Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.31PL3] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200008291503.BAD17382.BLBJT@lac.co.jp> Date: Tue, 29 Aug 2000 15:03:18 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: SecurityFocus.com Newsletter #56 2000-08-17->2000-08-24 To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 56 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - ------------------------------------------------------------------------ SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - ------------------------------------------------------------------------ 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - ------------------------------------------------------------------------ - ------------------------------------------------------------------------ SecurityFocus.com Newsletter #56 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) II. BUGTRAQ SUMMARY 1. Becky! Internet Mail Buffer Overflow Vulnerability 2. Network Associates WebShield SMTP Trailing Period DoS Vulnerability 3. Gnome-Lokkit Firewall Package Port Visibility Vulnerability 4. UMN Gopherd 2.x Halidate Function Buffer Overflow Vulnerability 5. Francisco Burzi PHP-Nuke Administrative Privileges Vulnerability 6. Gnome Updater Arbitrary RPM Installation Vulnerability 7. Microsoft FrontPage/IIS 5.0 Cross Site Scripting shtml.dll Vulnerability 8. Microsoft IIS 5.0 Cross Site Scripting .shtml Vulnerability 9. Gnome Installer System Config-file Overwrite Vulnerability 10. ISS RealSecure 3.2.x Fragmented SYN Packets DoS Vulnerability 11. Darxite 0.4 Login Buffer Overflow Vulnerability 12. Minicom Capture-file Group Ownership Vulnerability 13. Sun Java Web Server Web Admin / Bullettin Board Vulnerability 14. X-Chat Command Execution Via URLs Vulnerability 15. HPUX net.init RC Script Vulnerability 16. WorldView Wnn Jserver Remote Buffer Overflow Vulnerability 17. CGI Script Center Account Manager LITE / PRO Administrative Password Alteration Vulnerability 18. PragmaSys TelnetServer 2000 rexec Buffer Overflow Vulnerability 19. PGP ADK Insertion Vulnerability 20. CGI Script Center Subscribe Me LITE Administrative Password Alteration Vulnerability 21. Microsoft FrontPage Server Extensions MS-DOS Device Name DoS Vulnerability III. SECURITYFOCUS.COM NEWS ARTICLES 1.Obscuring the Code IV.SECURITY FOCUS TOP 6 TOOLS 1. TkAntivir 1.21 (Linux) 2. Scan4Virus 0.92 (Unix) 