Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff [Version 2.31PL3] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <200011071954.CHE49088.BTBJL@lac.co.jp> Date: Tue, 7 Nov 2000 19:54:49 +0900 Reply-To: SAKAI Yoriyuki Sender: BUGTRAQ-JP List From: SAKAI Yoriyuki Subject: SecurityFocus.com Newsletter #65 2000-10-27->2000-11-03 To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 坂井@ラックです。 SecurityFocus.com Newsletter 第 65 号の和訳をお届けします。訳のない項目については「日本語訳なし」として区別してあります。 - -------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - -------------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行われています。・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの全文引用をお願いします。・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませんが準用するものとします。・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいかなる形式のハイパーリンクも上記に準じてください。 1) - -------------------------------------------------------------------------- - -------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとします。 - -------------------------------------------------------------------------- - -------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正版をご投稿頂くか、訳者にお知らせください。後者の場合には修正版をできるだけ迅速に発行します。 - -------------------------------------------------------------------------- - -------------------------------------------------------------------------- 原版: Message-ID: Date: Mon, 6 Nov 2000 09:50:48 -0800 SecurityFocus.com Newsletter #65 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) 1. SecurityFocus.com Unveils its New Basics Focus Area 2. Sun Focus Area: Diamond in the Rough part II 3. Article in the Basics Focus Area: Beginner's Guide to the Internet 4. In the New Basics focus Area: Internet Security and your Business 5. Article in the New Basics focus area: Introduction to Encryption 6. Article in the new Basics Focus Area: Introduction to Firewalls II. BUGTRAQ SUMMARY 1. Exim Buffer Overflow Vulnerability 2. CatSoft FTP Serv-U Brute-Force Vulnerability 3. Microsoft Indexing Services for Windows 2000 .htw Cross-Site... 4. VariCAD File Overwrite Vulnerability 5. Padl Software nss_ldap Local Denial of Service Vulnerability 6. Pagelog.cgi File Disclosure/Creation Vulnerability 7. Netscape Servers Suite Heap Buffer Overflow Vulnerability 8. Inktomi Search Software DoS Vulnerability 9. Netscape Servers Suite Denial of Service Vulnerability 10. Unify eWave ServletExec DoS Vulnerability 11. Microsoft Exchange Server Invalid MIME Header charset =3D "" DoS Vuln 12. tcpdump AFS ACL Packet Buffer Overflow Vulnerability 13. Multiple Linux Vendor dump Insecure Environment Variables Vulnerability 14. SAMBA SWAT Symlink Vulnerability 15. SAMBA SWAT Logging Failure Vulnerability 16. SAMBA SWAT Logfile Permissions Vulnerability 17. RedHat 7.0 Cyrus-SASL Authorization Vulnerability 18. Unify eWave ServletExec File Upload Vulnerability 19. Cisco PIX PASV Mode FTP Internal Address Disclosure Vulnerability 20. Solaris syslogd Unresolvable Address Remote Denial of Service Vuln 21. BMC Patrol UDP Bounce Attack Denial of Service Vulnerability 22. Cisco IOS Extended Access List Failure Vulnerability 23. CGI Script Center News Update Password Changing Vulnerability 24. Microsoft Network Monitor Multiple Buffer Overflow Vulnerabilities 25. KW Whois Remote Command Execution Vulnerability 26. Microsoft Windows 95/WfW smbclient Directory Traversal Vulnerability 27. Cisco CVCO/4k Remote Username and Password Retrieval Vulnerability 28. HP-UX cu Buffer Overflow Vulnerability 29. ISC host Remote Buffer Overflow Vulnerability 30. CS&T CorporateTime for the Web Brute Force Vulnerability 31. HP-UX dtterm Buffer Overflow Vulnerability 32. Checkpoint Firewall-1 Valid Username Vulnerability 33. Sun JavaWebServer Viewable .jhtml Source Vulnerability 34. RPC Portmapper Denial of Sevice Vulnerability 35. Multiple Vendor RPC Denial of Service Vulnerability 36. FreeBSD getnameinfo() Denial of Service Vulnerability 37. Multiple Vendor top Format String Vulnerability 38. WebObjects Remote Overflow Vulnerability 39. CGI Script Center Subscribe Me Lite Account Deletion Vulnerability 40. IBM Net.Data Buffer Overflow Vulnerability 41. Microsoft Windows 2000 ActiveX Control Buffer Overflow Vulnerability 42. Quake Server Empty udp DoS Vulnerability 43. NAI Sniffer Agent SNMP Buffer Overflow Vulnerability 44. NAI Sniffer Agent Authorization Verification Vulnerability 45. NAI Sniffer Agent False Login Denial of Service Vulnerability 46. Lotus Domino SMTP Server ENVID Buffer Overflow and DoS Vulnerability III. SECURITYFOCUS.COM NEWS ARTICLES 1. Protecting the Source 2. Visa to e-Shops: Use Firewalls, or else.. 3. Scanning Mystery Solved 4. Microsoft's Choice: Law or Order? IV.SECURITY FOCUS TOP 6 TOOLS 1. SILC (Secure Internet Live Conferencing) 20001103 2. Samhain 1.1.2 3. AccountPolicy 0.2 4. SAINT - Security Administrator's Integrated Network Tool 3.1 5. NetSaint 0.0.6 6. NATAS 3.00.01 I. FRONT AND CENTER(日本語訳なし) - --------------------------------- II. BUGTRAQ SUMMARY - ------------------- 1. Exim Buffer Overflow Vulnerability BugTraq ID: 1859 リモートからの再現性: なし公表日: 1997-07-21 関連するURL: http://www.securityfocus.com/bid/1859 まとめ: Exim メールクライアント 1.62 にはローカルから root 権限が奪取できる可能性を孕むバッファオーバーフローを生じる問題がある。