Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200003071109.BFJ99679.BBJLT@lac.co.jp> Date: Tue, 7 Mar 2000 11:09:21 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: Security Focus Newsletter #31 2000-02-28 -> 2000-03-05 X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 Security Focus Newsletter 第 31 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 Security Focus Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて います。 ・Security Focus Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる 形式のハイパーリンクも上記に準じてください。 1) - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- Security Focus Newsletter 第 31 号 目次: CORE SDI 社のご提供による Security Focus がお送りする週刊ニューズレター の第 31 号へようこそ。 http://www.core-sdi.com/ I. 今週のハイライト 1. Info.Sec.Radio is on the air! 2. SecurityFocus.com is looking for writers. 3. New Guest Feature: 'Seeds may already be sown for worse attacks' by Gene Kim II. 今週の BUGTRAQ から 1. Sun Internet Mail Server Cleartext Passwords During Installation Vulnerability 2. RedHat Single User Mode Authentication Vulnerability 3. SSH xauth Vulnerability 4. Corel Linux buildxconfig Vulnerabilities 5. Corel Linux setxconf Vulnerability 6. Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility 7. Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities 8. RedHat man Buffer Overrun Vulnerability 9. Lynx Long URL Buffer Overflow Vulnerabilities 10. Trend Micro OfficeScan DoS Vulnerabilities 11. EZShopper Remote Command Execution Vulnerability 12. HP OpenView OmniBack DoS Vulnerability 13. Serv-U FTP Server Path Disclosure Vulnerability 14. Foundry Networks ServerIron TCP/IP Sequence Predictability Vulnerability 15. nmh Buffer Overflow Vulnerability 16. SCO cu Vulnerability 17. Linux "dump" Buffer Overflow Vulnerability 18. Allaire ColdFusion Path Disclosure Vulnerability 19. Realsecure DoS Attack Subversion Vulnerability 20. Realsecure CGI Attack Subversion Vulnerability 21. Netscape Enterprise Server GET Request Vulnerability 22. Axis StorPoint CD Authentication Vulnerability 23. ht://dig Arbitrary File Inclusion Vulnerability 24. HP-UX Ignite-UX Blank Password Field Vulnerability 25. DNSTools Input Validation Vulnerability 26. Rit Research Labs "The Bat!" X-BAT-FILES Vulnerabilities 27. Corel Linux Dosemu Distribution Configuration Vulnerability 28. SGI InfoSearch fname Vulnerability 29. Additional Patches III. Security Focus の上位6位の記事 1. US Sees Progress in Hack Probe (Wed Mar 01 2000) 2. NSA Not To Violate Privacy (Wed Mar 01 2000) 3. Mitnick to Lawmakers: People, Phones are Weakest Links (Thu Mar 02 2000) 4. Hatch Won't Hatch Clinton Net Security Idea Wed (Fri Mar 01 2000) 5. Hacker attack latest in string of online credit card thefts (Fri Mar 01 2000) 6. Computer crime 'a problem' for police (Fri Mar 01 2000) IV. 今週の INCIDENTS から V. 今週の VULN-DEV RESEARCH LIST から VI. 求人案内(日本語訳なし) VII. セキュリティ調査 VIII. Security Focus が選ぶ上位6位のツール I. 今週のハイライト - ------------------- 1. Info.sec.radio is on the air! (日本語訳なし) 2. Interested in writing articles on Intrusion Detection or Incident Handling for SecurityFocus.com? (日本語訳なし) 3. New Guest Feature: 'Seeds may already be sown for worse attacks ' by Gene Kim 現在、 Guest Feature Forum では Tripwire 社の Gene Kim 氏がつい最近 生じた DDoS 攻撃に付随した事項についての解説を行っています。そして、 将来における類似のより悪意をこめた攻撃がどのように行えうるのかについ ても解説を行っています。 