実際に存在するディレクトリに移動した際には以下の様な情報が入手で
きてしまえるのだ。
250 Directory changed to /d:/ftproot/exist
この様な情報は他の攻撃へ簡単に利用可能である。
14. Foundry Networks ServerIron TCP/IP Sequence Predictability Vulnerability
BugTraq ID: 1017
リモートからの再現性: あり
公表日: 2000-02-28
関連するURL:
http://www.securityfocus.com/bid/1017
まとめ:
Foundry Networks 製の ServerIron スイッチ製品はシーケンス番号が予測可能
な TCP 実装を使っている。そのため様々なセッションハイジャック、ブライン
ドセッションスプーフィング攻撃に曝せてしまえ、結果としてスイッチを遠隔
操作できてしまえる可能性がある。
ServerIron 製品は telnet、snmp、そして新しいバージョンでは Web サーバを
管理用に使っている。このため、TCP サービス (telnet と Web) への接続元の
情報を改ざんしたスプーフィングされたコネクションが行われる可能性がある。
さらには、コネクションハイジャック手法を元にした他の攻撃をももたらす可
能性もある。
この問題は初期シーケンス番号 (ISN; the initial sequence number) がコネ
クション毎に増加されていることに由来し、次のシーケンス番号がコネクショ
ンを張るだけから予測できてしまうことを示している。
15. nmh Buffer Overflow Vulnerability
BugTraq ID: 1018
リモートからの再現性: あり
公表日: 2000-02-28
関連するURL:
http://www.securityfocus.com/bid/1018
まとめ:
nmh メイラーの 1.0.2 以前のバージョンにはバッファオーバーフローが生じる
と報告されている。もし、攻撃者が mhshow が意図的なコードをメイルの内容
を参照した際に実行する様に作成された MIME 形式のメッセージを作成した場
合、これが生じる可能性がある。この問題は攻撃者がメイルが読み出されつつ
あるコンピュータへリモートからアクセスできてしまえる可能性がある。
なお、この問題に関する詳細は公開されていない。
16. SCO cu Vulnerability
BugTraq ID: 1019
リモートからの再現性: なし
公表日: 2000-02-08
関連するURL:
http://www.securityfocus.com/bid/1019
まとめ:
SCO Unixware の 7.0 から 7.1.1 までのバージョンに含まれる cu プログラム
には弱点がある。この弱点によりローカルのユーザが権限レベルを上昇させる
ことができてしまう。詳細な内容は SCO からは提供されていない。
17. Linux "dump" Buffer Overflow Vulnerability
BugTraq ID: 1020
リモートからの再現性: なし
公表日: 2000-02-28
関連するURL:
http://www.securityfocus.com/bid/1020
まとめ:
RedHat Linux (そして他のディストリビューションでも生じる可能性がある)
ではバックアップユーティリティ、dump が提供されている。dump は /sbin
にインストールされ、setuid と setgid が root である。もし -f 引数に予定
外の大きさの引数が与えられた場合、dump は超過データによるスタックの上書
きが発生し停止してしまう。引数が意図的に作られた場合、スタック中の EIP
(インストラクションポインタ、あるいはリターンアドレス) を置き換えてしま
い、意図的なコードを dump のパーミッション (gid root) で実行させてしま
えるのである。dump コマンドでは setuid パーミッションは落とされている。
しかし setgid パーミッション はそのままである。そこで、この弱点を突くこ
とで完全にシステム内の権限を入手できてしまえる setgid root 権限を取得で
きてしまう。
18. Allaire ColdFusion Path Disclosure Vulnerability
BugTraq ID: 1021
リモートからの再現性: あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1021
まとめ:
既存の APPLICATION.CFM あるいは ONREQUESTEND.CFM に HTTP リクエストを直
接与える事により、これらファイルがエラーメッセージをファイルが置かれた
実際の物理パスを含んだ状態で返してしまう。
19. Realsecure DoS Attack Subversion Vulnerability
BugTraq ID: 1022
リモートからの再現性: あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1022
まとめ:
Internet Security Systems が提供するネットワーク攻撃発見ソフトウェア
(Network Intrusion Detection software)、Real Secure には、攻撃者が IP
