Last modified: Fri May 16 22:52:09 2003 +0900 (JST)
ファイル交換ソフト プロバイダーが相次ぎ規制 (読売)。 帯域が悲鳴をあげているところから規制される?
不正コピーの音楽CD販売と院生を停学処分 豊橋技大 (asahi.com)。停学 1 か月は長い? 短い?
2003年度「IPAソフトウェア開発支援事業一括公募」について (IPA)。 電子政府行政情報化事業 セキュリティ対策研究開発等事業 (IPA ISEC) も出ています。
電子投票ソフトの欠陥めぐり、元従業員がソフト会社を提訴 (WIRED NEWS)。
4240 Engine (NAI, info from 2ch.net)。
The 4160 engine will end-of-life on 31st August 2003
だそうだ。まだ NAI 日本語ページではアナウンスされていないみたい。
特集 Windowsセキュリティセミナー・レポート Windows環境におけるセキュリティ強化のポイント(後編) (@IT)。 IIS と SQL Server 話。
アーキテクチャを一新した新世代アプリケーション・サーバ —— 機能と信頼性を大幅に向上させたIIS 6.0 —— (@IT)。 メモリのサイクル時におしらせしてくれたりする機能があるとうれしいような気がするのだけど、 そういうのは自分で組むしかないのかな。
811492 - Windows XP SP1 でファイルの削除に 35 秒かかる (Microsoft) ことがある、んだそうです。
Windows Update の更新のスキャンが 0% で応答を停止する (Microsoft)。 NetSonic なんて聞いたこともないけど、Windows Update がうまく動かないことはときどきあるなあ。
Microsoft、WindowsXP向けのP2PアプリケーションSDKβ版をリリース 〜IPv6の機能拡張でP2Pをサポートも (INTERNET Watch)。 v6 ですか。
「危険な無線LAN」と「安全な無線LAN」の境目 (ZDNet)。
Notes/Domino にやばげな穴がいっぱい。 とりあえず 6.0.1 / 5.0.12 に upgrade したほうがよさげ。
Lotus Domino Web Server Host/Location Buffer Overflow Vulnerability (#NISR17022003a) (NGSSoftware)
(参考)Lotus Domino Web Server Host/Location バッファーオーバフローの脆弱性; NGSS の報告 (IBM)
Lotus Domino Web Server に remote から攻略可能な buffer overflow 穴。 local SYSTEM 権限を取得可能。 Notes/Domino 6.0.1 で fix されている。5.x にはこの問題はない。 6.0 用の回避策あり。
Lotus Domino Web Server iNotes Overflow (#NISR17022003b) (NGSSoftware)
Vulnerability Note VU#542873 Lotus iNotes vulnerable to buffer overflow via PresetFields s_ViewName field , Vulnerability Note VU#206361 Lotus iNotes vulnerable to buffer overflow via PresetFields FolderName field (CERT/CC)
(参考)Lotus Domino Web Server iNotes のバッファオーバーフロー; NGSS の報告, (参考)Lotus iNotes Web Access バッファーオーバーラン; NGSS の報告 (IBM)
Lotus iNotes Web Access に remote から攻略可能な buffer overflow 穴。 Domino サーバ動作権限を取得可能。 Notes/Domino 6.0.1 または 5.0.12 で fix されている。
LOTUS DOMINO Denial Of Service Attacks 1 & 2 (#NISR17022003d) (NGSSoftware)
(参考)Lotus Domino DoS 攻撃; NGSS の報告 (IBM)
長大な / 不完全な POST リクエストにより nhttp.exe が停止してしまう。 Notes/Domino 6.0.1 または 5.0.12 で fix されている。
Lotus iNotes Client ActiveX Control Buffer Overrun (#NISR17022003e) (NGSSoftware)
Vulnerability Note VU#571297 Lotus Notes Session ActiveX Control contains buffer overflow (CERT/CC)
(参考)Lotus iNotes Client の ActiveX コントロールのバッファオーバーラン; NGSS の報告 (IBM)
Lotus iNotes Client に含まれる \Lotus\Domino\nlsxbe.dll (Lotus Domino Session ActiveX コントロール) に buffer overflow 穴。任意のコードを実行可能。 Notes/Domino 6.0.1 で fix されている? (CERT/CC および IBM 文書にはそうは書かれていないのだが)
Lotus Software - セキュリティー情報 (IBM) は watch すべきかな。
出会い系サイト規制法案登場 (全文)。しかし、「出会い系サイト」の定義が
インターネット異性紹介事業 異性交際(面識のない異性との交際をいう。以下同じ。)を希望する者(以下「異性交際希望者」という。)の求めに応じ、その異性交際に関する情報をインターネットを利用して公衆が閲覧することができる状態に置いてこれに伝達し、かつ、当該情報の伝達を受けた異性交際希望者が電子メールその他の電気通信(電気通信事業法(昭和五十九年法律第八十六号)第二条第一号に規定する電気通信をいう。以下同じ。)を利用して当該情報に係る異性交際希望者と相互に連絡することができるようにする役務を提供する事業をいう。
という、あまりに about、どうとでも取れるものであることもあり、さっそく異議が登場している模様。関連:
ISP協、ヤフー、MSが意見書提出 出会い系サイト規制法案で (毎日)
その意見書ってどこかで読めるのかな。 日本インターネットプロバイダー協会 にはなさそうなんだけど。なぜ公開しない?
出会い系サイト過剰規制懸念 ネット業界、定義見直しを (京都新聞)
JAIPAとマイクロソフト、ヤフーが 出会い系サイト規制法案で警察庁に意見書提出 (INTERNET Watch)
テレコムサービス協会が意見書 出会い系サイト規制法案 (毎日)
テレサ協の意見書は、 いわゆる「出会い系サイト」規制についての意見書を提出 〜 警察庁生活安全局に 〜 (テレサ協) でちゃんと読める。偉いね。
もちろん、それだけではないのですが。関連:
日本における子どもの性とコミュニケーションの権利に関する基礎報告書 −「援助交際」と「出会い系サイト」の規制をめぐって− (田中克範氏)
「出会い系サイト」に係る児童の犯罪被害防止に向けた対策についての提言 (警察庁)
「いわゆる『出会い系サイト』の法的規制のあり方について(中間検討案)」に対する意見募集の実施結果 (警察庁) で「中間検討案」も読めます。
原因
すべてのアクセス ポイントは、エリア内に存在する潜在的なクライアントに自分自身を識別させるため、SSID をブロードキャストする必要があります。アクセス ポイントで SSID ブロードキャストを無効にすることは、ワイヤレス ネットワークのセキュリティ保護のために妥当な方法とは考えられません。
状況
この動作は仕様です。
Windows 的にはブロードキャストは必須、ということかな。
2003.02.25 の SNS Advisory No.62 Webmin/Usermin Session ID Spoofing Vulnerability "Episode 2" に追記した。Turbolinux, VineLinux fix。FreeBSD ports の様子。
待望されていたウイルスバスター 2003 SP1 (プログラムバージョン 10.01) 登場。いろいろ直っているらしい。そろそろ手元のウイルスバスター 2002 も upgrade してみようかな。
CRYPTME, hack されたそうですが、とりあえず復旧……いや、中身が妙に古いぞ。 今のところ、ミラーサイト cryptome.sabotage.org とかを参照した方がよさげ。
内部プログラムの怪しい動きをチェック〜パーソナルファイアウォールの正しい使い方 (ZDNet)。 Sygate Personal Firewall が推奨されています。
JR西日本、全運転士と「個人面談」へ 居眠り事故防止 (asahi.com)。 個人的には、花粉症のクスリの副作用ですごく眠い……。
事故24時間前、シャトル危険性を議論 NASA技術者 (asahi.com)。 結局、問題個所をカメラ (ロボットアーム) で見ることも、EVA で確認することもできなかったという点がアレだったわけで。今回の事故では、宇宙服って常時積まれているわけじゃないんだー、というのが私の一番の驚きだった。
IPログ保存で2ちゃんねるは変わるか (CNET)。変化なしだそうで。 2ちゃんねるに「小学生3人殺す」 中2少年を書類送検へ (毎日) なんてのも出てますね。
436399 - [INFO] Microsoft VM for Java のダウンロードについて (Microsoft)。Windows Update 経由でしか入手できないのだそうで。
メール・サーバーの次の一手は何だろう (日経 IT Pro)。 サーバ側 S/MIME ですか。
「IT社会ではすべての個人情報に注意を払え」——経産省が警告 (日経 IT Pro)。 まずは総務省に言いなさい。
マイクロソフトの人事関係者が解雇処分に (日経 BizTech)。web 告発ものですか。
InterScan VirusWall for UNIX 3.8 が出ていますね。 まだ Solaris と Linux だけみたいですが。 ただし solution 5847: InterScan VirusWall UNIX: バージョン3.8のアップグレードにより検索エンジン・パターンファイルがダウングレードする なんてのも出てますのでご注意。
buffer overrun in zlib 1.1.4、 [ANNOUNCE] OpenSSL 0.9.7a and 0.9.6i released に追記した。Turbolinux fix。
Windows Me に弱点。「ヘルプとサポート」(Help and Support Center (HSC)) が hcp:// 形式 URL を処理する部分に buffer overflow する穴がある。これを利用すると、悪意ある web ページ作成者や HTML メール作成者による攻撃 URL をクリックしてしまうことで、任意のコードが実行される恐れがある。古いバージョンの Outlook Express などでは、クリックすら不要で攻撃コードが自動実行されてしまう場合がある。
CVE: CAN-2003-0009
詳細: MS-Windows ME IE/Outlook/HelpCenter critical vulnerability。
personal firewall を乗りこえるプログラムソース (バイナリ)。以下の personal firewall で有効だという:
ZoneAlarm Pro 3.5 (all settings at highest)
Zero-Knowledge Freedom Firewall
Look'n'Stop 2.04
Sygate Personal Firewall PRO (highest settings)
Norton Personal Firewall 2003 (highest settings)
Sygate については Security Bulletin が出ている: SS20030221-0001 (こっちが正式?)。 こういう原因だそうで:
By allocating memory for malicious code in the address space of a running instance of Sygate Personal Firewall and executing the code as a thread in the context of Sygate Presonal Firewall, it was formerly possible to bypass the ability of the firewall to prevent certain actions.
