セキュリティホール memo - 2001.03

　2001.03.23 の CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates に追記した。 Windows 用 patch 登場。

　MS Plus! 98 および Windows Me に弱点。 圧縮フォルダに設定したパスワードはシステム上に存在する特定のファイル (c:\windows\dynalog.zip) に書き込まれるため、攻撃者がそのファイルにアクセス可能な場合、パスワードを解読される可能性がある。 日本語 patch はまだない。

　マイクロソフトによれば、 パスワード保護機能はセキュリティを強化するために設計されたものではない のだそうだ。 パスワード保護機能は、他のサードパーティのデータ圧縮製品のパスワード保護機能との相互運用性のために追加されたもので、用意周到でない検査に対して保護するに過ぎません ですって。 要は単なるパーティージョークってことだ。

　CVE: CAN-2001-0152。

　Visual Studio 6.0 Enterprise Edition、 Visual Basic 6.0 Enterprise Edition に弱点。 これらに含まれる VB T-SQL debugger object にバッファオーバーフローバグがある。 この object には remote からアクセスできてしまう。 結果として、攻撃者は remote から任意のコードを実行できてしまう。 ただし、攻撃される側が対話的に logon している必要がある。 日本語 patch はまだない。

　firewall で port 137〜139 および 445 を塞いでいる場合は、 firewall 外からこの弱点を利用した攻撃はできない。

　CVE: CAN-2001-0153。 詳細情報: Remote buffer overflow in DCOM VB T-SQL debugger (BindView)。

　JSP がらみの指摘 3 つ。

• CSA-200105: Tomcat 3.0 for win2000 Directory traversal Vulnerability

  上がれちゃうようです。回避方法なし。

• CSA-200106: JavaServer Web Dev Kit(JSWDK)1.0.1 for win2000 Directory traversal Vulnerability

  上がれちゃうようです。JSWDK を (最新に?) upgrade すればよい。

• CSA-200107: IBM WCS 4.0.1 + Application Server 3.0.2 for Solaris 2.7 show ".jsp" source Vulnerability.

  / をつけるとあら不思議、ソースが読めるよ。 http://www-4.ibm.com/software/webservers/appserv/efix.html から最新 fix を get する。

　Georgi Guninski security advisory #40, 2001: Security bugs in interactions between IE 5.x, IIS 5.0 and Exchange 2000 の話。 "Microsoft OLE DB Provider for Internet Publishing" (MSD AIPP.DSO) に問題があり、active script 経由で任意のサーバに接続する機能を提供してしまっているという。 これを使うと、悪意ある web page 管理者は、悪意ある script を用意することで、 接続してきた user のイントラネット内サーバ (ex. IIS 5) にその user の権限で接続し、その object を操作できてしまうという。 イントラネットゾーンについては logon できている権限で自動的に認証して使えてしまうので、user は攻撃されていることに気がつかない可能性が高い。 さらに、Exchange 2000 は IIS 5 をその機能の実現に利用しているため、 攻撃者は Exchange に蓄えられたメールを読んだりできてしまう可能性がある。

　Visiting malicious web sites is not real exploit scenario だって? まず URL つき e-mail を射ち込み、相手を適切な page に誘い込むなんてのはむしろありがちなシナリオだと思うぞ。 そんなことでいいのかマイクロソフト。

　現在修正モジュールは開発中。回避方法としては、 アクティブスクリプトを停止する。

　関連記事: マイクロソフトのIEに新たなセキュリティー欠陥 (CNet News)。

　IIS 4 な箱に Internet Explorer 高度暗号化パックを入れると、 IE だけじゃなく IIS 4 も 128bit 暗号対応になる、という話。 NT 4.0 SP7 では標準で 128bit 対応になるといいね。

　2001.03.21 の Passive Analysis of SSH (Secure Shell) Traffic に追記した。 RedHat, TTSSH fix。

　Cisco VPN 3000 シリーズに弱点。SSL もしくは telnet port に大量のデータを送りつけると VPN 3000 が reboot してしまう。 software version 3.0.00 以上で fix されているので、software upgrade する。

　MS Index Server 2.0 を利用している場合に、 .png ファイルが IE と関連づけられていると、 .png を HTML フィルタで処理しようとするが失敗し、timeout するまで CPU 100% 状態になってしまうという話。 意図的に設置すれば DoS だ。 回避するには、.png を削除する、IE との関連づけを削除する、など。

　http://www.microsoft.com/technet/security/current.asp で、product と SP level を key にして advisory/patch の検索ができるようになった、という話。 試してみると、これは確かに便利便利。 ただしもちろん英語版 patch でしか表示されない。

　MSKK の相当する URL、 http://www.microsoft.com/japan/technet/security/current.asp でも product を key にした検索はできるものの、SP level は指定できないのがツライ。 しかしまあ、昔にくらべれば遥かにすばらしい状態ではある。 KB や FAQ の存在/非存在も一目瞭然だし。

　2001.03.26 の BIND worm (Lion Worm) に追記した。 追加情報など。

　vimで、 echo "vim:ls=2:stl=%{system('rm\ testfile')}" > test.txt とかした test.txt を開くと、testfile が消えちゃうという話。 5.7.024 で fix されている。5.7.025 および 5.7.026 では Creating a temp file has a race condition な fix がされているので、 5.7 系の人は 5.7.026 (5.7 系最新 patch) にしておこう。 6.0 系 (まだ開発中) では 6.0u で fix されている。 最新は 6.0z まできちゃってるけど、このあとどうなるの? (^^;)

　フレッツ・ADSL にしたら見えない site がある、という話。 thread が切れてるので、 アーカイブ まで戻ってつづきを読んでください。 結論としては、 FreeBSDで解決しようと思うなら，tcpmssdを使うのがよいらしいそうです。 あと、DaemonNews にも Cheaper Broadband with FreeBSD on DSL という記事があるそうです。

