Last modified: Wed Nov 22 16:09:44 2006 +0900 (JST)
nmap 3.27 が出たそうです。
Appleの音楽流通サービス・iTunes Music Store (slashdot.jp)。 なかなか興味深い内容のようですね。 News Release: アップル、iTunes Music Storeをスタート (apple.co.jp)。 とりあえず、日本でも同程度の価格で早期に開始されることを期待しておこう。 そろそろ iPod がほしいとは思っていたのだ。
Port Scan Attack Detector (psad) 1.1.1 が出たそうです。Linux 専用のようです。
[port139ml:03160] [参加者募集 ]民事裁判法廷ガイドツアー。 2003.06.10、東京地方裁判所。たのしそうでいいなあ。
緊急レポート。HTML Protectorってどうよ?(笑) (infect.to)。 関連: [port139ml:03161]。
督促状が来てしまいました (笑)。利用している (ことになっている) サービスの内容がおもいっきり不明だなあ。 「愛国リサーチKK」とはまたすごい団体名。 ネットカフェ屋さん (host-A194.media-cafe.ne.jp [210.196.156.194]) から督促状を出す愛国団体ですか……。
関連: 偽請求書spam送りつけ犯(とりあえず一人)逮捕 (slashdot.jp)。
ko.com ってコカコーラが持ってるドメインだったのね。
qpopper 4.0.x に付属する poppassd に欠陥。 poppassd の内部から smbpasswd コマンドを実行する場合があるが、smbpasswd コマンドのありかは -s オプションで変更できてしまう。このため、poppassd が suid root でインストールされている場合、local user が root 権限を得ることが可能となってしまう。 exploit (securiteam.com)。suid root でインストールされていない場合にはこの問題はない。
suid root を無効とする (chmod -s poppassd) ことで回避できる。
MDaemon 6.7.5 の IMAP サーバが、長大な CREATE コマンドで crash するという指摘。 指摘者は crash だけでなく、任意コードの実行が可能だとしている。
MDaemon 6.0.7 の POP サーバを、認証後に crash させられるという指摘。
最新は 6.7.9 (リリースノート) のようだが、これらの問題が fix されているか否かは不明。
exploit と Debian GNU/Linux patch 追記。
http://www.root-servers.org/ なんてのがあるんですね。
米国、核弾頭の心臓部を製造再開、今後も増産へ (WIRED NEWS)。 まだつくるか。誰に使うつもりなんでしょう。自分自身? (Exclusive International Trailer)
助成金打ち切りでも『OpenBSD』の集会は決行 (WIRED NEWS)。
ports/lang/perl5/files/patch-Safe.pm と src/contrib/perl5/ext/Opcode/Attic/Safe.pm (freebsd.org)。 ようやく。
動き出すイラクの宗教と政治 (tanakanews.com)。
[aml 33817] 六ヶ所再処理工場でプルトニウム分離を進めないよう日本に要請してください(美浜の会HP)。プルトニウムは大余りしそうだし、「日本にも核兵器を!」と思っている人はそこここにいるのだろうなあ。で、そういう人にとっては、北朝鮮が核武装してくれた方が都合がよかったりするのかも。ミサイルベンダーもウハウハだろうなあ > 北朝核武装。
330105: DNSLint を使用して多数の DNS レコードを確認する方法 (Microsoft)。 dig を配布してくれればいいのに。まあ、bind9 についてくるからいいけど。
ファイル交換ソフトに罪はない——勝者逆転の波紋 (ZDNet)、 「ファイル交換ツールは合法」との裁定に驚きの声 (CNET)。 驚きって…… > CNET。むしろ当然の判決だと思うが。 原文は驚いてないし。
国有地「偽転売話」にご注意、払い下げ便乗詐欺か 東京 (asahi.com)。 なんだか最近、「ニセ XX」なねたが多いような気が……。
XRunAs 1.1。 Schedule サービスがなくても動く RunAs だそうです。
DNS & BIND クックブック (O'Reilly)。
802.11セキュリティという本も予約受付中だそうです。 原書刊行は 2002.12 だそうですが、ごく最近の状況については監訳者氏がバリバリ補完してくださるのかしら (^^)。
NetCommons。 モニター募集しているそうで。 NetCommons 自身がちゃんとできていたとしても、 プラットホーム (OS, Apache, PHP, ...) のセキュリティをどうやって実現している/いくのかは頭の痛い問題のような気が。それとも、「こびとさんがやってくれる」とするのかなあ。
吉澤さん情報ありがとうございます。
RAV AntiVirus for MailServer の AntiSpam Module の件ですが、RAV AntiVirus for MailServer の Sendmail Libmilter 版ではサポートされているのだそうです (ややこしや〜)。平塚さん情報ありがとうございます。
IRAQ BODY COUNT, ついに Min. でも 2000 人突破ですか……。
少なくとも Windows XP SP1 では、MS03-013 (811493) patch は「重要な更新」から「推奨する更新」にランクが下げられた。画像。
NEC sendmail 追加。
Opera 7.01〜7.10 Windows 版に欠陥。 「JavaScript コンソール」に任意のスクリプトを挿入できてしまうため、ローカルゾーンで任意のスクリプトを実行させられるようなリンクを作成できてしまう。 このようなリンクをクリックしてしまうことにより、任意のパス中のローカルファイルが攻撃者に漏曳してしまう可能性がある。
指摘者は「危険度: 中程度」としているが、 Microsoft なら「緊急」とするだろう。
Opera 6.05〜6.06 / 7.01〜7.10 Windows 版に欠陥。 長い拡張子を持つファイルをダウンロードしようとすると buffer overflow が発生し、Opera が異常終了してしまう。 指摘者は、この欠陥を利用した任意のコードの実行は困難だとしている。
指摘者は「危険度: 中程度」としているが、 Microsoft なら「重要」とするだろう。
いずれについても、修正版はまだ登場していないようだ。 前者の欠陥については、JavaScript を無効とすることで回避できるそうだ。
Opera 7.11 for Windows 登場。上記の欠陥は修正されたようだ。関連:
インストール時にユーザの許可/合意を得ていたりすると、正当な動作でしょうしねえ……。
ネットバンキングに不正アクセス 1600万円盗む (産経)、ネットバンキングに不正アクセス、1600万円盗む (サンスポ)、ネット銀からも300万円 不正アクセス預金引き出し(goo ニュース/朝日新聞) な話。 (匿名希望さんからいただいた link を追加: ありがとうございます。 2ch.net の ここの銀行のセキュリティって甘そう からだそうです)
対策としては,例えばワンタイム・パスワードや電子署名を使う方法がある。
悪意あるプログラムが蠢く環境を想定すると、電子署名というのは解にならないと思うんだけどなあ……。
暗号アルゴリズム及び関連技術の評価報告 (IPA)。 私にはさっぱりわかりません。
大規模サイトのネットワークセキュリティ (IPA)。うーん、いまいちツッコミ不足な資料のような気が。
ほほう、RAV AntiVirus for MailServerVer8.4.0 から AntiSpam Module というのが標準でついてくるのですか。
ただし、Sendmail版に関しましてはAntiSPAM機能を使用する事が出来ませんのでご注意下さいませ。
あら……。
JWNTUG 6th Open Talk in MSC 東京/大阪の受付が開始されています: 東京 (5/15)、大阪 (7/15)。今回は、JWNTUG 会員でなくても受付できます。 さっそく大阪へ登録。あいかわらず寂しいのぉ (T_T)。
?
普段から年中無休 24h 体制ですね。
「ゴールデンウィーク中、サポートセンターはカレンダー通り業務を行います」 だそうです。
F-Secure 改訂。
Microsoft 自身が Windows XP SP1 でのパフォーマンス低下の発生を確認した。
814895: MS03-004 の修正モジュールの適用後に発生する現象について (Microsoft)。 MS03-004 patch による副作用は MS03-015 patch で修正された。
今日から欠陥と書いてみるテスト。
製品ライフサイクル情報 (NAI)。 Windows 98/Me や NT 4.0 用のサポート期間が延長されています。
個人情報保護法案、あす特別委で採決 (毎日)。 政府案は無修正で可決される見込み、だそうです。
FOXニュース職員を立件 バグダッドの美術品密輸 (CNN)。 大統領宮殿の絵盗み、米へ密輸…FOXテレビ技師摘発 (読売)。 みなさん、戦利品集めに余念がないようで。
『ついに動き出す!フジモリ引渡請求国際キャンペーン』 ペルーNGO代表者 ホセ・ウガス氏 来日講演 (AML ML)。 日本政府は、フジモリ氏が ICPO から国際手配されているにもかかわらず何も動いていないようですね。
Recommendations for the Assessment of Donor Suitability and Blood Product Safety in Cases of Suspected Severe Acute Respiratory Syndrome (SARS) or Exposure to SARS (fda.gov, info from cryptme.org)。厚生労働省を見てみると、東南アジア等で流行している「重症急性呼吸器症候群」関連情報 現在発生中の重症急性呼吸器症候群による健康危害を防ぐために というページがありました。
マドンナ、ハッカーに完敗 (沙耶16歳さん)。 攻撃する前に、守りはきちんと固めておきましょう。
CBUG (東京西地域 *BSD ユーザグループ) 8th meeting、2003.05.17、東京都新宿区、無料。
ITエンジニアも文章力がなければ“プロ失格” (日経 IT Pro)。
人を感動させるような小説や詩と違って,提案書や報告書,仕様書などのビジネス文書においては,何よりも正確さと分かりやすさが求められる。そうした文章を書くには,“文才”よりも「テクニック」を身に付けて実践することのほうが重要なのだ。
まずは木下是雄「理科系の作文技術」中公新書 624 を読みましょう。
ANTIDOTE for PC HTML Protector (vintage-solutions.com)。 先日がくとさんがおっしゃっていらっしゃったのはこれですね? なるほど、いろいろとオプションが選べるわけですね。
あまりに簡単なコードで、あまりにあっけなく落ちますね……。なんてことでしょう。
Outlook Express 5.5 / 6 に欠陥。MHTML ファイルへの URL の取り扱いに欠陥があり、「ローカルコンピュータに保存されているテキストファイルを参照し、そのファイルを HTML として表示する MHTML URL」を作成できてしまう。このテキストファイルにスクリプトが含まれていると、このスクリプトはローカルコンピュータ権限で実行されてしまうため、ローカルコンピュータ内のファイルを読み書き実行できてしまう。
攻撃は、悪意ある web ページの他、Outlook Express 5.5 デフォルト状態では HTML メールによっても実行可能。Outlook Express 6 ではデフォルトで制限付きサイトゾーン権限となったため、HTML メールによる攻撃は防がれる。Outlook Express 5.5 でも、HTML メールを制限付きサイトゾーン権限で解釈するよう変更できるので、ぜひそうしておこう。
patch があるので適用すればよい。
CVE: CAN-2002-0980
IE 5.01 SP3 / 5.5 SP2 / 6 に新たな 4 つの欠陥。
URLMON.DLL が buffer overflow するため、悪意ある web ページにより任意のコードを実行可能
CVE: CAN-2003-0114
詳細: [Full-Disclosure] URLMON.DLL buffer overflow - technical details
ファイルアップロードコントロールに欠陥があり、悪意ある web ページが既知パス名のファイルを取得できてしまう
CVE: CAN-2003-0115
サードパーティのプラグインを呼び出す URL の解釈におけるサニタイジングに欠陥があり、悪意ある web ページによって URL に挿入されたスクリプトがローカルコンピュータゾーン権限で実行されてしまう
CVE: CAN-2003-0116
