セキュリティホール memo - 2001.06

　WIDE University, School of Internet の自律分散協調論 における武田さんのゲスト講演だそうです。 通信用空中線／電力系統破壊兵器なんてのがあるんだ……ふぅん。

　CISCO IOS 11.3 以降に弱点。 HTTP サーバを有効にし、かつ local 認証を利用していた場合に、 特定 URL にアクセスすると、認証機構を迂回して任意のコマンドを実行できてしまう。 コマンドは最高位の権限 (level 15) で実行されるという。 HTTP サーバを無効にした場合、あるいは TACACS+ や Radius など外部の認証を利用する場合はこの弱点を回避できる。 IOS の upgrade を行うと回避できる (もしあれば)。

2001.07.02 追記: 関連: シスコのIOSを無防備にするセキュリティ上の欠陥 (ZDNet)、 シスコのルーターにネットワークを掌握できるバグ (CNet)

2001.07.04 追記: CERT Advisory LAC 邦訳版登場: CERT Advisory CA-2001-14 Cisco IOS HTTP Server Authentication Vulnerability (坂井さんトラブル対応ありがとうございます _o_)。 exploit がさっそく BUGTRAQ に流れてました。

　あと、シスコのIOSを無防備にするセキュリティ上の欠陥 (ZDNet) で述べられている ssh の話は Cisco Security Advisory: Multiple SSH Vulnerabilities です。既知の問題点をようやく直しました、という話。 CRC-32 integrity check vulnerability なんて October 1998 ですから。

　2001.06.28 の MS01-034: 不正な Word 文書が自動的にマクロを実行する に追記した。 Word 2000 / 2002 ユーザは修正プログラムのインストール確認時にご注意を。

　MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される の exploit ねた。実は作者の方 (!) から情報をいただいた (ありがとうございます _o_) ので、あとでもうちょっと try してみます。

　IIS 4.0 / 5.0 のインストールにおいて Visual Studio RAD Support をインストールしてしまった場合に弱点。 バッファオーバーフローが発生するため、攻撃者は remote から IUSR_コンピュータ名 権限、あるいは local SYSTEM 権限を得ることができてしまう。

　MS は Visual Studio RAD Support は「デフォルトではインストールされない」と書いているが、 手元の Windows 2000 SP2 日本語版で IIS 5.0 を、 コントロールパネルの「アプリケーションの追加と削除」からインストールする場合、

□ インターネットインフォメーションサービス (IIS)

を check して [詳細] を見ると、

□ Visual InterDev RAD Remote Deployment Support

にもちゃんと check が入っている。こういうのは「デフォルトでインストール」と言わないのだろうか? もちろん、□ インターネットインフォメーションサービス の check 時には何の警告も出ない。 [詳細] から、 □ Visual InterDev RAD Remote Deployment Support の check を外し、再度 check するとそのときは警告が表示される。

　Windows 2000 用の patch は出ているが、NT 4.0 用はまだ。 というか、Visual Studio RAD Support を削除してしまえば問題は解決するはずのような気がする……のだが、「削除すれば回避できる」とはどこにも書いてないんだよなあ。よくわからん話だ。

　CVE: CAN-2001-0341。 NSFOCUS SA2001-03: Microsoft FrontPage 2000 Server Extensions Buffer Overflow Vulnerability

　Word 2002 (XP), 2000, 97, 98(J), 2001 for Mac, 98 for Mac に弱点。 MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する と同様に、マクロが無警告で実行されてしまう弱点がある。 マクロチェック機構はマクロじゃないと認識するが、Word 自身はマクロと認識するようなマクロを設置することができるというのだ。 これにより、攻撃者はファイルの消去やハードディスクの再フォーマット、トロイの木馬の設置といったあらゆる悪さができてしまう。

　MS01-028 の patch を適用している場合はこの弱点はない。まだの人は、 ここ から patch を入手して適用しよう。ただし、Word 97 / 98 (J) 日本語版用の patch はいまだに存在しない。

　CVE: CAN-2001-0501

2001.06.29 追記: 青木さんから、 MS01-034 日本語 Bulletin に書いてある「修正プログラムのインストール確認方法」を Word 2000 で実行すると、 結果が合わないという情報をいただいた (ありがとうございます)。 9.00.00.5302 となるはずが、9.0.4402 SR-1 となるのだ。 青木さんは、 MS01-028 に書いてある方法 (Winword.exe のバージョンを見る) だときちんと 9.00.00.5302 となると指摘されている。 手元でも確認してみたが、そのとおりだった。

　なお、MS01-034 英語版 Bulletin では、Word 2000 と Word 2002 については Winword.exe のバージョン番号を確認せよ、とある。 というわけで、Word 2000 / 2002 ユーザはご注意を。

　間違いをみつけたときは、 フィードバック してあげると喜ばれます。

2001.07.12 追記: Word 97/98 用 patch 登場: Word 97, Word 98。

　2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 exploit の話を追記。

• openssh-2.9p2-1

• rxvt-2.7.6-10

• fetchmail-5.8.7-1

　どこまで続くのか、TrendMicro InterScan VirusWall ネタ。

• SNS Advisory No.34 TrendMicro InterScan VirusWall 3.51 smtpscan.dll buffer overflow Vulnerability

  smtpscan.dll がバッファオーバーフローするため、remote から local SYSTEM 権限を得られる。

• SNS Advisory No.35 TrendMicro InterScan VirusWall 3.51 HttpSaveC*P.dll buffer overflow Vulnerability

  HttpSaveCVP.dll, HttpSaveCSP.dll がバッファオーバーフローするため、remote から local SYSTEM 権限を得られる。