3. Knetfilter 1.1.2 (Linux) 4. Winfingerprint 2.2.7 (Netware, Windows 95/98 and Windows NT) 5. THC-Parasite 0.5 (Linux) 6. XploiterStat Pro 2.6.1.63 (Windows 2000, Windows 95/98 and Windows NT) I. FRONT AND CENTER - ------------------- Welcome to the SecurityFocus.com 'week in review' newsletter issue II. BUGTRAQ SUMMARY - ------------------- 1. Becky! Internet Mail Buffer Overflow Vulnerability BugTraq ID: 1588 リモートからの再現性: あり 公表日: 2000-08-19 関連するURL: http://www.securityfocus.com/bid/1588 まとめ: Becky! Internet Mail には Content-type ヘッダを取り扱うコードにバッファ オーバーフローを引き越してしまう問題がある。もし、Content-type ヘッダに 4500 個を越える文字列を含むメッセージが送られた場合、ソフトウェアはクラッ シュしてしまう。通常動作への復旧はアプリケーションの再起動が必要である。 2. Network Associates WebShield SMTP Trailing Period DoS Vulnerability BugTraq ID: 1589 リモートからの再現性: あり 公表日: 2000-08-18 関連するURL: http://www.securityfocus.com/bid/1589 まとめ: デフォルトで、Network Associates WebShield SMTP は例えば 'user@domain.com.' といった、ピリオド付きの電子メールのアドレスを解釈しない。 問題を示すための例として、XYZ社は companyxyz.com を利用すると仮定しよう。 この場合、XYZ 社で稼動している Network Associates WebShield SMTP は 'user@companyxyz.com.' と 'user@companyxyz.com' がどちらも Fully Qualified Domain Names (FQDN) であるにも関わらず、同価であると解釈しないのである。 従って、リモートのユーザが電子メールを 'user@companyxyz.com.' 宛に送った 場合(つまりピリオドを付けた状態で)には、この製品はローカルドメインとして 'companyxyz.com.'を見なさないのである。 WebShield SMTP は 'companyxyz.com.' についての MX レコードを見つけ出す 処理を行ってしまい(MX は Mail Exchange を示す。DNS サーバから MX レコー ドのクエリが可能である。)、Received: ヘッダを追加して、メッセージのコ ピーを自分自身へ送ってしまうのである。そしてさらに、WebShield SMTP は 自分自身に Received: ヘッダを追加しつつ、自分自身にメールを送りつづけ るのである。これは再帰的に送られている電子メールが手動で削除されるか、 あるいは CPU 資源がアプリケーションをクラッシュさせるまで使い尽くされ るまで続けられる。WebShield は、電子メールが手動で削除されるまで、この 処理を再起動後も続ける。 この問題を突いた攻撃は MX レコードが該当するドメインに向けられている時 のみに有効である。 3. Gnome-Lokkit Firewall Package Port Visibility Vulnerability BugTraq ID: 1590 リモートからの再現性: あり 公表日: 2000-08-19 関連するURL: http://www.securityfocus.com/bid/1590 まとめ: Gnome-Lokkit Firewall パッケージには設計上の問題がある。 ユーザがファイヤウォール外のネットワークに対するサービス公開を設定する 項目に対して、no を選択した場合、特定のポートがソフトウェアの設定に反し て開かれたままの状態である。 4. UMN Gopherd 2.x Halidate Function Buffer Overflow Vulnerability BugTraq ID: 1591 リモートからの再現性: あり 公表日: 2000-08-20 関連するURL: http://www.securityfocus.com/bid/1591 まとめ: University of Minnesota が提供する Gopher デーモンには、与えられたデー タの内容に依るが、リモートから意図的なコードの実行を可能にしたり、ある いはシステムをクラッシュできてしまう問題がある。 これは Gopherd の halidate 関数に未チェックのバッファがあり、約 600 バ イトを越える位のデータで 512 バイトのバッファが上書きできてしまえるため である。 