セキュリティホール memo - 2001.08

　開発者、運用者のセキュリティ意識のあまりの低さの一端がうかがえる。

　これは SecurIT がつかんでいる情報のほんとうに一端なんだろうなあ。 やっぱり「痛みを恐れず」ドカッと公開してほしいところだ。 日本の腐った IT をぜひ改革していただきたい。

　最近ではいたるところにカスタム web アプリがありますが、 そういうやつには穴があることが多いという話。 実体はやはりそういうことのようです。 [memo:1126] セキュアなシステムの構築について から続くスレッドでも議論されてますが、 「セキュアなプログラミング」をデフォルトにするための施策が必要なんですよねえ。 まずは日本語ドキュメントかなあ、やっぱり。 [memo:1135] を見ても、圧倒的に英語文献が多いわけで。 [memo:1147] や [memo:1150] でも参考文献が紹介されてます。

　SecurIT でも数々の脆弱性を発見されているらしいのですが、 SecurIT の top 方面が情報公開を拒否しているらしいです。 そのような状況こそが、日本のネットワークセキュリティレベルを押し下げているということが理解できないのかなあ。 セキュリティなき「IT 革命」が何をもたらすのかを想像できないのかなあ。 現場で働いているプログラマー一人一人が「セキュアなプログラミング」を実行できない限り、いつまでたっても穴はなくならない (ばかりか増えつづける) と思うのだが。

• MS01-046: Windows 2000 赤外線デバイスドライバでのアクセス違反により、システムが再起動する

  詳細: IrDA semiremote vulnerability。 irda-utils の irdaping を使って生成できるパケットでブルーサンダーになってしまう。 irda-utils は Debian や Kondara には添付されているようです。 Windows 98 にはこの弱点はないとされています。

• 例のさわぎ を受けてか、ようやく MS00-075: 「Microsoft VM による ActiveX コンポーネントの制御」の脆弱性に対する対策 が改訂された。 遅いんだよなあ。

• MS00-029: 「断片化された IP パケットの組み立てなおし」の脆弱性 の Windows 95/98 版日本語 patch が MSKK からもようやくアナウンスされている。麗美さん情報ありがとうございます。

• MS01-038: Outlook ビューコントロールにより、安全でない機能が利用できる が改訂されている。 Outlook 2002 ではなんでもされ放題だが、Outlook 98/2000 では、 影響は遥かに限定的であるようだ。

　SecurityFocus.com Newsletter 第 107 号日本語版 (テキスト, 英語版)。

FreeBSD

• FreeBSD-SA-01:54.ports-telnetd

  ports の krb5, heimdal, SSLtelnet にも telnetd 穴 があるよんという話。krb5, heimdal は最新 ports では fix されている。

• FreeBSD-SA-01:55.procfs

  hsj さんが exploit を書いてらっしゃいます。

• FreeBSD-SA-01:56.tcp_wrappers

  ビミョーな違いですね。:-)

• FreeBSD-SA-01:57.sendmail

  *ALERT* UPDATED BID 3163 (URGENCY 6.58): Sendmail Debugger Arbitrary Code Execution Vulnerability (fwd) の話。

NetBSD

• NetBSD Security Advisory 2001-013: OpenSSL PRNG weakness (up to 0.9.6a)

  OpenSSL Security Advisory [10 July 2001] WEAKNESS OF THE OpenSSL PRNG IN VERSIONS UP TO OpenSSL 0.9.6a の話。

• NetBSD Security Advisory 2001-014: dump(8) exposes 'tty' group

  tty グループ権限で RCMD_CMD を実行できてしまう、ということかな?

IBM AIX

• IBM AIX Security Notification: Web site defacements

  AIX を狙ったツールをわざわざ作成された人がいらっしゃるようです。

Sun Solaris

• [memo:1071] FYI: Armoring Solaris: II

  Solaris を要塞化するためのドキュメントです。

　OpenBSD-current, FreeBSD 4.3 以前, NetBSD 1.5.1 以前, BSD/OS 4.1 以前の lpd に弱点。buffer overflow するため、remote から lpd 動作権限 (通常 root) で任意のコードを実行できてしまう。 BSD/OS 4.2 にはこの弱点はない。 この弱点を利用した攻撃を実行するには lpd が起動している必要があるため、 緊急回避措置としては lpd を停止すればよい。

　BSD/OS 4.1 と OpenBSD 2.9 は fix が発表されている: BSD/OS 4.1, OpenBSD 2.9。 FreeBSD でも既に 直っている し NetBSD でも 直っている ので早晩 advisory が発表されるだろう。

　関連:

• ISS Advisory: Remote Buffer Overflow Vulnerability in HP-UX Line Printer Daemon
  (BUGTRAQ, Tue, 28 Aug 2001 01:28:25 +0900)

  HP-UX での同様の問題。fix が出ているので適用する。

• 　CVE: CAN-2001-0670

2001.09.03 追記:

• FreeBSD-SA-01:58.lpd

• Sun Microsystems, Inc. Security Bulletin #00206: in.lpd

　[memo:1143] でも紹介されているが、ダメダメな状況の模様。 JPNIC ってどんどんダメダメになっていっているような気がするんだが、気のせいだろうか。

　日弁連自身の発表はこれ: 行政機関等個人情報保護法制研究会中間整理に対する意見書。 しょせんは総務省ということか。

　2001.08.23 の マイクロソフト製品をより安心してご利用いただくための ホームユーザー向けセキュリティ対策早わかりガイド: 修正プログラムをインストールしてセキュリティ対策を行いましょう! に追記した。 [memo:1124] を追記。

　IIS 4.0/5.0 対応の IIS lockdown tool の話。 ようやく、本当にようやく、こういうツールが出てきましたか。 というか、Code Red 級の被害が発生しないと変わらないってことなんですかね。 それではあまりにも悲しいものがあると思うのだが。 IIS 6 ではデフォルトでこうなっていてほしいものだ……が、どうなんでしょ。

　B-) さんち の IIS Lockdown Tool（2001/8/28） も参照。

　いやあ、「魂の叫び」という感じでいいですねえ。

　永遠? 根絶させることは可能でしょう。 そのためのしくみの作成がサボられているだけであって。 もっとも、アレゲな実装にするとプライバシー屋さんから文句言われるかもしれないから注意しないといけないんだけど。 やっぱ Windows Update が期待を裏切りつづけているってのがガンなような。

　現時点での最重要問題は、fix を出す前にどうするかではなく、 出した後にどうやって管理者に知ってもらうか & 適用してもらうかだと思うんだが。 Responsible Disclosure Forum は前者に関することだよね。 fix がきちんと適用されていれば、Code Red とか sadmind/IIS とか先日のプライスロトのやつとかは何の影響もなかったわけで。

　関連文書をさがしてみました:

• 米国防総省 (DoD: Department of Defence) 準拠方式: DoD 5220.22-M (DOD 5220.22-M CLEARING AND SANITIZING MATRIX [ NISPOM 8-306 ])

• 米陸軍 (US Army) 準拠方式: AR 380-19

• 米海軍 (US Navy) 準拠方式: パーソナルメディアは NAVSO P-5236-26 と書いているが、 NAVSO P-5239-26 の間違いなんじゃないかなあ。 ……あ、P-5239-26 になった。

• 米空軍 (US Air Force) 準拠方式: AFI 33-202

• 米国家コンピュータセキュリティセンター (NCSC: National Computer Security Center) 準拠方式: NCSC-TG-025, A Guide to Understanding Data Remanence in Automated Information Systems

• グートマン (Gutmann) 方式: Secure Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann, Sixth USENIX Security Symposium, 1996。 Gutmann さんのホームページには興味深いドキュメントがいっぱい。

  これ、パーソナルメディアのアナウンス文にも出てましたね > B-) さん。

　Secret and Below Interoperability (SABI) とか Federation of American Scientists (FAS) にはいろんな情報があるんですね。 「NSA 推奨方式」ってどんなのだろう。

　……森田さんから情報をいただきました (ありがとうございます):

NSA 推奨のデータ抹消形式ですが、 NetJapan が出している Data Gone と言うソフトでは以下のようになってます。
NSA 標準： 2 種類のランダムパターンとゼロを書き込む
旧 NSA 標準：すべてのバイトをゼロに設定して、ディスクを 3 回上書きする （ディスクを 1->0->1 に設定する）
だそうです。

　Gutmann さん方式ですが、「単に CPU が考えている 0/1 を書く (disk に 0/1 で書いたつもりになる) のではなく、実際に disk に書かれる状態での 0/1 を考えた上で、磁気読みとり装置でもみつけられないような情報消去を実行する」 ためにはどうすればいいか……という話のように見えます > B-) さん。

　Jetico の BCWipe for UNIX には、DoD 5200.28 と Gutmann さん方式が実装されているそうです。 wipe -bv /dev/hda とかイケるそうです。 1FD UNIX (Linux, *BSD) をつくって BCWipe for UNIX を載せれば ok ok なのかな。 Windows 版には DoD 5200.28 しかないようです。

　2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 IRIX, Vine, Turbo を追記。

　2001.08.22 の *ALERT* UPDATED BID 3163 (URGENCY 6.58): Sendmail Debugger Arbitrary Code Execution Vulnerability (fwd) に追記した。 hsj さんの exploit を試してみました。

