SecurityFocus.com Newsletter #68 2000-11-17->2000-11-23
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 68 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- --------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- --------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- --------------------------------------------------------------------------
- --------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.21.0011270824500.14750-100000@mail>
Date: Mon, 27 Nov 2000 08:28:32 -0800
SecurityFocus.com Newslettr #68
- -------------------------------
I. FRONT AND CENTER(日本語訳なし)
II. BUGTRAQ SUMMARY
1. AT&T WinVNC Remote Desktop Default Configuration Vulnerability
2. NetcPlus SmartServer3 Weak Encryption Vulnerability
3. CGIForum Arbitrary File Disclosure Vulnerability
4. NetcPlus BrowseGate Weak Encryption Vulnerability
5. NetcPlus SmartServer3 DoS Vulnerability
6. Koules Svgalib Buffer Overflow Vulnerability
7. Oracle cmctl Buffer Overflow Vulnerability
8. Adcycle Password Disclosure Vulnerability
9. Unify eWave ServletExec JSP Source Disclosure Vulnerability
10. BB4 Big Brother Multiple CGI Vulnerabilities
11. Ethereal AFS Buffer Overflow Vulnerability
12. Microsoft Windows 2000 Domain Account Lockout Bypass Vulnerability
13. FreeBSD ppp deny_incoming Vulnerability
14. NCSA HTTPd campas sample script Vulnerability
15. Microsoft Windows Media Player .WMS Arbitrary Script Vulnerability
16. Microsys CyberPatrol Insecure Registration Vulnerability
17. IE 5.5 Index.dat Vulnerability
18. Software602 602Pro LAN SUITE Buffer Overflow Vulnerability
19. Microsoft Windows Media Player .ASX Buffer Overflow Vulnerability
20. Balabit syslog-ng Incomplete Priority String Remote DoS Vulnerability
21. HP EMS Arbitrary File Permission Change Vulnerability
22. Quikstore Plaintext Administrator Password Vulnerability
23. elvis-tiny File Overwrite Vulnerability
24. Phorum PHP Source Disclosure Vulnerability
25. Caucho Technology Resin 1.2 JSP Source Disclosure Vulnerability
26. Microsoft NT 4.0 SynAttackProtect Denial of Service Vulnerability
27. IBM HTTP Server Denial of Service Vulnerability
28. Linux modprobe Buffer Overflow Vulnerability
29. Alladin Ghostscript Symlink Vulnerability
30. Alladin Ghostscript Arbitrary Shared Library Usage Vulnerability.
31. Linux rcp Possible Local Arbitrary Command Execution Vulnerability
32. Network Associates WebShield SMTP Content Filter Bypass Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Report: Carnivore Needs Work
2. eBay Pulls Mitnick Memorabilia
IV.SECURITY FOCUS TOP 6 TOOLS
1. Astaro Security Linux 1.715
2. BUGS 4.0.0
3. SILC (Secure Internet Live Conferencing) 20001124
4. Bcrypt 4.0
5. GuardDog 0.9.3
6. IP Accounting Daemon 1.0
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. AT&T WinVNC Remote Desktop Default Configuration Vulnerability
BugTraq ID: 1961
リモートからの再現性: あり
公表日: 2000-11-19
関連するURL:
http://www.securityfocus.com/bid/1961
まとめ:
AT&T Labs Cambridge から提供されている AT&T WinVNC (Virtual Network Computing)
はフリーウェアパッケージであり、既存のPCのデスクトップ画面をリモートから
利用できるようにするソフトウェアである。
このソフトウェアのインストール過程のデフォルト状態では、リモートの攻撃
者がレジストリの項目を変更でき、サービスへ不正アクセスができてしまえる
レジストリキーが作成されてしまうのである。
レジストリキー HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\ には接続用のパ
スワード、IP、接続制限情報等が他の設定情報と共に含まれている。
デフォルト状態で、このキーは Administrator と SYSTEM アカウントがフル
コントロール権限を持ち、Everybody アカウントが特別の権限(読み出しおよ
び変更)を持つようにインストール中に作成される。なお、Windows 2000 にお
いてはこのキーは Standard User 権限を持ち、同様の問題を引き起こせる事を
留意されたい。
リモートの攻撃者が regedit.exe を利用してこの問題を突いた攻撃を行える
条件を前提にした場合(パスワードの値を空にし、AuthRequiredキーを0にする)、
ターゲットとなるコンピュータはレジストリへのアクセス権限に関するパッチ
を適用していない Windows NT 4.0 が動作しているシステムである必要がある。
ターゲットにパッチが適用されている場合、あるいは Windows 2000 がターゲッ
トである場合、Administrator 権限、あるいはネットワーク越しに同様のアク
セス権限を取得していなければならない。
もしこの問題を突いた攻撃が成功した場合、リモートの攻撃者はシステムの全
ての権限を奪取可能である。
2. NetcPlus SmartServer3 Weak Encryption Vulnerability
BugTraq ID: 1962
リモートからの再現性: なし
公表日: 2000-11-18
関連するURL:
http://www.securityfocus.com/bid/1962
まとめ:
SmartServer3 は小規模ネットワーク向けの電子メールサーバである。
このソフトウェアには認証済みのユーザが他のユーザのログイン情報を参照で
きてしまい、パスワード情報へのアクセスの可能性があるという設計上の誤り
が存在している。デフォルトインストール状態では、C:\ProgramFiles\smartserver3
ディレクトリに設定ファイル dialsrv.ini と共にインストールされる。
