セキュリティホール memo - 2001.10

　2001.10.30 の [pml-security,00137] HFNetChk セキュリティパッチの適応を確認する に追記した。 日経 IT Pro の「今週のSecurity Check [Windows編]」に関連記事。

　「インストーラは、最も無難なインストール方式を推奨するようになっています。たとえば、Microsoft Internet Explorer 5.01 がインストールされている場合、 Internet Explorer 5.5 Service Pack 2 ではなく Internet Explorer 5.01 Service Pack 2 が勧められます。これは、Internet Explorer 5.01 Service Pack 2 が、基本的なセキュリティを確保するための最小要件であるためです」。 ようやくこういうマトモな対応がされるようになったということかな。

　Windows 2000 World 2001.12 と [port139:00737] URLScan の [DenyUrlSequences] も参照。

　「IIS 5.0 でダイジェスト認証を使用するためには、IIS のコンピュータは Active Directory を使用した Windows 2000 ドメインに参加している必要があります 」ってのがねえ。気軽には使えないんですよね。 MSDN online library にも「ダイジェスト認証は、Windows 2000 ドメイン コントローラを備えているドメインでのみ稼働します」って書いてあるし。

　リロードすればよい、と。

　「制限付きサイトのゾーン設定に関する変更……[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行] は [無効にする] に設定されますが、以前の設定は保持されます 」。 なぜわざわざ保持するかなあ。 アクティブ スクリプトは無効にしてるのに。

　DoS 攻撃が可能という意味かな。

　インポート処理に問題があるということなのかな。

　[memo:938], [memo:1640] で指摘されている話。hotfix 出してほしいよね。

　JWUTNG 2nd Open Talk in MSC 大阪が終ったあとの宴会で聞いた話の印象だと、 US のヒトは「こんな機能できたぜ!」「Cooooooooooooooooooool!」って感じのノリでいきなり機能を追加しちゃうって感じ、らしい (未確認度 120%)。

　まあそれはともかく、.NET Server / IIS 6 ではだいぶマシになるっぽいのですが、フタを開けるとどうなるやら。

　DoS 系かなあ。

RedHat

• [RHSA-2001:112-07] Printing exposes system files to reading.

• [RHSA-2001:124-04] Updated mod_auth_pgsql packages available

AIX

• SNS Advisory No.46: IBM AIX dtprintinfo Buffer Overflow Vulnerability

  official annouce: IBM AIX: Buffer oveflow vulnerability in CDE DtSvc library。 application/octet-stream で送るかふつう……。

　2001.10.23 の SEshop.com セキュリティメンテナンス実施のお知らせ に追記した。 「セキュリティ・カンファレンス 2001」で顛末が公開された模様。

　HFNetChk、待望の日本語対応。 リモートからも実施できる [pml-security,00138]。 手元では、MS01-007 を再入手して適用する必要があった。 いやあしかし、便利ですこれは。

2001.10.31 追記:

　関連記事: Windows製品のセキュリティを高めるツール「HFNetChk」の日本語版が登場 ただし，チェックの際には一時的にセキュリティ上は望ましくない状態に (日経 IT Pro)。 チェックサムについては早期対応を期待したいですよね。

　fml の内蔵 html 化機構を利用している場合、Subject: や From: に含まれた HTML タグがエスケープされないため、これらを利用してさまざまな攻撃を実施できてしまう。発生する危険性の詳細: [memo:1759]。 最初の指摘文書: [memo:1756]。

　対策としては、 fml の内蔵 html 化機構を停止するか、 ftp://ftp.fml.org/pub/fml/workaround-fix2/ にある libsynchtml.pl および libhtmlsubr.pl に入れかえるか、 もうすぐ登場する (らしい) 4.0.3 release 以降に入れかえる。

　MS の JScript に「仕様という名の大穴がある」という話。 つづき: [memo:1755]。高木さんによるデモ。 結局 IE 6 でも「仕様」のままですので、気になる人 (ふつう気になるぞ!) は「スクリプトによる貼り付け処理の許可」を「無効にする」にしましょう。

　【解説】なお不十分な公的分野の個人情報保護法制 (毎日)。 「国、民間部門、地方自治体レベルでは異なった保護規範に従うというちぐはぐなシステム」 のまま 役所への届け出、大半はネットで　総務省が計画 なんてのまでイっちゃうわけで。こんな状況でいいわけないぞ。

　Windows 2000 においても「hotfix の再適用」が必要なケースが存在する、という話。 Windows 2000 World 2001.12 は「解題 マイクロソフト サポート技術情報」もなかなか。

　しかし、やっぱり SOHO 環境で IIS というのは、避けた方がいいような気がするなあ。 Windows Media とかやりたいとなるとしかたないのだろうけど。

　2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service に追記した。 日経 IT Pro 解説記事を追加。 。

　SecurityFocus.com Newsletter 第 115 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 114 号日本語版 (テキスト, 英語版)。

　検索エンジン ver. 5.600 公開停止に関するお詫びと再公開のお知らせ で「一時中止」になった「海外で確認された問題」の実例報告。 報告者は Windows 2000 + DFS だった模様。

　2001.10.25 の [memo:1724] コンソールプログラムで Windows 2000 がハングアップする に追記した。 fj.os.ms-windows.programming の記事、今回の件とは異なる、コマンドプロンプトからのクラッシュ手法 (米山さん情報ありがとうございます) など。

　2001.10.25 の Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow に追記した。 cert.org に mail してみたら、ようやく Vulnerability Note の読みかたがわかった。

　http://otn.oracle.com/deploy/security/alerts.htm に情報があるようです。

• Security Alert #18: Oracle9iAS Web Cache Overflow Vulnerability
  (October 18, 2001)

  Oracle9iAS Web Cache 2.0.0.1 に弱点。大きな HTTP GET リクエストを使って DoS 攻撃を行うことができる。 さらに、いつかのプラットホームでは任意のコードの実行も可能だという。 2.0.0.2 で fix される。 fix patch は http://metalink.oracle.com から入手できる。

  関連: CERT Advisory CA-2001-29 Oracle9iAS Web Cache vulnerable to buffer overflow 。使用している port 番号の情報もある。

• Security Alert #19: Oracle Trace Collection Security Vulnerability
  (10/18/01)

  Oracle 8.0.x, 8.1.x, 9.0.1 に弱点。 ORACLE_HOME 環境変数の扱いに問題があり、240 文字以上で buffer overflow してしまう。 これにより、suid oracle な otrccol otrccref otrcfmt otrcrep コマンドを用いて oracle 権限を得ることができる。 対応としては、init<SID>.ora で oracle_trace_enable=FALSE として Oracle Trace 機能を停止し、chmod -s otrccol otrccref otrcfmt otrcrep; chmod 751 otrccol otrccref otrcfmt otrcrep する。 修正は Oracle9i Release 2 でのみ行われるという。

• Security Alert #20: Oracle File Overwrite Security Vulnerability
  (10/18/01)

  UNIX 版の oracle 8.0.x, 8.1.x and 9.0.1 に問題。 oracle コマンドは suid oracle なので、これを起動することで oracle 権限のファイルを編集することができてしまう。対応としては chmod o-x oracle する。

• Security Alert #20: Oracle Label Security Mandatory Security Patch
  (10/18/01)

  Sun Solaris 用の Oracle Label Security 8.1.7 に弱点。 権限上昇が可能、であるらしい (公開されている文書からはよくわからん)。 http://metalink.oracle.com から patch number 2022108 を入手し適用すればよい。

　タブとバックスペースを連続出力するだけの単純なプログラムを Windows NT 4.0/2000 のコマンドプロンプトから実行すると、OS がハングアップあるいはリブートしてしまうという指摘。 Windows 98 では問題ないという。 エラー画面。 perl でも発生、 Java でも発生し、 cygwin では Cygwinのライブラリーを使わないようにすると発生する。 直接制御コードを埋めこめば、 バッチファイルでも発生する。 そして、 このバグを利用した ActiveX コントロールの作成は可能である と指摘されている。

