Return-Path: bugtraq-jp-return-26-kjm=ideon.st.ryukoku.ac.jp@securityfocus.com Mailing-List: contact bugtraq-jp-help@securityfocus.com; run by ezmlm Precedence: bulk List-Id: List-Post: List-Help: List-Unsubscribe: List-Subscribe: Delivered-To: mailing list bugtraq-jp@securityfocus.com Delivered-To: moderator for bugtraq-jp@securityfocus.com Received: (qmail 20373 invoked from network); 26 Jun 2001 11:33:39 -0000 Date: Tue, 26 Jun 2001 20:33:32 +0900 From: KAGEYAMA Tetsuya To: bugtraq-jp@securityfocus.com Subject: SecurityFocus.com Newsletter #98 2001-6-15->2001-6-21 Message-Id: <20010626202901.A209.T.KAGEYM@lac.co.jp> MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.00.06 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 影山@ラックです。 SecurityFocus.com Newsletter 第 98 号の和訳をお届けします。 訳のない項目については「日本語訳なし」として区別してあります。 - --------------------------------------------------------------------------- SecurityFocus.com Newsletter に関するFAQ: BugTraq-JP に関する FAQ: - --------------------------------------------------------------------------- 引用に関する備考: ・この和訳は Security-Focus.com の許可を株式会社ラックが得た上で行わ れています。 ・SecurityFocus.com Newsletter の和訳を Netnews, Mailinglist, World Wide Web, 書籍, その他の記録媒体で引用される場合にはメールの 全文引用をお願いします。 ・日本語版ニュースレター 1 号から 3 号までにはこの備考が付いていませ んが準用するものとします。 ・また、Security-Focus.com 提供の BugTraq-JP アーカイブ [*1] へのいか なる形式のハイパーリンクも上記に準じてください。 1) - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- この和訳に関する備考: ・この和訳の適用成果について株式会社ラックは責任を負わないものとしま す。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 訳者からのお知らせ: ・もし、typo や誤訳が見つかった場合、BUGTRAQ-JP へ Errata として修正 版をご投稿頂くか、訳者にお知らせください。 後者の場合には修正版をできるだけ迅速に発行します。 - --------------------------------------------------------------------------- - --------------------------------------------------------------------------- 原版: Message-ID: Date: Mon, 25 Jun 2001 11:52:32 -0600 (MDT) SecurityFocus.com Newsletter #98 - -------------------------------- I. FRONT AND CENTER(日本語訳なし) 1. Linux Authentication Using OpenLDAP Part One 2. Secure Online Behavior, Part Two: Secure E-Mail Behavior II. BUGTRAQ SUMMARY 1. MS Index Server and Indexing Service ISAPI Extension Buffer... 2. Air Messenger LAN Server Path Disclosure Vulnerability 3. AMLServer Plaintext Password Vulnerability 4. AMLServer Directory Traversal Vulnerability 5. Microburst uDirectory Remote Command Execution Vulnerability 6. Cisco TFTPD Server Directory Traversal Vulnerability 7. SGI Performance Co-Pilot pmpost Symbolic Link Vulnerability 8. DCForum DCShop File Disclosure Vulnerability 9. Tarantella TTAWebTop.CGI Arbitrary File Viewing Vulnerability 10. Netwin SurgeFTP Server MS-DOS Device Name Denial of Service... 11. Netwin SurgeFTP Server Information Disclosure Vulnerability 12. Solaris cb_reset Buffer Overflow Vulnerability 13. Solaris Print Protocol Daemon Remote Buffer Overflow... 14. W3M Malformed MIME Header Buffer Overflow Vulnerability 15. Atmel SNMP Community String Vulnerability 16. Solaris PTExec Buffer Overflow Vulnerability 17. Symbol Technologies Firmware Insecure SNMP Vulnerability 18. Cerberus FTP Server Buffer Overflow DoS Vulnerability 19. 1C: Arcadia Internet Store Arbitrary File Disclosure 20. 1C: Arcadia Internet Store Show Path Vulnerability 21. 1C: Arcadia Internet Store Denial of Service Vulnerability 22. MS Visual Studio RAD Support Buffer Overflow Vulnerability 23. Trend Micro InterScan WebManager RegGo.dll Buffer Overflow... 