　思い出したのは、この話。 path MTU discovery がちゃんと動くようにフィルタリングルールつくっておかないと、 同様の事例が今後多発する可能性があるような。 ICMP echo だけみたいな組織は要注意では? 自分では気がつきにくいのがあれですよね……。

　security related じゃないんだけど、最近 (でもないか) 出ている Windows 2000 SP1 hotfix の KB が出てます。

• SetPassword 呼び出し実行時、LSA でメモリーリークが発生する

• "ERROR_NO_SUCH_DOMAIN" エラーメッセージが発生する

  このエラー、見覚えあるような気がするなあ。

• Lsass.exe によるドメインコントローラでのアクセス違反 (AV)

• デッドロックによりソケットプログラムが応答不能になる

  DoS と見ることも可能か。

• PageMaker 6.53 で日本語が正常に印刷できない

• クライアントからの再起動コマンドで、ターミナルサービスが再起動しない

　Windows 2000 SP2 の登場が待たれますね。

　ゴミあさり方面を除くと、結局は「本人認証をどうするのか」に帰結するような。 こういうのの対策って、訓練を積むしかないような気がするんですけど、 定期的に無警告訓練してる組織ってどのくらいあるんでしょう。

　2001.03.16 の Multiple vendors FTP denial of service に追記 した。 ProFTPD 1.2.2rc1 追記。

　32h って約 1 week ですよね。 こういう事後コスト資料を「まずヤラれない体制」づくりに生かしましょう。

　2001.03.23 の CERT Advisory CA-2001-04 Unauthentic "Microsoft Corporation" Certificates に追記した。 関連報道、Norton AntiVirus 対応情報を追記。

　2001.03.23 に軽く紹介してますが、 話題になってるので関連情報を含めてもういちど。

　紅いお客さん Lion 氏と関係あるのかないのか知りませんが、 例の bind 穴を突いて繁殖するようです。 Lionfind で見つけられる他、 chkrootkit 0.30 が対応したそうです。 Norton AntiVirus も 2001/3/23 日版定義ファイルで対応してるそうです。 INCIDENTS ML で話題になってるみたいですが、securityfocus またつながらなくなってるなあ……。

　関連報道:

• Linuxを標的とした新たなウイルス 「Lion」 (ZDNet News)

• BIND のセキュリティホールをついたワームが登場 (japan.internet.com)

• FBIが「Lion」ワームを警告 (日経 IT Pro)

2001.03.29 追記: lion worm は UDP 53 だけじゃなくて TCP 53 も使っているそうで、 snort のルールセットが改訂されたりしている。23 March, 2001 の LION Worm Information のあたりとかも参照。 あと、 Lion TCPdump Trace にも情報がある。 ナマモノが見たい人は このへん にあるが (悪用しないように)、 24 時間常時接続 ML では独自に採取された方が「ところどころ違っている」と報告されているのは興味深い ([connect24h:02276])。

　経過は明らかとなっていないが、結果として VeriSign は 2001.01.29 と 2001.01.30 に、Microsoft 社員を騙る第三者 (個人) に対して、 "Microsoft Corporation" の名の元に発行された VeriSign Class 3 Software Publisher 証明書を渡してしまった。 この証明書により Active X コントロール、Office マクロや通常の実行プログラムなどに署名することが可能である。 よって、この証明書を悪用すると、"Microsoft Corporation" と署名されたマクロウィルスや攻撃プログラムを作成、配布することが可能となる。 Microsoft 製だと信じて実行するとドカン、というわけだ。

　VeriSign はすでに証明書を失効し、http://crl.verisign.com/Class3SoftwarePublishers.crl から入手できる Certificate Revocation List (CRL) に登録したという。 しかし Microsoft によれば、VeriSign のコード署名証明書は CRL 配布ポイント (CDP) を指定しないため、IE の CRL チェック機構は VeriSign CRL を利用できないのだという。なんじゃそれー。 この問題点を修復する patch は現在準備中。

　一時的な対策としては以下がある。 根本的には、もうすぐ出るはずの patch の適用が必要。

• 証明の警告ダイアログをじっくり読む。 危険なヤツは 2001.01.29 と 2001.01.30 発行となっている。 (証明書の詳細は Q293817 にある)

• Outlook 電子メールセキュリティアップデート (これは Office 2000 SP2 に含まれているはずなので SP2 の適用でも可なはず) で添付ファイルの実行を不許可としたり、 Office ファイルを開くときに確認するツール を使ってダイアログを出したりする。 って、前者は有効だろうが後者はちょっとなあ。

• "VeriSign Commercial Software Publishers CA" 証明書を一時的に削除してしまう。 Q293819 参照。VeriSign Class 3 ルート証明書を、一旦 export してから削除すればよいのかな。 で、危機が終了した時点で export しておいたものを import する、と。

　参照:

• VeriSign Security Alert: Fraud Detected in Authenticode Code Signing Certificates

• MS01-017: VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性

• Q293818: Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard

• Q293816: How to Determine Whether You Have Accepted Trust for Fraudulent VeriSign-Issued Certificates

  "Always trust content from Microsoft Corporation" していた場合の対策が記述されているので、そういう人は参照。 信用しすぎは火事のもと。

　他にも同様事例があるんじゃないの VeriSign、とか疑ってしまうよね。 "社会工学" 的手法でヤラれたんだろうか。

　告知の遅さが指摘されているけど、MS が、 patch がないにもかかわらず告知していることを見ると、 MS 自身が隠していたわけではなさそうな気が。 となると、VeriSign が「気がついた時点」「失効させた時点」「MS に告知した時点」 がいつだったのかが焦点かなという気がするのだけど、 これは明確にはなってないですね。