フラグメントの組を利用した使用不能攻撃を発見すべきにも関わらず、発見で
きない、という問題がある。
これはソフトウェアがパケットのシグネチャに依存しているためであり、もし
も巧妙にシグネチャが変更されていた場合、攻撃を指摘できないのである。
この問題を発見した攻撃は Teardrop DoS 攻撃とその変種である。
変種の例としては例えば、SynDrop、NewTear と Targa 攻撃がある。
Teardrop DoS 攻撃は様々なベンダの TCP/IP スタックの問題点を突いた攻撃
である。この問題はどのように TCP/IP スタックがフラグメント化された IP
パケットを的確に取り扱っているか、という点に由来する。
この攻撃は 2 つ以上のフラグメント化された IP データグラムを送り付けるこ
とで開始できる。最初のパケットは 0 オフセットのフラグメントであり、ペイ
ロードのサイズは N とする。そして MF ビットが立てられているとする。
(データの内容には関係しない) 第 2 番目のパケットは最後のフラグメントで、
MF == 0 である。そして N 未満の負方向のオフセットであり、ペイロードも
N 未満である。
この結果、TCP/IP スタックはパケットを取り扱うためにしばしば大量な資源を
割り当ててしまう。これはターゲットとなったコンピュータのメモリの実装量に
依存し、不適切なメモリの利用によるシステムの停止や特別の場合のシステムの
再起動をもたらす。
20. Realsecure CGI Attack Subversion Vulnerability
BugTraq ID: 1023
リモートからの再現性: あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1023
まとめ:
Internet Security Systems が提供するネットワーク攻撃発見ソフトウェア
(Network Intrusion Detection software)、Real Secure の特定のバージョン
には発見すべき Web サーバ内の CGI プログラムへの攻撃を見逃してしまう
問題がある。
この問題は Whisker スキャナという CGI プログラムの弱点を、既知のシグネ
チャを使って攻撃を発見するネットワーク攻撃発見ソフトウェアをすり抜ける
技術を使ってスキャンし、攻撃するツールを使った攻撃者によって使われる可
能性がある。
Whisker が使っている方法については多くが議論されている。これについては
対応するBugTraq ID の Credit セクションから Whisker の Web サイトへのポ
インタがあるため、そちらを参照されたい。
以下に述べる問題点についての説明はこの問題の発見者、Stephane Aubert
<Stephane.Aubert@hsc.fr> による Bugtraq への投稿からの引用である。
「Whisker v1.3.0a と HTTP の HEAD メソッドを使うことで、ステルスス
キャンは可能である。また、この際 GET メソッドも -M2 オプションを与
える事で利用可能である。その場合、ファイルのパーミッションの詐称
(0, 6, 両方) がスキャンを検知されないために利用可能なのである。」
例:
./whisker.pl -h xxx.yyy.zzz.ttt -I 1246
./whisker.pl -h xxx.yyy.zzz.ttt -I 0 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 6 -M 2
./whisker.pl -h xxx.yyy.zzz.ttt -I 60 -M 2
21. Netscape Enterprise Server GET Request Vulnerability
BugTraq ID: 1024
リモートからの再現性: あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1024
まとめ:
Netscape Enterprise Server 3.6 へ 4080 文字を越える GET リクエストを与
えた場合、httpd.exe は停止し、ワトソン博士が起動する。
この問題を利用してリモートから意図的なコードが実行可能である。
Netware あるいは Solaris で動作する Netscape Enterprise Server 3.5
ではこの問題が再現されるかどうかは不詳である。
22. Axis StorPoint CD Authentication Vulnerability
BugTraq ID: 1025
リモートからの再現性: あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1025
まとめ:
Axis Communications では Axis StorPoint CD、Axis StorPoint CD/T、
Axis StorPoint CD ROM サーバ (実際はハードウェア装置である) を提供し
ている。
これらのアプリケーションではリモートからの管理機能を SNMP MIB-II と独
自のエンタープライズ MIB、それからシステムで提供している Web サーバ経
由で提供している。この Web を利用した管理機能を使うことで、ユーザはユー
ザ名とパスワードによる認証を完全にバイパスすることが可能である。これは
特定の URL を指定することで行える。
ログインを行うページは以下の URL であるが、
