Last modified: Tue Nov 25 15:00:28 2003 +0900 (JST)
うーん、なんだかつながりが悪いなあ。 ……SINET 海外回線がトラブっている模様。 回避行動を実施。ようそろ。
情報収集衛星の愛称をみんなで考えるスレ (沙耶16歳さん)。 わはは。 (^^)
「ふげん」が24年間の運転を終了 (slashdot.jp)。 捨てるために 2000 億円もかかる施設って……。 それだけならまだしも、原発廃炉はこれからバンバン増えるのですが、ふげんの捨て場所すらまだ決定されていないというていたらく。
まるごとHarbot ハーボット公式ガイドブック (cbook24.com)。一瞬ハニーポットの本かと思ったが、違った。
sendmail に弱点。オープンソース版 8.11.6 以前、および 12.0〜12.8 の他、商用版にも弱点がある。prescan() 関数に問題があり、攻撃メールにより、sendmail 実行権限を奪取可能。 Sendmailのヘッダー処理に対する脆弱性 とは異なる弱点なので注意されたい。
オープンソース版 については、8.9〜8.12 用の patch があるので適用するか、修正済みの sendmail 8.12.9 あるいは sendmail 8.11.7 に移行する。 商用版 sendmail や各 UNIX OS / Linux ディストリにはそれ用の patch が登場するはず。
他のメールサーバを動作させている場合でも、sendmail.org の sendmail が local に残っている場合は、それを直接叩かれるとマズいんじゃないかという気がするなあ……。
問題発見者による解説。char = signed char がデフォルトな場合に問題が発生し、little endian だと exploit が容易なのだそうだ。
新たな sendmail の脆弱性に関する注意喚起 (JPCERT/CC)
Vendor Status Note JVNCA-2003-12: Sendmail にバッファオーバーフローの脆弱性 (JPCERT/CC JVN)
メールサーバソフト(sendmail)の脆弱性(CA-2003-12)について (@police / 警察庁)
Sendmail のEmail 処理における脆弱点について (ISSKK)
sendmailに“またもや”深刻なセキュリティ・ホール (日経 IT Pro)
header_checks を利用した reject 方法が示されている (info from slashdot.jp)。
Sendmailのヘッダー処理に対する脆弱性 の回避方法も示されている:
もちろん、postfix 自身にこの問題は存在しない。postfix でメールの中継をしている場合に、上記方法で reject できるという話。
NetBSD Security Advisory 2003-009: sendmail buffer overrun in prescan() address parser
[RHSA-2003:120-01] Updated sendmail packages fix vulnerability
(title fixed: 大畑さん感謝)
[RHSA-2003:121-06] Updated sendmail packages fix vulnerability
[SECURITY] [DSA 278-1] New sendmail packages fix denial
of service
邦訳版: [debian-users:36652]
[SECURITY] [DSA 278-2] New sendmail packages fix denial
of service
邦訳版: [debian-users:36654]
[SECURITY] [DSA 290-1] New sendmail-wide packages fix DoS and arbitrary code execution
邦訳版: [debian-users:36769]
52620: sendmail(1M) Parses Addresses Incorrectly in Certain Corner Cases。
情報提供レベルであり、fix ではない。
patch 出ています。
HPSBUX0304-253 SSRT3531 Potential Security Vulnerability in sendmail (rev.1)
HPSBMP0304-018 SSRT3531 Security Vulnerability in MPE/iX sendmail
OpenBSD, Red Hat Linux, Miracle Linux fix, Sun 情報追加。
APPLE-SA-2003-04-10 Mac OS X 10.2.5、Sun Solaris、HP HP-UX、HP MPE/iX fix。
[SECURITY] [DSA 290-1] New sendmail-wide packages fix DoS and arbitrary code execution 追加。
NEC 追加。
事故との出会いはいつも突然 (日本興亜損保)。
代替スーパーブロックの位置がわからない場合は、newfs -N で調べられます。ただし、最近の FreeBSD のインストーラでは、デフォルトでは newfs -b 16384 -f 2048 でファイルシステムを作成するようです。 (いつからだっけ?)
野党4党 個人情報保護法案の対案を決定 (毎日)。
TechStyle Newsletter:2003-03-25、
「現在、修正パッケージを作成、検証中で、x月x日ごろ提供できる予定」や、「それまでは、……のworkaroundで危険を回避してください」といった情報が提供されるならば、無用な不安をユーザーに抱かせることはないはずだ。
おっしゃるとおりで利用者としては熱望もするのですが、どこも人手不足ですから、なかなかそうもいきませんね。
防犯の目安「どんな手口にも5分耐えられる」 合同会議 (asahi.com)。
警察庁によると、侵入までにかかる時間が5分を超えると窃盗犯の7割があきらめるというデータがある。(中略) 現状では5分以上耐えられる製品はほとんどないという。
そうなのか……。
[aml 33266] 米軍が、劣化ウラン弾を使用!今すぐ抗議の声を!。 ブルックス准将には劣化ウラン弾が放射能兵器だ、という認識がない模様 (TBS NEWSi 2003.03.27)。
アジア諸国で2000人近くに外出禁止措置、広がるSARSの恐怖 (WIRED NEWS)。
RSA Conference 2003 Japan、2003.06.03〜04、東京。カンファレンス早期割引は 03.31 まで¥39,000 だそうですが、中身がよくわからないですね。『併催イベントとして「Network Security Forum 2003 Spring」の開催が決定』したのだそうで。Network Security Forum 2003 Spring は、展示会の事前登録があれば無料で参加できるそうです。
4.1.60エンジンのサポート期間変更について (NAI)。 「エンジン4.2.40のリリースは2003年3月31日の予定」だそうです。
Microsoft Universal Data Access (microsoft.com) にようやく MDAC 2.7 SP1 への link ができています。 Microsoft Data Access Components のバッファオーバーランにより、コードが実行される (Q329414) (MS02-065) も参照。Windows Update しただけでは MDAC 2.7 SP1 はインストールされません。
ブレア英首相がプライバシー侵害の『終身脅威賞』を受賞 (WIRED NEWS)。 ブレアさん、おめでとう!
見えてきた911事件の深層 (tanakanews.com)。やっぱりコラテラル・ダメージなんですかねえ。
自衛隊の敵基地攻撃能力「検討に値する」 防衛庁長官 (asahi.com)。 報復攻撃能力を検討するのはいいけれど、「トマホーク」なんて話がいきなり出てくる (毎日) のはかんべんして頂きたい。トマホークが best な選択とはとても思えないし。
米、10万人規模増強へ イラク国防相は首都攻防戦覚悟 (asahi.com)。 つまり、当初見通しはあまりに甘すぎた、と。
H2Aロケット打ち上げ成功 「偵察衛星」軌道に (asahi.com)。めでたい。
どこまで小さな物体を見分けるかといった画像精度(分解能)は、米偵察衛星の約15センチはもちろん、最新鋭の商業衛星の約60センチにも劣る約1メートルとされる。さらに、集めた情報の分析技術も未熟とされるなど、課題も多い。
性能はともかく、know how は運用しないことには取得できないわけで。 しかし、読売や産経があくまで「情報収集衛星」と記述しているのには笑った。
LOCK, SEARCH, PROFIND, GET, HEAD, OPTIONS メソッドにおいては、容易に任意のコードを実行可能なのだそうだ。
Windows NT 4.0, 2000, XP に弱点。RPC に弱点があり、135/tcp に対して不正なメッセージを送ることにより DoS 攻撃が可能。
Windows 2000 / XP 用の patch はあるが、NT 4.0 用はない。準備が遅れているのではなく、原理的に作成が不可能であるようだ。 ファイアウォール等を利用して、135/tcp への接続を拒否することで回避できるが、 そもそも NT 4.0 は年代物の OS であり、早急に捨てるべきだろう。
CVE: CAN-2002-1561
IIS + COM+ な環境に MS03-010 patch を適用するとトラブルが発生する場合があるらしい: Re: Alert: Microsoft Security Bulletin - MS03-010 (ntbugtraq)。 この問題を修正するのは 814119 - FIX: RPC Bug Causes Threads to Stop Responding in ASP/COM+ Applications patch らしいが、この patch はサポートからしか入手できないようだ。
日本語 KB 出ました: [FIX] RPC の不具合により ASP/COM+ アプリケーションでスレッドが応答を停止する 。日本語 OS 用の patch はまだ存在しないようだ。必要な人はサポートに問いあわせよう。
Lotus Notes / Domino に複数の弱点。多くの問題は Notes / Domino 5.0.12 / 6.0.1 で修正されているが、 VU#571297: Lotus Notes and Domino COM Object Control Handler contains buffer overflow だけは 5.0.12 / 6.0.1 でも解決されていない。 5.0.13 / 6.0.2 で fix される他、6.0.1 CF1 でも fix されている。
DeleGate を ftp proxy として使う場合、EPSV (RFC2428: FTP Extensions for IPv6 and NATs、日本語訳) をサポートしているクライアントから使うとうまくいかないようだ。 DeleGate 8.4 以降でなら REJECT=ftp//EPSV とすれば EPSV を無効にしてくれるので、この問題を回避できる。[DeleGate] Re: RFC2428: FTP Extensions for IPv6 and NATs。
Remoxec (securityfriday.com)。DCOM (135/tcp) 経由でコマンド起動!
Winbiffユーザーの皆様へ重要なお知らせ (orangesoft.co.jp)
Winbiff V2.0〜V2.42 にセキュリティホール。V2.42PL2 が出ている。
MySQL user can be changed to root?
MySQL < 3.23.56 で "SELECT * INFO OUTFILE" を利用して設定ファイルを上書きできるため、次回起動時に root を奪取可能。 MySQL 3.23.56 で fix されている。
CVE: CAN-2003-0150
Check Point FW-1 NG FP3 & FP3 HF1: DoS attack against syslog daemon possible
NetBSD:
OpenSSL 穴 2 つ。 NetBSD, Turbolinux。
CERT Advisory CA-2003-10 Integer overflow in Sun RPC XDR library routines。 Turbolinux, Vine Linux。
potential buffer overflow in lprm。 Turbolinux, Debian GNU/Linux。
Ptrace hole / Linux 2.2.25。 Miracle Linux, Debian GNU/Linux。
kerberos に複数の弱点。 Miracle Linux, Debian GNU/Linux, Red Hat Linux。
Windows 98 / 98 SE で Windows Update を実行すると、 MS03-008 patch を適用済であるか否かにかかわらず、間違ったダウンロードガイドが表示され、このプロセスが永遠に繰り返されてしまう模様。 参照: [memo:5694] [memo:5695] [memo:5696] [memo:5698]。
田中さんは、[memo:5695] で 「Windows Script 5.6 をインストールしましたら直りました」と述べている。 手元でも試してみたが、変化なしであった。
……トラブル・メンテナンス速報 にアナウンスされているそうです [memo:5699]。 Windows Update による MS03-008 patch 適用は行わず、手動にて 「Jscript Version 5.6 の修正プログラム」をインストールせよ、ということかな。 これを手動でインストールしても、やっぱり Windows Update には表示されますので。
fix されたようです [memo:5709]。 匿名希望さん情報ありがとうございます。
どこかで聞いたような話だなあ……。
An Overview of UNIX Rootkits (iDefence)。
「大地震後の3日間はこう生活」 ネット上に多彩な防災情報 (毎日)。 地震だ! もちつけ!
