SecurityFocus.com Newsletter #62-02 2000-10-05->2000-10-12
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 62 号(その2)の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- --------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- --------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.21.0010160932220.22928-100000@mail>
Date: Mon, 16 Oct 2000 09:34:26 -0700
SecurityFocus.com Newsletter #62(その2)
- ---------------------------------------
I. FRONT AND CENTER
1. Intrusion Detection Focus Area: Abnormal IP Packets
2. The Crux of NT Security - Phase One: The Approach
II. BUGTRAQ SUMMARY
1. BSD talkd Remote Format String Vulnerability
2. WQuinn QuotaAdvisor 4.1 Directory Listing Disclosure Vulnerability
3. BSD Weak initial Sequence Number Vulnerability
4. Netscape iPlanet iCal 'xhost -' Vulnerability
5. Netscape iPlanet iCal 'iplncal.sh' Permissions Vulnerability
6. Netscape iPlanet iCal 'csstart' Vulnerability
7. Boa Webserver 0.94.2.x File Disclosure Vulnerability
8. Evolvable Shambala Server 4.5 Plaintext Password Vulnerability
9. Armada Master Index Path Traversal Vulnerability
10. PHPix Directory Traversal Vulnerability
11. Extropia WebStore Directory Traversal Vulnerability
12. HP JetDirect Multiple DoS Vulnerabilities
13. Bytes Interactive Web Shopper Directory Traversal Vulnerability
14. Hassan Consulting Shopping Cart Directory Traversal Vulnerability
15. Evolvable Shambala Server 4.5 DoS Vulnerability
16. Big Brother Arbitrary Shell Command Execution Vulnerability
17. Microsoft Windows 9x / Me Share Level Password Bypass Vulnerability
18. Microsoft Windows 9x / Me IPX NMPI Packet DoS Vulnerability
19. CGI Script Center Auction Weaver Arbitrary File Deletion Vuln
20. CGI Script Center Auction Weaver Username / Bidfile Directory...
21. Aplio Internet Phone Arbitrary Command Execution Vulnerability
22. Tmpwatch Arbitrary Command Execution Vulnerability
23. PHP Error Logging Format String Vulnerability
24. Netscape Messaging Server Email Address Verification Vulnerability
25. Shred File Wiper Insecure File Deletion Vulnerability
26. All-Mail Buffer Overflow Vulnerability
27. FTPPro Information Disclosure Vulnerability
28. BDash 0.31 Buffer Overflow Vulnerability
29. CommuniGate Pro Email Address Verification Vulnerability
30. Microsoft Internet Explorer Cached Web Credentials Disclosure Vuln
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Cybersecurity Plan Powers Up
2. Who Wrote This Headline?
3. Hundreds Hack SDMI
IV.SECURITY FOCUS TOP 6 TOOLS
1. Multiscan 0.8
2. Calamaris 2.39
3. Linux Intrusion Detection System (LIDS) 1.0.2 for 2.4.0-test
4. RegDACL
5. Secure Export System 0.0
6. WWWHack 1.946
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. BSD talkd Remote Format String Vulnerability
BugTraq ID: 1764
リモートからの再現性: あり
公表日: 2000-10-05
関連するURL:
http://www.securityfocus.com/bid/1764
まとめ:
talkd はクライアント-サーバ型アプリケーションであり、数多くの UNIX 系
OS でネットワーク内のホスト間のユーザコミュニケーションに用いられてい
るツールである。
古い Linux のディストリビューション、および OpenBSD (他の UNIX でも同