URL: http://www.securityfocus.com/templates/forum_message.html?forum=2&head=968&id=968 II. 今週の BUGTRAQ から 2000-02-28 から 2000-03-05 まで - ----------------------------------- 1. Sun Internet Mail Server Cleartext Passwords During Installation Vulnerability BugTraq ID: 1004 リモートからの再現性: なし 公表日: 2000-02-19 関連するURL: http://www.securityfocus.com/bid/1004 まとめ: Solaris ISP Server 2.0 パッケージとして提供されているSun の Sun Internet Mailer には弱点がある。インストール中に /tmp/sims_setup.dat というファイルが作成されるのであるが、このファイルにはこの製品に関連する べてのパスワードが平文で記録されている。しかも、すべてのユーザがこのファ イルを読み出し可能である。 2. RedHat Single User Mode Authentication Vulnerability BugTraq ID: 1005 リモートからの再現性: 未詳 公表日: 2000-02-23 関連するURL: http://www.securityfocus.com/bid/1005 まとめ: RedHat Linux 6.0 がシングルユーザモードで起動する際のシェルの呼び出しを 保護する方法には弱点がある。この RedHat ディストリビューションではシン グルユーザモードに切り替える際に root のパスワードの入力を求める。しかし、 その際に CTRL+C (これは SIGINT シグナルを与えることになる) を与えること で、ただちに root ユーザのシェルが利用可能になってしまうのである。 3. SSH xauth Vulnerability BugTraq ID: 1006 リモートからの再現性: あり 公表日: 2000-02-24 関連するURL: http://www.securityfocus.com/bid/1006 まとめ: ssh のデフォルト設定には ssh クライアントのセキュリティ上の危険をもたら す可能性がある弱点がある。デフォルトで ssh は X プトロコールを転送する ためにネゴシエーションを行う様になっている。このネゴシエーションはユーザ がログインできるために xauth プログラムがクッキーをリモートのコンピュー タの認証用キャッシュに設定することで行われる。もしセキュリティ上の問題を 抱えるリモートコンピュータで xauth プログラムが動作しているか、あるいは リモートコンピュータのスーパーユーザが信頼できない場合 xauth プログラム が使うキーはセキュリティ上の問題を抱えてしまう。そして問題を抱えたままで クライアントコンピュータとの接続に使われてしまうのである。 この問題により、クライアントコンピュータの幅広いセキュリティ上の問題を引 き起こせる事になる。 4. Corel Linux buildxconfig Vulnerabilities BugTraq ID: 1007 リモートからの再現性: なし 公表日: 2000-02-24 関連するURL: http://www.securityfocus.com/bid/1007 まとめ: Corel Linux 1.0 に含まれる buildxconfig プログラムには問題がある。この プログラムを用いることでローカルユーザが自分の権限を上昇させることがで きるのである。 - -f と-x フラグについての引数チェックを失敗しているため、攻撃者は既存の ファイルを追加することが可能であり、また存在していなかったファイルをも 作成できてしまうのである。-f 引数を使い、かつそこへ存在しないファイル名 を指定することでファイルへ情報を追加可能である。-x 引数を使い、かつファ イルが存在する場合、 X サーバが選択するファイルへのパスのうちで、もっと も最初に選択されるファイルの最初の 1 行を剥ぎ取ることができるのである。 もしもこれら両方の引数を利用した場合、すなわち存在しないファイル名を指 定し、ファイルが作成された場合にはシステム内のすべてのユーザに対してファ イルへ読み出し、書き込み、実行権限が与えられてしまう。 5. Corel Linux setxconf Vulnerability BugTraq ID: 1008 リモートからの再現性: なし 公表日: 2000-02-24 関連するURL: http://www.securityfocus.com/bid/1008 まとめ: Corel Linux 1.0 に含まれる setxconf ユーティリティには弱点がある。 まず setxconf に -T オプションを与えて実行すると euid root で xinit が起 動される。次いで xinit は起動された後 ~/.xserverrc の内容を 解釈する。 従って悪意あるユーザは root 権限で実行コマンドを ~/.xserverrc 内に設定 しておけるのである。 6. Bay/Nortel Networks Nautica Marlin Denial of Service Vulnerablility BugTraq ID: 1009 リモートからの再現性: あり 公表日: 2000-02-25 関連するURL: http://www.securityfocus.com/bid/1009 まとめ: Nortel/Bay Networks Nautica Marlin ルータにはポート番号 161 (SNMP) で 0 バイトの UDP パケットを与えることでルータをクラッシュさせられる問題 がある。この問題は NMAP 等の UDP スキャナプログラムを用いることで引き 起こし可能である。 7. Nortel Netgear ISDN RH348 and RT328 Denial Of Service Vulnerabilities BugTraq ID: 1010 リモートからの再現性: あり 公表日: 2000-02-25 関連するURL: http://www.securityfocus.com/bid/1010 まとめ: Nortel networks 社の Netgear ISDN RH348 および RT328 ルータには多くの 問題がある。これらの問題はルータへの DoS 攻撃となり、ルータの良好な運 用を妨害してしまう。 Denial of Service 1: NMAP の様なツールを用いて SYN スキャニングをルータに対して行っている場 合、telnet での接続を妨害し、ルータを利用できなくさせてしまう。 Denial of Service 2: telnet コネクションをルータとの間で張った場合、接続中のユーザが認証され たかどうかに依らず、他の telnet 接続を受け入れないのである。 Denial of Service 3: ICMP フラッドのリダイレクトをルータへ向けることでルータのパケットのルー ティング動作を止めることができてしまう。この場合、フラッドが止んでから 復旧までには約 30 秒かかってしまう。 Denial of Service 4: このルータは RIP パケットを両方のインタフェースを起点として受け入れ、 適用できてしまう。