Last modified: Fri Sep 21 12:28:41 2012 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Mozilla Japan,公開中止していたThunderbird 1.0 日本語版を再リリース (日経 IT Pro, 12/28)
》 TBSラジオ イベントで香田さん殺害ビデオ垂れ流し (gendai.net, 12/28)。
「KLACK」という無名の4人組バンドが演奏中に、ステージ背後の大型スクリーンに香田さんが首を切られて殺害されるシーンを延々と映し出したという。
コンサートで香田さん殺害映像 TBSがおわび (asahi.com, 12/28)
ステージの演出は各バンドに任せ、主催者は事前にチェックしていなかったという。
関連:
》 政府、韓日協定関連文書5件を来年1月公開 (中央日報, 12/28)、外交部、韓日条約締結の議事録公表へ (東亜日報, 12/29)。 関連: [aml 41584] 永久秘密裏?の日韓条約関連文書
》 死者7万人超す恐れ 被災者数百万人に スマトラ沖地震 (asahi.com, 12/28)
》 ウクライナ運輸相、遺体で発見 自殺か他殺か (asahi.com, 12/28)
》 平成17年度政府予算案(情報セキュリティ政策関連予算:経済産業省)の概要 (経済産業省, 12/27)
日本原燃は、ただただ年内にウラン試験を開始するということに固執した。今日のウラン試験開始とは、劣化ウランを保管区域から作業区域に移動させただけである。本格的な試験は来年以降になる。
》 Ms4Hdの対処法 − とことんタチが悪いです… (アダルトサイト被害対策の部屋)
》 2004年・著作権10大ニュース(1) (The Trembling of a Leaf, 12/27)
》 セキュアソフトウェア (日経 BP) を購入。 この本、原題は Exploiting Software: How to Break Code。実際、そういう内容の本。 Handler's Diary December 26th 2004 (SANS ISC) では「Book of the Year?」と紹介されています。
指摘された欠陥を利用した攻撃事例が発生しているようだ。
PHP を使ったページにおけるプログラミングエラーを攻略するワームが登場しているようです。PHP の Include() あるいは Require() を誤用したページを利用して繁殖しているようです。
PHP を利用している人は、今すぐそのような誤用がないかどうか確認し、また利用している PHP のバージョンを最新状態にアップデートすることが推奨されています。
関連: PHPを狙う新たなワームが出現,Webページのプログラム・ミスを突く (日経 IT Pro, 12/27)
》 iotrace 1.3 が出ています。userspace read()/write() logger daemon だそうです。
》 トレンドマイクロもの。ちいちゃんさん情報ありがとうございます。
》 RSA Validation Solution。ふぅん。
》 xprobe 0.2.1 が出たそうです。
》 オウルテック販売の一部の電源、配線ミスで回収中 (slashdot.jp, 12/26)。まるっきり逆ってアナタ……。午前 5 時ごろに小人さんがつくったんだろうか。
なんだかなあ。
》 書店の倒産、増加続く ネット書店・コンビニが影響か (asahi.com, 12/26)
》 上越新幹線: 「飛び上がり」脱線濃厚 再発防止へ解明進む (毎日, 12/27)
首相官邸 にも 防災情報のページ にも 国際緊急援助隊 活動報告 にも 外務省 にも何の情報もなさげだが。
》 BSE 除去マニュアル不徹底 (NHK, 12/26)
》 発信箱: 公安事件とメディアの分裂 山田孝男(編集局) (毎日, 12/27)。
》 ビラ配布の男性を不当逮捕 「官舎無罪判決」直後に 東京・葛飾 立ち会い認めず家宅捜索 (しんぶん赤旗, 12/25)。日本の警察はやっぱり暇らしい。
加賀さんから (ありがとうございます):
> 回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、
>なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の
>proxycfg.exe をダウンロードできるようにすべきだと思うのだが。つーか、自
>由にコピっていいんですか
私も「自由にコピってね!」に疑問を持っていたのでマイクロソフトに問い合わせをしてみました。
自由にコピっていいのかと、
http://www.microsoft.com/japan/legal/permission/t-mark/img-req4.htm
ここにメールで質問したところ、瞬殺
Windows Updateに関することなので、電話で問い合わせてみました。
http://support.microsoft.com/oas/default.aspx?gprid=6527
コピってOKという返事を貰うことができました。
コピることに関しては電話で問い合わせすればOKっぽいです。
NGSSoftware が詳細情報を公開した。
NGSSoftware が詳細情報を公開した。
Hat-Squad Advisory: Remote buffer overflow in Netcat TCP/IP Swiss Army Knife
[SECURITY] [DSA 618-1] New imlib packages fix arbitrary code execution。 imlib の CAN-2004-1025 (heap overflow) と CAN-2004-1026 (integer overflow) を直したそうです。
[SA13664] Snort TCP/IP Options Denial of Service Vulnerability 。Snort 2.2.x DoS 話。
iDEFENSE Security Advisory 12.21.04: Multiple Vendor xpdf PDF Viewer Buffer Overflow Vulnerability
xpdf 3.00pl2 で修正されている。 CVE: CAN-2004-1125。
xine 0.99.2 に 2 つの欠陥。
xine-lib 1-rc8 で修正されている。また patch (input/pnm.c 1.20-1.21) が利用できる。
CVE: CAN-2004-1138。
Vim 6.3.044 以前に欠陥。modeline が有効な場合に、local user が temcap や keymap などのオプションを通じて任意のコマンドを実行させることが可能。 Vim 6.3.045 で修正されている。
'File' Stack Overflow in Processing ELF Headers May Permit Arbitrary Code Execution。 file 4.11 以前に欠陥。ELF ヘッダの解釈において欠陥があり、任意のコードを実行可能。file 4.12 で修正されている。
MIT krb5 Security Advisory 2004-004: heap buffer overflow in libkadm5srv
1.3.5 以前の MIT Kerberos 5 administration library (libkadm5srv) に heap overflow する欠陥。CVE: CAN-2004-1189。 krb5-1.3.6 で修正されている。また patch が用意されている。
Sybase Adaptive Server Enterprise 12.5.2 vulnerabilities。 詳細は不明。Sybase ASE 12.5.3 で修正されているそうだ。
[SA13618] Citrix Metaframe XP Unspecified Buffer Overflow Vulnerability。 Metaframe XP 1.0 SP4 で修正されているそうだ。
squid 2.5.STABLE7 Patches: Confusing results on empty acl declarations。参照している ACL が空として定義されている場合に、ACL が変になるのかな。squid -k parse で設定ファイルをチェックするといいのかな。
iDEFENSE Security Advisory 12.21.04: Hewlett Packard HP-UX ftpd Remote Buffer Overflow Vulnerability。 HP-UX の ftpd は、起動オプションに -v をつけていると buffer overflow して root を取られるそうで。
ruby 方面で [ruby-dev:25241] net/https.rb and server identity (RFC2818) という話があるようです。 つづき: [ruby-dev:25254]
[PATCH] Crashes when parsing malformed directory listings from FTP server。 悪意ある ftp サーバで wget を crash させられるという話。 wget への patch つき。
netcat 1.11 for Windows is released (vulnwatch.org)。 Hat-Squad Advisory: Remote buffer overflow in Netcat TCP/IP Swiss Army Knife の fix。
Windows Media Player 9 に付属する Active X コントロールに欠陥があるため、攻略 web サーバから
できてしまう。この欠陥は Windows Media Player 10 で修正されているそうだ。
libtiff に 2 つの欠陥が発見されました。
iDEFENSE Security Advisory 12.21.04: libtiff Directory Entry Count Integer Overflow Vulnerability
tif_dirread.c および tif_fax3.c で heap overflow が発生、任意のコードを実行可能。 patch が添付されている。libtiff 3.7.1 で修正されている。 CVE: CAN-2004-1308
iDEFENSE Security Advisory 12.21.04: libtiff STRIPOFFSETS Integer Overflow Vulnerability
libtiff/tif_dirread.c で integer overflow が発生、任意のコードを実行可能。 libtiff 3.7.0 で修正されている。
圧縮ファイル解凍の脆弱性 (まっちゃ 139 hiki) が、SONY CLIE (Palm OS 5) 内蔵の CLIE Files にもあった模様。CLIE Files v.1.1.2 で修正されている。
高木さん情報ありがとうございます。
一部古いものもありますが……。
Linux 2.6 Kernel Capability LSM Module Local Privilege Elevation
POSIX Capability LSM モジュールが静的に組み込まれていない Linux 2.6.x において、Capability LSM モジュールが動的に読み込まれる (# modprobe capability) と、読み込まれるときに動作していた一般ユーザのプロセスが root 権限を取得できる、という指摘。
[SA13493] Linux Kernel "ip_options_get()" and "vc_resize()" Vulnerabilities
2.4.28 以前の Linux 2.4.x、2.6.9 以前の Linux 2.6.x において複数の欠陥があり、local user が DoS 攻撃を実施できる、のかな。 元ネタの http://www.guninski.com/where_do_you_want_billg_to_go_today_2.html に PoC コードが掲載されている。 Linux 2.6.10 で修正されていると思われる。
Linux kernel scm_send local DoS
2.4.28 以前の Linux 2.4.x、2.6.9 以前の Linux 2.6.x の socket 実装に欠陥があり、local user が DoS 攻撃を実施できる。PoC コードつき。 CVE: CAN-2004-1016
Linux kernel IGMP vulnerabilities
2.4.28 以前の Linux 2.4.x、2.6.9 以前の Linux 2.6.x の IGMP 実装に複数の欠陥があり、local / remote user が任意のコードを実施できる。PoC コードつき。 CVE: CAN-2004-1137
Advisory 14/2004: Linux 2.x smbfs multiple remote vulnerabilities
2.4.27 以前の Linux 2.4.x、2.6.9 以前の Linux 2.6.x の smbfs 実装に複数の欠陥があり、情報の漏曳や DoS、任意のコードの実行などが発生。 Linux 2.4.28 で修正されている。 CVE: CAN-2004-0883 CAN-2004-0949
Windows XP SP2 (IE 6.0 SP2) において、web ページにアクセスしただけで、全自動で攻略ファイルをユーザのスタートアップに保存させることが可能だ、という指摘。
対応方法として、.HTA ファイルの無効化 (関連づけの削除という意味か?)、IE におけるアクティブスクリプトの無効化、および IE を使わない (Mozilla / FireFox を使う)、が挙げられている。ActiveX の無効化も有効な気がするけど、記載されていない。
指摘された欠陥を利用した攻撃事例が発生しているようだ。
Qwik-Fix Pro Blocks XP SP2 Vulnerability (pivx.com, 2004.12.28)。ということで。
HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001) において、HTML ヘルプ ActiveX コントロール (Hhctrl.ocx / Whhctrl.ocx) については欠陥が修正されました。
xfocus の flashsky 氏が Windows の未修正の欠陥を 3 種類公開した。
Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability
対象: Windows NT 4.0 / 2000 / XP (gold / SP1 のみ) / Server 2003。 特殊な ANI ファイルを userland で読み込むと kernel が DoS 状態となる。
関連:
Microsoft Windows LoadImage API Integer Buffer overflow
対象: Windows NT 4.0 / 2000 / XP (gold / SP1 のみ) / Server 2003。 LoadImage API に integer overflow する欠陥があり、任意のコードを実行可能。
関連:
Microsoft Windows winhlp32.exe Heap Overflow Vulnerability
対象: Windows NT 4.0 / 2000 / XP / Server 2003。 winhlp32.exe における .hlp ファイルの処理において heap overflow する欠陥があるため、攻略 .hlp ファイルを利用して任意のコードを実行可能。
関連:
いずれについても http://www.xfocus.net/flashsky/icoExp/index.html で PoC コードが公開されている。
上記したように、最初の 2 つについては Windows XP SP2 は対象外となっている。 またシマンテックとマカフィーのアンチウイルスプロダクトでは対応される (予定) があるようだ。ある程度の防御にはなるだろう。
関連報道:
上記のうち、Microsoft Windows LoadImage API Integer Buffer overflow と Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability については MS05-002 で修正されているように思える。
他の exploit: [Full-Disclosure] Windows (XP SP2) Remote code execution with parameters。 About CMDExe (Command Execution) Remote code execution with parameters で解説されている。
》 IIJ技術陣:spamからメールを守れ(ユーザ編) (RBB TODAY)。
》 フィッシング詐欺で初の被害を確認、警察庁が対策を強化 (MYCOM PC WEB, 12/24)。元ネタ:
》 Windows Server 2003 Service Pack 1 Release Candidate (Microsoft) が出ています。 Microsoft Windows Server 2003 Service Pack 1 での機能の変更点 (Microsoft)。
》 防衛庁官舎ビラ無罪判決、検察側が控訴 (読売, 12/24)。日本の警察・検察って、こんなことを続けられるほど暇だと理解していいんですかね。現場の人の多くはとても忙しいと理解していたのですが、あまっているところはとてつもなくあまっているんですかね。
IE 6 SP1 / SP2 に欠陥。 img タグの src 属性に特殊な ftp:// URL を記述すると、web ページ読み込み時に任意のメールを送れてしまう。デモページに IE でアクセスすると、 ian-example@penguinhosting.net 宛にメールが送られるので注意。 手元で試した限りでは、IE 5.01 SP4 でも再現できた。
なお、マカフィー VirusScan Enterprise 8.0i がインストールされている環境では、 VSE 8.0i の「大量メール配信型ワームにメールを送信させない」機能によりメール送信が抑止された。同様の機能のあるセキュリティ製品 (パーソナルファイアウォールとか?) などを利用していれば抑止できるでしょう。
ヤマガタさんから (ありがとうございます):
◆[Full-Disclosure] Internet Explorer FTP client can be used to sendmail
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/12.html#20041224_IEFTP
の件ですが、新しい脆弱性ではなく、12月9日あたりに発表のあった、
◆Microsoft Internet Explorer FTP Command Injection Vulnerability (Secunia)
http://secunia.com/advisories/13404/
http://www.7a69ezine.org/node/view/168
http://yamagata.int21h.jp/d/?date=20041210#p03
の件の応用のようです。
ユーザ名 or パスワード or ディレクトリ名部分に含まれる改行コード(%0d%0a)をそのまま展開してしまうことが原因となります。←改行コードインジェクション
》 イラク治安悪化、米大手建設会社が復興事業から撤退 (読売, 12/23)
》 BSE: 米の食肉工場、防止策守らず 危険部位混入の恐れ−−検査官労組が警告書 (毎日, 12/22)。
F-Secure のものがいちばん読ませるように思うが、そういうものに限って日本語化されていないという……。
》 無線LAN 岐阜県庁でも半数のアクセスポイントで暗号化設定せず (毎日, 12/20)
》 日本:立川の平和運動家に対する無罪判決を歓迎 (アムネスティ, 12/17)
》 Virex 7.5 日本語版がようやく登場したそうです (info from McAfee Support Information - 2004/12/23 -)。 中身は 7.5.1 のようです。玉岡さん情報ありがとうございます。
More Virex problem reports (MacFixIt, 12/10)。つまり使えないということですか?