この設定ファイルはすべての Windows 環境での認証に通ったユーザからアク
セス可能であり、暗号化済みのパスワードを含む詳細なユーザのログイン情報
を含んでいる。しかし、このソフトウェアはサードパーティユーティリティを
用いることで容易に復号可能な暗号化手法を用いているのである。
この問題を突いた攻撃が成功した場合、権限が必要なデータへの不正アクセス
が可能である。
以下は Steven Alexander <steve@cell2000.net> による設定ファイル内での
ユーザログイン情報の探査例である。
[USER1]
realname=Carl Jones
id=Carl
dir=CARL
pw=~:kC@nD3~:
extml=0
alertport=
alert=
UserActive=1
MailLimit=0
MailMAxWarn=0
MailMaxSize=20
3. CGIForum Arbitrary File Disclosure Vulnerability
BugTraq ID: 1963
リモートからの再現性: あり
公表日: 2000-11-20
関連するURL:
http://www.securityfocus.com/bid/1963
まとめ:
DCForum は Markus Triska の手による商業用 CGI スクリプトであり、Web を
利用した利用しやすいスレッド付きのディスカッションボード機能を提供する
ソフトウェアである。
このスクリプトは thesection 変数にユーザから与えられた内容についてのチェッ
クが不適当である。このため、攻撃者が注意深く作成した /../ を含む URL を
この変数への値として与えた場合、スクリプトは指定されたファイルを探すた
めに、アプリケーションのための通常なディレクトリ構造を遡れてしまうので
ある。この結果、リモートからホスト上にある nobody ユーザで読み出し可能
な意図するファイルを参照可能である。
4. NetcPlus BrowseGate Weak Encryption Vulnerability
BugTraq ID: 1964
リモートからの再現性: なし
公表日: 2000-11-18
関連するURL:
http://www.securityfocus.com/bid/1964
まとめ:
BrowseGate は多くの標準的なプロトコルをサポートしているプロキシサーバ
である。
このソフトウェアには認証を通ったユーザが他のユーザの暗号化されたパスワー
ドを参照できてしまえると言う設計上の誤りがある。デフォルトインストール
状態で、このソフトウェアは C:\ProgramFiles\browsegate ディレクトリへ、
設定ファイル brwgate.ini と共にインストールされる。
この設定ファイルはすべての Windows 環境での認証に通ったユーザからアク
セス可能であり、暗号化済みのパスワードを含んでいる。
パスワードはこのファイルの scrnsze フィールドに存在する。しかし、暗号化
手法が十分に強度を保っていないため、サードパーティから提供されているユー
ティリティを用いてパスワードをユーザが復号可能である。
この問題を突いた攻撃が成功した場合、個人情報への不正アクセスが引き起こ
される可能性がある。
5. NetcPlus SmartServer3 DoS Vulnerability
BugTraq ID: 1965
リモートからの再現性: あり
公表日: 2000-11-18
関連するURL:
http://www.securityfocus.com/bid/1965
まとめ:
SmartServer3 は小規模ネットワーク向けの電子メールサーバである。
このソフトウェアでは POP3 および SMTP サービスが提供され、DoS 状態に陥
る問題を抱えている。通常あり得ない長い文字列を POP3 サービスへ USER、あ
るいは PASS コマンドへの引数として与えた場合、サーバのサービスは応答を
停止し、新しいコネクションの確立を停止してしまう。また、通常あり得ない
長い文字列を SMTP サービスへ HELO コマンドに続けて与えた場合にも、サー
バのサービスは応答を停止し、新しいコネクションの確立は停止してしまう。
どちらの場合であっても、通常動作への復旧はサーバサービス自体の再起動が
必要である。
この問題を突いた攻撃が成功した場合、意図的なコマンドが実行される可能性
があり得るが、この可能性についての調査は確かめられていない。
6. Koules Svgalib Buffer Overflow Vulnerability
BugTraq ID: 1967
リモートからの再現性: なし
公表日: 2000-11-20
関連するURL:
http://www.securityfocus.com/bid/1967
まとめ:
Koules は Jan Hubicka の手によるオリジナルの、アーケードスタイルのゲーム
である。このソフトウェアの svgalib を利用しているバージョンは、通常一般ユーザによってコンソール上で実行される際、映像用のハードウェアにアクセスできる用
にするために setuid root でインストールされる。しかし、このソフトウェアで
は、ユーザにより高い権限の奪取をもたらすバッファオーバーフローを生じる問
題を抱えている。ユーザが与えられるコマンドライン引数の取り扱い部分に問題
は存在している。
この問題を突いた攻撃が成功した場合、root 権限の奪取をもたらす。
7. Oracle cmctl Buffer Overflow Vulnerability
BugTraq ID: 1968
リモートからの再現性: なし
公表日: 2000-11-20
関連するURL:
http://www.securityfocus.com/bid/1968
まとめ:
cmctl は Oracle 8i インストールプログラム内の Connection Control Manager
である。このソフトウェアは権限を昇格させてしまえる問題を抱えている。
問題はユーザが与えたコマンドライン引数の cmctl の取り扱い方法にある。
argc[1] (コマンドライン引数でユーザが最初に与える引数) で示された文字列
は長さがコピー先のバッファの大きさを越えているかどうかを確かめるチェック
がなされないままで、予め定義された長さのバッファへコピーされてしまう。
この結果、バッファに書き込まれた溢れたデータは、バッファ境界を越え、ス
タック内の他の値を上書きしてしまうのである。(例えばリターンアドレスがそ
れである)
この結果、ユーザが与えたシェルコードの実行が cmctl の権限、egid dba と
euid oracle でできる可能性がある。
8. Adcycle Password Disclosure Vulnerability
BugTraq ID: 1969
リモートからの再現性: あり
公表日: 2000-11-20
関連するURL:
http://www.securityfocus.com/bid/1969
まとめ:
Adcycle は Adcycle.com から提供されているバナー広告管理ツールである。
このソフトウェアは MySQL データベースに、クリック可能な広告バナーを管理
し、表示できるようにするために接続されている。
インストール時に、このソフトウェアはデータベース設定用のスクリプト build.cgi
がリモートのユーザに対してでもアクセス可能な様に権限を与えたままにして
いる。このスクリプトは Adcycle の MySQL データベースへ接続するための設
定を補助するように設計されている。
この機能の一部として、buid.cgi は正しい管理者とデータベースのパスワード
を出力する。
通常、このスクリプトはインストールの完了前に利用できない状態にされる。
しかし、インストール先の httpd のプロセスによって実行できるように設定
されてしまうのである。このスクリプトを実行することによって、リモートの
ユーザは管理用のパスワードが入手でき、このソフトウェアの設定権を奪取で
き、広告内容の改変、あるいは削除といった事ができてしまえるのである。
また、ユーザは、MySQL データベースのパスワードを元にソフトウェアパッケー
ジに対する今後の悪意ある行為に繋げる事や、データベースを動作させるため
の OS 本体への悪意ある行為につなげる事が可能である。
付け加えるならば、スクリプトが実行された場合、AdCycle テーブルの内容は
消去されてしまう。これはデータの損失、あるいは DoS を招く。
9. Unify eWave ServletExec JSP Source Disclosure Vulnerability
BugTraq ID: 1970
リモートからの再現性: あり
公表日: 2000-11-21
関連するURL:
http://www.securityfocus.com/bid/1970
まとめ:
Unify eWave ServletExec は著名な Web サーバ、例えば Microsoft IIS、Apache、
Netscape Enterprise Server等への Java/Java Servlet エンジンを提供するプ
ラグインである。
ServletExec は HTTP リクエストに以下に示す文字列の1つが付加された場合、
JSP ファイルのソースコードを返してしまう。
.
