セキュリティホール memo - 2000.01

　「どうしたらいいんでしょう」って言ってる場合じゃないはずなんだが。 「総務庁統計局では……(中略)……業者に調べさせた結果……(中略)……分かった。」というんだから (自分たちではわからなかった!)、かなりなものがあります。 危機管理室のコメントは「これのどこが危機管理なんや」という、うすら寒いものだし。

　次回の活動概要には科学技術庁 (まだなおってないみたい) ものとかも含まれるのだろうなあ。 MASUI さん情報ありがとうございます。

　*BSD (OpenBSD, FreeBSD) の procfs に弱点。次のような問題がある。

1. 非特権プロセス A がプロセス B を fork する。

2. A は procfs の /proc/pid-of-B/mem を open する。

3. B が suid プログラムを exec する。

4. この段階で A と B の euid が異なるにもかかわらず、A は /proc/pid-of-B/mem を通して B のメモリーを操作できてしまう。

　デモコードが添付されている。 OpenBSD patch はhttp://www.openbsd.org/errata.html#procfs に、 FreeBSD patch は ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:02/procfs.patch にある。 FreeBSD 2.2.8-RELEASE な人とかは http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/kern/kern_descrip.c と http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/sys/filedesc.h から diff をひろってみてください。

2000.02.01 追記: 2.2.8-RELEASE については http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/kern/kern_exec.c についても更新する必要があるそうです。 こがさん情報ありがとうございます。

　stream.c と raped.c という DoS 攻撃ツールが登場している、という話題。 ツールそのもの、ipfilter での防衛方法、FreeBSD への unofficial patch などが述べられている。

　世の中ではさらに multicasts from hell なんてのも現れる始末。なんだかねえ。

　IE 4.01 SP[12] 用 MSHTML.DLL に Y2K bug があったようで、修正が出てます。 詳細は Q250316 をどうぞ。

　MSHTML というと 1999.04.22 の MS99-012: MSHTML Update Available for Internet Explorer の件 (日本語 patch) が思い起されるが、MS99-012 の内容のうち mshtmlwb.dll は今回の修正には含まれていない。 このため、IE 4.01 SP2 ユーザは、まず MS99-012 fix を適用し、つづいて今回の fix を適用する必要がある。それとも、もしかして mshtmlwb.dll は不要なのかしらん。

　ちなみに、MS99-012 patch 配布ページに IE 5.01 でアクセスすると、IE 5.01 では fix されているにもかかわらず「"MSHTML" 問題の影響を受ける Internet Explorer 5 for Windows NT 4 が実行されています」とか表示されてびっくり。 古いドキュメントを修正していくのは大変だと思うけど、誤解を招くので早期に修正してほしいところです。

　2000.01.27 の Qpopper security bug に追記した。 fix 情報を追記。

　「これまでの取組」に「各ソフトウェアに対するセキュリティ fix の随時適用」とかなんとかいう文言がないのが気になるなあ。 「取組強化のための具体的措置」でも、 「各省庁は、新たなコンピュータシステムを構築する際、それぞれのシステムに応じた十分なセキュリティ水準の製品や技術等を利用するよう留意する」 と書いてあるだけで、導入時の設定の重要性、導入後も継続的に更新する必要性を認識しているように見えないし。 入れたらおわりのハコモノな発想から抜けられていないような気がするぞ。 セキュリティものは入れてからのほうが重要だと思うのだが。

　今回の事態は日本政府の脆弱性をさらけだしたわけだけど、これを機会に日本版 CIAC みたいなものができるとか、JPCERT/CC にお金がつくとかなるのなら、それはそれでよいことだと思う。でもそういうふうに話がまとまるかなあ。

　「セキュリティー技術を持つ通産省の外郭団体」というのは JPCERT/CC のことなのでしょう。 わかってないな。

2000.02.02追記: 村田@NSG さんから『IPA で正しいのでは? 「Web改ざんの防止を目的として行う価値のある対策(2000.1.27更新)」という文書も公開されましたし』と指摘されました。 ……うわぁ、私はてっきり「セキュリティー技術を持つ通産省の外郭団体」と「情報処理振興事業協会（IPA）」の 2 つがきているものだとばっかり思っていたのですが、 そうじゃなくて IPA だけが呼ばれているのかしら。 わかってないのは俺だ! ハズカシー。村田@NSG さんご指摘ありがとうございます。 毎日新聞すんません。_o_

　言うだけなら誰でもできます。

　　OpenSSH 1.2.2 出てます。 修正事項は ChangeLog などを参照してください。 ssh-1.x とくらべると、PAM サポートの追加とかがうれしいですね。 入手はミラーサイトからどうぞ。 また、OpenBSD をミラーしている site の $OPENBSDDIR/OpenSSH/ にもあるかも。

　Security Focus Newsletter #24 2000-01-10 -> 2000-01-16 の 5. Corel Linux get_it PATH Vulnerability (BugTraq ID: 928) の話だと思うのだけど、急ぐもなにも、ふつうなら 3 分くらいで fix できる話ですよねえ……。実はこの他にも弱点が山のようにあったのかしらん。

　AOL の AIM のユーザー名登録プロセスに弱点。 既存の AIM ユーザ名にリンクする AOL アカウントを設定できてしまう。 これにより、既存の AIM ユーザを詐称することが可能となる。 すでに AOL アカウントを持っている場合にはこの弱点はなく、AIM アカウントのみ所有する場合に問題が起こるという。

　世界最大のシェアを誇る web server Apache のバージョン 1.3.11 が登場。 More rigorous checking of Host: headers to fix security problems with mass name-based virtual hosting.……We consider Apache 1.3.11 to be the best version of Apache available and we strongly recommend that users of older versions, especially of the 1.1.x and 1.2.x family, upgrade as soon as possible. No further releases will be made in the 1.2.x family. だそうですので、入れかえましょう。 http://www.apache.org/mirrors/ からミラーサイトをたどってください。

