SecurityFocus.com Newsletter #65 2000-10-27->2000-11-03
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 65 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- --------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- --------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.21.0011060918380.19516-100000@mail>
Date: Mon, 6 Nov 2000 09:50:48 -0800
SecurityFocus.com Newsletter #65
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
1. SecurityFocus.com Unveils its New Basics Focus Area
2. Sun Focus Area: Diamond in the Rough part II
3. Article in the Basics Focus Area: Beginner's Guide to the Internet
4. In the New Basics focus Area: Internet Security and your Business
5. Article in the New Basics focus area: Introduction to Encryption
6. Article in the new Basics Focus Area: Introduction to Firewalls
II. BUGTRAQ SUMMARY
1. Exim Buffer Overflow Vulnerability
2. CatSoft FTP Serv-U Brute-Force Vulnerability
3. Microsoft Indexing Services for Windows 2000 .htw Cross-Site...
4. VariCAD File Overwrite Vulnerability
5. Padl Software nss_ldap Local Denial of Service Vulnerability
6. Pagelog.cgi File Disclosure/Creation Vulnerability
7. Netscape Servers Suite Heap Buffer Overflow Vulnerability
8. Inktomi Search Software DoS Vulnerability
9. Netscape Servers Suite Denial of Service Vulnerability
10. Unify eWave ServletExec DoS Vulnerability
11. Microsoft Exchange Server Invalid MIME Header charset =3D "" DoS Vuln
12. tcpdump AFS ACL Packet Buffer Overflow Vulnerability
13. Multiple Linux Vendor dump Insecure Environment Variables Vulnerability
14. SAMBA SWAT Symlink Vulnerability
15. SAMBA SWAT Logging Failure Vulnerability
16. SAMBA SWAT Logfile Permissions Vulnerability
17. RedHat 7.0 Cyrus-SASL Authorization Vulnerability
18. Unify eWave ServletExec File Upload Vulnerability
19. Cisco PIX PASV Mode FTP Internal Address Disclosure Vulnerability
20. Solaris syslogd Unresolvable Address Remote Denial of Service Vuln
21. BMC Patrol UDP Bounce Attack Denial of Service Vulnerability
22. Cisco IOS Extended Access List Failure Vulnerability
23. CGI Script Center News Update Password Changing Vulnerability
24. Microsoft Network Monitor Multiple Buffer Overflow Vulnerabilities
25. KW Whois Remote Command Execution Vulnerability
26. Microsoft Windows 95/WfW smbclient Directory Traversal Vulnerability
27. Cisco CVCO/4k Remote Username and Password Retrieval Vulnerability
28. HP-UX cu Buffer Overflow Vulnerability
29. ISC host Remote Buffer Overflow Vulnerability
30. CS&T CorporateTime for the Web Brute Force Vulnerability
31. HP-UX dtterm Buffer Overflow Vulnerability
32. Checkpoint Firewall-1 Valid Username Vulnerability
33. Sun JavaWebServer Viewable .jhtml Source Vulnerability
34. RPC Portmapper Denial of Sevice Vulnerability
35. Multiple Vendor RPC Denial of Service Vulnerability
36. FreeBSD getnameinfo() Denial of Service Vulnerability
37. Multiple Vendor top Format String Vulnerability
38. WebObjects Remote Overflow Vulnerability
39. CGI Script Center Subscribe Me Lite Account Deletion Vulnerability
40. IBM Net.Data Buffer Overflow Vulnerability
41. Microsoft Windows 2000 ActiveX Control Buffer Overflow Vulnerability
42. Quake Server Empty udp DoS Vulnerability
43. NAI Sniffer Agent SNMP Buffer Overflow Vulnerability
44. NAI Sniffer Agent Authorization Verification Vulnerability
45. NAI Sniffer Agent False Login Denial of Service Vulnerability
46. Lotus Domino SMTP Server ENVID Buffer Overflow and DoS Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Protecting the Source
2. Visa to e-Shops: Use Firewalls, or else..
3. Scanning Mystery Solved
4. Microsoft's Choice: Law or Order?
IV.SECURITY FOCUS TOP 6 TOOLS
1. SILC (Secure Internet Live Conferencing) 20001103
2. Samhain 1.1.2
3. AccountPolicy 0.2
4. SAINT - Security Administrator's Integrated Network Tool 3.1
5. NetSaint 0.0.6
6. NATAS 3.00.01
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. Exim Buffer Overflow Vulnerability
BugTraq ID: 1859
リモートからの再現性: なし
公表日: 1997-07-21
関連するURL:
http://www.securityfocus.com/bid/1859
まとめ:
Exim メールクライアント 1.62 にはローカルから root 権限が奪取できる可能
性を孕むバッファオーバーフローを生じる問題がある。
メッセージ中に添付されたファイルのファイル名を処理するバッファは、悪意
をもって改竄されたファイル名でオーバーフロー可能である。この結果、スタッ
クへ溢れさせられたデータは、例えば呼び出されている関数のリターンアドレ
ス等のスタックフレーム内の重要な部位を上書き可能である。
ここで与えられるデータは、ユーザによって与えられるものであるため、プロ
グラムの処理を変えるように作成可能である。もし、適当に問題を突く攻撃が
行われた場合、攻撃者に root 権限を奪取させてしまう可能性がある。
2. CatSoft FTP Serv-U Brute-Force Vulnerability
BugTraq ID: 1860
リモートからの再現性: あり
公表日: 2000-10-29
関連するURL:
http://www.securityfocus.com/bid/1860
まとめ:
FTP Serv-U はCatSoftから提供されているインターネット向けの FTP サーバで
ある。
このソフトウェアにはアカウントが正しいかどうかを開示しないための、ユーザ
が 3 回ログインに失敗した場合に接続を切る、総当り攻撃対策機能
