Last modified: Mon May 29 18:12:16 2017 +0900 (JST)
ZDNet の DDoS 記事の一覧。
Napster というソフトが net-abuse の原因になるという話。 なんだかなあ。
「当分の間、ホームページの運用は、月曜日から金曜日の午前9時から午後9時
」。これが日本の科学技術を統べる庁とは……。
なさけない。
FreeBSD 3.4R での、IPFW + NAT、 FWTK (FireWall Tool Kit)、 SOCKS5 の構築実例。
2000.02.24 の Bugzilla Bug 29079: file:///c|/con/con/con に追記した。 情報サイトいろいろ。
2000.02.15 の MySQL 3.22.32 released (fwd) に追記した。 FreeBSD ports での案内が出た。
DDoS ネタいくつか (記事組みなおしました)。
Distributed Denial of Service Attacks whitepaper
(from BUGTRAQ-JP, Tue, 22 Feb 2000 15:55:20 +0900)
DDoS 白書。 日本語版もある。 坂井さん紹介がおそくてすいません。_o_
Trinoo/Stacheldraht用nessusプラグイン
(from FWD fw-wizard ML, Mon, 28 Feb 2000 16:08:45 +0900)
Trinoo/Stacheldraht に対応した nessus プラグインが出た、という話。
FBI提供find_ddosツール
(from FWD fw-wizard ML, Mon, 28 Feb 2000 17:19:01 +0900)
FBI の find_ddos 試用レポート。
2000.02.15 の DDOS Attack Mitigation も参照。
ソフトウェアソースに対する弱点チェックツール ITS4 登場のおしらせ。 strcpy(buf, "\n"); などの弱点ありありコードの他、ファイルアクセスに対する競争状態 (race condition) もみつけて報告してくれるというふれこみです。
iPlanet Web Server, Enterprise Edition 4.1 for Linux に弱点。 2000 bytes 程度の引数を持つ GET リクエストを 700 回ほどくりかえすと、 "Out of memory for ***" でデーモンが落ちていき、ついには OS を再起動せざるを得なくなる。 Solaris 2.6J 上の iPlanet では発生しなかった、という。
MS Systems Management Server (SMS) 2.0 に弱点。 SMS 2.0 Remote Control がインストールされ enable されると、remote agent が存在するフォルダのパーミッションがデフォルトで Everyone Full Control (またか……) になってしまう。
英語版 fix は出たが日本語版はまだだ。
さっきまでおおそうじしてました。 おおそうじというと「マカロニほうれん荘」を思い出してしまう私……。
2000 年 2 月 29 日って明日ですよね? NT TSE SP4 管理者の方はご確認を。
Windows 9x の Wordpad に弱点。 Wordpad は、.doc あるいは .rtf ファイルに組み込まれた実行ファイルを確認なしに実行してしまう。 http://www.whitehats.com/guninski/wordpad1.html にデモファイルがある。 手元の Windows 98 日本語版でも再現できた。 まいったねえ。
DoS 攻撃に関する対策の指針。
全体として「今する必要はない」のはそれなりに理解できるのですが、 .htr バグとか RDS バグすら fix していない (できない) ようなサイトなら、そこだけ Windows 2000 Server に移行する理由としてはそれで十分のような気します。 ただし、もちろん新規インストールね。アップグレードはだめですよ。 あと、Port139 NT Security をよく読んで、fix patch とデフォルト設定変更をしましょう (Inetpub が依然としてあれらしいので、ACL をよく見てね)。 NT 4.0 に IIS をインストールすることを考えれば、めちゃくちゃ楽でしょ?
なんでまたこうじゃんじゃか出るんですかねえ。
1999.12.21 の Security Focus Newsletter #20 1999-12-13 -> 1999-12-19 に追記した。 NT Syskey バグの fix が登場。
2000.01.19 の MS00-003: Patch Available for "Spoofed LPC Port Request" Vulnerability に追記した。 日本語 patch が登場。
internet-draft が出てたりするということだろうか。
「定説」の正しい理解を求める記事で「狙われるのはセキュリティの弱いサーバー。そうしたサーバーを探し回るポート・スキャンという攻撃が日常化しているからだ
」はちょっとまずいような……。
port scan は vulnerability scan (弱点スキャン)
では必ずしもないと思うのだけど……。
Port139 B-) の独り言 に BlackICE Defender 製品版プレゼントキャンペーンの話がでてますね。
Windows NT 4.0/2000 Server 上の Microsoft Windows Media Services 4.0 および 4.1 に弱点。Media Player と Media Service との間の通信の確立は非同期で行われるが、Media Player から Media Service へのハンドシェークパケットが、特定のタイミングでかつ特定の狂った順番で送られると、サーバは初期化が完了するまえにリソースを使い切ってしまって初期化に失敗、crash してしまうという。
英語版 patch は出ているが日本語版はまだだ。 また、Media Service 4.0 用 patch はない。Media Service 4.0 利用者は、まず Media Service 4.1 へ upgrade した後に patch を適用する。 日本語版 Media Service 4.1 for NT 4.0 はすでに配布されている。
2000.03.14 追記: 日本語版 patch が登場。 NT 4.0 用, Windows 2000 用が用意されている。 時差は 3 週間程ですね。 なんとか 2 週間にならないものか……。
MSIE 4.01, 5.0, 5.01 に裏口 (?!)。 「署名済み Active X コントロールのダウンロード」で「ダイアログを表示する」と設定していた場合、ふつうの会社の署名が入った Active X コントロールをダウンロードする場合は実行前に警告ダイアログが出るのに、 マイクロソフトの署名が入った Active X コントロールをダウンロードする場合は何の警告もなしにいきなり実行されてしまう、という指摘。 デモページが用意されている。 手元の Windows NT 4.0 SP6 Server + IE 5.01 でも確認できた。 嘘はいかんですよねえ嘘は。
とりあえずの対応方法としては、「署名済み Active X コントロールのダウンロード」を無効にする。
関連記事:
『アクティブX』に新たなセキュリティーホール
(from WIRED NEWS, 2000.2月23日 3:00am PST)
BUGTRAQ の記事: Microsoft signed software can be install software without prompting users と Active Setup control 自体の停止方法。 MS signed softwrare privileges と Microsoft の reply。
2000.07.13 追記: MS から Bulletin が出ている。 MS00-042: Patch Available for "Active Setup Download" Vulnerability。 日本語 patch はまだ。
InterAccess TelnetD Server 4.0 の build 7 までの全 build において、buffer overflow に基づく DoS 攻撃が可能だという指摘。 これに対し、最新の版で fix したとフォローされている。 Get the latest version of InterAccess TelnetD Product にある February 24, 2000 版の build 7 がその最新版であろう。
<A HREF="file:///c|/con/con/con">hoge</A> という link をクリックすると、Windows 98 が crash するという指摘。 手元で試したところ、<A HREF="file:///c|/con/con"> ですでに crash する。 Windows 98 + IE 5.01、Windows 95 SP1 + Netscape Communicator 4.51 (古いなあ) で再現し、Windows NT 4.0 SP6a Server + IE 5.01 では再現しない。 Windows 9x 自体の問題のような気がしますが、さて……。
mozilla zine Daily Japanese Translation 日本版BBS では cd c:\con\con\con で Windows 98 が落ちたという話があるが、 手元の Windows 98 では再現しない (MS-DOS プロンプトが無反応にはなるけど)。 cd \con\con\con では MS-DOS プロンプトが即座に crash したが、 Windows 98 自体は無事だった。 Windows 98 + NeoPlanet 5.1 でも OS crash するという情報を学内 ML から得た。 またメーラー Becky! や Webページ作成ソフト Macromedia Dreamweaver 3J でも Windows 98 が crash するという情報を得た。 うーむ。やはり OS 自体の問題か。
応用編としては、たとえば
<IMG src="file:///c|/con/con/con"> が含まれた ページをアクセスすると……とか、
<IMG src="file:///c|/con/con/con"> が含まれた HTML メールを見ると……とか、
Word ファイルに画像ファイルなどを埋め込む際に「ファイルにリンク」が使えるが、リンクパスを c:\con\con\con に変更してしまうと……とか (RTF 形式だととってもかんたんにできてしまう!)