Sygate Personal Firewall の Build 1175 より前のものにはこの弱点がある。 最新版では修正されているので、http://soho.sygate.com/free/default.php から get すればよい。 Sygate Security Agent の build 1152 より前にもこの問題があり、 これについては Sygate Enterprise Support Representative に連絡する。
Sygate のセキュリティ情報は Sygate Product Forums > Announcements and Forum Rules > Announcements にあるようです。
Windows 版 Opera 7.01 以前、Linux 版 Opera 6.x に弱点。"Automatic redirection" が無効になっている場合 (デフォルトでは有効) に、redirection を表示するために生成される一時ページに問題がある。サニタイジングが一切されていないため、悪意あるコードの挿入が可能であり、cookie 漏曳やセッションハイジャックなどが発生する恐れがある。
Opera 7.02 で修正されている。また、"Automatic redirection" が有効であれば回避可能と考えられる。
一部で話題になっていた「Windows Update は 80/tcp だけじゃなく 443/tcp も使っている」という話の、443/tcp の中身の話題。しかし、元記事にある "A large banner..." は、現在広く利用されているはずの v4.windowsupdate.microsoft.com につながるやつではなくなっているんですけどねぇ……。 これは便利だ。 (slashdot.jp) にあるのは v4.windowsupdate.microsoft.com につながるやつの privacy policy ですね。
もしかして、"A large banner..." が出るやつでも実際には送ってる……という話なんだろうか。でも "A large banner..." は 443/tcp は使ってないと思うのだが……。
[aml 32445] 外務省「イラクの大量破壊兵器疑惑は解明されたのか?」。 少なくとも、外務省のだめだめさは解消されていない模様。
おそまきながら: [aml 32092] スコット・リッター氏講演会レポート、 [aml 32079] スコット・リッター氏の来日講演とシンポジウム、動画で。
記者がロスアラモス核研究施設への侵入に成功 (WIRED NEWS)。 誰でも入れるらしい。
カインとアベル (Cain & Abel) という Windows NT/2000/XP 用の "password recovery tool" があるそうで。 (info from [port139ml:02447])
nessus 2.0.0 出ています。
■元麻布春男の週刊PCホットライン■ 深夜電力で充電できるように進化したピークシフト (PC Watch)。 こんなのがあるんだ。やるじゃん IBM。
Internet Week 2002チュートリアルプレゼンテーション資料公開のお知らせ (JPNIC) って、当の Internet Week 2002 ホームページ には出てないのね。
今日のエラーメール:
現在指定された送信先のメールボックスへは送信できません。しばらくお待ち下さい。
To:090XXXXXXXX@jp-k.ne.jp
Subject:[memo:5486] Re: 安全なパスワードリマインダーとは
こういう人には電話かけてあげたほうがいいんですかね。
S県月宮 (info from [damedame:122])。シャレにならんなあ。 (link fixed: 赤松さん感謝)
Linux Secure Virtual Hosting Extension。 Linux で使える jail みたいなものだそうです。
住基ネット 東京・国立市も予算計上せず (毎日)。
ワーム封じ込めの新システム 米シリコン・ディフェンス (毎日)。 区分けして手動で、というのは今でもやってる人いるかと思うけど、自動で、というのは、運用するには勇気が必要な気が。
httpd(8) leaks file inode numbers via ETag header as well as child PIDs in multipart MIME boundary generation. This could lead, for example, to NFS exploitation because it uses inode numbers as part of the file handle.
OpenBSD に入っているのは Apache 1.3.x ベースのようですが、この修正は純正 Apache 1.3.27 にも必要なのかなあ。
zlib 1.1.4 の gzprintf() (gzio.c) に弱点。引数が Z_PRINTF_BUFSIZE (4096) バイトより長いと buffer overflow してしまう。 HAS_vsnprintf が define されていると vsprintf() のかわりに vsnprintf() が利用されて buffer overflow は防ぐことができるが、 これはデフォルトでは define されていないし、ドキュメントにも書かれていない。 デモプログラムが添付されている。 FreeBSD に入っているものは -DHAS_snprintf -DHAS_vsnprintf でつくられているみたいだ。
CVE: CAN-2003-0107
2003.02.20 の [ANNOUNCE] OpenSSL 0.9.7a and 0.9.6i released に追記した。OpenBSD, FreeBSD, Debian GNU/Linux patch。 FreeBSD は出しなおされている。
SQL Server 2000 セキュリティ ツール (Microsoft)
SQL Server 2000 SQL Scan、SQL Check、および SQL Critical Update は、1 つのダウンロード SQL Critical Update Kit に統合されました。さらに、SQL Critical Update Kit には、SMS 配置ツールと Servpriv.exe ユーティリティが含まれています。
まずは README を。
Slammer Worm への対応: Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) を含んだ製品を販売している ISV 様へのご連絡 (Microsoft)
ISV 様からの反応はどういう状況なんでしょうねえ。
Mac OS X 10.2.4 Server 固有:
QuickTime/Darwin Streaming Administration Server Multiple vulnerabilities (@stake) の修正。
CVE: CAN-2003-0050, CAN-2003-0051, CAN-2003-0052, CAN-2003-0053, CAN-2003-0054, CAN-2003-0055
Mac OS X 10.2.4 と共通:
Sendmail: 8.12.5 で fix された DNS map 話と 8.12.7 で fix された smrsh 話。 Mac OS X 10.2.4 は sendmail 8.12.6 + smrsh patch の模様。 CVE: CAN-2002-0906, CAN-2002-1165。
Apple File Protocol: 管理者パスワードで他のユーザとして login できてしまう。[harden-mac:0320] 10.2.4 アップデートでのAFPの変更 のスレッドも参照。 CVE: CAN-2003-0049
Classic 環境: TruBlueEnvironment Privilege Escalation Attack (@stake) の修正。 CVE: CAN-2003-0088
Samba: [samba-jp:13875] [ANN] オリジナル版 Samba 2.2.7 における脆弱性修正と日本語版での影響の有無に関して の話。CVE: CAN-2002-1318
2003.02.25 の SNS Advisory No.62 Webmin/Usermin Session ID Spoofing Vulnerability "Episode 2" に追記した。exploit 出てますね。
web ベースのシステムなどでみかける「パスワードリマインダー」はどうあるべきか、というスレッド。 個人的には、質問を自由に入力できるようにすると、間違えてパスワードを入れてしまうという事例 [memo:5482] が興味深かったです。
覚醒剤の助けで戦闘に臨む米軍兵士たち (WIRED NEWS)。 「クスリやめますか? パイロットやめますか?」 任意というより、ファイナルアンサー。
[OE] 長い行のメールを送ると Outlook Express がハングする (Microsoft)。 英語版には fix があるみたい。日本語版にはまだ。
イラQウェブ (jca.apc.org) ができています。
「ナイジェリア詐欺」で領事の殺人にまで発展 (WIRED NEWS)。 「419 詐欺」事件、先日 FERC も取りあげていましたね。 実例が [connect24h:5550] にありますが、文面的にはこの他にもいろいろあるようで。
OSCAR Column:あなたのLinuxは安全か?−サーバ管理問題を露呈したSlammer− (ZDNet)。
オープンソースのおかげで、修正パッチの提供は早いのだ。問題が起きると、遅くとも24時間以内に対応されている。
嘘を書いてはいかんだろう……。
Webmin 1.060, Usermin 0.990 に弱点。miniserv.pl において、 管理ユーザ admin がログイン済みだという偽セッション ID を発行ことが可能となっていた。Webmin 1.070, Usermin 1.000 で修正されている。