売れ行き伸ばすデータ消去ビジネス パソコンからの情報漏れを防げ (毎日)。 ハードディスク・クラッシャー (NEC フィールディング)、テープなどでも使えるプロ版は 50 万円ですね。1 台くらい買っておいてもいいかも。
注意:本機によって消去を行ったハードディスクは再利用することが出来ません。
コントローラも死にます、ということなのだろう。そりゃそうだわなあ。
反論: [memo:5693]、[memo:5710]。
気象衛星「ひまわり5号」、5月に予備衛星に引き継ぎへ (asahi.com)。 他人様の予備機をお借りして……というのはなさけないですね。
「米陸軍兵、投降時に射殺された可能性」 米国防総省 (CNN)。 一方で、[aml 33237] Fwd: US Kills surrended Iraqi Soldiers なんて話もあるようで。
4月から80減便 イラク戦争直撃 日本発着国際航空 (京都新聞)。 各社、乗り切れるのかなあ。
イラク戦争: ナジャフで戦車部隊激突か 共和国防衛隊が南下 (毎日)、 ナジャフで戦車部隊激突か (産経)。 あの砂嵐の中で戦車戦となると、ほとんど零距離射撃なのでは。 イラク軍からすると、そこに勝機があるのだろうが。 赤外とか使えば見えるのかなあ。
米が電磁波爆弾、イラク国営TV一時放送不能 (読売) の件ですが、US 政府自身は電磁波爆弾の使用について否定しているようですね。 イラク側施設が早期に復旧されているところを見ても、電磁波爆弾ではないと見た方がいいのかなあと思ったり。 ちなみに、国営イラクTV空爆はジュネーブ条約違反 IFJ非難 (asahi.com) なんて記事も出てますね。
IPSHU 研究報告シリーズ 研究報告No.29: 武力紛争における 劣化ウラン兵器の使用 (広島大学平和科学研究センター, info from v-v.2ch.net)。
MS03-007 話状況のすばらしいまとめ。 patch あてましょう。
新法案は改善されたのかと思いきや、なんと改悪されているという。
「修正案は改悪であると考えます。基本原則をなくしたことによって主務大臣の裁量が無制限に拡大しました。であるのに絶大な権限をもった主務大臣が民間全体を監視するという構造そのものはまったく変わっていません。このことについて大きな危惧を抱いています。また50条で報道というものが定義され、市民の基盤との分断が明確に行われました。そして行政機関の個人情報保護法案は罰則が強化された程度で、まったくといっていいほど修正されておらず、先般あった防衛庁のリスト流出問題のような事件にはまったく対処できないのです」(共同アピールの会のHP責任編集・吉岡忍氏)
話題の「わかりにくい」監視カメラ写真あります。
米が電磁波爆弾、イラク国営TV一時放送不能 (読売)。
スウェーデンの戦争便乗ワーム作者の身柄を拘束 (WIRED NEWS)。 ウイルスライター、教育チャンスを嘆願 (sophos) でも「スウェーデンのコンピュータ犯罪局から、間もなく訪問を受けるかも知れません」とされていたが、実際にそうなった、と。
戦場の偵察に最適な超小型無人偵察機が登場 (WIRED NEWS)。 セボットまではあと数歩だったりするんだろうか。
今、押さえておきたいウイルス傾向 (ZDNet)
今年に入ってからは、SQL Slammerなどの高度なワームが既にいくつか出現している。
Robert Vamosi 氏は何か勘違いされていらっしゃるのでは。 自称ハッカー、未公表の脆弱性情報を盗んで暴露 (ZDNet) の件も、公開者が「盗み出した」と称しているだけの話だし。
あと、"Zero Day exploit" を「ゼロ・デーの脆弱性」と訳すのは、ちょっとなあ。「ゼロ・デイ攻略」くらいの方がよいと思う。
VirusScan (VirusScan TC含む) 4.5.1SP1: DATの自動アップデートで”一時ディレクトリが作成できません”となる。 (NAI)。 そういうときは、 C:\WINNT\LWI*.tmp ディレクトリを手動で削除するのだそうだ。
『ル・モンド・ディプロマティーク』 日本語・電子版、2003.03 出ています。 もうひとつのアメリカ、やっぱり「核戦争を待望する人々」(朝日選書) は読んでおくべきなのだろうな。
トルコ、派兵方針を変えず 米との協議は物別れ (京都新聞, info from EVERYDAY PEOPLE - eP *( )。 4 万とはまたすごいですね。 トルコは本当にイラク北部石油利権を確保するつもりのようで。
IAEA: 米の「イラクのウラン輸入文書」は偽造 高官が明示 (毎日)。そら来た。 次の偽造は何?
新型『パトリオット』ミサイル、迎撃精度は向上したか (WIRED NEWS)。 実戦テスト中。
ハッカー攻撃でダウン アルジャジーラのサイト (中日新聞)。
IPA から 3 点出てます:
情報セキュリティ監査制度に関する調査 (NRIセキュアテクノロジーズ)
オープンソースソフトウェアのセキュリティ確保に関する調査 (日本総合研究所)
「第 IV 部 オープンソース・ソフトウェアをセキュアに保つための運用ガイド」で書かれていることは、クローズドソースプロダクトでもほとんど同じだと思うのだけど……。
本人認証技術の現状に関する調査 (セコムトラストネット)
マルチプロセッサを搭載したコンピュータでこの現象を確認しています。
ウイルスバスター2003は、マルチプロセッサには対応していません。 Intel HyperThreading Technology(インテル ハイパースレッディング・テクノロジー)を実装したCPUもマルチプロセッサ同等のため非対応です。
うーむ……。OS がサポートしている環境では、きちんと動作してほしいのですけどねえ。他社のアンチウィルスソフトもご同様なのだろうか。企業向け版やサーバ用なら ok だったりするのかな。
匿名希望さんから (ありがとうございます):
他のソフト、というところで私はNorton AntiVirus 2000の頃からデュアルCPUのマシンで使っておりますが、特に問題なく動いています。
そこで、多少気になったので、MSのサイトにて調べました所以下のような物を見つけましたので報告します。
http://www.microsoft.com/japan/windows/catalog/products.asp?page=2&prodKey=S-11-01
これは、「Designed for Windows」ロゴを取得しているハード・ソフトの一覧なのですが、VB2002は取得しているのにVB2003は取得できていない様です。
実は発売当初から、この現象を確認していたのでは、と邪推してます(笑
ロゴの詳細は以下のサイトで見れます。
http://www.microsoft.com/japan/winlogo/
なるほど、Designed for Windows ロゴを取得できていればいいわけですね。 英語版の AntiVirus 製品ページは Browse software, Security and Virus Protection, Anti-virus (microsoft.com) にあります。……あれれ? PC-cillin 2003 はちゃんと記載されているじゃありませんか。 日本語版 (ウィルスバスター 2003) でだけダメなんですか?
……なになに、"Designed for Microsoft Windows XP" アプリケーション仕様書 2.3 (microsoft.com) によると、仕様書 2.2 (2001.09.12 付、9.11 の翌日だな……)で「デュアル プロセッサテストは要件ではありません (セクション 1.1)。」と書かれていますね。
Windows のいくつかのエディションは、複数のプロセッサをサポートしています。 アプリケーションは、シングルプロセッサコンピュータの場合と同じように、2 プロセッサコンピュータ上でも実行できなければなりません。(注: 上記を推奨します。2 プロセッサコンピュータで実行することは "Designed for Windows" ロゴを取得するための要件ではありません。)
仕様書 2.1 以前では要件だったのかな。結局、デュアルプロセッサ対応については、個別製品毎に確認する必要があるようです。何のための "Designed for Windows" なんだか……。だめすぎ。
INTERNET Watch は「コンピュータウイルスを作成または提供した者に対して」としているが、 「ハイテク犯罪に対処するための刑事法の整備に関する諮問」 (moj.go.jp) には
人の電子計算機における実行の用に供する目的で、人の使用する電子計算機についてその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる不正な指令に係る電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処するものとすること。
とあるので、コンピュータウイルスに限った話では全くないよね。 おまけに、作っただけ、公開するだけでタイホされてしまう。 この文面だと、サービス / プログラムの停止が発生するような proof of concept code を bugtraq とかに流すだけですら問題になってしまうような気が。
結局は「人の電子計算機における実行の用に供する目的で」の取りあつかい如何なのだろうけど、冤罪構築にはうってつけの文章に見えてしまうわけで。
関連:
2003.03.24 の 「iOffice」および「desknet's」にパスワードなしにログイン可能なセキュリティ欠陥 に追記した。patch 登場。大熊さん、匿名希望さん情報ありがとうございます。
MS03-007 対策は patch あてましょう、IIS なくてもやられますよ〜ねた。
またもや更新。Translate: f つきの GET、HEAD、POST、OPTIONS でも IIS 5.0 を攻撃可能だとされています。 「WebDAV の停止」は、回避手段としては無意味であることは明白です。 patch あてましょう。
New Attack Vectors and a Vulnerability Dissection of MS03-007 (LAC 邦訳版)
やっぱり日本語は助かります。patch あてましょう。
というわけで、patch あてましょう。IIS 5.0 あるなしに関係なく、Windows 2000 で Windows Update すると MS03-007 patch が list されていると思います。 ただし、SP2 では ntoskrnl.exe のバージョンに注意。
というか、Bulletin のタイトルを変更したほうがいいと思うのですが > Microsoft。「Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される」では誤解招きませんか? (CERT/CC は既にタイトル変更してます。中身の変化が足りませんが)
マイクロソフト セキュリティ情報 (MS03-007) : よく寄せられる質問から:
IIS 5.0 は、既定で実行されていますか?
IIS 5.0 は、Windows 2000 Datacenter Server、Windows 2000 Advanced Server および Windows 2000 Server では既定で実行されます。 Windows 2000 Professional では、既定では実行されません。
Code Red / Nimda さわぎで明らかになっているように、これはあくまで Microsoft 謹製の場合で、OEM 供給先によるプリインストール版 Windows 2000 の中には、デフォルトで IIS 5.0 が実行されているものが実在します。ご注意あれ。
Windows NT 4.0 で動作する IIS 4.0 もこの脆弱性の影響を受けますか?
