セキュリティホール memo - 1999.12

　Trend Micro の InterScan VirusWall version 3.0.1 for Solaris に弱点。 base64 添付ファイル名に意図して余分なパディング文字を付加することによって、 InterScan VirusWall version 3.0.1 for Solaris のウィルスチェックを回避できるという。 このような文字があっても、いくつかの mail client (ex. Netscape Communicator) は添付ファイルを解凍できてしまう。 実際に、NewApt Worm がこの弱点を利用しているという。

　対策としては、http://www.antivirus.com/download/patches.htm から対応 patch (isvwsol301a_u2.tar) が入手できるので適用する。

　日本ではまだ Solaris 版は 2.x を売っているっぽいのだが、上記はだいじょうぶなんだろうか。

　トロイの木馬ファイルを \RECYCLED ディレクトリ (NT の場合は \RECYCLER ディレクトリ) に設置することによってウィルスチェックを回避することができるという指摘。 指摘者は Norton Anti-Virus および McAfee VirusScan で確認したとしている。 回避方法としては、標準で除外リストに入れられている \RECYCLED もチェックするよう設定を変更する。ただし、Norton Anti-Virus では設定変更が難しいらしい。

　majordomo 1.94.4 に弱点。 resend に弱点があるため、local user が wrapper program 権限 (root など) を取得できてしまう。 手元で見た限りでは sequencer も同様になっていた。

　手元ではとりあえず resend と sequencer に | とかをつぶす変更 を行ってみた……が perl 得意じゃないのでこれで ok かどうかイマイチ不安 (^^;)。 この機能 (最初の文字が @ ならファイルとして読み込む) 自体をコメントアウトしてしまってもよいかもしれない。 また、perl5 限定だが open() を sysopen() にすればおっけーというフォローがついていた。

2000.01.24 追記: 弱点を fix した majordomo 1.94.5 が登場。 RedHat Linux 用 package も出ている。 また、AusCERT からも Advisory が出ている。

2000.01.27 追記: 1.94.5 では、指摘された弱点のすべてが fix されているわけではないと指摘されている。 これはドキュメントに明記されているように事実である。 これを fix するには、wrapper を chmod 4550 すればよい。

　1999.12.22 の Microsoft Word97/98/2000 Exploitable buffer overflow problem に追記した。 MS から Advisory が出た。Word for Windows 5.0 コンバータが犯人だそうだ。

　Netscape Communicator 4.5 for Windows 9x/NT に弱点。 通常 c:\program files\netscape\users\foo\ (ユーザ foo の場合) にある prefs.js の network.proxy.http に 80 文字を越える文字列を設定すると buffer overflow する。 デモコードが付属。 最新 4.7 では fix されている。

　1999.12.21 の the dangers of ftp conversions on misconfigured systems/ftpd (specifically wu-ftpd) に追記した。 path-filter の話を追記。

　「中村正三郎のホットコーナー」に情報が出ていたので、あらためてここにも書いときます。

• Netscape Communicator 4.05以前のバージョンと Microsoft Internet Explorer マッキントッシュ版をご利用の皆様へ

  これの話。 MSIE 4.5 for MacOS も対象。 4.01 for MacOS の fix は出てないので、 4.5 に upgrade したうえで fix を適用することになるのかな。

• ウェブマスター（サーバID技術管理者）の方へ: ベリサイン・ルート証明書有効期間満了への対応について

  Netscape Enterprise Server つーのは、なんかいろいろありますなあ。

　なんか多すぎてよくわからん状態になってますが……。

• MS99-061: Patch Available for "Escape Character Parsing" Vulnerability
  (Wed, 22 Dec 1999 08:40:59 +0900)

  IIS 4, Site Server 3.0 において、 % によるエスケープ (%20 とか) の処理で、16 進数以外の文字が % のうしろに指定されても IIS/Site Server が受け入れてしまうというバグがある。 IIS/Site Server それ自体にはこのバグによる弱点はないが、IIS/Site Server 上のアプリケーションによっては、このバグによってアクセス制御をバイパスされるものがあるかもしれない。

  日本語版 patch がある: x86, Alpha。 日本語によるセキュリティ情報も MSKK99-47 として配布されている。

  2000.01.11 追記: rain forest puppy 氏による解説記事が出ている: More info on MS99-061 (IIS escape character vulnerability)。

• MS99-058: Patch Available for "Virtual Directory Naming" Vulnerability
  (Wed, 22 Dec 1999 08:34:46 +0900)

  IIS 4/Site Server 3 において、 仮想ディレクトリ中に含まれる物理ディレクトリの末尾が .com, .exe, .dll, .cgi, .sh のいづれかであった場合に、 URL に示されるページの内容がそのままブラウザに送り返される。 つまり、上記ディレクトリに .ASP が存在した場合、.ASP のソースファイルそのものがブラウザに送られる。

  日本語 patch がある: x86, Alpha

• MS99-046 が再リリースされている。 1999.08.27 の NT Predictable Initial TCP Sequence numbers - changes observed with SP4 に追記した。

• 1999.11.18 の MSKK99-34: マッキントッシュ：Outlook Express 5.0 Macintosh Edition で発生する可能性のあるトロイの木馬タイプのセキュリティ問題 に追記した。 fix が登場。

