SecurityFocus.com Newsletter #66 2000-11-04->2000-11-10
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 66 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.21.0011130940390.4718-100000@mail>
Date: Mon, 13 Nov 2000 09:43:07 -0800
SecurityFocus.com Newsletter #66
- ---------------------------------
I. FRONT AND CENTER(日本語訳なし)
1. The Field Guide for Investigating Computer Crime: Search and Seizure
2. Know Your Enemy: Worms at War
3. An Introduction to Viruses and Malicious Code
II. BUGTRAQ SUMMARY
1. VolanoChatPro Local Password Disclosure Vulnerability
2. Authentix Authentication Vulnerability
3. ManTrap Hidden Process Disclosure Vulnerability
4. ManTrap Root Directory Inode Disclosure Vulnerability
5. Multiple Vendor Mail Reply-To Field Vulnerability
6. Microsoft IIS 4.0 ISAPI Buffer Overflow Vulnerability
7. Microsoft IIS 5.0 Executable File Parsing Vulnerability
8. ManTrap Local Denial of Service Vulnerability
9. RedHat Linux restore Insecure Environment Variables Vulnerability
10. Cart32 Admin Password Vulnerability
11. Sonata Conferencing Multiple Vulnerabilities
12. Compaq Management Agents for Netware Plaintext Password Vuln
13. FreeBSD xfce Port Display Vulnerability
14. HP-UX registrar Local Arbitrary File Read Vulnerability
15. McAfee VirusScan 4.5 Unquoted ImagePath Vulnerability
16. YaBB search.pl Arbitrary Command Execution Vulnerability
17. StarOffice /tmp Directory Symbolic Link Vulnerability
18. Multiple Vendor BIND 8.2.2-P5 Denial of Service Vulnerability
19. Windows NT 4.0 Terminal Server RegAPI.DLL Buffer Overflow
20. Lotus Notes R5 S/MIME Vulnerability
21. tcsh Here-document /tmp Symbolic Link Vulnerability
22. BNC IRC Proxy Buffer Overflow Vulnerability
23. HP-UX Aserver /tmp/null Symbolic Link Vulnerability
24. HP-UX Aserver PATH Vulnerability
25. HP-UX Aserver /tmp/last_uuid Symbolic Link Vulnerability
26. HP-UX MC/ServiceGuard Default Permissions Vulnerability
27. McMurtrey/Whitaker & Associates Cart32 Path Disclosure Vulnerability
28. Microsoft Indexing Services for Windows 2000 File Verification Vuln
29. McMurtrey/Whitaker & Associates Cart32 DoS Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. The Virus that Stole Christmas
IV.SECURITY FOCUS TOP 6 TOOLS
1. Security Auditor's Research Assistant (SARA) 3.2.3
2. SAINT - Security Administrator's Integrated Network Tool 3.1.1beta1
3. Versioner 0.9
4. Nessus 1.0.6
5. SILC (Secure Internet Live Conferencing) 20001108
6. OpenSSH 2.3.0p1
I. FRONT AND CENTER(日本語訳なし)
- ----------------------------------
II. BUGTRAQ SUMMARY
- --------------------
1. VolanoChatPro Local Password Disclosure Vulnerability
BugTraq ID: 1906
リモートからの再現性: なし
公表日: 2000-11-04
関連するURL:
http://www.securityfocus.com/bid/1906
まとめ:
Windows、および UNIX 互換環境で動作する Java を利用したインターネット上