　関連報道:

• Microsoftの名をかたる電子証明書にご注意 (ZDNet News)

  10 万ドルごときでは全く足りんよねえ。

• 米VeriSignがMicrosoftの偽署名を不審者に発行、Windowsユーザーは注意 (Internet Watch)

  Microsoft は「マイクロソフト製品の全てのユーザー」に対して警告している。 Windows だけではなく、MacOS や UNIX 用の MS 製品の利用者も注意が必要だ。

2001.03.26 追記: 関連報道:

• マイクロソフト、偽のデジタル証明書を警告 (CNet News)

  「先週ベリサインから連絡を受けた」とありますな。 やはり、致命的な対応の遅さ自体は VeriSign のミスのようです。 Thu 22 Mar 2001 14:40 PT の記事ですから、3/11〜17 のどこかだと。 「ベリサインが誤ってコードを発行したのは、今回の2つの証明書が初めてだ」そうですが、あなた信じます?

• 日本ベリサイン，認証局を電子署名法対応に。認定基準を満たす施設開設し“電子の実印”発行へ

  こういう会社に“電子の実印”を任せていいんですか? [y/n]

• MSサイトからのダウンロードは要注意--何者かが電子証明書を不正取得 (日経 BizTech)

  MSサイトからのダウンロードは DNS spoof とか root サーバ乗っ取りとかされない限り問題ないと思いますけどねえ。 されると、確かにヤバいんですが。

　Norton AntiVirus LiveUpdate Email March 24, 2001 によると、2001/3/23日版 のウィルス定義ファイルにおいて、 Norton AntiVirus は、これらの２つの証明書のいずれかで署名されたプログラムをInvalid Certificate として検出するそうです。 他のワクチンものでも同様な対策が取られるんじゃないかなあ。 というわけで、ウィルス定義ファイルの update が多分いちばん簡単確実な対応になるのではないかと。

2001.03.30 追記: MS01-017: VeriSign 発行の誤ったデジタル証明書による、なりすましの危険性 が更新されている。 Windows XP, Windows 2000 SP2 以降、IE 6 以降ではこの問題が最初から fix されている。

　Windows 95/98/98SE/Me/NT 4/2000 用の patch が出た。http://www.microsoft.com/downloads/release.asp?ReleaseID=28888。 UNIX や MacOS はどうなってるんだろう。

2001.04.04 追記: 関連記事: 米マイクロソフトの“偽デジタル証明書事件”が残した教訓 (from 日経 IT Pro, 2001/04/04)。

　PostgreSQL 7.0.3 のデフォルト pg_hba.conf では、 localhost からの行為を完全に信用してしまうため、 複数のユーザが利用しているシステム上でそのまま使うのは非常に危険だという話。 対策としては、pg_hba.conf にいろいろとコメントされているし、 ドキュメントには security に関する項もあるので、よく読んで、 適切な値を設定する。

　No.#320-11 には PHP な話もあります。 次の一撃で読めなくなるようなので、とりいそぎ。

　マーフィーの法則は全てのものごとに作用するでしょう。 もちろん、.NET においても。

　2001.03.22 の 暗号ソフト『PGP』に新たなセキュリティーホール に追記した。 ZDNet 記事を追記。

　情報セキュリティ・インシデントへの組織的対応セミナー - インシデント対応体制のあり方について - のお話。 実はついさきほど某社の某氏がいらっしゃって (おつかれさまです)、 似たような話題について 1 時間ほど議論してたりしました。 中心的話題は CSIRT じゃなくて「ぜい弱性情報のデータベース化」 (というか日本語化というか) だったんですが。 SANS Institute のような第三者組織があるといいのかなあ、とか思ったり。

　お金的には、たとえば自衛隊がもうちょっと前に出てくる、 ってことは期待できないのかなあ。 朝日新聞とか共産党にイヤがられるかもだけど、F-2 一機分もあれば十分ですよね、きっと。 あ、「おもいやり予算」を削ればいいのか。なんだ、簡単じゃん (笑)。

　2001.03.21 の [stalk:00131] Re: snort のできなりパッチいりますか？ に追記した。 新 patch 登場。すばやい。

　偽屋さんは対抗策として link 先も偽造するような気がするが……。 「click した先が xxxx であり、かつ xxxx という内容が表示されること確認」 しないとマズいのでは。 (偽屋さんは DNS spoof とか domain jack とかまではしないと想定)

　2001.03.21 の [stalk:00143] Microsoft Personal Werb Server (Re: snortのできなりパッチいりますか？) に追記した。 MSKK は PWS に patch できると言っているぞ?!

　OpenPGP Message Format (RFC2440)、および PGP 7.0.3 の実装に弱点があるという指摘。 秘密鍵を秘かにチョコっと改変しておき、その改変した秘密鍵で署名したファイルを入手できると、 真の秘密鍵を知ることができてしまう、ということのようだ (合ってるかなあ)。 パスフレーズを知らなくても、あるいは暗号それ自体を破らなくても真の秘密鍵を知ることができるという点がポイントなのかな。 Zimmermann さんは「秘密鍵に write アクセスできるならもっとイロイロできるだろうから、この攻撃自体が行われる可能性は低い」という見方をされているようだけど、 たとえば insider による攻撃を考えたとき、 こういう微妙 (!) な攻撃の可能性は低くはないんじゃないかなあ。 こういうのされるのヤだなあ。

　オリジナルプレスリリース: Cryptologists from Czech company ICZ detected serious security vulnerability of an international magnitude。 詳細: http://www.icz.cz/ ……ただしチェコ語。 英語版詳細はまだないようだ。

