Last modified: Tue May 6 22:23:34 2003 +0900 (JST)
1999.01.28 の Buffer overflow in Solaris 2.6/2.7 /usr/bin/lpstat に追記した。 どうやらガセネタだったみたい。 そうか、truss ってこういうことに使うんだ……。
1999.01.28 の Linux 2.2.0 kernel bug に追記した。
IBM CICS Universal Client 3.x
(from BUGTRAQ, Wed, 27 Jan 1999 07:08:44 PST)
Solaris 2.6 用の IBM Universal CICS Client (3.02) に弱点。
インストールスクリプトがディレクトリ /var/cicscli を mode 777 で作成してしまう。このため、local user が DoS 攻撃を実行できる。 報告者は /var/cicscli を mode 711 にすべきとしている。
一般ユーザがクライアントのトレース情報設定を on できてしまうため、 他のユーザが気がつかないままトレースファイルに userid/password が記録され、盗まれる恐れがある。 報告者はクライアントの実行権を root のみとする (mode 700) ことを推奨している。
IIS 4 ASP Caching Bug
(from NTBUGTRAQ, Wed, 27 Jan 1999 17:40:28 +1100)
IIS 4 で virtual domain を運用しているときに、 物理ディレクトリを virtual domain 間で共有していると、 Active Server Page (ASP) のキャッシュまで共有されてしまい、 うまく動かなくなるという指摘。
同内容のものが Microsoft Knowledge Base (KB) Q197003 にあるとのフォローがついている。 KB Q197003 では問題の存在を認めており、patch もあるようだ。 ただしこの patch は hotfix という形で一般公開しているのではなく、 Support Service 経由でしか入手できないようだ。
w00w00 on Heap Overflows
(from BUGTRAQ, Wed, 27 Jan 1999 02:04:18 +0300)
buffer overflow に関する解説文書。
JPCERT ドキュメント updated
(1999.01.26)
JPCERT/CC のドキュメントが update されている。
Linux 2.2.0 kernel bug
(from BUGTRAQ, Wed, 27 Jan 1999 03:14:29 -0500)
リリースされたばかりの Linux 2.2.0 カーネルに不具合。 local user による kernel crash が可能。 fix patch 情報も投稿されている。
1999.01.29 追記: 2.2.0 カーネルにはさらに別の問題があるというフォローがあった。 まぁ、リリース直後のソフトというのはこういうものでしょう。 一月もすれば安定してくれると思います。
Large security hole in vinum(8) in 3.0-RELEASE
(from FreeBSD security ML, Wed, 27 Jan 1999 10:50:39 MST)
FreeBSD 3.0-RELEASE の /sbin/vinum に不具合。 kmem グループ権限の実行環境が得られる。 root ではないものの、危険であることは確か。
Buffer overflow in Solaris 2.6/2.7 /usr/bin/lpstat
(from BUGTRAQ, Tue, 26 Jan 1999 15:02:47 GMT)
最新 patch (Solaris2.6 Sparc: 106235-02 など) を適用した状態でも、 /usr/bin/lpstat に buffer overflow バグが残っているために root 権限を奪取される可能性がある。
1999.01.29 追記: 実際に buffer overflow しているのは /usr/bin/lpstat ではなく /usr/lib/lp/local/lpstat で、 これが呼ばれるときは一般ユーザ権限になっているとのフォローがついている。 どうやらガセネタだったみたい。
1999.01.25 の util-linux compromised に追記した。
1999.01.26 の BayNetworks router DoS に追記した。
PADLOCK-IT 1.01 Password manager big lie
(from BUGTRAQ, Tue, 26 Jan 1999 00:56:48 EST)
Windows9x/NT 用のパスワード管理ツール PADLOCK-IT Version 1.01 の実装が poor で、 簡単に解読できてしまうという指摘。
linux auditd daemon 1.10
(from BUGTRAQ, Tue, 26 Jan 1999 15:43:50 +0100)
Linux 用の監査デーモン公開のアナウンス。
Digital Unix 4.0 exploitable buffer overflows
(from BUGTRAQ, Mon, 25 Jan 1999 12:21:45 PST)
Compaq Digital Unix 4.0 に buffer overflow 弱点が 2 点。
Digital Unix 4.0B (no patch) の /usr/bin/at に CA-97.18.at と同様の問題がある。 CA-97.18.at には「Information about this reported problem, and subsequent attempts to reproduce the problem have been unsuccessful for Digital's ULTRIX or Digital UNIX Operating Systems Software.」と書いてあるのだが。
Digital Unix 4.0D with patch kit #2 (最新は patch kit #3) 付属の /usr/bin/mh/inc は SUID root になっているのだが、 buffer overflow するため root 権限を奪取できてしまう。
1999.02.02 追記: 報告者がさらに、デモプログラムつきの詳細な解説を投稿していた。
1999.02.12 追記: patch が出たそうだ。 http://ftp.service.digital.com/patches/public/unix/v4.0/ssrt0583u.README を参照のこと。
1999.02.24 追記: さらなる情報。 (from BUGTRAQ)
