セキュリティホール memo - 1999.02

Last modified: Tue May 6 22:23:33 2003 +0900 (JST)

1999.02.26

• 1999.02.24 の BlackHats Security Advisory: Any user can download binaries and virus infected files though the InterScan VirusWall に追記した。

• CERT Summary CS-99-01
  (from ip-connection ML, Wed, 24 Feb 1999 19:19:05 +0900 (JST))

  CERT summary 99-01。中身はこう:

  1. あいかわらずの scan もの

  2. Windows 9x/NT リモートコントロール tool, Back Orifice および NetBus

  3. トロイの木馬

  4. FTP buffer overflow

  戸田@千葉大さんによる日本語版が http://aohakobe.ipc.chiba-u.ac.jp/staff/yozo/notes/security/CS9901-jis.txt にある。

• 1999.02.24 の Pentium IIIのチップIDは本当に「オフ」にできるのか? に追記した。

1999.02.24

• Pentium IIIのチップIDは本当に「オフ」にできるのか?
  (from ZDNet News, 1999年2月24日)

  Intel Pentium III の「チップID」機能が、自由に On/Off できてしまうという話。 もともと Boot 時には Off にできるもののようだけど、 「特権モードでなくても」「Off → On でも」という意味なのかな。

  1999.02.26 追記: HotWired にも記事が出ていた。 こちらの方が詳しい。 「ペンティアム3の個人情報ハック法」

• New IE4 vulnerability : the clipboard again.
  (from NTBUGTRAQ, Mon, 22 Feb 1999 23:39:07 +0100)

  Microsoft Internet Explorer 4.x には、 Microsoft Security Bulletin MS99-001 で fix された他にもまだ clipboard がらみの弱点があるという指摘。 詳細は http://pages.whowhere.com/computers/cuartangojc を参照のこと。

  手元の Windows NT 4.0 SP4 + MSIE 4.01 SP1 で試してみたが、見事に clipboard の内容が表示されてしまった。

• Microsoft Security Bulletin (MS99-007): Patch Available for Taskpads Scripting Vulnerability
  (from Microsoft Product Security Notification Service, Mon, 22 Feb 1999 19:08:01 -0800)

  Microsoft Windows 98 Resource Kit, Windows 98 Resource Kit Sampler, および BackOffice(r) Resource Kit second edition に含まれる Taskpads に弱点。 悪意ある web site 管理者は、Taskpads 経由で、 接続ユーザのコンピュータ上の全コマンドを実行できてしまう。 これは、Taskpads が "safe for scripting" であると誤って登録されていることに起因する。

  Patch がある:

  • Windows 9x: Windows 98 Resource Kit, Windows 98 Resource Kit Sampler, and BackOffice, second Edition for Windows 95 and 98

    ftp://ftp.microsoft.com/reskit/win98/taskpads/tmcpatch.exe

  • Windows NT: Microsoft BackOffice Resource Kit, second edition for Windows NT

    for x86: ftp://ftp.microsoft.com/reskit/nt4/x86/taskpads/itmcpatch.exe

    for Alpha: ftp://ftp.microsoft.com/reskit/nt4/alpha/taskpads/atmcpatch.exe

  Microsoft Knowledge Base (KB) はこちら:
  article Q218619, Taskpads Lets Web Sites Invoke Executables from a User's Computer. http://support.microsoft.com/support/kb/articles/q218/6/19.asp

  リソースキットに「日本語版」という概念はなかったはずなので、 上記は日本で売られている各リソースキットにも適用できる……と思うけど、実際のところどうなんでしょう。

• BlackHats Security Advisory: Any user can download binaries and virus infected files though the InterScan VirusWall
  (from BUGTRAQ, Mon, 22 Feb 1999 21:31:51 +0100)

  トレンドマイクロの InterScan VirusWall に弱点。 2 つの http get リクエストを同時に送ると、VirusWall のチェックをすり抜けてしまう。また、これが log に残らない。 報告者は Solaris 版でしか確認していないが、他のプラットホームにおいても同様かもしれないので注意すること。

  1999.02.26 追記: この問題は fix され、 http://www.antivirus.com から patch を入手できるようになったそうだ。 (from BUGTRAQ )

• Severe Security Hole in ARCserve NT agents
  (from BUGTRAQ, Sun, 21 Feb 1999 21:19:42 -0500)

  ARCserve NT agents を TCP/IP 上で使用する場合、 ネットワーク上を流れるユーザ名/パスワードがごく単純な方法でしか変換されていないため、簡単に奪取できてしまうという指摘。

• ISS install.iss security hole
  (from BUGTRAQ, Sat, 20 Feb 1999 20:59:23 -0500)

  Linux 用の ISS Internet Security Scanner トライアルバージョン (version 5.3) のインストールスクリプトに弱点。 次のようなコードが含まれている。

    # Only root can pass the next four operations.
    # Yes it's ugly - BUT IT WORKS!
    touch /tmp/.root.$$ >> /dev/null 2>&1
    chmod 600 /tmp/.root.$$ >> /dev/null 2>&1

  /tmp/.root.$$ がシンボリックリンクであるか否かをチェックしていないため、 あらかじめ /tmp/.root.$$ (0 < $$ <= 65535) という名前のシンボリックリンクを作成されてしまうと、 インストールスクリプト実行後にひどいことになる。

• Plaintext Password in TriActive Remote Manager Software
  (from BUGTRAQ, Fri, 19 Feb 1999 17:35:45 -0500)

  Windows9x/NT 用のリモート管理ソフト、 TriActive Remote Manager に弱点。ユーザ名およびパスワードを平文でレジストリに格納してしまう。

• snap utility for AIX
  (from BUGTRAQ, Wed, 17 Feb 1999 10:17:08 -0500)

  AIX に添付されているシステム診断ユーティリティ snap は、 動作中 /tmp/ibmsupt/ 以下にシステムファイルのコピーを作成する。 これにより、local user にパスワードファイル /etc/security/passwd など重要なファイルを入手されてしまう潜在的危険性が発生している。 具体的な方法については J. Barber 氏の投稿に示されている。

• Security hole: "zgv"
  (from BUGTRAQ, Fri, 19 Feb 1999 18:10:00 +0000)

  Linux 用の image viewer "zgv" に弱点。local user が root 権限を得られる。 zgv に限らず、SVGAlib を使っている suid root プログラムは全て同様の弱点を有するという。

• 1998.11.24 の Silicon Graphics Inc. Security Advisory: Vulnerability in ToolTalk RPC Service に 追記した。

• 1999.01.28 の Digital Unix 4.0 exploitable buffer overflows に 追記した。

• Password storing problem in Kabsoftware Lydia utility
  (from BUGTRAQ, Fri, 19 Feb 1999 16:58:13 +0200)

  Kabsoftware の Lydia メールユーティリティが C:\Windows\Lydia.INI に保存するパスワードの保存方法に弱点。 パスワードを容易に推測できてしまう。

• Linux autofs overflow in 2.0.36 to 2.2.1
  (from BUGTRAQ, Fri, 19 Feb 1999 00:09:29 -0500)

  linux-2.0.36 〜 2.2.1 までの autofs kernel module に弱点。 Buffer overflow するため、DoS 攻撃を受け、 潜在的な root 権限奪取の可能性を持つ。 2.2.1 への fix patch が添付されている。

  Linux kernel は最近 2.2.2 が出ているが、 これにこの問題の fix が含まれるか否かは私は知らない。(情報求む!)