exploit 出てますね: Webmin 1.050 - 1.060 remote exploit (bugtraq)。 ほんとうに使えるかどうか知りませんが。
TLSA-2003-12 webmin: セッション ID の漏洩 (Turbolinux)
[ 2003,02,27 ] Webmin にセキュリティホール (VineLinux)
FreeBSD の ports/sysutils/webmin も 1.070 ベースになっている。が、 ports/sysutils/usermin のほうはまだ 0.990 ベースのようだ。 patch が追加された様子もない。
2003.02.24 の 西武百貨店の危ない無線POS,クレジットカード情報が見えた ——対策は2003年1月末に完了 に追記した。関連記事を追加。
異分子(仮) - dissident - チョムスキー・アーカイヴ日本語版 が http://rootless.org/chomsky/ に移転しています。同様に、 ZNet/Japan は http://rootless.org/z/ に移転しています。
海賊版ソフト交換サイトで初の刑事摘発 (日経 BizTech)。 まだ書類送検ですね。
Asia Pacific Security Incident Response Coordination Conference 2003 開催中ですね。Slammer 関連の新情報は出てくるかしらん。
Linux 用メモリプロファイリングツール (sourceforge.jp)。Pentium 4/Intel Xeon 専用。 perfctr が必要だそうです。
米マイクロソフト,Windows Server 2003向けのアクセス権管理技術「RMS」を発表 (日経 IT Pro)。うーん、わかったようなわからんような説明やなあ。
コモンズ の 3 刷 (2003.02.20 付、めでたい) をいただく (ありがとうございます……って、自分で買った 1 刷を読めてないというのがアレだ……)。 2 刷以降では、付記として 勝手につける『コモンズ』への解説 あるいは 露骨な我田引水 (白田 秀彰氏) の URL が訳者あとがきについている、のかな。TOP 画像に書かれている文字列がなかなか…… (^^;;;)。
全国にある「危ない地下駅」、国交省が速報、 特殊閉鎖空間の排煙検討を--韓国地下鉄惨事で建築学会 (日経 BizTech)。 従来型対策ですら完全にはなされていないわけで、……。 地下駅における避難通路及び排煙設備の 設置状況について(速報値) (国土交通省)、具体的駅名を示してもらわナイト。
WHO、エボラ出血熱の発生をコンゴ共和国で確認 (日経 BizTech)。
住基ネットの予算、東京・国分寺市も計上せず (毎日)。 来年度予算の話。杉並区も計上してません。
[WSJ]米、イラク攻撃に“電磁パルス爆弾”使用の可能性 (ZDNet)。 炭素繊維攻撃では満足できなかったのか……。
きょうのだめだめ(2)。笑っていられる間はいいのですが、この手の人に物理攻撃されるとシャレにならないような気が。
The American Museum of Natural History からチェルノブイリ来てるよ……。
XOOPS さん、どうやらだめだめらしいです。
JANOG11 のプレゼン資料とログが公開されています。 セキュリティ関連話もそこかしこにあるようで。
JPCERT/CC Update log にあるように、JPCERT/CC では業務拡張のため人材を募集中だそうです。 興味ある方は連絡してみてください。 ただし、血の気の多い人には向かないらしいです。 たとえば、新しいツールが出たとたんに使ってみたくなるような人や、先日の Slammer 祭で「キタ━━━━(゜∀゜)━━━━ッ!!」と喜んでしまう人には向かないらしいです。 モラルの高い人がほしいらしいです。 スキルはあまり問われないそうです。
うーん……
同マークがあるサービスは、ユーザ対策やセキュリティ対策などが、一定基準以上をクリアしていることを示している。
安全・安心マークは、必須項目全て + 推奨項目 110 点中 80 点以上を獲得する (isp-ss.jp) と公布されるそうで。 で、たとえば必須項目には
6-2-1 会員に対して、最新のウィルスの情報を発信していることの確認
なんてのがあるわけですが、たとえば No.49 マンダラネット では、どこでどのように行われているのか、私にはさっぱりわかりません。多分会員の方にはわかっていらっしゃるのでしょうが。 またたとえば No.32 WAKWAK には セキュリティ情報というページがあって top からも link されているのですが、『2002.10.04:「W32/Bugbearに関する情報」』が最新でいいんですか? と思ったりするわけで。
公布するのはいいのですが、せめて、「必須項目は XX のように行っている」「推奨項目については XX を XX のように行っている」 ことが各プロバイダで明示されていないと、とてもじゃないが「一定基準」などとは言えないと思ったりします。
Session Initiation Protocol (SIP) を実装した複数ベンダーの機器のいくつかに複数の弱点。DoS や認可されない権限の取得などが可能になる場合がある。具体的には、現時点では CISCO や IPtel や Nortel の Succession Communication Server 2000 に問題があることが明らかになっている。 PROTOS Test-Suite: c07-sip から Java で動作するテストツールを入手できる。
SIP は VoIP などで利用されているプロトコルなのかな。
NEC は iExpress5800シリーズ (NEC プレスリリース) というものを 2003.03.01 から出す予定のようだけど、これはどうなのかな。 しかし、 ここ の [さらに詳しい情報] をクリックしても、どこにも情報がないという状況はなんとかならないのかしらん。
関連: Vendor Status Note JVNCA-2003-06 Session Initiation Protocol (SIP) の実装に複数の脆弱性 (JPCERT/CC JVN)
Internet Navigware Live オプションのSession Initiation Protocol(SIP)の実装における複数の脆弱性 (2003年4月17日) (富士通)。 富士通の Internet Navigware Server Enterprise Edition LiveオプションV7.0 にこの問題があるそうで。patch はまだない。
CERT Advisory CA-2003-06 邦訳版 (LAC)。
西武百貨店では暗号化されていない無線 LAN POS システムを使っていたので、 無線 LAN を傍受するだけでクレジットカード情報などを誰でも get できていた、という話。「2年に1回はセキュリティの監査を受け,サーバーに保管している顧客情報やその他の重要情報が危険な状態にさらされる恐れがないかもチェックしている」にもかかわらず、このような弱点の存在を見逃してしまっていた、というのも頭の痛い話。 西武百貨店ではすでに対応されているが、他社にも同様事例が存在する可能性がある。 無線 LAN を利用した業務システムを構築・運用している場合は、ぜひ今一度状況を確認されたい。
日経ネットワークセキュリティ〜無線LANパニック〜 にはより詳しい記事と傍受データの画像などがあるので、興味ある向きは参照されたい。
西武百貨店、無線POSの平文通信を知りながら即時回避策とらず (slashdot.jp)。 作ったところはここかな? (slashdot.jp) にある マルチメディアPOSからWeb POSそして更に未来の小売業へ (NCR) には「1996年秋から1997年にかけて行なわれた西武百貨店に導入戴いた」とありますねえ。 さらにその前には「1996年春、無線 LAN(WaveLAN)を用いた流通業界初の大規模模なPOSワイアレス・システムを伊勢丹府中店に導入いただき」とあるわけで、 だいじょうぶか伊勢丹?! という気も。
西武百貨店の無線POS事件,問題の本質を考える (日経 IT Pro)。
2003.02.19 の Oracle ねた に追記した。JVN, LAC CERT Advisory 邦訳版への link を追加。
SlammerはTrustworthy Computing提唱後の最大の事件 〜Microsoft社内の感染例を紹介 (PC Watch)。興味深いですねえ。 どこかで再演されないですかねえ。
情報公開センター設置の監視カメラを撤去へ 警視庁 (毎日)。
Unpatched IE security holes、13 になっています。
2003.02.19 の [memo:5237] XSS脆弱性によりBasic認証のパスワード情報が漏えいする に追記した。TRACE を使う方法は TRACE を無効にすることにより回避できる。
緊急セミナ「Znウイスカによるコンピュータ不具合問題の真相」 (2003.02.28, 東京都千代田区, 2/21 までは 19,800円) というのも開かれるのだそうです。 あと、『日経エレクトロニクス』2003年1月6日号に記事があるらしいです。
Bastilleは、HP-UXオペレーティングシステムのセキュリティを拡張するのに使用可能な、セキュリティ強化/ロックダウンツールです。
HP-UX Bastille B.02.00.05 以降は http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B6849AA から入手できるそうです。
また、HP-UX Bastille B.02.00.00 には SSRT3450 HP-UX Bastille sendmail.cfの問題というものが存在するそうですのでご注意。
2003.02.19 の Oracle ねた に追記した。CERT Advisory CA-2003-05 Multiple Vulnerabilities in Oracle Servers 登場。
