SecurityFocus.com Newsletter #53 2000-07-28 -> 2000-08-04
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 53 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- - ----------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- - ----------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- - ----------------------------------------------------------------------
- - ----------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- - ----------------------------------------------------------------------
- - ----------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- - ----------------------------------------------------------------------
- - ----------------------------------------------------------------------
SecurityFocus.com Newsletter #53
- --------------------------------
I. FRONT AND CENTER
1. Virus: A Day in the Life of a Virus Lab
2. Incidents: The Field Guide for Investigating Computer Crime
3. Microsoft: Taming IIS Logs
4. New Guest Feature: "Linux Sux Redux - A Rebuttal"
5. Sun: Introduction to IP Filter Part 2
II. BUGTRAQ SUMMARY
1. Weblogic SSIServlet Show Code Vulnerability
2. Weblogic FileServlet Show Code Vulnerability
3. Computer Associates ARCserveIT ClientAgent Temporary File
4. HP-UX bdf Vulnerability
5. Bajie Webserver Absolute Path Disclosure Vulnerability
6. Bajie Webserver File Reading Vulnerability
7. CVS Client Server-Instructed File Create Vulnerability
8. CVS Checkin.prog Binary Execution Vulnerability
9. Weblogic Remote Command Execution Vulnerability
10. IRIX gr_osview Buffer Overflow Vulnerability
11. IRIX libgl.so Buffer Overflow Vulnerability
12. IRIX dmplay Buffer Overflow Vulnerability
13. IRIX lpstat Buffer Overflow Vulnerability
14. IRIX inpview Race Condition Vulnerability
15. Apache Tomcat 3.1 Path Revealing Vulnerability
16. Apache Tomcat Snoop Servlet Information Disclosure Vulnerability
17. Norton Antivirus with Novell Client Autoprotection Disabling
18. Check Point Firewall-1 Unauthorized RSH/REXEC Connection
19. Microsoft Windows 2000 Named Pipes Predictability Vulnerability
20. NAI Net Tools PKI Server strong.exe Buffer Overflow Vulnerability
21. NAI Net Tools PKI Server Directory Traversal Vulnerability
22. NAI Net Tools PKI Server Format String Vulnerability
23. GNU Mailman Local Format String Stack Overwrite Vulnerability
24. IRIX xfs truncate() Privilege Check Vulnerability
25. Cisco Gigabit Switch Router, Fast/Gigabit Ethernet
26. IRIX mail Vulnerability
27. Serv-U FTP Server Null Characters DoS Vulnerability
28. Microsoft Windows 9x IPX Ping Packet DoS Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Beware 'Brown Orifice' (August 6, 2000)
2. Carnivore in Court (August 2, 2000)
3. Trojan Legislation (August 6, 2000)
IV.SECURITY FOCUS TOP 6 TOOLS
1. Antivore (Linux)
2. Whisker 1.4 (Any system supporting Perl)
3. Claymore 0.2 (Linux)
4. snortstart 0.14 (Linux)