いいえ、影響を受けません。IIS 4.0 は、WebDAV をサポートしていません。 そのため、攻撃者に、この脆弱性を悪用されることはありません。
もはや WebDAV は必須ではないので、この説明では不安になってしまう。
[aml 33233] アフガニスタン劣化ウラン被害調査カンパ・キャンペーン NO5。 放射能怪獣 USA の所業は調査しナイト。 というか、残留劣化ウランにより、兵士たちもまた「湾岸戦争症候群」で苦しむことになりかねないわけで……。
スパムメールの撲滅に向けた取組みについて (ぷらら) の件ですが、kkonishi さんからこんな情報をいただきました (ありがとうございます)。 一部伏せ字にさせていただいています。紹介がおそくてすいません。
飲みスケジュールもいいかげん確定せねばならないのだが……。
「イラク戦争は1カ月以上続く」 米軍人の半数が予測 (毎日)。 「1-3カ月」「北朝鮮を脅威と見る軍人が多い」のは当然だろう。 (link fixed: 小笠原さん、しろやまさん感謝)
イラクの化学兵器工場は未確認 米政府 (asahi.com)。そうら来た。 ほんとはやっぱり化学兵器工場なのかもしれぬが、何か言うのはちゃんと調べてからにしてほしい。
体験!MSワンダーランド (がんばれ!! ゲイツ君)。
相変わらず致命的なセキュリティホールを連発してもはやIT業界ニュースの風物詩とまでなっているMSの醜態ぶりですが、
相変わらず致命的なセキュリティホールを連発してもはやIT業界ニュースの風物詩とまでなっているのは UNIX / Linux 方面も同様だと思いますけどねえ。
kerbeos に複数の弱点。
Kerberos 4 プロトコルに弱点。 攻撃者は、レルム内の任意のプリンシパルに対して選択平文攻撃を実行できる。 また MIT Kerberos 5 実装 (krb5) に含まれる Kerberos 4 実装 (krb4) には別の問題があり、 トリプル DES 鍵を Kerberos 4 の鍵サービスに利用していた場合に、カット & ペーストで Kerberos 4 チケットを偽造できてしまう。 Kerberos 5 プロトコルにはこの問題はない。
MIT krb5 に含まれる krb4 については patch がある。 が、これはプロトコル上の問題なので、patch が行っているのはプロトコル上の機能を制限することである。可能であれば、Kerberos 5 プロトコルに移行することが望ましい。
CVE: CAN-2003-0138、 CAN-2003-0139
MIT Kerberos 5 の 1.2.7 / 1.3-alpha1 までの全バージョンに弱点。 Kerberos プリンシパル名の扱いに buffer overflow バグがあり、KDC がクラッシュする他、KDC 動作権限の奪取が可能であるかもしれない。
CVE: CAN-2003-0082、 CAN-2003-0072
http://web.mit.edu/kerberos/www/advisories/2003-004-krb4_patchkit.tar.gz
http://web.mit.edu/kerberos/www/advisories/2003-004-krb4_patchkit.sig
MIT krb5 1.3 (まだ存在しないようだ) で fix される。
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-005-patch.txt
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-005-patch.txt.asc
[RHSA-2003:051-01] Updated kerberos packages fix various vulnerabilities
[RHSA-2003:091-01] Updated kerberos packages fix various
vulnerabilities (Red Hat Linux 9)
[SECURITY] [DSA 266-1] New krb5 packages fix several vulnerabilities
[debian-users:36566] [Translate] [SECURITY] [DSA 266-1] New krb5 packages fix
severalvulnerabilities
[SECURITY] [DSA 269-1] New heimdal packages fix authentication failure
翻訳版: [debian-users:36593]
[SECURITY] [DSA 269-2] New heimdal packages fix
authentication failure
翻訳版: [debian-users:36721]
[SECURITY] [DSA 273-1] New krb4 packages fix authentication failure
翻訳版: [debian-users:36606]
2003.03.24 の OpenSSL 穴 2 つ に追記した。Mac OS X、Vine Linux 追記。
2003.03.17 の [damedame:235] [SECURITY] Samba 2.2.8 がリリースされました に追記した。Mac OS X、Vine Linux fix。
2003.03.18 の Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) に追記した。 IIS 5.0 + WebDAV 用 exploit 登場。
Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) では
5.0.2195.4797 から 5.0.2195.4928 (5.0.2195.4928 を含む) までの ntoskrnl.exe のバージョンはこの修正プログラムとの互換性がありません。これらのバージョンはプロダクトサポート サービスの修正プログラムのみで配布されたバージョンです。(Windows Update やマイクロソフトの Web サイトからダウンロード可能な修正プログラムではありません。)
となっているが、実はこのバージョンの ntoskrnl.exe は「マイクロソフトの Web サイトからダウンロード可能な修正プログラム」だった時期があるのでは? という指摘。 具体的には、KB 316430 問題用の個別修正プログラムがそれに該当したのでは、と指摘している。それが証拠に、 winFAQ: ファイルコピーで「システムリソースが不足している」といわれます (nifty.com) には次のように記載されていると指摘している:
これは Windows Update から更新できる、316430 の修正を適用したことによる不具合なので、Commerce Server を使っていない場合は、次の手順でアンインストールしてください。
(中略)
2002/07 末現在、この修正プログラムはダウンロードできなくなっています。
Windows 2000 SP2 に MS03-007 patch を適用する場合は、念のため、patch 適用前に ntoskrnl.exe のバージョンを確認しておいた方がよさそうだ。
[memo:5691]。またもや証拠が 1 つ。
3月20日のアメリカ大使館前弾圧に抗議する声明 (naver.co.jp)。アメリカ大使館に抗議に行くと、 警察官による露骨な妨害を受ける、 いきなり逮捕される、などの特典が得られるようです。 aml archive 2003.03 で「大使館」で検索すると、いろいろ情報が出てきます。 [aml 33073] [aml 33087] とか。
で、「抗議」は 米大使館前で混乱 公務執行妨害容疑などで5人逮捕 (asahi.com) の件なのですが、実際には、「機動隊員に殴りかかる」ではなく「機動隊員が殴りかかる」だった模様。
Tools for Honeynets (honeynet.org) には、おもしろそうなものがたくさんありますね。
[aml 33154] 空爆の中で進行している深刻な事態。 こういうものを戦後に米軍が自ら無害化処理した、という話はついぞ聞きませんね。
アルジャジーラが捕虜映像の放映見合わせ (毎日)。 [aml 33185] バスラで市民50名爆撃で死亡 (follow-up: [aml 33186]、[aml 33187]) や [aml 33182] 米英軍の戦闘による犠牲者の映像 によると、アルジャジーラはいろいろと映像を持っているようですね。 (見る場合は覚悟しておくように)
「ボウリング・フォー・コロンバイン」オスカー受賞 ブッシュ批判鋭く (CNN, info from EVERYDAY PEOPLE - eP *( )。 ハリウッドやるじゃん。
クッキー特許発覚とAmazonがウェブ広告の特許を申請 (slashdot.jp)。なんだかなあ。
Practical Cryptography (Counterpane)。なかなかよさげ。
とうとう日本でも WEB 改竄被害発生 イラク戦争関連 WEB 改竄 (netsecurity.ne.jp)。patch あてましょう。 (fixed: おかさん感謝)
イラクの抵抗激化、米英がゲリラ戦直面 (読売)。 「バグダッド市街戦」が展開されるような事態になれば、こんな数では済まないでしょうねえ。それが嫌だからバスラは放置 (兵糧攻め?) なのだろうけど。
サイバーテロへの恐怖をあおる“プロの妄想家”たち (ZDNet)。 それを言うなら、ブッシュ政権自体が煽り集団だからなあ。
米国で反戦デモが激化、国内世論も対立 (日経 BizTech)。 アホでマヌケなアメリカ白人 (amazon.co.jp) がガン、ということなのか。
イラク「歓迎」は幻か 米英軍のメディア操作批判 米テレビ (西日本新聞, info from EVERYDAY PEOPLE - eP *( )。 例の「歓迎」映像は、撮影範囲が極めて狭いし登場人物も少ない (イラク人、米英兵どちらも) ことから、事実としても局所的か、あるいはヤラセであると判断するのがふつうだと思う。第二次大戦ヨーロッパ西部戦線での「歓迎」「開放」映像と比較せよ。
最近では、「バンド・オブ・ブラザース」が「裏切者追放」な部分まで描いていましたね。これについてはロバート・キャパの写真が有名ですが。
NAI ePolicy Orchestrator 2.5.1 に弱点。ePolicy Orchestrator Agent (local SYSTEM で動作) は HTTP プロトコロルを 8081/tcp で利用するが、 これに format バグがある。これを利用すると、remote から任意のコードを local SYSTEM 権限で実行可能となる。
NAI からの情報: EPOエージェントの脆弱点。 HotFix があるので適用すればよい。
CVE: CAN-2002-0690
2003.03.18 の Ptrace hole / Linux 2.2.25 に追記した。[RHSA-2003:088-01] New kernel 2.2 packages fix vulnerabilities、 kernel (V2.x 用、2.4.9) (Miracle Linux) 登場。
2003.03.20 の CERT Advisory CA-2003-10 Integer overflow in Sun RPC XDR library routines に追記した。FreeBSD SA 登場。
OpenSSL v0.9.7a および 0.9.6i に 2 種類の弱点が発見された。(石附さん情報ありがとうございます)
Timing-based attacks on RSA keys (openssl.org)
論文: Remote timing attacks are practical (stanford.edu)。
CVE: CAN-2003-0147
Klima-Pokorny-Rosa attack on RSA in SSL/TLS (openssl.org)
論文: Attacking RSA-based Sessions in SSL/TLS (iacr.org)。
CVE: CAN-2003-0131
上記 advisory に patch が添付されているので適用すればよい。
OpenSSL 0.9.7b / 0.9.6j で修正されている。
NetBSD Security Advisory 2003-005: RSA timing attack in OpenSSL code
NetBSD Security Advisory 2003-007: (Another) Encryption weakness in OpenSSL code
patches available for RSA timing attacks
patches available for Klima-Pokorny-Rosa attack on RSA in OpenSSL
APPLE-SA-2003-03-24 Samba, OpenSSL (古暮涼氏による翻訳版)。 しかし、1 こしか直ってない。
APPLE-SA-2003-04-10 Mac OS X 10.2.5。 もう 1 こも直った。
[RHSA-2003:101-01] Updated OpenSSL packages fix vulnerabilities
[SECURITY] [DSA 288-1] New OpenSSL packages fix decipher vulnerability
Stunnel: RSA timing attacks / key discovery。 patch を適用した OpenSSL つきで作成するか、 stunnel に patch を適用する。 また、stunnel 4.05 / 3.23 で fix されるそうだ。
Mac OS X、Vine Linux 追記。
少なくとも、iOfficeV3 R1.3 および desknet's V1.0J R1.5 に弱点。 認証機能が極めて不十分であるため、誰でも任意のユーザになりすまし、iOfficeV3 / desknet's V1.0J の全機能を利用することが可能となる。
desknet's V2.1J R1.2 で修正されているので、upgrade / 移行する。 iOfficeV3 から desknet's V2 スタンダード版への移行は、2002年4月1日〜2004年3月末までは無償となっている。
それにしても、お粗末な対応ぶりだなあ > ネオジャパン。
ネオジャパンはトータルシステムインテグレータとしてすぐれた技術と創造性をもって社会に貢献する高度情報化社会におけるオピニオンリーダを目指します。
とりあえず、alt 属性つけてくださいな > ネオジャパン。
案内と patch 出ました。
「iOfficeV3」および「desknet's (旧バージョン:V2.0以前のもの)」のセキュリティーホールについて (neo.co.jp)
patch ダウンロードページ。表の左側にある「XXX 版」をたどればよい。
大熊さん、匿名希望さん情報ありがとうございます。
米国等におけるホームページ改竄は、様々な手法で行われている模様であるが、現在のところ、中でも、以下の2点の脆弱性を利用したものが多く確認されている。
(中略)
Microsoft IIS: MS03-007 に関する脆弱性
「MS03-007 に関する脆弱性」を利用したホームページ改竄が「多く確認されている」というのは初耳ですが、本当なんですかね。何か勘違いされていらっしゃるのでは、という気がするのですが。
2003.03.18 の Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) に追記した。 [VulnWatch] New attack vectors and a vulnerability dissection of MS03-007 にあわせて記述を大幅に修正。PTwebdav_jap.zip を追記 (かみらさん感謝)。SNS Spiffy Reviews No.5 Successful Reproduction of MS03-007 "Unchecked Buffer In Windows Component Could Cause Web Server Compromise" の改訂情報を追加。
増え続けるイラク戦争関連のサイト改ざん (ZDNet)。 日本エフ・セキュアさんには、Iraq War and Information Security (f-secure.com) をさくっと訳してほしいところですね。 もしかして、web 担当は 24h 体制じゃない?