様の問題を抱える版を提供している可能性がある) に含まれる talkd は書式
指定子を利用した攻撃を受けてしまう弱点を持つ。
talk クライアントが talk サーバへ接続し、ユーザからのリクエストを受け
付ける際、talkd (サーバプログラム) はユーザがメッセージを受け付けられ
る状態かどうかをチェックする。もし、受け付けられる状態ならば、ユーザの
端末へ username@hostname がチャットを希望している、とメッセージを表示
すのである。この表示機能は fprintf() 関数で提供され、クライアントへは
書式付文字列の一部としてデータが与えられている。
announce.c 内にある fprintf() 関数の使われ方は、talk を希望してきたユー
ザのユーザ名とホスト名を書式付文字列として引数へ代入する方法である。
talk を希望してきたユーザのユーザ名はクライアントによって送り出された
データグラム内に含まれている。攻撃者にとっては talk クライアントを改変
可能であるがため、ユーザ名に書式指定子を含んだ悪意ある文字列を含めて送
り出すことができてしまい、リモートにあるサーバ側のプロセスのスタックを
上書きでき得てしまうのである。
この問題を利用し、意図的なコードをリモートから実行可能であり、root 権限
の奪取に繋がる可能性がある。
現在、talkd は OpenBSD でデフォルトで利用可能である。それぞれの talkd
がユーザの端末に表示を行う方法の実装が実際には異なるが、NetBSD も同様
の問題を抱えていると考えられる(未検証)。FreeBSDも同様にこの問題を突い
た攻撃に対して弱点を抱えていると考えられる。
2. WQuinn QuotaAdvisor 4.1 Directory Listing Disclosure Vulnerability
BugTraq ID: 1765
リモートからの再現性: なし
公表日: 2000-10-06
関連するURL:
http://www.securityfocus.com/bid/1765
まとめ:
管理用権限、あるいは Power User 権限を持たないいかなるユーザであっても
WQuinn QuotaAdvisor 4.1 内の特定のアプリケーションによって処理を実行さ
れる、Windows NT システム上の既知のファイルと格納場所の完全なリストを
読み出すことができる問題がある。
これは「管理共有」以外の領域も含まれる。しかし、この問題を突いた攻撃を
利用しても、ユーザはファイルの内容は読み出せない。
3. BSD Weak initial Sequence Number Vulnerability
BugTraq ID: 1766
リモートからの再現性: あり
公表日: 2000-10-05
関連するURL:
http://www.securityfocus.com/bid/1766
まとめ:
TCP の 3way ハンドシェイクの間(コネクションの初期化中)、接続要求が送ら
れたホストは「初期TCPシーケンス番号」を作成する。この番号はコネクション
の初期化の終わり(final ACK)が『正しい』ホスト(例えば、リクエストを行った
ホストだけがシーケンス番号に1を加算し、応答を返さねばならないが、その様
なホスト)によって終了された際の検証を行うために用いられている。
従前から、リモート(LAN 以外のネットワーク)の TCP コネクションに対する
なりすましは初期シーケンス番号が類推可能であるがために可能であった。
予測可能な原因はシーケンス番号生成のアルゴリズムであった。4.4BSD-Lite2、
およびそれ由来の OS (例えば FreeBSD)では、初期シーケンス番号の生成に「乱
数性」を与えるためのコードが含まれている。しかし、遺憾ではあるが、問題を
抱える BSD 由来の OS で生成された初期シーケンス番号は特定の条件が合致し
た場合、予測可能なのである。以下はこの問題に対する FreeBSD Advisory から
の引用である。
「疑似乱数発生器は単純な線形合同法によるもので、サーバとの正しい接続で得
られた初期シーケンス番号の観測に基づいている。このため、攻撃者は次回の接
続に使われる番号を高い確率で予測可能である。」
そこで、もし攻撃者が攻撃者自身とターゲットとの間の特定の連続し、成立して
いるコネクションを観測できた場合、今後現れる初期シーケンス番号を予想可能
になってしまうのである。この問題と組み合わせることによって、攻撃者は攻撃
対象を、ターゲットのホストのIPアドレスを用いた認証機構へ広げることが可能
である。しかし、この問題を突いた攻撃を成功させるためにはなりすましされた
ホストが停止しているか受け入れを期待されていない SYN-ACK 応答を返さないこ
とが必須である。しかも、ターゲットで提供されているサービス、あるいはアプ
リケーションが利用可能になっており、ホストのIPアドレスを利用した認証機構
のみを利用して認証していることが必須である。
(ホストのIPアドレスのみを利用した認証はなりすましに対して脆弱である
ことは類推できよう)
この問題を突いた攻撃の可能な例として、以下に示すホストのIPアドレスを利用
した認証を利用しているアプリケーションが挙げられる。
Berkeley rサービス: ターゲットがこれらサービスを起動しており、.rhosts
認証が利用できる場合、攻撃者はこの問題を突き、コネクションが信頼された
ホストからのものであるとなりすましを行うのである(この場合、認証は要求さ
れないのである)。なりすましに用いられたホストはターゲットのユーザによっ
て信頼され、.rhosts ファイル内に記述されていなければならない。
また、該当するサービスは停止されているか応答がない状態に、例えば攻撃者
が DoS を行うことで陥らせられていなければならない。
この攻撃が成功した場合、攻撃者は攻撃者の支配下にあるホストをターゲット
のユーザの .rhosts ファイル内に追加でき、パスワード経由の認証を必要とし
ないログインをそれ以降の、正当な TCP コネクションを利用して行える様にな
るのである。
FreeBSD はこの問題の影響を受けると検証済みであり、他の BSD 由来の OS に
ついては未確認である。
4. Netscape iPlanet iCal 'xhost -' Vulnerability
BugTraq ID: 1767
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1767
まとめ:
Netscape 社の iPlanet iCal アプリケーションはネットワーク上で利用可能な、
集中管理されたカレンダーシステムを必要とする組織向けに作成されたソフト
ウェアである。特定のバージョンの iCal にはインストール時にインストール