24. eXtremail Remote Format String Vulnerability 25. Microsoft IIS Unicode .asp Source Code Disclosure Vulnerability 26. Juergen Schoenwaelder scotty ntping Buffer Overflow Vulnerability 27. ePerl Foreign Code Execution Vulnerability 28. cfingerd Utilities Buffer Overflow Vulnerability 29. CFingerD Utilities Format String Vulnerability III. SECURITYFOCUS.COM NEWS ARTICLES 1. California indictment in Russian hacks 2. Ultimate in Internet security, or hype? IV.SECURITY FOCUS TOP 6 TOOLS 1. LinkLogger v1.1.0.264 2. Viralator Proxy Virus Scanner v0.8 3. CHX-I Universal Application Firewall and Intrusion Detection... 4. Spong v2.7.5 5. EasyChains 0.9.4-4 6. Reptor 0.99 I. FRONT AND CENTER(日本語訳なし) - --------------------------------- II. BUGTRAQ SUMMARY - ------------------- 1. MS Index Server and Indexing Service ISAPI Extension Buffer Overflow Vulnerability BugTraq ID: 2880 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2880 まとめ: Microsoft Index Server および Index サービス は Web ブラウザ経由でのイン ターネットないしイントラネットにある Web サイト内の文書検索機能を実現可 能にするソフトウェアである。なお、Index Server は Windows 4.0 Option Pack に同梱され、Index サービスは Windows 2000 に同梱されている。 Index Server および Index サービスに関連する特定の ISAPI エクステンショ ンには未チェックのバッファが存在する。 Microsoft Index Server あるいは Index サービスを稼動させているホストは idp.dll と呼ばれる ISAPI エクステンションにある未チェックのバッファのた めに任意のコードの実行が行われる可能性がある。このエクステンションへの HTTP リクエストが通常あり得ない形式で idp.dll をインストールしているホ ストへ与えられた際、Index Server と Index サービスの両方共にバッファオ ーバーフローを生じ、意図的なコードの実行を招いてしまう可能性があるので ある。遺憾にも、Index Server と Index サービスは Local System の権限で 実行しており、このため、攻撃者は意図的なコードを Local System の権限で 実行するように仕向けられるのである。 idp.dll は Internet Data Administration(.ida) 形式のファイルと、Internet Data Query (.idq) 形式のファイルをサポートする機能を提供している。この ため、この問題を利用した攻撃を行うためには idq.dll と共に .idq 形式と .ida 形式のファイル群に関連付けられたスクリプトマッピングが存在していな ければならない。 Index Server および Index サービスは、この問題を利用した攻撃を攻撃者が 行うために稼動させておく必要はないという点は関心を引くべきである。idq.dll は IIS がインストールされる際に同時にデフォルトでインストールされてしま うため、IIS が唯一のサービスとして稼動しているようにする必要がある。 この問題を突いた攻撃が成功した場合、ターゲットとなったコンピュータの完 全な権限 (システム権限、管理者権限) の奪取を招く結果となってしまう。 2. Air Messenger LAN Server Path Disclosure Vulnerability BugTraq ID: 2881 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2881 まとめ: Air Messenger LAN Server for Microsoft Windows は Web を介した電話の通話、 ポケットベル、電子メールの交換機能を提供するソフトウェアである。 このソフトウェアによって利用される機密ファイルへのパスは、いかなるリモ ートのユーザであっても Web サーバから得られる HTTP ヘッダ内の Location フィールドの値を参照することで容易に獲得可能である。 この問題を適切に利用することで、この問題が開示する情報は攻撃者に AMLServer のユーザ名とパスワード情報を獲得するための手助けとなり得るのである。 (これらの情報は平文で格納されている。BID 2882, 2883 を参照されたい。) この問題はソフトウェアが想定していない範囲の影響を及ぼす可能性がある。 影響の例としては攻撃者によるこのソフトウェアのメッセージやサービス内容 へのアクセスの可能性や、問題を抱えるシステムへの DoS 攻撃の支援である。 3. AMLServer Plaintext Password Vulnerability BugTraq ID: 2882 リモートからの再現性: なし 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2882 まとめ: Air Messenger LAN Server for Microsoft Windows は Web を介した電話の通話、 ポケットベル、電子メールの交換機能を提供するソフトウェアである。 このソフトウェアで提供される全てのサービス用のパスワードは平文で pUser.Dat と呼ばれるファイルに格納されている。従ってこのファイルの内容を閲覧可能 などんな攻撃者もこのソフトウェアで利用されている様々なユーザ名とパスワ ードを獲得できてしまうのである。 平文によるパスワードはこのソフトウェアで提供されているパスワードで保護 されたサービスを危険な状態に曝してしまうための、攻撃者による典型的な手 法を提供してしまっている。 注記: このソフトウェアにはこの問題の影響範囲をさらに拡大する他の 2 つの問題が 存在している。これらは BID 2883 と BID 2881 である。 4. AMLServer Directory Traversal Vulnerability BugTraq ID: 2883 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2883 まとめ: Air Messenger LAN Server for Microsoft Windows は Web を介した電話の通話、 ポケットベル、電子メールの交換機能を提供するソフトウェアである。 このソフトウェアは Web 経由でポケットベルサービスを利用できるようにする ための基本的な機能を持つ Web インタフェースを同梱して出荷されている。 しかし、この Web インタフェースは ../ (相対パス表記) を利用したディレク トリ指定についてのフィルタリング処理を、ユーザが与えた入力値を受取る際 に行っていないのである。このため、ユーザは Web を介して公開するための文 書が格納されているディレクトリ外のファイルにアクセスすることが可能にな ってしまうのである。 攻撃者は相対パス表記を利用したディレクトリ指定を Web サーバ内の任意のフ ァイルの表示を行うために利用可能である。機密情報が攻撃者に開示されると いう点は問題を抱えるソフトウェアを利用しているコンピュータに対するさら なる攻撃をの手助けとして利用可能である。 