セキュリティホール memo - 2001.01

　IIS の通常の処理は IUSR_COMPUTER 権限で実行されるが、別プロセスを起動する場合には IIS 自身の実行権限で実行されてしまう。 結果として、.asp ファイルさえ設置できれば SYSTEM 権限 (IIS 4) や IWAM_COMPUTER 権限 (IIS 5 新規導入時デフォルト) のシェル (cmd.exe) を起動できてしまう。 IIS 5 を Application Protection "Low" で実行している場合は IWAM_COMPUTER ではなく SYSTEM 権限を得られる。 IIS 4.0 から IIS 5.0 へ upgrade した場合は Application Protection "Low" がデフォルトなので SYSTEM 権限を得られる。 サンプルコード CmdAsp は驚くほど短い。

　いはらさんのところ にも CmdAsp(2001/1/31) として情報がある。 おおもとの CmdAsp は c:\ に一時ファイルを作成するため IIS 5 (Windows 2000) で c:\ の権限を矯正している場合にはそのままでは実行できないそうだ。

　とりあえずの対応策としては regsvr32.exe /u C:\winnt\system32\wshom.ocx として wshom.ocx を登録削除する。

　2001.01.30 の CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND に追記した。 bind 8.2.3 for NT/2000 登場、など。

　「社会調査」を読むときは、常に、まともな内容かどうかをきちんと確認する必要がある。 というわけで、 谷岡一郎『「社会調査」のウソ−リサーチ・リテラシーのすすめ−』 はすごくおもしろくてためになりますです。

　2001.01.29 の [OFF2001] ノートンアンチウィルスがインストールされた環境でファイルを保存するとフリーズ に追記した。 この問題が常に発生するというわけではなさそうだ。

　bind 8.2〜8.2.3-beta に弱点。 TSIG signed query の処理において buffer overflow するため、 remote から bind 実行権限を得られる。 8.2.3 で fix されている。

　bind 4.9.x にも弱点。 nslookupComplain() に 2 つの問題があるため、 remote から bind 実行権限を得られる。 4.9.8 で fix されている (記述修正: こがさん感謝)。

　さらに、両方 (4.9.x/8.x) に共通する bug があり、 特定の形式の query を送ると program stack からの情報 (たぶん環境変数) を暴かれる。 4.9.8/8.2.3 で fix されている (記述修正: こがさん感謝)。

　bind 9.1 にはこの問題はない。 これを機会に bind 9 にしたい人には、 BIND 8 to BIND 9 Migration Notes (日本語版: BIND 8 から BIND 9 への移行についてのノート) が参考になるかも (日本語版追加: 東さん感謝)。 また djbdns (日本語ページ) にもこの弱点はない……だろう多分。 これを機会に djbdns へ移行するのもよいでしょう。

　Windows NT/2000 用の bind 4.9.x/8.x にも同様の弱点がある。 8.2.3 for NT/2000 の登場を待たれたい。

　関連: CERT(R) Advisory CA-2001-02 Multiple Vulnerabilities in BIND 邦訳版, [COVERT-2001-01] Multiple Vulnerabilities in BIND, BIND holes mean big trouble, ISSalert: Internet Security Systems Security Alert: Remote Vulnerabilities in BIND versions 4 and 8 , BIND Vulnerabilities, BUGTRAQ bugid 2302 / 2304 / 2307 / 2309, MSサイトの悪夢は他人事ではない——DNSソフトに4つのセキュリティホール 。 (記述追加・修正: こがさん感謝)。

　patch: OpenBSD, RedHat, Debian 。

2001.01.31 追記: CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND および 邦訳版 が改訂され、Microsoft と OpenBSD の状況が追加されている。 MS DNS にも OpenBSD にもこの弱点はない。 OpenBSD 2.8 patch は 4.9.8-REL への移行分ということなのだろう。

　bind 8.2.3 for NT/2000 が登場している。詳細は [fw-announce:2058] ISC BIND for NT Release Advisory を参照されたい。

　[fw-products:745] BIND 脆弱性への WebShield E-ppliance 300 の対応について が出ている。 OS 付属の named が……という例はこれだけではないだろう。 各ベンダーに確認されたい。

　patch: Vine。 FreeBSD の 3-stable と 4-stable に fix が反映されたっぽいです。

2001.02.01 追記: patch: Kondara, FreeBSD。

　Solaris 7/8 for sparc/intel の ximp40 共有ライブラリに buffer overflow するバグがあるため、 /usr/dt/bin/dtaction など ximp40 を利用している suid/sgid コマンドを用いると local user が suid/sgid されている権限 (uid root, gid mail) を得られる。

　回避方法としては、ximp40 を利用している suid/sgid コマンドの suid/sgid を削除する。

2001.02.05 追記: SPS から、 防御用の suid/sgid wrapper が登場している。 詳細は SPS Advisory #40 の「追記 : 02/03/2000」を参照。

　IIS 4.0/5.0 に弱点。 MS00-031: 「区切り文字なしの .HTR リクエスト」および「.HTR 経由のファイルフラグメントの読み取り」の脆弱性 や MS00-044: 「.HTR 経由のファイルフラグメント読み取り」脆弱性の新種 のさらなる新種が存在するため、.htr へのリクエストを利用して .asp ファイルなどの web サーバ上のファイルそのもの (の断片) を読むことができる。 もしかすると IIS 5.0 allows viewing files using %3F+.htr の話なのかもしれないが未確認。