でのチャット機能を提供する VolanoChatPro 2.1 には問題がある。
サーバ、および管理者用のパスワードを含む設定ファイル、"properties.txt"
は、インストール後にいかなるユーザからも書き込み可能に設定されている。
これら管理用の情報は暗号化、あるいは符号化されていない。このため、
VolanoChatPro が利用するディレクトリにアクセス可能ないかなるユーザは、
パスワードを入手可能であり、チャットサーバの管理権限を奪取可能である。
2. Authentix Authentication Vulnerability
BugTraq ID: 1907
リモートからの再現性: あり
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1907
まとめ:
Authentix は Flicks Software から提供される、Web サイトの保護用パッケージ
である。
このソフトウェアはフォームを利用した、クッキーを利用しない、ユーザ情報
が格納されたデータベースへのユーザ入力を検証することによって Web サイト
上のすべてのファイルを保護ずるための認証メカニズムを持ったページを利用し
ている。しかし、攻撃者は URL 中に特別の文字列を特別の条件と組み合わせる
事で、このソフトウェアの認証用のログインプロンプトを回避可能であり、Web
サーバ上のファイルを参照可能である。
通常、ユーザは以下を入力した場合、ユーザ名とパスワードを要求される。
http://my.secured.server/protected-directory/filename.ext
認証メカニズムを回避するために、ユーザは情報を適当に入れ替えて以下の様な
入力を行う。
http://my.secured.server/protected-directory./filename.ext
protected-directory の後ろに . があるのに注目されたい。試行錯誤を用い、
protected-directory の内容とデフォルトファイル filename.ext にアクセス
でき、これらに読み出しアクセスが可能であった事が判明している。なお、例
えば画像ファイルといったいくつかのファイル種に対しては参照できない。
3. ManTrap Hidden Process Disclosure Vulnerability
BugTraq ID: 1908
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1908
まとめ:
ManTrap は「ハニーポット」型攻撃検知システムであり、分析のために攻撃者
に侵入させる囮である。このハニーポット環境は chroot された Solaris 上に
構築され、アクセスでき得た攻撃者はあたかも実際の OS 環境上にいるかの様
に設計されている。囮に入った攻撃者がこのソフトウェア上にいることを悟ら
ないようにするために、特定のプロセスは隠蔽されている。ManTrap において、
これを実現している手段は、プロセス自身が作り出す /proc 内の項目群を隠蔽
する様な、カーネルモジュールを利用して提供されている。
しかし、この機能はカーネルメモリから直接取得したプロセス情報と /proc
の内容を比較する事を元にして、回避可能である。
kill() システムコールは /proc からは読み出されないため、攻撃者は、例え
ば、SIGCONT (あるいは通常無視されるたぐいのシグナル) を送付するプログラ
ムを使い、kill() (EEPERM) によって生成される errno 値によって再帰プロセ
ス ID の内の「正しい」 PID の判別(「正しい」PID には含まれていない)が可
能である。「正しい」 PID は /proc には現れず、隠蔽されたプロセスである
可能性がある。
4. ManTrap Root Directory Inode Disclosure Vulnerability
BugTraq ID: 1909
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1909
まとめ:
ManTrap は「ハニーポット」型攻撃検知システムであり、分析のために攻撃者
に侵入させる囮である。このハニーポット環境は chroot された Solaris 上に
構築され、アクセスでき得た攻撃者はあたかも実際の OS 環境上にいるかの様
に設計されている。
chroot (change root) とは管理者がプロセス、あるいはプロセスグループをファ
イルシステムのサブセットの元で実行させ、ファイルシステムの他へはアクセス
できなくする様な設定を行える UNIX のメカニズムである。
しかし、攻撃者は / ディレクトリの inode を参照する事で、chroot 化され
た ManTrap システム環境下にいることを類推する事が可能である。
(ls -id / を利用する)
もし大きな値が得られた場合(通常、100000から200000の間である)、/ ディレク
トリはより大きなファイルシステムから chroot() によって生み出されたサブセッ
と類推できる。
この問題と BugTraq ID 1908 で指摘された隠蔽されたプロセスが公開されてし
まう問題を組み合わせることで、攻撃者は root 権限なしであっても、ホストを
破壊する目的で、ホストが ManTrap を利用したハニーポットである事を容易に
検証可能である。
5. Multiple Vendor Mail Reply-To Field Vulnerability
BugTraq ID: 1910
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1910
まとめ:
mail はコンソールから利用可能なメールクライアントである。何種類のこのプ
ログラムのディストリビューションには問題がある。
攻撃者は Reply-To: フィールドにシェルのメタキャラクタを埋め込むように注
意深く文字列を作成し、犠牲者、すなわち受信者へ送付可能である。
このメールを受け取った受信者は、Reply-To: の危険な内容を通常見ず、回答し
ないままでメールを削除してしまう。
しかし、攻撃者は特別の文字を含むようにフィールドを作成するのである。