トルコ兵1000人がイラク北部に越境 クルド人と衝突も (毎日)。 そうら来た。狙いはクルド人虐殺と石油利権ですか? > トルコ。 こんな国でも「民主主義国家」ですから。 ご立派なことで。
イスラエル、イラク戦争でWeb検閲強化 (ZDNet)。 そういえば、ここも「民主主義国家」だったな。
イラク大使館閉鎖 欧州各国が拒否 (毎日)。 そりゃそうだろう。 (fixed: Kenji さん感謝)
ハワイアン航空が破綻 イラク戦争で旅客大幅減 (asahi.com)。 9.11 のときもたいへんでしたが、またもやボコボコ倒産するんでしょうか。
空爆下のバグダッド、480万人の暮らし直撃 (asahi.com)、 「正確さ増し、民間人犠牲減る」 誤爆の可能性も−−精密誘導弾など 。 USA の「精密誘導兵器」は、なぜかよく誤爆をおこしますね。まあ、たとえばレーザー誘導爆弾の場合、誘導者 (たいていはパイロット自身) が誘導に失敗すれば終りなわけで。巡航ミサイルだって完全ではないし。 アフガンで、誤爆の結果死亡した非戦闘員は 3000 とも 4000 とも言われていたような気が。
それにしても、「進軍中の戦闘車両からの生中継」なんてマネをするわりには、報じられる情報はあまりに少ないですね。報道管制はそうとうに厳しいようで。マスメディア経由で流れてくる情報はよほど米英に都合のよいものだけ、だと思わナイト。 もちろんウソも混じっているだろうし。
MS03-007 が示した弱点の攻撃手段は WebDAV だけではない、という指摘。WebDAV を無効にした IIS 5.0 はもちろん、IIS 5.0 が存在しない場合ですら、この弱点を利用した攻撃が可能だという。 全ての Windows 2000 に patch をインストールすべきだ、というのだ。
patch あてましょう。
米国を中心としたWebサイトの改ざんについて (ISSKK)。patch あてましょう。
S/MIMEによるメールの暗号化〜「Web of Trust」による無料のデジタルIDを試す (ZDNet)。 手元で試してみたが、確かに Notary 皆無なので「信頼の網」を構築できないですね。
@policeメルマガ No.1 が届く。
●サイトオープン挨拶 技術対策課長
氏名がどこにも書かれていない「挨拶」ってはじめて見た。 技術対策課長という名前のプログラムなんだろうか。マジで不気味だ。
[aml 33043] 大使館前。情報操作ですか。 イラク開戦:米大使館前の抗議市民を警官が排除 (毎日) なんてことも行われているそうで。
米英軍によるイラク攻撃が開始されました。
B52爆撃機数機で攻撃開始 (NHK) ですか。老兵 B52 は元気だなあ。 今のところ短期終結見込みで株価全面高 (NHK) だそうですが、はてさてどうなりますか。
EVERYDAY PEOPLE さんによると、
USG (UNIX Security Guards)
米英のサイトを中心にやられまくってます。確認出来ただけで二、三百のサイトがやられています。(10:49)
だそうです。
message board in memories of the day: 20.Mar.2003 (「その日」(2003年3月20日)を記憶するための、一時的な掲示板) ができています。 (info from 異分子(仮) - dissident - チョムスキー・アーカイヴ日本語版)
nmap 3.20 が出たそうです。(info from [installer 7613])
Homeland Security (whitehouse.gov)。HIGH の状況をつくりだしているのは USA 自身だと思うが。
ジョン・コナー、時間だ。 (apple.com)。more info: http://www.terminator3.com
決議欠く攻撃は「国際法違反」 研究者ら声明提出へ (asahi.com)。そりゃそうだわなあ。 (info from バーチャルネット法律娘 真紀奈17歳さん)
「焦土作戦」や「イラクが他国を NBC 兵器で攻撃」が最も恐れられるシナリオだと思うが、はたして……。
2003.03.13 の [VulnWatch] iDEFENSE Security Advisory 03.04.03: Locally Exploitable Buffer Overflow in file(1) に追記した。Turbolinux, Miracle Linux fix 追加。
2003.03.18 の Ptrace hole / Linux 2.2.25 に追記した。Turbolinux 追加。
2003.03.17 の [damedame:235] [SECURITY] Samba 2.2.8 がリリースされました に追記した。Turbolinux、HP-UX、Samba 2.2.7a日本語版リリース1.1 を追記。
2003.03.18 の Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) に追記した。Re: Alert: Problems with MS03-007 installed はどうやら MS03-007 の「警告」の件だったっぽいので、「警告」の話に切りかえ。 Cold Fusion MX に関する注意、PTwebdav.zip を追加。
SunRPC 由来の XDR ライブラリに弱点。これには以下が含まれる:
xdrmem_getbytes() 関数で integer overflow が発生する。 これにより、多くのアプリケーションにおいて、remote から任意のコードを実行可能な buffer overflow 穴が発生するという。
[RHSA-2003:089-00] Updated glibc packages fix vulnerabilities in RPC XDR decoder
Turbolinux Security Advisory TLSA-2003-23
Turbolinux Security Advisory TLSA-2003-29
[SECURITY] [DSA 272-1] New dietlibc packages fix arbitrary code execution
邦訳版: [debian-users:36605]
[SECURITY] [DSA 282-1] New glibc packages fix arbitrary code execution
邦訳版: [debian-users:36715]
NetBSD にはこの弱点はない。
MITKRB5-SA-2003-003: faulty length checks in xdrmem_getbytes
51884: Security Vulnerability in the Network Services Library, libnsl(3LIB), Affecting rpcbind(1M)
FreeBSD SA 登場。
Debian GNU/Linux (MIT Kerberos 対応分)。
HP-UX fix。
Debian / IRIX fix。
Solaris fix。
Internet Security and Acceleration (ISA) Server 2000 に弱点。DNS 用の侵入検知フィルタに弱点がある。 これを利用すると、remote から特殊な DNS リクエストを送ることにより、ISA Server 2000 が内向きの DNS リクエストをうまく処理できなくなってしまう。 ただし、影響するのは ISA Server 2000 で「DNS サーバーを公開」している場合のみ。
patch が出ているので適用すればよい。なお、Proxy Server 2.0 にはこの問題はない。
CVE: CAN-2003-0011
Windows 98/Me, NT 4.0, 2000, XP に弱点。JScript (Microsoft 版 JavaScript) 用の Windows スクリプトエンジン (jscript.dll) に integer overflow が発生する弱点がある。これにより、悪意ある web ページ作成者や HTML メール送信者により、任意のコードを実行させられる恐れがある。
patch があるので適用すればよい。また、アクティブスクリプトを無効にすることにより回避できる。
CVE: CAN-2003-0010
PsPasswd (sysinternals.com)。便利そう。 (info from [port139ml:02506])
[port139ml:02755] Re: 奥天の!セキュリティ川柳道場。 BGM はやはり Paint It Black なんでしょうか。
iij.news vol.52 MARCH 2003 に「SQL slammer ワームへの対応」が掲載されています。 「FOCUS(1)の高解像度版」を読みましょう。
「反戦のため米大統領にプレッツェルを送ろう」 仏サイト (CNN)。 わはは。 -Bretzel for Bush - NO WAR - PROTECT CHILDRENS、 現在の賛同数は 506 になってますね。 サイトへのアクセスはかなり重くなっているようなのでご注意。 ataru さん情報ありがとうございます。
Event Log Reporter (saposen.com)。logger(1) みたいなもののようです。
TCP 接続切断デーモン drop 1.2.5 が出ています。Linux と FreeBSD で動作するそうです。 (info from [exploitcoding:0093]
Logsaver (info from [port139ml:02300])。 リアルタイムでログを CD-R に書き込む機械。 韓国方面ではメジャーな機械なのかな。 どのくらいのパフォーマンスなんだろう。 サーバ1台に対してLogsaver1台の環境を推奨いたしますだそうだけど。
独自のデータ保存方式を採用
Logsaver以外の装置でデータを読み込まれる心配がありません。
うれしいような、うれしくないような、……。
Remote Syslog with MySQL and PHP (linuxsecurity.com)。 msyslog を利用して、syslog を MySQL データベースに入れ、PHP から検索する話のようです。
log まわりをちょっとまとめてみた。
セキュア サーバ構築 〜Windows 2000編〜 (東京会場) 〜安全なWebサーバ(IIS)を構築する〜、2003.04.18、東京都渋谷区、¥50,000-。
InterScan VirusWall UNIX: INDEX:プログラム起動アカウント(iscan)の変更による影響一覧 (トレンドマイクロ)。3.8 版でのアカウント変更に伴う影響一覧。 気をつけませう。
[TechStyle Newsletter:2003-03-19]、patch リリースの早さだけで評価するのはちょっとなあ。たとえば、まともなリリースフローならストレステストの 1 つや 2 つは行うべきだと思うのだが、早すぎる組織はちゃんとやっているの? と疑問に思ったりする。もっとも、遅すぎる組織については「いつまでやってんの?」とも思うけど。
PIN を得るためには、ふつうは 5000 try 必要なのだが、この方法を使うと平均 15 try で ok! ということでいいのかな。
我々は、この方法でアンチポップアップソフトを無意味にすることができるのだということを宣伝したい
宣伝ですか……。なんだかなあ。
あえて別記事にします。「警告」が追記されています。まるまる引用:
警告 :
Windows 2000 Service Pack 2 を実行している場合、この更新をインストールする前にシステムの ntoskrnl.exe のバージョンをチェックして下さい。システムの ntoskrnl.exe のバージョンを確認するためには、次のステップを行って下さい。
1. %windir%\system32 ディレクトリを参照します。
2. ntoskrnl.exe を右クリックします。
3. [プロパティ] をクリックします。
バージョン情報は [バージョン] タブに表示されています。
5.0.2195.4797 から 5.0.2195.4928 (5.0.2195.4928 を含む) までの ntoskrnl.exe のバージョンはこの修正プログラムとの互換性がありません。これらのバージョンはプロダクトサポート サービスの修正プログラムのみで配布されたバージョンです。(Windows Update やマイクロソフトの Web サイトからダウンロード可能な修正プログラムではありません。)
この問題に対する修正プログラムが、ntoskrnl.exe のこれらのいずれかのバージョンが存在するシステムにインストールされる場合、最初の再起動にコンピュータでエラーが発生し、Stop 0x00000071 メッセージが表示されます。このため、Windows 2000 回復コンソールを使用して “\winnt\$NTUninstallQ815021$” ディレクトリに保存されている ntdll.dll のバックアップ コピーを回復する必要があります。
プロダクト サポート サービスから配布された ntoskrnl.exe のバージョンが存在するシステムを更新するためには、この修正プログラムを適用する前にプロダクトサポート サービスにご連絡ください。プロダクト サポート サービスへの連絡に関する情報は次の Web サイトをご覧下さい。
http://support.microsoft.com
または、この問題に対する修正プログラムをインストールする前に、Service Pack 3 にアップグレードすることもできます。
Windows 2000 SP2 で、かつ該当カーネルを利用している場合は要注意だそうだ。 ふつうの人は該当しなさそうだけど、うーん……。
この件が、Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) に追記した、ntbugtraq ML への russ 氏の投稿 Re: Alert: Problems with MS03-007 installed の件と同じなのか違うのかは、私にはよくわからないです。
[memo:5645] にあわせて記述を修正。
FW: Alert: Problems with MS03-007 installed - clarification の書かれ方を見ると、どうやら同じっぽいですね。
2003.03.18 の Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007) に追記した。patch トラブル情報を「注意」として追記。 Simple WebDAV method validator (PERL code) を追加。 また、IIS 停止状態で patch を適用すると IIS が動作してしまう場合があるようなので、これも「注意」として追記。かみらさん情報ありがとうございます。
世界中に広まる「原因不明の肺炎」:ウイルスによる発症か? (WIRED NEWS)。
対イラク戦争の情報を求め、国外ニュースサイトに向かう米市民 (WIRED NEWS)。 まるで二昔前の東欧のような状況なんですかね。
だめだめ日記 にアイコンがつきました。だめっぽくていいです。(^^)
NetworkWorld 2003.05 に伊原さんの「システム侵害調査マニュアル」という記事があるそうです。
@police の topics って、mozilla 1.1 では Advanced → Scripts & Plugins で 「Open unrequested windows」をチェックしていないと表示できないんですよねえ。とっても不便。というか警察庁は、「Open unrequested windows」をチェックせよ、と言いたいのだろうか?