メッセージ中に添付されたファイルのファイル名を処理するバッファは、悪意をもって改竄されたファイル名でオーバーフロー可能である。この結果、スタックへ溢れさせられたデータは、例えば呼び出されている関数のリターンアドレス等のスタックフレーム内の重要な部位を上書き可能である。ここで与えられるデータは、ユーザによって与えられるものであるため、プログラムの処理を変えるように作成可能である。もし、適当に問題を突く攻撃が行われた場合、攻撃者に root 権限を奪取させてしまう可能性がある。 2. CatSoft FTP Serv-U Brute-Force Vulnerability BugTraq ID: 1860 リモートからの再現性: あり公表日: 2000-10-29 関連するURL: http://www.securityfocus.com/bid/1860 まとめ: FTP Serv-U はCatSoftから提供されているインターネット向けの FTP サーバである。このソフトウェアにはアカウントが正しいかどうかを開示しないための、ユーザが 3 回ログインに失敗した場合に接続を切る、総当り攻撃対策機能 (an anti brute-force security feature) を備えている。この機能による規制の対象となった場合、指定すみの十分な時間が経過するまで再接続は許可されない。しかし、リモートのユーザはこの総当り攻撃対策機能をバイパス可能なのである。サーバへ一度、匿名か実アカウントのどちらかでログインに成功した場合、ユーザは、切断されることなく、他のユーザ名とパスワードの組を探す総当り攻撃へ持ち込むことが可能なのである。この問題は FTP サーバ上の他のユーザのアカウント権限を奪取される可能性がある。 3. Microsoft Indexing Services for Windows 2000 .htw Cross-Site Scripting V= uln BugTraq ID: 1861 リモートからの再現性: あり公表日: 2000-10-28 関連するURL: http://www.securityfocus.com/bid/1861 まとめ: 悪意ある Web サイトの管理者は、特別に組み立てられた URL を含むハイパーリンク、あるいはスクリプト付き文書を利用して、悪意あるコンテンツをアクセスしてきたクライアントに読み込ませることが可能である。この問題は、Microsoft Windows 2000 で提供されている Microsoft Indexing Services にあり、ソフトウェアの拡張子 .htw の取り扱い方法に由来している。もしユーザが意識せずに悪意あるハイパーリンクを Web ブラウザ、あるいは HTML を解釈可能な電子メールクライアントで開いた場合、Javascript 等の動的なコンテンツが実行されてしまうのである。例えば、以下に示すリンクが IIS で処理される際、攻撃は成功してしまうのである。 http://target/null.htw?CiWebHitsFile=filename.htm&CiRestriction="" 仮想ファイル null.htw はメモリに格納されるため、正しい .htw ファイルを指し示す必要はなく、また、拡張子 .htw はデフォルトで webhits.dll に対応付けられている。 Windows 2000 では Indexing Services が提供されているが、デフォルトではこのサービスは起動されていない。Web サーバを提供し、かつ、Indexing Services を起動している管理者はパッチを適用することを推奨する。 4. VariCAD File Overwrite Vulnerability BugTraq ID: 1862 リモートからの再現性: 未詳公表日: 2000-08-08 関連するURL: http://www.securityfocus.com/bid/1862 まとめ: 著名な CAD アプリケーションである Varicad 7.0 には問題がある。このソフトウェアのインストール時にはいかなるユーザに対して書き込み可能な実行ファイルを作成するのである。これはプログラムファイルのトロイの木馬プログラムによる上書き等、改竄された実行ファイルへの置き換えによるさらなる攻撃へシステムを曝す結果をもたらす可能性がある。この場合、攻撃者はユーザが改竄されたバイナリを実行するのを待ち、例えば、setuid されたシェルを隠蔽された場所へ作成したり、ユーザの .rhosts ファイルに何かを書き込むなどの権限昇格可能な行為を行う可能性がある。 5. Padl Software nss_ldap Local Denial of Service Vulnerability BugTraq ID: 1863 リモートからの再現性: なし公表日: 2000-10-27 関連するURL: http://www.securityfocus.com/bid/1863 まとめ: nss_ldap は Padl Software によって提供されている、ユーザ属性や関連情報のための情報源(getpwent 等経由で用いられる)として用いられる LDAP ディレクトリを、システム上で使うためのモジュールである。しかし、LDAP サポート付きの RedHat Linux 7.0, 6.2, 6.1 において、nss_ldap が nscd (name service caching daemon) と組み合わせて使われる際、ローカルからの DoS 攻撃を受けてしまう問題がある。 nscd はリクエストが nss_ldap へ送られる前に処理を行うマルチスレッドで動作するデーモンである。攻撃者が大量の LDAP 情報へのリクエストを与えた場合、デーモンが取り扱える以上のスレッドが発生してしまい、システムがリセットされるか、あるいはデーモンが KILL されるまですべてのリクエストはブロックされてしまうのである。これは非常に有効なローカルからの DoS 攻撃である。この問題を生じる原因は、DoS に陥るまでの資源の開放と取得という2つの状態に由来している。問題は nscd が非常にリクエストを数多く処理している際、また、すべてのスレッドが利用中である場合に生じる(攻撃者はこの状態を引き起こし可能である)。 n 番目のリクエストが (n はこの場合、nscd が取り扱い可能な最大スレッド数である) 与えられた場合、nss_ldap は LDAP サーバへ問い合わせる前に mutex をロックする (mutex は競合状態からスレッド間で共有される重要なメモリ領域を保護するものである)。この場合、mutex のロックが解除されるまですべてのそれ以外の LDAP を参照するリクエストはブロックされてしまう。これは、処理を高速化するための通常の仕様であるためである。それから nss_ldap は LDAP サーバの IP アドレスを探すために gethostbyname() 関数を呼び出すのである。この際不幸にも、glibc は gethostbyname() 関数へのリクエストをスレッドが開放されるまでリクエストを受け付けないままの nscd に向けてしまうのである。しかも、スレッドが gethostbyname() 関数を呼んでいる nss_ldap リクエストが mutex を開放するまで待ち状態にあるため、決してリクエストの結果は返ってこないのである。ホスト上の名称解決やユーザ情報の取得を行うための、システムで提供されている関数群はシステムが再起動、あるいは nscd プロセスが KILL されるまで利用不能な状態になってしまう可能性がある。 (nscd を停止するためには root がすでにログインしていなければならない。この状態ではログイン機能は動作しないか、他のリモートからログイン機能を提供するユーティリティは動作しないだろう。) 6. Pagelog.cgi File Disclosure/Creation Vulnerability BugTraq ID: 1864 リモートからの再現性: なし公表日: 2000-10-29 関連するURL: http://www.securityfocus.com/bid/1864 まとめ: Metertek (Metertek@yahoo.com) 氏が提供している pagelog.cgi にはディレクトリ内容を開示してしまうバグがある。このスクリプトはユーザが与えたファイルとそれへのパスに含まれる ../ で表されるディレクトリ表記についてのチェックに失敗してしまうのである。この結果、以下に示す行がスクリプトに与えられた場合、サーバは priovate.log の内容を表示してしまうのである。 http://securehost/cgi-bin/pagelog.cgi?display=../../../../tmp/private.log 同様に Web サーバが書き込み権限をもつ場所であればどこであったとしても、この問題を利用したファイル生成が可能である。例えば、以下に示す行は '/tmp/newfile.txt' と '/tmp/newfile.log' を作成する。 http://server/cgi-bin/pagelog.cgi?name=../../../../../tmp/newfile この問題を突いた攻撃を行うことによって、攻撃者は Web サーバがアクセス可能なログファイルを読み出せ、また、作成(あるいは上書きできる可能性がある) 可能である。