先の X サーバの認証機構を無効にしてしまうインストール手段が提供されてい
る問題がある。
インストール作業中に GUI を利用することで(文書化された唯一のオプション
である)、設定プロセスは X サーバのアクセスコントロールリスト機能を無効
にする xhost - コマンドを実行してしまうのである。この結果、リモートのユー
ザは X サーバへ接続できてしまい、コネクションを乗っ取り、打鍵をモニタリ
ングでき得る可能性がある。
5. Netscape iPlanet iCal 'iplncal.sh' Permissions Vulnerability
BugTraq ID: 1768
リモートからの再現性: なし
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1768
まとめ:
Netscape 社の iPlanet iCal アプリケーションはネットワーク上で利用可能な、
集中管理されたカレンダーシステムを必要とする組織向けに作成されたソフト
ウェアである。特定のバージョンの iCal にはインストール時に悪意あるロー
カルのユーザが root 権限を奪取でき得てしまうという問題がある。
インストール中に非常に多くのファイルが、どの様なユーザであっても読み書
き可能な状態で放置されてしまうのである。
これらファイルの内、/opt/SUNWicsrv/cal/bin/iplncal.sh は起動時に root
権限で実行され、デフォルトでどの様なユーザであっても読み書き可能である。
このため、ユーザはこのファイルの内容を書き換え、起動時、あるいはターゲッ
トの再起動時に実行されるような設定が可能である。
6. Netscape iPlanet iCal 'csstart' Vulnerability
BugTraq ID: 1769
リモートからの再現性: なし
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1769
まとめ:
Netscape 社の iPlanet iCal アプリケーションはネットワーク上で利用可能な、
集中管理されたカレンダーシステムを必要とする組織向けに作成されたソフト
ウェアである。特定のバージョンの iCal には /opt/SUNWicsrv/cal/bin/csstart
プログラムに問題を抱えている。
このプログラムは、iCal 用の Web を利用したインタフェースを提供するため
に利用される cshttpd へ処理を渡すように設計されている。
問題はユーザが存在するディレクトリ外のディレクトリに cshttpd が指定され
た際の csstart のデフォルトの挙動である。この挙動があるため、悪意あるユー
ザがユーザ自身の cshttpd を自身のディレクトリ内に作成し、そこから csstart
が偽のサーバが実際のサービスであるかのごとく起動される様な処理に繋げら
れるのである。この悪意あるサービスはユーザ権限、icsuser で動作可能であ
り、同様に攻撃者もこのユーザ権限でコマンドを実行可能である。
これは、この icsuser というユーザ ID は iCal ディレクトリとその中のファ
イルの所有者であり、攻撃者は root 権限を攻撃可能な状態に移行可能である。
@ Stake アドバイザリにある例では、iCal ライブラリディレクトリ内に「楔」
ライブラリを置いているが、このライブラリを置くことで、csstart バイナリが
設計されていた状態とは異なり、setuid 権限を落とす設計にもかかわらず、
setuid 権限を敢えて保持する様にさせてしまうのである。
7. Boa Webserver 0.94.2.x File Disclosure Vulnerability
BugTraq ID: 1770
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1770
まとめ:
Boa Webserver の 0.94.8.3 およびそれ以前の版には小規模の問題がある。
不適切な % でエンコーディングされた文字列に対するフィルタリングが存在
するため("/%2E%2E/")、攻撃者は特別に組み立てられた URL を利用しサーバ
内にあるいかなるユーザに対してでも読み出し可能な権限を持つファイルを
参照できてしまえる問題がある。
しかも、設定ファイル /etc/boa/boa.conf に以下の項目がある場合にはロー
カルの資源にアクセスでき、.cgiで終わる実行ファイルを作成できるるユー
ザは Web サーバのユーザ ID でユーザのプログラムを実行できてしまえるの
である。
AddType application/x-httpd-cgi-cgi
なお、この項目はデフォルトではコメント化されている。
8. Evolvable Shambala Server 4.5 Plaintext Password Vulnerability
BugTraq ID: 1771
リモートからの再現性: あり
公表日: 2000-10-09
関連するURL:
http://www.securityfocus.com/bid/1771
まとめ:
Shambala Server は FTP、Web、チャット機能を併せ持つサーバであり、小規模
の事業所、あるいは自宅で営利活動を行うユーザ用のソフトウェアである。
このサーバはサーバ用のパスワードを平文で(デフォルトで)以下の格納先へ格
納している。
C:\Program Files\Shambala\passwords.txt
これらのパスワードはこのソフトウェアのすべてのコントロール権限を取得す
るのに用いられ、もしパスワードが再利用される際には他のサービスの権限も
取得可能である。
9. Armada Master Index Path Traversal Vulnerability
BugTraq ID: 1772
リモートからの再現性: あり
公表日: 2000-07-18
関連するURL:
http://www.securityfocus.com/bid/1772
まとめ:
Master Index は商業製品として提供されているサーチエンジンソフトウェア
である。このソフトウェアの特定のバージョンはパス指定により内容が公開さ
れてしまう問題を抱えている。これはリモートのユーザが Web 用のドキュメ
ント root ディレクトリよりも / 側を Master Index を実行しているユーザ
が読み出せるディレクトリ/ファイルを参照できてしまえるとのことである。
10. PHPix Directory Traversal Vulnerability
BugTraq ID: 1773
リモートからの再現性: あり
公表日: 2000-10-07
関連するURL:
http://www.securityfocus.com/bid/1773
まとめ:
PHPix は Web を利用した PHP で記述された写真アルバムシステムである。
このソフトウェアは悪意あるリモートユーザが、意図したターゲット上のファ
イルを Web サーバのユーザ権限で参照できてしまえるという問題がある。
問題は ../ を含む文字列がユーザによって HTTP 内のリクエスト内で指定可
能であり、それが Web サーバのファイルシステム上のファイルへの参照にも
利用でき得る点なのである。この結果、攻撃者は Web サーバのカレント作業
ディレクトリから相対パスを .. を利用し、ファイルシステム上にある、ター
ゲットとなるファイル名や、HTTPD のプロセスのユーザIDにとって読み出し
可能ないかなるファイルへのパスを指定可能なのである。
なお、この方法により得られる情報はシステムを危険な状態に曝すことをよ
り容易にする。
11. Extropia WebStore Directory Traversal Vulnerability
BugTraq ID: 1774
リモートからの再現性: あり
公表日: 2000-10-09
関連するURL:
http://www.securityfocus.com/bid/1774
まとめ:
Extropia WebStore は電子商取引で利用されるショッピングカート用のアプリ
ケーションであり、エラーハンドリング、注文処理、暗号化メール、フレーム、
Javascript および VBscript 機能を持つソフトウェアである。
しかし、このソフトウェアの web_store.cgi には null が与えられた際の境界
の取り扱いが $file_extension 変数で適当ではない問題がある。
例えば、もし以下に示す URL が要求された場合、指定されたファイルはユーザ
に送られることはない。
http://target/cgi-bin/Web_Store/web_store.cgi?page=../../../path/filename.ext
しかし、エスケープ文字 %00 を利用することで、指定されたファイルへのアク
セスは問題なくできてしまえるのである。
http://target/cgi-bin/Web_Store/web_store.cgi?page=../../../path/filename%00ext
この様にファイルが入手であるがため、リモートの攻撃者はいかなる既知のファ
イルへの読み出しが可能となる。
12. HP JetDirect Multiple DoS Vulnerabilities
BugTraq ID: 1775
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1775
まとめ:
HP JetDirect firmware の FTP、telnet、lpd 機能は複数のバッファオーバー
フローを起こす問題を持っている。付け加えるならば、この装置の IP の実装
は特定の改ざんされたパケットへの十分な対応ができていないのである。
問題の程度にも依るが、この問題を突いた攻撃が成功した場合、装置へのDoS
やファームウェアの破壊を招く可能性がある。
この装置を通常動作へ復旧させるためにはファームウェアの入れ替えが必要で
ある。
13. Bytes Interactive Web Shopper Directory Traversal Vulnerability
BugTraq ID: 1776
リモートからの再現性: あり
公表日: 2000-10-08
関連するURL:
http://www.securityfocus.com/bid/1776
まとめ:
Bytes Interactive Web Shopper は XML を利用したショッピングカートアプ
リケーションである。
newpage 変数は .. を利用したセキュアではない相対パス指定に対する境界チェッ
クが適当に行われていない。
例えば、以下に示す URL へのリクエストはファイルを入手できてしまえるの
である。
http://target/cgi-bin/shopper.cgi?newpage=../../../path/filename.ext
この問題を突いた攻撃が成功した場合、リモートの攻撃者はいかなる既知の
ファイルへの読み出しアクセスが可能になる。
14. Hassan Consulting Shopping Cart Directory Traversal Vulnerability
BugTraq ID: 1777
リモートからの再現性: あり
公表日: 2000-10-07
関連するURL:
http://www.securityfocus.com/bid/1777
まとめ:
Hassan Consulting Shopping Cart で用いられている $page 変数には、
.. を利用したセキュアではない相対パス指定に対する境界チェックが適当に
行われていない。このため、以下に示した URL へのリクエストは指定された
ファイルの表示を招いてしまう。
http://target/cgi-bin/shop.cgi/page=../../../path/filename.ext
この問題を突いた攻撃が成功した場合、リモートの攻撃者はいかなる既知の
ファイルへの読み出しアクセスが可能になる。
15. Evolvable Shambala Server 4.5 DoS Vulnerability
BugTraq ID: 1778
リモートからの再現性: あり
公表日: 2000-10-09
関連するURL:
http://www.securityfocus.com/bid/1778
まとめ:
Shambala Server は FTP、Web、チャット機能を併せ持つサーバであり、小規模
の事業所、あるいは自宅で営利活動を行うユーザ用のソフトウェアである。
このソフトウェアの FTP サーバコンポーネントでは特定の入力されるコネク
ションとコネクション切断要求に対して適当な境界チェックが行われていない。
この問題を突いた攻撃が成功した場合、このソフトウェアが提供しているサー
ビスのサービス停止を招き、通常動作への復旧は再起動が必要となる。
16. Big Brother Arbitrary Shell Command Execution Vulnerability
BugTraq ID: 1779
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1779
まとめ:
Big Brother ネットワークモニタの 1.5c2 以前のバージョンには問題がある。
問題があるバージョンではユーザが与えた文字列内の & について、適切なフィ
ルタリングがなされていないため、意図したシェルから実行されるコマンドを