　コンシュマー向け製品 (Windows 9x/Me, IE, Office, ...) についての、セキュリティ関連 hotfix 一覧。 すばらしい。 ただし、いくつかの最新バージョン (IE 5.5 SP2, Office 2000 SP2, ...) に関する記述がないのはいただけない。 fix を適用する必要がないならないで、そのように記述すべきだよねえ。

2001.08.28 追記:

　[memo:1124] によると、「中身のリストがよく検証されてないように思え」るそうです。

　Code Red / Code Red II は、感染先を探すのに乱数を使ったりしているが、 最初の感染を行う際に、感染可能であることがあらかじめ判明している site のリストを 50,000 サイトほど与えておけば、感染スピードは驚くほど速くできる (15 分以内) という話のようだ。

　Flash Worms: Thirty Seconds to Infect the Internet ではさらに、もっと速く、30 秒以内にできるという話になっている。 あらかじめ、全ての (!!) IPv4 address 空間を調べてしまえ、ということみたい。 いやはや。そういう意味でもやっぱり時代は IPv6 ということなのでしょうか。 なにか違うような気がするけど……。

　初代 Code Red は、さんざん騒がれた後にようやく whitehouse.gov を DDoS 攻撃しようとしたので対応できたが、 上記のような超高速拡散が本当に実現可能であれば、超高速拡散直後の、 対応不可能な DDoS 攻撃が可能となってしまうような。

　Code Red II の亜種が登場した模様です。[memo:1079] とあわせると、特徴は:

• 名前の元になった "CodeRedII" が "_________" になっている

• 攻撃アドレスマスクの変更 (オリジナルよりもランダムに攻撃する)

　sendmail 8.11.0 以降に弱点。 sendmail のデバッグ機能 (-d) で指定する整数値は tTflag() 関数において signed int として扱われているが、 -d の引数に巨大な数値を指定すると、これを overflow させることができる。 これを利用すると、local user が root 権限を得られる可能性がある。 sendmail 8.11.6 および 8.12.0.Beta19 以降で fix されている。

　OpenBSD fix: 013: SECURITY FIX: August 21, 2001。 FreeBSD: CVS log for src/contrib/sendmail/src/trace.c。

2001.08.23 追記:

　hsj さんち などに exploit 出てます。 hsj さんの exploit を FreeBSD 4.3-RELEASE で試すと root 取れました。 で、patch を試すと root 取れなくなりました。 ports の postfix を入れていたりしても /usr/libexec/sendmail/sendmail はちゃんと残ってたりするので、patch あてられない人は suid 落とすとか削除するとかしときましょう。

JPCERT/CC Alert 2001-08-21: Linux の telnetd に含まれる脆弱性に関する注意喚起

2001.08.19 の UNIX もの に載せてる話。 しかし、Multiple Vendor Telnetd Buffer Overflow Vulnerability とは異なります、ってどういう意味なんだろう。 問題点としては同じだと思うんだけど。

JPCERT/CC REPORT 2001-08-22

ここ にも書いたけど、 [2] CIAC Bulletin L-131 IBM AIX telnetd Buffer Overflow も同じ話ですよね。

　話を「port 80」「致命的」に限定すれば、やっぱ多いですよ IIS の弱点は。 port 80 は穴をあけてしまうサービスの筆頭ですし。 まあ、OS のデフォルトインストールが弱いのも火に油を注いでいるので、 IIS だけを責めてもアレなんですけどね。 逆に言えば、セキュアインストールしておけば、かなりの攻撃を防げもするわけで。 最初が肝心です。

　ところで、一度飲んでみたい Code Red なんですが、 どっか入手しやすい場所に売ってませんかねえ。

　そういえば、 Original Code Red Switching Back to DDoS Mode Today だそうで。

　Microsoft による、Code Red FAQ。 IIS 4.0 は感染するのか? 問題については 「IIS 4.0 へ攻撃が行なわれた場合には、idq.dll の未チェックバッファに書き込まれたプログラムが不正な動作を行なうため、IIS のサービスがイベントログへの記録も行なわずに停止します。この場合、ワームによる他のコンピュータへの感染は行なわれませんが、停止したサービスを復旧する必要があります」 と明記されています。

　というわけで、 「影響を受ける」は正しいが、「感染する」は間違いなのだと思います。 もちろん、IIS 4.0 でも感染する新版が登場すれば落ちるだけじゃ済みませんから、 ちゃんと hotfix (今なら MS01-044) を適用しておきましょう。