(an anti brute-force security feature) を備えている。この機能による規制
の対象となった場合、指定すみの十分な時間が経過するまで再接続は許可され
ない。
しかし、リモートのユーザはこの総当り攻撃対策機能をバイパス可能なのである。
サーバへ一度、匿名か実アカウントのどちらかでログインに成功した場合、ユー
ザは、切断されることなく、他のユーザ名とパスワードの組を探す総当り攻撃へ
持ち込むことが可能なのである。
この問題は FTP サーバ上の他のユーザのアカウント権限を奪取される可能性が
ある。
3. Microsoft Indexing Services for Windows 2000 .htw Cross-Site Scripting V=
uln
BugTraq ID: 1861
リモートからの再現性: あり
公表日: 2000-10-28
関連するURL:
http://www.securityfocus.com/bid/1861
まとめ:
悪意ある Web サイトの管理者は、特別に組み立てられた URL を含むハイパー
リンク、あるいはスクリプト付き文書を利用して、悪意あるコンテンツをアク
セスしてきたクライアントに読み込ませることが可能である。
この問題は、Microsoft Windows 2000 で提供されている Microsoft Indexing
Services にあり、ソフトウェアの拡張子 .htw の取り扱い方法に由来している。
もしユーザが意識せずに悪意あるハイパーリンクを Web ブラウザ、あるいは
HTML を解釈可能な電子メールクライアントで開いた場合、Javascript 等の動
的なコンテンツが実行されてしまうのである。
例えば、以下に示すリンクが IIS で処理される際、攻撃は成功してしまうので
ある。
http://target/null.htw?CiWebHitsFile=filename.htm&CiRestriction="<SCRIPT>ActiveScripting</SCRIPT>"
仮想ファイル null.htw はメモリに格納されるため、正しい .htw ファイルを
指し示す必要はなく、また、拡張子 .htw はデフォルトで webhits.dll に対応
付けられている。
Windows 2000 では Indexing Services が提供されているが、デフォルトでは
このサービスは起動されていない。Web サーバを提供し、かつ、Indexing Services
を起動している管理者はパッチを適用することを推奨する。
4. VariCAD File Overwrite Vulnerability
BugTraq ID: 1862
リモートからの再現性: 未詳
公表日: 2000-08-08
関連するURL:
http://www.securityfocus.com/bid/1862
まとめ:
著名な CAD アプリケーションである Varicad 7.0 には問題がある。
このソフトウェアのインストール時にはいかなるユーザに対して書き込み可能
な実行ファイルを作成するのである。これはプログラムファイルのトロイの木
馬プログラムによる上書き等、改竄された実行ファイルへの置き換えによるさ
らなる攻撃へシステムを曝す結果をもたらす可能性がある。この場合、攻撃者
はユーザが改竄されたバイナリを実行するのを待ち、例えば、setuid された
シェルを隠蔽された場所へ作成したり、ユーザの .rhosts ファイルに何かを
書き込むなどの権限昇格可能な行為を行う可能性がある。
5. Padl Software nss_ldap Local Denial of Service Vulnerability
BugTraq ID: 1863
リモートからの再現性: なし
公表日: 2000-10-27
関連するURL:
http://www.securityfocus.com/bid/1863
まとめ:
nss_ldap は Padl Software によって提供されている、ユーザ属性や関連情報の
ための情報源(getpwent 等経由で用いられる)として用いられる LDAP ディレク
トリを、システム上で使うためのモジュールである。
しかし、LDAP サポート付きの RedHat Linux 7.0, 6.2, 6.1 において、nss_ldap
が nscd (name service caching daemon) と組み合わせて使われる際、ローカ
ルからの DoS 攻撃を受けてしまう問題がある。
nscd はリクエストが nss_ldap へ送られる前に処理を行うマルチスレッドで動
作するデーモンである。攻撃者が大量の LDAP 情報へのリクエストを与えた場合、
デーモンが取り扱える以上のスレッドが発生してしまい、システムがリセットさ
れるか、あるいはデーモンが KILL されるまですべてのリクエストはブロックさ
れてしまうのである。
これは非常に有効なローカルからの DoS 攻撃である。
この問題を生じる原因は、DoS に陥るまでの資源の開放と取得という2つの状態
に由来している。問題は nscd が非常にリクエストを数多く処理している際、
また、すべてのスレッドが利用中である場合に生じる(攻撃者はこの状態を引
き起こし可能である)。
n 番目のリクエストが (n はこの場合、nscd が取り扱い可能な最大スレッド数
である) 与えられた場合、nss_ldap は LDAP サーバへ問い合わせる前に mutex
をロックする (mutex は競合状態からスレッド間で共有される重要なメモリ領域
を保護するものである)。
この場合、mutex のロックが解除されるまですべてのそれ以外の LDAP を参照
するリクエストはブロックされてしまう。これは、処理を高速化するための通
常の仕様であるためである。それから nss_ldap は LDAP サーバの IP アドレ
スを探すために gethostbyname() 関数を呼び出すのである。
この際不幸にも、glibc は gethostbyname() 関数へのリクエストをスレッドが
開放されるまでリクエストを受け付けないままの nscd に向けてしまうのである。
しかも、スレッドが gethostbyname() 関数を呼んでいる nss_ldap リクエスト
が mutex を開放するまで待ち状態にあるため、決してリクエストの結果は返っ
てこないのである。
ホスト上の名称解決やユーザ情報の取得を行うための、システムで提供されて
いる関数群はシステムが再起動、あるいは nscd プロセスが KILL されるまで
利用不能な状態になってしまう可能性がある。
(nscd を停止するためには root がすでにログインしていなければならない。
この状態ではログイン機能は動作しないか、他のリモートからログイン機能を
提供するユーティリティは動作しないだろう。)
6. Pagelog.cgi File Disclosure/Creation Vulnerability
BugTraq ID: 1864
リモートからの再現性: なし
公表日: 2000-10-29
関連するURL:
http://www.securityfocus.com/bid/1864
まとめ:
Metertek (Metertek@yahoo.com) 氏が提供している pagelog.cgi にはディレク
トリ内容を開示してしまうバグがある。このスクリプトはユーザが与えたファ
イルとそれへのパスに含まれる ../ で表されるディレクトリ表記についての
チェックに失敗してしまうのである。この結果、以下に示す行がスクリプトに
与えられた場合、サーバは priovate.log の内容を表示してしまうのである。
http://securehost/cgi-bin/pagelog.cgi?display=../../../../tmp/private.log
同様に Web サーバが書き込み権限をもつ場所であればどこであったとしても、
この問題を利用したファイル生成が可能である。
例えば、以下に示す行は '/tmp/newfile.txt' と '/tmp/newfile.log' を作成
する。
http://server/cgi-bin/pagelog.cgi?name=../../../../../tmp/newfile
この問題を突いた攻撃を行うことによって、攻撃者は Web サーバがアクセス可
能なログファイルを読み出せ、また、作成(あるいは上書きできる可能性がある)
可能である。
未検証ではあるが、シンボリックリンクを利用した攻撃をさらに利用して、
Web サーバにローカルからアクセス可能な攻撃者は、自分自身の権限を Web サー
バの権限へ昇格できる可能性が類推される。
7. Netscape Servers Suite Heap Buffer Overflow Vulnerability
BugTraq ID: 1865
リモートからの再現性: あり
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1865
まとめ:
Netscape Directory Server 製品群に攻撃可能なヒープ領域を対象としたバッ
ファオーバーフローが発生する問題が発見された。Netscape Certificate Management
System にはプログラムを共有するいくつかのサーバコンポーネントがある。
問題を抱えるシステムは、サービスを実行しているユーザの権限での意図的な
コードの実行を許可してしまう。
Netscape Directory Server 4.12 では Directory Services Gateway (DSGW)
Web サーバと称する Web から LDAP へのゲートウェイ機能を提供している。
クライアントから DSGW へはなんら認証を求められることはない。同様のサー
ビスが Certificate Management System (Netscape/iPlanet CMS 4.2) の一部
としてインストールされ、利用されている。この場合、インストール時に選択
されるTCP ポートでコネクションを待ち受けている。
(例えば 24326/tcp の様な番号が選択される)
以下に示す URL はヒープ内に割り当てられたバッファをオーバーフローして
しまう。
http://server:24326/dsgw/bin/search?context=<1011 'a' chars>
このバッファは MSVCRT!malloc を呼び出した終わりで呼ばれる 404501 に位置
する内部関数を呼び出す様に割り当てられている。このバッファは 1024 バイト
の固定長で割り振られている。