• Inherent weaknesses in NT system policies
  (from BUGTRAQ, Wed, 3 Feb 1999 22:41:52 -0000)

  Microsoft Windows NT において、 ユーザの操作に関してシステムポリシーで制限をかけても、 実際にはそれをバイパスする方法があるという指摘。 まぁ、「そうですねぇ」としか言いようがない。 しょせん NT なんだし。

1999.02.23

今日も追いつけない……。

• 1999.02.15 の traceroute as a flooder に追記した。

• Quake client killer
  (from BUGTRAQ, Tue, 16 Feb 1999 21:25:47 +0000)

  Linux などから dd if=/dev/zero | nc -u client 27501 とすると、client が Windows9x で、Quake client が動作していた場合に、 Quake client が異常終了してしまうという指摘。 nc は netcat のことだろう。 client/server バージョンは 2.30 で、Quake サーバおよび Linux 用の client は問題ないと補足されている。

• ADMsnmp SNMP Audit scanner
  (from BUGTRAQ, Thu, 18 Feb 1999 01:02:25 +0100)

  snmp port の弱点を探る tool ……ということになっている。

• Debian GNU/Linux 2.0r5 released
  (from BUGTRAQ, Wed, 17 Feb 1999 19:23:37 -0400)

  これまでに発見された security fix を含む、Debian GNU/Linux 2.0r5 がリリースされたという情報。

• Pingflood attack against Windows98
  (from BUGTRAQ, Thu, 18 Feb 1999 21:44:24 -0300)

  一時期 Ping of Death という DoS 攻撃が流行って、 その後 Windows95 を含むほとんどの OS ではこれに対する対策がとられた……はずなのに、 Windows98 ではこれが復活しているという指摘。 具体的方法については訂正記事が投稿されている。

  1999.03.05 追記: office さんから、 これは Pingflood であって Ping of Death とは違う、という指摘をいただいた。

  • Pingflood - 大量の ping パケットを送りつづけて落す。

  • Ping of Death - 巨大な ping パケットを 1 発送って落す。

  BUGTRAQ の記事にもちゃんと「Pingflood」って書いてある。 すいません。ボケてました。ご指摘ありがとうございます。

  office さんはさらに、この事象が実際に発生するか否かを検証されている。 ここでは、Windows98 日本語版は Pingflood に耐えたと報告されている。

• Communicator にも「ウィンドウ騙し」バグ
  (from C|Net Briefs, Thu 18 Feb 1999 12:20 PT)

  Netscape Navigator/Communicator に Window spoof バグがあるという話。 バグ発見者の BUGTRAQ への投稿が元ネタと思われる。Netscape 自身がバグの存在を認めた、とある。 あいかわらず JavaScript が元凶だそうで、困ったもんだね。

  Microsoft Internet Explorer での window spoof については、 1999.02.01 に記載した Javascript %01 bug in Internet Explorer に情報がある。 また、親戚である Frame spoof バグについては、 1999.01.12 の MSIE や Netscape の情報を参照してほしい。

• 1999.02.17 の ISSalert: ISS Security Advisory: Buffer Overflow in "Super" package in Debian Linux に追記した。

• 1999.02.18 の [HERT] Advisory #002 Buffer overflow in lsof に追記した。

1999.02.22

MACWORLD Expo/Tokyo に行っていたので更新が遅れています。すいません。

• Microsoft Security Bulletin (MS99-006): Fix Available for Windows NT "KnownDLLs List" Vulnerability
  (from Microsoft Product Security Notification Service, Fri, 19 Feb 1999 22:32:02 -0800)

  Windows NT 3.5, 3.51, 4.0 に弱点。 NT が持つ DLL キャッキュ機能を利用して管理者権限を奪取できる。 UNIX で、suid root なプログラムと LD_PRELOAD 環境変数を使って root 権限を奪取する、という話に似ていると思う (違うかも)。

  これを fix するには、次のレジストリエントリを設定する。 こういうのは、デフォルトで設定しておいてもらいたいものだ > Microsoft。

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager:
     Name: ProtectionMode
     Type: REG_DWORD
     Value: 1

  Microsoft Knowledge Base (KB) はこちら:
  article Q218473, Restricting Changes to Base System Objects, http://support.microsoft.com/support/kb/articles/q218/4/73.asp

  日本語 NT にも同様に設定できると思うけれど、 日本語アドバイザリページには何の情報もない。 訳だけでいいはずなんだから、とっとと整備してもらいたいものだ。

  オリジナル情報はこちら: L0pht Security Advisory: Windows NT: any local user can gain administator privileges and/or take full control over the system

  1999.03.08 追記: 上記 Microsoft Security Bulletin (MS99-006) が update されている。内容が大幅に変更されているので必ず再読すること。 だいたいの変更点は以下のとおり:

  • 対象 OS は Windows NT Workstation 4.0 および Server 4.0 (Enterprize Edition, Terminal Server Edition 含む) だけ。3.5, 3.51 には問題がない。 KB Q218473 はまだ更新されていないようだが、きっと直るのだろう。 違うかな?

  • HotFix が用意された。 これらは、KnownDLLs のデフォルトパーミッションを変更する。

     - X86-based Windows NT Workstation and Server 4.0
       (including Enterprise Edition):
       ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Smss-fix/Smssfixi.exe
     - X86-based Windows NT Server 4.0, Terminal Server Edition:
       ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/Smss-fix/Smssfixi.exe
     - Alpha-based Windows NT Workstation and Server 4.0
       (including Enterprise Edition and Terminal Server Edition):
       ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Smss-fix/Smssfixa.exe
     - Alpha-based Windows NT Server 4.0, Terminal Server Edition:
       ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/Smss-fix/Smssfixa.exe

  • レジストリの変更はもはや推奨されていない。 上記 HotFix の適用が推奨されている。

  また、KB Q218473 の日本語版が登場した。 J046993, [NT] KnownDLLs の変更による Admin 権限の取得
  http://www.microsoft.com/japan/support/kb/articles/J046/9/93.htm
  しかし上記のような具合なので、きっと変更されると思う。 タイミングが悪いというかなんというか……。

  1999.03.15 追記: 1999.03.08 付けで日本語アドバイザリページも更新されている。でも 1999.03.08 に上記追記を記述した時点では更新されてなかったんだがなぁ。 中身も上記 KB へのリンクだけだし。 patch はどうしたんだ > MSKK。

1999.02.18

• [HERT] Advisory #002 Buffer overflow in lsof
  (from BUGTRAQ, Thu, 18 Feb 1999 01:30:35 +0100)

  UNIX 用の "list open files" ユーティリティ lsof に buffer overrun する弱点。 多くの Linux ディストリビューションや FreeBSD, OpenBSD では lsof は sgid kmem でインストールされるため、 kmem グループ権限が得られてしまう。 とりあえず chmod 0755 lsof などしてお茶を濁しておこう。

  1999.02.23 追記: fix patch が登場した。1 次配布サイトは線が細いらしいので、 日本ミラーサイトから入手しよう。(from BUGTRAQ)

  ftp://ftp.web.ad.jp/pub/UNIX/tools/lsof/patches/4.40/arg.c.patch

  RedHat Linux 用の fix RPM も用意できている。 (from redhat-announce-list ML)

  Red Hat Linux 5.2:
  ==================
  
  alpha:
  rpm -Uvh ftp://updates.redhat.com/5.2/alpha/lsof-4.40-1.alpha.rpm
  
  i386:
  rpm -Uvh ftp://updates.redhat.com/5.2/i386/lsof-4.40-1.i386.rpm
  
  sparc:
  rpm -Uvh ftp://updates.redhat.com/5.2/sparc/lsof-4.40-1.sparc.rpm
  
  Source rpm:
  rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/lsof-4.40-1.src.rpm

• Backup Exec/McAfee Virus
  (from NTBUGTRAQ, Tue, 16 Feb 1999 22:08:57 -0600)

  Seagate Software の Microsoft WindowsNT 用バックアップソフト BackupExec version 7.2 に弱点。 version 7.2 に組みこまれたウィルススキャン・除去機能が誤動作し、 Visual Basic の "class" ファイル (.cls) を、 ウィルスに感染したとして削除してしまう。 version 7.2 には Network Associates の VirusScan と同等の機能が組みこまれているのだが、 これ用の 1999.01.23〜1999.02.09 までのウィルスデータファイルに問題があり、 前記動作となる。最新のデータファイルではこの不具合が fix されている。

  以上はもちろん BackupExec 英語版の話だが、 日本でも version 7.2J が1999.01.07 より発売されているため、 同様の事態が発生する可能性がある。 注意されたい。

• 1999.02.12 の DNS without NSD on Irix 6.5 に追記した。

• 1999.02.12 の 誰でも使えてしまう proxy server のリストに追記した。

• 1999.02.17 の シリコンバレーで猛威をふるう「Happy99.exe」に追記した。

1999.02.17

ftp daemon まわりのさわぎのおかげで、このページの更新が滞っています。 いくつか話が前後するものがあります。すいません。

• 1999.02.04 の Microsoft Security Bulletin (MS99-003): Patch Available for IIS "Malformed FTP List Request" Vulnerability に追記した。

• [IIS] リソースの ACL のため権限がありません
  (from Microsoft サポート技術情報, 1999/02/12)

  Microsoft Knowledge Base (KB) J046758 の文章である。 IIS 4 上で ASP ファイルを実行させようとした場合にエラーが出る場合への対処法が書いてある。