サーバを実行しているユーザIDで実行できてしまえるのである。この結果、リ
モートの攻撃者はサーバを実行しているホストのローカル環境へアクセスでき
てしまえるのである。
17. Microsoft Windows 9x / Me Share Level Password Bypass Vulnerability
BugTraq ID: 1780
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1780
まとめ:
ファイルおよび印刷機能のための共有パスワードが、Windows 95/98/Me では
バイパスされ得るという問題が発見された。
Windows 9x/Me 環境でピア-to-ピアネットワーク環境を利用できるために、
共有レベル、というアクセス手段が提供されている。
この機能は資源へのアクセスを許可、拒否するためにパスワードに依存した
保護機能を頼っている。しかし、ファイルおよび印刷機能のセキュリティ実
装上の欠陥のため、リモートの攻撃者はパスワードのデータ長をプログラム
的に変更することで完全なパスワードを入力しなくても保護された資源への
アクセスができてしまえるのである。
この欠陥は NetBIOS の共有レベルのアクセスを管理するパスワードの検証
機能の実装に依るものである。
パスワード長はパスワード検証処理の間、与えられたデータの長さと比較さ
れる。もしパスワードがプログラム的に 1 バイトに設定されているならば、
最初の 1 バイトのみが検証される。そこで、もしもリモートの攻撃者が正
確にターゲット上のパスワードの最初の 1 バイトを類推できる場合、共有
レベルで保護された資源へのアクセスは許可されてしまうのである。
Windows 9x のリモート管理機能も同様にこの問題の影響を受ける。これは
同一の認証スキームを利用しているからである。
この問題を突いた攻撃が成功した場合、ファイルあるいは印刷機能内のファイ
ルの入手、改変、追加、削除が可能になる。
18. Microsoft Windows 9x / Me IPX NMPI Packet DoS Vulnerability
BugTraq ID: 1781
リモートからの再現性: あり
公表日: 2000-10-10
関連するURL:
http://www.securityfocus.com/bid/1781
まとめ:
MWLink (これは Microsoft Windows が Novell station と相互接続できる様に
する機能である) が Windows 9x あるいは Me で設定されている場合、ネット
ワーク内の帯域を使い尽くす位にまでブロードキャストストームを生成でき、
あるいは、ターゲットのコンピュータを停止可能な状態を引き起こし可能であ
る。
IPX/SPX (Internetworked Packet Exchange/Sequenced Packet Exchange) は
NWLink によって実装されているプロトコールであり、ネットワークにブロー
ドキャスト宛のメッセージを非常に多く出力する。NMPI (Netbios Name Management
Port Interface)は IPX を利用してダイレクトホスティングが実装されている
際、NetBIOS の置換えとして利用される機構である。
Windows 9x および Me は NMPI パケットについて、ソースネットワークアド
レスとディスティネーションアドレスに同一の値が含まれているかどうかにつ
いての適当な境界チェックを行っていない。このため、この種のパケットを作
成することで、問題を抱えるコンピュータはブロードキャストアドレスへ答え
様とするため、ネットワーク全体に対して、ブロードキャストストームを発生
できてしまえるのである。
ある 1 個の改ざんされた NMPI パケットがネットワーク状態を瞬時に輻輳さ
せる要因となり得、しかも、これらパケットを繰り返し送ることで、ネットワー
クの長期の利用停止を招く結果になるのである。
IPX は Windows 9x あるいは Me のデフォルトでは、インストール時にプラ
グアンドプレイ機能を実装したネットワークカードを搭載した Windows 95
以外に選択されていない。
19. CGI Script Center Auction Weaver Arbitrary File Deletion Vulnerability
BugTraq ID: 1782
リモートからの再現性: あり
公表日: 1980-10-12
関連するURL:
http://www.securityfocus.com/bid/1782
まとめ:
Auction Weaver は特定のフォームフィールド内の内容チェックを適当に行って
いない。このためいかなるリモートのユーザであっても意図するファイルやディ
レクトリの削除を .. を用いて実行可能である。この問題が影響するファイルや
ディレクトリは Web ドキュメントルートディレクトリ外も含まれる。
ディレクトリ内を完全に消去する処理中、サブディレクトリの消去に失敗する。
しかし、サブディレクトリより上側の階層のいかなるファイルは、失敗すること
なく削除される。
20. CGI Script Center Auction Weaver Username / Bidfile Directory Traversal Vuln
BugTraq ID: 1783
リモートからの再現性: あり
公表日: 1980-10-12
関連するURL:
http://www.securityfocus.com/bid/1783
まとめ:
CGI スクリプト、Center Auction Weaver を実行しているシステムではリモー
トのユーザがいかなる正当な権限を持たない場合であっても、システム内の既
知のファイルの内容を参照できてしまえる問題がある。
username と null キャラクタで埋められている bidfile と呼ばれるフォーム
フィールドを仲立ちに、.. を利用した参照方法を使って意図したファイルへの
読み出しアクセスが可能である。
21. Aplio Internet Phone Arbitrary Command Execution Vulnerability
BugTraq ID: 1784
リモートからの再現性: あり
公表日: 2000-10-06
関連する URL:
http://www.securityfocus.com/bid/1784
まとめ:
Aplio が提供する IP phone (リリース 2.0.33 ビルド #1) には弱点が存在す
る。デバイスに送られた URL は、シェルのメタ文字が適当に処理されない。
このため、リモートから攻撃者にホストデバイス上で任意のシェルコマンドが
実行されてしまう可能性がある。また、このデバイスの仕組みに精通した攻撃