　ちなみに、hsj さんからは 「ぼくも個人的に、NT4.0 / IIS4用の.ida exploitはつくったのですが、 作成する際に、EIPへのオフセット自体は同じでしたが、 そこからshellcodeへジャンプするルーチンに変更が必要でした」 という情報をいただいています (ずいぶん前にいただいていたのですが、 紹介がおそくてすいません _o_)。

2001.09.05 追記:

　FAQ にこんな記述が追加されているし……。 もっと強くアナウンスすべきだと思うんだが。

Q. 感染するのは Windows 2000 だけですか ?
A. 本 FAQ の公開当初は、感染するのは Windows 2000 のみであることが確認されていました。 しかし 2001/8/24 現在、Windows NT Server 4.0 でも感染することが確認されています。 Code Red の種類や Windows NT/2000 の状態によっても感染の有無は変化いたします。 そのため、全ての環境で感染する可能性があると考えるべきです。

　また、IIS 3.0 は

Q. IIS 3.0 は、影響を受けますか ?
A. 影響を受ける場合があります。 Index Server 1.1 をインストールしている環境のみ影響を受けます。Dos 攻撃を受けますが、感染することはありません。

だそうです。

　IHA さん情報ありがとうございます。

　2001.08.21 の 特定WebにアクセスするとPCに致命傷，Javaスクリプトで被害 に追記した。 トレンドマイクロ情報、Un FUCK japanese、脆弱性チェックページ。

　SecurityFocus.com Newsletter 第 106 号日本語版 (テキスト, 英語版)。

　フリーソフトによるファイアウォール構築 でつくったもののテスト。hping2 の利用例なども掲載されている。

　loki / loki 2 のように ICMP を使って壁抜けを図るツールもあるので ICMP を止めたくなる気持ちはわかるのですが、 外からの ICMP を全部止めると、たとえば path MTU discovery が動かない といった障害が発生します。 フィルタはよぉく考えてから設定してください。 キツくしすぎると使えないネットワークになるかもしれません。

　あと、private address だけじゃなくて Immediate Actions Requested Of All Organizations Connected To The Internet に書いてあるアドレスからのパケットも止めたほうがいいと思います。

　昨日の [memo:1042] 新種のウイルス？ の話。関連:

• ハッカーによるプログラム改ざんに関して (Price Loto)

  ふうん、NHK で報道されたんだ。 このページ、Netscape 4.x では読めないみたい。

• 悪意ある Javaスクリプト実行による被害情報 - 特定のホームページを見た後、PCが立ち上がらなくなる - (IPA)

• HP閲覧でPC使用不能に 悪意のJavaスクリプト　IPAが警告 (MAINICHI Interactive)

• 緊急告知： Webを介して、Windowsの挙動に著しい障害をあたえる悪質なプログラムに対する対処方法 (2001/08/20) (NAI)

  ポケットニュース 8/20 によると、「ウイルス対策掲示板でAKIO氏が公開したものをそのままパクっただけのようで、間違えてる箇所も一緒（笑）」だそうだ。 ご本人も 「っていうかパクってんじゃねーよMcAfee!!!!!!!」 とお怒りです。 2ch.net のは プライスロトの不正プログラム復旧方法 かな。

• 流行のトロイの木馬 "Trojan.Offensive" 情報 (シマンテック)

  木馬ですか……フツーの web page にみせかけて、という意味ではそうなのかも。 「Norton AntiVirus 2001 の スクリプト遮断機能が有効な場合、Trojan.Offensive が動作する前に警告が発せられ、 未然に防ぐことができます」 だそうです。

• 海保システムがウイルス感染、新種の可能性 (Yomiuri On-line)

  大当り、おめでとうございます。

• Webページを見ただけなのに と McAfeeウィルス対策をコピペでぱくる (slashdot.jp)

2001.08.22 追記:

• 不正スクリプトによるシステム被害（「JS_FLUG.A」、 not for japanese dog and pig, fuck japanese） (トレンドマイクロ)

• FUCK japanese 障害回復ツール Un FUCK japanese (from [memo:1072])

• 脆弱性チェックページ (from [memo:1075])

2002.02.17 追記:

　プライスロトからのメール 。 「メディアゲート株式会社 ハッカーによるプログラム改ざんに関して」 ですって。

　なかなかにナマナマしい資料です。 崎山さんの 警察庁電子メール盗聴装置の問題点 も参照。

　なんかたまってるので……。

• [memo:909] Re: 携帯電話と POST メソッド
  (Wed, 25 Jul 2001 21:49:38 +0900)

  POST をサポートしていない携帯電話の機種リスト (DDI, J-PHONE 方面)。 古めの J-PHONE はともかく、H" の「全機種」というのはツライような。

