SecurityFocus.com Newsletter #54 2000-08-03 -> 2000-08-10
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 54 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- ------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ------------------------------------------------------------------------
- ------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ------------------------------------------------------------------------
- ------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ------------------------------------------------------------------------
- ------------------------------------------------------------------------
SecurityFocus.com Newsletter #54
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
II. BUGTRAQ SUMMARY
1. Netscape Listening Socket Vulnerability
2. Netscape Communicator URL Read Vulnerability
3. SuidPerl Mail Shell Escape Vulnerability
4. Apache Jakarta-Tomcat /admin Context Vulnerability
5. Linux LIDS Root Level Access When Disabled Vulnerability
6. Linux ntop Unauthorized File Retrieval Vulnerability
7. Red Hat Linux umb-scheme World Writable Vulnerability
8. DiskCheck Race Condition Vulnerability
9. Alt-N MDaemon Session ID Hijacking Vulnerability
10. Solaris AnswerBook2 Administration Interface Access Vulnerability
11. Aptis Software TotalBill Remote Command Execution Vulnerability
12. Solaris AnswerBook2 Remote Command Execution Vulnerability
13. PCCS Mysql Database Admin Tool Username/Password Exposure
14. Multiple Vendor mopd Buffer Overflow Vulnerability
15. Multiple Vendor mopd User Inputted Data Used as Format String
16. HPUX ftpd User Inputted Format String Stack Overwrite
17. Microsoft Word / Excel / Powerpoint 2000 Buffer Overflow
18. Tumbleweed MMS No Default Password Vulnerability
19. Raptor GFX Config Tool Vulnerability
20. Microsoft Internet Explorer Scriptlet Rendering Vulnerability
21. Microsoft IIS 4.0/5.0 File Permission Canonicalization
22. Microsoft Office 2000 Mail Merge Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Private Phone Records on Web (August 14, 2000)
2. Survey: 125,000 Smurf-friendly Nets (August 10, 2000)
3. Carnivore: Just Say No? (August 14, 2000)
IV.SECURITY FOCUS TOP 6 TOOLS
1. Vlad 0.7.1 (FreeBSD, Linux and OpenBSD)
2. Saint Jude 0.0.3 (Linux)
3. Nsat 1.22 (Linux and Solaris)
4. Fscan 1.12 (Windows NT)
5. Winbugs 0.1 (UNIX, Windows 2000, Windows 95/98 and Windows NT)
6. MailCleaner 2.6 (Windows 2000, Windows 95/98 and Windows NT)
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
Welcome to the SecurityFocus.com 'week in review' newsletter issue
II. BUGTRAQ SUMMARY
- -------------------
1. Netscape Listening Socket Vulnerability
BugTraq ID: 1545
リモートからの再現性: あり
公表日: 2000-08-03
関連する URL:
http://www.securityfocus.com/bid/1545
まとめ:
Netscape社の Java の実装には、悪意あるアプレットが Java セキュリティの
前提に逸脱した、ネットワーク経由のコネクションを受け付けるための待ち受
けソケットを開けてしまうという問題が何点かある。
Java アプリケーションは java.net.ServerSocket クラスを、ネットワーク経
由のコネクションを受け付けるための待ち受けソケットを作成するために用い
ている。なお、この際サーバのソケットクラスは SecurityManager.checkListen()