一連の ^H (訳注: コントロール+H) をフィールドに含める事で、攻撃者は受信
者の画面表示されるフィールドとして、特別の文字付きテキストを作成可能で
あり、犠牲者はメッセージの内容が改竄 (From: あるいは Reply-To: を) さ
れていると言った、目に見える警告はなんら受けない。
メールが受信者から返された場合、Reply-To フィールドの内容は、/tmp 内に
攻撃者によって既に設置された意図的なシェルコマンドを含んだファイルの参
照として解釈される。このため、攻撃者は権限を犠牲者へ昇格可能であり、もし
root が危険な電子メールに返答した場合には root 権限への昇格の可能性が
ある。
6. Microsoft IIS 4.0 ISAPI Buffer Overflow Vulnerability
BugTraq ID: 1911
リモートからの再現性: なし
公表日: 2000-11-06
関連するURL:
http://www.securityfocus.com/bid/1911
まとめ:
ASP の ISAPI ファイルパーサは、2200 文字を超え、RUNAT 値に 'server' と
定義されているスクリプトを含む、悪意ある ASP ファイルを適切に実行でき
ない問題がある。バッファに入力された値に依存するが、DoS 攻撃を受ける可
能性、あるいは悪意ある ASP ファイルが IIS 上のローカルの環境で実行され
た場合、意図的なコードが SYSTEM 権限下で実行できてしまえる可能性がある。
7. Microsoft IIS 5.0 Executable File Parsing Vulnerability
BugTraq ID: 1912
リモートからの再現性: あり
公表日: 2000-11-06
関連するURL:
http://www.securityfocus.com/bid/1912
まとめ:
Microsoft IIS 5.0 が実行ファイルに対する正しいリクエストを受け取る際、
ファイル名はファイルを実行する OS へ引き渡される。IIS が OS 付属のコマ
ンドに続けた、実行ファイルへの特別に組み立てられたリクエストを受け取っ
た際、IIS は拒否する代わりにリクエスト全ての処理を行おうとしてしまう。
このため悪意あるユーザはシステムコマンドを、権限昇格、ファイル削除、
追加、ファイルの改変、サーバの全権限の奪取を引き起こす可能性がある
IUSR_machinename 権限で実行可能である。
この問題を突いた攻撃を成功させるために、リクエストされるファイルは既存
の、ユーザが実行権限を与えられているフォルダ内の実行ファイルでなければ
ならない。
8. ManTrap Local Denial of Service Vulnerability
BugTraq ID: 1913
リモートからの再現性: なし
公表日: 2000-11-01
関連するURL:
http://www.securityfocus.com/bid/1913
まとめ:
ManTrap は「ハニーポット」型攻撃検知システムであり、分析のために攻撃者
に侵入させる囮である。このハニーポット環境は chroot された Solaris 上に
構築され、アクセスでき得た攻撃者はあたかも実際の OS 環境上にいるかの様
に設計されている。このシステムではファイルおよびプロセスを隠蔽するため
に、カーネルからのデータをフィルタするカーネルジュールが用いられている。
これらカーネルモジュールに内在する例外処理の取り扱いの失敗を突いた攻撃
が可能であり、システムをローカルから一時的に利用できない状態にする事が
可能である。これは /proc 内の様々なディレクトリの列挙、ディレクトリ内
の移動を重ねる事で実施可能である。
# cd /proc && cd self && cd cwd
# pwd <causes error response>
# cd ../../../../../
# cd proc
# cd self <should receive error response>
# ls, pwd, etc, <BOOM!>
技術的な詳細は未詳である。
9. RedHat Linux restore Insecure Environment Variables Vulnerability
BugTraq ID: 1914
リモートからの再現性: なし
公表日: 2000-11-03
関連するURL:
http://www.securityfocus.com/bid/1914
まとめ:
restore は RedHat Linux Operating System に含まれているバックアップとレ
ストア処理で使われるプログラムである。このプログラムにはユーザが権限を
昇格できてしまえる問題がある。
問題は RSH 環境変数の取り扱い部分にある。このプログラムは実行時、RSH 環
境変数に依存した動作を行う。このため、この環境変数の値を PATH に含まれる
実行ファイルを含む様に設定し、その後 restore を実行する事が可能である。
この結果、RSH 環境変数に含まれる値で指定される実行ファイルは EUID 0 で
実行することになる。悪意あるユーザがこの問題を突いた攻撃を行った場合、
root 権限の奪取が可能である。
10. Cart32 Admin Password Vulnerability
BugTraq ID: 1915
リモートからの再現性: あり
公表日: 2000-11-06
関連するURL:
http://www.securityfocus.com/bid/1915
まとめ:
Cart32 は広く利用されている Windows 用のショッピングカートシステムで
あり、McMurtrey/Whitaker & Associates によって開発されている。
リモート経由のインストール最中、Cart32 はデフォルトで cart32.ini という
管理者用パスワードが含まれたファイルを作成する。パスワードは脆い暗号に
よって暗号化されているため、攻撃者は .ini ファイルからパスワードのハッ
シュを取得できた場合、管理者権限を取得できるためにクラッキング可能であ
る。付け加えるならば、.ini ファイルは現在、および以前の管理者用パスワー
ドを Debug セクションに平文で含んでいる。
11. Sonata Conferencing Multiple Vulnerabilities
