SecurityFocus.com Newsletter #89 2001-4-13->2001-4-17
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
影山@ラックです。
SecurityFocus.com Newsletter 第 89 号の和訳をお届けします。
訳のない項目については「日本語訳なし」として区別してあります。
- ---------------------------------------------------------------------------
SecurityFocus.com Newsletter に関するFAQ:
<URL: http://www.securityfocus.com/forums/sf-news/faq.html>
BugTraq-JP に関する FAQ:
<URL: http://www.securityfocus.com/forums/bugtraq-jp/faq.html>
- ---------------------------------------------------------------------------
引用に関する備考:
・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ
れています。
・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist,
World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの
全文引用をお願いします。
・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ
んが準用するものとします。
・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか
なる形式のハイパーリンクも上記に準じてください。
1) <URL http://www.securityfocus.com/templates/archive.pike?list=79>
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
この和訳に関する備考:
・この和訳の適用成果について株式会社ラックは責任を負わないものとしま
す。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
訳者からのお知らせ:
・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正
版をご投稿頂くか、訳者にお知らせください。
後者の場合には修正版をできるだけ迅速に発行します。
- ---------------------------------------------------------------------------
- ---------------------------------------------------------------------------
原版:
Message-ID: <Pine.GSO.4.30.0104230910280.7752-100000@mail>
Date: Mon, 23 Apr 2001 09:29:23 -0600
SecurityFocus.com Newsletter #89
- --------------------------------
I. FRONT AND CENTER(日本語訳なし)
1. A Comparison of iptables Automation Tools
2. Infectable Objects, Part Five - HTML and Other Scripts
II. BUGTRAQ SUMMARY
1. SCO OpenServer lp Buffer Overflow Vulnerability
2. SCO OpenServer lpfilter Buffer Overflow Vulnerability
3. SCO OpenServer lpmove Buffer Overflow Vulnerability
4. SCO OpenServer reject Buffer Overflow Vulnerability
5. SCO OpenServer sendmail Buffer Overflow Vulnerability
6. SCO OpenServer rmail Buffer Overflow Vulnerability
7. SCO OpenServer tput Buffer Overflow Vulnerability
8. SCO OpenServer lpstat Buffer Overflow Vulnerability
9. Microsoft ISA Server Web Proxy DoS Vulnerability
10. Solaris FTP Core Dump Shadow Password Recovery Vulnerability
11. IPTables FTP Stateful Inspection Arbitrary Filter Rule ...
12. Cisco Catalyst 802.1x Frame Forwarding Vulnerability
13. Siemens Reliant Unix ppd -T Race Condition Vulnerability
14. GoAhead Webserver /aux Denial of Service Vulnerability