この際 40455B において、sprintf() 関数を呼び出すためには以下のような処
理を行えばよい。
sprintf(pFixedBuffer, "%s$$LANGDIR/%s.conf", "../context/", userbuff);
sprintf() は境界チェックを行っていないため、バッファは問題を抱えるプロ
グラムを呼び出す際に指定する、'context=' に続くパラメータで与えられる
'userbuff' の大きさに依存するが、上書き可能である。
999 バイトの長さの文字列は pFixedBuffer をオーバーフローさせるに十分
であり、1バイト多いだけでも例外処理が発生する。
データが上書きされるため、この問題を突いた攻撃が行われた場合、意図的な
コードの実行が行われる可能性がある。
同様の問題が Netscape\Server4\dsgw\bin ディレクトリ以下にある、ほぼ全て
のバイナリ (12個) で発見されている。(tutor を除く)
8. Inktomi Search Software DoS Vulnerability
BugTraq ID: 1866
リモートからの再現性: あり
公表日: 2000-10-30
関連するURL:
http://www.securityfocus.com/bid/1866
まとめ:
Ultraseek Server と呼ばれる、現在の Inktomi Search Software はイントラ
ネット、あるいは Web サイト上で動作するサーチエンジンである。
このソフトウェアは DoS 攻撃を受けてしまう問題がある。ユーザが改竄された
URL をサーチエンジンのデフォルトのポート、8765 に与えた場合、サービスの
応答は停止してしまう。通常動作への復旧はサービスの再起動が必要である。
USSR Labs <labs@ussrback.com> による、以下の例が示されている。
http://ServerIP:8765/index.html?&col=&ht=0&qs=&qc=&pw=100%25&ws=0&nh=10&lk=1&rf=0&si=1&si=1&ql=../../../index
9. Netscape Servers Suite Denial of Service Vulnerability
BugTraq ID: 1867
リモートからの再現性: あり
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1867
まとめ:
Netscape Server 製品群の一部のコンポーネントにバグがあるため、攻撃者は
DoS を利用した攻撃を影響を受けるシステムに対し、行えてしまう問題が発見
された。Netscape Certificate Management System にも同様の問題を共有す
るいくつかのサーバコンポーネントを含んでいる。
Netscape Directory Server 4.12 では Directory Services Gateway (DSGW)
Web サーバと称する Web から LDAP へのゲートウェイ機能を提供している。
クライアントから DSGW へはなんら認証を求められることはない。同様のサー
ビスが Certificate Management System (Netscape/iPlanet CMS 4.2) の一部
としてインストールされ、利用されている。この場合、インストール時に選択
されるTCP ポートでコネクションを待ち受けている。
(例えば 24326/tcp の様な番号が選択される)
以下に示す URI を与えることで、例外処理が 0x00403c62 で発生しサーバは
機能停止してしまい、サービスのリクエストは、例外処理が取り消されるまで
受け付けられなくなってしまうのである。
http://server:24326/dsgw/bin/search?context=%
同様の問題が tutorを除く、Netscape\Server4\dsgw\bin 以下にあるすべての
バイナリに存在する。(対象バイナリ: auth,csearch,dnedit,doauth,domodify,
dosearch,edit,lang,newentry,search,unauth)
% はアルファベット以外の _ と - を除くいかなる文字に置き換え可能である。
この問題に限れば文字長は関係なく、以上の例にあるように、アルファベット
ではない文字が 1 つあるだけで問題を引き起こすには十分である。
問題は 'context=' に続く文字列が英数文字である場合に割り当てられ、そう
でない場合に割り当てられないバッファを関数が使っていることに由来してい
る。
10. Unify eWave ServletExec DoS Vulnerability
BugTraq ID: 1868
リモートからの再現性: あり
公表日: 2000-10-30
関連するURL:
http://www.securityfocus.com/bid/1868
まとめ:
Unify eWave ServletExec は Java/Java Servlet エンジンのプラグインであり、
著名な Web サーバ、例えば Microsoft IIS, Apache, Netscape Enterprise Server
等で利用可能である。
しかし、ServletExec servlet への URL が /servlet を付加してリクエストさ
れた場合、eWave ServletExec が DoS に陥る問題がある。ServletExec はポー
ト番号 80 上のサーバスレッドにバインドされるが、もし Web サーバがすでに
動作している場合、java.net.BindException エラーが返り、ServletExec エン
ジン上の機能はすべて停止してしまう。
なお、Web サーバはこの問題の影響を受けない。通常動作への復旧はアプリケー
ションの再起動が必要である。
11. Microsoft Exchange Server Invalid MIME Header charset = "" DoS Vulner=
ability
BugTraq ID: 1869
リモートからの再現性: あり
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1869
まとめ:
Microsoft Exchange Server 5.5 は MIME ヘッダ中の carset 行に空の値が定
義されている電子メールを適切に処理することが不可能である。不正な MIME
ヘッダを持つ電子メールを受け取った場合、Exchange Server は、機能不全を
起こしてしまう。通常動作への復旧はサービスの再起動と問題を起こしたメー
ルの削除、Exchange の再起動が必要である。問題を起こしたメールは処理キュー
の先頭に位置している。
Exchange 2000 ではこの問題の影響を受けない。
12. tcpdump AFS ACL Packet Buffer Overflow Vulnerability
BugTraq ID: 1870
リモートからの再現性: あり
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1870
まとめ:
Lawrence Berkeley Laboratory によって作成された tcpdump は、ネットワー
クトラフィックを観察するための、著名なネットワークモニタリングツールで
ある。このツールはリンクレイヤーインタフェースを libpcap を経由して開き、
読み出すために root 権限での実行が必要である。
このツールはしばしば、root 自身によって、あるいは root 権限で実行され
る。
tcpdump は AFS ACL パケットの解釈時にリモートから攻撃可能なバッファオー
バーフローを生じる問題があると報告されている。これはネットワークインタ
フェース越しに受信された AFS パケットフィールドが、メモリ内のあらかじめ
定義された大きさのバッファへ大きさに対するチェックなしでコピーされるた
めに生じる。もし適当に組み立てられた場合、例外処理を発生させたデータは
スタックの上書きに用いられ、(カスタムメイドの ACL パケットを作成できる)
攻撃者にターゲットとなるホストへのリモートからのアクセスを可能にしてし
まう。
この問題を突いた攻撃は root 権限の奪取につながる恐れがある。
13. Multiple Linux Vendor dump Insecure Environment Variables Vulnerability
BugTraq ID: 1871
リモートからの再現性: なし
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1871
まとめ:
RedHat に含まれる dump コマンドはファイルシステムのダンプに用いられる
ユーティリティである。dump パッケージには他の実行ファイルに setuid root
権限を与えてしまう問題がある。
dump コマンドは適当な動作を行うために、RSH と TAPE 環境変数に依存して
いる。悪意あるユーザは RSH 環境変数内のパスを適当な実行ファイルを指す
様に変更する事を元にして、dump の実行時、RSH 環境変数の値で示されたパ
スにあるファイルを setuid root 権限で実行してしまうのである。
この問題を突いた攻撃が成功した場合、root 権限は奪取できてしまう。
14. SAMBA SWAT Symlink Vulnerability
BugTraq ID: 1872
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1872
まとめ:
Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、
ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向け
に提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS
プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool)
と称する Samba サーバをリモートから管理するためのユーティリティを提供し、
SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるよ
うになっている。このソフトウェア、SWAT の特定のバージョンにはローカルの
