Security Focus Newsletter #8 1999-09-19 -> 1999-09-26
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
坂井@ラックです。
Security Focus Newsletter 第 8 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
Security Focus Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>;
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>;
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
引用に関する備考:
・この和訳は Security Focus の許可を株式会社ラックが得た上で行われて
います。
・Security Focus Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security Focus 提供の BugTraq-JP アーカイブ [*1] へのいかなる
形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>;
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------
- ---------------------------------------------------------------------
Security Focus Newsletter 第 8 号
目次:
I. 始めに
II. 今週の BugTraq から
1. Windows IP ソースルーティングの弱点
2. IIS 4.0 ドメイン名解決の弱点
3. IIS FTP NO ACCESS 状態の Read/Delete ファイルの弱点
4. Cfingerd GECOS バッファオーバーフロー
5. FreeBSD vfs_cache 使用不能攻撃
6. Microsoft JET/ODBC パッチおよび RDS Fix レジストリキーの弱点
7. Solaris Recursive mutex_enter パニック
8. SuSE sscw HOME 環境変数によるバッファオーバーフロー
9. Solaris プロファイリングファイル生成の弱点
10. SSH 認証用ソケットファイルの生成に関する弱点
11. Arkiea Backup rnavc および nlserverd の HOME 環境変数によるバッ
ファオーバーフロー
12. Arkiea Backup nlserverd のリモートからの使用不能攻撃
III. パッチと更新
1. Microsoft IE Import/Export Favorites Vulnerability
IV. 今週の INCIDENTS から
1. ADMw0rm and Millennium Worm
2. [EuroHaCk] man-page virus
V. 今週の VULN-DEV RESEARCH LIST から
1. ARP silliness w/ Cisco 675 (Thread)
2. Re: Buffer overflow on Netscape Enterprise Server
3. solaris DoS (fwd)
4. (Fwd) IE5 Automated format of HD, no ActiveX required
5. Several ActiveX Buffer Overruns (Thread)
6. Rlogin from Ascend MAX/6000
VI. 求人案内(日本語訳なし)
VII. セキュリティ調査
VIII. Security Focus のイベント
IX. Security Focus が選ぶ上位6位のツール
1. BASS - Bulk Auditing Security Scanner v1.0.7
2. ShadowScan
3. Cain
4. Tone-Loc
5. WinDump for WinNT 4.0
6. NetWatcherPro
X. スポンサー情報(日本語訳なし) - Tripwire Security
I. 始めに
- -----------------
Security Focus がお送りするニューズレターの第 8 号へようこそ。
今号の発刊までに追加された新しい話題は投票コーナーの追加です。
質問は「業界リーダーとして考えられるネットワークセキュリティスキャナ製
品は何ですか?」です。
私たちの正当性を意味付ける統計結果が示す所によると、皆様のほとんどが商
品の専門家である事を示しており、私たちは非常に皆様の意見に興味を引かれ
