セキュリティホール memo - 2001.02

　2001.03.22 銀座ヤマハホール。 セキュリティ・インシデントへの対応をまじめに考えたい人、 自組織用の CSIRT をつくりたい人はぜひ。無料だし。 定員 250 人なんてすぐ埋まりそうな気が。 うぅ〜参加したいけどその時期には本業が核爆発しているはずなのでダメだなあ……。無念。 インターネットで中継……はないんですよねえ。

　宮川さん情報ありがとうございます。

　ネットワークアソシエイツの McAfee VirusScan v.4.5 を DAT4123 と共に利用していると、ウィルス感染していないばかりか添付ファイルすらない e-mail を「VBS/VBSWG.J@mm に感染」と報告してしまう。 実例として、「CSEセキュリティ通信 Vol.18」がこれにひっかかったという。 DAT4124 で修正されている。 参照: 2001年2月23日に発行されたDAT4123の誤認について。

　平成１３年第１回定例会提出議案の第 53 号議案かな。 会議予定表 とか 質問順序一覧 とかありますな。 3/1 までの 質問項目一覧 で「青少年の健全育成について」をあげているのは、 自由民主党の佐藤裕彦議員と 日本共産党の小竹ひろ子議員だけですな。

　「今回の指定理由の追加によって乱用の可能性が出てくるだろう」、今でも十分濫用されているのに。

　sudo 1.6.3p5 以前に、長大な引数で buffer overflow するバグがあるという話。 詳細は sudo の Bugzilla bug 27 にある。exploit 可能であるとはみなされていないようだが、気持ちいいものでもない。 1.6.3p6 で fix されている。 OpenBSD 2.8 の sudo は 1.6.3p5。

　和田さん、横井さん情報ありがとうございます。

　常時接続時代のパーソナル・セキュリティ対策（中編）で説明されている設定ではパケットフィルタを回避されるので、

1. All じゃなくて 1025-65535 (high port only) にしなくちゃいけない

2. でも Windows 2000 の RRAS だと現実問題としてできない (!!)

3. 他のソフトを併用するか、あるいは危険を覚悟の上 All のまま使うかしかない

という話。範囲指定ができないというのは困ったちゃんですねえ。 しかし、「企画趣旨を理解していただけなくて残念です」なんて、わけわかなことを言っていていいのか > AtmarkIT。

　Yoshida さん情報ありがとうございます。

　Sun の Java Development Kit, Java Runtime Environment, SDK の 1.2.2_005 / 1.2.1_003 / 1.1.8_003 / 1.1.7B_005 / 1.1.6_007 以前 (Windows の場合、Solaris/Linux 版も同様) に弱点。 悪意のある Java コードが権限のないコマンドを実行できてしまう。 ただし、この弱点を利用した攻撃を実行するには、少なくともひとつのコマンドを許可する必要があるのだが、これはデフォルトでは許可されていないので、 この弱点を利用した攻撃が発生するのは稀だという。

　fix 版が登場しているのでこれを適用する。入手方法は Bulletin 参照。

　あと、これも関連だと推測: HP Support Information Digests: Sec. Vulnerability in MPE/ix JAVA / linkeditor / NM debug、 Sec. Vulnerability in JRE (for HP-UX)。 。

　どうやら中国方面からの activity が存在するのは確かなようですが、 あくまで FYI なので、at your own risk で解釈しましょうね。 まあ、どこから来ても同じなんですけどね。 既知の穴はしっかり塞ぎましょう。

　IIS 4/5 の人は port139 の NT Security などを読んで設定してください。 patch 一覧は MS Windows NT 4.0 / Windows 2000 セキュリティ対応状況 とか見てね。IIS 4 は MDAC (RDS) fix 忘れずに。 RFP9907: You, your servers, RDS, and thousands of script kiddies (の 日本語版 とその フォロー) あたりも読んでおくといいかもしません。 IIS 3 とかの人は、少なくとも対外サービスとして使うのはやめたほうがいいと思う。 参照: 狙われるIIS，相次ぐjpドメインへのアタック、 緊急警告 Web 改ざん多発、Webサーバソフトウェアにセキュリティパッチを。

　UNIX だったら、apache とかの WWW サーバを最新にした上で TCP port 80 と ICMP echo だけ開けて、あとはパケットフィルタでふさいじゃうのがてっとり早いかな。 標準でフィルタついてない UNIX は IP Filter 使えばよろしい。 え? Netscape-Enterprise 使ってるの? iPlanet にしたほうがいいんじゃないすか?