従って、攻撃者は正しくないルートへパケットを流せてし まえるか、他のマシンを通じてトラフィックを流せてしまうのである。 Denial of Service 5: 63000 から 65000 バイトの長さの 1 つの UDP パケットを送ることでルータを 30 秒間、機能停止可能である。 Denial of Service 6: NAT が用いられている際、特定の種類のトラフィックの効率が低下する。この 問題の影響を受けるサービスには IRC、DCC、Real Audio/Video である。 Denial of Service 7: NAT モードで 12 時間に渡り接続されていた場合、トラフィックがしばしば落 とされてしまうことがある。活動中のコネクションは影響を受けないが、新規 に張られるコネクションが張られなくなってしまうのである。 8. RedHat man Buffer Overrun Vulnerability BugTraq ID: 1011 リモートからの再現性: なし 公表日: 2000-02-26 関連するURL: http://www.securityfocus.com/bid/1011 まとめ: RedHat Linux で提供される man プログラムの実装にはバッファオーバーフロー を引き起こす弱点がある。注意深く作成された実行用コードを長いバッファ内 に与え、それを MANPATH 環境変数内に含めることで攻撃者が egid man を取得 できてしまえる可能性がある。 Pawel Wilk によってこの攻撃についての概要が説明されている。この攻撃につ いては対応する BugTraq ID の Credit セクションからこの問題、すなわち攻 撃者が別のmanpage を作成することでコードが実行できてしまえるという問題 について情報が入手可能である。別の manpage を参照できてしまえるため、 コードは man を実行しているユーザの権限で実行されてしまえ、もしユーザ が root だった場合、root 権限が入手できてしまえる。 9. Lynx Long URL Buffer Overflow Vulnerabilities BugTraq ID: 1012 リモートからの再現性: あり 公表日: 2000-02-27 関連するURL: http://www.securityfocus.com/bid/1012 まとめ: Linx の特定のバージョンに存在する特定のバッファオーバーフローが生じる条 件を用いることでリモートユーザが Lynx が動作しているコンピュータへアク セスできてしまえる問題がある。この問題は Lynx が特定の状況下で長い URL を取り扱う方法の問題に由来しており、例えば、Lynx では長い URL 表記の HTTP と ftp で lynx に指示を与えた場合、それは lynx がプロキシを利用し て動作している場合にバッファオーバーフローの引き金となり得る。付け加え るならば、長い URL を含むページのソースを参照することでオーバーフロー のトリガとなり得る。 10. Trend Micro OfficeScan DoS Vulnerabilities BugTraq ID: 1013 リモートからの再現性: あり 公表日: 2000-02-26 関連するURL: http://www.securityfocus.com/bid/1013 まとめ: Trend Micro OfficeScan はアンチウイルス製品でありネットワークの関所に 設置可能な製品である。管理用のソフトウェアをインストールしている間、 コンピュータの管理者は Web サーバからソフトウェアを管理するのか、ある いはファイルサーバから管理するのかを尋ねられる。もし Web サーバが選択 された場合、OfficeScan を動作させているクライアントはポート番号 12345 で定期的にデータベースの更新とOfficeScan マネージャからの他の管理コマ ンドを待ち受ける。 この状態で攻撃者は何種類かの使用不能攻撃を引き起こし可能である。 ランダムなデータをポート番号 12345 に送り付けることで、tmlisten.exe を 用いて CPU 利用率を 100% にまで押し上げたり、Visual C++ 由来のエラーを 発生させ、コンピュータを停止させられるのである。 しかも、5回を越える連続したコネクションがポート番号 12345 にランダムな データを用いて送り付けらえた場合、結果としてサービス停止を招いてしまう。 この場合、サービスは停止されねばならず、クライアントマシン毎に再起動が 必要になってしまう。 しかも、ネットワークスニファを用いることでローカルユーザが管理用コマン ドの状態を採取できてしまうのである。管理用コマンドは改変可能で、様々な 影響を与えるために他のクライアントに対して適用可能である。リクエストの 最後の 2 バイトを改変することでクライアントの応答を変更可能である。 04: OfficeScan の完全なアンインストール 06: スキャン開始 07: スキャン停止 クライアントはサーバへいくつかの CGI プログラムを介してリクエストを出す。 これは設定情報を求めるためである。設定に用いられるプログラムの中の 一つ、cgiRqCfg.exe プログラムはスキャンを行うことで設定情報を入手させて しまう弱点がある。 攻撃者が Web サーバを正しい管理用 Web サーバと同一の IP アドレスで構築 していた場合、正しい管理用 Web サーバの OfficeScan に用いるファイル構成 はそっくり攻撃者の Web サーバへ複製され、正しい管理用サーバは使えなくなっ てしまう。これはインストールされたもののスキャン対象のファイルを制限して (例えば .txt ファイルのみをスキャンする等) いなかったり、スキャン対称の ドライブ (リムーバル、ハードディスク、CD-ROM ドライブをスキャンしないよ うに、等) を制限していなかった場合、他の種類の DoS 攻撃を招く可能性があ る。 なお、クライアント内ではウイルスに感染したファイルをローカルマシン中のい かなる場所へも移せてしまえるという問題もある。 11. EZShopper Remote Command Execution Vulnerability BugTraq ID: 1014 リモートからの再現性: あり 公表日: 2000-02-27 関連するURL: http://www.securityfocus.com/bid/1014 まとめ: EZShopper は Alex Heiphetz Group, Inc. から提供されている Perl で作成さ れた電子商取引を行うためのソフトウェアパッケージである。このソフトウェア には open() 関数の呼び出し時にユーザが入力した内容をそのまま与えてしまう というチェック漏れがあるためにリモートから対象となったホストの権限を得ら れてしまう、という問題がある。 問題点は EZShopper に含まれる loadpage.cgi と search.cgi の 2 種類のスク リプトにある。 第 1 の問題点は、open() へ与えられた値がそのままファイルを呼び出してしま い、loadpage.cgi というプログラムに渡されてしまうことである。指定された ファイル名にはなんらチェックはかけられていないため、もし ../ の様に意図 的なファイルやパスがファイルを読み出すための引数として与えられた場合、 ../ はそのまま解釈されてしまい、ファイルシステム中の意図したファイルは 表示されてしまう。