》 個人BLOGを敵に回したゲートキーパー (発熱地帯, 12/20)。いやはや。
》 デジタル証拠保全技術の課題はシステムの大規模化と人材不足 (Internet Watch, 12/22)。
「多くのインシデントは本格的な捜査に値しない程度のものであり、個々のインシデントに見合ったコストを考えないと費用の無駄遣いになる」とも述べ、何でもむやみやたらに調査するのではなく、費用対効果を考えて体制を組むことも重要だと語った。
》 885819 - ISA Server を実行するサーバーを経由して Windows Update V5 の Web サイトにアクセスするときにエラーが発生する (Microsoft)。
》 836500 - Exchange Server 5.5 における中継および迷惑な商用電子メール (Microsoft)。
》 839499 - ドメイン コントローラ上の Workstation サービスまたは Server サービスで SMB 署名を無効にすると、ファイル共有またはグループ ポリシー スナップインを開けない (Microsoft)。
》 シスコのセキュリティ技術「NAC」、新たにパートナー企業15社を獲得 (CNET, 12/22)。 NAC パートナー一覧: NETWORK ADMISSION CONTROL Current Participants。 Microsoft の Network Access Protection Partners と同じような、ちょっと違うような。
CAN-2004-1018 がなぜか REJECT されています。やまねさん情報ありがとうございます。
関連: IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険 (日経 IT Pro, 12/17)
891531 - Windows 2000 ベースのコンピュータにセキュリティ更新プログラム 885835 をインストールした後、Veritas Backup Exec 8.6 でスケジュールしたバックアップでエラーが発生し、アプリケーションイベント ID 57480 が出力される (Microsoft)。MS04-044 修正プログラム (KB885835) を適用した環境で、Veritas Backup Exec 8.6 がトラブることがある模様。Veritas Backup Exec 8.6 を更新せよ、と書かれている。
》 危険度の高いスパイウェア/アドウェアのワースト10発表--米対策ベンダ (CNET, 12/22)。CoolWebSearch については CWShredderによるCoolWebSearchの除去 (アダルトサイト被害対策の部屋) がよいでしょう。
》 F-Secure さん、 http://www.f-secure.co.jp/v-descs/v-descs3/*.htm という URL は意図したものですか?
》 迷惑メール検索エンジン/スパムメール対策エンジン バージョン3.0 公開のお知らせ (トレンドマイクロ, 12/21)。12/28 公開だそうです。
》 阻止率99%のスパム対策方式の研究報告 (浅見秀雄氏, 6/26)。DNS 逆引きがないか、あるいは「いかにも ISP 一般ユーザ」である場合は 450 を返し、ホワイトリストで許可したものを除いては拒否する話の模様。
》 phpBB を狙ったワーム (!) が登場しているらしい。
Analyst's Diary によると、対応方法は、howdark.com exploits - follow up (phpBB) に示された修正を行うこと、らしい。
……phpBB 2.0.11 で修正されたようです。 Vulnerability Note VU#497400: phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter にまとめたので、そちらを。
》 モスルの米基地で爆発、22人死亡 武装勢力が犯行声明 (asahi.com, 12/21)
このままではJVNは役に立たない (高木浩光@自宅の日記, 12/19)。 鶴亀メールの S/MIME まわりにはさらなる欠陥があり、4.00 版で修正された (「S/MIME電子署名の検証関係での脆弱性のバグ対応」) のだが、 そのことが JVN の記述からはわからない、という指摘。
Windows XP SP2 の「Windows セキュリティの重要な警告」画面では「プログラムアイコン」「名前」「発行元」しか表示されないため、これらを許可されているであろうプログラムと同じにすることにより、利用者の目を欺くことが可能、という指摘。
詳細記事: [Windows セキュリティの重要な警告] 画面を悪用した偽装について (penetration technique research site, 2005.01.03)。
名前の部分にカーソルを置いて数秒待つと、実行されたプログラムのフルパスとファイル名が表示されるので、[Windows セキュリティの重要な警告] 画面を悪用した偽装を見破るときに役立つ情報として覚えておいていただきたい。
どこかのレジストリをいじると最初から表示されたりするとうれしいのだけどなあ。
Mozilla Firefox 1.0 / Mozilla 1.7.x / Opera 7.51〜7.54 に欠陥。 HTML ファイルを Content-Type: text/html. (ドットつき) で受けると、 これらのブラウザでは「open, save, cancel」のダイアログが開く。ここで open を選択してしまうと、HTML ファイルを local context で解釈してしまう。 これにより、HTML ファイルに含まれる JavaScript が local context で実行されてしまい、ローカルファイルを盗み読むなどの攻撃が可能となる。 PoC コードつき。
MSIE DHTML Edit Control Cross Site Scripting Vulnerability (bugtraq, Wed, 15 Dec 2004 17:01:33 +0900) の話。 IE 6 の DHTML Edit ActiveX コントロールにクロスサイトスクリプティング欠陥があるため、web サイトは本来のコンテンツに対して任意の JavaScript を挿入できる。これを利用すると、本来はできないはずのアドレスバーの URL 詐称や SSL 鍵アイコンの詐称などが可能となる。
修正プログラムはまだ存在しない。回避方法としては、ActiveX を無効とする。 また Windows XP SP2 では、次の手順で DHTML Edit ActiveX コントロールだけを無効にできる。
関連:
デモサイト:
関連: IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険 (日経 IT Pro, 12/17)
MS05-013 で修正されている。 CVE: CAN-2004-1319
phpBB 2.0.10 以前に欠陥。 viewtopic.php の highlight パラメータに対する除染が不完全なため、これを利用すると remote から任意のコードを実行したり、phpBB の管理者権限を奪取したりすることが可能。 関連: Database passwords is open. Passthru() is available. (phpBB.com :: Security Tracker - Final Report)。
phpBB 2.0.11 で修正されている。 また howdark.com exploits - follow up (phpBB) で示されている修正を施してもよい。
この欠陥を狙ったワーム "Santy" が登場している。
なお、phpBB 2.0.11 では他にも XSS in username field for privmsg.php や XSpider 7 reports vunerabilitt、 phpBB Attachment Mod Directory Traversal HTTP POST Injection が修正されているそうだ。
関連:
》 絵でみるセキュリティ情報のトップページを更新します (日本のセキュリティチームの Blog, 12/21)。「今日から萌えます!!」とかかと思って期待したら、違った……。
》 読者の意見に答える──「心の病の悲惨な実態」について (日経 IT Pro, 12/12)
》 マイクロソフト、パートナー各社と共同開発したWindows Server 2003のサポート効率をあげる「Support Tools for Microsoft Operating Systems」最新版の開発を完了 (Microsoft, 12/21)。フォレンジック的にもうれしいかも。
》 日本も海洋調査船建造へ、中国に対抗 来年度予算案で (asahi.com, 12/15)。というか、今まで持ってなかったわけ?
》 ISPの「安全・安心マーク」、個人情報保護の観点から審査基準を改訂 (Internet Watch, 12/15)
》 ル・モンド・ディプロマティーク 日本語・電子版 2004.11 から:
》 ネットと衛星写真を使った「監視」ツール (WIRED NEWS, 12/1)。民間技術でもここまでできる、と。
》 東大 学生証にICカード導入 決済も可能 (毎日, 12/13)。
東京三菱銀行グループのDCカードとNTTコミュニケーションズとの共同プロジェクト。
カード屋がからむと安く済むという話は聞いた事があります。
ICカードによる口座引き落としも進める。(中略) NTTコムのICカード向けインターネット認証サービス「セーフティパス」により、学内ネットへのアクセスする場合は、パスワードよりも安全性が高まるという。
こういう多機能カードを運用すると、盗難時・情報漏曳時のリスクは逆に増えると思うのですけどね。
》 情報漏えい対策だけで安心していませんか? (日経 IT Pro, 12/13)。
》 [aml 42176] ●作戦計画5055(日米)と5027(米韓)。まあ、何の計画もない方が、軍隊としてはむしろ不健全だろうとは思いますが。
》 個人向けホスティングサービス向けにメールウイルスチェック機能の無償提供開始 (さくらインターネット, 12/21)。F-Secure だそうです。
》 第03回まっちゃ139勉強会 (まっちゃだいふくの日記★とれんどふりーく★)。 2005.02.19 (土)、1500 円くらいだそうで。まだ何するか決まっていないっぽい。
》 トレンドマイクロ、MSN Hotmailユーザにウイルス対策技術を提供開始 (トレンドマイクロ, 12/20)。 Hotmailの機能強化、ウイルスメール駆除機能を無料で提供、容量も250MBに (Internet Watch, 6/24) では「ウイルスメールを駆除するプログラムには、マカフィを利用している」とされていますが、トレンドマイクロに乗りかえたようですね。
ちなみに 日本ネットワークアソシエイツが、MSNを通じてブロードバンドユーザに包括的な安全策とセキュリティ機能を提供 (マカフィー, 4/22) というのもあるようですが、これは継続なのかなあ。
古いねたもありますが……。
NetBSD Security Advisory 2004-010: Insufficient argument validation in compat code。NetBSD 1.6.2 以前が該当。 最新の NetBSD 2.0 にはこの欠陥はない。
DJB's students release 44 *nix software vulnerability advisories (bugtraq)。 欠陥あり: abc2midi, abc2mtex, abcm2ps, abcpp, abctab2ps, asp2php, bsb2ppm, chbg, Convex 3D, csv2xml, CUPS, dxfscope, elm/bolthole filter, greed, html2hdml, IglooFTP, jcabc2ps, jpegtoavi, junkie, LinPopUp, Mesh Viewer, mpg123, MPlayer, NapShare, NASM, o3read, pgn2web, qwik-smtpd, ringtonetools, rtf2latex2e, tnftp, uml-utilities, unrtf, vb2c, vilistextum, xine-lib, xlreader, Yanf
[VulnWatch] Veritas BackupExec Agent vulnerability。
関連: iDEFENSE Security Advisory 12.16.04: Veritas Backup Exec Agent Browser Registration Request Buffer Overflow Vulnerability。 CVE: CAN-2004-1172
MPlayer 関連
iDEFENSE Security Advisory 12.14.04 - Adobe Acrobat Reader 5.0.9 mailListIsPdf() Buffer Overflow Vulnerability。 UNIX 版 Acrobat Reader 5.0.9 に buffer overflow する欠陥、攻略 PDF ファイルにより任意のコードを実行される。UNIX 版 Acrobat Reader 5.0.10 で修正されている。 CVE: CAN-2004-1152
関連: Acrobat Reader 5.0.10 for UNIX addresses potential security vulnerability (adobe)
XSS 話
いずれも既に fix されている。他の人も、同様事例にひっかからないよう気をつけましょう。
Multiple problems in Ethereal versions 0.9.0 to 0.10.7 (ethereal.com)。 0.10.8 で修正されているそうです。
CISCO ねた
どっちもデフォルトパスワード話。
KDE ねた
Government Uses Color Laser Printer Technology to Track Documents (PC World, 11/22)
According to experts, several printer companies quietly encode the serial number and the manufacturing code of their color laser printers and color copiers on every document those machines produce. Governments, including the United States, already use the hidden markings to track counterfeiters.