  この対処法が読んでびっくり。「2. Windows NT Server がインストールされているディレクトリ (例: ¥WINNT) に匿名ユーザーに対する書き込みのアクセス権を設定します」だそうだ。 おいおい、anonymous user にシステムディレクトリの write access を許さないと動かないってのは、いったいどういう了見なんだ。 いくらなんでもひどすぎるぞ。

• 1998.12.22 の Microsoft Security Bulletin (MS98-019): Patch Available for IIS "GET" Vulnerability に追記した。ようやく日本語 patch の登場とあいなった。 ただし IIS 4 用のみだ。

• NAI Security Advisory: Vulnerability in NFR 2.0.2-Research
  (from BUGTRAQ, Tue, 16 Feb 1999 14:19:15 -0800)

  Network Flight Recorder 2.0.2-Research に含まれる web サーバに buffer overflow する弱点。 remote user が管理者権限を得られる。 問題を fix した 2.0.3 が用意されたとアナウンスされているので、これに乗りかえよう。

• RedHat sysklogd vulnerability
  (from BUGTRAQ, Tue, 16 Feb 1999 02:22:56 -0500)

  sysklogd には Thu, 10 Sep 1998 に BugTraq に投稿された問題があるのだが、 そのとき報告者が記述した patch には不備があるという。 この不備のあるものが RedHat Linux のパッケージ sysklogd-1.3-26 として配布されているので、ほんとうに fix された最新パッケージ (1.3-30) に入れかえよう。

• Applets listening on Sockets in Java
  (from BUGTRAQ, Tue, 16 Feb 1999 08:37:59 -0500)

  BUGTRAQ ではここしばらく open socket in java というスレッドが続いていたのだけれど、 "Securing Java" という本を Web 上で公開してるからそれを読め、 と著者自身が投稿していた。

• snplog-1.0 buffer overflow
  (from BUGTRAQ, Tue, 16 Feb 1999 00:42:49 +0000)

  snplog 0.1 に buffer overflow する弱点があるという指摘。

• IIS 4.0 SMTPSVC vs. QMAIL
  (from NTBUGTRAQ, Tue, 16 Feb 1999 14:03:43 -0600)

  Microsoft NT OptionPack の SMTP service から qmail に SMTP 接続しようとすると、 次のようになるという。

  1. Qmail が接続を切断。エラーを返す。

  2. SMTP service はエラーを認識できず、 直ちに再接続を実行。

  3. Qmail が接続を切断。エラーを返す。

  4. ……以下くりかえし……

  結果的に、qmail サイトへの DoS 攻撃が発生してしまうという。 この情報自体は Mon, 28 Dec 1998 10:40:41 CST 付けの投稿で指摘されている (見逃していた……)。

  fix するには qmail および MS SMTP service 両方を変更する必要があるという。 qmail には a patch for stray line feeds を適用するとしている。 これは、MS SMTP service がきちんと CR/LF で送ってないという意味か?

  投稿者は patch は qmail home page から入手できるようなことを書いているが、 私にはそのようなものはみつけられなかった。 qmail 作者は qmail home page において、patch を適用するのではなく、

  if you have buggy clients that send bare LFs, and you want to treat their messages the same way sendmail does, you can simply run sh -c 'fixcr | qmail-smtpd' for your outgoing mail relay.

  と言っているし、ほんとにあるのかな。 いちおう qmail ML のアーカイブを検索したところ、 http://www.gbar.dtu.dk/~c948374/qmail/qmail-bare-lf.diff というものはみつかった。 これは qmail 1.01 用のようだ。

  MS SMTP service は smtpsvc.dll を version v5.5.1877.18 にする。 これは MS から入手できるらしい。

• シリコンバレーで猛威をふるう「Happy99.exe」
  (from ZDNet News, 1999年2月16日)

  シリコンバレー方面で Happy99.exe というワームが流行っているそうだ。 メールの添付ファイルとして到達し、起動後は winsock32.dll を書きかえてワーム化するそうだ。 http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM に修復方法詳細が紹介されている。

  そのうちこのへんにも飛び火してくるかもしれないので気をつけよう。

  1999.02.18 追記: 上記修復方法の日本語ページがある。 http://www.null.nu/happy99/
  (from INTERNET Watch, Wed, 17 Feb 1999 22:33:14 JST)

• [SECURITY] New versions of cfengine fixes symlink attack
  (from BUGTRAQ, Tue, 16 Feb 1999 01:12:20 +0100)

  Debian GNU/Linux に含まれる cfengine パッケージに弱点。 一時ファイルの扱いに問題があり、symlink attack を受ける。 問題を fix したパッケージが用意されている。

  Debian GNU/Linux 2.0 alias hamm
  -------------------------------
  
    Source archives:
      ftp://ftp.debian.org/debian/dists/stable/main/source/admin/cfengine_1.4.9.orig.tar.gz
  	  MD5 checksum: 9c952524f2ce0a3dae6728f63d28a3ce
      ftp://ftp.debian.org/debian/dists/stable/main/source/admin/cfengine_1.4.9-3.diff.gz
        MD5 checksum: 9de13ab36791319a846f5d50248b8ed5
      ftp://ftp.debian.org/debian/dists/stable/main/source/admin/cfengine_1.4.9-3.dsc
        MD5 checksum: 6d5f1d2c10ec0a0eeef07dd73244bb44
  
    Intel architecture:
      ftp://ftp.debian.org/debian/dists/stable/main/binary-i386/admin/cfengine_1.4.9-3_i386.deb
        MD5 checksum: c935781e39141fdcc5b3e3e7a1b5ac7b
  
    Motorola 680x0 architecture:
      ftp://ftp.debian.org/debian/dists/stable/main/binary-i386/admin/cfengine_1.4.9-3_m68k.deb
        MD5 checksum: 8628802255c66796f8acd3fe1844bb0b

  これらはまもなく ftp://ftp.debian.org/debian/dists/hamm/*/binary-$arch/ に移動されるとのことだ。

• KSR[T] Advisory #10: mSQL ServerStats
  (from BUGTRAQ, Mon, 15 Feb 1999 04:56:24 -0500)

  mSQL の remote access を許すと危険が生じるという指摘。

• ISSalert: ISS Security Advisory: Buffer Overflow in "Super" package in Debian Linux
  (from BUGTRAQ, Mon, 15 Feb 1999 09:36:56 -0800)

  Debian GNU/Linux に含まれている super パッケージに弱点。 local user が root 権限を得られる。 少なくとも super 3.9.6 から 3.11.6 までに弱点が存在する。 FreeBSD の packages に含まれているものなども同様と思われるが、 ISS は FreeBSD を知らないのかな?

  弱点は version 3.11.7 で fix されているので、これに入れかえる。 ソースは ftp://ftp.ucolick.org/pub/users/will/super-3.11.7.tar.gz から入手できる。 入れかえるまでは chmod 755 /usr/bin/super などとしておく。

  1999.02.23 追記: Debian GNU/Linux 用の fix パッケージが用意されている。 ディレクトリは potato になっているが、2.0 (hamm) や 2.1 (slink) でも使えるバイナリだそうだ。 (from BUGTRAQ)

    Source archives:
      ftp://ftp.debian.org/debian/dists/potato/main/source/admin/super_3.11.7-1.diff.gz
        MD5 checksum: ad2b28848ab83824e9a4256fb5610c6a
      ftp://ftp.debian.org/debian/dists/potato/main/source/admin/super_3.11.7-1.dsc
        MD5 checksum: a380591182beb282aca04f52c90a99d2
      ftp://ftp.debian.org/debian/dists/potato/main/source/admin/super_3.11.6.orig.tar.gz
        MD5 checksum: 591cdcc50c9cfbaabc019889796dc43f
  
    Intel architecture:
      ftp://ftp.debian.org/debian/dists/potato/main/binary-i386/admin/super_3.11.7-1.deb
        MD5 checksum: 1979e2fa15b0e2161d6e3fae4ff5fa92
  
    Motorola 68xxx architecture:
      ftp://ftp.debian.org/debian/dists/potato/main/binary-m68k/admin/super_3.11.7-1.deb
        MD5 checksum: 479dc49e7fe996bba35c1c2b94c155bd
  
    PowerPC architecture:
      ftp://ftp.debian.org/debian/dists/potato/main/binary-powerpc/admin/super_3.11.7-1.deb
        MD5 checksum: 20d464d1d3f4322d393e825377d20cfe

