セキュリティホール memo - 2000.06

　2000.06.26 の FreeBSD-SA-00:23 Remote denial-of-service in IP stack に追記した。 デモプログラムと ipfw を利用した回避方法が投稿されていた。

　2000.06.08 の MS00-038: Patch Available for "Malformed Windows Media Encoder Request" Vulnerability に追記した。 2000.06.21 に英語版 patch が再リリースされている。

　IE 5 と Access 2000 とが組みあわさった環境 (ごくありふれてるよね) において、Access 文書 (.mdb) 内に VBA で攻撃コードを記述し <OBJECT data="db3.mdb" id="d1"></OBJECT> のように読み込ませると、Internet 経由にもかかわらず VBA コードが実行されてしまう、という指摘。 http://www.nat.bg/~joro/access.html にデモがある。 手元には Access 2000 がない (というか、Access にさわれる環境自体がない) ので確認できなかった。

　回避方法は記述されていない……ので、存在しないのだろうか? 関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール 。

2000.07.05 追記:

• Access 2000 に管理者パスワードを設定すれば、Access が起動するときにパスワード入力ダイアログが出るので最悪の状況は免れるという。 また、Visio 2000 でも同様の現象が発生し、 マクロを不許可に設定 (デフォルトは許可) にすれば回避できるという。 (もと記事)

• Access 97 でも同様の現象が発生すると、ひこさかさんから情報をいただいている (ありがとうございます)。 Access 2000 用のファイルがそのまま動くわけではないが、Access 97 でつくれば動いてしまうそうだ。 ひこさかさんは「これはゆゆしき問題で、顧客に対して警告を発する必要を感じます」とおっしゃっていらっしゃる。

• Eiji James Yoshida 氏による、この問題を詳細に日本語で (!) 解説した文書が http://www.geocities.co.jp/SiliconValley/1667/index2.html で公開されている。 ぜひ一読されたい。 匿名希望さんいつも情報ありがとうございます。

　……この弱点なのだが、1999.08.02 の Alert : MS Office 97 Vulnerability を思い出してしまうのは私だけだろうか。 このときの対応方法 (Office ファイルを開く前に確認、 sandbox mode 3 の利用) で回避できるような気もするのだが、どうだろう (手元にないから試せないんだってば)。

　sandbox mode = 3 のまずいところは、どのように Access を利用しようとも sandbox mode = 3 になってしまい、一般利用においては制限がキツすぎる、 という点にある。 インターネットゾーンや制限つきゾーンに対してだけ sandbox mode = 3 を適用したい、というのが多くの Access 利用者の望みだろうと思うのだが、そのようにはできないのだろうか。 あるいは、IE/Outlook Express 用の Outlook 2000 SR-1 アップデート: 電子メール セキュリティ のようなもの (特定拡張子のファイルの操作を拒否する) ができるとか。 各ゾーンに対して open の許可/不許可を設定できるようであれば十分使えると思うのだが、どうだろう。 実装はそれほど難しくないと思うのだが。

2000.07.19 追記: Bulletin 出た。 MS00-049: Patch Available for "The Office HTML Script" Vulnerability and a Workaround for "The IE Script" Vulnerability を参照。

　IE 5 と Excel 2000 あるいは PowerPoint 2000 とが組みあわさった環境 (ごくありふれてるよね) において、<object> とアクティブスクリプトを組みあわせることにより、悪意ある web 管理者がユーザファイルの改変などを行うことができる。 http://www.nat.bg/~joro/sheetex.html にデモがある。手元の Windows 2000 Pro + Office 2000 Std. な環境でも再現できた (なにしろ \ に書けるからねえ……)。

　アクティブスクリプティングを無効とする、あるいは ActiveX コントロールとプラグインの実行を無効とすることで回避できる。 関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール 。

2000.07.19 追記: Bulletin 出た。 MS00-049: Patch Available for "The Office HTML Script" Vulnerability and a Workaround for "The IE Script" Vulnerability を参照。

　すでに Office さんのところや中村正三郎のホットコーナー (あ、source が同じだ ^^;) で話題になっているので旧聞に属するが、自分の理解のためにも書いておくことにする (Office さん、せっかく教えていただいたのに反応がおそくてすいません)。

　IE 5, Outlook/Outlook Express に対する新たな攻撃方法が登場。 .mhtml (MIME な HTML のようです) を用いて、攻撃プログラム本体と起動用スクリプトが組みこまれた html ファイルをまとめておく。 これを IE が読み込むと、各パートは c:\windows\temp などの一時ファイルフォルダに展開される。 これを <meta http-equiv="refresh"content="5; url=mhtml:file://C:\WINDOWS\TEMP\attack.mhtml"> のように指定して再読み込みさせることにより、起動用スクリプトを local コンテキストで起動させることができる。 というわけで、ウィルス配布やトロイの木馬の埋めこみ、 ユーザファイルの削除/改変など、なんでもござれである。

　Windows 9x で動くデモが http://members.xoom.com/malware/mars.mhtml にあるので、(特にソース自身を) 御覧いただきたい。 よくできているなあと関心してしまう。 ちゃんといじれば Windows NT/2000 でも動くようになるのだろう。 指摘文書には、e-mail base で攻撃するための方法についても述べられている。

　これらは、 アクティブスクリプトや ActiveX を不許可にしていても実行されてしまう。 また .mhtml に対するファイルタイプ設定を変更しても、.mhtml という拡張子がついていると IE 自身がこれを積極的に解釈するようで、効果がない。 世の中的には .html となっているけど text/plain で送ってくる web server とかけっこうあって、 w3m でブラウジングしているとちゃんと plain text で表示してくれるのだが、 Netscape とか MSIE とかはそういうものも HTML として解釈してしまうのだ。 これはこれで重大な bug だと思う。

　この弱点のポイントは次の 2 点だろう:

• 攻撃者が一時ファイル名を容易に推測できてしまう (一時ファイル名が乱数化されていない)。

• 一時ファイル置き場にある実行ファイルを インターネットゾーンに存在するものから読み込めてしまう。 さらにそれが local コンテキストで起動してしまう (それらはインターネットからやってきたのに……)。

　今のところ wall/cache/proxy で止めちゃうくらいしか回避方法がない (= 難易度が高い) ので、 すごくヤバいです。 「パーソナルファイアウォール」ものソフトを入れていると、こういうときに止められるようになるんだろうか。 WinWrapper とか、どうなんでしょう。

　関連報道: MSの『IE』や『Outlook』などにまたセキュリティーホール 。

2000.07.27 追記: いまごろであれだけど、 Windows 98 + WinWrapper で試したが、WinWrapper からはなんの警告も出なかったと吉松さんから (ずいぶん前に ^^;) 情報をいただいている (ありがとうございます……紹介がとてつもなく遅くてすいません)。

　あと、これやっぱり MS00-046: Patch Available for "Cache Bypass" Vulnerability で fix されている件だと思うので、そちらも参照ということで。