奥天の!セキュリティ川柳道場 第 3 回 (Microsoft)。 第 4 回のお題は「ハッカー / クラッカー」だそうです。
EVERYDAY PEOPLE - eP *(、 復活?!
ぢつは今ネットワークのつなぎかえをやっているので、今日は、理工学部ネットワークは切れたりつながったりをくりかえすと思います。というか、今は外から見えていないんだけど。
……dynamic routing がうまく動かないっぽい。とりあえず static で回避して原因調査となった。
DoSアタックを呼びかける雑誌 (slashdot.jp)。そういえば今日なんですね。 何かありました?
米大統領、48時間以内の亡命要求 イラクに最後通告 (asahi.com)。
ブッシュ大統領は、演説で「数十年に及ぶ(フセイン大統領の)欺瞞(ぎまん)と残虐はいま、最後のときを迎えた。(中略)」と述べ、
かつてサダム・フセインを支援していた USA の欺瞞については何も述べないのね。これだから USA はなあ。かつてイラク国内の反フセイン運動を放置した (結果として運動は失敗した) USA が、本当に「民主主義国家」なんてモノをつくるつもりがあるのかも疑問だし。
小泉首相が武力行使支持を表明 「やむをえぬ決断」 (asahi.com)。 もちろん日本もイラク石油利権 (のオコボレ) はほしいわけで。 さて、株価はどこまで下がりますかね。
みっきーさんち の top banner が FREE UNYUN になっている……。
NAI のゲートウェイ製品で定義ファイル 4252 を使用すると Linux/Exploit-Sendmail を誤検知してしまう模様。 ゲートウェイ製品ではないものでは問題ない。 定義ファイル 4253 で fix される他、extra.dat で回避できる。
2003.03.17 の [damedame:235] [SECURITY] Samba 2.2.8 がリリースされました に追記した。 Red Hat Linux, Miracle Linux, Mac OS X を追加。
Linux 2.2 / 2.4 kernel に弱点。ptrace コードに問題があり、local user が root 権限を奪取できる。 Linux 2.4.20 / 2.4.21pre 用の patch が添付されている。また、Linux 2.2.25 で fix されている。
CVE: CAN-2003-0127
[RHSA-2003:098-00] Updated 2.4 kernel fixes vulnerability
[RHSA-2003:088-01] New kernel 2.2 packages fix vulnerabilities
[RHSA-2003:135-00] Updated 2.4 kernel fixes USB storage (Red Hat Linux 9 )
[SECURITY] [DSA 270-1] New Linux kernel packages (mips + mipsel) fix local root exploit
邦訳版: [debian-users:36602]
[SECURITY] [DSA 276-1] New Linux kernel packages(s390)
fix local root exploit
邦訳版: [debian-users:36649]
kernel にセキュリティホール
kernel22 にセキュリティホール
kernel-headers の不足ファイル修正
Vine / Debian fix 追加。
Windows NT 4.0 / 2000 / XP の ntdll.dll に弱点。ntdll.dll に buffer overflow する弱点がある。これを利用すると、たとえば remote から IIS 5.0 標準装備の WebDAV 機能を攻撃して IIS 実行権限 (通常 local SYSTEM) を取得できる。
IIS 5.0 + WebDAV については、既に攻撃プログラムが存在し、実際に被害が発生している模様
(ZDNet 記事参照)。Windows XP にはこの弱点はないとされている。
注意: MS03-007 の 2003.04.24 付の改訂で、Windows NT 4.0 にも弱点があると記述が変更された。 また 2003.05.29 付の改訂で、Windows XP にも弱点があると記述が変更された。
NT 4.0 / 2000 / XP 共に patch が配布されているので適用すればよい。 また Windows 2000 用 patch については、MS03-013 にその内容が含まれている。Windows 2000 については、MS03-007 ではなく MS03-013 を適用する方が好ましいとされている。
注意: Windows 2000 SP2 において、ntoskrnl.exe のバージョンが 5.0.2195.4797 〜 5.0.2195.4928 である場合に patch を適用すると、 Stop 0x00000071 エラーになる。 これらの ntoskrnl.exe はプロダクトサポートサービスから配布された特殊なバージョンで、通常の SP / patch には含まれないものだそうだ。これらバージョンの ntoskrnl.exe を利用している場合には、patch 適用前にプロダクトサポートサービスに相談すること。 MS03-007 の「警告」を参照。なお、この問題は MS03-013 patch には存在しない。
注意 2: IIS 5.0 を停止させている状態で patch を適用し再起動させると、IIS 5.0 がなぜか動作してしまう場合があるようです。IIS 5.0 を停止させている状態で patch を適用する、場合には注意してください。かみらさん情報ありがとうございます。
注意 3: Problems with MS03-007 and Cold Fusion MX (ntbugtraq) という情報があります。Cold Fusion MX + IIS 5.0 で運用している場合は、patch の適用には注意しましょう。
Windows 2000 では、この patch は Windows カーネルメッセージ処理のバッファオーバーランにより、権限が昇格する (811493) (MS03-013) に含まれている。MS03-013 patch には ntoskrnl.exe も含まれているので、上記のようなトラブルは発生しない。しかし逆に言うと、MS03-013 patch は ntoskrnl.exe すら入れかえてしまう patch なので、取り扱いには十分注意されたい。
この問題に対する攻撃は、当初は IIS 5.0 + WebDAV に対してのみ行い得るとされたが、実は IIS 5.0 単独、あるいは IIS 5.0 が存在しない場合においてすら可能であると指摘されている。
参照:
[VulnWatch] New attack vectors and a vulnerability dissection of MS03-007
(LAC 邦訳版)
Operaも影響を受けるMS03-007 (opera.rainyblue.org)
2003.05.29: マイクロソフトセキュリティ情報 (MS03-007) :よく寄せられる質問 に、次の記述が追加された:
Windows XP で動作する IIS 5.1 もこの脆弱性の影響を受けますか?
いいえ、影響を受けません。ユーザーによって IIS 5.1 がインストールされた場合、 IIS 5.1 で WebDAV がサポートされますが、内在する ntdll.dll の Windows XP のバージョンは、WebDAV の攻撃の影響は受けないため、攻撃者はこの脆弱性を悪用することができません。しかし、IIS がインストールされていない場合でも、攻撃者はコンピュータに対話的にログオンする必要がある攻撃の方法などにより、内在する脆弱性を悪用する恐れがあります。
IIS + WebDAV 経由ではない攻撃があり得る事を Microsoft も確認した模様。
マイクロソフト セキュリティ情報 (MS03-007) : よく寄せられる質問、[MS03-007] 815021 に記載されたセキュリティ上の脆弱性を回避する方法の記述はもはや不適切であり、現時点において、有効な回避方法は存在しないと考えた方がよい。patch の適用のみが有効な方法であると考えた方がよい。
CVE: CAN-2003-0109
CERT Advisory CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL (CERT/CC)
「CERT Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0」 から 「CERT Advisory CA-2003-09 Buffer Overflow in Core Microsoft Windows DLL」 へ改題されている。 LAC 邦訳版: CERT Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0。 (改訂履歴に注意)
Microsoft IIS 5.0 の脆弱性に関する注意喚起 (JPCERT/CC)
Vendor Status Note JVNCA-2003-09 Microsoft IIS 5.0 にバッファオーバーフローの脆弱性 (JPCERT/CC JVN)
マイクロソフト社Windows2000上で動作するInternet Information Server (IIS) 5.0の脆弱性について (警察庁)
2003.03.20 に update されている。LOCK だけではなく SEARCH や PROPFIND での発現が確認されているそうだ。
Windows 2000に「被害報告あり」のセキュリティホール (ZDNet)
New IIS Vulnerability Exploited In Zero Day Attack (TruSecure)
TruSecure のところで発生した事象だったのかしらん。 米陸軍のIISサーバーが3月10日に攻撃を受けていた (日経 BizTech)
IIS 5.0 セキュリティ最初の一歩 (port139)
Simple WebDAV method validator (PERL code)
WebDAV が動いているかどうかを調べるだけのようです。
PTwebdav.zip (securitylab.ru)
日本語版: PTwebdav_jap.zip (suki.gr.jp)
参照: Re: Microsoft Security Advisory MS 03-007。 ロシア語はわからない……。
Operaも影響を受けるMS03-007 (opera.rainyblue.org)。
IIS のアレ (けんのぼやき)
NTDLL.DLL Buffer Overrun Vulnerability Windows 2000 / IIS5 / WebDAV
[Windows XP] ntdll.dll内の関数で起こるバッファオーバーフローによる脆弱性 (:: Operash ::)
英語版: [Windows XP] ntdll.dll Buffer Overflow Vulnerability - Yet Another MS03-007
WebDav Exploit ffs (bugtraq)。
exploit 一覧ページ (画像つき)
patch トラブル情報を「注意」として追記。Simple WebDAV method validator (PERL code) を追加。 また、IIS 停止状態で patch を適用すると IIS が動作してしまう場合があるようなので、これも「注意」として追記。
Re: Alert: Problems with MS03-007 installed はどうやら MS03-007 の「警告」の件だったっぽいので、「警告」の話に切りかえ。 Cold Fusion MX に関する注意、PTwebdav.zip を追加。
[VulnWatch] New attack vectors and a vulnerability dissection of MS03-007 にあわせて記述を大幅に修正。PTwebdav_jap.zip を追記 (かみらさん感謝)。SNS Spiffy Reviews No.5 Successful Reproduction of MS03-007 "Unchecked Buffer In Windows Component Could Cause Web Server Compromise" の改訂情報を追加。
IIS 5.0 + WebDAV 用 exploit 登場。
Windows カーネルメッセージ処理のバッファオーバーランにより、権限が昇格する (811493) (MS03-013) patch に含まれる話を追記。
MS03-007 が改訂され、Windows NT 4.0 にも同じ弱点があると明記されたため記述を変更。 Operaも影響を受けるMS03-007 (opera.rainyblue.org) を追加。
exploit 情報を分離、追記。
MS03-007 が改訂され、Windows XP にも同じ弱点があると明記されたため記述を変更。
Windows XP 関連の穴は :: Operash :: からの通報であった模様。関連記事を追記。
HTML 版:
SecurityFocus Newsletter #184 2003-2-10->2003-2-14
個人的注目:
SecurityFocus Newsletter #185 2003-2-17->2003-2-21
個人的注目:
SecurityFocus Newsletter #186 2003-2-24->2003-2-28[1 of 2]、 SecurityFocus Newsletter #186 2003-2-24->2003-2-28[2 of 2]
個人的注目:
text 版:
HFNetChkPro 4.0 が出たそうで。 HFNetChkLT 4.0 もダウンロードできるそうで。
出会い系サイト規制法案が閣議決定 ISPへの責務に関する条項など削除 (INTERNET Watch)。しかしあいかわらず 「出会い系サイト」 は未定義用語の模様。
情報処理 Vol.44 No.03 (2003.03) の特集は「インフォメーションハイディング」ですね。
「イラク戦」で対立 反仏ムード高まる フレンチフライもフリーダムフライに (yomiame.com)。 思い出した歌: アンジーのジュージュー。 自由! 自由! 銃銃銃銃銃!!