BugTraq ID: 1916
リモートからの再現性: あり
公表日: 2000-11-07
関連するURL:
http://www.securityfocus.com/bid/1916
まとめ:
Sonata は Voyant Technologies によるネットワーク越しの会議システム機能
を提供する製品である。
この製品の 2 つのコンポーネントには問題がある。Solaris 2.x 上で動作する
Application Server と OS/2 Warp で動作する Bridging Server である。
Application Server は攻撃者が基本的な情報類推手法 (詳細は未詳) を用い
てデフォルトアカウントを奪取し、結果として root 権限の奪取が可能である
問題を抱えている。
アカウント情報は不完全なパスワード保護と脆いファイルへのパーミッション
が付けられ、製品のデフォルトインストール状態ではいかなるパスワードであっ
ても全て同一である。付け加えるならば、リモートの攻撃者がキー入力を記録
に採取でき、X の画面のスクリーンショットを作成できる手段として用いられ
る xhost 認証はリモートの攻撃者に対しては利用できない。
Bridging Server も同様の問題を持ち、どちらの環境も同一であるデフォルト
パスワードを利用した攻撃を受けてしまう問題を抱えている。
12. Compaq Management Agents for Netware Plaintext Password Vulnerability
BugTraq ID: 1917
リモートからの再現性: あり
公表日: 2000-11-06
関連するURL:
http://www.securityfocus.com/bid/1917
まとめ:
Compaq Management Agents のデフォルトインストール状態では匿名アクセスが
HTTP 経由、ポート番号 2301 番で \SYSTEM\AUTOEXEC.NCF と \ETC\NETINFO.CFG
に対して可能である。これらファイルにはリモートコンソールのパスワードが
含まれ、そればかりではなく、SNMP のコントロールコミュニティ用のパスワー
ドといった情報も含まれている。パスワードは平文で格納され、以下の URL
にアクセスすることで入手可能である。
http://target:2301/survey
パスワードの入手に成功した場合、悪意あるユーザは Management Agents の全
権限の奪取を行う可能性がある。
13. FreeBSD xfce Port Display Vulnerability
BugTraq ID: 1918
リモートからの再現性: なし
公表日: 2000-11-06
関連するURL:
http://www.securityfocus.com/bid/1918
まとめ:
xfce は X Window Manager であり、XFree86 プロジェクトにより配布されてい
る XFree86 Window System 上で動作する様に設計されている。
xfce はFreeBSD システムに容易に様々なパッケージをインストールできるよう
に設計された FreeBSD Software Ports コレクションに含まれている。
xfce にはユーザに他のユーザのデスクトップを見せてしまうという問題がある。
問題はスタートアップスクリプトにある。デフォルトで、xfce スタートアップ
スクリプトはアクセスコントロールをローカルのユーザが接続し、状態を観察し、
そしてデスクトップ環境を管理できる様に、ローカルの X サーバに対しては緩
和してしまっている。この状況下では悪意あるユーザは端末エミュレータ内で
や、デスクトップ上で動作する他のアプリケーションで入力されたパスワード
の収集が可能である。
14. HP-UX registrar Local Arbitrary File Read Vulnerability
BugTraq ID: 1919
リモートからの再現性: なし
公表日: 2000-11-08
関連するURL:
http://www.securityfocus.com/bid/1919
まとめ:
HP が提供する HP-UX の 10.20 (他のバージョンも同様の問題を抱える可能性
がある)に含まれる register サービスにはローカルユーザがホスト上のファイ
ルシステム内のいかなるファイルであっても読み出せてしまえる問題を抱えてい
る。サービス (ポート番号 1712 番で待ち受けている) は以下のログへ出力を
行う。
/etc/opt/resmon/log/registrar.log
/etc/opt/resmon/log ディレクトリのデフォルトのパーミッションは、ユーザ
がログファイルに mv コマンドを利用して上書きできてしまえる状態である。
これは、root に対して、root 権限でコネクションがサービスを提供した場合
のログの作成状態である。
既存のログを mv で他の場所へ移動させた後、悪意あるユーザはシンボリック
リンクを読むべき権限をもたない意図したファイルから、/etc/opt/resmon/log
の中の registrar.log 関連付ける。この処理を行った後でなんらかのコネク
ションが registrar サービスと確立できた場合、指し示されたファイルのモー
ドは 0644 (いかなるユーザに対しても書き込み可能) である。
限定されている情報のユーザへの公開、という問題に付け加えるならば、この
方法を用いることでローカルの攻撃者の権限昇格を引き起こす可能性がある。
15. McAfee VirusScan 4.5 Unquoted ImagePath Vulnerability
BugTraq ID: 1920
リモートからの再現性: なし
公表日: 2000-11-03
関連するURL:
http://www.securityfocus.com/bid/1920
まとめ:
McAfee VirusScan のデフォルトインストール状態では、image path への引用
符は取り外された状態である。(例:magePath=C:\Program Files\Common Files\Network
Associates\McShield\McShield.exe)