　Jon Callas 氏 (RFC2440 の作者の一人) による記事: OpenPGP Broken?。 "OpenPGP Message Format に弱点" という指摘には疑問を投げかけている。

2001.03.23 追記: ZDNet 記事: OpenPGPに問題点——作者は危険性を否定。 「危険性を否定」ではミスリードを招くと思うけど……。

2001.04.19 追記: 英語版の詳細が登場している。 Czech PGP Flaw Tech Details を参照。

　手元で使ってるやつは Digest::MD5 使うように改造してるし (これの fix のためじゃなかったんだけど)。 そろそろ tripwire に移行するかなあ (まだ試せてない……)。

　読んでいくと、Windows Update Coorporate Site というのが出てくる。 実はこれが、JWNTUG OpenTalk in MSC 東京 / 大阪 のセキュリティテーブルで議論された「そのためのサイトを準備中」「例のサイト」 だったりする (時系列では東京が先で大阪が後なので、log はそのつもりで読んでね)。

　Windows Update Coorporate Site は「修正モジュール一気ダウンロード」ができるのが魅力です。 使ってみるとわかりますが、 Language として Japanese や Japanese NEC を選択すれば、 日本語版修正モジュールもちゃんと検索・ダウンロードできます。 ただしインターフェイスは英語ですし、更新頻度が月 1 回と低いため、 最新の修正モジュールについては掲載されていない場合が多々あります。 あわせて最新の情報を TechNet セキュリティ センターなどで入手する必要があります。 なお日本語版インターフェイスが登場する予定はないそうです。

　……というのが教科書的な紹介 (^^) なんですが、やってみるとわかるように「どうしてこういう検索結果になるの?」 「patch じぇんじぇん足りないじゃん」 と悩むことになります。 英語版 patch についてはそれなりな結果が出るようですが、 日本語版 patch (Language: Japanese) についてはきちんとメンテナンスされていないように見えます。 MSKK さんも Windows Update Coorporate Site に注力する意思はもはやないようです (推測) ので、まあこんなものなのでしょう。 MS ダウンロードセンター や TechNet セキュリティ センター は維持されているので、日本語 patch についてはこれらをこまめに check せざるを得ないのが現状だと思います。

　個人的には、OpenTalk in MSC 大阪で出た「日本のサポート部隊が独自に維持しているページ」 の一般公開の可能性に期待していたりします。

　「リスク分析に時間をかけ過ぎない」「対象を絞る」「トップ（経営者） を巻き込む」「自分たちで“汗を流す”」「テストする、監視を公知する」 など、参考になります。

　Java つきなケータイを使って、Java な OTP 計算機によるリモート接続が実現するとスマートそうだなあ。

　確かに、病気になってからワクチンができても遅いわけで。 そういえば、どこだかのデジタルイミューンシステム (だっけ?) ってどうなったんだっけ?

　英語版オリジナル記事: Battling the Internet parasites。

　MS01-016 で fix されているそうです。 でも日本語版 patch はまだないのよね。 まだかなー。

　暗号化された ssh トラフィックを sniff できると、 password authentication の際のパスワード長 (!) とかパスワードに使っているであろう文字 (!) がわかってしまうという話。 結果として、brute-force attack が劇的にやりやすくなってしまう。 デモツール SSOHW が添付されている。

　OpenSSH 2.5.0 以上、PuTTY 0.52 などでは fix されている。 ssh 1.2.x 用の patch が添付されている。 FreeBSD 4.3-RELEASE は結局 OpenSSH 2.3.0 なのかなー。

2001.03.29 追記: [RHSA-2001:033-04] Updated openssh packages available ですって。 OpenSSH 最新は 2.5.2 (portable は 2.5.2p2) になってますね。 TTSSH もこれの fix の 1.5.4 が出てる。 VineLinux 2.1.5 には OpenSSH 2.5.x が最初から入ってる。 西川さん情報ありがとうございます。

　Windows XP Server (?) の登場は来年初頭のようですので、さ来年度には IIS 4 の更新ができるよう、来年度に予算の確保を行いましょう。

　snort 1.7 についてくる、使いものにならない unicode attack detection code を改善する patch。近々全面書き直しされるそうです。 あと、encode の謎をご存知の方 (IIS の source が読める人とか……) はおしえてあげてください。

2001.03.22 追記: 新 patch 登場。 snort1.7のUNICODE誤検知抑制パッチ から入手できる。

2001.03.28 追記: bug が発見されました。「ある条件」において無限 loop に陥ってしまうそうです。 fix された新 patch が登場していますので、 original source に新 patch を入手・適用の上再構築・再インストールしてください。

　Windows 98 についてくる Personal Web Server にも UNICODE bug があるという話。 もちろんそんな話は初出だし、patch も何もありゃしない。 もと記事: http://www.securityfocus.com/archive/1/169832、 マイクロソフト Scott Culp 氏の見解: http://www.securityfocus.com/archive/1/170026 (そういう無責任な製品なのね……)。

　PWS はどう見ても維持されていないので、 AN HTTPD とか使ったほうがいいでしょう。 あ、1.33 の公開が中止されてる……。

2001.03.22 追記: あれぇ? Web コンテンツの改ざんに対する防御策についての説明 よくある質問とその回答 の Q. MS00-086 のセキュリティ修正モジュールを Personal Web Server (PWS) に適用することはできますか ? には、NT 4.0 SP5 以上あるいは Windows 2000 Pro. に適用できる (Windows 2000 Pro. は PWS じゃなくて IIS 5 だから当然なのだが) って書いてあるぞ。どっちが本当? ……Scott Culp 氏のは「正式コメント」で、FAQ は「現場の情報」のようです (某所の ML より)。