Proxomitron Naoko 4.4 以前に、長大なコマンドライン引数で buffer overflow する問題があるという指摘。
SecurityFocus Newsletter #183 2003-2-3->2003-2-7。 テキスト版はこちら。
OpenSSL 0.9.7 / 0.9.6h 以前に弱点。
ssl3_get_record 関数において、タイミングに起因する少量の情報漏曳が発生。
もうすぐ出る論文によると、SSL / TLS における
CBC 暗号化方式に対してタイミングベースの攻撃が可能だという。
OpenSSL では 0.9.6c 以降において「block cipher padding errors」を利用した攻撃には既に対応していたが、「MAC verification errors」を利用した攻撃には対応されておらず、タイミングベースの攻撃を受けてしまう。OpenSSL 0.9.7a / 0.9.6i では MAC 計算が改良され、タイミングによる情報漏曳が最小化されている。
Advisory: OpenSSL Security Advisory [19 February 2003]: Timing-based attacks on SSL/TLS with CBC encryption (openssl.org)。Advisory に添付されている patch は OpenSSL 0.9.6e 以降に適用できる。 こがさん、石附さん情報ありがとうございます。
CVE: CAN-2003-0078
セキュリティーホールmemoはちょっと違う? (slashdot.jp)。 すまん。理解しきれないまま書いているのは確かだ。
007: SECURITY FIX: February 22, 2003 (OpenBSD)
ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-03:02.openssl [REVISED]
RELENG_4_6 以降しか fix されてません。 SA 出しなおしになってます。こういうことがしょっちゅうあるので FreeBSD では patch の適用は推奨できないです。 cvsup とかの方が楽です。もっとも、SA は GPG 署名ついてたりするのでうれしいのですが。 (書きなおし: 若杉さん感謝)
[SECURITY] [DSA 253-1] New OpenSSL packages fix timing-based attack vulnerability
明日と明後日は更新できないかもしれません。
ようやく 自由利用マーク をちょっと読んでみたけど、なんだかずいぶん不自由なマークのような気が。 自由利用マークについては、 真紀奈17歳 さんが 3/1 にコンテンツを公開されるそうです。 krias さん情報ありがとうございます。
au国際電話サービスにおける一部通話の取扱い休止について (KDDI)。 イリジウムですか……。
反米コーラ「メッカ・コーラ」、中東で発売へ (reimy.com)。恐いもの飲みたさ。"Code Red" も飲みたいんだが、……。
住基ネット不正利用 一部金融機関が「通知票」で本人確認 (毎日)。 「全銀協は金融庁と協議して利用を決めた」点が素敵。 どちらも全然わかっちゃいなかった、と。
本人確認情報の国への提供記録開示を決定 住基ネット (毎日)。 ちょっと前進。
情報公開請求者の撮影が目的か 警視庁カメラ問題、 情報公開センターにカメラ4台、請求者を撮影 警視庁 (毎日)。 4 台あって、内 1 台がズーム可能なカメラだそうだ。 「情報公開窓口にカメラを設置しているのは警視庁だけ」で、その理由は「警視庁は首都の警察だから」だそうだ (爆笑)。 その割には、「そのほかの部屋に全て設置しているものではない」のだそうで。
portscan メモ (info from kawa's memo)。
Microsoft Windows 2000 セキュリティ構成ガイド、 Windows 2000 評価構成 ユーザーズ ガイド (Microsoft)。 Windows 2000 共通基準セキュリティ ターゲット (ST) に従って〜って何? と思ったら、Common Criteria 話でした。
オンアクセススキャンの動作中にMcshield.exeのDr. Watson エラーや一般保護違反エラーが発生し、NetShield(”Network Associates McShield ”のサービス)が停止する。 (NAI)。 改訂項目って明記されないんですかねえ。
814803 - MS03-004 適用後 Outlook Express が正しく動作しない (Microsoft)。 IE 6 SP1 利用者はご注意あれ。 関連: IEの修正パッチ適用後にOutlook Expressが正しく動かない不具合 (INTERNET Watch)。
【韓国・地下鉄火災】 (asahi.com)。 日本の地下鉄は厳しい防火基準 過去の事故教訓にから:
何より、関係者は「放火するなんて、想定外」と口をそろえる。都交通局の担当者は「放火を防ぐには、警備員を置くなど新たな対応が必要」。営団や大阪市交通局は18日夕、不審物や不審者の監視を徹底するよう各駅に通達を出した。
戒厳令級にしたとしても、防ぎ切るのは不可能なのでは。 メトロン星人に狙われかねないのでアレですが。
攻撃元にまで攻め上がりながら防御する DDoS攻撃対策システム (INTERNET Watch)。Moving Firewall (MFW) ソフトウェアが存在する範囲内でしか使えないのは、まあしかたのないところか。しかし、ほんとうに分散された攻撃だった場合、そこらじゅうの MFW が反応するような気も。たとえば Slammer に対して防御を実行したとすると、どのような対応がなされたのだろう。
@Random/1st ネタ議論用 BBS ができています。
あぁっしまった! 「クラッキング防衛大全 Windows 2000 編」を持っていってサインしてもらえばよかったんだ。くぅ〜。伊原さんに脅されて「インシデントレスポンス」を持っていったのが敗因か。おまけに読まずに寝てるし、新幹線の中 (だめすぎ)。
……あぁぁっ、さらに墓穴を…… > 俺。 本当に読んでいないことが明白に。あぁだめだめ。
Oracle unauthenticated remote system compromise (#NISR16022003a)
Oracle TO_TIMESTAMP_TZ Remote System Buffer Overrun (#NISR16022003b)
Oracle TZ_OFFSET Remote System Buffer Overrun (#NISR16022003c)
Oracle9i Application Server Format String Vulnerability (#NISR16022003d)
Oracle bfilename function buffer overflow vulnerability (#NISR16022003e)
データベース実行権限 (oracle / local SYSTEM) で任意のコードが実行可能な穴も含まれています。多くについては fix が出ていますので、適用しましょう。 (一部 Planned なものもあるようで)
すごい数ですが、みんな同じ会社を使っていた、という点こそがとてもアレな気が。
from vendor: Vulnerability reported in F-Prot Antivirus for Linux fixed。 F-Prot Antivirus for Linux / FreeBSD 3.12b に弱点。 長大なファイル名により buffer overflow する。
3.12d で修正されている。
XSS 穴があり、かつ HTTP の TRACE メソッドが利用可能な状態だと、 Basic 認証利用時に、パスワードが盗まれるかもしれない、という話。 さらに、状況によっては TRACE メソッドすら必要ないとフォローされている [memo:5419]。
TRACE を使う方法は TRACE を無効にすることにより回避できる。 Vulnerability Note VU#867593: Multiple vendors' web servers enable HTTP TRACE method by default によると、Apache は mod_rewrite で、IIS は URLScan で無効化できるそうだ。 また Sun Alert ID: 50603 - Sun ONE/iPlanet Web Server Enable HTTP TRACE Method by Default には、Sun ONE/iPlanet Web Server における無効化方法が記載されている。 (しまった、JWNTUG Newsletter は書き方が悪かった……)
おくればせながら、2003.01.20 の IEのCookieをオフにしても有効なCookieモドキ に追記した。UserData は Windows Update の「カスタマイズ」で利用されているそうです。
HTML 版:
テキスト版:
PHP 4.3.0 の CGI 版に弱点。 CGI バイナリへの直接アクセスを抑止する configure オプション --enable-force-cgi-redirect および php.ini の cgi.force_redirect がうまく動作しない。 このため、PHP CGI モジュールを利用している web サーバにおいて、 remote user が web サーバ権限で読める全てのファイルにアクセスできる。 さらに、CGI によってアクセス可能なファイルにコードを挿入することにより、 任意の PHP コードを実行させることも可能。このファイルには web サーバのアクセスログが含まれる。
PHP 4.3.1 で修正されている。また、apache モジュール版にはこの問題はない。
麗美さん情報ありがとうございます。
Norton AntiVirus 2002 (バージョン 8.07.17C) の受信メールスキャン機能に問題。 長大なファイル名を含むアーカイブファイルが添付されたメールのスキャンで buffer overflow するため、悪意あるメール送信者が任意のコードを実行可能。
