SecurityFocus.com Newsletter #48 2000-06-22 -> 2000-06-29
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 48 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter #48
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
II. BUGTRAQ SUMMARY
1. Wu-Ftpd Remote Format String Stack Overwrite Vulnerability
2. ISC DHCP Client 'remote root' Vulnerability
3. NetworkICE BlackICE High UDP Port Block Delay Vulnerability
4. Netwin DMailWeb & CWMail Server Mail Relaying Vulnerability
5. Netwin DMailWeb & CWMail Server DoS Vulnerability
6. Multiple Xwindows Client for 9x / Nt / 2000 Default Export Vuln..
7. Netscape Enterprise Server for Netware Buffer Overflow Vulnerability
8. Microsoft Internet Explorer and Outlook/Outlook Express...
9. Fortech Proxy+ Telnet Gateway Vulnerability
10. LeafDigital LeafChat 1.7 DoS Vulnerability
11. Floosietek FTGate Mail Server Vulnerability
12. Microsoft Internet Explorer 5.01 and Access 2000 VBA...
13. Microsoft Internet Explorer 5.01 and Excel/Powerpoint 2000...
14. SapporoWorks WinProxy Buffer Overflow Vulnerability
15. glftpd privpath Directive Vulnerability
16. Flowerfire Sawmill File Access Vulnerability
17. Flowerfire Sawmill Weak Password Encryption Vulnerability
18. Dalnet IRC Server "SUMMON" Buffer Overflow Vulnerability
19. HP DBUTIL.PUB.SYS Privilege Elevation Vulnerability
20. Microsoft Windows 9x ARP Spoofing Vulnerability
21. iMesh.Com iMesh 1.02 Buffer Overflow Vulnerability
22. Multiple X application libX11 _XAsyncReply() Stack Corruption
23. XDMCP Infinite Loop Denial of Service Vulnerability
24. Network Associates WebShield SMTP Filtering Rules Bypass...
III. SECURITYFOCUS.COM NEWS ARTICLES
1. NSI to close hijack Hole (June 29, 2000)
2. Mitnick Gag-order Stays (June 26, 2000)
3. Ripping the Net (June 25, 2000)
IV.SECURITY FOCUS TOP 6 TOOLS
1. rvscan (remote vulnerability scanner) (Linux)
2. packet2sql 2.0.3 (Linux)
3. IPTraf 2.2.1 (Linux)
4. Integrity Protection Driver (IPD) 1.1 (Windows NT and Windows 2000)
5. Lsof 4.50 (UNIX)
6. Qrack (Linux, FreeBSD, other UNIX)
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. Wu-Ftpd Remote Format String Stack Overwrite Vulnerability
BugTraq ID: 1387
リモートからの再現性: あり
公表日: 2000-06-22
関連する URL:
http://www.securityfocus.com/bid/1387
まとめ:
Washington University ftp daemon (wu-ftpd) は多くの Linux のディストリ
ビューションに含まれる非常に有名な UNIX で動作する FTP デーモンである。
しかし、Wu-ftpd には SITE EXEC の実装において、リモートからの攻撃を受け
てしまうという重大な問題を抱えている。ユーザからの入力が直接 printf (と
その派生) 関数の書式文字に与えられてしまっているため、例えばスタック上の
リターンアドレスなどの値と言った重要なデータを上書き可能なのである。