• [memo:938] Re: サイト証明書受付時のブラウザの説明
  (Fri, 03 Aug 2001 09:51:26 +0900)

  IE のダイアログは英語版と日本語版で意味が正反対になっている、という話。 そういえば IE 5.5 SP2 にしたんだと思って、どうなったのか試そうと思ったら、 www.j-phone-shop.com さんは Thawte の証明書つきなサイトになっていた。

• [memo:954] http://www2.verisign.co.jp/
  (Mon, 06 Aug 2001 06:08:53 +0900)

  www2.verisign.co.jp 書きかえ事件。 日本ベリサインウェブサイト (www2.verisign.co.jp)に関するお知らせ (2001.08.14) が最新の報告のようです。 press room からもたどれるようにしようよ > ベリサイン。

• [memo:997] パソコン雑誌編集者は無知なのか無恥なのか？
  (Mon, 13 Aug 2001 10:44:40 +0900)

  議論は [memo:1002] Win で使える安全なメーラ という方向で継続中。 個人的には、 [memo:1016] が興味深かったです。 アウトドア 危機管理考、まだ読んでない方はぜひ。

• [memo:1006] PDFのウイルス(Peachy)について
  (Mon, 13 Aug 2001 18:55:07 +0900)

  フォロー されているように、CERT のは別の話 (SPS Advisory #39: Adobe Acrobat Series PDF File Buffer Overflow 参照)。 Peachy については outlook.pdfworm.txt を参照 (from BUGTRAQ)。

• [memo:1042] 新種のウイルス？
  (Mon, 20 Aug 2001 10:17:43 +0900)

  ウイルス対策掲示板の おそろしいこと(3) 他で話題になっていたことですが、 MS00-075 らしい ということで、もしそうなら最新の MS Java VM (= build 3802) にすれば ok です。 [memo:1054] も参照。

　2001.08.19 の Microsoft Security Bulletins に追記した。 MS01-041 fix は SRP に含まれているの間違いでした。 山下さん情報ありがとうございます。

• SNS Advisory No.39: WinWrapper Professional 2.0 Remote Arbitary File Disclosure Vulnerability

  2.0.1 で直っているそうです。

• SNS Advisory No.38: Trend Micro Virus Buster (ver.3.5x) Remote read file of IUSER authority Vulnerability

  ウイルスバスターコーポレートエディション ver.3.5x IUSR権限で読み出せる任意のファイルをリモートから読み出されるセ キュリティホールの対応について の件です。

• SNS Advisory No.37: HTTProtect allows attackers to change the protected file using a symlink

  もう 1 か月前なんだけど、ここで紹介してなかったので……。

• Code Red Cleaner v1.0

• ネットワークフィルタリングによるCode Redワームウイルス対応方法
  (from [connect24h:04015])

  CISCO の Using Network-Based Application Recognition and Access Control Lists for Blocking the "Code Red" Worm at Network Ingress Points が参照されてます。 こういうのを入れたときのパフォーマンスってどんなかんじなんでしょう。

FreeBSD

• FreeBSD Security Advisory FreeBSD-SA-01:42.signal [REVISED]

• FreeBSD Security Advisory FreeBSD-SA-01:52.fragment

  patch は 4.2/4.3-RELEASE 対応だそうです。

• FreeBSD Security Advisory FreeBSD-SA-01:40.fts [REVISED]

• FreeBSD Security Advisory FreeBSD-SA-01:53.ipfw

  ipfw 使ってる人は check しておいてください。

Debian GNU/Linux

• [SECURITY] [DSA-068-1] OpenLDAP DoS

• [SECURITY] [DSA-069-1] xloadimage buffer overflow

• [SECURITY] [DSA-070-1] netkit-telnet AYT buffer overflow

  exploit と patch: ADV/EXP: netkit <=0.17 in.telnetd remote buffer overflow

• [SECURITY] [DSA-071-1] fetchmail remote exploit

• [SECURITY] [DSA-072-1] groff printf format problem

• [SECURITY] [DSA-073-1] 3 security problems in imp

• [SECURITY] [DSA-074-1] buffer overflow in Window Maker

• [SECURITY] [DSA-075-1] telnetd-ssl AYT buffer overflow

RedHat Linux

• [RHSA-2001:100-02] Updated Kerberos 5 packages now available

• [RHSA-2001:099-06] New telnet packages available to fix buffer overflow vulnerabilities

• [RHSA-2001:098-05] Updated OpenLDAP packages available for Red Hat Linux 6.2, 7, and 7.1

　UNIX / Windows 版の HP OpenView Network Node Manager (NNM) Version 6.1, Tivoli NetView Versions 5.x / 6.x に弱点。 これらに含まれる ovactuibd に弱点があり、remote から ovactuibd 動作権限 (local SYSTEM, bin 等) でコマンドを実行できてしまう。 patch があるので適用すればよい。