　Windows 95 用の ftp サーバ Tiny FTPd 0.52β3 以前に弱点。 多くのコマンドで buffer overflow が発生し、remote からサーバの制御を奪うことが可能。 0.52β3-1 で fix されているので、利用者は入れかえる。

　Windows NT 用 proxy server InetServ 3.0 (http://www.escape.ca/~avtronic/inetserv.html かなあ) に弱点。 buffer overflow するため、remote user が InetServ 動作権限 (SYSTEM?) を取得できる。 デモコードが付属している。

　.ida を指定する長大なリクエストを送ると、IIS 5 がクラッシュする場合がある、という指摘。 ただし、IIS 5 においては、たとえクラッシュしても自動で再起動させたりできるので、単なるクラッシュに対する耐性は高いと言える。

　1999.12.29 の majordomo local exploit に追記した。 1.94.5 にすれば解決なわけではない。

　VMware 1.1.2 for Linux に弱点。 VMware は、設定ファイル (.cfg) で指定するか、あるいは環境変数 TMPDIR を指定していない場合、ログファイルを /tmp/vmware-log に作成する。このとき、ファイルの存在チェックなどをしていないため、symbolic link attack を受ける。

　とりあえずの対策としては、設定ファイルで指定するか環境変数 TMPDIR を指定して /tmp は使わないようにする。

　qmail-pop3d にバーチャルドメイン機能を追加するアドオンソフトウェア (?) vpopmail に弱点。buffer overflow するため、remote から vpopmail の実行権 (通常 root) を奪うことができる。 qmail 自体に罪はないので誤解なきよう。

　この弱点は vpopmail-3.4.11e 以降で fix されている。 開発元は少なくとも vpopmail-3.4.11j への upgrade を推奨している。 これらは http://www.inter7.com/vchkpw/ から get できる。

　Kenji さん情報ありがとうございました。

2000.02.02追記: 滝澤さんから詳細な解説をいただきました。私なんかが書くよりはるかにわかりやすいので、そのまま掲載させていただきます。

> qmail-pop3d にバーチャルドメイン機能を追加するアドオンソフトウェア (?)
>  vpopmail に弱点。buffer overflow するため、remoteから vpopmail の実行
> 権 (通常 root) を奪うことができる。 qmail 自体に罪はないので誤解なきよう。 

この部分に関してですが、vpopmail というのはアドオンパッケージと書いた方
がいいような気がします。また、弱点があるのはこのパッケージに含まれる認
証プログラムの vchkpw です。

ちなみに qmail-pop3d の構造は
  qmail-popup     認証関連のコマンドのやりとり（root の権限）
     ↓
  checkpassword   認証（認証が成功したらユーザの権限に setuid,setgidし、
     ｜                qmail-pop3d を exec する）
     ↓
  qmail-pop3d     POP3 サーバ（ユーザの権限）
というように、順次 exec して起動をします。
オリジナルの checkpassword は APOP に対応していないので vpopmail パッケ
ージでは APOP に対応した認証プログラムの vchkpw を使います。
認証プログラムは qmail のパッケージとは独立しているため、qmail-popup 
は認証プログラムに fd 3 経由で渡すデータを特に制限していません。
そのため、認証プログラム側でデータをチェックすべきなのですが、
vchkpw ではチェックが甘く今回のようなことが起こりました。

　情報および掲載許可をいただいた滝澤さん、ありがとうございます。

SecurityFocus.com Newsletter 第 25 号日本語版 (英語原文, 日本語テキスト原文 (part1, part2: PGP 確認したい人用))。ここで紹介してないのは:

　2. Netopia Timbuktu Cleartext Username/Password Vulnerability
　3. W3C httpd (Formerly 'CERN httpd') Path Revealing Vulnerability
　4. VCasel Filename Trusting Vulnerability
　5. Nortel Contivity Denial of Service and File Viewing
　   Vulnerabilities

　IDS (Intrusion Detection Systems) に関して、日本語で議論ができる Mailing List ができました。

　あいかわらず謎だらけのようです。

　qpopper 3.0beta29 以前の 3.0 ベータシリーズに弱点。 最新安定版である qpopper 2.53 にはこの弱点はない。 LIST コマンドの第 2 引数が buffer overflow するため、uid: login したユーザ、 gid: mail の権限で任意のコードを実行できるという指摘。 x86 版 Linux で動作するデモコードと fix patch が付属している。

2000.01.28 追記: これは 3.0beta30 以降で fix されている。最新は 3.0beta31 だ。

　広く利用されている検索ソフトウェア namazu 1.3.0.10 以前 (安定版)、および 1.9.12 以前 (開発版) の CGI に弱点。 /tmp などにゴミファイルを作成される可能性があり、これによりディスクが溢れる危険性がある。 これを fix した 1.3.0.11 (安定版) および 1.9.13 (開発版) が登場しているので、namazu 管理者は入れかえよう。

　科学技術庁の web server がまた crack されたという話。 でも、「今回被害を受けた科技庁や総務庁の場合，ファイアウォールの外にWebサーバーを置いており，外部からの意図的なアクセスには無防備だった」 というのはちょっと違うんじゃないか? wall の外だろうが内だろうが、適切な設定を行う必要はあるわけで。 内なら設定項目が少なくなるだろうとは言えると思うけど、それも wall の設定によりけりですし。

　なお、www.sta.go.jp (www2.sta.go.jp) で動いていたのは、 Netscape-Enterprise/3.6 という、もはや維持されていない、弱点持ちのソフトウェアだったらしい (info from FWD fw-novice ML)。

