セキュリティホール memo - 2001.11

　業界擁護で go ということですかねえ。景気は下向きだしテロテロだし。 兵器メーカはウハウハだろうけど。

　あいかわらず来てますしねえ。.ne.jp なアドレスが多いなあ。

　2001.11.29 の *ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability に追記した。CERT Advisory 登場。オフィシャル fix への link も記載されています。

　まだ正式には何も書かれていませんが、どうやら -nosum をつけなくても ok な模様です。Windows 2000 SP2 / Windows NT 4.0 SP6a + SRP 日本語版で確認しました。 stksecure.exe の更新状況については、これまたアンテナで見れるようにしておきました。

2001.11.30 追記:

　ちなみに、今 get できる stksecure.exe に入っている stksecure.xml には

<?xml version="1.0" encoding="Shift_JIS"?>
<BulletinDatastore DataVersion="1.0.1.165" LastDataUpdate="11/14/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory=".164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">

とか書いてあります。mssecure.xml (英語版) の方はこうです:

<?xml version="1.0"?>
<BulletinDatastore DataVersion="1.0.1.167" LastDataUpdate="11/20/2001" SchemaVersion="1.0.0.11" LastSchemaUpdate="6/6/2001" ToolVersion="3.2" RevisionHistory="167 includes data for 01-056 .165 includes data for 01-055 for all IE versions. .164 includes data for 01-055 for IE6. .161 includes 01-054. .159 includes Mac IE bulletin and has been revved for toolversion 3.2 .156 includes Win2K patch for 01-052. .155 includes 01-052 for NT4 TS only. Win2K patch not released yet. .153 added Windows XP products .152 added 01-051 and shell32.dll removed from 01-041 due to conflicts with active desktop on NT4">

　Internet Explorer allows reading of local files by remote webpages の話。今度は BASE64 encode ですか。対策は ActiveX の停止だそうだ。

　IOS version 11.2P 以降で利用できる Cisco IOS Firewall Feature Set に弱点。 ip inspect を利用している場合に、packet の src/dest IP address/port は check するのだけど、IP protocol type を check していない。 問題となる IOS version と fix については上記 link 参照。

　Vulnerability Note VU#362483: Cisco IOS Firewall Feature Set fails to check IP protocol type thereby allowing packets to bypass dynamic access control lists (CERT/CC)

　[RHSA-2001:157-06] Updated wu-ftpd packages are available の話、詳細情報が開示されました。というか、 Linuxサーバに「深刻な」セキュリティホール——早期の情報公開で各社混乱 (ZDNet) などからすると、RedHat が先走ったためにしかたなく開示された模様。

• Oops! Linux Bug Escapes Early (SecurityFocus)

• CORE-20011001: Wu-FTP glob heap corruption vulnerability (bugtraq)

• Vulnerability Note VU#886083: WU-FTPd does not properly handle glob command (CERT/CC)

• WU-FTPD 2.6.1 diff glob.c patch (bugtraq)

• wu-ftpd-2.6.1.fix2.patch (wu-ftpd-2.6.[01] に関するメモ)

• FreeBSD wu-ftpd port: patch-ap が更新された。

2001.11.30 追記:

　CERT Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD (CERT/CC)。 CA-2001-33 reasoning.org 邦訳版。 オフィシャル fix への link も記載されています。 (reasoning.org さん link ミスってます、2001-32 に向いてます)

　また、wu-ftpd-2.6.[01] に関するメモでは wu-ftpd-2.6.1.fix3.patch が登場している。

　Microsoft オフィシャル情報登場。他のもまとめておきます:

• CERT/CC Incident Note IN-2001-13: "Kaiten" Malicious Code Installed by Exploiting Null Default Passwords in MS-SQL

• CERT/CC Vulnerability Note VU#635463: Microsoft SQL Server and Microsoft Data Engine (MSDE) ship with a null default password

• SQL Server Security Checklist

• MS SQL Worm: More Information (incidents.org)

• SQL Serverを狙うハイブリット型DDoSワーム (ZDNet)

• マイクロソフトSQLサーバーを狙ったワームが蔓延中 (NetSecurity)

　FBI，トロイの木馬を使った電子傍受ツール「Magic Lantern」を開発 (ZDNet) の話。やはり、こういう話が出てくるわけですね。 FBIウィルスはアンチウィルスにひっかからない?! (slashdot.jp) から参照されているモノでは NAI ではなく Symantec が、ということになっている。 まあ「米国製 anti-virus メーカ」ということなのでしょう。 US soft の backdoor については EU は神経とがらせているはずですが、 一方の EU だってそのテのことをやっているかもしれず。

　というわけで、ロシア製や韓国製などもおりまぜて cross check するのがよろしいかと。って、そんなにたくさんは入れられないしねえ。 anti-virus software そのものに backdoor が装備されている可能性だってあるわけで。

　Badtrans.B も MIME 的に壊れた状態で届くことがあるらしい。 それは InterScan VirusWall を通過してしまう。 「この添付ファイルのエンコード情報はMUA（メーラー）側でも正常にデコードされない」 って書いてあるけど、どのような MUA で確認したんだろう。

　ウイルスバスター 2001 の「メール検索機能」を有効にしていると、 Aliz.A 受信時にタイムアウトしてしまう模様。 ウイルスバスター 2002 では発生しない。「サポート期間内であればアップグレードは無償」だそうだ。 2002 にできない場合は、 一旦メール検索機能を無効として受信して回避し、受信後ふたたび有効にする。

　Aliz さんはちょっと壊れ気味なようで、 いろいろとトラブルを誘発してくれているようです。 robust なプログラムはちゃんと耐えられているようなのですが。

　qmail-scanner で Aliz.A ウィルスを見落とすことがあった模様。 Sophos/sweep には罪はなく [memo:2031]、 maildrop-1.3.6 で fix されている [memo:2032] そうです。

　memo ML web archive の thread 画面、なんかちょっと変だな。

　対象は Norton AntiVirus for Gateways 2.[125].x NT/Solaris と Norton AntiVirus for Firewalls 1.x。詳細不明。 実際に利用しているところでは身をもって理解できているのかな。 あいかわず Badtrans.B はバシバシきてますしねえ。

　……Aliz.A / Badtrans.B 共に、Norton AntiVirus for Gateways 2.5.1.16 / for Firewalls 1.5.0.69 で対応されたそうです ([memo:2034])。 それにしても、こういう重要な情報が top page に掲載されないというのはどういう神経なのだろう。

　「Badtrans.B」ウイルスが猛威，生かされないNimdaの教訓 (日経 IT Pro) なんて記事も出てますね。

2001.12.04 追記:

　続報: [memo:2112]。 2重エンコードだそうです。 [memo:2096]、Symantec はセキュリティ update に金を取る会社な模様です。

　そういえば、Symantec だけじゃなく NAI Webshield SMTP for WinNT MIME header vuln that allows BadTrans to pass (と フォロー1、フォロー2) なんて記事も出てますね。

　Vendors For WU-FTPD Please Read の件か? An overflowable buffer exists in earlier versions of wu-ftpd. An attacker could gain access to the machine by sending malicious commands だそうだ。

　freebsd-security ML にこがさんが RedHat patch を投稿されていらっしゃいます。 wu-ftpd 2.6.1 に適用すると for (pe = ++p; *pe; pe++) を for (pe = ++p; *pe; pe++) { にするところだけ reject されますが、 これは execbrc() への変更です。こんなかんじ:

--- glob.c.orig Fri Jan 19 14:06:31 2001
+++ glob.c      Wed Nov 28 12:57:38 2001
@@ -298,7 +298,7 @@
 
     for (lm = restbuf; *p != '{'; *lm++ = *p++)
        continue;
-    for (pe = ++p; *pe; pe++)
+    for (pe = ++p; *pe; pe++) {
        switch (*pe) {
 
        case '{':

　ftpd ML には wu-ftpd 2.6.1 にそのまま適用できる patch も (これまたこがさんから) 投稿されています。 wu-ftpd-2.6.[01] に関するメモ にはまだ掲載されていないみたい。

　ポリシー重要なんですけど、………手元の組織では (以下略)。

　高木さんのセミナー資料はこちら。

　たとえば関西方面に高木さんをお呼びしてセミナー開いていただけたら、人集まりますかねえ。高木さんに限らず、有名人をお呼びすること自体はそれほど難しくないと思うのですけど、問題は、人が集まらないってことなんですよねえ。 という話を先日も office さん / たりきさんとしていたのでした。

　2001.10.12 の シマンテックのツールにセキュリティーホール に追記した。日本語版の LiveUpdate 1.63.12 が配布されています。

　なんか、続きますねえ。だいじょうぶなのか > JPNIC。 (あまり人のことが言えないモード)

• 20011103-01-I: Various shells create temporary files insecurely

  CERT/CC Vulnerability Note VU#10277: Various shells create temporary files insecurely when using << operator の話。なんかスゲー古い話のような気が。

• 20011102-01-I: Netscape Directory Server contains multiple vulnerabilities in LDAP handling code

  CERT(R) Advisory CA-2001-18 Multiple Vulnerabilities in Several Implementations of the Lightweight Directory Access Protocol (LDAP) の話。patch があるので適用する。

• 20011101-01-I: Multiple Local Sendmail Vulnerabilities

  RAZOR advisory: multiple Send mail vulnerabilities の話。 restrictqrun を追加しましょう〜、という内容。

　まあ、そーゆー OS ということで。

　おぉ。 FreeBSD の su は PAM 見てなさそうっぽいので、これ欲しいかも。 って他の Linux distrib. では既に実装されてたりするんだろうか。 …… HEAD ブランチの su は PAM 見てるみたい。

　Albania, Armenia, Austria, Belgium, Bulgaria, Croatia, Cyprus, Estonia, Finland, France, Germany, Greece, Hungary, Italy, Moldova, the Netherlands, Norway, Poland, Portugal, Romania, Spain, Sweden, Switzerland, "the Former Yugoslav Republic of Macedonia", Ukraine and the United Kingdom. Canada, Japan, South Africa and the United States が署名した模様。

　あ、IIS 4.0 ですか > press.coe.int。

　[memo:1912] の Outlook Express ハングアップ問題を JWNTUG Newsletter にそのまま載せてしまったために DoS 攻撃になってしまった件 (T_T) の FAQ。 (お詫びと訂正 _o_)。 マズい mail の削除方法とかもあります。

　どうやら、Outlook Express のバージョンではなく Internet Explorer のバージョン (5.5 / 6) が問題な模様。

　SQL Worm ネタ。 やられる前に check しましょう。 関連: SQL Serverを狙うハイブリット型DDoSワーム (ZDNet)

　[memo:1955] 特定のPNGでNetscape6.2がクラッシュ の話。QuickTime plug-in を使って png を処理する状態 だと回避できるようです。 って UNIX 版だと無理のような。

　brute-force attack でセッション ID を get できるという話。 弱々なものが多いのだそうです。 TCP/IP の教訓って生かされてないのね。歴史は繰り返す?

　iDEFENCE.co.jp さん、日本語版出してくれないかなあ。

2002.03.26 追記:

　翻訳版が出たのはいいけど、なんと売りもの: 「セッションIDの脆弱性」についての解説資料を販売開始 (netsecurity.ne.jp)。

　apache 1.3.x でのセキュリティ問題の概要。 SecurityFocus vuln. database (+ これ) と見比べてみるのも一興かと。

　SecurityFocus.com Newsletter 第 119 号日本語版 (テキスト, 英語版)。

　「システム管理者が使用するＩＤとしてデフォルトが"sa"になっておりパスワードは設定されていない」って……。いやはや。

　Outlook Express 5.x/6 に <" http://www.testtest.co.jp/ "@www.testtest.co.jp> と書いたメールを送ると、これをプレビューしたときにハングしてしまう。 さらにハングったままメモリリークするようで、ほっておくとどんどんメモリを食いつづける。 3 月に MS に知らせたがなしのつぶての模様。 http: の他、file: や ftp: などでも同様の模様 [memo:1921]。

　2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。

　フォローにもあるが、こんな内容で何を判断・検証せぇと言うのだ。 どうしようもないぞ。

　謎と言えば、Vendors For WU-FTPD Please Read も謎ですね。どうせ ProFTPD に移行しようと思ってたので作業開始してますが。

　Nimda, SSH1 CRC-32, MS DNS の cache 汚染, DoS 攻撃の動向, UNIX Security Checklist v 2.0 (かわぐちさんの邦訳版)。 かわぐちさんにはげましの feedback をおくろう。

　HP-UX 10.x, 11.x の rlpdaemon (ふつうの UNIX で言う lpd) に弱点。特殊な印刷要求を出すことによって、 remote から rlpdaemon 動作権限 (= root) で任意のファイルに書き込めるため、 結果として root 権限を奪取できる。 rlpdaemon はデフォルトで起動しているのだそうだ。

　対応としては、patch を適用する。 rlpdaemon を利用していないなら、止めてしまってよい。

　CERT オリジナル、LAC 邦訳版、CIAC M-021

2001.12.18 追記:

　詳細: HP-UX setuid rlpdaemon induced to make illicit file writes。 なぜか「バッファオーバーフロー」として紹介していたので記述を修正。

　状況依存で Policy Editor あるいは Security Template Editor snap-in を利用した権限設定がリセットされてしまうそうです。

