Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.00.03 Message-ID: <20010209115041.D6D1.T.KAGEYM@lac.co.jp> Date: Fri, 9 Feb 2001 11:55:40 +0900 Reply-To: KAGEYAMA Tetsuya Sender: BUGTRAQ-JP List From: KAGEYAMA Tetsuya Subject: SecurityFocus.com Newsletter #78 2001-1-26->2001-1-31 To: BUGTRAQ-JP@SECURITYFOCUS.COM -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 影山@ラックです。 SecurityFocus.com Newsletter 第 78 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - --------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - --------------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 原版: Message-ID: Date: Mon, 5 Feb 2001 10:17:22 -0700 SecurityFocus.com Newsletter #78 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) 1. Protecting Your Workplace: Ten Anti-Virus Rules 2. Chasing the Wind, Part Four: Through a Glass, Darkly II. BUGTRAQ SUMMARY 1. ISC Bind 8 Transaction Signatures Buffer Overflow Vulnerability 2. AT&T WinVNC Client Buffer Overflow Vulnerability 3. AT&T WinVNC Server Buffer Overflow Vulnerability 4. ISC Bind 4 nslookupComplain() Buffer Overflow Vulnerability 5. ISC Bind 4 nslookupComplain() Format String Vulnerability 6. Microsoft IIS File Fragment Disclosure Vulnerability 7. iWeb Hyperseek 2000 Directory Traversal Vulnerability 8. Whitsoft SlimServe HTTPd Server DoS Vulnerability 9. ISC BIND Internal Memory Disclosure Vulnerability 10. Solaris ximp40 Library Buffer Overflow Vulnerability 11. Microsoft Hotfix Conflict Vulnerability 12. FreeBSD inetd wheel Group File Read Vulnerability 13. FreeBSD periodic /tmp File Race Condition Vulnerability 14. Microsoft Windows 2000 RDP DoS Vulnerability 15. Linux man -l Format String Vulnerability 16. Apple Quicktime Plugin Remote Overflow Vulnerability 17. qDecoder Remote Buffer Overflow Vulnerability 18. Cisco Content Service Switch Long Filename Denial of Service Vuln 19. Cisco Content Services Switch Directory Structure File Reading Vuln III. SECURITYFOCUS.COM NEWS ARTICLES 1. Nortel getting too personal 2. Crypto regs still annoy 3. BIND holes mean big trouble I. FRONT AND CENTER(日本語訳なし) - --------------------------------- II. BUGTRAQ SUMMARY - ------------------- 1. ISC Bind 8 Transaction Signatures Buffer Overflow Vulnerability BugTraq ID: 2302 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2302 まとめ: BIND はドメインネームサービス (DNS) プロトコルを実装したサーバプログラ ムである。このプログラムはインターネット上で非常に広範囲に使用されてい る。バージョン 8.2 以降の BIND には、リモートの攻撃者が利用可能なバッフ ァオーバーフローが存在する。 BIND がクエリを受け取ると、バッファに読み込んでそれを処理する。トランス ポート層に UDP を用いてリクエストを受け付けると、クエリは 'datagram_read' 関数によって 'u.buf' バッファに読み込まれる。このバッファはスタック領域 にあり、単一の UDP データグラムで送信が可能な最大の情報量である 512 バ イトの長さである。