• 1999.12.13 の Mac版IEにセキュリティー問題が見つかる に追記した。 fix が登場。

　1999.12.21 の Security Focus Newsletter #19 1999-12-06 ->1999-12-13 に追記した。 SCO fix を追記。

　Slackware 7.0 のデフォルト状態にはいくつか問題がある、という指摘。 フォローによれば Slackware 4 でも同様のようだ。

　Notes Domino 4.6.X (最新 4.6.6b を含む) に弱点。 Domino HTTP server においてはデフォルトで /cgi-bin 仮想ディレクトリが \domino\cgi-bin に map されているが、この場合に GET /cgi-bin/... (800 .) aaaa (4000 a) HTTP/1.0 という長大なリクエストを送ると nHTTP.exe が kill されてしまう。 対策としては、もし cgi-bin を使わないのなら、 /cgi-bin 仮想ディレクトリを推測されにくい場所に変更する。 指摘者は、/cgi-bin 仮想ディレクトリそのものを削除する方法は発見できなかったとしている。

　ところが、実は存在しない cgi ファイルへの request を受けるとことごとく crash するらしい。 Lotus の Technote Domino Web Server Crashes When CGI Scripts are Being Accessed に詳細と回避方法が記されている、とフォローされていた。

　Solaris 2 の loadable kernel module を利用した攻撃方法 (backdoor の実装) に関する技術解説文書。 すでに Linux と FreeBSD の kernel module についての文書もある。

　DNS PRO for Windows NT v5.7 に対し、同時に 30 以上のコネクションを port 53 に張り、いくらかの文字を port に入力すると、DNS PRO が service として動作している場合に CPU 100% となり DoS が成立する。

　CRYPTO-GRAM December 15, 1999 号。 "Security Is Not a Product; It's a Process", ECHELON Technology など。 Windows NT 4.0 の C2 をみても、「セキュリティは process」であることは自明。 それにしても NT 4.0 は process が複雑すぎなんですが。 Windows 2000 になれば楽になれるのかなあ。

　CERT Summary (CS-99-05) 日本語版です。

　Norton Antivirus 2000 の メール添付ファイル自動監視に使われている POP3 proxy 機能 (POProxy) に弱点。 USER コマンドに長大な文字列 (256 文字を越える) を送ると crash する。 DoS 攻撃の他、これを通して攻撃プログラムを実行される恐れもある。 指摘者は fix が登場するまで "Email Protection" を停止することを勧めている。

2000.01.05 追記: 手元の Norton Antivirus 2000 for Windows 98 でも crash することを確認した。 英語版 Norton Antivirus 2000 については案内と fix が出ているが、日本語版はまだのようだ。

2000.08.03 追記: なんと、2000.07.06 付けで fix が登場していた。 しかしねえ、英語版 fix から半年遅れるかねえ、ふつう。

• Norton AntiVirus 2000 Ver.6.10.20 アップデートプログラムについて (Windows 95 / 98 用)

• Norton AntiVirus 2000 Ver.6.10.20 アップデートプログラムについて (WindowsNT Workstation/2000 用)

　インストール時にユーザ登録させてんだからさ、 正規ユーザにくらいちゃんと告知してほしいよね。 おまけに、security fix が含まれているとはどこにも書いてない。 これがセキュリティを追及するはずの会社のやることかね。

　シマンテック、お前もか。

　Windows NT 版 Infoseek Ultraseek 2.1 および 3.1 に弱点。 長大な HTTP GET リクエストにより Ultraseek サーバプロセスがダウンし再初期化されることにより DoS が成立。 3.1.5 版で fix されている。 http://software.infoseek.com/products/ultraseek/upgrade_nt.htm から入手可能。

　Netscape Messaging Server 4.1 for Solaris に弱点。 SMTP、IMAP4、POP3、 管理用簡易 Web サービス, LDAP サーバへ多数のコネクションをいっせいに張ると Netscape Messaging Server が異常終了してしまい、DoS が成立する。 対策としては、SMTP については local.service.smtp.smtp-accept.maxrecipients および local.service.smtp.smtp-accept.maxmessages という非公開パラメータ (デフォルト 10000) を異常終了しない程度の値に設定する。 IMAP4, POP3, LDAP などについては現状では防げないようだ。

　FreeBSD だけでなく、他の OS でも同様になります。

• FreeBSD 3.3 xsoldier root exploit
  (Thu, 16 Dec 1999 09:11:36 +0900)

  FreeBSD 3.3-RELEASE の packages/ports に含まれるゲームプログラム xsoldier 0.96 に弱点。local user が root 権限を得られる。 デモプログラムが付属 (手元の FreeBSD 3.3-RELEASE では失敗したが……)。

  最新の ports-current には、これを fix する patch-ac が含まれている。 3.3-RELEASE 以前でも、これを /usr/ports/games/xsoldier/patches/patch-ac にコピーして package をつくりなおせば ok (strlcpy は便利だけど移植性に難があるのがあれですねえ……)。

• Wmmon under FreeBSD
  (Tue, 21 Dec 1999 17:36:44 +0900)

