Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200003141037.EDH85833.BLJTB@lac.co.jp> Date: Tue, 14 Mar 2000 10:37:24 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: SecurityFocus.com Newsletter #32 2000-03-06 -> 2000-03-12 X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 32 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- 引用に関する備考: ・この和訳は SecurityFocus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、SecurityFocus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - ----------------------------------------------------------------------- - ----------------------------------------------------------------------- SecurityFocus.com Newsletter 第 32 号 目次: SecurityFocus.com がお送りする週刊ニューズレターの第 32 号へようこそ。 http://www.securityfocus.com/ I. 今週のハイライト(日本語訳なし) 1. SecurityFocus.com hires Kevin Poulsen as Editorial Director 2. Excerpt from "Intrusion Detection" By Rebecca Bace II. 今週の BUGTRAQ から 1. POC32 Telnet Vulnerability 2. MS IE HTML Help Shortcut Vulnerability 3. Microsoft Clip Art Buffer Overflow Vulnerability 4. Oracle for Linux Installer Vulnerability 5. Caldera OpenLinux 2.3 rpm_query CGI Vulnerability 6. Printtool Printer Share Password Compromise Vulnerability 7. Multiple Vendor mtr Vulnerability 8. StarOffice StarScheduler Remote Buffer Overflow Vulnerability 9. StarOffice StarScheduler Arbitrary File Read Vulnerability 10. Microsoft SQL Server Non-Validated Query Vulnerability 11. NT User Shell Folders Vulnerability 12. Microsoft Windows 95/98 MS-DOS Device Name DoS Vulnerability 13. Microsoft Windows AEDEBUG Registry Key Vulnerability 14. Multiple Firewall Vendor FTP "ALG" Client Vulnerability 15. IrcII DCC Chat Buffer Overflow Vulnerability 16. wmcdplay Buffer Overflow Vulnerability III. Security Focus の上位6位の記事 1. Hacker 'Gatsby' Gets 18-Month Sentence (Mon Mar 06 2000) 2. Taiwan Says Ready If China Launches Internet Attack (Tue Mar 07 2000) 3. Tracing Internet Users Supported (Wed Mar 08 2000) 4. 'Coolio' Charged With Hacking Into L.A. Police Site (Thu Mar 09 2000) 5. Hactivists plan DDoS Web attack (Thu Mar 09 2000) 6. French Banks Hacked (Fri Mar 10 2000) IV. 今週の INCIDENTS から 1. Cracked; rootkit - entrapment question? (Thread) 2. Port 65535 (Thread) 3. auto-reporting to ISPs (Thread) 4. ingreslock message (Thread) 5. UDP Probes (?) from port 28432 to 28431 ? (Thread) 6. firewall abusing (Thread) 7. UDP flood 28001-28003 (Thread) 8. getting to the point with DDoS (Thread) 9. Mail Server attack (Thread) 10. Weird UDP packets (Thread) 11. ftp scan (was Re: web related oddity) (Thread) 12. lots of interest in port 109 (POP2) (Thread) 13. web related oddity (Thread) 14. scans with spoofed address (was @home: Is *anyone*...) (Thread) 15. DUP packet replies at tvguide.com (Thread) 16. UDP flood 28001-28003 (Thread) 17. Port 33434 and decoy-scanning (Thread) 18. Strange RPC? service entries. (Thread) 19. Undernet/telnet attempts? (Thread) 20. Cracked; rootkit - entrapment question? (Thread) 21. UDP Probes (?) from port 28432 to 28431 ? (Thread) 22. Mail and web server attack (Thread) 23. snmp (Thread) 24. ingreslock message (Thread) 25. Firewall (Thread) V. 