トランスポート層に TCP を用いてリクエストを受け付けた 場合、クエリは 'stream_getlen()' 関数によって 'sp->s_buf' に読み込まれる。 このバッファは 'malloc()' 関数によってヒープ領域に確保されており、長さは 64KB である。 レスポンスを返すとき、BIND はレスポンスを生成するためにこのバッファを再 度利用する。BIND がリクエストを処理するため、DNS のレスポンスにデータが 追加される。それが終わると、DNS のヘッダを修正し、レスポンスを返すので ある。 DNS のメッセージ長は書き込まれたバイト数のように、2 つの変数を用いて書 き込まれ、把握されている。'msglen' はバッファ内のデータの総量を追跡する ためのものであり、'buflen' はバッファ内の空きスペースの残量を追跡するた めのものである。 クエリにトランザクションシグニチャが含まれているときに BIND 8.2 を起動 すると、BIND はリクエストに対する通常の処理を飛ばし、'ns_find_tsig()' 関数を通してシグニチャを検証しようとする。シグニチャが不正なものであっ た場合、TSIG レスポンスは、BIND が 'msglen' と 'buflen' を加えた結果が バッファのサイズと等しいと想定してバッファに追加される。 通常の処理が飛ばされたため、'msglen' と 'buflen' を加えた結果は、実際に はバッファの約 2 倍の長さになっている。この際、TSIG レコードは ns_sign() を通してバッファの境界を越えて書き込まれてしまうのである。この結果、TSIG レコードが部分的に実行されている関数のスタック構造体を超えて書き込まれ たり、malloc の内部変数を上書きしてしまう可能性がある。 TSIG レスポンスは 0 バイトを含む固定値で構成されている。バッファがスタッ ク上に存在する時に UDP を通してリクエストを受け取った場合、攻撃者は 'datagram_read()' 関数内の、関数を呼び出すスタック構造体のある部分を乗 っ取る可能性がある。Intel IA32 アーキテクチャでは 0 として保存されてい る構造体ポインタの最下位バイトを上書きすることが可能である。このため、 多くの場合、保存されている構造体ポインタは攻撃者がコントロールしている DNS の元々のリクエストを含んだメモリ領域を指し示すことになる。呼び出さ れた関数の終了時、攻撃者がメモリ領域に挿入することによって与えられてい る任意のアドレスがリターンアドレスとして参照される。このアドレスがシェ ルコードを指していた場合、そのシェルコードは named の特権で実行される。 構造体ポインタの 1 バイトによるオーバーフローの結果は 'datagram_read()' 関数のスタックアクティベーションレコードを検索するという BID 2321 に記 述されている弱点を使用することで容易に予測できる。この情報を使用して、 構造体ポインタが 0 という値に上書きされた最小位バイトを指し示している場 所を正確に計算することが可能である。 バッファが処理するメモリ内の 'bss' もしくは 'heap' の領域に存在する時に TCP を通じたリクエストを受け取った場合、さらにこれがバッファオーバーフ ローしている場合、スタックオーバーフローを起こす同じ方法を利用すること は不可能である。加えて、このメモリの一部は実行不可能であり、ゆえにシェ ルコードはどうにかしてスタック内に押し込む必要がある。 この場合、弱点を利用する一つの方法は、malloc() の構造体を変造すること である。攻撃者が malloc() されたメモリのブロックの最初の部分を上書きし、 free() が呼び出されるまで手付かずで残っている場合、メモリの任意の位置 を攻撃者が与える値に上書きすることが可能である。 例えば、攻撃者がスタック上のリターンアドレスを、実行可能なメモリのどこ かに存在するシェルコードを指し示すような値に上書きすることができる。関 数が終了したとき、与えられたシェルコードは named の実行権限 (通常は root ) で実行される。 malloc() の構成に対する攻撃は、メモリを割り当てるために使用される、同じ メモリ内の構造体を組み合わせている機能についての実装に対してのみ有効で ある。IRIX libc ライブラリ、Linux glibc ライブラリ及び Solaris libc ラ イブラリは、このタイプの攻撃が有効となることが知られている。 2. AT&T WinVNC Client Buffer Overflow Vulnerability BugTraq ID: 2305 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2305 まとめ: VNC はフリーで入手可能な Virtual Network Computing パッケージであり、リ モートでシステムのデスクトップにアクセス可能な、リモート管理パッケージ である。このパッケージは AT&T によって配布、管理されている。 パッケージのクライアント部分にある問題により、リモートユーザは任意のコー ドを実行することが可能である。これはコネクションの確立及び認証の間にサー バからクライアントに送信される、 rfbConnFailed パケットを処理することが 原因である。このエラーレスポンスは、通常クライアントが、後々の管理のた めのログ採取ルーチンを終了したパケットの内容を通したときに、クライアン トにコネクションの確立が失敗したことを知らせるものである。しかしながら、 サーバのバージョンを偽造し、1024 バイトの正当な文字列を含む、1024 バイ ト以上の長さである rfbConnFailed パケットを送信すると、バッファオーバー フローが生じる。このオーバーフローを利用して、リターンアドレスを含むス タック変数の上書き及び任意のコードを実行することが可能となる。 この問題により、ユーザが悪意ある動機でリモートシステム上において、WinVNC クライアントのユーザ権限でコードを実行することが可能である。 