セキュリティホール memo - 2000.10

　SecurityFocus.com Newsletter 第 64 号日本語版 (英語版はこれ)。 w3m でアクセスするときは http://www.securityfocus.com/bid/1824 じゃなくて http://www.securityfocus.com/bid/1824 みたいな形が便利ですね。 めぼしい記事:

• MySQL Authentication Algorithm Vulnerability

• Norton AntiVirus 2001 _Restore Directory Virus Detection Bypass Vulnerability

  要は Windows Me にうまく対応できてない、と。

• Oracle Internet Directory 2.0.6 oidldap Vulnerability

• Microsoft Windows NT 4.0 MSIEXEC Registry Permissions Vulnerability

  「レジストリ ACL が poor なので」パターン。NT 4.0 はこれだから……。

• Sun HotJava Browser Arbitrary DOM Access Vulnerability

  訳が変なような。原文はこう:

  A malicious website operator may be able to obtain cookies from a target system browsing with Sun HotJava Browser.
  
  The Document Object Model (DOM) of arbitrary URLs can be accessed if a specially formed javascript is launched from a named window. Cookies that may contain sensitive information can be acquired through this method.

  悪意ある web ページ管理者は、JavaScript 中で window.open("http://some.domain.com","g"); とやっておくだけで、ユーザブラウザに保存された some.domain.com 用の cookie を取得できてしまうという話。 まずいっす。HotJava Browser 3.0 で問題が発生する。

  多分、グニンスキ氏の元ポストがいちばんわかりやすいと思う。 デモついてるし。

• iPlanet CMS/Netscape Directory Server Directory Traversal Vulnerability

• ntop -i Local Format String Vulnerability

  とりあえずの対策としては、ntop から suid bit を落とす。

• HP VirtualVault DoS Vulnerability

• HP-UX crontab /tmp File Vulnerability

• Cisco Catalyst 3500 XL Remote Arbitrary Command Execution

• iPlanet Webserver .shtml Buffer Overflow Vulnerability

• FreeBSD crontab /tmp File Vulnerability

• pam_mysql Authentication Input Validation Vulnerability

• iPlanet CMS/Netscape Directory Server Plaintext Administrative Password Vulnerability

• Oracle listener Input Validation Vulnerabilities

• Multiple Vendor Router Denial of Service Vulnerability

• TIS Firewall Toolkit Format String Vulnerability

  TIS FWTK x-gw に format bug があるという話。 こういうところにまであるというのが、format bug の根の深さを物語っている。

• bftpd Buffer Overflow Vulnerability

　MS00-060 にひきつづき、IIS 5.0 に cross-site scripting な弱点。 たとえば http://iis5server/null.htw?CiWebHitsFile=/default.htm&CiRestriction="<SCRIPT>alert(document.domain)</SCRIPT>" という URL にアクセスすると、 iis5server のセキュリティコンテキストで <SCRIPT></SCRIPT> 内が実行されてしまう。 問題点は MS00-060: Patch Available for "IIS Cross-Site Scripting" Vulnerabilities と同様なのでそちらを参照。 実際には IIS 5 ではなく index service の弱点で、index service をインストールしていない場合は問題がないようだ。 .htw へのマッピングを削除することにより攻撃 (に利用されること) を回避できる。

　グニンスキ氏の指摘文書に対して、MS さんは「俺たちゃまじめにやってるのになんで patch できる前に公開しちゃったんだよーしくしく」という感じ (?) の reply をしている。

　その patch は今週末には登場するようだ。

2000.10.31 追記:

　bugtraq bugid: 1861。

2003.04.15 追記:

　index service 用 patch はもちろんとっくに出ているが、実は Index Server 2.0 (NT 4.0 Option Pack) にもこの問題があり、patch が登場している。 MS00-084 参照。

　出た! 「不健全図書類」。 このページを印刷するとやっぱり「不健全図書類」なのかなー。 「クラッカー迎撃完全ガイド」とか「クラッキング防衛大全」とか、 Windows 2000 World や日経 Windows 2000 も「不健全図書類」になるのかなー。 そのへんで売ってる週刊誌のほうがよっぽど「不健全」だと思うんだけどねえ……。

　関連:

• 東京都青少年の健全な育成に関する条例

  都知事がいろいろ指定できるわけね……ふぅん。 「愛国戦隊大日本」のビデオが表彰されるとか?