2001.02.20 追記: KAME projectの萩野さんから 「ICMP need fragmentをフィルタしないでください... (またはフィルタするように勧めないでください) path MTU discoveryが動きません」 という情報をいただきました。ありがとうございます。_o_

　あ、上記の IIS のところって、port 135〜139 とか 445 とかその他イロイロな port はデフォルトで (router とか firewall とかで) 閉じてあるもんと思って書いたんですが、 やっぱ閉じてないところ多いですかねえ。 Windows 2000 でのフィルタリングについては、たとえば port139 の NT Security-RRAS や AtmarkIT の 常時接続時代のパーソナル・セキュリティ対策（中編） を参照。NT 4.0 では RRAS はオプションで、しかも日本語 OS での動作が保証されていなかったりしますが、入れればちゃんと動くようです (じつは試してないのでよくわからん……)。

2001.02.20 追記 2: 訂正稿が出たので、top link を訂正稿に入れかえました。 最初のバージョンはこちら: 【注意喚起】　中国人クラッカー クラッキング警報。

2001.02.20 追記 3: http://www80.tcup.com/8020/connect24h.html に、この問題専用の掲示板ができました。 今後はこちらに情報が集まるはずです。 別 ML をつくろうという話も出てますが……。

　……上記掲示板 (TeaCup の無料のやつ) は制限がありすぎなので、議論は 24 時間常時接続 ML と http://blue.blue.ac/bbs/cyclamen.cgi の 2 本立になったようです。 Cyclamen BBS はちょっとかわったかんじの掲示板です。なんか萌。

　「しかしバグ情報もろくに出さないしパッチも出るのが遅いし(特にMSKK)ってんじゃあサーバー管理者をいちがいに責めるってわけにもいかんでしょう」、 いまだにこういう認識の人って多いんでしょうか。

• 「バグ情報もろくに出さない」

  TechNet セキュリティ センター や マイクロソフト セキュリティ情報 のコンテンツを見て「ろくに出さない」というのなら、たとえば Vine Linuxの更新/障害情報 あたりにはどのようなコメントが得られるんでしょうね。 ぜひお伺いしたいところです。

  私は、現状の MSKK の情報提供にはまだまだ問題があるとは認識していますが、 ここ数か月のがんばりはただものじゃないとも認識しています。 少なくとも、Sun とか HP とか SGI とか NEC とか SONY とかの商用 UNIX ベンダーや Linux や *BSD など OpenSource UNIX と比べて「ろくに出さない」なんてことは全くないと認識しています。

  MS のセキュリティ情報は、MS ダウンロードセンターの最新状況との同期がうまくいってくれればもっとうれしいんですが。

• 「パッチも出るのが遅いし(特にMSKK)」

  少なくとも Windows 2000 については改善されてきています。 特に今年に入ってからは、Windows 2000 については英語版 patch (hotfix) とほぼ同時に日本語版 patch が MS ダウンロードセンターには出ています。 ただ、これが MS セキュリティ情報 に反映されるまでに時差があるところが残念です。

  その他の OS (Windows 9x, NT 4.0) やツール (Widows Media 関連など) についての日本語版 patch が遅いのは確かで、そのような意味では同意します。 特に、致命的な穴が発見された場合は日本語版 patch も早急にリリースしてほしいところです。

　で、IIS 4/5 が問題になる (crack される率が高い) のは上記のような点では全くなく、このへんだと思います。

• デフォルトセキュリティがダメダメ (NT 4.0)。

• IIS はデフォルトで致命的な弱点を持つ (.HTR, RDS, UNICODE)。 攻略ツールも広く出回っている。

• ちゃんとメンテナンス (secure install, patch 適用, 情報収集など) しないとダメダメだということを理解してない人が多い。 逆に、ちゃんとメンテナンスすれば、致命的な状況にはならない。