5. Microburst uDirectory Remote Command Execution Vulnerability BugTraq ID: 2884 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2884 まとめ: uDirectory はオンラインディレクトリサービス機能、リスト管理機能を提供す るソフトウェアである。 このソフトウェアには入力された値に対する妥当性の確認処理に問題があるため、 リモートのユーザはこのソフトウェアを稼動するコンピュータ上での任意のコマ ンドの実行を可能としてしまう。 問題はユーザが udirectory.pl スクリプトに対して検索用文字列を add_new_listing を command フィールドへの値として含み、category_file フィールドへ攻撃者が指定する任意のコマンドを指定して与える際に生じるの である。 このスクリプトがリクエスト内に与えられたエントリが二重かどうかを判断す る内部のサブルーチンの処理を行う際、このスクリプトは Perl の open() 関 数をユーザが指定した値を引き渡して呼び出すのである。この際文字列中に特 定のメタ文字が含まれるかどうかの確認は行われていない。 この結果、category_file フィールドに特別の文字列を Perl が予定されたファ イルを開く代わりに意図するコマンドを実行してしまえるように挿入することが 可能である。 6. Cisco TFTPD Server Directory Traversal Vulnerability BugTraq ID: 2886 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2886 まとめ: Cisco TFTPD サーバは Cisco Systems によって配布、保守されているフリーの ソフトウェアパッケージである。このソフトウェアパッケージは Microsoft Windows に Trivial File Transfer Protocol (TFTP) を利用してファイルを配 布する機能を提供するよう設計されている。 しかし、このサーバにはリモートのユーザがこのソフトウェアを稼動させてい るシステム内の機密ファイルへアクセスできてしまえる問題を抱えている。こ の問題はリモートのユーザにシステムファイルや他の機密情報を持つファイル の取得をもたらしてしまう可能性がある。 通常の動作において、tftpd はコンピュータ上でアイドル状態にあり、リクエ ストが与えられるのを待ち受けている。リクエストを受取り、コネクションが 確立されてから、ファイルはシステム内の tftp でのファイル配布用ディレク トリから提供され、コネクションは切断されるのである。 このソフトウェアの問題は、入力値の妥当性を確認していない点にある。この ため tftpd に接続可能なリモートのユーザは接続時において、tftpでのファイ ル配布用ディレクトリ外にあるディレクトリを .. (相対パス) を利用して指定 可能なのである。これが可能であるがために、リモートのユーザは完全なディ レクトリ構造を探査可能であり、tftp を利用したファイル配布用ディレクトリ が存在するドライブ内のディレクトリツリー内に含まれるいかなるファイルで あってもダウンロードできてしまう可能性がある。 7. SGI Performance Co-Pilot pmpost Symbolic Link Vulnerability BugTraq ID: 2887 リモートからの再現性: なし 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2887 まとめ: Performance Co-Pilot (PCP) は SGI によって開発されたシステムレベルのパ フォーマンスモニタリングをサポートするためのサービス群である。このサー ビスは以前は IRIX 製品として提供されていたが、SGI はオープンソース化を 行い、現在 Linux 上においても利用可能である。 PCP と共に提供されるユーティリティの 1 つに pmpost があり、このユーティ リティは大抵の場合、デフォルトで setuid root でインストールされる。 pmpost がユーザによって実行される際、このコマンドはコマンドラインパラ メータをログ採取用ディレクトリ内の一時ファイル (NOTICES) として保存す る。ログ採取用ディレクトリは PCP_LOG_DIR 環境変数値を定義することで設 定可能である。 環境変数はユーザが定義するものであるため、ローカルのユーザは任意のログ 採取用ディレクトリを指定可能である。ログ採取用ディレクトリへ NOTICES ファイルへ書き込む際、pmpost コマンドはシンボリックリンクを手繰ってし まうのである。ログへ採取されるデータはユーザが与えたもの (コマンドライ ンの引数) である以上、pmpost が setuid root でインストールされている場 合には管理者権限を奪取可能である。 攻撃者はログ採取用ディレクトリを攻撃者の管理下にある NOTICES という名称 で、重要なシステムファイル (例えば /etc/passwd) を指し示すシンボリック リンクを含むディレクトリに指定することにより、この問題を利用した攻撃が 可能である。攻撃者は指定したファイルの内容を任意のデータで上書き可能で ある。 注記: この問題は PCP の IRIX で提供されるコンパイル済みバイナリとオープンソー スの配布物の両方に対して影響を及ぼしている。S.u.S.E. は S.u.S.E. 向けデ ィストリビューションとして PCP パッケージを作成している。PCP は S.u.S.E. Linux のデフォルトではインストールされない。また、S.u.S.E. Linux 7.0 用 の PCP パッケージは pmpost を setuid root ではインストールしない。7.1 および 7.2 では setuid root としてインストールしてしまうため、PCP がイ ンストールされている際には問題の影響を受けてしまう。 IRIX 上で動作する全ての PCP のバージョンが問題を含んでいるのではないと 報告されている。現在利用中のバージョンが問題を含んでいるかどうかの判定 は以下に示すコマンドを実行されたい。 strings /usr/pcp/bin/pmpost | grep PCP_LOG_DIR PCP_LOG_DIR という文字列が現れた場合、インストールされたバージョンの pmpost は問題を抱えている可能性が高い。 なお、他の Linux ベンダが PCP をオプションパッケージ、あるいはデフォルト でインストールされるように提供しているかどうかは現在の所、未詳である。 8. DCForum DCShop File Disclosure Vulnerability BugTraq ID: 2889 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2889 まとめ: DCScripts DCShop にはファイルを開示してしまう問題が存在している。 DCShop は DCScripts から提供される CGI を利用した電子商取引用パッケージ である。 デフォルトでこのソフトウェアは、デフォルトで容易に類推しやすいディレク トリ、例えば /Orders、/Auth-data、/User_carts をインストールしてしまう。 特定の設定において、このソフトウェアのベータ版はリモートユーザによるこ れらディレクトリ内へのリクエストとファイルの取得を許してしまうのである。 なお、これらディレクトリにはクレジットカードや他の顧客個人のデータとい った秘匿性のある注文情報が含まれ、また、このソフトウェアのログイン ID とパスワードも含まれている。この問題を突いた攻撃が行われた場合、これら の情報により、攻撃者によるサイトの処理の妨害、サイト内のさらなる機密情 報を危険な状態に曝す結果をもたらしてしまう。 