3. AT&T WinVNC Server Buffer Overflow Vulnerability BugTraq ID: 2306 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2306 まとめ: WinVNC はフリーで入手可能なソフトウェアパッケージであり、クライアント/ サーバシステムを用いてリモートでデスクトップからサーバにアクセスできる よう設計されている。このパッケージは、AT&T によって配布、管理されている。 WinVNC サーバの問題によって、リモートユーザが任意のコードを実行すること が可能である。問題は、0 でないデバッグレベルを設定したときの HTTP リク エストの処理に由来する。HTTP リクエストは 1024 バイトのバッファに置かれ、 Windows のレジストリキーである DebugLevel が 0 より大きい値に設定されて いると、HTTP リクエストは 1024 バイトの固定値のバッファを含む ReallyPrint() メソッドによりログに取られる。WinVNC に対して巧妙に組み立 てられた HTTP リクエストを生成することが可能であり、それによってリターン アドレスを含むスタック上の変数に上書きされる。 悪意あるユーザがこの弱点を利用して WinVNC サーバプロセスの特権で任意の コードを実行することが可能であり、ローカルシステムに対するアクセス権を 取得する危険性もある。 4. ISC Bind 4 nslookupComplain() Buffer Overflow Vulnerability BugTraq ID: 2307 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2307 まとめ: BIND はドメインネームサービスプロトコルを実行しているサーバプログラムで ある。このプログラムはインターネット上で非常に広範囲に使用されており、 現在はほとんどのインターネット DNS サーバで使用されている。 BIND のバージョン 4 にはスタックオーバーフローが存在し、攻撃者はこれを 利用して、リモートから root のアクセス権を奪取することが可能である。 BIND 4 ネームサーバがホストネームを得るためのクエリを受け取ったときに最 初に起こることは、要求されたアドレスまたはホスト名にマッチするレコード を検索するために、サーバが所有しているゾーンファイルとキャッシュをチェッ クすることである。それらのローカルに対する方法でもホスト名が解決できな かった場合、BIND はホストのドメインを解決可能であるネームサーバを取得 するのである。 一旦適切な NS レコードを取得すると、BIND はそれらのネームサーバの IP ア ドレスを取得するために nslookup() を呼び出す。nslookup() 関数は各々のネ ームサーバの IP の正当性をチェックする。それが 0.0.0.0、255.255.255.255、 マルチキャストアドレスのように不正なものであった場合、syslog にエラーを 記録するために nslookupComplain() が呼び出される。 バッファオーバーフローが成立する条件はこの nslookupComplain() 関数に存 在する。エラーメッセージが生成されるとき、nslookupComplain() は sprintf() を使用して、最後の文字列を NULL にする。この文字列は 999 バイトの長さで あり、ローカル変数である。ネームサーバのホスト名がこのバッファサイズを 超えた場合、文字列が生成されるときに nslookupComplain() のスタック変数 を超えてコピーされる。バッファサイズが非常に巨大なため、攻撃者はオーバー フローが発生するに足る長さである完全に条件に合ったドメイン名を生成する ために、一つ以上の悪意ある DNS サーバを利用する必要がある。 上記の通り、この弱点は BIND 4 が稼動しているホストへのリモートのアクセ ス権を取得するために利用される可能性がある。与えられたシェルコードを指 し示すアドレスをリターンアドレスと入れ替えることで、攻撃者は任意のコー ドを実行することが可能となる。 しかしながら、この攻撃を実行するために攻撃者が使用するバイトは、インター ネットのホスト名として許可されている文字でなくてはならない。これらのバ イトから有効なリターンアドレスを組み立てることは不可能である。 5. ISC Bind 4 nslookupComplain() Format String Vulnerability BugTraq ID: 2309 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2309 まとめ: BIND はドメインネームサービスプロトコルを実行しているサーバプログラムで ある。このプログラムはインターネット上で非常に広範囲に使用されており、 現在はほとんどのインターネット DNS サーバで使用されている。 BIND のバージョン 4 は書式指定子文字列を使った攻撃に対する弱点が存在し、 攻撃者がこれを利用して root 権限を奪取する可能性がある。 BIND 4 ネームサーバがホストネームを得るためのクエリを受け取ったときに最 初に起こることは、要求されたアドレスまたはホスト名にマッチするレコード を検索するために、サーバが所有しているゾーンファイルとキャッシュをチェ ックすることである。それらのローカルに対する方法でもホスト名が解決でき なかった場合、BIND はホストのドメインを解決可能であるネームサーバを取得 するのである。 一旦適切な NS レコードを取得すると、BIND はそれらのネームサーバの IP ア ドレスを取得するために nslookup() を呼び出す。nslookup() 関数は各々のネ ームサーバの IP の正当性をチェックする。それが 0.0.0.0、255.255.255.255、 マルチキャストアドレスのように不正なものであった場合、syslog にエラーを 記録するために nslookupComplain() が呼び出される。 