セキュリティホール memo - 2000.12

　日本航空乗員組合 が選ぶ 2000 下半期 10 大ニュ−ス。 エンジン火災とかエンジン爆発とか、シャレにならない事項が並んでいる。

　個人的には、今年の TOP 1 はなんといっても東海豪雨だなあ。 あれのおかげで野並界隈ではかなりの店が閉店してしまい、 冗談抜きでさびれてしまった。 ウチも、テナントが出てっちゃったし。 「これくらいでもこうなるんだから、神戸なんてほんとにたいへんなんだよねえ」 なんて会話をしていた。

　MS な web site で、form 経由などで管理者などあてに mail を出せるようにしている場合に、/cgi-bin/ とかに Blat などのコマンドラインメーラが置いてあると、 外部からこれを直接起動することによってホスト内部の情報を得ることができてしまうという話。この他にも、メールメッセージをファイルに書き出せてしまう (remote から .bat がつくれてしまうではないか)、hidden フィールドや REFERER に基づいて mail の発信可否を決定するなどさまざまな問題がさまざまなメーラに散在するという。

　B-) さんのところ の 2000/12/13 に書いてある話。 Blat をはじめとする多くのコマンドラインメーラが、 web サーバから使う場合に何らかの脆弱性があるとしてリストされている。

　とりあえずの回避策としては、メーラを直接呼び出さずに script 経由とし、メーラ自体は web root の外に設置する。 しかしこれは、MS00-086「Web サーバーによるファイル要求の解析」の脆弱性に対する対策 の最終 fix がいまだに登場しない日本語版 IIS 環境ではあまりうれしくない解決策のような気がする。 他の方法としては、COM 経由で e-mail を送るようにする。 日本で広く利用されている BlatJ には COM 版があるので好都合だろう。

　……いやしかし、これって /cgi-bin/ に /bin/mail を置くようなイメージですよねえ (UNIX 語ですまん > わかんない人)。 そりゃ置くほうが悪いよねえ。 IIS とかなサーバでは、そんな豪快なことが一般的に行われているのでしょうか?

　NTBUGTRAQ に Comments に関するコメントが寄せられている: Response to Xato Command-line Mailer Security Advisory。 Comments は 1.8 で問題を修正したようだ。

PS. netcraft っておもしろい出力が出ますねえ。

　SecurityFocus.com Newsletter 第 72 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Sonata Local Arbitrary Command Excution Vulnerability

• Alt-N MDaemon 3.5.0 Denial of Service Vulnerability

• Nano Local File Overwrite Vulnerability

  Debian fix。

• BEA WebLogic Server Double Dot Buffer Overflow Vulnerability

  '..' バグ。

• Itetris Privileged Arbitrary Command Execution Vulnerability

• Infinite InterChange Denial of Service Vulnerability

　Port Scans Legal, Judge Says という記事が紹介されてますね。

　SecurityFocus.com Newsletter 第 71 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• SmartStuff FoolProof Security Program Restriction Bypass Vulnerability

• ssldump Format String Vulnerability

• University of Washington Pico File Overwrite Vulnerability

• Roaring Penguin PPPoE Denial of Service Vulnerability

  RedHat fix。

• Multiple Oops Proxy Server Buffer Overflow Vulnerability

  FreeBSD fix。

• Microsoft IIS Far East Edition DBCS File Disclosure Vulnerability

  詳細がよくわからないんだよね……。 solution の項に対応策が出てます。

• Leif M. Wright everythingform.cgi Arbitrary Command Execution Vuln
  Leif M. Wright simplestmail.cgi Remote Command Execution Vulnerability
  Leif M. Wright ad.cgi Unchecked Input Vulnerability
  Leif M. Wright simplestguest.cgi Remote Command Execution Vulnerability

• SafeWord e.Id Trivial PIN Brute-Force Vulnerability

  Perm 用の soft token を crack して暗証番号を盗めちゃうよという話。

• CoffeeCup FTP Clients Weak Password Encryption Vulnerability

• Subscribe-Me Lite Administration Access Vulnerability

• Alex Heiphetz Group EZShopper Directory Disclosure Vulnerability

• Watchguard SOHO Firewall Fragmented IP Packet DoS Vulnerability
  Watchguard SOHO Firewall Oversized GET Request DoS Vulnerability

• Alt-N MDaemon 'Lock Server' Bypass Vulnerabiltiy

  最新は 3.5.2 のようですが、これが fix されたかどうかは不明。

　Stealth Kernel Patch for 2.2.18 というのがおもしろそう。2.2.16/17 用もあります。

　ハマる人が出てきているようです。 Visual Basic は楽しいですね。 これはやはり、究極命題「バータリー」の効果なのでしょう。 桜木さん情報ありがとうございます。 関連 KB:

• [ACC2000]yy/mm/dd 日付を#で囲むと"mm/dd/yy"に変換される

• [VB] 日付リテラルにより日付を設定するときの注意

　DoD 発の、湾岸戦争での劣化ウラン弾の環境への影響のレポート。 もちろん彼らが簡単に認めるわけではないのですが、 なにしろ日本で有事となれば米軍は劣化ウラン弾をバラまいてくれるはずから、他人事じゃないです。 へぇ、Navy のファランクスにも劣化ウラン弾使ってるんだ。 で、 offering reduced probabilities of radiation exposure and environmental impact というわけで 1989 年に劣化ウランはやめてタングステンにした、と。 でも M1A1/M60 (120mm/105mm) や A-10/AV-8B (30mm/25mm) では使いつづけている、と。 AH-64 は使ってないみたいですね。

　Netscape-Enterprise/3.0L?