5. ngrep (Windows) 1.38 (Windows 95/98/NT/2000, Unix)
6. Winfingerprint 2.2.6 (Windows 95/98/NT/2000)
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. Weblogic SSIServlet Show Code Vulnerability
BugTraq ID: 1517
リモートからの再現性: あり
公表日: 2000-07-31
関連するURL:
http://www.securityfocus.com/bid/1517
まとめ:
特定のバージョンの BEA Systems 社の Weblogic server には悪意あるユーザ
が .jsp と .jhtml 形式の文書のソースを Web 文書の root ディレクトリか
ら辿って参照できてしまう問題を抱えて出荷されている。
この問題はユーザが予め /*.shtml/ と指定したリクエストを与えた場合、サー
バ自身の設定を行うために提供されている weblogic.properties 設定のミスが
発現するためによるものである。このミスの結果、SSIServlet (Server Side
Include Servlet) の処理は構文解釈せず (そのまま、プリコンパイルせずに)
に文書をそのまま表示してしまうのである。
2. Weblogic FileServlet Show Code Vulnerability
BugTraq ID: 1518
リモートからの再現性: あり
公表日: 2000-07-31
関連するURL:
http://www.securityfocus.com/bid/1518
まとめ:
特定のバージョンの BEA Systems 社の Weblogic server には悪意あるユーザ
が文書のソースを Web 文書の root ディレクトリから辿って参照できてしまう
問題を抱えて出荷されている。
この問題はユーザが予め /ConsoleHelp/ と指定したリクエストを与えた場合、
サーバ自身の設定を行うために提供されている weblogic.properties 設定の
ミスが発現するためによるものである。このミスの結果、Fileservlet の処理
は構文解釈せず (そのまま、プリコンパイルせずに) に文書をそのまま表示し
てしまうのである。
3. Computer Associates ARCserveIT ClientAgent Temporary File Vulnerability
BugTraq ID: 1519
リモートからの再現性: なし
公表日: 2000-07-31
関連するURL:
http://www.securityfocus.com/bid/1519
まとめ:
Computer Associates が提供する ARCServeIT は様々なプラットフォームで動
作するバックアップ手段を提供するソフトウェアである。
システムを利用するクライアントにおいては、必ず「クライアントエージェント」
をインストールしなければならない。少なくとも Linux システムにおいては、
クライアントエージェントを設定するセットアップスクリプトは /tmp にファ
イルが既存であるかどうか、そしてそれがどのユーザの所有に帰しているのか
を確認せずにファイルを書き込み、さらにはスクリプトはそれからファイルを
信頼できる場所へ所有権をそのままに移動させてしまうのである。
一時的に作成されたファイル (uagent.tmp) は /usr/CYEagent/agent.cfg へ
システム内のクライアントの副エージェントに対してエージェント全体を設定
するための設定ファイルとして移動される。この設定ファイルの内容は ARTServeIT
のサブエージェントが再起動された際に処理され、設定ファイルの設定内容に
依存するがこの際に root 権限を取得できる可能性がある。
幸運なことに、この機能を攻撃者が攻撃するためにはクライアントエージェン
ト設定プログラムがターゲット上で実行されつつあるか、あるいは設定プログ
ラムが 2 回目に、すでに問題を抱えている状態で実行されていなければなら
ないのである。
4. HP-UX bdf Vulnerability
BugTraq ID: 1520
リモートからの再現性: 未詳
公表日: 2000-07-31
関連するURL:
http://www.securityfocus.com/bid/1520
まとめ:
setuid されているユーティリティである /usr/bin/bdf は 2415 文字を越える
引数を -t オプションに与えた際メモリフォールトを起こして終了してしまう
バッファオーバーフローを生じる。現在の所、入手できた情報においてはこの
問題を突いた攻撃が可能かどうかについては明らかではない。
5. Bajie Webserver Absolute Path Disclosure Vulnerability
BugTraq ID: 1521
リモートからの再現性: あり
公表日: 2000-07-30
関連するURL:
http://www.securityfocus.com/bid/1521
まとめ:
Bajie HTTP server は Java で記述されたフリーの Web サーバである。
現在利用可能なバージョン、1.0 と仮定される、は /servlet/test/pathInfo/test
に test と呼ばれるサンプル Java サーブレットを含んだ状態で提供されてい
る。もし攻撃者によってこのプログラムが実行されるか、リクエストが与えら
れた場合、ターゲットとなるファイルシステムで提供される Web コンテンツの
絶対パスが表示されてしまうのである。この情報はターゲットとなったホストに
対するよりさらなる攻撃の手段に用いられる可能性がある。
6. Bajie Webserver File Reading Vulnerability
BugTraq ID: 1522
リモートからの再現性: あり
公表日: 2000-07-30
関連するURL:
http://www.securityfocus.com/bid/1522
まとめ:
Bajie HTTP server は Java で記述されたフリーの Web サーバである。
このサーバはもしもリクエストの最後に 4 つのピリオドを追加された場合、
好奇心攻撃 (interesting attack) を受けてしまう。(例えば /lala/....)