nslookupComplain() 関数には、リモートからの攻撃者がメモリ内の任意の位置 に、ほぼ任意といってよい値に上書きすることが可能となる条件が存在する。 これは書式指定子列の引数として攻撃者が与えた入力 (ネームサーバのホスト 名) を含む文字列が syslog() に渡されることが原因である。ホスト名を含む どんな書式仕様でも、syslog() が使用する *printf() 関数によって処理され る。 攻撃者がある書式仕様を利用した場合、メモリ内の任意の位置を上書きするこ とが可能である。例えば、攻撃者は関数のリターンアドレスを、メモリ内に存 在するシェルコードを指し示すような値に上書きすることができる。 攻撃者は書式仕様を含むに足る、完全に条件に合ったドメイン名を生成するた めには一つ以上の悪意ある DNS サーバを利用する必要がある。 ドメイン名に含まれる文字に制限があるために、この弱点は利用することがで きないことに注意するべきである。 6. Microsoft IIS File Fragment Disclosure Vulnerability BugTraq ID: 2313 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2313 まとめ: Microsoft IIS はいくつかの HTP スクリプトとともに出荷されており、これら のスクリプトは ISAPI エクステンションによって処理されている。 ISAPI 拡張機能によるリクエストの処理が原因で、リモートユーザは様々な既 知の場所にあるファイルを開示させてしまうことが可能である。悪意を持って 組み立てられた URL によって、IIS が他のファイルタイプのリクエストを処理 するための .htr ISAPI エクステンションを使用し、特定のファイルの一部が 攻撃者に開示されてしまうのである。この弱点を突くことに成功した場合、機 密にしなければならない情報が開示されてしまい、ターゲットへの更なる攻撃 に利用されてしまう可能性がある。 この弱点は以前に修正されたバグである Bugtraq ID 1193 及び Bugtraq ID 1488 の変形であるということに注意が必要である。 7. iWeb Hyperseek 2000 Directory Traversal Vulnerability BugTraq ID: 2314 リモートからの再現性: あり 公表日: 2001-01-28 関連する URL: http://www.securityfocus.com/bid/2314 まとめ: iWeb Systems Hyperseek 2000 はインターネットディレクトリアプリケーション である。インターネットの検索エンジンと同じように、Hyperseek 2000 は多数 の関連のないリンクではなく、ディレクトリのデータベースから関連する一覧 を返す。 統計モジュール (hsx.cgi) スクリプトを通した、意図的に組み立てられた URL が '../' 及び '%00' で構成されていると、ターゲットとなった Web サイトの ディレクトリの一覧を開示し、様々なファイルを読み取り権限を奪取すること ができる。 この弱点を突くことに成功した場合、機密にしなければならない情報を開示し てしまい、ターゲットとなるホストへの更なる攻撃に利用されてしまう可能性 がある。 8. Whitsoft SlimServe HTTPd Server DoS Vulnerability BugTraq ID: 2318 リモートからの再現性: あり 公表日: 2001-01-30 関連する URL: http://www.securityfocus.com/bid/2318 まとめ: SlimServe HTTPd は Whitsoft Development が作成したウェブサーバである。 SlimServe は、小規模から中規模の環境に適した設計になっている。 SlimServe HTTPd サーバは、リモートユーザによって DoS 状態に陥る可能性が ある。ユーザによって GET リクエストに過度な引数が与えられると、サーバが クラッシュする。 通常機能の復旧にはサーバの再起動が必要である。 この弱点を突くことに成功した場合、ターゲットとなるホストへの更なる攻撃 に利用されてしまう可能性がある。 9. ISC BIND Internal Memory Disclosure Vulnerability BugTraq ID: 2321 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2321 まとめ: BIND は Domain Name Service Protocol を実装したサーバプログラムである。 これは、インターネット上で DNS サーバとして非常に広く用いられている。 ISC はリモートの攻撃者に対してメモリの内容を開示してしまうという BIND の脆弱性に関する情報を公開した。もし、攻撃者が意図的に作り上げた逆引き 要求を仕向ければ、この脆弱性を利用して攻撃を成功させることになるだろう。 開示されてしまうメモリはプログラムのスタックである。スタックとは、処理 に関係するローカル変数や実行変数と同様の内部変数を格納しておくメモリ領 域のことである。加えて、スタックの環境変数や関数用変数といった情報が読 み出せるということは、攻撃者に実行時のメモリの割り当て状態を確認するこ とを可能にしてしまうことに他ならない。 この情報はもっと容易な攻撃を成功させる手助けとなるだろう。 この最たる例が BIND の TSIG 1 バイトオーバーフロー(Bugtraq ID 2302) である。ネットワークアソシエイツ社の COVERT Advisory 2000-01 によれば、 この BIND の脆弱性によってスタック領域を開示させることは可能である。こ の情報によって、一般的な攻撃用プログラムによって、保存済みベースポイン タが修正された後に、どのアドレスがリターンアドレスとなるのかを自動的に 知ることができる。 この仮想攻撃用プログラムは初回の試みによって自動的にリターンアドレスの 位置を調整し、攻撃を成功させることができる。 