　パスワードリセット時、監査を設定していても成功/失敗にかかわらず監査イベントが発生しない、という話の模様。SP3 で fix ですって。

　""><script>alert(document.cookie)</script>" というちょっとヒネった方法を使うとあらまあ不思議、Cross Site Scripting がゾロゾロという話 (かな)。 解決策としては ", >, <, ' をフィルタ / quote するべしとされている。 高木さんの調査で green だったところでも、こちらでは red かも。

　サイバー犯罪条約 (夏井氏による 仮訳 ) に関する崎山さんのコメント。

　これが「secure by default」などと叫ぶ会社のやることか? なんのつもりなのだいったい……。

　FTP Serv-U 3.0 に弱点。 管理クライアントから FTP Serv-U に接続するときに S/Key One-Time Password を使うように設定している場合に、管理クライアントが FTP Serv-U からの S/Key challenge を無視してパスフレーズをそのまま平文でネットワークに流してしまうのだそうで。 fix はまだないそうで。

　(下) はこちら。 そういえば、セキュリティ・コンファレンス 2001 での高木さんの セッション資料 (ただし空白ページ多数) も公開されてます。 あと、[memo:1904] メールマガジンのセキュリティ (Re: 虚偽の個人情報保護方針) もダメダメ web アプリという意味では同じですね。

　そこらじゅうでアレゲであることは間違いないようです。

　パスワード管理ツールを使うのはいいけど、 パスワード管理ツール自体の安全性は誰が保証してくれるのだろう。 詳細不明な「パスワード管理ツール」を使うくらいなら、 plain text に書いた上で、 GnuPG のような open かつ広く利用されている暗号化ツールで暗号化した方がいいような気が。 運用はちょっと手間だけどね。

　あ、Project Ägypten なんてできてるし。

　セキュリティ・スタジアム 2001 な記事。 読み読み……。ふむん。 そういう意味では「3 分でできる IE / Outlook Express のセキュアな設定講座」みたいなプレゼンがあってもよかったのかな。

　セキュリティ・スタジアムは楽しいイベントでしたし、来年もあるといいね。 (と、あたりさわりのない言い方をしておくテスト)

　ネタ box に入りっぱなしになっていた……。もう 1 か月以上前なんですが。 うだうだ説明するよりも読んで頂いた方が早いので:

• [memo:1188] 虚偽の個人情報保護方針

• [memo:1706] Re: 虚偽の個人情報保護方針

• [memo:1709] Re: 虚偽の個人情報保護方針

• [memo:1715] Re: 虚偽の個人情報保護方針

　Sun のやつだけ今見てみましたが、変ってませんね……。 サンのオンラインプライバシーに関するポリシー にある「ただし、法的に必要な場合を除きます」に該当するとは考えられないしなあ。privacy@sun.co.jp に mail すると、何か反応あるんだろうか。

　あーらくらく。

• Red Hat Linux 7.1 General Advisories: Updated pam and usermode packages available(RHBA-2001:149-14):

• Vine Linux 2.x/i38: ●2001,11,19● lpr にセキュリティホール

• Vine Linux 2.x/i38: ●2001,11,19● xloadimage にセキュリティホール

　このページもはいぱ〜日記システムに移行しようかなあ。 こういうの とか強力そうですしねえ。 いまいち見え方が気に入らないんだけど……。 CSS とかでカスタマイズできるのかなあ。

　ツール 3 本。

• iXsecurity.tool.smbproxy.1.0.0

• iXsecurity.tool.smbat.0.9.3

• PERL based MS-SQL username/password checker

　いやあ、こんなおもしろい話があったとは。全く見逃してました。

　そして日本には、まだ NIPC に類する組織すらないという事実を考えると……。 何かができたとして、その成果を上げはじめるまでに何年かかるやら。 役所がどこも伏魔殿であることは日米を問わないだろうし。

　RunAs ネタ 3 本です。

• RADIX1112200101 RunAs Service Pipe Authentication Failure

• RADIX1112200102 RunAs Sensitive Data Exposure

• RADIX1112200103 Denial of Service Vulnerability in Windows 2000 RunAs Service

　MS サンは RE:Radix Research Reports RADIX1112200101, RADIX1112200102, and RADIX1112200103 で

1. RADIX1112200101 を実行するには Administrator 権限が必要だから、 そもそもそこに至ってはなんでもありだよね、だそうで。

2. RADIX1112200102 も、MS さんは Administrator 権限でしか再現できなかった模様。問題発見者は sample code は提供しなかった模様。

3. RADIX1112200103 は RunAs サービスそれ自身のみへの local machine からの DoS 攻撃を示しているだけで、それ以外への影響はないから極めて限定された効果しかない、としている。

　なので、確かに直さなくちゃいけないのだけどそれは簡単ではないし、 Windows 2000 SP3 での fix とあいなったそうな。

　ルータ自身の local broadcast interface 宛、あるいはグローバル NAT エントリー宛の ARP リクエスト/リプライを送る。 すると、Cisco IOS はその ARP リクエストに書かれた偽の MAC アドレスを、 そのままルータ自身の ARP テーブルに書き込んでしまう。 このため、この ARP エントリが破棄されるまでルータは DoS 状態に陥る。 対象となる機器・IOS/CatOS バージョンは多岐にわたるので上記 URL を参照のこと。

　acl "bogon" がちょっとふつうでないあたり注目? class A ってほんとにこういうふうなの? ほんとなら「オラオラァッ! アドレスいっぱい空いてんじゃ〜ん。とっとと固定アドレスよこしなっ!」って感じするんだけど。

　2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 もうひとつの cookie 問題の公開、 オリジナル問題の発見者による状況公開。

　UNIX では予約済みポート (reserved ports; 0〜1023) という概念があり、 これらは root 権限がないと扱えないが、 NT 4.0 TSE 環境では誰でも何の問題もなく扱えてしまうねという話。 TSE 環境のように「ふつうマルチユーザ」だと、この仕様は困りますね。

　2001.11.13 の CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する に追記した。 関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する。

　2001.11.09 の MS01-054: 無効なユニバーサルプラグアンドプレイのリクエストがシステムのオペレーションを妨害する に追記した。 Me 用新 patch 登場 (麗美さん感謝)。

　MS01-055 patch を適用すると、HTTP_USER_AGENT に Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461) なんて感じで patch 情報が流出してしまうという話。 IE 5.5 SP2 だと Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; T312461) となる [memo:1891]。

　これは HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform にあるレジストリ値が反映されたもの [memo:1892] で、Post Platform のかわりに Pre Platform に値を入れると Mozilla/4.0 (compatible; MSIE 6.0; FooBarBaz; Windows NT 5.0) なんてこともできるそうだ [memo:1894]。

