Last modified: Mon Feb 2 10:34:35 2004 +0900 (JST)
2001(平成13)年度におけるエネルギー需給実績(速報)について (経済産業省)。 原子力って、10 年前の 50% 増しなんですね (核のゴミも 50% 増し)。
おそまきながら、セキュリティな話題 に 『「信頼できるコンピューティング」は信頼できるか?』 の PPT / PDF を載せておきました。RC2 も試してみナイト。
「住基ネットで事務効率化」は6% 長野県調査で疑問浮き彫り (毎日)。
「何が住民データの安全性を脅かすと考えるか」を聞いたところ、「国に提供すること」が最も多く52%。
政府・総務省がいかに信用されていないか、という……。
情報セキュリティ監査制度について 〜「情報セキュリティ監査研究会報告書」のパブリックコメント募集開始〜 (meti.go.jp)。
[aml 31940] 揚陸艦派遣反対声明緊急要請!。 今度は「しもきた」が行くんですか。自衛隊の本当のねらいは何だろう。 「おおすみ」級の海外長期運用のテストでもしたいのかな。
似たような記事ばかりだなあと思ったら、トレンドマイクロのプレス向けセミナーがあったのだそうで。
「“複合型”ウイルスが流行した2002年,2003年にはさらに複雑になる」——研究者が講演 (日経 IT Pro)
Slammarの次に来るウイルスは“どんな奴”? (ZDNet)
「Slammer被害が韓国で大きいのは大手ISPが感染したのが要因」John Hermano氏 (INTERNET Watch)
♪ 01.01: 『CD売り上げ減』のからくり (沙耶16歳さん)。 興味深い。
ブッシュ大統領、テロ対策にデータベース構想 (CNET)。 めざせ情報剥奪局? (未来世紀ブラジルはまだ DVD がないのか……)
MS、Passport修正でEUと合意 (ZDNet)。
ウィルスバスター、検索エンジン Ver 6.550 出てますね。 2002、 2003、 コーポレートエディション 5。 検索エンジン Ver 6.510 での問題が修正されているそうです。
毎日の太田記者による Slammer さわぎのまとめ。 「KT の DNS」というのは、.kr な DNS なのかな。 太田記者は、ルートサーバ 5 台ダウンについては「根も葉もない情報」と断じていますね > F-Secure 。
経済産業省による Slammer ワーム状況まとめ。「多言語情報収集システム」なんてのがあるんですね。ふぅん。
従来から言われてきたことであるが、今般の事案で一層明らかになったことは、情報セキュリティの確保を行うためには、予防の局面と事故対応(インシデント対応)の局面の両方からの重層的な措置が必要であると言うことである。
うんうんそうそう。
(2) 事故対応(インシデント対応)の局面
今回のようなワームによる感染の急激な広まりに際しては、関係組織間での情報連携が重要である。したがって、今後、等が急務であると考える。
- 情報収集・相談窓口の強化 (JPCERT/CC、IPA)
- 定点観測システムの構築 (JPCERT/CC)
- 国際的連携の強化(特に時差の少ないアジア太平洋地域内での情報共有)
おぉ「定点観測システムの構築」。すばらしい。3 番目のも、JPCERT/CC が近年力を入れている分野ですね。わくわく。
経産省がネットを常時監視 (slashdot.jp)。 日経の記事もちょっとナニな気がするが、タレコミ者は輪をかけてナニ。
関連かな?: サイバーテロに備え総合対策——経産省、主要産業別に防御センター。
余震継続中。
Slammer事件で露呈した“パッチ方式”の穴 (ZDNet)
うーん、「patch をあてること」があれなんじゃなくて、「patch をあてるためには停止が伴う」とか「patch をあてるためにはいろいろテストしなくちゃいけないけど、そのためのリソースが確保できない」とか、そういうのの方がネックになっているような気がするのだけど。結果として patch があてられないのは同じだが。
って、人事じゃないんだけど。世の中キビシイ。
SQL Server 2000 および Microsoft Desktop Engine 2000 (MSDE 2000) に関するセキュリティ問題への対応 (日立)
P-242C-5264 JP1/VantagePoint Internet Services 06-71 に脆弱な MSDE 2000 が含まれている。 06-50〜06-51 にはこの問題はない。 patch はまだない。Microsoft 製 patch は適用できない。
ワーム侵入ルートはいくつあったのか (ZDNet)
SQL Server 2000 / MSDE 2000 を黙ってインストールしているソフトはたくさんあると思われ……。さらに Microsoft の標準 patch や標準 SP3 が適用できない事例 (Microsoft 自身を含む!) がある、なんて状況が混乱に拍車をかけていますね。
管理者のジレンマを突いて爆発的に繁殖したSQL Slammer (@IT)
eEye のツールの利用例がある。たなかさん情報ありがとうございます。
813440: W32.Slammer ワームに関するウイルス警告 (Microsoft)
CERT/CC が一部組織に情報を先行リーク?! 組織として意図してやってるのか、特定メンバーが契約に違反してリークしているのか、それとも単なる誤解か。
セキュリティ研究者Mark Litchfield氏は、セキュリティ情報のメーリングリストBugtraqに投稿を寄せ
bugtraq に流れてます? 手元には届いてないし、Neohapsis Archives にもないようなのだけど。 なので VulnDiscuss ML から: Mark Litchfield 氏のメール、 CERT/CC の返信。
Despite being a competitor, I think it only fair to mention that ISS's reasons for not wishing to inform CERT on the Apache Transfer Encoding Chunked Issue have now been clearly justified.
う〜〜む……。こういう言われ方をされちゃうとは。
詳細記事: CERTの「有料会員びいき」に、専門家が縁切り宣言 (ZDNet)。 「組織として意図してやっている」が正解なのね。
シマンテックのサイトで売却申し入れ企業の情報が流出 (WIRED NEWS)。Submit a Deal ですか。意味シンですね。
米海軍、ミサイルの破壊力を強化 (WIRED NEWS)。倍率ドン、さらに倍。20, 20, 4, 8, 18。
なぜか回覧がきたので 食料安全保障と自給率について (maff.go.jp)。 エネルギー自給率はもっと低いしなあ。だから風力や太陽光を……。
NAI のページって、FreeBSD 上の Mozilla でアクセスすると、ところどころ文字化けするんだよなあ。
謎のイベント @Random/1st (話者しか書かれてないプログラム) ですが、業務連絡を Forum に流しているので、読んでやってください。あと、
Registration したのに振込案内メールが来ない
振込したのに会場案内メールが来ない
という方は、至急 info@at-random.org にご連絡ください。 連絡・振込確認できない人が複数いるので…… (T_T)。
関連報道: 韓国でまたネットまひ (サンケイ)。Slammer や Slammer 亜種ではなく、従来型の DoS ものの模様。
SoftwareDesign 2003.02 p.61。なぜわざわざ --nogpg を使う……。
ACLU、米国一般市民に対する監視システムに警鐘 (WIRED NEWS)。
米Extreme Networks,最初の報告から2時間以内に「SQL Slammer」に対処 (日経 IT Pro)。 冗談でしょ? こんな状態で?
[event:01136] Re: 9月17 日ですか。。。 (security-stadium.org)。 興味深い発表がめじろおしのようです。みなさん、がんばってください。
MS自身のSlammer感染で問われる脆弱性修正ポリシー (ZDNet)。 だからどうしろと言うのだろう。
「駆動静か」でマシンも“無言” (ZDNet)。あいかわらずのスルドいネーミングですが、 2〜8 度の上昇が致命傷になる場合もあるんだろうなあ。 でもとりあえず買いだな。
謎のイベント @Random/1st ですが、さらなるキャンセルが出たので、「Episode-1〜2 通し」 の募集を復活させました。 ほんとに若干名なので、あふれたらお断りします。すんません。 あと、追加募集自体もまもなく閉めることになると思います。
パブリックコメントアンテナ。これはいいですね。いしはらさん情報ありがとうございます。
コンピュータの“ペスト”に注意--対策ソフトが登場 (日経 BizTech)。 トロイやスパイウェアなどを発見・駆除する売りものソフトだそうで。
[aml 31910] Fw: マレーシアの報道の危機。 崎山さんの……は [aml 31905] Statement to the police raid on Malaysiakini。 first deadline はもう過ぎているけど。
電源投入から、最初のインテリジェントアップデートが行われるまでの間 (30 分) にインターネット接続が行われないと、インテリジェントアップデートがうまくいかず、ウィルス定義データが古いまま運用されてしまう模様。2003.02.03 登場の新ファームウェアで修正されるそうな。
本体の電流制御を司る部品が故障した際に、ストラップ取り付け部分が70−100度に発熱するおそれがある (中略)
2月中旬以降、改修済みの電池パックが準備でき次第ユーザーに送付し、交換する。
それまでは、利用者はどうすればいいんだろう。 少なくとも、体表面に近いところに置いておくのは危険そうだなあ。
Windows NT 4.0 / 2000 / XP に弱点。 Microsoft Locator Service (%Windir%\System32\Locator.exe) に buffer overflow バグ。 remote から任意のコードを実行可能。 Windows NT 4.0 / 2000 Server がドメインコントローラの場合、Locator Service がデフォルトで動作しているので注意。その他の状況・その他の OS では、デフォルトでは動作していない。
CVE: CAN-2003-003。 CERT/CC: CERT Advisory CA-2003-03 Buffer Overflow in Windows Locator Service (LAC 邦訳版)
[VulnWatch] Microsoft RPC Locator Buffer Overflow Vulnerability (#NISR29012003)
Microsoft Content Management Server 2001 に弱点。XSS 問題が存在。セッションハイジャックが可能。Microsoft Content Management Server 2002 にはこの問題はない。
CVE: CAN-2003-0002
Outlook 2002 で、Version 1 の Exchange Server Security 証明書を利用している場合に問題が発生。メールが暗号化されず、plain text で送信されてしまう。 S/MIME を利用している場合には、この問題はない。また、Outlook 98、Outlook 2000 にはこの問題はない。
CVE: CAN-2003-0007
いずれも patch があるので適用すればよい。
[SECURITY] [DSA 234-1] New kdeadmin packages fix several vulnerabilities
[SECURITY] [DSA 235-1] New kdegraphics packages fix several vulnerabilities
[SECURITY] [DSA 236-1] New kdelibs packages fix several vulnerabilities
[SECURITY] [DSA 237-1] New kdenetwork packages fix several vulnerabilities
[SECURITY] [DSA 238-1] New kdepim packages fix several vulnerabilities
[SECURITY] [DSA 239-1] New kdesdk packages fix several vulnerabilities
[SECURITY] [DSA 240-1] New kdegames packages fix several vulnerabilities
[SECURITY] [DSA 241-1] New kdeutils packages fix several vulnerabilities
[SECURITY] [DSA 242-1] New kdebase packages fix several vulnerabilities
[SECURITY] [DSA 243-1] New kdemultimedia packages fix several vulnerabilities
CVE: CAN-2002-1393
[SECURITY] [DSA 244-1] New noffle packages fix buffer overflows
CVE: CAN-2003-0037
[SECURITY] [DSA 245-1] New dhcp3 packages fix potential network flood
CVE: CAN-2003-0039。 CERT/CC Vulnerability Note VU#149953。
追いかけきれない。
UDP Encapsulation of IPsec Packets (draft-ietf-ipsec-udp-encaps-06.txt) 。 info from [port139ml:02147]
解説●相次ぐ個人情報漏えい, 内部犯行は防げないのか(上) (日経 IT Pro)
MITKRB5-SA-2003-001: Multiple vulnerabilities in old releases of MIT Kerberos
MIT Kerberos 5 1.2.5 より前に複数の穴。最新は 1.2.7 のようだ。
Windowsファイル保護(WFP)に関するメモ (port139)
[VulnWatch] Sun Microsystems Solaris at -r job name handling and racecondition vulnerabilities
デモコードつき。
Know Your Enemy: Learning with VMware - Building Virutal Honeynets using VMware.
