セキュリティホール memo - 1999.10

　JPCERT/CC からの最新報告。

　2.2.13pre15 / 2.3.18 ac6 より前 (2.0.x 含む) の Linux に弱点。 SLIP / PPP サポートが組み込まれている場合に、一般ユーザが偽造 IP パケットを送出できてしまう。 対策としては、SLIP / PPP サポートを削除 (/lib/modules/* も忘れずに削除) するか、2.2.13 にするか、 "Use deny default policy for input firewall, only allow for specific address ranges and specific interfaces" (これって Linux 組み込みの firewall 機能の話?)。2.0.x の fix は今のところ存在しない。

　一般ユーザが TIOCSETD できるのが問題だとのフォローがされている。

　OmniHTTPd 1.01 および Pro2.04 に含まれる imagemap CGI に弱点。buffer overflow するため、該当ホストにおいて任意のコマンドを実行可能。 デモプログラムが付属している。

　Axent Raptor 6.0.0 Firewall に弱点。IP オプション処理にバグがあるため、特殊なパケットを送ることにより remote から DoS 攻撃をかけられる。 対応としては、境界ルータで IP オプションつきパケットを破棄するか、 ftp://ftp.raptor.com/patches/V6.0/6.02Patch/ から hotfix を入手する。

　なにかと話題の Microsoft Hotmail にまたまた弱点。 Passport サービスにおける cookie の取り扱いに問題があるために、特定の設定において意図せずに他人のメールを読めてしまう。 指摘者は Netscape 4.5/4.6 で確認している。これに対して、マイクロソフトから Netscape 4.0 以上において問題の所在を認めるフォローがされている。

　ISS Security Alert Summary October 15, 1999 Volume 4 Number 8。

　RedHat Linux 6.1 の screen コマンドに弱点。6.1 の screen は Unix98 仕様の pty を使うようになっていない。screen は setuid root にもなっていない、このため pty が secure でないパーミッションになってしまう。 これを fix し、Unix98 仕様 pty をサポートする screen パッケージが用意されたので、これに入れかえる。

　1999.06.10 のCERT Advisory CA-99-05: Vulnerability in statd exposes vulnerability in automountd に追記した。 HP-UX の情報が更新された。

　いつのまにかこんなのやってたんですね。 最新のトピックが網羅されているようです。

　1999.10.20 のCERT Advisory CA-99-13 Multiple Vulnerabilities in WU-FTPD に追記した。 RedHat, Slackware, FreeBSD fix 登場。

　WWW CGI scanner "whisker" リリースのおしらせ。現在は version 1.1.1 がリリースされている。

　Checkpoint FireWall-1 V4.0 に弱点。 LDAP 認証にバグがあり、特定の状況において、firewall の内側へ権限のないアクセスを許してしまうという。

　NT 上の Gauntlet 5.0 において、外部からの ftp proxy 接続の際に data connection の接続に失敗することにより Gauntlet 自体が hung してしまい、結果として DoS になってしまうという指摘。 開発元の Network Associates は hotfix を出すとフォローしている。

　1999.08.30 のam-utils に追記した。Debian GNU/Linux 用 package が再リリースされている。

　1999.09.29 のmirror 2.9 hole に追記した。Debian GNU/Linux 用の fix package など登場。

　ssh 1.2.27 で、認証まわりの failure を記録するための patch。

　GNOME gnome-ses に対して remote から DoS 攻撃をかけられるという指摘。 これに対して、StackGuarded な gcc でリコンパイルすれば ok だというフォロー、 TCP wrapper 対応 patch が http://people.redhat.com/sopwith/gsm-security.patch1 にあるというフォローがある。

　secure な locate。ここでいう secure とは「そのユーザが listing できないファイルは secure locate でも listing できない」という意味。*BSD についてくるやつとか GNU findutils についてくるやつは secure ではないので、見えるとこまるものまで見えてしまうんだよね。

　1999.08.27 の NT Predictable Initial TCP Sequence numbers - changes observed with SP4 に追記した。 Microsoft から Security Bulletin と英語版 fix が出た。日本語版はまだだ。

　1999.10.15 の Javaのセキュリティーが原因のIEセキュリティーホール に追記した。 Microsoft から Security Bulletin が出た。build 3188 で fix されている。