モーダルダイアログにおけるサニタイジングに欠陥があり、特定のパラメータにスクリプトを挿入できるため、悪意ある web ページが既知パス名のファイルにアクセスできてしまう
CVE: CAN-2003-0117
Outlook Express 5.5 のデフォルト状態では HTML メールがインターネットゾーン権限で開かれるため、上記攻撃を HTML メールからも実行できてしまう。Outlook Express 6 や Outlook 2002 ではデフォルトで制限付きサイトゾーン権限となったため、HTML メールによる攻撃は防がれる。Outlook Express 5.5 でも、HTML メールを制限付きサイトゾーン権限で解釈するよう変更できるので、ぜひそうしておこう。Outlook 98 / 2000 では、「Outlook 電子メールセキュリティアップデート」を適用しておけば攻撃は防がれる。
patch があるので適用すればよい。この patch はさらに、Plugin.ocx コントロールを使用不可にする (Kill Bit を設定する)。
MS03-007 が改訂され、Windows NT 4.0 にも同じ弱点があると明記されたため記述を変更。 Operaも影響を受けるMS03-007 (opera.rainyblue.org) を追加。
情報セキュリティ監査制度始まる: “ガイド”の意味はあるが、実用性には疑問噴出 (日経 IT Pro) と比べると、あまりのトーンの違いに笑ってしまう。日経 IT Pro の方から:
あるセキュリティ・ベンダーの社長は、「確かに、経産省の“お墨付き”で、一般企業にセキュリティ監査を提案できるのは喜ばしい」と答える。そのため、「セキュリティ・ベンダーが利益を得るための制度といわれても仕方がない」という批判すら出てくる。
結局は、そこなのでしょうね。
まあそれでも、中身がついてこればまだいいのですが、
政府が進めているので大きな声は出てこないが、ガイドの実用性についても否定的だ。今回話を聞いた約10社のベンダーは一様に、「これまで自社で進めてきた監査の範囲を超えないので、参考にする必要はない」という。
結局は、「安全・安心マーク」とかと同様に、なんだか意味不明なモノにしかならないような気が。
SARSの死亡率は低すぎる? 計算方法に疑問の声 (WIRED NEWS)。 香港の団地のSARS大規模感染、下水施設の不備が誘因 (WIRED NEWS)。
自作PCは廃棄できなくなる?——暗雲立ちこめる「PCリサイクルシステム」 (ZDNet)。 何でも回収するわけじゃないんだ。うーむ。GATEWAY とかはダメなんだなあ。
Trusted Debian 1.0 released ですか。
「前科のあるハッカーは雇えるか」で激論 (ZDNet)。 ハッカーだからどうこうという問題じゃないと思うし、結論が出る話題でもないと思う。「ポリシー依存」でおしまいのような気が。
“ハッカー”Mitnick氏が教えてくれたこと (ZDNet)。Mitnick 氏のお話はとても有意義で示唆に富む。しかし、それと Mitnick 氏を雇う気になるかどうかはまた別の話だろう。
持っているだけでも罪になる? “ウイルス作成罪”の効能とは (日経 IT Pro)。 効能ばかり誉め讃えているが、 個人的には、三輪記者のように楽観的にはなれないなあ。 意図なんて、簡単にでっちあげられるだろう。
IE6.0環境下でのVirusScanの動作不具合について (NAI)。 素直に 4.5.1 SP1 にしましょう。
Sugawara さんによる、アンインストール方法を追記。
fsck -fy だそうです [osx-users:0458]。
何と、NetShiled4.5a HotFixR は IE 6 をサポートしていないのだそうで。 もはやダウンロードできないブラウザしかサポートしていないとは。だめすぎ。
今後,どのような形でも構わないので,Microsoft VMのアンインストール機能をぜひ提供してもらいたい。
個人的には、今すぐほしいなあ。regsvr32 /u msjava.dll という方法があるようですが、これはアンインストールではないですし。
当初は「Microsoft トラブル速報」という名称であったが,「トラブル・メンテナンス速報」に変更された。
セキュリティアンテナの記述を直しました。_o_
過去のトラブル・メンテナンス情報の一覧を表示するページがなくなっていることも気になる。(中略) 後からでも参照できるように,ぜひ,一覧ページを復活してもらいたい。
これは、ぜひお願いしたいですねえ。
Sugawara さんから (ありがとうございます):
もうすでにご存知かと思いましたが、以下のコマンドで削除できます。 Windows98SE + MSJAVA Ver.3810の環境で確認しました。
%windir%\RUNDLL32.EXE advpack.dll,LaunchINFSection %windir%\inf\java.inf,Uninstall
(切れていたらつないでください)
c:\windows\javaフォルダに"java.inf"というファイルがありましたので見てみましたら、ちゃんと"Uninstall"の記述がありましたので、単純に考えて上のショートカットを試してみたものです。
java関係のDLLや、レジストリはほとんど全部削除されてました。 ただひとつ、C:\WINDOWS\JAVA\CLASSESフォルダに"Osp.cer"という期限切れの証明書 が残りました。
アンインストール後、 http://java-house.jp/~takagi/java/security/show-version/test.htmlで、 確認したところ、動作しなかったり、プラグインのインストール確認のダイアログが出てきたりしましたので、削除はきちんと行なわれたと思いました。一応、SunのJavaも(1.4.1)アンインストールしてから確認しました。
それと、
%windir%\RUNDLL32.EXE advpack.dll,LaunchINFSection %windir%\INF\msjava16.inf, Uninstall
と、msjava16.infをつかうと、インターネットエクスプローラのプロパ ティのなかのVM関係の設定項目がなくなりました。 詳細設定とか、セキュリティのレベルのカスタマイズとか・・・
ただ、この状態でもう一度ver.3810をインストールしようとすると失敗しましたので、そのときにはver.3809を一度インストールしてから ver.3810をインストールするとよかったです。
IEの自動Proxy設定とセキュリティ・ゾーン (@IT)。ふぅん。 手元では自動設定は使ってないからなあ。
国土交通省試験、トヨタの3車種が六つ星評価を獲得 (日経 BizTech)。 元記事: 平成14年度自動車アセスメントを公表します! —衝突安全性能の総合評価で全ての車種が★4個以上に— (国土交通省)。
気象衛星「ひまわり」後継機、2度目の打ち上げ延期へ (読売)。 困ったもんだ。 関連: 運輸多目的衛星新1号機(MTSAT-1R)の打ち上げについて (国土交通省)。
指導者拘束情報に抗議、イラクのシーア派数千人がデモ (読売)。「解放軍」、大人気のようで。(typo fixed: 石川さん感謝)
「開戦直前に化学兵器など処分」とイラク科学者 米紙報道 (CNN)。本当に直前に処分されたのか、それとも直前に処分されたことにしたいのか。後者ならメンツが立つからな。
米国防長官、「イラク基地継続使用」の報道を否定 (CNN)。予定は未定。
自衛官募集に住基情報の提供依頼、自治体の3割応じる (asahi.com)、 自衛官募集: 市町村の3割が住基で名簿 防衛庁が明らかに (毎日)。 またお前か > 防衛庁。
B型Rhマイナスの血液に関するチェーンメールについて (日本赤十字社)。4 月なので流行っているようです。X-<
Gentoo Linux セキュリティ・ガイド (gentoo.org, info from kawa's memo)。なかなかいいですね。やっぱ gentoo いじってみるか。(だから時間が……)
6/4 : セキュアかつ匿名なP2Pトンネリングシステム (slashdot.jp)。 流行るのかなあ。
フリーソフトウェアと自由な社会 —Richard M. Stallmanエッセイ集。とりあえず買い。 (だからいつ読むんだよ)
次回は LKM rootkit。
バグダッド主要6病院、市民犠牲1000人以上 (asahi.com)。 IRAQ BODY COUNT の値も増えつづけていますね。Min で 1800 人を越えている……。
イラク:米英軍は無法状態に対処せよ (アムネスティ、info from [aml 33725])。
アムネスティ・インターナショナルは、イラク警察が効果的な活動を開始するまでの間、法と秩序を回復するために、正しい訓練と装備を持った十分な人数の部隊を配置するよう米国と英国に対し要求するものである。イラク警察の構成員に対する効果的で公平な審査手続きが緊急に行なわれるべきである。これは、人権侵害に関与したかもしれない官吏たちが職務に復帰する機会を減らすためである。治安維持機能を行使し監視する上で、米国と英国は、表現と集会の自由の権利が恣意的に制限されないよう保証しなければならない。
あまりにも当然な要求だが、実現されている気配はなさげ。 「日本モデル」を使うと言った割には、MP はどこにいるの? > US。
第2回 航空交通管制情報処理システムのフェイルセーフ のあり方等に関する技術検討委員会(審議概要) (国土交通省)。 なーんかべき論ばっかで、結局はベンダーまかせになっちゃいそうな気が……。
「高濃度アルコール含有燃料をガソリン自動車に使用する ことの注意喚起」 (国土交通省)。環境のためにガソリンにアルコールを混ぜよう、とか言ってた人がいたような気もするが、どうなったんだっけ……。
低排出ガス車認定型式一覧 (国土交通省) なんてページがあったのか。
電子自治体メールマガジン バックナンバー (日経 BizTech)。 橋本典明氏って軍事国家ラブラブな方なんでしょうか。
[aml 33710] Fwd: [TUP-ML] TUP速報61号 03年4月19日 アメリカに、冷たい風が吹いている。自由の国アメリカ、は今は昔。
北朝鮮に譲歩するアメリカ (tanakanews.com)。
米国防総省、イラク国内基地の継続使用を構想 (CNN)。覇道ですもの。 イラク国民会議代表、米軍の国内基地使用に前向き (読売)。傀儡ですもの。
北京のSARS被害、大幅修正 市長と衛生相を更迭 (asahi.com)。
北京市の19日現在の新型肺炎・重症急性呼吸器症候群(SARS)感染者数を、同省が発表していた40人から346人へ大幅に修正、4人としていた死亡者も18人に上ることを明らかにした。
算数ができないとか?
米民間機パイロット、銃武装可能に (asahi.com)。そういう時代の模様。 実施されると、銃のない、より脆弱な会社が狙われるのだろうなあ。
[aml 33660] 関西電力はプルサーマル復活計画を断念せよ!(美浜の会HP)。 やれるうちにやっておく、ということなのでしょうなあ。
[aml 33717] 東電の使用済み核燃料「中間貯蔵」構想 たらい回しで「永久貯蔵」(美浜の会HP)。結局永久保存になるとすると、「貯蔵施設」ってどのくらい必要になるんだろう。
[aml 33736] サイバー犯罪条約と国内関連法学習会。 2003.05.10、青山学院大学総研ビル (東京都渋谷区)、¥1,000-。
ユーザーログオフ時に監査が機能しない (Microsoft KB 318253) んだそうです [port139ml:02948]。
Microsoft Java VM、やっぱり必要なんですね。困ったもんだ。
私鉄も加わってます。また、「地下鉄」じゃなくて「地下駅」ですので、たとえば名鉄の新名古屋駅や近鉄の近鉄名古屋駅の情報があったりします。
書店→外の対策にはある程度有効だろうけど、一旦書店の外に出てしまったら、無効化されるものと思った方がいいと思うなあ……。きっとラジオライフ (笑) とかに無効化テクがばばんと紹介されちゃうだろうし。それとも、「おやお客さん、この本の IC タグは無効化されてますね、どうされたんですか?」とか bookoff のにーちゃんにいちいち言われるのかな。
まあ、「IC タグを生かしておけば、ご自宅の書籍管理もほらこんなに簡単!」などといった利便性が出てくれば、IC タグを生かしたままにしておこうという気にもなるだろうけど、……。
Windows XP SP1 では、EFS の暗号化アルゴリズムのデフォルト値が、それまでの 128bit DESX から 256bit AES に変更されている、という話。Windows Server 2003 も 256bit AES がデフォルトのようです。 Windows XP では、この他に 3DES も使えるのだそうです。
で、それだけなら別にいいのですが、AES で暗号化した EFS を Windows 2000 や Windows XP gold で復号化すると、ファイルを破壊してしまうかもしれない、のだそうです。from KB 329741:
IMPORTANT: Do not decrypt files in this state using Windows 2000 or versions of Windows XP earlier than SP1. If you do so, you may lose data.