この場合、攻撃を受けたサーバのファイルシステムの / ディレクトリ以下が
表示されてしまうのである。攻撃者はシステム内のいかなるファイルをも制
御可能になってしまい、結果としてローカルシステムへのアクセスを危険な
状態に曝すことになってしまう。
7. CVS Client Server-Instructed File Create Vulnerability
BugTraq ID: 1523
リモートからの再現性: あり
公表日: 2000-07-28
関連するURL:
http://www.securityfocus.com/bid/1523
まとめ:
CVS クライアントはサーバから返されたパスを無条件で受け入れてしまう。
従って CVS クライアントは悪意あるサーバによってシステム上のどこで
あってもファイルの作成が行える状況に陥ってしまう。
8. CVS Checkin.prog Binary Execution Vulnerability
BugTraq ID: 1524
リモートからの再現性: あり
公表日: 2000-07-28
関連するURL:
http://www.securityfocus.com/bid/1524
まとめ:
CVS にプログラムをコミットするユーザは意図的なバイナリを Checkin.prog
を利用することで実行可能である。大抵の場合、作業用ディレクトリにある
CVS/Checkin.prog は CVSROOT/modules からディレクトリがチェックアウト
された際にコピーされる。そしてサーバに戻されコミット操作と共に実行さ
れるのである。なお、実行される際、コミットされるファイルはカレントディ
レクトリに保存される。
コミットするユーザによって作業用ディレクトリは変更され得るため、Checkin.prog
は編集可能であり、あるいは新規に作成可能である。もし悪意あるコミット
を行うユーザが Checkin.prog の改変を行った場合、CVS サーバは改変され
た Checkin.prog を実行することになってしまうのである。しかも、また、
コミットするユーザは cvs add -kb と cvscommit を利用することで意図的
なバイナリを実行可能なのである。悪意あるコミットを行うユーザはすでに
コミット済みのバイナリを Checkin.prog を使い、cvs commit を引き金とし
て実行可能である。
9. Weblogic Remote Command Execution Vulnerability
BugTraq ID: 1525
リモートからの再現性: あり
公表日: 2000-08-01
関連するURL:
http://www.securityfocus.com/bid/1525
まとめ:
2000 年 2 月に CERT Coordination Center は "Malicious HTML Tags
Embedded in Client Web Requests" でアドバイザリを発表している。
(アドバイザリは Bugtraq ID の credit section に示す)
このアドバイザリは CERT Coordination Center、DoD-CERT、DoD Joint Task
Force for Computer Network Defense (JTF-CND)、Federal Computer Incident
Response Capability (FedCIRC)、National Infrastructure Protection Center
(NIPC) との共管で発行されたものである。
このアドバイザリの要点はクライアント側に対する悪意あるスクリプトによる攻
撃が、実行コードをクライアント側のブラウザで実行できてしまえるという攻撃
を目的とする Web サイトにより引き起こされ得るという警告である。
(不十分な設計のスクリプト解釈用インタプリタによる処理が指摘されている)
BEA Systems が提供する Weblogic サーバを含む様々な Web サーバはこのアド
バイザリの指摘範囲に含まれる。とりわけ、もしユーザが JSP、あるいは JHTML
を含んだ書式で文書を Web サーバにアップロード可能な場合 (例えば Web フォー
ム等がある)、実行の意図を持つエンドユーザはそれを実行してしまうのである。
10. IRIX gr_osview Buffer Overflow Vulnerability
BugTraq ID: 1526
リモートからの再現性: なし
公表日: 2000-08-02
関連するURL:
http://www.securityfocus.com/bid/1526
まとめ:
特定のバージョンの IRIX の gr_osview コマンドではバッファオーバーフロー
が生じ、ローカルユーザが root 権限を奪取可能である。このコマンドはメモリ
管理状況をメモリの利用状況、ページフォルト数、TLB の状態、スワップの発生
状態に分けてグラフィカルに表示するものである。このコマンドはシステムがい
かなる動作状況であってもリアルタイムな表示機能を提供している。バッファオー
バーフローはコマンドライン引数の解釈を行うコードで発生し、ユーザが与えた
長い文字列によってオーバーフローを発生する。
11. IRIX libgl.so Buffer Overflow Vulnerability
BugTraq ID: 1527
リモートからの再現性: なし
公表日: 2000-08-02
関連するURL:
http://www.securityfocus.com/bid/1527
まとめ:
特定のバージョンの IRIX に含まれる libgl.so にはバッファオーバーフロー
を利用した攻撃を受けてしまう問題がある。このライブラリ、libgl.so は OpenGL
を利用するグラフィカルなプログラムと組み合わせて用いられる。このライブ
ラリを利用する様々なプログラムは結果としてこのライブラリを通じて攻撃さ