　2001.03.16 の 侵入検知システムを無効にするツール「Stick」，米ISSが警告 に追記した。 別の記事、stick 公開など。

　2001.03.16 の Multiple vendors FTP denial of service に追記 (と再追記) した。 ProFTPD, FreeBSD での対応策など。

　広く利用されている、ヤマハのダイアルアップルータ RT50i において、 旧版ファームウェアでは port 80 に対して DoS 攻撃を受けるという指摘。 ファームウェア 3.05.xx で fix されている。

　2001.03.16 の Remote DoS attack against SSH Secure Shell for Windows Servers Vulnerability に追記した。 回避方法を追記。

　ふつうヤバそうと思うよねえ、やっぱし。 VPN すれば ok ok ということなんだろうか。

　script で駆動し e-mail 経由で感染するものがほとんどなわけなので、 「メーラ (MUA) での script 等実行可能コンテンツ禁止」が最も効果的なわけですが、 シェアの大きなメーラ Outlook / Outlook Express のデフォルト値がそうなってないのがアレなわけで。

　最近 (でもないな……) の OpenBSD security fixes。 patch があるので適用すれば ok。

• Mar 18, 2001: The readline library creates history files with permissive modes based on the user's umask.

  readline ライブラリが、ヒストリーファイルを umask に従って作成してしまう。FreeBSD とかでも同様かも (調べてない)。

• Mar 2, 2001: Insufficient checks in the IPSEC AH IPv4 option handling code can lead to a buffer overrun in the kernel.

  IPv4 での IPSec の認証ヘッダの処理でバッファオーバーランしてしまうという。 デフォルトでは使われていないそうだ。 FreeBSD とか NetBSD ではこのあたりどうなんでしょう。

  参照: Buffer overrun in IPSEC AH handling。

  2001.03.19 追記: NetBSD は syssrc/sys/netinet6/ah_core.c 1.22 / 1.19.2.2 で fix されている。 Jun-ichiro itojun Hagino さん情報ありがとうございます。 FreeBSD も sys/netinet6/ah_core.c 1.6 で fix されている (もうすぐ出る予定の 4.3-RELEASE では fix されているでしょう)。

• Mar 2, 2001: The USER_LDT kernel option allows an attacker to gain access to privileged areas of kernel memory.

  i386 において USER_LDT オプションつきの kernel をつくると (local の?) 攻撃者が本来アクセスできないはずの kernel memory 内の特権領域にアクセスできてしまい、root 権限を得ることができてしまう。

  NetBSD の NetBSD Security Advisory 2001-002: Vulnerability in x86 USER_LDT validation と同じ?

  参照: Vulnerability in USER_LDT i386 kernel option 。

　Solaris 2.6/7/8 の snmpXdmid (SNMP to DMI mapper daemon) に buffer overflow する弱点があり、local および remote から root 権限を奪取できてしまうという指摘。とりあえずの対応策としては、 snmpXdmid を停止し、chmod 000 等して起動しないようにする。 インストールしている場合、 Solaris 2.6 では /etc/rc3.d/S77dmi で起動するようです。

2001.04.02 追記: CERT Advisory 登場。 CERT Advisory CA-2001-05 Exploitation of snmpXdmid。

　Knark: Linux Kernel Subversion とか Scanner for loadable kernel-module rootkits (Analysis and detection tool for KNARK and ADORE) なんてのもありますね。 rootkit に対抗したい人は chkrootkit あたりも参照 (IIS 4.0?)。

　mutt の 1.2.5 より前のやつに format bug ……ってあんた、それは July 28, 2000 に直ってるじゃん。

　これまで知られていた UNICODE encoding bug (MS00-078, MS00-086, [fw-wizard:940] (Report)Microsoft IIS 4.0 / 5.0 Extended UNICODE Directory Traversal Vulnerability などを参照) は \winnt のディレクトリ名を変更している場合は回避できていたが、 ディレクトリ名を変更しても回避できない変種を発見したという話題。 ただし、IIS 4.0 でかつ /iisadmpwd が存在する場合しか利用できない。 対策としては、MS00-086 patch を適用してあればいいようだ。 /iisadmpwd も消しましょうね。

　postfix release-20010228 において、たとえば

From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime /
    小島肇)

という From: がついた mail を local mailer が処理すると

From: kjm@rins.ryukoku.ac.jp (KOJIMA Hajime /\
    小島肇)

のように "\" がついてしまうという問題への fix patch。 結局 From: のつけかたを変えてしまったです。

　MDaemon 3.5.4 Standard / Pro for Windows NT/2000 に弱点。Worldclient および Webconfig サービスにおいて、 http://www.foo.org:3000/aux という URL をリクエストすると サービスが crash してしまう。 3.5.6 で fix される。

　Windows 用の ssh server 2.4 に弱点。 同時コネクション 64 個で crash してしまう。 2.5 で fix されるという。

2001.03.19 追記: MaxConnections 50 などと上限を設定することで回避できるようだ。

　ProFTPD, NetBSD ftpd 20000723a, Microsoft ftp service 5.0 において、 ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../* というコマンドを発行すると CPU 100% 状態になるので DoS になるという指摘。wu-ftpd 2.6.1 では問題はないという。 手元では、wu-ftpd 2.6.1 で安全であること、また FreeBSD 4.2-RELEASE の ftpd には問題があることを確認した。

2001.03.19 追記: ProFTPD Project: Critical Bugs で状況と対策が紹介されている。 ProFTPD では DenyFilter \*.*/ で ok のようだ。こがさん情報ありがとうございます。

　NcFTPd にはこの弱点はないそうだ。 あと、Elias Levy 氏による、反応のまとめ。 Pure-FTPd なんてのがあるのね。

2001.03.19 追記: FreeBSD の lib/libc/gen/glob.c 1.11.6.1 に修正が入りました。 MAX_GLOBENTRIES (現状は固定値……sysctl とかで変更できるといいな) によって制限されます。 4.3-RELEASE に間に合ったようです。こがさん情報ありがとうございます。

