Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.20 PL4] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200008151924.BJH94471.LBJTB@lac.co.jp> Date: Tue, 15 Aug 2000 19:24:18 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: SecurityFocus.com Newsletter #54 2000-08-03 -> 2000-08-10 To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 54 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - ------------------------------------------------------------------------ SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - ------------------------------------------------------------------------ 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ SecurityFocus.com Newsletter #54 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) II. BUGTRAQ SUMMARY 1. Netscape Listening Socket Vulnerability 2. Netscape Communicator URL Read Vulnerability 3. SuidPerl Mail Shell Escape Vulnerability 4. Apache Jakarta-Tomcat /admin Context Vulnerability 5. Linux LIDS Root Level Access When Disabled Vulnerability 6. Linux ntop Unauthorized File Retrieval Vulnerability 7. Red Hat Linux umb-scheme World Writable Vulnerability 8. DiskCheck Race Condition Vulnerability 9. Alt-N MDaemon Session ID Hijacking Vulnerability 10. Solaris AnswerBook2 Administration Interface Access Vulnerability 11. Aptis Software TotalBill Remote Command Execution Vulnerability 12. Solaris AnswerBook2 Remote Command Execution Vulnerability 13. PCCS Mysql Database Admin Tool Username/Password Exposure 14. Multiple Vendor mopd Buffer Overflow Vulnerability 15. Multiple Vendor mopd User Inputted Data Used as Format String 16. HPUX ftpd User Inputted Format String Stack Overwrite 17. Microsoft Word / Excel / Powerpoint 2000 Buffer Overflow 18. Tumbleweed MMS No Default Password Vulnerability 19. Raptor GFX Config Tool Vulnerability 20. Microsoft Internet Explorer Scriptlet Rendering Vulnerability 21. Microsoft IIS 4.0/5.0 File Permission Canonicalization 22. Microsoft Office 2000 Mail Merge Vulnerability III. SECURITYFOCUS.COM NEWS ARTICLES 1. Private Phone Records on Web (August 14, 2000) 2. Survey: 125,000 Smurf-friendly Nets (August 10, 2000) 3. Carnivore: Just Say No? (August 14, 2000) IV.SECURITY FOCUS TOP 6 TOOLS 1. Vlad 0.7.1 (FreeBSD, Linux and OpenBSD) 2. Saint Jude 0.0.3 (Linux) 3. Nsat 1.22 (Linux and Solaris) 4. Fscan 1.12 (Windows NT) 5. Winbugs 0.1 (UNIX, Windows 2000, Windows 