SecurityFocus.com Newsletter #88 2001-4-5->2001-4-13
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
影山@ラックです。
SecurityFocus.com Newsletter 第 88 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.30.0104161547490.23783-100000@mail>
Date: Mon, 16 Apr 2001 15:53:44 -0600
SecurityFocus.com Newsletter #88
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
1. JumpStart for Solaris Systems, Part Two
2. Hacker Tools and Their Signatures, Part One: bind8x.c
3. A feature video interview with Mark Kadrich, director of Security
for Conxion
II. BUGTRAQ SUMMARY
1. Way to the Web TalkBack.cgi Directory Traversal Vulnerability
2. Multiple Vendor BSD ftpd glob() Buffer Overflow Vulnerabilities
3. Solaris ftpd glob() Expansion LIST Heap Overflow Vulnerability
4. HP-UX ftpd glob() Expansion STAT Buffer Overflow Vulnerability
5. Solaris 7/8 kcms_configure Command-Line Buffer Overflow Vulnerability
6. Solaris Xsun HOME Buffer Overflow Vulnerability
7. nph-maillist Arbitrary Code Execution Vulnerability
8. Solaris IN.FTPD CWD Username Enumeration Vulnerability
9. Alcatel Speed Touch Pro ADSL Insecure Embedded TFTP Server Vulnerability
10. Strip Password Generator Limited Password-Space Vulnerability
11. Alcatel Speed Touch ADSL Insecure Administration Interface Vuln
14. Cisco VPN 3000 Concertrator Malformed IP Packet Vulnerability
15. Hylafax hfaxd Local Format String Vulnerability
16. cfingerd Format String Vulnerability
17. Lightwave ConsoleServer 3200 Information Disclosure Vulnerability
18. Trend Micro Interscan Viruswall Multiple Program Buffer Overflow Vuln
19. Solaris IPCS Timezone Buffer Overflow Vulnerability
20. NCM Content Management System content.pl Input Validation Vuln
21. IBM Websphere/Net.Commerce Installation Directory Revealing Vuln
22. IBM Websphere/Net.Commerce CGI-BIN Macro Denial of Service Vuln
III. SECURITYFOCUS.COM NEWS ARTICLES
1. War driving by the Bay
2. Microsoft: Closed source is more secure
3. Spyware concerns over PC game
4. FTP open to attack
IV.SECURITY FOCUS TOP 6 TOOLS
1. L0phtCrack 3.0
2. SILC (Secure Internet Live Conferencing) 20010409
3. MacAnalysis 2.0b
4. Linux IDS Patch (LIDS) 1.0.7
5. pakemon 0.3.1
6. File System Saint v0.1
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. Way to the Web TalkBack.cgi Directory Traversal Vulnerability
BugTraq ID: 2547
リモートからの再現性: あり
公表日: 2001-04-09
関連する URL:
http://www.securityfocus.com/bid/2547
まとめ:
TalkBalk は Way によって作成された、 Web サイトの管理者がユーザからの意
見を得ることを容易にするために用いられる CGI スクリプトである。
TalkBalk の主スクリプトである talkbalk.cgi には、入力の妥当性を確認する
部分に攻撃者に任意のファイルを開示してしまう問題が存在する。プログラム
の実行中に、 talkback.cgi は開こうとするファイル名を指定するために HTML
変数を使用する。このスクリプトは、HTML 変数中の '../' 文字列とヌル文字
の検査をしない。そのため、以下のような文字列
http://target/cgi-bin/talkback.cgi?article=../../../../etc/passwd%00&action=view&matchview=1
が、スクリプトに渡されると、サーバ側の /etc/passwd の内容を開示させてし
まう。このときの閲覧は Web サーバの権限で行われ、それは通常 'nobody' の
権限である。
この問題を利用することで talkback.cgi のソースを開示させることが可能で
あり、これには管理者のパスワード情報が含まれている。このときの URL は
以下のような文字列である。
http://target/cgi-bin/talkback.cgi?article=../cgi-bin/talkback.cgi%00&action=view&matchview=1
この問題を利用した攻撃は機密情報の開示に繋がり、さらなる攻撃に利用され
てしまうであろう。
2. Multiple Vendor BSD ftpd glob() Buffer Overflow Vulnerabilities
BugTraq ID: 2548
リモートからの再現性: あり
公表日: 2001-04-09
関連する URL:
http://www.securityfocus.com/bid/2548
まとめ:
BSD をベースにした ftp デーモン及びその派生 (例として IRIX の ftpd)
には、悪意あるユーザに root 権限でのアクセスを許してしまう可能性のある
バッファオーバーフローの問題が複数存在する。
ユーザの入力処理中に、 ftp デーモンはユーザの入力データは 512 バイト以