上記 SSRT0583U.tar.gz のインストール手順に不具合があり、 新版に置きかえられた。 すでに patch を適用してある場合は、 念のため /usr/bin/at.orig, /usr/bin/mh/inc.orig, /usr/shlib/libmh.so.orig のファイルモードを確認されたい。 suid bit が立っていれば chmod 400 /usr/bin/at.orig /usr/bin/mh/inc.orig /usr/shlib/libmh.so.orig などとして落としておこう。
DIGITAL NetWorker に含まれる nsralist や、 OS 添付の rdist にも buffer overflow する弱点がある。
また、これまで述べてきたような、buffer overflow する弱点を突いて侵入コードを実行させることを不可能とする official patch が提供されている。詳細は BUGTRAQ 投稿記事を参照されたい。
1999.01.19 の Outlook 98 Security "Feature" に追記した。
1999.01.21 の L0pht Security Advisory: Quakenbush Windows NT Password Appraiser に 追記した。
ISS Security Advisory: Multiple vulnerabilities in ControlIT (from BUGTRAQ, Mon, 25 Jan 1999 14:20:37 PST)
Computer Associates (CA) の ControlIT (別名 Remotely Possible/32) version 4.5 以前に 3 つの弱点。
ControlIT を操作する machine あるいは network に local access できる攻撃者により、 ユーザ名/パスワードを取得されてしまう。 タテマエとしては「パスワードは暗号化して送ってます」となっているが、 実際にはめちゃめちゃ弱いので無意味、ということのようだ。
ControlIT で操作している machine を認証なしで reboot される可能性がある。
アドレス帳にユーザ名/パスワードを記録してしまえるが、 上記の弱い暗号なので簡単に破れてしまう。 しかもアドレス帳フィイルは誰でも読める (Everyone:Read) ため危険。
対策は次のとおり:
CA は、patch ができるまで、 別売ソフトウェア CryptIT との併用を推奨している。 つまり、現時点では patch がない。 いやぁ、商売うまいなぁ。
patch #TF73073 を適用する。
パスワードを記載できないようにする patch があるので CA から入手する。
ControlIT が使う TCP port 799 をフィルタするのも有効。
IIS 4 Advisory - ExAir sample site DoS (from NTBUGTRAQ, Tue, 26 Jan 1999 16:35:41 GMT)
IIS 4 とともにインストールできるサンプル web ページ「ExAir」 (http://hogehoge/IISSAMPLES/ExAir/) に付属するサーチページ (http://hogehoge/IISSAMPLES/ExAir/Search/AdvSearch.Asp など) を直接指定して search すると、関連 DLL が正しく読み込まれず、 timeout (90 秒) するまで IIS 4 がハングしてしまう。 報告者は Exair ディレクトリのまるごと削除を推奨している。
1999.02.01 追記: サンプルなんてふつう insecure なんだから「サンプルなにがしに問題がある」って話題はもう載せないぜ、と NTBugtraq ML の moderator が投稿していた。
BayNetworks router DoS (from BUGTRAQ, Mon, 25 Jan 1999 01:03:02 MST)
BayNetworks の router (series 1000) に弱点。DoS 攻撃を受ける。 login プロンプトおよびパスワードに 256 byte 以上の文字列を入力すると停止してしまい、 リセットせざるを得なくなるという。
1999.01.28 追記: このルータの正式名称は ARN Baynetwork router series 1000, ソフトウェアは Image: rev/11.03/4 Created on Tue Jul 7 11:29:36 EDT 1998. とのフォローが投稿されていた。
Mirc 5.5 'DCC Server' hole (from BUGTRAQ, Sun, 24 Jan 1999 08:44:54 PST)
IRC クライアント mIRC 5.5 に弱点。dcc server 機能で . や \ といったメタキャラクタをフィルタしていないため、 無害なファイルにみせかけて危険なファイルを送りこむことができる。 デモ用の perl script が添付されている。
NT 4.0 SP4 + IIS 3.0/4.0 FTP Exploit/DoS Attack (from BUGTRAQ, Sun, 24 Jan 1999 07:56:09 PST)
WindowsNT 4.0 SP4 IIS 3.0/4.0 および Windows 95/98 PWS 1.0 の ftp サーバ機能に buffer overflow する弱点がある。 この不具合は WindowsNT 4.0 SP3 では発生しないとのフォローがついている。
小島の手元の NT 4.0 SP4 + IIS4 でも、 長い NLST 命令を送ると接続が切れてしまう現象の発生を確認した。 レジスタの中身までは見てません。
報告者のオリジナル web page はこちら: http://www.eeye.com/database/advisories/ad01241999/ad01241999.html
Quake2 CTF Buffer Overflows (from BUGTRAQ, Fri, 22 Jan 1999 19:48:26 +0100)
ゲーム Quake2 で用いる CTF (Capture The Flag) ソフトウェアに buffer overflow バグ。 ゲーム開発元 id software のオリジナル CTF コード (version 1.02) に不具合があったため、 世の中の全ての CTF プログラムに不具合が存在すると考えられる。 L-Fire CTF 1.04 (1999.01.12 リリース) およびまもなくリリース予定の 3Team CTF 1.20 では fix されている、としている。
Perl.exe and IIS security advisory (from BUGTRAQ, Fri, 22 Jan 1999 20:58:33 GMT)
全バージョンの IIS に Microsoft Knowledge Base (KB) Q193689 と同様の不具合。 IIS から perl script を実行できるようにしている場合、 http://www.server.com/scripts/no-such-file.pl などの URL を要求すると
CGI Error