15. Simpleserver WWW AUX Directory Denial of Service Vulnerability
16. FreeBSD BubbleMon Privilege Elevation Vulnerability
17. DCForum 'AZ' Field Remote Command Execution Vulnerability
III. SECURITYFOCUS.COM NEWS ARTICLES
1. Exploit devastates WinNT/2K security
2. A Cyber National Guard
3. DoS bug bites ISA Server
IV.SECURITY FOCUS TOP 6 TOOLS
1. check-ps 1.3.2
2. Stegdetect v0.1
3. Iridium Firewall 1.49a
4. SING v1.1
5. CUM Security Toolkit [CST] v1.3
6. Lcrzo 3.09
I. FRONT AND CENTER(日本語訳なし)
- ---------------------------------
II. BUGTRAQ SUMMARY
- -------------------
1. SCO OpenServer lp Buffer Overflow Vulnerability
BugTraq ID: 2589
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2589
まとめ:
SCO OpenServer 5.0.6 (これ以前のバージョンにも影響を及ぼす可能性がある)
は、プリンタ管理と関連するタスクのために使用される、いくつかの suid bin
に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、ファイルと印刷すつるために必要な情報をプリンタに送信するた
めに使われるコンポーネントである lp が含まれる。
lp はコマンドライン引数を適切に取り扱わない。そのため、コマンドラインか
ら lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオーバ
ーフローを引き起こすことが可能である。これは、呼び出した関数のリターン
アドレスのようなスタックフレームの重要な部分を上書きするためにデータを
コピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
2. SCO OpenServer lpfilter Buffer Overflow Vulnerability
BugTraq ID: 2590
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2590
まとめ:
SCO OpenServer 5.0.6 (これ以前のバージョンにも影響を及ぼす可能性がある)
は、プリンタ管理と関連するタスクのために使用される、いくつかの suid bin
に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、LP 印刷サービスで利用されるフィルタの生成、修正、表示に使わ
れるコンポーネントである lpfilter が含まれる。
lpfilter はコマンドライン引数を適切に取り扱わない。そのため、コマンドラ
インから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファ
オーバーフローを引き起こすことが可能である。これは、呼び出した関数のリ
ターンアドレスのようなスタックフレームの重要な部分を上書きするためにデ
ータをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
3. SCO OpenServer lpmove Buffer Overflow Vulnerability
BugTraq ID: 2591
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2591
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid bin に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、lp 印刷リクエストをあるプリンタから別のプリンタへ再割り当て
するために使われるコンポーネントである lpmove が含まれる。
lpmove はコマンドライン引数を適切に取り扱わない。そのため、コマンドライ
ンから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオ
ーバーフローを引き起こすことが可能である。これは、呼び出した関数のリタ
ーンアドレスのようなスタックフレームの重要な部分を上書きするためにデー
タをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
4. SCO OpenServer reject Buffer Overflow Vulnerability
BugTraq ID: 2592
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2592
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid bin に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、指定したプリンタへの lp 印刷タスクを停止するために使われる