　どうも、全体として善意をアテにしすぎているような気がする。 ISP セーフハーバーもそうだし、フィルタ (ラベル) 関係もそう。 悪意ある ISP や悪意あるフィルタ (ラベル) 設定に対してどう対応するつもりなのかがよくわからない。 「第三者機関による判断の仕組み等と併せて、問題を最終的に解決する立場にある裁判所が関与して解決する手続の整備を図ることが望ましい」 がまず立ち上がってくれないとまずいような。

　結局、善意の情報提供者 (反政府的色彩を持つ場合も多々あるはず) の封じこめに使われるだけなような気も。

　記者は、TEMPEST のことは考慮にないようだ。 ってまあそういう製品じゃないんですが、可視域だけが光じゃないし、ラジオライフ方面だと赤外とかの話題が多いですし……。

　from NSA (!) のセキュリティ強化型 Linux。 RedHat 6.1 base で、kernel 2.2.12 + patch (2.2.17 用の unofficial patch もある) で構成。

　INTERNET Watch の記事のほうがよくわかる: 強力なセキュリティー機構を持つLinuxを米国家安全保障局(NSA)が公開。

　2000.12.19 の SecurityPortal - The End of SSL and SSH? に追記した。 Richard Silverman 氏のコメントと Kurt Seifried 氏のフォローアップを追記。

　SSL wrapper ツール stunnel 3.8 以前に format bug があるという指摘。 3.9 で fix されている。 Fix: RedHat, Debian。

　この他にも Stunnel Weak Encryption Vulnerability というのがでてまして、/dev/urandom がない環境で問題となるようです。 これも 3.9 で fix されているそうです。

　Sun Solaris の Race Condition ものがいくつか出てます。

• Korn Shell Redirection Race Condition Vulnerability

  もともと Solaris patchadd Race Condition Vulnerability から出てきた話。 << 利用時につくられる一時ファイルは /tmp/tmp.${PID} であり予測可能なので……という話。 Solaris 2.5.1/2.6/7 の他、HP-UX 9 や IRIX 6.x にも同様の問題があるらしい。 Solaris 8 や HP-UX 11.0 では問題がないとされている。

• Solaris patchadd Race Condition Vulnerability。

  patchadd は /tmp/sh${PID}.1, /tmp/sh${PID}.2, ... というファイルを mode 666 で作成するので……という話。 Solaris 8 以前は全滅か。

• Solaris catman Race Condition Vulnerability

  これは /tmp/sman_${PID} だそうで。

　SecurID トークンカードエミュレータ、だそうです。 SecurID が利用しているアルゴリズムは非公開なんですが、手元に SecurID があるわけでもないので、これで使えるのかどうかよくわからん。

　SurfWatch, Cyber Patrol, CYBERsitter, Net Nanny, X-Stop, PureSight, Cyber Snoop のフィルタリングソフトを回避するソフト。 12/17/2000 までの最新版ソフトに対応しているという。 サーバ側でブロックするやつには効かない。 Windows 98 でしか動作確認していないようだ。 動作原理などはよくわからない。

　最近の OpenBSD 方面 (に限らないけど) な穴。

• 005: SECURITY FIX: Dec 4, 2000: OpenBSD 2.8's ftpd contains a one-byte overflow in the replydirname() function.

  remore から root 取られるらしいので、fix しましょう。 NetBSD 方面も同様のようです: NetBSD Security Advisory 2000-018: One-byte buffer overrun in ftpd。

  BUGTRAQ bugid: 2124。

• 008: SECURITY FIX: Dec 7, 2000: Two problems have recently been discovered in the KerberosIV code.
  009: SECURITY FIX: Dec 10, 2000: Another problem exists in the Kerberos libraries.

  KTH Kerberos (Kerberos IV) 実装の弱点。 symlink attack, telnet 環境変数 (008), libkrb 内部の buffer overflow (009) を fix。 これも remore から root 取られるようです。 NetBSD 方面も同様のようです: NetBSD Security Advisory 2000-017: Security vulnerability in telnetd/libkrb.。 KTH Kerberos page でも fix 版の 1.0.4 を配布している。

  BUGTRAQ bugid: 2090, 2091, 2092, 2093。

• 013: SECURITY FIX: Dec 18, 2000: Procfs contained numerous overflows, which could lead an intruder to root permissions.

  FreeBSD の FreeBSD Security Advisory: FreeBSD-SA-00:77.procfs と同じ話だと思います。 local user が root 取れたり DoS かませられたりします。 OpenBSD では procfs はデフォルト disabled だけど、 FreeBSD ではデフォルト enabled なので要注意。 OpenBSD/FreeBSD 共に patch があるので適用する。

  BUGTRAQ bugid: 2130, 2131, 2132。

• 014: SECURITY FIX: Dec 22, 2000: Improve xlock(1)'s authentication by authenticating via a pipe in an early forked process.