The specified CGI application misbehaved by not returning a complete set of
HTTP headers. The headers it did return are:
Can't open perl script "C:\InetPub\scripts\no-such-file.pl": No such file or
directory
といったエラーが表示される。 このエラーメッセージから、web page 用のディレクトリ構成 (上記例では C:\InetPub にある) が知られてしまう。
報告者は、自身作の NTInfoScan でこの問題をチェックできるとしている。
util-linux compromised (from BUGTRAQ, Sun, 24 Jan 1999 09:03:42 EST)
backdoored tcp wrapper source code で報じている ftp.win.tue.nl でのトロイの木馬バージョン置きかえは、 tcp_wrapper だけではなく util-linux-2.9g もだ、という報告。
IIS 4 Request Logging Security Advisory (from BUGTRAQ, Fri, 22 Jan 1999 10:12:52 GMT)
IIS 4 に不具合。HTTP リクエストというのは 「GET / HTTP/1.0」みたいに送るのだけど、 GET / のかわりに「任意の文字列 + パス名」とし、これの長さが 10150 文字を越えると、 IIS 4 はパス名に示されたオブジェクトを、ログファイルに記録せずに送出してしまう。
これのデモが http://www.infowar.co.uk/mnemonix/avoid.exe にある。 このファイルは、指定したホストに対して 「AAA...(A を 10141 文字分) /default.asp HTTP/1.0」 というリクエストを実行する。
作者は NT 4.0 SP3 + hotfix という環境で試しているそうだ。 また、作者自身によるフォロー記事によると、 最初に IIS3 を入れていて、後に NT Option Pack から IIS 4 を入れた、SP3 または SP4 の機械にこの問題があるという。 小島の手元の IIS 4.0 (IIS 3 から Option Pack で IIS 4 にした) + NT 4.0 SP4 でも見事にログされなかった。うーん。
いちばん上が最新の記述となるよう、書き方を変えました。
backdoored tcp wrapper source code (from BUGTRAQ, Thu, 21 Jan 1999 11:38:17 EST)
ftp.win.tue.nl に置いてあった tcp_wrapper ソースコードが何者かによってトロイの木馬バージョンに書きかえられたそうです。 ftp.win.tue.nl ではすでに修正されているそうですが、念のため手元のものを確認しましょう。
木馬バージョン:
-r--r--r-- 1 wswietse 99186 Jan 21 07:16 tcp_wrappers_7.6.tar.gz
正しいもの:
-r--r--r-- 1 wswietse 99438 Jan 21 16:29 tcp_wrappers_7.6.tar.gz
1999.01.25 追記: これの CERT Advisory が出ました。 CERT Advisory: CA-99-01-Trojan-TCP-Wrappers です。
Microsoft Security Advisor Web page からの情報。
ALERT: IIS4 allows proxied password attacks over NetBIOS
(from BUGTRAQ, Mon, 9 Feb 1998 04:35:48 -0000)
Microsoft IIS 4 インストール時に作成される /IISADMPWD 仮想ディレクトリ下のファイルを使って、 remote からパスワード推測攻撃を実施できる、という指摘。 これらファイルは web page 上からのパスワード変更を実施するためのもので、 報告者はもし不要なら /IISADMPWD を削除しよう、と言っている。
Microsoft Security Bulletin MS99-001: Patch Available for exposure in Forms 2.0 TextBox Control that allows data to be read from user's Clipboard (January 21, 1999)
Forms 2.0 ActiveX Control に弱点。 攻撃者は、 user が攻撃者の web site を訪問したときに、 Forms 2.0 を通して、user のクリップボードを読んだり書きかえたりできる。
Forms 2.0 ActiveX Control を含むのは、以下のソフトウェアである。
Windows\System\Fm20.dll を右クリックして得られるファイルスタンプが January 11, 1999 より前なら、セキュリティ fix が必要。 patch は http://officeupdate.microsoft.com/downloaddetails/fm2paste.htm から入手できる。
Microsoft Knowledge Base (KB) はこちら: article Q214757, Forms 2.0 (Fm20*.dll) ActiveX Control Security Fix, http://support.microsoft.com/support/kb/articles/q214/7/57.asp
例によって英語版の話。日本語 patch はまだない。
1999.04.19 追記: 日本語 patch が出た。詳細は、日本語 KB J047399, [OFF97] Forms 2.0 コントロール セキュリティ問題修正プログラム を参照のこと。
Microsoft Security Bulletin MS99-002: Patch available for "Word97 Template" Vulnerability (January 21, 1999)
Word97 に弱点。マクロを含んだテンプレートを開くとき、 ユーザに警告なしで実行してしまう。 マクロウィルス入りテンプレートファイル攻撃が可能、ということなんだろう。 警告すりゃいいというものではないとも思うが。
Patch は http://officeupdate.microsoft.com/downloaddetails/wd97sp.htm から入手できる。
Microsoft Knowledge Base (KB) はこちら: article Q214652, No Macro Warning Opening File Attached to Template Containing Macros, http://support.microsoft.com/support/kb/articles/q214/6/52.asp
