セキュリティホール memo - 1999.03

Last modified: Tue May 6 22:23:32 2003 +0900 (JST)

1999.03.29

今日はこれから出張なので書かないつもりだったのですが、一点だけ:

• CERT Advisory CA-99-04-Melissa-Macro-Virus
  (from いろいろなところ, Saturday March 27 1999)

  CERT からの、新たな MS Word 97/2000 マクロウィルス Melissa に関する警告。 ウィルス自身が電子メール (MS Outlook) を積極的に利用するため、急速に繁殖しているようだ。

  ウィルスの動作自体については、CERT Advisory よりも BUGTRAQ に投稿された Nate Lawson による情報の方が簡潔かつ明瞭に解説されているように思う。 両者をまとめると、ウィルスは次のように動作するようだ:

  1. まず Word のセキュリティチェックを無効にする。

     Word 2000
         Macro.Security... = FALSE
     Word 97
         Options.ConfirmConversions = 0
         Options.VirusProtection = 0
         Options.SaveNormalPrompt = 0

  2. すでに感染したか否かをレジストリによって確認する。 レジストリキーは HKCU\Software\Microsoft\Office\Melissa?、その内容は "... by Kwyjibo"。

  3. 上記レジストリキーが存在しない場合、あるいは値が異なる場合、 ウィルスは MAPI アドレス (Outlook アドレス帳) に記載されている最初の 50 個のアドレスに対してウィルスをメールする。こんな Subject: のメールだ。Full Name はアドレス帳記載のフルネームに展開される:

     Subject: Important Message From 

     本文はマルチパートになっていて、最初は Content-Type: text/plain で:

     Here is that document you asked for ... don't show anyone else ;-)

     続いて Content-Type: application/msword で、list.doc というウィルス本体が添付される。

  4. さらに、ウィルスは現在開かれている Word 文書、および Normal.dot テンプレートファイルに感染する。 Normal.dot は全ての Word 文書が参照するテンプレートファイルだ。 "Microsoft Security Bulletin MS99-002: Patch available for "Word97 Template" Vulnerability" 対応 patch をインストールしていない場合、テンプレートに含まれたマクロの実行に際しては何らの警告もされないため、非常に危険だ。 おまけにこの patch、日本語版はまだないという素敵な状況。 まいったね。

  5. 最後に、日付と分が同じ (たとえば 1999.03.29 10:29 とか) だったら、現在編集中の文書に "Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here." を挿入する。

  対策としては、以下が挙げられれている。

  • sendmail でフィルタする。 ftp://ftp.cert.org/pub/cert_advisories/Patches/CA-99-04-sendmail-melissa-filter.txt

  • 市販のワクチンソフトで対抗する。

    • McAfee / Network Associates: http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp
      http://vil.mcafee.com/vil/vm10120.asp

    • Symantec: http://www.symantec.com/avcenter/venc/data/mailissa.html

    • Trend Micro: http://housecall.antivirus.com/smex_housecall/technotes.html

  • MS Word 自身のセキュリティ設定でなんとかする。 Word97 なら、Tools/Options/General メニューの 'Macro virus protection' をチェックする。 Word2000 なら、Tools/Macro/Security メニューで 'High' を選択する。

  このマクロウィルスは newsgroup alt.sex にも投稿されている、 と Network Associates の人が BUGTRAQ に投稿している。

1999.03.27

あまりにもあれなので更新しておきます。

• 先日の ADM Worm. Worm for Linux x86 found in wild. に追記した。 すでに CERT から情報が出ている物件だった。May 28, 1998 ……。

1999.03.26

次に更新できるのは、多分 1999.03.30。

• ADM Worm. Worm for Linux x86 found in wild.
  (from BUGTRAQ, Thu, 25 Mar 1999 16:26:59 -0700)

  x86 版 Linux 上で動作するワームが登場しているという報告。 報告者自身のサイトがこのワームにやられたという。 攻撃手法自体は well-known なものなので、そういうところをちゃんと fix しておけば ok。しかし、昔は Sun と VAX だったのに、今では x86 Linux なのね……。 メジャーになったもんだ。

  1999.03.27 追記: これ、すでに CERT Summary CS-98.05 - SPECIAL EDITION で報告されてます、とフォローされていた。うぅ、ほんとだ……May 28, 1998……。

• HEWLETT-PACKARD COMPANY SECURITY BULLETIN: #00094, Security Vulnerability with ftp on HP-UX 11.00
  (from HP Electronic Support Center, Thu, 25 Mar 1999 04:15:54 -0800 (PST))

  HP-UX 11.00 の ftp (server? client?) に弱点。 user がより高いアクセス権限を得ることができる。 弱点があるのは HP9000 Series 7/800 上の HP-UX 11.00 だけ。 patch PHCO_17601 を適用すれば fix される。 ftp://us-ffs.external.hp.com/export/patches/hp-ux_patch_matrix から入手できるようだ。

  注: HP official page ではなく、BUGTRAQ に forward されたものに link してある。

• とどまるところを知らない MSIE 5 の話題。 もう 1, 2 週間は続くかしら。 先日の記事も参照されたい。

  • IE 5 security vulnerabilities: The DHTML Editor holes
    (from NTBUGTRAQ, Wed, 24 Mar 1999 12:11:09 +0100)

    IE5 とともに配布されている "DHTML Edit control Safe for Scripting for IE 5" という Active X コントロールは全然安全なんかじゃないという指摘。 指摘者は、これまでも web ブラウザの弱点を数多く報告している Cuartango 氏。

    これに対し、Microsoft の人がフォローしている。 指摘項目の一部については設定で逃げられるようだ。 "Allow paste operations via script" については、先日の記事Internet Explorer 5 Paste operations でも指摘されている。 しかし、デフォルトでそうなっていないのは問題だと思うぞ。

  • 1999.03.24 の 「http://www.whitehats.com/guninski/read.html に記載されている、 Georgi Guninski が発見した不具合が IE5 に残っている」という指摘に対して、 version 5.00.0910.1309 は IE5 beta 2 であってリリース版 (version 5.00.2014.0216) じゃない、 5.00.2014.0216 ではきちんと fix されているとフォローされていた。

  • IE5 Feature/security hole
    (from BUGTRAQ, Wed, 24 Mar 1999 16:04:00 -0500)

    IE5 には web のフォームに入力した内容を記憶しておく「機能」があるが、 これはセキュリティホールになりかねないという指摘。

  いろいろな報告を読んだ結果として、MSIE 5 のデフォルト設定は MSIE 4 よりも不安全側に振られているようである。 設定項目自体も IE 4 とはずいぶん異なるようなので、 使用する前にきちんと設定して (あるいはハラをくくって ^^;) おきたい。 私自身は、雑誌付録 CD に添付されるまではインストールしないつもりです。

1999.03.25

• つらつらと rfc-index を見ていたら、こんな RFC が出てることに気がつきました。

  • RFC2505 (BCP30): Anti-Spam Recommendations for SMTP MTAs

  • RFC2504 (FYI34): Users' Security Handbook

  誰か日本語に訳してくれないかな。特に後者。

• DoS for Linux 2.1.89 - 2.2.3: 0 length fragment bug
  (from BUGTRAQ, Wed, 24 Mar 1999 23:19:37 -0500)

  Linux 2.1.89〜2.2.3 までに弱点。 長さ 0 のフラグメントパケットによる DoS 攻撃を受ける。 サンプル DoS コードおよび fix patch 付き。 2.2.4 では fix されているので、2.1.x および 2.2.[0-3] を使用している人は 2.2.4 に移行しよう。 RING Server Project などから入手できる。