  これは bug fix ではなくセキュリティ向上の patch。 認証機構を変更したそうです。

　2000.08.22-23 に開かれた CERT の Active X Workshop のまとめだそうです。 こたつとみかんのお共にどうぞ。 日本語版がほしいなあ。

　link されている Solaris[tm] Operating Environment Network Settings for Security: Updated for Solaris 8 Operating Environment の方が参考になるかも。 Solaris inetd.conf Pt. 1, 2 は存在しないようだし。

　だからと言って電子マネーが立ちあがるわけでもなし……。

　ハートに火をつけて。 Cube、いよいよ致命的ですねえ。

　gnupg を gpg --verify signature.sig < signed-file.txt として起動すると問題が発生する。 このとき、signature.sig が単なる sinagure ではなく、ある (signed-file.txt ではない) ドキュメントとそのドキュメントの signature で構成されていた場合に、 gpg は signature.sig のみの正当性を check し valid であればエラーを表示しない。 この結果、 gpg は signature.sig のみの正当性を評価したにもかかわらず、 ユーザは signed-file.txt の正当性が証明されたと誤解してしまう。

　gnupg signature verification bug とは別物。 また、1.0.4 も bug あり。 1.0.4 に fix patch を適用する必要がある。 patch 適用後は、gpg --verify signature.sig < signed-file.txt という起動方法は使えなくなり、stdin を使う場合は gpg --verify signature.sig - < signed-file.txt のようにしなければならない。

　ICMP を利用して相手側計算機の OS 種類・バージョンを検知する方法の詳細。

　FrontPage Server Extensions (FPSE) つきの IIS 4.0/5.0 に弱点。 FPSE の browse - time 機能に関連する、不正な web フォームを送ると、 IIS に対して DoS 攻撃を行うことが可能。 この攻撃を受けると IIS 5.0 は自動的に restart するが、IIS 4.0 は手動で restart しない限り凍りつく。

　日本語版 patch はまだ。 FPSE が入っていない環境では問題ない。

　Windows 2000 Server/Advanced Server に弱点。 AD を [サーバーの構成] ツールで作成した場合に、 ディレクトリサービス復元モードで AD なサーバを起動するとき、 AD 復元のためのパスワードが空欄になってしまっている。 このため、このようなサーバに物理アクセス可能なユーザはディレクトリサービス復元モードでログオン可能となり、悪の限りをつくすことが可能。 この他に、回復コンソールにおいても同様の問題が発生する。 DCPROMO を使って構築した AD サーバではこの問題は発生しない。

　日本語 patch はまだ。 また、英語 patch も temporarily removed になっている。 英語版 server 管理者は注意されたい。

　Index Server 2.0 (NT Option Pack), Index Service 3.0 (Windows 2000) に弱点。 Index Server/Service に同梱の Active X "ixsso.query" が誤って「スクリプトを実行しても安全」とマークされている。 このため、悪意ある web サーバ管理者は、Index Server/Service が稼働している PC に対して、この Active X 経由でファイル/フォルダの一覧やプロパティを取得することが可能。

　BUGTRAQ bugid 1933 の話。 日本語 patch はまだない。 また、Index Server 2.0 (NT Option Pack) 用の patch は永遠にリリースされない。ひど。

　Windows Media Server/Service 4.0/4.1 に弱点。 Windows Media ユニキャストサービスに対して特定の方法による TCP/IP コネクションの接続/切断を行うと、Media Server/Service はメモリをきちんと開放しない。 このため、この接続/切断を繰りかえすと、 Media Server/Service がメモリを食いつぶして hang ってしまい、DoS が成立。 対策としては、日本語 patch が出ているので適用すればよい。

　Thanks: NTT Communications だそうだ。

　TEMPEST もの (「漏えい電磁波をマスクする」装置) について、 妙に力を入れて記述されているような印象を受ける……。

　落葉拾いモード。 とりあえず PC-UNIX security hole memo には反映させたつもり。

　落葉拾いモード。

　2000 年に流行ったというと、やっぱり format bug (wu-ftpd など) と (UNICODE などの) encode bug (IIS など) かなーという気がする。 なんとなく。 あと、 Java VM BUG がたくさん公開されましたね。JSP まわりもけっこうあったような。 buffer overflow ものや virus ものもあいかわらず多いですし。

　来年は、すこしはまともになるんでしょうか? それはともかく、とりあえず MS00-086「Web サーバーによるファイル要求の解析」の脆弱性に対する対策の日本語版 patch ほしいよね。 結局来年になっちゃうの? やっぱ「サーバはふつう英語版」なのは変わらない?