  FreeBSD 3.3-RELEASE の packages/ports に含まれる wmmon 1.0b2 (WindowMaker 関連みたい) に弱点。 local user が kmem 権限を得られる。 fix patch が付属。 最新の ports-current にはこの fix が patch-ae としてそのまま含まれている。

　IE 5.01 for Windows 95 および 5.0 for Windows NT に弱点。 external.NavigateAndFind() をつかうと "Cross frame security policy" を回避できてしまう。 これにより、local のテキストファイル, HTML ファイルおよび他のホスト上のあらゆるファイルの読み込み、cookie および他の個人的なデータの取得が可能となってしまう。 http://www.nat.bg/~joro/navan.html にあるデモでは、c:\test.txt の取得、および www.excite.com からの cookie の取得ができる。 手元の Windows NT 4.0 SP5 上の IE 5.01 日本語版でもデモが成功することを確認した。

　この問題を回避するにはアクティブスクリプティングを停止する。

　また、Netscape 4.06 および IE 4.0 で c:\test.txt のかわりに c:\msdos.sys を読み込ませてみると、Netscape では直ちに Windows 95B が reboot し、IE 4.0 では text window に表示されたとフォローされていた。

　1999.11.12 の Irfan View32 Ver 3.07 Overflow exploit に追記した。 新バージョン 3.10 が出ているけど、buffer overflow が fix されたのかどうかはよくわからん。

　PostgreSQL 6.5.x で、高負荷時に PostgreSQL のバックエンドが down してしまうという指摘。(少なくとも) FreeBSD で発生。 対応 patch が添付されている。

　DISKEEPER の製造会社ってサイエントロジーだったのか……。 相栄電器もそうなのかしらん。

　Microsoft Word97/98/2000 に弱点。 旧バージョンファイルのフォント名処理において buffer overflow するため、 Word ファイルに悪意あるコードを仕込み、ファイル消去やウィルス伝播などを実行することが可能。 これはマクロウィルスではないため、既存のウィルスチェッカーにはひっかからない。 Windows 98 + Word 98/2000 で動作する強制電源オフのデモファイル生成コードが添付されている。 また、これによって作成されたデモファイルは http://shadowpenguin.backsection.net/tools/ex_word.doc で公開されている。

　また、UNYUN 氏の BUGTRAQ-JP BOF でのプレゼン資料が http://shadowpenguin.backsection.net/docs/iw99-bugtraqjp-bof.html で公開されている。 でも、初心者な人は、まず Penguin Document No.8 および 21 を読んで基礎体力をつけてからのほうがよいと思う。

1999.12.28 追記: MSKK から MSKK99-49 として Advisory が出た。 Microsoft Security Advisor 日本語版にも情報が出ている。 これによると、Word 本体ではなく Word for Windows 5.0 コンバータが問題だとされている。 こいつは

  Microsoft Word 95/97/98/2000
  Microsoft PowerPoint 95/97/2000
  Microsoft Office 95/97/2000の各製品
  Microsoft FrontPage 2000
  Microsoft Works Suite 2000

といったものについてくるそうだが、 Security Advisor には (例) と書かれているので上記が全てというわけではないようだ。

　Advisory では「なお、Word for Windows 5.0 コンバータをコンピュータから削除していただければ、本現象の影響はありません。Microsoft Word 5.0 の文書の判別方法、コンバータの削除など、対策方法の詳細につきましては、こちらを必ずご覧下さい」 として「Microsoft Word 5.0 文書のバージョンの判別方法」のページが link されているのだが、 かんじんの Word for Windows 5.0 コンバータの削除方法がどこにも書いてない。 どうなっとんじゃ。

　なお、手元の Word 98 for Windows NT でも、「Microsoft Word 5.0 文書のバージョンの判別方法」に書いてあるオプション設定で同様のダイアログが表示されることを確認した。 ここでキャンセルすればファイルは読み込まれない (けど、攻撃プログラム入りなのか否かはもちろんわからない)。

2000.01.18 追記: fix patch が登場した。 Word 97/98 用および Word 2000 用が入手できる。 これらページから link されている Security Bulletin はまだ登場していないようだ。

2000.01.21 追記: Security Bulletin が出た。 MS00-002: Patch Available for "Malformed Conversion Data" Vulnerability。MSKK からも MSKK2000-07: "不正なコンバージョン データ"の脆弱性に対する修正プログラム として公布されている。 これによると、日本語版だけでなく、韓国語版、中国語版の Word 5.0 コンバータに弱点がある。英語版および MacOS 版には弱点はない。 各国語用 patch が出ているので適用する。

　ところが、弱点を指摘した UNYUN 氏は、patch をあてても Word 5.0 コンバータにバグが残っている他「この問題はWord5.0コンバーターに限った話ではなく、Word2.xやWord 4 for mac、Word perfectなど古いタイプの文書コンバーターのほとんど全てにおいて存在しています」とフォローしている。 さっそく Word 2.x コンバーター対応のデモファイルが公開されているので試されたい。 まったく、なんてことでしょう。

2000.03.30 追記: Word Viewer 97 が 2000 年 2 月 14 日付で改訂されている。 いまいち自信ないが、修正履歴として Word 97/98 における不正な変換データに関する問題の修正に対応 とあるので、本弱点と関係があるような気がする。