• PGP を狙うマクロウイルス
  (from 中村正三郎のホットコーナー, 1999/03/25)

  PGP 秘密鍵をねらうマクロウィルスが登場したという話。 まぁ、どこかに秘密情報が貯蔵されているシステムでは「秘密を盗まれたらヤバい」という弱点がありますよね。

  認証の世界の話ですが、そういう弱点を基本的に廃した One-Time Password (RFC2289) はよくできてると思います。 まぁ、銃つきつけられて脅されたらやっぱりヤバいですし、 使用するハッシュ関数の強度にも依存する話ですが。 そういえば、OTP 実装 opie の最新テスト版 2.4-test4 が出てます。 私はまだ試してませんが、チャレンジ精神あふれる方はどうぞ。

• ISS Security Advisory: Remote Denial of Service Vulnerability in Cisco Catalyst Series Ethernet Switches
  (from BUGTRAQ, Wed, 24 Mar 1999 11:46:38 -0500)

  CISCO の Catalyst 1200, 2900, 5000, 5500 シリーズ (2900XL および 2926 は除く) Ethernet スイッチに弱点。 これらスイッチでは (マニュアルには書かれていないが) TCP port 7161 を使っており、この port にアクセスするとスイッチをリセットできてしまうという。当然ながら、リセット後再起動するまではスイッチは機能せず、 結果として DoS 攻撃が可能となる。

  CISCO からは http://www.cisco.com/warp/public/770/cat7161-pub.shtml で問題が公表されている。 この問題を fix した、上記スイッチ用ソフトウェアも CISCO から入手可能なようだ。

• MS Internet Explorer 5 がらみの話、 予定どおり続々と登場しますねぇ。

  • Internet Explorer 5 Paste operations
    (from NTBUGTRAQ, Wed, 24 Mar 1999 17:29:49 +0100)

    MSIE 5 のデフォルト設定だと、script からの paste を許可しているため Clipboard Vulnerabillity が発生する、という指摘。 "Allow paste operations via script" という設定項目があるので、 デフォルトの Enable から Disable に変更しておこう。

  • IE5 のデフォルト設定に注意，IE4 に上書きしても一部セキュリティ設定が受け継がれない
    (from 日経 BizIT, 1999.3.24)

    IE5 のクッキーの扱いが変更されたこと、および AutoComplete の危険性の指摘。 NTBUGTRAQ の記事というは MSIE 5 のことだろう。 (小島も見逃していた)

  • MSIE 5 installer disables screen saver
    (from NTBUGTRAQ, Tue, 23 Mar 1999 11:41:24 +0200)

    MSIE 5 のインストーラが無警告でスクリーンセーバを停止してしまうという指摘。 停止するのはダウンロードしている最中だけで、ダウンロードが終了あるいは中止されると再起動するとフォローされている。 これはちょっとなぁ。いくらなんでも警告くらいはすべきだろう。

  先日の記事も参照されたい。

• Index Server 2.0 and the Registry
  (from NTBUGTRAQ, Tue, 23 Mar 1999 23:40:55 -0000)

  NT Option Pack で IIS4 とともにインストール可能な Index Server 2.0 に弱点。Index Server 2.0 は新しい AllowedPath をレジストリに追加するが、 これが guest を含めた誰にでも読めてしまうという。

• NT Y2K issue (post SP4)
  (from NTBUGTRAQ, Tue, 23 Mar 1999 18:31:34 -0500)

  Windows NT 4.0 SP4 に未解決の 2000 年問題。 1999.12.31 23:59:30 に時計をセットし、 年内 (30 秒以内) には終了しないような大きなファイルのコピーを Explorer から (右クリックしてコピーを選択) 実行する。 すると、いくつかのマシン (Workstation, Server 両方) において、 OS 自身の時計 (!) が 1999.12.31 23:59:59 から 2000.01.01 12:00:00 に (!!) 飛んでしまったという。 この現象は、DOS シェルからコピーした場合には発生しない (!!!) という。

  NTBUGTRAQ のモデレータもこの現象の発生を確認しているが、 Microsoft 自身はうまく再現できていないようで、 情報提供を求めている。

• Security advisory: Lotus Notes Client version 4.5 with Encrypted mail
  (from BUGTRAQ, Tue, 23 Mar 1999 18:57:23 +0100)

  Lotus Notes Client 4.5 に弱点。 パス区切り文字 (MS-DOS, OS/2, MS Windows は '\'、UNIX だと '/') の扱いに不具合があり、それが原因で暗号化メールが暗号化されずにネットワーク経由で Notes データベースに保存されてしまう場合がある。 このため、ネットワークを sniff されると「暗号化したはずなのに」メールを盗まれるという事態が発生する。 報告者は OS/2 や MS Windows などパス区切り文字が '\' な環境で確認しているようだが、 Mac 版クライアントや、最新版 Notes 5 でどうなっているかなどは不明。

  この記事、Subject: がついてないので、 BUGTRAQ の web page では見ることができないようです。しかたないので、local copy への link となっています。

  1999.04.01 追記: この件に関する Lotus からの Security Advisory が投稿されていた。(from BUGTRAQ, Fri, 26 Mar 1999 21:25:10 GMT)

• OpenSSL and SSLeay Security Alert
  (from BUGTRAQ, Mon, 22 Mar 1999 19:42:49 +0000)

  SSLeay およびこれを base とした OpenSSL version 0.9.2b 未満、さらにこれらを利用した全てのアプリケーションに弱点。 いくつかの状況において、SSL セッションを、内容が全く異なるにもかかわらず再利用可能となってしまう。これにより、クライアント認証に基づくアクセス制限をバイパスすることができる。

  とりあえずの fix として、セッション再利用を原則として不許可とした version 0.9.2b がリリースされている。http://www.openssl.org から入手できる。 これを入手・インストールした上で、SSLeay/OpenSSL を利用しているアプリケーション全てを再構築する必要がある。たいへんだけど、しかたがない。

• 1998.12.11 の Microsoft Security Bulletin (MS98-018): Patch Available for Excel "CALL Vulnerability" に追記した。ようやく日本語 patch が出た。

• CATV Internet Security
  (from Infosystem Talk ML, Mon, 22 Mar 1999 18:00:26 +0900 (JST))

  報告者が加入している CATV Internet におけるセキュリティに関する報告。 CATV Internet に関しては昔からいろいろ言われているが、 実際に使われる方はちゃんと調べて対策してからにしましょう。

• Eudora Attachment Buffer Overflow
  (from BUGTRAQ, Sat, 20 Mar 1999 02:21:35 -0500)

  Windows 版 Eudora 4.1 において、 長いファイル名を持つ添付ファイルがあるメールが 2 通届くと、 2 通目を処理しようとしたとき Eudora が crash してしまうという指摘。

• SuSE Security Announcement: The default permissions on /dev/kmem is insecure.
  (from BUGTRAQ, Fri, 19 Mar 1999 22:45:29 -0800)

  SuSE Linux 6.0/5.3 以前に弱点。kernel 2.0.35 以前における /dev/kmem のパーミッションに問題があり、Blind TCP Spoofing 攻撃を受ける。 対策としては、kernel を 2.0.36 以降にするか、 /bin/chmod 640 /dev/kmem としてお茶を濁す。

• SuSE Security Announcement: Security hole in Netscape Communicator's 4.5 "talkback" function
  (from BUGTRAQ, Fri, 19 Mar 1999 22:45:02 -0800)

