SecurityFocus.com Newsletter #59 2000-09-08->2000-09-15

To: BUGTRAQ-JP@SECURITYFOCUS.COM
Subject: SecurityFocus.com Newsletter #59 2000-09-08->2000-09-15
From: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Date: Sat, 23 Sep 2000 16:43:24 +0900
Reply-To: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 59 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- - -------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- - -------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- - -------------------------------------------------------------------------
- - -------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- - -------------------------------------------------------------------------
- - -------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- - -------------------------------------------------------------------------
- - -------------------------------------------------------------------------

原版:
Message-ID:  <Pine.GSO.4.21.0009200857450.4886-100000@mail>
Date:         Wed, 20 Sep 2000 08:59:35 -0700

SecurityFocus.com Newsletter #59
- --------------------------------

I. FRONT AND CENTER(日本語訳なし)
II. BUGTRAQ SUMMARY
	1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulns
	2. SuSE Apache CGI Source Code Viewing
	3. GNOME esound Unsafe /tmp File Creation Vulnerability
	4. AIX netstat -Z Statistic Clearing Vulnerability
	5. Check Point Firewall-1 Session Agent Impersonation Vulnerability
	6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability
	7. SCO Unixware "/search97cgi/vtopic" Vulnerability
	8. Tmpwatch Recursive Write DoS Vulnerability
	9. muh IRC Log Format String Vulnerability
	10. NT Authentication PAM Modules Buffer Overflow Vulnerability
	11. Mailman 1.1 Writable Variable Vulnerability
	12. YaBB Arbitrary File Read Vulnerability
	13. Ranson Johnson mailto.cgi Piped Address Vulnerability
	14. MailForm 2.0 XX-attach_file  Vulnerability
	15. Microsoft WebTV DoS Vulnerability
	16. mgetty-sendfax .lastrun File Overwrite Vulnerability
	17. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability
	18. Horde CGI Remote Command Execution Vulnerability
	19. EFTP Buffer Overflow Vulnerability
	20. EFTP Partial Input Denial of Service Vulnerability
	21. Mandrake /perl http Directory Disclosure Vulnerability
	22. IMP File Disclosure Vulnerability	
	23. Jack De Winter WinSMTP Buffer Overflow Vulnerability
	24. Netegrity SiteMinder Authentication Bypass Vulnerability
	25. HP OpenView Network Node Manager Config Scripts Vulnerability
	26. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability
	27. Sambar Server (BETA) Search CGI Vulnerability
	28. CamShot Remote Buffer Overflow Vulnerability
	29. FreeBSD Eject Local Root Vulnerability
	30. Pine Malformed Header Denial of Service Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
	1. Cyber SpyHunt
	2. White House Flunks Back
	3. Panel: 'Cyberweapons' Control Needed
	4. Microsoft Cookies Jump Domains
	5. Coming Out Party
IV.SECURITY FOCUS TOP 6 TOOLS
	1. Ethereal 0.8.12
	2. ShadowSecurityScanner 1.01.001
	3. Lsof 4.51
	4. Wrapper v2
	5. Winfingerprint 2.2.8
	6. OpenSSL 0.9.5a

I. FRONT AND CENTER(日本語訳なし)
- - ---------------------------------
Welcome to the SecurityFocus.com 'week in review' newsletter issue

II. BUGTRAQ SUMMARY
- - -------------------
II. BUGTRAQ SUMMARY
- -------------------

1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulnerabilities
BugTraq ID: 1657
リモートからの再現性: あり
公表日: 2000-09-08
関連する URL:
http://www.securityfocus.com/bid/1657
まとめ:

Mobius 社が提供する DocumentDirect for the Internet プログラムには、未
チェックの多くの静的に割り当てられたバッファが存在する。
入力されるデータによっては、任意のプログラムの実行や Dos 攻撃をデータを
入力したサービスの権限レベルの下で行われてしまう。

バッファオーバーフローその 1 - 以下のような GET リクエストを発行し、
DDICGI.EXE をオーバーフローさせる。

GET /ddrint/bin/ddicgi.exe?[string at least 1553 characters long]=X
HTTP/1.0

バッファオーバーフローその 2 - Web 認証フォームで少なくとも 208 文字か
らなるユーザ名を入力し、DDIPROC.EXE をオーバーフローさせる。この文字列
がランダムな場合、DoS 攻撃が DocumentDirect Process Manager に実行され、
関係するすべてのサービスが停止するだろう。

バッファオーバーフローその3 - 以下のような GET リクエストを発行し、
DDICGI.EXE 中でのアクセス確認エラーを引き起こす。

GET /ddrint/bin/ddicgi.exe HTTP/1.0\r\nUser-Agent: [long string of
characters]\r\n\r\n

2. SuSE Apache CGI Source Code Viewing
BugTraq ID: 1658
リモートからの再現性: あり
公表日: 2000-09-07
関連する URL:
http://www.securityfocus.com/bid/1658
まとめ:

SuSE Linux のバージョン 6.3 と 6.4 (これ以前のバージョンも問題となる可
能性がある) は、Apache Web サーバ(SuSE のバージョン 6.4 ではバージョン
1.3.12) をインストールしている。

Apache の設定ファイル /etc/httpd/httpd.conf は、一つのエントリ (Alias
/cgi-bin-sdb/ /usr/local/httpd/cgi-bin/) からなる。そのため、 /cgi-bin/
にあるファイルは、http://target/cgi-bin-sdb のようなフォーマットの URL
でアクセスできてしまう。パスには /cgi-bin/ の文字列が含まれていないため、
不適切な権限が設定され、ファイルはサーバ上で実行されていることとは対照的
にクライアントに送られてしまう。

このため、/cgi-bin/ に保存される CGI スクリプトのソースコードを読むこと
が可能となる。

3. GNOME esound Unsafe /tmp File Creation Vulnerability
BugTraq ID: 1659
リモートからの再現性: なし
公表日: 2000-08-31
関連する URL:
http://www.securityfocus.com/bid/1659
まとめ:

人気のある GNOME 環境の一部である、esound パッケージには弱点が存在する。
バージョン 0.2.19 以前の esound は /tmp ディレクトリにいかなるユーザで
あっても書き込み可能なディレクトリを作成し、通常は Unix ドメインソケット
を保存するために利用する。
それに代えて、システム上の攻撃者はシンボリックリンクを生成することで、
esound を実行しているユーザが所有する任意のファイルやディレクトリが、
いかなるユーザ権限でも書き込み可能になってしまう。

4. AIX netstat -Z Statistic Clearing Vulnerability
BugTraq ID: 1660
リモートからの再現性: なし
公表日: 2000-09-03
関連する URL:
http://www.securityfocus.com/bid/1660
まとめ:

IBM 社製の AIX バージョン 4.x.x には問題が存在する。ローカルユーザでも、
root 権限なしに netstat の引数に -Z を指定して実行できてしまう。このた
めにインターフェイスの統計が初期化されてしまう。これは統計情報を調べる
プログラムを潜在的に妨害する可能性がある。

5. Check Point Firewall-1 Session Agent Impersonation Vulnerability
BugTraq ID: 1661
リモートからの再現性: あり
公表日: 1998-09-24
関連する URL:
http://www.securityfocus.com/bid/1661
まとめ:

Check Point が提供する Firewall-1 の "セッションエージェント" には弱点
が存在する。この弱点は FW-1 4.1 以前のセッションエージェントのすべての
バージョンに存在する。セッションエージェントは Windows 9x または、Windows NT
を動作しているコンピュータ上、ファイアウォールからの接続のためにポート
を開き、接続のための認証を要求している。ところが、この情報は、すべて平
文で送られ、なお、かつ、認証されていないのである。これは盗聴できること
を意味する。付け加えて、エージェントはいかなるホストからの接続も受け付
けてしまう。セッションエージェントに接続できるユーザなら誰でも、
Firewall-1 モジュールを装うことができ、ユーザ名とパスワード情報を要求で
きる。実行された場合、ユーザ名とパスワードを悪用されてしまう結果となる。

6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability
BugTraq ID: 1662
リモートからの再現性: あり
公表日: 2000-08-15
関連する URL:
http://www.securityfocus.com/bid/1662
まとめ:

Firewall-1 の Check Point セッションエージェント のすべてのバージョンに
は問題が存在する。セッションエージェントは以下の様に動作する。
ファイアウォールはクライアントマシンからの接続を確立する。その最中にユー
ザ名を入力するように要求し、入力されたユーザ名が存在すれば、パスワード
も同様に要求する。失敗した場合は、永遠にこの動作を繰り返す。このため、
ユーザ名とパスワードに対する単純なブルートフォース攻撃を許してしまう。

7. SCO Unixware "/search97cgi/vtopic" Vulnerability
BugTraq ID: 1663
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1663
まとめ:

SCO Unixware の特定のバージョンでは、Web 上で利用できるヘルプシステムをデ
フォルトでインストールし、出荷されている。
このシステムは、httpd-scohelphttp という名称で、Web サーバが実行されて
いるアカウント (通常 'nobody') でしか読めないはずのファイルがリモートユー
ザにも読めるという問題のある CGI プログラムを含んでいる。

この問題は以下の CGI のために起こる。

 /usr/ns-home/httpd-scohelphttp/search97cgi/vtopic

この CGI は、検索の結果を使用するための HTML テンプレートを指定するため
に ViewTemplate というパラメータを利用する。

 http://unixware7box:457/search97cgi/vtopic?action=view&ViewTemplate=

しかしながら、この CGI は相対パスに何の制限もかけないため、ユーザはパス
を作成でき、そのため、(../) という文字列を利用して Web コンテンツのルー
トディレクトリの外部に移動できてしまうのである。