未検証ではあるが、シンボリックリンクを利用した攻撃をさらに利用して、 Web サーバにローカルからアクセス可能な攻撃者は、自分自身の権限を Web サーバの権限へ昇格できる可能性が類推される。 7. Netscape Servers Suite Heap Buffer Overflow Vulnerability BugTraq ID: 1865 リモートからの再現性: あり公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1865 まとめ: Netscape Directory Server 製品群に攻撃可能なヒープ領域を対象としたバッファオーバーフローが発生する問題が発見された。Netscape Certificate Management System にはプログラムを共有するいくつかのサーバコンポーネントがある。問題を抱えるシステムは、サービスを実行しているユーザの権限での意図的なコードの実行を許可してしまう。 Netscape Directory Server 4.12 では Directory Services Gateway (DSGW) Web サーバと称する Web から LDAP へのゲートウェイ機能を提供している。クライアントから DSGW へはなんら認証を求められることはない。同様のサービスが Certificate Management System (Netscape/iPlanet CMS 4.2) の一部としてインストールされ、利用されている。この場合、インストール時に選択されるTCP ポートでコネクションを待ち受けている。 (例えば 24326/tcp の様な番号が選択される) 以下に示す URL はヒープ内に割り当てられたバッファをオーバーフローしてしまう。 http://server:24326/dsgw/bin/search?context=<1011 'a' chars> このバッファは MSVCRT!malloc を呼び出した終わりで呼ばれる 404501 に位置する内部関数を呼び出す様に割り当てられている。このバッファは 1024 バイトの固定長で割り振られている。この際 40455B において、sprintf() 関数を呼び出すためには以下のような処理を行えばよい。 sprintf(pFixedBuffer, "%s$$LANGDIR/%s.conf", "../context/", userbuff); sprintf() は境界チェックを行っていないため、バッファは問題を抱えるプログラムを呼び出す際に指定する、'context=' に続くパラメータで与えられる 'userbuff' の大きさに依存するが、上書き可能である。 999 バイトの長さの文字列は pFixedBuffer をオーバーフローさせるに十分であり、1バイト多いだけでも例外処理が発生する。データが上書きされるため、この問題を突いた攻撃が行われた場合、意図的なコードの実行が行われる可能性がある。同様の問題が Netscape\Server4\dsgw\bin ディレクトリ以下にある、ほぼ全てのバイナリ (12個) で発見されている。(tutor を除く) 8. Inktomi Search Software DoS Vulnerability BugTraq ID: 1866 リモートからの再現性: あり公表日: 2000-10-30 関連するURL: http://www.securityfocus.com/bid/1866 まとめ: Ultraseek Server と呼ばれる、現在の Inktomi Search Software はイントラネット、あるいは Web サイト上で動作するサーチエンジンである。このソフトウェアは DoS 攻撃を受けてしまう問題がある。ユーザが改竄された URL をサーチエンジンのデフォルトのポート、8765 に与えた場合、サービスの応答は停止してしまう。通常動作への復旧はサービスの再起動が必要である。 USSR Labs による、以下の例が示されている。 http://ServerIP:8765/index.html?&col=&ht=0&qs=&qc=&pw=100%25&ws=0&nh=10&lk=1&rf=0&si=1&si=1&ql=../../../index 9. Netscape Servers Suite Denial of Service Vulnerability BugTraq ID: 1867 リモートからの再現性: あり公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1867 まとめ: Netscape Server 製品群の一部のコンポーネントにバグがあるため、攻撃者は DoS を利用した攻撃を影響を受けるシステムに対し、行えてしまう問題が発見された。Netscape Certificate Management System にも同様の問題を共有するいくつかのサーバコンポーネントを含んでいる。 Netscape Directory Server 4.12 では Directory Services Gateway (DSGW) Web サーバと称する Web から LDAP へのゲートウェイ機能を提供している。クライアントから DSGW へはなんら認証を求められることはない。同様のサービスが Certificate Management System (Netscape/iPlanet CMS 4.2) の一部としてインストールされ、利用されている。この場合、インストール時に選択されるTCP ポートでコネクションを待ち受けている。 (例えば 24326/tcp の様な番号が選択される) 以下に示す URI を与えることで、例外処理が 0x00403c62 で発生しサーバは機能停止してしまい、サービスのリクエストは、例外処理が取り消されるまで受け付けられなくなってしまうのである。 http://server:24326/dsgw/bin/search?context=% 同様の問題が tutorを除く、Netscape\Server4\dsgw\bin 以下にあるすべてのバイナリに存在する。(対象バイナリ: auth,csearch,dnedit,doauth,domodify, dosearch,edit,lang,newentry,search,unauth) % はアルファベット以外の _ と - を除くいかなる文字に置き換え可能である。この問題に限れば文字長は関係なく、以上の例にあるように、アルファベットではない文字が 1 つあるだけで問題を引き起こすには十分である。問題は 'context=' に続く文字列が英数文字である場合に割り当てられ、そうでない場合に割り当てられないバッファを関数が使っていることに由来している。 10. Unify eWave ServletExec DoS Vulnerability BugTraq ID: 1868 リモートからの再現性: あり公表日: 2000-10-30 関連するURL: http://www.securityfocus.com/bid/1868 まとめ: Unify eWave ServletExec は Java/Java Servlet エンジンのプラグインであり、著名な Web サーバ、例えば Microsoft IIS, Apache, Netscape Enterprise Server 等で利用可能である。しかし、ServletExec servlet への URL が /servlet を付加してリクエストされた場合、eWave ServletExec が DoS に陥る問題がある。ServletExec はポート番号 80 上のサーバスレッドにバインドされるが、もし Web サーバがすでに動作している場合、java.net.BindException エラーが返り、ServletExec エンジン上の機能はすべて停止してしまう。なお、Web サーバはこの問題の影響を受けない。通常動作への復旧はアプリケーションの再起動が必要である。 11. Microsoft Exchange Server Invalid MIME Header charset = "" DoS Vulner= ability BugTraq ID: 1869 リモートからの再現性: あり公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1869 まとめ: Microsoft Exchange Server 5.5 は MIME ヘッダ中の carset 行に空の値が定義されている電子メールを適切に処理することが不可能である。不正な MIME ヘッダを持つ電子メールを受け取った場合、Exchange Server は、機能不全を起こしてしまう。通常動作への復旧はサービスの再起動と問題を起こしたメールの削除、Exchange の再起動が必要である。問題を起こしたメールは処理キューの先頭に位置している。 Exchange 2000 ではこの問題の影響を受けない。 12. tcpdump AFS ACL Packet Buffer Overflow Vulnerability BugTraq ID: 1870 リモートからの再現性: あり公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1870 まとめ: Lawrence Berkeley Laboratory によって作成された tcpdump は、ネットワークトラフィックを観察するための、著名なネットワークモニタリングツールである。このツールはリンクレイヤーインタフェースを libpcap を経由して開き、読み出すために root 権限での実行が必要である。このツールはしばしば、root 自身によって、あるいは root 権限で実行される。 tcpdump は AFS ACL パケットの解釈時にリモートから攻撃可能なバッファオーバーフローを生じる問題があると報告されている。これはネットワークインタフェース越しに受信された AFS パケットフィールドが、メモリ内のあらかじめ定義された大きさのバッファへ大きさに対するチェックなしでコピーされるために生じる。もし適当に組み立てられた場合、例外処理を発生させたデータはスタックの上書きに用いられ、(カスタムメイドの ACL パケットを作成できる) 攻撃者にターゲットとなるホストへのリモートからのアクセスを可能にしてしまう。この問題を突いた攻撃は root 権限の奪取につながる恐れがある。 