上になることは無いという前提のもとに処理を行う。これは通常、データがソ
ケットから読み出されるためである。この前提のため、ユーザデータを含むメ
モリ間の特定のコピー処理には、境界の検査が行われない。
ユーザの入力を処理する際に、 ftp デーモンは 'glob()' 関数を用い、シェル
と同様に、ファイルパスに含まれたワイルドカードやメタ文字を展開する。そ
の例としてはチルダ文字('~')が挙げられる。この glob() 関数はこの文字をユ
ーザのホームディレクトリへのパスへ置き換える。この処理の出力として展開
されたパスは ftp デーモンによって使用され、ユーザが行う処理に適用される。
メタ文字はパス文字列の長さ展開されるため、 glob() 関数に処理させること
で 512 バイト以上の長さのデータを作成することが可能である。この場合、
表面上は攻撃には利用できないようなバッファオーバーフロー条件を、安全で
ないコピー処理に展開された文字列を使用することによって、攻撃に利用する
ことが可能になる。
仮に攻撃者が (ファイル名やパスといった形式で) 正確なメタ文字と攻撃用コ
ードを含んだ入力を、問題のある ftp サーバに対して送信することができれば、
この問題を利用して典型的なバッファオーバーフローを利用する手法で攻撃す
ることが可能である。 'LIST' といった、標準的な ftp コマンド の引数に、
こうしたパスを引数として与えることができる。
多くのシステム上でこの弱点を利用するために必要とされる入力を作成するた
めには、攻撃者は、glob() 関数で処理されたあとの文字列を生成するために
十分に長い名前がつけられたディレクトリを作成できなくてはならない。ロー
カルアクセスが認められた正当なユーザであれば、これは可能である。デフォ
ルトの設定では、匿名ユーザは書き込み可能なディレクトリにアクセスできな
い (時には、管理者が書き込み可能な 'incoming' ディレクトリを用意してい
る場合もある)。このことによって、匿名 ftp ユーザによってこの問題を利用
した攻撃が成功する可能性は低減される。しかし、匿名 ftp ユーザ用のディレ
クトリツリーのディレクトリに十分長い名前が付けられていた場合、この問題
はディレクトリを作成しなくても、攻撃可能となる。したがって、この場合は
設定に左右されるが、匿名 ftp ユーザによるリモートからの攻撃は可能である。
ディレクトリを生成せず、弱点を攻撃する際に必要とされるディレクトリ名の
長さ (COVERT advisory より)
OpenBSD 及び NetBSD: 12 文字
FreeBSD: 9 文字
この問題を攻撃者に利用されてしまった場合、ターゲットホストの root 権限
を奪取されてしまうだろう。
3. Solaris ftpd glob() Expansion LIST Heap Overflow Vulnerability
BugTraq ID: 2550
リモートからの再現性: あり
公表日: 2001-04-09
関連する URL:
http://www.securityfocus.com/bid/2550
まとめ:
Solaris オペレーティングシステムに同梱されている ftp デーモンにはヒープ
領域を破壊するバッファオーバーフローの問題が存在する。このオーバーフロ
ーは、 LIST コマンドに、 glob() 関数で処理された結果、生成される制限を
越えた文字列に展開されてしまうような引数を与え、実行することで発生する。
ユーザの入力を処理する際に、 ftp デーモンは 'glob()' 関数を用い、シェル
と同様に、ファイルパスに含まれたワイルドカードやメタ文字を展開する。そ
の例としてはチルダ文字('~')が挙げられる。この glob() 関数はこの文字をユ
ーザのホームディレクトリへのパスへ置き換える。この処理の出力として展開
されたパスは ftp デーモンにより'/bin/ls'を実行するための文字列の生成に
使用される。この文字列を構成する際に、コピー元となる文字列が長すぎる場
合、安全でない文字のコピー処理によってバッファオーバーフローが発生する
のである。
このバッファオーバーフローは動的に確保されたメモリ領域で発生する。した
がって、この問題を利用し、攻撃者が任意のコードを対象ホスト上で実行する
ことは可能である。攻撃が成功した場合、malloc 関数は、free() 関数が呼び
出された際に、攻撃者によって指定されたメモリの位置に任意の値を書き込ん
でしまう。PLT の登録値やスタック上にある関数の戻りアドレスを上書きする
ことで、攻撃者は任意のプログラムを実行することが可能となる。
この問題を利用するためには、攻撃者はターゲットホスト上でディレクトリを
作成できなくてはならない。よって、大抵の場合、この問題が利用することが
できるのはローカルユーザに限られる。匿名 ftp ユーザが('incoming/' といっ
た)ディレクトリに書き込み可能であれば、リモートからの攻撃は可能になる。
4. HP-UX ftpd glob() Expansion STAT Buffer Overflow Vulnerability
BugTraq ID: 2552
リモートからの再現性: あり
公表日: 2001-04-09
関連する URL:
http://www.securityfocus.com/bid/2552
まとめ:
Hewlett Packard 社製の HP-UX に同梱されている ftp デーモンにはスタック
を破壊するタイプのバッファオーバーフローの問題が存在する。このオーバー
フローは、 STAT コマンドに、 glob() 関数で処理された結果、生成される制
限を越えた文字列に展開されてしまうような引数を与え、実行することで発生
する。
STAT コマンドにファイル名やパスといった引数を与えた場合、その出力は LIST
コマンドの結果と同じものになる。唯一の違いは、出力が FTP コントロール用
接続経路を通じて得られるということである。この理由によって、 STAT コマ
ンドの任意の引数は glob() 関数へ渡される。
ユーザの入力を処理する際に、 ftp デーモンは 'glob()' 関数を用い、シェル
と同様に、ファイルパスに含まれたワイルドカードやメタ文字を展開する。そ
の例としてはチルダ文字('~')が挙げられる。この glob() 関数はこの文字をユ
ーザのホームディレクトリへのパスへ置き換える。この処理の出力として展開
されたパスは ftp デーモンにより'/bin/ls'を実行するための文字列の生成に
使用される。この文字列を構成する際に、コピー元となる文字列が長すぎる場
合、安全でない文字のコピー処理によってバッファオーバーフローが発生する
のである。
このオーバーフローの問題はメモリのスタック領域で発生する。安全でないメ
モリのコピー処理によって展開されたパスがローカル変数へコピーされる。過
剰なデータがスタックにある変数の値を上書きするため、攻撃者は典型的なス
タックオーバーフローを攻撃する手法を用い、この問題を利用して関数のリタ
ーンアドレスの値を変更させることが可能である。
この問題を利用した攻撃が成功した場合、攻撃者に root 権限での任意のプロ
グラムの実行を許してしまう。
この問題を利用するためには、攻撃者はターゲットホスト上でディレクトリを
作成できなくてはならない。よって、大抵の場合、この問題が利用することが
できるのはローカルユーザに限られる。匿名 ftp ユーザが ('incoming/' とい
った)ディレクトリに書き込み可能であれば、リモートからの攻撃は可能になる。
5. Solaris 7/8 kcms_configure Command-Line Buffer Overflow Vulnerability
BugTraq ID: 2558