オープンソースソフトウェアの安全性は、OSSを利用する側と、作成する側の2側面から考える必要があります。OSSは開発そのものがオープンであり、商用のソフトウェアの開発とは違った開発モデルが採用されています。OSSを利用する側からすればこうしたOSSの側面が、安全面で問題となります。そのため、安全性を自己責任において評価するための仕組みやガイドが示されていることが重要であると思われます。
うーん、OSS には一律に「安全面で問題」があるような書かれ方だなあ。そういうことが言いたいわけではないのだろうが。isec-info@ipa.go.jp に mail しなきゃ。
さすが山下さん。参考になります。
その他の情報:
NetCOBOL for .NETに含まれるMSDE 2000について-(2003.01.29) (富士通)
NetCOBOL Base Edition for .NET に脆弱な MSDE 2000 が含まれている。 デフォルトではインストールされない。
Backup Exec 9.0 および ExecView 3.1 には MSDE 2000 が含まれ、問題となる。 Microsoft の patch の適用が示されている。 Backup Exec 9.0 日本語版がどのような言語版の MSDE 2000 をインストールしているのかは不明。
SQL Server/MSDE-Based Applications (sqlsecurity.com)
間違いも含まれている模様。たとえば、リスト には ExecView 3.0 が含まれているが、 W32.SQLExp.Worm "SQL Slammer" (discovered 1/24/2003) causes MSDE components included with Backup Exec 9.0 and ExecView 3.1 to flood the network, and SQLSERVR.EXE may exhibit high CPU utilization. (VERITAS) によれば ExecView 3.0 は無罪だ。
813850: .NET Framework SDK 1.0 によってインストールされる MSDE 2000 に MSDE 2000 Service Pack3 を適用できない (Microsoft)
ようやく更新プログラムが登場しました。
Microsoft SQL Slammer Wormに関する公開情報 (YAMAHA)
[memo:5253]。 会計王、PCA 会計 2000 Plus、奉行 21 シリーズ LANPACK にも?
SQLScan v1.00 (foundstone.com)。 info from [port139ml:02150]
Slammerワームに関するJSOCアナリスト緊急レポート 第2.1版 (LAC SNS)
「ねずみ算式」という言葉の震源地はここだったのか。
Microsoft自身もパッチの適用を怠り,SQL Slammerの被害を受ける (日経 IT Pro)
「我々自身も多くの企業と同様,パッチ管理で今苦しんでいる。パッチの効率的な管理は,取り組まなければならない重要な課題として,これまでになく強く認識するに至った。我々自身も今はパッチ適用に大わらわだ」(Miller氏)
……(唖然)。
インターネット保安措置しなければ「処罰」 (朝鮮日報)
義務ですか。義務はいいけど、では .kr に対しては強制アップデートしちゃっていいんですかね。
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 の方も随時改訂中です。あと、Microsoft の
も随時改訂されているので、読みなおしておいた方がいいです。
(Crusoeの) コードモーフィング・レイヤを隠れ蓑に、その下側にある一般のプログラマーがいじれない部分にセキュリティ機能を実装する、というのはよいアイデアだ。
backdoor を実装するにもよいアイデア、のような気が。
(Intel の) LaGrande技術の方は、(中略) 実行中のプログラム自体を暗号化したり、プロセッサとメモリ間に流れるデータを暗号化したりするような技術も含まれるようだ。
buffer overflow attack を実行しにくくなったりするのかなあ。
ネットワークの中核であるTCP/IPでも、IPSecなどセキュリティの枠組みが立ち上がろうとしている。
今だに「立ち上がろうとしている」って言われてしまう IPsec って……。 まぁ実際そうだろうけど。永遠に言われつづけたりして。
MS、Windows NT 4のサポート延長 (ZDNet)。あらまあ。大きなクライアントからよっぽど泣きつかれたのかしら。
関連: NT Server 4.0のサポートが1年延長に (日経 IT Pro)
MS、セキュリティ技術「Palladium」の名称変更 (ZDNet)。 あらまあ。吐き気がするほど長い名前に変更ですか。 そんな長い名前、呑みこめないじゃないですか。 呑みこまなくてもいいような質のモノになった、という理解でいいのかな。
2003.01.28 の Slammer 犯人さがし に追記した。nop とは……?!
今度は x1.freemail.ne.jp が腐ってる? なんだかなあ……。まなP〜♪♯♭さんから (ありがとうございます):
今日の18時まで、メンテナンスしているため、つながらないです。
というか、該当サーバへは実際にメールが届いて、エラーメールがバンバン生成されているんですが。freemail.ne.jp では、そういうのを「メンテナンス」と称しているのかな。
「Q. MSDE 2000 の Service Pack 3 をインストールするとエラーが表示されます」 や 「Q. .NET Framework SDK の Quick Start Tutorial でインストールされる MSDE 2000 に Service Pack 3 をインストールできません」 など、気になる情報があります。読みませう。
FAQ では「Q. .NET Framework SDK の Quick Start Tutorial でインストールされる MSDE 2000 に Service Pack 3 をインストールできません」の答えはかなりアレなのですが、http://homepage3.nifty.com/dotnetfan/SP3Setup.htm にひとつの方法が解説されています (info from [pml-security,00673])。
Official fix 登場。 KB 813850 を参照。
「Slammerウイルスの発信元は米国ISP」? 〜ロシアKasperskyが感染経過を分析 (INTERNET Watch, 2003.01.28)
Slammerの感染はほとんどすべての国で見られる。(中略) コンピューターウイルスをサイバー戦争に使うというアイディアが非効果的であり、自らも被害にあう可能性があることから、軍事的利用には適さないことを示していると指摘した。
結論を一般化しすぎてるんじゃないの? 言えるとしても、「Slammer は兵器にはならない」ってだけでしょ。
Slammerワーム、発生源はアジア? (ZDNet, 2003.01.28)
「コード内に」?
Slammerワームの追跡調査は難航へ (CNET, 2003年1月28日(火) 11時30分)
今回のワームのコードが「NOP(no operation)」コマンドから始まることにも注目しているという。HUCには「n0p」というハンドルネームのメンバーがいるからだ。
コード内って、これのこと?
[exploitcoding:0078]。 なんだかなあ。iDefence は気がついていないだけなのか、それとも別の (未公開の) 情報を入手した上で屁理屈コネているのか。
安易というか……ねえ。 9.11 とつなげるまぬけまで出てきたのには閉口しました。
まあ、韓国ではそれくらい激烈な状況だっただろうから無理もないのだろうけど、日本など外地のメディアはもうすこし冷静に報道できたはず。
もんじゅ訴訟: 設置許可は無効 住民側全面勝訴 高裁金沢支部 (毎日)。
川崎和夫裁判長は、国側の主張をほぼ全面的に認めた1審・福井地裁の判決を取り消しし、「炉心崩壊の恐れがある」として設置許可を無効とした。
すげぇ。画期的。すばらしい。
「住基ネットの警察利用は可能」 片山総務相が衆院予算委答弁 (毎日)。 総務省的には予定された行動、なんだろうなあ。
ぐはぁ、第 11 回 JWNTUG ソフトウェアレビューって応募終ってるじゃん。 くぅ。かの有名な HIROMI@サポセン様とお近付きになれるちゃんすだったのに。 せっかく犬のみっきーさんから情報をいただいておきながら……すんません。
WinSCP 2.2 (#122)。βが取れたそうです。 白畑さん情報ありがとうございます。
エプソンのインクジェットプリンタに不具合 (PC Watch)。 PM-950C と PM-4000PX の一部で問題が発生する模様。該当機種利用者はご注意。
Internet Week 2002チュートリアルプレゼンテーション資料公開のお知らせ (JPNIC) が出ています。
IPA Winter 講演資料 (IPA ISEC) が出ています。 関連: セキュリティー対策にユーザーの視点を IPA展示会 (毎日)。
Internet Storm Center は status: Yellow になってますね。
不正アクセス被害の検出と診断方法 (大阪会場) (port139)、セミナー参加者募集中です。 不思議と予算があるっぽいので申し込んでみた。
週間 Microsoft (slashdot.jp)。いやあ、これはほしい。マジで。 塩月さんや伊原さんの連載があったりすると更に強力。 絶対売れるよ。
solution 5693 - InterScan VirusWall UNIX - 圧縮階層制限を越えていないファイルが「Exceed_Decompression_Layer」で検出される (トレンドマイクロ)。無圧縮ファイルを圧縮ファイルと誤判断することがある模様。
米軍U−2偵察機、韓国京畿道で墜落し爆発、 偵察機の残骸 (東亜日報)。 米軍偵察機が住宅街に墜落 (朝鮮日報)。 U-2 ってまだまだ現役で飛んでいるんですね。 寿命長いなあ。
日常が DoS 状態?!
2003.01.09 の T13 : 不正アクセスの手法から考える監視技術〜雑音の除去と行動分析からリアルタイムプロテクションまで〜 に追記した。講演資料が公開されている。
この項は随時改訂中です。
話題沸騰の Slammer ワーム。SQL Server 2000 SP2 以前と SQL Server 2000 Desktop Engine (MSDE 2000) に存在する
SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039)
弱点を攻略し、メモリ上に常駐したあと他ホストをランダムに攻撃する模様。
メモリ上にしか存在せず、ファイルは一切操作しないので、ファイル検査のみのウィルスチェックでは検知できない一方、リブートすれば消滅する。
[exploitcoding:0066]
によると、ワームは日本語版 Windows 2000 SP2 上でも動作する。
[port139ml:02112]
によると「Pen III 1.1GHzのマシンで秒間11000個くらいのワームを放出する
」。そりゃあ DoS にもなるよなあ。
以下のいずれかを実行する。
SQL Server 2000 Service Pack 3 日本語版 を適用する (SQL Server 2000 / MSDE 2000)
ダウンロード - SQL Server 2000 Service Pack 3 から SQL Server 2000 SP3 および MSDE 2000 SP3 を入手できる。 インストールについては [pml-security,00647] MSDE 2000 Service Pack 3 の適用 が参考になる。付属ドキュメントも熟読すること。
.NET Framework SDK 1.0 に含まれる MSDE 2000 の修正については、 KB 813850 を参照。
MS02-061 patch を適用する (SQL Server 2000 SP2 / MSDE 2000)
MS02-061 patch は Slammer 登場にあわせて新しくなっている。 インストーラ形式となり、さらに 317748 fix が含まれた。 317748 は SQL Server 2000 SP2 以前に存在するメモリーリーク問題の fix。
MS02-039 patch を適用する (SQL Server 2000 SP2 / MSDE 2000)
SQL Server 2000 SP1 以前の場合は、SP2 + (MS02-061 or MS02-039) か、あるいは SP3 を適用する。
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 よくある質問と回答 (Microsoft) も参照されたい。
1434/udp をフィルタしてしまえば回避できる。 ISS は 1433/udp も塞げ、としている。 PASSJ によると、1433 は SQL Monitor が使う port なのだそうだ。
ウィルス・ワーム等への対処としてフィルタリングを行う場合の注意 (JPRS)
下手に 1434/udp をフィルタすると、DNS がうまく使えなくなる場合がある、という指摘。
ウィルスやワームが UDP 53番ポートを利用していることが明らかでない場合は、もしデータの送信・受信先が UDP 1434 番ポートであっても、他方が UDP 53 番ポートのトラフィックはフィルタリングしないことが望まれます。
src = 53/udp, dst = 1434/udp を通した上で、dst = 1434/udp をフィルタしよう。
Cisco Security Notice: MS SQL Worm Mitigation Recommendations (CISCO)
January 26, 2003 Microsoft SQL Denial of Service Worm Notification (Extreme Networks)
ACL will work for the unicast streams but may not be effective if the virus moves to the multicast address ranges.
