SecurityFocus.com Newsletter #32 2000-03-06 -> 2000-03-12
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 32 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
引用に関する備考:
・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- -----------------------------------------------------------------------
- -----------------------------------------------------------------------
SecurityFocus.com Newsletter 第 32 号
目次:
SecurityFocus.com がお送りする週刊ニューズレターの第 32 号へようこそ。
http://www.securityfocus.com/
I. 今週のハイライト(日本語訳なし)
1. SecurityFocus.com hires Kevin Poulsen as Editorial Director
2. Excerpt from "Intrusion Detection" By Rebecca Bace
II. 今週の BUGTRAQ から
1. POC32 Telnet Vulnerability
2. MS IE HTML Help Shortcut Vulnerability
3. Microsoft Clip Art Buffer Overflow Vulnerability
4. Oracle for Linux Installer Vulnerability
5. Caldera OpenLinux 2.3 rpm_query CGI Vulnerability
6. Printtool Printer Share Password Compromise Vulnerability
7. Multiple Vendor mtr Vulnerability
8. StarOffice StarScheduler Remote Buffer Overflow Vulnerability
9. StarOffice StarScheduler Arbitrary File Read Vulnerability
10. Microsoft SQL Server Non-Validated Query Vulnerability
11. NT User Shell Folders Vulnerability
12. Microsoft Windows 95/98 MS-DOS Device Name DoS Vulnerability
13. Microsoft Windows AEDEBUG Registry Key Vulnerability
14. Multiple Firewall Vendor FTP "ALG" Client Vulnerability
15. IrcII DCC Chat Buffer Overflow Vulnerability
16. wmcdplay Buffer Overflow Vulnerability
III. Security Focus の上位6位の記事
1. Hacker 'Gatsby' Gets 18-Month Sentence (Mon Mar 06 2000)
2. Taiwan Says Ready If China Launches Internet Attack (Tue Mar 07
2000)
3. Tracing Internet Users Supported (Wed Mar 08 2000)
4. 'Coolio' Charged With Hacking Into L.A. Police Site (Thu Mar 09
2000)
5. Hactivists plan DDoS Web attack (Thu Mar 09 2000)
6. French Banks Hacked (Fri Mar 10 2000)
IV. 今週の INCIDENTS から
1. Cracked; rootkit - entrapment question? (Thread)
2. Port 65535 (Thread)
3. auto-reporting to ISPs (Thread)
4. ingreslock message (Thread)
5. UDP Probes (?) from port 28432 to 28431 ? (Thread)
6. firewall abusing (Thread)
7. UDP flood 28001-28003 (Thread)
8. getting to the point with DDoS (Thread)
9. Mail Server attack (Thread)
10. Weird UDP packets (Thread)
11. ftp scan (was Re: web related oddity) (Thread)
12. lots of interest in port 109 (POP2) (Thread)
13. web related oddity (Thread)
14. scans with spoofed address (was @home: Is *anyone*...)
(Thread)
15. DUP packet replies at tvguide.com (Thread)
16. UDP flood 28001-28003 (Thread)
17. Port 33434 and decoy-scanning (Thread)
18. Strange RPC? service entries. (Thread)
19. Undernet/telnet attempts? (Thread)
20. Cracked; rootkit - entrapment question? (Thread)
21. UDP Probes (?) from port 28432 to 28431 ? (Thread)
22. Mail and web server attack (Thread)
23. snmp (Thread)
24. ingreslock message (Thread)
25. Firewall (Thread)
V. 今週の VULN-DEV RESEARCH LIST から
1. [Fwd: Single SignOn] (Thread)
2. Aureate Software (Thread)
3. callbook in services ? (Thread)
4. TCP (Thread)
5. spoofing the ethernet address (Thread)
6. (another) MS Outlook hole in embedded metafiles? (Thread)
7. [Q] CORBA, IIOP (Thread)
8. spoofing the ethernet address (Thread)
9. callbook in services ? (Thread)
10. information being stored from cgi forms (Thread)
11. Extending the FTP "ALG" vulnerability to any FTP client
(Thread)