　MS Windows NT 4.0 TSE に弱点。システム修復ディスクを作成する RDISK コマンドが作成する一時ファイルにはレジストリデータ一覧が含まれているが、 これの ACL が不適切に設定されており、誰でも読めてしまう。 英語版 NT では patch が出ているので適用する。 日本語版 NT 用はまだないみたい。

　オリジナルの指摘: http://ntsecurity.nu/advisories/a12.shtml

2000.04.24 追記: patch 出てます: x86, alpha。

　「誇張」はたしかにその通りなのだろうと思う。 ケーサツもマスメディアもウケをねらうからなあ。

　科学技術庁の web server が crack されたという記事。 現在 www.sta.go.jp は www2.sta.go.jp への CNAME になってるみたい (www.sta.go.jp が crack されたのかな?) 。 でも、www2.sta.go.jp もいろいろあれな port が開いているみたいですが……いいのかなあ。

　よろこばしいことです。

　1999.12.29 の majordomo local exploit に追記した。 fix 版登場。

　特定の条件のフォルダ/ファイルを設置すると、MacOS 版 IE 4.5 がクラッシュするという指摘。 なんでこんなことでクラッシュしちゃうの?

　こんなことしたって地下に潜るだけで、実際にはなんの解決にもならない話。 DVD 屋はあいかわらずです。

　FreeBSD 3.4-RELEASE 以前、および 2000-01-16 以前の FreeBSD 3-stable, 4-current に弱点。 make の -j スイッチ利用時の一時ファイルの処理が不安全 (同じ一時ファイル名を使いつづけてしまう) なため、悪意あるユーザは同じ名前のファイルを設置することで木馬版コマンドの作成などが可能になる。 特に、make -j 4 buildworld なんてしてる時があぶないのでしょう。 NetBSD、OpenBSD など BSD 由来の make は全て弱点持ちだという。

　この弱点は 2000-01-16 付けで fix されている。 FreeBSD 3.[34]-RELEASE な人はこの diff を適用すればいいはず。 2.2.8-RELEASE な人は job.c を 1.5.2.4 版 に置きかえて make しなおしたほうがいいみたい (なんか diff がうまくとれない)。

　記事執筆は Kevin Poulsen 氏。

　1999.12.22 の Microsoft Word97/98/2000 Exploitable buffer overflow problem に追記した。 マイクロソフトの patch は、実は全然 fix になっていないらしい。

　こういう弱点持ちのサイトはたくさんあるんでしょうね。

　2000.01.19 の 米国の暗号輸出規制緩和をRSAなどが歓迎 に再び追記した。 Windows 2000 の 128bit 暗号についての情報を追加。

　2000.01.19 の CD Universeのクレジットカード番号盗難犯人，盗んだカード番号の再公開を予告 に追記した。 CyberCash は ICVerify は無実だと言っている。

　2000.01.19 の 米国の暗号輸出規制緩和をRSAなどが歓迎 に追記した。 関連記事を追加。

　SecurityFocus.com Newsletter 第 24 号日本語版 (英語原文, 日本語テキスト原文 (PGP 確認したい人用))。ここで紹介してないのは:

　1. MsgCore/NT Denial of Service Vulnerability
　3. MySQL GRANT Global Password Changing Vulnerability
　5. Corel Linux get_it PATH Vulnerability
　6. ICQ URL Remote Buffer Overflow Vulnerability

　ICQ のやつは該当者がけっこういるかも。

　Windows 9x/NT 4.0 に含まれる Rich Text Format (RTF) ファイル処理のための DLL (RICHED32.DLL) に buffer overflow する弱点があり、これを使うアプリケーション (ex. メールリーダ、ワープロ、...) を crash させられる。 Windows 2000 にはこの弱点はない。 これは、1999.11.22 の WordPad/riched20.dll buffer overflow の件だろう。

　日本語版 fix はまだない。

2000.03.06 追記: ようやく日本語 fix が登場。 x86、Alpha。

2000.04.14 追記: 日本語 KB が改訂され、Windows 98 の fix 情報も追加された。 詳細は J052208, [NT] デフォルトの RTF ファイル ビューアがプログラム処理を妨げる を参照……って、なんか Windows 98 用 fix の URL 間違ってません?

　Windows NT 4.0 (SP6a 含む) に弱点。 Local Procedure Calls (LPC) port を扱う API の一つ NtImpersonateClientOfPort() システムコールに問題がある。 攻撃者が client スレッドと server スレッドの両方を作成し、impersonation request を操作することで、 その機械に local logon している他のユーザの権限 (例: local SYSTEM) を得ることができてしまう。 もし Domain Admin 権限を持つユーザが logon していれば Admin 権限を奪取することができ、そうでない場合でも他のユーザ、たとえば local SYSTEM の権限を得ることができる。 この弱点は特に Terminal Server において問題になる。

　もと記事はこれ: BindView Security Advisory: Local Promotion Vulnerability in Windows NT 4。 この弱点は攻撃者が local logon していることが前提であり、 remote からの攻撃はできない。

　日本語 patch はまだない。

2000.02.28 追記: 日本語 patch が出た。 KB J052067, [NT] 非認証アカウントを LPC から利用できてしまうを参照。

　qmail で有名な D. J. Bernstein さんがつくった DNS サーバ。 当然 minimal で secure。 さまざまな構成要素が別々になっていて、さらにデフォルトで非 root かつ chroot な環境で動作します。 qmail 日本語ページを維持されている前野さんが dnscache 日本語ページを作成中です。

　D. J. Bernstein さんの Internet publication のページでは publicfile という minimal かつ secure な ftp/http サーバも配布されています。 安全性と利便性は反比例なんですよねえ。