しかし、悪意あるユーザが C:\Program Files に common.exe という McShield.exe
を呼び出す Visual BASICで作成された悪意あるプログラムを置いた場合、
悪意あるユーザは意図する行為を、VB で作成されたプログラムを介して、成功
裏に行えるのである。意図する行為には権限昇格、ユーザの追加と削除、ファイ
ルの変更、トロイの木馬やウイルスの埋め込み等が考えられる。
16. YaBB search.pl Arbitrary Command Execution Vulnerability
BugTraq ID: 1921
リモートからの再現性: あり
公表日: 2000-11-07
関連するURL:
http://www.securityfocus.com/bid/1921
まとめ:
YaBB (Yet Another Bulletin Board) は広く用いられている perl を用いた
BBS パッケージである。
このパッケージ内の何点かのスクリプトの1本であり YaBB を成り立たせる
search. pl はユーザからの入力を open() への引数として渡す場合のの妥当
性チェックに失敗している。
悪意あるユーザは /../ 形式の文字列とシェルコマンドを与える事が可能であ
り、この結果、この種の入力値を拒否する事に失敗してしまい、スクリプトの
通常動作するディレクトリを開示できてしまい、ホスト上で YaBB の権限で意
図的なコマンドの実行が可能である。
なお、これは匿名のインターネット上のユーザが、ホスト上のシェルを奪取す
るためにも用いられる可能性がある。
17. StarOffice /tmp Directory Symbolic Link Vulnerability
BugTraq ID: 1922
リモートからの再現性: なし
公表日: 2000-11-08
関連するURL:
http://www.securityfocus.com/bid/1922
まとめ:
StarOffice は先進的な文書処理とビジネスアプリケーションを提供する様に
設計された製品パッケージである。しかし、StartOffice を実行しているユーザ
のみが参照できるようになっているファイルへ読み書き可能にできてしまえる問
題が発見された。
問題は /tmp ディレクトリの利用方法にあり、ユーザが StarOffice を起動する
際、アプリケーションは /tmp/soffice.tmp という一時ディレクトリを 0777 と
いうパーミッションで作成してしまう。アプリケーションは、また、処理の間
パーミッションはそのまま維持する事を期待している。このため、悪意あるユー
ザはこの一時ディレクトリからターゲットとなる StarOffice のユーザが所有す
るファイル、あるいはディレクトリへシンボリックリンクを作成可能である。
すでに示したようにリンクされたファイル、あるいはディレクトリのパーミッショ
ンは 0777 に設定されえる。この結果、攻撃者の権限昇格が生じる。
18. Multiple Vendor BIND 8.2.2-P5 Denial of Service Vulnerability
BugTraq ID: 1923
リモートからの再現性: あり
公表日: 2000-11-08
関連するURL:
http://www.securityfocus.com/bid/1923
まとめ:
BIND とは Berkeley Internet Name Daemon と呼ばれ、Internet Software Consortium
によて保守されているフリーの名称解決ソフトウェアパッケージである。
現在の実装には DoS 状態に陥る問題がある。
問題は BIND の Compressed Zone Transfer (ZXFR) の実装にある。デフォルト
インストール状態の BIND は Compressed Zone Transfer (ZXFR) をサポート
していないが、ZXFR へのクエリがネームサーバのキャッシュ内で得られなかっ
た場合、ゾーン転送を許可しているデーモンとそれに対する再帰的なクエリに
よりサーバのクラッシュを生じる。この結果、問題を生じるバージョンを使っ
ているネームサーバのサービスに依存する、すべてのユーザとシステムに対し、
名称解決サービスに対する DoS が生じてしまう。
19. Windows NT 4.0 Terminal Server RegAPI.DLL Buffer Overflow
BugTraq ID: 1924
リモートからの再現性: あり
公表日: 2000-11-08
関連する URL:
http://www.securityfocus.com/bid/1924
まとめ:
GINA は Graphical Identification aNd Authorization という言葉の頭字語で、
ログオン証明書を確認するためのインターフェイスについて記述したものであ
る。標準の実装は MSGINA.DLL である。
Microsoft Windows NT 4.0 に含まれる MSGINA.DLL には相互ログインモデルの
認証ポリシーを執り行う責任があり、Microsoft Windows NT 4.0 Terminal Server
とユーザとの認証をすべて扱うことになっている。また、Terminal Server は
MSGINA.DLL が使用するダイナミックリンクライブラリ (RegAPI.DLL) 中にリモ
ートからでもローカルからでも発生しうるなバッファオーバーフローの弱点を含
んだままで出荷されている。
ユーザ名欄に十分長い文字列を入力することによって、この弱点を突くことが
可能である。実行されバッファオーバーフローが生じたとき、ローカルからの
攻撃の場合にはシステムはクラッシュし、リモートからの攻撃の場合には接続
が遮断される。ユーザ名が特別に組み立てられた文字列であった際には、攻撃
者は Terminal Server へのアクセス権を奪取し、SYSTEM の権限で任意のコマ
ンドを実行可能である。
20. Lotus Notes R5 S/MIME Vulnerability
BugTraq ID: 1925
リモートからの再現性: あり
公表日: 2000-11-08
関連する URL:
http://www.securityfocus.com/bid/1925