　MS Excel 97/2000 に弱点。Symbolic Link (SYLK) ファイルにマクロが含まれていた場合に、Excel はユーザの確認応答なしにそれを開いてしまう。また Excel 97 は、Lotus 1-2-3 あるいは Quattro Pro ファイルを import する場合に、これらに含まれるマクロについても確認応答なしに処理していた。

　英語版 fix が用意されている。日本語版はまだだ。 patch, FAQ, KB などは以下のとおり:

• Patch: Exce 97 英語版, Excel 2000 英語版

• MS99-044 FAQ

• KB: Q241900: XL97: Opening Lotus 1-2-3 File May Execute Macro Without Warning, Q241901: XL2000: Macro Virus Warning Does Not Appear Opening SYLK File, Q241902: XL97: Macro Virus Warning Does Not Appear Opening SYLK File

　言うまでもないが、この fix では警告するようになるだけで、実際にファイルの中身が安全か否かまでは check しない。結局は、3rd party ワクチンソフトによって検査するしかない。

2000.05.11 追記: patch が出ていた。しかも 2000.01.28 に (がーん)。

• Excel 97:

  • [XL97]SYLK形式のファイルを開くとマクロ警告のダイアログが表示されない

  • [XL97]Lotus1-2-3形式のファイルを開くマクロ警告ダイアログが表示されない

  • patch

• Excel 2000:

  • [XL2000]SYLK形式のファイルを開くとマクロ警告のダイアログが表示されない

  • patch。 Office 2000 SR1 においても fix されている。

　これについての Microsoft(R) Security Bulletin Japanese Edition は MSKK99-26 (1999.10.21) しかないはずなんだが……。

　Netscape Communicator/Navigator 4.x に弱点。Dynamic Font の取りあつかいにバグがあり、buffer overflow してしまう。 オリジナル情報サイト http://www.whitehats.com/browsers/maxvisioncrash47/index.html にデモコードがある。指摘者は Windows 用の 4.61 および 4.7 で確認している。 とりあえず回避するには、ダイナミックフォントサポートを停止する。

　まあ、Netscape Communicator/Navigator 4.x ってまともな CSS を書いただけでも crash させられるくらいなので、どこまでいってもだめでしょう。 最近 IE の弱点がたてつづけに発見されているので Netscape にしたという話があるけど、それってなにかちがうーって思う。 もじらはまだか!

　おなじみ The Shadow Penguin Securityによる指摘。 Windows 9x/NT 用の http サーバプログラム AN HTTPd 1.20b に弱点。 標準添付の test.bat, test2.bat CGI プログラムがインストールされていると、リモードから任意のプログラムを実行できてしまう。 回避するにはこれらを削除すればよい。 AN HTTPd ホームページでは対策版 1.20bs および対策プログラム httpdcgi.zip も配布されている。

　Security Focus Newsletter 第 10, 11 号合併号日本語版 (英語原文, 日本語テキスト原文 (PGP 確認したい人用))。 例によって必読。

　これの 11. Gauntlet Firewall ルールの迂回 については kernel.BSDI.patch, patchlevel 3 において fix されているとフォローされている。

　wu-ftpd に buffer overflow など 3 つの弱点。内 2 つは最新 2.6.0 でしか fix されていない。 今すぐ最新版に入れかえよう。 FreeBSD の ports-current はまだ 2.5.0 base のようだ。

　OpenBSD の "OpenBSD does not use (and never will use) wuftpd or any of its derivatives" というのはなかなかキている。

1999.10.27 追記: RedHat Linux 用の fix package が出た。 Slackware Linux についても、 Slackware 4.0/current の新版 と 3.5〜4.0 用の最小 fix が出ている。 また、FreeBSD の ports-current も 2.6.0 になったようだ。 ただしこの ports はデフォルトでは expire-date を check しないので #define HAS_PW_EXPIRE を追加しようという話が FreeBSD-users-jp ML に流れていた。

1999.11.12 追記: SCO OpenServer 5.0.0〜5.0.5 用の fix が登場。 http://www.sco.com/security/ から入手できる SSE036 がそれだ。

　1999.09.13 のMicrosoft Security Bulletin (MS99-035): Patch Available for "Set Cookie Header Caching" Vulnerability に追記した。 日本語 Site Server 用の patch が登場。