12. Security auditing of network infrastructure (Thread)
13. Attacking internal FTP servers via browsers (Thread)
14. Unwanted automagic processing (Thread)
15. How to Write Secure Code (Thread)
VI. 求人情報 (日本語訳なし)
VII. セキュリティ調査
1. Which remote accessing service presents the greatest security risks?
VIII. Security Focus が選ぶ上位6位のツール
1. BufOverP (Linux)
2. Nomad 0.1.0 (Linux,Solaris)
3. Fortify for Netscape (AIX, BSDI, Digital UNIX/Alpha, FreeBSD,
HP-UX, IRIX, MacOS, OS/2, Solaris, SunOS, Windows 95/98/NT)
4. Advanced ARJ Password Recovery (Windows 2000, Windows 95/98/NT)
5. VoidEye CGI scanner (Windows 95/98/NT/2000)
6. Py-Libpcap (Linux)
I. 今週のハイライト(日本語訳なし)
- ---------------------------------
1. SecurityFocus.com hires Kevin Poulsen as Editorial Director
2. New Guest Feature: Excerpt from "Intrusion Detection" By Rebecca Bace
II. 今週の BUGTRAQ から 2000-03-06 から 2000-03-12 まで
- --------------------------------------------------------
1. POC32 Telnet Vulnerability
BugTraq ID: 1032
リモートからの再現性: あり
公表日: 2000-03-07
関連するURL:
http://www.securityfocus.com/bid/1032
まとめ:
POC32 は POCSAG ポケットベルからのメッセージをポケットベルの呼び出し状
態を見張り、復号化するためのプログラムである。符号化されている状態のメッ
セージはコンピュータへ音声信号の状態で送られ、POC32 ソフトウェアで復号
化され、表示される。
POC32 は TCP/IP を利用してリモートからアクセス可能であり、この機能を停
止させるオプションも準備されている。しかし、機能が停止された後でも POC32
が提供するポート番号へ接続可能なのである。このプログラムへのコネクショ
ンは複数与える事ができるため、パスワードがブルートフォース攻撃で破られ
てしまう可能性がある。破られてしまった後、復号化されたポケットベルのメッ
セージを攻撃者は読めてしまえる。
デフォルトポート番号は 8000 であり、デフォルトのパスワードは password
である。
2. MS IE HTML Help Shortcut Vulnerability
BugTraq ID: 1033
リモートからの再現性 : あり
公表日: 2000-03-01
関連するURL:
http://www.securityfocus.com/bid/1033
まとめ:
Internet Explorer で提供されている window.showHelp() メソッドは HTML
形式のヘルプファイル (.chm) を開くという機能を提供している。
ヘルプファイルには現在のユーザ権限で動作する、実行ファイルへのショー
トカットが含まれている。ヘルプファイルは HTTP によっては開くことはで
きがいが、リモートにある .chm ファイルは Microsoft Network が提供され
ている (SAMBA も含まれる) サーバにある場合、参照できてしまえる。
従って、攻撃者が Netbios が利用可能なホストの .chm ファイルを指し示す
様なハイパーリンクを含んだ Web ページを作成できる場合、 .chm ファイル
によっていかなる犠牲者のコンピュータ上のプログラムや Netbios が利用可
能なサーバ上のプログラムを実行できてしまえる。
3. Microsoft Clip Art Buffer Overflow Vulnerability
BugTraq ID: 1034
リモートからの再現性 : あり
公表日: 2000-03-06
関連するURL:
http://www.securityfocus.com/bid/1034
まとめ:
Microsoft Clip Art Gallery にはリモートユーザがクリップアートアプリケー
ションをクラッシュできてしまえ、意図的なコードを実行可能な弱点がある。
クリップアートはいかなる Web サイトから入手可能で、ローカルギャラリー
に関連付けられる。.CIL と呼ばれる特定のファイル形式は新しく追加された
クリップアートをユーザに提供するために使われるが、ユーザが改ざんされた
長い連続したフィールドを持つ .CIL ファイルを悪意あるサイトから直接ある
いは悪意ある .CIL ファイルの作成元から送られた電子メールの添付ファイル
の形式でダウンロードできてしまえる点にあるのである。
4. Oracle for Linux Installer Vulnerability
BugTraq ID: 1035
リモートからの再現性 : なし
公表日: 2000-03-05
関連するURL:
http://www.securityfocus.com/bid/1035
まとめ:
Oracle 8.1.5i のインストールプログラムには弱点がある。Oracle のインス
トール用スクリプトは /tmp/orainstall というディレクトリを作成する。
オーナーは oracle:dba であり、モード は 711 である。このディレクトリ内
には orainstRoot.sh というスクリプトがモード 777 で作成される。インス
トールスクリプトは停止した後 orainstRoot.sh を実行するよう求めるが、
インストールスクリプトはディレクトリ、あるいはスクリプトの存在をなんら
確認しない。従って orainstRoot.sh からファイルシステム内の適当な場所
へシンボリックリンクを作成可能である。これは .rhosts ファイルを簡単に
作成するために利用され、root アカウントのすべての機能を入手するために
利用される。付け加えるならば、 orainstRoot.sh のモードは 777 である
ため、いかなるユーザであってもこのスクリプトを編集でき、 root 権限で
意図的なコマンドを実行できてしまえる。しかも、この結果 root アカウン
トを奪取できてしまえるのである。
同様の問題が他の Oracle でも発生し、影響を及ぼすかどうかは明らかでは
ない。Intel 版 Linux 向けの Oracle 8.1.5i で問題が確認されているだけ