コンポーネントである reject が含まれる。
reject はコマンドライン引数を適切に取り扱わない。そのため、コマンドライ
ンから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオ
ーバーフローを引き起こすことが可能である。これは、呼び出した関数のリタ
ーンアドレスのようなスタックフレームの重要な部分を上書きするためにデー
タをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
5. SCO OpenServer sendmail Buffer Overflow Vulnerability
BugTraq ID: 2593
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2593
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid 'root' に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、電子メールメッセージをクライアントに配送もしくは転送するた
めに使われるコンポーネントである sendmail が含まれる。
sendmail はコマンドライン引数を適切に取り扱わない。そのため、コマンドラ
インから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファ
オーバーフローを引き起こすことが可能である。これは、呼び出した関数のリ
ターンアドレスのようなスタックフレームの重要な部分を上書きするためにデ
ータをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ root の
権限を奪取可能である。このため、攻撃者はシステムを完全に操作することが
可能ある。
6. SCO OpenServer rmail Buffer Overflow Vulnerability
BugTraq ID: 2594
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2594
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid bin に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、uucp 経由で送られる着信電子メールメッセージを解釈するために
使われる MMDF メールシステムのコンポーネントある rmail が含まれる。
rmail はコマンドライン引数を適切に取り扱わない。そのため、コマンドライ
ンから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオ
ーバーフローを引き起こすことが可能である。これは、呼び出した関数のリタ
ーンアドレスのようなスタックフレームの重要な部分を上書きするためにデー
タをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
7. SCO OpenServer tput Buffer Overflow Vulnerability
BugTraq ID: 2595
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2595
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid bin に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、ターミナルの終了、terminfo データベースへの問い合わせや他の
タスクに使われるコンポーネントである tput が含まれる。
tput はコマンドライン引数を適切に取り扱わない。そのため、コマンドライン
から lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオー
バーフローを引き起こすことが可能である。これは、呼び出した関数のリター
ンアドレスのようなスタックフレームの重要な部分を上書きするためにデータ
をコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
8. SCO OpenServer lpstat Buffer Overflow Vulnerability
BugTraq ID: 2597
リモートからの再現性: なし
公表日: 2001-04-13
関連する URL:
http://www.securityfocus.com/bid/2597
まとめ:
SCO OpenServer 5 は、プリンタ管理と関連するタスクのために使用される、い
くつかの suid bin に設定されたプログラムを同梱して出荷されている。
これらのコンポーネントには、攻撃に利用可能なバッファオーバーフローの弱
点が存在する。
サーバには、lp 印刷サービスの状態の報告書を作成するために使われるユーテ
ィリティである lpstat が含まれる。
lpstat はコマンドライン引数を適切に取り扱わない。そのため、コマンドライ
ンから lp へ大量の入力を与えることにより、ローカルの攻撃者はバッファオ
ーバーフローを引き起こすことが可能である。これは、呼び出した関数のリタ
ーンアドレスのようなスタックフレームの重要な部分を上書きするためにデー