ビンラディン逮捕劇の怪しさ (tanakanews.com)。興味深いです。
がんばれ!!ゲイツ君番外編50(2003/03/17)。 豪快な光景ですね > 広島の駅ビルの大型スクリーン。
あなたの組織のメール・サーバーは大丈夫? (日経 IT Pro)。 Sendmailのヘッダー処理に対する脆弱性 話。よくまとまっています。というか、EWS/4800 用の patch 出してくださいよ > NEC。
解説:情報収集衛星、宇宙開発事業に甚大な悪影響 (日経 BizTech)。 というか……しょせんは偵察衛星なのに「そうじゃないやい!」と強弁して NASDA が運用しているために発生している問題なのでは。偵察衛星なんだから、ちゃんと自衛隊の予算から出すべきでしょう。
17日に安保理採択なければ武力行使 3国首脳会談 (asahi.com)。 ♪帝国は〜とても〜強い〜戦艦は〜とても〜でかい〜。 進軍する先々で放射能をばら撒く、という意味では銀河帝国よりもガミラス帝国に近いのかな。デスラ〜総統〜ばんざ〜い。
「放射能兵器・劣化ウラン」という本も出るそうで [aml 32900] 。
2003.03.12 の QPopper 4.0.x buffer overflow vulnerability に追記した。FreeBSD ports/mail/qpopper が 4.0.5 ベースになっています。
とりあえずまとめておく。
ネット接続業者に電子データ保存義務化 法務省方針 (asahi.com)
法務省:プロバイダのメール保存義務を検討 (slashdot.jp)
電算ウイルス作成に懲役刑 法務省方針 (読売)
法務省:コンピュータウィルス作成罪新設へ (slashdot.jp)
議論したい人は、とりあえずサイバー刑事法研究会報告書「欧州評議会サイバー犯罪条約と我が国の対応について」の公表 (METI) は読むべきだと思う。(すんません、挫折しました _o_。も一回ちゃれんじするかなあ)
Windows XP Home / Pro gold / SP1a で発生するそうな。 って書くと「SP1 はどうなるんや」というツッコミがありそうです。 英語版 KB は存在しないようなので、日本語版独自の問題なのかもしれません。 ともかく、何度も表示される場合は対応しておきましょう。
トラブル速報サービス、サービス自体は大歓迎なのですが、過去ログ行きが早過ぎやしませんか? 1 週間分くらいは掲載しておいてほしいと思うのですが。
掲載期間の問題は解決されています。 また、「修正済み」「未対応」がわかりやすくなりました。
samba 2.0.x〜2.2.7a までに弱点。smbd の SMB/CIFS パケットのフラグメントと再構成のためのコードに buffer overflow する弱点がある。これを利用すると、remote から smbd 動作権限 (通常 root) で任意のコードを実行させられる可能性がある。 samba 2.2.8 で修正されている。
また、上記 link 先にも書かれているように、samba (SMB / CIFS) に対するアクセス制限は行っておこう。最低でも、
くらいはやっておいたほうがいいでしょう。もちろん、samba を利用しない場合は samba (nmbd, smbd) を起動しないようにすればよい。
[SECURITY] [DSA-262-1] samba security fix
日本語版: [debian-users:36487] [Translate] [SECURITY] [DSA-262-1] samba security fix
CVE: CAN-2003-0085、 CAN-2003-0086 になっている。
[RHSA-2003:095-03] New samba packages fix security vulnerabilities
RHSA-2003:095-23 sambaパッケージのアップデート
RHSA-2003:095-03 で Red Hat 9 用が追加された。 Red Hat 9 では、US 用ディストリビューションにのみ問題が発生していたそうな。
Turbolinux Security Advisory TLSA-2003-18: SMB/CIFS プロトコルに脆弱性が存在
HPSBUX0303-251 SSRT3509 Potential Security Vulnerability in CIFS/9000 Server
日本語版: HPSBUX0303-251 SSRT3509 CIFS/9000 Serverにおけるセキュリティ脆弱性
HP-UX 11.0/11.11 用 fix はあるけど 11.22 用はまだみたい。
Red Hat Linux, Miracle Linux, Mac OS X を追加。
Turbolinux、HP-UX、Samba 2.2.7a日本語版リリース1.1 を追記。
Mac OS X、Vine Linux 。
明日は 不正アクセス被害の検出と診断方法 (大阪会場) 〜その時!囮サーバでは何がおきたか〜 (port139) に参加するので、このページの更新は、あったとしても夜中になるでしょう。
社内の盗聴者を見つけ出す - フリーツール「PromiScan」の使い方 (日経 IT Pro)。
ハニーポット・ソフト続々登場 (日経 Windows プロ)。 続々、と言っても 2 つしか紹介されていない。
朝日新聞 2003.03.12 社説 (asahi.com)。 まっとうな意見だ。今日のもまっとうだが、大米帝国 BUSH ! には通じないかな。 日本政府にとっても、国際社会 = 大米帝国らしいし。
産経新聞社が「無断リンク」に警告 (slashdot.jp)。さすが 3K ですね。
ネットカフェ、人気の裏に思わぬ犯罪 (TBS)。 TBS のはすぐ消えてしまうので、キャプチャ画像として引用。 例のキーロガーねたです。 ゼロエクスの上野 宣常務という方がコメントされていますね。
IE 5.5, 6 に弱点。"Web アーカイブ" (.mht) ファイル (MIME マルチパート形式のファイル) において、
エンコードされたデータが実行ファイルか、あるいは単語 MZP を含むものであり、かつ
Content-Type が指定されていない
場合に buffer overflow が発生する。これを利用すると、悪意ある web アーカイブファイルにより任意のコードを実行可能となる。という指摘。
file コマンド 3.37〜3.39 に buffer overflow する弱点がある。 これを利用すると、file コマンドを利用するコマンドを利用して、file コマンドを実行しているユーザの権限を奪取することが可能となる。 file 3.41 で修正されている。
CVE: CAN-2003-0102
[RHSA-2003:086-07] Updated file packages fix vulnerability
Red Hat Linux 6.2〜8.0 用 fix が用意されている。
Red Hat Linux では、6.2 と 7.0 の rhs-printfilter パッケージで file コマンドを利用しているため、 ユーザ lp 権限でのコマンド実行が可能となる。 また、いくつかの Linux ディストリでは lesspipe.sh で file コマンドを利用しているので、less の利用が引金を引くことになる可能性がある。
[SECURITY] [DSA-260-1] New file package fixes buffer overflow
日本語版: [debian-users:36459] [Translate] [SECURITY] [DSA-260-1] New file package fixes bufferoverflow
Turbolinux Security Advisory TLSA-2003-16: file コマンドにバッファオーバーフローの問題が存在
NetBSD Security Advisory 2003-003 Buffer Overflow in file(1)
Turbolinux, Miracle Linux fix 追加。
2003.03.10 の [Opera 7/6] ダウンロード時の長いファイル名で起こる バッファオーバーフローによる脆弱性 に追記した。Opera 7.03 登場。
2003.03.12 の 管制ダウン、既存プログラムにミス NECが報告せず に追記した。NEC プレスリリース出ました。
2003.03.12 の CERT Advisory CA-2003-08 Increased Activity Targeting Windows Shares に追記した。NAI 定義ファイル 4252 登場、Vendor Status Note JVNCA-2003-08 Windows ファイル共有を悪用したワームの流布 (JPCERT/CC JVN)。
2003.03.12 の QPopper 4.0.x buffer overflow vulnerability に追記した。qpopper 4.0.5 が出ました。
国交省発表の「危ない地下駅」の具体名が明らかに (日経 BizTech)。 うーむ、こんなに多いとは > 名古屋市交通局。 比較的新しいはずの鶴舞線でも散見されてるしなあ。
積極的に情報を公開しているのが札幌市交通局と東京都交通局で,それぞれ自らのホームページ上で公表している。
これですね:
札幌市営地下鉄の火災対策について (札幌市交通局)
東京都交通局>お問い合わせ>よくあるご質問>都営地下鉄の火災対策 (東京都交通局)
やるじゃん > 東京都交通局。でも、設備もちゃんと整備してくださいね。
スパムメールの撲滅に向けた取組みについて (ぷらら)。いさましいですね。
Code Red II の亜種、Code Red F が登場しているそうです。 CodeRed II (CodeRed.F) (シマンテック)。
粗悪な記録型DVDメディアが、なぜ“怖い”のか (ZDNet)。
Port139 セミナー 資料(PDFファイル)の販売: 不正アクセス被害の検出と診断 (port139.co.jp)。2003.03.11 版が出ていますね。
「5 分でわかる」ということなのかな。全部読むと 5 * 19 = 95 分? 拾い読みするのがよいのでしょう。 O さん情報ありがとうございます。
qpopper 4.0.4 以前の 4.0.x に弱点。qpopper が実装している vsnprintf() 互換関数 Qvsnprintf() に buffer overflow する弱点が存在する。 このため、remote から qpopper 動作権限を取得することが可能。 ただし、認証後でないと攻撃できないようだ。 この時点では qpopper は認証されたユーザの権限で動作している。
Fwd: Qpopper 4.0.5fc2 available によると、 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/beta/ に qpopper4.0.5fc2 があり、 4.0.5 は明日リリースされる予定だそうだ。
qpopper 4.0.5 が出ました。 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ から入手できます。
あと、source をちらっと見た限りでは、qpopper 3.x の common/snprintf.c もダメのように見えます。 要は common/snprintf.c を 4.0.5 のものに置きかえれば ok なはず。
[SECURITY] [DSA-259-1] qpopper user privilege escalation
日本語版: [debian-users:36460] [Translate] [SECURITY] [DSA-259-1] qpopper user privilegeescalation
FreeBSD ports/mail/qpopper が 4.0.5 ベースになっています。
ブッシュ氏は「イラクに民主主義と放射能汚染を」とは言わないですねえ。 なんでだろ〜。
蟲捕獲ソフトだそうです。 Windows 98 / Me / NT / 2000 (たぶん XP でも) 動作し、 デフォルトでは port 80, 21, 22, 23, 25, 52, 445, 111, 515, 1433, 27374 を見張るそうです。楽しそうだなあ。
Deloder をはじめとする、このごろ流行りのヤツの話。 Deloder については: トレンドマイクロ、 F-Secure、 NAI、 シマンテック、 ソフォス。
VirusScan など NAI 製品では、Deloder は 最新定義ファイル 4251 では検出できない ので注意。緊急用 Extra.DATファイル を併用しなければならない。定義ファイル 4252 で対応される予定。 他のアンチウィルスソフトは、最新のウィルスデータで対応されている。
LAC 邦訳版出ました。
NAI 定義ファイル 4252 が出ましたね。 Deloder にも対応しています。
Vendor Status Note JVNCA-2003-08 Windows ファイル共有を悪用したワームの流布 (JPCERT/CC JVN)。
NECは今年1月末、社内の検証で共通データ処理プログラムのミスに気づいたが、「これまで問題なく運用されており、致命的な問題を引き起こすという意識がなかった」として、同省に報告や改修の申し出をしていなかった。
ただただ唖然。
NECは12日、「当社の作成したプログラムのミスで、多くの航空利用者や航空会社などに多大なご迷惑をおかけし、心からおわび申し上げます」などとするコメントを出した。
NEC ホームページには何もないようですね。
東京航空交通管制部FDPシステムの障害に関する当社コメント (NEC)。 リリース日付的には 3/12 だけど、NEC ホームページでは 3/13 になってますね。 それにしても、なんて素気ないんでしょう。モノがモノだけに、ぺらぺらしゃべるわけにもいかないのだろうけど、それにしてもねえ。
FreeBSD用のUPnP-IGDが公開されています (wildlab.com)。 Linux Kernel 2.2 (original)、2.4、FreeBSD 4.6-STABLE で動くらしい。
個人情報保護法、修正案を閣議決定 作家らの表現活動に配慮、 個人情報保護法新法案にも多くの課題 解説と要旨、 個人情報保護法修正案、市民団体などから批判相次ぐ (毎日)。 あいかわらずだめだめな模様。
[aml 32716] ANSWER文書「石油、欺瞞、外交そして戦争の政策」。でっちあげは常套手段だからなあ。
Websense Press Releases: Web-Based Storage Sites Create Security Holes and Liability Risks For Businesses, Reports Websense 。 だから web sense で守りましょう、なのかな。
BlackICE シリーズ最新版が「RealSecure」の名を冠して登場! 『RealSecure BlackICE PC Protection』発売決定 (act2)。PUPPY Suite って何?