者であれば、DoS を実行できる可能性があり、また、通常の動作を妨害する可
能性がある(呼び出しの妨害などが考えられる)。
22. Tmpwatch Arbitrary Command Execution Vulnerability
BugTraq ID: 1785
リモートからの再現性: なし
公表日: 2000-10-06
関連する URL:
http://www.securityfocus.com/bid/1785
まとめ:
Unix 系システムで利用されている、一時ファイルを自動的に削除するユーティ
リティ、Tmpwatch には弱点が存在する。Tmpwatch に付随するコンポーネント
の fuser は system() ライブラリ関数呼び出しの引数を適切に処理しない。
このため、攻撃者がシェルのメタ文字を含んだ悪意ある形式の名前がつけられ
たファイルを生成し、-fuser がこのファイルに実行された場合、攻撃者は任意
のコマンドを実行できる。また、もし Tmpwatch が root 権限で実行されてい
る場合、root 権限を奪取するために利用される可能性がある。
23. PHP Error Logging Format String Vulnerability
BugTraq ID: 1786
リモートからの再現性: あり
公表日: 2000-10-12
関連する URL:
http://www.securityfocus.com/bid/1786
まとめ:
PHP は、多くの Web サイトで利用されている CGI アプリケーションのために
設計されたスクリプト言語である。PHP 4.0.3 以前のすべてのバージョンには、
リモートから攻撃可能な書式付文字列に対する問題が存在する。
問題は、プログラムコード中のエラーログの採取を扱う部分に存在し、また、
"php.ini" 設定ファイルでエラーログの採取が可能になっている場合、表面化
する。エラーが PHP によって引き起こされたとき、ユーザから入力されたデー
タを含んだ文字列がフォーマット文字列の引数 (log_message 変数) として
php_syslog() 関数 (この関数は *printf 関数を利用している) に渡される。
そのため、悪意あるユーザは、エラーメッセージの一部として php_syslog()
に渡される文字列に不正なフォーマット指定子を埋め込むことが可能である。
これが *printf 関数によって解釈されたとき、埋め込まれた指定子がプロセ
スがプロセス自身のスタック変数を任意のデータで上書きする原因となる。こ
のため、攻撃者は Web サーバの権限で標的となるホストにリモートからアクセ
スすることが可能となる。
エラーログの採取は、PHP が付随しているシステムで、デフォルトで利用可能
かどうかは不明である。
24. Netscape Messaging Server Email Address Verification Vulnerability
BugTraq ID: 1787
リモートからの再現性: あり
公表日: 2000-10-11
関連する URL:
http://www.securityfocus.com/bid/1787
まとめ:
Netscape Messaging Server に接続を試みている最中に、無効なパスワードが
有効な電子メールアドレス対して入力された場合、パスワードが正しくありま
せん(the password is incorrect)というエラーメッセージが表示される。
しかし、無効な電子メールアドレスを入力したとき、返されるエラーメッセー
ジは、指定された電子メールアドレスは無効であるという内容である。
返されるエラーメッセージが違うため、電子メールアドレス収集者は有効な電
子メールアドレスの一覧を手に入れることが可能である。
以下は両エラーメッセージの違いの例である。
[user@ ~]$ telnet target 110
Trying target...
Connected target (target).
Escape character is '^]'.
+OK target POP3 service (Netscape Messaging Server 4.15 Patch 1
(built Mar 15 2000))
USER test.user
+OK Name is a valid mailbox
PASS password
- -ERR Password incorrect
quit
+OK
Connection closed by foreign host.
[user@ ~]$ telnet target 110
Trying target...
Connected to target (target).
Escape character is '^]'.
+OK target POP3 service (Netscape Messaging Server 4.15 Patch 1
(built Mar 15 2000))
user invalid.user
+OK Name is a valid mailbox
PASS password
- -ERR User unknown
quit
+OK
Connection closed by foreign host.
25. Shred File Wiper Insecure File Deletion Vulnerability
BugTraq ID: 1788
リモートからの再現性: なし
公表日: 2000-10-06
関連する URL:
http://www.securityfocus.com/bid/1788
まとめ:
Linux や 一般的な Unix のためのファイルを完全に消去するユーティリティで
ある Shred v1.0 に問題が存在する。ユーティリティのバッファに貯えられた
出入力を扱う処理にある問題がある、適切にデータを上書きすることに失敗す
る。そのため、 Shred によって処理されたファイルは特定のディスクユーティ
リティで復旧可能のままである。
26. All-Mail Buffer Overflow Vulnerability
BugTraq ID: 1789
リモートからの再現性: あり
公表日: 2000-10-12
関連する URL:
http://www.securityfocus.com/bid/1789
まとめ:
All-mail は、Nevis Systems が提供する Windows NT/2000 プラットフォーム
で稼動する smtp サーバである。これには、攻撃者が犠牲となるホストのコン
トロールを奪取できる可能性のあるリモートからバッファオーバーフロー攻撃
を実行されてしまう弱点がある。
少なくとも 2 つの場所で起きる条件が既知となっている。"mail from" と