が考えられる。これはかなり強烈な DoS attack だ。
無津呂さん、池本さん、まりんさん情報ありがとうございました。
2000.02.29 追記: その後も情報が出てきている。
Windows 9x VFAT DoS (from BUGTRAQ-JP)
D Layer さんによる解説。 fix が出るのにまた 3 か月とかかかるんですかねえ。
Hideki Ikemoto さんのページ。 情報がわかりやすくまとまっていて助かります。
BBS もできました。 Windows95/98のconconバグについての BBS
やばいページかどうかチェックする conconチェッカー。 現在は ver.1.5。
Windows 95/98を簡単に落とす“CONCON問題” (from ZDNet News)
2000.03.02 追記: 株式会社テクノクラフトによる「conconバグ回避プログラム」が登場しています。 http://www.a2001.com/ から入手できます。 現在バージョン 0.1 で、まだ完全に防げるわけではない状態ですが、なにもしないよりは遥かにマシです。 速攻でインストールし、結果を http://www.a2001.com/ 内のツール掲示板に書きましょう。
2000.03.03 追記: 上記「conconバグ回避プログラム」が0.1a版になっています。 http://www.a2001.com/ から入手できます。 いくつかの不具合が解消されているので、入れかえましょう。 なお、まだいくつか不具合が残っているようです。 でも入れないためになくならない不具合よりははるかにマシ。
2000.03.06 追記: 上記「conconバグ回避プログラム」(decon) が0.1a2版になっています。 対応文字の追加、IE での異常終了に対応。 また、Windows 9x/NT 用の web サーバソフト AN HTTPD 1.26 でも独自に concon 問題への対応がされています。 Windows 9x で web サーバを上げる場合、 MS からの正式 fix の目処がたたない現状では、PWS などは使わず、 decon + AN HTTPD とするのが最良だと思います。 Windows 2000 とか Linux とか *BSD とかに移行するのも吉ですけど、 できる状況ならとっくにやってますよね……。
うぇぶぶらうざうおっちさんを見てみたら、 Beckey! 1.26.01 以降でも対応 (1.26.02 で対応が改良されている) そうです。
2000.03.07 追記: PacketStorm では 03.03 あたりからこの話が取りあげられていますね。 でも日本のサイトのほうが詳細な情報があるので、読まなくていいです。
中村正三郎のホットコーナーで、ユーザ名に con と入れると落ちるという話が出てます。 もうなにをか言わんや。
2000.03.08 追記: ユーザ名 con の復旧はかなり手間のようです。 簡単に修復できないという点では、これがいちばん強烈か? 以下に実例を紹介。武田さん情報ありがとうございます。
(1) ユーザ名 con でログオンしようとする。
(2) 「新しいユーザさんですね、♪イラッシャ〜イ」と歓迎され、
ごそごそとなにやらデータを作ってくれて、無事にログオン。
(3) ログオフしてみたら、その場で沈黙……… (^^;
(4) Ctrl + Alt + Delete とすると、タスクマネージャには、
「 Mprexe [応答なし] 」というメッセージが出ている。
(5) 強制終了させるも、再び沈黙………。
(6) しょうがないなぁと笑いながら、リセットボタンを「ポチっとな」。
(7) しかし、ログオンウィンドウが出てこない…… (汗)
(8) Ctrl + Alt + Delete とすると、タスクマネージャが、
またまた「 Mprexe [応答なし] 」と、言ってくる。
(9) 強制終了させるも、再び沈黙………。
(10) しょうがないので、再びリセットボタンを「ポチっとな」。
(11) しかし、むなしく (7) に戻る (汗×5)
(12) Safe モードで起動。
(13) レジストリエディタで、con ユーザのデータをゴッソリ削除。
(14) 再起動。
(15) しかし、またまた (7) に戻る (汗×10)
(16) Safe モードで起動。
(17) 「 Windows は、前回ログオンしたユーザを覚えているから、
そこのデータも消さないといけないのかも…」と思い、
再び、レジストリエディタを起動。
(18) 検索で、「 con 」(完全一致のみ) を用いて、探し当てる。
Logon ユーザを、安全なユーザ「 takeda 」に変更。
(19) 再起動。
(20) 無事に立ち上げる (ほ)
試される場合は覚悟の上 (^^;) でどうぞ。
また、Lynx for win32 開発版日本語対応版 2.8.3jdev21 でも独自に concon 問題に対応されています。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev21.zip から入手できます。 千秋@産業短大さん情報ありがとうございます。 ただ、lynx には現在長い URL で buffer overflow する問題 (Security Focus Newsletter #31 内で言及) が指摘されているのがあれですが……。
2000.03.08 再追記: 上記 buffer overflow が fix された 2.8.3jdev21a が早くも登場。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev21a.zip から入手できます。 この素早さがすばらしいです。 千秋@産業短大さん fix ありがとうございます。
2000.03.09 追記: Windows 9x マシンのネットワーク共有フォルダに対して、 echo > \\AAAA\BBBB\con\con とか echo < \\AAAA\BBBB\con\con とかすると、 公開元マシン AAAA は decon を入れていても落ちるそうです。 蛭子屋さん情報ありがとうございます。
Windows95/98のconconバグについての BBS には、concon なタグが置いてある site の情報なども出てますね。 うーみゅ。
2000.03.10 追記: 「conconバグ回避プログラム」が 0.1a Beta3 版になっています。 http://www.a2001.com/ から入手できます。
2000.03.10 再追記:
関連記事が出てます:
「Windowsのバグでウェブ電子メールに問題 」(from CNet News, Thu 9 Mar 2000 13:00 PT)。
しかし、驚くほどゆがんだ内容ですね。
「パッチが完成するまでは、憶えのないファイルを開くときには注意すること、セキュリティーの設定を最高レベルに維持しておくことを、ユーザーに勧めている
」なんてことでは全く対処できない問題なのに。
こんなことでだいじょうぶなのかマイクロソフト。
2000.03.13 追記: 千秋@産業短大さんによる lynx for win32 日本語版が 2.8.3dev22 ベースになりました。 http://www.shonai-cit.ac.jp/eci/senshu/lynx283jdev22.zip から入手できます。 concon 問題への対応も強化されているそうです。
BUGTRAQ にも情報のまとめが投稿されてました。 しかし、
Microsoft has also been aware about the problem for a long while. As it was pointed out earlier in the thread this problem was reported last year to the list. Microsoft did not feel the problem was important enough to bother users with a security fix.
というのは……。
2000.03.14 追記:
関連記事:
「Windows 95/98の「欠陥」に対処する修正を準備するマイクロソフト」(from PCWEEK Online Japan, 2000.03.10)。
これほど簡単確実な DoS に対して「重要な問題だとはみなされなかった。
セキュリティの問題ではなく,迷惑なものに過ぎない
」
という判断を下すとは、言語道断である。
マイクロソフトのセキュリティチームは判断能力ゼロか?
ニィガタケンケィ幹部の判断とダブるところあるなあ。
conconバグ回避プログラム decon が 0.2beta2 になってますね。
2000.03.17 追記: ようやく本家 Microsoft から Advisory と fix が出た。 MS00-017: Patch Available for "DOS Device in Path Name" Vulnerability だ。 でももちろん英語版だけ。 日本語版の登場予定はあと 3 か月くらいでしょうか……。
あと、ZDNet News から関連記事が: マイクロソフト,CONCON問題対策のパッチを今週中に提供。 Becky! と Lynx for win32 への link がないのはどうしてなのかな。 MSKK から日本語版対応 patch が 1 week 以内に出る、といいな。
2000.03.17 再追記: NT 上で com1.1, com1.2, ... というファイルをつくると消せなくなっちゃうと指摘されている。 手元で確認したが、確かに消せない……というか、コマンドプロンプトで dir しても ls しても見えない。ls は 3 種類 (リソキ、cygwin、SFU) 試したけど、どれでも見えない。 samba など UNIX ベースの CIFS なら UNIX 側から消すことができるが、 NT の file share だと永遠に消せないような……。
2000.03.27 追記: Win セキュリティ虎の穴の 2000/03/24 に「英語版用パッチが日本語版にも適用可能」と報告されていた。もちろんこれは保証外なので、試される場合は at your own risk でどうぞ。 私はとりあえず decon です。
あと、上の NT 上で com1.1, com1.2, ... というファイルをつくると消せなくなっちゃう話なのですが、どうも、そういう名前のファイルをつくっているわけではなく、本当に com1 デバイスに copy しているような気がしてきました。 バカでかいファイルを com1.1, com1.2, ... に copy しても disk full にならない (いくらでも copy できる) し、copy foo com2.1 すると「指定されたファイルが見つかりません」なんて言われるし。 森田@SOSさんから削除方法をご教示いただいたのですが、その方法では削除できなかったし。 NT Server 4.0 SP6a でのテスト結果です。
2000.03.30 追記: ついに日本語 patch が登場。 詳細については J052792, W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生 を参照。
2000.04.14 追記:
日本語 KB J052792,
W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生
が改訂されている。
「注意:この情報は PC/AT互換機用です。PC-9800シリーズ用の修正モジュールについてはもうしばらくお待ちください
」って、前はなかったですよね?