　ActiveState ActivePerl 5.6.1 build 629 以前に弱点。 perlIS.dll が長いファイル名によって buffer overflow してしまうため、これを利用している web アプリなどを経由して、remote から任意のプログラムを実行できてしまう。 権限は、IIS 4.0 上なら SYSTEM、IIS 5.0 上なら IWAM_machinename。 Apache や Sambar などでも SYSTEM じゃないかな。

　build 630 で fix されているので、利用している場合はおおいそぎで入れかえる。 しかし、 Build 630 ChangeLog には何も書かれてないような気が。 また対応策として、perlIS.dll ISAPI エクステンションの設定で「Check that file exists」を有効にする、が挙げられている (どうしてデフォルトで on じゃないの?)。

　CVE: CAN-2001-0815

　FREAK SHOW: Outlook Express 6.00 と同様、OE 5.5 でも text/plain な mail でスクリプトが実行されてしまうという話。 しかも、「本文が60文字（正確には60バイト）までだとスクリプトを実行して、それ以上だとスクリプトを実行しない」という謎な状況。 メールを開いた時点で攻撃が成功してしまうので始末に悪い。

　回避策として、Yoshida さんは「インターネット ゾーンのアクティブ スクリプトを [無効] に」とおっしゃっているが、ここはやっぱり

• [ツール] メニューの [オプション] を選択し、

• 表示された [オプション] ウィンドウから [セキュリティ] タブを選択し、

• 「使用する Internet Explorer セキュリティゾーンを選択してください」 を [制限付きサイト ゾーン] に設定

したうえで、制限付きサイトゾーンのアクティブ スクリプトを [無効] にするのが吉のような。IE 5.01 SP2 / 5.5 SP2 / IE 6 以降は、制限付きサイトゾーンのアクティブ スクリプトはデフォルトで無効だったんじゃなかったかな。

　Yoshida さん情報ありがとうございます。 あちらの方も期待してます。(^^)

　関連: Full Disclosure (crypt-gram 2001.11)。 ZDNet News 版 (日本語版出るといいね)。

　なんか、タイトル「壮大なセキュリティプランを立てるマイクロソフト」と中身が一致しないような気がするんだが、もともとこういうタイトルだったのかなあ。 原文 link ほしいぞ。探すの疲れるし。

　2001.11.09 の MS01-055: Cookie Data in IE Can Be Exposed or Altered Through Script Injection に追記した。 patch 登場。MS01-055 の他、MS01-051 の積みのこしもあわせて fix されている。 のだが、しかし……。 (たくさんの方から情報いただきました。ありがとうございます)

　欧州評議会「サイバー犯罪条約 案（確定版）」 [仮 訳] あるんだ。すばらしい。助かるなあ。

　「本条は，本条第1項に示す……中略……行為が，コンピュータ・システムの権限に基づく試験又は保護のためになされる場合のように，本条約 第2条ないし第5条により設けられる犯罪を実行するためになされるのではない場合には，刑事責任を課すものとして解釈してはならない」 だそうなので、つくる側としてはそういう banner でも出しとけばいいんですかね。 その banner を office さんの「ライセンスハッキング」的に処理された場合どうなるかは知りませんが。

　構築に入る前に、簡単なものでもいいからまずポリシーをつくろう、という話。

Debian GNU/Linux

• [SECURITY] [DSA 086-1] New versions of ssh-nonfree & ssh-socks fix buffer overflow

  CERT Incident Note IN-2001-12 の話。

RedHat Linux

• [RHSA-2001:148-09] Red Hat Linux 7.1 Korean installation program creates files with bad umask

  kawa さんち参照。

OpenBSD

まだ見ぬ OpenBSD 3.0 の security fix、 A security issue exists in the vi.recover script that may allow an attacker to remove arbitrary zero-length files, regardless of ownership などが掲載されています。

Sun

• #00212: rpc.ttdbserverd (CERT Advisory CA-2001-27)

  ISS Security Advisory: Multi-Vendor Format String Vulnerability in ToolTalk Service 参照。

HP

• HPSBUX0111-175 Sec. Vulnerability in dtspcd

  CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する 参照。

　SecurityFocus.com Newsletter 第 118 号日本語版 (テキスト, 英語版)。

　IE 5.01 って、October 28, 2001 で hotfix 開発終了してたんですね。 いやはや。Windows 2000 SP3 には IE 6 が添付されたりするんだろうか。 それとも、Extended が N/A だから、まだまだ続くということなんだろうか。よくわからん。

　Windows 98 や NT 4.0 も、そろそろなんだなあ。

　流行っている ssh1 CRC32 overflow bug 攻撃の解析結果。

　tooleaky 同様、Personal Firewall を越えられるプログラムの実例。 関連報道: ファイアーウォールを導入しても個人情報流出 (CNET)。

　CDE の dtspcd にバッファオーバーフローする弱点。remote から root 権限で任意のコマンドを実行できてしまう。 ISS: Multi-Vendor Buffer Overflow Vulnerability in CDE Subprocess Control Service 。 CVE: CAN-2001-0803。

　dtspcd というと、 CA-1999-11 Four Vulnerabilities in the Common Desktop Environment (LAC 邦訳版) というのもありましたね。 CDE 全体ではもっといろいろ出てますし、 なにしろ今回の弱点、1999.03 に発見されて、いまだに fix がないベンダーが多いと言うのですから呆れます。

2001.11.14 追記:

　HP: HPSBUX0111-175 Sec. Vulnerability in dtspcd

2001.11.19 追記:

　関連記事: UNIXのGUI環境「CDE」で発見されたセキュリティホールを解説する (日経 IT Pro)

2001.12.26 追記:

　Sun fix: Buffer Overflow in CDE Subprocess Control Service (dtspcd)。 荒木さん情報ありがとうございます。

　「毎年のようにバージョンアップを繰り返すシステムは危険」、有名メーカ アンチウィルスものや Linux, *BSD は全滅、と。 「ライバル製品と同時期に発売している製品は危険」、 これまた同様、と。 「セキュリティホールが繰り返し報告されるシステムを開発している企業は危険」、Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。 「新しいシステムは未知の危険がある可能性がある。しばらく様子を見るべきだ」、古いシステムはメンテされなくなる可能性があるからダメだしなあ。 「人材の異動が激しすぎる企業の製品は危険」、TurboLinux 方面は社長変りすぎ、と。 「不要な機能を多数備えたシステムは避けた方が無難」、 やっぱり Microsoft、Apple、Linux ディストリ、*BSD は全滅、と。 「長く使われていて改変のないシステムは比較的安全」、 そんなものどこにあるの?

　結論はなんだろう。「AS/400 を使え」か?