例によって英語版の話。日本語 patch はまだない。
BUGTRAQ からの情報。
Microsoft Personal Web Server (Wed, 17 Jan 1996 22:30:13 +0200)
Microsoft Personal Web Server (PWS) に弱点。 http://hogehoge/....../ という URL を打ち込むと、c:\ が見えてしまう。
この現象は、もともと MS-DOS が ... とか .... とかいうディレクトリを認識していまうことに起因するようです。 なにが起こるかは cd ... とかやってみればわかります。 いやぁ、こんな機能があったとわ……。
続くスレッドを読んでいただければわかるように、 この話題については情報が錯綜しています。 しかし、少なくとも「Windows 95/98 上で、 最新版 4.0 を含む何らかのバージョンの PWS (Windows98 付属、 FrontPage98 付属、WindowsNT OptionPack 付属、……) を動作させている場合に発生するかもしれない。 WindowsNT では問題がない。」 とは言えるようです。 Windows 95/98 上で PWS を使われている方はご確認下さい。
なお、PWS のバージョンですが、なんかいろいろあるようです。 Microsoft のやることはわからんなぁ。
1.0: Windows95 追加コンポーネントのページからダウンロードできます。
WindowsNT 4.0 Workstation に付属のもの (Peer Web Service)。
WindowsNT Option Pack に付属のもの。 名前が名前ですが、Windows95 用の PWS も付属しています。 PWS バージョンは 4.0 です。
FrontPage 97/98 に付属のもの。 FrontPage-PWS というものみたいです。
Windows98 に付属のもの。 PWS バージョンは 4.0 のようです。 Option Pack のものと同一なのか否かは、私にはよくわかりません。
このリストは正しい? 情報求む!
追記: C|Net に、 これのことと思われるニュース、 「FrontPage付属ツールにセキュリティホール」 が掲載されていた。 うーん、FrontPage-PWS はけっきょくどういうソフトに入っているんだろう。 またわかんなくなってきた。 Microsoft が認めたと書いてあるけど、 Microsoft Security Advisor Web page にはこの話は出てないみたいだしなぁ。 Patch ができるまでは書かれないのかな。
1999.04.01 追記: March 26, 1999 付けでようやく Microsoft から情報が出た。 Microsoft Security Bulletin (MS99-010): Patch Available for File Access Vulnerability in Personal Web Server です。
これによると、問題は次のものを Windows 9x で動かした場合に発生するとのこと。NT 上では問題は発生しない。
Windows 98 および Windows NT Option Pack に付属する Microsoft Personal Web Server 4.0。
FrontPage 1.1, 97, 98 に付属する FrontPage Personal Web Server。 FrontPage 97/98 には 2 バージョンの PWS (FrontPage Personal Web Server と Microsoft Personal Web Server 2.0) が含まれていて、デフォルトでインストールされるのは後者なので、たいていの人には問題がない……のだそうだ。 FrontPage 1.1 では問題の FrontPage Personal Web Server がデフォルトでインストールされるそうだ。
なんちゅうややこしい名前をつけるんだ、この会社は。 どういうバージョン管理をしとるんだ。
Patch がある。ただし、バージョンをよく確かめてから適用する必要がある。 確かめ方は MS99-010 に書いてある。
Microsoft Personal Web Server 4.0 用:
http://support.microsoft.com/download/support/mslfiles/Pwssecup.exe
FrontPage 98 用の FrontPage Personal Web Server 用:
http://officeupdate.microsoft.com/downloadDetails/fppws98.htm
FrontPage 97 用の FrontPage Personal Web Server 用の patch はない。 Option Pack 付属の PWS 4.0 をインストール後、上記の PWS 4.0 用 patch を適用する。 FrontPage 1.1 も同様。
Microsoft Knowledge Base (KB) はこちら:
article Q216453, FP98: Security Patch for FrontPage Personal Web Server
Article Q217765, FP97: Security Patch for FrontPage Personal Web Server
Article Q217763, File Access Vulnerability in Personal Web Server
もちろん英語版の話なので注意しましょう。(こればっか)
1999.04.19 追記:
日本語 KB が出ている。
article J047293,
W98: パーソナル Web サーバー利用時のセキュリティ問題について
http://www.microsoft.com/japan/support/kb/articles/J047/2/93.htm
ただし、まだ patch は出てない。
Another web-based mail reader hole (Mon, 18 Jan 1999 15:24:09 PST)
http://www.angelfire.com の web ベース mail client において、認証データが URL 中に存在するため、 proxy server などがある環境では log file 中に記載されてしまう可能性がある。
ISS Security Advisory: Vulnerability in the BackWeb Polite Agent Protocol (January 18, 1999)
BackWeb Technologies (日本語ページはこっち) の BackWeb Polite Agent Protocol に弱点。 BackWeb client が存在する local network 上の user が BackWeb server になりすませてしまう。 ソフトなどのリモート配布用に BackWeb を組み込んでいるハード/ソフトベンダーがあるので注意。 ISS は、ベンダーによる fix が登場するまでは、 VeriSign デジタル署名に対応した BackWeb 5.0 にアップグレードすることを推奨している。