れ得るのである。現在既知の攻撃は gmemusage と gr_osview に対してこのラ
イブラリの問題を突くものである。バッファオーバーフローはこのライブラリ
の $HOME の取り扱い方法に由来している。(長さを確認していない)
従って、ライブラリ経由でプログラムが $HOME の値を受け取った場合、限界値
の制限に失敗し、バッファオーバーフローを招くのである。
この状態のプログラムが suid root である場合、攻撃者は root 権限を奪取し
てしまう。(どちらのプログラムも suid root である)
12. IRIX dmplay Buffer Overflow Vulnerability
BugTraq ID: 1528
リモートからの再現性: なし
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1528
まとめ:
特定のバージョンの IRIX でバッファオーバーフローに対する弱点を持つ dmplay
を含んで出荷されている。dmplay は IRIX 環境下で movie ファイルを実行す
るために使われる。ここでの問題は、このプログラムは、ユーザの X 端末上で
の DISPLAY 変数の取り扱い方法にある。この変数の境界をチェックしないため、
ユーザによって入力された異常に長い文字列によって攻撃を受けてしまうのであ
る。
13. IRIX lpstat Buffer Overflow Vulnerability
BugTraq ID: 1529
リモートからの再現性: なし
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1529
まとめ:
特定のバージョンの IRIX にはバッファオーバーフローに対する弱点を持つ
lpstat を含んで出荷されている。lpstat は、IRIX が使用しているプリンタ
の状態を調べるために使われる。この問題は、ユーザによって入力された内容
を解析するコマンド行解釈部のコードに異常に長い文字列を与えられた際に生
じ、root 権限を奪取されかねない結果となるバッファオーバーフローを引き
起こす。
14. IRIX inpview Race Condition Vulnerability
BugTraq ID: 1530
リモートからの再現性: なし
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1530
まとめ:
特定の IRIX バージョンには、セキュアでないやり方で /var/tmp/ 中にファ
イルを生成し、競合条件 (race condition) に対する弱点を持つ inpview を
含んで出荷されている。InPerson に含まれる inpview は、ネットワークを介
してマルチメディア会議を行うためのツールである。InPerson は、電子的な
ホワイトボードを共有して映像と音声を多重にやり取りを行う会議を行うため
の、単一に結合され容易に利用できるアプリケーションである。これとは別に、
各個人は "phone" ツールを利用でき、電話の受け答えができる。ここで取り上
げる問題とは、このプログラムが /var/tmp ディレクトリ中に一時ファイルを
書きだすことに由来するものである。
作成されるファイル名は規則的に付けられるため、ユーザは事前に作られたファ
イル名にシンボリックリンクを作成することができ、suid inpview として、
ファイルを rw-rw-rw 権限で無理矢理上書きさせてしまう。
15. Apache Tomcat 3.1 Path Revealing Vulnerability
BugTraq ID: 1531
リモートからの再現性: あり
公表日: 2000-07-20
関連する URL:
http://www.securityfocus.com/bid/1531
まとめ:
Apache Software Foundation から提供される Tomcat package の version 3.1
には JSP を処理する部分に問題がある。存在しない JSP ファイルを指定する
事で、エラーメッセージの一部としてサーバから余りにも多数の情報が出される。
この情報は、攻撃者がさらなる攻撃を実行するための有益な情報であるかもしれ
ない。
16. Apache Tomcat Snoop Servlet Information Disclosure Vulnerability
BugTraq ID: 1532
リモートからの再現性: あり
公表日: 2000-07-20
関連する URL:
http://www.securityfocus.com/bid/1532
まとめ:
Apache Software Foundation から提供される Tomcat package の version 3.1
には snoop servlet を扱う部分に弱点が存在する。存在しない .snp 拡張子の
ついたファイルを指定することで、エラーメッセージの一部としてサーバから
余りにも多数の情報が出される。この情報は、攻撃者がさらなる攻撃を実行す
るための有益な情報であるかもしれない。なお、この情報には、フルパス、OS
の情報、その他の機密扱いにしなければならないはずの情報が含まれる。
17. Norton Antivirus with Novell Client Autoprotection Disabling Vulnerability
BugTraq ID: 1533
リモートからの再現性: なし
公表日: 2000-07-28
関連する URL:
http://www.securityfocus.com/bid/1533
まとめ:
ダウンロードされたり、実行されたり、などの処理を行ったすべてのファイルを
自動的に検査するという Norton Antivirus のもつ特徴を "Auto-Protection"