ています。
今回の質問の様な典型的な質問は、結果から考えると商業的な関心を引くもの
です。この事実には、この党派に左右されない投票に影響を及ぼす Security
Focus へのベンダからの広告の契約はなんら含まれていません。
以下の URL から投票が可能です。
http://www.securityfocus.com
II. 今週の BugTraq から 1999-09-19 から 1999-09-26 まで
- --------------------------------------------------------
1. Windows IP ソースルーティングの弱点
BUGTRAQ ID: 646
リモートからの再現性: あり
公表日: 1999-09-20
関係したURL:
http://www.securityfocus.com/bid/646
まとめ:
Windows 95/98 および NT の TCP/IP スタックに含まれる弱点は特別に組み立
てられた IP パケットがソースルーティング可能な状態を、ソースルーティン
グが使用不可能な状態にしてあったとしても引き起こしてしまう。。
Windows NT SP5 のレジストリ設定の例:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
DisableIPSourceRouting
この弱点はオフセット値が定義されたルート長よりも大きい、ソースルーティ
ングされたパケットを十分に取り扱えない点に由来している。
この状況では、パケット中のデータはホストのアプリケーション層へ事後処理
のために引き渡されてしまうのである。(スタックによって拒否されずに)
従って、攻撃者はソースアドレスを詐称でき、代わりのソースアドレスとして、
内部ネットワーク内に位置する既知のホストのソースアドレスを使い、(攻撃を受け
たホストが内部と外部の両方のネットワークに接続されている場合)データグ
ラムの応答は内部ネットワークのホストへと返されてしまうのである。(二番
目のネットワークインタフェースカードを介せた場合)
付け加えるならば、非常に多岐に渡った中継攻撃が予想される。この弱点を持っ
たホストは、攻撃者が他の Windows 以外のソースルーティング機能を有効に
しているプラットフォームへの侵入を許したり、(および)他の Windows
へのポートスキャンの実行を引き起こさせてしまう助けとなってしまう。
2. IIS 4.0 ドメイン名解決の弱点
BUGTRAQ ID: 657
リモートからの再現性: あり
公表日: 1999-09-23
関係したURL:
http://www.securityfocus.com/bid/657
まとめ:
IIS 4.0 ではアドミニストレータがアクセスを制限できるオプションをドメイ
ンを示す方法、ドメインが示されたときに IP アドレスで指定する方法で提供
している。しかし、HTTP 要求に解決できないドメイン名が指定された場合、
IISサーバは平常時と同様に処理を行ってしまう。なお、引き続いた処理は拒否
される。
なお、IP アドレスが与えられた場合、もしもそれがドメイン名として解決でき
た場合には最初の要求から拒否される。
3. IIS FTP NO ACCESS 状態の Read/Delete ファイルの弱点
BUGTRAQ ID: 658
リモートからの再現性: あり
公表日: 1999-09-23
関係したURL:
http://www.securityfocus.com/bid/658
まとめ:
IIS 4.0 に含まれる ftp サーバで特定の SP5 後に提供された hotfix を適用
した場合、ftp クライアントによってどこのディレクトリであっても攻撃コー
ドを ftp サーバへダウンロードさせられてしまう弱点、および、ftp サーバ上
の "No Access" と NTFS のファイル、ディレクトリに対する属性が与えられた
ファイルを削除できてしまう弱点がある。Web ブラウザに組み込まれた ftp ク
ライアントではファイルを参照したりダウンロード可能であり、ブラウザに組
み込まれていない ftp クライアントから発行された加工されたリクエストはファ
イルを削除可能である。
この弱点は Windows NT 4.0 SP5 上で動作する IIS 4.0 サーバに以下の URL で
示されている FTP の get コマンドに関する問題を修正するための hotfix を適
用している場合にのみ発生する。
<http://support.microsoft.com/support/kb/articles/Q237/9/87.ASP>
Microsoft はこの hotfix を SP4 あるいは SP5 を適用したホストへ適用し、
FTP hotfix として提供された以前の hotfix を適用していなくてもマイナス