5. Francisco Burzi PHP-Nuke Administrative Privileges Vulnerability BugTraq ID: 1592 リモートからの再現性: あり 公表日: 2000-08-21 関連するURL: http://www.securityfocus.com/bid/1592 まとめ: PHP-Nuke Web Portal System にはアクセス確認機能についての問題がある。 PHP-Nuke を動作している Web サイトへ特別に組み立てられた URL をリクエス トすることで、リモートユーザが管理者権限を奪取可能である。 6. Gnome Updater Arbitrary RPM Installation Vulnerability BugTraq ID: 1593 リモートからの再現性: なし 公表日: 2000-08-20 関連するURL: http://www.securityfocus.com/bid/1593 まとめ: GNOME は X11 用のデスクトップ環境ソフトウェアであり、多くのフリー UNIX 環境 (著名な Linux 環境を含む) と共に提供され、Helix Code 社によって作 成されている。 このソフトウェアに含まれる一つのコンポーネント、Updater は他のコンポー ネントの新しいバージョンをダウンロードし、インストールを自動的に行うの に用いられている。updater は一時的にパッケージファイルをセキュアでない 場所(/tmp)へ保存する。従って、ローカルにアクセス可能な攻撃者は、インス トールされる前にパッケージを上書き可能であり、権限を上昇させる事が可能 な、悪意あるバージョンへ置換え可能である。 7. Microsoft FrontPage/IIS 5.0 Cross Site Scripting shtml.dll Vulnerability BugTraq ID: 1594 リモートからの再現性: あり 公表日: 2000-08-21 関連するURL: http://www.securityfocus.com/bid/1594 まとめ: IIS 5.0 へ FrontPage Server Extensions 1.2 がインストールされた場合、 IIS 5.0 は特別に組み立てられたハイパーリンクを利用し、クライアントへ悪 意ある第三者によるコンテンツを返してしまう問題がある。 shtml.dll へのリクエストにテキストが追加された場合、サーバはテキスト内 容を含めてエラーを返す。もしテキストがクライアント側で実行されるスクリ プトを含んでいる場合、クライアントのブラウザで実行されてしまい、エラー メッセージを返すサーバが送って来たコンテンツであるとして処理されてしま う。(例えスクリプト付きのコンテンツが、全く別のサーバにあったものであっ てもその様に処理されるのである。) このため、以降に示す状況が特定の場合に発生する可能性がある。改変された URL 中に指定されているサーバが「信頼されている」サイトであると見なされ ている場合、そのサイトからのコンテンツによるが、通常よりも高い権限レベ ルとして見なされてしまう可能性がある。 例えば、以下の悪意ある Web サイトで提供されているハイパーリンクの一部を 考えてみたい。 http://TrustedServer. ユーザが上記で示されたリンクをクリックした場合、スクリプトは HTTP を介 してクライアントから TrustedSite へ送られる。TrustedSite はスクリプトを エラーメッセージの一部として返してくる。エラーメッセージに含まれるスク リプトを受け取ったクライアントはそれを実行し、TrustedSite からのものと して許可権が与えられてしまうのである。 8. Microsoft IIS 5.0 Cross Site Scripting .shtml Vulnerability BugTraq ID: 1595 リモートからの再現性: あり 公表日: 2000-08-21 関連するURL: http://www.securityfocus.com/bid/1595 まとめ: IIS 5.0 は特別に組み立てられたハイパーリンクを利用し、クライアントへ悪 意ある第三者によるコンテンツを返してしまう問題がある。 shtml 形式のファイルへのリクエストにテキストが追加された場合、サーバは エラーメッセージをテキストを含めて生成する。もしテキストがクライアント 側で実行されるスクリプトを含んでいる場合、クライアントのブラウザで実行 されてしまい、エラーメッセージを返すサーバが送って来たコンテンツである として処理されてしまう。 (例えスクリプト付きのコンテンツが、全く別のサーバにあったものであっても その様に処理されるのである。) このため、以降に示す状況が特定の場合に発生する可能性がある。改変された URL 中に指定されているサーバが「信頼されている」サイトであると見なされ ている場合、そのサイトからのコンテンツによるが、通常よりも高い権限レベ ルとして見なされてしまう可能性がある。 例えば、以下の悪意ある Web サイトで提供されているハイパーリンクの一部を 考えてみたい。 http://TrustedServer. ユーザが上記で示されたリンクをクリックした場合、スクリプトは HTTP を介 してクライアントから TrustedSite へ送られる。TrustedSite はスクリプトを エラーメッセージの一部として返してくる。エラーメッセージに含まれるスク リプトを受け取ったクライアントはそれを実行し、TrustedSite からのものと して許可権が与えられてしまうのである。 