　まあ、そういう話。

　とどまるところを知らない IE 5 アクティブスクリプトの弱点、またまた登場。 アクティブスクリプト内で local file を開き、これの location を URL として指定するとする。 このとき、location として指定した URL が javascript:JavaScript code にリダイレクトされると、JavaScript code は開いた local file のコンテキストで動作することができる。結果として、悪意ある web サイト管理者はクライアントコンピュータ内のファイルを読むことができる。

　IE 4.01 および 5 に弱点がある。 とりあえずの対策は、例によってアクティブスクリプトの停止だ。 日本語 patch はおろか、英語版 patch もまだない。 FAQ、KB などは以下のとおり:

• MS99-043 FAQ

• KB はまだない。

• 問題発見者のおなじみ Guninski 氏による詳細解説: IE 5.0 allows reading local (and from any domain) files and window spoofing using HTTP redirection to "javascript:" (from BUGTRAQ, Mon, 18 Oct 1999 21:59:06 +0900)

1999.11.18 追記: patch が再発行されている。 類似の攻撃方法である、1999.11.08 の IE 5.0 vulnerabilities using HTTP redirection への対応か?

　RedHat Linux 全バージョンの lpr/lpd に弱点。 アクセス権のないファイルをプリントできてしまう可能性がある。また、RedHat 6.1 の lpd には遠隔プリントに問題があった。 fix package が用意されているので適用する。

　OpenLink 3.2 に含まれる web configuration utility "www_sv" に弱点。 buffer overflow する。デモコードが付属。とりあえずの対策としては、 www_sv を止めてしまう。 元記事は UNIX 版の話だったが、NT 版にも同様に弱点があるとフォローされている。

　1999.10.13 のMicrosoft Security Bulletin (MS99-042): Workaround Available for "IFRAME ExecCommand" Vulnerability に追記した。 Bulletin が改訂され、英語版 patch も登場。

　NT 組み込みの TCP/IP セキュリティフィルタ (ネットワークコントロールパネル→ プロトコルタブ→TCP/IP プロトコル→IP アドレスタブの [詳細]→セキュリティ設定を行う・[構成]) に弱点。 たとえば TCP ポート全て許可、UDP ポート全て許可、IP プロトコル 6 (TCP) のみ許可、と設定した場合に、ホストに ping (= ICMP、プロトコル 1) できてしまう。 また UDP も使えてしまう。 手元の NT 4.0 SP5 Server で試してみたが、たしかにそうなる。うーむ。

　「カーネルのパッチは kernel.org (http://www.kernel.org/) などの確かなところから入手できるが，ほかの大部分のコンポーネントには中心となるインフラがない」なんて書いているところを見ると、PCWEEK は今でも Linux (とゆーか RedHat) のことをわかってないのではないか、という気がする。 彼らはなんのために (商用サポートを得られる) RedHat Linux を選択したんだろう。単に「なんとなく」なのか? http://www.redhat.com をひととおり眺めることすらしてないのだろうか?

　昨今の Linux ブームで Linux を導入するのはべつにいいと思うけど、情報の入手方法、fix 方法などを理解して運用しないと簡単にヤラれちゃうですよね。

　1999.08.19 の The ShadowPenguin Documents. No.21 - Windowsアプリのセキュリティホール - に追記した。 ようやく AL-Mail の fix 版が出た。

　WinNT.Infis というトロイの木馬に関する警告。

　Xerox DocuColor 4 LP プリンタの web サーバに対し DoS 攻撃が可能だという指摘。 しかし、Apache/1.0.3 というのは……。

　syslog は UNIX で広く使われているネットワークログツールだが、なぜかインターネット標準ではなかった。 だが、ついに IETF で標準化される動きになったのだそうだ。 で、1999.11.10 に BOF がある。 単に既存の syslog を RFC にするだけでなく、 いくつか存在するセキュリティ強化 syslog をベースに secure な syslog 標準を実現するということのようだ。

　IE 4, 5 などにも含まれる、Microsoft の Java VM に弱点。 Java VM の bytecode verifier にバグがあり、これを利用すると、 Java アプレットは bytecode verifier による検査をすり抜けて、 Java VM が動作するコンピュータ上で任意のコードを実行できてしまう。 修正プログラムはただ今開発中であり、当面の対応としては MS Java VM の実行を停止するしかない。