タをコピーされてしまう原因となる。
このデータはユーザにより入力されるため、プログラムの実行の流れを置き換
えることが可能である。弱点を適切に攻撃した場合、攻撃者はユーザ'bin'の権
限を奪取可能である。このため、さらなる危険に曝される可能性がある。
9. Microsoft ISA Server Web Proxy DoS Vulnerability
BugTraq ID: 2600
リモートからの再現性: あり
公表日: 2001-04-16
関連する URL:
http://www.securityfocus.com/bid/2600
まとめ:
Microsoft Internet Security and Acceleration (ISA) Server は、詳細に設
定可能なファイヤウォール、かつプロキシサーバである。ISA Server はセキュ
アなインターネットアクセスとキャッシングによるアクセスの効率化を実現し
ている。Web Proxy サービス (W3PROXY.EXE) は、ファイヤウォールを経由して
内部のユーザが外部の Web 資源にリクエストを発行することを可能としている。
そのため、内部ユーザのリクエストはセキュアなトランザクションを通して実
行される。
Microsoft ISA Server で実装されているWeb Proxy service (W3PROXY.EXE) は
DoS 攻撃を受ける可能性がある。この問題は、Web Proxy サービスにより取り
扱われるリクエストにより生じる。
異常に長いパスが付けられた HTTP リクエストが送信された場合、Web Proxy
サービスはターゲットホスト上で応答を停止する。
この弱点は、Web Publishing サービスが使用できない場合は、内部ネットワー
クからのみ利用可能で、Web Publishing サービスが使用できる場合は、内部ネ
ットワークも外部ネットワークからも利用可能である。標準では、使用不能で
ある。
image タグや javascript URL に悪意ある URL が含まれる HTML 形式の電子メ
ールにより、ユーザのブラウザを起動させられる可能性がある。Web Proxy サ
ービスによりリクエストを送信しようとするために、内部ユーザのシステム上
で DoS 条件が起こりえる。これは、リモートからの攻撃者が、Web Publishing
サービスが利用不可能な場合に弱点を攻撃するための潜在的手段となりうる。
この弱点の攻撃に成功した場合、Web Proxy サービスにのみ影響を与え、内部
から外部へ、また外部から内部への Web トラフィックを通過させなくしてしまう。
通常機能の復旧には、サービスの再起動が必要である。
10. Solaris FTP Core Dump Shadow Password Recovery Vulnerability
BugTraq ID: 2601
リモートからの再現性: なし
公表日: 2001-04-17
関連する URL:
http://www.securityfocus.com/bid/2601
まとめ:
Solaris は、Sun Microsystems が提供する Unix オペレーティングシステムの
1 種である。Solaris は Intel x86 と Sun Sparc プラットフォームで動作し、
デスクトップから企業のサーバまで幅広いマシンを扱えるよう、拡張可能なオ
ペレーティングシステムとして設計されている。
以前報告された Solaris に同梱さている ftp サーバに存在する問題を利用し
て、ユーザがローカルアクセス権限を奪取したり、ftp を利用して anonymous
でログインして root ディレクトリにアクセスし、重要な情報を奪取すること
によって権限昇格をしたりすることが可能である。
glob() に含まれるバッファオーバーフローによって、Solaris に同梱されてい
る ftp デーモンでバッファオーバーフローが発生する可能性がある。FTP クラ
イアントで、規格通りに動作しない FTP サーバに接続して、ユーザ名を正しく
入力し、そのユーザのパスワードを正しく入力しないとする。
ログイン失敗を示すエラーを受け取り、ユーザが CWD コマンドを使用して望ん
だユーザのホームディレクトリ (~) を要求すると、ftp サーバがコアダンプす
る。
問題はこのコアファイルにある。コアファイルを root 所有のプロセスから作
成し、そのパーミッションを 0600 より緩く設定してある(訳注: 例えばグルー
プや other への読み出し権限が与えられている場合が相当します)システム上
では、ローカルユーザがこのコアファイルを閲覧できるということになる。ユー
ザは、このコアファイルに含まれる暗号化されたパスワードを得ることが可能
であり、これをオフラインで辞書攻撃され、権限昇格される可能性がある。
11. IPTables FTP Stateful Inspection Arbitrary Filter Rule Insertion Vulnerability
BugTraq ID: 2602
リモートからの再現性: あり
公表日: 2001-04-16
関連する URL:
http://www.securityfocus.com/bid/2602
まとめ:
Linux kernel は IPTables と呼ばれる組み込み firewall が実装されている。
IPTables は、FTP を含む様々なアプリケーションプロトコルのステートフルイ
ンスペクションをサポートしている。このインスペクションは、クライアント、