メソッドを、どのクラスがサーバサイドで待ち受けソケットを作成できるかに
ついて判断するために使うべきである。
また、SecurityException がクラスが待ち受けソケットの作成許可を持たない
場合に発行されるべきである。デフォルト状態ではアプレットの様に untrusted
状態のクラスはそのようなソケットの作成許可は持っていない。
にもかかわらず、Netscape の Java の実装はアプレットが ServerSocket を
作成しようとする際、SecurityException の発行に失敗するのである。
ServerSocket オブジェクトが作成された後で、アプリケーションは
呼び出された ServerSocket.accept() によるネットワークコネクションを受け
入れなければならない。あるいは、ServerSocket の ServerSocket.implAccept()
メソッドを、コネクションの受け入れ用メソッドとして実装している、
ServerSocket クラスのサブクラス化によるよるネットワークコネクションを
受け入れなければならない。
ServerSocket.accept() メソッドは通常 SecurityManager.checkAccept()
メソッドを呼び出し、クラスがサーバコネクションを受け付けられるかどうか
を決定する。
しかし、ServerSocket.accept() と ServerSocket.implAccept() メソッドは
どちらもネットワークからのコネクションをクラスがコネクションを受け入れ
られるかどうかの判断を行う前に、受け付けてしまうのである。
これはコネクションで用いられるリモートの IP アドレス、リモートのポート
番号を決定するために行われるのである。もしコネクションが受け入れられる
べきではない場合、これらメソッドはコネクションをソケットについての
Socket.close() メソッドを呼び出すことでシャットダウンする。そして、そ
れから SecurityException を発行する。
ServerSocket.implAccept() が引数を取るため、悪意あるクラスによるコネク
ションを取り扱うための Socket オブジェクトは Socket クラスのサブクラス
であるオブジェクトを、ソケットを閉じるためではない close() メソッドで
上書きし、すり抜けできてしまえるのである。そしてそれから SecurityException
を無視する悪意あるクラスはコネクションを受け付けられ、ソケットを利用で
きてしまえるのである。
Sun の ServerSocket.implAccept() メソッドの実装では、Socket.impl.close()
メソッドを、Socket.close() メソッドの代わりに呼び出すことによる上記問題
中、後半の問題を回避できる様である。
これらの問題を組み合わせ、悪意あるアプレットはいかなるホストからのコネク
ションを受け入れてしまえるのである。
2. Netscape Communicator URL Read Vulnerability
BugTraq ID: 1546
リモートからの再現性: あり
公表日: 2000-08-03
関連する URL:
http://www.securityfocus.com/bid/1546
まとめ:
Netscape Communicator の Java の実装では、悪意あるアプレットが URL を
介してアクセス可能ないかなる資源であっても、ローカルコンピュータから、
netscape.net.URLConnection クラスと netscape.net.URLInputSteam クラス
を使うことで読み出せてしまえる問題がある。
また、この問題により、悪意あるアプレットがローカルのファイルを読めるだ
けではなく、他のホストからデータを例えファイヤウォールで保護されていた
としても、ダウンロードできてしまえるのである。
untrusted であるアプレットは通常ローカルのファイルシステムへは読み出し、
あるいは書き込みは許されていない。また、ダウンロードされた場所以外から
のいかなるコンピュータとのネットワークを介したコネクションを開くことも
許されていない。セキュリティに注意を払うクラス、例えば FileInputStream()、
RandomAccessFile()、Socket() は通常、クラスがローカルのファイルを読み
出せるかどうかの判断を SecurityManager.checkRead() メソッドを呼び出すこ
とで行う。また、SecurityManager.checkConnect() メソッドを呼び出すことで
他のコンピュータと接続できるかどうかを判断している。
Netscape 社の netscape.net.URLConnection と netscape.net.URLInputStream
クラスは これらを無視するか URL を介して与えられた際にこれらのチェックを
行わない様である。従って、悪意あるクラスは file:// という形式の URL を
指示することでローカルのファイルを読み出し可能である。
悪意あるアプレットを起動しているコンピュータがファイヤウォールの内側に
設置されていたとしても、 Web サーバ ("http://" あるいは "https://)、
FTP サーバ (ftp://) といった URL を指定することで、アプレットがダウン
ロードされた、攻撃者の手中にあるコンピュータからの資源のダウンロードを
抑止することはできない。この方法を用いて、悪意あるアプレットはファイヤ
ウォール越しの侵入に適用可能である。
3. SuidPerl Mail Shell Escape Vulnerability
BugTraq ID: 1547
リモートからの再現性: なし
公表日: 2000-08-07
関連する URL:
http://www.securityfocus.com/bid/1547
まとめ:
perl の setuid 版である suidperl によるセキュリティチェック処理を組みあ
わせることと、/bin/mail プログラムによりローカルの悪意あるユーザが root
権限でプログラムを実行できてしまえるシナリオが考えられる。
suidperl プログラムは suid root でない場合、perl スクリプトを root 権限
で実行できないようにするための、数多くのチェックを処理している。
もしこれらチェックのうちの 1 つが失敗した場合、プログラムは root へのメッ
セージを出力する。このメッセージの例を以下に示す。
From: Bastard Operator <root@nimue.tpi.pl>
To: root@nimue.tpi.pl
User 500 tried to run dev 769 ino 343180 in place of dev 769 ino 343183!