　あと、 /../ を check するだけではダメ という話が出ています。

2001.03.26 追記: ProFTPD 1.2.2rc1 には Bug 1066 - new GNU glob() and friends, which properly limits recursion and avoids DoS issues. Built-in glob support is now always compiled in to proftpd regardless of libc support on build platform. という修正が入っているそうです。(from installer ML)

2001.04.25 追記: OpenBSD fix, 026: SECURITY FIX: Apr 23, 2001 が出てます。

　random src port でさまざまな攻撃っぽいパケットを大量に送付し、IDS を撹乱するツール Stick が登場というおしらせ。 大量に送られると IDS 自体が落ちる場合もあるという。 ジャミングとかデコイのイメージかな。

　対抗するためにはどうすればいいんだろう。 世の中の組織が境界ルータとかで egress filtering をちゃんとやってくれてるかどうかがポイントなのでしょうが、外部組織に期待するのは間違いだしなあ。 wide-area な IDS 網を張れれば、何か見えてくるのかな。

2001.03.21 追記: こんな記事が出ている: FBIがパニックに？　“危険度低”の攻撃ツール。 いささか騒ぎすぎなのでは? という主旨。

　また、stick 自身が http://packetstorm.securify.com/distributed/stick.tgz で公開されている (from IDS ML)。 snort のルールをそのままジャミングに利用しているんですね。なるほど。

　あと、checkpoint から: Denial of Service reported on RealSecure Network Sensor。

　2001.03.14 の TCP に深刻なセキュリティホールを発見 に追記した。 CERT 記事追記。

　いきなりアキバで「下さい」って言ってもねぇ……。 盗聴/盗撮のほうがはるかにありがちなのはおっしゃる通りだと思うけど。 でも、まじめな企業はちゃんとテンペスト対策してたりするのよね。 いつぞやのクローズアップ現代、再放送しないかな。

　ISN が予測可能だと IP spoofing attack が可能になっちゃったりするわけですが、 どのプロダクトがどのように問題なのかさっぱりわからないのでなんともかんとも。 CERT といっしょにやってんなら、どうして CERT から出るまで待てないのかもよくわかんない。けっきょく、「秘密保持契約」がらみのカネがほしいってコトなのか? 現時点ではマユにツバべっちょり。

2001.03.15 追記: CERT から出てます: Vulnerability Note VU#498440: Multiple TCP/IP implementations may use statistically predictable initial sequence numbers (from Tea Room for Conference, No.#328-8)。 CVE: CVE-1999-0077 ですし、「再警告」という位置付けで理解するのがよいような。 しかしなあ、やっぱ product 名出してもらわナイト。

2001.05.08 追記: CERT(R) Advisory CA-2001-09 Statistical Weaknesses in TCP/IP Initial Sequence Numbers 参照。

　SecurityFocus.com Newsletter 第 80 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Micro Focus Cobol Arbitrary Command Execution Vulnerability

• Carey Internets Services Commerce.cgi Directory Traversal Vulnerability

• SilverPlatter WebSPIRS File Disclosure Vulnerability

• HIS Software Auktion 1.62 Directory Traversal Vulnerability

• Watchguard Firebox ll PPTP DoS Vulnerability

  PPTP に細工パケット送ると DoS。

• Way-Board File Disclosure Vulnerability

• Martin Hamilton ROADS File Disclosure Vulnerability

• MnSCU/PALS WebPALS Remote Command Execution Vulnerability

• Brightstation Muscat Root Path Disclosure Vulnerability

• John Roy Pi3Web Buffer Overflow Vulnerability

• LICQ Denial of Service Vulnerability

• Caucho Technology Resin Directory Traversal Vulnerability

• Thinking Arts ES.One Directory Traversal Vulnerability

• ITAfrica WEBactive Directory Traversal Vulnerability

• Bajie Webserver Remote Command Execution Vulnerability

　ridentd おもしろそうですね。

　SecurityFocus.com Newsletter 第 81 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Working Resources BadBlue Path Disclosure Vulnerability

• Working Resources BadBlue DoS Vulnerability

• Adcycle AdLibrary.pm Session Access Vulnerability

• Marconi ASX-1000 Administration Denial Of Service Vulnerability

　SecurityFocus.com Newsletter 第 82 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Simple Server Directory Traversal Vulnerability

• Sapio WebReflex GET Denial Of Service Vulnerability

• Datawizards FtpXQ Directory Traversal Vulnerability

　SecurityFocus.com Newsletter 第 83 号日本語版 (テキスト, 英語版)。 このページで紹介してなかったやつ:

• Jarle Aase War FTPD Directory Traversal Vulnerability

　著名な backdoor、"SubSeven" の新バージョン 2.2 が登場したという話題。 機能概要と削除方法。 NAV 7.0 CE + 最新 data で検査したら何も言わんかった。まだ data に入ってないのかな。

　CGI プログラミングに際しての留意点のリスト。 JAPU 氏は CGI Program Security Advisories も精力的に更新されています。 他人のフリ見て我がフリ直せ。

　Tea Room for Conference にも書きましたけど、この文章には「ポータルサイト」という話が出てきます。 チャンネルを増やせば到達可能性は高くなると思うけど、 そもそも MS technet security に到達できない人がポータルになら到達できるのかなあ……。

　Tea Room for Conference の著作権ほげほげですが、 そーゆーことなら全部「office」名義で書くべきなのかな。きゃは。 だいたい、字が小さすぎて見えないって (笑)。