　英語版 patch が出ているが、日本語版はまだ。 patch が出るまでは、IP address などによるアクセス制限が推奨されている。

　2001.06.27 の CERT/CC Current Activity に追記した。 W32LeaveWorm 関連情報を追加。

　信じる者はバカを見る。太平洋戦争の戦訓という概念は、外務省にはないようだ。 まあ、機密費で豪遊してる連中には国益という概念もまたないのだろうが。

　Solaris 2.4〜8 (SunOS 5.4〜5.8) の ypbind に弱点。 buffer overflow するため、remote から root 権限を得られる。 patch があるので適用すること。

2001.07.04 追記: JPCERT/CC Alert 2001-07-04: Sun ypbind Buffer Overflow Vulnerability 。

　Solarisのプリンタソフトにセキュリティホール (ZDNet) の話。lpd は kill した上で起動しないようにしましょう。 詳細: ISS Security Advisory: Remote Buffer Overflow Vulnerability in Solaris Print Protocol Daemon。 まあふつう、外に向けてるホストで lpd を動かしたりはしていないと思うけど、……という前提が成立しない host はちゃんと存在して、 近日中にヤラれるんだろうなあ。

2001.07.03 追記: CERT Advisory と LAC 邦訳版:

• CERT(R) Advisory CA-2001-15 Buffer Overflow In Sun Solaris in.lpd Print Daemon

• CA-2001-15 LAC 邦訳版

　週刊 JPCERT/CC レポート登場。 やっぱり MS01-033 来てるみたいですねえ。 http://www.jpcert.or.jp/wr/ には「準備号」というものもある。

　http://www.jpcert.or.jp/wr/ もセキュリティアンテナで watch することにしておきした。

　DoS攻撃の予兆？　NIPCがワーム警報 (ZDNet) という話もあって、 Increased SubSeven Activity だそうで。

2001.06.28 追記: W32LeaveWorm については、incidents.org の W32LeaveWorm が詳しい。

　トワイライト・ゾーンじゃなくて現実の話なんだよなあ。 シャレにならない。

　IE の [インターネット オプション] - [セキュリティ] の [インターネット] を除く各ゾーンにおいてサイトを登録する際、 ワイルドカードが使えるのだが、これがなんだか妙という話。

　昨日書いたものをもういちど:

IE でたとえば *.gov をまとめて登録したいときは、 URL として http://*.gov とか書けばよいです > 石川さん。 ……って、上記を入力すると http://*.*.gov に展開されてるなあ。

手元は IE 5.01 SP2 (Windows 2000 SP2) なんですが、 レジストリ HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains には *.gov と登録されてます。 さらに、 インターネットオプションのダイアログから http://*.*.gov というのを削除しても (画面的には削除されたように見える)、 もういちどダイアログを表示させるとどっこい残っていますね。 これってバグなんじゃないかなあ。 regedit とかならちゃんと消せます。 表示上 *.*.gov に展開されるってあたりがマズそうな気が。

　これに対して、石川さんが MacOS 用 IE での状況を リンクとか備忘録とか日記とか 2001.06.26 に記載されている。手元の IE 5.0 (2022) on MacOS 9.0.4 (まだ 9.1 にしてないし……) でも状況を確認できた。 MacOS 用 IE では、どうやら *.*.gov が正当なものになっているようだ。

　IE 5.5 SP1 on Windows 2000 SP2 ではどうなのかと思って今確認してみたが、 IE 5.01 SP2 の場合と変わらない状況だった。 MS さンはどうしたいのか。よくわからん。

• turbolinux security center: XFree86: buffer overflowによるroot権限奪取

　それにしても、US と jp とで security fix として list されるモノがこうも違うのってどうなってんの? jp で売ってるモノは [TL-Security-Announce] TLSA2001029 esound-0.2.22-1 とか ok なわけ?

　2001.06.25 の [SECURITY] [DSA-065-1] samba remote file append/creation problem に追記した。 [RHSA-2001:086-06: New Samba packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1 登場。

　BO, FTP, HTTP, IMAP2, POP3, SMTP, TELNET な機能を持つ アクセス検知 tool (honey pot とまではいかないみたい)。 Winetd にも同様の機能があるそうです。

　2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 マジな攻撃プログラムが登場したそうで。 まだ patch してない人はいそいで。

　設定状態に依存する話を一概に決めるってのはねえ。 まあ Windows NT 4.0 のデフォルト状態はアレすぎではあるんですが。

　『これ以上サイトの「ハッキング」を続けるなら法的措置をとると脅された』、 いやはや。 [memo:441] 利用するＥコマースサイトの脆弱性の有無を知る権利？ からはじまる thread でもいろいろ議論されてますが、 いろんな人がいるわけで。 そういう意味では、ネットワークに強いメディア関係者に相談するというのもテのような気がするけど、日本ではあまり通用しない (そういうトコがない) ような気が。

既存の全バージョンの samba に弱点。 log file = /var/log/samba/%m と設定している場合において、%m (= client の NetBIOS 名) に UNIX パス名を含ませると、任意のシステムファイルを上書きできてしまうため、 remote から root 権限を取得できてしまう。 log file = /var/log/samba/%m.log の場合、これを利用した攻撃をするには local account で symbolic link を作成する必要がある。 log file = /var/log/samba/log.%m の場合は、この弱点はない。

　NetBIOS 名は 15 文字までのため対象となるファイルは制限されるが、 symbolic link を組みあわせることで無限の可能性が生まれる。

　対応としては、%m マクロを %I (IP address) に変更するのが最もよいとされている。

本家アナウンス: Security Vulnerability IMPORTANT: Security bugfix for Samba。 (from [memo:600])

2001.06.26 追記: [RHSA-2001:086-06: New Samba packages available for Red Hat Linux 5.2, 6.2, 7 and 7.1 登場。

• [TL-Security-Announce] TLSA2001029 esound-0.2.22-1

• [TL-Security-Announce] TLSA2001028 gnupg-1.0.6-1

  BUGTRAQ に流れたもの はなんで 06/21/2001 になってるんだ?