もしくはサーバがファイヤウォールの内側にある場合に、FTP によるデータ転
送のための外部への PORT 接続を円滑に行うために用いられている。
NAT を使用しているファイヤウォールの設定下、及び環境下では、PORT モード
でのデータ転送は通常は行うことが出来ない。
何種類かのファイヤウォールでは FTP でのやりとりにおいて、ステートフルイ
ンスペクションをサポートしており、ファイヤウォールは FTP のデータ転送の
ために動的にポートを開いて割り当てる。Linux の IPTables の実装では、FTP
の PORT モードでのデータに関するフィルタリングルールは '関連のある' 接
続のテーブルに保存され、ファイヤウォールを介して転送を一時的に許可する
ようになっている。
IPTables モジュールは FTP データを検査し、PORT リクエストを解釈するため
に用いられる。このモジュールには弱点が存在し、リモートからの攻撃者が、
悪意あるルールをファイヤウォールの関連のある接続に関するテーブルに埋め
込むことが可能である。
PORT コマンドはディスティネーションホストの IP アドレス及び TCP のポー
トという 2 つの基本的なパラメータを使用することが可能である。PORT コマン
ドが与えられると、サーバはディスティネーションホストの指定されたポート
に接続し、データの転送を行う。悪意あるユーザがこのメカニズムを利用して
任意のホストにデータ転送を行うこと (FTP バウンス攻撃) を避けるために、
多くの FTP サーバは PORT コマンドで指定されたディスティネーション IP ア
ドレスとクライアントの IP アドレスの比較を行う。これらが一致しなかった
場合、そのコマンドは拒否されログに残る。ステートインスペクションモジュー
ルでも同様に検査を試みる。
PORT コマンドでクライアントと違った IP アドレスが指定されていた場合、次
のようなことが起こる。検知されたにもかかわらず、この状態は誤った処理を
されるため、'関連ある' 接続のテーブルにこの PORT 接続が追加される。これ
によって、この FTP サーバから PORT コマンドで指定されたディスティネー
ションへのトラフィックが一時的に許可されてしまうのである。
以下は、ステートフルインスペクションモジュールに存在するこの不愉快な処
理を含んだソースコードである。
以下の 'if' の条件が、PORT コマンドで指定された IP アドレスがクライアン
トのものと一致しているかどうかを判断する部分である。
/* Update the ftp info */
LOCK_BH(&ip_ftp_lock);
if (htonl((array[0] << 24) | (array[1] << 16) | (array[2] << 8) |
array[3])
== ct->tuplehash[dir].tuple.src.ip) {
info->is_ftp = 1;
info->seq = ntohl(tcph->seq) + matchoff;
info->len = matchlen;
info->ftptype = dir;
info->port = array[4] << 8 | array[5];
} else {
/* Enrico Scholz's passive FTP to partially RNAT'd ftp
server: it really wants us to connect to a
different IP address. Simply don't record it for
NAT. */
DEBUGP("conntrack_ftp: NOT RECORDING: %u,%u,%u,%u !=
%u.%u.%u.%u\n",
array[0], array[1], array[2], array[3],
NIPQUAD(ct->tuplehash[dir].tuple.src.ip));
}
問題は 'else' ブロックに存在する、アドレスが一致しなかった場合に実行さ
れる部分である。実行されたあとでも、PORT コマンドはリターンや停止をする
ことがない。このモジュールは PORT コマンドが正当なものであったとして処
理を継続し、'関連ある' 接続のテーブルにエントリを作成するのである。
もこのようなことをすることが可能である。
この結果、クライアントはこの弱点を利用するための認証は必要がないことに
なる。'内部の' クライアントを含め、このサービスを利用できるユーザなら誰
でもこのようなことをすることが可能である。
この弱点の利用に成功すると、攻撃者は IPTables のフィルタリングルールを
すり抜け、FTP サーバから任意のホストのどのポートにでも接続できるような
状態にすることが可能である。
攻撃者によって攻撃されたFTP サーバから、内部にある保護されたホストへの
アクセス権限を奪取される可能性がある。加えて、内部ネットワークに存在す
る攻撃者がこの弱点を利用して、FTP サーバを介して外部のホスト (通常はア
クセス出来ないはずである) にアクセスする可能性がある。
12. Cisco Catalyst 802.1x Frame Forwarding Vulnerability
BugTraq ID: 2604
リモートからの再現性: あり
公表日: 2001-04-16
関連する URL:
http://www.securityfocus.com/bid/2604
まとめ:
Catalyst Switch は、Cisco Systems が提供している、高性能で低価格なス
イッチである。これは、柔軟性を最大限にするために、拡張性、使いやすさ、