ダメじゃん……。
Microsoft SQL Slammer Wormに関する公開情報 (YAMAHA)
影響を受ける恐れのある製品 - MSDE 2000 を既定でインストールする製品 には以下が示されている:
* Microsoft Windows XP Embedded
* Microsoft Windows XP Embedded with Service Pack 1
* Microsoft Server Appliance Kit 2.0 Add-On Pack
* Microsoft Visio Enterprise Network Tools
* Microsoft Project Server 2002
* Microsoft Application Center 2000
これらでは、デフォルトで脆弱な MSDE 2000 がインストールされている。 Windows XP Embedded は、通常販売されている Windows XP とは異なるので注意。
SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報 よくある質問と回答 の「Q. MSDE 2000 はどのような製品に含まれますか?」 には以下が示されている:
* Microsoft SQL Server 2000 Enterprise Edition
* Microsoft SQL Server 2000 Standard Edition
* Microsoft SQL Server 2000 Personal Edition
* Microsoft SQL Server 2000 Developer Edition
* Microsoft Small Business Server 2000
* Microsoft Visual Studio .NET Enterprise Architect (および同 MSDN Deluxe Edition)
* Microsoft Visual Studio .NET Enterprise Developer (および同 MSDN Deluxe Edition)
* Microsoft Visual Studio .NET Professional (および同 MSDN Deluxe Edition)
* Microsoft Visual Studio .NET Academic
* Microsoft Visual C++ .NET Standard
* Microsoft Visual Basic .NET Standard
* Microsoft Visual C# .NET Standard
* Microsoft Visual J#
* Microsoft Office XP Developer
* Microsoft .NET Framework SDK
* Microsoft Access 2002
* Microsoft Office XP
* Microsoft Biztalk Server 2002 Partner Edition
* Microsoft Host Integration Server 2000
デフォルトではインストールされないものの、少なくない人が MSDE 2000 をインストールしている可能性がある。特に、Visual Studio .NET や .NET Framework SDK の場合。
813115 - [FIX] W32.Slammer ワームの脆弱性に対応するための Application Center 2000 用のアップグレード (Microsoft)
813933 - VS .NET でインストールされる MSDE への SQL Server 2000 SP3 の適用方法 (Microsoft)
814040 - [OFFXP] MSDE 2000 をインストールした Office XP ユーザーに Slammer ワームに対する脆弱性の危険性 (Microsoft)
811760 - [OffXP] Desktop Engine の Service Pack 3 を適用する方法 (Microsoft)
NetCOBOL for .NETに含まれるMSDE 2000について-(2003.01.29) (富士通)
NetCOBOL Base Edition for .NET に脆弱な MSDE 2000 が含まれている。 デフォルトではインストールされない。
SQL Server 2000 がインストールされるのでマズい。Microsoft 製 patch の適用で ok。
Cisco Security Advisory: Microsoft SQL Server 2000 Vulnerabilities in Cisco Products - MS02-061 (CISCO)
以下に SQL Server 2000 が含まれている模様。
* Cisco CallManager 3.3(x)
* Cisco Unity 3.x, 4.x
* Cisco Intelligent Contact Management (ICM) 5.0
* Cisco E-Mail Manager (CeM)
* Cisco Building Broadband Service Manager 5.0, 5.1
白畑さんから (ありがとうございます):
Cisco CallManager に含まれる MS SQL Serverの脆弱性ですが、 日本国内において販売されている最新バージョンの CallManager 3.2 は Microsoft SQL Server 7.0 を搭載しているため、日本国内のユーザは影響を受けないものと思われます。
hp OpenView製品におけるSlammer/SQL Expワームの感染について (HP)
hp OpenView operations for Windows 7.1
hp OpenView reporter 3.0
hp OpenView internet services 4.0
SQL Server 2000 および Microsoft Desktop Engine 2000 (MSDE 2000) に関するセキュリティ問題への対応 (日立)
P-242C-5264 JP1/VantagePoint Internet Services 06-71 に脆弱な MSDE 2000 が含まれている。 06-50〜06-51 にはこの問題はない。 patch はまだない。Microsoft 製 patch は適用できない。
Backup Exec 9.0 および ExecView 3.1 には MSDE 2000 が含まれ、問題となる。 Microsoft の patch の適用が示されている。 Backup Exec 9.0 日本語版がどのような言語版の MSDE 2000 をインストールしているのかは不明。
ePO SQL及びMSDEの対応状況 (NAI)
solution 5749 - InterScan WebManager - LogLyzerに同梱のMSDEへのWORM_SQLP1434.Aの影響 (トレンドマイクロ)
SQL Server/MSDE-Based Applications (sqlsecurity.com)
間違いも含まれている模様。たとえば、リスト には ExecView 3.0 が含まれているが、 W32.SQLExp.Worm "SQL Slammer" (discovered 1/24/2003) causes MSDE components included with Backup Exec 9.0 and ExecView 3.1 to flood the network, and SQLSERVR.EXE may exhibit high CPU utilization. (VERITAS) によれば ExecView 3.0 は無罪だ。
[memo:5253]。 会計王、PCA 会計 2000 Plus、奉行 21 シリーズ LANPACK にも?
SQL ServerおよびMSDEを標的としたウィルス(SQL Slammerワーム)について (ソリマチ株式会社)
「会計王Professional」「販売王Professional2003」「販売王2003」「会計王DX」では MSDE 2000 を利用しており、対策が必要。 しかし、Microsoft 製 patch を適用して問題がないかどうかはまだ不明。
Microsoft SQL Slammer Wormの蔓延 (ISSKK)
ISS での検出数の推移グラフが掲載されている。興味深い。
【重要】 ワーム : UDP 1434, SQL/Slammer, SQLExp, SQLSapphire 情報 (PASSJ)
UDP 1434番ポートへのスキャンの増加に関する注意喚起 (JPCERT/CC)
Vendor Status Note JVNCA-2003-04: MS-SQL Server ワーム (JPCERT/CC JVN)
新種ワーム「MS-SQL ワーム」に関する情報 (IPA)
新型ワームに関する対策について (警察庁)
世界各地で報告されているネット障害に関する新種ワームへの注意喚起 (経済産業省)
Slammerワームに関するJSOCアナリスト緊急レポート 第2.1版 (LAC SNS)
iij.news vol.52 MARCH 2003: 「SQL slammer ワームへの対応」 (IIJ)
「FOCUS(1)の高解像度版」を読みましょう。
【緊急対策:世界規模のネット障害】原因はSQL Serverのホールか,ユーザーは対策を急げ (日経 IT Pro)
世界規模のネット障害,再発防止のために——SQL Serverのセキュリティ・ホールを解説する (日経 IT Pro)
【徹底解説:SQL Slammer対策の死角】クライアントも狙われる,パッチ適用でトラブルも (日経 IT Pro)
マイクロソフト自身にも及んだ『SQLスラマー』ワームの被害 (WIRED NEWS)
インターネット攻撃で高まる基幹サービスへの懸念 (WIRED NEWS)
Slammer事件で露呈した“パッチ方式”の穴 (ZDNet)
ワーム侵入ルートはいくつあったのか (ZDNet)
Slammerに“鈍感”だった米政府 (ZDNet)
Slammerは10分間で世界中の脆弱なホストの90%に感染〜完全自動の防御策が急務 (INTERNET Watch)
Slammerワームを分析する (ZDNet)
強気のMSを動揺させるか? セキュリティーホール訴訟 (WIRED NEWS)
Slammerワームめぐり韓国でMS提訴の動き (ZDNet)
SQL Sapphire Worm Analysis (eEye)
Analysis of Sapphire SQL Worm (hopto.org)
http://www.digitaloffense.net/worms/mssql_udp_worm/ に一式あるそうな。
[exploitcoding:0066] 以降の記事。 from [exploitcoding:0069]:
このワームのキモの部分、どっかで見たコードだなぁとか思って調べてたら、 David Litchfieldさん(たしかこのSQL Serverのセキュリティホールの発見者です)のサンプルコードまんまですな。
http://archives.neohapsis.com/archives/vuln-dev/2002-q3/0472.html
コードを読んでいる人は言う事が違う……。カッコいいなあ。
nop 疑問説 に対しては [exploitcoding:0078] を参照。
アンチウィルスベンダーからの情報:
WORM_SQLP1434.A (トレンドマイクロ)
W32.SQLExp.Worm (シマンテック)
W32/SQLSlammer (NAI)
Slammer (F-Secure)
1月25日には、 Sapphireにより13あるインターネット・ルートネームサーバのうち5つがダウンしました。
本当?
W32/SQLSlam-A (Sophos)
Detected by Sophos Anti-Virus since January 2003.
検出ツール:
トレンドマイクロシステムクリーナVer.3.0 (トレンドマイクロ)
トレンドマイクロ リモートSQLサーバーチェックツール (トレンドマイクロ)
SQLScan v1.00 (foundstone.com)。 info from [port139ml:02150]
SQL Server 2000 SQL Scan ツール (Microsoft)
MS02-039 patch を判定してくれないそうです。 [memo:5398]
MSDE 2000 じゃないので関係ない。
solution 5717 - InterScan VirusWall UNIX - InterScan VirusWallでの「WORM_SQLP1434.A」の対策、 solution 5718 - InterScan VirusWall NT - InterScan VirusWallでの「WORM_SQLP1434.A」の対策
できません。
韓国メディア:
東亜日報:
全国的なネット接続障害、新種のワームウイルスが原因 (JANUARY 26, 2003 21:59)
全国的なネット障害で市民生活大混乱 (JANUARY 26, 2003 22:04)
朝鮮日報:
「ネット接続障害」27日が山場 (2003.01.26(日) 19:17)
サイバー社会の「暗黒の週末」 (2003/01/26 19:40(日))
朝鮮日報: 政府、情報セキュリティー機能統合を検討へ (2003/01/27 13:26(月))
インターネット保安措置しなければ「処罰」 (2003/01/27 18:46(月))
「インターネット事態」PL訴訟可能に (2003/01/27 19:30(月))
中央日報:
<ネット障害>週末情報不通、ネチズンら「大恐慌」 (2003.01.26 19:56)
http://enjoykorea.naver.co.jp/ で翻訳できるっぽいです。
日本メディア:
asahi.com
韓国、またネット障害 一部企業で対策遅れか (01/27)
毎日:
“単純”ウイルス、スラマーで大混乱 韓国のネットダウンが幸い? (毎日, 2003.01.31)
手元的には、2003-01-25 14:30:12 +09:00 が初検出で、1/25: 1791、1/26: 786 だなあ。1/27 は 19:15 現在で 398。確実に減っている。
謎のイベント @Random/1st (話者しか書かれてないプログラム) ですが、キャンセル分に伴う追加募集を行っています。 希望される方は Registration ページからお願いします。「Episode-1〜2 通し」「Episode-2 のみ」 をそれぞれ若干名、先着順です。
mutt.freemail.ne.jp ドメイン、mail 配送腐ってます?