　Windows 2000 から Outlook Express を手動削除する方法。

　中村正三郎のホットコーナーでブルーライトヨコハマウス が紹介されてますが、イデ・オン (生産終了) とか、この会社はなかなかシャレていていいですね。しかしこのウィンドウの山は……。

　「現地担当者のPCがウィルス感染」というのはありがちなパターンだとおもうのだけど、US サーバアップデート時という最終防衛ラインで「周期チェックからタイミングが外れてしまい素通り」の可能性というのがなかなか。 添付ファイル 特に 年末年始は要注意!!という話もありますし、おやすみに入るまえに体制をもういちど見直すのが吉でしょう。

　W32.FunLove.4099 というと、Tea Room for Conference の No.205 で話題になっている奴ですね。 もしかして、そういう理由で「現地担当者のPCがウィルス感染」なのかも。 大丈夫なのか?! > NAV。

　ウィルスものだと、新種ウイルス「W32/Ｈｙｂｒｉｓ」に関する情報なんてのも出てますね。

　下手な規制は宣伝にしかならないってことがわかんないのかなあ。 石原慎太郎氏自身の発言のほうがよっぽど不健全だっていう意見はもちろんあるんだろうし。

　オリジナルはこれかな?: 第２４期東京都青少年問題協議会中間答申について。

　IW2000 の JPCERT/CC パネル用の資料だそうです。

　Rumplestiltskin Attacks に対する、EIMS 3.0.2 と SIMS 1.8b8 の対応方法。 基本的には、コネクション数を制限することによって DoS となるのを防ぐようです。 EIMS/SIMS だと「あるホストからのコネクション総数」が制限できるようです。 sendmail な話は Stopping Spam and Trojan Horses with BSD に情報があるそうです。

　玉岡さん情報ありがとうございます。

　SSL/SSH に対する man-in-the-middle attack の可能性、および dsniff 2.3 にこの機能が実装されたという話。 ssh についてはまだ ssh 1.x にしか対応していないようだ。 理想状態の PKI (server certificate + client certificate) ではこういうことは起きないはずだけど、現実は……。ssh は PKI つかわないし。 商用 PKI がとっても安くなるか、 national/goverment PKI ができるかしないと「みんな PKI」にはならないだろうし、

2000.12.26 追記: SSH, The Secure Shell: The Definitive Guide の著者の一人 Richard Silverman 氏が コメント を発表している。 ssh2 はプロトコルちがうじゃん、とか警告出るじゃん、とか。 一方、もと記事著者の Kurt Seifried 氏も フォローアップ を発表している (Richard Silverman 氏へのフォロー、というわけではない)。 警告出ても無視されたらおわりじゃん、とかそもそも警告だってことがわかんねーよ、とか。

　とりあえず、ssh 2.x (SSHWin-2.x) / OpenSSH 2.x に移行するのは吉のようだ。 ssh 2.3.0 からライセンスがだいぶ緩くなったし。 またいつ変わるかもしれないけど。

　MacOS 標準 Java 実行環境 MRJ 2.2.3 (最新版) に脆弱性。 Brown Orifice 問題 (Netscape の JavaVM が該当) や MS00-081 問題 (Microsoft の JavaVM が該当)、さらに古くは MS00-011 問題 (Microsoft の JavaVM が該当) に示されているような Java VM の弱点が MRJ にも (やはり) あったという話。 悪意ある web サーバ管理者は、アクセスしてきたコンピュータの web ブラウザを乗っ取り、ローカルファイルやイントラネット上の情報の取得、EC サイトへの偽の注文、 web メールの乗っ取りなどができてしまう。 技術的には MS00-081/00-011 と同一の問題点だそうだ (高木さんご指摘ありがとうございます)。

　デモが http://java-house.etl.go.jp/~takagi/java/security/mrj-codebase1/Test.html にある。手元の MacOS 9.0.4 + IE 5.0 (2022) + MRJ 2.2.2 でも見事に Macintosh HD の中身が見えてしまった。 手元の web proxy の制限から、[Send this to the server] はうまく動かなかった。 デモだからボタンを押さないと server に送られないが、ほんとうの攻撃プログラムではこうはいかないことを認識すべきだ。

　web メールがらみの部分は要注目だ。 SecurIT-Advisory: 2000-001 Cookieを使用せずURLに埋め込むIDに頼ったセッション管理方式の脆弱性(1) − REFERER情報取得による脆弱フリーメールサイトの乗っ取り問題 −では cookie を使わずに ID 文字列を URL に埋めこむことによって脆弱性が発生してしまった。 では cookie なら万事 ok かというとそうではなく、今回のように cookie を使っているからこそ脆弱になってしまう場合もある。 世の中甘くない。

　修正版はまだないため、MacOS ユーザは今すぐ web ブラウザ設定において Java VM を off とすること。

　さらには、Sun 自身の JDK 1.1.4 にも同様の弱点があり 1.1.5 で黙って fix されていることが示されている。ひどい話だ。

　……と書いたところで、G4 ファームウェアアップデート 2.4 と MRJ 2.2.3 を入れたところ、デモが動かなくなってしまった。 うーむ。 ファームウェアアップデート 2.4 は、それまで何の問題もなく動いていた Logicool USB マウスドライバ 3.1 を使いものにならなくしてしまうくらいの威力があるようなので、そういう問題なのかもしれない。 US Logitech から 3.51 を get してインストールしたら、これはちゃんと動いた。 NAV 6.0.2 もなんだか調子悪そうな気がする。 うーむ。 やってはいけないことをやってしまったか?