まとめ:
Lotus Notes R5 Client は、電子メール、日程管理、グループの予定表、面会
およびタスク管理、Web ブラウジング、知識管理を単一のアプリケーションに
統合することが可能である。Lotus Notes は電子メールの送受信にセキュアな
手段を提供する S/MIME 規格に対応しており、メッセージを暗号化し、メッセ
ージにデジタル証明書を添付して送信可能である。
Lotus Notes R5 Client での S/MIME 規格の実装が原因で、電子メールの受信
者は、メールが改ざんされていた場合、改ざんされたことを通知されない。
破損した署名が付けられたメッセージを受信したとき、電子メールには署名が
なされていないと見なされる。Lotus Notes は、第三者によりメールが改ざん
されていた場合、ユーザに通知しない。暗号化された電子メールが変造されて
いた場合、メッセージは空白であるかのように扱われる。この際にも Lotus
Notes はユーザに変造されていることを通知しない。
Lotus Notes は変造された署名がなされているメッセージについてユーザに通
知しないため、攻撃者は送信中に署名されたメッセージを偽造し、受信者に偽
造を感づかれないようにすることが可能である (しかし、署名されていないメ
ールのリストに載ることになる)。
21. tcsh Here-document /tmp Symbolic Link Vulnerability
BugTraq ID: 1926
リモートからの再現性: なし
公表日: 2000-10-29
関連する URL:
http://www.securityfocus.com/bid/1926
まとめ:
tcsh は伝統ある Unix C シェルの機能拡張版である。tcsh がヒアドキュメン
トを扱う際には、/tmp ディレクトリに一時ファイルをセキュアでない方法で生
成する。そのファイル名は tcsh のプロセス ID に基づいており、予測可能で
ある。
ヒアドキュメントのリダイレクトを利用するジョブとプロセス ID の知識を持
つ攻撃者によって、ヒアドキュメントを利用するユーザのファイル内容 (もし
くは root 権限で実行されているなら任意のファイル) を上書きするために利
用可能である。具体的には、ジョブを実行し"<<"を使用したとき /tmp ディレ
クトリ中に tcsh が生成する名前が予測可能な一時ファイルにシンボリックリ
ンクを張ることにより可能である。悪意あるシンボリックリンクで指し示され
るファイルはヒアドキュメントの入力により上書きされる。
実際に実行された場合、(特定の環境下では) 多数の手段により攻撃者の権限を
昇格することが可能である。
22. BNC IRC Proxy Buffer Overflow Vulnerability
BugTraq ID: 1927
リモートからの再現性: あり
公表日: 1998-12-26
関連する URL:
http://www.securityfocus.com/bid/1927
まとめ:
BNC が提供する IRC Proxy は IRC サーバのゲートウェイとして利用される。
このソフトウェアのバッファにはプログラムの USER コマンドの引数として
ユーザ名が保存される。ユーザによるこの入力は、適当な長さチェックを行
わない。
その結果、過剰なデータがスタックにコピーされると、呼び出した関数のリタ
ーンアドレスといったスタックの重要な部分を上書き可能である。このデータ
はユーザが入力するため、プログラムの実行の流れを置き換えるように組み立
てることが可能である。
弱点を突くことに成功した場合、攻撃者は root 権限を奪取可能である。
23. HP-UX Aserver /tmp/null Symbolic Link Vulnerability
BugTraq ID: 1928
リモートからの再現性: なし
公表日: 2000-01-02
関連する URL:
http://www.securityfocus.com/bid/1928
まとめ:
Aserver は HP-UX バージョン 10.x 以降に同梱され、オーディオハードウェア
を利用するクライアントアプリケーションとのインターフェイスを提供するサー
バプログラムである。ハードウェアと通信するため、デフォルトで setuid
root でインストールされる。
通常実行する際には、Aserver は /tmp ディレクトリ中の"null"という名前の
一時ファイルを利用する。Aserver は null ファイルに書き込む際、ファイル
の存在を確認しない。そのため、悪意あるローカルユーザがシンボリックリン
クを'null'という名前で生成した場合、Aserver は実行時に、指示先が何であ
れ上書きする。これが root として実行された場合には、ファイルシステム上
のいかなるファイルも上書き可能である。
データが "ps -e"の出力に書き込まれた場合、攻撃者は ps を実行した権限に
昇格できる可能性があり、このコマンドで出力されたデータを適切なファイル
(例: /.rhosts ファイルに "\n+ +\n") に書き込むことが可能である。また、
/etc/passwd のような重要なファイルが上書きされた場合、DoS に陥る可能性
がある。
24. HP-UX Aserver PATH Vulnerability
BugTraq ID: 1929
リモートからの再現性: なし
公表日: 1999-12-30
関連する URL:
http://www.securityfocus.com/bid/1929
まとめ:
Aserver は HP-UX バージョン 10.x 以降に同梱され、オーディオハードウェア
を利用するクライアントアプリケーションとのインターフェイスを提供するサー
バプログラムである。ハードウェアと通信するため、デフォルトで setuid
root でインストールされる。
通常実行する際には、Aserver は system() ライブラリコールを利用して PATH
環境変数で指定した "ps" を実行する。そのため、ユーザは PATH 環境変数を
変更可能で、Aserver を実行する前に'ps'という名前の任意のプログラムを含
ませることが可能である。Aserverが 引数に -f を指定して実行したとき、