　でもまあ、そういう点は RedHat Linux なんかでも同じなんですが。 IIS が wu-ftpd とか rpc とか LPRng に変わるだけで。 というか、Windows や UNIX 方面で、致命的な穴が発見されないまま 1 年経過できる OS なんてないでしょう。MacOS も BSD UNIX になるしなあ。

　……ここにつなげるほうがいいかな。 某氏から「UNICODE bug (BUGTRAQ bugid 1806, 1912) の話って、MS の情報ページ (MS00-078, MS00-086) には UNICODE って文字はどこにも出てこないから、うまく探せない人がいるみたい」という話をうかがいました。 うーむ、たしかに。 UNICODE という文字列を出したくない気持ちもわからんではないが、やっぱ示すべきだと思うぞ。そういう意味で「バグ情報もろくに出さない」ということなら同意ですね。

　IBM 江藤さんの stack-smashing protector (ProPolice) が FreeBSD 4.2-RELEASE に正式に対応した。 オリジナル版にあったライブラリリンク問題も fix されている模様。 freebsd-security ML でのアナウンス: Base system with gcc stack-smashing protector。

　また出ました。

• MS01-009: 「無効な PPTP Packet Stream」の脆弱性
  (Wed, 14 Feb 2001 05:01:13 +0900)

  Windows NT 4.0 で PPTP サーバを動かしていると DoS を食らうようです。 Windows 2000 は問題ない。 日本語版 patch はまだない。

• MS01-010: 「Windows Media Player スキン ファイルのダウンロード」の脆弱性
  (Thu, 15 Feb 2001 03:23:07 +0900)

  2000.01.18 の 『Windows Media Player』のスキンにセキュリティーホール の話だろう。 日本語版 patch はまだない。

　NAV Corporate Edition、いきなり 7.0 → 7.5 なのね。 US だと間に 7.3 があったようなんだけど。 しかし、 NAV CE 7.0 のインストールに 5 回ほど失敗した (失敗しても中途半端に動いてくれるのですごく悩んだ) 経験の持ち主としては、 機能向上よりは 「必ず指定した順番どおりにインストールし、 しかもコンポーネントのインストール毎に必ずリブートすること」 なんて制限がとれてくれることのほうがうれしいんだけど、そのへんはどうなったのかな。

　あとマルチレイヤなウィルス対策は効果的という意見には賛成するんだけど、 同じ会社の製品で固めては意味半減なような気がする……。

　まるまる Norton Personal Firewall 2001 の記事。

　SecurityFocus.com Newsletter 第 79 号。 このページで紹介してなかったやつ:

• Guido Frassetto SEDUM HTTP Server Directory Traversal Vulnerability

• Heat-On HSWeb Web Server Path Disclosure Vulnerability

• Informs PicServer Directory Traversal Vulnerability

• AOLserver Directory Traversal Vulnerability

• Soft Lite ServerWorx Directory Traversal Vulnerability

• Infobot fortran math Arbitrary Command Execution Vulnerability

• IBM Net.Commerce Remote Arbitrary Command Execution Vulnerability

　OpenSource 版 TripWire (for Linux) の新版が出たみたいですね。……あれぇ? ダウンロードページ には 2.3-47 しかないぞ。sf news には 2.3.0-50 が出たって書いてあるのに。 …… SourceForge に 2.3.0-50 があった。

　Linux kernel の ptrace, sysctl およびいくつかの intel CPU 固有の部分に弱点があり、local user が root 権限の奪取 (ptrace, sysctl) および DoS (intel CPU) が可能。 fix kernel (2.2.17-14) が用意されているので適用する。

　RedHat 6.2 の inetd の内蔵サービスが socket を close し忘れるという話。 Vine の ●2001,2,15● inetd にバグ も同じ話でしょう。

　数々の cgi プログラムの問題点を指摘しているページ。 精力的に check していらっしゃるようです。 人のフリ見て自分の cgi を check しておこう。

　SecurityFocus.com Newsletter 第 78 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• AT&T WinVNC Client Buffer Overflow Vulnerability
  AT&T WinVNC Server Buffer Overflow Vulnerability