リモートからの再現性: なし
公表日: 2001-04-09
関連する URL:
http://www.securityfocus.com/bid/2558
まとめ:
Sun Microsystems 社製の Solaris 7 及び 8 において、 Workstation タイプ
のインストールを選択すると、 KCMS (Kodak Color Management System) が導
入される。
この KCMS の設定を行うためのバイナリファイル 'kcms_configure' はコマン
ドライン形式のオプションを読み込み、それをスタック上に確保されたバッファ
に置く。このバッファは 1100 バイト長しかないにもかかわらず、コマンドラ
インからの文字列の長さは任意に指定できる。コマンドラインオプションが読
み込まれた際には、何の長さの限界の制限が行われないため、バッファを上回
る長さの文字列は、 kcms_configure の使用するスタックフレームのオーバー
フローを引き起こす。
kcms_configure は suid root されているため、スタックオーバーフローによ
って任意のプログラムが実行され、問題のあるホストを完全に操作することが
可能となる。
6. Solaris Xsun HOME Buffer Overflow Vulnerability
BugTraq ID: 2561
リモートからの再現性: なし
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2561
まとめ:
Sun Microsystems 社製の Solaris に付属する X11 サーバにはローカルから
攻撃を成功させることのできるバッファオーバーフローの問題がある。
このオーバーフローは環境変数 HOME に関する、安全でない方法でのコピー処
理によるものである。 HOME 環境変数は現在のユーザのホームディレクトリへ
のパスを格納している。環境変数であるため、ユーザはこの HOME の値に任意
の文字列を設定することができる。ユーザの入力した環境変数の文字列コピー
処理は長さの制限を行うべきであり、さもなければバッファオーバーフローが
生じてしまう。
残念なことに Xsun による環境変数 HOME の値は安全でない文字列コピー処理
が実行されてしまう。攻撃者が 1050 バイトを超える HOME の値を作成した場
合、安全でない複製方法のために、 Xsun によって確保されたスタックフレー
ムを上書きすることが可能である。このことは、典型的なスタックオーバーフ
ローの手法を用いて、プロセスに設定された高い実行権限で任意のプログラム
が実行が可能である。
攻撃者がこの問題を用いて攻撃に成功した場合、グループ ID 'root' の権限を
奪取可能である。
7. nph-maillist Arbitrary Code Execution Vulnerability
BugTraq ID: 2563
リモートからの再現性: あり
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2563
まとめ:
nph-maillist はメーリングリストを取り扱うための Perl で作成された CGI
スクリプトであり、一般的には、サイトの更新状況をユーザに通知するために
利用されている。 悪意のあるユーザは、参加用のフォームを利用して、電子メ
ールアドレス中にコマンドを埋め込み、そのコマンドを実行させることが可能
である。
このソフトウェアは、以下のコマンドラインで用いることが可能な文字を排除
する。
":"、"("、")"、"\"、"/"、空白文字
しかし、"`" 文字は検査されない。このことは、 "`" で閉じられたコマンドで
出力することによって、コマンドに排除されるべき文字を使用することを可能
とする。
nph-maillist.pl はユーザの追加と送信する文章を呼び出しという管理者の仕
事を行うのに対し、実際のメールの配信は mailengine.pl によって行われる。
mailengine.pl が referrer フィールド内にターゲット内のメールリスト用の
ファイルに設定した、特定の GET リクエスト指定された場合、このソフトウェ
アはメールの送信を開始する。この方法を使用することで、攻撃者は次のメー
ルを送信する代わりに、埋め込んだコマンドを実行することが可能である。
8. Solaris IN.FTPD CWD Username Enumeration Vulnerability
BugTraq ID: 2564
リモートからの再現性: あり
公表日: 2001-04-11
関連する URL:
http://www.securityfocus.com/bid/2564
まとめ:
Solaris は Sun Microsystems 社によって開発されている UNIX オペレーティ
ングシステムの 1 種である。 Solaris は用途の広いオペレーティングシステ
ムであり、小規模なデスクトップシステムから大規模な企業向けシステムまで
使用することができる。
Solaris Operating Environment に同梱されている ftp デーモンには問題
があり、システムへのアクセス権限のないユーザが、実際に存在するユーザ
名を収集することを可能としてしまう。
典型的な ftp クライアントとサーバ間の接続では、 ftp クライアントがサー
バへの接続を成功した場合、サーバは成功メッセージ (220) をクライアント
に返す。220 を受け取った後に、クライアントは正しいログイン用アカウント
のためにプロンプトを提供する。ログインアカウントの受け取りに成功した後、
サーバはパスワード要求、すなわち、331 メッセージを返す。 331 メッセー
ジを受け取った後に、ユーザはパスワードの入力を促されるのである。ユーザ
がログインアカウント用のパスワードを入力した後に、 230 メッセージがロ
グインの成功として送信される。
220 メッセージを受け取っても自動的にログインプロンプトを表示しないプロ
グラムを使用することで、 CWD コマンドとユーザ名の推測を利用して存在す
るアカウントかどうかの確認をすることが可能である。これはクライアントの
任意のポートからサーバの 21 番ポートで動作している ftpd へ操作用の接続
が設立した場合に発生する。
ユーザのホームディレクトリ を引数にした cwd コマンドによるリクエストを
実行した後に、 ftpd からは 2 種類の応答のうちの、どちらか一つが返される。
実際に存在するユーザ名が推測できていれば、ログイン名とパスワードのリク
エストが ftpd からクライアントへ要求される。もし、存在しないユーザアカ
ウントを含むようなリクエストであれば、不正なユーザ名であることを示すエ
ラーがデーモンから返される。
9. Alcatel Speed Touch Pro ADSL Insecure Embedded TFTP Server Vulnerability
BugTraq ID: 2566
リモートからの再現性: あり
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2566
まとめ:
特定の Alcatel Speed Touch ADSL イーサネットルータ/ブリッジ 製品群には
重大なセキュリティ上の欠陥が存在する。
これら特定の製品 (Speed Touch Pro) では設定情報やファームウェアをリモー
トのユーザによって変更できるようにするための組み込み TFTP サーバ機能が
存在する。
通常、この様な機器用の TFTP サービスは WAN 側からはアクセス可能ではない
はずである。
しかし、この製品においては外部ネットワークのユーザとローカルの攻撃者、