2000.07.23 追記: 日本語 KB J052792, W98:パスに複数回 MS-DOS デバイス名を含むと致命的な例外 OE 発生 が改訂され、ついに PC98x1 用 fix が追加された。
2002.02.13 追記:
2000.02.22 の The Shadow Penguin Security 再構築中 で触れている IMPRESS の記事への、back section としての公式反論。 まずはご一読を。 The Shadow Penguin Security も着々と再構築中のようで、本当によかった (ポリアンナ)。 カッコイイんだこれがまた。
おお、back section トップページには DEFCON JAPAN の画像が……。こ、これは……わくわく。
おぉ、2.6.0 になってます。 関係者のみなさん、ありがとうございます。_o_
% ftp ftp.mesh.ne.jp Connected to meshsv05.tk.mesh.ad.jp. 220 ftp.mesh.ne.jp FTP server (Version wu-2.6.0(2) Wed Feb 23 22:33:06 JST 2000) ready.
MacInTouch Security Resources というのができたそうです。MacOS X な時代になると、いろいろさわがしくなるんでしょうね。
昨日 MS99-046: Patch Available to Improve TCP Initial Sequence Number Randomness の日本語 fix を紹介したけど、本日発売の Windows NT World 2000.04 (これも Windows 2000 World になっちゃうのね) の塩月さんの記事がちょうどこれを含む話題をあつかってますね。 いつものように、すごくわかりやすい記事です。 この記事だけでも 1280 円出す価値あるよね。
2000.02.22 の The Shadow Penguin Security 再構築中 に追記した。 その後の UNYUN 氏などによるフォローアップ等を総合して追記。
そりゃあ「ええ、やってました」とは言わんわな。 三沢の「象の檻」は一回見てみたいとは思っているのですが……って、ふつうの人が見れるものなのかな。
あいかわらず続いているようです。
DDoS ツールの 1 つ Trinoo の新バージョン登場という話題。 Windows プラットホームで動作する。 e-mail の添付ファイルとしてやってくる、という。 あたまがいたいなあ。
なんだかな題名だなあと思ったら、原文自体が New hacker software could spread by email だった。
Microsoft IIS 4 の SMTP サーバ機能に弱点。 \mailroot\pickup ディレクトリ (c:\inetpub\mailroot\pickup など) に GGBLGCINFFYRFQWEUDVXLFEBKITFRUSXZHRSWCZOVFPYWRHLLLNGCGUCBJLMIUCYQIJTHJQVGNHZNYXMrad38A88.tmp.eml などのような 86 文字以上の名前 + .txt.eml という名前のファイルを設置すると、Inetinfo.exe (IIS 実行ファイル) が crash するという指摘。 デモ用の VB スクリプトが付属している。 手元の NT 4.0 Server SP6a + IIS 4.0 + 出てる patch 全部、で再現できることを確認した。
詳細は、Macintosh トラブルニュース の 2000/02/21 付け記事「Sherlock プラグインでのメールアドレス漏洩の可能性」に詳しいので、そちらをご覧いただきたい。
うーんしかし、anonymous FTP パスワードに e-mail address を入力するのはマナーだと考えている派の一人としてはなあ……。
CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests に対応するドキュメント。ColdFusion 管理者は一読を。
(The current public release is 2.43)
となっているが、この後 2.44 版 (2.44-final) が
http://www.mmdf.org
からリリースされている。
SCO っていまだに MMDF なんですか?
SecurityFocus.com Newsletter 第 29 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。
Microsoft FrontPage PWS Directory Traversal Vulnerability
似たような話が 1999.01.21 の Microsoft Personal Web Server にあるのですが、このときは NT はだいじょうぶという話でした。
時は移って、NT 4.0 SP6a の [NT]Windows NT 4.0 Service Pack 6a 修正一覧 に W98:パーソナル Web サーバー利用時のセキュリティ問題について が含まれているのはなんでかなと思っているのですが、 いまだによくわかりません。
Nameserver Traffic Amplification and NS Route Discovery Vulnerability
2000.02.18 の TESO - Nameserver traffic amplify and NS route discovery の話。
Multiple Vendor SNMP World Writeable Community Vulnerability
書き込めるのは、まずいですよね。
2000.02.18 の NetBSD Security Advisory 2000-001: procfs security hole の話。 Advisory は update されている。 どこが変ったかは diff を参照。
SCO Unixware ARCserver /tmp symlink Vulnerability
またまた一時ファイル攻撃を受ける (というか誘発するというか) ソフトが。
Microsoft Windows 2000 Install Unprotected ADMIN$ Share Vulnerability
管理者パスワードの設定が再起動するまで有効にならないなんて……。
Ultimate Bulletin Board Arbitrary Command Execution Vulnerability
これ使ってる人います?
Microsoft Windows autorun.inf Vulnerability
Windows の autorun は、 実は固定ディスクやネットワークドライブに対しても使えてしまうという指摘。 これを制限するためのレジストリ設定も記載されている。
2000.02.23 の ソフトバンク子会社にウイルスを「送ってしまった」少年を逮捕 に追記した。 不正アクセス対策法で、は無理なんじゃないの? という話。
がーん、(新) www.st 止ってました。さきほど再起動。 非力な機械なのでいぢめないでね。 さきほど、リプレースマシンを置く場所をつくってました。
ChangeLog さんお休み延長だったのですか……。
guard3.dll 1.02 版が出てます。IIS 管理者は速攻で入れかえましょう。
NT 4.0 patch 出てます。
MS99-055: Patch Available for "Malformed Resource Enumeration Argument" Vulnerability の日本語版 patch
1999.11.03 の Security Focus Newsletter #13 1999-10-24->1999-11-01 で触れられている NT Services Denial of Service の fix 。
MS99-046: Patch Available to Improve TCP Initial Sequence Number Randomness の日本語版 patch
1999.08.27 から延々とつづく NT Predictable Initial TCP Sequence numbers - changes observed with SP4 の話。 英語版は SP4/5 用も出たけど、日本語版はいまのところ SP6a 用だけみたい。
LPC Port Spoofing ってのが MS00-008 なのかなあ。 ……って、これは MS00-003 じゃん。だめだ、ボケてる。
2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java' に追記した。 Windows 2000 での状況を追加。
DDoS ものネタをいくつか。link only。
「アクセス攻撃」撃退ソフト 相手のマシンに「中止」を命令
(from インターネット事件を追う, 2000.02.21)
サイト攻撃から身を守るためのソリューション各種
(from ZDNet News, 2000.2.22)
2000.02.21 の MS00-010: Patch Available for "Site Wizard Input Validation" Vulnerability に追記した。 日本語版 patch が出た。
2000.01.12 の IE 5 security vulnerablity - circumventing Cross-frame security policy and accessing the DOM of "old" documents. に追記した。 ようやく日本語 patch が出た。
2000.02.02 の MS00-006: Patch Available for "Malformed Hit-Highlighting Argument" Vulnerability に追記した。 やっとこさ Windows 2000 日本語版用の修正プログラムが登場。
「威力業務妨害未遂」というのは存在しないんだろうな。 今なら不正アクセス対策法で、なんだろうけど。
2000.02.24 追記: 今起ったとしても、やっぱり威力業務妨害か計算機損壊等業務妨害しか適用できないのではないか、という意見を伊波さんからいただきました。 そう言われてみるとたしかにそうなのですが、 「ウィルス」の中身が、たとえば BackOrifice 2000 を植え付けるようなものであれば、
アクセス制御機能を有する特定電子計算機等に電気通信回線を通じて他人の識別符号等を入力して作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為
である不正アクセスとして (も) 取りあつかえるような気がします。 ちょっと苦しいですが (^^;)。 伊波さん情報ありがとうございました。
略しすぎでなんだかさっぱりわからない。 zdnet.com をうろついてみたのですが、もと記事をみつけられませんでした。 Le Monde には Echelon ネタがいっぱいあるので、これも Echelon ネタな記事なんじゃないかなあという気はするのですが。
英語にも不自由しているしまつなので、フランス語はわからんです。
この「調査」、ほんとうにアテになるデータなの?