95/98 and Windows NT) 6. MailCleaner 2.6 (Windows 2000, Windows 95/98 and Windows NT) I. FRONT AND CENTER(日本語訳なし) - --------------------------------- Welcome to the SecurityFocus.com 'week in review' newsletter issue II. BUGTRAQ SUMMARY - ------------------- 1. Netscape Listening Socket Vulnerability BugTraq ID: 1545 リモートからの再現性: あり 公表日: 2000-08-03 関連する URL: http://www.securityfocus.com/bid/1545 まとめ: Netscape社の Java の実装には、悪意あるアプレットが Java セキュリティの 前提に逸脱した、ネットワーク経由のコネクションを受け付けるための待ち受 けソケットを開けてしまうという問題が何点かある。 Java アプリケーションは java.net.ServerSocket クラスを、ネットワーク経 由のコネクションを受け付けるための待ち受けソケットを作成するために用い ている。なお、この際サーバのソケットクラスは SecurityManager.checkListen() メソッドを、どのクラスがサーバサイドで待ち受けソケットを作成できるかに ついて判断するために使うべきである。 また、SecurityException がクラスが待ち受けソケットの作成許可を持たない 場合に発行されるべきである。デフォルト状態ではアプレットの様に untrusted 状態のクラスはそのようなソケットの作成許可は持っていない。 にもかかわらず、Netscape の Java の実装はアプレットが ServerSocket を 作成しようとする際、SecurityException の発行に失敗するのである。 ServerSocket オブジェクトが作成された後で、アプリケーションは 呼び出された ServerSocket.accept() によるネットワークコネクションを受け 入れなければならない。あるいは、ServerSocket の ServerSocket.implAccept() メソッドを、コネクションの受け入れ用メソッドとして実装している、 ServerSocket クラスのサブクラス化によるよるネットワークコネクションを 受け入れなければならない。 ServerSocket.accept() メソッドは通常 SecurityManager.checkAccept() メソッドを呼び出し、クラスがサーバコネクションを受け付けられるかどうか を決定する。 しかし、ServerSocket.accept() と ServerSocket.implAccept() メソッドは どちらもネットワークからのコネクションをクラスがコネクションを受け入れ られるかどうかの判断を行う前に、受け付けてしまうのである。 これはコネクションで用いられるリモートの IP アドレス、リモートのポート 番号を決定するために行われるのである。もしコネクションが受け入れられる べきではない場合、これらメソッドはコネクションをソケットについての Socket.close() メソッドを呼び出すことでシャットダウンする。そして、そ れから SecurityException を発行する。 ServerSocket.implAccept() が引数を取るため、悪意あるクラスによるコネク ションを取り扱うための Socket オブジェクトは Socket クラスのサブクラス であるオブジェクトを、ソケットを閉じるためではない close() メソッドで 上書きし、すり抜けできてしまえるのである。そしてそれから SecurityException を無視する悪意あるクラスはコネクションを受け付けられ、ソケットを利用で きてしまえるのである。 Sun の ServerSocket.implAccept() メソッドの実装では、Socket.impl.close() メソッドを、Socket.close() メソッドの代わりに呼び出すことによる上記問題 中、後半の問題を回避できる様である。 これらの問題を組み合わせ、悪意あるアプレットはいかなるホストからのコネク ションを受け入れてしまえるのである。 2. Netscape Communicator URL Read Vulnerability BugTraq ID: 1546 リモートからの再現性: あり 公表日: 2000-08-03 関連する URL: http://www.securityfocus.com/bid/1546 まとめ: Netscape Communicator の Java の実装では、悪意あるアプレットが URL を 介してアクセス可能ないかなる資源であっても、ローカルコンピュータから、 netscape.net.URLConnection クラスと netscape.net.URLInputSteam クラス を使うことで読み出せてしまえる問題がある。 また、この問題により、悪意あるアプレットがローカルのファイルを読めるだ けではなく、他のホストからデータを例えファイヤウォールで保護されていた としても、ダウンロードできてしまえるのである。 