それから DSL 接続が確立している回線上のユーザのどちらに対しても接続インタ
フェースが利用可能な状態なのである。
IP ブロードキャストアドレス (255.255.255.255) にソースアドレスを設定し、
ソースポートを 69 (tftp) に設定したスプーフィングを意図する UDP "バウンス"
パケットを利用することで、tftp コネクションが外部ネットワークからこの製品
へ確立可能なのである。
この製品は電話会社側の回線、あるいは WAN に対して tftp コネクションを待
ち受けてもいるがため、tftp サービスは ADSL 回線へ接続可能であり、意図す
る内容を与えられる攻撃者が利用可能な状態になっているのである。
(攻撃者が接続する例としては、加入電話回線の公私分界点や類似の電話回線の
接続点が挙げられる)
また、tftp プロトコルはユーザ認証機構を提供していないため、いかなる攻撃
者に対して、この装置は装置の管理者用インタフェースやファームウェアの更
新機構を無防備な状態のままに曝しているのである。
しかもさらに、この装置に対してユーザが与えたファームウェアのプログラム
は妥当性の確認は行われず、攻撃者は装置に悪意あるファームウェアを tftp
インタフェースを利用してインストールできる可能があるのである。
この装置の欠陥から考察すると以下の行為の可能性がある。
・装置が関係するネットワーク内のトラフィックに対する脅威となるネットワーク
スニファのインストール
・DoS (DoS "Zombie") や 仲介者 (man-in-the-middle) 攻撃といった他の攻撃
をそのまま通過させてしまうように装置の設定を変更
問題となる tftp サービスを無効化する方法はない。
注意: このアドバイザリが公表された直後に、ベンダである Alcate から、こ
のモデムの弱点の報告に対する解答が投稿されている。
これらの問題の影響を軽減させると考えられる一般的な方法 (ファイヤウォー
ルのようなソフトウェアやファイヤウォール専用のデバイス、またはファイヤ
ウォール機能を持った Alcatel Speed Touch モデム) に加えて、ベンダによる
と、リモートからファームウェアコードや設定を変更さてしまうという弱点が
あるのは Speed Touch Pro のみであり、このモデルでは、WAN/DSL インターフ
ェースからのリモートアクセスを不可にするというセキュリティ上の機能が標
準で組み込まれており、これを有効にすることによってこのようなインターフ
ェースからの接続を安全なものにすることが可能であるということである。し
たがって、発見者の当初のアドバイザリではデバイスの全ての種類が弱点を持
つということであったが、ベンダは、この弱点の範囲を Speed Touch 製品群中
の誤設定されたモデルに限っている。
この議論は詳細が明らかになったり、なんらかの解明がなされたりしたときに
は定期的に更新していく予定である。
10. Strip Password Generator Limited Password-Space Vulnerability
BugTraq ID: 2567
リモートからの再現性: なし
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2567
まとめ:
Strip は Zetetic Enterprises が提供するフリーで入手可能なパスワード生成
のためのユーティリティである。Strip は PalmOS で使用可能なアプリケーシ
ョンであり、重要なパスワードを生成し保護するように設計されている。
Strip の問題によって、パスワードファイルにアクセスする権限をもつユーザ
は、Strip によって暗号化されたパスワードを容易に推測することが可能であ
る。
一般的に、擬似乱数のジェネレータは、そのジェネレータの状態を設定するた
めにシードを使用する。このシードは通常、巨大で、予測不可能な数列を選択
し、そうすることによって、生成される乱数列の繰り返しを最小にすることが
できる。シードを計算して暗号解読をするという攻撃は、特別なことではない。
第一の問題は、Strip が、Palm を最後にリセットしたあとの Palm 処理回数に
依存する擬似乱数のジェネレータが小さい数値を与える可能性のあるというこ
とである。SysRandom() のシードの生成は、Palm デバイスの使用時間を計測す
るための 10 ミリ秒間隔の時計を使用するカウンタに依存している。デバイス
がオンになっているときには、10 ミリ秒ごとに、カウンタの値が 1 ずつ増え
ていく。SysRandom() のランダムさは線形性を持つため、近代的なシステム上
でパスワードを生成する方法としては推奨されない。このアプリケーションが
生成するパスワードの数は、パスワードとして可能な数よりも圧倒的に少ない
からである。
第二の問題は、PRNG がシードを生成する際に 32 ビットの数値を前提としてい
るということである。しかし、デバイスから TimGetTicks() に入力するるため
に使われる変数は、16 ビットの整数である。
そのため、パスワードは最大で 2 の 16 乗個しか生成されないことになる。
11. Alcatel Speed Touch ADSL Insecure Administration Interface Vulnerability
BugTraq ID: 2568
リモートからの再現性: あり
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2568
まとめ:
工場出荷状態では、デバイスの管理用インターフェースに対してパスワードは
設定されていない。これにより、ユーザはこのデバイスを再設定したり、パス
ワードを設定しこのデバイスを再設定することを妨害することが可能である。
いったんパスワードが設定されると、このデバイスは 2 つの方法で攻撃可能な
弱点を持つことになる。
・TFTP: このデバイスでの TFTP サービスを使用して、設定ファイルを上書き
することが可能である。これを利用することによって、攻撃者は、あらかじめ
設定されている管理用パスワードでも設定したり変更したりすることが可能で
ある。
・暗号の弱点を利用した攻撃(cryptographic attack): "EXPERT" アカウントで
接続することで、チャレンジレスポンス認証が開始され、この認証では暗号の
弱点を利用した攻撃が可能であると報告されている。このチャレンジレスポン
スのアルゴリズムの詳細は明らかにされていない。
このデバイスは、FTP、HTTP、Telnet インターフェースを使用して設定を行う
ことが可能である。加えて、このデバイスのファイル構造は FTP を利用して取
得することが可能である。これらのサービス全てにおいて、設定情報を修正す
ることができる。
デフォルトでは、これらのサービスに対してはどれもパスワードは設定されて
おらず、従ってアクセスする際に認証は要求されない。
注意: このアドバイザリが公表された直後に、ベンダである Alcate から、こ
のモデムの弱点の報告に対する解答が投稿されている。
これらの問題の影響を軽減させると考えられる一般的な方法 (ファイヤウォー
ルのようなソフトウェアやファイヤウォール専用のデバイス、またはファイヤ
ウォール機能を持った Alcatel Speed Touch モデム) に加えて、ベンダによる
と、リモートからファームウェアコードや設定を変更さてしまうという弱点が
あるのは Speed Touch Pro のみであり、このモデルでは、WAN/DSL インターフ
ェースからのリモートアクセスを不可にするというセキュリティ上の機能が標
準で組み込まれており、これを有効にすることによってこのようなインターフ