　日本語版: reasoning.org、LAC。

　新規:

• MS01-043: Windows NT 4.0 および Windows 2000 の NNTP サービスでメモリ リークが発生する

  Windows NT 4.0/2000, Exchange 2000 の nntp サービスに、 メモリーリークする弱点。 大量の post によってメモリーが枯渇し DoS になる。 Exchange 5.5 にはこの弱点はない。

  patch が出ているので適用すればよい。 Exchange 2000 が利用するのは Windows 2000 の nntp サービスなので、 Exchange 2000 の nntp サービスを有効にしている場合は、Windows 2000 用 patch を適用すればよい。

  日本語版 Bulletin には Exchange 2000 に関する記述がない (英語版 V1.0 相当) ようだ。 英語版、MS01-043: NNTP Service in Windows NT 4.0 and Windows 2000 Contains Memory Leak (V1.1) を参照されたい。

  CVE: CAN-2001-0543

• MS01-044: 2001 年 8 月 15 日 IIS 用の累積的な修正プログラム

  IIS に新たな 5 つ (!!) の弱点。DoS の他、local SYSTEM 権限を得られる。 「累積的な修正プログラム」なので、過去に発見された弱点の fix も含まれている。

  URL リダイレクトが有効な場合に DoS が可能

  IIS 4.0 のみ。 Code Red affects patched IIS4 servers with URL redirection の話。

  CVE: CAN-2001-0555

  長大な WebDAV リクエストによる DoS

  IIS 5.0 のみ。攻撃を受けると、IIS 5.0 は自動的に再起動するが、もちろんその時点でのコネクションはみんなパーだ。

  CVE: CAN-2001-0508

  誤った MIME ヘッダによる DoS

  IIS 5.0 のみ。攻撃を受けると、IIS 5.0 は自動的に再起動するが、もちろんその時点でのコネクションはみんなパーだ。 なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。

  CVE: CAN-2001-0554

  Server-Side Include (SSI) バッファオーバーフロー

  IIS 4.0/5.0 両方。 長大な <!--#include file="...."--> において ssinc.dll がバッファオーバーフローするため、攻撃者は local SYSTEM 権限を得られる。 なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。

  CVE: CAN-2001-0506。 詳細: NSFOCUS Security Advisory (SA2001-06): Microsoft IIS ssinc.dll Buffer Overflow Vulnerability

  システムファイルリストによる権限昇格の弱点

  IIS 5.0 のみ。 IIS 5.0 は「常にインプロセスで実行すべきシステムファイルのリスト」というものを保持しているのだそうだ。 で、これを絶対パスだけで判断すればいいものを、 相対パスでも判断してしまっているため、攻撃者がファイルリストに一致するファイル名でコマンドを実行させると、そいつはインプロセス (= local SYSTEM 権限) で動作してしまうという。 ひどすぎ。 なお、この弱点を利用した攻撃を行うには、攻撃者は攻撃コンテンツを IIS が稼働するサーバ上に設置できなければならない。

  CVE: CAN-2001-0507

  IIS 5.0 用 patch はあるが、IIS 4.0 用はまだ。早期の登場が期待される。 (2001.08.21: IIS 4.0 用も登場した)

• MS01-045: ISA Server H.323 Gatekeeper Service Contains Memory Leak

  ISA Server 2000 に、DoS を受ける弱点 2 つ (H.323 Gatekeeper Servic, Proxy Service) と、 cross-site scripting な弱点 1 つがあるという話。 proxy server 2.0 にはこの弱点はないようだ。 CSS は [memo:941] Re: MS ISA etc. の fix。 patch があるので適用すればよい。 日本語版に適用しても ok のようだ。 ISA 2000 SP1 に含まれる。

  CVE: CAN-2001-0546, CAN-2001-0547, CAN-2001-0658

　改訂など:

• MS01-038: Outlook View Control Exposes Unsafe Functionality の Outlook 2000 / 2002 patch が出ました。 こっち に追記しました。

• MS01-033: Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される の IIS 4.0 patch が改訂され、NEC98 版も登場しています。 また、個別 patch ではなく SP6a + Post Windows NT 4.0 SP6a セキュリティロールアップパッケージ (SRP) の適用が推奨されています。

  Windows XP については RC1 で fix されているそうです。

• SRP については、 Windows NT 4.0 セキュリティロールアップパッケージ適用後 STOP 0xA 発生 という事例もあるようなので、十分注意して適用することが必要です。 SRP のページの書かれ方を見ると、 Compaq でなくても発生しているという報告があるようです。 また、NT4 post SP6a +SRP breaks BlackIce という話もあります。BlackICE 利用者は注意してください。