2001.01.22 追記: MRJ 2.2.4 出てます。 Mac OS Runtime for Java (MRJ) 2.2.4 is an upgrade to MRJ 2.2.3 which addresses a security issue affecting our users. In some cases, this would have permitted unauthorized applets to access the local hard drive. ということなので、 この件の修正かもしれません。

　LPRng の format bug に対する攻撃が流行っているようです。 やられると、remote から root を取られます。 いちいち示しませんが、BUGTRAQ にも exploit がたくさん流れてます。 RedHat 7 はデフォルトで LPRng のようなのでご注意を。 format bug の他に gettext (NLSPATH) がらみの弱点もあったみたいですね。

　ネタ自体は 9 月のものだったりします。 多くの Linux ディストリビュータから fix も出てますし、LPRng 3.6.25 以降で fix もされてます。 最新は 3.6.26 みたい。 Format strings: bug #2: LPRng も参照。 ラックの邦訳版も参照。

　手元でみてみたら Debian には LPRng パッケージがあるな。 potato だと、lprng (3.6.12-7) Sun, 15 Oct 2000 15:42:02 -0500 で syslog() overflow bug fixed, getttext NLSPATH security bug fixed, …… だそうなので、これ以降は ok なのだろう。

　security hole じゃなくて configuration issue だと思うけど、「follow symlinks はデフォルトで yes だから admin users を指定するときは特に気をつけよう」ということでしょうか。

　SecurityFocus.com Newsletter 第 70 号日本語版 (テキスト, 英語版)。

• phpWebLog Administrator Authentication Bypass Vulnerability

• Microsoft PhoneBook Server Buffer Overflow

  MS00-094: 「電話帳サービスバッファオーバーフロー」の脆弱性に対する対策の話。 日本語版 patch はまだない。

• RedHat Linux diskcheck Race Condition Vulnerability

• Serv-U FTP Directory Traversal Vulnerability

  % エスケープ文字列もの。 Serv-U 2.5i で fix されている。

• Nokia IP440 Remote Denial of Service Vulnerability

• Apache Web Server with Php 3 File Disclosure Vulnerability

  % エスケープ文字列もの。 Windows NT/2000 上での Apache + PHP3 の問題。

• Inktomi Search Source Disclosure Vulnerability
  Inktomi Search Information Disclosure Vulnerability

  Ultraseek Server 3.0 の問題。

• Endymion MailMan WebMail Remote Arbitrary Command Execution Vulnerability

• Microsoft Windows NT 4.0 RAS Administration Registry Key Vulnerability
  Microsoft Windows NT 4.0 MTS Package Administration Registry Key Vuln.
  Microsoft Windows NT 4.0/2000 SNMP Registry Key Modification Vulnerability

  MS00-095: 「レジストリのアクセス権」の脆弱性を解決するツール、 MS00-096: 「SNMP パラメータ」の脆弱性を解決するツールの話。 レジストリを fix するツール (MS00-95: NT 4.0, MS00-096: Windows 2000) は日本語版 NT 4.0/2000 でも利用できるはず。

  2000.12.15 追記: MS00-096 ツールはそのままでは日本語 Windows 2000 には適用できないようですね。 柴田さん情報ありがとうございます。

  hotfix 形式になっているのかな。 もしそうなら、 /x オプションをつけて展開したあと、展開したディレクトリにある hotfix.inf の [Strings] セクションにある LangTypeValue= の値を 0x11 に変更してあげれば適用できるはず。

• IBM DB2 Universal Database for Windows NT SQL DoS Vulnerability
  IBM DB2 Universal Database Known Default Password Vulnerability

  DB2 for Linux/Windows NT 6.1/7.1 での問題。

• phpGroupWare Remote Include File Vulnerability

• APC apcupsd Local Denial of Service Vulnerability

  apcupsd Version 3.8.0 で fix されている。

• VPNet VSU Source Routed Session Vulnerability

  VPNos 3.0.53 で fix されている。

• Cisco Catalyst Memory Leak Denial of Service Vulnerability

• VPNet VSU IP Bridging Vulnerability

• Lexmark Markvision Printer Driver Buffer Overflow Vulnerabilities

• Watchguard SOHO 2.2 Denial of Service Vulnerability

  ファイアウォールが DoS 受けてはねえ……。

• IpSwitch IMail Denial of Service Vulnerability

  IMail Server 6.0.5 が DoS を受ける話。 日本語の指摘文書が FWD fw-wizard ML に投稿 されている。

• MetaProducts Offline Explorer File System Disclosure Vulnerability

• Keware Technologies HomeSeer Directory Traversal Vulnerability

• Austhex IRCd DNS Denial of Service Vulnerability

• BitchX DNS Buffer Overflow Vulnerability

　電総研 情報アーキテクチャ部 インターネットアプリケーション − セキュリティ脆弱性研究グループ (仮称) からの SecurIT-Advisory 第 1 弾。

　フリーの web メール、具体的には goo コミュニティ, ZDNetMail, WBS クラブ, ハローキティクラブ, インターネットタウンページメール, JMAIL.CO.JP, EveryMail に弱点。 これらのフリー web メールシステムでは、セッション管理に cookie を利用せず、 特殊な ID 文字列を URL 中に埋めこむことによりセッション管理を行っている。 しかし、web サーバ管理者はこの ID 文字列を HTTP の Referer を用いて知ることができる場合がある。具体的には、悪意ある web サーバ管理者は