　悪意ある ssh クライアントは、ssh-1.2.27 (および OpenSSH など、これベースの ssh1) サーバに対して、設定ファイルで許可しないと設定してあったとしても、 暗号化なしでの接続を強制できる、という指摘。 patch が添付されている。 OpenSSH 1.2.1 では fix されている。

　Go Express Search のユーザ情報を (だれでも) 得ることができるという指摘。 最新は 2.2 beta というやつのようだが、直っているのかなあ。

　イスラエル製のものってけっこうありますよねえ。

　もともとが、利用者の権利を阻害する機構ですからねえ……。

　War FTP Daemo 1.70 に弱点。 多数 (60 以上) のコネクションを同時に張ると buffer overflow する。

　だそうです。 これ、日本でどのくらい使われてるんだろう。

　外部からイントラネットの web server に secure にアクセスするためのゲートウェイサーバ、で合ってるかな?

　FireWall-1 の設定ガイド。

　ロ、ロ、ロ、ロシアンルーレット。

　Sun の WBEM (Web-Based Enterprise Management) において、 インストール時に訊かれるパスワードが /var/sadm/pkg/SUNWwbcor/pkginfo に記録されてしまうという指摘。

　1999.11.26 の Remote DoS attack against Microsoft SQL Server 7.0 に追記した。 MS からの告知と英語版 fix 登場。

　wu-ftpd で自動圧縮機能を有効にしている場合、ユーザがファイル名として '-' ではじまる文字列を指定する (例: --use-compress-program=id) ことにより任意の引数を実行されるコマンドに渡すことができる。 これを使うと、一般ユーザが wu-ftpd 経由で path 中の任意のコマンドを実行できてしまう。

1999.12.28 追記: ftpaccess マニュアルページには

path-filter anonymous /etc/pathmsg ^[-A-Za-z0-9._]*$ ^\. ^-

という例があり、これにより anonymous については - ではじまるファイル名の指定は拒否されている、というフォローがあった。 必要なら一般ユーザにも同様のフィルタをかけよう。

　SecurityFocus.com Newsletter 第 20 号日本語版 (英語原文, 日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してないものばかり (というか、私が更新さぼってるんですが)。

　VDO Live Player の件は Shadow Penguin Security の Penguin Toolbox No.063 VDOLive 3.02 Exploit Windows98J overflow exploit も参照。

　Windows NT の Syskey Reused Keystream と LSA DoS については、すでに MSKK からも案内が出ている:

• MSKK99-45: Syskey ツールを利用した際のセキュリティ問題

  NT 4 全般の弱点。もと記事は BindView Security Advisory: Vulnerability in Windows NT's SYSKEY encryption。 もと記事では Affected Systems: All Windows NT 4.0 machines and pre-RC3 W2K machines with SYSKEY enabled. だが MS からの告知には Windows 2000 が出ていない。 きっと知らない間に直されるんでしょう。 英語版 NT では patch があるが、日本語 NT にはまだない。

• MSKK99-46: 不正なセキュリティ認証による LSA の停止

  NT 4 全般の弱点。もと記事は Network Associates SECURITY ADVISORY: Windows NT LSA Remote Denial of Service。 英語版では上記 Syskey の fix にこれの fix も含まれているので、 日本語版でもそうなるのでしょう。

2000.02.28 追記: Syskey 問題の日本語 fix が登場。 http://www.microsoft.com/downloads/release.asp?ReleaseID=18473 から入手できます。

　SecurityFocus.com Newsletter 第 19 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは:

  1. SCO Unixware pkginstall/pkgcat Buffer Overflow Vulnerabilities
  5. GoodTech Telnet Server NT DoS Vulnerability
  6. Xshipwars Buffer Overflow Vulnerability
  9. Solaris sadmind Buffer Overflow Vulnerability
  10. htdig Remote Command Execution Vulnerability
  11. Microsoft Help File Trojan Vulnerability
  12. SCO Unixware Privileged Program Debugging Vulnerability

　あと、III の 4. Communigate Pro Web Admin DoS Vulnerability も。

　Xshipwars の fix と htdig の Debian 用 fix package が出てる (III 参照)。 Solaris 2.x/7 の sadmind はとりあえず止めるしかない (デフォルトで有効)。 CERT Advisory も出ている: CA-99-16 Buffer Overflow in Sun Solstice AdminSuite Daemon sadmind。 MS Help File については NTFS にして権限をいじるしかない。

1999.12.28 追記: SCO Unixware pkginstall/pkgcat Buffer Overflow Vulnerabilities と SCO Unixware Privileged Program Debugging Vulnerability には patch が出た (SSE053 と PTF の Corrects privileged process security issues)。 その他にも多数の fix が出ている。 http://www.sco.com/security/ から入手できる。

　BUGTRAQ-JP BOF のあとの飲み会では「Y2K 対策に金とられて firewall が売れない」というような話もあったように記憶しているけど、これですこしは好転するかしらん。

　ハッカーじゃなくてクラッカーなんだってば……。

　1999.12.07 の FreeBSD xmindpath Buffer Overflow Vulnerability に追記した。 *BSD の状況を追記。

　1999.12.07 の Remote DoS Attack in Serv-U FTP-Server v2.5a Vulnerabilit に追記した。 fix が登場。

　Windows ML で話題になっていた件ですね。

　「Windows NT 4.0 Service Pack 4 (SP4) 以降では、Windows NT DNS サーバーが DNS スプーフィングによる不正なデータをフィルタできるようになりました。この機能を有効にするには、以下の手順を実行してください」。 なんでデフォルトで有効になってないの?