モジュールの設定ができるよう設計されている。
5000 シリーズと 2900 シリーズのスイッチで発見された問題によって、ネット
ワークパフォーマンスが減少し、DoS 状態に陥る危険性がある。この問題は、
スイッチが特定のフレームタイプを処理する際に発生する。
802.1x 規格はポートを使用したネットワークアクセスの制御を提供する規格で
ある。この規格の目的は、ネットワーク上のクライアントへの認証済みのアク
セスを提供することであり、ネットワークセキュリティの向上である。
STP(Spanning Tree Protocol) ポートがブロックされている Cisco Catalyst
スイッチは、802.1x フレームによって大量のネットワークトラフィックが発生
する可能性がある。802.1x フレームを受信すると、スイッチは通常、これらの
フレームをドロップする。しかし、Catalyst シリーズはこれらのフレームをス
イッチが管理している VLAN へ転送してしまい、これらのフレームによって大
量のネットワークトラフィックが発生する原因となる。このような大量のネット
ワークトラフィックを停止するには、ネットワークからフレームのソースを切り
離すしか方法がない。
この弱点は EARL (Encoded Address Recognition Logic) 1、1+、1++、及び、
関連するソフトウェアを基礎とした 5000 シリーズのスイッチと、 2900 シリー
ズのスイッチに影響がある。EARL 2 を使用しているスイッチや、修正されたバー
ジョンのソフトウェアを使用しているシステムでは影響はない。
13. Siemens Reliant Unix ppd -T Race Condition Vulnerability
BugTraq ID: 2606
リモートからの再現性: なし
公表日: 2001-04-14
関連する URL:
http://www.securityfocus.com/bid/2606
まとめ:
Reliant Unix は Fujitsu-Siemens が提供する Unix オペレーティングシステ
ムの 1 種である。Reliant Unix は Fujitsu-Siemens が提供するサーバ上を使
用するための拡張可能なオペレーティングシステムとして設計されている。
ppd プログラムに存在する問題のため、ローカルからシステムにアクセスする
権限を持つユーザは他のユーザに対してのサービスを不能にすることが可能で
あり、権限昇格する危険がある。ppd とは他のシステムへのリモートからのダ
イアルアップ接続を初期化するプログラムである。
ppd は /tmp ディレクトリに安全でない方法でファイルを作成する。-T フラグ
を使用した場合、ppd は /tmp/ppd.trace を使用してファイルを作成する。ppd
プログラムは setuid 権限で実行されるため、このファイルはシンボリックリン
ク攻撃の原因となる可能性がある。ローカルユーザが任意のファイルからこの
ファイル拡張子にシンボリックリンクを作成することが可能である。ppd.trace
を実行すると、リンクされたファイルは上書きされる。
14. GoAhead Webserver /aux Denial of Service Vulnerability
BugTraq ID: 2607
リモートからの再現性: あり
公表日: 2001-04-17
関連する URL:
http://www.securityfocus.com/bid/2607
まとめ:
GoAhead Web Server は GoAhead が提供するフリーで入手可能なオープンソー
スのソフトウェアパッケージである。GoAhead Web Server は多くのユーザに複
数のプラットフォームで稼動する Web サーバやソースコードを提供している。
GoAhead Web Server に存在する問題によって、リモートからのユーザは、正規
のユーザへのサービスを停止させることが可能である。この問題についての詳
細はほとんど明らかにされていない。
GoAhead Web Server へリモートからアクセスすることによって、ユーザは Web
サーバプロセスをクラッシュすることが可能である。/aux ディレクトリに対す
るリクエストを受信すると、GoAhead Web Server の動作が不安定になる。Web
サーバプロセスは異常終了し、通常動作への復旧には監視用のプロセスで、も
しくは手動で再起動する必要がある。
15. Simpleserver WWW AUX Directory Denial of Service Vulnerability
BugTraq ID: 2608
リモートからの再現性: あり
公表日: 2001-04-17
関連する URL:
http://www.securityfocus.com/bid/2608
まとめ:
Simpleserver:WWW は AnalogX が提供するフリーで入手可能な Web サーバであ
る。Simpleserver:WWW は使いやすいインターフェースを同梱した Web サーバ
として設計されている。
このソフトウェアの問題によって、リモートからのユーザが正規ユーザに対す
るサービスを停止させることが可能である。技術的な詳細は現在不明である。
Web サーバプロセスは典型的な httpd として機能しており、80 番ポートでク
ライアントからの接続を受け付けている。しかし、サーバは /aux ディレクト
リに対するリクエストを正しく処理しない。/aux に対するリクエストを受信す
ると、サーバの動作が不安定になりクラッシュする。通常動作への復旧には監