誰か見つけてみてください。
Google Desktop Search 関連:
iDEFENSE Security Advisory 12.15.04: Computer Associates eTrust EZ Antivirus Insecure File Permission Vulnerability。 CVE: CAN-2004-1149
[CAN-2004-1022] Insecure Credential Storage on Kerio Software。 Kerio WinRoute Firewall / ServerFirewall / MailServer が該当。 Kerio WinRoute Firewall 6.0.9 / ServerFirewall 1.0.1 / MailServer 6.0.5 で修正されている。 CVE: CAN-2004-1022
Veritas BackupExec Agent vulnerability の exploit が登場し、なにやらさわがしくなっている模様。
ポート番号を変えるには、255498 - How to change the port that Network Data Management Protocol uses in VERITAS Backup Exec 9.x for Windows Servers (Veritas) を参照するとよいらしい。でもまずは、patch あてましょう。
J273419: Backup Exec 8.x および 9.x におけるスタック上のバッファ オーバーフローに対する脆弱性を利用し、遠隔地から不正に任意のコードが実行される危険性について (VERITAS)。
》 米Mozilla Foundation、Firefox 1.0の元になった「Mozilla 1.7.5」 (Internet Watch, 12/20)。
》 今回のメール配信に関して (山梨県立科学館, 12/16)。Cc: ねた。時田さん情報ありがとうございます。
今後の対策
・スターメールの配信を停止します。
・配信の手順を再確認し、送信方法及びマニュアルを点検・修正します。
・今後、配信を再開する際には、マニュアルを徹底し、二重三重のチェック体制を整えた上で行ないます。
手順どうこうじゃなくって、Bcc: で送る、というのをやめましょう。
》 警察庁 DNA型をデータベース化 運用を開始 (毎日, 12/17)。「容疑者」の名の下に、なんでもかんでもつっこまれる予感。
システムは都道府県警とつながっておらず、データベースにアクセスできるのは同庁犯罪鑑識官が指定した管理責任者と捜査担当者の2人だけ。
管理責任者と捜査担当者を認証する方法は? それがザルなら意味なさげ。 多重生体認証を使い、物理的にも同時に一人しか通り抜けできないようになっている、専用の機密防護室を用意するくらいなら多少は納得できるが。
》 西武鉄道: 取締役会は7年開かれず 堤氏の支配下で常態化 (毎日, 12/19)。 コンプライアンスという概念は全く存在しなかったのですか。
》 「コンプライアンス (compliance) とは何か」 (平野一成氏, 12/14)。平野氏が問題にしているのはコンプライアンス (法令遵守) というよりは倫理の範疇だろうとは思うが、この話が本当だとしたら、ヤマト運輸、すごすぎる。火に油を注ぐ、というのはこういうことを言うのだろうなあ。 この話が本当だとしたら、俺的にはもうヤマトは使えない。
インフラを支配しているのだから、その事実を「有効活用」するのはむしろあたりまえなわけですし、インフラ利用者側から見たときに「別の選択肢」が必要な理由でもあるわけで。
GNU wget 1.8.x / 1.9.x に複数の欠陥。
HTTP リダイレクトされる状況において、 既存ファイルを上書きするような状況が発生しても、無言で上書きしてしまう。
HTTP リダイレクトされる状況において .. バグがあり、悪意ある web サイトが任意の位置にファイルを作成できてしまう。 PoC コードを見る限りでは、Location: ヘッダに対する除染が不十分なようだ。
HTTP レスポンス中に記述された制御文字が除染されないまま端末に表示されてしまう。Debian bug #261755 参照。
既存ファイルを上書きする場合に、それがシンボリックリンクであるか否かを検査しないため、シンボリックリンク攻撃を受ける。
Acrobatの脆弱性修正パッチがリリース (slashdot.jp) に貴重な情報が。
MacOS X対応版は、6.0.3が一旦リリースされて取り下げられた後、6.0.3a [adobe.com]がリリースされてい (slashdot.jp) るそうです。 Adobe Reader 6.0.3a update - English, Japanese (adobe) から。 既に Adobe Reader 6.0.3 をインストールしてしまった人は、 何もしなくていいそうです。
The problem with the 6.0.3 update affected Adobe Acrobat only, not Adobe Reader.
Acrobat な人は↓を適用しましょう。
Reader ではない Acrobat のアップデートのありか (slashdot.jp) はこちらだそうです:
関連:
php unserialize。 unserialize() 欠陥に関する PoC コードつき。
PHP Input Validation Vulnerabilities。 magic_quotes_gpc が On の場合 (既定値: On) に、 addslashes() が入力値に含まれる NULL や ' に対して \ をつけるが、この \ がパス区切りとして解釈されるような環境 (Microsoft Windows) で予期しない状況が発生する。
PHP Multiple Vulnerabilities (secunia)
》 Eyeballing the Iraq Kill and Maim Zone (cryptome)。 Eyeballing the Iraq Maim Zone - 18 Dec 04 - 2 (cryptme) には、いつぞやの DAYS JAPAN の表紙写真の少女のその後も。 (typo fixed: 高橋さん感謝)
》 SONYゲートキーパーに関するメモ(04/12/18) (Perape(新館))。 いやはや。 「腐ってやがる、早過ぎたんだ」by クロトワ (忍之閻魔帳, 12/16)。いやはや。
》 【ウイルス】F-Secureってどうよ?【対策】#106 (2ch.net)。 今では F-Prot はなくなって、AVP (KAV) / Libra / Orion の 3 エンジンですね。 ちなみに、手元の F-Secure AntiVirus Linux 版 4.61 で MyDoom-F を検査してみると、AVP と Orion しか反応しなかったり。Libra エンジンは役割が違ったりするのかなあ。
どうも AVP というとこっちが連想されてあれだなあ。
》 ウイルスバスター2005 インターネット セキュリティ プログラムバージョン 12.10 公開のお知らせ (トレンドマイクロ, 12/16)。12/21 公開だそうです。 そろそろ 2005 にしても大丈夫かなあ。
》 スキャンエンジン4400がコンシューマー製品向けにリリースされました (マカフィー, 12/16)。
PHP 4.3.9 以前 / 5.0.2 以前に複数の重大な欠陥。
CAN-2004-1018: pack(), unpack() において、integer overflow に起因する heap overflow が発生。remote から任意のコードを実行可能。
CAN-2004-1019: unserialize() に欠陥。 unserialize() に渡す引数を細工することにより異常なメモリ状態を実現させることができ、結果として任意のコードを実行可能、ということかなあ。 この unserialize() の欠陥は phpBB2 など多くの PHP スクリプトに影響する、とされている。
CAN-2004-1063: マルチスレッドな PHP 環境では safe_mode_exec_dir による制限が回避されてしまう。
CAN-2004-1064: OS における realpath() の実装に起因して、 本来排除されるべきパス名が許可されてしまう。
PHP 4.3.10 / 5.0.3 で修正されている。 PHP 4.3.10 Release Announcement にも「This is a maintenance release that in addition to over 30 non-critical bug fixes addresses several very serious security issues」 とありますので、早期にアップデートしませう。 ただし、PHP 4.3.10, 5.0.3リリース (slashdot.jp) にはアップデートによる Zend Optimizer の不具合も報告されているので注意されたい。最新の Zend Optimizer なら大丈夫だそうだ。
今回の欠陥は Hardened-PHP の開発中に発見されたのだそうだ。from documentation:
Hardened-PHP provides: + Protection of the Zend Memory Manager with canaries + Protection of Zend Linked Lists with canaries + Protection against internal format string exploits + Protection against arbitrary code inclusion + Syslog logging of attackers IP
関連:
php unserialize。 unserialize() 欠陥に関する PoC コードつき。
PHP Input Validation Vulnerabilities。 magic_quotes_gpc が On の場合 (既定値: On) に、 addslashes() が入力値に含まれる NULL や ' に対して \ をつけるが、この \ がパス区切りとして解釈されるような環境 (Microsoft Windows) で予期しない状況が発生する。
PHP Multiple Vulnerabilities (secunia)
CAN-2004-1018 がなぜか REJECT されています。やまねさん情報ありがとうございます。
》 ドコモ,IBM,Intelの3社が提唱 突如浮上したセキュア携帯機器規約 (日経 IT Pro, 12/17)。
》 非 IT Pro との接触 (日本のセキュリティチームの Blog, 12/16)。by 奥天師匠。
実はこの授業で使ったコンテンツなどはそのまま高校の授業でご使用いただけます。
どこかで公開されていたりするのかしらん。
》 京都 鳥インフルで感染の疑い (NHK, 12/17)。そうだったのか。
》 本人所持を義務化 違反で回線停止--規制法 (毎日, 12/16)。規制法 (案) って書かナイト。
》 改正道交法 運転中の携帯検挙2万件 警察庁発表 (毎日, 12/16)。すごいなあ。
》 LIDS 2.2.1pre1 for kernel 2.6.9 が出たそうです。
》 災害対策 1200kmの遠隔ミラーリング実証 新しい伝送方式採用 (毎日, 12/16)。FC over SONET だそうです。
》 インターネット上の新たな脅威「ボット(bot)」に気をつけろ! (上)、(下) (日経 IT Pro, 12/15〜16)。
どう対処すればよいか。専門家の答えは一致していた。「通常のセキュリティ対策を施す」。(中略) 特に,ボットの場合には「不要なポートはふさぐ」,すなわち,不要な通信を遮断することが重要であるという。「たとえマシンに侵入されても,攻撃者からの命令をブロックすれば,ボットは動作しない。ファイアウオール/パーソナル・ファイアウオールを適切に利用することが大切だ」(トレンドマイクロの岡本氏)。
》 怒涛のように続々登場するスパイウエア対策ソフト (日経 IT Pro, 12/16)。いろいろあるんですね。
》 ウイルスの脅威から端末を守る【前編】 携帯電話のセキュリティを知る(その5) (日経 BP, 12/16)。FOMA 901i のアンチウイルス機能話。
》 米Microsoftがスパイウエア対策ソフト企業を買収,Windows用ツール提供へ (日経 IT Pro, 12/17)。へぇ〜。
MSが買収したスパイウェア対策ソフトに法的疑問 (ITmedia, 12/17)。へぇ〜。
》 SoftEther VPN 2.0 ベータ版 (softether.com) が登場しています。認証まわりの強化がうれしそう。
》 一度発見も消失、外国で回収、航空荷物の「偽爆弾」探知訓練 (CNN, 12/16)。訓練なので、これを教訓に手法などを改めればいいのですが。
》 カジノ監視カメラで女性の「一部姿態」を収録、罰金 (CNN, 12/16)。氷山の一角なんだろうなあ。
》 振り込め詐欺急増で知能犯37%増…平成で最悪 (読売, 12/17)。関連: 振り込め詐欺(恐喝)の防犯対策 (警察庁, 12/16)。
》 上越新幹線、レールが車輪と部品の間にはまり転覆せず (読売, 12/16)
排障器取付治具は上越新幹線では先頭と最後尾の2両にしか設置されていなかった。調査団は、部品が脱線後の被害軽減に効果を発揮していることから、「レール逸脱の防止機能を強化し、必要ならこの部品を他の車両にも増設すべき」と検討を求めた。
オリジナル: 平成 16 年 新潟県中越地震 社会基盤システムの被害等に関する総合調査 「調査結果と緊急提言」 I 報告・提言編 (土木学会・第二次調査団, 2004.12.10)。新幹線話は 3.3 項 (p.24)。 「I 報告・提言編」に続いて「II 記録・資料編」が 12/21 に登場する予定のようです。 記録・資料編は GIS とリンクしているそうです。