　ついに、米国版 PGP を直接 get することができるようになったようです。 すばらしい。

　1999.11.08 の Lhasa ver0.13 bufferOverflow Exploit に追記した。 Explzh の changelog に気になる記述があったことを追記。

　あいかわらずの RDS もの。 対策については 1999.11.08 の RFP9907: You, your servers, RDS, and thousands of script kiddies を参照。

　といっても弱点じゃなくて、ブラウザ組み込みのベリサインのルート証明書が年末に expire されちゃうという話。 Netscape Navigator/Communicator 4.05 以前、および Macintosh 版 IE 4.01 以前にこの現象が起こるようだ。 なんやかんやでバージョンアップを強いられるわけですね。

1999.12.21 追記: MSKK からも情報が出てました。まだ fix はないみたい。 もう時間がないですぜ。

• MSKK99-44: マッキントッシュ：Intenret Explorer 4.5 Macintosh Edition に組み込まれている認 証情報の期限切れについて

1999.12.28 追記: fix が出てます。 Mactopia Japan からどうぞ。

　この問題の Security Bulletin が出ている。 MS99-060: Patch Available for "HTML Mail Attachment" Vulnerability。 MSKK99-48 として日本語でも公開されている。 Outlook Express 5 の話とまぜられている。

　これって、1999.12.07 の UnixWare 7 uidadmin exploit + discussion でも触れらているような機構なのかな。 似ているような違うような感じだけど……。

　Linux Trace Toolkit 0.9.0 というのが出たそうです。

　NT 3.51 SP5/4.0 SP3〜5 での Y2K fix チェック方法が出ていました。

• NT 4.0 SP5

• NT 4.0 SP4

• NT 4.0 SP3

• NT 3.51 SP5

　しかし、日付だのサイズだので確認してくれってのはなあ。 MD5 digital signature とかファイルのバージョン情報とかを表示してくれるコマンドラインツールくらい標準でつけてくれてもいいと思うのだが。

　いくつか pick up。

• Secure Portal

  リアルタイム監視もの。

• rsh.proxy - rsh Proxy Server

  いまさら rsh なんて、という気もしますが。

　1999.12.06 の Windows NT 4.0 ついに C2 適合! に追記した。 解説記事へのリンクを追加。

　Slackware 7.0 の login において、lock されているかあるいは存在しないアカウントに login しようとすると、lock/非存在が明白にわかってしまい、login 失敗に伴う sleep もかからないという指摘。

　Microsoft IIS 4.0, Site Server 3.0, Site Server Commerce Edition 3.0 に弱点。 SSL ISAPI filter に競争状態 (race condition) が発生、暗号化されているはずにもかかわらず、平文のデータが流れてしまう場合がまれに発生するという。 ただし、この事象が発生すると SSL セッション自体が直ちに崩壊するため、平文データ漏曳がずっと続くようなことはない。

　patch, KB, FAQ はこちら。日本語 patch もある。

• 日本語版 patch: x86 版, alpha 版

  ちなみに英語版は: x86 版, alpha 版

• KB 244613, IIS 4.0 SSL ISAPI Filter Can Leak Single Buffer of Plaintext

• MS99-053 FAQ

• 日本語版警告文書: MSKK99-39: "マルチスレッド SSL ISAPI フィルタ" の脆弱性に対する修正プログラム

　英語版 Security Bulletin には Microsoft Download Center に関する言及がある。 ちょっと試してみたが、日本語 patch に関してはまだ整備が不足しているように見える。

　ニッポンの年金はだいじょうぶなんですかねえ。

　Solaris 2.4, 2.5, 2.5.1, 2.6, 2.7 (Solaris 7) に含まれる snoop コマンドに弱点。 snoop を使ってネットワークモニタリングをしている状況において、特定の RPC リクエストを送ることによって buffer overflow が発生するため、remote から root 権限を奪取できる。 snoop が使用されているか否かは AntiSniff のような tool を使うことで remote からでも察知できるため、snoop を使用している場合は非常に危険。 すでに Solaris 2.7/x86 用のデモコードが発表されている。

　Sun 自身も Security Bulletin #00190: snoop を出して告知している。 patch も用意されているので、snoop を使用している場合はすぐさま適用されたい。 IIS からの警告にはないが、Solaris 2.3 用の patch も挙げられていることに注意。

    OS Version          Patch ID        
    __________          _________
    SunOS 5.7           108482-01    
    SunOS 5.7_x86       108483-01    
    SunOS 5.6           108492-01   
    SunOS 5.6_x86       108493-01    
    SunOS 5.5.1         104960-02
    SunOS 5.5.1_x86     104961-02  
    SunOS 5.5           108501-01
    SunOS 5.5_x86       108502-01    
    SunOS 5.4           108490-01    
    SunOS 5.4_x86       108491-01   
    SunOS 5.3           108489-01