8. Tmpwatch Recursive Write DoS Vulnerability
BugTraq ID: 1664
リモートからの再現性: なし
公表日: 2000-09-09
関連する URL:
http://www.securityfocus.com/bid/1664
まとめ:

/tmp や /var/tmp に書き込み権限を持つユーザであれば誰でも、tmpwatch に
redhat 6.1 (もしくは cron から tmpwatch を実行していれば他のディストリ
ビューションでも) の応答を停止することができ、電源を入れ直さなければな
らない可能性がある。これは /tmp 中に多数のノード (例 ~6000) をもつディ
レクトリを生成するために引き起こされる。/tmp 以下のディレクトリのどの階
層でも、tmpwatch は自身の複製を fork() する。

9. muh IRC Log Format String Vulnerability
BugTraq ID: 1665
リモートからの再現性: あり
公表日: 2000-09-09
関連する URL:
http://www.securityfocus.com/bid/1665
まとめ:

muh は、irc クライアントとサーバの間でプロキシの役割を演じる。irc サー
バから見れば muh セッションは irc クライアントのように振る舞い、irc ク
ライアントから見れば muh セッションは irc サーバのように振る舞う。

muh には、クライアントが接続を切断したときに、クライアントのメッセージ
をログに取る機能がある。

バージョン 2.05 (それ以前のバージョンにも可能性がある) には、ログに取ら
れるメッセージがクライアントによっておきかえられた場合、muh をクラッシ
ュさせてしまうフォーマットバグの問題がある。また、このバグを利用するこ
とで muh を稼動しているユーザの権限で任意のプログラムを実行することが可
能である。

10. NT Authentication PAM Modules Buffer Overflow Vulnerability
BugTraq ID: 1666
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1666
まとめ:

pam_smb と pam_ntdom は、Unix ユーザに NT ドメインコントローラへ認証す
るためのプラグインモジュールである。pam_smb モジュールにはリモートから
攻撃可能なバッファオーバーフローの弱点がある。pam_smb から派生する
pam_ntdom にも同様の弱点がある。この問題は、境界をチェックをすることな
く 16 バイトのスタックに長いユーザ名をコピーしてしまうために生じる。

11. Mailman 1.1 Writable Variable Vulnerability
BugTraq ID: 1667
リモートからの再現性: なし
公表日: 2000-09-07
関連する URL:
http://www.securityfocus.com/bid/1667
まとめ:

Mailman は MHonArc、または hypermail に外部のアーカイバを利用することで
メッセージをアーカイブ化する機能を備えている。内部から Mailman へはどの
変数に基づいているかをマクロが決めるために使われる可能性がある。

例えば、 $prefix/Mailman/mm_cfg.py に続くエントリを per-list に基づいて
リストアーカイブを保存することができる。

PUBLIC_EXTERNAL_ARCHIVER = '(mhonarc -add -nolock -umask 023 -rcfile
rc.%(listname)s -outdir /mnt/WWW/htdocs/lists/%(listname)s)'

(listname) の値はリスト管理者によって各リストごとに生成できる。

listname 変数がシステムコマンドに設定された場合、Mailman がメッセージを
アーカイブに追加するためのリストにメッセージが送られるたびにそのコマン
ドが実行される。

例えば、listname の値が次のように設定された場合である。
`/usr/X11R6/bin/xterm -display myhost.example.com:0 -e /bin/csh`

リストがメッセージを受信したとき、埋め込まれたコマンドが実行され、この
例では、リモートから Web サーバの uid/gid 下でシェルを実行している
xterm を開くことができる。

PUBLIC_EXTERNAL_ARCHIVER の定義の設定によっては、他の変数の名前は受け付
けられる。

Solution タブ以下にパッチを置くことが、この %(listname)s 展開問題の唯一
の修正方法である。

12. YaBB Arbitrary File Read Vulnerability
BugTraq ID: 1668
リモートからの再現性: あり
公表日: 2000-09-10
関連する URL:
http://www.securityfocus.com/bid/1668
まとめ:

YaBB.pl は web 上での掲示板スクリプトで、書き込まれた内容をを数字で順番
付けられたファイルで管理する。順番付けられたファイルは、変数 num=<file>
という形で YaBB.pl に要求が出され特定される。また、そのファイルを検索す
る前にYaBB は <file> に .txt 拡張子を付加する。

YaBB 中で入力の妥当性を調べる際に問題があるために、相対パスが <file> に記
されてしまう。これは、../ という形のパスを含む。

付け加えて、<file> は数字である必要はなく、.txt 拡張子は、<file> に %00
を付加することで避けることができる。

1 回のリクエストでこの問題を利用することによって、悪意のあるユーザは、
Web サーバが参照できる任意のファイルを見ることが可能になる。

13. Ranson Johnson mailto.cgi Piped Address Vulnerability
BugTraq ID: 1669
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1669
まとめ:

Ranson Johnson が提供する Combination Mail-to and Credit Card Orderform
中で使われる 'emailadd' 変数の値は、パイプを使ってマシンへの入り口を開
けるために利用される。この値はユーザがフォームを埋める際に入力される。
フォーム上の 'emailadd' フィールドに特別に組み立てられた値を入力するこ
とによって Web サーバの権限レベルでリモートからコマンドを実行される可能
性がある。

14. MailForm 2.0 XX-attach_file  Vulnerability
BugTraq ID: 1670
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1670
まとめ:

MailForm 2.0 はメッセージを扱うために多数の隠しフォームフィールドを利用
している。隠しフォームフィールドは、ページをローカルコピーして編集する
ためや、望まない結果を得た時の履歴を残すために使われる。
この内、XX-attach_file フィールドの値は、CGI が参照できるファイルのコピー
を CGI が攻撃者に電子メールで送るように MailForm 2.0 を用いて修正するこ
とが可能である。

15. Microsoft WebTV DoS Vulnerability
BugTraq ID: 1671
リモートからの再現性: あり
公表日: 2000-09-12
関連する URL:
http://www.securityfocus.com/bid/1671
まとめ:

リモートユーザが UDP パケットを WebTV for Windows が稼動するシステムの
22701 番から22705 番の任意のポートに送ると、システムは完全にクラッシュ
してしまうか、少なくともプログラムは応答を停止する。

同様に、UDP パケットを 22703 番ポートに送ることで、自動的に再起動してし
まうことが既知となっている。

16. mgetty-sendfax .lastrun File Overwrite Vulnerability
BugTraq ID: 1672
リモートからの再現性: なし
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1672
まとめ:
mgetty-sendfax にある faxrunq と faxrunqd コマンドは、最後に faxruq
コマンドが実行された日時を調べるために /var/spool/fax/outgoing/.lastrun
というファイルを使用している。
攻撃者は任意のマウントされたファイルシステム上にある任意のファイルを指
し示す /var/spool/fax/outgoing/.lastrun というシンボリックリンクを生成
できるため、faxrunq が実行されたとき、このファイルの内容が上書き可能で
ある。

17. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability
BugTraq ID: 1673
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1673
まとめ:

Microsoft Windows 2000 の RPC サービスにある固有の弱点のために、Windows
2000 上の RPC サービスをクラッシュする可能性がある。そのため 入ってくる
RPC リクエストを拒否してしまう。巧く改竄した RPC パケットを 135 番から
139 番、または 445 番ポートを通して Windows 2000 サーバに送ることで、
RPC サービスを完全に停止できる。通常の機能を回復するためには再起動が必
要である。

18. Horde CGI Remote Command Execution Vulnerability
BugTraq ID: 1674
リモートからの再現性: なし
公表日: 2000-09-08
関連する URL:
http://www.securityfocus.com/bid/1674
まとめ:

Horde は、Web 上で生産性、伝言、計画管理を行なう PHP 言語で書かれたアプ
リケーションで、GPL かつ LGPL ライセンスの下で配布されている。電子メー
ルを送信するためには、コマンドの文字列 (シェルによって分解される) の一
部としてユーザの入力を用いて sendmail を実行するために popen を利用する。
ユーザの入力として生成されるパラメータの一つ、"form" の値は、horde が稼
動しているサーバへのリモートアクセスに利用できてしまう。スクリプトは、
変数の値が popen() 関数によって実行されるシェルに送られる前に正しい値で
あるか確認しない。結果として、攻撃者が標的となるホストの Web サーバの権
限でアクセスを許してしまう可能性があり、最初に Horde からメールを送るこ
とができるようになる(大抵の場合は認証され、そのためローカルの弱点に分類
される)。"from" フィールドは、このような問題に関係する唯一のパラメータ
である。他の変数はどんなメタ文字を消去する関数によって保護される。

19. EFTP Buffer Overflow Vulnerability
BugTraq ID: 1675
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1675
まとめ:

EFTP は、Khalim Landross が作成した暗号化と通常の 2 種類のファイル転送
機能を提供するフリーウエアの ftp クライアントとサーバのパッケージである。
サーバが 2100 文字以上のリクエストを受信した場合、関係のないデータによ
って上書きされるメモリ領域のため、クラッシュしてしまう。大抵の場合、サ
ーバがクラッシュする。リクエストが巧妙に組み立てられたものである場合、
EFTP を稼動させているサーバ上で任意のプルグラムを実行することが可能であ
る。

20. EFTP Partial Input Denial of Service Vulnerability
BugTraq ID: 1677
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1677
まとめ:

EFTP は、Khalim Landross が作成した暗号化された ftp をサポートする小型
のフリー ftp サーバである。多くの FTP サーバがそうであるように、入って
くるデータバッファの改行文字を基にサーバへのリクエストを分解する。不運
なことに、EFTP は接続が閉じる前に改行文字が全くないリクエストを受け取る
ことが考慮に入れられてないため、そういったリクエストがなされた場合、予
期できない振る舞いをしてしまう弱点がソフトウエアに残ったままである。ク
ライアントが ftp サーバに接続し、"リクエストを終了する"ための改行文字を
含まないデータを送信すると、サーバは DoS 状態に陥ってしまう。