》 米ミサイル迎撃再実験、早くても来春 配備宣言遅れ示唆 (asahi.com, 12/16)。Goodbye MD。
samba-jp ML の [samba-jp:17427][samba-jp:17428][samba-jp:17431][samba-jp:17432][samba-jp:17439] を総合すると、
においては、 samba 2.2.x 日本語版のごみ箱機能がうまく動かなくなる模様。 samba 3.x のごみ箱機能 (recycle VFS モジュールを利用する方法) だと問題ない模様。
proxy.pac を利用してプロキシを自動設定している環境では、proxycfg -u に失敗するそうです。上原先生情報ありがとうございます。
上原先生は .reg ファイルを用意されたようですが、proxycfg を実行するバッチファイルを用意するという手もあるでしょう。
……千葉さんから (情報ありがとうございます)
弊社では「proxy.pac」を利用して、urlにより社内社外を振り分けています。 WindowsUpdate時は、専用のproxyサーバ(delegate)に向かうようにしています。
XP-SP2適用後、WindowsUpdateができない端末が出てきました。
その動きを見てみると、端末でUpdate操作をした際、社内DNSにwpadの名前解決を実施しにきていました。IEで設定しているproxy.pacを無視して、wpadを探しているようです。 IEの「設定を自動的に検出する」にチェックしていなくてもwpadを探しています。
そこで、社内DNSにwpadサーバ(proxy.pacが置いてあるサーバ)のIPアドレスを記述し、proxy.pacと同じ内容をwpad.datというファイルで作成して、proxy.pacがあるディレクトリ配下に配置することで、WindowsUpdateができるようになりました。
ということで、ユーザ側の端末設定は変えずに、今のところ運用できています。
samba 2.x 系列および 3.0.9 以前の 3.x 系列に欠陥。 smbd に interger overflow する欠陥があり heap 破壊が発生するため、remote から smbd 動作権限 (通常 root) を奪取可能。 CVE: CAN-2004-1154
samba 3.0.9 用の patch が配布されている。また samba 3.0.10 で修正されている。なお、samba 2.x 系列はもはや保守されていないので注意されたい。
関連: iDEFENSE Security Advisory 12.16.04: Samba smbd Security Descriptor Integer Overflow Vulnerability
Windows XP SP2 に付属する Windows ファイアウォールの「例外」において適用範囲 (スコープ) を「ユーザーのネットワーク (サブネット) のみ」とした場合に、ダイアルアップ接続を行うと、その範囲が「インターネット全体」と等価になってしまうことがあるそうな。
一部のダイヤルアップ用ソフトウェアがルーティング テーブルを構成する方法が原因
だそうだ。修正プログラムを適用すると、
Windows ファイアウォールで、ダイヤルアップ ネットワーク接続がローカル サブネット上にあると解釈されなくなります。具体的には、IP アドレスが 0.0.0.0 でマスクが 0.0.0.0 の IP ルート テーブルのエントリはすべて、ローカル サブネットと解釈されなくなります。
だそうだ。さらに、
サブネットは、接続先のネットワークによって大きく異なります。そのため、"ユーザーのネットワーク (サブネット) のみ" のスコープの制限を使用しても、セキュリティが保証されるものではありません。不要な着信トラフィックがファイアウォールの例外を通過できないようにするには、カスタムのスコープオプションを使用することを強くお勧めします。
だそうだ。まあ確かに、ダイアルアップ接続というのはそういうものかもしれず。
田仲さん、関さん情報ありがとうございます。
関連: XP SP2でAir H"やFOMA端末利用時に共有フォルダが外部公開される脆弱性が存在 (窓の杜, 2004.12.17)。そういう表現の方がわかりやすいですね、確かに。
Outlook Express 5.5 / 6.0 系列に Bcc: が漏曳してしまう欠陥がある模様。
patch があるので適用すればよいのですが、「重要な更新と Service Pack」には分類されていないので、SUS / 自動更新経由では適用できないんですよね。 手動で Windows Update に接続しなければなりません。 proxy 環境で Windows XP SP2 を利用している場合は、 proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない の件にご注意を。
いずれも同じデータ (最大 86,000 件) の一部の模様。 2004/12/13 から:
当該データは2003年3月時点のデータであり、恐喝未遂事件の犯人がデータを引き出したとされる2003年6月と 2004年1月とは時期が違っていること、また、当時持ち込まれた情報とはデータの特徴が一致しないことから、恐喝未遂と同じデータとは考えられません。しかし、2003年6月と2004年1月に当社のデータベースに不正アクセスした犯人及び協力者が、事前に当時と同じ手口(他人のアカウントとパスワード使用)で部門サーバにアクセスし、予備テスト的に情報を引き出した可能性があると考えております。
》 電動車いすの駅乗り入れ認めよ…JR東海に異例の勧告 (読売, 12/16)。あいかわらず殿様商売ですなあ、JR 東海は。
》 高校入試問題入りFD盗難、作成教諭が車上荒らし被害 (読売, 12/16)。
》 米人権擁護機関: 米兵のイラク人虐待、一覧を公表 (毎日, 12/16)。
》 ユシチェンコ氏の血中ダイオキシン、通常の6000倍か (CNN, 12/16)。すごいなあ。
こんなのも: 副大統領の食事の中に「猛毒物質」か、インドネシア (CNN, 12/16)。こちらは砒素だそうです。
当然の判決。
》 500円玉大の無線ネット端末開発 微弱電波で接続 (asahi.com, 12/16)。
小さいが一つの独立したコンピューターで、最長60年程度動作可能という。様々なものにコンピューターが組み込まれてネットにつながり、生活が便利になるという「ユビキタス社会」に一歩近づく技術だ。
誰の生活が便利になるんだろう。スパイ? ストーカー?
今日は SECURE SYSTEM Training Tour 2004 の Windows XP Service Pack 2 for IT Professional を受講する予定だったのだが、サーバトラブル対応のため断念。(T_T)
》 マイクロソフト、Windows Server 2003 SP1日本語版RCの配布開始 (Enterprise Watch, 12/15)
》 インターネット セキュリティ システムズ、アンチウィルスソフトのシグネチャやパターンファイル更新の前に既知・未知のウィルスを駆除する次世代VPS搭載「Proventia Desktop」を発表 (ISSKK, 12/15)。1 個売りはしないってことかなあ。
》 F-Secure Corporation's Data Security Summary for 2004 (f-secure.com)
》 ssh を SOCKS proxy として使う (ねぎ式, 12/11 (info from リンクとか備忘録とか日記とか))。うぉぉぉッ、そんな便利な機能があったとは。知りませんでした。つーかマニュアル読め > 俺。 この機能、PuTTY にもちゃんとありますね。
商用 Windows 用 X サーバ X-Deep/32 が無料になってた (ねぎ式, 12/7) も要注目だなあ。
》 2004 年 12 月のセキュリティ情報 (Microsoft)。 今日の定期アップデートで重要 x 5 が出ました。 EEYEB-20040802-C の fix は、含まれていなかったようです……。
》 年末年始警報: メールの添付ファイルやフィッシングにご用心 セキュリティホールの解消も必須 (IPA, 12/14)。
●何故この時期が危ないの?
世界的にクリスマスの時期は、お楽しみメールとして添付ファイル付きのメールがやりとりされることが多くなります。それらの中にウイルス付きのメールが紛れ込んだとしても気が付きにくく、ついうっかり添付ファイルを開いてしまい感染被害に遭う可能性が高いです。
さっそく来てますし: 多言語を使い分ける「Zafi.D」ワーム、クリスマスカード装い拡散 (ITmedia, 12/15)。
》 「電子投票機の集計結果を操作するコードを作成」と告発(上) (WIRED NEWS, 12/14)。キターーー。
》 加Nortel,米Microsoftのネットワーク・セキュリティ技術「NAP」をサポート (日経 IT Pro, 12/14)。Foundry は? と思ったら、Foundry も 7 月に発表してました: Foundry Announces Support for Network Access Protection Technology From Microsoft to Enable End-to-End Network Security (foundrynet.com, 7/20)。
パートナー一覧: Microsoft Windows Server 2003: Network Access Protection Partners (Microsoft)。
メールの整理をしていたら、2004.11.01 の時点で、藤井さんからこの件についての情報が来てきたことに気がついた orz。すんません。_o_
Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 WordPad が利用する Word for Windows 6.0 コンバータに複数の buffer overflow する欠陥があり、任意のコードを実行可能。 CVE: CAN-2004-0571 CAN-2004-0901
修正プログラムが公開されているので適用すればよい。
Windows NT 4.0 Server に欠陥。DHCP サービスにおけるパケットの検証において複数の buffer overflow する欠陥があり、DHCP サービスがいかなるリクエストに対しても無反応になってしまったり、remote から DHCP サービス権限 (local SYSTEM?) で任意のコードを実行されたりする。 CVE: CAN-2004-0899 CAN-2004-0900
修正プログラムが公開されているので適用すればよい。
Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 ハイパーターミナルに buffer overflow する欠陥があり、攻略 telnet: URI や攻略 ハイパーターミナルセッション ファイル (.ht) によって任意のコードを実行させられる。 CVE: CAN-2004-0568
修正プログラムが公開されているので適用すればよい。
Windows NT 4.0 / 2000 / XP / Server 2003 に複数の欠陥。
LPC (Local Procedure Call) インターフェイスに buffer overflow する欠陥があり、local user が SYSTEM 権限を取得できる。 CVE: CAN-2004-0893
LSASS (Local Security Authority Subsystem Service) における ID トークンの検証が不十分なため、local user が SYSTEM 権限を取得できる。 CVE: CAN-2004-0894
修正プログラムが公開されているので適用すればよい。
samba-jp ML の [samba-jp:17427][samba-jp:17428][samba-jp:17431][samba-jp:17432][samba-jp:17439] を総合すると、
においては、 samba 2.2.xx 日本語版のごみ箱機能がうまく動かなくなる模様。 samba 3.x のごみ箱機能 (recycle VFS モジュールを利用する方法) だと問題ない模様。
891531 - Windows 2000 ベースのコンピュータにセキュリティ更新プログラム 885835 をインストールした後、Veritas Backup Exec 8.6 でスケジュールしたバックアップでエラーが発生し、アプリケーションイベント ID 57480 が出力される (Microsoft)。MS04-044 修正プログラム (KB885835) を適用した環境で、Veritas Backup Exec 8.6 がトラブることがある模様。Veritas Backup Exec 8.6 を更新せよ、と書かれている。
Windows NT 4.0 Server / 2000 Server / Server 2003 に欠陥。 WINS サービスに複数の欠陥がある。
WINS サービスにおけるコンピュータ名の検証方法に欠陥があり、攻略パケットを送ることにより、remote から WINS サービス権限 (local SYSTEM) で任意のコードを実行可能。 CVE: CAN-2004-0567
WINS サービスにおけるアソシエーションコンテキスト (WINS 複製パートナーに関する接続情報を保存するためのデータ構造) のデータ検証方法に欠陥があり、攻略パケットを送ることにより、remote から WINS サービス権限 (local SYSTEM) で任意のコードを実行可能。 Internet Security Systems Protection Alert: Microsoft WINS Server Vulnerability の件。 CVE: CAN-2004-1080
修正プログラムが公開されているので適用すればよい。
みなさん、patch あてましたよね?