13. Multiple Linux Vendor dump Insecure Environment Variables Vulnerability BugTraq ID: 1871 リモートからの再現性: なし公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1871 まとめ: RedHat に含まれる dump コマンドはファイルシステムのダンプに用いられるユーティリティである。dump パッケージには他の実行ファイルに setuid root 権限を与えてしまう問題がある。 dump コマンドは適当な動作を行うために、RSH と TAPE 環境変数に依存している。悪意あるユーザは RSH 環境変数内のパスを適当な実行ファイルを指す様に変更する事を元にして、dump の実行時、RSH 環境変数の値で示されたパスにあるファイルを setuid root 権限で実行してしまうのである。この問題を突いた攻撃が成功した場合、root 権限は奪取できてしまう。 14. SAMBA SWAT Symlink Vulnerability BugTraq ID: 1872 リモートからの再現性: なし公表日: 2000-11-01 関連するURL: http://www.securityfocus.com/bid/1872 まとめ: Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向けに提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool) と称する Samba サーバをリモートから管理するためのユーティリティを提供し、 SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるようになっている。このソフトウェア、SWAT の特定のバージョンにはローカルのユーザが root 権限を奪取できてしまえる問題がある。問題の本質は、ユーザが SWAT のログ採取機能 (これはデフォルトでは無効である) にあるプログラムのミスを突いてユーザが指定したデータでファイルを上書きできるという、シンボリックリンクに関する取り扱いにある。この場合、ログ採取機能が有効になっている SWAT では、ログはデフォルトで /tmp/cgi.log へ採取されてしまっている。このログファイルは Web サービスへのすべてのトラフィックを記録しているものであり、不注意にもこのファイルに対するアクセス制限をかけるべき権限が与えられていないために、ローカルのユーザはこのファイルからのシンボリックリンクをいかなる他のファイル (これら他のファイルには読み出し権限が与えられている前提がある) に指し示せてしまえるのである。シンボリックリンクを指し示した後、問題となるソフトウェアのポート (701がデフォルトである) に接続し、リンクで示したファイルへ含まれるデータを入手するのである。リンクで示された先の典型的な例は /etc/passwd である。 15. SAMBA SWAT Logging Failure Vulnerability BugTraq ID: 1873 リモートからの再現性: あり公表日: 2000-11-01 関連するURL: http://www.securityfocus.com/bid/1873 まとめ: Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向けに提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool) と称する Samba サーバをリモートから管理するためのユーティリティを提供し、 SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるようになっている。このソフトウェア、SWAT の特定のバージョンにはローカルのユーザが root 権限を奪取できてしまえる問題がある。問題の本質は、特定のバージョンの SWAT のログ採取機能にはリモートユーザが正しいユーザ名であり、かつ、パスワードが誤っている場合のログイン失敗を適当に採取しない点である。この結果、リモートのユーザはログ採取されることなく、また、ログアウトすることなくサービスに対して継続してパスワードを類推する攻撃が可能である。 16. SAMBA SWAT Logfile Permissions Vulnerability BugTraq ID: 1874 リモートからの再現性: なし公表日: 2000-11-01 関連するURL: http://www.securityfocus.com/bid/1874 まとめ: Samba Software Suite は UNIX システム向けの SMB プロトコルの実装であり、ファイルの共有やプリンタの共有を Windows, NT, OS/2, DOS クライアント向けに提供可能である。SMB プロトコルはしばしば、Lanmanager あるいは NetBIOS プロトコルとして参照される。Samba は SWAT (Samba Web Administration Tool) と称する Samba サーバをリモートから管理するためのユーティリティを提供し、 SWAT はデフォルトで inetd から root 権限でポート番号 701 で起動されるようになっている。このソフトウェア、SWAT の特定のバージョンにはローカルのユーザが root 権限を奪取できてしまえる問題がある。問題の本質は、プログラムのミスを突く事で、ユーザが SWAT のログファイルの権限を元に、SWAT が記録しているリモートからログインし、管理を行うすべてのユーザに対するユーザ名とパスワードを読み出せる点にある。ログ採取機能が有効である場合(デフォルトでは無効である)、SWAT は /tmp/cgi.log にログを採取する。このファイルはいかなるユーザに対しても読み出し可能であり、ユーザ名とパスワードを含み、ローカルユーザはファイルからそれらの情報を入手可能である。 (内容は base64 でエンコードされている) 17. RedHat 7.0 Cyrus-SASL Authorization Vulnerability BugTraq ID: 1875 リモートからの再現性: なし公表日: 2000-10-26 関連するURL: http://www.securityfocus.com/bid/1875 まとめ: Cyrus-SASL は SASL "Simple Authentication and Security Layer" のオープンソースによる実装である。RedHat 7.0 に含まれる Cyrus-SASL 1.5.24 パッケージには認証用のコードに権限を昇格させてしまえるバグを含んでいる。報告されたところによると、問題は資源へアクセスするために認証されたユーザが、まだ認証されていない場合に、アクセスできてしまうという点である。このバグはバージョン 1.5.24 の RedHat 7.0 に含まれる版にのみ現れている。このプロジェクトの主 ftp サイトで提供されている Cyrus-SASL 1.5.24 にはこの問題を含まず、RedHat PowerTools で提供されているより古いバージョンのこのソフトウェアもこの問題を生じていない。 18. Unify eWave ServletExec File Upload Vulnerability BugTraq ID: 1876 リモートからの再現性: あり公表日: 2000-10-31 関連するURL: http://www.securityfocus.com/bid/1876 まとめ: Unify eWave ServletExec は Java/Java Servlet エンジンのプラグインであり、著名な Web サーバ、例えば Microsoft IIS, Apache, Netscape Enterprise Server 等で利用可能である。 ServletExec には未登録の Servlet、'UploadServlet'が含まれている。特別に組み立てられた HTTP の GET リクエストを与えることで、リモートのユーザが、いかなるファイルを ServletExec が動作するサーバのいかなるディレクトリへアップロードできてしまえる問題がある。この問題はユーザが HTML フォームをローカルのシステム上に作成する事で、作成したフォームを用いて問題となる Servlet を示す事でいかなる意図するファイルのアップロードも可能である。この問題を突いた攻撃が成功した場合、Web サーバの権限の奪取が可能である。以下は Foundstone Labs による例である。 HTTP および 'GET' リクエスト: nc target GET /servlet/com.unify.ewave.servletexec.UploadServlet HTTP/1.0 あるいは http://target/servlet/com.unify.ewave.servletexec.UploadServlet HTML フォーム: 19. Cisco PIX PASV Mode FTP Internal Address Disclosure Vulnerability BugTraq ID: 1877 リモートからの再現性: あり公表日: 2000-10-03 関連するURL: http://www.securityfocus.com/bid/1877 まとめ: Cisco PIX は著名なファイやウォールデバイスである。接続しようとするクライアントに対し、内部の FTP サーバの IP アドレスを隠蔽する様に PIX の設定を行うことが可能である。FTP セッション中に受動 FTP モード (Passive FTP Mode; PASV) に切り替え、大量のリクエストを与える事で内部の IP アドレスがしばしば公開されてしまう問題が発見された。しかし、この状態が再現する明確な条件は未詳である。この問題は PIX Firmware 5.2(4) で検証され、他のバージョンにおいても同様の問題を生じる恐れがある。 20. Solaris syslogd Unresolvable Address Remote Denial of Service Vulnerabi= lity BugTraq ID: 1878 リモートからの再現性: あり公表日: 1996-11-09 関連するURL: http://www.securityfocus.com/bid/1878 まとめ: Sun Microsystems が提供する Solaris 2.4 に含まれる syslogd (system logging daemon) にはリモートからクラッシュ可能であるという問題がある。 