• MS00-094: 「電話帳サービスバッファオーバーフロー」の脆弱性に対する対策 の NT 4.0 patch が出ています。 SRP に含まれてますが。

• MS01-041: 不正な RPC リクエストがサービスを異常終了させる の NT 4.0 patch が出ています。 SRP に含まれてません。

  2001.08.20 追記: MS01-041 fix は SRP に含まれているの間違いでした。 Windows NT 4.0 SP6a のセキュリティロールアップパッケージ には記載がないのだが、MS01-041 (日本語、英語) や Q299444、 JP299444 には記載がある。 山下さん情報ありがとうございます。

　Microsoft Internet Security and Acceleration Server 2000 に弱点。 Cross-Site Scripting 問題があり、しかも Microsoft はそれを即座に修正するつもりがない。 「クリックさせない限り成功しない」 なんて言いわけが通用しないことは、それこそ Outlook/OutlookExpress 系列でさんざん判明しているはずにもかかわらず、まだそういうことを言っている。 insecure by default、はいいかげんやめてほしい。

2001.08.19 追記: MS01-045: ISA Server H.323 Gatekeeper Service Contains Memory Leak で fix された。 patch があるので適用すればよい。 日本語版に適用しても ok のようだ。

　とりあえず、 最新の virus 定義データにしたうえで virus check してからでないと添付ファイルは開けちゃダメなのは Outlook/OutlookExpress じゃなくても同じですし。 IE 5.01 SP2/IE 5.5 SP2 の OutlookExpress なら、メールは制限つきゾーンで扱われて、ActiveScript は動かなくなるはずです。 制限つきゾーンの設定はデフォルトよりもさらにガチガチにしたほうがいいのは確かですけど。

　MS 製品が「便利さ」を優先してセキュリティとか管理とかはそっちのけだった、ってのは確かにあって。 で、後付けしようとするんだけど、「互換性」とか言うひとがいるので後付けもなかなかすすまない、ってのも事実でしょう。 ってのは Windows 2000 の c:\ を見れば明らかなわけで。 アレを見るたびに虚しさを覚えます。

　最近の MS は「secure by default」とか言っているようなのですが、 [memo:941] を読むと「ダメだこりゃ」とか思ったりするわけで。 「secure by default」を末端まで浸透させないと。 鎖はいちばん弱いところから切れますから。

　個人的には、デフォルトでは添付ファイルも HTML メールも読めないような MUA を使ってます。 安全側に倒れたいのなら、そういう「不便な」MUA を使ったほうがいいのは確かだと思います。

　buffer overflow が発生するため、oracle group ユーザが root 権限を得られたり、 local user が oracle ユーザ権限を得られたり、local user が oracle ユーザ所有のファイルを読めたりするという指摘。

• vulnerability in oracle binary in Oracle 8.0.5 - 8.1.6

• vulnerability in otrcrep binary in Oracle 8.0.5.

• Local Vulnerability in dbsnmp binary in Oracle 8.1.6 - 8.1.7 - 9i

TurboLinux

• man: heap overflowによるman実行権限の剥奪

  Man -S Heap Overflow Vulnerability の話かな。

• groff: lpdを経由したgroffコマンドの利用

  ADV/EXP:pic/lpd remote exploit - RH 7.0 の話かな。

• xinetd: buffer overflowによるroot権限奪取 及び サービス停止攻撃

  xinetd 2.3.0 bug の話かな。

• telnet: buffer overflowによるroot権限奪取

  multiple vendor telnet daemon vulnerability の話かな。

FreeBSD

FreeBSD Security Advisory FreeBSD-SA-01:51.openssl [REVISED]

訂正版。

Sun

Sun Security Bulletin #00205: in.ftpd

[COVERT-2001-02] Globbing Vulnerabilities in Multiple FTP Daemons の fix。遅すぎ。

　Code Red の新種 "Code Red II" が登場し、活発に活動中の模様。 "Code Red II" は、単に感染する/させるだけでなく、 local SYSTEM で動く backdoor の (かなりしつこい) 植えつけが含まれ、 悪質さはさらに増している。 このため、"Code Red II" によるアクセスログを見るだけで、 使い放題の shell account が手に入るという、とんでもない状況になっている。 Code Red v1/v2 と Code Red II は全くの別物なのでご注意。

　なお、いままでの亜種が Code Red version 1 (CRv1)、Code Red version 2 (CRv2) と呼ばれてきたため、"Code Red II" は Code Red version 3 とか "Code Red III" と呼ばれる場合もあるようです。