%2E
+
%2B
\
%5C
%20
%00
例えば、以下の URL 表記によって、指定された JSP のソースを入手できてし
まう。
http://target/directory/jsp/file.jsp.
この問題を突いた攻撃が成功した場合、JSP で作成されたページに含まれる重
要な情報が公開されてしまう可能性がある。
10. BB4 Big Brother Multiple CGI Vulnerabilities
BugTraq ID: 1971
リモートからの再現性: あり
公表日: 2000-11-20
関連するURL:
http://www.securityfocus.com/bid/1971
まとめ:
BB4 Technologies から提供されている Big Brother Network Monitor は強靭
で、多機能なネットワークモニタリングパッケージである。しかし、リモート
からアカウントの有無を調査できてしまえる問題が存在する。
問題はこのソフトウェアに含まれる、Big Brother Display Server上で動作す
る CGI パッケージに存在する。CGI はサーバ上でネットワークの状態の統計を
得るために利用され、Web ブラウザ経由でアクセス可能なインタフェースを提
供している。しかし、入力値に対する取り扱いが不十分であるため、重要なファ
イルの存在の有無とユーザアカウントの妥当性をサーバ上で動作する CGI プロ
グラムを利用して探る事が可能なのである。この情報を入手する事で、悪意あ
るユーザはパスワードに対する総当り攻撃を行うことが可能である。
以下のファイルがこの問題の影響を受け得る。
bb-hist.sh
bb-histlog.sh
bb-hostsvc.sh
bb-rep.sh
bb-replog.sh
bb-ack.sh
11. Ethereal AFS Buffer Overflow Vulnerability
BugTraq ID: 1972
リモートからの再現性: あり
公表日: 2000-11-18
関連するURL:
http://www.securityfocus.com/bid/1972
まとめ:
Ethereal は Gerald Combs の手によるネットワーク監査用ユーティリティで
ある。このパッケージにはリモートのユーザがコードを実行できてしまえる問
題がある。
AFS パケットの展開ルーチンに問題は存在する。予め定義されたバッファへパ
ケットの内容について文字列スキャンするためのアルゴリズムは、バッファの
大きさを文字列の大きさが越えているかどうかについてのチェックを行ってい
ないのである。このため、リターンアドレス等のスタック上の他の値を上書き
可能である。なお、この問題は悪意あるユーザによる注意深く組み立てられた
パケットに含まれたコードの実行を可能にする。
12. Microsoft Windows 2000 Domain Account Lockout Bypass Vulnerability
BugTraq ID: 1973
リモートからの再現性: あり
公表日: 2000-11-21
関連するURL:
http://www.securityfocus.com/bid/1973
まとめ:
特定の状況下において、パスワードに対する総当り攻撃を防ぐためのポリシであ
る、ローカルマシン上のドメインアカウントのロックアウトポリシを無効化し、
回避可能である。ドメインアカウントのロックアウトポリシの目的はログイン失
敗が何度か続いた後、アカウントを利用できない状態にする事である。もし、ポ
リシが設定されていない場合、ドメインアカウントのパスワードはある回数の範
囲で類推できてしまえる可能性がある。
Windows 2000 ドメインではないドメイン内に属する、NTLM 認証を使っている
Windows 2000 はユーザのクレデンシャルがローカルにキャッシュされている場合、
ドメインアカウントのロックアウトポリシの解釈に失敗してしまうのである。
キャッシュされているクレデンシャルはユーザ名とパスワードをハッシュ化し
て記録しており、ドメインコントローラが利用できない状態で認証を行う状態
に用いられる。NTLM を利用していない Windows 2000 システムで認証を行う場
合にはこの問題の影響を受けない。これはケルベロス認証が実装されている、
数多くの Windows 2000 ドメイン内のクライアントはこの問題の影響を受けな
いためである。
この問題は総当り攻撃手法により正しいパスワードの取得に成功されてしまう
可能性をもたらす。もし悪意あるユーザが総当り攻撃で入手したパスワードを
入手でき、ログオンできてしまった場合、ドメインアカウントと同一の権限を
入手できてしまえることになる。しかし、ドメイン認証はローカルそのものへ
の認証の位置を占める事はできず、ドメインレベルでのロックアウトポリシが
想定できるため、ローカルマシンそのものへの限定された影響しか及ぼさない。
13. FreeBSD ppp deny_incoming Vulnerability
BugTraq ID: 1974
リモートからの再現性: あり
公表日: 2000-11-14
関連するURL:
http://www.securityfocus.com/bid/1974
まとめ:
ppp は UNIX システム上で point-to-point 型ネットワーク接続を取り扱うた
めのユーティリティである。ppp の FreeBSD 版では NAT 機能、あるいはネッ
トワーク間のプロキシ経由での通信を行うためのアドレス変換機能も利用可能
である。
ppp のオプションに nat deny_incoming というものがあり、単純な firewall rule
を適用するために用いられ得る。このオプションは NAT を利用しているコン
ピュータでは、NAT セッションが存在するネットワークに含まれていないゲー
トウェイ経由では何も通過させない、という事を示している。しかし、NAT ゲー
トウェイ経由で特定の種類のデータを通過させるために ppp に追加されたコー
ドでは、deny_incoming ディレクティブの設定に反して、すべてのトラフィッ
クを通過させてしまえるというバグがある事が報告されている。
これはセキュリティポリシへの違反を招き、ゲートウェイ越しの内部ネットワー
クへの攻撃をもたらす可能性がある。
14. NCSA HTTPd campas sample script Vulnerability
BugTraq ID: 1975
リモートからの再現性: あり
公表日: 1997-07-15
関連するURL:
http://www.securityfocus.com/bid/1975
まとめ:
Campas はすでに旧式となった Web サーバパッケージである NCSA HTTPd の