ユーザが root 権限を奪取できてしまえる問題がある。
問題の本質は、ユーザが SWAT のログ採取機能 (これはデフォルトでは無効であ
る) にあるプログラムのミスを突いてユーザが指定したデータでファイルを上書
きできるという、シンボリックリンクに関する取り扱いにある。
この場合、ログ採取機能が有効になっている SWAT では、ログはデフォルトで
/tmp/cgi.log へ採取されてしまっている。
このログファイルは Web サービスへのすべてのトラフィックを記録しているも
のであり、不注意にもこのファイルに対するアクセス制限をかけるべき権限が
与えられていないために、ローカルのユーザはこのファイルからのシンボリッ
クリンクをいかなる他のファイル (これら他のファイルには読み出し権限が与
えられている前提がある) に指し示せてしまえるのである。
シンボリックリンクを指し示した後、問題となるソフトウェアのポート (701が
デフォルトである) に接続し、リンクで示したファイルへ含まれるデータを入
手するのである。リンクで示された先の典型的な例は /etc/passwd である。
15. SAMBA SWAT Logging Failure Vulnerability
BugTraq ID: 1873
リモートからの再現性: あり
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1873
まとめ:
Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、
ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向け
に提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS
プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool)
と称する Samba サーバをリモートから管理するためのユーティリティを提供し、
SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるよ
うになっている。このソフトウェア、SWAT の特定のバージョンにはローカルの
ユーザが root 権限を奪取できてしまえる問題がある。
問題の本質は、特定のバージョンの SWAT のログ採取機能にはリモートユーザが
正しいユーザ名であり、かつ、パスワードが誤っている場合のログイン失敗を適
当に採取しない点である。この結果、リモートのユーザはログ採取されることな
く、また、ログアウトすることなくサービスに対して継続してパスワードを類推
する攻撃が可能である。
16. SAMBA SWAT Logfile Permissions Vulnerability
BugTraq ID: 1874
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1874
まとめ:
Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、
ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向け
に提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS
プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool)
と称する Samba サーバをリモートから管理するためのユーティリティを提供し、
SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるよ
うになっている。このソフトウェア、SWAT の特定のバージョンにはローカルの
ユーザが root 権限を奪取できてしまえる問題がある。
問題の本質は、プログラムのミスを突く事で、ユーザが SWAT のログファイルの
権限を元に、SWAT が記録しているリモートからログインし、管理を行うすべての
ユーザに対するユーザ名とパスワードを読み出せる点にある。ログ採取機能が有
効である場合(デフォルトでは無効である)、SWAT は /tmp/cgi.log にログを採取
する。このファイルはいかなるユーザに対しても読み出し可能であり、ユーザ名と
パスワードを含み、ローカルユーザはファイルからそれらの情報を入手可能である。
(内容は base64 でエンコードされている)
17. RedHat 7.0 Cyrus-SASL Authorization Vulnerability
BugTraq ID: 1875
リモートからの再現性: なし
公表日: 2000-10-26
関連するURL:
http://www.securityfocus.com/bid/1875
まとめ:
Cyrus-SASL は SASL "Simple Authentication and Security Layer" のオープ
ンソースによる実装である。RedHat 7.0 に含まれる Cyrus-SASL 1.5.24 パッケー
ジには認証用のコードに権限を昇格させてしまえるバグを含んでいる。
報告されたところによると、問題は資源へアクセスするために認証されたユー
ザが、まだ認証されていない場合に、アクセスできてしまうという点である。
このバグはバージョン 1.5.24 の RedHat 7.0 に含まれる版にのみ現れている。
このプロジェクトの主 ftp サイトで提供されている Cyrus-SASL 1.5.24 には
この問題を含まず、RedHat PowerTools で提供されているより古いバージョン
のこのソフトウェアもこの問題を生じていない。
18. Unify eWave ServletExec File Upload Vulnerability
BugTraq ID: 1876
リモートからの再現性: あり
公表日: 2000-10-31
関連するURL:
http://www.securityfocus.com/bid/1876
まとめ:
Unify eWave ServletExec は Java/Java Servlet エンジンのプラグインであり、
著名な Web サーバ、例えば Microsoft IIS, Apache, Netscape Enterprise Server
等で利用可能である。
ServletExec には未登録の Servlet、'UploadServlet'が含まれている。
特別に組み立てられた HTTP の GET リクエストを与えることで、リモートの
ユーザが、いかなるファイルを ServletExec が動作するサーバのいかなるディ
レクトリへアップロードできてしまえる問題がある。
この問題はユーザが HTML フォームをローカルのシステム上に作成する事で、
作成したフォームを用いて問題となる Servlet を示す事でいかなる意図するファ
イルのアップロードも可能である。
この問題を突いた攻撃が成功した場合、Web サーバの権限の奪取が可能である。
以下は Foundstone Labs <labs@foundstone.com> による例である。
HTTP および 'GET' リクエスト:
nc target
GET /servlet/com.unify.ewave.servletexec.UploadServlet HTTP/1.0
あるいは
http://target/servlet/com.unify.ewave.servletexec.UploadServlet
HTML フォーム:
<FORM METHOD=POST ENCTYPE='multipart/form-data'
ACTION='http://target/servlet/com.unify.ewave.servletexec.UploadServlet'>
<P>
Upload Directory:
<INPUT TYPE=TEXT SIZE=35 Name=uploadDir>
<P>
File to Upload:
<INPUT TYPE=FILE SIZE=35 NAME=File1>
<P>
<INPUT TYPE=SUBMIT NAME="Upload Files" VALUE="Upload Files">
</FORM>
19. Cisco PIX PASV Mode FTP Internal Address Disclosure Vulnerability
BugTraq ID: 1877
リモートからの再現性: あり
公表日: 2000-10-03
関連するURL:
http://www.securityfocus.com/bid/1877
まとめ:
Cisco PIX は著名なファイやウォールデバイスである。
接続しようとするクライアントに対し、内部の FTP サーバの IP アドレスを
隠蔽する様に PIX の設定を行うことが可能である。FTP セッション中に受動
FTP モード (Passive FTP Mode; PASV) に切り替え、大量のリクエストを与え
る事で内部の IP アドレスがしばしば公開されてしまう問題が発見された。
しかし、この状態が再現する明確な条件は未詳である。
この問題は PIX Firmware 5.2(4) で検証され、他のバージョンにおいても同
様の問題を生じる恐れがある。
20. Solaris syslogd Unresolvable Address Remote Denial of Service Vulnerabi=
lity
BugTraq ID: 1878
リモートからの再現性: あり
公表日: 1996-11-09
関連するURL:
http://www.securityfocus.com/bid/1878
まとめ:
Sun Microsystems が提供する Solaris 2.4 に含まれる syslogd (system logging
daemon) にはリモートからクラッシュ可能であるという問題がある。
loghost がログメッセージを DNS や NIS、hosts 等から名称解決できないホ
ストから受け取った場合、syslogd は core ダンプを起こしてしまう。
syslog 経由でのシステムイベントの採取はデーモンが手動で再起動されるまで
は復旧しない。この問題は攻撃者が、他の攻撃あるいはシステムの目的外利用
の間、ログ採取を停止できてしまえる可能性をもたらしている。
21. BMC Patrol UDP Bounce Attack Denial of Service Vulnerability