• [RHSA-2001:071-05] New updated XFree86 packages available

• [RHSA-2001:084-03] Kernel: FTP iptables vulnerability in 2.4 kernel and general bug fixes

• [RHSA-2001:077-05] LPRng fails to drop supplemental group membership

　2001.05.28 の MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する に追記した。 他力本願堂本舗に解説が出た。

　2001.06.21 の IIS 5.0 セキュリティ対策ハンドブック に追記した。 伊原さん自身によるフォローがされている。

　2001.06.21 の 決定版! 「SP2適用後に必要なセキュリティ・パッチ一覧」 マイクロソフトのパッチ一覧は意味不明 に追記した。 feedback したらページが改善されている。

　2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 MS01-025 および MS00-006 を含む、という記述が消滅。

　2001.06.19 の 「トラブルたずねて三千里」（100）コンピューターお掃除大作戦 に追記した。 おてごろなブロワー。

　SQL Server 7.0 / 2000 を混合モードで使用している場合に弱点。 SQL Server への接続は、クライアント側から終了させても、サーバ側ではある程度 (詳細な時間は不明) 継続される (cache される)。 システム管理者 (sa) による接続が終了した後で、ある SQL query を別のユーザが送ると、cache された管理者接続をこのユーザが利用できてしまうという。もちろんこの場合、ユーザは管理者権限を得られる。

　この弱点は混合モードでのみ発生する。Windows 認証モードでは発生 しない。

　patch。日本語版でも ok。 CVE: CAN-2001-0344

　2001.06.19 の MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される に追記した。 関連情報を追加。

　またまたトレンドマイクロ InterScan もの。 InterScan WebManager Version 1.2 において、RegGo.dll が「ある特定の引数」でバッファオーバーフローするという。 どうやら、いつ登場するかわからない次期バージョンでしか修正されないようだ。

　2001.06.19 の [memo:392] ORBS Reborn Again ? に追記した。 どうやら 1 つではないらしい。

　この記事で存在をはじめて知ったが、関連サービスパックおよび対応モジュール (Windows 2000 ServicePack 2 をインストール済みのお客様はこちらをご利用ください) なんてページがあるんですね。 ■ のありなしの意味がどこにも書いてないからわかりにくい? JP249599 は JP295534 の間違いのような気がしますし。 JP249599 は MS00-019 用の KB (しかも日本語版はいまだに出てない) だから。

　しかし、「実際に、該当する障害・問題の発生している機種に限定されるようお願いいたします」って MS さン、local SYSTEM 取られてからじゃ遅いでしょう。

2001.06.22 追記: feedback したら、丁寧な mail がきた。 関連サービスパックおよび対応モジュール (Windows 2000 ServicePack 2 をインストール済みのお客様はこちらをご利用ください) はデザイン変更により改善したそうだ。確かにわかりやすくなっている。 JP249599 については、間違いではないのだが、KB 自体は現在改訂中だそうだ (複数の KB を含むものについては、KB 番号の若い順に並んでいるから JP249599 が先頭になっているだけのようだ)。 patch はリリース日順に並んでいるので、 この順番に従ってインストールするのが best だろう。

　JWNTUG OpenTalk でも話が出たが、問題点があったらぜひ feedback してほしいという話だった。 feedback するとけっこう反映されるので、気がついたときは feedback しときましょう。 もちろん、変わらないものもあるんですが。

　Windows 2000 World 2001.07 に掲載された伊原さんの記事。 PDF 版もある。 MSC 2001 spring でも大量に配布された……らしい (が、get できなかった……大阪では 1 日目にハケちゃったのかなあ)。

2001.06.22 追記: 伊原さん自身によるフォローが [memo:522] でされているので参照されたい。

　MacOS X を HFS+ で使う場合 (パフォーマンスの点からも通常はコレのはず)、 file system が大文字小文字の区別をしない、ということを考慮しておかないと、 アクセス制限をかけたハズが実はかかっていなかったという事態になるという話。 また、CGI の場合は実行結果ではなくソースが見えるという事態になるため、 CGI に SQL server のパスワードが書いてあったりとかするとすっげぇまずいだろう。 2001.06.21 番外編：Mac OS XのApacheをHFS+上で使う際の問題について に詳細がまとめられている。 mod_hfs_apple を入れるのがいいばんいいのかな。

　ものすごく興味深い。ぜひご一読を。 こういうものが読めるなんて、Internet はいいなあ。 ありがたいことです。

　「特にひどいのは国防省」というのがキています。 さて、軍事ラブラブなブッシュ政権になって、この問題はどのような方向に向かうでしょう? (1) より遵守されるようになる (2) ますます尊守されないようになる (3) ガイドライン自体が消滅する (4) その他。

　手元ではさきほど、.gov を、徹底的にガチガチに変更した「制限付きサイト」ゾーンに入れてしまった。 インターネットゾーンもほとんど変わらない内容に変更してあったんだけど。

　さすが NTT としか言いようがありませんな。 NTT の本音は「ばんばん spam ってくれ、俺も儲かるし」だとしか思えないね。 OCN 方面で spam 対策がなおざりなのともつながるし。 関連: Ｌモードも迷惑メールにご用心 (asahi.com)

　不具合毎に回収回収では、メーカがもたんでしょう。 何らかの software upgrade 機能は必要だよね。 ある意味バグ慣れさせることになるので、嫌がる人はいるだろうけど、現実的には……。