http://server/config/html/cnf_gi.htm
以下の様に指定することで、
http://server/cd/../config/html/cnf_gi.htm
ユーザはログインページをすり抜けることが可能であり、関連する管理ページ
の機能を入手できてしまう。
23. ht://dig Arbitrary File Inclusion Vulnerability
BugTraq ID: 1026
リモートからの再現性: あり
公表日: 2000-02-29
関連するURL:
http://www.securityfocus.com/bid/1026
まとめ:
ht://dig は UNIX で動作する Web ページ内容のサーチエンジンである。
このソフトウェアはファイルのインクルード機能を設定ファイルから追加可能
である。しかしこの際 ` (引用符) で囲まれた文字列がインクルードされるファ
イルへのパスとして有効になってしまうのである。
例えば、
ome_parameter: `var/htdig/some_file`
ht://dig はインクルードファイルの設定をフォームからの入力でも設定可能で
ある。しかし、インクルードを指示されたすべてのファイルは Web サーバ上の
いかなるファイルであっても有効に処理されてしまうのである。
24. HP-UX Ignite-UX Blank Password Field Vulnerability
BugTraq ID: 1027
リモートからの再現性: あり
公表日: 2000-02-17
関連するURL:
http://www.securityfocus.com/bid/1027
まとめ:
HP-UX が稼動しているシステムにおいては /etc/passwd のフィールドにはトー
クンキャラクタとして * が含まれている。しかし特定の状況下において、こ
のフィールドは空であるため、HP-UX が稼動しているシステムを危険な状況に
曝すことになってしまう。トークンキャラクタを空にする特定の状況を引き起
こす要因は Ignite-UX でシステムのイメージを作成することである。このユー
ティリティは通常の状態に /etc/passwd ファイルを作成しない。したがって、
もし作成されたイメージがシステムに読み込まれた際、/etc/passwd には空の
項目が残ったままになってしまうのである。
25. DNSTools Input Validation Vulnerability
BugTraq ID: 1028
リモートからの再現性: あり
公表日: 2000-03-02
関連するURL:
http://www.securityfocus.com/bid/1028
まとめ:
DNSTools Software が提供する DNSTools 1.0.8 には弱点がある。
(これはツールの配布元サイト等で示されているバージョンである)
特定の入力値の内容を操作することで意図的なコードが実行可能である。
問題は以下のコードにある。
$host_name = $CGI->param("host_name");
$domain_name = $CGI->param("domain_name");
$error_description = "";
my $error_code = system("/usr/local/dnstools/delete_mx -d \"$domain_name\" -n \"$host_name\"");
エスケープ、あるいは入力値の確認は行われていない。従って攻撃者は意図的
なコードを実行可能である。これは Web サーバ、あるいは CGI プログラムを
動作させているユーザの権限で実行される。
26. Rit Research Labs "The Bat!" X-BAT-FILES Vulnerabilities
BugTraq ID: 1029
リモートからの再現性: あり
公表日: 2000-03-05
関連するURL:
http://www.securityfocus.com/bid/1029
まとめ:
Rit Research Labs では "The Bat!" for Windows というメイラー
(訳注: これは Mail User Agent, MUA です)を提供している。もし添付ファイ
ルがこのメイラーを利用しているユーザへ送られた際、メイラーは添付ファイ
ルをシステム内の特定のフォルダへ保存する。特定のフォルダへのパスは到着
したメイルのメッセージ内に X-BAT-FILES という拡張ヘッダ形式で追加されて
いる。
到着したメイルのメッセージが他の受信者へ転送される際、このメイラーは
X-BAT-FILES という拡張ヘッダをそのままにしておくため、受信者は送信者の
環境でメイルの添付ファイルがすべて保存される既定のフォルダを見つけ出せ
てしまえるのである。
しかも、この拡張ヘッダを詐称することで、つまりこのメイラーのユーザへ
すでに X-BAT-FILES ヘッダを付けた状態でメイルを送り付けることによって、
このメイラーはメイルがさらに転送された再に特定のファイルを添付して送り
出せてしまうのである。例えば、A から B へ X-BAT-FILES: C:\autoexec.bat
というヘッダでメイルを送りつけ、さらに C に転送された場合、C は B の
autoexec.bat のコピーのついたメッセージを受け取ることになるのである。
27. Corel Linux Dosemu Distribution Configuration Vulnerability