ISP に細かいことまでやれというのは、一般には無理だと思うけどなあ。 もちろんサービス料金別払いというのはありだと思うけど。 それよりは、自社が管理してない source address なパケットが内側から来たら落すとか、 大きなレベルでの対応を望みたいような。
○不正アクセス手法検証システムの整備(平成12年度予定)
ハイテク犯罪捜査の迅速化に資するため、ハッカー等が相互に交換する技術情報、各ベンダーが発表するセキュリティ・ホール等の技術情報等、不正アクセス手法関連の情報を収集し、あらかじめその真偽を検証するためのシステムを整備する。
当該システムによる検証作業においては、民間の技術者とも積極的に情報交換を行い、官民の交流を推進する。
は、ぜひ成果を公開してほしいです。期待してます。
これは、DDoS それ自体を検出するわけでは全くないので注意されたい。
ところで、NAV が稼働する OS で TFN2K, Trinoo, stacheldraht とかって動きましたっけ? というか、Solaris 2 とか Linux とかで NAV って使えましたっけ? Norton AntiVirus for Solaris Gateways とかで使えるよ、ってことかなあ。
そんなことより、1999.12.27 の Norton Email Protection Remote Overflow を直してほしいです。
mesh.ne.jp さん、こんなバージョン使っていていいんですか? 独自に security fix されてるのかもしれませんが、Y2K もあるんですけど (実際困ってます)。
% ftp ftp.mesh.ne.jp Connected to meshsv05.tk.mesh.ad.jp. 220 meshsv05 FTP server (Version wu-2.4(9) Thu Aug 10 19:07:54 JST 1995) ready.
www.st.ryukoku.ac.jp を動かしている機械の入れかえをしました (ただいま DNS に反映中)。 1 か月以内にまた入れかえると思います。
Port139 伊原さんによる、Windows 2000 の「最低限必要と考えられる
」設定項目。B-) の独り言
のページも参照。InetPub 以下のアクセス権に注意。
2000.02.15 の Debian GNU/Linux GNU make fix に追記した。 Debian からの正式な案内が出た。
FreeBSD ports ネタ 2 点。OS 本体の問題ではない。
FreeBSD-SA-00:03 Asmon/Ascpu ports fail to drop privileges
これは 1999.12.27 の Wmmon under FreeBSD の話だ。 fix package を入れるか、ports を新しくして自分でつくる。 ports を新しくするのに使う portcheckout なんてコマンドがあるのね。
FreeBSD-SA-00:04 Delegate port contains numerous buffer overflows
2000-02-02 より前の ports の delegate に buffer overflow する弱点がある、というアナウンス。 delegate ports の Makefile は http://www.jp.freebsd.org/cgi/cvsweb.cgi/ports/net/delegate/Makefile で読める (他も同様)。 これは 1999.11.16 の Delegate 5.9.x - 6.0.x remote exploit (possibly others) の話だと思う。 これはとっくに fix されている (ports の動きが遅いだけ)。 ports を使わなくても、 配布元から最新アーカイブを get して make すればそれで ok なはず。 もう 5.x シリーズは保守されないはずなので、(まだ alpha となっているけど) 6.x シリースの最新版を使うのがおすすめ。
ふむふむ……FreeBSD 4.0 には jail(8) (nroff -man|col -b したもの)
なんてものがあるんだ。
Note that this is different from a traditional
chroot(8), since it does not just attempt to isolate processes inside
portions of the filesystem
ですって。
これは 4.x 移行への大きなアドバンテージだなあ。
そもそも『自動的にdownload.exeというソフトがダウンロード&インストールされる
』のがまずいと思うのだけど……。
そういうのを許可しちゃいかんでしょう。
『Finjan Softwareのようにこのソフトを「ワームと同じ」と非難するベンダーもあらわれた
』……トロイの木馬の方がイメージとしては近いような。
すばらしいです。 さきほど fw-policy (セキュリティポリシーについての情報交換 ML) にも subscribe させていただきました。
潜在的な「頼れるCIO」は少なくないと思うのだけど、なにしろここはニッポンなので、能力のある人には権限がなかったり、ボンクラ経営者にツブされたり、という話が多いんじゃないかという気がする。
まあ、今回程度の話で全体を見直しているようなところは、それこそがダメな証拠なんですけどね。 ……いや、経営者にカネを出させるいい機会ではあるので、「頼れるCIO」ならここぞとばかり働きかけをしているか?
極めて良質のセキュリティ情報を提供してくれていた The Shadow Penguin Security がリニューアルのため閉鎖中です。 INTERNET Watch は The Shadow Penguin Security や UGTOP を「アンダーグラウンド・サイト」と言っているけど、 実際問題これらはアングラなんかじゃない (十分オモテ) だと思うんですけどねえ。 アングラっていうのは、23:00 からしか上がらない、ドメイン名もないようなサイトのことだと思っていたのですが、違うのかしら。
The Shadow Penguin Security のコンテンツがまずくて Security Focus や PacketStorm が ok (or、これらがアングラでない) っていうのはどう考えてもヘン (後者は特に……ねえ)。 「臭いものにフタ」して世界が安全になるわけではないことは、すでにさんざん明らかになっているはずなのに。 日本語サイトつぶせば済む話じゃないってことがマスメディア連中にはわからないのかねえ。
INTERNET Watch 古川さん、自分にメディアとしての自覚があるのなら、もうちょっと考えて記事を書いて下さい。 あなたは、The Shadow Penguin Security や UGTOP が閉鎖されれば世界が安全になるとお思いなんですか? あとでメールでも出すか……。
そもそも、どういった経緯でこういう事態になっているのでしょう。 マスメディア連中が焚きつけた?
2000.02.24 追記: BUGTRAQ での k00L 氏、UNYUN 氏によるフォローアップ、および個別メールでいただいた情報を総合すると、次のようだったようです。
どこかから圧力がかかったということはないようです。
今回の動きは、不正アクセス禁止法で禁止されている助長行為として web コンテンツ/リンクなどが扱われる「可能性が 0 ではない」ことからのものであるようです。 ただ、この助長行為は
(不正アクセス行為を助長する行為の禁止)
第四条 何人も、アクセス制御機能に係る他人の識別符号を、 その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、 又はこれを知っている者の求めに応じて、 当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。 ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、 この限りでない。
とあるように「識別符号」に限った話なので、 ちょっと考えすぎなんじゃないかという気がします。 もちろん警察が拡大解釈する可能性は 0 ではありませんが……。
2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java' に再追記した。 なんと、追記した fix は指摘された問題へのものではなかった (!!!)。 ただし、指摘された問題への fix も含まれている。 ややこしい。 おまけに問題についての深刻さの説明が不足しているのだ。
MS Site Server 3.0 Commerce Edition に弱点。 2 つのサンプル web サイト、および wizards のひとつから生成されるコードにおいて、入力値の 1 つである認証番号を検査せずにデータベースクエリーに入力してしまっていた。 英語版 fix は出たが日本語版はまだだ。
2000.02.23 追記: 日本語版 patch が出た。 http://www.microsoft.com/downloads/Release.asp?ReleaseID=18767 から入手できる。
2000.02.01 の Warning: Yet Another Security Hole of `Microsoft VM for Java' に追記した。 fix が登場。
このインタビューの「AJ (Adobe-Japan) 1-4 の15,000字だけでなく, X0213の文字もくわえていきたいですし」という発言はなかなか興味深い。
2000.01.19 の 米国の暗号輸出規制緩和をRSAなどが歓迎 に追記した。 Windows 2000 の High Encryption Pack の web ダウンロードを追記。 02.15 で述べているのは Windows 2000 じゃなく IE の High Encryption Pack なので注意。
2000.02.18 の DNScache 日本語ページ に追記した。 バージョン番号の間違いを修正、publicfile の link 先を日本語ページに。
出てますねえ Windows 2000。間に合いでしたねえ
Indexing Service バグ日本語版 fix。
「シングルバイナリー」になってもこういう状況なんですか……がっくし。
「Windows 2000 セットアップに関するご注意」
(Netscape Communicator ではうまく見れない……)
に至っては記述すらされてないしなあ。
日経 BizIT の「バグがソロゾロ Win 2000--セキュリティ・ホールも!」
には「対応モジュールはすでに用意さていてダウンロードできる
」と書いてあるけど、どこからダウンロードできるかご存知の方いらっしゃいますか?
KB にはあいかわらず「開発中」と書いてあるんですが……。
Windows Update 経由とかで get できるのかなあ。
「このページは、JavaScript/CSS対応ブラウザのみに対応しています」というセリフは、MSIE の既知の JavaScript バグを全部 fix してから言ってほしいです。
DNScache についてはすでに 2000.01.19 に紹介していますが、DNScache 日本語ページ が整備されたとの情報をいただきましたので、あらためて紹介しておきます。
DNScache は qmail で有名な D. J. Bernstein さん作の DNS クライアント/サーバです。 最新は 0.82 版だそうです。 日本語で議論できるメーリングリストもできたそうです (subscribe 方法についてはDNScache 日本語ページを参照してください)。 DNScache 日本語ページに掲載されている「The 200 trusted .com servers」もたいへん興味深い話です。
DNScache の登場で、
DNS (DNScache)
mail (qmail)
WWW, ftp (publicfile)
と主要インターネットサービス全てを DJB 印ソフトウェアで固めることができます。
前野さん情報ありがとうございます。
2000.02.20 追記: バージョン番号の間違いを修正 (0.8.2 → 0.82) しました。 publicfile の link 先を publicfile 日本語ページにしました。 前野さん情報ありがとうございます。
外部への DNS クエリーをトラフィック増幅器として利用することが可能である、という指摘。デモプログラムが添付されている。 対策としては、たとえば bind を使っているなら bind を正しく (abuse されないよう) 設定する。 具体的には allow-query とか recursion no とかを設定する……んだと思います。
NetBSD もの 2 題。
NetBSD Security Advisory 2000-001: procfs security hole
(Wed, 16 Feb 2000 05:59:08 +0900)
2000.01.28 の *BSD procfs vulnerability の話、だと思う。 ftp://ftp.NetBSD.ORG/pub/NetBSD/misc/security/patches/20000130-procfs に NetBSD 1.4.1 用の patch がある。 また、20000126 より新しい NetBSD-current で fix されている。
2000.02.24 追記: Advisory が update されている。 どこが変ったかは diff を参照。
NetBSD Security Advisory 1999-012: ptrace(2)'d processes can gain "kernel" privileges on vax.