21. Mandrake /perl http Directory Disclosure Vulnerability
BugTraq ID: 1678
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1678
まとめ:

Mandrake Linux 6.1 から 7.1 に含まれて出荷されている一連のmod_perlのデ
フォルトの設定ファイルには、ある状況ではセキュリティ上の懸念となる設定
ミスがある。/perl ディレクトリは、Perl スクリプトを保存するために使われ
る Web サーバの Web ドキュメント用のルートディレクトリツリー(Web サーバ
上でファイルにアクセスできるサブディレクトリツリー)の一部である。Apache
の perl インタプリタモジュールである mod_perl の設定ファイル中に、この
ディレクトリは"indexed"に制限されている。この"indexed"の意味することは、
Web サーバは Web サーバ自身からリクエストを受けた場合、ディレクトリの内
容を表示するということである。その結果、攻撃者は /perl 中のファイルが何
かを知ることができる。このバグはどのように Web サーバがディレクトリ中の
ファイルを解釈するかには関係がないが (例. まだ実行中である)、そこで何が
実行されているかを知ることは、スクリプトのリストから弱点のあるスクリプ
トに的を絞ったより知的な攻撃をするために有益である。

22. IMP File Disclosure Vulnerability
BugTraq ID: 1679
リモートからの再現性: あり
公表日: 2000-09-12
関連するURL:
http://www.securityfocus.com/bid/1679
まとめ:

IMP は PHP のスクリプト群からなる、IMAP を利用した Web メールを提供する
システムである。特定のバージョンの IMP は、IMP が攻撃者にメールを送付し
てしまうことにより、攻撃者がサーバ内のファイルを入手でき得てしまえる問題
がある。

この問題はユーザが与えた価が PHP スクリプトに渡されてしまうために生じる
ものである。問題となるスクリプトは、通常、IMP を使う上で、添付ファイル
を追跡するためのあらかじめ定義されている変数を用いる前提がある。
これに関連する変数は以下が典型的な例である。

 attachments_name[]

この変数には通常メールの受け取り手が読み取ることができないファイルをユー
ザによって指定可能なのである。この行為は IMP を実行させているユーザ権
限で行われる。読み取ることができる条件は IMP を実行させているユーザ権
限に依存する問題である。攻撃者へファイルを添付して送り出せてしまう問題
に付け加えるならば、IMP は添付した後に、ファイルを unlink するのである。
もしこの対象となったファイルが IMP を実行しているユーザによって書き込み
可能な場合、ファイルは削除されてしまう。

23. Jack De Winter WinSMTP Buffer Overflow Vulnerability
BugTraq ID: 1680
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1680
まとめ:

Jack De Winter氏による　Win SMTP デーモンの SMTP および POP3 コンポー
ネントには数多くの未チェックのバッファがあり、DoS 、あるいは与えられた
データによっては意図的なコードの実行をもたらす問題がある。

約 170 バイトを越える HELO コマンド、約 370 バイトを越える USER コマン
ドを与えた場合、Windows 一般保護エラー(訳注: ワトソン博士の起動)を生じ
る。

24. Netegrity SiteMinder Authentication Bypass Vulnerability
BugTraq ID: 1681
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1681
まとめ:

Netegrity 社が提供する SiteMinder ソフトウェアはサーバ上にある Web コ
ンテンツにアクセスコントロールを提供するよう設計されている。
しかし、特別に改ざんされた URL を与えることによって、未認証のクライア
ントが保護されているコンテンツへ読みだし権限を得られ、あるいは、保護さ
れたコンテンツの実行ができてしまえるのである。

もし URL が目的とする URL に続けて '/$/nonexistantfile.ext' を付けて
与えられた際、サーバはプロンプトを出力することなく、あるいは、なんら
認証を求めることなくリクエストされたコンテンツをクライアントを返して
しまうのである。存在しないファイルの拡張子はチェックされ、.ccc, .jpg
についてのみ、それがチェックされることが判明できている。

なお、保護されているコンテンツが CGI アプリケーションである場合、付け
加えられる文字列の前に変数と価が指定される。もし、価が指定されなかった
場合には、サーバは CGI のソースを返してしまう。

25. HP OpenView Network Node Manager Config Scripts Vulnerability
BugTraq ID: 1682
リモートからの再現性: 未詳
公表日: 2000-09-12
関連するURL:
http://www.securityfocus.com/bid/1682
まとめ:

HP が発表したアドバイザリ、HPSBUX0009-120 によると、OpenView NNM に含
まれるデータベース設定用スクリプトにはセキュリティ上不十分な点があり、
ログイン時にユーザに不正な権限を取得させてしまえる問題がある。

26. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability
BugTraq ID: 1683
リモートからの再現性: あり
公表日: 2000-09-14
関連するURL:
http://www.securityfocus.com/bid/1683
まとめ:

デフォルト状態で、Microsoft Windows 2000 に付属する telnet クライアン
ト (telnet.exe) は Windows NT Challenge/Response (NTLM) を認証手段に用
いている。このクライアントがホストとコネクションを確立する際、NTLM で
の認証を、telnet サーバが Windows telnet サーバかどうかには関係なく、
試みてしまう。このため、NTLM challenge/response セッションはモニタ可能
で、ユーザ名、パスワード、ドメイン等の重要な情報を漏洩させてしまう様に
クラック可能である。
NTLM challenge/response プロトコルはブルートフォース攻撃を、例えば
"L0phtcrack" に代表されるツールを用いて、受ける可能性がある。

リモートのターゲットで telnet セッションを強制的に開始できる事は、
可能性があり得る問題である。例えば、Microsoft Internet Explorer,
Outlook (Express), Netscape Navigator といった製品は自動的に "telnet://"
という資源名が付いた URL を自動的にデフォルトの telnet クライアント
(通常、telnet.exe である) でアクセスするからである。
以下はアクセスされたサーバによって、telnet セッションが開始される例を
示したものである。

1)

<html>
<frameset rows="100%,*">
<frame src=about:blank>
<frame src=telnet://target>
</frameset>
</html>

2)

<html>
<head>
<meta http-equiv="refresh" content="0;URL=telnet://target">
</head>
</html>

3)

<script>window.open("telnet://target")</script>


27. Sambar Server (BETA) Search CGI Vulnerability
BugTraq ID: 1684
リモートからの再現性: あり
公表日: 2000-09-15
関連するURL:
http://www.securityfocus.com/bid/1684
まとめ:

Sambar サーバは Sybase Open Client/Open Server に続く、three-tier 方式
の通信インフラストラクチャも出るをテストするために設計されたソフトウェ
アである。これは、HTTP プロトコルスタックへの追加により、WWW で配布され
るコンテンツの動的配送を平滑化するインフラストラクチャという概念を元に
しており、HTTP 経由で既存のユーザへの通知機能を提供するために効果的な結
果が得られる、というものである。

元々このソフトウェアは Sun Workstation (UNIX) で開発され、PC 環境 (Win32)
へ移植され、商業目的でライセンスが提供されている。1996年の終わりに完全に
基本的なコードが書き直しされた後、様々な機能が追加され、1997 年 2 月に
バージョン 3.0 が提供開始されている。また、バージョン 4.0 は 1997 年の
5月半ばに提供開始されている。

このソフトウェアの特定のベータバージョンの search.dll には、リモートの
攻撃者が SAMBAR Server の内容、例えばメールフォルダを参照できてしまえる
問題がある。なお、現在利用できる情報によると、この問題はこのソフトウェア
の「ベータ」版に含まれる問題であることが強調されている。

28. CamShot Remote Buffer Overflow Vulnerability
BugTraq ID: 1685
リモートからの再現性: あり
公表日: 2000-09-15
関連するURL:
http://www.securityfocus.com/bid/1685
まとめ:

CamShot は Windows 95/98/NT/2000 で動作する Web サーバであり、ビデオカ
メラで撮影された時刻暦付き画像を Web ページとして提供するソフトウェア
である。画像は Web ブラウザを用い、ネットワーク上のいかなる場所からで
も参照可能である。このソフトウェアは Video for Windows 互換の画像取り
扱い操作が可能である。
このソフトウェアの特定の試供版では、認証用パスワードとして非常に長い文
字列が与えられることによりバッファオーバーフローがリモートから引き起こ
し可能である問題を抱えている。

なお、同様の問題が商業版でも生じるかどうかについては未詳である。

29. FreeBSD Eject Local Root Vulnerability
BugTraq ID: 1686
リモートからの再現性: なし
公表日: 2000-09-13
関連するURL:
http://www.securityfocus.com/bid/1686
まとめ:

eject コマンドにはローカルのユーザが root 権限をバッファオーバーフロー
を用いることで奪取する可能性がある、攻撃可能なバッファがある。

30. Pine Malformed Header Denial of Service Vulnerability
BugTraq ID: 1687
リモートからの再現性: あり
公表日: 2000-09-13
関連するURL:
http://www.securityfocus.com/bid/1687
まとめ:

Pine は UNIX のコンソールで利用可能な最も著名な電子メールクライアントで
ある。改ざんされた X-Keywords ヘッダ (このヘッダは電子メールのヘッダの一
部として取り扱われる)(訳注: X- で始まっているため、拡張ヘッダの一種です)
を含むメールボックス内のメッセージに、pine がアクセスした際、メールボッ
クス内のファイルを解釈しようと試みる時点でクライアントは何ら停止理由をユー
ザへ示すことなく、クラッシュしてしまう。
この結果、悪意ある改ざんされたヘッダを持つメッセージが削除されるまで、
電子メールの受信者は DoS 状態に陥れられてしまう。