• CERT Coordination Center 1998 Annual Report (Summary)
  (from INTERNET Watch, Mon, 15 Feb 1999 23:21:11 JST)

  US CERT の 1998 年年報。

• Mail-Max Remote Buffer Overflow Exploit
  (from BUGTRAQ,Sun, 14 Feb 1999 01:00:30 -0500)

  Microsoft Windows 9x/NT 用のメールサーバ Mail-Max に弱点。 buffer overrun するため unauthorized remote access が可能。 デモプログラムが添付されている。

  Mail-Max というのは MailMax のことだと思うんだけど、もしかしたら違うのかな。 MailMax 最新版は 2.0 となっているけど、上記不具合が 2.0 で発生するのか否かは不明。

• PPTP Revisited
  (from BUGTRAQ, Sat, 13 Feb 1999 11:28:40 -0800)

  セキュリティ専門家によって酷評された Microsoft PPTP の、その後の状況についての "quick and dirty" な報告。 NT 4.0 SP4 において利用可能な MSCHAP V2 を用いても、依然としていくつかの弱点が残っていると指摘している。もちろん、V1 よりは遥かにマシなんだけど。

• Pro/wuFTPD DoS
  (from BUGTRAQ, Thu, 11 Feb 1999 18:49:37 -0500)

  mkdir すると ProFTPD, wu-ftpd が変になるという指摘。 これは 1999.02.16 の追記で述べた、 wu-ftpd-2.4.2-beta-18-vr14 で fix された話だと思う。 ProFTPD の最新版 1.2.0pre2 でどうなっているのかはよくわからない。

• So-called "remote exploit in pine" and mutt
  (from BUGTRAQ, Thu, 11 Feb 1999 21:19:54 +0100)

  1999.02.09 の remote exploit on pine 4.10 - neverending story? の話が、UNIX 用メールソフト mutt にも関連している、という指摘。

1999.02.16

• 1999.02.10 の Netect Advisory: palmetto.ftpd - remote root overflow に 追記した。 wu-ftpd 2.4.2-beta-18-vr13 以前を使用している人は必ず読んでください。

1999.02.15

• traceroute as a flooder
  (from BUGTRAQ, Sat, 13 Feb 1999 01:38:11 +0100)

  定番ネットワーク管理ツールの traceroute に弱点。 SUID root でインストールされている場合 (多くのサイトで該当するだろう) に、local user が traceroute を攻撃兵器として使用できてしまう。 投稿者は GNU/Linux システム (Debian, Slackware, RedHat: 2.0.34 kernel) および Digital Unix V4.0 で確認している。

  問題は 2 点ある。

  1. waittime value (x86 Linux および Degital Unix)

     非常に大きな waittime 値 (-w オプション: デフォルトは 3 秒) を与えることによって、waittime を 0 に設定できてしまう。 これを使えば DoS 攻撃が可能だ。

  2. -s オプションに関して (x86 Linux)

     traceroute マニュアルページ (FreeBSD jpman) より引用:

     -s src_addr

     送出されるプローブパケットのソースアドレス (送出するアドレス) として、 引数の IP アドレス (ホスト名ではなく、数字で指定して下さい) を用います。 複数の IP アドレスを持つホストで、 プローブパケットに別のソースアドレスを持たせるのに使用することができます。 指定した IP アドレスが、 このホストのインターフェースのアドレスのうちの 1 つでない場合、エラーが返され何も送出されません。

     ところが、x86 Linux においては、 指定アドレスとインターフェースアドレスとの比較に失敗しても何も起らないため、 事実上 -s に何でも設定できてしまう。 つまり、アドレス詐称 (address spoofing) が可能だ。

  問題 1 については FreeBSD でも発生するとの情報が FreeBSD-security ML に投稿されていた。

  1999.02.23 追記: BUGTRAQ に patch が投稿されていた。

• 1999.02.12 の Alert: REBOOT.INI exposes passwords in plaintext に追記した。

• 1999.02.10 の Netect Advisory: palmetto.ftpd - remote root overflow に 追記した。

1999.02.12

• 1999.02.05 の CIAC Information Bulletin J-025a: W97M.Footprint Macro Virus Detected に追記した。

• Access 97 Password Unmasker
  (from BUGTRAQ, Tue, 9 Feb 1999 15:46:37 -0800)

  ここしばらく BUGTRAQ では、Microsoft Access 97 の mdb データベースのパスワードが平文で記録されているという話題が続いていたのだが、ついにこれを解きほぐす souece/binary の登場とあいなった。 http://www.root.org/projects/ から入手できる。

  もっとも、「暗号化されていない」というのは仕様のようなのだけれど、 ちょっとねぇ。まぁ Microsoft のやることだから、こんなもんなのかもしれないけど。

• Sun Microsystems, Inc. Security Bulletin #00185: Common Desktop Environment (CDE)
  (from Sun Security Coordination Team, February 10, 1999)

  root 権限を奪取される、任意のファイルを書きかえられる、など CDE にいくつかの弱点。 CERT Advisory CA-98.02: Vulnerabilities in CDE 参照……っておいおい、 1 年も前の話じゃねーか。今ごろかよ。まいったね。 Patch は以下のとおり:

      CDE Version         Patch ID        
      ___________         _________ 
      1.2                 106112-03
                          105837-02
      1.2_x86             106113-03 
                          105838-02
      1.0.2               104661-07
                          104498-05
                          103882-09
      1.0.2_x86           104663-08
                          104500-05
                          103886-08
      1.0.1               104660-04
                          104497-05
                          103884-07
      1.0.1_x86           104662-05
                          104499-05
                          103885-07

  Solaris 7 付属の CDE 1.3 には問題はない。

• Sun Microsystems, Inc. Security Bulletin #00184: man/catman
  (from Sun Security Coordination Team, February 10, 1999)

  man および catman コマンドが root によって起動される場合に、任意のファイルが書きかえられる弱点がある。 patch は以下のとおり:

      Operating System    Patch ID        
      _________________   _________    
      Solaris 7           107038-01               
      Solaris 7_x86       107039-01
      Solaris 2.6         106123-04               
      Solaris 2.6_x86     106124-04
      Solaris 2.5.1       106905-01
      Solaris 2.5.1_x86   106906-01
      Solaris 2.5         106907-01
      Solaris 2.5_x86     106908-01
      Solaris 2.4         106912-01
      Solaris 2.4_x86     106962-01
      Solaris 2.3         106911-01
      SunOS   4.1.4       107157-01
                          107144-01
      SunOS   4.1.3_U1    107156-01
                          107143-01

• Sun Microsystems, Inc. Security Bulletin #00183: sdtcm_convert
  (from Sun Security Coordination Team, February 10, 1999)

  sdtcm_convert コマンドに弱点。root 権限を奪取できる。 CDE に対する patch が出ている。

      CDE Version         Patch ID        
      ___________         _________ 
      1.3                 107022-01
      1.3_x86             107023-01
      1.2                 105566-06
      1.2_x86             105567-07
      1.0.2               103670-06
      1.0.2_x86           103717-06
      1.0.1               103671-06
      1.0.1_x86           103718-06

  patch は http://sunsolve.sun.com/sunsolve/pubpatches/patches.html から入手できる。

  注: http://sunsolve.Sun.COM/pub-cgi/us/secbul.pl はまだ更新されていないようなので、 BUGTRAQ に forward されたものへの link を記載している。 #184, 185 も同様。

• 1999.01.28 の Digital Unix 4.0 exploitable buffer overflows に 追記した。

• クッキーファイルを公開してしまうブラウザのバグ
  (from CNET briefs, Tue 9 Feb 1999 12:15 PT)

  Web ブラウザで、クッキーに混じって、 パスワードデータ等が web サーバ側に渡ってしまうことが稀にあるという指摘。 ブラウザの不具合だと思われるが、詳細はいまのところ不明。

• 某所より: 誰でも使えてしまう proxy server のリスト。

  • http://members.xoom.com/3128/

  • http://www.xs4all.nl/~deltasit/proxyjj.html

  • http://www.bikkel.com/~proxy/proxy.html

  • http://www.geocities.co.jp/SiliconValley/1594/a4.html

  • http://akihiro.gd.nu/PRX/extract.cgi

  これらリストに記載されている cache/proxy サーバの管理者は、 きちんとアクセス制限をかけましょう。 意図して Open にしているのなら別ですが、ふつうは所属組織内部からのみ利用できればよいはずです。 方法はいろいろあります:

  • cache/proxy server のアクセス制限機能を使う、とか

  • Firewall で止める、とか

  • 自ホストに IP フィルタ機能を組み込んでそれを使う、とか

  1999.02.18 追記: さらに 2 つの URL。っておおもとは 1 つだけど。 こちらは上記よりも鮮度がよいそうです。

  • http://akihiro.gd.nu/PRX/log/ranking.cgi?yesterday

  • http://akihiro.gd.nu/PRX/log/ranking.cgi?today

  また、Open Proxy の中には Apache の mod_proxy を不用意に設定してしまったため生じたものがあるという。 注意したい。

• DNS without NSD on Irix 6.5
  (from BUGTRAQ, Tue, 9 Feb 1999 10:18:43 +0000)

  IRIX 6.5 の nsd (小島: これ何? Name Service Daemon? 誰か教えてください) は内部的に NFS を使っているため、潜在的に危険であるという指摘。 投稿者は、IRIX 標準のリゾルバの利用を避けるには、 bind 8.1.2 をインストールし、 付属の libbind.a をリンクすればいい、と書いている。

  1999.02.18 追記: 確かに nsd は NFS を使っているようだとの情報をいただいた。 nsd は予想どおり Name Service Daemon の略だそうで、 IRIX nsd は files, DNS, LDAP, [mn]dbm, Berkeley DB, NIS, NIS+ を扱えるのだそうだ。

  佐藤@神奈川大学さん、ありがとうございます。

• Security_APARs (fwd)
  (from BUGTRAQ, Tue, 9 Feb 1999 10:17:27 +0100)

  セキュリティ関連の AIX APAR 番号のリスト

• 1999.02.09 の remote exploit on pine 4.10 - neverending story? に 追記した。

• Alert: REBOOT.INI exposes passwords in plaintext
  (from NTBUGTRAQ, Tue, 9 Feb 1999 13:35:58 -0500)

  Microsoft BackOffice 4.0 の setup プログラムは、 BacuOffice Setup の最中、 \Program Files\Microsoft BackOffice フォルダに REBOOT.INI というファイルをつくる。 この中に、Exchange や SQL サーバなどで用いるユーザ名/パスワードが平文で格納される、という指摘。 しかもパーミッションは EVERYONE フルコントールだという。 また、同じディレクトリに regedit.exe がこれまた EVERYONE フルコントールでインストールされてしまうという。

  毎度のこととはいえ、NT って、なんでこうなんでしょう。

  1999.02.15 追記: この問題に関する Microsoft Security Bulletin が登場した。 Microsoft Security Bulletin (MS99-005): BackOffice Server 4.0 Does Not Delete Installation Setup File

  これによると、REBOOT.INI はインストール後も削除されず、 そのまま残っていることになっている。「fix するには削除してね」だって。 消しても問題ないんですね。

  Microsoft Knowledge Base (KB) はこちら:
  article Q217004, BackOffice Installer Tool Does Not Delete Password Cache File.
  http://support.microsoft.com/support/kb/articles/q217/0/04.asp

  日本語版をお使いの人も、たぶん同様でしょう。 日本語ページで同時告知くらいしてくれてもいいはずだけどねぇ。

• 1999.02.10 の Netect Advisory: palmetto.ftpd - remote root overflow に 追記した。

1999.02.10

• Netect Advisory: palmetto.ftpd - remote root overflow
  (from BUGTRAQ, Tue, 9 Feb 1999 11:19:24 -0500)

  wu-ftpd, ProFTPD を含む多数の ftp server に弱点。 remote user が root 権限を奪取できる。 報告者オリジナル情報はこちら: http://www.netect.com/advisory_0209.html

  • ProFTPD

    旧版はもちろん、最新版 1.2.0pre1 にも問題がある。 1.2.0pre1 用の patch があるので適用すること。 ftp://ftp.proftpd.org/patches/proftpd-1.2.0pre1-path_exploit.patch

  • wu-ftpd

    最新は wu-ftpd 2.4.2-beta18 だが、 問題があるか否かは稼働する OS に依存するという。

    wu-ftpd の機能強化 patch である wu-ftpd VR シリーズについては、VR 10 以降であれば問題がない。 文書では VR12 が最新となっているが、 現時点での最新は VR13 (wu-ftpd-2.4.2-beta-18-vr13) である。

    使用している OS 上において wu-ftpd が安全か否かわからない場合は、 wu-ftpd-2.4.2-beta-18-vr13 に移行してしまうのがよいだろう。 wu-ftpd 自体はもはや全くメンテナンスされていないように見えるが、 VR シリーズは精力的にメンテナンスされているし、 各種の機能強化が含まれていて便利だ。

  • BeroFTPD

    バージョン 1.2.0 以降であれば問題ない。 最新は 1.3.2 だ。

  • NcFTPd

    最新版 2.3.5 には問題はない。 なお、2.3.4 を Linux 上で libc5 と共にテストすると問題が生じる。 これは NcFTPd ではなく libc5 の問題で、glibc 版を使用すると問題がない。 2.3.5 であれば (小島注: libc5 でも、という意味だろう) 問題ないので 2.3.5 への version up を勧める。

  ベンダー別情報については、 弱点のあるもの、および報告者が記載していないものについてのみ掲載する。 詳細は http://www.netect.com/advisory_0209.html を参照してほしい。

  • RedHat Linux

    RedHat Linux には wu-ftpd が含まれているが、さっそく fix が出ている。

    Red Hat Linux 5.0,5.1,5.2:
    ==========================
    
    alpha:
    rpm -Uvh ftp://updates.redhat.com/5.2/alpha/wu-ftpd-2.4.2b18-2.1.alpha.rpm
                
    i386:
    rpm -Uvh ftp://updates.redhat.com/5.2/i386/wu-ftpd-2.4.2b18-2.1.i386.rpm
                
    sparc:
    rpm -Uvh ftp://updates.redhat.com/5.2/sparc/wu-ftpd-2.4.2b18-2.1.sparc.rpm
                
    Source rpm:
    rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/wu-ftpd-2.4.2b18-2.1.src.rpm
    
    Red Hat Linux 4.2:
    ==================
    
    alpha:
    rpm -Uvh ftp://updates.redhat.com/4.2/alpha/wu-ftpd-2.4.2b15-1.2.alpha.rpm
                
    i386:
    rpm -Uvh ftp://updates.redhat.com/4.2/i386/wu-ftpd-2.4.2b15-1.2.i386.rpm
                
    sparc:
    rpm -Uvh ftp://updates.redhat.com/4.2/sparc/wu-ftpd-2.4.2b15-1.2.sparc.rpm
                
    Source rpm:
    rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/wu-ftpd-2.4.2b15-1.2.src.rpm

  • Slackware Linux

    弱点あり。Patch は以下から入手できる:

      Updates will be available from:
          ftp://ftp.cdrom.com/pub/linux/slackware-3.6/slakware/n8/
          ftp://ftp.cdrom.com/pub/linux/slackware-current/slakware/n8/
      Filenames
          tcpip1.tgz (3.6)     [971a5f57bec8894364c1e0d358ffbfd4]
          tcpip1.tgz (current) [c7460a456fcbf19afb49af8c8422ecbc]

  • Caldera OpenLinux

    弱点あり。Patch は以下から入手できるようになるだろう:

      Updates will be available from:
          ftp://ftp.calderasystems.com/pub/OpenLinux/updates/           

  • SCO

    2.1.x を除く、UnixWare 7.0.1 以前全て、および OpenServer 5.0.5 以前に問題あり。以下から patch が入手できる。

          ftp://ftp.sco.com/SSE/sse021.ltr - cover letter
          ftp://ftp.sco.com/SSE/sse021.tar.Z - replacement binaries

  • FreeBSD

    wu-ftpd 2.4.2-beta18-VR10 付属のドキュメントを見る限り FreeBSD 上での wu-ftpd は問題がないというフォローが FreeBSD-security ML でなされていた。 FreeBSD 標準添付の ftpd については、よくわからない。

  1999.02.12 追記:

  • RedHat Linux における wu-ftpd 2.4.2-beta-18 の修正コードが wu-ftpd ML に投稿されていた。 とりあえずこれを適用するのもいいかもしれないけど、 どうせなら 2.4.2-beta-18-VR13 に移行したほうがいいと思う。

  • 手元で wu-ftpd 2.4.2-beta-18-VR13 を作成したところ、 こういう修正が必要だった。 #define HAS_GETCWD していない環境の方は注意しましょう。