今週の VULN-DEV RESEARCH LIST から 1. [Fwd: Single SignOn] (Thread) 2. Aureate Software (Thread) 3. callbook in services ? (Thread) 4. TCP (Thread) 5. spoofing the ethernet address (Thread) 6. (another) MS Outlook hole in embedded metafiles? (Thread) 7. [Q] CORBA, IIOP (Thread) 8. spoofing the ethernet address (Thread) 9. callbook in services ? (Thread) 10. information being stored from cgi forms (Thread) 11. Extending the FTP "ALG" vulnerability to any FTP client (Thread) 12. Security auditing of network infrastructure (Thread) 13. Attacking internal FTP servers via browsers (Thread) 14. Unwanted automagic processing (Thread) 15. How to Write Secure Code (Thread) VI. 求人情報 (日本語訳なし) VII. セキュリティ調査 1. Which remote accessing service presents the greatest security risks? VIII. Security Focus が選ぶ上位6位のツール 1. BufOverP (Linux) 2. Nomad 0.1.0 (Linux,Solaris) 3. Fortify for Netscape (AIX, BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, IRIX, MacOS, OS/2, Solaris, SunOS, Windows 95/98/NT) 4. Advanced ARJ Password Recovery (Windows 2000, Windows 95/98/NT) 5. VoidEye CGI scanner (Windows 95/98/NT/2000) 6. Py-Libpcap (Linux) I. 今週のハイライト(日本語訳なし) - --------------------------------- 1. SecurityFocus.com hires Kevin Poulsen as Editorial Director 2. New Guest Feature: Excerpt from "Intrusion Detection" By Rebecca Bace II. 今週の BUGTRAQ から 2000-03-06 から 2000-03-12 まで - -------------------------------------------------------- 1. POC32 Telnet Vulnerability BugTraq ID: 1032 リモートからの再現性: あり 公表日: 2000-03-07 関連するURL: http://www.securityfocus.com/bid/1032 まとめ: POC32 は POCSAG ポケットベルからのメッセージをポケットベルの呼び出し状 態を見張り、復号化するためのプログラムである。符号化されている状態のメッ セージはコンピュータへ音声信号の状態で送られ、POC32 ソフトウェアで復号 化され、表示される。 POC32 は TCP/IP を利用してリモートからアクセス可能であり、この機能を停 止させるオプションも準備されている。しかし、機能が停止された後でも POC32 が提供するポート番号へ接続可能なのである。このプログラムへのコネクショ ンは複数与える事ができるため、パスワードがブルートフォース攻撃で破られ てしまう可能性がある。破られてしまった後、復号化されたポケットベルのメッ セージを攻撃者は読めてしまえる。 デフォルトポート番号は 8000 であり、デフォルトのパスワードは password である。 2. MS IE HTML Help Shortcut Vulnerability BugTraq ID: 1033 リモートからの再現性 : あり 公表日: 2000-03-01 関連するURL: http://www.securityfocus.com/bid/1033 まとめ: Internet Explorer で提供されている window.showHelp() メソッドは HTML 形式のヘルプファイル (.chm) を開くという機能を提供している。 ヘルプファイルには現在のユーザ権限で動作する、実行ファイルへのショー トカットが含まれている。ヘルプファイルは HTTP によっては開くことはで きがいが、リモートにある .chm ファイルは Microsoft Network が提供され ている (SAMBA も含まれる) サーバにある場合、参照できてしまえる。 従って、攻撃者が Netbios が利用可能なホストの .chm ファイルを指し示す 様なハイパーリンクを含んだ Web ページを作成できる場合、 .chm ファイル によっていかなる犠牲者のコンピュータ上のプログラムや Netbios が利用可 能なサーバ上のプログラムを実行できてしまえる。 3. Microsoft Clip Art Buffer Overflow Vulnerability BugTraq ID: 1034 リモートからの再現性 : あり 公表日: 2000-03-06 関連するURL: http://www.securityfocus.com/bid/1034 まとめ: Microsoft Clip Art Gallery にはリモートユーザがクリップアートアプリケー ションをクラッシュできてしまえ、意図的なコードを実行可能な弱点がある。 クリップアートはいかなる Web サイトから入手可能で、ローカルギャラリー に関連付けられる。.CIL と呼ばれる特定のファイル形式は新しく追加された クリップアートをユーザに提供するために使われるが、ユーザが改ざんされた 長い連続したフィールドを持つ .CIL ファイルを悪意あるサイトから直接ある いは悪意ある .CIL ファイルの作成元から送られた電子メールの添付ファイル の形式でダウンロードできてしまえる点にあるのである。 4. Oracle for Linux Installer Vulnerability BugTraq ID: 1035 リモートからの再現性 : なし 公表日: 2000-03-05 関連するURL: http://www.securityfocus.com/bid/1035 まとめ: Oracle 8.1.5i のインストールプログラムには弱点がある。