ェースからの接続を安全なものにすることが可能であるということである。し
たがって、発見者の当初のアドバイザリではデバイスの全ての種類が弱点を持
つということであったが、ベンダは、この弱点の範囲を Speed Touch 製品群中
の誤設定されたモデルに限っている。
この議論は詳細が明らかになったり、なんらかの解明がなされたりしたときに
は定期的に更新していく予定である。
12. Oracle Application Server ndwfn4.so buffer overflow
BugTraq ID: 2569
リモートからの再現性: あり
公表日: 2001-04-11
関連する URL:
http://www.securityfocus.com/bid/2569
まとめ:
Oracle Application Server は Web に向けてコンテンツを配信するために
iPlanet Web Server (iWS) を統合している。
Oracle Application Server に同梱されている共有ライブラリである
'ndwfn4.so' ($ORAHOME/ows/4.0/lib 以下に置かれている) は、iWS に対する
特定のリクエストに応答するために設定されているものである。特に、特定の
文字列 (通常は /jsp/) の前にあるリクエストは iWS ではなく OAS によって
処理される。
ndwfn4.so にはバッファオーバーフローが発生する弱点がある。弱点のあるホ
ストに対して本来のリクエストの文字列の前に約 2050 文字以上文字が置かれ
た場合、ndwfn4.so の構文解析機能がスタックオーバーフローを起こす。
特別に組み立てられた文字列をリクエストに含ませることによって、iWS ユー
ザではあるが、攻撃者はこのオーバーフローを利用し、ホスト上で任意のプロ
グラムを実行することが可能である。これによって容易に引き起こされること
は、リモートからのユーザが、稼動中の iWS を停止させるということである。
OAS の Solaris のバージョンのみ、この弱点が存在することが知られている。
他の UNIX のバージョンでも同様の弱点が存在すると考えられる。
13. Symantec Ghost Configuration Server DoS Attack
BugTraq ID: 2570
リモートからの再現性: あり
公表日: 2001-04-11
関連する URL:
http://www.securityfocus.com/bid/2570
まとめ:
Symantec Ghost は、企業における広範囲の PC 配置、修理、複製、移動のため
のアプリケーションである。これは、OS のイメージやアプリケーションを 他
の PC に移動もしくは復元することが可能であり、その PC のカスタマイズの
ためにユーザの設定やプロファイルを移動させることも可能である。Ghost に
含まれているコンフィグレーションサーバには、リモートからの攻撃者によっ
て引き起こされる一般的な DoS 状態に陥る可能性がある。
コンフィグレーションサーバは 1347 番ポートを使用している。リモートから
の攻撃者は 1347 番ポートになんの認証もなしで接続し、バッファに約 45 KB
の文字列でを入力する。これによって、アプリケーションは以下のようなエラ
ーを起こし、停止する。
Symantec Ghost Configuration Server
An exception has occurred of type c0000005
D:\Program Files\Symantec\Ghost\ngserver.exe 6.5.1.144
[ Limited backtrace only ]
memmove+0x33
StreamInterchange::doDispatch+0x1b2
StreamInterchange::readEvent+0x13e
SocketEvent::dispatch+0x33
SocketEvent::wait+0x203"
通常機能の復旧には Ghost の再起動が必要である。
14. Cisco VPN 3000 Concertrator Malformed IP Packet Vulnerability
BugTraq ID: 2573
リモートからの再現性: あり
公表日: 2001-04-12
関連する URL:
http://www.securityfocus.com/bid/2573
まとめ:
VPN 3000 Concertrator は Cisco Systems が配布しているバーチャルプライ
ベートネットワークデバイスである。VPN 3000 Concentrator は、暗号化され
たデータ転送と、途切れのない操作の利便さを提供し、2 つのリモートサイト
間での通信を円滑に行うよう設計されている。
このデバイス上のファームウェアの問題は、DoS 攻撃の原因となる。この問題
は 2.5.2(F) 以前のソフトウェアのバージョンに存在する。
このデバイスに巧妙に組み立てた IP パケットを送信することで、VPN 3000
Concentrators を不安定な状態にすることが可能である。あるオプションを含
んだ、意図的に組み立てた IP packet によって、CPU が 100% 消費される。
IP パケットのオプションは通常、IP ヘッダ中の、送信先である 32 ビットの
アドレスと、パケットのデータセグメントの間で指定されている。パケットを
受信するとシステムは処理を停止し、正常動作への復旧には、マシンの再起動
が必要である。
この弱点は、ローカルネットワークから VPN へ送信する時のみ利用可能である。
IP ルータを通ってくるオプションつきのパケットは、このデバイスに影響は及
ぼさない。なお、デバイスの内部及び外部インターフェースどちらからのパケッ
トに対しても弱点が存在する。
システムが機能を停止する原因となる IP ヘッダのオプションの詳細は明らか
にされていない。
15. Hylafax hfaxd Local Format String Vulnerability
BugTraq ID: 2574
リモートからの再現性: なし
公表日: 2001-04-12
関連する URL:
http://www.securityfocus.com/bid/2574
まとめ:
HylaFAX は、UNIX システムで使用するための通信システムである。HylaFAX は
ネットワークを介した認証済みのホストからの FAX を送信するためのリクエス
トを受信可能なサーバを含んでいる。
サーバのバイナリである hfaxd はデフォルトで setuid root が設定され、す
べてのユーザが実行可能なものとしてインストールされる。'hfaxd' には、
syslog() の使用に伴うローカルで利用可能な書式指定文字列に関する弱点があ
る。
コマンドライン上で、'hfaxd' にはユーザが指定したスプールディレクトリを
使用するためのオプションを与えることが可能である。これは 'q' オプション
を使用して指定する。一般的なユーザがこのオプションを与えて 'hfaxd' 起動
する時、'q' オプションの引数は syslog に記録される。syslog() はログを出
力形式を決定する際に *printf を使用しており、パラメータとして書式指定文
字列や引数の変数を受け付ける。'hfaxd' がユーザの実行を記録するために
syslog() を呼び出したとき、書式指定文字列には 'q' オプションの引数が含
まれていることになる。この結果、その文字列に含まれるどんな書式指定も解
釈され、*printf() 関数に影響を与える。
悪意あるローカルユーザは、この弱点を利用することが可能である。コマンド
文字列を特別な書式にし、メモリに '%n' が書き込まれるような書式指定子を