loghost がログメッセージを DNS や NIS、hosts 等から名称解決できないホストから受け取った場合、syslogd は core ダンプを起こしてしまう。 syslog 経由でのシステムイベントの採取はデーモンが手動で再起動されるまでは復旧しない。この問題は攻撃者が、他の攻撃あるいはシステムの目的外利用の間、ログ採取を停止できてしまえる可能性をもたらしている。 21. BMC Patrol UDP Bounce Attack Denial of Service Vulnerability BugTraq ID: 1879 リモートからの再現性: あり公表日: 1999-04-09 関連するURL: http://www.securityfocus.com/bid/1879 まとめ: BMC Software が提供している Patrol はエンタープライズマネジメントソフトウェアである。このソフトウェア群の中に含まれるソフトウェアには、UDP ポートでコネクションを待ち受け、デフォルトでいかなるホストやポート番号からそれを受け付けてしまうものがある。この結果、攻撃者はパケットをターゲットの chargen サービスから送り出されたかの様にスプーフィングすることで「ピンポン攻撃」(ping pong attack) を行えてしまう。UDP データグラムはこの場合、差し戻されてしまい、ターゲットのネットワーク資源、CPU 資源が使い尽くされてしまう可能性がある。 22. Cisco IOS Extended Access List Failure Vulnerability BugTraq ID: 1880 リモートからの再現性: 未詳公表日: 2000-10-22 関連するURL: http://www.securityfocus.com/bid/1880 まとめ: IOS は数多くの Cisco 製ネットワーク機器で利用されているファームウェアである。 IOS 12.x の何種類かのバージョンでは (12.1(4) で検証を行い、他のバージョンでも同様の報告を受けている)、拡張アクセスコントロールリストの特定のルールが設定不能である。このため、攻撃者はアクセスコントロールリストでコントロールされているべきネットワークにある、弱点を抱えたネットワークサービスへアクセスできてしまえる可能性がある。なお、この問題の原因は未詳である。 23. CGI Script Center News Update Password Changing Vulnerability BugTraq ID: 1881 リモートからの再現性: あり公表日: 2000-10-27 関連するURL: http://www.securityfocus.com/bid/1881 まとめ: News Update はシェアウェアの Perl で記述された CGI プログラムであり、 Web サイトのコンテンツのヘッドラインを容易に提供できる機能を提供する。このソフトウェアは CGI Script Center で提供されている。バージョン 1.1 では、匿名の攻撃者によってリモートからシステムの管理権限が奪取されてしまう問題がある。これは管理用パスワードの変更方法の実装のバグに由来している。このプログラムはユーザによって入力されたパスワードと古いパスワード(パスワードを変更しようとしているのが、管理者本人であることを確認するために行う)の比較を失敗し、この結果、いかなるユーザであってもパスワードの変更が可能である。一度管理権限が悪意ある攻撃者に奪取されてしまった場合、意図するヘッドラインがターゲットとなった Web サイトに設置できてしまえる。 24. Microsoft Network Monitor Multiple Buffer Overflow Vulnerabilities BugTraq ID: 1882 リモートからの再現性: あり公表日: 2000-11-01 関連するURL: http://www.securityfocus.com/bid/1882 まとめ: Windows NT/2000 に含まれる Network Monitor Tool (訳注:日本語版では「ネットワークモニタツール」)は管理者にローカルのすべての、また、特定のホストに対するネットワークトラフィックの取得と解析機能を提供している。このツール、netmon はグラフィカルインタフェースを利用して表示する前にトラフィックをネットワークから収集し、内容を解釈し、ユーザインタフェース内で読み出せる形式に変換している。 netmon に含まれるいくつかの DLL ライブラリ群はそれぞれのアプリケーション層のプロトコルを解釈するように設計されている。これらライブラリ群の内、 browser.dll に問題が発見された。問題を抱えるこの DLL に数多くの関数呼び出しを行い、複数のスタックオーバーフローを起こすことで、リモートの攻撃者は Network Monitor Tool の管理権限を奪取し、意図的なコードを実行し、ターゲットの管理権限を奪取可能である。 25. KW Whois Remote Command Execution Vulnerability BugTraq ID: 1883 リモートからの再現性: あり公表日: 2000-10-29 関連するURL: http://www.securityfocus.com/bid/1883 まとめ: whois は登録済みのドメイン名についての一般情報と技術的な連絡先を見つけ出すために用いられるユーティリティである。Kootenay Web Inc が提供する linux 上で whois を利用するための Web インタフェース、Whois (release v.1.9) に問題が発見された。ユーザがフォームに入力した値がシェル用のメタキャラクタを含んでいるかどうかについての内容チェックに失敗してしまうため、悪意あるリモートのユーザはスクリプト経由でリモートのシステム上で意図的なコードを実行してしまう様な動作が可能である。攻撃者がローカルのシェルを Web サーバの権限でアクセス可能になる。なお、より高い権限の奪取 (例えば root) の奪取に繋がる可能性がある。 26. Microsoft Windows 95/WfW smbclient Directory Traversal Vulnerability BugTraq ID: 1884 リモートからの再現性: あり公表日: 1995-10-30 関連するURL: http://www.securityfocus.com/bid/1884 まとめ: Samba は Windows クライアントを UNIX サーバのファイルやプリンタ資源へ NetBIOS 経由でアクセスできるようにするツールである。 Microsoft による Windows 95 build 490.r6 および Windows for Workgroups の SMB によるファイルとプリンタ共有機能の実装には、ディレクトリ内容を公開してしまう問題がある。 smbclient は通常、ユーザが与えたパスに含まれる /../ という文字列をサーバに与える前に拒否している。これは攻撃者にサーバのディレクトリツリー構造を辿れなくし、また、通常参照できないファイルへのアクセスを防止している。 smbclient によって /../ 表記に対するチェックがなされているために、クライアントは不正な入力を排除していると、サーバは仮定している。しかし、 /../ 文字列に対する制限を解除し、受け入れるように改造されたクライアントは、ファイル名の前にこれら文字列を付加してしまい、サーバへリクエストしてしまうのである。サーバは入力値の検証をクライアント側に任せているため、一度サーバに /../ を含むパス表記が与えられた場合、それは正しいと仮定されてしまうのである。この結果、ディレクトリ内容の公開が生じ、攻撃者はホスト内の通常制限されたファイルシステム内の場所へアクセスできてしまうのである。これはセキュリティに関連した情報を公開してしまうことになり、また、これ以降の権限奪取が可能な状態にホストを曝してしまうことになる。 27. Cisco CVCO/4k Remote Username and Password Retrieval Vulnerability BugTraq ID: 1885 リモートからの再現性: あり公表日: 2000-10-26 関連するURL: http://www.securityfocus.com/bid/1885 まとめ: バージョン 5.13 およびそれ以前のソフトウェアを動作している Cisco Virtual Central Office 4000 (VCO/4K) programmable voice switch に問題が発見された。この機器用の SNMP 経由での管理インタフェースを利用するためのユーザ名とパスワードは複合可能な単純な置換を利用したサイファーで保護されている。このため、「暗号化」されたはずのパスワードが取得可能である場合(例えば、読み出しのみが許可されているコミュニティ名に対するパスワード)、攻撃者は有効なユーザ名一覧とパスワードの一覧を取得可能であり、権限の昇格が行われる可能性がある。さらにはより重大な問題に発展する可能性もある。 28. HP-UX cu Buffer Overflow Vulnerability BugTraq ID: 1886 リモートからの再現性: なし公表日: 2000-11-02 関連するURL: http://www.securityfocus.com/bid/1886 まとめ: cu は UNIX 上で利用されるユーティリティであり、しばしば電話線を介した 2ホスト間で通信を行うために利用されている。このユーティリティは大抵、一般ユーザで起動された際に通信機器にアクセスできるようにするために setuid root でインストールされている。 HP-UX 11.0 に含まれる cu (および他のバージョンにも同様の問題が考えられる) は、適当に攻撃された場合、攻撃者の権限昇格を引き起こしてしまうバッファオーバーフローを起こしてしまう問題がある。-l (ライン) オプションに与える引数は安全ではない方法で取り扱われ、もしも長さが 9777 バイトを超えた場合、スタック値の破壊を招いてしまう。この結果、ユーザによって与えられたシェルコードが cu のプロセス権限 (euid 0) で実行されてしまう結果を招いてしまう。 29. ISC host Remote Buffer Overflow Vulnerability BugTraq ID: 1887 リモートからの再現性: あり公表日: 2000-10-27 関連する URL: http://www.securityfocus.com/bid/1887 まとめ: 現行では利用されていないバージョンの ISC の host コマンドに、攻撃に利用される可能性があるバッファオーバーフローが発生する問題が発見された。 