「扱えまへん」といって abort するのがふつうの動作だと思いますが、そうなってはいないのかもしれません。いやはや。関連リンク:
忘れる可能性はないでしょうが、盗まれる可能性は、あるでしょう (例: シックス・デイ)。盗まれても役に立たないような機構が用意されているかどうかは、認証をかけたい対象によっては重要になるでしょう。 またグミ指のような「ニセ物」への耐性も、認証をかけたい対象によっては重要になるでしょう。
バイオメトリクス製品を選択する際には,他人受入率や本人拒否率だけではなく,この未対応率にも気をつける必要がある。
次に,バイオメトリクス認証の中で最も多くのシステムで利用されている指紋認証についてふれたい。
と言いつつ、指紋の未対応率やグミ指に触れないのはアレなのでは。
Windows 2000 / XP の IPsec フィルタを src = 88 dst = any なパケットがデフォルトで通過してしまう話への対応方法。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC に NoDefaultExempt をつくって 1 に設定に設定する。Windows 2000 SP3 / XP SP1 以前のデフォルトは NoDefaultExempt = 0 な状態。 Windows 2000 SP4 / XP SP2 では NoDefaultExempt = 1 がデフォルトになるそうだ。
この KB は日本語版がほしいですね。
The main concept of this research article is about the fact that the free virtual space between sections is the hiding place for embedded code and a launching pad for bigger mobile code, let's not forget to mention, and security risks.
正直言ってサッパリわからん……。すき間がいっぱいあって、そこに隠せる、という話、でいいのかな。
サービス妨害攻撃も考慮した上でのハイアベイラビリティなインターネットサーバー構築での技術選択に利用可能な調査報告書を目指した
のだそうです。
1.1.4-b3 / 1.1.3-20030409 より古い poptop に弱点。パケット長として 0 あるいは 1 が指定された場合の処理に問題があり、buffer overflow が発生する。Linux では exploit 可能だという。 1.1.4-b3 / 1.1.3-20030409 で修正されているので入れかえるか、指摘されている修正を施す。
実際に exploit も登場している (modified version)。 こっちにも。
[SECURITY] [DSA 295-1] New pptpd packages fix remote root exploit
日本語版: [debian-users:36928]
exploit と Debian GNU/Linux patch 追記。
いくつかの英語版脆弱性検査ツールにおいて、非英語版のプロダクトを検査すると、脆弱性が存在するにもかかわらず、警告を発しない場合があるという指摘。 事例として挙げられている Microsoft SQL Server 2000 の脆弱性に対して、Vigilante Secure NX、eEye Retina/Spida、Nessus、Sensepost senseql は、非英語版 SQL Server 2000 については「脆弱性がない」と答えてしまったという。
eEye Retina は 4.9.84 で修正され、 eEye Spida も 1.0.2 になっているそうな [bugtraq follow 記事]。
ウーム、Practical Unix & Internet Security, 3rd Edition 出ていたのか。訳出されるのはいつになることやら。
最後に出てくる「C シェルは使うな」というのは有名な話ですが、今だに書いてる人いますねえ。ダメすぎ。 参照: 有害な csh プログラミング (原文)。
fix されたようです。匿名希望さん情報ありがとうございます。
MS02-050 の 『Microsoft 自身が利用している「ある特定の」デジタル証明書まで reject されてしまう』副作用のない patch が 2002.11.21 付で登場している。 匿名希望さん情報ありがとうございます。
chkrootkit 0.40 が出ていたんですね。
[RHSA-2003:135-00] Updated 2.4 kernel fixes USB storage (Red Hat Linux 9)。
[RHSA-2003:091-01] Updated kerberos packages fix various vulnerabilities (Red Hat Linux 9)
[SECURITY] [DSA 269-2] New heimdal packages fix
authentication failure
翻訳版: [debian-users:36721]
[SECURITY] [DSA 267-2] New lpr packages fix local root
exploit (potato)
翻訳版: [debian-users:36756]
[RHSA-2003:060-01] Updated NetPBM packages fix multiple vulnerabilities
CVE: CAN-2003-0146
[RHSA-2003:109-03] Updated balsa and mutt packages fix vulnerabilities
CVE: CAN-2003-0140, CAN-2002-1090
[RHSA-2003:036-01] Updated mgetty packages available
CVE: CAN-2002-1392
[RHSA-2003:126-01] Updated gtkhtml packages fix vulnerability
CVE: CAN-2003-0133
[SECURITY] [DSA 274-1] New mutt packages fix arbitrary code
execution
翻訳版: [debian-users:36607]
[SECURITY] [DSA 274-2] New mutt packages fix arbitrary code
execution in potato (potato 向け)
翻訳版: [debian-users:36688]
CVE: CAN-2003-0167
[SECURITY] [DSA 277-1] New apcupsd packages fix remote root
exploit
翻訳版: [debian-users:36650]
CVE: CAN-2003-0098, CAN-2003-0099
[SECURITY] [DSA 279-1] New metrics packages fix insecure
temporary file creation
翻訳版: [debian-users:36689]
CVE: CAN-2003-0202
[SECURITY] [DSA 281-1] New xftp packages fix arbitrary code
execution
翻訳版: [debian-users:36712]
CVE: CAN-2003-0203。moxftp / xftp 穴。
[SECURITY] [DSA 283-1] New xfsdump packages fix insecure file
creation
翻訳版: [debian-users:36725]
CVE: CAN-2003-0173
[SECURITY] [DSA 285-1] New lprng packages fix insecure
temporary file creation
翻訳版: [debian-users:36740]
CVE: CAN-2003-0136
[SECURITY] [DSA 286-1] New gs-common packages fix insecure
temporary file creation
翻訳版: [debian-users:36757]
CVE: N/A
[SECURITY] [DSA 289-1] New rinetd packages fix denial of
service
翻訳版: [debian-users:36768]
CVE: CAN-2003-0212
ウイルスよりたちが悪い? スパイウェアにご用心 (WIRED NEWS)。
OpenBSDに対するDARPAからの補助金がキャンセルに (slashdot.jp)。 うぅむ……。
Microsoft トラブル・メンテナンス速報 。どうしてこう Windows Update がらみねたが多いのだろう。
リンクはサイトの右側に! (沙耶16歳さん)。 読まなかったことにしよう。
セキュリティホール memo 2003.04.17 JPCERT/CC 活動概要 [ 2003年1月1日 〜 2003年3月31日 ] (JPCERT/CC) ((R)日記)。 せめて 1000 件 / day くらいにならんといかんと思います。 新しい報告様式の作業は止まっちゃってるのかな……。
F-Secureアンチウィルス Linuxサーバ版 Ver4.50をリリース (f-secure.co.jp)。 製品紹介ページでは、対応プラットホームとして「BSD」が明記されています。管理者マニュアルが公開されていて、それによると、「複数の検索エンジン」とは Frisk Software International の F-PROT と Kaspersky Lab. の AVP だそうです。
ライセンス、維持しとけばよかったかな、とちょっと後悔。しかし、 他社製品からの乗換割引(初年度半額)は、好評のため対象を全製品に広げて継続いたしますだそうで。 F-Secure for Linux をやめちゃったのは、ウィルス定義ファイルの更新が Windows 版より遅かったからなんだけど、4.50 ではそのあたりは改善されるのかなあ。
ちなみに、Kaspersky 自身も Linux や BSD 用の製品を出しています。
警察は「携帯電話の検証令状」というものでケータイの位置情報を取得しているそうです。
最高裁も「犯罪の嫌疑があり、容疑者の居場所を知る必要がある時は、令状を出している」と認めたが、件数については「統計がない」として回答しなかった。
覚えきれないほどたくさん、なのかな。
IE 6 DoS ねたがなぜか流行っているようで。 Microsoft 的には、ブラウザの DoS はセキュリティ問題じゃないらしいのであれですが……。
Security > Enable Plug-ins が有効な場合、Safari でも落ちるそうです [harden-mac:0376] [harden-mac:0379] 。 ちなみに、IE 6 SP1 でも「Active X コントロールとプラグインの実行」を無効にすると、落ちません。
IE 5.01 SP3 / IE 5.5 SP2 でも落ちました。
それは 2002.07 に公開されている のだそうで。 こちらも、「Active X コントロールとプラグインの実行」を無効にすると、落ちません。
IE 5.5 SP2 でも落ちましたが、IE 5.01 SP3 では落ちませんでした。
HTML 版:
text 版:
いつからか、本家の web archive も、ちゃんと日本語が表示されるようになっているのだそうです。
[SECURITY] [DSA 290-1] New sendmail-wide packages fix DoS and arbitrary code execution 追加。
ntdll.dll 話については問題ない模様。しかしよく考えると、ntoskrnl.exe を変更しちゃうわけなので、だいじなサーバとかでは慎重にテストしておかナイト。
CERT Advisory CA-2003-13 Multiple Vulnerabilities in Snort Preprocessors 登場。
ウィルス定義ファイル 4258 にて対応されたそうだ。スキャンエンジン 4.2.40 利用者はすかさずアップデートしておこう。
Windows 2000 Resource Kit Tool: Rpccfg.exe (RPC Configuration Tool) というものがあるそうです。 (info from JWNTUG [security:00315])
“甘味”を増すハニーポット、誰でも導入可能に (ZDNet)。あそんでみたいんだが、……。
ブッシュの「粗暴」なパレスチナ解決策 (tanakanews.com)。
金融機関の4割が住基ネット通知書利用 金融庁調査 (毎日)。
JPCERT/CC 活動概要 [ 2003年1月1日 〜 2003年3月31日 ] (JPCERT/CC)。 706 / 90 = 7.8。JPCERT/CC 活動概要 [ 2002年10月1日 〜 2002年12月31日 ] では 439 / 92 = 4.7 なので、ちょっとは増えたようです。.au からの報告がかなり増えてるなあ。
日本語脆弱性情報SIOSデータベース (横河電機) の横地さんからメールをいただきました (ありがとうございます):
〜〜なぜ一週間もかかるのか〜〜
まず最初に弊社では日本語コンテンツの開発を労働日定時ベースで行っております。
SecurityFocusの商用データベースが更新された日を起算日としますが、コンテンツ開発はいくつかの理由からwww.securityfocus.comに掲載された日から開始します。 ここのタイムラグが、だいたい1日から2日あります。
さらに情報が掲載されたものをdailyにバッチで収集することと時差によるタイムラグが最大1日。
翻訳作業に1日。
翻訳精査および分析分類作業に1日。
翌早朝にバッチでデータベースに登録するのに1日。
と現状ではほぼ5労働日かかっておりますが、これを「目標」からコミットに変更し、さらに短縮すべく努力してゆく所存でございます。
Voice of America、中国のネット検閲に対抗するソフト開発 (ZDNet)。 VOA なソフトだなんて、恐くてインストールできない。
ig.net.lac.co.jp ドメインに mail が届かないようです。
Windows NT 4.0 / 2000 / XP に弱点。カーネルがデバッガにエラーメッセージを渡す方法に問題がある。これを利用すると、攻撃者は管理者権限を奪取することが可能になる。ただしこの攻撃を実行するには、対象となるコンピュータのコンソールあるいは Windows Teminal から logon する必要がある。
patch があるので適用すればよい。ただし注意すべきことに、Windows 2000 用の patch には MS03-007 に含まれているのと同じバージョンの ntdll.dll が含まれている (info from ntbugtraq)。MS03-007 と同様の制限があるかもしれない。
CVE: CAN-2003-0112。
ntdll.dll 話、JWNTUG Newsletter Vol.8/No.012 - 2003.04.17 に
今回の修正プログラムでは ntoskrnl.exe も同時に置き換えているので問題ないと思われる。
とある。うぅ見逃していた。あと、FAQ にもこんな文章が:
このセキュリティ情報の 「修正プログラムに関する追加情報」 欄で、「Windows 2000 用の修正プログラムは MS03-007 で提供された Windows 2000 用の修正プログラムを含む」 と記載されていますが、この修正プログラムは MS03-007 の 「警告」 欄に説明されている問題が発生しますか?