    また、C2conv を適用した SunOS 4.1.3_U1 では、config.h に #define HAS_NO_FCHDIR を追加する必要があった。

  • FreeBSD 標準添付の ftpd について、 弱点はないというフォローが FreeBSD-security ML でなされていた。

  • CERT Advisory が出ました。 CERT Advisory CA-99-03-FTP-Buffer-Overflows

  • Debian GNU/Linux 2.0 で配布されている ProFTPD に対する fix が用意されたとの情報が投稿されていた。

      Source archives:
        ftp://ftp.debian.org/debian/dists/proposed-updates/proftpd_1.2.0pre1.orig.tar.gz
              MD5 checksum: 40695cf2ce6a7ff70e36e2c4d140a50e
        ftp://ftp.debian.org/debian/dists/proposed-updates/proftpd_1.2.0pre1-2.diff.gz
          MD5 checksum: b9709fc768ba863bef08729325a9c53a
        ftp://ftp.debian.org/debian/dists/proposed-updates/proftpd_1.2.0pre1-2.dsc
          MD5 checksum: a2245a4681873caad9dd83002e653bb0
    
      Intel architecture:
        ftp://ftp.debian.org/debian/dists/proposed-updates/proftpd_1.2.0pre1-2_i386.deb
          MD5 checksum: 6fa9921e694972015d4e3d34184c4f2b
    
      Motorola 680x0 architecture:
        ftp://ftp.debian.org/debian/dists/proposed-updates/proftpd_1.2.0pre1-2_m68k.
          MD5 checksum: 52053f8b9f348ff1929db91951cf394f

    これらはまもなく ftp://ftp.debian.org/debian/dists/hamm/*/binary-$arch/ に移動されるとのことだ。

  1999.02.15 追記:

  • Debian GNU/Linux 2.0 用の wu-ftpd パッケージ新版が登場したと報告されている。

      Source archives:
        ftp://ftp.debian.org/debian/dists/stable/main/source/net/wu-ftpd-academ_2.4.2.16.orig.tar.gz
              MD5 checksum: 1b636fbfb3a5417886cc4265cca0fc5f
        ftp://ftp.debian.org/debian/dists/proposed-updates/wu-ftpd-academ_2.4.2.16-12.2.diff.gz
          MD5 checksum: c51d3661904daac81b4c7bbe90ebe79f
        ftp://ftp.debian.org/debian/dists/proposed-updates/wu-ftpd-academ_2.4.2.16-12.2.dsc
          MD5 checksum: bc3bcb012fc251a88fe604dc71669e70
    
      Intel architecture:
        ftp://ftp.debian.org/debian/dists/proposed-updates/wu-ftpd-academ_2.4.2.16-12.2_i386.deb
          MD5 checksum: 4739c56cfc1decebb462e5030784a75a
    
      Motorola 680x0 architecture:
        ftp://ftp.debian.org/debian/dists/proposed-updates/wu-ftpd-academ_2.4.2.16-12.2_m68k.deb
          MD5 checksum: 9302526c8c6368f87e805e943ce66875

    むふぅ……これって 2.4.2-beta16 base なのかな。

  • ProFTPD 1.2.0pre2 が登場。 ftp://ftp.proftpd.org/distrib/proftpd-1.2.0pre2.tar.gz

  1999.02.16 追記:

  • wu-ftpd VR シリーズがバージョンアップされ、wu-ftpd-2.4.2-beta-18-vr14 となった。 wu-ftpd VR シリーズはオリジナルサイトの他、RING Server Project などからも入手できる。

    これはセキュリティアップデートだとされている。 ANNOUNCE-VR14 ファイルより変更点を示す:

    • FTP プロトコルにおける原理的な問題である、 PASV 使用時の競争状態 (race condition) への対応。 制御コネクションと異なる IP アドレスからのデータコネクションは拒否する。 また、PASV 時のデータコネクション port をランダムに選択するようにした。

    • 長いファイル名を指定すると buffer overrun する弱点を修正。

    • NOOP コマンドによる DoS 攻撃への対応。

    • パスワード推測攻撃を受けにくくするようになった (オリジナル wu-ftpd の機能の復活)。

    SunOS 4.1.x では RAND_MAX が未定義となりコンパイルできない。 これは rand() の最大値なので、rand() のマニュアルページから RAND_MAX を計算して定義してやればよい。具体的には、 #define RAND_MAX 2147483647 (通常はこちら) あるいは #define RAND_MAX 32767 (SystemV 機能利用時) を config.h に定義しておけばよいだろう。

  • RedHat Linux 用の ProFTPD 1.2.0pre2 RPM パッケージが ftp://rayleigh.ecs.soton.ac.uk/redhat から入手できるそうだ。

  • 1999.02.15 追記での ProFTPD 1.2.0pre2 の URL を修正した。 unofficial mirror site へのリンクになっていた。

1999.02.09

• NetBSD Security Advisory 1999-002: Security problem with netstat
  (from BUGTRAQ, Tue, 9 Feb 1999 17:15:23 +1100)

  19980603 から 19990208 までの NetBSD-current に弱点。 local user があらゆる kernel memory location を読めてしまう。 patch が ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/19990208-netstat にある。

• L0pht Advisory - Rational Software ClearCase root exploitable race conditions
  (from BUGTRAQ, Mon, 8 Feb 1999 18:26:55 -0500)

  Rational Software の コンフィギュレーション管理ソフト ClearCase version 3.2 に弱点。競争状態 (race conditions) が発生してしまう。 競争に勝てば、root 権限が得られる。 デモプログラムが添付されている。

  What's New In ClearCase 3.2.1? には security fix の情報がないので、3.2.1 でも同様かもしれない。

• SECURITY BULLETIN: #00091, Security Vulnerability with rpc.pcnfsd
  (from HP Electronic Support Center, Mon, 8 Feb 1999 04:17:49 -0800)

  HP-UX の rpc.pcnfsd に弱点。local/remote user が root 権限を奪取できる。 patch 情報はあまりにも膨大でここに書く気になれない。 上記 link を見てほしい。HP-UX 全体の security patch 状況は ftp://us-ffs.external.hp.com/export/patches/hp-ux_patch_matrix から得られる。

• remote exploit on pine 4.10 - neverending story?
  (from BUGTRAQ, Mon, 8 Feb 1999 00:22:17 +0100)

  UNIX 用のメールソフト pine の最新版 4.10 に弱点。 MIME なメッセージを読むときに、任意のコードを実行されてしまう。 この問題に対する patch も投稿されている。

  1999.02.12 追記: Pine 開発チームは、これは Pine の不具合ではなくて metamail 由来の mailcap ファイルによるものだと投稿している。 しかし、そういうものを pine 自身に添付してはいかんよなぁ。

  また、10 万文字を越えるような非常に長い UNIX From があると問題を起こすという指摘もあった。

1999.02.08

• KSR[T] Security Advisories #009: Non Privileged Halt on MILO/Alpha Linux
  (from BUGTRAQ, Fri, 5 Feb 1999 17:39:53 -0500)

  MILO/Alpha Linux (RedHat 5.x) に弱点。 local user が reboot したり lock したり OS を不安定にしたりできる。 ftp://genie.ucd.ie/pub/alpha/milo/milo-latest/ から patch が入手できる。

• CERT Advisory CA-99-02-Trojan-Horses
  (from CERT, February 5, 1999)

  最近報告された、いくつかのトロイの木馬に関する警告。

  1. 「Microsoft から送られた、Internet Explorer のアップデートが添付された電子メール」

     この電子メールには Ie0199.exe というものが添付されているのだが、 これは Microsoft から送られたものではなく、木馬なのだ。

  2. 「Trojan Horse Version of TCP Wrappers」

     これは 1999.01.22 の backdoored tcp wrapper source code のことだ。

  3. 「Trojan Horse Version of util-linux」

     これは 1999.01.25 の util-linux compromised のことだ。

  過去にも木馬がいくつか報告されている。 詳細については上記 CERT Advisory に記述されている link を参照のこと。

• Cold Fusion and NT security advisory
  (from NTBUGTRAQ, Sat, 6 Feb 1999 09:01:51 +0800)

  Web サイト構築 tool ColdFusion がらみの報告が 4 つ出ている、との情報。 日本で ColdFusion 使ってる人はあまりいないと思うけど、 US では人気のある tool のようです。