幾つかのバージョンに含まれるサンプル CGI スクリプトである。
スクリプトを同梱しているバージョンと考えられるサーバは、すでに保守は
なされていない。しかし、スクリプトのバージョン 1.2 は同様の問題を抱え
ると知られている。スクリプトはユーザが与えた値の内容に対する適当なフィ
ルタリングに失敗し、この結果、Web サーバの権限でホスト上でコマンドの実
行が可能になってしまう。コマンドはスクリプトへの値の %0a (改行) に追加
して指定できる。この問題を突いた攻撃が成功した場合、Web サーバを危険な
状態に曝し、Web サーバがアクセス可能ないかなるファイルが読み出し可能と
なり、ディレクトリ一覧が取得でき、Web サーバがアクセス可能ないかなるファ
イルの実行が可能である。
15. Microsoft Windows Media Player .WMS Arbitrary Script Vulnerability
BugTraq ID: 1976
リモートからの再現性: あり
公表日: 2000-11-22
関連するURL:
http://www.securityfocus.com/bid/1976
まとめ:
Windows Media Player はデジタルオーディオ、ビデオを視聴するためのアプリ
ケーションである。
Windows Media Player 7 を実行できるユーザはスキン (.wms) ファイルを利用
可能であり、含まれている悪意あるスクリプトの実行がユーザに気づかれる事な
く可能である。ユーザがスキンファイルの取得を試みる際、ファイルはダウンロー
ドされ、ユーザのローカルのマシン内に保存される。そして Windows Media Player
が悪意あるスキンを有効にした状態で実行された場合、Active X コンポーネント
がいかなる行為も実行可能な状態になってしまうのである。インターネットセキュ
リティ設定にも依存するが、この問題はスキンが Web サイト上にある場合でも
同様の結果をもたらす。スクリプトはユーザが Web サイトにアクセスした場合
に自動的に処理される。
意図的なスクリプトの実行により、悪意あるホストに現在利用中のユーザと等価
な権限を奪取されてしまう可能性がある。
16. Microsys CyberPatrol Insecure Registration Vulnerability
BugTraq ID: 1977
リモートからの再現性: あり
公表日: 2000-11-22
関連するURL:
http://www.securityfocus.com/bid/1977
まとめ:
CyberPatrol は Microsys 社による著名な Web アクセス制限用ソフトウェア
である。
このソフトウェアのクライアントソフトウェアから Microsys 社のバックエン
ド (cybercentral.microsys.com) へ登録情報を送る方法には問題があり、リモー
トの攻撃者がクレジットカードの詳細を含む秘密の情報を入手できてしまえる。
クライアントソフトウェアは社に送り返す前に、クレジットカード情報を含む
全ての情報をスクランブルしている。しかし、スニファのインストールによる
調査により、クレジットカード情報以外の全ての情報は平文で社に送り返され
ているのである。クライアントから送り出される内容はリモートの攻撃者によ
り盗聴可能であり、脆いサイファーのみで保護されているクレジットカード番
号に繋がる秘密の登録情報を入手できてしまうのである。
(サイファーの詳細については Reference セクションにあるオリジナルの
BugTraq への投稿を参照されたい)
付け加えるならば、この情報はプロキシ型ファイヤウォールのログファイルを
調べる事によっても入手可能である。
17. IE 5.5 Index.dat Vulnerability
BugTraq ID: 1978
リモートからの再現性: あり
公表日: 2000-11-23
関連するURL:
http://www.securityfocus.com/bid/1978
まとめ:
IE 5.5 (他のバージョンにも同様の問題が想定可能である) ではすでにアクセ
スした URL とキャッシュ内のフォルダ名を index.dat と呼ばれるローカルの
ファイルに記録している。このファイルは以下に示す既知の場所に記録されて
いる。
Windows 9x:
C:/WINDOWS/Temporary Internet Files/Content.IE5/
Windows 2000:
C:/Documents and Settings/USERNAME/Local Settings/Temporary Internet Files/Content.IE5/
このファイルは IE のセキュリティメカニズムではローカルコンテンツとして
取り扱われ、URL 内のスクリプト内で指定された、意図的なコードもこのファ
イルに記録される。しかし、URL にアクセスした際には実行されなかったコー
ドであったとしても、一度ローカルの index.dat ファイル内に存在していれば
実行可能なのである。index.dat 内のコードを実行するためには、IE で内容を
解釈しなければならない。Microsoft は非 HTML 形式の文書についてのセキュリ
ティ情報 (該当する BugTraq ID の Credit セクションの MS00-055 を参照され
たい) を公開したが、しかし、IE に対して非 HTML 形式の文書を、オブジェク
トタグにおいて文書タイプを text/htmlと定義し、DATA フィールドにファイル
を指定した上で強制的に解釈させてしまえる事は可能である。
上記を利用し、リモートからのコードは信頼されているファイルへ注入可能で
あり、実行可能である。この問題はキャッシュフォルダ名の類推を含む非常に
多くの目的に利用可能である。この情報を利用し、攻撃者は、犠牲者によって
すでにダウンロードが行われたファイルの実行が、ターゲットとなるシステム
上で可能である。
18. Software602 602Pro LAN SUITE Buffer Overflow Vulnerability
BugTraq ID: 1979
リモートからの再現性: あり
公表日: 2000-11-22
関連するURL:
http://www.securityfocus.com/bid/1979
まとめ:
602Pro LAN SUITE はネットワーク内にコネクション、電子メール、ファクシ
ミリの共有機能を提供するアプリケーションである。組み込み済みの HTTP サー
バを利用してリモートからの管理機能が利用可能である。
602Pro LAN SUITE のリモートからの管理用コンポーネント (webprox.dll) が
GET リクエストを受け付ける部分には未チェックのバッファが存在している。