いいえ、発生しません。MS03-007の「警告」欄でお知らせした問題は、MS03-007 で修正されたファイルの動作に必要な関連ファイルが、修正プログラムに存在していないことが原因でした。この問題は特定の状況でのみ発生し、非常に限定されたコンピュータにのみ影響を及ぼしました。その状況とは、システムに Windows 2000 Service Pack 2 が適用されており、かつマイクロソフト プロダクト サポート サービスより入手可能な、特定の修正プログラムがそのシステムにインストールされている場合でした。この修正プログラムは、セキュリティ以外の修正項目を持つものです。
今回公開された修正プログラムの Windows 2000 用のパッケージには、これらの問題が発生しない、全てのファイルを含みます。そのため MS03-007 で提供された修正プログラムも含みます。これにより、この修正プログラムは MS03-007 の修正プログラムで「警告」として告知された問題が発生しません。
しかしよく考えると、ntoskrnl.exe を変更しちゃうわけなので、だいじなサーバとかでは慎重にテストしておかナイト。
各所で「MS03-013 を適用すると遅くなる」という話題が出ていたが [memo:5764]、Microsoft 自身が FAQ で Windows XP SP1 におけるパフォーマンス低下を明記した [memo:5772]。
このセキュリティ情報および関連する修正プログラムをリリースした後、パフォーマンスに関連する問題がこの修正プログラムの Windows XP Service Pack 1 バージョンで確認されました。この問題はこのセキュリティ情報で説明されているセキュリティ上の問題とは関連はありません。しかし、この問題により、この修正プログラムの適用後、Windows XP SP1 システムで一部のお客様にパフォーマンスの低下が発生します。
パフォーマンス低下とセキュリティ問題を勘案した上で、適用可否を検討されたい。 Microsoft 自身は認めていないようだが、Windows 2000 でもパフォーマンス低下が発生しているという報告もある [memo:5764]。
少なくとも Windows XP SP1 では、MS03-013 (811493) patch は「重要な更新」から「推奨する更新」にランクが下げられた。画像。
[ 2003.04.28 ] Windows XP のパフォーマンスが低下する件 (canon-sol.jp)。 NOD32 ねた。
Windows XP 修正パッチ適用による、システムパフォーマンスの低下について (sophos.co.jp)。
パフォーマンス問題を改善した、Windows XP SP1 用新 patch 登場。 こちらからどうぞ。
注記が追加された:
Windows 2000 Service Pack 2 の特定の環境においてブルースクリーンが発生する可能性がございます。詳細については、サポート技術情報 827780 をご覧ください。
KB 827780 を見ると、どうやらこういうことのようだ:
SUS、自動更新、あるいは Windows Update カタログ経由で MS03-013 修正プログラムを入手すると Windows 2000 SP2 で問題が発生 (他の OS は問題なし)
Windows Update、あるいは「Microsoft ダウンロードセンター」から MS03-013 修正プログラムを入手した場合には問題なし
2003.08.28 以降に SUS / 自動更新 / Windows Update カタログで配布されている MS03-013 修正プログラムは、この問題が修正されたものなのだそうだ。 SUS の場合は、まず同期させた上で、改めて 811493 を許可すればよいそうだ。 って、既にブルーサンダーしている機械が自動更新できるとも思えないが。
しかし、この事態はどのように理解すればよいのだろう。 SUS / 自動更新 / Windows Update カタログと、 Windows Update / Microsoft ダウンロードセンター には常に異なるものが掲載されているのだろうか。 それとも、オペレーションの不具合で異なるものが掲載されていた、ということなのだろうか。
3.1.1 までの KDE 2 / 3 に弱点。KDE は、PostScript (PS) と PDF ファイルの処理に Ghostscript (gs) を利用しているが、この gs コマンドの扱いに問題があったため、悪意ある PS/PDF ファイルにより、KDE 利用者権限で任意のコマンドを実行させることが可能だった。
KDE 3.0.5a, 3.1.1a で修正されている。また、KDE 2.2.2 用の patch が公開されている。patch を見たところ、-dSAFER -dPARANOIDSAFER -dDELAYSAFER といった起動オプションが追加され、また localfile ではなく pipe で処理するといった動作がされるように見える。(KDE はさわらないので今 3 つ自信なし)
CVE: CAN-2003-0204
[SECURITY] [DSA 284-1] New kdegraphics packages fix arbitrary command
execution
日本語訳: [debian-users:36733]
[SECURITY] [DSA 293-1] New kdelibs packages fix arbitrary command execution
日本語訳: [debian-users:36844]
[SECURITY] [DSA 296-1] New kdebase packages fix arbitrary command execution
日本語訳: [debian-users:36930]
Oracle E-Business Suite 10,7, 11.0, 11i RELEASE 1〜8 に弱点。 Report Review Agent (RRA) / FND File Server (FNDFS) に弱点があり、攻撃者は Oracle Applications Concurrent Manager から任意のファイルを取得できてしまう。 patch が出ているので適用すればよい。
2ch.net の セキュリティ板 NOD32 スレのこのあたり を読みませう。
各種アンチウィルスソフトにおける、圧縮 and/or 暗号化された場合での検出テスト結果。PC-cillin 9 (ウィルスバスター) や Norton AntiVirus 2003、NOD32 ではほとんど検出できていないのに注意。トロイの木馬を仕掛ける人は圧縮 and/or 暗号化も併用することがあるので、こういうものに弱いとやられ放題になる可能性があるようです。
対策としては、Kaspersky のような圧縮 and/or 暗号化にも強いアンチウィルスソフトに乗りかえるか、 TDS-3 (DiamondCS) や Tauscan (Agnitum) のような、対トロイ用のソフトを併用する必要があるようです。
snort 1.8.x、1.9.x、RC1 より前の 2.0 に弱点。 stream4 プリプロセッサモジュールに、integer overflow に起因する heap overflow が発生する弱点があり、remote から snort 実行権限 (通常 root) を奪取され得る。
snort 2.0 で修正されている。また、stream4 を無効にすることで回避できる。
Debian GNU/Linux:
[SECURITY] [DSA 297-1] New snort packages fix remote root exploits
日本語訳: [debian-users:36948]
Global PRO Policy Manager versions 4.0.0r1〜4.0.0r5、4.1.0r1 に弱点。組込の proposal "g2-aes128-sha", "g2-aes128-md5", "esp-aes128-sha", "esp-aes128-md5" を利用すると、暗号化には 128bit AES が利用されるはずなのだが、実際には 56bit DES が利用されてしまう。
Global PRO 4.1.1 で修正されている。
[SECURITY] [DSA 288-1] New OpenSSL packages fix decipher vulnerability 登場。
日本語版 Windows NT 4.0 用の fix を Windows Update 経由で取得することができるようになった模様。
Internet Navigware Live オプションのSession Initiation Protocol(SIP)の実装における複数の脆弱性 (2003年4月17日) (富士通)。 CERT Advisory CA-2003-06 邦訳版 (LAC)。
行政機関個人情報保護法案の修正要望 市民グループ (毎日)。 確かに、東京地裁でしかできないというのはたいへんな気が。
(重要)データ破損現象のご報告とSSLによる回避のお願い (ジャストシステム InternetDisk)。 BA5000 PRO (NTT-ME) で「約2000回に1回の割合で」発生するというのだが、
のだという。つまり、ジャストシステム製専用クライアントを非 SSL 環境で利用した場合にのみ発生する、と。
インターネットディスクでは、クライアントツールを利用してアップロードする際に世界標準のプロトコル(RFC2068で規定されているHTTP/1.1の PUT メソッド)を採用しておりますが、これに対しルータ側の対応検証が十分でないことにより発生する現象と考えております。
のだそうだ。うーむ。
匿名希望さん情報ありがとうございます。
日本語脆弱性情報SIOSデータベース (横河電機)。SecurityFocus脆弱性データベースがベースの模様。 Telecom-Isac Japan でも使っているのだそうで。 https://vdb.sios.biz/index.jsp に無償利用サイト (要登録) がある。はせがわさん情報ありがとうございます。
2003年04月以降は、BugtraqID:7192からタイムラグ1週間を目標に、日本語脆弱性情報を追加してまいります。
だそうです。なぜ 1 週間もかかるのだろう。
米Microsoft,今後1年間のセキュリティの取り組みを明らかに (日経 IT Pro)。
2003年末までに,パッチを当てていないシステムを検出するツール「Baseline Security Analyzer 1.2」をリリースする。
MBSA 1.2 は年末だそうだ。首が地球を 7 まわり半。
Cake Off & port139ml (port139.co.jp)。お茶会がしたいなあ。
ウイルスにもスパムにも強くなるWindows (ZDNet)。
同氏によると、Filter Managerによって、PCに2種類のアンチウイルスソフトをロードし、実行することが可能になるという。
たったの 2 種類なの? 10 種類くらい入れたいよね。
バッファオーバーフローと戦うOpenBSD (ZDNet)。 3 つあるという方法のひとつが SSP (ProPolice) ですね。FreeBSD 4.8-RELEASE 対応版も出てます。
デモ住民に米軍発砲 モスルで暴徒化 10人死亡 (中日新聞)。 また出た「事実関係を調査中」。調査結果って永遠に出てないのでは。
イラク戦争: 「予想しなかった」 遺物の略奪で米軍作戦副部長 (毎日)。ご立派ですなあ。
オックスファムが見たイラクの混乱と安全な水の確保の難しさ (AML ML)。 治安の壊滅とともにインフラも壊滅しているようです。
[aml 33638] Re: ブッシュを国際刑事裁判所に提訴するには?。 かの有名な、USA による対ニカラグア テロ話 (国際司法裁判所で有罪判決)。 しかし、ダブルスタンダード国家 USA は何が出ようと気にしないようで。
ソニー 「衝撃と畏怖」の商標登録申請取り下げ (毎日)。あら、根性なし。 そもそも、どういうつもりで申請したんだろう。
「連邦制の新政権樹立」暫定行政機構初の準備会合、13項目の声明発表 (毎日)。13項目声明、各項目についているはずの「が、親米でなければならない」が消えているような気が。例: 「1 イラクを民主国家にするが、親米でなければならない」。
「移動式研究施設、兵器用ではなかった」と米軍 (CNN)。依然見つからず、と。
女性兵士救出劇は「大げさなショー」 病院で治療の医師証言 (京都新聞)。 Show time !