• MS releases GINA-fix for SP3, SP4, and TS
  (from NTBUGTRAQ, Fri, 5 Feb 1999 08:04:56 -0500)

  WindowsNT にログオンして「ワークステーションのロック」(CTRL-ALT-DEL すると選択できます) を行っている状態で、 ユーザのクリップボードの 1 行目がわかってしまう (クリップボードを CTRL-V できてしまう) という不具合がある。 これに対する Patch が出た。

  • NT 4.0 SP4: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Gina-fix/

  • NT 4.0 SP3: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/Gina-fix/

  • NT 4.0 Terminal Server Edition: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/Gina-fix/

  Microsoft Knowledge Base (KB) はこちら:
  article Q214802, Windows NT Lets You Paste Text into Unlock Workstation Dialog Box
  http://support.microsoft.com/support/kb/articles/q214/8/02.asp

  例によって英語版の話。日本語 patch はまだない。

  1999.03.17 追記: 日本語 KB, J047067 が登場。しかし「現在調査中」としか書いてない。 おいおい、ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP4/Gina-fix/ の中身はなんなんだよ。 とっとと公開せーよ。

• 1999.02.04 の Linux /usr/bin/lpc overflow に追記した。

1999.02.05

• またウェブメールにセキュリティホール
  (from CNET briefs, Thu 4 Feb 1999 10:20 PT)

  またまた hotmail にセキュリティホールですって。ここもよくあるね。

• Microsoft Security Bulletin (MS99-004): Patch Available for Authentication Processing Error in Windows NT 4.0 Service Pack 4
  (from INTERNET Watch, Thu, 04 Feb 1999 23:00:57 JST)

  Microsoft WindowsNT 4.0 SP4 に弱点。 ある状況下において、空パスワードで logon できたり、 ネットワーク資源を共有できたりしてしまう。 NT サーバがドメインコントローラとなっていて、さらに DOS, Windows 3.1, Windows for Workgroups, OS/2 あるいは Macintosh がクライアントになっている場合にのみ発生する。 クライアントが Windows9x/NT のみの場合には発生しない。 また、SP3 以前でも発生しない。SP4 特有の弱点である。 詳細を読んでいただければわかるが、たいへん強烈な不具合である。

  Patch がある。

  • Fix for x86 version: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Msv1-fix/msv-fixi.exe

  • Fix for Alpha version: ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/Msv1-fix/msv-fixa.exe

  Microsoft Knowledge Base (KB) はこちら:
  article Q214840, MSV1_0 Incorrectly Allows Network Connections for Specific Accounts
  http://support.microsoft.com/support/kb/articles/q214/8/40.asp

  例によって英語版の話。日本語 patch はまだない。

  1999.03.17 追記: 日本語 KB, J047068 が登場。しかし「現在調査中」としか書いてない。 おいおい、ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/jpn/nt40/Hotfixes-PostSP4/Msv1-fix/ の中身はなんなんだよ。 とっとと公開せーよ。 (PS. 1999.03.29 付けで公開されてます。)

• CIAC Information Bulletin J-025a: W97M.Footprint Macro Virus Detected
  (February 3, 1999 19:00 GMT)

  ほとんどの anti-virus ソフトで発見できない、新しい MS Word マクロウィルスに関する警告。MS Windows9x/NT 上の Word97 が対象。 Macintosh 版 Word98 には無害。

  1999.02.12 追記: Network Associates からも警告が出た。 ViruScan 用のデータができたようだ。

• Multiple SLMail Vulnerabilities
  (from BUGTRAQ, Thu, 4 Feb 1999 13:51:32 -0800)

  MS Windows9x/NT 用の mail サーバソフト SLMail version 3.1 に弱点。DoS 攻撃を受ける。 って、こんなの日本で使ってる人いるのかな……。

• 1999.02.05 の[patch] /proc race fixes for 2.2.1 (fwd) に追記した。

1999.02.04

• Microsoft Word 98 ：ボリューム名称 "File" での重大な障害
  (from Macintosh トラブルニュース, 1999.02.03)

  MacOS 版 Microsoft Word 98 に不具合。 "File" あるいは "file" という名前のボリュームに関してさまざまな問題が発生する。 ファイル (の中身) が意図せずに消滅する可能性があるので注意が必要。

  しかし、なんでまたこんな不具合が発生するんだろう。 Microsoft ではどういうプログラミングをしてるんだ?

• Linux /usr/bin/lpc overflow
  (from BUGTRAQ, Wed, 3 Feb 1999 07:58:36 -0000)

  PLP Line Printer Control (lpc) version 4.0.3 に buffer overflow する弱点。 local user が root 権限を得られる。デモプログラムも添付されている。 SuSE Linux 5.2 にはこの lpc が含まれているため、 添付の fix patch を適用するか、lpr-tlr-971016.tar.gz など他の lpr プログラムを利用する。

  RedHat など他の Linux パッケージがどうなっているのかは不明。 情報求む。

  1999.02.08 追記: RedHat Linux では lpr 機能を PLP, 'classic' LPD, LPRng の中から選択でき、 デフォルトは 'classic' LPD だよ (PLP じゃないよ) というフォローが投稿されていた。 この 'classic' LPD は OpenBSD 由来だというフォローもついている。 OpenBSD はセキュリティには力を入れているからなぁ。

• wget-1.5.3, chmod+symlinks
  (from BUGTRAQ, Tue, 2 Feb 1999 01:53:24 +0700)

  GNU wget 1.5.3 の -N オプションを使ってファイルを取得するとき、 wget は取得したファイルに対して chmod する。 このファイルがシンボリックリンクのとき、 シンボリックリンク自身ではなく、シンボリックリンクが指しているファイル or ディレクトリを chmod してしまうため危険だ、という指摘。 シンボリックリンクに対しては chmod を実行しないようにする patch が添付されている。

  これは wget だけでなく、 mirror や ftpmirror といったミラープログラム全般にありがちな問題である。 これを回避するには、ミラー専用の非管理者アカウントを作成し、 このユーザ権限でミラーを実行するのがよい。 (私も痛い目を見ました :-<)

• Microsoft Security Bulletin (MS99-003): Patch Available for IIS "Malformed FTP List Request" Vulnerability
  (from Microsoft Product Security Notification Service, Wed, 3 Feb 1999 15:53:44 -0800)

  IIS 3.0/4.0 の "list" コマンド処理に弱点。 巨大な "list" コマンドにより buffer overrun が発生し、server を crash させられる。 さらに、注意深く構成された "list" コマンドにより、任意のコードを実行させられる。

  Patch がある。

   - Fix for X86 version of IIS 3.0:
     ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Ftpls-fix/ftpls3i.exe
   - Fix for Alpha version of IIS 3.0:
     ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Ftpls-fix/ftpls3a.exe
   - Fix for X86 version of IIS 4.0:
     ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Ftpls-fix/ftpls4i.exe
   - Fix for Alpha version of IIS 4.0:
     ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/Ftpls-fix/ftpls4a.exe

  Microsoft Knowledge Base (KB) はこちら:
  article Q188348, Specially-Malformed FTP Requests Can Create Denial of Service
  http://support.microsoft.com/support/kb/articles/q188/3/48.asp

  例によって英語版の話。日本語 patch はまだない。

  これは 1999.01.26 付で報告した NT 4.0 SP4 + IIS 3.0/4.0 FTP Exploit/DoS Attack のことだと思う。 Microsoft のこの広報では、SP3/SP4 の区別や Personal Web Server については全く触れられていない。

  1999.02.16 追記: 日本語版 patch と思われるものが ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/jpn/security/Ftpls-fix/ にある。おまけにタイムスタンプは 1999.01.27 になっている。 なんなんだこれは?