使用することで、攻撃者は任意のアドレスに任意の値を書き込むことが可能で
ある。この弱点を利用することに成功すれば、攻撃者は 'hfaxd' を利用して任
意のプログラムを実行することが可能となる。
'hfaxd' は setuid root でインストールされ、誰でも実行可能なため、攻撃者
はこの問題を利用して root 権限の奪取が可能である。
16. cfingerd Format String Vulnerability
BugTraq ID: 2576
リモートからの再現性: あり
公表日: 2001-04-11
関連する URL:
http://www.securityfocus.com/bid/2576
まとめ:
cfingerd (Configurable Finger Daemon) は GNU fingerd や MIT fingerd
のような一般的な UNIX の finger の代替となるデーモンである。
cfingerd の特筆すべき機能は、接続したクライアントのユーザ名とホスト名を
syslog に追加することで、リモートアクセスを記録することである。cfingerd
は、クライアントマシンの identd が使用しているポートにクエリを送り、リ
モートのユーザ名を収集している。
cfingerd が syslog にエントリを追加するために、 C ライブラリ関数である
syslog() を利用している。syslog() は sprintf() を呼び出して出力の書式
を決定している。
cfingerd は syslog にクライアントから集めたユーザ名を、書式指定文字列の
引数として無条件に渡してしまい、書式指定文字列を利用した攻撃の糸口となっ
てしまう。
cfingerd は、スタック上で 183 バイト以上のシェルコードを作成することに
よって、ユーザ名としての文字列と identd の応答としての文字列の間で、NULL
バイトによるオーバーフローが発生する。これによって、以下に記述するよう
な攻撃が可能である。
cfingerd は root 権限で稼動しているため、意図的に作成された書式指定文字
列とシェルコードによって、攻撃者は cfingerd が稼動しているホストの root
権限を奪取することが可能である。
[1]
identd が稼動しているホストからの応答は、以下のような文字列である。
portinfo : UNIX : USERID : username
cfingerd は NULL バイトによるオーバーフローが存在するため、ユーザ名およ
びポート番号の情報 (portinfo) に関するフィールドを、リモートのユーザ名
として syslog に送るような連続した文字列を形成するように組み合わせるこ
とが可能である。
syslog への出力は以下のような書式になる。
X fingered from Y@Z
X が finger を使用したユーザであり、Y はリモートのユーザ名、Z はリモー
トのホスト名になる。
cfingerd は syslog への出力を 200 バイト (199 + NULL) で打ち切ってしま
う。X が 1 バイトであるとすると、199 - ("X fingered from") = 183 文字に
なる。
17. Lightwave ConsoleServer 3200 Information Disclosure Vulnerability
BugTraq ID: 2578
リモートからの再現性: あり
公表日: 2001-04-10
関連する URL:
http://www.securityfocus.com/bid/2578
まとめ:
ConsoleServer 3200 は Lightwave が提供するコンソールスイッチである。
このリモートからの管理用インターフェースは、管理用アカウントでのログイン
に成功していないユーザに重要な情報を供給している。
この "pre-login" バナーは重要なデータを認証を済ませていないユーザに対し
て開示しており、これには接続しているほかのユーザのユーザ ID や、ハード
ウェアにインストールされているデバイスの設定や状態などの情報も含まれて
いる。
適切にこの弱点を利用すれば、この情報はデバイスに対する攻撃 (例えばリス
トに存在するユーザアカウントのパスワードを総当り攻撃(brute-force)を用い
て解析する) のために使用される可能性がある。
18. Trend Micro Interscan Viruswall Multiple Program Buffer Overflow Vulnerability
BugTraq ID: 2579
リモートからの再現性: あり
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2579
まとめ:
Interscan Viruswall はウイルススキャンのためのソフトウェアパッケージで
あり、Trend Micro 社によって配布、維持されている。このソフトウェアは、
ネットワーク上に存在するゲートウェイの SMTP、FTP、HTTP を介した双方向
のトラフィックに存在するウイルスをスキャンするよう設計されている。
Interscan Viruswall パッケージには 2 つの問題が組み合わされることによっ
て、リモートからのユーザが root として任意のコマンドを実行したり、
Viruswall システムにローカルからのアクセス権限を取得できるたりする可能
性がある。この弱点は、組み合わさるとシステムを脆弱にする 2 つの問題の結
果である。
ISADMIN は、Interscan Viruswall に同梱されている、Web ブラウザで使用可
能な管理用インターフェースである。このサービスは Viruswall システムの
1812 番ポートを使用している CERN httpd v3.0 である。
第一の問題は、CGI ディレクトリ以下に存在する複数のプログラムにバッファ
オーバーフローが発生するということである。入力の境界や正当性のチェック
が十分ではないため、HTTP デーモンの CGI ディレクトリ以下に含まれるほとん
どのプログラムを通して任意のコマンドを実行することが可能である。
第二の問題は、CERN httpd は CGI ディレクトリ以下の、アクセスコントロー
ルが十分ではないプログラムによって構成されているということである。
Viruswall パッケージとともにインストールされる CERN HTTP デーモンは、
root 権限で起動される。httpd のアクセスコントロールは、ユーザが、ファイ
ル名が .cgi で終わっているプログラムを直接実行する権限を与えていない。
しかし、CGI ディレクトリ以下に存在する 4 つのプログラムはファイル名の
末尾が .cgi ではないため、その URL 及びファイル拡張子を呼び出すことで直
接実行することが可能である。
19. Solaris IPCS Timezone Buffer Overflow Vulnerability
BugTraq ID: 2581
リモートからの再現性: なし
公表日: 2001-04-12
関連する URL:
http://www.securityfocus.com/bid/2581
まとめ:
Solaris は、Sun Microsystems が提供する Unix オペレーティングシステムの
1 種である。Solaris は Intel x86 と Sun Sparc プラットフォームで動作し、
デスクトップから企業のサーバまで幅広いマシンを扱えるよう、拡張可能なオ
ペレーティングシステムとして設計されている。
ipcs プログラムによる TIMEZONE 環境変数の取り扱いに生じる問題のため、任
意のコマンドを実行され、権限の昇格に繋がる可能性がある。このプログラム