• 「青少年に関する世論調査」の調査結果について

  どういう聞き方をしたのかが問題だよねえ。

• 心の東京革命

  いやぁ……このページには、マジで不気味さを感じてしまうんだけど……。 個人的には、子供がどうこういう以前に、悲惨な脳細胞を持った大人共が多すぎると思ってるんだけどなあ……。

　CISCO IOS の remote 管理機能用 http サーバに弱点。remote からあまりにも容易に crash できてしまう。crash 後ソフトウェアは reload されるが、その間ネットワークは停止してしまう。 BUGTRAQ ID: 1838。

　というわけで、日本語になってきてますね。

• 日経 IT Pro:

  • IT業界を揺るがすMicrosoft社の社内ネットワーク・ハッキング事件

  • 「WindowsやOfficeは無事」，社内ネットへのハッカー侵入で米マイクロソフト

  • 米マイクロソフトの社内ネット侵入でハッカーはワーム「Qaz.Trojan」を利用

• ZDNet News:

  • MS本社にハッカー侵入，ソースコード流出？

  • 侵入の「被害は小さい」とMS社長

  • 「ハッカーは何も盗まなかった」とMSの声明

  • 侵入受けたMicrosoft，ソースコードは安全か

  • MSへの侵入，犯人追跡は「至難の業」

• CNET News:

  • ハッカーが数週間にわたってマイクロソフトに侵入

• Microsoft:

  • Information About Security Incident on Microsoft Corporate Network

　「ソースに穴やトロイの木馬を埋め込まれた」とか「ドライバとか ActiveX とかの署名用の秘密鍵を盗まれた」というシナリオがいちばんイヤかなあ。

　運動会の様子が公開されています。 この他にも、FWD の mailing list などで様子が報告されています。

• Firewall Defenders 2000年秋期ワークショップレポート

  FWD 坂井さんによるレポート。 もうすこし更新される予定のようだ。

• NT Security-FWD20001024

  port139 伊原さんによるレポート。

　くぅ、おもしろそうだなあ。#2 開催までに腕をみがくことにしよっと。

　NetBSD Security Advisory が 4 つ出てます。

• NetBSD-SA2000-015 Security vulnerability in libutil.

• NetBSD-SA2000-014 Security vulnerability in CGI interface of global packages.

• NetBSD-SA2000-013 Security vulnerability in cfengine packages.

• NetBSD-SA2000-012 Security vulnerability in NIS hostname lookup

　libutil と cfengine はずいぶん前の話。 NIS と global は新規のような気が。 PC-UNIX security hole memo も参照。

　運動会の記事です。 FWD 自身からは、明日レポートが登場するらしいです。

　JWNTUG OpenTalk in MSC 東京の方もやらなくちゃなあ。 速記録はすでに上っているのだけど、私がサボっているせいで…… (T_T)。

　SecurityFocus.com Newsletter 第 63 号日本語版。

　MSIE および Netscape の限定された版において、間違った Sun の証明書がインストールされているという。 潜在的なセキュリティ問題となるため、http://sunsolve5.sun.com/secbull/certificate_howto.html に従って確認と対応を行うことが推奨されている。 ……という理解でいいのかな。

　LAC の翻訳版が出た: http://www.lac.co.jp/security/intelligence/CERT/CA-2000_19.html。

　「過去に例を見ないほど」は言いすぎだと思うけど (たとえば MS99-019: "Malformed HTR Request" Vulnerability (Retina vs. IIS4, Round 2, KO) とかあったわけで)、致命的なセキュリティ・ホールであることは間違いない。