• [patch] /proc race fixes for 2.2.1 (fwd)
  (from BUGTRAQ, Tue, 2 Feb 1999 17:39:13 +0100)

  Linux 2.2.1 の proc ファイルシステム (/proc) に弱点。 race condition が発生する。race に勝てれば、RAM の内容を読み出せるという。fix patch が付属している。

  2.2.1 にはこの他にも不具合があると指摘されている。

  1999.02.05 追記: 前者の patch の改訂版が投稿されていた。

• WS FTP Server Advisory
  (from BUGTRAQ, Tue, 2 Feb 1999 13:09:21 -0800)

  MS WindowsNT 用の ftp サーバ、WS_FTP Version 1.0.1.E/1.0.2.E に弱点。 DoS 攻撃を受ける。 さらに、ユーザ情報をレジストリに insecure な状態で置いてしまうため、 local user に管理者権限を得られてしまうという。

• 1999.01.07 の ACC's 'Tigris' Access Terminal server security vunerability.. に追記した。

• Silicon Graphics Inc. Security Advisory 19990201-01-I: IRIX 6.5 Security Features
  (from BUGTRAQ, Tue, 2 Feb 1999 22:33:43 GMT)

  IRIX 6.5 において追加されたセキュリティ機能について述べている。

  1. XFS ファイルシステムにおいて ACL が使えるようになった。 /sbin/chacl で設定する。

  2. Trusted IRIX にあった最小特権機能 (Least-Privilege Capabilities) が追加された。chcap(1) などを参照。sudo みたいなものかなぁ?

  3. System Manager に Security and Access Control パネルが追加された。

  4. Trusted IRIX Compartmented Mode Workstation (CMW) (NCSC B1 評価作業中) が IRIX 6.5 のアドオンソフトとなった。 これにより、IRIX 6.5 用の patch がそのまま Trusted IRIX/CWS に適用できる。 これって、B1 なシステムが従来より手軽に導入・運用できるってことで、 けっこう凄いのでは……。 まぁふつうの場所では B1 なんて不要だろうけど。 日本でも買えるのかな?

     IRIX 6.5 自身は C2 (WindowsNT や Netware と同様のレベル) で評価作業中、とある。

• AutoStart Mac Worm in NT volumes
  (from NTBUGTRAQ, Mon, 1 Feb 1999 10:56:34 -0000)

  MacOS に棲みつく AutoStart ウィルスが NT server の Macintosh ボリュームに格納されてしまうと、 NT server 上で動く Anti-virus ソフトはこれに気がつかないから注意が必要だよ、という指摘。

  NT server に限らず、UNIX 上で動作する CAP や Netatalk といった Macintosh ファイルサーバでも同様の危険があることが Macintosh トラブルニュースにおいて指摘されている。 注意しましょう。

• Security Advisory for Internet Information Server 4 with Site Server 2
  (from BUGTRAQ, Sat, 30 Jan 1999 13:02:09 -0000)

  IIS 4 と共に Site Server 2 をインストールすると、 誰でもファイル (ASP 含む) を upload できてしまう、という指摘。

  Site Server 2 をインストールすると http://ほげほげ/scripts/uploadn.asp というのが使えるようになる。 これにより、認証可能な人がファイルを upload すると、 http://ほげほげ/users/ というフォルダがつくられる。 これが everyone が change 可能なフォルダになってしまうという。

  http://ほげほげ/scripts/uploadn.asp はあくまで「ほげほげ」サーバにおいて認証できる人にしか使えないけれど、 port 80 に直接 HTTP リクエストを打てば、 認証されていなくてもファイルを put できてしまう、という。

  報告者は、不要であれば /script 下の cpshost.dll, uploadn.asp, uploadx.asp, upload.asp, repost.asp, postinfo.asp は削除することを推奨している。

  手元の NT 4.0 SP4 + IIS 4.0 + Site Server Express 3.0 な環境で試してみた。つくられるのは http://ほげほげ/users/ ではなく http://ほげほげ/Sites/Publishing/users/ だった。 これは物理的には Inetpub\wwwroot 下ではなく Site Server Express の root 下 (c:\Program Files\Microsoft Site Server Express\Sites\...) にある。 また、手元の環境では NT 4.0 インストール直後に c:\Program Files を everyone 読み取りに変更してあったためか、 Sites/ 以下も everyone 読み取りであり、change 可能ではなかった。 c:\Program Files はデフォルトだと everyone フルコントロールなので、 報告者の言うようになるかもしれないなぁとは思う。

1999.02.02

• 1999.01.28 の Digital Unix 4.0 exploitable buffer overflows に追記した。

• Nessus 990201
  (from BUGTRAQ, Mon, 01 Feb 1999 00:07:11 +0100)

  UNIX 用のセキュリティ監査ツール nessus 990201 版発表のおしらせ。

1999.02.01

• はびこるブラウザバグ
  (from CNET briefs, Thu 28 Jan 1999 13:25 PT)

  Web ブラウザ不具合に関する記事。MSIE の cross-frame 系不具合に加え、 2 つの不具合を掲載している。

  1. HTTP 1.0 に関するもの。 これは BUGTRAQ の IE4 Persistent Connection Bug の話だと思うんだけど、そうとりたてて騒ぐ話かなぁ。

  2. Temporary Internet Files ディレクトリにつくられる隠しファイル index.dat の内容が、cache やヒストリーをクリアしたあとも削除されずに残ったままになるという問題。 こっちの方が問題ははるかに大きいと思うぞ。 http://www.fsm.nl/ward/ に詳細な情報あり。

     隠しファイル、おまけに削除もままならない (「index を削除できません。共有違反がありました。」なんて言われて失敗する) というのは困るよねぇ。 NT 4.0 SP4 で移動プロファイルの容量制限をかけたりするときに、 トラブルを呼びそう。

• 1999.01.27 の IIS 4 Advisory - ExAir sample site DoS に追記した。

• rpcbind: deceive, enveigle and obfuscate
  (from BUGTRAQ, Thu, 28 Jan 1999 13:03:14 GMT)

  いくつかの UNIX の rpcbind に弱点。 remote user が RPC エントリを削除したり追加したりできてしまう。 報告者は、少なくとも以下の UNIX に問題があるとしている:

  • RedHat Linux (version?)

  • Irix 6.2

  • Wietse's rpcbind 2.1 replacement

  • Solaris 2.6

  一方で、OpenBSD にはこの問題がない、としている。 手元で試してみたところ、FreeBSD 2.2.8-RELEASE および NEWS-OS 6.1.2 の rpcbind にも問題があるようだ。 対策としては、source address が 127.0.0.1 および localnets からのパケットを境界ルータなどでフィルタする。

  報告者自身の web page がある。 BUGTRAQ への post から update されているようだ。 http://www.pgci.ca/rpc.html

• Compulink LaserFiche Client/Server - unencrypted passwords
  (from BUGTRAQ, Thu, 28 Jan 1999 10:21:55 PST)

  Compulink の LaserFiche v4.1/4.2 の Netware バージョンにおいて、user, password, group 情報などが Btrieve データベースに暗号化なしで入っているうえに、 誰でもこのデータベースにアクセスできてしまう、という指摘。

• Javascript %01 bug in Internet Explorer
  (from NTBUGTRAQ, Thu, 28 Jan 1999 04:53:31 PST)

  Microsoft Internet Explorer 4.x の JavaScript において、「about:ほにゃらら%01ほにゃらら」という URL を指定すると、なにやら奇妙な動作をするという指摘。 これを使うと、以下に示すことが実行できるという。 著者ホームページにデモがあるので、 手元の日本語 MSIE 4.01 SP1 (on NT 4.0 SP4, MSIE 日本語対応 patch は全部適用してある) で試してみた。

  1. local file を読み込み任意のサーバに送る。 デモは http://www.geocities.com/ResearchTriangle/1711/read3.html

     デモ実行前に c:\test.txt を作成しておく必要がある。 実行してみると、見事に c:\test.txt の内容が表示された。

  2. "Window Spoofing" (ウィンドウ詐称) が実行できる。 デモは http://www.geocities.com/ResearchTriangle/1711/read4.html

     デモを実行してみると、手元では、 初回アクセス時には著者の意図とは違い「Yahoo!」のホームページが正常に表示された。 ただし、リロードすると、 著者の意図した状態「アドレス: には yahoo! URL があるが、 中身は著者のデモページ」になった。

  3. TDC (って何?) を使って AUTOEXEC.BAT ファイルを読める。 デモは http://www.geocities.com/ResearchTriangle/1711/read5.html

     デモを実行してみると、 手元では見事に autoexec.bat が読み出せてしまった。

  著者は、以上を防ぐには JavaScript を無効とすればよい、としている。

• 活動概要: 不正アクセスの動向 [ 1998年10月1日 〜 1998年12月31日 ]
  (from fw-announce ML, Fri, 29 Jan 1999 07:15:11 PST)

  JPCERT/CC からの活動概要最新版。 せめて HTML 版にはアンカータグ付けてほしいなぁ。

• CERT Incident Note IN-99-01: "sscan" Scanning Tool
  (from INTERNET Watch, Sun, 31 Jan 1999 21:34:10 JST)

  sscan という attack tool が登場しているそうだ。 注意しましょう。