　Microsoft, Guardent, @Stake, Bindview, Foundstone, ISS ですか。 「穏健派」:-) ですかねえ。 eEye とか SecurityFocus といった「過激派」:-) が含まれてないでは、 実質上、現状と何も変わらないような気が。 ちなみに、Russ 氏のは Proposal - The Responsible Disclosure Forum です。

　いちばんアレゲな点は、発見者がまともに動いても、vendor がまともな反応を返す保証なんてどこにもない、という部分のような気が。 「それは仕様です」で終りになったらどーすんの?

　まあそれでも Microsoft は実はずいぶんマシな方で、Sun なんか……ねえ。 たとえば、それなりな日本語 Advisory がすばやく出てくる会社というのは、実は MSKK くらいだってとこに気がついてる人がどれだけいることやら。 いやもちろん、そこまでやって「ふつう」であるべきなんですけどね。

　「IBM社は、自社製品のセキュリティーに関する問題には、どんなことにも慎重に対応している。そしてこの問題の場合は、理論の上だけで成立する種類のものだと判断した」、日本語に訳すと「IBM社は、自社製品のセキュリティーに関する問題には、どんなことでも隠したい、なかったことにしたいと思っている。そしてこの問題の場合は、隠そうと思えば隠すことができる種類のものだと判断した」になるのかな。

　実際には Netscape 方面にも (見つかってないだけで) いろいろあるんじゃないかなあという気がするので R-MS という名前にはアレゲさを感じてしまうけど、主旨自体には賛成。 J(ava)Script を安易に使うのはやめて頂きたい。いまどき「JavaScript を有効にしてください」と書くのって恥だと思う。

　関連:

• スクリプトの利用を強要するサイトはネット利用者の脅威である(2001.11.12) (NetSecurity)

• スクリプト強要のあふれる企業 web　無知で無自覚な web に歯止めを(2001.11.12) (NetSecurity)

　しかし、どうして microsoft.com とか symantec.com とか、 OS / セキュリティ方面企業の名が筆頭に上げられていないんだろう。 そういう意味では、やっぱり R-MS でいいのかな。

　arp spoof 対策な話題から。時代はやっぱり VLAN なのね。 おねだんも今ではめちゃくちゃ高いというわけではなさそう。

　確かに、google で スクリプトによる貼り付け を検索 すると、いろいろ出てきますね。 ほんとにこの機能を使っているなら、Netscape や Mac 版 IE では正常に機能しないはずなのですが、そういうサイトをつくっていらっしゃるのでしょうかねえ。

　NHK の FAQ や mycom.co.jp の QandA からは、"「スクリプトによる貼り付け処理の許可」を有効に" が消えてますね。「Javaアプレットのスクリプト」もいらないと思うんだけど。 ＴＡＢ　ＣＯ−ＯＰ の記述はこりゃまたばっさり消えているなあ。

　MS ISA Server が DoS 攻撃を受けるという話。

　Windows Me, XP および「インターネット接続共有 (ICS) クライアント」を 別途 Windows 98/98SE にインストールしている場合に弱点。 これらに含まれる「ユニバーサルプラグアンドプレイ (UPnP) サービス」 に対して異常なリクエストを発行すると、OS のパフォーマンス低下や異常終了をきたすという。

　patch が出ているので適用すればよい。 ただし Windows Me 用の patch は、米国では問題が発生し今日づけで一時削除されている。 MSKK のページ には Me 用 patch も掲載されているが、適用する場合はある種の覚悟が必要だろう。 98 / XP 用 patch は問題ないようだ。

　CVE: CAN-2001-0721。

2001.11.19 追記:

　Me 用新 patch が登場している。 MS01-054 参照。

　SecurityFocus.com Newsletter 第 116 号日本語版 (テキスト, 英語版)。

　IE 5.5 / 6 for Windows に弱点。悪意ある web page や HTML メール経由で、 任意の cookie の値を覗いたり変更したりできてしまう。 Minor IE vulnerability: about: URLs および Microsoft IE cookies readable via about: URLS の話ではないかと考えられる (危険なのは後者)。 手元の IE 6 on Windows 2000 SP2 で 後者 のデモ (URL じゃなくてドメイン名を入力する) を試したところ、見事に cookie が表示されてしまいましたとさ。あららん。 あ、デモで、cookie 取られると致命的なサイト (ex. amazon.co.jp) を試さないようにしましょうね。デモ作成者が悪いことするかしないかは不明ですぞ。

　CVE: CAN-2001-0722。 高木さんによる [memo:1863] も参照されたい。

　現状での対応としては、アクティブスクリプトを禁止する。 patch ができるまでは、IE 利用者は「こんなこともあろうかと〜」 インストールしているであろう Netscape 6.2 を使いましょう。 「代替手段の確保」は重要ですね。

　……[memo:1865] [memo:1866] で回避方法が確認されてます。手元の IE 6 でもうまく動いているようなので、 about.reg (NT4 な人用 NT4_about.reg: 佐藤さんご提供ありがとうございます) として置いておきます。

　アクティブスクリプトに対して「プロンプトを表示」にしておくとこんなダイアログが出るのだけど、 たまにメチャ危険で致命傷になりかねないのが問題なのだよなあ。

2001.11.13 追記:

　日本語 Advisory: Internet Explorer の Cookie データが、スクリプトを介し漏えいまたは変更される (MS01-055)

2001.11.15 追記:

　patch 登場。もともとの MS01-055 問題の他、 これとは異なる cookie 漏曳問題と、 MS01-051: 不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう において「patch を適用しても残る問題」があわせて fix されている。 また、patch はアンインストールできない。

　Outlook Express や Outlook に関する情報が追加されている (英語版)。 Outlook E-mail Security Update を適用している場合、および Outlook Express で「制限付きサイトゾーン」を利用するよう設定している場合には、 今回の弱点は影響しないという。

　CVE も 2 つ追加された: CAN-2001-0723, CAN-2001-0724。

　ただし、[memo:1881] をみる限り、about: プロトコルへの入力を変換するなどの根本的治療ではないようだ。about: プロトコルを制限付きサイトゾーンで動作するようにした人は、念のためそのまま続けておい方がいいだろう。 私も元に戻すつもりはない。

　また [memo:1881] では、当初 high だった max risk が moderate に変更されていると指摘されている。 確かに、version 1.0 では high だったのに、version 2.0 では moderate になっている。 そもそも high というのが変という意見もある [memo:1883]。確かに、Microsoft Security Response Center Security Bulletin Severity Rating System には high というランキングはない。

　ちょっと気になって gpg --verify で signature を確認してみたのだが、 version 1.0 の方は「不正な署名」と言われてしまう [memo:1882]。 どうもよくわからない。pgp 7 を使えばみんな ok になるんだろうか。

2001.11.19 追記:

　もうひとつの cookie 問題が公開されている: the other IE cookie stealing bug (MS01-055)。

　オリジナル問題の発見者が状況を公開している (from [memo:1898]):

• 2001-11-09 History of finding the Microsoft Internet Explorer cookie vulnerability

• 2001-11-13 Frequently Asked Questions (FAQ) on the Microsoft IE cookie vulnerability and reporting it

• 2001-11-15 Microsoft has released a fix for the Internet Explorer cookie vulnerability

2001.11.22 追記:

　Microsoft は当初の見解を撤回し、オリジナル問題発見者に謝罪したそうです。 マイクロソフト、「ウソでした」 (CNET)、 「責任ある開示」とは？　IEのセキュリティホールめぐり“遅れ”を認めたMicrosoft (ZDNet)。

2002.02.17 追記:

　BUGTRAQ bugid 3513: Microsoft Internet Explorer Cookie Disclosure/Modification Vulnerability.