untrusted であるアプレットは通常ローカルのファイルシステムへは読み出し、 あるいは書き込みは許されていない。また、ダウンロードされた場所以外から のいかなるコンピュータとのネットワークを介したコネクションを開くことも 許されていない。セキュリティに注意を払うクラス、例えば FileInputStream()、 RandomAccessFile()、Socket() は通常、クラスがローカルのファイルを読み 出せるかどうかの判断を SecurityManager.checkRead() メソッドを呼び出すこ とで行う。また、SecurityManager.checkConnect() メソッドを呼び出すことで 他のコンピュータと接続できるかどうかを判断している。 Netscape 社の netscape.net.URLConnection と netscape.net.URLInputStream クラスは これらを無視するか URL を介して与えられた際にこれらのチェックを 行わない様である。従って、悪意あるクラスは file:// という形式の URL を 指示することでローカルのファイルを読み出し可能である。 悪意あるアプレットを起動しているコンピュータがファイヤウォールの内側に 設置されていたとしても、 Web サーバ ("http://" あるいは "https://)、 FTP サーバ (ftp://) といった URL を指定することで、アプレットがダウン ロードされた、攻撃者の手中にあるコンピュータからの資源のダウンロードを 抑止することはできない。この方法を用いて、悪意あるアプレットはファイヤ ウォール越しの侵入に適用可能である。 3. SuidPerl Mail Shell Escape Vulnerability BugTraq ID: 1547 リモートからの再現性: なし 公表日: 2000-08-07 関連する URL: http://www.securityfocus.com/bid/1547 まとめ: perl の setuid 版である suidperl によるセキュリティチェック処理を組みあ わせることと、/bin/mail プログラムによりローカルの悪意あるユーザが root 権限でプログラムを実行できてしまえるシナリオが考えられる。 suidperl プログラムは suid root でない場合、perl スクリプトを root 権限 で実行できないようにするための、数多くのチェックを処理している。 もしこれらチェックのうちの 1 つが失敗した場合、プログラムは root へのメッ セージを出力する。このメッセージの例を以下に示す。 From: Bastard Operator To: root@nimue.tpi.pl User 500 tried to run dev 769 ino 343180 in place of dev 769 ino 343183! (Filename of set-id script was /some/thing, uid 500 gid 500.) Sincerely, perl 実行されたスクリプト名 (メッセージに含まれる) はプログラムの引数一覧から 取り出され(argv[1])、suidperl は /bin/mail をメールシステムへメッセージ を送り出すために利用している。これは環境変数を消去せずに行われ、また、 root 権限を除去せずに行われている。 一方、/bin/mail には文書化されていない機能があり、interactive 環境変数 を任意に設定することで、/bin/mail は文字列 ~! をエスケープシーケンスと して、shell とコマンドを端末と接続されていなくても実行するための文字列 として解釈する。環境変数 interactive は ~/.mailrc にある set interactive 行によっても設定可能である。 悪意あるユーザはエスケープシーケンスとコマンドをファイル名付きでファイ ルに記録し、suidperl をセキュリティチェックが失敗するように実行する。 suidperl はメッセージを root に /bin/mail を利用して、メッセージ中に エスケープシーケンスを含んで送り出してしまうため、/bin/mail は root 権限の shell を起動し、コマンドを実行してしまうのである。 4. Apache Jakarta-Tomcat /admin Context Vulnerability BugTraq ID: 1548 リモートからの再現性: あり 公表日: 2000-07-20 関連する URL: http://www.securityfocus.com/bid/1548 まとめ: Apache Software Foundation から提供されている Tomcat パッケージには このパッケージを実行しているコンピュータを危険な状態に曝してしまう情報 を公開してしまう問題がある。デフォルトで、このパッケージはサーブレット がコンテキストを追加および削除したり、Tomcat サーバのコンテキスト情報 を参照するためのマウントされたコンテキスト、/admin を含んでいる。 / ディレクトリをコンテキストとして追加することにより、このパッケージを 実行しているユーザ権限でファイルの読み出しが可能である。もし Tomcat が root 権限で実行されている場合、ファイルシステム上のすべてのファイルが アクセス可能な状態になってしまう。この結果、コンピュータの権限を奪取す るたけに利用される、重要な情報を入手されてしまう可能性がある。 /admin コンテキストへの不正アクセスを防止するアクセスコントロール手法 は存在しないため、いかなるリモートのユーザであっても、この問題を攻撃で きる可能性がある。 5. Linux LIDS Root Level Access When Disabled Vulnerability BugTraq ID: 1549 リモートからの再現性: なし 公表日: 2000-08-01 関連する URL: http://www.securityfocus.com/bid/1549 まとめ: Linux カーネル 2.2.16 用のバージョン、Linux Intrusion Detection System、 LIDS Version 0.9.7 には弱点が存在する。LIDS が起動時に security=0 オプ ションを用いて無効化されている場合、すべてのログインしているユーザは まるで root であるかのごとく振る舞うことが可能である。この際、すべての ファイルシステム上のチェック機構は無効になり、他の権限が必要な行為もま た、実行可能である。 この弱点はシステムが起動時に security=0 状態で起動した場合にシステム全 体規模で影響を与える。lidadm プログラムを操作すると、以下の結果が得ら れる。 bash$ joe /etc/passwd (file is shown as readonly, cannot be modified) bash$ su Password: [root@penguin user]# /sbin/lidsadm -S -- -LIDS SWITCH enter password: [root@penguin user]#su user2 bash$ joe /etc/passwd (file is not read-only, can be modfied) bash$ joe /etc/fstab (file is not read only, can be modified) bash$ ls -l /etc/fstab - -rw-r--r-- 1 root root 684 Jul 24 16:28 /etc/fstab bash$ exit [root@penguin user]#exit bash$ joe /etc/passwd (file is shown as readonly, cannot be modified) LIDS 環境下では同一セッション内で su により権限を変更したユーザに対し てはこの問題の影響を受けないことがわかる。これは通常有り得ない振る舞い であり、実際の動作環境下においてはめったに現れない現象であると考えられ る。 6. Linux ntop Unauthorized File Retrieval Vulnerability BugTraq ID: 1550 リモートからの再現性: あり 公表日: 2000-08-02 関連する URL: http://www.securityfocus.com/bid/1550 まとめ: ntop は、著名な UNIX のコマンド、top が行っているようにネットワークの 利用状態を表示するツールである。 ntop を Web モードで (-w パラメータを使って) 起動した場合、ntop は組み 込まれた Web サーバ付きで、ntop が提供する機能をリモートから利用できる 様にした上で起動する。 しかし、ntop は十分に認証リクエストに対するチェックを行わないため、 ../../ の様に相対パス指定を行うことで root のみが読み出し可能なファイル を含む、無権限のファイルをリモートのユーザに対して入手させてしまえるの である。 7. Red Hat Linux umb-scheme World Writable Vulnerability BugTraq ID: 1551 リモートからの再現性: なし 公表日: 2000-08-09 関連する URL: http://www.securityfocus.com/bid/1551 まとめ: Red Hat のアドバイザリによると、umb-scheme パッケージには誰でも書き込 み可能な権限を不注意にもファイルに与えているそうである。この問題を元に して、この問題を突くことで root かどうかに限らず権限を奪取し、結果とし て、悪意あるプログラムを実行したりファイルの所有権を奪取可能である。 8. DiskCheck Race Condition Vulnerability BugTraq ID: 1552 リモートからの再現性: なし 公表日: 2000-08-05 関連する URL: http://www.securityfocus.com/bid/1552 まとめ: Diskcheck は小さな perl スクリプトであり、ディスクの利用率を確認し、 システム管理者へレポートを送信する機能を持つ。このツールはテンポラリ ファイルを /tmp へ予想可能なファイル名、/tmp/diskusagealert.txt. で作成するのである。従って、攻撃者はこのツールの pid を類推し、予想さ れるファイル名でシンボリックリンクを作成可能なのである。 類推されたファイル名の一つでも実際に作成されたものと合致した場合、 リンクは有効になってしまい、disckcheck によって指し示された先のファイ ルは上書きされてしまう。