　2000.09.27 の Microsoft Windows 98 / NT 4.0 / 2000 File Extension Validation Vulnerability に追記した。 Windows 95 時代からだそうです。

　まともに紹介する時間が永遠にとれなさそうなので、 これからは単に html 変換して載せるだけにします。

• SecurityFocus.com Newsletter #60 2000-09-15->2000-09-21

• SecurityFocus.com Newsletter #61 2000-09-23->2000-09-28

• SecurityFocus.com Newsletter #62 2000-09-29->2000-10-05

  bid 1755 はなくなってる。

• SecurityFocus.com Newsletter #62-02 2000-10-05->2000-10-12

　狙いはとてもいい記事だと思う。 しかしなんかこう、具体性に欠けるというか、記者自身がまだ消化できていないというか。 高橋記者は、たとえば Windows Update についてどのように考えていらっしゃるのだろう。

　IE 4.x、および 5.5 を除く 5.x に弱点。 IE は http 基本認証 (userid, password) を cache する。 設計ではこの cache は secure page (https://) でだけ動くはずだったが、 実は一般ページ (http://) でも有効であった。 このため、一旦 https:// で userid/password を入力させておき、http:// に誘導させることができれば、userid/password を収集することができる。

　英語版 patch はあるが日本語版はまだ。IE 5.5 にはこの弱点はない。

　NetMeeting 3.01 (4.4.3385) が動作する Windows 2000 (NetMeeting がプレインストールされている) と NT 4.0 (プレインストールされていない) に弱点。 NetMeeting サービスを動作させている場合、DoS 攻撃を実施可能。

　英語版 patch はあるが日本語版はまだ。

　Windows 98/98SE/Me/2000 に弱点。 Windows 98/98SE/Me においてデフォルトで telnet:// URL を処理する HyperTerminal が buffer overflow するため、悪意ある web ページ管理者/HTML メール送信者はブラウザ操作ユーザ権限で任意のコマンドを実行させることができる。 攻撃者は、たとえばファイルの破壊やウィルス・トロイの木馬の設置ができてしまう。

　英語版 patch はあるが日本語版はまだ。 telnet:// URL を他のプログラムで処理するようにすれば回避できるはずだが、 FAQ にはそのための情報はない。 Windows 2000 においては telnet:// は telnet.exe が処理するので、この問題の影響は少ないだろう。

　securityfocus: Hilgraeve HyperTerminal Telnet Buffer Overflow Vulnerability

　IIS 4/5 に弱点。とあるリクエストを送ると、web folder が存在する disk の内部に存在するファイルを、IUSR_machinename 権限で読めるものは全て、取得することができる。さらに、IUSR_machinename 権限でコマンドを発行できてしまうため、IUSR_machinename 権限で可能なファイルの破壊なども考えられる。

　MS は Customers who have proactively removed the Everyone and Users groups from permissions on the server, or who are hosting the web folders on a different drive from the operating system, would be at significantly less risk from the vulnerability とか言っている。実行しやすいのは後者 (web フォルダをシステムドライブではないものとする) だろう。 しかしまあ、そういうことを後出しで言わないようにするためにも、 IIS のインストーラで「異なるドライブに設定した方がセキュリティ上好ましい」くらいの表示をすべきだろう。

　日本語アドバイザリ「Web サーバーフォルダへの侵入」の脆弱性に対する対策や日本語版 patch もすでにある。 IIS 4 patch, IIS 5 patch (x86, NEC)。実は MS00-057 patch と同じものらしい。

　参考:

• IISに重大なセキュリティ・ホール， Web管理者は今すぐパッチの適用を。

• サーバソフトの問題点をめぐる地下組織 vs. MSの1週間

• 『IIS』のセキュリティー欠陥には既存パッチが有効

• securityfocus: Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability (サンプルコードあり)