上記の説明のように、開示された情報は、攻撃者に他の脆弱性を突いた攻撃の ために用いられるだろう。 10. Solaris ximp40 Library Buffer Overflow Vulnerability BugTraq ID: 2322 リモートからの再現性: なし 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2322 まとめ: Solaris は UNIX オペレーティングシステムの一種であり、Sun Microsystems によって開発と保守が進められている。これはフリーで入手でき、同時にソー スコードも入手可能である。 Openwindows (訳注: Sun の移植による X11) パッケージに含まれる ximp40 ライブラリの問題により、ローカルユーザに昇格した権限を得ることを許して しまう。この ximp40.so.2 に対してリンクされたプログラムへの入力処理に起 因し、おおよそ 272 バイト長の長い文字列をコマンドの引数 (arg0) として与 えることで、プログラムのリターンアドレスを含むスタック領域の変数を上書 きすることができる。 どの SUID バイナリが悪用されたかによるが、このことは悪意あるローカルユ ーザが EUID の mail もしくは EUID root を獲得すことを可能にする。影響の あるライブラリにリンクされたプログラムのうち、脆弱であると報告されたも のは次のものになる。 *Solaris 8 suid root : /usr/dt/bin/dtaction suid root : /usr/dt/bin/dtprintinfo suid root : /usr/openwin/bin/sys-suspend sgid mail : /usr/dt/bin/dtmail sgid mail : /usr/openwin/bin/mailtool *Solaris 7 suid root : /usr/dt/bin/dtaction suid root : /usr/dt/bin/dtprintinfo suid root : /usr/dt/bin/dtappgather suid root : /usr/bin/admintool suid root : /usr/openwin/bin/sys-suspend sgid mail : /usr/dt/bin/dtmail sgid mail : /usr/openwin/bin/mailtool 11. Microsoft Hotfix Conflict Vulnerability BugTraq ID: 2323 リモートからの再現性: なし 公表日: 2001-01-30 関連する URL: http://www.securityfocus.com/bid/2323 まとめ: Windows 2000 の system カタログには Windows File Protection がシステム ファイルを保護するための暗号に用いられるハッシュ関数が含まれており、こ のカタログはリリース時の状態では電子的な保護が行われている。 これらのシステムファイルは、どんなことがあっても置き換えられたり、修正 を加えられないように、保護されているのである。 Microsoft 社はhotfix を Microsoft 社製品用のセキュリティ問題に対する修正プログラムとして公開し ているが、この hotfix に含まれるカタログには現在までの全ての修正が含ま れている。 Windows File Protection はどの hotfix が妥当であるかを決定す るために電子署名されたカタログを使用する。 以前の hotfix の実装では Windows 2000 をインストールしたコンピュータか らはアンインストールできず、現在のセキュリティ問題にコンピュータを曝し てしまうことになってしまう。Windows 2000 Post-Service Pack 1 (英語版) に含まれるカタログファイル (Sp2.cat) は間違ったバージョン番号が付加され ている。Windows File Protection は以前にインストールされた hotfix は不 正だと判断し、これら全ての hotfix を削除するので、システムを脆弱性の影 響を受けてしまう状況に曝してしまう。以前の system カタログのハッシュ関 数は置き換わっているのでシステムファイルを改ざんするまでの影響は及ぼさ ない。 2000 年 12 月 18 日までに入手可能であった Windows 2000 Post-Service Pack 1 (英語版) はこの問題の影響を受けることを注意すべきである。 この問題を利用した攻撃の成功はさらなる攻撃を手助けすることになるだろう。 12. FreeBSD inetd wheel Group File Read Vulnerability BugTraq ID: 2324 リモートからの再現性: あり 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2324 まとめ: inetd はインターネットサービス用のスーパーサーバであり、多くの UNIX オ ペレーティングシステムに含まれている。また FreeBSD は自由に手に入れるこ とのできる、オープンソースの UNIX の一種である。 FreeBSD と共に開発されている inetd の実装には、アクセスの制限された資源 を利用できてしまうという問題がある。ユーザによるが、inetd のパッケージの 設計によって、 inetd は子プロセスに間違ったグループ権限を付加してしまう。 ident の要求を受け取るとき、 identd のプロセスは inetd によって起動され、 identd は root グループに属する wheel グループの権限を手に入れる。 identd プロセスへ意図的に変形させた要求をすることで、 wheel グループの 権限で閲覧可能なファイルの先頭の 16 バイトを読むことができる。 