SecurityFocus.com Newsletter #69 2000-11-23->2000-11-30
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
SecurityFocus.com Newsletter 第 69 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.30.0012040846400.10959-100000@mail>
Date: Mon, 4 Dec 2000 08:48:15 -0800
SecurityFocus.com Newsletter #69
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
1. Identifying ICMP Hackery Tools Used In The Wild Today
2. Introduction to Incident Handling
3. Analysis of the T0rn Rootkit
II. BUGTRAQ SUMMARY
1. Lotus Notes Client R5 File Existence Verification Vulnerability
2. Info2www CGI Input Handling Vulnerability
3. Broker FTP Directory Permissions Vulnerability
4. Phorum Arbitrary File Read Vulnerability
5. Twig Remote Arbitrary Script Execution Vulnerability
6. Network Associates WebShield SMTP Invalid Outgoing Recipient Field...
7. Multiple Vendor whois CGI Metacharacter Vulnerability
8. Miva htmlscript 2.x Directory Traversal Vulnerability
9. JJ sample CGI program Escape Character Vulnerability
10. Multiple Vendor test-cgi Directory Listing Vulnerability
11. Secure Locate Heap Corruption Vulnerability
12. Winsock FTPd Directory Transversal Vulnerability
13. Bourne Shell /tmp file Vulnerability
14. Microsoft Windows 2000 DNS Memory Leak Vulnerability
15. PTlink IRCD and Services Denial of Service Vulnerability
16. rcvtty Arbitrary Command Execution Vulnerability
17. Multiple Vendor "Out Of Band" Data (winnuke.c) DoS Vulnerability
18. Ipswitch IMail Web Service "HOST" Denial Of Service Vulnerability
19. Cisco 675 Web Administration Denial of Service Vulnerability
20. SonicWALL SOHO Denial of Service Vulnerability
21. TrendMicro InterScan VirusWall Shared Directory Vulnerability
22. S.u.S.E. in.identd Denial of Service Vulnerability
23. Midnight Commander Directory Viewing Command Execution Vulnerability
24. IBM Net.Data Path Disclosure Vulnerability
25. Microsoft Windows 2000 Telnet Session Timeout DoS Vulnerability
26. Greg Matthews Classifieds.cgi Hidden Variable Vulnerability
27. Greg Matthews Classifieds.cgi Metacharacter Vulnerability
28. Merchant Order Form 1.2 Order Log Permissions Vulnerability
29. Windows 9x / NT 4.0 NetBIOS over TCP/IP Resource Exhaustion Vuln
30. Multiple Vendor .BAT/.CMD Remote Command Execution Vulnerability
31. Webcom Datakommunikation CGI Guestbook rguest/wguest Vulnerability
32. Novell NetWare Web Server 2.x convert.bas Vulnerability
33. GlimpseHTTP and WebGlimpse Piped Command Vulnerability
34. AnalogX Proxy Server DoS Vulnerability
35. Majordomo Config-file admin_password Configuration Vulnerability
36. Trlinux Postaci Webmail Password Disclosure Vulnerability
37. Microsoft SQL Server / Data Engine xp_displayparamstmt Buffer...
38. Microsoft SQL Server / Data Engine xp_enumresultset Buffer Overflow
39. AIX setsenv Buffer Overflow Vulnerability
40. AIX digest Buffer Overflow Vulnerability
41. AIX enq Buffer Overflow Vulnerability
42. AIX setclock Buffer Overflow Vulnerability
43. AIX pioout Buffer Overflow Vulnerability
44. AIX piobe Buffer Overflow Vulnerability
45. Microsoft SQL Server/Data Engine xp_showcolv Buffer Overflow Vuln
46. Microsoft SQL Server/Data Engine xp_updatecolvbm Buffer Overflow Vuln
47. Microsoft SQL Server/Data Engine xp_peekqueue Buffer Overflow Vuln
48. Microsoft SQL Server/Data Engine xp_printstatements Buffer Overflow...
49. Microsoft SQL Server/Data Engine xp_proxiedmetadata Buffer Overflow
50. Microsoft SQL Server/Data Engine xp_SetSQLSecurity Buffer Overflow...
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Judiciary weighs privacy, access
2. Hijackers take AIM accounts
IV.SECURITY FOCUS TOP 6 TOOLS
1. MindTerm 1.99pre2
2. Linux Intrusion Detection System (LIDS) 0.9.11
3. RelayTCP
4. MindTerm 1.99pre2
5. Anomy Mail Sanitizer 1.32
6. solpromisc 1.0
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. Lotus Notes Client R5 File Existence Verification Vulnerability
BugTraq ID: 1994
リモートからの再現性: あり
公表日: 2000-11-24
関連するURL:
http://www.securityfocus.com/bid/1994
まとめ:
Lotus Notes Client R5 は Web ブラウザを組み込んだメールおよび協調作業
用ソフトウェアである。組込まれている Web ブラウザは Lotus Notes に特化
した Java 仮想マシンを実装している。Java VM 内の Execution Control List
(ECL) 機能にはセキュリティ上の問題を抱え、第三者である攻撃者がシステム