　BUGTRAQ に流れた情報はオリジナル web ページと同じみたい。

1999.10.26 追記: Microsoft から Security Bulletin が出た。 MS99-045: Patch Available "Virtual Machine Verifier" Vulnerability。 build 番号 2000 番台および 3000 番台の Microsoft JavaVM に弱点がある。 build 3188 以降において fix されている。 http://www.microsoft.com/java/vm/dl_vm32.htm から各国語対応版の build 3188 を入手できる。 FAQ, KB などは以下のとおり:

• MS99-045 FAQ

• KB: Q244283: Bypassing Java Sandbox Results in VM Security Vulnerability

　1999.10.13 のSecurity of "Virtual Network Computer" に追記した。 SSL 対応 patch などの情報がフォローされていた。

　RedHat Linux 6.1 に弱点。特定のネットワーク設定において、lock した NIS アカウントにアクセスできてしまう。fix バージョンの PAM パッケージが用意されているので、これに入れかえる。

　VNC は、FAQ にもあるように secure じゃないよ、という指摘。 ssh といっしょに使ったりIPsec といっしょに使ったりしてね。

1999.10.14 追記: 上記に対して SSL 対応 patch あるよ、 ssh 対応方法まとめたよというフォローが投稿されていた。

　SCO OpenServer 5.0.5 ネタ 2 点。

• SCO OpenServer 5.0.5 overwrite /etc/shadow
  (Tue, 12 Oct 1999 05:24:59 +0900)

  /etc/sysadm.d/bin/userOsa を使うと /etc/shadow, /etc/passwd など group auth なファイルに誰でも上書きできてしまう。

• SCO OpenServer 5.0.5 cancel overflow
  (Wed, 13 Oct 1999 00:08:28 +0900)

  /opt/K/SCO/Unix/5.0.5Eb/.softmgmt/var/usr/bin/cancel (すげーパス) に buffer overflow する弱点。 local user が root 権限を得られる。デモコードが付属。

　Linux/Solaris 用の WebTrends Enterprise Reporting Server にいくつもの弱点があるという指摘。 なんか、1999.07.05 の ISSalert: ISS Security Advisory: Bad Permissions on Passwords Stored by WebTrends Software と同類のような気がするが、IIS のやつは Windows 版へのもののように見える。

　Web サーバ Roxen 1.3 に弱点。 添付の patch を適用するか、RXML-parser を停止する。

　StackGuard for RedHat 5.2 リリースのおしらせ。

　1999.10.08 のOmni-NFS/X Enterprise (nfsd.exe) DOS に追記した。

　1999.09.27 のEveryone writable IIS root directory に追記した。US では IIS チェックリストが改訂された。

　1999.09.30 のMicrosoft Security Bulletin (MS99-040): Workaround for IE 5 "Download Behavior" に追記した。 英語版 patch が登場。でも日本語版はまだ。

　1999.08.02 のAlert : MS Office 97 Vulnerability に追記した。40 日を経過して、ようやく patch 新版が登場した。

　MSIE 5 にまたまたまた弱点。 IFRAME 上で document.execCommand() を実行すると、document.execCommand() に設定された制限がなくなってしまう。このため、悪意ある web サイトはクライアントコンピュータ内の、パス名+ファイル名がわかっているファイルを読み出すことができてしまう。

　英語版/日本語版共に、現時点で patch はない。 とりあえずの対応としては、アクティブスクリプトを off にするしかない。 しかしこれをやると JavaScript バシバシな site は navigate できなくなってしまう。 MS は「信頼できるサイトを [信頼済みサイト] に追加し、[インターネット ゾーン] のアクティブ スクリプトを無効にすることを、お客様にお勧めします」と言っている。 まあ JavaScript やら ActiveX やらを停止するのは、弱点の明確/不明確にかかわらず推奨できる手段ではある。

　FAQ、KB などは以下のとおり:

• MS99-042 FAQ

• KB はまだない。

• MSKK99-23: "IFRAME ExecCommand" 脆弱性に対する回避策 の問題 (from マイクロソフト プロダクト セキュリティ 警告サービス 日本語版, Tue, 12 Oct 1999 21:49:53 +0900)