BugTraq ID: 1879
リモートからの再現性: あり
公表日: 1999-04-09
関連するURL:
http://www.securityfocus.com/bid/1879
まとめ:
BMC Software が提供している Patrol はエンタープライズマネジメントソフト
ウェアである。このソフトウェア群の中に含まれるソフトウェアには、UDP ポー
トでコネクションを待ち受け、デフォルトでいかなるホストやポート番号からそ
れを受け付けてしまうものがある。この結果、攻撃者はパケットをターゲットの
chargen サービスから送り出されたかの様にスプーフィングすることで「ピンポ
ン攻撃」(ping pong attack) を行えてしまう。UDP データグラムはこの場合、
差し戻されてしまい、ターゲットのネットワーク資源、CPU 資源が使い尽くされ
てしまう可能性がある。
22. Cisco IOS Extended Access List Failure Vulnerability
BugTraq ID: 1880
リモートからの再現性: 未詳
公表日: 2000-10-22
関連するURL:
http://www.securityfocus.com/bid/1880
まとめ:
IOS は数多くの Cisco 製ネットワーク機器で利用されているファームウェア
である。
IOS 12.x の何種類かのバージョンでは (12.1(4) で検証を行い、他のバージョ
ンでも同様の報告を受けている)、拡張アクセスコントロールリストの特定の
ルールが設定不能である。このため、攻撃者はアクセスコントロールリストで
コントロールされているべきネットワークにある、弱点を抱えたネットワーク
サービスへアクセスできてしまえる可能性がある。
なお、この問題の原因は未詳である。
23. CGI Script Center News Update Password Changing Vulnerability
BugTraq ID: 1881
リモートからの再現性: あり
公表日: 2000-10-27
関連するURL:
http://www.securityfocus.com/bid/1881
まとめ:
News Update はシェアウェアの Perl で記述された CGI プログラムであり、
Web サイトのコンテンツのヘッドラインを容易に提供できる機能を提供する。
このソフトウェアは CGI Script Center で提供されている。
バージョン 1.1 では、匿名の攻撃者によってリモートからシステムの管理権限
が奪取されてしまう問題がある。これは管理用パスワードの変更方法の実装の
バグに由来している。このプログラムはユーザによって入力されたパスワード
と古いパスワード(パスワードを変更しようとしているのが、管理者本人である
ことを確認するために行う)の比較を失敗し、この結果、いかなるユーザであっ
てもパスワードの変更が可能である。
一度管理権限が悪意ある攻撃者に奪取されてしまった場合、意図するヘッドライ
ンがターゲットとなった Web サイトに設置できてしまえる。
24. Microsoft Network Monitor Multiple Buffer Overflow Vulnerabilities
BugTraq ID: 1882
リモートからの再現性: あり
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1882
まとめ:
Windows NT/2000 に含まれる Network Monitor Tool (訳注:日本語版では「ネッ
トワークモニタツール」)は管理者にローカルのすべての、また、特定のホスト
に対するネットワークトラフィックの取得と解析機能を提供している。
このツール、netmon はグラフィカルインタフェースを利用して表示する前に
トラフィックをネットワークから収集し、内容を解釈し、ユーザインタフェー
ス内で読み出せる形式に変換している。
netmon に含まれるいくつかの DLL ライブラリ群はそれぞれのアプリケーション
層のプロトコルを解釈するように設計されている。これらライブラリ群の内、
browser.dll に問題が発見された。問題を抱えるこの DLL に数多くの関数呼
び出しを行い、複数のスタックオーバーフローを起こすことで、リモートの攻
撃者は Network Monitor Tool の管理権限を奪取し、意図的なコードを実行し、
ターゲットの管理権限を奪取可能である。
25. KW Whois Remote Command Execution Vulnerability
BugTraq ID: 1883
リモートからの再現性: あり
公表日: 2000-10-29
関連するURL:
http://www.securityfocus.com/bid/1883
まとめ:
whois は登録済みのドメイン名についての一般情報と技術的な連絡先を見つけ
出すために用いられるユーティリティである。Kootenay Web Inc が提供する
linux 上で whois を利用するための Web インタフェース、Whois (release v.1.9)
に問題が発見された。
ユーザがフォームに入力した値がシェル用のメタキャラクタを含んでいるかど
うかについての内容チェックに失敗してしまうため、悪意あるリモートのユー
ザはスクリプト経由でリモートのシステム上で意図的なコードを実行してしま
う様な動作が可能である。攻撃者がローカルのシェルを Web サーバの権限でア
クセス可能になる。なお、より高い権限の奪取 (例えば root) の奪取に繋がる
可能性がある。
26. Microsoft Windows 95/WfW smbclient Directory Traversal Vulnerability
BugTraq ID: 1884
リモートからの再現性: あり
公表日: 1995-10-30
関連するURL:
http://www.securityfocus.com/bid/1884
まとめ:
Samba は Windows クライアントを UNIX サーバのファイルやプリンタ資源へ
NetBIOS 経由でアクセスできるようにするツールである。
Microsoft による Windows 95 build 490.r6 および Windows for Workgroups
の SMB によるファイルとプリンタ共有機能の実装には、ディレクトリ内容を
公開してしまう問題がある。
smbclient は通常、ユーザが与えたパスに含まれる /../ という文字列をサー
バに与える前に拒否している。これは攻撃者にサーバのディレクトリツリー構
造を辿れなくし、また、通常参照できないファイルへのアクセスを防止してい
る。
smbclient によって /../ 表記に対するチェックがなされているために、クラ
イアントは不正な入力を排除していると、サーバは仮定している。しかし、 /../
文字列に対する制限を解除し、受け入れるように改造されたクライアントは、ファ
イル名の前にこれら文字列を付加してしまい、サーバへリクエストしてしまうの
である。
サーバは入力値の検証をクライアント側に任せているため、一度サーバに /../
を含むパス表記が与えられた場合、それは正しいと仮定されてしまうのである。
この結果、ディレクトリ内容の公開が生じ、攻撃者はホスト内の通常制限された
ファイルシステム内の場所へアクセスできてしまうのである。
これはセキュリティに関連した情報を公開してしまうことになり、また、これ
以降の権限奪取が可能な状態にホストを曝してしまうことになる。
27. Cisco CVCO/4k Remote Username and Password Retrieval Vulnerability
BugTraq ID: 1885
リモートからの再現性: あり
公表日: 2000-10-26
関連するURL:
http://www.securityfocus.com/bid/1885
まとめ:
バージョン 5.13 およびそれ以前のソフトウェアを動作している Cisco Virtual
Central Office 4000 (VCO/4K) programmable voice switch に問題が発見さ
れた。
この機器用の SNMP 経由での管理インタフェースを利用するためのユーザ名と
パスワードは複合可能な単純な置換を利用したサイファーで保護されている。
このため、「暗号化」されたはずのパスワードが取得可能である場合(例えば、
読み出しのみが許可されているコミュニティ名に対するパスワード)、攻撃者は
有効なユーザ名一覧とパスワードの一覧を取得可能であり、権限の昇格が行わ
れる可能性がある。さらにはより重大な問題に発展する可能性もある。
28. HP-UX cu Buffer Overflow Vulnerability
BugTraq ID: 1886
リモートからの再現性: なし
公表日: 2000-11-02
関連するURL:
http://www.securityfocus.com/bid/1886
まとめ:
cu は UNIX 上で利用されるユーティリティであり、しばしば電話線を介した
2ホスト間で通信を行うために利用されている。このユーティリティは大抵、
一般ユーザで起動された際に通信機器にアクセスできるようにするために
setuid root でインストールされている。
HP-UX 11.0 に含まれる cu (および他のバージョンにも同様の問題が考えられ
る) は、適当に攻撃された場合、攻撃者の権限昇格を引き起こしてしまうバッ
ファオーバーフローを起こしてしまう問題がある。-l (ライン) オプションに
与える引数は安全ではない方法で取り扱われ、もしも長さが 9777 バイトを超
えた場合、スタック値の破壊を招いてしまう。この結果、ユーザによって与え
られたシェルコードが cu のプロセス権限 (euid 0) で実行されてしまう結果
を招いてしまう。
29. ISC host Remote Buffer Overflow Vulnerability
BugTraq ID: 1887
リモートからの再現性: あり
公表日: 2000-10-27
関連する URL:
http://www.securityfocus.com/bid/1887
まとめ:
現行では利用されていないバージョンの ISC の host コマンドに、攻撃に利用
される可能性があるバッファオーバーフローが発生する問題が発見された。
host コマンドは与えられたドメイン名に対するゾーン転送を有効にするための
AXFR コマンドを発行するために使われる可能性がある。問題を抱える host コ