　回避方法としては、.htr へのスクリプトマッピングを削除すればよい。 .htr の機能を利用していない場合は必ず削除しておこう。

　日本語 patch: IIS 5.0、 IIS 4.0。 最初から用意されている。すばらしい。 NT 4.0 SP7, Windows 2000 SP3 に含まれる。

　日本語版: MS01-004: 「.HTR 経由のファイルフラグメントの読み取り」の新種の脆弱性

2001.02.06 追記: IIS 5.0 allows viewing files using %3F+.htr の話のようですね。で、この patch を適用しても、 https://mysite/checkuser.asp%3F+.htr のようにやると見えちゃうという指摘がされている。 https なところがミソなのかな。

　2001.01.29 の [fw-products:715] Security hole in Trend Micro Virus Buster 2001 に追記した。 To: だけではない、という話。

　NAV 5 or 6 といっしょに mac:Office 2001 を使うとフリーズしてしまうという話。 「ナビゲーション・サービスを利用したダイアログボックス」の利用において問題が生じるようだ。 Auto-Protect をオフにすればとりあえず回避できる。 Symantec の Applications fail to start and computer freezes with Auto-Protect loaded には "Scan for known viruses when files are opened and applications are launched." を off にしろと書いてある。

2001.01.30 追記: Macintosh トラブルニュース 01/01/30 に関連情報がある。 この問題が常に発生するというわけではなさそうだ。

　伊波さんから。情報ありがとうございます。紹介が遅くてすいません。

The Honeynet Project's Forensic Challenge が始まってます。この企画は侵入
されたシステムから侵入にかかる各種の情報を取り出すのを競うものです。なか
なか興味深く面白そうな企画ですね。 

The Forensic Challenge 
http://project.honeynet.org/challenge/index.html

仕様 
・システムはRed Hat Linux 6.2をサーバーで標準インストール 
・システムのタイムゾーンはGMT-0600 (CST) 
・侵入時のsnortのログが公開されている 
・ハードディスクのパーティション情報 
　/dev/hda8　　/ 
　/dev/hda1　　/boot 
　/dev/hda6　　/home 
　/dev/hda5　　/usr 
　/dev/hda7　　/var 
　/dev/hda9　　swap 
・上記のハードディスクのイメージがインターネット上に公開されている 

目標 
「Who, What, Where, When, How, and maybe even the Why of this compromise.」 
を調べること。そのために参考となる10項目が提示されています。 

ルール 
基本的にはどのようなツールを用いてもよいものとする 

締め切り 
2001年2月19日(月曜日) 00:00 GMT 

賞品 
Top20に"Hacking Exposed" (Second Edition) 

　ウィルスバスター 2001 のメール検索 (mail proxy によるウィルスチェック) 機能にバッファオーバーフローする弱点があるという話。 攻撃者は長大な To: を用いることにより任意のコマンドを実行できる。 インテリジェントアップデートで 8.01 版にすれば fix される。

2001.01.29 追記: 坂井さんから情報をいただいた (ありがとうございます)。 To: だけでなく、From: や Subject: や Cc: など RFC822 で定義されるヘッダ全てでバッファオーバーフローするそうだ。

　世界各地の ML driver を使った DDoS 攻撃が可能だという話。 すくなくとも、いやがらせ程度にはなるんでしょうね。 Sender: に返す ML driver あるけど (Listserv ってそうですよね確か)、 それはそれでちょっとつらいものがあるし。 いまどきだと web インターフェイスにしたほうがいいいのかなあ。 坂元さん情報ありがとうございます。紹介が遅くてすいません。

　majordomo の場合、デフォルトで往復分の Received: をつけていたような気がする。 purge_received かな。

　Free の Netware エミュレータ MARS_NWE 0.99pl19 に format bug があるという話。patch つき。

　わは、自分はフィルタしてませんってか。

　河合塾が運営しているメールマガジンに利用している mailing list が誰でも投稿できる状態になっていたため、 ppp013.dialup.hc.keio.ac.jp から ccgwy2.hc.cc.keio.ac.jp 経由で gnd.keinet.ne.jp に投稿された W95.Hybris.Gen.dr (また Hybris だよ……) を基点として混乱が発生しているという話。 スキルの低いケータイ subscriber が混乱を助長している点が興味深い。 ケータイしか知らん奴にはわけわからんだろうなあ確かに。 電話番号を広報していることにも気がついてないんだろうなあ。

　おおしろさん情報ありがとうございます。

　2001.01.23 の MS01-002: Patch Available for PowerPoint File Parsing Vulnerability に追記した。 patch 更新など。

　とりあえず、どっかから PC とか拾ってきて snort を動かしてみると楽しいす。 で、ちょっと運用してみると IDS についていろいろ勉強になると思うので、それから商用 IDS のカタログスペックを眺めはじめてもいいような気がします。

　IE 6.0 では Microsoft JavaVM は消滅するようです。すばらしい。 “アーキテクチャの汚染”、うまいこと言いますな。

　今 (13:50 JST) は ok みたいですが、本日 05:00 JST ごろにはだめだったみたいですね。 今度は本当に DDoS だったようで。 参照: 受難のMSサイト，今度は外部からの攻撃、 お粗末なMSのネットワーク設計，サイトのトラブルで浮き彫りに、 Microsoft PressPass: Statement by Microsoft on Web Site Availability (Jan. 25, 2001)。