IRAQ BODY COUNT、あいかわらず増えつづけていますね、ついに Min も 1400 を越えてしまいました。
もはや「謎の組織」ではない、ということですね。 ちなみに FAQ はまだ変わってませんね。
ややこしや〜、ややこしや〜 (と言えばにほんごであそぼ。 スゲーおもしろいっす。斎藤孝氏については、たとえば 次世代に日本語の宝石を 明治大助教授・斎藤孝さん (毎日)。本当に、番組でこれをやってます。知らざあ言って、聞かせやしょう)。
せっかく JPCERT/CC JVN があるのですから、Vendor Status Note JVNCA-2002-23 OpenSSL に複数の脆弱性 を参照して頂きたいところですねえ。
NEC、未知の攻撃に対しても無停止で対応するWebサーバー防御システムを開発 (INTERNET Watch)。一旦信頼性の高いユーザーと判断させておいて……という攻撃ではどうなるんだろう。それとも、anonymous による攻撃しか想定していないのかな。
プレスリリース: 未知の攻撃発生時にも無停止でサービスを提供するWebサーバ防御システムを開発 (NEC)。やっぱり対 anonymous っぽい。
HFNetChkLT 4.0.73 が出たそうで。
コンピュータ犯罪に関する白浜シンポジウム、2003.05.22〜24、¥10,000-。
個人情報保護法案、与党単独で審議 衆院特別委 (毎日)。 はじまってます。 個人情報保護法案に「再度の廃案を」 城山氏が主張 (毎日)。
総務省、緊急時の通信対策案まとめる (毎日)。 パブリックコメント募集してます: 「電気通信事業における重要通信の在り方に関する研究会」 報告書(案)に対する意見の募集 (総務省)。
Automated Denial-of-Service Attack Using the U.S. Post Office (CRYPTO-GRAM)。 なるほど、確かに……。
「情報セキュリティプロフェッショナル育成」について (IPA)。情報セキュリティー、人員体制に自治体の8割が「不安」 (asahi.com) が言う「経産省は(中略)15日からホームページに掲載する」がこれみたい。 経産省は、というから経産省ホームページをずっと見てたのに。
……経産省からも出ましたね: 「情報セキュリティプロフェッショナル育成」について。でも概要しかない。IPA からは詳細版も出てます。
「イラク復興再建」は私営化の隠れ蓑である (ZNet)。益岡賢さんのコメントにも注目。
[aml 33623] Fwd: [TUP-ML] TUP速報54号 03年4月15日 マイケル・ムーアからのメッセージ。
[aml 33617] 東電原発全基停止に際して。実は余ってます〜。
同電力は3月末、今夏の需給見通しとして、最大電力は1日最大で6450万kWに達するとし(よく読むと「厳しい暑さとなった場合」とことわり書きがある)、その時、全原発が停止したままだと供給力は火力・水力・他社からの受電を合わせて5500万kWで、950万kWが不足するとマスコミ発表した。その一方で資源エネルギー庁に報告した電力供給計画では、最大3日平均ではあるが5920万kWとしている。明らかにマスコミ発表では意図的な過大想定をしているのである。
Snort 2.0 が出たそうです。
@policeの世界のセキュリティ事情 (けんのぼやき)。そうだったのか。 しかし、なぜ "IRIA-Security in the News" を使うことにしたのだろう。 新たな謎が……。
Vulnerability Note VU#457875: Various DNS service implementations generate multiple simultaneous queries for the same resource record の話かな。とりあえず、bind 4/8 だけはやめたほうがよさげ。
バガボンド プレスクラブに流れてきたものの方がわかりやすい: セキュリティマガジン Scan Security Wire 増刊号 (2003/04/15)。
Flash AD というのは、MACROMEDIA FLASHという容量の軽い動画のプログラムを広告的に応用したもの (ZAKZAK) だそうだ。で、Macromedia 作成の Flash AD 制作ガイド に問題があったそうだ。
Flash AD では、「getURL(clickTAG)」を用いて広告のトラッキングを行う方法を推奨していた。
しかし、「clickTAG」に第三者がスクリプトを仕込むことが可能であり、仕込まれたスクリプトを「getURL()」は、無効化することができない。
そのため、スクリプトを用いたクロスサイトスクリプティングが可能となっている。
Flash AD 設置者側の回避方法としては、clickTAG パラメータに対するサニタイジング (clickTAG パラメータは必ず "http://" ではじまるようにする) の他に、次のものがあるそうだ:
もっとも単純で有効な対処方法は、Flash ファイルを置くためだけのサブドメインを用意することである。これにより、攻撃者が奪取できる cookie は、当該サブドメイン上のもののみとなり、ほとんどの危険は回避できる。
Scan Security Wire 増刊号によると、この弱点の影響を受ける「大手」サイトが実在するそうだ。Flash AD 運営者は注意されたい。
一方、利用者側の対応としては、JavaScript の無効化しかない模様。 サイト依存なので、利用者側の対応はとっても難しいような気が。うぅむ。
Flash AD 制作ガイドには次の Note が追加されたようだ:
Note: The ActionScript in this Flash advertisement is verifying that the clickTAG URL begins with "http:". This is an important security measure. If you do not take this precaution, a malicious HTML page could source your SWF and pass a clickTAG URL that begins with "javascript:" or another scripting pseudo-protocol. If your ActionScript code were to call getURL with a maliciously crafted JavaScript URL, it would be possible for the site serving the malicious HTML page to obtain the contents of your HTTP cookies or perform other actions on your site's behalf.
CVE: CAN-2003-0208
「cookie に関する議論」に似てるような気がするなあ。少なくとも、利用者が有効・無効を選択できるようにはしないといかんような気が。「黙って導入」は最悪。 関連: ベネトンの服「スマートラベル未採用」を強調 (ZDNet)。
実は Index Server 2.0 (NT 4.0 Option Pack) にもこの問題があり、patch が登場した。
日本語版 Windows NT 4.0 用の fix を Windows Update 経由で取得することができない模様。
WinSCP 2.2.3 が出ています。木村さん情報ありがとうございます。
Microsoft KB。英語版では supported fix があるが、日本語版はまだ。
@police の 世界のセキュリティ事情 って、どんな基準で選んでいるんだろう。 文句があるとかじゃなくて、単なる疑問。
「今週のSecurity Check 一般編」100回を振り返る (日経 IT Pro)。 LAC さんは前回でおしまいだそうで、次回からは NEC ソフトさんだそうです。
[aml 33591] Fw: [TUP-Bulletin] TUP速報49号 03年4月14日 フセイン銅像の引き倒しは、ヤラセだった。 Is This Media manipulation on a grand scale? (informationclearinghouse.info)。 実に興味深いですね。
イラク戦争 独立望むクルド人、キルクーク撤退不透明−−警戒強めるトルコ (毎日)。ここの緊張はどんどん増加しているようで。
ハリバートンに70億ドル 復旧作業、米軍が無競争で発注 (京都新聞)。やっぱコネですなあ。
米大統領「シリアに化学兵器あると信じている」 (asahi.com)。 信ずる者は戦争を仕掛ける。
米国防長官が激高し反論、イラク首都の略奪問題 (CNN)、 「自由の代償だ」 米国防長官が混乱批判に反論 (京都新聞)。 US 国民ならスミソニアンとかから略奪しても ok なんだろう。 さすがはラムズフェルドの旦那、太っ腹。
「新聞の見出しは混乱、暴力、不安。私はそんなものは見ていない」
そこについているのは節穴ですか……。
イラク戦争 エースは誰?−−フセイン政権指導部の55人をトランプにあしらう (毎日)、イラク戦争 手配者印刷のトランプ、ランクを反映−−「余興が過ぎる」と批判も (毎日)。さすが米軍、こーゆー下らないものに使う金はたっぷりあるらしい。
イラク戦争 米海兵隊、IAEAの封印破る?−−イラクの核施設内14カ所で (毎日)。米軍には「大量破壊兵器」の捜索能力がないのでは?
イラク戦争 「一刻も早く文化遺産の警備を」−−考古学者が訴え (毎日 4/11)、 イラク文化遺産の緊急保護を要請 ユネスコ、米英に書簡 (京都新聞)、 バグダッドの博物館が略奪される (CNN)。米軍にとっては文化財はどうでもいいと。 やっぱ、「開放軍」じゃなくて「十字軍」なのでしょう。 (fixed: らむじぃさん感謝)
OpenSSL OpenSSL 0.9.7b / 0.9.6j が出ています。 OpenSSL 穴 2 つ話が fix されています。Shimizu さん情報ありがとうございます。
定番情報源をだいぶいじりました。 Tsujimoto さん情報ありがとうございます。
リモート レジストリ サービスを停止するとルーティングとリモート アクセス サービス (RRAS) を管理できない (Microsoft)。 そういうもの。
Opinion:WLANのセキュリティに向かう2つの道 (ZDNet)。 TTLS もサポートしてください > Microsoft。
NTイベントログに、任意のソースで任意のイベントIDのメッセージを出力する (だめだめ日記)。
McAfee Support Information [2003/04/11] が流れてきた。 スキャンエンジンを4.2.40へアップグレード後Excelの起動時に『McShieldアプリケーションエラー』が発生します の件、いまだに環境・発生条件が不明確なようで、稀にだがアプリケーションエラーが発生する場合もあるそうだ。
スキャンエンジンの更新をされていないお客様につきましては、スキャンエンジン4.2.40でしか対応できないウイルスが発生していない現段階では、本スキャンエンジンの適用を見合わせて頂きたくお願い申し上げます。
だそうで。US ではこの問題は出なかったのだろうか。 Excel 全般な話なのか、日本語版 OS / Excel 限定な話なのか……。
「必ず発見」と米報道官 イラクの大量破壊兵器 (共同)。捏造で GO!?
「解放軍」演出 米陸軍、イラク国内で星条旗の掲示禁止 (asahi.com)。 なにしろ、フセイン像を引き倒したのは市民じゃなくて米軍ですからね。
昨夜の NEWS23 でも「市民が振っているたくさんの星条旗はいったいどこから出てきたんでしょうねえ」ネタをやってましたね。「籏ふり」や「米兵に花をプレゼント」といった映像は、ヤラセを疑う必要があるのでしょう。NEWS23 で流れていた、市民に銃を向けた「イラク兵捜索映像」は、今そこにある現実がヴェトナムの頃と何ら変わりないことをよく示していると思うし。
イラク再建、国連は側面支援で 米高官が主導権を強調 (asahi.com)。利権で GO! の前に、まずは治安と医療をなんとかしろよ。 バグダッドの治安悪化…官庁炎上、病院略奪も (読売)、 「イラク治安は米英豪3か国の責任」と国連事務総長 (読売)。 ジュネーブ協定違反 > 米英豪。 首都の病院で略奪やレイプ (秋田魁新報)。
レッシグ教授の講演・日本語字幕版Flash (slashdot.jp) の Flash を昨夜見た。すばらしいです。英語版を見たときに EFF に入ったので許してください。
avex のコピーコントロール CD (CCCD) は、autorun が有効な状態 (デフォルトで有効) の Windows マシンに挿入されると、いきなりなぜか C:\ 直下にアンインストーラ UNWISE.EXE を作成してしまう、という話。既に C:\UNWISE.EXE が存在した場合でも、問答無用で書きかえようとする模様 [memo:5737] 。だめすぎ。
しかも UNWISE.EXE は不完全なアンインストーラなのだそうで、FacsyS さんは avex CCCD Player 完全アンインストーラ というソフトを作成されている (info from 沙耶16歳さん)。CCCD、つくづくだめすぎ。
Mac OS X 10.2.5 登場 (古暮涼氏による邦訳版)。以下が修正されている。
[VulnWatch] MacOS X DirectoryService Privilege Escalation (a041003-1)
local user が root 権限を奪取できる。また port 625 を利用して DirectoryServices を殺すことも可能。 CVE: CAN-2003-0171。
File Sharing/Service において、 write-only DropBox フォルダの内容が誰にでも明らかになってしまう。 CVE: CAN-2003-0198
[VulnWatch] [DDI-1013] Buffer Overflow in Samba allows remote root compromise 話。
Apache 2.0.45 Released。 APPLE-SA-2003-04-10 Mac OS X 10.2.5。
[VulnWatch] [DDI-1013] Buffer Overflow in Samba allows remote root compromise。 APPLE-SA-2003-04-10 Mac OS X 10.2.5、Miracle Linux。
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail。 APPLE-SA-2003-04-10 Mac OS X 10.2.5、Sun Solaris、HP HP-UX、HP MPE/iX fix。
OpenSSL 穴 2 つ。APPLE-SA-2003-04-10 Mac OS X 10.2.5、OpenSSL 0.9.7b / 0.9.6j。
おぉ eEye ですか。カッコイイ!