内のファイルの有無を確認できてしまえる問題が発生する。ECL は JDK 1.1 で
実装されている標準的な Java のセキュリティモデルがローカルのファイルへの
アクセスを禁止しているのに対し、ローカルのファイルに対してはより、ずっと
緩やかなルールセットを適用してしまうのである。
ECL は java.lang.ClassLoader クラス内の getSystemResource() メソッドが用
いられた場合、ユーザが既存のローカルファイルを読み出そうと試みているかど
うかを問いかけるダイアローグボックスとして現れる。この際、ユーザは読み出
しを承認するか、処理を中断するかを選択可能である。
実行時の経過時間の観測を特別に作成された Java Applet を用いて行い、ター
ゲット上のファイルの存在を確認可能である。
悪意ある Web サイトの管理者がこの様な Java Applet を提供している場合、
Web サイトにアクセスしてきたコンピュータ内にどの様なファイルが存在するか
を決定可能である。
2. Info2www CGI Input Handling Vulnerability
BugTraq ID: 1995
リモートからの再現性: あり
公表日: 1998-03-03
関連するURL:
http://www.securityfocus.com/bid/1995
まとめ:
info2www スクリプトは GNU Emacs の Info モード内に格納された情報へ
HTTP 経由のアクセスを可能にしている。しかしこのスクリプトは変数への値
の一部としてコマンドを入れられた場合、入力された価の適当な解釈に失敗し、
Web サーバの権限でのコマンド実行を可能にしてしまう。
この問題を突いた攻撃の成功から、Web サーバ内データの削除を含む、Web
サーバのプロセスが権限を持つ資源へ攻撃対象が向けられる可能性が類推で
きる。
3. Broker FTP Directory Permissions Vulnerability
BugTraq ID: 1996
リモートからの再現性: あり
公表日: 2000-11-21
関連するURL:
http://www.securityfocus.com/bid/1996
まとめ:
TransSoft から提供されている Broker FTP は Windows NT/2000、Windows 95/98
上で動作する FTP サーバである。
このソフトウェアにはリモートの攻撃者が / ディレクトリを参照でき、アカ
ウント名とパスワードを取得できる可能性がある。
デフォルトインストール状態でこのサーバはサーバ用の FTP ディレクトリを
作成する様にユーザに問いかけを行う。(例: D:\FTP)
インストールが完了した場合、匿名ユーザを含むいかなるユーザはサービスへ
接続でき、このソフトウェアがインストールされたドライブ内部をすべて参照
でき得てしまうのである。
また、このソフトウェアにはリモートの攻撃者がユーザ名、パスワード、アカ
ウント情報を取得で来てしまえるという問題も存在する。このソフトウェアの
/ ディレクトリがインストール先と同一である場合、不正なユーザは
%%WinDir%%\BrokerProfiles.Dat までディレクトリを手繰りながら参照可能で
ある。アカウントおよびユーザ情報 (ユーザの妥当性を示す情報も含まれる)
はこのファイルに平文で記録され、容易に入手可能である。
なお、現在いかなる、あるいはすべてのユーザが / ディレクトリへ書き込み
可能か、あるいは所有していないいかなるディレクトリへ書き込み可能かど
うかについては未詳である。
4. Phorum Arbitrary File Read Vulnerability
BugTraq ID: 1997
リモートからの再現性: あり
公表日: 2000-11-24
関連するURL:
http://www.securityfocus.com/bid/1997
まとめ:
Phorum は PHP を利用した Web 上の会議システムである。管理用スクリプト
内に存在するユーザ入力の取り扱いのエラーにより、いかなるユーザはター
ゲット上の Web サーバが読み出し可能ないかなるファイルを参照可能なので
ある。
これは commom.php 内の 2 ヶ所でファイル名としてユーザからの値が参照さ
れている部分があるためである。
ForumLang 変数は会議室で表示されるべき言語の指定を行うために利用され
るが、 ../ 表記に対するチェックが行われていないのである。この結果、
ファイルシステム内に存在する意図するファイルが続いた ../ を含むパス
をユーザは指定可能であり、指定されたファイルが開かれ、内容の表示が行
われてしまう。
この問題を突いた攻撃からシステム情報の開示が行われてしまう可能性が類
推される(例えば実在するアカウント等)。特定の状況において、この問題は
攻撃者による直接的なターゲット上のローカル資源へのアクセスも引き起こ
す可能性がある。
5. Twig Remote Arbitrary Script Execution Vulnerability
BugTraq ID: 1998
リモートからの再現性: あり
公表日: 2000-11-25
関連するURL:
http://www.securityfocus.com/bid/1998
まとめ:
Twig は PHP3 で記述された Web 機能を持つ電子メールシステムである。
バージョン 2.5.1 (同様の問題はこれ以前のバージョンにも存在する可能性が
ある) ではリモートの攻撃者が、このソフトウェアが httpd の権限でインス
トールされていた場合、 Web サーバのローカルの資源にアクセスできる可能
性がある。
Twig を構成するスクリプトの 1 つ、index.php3 は Web サーバ上の仮想ホス
ト毎に vhosts[] と呼ばれる変数を用いている。
include という名前の php3 スクリプトが読み込まれた際、index.php3 でこの
変数が参照され、内容が解釈され、読み込みの上実行される。
しかし、この変数は利用される前に初期化されていないのである。このため
攻撃者はリモートから意図するホストへ値を変更でき得るのである。そして、
index.php3がこの変数内の値を参照する際、攻撃者により定義された値は参照
でき得るのである。この後、このスクリプトは vhost[] 変数内のホストから
php3 で引用されるべきファイルを取得しようと試みるのである。
指定されたホストが index.php3 で要求された正当な php3 の引用すべきファ
イル群を提供している場合、ファイル群は読み込まれ内容は解釈され、実行さ
れる。
6. Network Associates WebShield SMTP Invalid Outgoing Recipient Field DoS Vuln.
BugTraq ID: 1999
リモートからの再現性: なし
公表日: 2000-11-23
関連するURL:
http://www.securityfocus.com/bid/1999
まとめ:
Network Associates WebShield SMTP はインターネット向けのゲートウェイで
利用されるように設計された電子メール用のウイルススキャナである。
WebShield SMTP が受信者フィールド内にいかなる文字列に続けて 6 つの %20
が含まれていた場合、電子メールの処理中にアクセス違反が発生し、アプリケー
ションはクラッシュしてしまう。
通常動作への復旧はアプリケーションの再起動が必要である。なお、もしも特
別に組み立てられたコードがバッファ内に与えられた場合、意図的なコードが
実行されるかどうかについては未検証である。
7. Multiple Vendor whois CGI Metacharacter Vulnerability
BugTraq ID: 2000
リモートからの再現性: あり
公表日: 1999-11-09
関連するURL:
http://www.securityfocus.com/bid/2000
まとめ:
InterNIC は HTTP 経由で参照サービスを whois スクリプトを使い、提供し
ている。Matt's Whois および CGI City Whois を含む whois スクリプトに
は問題がある。これらスクリプトの古いバージョンにはメタキャラクタのフィ
ルタに失敗してしまい、参照したいドメイン名に含めたコマンドとして指定さ
れた意図的なコマンドの実行を行えてしまうのである。コマンドの実行は UNIX
コマンドを ; で繋ぐ事で可能である。この問題を突いた攻撃が成功した場合、
攻撃者は意図的なコマンドを Web サーバのプロセス権限で実行可能であり、
重要な情報の漏洩、Web サーバ内部のデータの破壊が生じる可能性がある。
8. Miva htmlscript 2.x Directory Traversal Vulnerability
BugTraq ID: 2001
リモートからの再現性: あり
公表日: 1998-01-26
関連するURL:
http://www.securityfocus.com/bid/2001
まとめ:
Miva が提供する htmlscript CGI プログラムは HTML 類似のタグを利用した
ユニークなスクリプト言語である。
(なお、もはや htmlscript は比較的古い製品であり、この名称では Miva か
らは提供されていない)
htmlscript インタプリタ (CGI スクリプト) の 2.9932 以前のバージョンに
は相対パスを利用し、ディレクトリが参照されファイルを読み出されてしま