は備えている。
通常は、誰がシステムにログインやログアウトをしたということに関係なく、
システムの起動から停止までの間、アクティブな状態のままである。
不運にも、 Novell Network Client がインストールされた Windows 95/98 の
下では、 Norton Antivirus とその auto-protect サービスは最初のユーザが
ログインしてログアウトした時点で無効となる。これはシステムを、Antivirus
なら自動的に検出できるはずの攻撃から無防備なままにしてしまう。この弱点
の原因が、Novell Client 中にあるのか、Novell Client 下で実行されている
他の Norton 製品を実行しているシステムに見られる振る舞いなのかは明らか
ではない。
18. Check Point Firewall-1 Unauthorized RSH/REXEC Connection Vulnerability
BugTraq ID: 1534
リモートからの再現性: あり
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1534
まとめ:
Check Point Firewall-1 には、特定の不正な接続に対する弱点がある。これ
は特別に形成された RSH/REXEC 接続要求を、外部の RSH/REXEC サーバから内
部の (保護された) RSH/REXEC クライアントに送ることによって引き起こされ
る。ただし、FireWall-1 管理者が Properties window 中で明示的に RSH/REXEC
を利用可能にした場合のみ問題となる。詳細が判明し次第追って報告を行う。
19. Microsoft Windows 2000 Named Pipes Predictability Vulnerability
BugTraq ID: 1535
リモートからの再現性: なし
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1535
まとめ:
Service Control Manager (SCM) は、Server、Workstation、Alerter、ClipBook
などのシステムサービスの生成と変更を扱うための Windows 2000 に付随する
管理者ツールである。サーバ側の名前付きパイプは各サービスが実行される前
に生成され、以下のような形式で規則的な順序で名づけられている。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceCurrent
次に利用される名前付きパイプが予測可能なため、Windows 2000 マシンに対話
的にログオンできるどんなローカルユーザは、サーバ側の名前付きパイプを生
成することが可能で、そのパイプに関係のあるシステムサービスが次に立ち上
がるとき、そのサービスのセキュリティコンテンツを装うことができる。
名前付きパイプには任意のプログラムを埋め込むことが可能で、管理者アカウ
ント状態を奪取する攻撃プログラムをローカルユーザが作成する可能性がある。
20. NAI Net Tools PKI Server strong.exe Buffer Overflow Vulnerability
BugTraq ID: 1536
リモートからの再現性: あり
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1536
まとめ:
Network Associates Inc. が提供する Net Tools PKI (Public Key
Infrastructure) サーバは、PKI サーバを実行しているシステムをリモートか
ら攻撃される可能性のあるバッファオーバーフローの弱点を含んだままで出荷
されている。この問題は、PKI サーバの web サーバコンポーネント (strong.exe)
にある。これは PKI サーバを稼動するために必要とされるいくつかの '仮想的
なサーバ' を管理している。1 つ目は、TCP の 443 番ポートを開いている
Administrative Web サーバで、2 つ目は、TCP の 444 番ポートを開いている
Enrollment Web サーバである。Administrative Web サーバとは違い、
Enrollment Web サーバは、ユーザが web サーバと通信する際に交換する証明
書を要求しない。この仮想的なサーバを経由することで、攻撃者は、この弱点
を突くことができる。
特に、PKIサーバの log を生成するルーチンにこの問題の原因がある。この弱
点を利用するために、ユーザは単純に 444 番ポートに HTTPS 接続をして、log
ルーチンをバッファオーバーフローで正常に動作させないために異常に長い URL
(2965 文字より長ければよい) を送るだけでよい。
21. NAI Net Tools PKI Server Directory Traversal Vulnerability
BugTraq ID: 1537
リモートからの再現性: あり
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1537
まとめ:
Network Associates Inc. が提供する Net Tools PKI (Public Key
Infrastructure) サーバは、リモートからの攻撃者に、PKI サーバが稼動して
いるシステムにある任意のファイルを読まれてしまう弱点を含んで出荷されて
いる。この問題は、PKI サーバの web サーバコンポーネント (strong.exe)
にある。これは PKI サーバを稼動するために必要とされるいくつかの '仮想的
なサーバ' を管理している。1 つ目は、TCP の 443 番ポートを開いている