　バックスペースを連打すると落ちることがあるそうで、 今回の状況との関連を指摘する人もいる。 サウンドを止めると現象が発生しなくなったという事例も報告されているが、 一般的には関係ないようだ。

　手元でも再現できた (VisualStudio インストールした……)。 うーむ……。

2001.10.29 追記:

　fj.os.ms-windows.programming の記事: Windows2000がハングアップするバグについて。 いや、google.com のやつの方がいいな: Windows 2000がハングアップするバ グについて。 \t が重要な要素のようです。

　[memo:1765] にはリモート DoS (?!) の例がある。

　関連: コンソールプログラムでWindows 2000がハングアップ (slashdot.jp)。リブートしてしまう .bat ファイルの例 や コンソール出力APIの問題? という意見もある。

　また、米山さんから以下の情報をいただきました (ありがとうございます):

既知の情報かもしれませんが、Windows2000をクラッシュ(BSOD)
させる方法が某CHATで流れてたので報告します。
既にご存知でしたら、聞かなかったことにしてください。。。

1. コマンドプロンプトを起動
2. dir /s
3. スクロールしている間にF7キーを押し、Enterキーを押し、さらにCtrl+Cを押す
4. 2〜3をもう1回繰り返す

　手元の Windows 2000 SP2 日本語版でも見事に再現できました。うーむ。

2002.08.05 追記:

　Windows 2000 SP3 で修正された模様: [memo:4711]

　2001.09.04 の Timing Analysis of Keystrokes and Timing Attacks on SSH に追記した。 対抗 patch が開発された。

　2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure に追記した。 日本語版 Windows 2000 patch 登場。

　BindView advisory: sshd remote root (bug in deattack.c) の話。さきほど登場した ssh 1.2.32 では word32 になっているし、 rsaglue.c などにも手が入ってます (BUGTRAQ で流れてたのと同じ内容)。 openssh も 2.3.0 で fix されたはずですが、それでも実は直ってないという話……には見えないしなあ。よくわからん。

　関連: securitynewsportal.com hacked (incidents ML)

2001.10.29 追記:

　cert.org に mail してみたら、ようやく Vulnerability Note の読みかたがわかった (Jeffrey P. Lanza さん回答ありがとうございます)。 Systems Affected にある SSH Communications Security や OpenSSH をたどると、そこは各ベンダーのホームページへのリンクがあるわけではなく、 各ソフトウェアのステータス詳細が記載されているのだ。 で、そこにはちゃんと「ssh 1.2.32 で fix されたと考えられる」 「OpenSSH 2.3.0 で fix されたと考えられる」と書いてある。 どうやら CERT/CC は、各ベンダーからの「正式な回答」があるまでは Status: Vulnerable としているようだ。 ……いや、そうじゃなくて、 Hewlett Packard Information for VU#131923 や FreeBSD Information for VU#131923 を見る限り、 どうやら「デフォルト状態で脆弱性があるか否か」のようだ。

　なぜ「Vulnerable」の方にアンカーしないのだ。 あるいは、なぜ top page に patch availability を記述しないのだ。 私にはわかりにくいのだが、他の人はそうでもないのかなあ。

　かゆいところに手がとどく記事で、たいへんありがたいです。コンパクト・ポリシーってそういうものだったんだ。勉強になるなあ。

　後編にも大期待。

　つまり、IE 5.5 SP2 でしか fix されてないってことなの?

　……青木さんから以下の情報をいただきました (ありがとうございます)。

MS00-024 はレジストリのアクセス権を修正するだけのようです。
shfolder.dll に依存するということなのでそのバージョンを
追っかけてみました。

NT4.0 + SP6a + IE501 SP2 + MS00-024 の状態で

5.00.3314.2100
     ↓
    SRP を適用
     ↓
5.50.4719.1100 (US の KB Q303437 に記載されているバージョンと同じ)
     ↓
   IE5.5 SP2 をインストール
     ↓
5.50.4807.2300 (IE5.5 SP2 のバージョンになった)

で、Users 権限での SHGetFolderPath の挙動なんですが、
具体的にどこのレジストリのアクセス権で蹴られるのか分からない
のですが、SHGetFolderPath の第 2 引数に CSIDL_COMMON_ADMINTOOLS
または CSIDL_COMMON_APPDATA を指定した場合、

最初の状態が
CSIDL_COMMON_ADMINTOOLS: Error: 1411
CSIDL_COMMON_APPDATA: Error: 1411

SRP を適用すると
CSIDL_COMMON_ADMINTOOLS: The folder does not exist.
CSIDL_COMMON_APPDATA: C:\WINNT\Profiles\All Users\Application Data

IE5.5 SP2 を入れた後では
CSIDL_COMMON_ADMINTOOLS: Error: 1411
CSIDL_COMMON_APPDATA: Error: 1411

という結果で、SRP を適用した状態が最も正しいような
気がします。IE5.5 SP2 ではだめなような。。。
ちなみに、Error 1411 は GetLastError() の戻り値なのですが
「そのクラスはありません。」で、ますます分かりませんねぇ。
ちなみに、admin ではどの場合にも同じ結果 (上記で言う SRP の状態)
になるので、Users 権限ではやはりアクセス権で蹴られている
ようです。

http://www.microsoft.com/japan/support/kb/articles/JP303/4/37.htm
しかし、この KB はなんだか奥歯に物が挟まったような言い方で
要領を得ないですね。

　謎が謎を呼ぶ世界でしょうか。「真実は見えるか。」

Sun

• Sun Security Bulletin #00210: ufsrestore

  関連: Vulnerability Note VU#36866: Solaris ufsrestore buffer overflow in command pathname parameters for interactive session (CERT/CC)。 fix 出たので適用すればよい。

• Sun Security Bulletin #00211: xntpd

  関連: Vulnerability Note VU#970472 Network Time Protocol ([x]ntpd) daemon contains buffer overflow in ntp_control:ctl_getitem() function (CERT/CC)、 ntpd =< 4.0.99k remote buffer overflow (ここ)。 Sun って fix に何か月かければ気がすむんでしょう。

IRIX

• IRIX IGMP vulnerability

RedHat

• [RHSA-2001:116-03] Updated diffutils packages available

　DoS / DDoS 攻撃技術のトレンド。手動 → 自動、UNIX → Windows、特殊制御プロトコル → IRC 利用、などなど。概念的な話が多いので、これを読むまえに、たとえば The Strange Tale of the DENIAL OF SERVICES Attacks Against GRC.COM あたりで生々しい実例を頭に入れておくと読みやすいかもしれません。 VPN していると Personal Firewall が効かない場合がある、なんて話も出ています。

　それにしても、DDoS なんてのが出てきてまだ 2 年ちょっとくらいなんですねえ。

　2001.10.18 の from memo ML に追記した。 Java クリップボード問題関連続報。Sun と HP から情報が。 あなたの Netscape 6、Java SDK / JRE にも問題があるかも。

　こういう状況で 役所への届け出、大半はネットで　総務省が計画 されているのだよね。 まあ、半径 10km 全員顔見知りなんていうトコロと対テロ厳戒なトコロとでは意識が違ってあたりまえなんだけど、総務省計画が実現されれば、攻撃は世界中から予想されるわけで。鎖のいちばん弱いトコがボロッといってしまう。 この寒すぎる状況をなんとかしないとホントにヤバイのだが、うーむ……。

　2001.10.12 の 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (MS01-051) に追記した。 関連記事追加。

　2001.10.04 の MacOS X 関連 に追記した。 MS から Security Bulletin 登場。

　『今週のSecurity Check』拡大版の講演資料、ppt 94 枚が 3 分割されて公開されてます。 ありがたいことです。 山下さん (情報ともども) ありがとうございます。