う問題を抱えている。
(例えば ../../../../../../etc/passwd)
攻撃者はスクリプトへ URL 経由で与えられる値にパスを追加するだけでよく、
Web サーバが読み出し可能なアクセス権限を持ついかなるファイルの内容は
この方法を用いて入手可能である。
9. JJ sample CGI program Escape Character Vulnerability
BugTraq ID: 2002
リモートからの再現性: あり
公表日: 1996-12-24
関連するURL:
http://www.securityfocus.com/bid/2002
まとめ:
JJ は NCSA HTTPd サーバに同梱されるサンプル CGI プログラムである。
このプログラムはフィルタリングされていないままのユーザデータを /bin/mail
プログラムに引き渡すため、/bin/mail がそうできるシステムにおいては、
" 文字を使ってシステム上のシェルを入手でき得る問題がある。
攻撃者はプログラムが要求するパスワードを事前に知っておく必要があり、
このプログラムのデフォルトは HTTPdRocKs あるいは SDGROCKS である。
これらデフォルトのパスワードはプログラムのソースコード内で変更される必
要があり、この問題を突いた攻撃が成功した場合、Web サーバの uid でシェ
ルが奪取される可能性がある。
10. Multiple Vendor test-cgi Directory Listing Vulnerability
BugTraq ID: 2003
リモートからの再現性: あり
公表日: 1996-04-01
関連するURL:
http://www.securityfocus.com/bid/2003
まとめ:
NCSA HTTPd および派生されたソフトウェアでは CGI 用のサンプルシェルスク
リプトとして /cgi-bin 内で test-cgi が提供されている。このスクリプトは
引用符で囲まれた中に含められる echo コマンドに与えられる値について、適
当なチェックを行っていない。このため、* 文字を利用したシェル上での文字
列展開が特定の設定において可能である。これはリモートの攻撃者に *, /*, /usr/*
等を与える事でファイル一覧の取得を可能とする。echo コマンドは * を指定
されたディレクトリ内のディレクトリ一覧として展開するため、この攻撃以後
の攻撃に用いられる情報の入手に、この攻撃は用いられる可能性がある。
なお、これは他のサンプルスクリプト、nph-test-cgi でも指摘されている問題
とは同様の問題である。対応する Bugtraq ID を参照されたい。
11. Secure Locate Heap Corruption Vulnerability
BugTraq ID: 2004
リモートからの再現性: なし
公表日: 2000-11-26
関連するURL:
http://www.securityfocus.com/bid/2004
まとめ:
Secure Locate は root によってのみ参照可能なファイルも含んだ、すべての
ファイルシステム内のインデックスを作成し、保守するプログラムである。
slocate バイナリはこのインデックスを読み出すため、 setguid slocate
である。slocate はヒープ内容が寝食されてしまう問題を抱えるため、もしこ
の問題を突いた攻撃が行われた場合、インデックス内容を開示してしまう可能
性がある。
slocate が実行されている際、ユーザはコマンドラインパラメータとして、
ユーザは自分自身のデータベースを指定可能である。
slocate にはユーザが指定したユーザデータベースを読み出す部分に、guid slocate
でローカルのユーザが意図的なコードを実行できる問題も存在する。
データベースの内容が読み込まれる際、slocate はファイルから最初に、デー
タが書き込まれるバッファを malloc() するためのオフセットと仮定される値
を読み出す。値が割り当てられたバッファの大きさを越えている場合、ファイ
ルから得られるデータの内何バイトかはバッファに続けて malloc 構造体へ書
き込まれてしまうのである。
この結果、ローカルユーザはヒープ上の内部 malloc メモリ構造体を任意のデー
タで上書き可能なのである。攻撃者は正当な malloc 構造体を他のメモリ内領
域を上書きする様な悪意あるデータで上書き可能である。
12. Winsock FTPd Directory Transversal Vulnerability
BugTraq ID: 2005
リモートからの再現性: あり
公表日: 2000-11-27
関連するURL:
http://www.securityfocus.com/bid/2005
まとめ:
Winsock FTPd は Texas Imperial Software から提供されている著名な FTP
サーバである。
このソフトウェアには不正なユーザが、このソフトウェアがインストールされ
たドライブの \ ディレクトリを参照できてしまう問題がある。
インストール時に、このソフトウェアは管理者に「ホームディレクトリ以下を
制限する」というユーザに対する chroot された閉じた環境の作成機能を提供
している。ログイン時にユーザは、このソフトウェアがインストールされてい
るドライブ内で、いかなるユーザが \ ディレクトリを参照し \ からファイル
の入手、\ へファイルの書き込みを可能とする、改ざんされた cd コマンド
をサーバに与える事が可能である。
(ユーザには匿名ユーザを含む)
このソフトウェアに接続する際、ユーザは cd ../../ を発行可能である。
このコマンドの通常の結果は User is not allowed to ../../ というメッセー
ジであり、ユーザは chroot された閉じた環境へ引き戻される。
しかし、ユーザが cd /../.. コマンドを発行した場合、上記メッセージは表
示されず、このソフトウェアがインストールされているドライブ、あるいは
パーティションの \ ディレクトリに移動してしまうのである。
もし管理者がこのソフトウェアをオペレーティングシステムと同一のドライ
ブ、あるいはパーティションにインストールしていた場合、リモートの攻撃
者はシステム用のファイル、パスワードファイル等にアクセス可能であり、
この結果、完全なシステム権限の奪取を招く可能性がある。
13. Bourne Shell /tmp file Vulnerability
BugTraq ID: 2006
リモートからの再現性: なし
公表日: 2000-11-23
関連するURL:
http://www.securityfocus.com/bid/2006
まとめ:
Bourne Shell はすべての UNIX、UNIX クローンオペレーティングシステムに
同梱される標準システムユーティリティの一部である。しかし、意図する
内容をファイルに書き込めてしまえる問題が存在する。
問題は /tmp ディレクトリへのセキュアではないファイルの作成方法に由来
している。リダイレクションが処理される際、既存のファイル存在確認なし
で /tmp にファイルが生成される。これはシンボリックリンクを利用した攻
撃に用いられ、リダイレクトを行っているシェルが書き込みアクセス可能な
いかなるファイルの内容を改変される可能性がある。
14. Microsoft Windows 2000 DNS Memory Leak Vulnerability
BugTraq ID: 2007
リモートからの再現性: あり
公表日: 2000-01-01
関連するURL:
http://www.securityfocus.com/bid/2007
まとめ:
いかなるサービスパックが適用されていない Windows 2000 Server および
Advanced Server では、報告される所に依ると、攻撃者が DoS 攻撃を引き起
こせる軽微な問題がある。DNS.EXE によって DNS サービスが提供されている
が、このソフトウェアにはいくつかの場合において、システムの稼働状態を低
下させるメモリリークが発生するバグが存在する。メモリ利用率はサーバは受
入れた DNS のクエリの量に依存して増加し、リクエストを多数与えた場合、
問題を抱えるシステムは DoS 状態に陥る。通常動作への復旧にはサーバの再
起動が必要である。
15. PTlink IRCD and Services Denial of Service Vulnerability
BugTraq ID: 2008
リモートからの再現性: あり
公表日: 2000-11-23
関連するURL:
http://www.securityfocus.com/bid/2008
まとめ:
PTlink IRCd and Services はフリーで利用可能な IRC サーバを提供するため
の IRC ソフトウェアパッケージであり、PTlink Coders Team によって保守さ
れている。このソフトウェアには正当なユーザにより DoS が発生する条件が
存在する。
IRC Services と IRC Daemon の両方において、モードの取り扱いを行う部分に
問題は存在している。PTlink IRCd が動作している IRC サーバに接続したユー
ザはモードを +owgscfxeb に変更可能である。そしていかなる種類の管理者用
コマンドを発行することで IRC サービスのクラッシュが生じてしまうのである。