Analysis of a Compromised Honeypot。たのしそうだなあ。 (info from kawa's memo)
ハイテク大手各社が「反ハリウッド連合」結成 (ZDNet)。 コンシューマー・ブロードバンド & デジタルテレビ推進法案 (CBDTPA) 詳細情報は Declan McCullagh's Politech にあるそうで。 Fritz Hollings という人は、その筋では有名な方のようですねえ。
米マイクロソフト,Windows Server 2003のセキュリティ内容を明らかに (日経 IT Pro)。port 135, 137〜139, 445 は結局ガラ開きなのかな。
FoundStone社 「ハッキングスクール」東京開催のご案内 (idefense.co.jp)。 58 万は確かにすごい。でも出せちゃうところはいっぱいあるんだろうな。 質の高い通訳が付くか付かないかで価値が変わるような気が。 (info from kawa's memo)
落としても水をかけても大丈夫——“赤い彗星”の戦略商品も登場 (ZDNet)。
『米国の軍用規格「MIL-STD」を参考にした
』
だけで MIL SPEC ではないのかなあ。
Panasonic タフブック
は
MIL 規格名が明確に示されている
のだが。もっとも、「本試験は、記載の条件下における商品の正常動作または無故障を保証するものではありません
」なんて弱気な注があるが (笑)。
(info from 16万を切る堅牢・防水ノートがsotecから発売 (slashdot.jp))
……匿名希望さんから (ありがとうございます):
/.jp にも AC でタレ込んだのですが、くだんのノートと非常に似ているノートPC が↓にあります。
http://www.ruggednotebooks.com/detail/talon.asp
# 多分 OEM元ではないかと
あとに1/23 のテレビ東京「ワールドビジネスサテライト」の冒頭でくだんの記者発表での防滴デモと落下デモを流していましたが、そのmovie がここでみれます。
http://www.tv-tokyo.co.jp/wbs/2003/01/23/news_day/n1.html
# ちゃんと水掛けているし、落下させている。
[WSJ] Linuxに知的財産権訴訟の懸念 (ZDNet)。 So Crazy Company? ここまで落ちぶれていたとは。
本連載の読者であれば、インターネットからダウンロードされたコードには大幅に低い権限しか与えられていないことを知っているだろう。(中略) にもかかわらず、このコードはきちんと実行でき、Boot.iniの内容は読み取られてしまう。StreamReaderクラスのReadメソッドは、そのストリームの元になっているリソース(ファイルやデータベースなど)へのアクセス許可はチェックしていないからだ。もともとアクセス許可を持っているApp.exeがファイルを開いているので、その時点でアクセス許可のチェックは成功する。その後はチェックされないので、C:\Boot.iniファイルに対してアクセス許可のないアセンブリ(プラグイン)であっても、そのファイルの内容を読むことができてしまうのだ。これでは明らかにマズい。
(中略)
ここでInheritanceDemandの出番となる。(中略)具体的には、次の属性をIPlugInクラスに設定するだけでよい*1。
プログラマが設定しなければならない、と。モバイルコード対策は、.NET Framework といえども、あくまでコードをきちんと書かないといけないということでいいのかな。 わざと設定せずにおいて「XX もできます」とか言うトコロも出てくるのかな。
2003.01.23 の [memo:5191] 81084 IE累積修正 に追記した。q324929.exe をインストールする方法が判明したが、インストールできただけではダメな模様。
Microsoft Windows File Protection Signed File Replacement Vulnerability、 Microsoft Windows File Protection Code-Signing Verification Weakness 関連話。
クローン猫、外見も性格もオリジナルとは「別の猫」 (WIRED NEWS)。 映画 シックス・デイ では、謎の記憶転写システムを併用した上でのサービスでしたね (ってあれは人間向けだけ?)。というか、あの記憶転写システムだけで十分儲けられると思うんだが。 切り取った指で通過できるような安物の指紋認証システムを使っているのもなあ。
出会い系サイト規制案に人権擁護上の問題 日弁連が反対意見書 (毎日)。 オリジナル: 「いわゆる『出会い系サイト』の法的規制の在り方について(中間検討案)」に対する意見 (日弁連)。
毎日の記事や田中克範さんの意見にあるように、
意見募集の時期については、他の個人などからも「年末の意見募集で、検討ができない団体も多い」などと問題視する声が出ている。
なにしろ年末に募集開始して、年始に〆切ですからねえ。 いわゆる「出会い系サイト」の法的規制の在り方について(中間検討案)に対する意見の募集について (警察庁) は速攻で消滅しているようですし。 消す必要ないのに、なんで消しますかねえ > 警察庁。 心にやましいことでもあるのでしょうか。
田中さん情報ありがとうございます。
メルコ、802.11bと同価格の802.11g対応無線LANルータ 〜発表済の無線LANアクセスポイント、カードも値下げ〜 (Broadband Watch)。 いよいよ 11g 時代到来のようですが、セキュリティはなかなかついてきませんねえ。
レンタルCDは最初の客が得をする? (ZDNet)。わははは。ギャグですな。
MS、Java出荷命令に控訴 (ZDNet)。はてさて、どうなりますか。
JASRACとRIAJ、電子透かしを入れた音楽ファイルの有効性を確認 (INTERNET Watch)。
ASRACによると、「J-MUSE」は1カ月あたり540万件の音楽関連ファイル(HTML、JPEG、GIF、MP3、MIDI)をデータベース化している。違法アップロードサイトを6,000件ほど収集しており、そのうちいくつかのサイトについてはISP側に通知し、約4,000ファイルを公開停止させたという。
あ、これ単位が違うんだ。6000 サイトにあった ? 数 (不明) のファイルのうち 4000 ファイルが公開停止された、と。 電子透かしが浸透すると、比較は完全自動にできるだろうから、公開停止ファイル数はどんどん増えていくのだろうか。
しばらく前から Windows NT 4.0 + IE 5.5 / 6 な環境の Windows Update に登場していた、謎の patch 「810847」に関する話題。 少なくとも 1/9 には存在したようだ [memo:5192]。 さらに、適用すると一部のファイルにはバージョンダウンが発生してしまう模様 [memo:5194]。
ここで信頼すべき情報源から情報が入った [memo:5195]。
謎のセキュリティパッチは Windows Update からは削除された
インストールすると不幸になる
810847 を適用してしまった場合、私はてっきり MS02-068 を再適用すれば解決すると思っていたのだが、そうは問屋が卸さない模様 [memo:5196] [memo:5197]。 インストールしようと思ってもこのようにインストールさせてもらえないのだ。
不幸にして 810847 をインストールしてしまった場合は、一旦 IE 5.5 / 6 をアンインストールした後に、再度 IE 5.5 / 6 をインストールし、MS02-068 を適用するのが唯一の解決方法のようだ。ずいぶん手間のかかる話だ。
この件については、Microsoft からはいまだ正式な発表はされていない。 何らかの発表がなされる事を期待したい。
[security:00257] 謎のセキュリティ修正プログラム「810847」。 伏谷@大塚商会さんからの「検証不十分な情報」。 q324929.exe をインストールする方法が判明したが、q324929.exe をインストールできただけではダメな模様。
謎 patch は Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004) の候補版だった。謎 patch を適用してしまった場合は、 MS03-004 patch を手動インストールすることにより回避できる。 (Windows Update には登場しないので注意)
2002.12.23 の SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) に追記した。bulletin が改訂された。XP SP1 にも patch を適用する必要がある。
2003.01.16 の Windows XP SP1導入後、ネットワークファイルエラーが発生する問題を発表 に追記した。MS02-070 が改訂。XP SP1 には patch が入っていなかった、とすると、原因は結局何だったの?
2003.01.22 の Advisory 01/2003: CVS remote vulnerability に追記した。CERT Advisory 登場。
Advisory 01/2003: CVS remote vulnerability 関連。 記事自体は Fri Jul 28 2000 - 03:21:28 CDT のものであることに注意。 Tanaka 氏は CVS/Checkin.prog と CVS/Update.prog におけるセキュリティ問題を 2000.07.28 に既に指摘していた。 ここからスレッドがつづいているのだが、 最終的な反応は、
PLEASE TRY TO UNDERSTAND: CVS is not insecure, _by_definition_!
CVS is DESIGNED *ONLY* to be used by people with shell access!!!! This fact *MUST* be taken into account by *everyone* who sets up annonymous CVS servers! I.e. you MUST assume that a determined cracker will eventually be able to gain shell access to your anonymous CVS server and you must take the precautions outlined above if you wish to protect it.
というもので、「CVS はそーゆーもの」ということらしい Re: cvs security problem。 というわけで、「そーゆーもの」だと認識した上でサーバを setup しましょう。
このスレッドでは、chroot 環境で CVS を動かす方法への link や、 CVS-nserver といった別の CVS 実装の紹介などもあり、興味深い。
KOBAYASHI さん情報ありがとうございます。
あれ? [announce:00503] と [announce:00504] は中身が同じですぞ > JWNTUG。……意図された再アナウンスだったそうです (ほそかわさんどうもです)。 応募しませう。
LogCaster には SysLog → イベントログ機能はあるんですね。
アメリカのマスコミが報じた1.18行動参加者数 [aml 31780]、[aml 31801]。 興味深いですね。
高額ハイウェイカード廃止へ 偽造対策とETC普及狙う (毎日)。 5 万、3 万なんてあったんだ。見たことない。
もう鍵は不要? NTT−MEが指紋認証のドアロックシステム (毎日)。本体25万円 + 管理ソフト15万円と、お安いものではない。 UPS ついてます、はいいけど、どのくらいの時間保つんだろう。
ロシア製ウイルス対策ソフトを使ったアプライアンスが登場 (日経 IT Pro)。 アイメックス、フォントがいい味出してます。
@Random Information、 (ようやく!) プログラムができました。って、話者しか書かれてない (笑)。 参加者の追加募集はもうちょっとまってね。
あと、一般受付な方には info@at-random.org から何らかの案内メールが届いているはずなのですが、何も届いていないという方がいらっしゃいましたら info@at-random.org までご連絡下さいまし。実際にそういう方がいらっしゃいましたので……。
Sobig の検出数がまた増えてきてるなあ。
Windows XP で VPN クライアントが 1 分後に切断される (info from 今週の Security Check [Windows編] 第85回)。 少なくとも英語版については、サポートから fix を入手できるみたいですね。 しかし、なぜ「インターネット接続の共有」が有効だと 55 秒で切れるんだろう。
MDAC 2.7 SP1 ですが、インストール時の問題は依然として存在するそうです。 MDAC 2.7 ダウンロードページの記述をよく読んでからインストールしましょう。 O さん情報ありがとうございます。
「2002年12月 Prisoner'Choice インシデント事後対応 ベスト」 だそうだが、いやあ、これは確かにすばらしい。
2002.12.23 の Some vim problems, yet still vim much better than windo に追記した。 攻撃プログラム事例。
2002年は 2001年に比べ報告件数が大幅に減少しました。この原因としては、 2000年や 2001年に多かったスキャンやプローブに関する報告が減ったことが挙げられます。
スキャンやプローブに関する報告を JPCERT/CC に送ってあげてください。 その際は「情報提供」である旨を明記しましょう。報告様式 の 4-1 に A と書きます。
記入例 に port scan の例がないというあたりがけっこう痛いのではという気もするなあ。
この判決により、音楽業界が「著作権侵害を助長している」と主張するファイル交換ソフトの利用者について、個別に裁判を行なう前にISPに身元開示請求ができるようになった。
すごい状況だなあ。主張さえすれば誰の情報でも get できる、と。
Winny については Winny Tips ページ が詳しいようです。
Microsoft VM for Java 依存のモノを提供している人は、Sun 純正対応をいそいで準備した方がよろしいかと。ねぇ、総務省さん [memo:3933]。 総務省 電子申請・届出システム の ご利用方法 にはあいかわらず
(注1)Javaがインストールされた環境では、コントロールパネルのJDKの設定でJava Plug-inを有効にすると正常に動作しません。
と書いてありますね。
MS、Java出荷命令に控訴 (ZDNet)。はてさて、どうなりますか。
MSへのJava搭載命令、発効一時停止 (ZDNet)。控訴審はいつ?