III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Cyber SpyHunt
著者: Kevin Poulsen
September 18, 2000

現在の情報化時代の中で、最大のコンピュータセキュリティ事象の根幹を揺る
がすかもしれない可能性として、McCarthy と Hoover の考え方が情報ハイウェ
イ上をさまよっているのに気付くだろう。例えば市街地でふらふら歩くヒッチ
ハイカーの様に。行方知れずの行き先を示す親指で方向を示し、ドライバーが
減速し、乗せるかどうかを希望という名のフィルム越しに見渡しながら決める
様に。

不運にも、それは請願であり、司法制度が進めようとしていることであり、
助手席側のドアを開け、尋ねることなのだ。「行き先はどこなんだい?」

http://www.securityfocus.com/templates/article.html?id=87

2.White House Flunks Back
著者: Kevin Poulsen
September 13, 2000

ワシントン発:

この水曜日に、議会での連邦部局のコンピュータセキュリティについて、十分で
はないという苦情に値するという指摘という、最大限の援軍をクリントン大統領
は得た。

「連邦政府は議会へ今後 2 年間に渡る(コンピュータセキュリティに関する)
予算配分を求めるものである。以前の 2 年間に渡り、議会は拒否しつづけて来
たのである。」と、ホワイトハウスの National Security Council において、
インフラストラクチャについての保護、コンピュータテロに対してセキュリティ
に関する国家機関におけるコーディネータを勤める Richard Clarke は語って
いる。「一体、どのようなグレードを議会に示せばよいのだろうか?」

http://www.securityfocus.com/templates/article.html?id=85

3. Panel: 'Cyberweapons' Control Needed
著者: Kevin Poulsen
September 12, 2000 3:46 PM PT

ワシントン発:

悪意あるコンピュータプログラムの国際的な広がりはこの 2 年間において非常
に増加した。そして、法務当局へもコンピュータ犯罪への対応において効果的
なツールをもたらす事につながっている。これはこの火曜日にワシントンで開
かれた InfowarCon 2000 で発表した米国およびヨーロッパの担当官の発表に
依るものだ。

http://www.securityfocus.com/templates/article.html?id=84

4. Microsoft Cookies Jump Domains

著者: Kevin Poulsen
September 12, 2000 1:44 AM PT

Microsoft 製の最新の Interlet Explorer ベータ版でのプライバシ拡張は、
企業が MSNBC.com, Expedia, bCentral 等の Web サイトへの訪問者のアクセ
ス履歴を追跡し続け始めるのに用いられた隠蔽技術から利用者を保護しない
ことが明らかになった。

http://www.securityfocus.com/templates/article.html?id=83

5. Coming Out Party

By Kevin Poulsen
September 11, 2000 6:03 AM PT

1,334 件以上もの米国特許が 17 年間の有効期間を満了し、9月20日で期限切
れを生じる。これは米国にとって手放しの喜びではない。
特許が繰り返される電話の呼び出し音を小さくする例であれば、それは誰に対
してでもライセンス費用なしに利用価値があるものであり、特にシャンパンで
祝われる筋のものではないだろう。しかし、組み合わされた義歯の蝋を溶かし、
虫歯の穴を治療する特許、音声信号の歪みに対する回路に関する特許、酢酸エ
ステルを作成する処理プロセスについての特許については、特許の名誉が公開
されるにあたり、紙ふぶきでたたえられる程ではないものの、一般へすべて公
開されるであろう。

しかし、米国特許番号 4,405,829 "Cryptographic Communications System And
Method" については異なる取り扱われ方をするだろう。

http://www.securityfocus.com/templates/article.html?id=82


IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------

1. Ethereal 0.8.12
(AIX, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, SCO, Solaris and
True64 UNIX)
作者: Gerald Comb (gerald@zing.org)
関連するURL:
	http://ethereal.zing.org/

Etherreal はネットワークプロトコルアナライザ、あるいはいわゆる「スニファ」
であり、ネットアーク上のパケットの内容を対話的に参照し、取り出しできる
ツールです。このプロジェクトのゴールは、 UNIX プラットフォーム向けへ商業
品質のパケットアナライザを提供することで、いかなるプラットフォームにおい
ても、最も価値あるソフトウェアとなることです。Erherreak は現在、圧縮 Sniffer
ファイルフォーマットを解釈可能です。RTP, IP, ISAKMP, ICMP, SMB, SMB-PIPE,
VTP, SNMPv3, Ethernet, GRE, EIGRP, DHCP, IPX, X.25, RSVP, L2TP 用の解析
部が更新され続けています。また、Mobile IP と COPS についても追加されまし
た。
解析部の API はよりエラー回避可能で、頑丈なプログラムを提供するために劇的
に変更されました。しかし、新しい API への解析部の変更は現在進行中です。
syslog, X11, CLZTP プロトコルの解析機能がサポートされました。
Etherreal は NetXRay 2.002 形式のファイルと Linux ATX インタフェースから
の入力を受け付け可能です。Win 32 バージョンでは "Update list of packets
in real time" 機能が提供されています。