　とりあえず名前引きを分散しナイト。 asia にもサーバ置きましょうよ > Mr. ゲイツ。

　なんだかわけわからん題名ですが、 国立感染症研究所 (旧称：予防衛生研究所) という「日本最大の病原体実験施設」が住宅地のド真中 (早稲田の隣!) に存在し、 そこから危険な排気が周辺にバラまかれていることに対する裁判のおはなしのようです。 詳細は 予研（感染研）裁判の会 を参照。

　いやはや、日本って、なんでもアリアリな国だったのね。 原子力産業ですら紳士的に思えてくる。 この施設にしてアノ厚生省あり、なのかな。

　騒ぎになるほど Mac + office:Mac 2001 は使われてない、という解釈もできるだろうな。 手元でもまだ upgrade してないからなあ。

　ウィルス屋さんのさわぎは、おうおうにして広告目的の場合があるので注意が必要という事例ですね。 だからと言って anti-virus soft の必要性が減るわけではないし、そのおかげでまだ導入していない人が導入するようになれば、それはそれでいいかなという気もしますけど。

　ftp, tftp などを併用しなくても、UNICODE バグと HTTP access だけで shell を取れるという話。ただし、web root の物理位置を知る必要があるという。

　ほんとに取れるかどうか知らないけど、とにかく MS00-086 fix は適用しましょう。

　Windows NT 4.0 に弱点。対話的に logon 可能な攻撃者が、logon したマシンの ネットワークトラフィックを遮断することができてしまう。 NT 4.0 ではおなじみの「脆弱なパーミッション」が原因。 今回は networking mutex オブジェクトのパーミッション。 本来 Administrator/SYSTEM だけが アクセスできるべきなのに everyone がアクセス可能であるため、 攻撃者は permission をアクセス不能に変更できてしまう。 これで DoS が成立。

　攻撃者は対話的に logon 可能でなければならない。 このため、Workstation/Server よりも NT TSE で問題となる。

　Windows 2000 にはこの問題はない。 英語版 patch はあるが日本語版はまだ。

　「ＤＯＳ/Ｖ　ＵＳＥＲ」、「遊ぶインタ−ネット」読者の皆様へ の話。……って、URL 同じだな。 ハッカー本販売を条例規制へ　都協議会が答申 とのからみもあり、今後に要注目である。

　毎日の記事「都は訴えの却下求める　青少年健全条例違憲訴訟の初弁論で」と読みくらべると、なかなか興味深いものがある。 毎日は「不健全図書類指定は、特定個人の権利義務に影響を与えるものではなく、雑誌というモノに対する指定だ。原告には訴えの利益はない」 なんていう都のワケワカな主張をそのまま載せているだけで、却下されたことは書いてないわけだ。 要は都にゴマすりすりということなのか。

　「青少年に対し、不健全なものであるか否かについて判断する立場にない」 とか言いつつ 「これらの雑誌を18歳未満の青少年に販売しないよう求める」 出版倫理協議会もなかなかキている組織だ。 すばらしい無責任体質。 アマクダリィなジジィがいっぱいなのかな。

　東証メール・マガジンの話も出てきてます。 Mailing List にも同様の注意が必要ですね。 ウイルス感染メールを6000人に配信　自然保護協会 なんてことにもなってるようです。

　ロータスノーツクライアント R5 内蔵Java VM のECL 機能のセキュリティ欠陥 の話。

　しかしなあ。これは半年以上前に「日本のロータス」に直接告知されているのだ。 にもかかわらず、 「2000/11/24、Security Focus より "Lotus Notes Client R5 File Existence Verification Vulnerability" と題する勧告が次の URL で発せられました」とはどういうことなのか。 結局、BUGTRAQ に (英語で!) 公開されない限り一切直す気はないと Lotus は言いたいのか。 こういう会社の製品を secure だと言えるのは Lotus の他にいるのか。

　まだまだ NT 4.0 で動いている site は多いですからね。

　状況については Windows NT/2000 セキュリティ対応状況 を見てください。 このページは原則として PC 互換機かつ NT Workstation/Server しか追いかけてないので、alpha 用 (T_T) とか NT TSE 用とかはまた別の話になります。

　spoof というかゴミの混入というか……。

　そうか、機能している業界団体ってあるんだ。 MicrosoftとOracleが手を組むほどに恐れているもの を読んだとき、「やっぱり Jesse Berst のルール「業界コンソシアム＝胡散臭い」が勝つんじゃないのぉ?」と思ったのだが、案外それなりに働くかな。 もっとも、世の中に存在する穴の少なくない部分が IT-ISAC とは全く関係ない場所から出現するわけなんだけど。

　Linux 用の shared library メンテナンスツール sash に弱点。 /etc/shadow を正しく複製しないため、/etc/shadow が誰でも読める状態になってしまう。 Debian fix。

　splitvt 1.6.4 に弱点。 format bug と buffer overflow bug があり、local user が root あるいは gid tty 権限 (suid/sgid の状況に依存) を得られる。 1.6.5 で fix されている。 Debian fix。

　3.23.31 より前の MySQL に弱点。 buffer overflow するため、remote から MySQL 実行権限を得られる。 3.23.31 で fix されている。Debian fix。

　mICQ 0.4.6 の Do_Msg() にある sprintf() で buffer overflow するという話。 Debian fix。

　SecurityFocus.com Newsletter 第 75 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• StorageSoft ImageCast IC3 DoS Vulnerability