　DMCA の影響がこんなところにも。 アメリカはどこへ行く。

　cryptme と EFF をアンテナに加えました。

　これまでの流れから想像すると、やはり cross-site scripting 脆弱性があったということなのかな? 詳細は「セキュリティ・カンファレンス 2001」で公開されるのだろうか。 「このようにして脆弱性を見逃してしまった」「このように対策した」というような実例が報告されるとうれしい人はたくさんいると思うが、さて……。

　title 文字列は「セキュリティメンテナンス実施のお知らせ」なのに本文では「SEshop.comのシステムメンテナンス実施のお知らせ」なのはとても気になる。

　匿名希望さん情報ありがとうございます。

2001.10.30 追記:

　「セキュリティ・カンファレンス 2001」で顛末が公開された模様です [connect24h:0573]。 英断に拍手。

Vulnerability Note VU#348040: RSA Security ACE/Agent for Windows and RSA Security ACE/Agent for Windows 2000 do not properly handle unicode characters in URL

RSA の ACE/Agent に unicode な URL をきちんと評価できない弱点があり、 認証機構によって守っているはずの IIS から認証なしでデータを取り出せるという。 詳細: Unicode directory transversal in RSA SecurID WebID

Vulnerability Note VU#609840: RSA Security ACE/Agent for Windows and RSA Security ACE/Agent for Windows 2000 do not properly handle null characters in URL

RSA の ACE/Agent は URL の最初のディレクトリの先頭に NULL 文字列 (%00) があると debug mode に落ちてしまう (crash してしまう)。 このとき、他のプログラムの重要情報が得られる場合もあるという。 詳細: Debug mode flaw in RSA SecurID WebID

　CATV 方面とかでもありがちな話ですよね。 personal router でフィルタするとか personal firewall 入れるとかもあわせて行うのが吉。

　2001.10.18 の クッキーでホームページ訪問者は管理されている？ に追記した。 高木さんのフォロー。

　2001.10.18 の [memo:1643] Mac OS X setuid root security hole に追記した。 patch 登場。(link fixed: 石川さんどうもです)

　2001.10.04 の MacOS X 関連 に追記した。 IE patch が登場。

　nvi の全バージョンに format バグ。nvi-1.79/common/exf.c の msgq(sp, M_INFO, s); がそれ、ということでいいのかな。 FreeBSD の nvi にも同様の問題がある。 Debian では msgq(sp, M_INFO, "%s", s); にされた。

　IIS 6.0 になれば、もうすこし楽ができるのかなあ。

　IE 6 で実装された、cookie まわりの機能の解説。「信頼済み」ゾーンでは「すべての Cookie を受け入れる」と同じになってしまうそうで、要注意。 「信頼済み」ゾーンの site に張りついている 3rd party cookie についてはどうなるんだろう。 よくわからん……。

　しかしあれですね、P3P って性善説に基づいているような気が。

　あっ、タイミングよく JP293222: Internet Explorer 6 のデフォルトのプライバシ設定 なんてのが出てますね。

　Microsoft Windows Media で利用されている、Version-2 Microsoft digital rights management (DRM) が破られたという話。 Windows コマンドラインで実行可能なツールが配布されています。 元ネタは Cryptome の Microsoft's Digital Rights Management Scheme - Technical Details だそうだ。 匿名希望さん情報ありがとうございます。

　2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure に追記した。 日本語版 advisory と英語版 patch の状況を追記。

　2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050) に追記した。 全 patch 正式に登場。

　Windows NT 4.0 TSE および Windows 2000 Terminal Service に DoS 攻撃を受ける弱点。 Remote Data Protocol (RDP) プロトコルの実装に問題があり、 ある特定のデータパケットのくみあわせを送られるとサーバが停止し、DoS となる。

　CVE: CAN-2001-0663

　英語版 patch は出ていた……のだが、Windows 2000 用 patch でトラブルが発生している模様。 from NTBUGTRAQ: [1], [2], [3] (russ 氏によるまとめ)。 NT 4.0 での問題発生報告は存在しない模様。 たいていは boot はできアンインストールすることで切りぬけられているそうだが、 boot 時にブルーサンダーになるのでどうしようもない事例もいくつかあるそうだ。 で、今現在は The patch has been temporarily removed になっている。 えらいこっちゃ。

　こういうのがあるので、「patch の自動インストール」は恐いんだよね。 で、「事前テスト」が必要になるんだけど、やってる最中にワームが襲ってくる、と……。

2001.10.22 追記:

　日本語版: 無効な RDP データが Terminal Service を異常終了させる (MS01-052) 。 まだ patch 出てません。 英語版については、NT 4.0 TSE 用 patch については問題なしとして再掲載されています。

2001.10.25 追記:

　日本語版 Windows 2000 patch 登場。 英語版 Windows 2000 patch も再登場しています。

2001.11.09 追記:

　日本語版 NT 4.0 TSE patch 登場。

2004.05.12 追記:

　NT 4.0 TSE 用 patch が更新された。以前の版では、攻撃を防げない場合があるという。

　cross-site scripting 問題に的を絞っている分、 ITコマースの脆弱な現実と危機回避に向けた展望 には記述されていない情報が含まれています。

　cross-site scripting 問題については、IISクロスサイト・スクリプティング問題 (Windows 2000 World 2000年11月号 月刊セキュリティレポート No.10) や セキュアWebプログラミング ASP（Active Server Pages）編　Part 1 も参照してみてください。 連載復活で Mr. X とのダブルヘッダー希望、と書いてみるテスト。

2001.10.22 追記:

　関連記事: ほとんどのECサイトにセキュリティ上の問題，産業技術総合研究所が調査 (日経 IT Pro)

2001.10.25 追記:

　関連: Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 - ユーザーのセッションが奪われる可能性 - (IPA)

　2001.10.18 の from memo ML に追記した。 [memo:1574] ある種のPOPサーバとMac版Eudra及びARENAの挙動 の件、ARENA は次バージョンで仕様変更予定だそうだ。

　「データベース自体を参照できるので問題ないよ」ってなるのがオチのような気が。こんなおいしい話、見逃すわけがない。

　By default php stores variables passed from the URL in a global context という仕様自体も豪快すぎるような気がするんだけど……。PHP ってそういうものなんですか。

　solution section では、ベストは「グローバル変数使わない」だけど、 もしグローバル変数使うなら、 php.ini で set variables_order = "egcps" して、グローバル変数を使う全てファイルで全てのグローバル変数の値を設定しろ、となってますね。

Debian GNU/Linux

• DSA-084-1 gftp: Information Retrieval

• DSA-083-1 procmail: insecure signal handling

• DSA-082-1 xvt: Buffer Overflow

• DSA-081-1 w3m: Buffer Overflow

RedHat

A vulnerability has been found in the ptrace code of the kernel (ptrace is the part that allows program debuggers to run) that could be abused by local users to gain root privileges ですって。

• [RHSA-2001:130-04] New kernel 2.2 packages are available

• [RHSA-2001:129-05] New kernel 2.4 packages are available

HP-UX

• M-006: HP-UX telnetd Security Vulnerability [Hewlett-Packard Company Security Bulletin #0172]

　IIS 4.0 のころから問題になってたと思いますけど……。

• [memo:1640] Re: サイト証明書受付時のブラウザの説明 (was Re: SSL 使用サイトが自己発行ルート証明書のインストールをユーザに強要)

  IE 5.0, 5.5 での誤訳 [memo:938] が IE 6 でも直っていないという指摘。 重要なダイアログなのに……。

• [memo:1574] ある種のPOPサーバとMac版Eudra及びARENAの挙動

  Eudora 5.0.1r-J for Mac と ARENA Internet Mailer Version 2.1 Carbon は、 APOP 非対応なサーバに「APOP で接続する」と設定して実行すると、 APOP から POP に勝手に切りかえて接続してしまう場合がある。 おまけに、その旨を一切表示しない。 具体的には、mail.mac.com (Netscape Messaging Server 4.15) や mail.ooo.ooo.jp (qpopper 3.1.2) ではこの自動切りかえが機能してしまう。 結果としてユーザは、POP によるよわよわな認証が行われるにもかかわらず、 APOP による安全性の高い認証が行われていると信じ込んでしまう。