　2001.10.19 の MS01-052: Invalid RDP Data can Cause Terminal Service Failure に追記した。 日本語版 NT 4.0 TSE patch 登場。

　Russ 氏の反応と、それへのフォロー記事も参照。 SSL な IIS サイトについてしか語ってない、とか言っても、SSL な IIS サイト (= それなりにセキュリティに気をつかっているはず) がいろいろとアレゲな事実は変化しないと思うけど。 The Netcraft Secure Server Survey: Jan. 2001 見ると、SSL なサイトって、総計でも高々 10 万台くらいしかないみたいだし。 SSL な IIS は top share なわけですし。

　いよいよ「UNIX 用の anti-virus soft」も必須な時代がやってくるのでしょうか。 いやだなあ。

　openfiles.exe や fsutil.exe いいですねえ。

　2001.11.07 の 法務省アドレスの不審メール　不正中継DBに登録されていた法務省サーバ に追記した。 NetSecurity の続報、 関連報道と法務省からのおわび。

　Acrobat 4.0 Windows 版に含まれる Office マクロテンプレートに施された署名の有効期間が切れているという話。 「Solutions (解決方法)」として、Adobe は Office のセキュリティレベルを下げろと言っている。 それは解決方法じゃなくて対応方法 (Workaround) でしょうが。

　ひこさかさん情報ありがとうございます。 Acrobat 5.0 ではまだ有効みたいでした。

　URL 調べるのに苦労させていただきました > adobe。 なぜわざわざ隠す……。隠し体質な会社なのか……。 著作権保護の“聖戦”に燃えるAdobe，DEF CON逮捕劇もその一環 (ZDNet) とかいうのが出てくるのも体質なのか……。

2001.12.12 追記:

　ひこさかさんからは「4.0 から upgrade した 5.0 だとダメダメ」との情報をいただいていました。そこへやってきた Acrobat 5.0.5 アップデート。 「Acrobat 5.0.5をインストールすることで、バージョン5.0の電子署名に関する問題を修正できます」 とある。これを適用すると ok のようです [memo:2290]。

　ようやく重い腰を上げた模様。

• 迷惑メール撲滅に向けた新たな対策について (NTT ドコモ)

  関連: あて先不明メールを大量に送れば強制削除　ドコモが対策 (asahi.com)、 ドコモ，迷惑メールに新対策──宛先不明メールのブロックも (ZDNet Mobile)。 8億通ってのはすごいなあ。

  ntt-docomo.co.jp じゃないんだよね。 いつも間違えるんだよなあ。

• OCNサービスにおける『迷惑メール』対策の実施について (NTT コミュニケーションズ)

  関連: OCN，スパマー対策を強化　送信制限や法的措置も (ZDNet)、 NTTコム、スパムなどの「迷惑メール」対策を強化 (INTERNET Watch)。

  「ズ」がついていたのか……はじめて気がついた。

　JavaScript から file:// プロトコル経由で local computer 内部の画像ファイルにアクセスすることにより、remote computer はプログラムのインストール状況を確認できる、という話。 sys_snoop2.html の方は、手元ではうまく動かないみたいだけど。

　kawa さんちの #5 [Security] TUX HTTPD Denial of Service Condition (Large Host)(SecuriTeamより) をみてください。

　匿名希望さん (ありがとうございます) から「あやしいメール」そのものをいただいているのですが、 「本文がない」「To: だらだら」という特徴、および Received: 行の内容から考えると、 「法務省のSMTPサーバを不正中継した詐称メール」や 「単純な法務省アドレスの詐称メール」という線は、私には考えにくいです。 「事故」なんでしょう、多分。

　しかし、法務省ホームページ にはいまだに何の情報もありませんなあ。 当該メールが gate.moj.go.jp (= moj.go.jp) から来たのは間違いないのですけどねえ。 (法務省ホームページは http://www.moj.go.jp/ だったので、URL 修正)

　関連: 法務省からメールアドレス流出 (slashdot.jp)、 [memo:1811] 法務省が open relay? 以下のスレッド。

2001.11.08 追記:

　NetSecurity の続報: web では告知なし法務省　不審メールは内部の事故の可能性大。 関連報道: 法務省が５０００人にメールを誤送信　アドレス漏れる (asahi.com)。

　匿名希望さん (またまた情報ありがとうございます) によると、法務省から釈明メールがきたそうです:

X-Lotus-FromDomain: MOJ@EXT
Date: Thu, 8 Nov 2001 03:12:38 +0900
From: "MOJ WEBMASTER" <webmaster@moj.go.jp>
Subject: 法務省からのメール送信について（お詫び）

昨日は，複数のメールアドレスが表示されたメールが当省から送信されるという
事態を引き起こし，大変ご迷惑をおかけしました。誠に申し訳ございません。
　当省では，昨日以降，原因を調査してきましたところ，現時点までの調査結果は
以下のとおりです。
　当省では，現在，コンピュータ・システムの外部監査（外部からの侵入に対する
システムの脆弱性の調査）を実施しておりますところ，その監査の実施過程におい
て，プログラム内部について全くの部外者と同等の立場にある監査業者が，通常の
留意をして，複数のファイルにアクセスしたところ，それらのファイルが予期せぬ
作動をしたため，メーリングリストに登載されている複数のメールアドレスに対し
，同時にメールが送信され，複数のメールアドレスが同じメールの中に表示される
という事態が生じたものとみられます。
　なお，以後のセキュリティ確保のためもあって，調査結果のご報告はこの限度に
ならざるを得ないことをお許し下さい。
　当省では，今回の事態に至った要因については既に対策を講じております。また
，今後，二度とこのようなことが起こらないよう，セキュリティ対策に万全を講じ
てまいりたいと思っております。
                                         法務省