• IBM HTTP Server AfpaCache DoS Vulnerability

• NetScreen Firewall Denial of Service Vulnerability

• eXtropia bbs_forum.cgi Remote Arbitrary Command Execution Vulnerabilit

• WebMaster ConferenceRoom Developer Edition DoS Vulnerability

• Solaris exrecover Buffer Overflow Vulnerability

• Linux ReiserFS Kernel Oops and Code Execution Vulnerability

  「再現できーん」という reply ばっかだったような。

• Ultraboard Incorrect Directory Permissions Vulnerability

• Basilix Webmail Incorrect File Permissions Vulnerability

• Compaq Web Admin Buffer Overflow Vulnerability

　MS Outlook Express 5.00.2314.1300 および Outlook Express 5.50.4133.2400 において、分割送信 (multipart/partial) すると Bcc: がまるみえになってしまうという話。 手元の Windows 2000 SP1 日本語版の Outlook Express 5.50.4133.2400 でも状況を確認できた。 回避方法としては、 分割送信しないようにする。

　西川さん情報ありがとうございます。

　rnd(4) はないって言われるけど、 src/sys/dev/rnd.c のコメントを参照。

　PowerPoint 2000 に弱点。ファイルの読みこみにおいて buffer overflow するため、悪意ある PowerPoint 文書作成者は PowerPoint 2000 を crash させられる他、 user computer 上で任意のコードを実行可能。 Office 2000 SR-1 用 patch には Languages Supported: Japanese とあるので、日本語版 Office 2000 SR-1 にも適用可能だと推測。 この patch は Office 2000 SR-1 SP3 に含まれる。

2001.01.29 追記: patch が更新されている。URL は同じなので、最新 patch を適用されたい。 あと、日本語 advisory 出てる: MS01-002: 「PowerPoint のファイル解析」の脆弱性に対する対策。 上記 link の patch が日本語版にも適用できることが明記されている。

　「ユーザーの怒り」って言ってもなあ。怒るくらいなら Hotmail なんか使わなきゃいいのに。 タダなんだからさ、at your own risk でしょ。

　Sparc な機械をいじっている人はぜひご一読を。

　2000.01.18 の 『Windows Media Player』のスキンにセキュリティーホール に追記した。 そう簡単になんでもアリアリになるわけではないらしい。

　Windows Media Player 7 に弱点。スキンファイルが特定のディレクトリ (C:/Program files/Windows Media Player/Skins/) に保存されることを利用すると、攻撃者は HTML 経由で

1. スキンファイルに見せかけた Java jar アーカイブをユーザに (自動的に) 取得させ、

2. これを起動させる

ことが可能。local file を読む他、悪意あるプログラムを実行することが可能。 なんでもアリアリであるため、ウィルス屋さんに利用される日もそう遠くないかも。

　回避方法としては、Java を不許可にする。 Windows 2000 では、一般ユーザ権限では C:/Program files/Windows Media Player/Skins/ なんてところに書けないからだいじょうぶ……なのかな。 Admin で作業してるとヤバそう。 ……確認しました。Administrator 権限で試すと、見事に成功しました。 いやはや。

　オリジナル: Windows Media Player 7 and IE java vulnerability - executing arbitrary programs 。

2001.01.19 追記: ETL 高木さんがこれについて補足されている (情報ありがとうございます): [JavaHouse-Brewers:40200] Re: Fw: Windows Media Player 7 and IE java。 単純に Java jar から「悪意あるプログラムを実行」させられるわけではないという。 実行させるには次の手順が必要な模様だ:

1. あらかじめ Temporary Internet Files ディレクトリに攻撃プログラムをユーザに (自動的に) 取得させる

2. スキンファイルに見せかけた Java jar アーカイブをユーザに (自動的に) 取得させる

3. これを起動させる

4. jar を使って一時ファイルディレクトリを捜索し、攻撃プログラムの真の位置を探る

5. 探り出した位置を使って、JavaScript や ActiveX といった他の手段が持つ脆弱性を用いてこれを起動する

　「今回の問題はJavaの欠陥であるとは思いません」、Java に罪はなくとも Java が依存している OS に問題があれば、このように悪用されてしまうわけで。 セキュリティは全体が問われてしまうのでむつかしいです。

　PHP 4.0〜4.0.4 の Apache サーバモジュールに弱点。 apache で .htaccess へのアクセスを制限している場合でも、PHP 4 経由でアクセスできてしまう。 また、Apache で複数のバーチャルホストを運用している場合に、そのうち 1 つで engine=off と設定すると、この設定が他のバーチャルホストにも伝染してしまい、 結果として php のソースコードを外部から参照できてしまう。

　両者ともに PHP 4.0.4pl1 で fix されている。 簡単に upgrade できない場合は、当面の回避策も記載されているので参照のこと。 PHP 3 にはこの弱点はない。また、CGI モジュールにもこの弱点はない。 Apache サーバモジュールだけの問題。

　Ramen の話の技術的詳細は、 http://members.home.net/dtmartin24/ramen_worm.txt とか Incidents ML あたりを読んでいただければよろしいかと。 既存の fix をきちんと適用すれば、ちゃんと防げます。

　旨いみそラーメンが食べたいなあ。 今日のお昼はあさり雑炊。

2001.01.19 追記: 関連: 犯人はラーメン好き？　Linuxサーバを脅かす新種のワーム

2001.01.22 追記: 関連: CERT Incident Note IN-2001-01: Widespread Compromises via "ramen" Toolkit。

　そういえば、最近の Zope にみつかった穴について書いてなかったので。 こんなのがあります:

• Zope hotfix: constructor alias security (2000-12-08)

• Zope hotfix: local roles computation (2000-12-15a)

• Zope hotfix: Image updating method (2000-12-18)

　ANNOUNCE: FreeBSD Ports Security Advisory: FreeBSD-SA-01:06.zope では上記 3 点が fix されています。 RedHat だと これ と これ と これ かな。 Debian は DSA-007-1 zope: insufficient protection。 また、最新 stable の zope 2.2.5 には上記 fix が含まれています。

　BUGTRAQ bugid としては、上記は 1577 と 922 に含まれているようです。

　PitBull はちょうど FWD fw-products ML で話題になってましたね (fw-products:710, fw-products:711)。 Solaris 7 に patch をあてるタイプの Trusted OS なのだそうです。 トライアル版も get できるようですので、挑戦者は入手しておきましょう。

　参照: 世界最強のハッカーは誰だ？

　頭悪いので冒頭 1/10 くらいしか理解できない私……。

　「このようなメールを媒体としたウイルス感染から自分のパソコンを守るためには、どのようにすればいいのでしょうか」、mail の読み書きには Windows を使わないのが最も効果的なような。 たとえば、Windows 2000 上の VMWare で Linux して (Linux 上の VMWare で Windows 2000 してもいいけど)、mail は Linux 環境で読む。 添付ファイルをじっくり観察できると思うし、.exe や .vbs はそう簡単には実行できない (笑)。

　まあ PC-UNIX を入れると別の心配がでてくるし、複数 OS の管理ってめんどいですけどね。

　snort につづく、みっきーさんのドキュメント。 みっきーさんの時計は一日時差があるのかしら (^^;)。

　手元でも FreeBSD 4.2-RELEASE で iplog してるのですが、運用してるとだんだんプロセスが太ってきて swap があふれるという状況になってます。こういうものなんでしょうか。 インストールは package をそのままつっこんだだけなんですが。 ……ほんとに太ってるのかな。 もうちょっとまじめにしらべてからどこかで質問することにしよっと。

　RFC2979: Behavior of and Requirements for Internet Firewalls の邦訳版。

　なんと、例の東京ローカルな法律 (条例) のために全国配本ができなくなったという驚くべき状況。これだから再販制は……。 なぜ「ＤＯＳ/Ｖ　ＵＳＥＲ」と「遊ぶインタ−ネット」なのか、という話があるが、これはやっぱり ハッカー本販売を条例規制へ　都協議会が答申 という話への布石なのだろうか。 なにはともあれ、東京都は「どこが不健全であるのか」を明確にする必要はあるよね。

　なにしろカジノはいいが「不健全図書」はダメだという都知事だしなあ。 カジノは健全なんだろうなあきっと。

　不便って……。便利さを追及した結果がウィルスあふれな現状だと思うんですけど。 どうして .exe や .lnk をわざわざ添付しなければならないんだろう。 それを不便と考える人ってどんな人? いや、本当にわからないので。

　結局は値段がおいくらかが問題で、十分にリーズナブルな値段で提供されれば、不正利用の多くはなくなると思うんだけどなあ。 不正利用の全てがなくなるとは思わないけど、絶対数が減れば叩きやすくなるだろうし。

　『これでは、そもそも最初の入り口である認証機関で「なりすまし」が行われた場合には、サービス自体の信頼が揺らぐことになる。現状の法務局や地方自治体が発行する印鑑証明に比べ、「なりすまし」を防ぐ有効な手段については検証されていないのが現実だ』。 ニセ印鑑証明って現実に発生しているみたいなんですけど。 『信頼の基礎となる認証機関の認証方法は、今後大きな課題となろう』って、 日本は電子政府に向けてどんどん進んでいるわけで、「課題となろう」なんて言ってる間に現実になっちゃうよ。

　『具体的なビジョンを描けていないのが現状のようだ』、具体的なビジョンが見えてないのは牧野弁護士や毎日新聞も同様な気がするんだけど。 行政まかせでいいの? そんなことないでしょうに。 シンポジウムでそのへんが見えるのかな。どうもそうは思えんような。

SecurityFocus.com Newsletter 第 74 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Tiny WinRoute Pro Memory Protection Disabling Vulnerability
  Tiny WinRoute Pro Authentication Vulnerability

• Emacs Inadequate PTY Permissions Vulnerability

  これって RUS-CERT Advisory 200004-01: GNU Emacs 20 なんじゃないの? ちがうの?

• GTK+ Arbitrary Loadable Module Execution Vulnerability

  GTK+ な人は Why GTK_MODULES is not a security hole と言って逃げている。

• Informix Webdriver Local File Overwrite Vulnerability

• Microsoft Windows Media Player Javascript URL Vulnerability

  おなじみ Georgi Guninski 氏の指摘。 WMP ActiveX Control を使うと、既に開いているフレーム上で JavaScript を実行できる。このとき、フレームの Domain Object Model (DOM) を越えた (ex. local file への) アクセスが可能になるため、既知のパス名のファイルを読み出したり任意のコマンドを実行したりすることが可能となる。

  アクティブスクリプトの停止によって回避できる。

• Solaris mailx Lockfile Denial Of Service Vulnerability

  仕様だと思うんだけど……。

• HP-UX kermit Buffer Overflow Vulnerability

  これって kermit 一般にあてはまるお話なのかしら。

• Ibrow newsdesk.cgi File Disclosure Vulnerablility

　Word や Excel 用の Password recovery tools、キてます。 WinSCP (GUI scp client for Windows) は便利そう。

　SecurityFocus.com Newsletter 第 73 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• dialog /tmp File Race Condition Vulnerability

• Upland Solutions 1st Up Mail Server DoS Vulnerability

• GnuPG Silent Import of Secret Keys Vulnerability

  これが直ってるのって Debian だけ?