　IE 5.5 だとそういうオプションがあったのか……ふぅん。

　……@IT のこの記事について神戸さんからこんな mail が (情報どうもです):

    o PORTモード／ノーマル・モード／アクティブ・モード

のところで、

    データ転送用のTCPコネクションは、FTPサーバの側からFTPクライアントの
    20番ポートに向けてオープンされる。つまり、FTPのクライアント・プログ
    ラムを実行しているほうが、FTPサーバからのTCPコネクションのオープン
    を待ち受けしているのである。これは、制御用コネクションの向きとは逆

とありますが、最初の

「FTPサーバの側からFTPクライアントの20番ポートに向けてオープン」

は間違いで、

「FTPサーバの側の20番ポートからFTPクライアントに向けてオープン」

とでもしておくべきでしょう。続く内容は、そう誤っているわけではないので
残念です。
      
また、続けて、

    であることに注意されたい。この場合、待ち受けするポート番号はランダ
    ムだが、サーバ側のポート番号は（一般的なFTPサーバでは）20 番を使っ
    ている。

とあります。「サーバ側のポート番号は（一般的なFTPサーバでは）20 番」、
ftp-dataと固く信じていると、そうでないftp.gnu.orgだったか何かも実際に
ある様です。:-(

さて、PASVを勧める調子で書かれた記事として悪くはありませんが、PASVを
受ける側のフィルタリングの注意に触れていないところが残念です。そう
いった層を読み手には想定していないんでしょうけれどね。

　IE のオプションのトコしか見てなかったす _o_。 たしかに間違いですね。 また、20 番じゃない ftp server としては、たとえば publicfile があるように思います。 PASV 受け側の記事は、@IT の Linux 方面に書いてもらうのがいいような……。 IIS の ftp server って、PASV のとき開ける port をある範囲に制限するとか、そういう調節できるのかなあ……。

　NSA の Windows 2000 Security Recommendation Guides に関する XATO のコメント。 実はトンデモドキュメントだった?!

2001.07.03 追記: NSA の Windows 2000 Security Recommendation Guides (nsa.gov じゃない場所になったのね) 復活してます。.zip まとめ版もあります。 .pdf の top page をちょいと見てみましたが、 Guide to Windows 2000 Kerberos Settings (Updated: June 27, 2001) と Guide to the Secure Configuration and Administration of Microsoft Internet Information Services 5.0 (Updated: June 19, 2001) は変化しているような気がします。 他は変化してなさそうです。

• [port139:00267] IPsec 88/tcp

• [port139:00296] New Security Tool for Encrypting File System

• [port139:00297] Blowfish アルゴリズムで暗号化する COM

　世界最強のテキストブラウザ w3m 0.2.1 に弱点。MIME base64 形式のヘッダの処理において、 エンコード後に 34 文字以上となった base64 文字列を受信するとバッファオーバーフローするため、remote から任意のコマンドを実行させることが可能。 patch を適用すれば ok。

　IIS 4.0 の Index Server 2.0, IIS 5.0 の Index Service, Windows XP βの Index Service に弱点。idq.dll がバッファオーバーフローしてしまう。 Idq.dll は local SYSTEM 権限で動作するため、 Index Server / Indexing Service を稼働させている/いないにかかわらず、 idq.dll がインストールされており、 .idq または .ida のスクリプトマッピングがありさえすれば、 remote user は local SYSTEM 権限を獲得できてしまう。 詳細: All versions of Microsoft Internet Information Services, Remote buffer overflow (SYSTEM Level Access)。

　つまり、南京大虐殺級の弱点がまたひとつ、というわけだ。 これを利用する攻撃プログラム/ワームの登場は時間の問題であり、 該当する IIS 4.0/5.0 管理者は今すぐ patch を適用しよう。 って、IIS まわりはこんなんばっかやなあ。 IIS 6.0 (XP β) でもあいかわらずってのが悲しい。

• Windows NT 4.0 (index server 2.0) 用 patch: http://www.microsoft.com/ntserver/nts/downloads/critical/q300972/default.asp

• Windows 2000 (index service) 用 patch: http://www.microsoft.com/windows2000/downloads/critical/q300972/default.asp

　あるいは、.idq および .ida のスクリプトマッピングを削除することでも回避できる。 Index Server / Service を利用していない場合は、それらをアンインストールしたり、 スクリプトマッピングを削除したりしよう。 また、IIS 自体を稼働させていない場合にも問題は発生しない。

　CVE: CAN-2001-0500。 KB: Q300972。

　関連報道:

• MS製サーバーソフトにまたもや厄介なセキュリティーホール (hotwired)

• IISに深刻なセキュリティホール，Webサーバ乗っ取りの恐れ (ZDNet)

2001.06.21 追記: 関連情報:

• Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される問題について (IPA)

• CERT Advisory CA-2001-13 Buffer Overflow In IIS Indexing Service DLL と LAC の邦訳版

• Microsoft IIS Index Server に含まれる脆弱性に関する注意喚起 (JPCERT/CC)

2001.06.22 追記: MS01-033 には当初 MS01-025 および MS00-006 を含む と記述されていたのですが、 MS01-033 が改訂され、この記述が削除されました。 つまり、「じぇんじぇん含んじゃいなかった」ということです。 なんだかなあ。田仲さん情報ありがとうございます。

2001.06.26 追記: マジな攻撃プログラムが登場したそうで。 まだ patch してない人はいそいで。 IISのセキュリティホール，攻撃ツール完成で専門家が再度警告 (ZDNet)

2001.06.28 追記: 危険性が高まるIISサーバー，パッチ適用の徹底をで 国内某所で exploit が出回ってるという話が出ている (URL おしえてくださった方ありがとうございます _o_)。 また win2ksecadvice にも source が流れている。 両者は同じものだ (違うものだろうとばかり思ってた)。 おまけに、この exploit で日本語版でもイケてしまうという情報が。 ほんとならめちゃヤバ。