　US 政府 (Department of Commerce って商務省?) が大幅に暗号輸出規制を緩和。 128bit 秘密鍵暗号、1024bit 共有鍵暗号など強い暗号関連ソフトウェアを、 原則 Bureau of Export Administration (BXA) によるレビューを受けるだけで輸出できるようになったようだ。 ただし完全に規制がなくなるわけではなく、binary ならこうこう、source ならこうこう、相手組織があれこれならこれそれ、ということになってるみたいで、これでおわりという話ではない。

　これにあわせて、Windows 2000 は 128bit 秘密鍵暗号を有効にした版が輸出されるそうだ。 ということは、日本語版 Windows 2000 は 128bit enable になる、 ということなのだけど、もう CD つくっちゃってるわけで、どうするんでしょう。 噂では、128bit 対応差分が入ったフロッピーが添付されるとかされないとか……。

　もじら方面でも動きがあります (村脇さん情報ありがとうございます)。 もじらのセキュリティコード (の一部?) が輸出できるようになる他、 Sun-Netscape Alliance が PKI Library Source Code を contribute してくれることになりました。 しかし問題は残っています。 from Mozilla Crypto FAQ:

However there are still some remaining issues with Mozilla and crypto. First, the changes to the U.S. export regulations do not completely eliminate controls on export of encryption software and technology; there are some remaining restrictions, particularly with regard to export of binaries, and some ambiguities in the regulations that may affect Mozilla development activities.

Even more important, the release of source code from the Sun-Netscape Alliance will not include all the code needed to produce a complete SSL- or S/MIME-capable Mozilla product starting with only source code. Because of RSA intellectual property restrictions and the continued presence of proprietary code licensed from RSA Security, Inc., the Sun-Netscape Alliance will not be releasing the source code that actually performs the core encryption and decryption operations. Thus the source code release will not contain any code at all for the RSA public key algorithm, which requires a patent license for general use in the U.S., and will not contain any code which was originally licensed from RSA Security, Inc.

　そういえば、特許問題もあったんだよね。

　元ネタはこちら: U.S. Department of Commerce Announces Streamlined Encryption Export Regulations。 その他関連: THE WHITE HOUSE FACT SHEET: Administration Updates Encryption Export Policy (1999.09.16)

2000.01.20 追記: 関連記事: あいまいな米国の暗号輸出新規制 (from WIRED NEWS, 2000.1月15日 3:00am PST)。 そうなんですよね。すごくわかりにくい。 ぜひみなさん、原文 (のファクトシート) を読んでみてください。

　WIRED の文章には記述されてないけど、「カリフォルニアを含む第 9 巡回裁判区」からなら無制限に配布可能という解釈もされています。 1999.07.08 の PGP 6.5.1 has been released の追記を参照。

2000.01.20 追記 part 2: 日本語 Widnows 2000 の 128bit 暗号輸出の話ですが、CD には これまでどおり 40/56bit 暗号しか入ってなくて、128bit 対応モジュール "High Encryption Pack" が入った FD が添付されるそうです。 これを適用すると 128bit 暗号がつかえるようになります。 "High Encryption Pack" 自体は既に 1999 年末に完成していたけれど、 輸出規制が最終的にどうなるかが未確認だったので別媒体となったそうです。 佐伯さん情報ありがとうございます。

2000.02.20 追記: パッケージ版にはちゃんと "High Encryption Pack" FD が入っていますが、MSDN 経由の人は FD が入ってないそうです。 同じものが http://www.microsoft.com/windows2000/downloads/recommended/encryption/default.asp から get できます (from JWNTUG OpenForum)。

　e-commerce サイトからクレジットカードデータを盗んだ話。 CyberCash の ICVerify というソフトに問題があるらしい。 でも詳細はまだ不明なんだよね。

　これに関係あるのかないのかわからないけど、 BUGTRAQ に CyberCash MCK 3.2.0.4: Large /tmp hole という投稿がされている。 CyberCash Merchant Connection Kit 3.2.0.4 では一時ファイルをぞんざいに扱っているので数々の弱点がある、という指摘。

2000.01.20 追記: CyberCache からステートメントが出ている: CyberCash Statement Regarding Online Extortion Plot。 ICVERIFY は PC ベースの支払いシステムで、web ベースじゃないし、 CD Universe の web site では使ってない。 だから、クレジットカード情報は ICVERIFY が原因で盗まれたわけじゃない、 のだそうだ。 Kenji さん情報ありがとうございます。

　freshmeat に出ていたセキュリティツールの紹介。

• SafeTP
  (日本時間 2000.01.14)

  RFC2228 の Windows/UNIX への実装です。 残念ながら US/Canada 外からは (まだ) ダウンロードできません。

• Osiris Scripts
  (日本時間 2000.01.16)

  ファイル インテグリティ チェッカーです。 UNIX および Windows NT に対応しています。

　SRS (Secure Remote Streaming) 登場のおしらせ。 http://www.w00w00.org/files/SRS/ から入手できる。 yet another secure syslog ってところでしょうか。

　2000.01.11 の [RHSA-2000:002] New lpr packages available に追記した。 実は old news だった?!