  最っ低。

• [memo:1591] Mac OS X v10.0.x J2SE v1.3 クリップボード盗聴のセキュリティホール

  MacOS X 10.0.x の JavaVM には、Java アプレットからクリップボードにアクセスできてしまうというセキュリティホールがあるのだが、 10.1 として fix されただけで、10.0.x 用の fix がされていないという指摘。 対応としては、10.1 にするか、10.0.x では Java を off にする。

  詳細: [JavaHouse-Brewers:45960] Mac OS X v10.0.x J2SE v1.3 クリップボード盗聴のセキュリティホール。 時間経過がたいへん興味深い。

2001.10.19 追記:

　[memo:1574] ある種のPOPサーバとMac版Eudra及びARENAの挙動 の件、ARENA は次バージョンで仕様変更予定だそうだ。 (info from リンクとか備忘録とか日記とか 2001.10.18)

2001.10.24 追記:

　Java クリップボード問題関連:

• Sun Microsystems, Inc. Security Bulletin 00208: Swing (Sun)

  要注目:

  Netscape 6 is vulnerable if the JRE 1.3.0_02 or 1.3.0_01 is used. The default Java runtime environments of Netscape Navigator(TM) and Microsoft Internet Explorer are not vulnerable.

  手元でインストールしてある Netscape 6.1 for Windows も見事に 1.3.0_01 でした。おおあたり。 SDK / JRE 1.3.0 / 1.2.2 系列の各プラットホーム最新版で fix されているようなので、これに入れかえる。

• HPSBUX0110-174: Sec. Vulnerability in JRE (HP)

2001.11.01 追記:

　Netscape 6.2 for Windows を Windows 2000 にインストールしてみたところ、java -version の出力は こうなった:

java version "1.3.1"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.3.1-b24)
Java HotSpot(TM) Client VM (build 1.3.1-b24, mixed mode)

RedHat

• [RHSA-2001:114-04] Updated openssh packages available

• [RHSA-2001:132-03] New util-linux packages available to fix /bin/login pam problem

  Vulnerability Note VU#726979 PAM (pluggable authentication modules) does not adequately authenticate user thereby granting remote user privileges of last SSH user の件だと思います。 [memo:1625] も参照してください。

Debian

• DSA-080-1 ht://Dig: unauthorized gathering of data

　隠せばすべてが解決するわけではないし、「なかったこと」にされる恐れもある。 MS に事前に情報提供しているにもかかわらず MS 自身が「こんなのセキュリティ問題じゃない」という態度を取った事例だってあるわけで (remember concon)。

　仮にこれが正論だとしても、port 80 に大穴を開けつづけた本人がこういうことを言ってはいかんと思うのですよね。実際に被害を受けた人はこれではたまらんでしょう。 Code Red や Nimda は要するに、これまでの悪業 (default = security 感覚の欠如) のツケなわけで。IIS 6 ではようやく前向きな改正が行われるようですが、 この感覚欠如は OS のあちこちにまだはびこっているような気もして。 まさかとは思いますが、Windows XP でもまだ C:\ が everyone: full control だなんてことは、ないんですよね? (さすがにそれはないそうです: 高橋さん情報ありがとうございます)

　ちなみに、Bruce Schneier 氏は 暗号の秘密とウソ: ネットワーク社会のデジタルセキュリティ で「一般に、わたしは完全開示運動を支持しているし、それはセキュリティを下げるより高める効果のほうがずっと大きかったと考えている。……(中略)……ただしこの規則には例外もある。……(中略)……弱点を利用したツールを配布するのはやりすぎだと思っている」(p.480〜481) と書いています。 しかし、さまざまな企業のさまざまな応対のようすを (open/close いろいろな機会に) 聞いていると、そういうものを出すしかない場面というのはやっぱりあるのかなとも思ったり。 現実問題として、企業が開示する情報だけではあいまいすぎて対応のしようがなく、 問題発見者による参照コードを得てようやく状況を理解できたなんてことはザラにあるわけで。 私には、一概に「やりすぎ」とはとてもじゃないが言えません。

　MS さんの文書: It's Time to End Information Anarchy。

　cookie に関する解説。さきほどはじめて試してみましたが、確かに、 IE 6 の cookie 処理まわりは長足の進歩を遂げています。 「いままであきらめていた cookie のアクセス制限もホラ! このとおり」(背景: うわぁ〜)。 ついでに mozilla の cookie も調べてみたら、見事に .ne.jp なんてのがあった。 困ったもんだ。

2001.10.22 追記:

　高木さんが memo ML でフォローされてました: [memo:1711]

　URLScan では、? 以降の文字列は DenyUrlSequences に含まれていても拒否しないというテスト結果。 Q307608: INFO: Availability of URLScan Security Tool を読むと、確かに ? 以降は「path」とはみなされないように見える。 確かに URI は <scheme>://<authority><path>?<query> だから path じゃないのだけど、しかしふつう query まで含んで URI だぞ。

　2001.10.12 の 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう (MS01-051) に追記した。 patch が出た……がしかし、完全に直っていないらしい。

　MacOS X 10.1 において、5 ステップで root を得る方法。 「どなたでも行える簡単な作業です」。私にもできました。 NetInfo Manager の他に、Disk Utility でも同様だそうだ。 いやはや……。

　関連: 2001.10.18 番外編　Mac OS X setuid root security hole (リンクとか備忘録とか日記とか)。 回避方法のひとつとして挙げられている、 “復帰の際にパスワード認証を求める” + “ホットコーナー”を有効にしたスクリーンセーバー、をさっそく設定してみましたが、なかなかいいです。 xlock みたいなのないのかなーと思ってたのですよね。

2001.10.22 追記:

　MacOS X 10.1 のソフトウェア・アップデートで出てくる Security Update 10-19-01 によって修正されるそうです [memo:1704]。 ただし suid root はそのままなので、潜在的な問題はまだまだあるかも。 気になる人は chmod u-s して、root な terminal から起動するようにすればいいだろう。

　関連:

　総務省は、「０３年度までには大半の行政への届け出が家庭やオフィスのパソコンから２４時間いつでもネットを通じてできるようになる」ようにするそうだ。 具体的には、「国、地方自治体はインターネット上に総合窓口となるホームページを設け、ここから全中央省庁、都道府県、市町村への手続きを可能にする」そうで、 「０３年度までには全申請・届け出項目の９５％、約１万５０００項目でネット手続きの対応ができるようになるという」。

　つまり、全世界から、誰でもアクセスできる、とんでもなくいろんなことができる web page というやつが 2003 年までには全国に整備されるのだ。 「役所の端末」からいろんなことを 1 stop でできるようにする、のではない。 「全世界」からできるようにする、というのだ。 もしこれに穴があったら…… crack されたら……。 考えただけで背筋が寒くなるのだが、総務省は全く聞く耳もたないらしい。

　総務省は、本当はサイバーテロを大歓迎しているんだろうな。

　SecurityFocus.com Newsletter 第 113 号日本語版 (テキスト, 英語版)。

　トレンドマイクロの OfficeScan / ウイルスバスター Corporate Edition Ver.3.53 に弱点。仮想ディレクトリ /officescan/hotdownload に外部から認証なしでアクセスできるため、 攻撃者は /officescan/hotdownload/ofcscan.ini を取得できる。 ここにはパスワードが「暗号化」されて保存されているが、この「暗号」は容易に解読できてしまうため、攻撃者はパスワードを入手できてしまう。 パスワードがあれば、攻撃者は管理者権限でやりたい放題できてしまう。

　ウイルスバスターについては solution 3182 タイトル: 仮想ディレクトリの設定により任意のファイルが読み出せる でオフィシャル解説と fix が公開されている。

　これまでのトレンドマイクロものの対応表をつくってみました:

　Office XP, IE 5.0 以降、Windows XP および最新の Microsoft プロダクトに含まれる、crash 時にデバッグ情報を Microsoft に送信する機構 ("Microsoft's Error Reporting") に危険性。 デバッグ情報にはメモリダンプが含まれるため、編集・閲覧していた文書情報を意図せずに Microsoft に送ってしまう可能性がある。 CIAC が行った簡単なテストでは、3 回のうち 1 回文書情報が含まれていたという。 機密情報・プライベート情報を扱っていたりするときに Error Reporting すると……。 Sircam もびっくり。

　対応としては、レジストリを設定したり、アプリケーションの追加と削除で該当機能を削除したりコントロールパネルを設定したりする。対応詳細は M-005 にあるので参照。

　実際、多いのでしょうね……。

　これからは Critical, Moderate, Low でランクづけするそうです。 目安にはなるのでしょう。 それにたよらず自分で判断する必要があるのはこれまでと同じではあるのですが。

　「情報漏曳」という観点がいちばんイヤゲなような気がするんですけど、どうなんでしょう。いまどきの IM ものって、client 間で直接メッセージが渡されるのか、それとも server 経由なのか? ……というわけで memo ML に投げてみたところ、以下の情報を得ました (ありがとうございます > all):

• ICQ は原則 client 間直接だが、さまざまな理由により直接通信ができない場合は server 経由 [memo:1609]

• MSN Messnger Service や Yahoo! メッセンジャーは server 経由。 ただし、MSN Messnger のファイル転送については直接通信らしい [memo:1614] [memo:1615]。 Yahoo! メッセンジャーにはファイル転送機能がない [memo:1616]。

• IP Messenger は client 間直接。 ファイル送受信機能はない。 [memo:1612] [memo:1626]

• server での情報取得の他に、 client 側での log file を何らかの方法で取得されるという事例が [memo:1618]。

　それが「防衛上特に秘匿することが必要」か否かなんて JSDF の当事者にしかわからないのに、政治家・国家公務員・防衛関連企業従事者はおろか「報道記者」まで入っているのは明らかにやりすぎのような。 日本の「防秘」には、外国 (ex. US) では open な情報が含まれていたりすることもあるしなあ。

　こういう法案を平気で出せるってのがなあ > 政府/自民党。 日曜日のサンデープロジェクトで話題にしてましたが、 「防衛上特に秘匿することが必要」か否かを判断できるのは誰なのか、 ここに挙げられている人間全員がそれを判断できるとした上での法案なのか、 という観点での議論はなかったような。 いや実際、前職で「これは秘だ」と言われたことがあるんですが、「秘だ」としか言われてないので、それは「防衛上特に秘匿することが必要」なのか否かは私にはわかんないんですよね。 何をどこまで秘匿しなければいけないのかよくわかんない職場でしたし。 「防衛上特に秘匿することが必要」なのは「極秘」レベルなのかなあ。 でもあの資料自身には「秘」とも「極秘」ともされていなかったような気がするし。 そういう意味で私にとっては身近な話題だったりするのですが、うーむ。謎。

　自衛隊法の一部を改正する法律 (jda.go.jp) に情報あります。

• Afghanistan - Militia Facilities ([aml 24415])。 Afghanistan Military Guide 以下いろいろあります。

• テロ対策の名の下の情報秘密化・威圧的な原発警備に反対する声明 (原子力資料情報室)、 どさくさまぎれに何でも隠したいようです。 隠せば問題点が解決されるならともかく、そうではないわけで。

• [aml 24403] バンカーバスターと核爆弾、興味深いです。

• 対テロ法案が電子メールの傍受を大幅緩和，大丈夫なのか表現の自由とITの未来 (日経 IT Pro)、 このおかげで暗号関連ツールの売上が大幅増になったりしたらそれこそ皮肉なのですが、世の中というのはそういうものなのかも。 それにしてもひどい法律だよなあ。 ほとぼりが醒めたころに違憲判決が出るのかなあ。

• 炭そ菌： 街全体が閑散　抗生物質を求める市民も　ＮＹ市 (毎日)、 航空機テロにひきつづき、 シャレにならない状況になっているみたい……。

• ナイジェリア： 反米デモが宗教衝突に　２００人以上が死亡？ (毎日)、 イスラム原理主義としては、 宗教対立という、U.S. から見ると「絶対なってはいけない状況」にさせてしまいたいのだろうなあ。 そうさせないためにも、過激な行動は (政府側こそ!) つつしまなくてはならないはずなんだが。 現実には U.S. 自体がテロ組織化しているようにしか見えないし。

  もしかしてブッシュってレーガンみたいに終末戦争バンザイ系の人だったりするんだろうか。 とりあえず兵器産業は 落ち目の IT 産業をシリ目に笑いが止まらない状況なんだろうなあ。

• パキスタン国防省情報部前長官がテロ関与とインド紙報道 (asahi.com)、いやはや……。

• アフガン攻撃： 住宅街誤爆は入力ミス　米国防総省高官が明示 (毎日)、 「世界貿易センタービル: ビル誤爆は入力ミス アルカイダが表明」 とか言われたら、U.S. はそーですかと受けいれられるってコトなのか? アルカイダが「遺憾の意を表明」すれば許されるのか?

  アルカイダがやったかどうかすら、今のところ明白ではないんだけどね。

• 星条旗 (from [aml 24408])、キツい画像だが、一面の真実だよなあ。

　無線 LAN 経由で外に出ていく際に、OpenSSH (with Heartbeat/Watchdog patch) + Simple Authenticating Gateway for Linux なゲートウェイサーバで認証をかける、という話。 Heartbeat (または Keepalive Null Packet) をサポートした Secure Shell クライアントとしては、以下があるそうです:

• PuTTY の最新スナップショット。 PuTTY Download Page から入手できるようです。

• OpenSSH + patch

• ssh.com SSH1 + patch

• Java ssh クライアント MindTerm (今 http://www.mindbright.se/mindterm/ につながらない? …… http://www.appgate.com/products/mindterm/ になったそうです。 おださん情報ありがとうございます)

　情報処理教育研究集会の資料も数日中に公開されるそうです。 後藤さん情報ありがとうございます。

FreeBSD

• FreeBSD Ports Security Advisory FreeBSD-SA-01:61.squid

  acceleration-only mode (http_accel_host が set され, http_accel_with_proxy が off) のとき、ACL が無視されてしまう。 squid DoS とは違う件。 おまけに、squid DoS の件はまだ対応されていない模様。 send-pr したほうがいいのかなあ。

• FreeBSD Security Advisory FreeBSD-SA-01:62.uucp

  2001.09.12 の Multiple vendor 'Taylor UUCP' problems. の件。 uucp 関連は、削除するか schg つけましょうというお話になっているようだ。

RedHat

• [RHSA-2001:115-05] New Zope packages are available

　シマンテックの AntiVirus プロダクトで利用されている LiveUpdate に弱点。 LiveUpdate 1.4 (NAV 5.x に同梱) の場合、ftp サーバ update.symantec.com に接続して zip ファイル /opt/content/onramp/livetri.zip を取得し、この中の LIVEUPDT.TRI ファイルに基いてアップデートを行う。 このため、何らかの手法 (たとえば VU#109475) で DNS をダマして update.symantec.com の偽サーバを実現できさえすれば、 やりたい放題ができてしまう。

　LiveUpdate 1.6 では、LiveUpdate 1.4 とは違い、汎用の zip ファイルではなく symantec 独自形式で、かつ各ファイルの digital signature が記録されているため、 1.4 のように話は簡単ではない。 しかし、 get しきれないくらい巨大なファイルを偽サーバに用意することで DoS 攻撃が可能と指摘している。 また、LIVEUPDT.TRI 自体については digital signature によるチェックが行われていないという。