この問題は適切に設定された Web サーバにおいては存在しないと報告されて いる。適切に設定された Web サーバは Everyone グループに CGI プログラム 用ディレクトリやそれ以下のサブディレクトリへの「フルコントロール」権限 を与えている。 9. Tarantella TTAWebTop.CGI Arbitrary File Viewing Vulnerability BugTraq ID: 2890 リモートからの再現性: あり 公開日: 2001-06-18 関連するURL: http://www.securityfocus.com/bid/2890 まとめ: ttawebtop.cgi は旧 SCO、現在の Tarantella に含まれる CGI スクリプトであ る。このソフトウェアは管理用ツールとして設計され、ユーザがいつでも指定 した時点で表示を希望するアプリケーションへのリンクを選択でき、アプリケー ションの処理を再開できる用に設計されている。 しかし、このスクリプトにはリモートのユーザが機密ファイルへアクセスでき てしまえる可能性が存在する。この問題はリモートのユーザがローカルシステ ム内の http サーバのプロセスが読み出し権限を持てば、どんなファイルであ っても参照可能にしてしまうのである。 問題はこのスクリプトへの入力の妥当性の確認処理に存在する。このスクリプ トはリモートのユーザにスクリプトへ、ユーザがディレクトリ構造を手繰れる 文字列を引き渡せてしまえるように設計されているのである。そうすることに より、ユーザは http サーバのプロセスが読み出し可能などんなファイルをも 読み出すことが可能なのである。 この問題を利用した攻撃はリモートの攻撃者によって情報収集攻撃 (information gathering attack) の一例として行うことが可能であり、問題を抱えるシステ ムのローカルの資源へのリモートのユーザによるアクセスの成功を招く可能性 がある。 10. Netwin SurgeFTP Server MS-DOS Device Name Denial of Service Vulnerability BugTraq ID: 2891 リモートからの再現性: あり 公開日: 2001-06-19 関連するURL: http://www.securityfocus.com/bid/2891 まとめ: SurgeFTP は Netwin Software によって提供される Windows NT、Windows 2000、 Windows 95、Windows 98、また、RedHat Linux 5.x から 7.x まで、FreeBSD で動作するバージョンを持つマルチプラットフォーム環境で動作する FTP サー バソフトウェアである。 特定の MS-DOS 由来のデバイス名を持つディレクトリを開く際 (例えば con/con)、 リモートの攻撃者は Windows 版のこのソフトウェアをクラッシュ可能である。 復旧に際しては再起動が必要である。 リモートの攻撃者はこの問題を FTP サービスへの DoS を引き起こすためにも 利用可能である。これはこのソフトウェアが匿名 FTP サーバ機能をデフォルト で備えているためであり、この攻撃の状態に陥らせるための証明書を必要とし ないためである。DoS はサービスがシステム管理者によって再起動されるまで 継続する。 11. Netwin SurgeFTP Server Information Disclosure Vulnerability BugTraq ID: 2892 リモートからの再現性: あり 公開日: 2001-06-19 関連するURL: http://www.securityfocus.com/bid/2892 まとめ: SurgeFTP は Netwin Software によって提供される Windows NT、Windows 2000、 Windows 95、Windows 98、また、RedHat Linux 5.x から 7.x まで、FreeBSD で動作するバージョンを持つマルチプラットフォーム環境で動作する FTP サー バソフトウェアである。 このソフトウェアの Windows 98 版はディレクトリ内容を手繰る攻撃を受けて しまう問題が存在する。このため攻撃者は通常の FTP でのファイル公開用ディ レクトリ外のファイルとディレクトリの一覧を取得することが可能である。 与えられるリクエスト内で ... というディレクトリに対する一覧の取得を指示 した場合、指定されたディレクトリ一覧は現在の作業中のディレクトリの2 階 層上のディレクトリ一覧を出力することになってしまいい、指定したディレク トリが FTP によるファイル公開用ディレクトリの外側の場合、攻撃者へは本来 参照にあたって制限が加えられるべき、公開用ディレクトリの外側にあるファ イル一覧が示されてしまうのである。 この問題は攻撃者にファイルシステムの階層構造を図示されてしまう結果を招 いてしまう。ディレクトリ構造を知ることは、これらの知見を役立たせること を必要とする闇雲な対象への攻撃を行う際の補助となる可能性がある。 まだ検証は行われていないが、この問題は Windows 98 版に影響を与え、Windows NT 版では ... 表記を用いた攻撃の影響を受けないと考えられている。 12. Solaris cb_reset Buffer Overflow Vulnerability BugTraq ID: 2893 リモートからの再現性: なし 公表日: 2001-06-20 関連する URL: http://www.securityfocus.com/bid/2893 まとめ: SunOS の SUNWssp パッケージに含まれている cb_reset コマンドにはバッファ オーバーフローを発生させる弱点が存在する。 cb_reset プログラムをコマンドラインから実行する際に長い文字列が与えられ ると、バッファオーバーフローが発生する。この文字列は境界チェックが行わ れずに、内部バッファにコピーされる。文字列が約 600 文字以上である場合、 過度のデータは周辺のメモリを上書きする。 cd_set プログラムは setuid root されてインストールされているため、ロー カルユーザは、リターンアドレスを自分が与えた命令や、シェルコードを指す ようにすることで、root 権限で任意のコマンドを実行することが可能である。 13. Solaris Print Protocol Daemon Remote Buffer Overflow Vulnerability BugTraq ID: 2894 リモートからの再現性: あり 公表日: 2001-06-19 関連する URL: http://www.securityfocus.com/bid/2894 まとめ: Solaris に同梱されているプリントデーモンである in.lpd には、リモートか ら利用可能なバッファオーバーフローが存在する。プリントプロトコルデーモ ンは 515 番ポートで接続を待ち受けており、ネットワーク越しにプリント機能 を使用することが可能である。デフォルトでこの機能は使用できるようになっ ている。 transfer job という処理中に弱点が存在すると報告されている。この処理の 技術的な詳細は現在明らかにされていないが、発見者はこの問題を利用して、 任意のコードが実行できることを証明した。デーモンは root 権限で稼動して いるため、攻撃者は任意のコマンドを管理者権限として実行することが可能で ある。 この問題を利用することに成功した場合、リモートからの攻撃者は、ターゲッ トとなるホストの root 権限を奪取することが可能である。 詳細とともに、最新版が公開される予定である。 14. W3M Malformed MIME Header Buffer Overflow Vulnerability BugTraq ID: 2895 リモートからの再現性: あり 公表日: 2001-06-19 関連する URL: http://www.securityfocus.com/bid/2895 まとめ: W3M は lynx に類似したページャであり、テキストベースの Web ブラウザである。 