1. 「今すぐクリック!」とかいう内容の mail を web メールユーザに送り、 悪意あるページへのアクセスを誘導する。

2. アクセスしたユーザの Referer から ID 文字列を取り出す。

3. 悪の限りをつくす。

という方法でフリー web メールシステムを意のままにすることが可能となってしまう。 詳細については警告文書を参照。 現時点では、vendor status としてはこの問題に対する対策はなされたことになっている。

　警告文書内では、www におけるセッション管理方式それ自体に関して大きくとりあげている。 これは、警告文書 SecurIT-Advisory が

脆弱性を修正する「事後防衛」のためではなく、 脆弱性を発見するためでもなく、 脆弱性を生まない「予防」のための、開発者向けのセキュリティ技術情報

を目的としているためだと理解できる。 同様の問題 (www におけるセッション管理) は web コマース全般に発生すると考えられる。 開発者ならずとも、管理者および一般ユーザもぜひ一読されたい。

　(1) ということは、もちろん (2) の登場が予告されているということなのだろう。

　ネタが古いなあ。

• Debian elvis-tiny /tmp-file vulnerability
  (Thu, 23 Nov 2000 06:04:44 +0900)

  O_EXCL なしで open() している。 なぜか Security Alerts from 2000 のページにでてない。

• Gnu Ed Symlink Vuln.
  (2000.11.29)

  mktemp() もの。 Debian fix、 RedHat fix。

• Alladin Ghostscript Symlink Vuln.
  (2000.11.22)

  これも mktemp()。 Debian fix、 RedHat fix。

• joe Text Editor Symbolic Link Vuln.
  (2000.11.16)

  いきなり fopen() している。 Debian fix、 RedHat fix。

• fsh symlink attack
  (2000.11.30)

  他のユーザのソケットへの symlink をつくっておくと、それを使えてしまう。 Debian fix。

• [hacksware]Pine 4.30 temporary file hijacking vulnerability
  (Mon, 11 Dec 2000 17:43:09 +0900)

  mktemp() もの。

　安全なプログラミングのためのガイドラインに書いてあることくらいはやりましょう。

　この他では、たとえば vim3 (jvim3) も mktemp() を無頓着につかってるように見えます。 あと、/tmp/tmpXXXXXX 程度だとじぇんじぇん random じゃないので、 /tmp/tmpXXXXXXXXXXXXXXX くらいしておいたほうがいいような。

　cache まわりとか? なにつかってるんだろうね。 しかし、「システムの構成が複雑で原因はまだつかめていない」って……。 ほんとに incident が発生したとき対応できるのかな。

　PASV くらい実装してほしいよね……。 かゆいところに手がとどかない。

　「Simple Mail Transfer Protocol (SMTP) サービスは、デフォルトで TCP 問い合わせを使用するという、ほかにない特徴があります」、そうなんだ……へんなの。

　new! がついているのに last modified: 2000/10/16 っていったい……。 もしかして US 版の日付に合わせるようにしたのかな。

　まあこれまでも「FAQ 読まないと何が書いてあるんだかよくわからん」というものはあったのですが、今回の新フォーマットはほんとに title だけなので、 web page 読まないとなんもわかんないんだよね。 って、Microsoft Product Security Notification Service を読んでない人には議論がよくわかんないよね。たとえば MS00-095 はこんな感じ:

======================================================================
Issue:             Wrong permissions on SNMP, RAS, MTS registry keys
Date:              06 December 2000
Affected Software: Windows NT 4.0
Impact:            Execute code as LocalSystem
Bulletin ID:       MS00-095
Bulletin:
   http://www.microsoft.com/technet/security/bulletin/ms00-095.asp
Acknowledgment:    Chris Anley of @stake (http://www.atstake.com)
                   Milan Dadok
                   Glenn Larsson
======================================================================

　mail 本文はこれだけなのだ。 もうちとなんとかならんのか、とは思うよね。

　設定間違いの場合だけでなく、デバイスドライバの不良により間違い電話をかけてしまう場合があるという話。 @nifty ではないプロバイダでも問題が発生している可能性はあるだろう。 パルス回線利用時のみの問題で、トーン回線および ISDN 回線ではこの問題は発生しないそうだ。

　@nifty: 間違い電話に関するモデムドライバ情報 によると、NEC と 富士通 製 PC で問題が発生する可能性があるようだ。 Windows 9x/NT/2000 用の新ドライバが配布されているので、心あたりのある環境の方は対応されたい。

　しかしこれ、もともとが独自のドライバをつっこんであったけどそれがバグってたという話なのか、それとも、MS オリジナルのやつが変で独自に fix したという話なのか?

　やっぱりリコールはされないんでしょうね……。 そもそも HTML メールを受けつけるという時点でダメダメだと思うんですが、 HTML を解釈しないモードというのはないのでしょうか (i-mode は使ってないのでわからない……)。 あと、ここでは i-mode がヤリ玉にあげられてますが、AU とか J-PHONE とかの端末には同様の弱点はないんでしょうかねえ (ケータイで mail を読んだりはしないのでわからない……)。

　というわけで、ラジオライフは watch しときませう。

　設定ミス/設定不足がいちばん多いでしょうね……。 手元の半径 50m 以内でもひとごとじゃないんですが。

　明日は我が身……。

　SecurityFocus.com Newsletter 第 69 号日本語版 (テキスト, 英語版)。

• Broker FTP Directory Permissions Vulnerability

• Phorum Arbitrary File Read Vulnerability

• Twig Remote Arbitrary Script Execution Vulnerability

• Network Associates WebShield SMTP Invalid Outgoing Recipient Field DoS Vuln.