であるが、同様の弱点は他のバージョンや他のプラットフォームでもありえ
る。もし、この問題に関する情報をご存知の向きは vuldb@securityfocus.com
まだご一報頂きたい。
5. Caldera OpenLinux 2.3 rpm_query CGI Vulnerability
BugTraq ID: 1036
リモートからの再現性 : あり
公表日: 2000-03-05
関連するURL:
http://www.securityfocus.com/bid/1036
まとめ:
Caldera OpenLinux 2.3 のデフォルトインストール状態には問題がある。
/home/httpd/cgi-bin/ には CGI プログラム rpm_query がインストールされ、
いかなるユーザであってもシステムにインストールされているパッケージの
一覧、バージョンを入手可能なのである。このプログラムはリモートからコ
ンピュータへ弱点を攻撃するために使われ得る。
6. Printtool Printer Share Password Compromise Vulnerability
BugTraq ID: 1037
リモートからの再現性 : なし
公表日: 2000-03-09
関連するURL:
http://www.securityfocus.com/bid/1037
まとめ:
printtool は RedHat Linux 等で X11 を利用したプリンタ設定機能を提供する
ツールである。このツールを使いプリンタが設定される際の設定ファイルのパー
ミッションはいかなるユーザであっても読み出し可能である。以下はこの問題に
ついての Bugtraq への投稿からの引用である。
[dubhe@duat dubhe]$ ls -lsa /var/spool/lpd/lp/.config
1 -rw-r--r-- 1 root root 96 Mar 6 13:21 /var/spool/lpd/lp/.config
いかなるユーザであっても読み出し可能なファイルに記録されているため、プ
リンタの共有用パスワードを入手可能である。
[dubhe@duat dubhe]$ cat /var/spool/lpd/lp/.config
share='\\xxxxx\HP'
hostip=xxx.xxx.xxx.xxx
user='username'
password='1111'
workgroup='xxxxxxxx'
7. Multiple Vendor mtr Vulnerability
BugTraq ID: 1038
リモートからの再現性 : なし
公表日: 2000-03-03
関連するURL:
http://www.securityfocus.com/bid/1038
まとめ:
Matt Kimball と Roger Wolff による mtr プログラムには弱点が存在する可
能性がある。HPUX 以外の UNIX 環境において、0.42 以前のバージョンの権限
保護機能に問題がある。seteuid(getuid()) 関数を呼び出すことで、作者は mtr
や mtr が依存するライブラリに予想される弱点を利用した root 権限の奪取
を防ぐ効果をねらっていた。しかし、uid のセマンティックスが保存されるた
め、setuid (0) 処理を行う事で単純に uid 0 が復元できてしまえるのである。
攻撃者のみが mtr が利用しているライブラリ、gtr あるいは curses をバッ
ファオーバーフローさせられる弱点を欲している。パッチを適用したバージョ
ンでは seteuid() は setuid () へ置きかえられているため、問題の影響範囲
は狭まっている。
バージョン 0.28 の mtr を提供している多くの Linux ディストリビューショ
ンでもこの問題が報告されている。実際 0.28 も弱点を抱えている。
より詳細な情報はプログラムの配布元の Web サイトへアクセスされたい。
8. StarOffice StarScheduler Remote Buffer Overflow Vulnerability
BugTraq ID: 1039
リモートからの再現性 : あり
公表日: 2000-03-09
関連するURL:
http://www.securityfocus.com/bid/1039
まとめ:
StarOffice は Sun Microsystems が提供するデスクトップ上で動作する業務用
アプリケーションである。StarScheduler は StarOffice に含まれるグループ
ウェアサーバであり、リモートからのバッファオーバーフロー攻撃を受けてし
まう Web サーバ機能を持っている。デフォルトで Web サーバは root 権限で
動作し、ポート番号 801 を待ち受ける。もし GET リクエストが予定された長
さより長く与えられた場合、スタックはオーバーフローし実行処理の手順は変
更させられる。スタック内のリターンアドレスはこの場合書き換え可能であり、
ターゲットとなったコンピュータ上で root 権限で意図的なコードが実行可能
である。
この弱点への攻撃の結果、リモートから root 権限の奪取が可能である。
9. StarOffice StarScheduler Arbitrary File Read Vulnerability
BugTraq ID: 1040
リモートからの再現性 : あり
公表日: 2000-03-09
関連するURL:
http://www.securityfocus.com/bid/1040
まとめ:
StarOffice は Sun Microsystems が提供するデスクトップ上で動作する業務用
アプリケーションである。StarScheduler は StarOffice に含まれ、デフォルト
で root 権限で動作するWeb サーバを持っている。
文書へのリクエストが Web サーバへ与えられた場合、StarScheduler の httpd
は ../ (相対パス) を与えられたまま解釈してしまうのである。従って攻撃者は
ターゲットとなったシステム中のいかなるファイル、例えば /etc/shadow といっ
たファイルをも参照できてしまえるのである。
(サーバは root 権限で動作中である)
10. Microsoft SQL Server Non-Validated Query Vulnerability
BugTraq ID: 1041
リモートからの再現性 : あり
公表日: 2000-03-08
関連するURL:
http://www.securityfocus.com/bid/1041
まとめ:
Microsoft SQL Server 7.0 と Data Engine (Access 2000 と Visual Studio
6.0 への SQL 機能を追加するアドオンである) はデータベースや OS を危険
な状態に曝す SQL クエリを受け付けてしまう。
すべての SQL を利用して認証されたユーザは SQL の SELECT 文を利用して
コマンドを送り付けられる。これはデータベースの所有者、あるいは Administrator
権限で動作する。
11. NT User Shell Folders Vulnerability
BugTraq ID: 1042