となる要素はない、と表明している。
弱点があるかどうかの確認方法は、ftpsvc.dll のバージョンの確認である。
0718 から 0722 までのバージョンには弱点がある。Microsoft の文書には弱
点があるバージョンが 0718 から始まるのか、0719 から始まるのかが明確で
はない。バージョン 0724 は最新の hotfix によってインストールされたファ
イルのバージョンである。
この問題を修正するための hotfix は現在まで、SP6 リリースされるまでの
期間にリリースされていない。SP6 に弱点を持つ hotfix が含まれた形態でリ
リースされるのかどうかは明らかでない。弱点を含んだ hotfix が含
まれているのであれば、SP6 リリース以後最新の "Post SP6 Hotfix" がこの
問題を修正していなければならないと考えられる。
4. Cfingerd GECOS バッファオーバーフロー
BUGTRAQ ID: 651
リモートからの再現性: なし
公表日: 1999-09-21
関係したURL:
http://www.securityfocus.com/bid/651
まとめ:
ユーザがパスワードファイル内にある自分自身の GECOS フィールドの変更を
許可しているシステムで、GECOS フィールド長を限定していない場合、cfingerd
にはローカルの root 権限、あるいは nobody 権限を取得できてしまうバッ
ファオーバーフローを引き起こす弱点がある。注意深く設計された GECOS フィー
ルドを設定することで、意図したコードを root 権限、あるいは nobody 権限
で実行させることが可能になる。
5. FreeBSD vfs_cache 使用不能攻撃
BUGTRAQ ID: 653
リモートからの再現性: あり
公表日: 1999-09-22
関係したURL:
http://www.securityfocus.com/bid/653
まとめ:
FreeBSD バージョン 3.0 から提供されている新方式の VFS キャッシュには
ローカルおよびリモートのユーザ(後者は推定である)がカーネルに使用不能攻
撃を引き起こせるだけの大量の物理メモリ(訳注: wired memory を全メモリ空
間からスワップ領域を差し引いた物理メモリの意味として、物理メモリという
用語を用いた)の要求を行わせてしまえる弱点がある。
新方式の VFS キャッシュにはファイルが開いている場合メモリから内容を吐
き出させる方法が提供されていなく、物理メモリを消費し、使用不能攻撃を促
してしまう。(スワップアウトさせる方法はない)
3.0 以前のバージョンから提供されている FreeBSD には弱点がなく、オリジ
ナルの 4.4BSD-Lite のコードにも弱点はない。
6. Microsoft JET/ODBC パッチおよび RDS Fix レジストリキーの弱点
BUGTRAQ ID: 654
リモートからの再現性: あり
公表日: 1999-09-21
関係したURL:
http://www.securityfocus.com/bid/654
まとめ:
Microsoft では JET/ODBC および RDS の弱点に対して hotfix が提供されてい
る。これら fix の実装は特定のレジストリキーの値を「悪意ある活動」に制限
を加えるために設定することで行われている。
レジストリキーの値は以下の様に与えられている。
JET/ODBC への対策:
HKEY_LOCAL_MACHINE\Software\Microsoft\Jet\3.5\Engines\SandboxMode
RDS への対策:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataFactory\HandlerInfo
Value: handlerRequired
DWORD=1
これらレジストリキーの値は"Everyone:特殊な権限"に設定されている。
「特殊な権限」はこれらキーの例に対して「値の設定」権限を与えており、
特殊な権限によって Everyone グループのメンバ (Domain Usersや、Users、
Guests等) がこれらキーの値を変更できてしまう。また、アドミニストレータ
によって有効化されたセキュリティ機能を停止させられてしまう可能性もある。
例えば、Data Factory\HandlerInfo キーの値を "handlerRequired DWORD=0"
にされてしまった場合、BUGTRAQ ID 529 で示した MDAC RDS を用いた攻撃を
受けてしまう。
by the administrator. Disabling the Data Factor
<http://www.securityfocus.com/bid/529.html>;.