　ここで SunOS 5.x というのは Solaris 2.x のことだと理解してよい。 patch は http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-license&nav=pub-patches から入手できる。

　trin00 と Tribe というネットワーク DoS 攻撃についての警告。 詳細が以下にある。

• The DoS Project's "trinoo" distributed denial of service attack tool
  (from BUGTRAQ, Wed, 08 Dec 1999 03:44:42 +0900)

• The "Tribe Flood Network" distributed denial of service attack tool
  (from BUGTRAQ, Wed, 08 Dec 1999 03:47:24 +0900)

　関連: 1999.11.26 の SANS Flash Advisory: ICMP Echo Reply Probe

　とりあえずご一読を。

　1999.12.08 の IE 5.01 日本語版登場 に追記した。 security fix 状況について追記。

　1999.12.07 の SecurityFocus.com Newsletter 18 に追記した。 日本語版登場。

　日本の Windows + IRC ユーザならふつう CHOCOA だろうから mIRC がどうこういう話はあまり心配してないのだけど、なんにしろ DCC で来たものを無条件に実行・閲覧するのはまずいです。

　出てます。

• Proxy Server 2.0 SP1

  内容については [proxysvr]Proxy Server 2.0 Service Pack 1: 修正リストを参照。 Windows 2000 にも対応したそうです。

• Site Server 3.0 SP3

  インストール順序のページが楽しい。 内容については [sitemcis]Site Server version 3.0 Service Pack 3 修正一覧を参照。

　NT 4.0 SP5, および Windows 98 OSR1 (そんなのあるの?) 上の IE 5 5.00.2314.1003IC, 5.00.2614.3500 において、 "vnd.ms.radio:\\aaaaaaaaaaa...." (合計 360 文字以上) という URL を指定すると buffer overflow で crash する。 攻撃コードを実行される可能性もある。 実際に buffer overflow するのは MSDXM.OCX であるとしている。 手元の NT 4.0 SP5 + IE 5 5.00.2314.1003 (+ some patches) でも buffer overflow の発生は確認した。

　これに対し、Windows 2000 RC2 に付属の IE 5.50.3825.1300 (MSDXM.OCX 6.4.7.1028) では発生しないというフォローがされている。 また、さきほどインストールした IE 5.01 日本語版 (5.00.2919.6307) でも問題ないようだ。 MSDXM.OCX は上記と同じ 6.4.7.1028 になっていた。

　正式に登場しています (匿名希望さん、いつも情報ありがとうございます)。 MS99-051: Patch Available for "IE Task Scheduler" Vulnerability および MS99-054: Patch Available for "WPAD Spoofing" Vulnerability の fix となります。

　WWW browser watch で IE5 日本語版用の ie5setup.exe の登場は知っていたのですが、昨日試した時点では途中で止っていました。 今再開してみたら、ちゃんとつづきをやっているようです。

1999.12.09 追記: [IE51] Internet Explorer 5.01 の追加および変更事項 が出ている。Microsoft から広報されている弱点については全て fix されているように見える。ただし、Java VM build 3229 は完全構成かカスタム構成でないとインストールされないので注意。

　1999.12.07 の UnixWare 7 uidadmin exploit + discussion に追記した。 fix 登場。

　1999.12.07 の UnixWare 7 gethostbyname() overflow に追記した。 fix 登場 (?)。

　a.k.a. 手抜き。

• SCO SSE042: UnixWare 7 through 7.1.1 xlock fix

• [Debian] New version of sendmail released

  これの話の Debian 版。

• RHSA-1999:058 - ORBit, esound, gnome-core

  RedHat Linux 6.1 の ORBit, esound, gnome-core 新 packages。 October GNOME package も出てます。

• Tru64 UNIX: SCSI_CAM-UNX CLCMC313_E1 SCSI CAM Layered Components ECO Summary

　Windows CE 対応の SSL/OTP 対応 telnet クライアント。

　1999.11.08 の Lhasa ver0.13 bufferOverflow Exploit に追記した。 LHMelt 1.11a で同様の不具合への対策がなされている。

　1999.12.06 の 米消費者団体が「cookie」悪用によるプライバシー侵害を警告，FTCに請願書 に追記した。 関連記事を追記。

　1984 年へようこそ (Y2K 回避策……のわけないわなあ)。

　いやはや。日本での状況はどうなんでしょう。

　Serv-U FTP-Server v2.5a に弱点。site コマンドが buffer overflow するため DoS 攻撃を受ける。

1999.12.20 追記: この弱点は 2.5b で fix された。 ふ〜ん、FTP Serv-U って S/Key サポートしてるのね。

　UnixWare 7.1 の libc 中の gethostbyname() に buffer overflow する弱点。 gethostbyname() を使っているプログラム全てに問題が発生する可能性。 デモとして arp コマンドを攻撃し sys gid 権限を得るプログラムが付属。

1999.12.08 追記: SSE041 として tcpip.so の新版が出ているので、これが fix されているかもしれない。 また libnsl の fix が出ているとされているが、これで何が直るのかはよくわからない。

　UnixWare 7.1 の /usr/bin/uidadmin に弱点。 これ自体は sgid sys だが、このコマンドはどんなファイルにも書き込みできる (dacwrite 権限を所有する) ため、結果として root 権限を奪取されるという。 デモコードが付属。