  VNC for Windows 3.3.3r7 以前に弱点。server および client において buffer overflow するバグがあり、悪意ある client / server は、remote から任意のコマンドを実行させてしまうことが可能。

• iWeb Hyperseek 2000 Directory Traversal Vulnerability

• Whitsoft SlimServe HTTPd Server DoS Vulnerability

• FreeBSD inetd wheel Group File Read Vulnerability

  FreeBSD-SA-01:11 inetd ident server allows remote users to partially read arbitrary wheel-accessible files [REVISED] の話。FreeBSD 3.x および 4.0〜4.2-RELEASE において、 inetd が内蔵する ident サーバ機能を -f オプションつきで利用している場合に問題が発生。 ある形式のリクエストを送ることで、remote user は group = wheel が読めるファイルの最初の 16 bytes を読むことができてしまう。 patch があるので適用する。

• FreeBSD periodic /tmp File Race Condition Vulnerability

  FreeBSD-SA-01:12 periodic uses insecure temporary files [REVISED] の話。 periodic(8) が作成する一時ファイルに問題があるため、 local user が削除権限のないファイルを削除できる可能性がある。 4.2-RELEASE では fix されている。

• Linux man -l Format String Vulnerability

  Debian fix。

• Apple Quicktime Plugin Remote Overflow Vulnerability

  オリジナル: SPS Advisory #41: Apple Quick Time Plug-in Buffer Overflow。 QuickTime Player 4.1.2 for Windows をブラウザ経由で起動させる場合に buffer overflow を発生させることが可能という話。 英語版では crash しなかったという報告がある。

• qDecoder Remote Buffer Overflow Vulnerability

• Cisco Content Service Switch Long Filename Denial of Service Vulnerability
  Cisco Content Services Switch Directory Structure File Reading Vuln

　ログ解析ソフト analog に buffer overflow バグがあり、ALIAS コマンドを用いて長大な文字列を作成されると発現するという。 フォームインターフェイスを利用している場合に特に問題となるようだ。 4.16 および 4.90beta3 で fix されている。

　2001.02.13 の 当サイトの緊急メンテナンスについてのお知らせ に追記した。 いちばん肝心な、これは cookie がらみな話だろうということを書き忘れていた。

　ssh 1.2.x, OpenSSH 2.2.x 以前などに弱点。 deattack.c において、32bit int ではなく 16bit int が使われているためメモリーがあふれる。これを利用して remote から sshd 実行権限 (通常 root) を得られる。 ssh 1.2.31, ossh および OpenSSH 2.2.0 用の patch が添付されている。

　もともと deattack をつくった core-sdi からの情報: SSH CRC-32 compensation attack detector vulnerability。 BUGTRAQ id 2347。 patch: Debian, FreeBSD。

　ssh 関連だと、他にこんなのが出てる:

• SSH protocol 1.5 session key recovery vulnerability

  protocol 1.5 の問題。 ssh 1.x で問題となる。OpenSSH 2.3.0 にも問題があるが表面化はしないようだ。 2001.01.29 以降の OpenSSH source には fix が含まれている。 上記 Debian/FreeBSD patch にはこれの fix も含まれている。

• SSH1 SSH Daemon Logging Failure Vulnerability

  ssh 1.2.31 も同様のように見える。

　うーん、本当にゼロなのか? [aml 19807] 電子メール盗聴の新たな動向 では「警察庁の話しのニュアンスから、あきらかにすでに電子メールの盗聴は行われているもようです」 とされているが……。

　盗聴法推進議員≒ＫＳＤ汚染議員 これが盗聴法対象犯罪から収賄罪が外された「理由」だ！ というのは実に興味深い論点です。

　playstation.com が 電総研 セキュリティ脆弱性研究グループ (仮称) からの脆弱性の指摘を受け、日本 IBM と共に対策を実施したという話。 SecurIT は「当社を含む複数のサイト」に対して指摘を行ったそうなので、 これらの対策が完了した時点で詳細が公開されるのだろう。 Server: Domino-Go-Webserver/4.6.2.6 ですか。