2.ShadowSecurityScanner 1.01.001
(Windows 2000, Windows 95/98 and Windows NT)
作者: RedShadow, red@rsh.kiev.ua
関連するURL:
	http://www.rsh.kiev.ua

新バージョンの ShadowSecurityScaner では以下がアップデートされています。
1. スキャナの本体が完全に書き直されました。
2. 基準となるフォーマットが変更されました。
3. 新しい基準により追尾可能性が改善されました。
4. インタフェースが変更されました。
5. オプションがより広範囲になりました。
6. NetBios コントロールが Windows 9x 下でも動作する用になりました。
7. ホスト一覧についての確認可能性が追加されました。
8. 以前のバージョンで発見された不具合が改善されました。
9. ユーザの Netbios パスワードをチェックする新しい手段が提供されました。
10. パスワード一覧からユーザのパスワードをチェックする機能が提供されま
    した。

3. Lsof 4.51
(AIX, BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, IRIX, Linux,
NetBSD, OpenBSD, SCO, Solaris, SunOS and Ultrix)
著者: Vic Abell (abe@purdue.edu)
関連するURL:
	http://www.securityfocus.com/tools/1008

Lsof は UNIX 用の解析ツールです。この名の由来は LiSt Open Files で、
その名の通りの動作をします。現在システム上で動作しており、プロセスによっ
て開かれているファイルについて、情報を列挙します。
今回、NetBSD Alpha サポートが追加され、Solaris Kernel アドレスフィルタ
リングが追加されました。/dev/kmem を利用する Linux, Solaris, BSDI, FreeBSD,
NeXTSTEP, OpenBSD, OpenStep についての処理が修正されました。64 bit ファ
イル長とオフセットが BSDI, FreeBSD, NetBSD, OpenBSD 向けにサポートされ
ました。Solaris 9 (SunOS 2.9) と Linux 2.4 のサポートが追加され、バグが
修正されました。

4. Wrapper v2 (Linux, Solaris and UNIX)
作者: Joe Zbiciak (im14u2c@primenet.com)
関連する URL:
	 http://cegt201.bradley.edu/~im14u2c/wrapper/

このラッパープログラムは、コマンドライン引数、あるいは不適切に特定の環
境変数を信頼してしまうためにバッファオーバーフローを起こす可能性がある
suid/sgid プログラムを保護するために開発されました。
このラッパーは競合状態 (race-conditions) は修正しません。また、他のバグ
や問題についての手助けも行いません。

5. Winfingerprint 2.2.8
(Netware, Windows 95/98 and Windows NT)
作者: Kirby Kuehl (vacuum@technotronic.com)
関連するURL:
	http://www.technotronic.com/winfingerprint/

これは、最先端のリモートにある Windows OS を検知するツールです。
最新機能: SMB クエリから PDC(プライマリドメインコントローラ)、
BDC(バックアップドメインコントローラ) NT メンバーサーバ、
NTワークステーション、SQLサーバ、NOVELL Netwareサーバ、
Windows For Workgroups、Windows 9x、Administrative ($)を含むユーザ管理
サーバ、情報共有サーバ 、グローバルグループグループ・ユーザ管理サーバ、
稼働中のサービスの表示、ネットワークコンピュータ上のホストへスキャン、
NULL IPC$ セッションの確立、レジストリクエリー(現時点では、適用された
サービスパックと Hotfilx まで分かります)を 転送、取得日・時間によって
判断することができます。
変更点: 一覧作成、共有、グループ、ユーザ、サービス一覧、トランスポート、
時間、OS バージョンの判定、サービスパックおよび hotfix の適用状態、
HTML 出力が変更されています。

6. OpenSSL 0.9.5a
(UNIX and Windows NT)
作者: OpenSSL Project
関連するURL:
	http://www.openssl.org/

OpenSSL プロジェクトは頑丈で、商業品質で、すべての機能を含み、オープン
ソース形態のツールキットを Secure Sockets Layer (SSL v2/v3) 、
Transport Layer Security (TLS v1) プロトコルの実装として、成果物を全
世界レベルで利用可能な暗号強度で開発しました。
このプロジェクトは、このソフトウェアについての関連するやり取り、計画、
開発、関連文書の作成にインターネットを利用している世界中のボランティ
アによって運営されています。
OpenSSL は洗練された SSLeay ライブラリを元にしており、Apache 形式の
ライセンスに基づいています。

- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki

iQA/AwUBOcvgjJQwtHQKfXtrEQIJbQCfQaLnzfcRRQ7VPLotTeIkhKJBHvQAnjKU
CAsIA6YQA5KclpRNaV5dIPP3
=j3DQ
-----END PGP SIGNATURE-----