　*BSD に含まれる libedit に弱点。カレントディレクトリに存在する .editrc を読んでしまう。 *BSD ですでに fix されている。PC-UNIX security hole memo 2000.06 を参照。

　2000.06.26 の Possible root exploit in ISC DHCP client. (fwd) に追記した。 OpenBSD アナウンスを追記。

　canna 3.5beta2 以前に弱点。 cannaserver に対して異常な長さの username、groupname が指定された IR_INIT コマンドを送ると buffer overflow してしまい、remote から cannaserver 実行権限 (一般的には root, bin, canna など) で任意のコマンドを実行できてしまう。 FreeBSD は bin ですね。TurboLinux 6.0 Workstation は root です (なんてこったい)。おなじみ UNYUN さんによる指摘。

　指摘文書に patch が添付されているので、これを適用する。 また、cannaserver は /etc/hosts.canna ファイルによるアクセス制限をかけられるので、patched なものをインストールするまでは /etc/hosts.canna ファイルを有効利用するとよい。

　UNYUN さんの patch は / とか : を計数していないように見えるので、 計数するようにした patch をつくってみました。これを適用した cannaserver に UNYUN さんのサンプル攻撃をかけてみましたが、ちゃんと守れているようです。 FreeBSD 3.4/4.0-RELEASE 上でパッケージをつくってみました。 for 3.4-RELEASE, 4.0-RELEASE。

　2000.06.26 の Possible root exploit in ISC DHCP client. (fwd) に追記した。 Debian から advisory が出ている。 これによると、remote root exploit とされている。

　2000.06.26 の Problems with "kon2" package に追記した。 Debian から fix アナウンスが出ている。

　SecurityFocus.com Newsletter 第 46 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。

• HP SNMPD File Permission Vulnerabilities

  Tested by HP-UX B.11.00 A だそうです。

• Multiple Vendor JSP Source Code Disclosure Vulnerability

  BEA's WebLogic 4.5.1 以前や IBM's WebSphere, Unify eWave で JSP のソースが読めちゃうよという話。 WebLogic は weblogic.httpd.servlet.extensionCaseSensitive を true にすればよい。WebLogic 4.5.2 以上では true がデフォルト。 WebSphere は patch を適用。 WebLogic と WebSphere の詳細は credit されている記事を参照。 NTBUGTRAQ の Unify の記事は これ。

• Shiva Access Manager World Readable LDAP Password Vulnerability

• RSA ACE/Server Denial of Service Vulnerability

• Microsoft Outlook / Exchange Blank Headers DoS Vulnerability

  うーん、なんでこんなことで DoS に……。 Exchange 4.0/5.0, Outlook 97 の名前が上がっている。

• OpenSSH UseLogin Vulnerability

  OpenSSH 2.1.1 より前の弱点。UseLogin yes にした場合に、root 権限でコマンドが動作されてしまう。デフォルトは UseLogin no。 デフォルトのまま使うか、2.1.1 にするか、 もと記事に patch がついているのでこれを適用してもよい。 各 Linux ディストリビューションからも update package が出ている。

• 3R Soft MailStudio 2000 Multiple Vulnerabilities

• Computer Associates eTrust Intrusion Detection System (旧製品名は SessionWall-3) の弱点 2 つ:

  • Computer Associates eTrust IDS Weak Encryption Vulnerability

  • Computer Associates eTrust Intrusion Detection System DoS Vulnerability

• Network Associates PGP Certificate Server Unresolveable IP Address DoS

  PGP Certificate Server 2.5.0/2.5.1 の弱点。 もと記事。

• Mindstorm Networks SmartFTP Daemon 0.2 Directory Traversal Vulnerability

• Ericsson Tigris Remote-Access Login Failure Vulnerability

• splitvt 1.6.3 Buffer Overflow Vulnerability

  splitvt 1.6.4 で fix されているらしい……が、どこから入手できるんだろう。 Debian 用 fix は出ている。 *BSD の packages/ports にもあるようなので、そのうち案内が出るかも。 FreeBSD 3.5-RELEASE/4.0-RELEASE には 1.6.3 の package が入っている。

• Extropia WebBanner Input Validation Vulnerability

• Solaris ufsrestore Buffer Overflow Vulnerability

  もと記事。 Solaris 2.6, 7, 8 で弱点があるとされている。 fix がでるまでとりあえず suid bit を落そう。

• AnalogX SimpleServer WWW 1.05 DoS Vulnerability

• Norton Antivirus for MS Exchange ネタ。 Norton Antivirus for MS Exchange 1.5, 2.0 に弱点があるとされている。 もと記事。

  • Norton Antivirus for MS Exchange 'Fail-Open' State Vulnerability

  • Norton Antivirus for MS Exchange Buffer Overflow Vulnerability

    長いファイル名を含む zip アーカイブの処理で buffer overflow するという指摘。 Lhasa ver0.13 bufferOverflow Exploit と同種か?

• Shadow Op Dragon Server Multiple DoS Vulnerabilities

• Zope +DTMLTemplates and DTMLMethods Remote Modification Vulnerability

  Zope 2.1.6 以前と 2.2 beta 1 に弱点。 remote から DTMLDocuments もしくは DTMLMethods コンテンツを改ざんできてしまう。 Zope 2.1.7 で fix されている。2.1.6 用の patch もある。 各 Linux distrib. から fix package が出ている。

• Small HTTP Server Buffer Overflow Vulnerability

• Veritas Volume Manager 3.0.x File Permission Vulnerability

　Windows 2000 に弱点。 Windows 2000 セキュリティモデルでは、プロセスの分離のためにコンテナオブジェクトの階層が用いられている。 各 session には 1 つ以上の windows station があり、各 windows station には 1 つ以上の desktop がある。

　　┌─ session ──────────── ─────────────┐
　　│┌─ windows station  ──┐ ┌─ windows station  ──┐     │
　　││[desktop] [desktop] ... │ │[desktop] [desktop] ... │ ... │
　　│└────────────┘ └────────────┘     │
　　└───────────────────────────────┘

　プロセスは windows station 内部で動作し、プロセス内のスレッドは 1 つ以上の desktop 内で動作する。あるプロセスは、自分が動作している windows station に属さない windows station 内部の desktop にはアクセスできない……はずだったが、実装バグのために、特別な状況においてこれが可能となってしまっていた。 これにより、同一 session 内で、ある windows station での I/O (たとえば password) などを他の windows station から読むことができてしまう。 これは admin 権限がなくても可能だという。

　この問題を利用できるのは、対話的に logon した local machine 内部のプロセスに対してのみ、である。 また、TSE 環境ではユーザごとに session を持つため、この弱点は影響しない。

　例によって英語版 patch のみ。日本語版はまだ。 MSKK2000-67 も参照されたい。

2000.08.21 追記: なんと、2000.07.05 付けで、MS ダウンロードセンターに fix が上がっていた。AT, PC-98x1。 この日付は本当なのか?