いかなる種類の IRC 管理者コマンドを発行する事によっても IRCd は DoS に
陥る問題の影響を受ける。この問題は悪意あるユーザが IRC Services と daemon
を完全な DoS 状態に陥らせる事を可能にする。
16. rcvtty Arbitrary Command Execution Vulnerability
BugTraq ID: 2009
リモートからの再現性: なし
公表日: 2000-11-27
関連するURL:
http://www.securityfocus.com/bid/2009
まとめ:
rcvtty は UNIX で動作する MH コマンド群の一部である。 BSD/OS 向けに提
供されているこのソフトウェアにはローカルユーザが権限を昇格できてしまえ
る問題を抱えていると知られている。
問題はこのソフトウェアがシステム上で sgid 権限を最初に落とすことなくプ
ログラムを実行してしまう点にある。このソフトウェアを利用して実行される
シェルスクリプトは tty の sgid でシェルスクリプトの内容を実行してしまう。
このため、悪意あるユーザがより高い権限を持つシステム権限へ昇格できてし
まえる可能性をもたらす。
17. Multiple Vendor "Out Of Band" Data (winnuke.c) DoS Vulnerability
BugTraq ID: 2010
リモートからの再現性: あり
公表日: 1997-05-07
関連するURL:
http://www.securityfocus.com/bid/2010
まとめ:
Microsoft Windows の古いバージョン (95, Windows for Workgroups 3.11,
4.0 を含む 4.0 までの Windows NT)、SCO Open Server 5.0 では "Out of Band"
状態の TCP/IP パケットの取り扱いに関する問題を抱えている。
Microsoft によると、「 TCP ヘッダ内で URGENT ビットフラグを指定するこ
とで "Out of Band" 状態のデータを送り主が指定した際、URGENT 状態のデー
タの終りを示すセグメントを決定するための URGENT POINTER を利用する。Windows NT
では URGENT POINTER がフレームの最後を示し、通常のデータが続いていない
場合の判断に失敗してしまう。Windows NT は通常のデータが続くと想定して
いるのである。」
この想定していない状況に陥った場合、Windows NT はブルースクリーン状態
に陥り、処理を停止してしまう。
Windows で提供されるポート番号 139 (NetBIOS) はこの攻撃に用いられる可
能性が最も高いと考えられる。しかし、他のサービスも同様に用いられる可
能性が存在する。通常動作への復旧は影響を受けたコンピュータの再起動が
必要である。
18. Ipswitch IMail Web Service "HOST" Denial Of Service Vulnerability
BugTraq ID: 2011
リモートからの再現性: あり
公表日: 2000-08-17
関連するURL:
http://www.securityfocus.com/bid/2011
まとめ:
IPSwitch IMail は Web 経由での電子メールサービスを提供しているメール
サーバである。デフォルトで Web サービスはポート番号 8181 あるいは 8383
で提供されている。HTTP リクエストを非常に長い HOST フィールドを付け、
何回も与える事によりサービスを提供しているコンピュータを無反応の状態に
陥らせる事が可能である。長いリクエストはそれぞれに利用されるメモリを
開放しないままでスレッドを殺しているのである。このリクエストを繰り返
す事で、システムの資源は完全に利用されつくされてしまう。
19. Cisco 675 Web Administration Denial of Service Vulnerability
BugTraq ID: 2012
リモートからの再現性: あり
公表日: 2000-11-28
関連するURL:
http://www.securityfocus.com/bid/2012
まとめ:
Cisco 675 DSL ルータは広範囲で利用されている著名な DSL ルータであり、
SOHO 顧客向けに主要な電気通信事業者から提供されている。
このルータにはリモートの攻撃者が DoS 状態にルータを陥らせてしまえ、
通常動作への復旧へは電源の再投入が必要な DoS を引き起こせてしまえる問
題がある。
このルータで Web 経由の管理機能が有効になっている場合、リモートの攻撃
者は telnet でルータへ接続し、単純な改ざんされた HTTP リクエストを発行
可能である。一度 telnet で Web 経由の管理機能へ接続し、GET ? \n \n と
コマンドを与える事により、telnet セッションのみならず、ルータもクラッ
シュしてしまう。通常動作への復旧に当たっては電源の遮断および再投入が
必要である。
検証は行われていないが、他の Cisco 社製ルータも同様の問題を抱える。
(673, 675e, 676, および 678)
現在、利用可能な唯一の解決策は Web 経由の管理可能をルータへ以下のコマ
ンドを与え、無効にする事である。
cbos# set web disabled
cbos# write
cbos# reboot
20. SonicWALL SOHO Denial of Service Vulnerability
BugTraq ID: 2013
リモートからの再現性: あり
公表日: 2000-11-29
関連するURL:
http://www.securityfocus.com/bid/2013
まとめ:
SonicWALL SOHO はネットワークに対してセキュアなインターネット接続を提
供する製品である。
しかし、この製品は DoS に陥る問題がある。認証用の Web ページにおいて、
通常あり得ない、非常に長いユーザ名を与える事で応答を停止し、新規のコ
ネクションの確立を停止してしまう。機能が復旧するまで 30 秒すくなくとも
必要であると検証されているが、しかし、通常動作への復旧はサービスの再起
動が必要である。付け加えるならば、様々な改ざんされた HTTP リクエストに
よってもこの問題を突いた攻撃は可能であると検証されている。
この問題はバッファオーバーフローによるものであると類推される。しかし、
ターゲット上での任意のコードの実行の可能性についての検証は行われていな
い。
21. TrendMicro InterScan VirusWall Shared Directory Vulnerability
BugTraq ID: 2014
リモートからの再現性: あり
公表日: 2000-11-28
関連するURL:
http://www.securityfocus.com/bid/2014
まとめ:
TrendMicro InterScan VirusWall はウイルスおよび悪意あるコードについて
のスキャナであり、インターネット向けのゲートウェイとして設計されている。
インストール作業の完了後、このソフトウェアは Everyone グループに \Interscan
内のフルコントロール ACL 権限をユーザに通告することなく与えてしまう。
権限に関連して、ファイル共有 Intscan も設定される。これもインストール
中に作成される。これは Interscan [lig-in eManager が Interscan ディレ
クトリ内のファイルにアクセスできる様にするためである。
しかし、Everyone グループにフルコントロール権限を与える方法は推奨され
る設定例ではない。この結果、指定されたディレクトリでいかなるユーザへの
読み出し、書き込み、実行権限が与えられるのである。このため、悪意あるユー
ザはファイルのアップロード、削除、改変、実行が、千差万別の攻撃が行える
可能性があるディレクトリへ実行可能である。Interscan ディレクトリは起動
時に実行される実行ファイルを含んでいる。これは自動的な注入されたトロイ
の木馬、あるいは他の悪意あるコードの実行を引き起こす可能性がある。
22. S.u.S.E. in.identd Denial of Service Vulnerability
BugTraq ID: 2015
リモートからの再現性: あり
公表日: 2000-11-29
関連するURL:
http://www.securityfocus.com/bid/2015
まとめ:
in.identd サービスはリモートのシステムにユーザ名と関連付けられた TCP 接
続ポートの組を提供するために用いられている。S.u.S.E. Linux に同梱されて
いる in.identd にはリモートからサービスがクラッシュする結果、DoS を引き
起こせる問題がある。
DoS はサーバによって予定外の入力が受け付けられた際に発生し、これはオーバー
フローではない。identd は入力値が非常に長いと解釈した際、いくつかのポイ
ンタの値を NULL に変えてしまうというのが生じている現象である。サーバは、
このポインタへの参照を解除しようと試み、セグメンテーション違反により処
理が中断されてしまう。
S.u.S.E. ident daemon はマルチスレッド化されたアプリケーションであり、
inetd 経由では読み出されていない。単一の in.identd プロセスが通常、init