　気になる 1.4 ユーザは LiveUpdate を 1.6 に update しよう。 最新の LiveUpdate は LiveUpdate updates, patches, and manuals ページから入手できる。 試しに手元の Norton AntiVirus Corporate Edition 7.51 (J) の LiveUpdate (1.5.3.11) を LiveUpdate updates, patches, and manuals にある 1.6.3.12 に変更してみたが、正常にデータファイルを取得できているようだ。

• 指摘者の文書: Phenoelit Advisory <wir-haben-auch-mal-was-gefunden #0815>

• シマンテックのオフィシャルリリース: 5 October, 2001: Symantec LiveUpdate 1.4 through 1.6 vulnerability

  All current releases of Symantec products ship with LiveUpdate 1.6 と書いてあるが、Norton AntiVirus Corporate Edition 7.51 (J) には 1.5.3.11 がついてきているぞ。どうなっとんじゃ。

• securityfocus vuln. database: bugid 3403: Symantec Norton Antivirus LiveUpdate Host Verification Vulnerability 、 bugid 3413: Symantec Norton Antivirus LiveUpdate DoS Vulnerability

2001.11.27 追記:

　日本語版の LiveUpdate 1.63.12 が配布されています。 詳細は LiveUpdate 1.4〜1.6の脆弱性に対する対策 から。 2001.10.25 には出ていたみたいですね。

　2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050) に追記した。 patch インストール情報、EditFlags が変化してしまうという話など。

　MSIE 5.0/5.5/6 に 3 つの弱点。

　日本語 patch はまだない。

2001.10.18 追記:

　IE 5.01 SP2, 5.5 SP2, 6 用の日本語版 patch が出た。 がしかし、この patch を適用してもあいかわらずイントラネットゾーンになってしまう場合があるという報告がされている。IE 5.01 SP2, 5.5 SP2 で確認されている [port139:00720], [port139:00722]。 さらに別パターン: [port139:00738], [port139:00740]。 手元の IE 5.5 SP2 でも確認できた。まずいねえ。

　さらに、IE 5.01 SP2 用の patch では、cookie 関連のメッセージが英語になっ てしまうという不具合が報告されている ([memo:1653] [memo:1657] など)。 IE 5.5 SP2, IE 6.0 用ではそのような現象は発生しないようだ。

　関連記事: IE 5.01/5.5 に再び深刻なセキュリティ・ホール，パッチ公開までは使用禁止に (日経 IT Pro)

2001.10.24 追記:

　関連記事: パッチを適用しても解決しない，IE の「ドットなしIPアドレス」問題に注意 (日経 IT Pro)。

2001.11.15 追記:

　MS01-055: Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される の patch に、上記の「解決しない」ものへの fix が含まれた。

　2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050) に追記した。 Excel / PowerPoint 2000 / 2002 (XP) 用の日本語対応 patch は存在した。 田尾さん情報ありがとうございます。

　2001.10.09 の 日本ボルチモア テクノロジーズ連続改竄事件の事後対応の問題点(2001.10.9) に追記した。 baltimore.co.jp、いよいよヤバそうです。

　ウィルスバスター、Windows NT 4.0 / 2000 + 検索エンジン5.550 (Windows 版だけ最新が 5.550 になったようです) の場合にリアルタイム検索が自動起動しない問題への対応 patch 登場。 しかし、情報提供者の馬塲さん (ありがとうございます) も指摘されているが、最新のソリューション-全製品 での「公開日付」が変化していないため、 情報が更新されたかどうかの確認ができないのはツラい。 公開日付の他に、更新日付も掲載できないものか。

　検索エンジン 5.5 方面では、 検索エンジン ver.5.500に関するＱ＆Ａ も出ている。

　2001.10.10 の Cisco CDP attacks に追記した。 Vulnerability Note VU#139491: Cisco IOS vulnerable to denial of service via Cisco Discovery Protocol (CERT/CC)。

　1 人に 1 枚 (いや 2 枚か?)、Office の CD、のコピーですよねえ、多分。 これが Microsoft の望んだ結果なのだろうか。

　ふと見ると、Downloads for Office 2002/XP のページには Office XP Activation Update: October 4, 2001 なんてのがありますね。 Languages Supported には Japanese も含まれている。 MSKK のページ にはまだないみたいだけど。

　なんでいまごろ、という気もしますが、 Code Red Re-Release? という話もあるようですし。

　NSA の Security Recommendation Guides のうち、Cisco Router Guides が更新されているそうです。こがさん情報ありがとうございます。 話題になった Windows 2000 Guides も更新されているようですね。

　http://nsa2.www.conxion.com/ にも同じものがあるようです。

　CISCO IOS が、CISCO 独自プロトコル Cisco Discovery Protocol (CDP) を使う場合に DoS 攻撃を受ける弱点。 CDP neighbor announcements を垂れ流す (flood) と、 IOS はこの情報を格納するためメモリを使い切ってしまい、 routing 情報の更新や telnet による接続などができなくなってしまう。 結果として、ルータは停止したりリブートしたりするという。 問題が発生する機器および IOS バージョン情報が記載されているので参照されたい。 CISCO のひとからも情報が投稿されている。

　CDP は layer 2 プロトコルなので、この弱点を利用した攻撃は broadcast domain からしかできないのだそうだ。 そうは言っても操作可能な木馬が 1 個あれば十分だろうから、 そういうことまで考えると世の中キビシイ。

　関連: Cisco CDP DoS Vulnerability (incidents.org)。

　最初に CISCO に連絡したのは 04/25/2001 だそうだ。 fix には半年かかるんですね。

2001.10.11 追記:

　Vulnerability Note VU#139491: Cisco IOS vulnerable to denial of service via Cisco Discovery Protocol (CERT/CC)。

　けっこうな分量です。 ところで、たとえば tcp_wrapper のトコに CONSIDER running with the RFC931 (ident) option とか書いてあるけど、ident してうれしいことって何だろう? 「faked id を見て遊ぶ」くらいしか思いつかないのだけど。 ENSURE that you are using the latest version of Majordomo って言われても虚しいものを感じたり。

　snort 1.8.1 + PostgeSQL 7.1 + ACID な環境の構築事例。

　2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service に追記した。 CERT Advisory, JPCERT/CC Alert 追記。

　ほぼ同じ内容の記事: 大手セキュリティ・ベンダ 日本ボルチモア テクノロジーズ連続改竄(2001.10.8)。baltimore.co.jp 自身のプレスリリース: 2001年10月9日 弊社　お客様/パートナー企業様ならびに関係者各位 不正アクセスについて。 いやあ、top page には何もないのかと思ってたら、「2001年10月9日 弊社　お客様/パートナー企業様ならびに関係者各位」 とだけ書いてある。 気がつかないよこれじゃ。 まあ、JavaScript を on していないと http://www.baltimore.co.jp/ から top page にたどりつくことさえできないような site ですし、 電話をすれば自動応答のようですし、 PKI の I (インフラストラクチャ) ってのはしょせんこんなもんなのでしょうか。 よかったね > 国土交通省。

　……なんか、今、プレスリリース見れなくなっているようです。 パスを曝け出しながら ([memo:1578], [memo:1580])。 「必要でなさそうな cookie を食わそうとしてくる」そうですし ([memo:1577], [memo:1579])。 baltimore.co.jp は一体どうなっちゃってるんでしょう。

　ところで、今回の事件と IIS を Nimda、Code Red などの脅威から自動防御する SecureIIS 配布再開 って、何がどう関連しているんですか? > NetSecurity.ne.jp。

2001.10.11 追記:

　baltimore.co.jp、いよいよヤバそうです。

• BASP21_Function.INC がまる見え。 [memo:1588]

• スクリプト作成者のスキルは……。 [memo:1589] [memo:1590]

• SQL query そのまま行けそう。 [memo:1593] [memo:1594]

　おそろしいことです。 baltimore.co.jp は一体どうなっちゃってるんでしょう。 PKI をやっている会社なんですが。

　2001.10.04 の MacOS X 関連 に追記した。 Apple KB 106503: Mac OS X 10.1: Internet Explorer Executes Downloaded Software Automaticall。