  SuSE Linux の netscape-4.5-9 パッケージに弱点。 Netscape Communicator 4.5 に付属する talkback プログラムの PID ファイルが /tmp/.$UID.talkback という名前でつくられる。 Communicator が crash するとき、このファイルの内容に基づいた PID のプロセスを kill したあとで、このファイルを変更する。 talkback はこのファイルがシンボリックリンクか否かの検査を行っていないため、シンボリックリンクを利用した DoS 攻撃を受ける。

  これは SuSE Linux 特有ではなく、talkback が添付されている UNIX 版 Communicator 全般に言える弱点だと思う。 対策としては、/bin/chmod -R 600 /opt/netscape/talkback などとして talkback を不使用とする。

1999.03.24

ちょっと遅れ気味です。すまん。

• Promail is trojan
  (from BUGTRAQ, Fri, 19 Mar 1999 22:40:30 +0100)

  MS Windows 9x 用の free software として各所で配布されている ProMail 1.21 Copyright (C) 1999 SmartWare, Inc. というものが、実はトロイの木馬だという指摘。 指摘のオリジナルは http://cool.icestorm.net/aeon/news.html。

• MS Internet Explorer 5 がらみの問題まとめ:

  • http://www.whitehats.com/guninski/read.html に記載されている、 Georgi Guninski が発見した不具合が IE5 に残っているという指摘 (from BUGTRAQ, Fri, 19 Mar 1999 11:46:01 +0100)

  • 間違った S/MIME 署名がされていると、Outlook Express 5.0 が crash してしまうという指摘。 (from NTBUGTRAQ, Tue, 23 Mar 1999 14:18:31 -0500)

  IE5 にするとうまくいかなくなる例もあるようだが、 IE5 は IE4 と共存できるようなので、IE5 SP1 が出るまでくらいは共存させたほうがいいかもね。

  個人的には標準のサポートに難があるようでがっかりだったりします。 MS は標準策定には熱心だったはずなのに。けっこう期待してたのに。 というわけで、Netscape 5 待ち状態です。

• 1999.03.12 の MS Windows 98 および MS Office 97 の ID 問題まとめに追記した。 Office 97 用の patch が登場した。

1999.03.19

• 1999.03.12 の MS Windows 98 および MS Office 97 の ID 問題まとめに追記した。

• ISSalert: ISS Security Alert Summary Volume 3 Number 7.
  (from fw-announce ML, Fri, 19 Mar 1999 12:41:43 +0900)

  March 17, 1999 付け ISS Security Alert Summary Volume 3 Number 7. まだ web page からは参照できないようだが、そのうち http://www.iss.net/xforce/alerts/vol-3_num-7.html に登場すると思う。 多くはこのページで既報のものだが、いくつか見逃していたものもリストされている。以下に示す:

  • Bay Networks 350T/350F Switch のデフォルトパスワードについて (ふつう設定しませんか?)

  • IRIX X サーバのフォントパスが buffer overflow して root 権限を奪取される (見逃がし)

  • Windows 9x に対する DoS 攻撃 tool "Winfreeze" (実行している間しか効き目がないみたいなのでつまらない)

  ISS Security Alert Summary は ISS が確認した上での情報なので、情報速度的にはちょっと遅いですが、 BUGTRAQ などを追いかけるよりはずっと手軽です。

• NetBSD Security Advisory 1999-007: noexec mount flag is not properly handled by non-root mount
  (from BUGTRAQ, Thu, 18 Mar 1999 21:27:39 +1100)

  1999.03.18 にひきつづき NetBSD 1.3.3 以前および NetBSD-current 19990318 未満に弱点。 root でないユーザが mount した場合に、noexec マウントフラグが正しく処理されないため、実行許可されていないファイルを実行できてしまう。

  NetBSD 1.3.3 用の patch が ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/19990317-mount に用意されている。 また、NetBSD-current については 19990318 以降で fix されているので、 NetBSD-current ユーザは 19990318 以降に upgrade していただきたい。

• HEWLETT-PACKARD COMPANY SECURITY BULLETIN: #00093, Security Vulnerability with hpterm on HP-UX 10.20
  (from HP Electronic Support Center, Thu, 18 Mar 1999 04:24:35 -0800 (PST))

  HP-UX 10.20 の hpterm に弱点。 といっても「introduced a library access problem」 「Users can gain increased privileges.」 というだけで、詳細がよくわからない。問題があるのは 10.20 に添付のものだけと書いてある。

  Patch PHSS_17830 を適用すれば fix される。 ftp://us-ffs.external.hp.com/export/patches/hp-ux_patch_matrix から入手できるようだ。

• ISS Security Advisory: Short-Term High-Risk Vulnerability During Slackware 3.6 Network Installations
  (from BUGTRAQ, Wed, 17 Mar 1999 18:53:08 -0800)

  Slackware Linux 3.6 以前に弱点。Slackware は、インストール中に root パスワードの設定がされず、標準の inetd.conf では telnetd や rlogind が有効になっており、しかも仮想端末 ttyp0 から ttyp3 までにおいて root login を許可している。 これにより、"net.i" などネットワークが組みこまれたカーネルをインストールしリブートすると、管理者が login し root パスワードを設定するまでの間、誰でも telent/rlogin 経由で root login できてしまう。

  日本で人気のある Linux ディストリビューションの 1 つ、Plamo Linux が Slackware ベースだったはずだが、このあたりは何か変更されているんだろうか。

1999.03.18

• Stop Abusing Proxy Server キャンペーンに参加しました。
  

• Lynx 2.8 overflow
  (from BUGTRAQ, Tue, 16 Mar 1999 00:26:31 +0100)

  Lynx Version 2.8.1pre.9 において、長い width を持つ img タグがあると core dump してしまう。手元の Lynx Version 2.8.1rel.2 (on FreeBSD(98) 2.2.7-Rev01) というものでも同様であった。最新開発版は lynx2.8.2dev.15 だが、これで fix されているかどうかは不明。 報告者は MSIE 4/5 でも同様としているが、 手元の MSIE 4.01SP1 for NT 4.0 x86 では問題は発生していない。

• NetBSD Security Advisory 1999-006: Security hole in umapfs
  (from BUGTRAQ, Thu, 18 Mar 1999 00:03:40 +1100)

  NetBSD 1.3.3 以前、および NetBSD-current 19990312 未満までに弱点。 umapfs 仮想ファイルシステムを使用していると、local user が、自分のユーザ ID を root を含むあらゆるユーザのユーザ ID に再割り当てできてしまう。 amiga, arm32, atari, bebox, i386, mac68k, macppc, newsmips, next68k, next68k, ofppc, pmax, sparc, sparc64, vax, x68k 用の NetBSD において、 デフォルト (GENERIC) カーネルで umapfs が有効になっている。 alpha, hp300, mvme68k, pc532, sun3 用ではデフォルトで無効になっている。

  1.3.3 用の Patch が ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/19990311-umapfs に用意されている。 NetBSD-current については、19990312 以降であれば fix されている。

  Patch を適用しなくても、umapfs に対応していないカーネルを運用すればこの問題を無効にできる。このためには、カーネルコンフィギュレーションファイルの file-system UMAPFS という行を削除あるいはコメントアウトしてからカーネルを make, install すればよい。

• Microsoft's SMTP service broken/stupid
  (from BUGTRAQ, Sun, 14 Mar 1999 20:49:30 -0600)