によって起動される。この結果、処理が中断され、再起動が成されていない場合、
手動による再起動が行われるまで identd に対する DoS が成立してしまう。
23. Midnight Commander Directory Viewing Command Execution Vulnerability
BugTraq ID: 2016
リモートからの再現性: なし
公表日: 2000-11-28
関連するURL:
http://www.securityfocus.com/bid/2016
まとめ:
Midnight Commander は UNIX システム向けの著名なファイル管理用ツールで
ある。多々ある機能の中で、このソフトウェアはユーザにコンソール上での
ファイルシステム内のメニュー選択形式による移動機能を提供している。
しかし、このソフトウェアのディレクトリの取り扱い方法には問題があり、
悪意を持って作成されたディレクトリが開かれる際、任意のコマンドが実行
可能となる問題が発生する。
攻撃者はディレクトリ名の後ろに特定のバイト値 (0x03 および 0x14) に繋
げてコマンド名を指定する事で、このソフトウェアがディレクトリを開いた
際にそのコマンドの実行が可能である。ディレクトリ名が長い場合、このソ
フトウェアは完全なディレクトリ名を含むディレクトリ一覧を作成できず、
もし十分な表示可能で、通常の参照可能な文字列が表示されている場合には
例示した文字列 (表示不能) とコマンドはユーザからは隠蔽可能である。
この問題は直接的なユーザの対話的動作によって攻撃を受ける可能性がある。
(ユーザは悪意あるディレクトリをこのソフトウェアによって開かねばならな
い)
この問題を突いた攻撃が成された場合、この問題により攻撃者の権限昇格を
招く可能性がある。
24. IBM Net.Data Path Disclosure Vulnerability
BugTraq ID: 2017
リモートからの再現性: あり
公表日: 2000-11-29
関連するURL:
http://www.securityfocus.com/bid/2017
まとめ:
IBM Net.Data は Web アプリケーションを作成するためのスクリプト言語であ
る。この言語は広範囲の言語環境をサポートし、多くのデータベースシステム
に対し最も互換である。
しかし、このソフトウェアにはサーバ情報を開示してしまう問題が存在する。
CGI アプリケーションの手法を用い、既知のデータベースと誤ったリクエスト
を使って特別に組み立てられた URL を与える事により、サーバ内のファイル
の物理的な位置を開示してしまうのである。
この問題を突いた攻撃が成功した場合、ターゲットとなったホストに対する以
後の攻撃のための手助けとなり得る可能性がある。
25. Microsoft Windows 2000 Telnet Session Timeout DoS Vulnerability
BugTraq ID: 2018
リモートからの再現性: あり
公表日: 2000-11-30
関連するURL:
http://www.securityfocus.com/bid/2018
まとめ:
Windows 2000 に同梱される telnet デーモンは開始されたセッションがリセッ
トされない場合、DoS 攻撃の影響を受ける可能性がある。特定の時間が経過後、
ユーザがユーザ名、あるいはパスワードを与えない場合、telnet セッションは
タイムアウトする。もし悪意あるユーザが Windows 2000 telnet デーモンに接
続し、接続をリセットしない場合、telnet サーバへの他のユーザへのアクセス
を効果的に阻害可能である。これはクライアントの最大接続数が 1 であるため
である。telnet サーバへ接続を試みる他のいかなるユーザは以降に示すエラー
メッセージを受け取る。
Microsoft Windows Workstation allows only 1 Telnet Client License
Server has closed connection
この場合、認証が成立していないため、現在のユーザの一覧オプションではタイ
ムアウト状態になったセッションは表示されていない。
26. Greg Matthews Classifieds.cgi Hidden Variable Vulnerability
BugTraq ID: 2019
リモートからの再現性: あり
公表日: 1998-12-15
関連するURL:
http://www.securityfocus.com/bid/2019
まとめ:
Classifieds.cgi は perl で作成されたスクリプトであり、Web サイトへ分類
された広告を掲載できるパッケージである。(なお、このスクリプトは Greg
Matthews による分類パッケージ群の 1 つである)
入力値に対する検証が不適当であるため、このスクリプトを実行しているコン
ピュータ上でいかなるコマンドの実行が Web サーバの権限で可能である。
攻撃者が実行したいコマンドを隠し変数に与えられた場合、指定されたコマン
ドは実行されてしまう。通常、この変数はメールプログラム用に予約されてい
るが、以下に示すコード片にある HTML 内でアクセス可能な状態になっている。
<inputtype="hidden" name="mailprog" value="/usr/sbin/sendmail">
27. Greg Matthews Classifieds.cgi Metacharacter Vulnerability
BugTraq ID: 2020
リモートからの再現性: あり
公表日: 1998-12-15
関連するURL:
http://www.securityfocus.com/bid/2020
まとめ:
Classifieds.cgi は perl で作成されたスクリプトであり、Web サイトへ分類
された広告を掲載できるパッケージである。(なお、このスクリプトは Greg
Matthews による分類パッケージ群の 1 つである)
入力値に対する検証が不適当であるため、このスクリプトを実行しているコン
ピュータ上でいかなるファイルの取得が Web サーバの権限で可能である。
これは電子メールアドレスのエントリのためのフォームフィールドに与えられ
るファイル名にリダイレクト用メタキャラクタを続けて、指定可能である。
(<input name=return>)
Web サーバが読み出し可能ないかなるファイルが取得可能である。
28. Merchant Order Form 1.2 Order Log Permissions Vulnerability
BugTraq ID: 2021
リモートからの再現性: あり
公表日: 1999-04-20
関連するURL:
http://www.securityfocus.com/bid/2021
まとめ:
Merchant Order Form はショッピングカートプログラムであり、シェアウェア
である。不適当なインストールが行われるため、注文記録を採取するログファ
イルはいかなるユーザに対して読み出し可能であり、顧客の注文履歴、クレジッ
トカード情報と言った重要な情報の取得が可能である。
これはセキュリティ上の問題と言うよりも、むしろソフトウェアの設定上の問
題であり、クレジットカード情報を平文で記録し、いかなるユーザにとって読
み出し可能なディレクトリ内に放置しておく事は悪例である。
29. Windows 9x / NT 4.0 NetBIOS over TCP/IP Resource Exhaustion Vulnerability
BugTraq ID: 2022
リモートからの再現性: あり
公表日: 2000-11-30
関連する URL:
http://www.securityfocus.com/bid/2022
まとめ:
Microsoft の NetBIOS の実装にはリモートから DoS 攻撃に利用できる弱点が
存在する。NBT ポートに接続した攻撃者はシステムのネットワーク資源を枯渇
させ、機能を停止させることが可能である。
攻撃は多数の接続を確立し、切断することによって実行され、ターゲットであ
る TCP ソケットを FINWAIT_1 の状態にする。ソケットは最終的にはタイムア
ウトし開放されるが、攻撃者は使用可能なネットワーク資源を枯渇させるため
に、継続的に新規接続とその切断を繰り返すことが可能である。攻撃が中止さ
れるまで、有効な NetBIOS サービスが利用できないままである。
攻撃の種類は単純な資源を枯渇させるという既知のものであるが、より効果的
に資源を消費させる攻撃の実行が可能な新手のツールが公開されている。
Microsoft は NT4.0sp6 での弱点を修正するパッチを発行した。この弱点は
Microsoft Windows 以外の多数の OS にも影響があるが、 Microsoft はパッチ
を提供し、事前策を提供する唯一のベンダである。(訳注:2000年11月30日現在)
30. Multiple Vendor .BAT/.CMD Remote Command Execution Vulnerability
BugTraq ID: 2023
リモートからの再現性: あり
公表日: 1996-03-01
関連する URL:
http://www.securityfocus.com/bid/2023
まとめ:
CGI を通じてバッチファイルの実行を許可してしまう、いくつかの Web サーバ
は、侵入者がターゲットマシン上でコマンドを実行できる攻撃を受けてしまう