　……ちょっと手元でためしてみたんだけど、手元 (Windows 2000 Workstation SP2 に IIS 5 をインストール) では、流し込めてはいるみたい (IIS の動作が不安定になった) だけど local SYSTEM 奪取はうまくいかなかった。 一方、RedHat Linux 7.0 J から Windows 2000 Workstation/Server SP2 への攻撃が成功したという人もいる。 うーむ。

　なんにせよ、patch あてときましょう。 それがいちばん確実。

2001.07.06 追記: 追試結果: [memo:712]。 関連記事:

• マイクロソフトのサーバーをねらう日本人ハッカー (CNet)

  ねらうって……。 原題は "Program may exploit Microsoft server hole" なのに。

  秘かって……。 BUGTRAQ みたいに目立つ場所じゃなかったら「秘か」(surreptitiously) なのかなあ。

• IISのセキュリティホールを悪用する攻撃ツール (ZDNet)
  詳細版: 日本人ハッカーがIIS攻撃ツールをWebで公開 (英語原文)

  原題は "Hacker posts code to exploit MS bug" なのに。

  "All those opposed to full disclosure, be damned." と言ったのは steve@SECURESOLUTIONS.ORG 氏に mail を送った fuq69rc@hushmail.com 氏なのだが。 "The author" じゃない。 Fwd: Full Disclosure .ida exploit. 参照。 実は CNet 版英語原文でも The author insists ... と書いてあるのだが、 CNet 版の訳者、湯田賢司氏は「投稿は……」とすることで問題を回避できている。

  一方で、ZDNet 版には「秘か」(surreptitiously) なんて書いてないのに、 日本語版にはどこからか「秘か」という言葉が登場している。 それでは、CNet 版 / ZDNet 版の微妙な違い :-) が飛んでしまうぢゃないか。

　たりきさんが書かれているように、HighSpeed Junkie さんではなくて、 「HighSpeed Junkie!主催者のhsjさん」 だと思うんだけど……。

2001.07.16 追記: IIS攻撃ツールを公開したhsj氏へのインタビュー (ZDNet)。 フォロー記事を出しているところはえらいぞ ZDNet Japan。 英語版にも feedback できるともっとえらい。

　復活の ORBS。SPAM 屋さんもご用達らしいという意味では 「必殺の術が撃つのは我が身なのか、と」。 ORB UK を参照。

　これもあってか、IPA ISEC の UBE（spam メール）中継対策 が update されています。

2001.06.21 追記: [memo:440] によると、どうやら 1 つではないようです。

　2001.05.11 の ドコモ携帯ＳＯ５０３ｉ　個人データ流出の恐れ　内蔵プログラムに欠陥 に追記した。 関連記事を追記。

　『建築工事で使う「電動ブロワー」』ってどんなものなんだろう。 あ、[memo:437] でフォローされてる _o_。 例によって google で検索してみたら、 FURUTA/フルタ電機(株)[ベルト駆動ブロワー,電動ブロワー] とかありますね。これでいいのかな。

2001.06.21 追記: [memo:442] [memo:443] によると、↑のはおおきすぎみたいで、 MUB062 のようなやつがおてごろのようです。

• Webページ／IMから広がる新しいウイルスが出現
  (ZDNet NEWS, 2001年6月18日　07:07 PM)

  「web ページ」のほうは 不正侵入　乗っ取り、一瞬の間 と同じネタ (MS01-020) ですかねえ。 「IM」の方は違うと思うけど。

• 「PE_MTX.A（TROJ_MTX.A/MATRIX,MTX.A）」国内感染報告累計３２００件超える 〜　感染警報VAC-1　「PE_MTX.A対策Web」強化　〜
  (トレンドマイクロ, 2001年6月18日)

  あいかわらず流行っているようです。

• 検索エンジンリリースノート: Windows NT用検索エンジン5.400に関して 2001.06.18
  ([memo:431], Mon, 18 Jun 2001 21:06:19 +0900)

  ひっこめなくてはならないほどの 「海外での問題」 って何なんでしょうね。 US page では 5.400 をそのまま配っているように見えるし……。

  ……[memo:435] でフォローされてます。うぅむ、これは……。

　MS01-002 『「PowerPoint のファイル解析」の脆弱性に対する対策』の fix patch 新版が登場。 しかし、Security Bulletin も KB も昔のままで、何が変わったんだかさっぱりわからない。 とりあえず、Office 2000 SP2 に適用できることは手元で確認した。 適用すると SR-1 (9.0.5107) になった (SP2 は 9.0.4527 みたい)。 張江さん情報ありがとうございます。

　SecurityFocus.com Newsletter 第 95 号日本語版 (テキスト, 英語版)。 pickup:

• Qualcomm Eudora Hidden Attachment Execution Vulnerability

　SecurityFocus.com Newsletter 第 96 号日本語版 (テキスト, 英語版)。 pickup:

• Qualcomm qpopper Username Buffer Overflow Vulnerability

• Linux Man Malicious Cache File Creation Vulnerability

• Linux FPF Kernel Module Denial Of Service Vulnerability

• OpenBSD Dup2 VFS Race Condition Denial Of Service Vulnerability, OpenBSD Pipe VFS Race Condition Denial Of Service Vulnerability

• SunOS mail HOME Buffer Overflow Vulnerability

• HP-UX kmmodreg Symbolic Link Vulnerability

• Microsoft Outlook Express Address Book Spoofing Vulnerability

　FSS - File System Saint, Tripwire-like utility with primary focus on speed and ease of use ですか。

　advisory が出ているかいないかにかかわらず、 他の Linux distrib. や *BSD などでも同じ問題があることが非常に多いですから、 見覚えがなくて、しかも同じソフトをインストールしてある場合は確認しましょうね。