一度上書きできた場合、上書きされた EIP と root で実行される意図的な実行
コードを示したシェルコードへ関数から処理を向かわせる事ができてしまえるの
である。
バッファオーバーフローを生じさせる類似のやり方での攻撃と同様に、この問題
は入力値の確認問題なのである。匿名 FTP はインターネット上のどこかから匿
名で攻撃が可能であるため、さらに重大な危険をもたらす。
2. ISC DHCP Client 'remote root' Vulnerability
BugTraq ID: 1388
リモートからの再現性: あり
公表日: 2000-06-24
関連する URL:
http://www.securityfocus.com/bid/1388
まとめ:
ISC が提供する DHCP クライアントはインターネット上の様々なホストで利用
される標準的な UNIX 用の DHCP クライアントである。OpenBSD チームはこの
ソフトウェアが不正な DHCP サーバによってリモートから攻撃を受けてしまう
問題を発見した。(この問題は攻撃者が DHCP サーバを偽装できてしまえる問題
でもある)
もしこの問題を突いた攻撃が行われた場合、リモートから DHCP クライアント
を動作させているホストの root 権限が奪取されてしまうのである。問題の核
心は、入力値がチェックされていないことにあり、結果として、DHCP クライア
ントのネットワーク設定ファイルに設定が書き込まれる際にリモートからコマ
ンドが実行できてしまえる点にある。
3. NetworkICE BlackICE High UDP Port Block Delay Vulnerability
BugTraq ID: 1389
リモートからの再現性: あり
公表日: 2000-06-22
関連する URL:
http://www.securityfocus.com/bid/1389
まとめ:
NetworkICE BlackICE Defender および Agent には 1021 番以上の入力側の UDP
ポートを、Trusting、Caution、Nervous のいずれかの設定が行われた際にブ
ロックしなくなる問題が発見された。例えば、Back Orifice 1.2 はデフォルト
で UDP のハイポートを利用しているため、Back Orifice クライアントで指示
されたコマンドは何であってもこの製品では防止できないのである。
まず、Back Orifice サーバの感染を受けたコンピュータからの応答はこの製品
の IPアドレス単位の防護機能の引き金となる働きがある。しかし、最初に行わ
れるBack Orifice コマンドのクライアントからの指示とこの製品が該当する
IP アドレスからのアクセスを拒否する処理との間にはギャップがあるため、
大量の Back Orifice コマンドは、リモートのユーザがコマンドの実行時間に
依存するものではあるが、この製品の防護機能を迂回できてしまえるのである。
(コマンドは、コマンドを与える速度の向上を図るためにスクリプトを用いて
自動処理可能であり、異なる IP アドレスからのコマンド実行も可能である。)
この製品は UDP を利用するプログラムによる悪意ある攻撃に対しても同様の
問題を生じる可能性がある。
4. Netwin DMailWeb & CWMail Server Mail Relaying Vulnerability
BugTraq ID: 1390
リモートからの再現性: あり
公表日: 2000-06-23
関連する URL:
http://www.securityfocus.com/bid/1390
まとめ:
DMailWin および CWMail サーバを用い、登録されたユーザ以外がログインし、
メールを送付可能な問題が発見された。リモートのユーザは改行を含む特別に
改ざんされたユーザ名を用いてこの攻撃を実行可能である。
5. Netwin DMailWeb & CWMail Server DoS Vulnerability
BugTraq ID: 1391
リモートからの再現性: あり
公表日: 2000-06-23
関連する URL:
http://www.securityfocus.com/bid/1391
まとめ:
Netwin 社の DMailWeb および CWMail サーバはユーザがログイン先の POP3
サーバを指定できるオプション機能を提供している。もし攻撃者がこの製品の
POP3 サーバへログインし、大量のアカウントを作成していた場合、攻撃者は
メールサーバを利用して SMTP サービスの処理を溢れさせ、DoS を引き起こす
ことが可能である。
6. Multiple Xwindows Client for 9x / Nt / 2000 Default Export Vulnerability
BugTraq ID: 1392
リモートからの再現性: あり
公表日: 2000-06-26
関連する URL:
http://www.securityfocus.com/bid/1392
まとめ:
Microsoft 社製 OS 用の様々な X Window のクライアントはリモートにある、
UNIX で動作する X サーバを操作するために接続できる機能を提供している。
これら製品の多くはデフォルトで X session をすべてのコンピュータに対し
て公開した状態で提供されているのだ。もし、リモートのユーザに対して
X session が利用可能な場合、打鍵状態、あるいは他の情報は外部から取り込
み可能なのである。他の情報にはユーザ名、パスワードが含まれる。
備考:
これはソフトウェアそのもののセキュリティホールではない。デフォルト設定