ネット上「貸倉庫」でソフト共有 著作権法違反で初摘発 (asahi.com)。
[HOWTO] Windows Update カタログから Windows の更新およびドライバをダウンロードする (Microsoft)。
レッシグ教授の講演・日本語字幕版Flash (slashdot.jp)。あ〜りが〜たやありがたや。
CDの再販制度について (沙耶16歳さん)。
SII、時刻認証サービスの体験サイト開設 (INTERNET Watch)。
from HITACHI DIRECT ダウンロード / ソフトウエア・ニュースレター:
本家 Microsoft KB も、これくらいわかりやすいタイトルにできないのだろうか。
連載:PKI再入門 第1回 個人認証とは? (@IT)。
戦争は、GPSの測位精度を変えるか? (ZDNet)。
第2回 WEBアプリケーション セキュリティ研究 (バガボンド)、 2003.04.23、東京都渋谷区、無料。
「国連に中心的役割の能力なし」戦後復興で米副大統領 (読売)。 イラク利権は渡さないぞ、と。 あいかわらず「大量破壊兵器」は発見されていませんし。
イラク国連大使「ゲームは終わった」 (読売)。
「サダムよさよなら」 クルド人、喜び爆発 (asahi.com)。 クルド人が真の自由を手にする日は来るのだろうか。
Proxy Server 2.0 および ISA Server 2000 に穴。内部からの攻撃パケットにより Proxy / ISA Server が DoS 状態になり得る。 ISA Server 2000 は、統合モードあるいはファイアウォールモードの場合にのみ問題が発生する。キャッシュ モードにはこの問題はない。
patch があるので適用すればよい。関連:
あいかわらずの Microsoft Java VM 穴。悪意ある web サイトが任意のコードを実行可能。 Java を無効にすれば回避できる。
最新の build 3810 で fix される。 Microsoft Java VM についても改訂しておきました。関連:
CVE: CAN-2003-0111
いえいえ、必要なんです (slashdot.jp)。必要だったのか……。というか、まだあるうちに Sun のやつでも動くように直してくれナイト。
[LSD] Java and JVM security vulnerabilities を追加。
どうやら、Windows NT 4.0 用の fix を Windows Update 経由で取得することができない模様 [memo:5757]。Windows 98/Me/2000/XP から Windows Update カタログにアクセスし、Windows 98/Me/XP のいずれか用の fix を取得する。Windows NT 4.0 からは Windows Update カタログにアクセスできないので注意。Windows 98/Me/2000/XP を持っていない Windows NT 4.0 利用者は、Microsoft Product Support Services (PSS) から入手する。って、金取られるんですかね (爆笑)。
ちなみに、英語版 NT 4.0 では何の問題もなく Windows Update 経由で取得できることを手元で確認できた。 本件は日本語版 NT 4.0 固有の問題のように思える。これが「深刻度: 緊急」の問題に対する対応だとは。シャレにならない。
Microsoft トラブル・メンテナンス速報 によると、Windows Update 経由で NT 4.0 用 fix を取得できない問題は修正された模様。手元の日本語版 Windows NT 4.0 Workstation でもきちんと出てくることを確認した。
いろいろ出てます。
[VulnWatch] [DDI-1013] Buffer Overflow in Samba allows remote root compromise。 Red Hat Linux 7.1 用 patch 追加、Turbolinux / HP-UX / IRIX fix。
CERT Advisory CA-2003-10 Integer overflow in Sun RPC XDR library routines。 Debian / IRIX fix。
Ptrace hole / Linux 2.2.25。 Vine / Debian fix。
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail。 NetBSD / Debian / IRIX fix。
Apache 2.0.45 Released。 関連情報と fix / patch を追加。
「政府が新型肺炎患者数を過少公表」中国の軍医が告発 (読売)。「天安門」のころとあまり変化ない国のようで。
米産業界、イラク特需 トマホーク740発で520億円 (読売)。 やめられまへんなあ (声: 明石家さんま)。
イラク戦争: 「フセイン所在情報」から45分で爆撃 米軍 (毎日)。 さすがは世界最強のテロ国家。見事な攻撃だ、タケチャンマン (死語)。
イラク戦争: ジャーナリスト「標的」に 次々と倒れる記者たち (毎日)、 イラク戦争: 米軍が故意に標的の可能性 アルジャジーラ会見 (毎日)、 報道3人死亡で米に抗議…ジャーナリスト保護委員会 「意図的に狙われた疑い」 (読売)。
毎日の米・イラクページでは、過去記事が一覧できていいですね。 迫り来る「決断の時」−−「フセイン後」描けないまま (毎日) あたりにある関連記事も。
読売だと、 イラク戦争 ニュース一覧 にあるようです。
アフガンでは、いまだに米軍の誤爆による死者が出ているようですね: アフガニスタンで米軍が民家誤爆、12人が死傷 (読売)。
バグダッド陥落……というか、フセイン政府崩壊の模様。 米軍、バグダッドをほぼ掌握 イラク側の組織的抵抗なく (asahi.com)、 イラク戦争: 米軍が首都中心部に進軍 住民、立像を破壊 (毎日)、 フセイン政権、事実上崩壊 (読売)。 「血みどろのバグダッド市街戦」シナリオが回避された模様なのは素直に喜びたい。
しかし、戦火による負傷者は大量に存在するし、まだ全ての戦闘が終了したわけでもない。食料・医療支援が必要だし、崩壊した治安状況を回復させる必要もある。 「フセイン後」にどのような政権ができるかによっては、「第 2 のパレスチナ」が出現する可能性だってある。本当に困難なのは、これからだろう。 米復興人道支援庁、トップにガーナー元将軍 (読売)、 日本に要員派遣を要請 イラク暫定統治機構で米政府 (asahi.com) など動きがあるようですが、 刮目しておかナイト。 トニー・ブレアはあくまで国連主導にしたいようだけど、子ブッシュはそうではないようだし。 国連関与不可欠と米英首脳、具体的権限には触れず (読売)。
[aml 33508] もう一度要請文を投稿させていただきます。 要請というのは 都裕史さんに旅券発給を! のこと。 要請に応える・応えないにかかわらず、[aml 33508] の内容は興味深い。
日本版サイバーセキュリティ戦略——経産省が8月にも発表 (日経 IT Pro)。 つまり、4 か月でまとめるってことですか。あまりに拙速すぎません? 関係諸機関にもいろいろと動きがあるようですし。 年度末くらいまでかけてもいいと思うのだけど……。
らむじぃさん感謝。
アラブ系メディアへの“過大評価”に要注意 (日経 IT Pro)。 返す刀で US 系メディアへの“過大評価”にも注意してあれば、いい記事だったのに。多くの日本人はアルジャジーラをデフォルトで疑うだろうけど、US 系メディアをデフォルトで疑う日本人は少ないだろうから。 まあ、小林雅一氏の記事は偏向していることが多いから、仕方ないか。
確かに戦争中は,CNNやBBCといえでも愛国的な報道に偏ってしまうが,それでも自国政府をある程度は批判している。
「ある程度」……。まあ、0.01 は 0 ではないわな。
不審機: 防空識別圏に入り 空自機が緊急発進 北朝鮮機か (毎日)。 騒ぎすぎだと思うんだが……。全てのスクランブルを記事にすると何が起こるかやってみなさい > 毎日。
2003.04.08 の [VulnWatch] [DDI-1013] Buffer Overflow in Samba allows remote root compromise に追記した。Samba 日本語版情報、Debian GNU/Linux fix 日本語訳、ZDNet 記事を追加。
ひさしぶりに読み直してみました。というか、2002.11 の改訂時点で読んでないだろ > 俺。
緊急 (Critical)
この脆弱性が悪用された場合、Code Red や Nimda のようなインターネットワームがユーザーの操作なしで蔓延する可能性があります。
可能性があるだけで「緊急」になってしまう。 「ユーザーの操作なしで」というのがキーワードなのだろうが、受動的攻撃系の穴でも、たとえば MS01-020 のおかげで、「ユーザーの操作なしで」を実現するのは困難ではないわけで。 となると、任意のコードが実行され得るものの多くは「緊急」になってしまうのでは。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性またはアベイラビリティが侵害される可能性があります。または、処理中のリソースの完全性またはアベイラビリティが侵害される可能性があります。
この定義だと、DoS は「警告」ではなく「重要」になりますね。うーむ。
というわけで、見直しは必要な気が。 相次ぐ「緊急」のセキュリティ・ホールにマヒしていませんか? (日経 IT Pro) という記事を書かれてしまうのは、やはりよろしくないでしょう。 「重要」と「緊急」の範囲が広すぎるような気がする。
英語版: Microsoft Security Response Center Security Bulletin Severity Rating System (Revised, November 2002) (Microsoft)。
あえてここを引用する。
(MS03-010 の) 対策はパッチを適用すること。最大深刻度 が「重要」の,深刻なセキュリティ・ホールなので,速やかにパッチを適用しよう。
もう一箇所。
RealNetworks などからは,RealOne Player および RealPlayer 8 のセキュリティ・ホールが公開された。Windows 版で影響を受けるのは,「RealOne Player および RealOne Player v2 (すべての言語版)」,「RealPlayer 8 (すべての言語版)」である。対策は,アップデート版のインストール。詳細は,RealNetworksが公開するレポートを参照してほしい。
RealOne / RealPlayer 穴 は、現在の Microsoft 基準であれば「緊急」の、「深刻なセキュリティ・ホール」であると思うが、山下氏の文章からは、それが伝わってくるだろうか? 後者がここまで素気ないと、「ダブル・スタンダード」に見えてしまう。 原稿サイズの関係で削られちゃったのかもしれないが、……。
ちなみに MS03-010 については、SANS Critical Vulnerability Analysis Vol 2 No 12 に次の記述があるのをさきほど発見した (普段からちゃんと読んでおけよ > 俺)。
Microsoft has released an advisory and a patch for the Windows SvcHost DoS discovered by Immunity Security last October. Malformed RPC requests sent to port 135/tcp can crash svchost.exe on vulnerable Windows NT/2000/XP systems. This crash causes the Windows RPC services to fail, and therefore any programs that depend on RPC to fail. Typically the victim system must be rebooted to be restored to a usable state.
Microsoft Bulletin and Patches for Win 2000/XP
http://www.microsoft.com/technet/security/bulletin/MS03-010.asp
Immunity Security Advisory
http://www.immunitysec.com/vulnerabilities/Immunity_svchost_DoS.txt
Linux 用のカーネルモジュールキーロガー Sebek に関する記事。 「sebek をモジュールとして読み込んだら rmmod でも外せない(Bugsに記載あり)」 というのは、なかなか強力な気が。ほんとに BUG なの? 狙ったのではなくて?
伊原さんにぼらんてぃあ精神がないと言う人がいるらしい (B-) の独り言)。 言うなとは言わないので、そういう方には、ぜひとも port139.co.jp を軽々と越えるコンテンツを無料で公開していただきたい。
私には、とてもじゃないが言えないセリフだけどな……。
Samba 2.2.8a / Samba-TNG 0.3.2 より前に弱点。 smbd/trans2.c の 252 行目において buffer overflow が発生、これを利用すると remote から root 権限を奪取できる。当初、報告者の Digital Defense 自身が exploit をhttp://www.digitaldefense.net/labs/securitytools.html で公開していたが、これは事故だった模様で現在は削除されている。
ベンダー提供の fix package を適用するか、Samba 2.2.8a / Samba-TNG 0.3.2 にはこの弱点はないので移行するか、 Samba 2.2.7a / 2.0.10 用の patch が公開されているので適用して build, install。
日本 Samba ユーザ会の Samba 日本語版については、 [memo:5726] [ANN]オリジナル版 Samba 2.2.8の脆弱性の修正と日本語版での影響のについて、 [memo:5727] 【ANN】 Samba 2.2.7b日本語版リリース1.0 正式リリース を参照。「Samba 2.2.7b日本語版リリース1.0」以降で fix されている。
[samba-jp:14528] Re: Fw: [SECURITY] Samba 2.2.8a security available for download
オフィシャルアナウンスの邦訳版。
Samba 2.2.8a、2.2.7a / 2.0.10 用 patch
Samba-TNG 0.3.2
[memo:5726] [ANN]オリジナル版 Samba 2.2.8の脆弱性の修正と日本語版での影響のについて
[memo:5727] 【ANN】 Samba 2.2.7b日本語版リリース1.0 正式リリース
FreeBSD Security Notice FreeBSD-SN-03:01 security issue in samba ports
SN-03:01 では語られていないが、ports/japanese/samba/
も Samba 2.2.7b日本語版リリース1.0 ベースになっている。
[RHSA-2003:137-02] New samba packages fix security vulnerability
Red Hat Linux 7.1 用 patch が追加され、RHSA-2003:137-02 になった。
Red Hat Linux 7.1 用 patch は、全般的にリリースが遅れる傾向にあるようです。
[SECURITY] [DSA 280-1] New samba packages fix remote root exploit
邦訳版: [debian-users:36696]
HPSBUX0304-254 SSRT3536 Potential Security Vulnerability in CIFS/9000 Server
HPSBUX0304-254 SSRT3536 CIFS/9000 Serverにおけるセキュリティ脆弱性
Portalworks標準リポジトリにバッファオーバーフローの脆弱性。 patch はまだないみたい。
Samba 日本語版情報、Debian GNU/Linux fix 日本語訳、ZDNet 記事を追加。
Samba 日本語版情報、Debian GNU/Linux fix 日本語訳、ZDNet 記事を追加。
Portalworks標準リポジトリにバッファオーバーフローの脆弱性 (富士通) を追記。
セキュリティよりも利便性を取る人はいつでもいるわけで。
私にとってOffice 2003を勧めるのが難しい理由はもう1つある。同スイートで提供されるOutlookの新バージョンが、電子メールの中の外部HTMLコンテンツ(主にグラフィックスや広告)を遮断してしまう点だ。電子メールが相手に届いたか、もしくは開かれたかどうかを検知するための隠されたHTMLコードも遮断される。
(中略)
この機能はスパム対策の1つとされるものだが、
スパム対策だけではないでしょう。
あまり役立ちそうにないこの機能をめぐって、私は今、Microsoftにかけあっている。結果は今後のコラムで報告しよう。
役に立ちそうにないですか。そうですか。幸せな生活をお過しのようで、なによりですね。 まあ、HTML メールを有効にするスイッチもどこかにあるでしょうから、利便性を取りたい場合は、ポチッとしていただければよろしいだけなのでは。
FreeBSD おぼえがき、2003年04月05日(土)23時17分27秒。 悪いのはお前だ > 俺。だめすぎ。_o_
Windows Server 2003日本語版、4月8日より開発者向けダウンロード開始 (INTERNET Watch)。いよいよです。
Windows Meにウイルス対策プログラムなどが原因でエラーが発生する不具合 (INTERNET Watch)。というか、Me という時点で……。
大量破壊兵器発見より政権打倒 「大義後回し」発言次々 (asahi.com)。 というか、あればとっくに使っていると思うんだが……。
[aml 33461] 「鉄腕アトム」の反動性と徹底的に対決していこう。 まあ、時代背景というものがありますからねえ。原子力だし。 そういえば「サンダーバード」も原子力だらけで、しかもハデに爆発するよね (爆笑)。きっとあれは、ガミラス占領後の地球の話なんだぜ (笑)。
ロボット法 (asahi.com)、個人的には
ロボットは造った人間を「父」と呼ばなくてはならない。
の方が気になったなあ。女性がつくっても「父」なのか?