　これはつまり、外部から侵入あるいは起動可能な穴があった、 ことを意味しているような気が。 そうなると、もっとうまく立ちまわっていたヤツがいたら、 もっとアレゲなこともできていた可能性も……。

　この文章をそのまま web にも上げればいいのに。なぜしないかなあ。

　「あらゆるソフトウェアの問題は原理的には修正可能であるためだ」、 単にコーディングが bug っているなら簡単に (?!) 直せるのですが、 広く普及しているプロトコルや機能 (仕様) が bug っている場合はなかなかに難しいものがありますよね。 syn flood みたいに、原理的に完全には防げない攻撃とかあるわけで。 まあ、世の中には [memo:1753] JScriptでクリップボード盗聴のセキュリティホール仕様 なんていう「仕様」もあったりするわけですが。

　私自身は公開派なんですけどね。 だって、公開しなかったら彼らは弱点の存在そのものを隠すだけだもん。 マイクロソフトのセキュリティー対策は本気か (CNET) とか読んでも、ねえ。

　「信頼されるプログラム」(= MSIE) をデータの送受信に利用することで、 任意のプログラムが personal firewall をくぐりぬけられるという話。 うまい手ですねえ。関心している場合じゃないんですが……。

　Windows 用の著名な ftp サーバである WS_FTP Server 2.03 以前に弱点。 STAT コマンドが buffer overflow してしまうため、remote から local SYSTEM 権限を得られる。 2.04 で fix されているので入れかえる。

　CITIBANK の左上にある「CitiWorld 登録・変更・利用」をクリックしてみましょう (事前に JavaScript を有効にする必要があります)。 有効期限切れてます。

　世の中の銀行ってこういうものなのでしょうか。 匿名希望さん情報ありがとうございます。

　「攻撃してくれ」と言わんばかりの目標だよねえ。 ブリッジ認証局CP/CPS、 ログは 3 年、アーカイブは 30 年保管かあ……。 「5.1.9 オフサイトバックアップ　規定しない」、ほほう。 きっと「規定しない」と「実施しない」は意味が違うんだろうな。

　後編出ました。手元の IE 6 では、11．Cookieのマニュアル管理（2）：Cookieの自動フィルタリングをやめ、強制的に指定の処理を行わせる にある「ダイアログを表示する」でやってます。 以外なほど手間にならない、と認識しています。

　Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow の話。どうも流行ってるらしいです。

　各種 UNIX (*BSD, BSDi, HP-UX, AIX, *Linux, SCO, SGI, Solaris) の lpd にさまざまな弱点があるという話。 オリジナル: CERT Advisory CA-2001-30 Multiple Vulnerabilities in lpd 。 LAC 邦訳版。 patch があるので適用すればよい。

　2001.11.05 の 警告：iTunes 2 Mac OS X 版インストーラがハードディスクを初期化 に追記した。 なんとなさけない失敗の原因。

　テストはこちら: Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する。

　IE 5.1 for MacOS X の環境設定見てみましたが、そもそも「スクリプトによる貼り付け処理の許可」がありませんね。 で、テストしてもなんも出てきません。 きっと、この点についてはまともな実装になっているのだろうと思います > 石川さん。 もちろん JavaScript (つーか JScript か?) は IE for Mac でもちゃんと動きます。 動かないと Microsoft 自身が (!) 困ります。

　一方、MSIE 6 for Windows で「スクリプトによる貼り付け処理の許可」を「ダイアログを表示する」としておくと、こんなダイアログが出てきて楽しいです。 また、ダイアログのデフォルト値は「いいえ」のようなのですが、 IntelliPoint のプロパティで「ポインタを自動的に規定のボタン上に移動する」を有効にしていると、なぜか「はい」にポインタが移動します。 楽しいですね。

　CSS については、高木さんの クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策 を参照。 この Passport の件も、基本的には「2. クロスサイトスクリプティング脆弱性とは」 に書いてあることそのまんまみたいです。 Passport というシステム自身が否応なしに「cross-site」 せざるを得ないという点と、 いろんなレベルのサイトが同一の cookie ベース認証システムを使うとなると、 全体のセキュリティレベルは最悪のサイトのセキュリティレベルに依存するような気がするのがアレゲなような気がするのは気のせいでしょうか。 せめてアクティブスクリプト切れればいいと思うのですが、そうはいかないのがまたアレゲ。

　ちょっと試してみたところ、<_img は対策されたように見えます。

　関連記事:

• MS『パスポート』に重大なセキュリティーホール (WIRED NEWS)

• Passportのセキュリティホールで，“財布”の中身が丸見えに (ZDNet)

• MSの『Passport』認証が破られる (CNET)

　「これらは非常に洗練された手口だ。ハッカー・サイトからスクリプトをダウンロードして実行するだけ、というのとは違う」、 だから何? 頭のいいヤツはマフィアやヤクザにもいるだろうしさ。

　確かに、データベース屋は儲かるだろうなあ。 日本は「企業が消費者の個人情報を簡単に集めたり，使ったり」できる国ですが、にもかかわらず National ID も導入されます。 で、役所への届け出、大半はネットで　総務省が計画 と大穴あける予定です。よかったね。

　なかなか興味深い内容です。 Cold Fusion、Solaris 版は日本語版もあるのか。 Linux 版にはないのね。

　log アナライザ webalizer に cross-site scripting する弱点。 2.01-09 で fix されている。 RedHat fix。 FreeBSD ports も fix 入ってます。

　そうか、広く使われているソフトなんだ。ふぅん。

　なんか、やたら出てるし。

• RHSA-2001:142-15] kernel 2.2 and 2.4: syncookie vulnerability

  syncookie まわりで DoS 攻撃を受ける可能性に対する fix。 2001.05.24 の syn cache も参照。

• [RHSA-2001:112-10] Printing exposes system files to reading.

  (link fixed: 中山さん感謝)

  ghostscript を lpd フィルタとして利用する場合 -dSAFER モードを使ったりすると思うが、 -dSAFER モードは

  -dSAFER
          Disables the "deletefile" and  "renamefile"  opera-
          tors  and  the  ability  to  open files in any mode
          other than read-only.  This may  be  desirable  for
          spoolers  or  other  sensitive environments where a
          badly written or malicious PostScript program  must
          be prevented from changing important files.
        

  というものなので、悪意ある「read」リクエストには無力だという話。 これに対抗するため、 print spooling context では read もできないようにする修正がされたそうだ。 ちょっと前にも fix 出てたけど、

  [UPDATE] : previous versions of this errata used packages:
  rhs-printfilters-1.46-6,
  rhs-printfilters-1.63-2.rh6.2,
  rhs-printfilters-1.63-2.rh6.2j,
  rhs-printfilters-1.81-2.rh7.0, and
  rhs-printfilters-1.81-2.rh7.0j.
  