Linux 2.0.36 vulnerable to local port/memory DoS attack (Tue, 19 Jan 1999 11:33:19 PST)
Linux 2.0.35 → 2.0.36 で fix されたはずの bug が、 実はまだ残っているという指摘。2.1.x および 2.2.x-pre では発生しない。
NetBSD Security Advisory 1999-001: select(2)/accept(2) race condition in TCP servers (Wed, 20 Jan 1999 20:53:52 +1100)
4.4BSD 由来の TCP 実装に弱点。DoS 攻撃を受ける。 例の nmap がらみの話のようです。 NetBSD Mailing List に流れた情報によると、 警告文に示されている fix、 ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/19990120-accept は一度更新されているそうです。 cksum コマンドの出力が 3269789601 3656 19990120-accept となるものを入手してください。 また、FreeBSD など他の 4.4BSD ベース OS での状況は、よくわかりません。
L0pht Security Advisory: Quakenbush Windows NT Password Appraiser (Thu, 21 Jan 1999 01:03:49 EST)
Quakenbush Consulting の Password Appraiser という password チェックツールは、 なんと次のように動作するという。
hash されたパスワードを Internet 経由で http://pw.quakenbush.com に送り、
解読された平文パスワードを Internet 経由で client に送りかえす。
トロイの木馬とどう違うんだろう。びっくり仰天である。
1999.01.26 追記: Quakenbush から L0pht Advisory に対する声明が発表された。
Sendmail 8.8.x/8.9.x bugware に追記した。
IIS4.0 and Visual Interdev に追記した。
BUGTRAQ からの情報。
Remote Cisco Identification (Mon, 18 Jan 1999 09:48:52 PST)
port 1999 から得られる情報を用いると、 そのホストが CISCO ルータか否かを remote から判断できる。 いやな人は、この port を塞ごう。
NTBUGTRAQ からの情報。
IIS4.0 and Visual Interdev (Mon, 18 Jan 1999 11:58:06 -0800)
Microsoft Visual Interdev 6.0 を使うと、 認証なしで、 IIS 4.0 が稼働するサイトのコンテンツを書きかえてしまえるという。 にわかには信じがたいが、本当だとしたらたいへんな話だ。
1999.01.21 追記: IIS4 が入っている WindowsNT Option Pack には 「Visual InterDev RAD Remote Deployment Support」というのがあって、 こういう警告が書いてあります。
Visual InterDev RAD Remote Deployment Support をインストールするオプションが選択されています。 これは開発用サーバーだけにインストールすることをお勧めします。 これは、作成者がサーバコンポーネントを登録し、Microsoft Transaction Server の設定を変更できる RAD の特性は、サーバーの実行状態に影響するためです。 RAD Remote Deployment Support をインストールする場合、 FrontPage Web の権限を確認し、不要な作成者が Web サーバ上での作成する権限を持たないことを確認してください。
今回の話が、単に「Visual InterDev RAD Remote Deployment Support 入れちゃってました」なら話は早いのですが、きっとそんな単純なことではないんだろうな。
Sendmail 8.8.x/8.9.x bugware に追記した。
セキュリティホールじゃないですが:
Outlook 98 Security "Feature" (from BUGTRAQ, Sat, 16 Jan 1999 20:57:17 -0600)
Outlook 98 の奇妙な「仕様」について述べている。 Outlook 98 では、署名/暗号化されたメールに返信 (reply) できないというのだ。 返信のかわりにフォワード (forward) を使えという。 現行開発版の Outlook 2000 でも同様の仕様となっていると Microsoft から返事が来たそうだ。 なんだかなぁ。
1999.01.27 追記: C|Net に、 この不具合を Microsoft が公式に認め、しかも Outlook 2000 においては fix されるとの記事が掲載されていた。 一歩前進だが、Outlook98 用の fix patch も出せよなぁ。
NTBUGTRAQ からの情報。
MS IIS 4.0 Security Advisory (Thu, 14 Jan 1999 08:25:28 -0000)
IIS 4 において、IIS 2/3 時代の \scripts\iisadmin\ism.dll というファイルが残っていると、 これを通じてアタックがかけられるという指摘。 また、Option Pack から IIS 4 とともに Frontpage Server Extentions をインストールした場合にインストールされる \_vti_bin\fpcount.exe に buffer overrun の不具合があるとも指摘している。 Frontpage Server Extentions 98 ではこの不具合は fix されているそうだ。
手元の IIS 3/4 をみてみたところ、 \scripts\iisadmin\ism.dll というのはなかった。 \_vti_bin\fpcount.exe はあった。 \scripts\iisadmin\ism.dll はどういうときに存在するんだろう。
1999.06.24 追記: この問題は IIS だけでなく Microsoft Peer Web Services (PWS) にも存在すると指摘されている (from BUGTRAQ, Thu, 17 Jun 1999 14:35:37 -0400)。 まぁ確かに PWS の中身は IIS なんだろうけどさ……。
BUGTRAQ からの情報。
Shoddy encryption in Iomega One-Step Backup (Thu, 14 Jan 1999 09:39:05 -0800)