(Wed, 16 Feb 2000 05:58:57 +0900)
VAX 上の NetBSD において、ptrace(2) を使われているプロセスが kernel 権限を得ることができてしまう。 他のプラットホーム上ではこの問題は発生しない。 NetBSD 1.4.1 用の patch が添付されている。
TurboLinux もの 2 題。
TLSA2000001-01: gdm-2.0beta4-12 and earlier
(Fri, 18 Feb 2000 10:33:06 +0900)
Gdmlogin が表示するエラーメッセージが冗長すぎるために、 エラーメッセージからユーザが存在するか否か、ユーザが root 権限を持つか否かを知ることができてしまう。 fix package をインストール後 gdm を restart する。
TLSA2000002-01: make-3.77-44 and earlier
(Fri, 18 Feb 2000 10:46:59 +0900)
Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 や Debian GNU/Linux GNU make fix と同じ話。
HP もの 2 題。
HPSBUX0001-110: Security Vulnerability with PMTU strategy (revised)
(Mon, 14 Feb 2000 21:30:25 +0900)
Security Focus Newsletter #26 2000-01-24 -> 2000-01-30 で述べられている 5. HP Path MTU Discovery DoS Vulnerability の改訂版。
HPSBUX0002-111: Sec. Vulnerability with Ignite on Trusted systems
(Thu, 17 Feb 2000 21:37:23 +0900)
HP-9000 Series700/800 上の HP-UX 11.X に弱点。 通常 trusted system においては、/etc/passwd ファイルのパスワードフィールドは全て * になっているが、Ignite-UX (って何? backup software?) で trusted system のシステムイメージをつくると、/etc/passwd が保存されないために、イメージから restore するとパスワードフィールドが空白になっちゃう……ということかなあ。 いまいちわかんない。
2000.01.12 の IE 5 security vulnerablity - circumventing Cross-frame security policy and accessing the DOM of "old" documents に追記した。 MS から Security Bulletin が出た。
別名「51 番目の州」の政府はあいかわらず反応が鈍いようですねえ。 自国企業も標的にされているらしいというのに。
Port139 で
Windows 2000 のセキュリティ機能についてのアンケートが行われています。
「景品などはありません
」とされていますが、アンケート結果に基づいて素敵なコンテンツが充実されると思いますので、Windows 2000
とつきあう予定のある方はぜひどうぞ。
その他にも、NT Security
のページには最近多数のコンテンツが上げられれているので、ぜひご一読を。
ZDNet さん、index 見えちゃう (画像) んですけど、いいんでしょうか。
Think Different 映画監督シリーズ、なんで D. W. グリフィスが入ってないの?
他には
http://210.164.105.155/ (株式会社ジャパンブリッジ)
http://210.164.95.99/ (有限会社ラッド)
もやられているようです (from School-Tech ML)。
TurboLinux のセキュリティ関連メーリングリスト登場。 日本語で議論できるものもほしいなあ。
Windows 2000 に 63000 個バグがあるなんて話もありますが、 そう言われてみれば、これとか、すでに「βバージョンなので……」という記述がない KB が出てますね。
そうか、保険屋が儲かるのか……。
「ハイレベルのDNSサーバ」って、どこ?
2000.02.15 の DDOS Attack Mitigation に追記した。 関連記事を追記。
Windows 2000 製品版の Readme ファイルが公開されてますね。
2000.02.15 の Debian GNU/Linux GNU make fix に追記した。 SRA の曽田さんからフォローをいただいたので追記。
Netscape Communicator につづいて MSIE でも 128bit 暗号が使えるようになりつつあるので、入れかえましょう。 Fortify でもいいんだけど、MSIE には対応してないんだよね。
話題の分散 DoS (DDoS, distributed denial of service) 攻撃についてのまとめ。 追記も参照。 このうち、
Cisco IOS などで利用できるトラフィック制限については、 Certworks Project 松本氏が JANOG ML に具体例を投稿 (アクセス制限あり: JANOG ML 参加者のみ閲覧可能) されている。
Microsoft が Security Considerations for Network Attacks という文書を出していると フォローされている。
これと関連して、 Dragos Ruiu 氏による文書 A DDOS proposal を柳岡@ラック氏が翻訳されている。 また、DoS 攻撃の逆探知を行う方法についての論文 Practical Network Support for IP Traceback が発表されたと JANOG ML で紹介 (アクセス制限あり: JANOG ML 参加者のみ閲覧可能) されている。
TFN2K と Stacheldraht については、ISS からも Denial of Service Attack using the TFN2K and Stacheldraht programs が出ている。 また、TFN/TFN2K の作者へのインタビューが ZDNet News に掲載されている: 「口を開いたサイト攻撃ツール作者——「TFN」の生みの親にインタビュー」
2000.02.16 追記: CNET にも TFN/TFN2K の作者へのインタビューが掲載されていた: 『「Mixter」サービス拒否攻撃について語る 』。 私は犯人追跡も security fix も両方必要だと思うけど、だからって「HDD よこせ」と言われるのは困るなあ。犯人追跡は実際には無理だろうし……とか思ってたら WIRED NEWS では『ネット攻撃の容疑者逮捕は「時間の問題」か』なんて記事も出てますね。
MSIE 4.x/5.x 用の 128bit 暗号化機能追加パッケージ "High Encryption Pack" が登場しています。 Netscape Communicator 4.7 for FreeBSD でアクセスしたら何も出ないのであせったけど、IE 5 でアクセスしたら、ちゃんと [NEXT >] ボタンが表示されました。 まだ英語版しかないようですが、日本語版もおいおい登場するでしょう。
2000.03.17 追記: 日本語版が出てます。 http://www.microsoft.com/windows/ie_intl/ja/ から入手できます (info from INTERNET Watch)。 さっそく手元の Windows NT 4.0 SP6a Server/IE 5.01 と Windows 98 SP1/IE 5.01 に入れてみました。 Fortify の SSL チェックページで試すと RC4 cipher, 128-bit key になりました。
Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている GNU make の bug ですが、
Debian GNU/Linux では make_3.78.1-6 で mkstemp() を使った fix がされていました。
FreeBSD オンラインマニュアルの BUGS セクションにも
An attacker can guess the filenames produced by mktemp().
Whenever it is
possible mkstemp() should be used instead
と書いてあるので、これが正当な fix のようです。
でも mkstemp() がない環境ではあいかわらずだめなんですが。
下手に fix するより mkstemp() を移植したほうが早い?
また、坂井さんが BUGTRAQ-JP に「一時ファイルの望ましい取り扱い方」を投稿されていますので、あわせてお読みください。
2000.02.15 追記: SRA の曽田さんからフォローをいただきましたので、そのまま掲載させていただきます。曽田さん情報ありがとうございます。
まず、fstat(2) によるチェックだけでは、symbolic link による攻撃を防ぎきれないので、問題があると思います。 最低でも open(2) を使って O_CREAT|O_EXCL を指定することは必須でしょう。 逆に、O_CREAT|O_EXCL による open(2) が成功していれば、fstat(2) によるチェックは不要だと思います。 これにより、少なくとも既存のファイルが symbolic link 攻撃の結果、上書きされてしまうことはなくなります。 また、一時ファイルの削除も安全に行うことができます。 mkstemp(3) を使えば O_CREAT|O_EXCL で一時ファイルを作成してくれますから、安全です。
ただし、この方法でも、意図しないディレクトリに、新たにファイルを作成されてしまう危険 (また、その新たに作成されたファイルが削除されずに残る危険) は存在します。
これに対する防御は、BSD 系の場合は mkdir を使うことでしょう。 少なくとも BSD 系で、かつ local な filesystem に対する処理の場合、 /tmp/hogehoge -> /etc/hogehoge という symbolic link が存在しても、 mkdir /tmp/hogehoge の結果 /etc/hogehoge が作成されることはありません。 このような symbolic link がある場合、mkdir は失敗します。従って、mkdir によるディレクリの新規作成が成功した場合、たとえ /tmp のような誰でも書けるディレクトリの直下にあっても、symbolic link 攻撃による影響は受けません。 後は、このディレクトリの下に安全に一時ファイルを作ることができるわけです。 C プログラムの場合には、mkdtemp(3) を使ってディレクトリを作成するのが良いと思います。
また、シェルスクリプトが一時ファイルを作成する場合でも、(BSD 系であれば) この方法が使えます。 NetBSD や OpenBSD の /etc/security スクリプトが、 最初にまず /tmp 以下にディレクトリを作成し、 その mkdir が成功した場合に限り、その下に一時ファイルを作っているのは、このためです。
上記の O_CREAT|O_EXCL による open(2) は、全ての UNIX 系 OS で通用する筈です。
mkdir による防御も、BSD 系に限らず、多くの UNIX 系 OS で通用するのではないかと思いますが、こちらに関しては、OS 毎に検証が必要だと思います。
2000.02.22 追記: Debian からの正式な案内が出た。 「make におけるシンボリックリンク攻撃」を参照されたい。
「人事院には2分間に約1万2000回
」の port scan
というのは、高知工科大アドレスから2分間に約1万2000回、なのかな。
それってほんとに port scan ?