　SONY 関連では、sonystyle.com にも 当サイト緊急システムメンテナンス完了のお知らせ が出ている。 こちらは「2月7日に」指摘を受けたとのことなので、playstation.com とはちょっと違う話なのかもしれない。 Server: Apache/1.3.12 (Unix) PHP/4.0.2 AuthMySQL/2.20 だそうだし。

2001.02.14 追記: すっかり書き忘れていましたが、上記は多分、高木さんの発言 [fw-wizard:1064] MS00-033 - Open Cookie Jar に関連した、cookie がらみのお話だと推測します。 SecurIT-Advisory: 2000-001 でも「ただし、Cookieが常に安全なものなわけではありません…(中略)…ではどうしたらよいのか？: 現在まとめた文書を執筆中です」とされてますし、 www.jp.playstation.com には

◆Windows版 Internet Explorerをご利用のかたへ
Windows版 Internet Explorer5.5 より古いバージョンではブラウザの問題があることがマイクロソフト社のサイトに公開されております。 当サイトではクッキー利用に関する問題が解決されているバージョン5.5以上を推奨いたします。

と書かれていますし。

　web 広告システムが乗っ取られたり、外部から書きかえられたりできる弱点があったりすると、web ブラウザの JavaScript 関連の弱点を通して DoS/DDoS などが可能だ、という話 (という理解でいいのかな)。 DNS 乗っ取りでも十分可能なはずだし、ものすごく非現実的、というわけではないだろう。

　あいかわらず Windows 多いです。

　例によって MS Outlook がらみ。 Outlook 2000 SR-1 アップデート: 電子メール セキュリティ や Office 2000 アップデート: Service Pack 2 (SP-2) を適用する、あるいは手動で mail については制限つきゾーン権限としアクティブスクリプトの実行を不可とすれば回避できているはずにもかかわらず回避できていないというのは、「Fortune 500の企業を含む50社以上」は結局これらを適用していないということだろう。

　参照: CERT Advisory CA-2001-03 VBS/OnTheFly (Anna Kournikova) Malicious Code (LAC 邦訳版) 。

　アクセス制御機能に関する技術の研究開発の状況 の アクセス制御機能に関する技術の研究開発の状況（国） が SecurIT.etl.go.jp 関連。

　不正アクセス行為の発生状況 は「2000.02.13〜2000.12.31 に、警察庁に報告のあった不正アクセス行為」をまとめたもの。

　政治屋につけ入る隙をみせているマスメディアにも問題はあるわけなのだが。 ワキが甘いのだ。 「KSD 事件のほうが有害だ」では問題のスリカエでしかないし、 「実態としてすでに条例で規制されている」で済ませるのもちょっとなあ。

　政治屋の言論統制を批判するのはそれはそれでいいが、 返す刀で身内の悪も斬ってもらわナイト。

　ちょっと紹介しないとすぐたまっちゃう。

• MS01-008: 「NTLMSSP のアクセス権の昇格」の脆弱性
  (Thu, 08 Feb 2001 07:45:33 +0900)

  Windows NT 4.0 の NTLM Security Support Provider (NTLMSSP) サービスに弱点。 クライアントからの要求の処理方法に問題があり、 local logon した user が管理者権限を得られる。 攻撃者は対話的に logon する必要があるため、NT Workstation や NT TSE で特に問題となる。

  詳細: BindView Security Advisory: Local promotion in NT4's NTLM Security Support Provider。 英語版 patch はあるが日本語版はまだ。

• MS01-007: 「Network DDE Agent 要求」の脆弱性
  (Tue, 06 Feb 2001 07:19:31 +0900)

  Windows 2000 に弱点。 Network Dynamic Data Exchange (DDE) Agent が user 権限ではなく local SYSTEM 権限でリクエストを処理してしまうため、 これを使うと攻撃者は local SYSTEM 権限で任意のコードを実行することができてしまう。 web server など対外サービスを実行している場合、 任意のコードを remote から実行できてしまうような他の弱点が存在する場合に、 本弱点と合体させると remote から管理者権限を奪われる可能性がある。 patch を適用しよう。

  詳細: @stake Advisory Notification: NetDDE Message Vulnerability (A0205 01-1)。 patch: x86, NEC 。