  Microsoft SMTP service に問題。 sendmail 8.8.x は DNS に関するエラーとして常に 4xx エラー (一時エラー) を返す。ふつうの MTA は、4xx エラーに対して「該当メールをキューに入れ、一定時間 (30 分とか 1 時間とか) 後に再試行する」という動作を行うのだが、 Microsoft SMTP service は「直ちに」再試行してしまう。 結果として、接続先サイトに対して DoS 攻撃を行ってしまうという。

  これに対し、問題があるのは NT 4.0 SP4 に含まれるものであると Microsoft の人がフォローしている。現在 fix 作業中とのことなので、しばらくすれば patch が登場するだろう。それまでは、外向けな仕事を NT SP4 にさせないようにしましょう。

• 1999.03.08 の SMTP Server abuse に sendmail.cf の対抗設定情報を追記した。

• /usr/bin/doscmd on BSDI
  (from BUGTRAQ, Sun, 14 Mar 1999 00:25:44 -0500)

  BSDI BSD/OS 3.1 付属の doscmd が buffer overrun するという指摘。 doscmd は SUID root であるため、buffer overrun を悪用した root 権限奪取が可能となるかもしれない。気になる人は SUID bit を落しておこう。

1999.03.17

• 1999.02.05 の Microsoft Security Bulletin (MS99-004): Patch Available for Authentication Processing Error in Windows NT 4.0 Service Pack 4 に追記した。これも下↓のと同様。

• 1998.11.24 の Microsoft Security Bulletin (MS98-017): Patch Available for "Named Pipes Over RPC" Issue に追記した。 これも下↓のと同様。

• 1999.02.08 の MS releases GINA-fix for SP3, SP4, and TS に追記した。 日本語 KB が出たものの、中身がないというなさけない状態。 (Security Memorandum さんの情報で知りました。早い!)

• BIND-8.2 released
  (from Installer ML, 17 Mar 1999 05:23:33 +0900)

  DNS サーバ bind 8.x 系列の最新版、 bind 8.2 が登場しています。8.x 系列を利用している人は入れかえましょう。 うちもはやく 8.x に移行しなければ……。

• Microsoft Security Bulletin (MS99-009): Patch Available for "Malformed Bind Request" Vulnerability
  (from Microsoft Product Security Notification Service, Tue, 16 Mar 1999 17:47:11 -0800)

  1999.03.16 の Microsoft Security Bulletin (MS99-009): Patch Available for NTFS "Malformed Write" Vulnerability だが、 予想通り大幅に変更されたので改めて記述する。 1999.03.16 情報は無視していただきたい。

  Microsoft Exchange Server 5.5 の LDAP Bind 関数に 2 つの弱点。 Bind 関数は buffer overflow を起すため、これを利用しての DoS 攻撃、 および remote user による任意のコードの実行が可能となる。 LDAP 機能を使用していない場合は、この危険はない。 関連記事: ISS Security Advisory: LDAP Buffer overflow against Microsoft Directory Services

  Patch がある:

  • X86-based Exchange:
    ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng/Exchg5.5/PostSP2/DIR-fix/PSP2DIRI.EXE

  • Alpha-based Exchange:
    ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng/Exchg5.5/PostSP2/DIR-fix/PSP2DIRA.EXE

  Microsoft Knowledge Base (KB) はこちら:
  article Q221989, XADM: Buffer Overrun in Exchange 5.5 LDAP Service, http://support.microsoft.com/support/kb/articles/q221/9/89.asp

  例によって英語版の話なので注意。

  1999.09.27 追記: 日本語 KB および patch はいまだに出ていないが、 上記 KB Q221989 によると、この問題は Exchange 5.5 SP3 で fix されている。 そして、まだアナウンスされていないものの、日本語版の Exchange 5.5 SP3 が登場している。 日本語 Exchange 5.5 SP3 にこの問題の fix が本当に含まれているのかいないのかは、いまのところよくわからない。

  英語版 Exchange 5.5 SP3 の詳細はこちら: part 1, part 2。

  1999.09.30 追記: 日本語 KB J049734: [XGEN]Exchange Server 5.5 SP3 での修正の一覧 に Q221989 が載っているので fix されたのでしょう。

1999.03.16

• 1999.03.12 の [ SECURITY ALERT ] NT Screensaver Vulnerability に追記した。 C|NET の関連記事の追記。

• Microsoft Security Bulletin (MS99-009): Patch Available for NTFS "Malformed Write" Vulnerability
  (from INTERNET Watch, Mon, 15 Mar 1999 23:42:45 +0900 (JST))

  WindowsNT 4.0 に弱点。 NTFS に対して注意深く設定された異常な write リクエストを実行すると、 WindowsNT が crash してしまうという。

  Patch が用意されている……と言いながら、patch の URL が記載されていない。 リリース直前になにか問題でも発生したのか?

  Microsoft Knowledge Base (KB) はこちら:
  article Q220605, Stop 0x0000000A Caused by Malformed File Write Request
  http://support.microsoft.com/support/kb/articles/q220/6/05.asp

  例によって英語版の話なので注意。

• 改正風営適正化法トップページ
  (from INTERNET Watch, Mon, 15 Mar 1999 23:42:45 +0900 (JST))

  警察庁の改正風営法解説ページ。1999.04.01 から施行だそうだ。 ISP 方面はさぞかし大変でしょう。

1999.03.15

• 新しい情報サイト Security Memorandum が活動を開始しています。 小島が見逃している/誤解している情報もありますので、 クロスチェックしましょう。 また、Windows 系の情報は Win セキュリティ虎の穴さんが詳しいです。クロスチェックしましょう。

  他にセキュリティ情報がまとまっているページをご存知の方がいらっしゃいましたら、おしえてください。

• 速報！　「日本語版 Windows NT 4.0 Service Pack 4 以降のセキュリティ問題の修正」ページ公開開始
  (from Win セキュリティ虎の穴, 1999.03.10)

  Microsoft が日本語版 Windows NT 4.0 Service Pack 4 以降のセキュリティ問題の修正というページを公開しているという情報。 虎の穴さんも書いているように、情報がやたら少ない。 新しいページを作るのはいいが、ちゃんと情報提供・更新してくれないと困る。

  また、同じく虎の穴さんの1999.03.09 付け情報で、Microsoft が ftp サーバで公開している SP4 以降の HotFix が紹介されている。 手元でも非公開領域に mirror しているので気がついていたのですが、これってほんとに使っても問題ないんでしょうか。私にはどうもよくわかりません。

• 1999.02.22 の Microsoft Security Bulletin (MS99-006): Fix Available for Windows NT "KnownDLLs List" Vulnerabilityに追記した。

• 1999.03.12 の MS Windows 98 および MS Office 97 の ID 問題まとめに Mac 版 Office の情報を追記した。

• 1999.03.08 の SMTP Server abuse に sendmail 8.9.3 への対抗 patch の情報を追記した。

• Announce: vpnd 1.0.0 released
  (from BUGTRAQ, Fri, 12 Mar 1999 09:54:08 -0800)

  Linux 用の VPN デーモン vpnd 1.0.0 リリースのおしらせ。 詳細は http://www2.crosswinds.net/nuremberg/~anstein/unix/vpnd.html をどうぞ。ふむぅ、Blowfish ですか……。

• 1999.03.12 の 64 bit Solaris 7 procfs bug に追記した。32 bit 環境でも発生する模様。

1999.03.14

• Wineows NT Case Sensitivity vulnerability
  (from NTSD newsletter, Fri, 12 Mar 1999 10:10:29 -0700)