(Filename of set-id script was /some/thing, uid 500 gid 500.)
Sincerely,
perl
実行されたスクリプト名 (メッセージに含まれる) はプログラムの引数一覧から
取り出され(argv[1])、suidperl は /bin/mail をメールシステムへメッセージ
を送り出すために利用している。これは環境変数を消去せずに行われ、また、
root 権限を除去せずに行われている。
一方、/bin/mail には文書化されていない機能があり、interactive 環境変数
を任意に設定することで、/bin/mail は文字列 ~! をエスケープシーケンスと
して、shell とコマンドを端末と接続されていなくても実行するための文字列
として解釈する。環境変数 interactive は ~/.mailrc にある set interactive
行によっても設定可能である。
悪意あるユーザはエスケープシーケンスとコマンドをファイル名付きでファイ
ルに記録し、suidperl をセキュリティチェックが失敗するように実行する。
suidperl はメッセージを root に /bin/mail を利用して、メッセージ中に
エスケープシーケンスを含んで送り出してしまうため、/bin/mail は root
権限の shell を起動し、コマンドを実行してしまうのである。
4. Apache Jakarta-Tomcat /admin Context Vulnerability
BugTraq ID: 1548
リモートからの再現性: あり
公表日: 2000-07-20
関連する URL:
http://www.securityfocus.com/bid/1548
まとめ:
Apache Software Foundation から提供されている Tomcat パッケージには
このパッケージを実行しているコンピュータを危険な状態に曝してしまう情報
を公開してしまう問題がある。デフォルトで、このパッケージはサーブレット
がコンテキストを追加および削除したり、Tomcat サーバのコンテキスト情報
を参照するためのマウントされたコンテキスト、/admin を含んでいる。
/ ディレクトリをコンテキストとして追加することにより、このパッケージを
実行しているユーザ権限でファイルの読み出しが可能である。もし Tomcat が
root 権限で実行されている場合、ファイルシステム上のすべてのファイルが
アクセス可能な状態になってしまう。この結果、コンピュータの権限を奪取す
るたけに利用される、重要な情報を入手されてしまう可能性がある。
/admin コンテキストへの不正アクセスを防止するアクセスコントロール手法
は存在しないため、いかなるリモートのユーザであっても、この問題を攻撃で
きる可能性がある。
5. Linux LIDS Root Level Access When Disabled Vulnerability
BugTraq ID: 1549
リモートからの再現性: なし
公表日: 2000-08-01
関連する URL:
http://www.securityfocus.com/bid/1549
まとめ:
Linux カーネル 2.2.16 用のバージョン、Linux Intrusion Detection System、
LIDS Version 0.9.7 には弱点が存在する。LIDS が起動時に security=0 オプ
ションを用いて無効化されている場合、すべてのログインしているユーザは
まるで root であるかのごとく振る舞うことが可能である。この際、すべての
ファイルシステム上のチェック機構は無効になり、他の権限が必要な行為もま
た、実行可能である。
この弱点はシステムが起動時に security=0 状態で起動した場合にシステム全
体規模で影響を与える。lidadm プログラムを操作すると、以下の結果が得ら
れる。
bash$ joe /etc/passwd
(file is shown as readonly, cannot be modified)
bash$ su
Password:
[root@penguin user]# /sbin/lidsadm -S -- -LIDS SWITCH
enter password:
[root@penguin user]#su user2
bash$ joe /etc/passwd