問題を抱えている。例えば、http://targethost/cgi-bin/batfile.bat?&hostile_command
のようにアンパサンド (&) 記号を使用し、CGI プログラムへの変数として展開
され、動作するコマンドを含む URL を送信することによって実行される。これ
によりサーバは、system("batfile.bat&hostile_command")のようなコマンドイ
ンタプリタが別々のコマンドであると解釈してしまう関数を呼び出すことになる。
Microsoft IIS1.0 は要求された .BAT ファイルの有無にかかわらずこの攻撃の
弱点が存在する。この弱点を突くことに成功した場合、攻撃者はターゲットマシ
ン上で Web サーバの権限でコマンドの実行が可能である。
また、この弱点は.CMD ファイルを通して攻撃することも可能である。
31. Webcom Datakommunikation CGI Guestbook rguest/wguest Vulnerability
BugTraq ID: 2024
リモートからの再現性: あり
公表日: 1999-04-09
関連する URL:
http://www.securityfocus.com/bid/2024
まとめ:
freeware.webcom.se から提供されるfreeware guestbook package は CGI を利
用した Web ブラウザでの来客名簿である。この来客名簿の特定のバージョン
(この文章を執筆時には未詳である) には、侵入者がアクセスした Web サーバの
任意のファイルの内容を検索できてしまう攻撃に対する弱点が存在する。
rguest.exe もしくは wguest.exe のいずれかへの"template"変数としてパスと
ファイル名を指定することによって攻撃可能である。具体例は Exploit を参照
されたい。この 2 つのプログラムは標準的には /cgi-bin に存在する。
32. Novell NetWare Web Server 2.x convert.bas Vulnerability
BugTraq ID: 2025
リモートからの再現性: あり
公表日: 1996-07-03
関連する URL:
http://www.securityfocus.com/bid/2025
まとめ:
Novell NetWare Web Server のバージョン 2.x には、convert.bas という名前
の BASIC 言語で記述された CGI プログラムが付随する。このスクリプトは
Web サーバの通常のコンテンツが所在する場所の外にあるファイルの検索が可
能である。これは単に、スクリプトへのパラメータに親ディレクトリを参照す
るための相対パス (../../) を使用しファイル名とパスを指定した URL を送信
することで実行できる。SYS: ボリュームへのアクセスが可能かどうかは未詳で
ある。
33. GlimpseHTTP and WebGlimpse Piped Command Vulnerability
BugTraq ID: 2026
リモートからの再現性: あり
公表日: 1996-07-03
関連する URL:
http://www.securityfocus.com/bid/2026
まとめ:
WebGlimpse と GlimpseHTTP は、いくつかの関係した管理スクリプトを含んだ
Web インデックスと検索エンジンのプログラムである。バージョン 2.0 以前の
GlimpseHTTP とバージョン 1.5 よりも前の WebGlimpse は "aglimpse" コンポ
ーネントに関係した共通の弱点が存在する。このスクリプトはパイプを表すメ
タ文字をフィルタできず、任意のコマンドの実行を許してしまう。この弱点を
利用するデモンストレーションには、Web サーバがスペース文字をフィルタす
る場合のために Unix シェルの "IFS"(Internal Field Separator) 変数が含ま
れる。条件に合った文字 (この例では"5"である) に設定することによって、複
数のフィールドを持つコマンドの使用が可能である(例: "mail me@myhost.tld")。
34. AnalogX Proxy Server DoS Vulnerability
BugTraq ID: 2027
リモートからの再現性: あり
公表日: 2000-11-23
関連する URL:
http://www.securityfocus.com/bid/2027
まとめ:
AnalogX Proxy Server は、ネットワークに接続したコンピュータが様々なイン
ターネットサービスをプロキシゲートウェイを利用してリクエストすることを
可能にする。AnalogX はほとんどの一般的なインターネットプロトコルに対応
している。
AnalogX Proxy Server は DoS に陥る可能性がある。FTP、SMTP、POP3 サービ
スへ通常以上の長さの引数をリクエストすることで、サーバは応答を停止する。
通常の機能を回復するためにはサーバのサービスを再起動する必要がある。
この弱点を突くことに成功した場合、ターゲットホスト上で任意のプログラム
の実行が可能であるが、現時点では確認されていない。
35. Majordomo Config-file admin_password Configuration Vulnerability
BugTraq ID: 2028
リモートからの再現性: あり
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2028
まとめ:
Majordomo は Perl 言語で記述された著名なオープンソースのメーリングリス
トサーバである。 Majordomo の認証システムには、リモートからの攻撃者に管
理者コマンドの実行を許してしまう、(訳注どのバージョンに対してでも)共通の
設定エラーが存在する。
Majordomo は管理者コマンドを実行する際には必ずリストの管理者をパスワー
ドを使用することで認証する。認証中、入力されたパスワードとリストの設定
ファイルにある admin_password オプションの値とが最初に比較される。この
2 つが合致した場合、管理者は認証され、コマンドは実行される。合致しなか
った場合、majordomo はリストディレクトリにある名前が"listname.passwd"
(listname は現在のリスト名) という形式のファイルをを開こうと試みる。
パスワードはこのファイルから読み出される。
多数の Majordomo の設定やインストールを解説したガイドは、Majordomo の設
定を(list.passwd ファイル名形式中に) パスワードを含んで開かれるファイル
名の値をオプションに割り当てるよりも admin_password の値には正しいパス
ワードにしないようにするよう指示している。設定がこのようになされた場合、
admin_passwd の値として指定されたファイル名は有効なパスワードとなり、管
理者の認証として利用可能である。
システムがこの手順で設定されている場合、リモートからの攻撃者はファイル
(listname.passwd) の名前を推測でき、成功すれば管理者コマンドを実行する
ためのパスワードとして利用できる。
36. Trlinux Postaci Webmail Password Disclosure Vulnerability
BugTraq ID: 2029
リモートからの再現性: あり
公表日: 2000-11-30
関連する URL:
http://www.securityfocus.com/bid/2029
まとめ:
Postaci Webmail はデータベース機能によって稼働されている Web インタフェー
ス付きの電子メールシステムである。
PostACI のデフォルト設定にはリモートからの攻撃者に使用しているデータベ
ースへのアクセス権を奪取されてしまう弱点が存在する。
Webmail は global.inc という名前のファイルにデータベースのユーザ名とパ
スワード情報を保存する。このファイルはいかなる権限でも読み出し可能で、
インターネット経由で Web ブラウザを利用してアクセス可能なディレクトリ中
に保存されている。そのため、攻撃者は典型的なシステム (デフォルト設定)
上の global.inc ファイルを Web ブラウザを利用して検索可能である。一度
情報を奪取すれば、攻撃者はシステムデータベースへのアクセスが可能である。
攻撃に成功した場合、攻撃者はデータベースへの認証されていないアクセス権
を奪取可能である。
データベースとシステムの型に依存するが、Webmail とそのデータベースを稼
動しているホストへの双方向型のアクセスに利用される可能性がある。
37. Microsoft SQL Server / Data Engine xp_displayparamstmt Buffer Overflow Vuln
BugTraq ID: 2030
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2030
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行する DLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_displayparamstmt に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