  Microsoft WindowsNT に弱点。 \?? Object directory に、たとえば \??\c: というシンボリックリンクを作成すれば、 C: ドライブ (\??\C:) へのアクセスを c: に向けられる。 これによってトロイの木馬を実現できる。 さらに、\?? は logon できるユーザであれば誰でも書きこめてしまう。

  1999.03.12 の [ SECURITY ALERT ] NT Screensaver Vulnerability にひきつづき、 インドのソフト会社 Cybermedia Software が発見した弱点。 一次情報サイト http://www.cybermedia.co.in/NT_Security/CS_vulnerability.htm ではデモソフトも配布している。

  1999.06.25 追記: この件に関して Microsoft KB が出ている。

  • 日本語 KB J048190, [NT] シンボリック リンクの大文字/小文字の区別でシステムセキュリティが無視される

  • 英語 KB Q222159, Symbolic Link Case Sensitivity Exploit Bypasses System Security

  日本語 KB では「現在調査中」だし、「Windows NT 4.0 Service Pack 5 機能別修正一覧」にも記述がないので NT 4.0 SP5 でも fix されていないように見えるが、 英語 KB には「SP5 で fix」と書いてある。 英語 KB の方が日付が新しいので、日本語 SP5 でも fix されているのだと思う。多分。 (情報募集中!)

  1999.11.08 追記: この問題を fix するには、SP5 (TSE の場合は SP4) 以降に version up したうえで、 レジストリ hkey_local_machine\system\CurrentControlSet\Control\Session Manager\ProtectionMode を 1 に設定する必要があるとフォロー (フォロー1, フォロー2) されていた。 フォロー中には Q218473: Restricting Changes to Base System Objects が挙げられているが、今見直してみたら上記 Q222159: Symbolic Link Case Sensitivity Exploit Bypasses System Security でも同様に記述されている。 日本語 KB には依然として何もない。

• 1999.03.12 の [ SECURITY ALERT ] NT Screensaver Vulnerability に追記した。

1999.03.12

• Shockwaveのセキュリティホール，Macromediaが修正
  (from ZDNet News, 1999年3月12日)

  Shockwave 7 にセキュリティホール。 Shockwave 7 Plug-in をインストールしていると、 パスワードを含むユーザの個人情報が Shockwave の開発元 Macromedia に送られてしまうことがあるという。 これを fix したものが http://www.macromedia.com/shockwave/download/ から入手できる。

• Cisco security notice: Cisco 7xx TCP and HTTP vulnerabilities
  (from BUGTRAQ, Thu, 11 Mar 1999 16:00:00 -0000)

  Cisco 7xx ISDN ルータに弱点。 ルータの telnet ポートを使った DoS 攻撃を受ける。 また、ルータに付属している web サーバ機能を停止していないと、 ルータの設定情報を覗かれたり設定を変更されたりされてしまう。

  不具合が fix されるまでは、 set ip filter tcp source = not trusted-host destination = router block とフィルタ設定をすることにより前者に、 set clickstart off として web サーバを停止することにより後者に対応しておこう。

• MS Windows 98 および MS Office 97 の ID 問題まとめ:

  発端:

  • NewYork Times

  日経 BizTech:

  • Win 98オンライン登録で個人情報が漏れる
    NewYork Times などの報道を受けての記事。 日経は「単純なバグ」という報道をしているが、 中村正三郎のホットコーナーでも指摘されているように、 NewYork Times の記事自身にはそんな記述はないことに注意。 「単純なバグ」というのは誰が言ったのかに関して興味があるぞ。

  • ユーザ情報漏洩の可能性、MS が認める -- Win 98 オンライン登録で
    MS は漏曳可能性を認めるも、Office は関係ないとしていた。

  • ユーザ情報漏洩問題、MS が Office 97 の ID 挿入を削除するパッチ配布へ
    結局 Office についても認めた。 ここまでくれば、「単純なバグ」どころか「計画的犯行」なのは明らかである。

  C|NET の報道:

  • Windows 98 でプライバシー問題、マイクロソフトが改善へ
    日経の記事よりもしっかりしている。 当然というかなんというか。

  • Windows 98 にまたセキュリティホール
    Windows98 の ID が MSIE を通じて外部の人間に知られてしまうという指摘。 波紋はつづくよどこまでも。

  Microsoft の言いぶん ("Microsoft Addresses Customers' Privacy Concerns"):

  • 最初のもの: Office については否定していた。

  • 修正版: Office についても認めた。

  1999.03.15 追記: この問題の、Macintosh 版 Office 98 での状況が Macintosh トラブルニュースにまとめられている。 Mac 版 Office ユーザは一読されたい。

  1999.03.19 追記: 中村正三郎のホットコーナーに、さらなる情報が紹介されていたので記載しておく。

  • Office 98 Security Hole: Samples

    なんと、Microsoft が公開している Office 文書を使ってこの問題の深さを解説するというスルドいシロモノ。

  • 実状は報道よりもさらに悪い「Windows 98」のプライバシー情報漏洩 (【Apple、「Mac OS X Server」オープンソース版を無料配布へ】の下にあるのでスクロールして探して下さい)

    諸悪の根源である Windows 98 の Registration Wizard を無効とする方法があるという。 http://www.winmag.com/web/regwizoff.htm によると、regsvr32.exe -u c:\windows\system\regwizc.dll とすればよいそうだ。 個人情報および ID を削除する方法も記載されている。

  1999.03.24 追記: Microsoft から MS Office 97 用の patch と ID 削除 tool がリリースされた。 ただし、patch は Office 97 SR2 にしか適用できない。 また、MacOS 版 Office 98 用はまだ存在しないようだ。 (from MainichiDailyMail Computing, 1999.03.19)

  • Microsoft, Office 97, and Privacy

  • Microsoft Office 97 Unique Identifier Patch

  • Microsoft Office 97 Unique Identifier Removal Tool

  Microsoft の言いぶん (Microsoft Addresses Customers' Privacy Concerns) の日本語版が登場している。 (from INTERNET Watch, Tue, 23 Mar 1999 00:56:30 +0900 (JST))

  1999.04.02 追記: Office 98 (for MacOS) 用の patch が登場した。 ただし英語版 Office にしか適用できないようだ。 (from Mac お宝鑑定団, 1999/04/02)

• 1999.03.01 の SLMail 3.2 (and 3.1) with the Remote Administration Service に追記した。

• 64 bit Solaris 7 procfs bug
  (from BUGTRAQ, Tue, 9 Mar 1999 22:17:19 +0200)

  Solaris 7 で 64bit 環境利用時、一般ユーザが more /proc/self/psinfo とすると crash してしまうという。

  1999.03.15 追記: 32bit 環境の Solaris 7 でも発生する、ただし x86 版では発生しない (Sparc 版のみ発生) とのフォローが投稿されていた。/usr/xpg4/bin/more がトリガーだとしている。

• ISAPI Extension vulnerability allows to execute code as SYSTEM
  (from NTBUGTRAQ, Mon, 8 Mar 1999 11:27:48 -0500)

  Microsoft IIS などで利用可能な ISAPI Extension に弱点。 ISAPI Extension が初回に load されるとき GetExtensionVersion() が呼ばれるが、この関数が終了するまでは、攻撃者があらゆるコードを SYSTEM 権限で実行できてしまうという。 サンプルコードも提示されている。

• Password and DOS Vulnerability with TestTrack (bug tracking software)
  (from NTBUGTRAQ, Mon, 8 Mar 1999 10:58:17 -0500)

  Seapine Software のバグ追跡ソフト TestTrack に弱点。DoS 攻撃を受ける。また、ログファイルに userid/password を平文で書き込んでしまう。

  1999.06.23 追記: この弱点は TestTrack Web 1.2.0 で fix されているとフォローされていた。 1.2.0 は 1999.05.03 付けで登場している。 それにしても、A free upgrade to version 1.2.0 is available via the web at www.seapine.com とあるのだが、どこから download できるんだろう。 私には見つけられなかった。 (from NTBUGTRAQ, Wed, 16 Jun 1999 11:14:06 -0400)

• CERT、statd・imapd・FTPプロトコルのセキュリティホールに関する報告を更新
  (from INTERNET Watch, Wed, 10 Mar 1999 23:09:57 +0900 (JST))

  CERT Advisory が更新されている。

  • CA-97.26.statd
    Last revised: March 08, 1999 - Updated patch information for Sun Microsystems

  • CA-97.27.FTP_bounce
    Last revised: March 08, 1999 Added vendor information for Data General.