視用のプロセスで、もしくは手動で Web サーバプロセスを再起動する必要がある。
16. FreeBSD BubbleMon Privilege Elevation Vulnerability
BugTraq ID: 2609
リモートからの再現性: なし
公表日: 2001-04-16
関連する URL:
http://www.securityfocus.com/bid/2609
まとめ:
BubbleMon はグラフィカルにシステム監視を行うためのユーティリティである。
BubbleMon の仕様では、このソフトウェアのアイコンをマウスで左あるいは中
ボタンでクリックした際に実行される様に 2 つのプログラム、あるいはシェル
スクリプトを引数付きで指定可能である。
しかし、このソフトウェアの問題を抱えるバージョンにおいては選択されたプ
ログラムまたはシェルスクリプトを実行する前、適切にegid 'kmem' を解除す
ることに失敗してしまうのである。
これに応じ、現行バージョン (1.32) より以前のバージョンである FreeBSD で
提供されているこのソフトウェアは不適切なより高い権限で指定されたコマンド
を実行してしまう。また、結果としていかなる BubbleMon のユーザであっても
意図的なコマンドを kmem 権限で実行可能となってしまう。
17. DCForum 'AZ' Field Remote Command Execution Vulnerability
BugTraq ID: 2611
リモートからの再現性: あり
公表日: 2001-04-17
関連する URL:
http://www.securityfocus.com/bid/2611
まとめ:
DCForum は使いやすい Web インタフェースを備えた電子掲示板システムとして
設計された商業 CGI プログラムであり、DCScripts から提供されている。
このソフトウェアのいくつかのバージョンでは意図的なコマンドがリモート
から実行できてしまう問題を抱えている。
このソフトウェアはユーザがスクリプトへ与えられた値について内容の妥当性
の確認を怠っている。このためスクリプトに与えるための文字列中の特定のフ
ィールドに対する値にシェルコマンドを挿入することによって、攻撃者はスク
リプトターゲットとなったコンピュータ内のスクリプト以外のファイルを開き、
内容を解釈する様指示ができてしまうのである。
az フィールドに長いパス (例えば /../ を含む) を与える事によって、攻撃者
はファイルシステム内の意図する場所にあるファイルを解釈する様、スクリプ
トに強制できるのである。もしも指定されたファイル内に文法上正しい perl
の構文が含まれていた場合、ファイルは通常 nobody である Web サーバの権限
で実行される可能性がある。
III. SECURITYFOCUS.COM NEWS AND COMMENTARY
- ------------------------------------------
1. Exploit devastates WinNT/2K security
著者: Thomas C. Greene, The Register
宗教団体の Dead Cow's Sir Dystic は、SMBRelay というアプリケーションを
作成し、クライアントとサーバの間に攻撃者自身が簡単に入り込めるように
Windows NT/2000 で使われる SMB (Server Message Block) プロトコルの設計
上の問題を利用した。
http://www.securityfocus.com/templates/article.html?id=195
2. A Cyber National Guard
著者: Kevin Poulsen
アリゾナ州立法府が合衆国初の州構造基盤防護センター (SIPC) 設立を議案し
たおかげで、ペンタゴンのサイバーセキュリティの専門家たちは、グランドキ
ャニオン国立公園で名高いその州を将来的な情報戦争の防護にしようとしている。
http://www.securityfocus.com/templates/article.html?id=194
3. DoS bug bites ISA Server
著者: John Leyden, The Register
Microsoft 社初のセキュリティ製品は、Dos 攻撃の的となる弱点を残したまま
にしている。
この問題は Microsoft 社の Internet Security and Acceleration (ISA) Server
の Web Proxy サービスが、ある長さを超えた特定のリクエストを取り扱わない
というもので、Web Publishing 機能が利用できる場合、プログラムがクラッシ
ュする原因となるものである。
http://www.securityfocus.com/templates/article.html?id=193
IV.SECURITY FOCUS TOP 6 TOOLS
- -----------------------------
1. check-ps 1.3.2
作者: Duncan Simpson, checkps@duncan.telstar.net
プラットフォーム: UNIX
関連する URL:
http://www.securityfocus.com/tools/1040
まとめ:
check-ps は、 数ある rootkit のうち、選択されたプロセスを隠す ps を検出
するために設計されたプログラムです。rootkit とは、時に、スクリプトキディ