の問題である。
7. Netscape Enterprise Server for Netware Buffer Overflow Vulnerability
BugTraq ID: 1393
リモートからの再現性: あり
公表日: 2000-06-26
関連する URL:
http://www.securityfocus.com/bid/1393
まとめ:
Netscape Enterprise Server for Netware にはバッファオーバーフローが発生
する。したがって、サーバへ改ざんされた URL を与えることによりこの問題を
突いた攻撃が可能である。バッファオーバーフローを引き起こすリクエストは
サービスを停止させ、意図的なコードの実行の可能性をもたらす。
8. Microsoft Internet Explorer and Outlook/Outlook Express Remote File Write Vulnerability
BugTraq ID: 1394
リモートからの再現性: あり
公表日: 2000-06-24
関連する URL:
http://www.securityfocus.com/bid/1394
まとめ:
特定の環境において、Microsoft Internet Explorer と Outlook/Outlook Express
はユーザが保存するかどうかのコンピュータからの応答を取り消したとしても、
ファイルをローカルの一時作業用のディレクトリへ保存する。ダウンロードさ
れたファイルは Active X コントロールによって強制的に実行可能である。
強制的な実行処理を行うためには、システムのデフォルトの一時作業用ディレ
クトリへの正確なパスが Active X コントロールによって明示されていなけれ
ばならない。
もし、悪意ある Web サイトの管理者が特定のタグを含んだ base 64 で符号化
された HTML フレームセットを構築する場合、ユーザが Web ページにアクセス
する際にファイルダウンロードダイアローグが表示される。
ダイアローグボックスはユーザにファイルを保存するか、あるいは開くのか、
さらにはダウンロード処理を取り消すのかを尋ねてくる。ファイルは一時作業
用のディレクトリにユーザがどのオプションを選択したかに関わらず、例え取
り消しを選んだ場合であってもダウンロードされてしまうのである。この現象
はセキュリティゾーンの設定がダウンロードを無効にしてあったとしても起こっ
てしまう。ファイルのダウンロード始めるダイアローグボックスの処理の続行
許可が得られなかったこの場合も、ファイルは強制的に一時作業用ディレクト
リへ保存されてしまうのである。
第2番目の HTML フレームには 15589FA1-C456-11CE-BF01-00AA0055595A が割り
振られた Class ID の Active X とダウンロードされたファイルをリフレッシュ
対象とするように仕向けられたリフレッシュタグが含まれている。この事から、
一次作業用のディレクトリ内にダウンロードされたファイルは実行されてしまう。
二つの改ざんされた電子メールを受信者に送り、同一の結果を得るという事例
も報告されている。
最初のメールはバッチファイルを含む HTML メッセージを含んでいる。
電子メールの受信者がファイルを保存するか、開くか、あるいはダウンロード
を取り消すかを求められる。しかしすでに示したように、これらのオプション
のどれを選択した場合であっても、ファイルは一時作業用ディレクトリへダウ
ンロードされてしまうのである。
次に送付されるメールはバッチファイルを指し示す改ざんされた URL を含む
ファイルを含んでいるものである。
もしユーザが指定された URL をクリックするというありがちな過ちを犯した
場合、一時作業用ディレクトリにダウンロードされたファイルは実行されて
しまう。
9. Fortech Proxy+ Telnet Gateway Vulnerability
BugTraq ID: 1395
リモートからの再現性: あり
公表日: 2000-06-26
関連する URL:
http://www.securityfocus.com/bid/1395
まとめ:
Proxy+ はローカルホストからだけの接続を受け入れ、サービスを行う様に管理
するためのリモートからの管理機能を提供している。HTTP プロキシを通じたリ
モートからのコネクションの受付が許可されていない場合であっても、このソフ
トウェアの telnet プロキシを通じて HTTP サービスを利用できてしまえるので
ある。
10. LeafDigital LeafChat 1.7 DoS Vulnerability
BugTraq ID: 1396
リモートからの再現性: あり
公表日: 2000-06-25
関連する URL:
http://www.securityfocus.com/bid/1396
まとめ:
IRC サーバから LeafDigital LeafChat IRC クライアントへ繰り返して不正な
データが送られた場合、プログラムは応答しなくなってしまう。
通常動作への復旧はアプリケーションの再起動が必要である。
11. Floosietek FTGate Mail Server Vulnerability
BugTraq ID: 1397
リモートからの再現性: あり
公表日: 2000-06-27
関連する URL:
http://www.securityfocus.com/bid/1397
まとめ:
FTGate mail サーバへ、誤まったユーザログイン情報が与えられた際、エラー
メッセージは表示されるものの、コネクションは切断されない。そのため、