CVS 1.11.4 以前に弱点。特殊な Directory リクエストにより CVS サーバで double-free() 状態が発生。他のリクエストと組みあわせることにより、anonymous read-only account しか提供していない場合でも、外部から CVS サーバ上で任意のコードを実行可能。CVS サーバが root 権限で動作しており、かつ CVSROOT/passwd ファイルが CVS ユーザに書きこみ可能であれば、外部から root 権限を奪取できる。 (typo fixed: 秋保さん / Kenji さん感謝。目がつぶれているらしい > 俺)
CVS 1.11.5 で修正されている。 CVS サーバを実行させている人は今すぐ update しよう。
CVE: CAN-2003-0015
CERT/CC Vulnerability Note: VU#650937: Concurrent Versions System (CVS) server improperly deallocates memory
Debian: [SECURITY] [DSA 233-1] New cvs packages fix arbitrary code execution
FreeBSD の src/contrib/cvs/src/server.c を見る限り、RELENG_4_x や RELENG_5_0 にはまだ修正は入っていない。
また、
You should also note, that the CVS client/server protocol includes two commands (Update-prog and Checkin-prog) that can be used by any CVS user with write access to the repository to execute arbitrary shell commands on the server. This is a questionable feature, because it is very badly documented, is unknown to most CVS administrators and cannot be turned off within the configuration files.
とあるように、CVS にはもともと意図不明の機能が標準で存在したりするようだ。
上記意図不明機能話関連を cvs security problem に記述。
CERT Advisory CA-2003-02 Double-Free Bug in CVS Server (CERT/CC)
つながらない、というのは「ベスト・エフォート」の範囲を越えていると思うが……。やっぱり光かなあ。って、今住んでいるところでは、B フレッツどころか ADSL モアすらサービスされていないんだよなあ。eo ホームファイバー は最低契約期間 = 1 年というのがアレだし……。世の中ままならない。
トレンドマイクロ ウイルスバスターで利用可能な最新の検索エンジン VSAPI 6.510 において、Microsoft Access ファイルのウィルスチェック時にパフォーマンスが低下したり、Windows 9x/Me においてパターンファイルの読み込みに失敗する場合があるという。2003.01.27 にこの問題が修正された検索エンジンが公開される予定だそうだ。
WinSCP 2.1 beta (#119) が出ています。 CERT Advisory CA-2002-36 Multiple Vulnerabilities in SSH Implementations が fix されたそうです。高柳さん情報ありがとうございます。
'SNARE' - System iNtrusion Analysis & Reporting Environment。
InterSect Alliance are proud to release a dynamically loadable kernel module that will form the basis for a host intrusion detection facility and C2-style auditing/event logging capability for Linux - without the need for a kernel recompile.
だそうです。SNARE 出力を syslog に出す patch も登場しています。 (info from [port139ml:01938] [port139ml:01952])
[connect24h:5326] ちょっと変わったRefererの悪用。 商売がからむと、いろいろ考えはりますなあ。
JPCERT/CC 活動概要 [ 2002年10月1日 〜 2002年12月31日 ] (JPCERT/CC)。 侵入された案件について、OpenSSL 穴、Apache 穴、OpenSSH 穴が「主なもの」として示されている。
HTTPTunnel@JUMPERZ.NET 。 http proxy さえあれば、いろんなものとつなげられる。
SQL Server 2000 Service Pack 3 日本語版 出ています。 MDAC 2.7 SP1 を含むそうです。MDAC 2.7 SP1 では MS02-008 (MSXML 3.0 用のみ), MS02-030, MS02-040 が修正されているそうです。 (やっと MDAC 2.7 SP1 の情報が出てきたよ……)
しかし、あいかわらず Microsoft Universal Data Access や Welcome to the Universal Data Access Web Site は更新されていない。
Gates氏の宣言から1年、MSの信頼性強化はどこまで進んだか (ZDNet)。 個人的な認識は「意識は確かに変わったが、しかしいまだに過去の insecure な遺産 (プロトコル、実装、デフォルト値、……) に対する互換性を優先する場合が多々あり、変化は不十分」かなあ。
個人的メモ:
HOWTO on EAP/TLS authentication between FreeRADIUS and XSupplicant (umd.edu)
Host AP related links (epitest.fi)
悪質な電話関係の「利用した覚えのない請求」が横行しています −有料情報料、ツーショットダイヤル情報料など− (国民生活センター, info from slashdot.jp 最終通告うけて国民生活センターが架空請求に最終通告)。 債権回収詐欺メールにご注意!! もよさげです。
<執筆中!> Windowsセキュリティ対策入門 伊原 秀明 著 翔泳社 2003年?月発行予定 (port139)。 伊原先生にはげましのおたよりを送ろう!
Apache 2.0.44 登場。 Windows プラットホーム向けの security fix が含まれています。
Windows 9x/Me 上で apache 2 を稼働させている場合に、 MS-DOS デバイス名を使った DoS 攻撃を受ける (MS00-017: 「パスに DOS デバイス名が含まれる場合」の脆弱性に対する対策、いわゆる concon バグ)。MS00-017 patch の適用で解決すべき問題だと思うが……。 (typo fixed: らむじぃさん感謝)
同じく MS-DOS デバイス名を利用すると、Windows 9x/Me 上で apache 2 を稼働させている場合、 remote 攻撃者は特殊な POST リクエストを利用して任意のコードを実行できる。
CVE: CAN-2003-0016
Windows プラットホームにおいて、リクエスト URL に < などの文字を追加することにより、予期しないファイルを外部に提供してしまう。
CVE: CAN-2003-0017
Apache 2.0.43 以前を Windows で利用している場合は、即刻入れかえましょう。
NTTドコモ及びNTTドコモグループ8社は、迷惑メール対策の一環として、インターネットからの「iモード」宛メールのヘッダ情報の提供を開始いたします
というのが 2002.10.01 から開始されている、のはいいのだが、
インターネットからiモード宛に送られてきた電子メールのヘッダ情報を、ご希望のiモードご契約者に提供(郵送)いたします。
ヘッダ情報を郵送?! たとえば NTTドコモ関西:iモードヘッダ情報の提供について を見ると
- 調査完了後、ヘッダ情報を記録したフロッピーディスクをお客様の指定された送付先へ郵送いたします。
- フロッピーディスク以外の(紙・CD-ROM等)でのお渡しはいたしません。
- 郵送料金は、東京都内よりお客様の指定する送付先への小包郵送料金となります。
などかなりアレ。というか、「調査」って……。希望者には自動的にどっかのアドレスにトバせるようにする、とかできないんですかねえ。 嶋坂さんが問いあわせたところ、
Q1.1ヶ月まとめ送りはできませんか? A1.出来ません。1週間毎の発送になります。 Q2.何でフロッピーディスク提供なんですか? 最近のPCではフロッピーディスクドライブがついていないPCも 多いですが。 A2.セキュリティのためです。誰にも見られないように週単位での フロッピーディスクでの提供とさせて頂いています。 Q3.料金高すぎませんか? A3.総務省の指導で急遽始めたサービスなので設備投資などに お金がかかっているため、高価な料金設定になっています。 Q4.eビリングのようにWebからSSLで閲覧できませんか? A4.現状、設備が対応していません。
だそうです。嶋坂さん情報ありがとうございます。
Sun JDK 1.1〜1.4、Microsoft Java VM build 3805 つきの IE 4.0〜6.0、Netscape Communicator 4.0〜4.8 にいろいろな穴があるという話。
Sun Alert ID: 49304 - Java VM Allows Constructors not to Call Other Constructors (Sun)
* SDK and JRE 1.4.1_01 or later http://java.sun.com/j2se/1.4/
* SDK and JRE 1.4.0_03 or later http://java.sun.com/j2se/1.4/
* SDK and JRE 1.3.1_06 or later http://java.sun.com/j2se/1.3/
* SDK and JRE 1.2.2_014 or later http://java.sun.com/j2se/1.2/
で fix されているそうな。
SSRT2438 Java Bytecode verifierにおけるセキュリティ脆弱性 (HP)
JavasoftはJava Bytecode verifier初期化に関する 問題に対してSecurity Bulletin 109を発行
というのがよくわからん。どこにあるんだろう。
fix 版のインストールの他、web browser 上では Java を無効にすれば問題を回避できる。
2002.11.28 の Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) に追記した。MDAC 2.7 SP1 登場に伴う追記。
[SECURITY] [DSA 228-1] New libmcrypt packages fix buffer overflows and memory leak
CVE: CAN-2003-0031, CAN-2003-0032
[SECURITY] [DSA 229-2] New IMP packages fix SQL injection and typo
CVE: CAN-2003-0025
[SECURITY] [DSA 230-1] New bugzilla packages fix unauthorized data modification
CVE: CAN-2003-0012, CAN-2003-0013 (bid 6501, bid 6502)
[SECURITY] [DSA 231-1] New dhcp3 packages fix arbitrary code execution
CVE: CAN-2003-0026
[SECURITY] [DSA 232-1] New CUPS packages fix several vulnerabilities