(file is not read-only, can be modfied)
bash$ joe /etc/fstab
(file is not read only, can be modified)
bash$ ls -l /etc/fstab
- -rw-r--r-- 1 root root 684 Jul 24 16:28 /etc/fstab
bash$ exit
[root@penguin user]#exit
bash$ joe /etc/passwd
(file is shown as readonly, cannot be modified)
LIDS 環境下では同一セッション内で su により権限を変更したユーザに対し
てはこの問題の影響を受けないことがわかる。これは通常有り得ない振る舞い
であり、実際の動作環境下においてはめったに現れない現象であると考えられ
る。
6. Linux ntop Unauthorized File Retrieval Vulnerability
BugTraq ID: 1550
リモートからの再現性: あり
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1550
まとめ:
ntop は、著名な UNIX のコマンド、top が行っているようにネットワークの
利用状態を表示するツールである。
ntop を Web モードで (-w パラメータを使って) 起動した場合、ntop は組み
込まれた Web サーバ付きで、ntop が提供する機能をリモートから利用できる
様にした上で起動する。
しかし、ntop は十分に認証リクエストに対するチェックを行わないため、
../../ の様に相対パス指定を行うことで root のみが読み出し可能なファイル
を含む、無権限のファイルをリモートのユーザに対して入手させてしまえるの
である。
7. Red Hat Linux umb-scheme World Writable Vulnerability
BugTraq ID: 1551
リモートからの再現性: なし
公表日: 2000-08-09
関連する URL:
http://www.securityfocus.com/bid/1551
まとめ:
Red Hat のアドバイザリによると、umb-scheme パッケージには誰でも書き込
み可能な権限を不注意にもファイルに与えているそうである。この問題を元に
して、この問題を突くことで root かどうかに限らず権限を奪取し、結果とし
て、悪意あるプログラムを実行したりファイルの所有権を奪取可能である。
8. DiskCheck Race Condition Vulnerability
BugTraq ID: 1552
リモートからの再現性: なし
公表日: 2000-08-05
関連する URL:
http://www.securityfocus.com/bid/1552
まとめ:
Diskcheck は小さな perl スクリプトであり、ディスクの利用率を確認し、
システム管理者へレポートを送信する機能を持つ。このツールはテンポラリ
ファイルを /tmp へ予想可能なファイル名、/tmp/diskusagealert.txt.<pid>
で作成するのである。従って、攻撃者はこのツールの pid を類推し、予想さ
れるファイル名でシンボリックリンクを作成可能なのである。
類推されたファイル名の一つでも実際に作成されたものと合致した場合、
リンクは有効になってしまい、disckcheck によって指し示された先のファイ
ルは上書きされてしまう。(このツールは cron ジョブとして、毎時、root
権限で実行される)
diskcheck は RedHat の Rawhide と Pinstripe ディストリビューションに
含まれている。
9. Alt-N MDaemon Session ID Hijacking Vulnerability
BugTraq ID: 1553
リモートからの再現性: あり
公表日: 2000-08-09
関連する URL:
http://www.securityfocus.com/bid/1553
まとめ:
WorldClient は Alt-N が提供している MDaemon メールサーバと組み合わされ
るメールクライアントである。WorldClient は HTML 形式のメールを解釈でき
る機能がある。しかし、このツールはセッション ID のハイジャックを使った