は、/usr/bin/i86/ipcs に位置し、SUNWipc パッケージに含まれる。
ipcs プログラムは、プロセス間通信のファシリティ状態を報告するように設計
されている。これは、システムで現在使用されているメッセージキュー、共有
メモリ、セマフォなどについてレポートを生成し、使用状況の統計情報を提供
する。
ipcs プログラムの実行時、TIMEZONE 環境変数の値をチェックし、バッファに
格納する。しかし、格納前に環境変数の内容の正当性は確認されない。
TIMEZONE 環境変数の内容の不十分なチェックのため、プログラムの実行時にバ
ッファオーバーフローが発生する。変数の文字数で 1036 文字でバッファオー
バーフローが発生し、リターンアドレスが書き込まれているスタックの変数を
上書きすることが可能である。ipcs は SGID sys であるため、EUID sys の権
限でコマンドの実行が可能である。
最初の報告には、この弱点は Intel Solaris システムに影響すると記述があっ
た。この弱点が Sparc システムに影響があるかどうかは未詳である。
(訳注: 訳者らのチーム内でこの問題の影響を検証した結果、Sparc システムに
対しても同様の影響があることが確認されています。)
20. NCM Content Management System content.pl Input Validation Vulnerability
BugTraq ID: 2584
リモートからの再現性: あり
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2584
まとめ:
NCM Content Management System は NCM が提供する製品である。NCM Content
Management System は Web ドキュメントや、他の形式のデータを取り扱い、Web
資源からデータベースへのインターフェイスを提供するように設計されている。
パッケージに含まれる CGI インフラストラクチャに存在する問題のため、リモ
ートユーザはバックエンドで稼動するデータベースについての情報を収集され、
さらには個々のテーブルにクエリを発行することが可能である。また、確認は
されていないが、データベースの管理機能を実行される可能性があることが報
告されている。
NCM Content Management System のデフォルト設定では、不正なクエリを受信
した際、デバッグ用メッセージを表示する。正当な URL をリクエストし、同時
に、同じ URL で何か文字を付け加えた URL を発行することにより、情報が格
納されているテーブルについての情報を含めたエラーメッセージを表示させる
ことが可能である。
さらに、クライアントからクエリを受信したとき、content.pl スクリプトによ
り実行される入力の検査は十分ではない。そのため、大なり記号 (>)、小なり
記号 (>)を使用した正当なクエリに、さらに多くのクエリを続けることが可能
で、潜在的に、危険な文字を含む可能性がある。正当な SQL リクエストを発行
し、"<" 記号と ">" 記号の間に別のクエリを埋め込むことによって、特定のテ
ーブルに含まれるすべてのレコードを開示することが可能である。
21. IBM Websphere/Net.Commerce Installation Directory Revealing Vulnerability
BugTraq ID: 2587
リモートからの再現性: あり
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2587
まとめ:
Net.Commerce は IBM より提供される製品の Websphere プラットフォームのコ
ンポーネントである。Net.Commerce は、電子商取引を容易にする多目的な機能
を提供し、高機能と信頼性が特長である。
リモートユーザに Net.Commerce パッケージがインストールされたディレクト
リを探す情報収集攻撃 (information gathering attack) を実行される可能性
がある。これは、システムを攻撃する際の助けとなる可能性がある。
Net.Commerce パッケージをインストールする際、いくつかのオペレーショナル
スクリプトが cgi-bin ディレクトリにインストールされる。これらのスクリプ
トで、Net.Commerce や Websphere パッケージの操作を行う。
Net.Commerce を導入される際にデフォルトでインストールされる macro.d2w
マクロは、URLで直接に指定可能な cgi-bin ディレクトリに置かれる。
"NOEXISTINGHTMLBLOCK" 引数を指定してこのスクリプトを実行すると、Net.Data
インフラストラクチャは、Websphere を通して Net.Commerce のパッケージが
インストールされているパスを指し示してエラーメッセージを表示する。
22. IBM Websphere/Net.Commerce CGI-BIN Macro Denial of Service Vulnerability
BugTraq ID: 2588
リモートからの再現性: あり
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2588
まとめ:
Net.Commerce は IBM より提供される製品の Websphere プラットフォームのコ
ンポーネントである。Net.Commerce は、電子商取引を容易にする多目的な機能
を提供し、高機能と信頼性が特徴である。
Net.Commerce には、電子商取引インフラストラクチャのフロントエンドとして
多数の CGI が含まれる。macro.d2w はその 1 パッケージである。
macro.d2w への入力の不十分な取り扱いのため、Websphere サーバが不安定に
なる状況が発生する。多数の "%0a" 文字からなる文字列を受信したとき、
Websphere サーバは動作を停止し、通常動作を復旧するためには、手動で、も
しくはウォッチドッグプロセスで再起動する必要がある。
スクリプトは通常、http://host/cgi-bin/ncommerce3/ExecMacro/macro.d2w/
ディレクトリで、直接指定することが可能である。
この弱点に対する更なる情報は提示されていない。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. War driving by the Bay
著者: Kevin Poulsen
今年の RSA カンファレンスの会場となった、Moscone センター向かいの駐車場
で、Peter Shipley は車のサンルーフに手を伸ばし、そこにエポキシ着けされ
たマグネットで固定されている Lucent 社のドーサル形状のアンテナを叩いた。
ここで重要になってくるのは、外付け用アンテナを持つことである。これは大
きな違いを生むと Shipley さんは言う。ケーブルを社内にめぐらせて、ラップ
トップに差し込んである無線ネットワークカードにつなげる。コンピュータは、
マグネットで固定できるルーフアンテナを使う GPS レシーバに既につながって
いて、全器具一式はライターのアダプター電源に接続使用できるのである。彼
はラップトップで自作ソフトを実行し、車を走らせ、去っていった。
http://www.securityfocus.com/templates/article.html?id=192
2. Microsoft: Closed source is more secure
著者: Kevin Poulsen