(このツールは cron ジョブとして、毎時、root 権限で実行される) diskcheck は RedHat の Rawhide と Pinstripe ディストリビューションに 含まれている。 9. Alt-N MDaemon Session ID Hijacking Vulnerability BugTraq ID: 1553 リモートからの再現性: あり 公表日: 2000-08-09 関連する URL: http://www.securityfocus.com/bid/1553 まとめ: WorldClient は Alt-N が提供している MDaemon メールサーバと組み合わされ るメールクライアントである。WorldClient は HTML 形式のメールを解釈でき る機能がある。しかし、このツールはセッション ID のハイジャックを使った 攻撃を受ける可能性がある。なぜならメールの受信者がハイパーリンクをクリッ クした際、セッション ID はHTTP リクエストの referrer フィールドにあるア ドレスに戻されるからなのである。セッション ID はリモートユーザがメール を読み出すために用いることが可能である。 10. Solaris AnswerBook2 Administration Interface Access Vulnerability BugTraq ID: 1554 リモートからの再現性: あり 公表日: 2000-08-08 関連する URL: http://www.securityfocus.com/bid/1554 まとめ: Solaris 用のバージョン 1.4.2 およびそれ以前の AnswerBook2 管理用イン タフェースに含まれるスクリプトには、認証の確認時に、管理用アカウント をリモートのユーザが作成できてしまえる問題がある。 AnswerBook2 の dwhttpd Web サーバが提供する /cgi-bin/admin/admin スク リプトに直接アクセスすることで管理用インタフェース用のユーザの追加が 可能なのである。この結果、攻撃者はログファイルの読み出しと提供サービ スについての設定を管理可能である。 11. Aptis Software TotalBill Remote Command Execution Vulnerability BugTraq ID: 1555 リモートからの再現性: あり 公表日: 2000-08-08 関連する URL: http://www.securityfocus.com/bid/1555 まとめ: Aptis Software は TotalBill と呼ばれる ISP 向けの請求/請求管理システム を提供している。このパッケージ内の 1 つのコンポーネント、Sysgen はポート 番号 9998、あるいはその近くのポートでコネクションを待ち受ける。このポー トはクライアントからの接続とホスト上での任意のプログラムの実行を無認証 で許可している (実行はサービスを実行しているユーザ権限で行われ、通常、 root である)。もしサービスがなんらフィルタリングされていない場合、匿名 の攻撃者はこの不注意なサービスをリモートから攻撃することで、ターゲット となったコンピュータの root 権限を奪取可能である。このパッケージの他の コンポーネントも問題を抱えていると考えられるが、未検証である。 (cc_queue はバッファオーバーフロー攻撃を受ける可能性があると報告されて いる) 12. Solaris AnswerBook2 Remote Command Execution Vulnerability BugTraq ID: 1556 リモートからの再現性: あり 公表日: 2000-08-07 関連する URL: http://www.securityfocus.com/bid/1556 まとめ: Sun が提供する AnswerBook2 サーバのバージョン 1.4.2 およびそれ以前の バージョンには問題がある。管理権限を持つリモートユーザが AnwserBook2 を起動しているコンピュータで意図的なコマンドを実行可能なのである。 この場合、コマンドは daemon ユーザ権限で実行される。 13. PCCS Mysql Database Admin Tool Username/Password Exposure Vulnerability BugTraq ID: 1557 リモートからの再現性: あり 公表日: 2000-08-04 関連する URL: http://www.securityfocus.com/bid/1557 まとめ: PCCSーMysql Database Admin Tool は PHP で書かれた MySQL 用の Web を利 用したフロントエンドプロセッサである。このソフトウェアはインストール時 に、Web サーバによってアクセス可能なディレクトリにインクルードファイル をインストールすることを必要とする。このインクルードファイル、dbconnect.inc は、データベースに接続するためのユーザ名とパスワードといった情報を含み、 格納場所を知っているユーザにより HTTP を利用してリクエストがあった場合、 公開されてしまうのである。例えば、 http://your_site.com/pccsmysqladm/incs/dbconnect.inc. もしこのファイルが外部に公開されてしまった場合、データベースは危険な状 態に曝されてしまう。 