攻撃を受ける可能性がある。なぜならメールの受信者がハイパーリンクをクリッ
クした際、セッション ID はHTTP リクエストの referrer フィールドにあるア
ドレスに戻されるからなのである。セッション ID はリモートユーザがメール
を読み出すために用いることが可能である。
10. Solaris AnswerBook2 Administration Interface Access Vulnerability
BugTraq ID: 1554
リモートからの再現性: あり
公表日: 2000-08-08
関連する URL:
http://www.securityfocus.com/bid/1554
まとめ:
Solaris 用のバージョン 1.4.2 およびそれ以前の AnswerBook2 管理用イン
タフェースに含まれるスクリプトには、認証の確認時に、管理用アカウント
をリモートのユーザが作成できてしまえる問題がある。
AnswerBook2 の dwhttpd Web サーバが提供する /cgi-bin/admin/admin スク
リプトに直接アクセスすることで管理用インタフェース用のユーザの追加が
可能なのである。この結果、攻撃者はログファイルの読み出しと提供サービ
スについての設定を管理可能である。
11. Aptis Software TotalBill Remote Command Execution Vulnerability
BugTraq ID: 1555
リモートからの再現性: あり
公表日: 2000-08-08
関連する URL:
http://www.securityfocus.com/bid/1555
まとめ:
Aptis Software は TotalBill と呼ばれる ISP 向けの請求/請求管理システム
を提供している。このパッケージ内の 1 つのコンポーネント、Sysgen はポート
番号 9998、あるいはその近くのポートでコネクションを待ち受ける。このポー
トはクライアントからの接続とホスト上での任意のプログラムの実行を無認証
で許可している (実行はサービスを実行しているユーザ権限で行われ、通常、
root である)。もしサービスがなんらフィルタリングされていない場合、匿名
の攻撃者はこの不注意なサービスをリモートから攻撃することで、ターゲット
となったコンピュータの root 権限を奪取可能である。このパッケージの他の
コンポーネントも問題を抱えていると考えられるが、未検証である。
(cc_queue はバッファオーバーフロー攻撃を受ける可能性があると報告されて
いる)
12. Solaris AnswerBook2 Remote Command Execution Vulnerability
BugTraq ID: 1556
リモートからの再現性: あり
公表日: 2000-08-07
関連する URL:
http://www.securityfocus.com/bid/1556
まとめ:
Sun が提供する AnswerBook2 サーバのバージョン 1.4.2 およびそれ以前の
バージョンには問題がある。管理権限を持つリモートユーザが AnwserBook2
を起動しているコンピュータで意図的なコマンドを実行可能なのである。
この場合、コマンドは daemon ユーザ権限で実行される。
13. PCCS Mysql Database Admin Tool Username/Password Exposure Vulnerability
BugTraq ID: 1557
リモートからの再現性: あり
公表日: 2000-08-04
関連する URL:
http://www.securityfocus.com/bid/1557
まとめ:
PCCSーMysql Database Admin Tool は PHP で書かれた MySQL 用の Web を利
用したフロントエンドプロセッサである。このソフトウェアはインストール時
に、Web サーバによってアクセス可能なディレクトリにインクルードファイル
をインストールすることを必要とする。このインクルードファイル、dbconnect.inc
は、データベースに接続するためのユーザ名とパスワードといった情報を含み、
格納場所を知っているユーザにより HTTP を利用してリクエストがあった場合、
公開されてしまうのである。例えば、
http://your_site.com/pccsmysqladm/incs/dbconnect.inc.