約 1059 バイトを超える GET コマンドをリクエストすることで、バッファオー
バーフローが生じ、意図的なコードの実行を可能にしてしまう。
この問題を突いた攻撃が成功した場合、ホストの全権限が奪取されてしまう。
19. Microsoft Windows Media Player .ASX Buffer Overflow Vulnerability
BugTraq ID: 1980
リモートからの再現性: あり
公表日: 2000-11-22
関連するURL:
http://www.securityfocus.com/bid/1980
まとめ:
Windows Media Player はデジタルオーディオ、ビデオを視聴するためのアプリ
ケーションである。このソフトウェアの Active Stream Redirector (ASX)
コンポーネント内のリモートから得られたデータを必要としている部分で安全
ではないバッファのコピーが行われている問題がある。
ASX はユーザにストリーミング形式のメディアを内部、あるいは外部にあるサ
イトから再生できる機能を提供している。.ASX 形式のファイルはメタファイル
であり、ストリーミングメディアの内容をブラウザから Windows Media Player
へリダイレクトするためのものである。
Windows Media Player によって解釈された際、ASX ファイルの内容はランタイ
ム時に利用されるメモリ上のバッファへコピーされる。そしてデータがコピー
された際、データの量が予め定義された限度内に納まっているかどうかは確かめ
られないのである。この結果、いかなる限度を超過したデータはメモリ領域を
越えてコピーされ、プログラムのスタック上にある近接したメモリ内容を上書
きできてしまえるのである。
コピーされた内容に依るが、DoS 状態に曝す事が可能であり、あるいは、意図
的なコードがターゲットとなったホスト上で実行可能である。Windows Media
Player は現在ログオンしているユーザのセキュリティのコンテキストで実行さ
れる。もしランダムなデータがバッファ内に格納された際、アプリケーション
はクラッシュし、通常動作への復旧はアプリケーションの再起動が必要である。
ユーザが悪意ある .ASX 形式のファイルをローカルのコンピュータへ誤ってダ
ウンロードしてしまった場合、コードを有効にするためには Windows Explorer
上でファイルを一度クリックするだけでよい。これは Windows Explorer がブ
ラウズ中に Web ドキュメントを自動的にプレビューするための Web View オプ
ションによるためである。(この機能はデフォルトで有効になっている)
付け加えるならば、改竄された .ASX 形式のファイルは HTML 文書に含められ、
ブラウザ、あるいは HTML を解釈可能な電子メールクライアントで開いた際に
実行される様に設定可能である。
20. Balabit syslog-ng Incomplete Priority String Remote DoS Vulnerability
BugTraq ID: 1981
リモートからの再現性: あり
公表日: 2000-11-23
関連するURL:
http://www.securityfocus.com/bid/1981
まとめ:
syslog-ng は UNIX システムの syslogd の置き換えプログラムである。ログメッ
セージの展開関数にミスがあるため、リモートから SIGSEGV での終了をログメッ
セージに特定の文字列を含めることで引き起こし可能である。
ログメッセージにはそれぞれプライオリティレベルが対応付けられ、優先順位
n 番目を示す <n> と言う書式である。ログメッセージを展開する関数は left
という変数をログメッセージ中の文字列の個数を格納するために利用している。
もしプライオリティレベルが > で終わっていなかった場合、left の値は -1
と、バグのために設定されてしまう。このため、プログラムは left=0 となる
かどうかの評価によってメッセージの終わりを判定する際、メッセージの終わ
りを判読できないのである。
バージョン 1.4.7 と 1.4.8 においては全ての \r と \n をスペースに置き換
え、上記の問題下でこの置き換え処理が行われた場合、プログラムはアクセス
不能なメモリに書き込むことになるため、セグメンテーションフォルトを生じ
る。例えば、文字列 <6 を含み、 \n で終わる文字列がログへの入力にある場
合、syslog-ng をクラッシュさせてしまう。
1.4.7 より以前のバージョンでも同様の方法で攻撃可能である。しかし、現在
詳細な情報については利用不可能である。
21. HP EMS Arbitrary File Permission Change Vulnerability
BugTraq ID: 1982
リモートからの再現性: 未詳
公表日: 2000-11-21
関連する URL:
http://www.securityfocus.com/bid/1982
まとめ:
EMS は Event Monitoring System の頭字語で、HP-UX システムのための
ServiceControl 管理パッケージ内の 1 コンポーネントである。
EMS はシステム情報収集、障害検知、稼動状況報告のために利用される。
HP-UX Security Advisory HPSBUX0011-131 が伝えるところによると、 EMS に
は、システムファイルを扱う際にローカルから攻撃可能なセキュリティ上の弱
点が存在する。この問題を突くことで、攻撃者は root が管理するディスク区
画上の任意のファイルのパーミッションを変更することが可能である。HP はこ
のパーミッションが正確に何であるかを公開していないが、権限の昇格に利用
される可能性がある。現時点では技術的な情報の詳細は公開されていない。
ServiceControl を使用する HP-UX システムの管理者は EMS の最新バージョン
に更新することが推奨されている (詳細は該当する BugTraq ID の Solutions
セクション、もしくはアドバイザリを参照されたい)。
22. Quikstore Plaintext Administrator Password Vulnerability
BugTraq ID: 1983
リモートからの再現性: あり
公表日: 1999-04-20
関連する URL:
http://www.securityfocus.com/bid/1983
まとめ:
QuikStore は注文管理、在庫管理など、Web サイトでの電子商取引に関する機
能を提供する電子店舗運営プログラムである。これは Perl 言語で記述されて
おり、簡易に設定するために設定ファイルが分割され情報が保存されている。