攻撃者はユーザ名とパスワードについて、ブルートフォース攻撃が可能である。
12. Microsoft Internet Explorer 5.01 and Access 2000 VBA Code Execution Vulnerability
BugTraq ID: 1398
リモートからの再現性: あり
公表日: 2000-06-27
関連する URL:
http://www.securityfocus.com/bid/1398
まとめ:
Internet Explorer 5.01 および Access 2000 の Visual Basic for Applications
(VBA) について、IFRAME をユーザの了解あるいは了承なしで利用している Web
ページあるいは HTML メール経由でリモートから実行可能である。
*.mdb ファイルはシステム中に既存のいかなる実行ファイルを実行可能な shell()
コマンド付きの VBA コードを含めて作成可能である。mdb ファイルはブラウザ
で読み込まれるいかなる HTML ファイルのオブジェクトタグから参照可能である。
コードは "Run ActiveX controls and plug-ins" が利用不能、あるいは実行に
に確認を求めてくる様な設定が行われている場合であっても実行されてしまう。
13. Microsoft Internet Explorer 5.01 and Excel/Powerpoint 2000 ActiveX Object Execution Vulnerability
BugTraq ID: 1399
リモートからの再現性: あり
公表日: 2000-06-27
関連する URL:
http://www.securityfocus.com/bid/1399
まとめ:
Excel あるいは Powerpoint 2000 を用い、また、IFRAME を利用した Web ペー
ジや HTML メッセージ内の特定のオブジェクトタグを利用することで破壊的な機
能を持ち合わせる Active X オブジェクトを Internet Explorer 5.01 内で実
行可能である。例としては SaveAs オブジェクトが挙げられる。
このオブジェクトは Excel あるいは Powerpoint ファイルをリモートシステム
内の任意の場所にユーザに知られることなく保存させる事が可能である。
保存先には次回 Windows がユーザによって起動された際にファイルを自動的に
開かせる働きを持つスタートアップフォルダも含まれる。
ファイルが *.hta ファイルの場合、システム内のいかなるアプリケーションの
実行が考えられる。SaveAs 以外の他のオブジェクトも同様の方法を用いて呼び
出し可能である。
14. SapporoWorks WinProxy Buffer Overflow Vulnerability
BugTraq ID: 1400
リモートからの再現性: あり
公表日: 2000-06-27
関連する URL:
http://www.securityfocus.com/bid/1400
まとめ:
SapporoWorks が提供する WinProxy のコンポーネントである、POP3 および
HTTP プロキシには DoS 状態、あるいはリモートから意図的なコードの実行
を可能とする未チェックのバッファが多数存在する。
ポート番号 8080 へ "GET /" を行う事により、WinProxy の応答は停止する。
312 バイトを越えた文字列が USER, PASS, LIST, RETR, DELE コマンド中に
与えられた場合、意図的なコードが実行できる可能性がある。
USER および PASS コマンドは認証手続きを経なくてもバッファオーバーフロー
の影響を受ける危険性がある。
15. glftpd privpath Directive Vulnerability
BugTraq ID: 1401
リモートからの再現性: あり
公表日: 2000-06-26
関連する URL:
http://www.securityfocus.com/bid/1401
まとめ:
glftpd のバージョン 1.18 から最新ベータ版の 1.21b8 までには問題がある。
この問題は glftpd の終了関数と組み合わされた際に privpath ディレクティ
ブのアクセスチェック機能に問題を生じる、というものである。もし、攻撃者
がサイト内にある個人用、あるいはグループ用ディレクトリ名を知っている場
合、正しいアクセスを持っていないにも関わらずこれらのディレクトリへアク
セスできてしまえるのである。これは実際に必要十分な権限を持っていないユー
ザによって、重要な情報がダウンロード可能となる結果をもたらしてしまう。
16. Flowerfire Sawmill File Access Vulnerability
BugTraq ID: 1402
リモートからの再現性: あり
公表日: 2000-06-26
関連するURL:
http://www.securityfocus.com/bid/1402
まとめ:
Sawmill は、Unix、Windows、Mac OS で利用できる、サイトの統計を調べるパ
ッケージである。このパッケージには特別に組み立てたリクエストを送ること
で、ファイルの所有者とグループ以外のユーザでも読み取り可能なファイルの
一行目を表示してしまう問題がある。この問題の例としては、 /etc/passwd
のようなフルパス情報の例が挙げられる。リクエスト送信の結果は、以下のよ
うに出力される。
'Unknown configuration command "root:x:0:0:root:/root:/bin/sh" in
"/etc/passwd".'