• SecurityFocus Code Red II Information Headquarters (SecurityFocus)

  読みやすい PDF 文書です。

• CodeRedII - New non-variant codered worm - Analysis. (incidents ML)

  this second worm is _NOT_ a variant of the first CodeRed worm と明記されている点に注意。 This worm, like the original Code Red worm, will only exploit Windows 2000 web servers because it overwrites EIP with a jmp that is only correct under Windows 2000. Under NT4.0 etc... that offset is different so, the process will simply crash instead of allowing the worm to infect the system and spread というわけで、Windows 系 mailing list では思い出したかのように 「最近、IIS がひんぱんに停止するのですが……」 という話題が登場するわけですね。 http://www.eeye.com/html/advisories/coderedII.zip に詳細があるそうです。

• hash's Security Alert 2001-02: Code Red IIについての警告 (reasoning.org)

  橋本さんによる Code Red II の分析とまとめ (橋本さん情報ありがとうございます)。 reasoning.org と CERT Advisory迅速和訳計画 を定番情報源とアンテナに追加しました。

• トロイの木馬を仕掛ける新種の「Code Red」ワームが猛威 (日経 IT Pro)

• "Code Red" Worm の変種に関する注意喚起 (JPCERT/CC)

• 「Code Red ワームに関する情報」 -- 新種の Code Red IIに注意を -- (IPA)

  機種依存文字はやめてほしいっす。 (しまった、さっきおはなししとけばよかった……今日はなにしろ眠いので……) ……なおってますね。

• codered.v3 (シマンテック)

  Code Red II の動作詳細。スレッド 300 個とか 600 個つくっちゃうそうで。 Windows File Protection を無効化するなど、かなり悪質。

  警告文書: 株式会社シマンテック、 さらに悪質なCodeRedワームの変種を警告 −バックドア型トロイの木馬を仕掛けるCodeRed.v3−

  NAI のもの: W32/CodeRed.c.worm

• Code Red (II) (incidents.org)

  Handler's Diary: Date 8/04/01 も参照。 http proxy での reject 方法なども記述されてます。 透過型 proxy を利用している組織もあると思いますが、 適用を考慮してみてください。

• CodeRed Scanner from eEye Digital Security (eEye)

  version 2.0 出てます。

• 関東地区ZOOTサービス速度障害について (interlink)

  常時接続系方面はのきなみ DDoS 状態になっている模様。

• RTシリーズのTCP/IPに関するFAQ: WWWサーバ機能の脆弱性(ぜいじゃくせい) ([memo:948])

  RT80i/RTA50i の web サーバ機能が Code Red による攻撃を受けると、 ルータがリスタートしてしまう。 最新ファームで対応済み。

• [infusers 2876] CodeRedワームに関して ([memo:952])

  MUCHO-E シリーズでもルータリスタートが発生する模様。 リモートアクセス禁止スイッチを ON にするか、 フィルタリングで逃げる。

• Code Red騒ぎでCode Redソーダが絶好調 (ZDNet)

  これ、日本でも売ってるんですか? 日本では、Mountain Dew 自身あまり見かけないような気がするんですが。

　なお、これまでの状況については以下を参照:

• Initial analysis of the .ida "Code Red" Worm (2001.07.18〜)

• CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm (2001.07.30〜)

　他人事ではない人はけっこういるでしょう。 「一方，Covington教授は，この件が原因で人々がジョージア州に悪いイメージを持つのではと心配している」、当然の心配ですが、もう遅いような気が。

　2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm に追記した。 現在の状況、関連記事など。

　「教職員への教育」というのは、常に後手にまわるものですね。 ガセネタやウソを説いてまわる「エラい先生」や「自称パワーユーザー」、 アヤしいシステムを構築しようとする「信じられないエンジニア (通称 SE)」も少なくありませんし。

　MS01-035: FrontPage Server Extension のサブコンポーネントが未チェックのバッファを含む の patch を適用後、 Windows 2000 Advanced Server SP2 の IIS MMC で server extensions tab をクリックすると IIS MMC が落ちてしまうという話。 MS 自身 patch にマズいところがあった事を認めているが、 MS の推奨は「patch 適用」ではなく「Visual Interdev RAD 自身のアンインストール」 だそうだ。 そうなんだろうけど、そういうこと言うなら IIS インストールのデフォルトで check 入れないでよねえ。

　tcpdump は current で直っているんですって。

　2001.07.30 の CERT(R) Advisory CA-2001-23 Continued Threat of the "Code Red" Worm に追記した。 関連記事、anti-virus 各社の対応、など。

　2001.07.19 の multiple vendor telnet daemon vulnerability に追記した。 MIT Kerberos, AIX の情報を追記。