7. Solaris Recursive mutex_enter パニック
BUGTRAQ ID: 655
リモートからの再現性: あり
公表日: 1999-09-23
関係したURL:
http://www.securityfocus.com/bid/655
まとめ:
Solaris の TCP/IP スタックに含まれる弱点はリモートユーザがシステムパニッ
クを起こさせる原因となり得る。
もし、nmap を OS fingerprinting オプション (-O) を付けて起動し、listening
ポートを活動中にさせ、ポートで server listening 状態にした後に nmap の
プロセスを kill した場合、システムは TCP ストリームドライバの mutex_enter
の再帰呼び出しが行われるためにパニックを起こしてしまう。
この問題に対する Sun の BugID は 4178455 である。
8. SuSE sscw HOME 環境変数によるバッファオーバーフロー
BUGTRAQ ID: 656
リモートからの再現性: なし
公表日: 1999-09-23
関係したURL:
http://www.securityfocus.com/bid/656
まとめ:
sscw が提供している HOME 環境変数の取り扱い方法には root 権限をローカ
ルユーザが取得できてしまうバッファオーバーフローを引き起こす弱点がある。
9. Solaris プロファイリングファイル生成の弱点
BUGTRAQ ID: 659
リモートからの再現性: なし
公表日: 1999-09-22
関係したURL:
http://www.securityfocus.com/bid/659
まとめ:
動的リンカが共有オブジェクトをプロファイリングしている期間にローカルユー
ザが意図したファイルをシステム内へ作成できる弱点が見つかった。既存のファ
イルの置き換えには使えない手法である。
もし LD_PROFILE 環境変数が定義されたならば、動的リンカは共有オブジェク
トのプロファイリングを定義された通りに行う。プロファイリングが可
能であった場合、プロファイリングのためのバッファファイルが作成され、割
り当てられる。このバッファファイルの名前はプロファイルにある共有オブジェ
クトの名前に .profile という文字列を付けたものである。これらバッファファ
イルはデフォルトでは /var/tmp 以下に作成される。
動的リンカは setuid アプリケーションの一部として実行される場合、バッファ
ファイルをセキュアではない状態で作ってしまう。ファイルを作成している間は
シンボリックリンクをたどる事が可能である。
この問題に対する Sun の BugID は 4150646 であり、BugID 1241843と同様で
ある。新しい項目が動的リンカのリンク先の強制的な書き換え以後に紹介され
ている。この問題は Solaris 2.5.1 で修正され、遡ってパッチが提供された。
この問題は Solaris 2.6 で再び現れ、2.5.1 に遡ってパッチが提供された。
10. SSH 認証用ソケットファイルの生成に関する弱点
BUGTRAQ ID: 660
リモートからの再現性: なし
公表日: 1999-09-23
関係したURL:
http://www.securityfocus.com/bid/660
まとめ:
SSH 認証エージェントが生成する UNIX ドメインソケットファイルにはローカ
ルユーザが UNIX ドメインソケットをシステム内で意図した名前で作成できて
しまう弱点がある。
ssh には ssh 認証エージェントを介して認証の中継を行う、という機能が備わっ
ている。これには単一サインオンを有効にする機能がある。
sshd デーモン、ssh、ssh-agent は通常、/tmp/ssh-<username>/agent-socket-<pid>
という書式で UNIX ドメインソケットファイルを作成し、通信を行う。
ssh はシンボリックリンクをソケットファイルの作成中に root 権限で辿って
しまい、どのような ssh にアクセスできるローカルのユーザであっても意図し
たファイル名でシステム内にソケットファイルを作らせてしまうことが可能であ
る。
11. Arkiea Backup rnavc および nlserverd の HOME 環境変数によるバッ
ファオーバーフロー
BUGTRAQ ID: 661
リモートからの再現性: なし
公表日: 1999-09-26
関係したURL:
http://www.securityfocus.com/bid/661
まとめ:
Knox Software 社製品、Arkiea backup の一部である rlserver および rnavc
には HOME 環境変数の取り扱い方法に問題があり、ローカルバッファオーバー
フローを生じ、 root 権限でローカルユーザがアクセスできてしまう弱点があ
る。
12. Arkiea Backup nlserverd のリモートからの使用不能攻撃
BUGTRAQ ID: 662
リモートからの再現性: あり
公表日: 1999-09-26
関係したURL:
http://www.securityfocus.com/bid/662
まとめ:
Knox Software 社製品、Arkiea backup の一部である nlservd にはネットワー
クを介して大量の入力を与えたときにアプリケーションを停止できてしまう弱
点がある。この事はリモートからの root 権限取得可能なバッファオーバーフ
ローを引き起こす可能性がある。
III. パッチと更新 1999-09-19 から 1999-09-26 まで
- -------------------------------------------------
1. ベンダ: Microsoft