Iomega Jaz 添付の One-Step Backup プログラムにおける 「暗号化パスワード」は、 単に 0x1f を XOR しているだけだという指摘。
Secuity hole with perl (suidperl) and nosuid mounts on Linux (Thu, 14 Jan 1999 17:58:15 +0000)
CD や floppy などを nosuid オプション付きで mount 許可している場合において、 Perl 5.0004_4 の suidperl がこれに対応していないため、 root 権限を奪取されてしまうという指摘。 FreeBSD の mount マニュアルページにはこのことが記述されているというフォローがついているが、 書いてありゃいいという問題じゃないだろう。
FreeBSD の場合は、2.2.7-RELEASE の ports コレクションの perl5 でこの不具合に対応されている、 と FreeBSD-security ML でフォローがついていた。 2.2.[78] および 3.0 以降の packages/ports を使っている人なら ok である。
Sendmail 8.8.x/8.9.x bugware (Sat, 12 Dec 1998 02:22:10 +0100)
sendmail 8.8.x/8.9.x (最新版 8.9.2 含む) に不具合が 2 点あるとの指摘。
うーん……なさけないことに、 私には、1. が何を意味するのかわからない。 どなたかご存知なら教えてください _o_。 2. のほうは「一定量以上のヘッダがあったらそこで抜けるようにしましょうね」ということだと思うんですが。
1999.01.19 追記: 1. はこういうことのようです。
sendmail 付属のツール cf で作成される sendmail.cf は 「アドレスに local host 名が含まれていると、 単純にその部分を取り去り、他のアドレスと同じ処理を続ける」 という部分があるため、 これを利用して特定の mail 配送経路を強制することができ、 ひいては詐称メールや anonymous scanning が可能となってしまう。 「そりゃバグじゃなくて仕様だよ」というかもしれないが、 sendmail 特有の話ではある。
詐称メールはわかるのだけど、anonymous scanning ってなんだろう。
対策として R$*@$*@$* $#error $@ 5.7.1 $: "551 Sorry, no redirections." をルールセット 98 の最初に置け、と書いてある。 hoge@hoge@hoge というやつをエラーではじけ、ということなんでしょう。 foo%bar@baz みたいなやつの親戚なのかな。 機能というか、盲腸というか……。
これは上記のように cf を用いて作成した sendmail.cf の話ですが、 手元で試した限りでは、 日本においてよりメジャーな sendmail.cf 作成 tool CF で作成されたものでもそうなっているように思います。
情報をくださった馬場@東京大学さん、ありがとうございます。
1999.01.21 追記:
2. に関して、O MaxHeaderLines=
1999.01.22 追記:
O MaxHeaderLines=
FreeBSD-users ML からの情報。
2.2.8-RELEASE errata -- getpwnam
FreeBSD 2.2.8-RELEASE の ERRATA として 「getpwnam(3) の意味が間違ってしまう場合があります」 というのがあり、対策として「libc を修正してリコンパイル」とあるが、 実際には libc を static link しているものについても再生成・再インストールが必要なのでは、という指摘。
BUGTRAQ からの情報。
Re: Dosemu/S-Lang Overflow + sploit (Tue, 12 Jan 1999 19:21:34 +0100)
1999.01.07 記事に掲載した dosemu の fix 版 0.99.6 が出たそうだ。 S-lang 1.2.2 によって不具合を回避とのこと。 ftp://ftp.dosemu.org/dosemu/Development/dosemu-0.99.6.tgz から入手できる。
Livingston PM3s Die - Comfirmed DoS Attack
Livingston PortMaster 3 に弱点。DoS 攻撃を受ける。 投稿記事によると、フィルタを設定して防ぐ必要があるようだ。
このところ雑用がたまっていて、このページの更新が遅れてます。ごめんなさい。 来週になるとすこし時間がとれそうなのですが。
BUGTRAQ からの情報。
Really silly ff.core exploit for Solaris (Thu, 7 Jan 1999 12:28:59 -0500)
Solaris 2.5.1, 2.6 の /usr/openwin/bin/ff.core に弱点。 local user が root 権限を得られる。 Solaris 2.6 用 patch 106222-01 版も bug っている。 Solaris 7 も同様とのフォローがついている。
L0pht tmp tool and (mini) Advisory (Jan 8 1999)
L0pht 重工からの新しい tool のおしらせ。 あわせて、これを使って Solaris 2.5 の cron が作成する一時ファイルのランダム性が低いことを示した。 オリジナルはこちら: http://www.l0pht.com/advisories/watch.txt
Buffer overflow in www.boutell.com cgic library (Sun, 10 Jan 1999 16:55:04 +0000)
Thomas Boutell 氏作の cgic CGI ライブラリ の cgiFormEntryString() に buffer overflow 不具合があるという指摘。
Cisco Security Notice: Cisco IOS Syslog Crash (Mon, 11 Jan 1999 16:00:56 -0000)
1998.12.24 記事 で述べた nmap UDP scan mode による CISCO IOS の不具合に関して、 CISCO から正式にアナウンスされた。 修正版 IOS も用意されているようだ。
CISO オリジナル web page は http://www.cisco.com/warp/public/770/iossyslog-pub.shtml である。
Sekure SDI Advisory: mSQL Remote Bug (fwd) (Mon, 11 Jan 1999 01:53:30 -0200)
mSQL SQL サーバに弱点。 2.02 以前では buffer overrun してしまう。 また、2.03 以降においても DoS 攻撃を受ける。