Handler's Diary January 3rd 2005 (SANS ISC)。2004.12.31 に exploit が登場して以来、42/tcp へのアクセスが増加しているそうです。
Microsoft WINS Remote Code Execution Exploit (MS04-045) (k-otik.com, 2004.12.31)。Windows 2000 SP3 / SP4 全言語対応、とされています。
namazu 2.0.13 以前に欠陥。タブ(%09) から始まる検索文字列によって namazu.cgi でクロスサイトスクリプティング欠陥が発生。
namazu 2.0.14 で修正されている。また タブ(%09) から始まる検索文字列による問題 に欠陥回避用のスクリプトが提示されている。
》 裁判 (極楽せきゅあ日記, 12/14)。「落としました」ってやつですか……。
関連: 管理者が想定していないアクセスは不正? ACCS裁判 (ITmedia, 12/14)。
今回の公判では、検察・弁護双方が法律的な意見書を提出する予定だったが、双方とも準備が間に合わず、次回にまわされた。青柳裁判長は「法的見解の提出は必要不可欠ではないが、こういった事件の場合は聞きたい」とし、同裁判の法的意義を重視する姿勢を示した。
次回公判は1月24日。法律的な見解をそれぞれが提示した上で、論告弁論を行う。
》 VSE 8.0i: Windowsのデフラグを実行すると、フロッピーディスクドライブ(FDD)のLEDが常に点灯した状態になります (マカフィー)。 バッファ オーバーフロー保護が有効な状態でデフラグするとそうなることがあるそうです。
》 トレンドマイクロのパターン 2.293.00 で誤検知が発生しているそうです。ちいちゃんさんから (ありがとうございます):
本日公開されたウイルスバスターのパターン2.293で全検索すると C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_8086&DEV_2446&SUBSYS_80DF104D\uninst.EXE がTROJ_CIH.CORRUPTと検知されます。
私の会社では該当がソニーのXPのパソコンでFXなどがひっかかりその他の何万台ってパソコンはソニーでなかったので助かりました。
……オフィシャル情報出ました: パターンファイル 2.293.00 における誤警告情報 (トレンドマイクロ)
》 一般ユーザーのためのセキュリティ12カ条 (ITmedia, 12/13)。ブルース・シュナイアー氏によるもの。
もはや、簡単に記憶できるパスワードで十分な時代ではなくなった。だから、パスワードを記憶しようなどとは思わないこと。銀行などセキュリティの高いWebサイトには、長いランダムなパスワードを設定し、それを書き残しておく。メモは、例えば財布に入れるなど、現金のように取り扱う。
》 送信者認証技術の導入におけるレコメンデーション (sendmail.com, 2004.12.08)。
》 チェック・ポイント、セキュリティ・ポリシー実施の強化に向けて マイクロソフトのNetwork Access Protection(NAP)をサポート (チェック・ポイント, 12/14)
》 韓国全土に衝撃。携帯電話カンニング事件を追う (ITmedia, 12/13)。
》 「プロバイダのネットワークが危ない」──総務省がセキュリティWG開催 (日経 IT Pro, 12/13)。 「次世代IPインフラ研究会」の再開 (総務省, 12/8) に伴って発足した WG だそうです。
》 「フィッシング・メール対策連絡会議」の開催について (経済産業省, 12/9)。
》 Writing Secure Code 第2版−プログラマのためのセキュリティ対策テクニック 上、下 (日経 BP)。もう出ているんですね。 (info from 極楽せきゅあ日記)
セキュアソフトウェア (日経 BP) とか スパイ的思考のすすめ (日経 BP) という本も出ていますね。
関連:
Adobe Reader 6.0.2 以前に複数の欠陥。
Adobe Reader 6.x は PDF ファイルに埋め込まれた Macromedia Flash を直接実行する。 これを利用すると、悪意ある web サイトが Adobe Reader 利用者のローカルファイルを取得できてしまう。
libpng 1.2.5 以前で buffer overflow する欠陥。 Technical Cyber Security Alert TA04-217A: Multiple Vulnerabilities in libpng の件。
eBook plug-in が .etd ファイルを処理する方法に関する欠陥。 CVE: CAN-2004-1153
Adobe Reader 6.0.3 で修正されている。アップデータがあるので適用しよう。
関連:
Acrobatの脆弱性修正パッチがリリース (slashdot.jp) に貴重な情報が。
MacOS X対応版は、6.0.3が一旦リリースされて取り下げられた後、6.0.3a [adobe.com]がリリースされてい (slashdot.jp) るそうです。 Adobe Reader 6.0.3a update - English, Japanese (adobe) から。 既に 6.0.3 をインストールしてしまった人は、 何もしなくていいそうです。
The problem with the 6.0.3 update affected Adobe Acrobat only, not Adobe Reader.
Acrobat な人は↓を適用しましょう。
Reader ではない Acrobat のアップデートのありか (slashdot.jp) はこちらだそうです:
iDEFENSE Security Advisory 12.13.04: Adobe Reader 6.0 .ETD File Format String Vulnerability (bugtraq)。 CVE: CAN-2004-1153 の話。
Opera 7.54 以前に複数の欠陥。
名前つき frame を他のサイトから乗っ取ることが可能。 Secunia Research 08/12/2004 - Multiple Browsers Window Injection Vulnerability - の件。
ダウンロードダイアログを詐称することが可能。 Secunia Research 10/12/2004 - Opera Download Dialog Spoofing Vulnerability - の件。
Java 関係の修正が 3 件:
- Applets have access to sun.* packages
- Liveconnect: com.opera.EcmascriptObject constructor is accessible to Java
- Liveconnect reveals the path to the user's home directory. This can make other vulnerabilities easier to exploit.
[Full-Disclosure] Java Vulnerabilities in Opera 7.54 の件だと思われ。
Opera 7.54u1 で修正されている。 ダウンロードページ の右側にある「Opera 7.54 Security Update」のリンクから入手できる。
関連:
》 日本版Anti-Phishing Working Groupは誕生し得るのか? (高木浩光@自宅の日記, 12/10)。
》 InternetWeek 2004 - 脆弱性情報を公表するとウイルス作成罪に問われる? (MYCOM PC WEB, 12/13)。 セキュリティホール memo BoF 話なのだが、 なぜか前半が完全に欠落している。
(2) Webサイトの脆弱性の発見・通知の際に気をつけるべきこととは? には
これに対し脆弱性情報を公表する側が捕まることを防ぐためには、高木氏は「関係者以外が情報を読むことを想定して、注意書きを明記することを徹底するしかない」と語った。
という文章があるのですが、ではどのような注意書きなら有効なのかを考えてみると、「注意書きを読んで [ok] しないと読めないようなシステム」という感じかなあ、と思ったり。ちょっと調べてみたところでは、 mod_auth_cookie (lunarpages.com) とか ユニバーサルなHTMLフォーム認証 (module.jp) とかが近い感じなのかなあ。
》 891409 - Windows Update でエラー番号 0x80070424 が表示される (Microsoft)
》 328294 - Office XP および Office 2003 のバージョン情報ダイアログ ボックスに表示される Service Pack のバージョンが実際のバージョンと異なる (Microsoft)
逆に言うと、主要な Office プログラムに対してのみ Service Pack が適用されている場合、Microsoft Project、Microsoft Visio など、Service Pack がまだ適用されていない個別の Office プログラムのバージョン情報ダイアログ ボックスに、Service Pack が適用されていると表示されることがあります。
難儀じゃのう。
》 CVS log for src/sys/ufs/ffs/ffs_alloc.c 1.127 (freebsd.org, info from FreeBSD おぼえがき Dec/11/2004 01:42)。 ふぅむ……。
》 NHK スペシャル 「不信の連鎖 水俣病は終わらない」。 環境省という役所は、というか日本政府という役所は、いまだにこんな状況だったとは。三菱よりもなお悪いではないか。
》 中村正三郎のホットコーナー MS Watch 2004/12/11 から:
最近、このSecuniaってところが、ばりばりセキュリティホールの報告をしていますね。
多くの場合は、Secunia が発見しているわけじゃないんですけどね……。
》 知ってるつもり? 「セキュリティの常識」を再確認: 第4回 不正侵入に対抗するIDS/IPSの常識 (2/3) (ITmedia, 12/10)。うーん、IPS って「IDSが苦手なコネクションレス(UDP/ICMP)パケットに含まれる不正な攻撃を“遮断する”働きをする」ものでしたっけ? 不正侵入に対抗するIDS/IPSの常識 (1/3) (ITmedia) の図も、IDS と言うよりは IPS 的になってしまっている気がするし。 「悪意のあるサービスでも通過させてしまう」という図中の解説は意味不明だし。
Microsoft Internet Explorer 6.0, Mozilla 1.7.3, Mozilla Firefox 1.0, Opera 7.54, Safari 1.2.4, Konqueror 3.2.2-6 に欠陥。ポップアップウィンドウ名 (window.open の第 2 引数) が既知の場合、そのポップアップウィンドウを乗っ取ることが可能……らしいのだが、 手元ではなぜか再現できない。 たとえば Windows 2000 SP4 に FireFox 1.0 をインストールし、ポップアップブロックを有効にした状態で
とすると、手元では、FireFox 1.0 のポップアップブロックが、http://secunia.com/resultpage/ を表示しようとするポップアップをブロックする (放っておくと FireFox はハングしちゃうみたい)。うーん。 Windows 2000 SP4 + IE 6.0 SP1 + google ツールバーでも、上記と同様だったし。 私のやり方が、何か根本的に間違っているのかな。
SANS ISC によると、以下の回避方法があるそうだ……
……が、そもそも手元では再現できていないので、……。
関連:
》 今夜わかるHTTP (兎設計図)。セキュリティあーだこーだな文書を読んでいると、CONNECT メソッドだのチャンク転送コーディングだのといった「何それ?」的な言葉に出会ったりすることがあったわけですが、この本があればちゃんとわかります。というか、もっと前にほしかった気が。
バランスが絶妙な名著 ネットワーク初心者のためのTCP/IP入門 (兎設計図) もなにげに 今夜わかるTCP/IP (兎設計図) として復活している模様。しかし 今夜わかるHTTP の方がページ数は多いのであった。HTTP あなどりがたし (声: ドメル将軍)。
索引をもうちょっと充実してほしかった気が > 今夜わかるHTTP。 と書いてみるテスト。たとえば「CONNECT メソッド」が「CONNECT」ではなく「メソッド」でないと引けないのは、ちょっとなあ。