host コマンドは与えられたドメイン名に対するゾーン転送を有効にするための AXFR コマンドを発行するために使われる可能性がある。問題を抱える host コマンドでは、AXFR クエリの結果が 512 バイトを超える長さのサーバからの応答になった場合 (TCP DNS メッセージは 65535 バイトになる可能性がある)、スタック上にある関連するバッファをオーバーフローし、関数のリターンアドレスを改変することが可能である。このため、悪意のあるネームサーバの管理者にクエリが発行されたとき host が実行されているシステムの管理者権限を奪取される可能性がある。 30. CS&T CorporateTime for the Web Brute Force Vulnerability BugTraq ID: 1888 リモートからの再現性: あり公表日: 2000-10-31 関連する URL: http://www.securityfocus.com/bid/1888 まとめ: CS&T CorporateTime for the Web は、Web インターフェイスを備えたカレンダーおよびスケジュール管理ツールである。このツールには総当たり法を利用することによって、有効なユーザ名とパスワードを奪取される可能性がある。なぜなら、ユーザは際限なくログインを試みることが可能で、無効なユーザ名が入力された場合、"The system found no matches for the given search string" というメッセージが表示され、不適切なパスワードが入力された場合には、"The password you entered is incorrect" と表示される。これらのエラーメッセージから、このソフトウェアへアクセスするための有効なユーザ名とパスワードを類推することが可能である。 31. HP-UX dtterm Buffer Overflow Vulnerability BugTraq ID: 1889 リモートからの再現性: なし公表日: 2000-08-10 関連する URL: http://www.securityfocus.com/bid/1889 まとめ: dtterm は商用 UNIX システムに含まれる CDE のターミナルプログラムである。 HP-UX の最近のバージョン (他のバージョンやシステムでも同様の問題を抱える可能性は大きい) に付随する dtterm のバージョンには、ローカルから攻撃可能なバッファオーバーフローを生じる問題がある。 - -tn オプション (ターミナル名を指定するために利用される) の引数は、コマンドラインからプログラムに渡され、サイズの検査が行なわれないままスタックにコピーされる。引数が十分長い場合、プログラムの実行の流れを置きかえることが可能である。特に、引数に巧妙なデータを適切な位置に組み込んだ故意に組み立てられたものであった場合、稼動しているプロセスの権限でユーザが入力した任意のコマンドを動作させられるプログラムを実行可能である。 dtterm は setuid root でインストールされる。 32. Checkpoint Firewall-1 Valid Username Vulnerability BugTraq ID: 1890 リモートからの再現性: あり公表日: 2000-11-01 関連する URL: http://www.securityfocus.com/bid/1890 まとめ: Checkpoint Firewall-1 は、Checkpoint Software Technologies 社から提供される著名なファイヤウォールパッケージである。Firewall-1 において、ファイヤウォールへのリモートクライアントからの認証要求 (ファイヤウォール上のポート番号 259) に対する応答を利用して、攻撃者が有効なユーザ名を推定できてしまう問題が存在する。ファイヤウォールに接続を試みる際、攻撃者はユーザ名とパスワードを入力する。このユーザ名とパスワードが共に無効である場合、ファイヤウォールは " not found"と応答する。ユーザ名が有効でパスワードが無効である場合、"Access denied by Firewall-1 authentication"と応答する。有効なユーザ名を決定することに成功した際には更に、リモートからの攻撃者は、有効なユーザ名に対するパスワードを決定するための総当たり攻撃 (brute force) やパスワード削り出し攻撃 (password grinding attack) を実行可能である。この問題を突いた攻撃に成功した場合、攻撃者はユーザの権限でファイヤウォールへアクセス可能である。 33. Sun JavaWebServer Viewable .jhtml Source Vulnerability BugTraq ID: 1891 リモートからの再現性: 未詳公表日: 1997-07-16 関連する URL: http://www.securityfocus.com/bid/1891 まとめ: Sun Microsystems が提供する JavaWebServer for Win32 のバージョン 1.1Beta には弱点が存在する。JavaWebServer は Java を利用した Web アプリケーション開発用のプラットフォームである。 .jhtml ファイル (Java のソースコードが埋め込まれた HTML ドキュメント) をリクエストする URL が発行され、そのファイル名に'.' または '/' 文字が付加されている場合、.jhtml ファイルはサーバ上でコンパイルされずに、ソースコードがクライアントに返される。その結果、データベースのユーザ名やパスワード、リソースの位置、Web サイトやネットワークの構成、ビジネスモデルなどの公開すべきではないシステム情報を攻撃者に奪取される可能性がある。情報が持つそのもの自体の価値の他に、この種の情報はホストへの更なる攻撃にを実行するために、潜在的に利用される可能性がある。 34. RPC Portmapper Denial of Sevice Vulnerability BugTraq ID: 1892 リモートからの再現性: あり公表日: 1998-11-13 関連する URL: http://www.securityfocus.com/bid/1892 まとめ: rpcbind ポートマッパーの特定のバージョンにリモートから root を奪取できる弱点が存在する。 RPC (Remote Procedure Call) は、あるプログラムがネットワーク設定の詳細情報を取得することなく、ネットワーク上にある他のコンピュータに位置するプログラムが提供するサービスへ要求することを可能とする。 pmap_set/pmap_unset UDP パケットを偽造できる攻撃者は、リモートホストに任意の RPC プログラムを登録または削除可能である。このため、攻撃者は mountd、nfsd、ypserv などの主要なサービスを停止することにより、標的となるホストを DoS に陥らせることが可能である。また、悪意あるローカルユーザにサーバ上に RPC プログラムを登録することを許可するため、攻撃者が登録したプログラムにもよるが、この弱点のために root 権限を奪取される可能性があり、潜在的にローカルネットワーク上にある他のシステムへも影響を及ぼす。リスト上にある影響を受けるプラットフォームに加えて、現時点で確かなことは確認されていないが、他のバージョンにも同様の弱点が存在する可能性がある。 35. Multiple Vendor RPC Denial of Service Vulnerability BugTraq ID: 1893 リモートからの再現性: あり公表日: 1998-11-13 関連する URL: http://www.securityfocus.com/bid/1893 まとめ: (訳注: 最終段落以外は 34 と全く同じ文章です。) rpcbind ポートマッパーの特定のバージョンにリモートから root を奪取できる弱点が存在する。 RPC (Remote Procedure Call) は、あるプログラムがネットワーク設定の詳細情報を取得することなく、ネットワーク上にある他のコンピュータに位置するプログラムが提供するサービスへ要求することを可能とする。 pmap_set/pmap_unset UDP パケットを偽造できる攻撃者は、リモートホストに任意の RPC プログラムを登録または削除可能である。このため、攻撃者は mountd、nfsd、ypserv などの主要なサービスを停止することにより、標的となるホストを DoS に陥らせることが可能である。また、悪意あるローカルユーザにサーバ上に RPC プログラムを登録することを許可するため、攻撃者が登録したプログラムにもよるが、この弱点のために root 権限を奪取される可能性があり、潜在的にローカルネットワーク上にある他のシステムへも影響を及ぼす。備考: 弱点があることが確認されたリストにあるプラットフォームに加えて、他のプラットフォームは確認されていないが、同様に影響を受ける可能性がある。 36. FreeBSD getnameinfo() Denial of Service Vulnerability BugTraq ID: 1894 リモートからの再現性: あり公表日: 2000-11-01 関連する URL: http://www.securityfocus.com/bid/1894 まとめ: getnameinfo() 関数は、アドレスに対する名前解決のため、またソケットアドレス構造のポート値を検索するためにネットワークプログラムによって利用される (ホスト名とサービス名の列を返す)。BSD システムに付随するこの関数の実装には、リモートから DoS 状態に陥らせらせる、「一つ違いエラー」 (訳注: 原文は off-by-one vulnerability) が存在する。標的となる DNS サーバを管理する悪意を持ったユーザが、サービスを getnameinfo() 関数の使用により生成されたクエリへの返答に対して"異常に長い"ホスト名を返すように設定した場合、関数を呼び出したプログラムはクラッシュする。この攻撃は、 getnameinfo() 関数を使用し、クライアントからの応対のために子プロセスをフォークする前に、inetd を介さず "1 回で"呼び出されるサービスに対してのみ有効である。 