　2000.05.23 の MS00-031: Patch Available for "Undelimited .HTR Request" and "File Fragment Reading via .HTR" Vulnerabilities に追記した。 MS00-031 が改訂され、IIS 5.0 用 patch が再リリースされている。

　2000.06.08 の MS00-035: Patch Available for "SQL Server 7.0 Service Pack Password" Vulnerability に追記した。 MS00-035 が改訂され、patch も再リリースされている。

　SQL Server 7.0 に弱点。Data Transformation Service (DTS) パッケージの作成時にアカウント名/パスワードを設定すると、 パッケージのプロパティダイアログでは **** のように表示されるが、 とあるプログラミング手段を用いることにより、ここから plaintext password を入手することができるという。……こういうの大昔に流行ったような。 これは次の条件がそろった場合にのみ発生するようだ:

• DTS パッケージ作成者が Windows NT 認証のかわりにアカウント名/パスワードの利用を選択

• DTS パッケージに edit 可能な者に関する制限がかけられていない

• SQL サーバ管理者が MSDB データベースへの guest アクセスを許可している

　逆にいうと、これら条件を成立させないことによって回避できる。 デフォルトでは DTS が保存されている MSDB データベースは一般ユーザはアクセスできないし、またアクセスできるよう設定変更していたとしてもプロパティダイアログを見ることはできない。

　英語版の patch はあるが、日本語版はまだ。

　2000.06.13 の MS00-040: Patch Available for "Remote Registry Access Authentication" Vulnerability に追記した。 サンプル攻撃コードが投稿されていた。

　kon2 0.3.9 にいくつか弱点があるという指摘。

1. kon で kon VGA -StartupMessage `perl -e 'print "A"x10000'` すると segfault して EIP が取れるという指摘。 libsafe な環境で試してみたら、X が落ちた。 libsafe が止める前に壊してくれちゃったみたい。

2. kon 付属の fld で

   CHARSET_REGISTRY"AAAAAAAAAAAAAAAAAAA"
   CHARSET_ENCODING"AAAAAAAAAAAAAAAAAAA"
   CHARSET_ENCODING"AAAAAAAAAAAAAAAAAAA"

   な read.me.and.die ファイルをつくって fld -t bdf read.me.and.die とすると……という指摘。

2000.06.29 追記: Debian から fix アナウンスが出ている。 http://ftp.debian.org/debian/dists/proposed-updates/kon2-0.3.9b-0slink3.diff.gz でされている fix は他の OS 利用者も参考になるはずだ。

　AN HTTPD SEVER 1.29 以前 に弱点。AH HTTPD に対して "Accept-Language:\r\r" (\rは改行コード) を含む (\n がない) リクエストを送ると、AN HTTPD が異常終了してしまう。 1.29b において fix されているので、これに入れかえる。

　FreeBSD 3.4-RELEASE 以前、4.0-RELEASE, 2000-06-01 までの 5.0-CURRENT に弱点。IP オプション処理に不具合があり、意図的に壊された IP パケットを送られると panic down してしまう。 2000.05.08 の NetBSD Security Advisory 2000-002: IP options processing Denial of Service と同様の問題を含む、という。

2000.06.30 追記: デモプログラムと ipfw を利用した回避方法が投稿されていた。

2000.07.12 追記: Advisory 改訂版がリリースされている。 FreeBSD-SA-00:23 Remote denial-of-service in IP stack [REVISED]。 ipfw を用いた対応方法が追記された。

　19990624 〜 20000622 までの US 版 NetBSD-current に弱点。 /dev/urandom が存在しない場合、DES ライブラリの des_init_random_number_generator は容易に解読できるような key を生成してしまうという。 これは次のプログラムに影響する:

        /usr/bin/telnet
        /usr/libexec/telnetd
        /usr/sbin/kadmin
        /usr/sbin/kdb_edit
        /usr/sbin/kdb_init
        /usr/sbin/kerberos
        /usr/sbin/ksrvutil

　リリース版、および非 US 版には問題ない。 また 20000622 より後の -current ものも問題ない。

　2000.06.13 の local root on linux 2.2.15 に追記した。 upgrade package リスト追加。

　ISC DHCP 2.0pl1 より前、 および 3.0b1pl14 より前の版に弱点。 DHCP client に弱点があり、local user が (?) root 権限を取れる……らしい (詳細不明)。 2.0pl1 および 3.0b1pl14 以降で fix されている、ということのようだ。 FreeBSD での quick fix 方法が示されている。

2000.06.29 追記: Debian から advisory が出ている。 これによると、remote root exploit とされている。

2000.06.30 追記: OpenBSD アナウンスはこちら: http://www.openbsd.org/errata.html#dhclient

2000.07.13 追記: NetBSD Security Advisory 2000-008: dhclient vulnerability (revised)。

　2000.06.23 の [ftpd 680] wu-ftpd 2.6.0 remote root exploit に追記した。 オフィシャル patch が出た。

　2000.05.22 の MS00-029: Patch Available for "IP Fragment Reassembly" Vulnerability に追記した。 Windows 2000 用日本語 patch 登場。

　wu-ftpd 2.6.0 以前に remote から root 権限を奪える弱点があり、 Linux/FreeBSD 対応の攻撃コードが BUGTRAQ に投稿されている。 Debian GNU/Linux 用の fix package が出たが、これの patch から security fix 部分を抜きだしたものがこれだ。 すこし前に BUGTRAQ で指摘された別の問題の fix も含まれている。

　こがさん転載許可ありがとうございます。

2000.06.26 追記: オフィシャル patch が出た。 ftp://ftp.wu-ftpd.org/pub/wu-ftpd/quickfixes/apply_to_2.6.0/lreply-buffer-overflow.patch から入手できる。 でもオフィシャル patch では lreply と setproctitle のところしか fix されてない。 こがさん版を適用したほうがなにかと安心、だと思う。

　fix announce がでているもの: Debian, Caldera, CONECTIVA, Red Hat。 まだ出ていない模様: Vine, Kondara, Turbo。 まあ patch あてればいいんだけどさ。 FreeBSD wu-ftpd port は ftp/wu-ftpd/patches/patch-aa 1.11 (2000.06.24) にこがさんの patch が入っている。 NetBSD pkgsrc には反映されてないみたい。

　Solaris 2.6/7 対応のセキュア設定、YASSP: Yet Another Solaris Security Package の紹介。 Solaris 8 もテスト中とされている。

　また、「なにはなくともこれをやらないとまともに使えない」とすら言える Solaris 2.x - tuning your TCP/IP stack and more に Solaris 8 な註釈がついています。 じつはつい最近 Solaris 8 for intel をインストールしたのですが、

If you are installing Solaris 8 for Intel, and you would like to use the stand-alone installation, boot from the 2nd CD-ROM. My installation with the web-installer failed frequently on different machines, and the stand-alone installation (my favourite, anyway) was the only way to get going.