BugTraq ID: 1030
リモートからの再現性: なし
公表日: 2000-03-02
関連するURL:
http://www.securityfocus.com/bid/1030
まとめ:
Corel Linux 1.0 で提供されている DOS エミュレータ、Dosemu には設定中に
問題がある。Dosemu の解説文書は system.com バイナリはユーザが利用するべ
きではない、と警告している。これは system() を呼び出して実装されている
ためである。ユーザはこのコマンドを root 権限で実行可能で、システムへ、
ユーザ権限を上昇可能である。
この弱点は Dosemu の解説文書に何年もの間に渡り、記載されている。
28. SGI InfoSearch fname Vulnerability
BugTraq ID: 1031
リモートからの再現性: あり
公表日: 2000-03-05
関連するURL:
http://www.securityfocus.com/bid/1031
まとめ:
InfoSearch パッケージは man ページや他の文書を HTML を利用した Web コ
ンテンツに変換する。その際、検索用に用いられるフォーム、infosrch.cgi
は fname 変数の内容を適切に解釈できないためリモートの Web 利用者によっ
て Web サーバのユーザ権限で指定したコマンドの実行を可能にさせてしまう。
29. Additional Patches
以下は今週に提供されたアドバイザリで提供されていることが確認されたパッ
チである。
対応する弱点: MySQL Unauthenticated Remote Access Vulnerability
Bugtraq ID: 975
公表日: 2000-02-08
パッチの公表日: 2000-02-28
Patch Source: FreeBSD
mysql322-server package port for FreeBSD が提供されている。
以下の URL を参照されたい。
http://www.securityfocus.com/bid/975
対応する弱点: IRIX fam service Vulnerability
Bugtraq ID: 353
公表日: 1997-07-14
パッチの公表日: 2000-03-01
Patch Source: SGI
SGI は IRIX 用のパッチが適用されたバージョンの fam を提供している。
詳しくは以下の URL を参照されたい。
http://www.securityfocus.com/bid/353
III. Security Focus の上位6位の記事
- ------------------------------------
1. US Sees Progress in Hack Probe (Wed Mar 01 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.wired.com%2fnews%2fbusiness%2f0,1367,34662,00.html
2. NSA Not To Violate Privacy (Wed Mar 01 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.currents.net%2fnewstoday%2f00%2f03%2f01%2fnews14.html
3. Mitnick to Lawmakers: People, Phones are Weakest Links (Thu Mar 02 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.securityfocus.com%2fdata%2fnews%2fklp-030200.html
4. Hatch Won't Hatch Clinton Net Security Idea Wed (Fri Mar 01 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.newsbytes.com%2fpubNews%2f00%2f144974.html
5. Hacker attack latest in string of online credit card thefts (Fri Mar 01 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fnews.cnet.com%2fnews%2f0-1007-200-1563391.html
6. Computer crime 'a problem' for police (Fri Mar 01 2000)
URL:
http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.technologyPost.com%2fenterprise%2fDAILY%2f20000303103909111.asp%3fSection%3dMain
IV. 今週の INCIDENTS から
- --------------------------
1. FW: PPark (was: Win 95 Question)
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=SIMEON.10003031039.Q22580@bluebottle.itss