Debian GNU/Linux

• DSA-063-1 xinetd: change default umask

  potential buffer overflow in xinetd-2.1.8.9pre11-1 と、xinetd Insecure Default Umask Vulnerability を fix。

• DSA-062-1 rxvt: buffer overflow

  rxvt 2.6.2 で発生する buffer overflow を fix。 参照: Rxvt vulnerability

• DSA-061-1 gnupg: printf format attack

• DSA-060-1 fetchmail: buffer overflo

  urgency=low になってるなあ。

RedHat

• [RHSA-2001:077-05] LPRng fails to drop supplemental group membership

  When LPRng drops uid and gid, it fails to drop membership in its supplemental groups だそうです。

　OpenBSD 2.8, 2.9 に、local user が root 権限を取れる弱点。 イマイチよくわからないんだけど、ptrace() まわりに race condition があって、競争に勝てると root が取れるということかなあ。 FreeBSD 4.3-STABLE にはこの弱点はないと フォローされている。

　さっそく登場した、MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する の悪用事例。Office 97 用の patch がまだないんだよね。

　「実際に過去１年間にセキュリティ対策に投じた費用は、平均で全IT予算の１．２％にすぎず、なかには全く投資していないというものも３１．９％」、世の中そんなもんだよねえ。

　「勝手に」というところがミソのようですな。 発展する方向を勝手に予測:

1. スマートタグにより、Microsoft が望むリンクが自動的に設定される。

2. スマートタグ 2nd Edition により、Microsoft が望まないリンクが自動的に消去される。

3. スマートドキュメントにより、Microsoft が望む文書内容に自動的に変更される。

　2001.06.11 の sshd(8) allows users to delete arbitrary files named "cookies" if X11 forwarding is enabled. X11 forwarding is disabled by default. に追記した。 FreeBSD ports の話。

　インフラを落とされるのはシャレにならないのだが、 こーゆーところは少なくないんだろうなあ……。

　2001.06.11 の MS01-030: Exchange 2000 Outlook Web Access Service で添付ファイルの不正処理によりスクリプトが実行される に追記した。 Exchange 5.5 patch は日本語版にも適用可能。 田仲さん情報ありがとうございます。

　2001.06.11 の Microsoft Word for Macintosh Security Update: Macro Vulnerability に追記した。 日本語版: Microsoft(R) Word for Macintosh(R) セキュリティアップデート: マクロの脆弱性。 桑原さん感謝。

　2001.06.11 の MS01-030: Exchange 2000 Outlook Web Access Service で添付ファイルの不正処理によりスクリプトが実行される に追記した。 patch がまたもや再リリースされている。

　i-mode に、新種の「強制ダイヤル」とか「フリーズ」とかの攻撃を受ける弱点が発見 (?) された、という話。これまでにもあれとかこれとかあったが、 古くから知られているモノとは違うらしい。 まあ、似たようなものなんだろうけどさ。 SO503i の security fix 版 (昨日から無償交換開始済) については、この弱点に対する fix も含まれるようだ。 関連: iモードを脅かす新手の悪質メールが出現 (BizTech)、 iモードに新手の悪質メール　対策は「所在不明メール開封せず」のみ (MAINICHI Interactive)。

　NTT ドコモの言い分: ｉモードを利用した新たな悪質メールへの対応。 これを対応と言うとはね。 西日本新聞報道の「申告者のみ修理」という情報すらありませんな。 なんてスバラシイ会社。

　次世代通信システムでセキュリティー基準改定へ 総務省研究会 ってのもあるらしいけど、まずは、セキュリティのこと何も考えてない、性根の腐った i-mode って奴を叩き直さないとなんともならないのでは。

　2001.06.11 の sshd(8) allows users to delete arbitrary files named "cookies" if X11 forwarding is enabled. X11 forwarding is disabled by default. に追記した。 春山さんによる詳細解説と OpenSSH セキュリティ管理ガイドの話。

　多分、MS01-028: テンプレートにリンクしている RTF 文書が警告なしでマクロを実行する の Mac 版 Office 用 patch なのだと思う。 日本語版はまだないみたい。

2001.06.14 追記: 日本語版: Microsoft(R) Word for Macintosh(R) セキュリティアップデート: マクロの脆弱性。 桑原さん感謝。

　ほんとにそう思うんだったら NT 4.0 SP7 を出してよ。

　トレンドマイクロ InterScan VirusWall for Windows NT 3.51 にまたまた弱点。 SNS Advisory No.28: TrendMicro InterScan VirusWall for NT remote configuration Vulnerability とのあわせわざで、 管理者用設定プログラム FtpSaveCSP.dll, FtpSaveCVP.dll でバッファオーバーフローしてしまうため、remote から SYSTEM 権限を取得可能。 fix はいまのところないため、IP address 等による接続制限などを設定して守ること。

　man-db に弱点。from debian/changelog:

man-db (2.3.16-4) stable; urgency=high

  * Backport another security fix from unstable.
  * Count how many times privileges have been dropped, and don't regain them
    until regain_effective_privs() is called the same number of times. The
    lack of nesting meant it was still possible to create files owned by uid
    man (thanks, Luki R.; closes: #99624).