には同意します。で、そうした場合でも default route を明示的に設定できないので、 インストール中にネットワークを参照することができない〜な状態になっちゃうんですよねえ。なんでこんななの? デフォルトルートが流れてくる環境ではたぶん ok だと思うのですが、たまたまそうじゃない (らしい) ところでやったので……。

　あと、Solaris というと Running BIND chroot on Solaris というのがあるそうです。

　2000.05.11 の [JavaHouse-Brewers:33152] 警告: MacOS 版IE と MRJ のURLConnection にセキュリティホール に追記した。 いまごろになってようやく Apple Tech Info Library 日本語版にこれの情報が登場。

　なんやかやで紹介がおそくなってしまった……。

　SecurityFocus.com Newsletter 第 45 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 なんか紹介がめちゃくちゃ遅れてしまってますね。すいません。

• TACACS+ ネタ。

  • TACACS+ Denial of Service Vulnerability

  • TACACS+ Protocol Flaws Vulnerabilities

  もとネタは Solar Designer 氏による An Analysis of the TACACS+ Protocol and its Implementations。 Damir Rajnovic 氏による反論も参照。 商用プロダクトである CiscoSecure for Unix and NT には buffer overflow する弱点はないとしている。

• Multiple Vendor *BSD Denial of Service Vulnerability

  FreeBSD, Openbsd, NetBSD に対する local DoS。 指摘文書の subject では Mac OS X affected になってるけど、本文には何も書いてないんだよね。 FreeBSD がパニクっちゃうのはこまるなあ。

  Linux での状況がフォローされている。

• NetWin DMail ETRN Buffer Overflow Vulnerability

• GNU wget 1.5.3 chmod symlink Vulnerability

  もと記事に patch もついている。 wget -N (or --timestamping) している人は適用しよう。 FreeBSD ports-current には patch-ftp.c として反映されている。

• PassWD 1.2 Weak Encryption Vulnerability

• SMB もの。指摘者は samba.org の Luke Kenneth Casson Leighton 氏。

  • Microsoft Windows NT 4.0 / 2000 Ignored SMB Response DoS Vulnerability

    こちらは 20 秒の利用停止。もと記事: anonymous SMB service DoS on nt5 (and TCP DoS on nt4)

  • Microsoft Windows NT 4.0 / 2000 SMB Write Request DoS Vulnerability

    こちらは NT/2000 がクラッシュしてしまうそうだ。もと記事: anonymous SMBwriteX DoS

  まあ、ふつう 139 とか 445 とかは閉じてるだろうけどね。

• HP-UX man /tmp symlink Vulnerability

  HP-UX 10.20, 11.00 の man コマンドに弱点。 root で man コマンドを実行すると特に……という話。

• Microsoft Windows NT 4.0 PDC/BDC Synchonization Reused Keystream Vulnerability

  まあ、まともな人は SP6a でしょうから関係ないでしょう。

• BSD mailx 8.1.1-10 Buffer Overflow Vulnerability

  Slackware Linux 3.6/4.0/7.0 の /usr/bin/Mail や Debian GNU/Linux の mailx に問題があるという指摘。 local user が gid=mail を取れる。 solution の項に mailx-8.1.1-10 用の patch がある。

• XFree86 Xserver Buffer Overflow Vulnerability

  2000.04.17 の XFree86 server overflow の話なのかな? 否定的な意見が多かったはずだが……。

• Mirabilis ICQ 2000A Mailclient Temporary Link Vulnerability

• Microsoft Windows NT 4.0 Machine Account Creation Vulnerability

  これも samba.org の Luke Kenneth Casson Leighton 氏による指摘。 やっぱ "DCE/RPC over SMB: Samba and Windows NT Domain Internals" (本です: ISBN 1578701503) は買っておかにゃいかんということか?

• Microsoft IE NavigateComplete2 Cross Frame Access Vulnerability

  もと記事は、おなじみ Guninski 氏による IE 5 Cross-frame security vulnerability using IFRAME and WebBrowser control。 IE 5.01 に弱点。 悪意ある web site は、IFRAME に対して NavigateComplete2() イベントを送ることによって、パス名が既知の localfile を読み出せてしまう。 Active Scripting の停止によって回避できる。

• Checkpoint FW-1 Fragmented Packets DoS Vulnerability

  FireWall-1 に対して、 jolt2 のような不完全/異常なフラグメントパケットを利用した DoS 攻撃が可能だという指摘。 FW-1 は CPU を 100% 使いはたしてしまうという。 fw ctl debug -buf コマンドで console logging を停止することにより いくつかの OS (UNIX) では状況が改善されるようだ。 完全解決は checkpoint の patch 待ち。

  指摘文書: FW-1 IP Fragmentation Vulnerability。 詳細は http://www.enteract.com/~lspitz/fwtable.html。 checkpoint の IP Fragment-driven Denial of Service Vulnerability も参照。

• Savant Web Server CGI Source Code Disclosure Vulnerability

• Allaire ColdFusion Server 4.5.1 Administrator Login Password DoS Vulnerability

• EType EServ Buffer Overflow Vulnerability

• ISC innd 2.x Buffer Overflow Vulnerability

  INN 2.x において、verifycancels = true となっている状態 (RedHat Linux ではこれがデフォルト) で buffer overflow する弱点が発生。 remote から news ユーザ/グループ権限を奪取できる。 INN 1.7.x にはこの弱点はない。 INN 2.2.3 で fix されている。

• HP Openview Network Node Manager Alarm Service Buffer Overrun Vulnerability

• Computalynx CMail Web Interface Buffer Overflow Vulnerability

• Computalynx CMail Web Interface CPU Consumption DoS Vulnerability

• Lilikoi Ceilidh 2.60 Multiple Vulnerabilities

• i-drive Filo 1.0.0.1 Buffer Overflow Vulnerability

• McAfee VirusScan 4.03 Alert File Vulnerability

  いきなり送れちゃうというのもなんだかなあ。

　WinProxy 2.0, 2.0.1 に弱点。 http proxy port に対して異常なリクエストを送ることにより WinProxy が停止し DoS 攻撃が成立する他、POP3 proxy でのいくつかのコマンド処理において buffer overflow する弱点があり、remote から任意のコマンドを実行することができてしまう。デモプログラムが添付されている。

　WinProxy 2.0.2 において fix されているので、これに入れかえる。

　2000.06.02 の Latest wave of worms using hidden file-extensions に追記した。 hidden file-extensions (レジストリ値 NeverShowExt) を利用するウィルスが登場。

　2000.05.22 の Lotus ESMTP Service (Lotus Domino Release 5.0.1 (Intl)) に追記した。 5.0.4 出てます。

　2000.04.24 の MS00-026: Patch Available for "Mixed Object Access" Vulnerability に追記した。 日本語 patch が出ている。

　2000.04.21 の MS00-021: Patch Available for "Malformed TCP/IP Print Request" Vulnerability に追記した。 日本語 patch が出ている。