この処理は悪意あるユーザに、暗号化されたパスワードファイルの最初の行へ のアクセスを許し、権限の昇格や、上昇した権限を得るといったことを可能に してしまうような、機密性の高いファイルの先頭の 16 バイトを読み出すこと を可能にしてしまう。 13. FreeBSD periodic /tmp File Race Condition Vulnerability BugTraq ID: 2325 リモートからの再現性: なし 公表日: 2001-01-29 関連する URL: http://www.securityfocus.com/bid/2325 まとめ: FreeBSD はフリーで、オープンソースな BSD-UNIX オペレーティングシステム の一種であり、 BSD プロジェクトによって開発と保守が行われている。 periodic は最近の FreeBSD のリリースに含まれる、指定時刻にプログラムを 実行させるためのパッケージである。 periodic の実装には問題があり、攻撃者に管理者しか書き込みが許されないフ ァイルへ追加することや改ざんを許してしまう。通常 cron が実行されるとき は、指定時刻どおりの手順に従ってコマンドを実行するために periodic が呼 ばれる。しかしながら、この処理が発生するとき、 /tmp ディレクトリには安 全でない方法でファイルが作成されるため、推測もしくは考えられる限りのあ りとあらゆるファイル名による攻撃を成立させてしまう。 この問題はローカルの悪意あるユーザに、シンボリックリンクによる、アクセ スの制限されたファイルへのアクセスや追加による改ざんを許してしまう。 14. Microsoft Windows 2000 RDP DoS Vulnerability BugTraq ID: 2326 リモートからの再現性: あり 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2326 まとめ: Remote Desktop Protocol (RDP) はリモートのユーザにキーボード操作やマウ ス操作を使用するアプリケーションを通じてネットワーク越しの対話を可能に する。 Windows 2000 Server 及び Advanced Server は DoS 状態に陥ってしまう問題 がある。意図的に変形させたパケットを RDP サービス用のポートへ送信するこ とで、サーバを停止に導き、全ての保存されていないデータを失わせることが できる。 このとき、通常の機能へ復旧させるには再起動が必要である。 この脆弱性をついた攻撃の成功は、さらなるターゲットホストへの攻撃を手助 けすることになるだろう。 15. Linux man -l Format String Vulnerability BugTraq ID: 2327 リモートからの再現性: なし 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2327 まとめ: man はマニュアルページを閲覧するためのプログラムであり、様々な UNIX オ ペレーティングシステムに含まれている。これは様々な人々によって開発され、 保守が行われている。 man コマンドに含まれる問題によって権限の上昇を許してしまう可能性がある 。これは man コマンドの書式指定子の処理に起因し、ローカルユーザがスタッ クのリターンアドレスを含む領域や、変数を結果的に上書きすることができる ように、フォーマットストリングを man コマンドに渡すことは可能である。い くつかの Linux オペレーティングシステムのディストリビューションには、 man を SUID root とした形で含んでいる。ゆえに、悪意あるローカルユーザは スタックに配置された任意のコードを実行でき、管理者権限を含む、権限の上 昇させることが可能である。 16. Apple Quicktime Plugin Remote Overflow Vulnerability BugTraq ID: 2328 リモートからの再現性: あり 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2328 まとめ: Quicktime は Apple 社が登録商標権を有するマルチメディア再生技術である。 Windows 用の Quicktime プラグインにはリモートからバッファオーバフロー攻 撃を受けてしまう脆弱性がある。 このプラグインは、 HTML を参照元にした入力は、長さについての確認が十分 でない。結果として、攻撃者は HTML 文書中に意図的に作成した EMBED タグを 挿入することが可能である。無防備なユーザがこのタグを含む文書へのリンク をクリックするとき、 Quicktime プラグインには大量のデータが送り込まれ、 ローカルバッファをあふれさせてしまう。 このことにより、呼び出している関数のリターンアドレスを含む、スタック領 域の重要な部分を溢れ出したデータで上書きすることができる。攻撃者によっ て巧妙に作成されたデータが送り込まれたならば、それはプログラムの実行順 序を変更することができるだろう。 17. qDecoder Remote Buffer Overflow Vulnerability BugTraq ID: 2329 リモートからの再現性: あり 公表日: 2001-01-30 関連する URL: http://www.securityfocus.com/bid/2329 まとめ: qDecoder は、C 言語や C++ 言語を使用して CGI ソフトウェアを開発するため の ANCI 準拠の C ライブラリである。 このライブラリを使用したスクリプトに Content-Type ヘッダを通してユーザ が適切に検査されていないデータを入力すると、バッファオーバーフローして しまう可能性がある。 そのため、過剰なデータ (254 文字を超えるデータ) がスタック上にコピーさ れた場合、呼び出した関数のリターンアドレスといったスタック構造体の重要 な部分を上書きすることが可能である。 