　2001.10.05 の 不正な Excel または PowerPoint の文書がマクロのセキュリティを無視する (MS01-050) に追記した。 CIAC, CERT/CC からの情報を追記。Excel/PowerPoint 97 にも同様の問題がある。

　"CODE インターネットの合法・違法・プライバシー" の著者、 ローレンス・レッシグ氏のキーノート・スピーチあります。 パネルにも参加されるようです。2001年10月19日（金）三田共用会議所 (東京都港区)。 無料。 くぅぅぅぅぅっ……東京人はいいなあ。

　ToorCon 2001 でのプレゼン資料だそうです。 options RESTRICT_RST がなくなって net.inet.tcp.blackhole / net.inet.udp.blackhole になったこととか、 FreeBSD 4.4-RELEASE な内容をカバーしているので、 upgrade の前に読んでおくことを推奨します。 個人的にひっかかったのは、OpenSSL のバージョンが上がっているため、 ports/openssh-portable が OpenSSL バージョンチェックで起動しなかったこと。 まあ、どうせ ports-current の ports/openssh-portable (現在 2.9.9p2 ベース) をつくって入れるんだからいいんだけど。 何度も書いていますが、tripwire は FreeBSD Tripwire-2.3.1 port, in shar format をベースにされることを強く推奨します。

　Excel 2000/2002 for Windows, 98/2001 for Mac および PowerPoint 2000/2002 for Windows, 98/2001 for Mac に弱点。 Excel / PowerPoint のマクロ警告機能をバイバスする方法が存在する。 まあ、警告されたところで「マクロがある」ことしかわからないんだけど。 危険なマクロなのか否かは、結局のところ anti-virus ものなどで検査しないとダメなのだ。

　日本語 patch はまだない。

　CVE: CAN-2001-0718

2001.10.09 追記:

　CIAC, CERT/CC からの情報:

• M-004: Excel and PowerPoint Macro Vulnerability (CIAC)

• CERT Advisory CA-2001-28 Automatic Execution of Macros (CERT/CC)

  邦訳版: CERT Advisory CA-2001-28 (Excel, Powerpointでの)マクロの自動実行 (reasoning.org)、 CERT Advisory CA-2001-28 Automatic Execution of Macros (ラック)。

  Excel/PowerPoint 97, Excel/PowerPoint 98 for Mac にも同様の弱点があるという記述に注目されたい。 CERT Advisory では 「ということだけはMS01-050でも記載されている」 となっているが、 日本語版 MS01-050 だとそれは FAQ の方にあったりする。 私の元の記述が「Excel 98/2000/2002 for Windows, 2001 for Mac」 のようだったので、 「Excel 2000/2002 for Windows, 98/2001 for Mac」 のように修正した。

  発見者の文書: 4 October, 2001: Malformed Microsoft Excel or PowerPoint documents bypass Microsoft macro security features (シマンテック)

2001.10.11 追記:

　Excel / PowerPoint 2000 / 2002 (XP) 用の日本語対応 patch は存在した: Excel 2002, PowerPoint 2002, Excel 2000, PowerPoint 2000。 いづれも英語ページだが、Languages Supported には Japanese が含まれている。 多分だいじょうぶだろうと思うが、 試したい人は at your own risk で。 心配な人は MSKK からのアナウンスを待とう。

　田尾さん情報ありがとうございます。

2001.10.12 追記:

　上記 patch は正常にインストールできるものの、 やはり EditFlags が書きかえられてしまうと報告されている [memo:1602]。 気に入らない人は、Confirm.exe や fxrgconf.exe で修復 :-) しよう。 1999.08.02 の Alert : MS Office 97 Vulnerability も参照。

　Vulnerability Note VU#287067 Microsoft PowerPoint and Excel fail to properly detect macros thereby automatically executing malicious code via crafted document (MS01-050) (CERT/CC)。

2001.10.19 追記:

　MacOS 版も含め、全ての日本語対応 patch が正式に登場している。 MS01-050 のページ から入手されたい。Office 2000/2002 (XP) patch については、既報のものと同一のようだ (info from [memo:1691])。

　rpc.yppasswd に buffer overflow する弱点があって、 remote から root とられるという話。 Solaris 2.6/7/8 用 patch があるので適用する。 なお、Solaris 2.5/2.5.1 にはこの弱点はない。

2001.10.24 追記:

　関連: M-008: Sun rpc.yppasswdd Security Vulnerability [Sun Microsystems Security Bulletin #00209] (CIAC)。

　つまり、駆除ツールでは駆除しきらんということか。

　やっぱりいまどきは SubSeven ですか。

　ports/ftp/wu-ftpd/files/patch-aa に加えられた OPIE まわりの fix は exploit 可能なものだったのか? という話題提供 (無視されてるっぽい)。 この fix をあてないと、signal 11 で落ちることがあるらしい。 手元の OPIE な wu-ftpd はこの patch を適用したモノに入れかえた。

　FreeBSD において、kernel configuration file で options NO_KLD を定義した場合には kldload(2) と kldunload(2) を無効とする patch。

　Cisco Secure PIX Firewall 4.0 以降の AAA 認証機構に DoS 攻撃を受ける弱点。 AAA 認証を使用していない場合は問題はない。 6.0(1) 以降ではこの問題は fix されている。

　とあるインスタントメッセージを AOL Instant Messenger/Win32 4.7.2480 以前に送ると、クラッシュしてしまう。 攻撃ツールも発表されている。

　Microsoft Aligns Company Resources to Ensure Secure Customer Networks (日本語参考訳) を受け、日本で Strategic Technology Protection Program の日本語版をスタートする、というプレスリリース。 Windows Update にセキュリティ fix が組みこまれる他、 Microsoft Security Tool Kit 日本語版も近日中に登場するようだ。 IIS 6.0 で buffer overflow 対策を組みこむというのは、やはり BUGSLAYER: Optimize and Trim Your Code with New Switches in Visual C++ .NET な話なんだろうな。 中山さん情報ありがとうございます。

　関連記事: 米MSがウイルス/ワーム対応の新サービス・プログラム，Windows 2000にはSP3 (日経 IT Pro), 「MS製品は危険」の懸念を払拭しようとするMicrosoft (ZDNet)、 威信回復にのりだすMS(上) (CNET)。 ZDNet 版から:

GartnerのPescatore氏は，Microsoftのアプローチをバンジージャンプにたとえている。「Microsoftはユーザーの（バンジージャンプの際に付ける）ゴムバンドを少し短くしようとしている。Microsoftのこれまでのアプローチは，顧客に長いゴムバンドを渡してバンジージャンプさせて，“うわあ，すごい水しぶきだ。ゴムバンドを短くする方法を教えてあげられたのに”と言うようなものだった」

　うまいなあ。ざぶとん 3 枚! しかしうーん、よくよく見ると翻訳版はどちらもちょっとアレゲ。 原文: ZDNet, CNET。 ZDNet 版の原文から:

Pescatore likened Microsoft's approach to running a bungee-jumping concession. "You probably ought to make the rubber band a little short," he said. "What Microsoft has always done in the past is give a really big rubber band and say, 'Oops, we heard a splat. Here's how you can shorten the rubber band.'"