17. Flowerfire Sawmill Weak Password Encryption Vulnerability
BugTraq ID: 1403
リモートからの再現性: あり
公表日: 2000-06-26
関連するURL:
http://www.securityfocus.com/bid/1403
まとめ:
Sawmill は、Unix、Windows、Mac OS で利用できる、サイトの統計を調べるパ
ッケージである。このパッケージのパスワードは弱いハッシュ関数を使って暗
号化されているため、Sawmill (bid = 1402) にあるファイルを公開してしまう
問題と組み合わせることで、攻撃者は sawmill のパスワードファイルの内容を
参照できてしまう。さらには、パスワードを復号し、Sawmill の管理者権限を
奪取可能である。
18. Dalnet IRC Server "SUMMON" Buffer Overflow Vulnerability
BugTraq ID: 1404
リモートからの再現性: あり
公表日: 2000-06-29
関連するURL:
http://www.securityfocus.com/bid/1404
まとめ:
Dalnet ircd は、有名なチャットアプリケーションである IRC (Internet
Relay Chat) のサーバである。このアプリケーションの特徴的な機能を実装し
ている "summon" コマンドには弱点があり、攻撃者に(サーバ上の権限を利用し
て)サーバとして稼動しているホストにリモートアクセスを許してしまう。こ
の弱点は(sprintf を使用してユーザによる入力データを処理することが原因
で)バッファオーバーフローする可能性があるが、これを悪用することは難し
い。その理由はシェルプログラムは多数の変数に分割されなければならず、そ
の一つがホスト名であり(これは逆引きすることで入手でき、攻撃には汚染さ
れたされた DNS 情報が関係してくる) 、ホスト名を取り扱う変数は、メモリ
中で再構成され、スタック上で実行される。また、"summons" コマンドは、
ircd サーバ上でデフォルトでは実行できない設定をしている。これは、コン
パイル時に決定される。それでもなお、理論的には攻撃を受ける可能性がある
ため、パッチを適用すべきである。
19. HP DBUTIL.PUB.SYS Privilege Elevation Vulnerability
BugTraq ID: 1405
リモートからの再現性: なし
公表日: 2000-06-26
関連するURL:
http://www.securityfocus.com/bid/1405
まとめ:
ユーザは、DBUTIL.PUB.SYS にある弱点を使用してユーザ権限を昇格すること
ができる。この弱点は、Hewlett Packard 社が提供する MPE/iX オペレーティ
ングシステムのバージョン 4.5 以降に影響を与える。
この弱点の正確な性質は知られていない。
20. Microsoft Windows 9x ARP Spoofing Vulnerability
BugTraq ID: 1406
リモートからの再現性: あり
公表日: 2000-06-29
関連するURL:
http://www.securityfocus.com/bid/1406
まとめ:
Windows 9x はネットワーク上で送信される偽造 ARP パケットを適切に処理
しない。Windows は、他のホストからの情報を基に、静的に登録されたARP テ
ーブルを更新する。既存の静的に登録された情報が、このように更新されるた
め、リモートから上書きすることができる。このように、攻撃者は、同ネット
ワーク上にあるほかのマシンを経由させて、特定のホスト向けに通信させるこ
とができる。
21. iMesh.Com iMesh 1.02 Buffer Overflow Vulnerability
BugTraq ID: 1407
リモートからの再現性: あり
公表日: 2000-06-29
関連するURL:
http://www.securityfocus.com/bid/1407
まとめ:
iMesh は、実行時に iMesh サーバに接続してリモートからファイル共有を可能
にするアプリケーションである。これは任意の TCP ポート上でリクエストを受
け付けるもので、バッファオーバーフローを利用し、リモートからコードを実行
される可能性を抱える。
22. Multiple X application libX11 _XAsyncReply() Stack Corruption Vulnerability
BugTraq ID: 1408