w3m のクライアントプログラムは、HTTP ヘッダフィールドを操作する際に、 境界のチェックが行われない。 base-64 エンコードされた文字列を MIME ヘッダフィールドとして受け取る際 に、バッファオーバーフローが発生する。この文字列は境界のチェックが行わ れずに内部バッファにコピーされる。文字列が約 32 文字以上の長さだった場 合、過度のデータは周辺のメモリを上書きする。 この問題の利用に成功した場合、攻撃者は w3m クライアントを稼動している ユーザの権限で任意のコマンドを実行することが可能である。 15. Atmel SNMP Community String Vulnerability BugTraq ID: 2896 リモートからの再現性: あり 公表日: 2001-06-20 関連する URL: http://www.securityfocus.com/bid/2896 まとめ: Atmel チップの開発および製造を行っている会社であり、RF ベースの製品を企 業に提供している。また Atmel は様々な無線アクセスシステムを製造している。 Amtel のチップを使用しているシステムには問題が存在し、リモートユーザは 機密情報へアクセスすることが可能である。この問題はリモートユーザが制限 つきのネットワーク資源やネットワーク全体へアクセスしたり、そのネットワ ーク上の他のシステムへアクセスしたりすることも可能にする。 この問題は、Atmel のチップ上のファームウェアが、十分なアクセスコントロ ールを実装していないところに原因がある。通常の環境では、SNMP デバイスは、 アクセスコントロールするための手段として、コミュニティ名を使用する。コ ミュニティ名は通常、情報収集や、その他犯罪の助けになる情報への最低限の アクセスコントロールを提供している。 Atmel チップを使用したファームウェアの実装では、リモートユーザはコミュ ニティ名を利用して、システムの MIB(Management Information Base) にアク セスし、値を読み書きする。リモートユーザは WEP キーを閲覧する権限を奪取 し、それによって重要なネットワーク資産へアクセスすることが可能となる。 16. Solaris PTExec Buffer Overflow Vulnerability BugTraq ID: 2898 リモートからの再現性: なし 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2898 まとめ: SunVTS は Sun Validation Test Suite のことであり、Sun Microsystems 社に よって配布、維持されている。SunVTS は Sun のハードウェアの OEM に含まれ る様々なコンポーネントをテストするために使用され、コンポーネントやサブ コンポーネントの負荷テストを行うことも可能である。 このパッケージには問題が存在し、ローカルユーザは権限昇格することが可能 である。ローカルユーザはこの弱点を利用して root 権限で任意のコードを実 行することが可能であり、したがって影響あるシステム上への root 権限での アクセスが可能である。この問題は ptexec プログラムの -o オプションで発 生する。 ptexec プログラムが -o オプションとともに実行されるとき、入力に対する妥 当性のチェックが十分に行われない。ptexec コマンドが実行されるとき、-o オプションが 400 文字の文字列とともに与えられると、バッファオーバーフ ローが発生し、プロセスメモリや、リターンアドレスを含むスタックの値が上 書きされる。ptexec プログラムは setuid root されているため、ローカルユー ザはこのバッファオーバーフローを利用して任意のコマンドを実行し、root 権 限を奪取することが可能である。 ptexec が含まれている SUNWvts パッケージは、デフォルトではインストール されない。SUNWvts パッケージが使用されているかどうかは、以下のコマンド で確認できる。 pkginfo |grep SUNWvts 17. Symbol Technologies Firmware Insecure SNMP Vulnerability BugTraq ID: 2899 リモートからの再現性: あり 公表日: 2001-06-20 関連する URL: http://www.securityfocus.com/bid/2899 まとめ: Symbol Technologies は、様々な無線通信のコンポーネントやデバイスを製造 している会社である。Symbol Technologies は、802.11b ネットワーク上の無 線アクセスポイントで使用するコンポーネントを様々な製造メーカーに提供し ている。 Symbol Technologies のいくつかのコンポーネントには問題が存在し、リモー トユーザは重要な情報へアクセスすることが可能である。この情報にアクセス した攻撃者は WEP (Wired Equivalent Privacy) キーを復元することが可能で ある。 通常の処理では、無線を使用したマシンすべてのゲートウェイとして存在する 無線のアクセスポイントサーバは、無線ネットワークおよび有線ネットワーク 間のトラフィックを通す。ネットワークトラフィックのセキュリティのため、 WEP は無線でアクセスするシステムの無線インターフェースと無線のクライア ントの間で、通信を暗号化するために使用される。 この問題は Symbol Technologies のコンポーネントを使用しているファームウ ェアに影響がある。Symbol のコンポーネントは無線のアクセスポイントで、ユ ーザが有線のネットワークから、アクセスポイントの有線のネットワークイン ターフェースに接続して、dot11WEPDefaultKeysTable 中にある dot11WEPDefaultKeyValue と ap128bWEPKeyTable 中にある ap128bWepKeyValue のためのデバイスを要求することで、SNMP 経由で WEP 暗号化のキーを復元す ることを可能にしている。 このデータにアクセスできるデフォルトのコミュニティ名は何か、そのコミュ ニティ名を推測するのに総当り攻撃 (brute force attack) が必要か、は現在 未詳である。 18. Cerberus FTP Server Buffer Overflow DoS Vulnerability BugTraq ID: 2901 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2901 まとめ: Cerberus FTP Server はフリーの、マルチスレッドで動作する、Microsoft Windows システム用のファイル転送ユーティリティである。 Cerberus FTP Server にはバッファオーバーフローを発生させてしまう問題が 存在する。この問題はユーザが認証を行う際に発生する。この問題を発生させ るには、ユーザ名とパスワードの両方に 300 文字以上の文字列が入力されなけ ればならない。この過度の入力を取り扱うことができないため、サービスはク ラッシュする。 この FTP サーバソフトウェアは通常機能を復旧するために再起動が必要である。 この問題はバッファオーバフローによって発生するため、問題のあるホスト上 で任意のコードが実行されてしまう可能性がある。 この問題を利用するためにはユーザの認証は必要とされない。リモートユーザ がターゲットホスト上で DoS を発生させることや、任意のコードを実行させる ことは可能である。 19. 1C: Arcadia Internet Store Arbitrary File Disclosure Vulnerability BugTraq ID: 2902 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2902 まとめ: 1C: Arcadia Internet Store は Microsoft Windows NT/2000 用のオンライン ショッピングユーティリティであり、ロシアでは一般的である 1C: Enterprise という別の Web 商取引用ユーティリティと統合的に使用することが可能である。 