　これまでの Microsoft 的には 「あ〜らら、スゲー音。ここに短くする方法をちゃんと用意してあるのに……」 だと思う。そういうものは、やっぱり msn.co.jp のトップページに置いてほしいよね。 そういえば Windows XP スペシャルサイト、 デーモン閣下のところは「近日 OPEN!」になってますね。

　2001.10.03 の ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service に追記した。 CERT/CC Vulnerability Note VU#595507: Multiple implementations of CDE ToolTalk RPC Server rpc.ttdbserverd contain format string vulnerability 。

• Mac OS X v10.1のiDiskに重大なセキュリティ問題あり!? (MacWIRE)

  OpenDoor Network 自身の公開文書: Important Mac OS X 10.1 Security Alert。 MacOS X 10.1 の iDisk (WebDAV クライアント) において、 digest 認証が使われるべきなのに、 平文でやってしまっていたりするということだろうか。

• Internet Explorer for MacOSに巨大なセキュリティーホール (slashdot.jp)

  試されたい方は、たとえば Macintouch Recent News Archive の元記事に出ていた danger.hqx をどうぞ。 対応としては、Explorer → 環境設定 → ダウンロード オプション → 自動的に BinHex ファイルをデコードする、のチェックをはずす。 MacBinary の方は問題がないらしいが、気になる人は両方外そう。

  関連: Mac OS X v10.1のIE 5.1に，ウィルス侵蝕の脅威が！ (MacWIRE)。 図入りでわかりやすい。

2001.10.09 追記:

　Apple KB 106503: Mac OS X 10.1: Internet Explorer Executes Downloaded Software Automaticall

2001.10.22 追記:

　Internet Explorer for MacOS の問題は、MacOS X 10.1 の ソフトウェア・アップデートで出てくる "Internet Explorer 5.1 Security Update" によって修正されるそうです [memo:1704]。 手元でも試してみましたが、MacOS X 10.1 のソフトウェア・アップデートは proxy server 経由でもちゃんとまともに動くようです。

　上記 KB はまだ変更されてませんね。

2001.10.24 追記:

　MS から Security Bulletin: MS01-053: Downloaded Applications Can Execute on Mac IE 5.1 for OS X 。

TurboLinux

• squid: 不正なコマンドによるサービス停止

  squid DoS の件です。横井さん情報ありがとうございます。

HP-UX

いずれについても patch あるいは緊急対応プログラムがあるので、それをインストールすればよい。

• Sec. Vulnerability in OpenView Network Node Manager, rpcbind, rpc.ttbdserver (HP)

  OpenView Network Node Manager に含まれるユーティリティ (って何?) を利用すると認可されていない権限を得られる。 ある形式の PRC portmap リクエストを受けると rpcbind が core dump してしまう。 rpc.ttdbserver に buffer overflow する弱点があり、 remote から攻略可能である (ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service 参照)。

  OpenView Network Node Manager については、Solaris 用のものにも弱点がある。

• Sec. Vulnerability in cu(1) (HP)

  cu が buffer overflow してしまう。

RedHat Linux

• [RHSA-2001:110-05] Insecure setserial initscript (BUGTRAQ)

AIX

• Vulnerability 3358, "IBM HACMP Port Scan Denial of Service Vulnerability" (BUGTRAQ)

  IBM HACMP Port Scan Denial of Service Vulnerability の fix が出た、という話。

　2001.10.01 の [memo:1426] IE 6の「ファイルのダウンロード」ダイアログはデフォルトが「開く」 に追記した。 この状況の制御方法と、セキュリティ修正パッチを適用すると状況が悪化してしまう事例を追記。ひどすぎ。

　励行しましょう。

　これはどう理解すればいい図なんだろう。 LAC が管理している機械全体に対する攻撃傾向だろうか。 それとも、どこか特定の場所に置いてある機械で捉えた攻撃傾向だろうか。 興味深いのだけど、説明が何もないのは惜しい。

　かわぐちさん情報ありがとうございます。

　NAI VirusScan で最新のスキャンエンジン 4.1.50 を利用すると、Netscape Messenger 利用時に不具合が発生するという話。 ウィルスの削除ボタンを押してしまうと、ウィルスつきメールだけでなく、他のフォルダを含めたメール全体が消滅してしまうのだそうだ。 回避方法が記述されているが、回避できなかった場合のリスクはあまりに大きい。

　ウィルスはどっちだ……。小原さん情報ありがとうございます。

　Exchange 2000 Outlook Web Access に弱点。foo\bar\baz\tako\ika\kani\.... のように、たいへん深くネストしたメールフォルダに対するリクエストを繰り返して発行すると、DoS 攻撃となるという。 リクエストに用いるフォルダが実際に存在している必要はないが、 攻撃者はあらかじめ認証されている必要がある。 Outlook Web Access を利用していない場合、 Exchange 5.5 を利用している場合にはこの問題はない。 対応としては、patch があるので適用すればよい。 この patch は MS01-041: 不正な RPC リクエストがサービスを異常終了させる を含む。

　商用 UNIX 系 OS に多く採用されている、ToolTalk の rpc.ttdbserverd に format バグがあり、remote user による DoS 攻撃や任意のコードの実行が可能だという指摘。 HP, Compaq, IBM 方面には patch があるようだが、 SGI, Sun 方面はまだみたい。

2001.10.04 追記:

　CERT/CC Vulnerability Note VU#595507: Multiple implementations of CDE ToolTalk RPC Server rpc.ttdbserverd contain format string vulnerability 。

2001.10.09 追記:

　CERT Advisory CA-2001-27 Format String Vulnerability in CDE ToolTalk (CERT/CC)。 邦訳版: reasoning.org、ラック。

　JPCERT/CC Alert 2001-10-09: CDE ToolTalk に含まれる脆弱性に関する注意喚起 。

2001.10.29 追記:

　関連記事: UNIXのプログラム間通信機能に見つかった深刻なセキュリティ・ホールを解説する (日経 IT Pro)

2001.11.14 追記:

　Sun: #00212: rpc.ttdbserverd (CERT Advisory CA-2001-27)。

　sendmail に 3 つの問題。sendmail 8.12.0 で local user が mail queue を read-write できちゃう問題の他、 RestrictQRun を設定していない場合の問題が 2 点 (デフォルトでは設定されない)。

　CVE: CAN-2001-0713, CAN-2001-0714, CAN-2001-0715。

　fix 版の sendmail 8.12.1 出てます。

　JANOG 8 における発表資料とログ。

　bash のヒストリー機能を拡張して syslog に出力するツール。

　FreeWnn や Wnn6 の古めのサーバ (jserver) に対して、 たとえば "../../../../../../tmp/hoe" という辞書ファイルを作成するリクエストを送ると jserver はすなおにファイルをつくってしまう。 Wnn6 の最新版では fix されているようだ。 FreeWnn にはまだ正式 fix がないが、Debian GNU/Linux の FreeWnn 最新版では独自 fix がされている。 状況を [sec-stadium:00629] にまとめてみた。

　たまってます……。

　SecurityFocus.com Newsletter 第 112 号日本語版 (テキスト, 英語版)。

　セキュリティ・スタジアム 2001 で行われた技術セミナの資料。 30 分しかないのに 29 ページの ppt って多すぎなんだよなあ > 俺。

　IE 6 で hoge.exe などを get しようとするとすると開くダイアログのデフォルトが、「保存」ではなく「開く」(= 直接実行する) になってしまっているという指摘。 [memo:1432] によると、IE 6 正式版で「わざわざ」変更を施したようだ。 MS は何を考えているんだ……。

2001.10.03 追記:

　これらは HKEY_CLASSES_ROOT\exefile キーの EditFlags 値の 3 番目のオクテットで制御されるそうです [memo:1445] J051843。 00 だと [この種類のファイルであれば常に警告する] が有効に (自動的には開かれなく) なります。 01 だと自動的に開かれます。

　さらに、セキュリティ修正パッチがこの値を 01 に書きかえてしまうという事例が [memo:1475] で報告されています。 Microsoft は、よっぽどファイルを自動的に開いてほしいのでしょうか。

　Nimda さわぎの件は 無防備なPC (slashdot.jp) や [sec-stadium:00719] 無防備な PC (slashdot.jp) 以下のスレッドを参照してください。 アンチウィルス屋さんはたいへんだったみたいですね。

　しかし、「802.11b標準を使った無線インターネット接続やホテルの客室からの高速インターネット接続など，LAN技術を利用するインターネット接続サービスでは，同様の危険が伴う」というのは、一体何が言いたいんだろう。 LAN技術を利用しないインターネット接続サービスだって危険性は同じだと思うのだが。 個人で接続するのなら個人で責任を持つのはあたりまえだし。