  • CA-98.09.imapd
    Last revised: March 08, 1999 Updated IMAP Server information for ISOCOR.

• 1999.03.08 の SMTP Server abuse に追記した。

• Network Associates, Inc. SECURITY ADVISORY: Linux Blind TCP Spoofing
  (from BUGTRAQ, Tue, 9 Mar 1999 16:28:24 -0800)

  Linux カーネル 2.0.35 以前に弱点。remote user が TCP コネクションをでっち上げ、コネクションを張らずにアプリケーションにデータを渡してしまえる。 2.0.36 ではこの不具合が fix されている。 2.0.36 ではこの他にも fix されているものがある (1998.12.11 の記事参照) ので、 2.0.x 系列を使うのなら 2.0.36 にしよう。 でも、2.0.36 はDoS 攻撃を受けたりroot 権限を奪取される可能性があるので、 できれば 2.2.2 以降に移行したほうがいいと思う。

• [ SECURITY ALERT ] NT Screensaver Vulnerability
  (from NTSD newsletter, Tue, 9 Mar 1999 08:34:40 -0700)

  Windows NT 4.0 および Windows 2000 の Winlogon.exe に弱点。Winlogon.exe はスクリーンセーバを起動するときに primary security token を変更 (SYSTEM → user) するが、 primary security token の変更が成功したか否かを検査していないため、 変更に失敗するとスクリーンセーバが SYSTEM 権限を得てしまう。 一次情報サイト http://www.cybermedia.co.in/NT_Security/SS_vulnerability.htmでは、この不具合のデモプログラムも配布している。

  関連記事: Windows NT のセキュリティホールをマイクロソフトが認める

  1999.03.14 追記: Microsoft Security Bulletin にも情報が出た。 Microsoft Security Bulletin (MS99-008): Patch Available for Windows NT "Screen Saver" Vulnerability

  Patch は以下のとおり:

  • X86-based Windows NT Workstation and Server 4.0 (including Enterprise Edition):
    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/ScrnSav-fix/Scrnsavi.exe

  • X86-based Windows NT Server 4.0, Terminal Server Edition:
    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/ScrnSav-fix/Scrnsavi.exe

  • Alpha-based Windows NT Workstation and Server 4.0 (including Enterprise Edition):
    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP4/ScrnSav-fix/Scrnsava.exe

  • Alpha-based Windows NT Server 4.0, Terminal Server Edition:
    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/ScrnSav-fix/Scrnsava.exe

  Microsoft Knowledge Base (KB) はこちら:
  article Q221991, Screen Saver Vulnerability Lets User Privileges be Elevated. http://support.microsoft.com/support/kb/articles/q221/9/91.asp

  当然のごとく英語版なので、日本語版ユーザはもうしばらく待ちましょう。

  1999.03.16 追記: CNET BRIEFS に関連記事が出ていた。「マイクロソフトがWindows NTパッチを掲示」

  1999.04.19 追記: 日本語 KB が出たが、patch はまだだ。 J047159, [NT] スクリーンセーバーを利用して管理者権限が取得される

• Netscape Communicator find() vulnerabilities
  (from BUGTRAQ, Mon, 8 Mar 1999 19:48:05 +0200)

  Netscape Communicator 4.x の JavaScript に弱点。JavaScript の find() を使って Netscape Communicator のキャッシュなどを読むことができる。 デモが http://www.nat.bg/~joro/nsfind.html にある。

  関連記事: ブラウザバグに対処するネットスケープ

• Update: HP printer vulnerabilities
  (from BUGTRAQ, Mon, 8 Mar 1999 07:52:25 -0800)

  HP ネットワークプリンタのファームウェアに弱点。DoS 攻撃を受ける。 fix 版が存在するようなので、HP プリンタを利用している人は確認されたい。

• Little exploit for startup scripts (SCO 5.0.4p).
  (from BUGTRAQ, Sun, 7 Mar 1999 15:07:23 +0300)

  SCO OpenServer のスタートアップスクリプト (/etc/rc2.d/*) のいくつかにおいて、ファイルの存在チェックなしで /tmp/nfs.err$$ という名前の一時ファイルを使用している。 $$ はスクリプトのプロセス ID が展開されるが、これは高々 (!!) 65534 種類しかないため、シンボリックリンクを用いた DoS 攻撃を受ける、という指摘。

  しかしなぁ、$$ を使った方法は Kernighan & Pike の「UNIX プログラミング環境」にも載っている由緒正しい方法なんだよなぁ。 もうそういう牧歌的な生活はできないってことなんだろうなぁ。 やな時代だなぁ。

1999.03.09

• Netscape Communicator 4.51 Release Notes
  (from INTERNET Watch, Mon, 08 Mar 1999 23:40:29 +0900 (JST))

  Netscape Communicator 4.51 が登場。 1999.01.12 で報じているFrame-Spoofing Vulnerability が fix されているそうだ。 日本語版はまだ Windows 9x/NT 用だけのようだ。 FreeBSD や Linux/Sparc 版などの unsupported UNIX 版 (当然英語版 only) もまだ出てない。

1999.03.08

• 1998.11.24 の MSIE 4 Dotless IP Address" 問題対応 patch 日本語版に追記した。

• Cheyenne InocuLAN for Exchange plain text password still there
  (from NTBUGTRAQ, Fri, 5 Mar 1999 12:19:59 -0800)

  Cheyenne Anti-Virus Agent for Exchange の logfile に username/password が平文で記録されてしまう問題は build 59 で fix されたとアナウンスされていたのに、最新版 build 64 にまだ残っているという指摘。

  1999.04.30 追記: ようやく fix が出たようだ (from NTBUGTRAQ, Thu, 29 Apr 1999 17:29:58 -0400)。 patch は以下のとおり:

  • T146159 for their ARCserve Backup Agent for Exchange (requires Release 6.5 build 622 of ARCserve for NT installed)

  • TF68089 for InocuLAN (requires Release 4.0 build 373 or 375 of InocuLAN installed, as well as build 64 of InocuLAN Exchange Agent)

• Security Issue in SQL Server Enterprise Manager
  (from NTBUGTRAQ, Fri, 5 Mar 1999 09:59:23 -0800)

  MS SQL Server 6.0/6.5 を、NT 認証を使うのではなく、 ふつうの userid/password 認証で使う場合、userid/password がレジストリに平文で記録されてしまうという指摘。

• buffer overflow in /usr/bin/cancel
  (from BUGTRAQ, Fri, 5 Mar 1999 14:27:16 -0600)