2. Cracked; rootkit - entrapment question?
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=14527.56139.80160.482979@cdp.localnet
3. Administrivia
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000303085038.X13630@securityfocus.com
4. unknown port numbers
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=Pine.LNX.4.10.10003021101200.31756-100000@linux.dec.com.ro
5. auto-reporting to ISPs
関連するURL:
http://www.securityfocus.com/http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000303022410.18205.qmail@luvewe.bonch.org
6. @home: Is *anyone* really home there
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=m12QdEs-000g83C@most.weird.com
7. Port 65535
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=XFMail.000302155440.Mike.Murray@utoronto.ca
8. CNET Hackers hit e-commerce site
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=004001bf8481$51115040$618743cf@giftssoft.com
9. Idiotic question
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=m12QZnc-000g83C@most.weird.com
10. E-mail attatchment
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=00f601bf847b$cadba7a0$1ed13604@Pavilion
11. Complaining to providers (was: @home: Is *anyone* really home there)
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000302094541.A26091@sec.sprint.net
12. PPark (was: Win 95 Question
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=SIMEON.10003011509.F15754@bluebottle.itss
13. Recon from Pakistan
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=D6C7B533F7C4D311BBD800001D121E7F01527F@clmail.cmccontrols.com
V. 今週の VULN-DEV RESEARCH LIST から
- -------------------------------------
1. Microsoft Word may also be vulnerable
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=20000302194825.22956.qmail@securityfocus.com
2. [Fwd: spoofing the ethernet address]
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BE8A14.D007C10E@defcom-sec.com
3. Kodak Color Management System
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=Pine.BSF.4.10.10003022155300.78453-100000@officemail.starmedia.com
4. spoofing the ethernet address
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=2F8BA7CCAFDFD211B3150008C70897DA593774@mailny01.ny.scient.com
5. Seagate Crystal Reports Smartviewer question
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=AFF76951D21FD311A00D0090273F1CBC6BF3AE@TWNYEXMB01
6. Single SignOn
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BF2817.CF75AED5@thievco.com
7. spoofing the ethernet address (PPPoE)
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BE94E9.B0F04CD1@sympatico.ca
8. Buffer overflows on Netware 4x and 5x
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=s8bd5ef4.002@mail.erca.nl
9. Information on Raptor
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=200003011407.JAA95621@phat.bastard.net
10. Eudora incoming email affects behavior