38. Microsoft SQL Server / Data Engine xp_enumresultset Buffer Overflow Vuln.
BugTraq ID: 2031
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2031
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_enumresultset に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
39. AIX setsenv Buffer Overflow Vulnerability
BugTraq ID: 2032
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2032
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはユーザの権限を昇格可能な問題が存在する。
問題は setsenv バイナリ中で生じる。報告されるところによると、このバイナ
リには、ユーザがリターンアドレスを含んだスタック上の変数を上書き可能な
バッファオーバフローが存在する。このため、悪意あるユーザは任意のプログ
ラムを実行し、潜在的には UID 0 を奪取可能である。
40. AIX digest Buffer Overflow Vulnerability
BugTraq ID: 2033
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2033
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはユーザの権限を昇格可能な問題が存在する。
問題は digest バイナリ中で生じる。報告されるところによると、このバイナ
リには、ユーザがリターンアドレスを含んだスタック上の変数を上書き可能な
バッファオーバフローが存在する。このため、悪意あるユーザは任意のプログ
ラムを実行し、潜在的には UID 0 を奪取可能である。
41. AIX enq Buffer Overflow Vulnerability
BugTraq ID: 2034
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2034
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはユーザの権限を昇格可能な問題が存在する。
問題は enq バイナリ中で生じる。報告されるところによると、このバイナリに
は、ユーザがリターンアドレスを含んだスタック上の変数を上書き可能なバッファ
オーバフローが存在する。このため、悪意あるユーザは任意のプログラムを実
行し、潜在的には UID 0 を奪取可能である。
42. AIX setclock Buffer Overflow Vulnerability
BugTraq ID: 2035
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2035
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはユーザの権限を昇格可能な問題が存在する。
問題は setclock バイナリ中で生じる。報告されるところによると、このバイナ
リには、ユーザがリターンアドレスを含んだスタック上の変数を上書き可能なバッ
ファオーバフローが存在する。このため、悪意あるユーザは任意のプログラムを実
行し、潜在的には UID 0 を奪取可能である。
43. AIX pioout Buffer Overflow Vulnerability
BugTraq ID: 2036
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2036
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはローカルユーザの権限を昇格可能な問題が存在する。
問題は pioout プログラム中に存在する。ヒープメモリに保存する際、環境変
数 PIODEVNAME を解析する最中に strcpy() 関数による不十分な扱いのため、
プログラムを異常終了させてしまう。これは悪意あるユーザにスタック変数を
上書きする特別に組み立てられた環境変数を生成させ、潜在的には任意のプロ
グラムの実行が可能である。
44. AIX piobe Buffer Overflow Vulnerability
BugTraq ID: 2037
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2037
まとめ:
AIX は IBM によって提供される UNIX オペレーティングシステムの 1 バージ
ョンである。AIX にはローカルユーザの権限を昇格可能な問題が存在する。
問題は piobe プログラム中に存在する。PIOSTATUSFILE、PIOTITLE、PIOVARDIR
環境変数の不十分な取り扱いのため、スタック上にある変数の上書きが可能で
ある。このため、悪意あるユーザは環境変数を通して特別に組み立てられた文
字列をプログラムに渡し、潜在的には管理者でのアクセス権の奪取が可能であ
る。
45. Microsoft SQL Server / Data Engine xp_showcolv Buffer Overflow Vulnerability
BugTraq ID: 2038
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2038
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_showcolv に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
46. Microsoft SQL Server / Data Engine xp_updatecolvbm Buffer Overflow Vuln.
BugTraq ID: 2039
リモートからの再現性: あり
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2039
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_updatecolvbm に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
47. Microsoft SQL Server / Data Engine xp_peekqueue Buffer Overflow Vuln.
BugTraq ID: 2040
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2040
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_peekqueue に十分長い文字列を渡す
ことが可能である場合、安全ではないメモリのコピーのためにバッファオーバー
フローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
48. Microsoft SQL Server / Data Engine xp_printstatements Buffer Overflow Vuln.
BugTraq ID: 2041
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2041
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_printstatements に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