Administrative Web サーバで、2 つ目は、TCP の 444 番ポートを開いている
Enrollment Web サーバである。Administrative Web サーバとは違い、
Enrollment Web サーバは、ユーザが web サーバと通信する際に交換する証明
書を要求しない。この仮想的なサーバを経由することで、攻撃者は、この弱点
をつくことができる。
この問題は web サーバがドキュメント root ディレクトリを提供に失敗してし
まうことに由来する。そのため、ユーザはターゲットホストのすべてのディレ
クトリツリーを参照できてしまうかもしれない。また、既知の場所にあるファ
イルを参照できてしまうかもしれない。
デフォルトでは、enrollment サーバは Web Root ディレクトリとして、
\Program Files\Network Associates\Net Tools PKI Server\WebServer
\enroll-server を使用する。適切に設定された web サーバでは、ユーザはツ
リー前方には移動できるが後方には移動できない。
22. NAI Net Tools PKI Server Format String Vulnerability
BugTraq ID: 1538
リモートからの再現性: あり
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1538
まとめ:
Network Associates Inc. が提供する Net Tools PKI (Public Key
Infrastructure) サーバは、リモートからの攻撃者に、PKI サーバが稼動して
いるシステム上で任意のコマンドを実行されてしまう弱点を含んで出荷されて
いる。この問題は、PKI サーバの web サーバコンポーネント (strong.exe)
にある。これは PKI サーバを稼動するために必要とされるいくつかの '仮想的
なサーバ' を管理している。1 つ目は、TCP の 443 番ポートを開いている
Administrative Web サーバで、2 つ目は、TCP の 444 番ポートを開いている
Enrollment Web サーバである。Administrative Web サーバとは違い、
Enrollment Web サーバは、ユーザが web サーバと通信する際に交換する証明
書を要求しない。この仮想的なサーバを経由することで、攻撃者は、この弱点
をつくことができる。以下は、この問題に関する CORE SDI アドバイザリから
の引用である。
"ユーザが入力した URL は Strong.exe によって処理される。 拡張子が.XUDA
の URL が見つからない場合、次の処理をするために XUDAD.EXE に送られる。
この過程が行われる前に、URL 列は解析され、メタ文字の処理を行い、この要
求のログを取る関数に渡される。この一連の流れのどこかで、ユーザが入力し
たデータは、ANSI C で規定されている sprintf() に類似した出力関数の入力
形式に整形される。これはリモート攻撃者にプロセスが確保しているメモリの
任意の場所を上書きさせてしまえるデータの入力することを許してしまい、DoS
もしくは、任意のプログラムを実行させてしまうことの原因となる。
23. GNU Mailman Local Format String Stack Overwrite Vulnerability
BugTraq ID: 1539
リモートからの再現性: なし
公表日: 2000-08-01
関連する URL:
http://www.securityfocus.com/bid/1539
まとめ:
GNU Mailman リストパッケージには弱点が存在する。バージョン 2.0beta3 と
2.0beta4 には、group mailman アクセスを許してしまう弱点を含んでいる。巧
く整形した列を入力することで、稼働中のプロセスが使っているスタック中の
変数を上書きでき、'wrapper' プログラムの権限で任意のコマンドを実行でき
る可能性がある。このプログラムは、setgid mailman でインストールされる。
GID mailman を獲得することで、攻撃者に他のバイナリを改竄し、権限を昇格
させられる可能性がある。
24. IRIX xfs truncate() Privilege Check Vulnerability
BugTraq ID: 1540
リモートからの再現性: なし
公表日: 2000-08-03
関連するURL:
http://www.securityfocus.com/bid/1540
まとめ:
特定のバージョンの IRIX ( xfs ファイルシステムのもの)における truncate()
システムコールは、ファイルを切断する前に、パーミッションのチェックを正
しく行わず、特権のないユーザが書き込み権限のないファイルを破損すること
が可能である。
バージョン 6.2 、 6.3 及び 6.4 がこの弱点を持っていると言われているが、
他のバージョンでも同じ振る舞いをすると思われる。
25. Cisco Gigabit Switch Router with Fast/Gigabit Ethernet Cards ACL
Bypass/DoS Vulnerabilities
BugTraq ID: 1541
リモートからの再現性: あり
公表日: 2000-08-03
関連するURL:
http://www.securityfocus.com/bid/1541
まとめ:
Fast Ethernet/Gigabit Ethernet カードとともに使われる
Cisco Gigabit Switch Routers(GSRs) は、ACL をバイパスしたトラフィックを
転送することができる問題がある。
これによって、通常アクセスコントロールリストによって保護されているはず