9. Gnome Installer System Config-file Overwrite Vulnerability BugTraq ID: 1596 リモートからの再現性: なし 公表日: 2000-08-19 関連するURL: http://www.securityfocus.com/bid/1596 まとめ: GNOME は Helix Code によって提供されている X11 用の GUI である。 Caldera eDesktop と S.u.S.E. linux systems が利用しているこのソフトウェ アのインストールプログラムは /tmp を安全ではない方法で利用している。 インストールプログラムの方法では /tmp にディレクトリを作成し、一時的な システム設定ファイルのコピーを、正しい場所に書き込む前に格納するのであ る。 (Caldera OpenLinux eDesktop 2.4 では/etc/config.d/bashrc, /etc/config.d/csh.cshrc, /etc/rc.d/rc.gui、SuSE 6.3 と 6.4 では /etc/rc.config) 悪意あるユーザがシステム管理者が GNOME のインストールプログラムを実行し ようとしている事を知っている場合、その人間はインストールプログラムに空の 内容の設定ファイルをシステムに対して書き戻すように設定する可能性がある。 (GNOME のインストールプログラムが処理する前にディレクトリに設定ファイル を準備しておくことが前提である。) この結果、システムは一部の設定を失うことになってしまう可能性がある。 10. ISS RealSecure 3.2.x Fragmented SYN Packets DoS Vulnerability BugTraq ID: 1597 リモートからの再現性: あり 公表日: 2000-08-22 関連するURL: http://www.securityfocus.com/bid/1597 まとめ: ISS RealSecure 3.2.x は SYN フラグが設定されたフラグメント化されたパケッ トを与えることで、無効化可能である。 Windows NT 上ではサービスがクラッシュした後に再起動が行われ、アプリケー ションログイベントが生成される。また、パケットが引き続き送り続けられてく る場合、検知機能はサービスが再度再起動するまで、完璧に停止する。 Solaris 上ではプロセスはクラッシュし、すべての検知機能は停止する。 そしてコンソール上にレポートが作成される。しかも Solaris においては特 定のフラグが SYN に続けて与えられている場合、フラグメント化されてい ないパケットのフラッド状態ではプロセスをクラッシュさせることが可能で ある。 11. Darxite 0.4 Login Buffer Overflow Vulnerability BugTraq ID: 1598 リモートからの再現性: あり 公表日: 2000-08-22 関連するURL: http://www.securityfocus.com/bid/1598 まとめ: Darxite 0.4 には、ログイン処理中にユーザが与えたデータについて、sprintf() 関数がデータを 256 文字分のバッファへ移してしまう部分における境界チェック が適切に行なわれていない問題がある。 従って、攻撃者は悪意あるコードをアプリケーションを実行しているユーザの 権限で実行できる可能性がある。 12. Minicom Capture-file Group Ownership Vulnerability BugTraq ID: 1599 リモートからの再現性: なし 公表日: 2000-08-19 関連するURL: http://www.securityfocus.com/bid/1599 まとめ: Minicom は UNIX 用の端末プログラムで、コンピュータ間のモデムを介した通信 を行う際に、しばしば用いられている。このプログラムは大抵の場合、setgid uucp でインストールされている。これはこのプログラムは一般ユーザにシステム上の 特定のデバイスへのアクセス権限を与えるためである。 このプログラムでは capture-file をコマンドラインから指定することにより、 ファイルを gid uucp、そしてさらに gid uucp で作成可能である。gid/uid uucp を利用しているシステム上では重要な関心を呼ぶ事象であろうが、重要なファ イル群は uucp グループ権限で書き込み可能であり、この問題を突くことで、 上書き可能であり、他の問題を引き起こし可能である。 備考: この問題が存在するとして指摘されたバージョン (1.83.1) は FreeBSD の port では問題の影響を受けない。 13. Sun Java Web Server Web Admin / Bullettin Board Vulnerability BugTraq ID: 1600 リモートからの再現性: あり 公表日: 2000-08-22 関連するURL: http://www.securityfocus.com/bid/1600 まとめ: Java Web サーバには組み合わされた場合、意図的なコードをサーバの権限で実 行してしまえる可能性がある 2 つの機能がある。 Web Administration module はポート番号 9090 で待ち受け、管理用コマンドを HTTP を介して処理を行っている。