  Solaris 2.6 の /usr/bin/cancel に弱点。buffer overflow するため local user が root 権限を得られる。 Solaris 2.5.1 以前では /usr/bin/cancel は suid root ではないため問題はない。 また Solaris 7 ではこの問題が既に fix されている。 Solaris 2.6 用の patch は 1 か月以内に用意されるとのことだ。

  1999.04.06 追記: この不具合は Mar/19/99 付けで登場した patch 106235-03 (sparc 版: x86 は 106236-03) で fix されたようです。以下 readme より引用:

    Problem Description:
  
    4167443 Unable to configure SUN to HP or Unisys printing under 2.6.
    4147753 netpr uses up to 100% cpu if wrong queuename specified
    4094225 lprm - does not remove all jobs from the print queue as
            documented
    4165358 in.lpd cascading uses wrong queuename
    4130727 cancel/lprm security bug
    4085677 'lpstat -o' displays jobs of other queues
    4179341 printd fails if 'N' entry is missing in control file
    4156106 cancelling a job while printer is paper out or offline hangs
            xtp pad pri nter.
    4095132 lpstat -t is very slow
    4077583 Bug in argument parsing for LP

  patch は http://sunsolve.sun.com/sunsolve/pubpatches/patches.html から入手できます。

• ハッカージャパン Vol.3 が出ているそうです。今度は (今度こそ?) 内容あるのかな。 ちなみに、 旧 URLからだとうまく入れません。

  1999.03.15 追記: 持ってる人がいたのですこし眺めさせてもらいました。 なんか、ふつーの Internet 情報誌になってしまってますねぇ。

• 1999.02.22 の Microsoft Security Bulletin (MS99-006): Fix Available for Windows NT "KnownDLLs List" Vulnerability に追記した。

• SMTP Server abuse
  (from BUGTRAQ, Fri, 5 Mar 1999 06:54:55 +0100)

  SMTP の RCPT TO を使ったアドレス収集プログラムが出てきたという報告。 なんだかなぁ。

  1999.03.12 追記: 問題のプログラム GeoList Pro 3.3 trial に内蔵されている URL の一覧が ftp://ftp.apaynet.com/pub/glpro/glpro.txt にあると投稿されていた。 また、GeoList Pro 開発元の Earthonline は、 1999.03.09 付けで GeoList Pro の販売を中止した。

  1999.03.15 追記: GeoList Pro に対抗するための一手段として、 "550" エラーを送るときに指定秒数 sleep する patch が投稿されていた。

  1999.03.18 追記: GeoList Pro に対抗するための sendmail.cf 設定方法が http://www.cana.net/~kerb/sendmail.html にあると投稿されていた。

• IMAIL password recovery is trivial.
  (from BUGTRAQ, Thu, 4 Mar 1999 22:30:42 -0800)

  1999.03.03 の報告にひきつづき、 IMail にまたまた弱点。パスワードの暗号化方法が poor なため、 簡単に解読できてしまう。

• [S9S] ConSeal PC FIREWALL for Windows NT Security Update
  (from NTBUGTRAQ, Thu, 4 Mar 1999 14:11:47 -0600)

  ConSeal PC Firewall version 1.36 のおしらせ。 v1.3 〜 1.35 までには、 system service として動作していると異常終了してしまう場合があった。

• Linux /usr/bin/gnuplot overflow
  (from BUGTRAQ, Thu, 4 Mar 1999 21:55:18 -0000)

  SuSE Linux にインストールされている gnuplot 3.5 (pre 3.6) patchlevel beta 336 に弱点。SUID root となっているうえ buffer overflow するため、root 権限を奪取される。

  Slackware Linux では SUID root になっていないというフォローが、 また Debian GNU/Linux では SUID root にするか否かをインストール時に選択できるようになっているというフォローが投稿されていた。 SUID root が必要なのは、SVGAlib を使うためらしい。 SVGAlib が不要であれば SUID root は不要だ。

  報告された不具合それ自体は gnuplot 3.7 で fix されているとフォローされている。 早々に update パッケージが発表されるだろう。

• Oracle Plaintext Password
  (from NTBUGTRAQ, Thu, 4 Mar 1999 02:15:58 -0600)

  NT 4.0 上の Oracle 8.0.3 Enterprise Edition に弱点。 Database Assistant を用いてデータベースを構築する際、 typical(default) を選択すると、デフォルトパスワード 'oracle' が設定される。custom を選択すると、管理者パスワードの入力を促される。

  ところが、このパスワードが Server Manager のログファイル \orant\database\spoolmain.log に平文で記録されてしまう。さらに、このログファイルはデフォルトで everyone フルコントロールである。

• 技術メモ - sendmail バージョンアップマニュアル
  (from INTERNET Watch, Fri, 5 Mar 1999 00:06:12 +0900 (JST))

  JPCERT/CC の「sendmail バージョンアップマニュアル」のバージョン 0.7。 sendmail 8.9.3 対応など。

1999.03.05

• 1999.02.23 の Pingflood attack against Windows98 に追記した。 office さん、ありがとうございます。

• Security Vulnerability with NES3.6 on VVOS
  (from HP Electronic Support Center, Thu, 4 Mar 1999 04:21:26 -0800 (PST))

  ある状況下で、Netscape Enterprise Server (NES) 3.6 が CPU をバカ食いしてしまう。これは、NES に添付されている Praesidium VirtualVault A.03.50 に問題がある。 Patch が出ている。

  • HP-UX 10.24 with VirtualVault A.03.50 US/Canada: PHSS_17598

  • HP-UX 10.24 with VirtualVault A.03.50 International: PHSS_17599

• Defeating Solaris/SPARC Non-Executable Stack Protection
  (from BUGTRAQ, Wed, 3 Mar 1999 00:55:35 -0500)

  Sun Solaris 2.6 では、/etc/system に set noexec_user_stack=1 と書いて reboot すると、スタック上のコードが実行されないようになる。 これは、buffer overflow を利用した root 権限奪取攻撃に対する有効な防御手段とされている。 報告者は、return-into-libc という方法を使えばこの機構を回避できることを実証した、としている。 報告者は Sparc 版 Solaris 2.6 で確認している。サンプルコード付き。

1999.03.03

• NT Domain DoS and Security Exploit with SAMBA Server
  (from NTBUGTRAQ, Tue, 2 Mar 1999 16:43:10 -0600)

  samba に関する話題 2 点。

  1. samba 1.9.18p5 を

     	    security=server
     	    password server=[hostname of PDC]
     	    domain controller=[hostname of PDC]
     	    domain logons=yes

     として使うとする。samba を起動してしばらくすると、samba は BDC になっている (サーバマネージャにはそう表示される)。 この時点で PDC を reboot すると、次のような現象が発生するという。

     1. PDC は「すでに PDC が存在する」といって boot しない。

     2. サーバマネージャは「PDC はいない」と報告する。

     3. PDC の「昇格」「降格」すら実行できない。

     対策としては、samba を kill 後に PDC を boot し、 その後あらためて samba を起動するしかない。

     ここからが問題なのだが、samba team はこの問題は 2.0 では発生しないとしていたが、 報告者は 2.0 でも発生した、と報告している。

  2. 悪意をもって上記構成の samba を立ち上げると、 結果的に DC を spoof できてしまう。 対策としては以下があげられている:

     1. LMHOSTS ファイルに PDC を明記する。 Knowledge Base Q192064 および Q150800 参照。 後者に対応する日本語 KB は J030016 だと思う。 Q192064 に対応する日本語 KB は、私にはみつけられなかった。