　しかし、MS00-057 の時点で fix をインストールしてあるのがふつうのような気がする。

　第 0 原則として「セキュリティポリシーを確立すること」があるのだろうなあ、と思う。 マジノ線についてはこのへんにすこし記述がある。

　すっきりまとまっていてわかりやすい、よい記事です。 日経 IT Pro は (無料) 会員制に移行していますが、こういう記事を毎週読めるのなら会員になるのは惜しくないです。

　MS Java VM に弱点。 web ページや e-mail にしかけをすることで、「スクリプトを実行しても安全だとマークされていない Active X コントロール」を含むあらゆる ActiveX コントロールを実行できてしまうため、 悪意ある web サイトや e-mail 送信者はユーザコンピュータの全機能を掌握できてしまう。 というわけで、どうみても IE 5.5/Outlook security vulnerability - com.ms.activeX.ActiveXComponent allows executing arbitrary programs の fix だ。

　build 3xxx シリーズについては build 3318 で fix されている。 http://www.microsoft.com/java/vm/dl_vm40.htm から入手できる。 2xxx 系列についてはまだ fix は出ていない。 なお、build 番号は jview コマンドの出力から確認できる。 version 5.00.3318 とか出るが、最後の 4 桁が build 番号だ。

　しかし、Windows 2000 用の hotfix 形式 build 3318 は、そのままでは 日本語版 Windows 2000 にはインストールできない。 「Setup cannot update your Windows 2000 files because the language installed on your system is different from the update language」と言われて失敗してしまう。 次のようにするとインストールできる (名倉さん情報ありがとうございます) が、MS が保証するわけではないだろうから at your own risk で実行されたい。

1. HotFix (q275526_w2k_sp2_x86_en.exe) を /x オプションをつけて実行することにより、指定ディレクトリ下に展開する。

2. 展開したディレクトリにある hotfix.inf の [Strings] セクションにある LangTypeValue= の値を 9 (0x09) から 0x11 に変更する。

3. 展開したディレクトリにある hotfix.exe を実行する。

　fix を適用しなくても、アクティブスクリプティング、Java、Java アプレットのスクリプト、のいづれかを停止すれば回避できる。

　また、他力本願堂さんによる本問題のデモが公開されている。 他力本願堂本舗 の Windows Security の十一番だ。 あわせて参照されたい (他力本願堂さん情報ありがとうございます)。

　Netscape 4.75 のブックマーク文字化け問題を修正するバイナリパッチプログラム。

　2000.09.26 の Double clicking on MS Office documents from Windows Explorer may execute arbitrary programs in some cases に追記した。 KnownDLLs への登録で回避できるようです。

　wu-ftpd 2.6.0 の site-exec は format bug ありなので、 site-exec をやめるか 2.6.1 にするか patch をあてましょう、という話。 wu-ftpd への攻撃はあいかわらず流行っているようです。

　ただし、単に 2.6.1 にしたりすると「迷惑なサイト」のいっちょあがりなので、 Koga's wu-ftpd page などを参照してまともな ftp daemon にしてあげましょう。 wu-ftpd にイヤ気がさして、ProFTPD (最新 CVS 版が最も stable のようです) に移行する人もけっこういらっしゃるようです。 proftpd-1.2/NEWS を読むと 8 月中に 1.2 が正式リリースされる予定だった感じだけど、そうなってないんだよなあ。最終更新は 2000/08/18 みたいだし。

　Windows Media Player 7 に弱点。 Windows Media Player 7 同梱の OCX コントロールに問題があり、 RTF メールを使って DoS 攻撃を実行できる。

　問題発見者による詳細: Malformed Embedded Windows Media Player 7 "OCX Attachment" Vulnerability 7.0 Windows Media Player。 デモコードあり。

　日本語 Media Player 7 patch 出てます。

　Windows 2000 に弱点。 簡体字中国語用 IME に問題があり、簡体字中国語用 IME がインストールされている Windows 2000 上では不適切な機能が利用可能となってしまうため、悪意あるユーザは LocalSystem 権限を得られる。 簡体字中国語用 IME がインストールされていなければ問題はない。