NT 4.0 SP5 上で動作する Timbuktu Pro 2.0b650 に DoS 攻撃を受ける弱点。 TCP port 407 および port 1417 への接続/接続解除をするだけで、Timbuktu Pro への正常な接続ができなくなってしまう。 このようになったら、Timbuktu Pro を再起動するしかない。
Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている FireWall-1 の passive FTP の件の fix が登場したというおしらせ。
Security Focus Newsletter #28 2000-02-05 -> 2000-02-13 で指摘されている MySQL bug が fix された 3.22.32 が出たというおしらせ。
2000.02.29 追記: FreeBSD の ports の話が出ている。 FreeBSD-SA-00:05 MySQL allows bypassing of password authentication。
2000.03.13 追記: TurboLinux 用 fix package が出ている。
BSD 系 UNIX OS 用 IPv6/IPsec 実装でおなじみ KAME project から、STABLE kit 20000214 が出たというおしらせ。 BSD/OS、FreeBSD、NetBSD、OpenBSD のリリース版で使える。 FreeBSD、NetBSD、OpenBSD の current 版では KAME の統合も進んでいる。
氷山の一角なんでしょうね……。
client と server の両方に実装しなくちゃいけないし、そもそも port 80 にだけ攻撃するわけでもないだろうし。ほんとに有効なのかなあ。
売りたい方としては「この特殊安全 OS を使えば安心」と言いたいところなのだろうけど、crack する方がそんな特殊なものを crack することに意義を見出せるかどうか……。結果として「安全でした」と言われても、ふつうに Apache とか IIS とか iPlanet 等々を使っている大多数の人には関係ないし……。
例の官庁 web crack に対応した文書のようです。 今回の騒ぎで大いに誤解されている firewall についても、わざわざ一章を割いて言及されています。 MASUI さん情報ありがとうございます。
SecurityFocus.com Newsletter 第 28 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは……って、まるまる全部なので (^^;)、ちょっとフォロー。
7. Checkpoint FireWall-1 FTP Server Vulnerability ですが、 その通りの動作をすることを確認したと BUGTRAQ-JP で塩月氏がフォローしています。 「Firewall があっても安全じゃない」例がまた一つ、です。
結局は、Internet 全体のデフォルトセキュリティレベルを上げないとどうにもならないような気がするのだが……。
Yahoo! の他、Buy.com、eBay、CNN もやられたようだ。 続報: 攻撃3日目,被害サイトさらに拡大——犯人逮捕に向けFBIが本格捜査を開始
Windows 用 ftp サーバ FTP Serv-U 2.5b に弱点。……というか、Windows 自身の弱点なんだけど。 Windows の SHGetPathFromIDList() API が buffer overflow するため、異常なファイル長を指定した .lnk ファイルを upload することにより FTP Serv-U が crash する。 この弱点は Windows 2000 には存在しないという。 この話はすでに BUGTRAQ-JP で R00tZer0 氏において 3 か月前に指摘されているものだ。
FTP Serv-U においては 2.5c において fix されている。 Windows 本体については fix されていない。
呆然唖然。
「平日の日中は職員が画面を監視しているが
」というあたりも口あんぐり……。
画面なんか監視する暇があるならもっとやることがあるだろうに。
HP VirtualVaultの宣伝。 でも、うちでは無理だなあ。30 万円出すのにも苦労してるんだから。(^^;)
似たような記事が出ている。
FreeBSD 3.4-RELEASE に upgrade したら、/etc/hosts.allow を書き換えられた。 なんで restore されなかったんだろう……。 /usr/tmp/etc/ から救出できたからいいけど……。
明日はしけんかんとくのため更新できません。
DoS は簡単にできるし、防ぎようがない部分がありますからねえ……。
「米国では7割の保守率が、日本では4割しかない
」ですか……。
入れてからの方が問題なんですけどねえ。
そういえば Black Hat Briefings
を日本でという話があったような……と思ってアクセスしてみたら、
S. Asia - Singapore '00
April 3rd and 4th in Singapore [Note: Right before Comdex
Singapore]
になってますね。
SecurityFocus.com Newsletter 第 27 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは、
1. Allaire Spectra 1.0 invoke.cfm Unauthenticated RAS Access Vulnerability 2. Rightfax Webclient Predictable Session Number Vulnerability 5. NT LsaQueryInformationPolicy() Domain SID Leak Vulnerability 10. MS Frontpage htimage.exe Path Leak Vulnerability 11. surfCONTROL SuperScout Content Filtering Bypass Vulnerability 13. WWWThreads SQL Command Input Vulnerability
Debian MBR の話は、Debian GNU/Linux 2.2.6 版での boot floppy では fix されているそうです。
Windows NT 4.0 Workstation/Server/Server, Enterprise Edition に弱点。 各ユーザのごみ箱は %SystemRoot\Recycler\ 下のディレクトリに map されているのだが、map されるディレクトリ名は各ユーザの SID に基づいて作成されるため、ディレクトリ名を予測できてしまう。 また初期状態においてこのディレクトリは存在しない。 このため、悪意あるユーザはこのディレクトリをあらかじめ作成しておくことにより、攻撃対象者がごみ箱に入れたファイルを見たりできてしまう。 なお、TSE 版にはこの弱点はない。
日本語 KB が出ている: J052253, [NT] ワークステーションの共有でごみ箱のアクセス権が設定できてしまう。
問題発見者による情報: Arne Vidstrom 氏, 三輪氏。 三輪氏の記事にはデモプログラムも紹介されている。 三輪氏によると、英語版 fix に 3 か月かかったそうだ。 Vidstrom 氏の記事では Windows 2000 もクレジットされているが、Microsoft の文書にはないので、Windows 2000 製品版では fix されているのだろう。
関連ツール: sid2user / user2sid、Dom2sid。
2000.03.06 追記: ようやく日本語 fix が登場。 x86、 Alpha。
ISS Security Alert Summary February 1, 2000 Volume 5 Number 1 です。
2000.02.07 の CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests に追記した。 誤解を招いていたようなので、ちょっと追記 & 関連情報追記。
2000.02.03 の ISS E-Security Alert: Form Tampering Vulnerabilities in Several Web-Based Shopping Cart Applications に追記した。 関連情報を追記。
Mac OS 9日本語版のDHCP問題が解決したそうです。 ソフトウェアアップデートを用いたインストール方法、 Open Transport 2.6 アップデータ、 Macintosh トラブルニュース 00/02/07 記事 (手元の MacOS 9 でもこれにひっかかった) も参照。 日本語 MacOS 8.6/9 ユーザは結局まるまる 2 か月待たされたことになる。
さまざまな方法により JavaScript などの危険なスクリプトコードを挿入することによる攻撃についての案内。 一連の IE/OE JavaScript バグで指摘された点や Hotmail バグもこれ関連と言える。 その他、URL そのものに JavaScript コードを挿入するとか (動くんですよ、これがまた……)、とにかくいろいろな攻撃 (挿入) 方法がある。 そういう入力を check してない WWW サーバ/CGI プログラム、あるいは JavaScript を許可している web ブラウザにはさまざまな危険が考えられる。
ベンダーからの情報 (と patch) が出ているところがある:
Apache - Cross Site Scripting Info
ここに示されている patch (1.3.11 用) をインストールすると、 ap_send_error_response() においてレスポンスの文字コードが ISO-8859-1 に固定される (src/main/http_protocol.c に対する変更)。 これが原因でブラウザの自動コード認識が働かなくなる場合があるという報告が apache ML で報告されている。
Microsoft - Information on Cross-Site Scripting Security Vulnerability
Quick Start: What Customers Can Do to Protect Themselves from Cross-Site Scripting も参照。
Sun - CERT Advisory CA-2000-02 ページ
JavaScript は、ダメですよね。 JavaScript disable すると CSS が使えないブラウザ、迷惑だよな。
2000.02.08 追記: 誤解を招いていたようですので、追記します。
これまでも CGI 経由での OS コマンド実行という観点での CGI セキュリティについてはさんざん言われてきていますから、(まともな) CGI 設計者はその点には注意を払っていると思います。 で、今回の Cross-Site Scripting において指摘されているのは、これまでの CGI セキュリティに加え、CGI 等経由で JavaScript など web スクリプトものを埋め込んでしまうことによる攻撃というものがあるよ、 ちゃんと対応してね、ということだと理解しています。 しかも、これに対して server 側で対処するのは、一連の hotmail ものの指摘 (たとえばこれとかこれ) を見てもわかるように実は極めて困難で、結局は web ブラウザ側での対応が必要だと理解しています。
そういうわけで「JavaScript は、だめですよね」になるのですが、 これの意図は「JavaScript をデフォルトで enable しちゃだめですよね」です。 MS さんも Quick Start: What Customers Can Do to Protect Themselves from Cross-Site Scripting なんての出してますが、新バージョン IE 5.5(Win)/5.0(Mac) においてはこれをデフォルトにしてほしいところです (これら設定をポリシーで制御できるようになってくれるとうれしいような……もしかして、もうなってます?)。 mozilla も M13 がでてますが、 あいかわらず ON/OFF しか選択できないというのはちょっとなと思います (自分でなおせばいいんだけどね……)。
シスポート・コアの井口さんが 「Cross-Site Scripting問題とは?」というページを作成していらっしゃいます。 あわせてどうぞ。井口さん、ご指摘/おしらせありがとうございます。
Netscape-Enterprise/2.01 ですか…。
SecurityFocus.com Newsletter 第 26 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで書いてなかったのは、
2. DNS TLD & Out of Zone NS Domain Hijacking
5. HP Path MTU Discovery DoS Vulnerability
いくつかの web ショッピングカートアプリに form tampering vulnerabilities (フォーム改竄の脆弱性) があるという指摘。 隠しフィールド内で利用されている名前、重量、個数、プロダクト ID、単価などを改竄してリクエストを発行することによって、価格をチョロまかして発注することができてしまうアプリがあるという。 また、URL 中に価格を示し、これを CGI で呼び出すことによって価格を算出するアプリもあったという。 いくつかのものでは HTTP ヘッダ中の referer フィールドを用いてチェックを行っているが、これも改竄が可能であり完全ではない。
The web store operator should verify the price of each item ordered in the shopping cart application database or email invoice.