》 平成17年度以降に係る防衛計画の大綱について (首相官邸, 12/10)。
》 H2A、2月打ち上げへ…気象衛星の後継機を搭載 (読売, 12/8)。なんとしてでも成功させてくれ。
》 全原発にコンクリの安全性確認を指示…保安院 (読売, 12/10)。関連: 浜岡4号機のコンクリート用骨材に関する調査結果等について (中部電力, 10/12)。 水野さん情報ありがとうございます。
》 セキュリティ情報 (日本のセキュリティチームの Blog, 12/10)。 マイクロソフト セキュリティ情報の事前通知 には、2004.12 版として
Microsoft Windows に影響を及ぼすマイクロソフトセキュリティ情報 5 件
と書かれているので、Microsoft Office や SQL Server については何もないのでしょう。
》 性感染症クラミジア、高校生の1割…大半は無症状 (読売, 12/2) は、問題がある記事だったようです。吉野さん情報ありがとうございます。 読売記事から:
すでに性感染症で通院している生徒は除いて、クラミジア感染の有無を検査した結果、感染していた人は男子生徒の7・3%、女子の13・9%で、全体で11・4%。この全員に自覚症状がなかった。
同じ話題を扱った、asahi.com の記事: 性体験ある高校生11%がクラミジア感染 旭川医大調査 から:
男子の性体験率は35.8%、女子が47.3%。性体験がある男子495人の7.3%にあたる36人が、同女子827人の13.9%の115人が、尿検査でクラミジア陽性だった。すでに通院している生徒は除いている。
女子の場合は今回実施された検査手法ではやや擬陽性が出やすいとの指摘もあるが、報告を聞いた専門家は「実感として納得できる数字だ」という。
全数 3100 人の内 (36 + 115) 人なので、全体の 5% ほどか。 対策が必要という結論は同じなのですが。
》 経産省がフィッシング対策で連絡会議設置、ヤフーやVISAも参加 (Internet Watch, 12/10)
》 フィッシング対策などを掲載した「Yahoo!セキュリティセンター」オープン (Internet Watch, 12/8)
》 インターネット事件簿 第17回 突如出現したフィッシング詐欺メールの謎を追う (Internet Watch, 12/7)
そこでVISAでは、ルーマニアの警察当局に被害届を提出し、捜査を依頼しようと考えた。ところが当局は同社に対し、「ルーマニア国内にはフィッシング禁止法などの法律もなく、現状では被害が出たという事実が存在しなければ、捜査に乗り出すのは難しい」と回答した。
C7 : インターネット上の法律勉強会 「パネルディスカッション〜ネット上の迷惑行為に耐え忍ぶISP〜一体いつまで?」[午後の部] でも「詐欺の要件は厳しくて、実際に被害が出ないと……」という話が何度も出ていたが、日本でも上記ルーマニアと似たような状況だったりするんだろうか。
》 Announcing NetBSD 2.0 (netbsd.org)。ついにでたでたヤットデタ。セキュリティな観点でも、いろいろ強化されているようです。
》 [aml 42121] 【緊急】辺野古でさらにけが人。 那覇防衛施設局の中の人は、けが人が出ても知らぬ存ぜぬだからなあ。
》 ネット社会の情報リスク:「ネットでの誹謗・中傷への対応」(その5) (日経 BP, 12/9)。
有名芸能人の画像が掲載されたWebページを見た第三者(芸能人の所属事務所ではない)から「この写真は無断で掲載されてるんじゃないかと思って・・」と告発が寄せられた。そのときISP(インターネット・サービス・プロバイダー)の担当者はどう対応すれば良いのか、プロバイダー責任制限法に基づいて考えてみたい。
(中略)
井手弁護士の見解
(中略) プロバイダ責任制限法は、プロバイダには積極的な調査・監視義務を課していないと解すべきである。(中略) 従って仮に会員のWebページに有名芸能人の画像が掲載されていた場合にも、プロバイダ は疑いを抱いてチェックする必要はないと考える。(中略) プロバイダは、当該芸能人の所属事務所などに積極的に確認をする義務は負わないと考えるのが正しい。(中略)
これとは違って、法務省人権擁護機関や所属事務所などからの申告であれば、その申告に至る判断には具体的裏付けがあると通常認めることができよう。従ってその場合には原則として権利侵害があると信ずる「相当の理由」があると判断してもよいことになる。なおこの場合でもプロバイダはさらに権利侵害の有無を積極的に調査しなくてもよいのである。
ふむん。
C7 : インターネット上の法律勉強会 「パネルディスカッション〜ネット上の迷惑行為に耐え忍ぶISP〜一体いつまで?」[午後の部] では「spam に関する第三者からの告発」に関する話題が出ていましたが、そこでも「ISP は警察じゃない」から強制的なことは簡単にはできない、という話につながっていましたね。
》 インターネット定点観測 (@police) のグラフの多くが対数目盛に変更されてますね。
サン、Javaプラグインの配布で不手際--初心者対応で課題浮き彫りに (CNET, 2004.12.08)。不手際というか、昔も今も変わらない企業というか。 [問] Microsoft の変化ぶりと比較せよ (20 点)。
いたがきさんから (ありがとうございます):
Javaプラグインのアップデート配布の問題についてCNETに報じられていましたが、今日現在、プラグインの自動アップデート機能(コントロールパネルによるもの)が機能していないようです。1.4.2_05のマシンで手動確認ボタンを押しても、「最新のプラグインになっています」などというメッセージが表示されます。
試しに J2SE SDK 1.4.2_03 をインストールして、Java Plug-in コントロールパネルからアップデートしてみたら、そこに現れるのは J2SE JRE 1.4.2_05-b04 というものでした。ふぅむ。なぜ 1.4.2_06 ではないのでしょうねえ。
fix された欠陥:
Adobe Version Cue の Mac OS X 版に欠陥。local user が root 権限を取得できる。 exploit には対象となる Version Cue のバージョンが明記されていないが、 1.0.1 アップデート を適用してもこの問題がある模様 [harden-mac:0695] [harden-mac:0696]。
Adobe からのアナウンス、fix 共に存在しない模様。
修正されたそうです。
Mac OS X においてローカルユーザの権限が高まることについての注意(Version Cue 1.x) (Adobe)。CVE: CAN-2005-1307 だそうです。
squid 2.5 に欠陥。細工したホスト名によって生成されるエラーメッセージにランダムなデータが含まれてしまうため、内部情報が漏曳する可能性がある。 patch があるので適用すればよい。
》 McAfee Support Information - 2004/12/09 - から:
Windows/WebShield/Linux/Mac用4.4.00エンジンのリリース予定日を、 エンジンをアップグレードするプロセスに一部問題が認められたため、 2005/01/12(US時間)に変更致しました。
あらまあ。関連: 4.4.00 エンジン リリース延期について (マカフィー)。
DAT 4413 も登場していますね。McAfee Support Information −2004/12/9 − によると、DAT 4412 には 「特定のMacromedia Flash 7.0 により作成される実行形式のファイルを AdClicker-BP として誤認する」 という問題があったそうです。
》 「ポルシェ当選」に注意、Yahoo!BBのキャンペーンを騙ったフィッシング詐欺が発生 (ITmedia, 12/6)。ポルシェですか。
》 【重要】不審な「IP電話に関するアンケート」についてのお知らせ (ソフトバンク BB, 12/7)。いろいろあるなあ。
》 業界大手と米捜査機関、フィッシング詐欺摘発へ新組織 (ITmedia, 12/9)。Digital PhishNet だそうです。米Microsoftや米AOLなど,フィッシング情報をFBIなどに提供する組織「Digital PhishNet」を発足 (日経 IT Pro, 12/9) の方が詳しいかな。
》 平成16年新潟県中越地震について(第47報) (平成16年12月8日19時00分現在) (内閣府防災部門 災害緊急情報)。有感地震、いまだに続いているんですね……。 避難者数もまだ 3000 近くある。
》 Weblog : News from the Lab Wednesday, December 8, 2004 は「Virus attacking websites of the Chechen rebels」だそうで。
》 ブログで会社をクビに——米国で解雇例が続出 (WIRED NEWS, 12/8)。気をつけませう。
関連: 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft)。ここでも proxycfg してね、と書かれている。
proxycfg コマンドは、Windows XP Pro / Server 2003 にはあるが、 Windows 2000 にはないようだ。 MSXML 4.0 SP2 (Microsoft) をインストールすると proxycfg.exe がもれなく付いてくるのだが、 困ったことに、Windows 2000 SP3 / SP4 にインストールしてもエラーが出てうまく動かない。 829735 - BUG: "WinHTTP5.dll Could Not Be Found" Error Message When You Run Proxycfg.exe after You Install MSXML 4.0 SP2 (Microsoft) によると、回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の proxycfg.exe をダウンロードできるようにすべきだと思うのだが。 つーか、自由にコピっていいんですか?
IE 6 SP1 に対する、非セキュリティ的な修正も含んだ累積的更新プログラム。 対応関係を示すと:
IE のロールアップ修正プログラム KB889669 を適用する際の注意 (updatecorp.co.jp) を読んでようやくわかった…… orz。私の解釈は大間違いだったので、おおいそぎで直しました。
関連: 【月刊 M$ Securiyu 2004 年 12 月 2 日臨時増刊号】 MS04-040 特集 (Windows Security Center)。おざきさん情報ありがとうございます。
iMesh にバンドルされている Marketscore というスパイウェア (シマンテック、CA) は、 内蔵の proxy (ossproxy) を使って 全ての web トラフィックを Marketscore 社経由で行うようにしてしまうため、個人情報が Marketscore 社に漏曳してしまう、という話。 Marketscore でぐぐると、それらしい proxy ホスト名が出てきますね。
ペンシルベニア州立大学のある学生は、電子メールでの取材に対し「まったく最悪だ」と答えている。「これではウェブサーフィンできないし、マーケットスコアをアンインストールしたらファイル交換ができなくなる。自分のコンピューターをどう使おうとぼくの自由で、大学に指図される筋合いはない。大学のコンピューター管理者の方が、マーケットスコアよりもよっぽど煩わしい」
この論理で行くと「大学のネットワークをどう使おうと大学の自由で、学生に指図される筋合いはない」になるだけのような気が。
マーケットスコア社は、声明の中で次のように述べている。「わが社の処理や手順はユーザーの知らないところで行なわれるわけではない——その逆で、われわれは、参加してくれそうなユーザーに、わが社の活動の内容とその方法を余すところなく伝えようと努力している。参加者自身について、また参加者のインターネットの利用法についてどんな情報を収集するか、この情報をどうやって収集するか、提供された情報を保護するために講じている手段、この情報の用途を、きちんと説明しようと努めている」
そういえば、A.D.2001 における office 氏のプレゼンテーション「ウイルスハッキング」には次のようにありましたね:
- ウイルスか否かの判断の基準は実は
ライセンス(いかなる結果にも責任は負いません等)に同意したか否かということにある- ユーザがライセンスに同意さえしていればプログラムがどんな動作をしようとかまわない。(悪ではない)
ライセンスハック(A.D.2000)参照=>ウイルスにもライセンスをつけよう!