　Windows 2000 日本語版 patch 出てます。

　Windows NT 4.0/2000 に弱点。Local Procedure Call (LPC) にさまざまな弱点がある。

• 無効な LPC 要求 (Invalid LPC Request) に関する脆弱性 (NT 4.0): DoS 攻撃を受ける。

• LPC によるメモリ消費 (LPC Memory Exhaustion) に関する脆弱性 (NT 4.0/2000): DoS 攻撃を受ける。

• 予測可能な LPC メッセージの識別子 (Predictable LPC Message Identifier) に関する脆弱性 (NT 4.0/2000): DoS 攻撃の他、追加のローカル権限 (って何?) を得られる。

• LPC Port リクエスト詐称 (MS00-003) の新種 (NT 4.0/2000): System 権限を得られる。

　発見者による詳細情報: BindView Security Advisory: Various security vulnerabilities with LPC ports。ツールもある。

　Windows 2000 日本語版 patch: x86, NEC。 NT 4.0 はまだ。

　関連: Windows NT/2000のプロセス間通信機能にセキュリティ・ホール。

　MS Word 97/2000 に弱点。 差し込み印刷 (mail merge) を行う Word 文書で、 差し込み元が DDE 経由の Access データベースの場合、 マクロが無警告で実行されてしまう。 この攻撃を行うには、読み込むデータベースファイルに対して file:// あるいは UNC (\\hoge\...) でアクセスできる必要がある。 mail 添付ファイルにしておくと既知の tmp file 置場にデータベースファイルが設置されるのでこれを読み込ませることにより……というのはありそうな気が。

　英語版 patch は出たが日本語版はまだ。

2001.10.25 追記:

　MS00-071 が改訂され、Word 98 にも問題があるとされている。 Word 97, 98, 2000 用の patch が公開されているので適用すればよい。

　Windows 95/98/98SE/Me に致命的な弱点。 NETBIOS パスワードの確認手法に重大な問題があり、 Windows 9x/Me を「共有レベルでアクセスを制御する」状態で利用している場合に、 パスワードつきで公開しているリソース (ファイル共有、プリンタ共有) を、パスワードを知らなくても利用できてしまう。 詳細については NSFOCUS Security Advisory(SA2000-05): Microsoft Windows 9x NETBIOS password verification vulnerability を参照されたい。 あまりにあまりな実装である。 辞書 attack などというレベルではない。

　英語版 patch は出たが日本語版はまだ。 patch が出るまで、ファイル・プリンタ共有はいますぐ OFF にしよう。

　関連: Windows 9x/Meのファイル/プリンタ共有にセキュリティ上の弱点が発覚 パスワード・チェックのぜい弱性が明らかに。

　Windows 95/98/98SE/Me の IPX 実装に弱点。 NMPI (Name Management Protocol on IPX) listener が broadcast address に reply してしまうため、broadcast storm が発生する恐れがある。 故意に実行すれば DoS のいっちょあがり。 IPX プロトコルスタックはデフォルトでは入っていないので、IPX をインストールしていない人には関係ない。

　英語版 patch は出たが日本語版はまだ。

　Windows 98/98SE/Me で動作する WebTV に弱点。 remote から WebTV あるいは OS 自身を crash させることができる。 「Windows Meをめぐり，Microsoftのセキュリティ姿勢に批判の声」などで話題になっていた件でしょう。 Bugtraq bugid 1671 "Microsoft WebTV DoS Vulnerability" ですね。 WebTV はデフォルトでは入っていないので、WebTV をインストールしていない人には関係ない。