Oracle のインス トール用スクリプトは /tmp/orainstall というディレクトリを作成する。 オーナーは oracle:dba であり、モード は 711 である。このディレクトリ内 には orainstRoot.sh というスクリプトがモード 777 で作成される。インス トールスクリプトは停止した後 orainstRoot.sh を実行するよう求めるが、 インストールスクリプトはディレクトリ、あるいはスクリプトの存在をなんら 確認しない。従って orainstRoot.sh からファイルシステム内の適当な場所 へシンボリックリンクを作成可能である。これは .rhosts ファイルを簡単に 作成するために利用され、root アカウントのすべての機能を入手するために 利用される。付け加えるならば、 orainstRoot.sh のモードは 777 である ため、いかなるユーザであってもこのスクリプトを編集でき、 root 権限で 意図的なコマンドを実行できてしまえる。しかも、この結果 root アカウン トを奪取できてしまえるのである。 同様の問題が他の Oracle でも発生し、影響を及ぼすかどうかは明らかでは ない。Intel 版 Linux 向けの Oracle 8.1.5i で問題が確認されているだけ であるが、同様の弱点は他のバージョンや他のプラットフォームでもありえ る。もし、この問題に関する情報をご存知の向きは vuldb@securityfocus.com まだご一報頂きたい。 5. Caldera OpenLinux 2.3 rpm_query CGI Vulnerability BugTraq ID: 1036 リモートからの再現性 : あり 公表日: 2000-03-05 関連するURL: http://www.securityfocus.com/bid/1036 まとめ: Caldera OpenLinux 2.3 のデフォルトインストール状態には問題がある。 /home/httpd/cgi-bin/ には CGI プログラム rpm_query がインストールされ、 いかなるユーザであってもシステムにインストールされているパッケージの 一覧、バージョンを入手可能なのである。このプログラムはリモートからコ ンピュータへ弱点を攻撃するために使われ得る。 6. Printtool Printer Share Password Compromise Vulnerability BugTraq ID: 1037 リモートからの再現性 : なし 公表日: 2000-03-09 関連するURL: http://www.securityfocus.com/bid/1037 まとめ: printtool は RedHat Linux 等で X11 を利用したプリンタ設定機能を提供する ツールである。このツールを使いプリンタが設定される際の設定ファイルのパー ミッションはいかなるユーザであっても読み出し可能である。以下はこの問題に ついての Bugtraq への投稿からの引用である。 [dubhe@duat dubhe]$ ls -lsa /var/spool/lpd/lp/.config 1 -rw-r--r-- 1 root root 96 Mar 6 13:21 /var/spool/lpd/lp/.config いかなるユーザであっても読み出し可能なファイルに記録されているため、プ リンタの共有用パスワードを入手可能である。 [dubhe@duat dubhe]$ cat /var/spool/lpd/lp/.config share='\\xxxxx\HP' hostip=xxx.xxx.xxx.xxx user='username' password='1111' workgroup='xxxxxxxx' 7. Multiple Vendor mtr Vulnerability BugTraq ID: 1038 リモートからの再現性 : なし 公表日: 2000-03-03 関連するURL: http://www.securityfocus.com/bid/1038 まとめ: Matt Kimball と Roger Wolff による mtr プログラムには弱点が存在する可 能性がある。HPUX 以外の UNIX 環境において、0.42 以前のバージョンの権限 保護機能に問題がある。seteuid(getuid()) 関数を呼び出すことで、作者は mtr や mtr が依存するライブラリに予想される弱点を利用した root 権限の奪取 を防ぐ効果をねらっていた。しかし、uid のセマンティックスが保存されるた め、setuid (0) 処理を行う事で単純に uid 0 が復元できてしまえるのである。 攻撃者のみが mtr が利用しているライブラリ、gtr あるいは curses をバッ ファオーバーフローさせられる弱点を欲している。パッチを適用したバージョ ンでは seteuid() は setuid () へ置きかえられているため、問題の影響範囲 は狭まっている。 バージョン 0.28 の mtr を提供している多くの Linux ディストリビューショ ンでもこの問題が報告されている。実際 0.28 も弱点を抱えている。 より詳細な情報はプログラムの配布元の Web サイトへアクセスされたい。 8. StarOffice StarScheduler Remote Buffer Overflow Vulnerability BugTraq ID: 1039 リモートからの再現性 : あり 公表日: 2000-03-09 関連するURL: http://www.securityfocus.com/bid/1039 まとめ: StarOffice は Sun Microsystems が提供するデスクトップ上で動作する業務用 アプリケーションである。StarScheduler は StarOffice に含まれるグループ ウェアサーバであり、リモートからのバッファオーバーフロー攻撃を受けてし まう Web サーバ機能を持っている。デフォルトで Web サーバは root 権限で 動作し、ポート番号 801 を待ち受ける。もし GET リクエストが予定された長 さより長く与えられた場合、スタックはオーバーフローし実行処理の手順は変 更させられる。スタック内のリターンアドレスはこの場合書き換え可能であり、 ターゲットとなったコンピュータ上で root 権限で意図的なコードが実行可能 である。 この弱点への攻撃の結果、リモートから root 権限の奪取が可能である。 9. StarOffice StarScheduler Arbitrary File Read Vulnerability BugTraq ID: 1040 リモートからの再現性 : あり 公表日: 2000-03-09 関連するURL: http://www.securityfocus.com/bid/1040 まとめ: StarOffice は Sun Microsystems が提供するデスクトップ上で動作する業務用 アプリケーションである。