37. Multiple Vendor top Format String Vulnerability BugTraq ID: 1895 リモートからの再現性: なし公表日: 2000-11-01 関連する URL: http://www.securityfocus.com/bid/1895 まとめ: top は GoupSys Consulting 氏によって作成され、多数のオペレーティングシステムの主要コンポーネントとしてデフォルトで搭載されている、システムの各種リソース使用率の統計をリアルタイムで表示するプログラムである。 BSD システム上において、top は setgid kmem でインストールされているため、 kmem の権限を持たないユーザによって実行された場合、カーネルメモリからプロセス情報を読み出される可能性がある。 top には、BSD システム上で groupid kmem の権限 (または、他のシステム上では同種の権限) を奪取される可能性がある書式指定子を含む文字列に関する問題を抱えている。問題はユーザのターミナルにエラーメッセージを表示する際に生じている。ユーザの入力を含む文字列 (エラーメッセージ) が printf() 関数にフォーマット文字列の引数として渡されるため、ユーザの入力に悪意を持って形成された書式指定子を埋め込まれた場合、スタック上の変数を破壊し、任意のプログラムの実行を許してしまう。悪意あるユーザが egid kmem 権限を奪取した場合、カーネルメモリから極めて重大な情報を読み出し、さらなる権限の昇格 (最終的には root 権限) に利用されてしまう。バージョン 4.2 以前の FreeBSD に付随する top のバージョンには弱点の存在が確認されている。他のシステムで利用されているバージョンにも (検証されてはいないが) 弱点がある可能性がある。 38. WebObjects Remote Overflow Vulnerability BugTraq ID: 1896 リモートからの再現性: 未詳公表日: 2000-04-04 関連する URL: http://www.securityfocus.com/bid/1896 まとめ: Apple が提供する Web 技術を利用したアプリケーションを開発するための著名なプラットフォームである WebObjects 4.5 Developer には、DoS に陥る問題がある。問題を抱えるバージョンは、CGI アダプタとIIS 4.0 を組み合わせて稼動させている Windows NT 4.0 である。巨大なヘッダ (4.1K 以上) が付けられた HTTP リクエストが送信された場合、 webobjects.exe はクラッシュする。また、攻撃者に IIS の権限でリモートから任意のプログラムの実行を許してしまう可能性があるが、現時点では確認されていない。報告されるところによると、この弱点は development ライセンスの下でインストールされた場合のみ生じる。deployment ライセンスの場合には、この問題の影響は受けない。 39. CGI Script Center Subscribe Me Lite Account Deletion Vulnerability BugTraq ID: 1897 リモートからの再現性: あり公表日: 2000-11-02 関連する URL: http://www.securityfocus.com/bid/1897 まとめ: CGI Script Center が提供する Subscribe Me Lite はメーリングリストを管理するツールである Subscribe Me のシェアウェア版である。 Subscribe Me Lite はデフォルトで addresses.txt という名前のデータベースファイルを生成する。これが適切な場所に保存されない場合、リモートからの攻撃者に定期購読者データベースから購読者を削除するために addresses.txt ファイルに含まれる情報を利用されてしまう。addresses.txt ファイルがいかなる権限でも読み出し可能なディレクトリに保存されている場合 (そのためファイルを読むために管理者のパスワードが不必要) リモートからの攻撃者はファイルを読み、記載されている電子メールアドレスを利用してユーザを購読者のリストから外してしまう。マシンのローカル設定や Subscribe Me Lite が使用したインストールプロセスを事前に知ること以外に、リモートからの攻撃者には、addresses.txt ファイルがデフォルトでインストールされているディレクトリを決定する手段は明らかではない。 40. IBM Net.Data Buffer Overflow Vulnerability BugTraq ID: 1898 リモートからの再現性: あり公表日: 2000-04-04 関連する URL: http://www.securityfocus.com/bid/1898 まとめ: IBM Net.Data は PATH_INFO CGI 環境変数へのユーザ入力の長さの妥当性を確認していない。その結果、スタック上にコピーされた過剰なデータのため、呼び出した関数のアドレスの戻り値のようなスタック上の重要な部分が上書きされてしまう。このデータはユーザによって入力されるため、プログラムの実行の流れを置き換えてしまうようにデータを組み立てることが可能である。攻撃に成功した場合、インターネット上から匿名の攻撃者に Web サーバを稼動させている権限で標的となるホストにリモートからのアクセスを許してしまう。また、更なる攻撃に曝される危険性がある。特定の状況下では、攻撃者が Web サーバをクラッシュすることで、DoS 状態に陥らせられる可能性がある。 41. Microsoft Windows 2000 ActiveX Control Buffer Overflow Vulnerability BugTraq ID: 1899 リモートからの再現性: あり公表日: 2000-11-02 関連する URL: http://www.securityfocus.com/bid/1899 まとめ: Microsoft Windows 2000 が使用する ActiveX Control には適切に検査されないバッファが存在する。ActiveX control を呼び出す際に入力されるデータにより、悪意あるユーザは DoS 攻撃の実行、またはリモートシステム上での任意のプログラムの実行が可能である。この弱点は Web を介して、または HTML 形式の電子メールという 2 つの方法で利用可能である。攻撃はユーザの権限レベルで実行される。 42. Quake Server Empty udp DoS Vulnerability BugTraq ID: 1900 リモートからの再現性: あり公表日: 2000-11-01 関連する URL: http://www.securityfocus.com/bid/1900 まとめ: Quake1 Server は、インタラクティブなゲームのためにネットワークを介して多数の Quake プレイヤーを管理するために設計されたソフトウェアパッケージである。このソフトウェアには、悪意を持ったユーザがリモートから Quake Server をクラッシュできる弱点が存在する。報告されるところによると、Quake1 Server ソフトウェアは空の UDP パケットを適切に扱うことに失敗する。そのため、特別に組み立てられた UDP パケットを受信すると Quake1 Server はいかなるリクエストに対しても応答を停止し、その結果、DoS に陥ってしまう。 43. NAI Sniffer Agent SNMP Buffer Overflow Vulnerability BugTraq ID: 1901 リモートからの再現性: あり公表日: 2000-11-02 関連する URL: http://www.securityfocus.com/bid/1901 まとめ: Sniffer Agent は統計や情報を中央ネットワーク管理サーバに報告するために設計された分散型ネットワーク監視ソフトウエアパッケージである NAI Sniffer の 1 コンポーネントである。この Agent には、悪意あるユーザに権限のないリモートアクセスを許してしまう弱点が存在する。 Sniffer Agent パッケージの SNMP を取り扱う部分にバッファオーバーフローが存在する。一度 Agent に対する通信文 (community string) が推測されると、いかなるアクセス可能なオブジェクトに対してもシェルプログラムをリモートから書くことが可能である。通信文中に含ませられる文字の入力に制限はなく、各オブジェクト中には 256 バイトの最大バッファを確保可能である。悪意あるユーザは特別に組み立てられた 1 つの UDP パケットを利用することで弱点を突くことが可能である。攻撃に成功した場合、ユーザは System レベルの権限に昇格可能である。 44. NAI Sniffer Agent Authorization Verification Vulnerability BugTraq ID: 1902 リモートからの再現性: あり公表日: 2000-11-02 関連する URL: http://www.securityfocus.com/bid/1902 まとめ: NAI Sniffer Agent は NAI Sniffer package の 1 コンポーネントであり、完全なネットワーク監視のための解決策である。この Sniffer Agent パッケージ中に権限を持たないリモートユーザに Agent 上でコマンドの実行を許してしまう弱点が存在する。 Sniffer Agent は通信を円滑に行なうために UDP パケットを使用する。一度ユーザがリモートから Agent への認証に成功すれば、悪意あるユーザは特別に設計した UDP パケットを組み立て権限のあるユーザに成りすますことが可能である。このシナリオでは権限のないユーザに Agent 上でコマンドを実行することを許し、最終的には Agent の完全な制御を奪われる可能性がある。 45. NAI Sniffer Agent False Login Denial of Service Vulnerability BugTraq ID: 1903 リモートからの再現性: あり公表日: 2000-11-02 関連する URL: http://www.securityfocus.com/bid/1903 まとめ: NAI Sniffer Agent はネットワーク監視パッケージである NAI Sniffer の 1 コンポーネントである。この Agent 中には悪意あるユーザが Agent を稼動しているシステムをクラッシュできる弱点が存在する。 