• Security-Enhanced Linux Buffer Overflow Vulnerability

• Technote Inc Technote 'board' Function File Disclosure Vulnerability
  Technote Inc Technote 'filename' Variable File Disclosure Vulnerability

• ikonboard Arbitrary Command Execution Vulnerability

　NNCookCt - Navigator cookie cutter というのが紹介されてますね。Referer の話もいいかげん更新しないとなあ。 あーそういえばほげほげ log とかほげほげ検索猿人とかもあったな。

　Borland/Inprise の InterBase 4〜6 に backdoor があったという話。 CERT Advisory CA-2001-01 Interbase Server Contains Compiled-in Back Door Account (オリジナル, LAC 邦訳版) も参照。

　3rd パーティソフトを使わずに、IIS 4.0 の ftp root へのアクセスを制限する方法。

　FreeBSD 4.2-RELEASE での、ipfw および ip filter の NAT あり/なしでの設定例。 とても参考になります。 ipfw だと dummynet ([FreeBSD-users-jp 40216] からつづくスレッドも参照) を使った帯域制限が使えるのがうれしいかなあと思ったり。

　Windows NT/2000 で動作する buffer overflow protection tool "SecureStack" 登場のおしらせ。 http://www.securewave.com/html/secure_stack.html に詳細がある。

　NT だと 5〜10% 程度遅くなるだけだけど、2000 ではだいぶ遅くなっちゃうみたい。 現在この問題を fix した新版を開発中だそうです。 free 版を配布中ですが、 Free Version: Detection only, Pro Version: Detection and Protection だそうです。 Pro 版の値段はおいくらなんでしょうね。mail してくれとしか書いてない。 あと、

Self-modifying code (Trampolines)

Software that uses self-modified code, and/or software that use special types of trampolines generated on the fly while running is not compatible with SecureStack. We have found that there are a few GUI applications that use trampolines generated on the fly which to SecureStack can look just like a buffer overflow. SecureStack was designed to protect server side applications and none of the applications we tested used trampolines.

だそうなので、使うにはいろいろ検証が必要かもしれません。

　SunOS 5.4〜5.7 (Solaris 2.4〜7) の arp コマンドに弱点。 -f オプションが buffer overflow するため、local user が gid bin 権限を得られる。 これを経由して root 権限を取得可能。 Solaris Arp Vulnerability も参照。

　patch が出ているので適用すれば ok。

　『「問題のアップデート」と「スキルの再チェック」が不可欠』、おっしゃる通り。この国には「昔のスキルで老害タレ流し」が多すぎる。

　tmpnam() とか mktemp() とかを無造作につかってるとこがあるぜという話。 使ってる人:

apache       1.3.14 and also 2.0a9, the htpasswd and htdigest helper programs
tcpdump      arpwatch version 2.1a4
squid        2.3 STABLE and 2.4
linuxconf    1.19r through 1.23r, the vpop3d program
mgetty       1.1.22 and 1.1.23
gpm          1.19.3
wu-ftpd      2.6.1, the privatepw program
inn          2.2.3
diffutils    2.7, the sdiff program
getty_ps     2.0.7j
rdist        6.1.5
shadow-utils 19990827 and 20000902, the useradd program

• Immunix 7.0 Apache /tmp File Race Vulnerability

  htdigest.c と htpasswd.c の tmpnam()。

• Immunix arpwatch /tmp File Race Condition Vulnerability

• squid /tmp File Race Condition Vulnerability

  src/tools.c tmpnam()。

  2001.01.15 追記: Squid-2.4.STABLE1 で fix される。

• linuxconf /tmp File Race Condition Vulnerability

  vpop3d ですって。

• mgetty /tmp File Race Condition Vulnerability

  1.1.24 で fix されている。

• gpm /tmp File Race Condition Vulnerability

  gpn.c mktemp()。

• wu-ftpd /tmp File Race Condition Vulnerability

  util/privatepw/privatepw.c tmpnam()。

• inn /tmp File Race Condition Vulnerability

  mktemp()。

• sdiff (GNU diffutils) /tmp File Race Condition Vulnerability

  sdiff.c tmpnam()。

• getty_ps /tmp File Race Condition Vulnerability

  uufuncs.c mktemp()。

• rdist /tmp File Race Condition Vulnerability

  src/message.c mktemp()。

• shadow-utils /etc/default Temp File Race Condition Vulnerability

  src/useradd.c mktemp()。

　2.1.9x 以上の glibc に弱点。 RESOLV_HOST_CONF などの環境変数が suid/sgid コマンドに渡ってしまうため、たとえば $ export RESOLV_HOST_CONF=/etc/shadow; ssh whatever.host.com (ここで whatever.host.com は実際に存在するホスト) とすると /etc/shadow が読めてしまう。 glibc 2.1.3 といった、旧来のものを利用している OS ではこの問題はない。 著名なリリース版 OS では RedHat 7.0 にこの弱点があてはまる。