CVE: CAN-2002-1366, CAN-2002-1367, CAN-2002-1368, CAN-2002-1369, CAN-2002-1371, CAN-2002-1372, CAN-2002-1383
[RHSA-2003:001-16] Updated PostgreSQL packages fix security issues and bugs
CVE: CAN-2002-0972, CAN-2002-1397, CAN-2002-1398, CAN-2002-1400, CAN-2002-1401, CAN-2002-1402
[RHSA-2002:288-22] Updated MySQL packages fix various security issues
CVE: CAN-2002-1373, CAN-2002-1374, CAN-2002-1375, CAN-2002-1376
[RHSA-2003:011-07] Updated dhcp packages fix security vulnerabilities
CVE: CAN-2003-0026
[RHSA-2002:297-17] Updated vim packages fix modeline vulnerability
CVE: CAN-2002-1377
[RHSA-2003:012-07] Updated CVS packages available
CVE: CAN-2003-0015
Solaris 2.5.1〜7 で問題になる。patch が出ている。
あらゆる i ショット画像の閲覧が 50 回までになる模様。先日の事件への対応、なのでしょう。写メールとかでは、このあたりはどうなっているんだろう。 使ったことないからわかんないや。
関連:
ドコモの「iショット」、画像の閲覧回数を制限 (ZDNet)
「iショットTM」のサービス内容の変更 (NTT ドコモ)
ネットワーク管理者&SEのための実践Windowsセキュリティセミナー。 2003.01.31、東京都渋谷区、無料 (「Windows 2000 Server セキュリティ運用ガイド」のおまけつき)。 奥天師匠もご講演のご様子。
セッション5 が楽しそうだなあ。
デジターボ、“女性に強い”アンチウイルスソフト「ウイルスドクター」を発表 (INTERNET Watch)。問題は中身だよなあ。
そういえば、Sophos の新種 IDE ファイル警告メールって、これからもずーっと SJIS のままなんですかねえ。
トレンドマイクロの新しい web page ですが、 Mac OS 版 IE だとうまく読めないところがあったりするんですよね。 まあ、トレンドマイクロは Windows 用の製品しかつくってないって話はありますが、ねぇ……。
インターネット時代の著作権はどこまで強化されるべきなのか (日経 IT Pro)。 U.S. 政府は「人類全体の公益」なんてものは全く気にしていない事は歴史が証明していますね。 「フルメタル・ジャケット」のラストシーンを想起しちゃうなあ。
防衛庁データ流出事件の初公判,被告は容疑を認める (日経 IT Pro)。けっきょく恐喝だったそうで。こういうこともあるので「オタクの web page にセキュリティホールが……」なんて指摘が妙に警戒されたりすることもあるのだけど、「黙っててやるから金よこせ」に対しては「とっとと直して公開しちゃいました (笑)」で対抗するのがいちばんいいと思う。
FreeBSD 5.0-RELEASE Announcement (freebsd.org)。 セキュリティ機能的には TrustedBSD の成果の反映 (MAC, ACL 等) が大きいのかな。
Note: The MAC framework is considered an experimental feature in this release, and is not enabled by default
だそうだけど。
3月14日開催の大阪会場 参加者募集は1月27日からです (port139)。刮目して待て。
PGP 8.0 Users Manual が出ています (from What's new about PGP)。
手元の IE 6.0 SP1 日本語版 + Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068) patch でも見事に再現。いやはや。
例によってアクティブスクリプトを停止すれば回避できる他、 jbeef さん自身が 回避方法 を記載されている。
関連: [memo:3145]、[memo:5189]。cookie を使っている人でも「無効」で構わないと思います。「Java アプレットのスクリプト」同様、流行っていない機能のようですし。
UserData は Windows Update の「カスタマイズ」で利用されているそうです [memo:5210]。
ISMS 認証基準 2.0、パブリックコメント募集段階まで来ています。 情報セキュリティ評価制度「ISMS」新版で経営トップの関与を明記 (日経 IT Pro) では経営陣の責任の明確化、を強調しているけど、 ISMS認証基準(Ver.2.0)(案)の特徴について を見ると、むしろ「リスクマネジメント」という観点 (PDCA ぐるぐる) が主眼なのかなあ。いや、よくしらないけど。
進化とイオンすらない日本の教科書 (slashdot.jp)。文部省は、文部科学省なんて名前になったんだから、もうちぃと科学のわかる人材を登用しなさい。
MSの政府向けソース開示、狙いは「中国」にあり? (ZDNet)。あぁっ! 「Shared Source Initiative」と「Government Security Program (GSP)」 は別モノで、しかも GSP の方が開放度が低いんだ……。ふぅん……。
制限だらけのウィンドウズ・オープンソース計画 (WIRED NEWS)。 日本政府は Shared Source Initiative でいけるのか、それとも GSP なのか。
著作権の保護期間、20年延長は憲法に違反せず 米連邦最高裁 (毎日)。 ミッキーマウス大勝利。なんてこったい。
Famm オープンソースセミナー、 Linuxサーバセキュリティ[中級] 構築編 (01/23)、運用編 (01/24)。 各¥12,000。
半導体工場の発ガン性物質処理等の問題で、英政府が業務改善命令 (WIRED NEWS)。 こわ〜。
分散P2Pの弱点を克服したファイル交換ソフト「Locutus 0.2」発表 (INTERNET Watch)。 Locutus ってやっぱり これ なんでしょうか。抵抗は無駄だ。 (link 先変更: らむじぃさん感謝)
特集: 誰でも簡単! スグできる! 「年末年始 家庭内セキュリティ度 UP 計画」 (日経 BP)。え? 年末年始は終っちゃいました?
毎日一杯やる人には心臓発作が断然少ない (日経 BizTech)。 しかし一方で「たまには休肝日」とかいう話もあるし。
tuxkit-1.0 を入れて様子をみていらっしゃいます。
[VulnWatch] *ALERT* INCLUDING EXPLOIT: Advisory / Exploit for mpg123 の話。 patch もいくつか投稿されている (これ とか これ)。
ISC DHCPD 3.0〜3.0.1rc10 に複数の buffer overflow 穴。 ホスト名解決のために NSUPDATE で利用される "minires library" に問題があり、これを利用すると、外部の攻撃者が任意のコードを DHCPD 動作権限で実行させることが可能。 "minires library" は BIND 8 リゾルバ由来だが、最新の BIND 8 にはこの問題はない、とされている。
ISC DHCPD 3.0p2 および 3.0.1rc11 で修正されているので入れかえればよい。 また問題を回避するには、NSUPDATE 機能を停止すればよい。
CVE: CAN-2003-0026
どうやらこういうことらしい。
SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) 問題が発生し、Microsoft は hotfix を公開した。また、Windows XP SP1 にはこの修正が含まれた。
しかし、この修正は SMB 署名に関して非互換性を生じさせてしまうため、 hotfix を適用していない Windows 2000 Professional / Server と Windows XP SP1 との間での通信に問題が発生する。
問題を解決するには、Windows 2000 Professional / Server に hotfix を適用すればよい。 セキュリティ問題の解決のためにも、こちらが推奨される行動だろう。
問題を回避するには、SMB 署名を無効に設定する。
よくわからない点: SMB 署名が有効になる状況で、
Windows XP gold (hotfix なし) と Windows XP SP1 との間の通信には問題は発生しないの?
hotfix を適用した Windows 2000 と hotfix を適用していない Windows 2000 との間の通信には問題は発生しないの?
おまけ:
hotfix は Windows 2000 SP2 / SP3 と Windows XP gold にしか適用できないので、 それ以前の Windows 2000 では回避策を実行するしかないだろう。
331519: Windows XP SP1 のインストール後、ネットワーク ファイル エラーが発生する の誤記は解消されている。水月さん情報ありがとうございます。
SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) が改訂されている。なんと、
2003/1/23: このセキュリティ情報のリリース後、このセキュリティ情報で説明された修正プログラムが Windows XP Service Pack 1 に含まれていないことが確認されました。この点を反映させ、このセキュリティ情報および修正プログラムを更新しました。
なんじゃこりゃあ……。で、XP 用新 patch は XP SP1 にもインストール可能、なのだそうだ。すると、今回の問題というのはいったい……?!
2003.01.15 の MS、政府向けのWindowsソースコード/情報開示プログラム に追記した。日本語プレスリリース登場。
本校生徒エリカ・ビクーニャさんと母親リヒアさんの「在留特別許可」を求める署名のお願い。 なぜ東京都立南葛飾高校定時制課程 web ページ から link のひとつもないんだろうと聞いてみたら、
学校のHPは都教委から載せるものを厳しく制限されていて、リンクはできません。
だそうです。東京都ってすばらしいですね。 本件の信憑性を確認したい場合は、南葛飾高校に電話で確認するのがよいそうです。
Paul Vixie氏講演会のご案内 (JPNIC) 出てました。
プレスリリース: A Matter of National Security: Microsoft Government Security Program Provides National Governments with Access to Windows Source Code (Microsoft)。間もなく日本語版プレスリリースも登場するのでしょう。
the GSP offers free access to source code of Windows 2000, Windows XP, and Windows Server 2003.
開発ツールと Microsoft Office も……とか言われたりはしないのかなあ。 特に開発ツールは重要だと思うのだが。 Exchange などを使っている場合はもちろんそれらも……だろうけど。 あと、よく言われるように、変更反映具合がどのくらい見れるのか、とかですかね。
As I mentioned, the program also includes an invitation for agency representatives to visit us in Redmond for one to two weeks. (中略) The program also includes access to cryptographic code and development tools, subject to certain requirements, such as U.S. export regulations.