tradecli.dll は 1C: Arcadia Internet Store がリクエストの処理に利用する 言語解釈プログラムである。これはユーザが CGI 変数を使用することでテンプ レートを指定することを可能にする。 template 変数に対して値が与えられた際、 tradecli.dll は関連するファイル を開き、コンテンツをクライアントに対して出力する。 残念なことに、リクエスト中に含まれる ..\ という文字列はフィルタされてい ない。そのため、ユーザは ..\ をパスの一部に使用し、 Web コンテンツの / ディレクトリの外部のファイルを参照することが可能である。 Web サーバの同一のドライブに存在する任意のファイルを template の値に指 定することが可能で、もしそれがサーバ上に存在していれば、内容を開示する ことが可能である。 このような攻撃は Web ブラウザを使用して実行され、有用な偵察データを提供 し、攻撃者による、さらなるシステムへの攻撃を助けることになる。 20. 1C: Arcadia Internet Store Show Path Vulnerability BugTraq ID: 2904 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2904 まとめ: 1C: Arcadia Internet Store は Microsoft Windows NT/2000 用のオンライン ショッピングユーティリティであり、ロシアでは一般的である 1C: Enterprise という別の Web 商取引用ユーティリティと統合的に使用することが可能である。 tradecli.dll は 1C: Arcadia Internet Store がリクエストの処理に利用する 言語解釈プログラムである。これはユーザが CGI 変数を使用することでテンプ レートを指定することを可能にする。 template 変数に対して値が与えられた際、tradecli.dll は関連するファイル を開き、コンテンツをクライアントに対して出力する。 リクエストされたファイルが存在しない場合、エラーメッセージにアプリケー ションの Web サーバ上の絶対パスを含んで表示される。 これは攻撃者に Web サーバのディレクトリの配置といった機密情報を開示して しまう。このような情報は特定の知的な攻撃手法に要求される場合がある。こ の問題を利用してディレクトリ構造情報を用意しておくことで、さらなる Web サーバへの攻撃が可能になる。 21. 1C: Arcadia Internet Store Denial of Service Vulnerability BugTraq ID: 2905 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2905 まとめ: 1C: Arcadia Internet Store は Microsoft Windows NT/2000 用のオンライン ショッピングユーティリティであり、ロシアでは一般的である 1C: Enterprise という別の Web 商取引用ユーティリティと統合的に使用することが可能である。 tradecli.dll は 1C: Arcadia Internet Store がリクエストの処理に利用する 言語解釈プログラムである。これはユーザが CGI 変数を使用することでテンプ レートを指定することを可能にする。 template 変数に対して値が与えられた際、 tradecli.dll は関連するファイル を開き、コンテンツをクライアントに対して出力する。 1C: Arcadia Internet Store はリクエスト中に含まれる DOS 由来のデバイス 名をフィルタしないため、攻撃者は tracecli.dll をデバイスを開こうとする ことを引き起こすことが可能である。 con や com1、com2 などといった DOS デバイスをテンプレートに指定すること により、DoS に陥らせることが可能である。 22. MS Visual Studio RAD Support Buffer Overflow Vulnerability BugTraq ID: 2906 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2906 まとめ: FrontPage Server Extensions (FPSE) は Microsoft Office 2000 および Office XP に同梱されている。FPSE は IIS サーバ上で実行されるコンポーネ ント群であり、 FrontPage と Visual InterDev を通じて Web サイトの開発を 行うことが可能である。Visual InterDev は Visual Studio の Web 開発ツー ルの 1 つであり、Web コンテンツの一部であるデータベース資源や様々なプロ グラムと共に動作する Web アプリケーションの開発に利用される。 FPSE には Visual InterDev RAD Remote Deployment Support と呼ばれるサブコンポーネ ントがあり、Visual InterDev を利用している開発者に Web サーバ上の COM オブジェクトの登録を容易にすることができる。 FPSE に含まれる Visual InterDev RAD Remote Deployment Support には未チ ェックのバッファがあり、ユーザは IUSR_machinename のコンテキストで任意 のコマンドが実行が可能である。特定の状況下においては SYSTEM コンテキス トで任意のコマンド実行を行うことができてしまう可能性がある。 この問題は COM オブジェクトの登録リクエストを具体的に処理する部分のコー ドに存在する。特別に組み立てられたリクエストが RAD Remote Deployment Support のインストールされたサーバへが送信された場合、このバッファはオ ーバーランを発生させ、任意のコードの実行を許してしまう。 RAD Remote Deployment Support は通常ユーザが手動でインストールし、設定 しなければならない。デフォルトではインストールされない。 この攻撃の成功はホストを完全に支配されてしまうことへ導くだろう。 23. Trend Micro InterScan WebManager RegGo.dll Buffer Overflow Vulnerability BugTraq ID: 2907 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2907 まとめ: Interscan WebManager は Trend Micro 社製の Web アクセス統合管理製品で ある。これは HTTP トラフィック中のウィルスや悪意ある Java や ActiveX を検出し、企業の Web トラフィックの記録管理と警告を提供する。 RegGo.dll にはバッファオーバーフローが存在する。RegGo.dll は Interscan WebManager の一部として同梱されているコンポーネントであり、特定の Web ベースの管理機能をサポートする。 このバッファオーバーフローは攻撃に利用することが可能である。リモートの 攻撃者が Interscan WebManager の SYSTEM セキュリティコンテキストで任意 のコードを実行させることが可能である。 この問題が利用された場合、ホストの支配を完全に奪われてしまう可能性がある。 