(この場合、Web サーバの uid がアクセスできるファイル に限られる) また、引数にパイプが含まれている場合、意図的なコマンドがターゲットとなっ たコンピュータ上で実行できてしまい、攻撃者が Web サーバの uid でリモート からアクセスできてしまえる。(これは通常 nobody 権限である) 第 2 の弱点は最初の弱点とは異なる種の弱点ではあるが、やはり search.cgi に存在する。search.cgi では template と database の 2 つの入力値に対し てはチェックが行われていない。(これらの入力値はその後、open() へ渡され る) そのため、search.cgi を通じてファイルや実行コマンドを介して参照できて しまうのである。 12. HP OpenView OmniBack DoS Vulnerability BugTraq ID: 1015 リモートからの再現性: あり 公表日: 2000-02-28 関連するURL: http://www.securityfocus.com/bid/1015 まとめ: HP OpenView OmniBack のポート番号 5555 へ複数コネクションを与えることで 100% の利用率を引き起こし、プログラムのクラッシュを引き起こせる。コネク ションを切断することではこの問題を回避できず、プログラム自体の手動での 再起動が問題を解決するために必須である。 13. Serv-U FTP Server Path Disclosure Vulnerability BugTraq ID: 1016 リモートからの再現性: あり 公表日: 2000-02-29 関連するURL: http://www.securityfocus.com/bid/1016 まとめ: Serv-U のデフォルト設定には以下の状況下で物理的なフルパス情報を返してし まう問題がある。 存在しないファイルや存在しないディレクトリへ移動しようとした際、以下に 示す様な情報が参照できてしまえる。 550 /d:/ftproot/nonexist: No such file or directory. しかも実際に存在するディレクトリに移動した際には以下の様な情報が入手で きてしまえるのだ。 250 Directory changed to /d:/ftproot/exist この様な情報は他の攻撃へ簡単に利用可能である。 14. Foundry Networks ServerIron TCP/IP Sequence Predictability Vulnerability BugTraq ID: 1017 リモートからの再現性: あり 公表日: 2000-02-28 関連するURL: http://www.securityfocus.com/bid/1017 まとめ: Foundry Networks 製の ServerIron スイッチ製品はシーケンス番号が予測可能 な TCP 実装を使っている。そのため様々なセッションハイジャック、ブライン ドセッションスプーフィング攻撃に曝せてしまえ、結果としてスイッチを遠隔 操作できてしまえる可能性がある。 ServerIron 製品は telnet、snmp、そして新しいバージョンでは Web サーバを 管理用に使っている。このため、TCP サービス (telnet と Web) への接続元の 情報を改ざんしたスプーフィングされたコネクションが行われる可能性がある。 さらには、コネクションハイジャック手法を元にした他の攻撃をももたらす可 能性もある。 この問題は初期シーケンス番号 (ISN; the initial sequence number) がコネ クション毎に増加されていることに由来し、次のシーケンス番号がコネクショ ンを張るだけから予測できてしまうことを示している。 15. nmh Buffer Overflow Vulnerability BugTraq ID: 1018 リモートからの再現性: あり 公表日: 2000-02-28 関連するURL: http://www.securityfocus.com/bid/1018 まとめ: nmh メイラーの 1.0.2 以前のバージョンにはバッファオーバーフローが生じる と報告されている。もし、攻撃者が mhshow が意図的なコードをメイルの内容 を参照した際に実行する様に作成された MIME 形式のメッセージを作成した場 合、これが生じる可能性がある。この問題は攻撃者がメイルが読み出されつつ あるコンピュータへリモートからアクセスできてしまえる可能性がある。 なお、この問題に関する詳細は公開されていない。 16. SCO cu Vulnerability BugTraq ID: 1019 リモートからの再現性: なし 公表日: 2000-02-08 関連するURL: http://www.securityfocus.com/bid/1019 まとめ: SCO Unixware の 7.0 から 7.1.1 までのバージョンに含まれる cu プログラム には弱点がある。この弱点によりローカルのユーザが権限レベルを上昇させる ことができてしまう。詳細な内容は SCO からは提供されていない。 17. Linux "dump" Buffer Overflow Vulnerability BugTraq ID: 1020 リモートからの再現性: なし 公表日: 2000-02-28 関連するURL: http://www.securityfocus.com/bid/1020 まとめ: RedHat Linux (そして他のディストリビューションでも生じる可能性がある) ではバックアップユーティリティ、dump が提供されている。dump は /sbin にインストールされ、setuid と setgid が root である。もし -f 引数に予定 外の大きさの引数が与えられた場合、dump は超過データによるスタックの上書 きが発生し停止してしまう。引数が意図的に作られた場合、スタック中の EIP (インストラクションポインタ、あるいはリターンアドレス) を置き換えてしま い、意図的なコードを dump のパーミッション (gid root) で実行させてしま えるのである。dump コマンドでは setuid パーミッションは落とされている。 しかし setgid パーミッション はそのままである。そこで、この弱点を突くこ とで完全にシステム内の権限を入手できてしまえる setgid root 権限を取得で きてしまう。 18. Allaire ColdFusion Path Disclosure Vulnerability BugTraq ID: 1021 リモートからの再現性: あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1021 まとめ: 既存の APPLICATION.CFM あるいは ONREQUESTEND.CFM に HTTP リクエストを直 接与える事により、これらファイルがエラーメッセージをファイルが置かれた 実際の物理パスを含んだ状態で返してしまう。 19. Realsecure DoS Attack Subversion Vulnerability BugTraq ID: 1022 リモートからの再現性: あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1022 まとめ: Internet Security Systems が提供するネットワーク攻撃発見ソフトウェア (Network Intrusion Detection software)、Real Secure には、攻撃者が IP フラグメントの組を利用した使用不能攻撃を発見すべきにも関わらず、発見で きない、という問題がある。 