"rcpt to" smtp コマンドへの引数としてユーザによって入力される値が、事前
にはサイズが定義されていないバッファに格納される。関数呼び出しの間にス
タックへコピーされる前に、データの総量が、事前に定義されていないサイズ
の制限内にあるかどうかを確認しない。その結果、ユーザは、プログラム実行
の流れを変更するように呼び出した関数の戻り番地を任意の値に変更する、と
いうような (過剰な量のデータを用いることで) スタック変数の上書きが可能
である。
もし、この弱点が攻撃された場合、ユーザは少なく見積もった場合でも smtp
サーバがクラッシュできてしまう。より高度な攻撃がなされる場合には、犠牲
となるホスト上で任意のプログラムの実行が可能である。
27. FTPPro Information Disclosure Vulnerability
BugTraq ID: 1790
リモートからの再現性: 未詳
公表日: 1999-12-27
関連する URL:
http://www.securityfocus.com/bid/1790
まとめ:
FTPPro は、Microsoft Windows 上で一番利用されているといわれるシェアウエ
アの FTP パッケージである。FTPPro ソフトウエアパッケージは、インストー
ルされたマシンすべてのレジストリ中にキーを生成する。このキーには、拡張
子 \HKEY_LOCAL_MACHINE\SOFTWARE\FTPPro98c が含まれ、暗号化されていない
状態でユーザの個人情報が保存される。キーのパーミッションは "Everybody"
グループのユーザであれば、Query Value、Set Value、Create Subkey、
Enumerate Subkey、Notify、Delete、Read Control コマンドの実行を許してし
まう。さらに、Administrator、Owner、System へのフルコントロールまで許し
てしまう。
このキーの中には、所有者のクレジットカード番号、クレジットカードの有効
期限、カードの形式、名前、登録アドレス、電話番号のような個人情報が格納
されている。このソフトウエアパッケージの "Offline Registration" オプシ
ョンは、プログラムが実行されているディレクトリに、キーと同様の情報を含
んだ "Register.txt" という名前の暗号化されていないテキストドキュメント
を生成する。そのため、攻撃者はパッケージの所有者の機密にしなければなら
ない個人情報を検索することが可能である。
28. BDash 0.31 Buffer Overflow Vulnerability
BugTraq ID: 1791
リモートからの再現性: なし
公表日: 1997-06-18
関連する URL:
http://www.securityfocus.com/bid/1791
まとめ:
Linux の旧バージョンや、Slackware の現行版では利用されていないバージョ
ンで配布されている game B-DASH v0.31 には弱点が存在する。
vconfig() 関数への呼び出しに使われる $HOME 環境変数を正しく扱わないため
に、ユーザは、プログラムの実行の流れを変更するように任意の値で呼び出さ
れた関数の戻り番地など、スタック変数を上書きすることが可能である。
もし、この弱点が攻撃された場合、ユーザは少なく見積もった場合でもホスト
サーバをクラッシュできてしまう。より高度な攻撃がなされると犠牲となるホ
スト上で任意のプログラムの実行が可能である。
29. CommuniGate Pro Email Address Verification Vulnerability
BugTraq ID: 1792
リモートからの再現性: あり
公表日: 2000-10-12
関連する URL:
http://www.securityfocus.com/bid/1792
まとめ:
Communigate Pro は、Stalker Software によって提供される Mail Transport
Agent であり、多数のプラットフォームで利用可能である。このソフトウエア
パッケージは、パッケージに含まれる Post Office Protocol Version 3
(POP3) デーモンとの接続に関する弱点がある。無効なユーザ名や無効なパスワ
ードに対するエラーを返す部分に問題が発生する。
ユーザはリモートから POP3 デーモンと接続し、ユーザ名とパスワードのリス
トからデータを繰り返し入力するプログラムの利用して、メールサーバ上に存
在するユーザを確認することが可能である。この弱点は電子メールアドレス収
集者に有効な電子メールアドレスのリストを集めることを可能にし、(例えば)
有効なユーザアカウントにスパムを送信することを許してしまう。
30. Microsoft Internet Explorer Cached Web Credentials Disclosure Vulnerability
BugTraq ID: 1793
リモートからの再現性: あり
公表日: 2000-10-12
関連する URL:
http://www.securityfocus.com/bid/1793
まとめ:
Microsoft Internet Explorer を利用しているクライアントと、128 ビット SSL
セキュアサーバとの平文での通信が、特定の環境下で監視することが可能であり、
このため、ユーザ ID、パスワード、その他の機密扱いにしなければならない情
報を第三者に開示してしまう。
セキュアにされた Web サイトに認証を試みたとき、Internet Explorer はユー
ザ ID とパスワードなどを含んだ証明書を送信し、後に Web サイトによって要
求された場合、検索できるようにキャッシュに証明書を保存する。基本 HTTP
認証がセキュア Web サイトへの接続に利用された場合、Internet Explorer は、
Web サイトのセキュアでない部分に、理論的にはセキュアなページを参照する
場合にのみ送られるはずの証明書を送信してしまう。セキュアでないチャネル
を通しての証明書の伝送は、悪意のある第三者によって平文のユーザ ID やパ
スワードを奪取される可能性がある。これは、第三者がクライアントとサーバ
のネットワークのトラフィックを盗聴しているという条件下でおきる。付け加
えて、第三者は任意の証明書を、現在ユーザが Web を見ているセッションの間
のみ検索可能である。
この弱点は Internet Explorer 5.5 には影響せず、これ以前のバージョンにの
み影響がある。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1.Cybersecurity plan Powers Up