現行のバージョンの、特定の QuikStore には、管理者の名前とパスワードが平
文で quikstore.cfg という名前の設定ファイルに保存されている。デフォルト
でのインストール状態ではセキュアでなく、この設定ファイルはいかなる権限
でも読み出し可能であり、リモートからの攻撃者に Web サイトを通してファイ
ルにアクセスされてしまう。ファイルに記載されている名前とパスワードを利用し
て、侵入者はオンラインストアへ完全な管理者権限でのアクセスが可能である。
攻撃の結果、注文状況、商品説明、価格表示などの情報を改ざんされ、顧客の
クレジットカード番号などの情報が収集される可能性がある。この情報を執筆
時点では、弱点の影響を受けるバージョンは未詳であるが、バージョン 2.10.05
と 2.11 には影響がないことが確認されている。いかなる権限でも読み出し可
能なファイルに管理者の名前とパスワードを保存するインストール処理にこの
問題は由来している。この問題は適切なファイルのパーミッションに設定する
ことで修正することが可能であるが、パスワードとアカウント情報を平文で保
存することは一般的に容認できる手段ではない。
23. elvis-tiny File Overwrite Vulnerability
BugTraq ID: 1984
リモートからの再現性: なし
公表日: 2000-09-13
関連する URL:
http://www.securityfocus.com/bid/1984
まとめ:
Elvis-tiny はコンパクトな vi 互換のテキストエディタである。
このプログラムが生成する一時ファイルの命名規則に問題があるため、弱点の
あるアプリケーションを利用して生成されたファイルのデータの読み出し、ま
たは上書きをするための適時攻撃 (訳注: properly-timed attack) を許してし
まう競合条件 (訳注: race condition) が存在する。影響を受けるファイルは、
ターゲットとなるユーザによって書き込み可能なファイルに制限される。
elvis を使用している標的となるユーザの権限によって、この弱点は攻撃者の
権限昇格、DoS、ホストへのさらなる攻撃に導く可能性がある。
24. Phorum PHP Source Disclosure Vulnerability
BugTraq ID: 1985
リモートからの再現性: あり
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/1985
まとめ:
Phorum は PHP 言語で記述された Web 上でフォーラムを行うためのパッケージ
である。管理スクリプトのフォーラムセクションの実装にあるエラーのため、
標的となるホスト上のいかなる PHP スクリプトのソースを表示させることが可
能である。これは common.php ファイルの 2 箇所でファイル名として参照され
るユーザ入力によって可能である。以下に具体例を挙げる。
if($num || $f){
if($f) $num=$f;
if(file_exists("$admindir/forums/$num.php")){
include "$admindir/forums/$num.php";
}
この $f はフォームを通してのユーザ入力の読み出しであり、選択したフォー
ラム名を意味する。しかし $f にはいかなる値も入力可能で、応答する PHP
ファイルの内容をブラウザに表示してしまう。このため、master.php に保存さ
れている MySql のパスワードなどのような機密にしなければならない情報を開
示してしまう可能性がある。
25. Caucho Technology Resin 1.2 JSP Source Disclosure Vulnerability
BugTraq ID: 1986
リモートからの再現性: あり
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/1986
まとめ:
Resin は Java とJava スクリプトに対応するサーブレットと JSP エンジンで
ある。
ServletExec は特定の文字を付加された HTTP リクエストが与えられた際、JSP
ファイルのソースプログラムを返してしまう。この弱点の影響範囲は Resin が
稼動しているプラットフォームに依存する。
攻撃に成功した場合、JSP ページに含まれる機密にしなければならない情報を
公開してしまう可能性がある。
26. Microsoft NT 4.0 SynAttackProtect Denial of Service Vulnerability
BugTraq ID: 1987
リモートからの再現性: あり
公表日: 2000-11-22
関連する URL:
http://www.securityfocus.com/bid/1987
まとめ:
Microsoft が公開している文書、"Security Considerations for Network Attacks"
(http://www.microsoft.com/TechNet/security/dosrv.asp) では Windows NT
を DoS 攻撃から防衛するための最優良事例が示されている。この文章には、ネッ
トワークスタックを強固にするために推奨されているレジストリの設定が多数
記述されている。推奨される設定の 1 つである "SynAttackProtect" は
Windows NT をリモートから攻撃可能な DoS に対して虚弱にしてしまう。
文書、"Security Considerations for Network Attacks" では、以下のレジス
トリキーの REG_DWORD について例示がある。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
この値を SYN 攻撃を回避するためにデフォルトの値である'0'を'2'とすべきで
あると記述されている。しかし、'2' に設定した場合、Windows NT 4.0 は DoS
攻撃に対する弱点を持つことになる。CyberCop TCP シークエンス番号予想攻撃
(モジュール 13002) (もしくは同様の攻撃) がこのレジストリの設定を行って
いるホストに対して実行された場合、クラッシュしてしまう。
通常の機能を回復するためには再起動が必要である。
原因についての詳細は不明である。
27. IBM HTTP Server Denial of Service Vulnerability
BugTraq ID: 1988
リモートからの再現性: あり
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/1988
まとめ:
IBM HTTP Server は Apache を基に開発された Web サーバである。この Windows
NT バージョンには問題がある。
IBM HTTP Server は DoS 状態に陥る可能性がある。約 219文字からなる通常以
上に長い GET リクエストを送信することにより、サーバはエラーメッセージを
出し、応答を停止する。通常の機能を回復するためにはアプリケーションの再
起動が必要である。
この弱点をつくことに成功した場合、任意のコマンドの実行が可能である。し
かし、検証はなされていない。
以下は benjurry <benjurry@yeah.net> によって提供されたエラーメッセージ
の例である。
***STOP:0x0000001e(0X00000005,0X804B3A51,0X00000000,0X00000000)KMODE_EXCEPTION_NOT_HANDLED.
***Address 804B3A51 base at 80400000,Datastamp 384D9B17-ntoskrnl.exe
28. Linux modprobe Buffer Overflow Vulnerability
BugTraq ID: 1989
リモートからの再現性: なし
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/1989
まとめ:
Modutils は多数の Linux システムに搭載されるローダブルカーネルモジュー
ルを利用するためのツールを含んだコンポーネントである。このツールの 1 つ
modprobe は、(コマンドラインから) 供給された "名前"に対応するモジュール
の組を自動的にロードする。
最近 (2000 年 11 月 23 日現在、Bugtraq ID 1936 を参照) の modprobe に含
まれる世間をにぎわせた弱点を、多数の Linux ベンダによって修正されたにも
かかわらず、modprobe を利用できる攻撃者が root 権限を奪取できる他の手段
が存在すると報告されている。
Debian と RedHat は共に、カーネルからの入力を扱う際に関連する modprobe
に含まれる弱点に関するアドバイザリを発行した。カーネルから modprobe に
渡されるユーザが入力したデータは、メモリにコピーされる前に長さや内容の
検査がなされないためバッファオーバーフローが生ずる。
modeprobe は ping のようなユーティリティのように setuid kmod であり root
権限で実行されるため、弱点を突くことに成功した場合、攻撃者は権限を昇格
することが可能である。
29. Alladin Ghostscript Symlink Vulnerability
BugTraq ID: 1990
リモートからの再現性: なし
公表日: 2000-11-22
関連する URL:
http://www.securityfocus.com/bid/1990
まとめ:
多数のプラットフォームで利用できる PostScript インタプリンタである
Alladin Ghostscript の特定のバージョンに弱点が存在する。
このプログラムが一時ファイルを作成する際に使用する方法には、ローカルユ
ーザに弱点の影響があるホストのファイルシステム上に存在するファイルへシ
ンボリックリンク攻撃を実行される可能性がある。そのため、攻撃者は機密に
しなければならない情報 (例: /etc/passwd) を読み出し、もしくは上書きされ
る潜在的可能性がある。この弱点は攻撃者の権限昇格、DoS、ターゲットとなる
ホストへのさらなる攻撃をもたらす可能性がある。
30. Alladin Ghostscript Arbitrary Shared Library Usage Vulnerability.
BugTraq ID: 1991
リモートからの再現性: なし
公表日: 2000-11-22
関連する URL:
http://www.securityfocus.com/bid/1991
まとめ:
多数のプラットフォームで利用できる PostScript インタプリンタである
Alladin Ghostscript の特定のバージョンに弱点が存在する。
このソフトウェアは LD_RUN_PATH 環境変数を不適切に使用している、プログ
ラムが作業ディレクトリ中に存在する共有ライブラリをロードできてしまえる
原因となりうる。
悪意ある共有ライブラリを利用した攻撃者は、影響を受けるホスト上で悪意あ
るプログラムを実行でき、潜在的に権限を昇格できる可能性がある。
31. Linux rcp Possible Local Arbitrary Command Execution Vulnerability
BugTraq ID: 1992
リモートからの再現性: なし
公表日: 2000-11-22
関連する URL:
http://www.securityfocus.com/bid/1992
まとめ:
"remote copy" の頭字語である rcp は、Berkeley 由来の "r-services" リモー
トアクセスユーティリティの 1 コンポーネントである。
これは、rhosts と hosts.equiv 認証を実行するためのソースポートとして特権
ポートを使用するために setuid root でインストールされる。
rcp の Linux 版 (他の OS のバージョンでも同様の可能性がある) には、現行
版ではない古い Linux システムや特別に設定されているシステム上で、ローカ
ルから root 権限を奪取される弱点が存在する。
rcp の送信元に含まれる system() 呼び出しを通してユーザ入力はシェルのメ
タ文字を検査されることなく/bin/sh (多数の Linux システムでは実際は bash)
に渡される。その結果、シェルが実行している root 権限で任意のコマンドを
実行することが可能である。
Linux の最近のすべてのバージョンに付随する bash のバージョンではユーザ
の有効となっている権限とユーザの実際の権限が同じでない場合、接続を遮断
する。このため、この弱点は最近のシステムでは脅威とならない。
この弱点は、有効となっている権限とユーザの実際の権限が同じでない場合、
接続を遮断しない /bin/sh として使われている bash または Bourne sh を使
用する現行ではない Linux システムには脅威となる可能性がある。また、
/bin/sh がデフォルトで他の有効となっている権限とユーザの実際の権限が同
じでない場合に接続を遮断しないシェルと置き換えられているシステムでも同
様に影響を受ける可能性がある。
32. Network Associates WebShield SMTP Content Filter Bypass Vulnerability
BugTraq ID: 1993
リモートからの再現性: あり
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/1993
まとめ:
Network Associates WebShield SMTP はインターネットゲートウェイのために
設計された電子メールのウイルススキャナである。
WebShield SMTP で使用されるコンテンツフィルタリングの仕組みは、管理者に
よって設定されるキーワード、添付ファイルのサイズなどの特定の基準の組で
送受信される電子メールをフィルタリングしている。通過する電子メールがウ
ムラウト付き文字、アクセント付き文字と言った拡張 ASCII 文字
(訳注: ISO-8859-xに含まれる、ASCIIの範囲外の文字)を含んでいた場合、コ
ンテンツフィルタリングを回避することが可能である。
この弱点はウイルス検知部分そのものの有効性には影響しない。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Report: Carnivore Needs Work
著者: Kevin Poulsen
火曜日夜に司法省により提出された草案によると、FBI の"Carnivore" インタ
ーネット監視ツールは一般的には広告物として見なされるが、監査記録の内容
補強や内部のセキュリティ手段としては利益をもたらすだろう。
イリノイ工科大学研究施設 (IITRI) により提出された 121 ページにわたる報
告書には、Carnivore の動作に関する新しい詳細が記述されており、システム
の稼動を続けることを推奨している。しかし、報告書にはシステムの信頼性と
セキュリティのための多数の勧告が記載されている。
http://www.securityfocus.com/templates/article.html?id=118
2. eBay Pulls Mitnick Memorabilia
著者: Kevin Poulsen
Kevin Mitnick が一度使用したビンテージコンピュータにあなたならいくら払
いますか? 彼が一度会話した携帯電話や本物の囚人 ID カードならどうですか?