これはソフトウェアがパケットのシグネチャに依存しているためであり、もし も巧妙にシグネチャが変更されていた場合、攻撃を指摘できないのである。 この問題を発見した攻撃は Teardrop DoS 攻撃とその変種である。 変種の例としては例えば、SynDrop、NewTear と Targa 攻撃がある。 Teardrop DoS 攻撃は様々なベンダの TCP/IP スタックの問題点を突いた攻撃 である。この問題はどのように TCP/IP スタックがフラグメント化された IP パケットを的確に取り扱っているか、という点に由来する。 この攻撃は 2 つ以上のフラグメント化された IP データグラムを送り付けるこ とで開始できる。最初のパケットは 0 オフセットのフラグメントであり、ペイ ロードのサイズは N とする。そして MF ビットが立てられているとする。 (データの内容には関係しない) 第 2 番目のパケットは最後のフラグメントで、 MF == 0 である。そして N 未満の負方向のオフセットであり、ペイロードも N 未満である。 この結果、TCP/IP スタックはパケットを取り扱うためにしばしば大量な資源を 割り当ててしまう。これはターゲットとなったコンピュータのメモリの実装量に 依存し、不適切なメモリの利用によるシステムの停止や特別の場合のシステムの 再起動をもたらす。 20. Realsecure CGI Attack Subversion Vulnerability BugTraq ID: 1023 リモートからの再現性: あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1023 まとめ: Internet Security Systems が提供するネットワーク攻撃発見ソフトウェア (Network Intrusion Detection software)、Real Secure の特定のバージョン には発見すべき Web サーバ内の CGI プログラムへの攻撃を見逃してしまう 問題がある。 この問題は Whisker スキャナという CGI プログラムの弱点を、既知のシグネ チャを使って攻撃を発見するネットワーク攻撃発見ソフトウェアをすり抜ける 技術を使ってスキャンし、攻撃するツールを使った攻撃者によって使われる可 能性がある。 Whisker が使っている方法については多くが議論されている。これについては 対応するBugTraq ID の Credit セクションから Whisker の Web サイトへのポ インタがあるため、そちらを参照されたい。 以下に述べる問題点についての説明はこの問題の発見者、Stephane Aubert による Bugtraq への投稿からの引用である。 「Whisker v1.3.0a と HTTP の HEAD メソッドを使うことで、ステルスス キャンは可能である。また、この際 GET メソッドも -M2 オプションを与 える事で利用可能である。その場合、ファイルのパーミッションの詐称 (0, 6, 両方) がスキャンを検知されないために利用可能なのである。」 例: ./whisker.pl -h xxx.yyy.zzz.ttt -I 1246 ./whisker.pl -h xxx.yyy.zzz.ttt -I 0 -M 2 ./whisker.pl -h xxx.yyy.zzz.ttt -I 6 -M 2 ./whisker.pl -h xxx.yyy.zzz.ttt -I 60 -M 2 21. Netscape Enterprise Server GET Request Vulnerability BugTraq ID: 1024 リモートからの再現性: あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1024 まとめ: Netscape Enterprise Server 3.6 へ 4080 文字を越える GET リクエストを与 えた場合、httpd.exe は停止し、ワトソン博士が起動する。 この問題を利用してリモートから意図的なコードが実行可能である。 Netware あるいは Solaris で動作する Netscape Enterprise Server 3.5 ではこの問題が再現されるかどうかは不詳である。 22. Axis StorPoint CD Authentication Vulnerability BugTraq ID: 1025 リモートからの再現性: あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1025 まとめ: Axis Communications では Axis StorPoint CD、Axis StorPoint CD/T、 Axis StorPoint CD ROM サーバ (実際はハードウェア装置である) を提供し ている。 これらのアプリケーションではリモートからの管理機能を SNMP MIB-II と独 自のエンタープライズ MIB、それからシステムで提供している Web サーバ経 由で提供している。この Web を利用した管理機能を使うことで、ユーザはユー ザ名とパスワードによる認証を完全にバイパスすることが可能である。これは 特定の URL を指定することで行える。 ログインを行うページは以下の URL であるが、 http://server/config/html/cnf_gi.htm 以下の様に指定することで、 http://server/cd/../config/html/cnf_gi.htm ユーザはログインページをすり抜けることが可能であり、関連する管理ページ の機能を入手できてしまう。 23. ht://dig Arbitrary File Inclusion Vulnerability BugTraq ID: 1026 リモートからの再現性: あり 公表日: 2000-02-29 関連するURL: http://www.securityfocus.com/bid/1026 まとめ: ht://dig は UNIX で動作する Web ページ内容のサーチエンジンである。 このソフトウェアはファイルのインクルード機能を設定ファイルから追加可能 である。しかしこの際 ` (引用符) で囲まれた文字列がインクルードされるファ イルへのパスとして有効になってしまうのである。 例えば、 ome_parameter: `var/htdig/some_file` ht://dig はインクルードファイルの設定をフォームからの入力でも設定可能で ある。しかし、インクルードを指示されたすべてのファイルは Web サーバ上の いかなるファイルであっても有効に処理されてしまうのである。 24. HP-UX Ignite-UX Blank Password Field Vulnerability BugTraq ID: 1027 リモートからの再現性: あり 公表日: 2000-02-17 関連するURL: http://www.securityfocus.com/bid/1027 まとめ: HP-UX が稼動しているシステムにおいては /etc/passwd のフィールドにはトー クンキャラクタとして * が含まれている。