　英語版 patch は出たが日本語版はまだ。

　border router や firewall では port 445 (microsoft-ds) を止めましょうという話。

　RedHat Linux 6.2/7.0 の tmpwatch に弱点。 root user が tmpwatch を --fuser オプションつきで使うと、 攻撃者が設置した「シェルコマンド入り」のファイル名を持ったファイルの処理において、 そのシェルコマンドが実行されてしまう。 fix package が登場しているので適用する。

　perl を利用して、bookmark 復旧機能つき netscape 4.75 をつくる方法。 竜宝さん情報ありがとうございます。

　usermode パッケージの /usr/bin/userhelper に format bug があるという話。

　Windows 2000 の \ まわりのへろへろな ACL を安全なものにするテンプレートがテスト公開されています。 2000/10/11 付で修正されていますので、古いテンプレートで試された方は更新を。

　いくつか新しいのが出てます。

• 030: SECURITY FIX: Oct 10, 2000
  The telnet daemon does not strip out the TERMINFO, TERMINFO_DIRS, TERMPATH and TERMCAP (when it starts with a '/') environment variables.

  FreeBSD や NetBSD にはこの修正は反映されてないみたい。 必要なのかどうかよくわかんないけど。

• 028: SECURITY FIX: Oct 6, 2000
  There are printf-style format string bugs in several privileged programs.

  対象コマンドは fstat, passwd, top, su, ssh, eeprom (sparc only)。 FreeBSD では、fstat, passwd, su は 4.x で ok、 openssh は auth-rsa.c 1.6、 auth2.c 1.5、 ssh-keygen.c 1.1.1.5 で fix されているようだが、 top はtop.c 1.5 や 1.4.6.1 では直り切ってないように見える。

• 027: SECURITY FIX: Oct 6, 2000
  libcurses honored terminal descriptions in the $HOME/.terminfo directory as well as in the TERMCAP environment variable for setuid and setgid applications.

  ncurses buffer overflows と同じ話? この影響を受けるものとして /usr/bin/systat と /usr/bin/top が該当するようだが……。

• 026: SECURITY FIX: Oct 6, 2000
  A format string vulnerability exists in talkd(8). It is not clear yet what the impact is.

  FreeBSD は関係ない?

　一次情報: The CERT Coordination Center Vulnerability Disclosure Policy。 CERT/CC ですら 45 日しか待たないという状況を、 開発者は認識すべきだろう。 個人的には、我慢の限界は 2 weeks だと思うけど。

　全てのリリースバージョン (4.1.1-RELEASE 含む) の FreeBSD に弱点。 FreeBSD における TCP シーケンス番号の乱数性に問題があり、予測可能となっている。 シーケンス番号が予測可能な場合、IP spoofing 攻撃を受ける可能性がある。 -current / -stable においては、すでに sys/netinet/tcp_seq.h と sys/netinet/tcp_subr.c にこの問題への修正が適用されている (MFC: Use stronger randomness for TCP_ISSINCR and tcp_iss) ので対応されたい。

2000.10.11 追記: Advisory: FreeBSD-SA-00:52 TCP uses weak initial sequence numbers。

　traceroute -g 1 -g 1 とすると traceroute が Segmentation fault する。 これを利用すると、local user が root 権限を得られる。 Lawrence Berkeley National Laboratory 版 traceroute 1.4a5 はバグあり、 1.4a7 はバグなし。 RedHat 6.x や TurboLinux 6.0 などにこの問題がある。 Kondara はすでに fix を出している。

　IE 5.5/Outlook/Outlook Express (多分他のバージョンも) に弱点。 <APPLET code="com.ms.activeX.ActiveXComponent"></APPLET> とすると、コンソールにエラーが表示されるもののインスタンスの作成自体は成功してしまい、「Java アプレットのスクリプト」を経由して利用できてしまう。 com.ms.activeX.ActiveXComponent Java オブジェクトからは 「スクリプトを実行しても安全だとマークされていない Active X コントロール」 (日本語訳: なんでもアリアリだということが明白で、インターネットゾーンからは絶対使えてはいけない Active X コントロール) を含む ActiveX オブジェクトを扱うことができるため、 悪意ある web ページ管理者はファイルの破壊やウィルス感染、トロイの木馬の設置といった行為が可能となる。 以下のデモが公開されている。