マンドでは、AXFR クエリの結果が 512 バイトを超える長さのサーバからの応答
になった場合 (TCP DNS メッセージは 65535 バイトになる可能性がある)、スタッ
ク上にある関連するバッファをオーバーフローし、関数のリターンアドレスを
改変することが可能である。このため、悪意のあるネームサーバの管理者にク
エリが発行されたとき host が実行されているシステムの管理者権限を奪取さ
れる可能性がある。
30. CS&T CorporateTime for the Web Brute Force Vulnerability
BugTraq ID: 1888
リモートからの再現性: あり
公表日: 2000-10-31
関連する URL:
http://www.securityfocus.com/bid/1888
まとめ:
CS&T CorporateTime for the Web は、Web インターフェイスを備えたカレンダ
ーおよびスケジュール管理ツールである。
このツールには総当たり法を利用することによって、有効なユーザ名とパスワ
ードを奪取される可能性がある。なぜなら、ユーザは際限なくログインを試み
ることが可能で、無効なユーザ名が入力された場合、"The system found
no matches for the given search string" というメッセージが表示され、不
適切なパスワードが入力された場合には、"The password you entered is
incorrect" と表示される。これらのエラーメッセージから、このソフトウェア
へアクセスするための有効なユーザ名とパスワードを類推することが可能であ
る。
31. HP-UX dtterm Buffer Overflow Vulnerability
BugTraq ID: 1889
リモートからの再現性: なし
公表日: 2000-08-10
関連する URL:
http://www.securityfocus.com/bid/1889
まとめ:
dtterm は商用 UNIX システムに含まれる CDE のターミナルプログラムである。
HP-UX の最近のバージョン (他のバージョンやシステムでも同様の問題を抱える
可能性は大きい) に付随する dtterm のバージョンには、ローカルから攻撃可能
なバッファオーバーフローを生じる問題がある。
- -tn オプション (ターミナル名を指定するために利用される) の引数は、コマ
ンドラインからプログラムに渡され、サイズの検査が行なわれないままスタッ
クにコピーされる。引数が十分長い場合、プログラムの実行の流れを置きかえ
ることが可能である。特に、引数に巧妙なデータを適切な位置に組み込んだ故
意に組み立てられたものであった場合、稼動しているプロセスの権限でユーザ
が入力した任意のコマンドを動作させられるプログラムを実行可能である。
dtterm は setuid root でインストールされる。
32. Checkpoint Firewall-1 Valid Username Vulnerability
BugTraq ID: 1890
リモートからの再現性: あり
公表日: 2000-11-01
関連する URL:
http://www.securityfocus.com/bid/1890
まとめ:
Checkpoint Firewall-1 は、Checkpoint Software Technologies 社から提供さ
れる著名なファイヤウォールパッケージである。Firewall-1 において、ファイ
ヤウォールへのリモートクライアントからの認証要求 (ファイヤウォール上の
ポート番号 259) に対する応答を利用して、攻撃者が有効なユーザ名を推定で
きてしまう問題が存在する。
ファイヤウォールに接続を試みる際、攻撃者はユーザ名とパスワードを入力す
る。このユーザ名とパスワードが共に無効である場合、ファイヤウォールは
"<username> not found"と応答する。ユーザ名が有効でパスワードが無効であ
る場合、"Access denied by Firewall-1 authentication"と応答する。
有効なユーザ名を決定することに成功した際には更に、リモートからの攻撃者
は、有効なユーザ名に対するパスワードを決定するための総当たり攻撃
(brute force) やパスワード削り出し攻撃 (password grinding attack)
を実行可能である。
この問題を突いた攻撃に成功した場合、攻撃者はユーザの権限でファイヤウォー
ルへアクセス可能である。
33. Sun JavaWebServer Viewable .jhtml Source Vulnerability
BugTraq ID: 1891
リモートからの再現性: 未詳
公表日: 1997-07-16
関連する URL:
http://www.securityfocus.com/bid/1891
まとめ:
Sun Microsystems が提供する JavaWebServer for Win32 のバージョン 1.1Beta
には弱点が存在する。JavaWebServer は Java を利用した Web アプリケーショ
ン開発用のプラットフォームである。
.jhtml ファイル (Java のソースコードが埋め込まれた HTML ドキュメント)
をリクエストする URL が発行され、そのファイル名に'.' または '/' 文字が
付加されている場合、.jhtml ファイルはサーバ上でコンパイルされずに、ソー
スコードがクライアントに返される。その結果、データベースのユーザ名やパ
スワード、リソースの位置、Web サイトやネットワークの構成、ビジネスモデ
ルなどの公開すべきではないシステム情報を攻撃者に奪取される可能性がある。
情報が持つそのもの自体の価値の他に、この種の情報はホストへの更なる攻撃
にを実行するために、潜在的に利用される可能性がある。
34. RPC Portmapper Denial of Sevice Vulnerability
BugTraq ID: 1892
リモートからの再現性: あり
公表日: 1998-11-13
関連する URL:
http://www.securityfocus.com/bid/1892
まとめ:
rpcbind ポートマッパーの特定のバージョンにリモートから root を奪取でき
る弱点が存在する。
RPC (Remote Procedure Call) は、あるプログラムがネットワーク設定の詳細
情報を取得することなく、ネットワーク上にある他のコンピュータに位置する
プログラムが提供するサービスへ要求することを可能とする。
pmap_set/pmap_unset UDP パケットを偽造できる攻撃者は、リモートホストに
任意の RPC プログラムを登録または削除可能である。
このため、攻撃者は mountd、nfsd、ypserv などの主要なサービスを停止する
ことにより、標的となるホストを DoS に陥らせることが可能である。
また、悪意あるローカルユーザにサーバ上に RPC プログラムを登録することを
許可するため、攻撃者が登録したプログラムにもよるが、この弱点のために
root 権限を奪取される可能性があり、潜在的にローカルネットワーク上にある
他のシステムへも影響を及ぼす。
リスト上にある影響を受けるプラットフォームに加えて、現時点で確かなこと
は確認されていないが、他のバージョンにも同様の弱点が存在する可能性がある。
35. Multiple Vendor RPC Denial of Service Vulnerability
BugTraq ID: 1893
リモートからの再現性: あり
公表日: 1998-11-13
関連する URL:
http://www.securityfocus.com/bid/1893
まとめ:
(訳注: 最終段落以外は 34 と全く同じ文章です。)
rpcbind ポートマッパーの特定のバージョンにリモートから root を奪取でき
る弱点が存在する。
RPC (Remote Procedure Call) は、あるプログラムがネットワーク設定の詳細
情報を取得することなく、ネットワーク上にある他のコンピュータに位置する
プログラムが提供するサービスへ要求することを可能とする。
pmap_set/pmap_unset UDP パケットを偽造できる攻撃者は、リモートホストに
任意の RPC プログラムを登録または削除可能である。
このため、攻撃者は mountd、nfsd、ypserv などの主要なサービスを停止する
ことにより、標的となるホストを DoS に陥らせることが可能である。
また、悪意あるローカルユーザにサーバ上に RPC プログラムを登録することを
許可するため、攻撃者が登録したプログラムにもよるが、この弱点のために
root 権限を奪取される可能性があり、潜在的にローカルネットワーク上にある
他のシステムへも影響を及ぼす。
備考: 弱点があることが確認されたリストにあるプラットフォームに加えて、
他のプラットフォームは確認されていないが、同様に影響を受ける可能性がある。
36. FreeBSD getnameinfo() Denial of Service Vulnerability
BugTraq ID: 1894
リモートからの再現性: あり
公表日: 2000-11-01
関連する URL:
http://www.securityfocus.com/bid/1894
まとめ:
getnameinfo() 関数は、アドレスに対する名前解決のため、またソケットアド
レス構造のポート値を検索するためにネットワークプログラムによって利用さ
れる (ホスト名とサービス名の列を返す)。BSD システムに付随するこの関数の
実装には、リモートから DoS 状態に陥らせらせる、「一つ違いエラー」
(訳注: 原文は off-by-one vulnerability) が存在する。標的となる DNS サー
バを管理する悪意を持ったユーザが、サービスを getnameinfo() 関数の使用に
より生成されたクエリへの返答に対して"異常に長い"ホスト名を返すように設
定した場合、関数を呼び出したプログラムはクラッシュする。この攻撃は、
getnameinfo() 関数を使用し、クライアントからの応対のために子プロセスを
フォークする前に、inetd を介さず "1 回で"呼び出されるサービスに対しての
み有効である。
37. Multiple Vendor top Format String Vulnerability
BugTraq ID: 1895
リモートからの再現性: なし
公表日: 2000-11-01