StarScheduler は StarOffice に含まれ、デフォルト で root 権限で動作するWeb サーバを持っている。 文書へのリクエストが Web サーバへ与えられた場合、StarScheduler の httpd は ../ (相対パス) を与えられたまま解釈してしまうのである。従って攻撃者は ターゲットとなったシステム中のいかなるファイル、例えば /etc/shadow といっ たファイルをも参照できてしまえるのである。 (サーバは root 権限で動作中である) 10. Microsoft SQL Server Non-Validated Query Vulnerability BugTraq ID: 1041 リモートからの再現性 : あり 公表日: 2000-03-08 関連するURL: http://www.securityfocus.com/bid/1041 まとめ: Microsoft SQL Server 7.0 と Data Engine (Access 2000 と Visual Studio 6.0 への SQL 機能を追加するアドオンである) はデータベースや OS を危険 な状態に曝す SQL クエリを受け付けてしまう。 すべての SQL を利用して認証されたユーザは SQL の SELECT 文を利用して コマンドを送り付けられる。これはデータベースの所有者、あるいは Administrator 権限で動作する。 11. NT User Shell Folders Vulnerability BugTraq ID: 1042 リモートからの再現性 : なし 公表日: 2000-03-09 関連するURL: http://www.securityfocus.com/bid/1042 まとめ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 上記のレジストリの値は、システム上のすべてのユーザに要求されたスタート アップフォルダを示している。このキーはいかなる認証済みのユーザで書き込 み可能である。そのため、このキーにフォルダを指定できるいかなるユーザを もログインしたユーザの権限でログイン時に動作するプログラムを指定可能で ある。これはログインしたユーザの権限で動作する。 12. Microsoft Windows 95/98 MS-DOS Device Name DoS Vulnerability BugTraq ID: 1043 リモートからの再現性 : あり 公表日: 2000-03-04 関連するURL: http://www.securityfocus.com/bid/1043 まとめ: Microsoft Windows 95 と 98 に元々存在する問題のため、ローカルとリモート のユーザはシステムを予約 DOS デバイス名を デバイス名\デバイス名 と指定 することでクラッシュさせてしまえる弱点がある。 以下に示すデバイス名がシステムを停止させてしまうと知られている。 CON, NUL, AUX, PRN, CLOCK$, COMx, LPT1, および CONFIG$ この弱点を突く攻撃は何種類も考えられる。ローカルユーザは デバイス\デバイス を例えば Microsoft Word で開くことで、ダイアローグボックスに答えること で、あるいはコマンドプロンプトでシステムをクラッシュ可能である。 同様の結果は Web サイトにアクセスした場合にも得られる。例えばローカルに ある デバイス\デバイス へのリンクを設けた HTML ファイル、例えば をユーザに見せることが挙げられる。 そこで、Windows 95/98 をリモートからクラッシュ可能である。この弱点は ftp や Web サービス、Netbios の共有の様にユーザがリモートからパスを指 定可能ないかなるサービスを介して突くことが可能である。 例えば、 FTP: ftp> ls nul/nul WWW: http ://target/con/con \\target\prn\prn などである。 13. Microsoft Windows AEDEBUG Registry Key Vulnerability BugTraq ID: 1044 リモートからの再現性 : Yes 公表日: 1998-06-22 関連するURL: http://www.securityfocus.com/bid/1044 まとめ: Windows NT の何種かのインストール方法のデフォルト設定は Everyone グルー プのユーザがシステムクラッシュ時にデバッガが実行された際に制御される値 の内容に値を書き込めてしまえる。 この問題に関係するレジストリの値は以下の値である。 \HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger しかも、選択されたデバッガが起動される前にユーザに示されるプロンプトも この値で制御できてしまえるのである。 \HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\auto 従って、攻撃者はプロセスがクラッシュした際実行されるコードを指定できて しまえる。なお、実行されるコードはターゲットとなるコンピュータにあらか じめ存在していなければならない。 14. Multiple Firewall Vendor FTP "ALG" Client Vulnerability BugTraq ID: 1045 リモートからの再現性 : あり 公表日: 2000-03-10 関連するURL: http://www.securityfocus.com/bid/1045 まとめ: 多くのファイヤウォールのルールセットを取り扱い方には問題がある。 この問題によりファイヤウォール外のユーザがファイヤウォール内の領域の一 部に限定されているもののアクセスできてしまえるのである。 過去の類似の攻撃ははサーバとクライアント側にこの問題を突くことができる プログラムを利用可能な場合に実行できている。 例えば以下の様な HTML タグを含む電子メールを送付する。 文字列 A (訳注: 'A' は文字列の例です) の数を適当に与える事で新しいバウ ンダリで PORT コマンドは処理を始めてしまう。従って、ファイヤウォールは 不適切に RETR /aaaaaaaa[....]aaaaaPORT 1,2,3,4,0,139 を解釈してしまう。 この際、まず RETR を解釈し、次いで PORT コマンドを処理してしまうのだ。 最終的には指定されたアドレスの 139 番ポートを開いてしまうのである。 ポート番号 139 番の値にはファイヤウォールが既知の提供可能なポート番号 を抑止していない場合、いかなるポート番号をも指定可能である。 