しかし特定の状況下において、こ のフィールドは空であるため、HP-UX が稼動しているシステムを危険な状況に 曝すことになってしまう。トークンキャラクタを空にする特定の状況を引き起 こす要因は Ignite-UX でシステムのイメージを作成することである。このユー ティリティは通常の状態に /etc/passwd ファイルを作成しない。したがって、 もし作成されたイメージがシステムに読み込まれた際、/etc/passwd には空の 項目が残ったままになってしまうのである。 25. DNSTools Input Validation Vulnerability BugTraq ID: 1028 リモートからの再現性: あり 公表日: 2000-03-02 関連するURL: http://www.securityfocus.com/bid/1028 まとめ: DNSTools Software が提供する DNSTools 1.0.8 には弱点がある。 (これはツールの配布元サイト等で示されているバージョンである) 特定の入力値の内容を操作することで意図的なコードが実行可能である。 問題は以下のコードにある。 $host_name = $CGI->param("host_name"); $domain_name = $CGI->param("domain_name"); $error_description = ""; my $error_code = system("/usr/local/dnstools/delete_mx -d \"$domain_name\" -n \"$host_name\""); エスケープ、あるいは入力値の確認は行われていない。従って攻撃者は意図的 なコードを実行可能である。これは Web サーバ、あるいは CGI プログラムを 動作させているユーザの権限で実行される。 26. Rit Research Labs "The Bat!" X-BAT-FILES Vulnerabilities BugTraq ID: 1029 リモートからの再現性: あり 公表日: 2000-03-05 関連するURL: http://www.securityfocus.com/bid/1029 まとめ: Rit Research Labs では "The Bat!" for Windows というメイラー (訳注: これは Mail User Agent, MUA です)を提供している。もし添付ファイ ルがこのメイラーを利用しているユーザへ送られた際、メイラーは添付ファイ ルをシステム内の特定のフォルダへ保存する。特定のフォルダへのパスは到着 したメイルのメッセージ内に X-BAT-FILES という拡張ヘッダ形式で追加されて いる。 到着したメイルのメッセージが他の受信者へ転送される際、このメイラーは X-BAT-FILES という拡張ヘッダをそのままにしておくため、受信者は送信者の 環境でメイルの添付ファイルがすべて保存される既定のフォルダを見つけ出せ てしまえるのである。 しかも、この拡張ヘッダを詐称することで、つまりこのメイラーのユーザへ すでに X-BAT-FILES ヘッダを付けた状態でメイルを送り付けることによって、 このメイラーはメイルがさらに転送された再に特定のファイルを添付して送り 出せてしまうのである。例えば、A から B へ X-BAT-FILES: C:\autoexec.bat というヘッダでメイルを送りつけ、さらに C に転送された場合、C は B の autoexec.bat のコピーのついたメッセージを受け取ることになるのである。 27. Corel Linux Dosemu Distribution Configuration Vulnerability BugTraq ID: 1030 リモートからの再現性: なし 公表日: 2000-03-02 関連するURL: http://www.securityfocus.com/bid/1030 まとめ: Corel Linux 1.0 で提供されている DOS エミュレータ、Dosemu には設定中に 問題がある。Dosemu の解説文書は system.com バイナリはユーザが利用するべ きではない、と警告している。これは system() を呼び出して実装されている ためである。ユーザはこのコマンドを root 権限で実行可能で、システムへ、 ユーザ権限を上昇可能である。 この弱点は Dosemu の解説文書に何年もの間に渡り、記載されている。 28. SGI InfoSearch fname Vulnerability BugTraq ID: 1031 リモートからの再現性: あり 公表日: 2000-03-05 関連するURL: http://www.securityfocus.com/bid/1031 まとめ: InfoSearch パッケージは man ページや他の文書を HTML を利用した Web コ ンテンツに変換する。その際、検索用に用いられるフォーム、infosrch.cgi は fname 変数の内容を適切に解釈できないためリモートの Web 利用者によっ て Web サーバのユーザ権限で指定したコマンドの実行を可能にさせてしまう。 29. Additional Patches 以下は今週に提供されたアドバイザリで提供されていることが確認されたパッ チである。 対応する弱点: MySQL Unauthenticated Remote Access Vulnerability Bugtraq ID: 975 公表日: 2000-02-08 パッチの公表日: 2000-02-28 Patch Source: FreeBSD mysql322-server package port for FreeBSD が提供されている。 以下の URL を参照されたい。 http://www.securityfocus.com/bid/975 対応する弱点: IRIX fam service Vulnerability Bugtraq ID: 353 公表日: 1997-07-14 パッチの公表日: 2000-03-01 Patch Source: SGI SGI は IRIX 用のパッチが適用されたバージョンの fam を提供している。 詳しくは以下の URL を参照されたい。 http://www.securityfocus.com/bid/353 III. Security Focus の上位6位の記事 - ------------------------------------ 1. US Sees Progress in Hack Probe (Wed Mar 01 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.wired.com%2fnews%2fbusiness%2f0,1367,34662,00.html 2. NSA Not To Violate Privacy (Wed Mar 01 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.currents.net%2fnewstoday%2f00%2f03%2f01%2fnews14.html 3. Mitnick to Lawmakers: People, Phones are Weakest Links (Thu Mar 02 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.securityfocus.com%2fdata%2fnews%2fklp-030200.html 