リモートからの再現性 : なし
公表日: 2000-03-09
関連するURL:
http://www.securityfocus.com/bid/1042
まとめ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup
上記のレジストリの値は、システム上のすべてのユーザに要求されたスタート
アップフォルダを示している。このキーはいかなる認証済みのユーザで書き込
み可能である。そのため、このキーにフォルダを指定できるいかなるユーザを
もログインしたユーザの権限でログイン時に動作するプログラムを指定可能で
ある。これはログインしたユーザの権限で動作する。
12. Microsoft Windows 95/98 MS-DOS Device Name DoS Vulnerability
BugTraq ID: 1043
リモートからの再現性 : あり
公表日: 2000-03-04
関連するURL:
http://www.securityfocus.com/bid/1043
まとめ:
Microsoft Windows 95 と 98 に元々存在する問題のため、ローカルとリモート
のユーザはシステムを予約 DOS デバイス名を デバイス名\デバイス名 と指定
することでクラッシュさせてしまえる弱点がある。
以下に示すデバイス名がシステムを停止させてしまうと知られている。
CON, NUL, AUX, PRN, CLOCK$, COMx, LPT1, および CONFIG$
この弱点を突く攻撃は何種類も考えられる。ローカルユーザは デバイス\デバイス
を例えば Microsoft Word で開くことで、ダイアローグボックスに答えること
で、あるいはコマンドプロンプトでシステムをクラッシュ可能である。
同様の結果は Web サイトにアクセスした場合にも得られる。例えばローカルに
ある デバイス\デバイス へのリンクを設けた HTML ファイル、例えば
<img src="c:\con\con"> をユーザに見せることが挙げられる。
そこで、Windows 95/98 をリモートからクラッシュ可能である。この弱点は
ftp や Web サービス、Netbios の共有の様にユーザがリモートからパスを指
定可能ないかなるサービスを介して突くことが可能である。
例えば、
FTP: ftp> ls nul/nul
WWW: http ://target/con/con
\\target\prn\prn
などである。
13. Microsoft Windows AEDEBUG Registry Key Vulnerability
BugTraq ID: 1044
リモートからの再現性 : Yes
公表日: 1998-06-22
関連するURL:
http://www.securityfocus.com/bid/1044
まとめ:
Windows NT の何種かのインストール方法のデフォルト設定は Everyone グルー
プのユーザがシステムクラッシュ時にデバッガが実行された際に制御される値
の内容に値を書き込めてしまえる。
この問題に関係するレジストリの値は以下の値である。
\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger
しかも、選択されたデバッガが起動される前にユーザに示されるプロンプトも
この値で制御できてしまえるのである。
\HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\auto
従って、攻撃者はプロセスがクラッシュした際実行されるコードを指定できて
しまえる。なお、実行されるコードはターゲットとなるコンピュータにあらか
じめ存在していなければならない。
14. Multiple Firewall Vendor FTP "ALG" Client Vulnerability
BugTraq ID: 1045
リモートからの再現性 : あり
公表日: 2000-03-10
関連するURL:
http://www.securityfocus.com/bid/1045
まとめ:
多くのファイヤウォールのルールセットを取り扱い方には問題がある。
この問題によりファイヤウォール外のユーザがファイヤウォール内の領域の一
部に限定されているもののアクセスできてしまえるのである。
過去の類似の攻撃ははサーバとクライアント側にこの問題を突くことができる
プログラムを利用可能な場合に実行できている。
例えば以下の様な HTML タグを含む電子メールを送付する。
<img src="ftp://ftp.rooted.com/aaaa[大量のA]aaaPORT1,2,3,4,0,139">
文字列 A (訳注: 'A' は文字列の例です) の数を適当に与える事で新しいバウ
ンダリで PORT コマンドは処理を始めてしまう。従って、ファイヤウォールは
不適切に RETR /aaaaaaaa[....]aaaaaPORT 1,2,3,4,0,139 を解釈してしまう。
この際、まず RETR を解釈し、次いで PORT コマンドを処理してしまうのだ。
最終的には指定されたアドレスの 139 番ポートを開いてしまうのである。
ポート番号 139 番の値にはファイヤウォールが既知の提供可能なポート番号
を抑止していない場合、いかなるポート番号をも指定可能である。
15. IrcII DCC Chat Buffer Overflow Vulnerability
BugTraq ID: 1046
リモートからの再現性 : あり
公表日: 2000-03-10
関連するURL:
http://www.securityfocus.com/bid/1046
まとめ:
IrcII は UNIX 上で動作する広く知られている Internet Relay Chat (IRC)
クライアントである。4.4-7 およびそれ以前のバージョン(4.4-7 以前のバー
ジョンについては同様の問題がある、という可能性のみである) にはダイレク
トクライアント間通信 (DCC; Direct Client-to-Client) の実装にバッファオー
バーフローを引き起こしてしまう問題がある。従って、DCC チャットを初期化
することでクライアント上で意図的なコードを実行できてしまえる可能性があ
る。この弱点を突くことで IrcII を実行しているユーザの権限をリモートから
奪取されてしまえる可能性が考えられる。
16. wmcdplay Buffer Overflow Vulnerability
BugTraq ID: 1047
リモートからの再現性 : なし
公表日: 2000-03-11
関連するURL:
http://www.securityfocus.com/bid/1047
まとめ:
wmcdplay は UNIX 上の X11 のウィンドウマネージャで動作する WindowMaker
と共に使用される CD 再生ソフトである。wmcdplay がまれにではあるが、デ
フォルト設定でインストールされた場合に setuid root でインストールされ
てしまう。wmcdplay は与えられる引数に対する境界チェックが不適切であり
バッファオーバーフローを引き起こしてしまう弱点があるため、結果として、
ローカルのユーザがスタックを溢れさせ、意図的なプロセスの uid を root