リモートからの再現性: なし
公表日: 2000-06-19
関連するURL:
http://www.securityfocus.com/bid/1408
まとめ:
libX11 の _XAsyncReply() コールには弱点が存在する。これは、クライアント
が送信するパケットの一部に含まれるサイズ情報を利用しているためである。
このサイズ情報は整数型である。この値を強制的にマイナスにすることによって、
スタックが破壊される可能性がある。さらにこのスタックの破壊によって、スタッ
ク上の戻り番地を上書きすることが可能である。理論上、これによって任意のコー
ドが実行できることになる。xterm のような、setuid する X アプリケーション
が起動しているシステム上で、ローカルユーザが root 権限を奪取することが可
能である。
このコードを実行するには、ユーザがポート6000 向けに偽の X サーバを起動で
きていなければならない。この条件を満たすためにはすでに X が起動していない
という前提が必要となる。
ポート6000番には特別権限を必要とせず、どんなユーザでもソケットにバインド
できる。従って、この攻撃には xterm を起動するためのローカルアクセスが必要
であることが分かる。
この弱点は XFree86 の X サーバで再現できている。他のバージョンについては
確認はされていないが同じ弱点が Open Group による XFree86 のディストリビュー
ションに付随してくる標準 X (X11R6.x) にも存在すると思われる。
23. XDMCP Infinite Loop Denial of Service Vulnerability
BugTraq ID: 1409
リモートからの再現性: あり
公表日: 2000-06-19
関連するURL:
http://www.securityfocus.com/bid/1409
まとめ:
libX11 の OpenDis.c ファイルにプログラム上の欠陥が存在し、これによって
xdm を含む XDMCP の要求を受け付けるものに対して DoS 攻撃を受ける恐れが
ある。XDMCP 接続確立のリクエストに対してサーバが返すパケットの内容を変
更することで、それに関連したプログラムが無限ループに陥る可能性がある。
これを何度も繰り返すことにより、DoS 攻撃となる。
この欠陥は、ループの制御のためにネットワークから受け取る
dpy->resource_mask の値によるものである。mask の値を 0 にすると、ルー
プが終了しない。
lib/X11/OpenDis.c, ~line 373
mask = dpy->resource_mask;
dpy->resource_shift = 0;
while (!(mask & 1)) {
dpy->resource_shift++;
mask = mask >> 1;
}
24. Network Associates WebShield SMTP Filtering Rules Bypass Vulnerabilit
BugTraq ID: 1410
リモートからの再現性: 不明
公表日: 2000-06-20
関連するURL:
http://www.securityfocus.com/bid/1410
まとめ:
WebShield SMTP は悪意ある添付ファイル(全ての.VBS、その他のスクリプト)
を通過させない設定にすることができる。このフィルタリングの仕組みでは、
base64 でのエンコードを使用した場合に、拒絶するように WebShield を設定
した添付ファイルを検出することができない。これは既知のウィルス検出に対
する問題ではなく、一部の添付ファイルのタイプによってはフィルタリングで
きないことが問題である。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. NSI to close hijack Hole (June 29, 2000)
人々を困惑させた Web ハイジャックの一連の事件後、Network Solutions は
7 月 8 日に向け、新しい認証方式開始に乗り出す。
http://www.securityfocus.com/news/54
2. Mitnick Gag-order Stays (June 26, 2000)
Kevin Mitnick 氏による講演の道は、裁判の公聴会によって阻まれた。
彼に希望はあるのか?
http://www.securityfocus.com/news/53
3. Ripping the Net (June 25, 2000)
ビートルズ、ボンド、ブラックボックス?