このデータはユーザにより入力されるため、巧妙に組み立てることにより、プ ログラムの実行の流れを置き換えることが可能である。 18. Cisco Content Service Switch Long Filename Denial of Service Vulnerability BugTraq ID: 2330 リモートからの再現性: なし 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2330 まとめ: Cisco Content Services (CSS) スイッチは、Cisco Web Network Services (Web NS) を使用して電子商取引や Web コンテンツデリバリなどの高度な Web サービスを提供するために設計されたハードウェアである。CSS スイッチは Cisco Systems より提供されている。 CSS にはローカルユーザが正当なユーザへのサービスを妨害できてしまうとい う問題が存在する。これは、ローカルユーザからの入力を扱う部分に生じる。 まず、ユーザは攻撃を実行する前にスィッチのコマンドラインインターフェイ スにアクセスしなければならない。しかし、管理者権限である必要はない。権 限がないアカウントに接続を試みる際、ユーザは引数としてファイル名を必要 とするスイッチのコマンドをローカルに実行可能である。ファイル名バッファ の最大サイズを超えるファイル名を指定することにより、スイッチを再起動し、 システム動作の検査を開始する。 このため、十分な権限を所有する悪意あるユーザはスイッチに接続し、正当な ネットワークユーザへのサービスを妨害するためのコマンドを実行可能である。 この弱点が影響する CSS スイッチは 11050、11150、11800 である。 19. Cisco Content Services Switch Directory Structure File Reading Vuln BugTraq ID: 2331 リモートからの再現性: なし 公表日: 2001-01-31 関連する URL: http://www.securityfocus.com/bid/2331 まとめ: Cisco Content Services (CSS) スイッチは、Cisco Web Network Services (Web NS) を使用して電子商取引や Web コンテンツデリバリなどの高度な Web サービスを提供するために設計されたハードウェアである。CSS スィッチは Cisco Systems より提供されている。 WebNS ソフトウェアには、ローカルユーザに制限された資源へのアクセスを許 してしまう。スイッチの設定の読み出しや変更から守るためにアクセス管理が なされている場合にも、CSS スィッチは、ユーザにスイッチ上の特定の機能へ アクセスを許してしまう。これは入力を扱う部分に問題が存在するために生じ、 ユーザは存在しないファイル名を要求するコマンドを実行することにより、デ ィレクトリ構造の情報を奪取することが可能である。ディレクトリ構造が既知 である場合、ディレクトリ内のファイルの読み出しは可能になる。 このため、悪意あるローカルユーザはディレクトリの階層を調査し、機密にし なければならない情報を含んだファイルを読み出すことが可能である。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1. Nortel getting too personal 著者: Thomas C. Greene, The Register Nortel では、各自が好んで訪れる Web サイトの動向から、各自の趣味を判断 し、インターネットサービスプロバイダがその傾向を反映するような広告を提 供できる "Personal Internet" なるネットワークソフトウェアの導入の準備を 進めていることを火曜日に発表した。 「"Personal Internet" という製品とは、アプリケーション、ホスティングや サービスを提供するプロバイダ、コンテンツの発行者や大企業等が、インター ネット上で各自の趣味にあった広告を提供する、個人 Web サービスです」と、 前途洋々に新企画について語っている。 http://www.securityfocus.com/templates/article.html?id=146 2. Crypto regs still annoy 著者: Kevin Poulsen アメリカ合衆国政府が暗号化に関する輸出自由化をはじめに公表してから 1 年 以上経ったが、複雑極まりない規定のお陰で、未だに多くの不注意な開発者た ちの揚げ足をとっていると専門家は述べている。 「暗号化に関する輸出自由化がされていないという確信がないままでは決して 作業しないこと」と、Apple の輸出認可局のプロジェクトマネージャ Susan Kotila 氏はいう。Kotila 氏によると「どんなに素晴らしい弁護士を用意でき ても、開発者は既に法律違反をしているのです」。 http://www.securityfocus.com/templates/article.html?id=145 3. BIND holes mean big trouble 著者: Kevin Poulsen コンピュータ緊急対策チーム (CERT) の月曜日朝の報告によると、新たに重大 なセキュリティホールが、世界各地で使用される BIND ネームサーバプログラ ムに発見された。このため、何十万台ものコンピュータが危険にさらされ、イ ンターネットの基盤となる重要なサービスがクラッカーの攻撃の標的になって しまうのである。 http://www.securityfocus.com/templates/article.html?id=144 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. Linux Intrusion Detection System (LIDS) 1.0.4 for 2.4.0 プラットフォーム: Linux 作者: Xie Hua Gang (xhg@gem.ncic.ac.cn) 関連する URL: http://www.lids.org/ Linux Intrusion Detection System はカーネルのセキュリティを拡張するパッ チです。