　OpenBSD 2.9 の sshd (= OpenSSH 2.9 という理解でいいのかな) に弱点。X11Forwarding yes だと、cookies という名前の任意のファイルを削除できてしまう。 所有者や mode にかかわらず、ということなんだろう多分。

　patch が出ているので適用する。openssh-2.9p1 にもそのまま適用できてコンパイルも通るところまでは手元でも確認した (まだインストールしてない)。

2001.06.14 追記: 春山さんが詳細を [memo:385] で解説されている。 また、 OpenSSH セキュリティ管理ガイド という本を書かれたそうです。 さっそくさきほど注文してしまった。 サポートページの内容も充実しているぞ。

2001.06.15 追記: FreeBSD の ports (security/openssh) だと、PORTVERSION= 2.9 PORTREVISION= 2 で対応しているようです。 security/openssh-portable ってのもできたんですね。

　めざせエイズ撲滅! (って話じゃないか……)。対数目盛なので注意。

　DoS するワームですって。下品だなあ。

　Windows 2000 の telnet サーバに 7 つ (!!!) の弱点。 最悪なのは、うち 2 つは local system 権限を得られる弱点であることだ。 サーバ上でコマンドを実行できれば、この弱点を利用して local system 権限を得られるという。シナリオ例:

1. MS01-026 を利用して IUSR_hostname 権限を取得。

2. MS01-031 を利用して IUSR_hostname 権限から local system 権限へ昇格。

3. やりたい放題 go go。

　ただし、あらかじめ telnet サーバ機能が有効になっていないと、この攻撃は成立しない。よって、telnet サーバの停止によって回避できる。

　その他にも、DoS ができる弱点が 4 つ、MS01-026 と同様に guest アカウント情報が漏れる弱点が 1 つ。 いやはや。DoS 弱点のひとつは、Microsoft Windows 2000 Telnet server vulnerability で詳細が公開されている。

　patch があるので適用すればよい。 Windows 2000 SP3 で fix される予定。

　Exchange 5.5 / 2000 で Outlook Web Access (OWA) を利用している場合に弱点。 メールにおいて、スクリプトを含んだ HTML が添付されていると、 添付ファイルを開く時にこのスクリプトが実行されてしまう。 こういうときはふつう「だからスクリプトの実行を不許可にしなさいってば」という話が出るのだが、 OWA の場合、OWA サーバと同じゾーンにおけるスクリプト実行が許可されていなければならない (されていないと使えない) ため、そういうことは不可能だ。 なお、OWA を利用していない場合には問題はない。

　日本語版 Advisory ではまだ Exchange 2000 だけとなっているが、 英語版 Advisory は改訂され、Exchange 5.5 の OWA でも同様の問題があるとされている (Exchange 5.5 用 patch も出ている)。 また、Exchange 2000 用の patch も改訂されている。 これらに対応する、日本語版 patch はまだ出ていない (と思う、たぶん)。

　関連記事: Exchange 2000にセキュリティホール (ZDNet)。「もし私が数百万人にウイルスを送り付けたとしても，影響を受ける人の割合はごく少ないだろう」、それってつまり、自社製品のとある機能はほとんど誰も使っていないようなゴミ機能だとおっしゃりたいわけですか? 堂々と言うようなコトではないと思うんだけど。

2001.06.14 追記: 再リリースのExchangeパッチも問題あり？ (ZDNet) などと話題になっていたが、 英語版 advisory が V 3.0 になり、 Exchange 2000 patch が再再リリースされている。 この V3.0 対応 patch (Version 06.00.27.4419) の日本語版は http://www.microsoft.com/downloads/release.asp?ReleaseID=30572 から入手できる。 Exchange 5.5 用の patch については V 2.0 Advisory 時のままで、 日本語版はまだ出てない。 桑原さん情報ありがとうございます。

2001.06.15 追記: 英語版 Bulletin によれば Localization: The Exchange 5.5 patch can be installed on any language platform なので、英語版 Exchange 5.5 patch は日本語版 Exchange 5.5 にも適用可能なはずだ。 田仲さん情報ありがとうございます。

　関連記事: 「3度目の正直」か「2度あることは3度」か——Exchangeパッチ，再々度のリリース。

　2001.05.21 の MS01-026: 不要なデコーディング操作により IIS でコマンドが実行されるに追記した。 memo ML でも話題になっていたが、NT 4.0 の dual CPU な機械に MS01-026 をインストールする場合には注意が必要だそうだ。

　Windows File Protection に関する実証的な知見。 disk の空き容量には気をつけましょう。

TurboLinux

• [TL-Security-Announce] TLSA2001028 gnupg-1.0.6-1

• [TL-Security-Announce] TLSA2001027 tcpdump-3.6.2-1

• [TL-Security-Announce] TLSA2001026 gtk+-1.2.8-10

Debian

• DSA-058-1 exim: remote printf format attack

　トレンドマイクロ InterScan VirusWall for Windows NT 3.51 に弱点。 管理者用設定画面 http://VirusWall/interscan/cgi-bin/interscan.dll へ認証なしでアクセスできてしまうため、remote から設定変更できてしまう。 何らかのアクセス制限を別途行おう。

　トレンドマイクロのウイルス対策ソフトに重大なセキュリティ・ホール に SNS Advisory 27〜29 のまとめがある。

　2001.05.11 の ドコモ携帯ＳＯ５０３ｉ　個人データ流出の恐れ　内蔵プログラムに欠陥 に追記した。 その後の状況など。

　2001.06.05 の [JavaHouse-Brewers:43089] MRJ 2.2.4のクリップボード丸見えのセキュリティホールが2.2.5で説明なしに修正されている に追記した。 Apple Security Updates に出たそうです。 ([memo:336])。

　トレンドマイクロの Virus Control System (VCS) 1.8 に含まれる CGI プログラムに弱点があり、とある方法 (詳細未公開) を使うと認証なしで設定変更などが可能になってしまう。