     2. SMB 署名を使う。

  ……という理解でいいのかなぁ。いまいち自信ない。 間違いがあったらおしえてください。

• New OpenBSD security-related patches
  (from BUGTRAQ, Tue, 2 Mar 1999 13:08:22 -0700)

  最近出た OpenBSD version 2.4 に対する security fix の告知。

• Multiple IMail Vulnerabilites
  (from NTBUGTRAQ, Mon, 1 Mar 1999 23:30:21 -0800)

  MS WindowsNT 用のメールサーバソフト IMail バージョン 5.0 に多数の弱点。buffer overflow してしまうため、DoS 攻撃を受ける。 報告者は明記していないが、潜在的には管理者権限奪取も可能だと思う。

  下位バージョンでも同様の弱点があるか否かは不明。 IMail 日本語版はまだ 4.0 base のようです。

• 不正アクセス規制法案、ログの保存義務は見送り
  (from INTERNET Watch, Wed, 3 Mar 1999 00:07:21 +0900 (JST))

  Internet Week 98 JPCERT/CC BOF でも議論となった「不正アクセス規制法案」だが、 上記によると郵政省案をベースとしたものになったようだ。 警察庁案 (警察庁 web page から消えているみたい……証拠湮滅が得意なのね。さすがはケーサツ) はあまりにあまりなものだったので、話はまともな方向に向ってはいるということかな。 日経 BizTech の記事も参照されたい。

  合意内容全文を読んでみたいけど、どこかに掲載されていないのかな。 郵政・警察双方の web page にはないみたいだった。 どなたかご存知なら教えてください。

  両案に関するJPCERT/CC のコメントはすっきりはっきりしていて読みごたえがあります。 小島の意見は『「不正アクセス対策法制の基本的考え方」に対するコメント』にまとめてあるのでヒマな方はどうぞ。ちょっと文章が変ですけど。

• コンピュータ緊急対応センター (JPCERT/CC) 不正アクセス情報 届出様式 第 1.2 版
  (from JPCERT announce ML, Tue, 2 Mar 1999 17:39:33 +0900 (JST))

  現在 JPCERT/CC は非常に高い作業負荷に圧迫されており、 皆様にお返事を差し上げるまでに少なからずの時間がかかっております。 今回の報告様式の改定は、皆様からのご報告を効率的に処理し、 お返事を差し上げるまでの時間を短縮することを目的としております。

  だそうです。

1999.03.02

• XCmail remotely exploitable vulnerability
  (from BUGTRAQ, Tue, 2 Mar 1999 00:41:21 +0100)

  UNIX 用の MUA, XCmail に弱点。 autoquote 機能が on の場合、 remote user が buffer overflow を利用して任意のコードを実行させられる。 サンプルコードが添付されている。 問題があるという XCmail のバージョンが明記されていないが、 報告者自身は XCmail の熱心なユーザのようである。

• ウイルス警告： SevenDust 変種 ： 666 ウイルス
  (from Macintosh トラブルニュース, 1999.02.27)

  666 ウイルスというものが存在するらしい。 Macintosh トラブルニュースは SevenDust の変種と推測している。 あわせて紹介されている Agax は SevenDust や AutoStart に対応しているとのことなので、 試してみるのもよいかもしれない。

1999.03.01

あいかわらず更新が遅れていてます。

• [mutt security] tempfile race in mutt
  (from BUGTRAQ, Sun, 28 Feb 1999 09:28:43 +0100)

  UNIX 用の MUA, mutt 最新版 0.95.3 に弱点。race condition が存在する。上記 link に patch が添付されている。

• CIAC Bulletin J-032: Windows Backdoors Update II
  (from fw-announce ML, Sun, 28 Feb 1999 18:57:01 +0900)

  Microsoft Windows 9x/NT のバックドアものに関する報告。 NetBus 2.0 Pro はリモコンソフト、 Caligula はマクロウィルス、Picture.exe は e-mail に添付されてやってくるトロイの木馬。 Manager.exe という名前の場合もあるとされている。

  Netbus 2.0 Pro は http://netbus.nu/ にあると書いてあるが、実際には http://netbus.org/ にあるようだ。

  付記: BUGTRAQ に NetBus 2.0 をインストールする SPAM e-mail が存在する、という記事が投稿されていた。 この記事の真偽はともかく、e-mail に添付されている実行ファイルをいきなり実行するのはやめよう。もし実行するなら、よく考えてから覚悟の上で :-)

• Buffer Overflow in Super (new)
  (from BUGTRAQ, Fri, 26 Feb 1999 01:34:56 -0800)

  super にまたまた buffer overflow バグがみつかった。 最新版は ftp://ftp.ucolick.org/pub/users/will/super-3.12.1.tar.gz だ。 おいおい Debian とか用のパッケージも用意されるだろう。

• Cobalt root exploit
  (from BUGTRAQ, Thu, 25 Feb 1999 23:02:17 +0100)

  Comalt RaQ に弱点。 telnet login してパスワードを変更すると、これが .bash_history に残ってしまい、しかも web 上で読めてしまうという。

  patch が出ている。 上記 link の記事では 1.0 となっているが、新版 1.1 が出ている。 ftp://ftp.cobaltnet.com/pub/security/ShellHistoryPatch-1.1.pkg

  patch 適用により、.bash_history を mode 600 とし、あわせて apache WWW server 経由でドットファイル (. ではじまるファイル) を取得できないように変更する。

• SLMail 3.2 (and 3.1) with the Remote Administration Service
  (from BUGTRAQ, Thu, 25 Feb 1999 06:36:31 -0000)

  Windows NT 上で動作する SLmail 3.1 あるいは 3.2 で Remote Administration Service を利用している場合において、 SLmail の finger service 経由で NT 上の全ファイルを読み出せてしまうという。 で、これを止めても、Remote Administration Service がインストールされていると、こいつ経由で attack / 再設定される、という話。

  しかし、そもそも Remote Administration Service なんてものを Internet にさらしちゃいけないのは常識だと思う。 問題なのは finger の方だけど、これが Remote Administration Service をインストールしていた場合特有の話なのか否かがよくわからない。

  1999.03.12 追記: SLmail 3.2 Build 3113 において上記 web 管理に関する fix がなされたと投稿されていた。

• IIS4 proxies password attacks
  (from NTBUGTRAQ, Wed, 24 Feb 1999 19:36:07 -0000)

  Microsoft Internet Information Server 4.0 に弱点。 デフォルトでインストールされる /IISADMPWD (実体 c:\winnt\system32\inetsrv\iisadmpwd への仮想ディレクトリ) 下のファイル *.htr を用いると

  1. IIS4 を動作させている NT 4.0 のアカウントへの brute-force 攻撃、はもちろん

  2. IIS4 を動作させている NT 4.0 を経由して NetBIOS 接続可能な NT 4.0 のアカウントへの brute-force 攻撃

  が可能だという指摘。 攻撃のためにはあらかじめアカウント名を知っておく必要があるため、 administrator や guest といった well-known アカウントが特に攻撃されやすいと考えられる。 直接の brute-force 攻撃であるため、GetAdmin や RedButton のような「今すぐ」という危険性はないが、潜在的危険性は確かに存在する。

  報告者は、不要であれば /IISADMPWD ディレクトリの削除を勧めている。 また、NTBUGTRAQ のモデレータが補足を投稿しているので、あわせて読まれたい。