に上昇させるコードを実行させることで権限を root へ上昇できてしまえる。
III. Security Focus の上位6位の記事
- ------------------------------------
1. Hacker 'Gatsby' Gets 18-Month Sentence (Mon Mar 06 2000)
URL:
http://www.foxnews.com/vtech/030500/hack.sml
2. Taiwan Says Ready If China Launches Internet Attack (Tue Mar 07 2000)
URL:
http://dailynews.yahoo.com/h/nm/20000307/wr/taiwan_internet_1.html
3. Tracing Internet Users Supported (Wed Mar 08 2000)
URL:
http://www.currents.net/newstoday/00/03/08/news12.html
4. 'Coolio' Charged With Hacking Into L.A. Police Site (Thu Mar 09 2000)
URL:
http://dailynews.yahoo.com/h/nm/20000309/wr/crime_internet_3.html
5. Hactivists plan DDoS Web attack
URL:
http://www.msnbc.com/news/380065.asp
6. French Banks Hacked
URL:
http://www.currents.net/newstoday/00/03/11/news4.html
IV. 今週の INCIDENTS から
- --------------------------
1. Cracked; rootkit - entrapment question? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=NDBBJPOCGLGOJBLKEDGLAEMLDBAA.leer2@ogn.af.mil
2. Port 65535 (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=C598C94AF61DD31181B10008C7FA923327F2E4@EXCHANGE
3. auto-reporting to ISPs (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=200003080525.VAA06779@vtn1.victoria.tc.ca
4. ingreslock message (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=XFMail.20000307141458.G.E.Fowler@lboro.ac.uk
5. UDP Probes (?) from port 28432 to 28431 ? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=14533.11036.743382.952094@tripwire.cert.dfn.de
6. firewall abusing (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=20000307190801.D1042@own3d.freebsd.lublin.pl
7. UDP flood 28001-28003 (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.10.10003080210530.29265-100000@entropy.muc.muohio.edu
8. getting to the point with DDoS (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.21.0003080247010.10505-100000@oi.88.net
9. Mail Server attack (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.BSF.4.10.10003080755580.12643-100000@hydrant.intranova.net
10. Weird UDP packets (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=0003081343020D.02453@smp
11. ftp scan (was Re: web related oddity) (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.10.10003081317390.29951-100000@hydrogen.poptix.net
12. lots of interest in port 109 (POP2) (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.GSO.4.21.0003081405310.88-100000@campus
13. web related oddity (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=200003081859.NAA18191@obelix.dgrc.crc.ca
14. scans with spoofed address (was @home: Is *anyone*...) (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=SIMEON.10003081037.H26291@bluebottle.itss
15. DUP packet replies at tvguide.com (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=200003091527.KAA29075@fb00.eng00.mindspring.net
16. UDP flood 28001-28003 (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=Pine.LNX.4.10.10003091217300.15143-100000@entropy.muc.muohio.edu
17. Port 33434 and decoy-scanning (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=D3F521B0968CD31196B40090277A78DE1EB19B@lon501nt.colt-telecom.com
18. Strange RPC? service entries. (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=00030912302104.14746@oldtrafford.csis.ul.ie