　なんか fix の山になってるし。

• DSA-032-1 proftpd: proftpd running with incorrect userid, erroneous file removal

  debian only な話かなあ。

• DSA-033-1 analog: buffer overflow

  Analog: Security warning: buffer overflow bug の話。 RedHat errata。

• DSA-034-1 ePerl: remote root exploit

  Embedded Perl 5 2.2.14 を suid root でインストールすると local user が root を取れるという話。 debian では、2.2.14-0.7 で fix。すでに 2.2.14-0.8 が出ている。

• DSA-035-1 man2html: remote denial of service

  man2html が memory を食いつぶすので DoS が成立という話。

• DSA-036-1 Midnight Commander: arbitrary program execution

  あるユーザが動かしている Midnight Commander に対して、 他のユーザがあるユーザの権限でコマンドを実行させることが可能。

• [DSA 037-1] New versions of Athena Widget replacement libraries available

  nextaw, xaw3d, xaw95 の tmp file のつくりかたに問題。 XFree86 4.0.1 /tmp Vulnerabilities の話?

• [DSA 038-1] New version of sgml-tools available

  sgml-tools の tmp file のつくりかたに問題。

• [DSA-039-1] glibc local file overwrite problems

  glibc RESOLV_HOST_CONF File Read Access Vulnerability, LD_PRELOAD File Overwriting Vulnerbility の件?

• [DSA-040-1] slrn buffer overflow

  slrn において、長大な header で buffer overflow し任意のコードを実行できてしまう。

• [DSA-041-1] joe local attack via joerc

  カレントディレクトリに存在する .joerc を読んでしまう。 RedHat errata。

• [DSA 042-1] xemacs21/gnuserv buffer overflow and weak security

  gnuserv の MIT-MAGIC-COOCKIE ベース認証において、 cookie が入っている buffer が overflow するため cookie の比較がフリーズ。 emacs 19/20 の emacsserver にはこの弱点はない。 RedHat errata 7.0, 6.2。

• [DSA 043-1] zope several vuln. fix

  Hotfix 2001-02-23 "Class attribute access" などの件。 RedHat errata。 Software Product: All Zope Hotfixes には Hotfix_2001-03-08 なんてのも出てるので、2.3.0 / 2.3.1 β 1 の人は参照。

　IBM WebSphere と Net.Commerce に、管理者を含むアカウント名とパスワードを手に入れることができる穴があるという話。 IBM NetCommerce Security と Passwords in Net.Commerce/WebSphere decryptable, any version の話かなあ。 patch があるので適用すればよいそうだ。 ありかは記事に link されてるし。

　IIS 5 に弱点。特殊な WebDAV リクエストを送ると、IIS 5 が CPU 100% 状態になり DoS 成立。ただし、リクエストの送出をやめた時点で IIS 5 はリスタートしサービスが復旧する。 Guninski 氏による詳細 (デモコードつき): IIS 5.0 PROPFIND DOS。 CVE: CAN-2001-0151。 NTBUGTRAQ: Surgeon General's Corporate Risk Assessment: MS01-016。

　patch は英語版、日本語版共にまだない。 とりあえずの対応策としては、WebDAV を停止する。方法は Q241520 に詳述されている。

2001.03.15 追記: 英語版 bulletin が version 2.0 になった。 英語版 patch が登場。でも日本語版はまだ。

2001.05.09 追記: 類似の新種が登場: IIS 5.0 PROPFIND DOS #2。 やはり IIS 5 がリスタートしてしまう。 当面の対策としては、上記の方法で WebDAV を停止する。

　「サイバーテロが身近に迫っている緊張感が国民全体に欠けている点がある」、いちばん欠けてるのは日経を含むメディア方面なんじゃないの? 「従来の事件は……攻撃モデルといえる」のところ (今回と従来の区別がついてない) とか 「日本のセキュリティ対策は明らかに後手に回ったように私には感じられた」(断定なのか推測なのかどっち?) とか、日本語変だし。 IPA の対応についての記述も変だし (H.U.C しか追ってないんだろうね)、 ボランティアに「攻撃者を捕まえる」権限なんてはじめからないし。 「セキュリティ組織の素早く、正確な情報を提供する活動が望まれる」 とか言いながら、ケーサツの対応状況のバラつきには 「多少気になるが、いつか改善されていくだろう」 なんてノンキな事言ってる。 古川氏自身も緊張感欠けてるじゃないの?

　読めば読むほど気分悪くなってくるのはなんでなのか考えてみたのだが、 古川氏の視点は「高見の見物」なのだ。 で、後になってエラソーな事言ってる、としか私には受けとれないのだ。 気がついたのならそのとき助言してよ。 まあ、「KPMG ビジネスアシュアランス」(これ? 会計事務所ってのは or.jp なの?) はボランティアじゃないもんねー 情報ほしけりゃ金出しな hehehe ということなのかもしれんけど、 ボランティア情報を活用しているのなら、 ボランティアへの還元もしてほしいよね。

　追記: 監査法人なら非営利 (公益?) 法人で or.jp なはずなのだそうです。 例: 中央青山監査法人。 しかし、監査法人トーマツ のような例もあるそうです。 横井さん情報ありがとうございます。

　さらに追記: トーマツの築山さんからメールをいただきました (ありがとうございます)。 小島が下手に解釈するよりそのまま掲載したほうがよさそうなので:

簡単に申しますと、当法人は「その規則が決まる前にドメインを取得していた」というご理解が一番早いかと存じます。 もっとも実際に取得しましたのは、現存していない子会社「トーマツ・インフォテック株式会社」で、消滅後、当法人にドメインを移転しました。