David Banisar 氏は グローバルインターネットの監視が英国の次なる大きな輸
出品となるのか、と警告する。
http://www.securityfocus.com/commentary/52
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. rvscan (remote vulnerability scanner) (Linux)
作者: ben-z
URL: http://www.securityfocus/com/data/tools/rvscan.v3-b1.tgz
UNIX システム上にある、リモートから攻撃可能なあらゆる弱点を走査します。
このツールはハッカーの間で一般的に使われています。
2. packet2sql 2.0.3 (Linux)
作者: Xant, xant@users.sourceforge.net
URL: http://www.securityfocus.com/data/tools/packet2sql-2.0.3.tar.gz
Packet2sql は、IP チェーンのパケットログが含まれたテキスト形式のログファ
イルを、SQL 挿入ストリームに変換します。SQL はファイルに保存され、SQL-92
互換データベースアプリケーションへのクエリーとして使用されます。このデー
タベースは、ファイアウォール型分析データベースアプリケーションの基本要素
となり、攻撃シグネチャを識別し、ほかのサイトと容易にセキュリティ情報を共
有し、ログに記録された攻撃者のアドレスを導き出し、そこのシステム管理者と
連絡することができます。このバージョンでは C++ で全てを再構築しました。
コマンドラインで列挙されたファイル名以外にも、標準入力を受け付け、バージョ
ン 1 よりも 170 倍高速です。空の行に関連したクラッシュも修正されています。
日付が 10 日以前の場合に生じる SQL のエラーは修正されました。syslogd から
データベースへコピーするユーティリティが追加されました。パケット以外の
ログをログファイルに出力する欠陥は、junk SQL として削除するように修正し
ました。
3. IPTraf 2.2.1 (Liunx)
作者: Gerard Paul Java, riker@mozcom.com
URL: http://www.securityfocus.com/data/tools/iptraf-2.2.1.tar.gz
IPrafは TCP 情報、UDP カウント、ICMP 及び OSPF 情報、Ethernet ロード情
報、 ネットワークノードに関する統計情報、IP チェックサムエラーなどの情
報を作成する ncurses ベースの IP LAN モニタです。これは、Ethernet エミュ
レーションのFDDIインターフェイスを認識しなかった部分や、TCP 及び UDP
フィルタエディタの画面の崩れを修正しました。また、DVB インターフェイス
をサポートし、Ethernetのカプセル化を表面的に行います。このバージョンは
IPアドレスとして 255.255.255.255 の登録を間違ってエラーや無視する、と
判断をする TCP と UDP フィルタにあるバグを修正しました。
4. Integrity Protection Driver (IPD) 1.1 (Windows NT and Windows 2000)
作者: Pedestal Software, webmaster@pedestalsoftware.com
URL: http://www.securityfocus.com/data/tools/ipd.zip
この Windows NTとWindows 2000用のデバイスドライバは、ルートキットやト
ロイの木馬型プログラムなどの、カーネルドライバを使ってファイルを隠した
り、システムの通常の動作を変更するものからからシステムを保護します。
5. Lsof 4.50 (UNIX)
作者: Vic Abell, abe@purdue.edu
URL:
http://www.securityfocus.com/data/tools/lsof_4.50_W.tar.gz
Lsof は、Unix 用の診断ツールです。この名前は、LiSt Open Files を意味し
ており、その名の通りのことを実行します。システム上で現在稼動中のプロセス
より開かれているファイルに関する情報を一覧表示します。NetBSD Alpha版の対
応、Solaris カーネルアドレスフィルタリング、/dev/kmem ベースの Linux に
対する修正、Solaris、BSDI、FreeBSD、NeXTSTEP、OpenBSD、OpenStep にも対応
するようになりました。64 ビットのファイルサイズもサポートし、BSDI、
FreeBSD、NetBSD、OpenBSD に対応します。
6. Qrack (Linux, FreeBSD, other UNIX)
作者: Tyler Lu
URL:
http://www.securityfocus.com/data/tools/qrack-1.0.tgz
Qrack は、手軽、高速、及び早い unix のパスワードクラッキングツールです。
crypt() コールから生成される暗号化されたテキストを総当たり的に攻撃します。
無効なアカウントやパスワードの設定されていないアカウントを報告してくれ
ます。辞書ファイルには、2400文字含まれています。システム管理者が脆弱な
パスワードを見つけ出すのに理想的なツールです。 プログラムは、Perl で書
かれており、FreeBSD と Linux 上で動作確認が検証されています。Perl イン
タープリタがインストールされた、ほかの種類の Unix でも動作するはずです。
Translated by SAKAI Yoriyuki <sakai@lac.co.jp>
YANAOKA Hiromi <yanaoka@lac.co.jp>
ICHINOSE Sayo <ichinose@lac.co.jp>
KAGEYAMA Tetsuya <t.kageym@lac.co.jp>
SUZUKI Hidefumi <h.suzuki@lac.co.jp>
LAC Co., Ltd. <URL: http://www.lac.co.jp/security/>
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOWENcZQwtHQKfXtrEQLhGwCbB+UbSfRPO3hUC4w9C+630VvRfW4AnRSR
lkIbvPJ1idA55XbCeaCmWiTZ
=Kzds
-----END PGP SIGNATURE-----