　1999.12.22 の Microsoft Word97/98/2000 Exploitable buffer overflow problem に追記した。 fix patch が登場した。

　プリケーとレンタルケータイでも身分証の提示が必要となるようです。

　http://www.l0pht.com/ につながらないなあ。

　Hotmail にさらなる弱点。 <IMG SRC="j&#x41;vascript:alert('Javascript is executed')"> という形式の JavaScript の実行を許してしまうという指摘。 一連の指摘を読めば、「JavaScript を削除する」ことがいかに困難であるかがわかるというものだ。 JavaScript に対する耐性を高めるには、JavaScript を機能停止するか、 JavaScript 実装をより安全にするか、しかない。

　それにつけても、こんなのよく見つけるよなあ。すごい。

　著名な暗号専門家 Bruce Schneier 氏は、この「ニュース」自体が "publicity attack" だと述べている。 詳細は CRYPTO-GRAM January 15, 2000 の "Key Finding" Attacks and Publicity Attacks を参照。

　この記事だけ読むと patch 入れれば済むような印象を受けるけど、 RDS セキュリティとか IIS まわりのものは「単に patch 入れればいいだけじゃない」のでご注意。 昨日の Microsoft's Taiwan Web site hacked も参照。

　「第7位：IE 5をめぐる各種の問題」は、わかってないなあと思う。 IE 5 に bug が多かったのは確かにそうなのだけど、その多くは ActiveX とか JavaScript とか、ずいぶん前から不安全とされてきたものにまつわるもので、真にシビアなもの (回避方法が全くないもの) は小数だった。

　セキュリティを気にする人はふつう ActiveX / JavaScript は止めているだろう。 といってもいまどき JavaScript がないと買い物もできないのだけど、 IE では「特定サイトでのみ ActiveX / JavaScript の実行を許す」という設定が簡単にできるので、そう設定することによってリスクを最小にすることもできる。 この点は Netscape Communicator にくらべて評価できる。 Netscape Communicator は単純な on/off しかできなくて困るのだ。 おまけに JavaScript を止めるとスタイルシートまで使えなくなってしまう。 まあ Netscape Communicator のバグバグスタイルシートは使えないほうがいいのかもしれないが。

　私の場合、そもそも Netscape Communicator 4.x は security 以前に基本機能が腐ってるからどうしようもないと思ってます。 また、Netscape Communicator は security 情報が公開されてないし、そもそも最近は fix が出てこない。 5.x がベイパーウェアになっているのはご存知のとおりですし。

　IE 5.01 および 5.5 beta に弱点。 sfn 23 の 13. Microsoft Internet Explorer Security Zone Settings Lag Vulnerability の件だ。

　ドキュメントがすでに読み込まれているウィンドウ中で新しいドキュメントが読み込まれる場合、新しいドキュメントの読み込み中においては、古いドキュメントに関するセキュリティ設定が適用されてしまうという。 これはたとえば、local ドキュメントが読み込まれているウィンドウで Internet URL を読み込むと、その URL 中のドキュメントは、読み込み中は local ドキュメントのセキュリティ設定で動作してしまうということだ。 これに、IMG タグの SRC 属性に JavaScript が書けてしまうということを組みあわせると、悪意ある web サイトが JavaScript を local コンテキストで実行させる (= なんでもありあり) ことができてしまう。 デモが http://www.nat.bg/~joro/img2main.html にある。 手元の日本語 NT 4.0 SP6a Server + IE 5.01 でも再現できた。 まいったねえ。

　対応としては、アクティブスクリプティングを停止する。

2000.02.18 追記: Microsoft から Security Bulletin が出た。 MS00-009: Patch Available for "Image Source Redirect" Vulnerability。 日本語版 patch はまだない。

2000.02.23 追記: ようやく日本語 patch が出た。 http://www.microsoft.com/windows/ie_intl/ja/security/ から入手できる。

2000.04.14 追記: IE 4 への patch 適用による不具合情報が、 J053097, [IE4]MSHTML の修正モジュールをインストールするとプロパティが表示できない に出ていた。 IE 5 にはこの問題はないようだ。

2000.04.25 追記: 対応 KB の J052547, [IE] IMG タグにリンクされている JavaScript を使用してローカル ファイルがアクセス には「この問題を修正するには、次の Microsoft Web サイトにあるパッチをダウンロードしてください。 ※ただし、現時点(2000/2/24)では Windows 2000 にモジュールを適用しても正常に置き換わりません」 なんて書いてありますな。 英語版 KB Q251109 にはそういう記述はもはや存在しないようですが。

　2000.01.06 の SECURITY ALERT - WAR FTP DAEMON ALL VERSIONS に追記した。 fix 登場。

　Audio セキュリティファイル (/etc/opt/audio/audio.sec) が world-writable (mode 666) で作成されるという問題。 対策としては、手動で mode 444 になおして、いじるときは root でね、としている。

　HP9000 Series 7/800 running HP-UX releases 10.X, 11.X に弱点。/opt/audio/bin/Aserver を使って root 権限を得られる。 まだ patch はなく、とりあえずの回避策が示されている。 また弱点の詳細情報が BUGTRAQ でフォローされている。

　この回避策は update されている。これによると、suid/sgid を落せばよいことになっている。

2000.03.22 追記: Advosory が改訂されている。 ここでは、単に mode 555 にするのではなく、起動スクリプトにそれを埋めこめ、とされている。

　HP-UX 11 で追加された "buffer overflow protection" を有効にする方法。

　WinAMP 2.10 に弱点。。 .pls (playlists) ファイルの処理において buffer overflow バグがあるため、 .pls ファイルに攻撃コードを仕込んで悪意あるコードを実行させることができる。 こんな感じ:

[playlist]
File1=<580 bytes><eip><shell code>
NumberOfEntries=1  

　デモコードも添付されている。 指摘者は Windows 98 [Version 4.10.1998] で確認している。 この弱点は WinAMP 2.5E では fix されているとフォローされている。

　buffer overflow 対策ツール Stack Shield 0.7 版登場のおしらせ。

　SecurityFocus.com Newsletter 第 23 号日本語版 (英語原文, 日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してないのは:

　1. Allaire ColdFusion 4.0x CFCACHE Vulnerability
　2. PHP3 'safe_mode' Failure Vulnerability
　5. IMail IMonitor status.cgi DoS Vulnerability
　6. Allaire Spectra 1.0 Webtop Vulnerability
　7. Allaire Spectra Data Indexing DoS Vulnerability
　8. Solaris chkperm Buffer Overflow Vulnerability
　10. Handspring Visor Network HotSync Vulnerability
　11. SolutionScripts Home Free search.cgi Directory Traversal Vulnerability
　12. Zope DTML editing Vulnerability
　13. Microsoft Internet Explorer Security Zone Settings Lag Vulnerability

　Allaire ものについては Allaire Security Zone を参照。 2. は fix patch がある。 8. については、それは標準でインストールされるわけじゃないというフォローと、 攻撃プログラムをつくるのは無理っぽいというフォロー (1, 2) がされている。 13. については別項に書きます。

　MS 台湾の web site がやられた、という記事。 原因はどうみても RDS ですよねえ。 IIS security checklist にもありますが、RDS は原則切りましょう。 詳細は J042933 [IIS]RDS、IIS、ODBC のセキュリティ を参照。 1999.11.08 の RFP9907: You, your servers, RDS, and thousands of script kiddies もあわせてどうぞ。

　IIS security checklist って、よくまとまってるんだけど、 設定内容が作業優先度順に並んでないのがあれですねえ。

　いよいよ NT 4.0 SP6a 日本語版が登場したようです。 リリースノートも読んでね。

　しかし、なぜ「W98:パーソナル Web サーバー利用時のセキュリティ問題について」が fix されている、とされているんだろう。 NT では関係ないはずなんだが。よくわからん。 「NT では関係ないけど fix した」と言いたいのかしらん。 そんな暇があったら Windows 9x 用の fix をとっとと出してほしいのに……。

　あと、J048031 が fix されたみたいだけど、これって MS 自身の web site でよく見かけるような気が……。 負荷もすごいんだろうけど。

　1999.12.28 の MS99-061: Patch Available for "Escape Character Parsing" Vulnerability に追記した。 rain forest puppy 氏による解説記事を追記。

　2000.01.05 の vibackup.sh に追記した。 Debian GNU/Linux と FreeBSD の fix 情報を追記。

　RedHat Linux 4.x/5.x/6.x の lpr パッケージに弱点。 lpd に 2 つの弱点がある。

1. DNS 逆引きアドレスを設定できる場合、逆引きを lpd サーバと同じ名前にすることで lpd へのアクセス権を得られてしまう。

2. lpd によって、sendmail に対し非標準の設定ファイルを使用するよう引数を設定できてしまう。

　もと記事は L0pht Security Advisory: LPD, RH 4.x,5.x,6.x。 もと記事には 4 つの弱点が記載されているが、特に問題なのが上記 2 点ということなのだろう。 fix が出ているので適用しよう。

　Debian GNU/Linux の lpr パッケージも同様。 アナウンスと fix が出ているので適用しよう。

2000.01.18 追記: これってとっても old news だとフォローされている。 いやはや。

　Hotmail の JavaScript フィルタについて 3 つの問題が指摘されている。 指摘者はいづれもおなじみ Georgi Guninski 氏。

1. Hotmail security hole - injecting JavaScript using <IMG LOWSRC="javascript:....">
   (Mon, 03 Jan 2000 22:39:49 +0900)

   Hotmail の JavaScript フィルタは <IMG LOWSRC="javascript:...."> の形式で書かれた JavaScript コードをフィルタしきれず、実行を許してしまう。 この攻撃は Internet Explorer 4.x/5.x および Netscape Communicator 4.x で機能する。 とりあえずの対策としては、JavaScript (アクティブスクリプト) を停止する。

   現在、Hotmail サーバではすでにこの問題への対応がなされたとフォローされている。

2. Yet another Hotmail security hole - injecting JavaScript in IE using <IMG DYNRC="javascript:....">
   (Tue, 04 Jan 2000 23:24:01 +0900)

   Hotmail の JavaScript フィルタは <IMG DYNRC="javascript:...."> の形式で書かれた JavaScript コードをフィルタしきれず、実行を許してしまう。 この攻撃は Internet Explorer で機能する。 とりあえずの対策としては、JavaScript (アクティブスクリプト) を停止する。

3. Yet another Hotmail security hole - injecting JavaScript in IE using "@import url(javascript:...)"
   (Thu, 06 Jan 2000 23:40:32 +0900)

   Hotmail の JavaScript フィルタは @import url(javascript:...) の形式で書かれた JavaScript コードをフィルタしきれず、実行を許してしまう。 この攻撃は Internet Explorer で機能する。 とりあえずの対策としては、JavaScript (アクティブスクリプト) を停止する。

　実は Hotmail はそれ自身が JavaScript を使っているため、上記「とりあえずの対策」は実はとれないのだとフォローされている。

　毒入りとは……。こういう会社の製品、買いたいですか? (リンク fix しました。江田さんご指摘ありがとうございます。)

　OpenBSD-current では swap を暗号化できるんですって。やるなあ。

　あら、「11日から14日までの4日間」だけなのね。

　2000.01.06 の CERT Advisory 2 題とか #00193: Distributed Denial-of-Service Tools とか 1999.12.09 の ISS Security Alert: Denial of Service Attack using the trin00 and Tribe Flood Network programs とかの話。 検査ツールも紹介されているので、外向きでの Solaris 管理者はねんのためチェックしたほうがよいと思う。 もしみつかったら JPCERT/CC に報告しよう。 SANS や NIPC への連絡はきっと JPCERT/CC がやってくれるに違いない。(^^)

　FreeBSD 3.3 以降に標準で同梱されている (しかし標準状態では使えない) ipfilter の利用方法についての文書。 ふむふむ、TTH で変換ですか……。