対応するには、LiveUpdate で最新の状態にすればよい。
Slammer が爆発したのは 2003.01.25 14:30 ごろなのですが、DeepSight はこの 30 分前に警告を出したのだそうで。で、なんで自分達だけで囲ってたんやと言ってる人がいる、と。まあ、「儲けるチャンスキター」と思ったら囲むわなあ。 あるいは、ここまで大事になるとは思っていなかった、とか。
malta さん情報ありがとうございます。
最初だけ読むと決定事項のように見えるけど、実態は「新たに設立を目指」している段階の模様。 日経 2003.02.18 朝刊の記事自体はかなり長いので、可能ならばそちらも参照。 日経 2003.02.01 夕刊話も、新聞記事はもっと長いみたい。 (なんかセコいぞ > 日経)
明日 (2/18) は更新できないと思います。
セキュリティサーベイ・パーソナル報告書 (インターネット協会)。Ikegami さん情報ありがとうございます。
ISC
に port 17300 connect scans still strong. No evidence of payload so far
って出てますね。
[aml 32227] 緊急のお願い。旗色は悪い模様。日本政府の辞書に人権という文字がないのは今に始まった話ではないが、……。
海賊版ソフトのファイル交換、さらなる刑事告発も ACCSがネット上の違法行為対策を強化へ (INTERNET Watch)。 今すぐ実行すればいいのに。
立ち上がるヨーロッパ (tanakanews.com)。軍事国家の大韓民国、共産党な中華人民共和国、世界で最も成功した社会主義国家日本、がドイツとフランスのようになるのはそんなに簡単ではないし望ましいかどうかもよくわからないけれど、US のいいなりなだけではねえ。
Tea Room for Conference No.1269。ヤバそうですか……。
ワイヤレス接続が軍のレーダーに干渉:米政府と業界が合意 (WIRED NEWS)。 この合意事項って発表されているんでしょうか。
個人情報保護に関する説明会のご案内 (METI)。2/26〜3/14 にかけて全国ドサまわりの模様。話題 (笑) のプライバシーマーク制度話もあります。
原発事故のリスクを増大させる、原子炉の老朽化と人為的要因 (WIRED NEWS)。いずこの国も似たような状況のようで。
Honeyd - Network Rhapsody for You。あそびたい……。
セキュリティ管理ってそういうことだったのか! (翔泳社)。 おもしろいのかな。
原因不明のメモリ不足エラーに対処する方法(デスクトップ・アプリケーション・ヒープ不足エラーに対処する方法) (@IT)。 そうだったのか。
B-) の独り言 世の中のデフォルト(2003/2/14)。 信用できるか、ではなく、信用せざるを得ない、ではないかと (デフォルトインストールでいい、というわけでももちろんないけど)。 Developers Summit 2003 でそのあたりの話もちょっとするつもり。 メトロン星人に狙われかねないくらい、いろんなものの信用に依存しているわけで。 (#08 「狙われた街」もおもしろい)
すいません、「インシデント レスポンス」はツンドク状態になってます _o_。 というか、伊原さんの書き込みに対する↑の文章は、主題が違っているような気がしてきた。
329251 - Ipnat.sys による Windows NAT ソリューションのパフォーマンス向上のための修正 (Microsoft)。Windows 2000 SP1, SP2 しか書かれてませんが、 Windows 2000 SP3 でも Windows Update に出てきますね。
[RHSA-2003:020-10] Updated kerberos packages fix vulnerability in ftp client
CVE: CAN-2003-0041
[RHSA-2003:017-06] Updated PHP packages available
CVE: CAN-2002-1396
[RHSA-2003:025-20] Updated 2.4 kernel fixes various vulnerabilities
CVE: CAN-2003-0001, CAN-2003-0018
[RHSA-2003:040-07] Updated openldap packages available
CVE: CAN-2002-1378, CAN-2002-1379
[RHSA-2003:043-12] Updated WindowMaker packages fix vulnerability in theme-loading
CVE: CAN-2002-1277
[RHSA-2003:037-09] Updated Xpdf packages fix security vulnerability
CVE: CAN-2002-1384
[RHSA-2003:044-20] Updated w3m packages fix cross-site scripting issues
CVE: CAN-2002-1335, CAN-2002-1348
[RHSA-2003:056-08] Updated kernel-utils packages fix setuid vulnerability
CVE: CAN-2003-0019
[RHSA-2003:029-06] Updated lynx packages fix CRLF injection vulnerability
CVE: CAN-2002-1405
[RHSA-2002:202-33] Updated python packages fix predictable temporary file
CVE: CAN-2002-1119
[RHSA-2003:035-10] Updated PAM packages fix bug in pam_xauth module
CVE: CAN-2002-1160
[RHSA-2003:015-05] Updated fileutils package fixes race condition in recursive operations
CVE: CAN-2002-0435
[SECURITY] [DSA 246-1] New tomcat packages fix information exposure and cross site scripting
[SECURITY] [DSA 247-1] New courier packages fix SQL injection
[SECURITY] [DSA 249-1] New w3mmee packages fix cookie information leak
CVE: CAN-2002-1335, CAN-2002-1348
[SECURITY] [DSA 248-1] New hypermail packages fix arbitrary code execution
CVE: CAN-2003-0057
[SECURITY] [DSA 250-1] New w3mmee-ssl packages fix cookie information leak
CVE: CAN-2002-1335, CAN-2002-1348
[SECURITY] [DSA 251-1] New w3m packages fix cookie information leak
CVE: CAN-2002-1335, CAN-2002-1348
FreeBSD Security Advisory FreeBSD-SA-03:01.cvs (日本語版)
link fixed: 匿名希望さん、植田さん感謝
Windows XP に弱点。Windows リダイレクタに長大なパラメータが渡されると buffer overflow してしまい、 local からの DoS 攻撃や local SYSTEM 権限での任意のコードの実行が可能となる。 remote attack はできない。
patch があるので適用すればよい。 KB 810577 によると、実際に修正されるのは %Windir%\System32\Mrxsmb.sys というファイルだそうだ。
CVE: CAN-2003-0004
[VulnWatch] NSFOCUS SA2003-01: Microsoft Windows XP Redirector Local Buffer Over flow Vulnerability。
「不正アクセス 調査/診断/対応」で参考になる本 (port139)。ふぅむ。
Mcafee お客さまに聞く 第30回:理化学研究所 (NAI)。ふぅむ。
自治体のみなさまに、ウィルス対策状況について、匿名でアンケートしてみました (NAI)。 有効回答数: 27 って……。
「安全神話」崩壊でホームセキュリティーの需要が急増 (毎日)。 子供に壊されそうな気がする > 番竜。
独特許商標庁、私的目的の電子複製を有料で合法化 (INTERNET Watch)。 12 ユーロ/台、だそうで。これはなかなか興味深い事例ですね。
反戦運動が盛り上がっても報道されない米国 (日経 BizTech)。 CNN がこんな腰抜けメディアになってしまうとは、 (第一次) 湾岸戦争時に誰が想像しただろう。
代わりにCNNが番組の合間に毎日頻繁に流しているのはこんなCMだ。「イスラエルは米国の友人です。イスラエルは同じ地域にある他の国々と違って民主的で、宗教の自由が保障されています」。
これはギャグか? ギャグなのか?!
池田さんから (ありがとうございます):
CNNに関しては湾岸戦争の時から腰抜けだった気がします。
湾岸戦争のとき、例の油まみれの鳥のアジテートやったのがどこの放送局であったかを考えれば、現在のCNNの行動を合理的に説明できます。
こと米国が戦争を起こすときには、必ずといっていいほどPR会社が動いていますからその辺からも説明できるように思います。
したがって、これに関しては予想通りという気がしますね。
アレを撮ったのって CNN でしたっけ?