Sekure SDI オリジナルはこちら: http://www.sekure.org/advisories/sekure.01-99.msql.eng
たくさんたくさんの場所から:
"Frame Spoof" 問題の修正プログラム (日本語版)
1998.12.24 付けで報告した MSIE 4.01 の Frame Spoof patch の日本語版が出た。 これは、なかなか早かったですね。 すばらしい。これからもこうあってほしいです。
Microsoft Knowledge Base (KB) はこちら: J046417, [IE4] Frame Spoof 問題を回避するための修正プログラム
The Frame-Spoofing Vulnerability (January 7, 1999)
Netscape もようやく Frame-Spoofing 不具合の存在を認めた。 しかし、現在リリースされている software の fix はせず、 次リリース版において fix としているのには困ったものです。 こういうことが続くと、 きちんと fix してくれる MSIE のほうが安心のような気がしてきます。
セキュリティホールじゃないですが:
NFR Version 2.0.2 Research Now Available (Thu, 7 Jan 1999 14:06:50 -0500)
セキュリティ tool、 Network Flight Recorder Version 2.0.2 Research がリリースされたそうです。
Re: Anonymous Qmail Denial of Service (Thu, 7 Jan 1999 21:43:34 GMT)
Hashcash という tool があるそうです。
1999.01.12 修正: Enema - DoS attack against Microsoft IIS and Microsoft Proxy Server の情報は 1998.12.22 の IIS の記事と同じ内容だったのでコメントアウトした。
C|Net Briefs からの情報:
メールの添付ファイルに仕込まれたトロイの木馬が AOL パスワードなどを get していく、というモノがあるらしい。 まぁ、誰だかわからんやつから来たメールの添付実行ファイルをいきなり実行したりはしないほうがいいですね。
正月早々めちゃめちゃ多いなぁ。まいるぜ。
BUGTRAQ からの情報。
Nmap 関連 (1998 年 12 月の情報も参照):
SecureXpert Labs Advisory [SX-98.12.30-01]: DoS vulnerability in Novell Intranetware Client 3.0.0.0 (Wed, 30 Dec 1998 21:27:02 EST)
Novell Intranetware Client 3.0.0.0 がインストールしてある MS Windows95/98 に nmap -sS すると bule screen になる。 素の MS Windows95/98 ではそうはならないとのこと。
nmap kills hylafax too (Sat, 02 Jan 1999 09:39:08 +0100)
hylafax 4.0 の hfaxd daemon が nmap -sS で死ぬ。
nmap can crash microsoft telnetd (Sat, 02 Jan 1999 09:39:08 +0100)
Microsoft winnt telnetd (小島: Services for UNIX のもの? Service Pack のもの?) も nmap -sS で死ぬ。
Re: Network Scan Vulnerability [SUMMARY] (05 Jan 1999 13:43:56 +0100)
FORE PowerHub, 7-2.6.3.4-P10 が nmap -sS -O (nmap V2.00) で死ぬ。
Simple nmap/inetd workaround (Wed, 30 Dec 1998 14:10:36 EST)
nmap 対策として ( trap "" 13; exec /path/to/inetd ) するのがよいという情報。 inetd の内部 TCP/IP サービス (time, echo, discard, daytime, chargen) も止めたほうがいいという フォロー も投稿されている。 これらは他の DoS attack の原因にもなるので、 コメントアウトして inetd を再起動するのがよいですね。 いまどきの FreeBSD とかだと、最初からコメントアウトされてます。
Nmap 2.02 released (fwd) (original: Tue, 29 Dec 1998 15:46:24 -0600)
その nmap の version 2.02 がリリースされたそうです。
Local/remote exploit for SCO UNIX (Tue, 29 Dec 1998 19:22:03 +0300)
SCO OpenServer Enterprise System v 5.0.4p の calender server に buffer overflow バグ。remote user が root 権限を奪取できる。
[patch] fix for urandom read(2) not interruptible (Sun, 27 Dec 1998 20:40:32 +0100)
Linux で dd if=/dev/urandom of=/dev/null bs=100000k count=20000 としたら kill するのが困難だった……ということでこれを fix する patch。
netscan.org - broadcast ICMP list (Tue, 29 Dec 1998 16:11:27 PST)
http://netscan.org なんてのがあるんですって。おまけに Smurf Amplifier Registry もあるぞ、というフォローまでつくしまつ。いやはや。
Win32 ICQ 98a flaw (Fri, 01 Jan 1999 14:20:34 +1100)
ICQ で、ファイルを他の ICQ ユーザに送ると、 ウィンドウが pop-up して save するかどうかを確認するようになっている。 が、このファイル名に改行付きのものを指定すると、 ICQ は改行までしか表示しない。このため、たとえば
"leah2.jpg .exe"
なんて名前だと、leah2.jpg としか表示されない。 さらに、ICQ には転送されてきたファイルを転送終了後に開く option がある (小島: 自動で、なんだろうなぁ) 。 これが ON の場合、 上記ケースでは「一見画像ファイル実は実行ファイル」が見事に実行されてしまう。
投稿者は ICQ 98a でしか確認していない、とのこと。 IRC クライアント mIRC でも同様とのフォローがついている。
ACC's 'Tigris' Access Terminal server security vunerability.. (Sun, 03 Jan 1999 00:55:22 +1100)