なんてことでは、何のためにコンピュータ使ってるんだか……。
2000.02.08 追記: 関連情報が MS KB に上がっていた: J052291, [IE4] セキュリティ保護されていない状況で Referer ヘッダーを送信しない
Debian ネタが 2 つとどいてます。
vulnerability in Linux Debian default boot configuration
(Wed, 02 Feb 2000 19:39:37 +0900)
Debian GNU/Linux Hamm, Slink, Potato (2.0, 2.1, 2.2) に弱点。 デフォルトインストールにおける MBR に問題があるという。 SHIFT キーを押しながら boot すると、MBR は 1FA: を表示し入力を待つ。 このとき F を押すと、floppy から boot する。 これにより、BIOS 設定で floppy からの boot を不許可にしている、あるいはパスワードを要求するようにしている場合、この制限が無効になってしまう。 また、LILO の設定も無効になってしまう。
対応としては、デフォルトの "boot=/dev/hda1" のかわりに "boot=/dev/hda" を設定することで LILO の MBR を使う。
[Debian] New version of apcd released
(Thu, 03 Feb 2000 03:12:51 +0900)
Debian GNU/Linux 2.1 に含まれる apcd package に弱点。 apcd は SIGUSR1 を受けると /tmp/upsstat にステータス情報を dump するが、これがファイルを安全に開かないため symbolic link 攻撃を受ける。 0.6a.nr-4slink1 で fix されたので、これに入れかえる。
Windows 95 での Outlook Express 5.01 (他の OS 上でも同様と推測) に弱点。 悪意あるメッセージを開くと、その後ひきつづいて開くメールを攻撃者が読むことができてしまう。悪意あるメッセージの例は次のとおり:
<SCRIPT>
a=window.open("about:<A HREF='javascript:alert(x.body.innerText)' >Click
here to see the active message</A>");
a.x=window.document;
</SCRIPT>
とりあえずの回避方法としては、アクティブスクリプティングを停止する。 ええ、またもやです。
天下り先に仕事を!
2000.01.06 の SECURITY ALERT - WAR FTP DAEMON ALL VERSIONS に追記した。 1.67-3 以前に DoS 攻撃を受ける弱点が指摘され、1.67-4 がリリースされている。
FireWall-1 3.0 に弱点。<SCRIPT> タグが
<<SCRIPT LANGUAGE="JavaScript">
alert("hello world")
</SCRIPT>
のようになっている場合に、 MSIE や Netscape Communicator/Navigator は上記を実行できてしまうが、 FW-1 3.0 はこれを通過させてしまうという指摘。
セキュリティ勧告 - NTサーバ上におけるJetセキュリティ問題にも示されている ISAPI フィルタ。 長大なリクエストの排除、特定パスにおける文字の置き換え、これらのロギングをサポートする。 ドキュメントを読んだところ、少なくとも IIS 3 と IIS 4 で使えるようだ。 ソースコードも添付されているのはすばらしい。 非常に強力なので、ぜひインストールしよう。
あいかわらずの Jet セキュリティ問題 (まだいっぱいあったのね……)。 指摘者は Windows NT World 誌の連載でおなじみの塩月氏だ。 1999.05.31 の Advisory: NT ODBC Remote Compromise や 1999.08.02 の Alert : MS Office 97 Vulnerability も参照されたい。 Office 95 用のって、結局出てませんよね……。
2000.03.15 追記: Office 95 (Jet 3.0) 用の fix が出ました。 鈴木さん情報ありがとうございます。
J052570: [AC95]Jet 3.0 VBA 関数実行時のセキュリティ強化設定方法
まずアップデートをインストールし、その後 J052570 を参照して sandbox mode を設定します。3 (常に sandbox mode を使用) にするのがよろしいでしょう。
「今回の人事院への不正アクセスとは、このポートスキャンのことだ
」。
えっ?
port scan でおおさわぎしているわけ?
下の記事の「不正アクセスの形跡
」ってのはもっと直接的なものかと思っていたのですが、ただの port scan?