「攻撃される前にたたく!」——ブッシュ政権のサイバー攻撃計画が議論を呼ぶ (日経 IT Pro)。いざとなったらケーブル抜けるだけ、まだよいのでは。
何をしでかすか分からない危険な国家には,先制攻撃を仕掛けることこそが,最善の防御策である。そのためには小型核兵器の使用も辞さない
ぜひビンラディン氏にもご推奨下さいますよう。
中島平太郎氏インタビュー(2) 「著作権」と「音質」——CDの生みの親が呈する苦言 (ZDNet)。すばらしい。 わかっている人は言うことが違う。ちゃんと中長期的視点を持っている人が、中島さんの他にもたくさん業界にいればよいのですが、ねぇ……。
ネットマークス/ラック共同セミナー 「セキュリティ対策の現状と今後」 〜効果的な不正アクセス対策とアウトソーシングサービスの利用とは〜、 2003.03.05、大阪府大阪市中央区、無料。
@Random/1st でのプレゼンテーション 「JPCERT/CC に対する DoS 攻撃」 の PDF / PPT を 置いてある場所に、実際に送っているものがどんな感じかがわかるモノを置いておきました。
IE 5.01, 5.5, 6 に弱点。クロスドメインセキュリティに関する 2 つの弱点がある。
不適切なクロスドメインセキュリティの確認とダイアログボックス (CVE: CAN-2003-1326)
特定のダイアログボックスによりロスドメインセキュリティが破綻、 悪意ある web ページ設置者や HTML メール送信者は、任意のコードの実行が可能になってしまう。
不適切なクロスドメインセキュリティの確認と ShowHelp 機能 (showHelp("file:") disables security in IE - Sandblad advisory #11, CVE: CAN-2003-1328)
showHelp() に問題。悪意ある web ページ設置者や HTML メール送信者により、 cookie や local file の読み取りや任意のコードの実行が可能になってしまう。 アクティブスクリプトおよび ActiveX の停止により回避できる。
発見者が通報してから直るまでに 4 か月経過している。
patch があるので適用すればよい。ただし:
IE 5.01 用 patch は Windows 2000 上の IE 5.01 SP3 (Windows 2000 SP3) にしか適用できない。
IE 6 用 patch は Windows XP gold にしかインストールできない。
IE 5.5 SP2 用は Windows 2000 SP3、Windows NT 4.0 SP6a、Windows Me、Windows 98 SE に適用できる。
IE 6 SP1 用については Windows XP SP1、Windows 2000 SP2/3、Windows NT 4.0 SP6a、Windows Me、Windows 98 SE に適用できる。
この patch は [memo:5191] 81084 IE累積修正 で騒がれた謎 patch の本物だ。謎版 (修正プログラム候補、だそうだ) をインストールしてしまった場合は、本物版を手動インストールすればよい。謎版をインストールしてしまった場合は、本物版は Windows Update に表示されないので注意。
この patch には副作用があり、 適用すると window.showHelp( ) が機能しなくなる。再び機能させるには、 Window.showHelp() メソッドで呼び出されたときの機能を制限するための HTML ヘルプ の更新 (811630) を入手し適用しなければならない。
IE 6 SP1 ではさらに副作用があり、「購読ベースの Web サイトや MSN 電子メールなど、特定のインターネット Web サイトに認証できなくなる可能性があ」るのだそうだ。 February 2003, Update for Internet Explorer 6 SP1 (813951) を適用しておく必要がある。
KB: [IE] [MS03-004] Internet Explorer 用の累積的な修正プログラム (2003 年 2 月)
さらなる副作用: 814803 - MS03-004 適用後 Outlook Express が正しく動作しない (Microsoft)。これまた IE 6 SP1 の場合だ。
814895: MS03-004 の修正モジュールの適用後に発生する現象について (Microsoft)。 MS03-004 patch による副作用は MS03-015 patch で修正された。
Oracle ねた。
Two Security Vulnerabilities in Oracle9i Application Server
Oracle9i Application Server 9.0.2 / 9.0.3 (全プラットホーム) において、 WebDAV にまつわる 2 種類の DoS 攻撃を受ける模様。 1 つについては回避方法が書かれ、9.0.3 で修正されている。 もう 1 つについては patch の適用が必要なようだ。問題は、全てのプラットホームで patch が用意されているわけではない、という点だろうか。現在 Available なのは Solaris (32bit) と Windows NT/2000/XP だけで、AIX、HP-UX、Linux は Planned だ。
Buffer Overflow in ORACLE.EXE binary of Oracle9i Database Server
Oracle9i Database Release 2, Oracle9i Database Release 1, Oracle8i Database v 8.1.7, Oracle8i Database v 8.0.6 に弱点。 Oracle9i Database の ORACLE.EXE に buffer overflow する弱点があり、 悪意あるユーザによって任意のコードが実行可能。 最新の patchset level で修正されている。
いつまで続くんでしょう。
インターネット障害に関する韓国訪問調査の結果及び 今後のインターネット・セキュリティ対策の充実・強化
ほんとに「本年度中に活動を開始」するんですかねえ > Telecom-ISAC Japan。 しかし、「韓国はインターネットの全てのポートを原則オープンに設定する傾向があり」ってのはすごいですねえ。おっぴろげジャ〜ンプって感じ? ジャンプはジャンプでも、バンジージャンプ (紐なし) だな……。
緊急のお知らせ hp OpenView製品におけるSlammer/SQL Expワームの感染について (HP)
DNS 問題にあわせた改訂がなされています。
今回は、ニセ syslogd の設置やログファイル自体の改ざん。 やっぱ rootkit でひとしきり遊んでみないといかんなあ。
2003.01.27 の 連載:不正侵入の手口と対策 第5回 仕掛けられたバックドアの検出と対処 に追記した。2003/2/10 付で改訂されています。
コンピュータセキュリティインシデント対応でも全く同じですねえ。
イラク侵攻をめぐる迷い (tanakanews.com)。
[osx-users:0244] Re: Virex 7.2。 Virex 7.2 for OS X はかなりアレな模様。
@Random/1st でのプレゼンテーション 「JPCERT/CC に対する DoS 攻撃」 の PDF / PPT をこのへんに置いておきました。
登録済みポートを一時ポートとして使用させない方法 (Microsoft)。ReservedPorts にしてしまえばよい。
[port139ml:02229] [3/22]緊急セキュリティ研究会:セキュリティ、これだけはやってくれ!、 2003.03.22、東京都江東区、12:30-18:30、料金未定 (¥1000〜2000 を予定)。 申し込みアドレスが間違ってるらしいので、[port139ml:02235] も参照。
プロジーのGPL違反疑惑に新展開 (slashdot.jp)。楽しそうですね。
MS、開発者向け脆弱性検出ツール提供 (ZDNet)。「Webアプリケーション上をリアルタイムで走らせて既知のプログラミングの脆弱性を検出する」ということは、web アプリ用のソースコード検査ツールなのかな。ASP.NET 用?
ポイントは「危険な距離」——SecurityWatch開発者に聞く (ZDNet)。 おもしろいコンセプトだと思うけど、
キーモジュールとベースモジュールの間で交わされるIDは固有のもので厳重なセキュリティシステムで守られているため、第3者がIDをコピーしたり、直接ベースモジュールをコントロールすることはできない。
その「セキュリティシステム」とやらを検証できないでは、……。
おまえのイドの蓋を取れ。 (参照: 今宵、銀河を杯にして)
イドと言えばやっぱり禁断の惑星ですなあ。
ネットワークセキュリティ 基礎と実践、2003.04.18〜19, ¥80,000-。
How to Join the NANOG Mailing List、confirm なしで subscribe できちゃっていいのか?!