もしこのファイルが外部に公開されてしまった場合、データベースは危険な状
態に曝されてしまう。
14. Multiple Vendor mopd Buffer Overflow Vulnerability
BugTraq ID: 1558
リモートからの再現性: あり
公表日: 2000-08-08
関連する URL:
http://www.securityfocus.com/bid/1558
まとめ:
多くの著名な OS に含まれる、mopd デーモンにはバッファオーバーフローが
発生する。クライアントからコンピュータで実行可能なコードを含む、長い
ファイル名を指定することで、意図的なコマンドを mopd を実行しているコン
ピュータ上で実行可能である。
問題を抱えるバージョンかどうかを判断するためには、process.c にある
mopProcessDL() 関数を確認することで可能である。もし pfile[] バッファ
が 17 バイト割り当てられるように定義されている場合、そのバージョンに
は問題がある。
15. Multiple Vendor mopd User Inputted Data Used as Format String Vulnerability
BugTraq ID: 1559
リモートからの再現性: あり
公表日: 2000-08-08
関連する URL:
http://www.securityfocus.com/bid/1559
まとめ:
多くの著名な OS に含まれる、mopd デーモンにはバッファオーバーフローが
発生する。特別な書式付文字列 (%を含むようにして) を含むファイル名を与
えることでリモートの攻撃者がスタック内の値を上書き可能である。
このため、この問題を利用して問題がある環境上で意図的なコードの実行が行
われる可能性がある。
問題を抱えるバージョンかどうかを判断するためには、process.c にある
mopProcessDL() 関数を確認することで可能である。もし pfile[] バッファ
が 17 バイト割り当てられるように定義されている場合、そのバージョンに
は問題がある。
16. HPUX ftpd User Inputted Format String Stack Overwrite Vulnerability
BugTraq ID: 1560
リモートからの再現性: あり
公表日: 1999-08-06
関連する URL:
http://www.securityfocus.com/bid/1560
まとめ:
HP-UX の一部として Hewlett-Packard が提供した ftp デーモンには、ユーザが
入力したデータの取り扱いに関して弱点がある。ftp コマンド PASS の引数とし
て、ある書式の文字列を与えることで、スタックの値を上書き可能である。
付け加えるならば、適切な引数を与えることで、典型的なバッファオーバーフロー
に類似した攻撃を引き起こし可能である。
17. Microsoft Word / Excel / Powerpoint 2000 Object Tag Buffer Overflow Vulnerability
BugTraq ID: 1561
リモートからの再現性: あり
公表日: 2000-08-09
関連する URL:
http://www.securityfocus.com/bid/1561
まとめ:
Microsoft Word、Excel、Powerpoint 2000 に含まれる HTML インタプリタは、
HTML ファイルをオフィスドキュメントとして保存する際に、オブジェクトタグ
中の境界を適切にチェックしない。そのため、オブジェクトタグをデータに巧
く埋め込むことによって、システム上でアプリケーションを破壊したり、任意
のプログラムを実行することが可能である。
18. Tumbleweed MMS No Default Password Vulnerability
BugTraq ID: 1562
リモートからの再現性: あり
公表日: 2000-08-10
関連する URL:
http://www.securityfocus.com/bid/1562
まとめ:
Tumbleweed Messaging Management System (MMS) (以前の名前は Worldtalk
Worldsecure であった) には、デフォルトでパスワードなしの 'sa'というユー
ザアカウントを作成する。このため、リモートユーザにデータベースに接続を
許し、データを消去させたり、改竄させたりしてしまう。
19. Raptor GFX Config Tool Vulnerability
BugTraq ID: 1563
リモートからの再現性: なし
公表日: 2000-08-02
関連する URL:
http://www.securityfocus.com/bid/1563
まとめ:
Raptor GFX card は、Netscape、地震情報、地理情報システム (GIS)、衛星か
らの映像、出版物を印刷前に出来上がりを知るためなど、デスクトップ上で、
24 ビット true color アプリケーションを利用できるように設計されている。
また、Insignia が提供する SoftWindows、(CT スキャンなどの)医療に用いら
れる画像、多数の過去に作成されたアプリケーションなど高解像度の 8 ビット
color で利用することも可能である。
Raptor GFX card を設定するために使うソフトウエアの特定のバージョンには、