イラク侵攻とドル暴落の潜在危機 (tanakanews.com)。おぉ、ユーロですか。現状がブッシュ・小泉不況なのはまぎれもない事実だしなあ。時代はふたたびユーラシア大陸なのか?
それにしても、日本政府の驚くほどの理念のなさは一体なんなのだろう。 無能すぎ。
あら、emailmx.infoseek.co.jp さん、のきなみ Connection refused ですか? ……一旦接続できるようになったようですが、内部でエラー吐きまくっていたようで、またもやつながらなくなっている、のかな。
エクセルファイルを上書き保存する時に、時間がかかるようになりました。 (NAI)。 VirusScan ASaP ではこういう現象が発生するのだそうです。
2003年2月のコンピュータウイルス・不正アクセスの届出状況 (IPA, 2003.03)。 web は定番ですからねえ。
アークン、ネットカフェでの事件を受けてスパイウェア対策ソフトを公開 (INTERNET Watch)。セールスチャンスキター。
ウイルス被害企業の75% (NHK)。
企業の75%、個人の21%が去年1年間にウイルスを見つけたり感染したりするなどの被害にあっていた
「見つけた」は必ずしも「被害」じゃないと思うぞ > NHK、総務省。 そうまでして「被害」を大きく見せたいのですか? > 総務省。 Cウイルス作成罪 新設へ がらみのネタなのか?
FreeBSD おぼえがき、2003年03月11日(火)01時45分34秒。 うぅむ、こんなことをしていたとは > bind 9。
interface-interval
The server will scan the network interface list every interface-interval minutes. The default is 60 minutes. If set to 0, interface scanning will only occur when the configuration file is loaded. After the scan, listeners will be started on any new interfaces (provided they are allowed by the listen-on configuration). Listeners on interfaces that have gone away will be cleaned up.
2003.03.06 の BINDに重大な脆弱性、アップデートを強く勧告 に追記した。Internet Software Consortium Security Advisory: 5 March 2003。
2003.03.04 の Sendmailのヘッダー処理に対する脆弱性 を改訂した。 snort 用の signature が公開されている。
Ethereal 0.8.7〜0.9.9 に弱点。SOCKS 解析部に format バグ。また NTLMSSP 処理部に heap overflow バグ。0.9.10 で修正されている。現在の最新は 0.9.11。発見者 Georgi Guninski 氏の指摘文: Georgi Guninski security advisory #60, 2003: Ethereal format string bug, yet still ethereal much better than windows。
CVE: CAN-2003-0081
Sun Solaris 7/8/9 についてくる sendmail に穴。.forward 処理に問題があり、 local user による DoS 攻撃や root 権限奪取が可能になるそうだ。 先日の sendmail buffer overflow 穴の fix を適用してあれば、本件も fix されている。 また、.me ファイルで define(`VENDOR_NAME', `Berkeley')dnl して sendmail.cf を構築したり、sendmail.cf で V10/Sun を V10/Berkeley に変更することで回避できるそうだ。 Sun の独自拡張が問題なのかな?
JPNIC でまじめに CA サービスをやろうという話があるそうです。2003 年度は開発フェイズ、2004 年に試験運用フェイズだそうです。
[memo:5540] ルータの脆弱性がネットの脅威に (ZDNet) に出てくる Secure BGP Project (S-BGP) (BBN) は、経路情報を PKI で……ですが、JPNIC さんのは DNSSEC や IPsec が主なターゲットのようです。いよいよ「ふつー DNSSEC」になるのかなあ。世の中そんなに甘くないような気もするけれど、とりあえずわくわく。
ちなみに DNS については、DNSを基礎から勉強する会 (qmail.jp) という ML があるそうです。前野さん情報ありがとうございます。お教えいただいた The Large-Scale Threat of Bad Data in DNS (linuxsecurity.net) にも DNSSEC という文字列がそこかしこに並んでいますが、はてさて……。
djbdnsで作るネームサーバ徹底攻略 (amazon.co.jp) もつんどくになってるなあ。うぅ。
NAI VirusScan を Windows XP 上で利用する場合に、「検索」を実行すると、フリーズあるいはパフォーマンスの著しい低下が発生する場合がある模様。 Windows XP での .zip ファイルの関連づけを他のアプリケーションに変更することで回避できる模様。
FeliCa Secure Client に含まれる FeliCa Offline Viewer (fov.exe) には HTTP サーバ機能が含まれている。 HTTP サーバ機能にはローカルコンピュータからしかアクセスできない。 しかし、HTTP サーバ機能にクロスサイトスクリプティング脆弱性が存在するため、悪意ある web サイトや HTML メール発信者が FeliCa Offline Viewer のログファイルを取得し、利用者のプライバシー情報を得ることが可能となる。 (だめだめな間違いを修正: Ikegami さん情報ありがとうございます)
修正版 (「新しいドライバソフト」) が登場しているので入れかえる。修正版をインストールすると、FeliCa Offline Viewer は消滅するようだ。
[aml 32646] Fw: 石原都知事大暴言。あいかわらず、素敵な方ですね。
http://www.wormwatch.org というサイトがあるのだそうです。
Windows Server 2003最終ベータ版 セキュリティを中心に最後の微調整 (日経 IT Pro)。
これまで無制限だった接続数に上限を設けたのだ。上位版のEnterprise Editionとの差を明確にするのが目的である。Standard版のVPN接続数を100,RADIUSクライアントの数を25に制限した。
どひゃあ。 802.1x 認証サーバをやらせたいと思っていた人はおもいっきりひっかかってしまうのかしら。
United Linux 1.0での ACPIについて (HP)。
推奨する設定は、'acpi=off'を kernel parameterとして引渡し、ACPI機能を利用しない構成です。
クラッキング防衛大全 Windows 2000編 (shoeisha.com)。 ようやく第 6 章までたどりついた (時間かかりすぎ)。 原本の執筆時期の関係か、URLScan や IIS Lockdown については詳述されていないようなのが玉にキズですが、 新井さんの鋭い注が各所に入っているので安心して読めます。すばらしいです。
ああ、こんなことではコモンズはいつになったら読めるやら。
Deloder (トレンドマイクロ、 F-Secure) というのが出てきたそうで、 手元でも 445/tcp の検出数が上昇しています。 ISC での検出数。
OpenBSD 3.2 以前の lprm コマンドに弱点。buffer overflow するため、local user が lprm 動作権限を取得可能。 OpenBSD 3.2 では setuid daemon だが、3.1 以前では setuid root になっているのでより危険性が高い。 OpenBSD lprm(1) exploit も登場している。
CVE: CAN-2003-0144
[SECURITY] [DSA 267-1] New lpr packages fix local root exploit
翻訳版: [debian-users:36583]
[SECURITY] [DSA 267-2] New lpr packages fix local root
exploit (potato)
翻訳版: [debian-users:36756]
[SECURITY] [DSA 275-1] New lpr-ppd packages fix local root exploit
翻訳版: [debian-users:36648]
[SECURITY] [DSA 275-1] New lpr-ppd packages fix local root exploit。
DeleGate 8.3.4, 8.4.0 に弱点。HTTP proxy として利用する場合に、 robots.txt に大量の User-Agent: が記載されていると buffer overflow が発生するため、悪意ある web サイトにより任意のコードを実行される恐れがある。
DeleGate 8.5.0 で修正されている。
Opera for Windows 7.02 以前に弱点。長いダウンロードファイル名によって buffer overflow が発生するため、悪意ある web サイトにより任意のコードを実行させられる恐れがある。検証用コードが公開されている。 fix 版が近々登場する模様。水野さん情報ありがとうございます。
このサイトでは、Opera6、Opera7に存在する、クラッシュやフリーズを起こす危険なバグや、それ以外にもかなり怪しい挙動を起こすバグ情報の公開をメインに、Operaのセキュリティ上の問題などについても考えていこうと思っています。
また、Opera周辺のサイトや人物などについても、折をみていろいろと語っていこうと思っています。
というサイトだそうです。
Opera 7.03 出てますね。 MPSB03-03 Security Patch for Macromedia Flash Player 対策で Flash Player も 6.0.79.0 になっているそうです。
Changelog for Opera 7.03 for Windows。 Opera Changelogs を watch しておけばいいんですかね。
明日 (ってあと 35 分しかないぜ) は滋賀大学 彦根キャンパスに行かなければならないので、 このページの更新は、できたとしても夜になるような気がします。
Honeynet Project: snort-inline Released (linuxsecurity.com)。 おもしろそうだなあ。
これとか関連: おそまきながら、手近のセブン−イレブンに行ってみた。 噂の「ドーム型」とおぼしきものは 1 つしか確認できなかったが、店内のカメラの数にびっくり。いやー、こんなにあったのか。視線が下に行きがちなので、上になにがあるかって意外に気がつきにくいかも。
で「ドーム型」なのだが、ふつうの「いかにもカメラ」と比べてみて、「掃除が簡単 (というか不要) そうだなあ」と思った。確かに一見カメラとは思えないので「隠れてコソコソ」もあるのかもしれぬが、そういう観点での導入もあるのではないかしらんと思ったり。
Special Ops: Host and Network Security for Microsoft, Unix, and Oracle。 出版元情報の TOC 見る限りでは、なかなかおもしろそう。 (読むべき本が他にあるだろ > 俺)
www.st.ryukoku.ac.jp のレスポンス、すこしは良くなったかなあ。
bind 9.2.2 話? これか?
1356. [security] Support patches OpenSSL libraries.
http://www.cert.org/advisories/CA-2002-23.html
1349. [security] Minimum OpenSSL version now 0.9.6e (was 0.9.5a).
http://www.cert.org/advisories/CA-2002-23.html
1318. [bug] libbind: Remote buffer overrun.
security 印は OpenSSL Security Advisory [30 July 2002] の件ですね。from CA-2002-23:
BIND 9.1.x ship with a copy of the vulnerable sections of OpenSSL crypto library (obj_dat.c and asn1_lib.c). Please upgrade to BIND 9.2.x and/or relink with a fixed version OpenSSL. e.g. configure --with-openssl=/path/to/fixed/openssl Vendors shipping product based on BIND 9.1 should contact bind-bugs@isc.org.