　2000.01.05 の vibackup.sh に追記した。 "" で囲むだけじゃぜんぜんだめじゃん。 やりなおし。

　bind 8 の ACL の設定のしかた。

　Microsoft Commercial Internet System (MCIS) 2.0/2.5 に弱点。 IMAP サービスに buffer overflow バグがあり、特殊なリクエストによりサービスが crash する。 リモートから攻撃コードを実行される恐れもある。

　日本語版 patch が出ている: x86, alpha。 適用しよう。

　きましたねえ、MacOS X。 "The system's kernel (中略) is based on Mach 3.0 from Carnegie-Mellon University and FreeBSD 3.2" とはっきり書いてあるし。 FreeBSD の PowerPC/Mach ports と解釈できるのかしら。 3.2 というのがちょい古いのだけど、リリース時にはもっとバージョン上がってるのかなあ。 とかいってる間に FreeBSD は 4.x 時代になっちゃいそうですが……。 いよいよ 4.0 が登場するようです。

　というわけで Mac ものなページを読んでみたりしていたのだが、MACWORLD Expo/SF基調講演速報にはこんな文章が: 「Mac OS Xに組み込まれた電子メールユーティリティは，添付書類を自動的に開いて表示する」。 そりゃまずいんじゃないの? アンチウィルス機能もついでに組み込んでおいてほしいよねえ。

　RedHat Linux もの 3 題。

• [RHBA-1999:063-02] Y2K compliant sharutils available

  Y2K fixed な sharutils 4.2.1 パッケージ。 GNU sharutils を使っている他 OS でも同様ですよ。

• [RHBA-1999:061-01] new libtiff, groff packages available

  Y2K fixed な groff 1.15 パッケージ。 GNU groff を使っている他 OS でも同様ですよ。 FreeBSD は古い groff にしこしこ patch あてて使ってるみたいですが。

• [RHSA-2000:001-04] New version of usermode fixes security bug

  L0pht Security Advisory: RH Linux 6.0/6.1, PAM and userhelper に基づく fix。 RedHat Linux 6.0/6.1 の pam および userhelper (usermode パッケージ) に弱点。パス名として /etc/security/console.apps/../../../tmp/myprog のように指定することによって、ファイルシステム中の全てのファイルを dlopen() することができる。userhelper は suid root であるので root 権限を得られる。 L0pht Security Advisory にはデモコードも付属している。

  2000.04.17 追記: TurboLinux 用 fix 登場。詳細は [TL-Security-Announce] PAM and usermode TLSA2000009-1 参照。

　CERT Advisory 2 題。いづれも分散 DoS もの。

• CERT Advisory CA-99-17 Denial-of-Service Tools

  新しい分散 DoS ツール Tribe FloodNet 2K (TFN2K) なんてものが出てきた、MacOS 9 ネタ。

• CERT Advisory CA-2000-01 Denial-of-Service Developments

  またまた新しい分散 DoS ツール Stacheldraht 登場。 詳細は http://staff.washington.edu/dittrich/misc/stacheldraht.analysis を参照。 なんか、止まらないなあ。

　Sun Security Bulletin 3 題。

• #00191: sadmind [ref: CERT CA-99-16]
  (December 29, 1999)

  Sun Solaris 2.5 以降で標準インストールされる (Solaris 2.3/2.4 では Solstice AdminSuite パッケージをインストールすると存在) sadmind にバッファオーバーフローする弱点。 remote user が root 権限を得られる。 patch が出ているので sadmin 利用者は適用する。

  1999.12.21 の Security Focus Newsletter #19 で触れている。

• #00192: CDE and OpenWindows [ref: CERT CA-99-11]
  (December 29, 1999)

  Solaris 1/2 に含まれる Common Desktop Environment (CDE) の ttsession, dtspcd, dtaction, ToolTalk shared library に弱点。 local/remote user が ttsession 権限を得られたり、 local user が root 権限を得られる。

  CERT CA-99-11 については 1999.09.16 に述べているが、これ用の patch が一新された、ということのようだ。 逆に言うと、以前のものは不完全だったのだろう。 過去の情報に基づいて適用済の場合も再適用されたい。 CA-99-11 添付のベンダー情報はまだ更新されていない。

• #00193: Distributed Denial-of-Service Tools [ref: CERT Advisory CA-2000-01]

  CERT CA-2000-01 についての Advisory。 rpc.statd, rpc.cmsd, tooltalk の問題を突かれるはずなので、 Sun security bulletins #00186 および #00188 を参照、としている。 上記 2 題も参照。

　War FTP Daemon の作者が、War FTP Daemon 1.70 に重大なセキュリティ問題 (詳細不明) がある旨警告している。 "I STRONGLY ADVICE ALL SERVER OPERATORS TO TAKE THE SERVER OFF-LINE UNTIL FURTHER NOTICE!" だそうなので、運用者はそのように対処しましょう。 前バージョン 1.6x については現在調査中で、もし問題があれば 1.6x 用の fix を 24 時間以内に用意するとしている。 1.70 の fix については数日かかるとしている。

2000.01.12 追記: http://war.jgaa.com/alert/ で概要説明と fix 版 1.67-3 / 1.71 の配布が開始されている。 杉山さん情報ありがとうございます。

2000.02.03追記: 1.6x 以前 (1.67-3 含む) においては、これとは別件で DoS 攻撃を受ける弱点があると、 牧野氏によって指摘されている。 MKD/CWD コマンドにおける境界チェックが不完全であるために DoS 攻撃が成立してしまう。ただしサーバ乗っ取りは不可能。 デモプログラムが添付されている。 この弱点は 1.67-4 で fix されている。