• 問題発見者 Guninski 氏による問題詳細解説: IE 5.0 security vulnerability - reading local (and from any domain, probably window spoofing is possible) files using IFRAME and document.exe cCommand (from BUGTRAQ, Tue, 12 Oct 1999 01:21:09 +0900)

　日本語 IE では MS99-040 および MS99-037 の対応 patch もまだ出ていない。

　関連報道: バグの探し屋がまたMSのバグを発見 (from WIRED NEWS, 10月11日 4:45pm PDT)。 ここでは IE 4 にも弱点があるとされている。

1999.10.19 追記: MS99-042 が改訂された。WIRED 報道のとおり、IE 4.x (4.01 SP1 以前) にも弱点があるとされている。IE 4.01 SP2 には弱点がない。 4.x ユーザは 4.01 SP2 に upgrade すればよい。

　IE 5 の英語版 patch はこちら: Intel 版、 Alpha 版。この patch には、Microsoft Security Bulletin (MS99-039): Patch Available for "Domain Resolution" and "FTP Download" Vulnerabilities の fix も含まれるそうだ。 KB は Q243638, Update Available for "IFRAME ExecCommand" Vulnerability in Internet Explorer 5。 あいかわらず日本語版 patch はない。

1999.11.05 追記: これまで配布していた patch に退行エラー (regression error) があることが判明した。 MS99-042 が改訂され、patch も再リリースされた。 ただし、この問題は IE 5 用の patch にだけ存在し、IE 4.01 用 patch には存在しない。IE 5 ユーザは新 patch を再適用する必要がある。

　と言っても、日本語版 patch は幸か不幸かいまだに出てないから関係ないね。 なんだかなあ。

1999.11.11 追記: ようやっと日本語版 patch が登場した。 Internet Explorer セキュリティ情報 から get できる。ただし、上記の "退行エラー (regression error)" が fix されたものなのか否かはよくわからない。

1999.11.19 追記: 日本語版 patch では、 "退行エラー (regression error)" は fix されているそうです。 いはら@port139 さんが確認して下さってます。いつもありがとうございます。_o_

　1999.10.01 のHard Drive Quality Alert -- WD Caviar に追記した。 日本向け Apple 製品には問題ないそうだ。

　どうにもツッコミの足りない記事だなあ。

　RedHat Linux 6.0 の Extra Applications CD に含まれる rpmmail package に弱点。特殊なメールを rpmmail@vulnerablehost に送ることにより、 local/remote ユーザが root 権限を得られる可能性がある。 修正版 1.4 が ftp://reedycreek.com/reedycreek/rpmmaildemo/ から得られる。

　XLink Technology の Windows 用ソフト、Omni-NFS/X Enterprise version 6.1 に弱点。 nfs デーモン (nfsd.exe) は、nmap で -O あるいは -sS で scan されると暴走し CPU を食いまくってしまう。

1999.10.13 追記: これは nmap -O が Urgent フラグを利用するためだろうとフォローされている。対策としては、ソケット毎に (1) SO_OOBINLINE を on するか (2) FD_OOB を set しない。 また、Omni-NFS/X version 4.01 ではこの問題は発生しないとフォローされている。

　SCO UnixWare 7.1 の /usr/lib/merge/dos7utils に弱点。 localeset.sh を実行するファイルパスを環境変数 STATICMERGE から得ているため、ユーザが STATICMERGE を設定することにより、任意の場所にある localeset.sh を root 権限で実行することが可能となってしまう。 とりあえずの対応としては、/usr/lib/merge/dos7utils の suid bit を落とす。

　Cactus Software のシェルスクリプトコンパイラ shell-lock に弱点。

1. 隠されたシェルコードを知ることができてしまう。

2. shell-lock でコンパイルしたものを suid root にすると、local user が任意のコードを root 権限で実行できてしまう。

　デモコードが付属している。

　http://www.securityfocus.com/level2/?go=vulnerabilities%26id=689 で指摘されている TeamTrack の弱点は TeamTrack 組み込みの評価用サーバでの動作であり、推奨 web サーバ、つまり IIS やら Netscape Enterprise/FastTrack では発生しない問題だ、としている。 ……が、だからといって許されるもんでもないと思うぞ。