• MS01-006: 「無効な RDP データ」の脆弱性
  (Thu, 01 Feb 2001 06:49:56 +0900)

  Windows 2000 Server/Advanced Server の TSE 機能に弱点。TSE 機能を利用している場合、 特定の形式の RDP パケットを送ると (サービスが、ではなく) サーバが異常終了 (ブルーサンダー) する。 単に RDP ポートに特定パケットを送るだけでいい。 NT TSE にはこの弱点はない。 生形洋一氏と河端善博氏が発見した。

  patch があるので適用する。

• MS01-005: 「英語版修正プログラムの問題」
  (Tue, 30 Jan 2001 15:21:39 +0900)

  英語版 Windows 2000 のカタログファイルに間違いがあったため、 特定の状況で Windows 2000 ファイル保護機能が正しい hotfix を削除してしまう可能性があった。 patch (Windows 2000, SP1) を適用すれば ok。

  日本語版には関係ない。

　NHK が「右翼」や (?) 「与党」の (?) 圧力に屈して (?)、 大幅な偏向報道を行ったという話。 NHK はやっぱり「大日本国営放送」なのでしょう。 なお、NHK じゃないマスメディアはそれ以前の状態であるようだ。

　from aml だと、[aml 20866] 米海軍旗艦、お粗末な事件が笑える。

　2001.02.06 の 転送メールの盗聴ができるJavaスクリプト に追記した。 実は 2 年前に発見されてそれっきりになっていたという。

　802.11 無線 LAN 規格で用いられている暗号方式 Wired Equivalent Privacy (WEP) には重大な問題があるという話。 復号できちゃう他、偽パケットの挿入などもできちゃうという。

　Java アプレットを使って UDP socket を使い切ることにより DNS の名前引きなどを使えなくすることができるという指摘。 Guninski 氏は Windows 98, 2000 での発生を確認している。 手元の Windows 2000 SP1 日本語版 + IE 5.5 + JavaVM build 3319 でも再現できた。 Guninski 氏は Linux では再現できなかったと述べているが、これは limit にひっかかったってことなのかな。

　.htr のまとめ的に読めるので、ご一読。 使わない人はマッピングを削除しましょう。

　@nifty: アクセスポイント電話番号の設定間違いにご注意ください の話。 しかし ZDNet のこの記事、なぜ「?」がついているんだろう。

　これまで報告された ProFTPD の問題は 1.2.0rc3 で fix された、という記事。 というわけで、1.2.0rc3 出てます。

　正式版出てます。うぅ、結局 feedback してないし……。 足利さん情報ありがとうございます。

　.jp domain 集中 attack に対応した警告。 ……ってちょっと、「この patch を適用せよ」という情報を出さないでどうすんの。 patch だけじゃすまない話もあるし。

　というわけで、 port139 の IIS 4.0 インストール のようにインストールしてない人は、これに適合するようにいろいろいじって (最新 SP 適用、RDS まわり、サンプル削除、いらないサービス削除、仮想ディレクトリ削除、……)、 Windows NT/2000 セキュリティ対応状況 でも見て hotfix を適用してください。 あと、.htr とか .idq とか、使ってないならアプリケーションマッピングを削除しましょう。 ふつうは .asp と .htm だけあれば十分だと思うんですけど、ちがうのかなあ。 Microsoft Internet Information Server 4.0 セキュリティ チェックリスト も参照。

　あ、IIS 5 のばあいは IIS 5.0 セキュリティ最初の一歩 とか Internet Information Services 5 セキュリティのチェックリスト あたりを。

2001.02.08 追記: 緊急警告: Web 改ざん多発、Webサーバソフトウェアに即刻セキュリティパッチを が改訂されてますね。だいぶよくなったけど、 Win セキュリティ虎の穴 のように、RDS (MDAC 1.5) ネタについては特出ししておいたほうがいいと思う。

　SecurityFocus.com Newsletter 第 77 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Windows 2000 EFS Temporary File Retrieval Vulnerability

  うーむ……。0 クリアしておいてほしいよね。

• Fastream FTP++ Denial of Service Vulnerability
  Fastream FTP++ Directory Traversal Vulnerability