つづき: 無料アプリの代償? 急増するスパイウェア(下) (WIRED NEWS, 2004.12.09)。
関連: SSL暗号通信を解読するスパイウェアに大学が警鐘 (ITmedia, 2004.12.01)。
》 韓国における情報セキュリティ政策に関する調査 (IPA, 12/7)
》 沖縄県からの使用自粛要請を無視し、下地島空港を米軍が使用強行話
辺野古方面では、ついに怪我人も出てしまった模様:
》 長射程ミサイル、次期防から削除…「唐突」と公明反対 (読売, 12/7)。 「あまりにも唐突だ」は確かにおっしゃるとおりだし、なぜ今必要なのかについての説明があまりに不足しているしなあ。 どう考えても攻撃的な兵器を研究しようという話なんだから、中国潜水艦が領海侵犯したなんていうチャンスを逃がさずに世論を喚起しておくとかするのがふつうだと思うのだが。そういうことをしないままいきなり出してくるから「あまりにも唐突だ」と言われるわけでしょう。
》 WinnyもSkypeも止めるファイアーウォールOnePointWallの新バージョン発表 (ネットエージェント, 12/8)。 これまで機能ごとに別製品だったものが 1 つに統合され、さらに新しい機能も追加されているようです。 杉浦さん情報ありがとうございます。
》 《ESPIO!》 ロシア・メディアが公判映像を報道。 常岡浩介氏拘束事件話。
》 個人情報の保護に係る関係省庁の検討状況 (内閣府国民生活局企画課個人情報保護推進室, 12/3 更新)。 いまだガイドラインができていない分野もありますね。
》 FreeBSD 5.3R で pf (リンクとか備忘録とか日記とか, 12/7)。いーなー pf。 em ドライバがアレな状況では使うわけにはいかないので、まだ 5.3-RELEASE には手が出せません (T_T)。とりあえず 5.4-RELEASE 待ち。
》 認術 個人情報抹消の術 (vector)。 認術修業 (vector) の「パスワード復元の術」と「個人情報抹消の術」を取り出したソフトのようです。関さん情報ありがとうございます。
》 browser security test (scanit.be, info from SecuLog)。
》 [selinux-users:00618] LIDS 1.2.2 for 2.4.28 released だそうです。
》 Secure Logging (linuxsecurity.com)。 msyslog を使って、改ざん防止機能つき syslog を運用する方法。 この文書では md5 を使っていますが、使えるのは md5, sha1, rmd160 で、既定値は sha1 です。
》 端末機盗難 NHK津放送局スタッフがパチンコ中に 数千世帯分流出か (毎日, 12/7)。「地域スタッフが営業中、三重県鈴鹿市稲生町のパチンコ店でパチンコをしているすきに」ですか……。
同局は「端末機はスタッフしか分からないパスワードなどで防御されており、個人情報が漏れることはない。世帯数は秘密事項で公表できない」と話している。
実はとっても脆弱なパスワードだったりとか、ハードに直接アクセスできちゃう構造だったりとかだったらやだなあ。
》 ファイル共有 アーティストの多くは「大きな脅威ではない」 (毎日, 12/7)。実に興味深い結果ですね。
》 『陸軍科学会議』で論じられる「これからの戦争」(上) (WIRED NEWS, 12/7)。
今後の取り組みでは、重症急性呼吸器症候群(SARS)を封じ込めた際の成功例が参考になるだろう。ヒト免疫不全ウイルス(HIV)の解析が15年を要したのに対し、SARSウイルス(日本語版記事)の解析はわずか1ヵ月で完了した。
SARS については、ウルバニ医師のおかげで詳細な情報が国際組織 (WHO) を通じて共有されていたことが大きいのでは (参照: SARS と闘った男 〜医師ウルバニ 27日間の記録〜 (NHK, 2004.02.15))。
》 忍び寄る警察国家の影 (白川勝彦Web, 12/2)。 弁護士であり、元衆議院議員・元国家公安委員長 (!!) である白川勝彦氏が「本当に空恐ろしいものに遭遇した」と語る、その状況とは。ぼくちんさん情報ありがとうございます。 それにしても、本当に空恐ろしいですね。
あなたは、あなたに対して私が受けたような、粗暴かつ無礼な職務質問を平気でする警察官に好感を持てるでしょうか。好感をもてない警察に、国民は果たして協力するでしょうか。日本の警察は、彼らが考えるほど国民に好感をもたれていませんし、信頼もされていないのです。しかし、彼らはこのことに気がついていません。不幸なことに、そんなものは必要ないとすら思っている警察官が多いのです。強い警察を作るための根本が分っていないのです。残念なことです。このことを指摘し監理するのが国家公安委員会の仕事なのですが、この公安委員会がまたこのことを分っていないのです。悲しい現実です。
》 McAfeeいわく「Microsoftは2005年半ばにウイルス対策市場に参入する」 (日経 IT Pro, 12/6)
》 法令順守に最適なテープ技術とは? (日経 IT Pro, 12/6)。USA の「Sarbanes-Oxley法」については、Sarbanes-Oxley Act(サーベンス・オクスリー法:米国企業改革法)準拠への道 (シマンテック) とか、米国企業改革法 (サーベンス・オクスレー法) 内部統制報告要件 - 第 404 条 - 質問集 (プロティビティ ジャパン) とか。証券発行者によるリアルタイムの開示、ですか……。
》 『第10回 情報セキュリティセミナー』〜緊急 個人情報保護法対策、政府ガイドライン〜 (INSI, 12/6)。2005.01.21、東京都千代田区、20,000 円。
》 集団自殺:英医学誌も日本の流行に注目、警戒呼び掛け (WIRED NEWS, 12/6)。
》 2004.12.6 【インフルエンザ速報】生徒・児童のインフルエンザ様疾患感染、北海道、関東、近畿の4校で学級閉鎖や休校 (日経 BP, 12/6)。 関連: 今冬のインフルエンザ総合対策について (平成16年度) (厚生労働省, 11/10)。
》 米Microsoft,年末に「NT Server 4.0」のサポートを終了,2006年末までは定額制の新サービス (日経 IT Pro, 12/6)。で、それっておいくらなんですか?
》 「『iTunes Music Store』の価格に不満」,英消費者団体が公正取引局に申し立て (日経 IT Pro, 12/6)。日本では、どうなることやら。
》 「金色の雲は宿った」上映会 (チェチェンニュース)。 2004.12.11、鳥取県烏取市、当日 1,000 円。
APPLE-SA-2004-12-02 Security Update 2004-12-02 (Apple)。関連:
[SECURITY] [DSA 605-1] New viewcvs packages fix information leak。 CVE: CAN-2004-0915
PDFlib-5.0.4p1-changes.txt (pdflib.com)。 libtiff にある CAN-2004-0803 CAN-2004-0804 CAN-2004-0886 が修正されたそうな。
[SA13311] Unicenter Remote Control Arbitrary URC Management Server Access Vulnerability (secunia)。Unicenter Remote Control 6.0 / 6.0 SP1 の欠陥。 patch があるそうです。
[Full-Disclosure] help.msn.com。 クロスサイトスクリプティング欠陥があるという指摘。
nfs-utils の欠陥は 1.0.7-pre1 で修正されているそうです。
MD5 コリジョン話。stripwire というデモツールも公開されています。
Windows 2000/XP リソースキットに含まれる w3who.dll ISAPI DLL に欠陥。 クロスサイトスクリプティング欠陥が存在する他、buffer overflow する欠陥もある。 CVE: CAN-2004-1133 CAN-2004-1134
修正プログラムはまだ存在しない。攻撃を回避するには、w3who.dll を使わないようにするしかない。
w3who.dll についてはこのあたりを:
現在、w3who.dll はダウンロードできなくなっている模様。
》 [IE] Javascript で動的にイベントを登録するとメモリリークが発生 (Microsoft)
》 司法省コンピュータ捜索・押収マニュアル(翻訳編) (B-) の独り言, 12/7)
》 お客様情報を含む資料の盗難事故について (SMBCフレンド証券, 12/1)。時田さん情報ありがとうございます。
》 フリーソフトウェア徹底活用講座 第13回 続々・GCC2.95から追加変更のあったオプションの補足と検証 (Interface, 2003年12月号)。 GCC 3.3 には -fbounds-check というオプションがあるんですね。
》 サイバーテロ被害防げ、来年4月にセンター設置へ (読売, 12/6)。
政府は6日 (中略) 国家情報セキュリティセンターを来年4月に内閣官房に設置する方針を固めた。7日の高度情報通信ネットワーク社会推進戦略本部(IT戦略本部、本部長=小泉首相)で正式決定する。
》 次期防で研究着手の誘導弾、弾道ミサイルも含め検討 (読売, 12/7)。 どう考えても弾道ミサイルはいらんやろ。 よほど核武装 (に備えた準備を) したいと見えるのう。
》 年賀状作成・住所録管理ソフト「筆まめ」 と VirusScan Enterprise 8.0i 環境での不具合について (マカフィー)。hotfix ができたそうです……が、マカフィーのダウンロードページからは get できないようですね。問いあわせないといけないようです。 ……問いあわせたら、いただけました。
VirusScan Enterprise 8.0iをインストールした後、イベントビューアのシステムログにイベントID:2019が表示されます (マカフィー)。Patch 7 で修正されているそうです。 VSE 8.0i の Patch は現在 1, 4, 5, 7, 8, 9 が配布されていますね。
Cisco Security Advisory: Cisco CNS Network Registrar Denial of Service Vulnerability
FreeBSD Security Advisory FreeBSD-SA-04:17.procfs。 FreeBSD 4.x / 5.x の procfs(5) の /proc/curproc/cmdline、および FreeBSD 5.x の linprocfs(5) の /proc/self/cmdline の実装に欠陥があり、local user による DoS 攻撃、あるいはセンシティブ情報の閲覧が可能。
patch があるので適用して kernel を再構築し再起動すればよい。 回避方法として、procfs および linprocfs の umount が示されている。
[SECURITY] [DSA 604-1] New hpsockd packages fix denial of service。 HP 製の socks daemon というものがあったんですね。知りませんでした。
[USN-36-1] NFS statd vulnerability。nfs-utils 1.0.6 に欠陥がある模様。
SGI discovered a remote Denial of Service vulnerability in the NFS statd server. statd did not ignore the "SIGPIPE" signal which caused it to shutdown if a misconfigured or malicious peer terminated the TCP connection prematurely.
だそうだ。CVE: CAN-2004-1014、 CAN-2004-0946
nfs-utils の欠陥は 1.0.7-pre1 で修正されているそうです。
コンポーネントを追加したときに、セキュリティ更新プログラムが適用されない現象について (日本のセキュリティチームの Blog, 2004.12.07)。 「すでにインストールされているコンポーネント」については XP / Server 2003 の「デュアルモードインストール」で解決されているが、「まだインストールされていないコンポーネント」を解決する sticky updates はまだ実装されていない、ということなのかな。 とりあえずは MBSA で確認、が現状での最善手のようです。
Windows と Windows コンポーネント用パッケージ インストーラ Update.exe の内部メカニズム (Microsoft) は、きちんと読んでおいた方がよさそうだなあ。
ひぐちさんから (ありがとうございます):
私のところではproxy経由でwebアクセスさせているのですが、 Windows Update出来ない項目が有るとクレームが上がって来ました。
調べてみると、WinXP SP2のWindows UpdateのバックエンドBITSが SP2アップデート時にIEからのプロキシ継承を行っていないため、 アップデータのダウンロードに失敗するようです。
アドミニストレータ権限でコマンドプロンプトから proxycfg -u で解決します。
この件については、青山学院のNOCでの情報が良くまとまっています。
http://www.agnoc.aoyama.ac.jp/announce/20041203.txt
ぐぐってみると、同様の内容を他の場所でもみつけることができた:
こういうことのようだ。
Windows XP SP1 までは、Windows Update は BITS とは関係なく動作していた。 利用者は、IE のプロキシ設定をすれば Windows Update を利用することができた。
一方、自動更新は BITS を通してファイルをダウンロードしていた。 BITS は WinHTTP を利用して動作する。 そのため自動更新の利用者は WinHTTP のプロキシ設定が必要であった。
Windows XP SP2 では、Windows Update も BITS を通してファイルをダウンロードするようになった。 そのため、Windows Update の利用者も、IE のプロキシ設定だけではなく WinHTTP のプロキシ設定もが必要になった。
WinHTTP のプロキシ設定は proxycfg コマンドで行う。コマンドプロンプトから実行する。
| 内容 | コマンド |
|---|---|
| 現在の設定を見る | proxycfg |
| 現在のユーザの Internet Explorer のプロキシ設定を WinHTTP のプロキシ設定に反映する | proxycfg -u |
| プロキシサーバとして proxy.example.jp:8080 を、直接接続するアドレスとして 192.168.*, *.example.jp, <local> を指定する | proxycfg -p proxy.example.jp:8080 "192.168.*;*.example.jp;<local>" |
| WinHTTP のプロキシ設定をクリアする (直接接続する) | proxycfg -d |
| ヘルプを見る | proxycfg -? |
<local> は、プロキシサーバ設定の「ローカルアドレスにはプロキシサーバーを使用しない」のことのようだ。 クロスサイトスクリプティング欠陥などにおいて意図しない状況を呼び込むことがあるので、<local> は使わないほうがいいと個人的には思う。
関連: 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft)。ここでも proxycfg してね、と書かれている。
proxycfg コマンドは、Windows XP Pro / Server 2003 にはあるが、 Windows 2000 にはないようだ。 MSXML 4.0 SP2 (Microsoft) をインストールすると proxycfg.exe がもれなく付いてくるのだが、 困ったことに、Windows 2000 SP3 / SP4 にインストールしてもエラーが出てうまく動かない。 829735 - BUG: "WinHTTP5.dll Could Not Be Found" Error Message When You Run Proxycfg.exe after You Install MSXML 4.0 SP2 (Microsoft) によると、回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の proxycfg.exe をダウンロードできるようにすべきだと思うのだが。 つーか、自由にコピっていいんですか?