• http://www.guninski.com/javaea1.html

• http://www.guninski.com/javaea2.html

　また本文中では、"Outlook security update" を適用した Outlook に対してさえこの弱点を用いた攻撃が有効であると、 デモコードと共に解説している。非常に問題である。

　回避方法としては、アクティブスクリプティング、Java、Java アプレットのスクリプト、のいづれかを停止する。

　日本語 OS での動作だが、 [JavaHouse-Brewers:37187] によると、http://www.guninski.com/javaea2.html はそのまま動くし、 http://www.guninski.com/javaea1.html はパスを日本語版 OS 用に書きかえれば動作するという。 Windows NT/2000 では Windows 9x とはまたパスが違うので、 そのままでは動かないみたい。

2000.10.13 追記: MS00-075: Patch Available for "Microsoft VM ActiveX Component" Vulnerability を参照。

　Netscape 4.73 と 4.75 を合体させて、Java 脆弱性問題とブックマーク文字化け問題を両方片づけようという話。 でも、これだと JPEG COM Marker Processing Vulnerability in Netscape Browsers は直らないんですよね……。 現状では Netscape 6 PR3 がいちばんいいような気がします。

　IIS 5.0 に弱点。 Index server を動かしている場合、WebDAV に伴う拡張機能である SEARCH request method を使うことによって、サイト上のファイル一覧を得ることができてしまう。使い方の例が advisory に示されている。

　KB はこちら: Q272079: IIS Search Method May Allow Unauthorized Users a Directory Listing of a Web Site。 対応方法としては、Index service を止めるか、または各ディレクトリにおける "Index this resource" オプションを不許可とする。 「バグじゃなくて仕様です」ということなんだろう。

　GNU groff は device description file (dev<name>/DESC) をカレントディレクトリから (も) 読んでしまう。 device description file には postpro ディレクティブにコマンドを置けるので、 次のような攻撃が想定される。

1. 攻撃者が /tmp/ に毒入り device description file を設置。

2. user が /tmp/ で man を起動したりすると……ドカン。

　要は信用できるディレクトリに移動していればいいわけなので、たとえば alias man 'pushd ~/.trustme; /usr/bin/man \!* ; popd' (for csh, tcsh) とかすればお茶を濁せるような。

　*BSD の chpass に弱点。 local user が root 権限を得られる。 手元の FreeBSD 3.4/4.0-RELEASE で再現できることを確認した。 これもまた format バグのようだ。 すでに 4.1-RELEASE 以降の FreeBSD では対応されている。 patch:

• 4.0-RELEASE

• 3.x

• 2.2.x

　NetBSD, OpenBSD 用 diff はここからどうぞ:

• OpenBSD

• NetBSD

　OpenBSD Security Advisory: Format string vulnerability in libutil pw_error(3) function が出ている。

　2000.09.26 の Double clicking on MS Office documents from Windows Explorer may execute arbitrary programs in some cases の話。 当初掲載された版から改訂されている (UNIX の shared library の話などが追加された)。

　……んだけど、うーむ。たとえば glib unsetenv() Duplicate Entry Removal Vulnerability (credit にある glibc unsetenv bug を読んだほうがわかりやすい) の話とか、あったほうがいいような気もするんですが。 長くなりすぎるかな。

　penetration technique research site の新コンテンツ。Volune 2 以降もひきつづき登場するようです。 必読。

　Eiji "James" Yoshida さん情報ありがとうございます。

　FreeBSD 4.1.1-RELEASE の fingerd に弱点。 remote から nobody 権限で読めるファイルを閲覧可能。 対応としては、fingerd を使用不可とするか、示されている patch を適用する。 4.1-RELEASE 以前にはこの問題はない。

　finger.c への patch なのは、fingerd が finger を実行しているから。