24. eXtremail Remote Format String Vulnerability BugTraq ID: 2908 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2908 まとめ: eXtremail は Linux および AIX 用のフリーの SMTP サーバである。 eXtremail にはログ採取を行う機構に書式指定子列の問題が存在する。サーバ の受け取った全ての SMTP コマンドはログに記録される。この処理の際、ユー ザの入力したコマンドは *printf 関数へ書式指定子の引数として渡される。 このデータ中に何らかの書式指定子が含まれていた場合、printf の実装によっ ては解釈され実行されてしまう。 特定の書式指定子はメモリへ書き込めるため、ユーザは、攻撃者が指定したメ モリ上の位置へほとんど任意の値を書き込むことが可能な書式指定子列を作成 することが可能である。 攻撃者はこれらの書式指定子を、メモリの重要な領域を破壊するために、悪意 を持って組み立てられた .nofinger ファイルに使用することが可能である。攻 撃者は、リターンアドレス、あるいは関数へのポインタが上書きされた場合、 任意のプログラムをホスト上で実行可能である。 eXtremail は root 権限で実行される。この問題を利用することにより、リモ ートの攻撃者は問題を含んでいるホスト上での管理者権限を奪取することが可 能である。また eXtremail をクラッシュすることも可能である。自動的に再起 動しない場合、STMP サービスは DoS 状態に陥ってしまう。 25. Microsoft IIS Unicode .asp Source Code Disclosure Vulnerability BugTraq ID: 2909 リモートからの再現性: あり 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2909 まとめ: .asp リクエストの取り扱いに関する弱点が存在する。一般的には、.asp ファ イルへのリクエストがなされた際、IIS は、リクエストはスクリプトに対して であり、それを実行するように、と認識する。しかしながら、ホストが FAT フ ァイルシステムでフォーマットされており、リクエストが .asp の拡張子がユ ニコードでエンコードされている場合、IIS はリクエストを適切に扱うことが できずファイルのソースコードを返してしまう可能性がある。 スクリプト中の機密情報 (データベースのユーザ名やパスワードなど) が攻撃 者に開示される可能性がある。ソースコードが開示された場合、スクリプト中 の弱点もまた、発見されてしまう可能性がある。これはサーバへの更なる攻撃 に利用される可能性がある。 26. Juergen Schoenwaelder scotty ntping Buffer Overflow Vulnerability BugTraq ID: 2911 リモートからの再現性: なし 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2911 まとめ: ntping は、TCP/IP ネットワークの状態や設定情報を検索するために使用され る Tcl インタプリタ scotty の 1 コンポーネントである。 SUID root に設定されている ntping ユーティリティに、攻撃に利用可能なバ ッファオーバーフローの弱点が存在することが発見された。ntping がコマンド ラインで実行された際、argv[0] の内容が境界の検査なく内部変数にコピーさ れる。十分な長さの引数を指定することにより、コピーされるバッファのサイ ズよりも大きくなり、スタック上の周辺のデータのまで上書きしてしまう。引 数が適切に組み立てられていた場合、ローカルの攻撃者は、この弱点を root 権限の奪取に利用することが可能であり、システムを完全な危険に曝すことに なる。 27. ePerl Foreign Code Execution Vulnerability BugTraq ID: 2912 リモートからの再現性: あり 公表日: 2001-06-19 関連する URL: http://www.securityfocus.com/bid/2912 まとめ: ePerl は Unix システムための多目的な Perl のフィルタでインタプリタプロ グラムである。 ePerl は include ディレクティブを使用することにより、追加ファイルをロー ドさせ、実行時に処理するプリプロセッサを提供する。外部のデータをロード 可能であるが、処理されないという目的で include ディレクティブのセキュア な変種である sinclude が提供されている。これらのディレクティブに与えら れるユーザが入力したファイルパスは、ローカルファイルシステムあるいは完 全修飾 HTTP URLへの相対、あるいは、絶対パスとして使用可能である。 このプリプロセッサには入力の妥当性確認のエラーが存在する。sinclude ディ レクティブにより参照されるファイルが include ディレクティブを含んでいる 場合、このディレクティブにより参照されているファイルの内容がロードされ 実行される。 sinclude ディレクティブがスクリプトの所有者のコントロール下にない外部の ファイルを参照している状況では、ファイルの所有者は、コマンドを次回にス クリプトが実行される際に任意のプログラムやコマンドを実行可能である。 28. cfingerd Utilities Buffer Overflow Vulnerability BugTraq ID: 2914 リモートからの再現性: なし 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2914 まとめ: cfingerd は finger デーモンのセキュアな実装である。cfingerd は多数の人 々の貢献により作成され、cfingerd 開発チームにより保守されている。 このデーモンの問題により、ローカルユーザは権限の昇格が可能である。デー モンによる入力の取り扱い中に発生するバッファオーバーフローによりローカ ルユーザは任意のプログラムの実行が可能で、より高い権限を奪取可能である。 この弱点の攻撃に成功した場合、ローカルシステム上で root 権限でのアクセ スが可能である。問題は .nofinger ファイルからの入力の取り扱いに存在する。 通常の動作において、cfingerd は inetd によりコントロールされる。inetd は finger リクエストが来るのを待ち受けており、リクエストを実行するため にデーモンを呼び出す。 問題は .nofinger ファイルからの入力の妥当性確認に含まれる。cfingerd に よる入力の検査が不十分なため、ローカルユーザは .nofinger ファイル中に 80 文字より長い文字列を置き、バッファオーバーフローを発生させることが可 能である。このオーバフローにより、リターンアドレスを含むスタック変数を 上書きし、root 権限でプログラムを実行するために使用することが可能である。 さらに、デーモンは inetd によりコントロールされるため、この問題を利用し た攻撃を継続的に行うことが可能で、デーモンが終了した場合でも、次回の finger リクエストで inetd により再スタートされるだけである。 29. CFingerD Utilities Format String Vulnerability BugTraq ID: 2915 リモートからの再現性: なし 公表日: 2001-06-21 関連する URL: http://www.securityfocus.com/bid/2915 まとめ: cfingerd には、書式指定に使用される指定子を通過させてしまう問題が存在す る。util.c ファイルのあるセクションにある入力の妥当性確認が不十分である ため、.nofinger ファイルを介して任意の書式指定子列を通過させてしまうこ とが可能である。 特定の書式指定子はメモリへ書き込めるため、ユーザは、攻撃者が指定したメ モリ上の位置へほとんど任意の値を書き込むことが可能な書式指定子列を作成 することが可能である。 