月曜日、オンラインオークションを提供している eBay は Mitnick の公式な
federal Bureau of Prisons の囚人 I.D. カードのオークションを中止した。
Mitnick の父親により売り出されていた Mitnick 商品の流れに終止符を打った。
彼は連邦の監視下にある釈放期間、インターネットの利用を禁止されている。
http://www.securityfocus.com/templates/article.html?id=117
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. Astaro Security Linux 1.715
(Linux)
作者: Astaro AG, info@astaro.de>
関連する URL: http://www.astaro.com/products/download.html
Astaro Security Linux は新たなファイヤウォールソリューションです。ステ
ートフルインスペクション、パケットフィルタリング、コンテンツフィルタリ
ング、ウイルスススキャニング、IPSec を利用した VPN などの機能を備えてい
ます。Web ブラウザで利用できる管理ツールとインターネット経由でアップグ
レードできるため、容易に管理できます。また、ほとんどすべてのデーモンが
チェンジルートされケイパビリティより保護されることによって特別に強化さ
れた Linux 2.4 ディストリビューションがベースとなっています。
2. BUGS 4.0.0
作者: Sylvain Martinez, martinez@encryptsolutions.com
(FreeBSD, HP-UX, Linux, NetBSD, OpenBSD, Solaris, SunOS, UNIX,
Windows 2000, Windows 3.x, Windows 95/98 and Windows NT)
関連する URL: http://www.bcrypt.com
BUGS は強力な秘密鍵暗号アルゴリズムとそのアプリケーションです。使用する
ことは難しくなく、サンプルアプリケーションとドキュメントがあります。こ
の暗号のライブラリはフリーで利用することができます。マルチプラットフォ
ームに対応し、オープンソースで、ファイル暗号化アプリケーション、セキュ
アなチャット、セキュアな"more"コマンド、ログインアプリケーションなどか
らなるパッケージが提供されています。
3. SILC (Secure Internet Live Conferencing) 20001124
作者: Pekka Riikonen <priikone@poseidon.pspt.fi>
Linux
関連する URL: http://silc.pspt.fi/ >
SILC (Secure Internet Live Conferencing) は、セキュアでないチャンネルの
上のインターネットでセキュアなカンファレンスサービスを提供するプロトコ
ルです。内部は全く違いますが、SILC は IRC に表面上似てはいます。SILC の
目的はセキュアなカンファレンスサービスを提供することにあります。強力な暗
号を利用して、すべての通信内容をセキュアにします。
4. Bcrypt 4.0
(Windows 2000, Windows 95/98 and Windows NT)
作者: Sylvain Martinez
<関連する URL: http://www.bcrypt.com
これはすでに広く知られている bcrypt Windows 版ソフトウェアの新しい Windows
版アプリケーションです。このバージョンでは新しい暗号化ライブラリと新し
く互換性を保ち、暗号化、復号化、キー生成、ファイルの隠蔽機能が利用でき
る様になっています。BUGS v3.4.0 の提供する動的プライベートキー暗号化ア
ルゴリズムを利用した Windows GUI を提供しています。また、ユーザが利用し
やすく、オープンソースで、複数のプラットフォームで動作します。
実際、暗号化、復号化、キー生成、ファイルの隠蔽機能をお試し頂けます。
5. GuardDog 0.9.3
(Linux)
作者: Simon Edwards, simon@simonzone.com
URL: http://www.simonzone.com/software/guarddog
GuardDog は Linux 上で KDE のユーザフレンドリなファイヤウォール生成管理
ユーティリティです。許すプロトコルを単純に指定するだけでよく、ポート番
号の知識は必要ありません。クライアントで利用でき、現在のところ、ルータ
やゲートウェイの設定はサポートしていません。Generates は ipchains のた
めのスクリプトです。Sane は新しいファイヤウォールのデフォルトで、Redhat
や Mandrake のための RPM パッケージがあり、glitch の修正を表示します。
6. IP Accounting Daemon 1.0
(FreeBSD, Linux, Unix)
作者: Andrey Simonenko (simon@simon.org.ua)
関連する URL: http://www.simon.org.ua/ipa/ >
IP Accounting Daemon (ipa) は 設定可能な IP アカウンティングデーモンで
す。IP ファイヤウォールや IP フィルタのアカウンティング規則に基づいた
IP アカウンティング機能を提供します。時間内に通過できるアカウントの制
御を含めた多数のセクションとオプションからなるフレキシブルに設定できる
コンフィグレーションファイルがあります。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOiLh+JQwtHQKfXtrEQJYdgCgm3OwZB97xELeTiB/7RPvcJwtDSUAoPrc
cHiBbe+7HJkRcmhJw2nkM1VR
=4xLX
-----END PGP SIGNATURE-----