/servlet/ という添え字を付け加えることで、 リモートユーザは "com.sun.server.http.pagecompile.jsp92.JspServlet" サー ブレットに、管理用 Web サーバのドキュメントルートディレクトリ内外の任意の ファイルのコンパイルと実行を指示できるのである。 なお、このサーバには BBS 機能を提供するためのサンプルアプリケーションが 付属している。このアプリケーションは board.html というファイルを、Web サー バのドキュメントルートディレクトリ内ですべての投稿された内容を記録するた めに利用している。投稿された内容として、コードを /examples/applications/bboard/bboard_frames.html というファイルに含める ことができ、board.html の一部として最終的には格納される。 この機構を利用して、リモートのユーザが JSP コードを board.html に入れる ことが可能である。そしてさらに、注入したコードを Administration module 経由で以降に示す URL の様に実行可能である。 http:/target:9090/servlet/com.sun.server.http.pagecompile.jsp92.JspServlet/board.html 14. X-Chat Command Execution Via URLs Vulnerability BugTraq ID: 1601 リモートからの再現性: あり 公表日: 2000-08-17 関連するURL: http://www.securityfocus.com/bid/1601 まとめ: X-Chat IRC クライアント 1.3.9 およびそれ以前のバージョンには問題がある。 URL 中に引用符 (``) でコマンドを囲んでプログラムに与えることで、X-Chat ユーザがリンクを見て、クリックするよう促すことを利用して、意図的なコマ ンドを実行可能である。これは X-Chat が Web ページの参照を行っている方法 に由来する問題である。 X-Char は Netscape へ、与えられた URL にシェル用のメタキャラクタが含ま れるかどうかの確認をせずに処理を引き渡しているのである。そのため、攻撃 者は Netscape を利用しているユーザの件元でコマンドの実行を行うための、 シェルの解釈機能を利用した攻撃を行える可能性がある。 15. HPUX net.init RC Script Vulnerability BugTraq ID: 1602 リモートからの再現性: なし 公表日: 2000-08-22 関連するURL: http://www.securityfocus.com/bid/1602 まとめ: 特定の設定状態において、Hewlett Packard 社が提供する HP-UX には問題を 生じる。バージョン 11.0 では問題が確認されており、他のバージョンにお いても同様の可能性があると考えられる。 CLEAR_TMP オプションが /etc/rc.config.d で 1 に設定された場合、これは この機能が利用されることを意味する。この場合、削除前に処理される様に ローカルのユーザが /tmp にシンボリックリンクを作成可能である。 これはローカルのユーザがいかなるファイルであっても再起動時に上書きで きてしまうことを示している。 再起動時には /sbin/rc2.d/S008net.init と /sbin/rc2.d/S204clean_tmps が起動される。net.init がまず最初に実行される。(S を名前の先頭に持つ ファイルは低い番号順で実行される) net.init ファイル中には一時ファイルとして /tmp/stcp.conf が使用され ている。ローカルのユーザは単にこのファイルを他のいかなるファイルへの シンボリックリンクとして作成可能であり、net.init スクリプトで内容を 再起動時に上書き可能である。 16. WorldView Wnn Jserver Remote Buffer Overflow Vulnerability BugTraq ID: 1603 リモートからの再現性: あり 公表日: 2000-03-08 関連するURL: http://www.securityfocus.com/bid/1603 まとめ: 様々な Wnn の実装に含まれる jserver にはリモートからバッファオーバー フローを引き起こさせられる問題がある。Wnn はかな漢字変換システムであ り、外国語をサポートする UNIX においては広く使われているプログラムで ある。 JS_OPEN、JS_MKDIR、JS_FILE_INFO といった機能に含まれる Wnn のコマンド に長い文字列を与え、サーバがそれを受け取った際にオーバーフローが生じ てしまう。バッファ内にコンピュータ上で実行可能なコードを含ませること で、jserver デーモンを実行しているリモートのシステム上で意図的なコマ ンドを、デーモンを動かしているユーザ権限で実行可能である。なお、この ユーザはしばしば root である。 17. CGI Script Center Account Manager LITE / PRO Administrative Password Alteration Vulnerability BugTraq ID: 1604 リモートからの再現性: あり 公表日: 2000-08-23 関連するURL: http://www.securityfocus.com/bid/1604 まとめ: どの権限で動作させているかに関係なく、リモートのユーザは誰であっても CGI スクリプト、Centers' Account Manager の管理用パスワードを変更可能 である。