一度このパッチが有効になった場合、選択されたファイルへのアクセス、 すべてのシステム/ネットワーク管理操作、すべての権限付き動作、raw デバイ スの動作、メモリおよび I/O アクセスは root でさえ利用できなくできます。 また、利用者はどのファイルに何というプログラムがアクセスできるのかを定義 できます。管理下に収めたいと希望する、システムの権限付き動作を利用し、拡 張し、ネットワークとファイルシステムについてのセキュリティ機能を、カーネ ルにセキュリティ機能を拡張することで追加します。また、重要なプロセスの隠 蔽、ネットワーク越しのセキュリティ警告メッセージの受信等のセキュリティ保 護機能を明確に調整することも可能です。 2. Intrusion Detector 1.0 プラットフォーム: Windows 95/98、Windows NT 作者: Rainbow Diamond (info@brd.ie) 関連する URL: http://www.brd.ie/id/index.html インターネットからの侵入者から護るシンプルでパワフルなソフトウェアです。 Diamond Intrusion Detector は、あなたのコンピュータ上で起きた疑わしいネ ットワークの振る舞いを警告する防犯ベルのように働きます。 Intrusion Detector は、あなたのコンピュータに直接影響を与える恐れのある 疑わしいネットワークの振る舞いを監視します。疑わしいイベントが発生した 場合、警告を出し、ログに記録します。また、Intrusion Detector は、あなた のコンピュータにアクセスしたリモートユーザを特定しようとします。 3. The Coroner's Toolkit (TCT) 1.04 プラットフォーム: FreeBSD、Linux、OpenBSD、Solaris、SunOS 作者: Dan Farmer、Wietse Venema 関連する URL: http://www.porcupine.org/forensics/tct.html TCT は、割り込み後、UNIX システムのクラッシュ時の状況の事後解析 (post-mortem analysis) に利用できるプログラムを集めたものです。このソフ トウエアは、われわれが一年前 (ほとんど同じ日) に開講した Free Computer Forensics Analysis class の開講期間中、最初に示されました。 注目に値するコンポーネントは、情報を捕まえる grave-robber ツール、ファ イルが生きているか死んでいるかのパターンを表示する ils と mactime ツー ル、消されたファイルを再生する unrm と lazarus ツール、実行されているプ ロセス、または、ファイルから暗号鍵を再生する keyfind ツールがあります。 4. Netmon 1.52 プラットフォーム: Windows 2000、Windows 95/98 作者: Johan Samuelson 関連する URL: http://w1.132.telia.com/~u13200034/netmon.html Netmon はコンパクトで使いやすいネットワークの情報を収集するユーティリテ ィです。IP、TCP、UDP、ICMP プロトコルで運ばれる情報を表示します。このソ フトウェアの目的は、あなたのコンピュータから出る、または、あなたのコン ピュータに入ってくる TCP や UDP を利用した接続を表示することです。コン ソール版との違いは、トロイの木馬が使用するポートのデータベース、既知の ポートの完全なリスト、ユーザが設定可能なフィルタ、自動ホスト名検索があ ります。 5. vRouter 0.02 プラットフォーム: Linux 作者: Blake Scholl (bscholl+@cmu.edu) 関連する URL: http://www.andrew.cmu.edu/~bscholl/vRouter/ vRouter Project は、オープンソースの IP ネットワークシミュレータを開発 するという実験的な試みです。実際に IP ネットワークを構築する前に、ネッ トワークを評価することができます。完成すれば、vRouter は特定のトラフィ ック条件下でのネットワークの振る舞いをシミュレートできます。今後、 vRouter の開発が進み、テストがなされるにつれて、実際のネットワーク上で 実装される前に、新しい IP サービス (ルーティングの手法、マルチキャスト、 QoS) をテストする場を提供されて行く事になるでしょう。 6. Integrity checking utility (ICU) 0.3 プラットフォーム: Perl (Perl が使用できるシステム) 作者: Andreas Ostling 関連する URL: http://nitzer.dhs.org/ICU/ICU.html ICU (Integrity Checking Utility) は、ICU サーバからリモート上のホストで AIDE ファイルシステムの完全性をチェックし電子メールでレポートする Perl 言語で書かれたプログラムです。これは SSH の機能を利用しています。 Translated by ARAI Yuu, ICHINOSE Sayo, KAGEYAMA Tetsuya, KOMATSU Misa, SAKAI Yoriyuki LAC Co., Ltd. Computer Security Laboratory http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: KAGEYAMA Tetsuya iQA/AwUBOoLdK832EXDdoEFfEQLVywCfVhCF6bFbgBN0oGK0aL4jsOHRZbMAoPsi x+nTUvcTvy5KhM/Bdrku9q0d =PvBs -----END PGP SIGNATURE-----