Microsoft の緊急対応センターの責任者は、ソースが公開されていないソフト
ウェアはソースが公開されているものよりも安全であると論じた。その理由の
一つとして、誰もセキュリティの弱点を突こうとオープンソースコードのあら
捜しをするようなことをしないからである。
「あら捜しとは退屈で時間もかかり大変なことである」とマイクロソフト社の
緊急対応チームの管理者である Steve Lipner は言う。また、「ソースコード
を単に公開することによってあら捜しをする人が増えるわけではない」とも述
べた。
http://www.securityfocus.com/templates/article.html?id=191
3. Spyware concerns over PC game
著者: John Leyden, The Register
大ヒット中の Black & White という PC ゲームは、今週のメッセージボード上
でゲームをする人たちをスパイする目的に使われている疑いがあると、論争の
嵐を起こした。
Black & White は IP アドレス、登録詳細、ハードウエアの設定といったユー
ザーのコンピュータについての情報を、ゲーム開発社の Lionhead 社や出版社
の Electronic Arts 社で運営しているサーバに送信しているのである。
http://www.securityfocus.com/templates/article.html?id=190
4. FTP open to attack
著者: John Leyden, The Register
セキュリティ専門家は、FTP (file transfer protocol) サーバに潜在的に大打
撃をもたらす可能性がある弱点を発見した。特定した。
発見されたのはバッファオーバフローという弱点で、攻撃者は弱点がある FTP
サーバへ root 権限を奪取するために利用できる可能性がある。
http://www.securityfocus.com/templates/article.html?id=189
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. L0phtCrack 3.0
プラットフォーム: Windows 95/98、Windows NT
作者: Security Software Technologies
関連する URL: http://www.securityfocus.com/tools/1005
L0phtCrack は NT のパスワード監査ツールです。NT オペレーティングシステ
ムに格納されている暗号化ハッシュから NT のユーザパスワードを計算します。
オペレーティングシステムは、セキュリティ上の理由からユーザのパスワード
を平文で保存していません。ユーザの本当のパスワードは、オペレーティング
システムの管理者を含む、どんなユーザにも成りすますことができる重要な情
報であるため、ハッシュ関数で暗号化されています。L0phtCrack は様々な手法
を様々なソースに適用し、パスワードを計算します。その最終結果は、ユーザ
が使用するパスワードを復旧する最先端のツールです。LC3 は賞を取ったこと
のあるパスワード監査および復旧アプリケーションである L0phtCrack の最新
のバージョンです。Windows ネットワーク管理者に 2 つの重要な機能を提供し
ます。
・LC3 は包括的なパスワード監査を通して Windows で認証されたネットワーク
をセキュアに保つ管理利者の手助けをします。
・LC3 は、他の認証システムへユーザの移動を能率化するためや、パスワード
を失ってしまったマシンへアクセスするためにパスワードを復旧します。
2. SILC (Secure Internet Live Conferencing) 20010409
プラットフォーム: Linux
作者: Pekka Riikonen <priikone@poseidon.pspt.fi>
関連する URL: http://www.securityfocus.com/tools/1641
SILC (Secure Internet Live Conferencing) は、インターネットのセキュアで
ないチャンネルを経由して、セキュアなカンファレンスサービスを提供するプ
ロトコルです。SILC は IRC に表面上似てはいますが、内部は全く違います。
SILC の目的はセキュアなカンファレンスサービスを提供することにあります。
強力な暗号を利用して、すべての通信内容をセキュアにします。
3. MacAnalysis 2.0b
プラットフォーム: MacOS、UNIX、Windows 2000、Windows 95/98、Windows NT
作者: Lagoon-Software
関連する URL: http://www.securityfocus.com/tools/1989
MacAnalysis は、ネットワークプロトコル、開いているサービス、ポートスキ
ャン、弱点のある CGI スクリプトなど、完全なセキュリティチェックを行うこ
とにより、コンピュータやネットワークのセキュリティ基準の実装するために、
または手助けするための Macintosh のセキュリティ監査パッケージです。これ
は、Macintosh、Unix、Windows、ハードウェアに関するどんなセキュリティホ
ールもスキャンします。
4. Linux IDS Patch (LIDS) 1.0.7
プラットフォーム: Linux
作者: Xie Huagang <xie@gnuchina.org>
関連する URL: http://www.securityfocus.com/tools/1966
LIDS は、Linux カーネルのセキュリティやカーネル中で強制アクセスコントロ
ールをすると同時にカーネル中の参照モニタの実装を強化するカーネルパッチ
であり管理ツールです。
5. pakemon 0.3.1
プラットフォーム: FreeBSD、Linux、NetBSD、OpenBSD、UNIX
作者: Keiji Takeda (keiji@sfc.keio.ac.jp)
関連する URL: http://www.securityfocus.com/tools/1805
pakemon は、オープンソースモデルに基づいで IDS コンポーネントを共有する
ために開発されています。pakemon の原稿バージョンでは、ネットワーク上の
すべてのトラフィックを監視し、トラフィック中の探したいデータパターンを
探索し、マッチしたトラフィックのセッションログやサマリログを出力します。
6. File System Saint v0.1
プラットフォーム: FreeBSD、Linux、OpenBSD、
Perl (Perl をサポートするすべてのシステム)
作者: haver & sah
関連する URL: http://www.securityfocus.com/tools/1992
スピード、単純化、シンプルな使用方法に焦点を置いた Tripwire(tm) によく
似たユーティリティです。
Translated by ARAI Yuu, ICHINOSE Sayo, KAGEYAMA Tetsuya, KOMATSU Misa,
SAKAI Yoriyuki
LAC Co., Ltd. Computer Security Laboratory
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: KAGEYAMA Tetsuya
iQA/AwUBOt3mwM32EXDdoEFfEQIkMACg004PdOk+cmoLza7bJCoS5MBlGC4AoLxC
3we4SDMe8cm4XYMR6o8Tcznv
=j0DF
-----END PGP SIGNATURE-----