14. Multiple Vendor mopd Buffer Overflow Vulnerability BugTraq ID: 1558 リモートからの再現性: あり 公表日: 2000-08-08 関連する URL: http://www.securityfocus.com/bid/1558 まとめ: 多くの著名な OS に含まれる、mopd デーモンにはバッファオーバーフローが 発生する。クライアントからコンピュータで実行可能なコードを含む、長い ファイル名を指定することで、意図的なコマンドを mopd を実行しているコン ピュータ上で実行可能である。 問題を抱えるバージョンかどうかを判断するためには、process.c にある mopProcessDL() 関数を確認することで可能である。もし pfile[] バッファ が 17 バイト割り当てられるように定義されている場合、そのバージョンに は問題がある。 15. Multiple Vendor mopd User Inputted Data Used as Format String Vulnerability BugTraq ID: 1559 リモートからの再現性: あり 公表日: 2000-08-08 関連する URL: http://www.securityfocus.com/bid/1559 まとめ: 多くの著名な OS に含まれる、mopd デーモンにはバッファオーバーフローが 発生する。特別な書式付文字列 (%を含むようにして) を含むファイル名を与 えることでリモートの攻撃者がスタック内の値を上書き可能である。 このため、この問題を利用して問題がある環境上で意図的なコードの実行が行 われる可能性がある。 問題を抱えるバージョンかどうかを判断するためには、process.c にある mopProcessDL() 関数を確認することで可能である。もし pfile[] バッファ が 17 バイト割り当てられるように定義されている場合、そのバージョンに は問題がある。 16. HPUX ftpd User Inputted Format String Stack Overwrite Vulnerability BugTraq ID: 1560 リモートからの再現性: あり 公表日: 1999-08-06 関連する URL: http://www.securityfocus.com/bid/1560 まとめ: HP-UX の一部として Hewlett-Packard が提供した ftp デーモンには、ユーザが 入力したデータの取り扱いに関して弱点がある。ftp コマンド PASS の引数とし て、ある書式の文字列を与えることで、スタックの値を上書き可能である。 付け加えるならば、適切な引数を与えることで、典型的なバッファオーバーフロー に類似した攻撃を引き起こし可能である。 17. Microsoft Word / Excel / Powerpoint 2000 Object Tag Buffer Overflow Vulnerability BugTraq ID: 1561 リモートからの再現性: あり 公表日: 2000-08-09 関連する URL: http://www.securityfocus.com/bid/1561 まとめ: Microsoft Word、Excel、Powerpoint 2000 に含まれる HTML インタプリタは、 HTML ファイルをオフィスドキュメントとして保存する際に、オブジェクトタグ 中の境界を適切にチェックしない。そのため、オブジェクトタグをデータに巧 く埋め込むことによって、システム上でアプリケーションを破壊したり、任意 のプログラムを実行することが可能である。 18. Tumbleweed MMS No Default Password Vulnerability BugTraq ID: 1562 リモートからの再現性: あり 公表日: 2000-08-10 関連する URL: http://www.securityfocus.com/bid/1562 まとめ: Tumbleweed Messaging Management System (MMS) (以前の名前は Worldtalk Worldsecure であった) には、デフォルトでパスワードなしの 'sa'というユー ザアカウントを作成する。このため、リモートユーザにデータベースに接続を 許し、データを消去させたり、改竄させたりしてしまう。 19. Raptor GFX Config Tool Vulnerability BugTraq ID: 1563 リモートからの再現性: なし 公表日: 2000-08-02 関連する URL: http://www.securityfocus.com/bid/1563 まとめ: Raptor GFX card は、Netscape、地震情報、地理情報システム (GIS)、衛星か らの映像、出版物を印刷前に出来上がりを知るためなど、デスクトップ上で、 24 ビット true color アプリケーションを利用できるように設計されている。 また、Insignia が提供する SoftWindows、(CT スキャンなどの)医療に用いら れる画像、多数の過去に作成されたアプリケーションなど高解像度の 8 ビット color で利用することも可能である。 Raptor GFX card を設定するために使うソフトウエアの特定のバージョンには、 コンフィグレーションを行う主要コンポーネントの pgxconfig 中にセキュアで ない部分があるため、PATH 環境変数攻撃(PATH environment variable attack) を受ける可能性がある。