  WebShield SMTP 4.5 on NT/2000 は recipient@f%20f%20f%20f%20f%20f%20f でダメダメになるという話。

• Secure Locate Heap Corruption Vulnerability

  slocate 2.3 で fix。 RedHat や Debian で問題になるとされているが……。

• Winsock FTPd Directory Transversal Vulnerability

  WFTPD 2.41/3.00 では、../../ では上に上れないが、/../../ とすると上れてしまうという話。3.00 R2 で fix されている。 オリジナル記事。

• Bourne Again Shell 1.x /tmp file Vulnerability

  sfn69 では「Bourne Shell /tmp file Vulnerability」 となっているが、実際には bash 1.x の問題。 bash 2.x には問題はないようだ。 RedHat fix。

• Microsoft Windows 2000 DNS Memory Leak Vulnerability

  SP1 で直ってます。

• PTlink IRCD and Services Denial of Service Vulnerability

• rcvtty Arbitrary Command Execution Vulnerability

  BSD/OS 3.x/4.x 添付版の rcvtty コマンドに問題。

• Cisco 675 Web Administration Denial of Service Vulnerability

• SonicWALL SOHO Denial of Service Vulnerability

• TrendMicro InterScan VirusWall Shared Directory Vulnerability

  InterScan VirusWall の少なくとも 3.4 以前に問題。 インストールすると everyone full control の \Interscan と、 everyone full control のファイル共有 Intscan が黙ってつくられてしまうため、 これにアクセスすると悪さしほうだいという指摘。 eManager を使わない場合は、ファイル共有 Intscan は削除してよい。 eManager を使用する場合、everyone ではなく eManager サービスが動作する権限での full control を Intscan に与えるよう変更する。 たとえば、Domain Administrator: full control とし、 eManager を Domain Administrator 権限で動作させる。 credit の Responding to BugTraq ID 2014 - "Trend Micro InterScan VirusWall Shared Directory Vulnerability" も参照。

• S.u.S.E. in.identd Denial of Service Vulnerability

  SuSE only。

• Midnight Commander Directory Viewing Command Execution Vuln.

  Debian fix。

• IBM Net.Data Path Disclosure Vulnerability

• Microsoft Windows 2000 Telnet Session Timeout DoS Vulnerability

  仕様のような気がする……。 必要なら、src IP address とかでアクセス制限するんだろうなあ。

• AnalogX Proxy Server DoS Vulnerability

• Majordomo Config-file admin_password Configuration Vulnerability

  security hole じゃなくて configuration issue ですね。 FAQ の 3.8 - What are all these different passwords? にも明記されてるし。 "Many Majordomo setup/installation guides" って、具体的にはどんなものがあるんだろう。

• Trlinux Postaci Webmail Password Disclosure Vulnerability

• Microsoft SQL Server / Data Engine xp_displayparamstmt Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_showcolv Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_updatecolvbm Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_peekqueue Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_printstatements Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_proxiedmetadata Buffer Overflow Vuln.
  Microsoft SQL Server / Data Engine xp_SetSQLSecurity Buffer Overflow Vuln.

  MS00-092「拡張ストアドプロシージャパラメータ解析」の脆弱性に対する対策の話。 xp_peekqueue, xp_printstatements, xp_proxiedmetadata, xp_SetSQLSecurity でバッファオーバーフローするため、DoS 攻撃の他、 SQL Server 7.0/2000 が動作するサーバ上で任意のコードを実行させることが可能。 サーバに直接ログオンするか、web アプリなど SQL と対話しているものを経由しての攻撃可能性がある。そういうアプリがある場合、 MS00-078/086 脆弱性などを利用して web サーバを取られると、そこからつけこまれる可能性はある。

  サンプル攻撃コードが公開されている。 日本語版 patch があるので適用する。

• AIX setsenv Buffer Overflow Vulnerability
  AIX digest Buffer Overflow Vulnerability
  AIX enq Buffer Overflow Vulnerability
  AIX setclock Buffer Overflow Vulnerability
  AIX pioout Buffer Overflow Vulnerability
  AIX piobe Buffer Overflow Vulnerability
  

  AIX local bug の話。 Fixed local AIX V43 vulnerabilities を参照。

　ryukoku.ac.jp ドメインでも例に漏れず MTX さんにひっかかった人がいたのですが、 MTX さんの SMTP ハンドリングが poor だったため sendmail 君は受信を拒否、 これによって生じた error message から MTX さんを発見できました。

　mail 送信まわりは、オライリーの「電子メールプロトコル」あたりを読んで、 まじめにつくりましょう (そういう話じゃないだろ)。

　ISP と書いてあるけど、一般に適用できる内容になってると思います。 やっぱ SMTP AUTH はサポートせにゃいかんか……。

2000.12.27 追記: 慶應義塾大学の白畑氏による邦訳版、 RFC3013 (BCP 46): インターネットサービスプロバイダにおけるセキュリティー業務および手順勧告 が出ています。