BIND 9.2.x is vulnerable if linked against a vulnerable library. By default BIND 9.2 does not link against OpenSSL.
libbind は Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc の話ですよね。 from ISC Information for VU#803539:
BIND versions BIND 9.2.0 and BIND 9.2.1 are vulnerable. (中略) BIND 9.2.2 is not vulnerable since it includes the updated resolver library (libbind) from BIND 8.3.3.
Internet Software Consortium Security Advisory: 5 March 2003。 こがさん情報ありがとうございます。
2003.03.05 の MPSB03-03 Security Patch for Macromedia Flash Player に追記した。いいわけ。ぼけすぎ。
2003.03.05 の 検索エンジン6.510および、6.550での、パフォーマンス低下の現象に関して に追記した。検索エンジン 6.580 登場。 ダウンロードページ からも get できるようになっています。
2003.03.04 の Sendmailのヘッダー処理に対する脆弱性 を改訂した。Postfix 2.0.6 は sendmail 穴を突くメールヘッダを排除するようになった。upgrade しなくちゃ。
Suicaに電子マネー機能搭載へ (slashdot.jp)。 これでまた 1984 年へ一歩前進か?
ピッキング: 特殊開錠用具所持で処罰の新法 閣議決定 (毎日)。
警察庁は新法による厳罰化で侵入盗に歯止めがかかるとしている。
想定している減少率はどのくらいなんだろう? 1 %?
興和、超望遠ズームレンズ搭載デジカメを開発 (PC Watch)。お値段、いくらなんだろう。
IBM、CRT 11万7000台をリコール (ZDNet) って、日本でも関係あるんですかねえ。
from [TechStyle Newsletter:2003-03-05]:
Red HatやDebian Projectでは、各IDについて、そのセキュリティアップデートの「リビジョン」(版数)を示す数字も振られている。 (中略) こうなっていると、いったん発表されたセキュリティアップデートに対してさらに変更が行われた場合も、リビジョン(版数)を確認することで、容易に情報を識別することができる。
ごもっとも。しかし、何かが変わったことを識別するのは簡単だが、どこが (何が) 変わったかを識別するのは、Red Hat や Debian でも容易ではなかったりするんだよね。
https://www.cyberpolice.go.jp/cgi-bin/ にアクセスすると、ちょっとふしぎな出力が得られる件は修正されてしまっていますね。が、http://www.cyberpolice.go.jp/ で参照可能なコンテンツが https://www.cyberpolice.go.jp/ でも見れるわけではないようで、そういう意味ではあいかわらず妙です。 INOUE さん情報ありがとうございます。
トレンドマイクロ ウイルスバスターにおいて、検索エンジン 6.510 以降 (6.510, 6.550) では使用メモリ量が増えたため、実装メモリ 32MB 以下の Windows 95/98/ME で著しくパフォーマンスが低下するという。
この現象が発生している場合は (中略) 弊社サポートセンターまでお問合せいただくようお願い致します。
だそうです。 土井さん情報ありがとうございます。
ウイルス検索エンジン VSAPI 6.580 ActiveUpdateサーバへの公開について、 検索エンジン Ver 6.580 公開のご案内 (トレンドマイクロ)。 ダウンロードページ からも get できるようになっています。
Flash player 6,0,79,0 登場。buffer overflow と sandbox integrity にまつわる穴が修復された模様。 6,0,79,0 は Macromedia Player Download Center から。 ……って、うーん、何度やっても 6,0,79,0 を IE 6 にインストールできないなあ。なんでだろ〜。
Flash Playerに複数の脆弱性、修正パッチリリース (slashdot.jp)。 手元でうまくインストールできてなかったのは、IE の設定がアレだったからだった。 ぼけすぎ (T_T) (さっきまで cache server のせいと嘘を書いていて、さらにぼけぼけ)
サイバー犯罪条約 がらみなんだろうなあ。 しかし、「Cウイルス」という言葉も痛いが、 すぐゲイツ君ねただらけになってしまう slashdot.jp は痛すぎる……。
2003.03.04 の Sendmailのヘッダー処理に対する脆弱性 を改訂した。 Apple, FreeBSD, HP-UX, Debian GNU/Linux, Turbolinux, Miracle Linux, 関連報道, 解析事例、トレンドマイクロ情報を追加。
Microsoft Solution for Securing Windows 2000 Server (Microsoft)。 日本語化待ちかなあ。
@police (cyberpolice.go.jp)。メルマガ登録 は混んでいる模様。松田さん情報ありがとうございます。 https://www.cyberpolice.go.jp/cgi-bin/ にアクセスすると、ちょっとふしぎな出力が得られるそうです。
Developers Summit 2003 セッション資料(PDF)ダウンロード (shoeisha.com) ページが公開されています。
Scan Security Wire NP Prize 2002 を発表(Scan編集部)。 セキュリティホール memo ML がまた受賞してしまいました。 サイト部門は ORDB.ORG だそうです。
bind 9.2.2 が出たそうです (info from [installer 7590])。
snort 1.8.0 〜 1.9.0 に弱点。snort の RPC プリプロセッシングコードに問題があり、 buffer overflow が発生。remote から snort 動作権限 (通常 root) で任意のコードを実行できる。攻撃者は、攻撃パケットを snort が検知しているネットワークに流すだけでよい。
snort 1.9.1 で修正されている。 また、しか P さん (情報感謝) によると、snort.conf で preprocessor rpc_decode をコメントアウトすることによって回避できる。
CVE: CAN-2003-0033
sendmail 5.79 〜 8.12.7 に弱点。ヘッダに対するセキュリティチェックに問題があり、特殊なアドレス (From:, To:, Cc:) を設定することにより、remote から root 権限を奪取できるという。sendmail 8.12.8 で修正されている他、sendmail 8.9.x, 8.10.x, 8.11.x, 8.12.x 用の patch が配布されている。 patch 配布ページ には .sig ファイルがリンクされていないが、ftp://ftp.sendmail.org/pub/sendmail/ にはちゃんと用意されているので、pgp / gpg で確認してから適用しよう。
CERT Advisory CA-2003-07 Remote Buffer Overflow in Sendmail (CERT/CC) (LAC 邦訳版)
JPCERT/CC Alert 2003-03-04: sendmail の脆弱性に関する注意喚起 (JPCERT/CC)
Vendor Status Note JVNCA-2003-07 (JPCERT/CC JVN)
CVE: CAN-2002-1337
vendor patch:
商用版 sendmail: Sendmail セキュリティアラート (sendmail.com)。 Sendmail Switch 2.1.x 利用者は、2.2 へ無償 upgrade した上で 2.2.5 patch を適用する。
FreeBSD: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-03:04.sendmail [REVISED]。 4.6 以降用の patch とバイナリが用意されている。 また RELENG_3 と RELENG_4_3 以降には修正が行われている。
NetBSD: NetBSD Security Advisory 2003-002 Malformed header Sendmail Vulnerability。 NetBSD 1.5.x と 1.6 用の patch が用意されている。
OpenBSD: remote buffer overflow in sendmail。 3.1, 3.2 用の patch が用意されている。
Apple Mac OS X: APPLE-SA-2003-03-03 sendmail。 古暮涼氏による邦訳版: [harden-mac:0340]。 Mac OS X 10.2.4 用 patch。
Security Update 2003-03-03 (10.1.5): Information and Download。 Mac OS X 10.1.5 用 patch。
IBM AIX: AIX 4.3.3, 5.1.0, 5.2.0 用 patch が用意されている。 IBM Information for VU#398025。
SGI: 20030301-01-P Mail Header Buffer Overflow In Sendmail。 IRIX 6.5.15 以降用の patch が用意されている。
Sun Solaris: sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases。 Solaris 2.6〜9 用 patch (SPARC/x86) が用意されている。
HP HP-UX: HPSBUX0302-246 SSRT3469 sendmailにおける潜在的セキュリティ脆弱性(改訂3)。 HP-UX 10.10〜11.22 用 patch が用意されている。
Red Hat Linux:
[RHSA-2003:073-06] Updated sendmail packages fix critical
security issues。
Red Hat Linux 6.2〜8.0 用 patch が用意されています。
Red Hat Linux Advanced Server:
[RHSA-2003:074-06] Updated sendmail packages fix critical security issue。
Red Hat Advanced Server/Workstation 2.1 用 patch が用意されています。
Debian GNU/Linux: [SECURITY] [DSA-257-1] sendmail remote exploit、 [SECURITY] [DSA-257-2] sendmail-wide remote exploit。potato と woody 用の patch が用意されている。
Vine Linux: 2.0 以前に sendmail が塔載されている。 2.1 以降には postfix が塔載されているのでこの弱点はない。 (でいいのかな?)
Turbolinux: TLSA-2003-13 sendmail のヘッダー処理に対する脆弱性。Turbolinux 6〜8 用 package が用意されている。
Miracle Linux: sendmail セキュリティ 2003/3/5 バッファオーバーフロー。MIRACLE LINUX V1.x / V2.x 用 package が用意されている。
関連報道:
Sendmailに深刻な脆弱性 (ZDNet)
メール・サーバー「Sendmail」に深刻なセキュリティ・ホール,管理者はすぐに対応を (日経 IT Pro)
メールサーバー『センドメール』に脆弱性 (WIRED NEWS)
sendmail、第三者にroot権限を奪われる深刻な脆弱性 (INTERNET Watch)
あなたの組織のメール・サーバーは大丈夫? (日経 IT Pro)
その他:
[LSD] Technical analysis of the remote sendmail vulnerability
LSD-PLaNET による解析結果 (デモコードつき)。Eric Allman 氏によるフォローも参照。
トレンドマイクロ: InterScan VirusWall UNIX - SMTP:sendmailのヘッダ処理に起因するバッファオーバフロー問題の影響について、 SMTP:オリジナルサーバにsendmail 8.12.xを利用する場合の注意事項、 SMTP:オリジナルサーバのsendmailをアップグレードする際の注意事項
Postfix: postfix 2.0.6 は sendmail 穴を突くメールヘッダを排除するようになった。 RELEASE NOTES。 また、header_checks を利用して守ることもできる: header_checks REJECT rule for sendmail exploit。
snort 用の signature が公開されている。
Apple, FreeBSD, HP-UX, Debian GNU/Linux, Turbolinux, Miracle Linux, 関連報道, その他を追加・改訂。
postfix 2.0.6 話をその他に追加。
snort signature 話をその他に追加。
あなたの組織のメール・サーバーは大丈夫? (日経 IT Pro) を追加。
新宿駅と池袋駅に監視カメラ380台 市民団体が調査 (asahi.com)。 新宿駅 = 184, 池袋駅 = 204 で、内 3 割はドーム型カメラだそうで。 「監視社会を拒否する会」は先日 セブン−イレブンの監視カメラについても報告している団体ですね。 これもドーム型カメラって書いてあるなあ。まなP〜 さん情報ありがとうございます。
Interview:オラクルには確固たるセキュリティ文化がある (ZDNet) んだそうです。 そのおかげで、たとえば 2002.09.30 に通報された穴が 2003.02.11 に修復・公開されるわけなのでしょう。
CRYPTME、直ったみたいですね。 Cryptome Hacked, Cryptome Hacked 2。
ひなまつりですな。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について