関連するURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=Pine.LNX.4.10.10002291218370.9587-100000@blue.localdomain
VI. 求人情報 (日本語訳なし)
- ----------------------------
VII. セキュリティ調査
2000-02-21 から 2000-02-28 まで
- -------------------------------------
今週の質問:
「DDoS 問題はベンダや報道機関で誇大に伝えられていると思いますか?」
調査結果:
いいえ。これはまさしく問題であり、多くの人々が耳を傾けるべきである
43% / 49票
はい。これは以前からこのコミュニティに参加している人々は知っている
問題であり、なぜ強い関心が払われねばならないのかが不明である。
56% / 63票
全投票数: 112 票
VIII. Security Focus が選ぶ上位6位のツール
2000-02-29 から 2000-03-05
- --------------------------------------------------------
1. ShadowScan 1.00.093 (Windows 95/98、Windows NT)
著者: RedShadow
関連するURL:
http://www.rsh.kiev.ua
Shadow Advantis Administator Tools - Ping (SSPing)、Port Scanner、IP
Scanner、Site Info (ターゲットで動作しているサービスの同定)、Network
Port Scanner、Tracert、Telnet、Nslookup、Finger、Echo、Time、UPD test
File Info、ファイル比較、Netstat、SysInfo、Crypt、ファイルの CRC、
DBF の参照と編集、DiskInfo、NTprocess、Keyboard テスト、DNS info
Shadow Hack and Crack - WinNuke、Mail Bomber、POP3・HTTP・SOCKS・FTPの
クラッキング(探査方法に従ったパスワードの同定)、Unix パスワードクラック、
sendmail 越しの finger、バッファオーバーフロー、SMP パスワードチェック、
CRK ファイル
ShadowPortGuard - 特定のポートへのコネクションの発見コード
Shadow Novell NetWare Crack - Novell NetWare 4.x 等のクラックツール
2. SecurityFocus.com Pager (Win95/98/NT)
著者: SecurityFocus.com
関連するURL:
http://www.securityfocus.com/pager/sf_pgr20.zip
このプログラムはユーザの皆様にブラウザを開き、コンテンツ内容を確認する
ことなしに Security Focus が提供する Web サイトに追加された項目を確認
できる環境を提供します。
バックグラウンドで控えながら、ユーザが指定した周期でコンテンツを確認し、
システムトレイ内の点滅するアイコン、ポップアップメッセージ、これらの両
方で変更をお知らせします。(通知方法は設定可能です)
3. UnSecure 1.0 (Windows 95/98、Windows NT)
著者: SniperX, unsecure@sniperx.net
関連するURL:
http://www.securityfocus.com/data/tools/UnSecure.zip
UnSecure は、現在インターネット上のセキュリティの問題として指摘されてい
る欠点に対してブルートフォース攻撃を行うプログラムです。このプログラムは、
全ての可能なパスワードの組み合わせ、特定のユーザーのパスワードに攻撃を
試みることが可能です。ファイアウォールの有無にかかわらず、現行の
UnSecure はWindows 95/98、 Windows NT、Mac、Unix、その他の OS のサーバ
のほとんどに対して適用可能です。
4. Windump 2.02b (Windows 95/98/NT/2000)
著者: Loris Degioanni, analyzer@netgroup-serv.polito.it
関連するURL:
http://www.securityfocus.com/data/tools/WinDump.exe
WinDumpは、UNIX 用の最も用いられている TCPDump の Windows プラットホー
ムへの移植版です。WinDump は TCPDump とほぼ互換であり、幾種類の複合ルー
ルに従ったネットワーク監視と診断に用いる事ができます。Windwos 95/98、NT
環境で使用可能です。
WinDump プロジェクトは、Windows 用の libpcap ライブラリのフルセット、
BPF 依存で実装するネットワークキャプチャードライバーを含んでいます。pcap
ライブラリを用いる UNIX アプリケーションの移植を行うためにこのライブラリ
がダウンロード可能です。
5. VoidEye CGI scanner (Windows 95/98/NT/2000)
著者: Duke, andrew@cube.ru
関連するURL:
http://www.securityfocus.com/data/tools/voideye.zip
Void Eye は119種類の既知の弱点を調べるCGIスキャナーです。
6. Py-Libpcap (Linux)
著者: Aaron Rhodes
関連するURL:
http://www.securityfocus.com/data/tools/py-libpcap-22Feb99-0147.tar.gz
このモジュールは、libpcapライブラリを用いて捕らえたパケットを処理で
きるパイソン機能を実装させる事ができます(tcpdumpや他のパッケージを用
いて)。現在はLinuxで使用できます。
Translated by Yoriyuki Sakai (I-VII), Hiroki Kimura (VIII)
LAC <URL: http://www.lac.co.jp/>
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>
iQA/AwUBOMPmQZQwtHQKfXtrEQIuugCeOHZcMi4mX9VUqv+5zbO6AMdStOQAoNgZ
7SRHAg/jKLXl105YnvjT5HwD
=V5Kb
-----END PGP SIGNATURE-----