この問題を起こすためには、ユーザは HTTP の POST コマンドを利用 して、以下に示す URL にアクセスするだけでよい。 http://target/cgibin/amadmin.pl?setpasswd これを利用し、ユーザはターゲットとなった Web サイトの機密にしておくべき 領域へのユーザのアクセスの許可、拒否を決定するための管理用権限を全て、 入手できてしまうことになる。 18. PragmaSys TelnetServer 2000 rexec Buffer Overflow Vulnerability BugTraq ID: 1605 リモートからの再現性: あり 公表日: 2000-08-24 関連するURL: http://www.securityfocus.com/bid/1605 まとめ: Pragma Systems は TelnetServer 2000 という Windows 用のリモートアクセス サーバを提供している。このサーバは 1000 個以上の NULL 文字を 512 番、 rexec ポートへ与えた際にクラッシュしてしまう。これはインターネット上の 匿名の攻撃者から実行可能である。攻撃の犠牲となったホスト上でアクセス権 限を奪取するための攻撃を行うための、明確になっているバッファオーバーフ ローの存在は未詳である。 19. PGP ADK Insertion Vulnerability BugTraq ID: 1606 リモートからの再現性: あり 公表日: 2000-08-24 関連するURL: http://www.securityfocus.com/bid/1606 まとめ: 特定のバージョンの ADKs (Additional Decryption Keys) をサポートする PGP には、攻撃者が公開鍵を犠牲者の公開鍵の未署名部分に挿入できてしまえる可能 性がある問題が存在する。この問題の結果、犠牲者へ改変された公開鍵で暗号化 されて送られる通信内容は、自身の鍵によっても復号化可能な攻撃者によっても、 暗号化可能である。 20. CGI Script Center Subscribe Me LITE Administrative Password Alteration Vulnerability BugTraq ID: 1607 リモートからの再現性: あり 公表日: 2000-08-23 関連するURL: http://www.securityfocus.com/bid/1607 まとめ: どの権限で動作させているかに関係なく、リモートのユーザは誰であっても CGI スクリプト、Centers' Subscribe Me Lite の管理用パスワードを変更可 能である。 この問題により、ユーザが、メーリングリストへの参加、リストからの脱退 を管理する権限をすべて入手できてしまえる様になってしまう。 21. Microsoft FrontPage Server Extensions MS-DOS Device Name DoS Vulnerability BugTraq ID: 1608 リモートからの再現性: あり 公表日: 2000-08-23 関連するURL: http://www.securityfocus.com/bid/1608 まとめ: Microsoft FrontPage Server Extentions を実行しているシステムをリモート から、shtml.exe を介して MS-DOS 由来のデバイス名を含む URL を与えること で、クラッシュできてしまえる問題が発見された。 例えば、以下に示す URL は FrontPage Server Extensions をクラッシュさせて しまう。 http://target/_vti_bin/shtml.exe/comX.htm (X は 1, 2, 3, 4 のいずれかの値であり、ターゲット上に対応するデバイスは 存在していなければならない) http://target/_vti_bin/shtml.exe/prn.htm http://target/_vti_bin/shtml.exe/aux.htm この攻撃を有効にするためには、デバイス名と拡張子を組み合わせる必要がある。 .HTM 拡張子についてさらに述べるならば、.ASP も同様の振る舞いを行う。 IIS の再起動、あるいはシステムの再起動が通常動作への復旧には必要である。 この問題の再現試験では、サーバの動作を停止させるためにはリクエストがと切 れることがないストリームである必要があった。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1.Obscuring the Code プログラムコードの行方はいずこへ? 悪いプログラムへの対策は、より多くのプログラムを書くことだ。 http://www.securityfocus.com/news/77 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. TkAntivir 1.21 (Linux) 作者: Sebastian Geiges, tkantivir@geiges.de URL: http://www.geiges.de/tkantivir/index_en.htm TkAntivir は、グラフィカルなフロントエンドのついた Tcl/Tk で書かれた Linux 用のアンチウィルスプログラム H+BEDV AntiVir です。 