1999.12.08 追記: SSE046 で fix されている。

　ここのところ、OpenBSD 2.6 の SECURITY FIX がいくつか出てます。poll(), sendmail, sslUSA26 (国際版は関係ない)。 このうち、sendmail は これの話。sslUSA はこれの話。

　NTmail 4, 5 では ESMTP 設定において VRFY を off できる。 ところが、この設定をしても VRFY が効いてしまうという指摘。 Support → System Variables の "AllowVRFY" を使うのだと フォローされている。

　SecurityFocus.com Newsletter 18。 訂正も出ている。 このページで書いてなかったのは:

• SCO UnixWare 'xauto' Buffer Overflow Vulnerability

• qpop Remote Buffer Overflow Vulnerability

  qpop 3 はまだベータで、最新 stable 版の 2.53 にはこの弱点はない。 この bug は最新ベータ 3.0b23 では fix されている。

• Solaris kcms_configure

  UNYUN@ShadowPenguinSecurity さんによる指摘。 BUGTRAQ-JP でのポストおよびフォローも参照。

• NT Subst.exe Vulnerability

  ホールというか、仕様というか……。

• FreeBSD gdc Buffer Overflow Vulnerability

  OS 本体ではなく ports の話。 3.3-RELEASE に付属するのは gated-3.5.11。 続く FreeBSD gdc Symlink Vulnerability も同様。

• Solaris arp/chkprm Vulnerabilities

• FreeBSD xmindpath Buffer Overflow Vulnerability

  OS 本体ではなく ports の話。 xmindpath は MagicPoint の contrib ソフト。 3.3-RELEASE に付属するのは 1.04a だが、最新の 1.06a にも bug があるように思う。 uucplock.c で tbuf を固定長で確保しているにもかかわらず、 呼び出し側の main.c では可変長を許可しており、さらに長さの check もしていない。uucplock.c の sprintf() をやめて snprintf() にするのがよいような。

  1999.12.20 追記: NetBSD の pkgsrc には patch が含まれている (from ports-jp ML, Sun, 19 Dec 1999 10:00:23 +0900)。 同じものを FreeBSD ports (というか、UNIX 全般) にも適用できるはず。

• FreeBSD angband Buffer Overflow Vulnerability

  OS 本体ではなく ports の話。 3.3-RELEASE に付属するのは angband 2.8.3。

• RSAREF Buffer Overflow Vulnerability

  ChangeLog セキュリティ [1999/11/11〜21] で出ていた ssh の件である。

• IBM Websphere Installation Permissions Vulnerability

• Endymion Mailman Default Configuration Vulnerability

• Microsoft IE5 WPAD Spoofing Vulnerability

  MS99-054: Patch Available for "WPAD Spoofing" Vulnerability です。IE 5 の弱点だけど、IE 5.01 で fix となっているので、 MS99-051: Patch Available for "IE Task Scheduler" Vulnerability 同様 IE 5.01 日本語版待ちです。 IE 5.5 preview なら日本語版もあるんですけどねえ。

  1999.12.08 追記: IE 5.01 日本語版出てます。

• Netscape Enterprise & FastTrack Authentication Buffer Overflow Vulnerability

  もと記事は ISSalert: ISS Security Advisory: Buffer Overflow in Netscape Enterprise and FastTrack Authentication Procedure。 Netscape Enterprise Server 3.51〜3.6SP2 for UNIX/NT、 FastTrack Server 3.0.1 for UNIX/NT に弱点。 HTTP Basic 認証において 508 文字を越える user 名/password を入力するとbuffer overflow し crash する。 DoS 攻撃の他、BASE64 エンコーディングした攻撃コードを入力することにより、 リモートからサーバ実行権限 (NT: SYSTEM、UNIX: root) を得られる。

  fix はない。 iPlanet Web Server 4.0sp2 への upgrade で対応する。 http://www.iplanet.com/downloads/testdrive/detail_161_243.html から入手できる。

• SCO UnixWare '/var/mail' permissions Vulnerability

• SCO UnixWare 'pkg' commands Vulnerability

• SCO UnixWare 'coredump' Symlink Vulnerability

1999.12.09 追記: 日本語版 (オリジナルテキスト版) が出た

　a.k.a. 手抜き。

• NTInfoScan (now aka Cerberus Internet Scanner) が更新されてます。

• CERT Summary(CS-99-04) の日本語訳 出てます。

• Pandora v4.0 Beta 2.1 for Linux 出てます。

　Eudora 4.2.2 for Windows (だろう) では、HTML メールセキュリティとして 2 段階の手段が取れる。

1. "Allow Executable HTML Content" オプションを ON にしない場合、 HTML メール中の実行スクリプトが削除された上で HTML viewer (Netscape, IE など) に渡される。

2. Eudora.ini の [Settings] に HtmlInPlainText=0 と書いておくと、HTML を処理せずすべて plain text として扱う。

　Symantec Mail-Gear 1.0 Web interface Server に弱点。".." バグがあり、remote からあらゆるファイルを取得できてしまう。

　1999.11.16 の Delegate 5.9.x - 6.0.x remote exploit (possibly others) に追記した。 5.9.9/6.0.4 での状況を追記。