の弱点を利用される可能性がある。また、攻撃者がターゲットの GSR 上のイン
ターフェースの転送を停止することも可能となり、結果、サービスが停止する。
ACL の回避には、様々なパケットタイプを処理する時に最適化されている必要が
あり、それは影響されるインターフェースにのみ存在する。この弱点は Fast
Ethernet/Gigabit Ethernet ネットワークインターフェースカードが Gigabit
Switch Router とともに使用されている時のみ存在するものである。GSR の11.2
以降の IOS の全てのバージョンでこの弱点が存在すると思われる。
26. IRIX mail Vulnerability
BugTraq ID: 1524
リモートからの再現性: なし
公表日: 1997-05-07
関連するURL:
http://www.securityfocus.com/bid/1542
まとめ:
mail_att として知られる mail(1) プログラムは、電子メールを読み、送信する
ために使われている。バッファオーバーフローが LONGNAME 環境変数を処理する
コードで存在する。これによって権限をより上昇できる危険性がある。
27. Serv-U FTP Server Null Characters DoS Vulnerability
BugTraq ID: 1543
リモートからの再現性: あり
公表日: 2000-08-04
関連するURL:
http://www.securityfocus.com/bid/1543
まとめ:
Serv-u FTP サーバに NULL バイトを送り続けると、サーバがクラッシュして
マシンが起動しているサービスの処理を混乱させる可能性がある。
28. Microsoft Windows 9x IPX Ping Packet DoS Vulnerability
BugTraq ID: 1554
リモートからの再現性: あり
公表日: 2000-08-03
関連するURL:
http://www.securityfocus.com/bid/1544
まとめ:
Microsoft Windows 9x には DoS 攻撃を受けてしまう問題がある。これはポート
0x456 経由で、改ざんされた特殊な IPX/SPX Ping パケットに対して、誤った処
理をしてしまうからである。
IPX/SPX プロトコルは Windows 98 ではデフォルトでインストールされることは
ないが、Windows 95 では、インストール時にシステム上にネットワークイン
ターフェースカードが存在すると、デフォルトでインストールされる。IPX/SPX
が有効になっている場合、Windows 9x はソースアドレスはブロードキャストア
ドレスに修正されている改ざんされた特殊な IPX Ping パケットを受け取ってし
まい、ブロードキャストが混乱し、ネットワークの帯域幅を埋め尽くしてしま
う。ソースアドレスがブロードキャストアドレスに変更されている場合、ネット
ワークセグメント上の各々のマシンは一時的にネットワークを使用不能にする
Ping リクエストを返し、各々のホストは正常な機能を取り戻すために再起動を
余儀なくされる。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Beware 'Brown Orifice' (August 6, 2000)
最新のバックドアプログラムはあなたのウェブブラウザから侵入する。
http://www.securityfocus.com/news/70
2. Carnivore in Court (August 2, 2000)
連邦裁判所は FBI に、インターネット監視システムに関しての争いに、最終期限
を突きつけた。
http://www.securityfocus.com/news/68
3. Trojan Legislation (August 6, 2000)
ホワイトハウスは選挙年の計画として、Carnivore を短いひもでつないでおくこ
とにした。David Banisar はその不利な条件に悩まされる。
http://www.securityfocus.com/commentary/69
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. Antivore (Linux)
by ChainMail Inc., info@chainmailinc.com
URL:
http://www.antivore.org
Antivore と呼ばれている Mithril Secure Server は、メールクライアントと
メールサーバの間でプロキシの役割を果たします。暗号キーの作成、署名、暗号
化などを行います。可能な限り暗号化し、常にメッセージに署名し、送信する
メールを暗号化するための公開鍵を自動的に探し出します。すべてのキーマネジ
メントはサーバによって操作されます。全てのキーは暗号化されたフォームで
サーバに保管されます。ディスクのデータは常に暗号化され、暗号化されたデータ
はメモリ及び SSL のようなセキュアなチャンネルにのみ存在するようになってい
ます。
2. Whisker 1.4 (Any system supporting Perl)
by rain forest puppy, rfp@wiretrip.net
URL:
http://www.securityfocus.com/data/tools/whisker.tar.gz
Whisker は高性能な CGI スキャナです。スクリプタブルで、システムのタイプの
問い合わせ、情報を集めたスキャン( IIS か Apache かの確定など)のような優れ
た機能を数多く持っています。
- - "マルチスレッド"フロントエンド(UNIX のみ)
- - server.db、scan.db の更新
- - .=(付加)も'set'コマンドで使用できるよう変更しました。