問題ある system() 関数が呼び出され、攻撃者が用意した ps が root 権限で
実行されてしまう。
root 権限の奪取は明白である。
25. HP-UX Aserver /tmp/last_uuid Symbolic Link Vulnerability
BugTraq ID: 1930
リモートからの再現性: なし
公表日: 1999-12-30
関連する URL:
http://www.securityfocus.com/bid/1930
まとめ:
Aserver は HP-UX バージョン 10.x 以降に同梱され、オーディオハードウェア
を利用するクライアントアプリケーションとのインターフェイスを提供するサー
バプログラムである。ハードウェアと通信するため、デフォルトで setuid
root でインストールされる。
通常実行する際には、Aserver は /tmp ディレクトリ中に"last_uuid"という名
前の一時ファイルを生成する。Aserver はファイルを誰もが書き換えられる権
限に変更する前にファイルの存在を確認しない。この仕様のため、ローカルユ
ーザは /tmp ディレクトリ中に任意のファイル (例: /.rhosts) を指し示した
'last_uuid' という名前のシンボリックリンクを生成することが可能である。
Aserver の引数に -f を指定して実行することにより、指し示されたファイル
はいかなる権限のユーザでも書き込み可能となってしまう。
この弱点を利用すれば、攻撃者は root 権限に昇格可能である。
26. HP-UX MC/ServiceGuard Default Permissions Vulnerability
BugTraq ID: 1931
リモートからの再現性: なし
公表日: 2000-11-08
関連する URL:
http://www.securityfocus.com/bid/1931
まとめ:
HP Multi-Computer/ServiceGuard は HP システムとクラスタの高度な可用性を
確実とするために設計された HP-UX に付随する機能である。
HP Security Advisory HPSBUX0011-129 によると、このソフトウェアにはセキ
ュリティ上の弱点がある。MC/ServiceGuard に関するファイルとディレクトリ
のデフォルトでの権限は、悪意あるユーザに DoS を実行されてしまう可能性が
ある。HP は、パッチマトリックスから利用できるこの弱点に対するパッチを発
行した (パッチ番号の solutions タブを参照されたい)。
不運にも、これ以上の技術的詳細説明は現時点では利用不可能である。
27. McMurtrey/Whitaker & Associates Cart32 Path Disclosure Vulnerability
BugTraq ID: 1932
リモートからの再現性: あり
公表日: 2000-11-10
関連する URL:
http://www.securityfocus.com/bid/1932
まとめ:
Cart32 は電子商取引を提供するサイトで買い物カートのような役割をするアプ
リケーションである。
Cart32 にはサーバの情報を開示してしまう弱点がある。特別に組み立てられた
URL を送信することで、CGI アプリケーションの扱い方のため、Windows と
Program files ディレクトリと同様に Web コンテンツの / ディレクトリへの
物理パスを表示してしまう。
この弱点の攻略に成功した際の選られる情報は標的となるホストへの更なる攻
撃に利用可能である。
28. Microsoft Indexing Services for Windows 2000 File Verification Vulnerability
BugTraq ID: 1933
リモートからの再現性: あり
公表日: 2000-11-10
関連する URL:
http://www.securityfocus.com/bid/1933
まとめ:
Microsoft Windows 2000 Indexing Services は、ブラウザを利用してオンライ
ンサイトの全テキスト検索が可能なは検索エンジンである。検索結果にはWord、
Excel、PowerPoint、HTML ドキュメントも含まれる。Windows 2000 では、デフ
ォルトでこのサービスは使用不可となっている。
悪意ある Web サイトの管理者はIndexing Services が利用可能となっている
Windows 2000 システム上にあるファイルの存在を確認可能である。Web サイト
の管理者は、ActiveX のオブジェクト'ixsso.query'を組み込んだ特別な形式の
HTML を用い、 Indexing Services を利用することで検索可能である。クエリ
の結果はファイルへの完全な物理パスを表示し、Indexing Service で検索可能
なディレクトリとして明確に定義されているディレクトリから検索される。
ファイルの可用性の特定に成功した場合、標的となるシステムへのより高度な
攻撃の手段として利用可能である。
29. McMurtrey/Whitaker & Associates Cart32 DoS Vulnerability
BugTraq ID: 1934
リモートからの再現性: あり
公表日: 2000-11-10
関連する URL:
http://www.securityfocus.com/bid/1934
まとめ:
Cart32 は電子商取引が可能なサイトで買い物カートのような役割をするアプリ
ケーションである。
Cart32 は DoS に陥る可能性がある。特別に組み立てられた URL を要求するこ
とで、アプリケーションは CPU 使用率を 100% 使い切ってしまう。通常の機能
を回復するためには、アプリケーションの再スタートが必要である。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- -------------------------------------------
1. The Virus that Stole Christmas
Troublesome new virus messes with victims' minds.