49. Microsoft SQL Server / Data Engine xp_proxiedmetadata Buffer Overflow Vuln.
BugTraq ID: 2042
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2042
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_proxiedmetadata に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
50. Microsoft SQL Server / Data Engine xp_SetSQLSecurity Buffer Overflow Vuln
BugTraq ID: 2043
リモートからの再現性: なし
公表日: 2000-12-01
関連する URL:
http://www.securityfocus.com/bid/2043
まとめ:
Microsoft SQL Server と Data Engine で提供され、Extended Stored Procedures (XP)
によって実装される API である Srv_paraminfo() はバッファオーバーフロー
が生じる問題を抱えている。バッファに入力されるデータによっては実行中の
アプリケーションの終了や、ターゲットシステム上での任意のコマンドの実行
が可能である。
XP は SQL Server で高レベル関数を実行するDLL ファイルである。呼び出され
た際、入力されたパラメータを解析するために Srv_paraminfo() 関数を呼び出
す。
Srv_paraminfo() 中に弱点が存在し、XP が関数に渡すパラメータ列の長さを検
査しないためである。攻撃者が XP の xp_SetSQLSecurity に十分長い文字列
を渡すことが可能である場合、安全ではないメモリのコピーのためにバッファオ
ーバーフローを生じる。このために SQL Server はクラッシュする。
また、攻撃者は SQL Server を稼動しているホスト上で任意のプログラムを実
行することが可能である。そのために攻撃者は呼び出した関数のリターンアド
レスをメモリ上にあるシェルプログラムのアドレスに上書きする必要がある。
このシェルプログラムは、SQL Server サービスが実行されている権限で実行さ
れる。アカウントが持つ最低の権限レベルは SYSTEM 権限である。
この弱点は SQL Server にログインできるユーザによってのみ利用可能である。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Judiciary Weighs Privacy, Access
著者: Kevin Poulsen
連邦裁判官は、病歴、個人情報、所得申告、社会保障番号など時には機密とし
て扱うべきの情報でありうる裁判事件ファイルに Web からアクセスすることを
許可した際に生じるプライバシー問題を解決するために一般の助けを求めている。
刑事訴訟や民事訴訟の紙で記録されたものは公に公開され複写などが許可され
てきた。米裁判所の管理事務室からの声明によると、連邦裁判官は情報時代に
向け、これらのファイルを Web 上に公開するため、広く公からのアクセスに
"プライバシーとセキュリティの兼ね合い"を再考する必要がある。
http://securityfocus.com/templates/article.html?id=120
2. Hijackers Take AIM Accounts
著者: Kevin Poulsen
America Online への登録過程にある抜け穴を突いたしたクラッカーは AOL
Instant Messenger (AIM) のアカウントを採取し始め、仮想的に AIM を思いの
まま乗っ取った。
この技術は AOL-Files で今月初めに発覚した。これは AOL クラッカーのため
のオンライン会議場で、ユーザに奇抜にインデントされた画面名のAOL アカウン
トを与えるための害のないクラッキングとして生まれた。
http://securityfocus.com/templates/article.html?id=119
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. MindTerm 1.99pre2
(AIX, FreeBSD, HP-UX, Java, Linux, MacOS, Solaris, Windows 95/98
and Windows NT)
作者: Mats Andersson (mindterm@mindbright.se)
関連する URL: http://www.mindbright.se/mindterm/
MindTerm は Java 言語で記述された 完全な SSH クライアントプログラムです。
スタンドアローンの Java アプリケーションとしても Java アプレットとして
も使用できます。3 つのパッケージ (terminal、ssh、security) からなります。
terminal パッケージは vt102/xterm ターミナルよりも使いやすく、ssh パッ
ケージは ssh プロトコルや、また、Java アプリケーションやアプレットから
ssh トンネルを使用しての "drop-in"ソケットの置き換えの機能を含みます。
security パッケージは ssh サーバを認識する機能を含んでいます。最後に、
RSA、DES、3DES、Blowfish、IDEA、RC4 暗号が利用できます。
2. Linux Intrusion Detection System (LIDS) 0.9.11
(Linux)
作者: Xie Hua Gang (xhg@gem.ncic.ac.cn)
関連する URL: http://www.lids.org/
Linux Intrusion Detection System はカーネルのセキュリティを拡張するパッ
チです。一度このパッチが有効になった場合、選択されたファイルへのアクセス、
すべてのシステム/ネットワーク管理操作、すべての権限付き動作、raw デバイ
スの動作、メモリおよび I/O アクセスは root でさえ利用できなくできます。
また、利用者はどのファイルに何というプログラムがアクセスできるのかを定義
できます。管理下に収めたいと希望する、システムの権限付き動作を利用し、拡
張し、ネットワークとファイルシステムについてのセキュリティ機能を、カーネ
ルにセキュリティ機能を拡張することで追加します。また、重要なプロセスの隠
蔽、ネットワーク越しのセキュリティ警告メッセージの受信等のセキュリティ保
護機能を明確に調整することも可能です。
3.RelayTCP
(Windows 2000, Windows 95/98 and Windows NT)
作者: DLC Sistemas
関連する URL: http://www.dlcsistemas.com/html/relay_tcp.html
RelayTCP は TCP/IP の接続をローカルポートからリモートの IP やポートにリ
ダイレクトすることができます。RelayTCP は確立された接続や転送されたデー
タの記録をすべて残す機能があります。データを転送するデバッグをするとき
に役に立ちます。
4.MindTerm 1.99pre2
(AIX, FreeBSD, HP-UX, Java, Linux, MacOS, Solaris, Windows 95/98
and Windows NT)
作者: Mats Andersson (mindterm@mindbright.se)
関連する URL: http://www.mindbright.se/mindterm/
MindTerm は Java 言語で記述された 完全な SSH クライアントプログラムです。
スタンドアローンの Java アプリケーションとしても Java アプレットとして
も使用できます。3 つのパッケージ (terminal、ssh、security) からなります。
terminal パッケージは vt102/xterm ターミナルよりも使いやすく、ssh パッ
ケージは ssh プロトコルや、また、Java アプリケーションやアプレットから
ssh トンネルを使用しての "drop-in"ソケットの置き換えの機能を含みます。
security パッケージは ssh サーバを認識する機能を含んでいます。最後に、
RSA、DES、3DES、Blowfish、IDEA、RC4 暗号が利用できます。
5. Anomy Mail Sanitizer 1.32
(Perl, any system supporting Perl)
作者: Bjarni R. Einarsson (bre@netverjar.is)
関連する URL: http://mailtools.anomy.net/
Anomy mail sanitizer はトロイの木馬やウィルスなどの電子メールを介したセ
キュリティ上のリスクを回避するために設計されたフィルタです。このツール
は RFC822 形式、あるいは、MIME 形式の電子メールを読み込み、添付ファイル
を削除したり名称を変更し、異常な長さの MIME ヘッダフィールドを短く整形
したり、Javascript と Java を使用できないようにして HTML を安全にしたり
します。このソフトウエアでは、一度だけ解釈するタイプの Perl で記述され
た MIME 解釈プログラムを利用しているため、同種のソフトよりもより効果的
でより正確です。sanitizer はサードパーティ製のウィルススキャナのビルト
インをサポートします。
6.solpromisc 1.0
(Solaris)
作者: User Datagram Protocol
関連する URL: http://www.low-level.net/udp/projects.html
DLPI (例: solsniff、tcpdump など pcap を利用しているもの) を利用してユ
ーザ空間からプロミスキャスモードに設定されているデバイスを検知するため
のローダブルカーネルモジュールです。これは、syslog により集められる
dmesg の出力バッファのプロセス、ドライバの応答ための cred 構造体をダン
プします。詳しくはプログラムのソースをご参照ください。
- --
Translated by SAKAI Yoriyuki, KAGEYAMA Tetsuya
Little eArth Corporation - LAC Co., Ltd.
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: SAKAI Yoriyuki
iQA/AwUBOi5YD5QwtHQKfXtrEQKYfQCfVPTqi/SkzNA/8G8WN5jcCYE9NzYAoPNF
2S8DSItmhJi29xN2o94GKlJl
=J/X4
-----END PGP SIGNATURE-----