コンフィグレーションを行う主要コンポーネントの pgxconfig 中にセキュアで
ない部分があるため、PATH 環境変数攻撃(PATH environment variable attack)
を受ける可能性がある。特に、pgxconfig は、セキュアでないシステムコール
(system(3s)) を利用している。この関数はプログラムの内部からシステム上に
あるバイナリを実行する。この関数が実行すべきバイナリのある位置を知るため
には、システム上のどこにバイナリがあるかを示す $PATH 変数を調べる。
この変数はユーザでも変更可能なため、ユーザは自身のもつ実行可能なバイナリ
を指すようにできる。これの特別な場合には、プログラムは setuid(0) 関数呼
び出し (この場合にはプロセスの UID を root に設定する関数呼び出し)
を発行できるので、ユーザが置き換えたプログラムを root 権限で実行される。
20. Microsoft Internet Explorer Scriptlet Rendering Vulnerability
BugTraq ID: 1564
リモートからの再現性: あり
公表日: 2000-08-10
関連する URL:
http://www.securityfocus.com/bid/1564
まとめ:
仕様では、Microsoft Internet Explorer の Scriptlet コンポーネント
(scriplet を呼び出すActiveX コントロール) は、HTML ファイルのみを扱うは
ずだった。しかし、どんなタイプのファイルでも処理してしまう可能性がある。
設計のミスのため、 悪意を持った Web サイトの管理者は、ローカルコンピュー
タゾーンの権限レベルを変更する HTML プログラムをファイルに含めることで、
リモートシステム上にある既知のファイルの読みだし権限を奪取する可能性が
ある。また、プログラムには Web サイトの管理者に既知のファイルの内容をメー
ルで送信するスクリプトを含むかもしれない。読み出される可能性のあるファイ
ルはブラウザウインドウで開くことができるもの (例. 拡張子が .txt、.htm、
.js などのファイルで、.exe ファイルは読めない) に限られる。
21. Microsoft IIS 4.0/5.0 File Permission Canonicalization Vulnerability
BugTraq ID: 1565
リモートからの再現性: あり
公表日: 2000-08-10
関連する URL:
http://www.securityfocus.com/bid/1565
まとめ:
CGI スクリプトや ISAPI 拡張機能に影響する補完機能中のエラーのため、改ざ
んされたな HTTP 要求に従った、 Web サーバ上にある指定されたファイルに、
正しくない権限が設定される可能性がある。この問題により、ユーザは、CGI
や ISAPI で使用されるファイルで、通常はできないはずの読み出しや実行を含
んだ命令を実行できてしまえるのである。これは仮想フォルダにあるファイル
には適用されない。正しいファイルが置かれていても、その本来のフォルダと
は違った場所にリンクが貼られていれば問題はない。
改ざんされた URL についての元来持っている機能を考えると、影響を受ける
ファイルは、そのファイルパス上にある任意の親フォルダの権限を継承する可
能性がある。
22. Microsoft Office 2000 Mail Merge Vulnerability
BugTraq ID: 1566
リモートからの再現性: あり
公表日: 2000-08-07
関連する URL:
http://www.securityfocus.com/bid/1566
まとめ:
Microsoft Word は、メールを結合する操作の手段として、同社の Access デー
タベースを利用可能である。この際、指定されたデータベースの VBA コンポー
ネントは、起動時にデータベースを開くように設定されていれば、他に読み出し
や実行も可能である。関連する処理には、任意のシステムコマンドを実行できる
VBA コマンドも含んでいる。指定されたデータベースは、犠牲者のローカルにあ
るか、ネットワークを経由して実行できるか、UNC 共有でアクセスできるように
してなければならない。
なお、この問題を突いた攻撃を行うための前提条件は拡張子 .doc のファイルが
犠牲者によって開かれなければならず、この拡張子のファイルの配布手段 (web、
電子メール、ftp など) には依存しない。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Private Phone Records on Web (August 14, 2000)
最大の地域電話会社の幹部達は、文章化されていない機能と電話帳に載って
いない番号を使った、サービス停止による過激な日曜を過ごした。
http://www.securityfocus.com/news/74
2. Survey: 125,000 Smurf-friendly Nets (August 10, 2000)
Gargimel 計画は、Smurf 攻撃鎮圧のための協調行動に向かわせる。
http://www.securityfocus.com/news/71
3. Carnivore: Just Say No? (August 14, 2000)