• Icecast Buffer Overflow Vulnerability

  patch: RedHat。

• LocalWEB2000 Directory Traversal Vulnerability

• GoodTech FTP Server Denial of Service

• Iris GET Denial of Service Vulnerability

• bing gethostbyaddr Buffer Overflow Vulnerability

• Netscape Enterprise Server DoS Vulnerability
  Netscape Enterprise Server Web Publishing DoS Vulnerability
  Netscape FastTrak Cache Module DoS Vulnerability

  4.1 SP6 が出たというフォローがあったのだけど、示されている URL はないですね。 ダウンロード にも SP5 までしかないし。

• Netscape Enterprise Server 'Index' Disclosure Vulnerability

  昔、有効じゃなくても使える Netscape Enterprise Server 3.x Web Publishing Tags Vulnerability というのもありましたね。

• Lotus Domino Mail Server 'Policy' Buffer Overflow Vulnerability

• Watchguard FireboxII Password Retrieval Vulnerability

• Oracle JSP/SQLJSP Servlet Execution Vulnerability

• Netopia R9100 Router Denial of Service Vulnerability

• Easycom/Safecom Print Server Remote Arbitrary Command Vulnerability

• FreeBSD ipfw Filtering Evasion Vulnerability

  FreeBSD 3.x, 4.x の ipfw (4.x は ip6fw も) に問題があるという話。 使っている人は patch をあてよう。

• Oracle XSQL Servlet Arbitrary Java Code Vulnerability

• Wu-Ftpd Debug Mode Client Hostname Format String Vulnerability

　zorp は http://www.balabit.hu/en/products/Zorp/ にあります。

　SecurityFocus.com Newsletter 第 76 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Microsoft MSHTML.DLL Crash Vulnerability

  MSHTML.DLL での JScript ハンドリングが甘くて DoS できるという話。 IE 4〜5.5 は該当するらしい。 手元の IE 5.5 / Windows 2000 SP1 日本語版でも見事に再現する。 次の SP で直すそうだ……ってそりゃいつ出るんだ?

• Veritas Backup Denial of Service Vulnerability

• SuSE rctab Race Condition Vulnerability

• Iomega JaZip Buffer Overflow Vulnerability

  JaZip じゃなくて、JaZip がつかっている xforms のバグ。 patch: Debian。

• OmniHTTPD File Corruption and Command Execution Vulnerability

• Trend Micro Interscan VirusWall Weak Admin Password Protection Vulnerability
  Trend Micro Interscan VirusWall Symlink Root Compromise

  Interscan VirusWall for UNIX 3.0.1, 3.6.x に弱点。 (1) web ブラウザ経由だとパスワードが平文で送られちゃう (2) GET リクエストに username:password が base64 エンコードされて入るから sniff されたらすぐわかる (3) インストーラが予測可能な一時ファイルをつくってくれるので、 うまくやれば一般ユーザが root 権限が得られる。 元記事: Trend Micro's VirusWall: Multiple vunerabilities (Mon, 15 Jan 2001 10:05:22 +0900)

• Flash Sound Write-Overflow Vulnerability

• Caldera DHCP Package Format String Vulnerabililty

  Format strings: bugs #3: ISC-dhcpd 2.0 の話?

• Tinyproxy Heap Overflow Vulnerability

  1.3.3a で fix されている。 patch: FreeBSD, Debian。

• Microsoft WINS Domain Controller Spoofing Vulnerability

  1Ch 登録を検証しないため、WINS に偽 DC を登録できてしまうという話。

• SSH Secure-RPC Weak Encrypted Authentication Vulnerability

  NIS+ を使うときだけ、と理解していいのかなあ。

• glibc LD_PRELOAD File Overwriting Vulnerbility

  suid/sgid に対しては「LD_PRELOAD に / が含まれていないか check」が行われるのだけど、 /etc/ld.so.cache にライブラリがあるとこの check が消滅するという話。 各ディストリビューションの最近の glibc upgrade に含まれているはず。