　1999.09.29 のTruth about ssh 1.2.27 vulnerabiltiy に追記した。さらに別の fix が投稿されていた。

　話題の映画 Matrix (私はまだ観てない) の Windows 用スクリーンセーバに弱点。 "password protected" で動作中に ESC を押すとセーバが落ちてしまう。 また、CTRL-ALT-DEL でプロセスを殺せるともフォローされている。

　1999.09.29 のmirror 2.9 hole に追記した。SuSE Linux 用の fix package 登場。

　Security Focus Newsletter 第 9 号日本語版 (英語原文、日本語テキスト原文 (PGP 確認したい人用))。例によって必読。

　MHonARC は結局手抜きゴマカシソースで対応。 坂井さんが絶対使わないだろう文字コードをつかってるから、当面はこれでいいのだ (^^;)。

　1999.10.04 の何故 Hack PC Week の Linux サーバは侵入されたのか に追記した。続報が出ていた。PC Week 杜撰すぎ。

　Linux Myths の話。個人的感想:

• セキュリティモデル的にいうと NT の方が確かに高機能だけど、NT 4.0 のデフォルトファイル/ディレクトリパーミッションはその意味を完全に破壊している。 NT は人のことをとやかく言う前に、まず自分の足元を見るべき。 (Windows 2000 には発言を許可する (^^))

• security patch については、Linux コミュニティ (特に RedHat 社) ほど素早い動きをするところは他にないわけで、 これについても日本語版 patch がやたら遅れる NT には「人のことをとやかく言う前に、まず自分の足元を見るべき」と言っておこう。 (Windows 2000 だと、原則として「英語版」「日本語版」patch なんて区別はなくなるようだ (^^))

　というわけで、まとめると「戯言ってる暇があったら Windows 2000 の安定化に力を入れろ」である。

　インターネット事件を追うっていったい何時に更新してるんだろう。

• 独自法律試案を作成へ　日弁連、政府対案で (1999年10月6日)

  「法律を作れば世の中がよくなると言うのは誤解で、作っても世の中で起きることは変わらない」なんて言う役人がいるようでは、独自試案をつくらざるを得ません。

• 「報道の自由損なう恐れ」　個人情報で新聞など主張 (1999年10月6日)

  プライバシー無視無視のところにそう言われても、説得力ないんですが……。

• 新聞通信などの主張要旨　政府検討部会 (1999年10月6日)

　Informational です。

　X-Echelon: ヘッダにでも書いておけばいいのかな?

　1999.09.24 のMicrosoft Security Bulletin (MS99-039): Patch Available for "Domain Resolution" and "FTP Download" Vulnerabilities に追記した。 日本語 KB 情報を追加。

　1999.10.01 のMicrosoft Security Bulletin (MS99-041): Tool Available for "RASMAN Security Descriptor" Vulnerability に追記した。 いくつかツールと fixras の結果を紹介。

　Y2K ネタ。企業とかではまだまだ利用されているだろう IE 3.02 だが、Authenticode が本年末に期限切れになるそうです。upgrade しましょう。

　これ、いつぞやの Windows NT World で伊原さんが指摘されていた件だと思うが、「ただのバグ」だったのね。

　1999.10.04 のCisco IOS password types overview に追記した。 おまぬけな間違い (たぶん) を修正。

　1 台 1 台を守るという方法論ではもはや済まない、ということなんだろうなあ。 しかし、ダウンロードされるファイルすべてをスキャニングって……。

　かんなの tty クライアント canuum に buffer overflow する弱点。local user が root 権限を得られる。とりあえずの対策としては、canuum の suid bit を落とす (使えなくなるけど)。 TurboLinux3.0 用のデモコードが付属。

　1999.10.04 のとりあえずプロバイダーを訴えるしかない？　ネット上のプライバシー保護をめぐりシンポ開催 に追記した。 詳細報道へのリンクを追加。

　NT 4.0 SP5 に MS99-041 に似た新たな弱点。デバッグ時に起動されるプログラムのパスが納められているレジストリ

\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger
および
\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\auto