プロバイダは、FBI の監視システムを拒むことができるであろうか。ある ISP
はすでに挑戦している。
http://www.securityfocus.com/commentary/72
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. Vlad 0.7.1 (FreeBSD, Linux and OpenBSD)
作者 Razor, info@razor.bindview.com
URL:
http://razor.bindview.com/tools/vlad/index.shtml
VLAD the Scanner は、システムの弱点についての情報源として知られる
SANS Top Ten security vulnerabilities で紹介される弱点をチェックするた
めのオープンソースのセキュリティスキャナです。Linux、OpenBSD、FreeBSD
で動作確認がされています。このソフトウエアを実行するためには、いくつか
の Perl のモジュールが必要です (詳細は、README ファイルをご参照下さい)。
2. Saint Jude 0.0.3 (Linux)
作者 Tim Lawless, tim.lawless@usm.edu
URL:
http://www.securityfocus.com/data/tools/StJude_LKM-0.03.tar.gz
Saint Jude LKM は、バージョンが 2.2.0 シリーズのLinux のカーネルモジュ
ールです。このモジュールは、不適切な権限の上昇に対して Saint Jude モデ
ルを実行します。これはローカル、または究極的にはリモートで実行されてい
る root 奪取の攻撃を発見します。一度攻撃されていることが発見されれば、
Saint Jude は、root 権限の奪取を目的とした攻撃を防ぐためにそのプログラ
ムを終了します。このモジュールは既知の攻撃方法の署名をチェックをしない
で実行されます。そのため、既知、未知両方の攻撃方法に対して実行できます。
変更点: setreuid システムコールの戻り先を exit とすることを妨害するバグ
が修正されました。SMP カーネルをサポートし、モジュールシーリングが可能
となり、メモリリークが修正されました。
3. Nsat 1.22 (Linux and Solaris)
作者 Mixter, mixter@newyorkoffice.com
URL:
http://www.securityfocus.com/data/tools/nsat-1.22.tgz
Nsat (Network Security Analysis Tool) は、リモートネットワークサービス
を監査したり、バージョンやセキュリティ上の問題を調べたり、サーバやマシ
ンの情報を集めたり、などといった用途のために設計された、高速かつ安定に
大量のホストを扱えるセキュリティスキャナです。他の監査ツールとは違って、
新しい弱点が発見されたときに出される更新情報とは無関係に、弱点のあるサ
ービスについての情報を集めることができます。
4. Fscan 1.12 (Windows NT)
作者 Foundstone, labs@foundstone.com
URL:
http://www.foundstone.com/legal-fscan.htm
Windows NT で稼動するコマンドライン型で最速のポートスキャナです。1秒当
たり 200 ポートを走査できます。TCP と UDP 共に利用できます。
5. Winbugs 0.1 (UNIX, Windows 2000, Windows 95/98 and Windows NT)
作者 Thierry Martinez
URL:
http://www.securityfocus.com/data/tools/winfingerprint-226.zip
これは、BUGS 動的暗号化アルゴリズム (v3.3.2) の Windows 版です。強力な
秘密鍵暗号、オープンソース、マルチプラットフォームが特長です。
6. MailCleaner 2.6 (Windows 2000, Windows 95/98 and Windows NT)
作者 MailCleaner, http://www.mailcleaner.com
URL:
http://www.securityfocus.com/data/tools/mcsetup.exe
MailCleaner は、ウイルスに感染した恐れのある電子メールからあなたのシス
テムを守る手伝いをしてくれるシステムです。
MailCleaner は、あなたのコンピュータに送られてくるウイルスがないことを
確かめるために、定期的にメールをチェックします。メールにウィルスが含ま
れている疑いがあるときには、MailCleaner は自動的に削除し、あなたに報告
します。このシステムの実行のためには、Microsoft が提供する Outlook や
Outlook Express が必要です (サイズは 730KB)。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOZibw5QwtHQKfXtrEQLViQCg2eb58BJ1GeIPmBjt2WJNdchbdTEAoOBE
TqcJqqKL7GDjZvAObFiGX4pe
=Jkx6
-----END PGP SIGNATURE-----