　CERT Advisory に続く、ラックの日本語翻訳版アドバイザリ。

　IIS をねらった攻撃に対する警告がされています。とにかく既存の patch はちゃんと適用しましょう。

　そうそう、MS00-086: 「Web サーバーによるファイル要求の解析」の脆弱性に対する対策ですが、 US 版 が再再再改訂されてます。 たぶん Guninski さんの指摘 IIS 5.0 with patch Q277873 allows executing arbitrary commands on the web server が fix されたのだと思うけど、まだ確認してません。 The newly-discovered regression error only affects the IIS 5.0 version of the patch だそうなので、適用すべき patch はこうなります:

• IIS 4 - SP6a + patch

• IIS 5 - 新新 patch

　なにがなんだかわかりにくよなあ。MD5 (じゃなくてもいいけど) digital signature くらい示してくれればいいのに。

　もちろん日本語版はまだ。日本語 patch のリリースはどんなに早くても 5 日はかかるそうなので、やぱ早くても来週かな。 IIS 4 用が先行するかも。

　あと、MS00-078 関連で、 UNICODE 3 バイトエンコーディングも通るという指摘がされているのだけど、MS00-086 最新 patch を適用した状態でこれはどうなるんだろう (MS00-086 fix は MS00-078 fix を含んでいるので……)。 誰か試しました?

　SecurityFocus.com Newsletter 第 66 号日本語版 (テキスト, 英語版)。

• ManTrap Root Directory Inode Disclosure Vulnerability

• ManTrap Local Denial of Service Vulnerability

• Multiple Vendor Mail Reply-To Field Vulnerability

• HP-UX registrar Local Arbitrary File Read Vulnerability

• RedHat Linux restore Insecure Environment Variables Vulnerability

• McAfee VirusScan 4.5 Unquoted ImagePath Vulnerability

• StarOffice /tmp Directory Symbolic Link Vulnerability

  0777 でつくっちゃうなんてところが豪快。

• Lotus Notes R5 S/MIME Vulnerability

• tcsh Here-document /tmp Symbolic Link Vulnerability

  FreeBSD Security Advisory: FreeBSD-SA-00:76.tcsh-csh
  Debian Security Advisory: tcsh: local exploit

• HP-UX MC/ServiceGuard Default Permissions Vulnerability

• Microsoft Indexing Services for Windows 2000 File Verification Vulnerability

• McMurtrey/Whitaker & Associates Cart32 DoS Vulnerability

• Cart32 Admin Password Vulnerability

• McMurtrey/Whitaker & Associates Cart32 Path Disclosure Vulnerability

　TOOLS に出てくる Versioner 0.9 はなかなか便利そう。

　新種の DoS 攻撃 "NAPTHA" が登場。 OS カーネル内部で管理される TCP ステートテーブルを枯渇させることにより DoS を実現。 攻撃側のリソースをあまり使わずに、防御側に多大なリソースを消費させることが可能。つまり、小数の機械でこれまでより大規模な攻撃が可能となる。 NAPTHA 攻撃を検出する IDS fingerprint や、 snort 用のそのまま使えるルールが掲載されているので利用されたい。

　各 OS での状況詳細と generic な対応方法が The NAPTHA DoS vulnerabilities "Tested Products" にある。Tru64 UNIX V4.0F, FreeBSD 4.0-REL, HP-UX 11.00, Windows 9x/NT/2000, Netware 5 SP1, IRIX 6.5.7m, Solaris 7/8 について情報が掲載されているが、Windows 2000 を除いた全てについて、 NAPTHA 攻撃の影響を受けるとされている。 CERT(R) Advisory CA-2000-21 Denial-of-Service Vulnerabilities in TCP/IP Stacks に記載されている情報も参照されたい。

　generic な対応としては、不要な daemon は止める、 inetd や tcpserver で最大コネクション数を制限する、カーネルパラメータを tune する、などが挙げられている。最近の FreeBSD などについてくる inetd だと、daemon 毎に最大コネクション数を記述できる。 {wait|nowait}[/最大子プロセス数[/IPあたりの分あたりの最大接続数]] (from FreeBSD 4.2 inetd(8)) のように。 sshd には最大コネクション数を設定するオプションがないが、inetd や tcpserver 経由で起動する -i オプションを使えば、これら経由での制御が可能だ。 ただし、非力な機械では sshd の -i オプションはきついんだよな……。

　Microsoft は MS00-091: Patch Available for "Incomplete TCP/IP Packet" Vulnerability として Windows 9x/Me の対応方法と NT 4.0 SP6a x86 用英語版 patch の提供を行っている。 といっても、「対応方法」の内容は Q199346: Disable File and Printer Sharing for Additional Security だったりする。 Q275567: Multiple NetBT Sessions May Hang Local Host も参照。

　Denial of Service Attacks Planned For Christmas - ISS という話もあるようですし、注意する必要がありそうです。

2001.04.19 追記: Naptha のソースコードは http://packetstorm.securify.com/filedesc/naptha-1.1.html で入手できるそうだ。