特に、pgxconfig は、セキュアでないシステムコール (system(3s)) を利用している。この関数はプログラムの内部からシステム上に あるバイナリを実行する。この関数が実行すべきバイナリのある位置を知るため には、システム上のどこにバイナリがあるかを示す $PATH 変数を調べる。 この変数はユーザでも変更可能なため、ユーザは自身のもつ実行可能なバイナリ を指すようにできる。これの特別な場合には、プログラムは setuid(0) 関数呼 び出し (この場合にはプロセスの UID を root に設定する関数呼び出し) を発行できるので、ユーザが置き換えたプログラムを root 権限で実行される。 20. Microsoft Internet Explorer Scriptlet Rendering Vulnerability BugTraq ID: 1564 リモートからの再現性: あり 公表日: 2000-08-10 関連する URL: http://www.securityfocus.com/bid/1564 まとめ: 仕様では、Microsoft Internet Explorer の Scriptlet コンポーネント (scriplet を呼び出すActiveX コントロール) は、HTML ファイルのみを扱うは ずだった。しかし、どんなタイプのファイルでも処理してしまう可能性がある。 設計のミスのため、 悪意を持った Web サイトの管理者は、ローカルコンピュー タゾーンの権限レベルを変更する HTML プログラムをファイルに含めることで、 リモートシステム上にある既知のファイルの読みだし権限を奪取する可能性が ある。また、プログラムには Web サイトの管理者に既知のファイルの内容をメー ルで送信するスクリプトを含むかもしれない。読み出される可能性のあるファイ ルはブラウザウインドウで開くことができるもの (例. 拡張子が .txt、.htm、 .js などのファイルで、.exe ファイルは読めない) に限られる。 21. Microsoft IIS 4.0/5.0 File Permission Canonicalization Vulnerability BugTraq ID: 1565 リモートからの再現性: あり 公表日: 2000-08-10 関連する URL: http://www.securityfocus.com/bid/1565 まとめ: CGI スクリプトや ISAPI 拡張機能に影響する補完機能中のエラーのため、改ざ んされたな HTTP 要求に従った、 Web サーバ上にある指定されたファイルに、 正しくない権限が設定される可能性がある。この問題により、ユーザは、CGI や ISAPI で使用されるファイルで、通常はできないはずの読み出しや実行を含 んだ命令を実行できてしまえるのである。これは仮想フォルダにあるファイル には適用されない。正しいファイルが置かれていても、その本来のフォルダと は違った場所にリンクが貼られていれば問題はない。 改ざんされた URL についての元来持っている機能を考えると、影響を受ける ファイルは、そのファイルパス上にある任意の親フォルダの権限を継承する可 能性がある。 22. Microsoft Office 2000 Mail Merge Vulnerability BugTraq ID: 1566 リモートからの再現性: あり 公表日: 2000-08-07 関連する URL: http://www.securityfocus.com/bid/1566 まとめ: Microsoft Word は、メールを結合する操作の手段として、同社の Access デー タベースを利用可能である。この際、指定されたデータベースの VBA コンポー ネントは、起動時にデータベースを開くように設定されていれば、他に読み出し や実行も可能である。関連する処理には、任意のシステムコマンドを実行できる VBA コマンドも含んでいる。指定されたデータベースは、犠牲者のローカルにあ るか、ネットワークを経由して実行できるか、UNC 共有でアクセスできるように してなければならない。 なお、この問題を突いた攻撃を行うための前提条件は拡張子 .doc のファイルが 犠牲者によって開かれなければならず、この拡張子のファイルの配布手段 (web、 電子メール、ftp など) には依存しない。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1. Private Phone Records on Web (August 14, 2000) 最大の地域電話会社の幹部達は、文章化されていない機能と電話帳に載って いない番号を使った、サービス停止による過激な日曜を過ごした。 http://www.securityfocus.com/news/74 2. Survey: 125,000 Smurf-friendly Nets (August 10, 2000) Gargimel 計画は、Smurf 攻撃鎮圧のための協調行動に向かわせる。 http://www.securityfocus.com/news/71 3. Carnivore: Just Say No? (August 14, 2000) プロバイダは、FBI の監視システムを拒むことができるであろうか。ある ISP はすでに挑戦している。 