　今年の終り頃 (!!) に対策される予定なんだそうだ。のんびりした会社ですね。

　設定如何により、TeX ソースや .dvi ファイルに隠されたシェルコマンドを実行させられるかも、 という話。

　sudo 1.6.3p6 で fix された、"the bug does not appear to be exploitable" とされた問題は、実は exploit 可能だという指摘。 upgrade しておきましょう。

　FreeBSD 4.3-RELEASE 以前、および 2001-06-01 以前の 4.3-STABLE に弱点。 libc の fts(3) ルーチンに問題があり、指定したパスの外部のファイルにまで効果を及ぼしてしまう。 このため、たとえば find path ... -delete とか rm -rf ... とかしたときに、意図しない削除が実行される可能性がある。 ……って理解でいいのかな。

　patch があるので適用する。patch は 4.[23]-RELEASE に利用可能。

　[FreeBSD-users-jp 62166] で、記述されている fix 手順が変なんじゃないかという話が出ていますが、 疑いを持つ人は make buildworld; make installworld しちゃったほうが早いと思います。どうせやるなら ProPolice を入れちゃってもいいでしょう。

• RHSA-2001:075-04 Updated xinetd package available for Red Hat Linux 7 and 7.1

• RHSA-2001:074-03 Updated ispell packagesavailable for Red Hat Linux 5.2 and 6.2

• RHSA-2001:073-04 Updated GnuPG packages available

　「こまめに電源オフを」、ちがうでしょ〜 > 平子義紀氏。 特定の URL に罠を仕掛け、そこへ誘い込むだけで PC を乗っ取れるんだから。 こまめに電源オフしたところで、電源オンしたら backdoor も一緒に起動するのがふつうだと思うぞ。

　「閲覧ソフトのインターネットエクスプローラーにあったセキュリティーホール」の詳細と、その対策法を URL 込みできちんと紹介しなよ。 「修正ソフトを今年３月、インターネットで公開した」じゃわかんないでしょうが。 どうしてこう、マスメディア方面ってのはわかってないのが多いんだろうか。 これで「報道」になっていると思っているのか。 いたずらに混乱をひきおこすだけの報道はまずいでしょ。 asahi.com はダイオキシン報道から何も学んでいないのか。

　これは多分、 [memo:219] にもあるように、 MS01-020 の件でしょう。他力さんのところ の Windows Security 実験十四そのまんまって感じがしますし。 MS01-027 が MS01-020 fix を含んでいるので、MS01-027 patch を適用しましょう。 ……って考えなきゃいけない記事はやめてほしい。

　BlackICE の東陽テクニカが、 朝日新聞6/1夕刊に関するコメント を出してます。 anti-virus 必須ってのはもはや常識なので、そういう意味 (平子義紀氏は anti-virus 入れてなさそうっぽい) でもアレゲですよねえ。 まあ、カスタムアプリだと anti-virus では勝てないだろうけど。

　MRJ 2.2.5 には security update なんてどこにも書いてないのだが、実は security update が含まれているという恐るべき指摘。 こういうことではいかんなあ Apple。

2001.06.11 追記: Apple Security Updates に出たそうです。 ([memo:336])。

　from SETI@home Technical News Reports June 1, 2001:

We also had a security problem. A malicious person or persons obtained a number of user email addresses. There was no server breakin. The perpetrator made use of a hole in our client/server communications protocol. They obtained around 50,000 email addresses and posted these on a web site. We see this as a significant theft of our (and your) data and are pursuing legal action against this person or persons. If you think you have received email from the perpetrator, please go here. We closed the security hole with the side effect that several fields in the user_info.sah are now blank or zero. We realize that this is a problem for some very cool third party add-ons and are putting some of the fields back.

なので、INTERNET Watch の「データベースサーバーが何者かに侵入され」というのは間違いかと。 remote から e-mail address を取得する request を発行できちゃっていた、 のかな。

　関連というか補足: [memo:290] SETI@home のサーバーに攻撃 ?。

　トレンドマイクロ InterScan VirusWall for Windows NT 3.51 英語版において、 CGI プログラム FtpSave.dll を外部から直接呼び出すことができるため、remote user が設定変更できてしまうという。 FtpSave.dll をインストールしたつもりがなくても入ってしまっている例 ([memo:248]) があるようなので注意されたい。 また、[memo:285] の雰囲気だと、どうやら続きがあるらしい。うぅむ……。

　一方で、NEC，トレンドマイクロの「InterScan VirusWall for Linux」を搭載したウイルスチェック専用サーバを販売開始なんて記事も出てますね。

2001.06.20 追記: advisory が更新されている。

　またやられたそうです。 概要は [memo:166] をどうぞ。 前回の: How we defaced www.apache.org。 "the nightly automated security audits" が tripwire みたいに働いて事象を発見できたようです。

　RedHat Linux などに付属する arping コマンドを使うと、Windows 9x にいたづらできるという話。Me や 2000 にも効くそうです。

• FreeBSD などでは WHEELSU という機能があって、ふつうの su でも、 sudo みたいに user password で root 権限が得られるんだそうです ([memo:189])。 FreeBSD のデフォルトでは WHEELSU が有効ではありませんが、source をみると #ifdef WHEELSU ってのがいっぱいあります。 知らんかった……。

• sudo するときは、sudoers に Defaults !set_logname と書いておくと、RCS とか使うときに便利だそうです ([memo:174])。 ひさしぶりに sudo のマニュアルをちょっとながめて、手元の sudoers は Defaults syslog=auth, ignore_dot, long_otp_prompt, !set_logname にしました。 これも知らんかった……。

　 IP Filter のライセンスにまつわる問題。利用および再配布はできるが変更はできないということで、 OpenBSD source tree からは削除されてしまった。 NetBSD ML でも話題になってました。