• Postaci Arbitrary SQL Command Injection Vulnerability

• Checkpoint Firewall-1 4.1 Denial of Service Vulnerability

  ライセンスマネージャですか……。

• HP-UX Support Tools Manager Denial of Service Attack

　2001.01.30 の MS01-004: New Variant of File Fragment Reading via .HTR Vulnerability に追記した。 patch を適用してもまだやられる場合があるという話。

http://www.microsoft.com/%00+-/ のような URL にアクセスすると IE が変になるという話。 相手が IIS じゃないと何もおこらないそうだ。 手元の IE 5.5 / Windows 2000 SP1 日本語版でも変になったし、 相手が Apache だと何もおこらなかった。

　だそうです。オリジナル。

　JavaScript を仕込んだ HTML メールを送ると、受信者が forward する際に、 送信者宛にも自動で送信するようにできるという話。 これはバグではなく DOM に基づく正当な機能 (!) だという。 少なくとも、デフォルト状態の Outlook, Outlook Express, Netscape 6 で現象が発生する。

　JavaScript を無効とすれば回避できる。 もと記事 Email Wiretapping には問題および回避方法の詳細があるので参照されたい。

2001.02.08 追記: 実は 2 年前に発見されてそれっきりになっていたという。 参照: 2年前に発見されていたJavaScriptセキュリティー問題。

2001.04.19 追記: Eudora の情報: Eudora/Eudora Proのセキュリティホールについて。 4.0.2-J 以降ではデフォルト off だが、それより前ではデフォルト on。 注意されたい。高木さん情報ありがとうございます。

　民放連は、本当はバンバン規制してほしいのかな。この発言は、そうとしか取れないんだが。 「メディア側では自主規制の取り組みが行われている」、ジョークにしては笑えないしなあ。

　そういうコミュニティがほしくなる気持ちは理解できる。

　IT関連3学会、IT戦略本部にセキュリティ技術者認定制度創設など提言の中身。 提言だけ読んでもわけわかで、 補足を読まないとどうしようもないってのはそういうものなのか?

　で、学会としてへげへげしてます……って書いてあるんですけど、 「JABEE って何?」 「試行実験?」 「先端オープン講座?」 とか、疑問はいくらでも出てくるじゃないですか。 何もかも全てわかっている人に提言してるわけじゃないんですよね? 「社会に向けての発信」とか言うんだったら、 link くらいつけといてくれてもいいと思うんですけど。 学会の活動を売りこむチャンスなのに。 ちゃんと link があれば、たとえば 「なあんだ、先端オープン講座って東京ローカルじゃん」 とかいうことがすぐわかるじゃないですか (あ、逆効果?)。 MS Word なんかでつくるなとは言わないから……。

　……これって「提言」って書いてあるけど、よく見ると「要望」ばっかりですね。

　2001.01.30 の SPS Advisory #40: Solaris7/8 ximp40 shared library buffer overflow に追記した。 防御用の suid/sgid wrapper が登場。

　Windows 2000 の RRAS についてじっくり解説されている。 RRAS については、port139 の NT Security-RRAS も参照されたい。

　ip filter でいう with ipopts とか with short とかは指定できないと理解していいのかな。 それとも、最初から拒否されるのかな。

　Aleph One 氏の Phrack 49-14: Smashing The Stack For Fun And Profit の翻訳版。

　Last Updated 2000/1/12 と言うわりには web server (Apache/1.3.12 (TurboLinux) PHP/3.0.15-i18n-ja) は Last-Modified: Wed, 20 Dec 2000 08:22:59 GMT だとおっしゃるしでよくわからない。 server に put したのは 20 Dec 2000 だけど文章自体の last modified は 2000/1/12 だということなのかしら。 トップページ も NEW!! ばかりでいつの NEW なんだかよくわからないし。 コンテンツ自体はナカナカなので、 こういうところの不備がよけいに残念。

　うまい攻撃だよなあ。 That BIND8 "exploit" attacks NAI およびフォローあたりを参照。 元記事はアーカイブから削除されてしまっている 。

　関連: セキュリティー専門家の掲示板にDoS攻撃ツール(上)。 「問題のメッセージを削除するつもりはない」って、実際問題削除されてるんですけど……。

　2001.01.30 の CERT Advisory CA-2001-02 Multiple Vulnerabilities in BIND に追記した。 Kondara, FreeBSD patch。