攻撃者はこれらの書式指定子を、メモリの重要な領域を破壊するために、悪意 を持って組み立てられた .nofinger ファイルに使用することが可能である。攻 撃者は、リターンアドレス、あるいは関数へのポインタが上書きされた場合、 任意のプログラムをホスト上で実行可能である。 デフォルトで cfingerd は root 権限で実行され、inetd によりコントロール されている。この弱点を利用することにより、ローカルユーザは root 権限で 任意のプログラムを実行可能で、従ってローカルシステム上で root 権限を奪 取可能である。 III. SECURITYFOCUS.COM NEWS AND COMMENTARY - ------------------------------------------ 1. California indictment in Russian hacks 著者: Kevin Poulsen サイバー強奪犯罪とクレジットカード詐欺罪で、水曜日にカリフォルニア州で 起訴されていたロシアのコンピュータプログラマが米国に拘置された。この金 鉱の州は、罪に問われた攻撃者たちが、数多くの米国の拘留センターをめぐる 際の目的地リストの 1 ヶ所として加えられたのである。 http://www.securityfocus.com/templates/article.html?id=219 2. Ultimate in Internet security, or hype? 著者: John Leyden, The Register 元 KGB 捜査官を代表者とする、あるセキュリティ会社が、近々公開される製品 がコンピュータセキュリティに関する問題に究極の解決策をもたらすものであ るとの宣伝文句を掲げたことから、非難の対象となった。 http://www.securityfocus.com/templates/article.html?id=218 IV.SECURITY FOCUS TOP 6 TOOLS - ----------------------------- 1. LinkLogger v1.1.0.264 作者: Binary Visions Inc. プラットフォーム: Windows 95/98、Windows NT 関連する URL: http://www.securityfocus.com/tools/2089 まとめ: Link Logger は、Linksys から発売されているルータの BEF シリーズで利用で きるログ採取ツールです。Link Logger はルータやファイヤウォールの入力、 出力の両方向のトラフィックで何が起きたか知らせてくれます。誰が何をノッ クしているかを知ることができるでしょう。Link Logger はネットワークへ入 出力される疑わしいトラフィックに警告を発します。トラフィックが特定の IP アドレスへ入出力されたり、特定のポートを通過したりするとすぐに、アラ ームを出力するようにカスタマイズすることも可能です。 2. Viralator Proxy Virus Scanner v0.8 作者: viralator プラットフォーム: Linux 関連する URL: http://www.securityfocus.com/tools/1988 まとめ: Viralator は、ネットワークの Squid プロキシサーバにウイルススキャナを連 動させるためのインターフェイスです。ユーザがダウンロードをする前に、プ ロキシはファイルを Viralator スクリプトに渡し、ウイルススキャナ (最初の リリースでは Inoculate) を実行し、ダウンロードするファイルのウイルスを スキャン、駆除、またはファイルの削除します。これは、hotmail などのフリ ー電子メールサイトから送られるウイルスに感染したファイルの蔓延を防ぐた めに最適の方法です。将来、拡張される機能には、他の種類のアンチウイルス スキャナへの対応、高速化、正規ユーザへのダウンロードの制限が含まれます。 AntiVir、AVP、RAV、Sophos アンチウイルススキャナのサポート、パスワード で保護されたサイトへのアクセス機能、空白文字や特殊な文字が使われている ファイル名の処理機能が追加されました。 3. CHX-I Universal Application Firewall and Intrusion Detection Engine. 作者: IDRCI Inc. プラットフォーム: Windows 2000、Windows NT 関連する URL: http://www.securityfocus.com/tools/2086 まとめ: CHX-I は多目的の TCP アプリケーションファイヤウォールで侵入検知システム です。Web サーバプロテクション、メールサーバプロテクション、インターネ ットトラフィックフィルタリング (ファイヤウォール機能) が含まれています。 4. Spong v2.7.5 作者: Ed Hill, edhill@edsgarage.com プラットフォーム: Perl (Perl をサポートするシステム) 関連する URL: http://www.securityfocus.com/tools/1024 まとめ: Spong はシンプルなシステム監視パッケージです。クライアントの監視 (CPU、 ディスク、プロセス、ログなど)、ネットワークサービスの監視、ホスト (ルー タ、サーバ、ワークステーション、PC) のグループ化、特定のホストの接続と ダウンタイム情報、クライアントごとの設定、Web 経由での結果の表示、問題 の履歴、問題発生時の (メールもしくはポケベルでの) メッセージ通達、問題 を分析するための助けとなる詳しい情報の表示などの特徴があります。単純な TCP のメッセージで通信します。Perl 言語で記述されています。 5. EasyChains 0.9.4-4 作者: Dejavo, dejavo@roysmail.com プラットフォーム: Linux、Solaris 関連する URL: http://www.securityfocus.com/tools/1666 まとめ: EasyChains はコンソールファイヤウォールスクリプトのための非常に使いやす い GUI ツールです。このツールを使えば、リストへのルールの追加やリストか らのルールの削除を簡単に行えるようになります。 6. Reptor 0.99 作者: Alex Howansky, alex@wankwood.com プラットフォーム: Perl (Perl をサポートするシステム) 関連する URL: http://www.securityfocus.com/tools/1081 まとめ: Reptor は Axent/Raptor ファイヤウォールで採取されたログファイルのの解析 を援助する目的で設計されたユーティリティです。自由にカスタマイズ可能な、 トラフィックの総計や警告メッセージなどからなる HTML 形式のレポートを生 成します。Reptor は、前日に何が起きたか詳細を提供するために、毎日実行さ れることを前提としています。セキュアなリモートログ検索、FTP、SMTP の組 み込み機能により、容易に自動化することができます。 Translated by ARAI Yuu, ICHINOSE Sayo, KAGEYAMA Tetsuya, KOMATSU Misa, SAKAI Yoriyuki LAC Co., Ltd. Computer Security Laboratory http://www.lac.co.jp/security/ -----BEGIN PGP SIGNATURE----- Version: PGP for Personal Edition 5.5.5J Comment: KAGEYAMA Tetsuya iQA/AwUBOzfz/832EXDdoEFfEQI+AQCg4Kuwn761uuyTtLSsq6GFuhGKrcMAn00X lIp03XhExEW9zhTYeqKCOQMV =cYcv -----END PGP SIGNATURE-----