ところで、小島さんや横井さん（どういう方か存じ上げませんが）も誤解されているようですが、監査法人は非営利法人では無い、と解釈するのが妥当であるようです。「公認会計士法　第五章の二　監査法人」が法的根拠ですが、法人形態としては合名会社形態を取っており、実際に「発生した利益を社員に分配している」ことからも、決して非営利法人ではないと思われます。

私は監査法人の社員ではありません（法で定める通り、「社員」は公認会計士でなければならず、私は公認会計士ではないため「職員」です）ので、私の意見が当法人を代表しているわけではありませんが、複数の社員および代表社員に確認したところ、同一の見解を得ています。

ちなみに、私は「監査法人はor.jpである」旨が最初に発表された際、JPNICのdomail-talk MLで「監査法人は非営利団体では無い」と投稿しましたが、黙殺されたようです。:-) その際の当法人内における雑談で「やはり監査法人というものはわかりにくいのだな」「少なくともJPNICに公認会計士はいないようだ」などの話が行われたのを覚えています。 まぁ「どうしてもor.jpに移行しなければならない」と言われたわけではありませんでした（or.jp->ne.jpに準ずる）ので、「ま、いっか」と思い、今日に至っております。:-)

そういう意味では、国内監査法人のなか、少なくとも大手監査法人のなかで、当法人以外はみな前述の規定の発表後にドメインを取得したのは事実です。

　終わらない……。

• MS01-014: 不正な URL により IIS 5.0 及び Exchange 2000 のサービスにエラーが発生する
  (Fri, 02 Mar 2001 06:40:20 +0900)

  よくわからないけど、特定の形式の URL リクエストを大量に受けると IIS 5.0 が異常終了するという話なのかな。 日本語 patch はまだない。Exchange 2000 を運用している場合、IIS 5 用と Exchange 用の両方の patch を適用する必要があるので注意。 でも日本語版 patch はまだない。

  CVE: CAN-2001-0146

• MS01-015: IE can Divulge Location of Cached Content
  (Wed, 07 Mar 2001 09:54:27 +0900)

  IE 5.01/5.5, WSH 5.1/5.5 に 4 つの脆弱性がある。 Guninski さんのがあるところは、Guninski さんの記事を読んだ方が話が早い。

  • Cached content identifier 脆弱性。 CVE: CAN-2001-0002。 Georgi Guninski security advisory #28, 2000: IE 5.x/Outlook allows executing arbitrary programs using .chm files and temporary internet files folder。

  • "frame domain" 脆弱性の新バリエーション。 CVE: CAN-2001-0148。 Georgi Guninski security advisory #31, 2001: Windows Media Player 7 and IE vulnerability - executing arbitrary programs。

  • Windows Scripting Host の脆弱性。 CVE: CAN-2001-0149。 Georgi Guninski security advisory #22, 2000: IE 5.5/Outlook Express security vulnerability - GetObject() expose user's files (BUGTRAQ bugid 1718)。

  • telnet 起動の脆弱性。 IE から telnet URL を起動する場合に、 SFU 2.0 に付属する telnet クライアントだと引数つきで起動できてしまう問題。 SF 2.0 telnet には log オプションがあるので、 これを使って、次回起動時に攻撃者の好みのコマンドを自動実行するようにできてしまう。 SFU 2.0 がインストールされていなければ顕在化しない。 CVE: CAN-2001-0150。

  日本語版 patch はまだない。

　いそがしさにかまけているうちに時間が経過しているし。

• MS01-011: ドメインコントローラへの無効なリクエストがサービス拒否を発生させる
  (Wed, 21 Feb 2001 11:18:32 +0900)

  Windows 2000 ドメインコントローラ (DC) にある形式のリクエストを送ると、それが送られている間は DC が DoS 状態になる、ということみたい。リクエストがなくなれば復帰する。 patch が出ているので適用する。

  要注目: CVE 番号が Bulletin に付加されるようになった (画期的)。 CAN-2001-0018。

• MS01-012: Outlook と Outlook Express の vCard ハンドラが問題のあるバッファを含む
  (Fri, 23 Feb 2001 12:36:02 +0900)

  Outlook 98/2000, Outlook Express 5.x に弱点。 vCard (は vCard The Electronic Business Card Version 2.1 と RFC2426: vCard MIME Directory Profile あたりを見ればいいのかな? 電子的な名刺の規格だと思えばいいみたいす) の処理においてバッファオーバーフローが発生するため、 remote の攻撃者は悪意ある vCard を含んだ e-mail を送ることにより任意のコードを実行可能。

  @stake: Microsoft Outlook 2000 vCard Buffer Overrun。
  CVE: CAN-2001-0145。

  日本語 patch は、いまのところ IE 5.5 SP1 用だけ出ている。 英語版は IE 5.01 SP1 用もある。 IE 5.01 SP2 および IE 5.5 SP2 で fix される。

• MS01-013: Windows 2000 イベントビューアが問題のあるバッファを含む
  (Tue, 27 Feb 2001 06:54:49 +0900)

  Windows 2000 イベントビューアに弱点。 巧妙に細工したイベントレコードによりバッファオーバーフローが発生するため、イベントの詳細を表示させたときにイベントビューアがダウンしたり任意のコードが実行されたりしてしまう。

  CVE: CAN-2001-0147

  patch があるので適用する。

　sendmail -bt で segmentation fault するので local user が root を取れるという話、なのだが、 security@FreeBSD.ORG に流れている話では、確かに起るし 8.11.2 での fix 事項だけど root は取れない、とされている。 気になる人は upgrade されたい。最新は 8.11.3 だし。

　Tea Room for Conference の No.299 で紹介されている @stake Security Advisory: Palm OS Password Lockout Bypass の話でしょう。 debugger なんていわれると、morris ワーム (= sendmail debug mode) を思い出してしまう私。 PalmOS 4.0 で fix されるそうです。