- - オプションの変更
- - Whisker は .cfm スクリプトから出力を読み込み、それが本当に存在する場合
は失敗した報告を*全て*破棄します。
- - 文字列内の変数、タブ、cr、lf をサポートします
- - スキャンするデータベースファイルがカレントディレクトリにある必要があり
ません。
- - Whiskerはデフォルトで scan.db を対象としており、-s <file>によって特定す
る必要がありません。
- - Whisker は必要な場合、 dumb.db によってサーバを自動的にスキャンし直しま
す。
- - NMAP の情報がスクリプト内部に反映可能です。
- - バウンスオプションを改造しました。
- - プロキシをサポートしています。
- - 他の CGI スキャナのデータベースを使用することができます。
- - タイムアウトの制御が改良されました( UNIX のみ)。
- - 'GET'が使用可能になるよう実装しました。ただし、全てのヘッダが到達した後
はコネクションをクロースするようになっています。
- - EXPERIMENTAL SSL のサポート
- - Styx による SamSpade のバウンスを加えました。
- - その他いくつかの変数操作及び新しい変数を加えました。
- - Netcraft が出力を変更したため、それに合うよう変更を加えました。
3. Claymore 0.2 (Linux)
by Sam Carter, redirect@www.glacier.rice.edu
URL:
http://www.securityfocus.com/data/tools/claymore.tar.gz
Claymore は侵入検知と完全なモニタリングを目的としたシステムです。今回リ
リースしたものは以前のものより幾分洗練されたものですが、crontab ファイルの
設定の知識があることが前提となっています。しかしそれでも十分機能的です :-) 。
設計の最終目的は、ASCII 形式で保存されたファイルのリストを読み込み、事前に
記録されたデータベースとそれらの完全性をチェックするために、md5sum を使用
することです。データベースがライトプロテクトされたフロッピーのような読み取
り専用の媒体であれば、トロイの木馬を確実に記録することができます。こうして
、ファイルシステムの完全性をモニタリングすることで、Claymore は侵入検知の
手助けをしています。
4. snortstart 0.14 (Linux)
by zas, zas@norz.org
URL:
http://www.norz.org/software/snortstart.html
この bash スクリプトは www.snort.org が提供している snort 用のアクセス制御
ツールです。chroot で保護され、無権限のユーザとグループで snort をインスト
ールしプログラムを起動し停止することを目的としています。
5. ngrep (Windows) 1.38 (Windows 95/98/NT/2000, Unix)
by Jordan Ritter, jpr5@darkridge.com
URLs:
http://www.securityfocus.com/data/tools/ngrep-1.38-win32-source.zip
http://www.securityfocus.com/data/tools/ngrep-1.38.tar.gz
ngrep は GNU の grep の一般的な機能のほとんどを提供するためのもので、ネッ
トワーク層に適用されます。ngrep は pcap-aware ツールで、これによってパケッ
トのデータペイロードに対してマッチするように、拡張された正規表現を指定する
ことを可能にします。現在、Ethernet、PPP、SLIP、FDDI 及び無効なインターフェ
ース経由のTCP、UDP、ICMP を認識し、tcpdump や snoop のような盗聴ツールの一
般的なパケットと同じ形式の bpf フィルターのロジックを理解します。
6. Winfingerprint 2.2.6 (Windows 95/98/NT/2000)
by Kirby Kuehl, vacuum@technotronic.com
URL:
http://www.securityfocus.com/data/tools/winfingerprint-226.zip
高性能なリモートでの Windows OS の検知ツールです。現在の機能は、SMB
クエリを使用している OS の確定、PDC(プライマリドメインコントローラ)、
BDC(バックアップドメインコントローラ)、NT MEMBER SERVER、NT WORKSTATION、
SQLSERVER、NOVELL NETWARE SERVER、WINDOWS FOR WORKGROUPS、WINDOWS 9X、
サーバの一覧作成、Administrative ($) を含む共有資源の一覧作成、グローバル
グループの一覧作成、ユーザの一覧作成、稼働中のサービス一覧作成、近くで
行われているネットワークのスキャン、NULL IPC$ セッションの確立、
Query Registry (現在はサービスパックのレベルと当てられた Hotfix の同定)
です。変更点は:トランスポートの列挙、日付、時間の回復処理です。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya, ICHINOSE Sayo
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOY8sUZQwtHQKfXtrEQLEfACg6JqosMvqwATeqHYY72L38Q2L+lgAoNsZ
ze4+YzD6uud/CCzP8JYEYcZv
=Gpse
-----END PGP SIGNATURE-----