　2 つ fix 出てます。

• MSKK2000-02: "サーバー側参照リダイレクト" 脆弱性に対する日本語版修正プログラム
  (Wed, 05 Jan 2000 22:13:47 +0900)

  MS99-050: Patch Available for "Server-side Page Reference Redirect" Vulnerability の fix。 IE 4.01SP2 / IE 5 / IE 5.01 用あり。

• MSKK2000-03: Internet Explorer Schannel.dll に対する日本語版修正プログラム
  (Wed, 05 Jan 2000 22:17:58 +0900)

  これ、1999.12.20 の [IE51] 一部のセキュア サイトにアクセスできない場合について の件の fix だと思う。 IE 5.01 だけの問題で、IE 5.01 用 fix 出てます。

　MSIE 4/5 セキュリティ対応状況にも追記しておきました。

　1999.12.27 の Norton Email Protection Remote Overflow に追記した。 英語版では fix が登場。

　OpenBSD/FreeBSD/Debian GNU/Linux などに含まれる /etc/rc スクリプトの vi 一時ファイルからのリカバリー処理に bug があり、 空白込みのファイル名のファイルを作成しておくことにより、 boot 時に / にあるファイルを消去することができる。 FreeBSD の場合は消しちゃだめフラグがあるので /kernel は消せないが、/kernel.GENERIC とか /kernel.old は消せちゃいそう。

　fix はたとえばこんなのでいいような。

2000.01.06 追記: 上のじゃぜんぜんだめでした。すいません。 こがさんご指摘ありがとうございます。 で、すこし悩んでみたのですが、せっかく標準装備なんだし、 該当部分をこんな perl スクリプトで置きかえるのはどうでしょう。 って perl 得意じゃないからこれでいいのかいまいち不安なんだけど。

　あと、該当部分で

  cd /var/tmp/vi.recover
  ....リカバリー処理....
  cd /

と逃げても、とりあえず ok です。 こっちのがシンプルですね。 いちおう diff にしておきました。

　で、本家 FreeBSD さんですが、 for i in ${vibackup}; do みたいなところを for i in /var/tmp/vi.recover/vi.*; do にして対応するようです。 このタイプも diff にしておきました。 ……ああっと、以上の diff は全部 3.3-RELEASE 用だったりします。

2000.01.11 追記: Debian GNU/Linux も fix された。 [SECURITY] New version of nvi released を参照。 なお、FreeBSD ではすでに -current, RELENG_2_2, RELENG_3 に既報の内容で反映されています。

　このネタを書くと冷汗が出る……(^^;;;)。

　SecurityFocus.com Newsletter 第 22 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは……ほぼ全部だから解説つけちゃお。

1. MacOS 9 Open Transport ICMP Vulnerability

   各所で報道されている件ですね。

   • Appleが，Open Transportのセキュリティ用パッチ提供 (from MacWIRE, 1999.12月29日)

   • 混乱を引き起したアップルのセキュリティーフィックス (from CNet News, Fri 31 Dec 1999 10:05 PT)

   日本語 MacOS 9 用はまだないみたい。

2. aVirt Rover POP3 Server Buffer Overflow DoS Vulnerability

   よくある話。

3. CSM Mailserver HELO Buffer Overflow Vulnerability

   よくある話。

4. AltaVista Search Engine Directory Traversal Vulnerability

   '..' バグもの。 V2.3A 用の patch が出ている。 また回避策も公開されている。

5. Savant Web Server NULL Vulnerability

   よくある話 (かなあ)。

6. Mini-SQL w3-msql Buffer Overflow Vulnerabilities

   よくある話。

7. InterScan VirusWall Scan Evasion Vulnerability

   1999.12.29 の Trend Micro InterScan VirusWall SMTP bug の話。

8. IBM Network Station Manager Race Condition Vulnerability

   よくある話。 /tmp にはきをつけよう。 誰でも書けるんだから。

9. SCO Unixware pis/mkpis Symbolic Link Vulnerability

   よくある話。 /tmp にはきをつけよう。誰でも書けるんだから。

10. Majordomo Local resend Vulnerability

    1999.12.29 の majordomo local exploit の話。

11. Majordomo Local -C Parameter Vulnerability

    上のつづき。majordomo スクリプトにも弱点があった。 majordomo は -C で指定したファイルを require するため、 system("/bin/csh"); を含むスクリプトを指定することで wrapper 権限 (majordomo, root など) を得ることができてしまう。 ふつう -C なんて使わないはずなので、 該当個所をコメントアウトしてしまってもよいと思う。

12. Optivity NETarchitect PATH Vulnerability

    環境変数は悪意あるものに改竄されている場合があります。

13. CamShot GET Buffer Overflow Vulnerability

    よくある話。

14. AnalogX SimpleServer:WWW GET Buffer Overflow Vulnerability

    よくある話。

15. Netscape FastTrack Server GET Buffer Overflow Vulnerability

    FastTrack ってもうサポートされていなかったような。

16. IRIX midikeys/soundplayer Vulnerability

    IRIX って昔からこのテの弱点が多いような。

17. Ascend CascadeView tftpd Symbolic Link Vulnerability

    よくある話。 /tmp にはきをつけよう。誰でも書けるんだから。

　SecurityFocus.com Newsletter 第 21 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは:

  1. SCO Unixware i2odialogd Remote Buffer Overflow Vulnerability
  3. Solaris DMI Denial of Service Vulnerabilities
  6. SCO  LibX11/X11 Toolkit/Athena Widget Library Buffer Overflows Vulnerability
  10. RealServer 5.0 ramgen Denial of Service Vulnerability
  11. ZBSoft ZBServer GET Buffer Overflow Vulnerability

　1. は SFN 22 で patch 情報が出ている。

　DVD Copy Control Association は「恥の上塗り」という言葉を知らないようだ。