著者: Kevin Poulsen
November 10, 2000 3:02 PM PT
ウイルス監視者は電子メール起源の南米や米国に広まった Navidad (スペイン
語でクリスマスの意) の感染について警告を発している。
「ええ、事実で、ええ、被害は広がっています」と出回っているコンピュータ
ウイルスを追跡するボランティアグループである WildList.org の創始者
Joe Wells は言う。「アメリカ、パナマ、ブラジルで確認しました。ペルーで
もかなり広がっています」
http://www.securityfocus.com/templates/article.html?id=113
IV.SECURITY FOCUS TOP 6 TOOLS
- ------------------------------
1. Security Auditor's Research Assistant (SARA) 3.2.3
(Linux)
作者: Advanced Research Corporation
関連する URL:
http://www-arc.com/sara/
Security Auditor's Research Assistant (SARA) は、SATAN モデルに基づいた
セキュリティ解析ツールです。最新の脅威に対応するために定期的に更新され
ます。既知のセキュリティホール、バックドア、信頼関係、デフォルトの CGI、
共通のログインをチェックします。変更点: FrontPage の検査方法を修正、RPC
プログラムのチェックを追加、tacacs サーバの検査の追加、 Sub 7 のバック
ドアの検査の追加、JetAdmin のディレクトリ参照に関する検査の追加、QPOP
3.53 の弱点の検査の追加、 Cisco Catalyst の弱点の検査の追加、Suse IMAP
サーバの検査を追加、バグの修正とパフォーマンスの向上がなされました。
Incorporated SANS は、wu-ftpd 2.6.0 の検査やバグの修正がなされている
SANS/SARA Top 10 の追加を推奨しています。smb.sara の改善、network.vbs
検査の追加、不正な負数を削除する ftp.sara にある問題の修正、最新の
Perl へのアップデートがなされました。
2. SAINT - Security Administrator's Integrated Network Tool 3.1.1beta1
(AIX, BSDI, FreeBSD, HP-UX, IRIX, Linux, NetBSD, OpenBSD, Solaris, SunOS
and Ultrix)
作者: World Wide Digital Security, Inc. (saint@wwdsi.com)
関連する URL:
http://wwdsilx.wwdsi.com/saint/
SAINT (Security Administrator's Integrated Network Tool) は、SATAN を基
礎としたセキュリティ評価ツールです。定期的に更新され、リモートから検知
できる弱点について検査します。ファイアウォールを通しての検査、CERT や
CIAC の bulletin からセキュリティの検査項目の更新、4 段階の危険度評価
(レッド、イエロー、ブラウン、グリーン) などの機能があり、使いやすい
HTML のインターフェイスを備えています。
3. Versioner 0.9
Windows 95/98 and Windows NT
作者: Vacuum, vacuum@technotronic.com
関連する URL:
http://www.technotronic.com/versioner/
Versioner は拡張されたファイル情報やプロパティを収集するためにディレク
トリを駆け巡るグラフィカルユーティリティです。Versioner の出力は CSV 形
式で自動的に関連付けられたプログラム(.csv の場合 MS-Excel、.txt の場合
notepad) を実行します。このデータは MS-Access にインポートできます。
使用法: Versioner は指定されたホスト上で"何が変更されたか"を決定するた
めに利用できます。ファイルの完全性のチェックの手段として、ソフトウエア
インストール後、または侵入事件後を検査するためにも有功です。また、
Versioner は"何が違うか"を決定するために多数のマシン上のデータで比較す
るためにも利用できます。
4. Nessus 1.0.6
FreeBSD, IRIX, Linux, NetBSD, OpenBSD and Solaris
作者: Renaud Deraison (deraison@cvs.nessus.org)
関連する URL:
http://www.nessus.org/
Nessus は Linux、BSD、Solaris、 その他の Unix で利用できるリモートセキ
ュリティスキャナです。これはマルチスレッドでプラグインベースで動作し、
使いやすい GTK インターフェースを持ち、現在 470 以上のリモートセキュリ
ティチェックを行うことができるものです。HTML、LaTex、ASCII テキストで
レポートを作成し、セキュリティ上の問題に対するの解決方法を提示します。
5. SILC (Secure Internet Live Conferencing) 20001108
(Linux)
作者: Pekka Riikonen (priikone@poseidon.pspt.fi)
関連する URL:
http://silc.pspt.fi/
SILC (Secure Internet Live Conferencing) は、セキュアでないチャンネルの
上のインターネットでセキュアなカンファレンスサービスを提供するプロトコ
ルです。内部は全く違いますが、SILC は IRC に表面上似てはいます。SILC の
目的はセキュアなカンファレンスサービスを提供することにあります。強力な暗
号を利用して、すべての通信内容をセキュアにします。
6. OpenSSH 2.3.0p1
(OpenBSD)
作者: OpenBSD Project
関連する URL:
http://www.openssh.com/
このツールは主に Linux 用の OpenBSD 由来の最高の OpenSSH の移植性の高い
実装です。OpenSSH は、Tatu Ylonen 氏が最後に作成したフリーの SSH を基に
開発され、著作権侵害に抵触するすべのアルゴリズムを除外し、すべての既知
のセキュリティ上の問題を修正し、新機能を追加し、数多くのよりよいコード
の書き直しを行いました。修正点: バグ修正、OpenBSD 版への変更点を反映、
ssh2 プロトコル対応、説明文書の更新
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOhBuhpQwtHQKfXtrEQIeDQCeOZF07Yctw4CBGuoZDjN4RI/4lykAn36l
8QkOc1uYb9f7pVtRHCPxst6p
=2dep
-----END PGP SIGNATURE-----