今回の騒ぎで「おまえらいったい何動かしてるんだ?」と思って
port scan かけてみた人ってけっこう多いと思うけど。
<下>のほうで機種依存文字が使われているような気がする。
おざなりな対応のように見えてしかたないのだが……。
RFC2228 実装 SafeTP が US 暗号輸出制限緩和を受けて get 可能になっています。 UNIX と MS Windows で使えます。
2000.01.28 の 省庁サイト改ざんで初会合 政府の対策検討委グループ に追記した。 わかってないのは俺でした。_o_
2000.01.27 の remote root qmail-pop with vpopmail advisory and exploit with patch に追記した。 詳細な情報を滝澤さんからいただいた。
Cobalt RaQ[1-3] に弱点。 Site Administrator が admin (RaQ[12]) や一般ユーザ (RaQ3) のパスワードを変更できてしまう。 fix が出ているので適用する。 もと記事はこれ。
patch 情報いくつか。
http://www.sco.com/security/ に patches for rtpm, local-buffer overflow, patches for scohelp, remote-buffer overflow が挙がっているそうです。 (from BUGTRAQ, Fri, 28 Jan 2000 03:46:46 +0900)
http://www.allaire.com/security/ に ASB00-04: Patch Available for Allaire Spectra 1.0 Security Authentication System が挙がっているそうです。 (from BUGTRAQ, Tue, 01 Feb 2000 07:43:34 +0900)
春山さんが OpenSSH に関する情報ページを作成していらっしゃいます。 現状では README と UPGRADING の翻訳文書があります。 (いつも情報ありがとうございます)
ユーザに対して POP や FTP のみを許可している環境で sshd1 を動作させている場合、これがセキュリティホールになり得るという指摘。 sshd へのアクセスが成功するが、シェルが /bin/false になっているとか、 特別な限定 shell になっているとかいう理由ですぐに logoff されてしまうような場合がこれにあたる。 このような場合においてもユーザは、root@localhost (IDENT するとそう見える) から TCP コネクションを開いたり、loopback 上で防御されていないようなサービスに接続したり、攻撃されたホストから他のリモートホストへ接続したりできるという。
回避方法としては、接続を拒否したいユーザを特定のグループに参加させ、 sshd_config で DenyGroups group1 group2 ... と指定する。 他にもいろいろ記述されているが、DenyGroups を使うのが推奨されている。
Windows NT/2000 に塔載される Index Server (NT では Option Pack に同梱、2000 では Indexing Service として標準装備) に 2 つの弱点。 MSKK による日本語での警告文書が http://www.microsoft.com/japan/security/ で読める。 弱点は以下のとおり:
"Malformed Hit-Highlighting Argument" の弱点。 これを使うと、攻撃者は web server の root ディレクトリと同じディスクにある、攻撃者にとって既知のパス名のファイルを取得できる。 この弱点を使ってファイルの改変や破壊はできないが、 パスワードデータやクレジットカードデータなどが取得されるとふつうとても困るだろう。
問題発見者 David Litchfield (Mnemonix) 氏による詳細が
http://www.cerberus-infosec.co.uk/adviishtw.html
で読める。
本文書において Mnemonix 氏は
A quick test to show if you are vulnerable:
go to http://YOUR_WEB_SERVER_ADDRESS_HERE/nosuchfile.htw
と述べている。確認されたい。
If you receive a message stating the "format of the QUERY_STRING
is invalid" (小島注: "QUERY_STRING の形式が無効です")
you _are_ vulnerable
サンプルプログラムも登場している。 出力を netcat などにつっこんでやればよい。 手元の NT 4.0 Server SP6a で動作を確認できている。
存在しない Internet Data Query (.idq) ファイルの弱点。 これを使うと、攻撃者は web server の root ディレクトリの物理構造を知ることができる。 たとえば、http://YOUR_WEB_SERVER_ADDRESS_HERE/nosuchfile.idq にアクセスすると 「IDQ ファイル C:\Inetpub\wwwroot\nosuchfile.idq が見つかりませんでした。」なんて言われてしまう。 .ida でも同様。
英語版 patch はあるが、日本語版 patch はまだだ。 とりあえずの対策としては、.HTW, .IDQ, .IDA ファイルへの拡張子マッピングを削除する。 やりかたは、1999.06.16 の Retina vs. IIS4, Round 2, KO を参照。
Windows 2000 製品版に含まれる弱点という意味で、メディアにも取りあげられている。
早くもWindows 2000用にセキュリティパッチ——Index Serverに問題
(from ZDNet News, 2000.1.28 2:05 PM PT)
Windows 2000のセキュリティホールにパッチ
(from CNET NEWS, Fri 28 Jan 2000 14:35 PT)
個人的に注目しているのは、Windows 2000 日本語版用の fix がいつ登場するか、だ。 Windows NT と違い、Windows 2000 においては各国語版についても source tree が (英語版と) 一本化されているため、 日本語版 fix も英語版とそれほど時差をおかず登場することが期待されていた。 いよいよその真価が問われている。
なお、この Advisory から、これまでと掲載場所が変わっている (http://www.microsoft.com/technet/security/ 内になった)。 この変更のおかげで、lynx や w3m でもちゃんと読めるようになってくれている (これまでは読めなかったのだ)。 これは助かる。 また、KB についても http://www.microsoft.com/technet/support/kb.asp?ID=251170 という形式で示されるようになった。もちろん http://www.asia.microsoft.com/ に対しても有効だ。これも助かる。
2000.02.23 追記: やっとこさ Windows 2000 日本語版用の修正プログラムが公開されている (KB が直っていないのは御愛嬌)。 結局 4 週間ほどかかったことになる。 「シングルバイナリー」といってもこれですか……。 英語版 Windows 2000 はどこで買えるんだろう。 通販?
2000.03.01 追記: NT 4.0 用 fix が登場。 外向け IIS 管理者は速攻で適用しましょう。 情報源: JWNTUG OpenForum。
2000.04.04 追記: 新たな問題が発見され、 MS00-006 が改訂された。 指摘者はまたもや Mnemonix 氏。 Cerberus Information Security Advisory (CISADV000330) に問題の詳細がある。 英語版については patch が update されているらしい。
FWD のメーリングリストって、web アーカイブが見れたのか……。 ぜんぜん知らなかった。 便利に使わせてもらおっと。
2000.01.28 の *BSD procfs vulnerability に追記した。 http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/sys/kern/kern_exec.c も直す必要があった。
Microsoft 製 Java VM build 3234 以前に重大な弱点。 特定のコード (たった 1 行!) を記述することで、 Java VM が起動するときのカレントディレクトリ以下のファイルを読み出すことが可能。 IE 3.x では問題ないという。 このカレントディレクトリは次のようになるという (警告文書より引用):
IE 4 の多くの場合 => C:\
(つまり、Cドライブの全ファイルが読み出し可能です。)
WindowsNTの場合には、ユーザのホームディレクトリになるという報告も あります。
IE 5, 5.01 の場合 => C:\Windows\デスクトップ
(つまり、デスクトップ以下のファイルだけが読み出し可能です。)
この違いはIEのバージョンではなく、 「Microsoft VM for Java」のバージョンに依存しているのではないかという観測もあります。
デモコードが http://java-house.etl.go.jp/~takagi/java/test/microsoft_insecurity/Test.html で公開されている。 手元の Windows NT 4.0 Server SP6a + IE 5.01 + MS Java VM build 3229 で試したところ、確かにデスクトップ (C:\Winnt\Profiles\username\デスクトップ\) 以下のファイルを読み出すことができた。
回避方法としては、MS Java VM の使用を停止する、 Netscape Navigaor/Communicator を使用する、Sun の Java Plug-in を用いて IE においても Sun の Java VM を使うようにする、が示されている。
指摘の英訳版が http://java-house.etl.go.jp/ml/archive/j-h-b/030411.html にある。 Microsoft という会社の場合、security については日本語で報告できる窓口がなくて、Secure@microsoft.com に英語で報告するしかないんだけど、ここには報告されているのかなあ。 MSKK に言っただけではらちが開かないような……。
ますいさん、豊田さん、情報ありがとうございます。
2000.02.01 追記: MSKK から警告が出た。 MSKK2000-10: "仮想マシン サンドボックス" の脆弱性の回避策"。 すばやい告知は評価したい。 すばやい fix にも期待したいところだ。
2000.02.21 追記: Microsoft から Security Bulletin MS00-011: Patch Available for "VM File Reading" Vulnerability と fix が登場。build 番号によってダウンロードすべきファイルが異なるので注意。
2000 series builds (IE 4.01 SP2)
3100 series builds (IE 5)
3200 series builds (IE 5.01)
build 番号は jview コマンドで判別できる。 出力の 1 行目の末尾 4 ケタの数字がそれだ。
2000.02.21 再追記:
なんと、上記 fix は指摘された問題へのものではなかった。
MS00-011: Patch Available for "VM File Reading" Vulnerability
の末尾には Microsoft thanks Hideo Nakamura of NEC in Tokyo, Japan
とあるが、この
NEC 中村さんの指摘は、
今回の指摘とは別のものなのだ。
中村さんによると、この問題は Sun JDK では 1.1.6 版で修正されているという。
ただし、ややこしいことに、今回の指摘についても上記で示された新版 Java VM で fix されていることが確認されている。 手元の Windows NT 4.0 Server SP6a + IE 5.01 + MS Java VM build 3240 でも fix されていることを確認した。
電子技術総合研究所の高木さんから 『「Microsoft VM for Java」のセキュリティホールに関する再警告』 がなされている。概要部分を以下に引用する:
概要
----
1. 警告の対象に Windows 2000を追加
2. IE 5の被害規模は当初の警告内容「デスクトップ以下だけが読める」
より大きいものだった、つまり他にも情報が漏れる — ことが判明
3. Microsoftの「Security Bulletins」のページでこの問題が解決されて
いる新しいVMのダウンロードが可能になったが、このセキュリティホー
ルの深刻さの説明が掲載されていない。
ぜひ一読されたい。 高木さんは、この問題についての深刻さの説明が不足している点について、たいへん心配していらっしゃることを強調しておきたい。 高木さん情報ありがとうございました。
2000.02.23 追記: Windows 2000 でも問題があるのは上記のとおりだが、現在配布されている 3200 series builds は Windows 2000 にはインストールできない。 port139 B-) の独り言 によると、1〜2週間中に Windows 2000 用のものが登場するようだ。
2000.03.01 追記: Windows 2000 用が登場。 http://www.microsoft.com/downloads/release.asp?ReleaseID=19004 から入手できる。 情報源: BUGTRAQ-JP ML。
「デフォルト値を安全側に倒す」のは基本中の基本だと思いますが、それができていないソフトウェア製品は Microsoft に限らず多いですね。
『*1 弊社ではこの「制限ユーザー(Usersグループ)」は、概ね企業内において、限定的に利用されるものと想定しています
』とか、
『当面、これら各製品については、多くのユーザーが利用すると考えられる「Administrator」と「標準ユーザー」を動作保証対象とし、「制限ユーザー」については、6月を目処に対応モジュールを別途、提供する予定です
』という文章には死ぬほど驚いた。
ジャストシステムのセキュリティ意識の欠如を感じるのは私だけだろうか。