このあたりが限界なんだろうなあ。で、それでは満足できないならば、やっぱり open source product へ流れる、と。
日本語プレスリリース: マイクロソフト、「政府向けセキュリティプログラム」を発表。
ロシアとNATO(北大西洋条約機構)はすでにマイクロソフトとGSP契約を締結しており、さらに現在20カ国以上の政府との間で話し合いを進めています。
ロシアも軍関係なのかなあ……。
メディアへの内部告発除外が保護法制化で浮上 内閣府 (毎日)。 「政官業の癒着」が問題になっている状況で「告発先を主務大臣に限定」とは、とんだ「改革」。さすがは小泉政権。
ウィルスバスター2003とActiveSyncの問題 (GEOMETRIC SPACE)。 ウィルスバスター 2003 は、いろいろおさわがせのようですね。 池田さん情報ありがとうございます。
自動車泥棒を仰天させるハイテク「おとりカー」 (WIRED NEWS)。
最も重要な装置はたぶん、警察がリモートコントロールで車を立ち往生させるスイッチだろう。 徐々にガソリンの供給を止めることも、突然エンジンを切ることもできるのだ。
へぇ〜。ニッポンでもこういうの使われてたりするんだろうか。
秘かに広がるGSP利用の自動車追跡サービス (WIRED NEWS)。 うーん600〜700ドル……ベンツな人には安いのだろうが、俺的には全然安くないぞ……。
[free-memo:226] Re: .hwp ファイル (CERTCC-KR)。 おぉフリービューア。試してみるべ。
WinXPで動かすときのライセンス問題 [Apache-Users 2303] [Apache-Users 2304]。 その前の話も参照 [Apache-Users 2247]。 個人的な結論は「Windows は英語版を使いましょう」だなあ。 って、Windows XX Pro でサーバつくったりしないから別にいいんだけど。
Internet Week 2002 "DNS Day" 参加者には、 「Paul Vixie氏講演会のご案内」が送られている模様。 2003.01.21 15:30-17:00、 JPNIC 会議室 (東京都千代田区)、無料、40 名。急げ! (私はもちろん行けない (T_T))
JPドメイン名の累計登録数が50万件を突破 −「co.jp」、「汎用JPドメイン名」など好調、登録数世界第8位のccTLDに− (JPRS)。詐欺同然の「日本語ドメイン名」については無料にしなさい。
こんなメールがときどきくるんですが:
[ このメールは自動的に送信されています。 ]
5月1日よりメールアドレスが変更になりました。 旧アドレスは6月末ぐらいで利用不可になりますので アドレス帳などに登録されている方はお手数ですが、 登録の修正をお願い致します。
って ML admin に返されてもねえ。せめて、変更前の mail address が書いてあればなんとかなるんですが、変更後の address しか書かれていないという……。
@Random/1st (ゲストプレゼンテーターに山口先生追加しなくちゃ……) の 一般受付 ですが、今日いっぱいで一旦締め切りになります。 ご都合のよろしい方はぜひお申し込みくださいまし。
Windows XP SP1 のインストール後、ネットワーク ファイル エラーが発生する (Microsoft)。
これらの問題は、Microsoft Windows 2000 と Windows XP SP1 の SMB (サーバー メッセージ ブロック) 署名に互換性がないために発生します。 (中略) この問題を解決するには、グループ ポリシー設定を使用して、SMB 署名を有効にします。この操作を行うには、既定のドメイン コントローラ ポリシー設定を [無効] に設定します。
なんだか理解できない日本語が記述されているのですが、「SMB 署名を有効にします」は「無効に〜」の間違いなのかな。しかし、無効にするしかないとわ。
[port139ml:01850] 名前がすぐ変わるアレ、ということで。 [port139ml:01880] Re: IPSec NAT Traversal ではさらに端折られています。
Lirva や Sobig (トレンドマイクロ、シマンテック、NAI、ソフォス、エフ・セキュア) が手元にも届きはじめてるなあ。それなりに流行っているようで。日本からっぽいものは手元ではなさそうですが。
CERT/CC Current Activity にも W32/Sobig worm が出てますね
「隠す」というと聞こえが悪いけど、より適切な情報を提供するという意味で使えもするわけで。
2002.12.23 の ウェブアプリ開発の鉄則31カ条 JNSAセキュリティーセミナー に追記した。遅まきながら、高木さん自身によるフォローをリンク。
[SECURITY] [DSA 225-1] New tomcat packages fix source disclosure vulnerability
CVE: CAN-2002-1394
[SECURITY] [DSA 226-1] New xpdf-i packages fix arbitrary command execution
CVE: CAN-2002-1384
[SECURITY] [DSA 227-1] New openldap packages fix buffer overflows and remote exploit
CVE: CAN-2002-1378, CAN-2002-1379
[RHSA-2002:290-07] Updated Ethereal packages are available
CVE: CAN-2002-1355, CAN-2002-1356
[RHSA-2003:006-06] Updated libpng packages fix buffer overflow
CVE: CAN-2002-1363
[RHSA-2002:295-07] Updated CUPS packages fix various vulnerabilities
CVE: CAN-2002-1366, CAN-2002-1367, CAN-2002-1368, CAN-2002-1369, CAN-2002-1371, CAN-2002-1372, CAN-2002-1383
JPNIC からいろいろ。「APNICのWebに掲載されているFAQを翻訳したもの」だそうです
スパマーとハッカー:そのネットワークを検索するためのAPNIC Whoisデータベース使用
KRNICには、ネットワーク不正使用に関するISP連絡先リスト(list of ISP network abuse contacts)があります。
知らんかった……。
safari ねた。 最新は v51 だそうで。
フォームからのファイルアップロードで指定とは全然違うファイルがアップロードされる (v51 でも) [harden-mac:0291]。 実験ページ [harden-mac:0293]。 実験結果 [harden-mac:0299]。
パスの文字列に日本語が入っているとおかしくなるようです。
だそうです。
ファイル消滅につながるバグがある (v51 で fix) [harden-mac:0295] [harden-mac:0296]。 おそろしい。
個人的にはβじゃなくてαレベルのできだと思うし…… > safari。 しかし確かに速い。
Windows 9x で、NetBIOS 名の名前解決に DNS が利用される場合、その query packet では source port = 137/udp というアレすぎる状況になり、 さらに問い合わせている名前自体もアレ、という話。 NT/2000 ではもちろんそんなことはない。たかはしもとのぶ氏は
すくなくとも Windows 9x 系 OS の場合、NetBIOS 名を DNS で解決する機能は事実上使い物にならないと判断すべきではないかと思います。
とおっしゃっていらっしゃいます。
MS、次世代Windows Serverの名称から“混乱の元”を排除 (ZDNet)。 また名称変更ですか。 もしかして、ギネス狙い?
MS,「Windows Server 2003」全エディションの名称を明らかに (日経 IT Pro)。
「Windows .NET Server 2003」の名称で対応商品を準備してきた企業は,対応に大わらわになっている。
大わらわは姫じゃ (って、所ジョージのオールナイトニッポン、だったっけ?)。
第 18 回 JWNTUG ブックレビュー 開催のおしらせ (JWNTUG)。 レビュー対象は クラッキング防衛大全 Windows 2000編 です。応募したいところだけど、2003.02.05 締切というのがなあ。
InterScan VirusWall for UNIX用 ウイルス検索エンジン VSAPI 6.510 (トレンドマイクロ) が出ています。機能追加と不具合修正がいろいろされているようです。 嶋崎さん情報ありがとうございます。
40都府県の警察、非通知携帯の強制表示システム導入へ (asahi.com)。 まあ、いろんな意味で「必要」なんでしょう。 特定少数の電話屋が制御していることですし。 竹瀬さん情報ありがとうございます。
HTML 版:
SecurityFocus Newsletter #177 2002-12-23->2002-12-27
Polycom ViewStation Plain Text Administrative Password Vulnerability、 困ったものです。この手のものではけっこうメジャーな製品みたいなのに……。 (このへんにも入るとか入らないとかいう話が……)
Axis Embedded Device Authentication Buffer Overflow Vulnerability ですが、日本のページには古い Firmware しかありませんね……。
SecurityFocus Newsletter #178 2002-12-30->2003-1-3
Microsoft Windows File Protection Signed File Replacement Vulnerability (バージョンダウン攻撃が可能) は Microsoft Windows File Protection Code-Signing Verification Weakness (FreeSSL を使って WFP protected なファイルを上書き可能) とあわせて頭の痛い問題ですねえ。
テキスト版:
ColdFusion MX Standalone Enterprise Edition (全ての言語版) に弱点。"Sandbox Security" の "Files/Dirs permissions" で設定した内容が、<cfinclude> タグと <cfmodule> タグでのファイル名指定で機能していない……ということでいいのかな。patch が出ているので適用すればよい。
亜種が登場しているようです。手元には本家も亜種も届いていないなあ。
トレンドマイクロ:
WORM_LIRVA.C、
WORM_LIRVA.A。
WORM_LIRVA.C を [現在フランスを中心にヨーロッパで感染拡大中
」だそうです。おフランスですか。
シマンテック:
W32.Lirva.A@mm。「報告件数が増加したため、Symantec Security Responceは、2003年1月9日付で、W32.Lirva.A@mmは、危険度を2から3に変更しました
」
だそうです。
W32.Lirva 駆除ツール
もあります。
NAI:
W32/Lirva.a@MM、
W32/Lirva.gen@MM、
W32/Lirva.c@MM
(link fixed: 高木さん感謝)。
「1月8日更新情報: W32/Lirva.a@MMは、この24時間に感染報告が増加したため、危険度を“中”にしました
」だそうです。
ソフォス: ソフォス、Avril Lavigne ワーム対応は難しくない。 「カナダのアイドル歌手」なのか……ふぅん。 日本でも、あゆとかを使ったウィルスが出るとアレな状況になったりするんだろうか。俺的にはあゆはどうでもいいんだが、一子さんとかだとひっかかるかも (笑)。
Microsoft: Lirva に関する情報
山口先生、どうやら @Random/1st にゲストスピーカーとして参加してくださる模様 (^^)。
——話しは変わって、1人のパソコンユーザーとして、今年のセキュリティー対策の課題は?
山口 もう「自分でやらないこと」だね。まじめに専門家のいうことを聞いて、「多少のお金を払ってでも、サービスを買え!」と言いたい。
ふつうの人だと「ISP から買う」という線だと思うのだけど、現状で ISP から買えるのはウィルスチェックくらいですかねえ。それすらも incoming only だったりすることが多いようですが……。需要と供給がマッチしてないという話は先日の JPCERT/CC BOF でもありましたが、いつになったらマッチしますかねえ。 「多少」の具合が問題なんだよなあ。
InterScan VirusWall UNIX : リレー防止の設定に関する製品Q&A一覧 (トレンドマイクロ)。
うーん、とんでもないところから mail が……。 Subject: が生 JIS だなあ。
AN HTTPD 1.42f が出ています。1.42e で「特定のURIでクロスサイトスクリプティングが発生するセキュリティバグ」が修正されているそうです。
携帯110番、電柱番号で現場特定 警視庁が新システム (asahi.com) の件で Hideck さんから 情報をいただきました。世の中、一筋縄ではいかないようです。 ありがとうございます。紹介がおそくてすいません。
ウイルスの名前をもっとシンプルに! (ZDNet)。
一般のユーザーは、(中略) 「W32.Yaha.J!2c3b」のような名前が付いていたら、ユーザーは混乱し、恐れをなしてしまうのではないだろうか。
私ならその場合、一般のユーザーは混乱し、アンチウィルスベンダーというのはアホの集団だと思う、と予想する。思い出したセリフ: 「ヒス君、君はバカかね?」。 ベンダー内でのみ使う、なら話は別でしょうけど……。
動き出した総務省〜迷惑メール撲滅はなるか (ZDNet)。 どう考えても、ばんばん公開すべきでしょう。
総務省では「(措置命令を出した件数が)少ないと、公開によって(法に違反しても)大丈夫だと、ほかの業者に思われる可能性がある」として、件数や措置命令を出した業者名を公開していない。
というのだから、実際に少ないんだろうなあ (笑)。ダメすぎ。
カメラ付きケータイでいじめ (slashdot.jp)。 バカのおかげで カメラ付き携帯電話にも何らかの対策は必要 (slashdot.jp) という話が (善意からなのだろう!) 出て、そうやってどんどん監視社会になっていく、んですかね。行き付く先はやっぱりガイア - 母なる地球 - で描かれたような世界なんですかね。
ノルウェーのティーンエージャーDVDハッカーに無罪判決 (WIRED NEWS)。めでたい。
セキュア P2P シンポジウム、2003.01.27 13:30-17:00、5,000円。 デカい PDF 見てみましたが、実はマーケな話なのかなあ。 うーん。 匿名希望さん情報ありがとうございます。 今年もよろしくお願いいたします > 匿名希望さん。
まーかん、きんのうからからだがどえりゃあえらいでかんわ。 きんのうはいちんちじゅうねとったがね。
読むべし。……あぁ、「コモンズ」ぜんぜん手をつけれてないし。
だがEFFにでも別のどこかにでも、トーヴァルズやその他歴史上の偉人たちの「十分の一税」に倣おう。一年分のインターネット接続料金を(君自身が払ってるのではなくとも)計算して、その10%を君自身の自由のために闘ってる団体に送るんだ。
EFF なら Support EFF Today! ですね。
ただただ唖然、「ヒス君、君はバカかね?」なのだが、実は世の中的には「もやはふつー」で、これは「氷山の一角」だったりするのだろうか。いや、いくらなんでもそんなことはない、と思いたいのだが……。