　Advisory: RedHat (7.0), Slackware (current)。

　現実問題として、Windows 2000 を NAT router 的に利用して接続している人ってどのくらいいるんだろう。

　Office 2000, Windows 2000, Windows Me に同梱されている Web Extender Client (WEC) に弱点。 WEC はデフォルトで NTLM 認証を利用するのだが、 NTLM challenge が来ると、IE のセキュリティ設定がどのようなものになっている場合でも、どのようなゾーンに分類されるサーバに対しても、NTLM response を返してしまう (IE のユーザ認証設定がどのようになっていたしても「現在のユーザ名とパスワードで自動的にログオンする」として動作する、ということかな)。 状況としては MS00-067「Windows 2000 Telnet クライアントの NTLM 認証」の脆弱性に対する対策と同様のようだ。 最もありがちな危険性は辞書攻撃や総当たり攻撃によるパスワード解析だろう。 問題が発生するのは、上記ソフト (Office 2000, Windows 2000, Windows Me) がインストールされているか、または IE 5.0 以上がインストールされていて、かつ Web フォルダが有効になっている場合。

　英語版 patch が出ている。 Office 2000 SR-1 用 patch の Office 2000 SR-1 Update: Web Client Security は Languages Supported: Japanese という記述を見る限りでは日本語版 Office 2000 SR-1 にも利用できるようだ。 Office 2000 アップデート: Service Pack 2 (SP-2) が出たのは日本ではつい最近だけど、 US Office 2000 SP-2 は 14-Nov-2000 なので、順序的には SP-2 を適用してから MS01-001 を適用するのだろう。 SP-2 fix 一覧 (日本語版, 英語版) には含まれていないようだし。 でも Office 2000 SR-1 Update: Web Client Security には SR-1 が対象としか書いてないんだよね。 Service Pack と Service Release はどう違うんだろう。

　Microsoft Product Security Notification Service に再び概要が入るようになりましたね。

　西川さん情報ありがとうございます。

　Lotus Domino R5.0〜R5.0.6 に弱点。 http://TARGETDOMINO/.nsf/../winnt/win.ini のようにすると、web root を越えたアクセスが可能となってしまう。 元記事: Georgi Guninski security advisory #32, 2001: Lotus Domino 5.0.5 Web Server vulnerability - reading files outside the web root。 BUGTRAQ bugid: 2173。 /.nsf/../ だけでなく /.box/../ や /.ns4/../ もまずいそうです。 また、dummy directory を使って http://TARGETDOMINO/.nsf/AAA/../../FILE のようにもできるので、純粋に /.nsf/../ を禁止すればいいわけでもありません。

　R5.0.6a で fix されるそうです。 '..' を含む URL をどこかに redirect するようにすれば回避可能。 方法は上記の Lotus link に記載されている (つながらなかったら http://www.lotus.com/security からたどってみてね)。 また、R4.x にはこの問題はないそうです。

2001.01.12 追記: 日本語版出てました: ドミノサーバーが稼働しているサーバーのファイルシステムへアクセスが可能になるセキュリティの脆弱性について。

　Word 98 for MacOS に存在した問題が、継続して Word 2001 for MacOS にもあるという話。Excel 98 / Excel 5 の問題については「回避」はされるようになったようです (これを fix とは言わないよねえ)。

　MS Office 文書には拡張子は関係ないという話もありましたね。 くわばら、くわばら。

　「ゲートウエイ型のウイルス対策製品がもはや必須」なのか……。 これがまた高いんだよなあ。 client side とは違う会社のやつにしたほうがいいだろうけど、これがまた cost up につながるし。 でも anti-virus ものは、他のセキュリティ製品にくらべると予算要求しやすいのかな。

　ウィルス関連というと、 Norton AntiVirus (NAV) 5.0 では Office 文書に添付されたウィルスを検知できない という話も出てますね。 NAV 2001 や NAV Corporate Edition 7.5 だと ok だけど NAV CE 7.3 だとちょっとアレという話もあるそうです。 DAT だけ最新なら ok というわけでもなく、適切な program upgrade もやっぱりそれなりに必要なようです。 「ライセンス期間内なら常に最新バージョンを利用できる」ようなライセンスを持っていたとしても、インストールとか OS/アプリ適合性の検証とかがたいへんなので upgrade してないという人はたくさんいそうですが、そうも言ってられなさそうです。 ヤな世の中だなあ。

　ところで、日本で売ってる NAV CE ってまだ 7.0 までですよね?

　「各省庁は、平成１５年度までに電子政府の基盤を構築することを踏まえ」というわりには、「情報セキュリティ対策推進会議」や「情報セキュリティ部会第」の会合の少なさが気になったり。時間も少ないし。半年ぶりに 30 分会って何したんだろう。 案見せてシャンシャンですか? まあ、このあたりを見ても、電子政府の基盤をまじめに構築しようとしているとはとてもじゃないが思えないけどね。

　あと、サイバーもやんなきゃいかんとおもうけど、個人的には物理攻撃のほうが心配だったり。 「原発にゲリラ攻撃かけられて放射能 go go」とかいうシナリオの方が恐いぞ。 どこぞから核のゴミを盗んで東京都の水ガメにタラタラ、とかさ。

　安全宣言……。 Macromedia の Peter Santangeli 氏も does not constitute a significant security risk. The effects of this defect are limited to the crashing of the users client (denial of service) と、まるで DoS には何の問題もないかのような書き方をされていて、 私はそのことに驚きを感じる。 彼らの site に DDoS かけても、 "It does not constitute a significant security risk. The effects of this defect are limited to the crashing of the servers" と言えば許してもらえるんだろうか。 BUGTRAQ bugid 2162 も参照。