　Solaris 2.6/7 の /usr/openwin/bin/mailtool, /usr/dt/bin/dtmail, /usr/dt/bin/dtmailpr に弱点。 mailtool は Content-Type: として長大な文字列を指定すると buffer overflow する。 dtmailpr および dtmail は -f オプションで buffer overflow が発生。 いづれにおいても悪意あるコードを実行可能。 mail グループ権限を得られる。 この結果、mail グループが読み書きできるもの (ex. 電子メール) を改変されてしまう。 Solaris 7 for Intel で動作するデモコードが添付されている。

　これに対し、HP-UX 10.20 with PHSS_19482 CDE Runtime AUG 99 Cumulative Patch という環境での dtmail/dtmailpr は buffer overflow しないとフォローされている。 dtmail については 107200-09 (Solaris 7/sparc) や 105338-23 (Solaris 2.6/sparc) という patch が出ているが、これらで fix されているかどうかは不明。

　BisonWare FTP Server 3.5 に弱点。 長い user 名により buffer overflow してしまい、DoS 攻撃が成立。

　MDaemon 2.8.5 に複数の弱点。 Port 2000 (MDaemon に含まれる WorldClient が使用) および 2002 (MDaemon WebConfig が使用) に対し、http:/serverip/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa のような長大なリクエストを送ると buffer overflow を起こす。 これに対しては、http://www.altn.com/Downloads/incoming/md285fix.zip に fix patch があるとフォローされている。

　これとは別に、アスキーが発売している MDaemon 2.7J において、 制御用ポートや POP ポートに対して多数の connect() を連続して実行すると 300〜350 回目で MDaemon が落ちてしまうという報告がされている。 これは上記英語版 2.8.5+patch にも存在する弱点であり、 2.8.7 で fix されるとフォローされていた。 MDaemon 2.8J は 1999.12.10 発売だそうですが、発売されるものが fix 版かどうかは不明。

　HTML メールはいろいろありますねえ。

1999.12.07 追記: 関連記事:

• ジャンク電子メールから個人情報流出の危険
  (from WIRED NEWS, 1999.12月3日 9:20am PST)

• 盲点だったHTMLメールのセキュリティー欠陥
  (from WIRED NEWS, 1999.12月6日 3:00am PST)

　EPIC やるなあ。 プレスリリース出てます。

　謝罪なしない、都合の悪い事には触れない。 これでは大学改革もなにもないですわなあ。 毎日インタラクティブでは意見募集しているようなので、一言あるかたはどうぞ。

　NT 4.0 はついに C2 に適合したようです。 ただし、Deploying Windows NT 4.0 in a C2 Evaluated Configuration にもあるように、SP6a にさらに patch を適用する必要があります。

1999.12.07 追記: 関連報道: Microsoft，ようやくNT 4.0で「C2」を獲得 (from ZDNet News, 1999.12.6　4:18 PM PT)

1999.12.10 追記: Windows NT magazine から解説記事 Windows NT C2 Security Hotfix Tightens Object Access が出ていた。

2000.04.26 追記: 日本語 NT 4.0 SP6a 用 C2 hotfix package が出ていた。 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20505 から入手できる。

2000.05.02 追記: Windows NT 4.0 Hardware System Integrity Test Tool 2.0 が出ていた。 C2 の Trusted Facility Manual に適合しているかどうかを check するのだそうだ。 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20566 から入手できる。

2000.05.10 追記: 日本語 KB が出ていた。 J051448, [NT]TCSEC C2 セキュリティ基準の設定で要求される修正。

　1999.11.30 の Netscape Communicator 4.7 - Navigator Overflows に追記した。 デモコードが登場。

　1999.11.29 の APC PowerChute Plus 5.1 NT (Denial of Service Attack). に追記した。 5.2beta があるという話。

　1999.11.26 の [RHSA-1999:052-03] new initscripts packages available に追記した。 またまた新版 RHSA-1999:052-04 が出ている

　1999.11.18 の NT 4.0 SP6 を巡るゴタゴタ に追記した。 ようやく本当に SP6a が配布されていることを確認した。

　1999.11.10 の AN HTTP Server DoS に追記した。またまた弱点。1.22c で fix されている。

　COMET SYSTEMS the cursor changing people ですか……なるほど。 changing ね。

　素敵な大学ですね。関連:

• 早大の名簿提出　学の独立どこへ　個人情報保護の先駆的規定、自ら否定
  (from インターネット事件を追う, 1999.12.01)

  「警備当局から『どういう人たちが参加するのか』と聞かれれば、こういう人たちと応えるのは当然」。 人権感覚ゼロだな。 まあ、大学っていうところは文部省にヒモにぎられてる (「スポンサー様の悪口は申せません」) わけで、 お上に逆らえるわけないんですよね。

• 早大、名簿提出は10年以上も前から
  (from インターネット事件を追う, 1999.12.01)

  有名大学はやることが違いますなあ。

　国内ディストロのセキュリティ対応一覧 12/1 版、かなり○が増えてきました。

　Ethereal 0.7.5 と SARA 2.0.8 のレビューが出ていた。

　Security Focus Newsletter 第 17 号日本語版 (英語原文, 日本語テキスト原文 (PGP 確認したい人用))。 例によって必読。