著者: Kevin Poulsen
木曜日、オハイオ州コロンバスのあるホテルの会議室の閉められたドアの後ろ
では、電気事業の関係者と FBI のエージェントが、光を消そうとするサイバー
アタッカーから北米電力網を守るための共闘を誓った。
もしくは、少なくとも、彼らは誓ったと見せかけるだろう。FBI と米国とカ
ナダの電気事業を庇護する非営利の産業グループである、北米電気信頼性評議会
(NERC) との協力の元で開かれた最初のワークショップでは、多数の電力会社か
らの代表が、物理的かつコンピュータ化された破壊行為を試みようとする架空の
無法国家、またはテロリストグループによって予測される攻撃から電力網を守る
だろう。
http://www.securityfocus.com/templates/article.html?id=103
2. Who Wrote this Headline?
著者: Kevin Poulsen
もし、あなたが、暗く、皮肉で、愚直で、風変わりのオンラインコミュニティ、
Attrition.org について詳しくないなら、今がチェックする最高のときです。
ブックマークに登録しましょう。毎日必ず見る Web サイトのリストに加えまし
ょう。
Attrition.org は、世界的な Web サイトへのクラックの非公式のスコアボード
を提供する趣味のサイトです。表面上は、どんな Web サイトがクラックされた
時でも、Attrition にあるミラーは後世のためにスナップショットを採取します。
E ビジネスに関わる人ならば、Attrition の恥辱の壁に掲載されるという悪夢を
見るでしょう。サイバーフーリガンは実際、電子上の落書きの各例を、公開用
ファイルにするという方法で電子メールを Attrition のスタッフに送ります。
そのため、"CraCk3d by: MoshaCK teAm.....DarCAngeL & zir0-" のような結果
が何代にも渡って保存することができるのです。
http://www.securityfocus.com/templates/article.html?id=104
3. Hundreds Hack SDMI
著者: Kevin Poulsen
複数の業界内グループが、オンラインでの音楽配布に関して提唱されている著
作権保護スキーマを破った人物に、$10,000 を提供するコンテストのエントリ
の審判を水曜日に始めた。
Secure Digital Music Initiative の常務取締役 Leonardo Chiariglione によ
ると、Linux ユーザや電子フロンティア財団による組織化されたボイコットに
もかかわらず、"Hack SDMI Challenge" は、先週の提出期限前に 450 を越える
エントリが受け付けられた。「450 もの申し込みとは大変な数だ」と Chiariglione
は語った。「個人的には、こんなにたくさんとは予想していなかった」。
http://www.securityfocus.com/templates/article.html?id=99
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. Multiscan 0.8
Linux
作者: Karl Serstr (coldn@gamearena.net)
関連する URL:
http://sourceforge.net/projects/multiscan/
Multiscan は C 言語で書かれたシンプルなポートスキャナです。連続した IP
アドレスをスキャンすることができます。
2. Calamaris 2.39
FreeBSD, Linux, NetBSD, OpenBSD and Solaris
作者: Cord Beermann (cord@Wunder-Nett.org)
関連する URL:
http://calamaris.cord.de/Welcome.html.en
Calamaris は Squid and NetCache Native Logfiles を解析し、Peak-usage、
Request-Methods、Status- に関するレポートを作成します。レポートには、入
出力されるリクエスト数、2番目およびトップレベルの行き先、コンテンツの型、
パフォーマンスが記載されています。
3. Linux Intrusion Detection System (LIDS) 1.0.2 for 2.4.0-test
Linux
作者: Xie Hua Gang (xhg@gem.ncic.ac.cn)
関連する URL:
http://www.lids.org/
Linux Intrusion Detection System はカーネルのセキュリティを拡張するパッ
チです。一度このパッチが有効になった場合、選択されたファイルへのアクセス、
すべてのシステム/ネットワーク管理操作、すべての権限付き動作、raw デバイ
スの動作、メモリおよび I/O アクセスは root でさえ利用できなくできます。
また、利用者はどのファイルに何というプログラムがアクセスできるのかを定義
できます。管理下に収めたいと希望する、システムの権限付き動作を利用し、拡
張し、ネットワークとファイルシステムについてのセキュリティ機能を、カーネ
ルにセキュリティ機能を拡張することで追加します。また、重要なプロセスの隠
蔽、ネットワーク越しのセキュリティ警告メッセージの受信等のセキュリティ保
護機能を明確に調整することも可能です。
4. RegDACL
Windows 2000 and Windows NT
作者: Frank Heyne Software
関連する URL:
http://www.heysoft.de/nt/reg/ep-regd.htm
RegDACL は、任意の Windows NT レジストリキーの discretionary access
control list (DACL) への問合わせや変更を可能にします。もちろん、レジス
トリのパーミッションを設定するために NT のビルトイン RegEdt32 を使用す
ることができます。しかし、もしあなたが多数のマシンを設定する必要がある
なら、かなり退屈な仕事があなたを待ち受けていて、間違いを起こしやすくな
ることは言うまでもないでしょう。RegDACL は、あなたに、この種の仕事をす
る際にバッチスクリプトを利用できる能力を提供します。RegDACL のフリーウェ
アアバージョン 1.1 は、事前に定義されているグループである、User、
Authenticated Users、Batch、Local、Service、Anonymous Logon、
Domain Administrators、Domain Users、DomainGuests、そのほか RegEdt32 が
許せばこれら以外に詳細なアクセス権限を定義することができます。
5. Secure Export System 0.0
Linux
作者: Keith Lewis
関連する URL:
ftp://ftp.monash.edu.au/pub/keithl/SES/
SES が解決する基本的な問題は、研究所のユーザが PC 上で root になること
を確実に防ぐことができない、という問題です。この潜在的なセキュリティ上
の脅威と隣り合わせでいるために、SES は PC と NFS サーバの間で Kerberos
認証でやりとりできるようにします。そのため、NFS サーバは、セッションの
間のみ、ユーザのホームディレクトリをユーザが利用している PC へエクスポー
トします。
SES は、研究所にある PC と NFS サーバ間の NFS トラフィックをフィルタす
る特別なPCに使われていた LKNFS という名前の初期のシステムの代わりとなる
ものです。
6. WWWHack 1.946
Windows 2000, Windows 95/98 and Windows NT
作者: core
関連する URL:
http://www.wwwhack.com
シンプルな"総当たり"パスワード推測プログラムです。辞書ファイルがついて
います。 HTTP Basic、HTTP Form、FTP、POP、News に対応しています。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOeupTpQwtHQKfXtrEQIkCgCbBe+TlsFikMtCHyH3NJGm5GEVi6MAnAl2
kF1s+3KmDPeQfObVqQx1p94b
=4lix
-----END PGP SIGNATURE-----