4. Hatch Won't Hatch Clinton Net Security Idea Wed (Fri Mar 01 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.newsbytes.com%2fpubNews%2f00%2f144974.html 5. Hacker attack latest in string of online credit card thefts (Fri Mar 01 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fnews.cnet.com%2fnews%2f0-1007-200-1563391.html 6. Computer crime 'a problem' for police (Fri Mar 01 2000) URL: http://www.securityfocus.com/templates/frame.html?adgroup=secnews&url=/external/http%3a%2f%2fwww.technologyPost.com%2fenterprise%2fDAILY%2f20000303103909111.asp%3fSection%3dMain IV. 今週の INCIDENTS から - -------------------------- 1. FW: PPark (was: Win 95 Question) 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=SIMEON.10003031039.Q22580@bluebottle.itss 2. Cracked; rootkit - entrapment question? 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=14527.56139.80160.482979@cdp.localnet 3. Administrivia 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000303085038.X13630@securityfocus.com 4. unknown port numbers 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=Pine.LNX.4.10.10003021101200.31756-100000@linux.dec.com.ro 5. auto-reporting to ISPs 関連するURL: http://www.securityfocus.com/http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000303022410.18205.qmail@luvewe.bonch.org 6. @home: Is *anyone* really home there 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=m12QdEs-000g83C@most.weird.com 7. Port 65535 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=XFMail.000302155440.Mike.Murray@utoronto.ca 8. CNET Hackers hit e-commerce site 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=004001bf8481$51115040$618743cf@giftssoft.com 9. Idiotic question 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=m12QZnc-000g83C@most.weird.com 10. E-mail attatchment 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=00f601bf847b$cadba7a0$1ed13604@Pavilion 11. Complaining to providers (was: @home: Is *anyone* really home there) 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=20000302094541.A26091@sec.sprint.net 12. PPark (was: Win 95 Question 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=SIMEON.10003011509.F15754@bluebottle.itss 13. Recon from Pakistan 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-01&thread=D6C7B533F7C4D311BBD800001D121E7F01527F@clmail.cmccontrols.com V. 今週の VULN-DEV RESEARCH LIST から - ------------------------------------- 1. Microsoft Word may also be vulnerable 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=20000302194825.22956.qmail@securityfocus.com 2. [Fwd: spoofing the ethernet address] 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BE8A14.D007C10E@defcom-sec.com 3. Kodak Color Management System 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=Pine.BSF.4.10.10003022155300.78453-100000@officemail.starmedia.com 4. spoofing the ethernet address 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=2F8BA7CCAFDFD211B3150008C70897DA593774@mailny01.ny.scient.com 5. Seagate Crystal Reports Smartviewer question 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=AFF76951D21FD311A00D0090273F1CBC6BF3AE@TWNYEXMB01 6. Single SignOn 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BF2817.CF75AED5@thievco.com 7. spoofing the ethernet address (PPPoE) 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=38BE94E9.B0F04CD1@sympatico.ca 8. Buffer overflows on Netware 4x and 5x 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=s8bd5ef4.002@mail.erca.nl 9. Information on Raptor 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=200003011407.JAA95621@phat.bastard.net 10. Eudora incoming email affects behavior 関連するURL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-02-29&thread=Pine.LNX.4.10.10002291218370.9587-100000@blue.localdomain VI. 