　先日英語版が登場した Outlook 98/2000 のセキュリティ向上 patch の日本語版が登場した。 実行ファイルを添付できなくなる/添付されている実行ファイルにアクセスできなくなる他、外部プログラムによるアドレス帳へのアクセスなどの場合に確認ダイアログを表示してくれる。 またデフォルトのセキュリティゾーンが「制限付きサイト」ゾーンに設定される。 Melissa や ILOVEYOU のような攻撃に対して一定の効果が期待できる。

• Outlook 2000 用

  KB: J054049, [OL2000] Outlook 2000 電子メールセキュリティアップデートの開発者向け情報

• Outlook 98 用

  KB: J054050, [OL98] Outlook 98 電子メールセキュリティアップデートの開発者向け情報

　[OL2000] Outlook 2000 電子メールセキュリティアップデートの開発者向け情報には次の注目すべき情報がある:

Outlook と HTML メール

このセキュリティ アップデートにより、Outlook 98 と Outlook 2000 SR-1 はいずれも既定で「制限付きサイト」ゾーンに入れられます。 HTML 形式のメッセージを開き、そのメッセージにスクリプトが含まれていた場合、 スクリプトはインターネット セキュリティの設定に応じて動作します。

注意 : この機能は Outlook 98 と Outlook 2000 SR-1 の相違点となります。 Outlook 98 では、セキュリティ設定が適度に低く設定されていればこのアクティブコンテンツを引き続き実行させることができますが、 Outlook 2000 SR-1 ではインターネット セキュリティの設定に関わらず HTML 形式の電子メールに含まれるスクリプトを完全に無効にします。

　というわけで、この patch を適用しても残る問題は:

• 「制限付きサイト」ゾーンのデフォルト値においてアクティブスクリプトの実行が許可されている (Outlook 98 で問題)。 また、スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行も許可されてしまっているため (Outlook 98/2000 で問題)、 2000.05.23 の MS00-034: Patch Available for "Office 2000 UA Control" Vulnerability のような事象が発生すると悲惨な状況となる。 両者については「無効」と設定しなおすことを強く推奨する。 ついでに Java も無効にしておこう。

• HTML メールの受信、あるいは HTML メールの解釈を禁止することができないため、 HTML メールを利用した攻撃が可能である (Outlook 98/2000 で問題)。 たとえば Circumventing Outlook Security Update File Download Security With IFRAMEs という方法で、危険な実行ファイルのダウンロード/実行を促すことができる。

　2000.06.08 の Patch Available for "SQL Server 7.0 Service Pack Password" Vulnerability に追記した。 J054179, [SQL]FIX: SP インストールが標準セキュリティパスワードをファイルに保存する によると、英語版 patch を日本語版 SQL 7 にも適用可能のようだ。

　2000.06.13 の local root on linux 2.2.15 に追記した。 SENDMAIL SECURITY TEAM ADVISORY: Sendmail Workaround for Linux Capabilities Bug の 日本語版が登場。

　Linux kernel 2.2.16pre5 以前に弱点。 setcap(2) に問題があるため、local user は sendmail や cron を通して、より大きな権限を入手することができてしまう。 sendmail の場合は root shell を手に入れることができる。 cron の場合は gid=0 を手に入れることができるという。

　sample exploit: [1], [2]。 [1] については、手元の TurboLinux 6.0 Workstation / sendmail 8.9.3 / kernel 2.2.13 で確認できた。

　この弱点は kernel 2.2.16pre5 において fix されている。 2.2.16 はすでにリリースされているが、2.2.16 には NFS lockd DoS バグ が残っているため、2.2.17pre1 への patch も公開されている。

　また、上記 sample exploit のように、sendmail を経由して攻撃を実施することができるため、これに対応した sendmail 8.10.2 が登場している。

　Caldera からさっそく fix package が出ている: Caldera Systems, Inc. Security Advisor: Security Update: serious bug in setuid()。 各ディストリビューションでも用意している最中かすでに出ているはずなので、 各自でしらべてみよう。 そういえば、さっき Turbo な人が「今となりでつくってます」と言っていた。

　あと、これを使った攻撃を察知するカーネルモジュールというのが登場している。

2000.06.14 追記: SENDMAIL SECURITY TEAM ADVISORY: Sendmail Workaround for Linux Capabilities Bug の 日本語版が登場。 ありがたや。

2000.06.26 追記: upgrade package リスト: RedHat, Mandrake, Turbo。 Vine や Kondara はまだみたい。

　Windows 2000 の DNS サーバのデフォルト状態では、 権威のない DNS サーバから偽りの情報を教えられると、これを鵜飲みにしてそのまま使ってしまうため、かんたんに DNS spoofing できてしまう、という指摘。 「Pollution に対してセキュリティでキャッシュを保護する」オプションがデフォルト OFF のためらしい。 Windows 2000 の DNS サーバを使う場合は、忘れずに ON にしておこう。

　うーん、それにしても 「サーバーの詳細なパラメータを調整する」 の記述はなんだかよくわからん。「セキュリティで保護された応答オプション (secure response option)」っていったい何のことだろう。 Windows 2000 DNS を動かしてみるしかないなあ。

　FreeBSD ネタ 3 つ。

• FreeBSD-SA-00:21 ssh port listens on extra network port [REVISED]
  (from FreeBSD-security ML, Thu, 08 Jun 2000 09:17:16 +0900)

  FreeBSD の SSH port に 2000-01-14 に加えられた patch が、間違って sshd を port 22 の他に port 722 で動作させてしまっていた、という話。 /usr/local/etc/sshd_config に Port 722 という行があれば、それを削除して sshd を再起動すればよい。

• FreeBSD-SA-00:22 apsfilter allows users to execute arbitrary commands as user lpd
  (from FreeBSD-security ML, Thu, 08 Jun 2000 08:21:17 +0900)

  apsfilter 5.4.1 以前に弱点。 local user が lpd 動作権限 (通常 root) でコマンドを実行できてしまう。 apsfilter 5.4.2 以降で fix されているので、これベースの packages/ports に入れなおす。

• FreeBSD-SA-00:25 FreeBSD/Alpha platform lacks kernel pseudo-random number generator, some applications fail to detect this.
  (from FreeBSD-security ML, Tue, 13 Jun 2000 06:51:44 +0900)

  FreeBSD/Alpha では /dev/random および /dev/urandom による乱数生成をまだサポートしていなかった。にもかかわらずこれを使おうとしてしまうアプリがあり、しかも使えない場合に error exit しない場合に問題となっていた。 この中には OpenSSL やこれをベースパッケージとして用いる OpenSSH が含まれている。

  2000-05-10 以降の 4.0-STABLE、 2000-04-28 以降の 5.0-CURRENT では /dev/random および /dev/urandom が正常動作するようになっているので、これに入れかえたうえで初期化しなおせばよい。 また、ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:25/kernel.gz に新版のジェネリックカーネル、 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-00:25/kernel.sys.diff に patch が用意されている。

  この弱点は x86 版には存在しない。

　00:23 と 00:24 が欠番になってるなあ。

　2000.06.11 の more majordomo brokeness に追記した。 patch には間違いがあるそうだ。

　2000.05.17 の ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator に追記した。 Caldera fix 登場。