イラク戦争とブッシュ大統領の信仰 (tanakanews.com) (link fixed: 岡田さん感謝)。
結局、私の予測の中で間違っていた点は「ブッシュ大統領が合理的な判断をするはずだ」と考えていたことだと思われる。
(中略)
自分が大統領になれたのは、神が自分に悪の化身フセインを倒し、中東の人々を救う役割を与えたからに違いない、といった思い込みがブッシュの中にあるのではないか、という見方である。
神様で思い出すのはロナルド・レーガン (と言えば大韓航空 007 便撃墜事件) だが、子ブッシュはレーガン級、あるいはもっとアレ、なのだろうか。パパブッシュはそんなことはなかったと思うのだが……。
FreeBSD 4.8-RELEASE が出たようですね。
IRAQ BODY COUNT、ついに Max は 1000 人を越えてしまったか……。
SETI@Home クライアント 3.07 以前に弱点。'\n' を伴う長大な文字列を送られると buffer overflow が発生。 サーバになりすますことができれば、攻撃者はクライアント上で任意のコードを実行させることができる。また同様の問題がサーバにもあるようだが、テストできていない。
弱点は 3.08 クライアントで修正されている。ダウンロードページから入手しよう。
関連: SETI@homeに脆弱性 (slashdot.jp)、 「SETI@home」がv3.08で、バッファオーバーフローのセキュリティ問題に対処 (窓の杜)、 宇宙人探査プロジェクトの脆弱性、攻撃の可能性は低い? (ZDNet)。
興味深いです。
NAI の新スキャンエンジン 4.2.40 のトラブル。原因調査中。対象 OS は NT / 2000 / XP となっている。 ScanTimeOut をレジストリいじりで変更 (デフォルトの 30000 から 60000 に変更など) することによって回避できる場合があるようだ。でもそれって、起動に 30 秒以上かかるってこと?
McAfee Support Information [2003/04/11] が流れてきた。 この件、いまだに環境・発生条件が不明確なようで、稀にだがアプリケーションエラーが発生する場合もあるそうだ。
スキャンエンジンの更新をされていないお客様につきましては、スキャンエンジン4.2.40でしか対応できないウイルスが発生していない現段階では、本スキャンエンジンの適用を見合わせて頂きたくお願い申し上げます。
だそうで。US ではこの問題は出なかったのだろうか。 Excel 全般な話なのか、日本語版 OS / Excel 限定な話なのか……。
ウィルス定義ファイル 4258 にて対応されたそうだ。スキャンエンジン 4.2.40 利用者はすかさずアップデートしておこう。
航空管制システム障害は防げた!(上)バグを放置、テストは8時間のみ (日経 IT Pro)。結局は、「テストは 8 時間のみ」がいちばんまずかったんじゃないのかなあ。
ネットワークアソシエイツ社が、 AVERTの最新版WebImmune 2.0で、 ウイルス、悪性コードのリアルタイム駆除を強化 (NAI)。 web ベースの無料アンチウィルスサービス WebImmune のバージョンが上がったよ、ということでいいのかな。 ウイルスバスターオンラインスキャン (トレンドマイクロ) みたいなもの?
MS、コンシューマー向けOfficeを事実上値下げ (ZDNet)。お。
全米レコード協会、ファイル交換システムを運営している大学内LAN管理者を提訴 (INTERNET Watch)。ついに提訴だそうで。
テロの「疑い」だけでDNAサンプルを取られる、米司法省提案の新法 (WIRED NEWS)。なんでもありですねえ。
the Microsoft Conference + expo 2003 の受付がはじまっています。Conference page に日付があります。
西武百貨店の危ない無線POS,クレジットカード情報が見えた——対策は2003年1月末に完了、 高島屋の無線POSも脆弱だった,2月末に対策を完了し顧客に通知 (日経 IT Pro) のつづき。高島屋は LAC の警告文書 SNS Spiffy Reviews No.4: 個人情報漏洩の可能性のある脆弱性 − 百貨店で使用されている POS 機器の例 (2002.11.27 公開) を見てはじめて無線 LAN 対策を開始、2003.03.13 に完了したという。
西武および高島屋の無線 LAN ベンダーである日本 NCR への取材結果も記載されている。
この回答に対して,前出の渡辺氏 (高島屋ビジネスサービスの渡辺耕太郎システム業務本部システム営業部システム開発第1グループ次長) は首をひねる。前述の通り,高島屋が無線POSシステムの本格導入を始めたのは2000年9月である。当時,高島屋は日本NCRに対してセキュリティに関する要求は出さなかったが,渡辺氏によるとその際に日本NCRからも無線LANのセキュリティに関する助言はなかったと言うのだ。
2000 年くらいだと、お気楽に構築していたということなのでしょう。
気をつけましょう……というか、仕事場で (自分の!!) 性的な写真をいじっちゃいかんでしょう……。
SANS Critical Vulnerability Analysis、2003.03 の Widely Deployed Software だけでも載せてみようか。 CRITICAL > HIGH > MODERATE > LOW ね。
2003.03.03
(1) CRITICAL: Cisco IOS OSPF Neighbor Buffer Overflow
(2) HIGH: Windows ME/XP IE Help Center Code Execution
(3) HIGH: Multi-Vendor Session Initiation Protocol (SIP) Vulnerabilities
(4) LOW: OpenSSL CBC MIM Error Message Timing Attack
(5) LOW: Multi-Vendor Terminal Escape Sequence Vulnerabilities
2003.03.10
(1) CRITICAL: Sendmail Crackaddr() Address Header Parsing Overflow
(2) HIGH: Snort RPC Preprocessor Buffer Overflow
(3) MODERATE: Macromedia Flash Player Code Execution Vulnerability
2003.03.17
(1) MODERATE: IBM Lotus Notes NotesRPC Protocol Buffer Overflow
(2) MODERATE: PeopleSoft PeopleTools Remote Command Execution
(3) MODERATE: Qualcomm Qpopper Buffer Overflow
(4) MODERATE: ShopFactory CGI Price Manipulation Vulnerability
(5) MODERATE: PostNuke Multiple Vulnerabilities
2003.03.24
(1) CRITICAL: SUN XDR Library XDRMEM_GETBYTES Integer Overflow
(2) CRITICAL: Microsoft Windows 2000 ntdll.dll Buffer Overflow
(3) CRITICAL: Kerberos v4 Multiple Protocol Weaknesses
(4) HIGH: Samba SMB/CIFS Packet Reassembly Buffer Overflow
(5) MODERATE: Microsoft Windows Script Engine Integer Overflow
(6) MODERATE: BEA WebLogic Unprotected Internal Applications
(7) MODERATE: OpenSSL Timing Attack Private Key Disclosure
2003.03.31
(Flash) CRITICAL: Sendmail Parseaddr Buffer Overflow
(1) MODERATE: Ximian Evolution Mail Client Multiple Vulnerabilities
(2) MODERATE: Mozilla Bonsai CGI Suite Command Execution Vulnerability
(3) LOW: Mutt IMAP Client Folder Buffer Overflow
SANS は主に server side に注目してランクづけしているように私には見える。 Microsoft のランクづけと比較されたい。 たとえば MS03-008: Windows スクリプト エンジンの問題により、コードが実行される 問題は、Microsoft は「緊急」としているが、SANS は MODERATE だ。
Microsoft のランクづけ。「緊急」を連発しすぎなのは確かにそうだと思うけど、そのことよりも、「緊急」と「重要」の区別がよくわからないのが問題なのでは。なぜそれが「重要」ではなく「緊急」とランクづけされたのか、がよくわかないのが問題のような気がする。ユーザ層があまりに広いので最小公倍数的なランクづけになっているのだろうと思うのだけれど、ランクづけの結果に違和感のある人も少なくないのでは、と思う。
また、ランクづけは本来個々の組織できちんと行うべきものであって、Microsoft のランクづけはあくまで参考でしかないはずだ。参考値だけ取りあげて「緊急」だ「緊急」だ〜と判断してしまうのは、ちょっと違うのではないか。中身を読んだ上で、あぁやっぱりこれは「緊急」だね、とか、Microsoft は「緊急」と言っているが手元のこの領域ではあとまわしでいいな、とか、ちゃんと判断しナイト。 このページや JWNTUG Newsletter に Microsoft のランクづけ情報を書くのをやめたのは、そういう意味なわけで。こういうランクづけはおうおうにして独り歩きしてしまうので、取りあつかいには注意しなければならないとも思うし。
あとですね。ランクづけしているのが Microsoft だけ、だという事実を取りあげないと片手落ちなのでは。そのへんの UNIX / Linux は「マヒ以前」なわけで。まあ、Microsoft みたいに「緊急」と「重要」の区別がよくわからないランクづけをされても、それはそれで迷惑な気がするが。
サンプルのとり方がすごいですね。
中学生: 168
高校生: 168
大学生: 166
20 代: 166 (学生は含まない)
30 代: 166
40〜55 才: 166
こういうサンプルでアンケートを取らなければならない市場構造なわけだ。 そりゃ売上が減るわけだよねえ。子供の総数はどんどん減ってるんだから。 大人が買う気になる音があまりない、とも言えるのだろう。
CCCD については、アンケート回答者が CCCD に対する「正しい知識」を所有しているかどうかが全く不明なので、この数字を鵜飲みにするのはあまりに危険だろう。p.10 には「コピーコントロール CD 評価の理由」はあるものの、「コピーコントロール CD を評価しない理由」はない。この点を見ても、このアンケート (のまとめ方) がいかに恣意的かがわかろうかというものだ。「はじめに普及ありき」で、反対者の意見から学ぼう、という意思は全く感じられない。いやだねえ。
NAI VirusScan ですが、 「2003/04/04提供予定SuperDATファイルより、スキャンエンジン が4.2.40へ変更となります」 だそうです。(McAfee Support Information[2003/04/03])
OpenSSH 3.6.1 出たそうです。 OpenSSH 3.6 で kex guesses のバグフィックスをしたのだけど、これが原因で、他の SSH protocol v2 実装のバグをあぶり出してしまい、接続が停止してしまう場合があるそうだ。このような実装に対しては、このバグフィックスを無効にするように変更したという。compat.c を見てみると、SSH Communication の SSH 2.x がこれに該当するようだ。SSH 3.x はだいじょうぶみたい。
portable 版も 3.6.1p1 が出ています。
セキュリティ対策の管理・実行で要求されるスキル (日経 IT Pro)。 技術はアウトソースできるがマネジメントはアウトソースできない、というふつうの話。「政軍分離は可能なのだ!」(C) かわぐちかいじ「沈黙の艦隊」。
学校向けウイルス対策ソフトウェア「Client/Server Suite エデュケーションパック」5月6日発売 (トレンドマイクロ)。 「ウイルスバスター コーポレートエディション エデュケーションパック」 には client side しか入っていなかったが、「Client/Server Suite エデュケーションパック」には server side も入っている、ようです。既に「ウイルスバスター コーポレートエディション エデュケーションパック」(長い) を取得している場合は「差額にてアップグレード可能」だそうです。
大学では使えないので半径 50m 的には無関係なのですが。
有償セキュリティ・サービスの選び方 (日経 IT Pro)。 お金がないので選びようがない……(T_T)。
イラク戦争と情報セキュリティ (f-secure.co.jp)。 Iraq War and Information Security (f-secure.com) の翻訳だそうです。玉岡さん情報ありがとうございます。
[aml 33349] かわいそうな子供たち。例によって強烈 (死体・血ドバあり) なので、見る場合は覚悟しておくように。
ネットワーク初心者のためのTCP/IP入門 (TIP さん) が出てます。まっとうな TCP/IP 本です。邪悪さんの
初心者はもちろんだが、今後情報を発信するであろう技術的なエキスパートにも「国語の教科書」として読んで欲しい一冊である。
の一文が本当におっしゃるとおりで、いい本です。
sendmail 8.9.3 について (NEC)。CA-2003-07 への対応 patch なので、CA-2003-12 については直っていないっぽい。おまけに、 <META http-equiv=Content-Type content="text/html; charset=shift_jis"> なのに日本語 EUC で書かれているっぽいので、文字化けする人もいるだろう。
イラク戦争に伴う国際通信状況等について (第3報) (KDDI)。 つながらないそうです。
RFC3514が実装されました (slashdot.jp)。(^^;;;;)
早稲田大学のWeb履修登録システムに障害 (slashdot.jp)。 龍大でもそーゆー計画が何年も前からあったが、結局前に進んでないっぽい。 「Web 履修登録システム」はコスト減にはつながらないという話もあるし。
Apache 2.0.45 登場。2.0.44 以前の 2.0 系列に DoS 攻撃を受ける弱点があり、2.0.45 で修正されている。また OS/2 版には弱点が 2.0.45 でも残っており、 この patch を適用する必要がある。
ports/www/apache2 は 2.0.45 ベースになっています。
[RHSA-2003:139-01] Updated httpd packages fix security vulnerabilities.