求人情報 (日本語訳なし) - ---------------------------- VII. セキュリティ調査 2000-02-21 から 2000-02-28 まで - ------------------------------------- 今週の質問: 「DDoS 問題はベンダや報道機関で誇大に伝えられていると思いますか?」 調査結果: いいえ。これはまさしく問題であり、多くの人々が耳を傾けるべきである 43% / 49票 はい。これは以前からこのコミュニティに参加している人々は知っている 問題であり、なぜ強い関心が払われねばならないのかが不明である。 56% / 63票 全投票数: 112 票 VIII. Security Focus が選ぶ上位6位のツール 2000-02-29 から 2000-03-05 - -------------------------------------------------------- 1. ShadowScan 1.00.093 (Windows 95/98、Windows NT) 著者: RedShadow 関連するURL: http://www.rsh.kiev.ua Shadow Advantis Administator Tools - Ping (SSPing)、Port Scanner、IP Scanner、Site Info (ターゲットで動作しているサービスの同定)、Network Port Scanner、Tracert、Telnet、Nslookup、Finger、Echo、Time、UPD test File Info、ファイル比較、Netstat、SysInfo、Crypt、ファイルの CRC、 DBF の参照と編集、DiskInfo、NTprocess、Keyboard テスト、DNS info Shadow Hack and Crack - WinNuke、Mail Bomber、POP3・HTTP・SOCKS・FTPの クラッキング(探査方法に従ったパスワードの同定)、Unix パスワードクラック、 sendmail 越しの finger、バッファオーバーフロー、SMP パスワードチェック、 CRK ファイル ShadowPortGuard - 特定のポートへのコネクションの発見コード Shadow Novell NetWare Crack - Novell NetWare 4.x 等のクラックツール 2. SecurityFocus.com Pager (Win95/98/NT) 著者: SecurityFocus.com 関連するURL: http://www.securityfocus.com/pager/sf_pgr20.zip このプログラムはユーザの皆様にブラウザを開き、コンテンツ内容を確認する ことなしに Security Focus が提供する Web サイトに追加された項目を確認 できる環境を提供します。 バックグラウンドで控えながら、ユーザが指定した周期でコンテンツを確認し、 システムトレイ内の点滅するアイコン、ポップアップメッセージ、これらの両 方で変更をお知らせします。(通知方法は設定可能です) 3. UnSecure 1.0 (Windows 95/98、Windows NT) 著者: SniperX, unsecure@sniperx.net 関連するURL: http://www.securityfocus.com/data/tools/UnSecure.zip UnSecure は、現在インターネット上のセキュリティの問題として指摘されてい る欠点に対してブルートフォース攻撃を行うプログラムです。このプログラムは、 全ての可能なパスワードの組み合わせ、特定のユーザーのパスワードに攻撃を 試みることが可能です。ファイアウォールの有無にかかわらず、現行の UnSecure はWindows 95/98、 Windows NT、Mac、Unix、その他の OS のサーバ のほとんどに対して適用可能です。 4. Windump 2.02b (Windows 95/98/NT/2000) 著者: Loris Degioanni, analyzer@netgroup-serv.polito.it 関連するURL: http://www.securityfocus.com/data/tools/WinDump.exe WinDumpは、UNIX 用の最も用いられている TCPDump の Windows プラットホー ムへの移植版です。WinDump は TCPDump とほぼ互換であり、幾種類の複合ルー ルに従ったネットワーク監視と診断に用いる事ができます。Windwos 95/98、NT 環境で使用可能です。 WinDump プロジェクトは、Windows 用の libpcap ライブラリのフルセット、 BPF 依存で実装するネットワークキャプチャードライバーを含んでいます。pcap ライブラリを用いる UNIX アプリケーションの移植を行うためにこのライブラリ がダウンロード可能です。 5. VoidEye CGI scanner (Windows 95/98/NT/2000) 著者: Duke, andrew@cube.ru 関連するURL: http://www.securityfocus.com/data/tools/voideye.zip Void Eye は119種類の既知の弱点を調べるCGIスキャナーです。 6. Py-Libpcap (Linux) 著者: Aaron Rhodes 関連するURL: http://www.securityfocus.com/data/tools/py-libpcap-22Feb99-0147.tar.gz このモジュールは、libpcapライブラリを用いて捕らえたパケットを処理で きるパイソン機能を実装させる事ができます(tcpdumpや他のパッケージを用 いて)。現在はLinuxで使用できます。 Translated by Yoriyuki Sakai (I-VII), Hiroki Kimura (VIII) LAC -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use iQA/AwUBOMPmQZQwtHQKfXtrEQIuugCeOHZcMi4mX9VUqv+5zbO6AMdStOQAoNgZ 7SRHAg/jKLXl105YnvjT5HwD =V5Kb -----END PGP SIGNATURE-----