メールの整理をしていたら、2004.11.01 の時点で、藤井さんからこの件についての情報が来てきたことに気がついた orz。すんません。_o_
proxy.pac を利用してプロキシを自動設定している環境では、proxycfg -u に失敗するそうです。上原先生情報ありがとうございます。
上原先生は .reg ファイルを用意されたようですが、proxycfg を実行するバッチファイルを用意するという手もあるでしょう。
……千葉さんから (情報ありがとうございます)
弊社では「proxy.pac」を利用して、urlにより社内社外を振り分けています。 WindowsUpdate時は、専用のproxyサーバ(delegate)に向かうようにしています。
XP-SP2適用後、WindowsUpdateができない端末が出てきました。
その動きを見てみると、端末でUpdate操作をした際、社内DNSにwpadの名前解決を実施しにきていました。IEで設定しているproxy.pacを無視して、wpadを探しているようです。 IEの「設定を自動的に検出する」にチェックしていなくてもwpadを探しています。
そこで、社内DNSにwpadサーバ(proxy.pacが置いてあるサーバ)のIPアドレスを記述し、proxy.pacと同じ内容をwpad.datというファイルで作成して、proxy.pacがあるディレクトリ配下に配置することで、WindowsUpdateができるようになりました。
ということで、ユーザ側の端末設定は変えずに、今のところ運用できています。
加賀さんから (ありがとうございます):
> 回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、
>なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の
>proxycfg.exe をダウンロードできるようにすべきだと思うのだが。つーか、自
>由にコピっていいんですか
私も「自由にコピってね!」に疑問を持っていたのでマイクロソフトに問い合わせをしてみました。
自由にコピっていいのかと、
http://www.microsoft.com/japan/legal/permission/t-mark/img-req4.htm
ここにメールで質問したところ、瞬殺
Windows Updateに関することなので、電話で問い合わせてみました。
http://support.microsoft.com/oas/default.aspx?gprid=6527
コピってOKという返事を貰うことができました。
コピることに関しては電話で問い合わせすればOKっぽいです。
888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft) が 2004.12.22 付で改訂されている。 これを見る限りでは、WPAD (wlug.org.nz、monyo.com) を使っているか、http:// あるいは https:// な URL で .pac ファイルを指定していれば、自動的に proxy を認識してくれるようだ。 そうでない場合は、proxycfg コマンドなどで BITS proxy の設定が必要なようだ。
DeleGate 8.10.3-pre7 が出ています (最新は 8.10.3-pre8 です)。 文字列やポインタ、構造体の配列の buffer overflow に対応されているそうです。[DeleGate:12545] より:
一例として、
delegated -f -P9999 PROXY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx....(超長い)
のようにすると、8.10.2 までは Segmentation fault (core dumped) となりますが、8.10.3 では scanf(), strncpy(), 文字列終端の設定の3地点で(!)バッファオーバーフローが未然に検出されて回避されます。
[DeleGate:12546] より:
pre6までで主に文字列(文字の配列)のオーバフローに対処しましたが、その後 pre7でその他の、ポインタや構造体の配列のオーバフローに対処しました。 例えば、
-P1,2,3,4,5,6,7,8,9,10,11,... (FD_SETSIZE以上,通常1024)
のようにすると、svport.cの中にある ServerPort se_SVPorts[FD_SETSIZE] という構造体の配列が溢れます。
その他多数のオーバフローがありました。ほとんどがローカルにしか起こせないものではありましたが、中に2つばかり、リモートから起こせて結構危険だと思われるものがありました。
delegate ML のアクセスパスワードについては ML アーカイブの top ページを参照してください。
8.10.x 系列はまだβ扱いなので注意してください。 DeleGate ML では、FreeBSD 5.3-RELEASE や Debian GNU/Linux 3.1 でうまく make できないという話題が続いています。 また C99 の機能が使われているようで、FreeBSD 4.10-RELEASE (gcc 2.95.4) でもつくれませんでした。FreeBSD 4.10-RELEASE + gcc 3.4.4 (ports/lang/gcc34) では、 [DeleGate:12562][DeleGate:12564] の FreeBSD 5.3-RELEASE と同様に、
% ar d lib/libsubst.a lstat.o
% ar d lib/libsubst.a inet_aton.o
が必要でした。Turbolinux 10 Desktop (gcc 3.3.1) では素直につくれました。
DeleGate 8.11.0 出ました。βが取れてます。
DeleGate 8.11.1 が出ています。C99 に適合していない gcc 2.x でも作成できるようになりました。ありがたや。
イーバンク銀行って、こんなのまで平文メールで送っているんですか。 いやあ、恐いなあ。おまけに、正規のメールに示されている URL すら http:// じゃないですか。 なぜ https:// じゃないんだろう。
銀行のネットサービスって、どこもこんな感じなのかなあ。
11 月のカレンダー見てました orz。角田さんご指摘ありがとうございます。
》 APRICOT 2005。 2005.02.18〜25、国立京都国際会館だそうです。 ワークショップ には「ネットワーク・インフラストラクチャ・セキュリティ」とか「DNSSEC ワークショップ」というのがありますね。一般¥36,000- (早期割引) だそうです。その他にも、いろいろ。
》 IPA と KISA が情報セキュリティに関する第 1 回定期会合を開催 (IPA ISEC, 12/6)
》 社内ネット接続後にウイルスに感染したパソコンを隔離するシステムが登場 (日経 IT Pro, 12/1)
》 「ソフトウエア特許との泥沼の戦いが数年以内に起きる」 ——中央大学 教授 今野浩氏 (日経 IT Pro, 12/1)。 関連:
産学共同〜とか言ってる手前、そういう状況を否定できないということなんだろうなあ。自分の身は自分で守りましょう〜と気楽に言うのはいいけれど、サポート体制もロクにないのに、いきなりそういうこと言うのはなあ。
》 ネット犯罪 マニアからマフィアへ 凶悪化にどう対抗? (毎日, 12/1)。AVAR ねた。
》 海賊版を検知する「見えないテクノロジー」 (ITmedia, 12/6)
》 EnigmailでGnuPG(まとめ直し) (Tvyordiy Znahk, 11/8)
》 NHK 人間講座:水曜日:だます心 だまされる心 (NHK)。
》 Internet Week 2004 - 情報家電はセキュリティ+設定ゼロが必要 (MYCOM PC WEB, 12/3)
また報道の仕方についても、三輪氏は「Blasterワームのときに、あれだけメディアが報道しても感染した人が相当数いたことを考えると、問題があることを強調するような報道は必要だ」「(脆弱性情報を)『欠陥』と表現することについては、マイクロソフトを含め多くのベンダから文句を受けるが、視聴者に重要な問題であることを伝えるために、我々は一貫してその表現を使っている」と述べ、危機感をあおるような報道も、多少であればやむを得ないとの姿勢を示したのに対し、奥天氏は「『欠陥』という表現が多くのメーカーを萎縮させているのも事実」「我々の場合は過去の経験でそれなりに体制ができているが、そうではない組織も多い」と述べ、メディア側とベンダ側に依然として温度差がある様子がうかがえた。
スリーダイヤなトラックを走らせているとタイヤが勝手に外れてあさっての方向に転がってしまうのも、素な Windows XP SP1 をインターネットにつなげると 4 分でヤラれてしまうのも、「部品の強度が不足していた」という意味で同じ「欠陥」だと思うけどなあ。
》 ネットに潜む危険を回避するには--「まず、顔をあわせて話そう」 (MYCOM PC WEB, 12/3)。 関連: オヤジ系 vs 技術者系の溝は埋まるか (佐々木俊尚の「ITジャーナル」, 10/29)。
》 スパム攻撃のスクリーンセーバ提供中止 (ITmedia, 12/4)。spam VS. DDoS。どちらが勝っても……人類に未来はない (C) 20 世紀フォックス。
zip 2.3 方面 fix:
詳細が公開されています: ヤフーからの通知を装った日本語フィッシングで何が起きていたか (高木浩光@自宅の日記, 2004.12.05)。
Winamp 5.07 が登場しています。欠陥が修正されたことになっているようです。
》 ACCS vs Antinny——DDoSとの戦いに終わりはあるか (ITmedia, 12/3)
これに関してTelecom-ISACの小山覚氏(NTTコミュニケーションズ)は、まず「PCのセキュリティ対策を推進していく」という当たり前だが地道な活動が必要だと指摘。さらに、やや過激な手段として、攻撃トラフィックを吐き出している利用者に対応を促し、何度言っても聞き入れられない場合は解約するという道筋もあり得るのではと述べた。
該当 PC の所有者に対して、
でいいのでは? というか、ACCS はなぜそうしないの? 「この件が DDoS に関する貴重な知見を得るためのテストベッドと化しているから、そうしたくてもできない」が答えだったりするのかなあ。 でも、技術的な知見を得るフェイズはそろそろ終了で、次は法務的な知見を得るフェイズだと個人的には思うのだけどなあ。
》 米陸軍、マシンガンを装備したロボット「Talon」を2005年導入へ (ITmedia, 12/3)。めざせ「終わりなき平和」 なんだろうか。
》 フィッシング詐欺: 経済省が来週、対策会議 中川経産相 (毎日, 12/4)。
》 携帯電話: セキュリティーの現状をスペシャリストに聞く (毎日, 12//3)。 マカフィーのビクター・クズネツォフ氏へのインタビュー記事。
》 原発、有事には国の命令で停止…電力供給義務も免除 (読売, 12/3)。元ネタはこれかなあ: 第4回有事における原子力施設防護対策懇談会 (原子力安全・保安院, 12/3)。 タイトルが「第3回」になっていたり、 <!-- saved from url=(0041)file://Q:\NISA_HP\text\kichouka\yuuji.htm --> なんて書いてあったりするのは、まあ、そういうものなのだろうなあ。
》 「このPDFは自動的に消滅する」——Acrobat 7の新セキュリティ機能 (ITmedia, 12/3)。へぇ。
伊貝氏は最後に余談として、国内の大手旅行会社から届いたメールを紹介した。メールを開くとユーザー名やパスワードの入力欄のある画面が表示され、「これは新手のフィッシング詐欺かと思ったところ、ソースを調べてみると本物のメールだった」という。企業側のフィッシング詐欺に対する意識はまだ低いのではないかとして、ユーザーとともに企業に対してもフィッシング詐欺に対する啓発を行なっていきたいと語った。
》 Internet Week 2004 にはオライリーがブースを出していたのでちょっと立ち寄った。「そういえば、高木先生のセキュリティの本はどうなったんでしたっけ?」という疑問が頭にのぼったので聞いてみると (後略)。
》 性感染症クラミジア、高校生の1割…大半は無症状 (読売, 12/2)。
旭川医科大の今井博久助教授らは、10代の性体験率や妊娠中絶率が全国平均と同等のある県で、高校13校に通う1—3年生の生徒、約3190人の協力を求め、尿や、性体験の有無、時期などを調査した。
すでに性感染症で通院している生徒は除いて、クラミジア感染の有無を検査した結果、感染していた人は男子生徒の7・3%、女子の13・9%で、全体で11・4%。この全員に自覚症状がなかった。
クラミジアでぐぐったら、こんな記事があった: 健康注意報: クラミジアの咽頭感染が増えています (日経 BP)
特に最近では、口腔性交(オーラルセックス)がごく普通の性行為として定着しつつあるため、クラミジアの咽頭感染を認める患者が増えています。咽頭感染例は症状がない場合が多く、このため感染拡大の一因になっていると考えられています。
》 BB.excite、迷惑メール送信者に対する罰則強化〜刑事告発も視野に (Internet Watch, 12/2)。 アンチスパムを考えるなら、こういった、spam に対して断固とした処置を取ると表明している ISP を利用することを考慮すべきだ、というような話題が、 C7 : インターネット上の法律勉強会 「パネルディスカッション〜ネット上の迷惑行為に耐え忍ぶISP〜一体いつまで?」[午後の部] で出ていました。
》 セキュリティ情報の緊急公開と事前告知のトレードオフ (日本のセキュリティチームの Blog, 12/2)。緊急 patch の事前公表……は、「それが何か」が容易に想像できる場合がありそうだから、だめでしょうね。
patch が出たようです: Internet Explorer 用の累積的なセキュリティ更新プログラム (889293) (MS04-040) (Microsoft)。
というわけで、今日は セキュリティホール memo BoF の日なのです。
……BoF は終了しました。多数のご参加ありがとうございました。 発表者のみなさん、おつかれさまでした。
》 個人情報保護は誰のためのものなのか? (日経 IT Pro, 11/30)
》 SELinux BOF SELinuxナイト発表資料公開 (selinux.gr.jp, 11/30)
》 l10n フォーラムがハックされてます (Mozilla-gumi Forum, 11/29)。 phpBB の欠陥を突かれたようです。 [SA13239] phpBB Multiple Vulnerabilities の話かなあ。
》 dual engine がこれからの流行りなのでしょうか:
》 JPCERT/CC インターネット定点観測システム 観測データを CSV 形式で提供開始 (JPCERT/CC, 12/1)
》 迷惑メール対策に関する技術交流会 (2004.09.16) の資料が公開されています。 zilwan -- 迷惑メール対策について建設的に話し合う ML ができているそうです。
元ネタ: Wins.exe remote vulnerability (immunitysec.com)。
Microsoft KB 日本語版: WINS のセキュリティの問題からコンピュータを保護する方法 (Microsoft)
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