15. IrcII DCC Chat Buffer Overflow Vulnerability BugTraq ID: 1046 リモートからの再現性 : あり 公表日: 2000-03-10 関連するURL: http://www.securityfocus.com/bid/1046 まとめ: IrcII は UNIX 上で動作する広く知られている Internet Relay Chat (IRC) クライアントである。4.4-7 およびそれ以前のバージョン(4.4-7 以前のバー ジョンについては同様の問題がある、という可能性のみである) にはダイレク トクライアント間通信 (DCC; Direct Client-to-Client) の実装にバッファオー バーフローを引き起こしてしまう問題がある。従って、DCC チャットを初期化 することでクライアント上で意図的なコードを実行できてしまえる可能性があ る。この弱点を突くことで IrcII を実行しているユーザの権限をリモートから 奪取されてしまえる可能性が考えられる。 16. wmcdplay Buffer Overflow Vulnerability BugTraq ID: 1047 リモートからの再現性 : なし 公表日: 2000-03-11 関連するURL: http://www.securityfocus.com/bid/1047 まとめ: wmcdplay は UNIX 上の X11 のウィンドウマネージャで動作する WindowMaker と共に使用される CD 再生ソフトである。wmcdplay がまれにではあるが、デ フォルト設定でインストールされた場合に setuid root でインストールされ てしまう。wmcdplay は与えられる引数に対する境界チェックが不適切であり バッファオーバーフローを引き起こしてしまう弱点があるため、結果として、 ローカルのユーザがスタックを溢れさせ、意図的なプロセスの uid を root に上昇させるコードを実行させることで権限を root へ上昇できてしまえる。 III. Security Focus の上位6位の記事 - ------------------------------------ 1. Hacker 'Gatsby' Gets 18-Month Sentence (Mon Mar 06 2000) URL: http://www.foxnews.com/vtech/030500/hack.sml 2. Taiwan Says Ready If China Launches Internet Attack (Tue Mar 07 2000) URL: http://dailynews.yahoo.com/h/nm/20000307/wr/taiwan_internet_1.html 3. Tracing Internet Users Supported (Wed Mar 08 2000) URL: http://www.currents.net/newstoday/00/03/08/news12.html 4. 'Coolio' Charged With Hacking Into L.A. Police Site (Thu Mar 09 2000) URL: http://dailynews.yahoo.com/h/nm/20000309/wr/crime_internet_3.html 5. Hactivists plan DDoS Web attack URL: http://www.msnbc.com/news/380065.asp 6. French Banks Hacked URL: http://www.currents.net/newstoday/00/03/11/news4.html IV. 今週の INCIDENTS から - -------------------------- 1. Cracked; rootkit - entrapment question? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=NDBBJPOCGLGOJBLKEDGLAEMLDBAA.leer2@ogn.af.mil 2. Port 65535 (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=C598C94AF61DD31181B10008C7FA923327F2E4@EXCHANGE 3. auto-reporting to ISPs (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=200003080525.VAA06779@vtn1.victoria.tc.ca 4. ingreslock message (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=XFMail.20000307141458.G.E.Fowler@lboro.ac.uk 5. UDP Probes (?) from port 28432 to 28431 ? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=14533.11036.743382.952094@tripwire.cert.dfn.de 6. firewall abusing (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=20000307190801.D1042@own3d.freebsd.lublin.pl 7. UDP flood 28001-28003 (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.10.10003080210530.29265-100000@entropy.muc.muohio.edu 8. getting to the point with DDoS (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.21.0003080247010.10505-100000@oi.88.net 9. Mail Server attack (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.BSF.4.10.10003080755580.12643-100000@hydrant.intranova.net 10. Weird UDP packets (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=0003081343020D.02453@smp 11. ftp scan (was Re: web related oddity) (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.LNX.4.10.10003081317390.29951-100000@hydrogen.poptix.net 12. lots of interest in port 109 (POP2) (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=Pine.GSO.4.21.0003081405310.88-100000@campus 13. web related oddity (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-1&thread=200003081859.NAA18191@obelix.dgrc.crc.ca 14. scans with spoofed address (was @home: Is *anyone*...) (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=SIMEON.10003081037.H26291@bluebottle.itss 15. DUP packet replies at tvguide.com (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=200003091527.KAA29075@fb00.eng00.mindspring.net 16. UDP flood 28001-28003 (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=Pine.LNX.4.10.10003091217300.15143-100000@entropy.muc.muohio.edu 17. Port 33434 and decoy-scanning (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=D3F521B0968CD31196B40090277A78DE1EB19B@lon501nt.colt-telecom.com 18. Strange RPC? service entries. (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=00030912302104.14746@oldtrafford.csis.ul.ie 19. Undernet/telnet attempts? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=s8c78a0d.071@smtp 20. Cracked; rootkit - entrapment question? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=Pine.LNX.4.10.10003091906050.24131-100000@dolemite.psionic.com 21. UDP Probes (?) from port 28432 to 28431 ? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=1390.952607249@SURFnet.nl 22. Mail and web server attack (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000309160631.12582.qmail@securityfocus.com 23. snmp (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=3.0.6.32.20000309191544.009d9aa0@mail.inforeti 24. ingreslock message (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000310055317.15268.qmail@securityfocus.com 25. Firewall (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=916B73552292D311B8AE0090277332B70AAD6A@INFERNO 25. 12th Annual FIRST conference (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=75&date=2000-03-8&thread=20000311114641.H25107@securityfocus.com V. VULN-DEV RESEARCH LIST SUMMARY - --------------------------------- 1. [Fwd: Single SignOn] (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=38C49AD6.41FE00D5@thievco.com 2. Aureate Software (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=NDBBKHMPELINMJMAIDACEEMBCBAA.sincity_mark@iname.com 3. callbook in services ? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=s8c42fa7.001@mail.erca.nl 4. TCP (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=Pine.LNX.4.10.10003070652370.485-100000@epr0.org 5. spoofing the ethernet address (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=Pine.LNX.4.21.0003071924180.29944-100000@cherrycoke.geekmafia.dynip.com 6. (another) MS Outlook hole in embedded metafiles? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-1&thread=614B823E88BAD111B3EF00805FA7F01C0EC8CCC2@mtvmail.microfocus.com 7. [Q] CORBA, IIOP (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=12Si7v-0005Hs-00@gate.westel900.hu 8. spoofing the ethernet address (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=20000310004924.370B.0@argo.troja.mff.cuni.cz 9. callbook in services ? (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=20000310220346.18110.qmail@web1002.mail.yahoo.com 10. information being stored from cgi forms (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38C93C93.4CC2C540@wirex.com 11. Extending the FTP "ALG" vulnerability to any FTP client (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA3E77.36BBD0FD@enternet.se 12. Security auditing of network infrastructure (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8167.FB9AF101@enternet.se 13. Attacking internal FTP servers via browsers (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8167.FB9AF101@enternet.se 14. Unwanted automagic processing (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CA8EB9.936BFBC0@free.fr 15. How to Write Secure Code (Thread) URL: http://www.securityfocus.com/templates/archive.pike?list=82&date=2000-03-8&thread=38CC2355.366CB992@wirex.com VI. 求人情報 (日本語訳なし) - ---------------------------- VII. セキュリティ調査 2000-03-06 から 2000-03-12 まで - ------------------------------------------------------ 質問: どの様なリモートアクセスサービスがもっともセキュリティ上のリスクに 影響を与えていると思いますか? 回答: RPC/DCOM 20% / 23 票 Web (including CGI) 25% / 28 票 SSH 2% / 3 票 FTP 4% / 5 票 NFS/NETBIOS 23% / 26 票 Telnet (telnet サービスの提供) 22% / 25 票 全投票数: 111 票 VIII. Security Focus が選ぶ上位6位のツール 2000-03-06 から 2000-03-12 まで - ------------------------------------------- 1. BufOverP (Linux) 著者: 未詳 関連するURL: ftp://ftp.iac.rm.cnr.it/pub/BufOverP/ このコードは Linux カーネルに対するクリティカルなシステムコールの呼び出 しを照査するリファレンスモニタ関数の実装例です。このツールで何種類かの バッファオーバーフロー攻撃を発見し、防護することが可能です。 2. Nomad 0.1.0 (Linux,Solaris) 著者: Paul Coates, Paul.Coates@ncl.ac.uk 関連するURL: http://www.securityfocus.com/data/tools/nomad-0.1.0.tar.gz ネットワークマップ予測ツール、Nomad はネットワークを調査し、ネットワー ク関連図を作成するツールです。作成にあたっては SNMPを利用しローカルネッ トワークをを用いてネットワーク上のデバイスを同定し、物理的にどこへ接続 されているのかを見つけ出します。ネットワーク図は単純に集約されたトポロ ジーダイアグラムで示されます。 ネットワークの変更はダイアグラムへ定期的な更新機能で反映され、ソフトウェ アの利用者ご自身でネットワーク図を様々なフィルタを介して参照する事が可 能になります。 3. Fortify for Netscape (AIX, BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, IRIX, MacOS, OS/2, Solaris, SunOS, Windows 95/98/NT) 著者: Farrell McKay, fbm@jolt.mpx.com.au 関連するURL: http://www.fortify.net/ Fortify for Netscape は Netscape Navigator (Version 3 および 4) と Netscape Communicator (Version 4) に国際的に流通可能な 128 bit 長の 暗号機能を追加するツールです。 4. Advanced ARJ Password Recovery (Windows 2000, Windows 95/98/NT) 著者: Elcom Ltd. 関連するURL: http://www.elcomsoft.com/aapr.html Advanced ARJ Password Recovery (AAPR) は ARJ アーカイブに対するパスワー ドを復旧するツールです。 5. VoidEye CGI scanner (Windows 95/98/NT/2000) 著者: Duke, andrew@cube.ru 関連するURL: http://www.securityfocus.com/data/tools/voideye.zip Void Eye は 119 種類の既知の CGI の弱点をスキャンするツールです。 6. Py-Libpcap (Linux) 著者: Aaron Rhodes 関連するURL: http://www.securityfocus.com/data/tools/py-libpcap-22Feb99-0147.tar.gz このモジュールは Python の関数で、libpcap ライブラリ (tcpdump 等のパッ ケージで使用されています) 経由で採取されたパケットの処理機能を提供しま す。現在このモジュールは Linux 上で動作します。 Translated by SAKAI Yoriyuki / LAC -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 5.5.3i for non-commercial use iQA/AwUBOM0ZRJQwtHQKfXtrEQITiACgtnuMx3JgqyczZLZ+hdoNzNK95lsAn3og wJcUHhHrl8Gq4KqttO4H7QPS =ZvlV -----END PGP SIGNATURE-----