兵庫県は住基で突撃する模様。麗美さん情報ありがとうございます。紹介がおそくてすいません。
パブリックコメントは 兵庫県本人確認情報保護審議会答申「住民基本台帳ネットワークシステムの活用について」案に関する県民意見提出手続(パブリック・コメント手続) から。答申案(全文)にはこんな文字列が:
住民基本台帳ネットワークシステムは個人情報を取り扱うことから、法、県個人情報保護条例等により、既に制度、技術、運用の各面で万全の個人情報保護措置が講じられ、適切に運営されているところであるが、
寒い、寒すぎる……。
[SECURITY] [DSA 216-1] New fetchmail packages fix buffer overflow
CVE: CAN-2002-1365
[SECURITY] [DSA 217-1] New typespeed packages fix buffer overflow
CVE: N/A
[SECURITY] [DSA 218-1] New bugzilla packages fix cross site scripting problem
CVE: N/A。 XSS vulnerability in Bugzilla if upgraded from 2.10 or earlier (bid 6257) の fix だそうです。 [BUGZILLA] Security Advisory - remote database password disclosure (bid 6501, bid 6502) の分はまだなのかな。
[SECURITY] [DSA 219-1] New dhcpcd packages fix remote command execution vulnerability
CVE: N/A
[SECURITY] [DSA 220-1] New squirrelmail packages fix cross site scripting problem
CVE: CAN-2002-1341
[SECURITY] [DSA 221-1] New mhonarc packages fix cross site scripting
CVE: CAN-2002-1388
[SECURITY] [DSA 222-1] New xpdf packages fix arbitrary command execution
CVE: CAN-2002-1384
[SECURITY] [DSA 223-1] New geneweb packages fix information exposure
CVE: CAN-2002-1390
[SECURITY] [DSA 224-1] New canna packages fix buffer overflow and denial of service
CVE: CAN-2002-1158, CAN-2002-1159
GPG 署名つきになってます (^^)。
Sun Alert ID: 44309, Synopsis: Buffer Overflow in cachefsd in Solaris
Solaris 8 用 fix が出たそうです。他はまだ。何か月かかるんですかねえ。
patch 出そろいました。2.5.1 も patch 出るのか……。
予想していたものとはかなり違っていたのですが、「インシデント・レスポンスから考えるリスク分析」という観点はたいへん興味深く思いました。目からウロコがぼろぼろ。
技術者はいかに守るかをまず考えがちだが、むしろ最初にインシデント・レスポンスを考えるべきではないか。インシデント・レスポンスを考えることにより、経営層などに具体的なイメージがつかみやすくなり、ひいてはより正確なリスク分析が可能となる。
日経コンピュータ 2002.12.30 p.57 でも紹介されていますね。Developers Summit 2003 でも関連したお話が拝聴できるのではないかと勝手に想像してます。
2003.01.07 の PINE-CERT-20030101: Integer overflow in FreeBSD kernel に追記した。SA 登場。
最近よくみかける「知人にこのページを紹介する」機能には、意図しない (だろう) 使い方ができてしまうことが多い、という話。代表事例 (?!) として挙げられているのは MSKK。
Kismet ねたが [port139ml:01756] Kismet あたりから続いています。 最近 Linux ねたも多いので、Linux 使いな人は port139 ML に subscribe しておきませう。
PASSJ セミナー: 開発の現場を語ろう!(セミナー + パネルディスカッション + 新年会)。2002.01.22, 翔泳社1Fセミナールーム。
札幌でも共通ICカード (slashdot.jp)。big brother is watching you. そういえば、[aml 31573] サンデー毎日が〈コンビニ監視カメラ〉を告発 なんてのも。
著作権の賠償請求が容易になることについて。 (沙耶16歳さん)。 from 日経記事:
違法コピー対策として被害を受けた企業などの立証負担を軽減して損害賠償を請求しやすくするのが柱で、損害額の算出方法も見直す。同時に映画などの著作権保護期間を50年から70年に延長し、国内ソフト産業の競争力強化に役立てる。
今後はそういう業界と (も) 癒着しようというわけですか? > 自民党。
それにしても、うっとおしい仕様ですね > 日経。
Word フィールドおよび Excel の外部データ更新の問題により、情報が漏えいされる (Q330008) (MS02-059)、 Word 97/98 用 patch が登場しています。
[exploitcoding:0011 ] SecurityFocus の DB。 うれしくない変化。
無線LANのセキュリティを向上させる「WPA」(下) (日経 IT Pro)。 逆に読むと、WEP がいかにダメダメか、という……。
そういうものだそうです。やっぱ LKM は常に無効にしたいなあ。
IE 6 SP1 で [ウイルスの可能性がある添付ファイルを保存したり開いたりしない] オプションがデフォルトで有効になっているためにそうなる。 この問題の回避方法。「安全でないファイル一覧」については Internet Explorer 6 の安全でないファイル (Unsafe File) 一覧に関する情報 (291369) にあります。
[OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法 (291387) も参照、なんだろうけど、訳語を統一してほしいなあ。
FreeBSD 以降に弱点。kernel 内のいくつかの int 変数が overflow するため、 DoS 攻撃や root 権限の奪取が可能となる可能性がある。
4.x の問題。src/sys/kern/kern_descrip.c 1.81.2.15 によると、1.94 で穴ができ 1.114 でふさがったみたい。 1.81.2.6 以降に MFC されているそうなので、4.3-RELEASE 以降で問題となるみたい。 RELENG_4、 RELENG_4_6、RELENG_4_7 にはすでに patch が適用されている。 4.3〜4.5 な人は、patch を適用すればいいのかな?
lseek(2)、do_dup
RELENG_5_0 と HEAD で問題に。最新状態では fix されている。
NetBSD や OpenBSD にはこの問題はない。
SA 登場: FreeBSD-SA-02:44.filedesc - file descriptor leak in fpathconf。 RELENG_4_4 以降については fix されている。
複数のベンダーの Ethernet ドライバに弱点。初期化処理がきちんとされていない、などのために、以前に処理した情報の一部が残存してしまい、結果としてそれが外部に漏曳してしまうことがある。@stake のレポート では、その詳細と、appendix として弱点つき Linux 2.4.18 標準添付ドライバの一覧が示されている。
CERT/CC Vulnerability Note VU#412115: Network device drivers reuse old frame buffer data to pad packets によると、CISCO や F5、HITACHI、NEC にはこの穴はないそうだ。 Microsoft も穴なしだが、Microsoft Corporation Information for VU#412115 には「ドキュメントのサンプルに穴があり、これをそのまま使うと……」という話が出ている。 3rd party ドライバを利用している場合は続報に要注意、かも。
アイ・サイナップでは (中略) この事件を機にApacheに移行したサーバーが逆にセキュリティー問題を拡大させる結果となっていると指摘している。
元ネタとおぼしき アイ・サイナップ調査部 Web Serverシェア を見ても、どれだけの組織が「Apacheに移行した」のかが全く示されていないし……。正直言って頭痛がしてくるんですが。次の引用は元ネタから:
今後LinuxをはじめとするUnix系のOSベンダーや導入ユーザーがISO15408にどう対応するかが問われています。
そういうレベルの問題じゃないと思うんですがねえ……。
ベンダー各社、年末に登場した新ウィルス「Yaha.K」を警告 (INTERNET Watch) とか言われても、手元には 1 匹しか来てないし。 あいかわらず Klez は多いんですが。
会員の意見箱 (情報処理学会)。 ウィルスばらまき事件についても、わざわざ意見を言ってあげないとダメなのかな。
無線LANのセキュリティを向上させる「WPA」(上) (日経 IT Pro)。
THC-Amap というツールがあるそうで。
対 rootkit ソフトウェア Integrity Protection Driver (IPD) 1.4 が出ています。Bypassing Integrity Protection Driver (time vulnerability) で示された NtCreateSymbolicLinkObject の用法には 1.3 で fix していたけれど、別の用法で回避できてしまうことが指摘されたみたい。Pedestal Software Security Notice、 Another way to bypass Integrity Protection Driver ('subst' vuln) (NTBUGTRAQ)。
rssh 1.0.4 が出ています。scp / sftp だけを提供する shell だそうです。
postfix 2.0.0.2 出ています。1.x とは非互換な点がいくつかあるらしいです。 (調べる暇が……)
Re: Saved Terminal Server Sessions (pen-test ML)。 RDPCrack.c ですか。
OpenSSL 0.9.7 が出ています。
PukiWiki/1.3.3 では多くの XSS 穴が fix されているそうです。 (info from Tea room for Conference No.1198)
PHP 4.3.0 Release Announcement (PHP.gr.jp)。「多くのセキュリティフィックス (imap, mysql, mcrypt, ファイルアップロード,gd
等)
」
と書かれているのですが、ChangeLog
で security という単語を検索すると
Fixed a security bug in the bundled MySQL library. (Georg, Stefan)
しか出ないなあ。
あ、Buffer overflow in PHP "wordwrap" function みっけ。4.1.2 < 穴あり < 4.3.0 だそうです。
TLSA-2003-9 php - バッファーオーバーフローの問題 (Turbolinux)
MDAC 2.7 SP1 now available as a standalone install (focus-ms)。 これ、U.S. の Universal Data Access Web Site にも出てないんですよね。なんなんでしょう。 ……お、日本語版 もあるそうです。 Microsoft Universal Data Access に情報がないのは同様。
sendmail 8.12.7 が出ています。
SMRSH: SECURITY: Only allow regular files or symbolic links to be used for a command. Problem noted by David Endler of iDEFENSE, Inc.
という記述があります。
Exploit-Coding ML というものができたそうです。
hsj さんち に、chkrootkit で adore-0.42 をみつからなくする patch (^^;;) が示されています。
たりきさん がめでたくフリーになられたそうで。
イラク日記(1)大使館訪問 (tanakanews.com)。
ここで書かれている「テレビ朝日のテレビクルーの一団
」は、昨日のサンデープロジェクトなんですかね。
ZNet 日本語版 があるんですね。ZDNet とは全く関係ないよ。
ネットワークアソシエイツ社が、 Sniffer新製品で、高速ワイヤレスネットワークIEEE802.11aに対応 (NAI) だそうです。高いから手元では買えないんだけど。
SMS 2.0のFeature Packがリリース、管理者を強力にサポート (@IT)。 SMS ってどのくらい使われているんだろう。
新春インタビュースペシャル2003: 世界最大のソフトウェア企業が見せた責任とプライド マイクロソフト 代表取締役社長 阿多親市氏 (ZDNet)。 努力は大いに認めるけれど、それは絶対値ではもちろんないわけで。 ActiveX なんてのもまだまだ残ってますし。 セキュリティ的にアレなモノをいかに捨てるか、についても努力していただきたいなあ。
センチュリー、PC無しでHDDをコピーできる「これdo台 TWIN」 (PC Watch)。
「コピーモード」を選択すると、PCに接続しなくても2台のHDDだけでHDD内のデータをAドライブからBドライブへコピーできる。
これはほしいかも。
ハッカーMitnick氏、明るい将来展望を語る (ZDNet)。わくわく。
2003 年になりました。今年もよろしくお願いいたします。 今年は、とりあえず @Random/1st やなあ。 Developers Summit 2003 でも何か喋ることになったらしいし。 せっかくなので、Tearoom for Conference No.#1184-2 への個人的回答話もしようと思ってます (office さん、ネタご提供ありがとうございます)。
leafnode 1.9.20 〜 1.9.29 に弱点。特定の形式の記事により CPU 100% 状態になってしまうため、DoS 攻撃が可能。 1.9.30 と 1.9.31 では修正されている。
PHRACK #60。興味深いです。 Big Loop Integer Protection では integer oveflow とその対抗策が示されています。 Basic Integer Overflows もあります。 SMB/CIFS BY THE ROOT は たかはしもとのぶさんによる翻訳版が http://www.monyo.jp/technical/samba/rfc/p60-0x0b.ja.txt にあります。某所で話題になった man in the middle attack は仲介者攻撃と訳されていますね。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