AntiVir では コマンドラインから起動しなくとも、スケジューラで定期的にスキャンを 実行することができます。レポートビューアも付いています。英語、ドイツ語 オランダ語にも対応しています。 2. Scan4Virus 0.92 (Unix) 作者: Jason Haar, jhaar@trimble.co.nz URL: http://www.geocities.com/jhaar/scan4virus/ Qmail-Scanner (または、Scan4Virus とも言う)は、Qmail メールサーバの機能 追加で、任意の特徴に従い、ゲートウェイ上を通るすべてのメールを調べます。 通常、アンチウィルス対策スキャナとして使用され、一般商業のウィルススキ ャナと併用されています。これは、サイトに送信されるメールのヘッダに特定 の文字列が含まれるものや、特定の添付ファイル名やファイルの種類にも反応 します。Qmail-Scanner は、ほかの Unix ベースのウィルススキャナとは異な り、ローレベルでメールサーバと統合されますので、パフォーマンスが改善さ れています。ローカル上で送受信するメール以外にも、中継サーバ上でも機能 します。 3. Knetfilter 1.1.2 (Linux) 作者: Luigi Genoni, venom@DarkStar.sns.it URL: http://expansa.sns.it/knetfilter Knetfilter は、Linux kernels 2.4.0 以降に対応した、netfilter 機能を管理 する ip テーブルに対する KDE フロントエンドです。ファイウォールの複雑な システムでも動作します。Knetfilter は、ip テーブル、ルール、nat ルール 一般ポリシーまで(但し、マスカレードはシステム管理者以外は設定変更できま せん) ファイアウォール上に保存してくれます。特定の設定場所に記述するだけ でルールを挿入したり、削除することが可能です。 4. Winfingerprint 2.2.7 (Netware, Windows 95/98 and Windows NT) 作者: Kirby Kuehl, vacuum@technotronic.com URL: http://www.technotronic.com/winfingerprint/ これは、リモートの Windows OS を検知するツールです。最新機能:SMB クエリから PDC(プライマリドメインコントローラ)、BDC(バックアップドメインコントローラ) NT メンバーサーバ、NTワークステーション、SQLサーバ、NOVELL Netwareサーバ Windows For Workgroups、Windows 9x、Administrative ($)を含むユーザ管理 サーバ、情報共有サーバ 、グローバルグループグループ・ユーザ管理サーバ、 稼働中のサービスの表示、ネットワークコンピュータ上のホストへスキャン、 NULL IPC$ セッションの確立、レジストリクエリー(現時点では、適用された サービスパックと Hotfilx まで分かります)を 転送、取得日・時間によって 判断することができます。 5. THC-Parasite 0.5 (Linux) 作者: van Hauser, vh@reptile.rug.ac.be URL: http://www.infowar.co.uk THC-Parasite を使用すると、ARP スプーフィングや MAC フラッド系の攻撃を 使用して、スイッチイングハブを使用したネットワークでも通信を盗聴するこ とができます。THC-Parasite のアルゴリズムで、スイッチングハブのセキュリ ティを回避するように作られています。 6. XploiterStat Pro 2.6.1.63 (Windows 2000, Windows 95/98 and Windows NT) 作者: Simon Steed, simon@xploiter.com URL: http://www.xploiter.com/xploiterstat/ XploiterStat Pro は、確立された接続をすべて表示したり、待ち受けているポ ート(トロイの木馬型プログラムを検知する)を表示するDOS プログラム上の 'Netstat.exe' に似たシェアウェアのネットワーク管理ツールです。これを使用 して、ユーザのマシン上の TCP/UDP や ICMP 接続を表示します。これは、以前 Totostat Enhanced と呼ばれていたプログラムの最新版です。 ネットワーク専門家は、マシン上で待ち受けているポート(例 サービス、トロイ の木馬型プログラム)すべてを表示したり、確立された接続を判別することがで きます。 - -- Translated by SAKAI Yoriyuki, YANAOKA Hiromi Little eArth Corporation - LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBOarTlpQwtHQKfXtrEQL0jACgxPvS7878Ioqg6IDrxoBPL++RV2MAnRAi pt3KGQIP+rXJ5d7PRKXUQB9k =aXUK -----END PGP SIGNATURE-----