19. Undernet/telnet attempts? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=s8c78a0d.071@smtp
20. Cracked; rootkit - entrapment question? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=Pine.LNX.4.10.10003091906050.24131-100000@dolemite.psionic.com
21. UDP Probes (?) from port 28432 to 28431 ? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=1390.952607249@SURFnet.nl
22. Mail and web server attack (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000309160631.12582.qmail@securityfocus.com
23. snmp (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=3.0.6.32.20000309191544.009d9aa0@mail.inforeti
24. ingreslock message (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000310055317.15268.qmail@securityfocus.com
25. Firewall (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=916B73552292D311B8AE0090277332B70AAD6A@INFERNO
25. 12th Annual FIRST conference (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000311114641.H25107@securityfocus.com
V. VULN-DEV RESEARCH LIST SUMMARY
- ---------------------------------
1. [Fwd: Single SignOn] (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=38C49AD6.41FE00D5@thievco.com
2. Aureate Software (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=NDBBKHMPELINMJMAIDACEEMBCBAA.sincity_mark@iname.com
3. callbook in services ? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=s8c42fa7.001@mail.erca.nl
4. TCP (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=Pine.LNX.4.10.10003070652370.485-100000@epr0.org
5. spoofing the ethernet address (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=Pine.LNX.4.21.0003071924180.29944-100000@cherrycoke.geekmafia.dynip.com
6. (another) MS Outlook hole in embedded metafiles? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=614B823E88BAD111B3EF00805FA7F01C0EC8CCC2@mtvmail.microfocus.com
7. [Q] CORBA, IIOP (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=12Si7v-0005Hs-00@gate.westel900.hu
8. spoofing the ethernet address (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=20000310004924.370B.0@argo.troja.mff.cuni.cz
9. callbook in services ? (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=20000310220346.18110.qmail@web1002.mail.yahoo.com
10. information being stored from cgi forms (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38C93C93.4CC2C540@wirex.com
11. Extending the FTP "ALG" vulnerability to any FTP client (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA3E77.36BBD0FD@enternet.se
12. Security auditing of network infrastructure (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8167.FB9AF101@enternet.se
13. Attacking internal FTP servers via browsers (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8167.FB9AF101@enternet.se
14. Unwanted automagic processing (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8EB9.936BFBC0@free.fr
15. How to Write Secure Code (Thread)
URL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CC2355.366CB992@wirex.com
VI. 求人情報 (日本語訳なし)
- ----------------------------
VII. セキュリティ調査 2000-03-06 から 2000-03-12 まで
- ------------------------------------------------------
質問:
どの様なリモートアクセスサービスがもっともセキュリティ上のリスクに
影響を与えていると思いますか?