ACC の 'Tigris' Access Terminal server に弱点。 設定を読んだりコマンドを実行できてしまう。 防止するには telnet アクセスを制限せよとのフォローがついている。
1999.02.04 追記: ソフトウェアバージョン 11.1.23.3 において fix されたというフォローが投稿されていた。
L0pht Advisory - DataLynx suGuard (Jan 3 1999)
DataLinx suGuard に弱点。 local user が root 権限を奪取できる。
[SECURITY] New versions of netstd fixes buffer overflows
Debian GNU/Linux の netstd パッケージ中の bootp サーバと FTP クライアントに弱点。 新バージョンが出ている。
Source archives: ftp://ftp.debian.org/debian/dists/stable/main/source/net/netstd_3.07.orig.tar.gz MD5 checksum: 6f594f125f6eaa168e00c3b2234c34cc ftp://ftp.debian.org/debian/dists/proposed-updates/netstd_3.07-2hamm.4.diff.gz MD5 checksum: 157a50142e263a6add4f128e8c40cb74 ftp://ftp.debian.org/debian/dists/proposed-updates/netstd_3.07-2hamm.4.dsc MD5 checksum: eb6548e15741214ab1d16f55a0b2b53b Intel architecture: ftp://ftp.debian.org/debian/dists/proposed-updates/netstd_3.07-2hamm.4_i386.deb MD5 checksum: 09e42bdecf569362df94be850605645b Motorola 680x0 architecture: ftp://ftp.debian.org/debian/dists/proposed-updates/netstd_3.07-2hamm.4_m68k.deb MD5 checksum: a66b5da8f54d382eaaa53586b498c302
これらファイルはまもなく ftp://ftp.debian.org/debian/dists/hamm/*/binary-$arch/ に移動されるとのこと。
Dosemu/S-Lang Overflow + sploit (Mon, 04 Jan 1999 06:26:52 GMT)
dosemu は S-Lang ライブラリを使用しているが、 この S-Lang に存在する buffer overflow バグのために local user が root 権限を奪取できる。 投稿者は RedHat Linux 5.2 で確認。 この dosemu の他にも、 S-Lang を使った SUID root プログラムについては同様の不具合になる可能性が高い。
Win95/98 SMB Authentication Vulnerability (Tue, 05 Jan 1999 00:24:59 EST)
L0phtCrack 2.5 開発中に、 開発チームは Windows 95/98 からの challenge が 15 分間同じままであることに気がついた。 これをうまく使えば、 challenge-response 機構にもかかわらず再使用攻撃が可能となる。
15 分間同じ challenge なんて、challenge じゃねーだろ! Microsoft は何考えてんだ。たのむよ。
ssh ML からの情報:
SSH2 Remote Forwarding Bug and Patch
version 2.0.11 以前の sshd2 にセキュリティホールがある。 root にならなくても privileged port を remote へ forward できてしまう。 patch は http://www.ssh.fi/sshprotocols2/sshd_remote_forwarding.html から入手できる。
RedHat-announce ML よりの情報。
SECURITY: New pam packages available
1998.12.24 付け記事の fix。 pam_unix_passwd.so を置きかえる。
Red Hat Linux 5.0, 5.1 and 5.2: =============================== alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/pam-0.64-4.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/pam-0.64-4.i386.rpm sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/pam-0.64-4.sparc.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/pam-0.64-4.src.rpm Red Hat Linux 4.2: ================== alpha: rpm -Uvh ftp://updates.redhat.com/4.2/alpha/pam-0.57-5.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/4.2/i386/pam-0.57-5.i386.rpm sparc: rpm -Uvh ftp://updates.redhat.com/4.2/sparc/pam-0.57-5.sparc.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/pam-0.57-5.src.rpm
SECURITY: Announcement of ht://Dig 3.1.0b4 RPMs
ht://Dig 3.1.0b1 から b3 に弱点。b4 で fix された。 http://www.scrc.umanitoba.ca/htdig/rpms/ から fix パッケージを入手できる。
セキュリティホールじゃないですが:
Improved icmp time/mask querying program (Mon, 4 Jan 1999 17:20:36 -0700)
ICMP を使って時刻とネットマスクを得る tool。
Tripwire mess.. (Mon, 04 Jan 1999 17:10:16 +0500)
tripwire 1.2 に bug。 8bit 目が立っているファイルがあると core dump してしまう。 これの fix。
ご存知 L0phtCrack の最新版。