Sniffer Agent はアクセスコントロールがなされ、リモートからアクセスするためにはユーザにログインを要求する。報告されるところによると、Sniffer Agent は失敗したログインリクエストを適切に処理しない。そのため、莫大な数の認証失敗のリクエストに直面した場合、ホストシステムは不安定になる。悪意あるユーザはログイン失敗のリクエストの大量発生させることによって Agent を稼動させているホストをクラッシュすることが可能で、DoS 状態に陥らせる。 46. Lotus Domino SMTP Server ENVID Buffer Overflow and DoS Vulnerability BugTraq ID: 1905 リモートからの再現性: あり公表日: 2000-11-03 関連する URL: http://www.securityfocus.com/bid/1905 まとめ: Lotus SMTP Server は Lotus Domino と Notes サーバソフトウェアパッケージで提供される統合ソリューションの 1 要素である。 Lotus SMTP Server には悪意あるユーザがリモートからサーバ上でプログラムを実行できてしまえる問題が存在する。問題は RFC 1891 に記載された ENVID 変数に存在する。SMTP サーバは "MAIL FROM:" フィールドの ENVID キーワードの境界を適切に検査しない。そのため悪意あるユーザは SMTP サーバを実行するユーザ権限でリモートからプログラムを実行できる ENVID を組み立てることが可能である。オーバーフローに成功した場合、プログラムの実行に成功したにも関わらず Notes サーバはクラッシュし、すべての Notes サービスは機能を停止する。 Notes サーバの手動での再起動が必要であり、それに加えて mail.box ファイルや log.nsf ファイルを手動で除去する必要がある。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1. Protecting the Source 著者: Kevin Mitnick 先月起きた興奮する事態に乗り遅れた人たちのために、Microsoft は正体不明のクラッカーが同社のネットワークを危機に陥れたと発表した。侵入者は 3ヶ月前中国で最初に確認された QAZ Trojan として知られる攻撃ツールを使用した。盗まれたパスワードはロシアに電子メールで送られたと言われている。一番興味をそそられるのは、Microsoft が厳重に保護しているはずのソースコードが盗まれ悪用されたという可能性である。Wall Street Journal が伝えるところによると、クラッカーは Windows、もしくは Office 2000 のソースコードにアクセスした可能性があるとのことである。Microsoft はこれを否定し、攻撃者は開発中の製品のソースコードにアクセスしただけと言う。真実を知るのは、クラッカーと、おそらく確実に Microsoft であろう。 http://www.securityfocus.com/templates/article.html?id=112 2. Visa to e-Shops: Use Firewalls, or else... 著者: Kevin Poulsen オンラインショッピングで顧客が感じる恐怖を払拭するために、クレジットカード会社の最大手である米国 Visa は今週、強制的に、Web で商売をする業者にはクレジットカードの番号と顧客データを悪意ある攻撃からの防衛を徹底させ、無法なサイバーパンクの失敗を公開し、安全を保障するという計画を発表した。 http://www.securityfocus.com/templates/article.html?id=111 3. Scanning Mystery Solved 著者: Kevin Poulsen 今年早々、セキュリティ上の非難を浴びた、インターネット上のホストを密かに調査した新興企業は全世界のインターネット上にいるユーザの地理的位置をリアルタイムで特定するシステムで検査した最終結果を公表した。 http://www.securityfocus.com/templates/article.html?id=110 4.Microsoft's Choice: Law or Order? 著者: Kevin Poulsen October 30, 2000 4:36 PM PT Microsoft が同社の内部ネットワークに今月潜入した侵入者を追い出したとき、犯人を捕らえ、有罪と宣言する FBI の最大のチャンスが水の泡にとなった可能性がある、と専門家は言う。 http://www.securityfocus.com/templates/article.html?id=109 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. SILC (Secure Internet Live Conferencing) 20001103 (Linux) 作者: Pekka Riikonen 関連する URL: http://silc.pspt.fi/ SILC (Secure Internet Live Conferencing) は、セキュアでないチャンネルの上のインターネットでセキュアなカンファレンスサービスを提供するプロトコルです。内部は全く違いますが、SILC は IRC に表面上似てはいます。SILC の目的はセキュアなカンファレンスサービスを提供することにあります。強力な暗号を利用して、すべての通信内容をセキュアにします。 2. Samhain 1.1.2 =20 (AIX, Digital UNIX/Alpha, FreeBSD, HP-UX, Linux, Solaris and Unixware) 作者: Rainer Wichmann (rwichmann@la-samhna.de) 関連する URL: http://la-samhna.de/samhain/ Samhain は、ネットワーク上のホストを集中監視するためのクライアントサーバアプリケーションとしても利用できる、ファイルシステムの一貫性チェッカーです。認証された TCP/IP の接続でログサーバからのレポートを送信することに加えて、いくつかの他のログをとる機能 (電子メール、コンソール、 tamper-resistant ログファイル、syslog) が利用できます。Samhain は、 Linux、AIX 4.1、HP-UX 10.20、Unixware 7.1.0、Solaris 2.6 で動作確認がなされています。 3. AccountPolicy 0.2 (Windows NT) 作者: Darren Tucker 関連する URL: http://www.zipworld.com.au/~dtucker/accountpolicy.html NT で動作するは User Account Policy はローカルマシンでコマンドラインから設定することができます。ユーザマネージャの"原則->アカウント" メニューとほとんど同じ機能を備えていて、コマンドラインから利用できます。パスワードの有効期限の最大値と最小値、パスワードの最小の長さ、パスワードの履歴サイズ、ロックアウトまでのログオン失敗回数、アカウントをロックアウトする期間を設定できます。ドメインへの logon スクリプト、jobs、logdown スクリプト等から利用可能です。 4. SAINT - Security Administrator's Integrated Network Tool 3.1 (AIX, BSDI, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, Solaris, SunOS and Ultrix) 作者: World Wide Digital Security, Inc. (saint@wwdsi.com) 関連する URL: http://wwdsilx.wwdsi.com/saint/ SAINT (Security Administrator's Integrated Network Tool) は、SATAN を基礎としたセキュリティ評価ツールです。定期的に更新され、リモートから検知できる弱点について検査します。ファイアウォールを通しての検査、CERT や CIAC の bulletin からセキュリティの検査項目の更新、4 段階の重大性評価 (レッド、イエロー、ブラウン、グリーン) などの機能があり、使いやすい HTML のインターフェイスを備えています。 5. NetSaint 0.0.6 (HP-UX, IRIX, Linux and Solaris) 作者: Ethan Galstad (netsaint@linuxbox.com) 関連する URL: http://www.netsaint.org NetSaint はネットワーク上にあるホストとサービスを監視するプログラムです。問題発生時や問題解決時に電子メールを送信したり呼び出す機能を備えています。現在のサービス状況、問題の履歴、履歴の通知、Web 経由のログファイルなどを表示するための、いくつかの CGI プログラムが含まれています。 6. NATAS 3.00.01 (Windows 2000) 作者: Bj=F6rn Stickler (stickler@rbg.informatik.tu-darmstadt.de) 関連する URL: http://intex.ath.cx/natas.shtml Natas は Windows 2000 のために設計された最新のネットワークパケット捕獲解析プログラムです。Windows 2000 で搭載された、*NIX オペレーティングシステムのように raw パケットをサポートした、新しい winsock v2.2 を使用して動作します。 Natas を実行するためにはマシン上での管理者権限が必要です。 - -- Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya Little eArth Corporation - LAC Co., Ltd. http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: SAKAI Yoriyuki iQA/AwUBOgdg6ZQwtHQKfXtrEQLEbwCfW4Ds66AwhKbJLPVroeK9oACHhfQAoMhg Hx1+7yAWVc+02Ez92dVum2YH =poJL -----END PGP SIGNATURE-----