関連する URL:
http://www.securityfocus.com/bid/1895
まとめ:
top は GoupSys Consulting 氏によって作成され、多数のオペレーティングシ
ステムの主要コンポーネントとしてデフォルトで搭載されている、システムの
各種リソース使用率の統計をリアルタイムで表示するプログラムである。
BSD システム上において、top は setgid kmem でインストールされているため、
kmem の権限を持たないユーザによって実行された場合、カーネルメモリからプ
ロセス情報を読み出される可能性がある。
top には、BSD システム上で groupid kmem の権限 (または、他のシステム上
では同種の権限) を奪取される可能性がある書式指定子を含む文字列に関する
問題を抱えている。問題はユーザのターミナルにエラーメッセージを表示する
際に生じている。
ユーザの入力を含む文字列 (エラーメッセージ) が printf() 関数にフォーマ
ット文字列の引数として渡されるため、ユーザの入力に悪意を持って形成され
た書式指定子を埋め込まれた場合、スタック上の変数を破壊し、任意のプログラム
の実行を許してしまう。
悪意あるユーザが egid kmem 権限を奪取した場合、カーネルメモリから極めて
重大な情報を読み出し、さらなる権限の昇格 (最終的には root 権限) に利用
されてしまう。
バージョン 4.2 以前の FreeBSD に付随する top のバージョンには弱点の存在
が確認されている。他のシステムで利用されているバージョンにも (検証され
てはいないが) 弱点がある可能性がある。
38. WebObjects Remote Overflow Vulnerability
BugTraq ID: 1896
リモートからの再現性: 未詳
公表日: 2000-04-04
関連する URL:
http://www.securityfocus.com/bid/1896
まとめ:
Apple が提供する Web 技術を利用したアプリケーションを開発するための著名
なプラットフォームである WebObjects 4.5 Developer には、DoS に陥る問題
がある。問題を抱えるバージョンは、CGI アダプタとIIS 4.0 を組み合わせて
稼動させている Windows NT 4.0 である。
巨大なヘッダ (4.1K 以上) が付けられた HTTP リクエストが送信された場合、
webobjects.exe はクラッシュする。また、攻撃者に IIS の権限でリモートか
ら任意のプログラムの実行を許してしまう可能性があるが、現時点では確認さ
れていない。
報告されるところによると、この弱点は development ライセンスの下でインス
トールされた場合のみ生じる。deployment ライセンスの場合には、この問題の
影響は受けない。
39. CGI Script Center Subscribe Me Lite Account Deletion Vulnerability
BugTraq ID: 1897
リモートからの再現性: あり
公表日: 2000-11-02
関連する URL:
http://www.securityfocus.com/bid/1897
まとめ:
CGI Script Center が提供する Subscribe Me Lite はメーリングリストを管理
するツールである Subscribe Me のシェアウェア版である。
Subscribe Me Lite はデフォルトで addresses.txt という名前のデータベース
ファイルを生成する。これが適切な場所に保存されない場合、リモートからの
攻撃者に定期購読者データベースから購読者を削除するために addresses.txt
ファイルに含まれる情報を利用されてしまう。addresses.txt ファイルがいか
なる権限でも読み出し可能なディレクトリに保存されている場合 (そのためフ
ァイルを読むために管理者のパスワードが不必要) リモートからの攻撃者はフ
ァイルを読み、記載されている電子メールアドレスを利用してユーザを購読者
のリストから外してしまう。
マシンのローカル設定や Subscribe Me Lite が使用したインストールプロセス
を事前に知ること以外に、リモートからの攻撃者には、addresses.txt ファイ
ルがデフォルトでインストールされているディレクトリを決定する手段は明ら
かではない。
40. IBM Net.Data Buffer Overflow Vulnerability
BugTraq ID: 1898
リモートからの再現性: あり
公表日: 2000-04-04
関連する URL:
http://www.securityfocus.com/bid/1898
まとめ:
IBM Net.Data は PATH_INFO CGI 環境変数へのユーザ入力の長さの妥当性を確認
していない。
その結果、スタック上にコピーされた過剰なデータのため、呼び出した関数の
アドレスの戻り値のようなスタック上の重要な部分が上書きされてしまう。こ
のデータはユーザによって入力されるため、プログラムの実行の流れを置き換
えてしまうようにデータを組み立てることが可能である。攻撃に成功した場合、
インターネット上から匿名の攻撃者に Web サーバを稼動させている権限で標的
となるホストにリモートからのアクセスを許してしまう。また、更なる攻撃に
曝される危険性がある。特定の状況下では、攻撃者が Web サーバをクラッシュ
することで、DoS 状態に陥らせられる可能性がある。
41. Microsoft Windows 2000 ActiveX Control Buffer Overflow Vulnerability
BugTraq ID: 1899
リモートからの再現性: あり
公表日: 2000-11-02
関連する URL:
http://www.securityfocus.com/bid/1899
まとめ:
Microsoft Windows 2000 が使用する ActiveX Control には適切に検査されな
いバッファが存在する。ActiveX control を呼び出す際に入力されるデータに
より、悪意あるユーザは DoS 攻撃の実行、またはリモートシステム上での任意
のプログラムの実行が可能である。
この弱点は Web を介して、または HTML 形式の電子メールという 2 つの方法
で利用可能である。攻撃はユーザの権限レベルで実行される。
42. Quake Server Empty udp DoS Vulnerability
BugTraq ID: 1900
リモートからの再現性: あり
公表日: 2000-11-01
関連する URL:
http://www.securityfocus.com/bid/1900
まとめ:
Quake1 Server は、インタラクティブなゲームのためにネットワークを介して
多数の Quake プレイヤーを管理するために設計されたソフトウェアパッケージ
である。このソフトウェアには、悪意を持ったユーザがリモートから
Quake Server をクラッシュできる弱点が存在する。
報告されるところによると、Quake1 Server ソフトウェアは空の UDP パケット
を適切に扱うことに失敗する。そのため、特別に組み立てられた UDP パケット
を受信すると Quake1 Server はいかなるリクエストに対しても応答を停止し、
その結果、DoS に陥ってしまう。
43. NAI Sniffer Agent SNMP Buffer Overflow Vulnerability
BugTraq ID: 1901
リモートからの再現性: あり
公表日: 2000-11-02
関連する URL:
http://www.securityfocus.com/bid/1901
まとめ:
Sniffer Agent は統計や情報を中央ネットワーク管理サーバに報告するために
設計された分散型ネットワーク監視ソフトウエアパッケージである NAI Sniffer
の 1 コンポーネントである。この Agent には、悪意あるユーザに権限のない
リモートアクセスを許してしまう弱点が存在する。
Sniffer Agent パッケージの SNMP を取り扱う部分にバッファオーバーフロー
が存在する。一度 Agent に対する通信文 (community string) が推測されると、
いかなるアクセス可能なオブジェクトに対してもシェルプログラムをリモート
から書くことが可能である。通信文中に含ませられる文字の入力に制限はなく、
各オブジェクト中には 256 バイトの最大バッファを確保可能である。
悪意あるユーザは特別に組み立てられた 1 つの UDP パケットを利用すること
で弱点を突くことが可能である。攻撃に成功した場合、ユーザは System レベ
ルの権限に昇格可能である。
44. NAI Sniffer Agent Authorization Verification Vulnerability
BugTraq ID: 1902
リモートからの再現性: あり
公表日: 2000-11-02
関連する URL:
http://www.securityfocus.com/bid/1902
まとめ:
NAI Sniffer Agent は NAI Sniffer package の 1 コンポーネントであり、完
全なネットワーク監視のための解決策である。この Sniffer Agent パッケージ
中に権限を持たないリモートユーザに Agent 上でコマンドの実行を許してしま
う弱点が存在する。
Sniffer Agent は通信を円滑に行なうために UDP パケットを使用する。一度ユ
ーザがリモートから Agent への認証に成功すれば、悪意あるユーザは特別に設
計した UDP パケットを組み立て権限のあるユーザに成りすますことが可能であ
る。このシナリオでは権限のないユーザに Agent 上でコマンドを実行すること
を許し、最終的には Agent の完全な制御を奪われる可能性がある。
45. NAI Sniffer Agent False Login Denial of Service Vulnerability
BugTraq ID: 1903
リモートからの再現性: あり
公表日: 2000-11-02
関連する URL:
http://www.securityfocus.com/bid/1903
まとめ:
NAI Sniffer Agent はネットワーク監視パッケージである NAI Sniffer の 1