　2000.05.19 の BUFFER OVERRUN VULNERABILITIES IN KERBEROS にひきつづき、MIT Kerberos 4/5, KTH-krb4 などに buffer overflow する弱点。 DoS attack を受けるという。 MIT からの情報 Security Advisory: MULTIPLE DENIAL OF SERVICE VULNERABILITIES IN KRB4 KDC によると、弱点があるのは:

• MIT Kerberos 5 releases krb5-1.0.x, krb5-1.1, krb5-1.1.1
• MIT Kerberos 4 patch 10, and probably earlier releases as well
• KerbNet (Cygnus implementation of Kerberos 5)
• Cygnus Network Security (CNS -- Cygnus implementation of Kerberos 4)
• KTH-krb4 before version 0.10

で、ないのは:

• KTH-krb4 -- version 0.10 and above
• Heimdal (KTH implementation of Kerberos 5) -- any version

　KTH-krb4 の旧バージョンにも弱点があるとされているので、BUFFER OVERRUN VULNERABILITIES IN KERBEROS のときには安全とされていた OS でも fix patch が登場する可能性がある。 続報に注意されたい。

　CERT Advisory 原文: http://www.cert.org/advisories/CA-2000-11.html。

　そうそう、日本で MIT Kerberos 5 がほしい場合は ftp://ftp.iis.u-tokyo.ac.jp/pub/security/kerberos5/ にあるそうです。どこからどうやってここに来ているのか、までは知りません。 Kerberos Export Control の記述とか、気になりますけどね。

　2000.06.06 の MS00-039: Patch Available for "SSL Certificate Validation" Vulnerabilities に追記した。 CERT Advisory でも取りあげられている。

　BRU (バージョン不明) が suid root でインストールされている場合、環境変数 BRUEXECLOG を指定することによりシステムファイルを上書きできる、という指摘。 全ての状況で suid root インストールされるわけではないようだが、BRU ユーザは一度パーミッションを確認されたい。

　Windows NT 4.0 に弱点。 リモートからレジストリにアクセスするにはリモートレジストリサーバによる認証を受けるが、リモートレジストリサーバに対して意図的に壊れた要求を出すと、リモートレジストリサーバが誤動作してしまう。 リモートレジストリサーバには winlogon.exe が含まれているのだが、これもやっぱり誤動作してしまうため、結果としてシステム全体が誤動作してしまう。 回復するにはリブートするしかない。

　例によって英語版 patch のみ。リモートからのレジストリアクセス自体の制御については Q153183: How to Restrict Access to NT Registry from a Remote Computer で述べられている。

2000.06.28 追記: サンプル攻撃コードが投稿されていた。 nessus はこの弱点を発見できるようになるようだ。 ああ手元の nessus も更新しなきゃ。

　山崎はるか氏による I LOVE YOU ウィルスの解説。 レジストリとかの \ が消えちゃってるみたいな気が……。 豊田さん情報ありがとうございます。

　SecurityFocus.com Newsletter 第 44 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してなかったのは以下……のはず。

• Microsoft Windows Long Filename Extension Vulnerability

• Danware NetOp Remote Control Unauthenticated File Transfer

• NT Login Request Size Mismatch DoS Vulnerability

  NT 4.0 SP4 以降で fix されてる話じゃん。

• Linux cdrecord Buffer Overflow Vulnerability

  local user が gid 80 を取れるバグ。 Linux-Mandrake Security Update: cdrecord でてます。 Kondara 1.1 fix も出てます。

• Caldera IDENT daemon Denial of Service Vulnerability

• Caldera OpenLinux 'smail -D' Command Vulnerability

• KDE libmediatool symlink Attack Vulnerability

  symbolic link attack を受けるようです。

• pbpg 1.x File Read Permission Override Vulnerability

• KDE kdesud DISPLAY Environment Variable Overflow

  DISPLAY 環境変数で buffer overflow するので gid=0 が取れる。 patch がある。

• Electronic Mail for UNIX (ELM) Buffer Overflow Vulnerabilities

• S.u.S.E. Linux IMAP Server Unauthorized Remote Access Vulnerability

• Fastraq Mailtraq 1.1.4 Multiple Path Vulnerabilities

• KDE kdm Buffer Overflow Vulnerability

• xemacs Multiple Vulnerabilities

• IBM HTTP Server Root Directory Access Vulnerability

  これは、もともとの Apache for Win32 に問題があるようだ。 exploit が登場しているので試すことができる。 1.3.13 で fix されるらしい。

• ITHouse Mail Server 1.04 Buffer Overflow Vulnerability

• Concatus IMate Web Mail Server 2.5 Buffer Overflow Vulnerability

• Sambar Server 4.3 Buffer Overflow Vulnerability

• Simple Network Time Sync daemon Buffer Overflow Vulnerability

• Allegro RomPager Malformed URL Request DoS Vulnerability

• KDE KApplication configfile vulnerability

  Caldera Security Advisory CSSA-2000-015: suid root KDE applications, Red Hat, Inc. Security Advisory: kdelibs vulnerability for suid-root KDE applications の話。

　訂正と フォローがされていますので、こちらもご参照を。

　LibnetNT もとりあげられてますね。

　2000.05.08 の AppleShare IP 6.3.2 squashes security bug に追記した。 日本語 patch 登場。

　2000.03.27 の Multiple Linux Vendor gpm Setgid Vulnerability に追記した。 TurboLinux fix 登場。

　2000.05.01 の xlockmore 4.16.1 buffer overflow fix に追記した。 TurboLinux fix 登場。

　2000.05.30 の Nasty XFree Xserver DoS に追記した。 XFree86 4.0 用の patch が投稿されていた。

　majordomo 1.94.5 に対して、-C オプションで指定されるコンフィギュレーションファイルについて、特定ディレクトリ下にある場合のみ許可する patch。 おおもとの majordomo はそうなっていないので -C オプションの存在が弱点になっている。 これは FAQ に書いてある話ではあるが、だからと言ってデフォルトセキュリティが不十分でいいわけないのである。ドキュメントに書いたから、なんていう Windows NT のような言い訳はやめてほしい。

　これに対し、RedHat からは fix package の案内が出ている。 また Debian では majordomo を Debian アーカイブから削除する、と案内されている。 the majordomo license does not allow us to fix these problems and distribute a fixed version. As a result we have decided to remove majordomo from our archives だそうなのだが、とすると RedHat のパッケージっていったい……。

2000.06.13 追記: 上記の patch には間違いがあり、 $cf = "$ENV{'MAJORDOMO_CFDIR'}/$ARGV[1]" unless $ARGV[1] =~ /\//; にしないとまずいという情報をこがさんからいただきました (ありがとうございます)。 こがさん自身は -C オプション自体を無効にすることを推奨されていらっしゃいます。

　Real Server G2 1.0, Real Server 7.0/7.0.1 (UNIX 版/Windows 版両方) に弱点。Real Server の http port (デフォルト: 8080) に特殊な情報を送ると Real Server はサービスを停止してしまうという。 指摘文書に具体例が記述されている。