関連情報と fix / patch を追加。
2002 年度分。 FIPS ものは NIST Computer Security: Federal Information Processing Standards (FIPS) (nist.gov) にあります。
これだけは、が、こんなにも (^^;;;;;)。
注意しましょう。
SNS Advisory No.62 Webmin/Usermin Session ID Spoofing Vulnerability "Episode 2"。 CVE, HP-UX fix。
CERT Advisory CA-2003-10 Integer overflow in Sun RPC XDR library routines。 HP-UX、Miracle Linux fix。
めも (2003.03.28)。追加: Turbolinux Security Advisory TLSA-2003-25 。
めも (2003.04.01)。 追加: [RHSA-2003:128-01] Updated Eye of GNOME packages fix vulnerability。
potential buffer overflow in lprm。 追加: [SECURITY] [DSA 275-1] New lpr-ppd packages fix local root exploit。
OpenSSL 穴 2 つ。 追加: [RHSA-2003:101-01] Updated OpenSSL packages fix vulnerabilities。
[damedame:235] [SECURITY] Samba 2.2.8 がリリースされました。 追加: [RHSA-2003:095-03] New samba packages fix security vulnerabilities。 RHSA-2003:095-03 で Red Hat 9 用が追加された。 Red Hat 9 では、US 用ディストリビューションにのみ問題が発生していたそうな。
IPA から FY14 なドキュメントがさらに公開されています。
あと、定例:
[memo:5713] HFNetChk XML DB [DataVersion = "1.0.1.471"]。 なんとかならないですかねえ。
「MSソフトは安全でない」——IT専門家の大半が懸念 (ZDNet)。
調査対象となった専門家のうち、77%がWindowsを利用する上で一番懸念していることはセキュリティだと回答した。
私もセキュリティを一番懸念するけど、 だからと言って「UNIX ならセキュリティは 2 番目だ」なんてことになるわけではないと思うのだがなあ。 しかし、残りの 23% は何を一番懸念しているんだろう。
「コロンビア」左翼異常、飛行中から…事故調 (読売)。
PGP 8.0.2 が登場しています。(info from What's new about PGP)
イラク民間人の犠牲者数を集計するウェブサイト (WIRED NEWS)。 Iraq Body Count の話。500 人前後の市民が亡くなっているようです。
バナー貼ってみました。JavaScript が必要です。
うわー、年度が変わったからか、エラーメールの山だ〜。
real.co.jp ってエロサイトだったのか……。
ディープリンク (直リンク) を禁止する apache モジュール、 mod_deny_deeplink (module.jp) が登場したそうです。
[WSJ] 「ナイジェリア詐欺」のイラク戦争版が登場 (ZDNet)。ダマされないように。
Gates氏の提唱によってマイクロソフトは果たしてセキュアになったのか? (INTERNET Watch)。 いまいちツッコミの甘い記事だなあ。せっかく 3 氏に話を聞いているんだから、もっと鋭い質問を……。JWNTUG Open Talk のように、「オフレコで……」が多かったのだろうか……。
NEWS HEADLINE 【レポート】Slammerが残したもの - 動き始めた日本のセキュリティ対策 (MYCOM PCWEB)。
この騒動を"他山の石"とした対策が、総務省を中心に現在、動き出しつつある。
要は総務省のパブ記事ってことですかねえ。現地調査については、 インターネット障害に関する韓国訪問調査の結果及び 今後のインターネット・セキュリティ対策の充実・強化 (総務省) がオフィシャルな情報のようです。どうせ聞くなら、Telecom-ISAC Japan ねたとか、もっとツッコんでほしいと思うのだが。
そういえば、Asia Pacific Security Incident Response Coordination Conference 2003 report はどうなっているんだろう > JPCERT/CC。 「それどころじゃない」のかなあ。
国民のための情報セキュリティサイト (総務省)。 せっかく小学生向けページとかあるのだから、対応ブラウザに対しては、 Ruby Annotation を使ってほしいところなのだが……。
Windows XP SP1が極端に遅くなるバグ (日経 IT Pro)。メモリの取得と開放を繰りかえすとアレになってしまうようで。
EVERYDAY PEOPLE さんによると、GO.JP やらるまくってます@確認中、だそうです。 ……4/1 ねた……だそうです。 担当者さんがたいへんな目にあっ (た|ている) ようです。匿名希望さん情報ありがとうございます。
OpenSSH 3.6 出たようです。 OpenSSH 3.6 released、日本語訳 (春山さん)。 portable 版ももちろん出ています。
レッドハット サポート & ドキュメント (redhat.co.jp)。 Red Hat Linux 6.2, 7.0 の Eratta 提供は終了した模様。
自爆攻撃に過剰反応? (中日)。「開放軍」のはずが、 いよいよベトナム化しつつありますね。
3月20日のアメリカ大使館前弾圧に抗議する声明 (naver.co.jp)。3/31 に開放されたようです。 12 日間拘束されていたんですね。おまけに、3/26 には家宅捜索まで行われていた模様。
アメリカ大使館に抗議に行く場合は、くれぐれも注意しましょう。
イラクゲリラ 手本は米映画 米誌が報道 「ブラックホーク・ダウン」 (西日本新聞, info from EVERYDAY PEOPLE)。これがあるから市街戦は恐いわけで。今回はモガディシオのときとは比較にならない規模の軍勢で攻めているわけだけど、攻め入る領域の広さも半端じゃないし。 もちろん US は、そんなことはわかった上で攻めているはずだけど。
米、反体制派排除の意向か 「フセイン後」構想で (asahi.com)。 そうら来た。利権が一番民主化二番。
米国防長官、「甘く見過ぎでは」と追及され防戦一方 (asahi.com)、 米国防長官と軍首脳「作戦で対立はない」、報道を否定 (読売)。 ラ ム ズ フ ェ ル ド 必 死 だ な。 まあ、ラムズフェルドのリップサービスをそのまま報道したマスメディアも同罪だと思いますけどねえ。
住宅着弾のミサイル、「破片に米企業の番号」 英紙報道 (asahi.com)。 なにしろ、サウジアラビアに着弾するような「精密誘導兵器」だしなあ。
米NBCテレビ、ピーター・アーネット記者との契約解除 (asahi.com)。 米国では、真実を報道すると解雇される模様。
アーネット記者、イラク戦反対の英紙が採用 (読売)。 捨てる紙あれば拾う紙あり。
米大統領批判で「放送禁止」、黒幕はラジオ会社? 米紙 (asahi.com)。 こんなネタばっかりだとはさすがすぎます、ミスター・プレジデント。
SINET 海外回線は上がったり下がったりしているようなので、 もうしばらく回避行動を実施してみよう。ようそろ。
[VulnWatch] CORE-2003-0304-03: Vulnerability in GNOME's Eye of Gnome
[RHSA-2003:128-01] Updated Eye of GNOME packages fix vulnerability
Solaris もの
NSFOCUS SA2003-02: Solaris lpq Stack Buffer Overflow Vulnerability
Solaris 2.5.1 〜 7 に弱点。2.6 / 7 には patch あり。 Sun official: 52443: Solaris Security Vulnerability due to a Buffer Overflow in lpq(1B)。
NSFOCUS SA2003-03: Solaris dtsession Heap Buffer Overflow Vulnerability
Solaris 2.5.1 〜 9 に弱点。2.6 〜 9 には patch あり。
Positive Technologies Security Advisory 2003-0307: DoS-attack in Kerio WinRoute Firewall
[VulnWatch] [DDI-1012] Malformed request causes denial of service in HP Instant TopTools
HTML 版:
text 版:
LAC 新井さんによる新連載。次回も rootkit 話が続くみたい。
第4回 rootkitを利用した侵入 (5/5) にあるように、クラッカーは侵入後に patch を適用してくれるかもしれないのでご注意。
RealNetworks の RealOne Player v1 / v2 (6.0.11.853 以前)、RealOne Player for OS X、RealPlayer 8、RealPlayer Plus 8、RealOne Enterprise Desktop に弱点。PNG ファイルの取りあつかいに問題があるため、heap 領域を変造することが可能となり、結果として任意のコードを実行可能。
fix 版があるので、RealNetworks、2003 年 3 月に RealOne Player および RealPlayer のセキュリティ脆弱性に対応するアップデートをリリース (real.com) から入手する。ただし、RealOne Desktop Manager / RealOne Enterprise Desktop 用 fix は来週になるそうだ。
RealPlayer、RealOne Playerにセキュリティ脆弱性〜アップデートで解決 (INTERNET Watch)
Windows 版 QuickTime Player 5.x および 6.0 に弱点。長大な URL をリクエストすることにより buffer overflow が発生するため、悪意ある web ページや HTML メールにより任意のコードを実行させることが可能となる。 QuickTime Player 6.1 で修正されているので入れかえる。……が、日本語版 QuickTime Player 6.1 for Windows はまだ存在しないようですね。
QuickTime 6.1 for Windows is available (apple.com)
古暮涼氏による日本語訳
CVE: CAN-2003-0168
Oracle のマニュアル「Oracle9iAS Containers for J2EE スタート・ガイド」に問題。「Oracle HTTPServer のバック・エンドでアクセスされるOC4J の設定」(p.15) のとおりに設定すると、Open Proxy サーバになってしまう。 そうさせないためには、ProxyRequests On は記述しないようにする。
たかはしさん情報ありがとうございます。
Windows XP で WPA (WIRED NEWS) に対応するようになったのだそうで。 アクセスポイント側の WPA 対応状況って、どうなっているんでしょう。もうちょっと先?
CERT Advisory CA-2003-12 Buffer Overflow in Sendmail。 OpenBSD, Red Hat Linux, Miracle Linux fix, Sun 情報追加。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