少なくとも Windows 版 Opera 6.05、7.0 beta 2 に、長大な user 名を含む URL によるバッファオーバーフロー穴が存在。Windows 版 7.0 final 以降では修正されている。他のプラットホーム (Mac, UNIX) での状況は不明。
ファイル共有ソフト Winny 1.06 以前に弱点。Winny に含まれる HTTP サーバ機能に XSS 穴があるため、これを利用すると任意のコードをイントラネットゾーン権限で実行させることが可能になる可能性がある。
Winny 1.07 で修正されている。また、指摘者の高木氏は「この事例から得られる一般的教訓」として
ユーザ:
ローカルで動作するサーバを知らないうちにインストールしてしまっている可能性を想定し、「localhost」を「制限付きサイト」ゾーンに登録しておくとよい。
を挙げている。
SQL Server 2000 がインストールされるのでマズい。Microsoft 製 patch の適用で ok。
Slammerワームを分析する (ZDNet)
強気のMSを動揺させるか? セキュリティーホール訴訟 (WIRED NEWS)
Slammerワームめぐり韓国でMS提訴の動き (ZDNet)
さて、ほんとうに訴訟になるんですかねえ。
単純なフィルタではまずい場合があり得る、という話。 src = 53/udp, dst = 1434/udp を通した上で、dst = 1434/udp をフィルタしよう。 Windows の場合は、アレな port は 登録済みポートを一時ポートとして使用させない方法 (Microsoft) で reserved port 扱いにしてあげるといいのかなあ。
もうひとりのケビン、ケビン・ポールスン氏は既にさまざまに活躍していらっしゃいますが、ミトニック氏の活躍も期待していいのかな。やったこと自体はポールスン氏の方がはるかにスゴいと思うけど。天才ハッカー「闇のダンテ」の伝説 (ひでぇ邦題だよな。原題は The Watchman) って、入手困難みたいですね。いかんなあ。 FBIが恐れた伝説のハッカー (最低な邦題だよな。原題は The Fugitive Game) は容易に入手可能なようなのに。
思い出した言葉: FREE UNYUN。
@Random/1st にご参加下さったみなさん、ありがとうございました。 準備不足に起因するお見苦しい点が多々あり、誠にもうしわけございませんでした _o_。 次回があるのかどうかわかりませんが、その際にはなんとかしたいと思います。
guest presentator のみなさん、staff のみなさん、おつかれさまでした。 次回があるのかどうかわかりませんが、その際にはまたよろしくお願いいたします。 個人的には、次回は昼からの方がいいなあと思ったり。(トシだ、トシ)
個人的には、 異分子(仮) - dissident - チョムスキー・アーカイヴ日本語版 のアクビさんにお会いできたのがなにより (^^)。 あ、翔泳社の美貌の編集者、外山さんも (^^;;;)。
いよいよ明日。
MS、IEの修正プログラムの提供ミス 一部に未完成版 (毎日)。 [memo:5191] 81084 IE累積修正 の話。しかし Microsoft 公式発表 は事実を反映していない: [memo:5414]。
solution 5775: ウイルスバスター2003: 修正モジュール vb23_tmcfw_1082.exe 公開のご案内 (トレンドマイクロ)。 待たれていたもの、なのかな。
児童の出会い系サイト利用、パソコンからも規制対象に 〜警察庁が法律案提出へ (INTERNET Watch)。 [aml 31913] に、中間検討案に対する崎山伸夫さんの意見があります。
Windows Update、あいかわらず激遅ですねえ。個別 patch はすんなり get できるのに。
B-) の独り言 体調悪化 (2003/2/7)、「小島さんが大阪でやる気らしい」って……そんな予定は……(^^;;;)。 まずは @Random/1st を成功させナイト。
@Random/1st、いよいよ今週土曜日開催です。ひー。
振込確認ができている方には、さきほどリマインダーを発射させて頂きました。
メールの転送先が消滅しているために、リマインダーが届かなかった方がいらっしゃるようです。リマインダーが届いていないので再送してほしいという方がいらっしゃいましたら、info@at-random.org までご連絡下さい。
Microsoft SA 出てますね。時間がとれたら明日書きます。
くぅ、backup server の disk が飛んだ……。このクソいそがしい時に……。
MS、社員割引ソフトの再販に懲戒処分 (ZDNet)。900 万ドルって……。 900 万ドルも儲けられる量のモノを、 社内で「個人利用向け」として購入できたってこと? むしろそっちの方がアレなんじゃないか?
はっちさんから (ありがとうございます):
前半は2/5に起きた出来事で、個人利用向けソフトの再販を罰したものですが、 後半は昨年の12月に起きた出来事で、社内利用ソフトの転売を罰したものです。
社内評価向けのベータ版のソフトなどを売りまくったんじゃないでしょうか。 それに、社員割引のソフトは年間購入限度額が決まっていたはずです。
米政府ドメイン乗っ取りの疑い (ZDNet)。.go.jp はどうなんでしょうねえ。
イラク日記(7)劣化ウラン弾の町 (tanakanews.com)
アメリカは、劣化ウラン弾をばらまいて子供たちを病気にしただけでなく、薬の輸入を禁じて治療をさせないようにして、無実の子供たちを殺している。薬があれば直る子供たちが死んでいくのを見るのが、医者として一番つらい
爆弾やビラだけではなく、たまには医薬品の雨でも降らせたらどうなんだ > US。(同一起源だと言われる湾岸戦争症候群な US 軍人達はその後どうなっているんだろう……)
VirusScanTC6.1にアップグレードを行うと、Win32Appフォルダが削除されてしまう (NAI)。「本現象は古いバージョン→TC6.1へアップグレードを実行した際のみに発生致します」ので、一旦旧バージョンを削除の上でインストールすれば回避可能なんだそうだ。
KB 813926: Windows XP SP1 と Windows XP SP1a の相違点 (Microsoft)。 そういうことで。
Opinion:Linuxを巡って、ジャブを交わすデルとサンの幹部 (ZDNet)。
オープンソースの一部がおかしくなったとき、その都度修正し、テストしてくれる人間がいないならば、企業は、オープンソースの技術を基幹システムに導入すべきではない。サンならば、システムに一部でも障害が発生すれば、われわれはすぐに駆けつける
障害が発生してからですか? セキュリティ脆弱性も? なにしろ、Linux ですら異様に修正が遅い企業のセリフだからなあ。
「SQLslammer被害報道はやや大げさだ」──英SOPHOSのアジア地域技術部長語る (日経 IT Pro)。韓国には顧客がいないという意味ですか?
Software Update Services with SP1 が出ています。 「Windows 2000 のドメイン コントローラと Small Business Server で実行する機能」が追加されたそうです。よかったね。
プロジーのDivXコンバータにGPL違反の疑い (slashdot.jp)。 最近こういうの多いですねえ。
3/22 話、行けなさそうでくやしいのですが、大阪方面でも、という話はないんでしょうかねえ。何? 豪華メンバー?……(受信中)……これは確かにすごいメンバーだ。 2000 円は安すぎる〜〜。
IIJ、「URLフィルタリングサービス」開始〜エンジンにはInterScanを採用 (INTERNET Watch)。WebSense から InterScan へ移行、ですか。
fsum というのがあるそうです。Full compatibility with md5sum utility だそうで。
ブラウザーを乗っ取るアドオン・ツールバー『Xupiter』 (WIRED NEWS)。 拾い食いには気をつけよう。
ncrypt というコマンドがあるんですね。
Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) (MS02-071) (英語版) が改訂されています。
Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition の特定の環境において、修正プログラムを適用することにより、問題が発生することが分かりました
そうで、NT 4.0 用 MS02-071 patch は引っこめられています。
中村正三郎のホットコーナー MS Watch 2003/02/05 「MSのパッチ方式はもうダメ」。 今回の事例はあまりにあまりな点が多いのだけど、 だからと言って Microsoft 製品を捨てれば ok ok になるほど世の中は甘くないと思うんだが。
JVM無しのWindowsXP SP1aがリリース開始 (slashdot.jp)。 無印か a か b かによって対応を変えなきゃいけないサポート部隊がいちばん大変だろうな。Microsoft のサポート部隊だけじゃなく、Java を利用している SIer のサポート部隊とかもね。
関連: Microsoft VMなしの「Windows XP SP1a」はフライング公開? (INTERNET Watch)
[port139ml:02202] お題「セキュリティ ホール」。 山田君、ざぶとん 3 枚!
ネットワーク管理者&SEのための実践Windowsセキュリティセミナー (@IT)、 プレゼン資料が公開されています。
J-フォンのデータ通信障害が復旧 (日経 BizTech)。原因不明、というのがなあ。
Weak password protection in WebSphere 4.0.4 XML configuration export
Quake3 engine autodownload issues.
All users should set the variable cl_allowdownload in all .cfg files in the quake3 directory to '0' , and not download maps / modifications from untrusted sources, also Game developers should disable this by default.
SpamAssassin / spamc+BSMTP remote buffer overflow
2.40 〜 2.43 に問題があるのだそうで。
Sygate Security Bulletin ID SS20030129-0002
特殊な UDP パケットを送ると、Sygate Personal Firewall 5.0 (Pro 含む) / Sygate Security Agent 3.0 が守っているはずの UDP port に remote からアクセスできてしまう。攻撃に必要な条件は次のとおり:
攻撃者が同一の IP サブネット上に存在する、あるいは
NetBIOS Protection が無効
回避策として、NetBIOS Protection の方法が説明されている。手順が長い。
MPSB03-02 - Using Windows NT Authentication and Windows file permissions (Macromedia)
麗美さん情報ありがとうございます。
ASA-0001: OpenBSD chpass/chfn/chsh file content leak
FreeBSD, NetBSD にはこの問題はない。
BDT_AV200212140001: Insecure default: Using pam_xauth for su from sh-utils package
なんでまたこんなのが入ってるんですかねえ。
Tomcat 3.3.1 以前に弱点。NULL いりリクエストを送ることによって、index.html や index.jsp があっても、remote からディレクトリ一覧を取得できてしまう。
fix された Tomcat 3.3.1a が登場している。麗美さん情報ありがとうございます。 CVE: CAN-2003-0042
[memo:5290] JREの署名確認ダイアログは信頼できない署名者の名前も表示してしまう
「はい」がデフォルト……。利便性を追及していらっしゃいますね。
[memo:5291] J2RE に署名検証関係のセキュリティホール
問題のある Java VM を利用している場合、署名確認ダイアログは信用できないということか。1.2 以降の最新の Java VM では修正されているようです。
[memo:5398] MSチェックツール (was Re: UDP1434 ?)