http://www.securityfocus.com/commentary/72 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. Vlad 0.7.1 (FreeBSD, Linux and OpenBSD) 作者 Razor, info@razor.bindview.com URL: http://razor.bindview.com/tools/vlad/index.shtml VLAD the Scanner は、システムの弱点についての情報源として知られる SANS Top Ten security vulnerabilities で紹介される弱点をチェックするた めのオープンソースのセキュリティスキャナです。Linux、OpenBSD、FreeBSD で動作確認がされています。このソフトウエアを実行するためには、いくつか の Perl のモジュールが必要です (詳細は、README ファイルをご参照下さい)。 2. Saint Jude 0.0.3 (Linux) 作者 Tim Lawless, tim.lawless@usm.edu URL: http://www.securityfocus.com/data/tools/StJude_LKM-0.03.tar.gz Saint Jude LKM は、バージョンが 2.2.0 シリーズのLinux のカーネルモジュ ールです。このモジュールは、不適切な権限の上昇に対して Saint Jude モデ ルを実行します。これはローカル、または究極的にはリモートで実行されてい る root 奪取の攻撃を発見します。一度攻撃されていることが発見されれば、 Saint Jude は、root 権限の奪取を目的とした攻撃を防ぐためにそのプログラ ムを終了します。このモジュールは既知の攻撃方法の署名をチェックをしない で実行されます。そのため、既知、未知両方の攻撃方法に対して実行できます。 変更点: setreuid システムコールの戻り先を exit とすることを妨害するバグ が修正されました。SMP カーネルをサポートし、モジュールシーリングが可能 となり、メモリリークが修正されました。 3. Nsat 1.22 (Linux and Solaris) 作者 Mixter, mixter@newyorkoffice.com URL: http://www.securityfocus.com/data/tools/nsat-1.22.tgz Nsat (Network Security Analysis Tool) は、リモートネットワークサービス を監査したり、バージョンやセキュリティ上の問題を調べたり、サーバやマシ ンの情報を集めたり、などといった用途のために設計された、高速かつ安定に 大量のホストを扱えるセキュリティスキャナです。他の監査ツールとは違って、 新しい弱点が発見されたときに出される更新情報とは無関係に、弱点のあるサ ービスについての情報を集めることができます。 4. Fscan 1.12 (Windows NT) 作者 Foundstone, labs@foundstone.com URL: http://www.foundstone.com/legal-fscan.htm Windows NT で稼動するコマンドライン型で最速のポートスキャナです。1秒当 たり 200 ポートを走査できます。TCP と UDP 共に利用できます。 5. Winbugs 0.1 (UNIX, Windows 2000, Windows 95/98 and Windows NT) 作者 Thierry Martinez URL: http://www.securityfocus.com/data/tools/winfingerprint-226.zip これは、BUGS 動的暗号化アルゴリズム (v3.3.2) の Windows 版です。強力な 秘密鍵暗号、オープンソース、マルチプラットフォームが特長です。 6. MailCleaner 2.6 (Windows 2000, Windows 95/98 and Windows NT) 作者 MailCleaner, http://www.mailcleaner.com URL: http://www.securityfocus.com/data/tools/mcsetup.exe MailCleaner は、ウイルスに感染した恐れのある電子メールからあなたのシス テムを守る手伝いをしてくれるシステムです。 MailCleaner は、あなたのコンピュータに送られてくるウイルスがないことを 確かめるために、定期的にメールをチェックします。メールにウィルスが含ま れている疑いがあるときには、MailCleaner は自動的に削除し、あなたに報告 します。このシステムの実行のためには、Microsoft が提供する Outlook や Outlook Express が必要です (サイズは 730KB)。 - -- Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya Little eArth Corporation - LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBOZibw5QwtHQKfXtrEQLViQCg2eb58BJ1GeIPmBjt2WJNdchbdTEAoOBE TqcJqqKL7GDjZvAObFiGX4pe =Jkx6 -----END PGP SIGNATURE-----