があなたのマシンを侵害し続けることを隠すために、これをインストールする
のです。多くの rootkit は、同様に多種多彩なバックドアを含んでいます。
2. Stegdetect v0.1
作者: Niels Provos
プラットフォーム: FreeBSD、NetBSD、OpenBSD
関連する URL:
http://www.securityfocus.com/tools/2005
まとめ:
Stegdetect は画像に含まれたステガノグラフィを自動検出するツールです。こ
れは、様々なステガノグラフィの手法を使用して、 JPEG 画像に隠された埋め
込み情報を検出することができます。現在、検出可能な手法は、jsteg、jphide、
outguess 01.3b です。
3. Iridium Firewall 1.49a
作者: Ryan Edwards
プラットフォーム: Linux
関連する URL:
http://www.securityfocus.com/tools/1948
まとめ:
Iridium Firewall は Linux 2.2 の ipchains に基づいた、パケットフィルタ
型ファイヤウォールであり、マスカレードされた機器からなる内部 LAN を保護
するために設計されています。これは、IP スプーフィング、スタッフドルーテ
ィング、スタッフドマスカレーディング、 SYN Cookie 攻撃、 意図的に変形さ
れた ICMP パケット、 パケットフラグメンテーションといった、様々な DoS
攻撃を防ぐことができます。また、既知のトロイの木馬や不正なポートに対す
る、偽造された IP アドレスからの接続の試みから、保護することができます。
4. SING v1.1
作者: Alfredo Andres
プラットフォーム: FreeBSD、Linux、NetBSD、OpenBSD、Solaris
関連する URL:
http://www.securityfocus.com/tools/2003
まとめ:
SING とは、 "ICMP によるスイス製のアーミーナイフ" であると、Ofir Arkin
は自身の作成した文章中で述べています。この新しいバージョンには、 MAC
アドレスを偽造したり、リモートの OS を推測したりする機能などが追加され
ています。
5. CUM Security Toolkit [CST] v1.3
作者: toxic ocean <toxic@blackhat.be>
プラットフォーム: Java
関連する URL:
http://www.securityfocus.com/tools/1799
Summary:
このバージョンにはスクリプトスキャナを搭載しており、(ユーザが編集可能な)
スクリプトのデータベースを使用してスキャンを行うことができます。このサ
ンプルデータベースには 700 個以上の、問題のあるスクリプト及びそのディレ
クトリの情報を含んでいます。また、プロキシサーバ経由でのスキャンも行う
ことができます。このスキャナには、11種類もの対 IDS 手法 (16進での値、ダ
ブルスラッシュ、自分自身を指すディレクトリ、パラメータの隠蔽といったも
の) を使用することができ、偽の "X-Forwarded-For:"、"Referer:"、
"User-Agent:" といったヘッダを送信することで、スキャンを行っていること
を判別しにくくさせることができます。同様に、スクリプトの検出を行う時間
間隔を調整することもできます。このスキャナは GET メソッドよりも高速な
スキャンを行うために HEAD メソッドを使用します。また、標準の 80 番以外
のポートを指定することもできます。このスキャナは、指定したスクリプト及
びディレクトリに対する、Web サーバソフトウェアの 200 番、403 番、401 番
のような HTTP コード及び出力の戻りを出力します。この新しいバージョンで
は非常に多くの新機能があるために、そのいくつかのオプションについて、ど
うやら私は忘れてしまったようだ。そう、是非試してほしいツールです。ポー
トスキャナーさえも含まれています。TCP スキャンも実行することができ、開
いているポートの状況と、戻り値の内容を出力することができます。十分な量
で、包括的なマニュアルが付属していますが、もし何か問題があった場合は、
我々にいつでもメールをください。
6. Lcrzo 3.09
作者: Laurent Constantin
プラットフォーム: FreeBSD、Linux、Solaris
関連する URL:
http://www.securityfocus.com/tools/1941
Summary:
ネットワークライブラリの lcrzo は、パケットの盗聴、偽造、解読、表示、ア
ドレスの変換、クライアントやサーバの生成など、多様な目的に利用できます。
Translated by ARAI Yuu, ICHINOSE Sayo, KAGEYAMA Tetsuya, KOMATSU Misa,
SAKAI Yoriyuki
LAC Co., Ltd. Computer Security Laboratory
http://www.lac.co.jp/security/
-----BEGIN PGP SIGNATURE-----
Version: PGP for Personal Edition 5.5.5J
Comment: KAGEYAMA Tetsuya
iQA/AwUBOuTfHs32EXDdoEFfEQK3xACgzEIN6LDwTWOh6X7/xZnivUe0aU0AnikN
+o24E+GG6ky2G1KMus29k+9F
=/0x7
-----END PGP SIGNATURE-----