製品: Internet Explorer 4.01, Internet Explorer 5
パッチの入手元:
Internet Explorer 4.01 for Intel:
ftp://ftp.microsoft.com/peropsys/ie/ie-public/fixes/usa/IE401/ImportExportFavorites-fix/x86/q241361.exe
Internet Explorer 4.01 for Alpha:
ftp://ftp.microsoft.com/peropsys/ie/ie-public/fixes/usa/IE401/ImportExportFavorites-fix/Alpha/q241361.exe
Internet Explorer 5 for Intel:
ftp://ftp.microsoft.com/peropsys/ie/ie-public/fixes/usa/IE50/ImportExportFavorites-fix/x86/q241361.exe
Internet Explorer 5 for Alpha:
ftp://ftp.microsoft.com/peropsys/ie/ie-public/fixes/usa/IE50/ImportExportFavorites-fix/Alpha/q241361.exe
対応する弱点: Microsoft IE5 「お気に入り」のインポート/エクスポートの
弱点
Bugtraq ID: 627
関係したURL: http://www.securityfocus.com/bid/627
今週の INCIDENTS から 1999-09-19 から 1999-09-26 まで
- -----------------------------------------------------
1. ADMw0rm and Millennium Worm
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=1999-09-15&msg=Pine.GSO.4.10.9909211228230.21761-100000@www.securityfocus.com
2. [EuroHaCk] man-page virus (fwd)
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=75&date=1999-09-22&msg=Pine.GSO.4.10.9909271133580.23834-100000@www.securityfocus.com
V. 今週の VULN-DEV から 1999-09-19 から 1999-09-26 まで
- -------------------------------------------------------
1. ARP silliness w/ Cisco 675 (Thread)
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-15&msg=199909202027.PAA09913@duckdog.zweknu.org
2. Re: Buffer overflow on Netscape Enterprise Server
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-22&msg=19990924123116.A26802@earth.execpc.com
3. solaris DoS (fwd)
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-22&msg=Pine.LNX.4.04.9909242307530.4040-200000@aviation.net
4. (Fwd) IE5 Automated format of HD, no ActiveX required
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-22&msg=199909250339.NAA14550@rockhampton-psvr.qld.hotkey.net.au
5. Several ActiveX Buffer Overruns (Thread)
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-22&msg=19990927031149.19421.qmail@securityfocus.com
6. Rlogin from Ascend MAX/6000
関係したURL:
http://www.securityfocus.com/templates/archive.pike?list=82&date=1999-09-22&msg=19990927102013.Q627@diegeekdie.com
VI. 求人案内(日本語訳なし) 1999-09-19 から 1999-09-26 まで
- -----------------------------------------------------------
VII. セキュリティ調査 1999-09-19 から 1999-09-26 まで
- ------------------------------------------------------
1999-09-19 から 1999-09-26 までの質問は、
「セキュリティに関連する事柄について新入社員へどの程度の時間をかけて
トレーニングを行っていますか?」
であった。
以下の様な回答が得られた。
なし 43% / 21 票
10 分以下 22% / 11 票
10 分から 30 分 14% / 7 票
30 分以上 18% / 9 票