は AllowedPaths に含まれているため、リモートからアクセスできる。さらに、 デフォルトで誰でも値を set できてしまう。 このため、攻撃者は crash 時に起動するプログラム名を remote から set できる。 あとは、何らかの手段で crash させれば……。

　対策としては、まず \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths から \HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ を削除してしまう。次に、Everyone のアクセス権から Set Value と Create を削除する。

　Mediahouse Statistics Server v4.28, 5.01 に弱点。 buffer overflow するため、DoS の他、なんでもされる可能性あり。

　True North Software の Internet Anywhere Mail Server version 2.3.1, build 10020 に多くの buffer overflow バグ、およびパスワードを plain text で保存してしまう弱点があるという指摘。 buffer overflow については version 3.1 で fix されているが plain text パスワードはいまだに使われている。 version 2.3.1, build 10020 用のデモコードが付属している。

　Netscape Navigator (version?) の認証の扱いに問題があるため、server が平文認証をうけつけない場合にもかかわらず、平文パスワードを network に流すように促すダイアログを表示し、実際に流してしまうという指摘。

　1999.10.01 のTeam Asylum: iHTML Merchant Vulnerabilities に追記した。 patch が登場。

　Cisco IOS の 3 種類のパスワードの概要、および type 5 はかの有名な Jack the Ripper で解析できるという指摘。

1999.10.06 追記: 原文には Jack the Ripper ってあるけど、これどう考えても John the Ripper の間違いですよね。 それとも実は Jack the Ripper というモノがあるのでしょうか。

　私的複製ができないのはいかんよなあ。

　1999.09.29 のTruth about ssh 1.2.27 vulnerabiltiy に追記した。fix が登場。

　教訓 1. 商用ソフトが安全とは限らない。 教訓 2. security update はすぐさま全部当てよう。

1999.10.08 追記: ChangeLog から 続報が出ている。 PCWeek Lab さんよ、あんたたちが適用しなかったのは、判断が難しいかもしれない kernel patch ですらなくて、cron モジュール単体の patch だろうが。 どこが変更になったか知りたければ source RPM を get すればいいんだし、 kernel patch にしたって、official なものを適用したら「とんでもない」障害が出たなんて話はあるのか?

　NT Service Pack があれなのは、なんでもかんでもごちゃまぜ (というか OS アーキテクチャ上分離できない -- これまた Windows 2000 での改善項目だ) だからで、その方針をそのまま Linux に適用したというのは単に「バカまる出し」である。 そんなこともわからずに security challenge やってたのか?

　日本には個人情報保護法ないから、バラまいても罪にはならないし。

1999.10.05 追記: インターネット事件を追うに、このシンポジウムの詳細情報が出ていた。

• 郵政省「漏えいに罰則必要」　シンポで表明

• 個人情報保護で通産　「包括方式が望ましい」

• パネリストの発言要旨　個人情報保護シンポ

　しかしなあ、「法律を作れば世の中がよくなると言うのは誤解で、作っても世の中で起きることは変わらない」とだけは言っちゃいかんだろう > 渡辺昇治・通産省情報処理システム開発課長補佐。 ニュアンスが抜け落ちている可能性大だが、それでも、言っていいことと悪いことがあるぞ。

　あいかわらずこのテのものが流行っているようです。 どっから来たメールなんだろうなあ。

　1999.09.24 のMicrosoft Security Bulletin (MS99-039): Patch Available for "Domain Resolution" and "FTP Download" Vulnerabilities に追記した。 MS99-039 が更新されていた。

　NT 4.0 の Remote Access Connection Manager (RASMAN.EXE) に弱点。 RASMAN のデフォルアクセス権が不適切なため、認証が行なわれたユーザであれば誰でも Service Control Manager 経由で RASMAN を実行することができる。 このため、攻撃者が RASMAN の ImagePath パラメータを変更することができる。 ImagePath を変更することにより、攻撃者が指定したコードが (RASMAN のかわりに) SYSTEM 権限で実行されてしまう。

　これは SFN 7 などで取りあげられていた話だ。 http://www.securityfocus.com/bid/645 も参照されたい。

　アクセス権を安全なものに設定するためのツールが出ている。 ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/Hotfixes-PostSP6/Security/Rasman-fix/ から入手できる。このツール自体は日本語版 NT でも実行できるはずだ (試してないけど)。