回答:
RPC/DCOM 20% / 23 票
Web (including CGI) 25% / 28 票
SSH 2% / 3 票
FTP 4% / 5 票
NFS/NETBIOS 23% / 26 票
Telnet (telnet サービスの提供) 22% / 25 票
全投票数: 111 票
VIII. Security Focus が選ぶ上位6位のツール
2000-03-06 から 2000-03-12 まで
- -------------------------------------------
1. BufOverP (Linux)
著者: 未詳
関連するURL:
ftp://ftp.iac.rm.cnr.it/pub/BufOverP/
このコードは Linux カーネルに対するクリティカルなシステムコールの呼び出
しを照査するリファレンスモニタ関数の実装例です。このツールで何種類かの
バッファオーバーフロー攻撃を発見し、防護することが可能です。
2. Nomad 0.1.0 (Linux,Solaris)
著者: Paul Coates, Paul.Coates@ncl.ac.uk
関連するURL:
http://www.securityfocus.com/data/tools/nomad-0.1.0.tar.gz
ネットワークマップ予測ツール、Nomad はネットワークを調査し、ネットワー
ク関連図を作成するツールです。作成にあたっては SNMPを利用しローカルネッ
トワークをを用いてネットワーク上のデバイスを同定し、物理的にどこへ接続
されているのかを見つけ出します。ネットワーク図は単純に集約されたトポロ
ジーダイアグラムで示されます。
ネットワークの変更はダイアグラムへ定期的な更新機能で反映され、ソフトウェ
アの利用者ご自身でネットワーク図を様々なフィルタを介して参照する事が可
能になります。
3. Fortify for Netscape
(AIX, BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, IRIX, MacOS, OS/2,
Solaris, SunOS, Windows 95/98/NT)
著者: Farrell McKay, fbm@jolt.mpx.com.au
関連するURL:
http://www.fortify.net/
Fortify for Netscape は Netscape Navigator (Version 3 および 4) と
Netscape Communicator (Version 4) に国際的に流通可能な 128 bit 長の
暗号機能を追加するツールです。
4. Advanced ARJ Password Recovery (Windows 2000, Windows 95/98/NT)
著者: Elcom Ltd.
関連するURL:
http://www.elcomsoft.com/aapr.html
Advanced ARJ Password Recovery (AAPR) は ARJ アーカイブに対するパスワー
ドを復旧するツールです。
5. VoidEye CGI scanner (Windows 95/98/NT/2000)
著者: Duke, andrew@cube.ru
関連するURL:
http://www.securityfocus.com/data/tools/voideye.zip
Void Eye は 119 種類の既知の CGI の弱点をスキャンするツールです。
6. Py-Libpcap (Linux)
著者: Aaron Rhodes
関連するURL:
http://www.securityfocus.com/data/tools/py-libpcap-22Feb99-0147.tar.gz
このモジュールは Python の関数で、libpcap ライブラリ (tcpdump 等のパッ
ケージで使用されています) 経由で採取されたパケットの処理機能を提供しま
す。現在このモジュールは Linux 上で動作します。
Translated by SAKAI Yoriyuki / LAC
<URL: http://www.lac.co.jp/security/>
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>
iQA/AwUBOM0ZRJQwtHQKfXtrEQITiACgtnuMx3JgqyczZLZ+hdoNzNK95lsAn3og
wJcUHhHrl8Gq4KqttO4H7QPS
=ZvlV
-----END PGP SIGNATURE-----