コンポーネントである。この Agent 中には悪意あるユーザが Agent を稼動し
ているシステムをクラッシュできる弱点が存在する。
Sniffer Agent はアクセスコントロールがなされ、リモートからアクセスする
ためにはユーザにログインを要求する。報告されるところによると、Sniffer
Agent は失敗したログインリクエストを適切に処理しない。そのため、莫大な
数の認証失敗のリクエストに直面した場合、ホストシステムは不安定になる。
悪意あるユーザはログイン失敗のリクエストの大量発生させることによって
Agent を稼動させているホストをクラッシュすることが可能で、DoS 状態に陥
らせる。
46. Lotus Domino SMTP Server ENVID Buffer Overflow and DoS Vulnerability
BugTraq ID: 1905
リモートからの再現性: あり
公表日: 2000-11-03
関連する URL:
http://www.securityfocus.com/bid/1905
まとめ:
Lotus SMTP Server は Lotus Domino と Notes サーバソフトウェアパッケージ
で提供される統合ソリューションの 1 要素である。
Lotus SMTP Server には悪意あるユーザがリモートからサーバ上でプログラムを
実行できてしまえる問題が存在する。
問題は RFC 1891 に記載された ENVID 変数に存在する。SMTP サーバは
"MAIL FROM:" フィールドの ENVID キーワードの境界を適切に検査しない。そ
のため悪意あるユーザは SMTP サーバを実行するユーザ権限で リモートからプ
ログラムを実行できる ENVID を組み立てることが可能である。
オーバーフローに成功した場合、プログラムの実行に成功したにも関わらず
Notes サーバはクラッシュし、すべての Notes サービスは機能を停止する。
Notes サーバの手動での再起動が必要であり、それに加えて mail.box ファイ
ルや log.nsf ファイルを手動で除去する必要がある。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Protecting the Source
著者: Kevin Mitnick
先月起きた興奮する事態に乗り遅れた人たちのために、Microsoft は正体不明
のクラッカーが同社のネットワークを危機に陥れたと発表した。侵入者は 3ヶ月
前中国で最初に確認された QAZ Trojan として知られる攻撃ツールを使用した。
盗まれたパスワードはロシアに電子メールで送られたと言われている。
一番興味をそそられるのは、Microsoft が厳重に保護しているはずのソースコ
ードが盗まれ悪用されたという可能性である。Wall Street Journal が伝える
ところによると、クラッカーは Windows、もしくは Office 2000 のソースコー
ドにアクセスした可能性があるとのことである。Microsoft はこれを否定し、
攻撃者は開発中の製品のソースコードにアクセスしただけと言う。真実を知る
のは、クラッカーと、おそらく確実に Microsoft であろう。
http://www.securityfocus.com/templates/article.html?id=112
2. Visa to e-Shops: Use Firewalls, or else...
著者: Kevin Poulsen
オンラインショッピングで顧客が感じる恐怖を払拭するために、クレジットカ
ード会社の最大手である米国 Visa は今週、強制的に、Web で商売をする業者
にはクレジットカードの番号と顧客データを悪意ある攻撃からの防衛を徹底さ
せ、無法なサイバーパンクの失敗を公開し、安全を保障するという計画を発表
した。
http://www.securityfocus.com/templates/article.html?id=111
3. Scanning Mystery Solved
著者: Kevin Poulsen
今年早々、セキュリティ上の非難を浴びた、インターネット上のホストを密か
に調査した新興企業は全世界のインターネット上にいるユーザの地理的位置を
リアルタイムで特定するシステムで検査した最終結果を公表した。
http://www.securityfocus.com/templates/article.html?id=110
4.Microsoft's Choice: Law or Order?
著者: Kevin Poulsen
October 30, 2000 4:36 PM PT
Microsoft が同社の内部ネットワークに今月潜入した侵入者を追い出したとき、
犯人を捕らえ、有罪と宣言する FBI の最大のチャンスが水の泡にとなった可能
性がある、と専門家は言う。
http://www.securityfocus.com/templates/article.html?id=109
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. SILC (Secure Internet Live Conferencing) 20001103
(Linux)
作者: Pekka Riikonen <priikone@poseidon.pspt.fi>
関連する URL: http://silc.pspt.fi/
SILC (Secure Internet Live Conferencing) は、セキュアでないチャンネルの
上のインターネットでセキュアなカンファレンスサービスを提供するプロトコ
ルです。内部は全く違いますが、SILC は IRC に表面上似てはいます。SILC の
目的はセキュアなカンファレンスサービスを提供することにあります。強力な暗
号を利用して、すべての通信内容をセキュアにします。
2. Samhain 1.1.2 =20
(AIX, Digital UNIX/Alpha, FreeBSD, HP-UX, Linux, Solaris and Unixware)
作者: Rainer Wichmann (rwichmann@la-samhna.de)
関連する URL: http://la-samhna.de/samhain/
Samhain は、ネットワーク上のホストを集中監視するためのクライアントサー
バアプリケーションとしても利用できる、ファイルシステムの一貫性チェッカー
です。認証された TCP/IP の接続でログサーバからのレポートを送信すること
に加えて、いくつかの他のログをとる機能 (電子メール、コンソール、
tamper-resistant ログファイル、syslog) が利用できます。Samhain は、
Linux、AIX 4.1、HP-UX 10.20、Unixware 7.1.0、Solaris 2.6 で動作確認がな
されています。
3. AccountPolicy 0.2
(Windows NT)
作者: Darren Tucker
関連する URL: http://www.zipworld.com.au/~dtucker/accountpolicy.html
NT で動作するは User Account Policy はローカルマシンでコマンドラインか
ら設定することができます。ユーザマネージャの"原則->アカウント" メニュー
とほとんど同じ機能を備えていて、コマンドラインから利用できます。パスワ
ードの有効期限の最大値と最小値、パスワードの最小の長さ、パスワードの履
歴サイズ、ロックアウトまでのログオン失敗回数、アカウントをロックアウト
する期間を設定できます。
ドメインへの logon スクリプト、jobs、logdown スクリプト等から利用可能で
す。
4. SAINT - Security Administrator's Integrated Network Tool 3.1
(AIX, BSDI, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD,
Solaris, SunOS and Ultrix)
作者: World Wide Digital Security, Inc. (saint@wwdsi.com)
関連する URL: http://wwdsilx.wwdsi.com/saint/
SAINT (Security Administrator's Integrated Network Tool) は、SATAN を基
礎としたセキュリティ評価ツールです。定期的に更新され、リモートから検知
できる弱点について検査します。ファイアウォールを通しての検査、CERT や
CIAC の bulletin からセキュリティの検査項目の更新、4 段階の重大性評価
(レッド、イエロー、ブラウン、グリーン) などの機能があり、使いやすい
HTML のインターフェイスを備えています。
5. NetSaint 0.0.6
(HP-UX, IRIX, Linux and Solaris)
作者: Ethan Galstad (netsaint@linuxbox.com)
関連する URL: http://www.netsaint.org
NetSaint はネットワーク上にあるホストとサービスを監視するプログラムです。
問題発生時や問題解決時に電子メールを送信したり呼び出す機能を備えていま
す。現在のサービス状況、問題の履歴、履歴の通知、Web 経由のログファイル
などを表示するための、いくつかの CGI プログラムが含まれています。
6. NATAS 3.00.01
(Windows 2000)
作者: Bj=F6rn Stickler (stickler@rbg.informatik.tu-darmstadt.de)
関連する URL: http://intex.ath.cx/natas.shtml
Natas は Windows 2000 のために設計された最新のネットワークパケット捕獲
解析プログラムです。Windows 2000 で搭載された、*NIX オペレーティングシ
ステムのように raw パケットをサポートした、新しい winsock v2.2 を使用し
て動作します。
Natas を実行するためにはマシン上での管理者権限が必要です。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOgdg6ZQwtHQKfXtrEQLEbwCfW4Ds66AwhKbJLPVroeK9oACHhfQAoMhg
Hx1+7yAWVc+02Ez92dVum2YH
=poJL
-----END PGP SIGNATURE-----