全投票数 48 票
III. Security Focus のイベント 1999-09-19 から 1999-09-26 まで
- ---------------------------------------------------------------
1. New Guest Feature: 自分自身のファイヤウォールの設定を監査しよう
著者:Lance Spitzner <lance@spitzner.net>
「たった今、ピッカピカに新しいファイヤウォールの設定を終えたばかりです。
さて、ご自身のファイヤウォールは野蛮な敵を隔離できていますか? ご自身の
希望に添っていますか?」 これらの質問に対する解を見つけ出すための新しい
投稿記事が「自分自身のファイヤウォールの設定を監査しよう」です。
関係したURL:
http://www.securityfocus.com/templates/forum_message.html?forum=2&head=248&id=248
2. LibNet Mailing List
SecurityFocus.com では Libnet Mailinglist を提供しています。
このリストは高レベルのプラットフォームに非依存のパケット生成ライブラリ
の作成に関するリストです。
より詳しい情報は www.packetfactory.net をご覧ください。
このリストへ参加するためには listserv@securityfocus.com へ本文に
SUBSCRIBE LIBNET Firstname Lastname と書いたメールを送付してください。
IX. Security Focus が選ぶ上位6位のツール
- -----------------------------------------
間違いなく、同じツールが上位6位のツールに頻出するのに気付かれるかもしれ
ません。実際、ポピュラーなツールは本当にポピュラーなのです。
1. BASS - バルクセキュリティ監査ツール v1.0.7
著者:Liraz Siri
BASS はネットワークに対するバルク監査ツールであり、高信頼性であり、フェ
イルセーフアーキテクチャを持ち、利用可能なバンド幅に対する効果的な成果
を求めることが可能です。少ない記憶用容量と CPU の利用で済み、簡単に拡
張可能です。
2. ShadowScan
著者:RedShadow
関係したURL:
http://www.rsh.kiev.ua
Shadow Scan は IP ネットワークの解析のために作られたプログラムで、
host への攻撃 (WinNuke や SSPingと同様に)、POP3 や FTP サーバのパスワー
ド探査や動作中のサービスについての解析機能があります。このプログラムの
目的は最もすばらしいネットワークに対する考察をただ一つのプログラムで行
う事です。
3. Cain
著者:Break-Dance
関係したURL: なし
Cain は GUI 機能を持ったマルチスレッドのアプリケーションで Windows95/98
のパスワードを復旧させる機能を持っています。
復旧対象のパスワードには、スクリーンセイバーのパスワード、*.pwl ファイル、
ローカル共有パスワード、ログインパスワード、その他多くが対象です。
4. Tone-Loc
著者:Minor Threat および Mucho Mass
関係したURL:
http://www.paranoia.com/~mthreat/toneloc/
ToneLoc は自動ダイアルおよびスキャニングを行うプログラムです。
5. WinDump for WinNT 4.0
著者:Network Research Group (NRG) of
The Information and Computing Sciences Division (ICSD)
at Lawrence Berkeley National Laboratory (LBNL)
関係したURL:
http://netgroup-serv.polito.it/analyzer/install/windump/
TCPdump はネットワークのトラフィックをダンプするプログラムです。
オリジナル版は UNIX プラットフォームのみで提供されていましたが、これは
Windows (95/98、および WindowsNT 4.0)への移植版です。
このパッケージでは Windump のメインプログラムと、ネットワークのトラ
フィックを読み取るドライバがそれぞれのプラットフォーム毎に提供されて
います。
6. NetWatcherPro
著者:L.A. van der Hoogt
関係したURL: なし
ネットワークのモニタリング、ネットワークへのアクセスの管理を行うユーティ
リティです。接続時の接続成功、失敗のそれぞれに音による警告を行う機能が
あります。たった1つのファイルで、希望していないアクセスからご自身のコン
ピュータを将来に渡って保護します。
X. スポンサー情報(日本語訳なし) - Tripwire Security
- ------------------------------------------
Translated by SAKAI Yoriyuki / LAC <URL: http://www.lac.co.jp/>;
-----BEGIN PGP SIGNATURE-----
Version: PGPfreeware 5.5.3i for non-commercial use <http://www.pgpi.com>;
iQA/AwUBN/FZi5QwtHQKfXtrEQJhFACfUDrCmYHuCKRO2T57jGClyqpSGd0Aniy4
siNey/JZDrZSFSGdJtoNjNIf
=r2+9
-----END PGP SIGNATURE-----