SQL Server 2000 SQL Scan ツール (Microsoft) は MS02-039 patch を判定してくれないそうです。
814040 - [OFFXP] MSDE 2000 をインストールした Office XP ユーザーに Slammer ワームに対する脆弱性の危険性 (Microsoft)
811760 - [OffXP] Desktop Engine の Service Pack 3 を適用する方法 (Microsoft)
Slammerに“鈍感”だった米政府 (ZDNet)
Slammerは10分間で世界中の脆弱なホストの90%に感染〜完全自動の防御策が急務 (INTERNET Watch)
完全自動の防御策の導入 (ああ、なんて甘美な響き) もいいけど、その前に、地道に well-known な穴を塞ぐ、をやらナイト。
この「図」も非常に誤解を招きやすいよね。まるで世界中のホストが Slammer にヤラレたかのように見えるけど、そういうワケじゃないんだから。
とりあえず、上記 link の jbeef さんの解説読んでください。 既に Opera 7.01 が登場しているようなのだけど、直っているんですかねえ。あいかわらず Opera って web page みても状況がサッパリわからないし。
報告のタイトルがおもしろいので link 載せておきます。
[VulnWatch] Opera's Security Model is Highly Vulnerable (GM#002-OP)
[VulnWatch] Sniffing Opera's Tracks (GM#006-OP)
link fixed (匿名希望さん感謝)
7.01 で直っているようです。
「Opera 7」、セキュリティホール出現も早かったが対応も迅速 (INTERNET Watch)
しかし、説明が何もない点についてはあいかわらず直ってないね、この会社は。
from JVN 解説ページ:
国内で利用されているソフトウェアや装置を対象とした、国内の各ベンダが提供する対策情報や更新情報を主体にまとめあげたサイト
です。CERT Advisory に対応する情報を公開されたら、ぜひ jvn@doi.ics.keio.ac.jp へ知らせてあげてください。JVN ワーキンググループにご参加頂けると関係者的にはよりうれしいかと。一覧ページ を見るとわかるように、2002 年分もつくられています。
結局、署名は分離されたのですね。
スペースシャトル関連:
シャトル予算24%増 米2004年度予算案 (CNN)
宇宙ステーションに3人立ち往生 シャトル事故で計画見直し急務 (CNN)
ウーム、プログレス分を含めて 6 月末までなのか。 小泉君、こういうときこそ出番じゃないのかね。
事故シャトルの危険物質4種を発表 NASA (CNN)
電波系? の人は「核物質」とか騒いでいるようですが……。
Developers Summit 2003 のプレゼン資料がいちおうできた。いまいちまとまりに欠けるきらいがあるので、@Random/1st が終ってからもういちど見直そう。
[memo:5354] ソニー製品カタログサイトの脆弱性(修正済み)。す早い対応だったようです。
ミラクル・リナックス、Linux長期サポートサービスを発表 〜公共機関をはじめとする顧客へ安定した長期サポートを提示〜 (Miracle Linux)。 こういうものの有無は重要ですねえ。
MSへのJava搭載命令、発効一時停止 (ZDNet)。さて、どうなりますか。 控訴審はいつ?
rssh homepage(日本語訳) (info from [memo:5389])
♪ 06: 書店 (酔っぱらいお兄ちゃまの日々)。とりあえず再開めでたいが、どういう神経をしていると、この状況に対して「人殺し」などと言えるのだろう。
ITセキュリティ評価及び認証セミナー開催について (IPA)。 2003.02.28、東京都文京区、無料。
そういえば、Klez っていまだに来ますねえ。Slammer みたいな爆発的なものは収まるのも早いけど、Klez みたいになんとなくひっそり進行するものはなかなか根絶されませんねえ。
第 3 回のお題は「セキュリティホール」だそうです。
マイクロソフト製ソフトのアップデート・モジュールを複数PCに自動展開するツール (日経 IT Pro)。 [pml-security,00731] によると、これの正体は山本さんが以前から萌えている SPQuery の進化形 (?!) のようです。
スペースシャトル空中分解 (CNN)。えらいこっちゃ。亡くなられた方々のご冥福をお祈りいたします。
原因がどうあれ、次世代シャトルの必要性という問題は存在するわけで。 NASA の慢性的な予算不足も遠因の 1 つだろうし。 戦争大好き子ブッシュ君もそういうところに金を使えばいいのに。 U.S. のいいなりコイズミ君も「次世代シャトルの国際共同開発になら金を惜しみません!」とか言ってみればいいのに。対イラク戦争、なんてのよりは、よっぽど国民の合意を得やすいと思うが。
イラク石油利権の方がカネになることは確かなのだが、でもねえ。
ロシアの無人貨物船、国際宇宙ステーションに向け出発 (CNN)。6月末までの備蓄分 + プログレス輸送分、なのかな。当分はロシアンパワーでしのぐしかないのだが、プログレスやソユーズが事故らないことを祈る。
2004会計年度予算教書、NASAの予算増盛る (CNN)。微増?
NASA weighed retiring Columbia in 2001 (CNN)。 なにしろ古い機体だったわけで。
Slammerが残した真の問題点と教訓 (ZDNet)
ZDNet 高橋氏の記事。よくまとまってます。 なにしろ、Microsoft 自身すら
patch あててませんでした。
インストールしやすい hotfix 用意できてませんでした。
hotfix あてると enbug してました。
MSDE 2000 の展開状況を把握してませんでした。
ふつうの patch / SP が適用できない MSDE 2000 利用アプリについてドキュメント化してませんでした。
なんて状況だったわけで。
MSのセキュリティ強化戦略に“落第”の評価 (ZDNet)
私の妻はMacを持っている。彼女はウイルスやトロイの木馬、データの流出のことなど心配していない
それはちょっと安心しすぎなのでわ。
それはMacの方が安全だからだろうか? 私はそうだと思っている
Mac の方が安全だからではなく、Mac の方がシェアがとても低いから、だと思う。その結果としてリスクが少なくなってるのだから別にいいのだけど。
Slammerに自分のコードを悪用されたセキュリティ研究者が苦悩する胸の内を明らかに (INTERNET Watch)。やっぱりそういうことだったようで。
813115 - [FIX] W32.Slammer ワームの脆弱性に対応するための Application Center 2000 用のアップグレード (Microsoft)
Application Center 2000 は、専用の Microsoft SQL Desktop Edition 2000 (MSDE) を使用しています。そのため、以下の手順は Application Center 2000 に対してのみ行い、他の製品では実行しないでください。
813933 - VS .NET でインストールされる MSDE への SQL Server 2000 SP3 の適用方法
通常版 SP3 を使えるが、コマンドラインオプションを指定する必要がある。
ePO SQL及びMSDEの対応状況 (NAI)
solution 5749 - InterScan WebManager - LogLyzerに同梱のMSDEへのWORM_SQLP1434.Aの影響 (トレンドマイクロ)
LogLyzer ver. 2.1 で問題が発生する。
2003.01.31 の 世界規模で報告されたネット障害についての総括レポート 〜Slammerワームによる被害について〜 に追記した。関連記事を追記。
293623 - エラー メッセージ : 問題が発生したため、Microsoft Internet Explorer を終了します (Pdm.dll)
pdm.dll 6.0.0.8169 に問題がある。6.0.0.8424 以降に upgrade するために、 Office 2000 → Office 2000 SR-1、Visual Studio 6.0 → Visual Studio 6.0 SP5 以降、Microsoft Script Debugger → 「新しいバージョン」(って何だよ) に各々 upgrade する。ただし Windows 9x/Me では「クリプトのデバッグを無効f」にして回避するしかない。
P303399 - Internet Explorer のインストールまたはアップグレードを完了できない
頭痛そう。
330389 - Certificate Server の使用時に "ActiveX コントロールをダウンロードしています" メッセージで Internet Explorer が応答を停止する
仕様だそうです。
259173 - [WINUP] IE 5.5 のアンインストール後に IE 5.01 で一般保護エラーが発生する
IE 5.5 のアンインストール処理が不完全ってことなんですかねえ。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について