　FAQ および KB はこちら:

• MS99-041 FAQ

• Q242294, Security Descriptor Allows Privilege Elevation on Remote Computers

1999.10.06 追記: MS の修正ツール fixras を試してみた。日本語 NT でも問題なく動作しているみたい (へんなことになっても保証しないけど)。 修正前の DACL:

    LOCAL\Everyone:
     * Delete
     * Change permissions
     * Take ownership
     * Get permissions
     * Query configuration
     * Change configuration
     * Query status
     * Enumerate dependents
     * Start
     * Stop
     * Pause/continue
     * Interrogate
     * User defined control
     * All service access

　修正後の DACL:

    NT AUTHORITY\Authenticated Users:
     * Get permissions
     * Query configuration
     * Query status
     * Enumerate dependents
     * Interrogate
     * User defined control

    BUILTIN\Power Users:
     (NT AUTHORITY\Authenticated Users と同じ)

    BUILTIN\Administrators:
     * Delete
     * Change permissions
     * Take ownership
     * Get permissions
     * Query configuration
     * Change configuration
     * Query status
     * Enumerate dependents
     * Start
     * Stop
     * Pause/continue
     * Interrogate
     * User defined control
     * All service access

　DACL を調べるには、http://www.bahnhof.se/~winnt/toolbox/gsd/ で配布されている gsd を使うとよい (上記も gsd からの出力)。 gsd 作者は rasfix というものも配布しているが、rasfix の結果は上記 fixras とは異なる。 以上、情報源: NTBUGTRAQ + JWNTUG OpenForum + 独自調査。

　1999.08.05 のColdFusion Security Issues に追記した。 Allaire Security Bulletin (ASB99-10) が改訂されていた。

　iHTML Merchant の iHTML application server に弱点。 remote user がクレジットカード番号などの管理情報を読める他、ファイルの作成/削除など、やりたいほうだいできてしまう。fix 情報が添付されている。

1999.10.04 追記: メーカから Advisory と patch が出たとフォローされていた。

　Yahoo! Messenger (build 733) for Windows 95/98 に弱点。Yahoo! Messenger が開けている port 5010 に接続すると、 Yahoo! Messenger が crash する。build 734 で fix されている。

　1999.09.30 のMicrosoft Security Bulletin (MS99-040): Workaround for IE 5 "Download Behavior" に追記した。 関連報道を追記。

　1999.09.13 のMicrosoft Security Bulletin (MS99-037): Solution Available for "ImportExportFavorites" Vulnerability に追記した。 関連報道を追記。

　1999.09.29 のRemote bufferoverflow exploit for ftpd from AIX 4.3.2 running on an RS6000. に追記した。 IBM から情報と fix が出た。

　IRC クライアント KVirc に弱点。 システムファイルを取得されてしまう。 これは "Listen to !nick requests." オプションを使用している場合にのみ発生するとフォローされている。最新版 1.0.0 beta2 では問題ない。

　IE 5 ネタがつづいていますが、またまた登場。 Windows Update で用いられる CWUpdInfo クラスに buffer overflow する弱点があるという指摘。

　Solaris 7 x86 版の /usr/bin/mail に buffer overflow する弱点があるという指摘。デモプログラム添付。

　Western Digital Caviar 5400 回転 EIDE ハードディスクに弱点。 August 27, 1999 から September 24, 1999 に生産された 6.4 GB から 20.5 GB までの製品は、6〜12 か月経過すると power-up しなくなるという。 他の製品ライン、およびこれ以外のロットについては問題がない。

　MS-DOS 用テストプログラムがあるので、合致するかもしれないものをお使いの方は試されたい。 また、この問題は Apple Macintosh の最新機種 PowerMac G4 にも影響するようだが、MacOS で動作するテストプログラムはまだ存在しない。

1999.10.12 追記: 問題の HDD は、Apple の日本向け製品には使用されていないと説明されていた。 (from Macintosh トラブルニュース, 99/10/9)

　Netscape Communicator 4.7 登場。 リリースノートには、security fixes として 1024-bit "KEYGEN" added to export versions, Form signing bug fix related to signing-only certificate, Javascript があがっているけど、これ以上の詳細はどこにもない。 もじらはまだか!