　ウイルスの法的定義ってどうなるんだろう。 配布の禁止はまだわかるけど、製造禁止って……。 なんか neko 騒動 (当時の log ってどこかにあったりしますか?) を想起してしまうんですけど……。

　IIS 5.0 に弱点。 CGI スクリプトに対して http://TARGETIIS/scripts/test.pl%3F+.htr のようにアクセスすると test.pl の結果ではなく test.pl そのものが返ってきてしまうという。 NT Security-B-) によると、日本語版 Windows 2000 Server SP1 + MS00-086 patch では %3F+.htr ではなく +.htr (%3F なし) のときに現象が発生するという。 Guninski 氏によると +.htr (%3F なし) は「patch を適用しないとき」に発生するとなっているのだが、日本語版では状況が異なるということなのか。 また BUGTRAQ では IIS 4 での状況がフォローされている。

　.htr へのアプリケーションマッピングを削除すれば回避できる。

　これ、強烈ですね。

　いいなあこれ。受講したい。 日本でやってるとこってあるのかな。

　UNICODE って encoding 方法がやたらたくさんあるので detect するの大変だし、 NetworkICE だと自前で UNICODE decode するようだけど、その decode 方法が target machine (ex. Windows NT/2000) と違ってるとまずいし、というような話みたい。 頭痛いなあ……。

　わくわく。 「オフィシャルサイトが近日公開予定」だそうです。

　やっぱり Windows >> Linux >> others なんですね。 この port の開きかたって「IIS についてくるやつ全部入れてました」ってコトなのかなあ。

　というわけで、やっとこさ MS00-086 新々 (相当) patch 日本語版が出た、という話。1 か月もかかっては困りますよね。 やっぱり日本語版 OS は使えないってことになってしまいます。

　それはいいんだけど、「正式にはアナウンスされていないものの」とか書くの、もういいかげんやめませんか? MS Security Advisor 日本語 page に案内がなければ正式じゃないなんて、誰が言ってるんですか? MS の公式 site に掲載されているものが正式じゃないというのですか? 正式だろうが正式じゃなかろうが、hotfix だの SP だのなんてものは 「各自の責任で適用」することには変わらないわけですし。

　いろいろなソフトの新バージョンが出ているようです。

• 軽量 IDS snort の 1.7 が出ています。from ChangeLog:

  * tcp stream reassembly preprocessor (beta) by Chris Cramer
  * Defragmentation plugin is now fully functional on all architectures
  * SPADE (Statistical anomaly detection) preprocessor has been added by
    James Hoagland
  * Added IIS/UNICODE attack detection to HTTP decoder
  * Reference plugin has been added by Joe McAlerney
  * New active response module: sp_react
  * Added "any" keyword to IP options (ipopts) plugin
  * IP fragmentation bits detection plugin added
  * Added TOS detection plugin from Erich Meier 
     
  * Database output plugin improved in many ways by Jed Pickel
  * Oracle support added to database output plugin
  * XML output plugin by Jed Pickel/Roman Danyliw/CERT
  * IP address list support added with lots of help from Phil Wood
  * _ADDRESS variable implementation, specifying an interface name
    in the rules file as part of this variable automatically sets the IP/mask
    as the IP address/netmask of the specified interface
  * Rule parser is more anal about rule verification now, doesn't crash as 
    readily
  * Arbitrary output types support added by Andrew Baker
  * Activate/dynamic rules allow rules to turn on/off other rules!
  * ICMP unreach. printout dumps encapsulated headers now
  * Improved TCP/IP options printout code, doesn't flood on 0 length options
  * Packet checksumming implemented for all supported protocols by Chris 
    Cramer
  * TCP flags now print out in proper (bitwise) order
  * Added new fields to the packet header dumps including IP header length,
    TCP/UDP header length, Urgent pointer printout, IP Reserved bit printout,
    ICMP Type/Code explicit value printout
  * -X switch dumps packet byte data for data link through application layer
  * -L switch to privde a filename for binary log files specified with the -b
    switch
  * Added -I switch to print interface name in Snort alerts (first i/f only)
  * Fixed -S command line switch so it isn't overridden by variables in the
    rules file
  * Corrected PID file misadventures
  * Added a bunch of new statistics to the packet stats printout
  * Added SIGUSR1 handler, Snort will dump packet stats to console/syslog 
    when it receives a SIGUSR1
  * Memory management cleaned up/lots more free()'s to match up with 
    malloc()'s
  * Added snprintf code to the distro for safety
  * UID = 0 code added for sniffer mode
  * fixed default alert filename for daemon mode
  * Updated USAGE file to resemble Snort's current reality
  * Changed snort-lib to snort.conf, Jed Pickel added lots of documentation
    to the file as well (thanks Jed!)
        

  わくわくしてきました?

• 国産 IDS pakemon の 0.3.1 が出ています。

• djbdns の 1.03 が出ています。

• STRATEGIC CHOICE, INCORPORATED とゆーところが ウィンドウズ用ネームサーバ BIND8.2.2P7 for Win32 とゆーのを出した……という記事が流れているようですが、これは誤報 (というか詐欺) だそうです。

  8.2.2P7 を Windows 環境で作成しても 8.2.2P5 相当にしかならないそうで、 8.2.2P7 で fix された問題を解決したい場合は bind 8.2.3T9B for Win32 を入れるのが吉のようです。