　これに対し、対応策がフォローされている。 また、Real Server 7.02 版で fix されているとフォローされている。

　xterm に window の resize を行う ESC シーケンスを送りつけることにより DoS を誘うという話。 XFree86 3.3.3.1 xterm や rxvt 2.6.1 が crash するという……が、 手元の XFree86 3.3.5 xterm では反応はしたが crash はしなかった。 その他、Eterm 0.8.10, 0.9 も crash し、 gnome-terminal や aterm 0.3.6 にはこの弱点はないとフォローされている。 手元の kterm 6.2.0 でも何も発生しなかった。

　Windows Media Encoder 4.0, 4.1 に弱点。 意図的に壊されたリクエストを受けると、Media Encoder が crash してしまう。 Windows Media を利用した生中継をしている場合に問題となる。 Windows Media Server には問題は発生しないので、 すでに encoding 済みのものの中継の場合はだいじょうぶ。

　英語版 patch はあるが、日本語版はまだ。 サンプル攻撃コード も公開されている。

2000.06.30 追記: 2000.06.21 に英語版 patch が再リリースされている。 もちろん日本語版はまだだ。

2000.07.05 追記: 日本語 patch 登場。 http://www.asia.microsoft.com/downloads/release.asp?ReleaseID=22479 から入手できる。バージョン 29035a というのは、たぶん新しいやつなんだろう。

　MS SQL Server 7.0 SP1,2 に弱点。 Mixed Mode で利用している場合に、 管理者パスワードが \%TEMP%\sqlsp.log に平文で保存されてしまうため、 server に対話的に logon できるユーザは管理者パスワードを知ることができてしまう。Windows NT Authentication Mode を利用している場合にはこの問題はない。

　英語版 patch はあるが、日本語版はまだ。

2000.06.15 追記: J054179, [SQL]FIX: SP インストールが標準セキュリティパスワードをファイルに保存する によると、英語版 patch を日本語版 SQL 7 にも適用可能のようだ。 ただし、KB 中では「Windows NT セキュリティ認証を使用」することが強く推奨されている。

2000.06.28 追記: MS00-035 が改訂されている。\%TEMP%\sqlsp.log の他、%WINNT%\setup.is にも記録されていることが判明し、patch が再リリースされている。 詳細は MSKK2000-68 を参照。

　ISS Security Alert Summary June 1, 2000 Volume 5 Number 5。

　Windows 2000 Pro/Server/Advanced Server に弱点。 秘密鍵などのセキュリティ情報を保存する Protected Store というものがある。 仕様としては、Protected Store は OS で利用できる最強の暗号化方式で暗号化されるのだが、Windows 2000 では、128bit 暗号が利用できるはずの場合でも常に 40bit 暗号 (40bit RC4?) が使用されてしまう。 日本語 Windows 2000 の場合は高度暗号化パックを適用すると 128bit 暗号が利用できるようになるのだが、その場合でも Protected Store は 40bit のままだ、ということだ。 このため、Administrator 権限を所有する攻撃者は、40bit 鍵を brute-force attack することで、ユーザの秘密鍵などを手に入れることができる。

　英語版 patch が用意されている。これを適用すると、128bit 暗号が利用できる場合はそれを Protected Store に適用するようになる。また、すでに 40bit 暗号を適用してしまっている Protected Store を再暗号化するための Keymigrt ツールもインストールされる。 もちろん、日本語版 patch はまだだ。

　いくつかメモ。

• Norton Internet Security 2000 の日本語版は、 少なくとも今年中に登場することはないようだ。 すっげー悲しい。

• Eudora Pro 4.3J が出るが、こいつのベースバージョンが最新 4.3.2 になってるかどうかは不明 (4.3.1 以前には buffer overflow bug ありまっせ)。 いまいち要領得ない返答が返ってくるので、 多分違うんだろうな。

• Turbo Linux 6.1 Server では、商用パッケージ購入者に対する e-mail でのセキュリティ情報通知が行われる (と箱に書いてある) のだが、 これが ftp 版とか Workstation 版などにも拡大されるのかどうかは不明。 儲かってない TurboLinux US でもやってることを、儲かっている TurboLinux Japan ができないはずはないと思うんだが……。

• x86 PC-UNIX で使えるファイアウォールとしては、 Check Point FireWall-1 4.1 (Check Point 2000 Edition) (Solaris, RedHat) があるようだ。といっても最新の Solaris 8, RedHat 6.2 については動作検証中だそうで、対応 OS はいまのところ Solaris 7/RedHat 6.1 までだ。 *BSD で動けばいいのにねえ。

  FW-1 では、パッケージ自体は全部入りで、ライセンス数だけインストールして使ってくれていいそうだ。 また、他 OS への以降についても、ライセンスを IP address で取得している場合は、同じ IP address を使う限り問題ないそうだ。

  あと、Raptor が RedHat Linux に対応しているようだ。 こちらは x86 Solaris 対応はなし。

  *BSD といえば Sidewinder (BSD/OS) や BorderWare (FreeBSD 2.2-stable base) がそうなんだけど、これらはハード込みで売ってるって感じみたい。

• 武田さんの IDS の本が N+I で先行発売されていた。さっそく買っておいた。

　一部 [COVERT-2000-05] Microsoft Windows Computer で述べているが、改めて紹介しておく。 CIFS のコンピュータブラウザプロトコルまわりで 2 点の弱点が発見された。

• Windows NT 4.0/2000 に問題。 ResetBrowser リクエストパケットを送ることにより、誰でも remote から、 ブラウザサービスのリセットや停止ができてしまう。また、このリクエストを block する方法がない。 [COVERT-2000-05] Microsoft Windows Computer で述べている話。

• Windows NT 4.0 に問題。 マスタブラウザに大量の HostAnnouncement フレームを送ることにより、 ブラウザ間の通信がネットワーク帯域を埋め尽くしてしまう。

  問題発見者による詳細情報: Alert: Windows NT Browser Service DoS

　日本語版 Advisory: MSKK2000-59。 英語版 patch はあるが日本語版 patch はまだだ。

　MSIE 4.0x/5.0x に弱点。 悪意ある web サイトは、コンパイル済み HTML ヘルプファイル (.chm) を参照して起動させることにより、.chm 中に含めたショートカットを利用して、データの改ざんや削除、データ通信など悪意あるコードを実行させることが可能となる。 この攻撃を行うには .chm ファイル自体は UNC シェアか local computer に設置する必要がある。最も考えられるシナリオは HTML メール + 添付ファイルによる攻撃、だろう (また HTML メールかよ)。 これを利用するウィルスの登場も時間の問題であろう。

　英語版 patch が出たが、日本語版はまだだ。 .chm の起動にはアクティブスクリプトが有効になっている必要があるため、アクティブスクリプトを無効にすることにより、この問題を回避できる。

　IE 4.0x/5.0x にも ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator のような弱点があった、という話。具体的には:

• image あるいは frame において SSL 接続する場合に、 IE は証明書のサーバ名や有効期間をチェックしていない。

• あるサーバへの SSL 接続が開始されると、そのセッションが続いている間は、 同じサーバへの新たな接続が開始される場合において、 IE は証明書の再チェックを行わない。

　発生しうる問題は ALERT: Bypassing Warnings For Invalid SSL Certificates In Netscape Navigator の場合と同様。 MS Advisory では The circumstances under which these vulnerabilities could be exploited are fairly restricted なんてほざいているが、DNS 乗っ取りは決してめずらしい話ではないし、 Windows 2000 DNS サーバにそのような攻撃を受けやすい脆弱性があるのではと疑われているのだ (未確認: これに関する freebsd-net-jp ML の記事)。 SSL は現在の e-コマースの安全性の根幹をなす部分のひとつであり、これには脆弱性があってはならないのだ。

　発見者による詳細情報: ALERT: Bypassing Warnings For Invalid SSL Certificates In Internet Explorer。 日本語版 patch はもちろんまだない。

2000.06.13 追記: CERT Advisory でも取りあげられている。 CERT Advisory CA-2000-10: Inconsistent Warning Messages in Internet Explorer (原文) 参照。

2000.07.27 追記: patch あり。IE 5.01 SP1/5.5 で fix。

　SecurityFocus.com Newsletter 第 43 号日本語版 (英語原文、 日本語テキスト原文 (PGP 確認したい人用))。 ここで紹介してなかったのは以下……だと思うけど、数がおおくて自信ないな。

• BeOS TCP Fragmentation Remote DoS Vulnerability

• Fortech Proxy+ 2.30 Remote Administration Vulnerability

• ArGoSoft FTP Server 1.0 Multiple Buffer Overflow Vulnerabilities

• Intel Express 8100 ISDN Router Fragmented ICMP Vulnerability

• Nite Server FTPd Multiple DoS Vulnerabilities

• MetaProducts Offline Explorer Directory Traversal Vulnerability

• GNOME gdm XDMCP Buffer Overflow Vulnerability

  Martin K. Peterson 版の gdm のみにこの弱点があるとされている。 主要ディストリビューションに含まれているものはだいじょうぶ。

• Multiple Vendor Web Shopping Cart Hidden Form Field Vulnerability

• Multiple Linux Vendor fdmount Buffer Overflow Vulnerability

  弱点があるとされているのは SuSE, Slackware, Turbo。 Debian, RedHat には弱点なしとなっている。

• Cayman 3220H DSL Router "ping of death" Vulnerability

• AIX Filesystem Vulnerability

  ftp://aix.software.ibm.com/aix/efixes/iy09941 に AIX 4.3.2 用の emergency fix があるそうだ。

• HP Web JetAdmin Directory Traversal Vulnerability

• Rockliffe MailSite 4.2.1.0 Buffer Overflow Vulnerability

• Pacific Software Carello File Duplication ... Vulnerability

• HP Web JetAdmin 6.0 Printing DoS Vulnerability

• Pine 4.x Remote Command Execution Vulnerability

• thttpd tdate_parse() Stack Overflow Vulnerability

• Inter Net News server (inn) Buffer Overflow Vulnerability

  INN 2.2.2 で fix されているそうだ。

• Deerfield MDaemon Mail Server DoS Vulnerability

  MDaemon 3.0.4 で fix されているそうだ。

• PGP5i Automatic Key Generation Routine Vulnerability

  pgp 5.0i for UNIX で、かつ /dev/random を用いた key 生成を行った場合のみ問題が発生。 2.*i や 6.5i には問題はない。 CERT Advisory CA-2000-09 Flaw in PGP 5.0 Key Generation (日本語、原文) も参照。

• MDBMS Buffer Overflow Vulnerability

• Network Associates WebShield SMTP 4.5.44 Config Vulnerability

• Network Associates WebShield SMTP 4.5.44 Overflow Vulnerability

• Omnis Studio 2.4 Weak Database Field Encryption Vulnerability

• PDGSoft Shopping Cart Multiple Buffer Overflow Vulnerabilities

• Big Brother bbd.c Buffer Overflow Vulnerability

• TopLayer AppSwitch 2500 Multiple DoS Vulnerabilities

　2000.05.22 の Lotus ESMTP Service (Lotus Domino Release 5.0.1 (Intl)) に追記した。 5.0.4 で fix されているそうだ。

　MS Windows においては、ファイル拡張子を表示するよう explorer を設定していたとしても、.pif や .url, .lnk などは表示されない。 このため、readme.txt.pif などと拡張子を設定しておくと、ユーザにはいかにもふつうのテキスト文書 (readme.txt) のように見えてしまう。 アイコンは一般のテキスト文書とは異なるし、詳細表示でならファイル種類が 「MS-DOS プログラムへのショートカット」になっていることもわかる。 しかし、はたしてどのくらいの人が気付くことができるかは大いに疑問である (.pif, .url, .lnk についてはアイコンを変更できるそうだ……朽木さん情報ありがとうございます)。 .pif ファイルは .bat のように働き、ファイルの削除やら format やらができてしまうので安易に実行するのは問題なのだが、上記のようにテキストファイルなどの「安全な」ファイルに見せかけることにより実行させやすくすることが可能となっている。

　これを回避するには、レジストリ値 NeverShowExt を削除する。 .pif の場合は HKEY_CLASSES_ROOT\piffile にある。 regedit から検索することにより NeverShowExt を持つもの全てを発見できる。 全部削除しちゃおう……と言いたいところだが、.lnk (ショートカット) と .url (インターネットショートカット) について NeverShowExt を消すと、 スタートメニューとかブックマーク (お気に入り) とかの見栄えがへろへろなので、 そのあたりも考えて実行されたい。

2000.06.20 追記: 新種ウイルス「Stages」，米大手企業でも感染——テキスト装った添付ファイルに注意によると、 NeverShowExt を利用するウィルスが登場したそうだ。 ただし、利用されたのは .pif や .lnk ではなく .shs (Windows scrap) だ。 Outlook 2000 SR-1 アップデート: 電子メール セキュリティはこの攻撃にも有効だという。 CERT Incident Note IN-2000-07: Exploitation of Hidden File Extensions も参照。

　このソフトには NSA 用の backdoor が存在すると思いますか? [はい] [いいえ] [わからない] [しってるけどこたえられない]

　2000.05.30 の RFC2827: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing に追記した。 IPA 宮川さんによる日本語版情報を追記。

　pick up。

• J053849, [NT]Kerberos 相互運用性 - 新しい領域が正しく伝達されない。 日本で 3rd party Kerberos とくみあわせている例はどのくらいあるんあろう。

• J053848, [NT] ユーザー GUID が長すぎると Encryption Pack のインストールが失敗する。AD まわりは、まだまだ細かい不具合があるようですね。

• J053844, [OE51] Outlook Express が正常に動作しなくなった場合の対処方法。 豪快というか、乱暴というか。