  These caused spools to break upon upgrade, though they could easily be fixed
  by editing the spools with printtool. The updated versions of the errata
  packages address this bug.

  だそうで。 参照: kawa さんち

• [RHSA-2001:101-07] New ucd-snmp package to fix several security vulnerabilities

  - /tmp race and setgroups() privilege problem
  - Various buffer overflow and format string issues
  - One signedness problem in ASN handling

  というわけで remote から root 取られる bug が fix されているそうです。

• [RHSA-2001:102-10] New teTeX packages available

  fixing a temporary file handling vulnerability and an insecure invocation of dvips in a print filter だそうです。

• [RHSA-2001:147-07] remote exploit possible in lpd

  The lpd printing daemon possess a flaw in the displayq code which makes a remote buffer overflow attack possible だそうです。

　Wizard なんてご立派な名前をつけるのがよくないですよねえ。 Novice とか Bogus とかだったらみんな「こりゃぁ自分で面倒見にゃかんわ (Nagoya dialect)」と思うだろうに。

　iTunes のページ にはこんなふうに書いてありますね:

Apple has identified an installer issue with iTunes 2.0 for Mac OS X that affects a limited number of systems running Mac OS X with multiple volumes (drives or partitions) mounted. For those systems, running the iTunes 2.0 installer can result in loss of user data. While this error is highly unlikely to affect most users, Apple strongly advises that anyone who has downloaded the 2.0 version of iTunes for Mac OS X, as well as anyone who has a beta version of iTunes 2.0 for Mac OS X, immediately remove the iTunes.pkg installer file from their system. A new version that corrects this issue, iTunes 2.0.1 for Mac OS X, is now available from this page. Users who have already installed iTunes 2.0 without incident do not need to reinstall iTunes 2.0.1, but they should still immediately remove the 2.0 installer file from their system. This issue does not affect users of iTunes 2.0 for Mac OS 9.

　While this error is highly unlikely to affect most users ってアンタ、そんなの言いわけにならんっしょ。 こういう致命的なバグを開発元自ら出しているようでは、 まだまだ MacOS X は勧められないよなあ。

　石川さんちにもっと詳しい記事あります。

2001.11.06 追記:

　iTunes 2.0 for Mac OS Xインストールパッケージ使用によるデータ消失の可能性 によると、原因はなんとシェル変数のぞんざいな参照であるという。 ふつう "" で囲むでしょうが……。だめすぎ。

　Unix バックアップ & リカバリ (2 章すげぇいいっす) にも出てましたけど、off-site backup 重要ですよねえ。 いつ「ならず者国家」 (ワシのマークとの説あり) が爆弾の雨を降らすかわかりませんし。

　UNIX 本 や システム & ネットワーク管理本、 セキュリティ本 の欄に Unix バックアップ & リカバリが並んでないのは不適切だと思います > O'Reilly。

　Exchange 5.5 と Exchange 2000 に対応してます。

　ウィルスバスター 2002 のパーソナルファイアウォール機能は、デフォルト値がキツめになっているのかしらん? 「同封されています「初めてのパーソナルファイアウォール」に簡単な設定等が載っていますので一度お読みくださりますようお願いいたします」 だそうです。

• solution 3277: ウイルスバスター2002をインストール後、ネットワークの共有が使えなくなった

• solution 3276: ウイルスバスター2002をインストール後、インスタントメッセージソフトが使えなくなった

• solution 3275: ウイルスバスター2002をインストール後、ネットワークに繋がらなくなる

　……うわ、最新のソリューション-全製品 に山のような 2002 関連ドキュメントが。 とても紹介しきれん。

　「敵にできないなら味方にしてしまえ」? なぜか link がありませんが、「プライバシー財団」は http://www.privacyfoundation.org/ です。 Richard Smith's Tipsheet というページもあります。

　手元でも IIS LockDown とか URLScan とかで遊んでみないといかんなあ。

　No と言える東京? しかしよくよく読むと、「消費者が拒絶の意思表示をしても……」が条件で「事業者からの 1 回目の勧誘は不適正とすることはできない」んだそうだ。 spam の多くは拒絶の意思表示すら拒絶される (ex. from にうそんこ書いてあるから reply できないよ) のだが、 その点は理解されているんだろうか。 「dial-up 先を Q2 へ変更」モノも対象から外す旨が明記されてますね。

　2001.11.15 までご意見募集しているようなので、feedback はお早めに。

　そういえば、広告屋さんが 許諾付きダイレクトメールは効果大なんて言ってるらしいですね。 眉にツバを 50t?

　なんじゃこりゃ。こういうことを言っているから呆れられるのに……。

　しかし，Linuxには目に見えないコストがあると，Microsoftは主張している。「一見Linuxは低コストのように見え，多くの顧客がそれに引きつけられているように思う。そういった顧客はLinuxの真の問題を理解しておらず，結局，長期的にかなりのコストを支払うことになるのだ」と，MicrosoftのWindows部門で競争戦略ディレクターを務めるDoug Miller氏は語る。

　Linuxを導入すると，顧客はソフトアップデートやセキュリティを管理したり，複数のソフトが競合しないようにするなど，「自分でOSの面倒を見なければならなくなる」とMiller氏。「そういった仕事は，Microsoftのようなソフトベンダーがやることだ」

　このテのジョークはジョークにならないってことがわからないのか。

• 顧客が「ソフトアップデートやセキュリティを管理」する必要があるのは Microsoft 製品だって同じだ。 それを怠った組織 (Microsoft 自身を含む!) が CodeRed や Nimda やその他大勢の worm/virus にヤラレているのを何だと思っているのか。

• ふつうの UNIX / Linux では 「複数のソフトが競合しないようにする」必要なんてない。 そーゆーことにものすごく気をつかう必要があるのは、 Doug Miller さん、あなたの会社の OS 自身だってことをご存知か? ふつうの OS では、DLL HELL なんてことは起こらないの。最初から。

　なぜ IISは捨てなさい——Gartnerが企業に警告 とか Gartner Column：第20回 マイクロソフトのセキュリティに対する考え方は根本的に間違っていないか？ なんて意見が発生しているのかをきちんと認識できていれば、こういう発言はされないはずなのだが。それともこれは、 3rd JWNTUG Open Talk 用のネタ提供のつもりなのか? (それはないだろうが……)

　ところで、DLL Hell の終焉 の 将来の方向性 で延べられている事項って、Windows XP では実現されているんでしょうか?

　IPA の Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 って、10/29 に「Web サーバーシステムインテグレーター向けの技術情報」が大幅追記されていたんですね。知りませんでした。

　これで世の中もようやく少しは動きますかねえ。

　「我が国の憲法では、行政機関が適正な手段を執行するのは当然のことだ」 という座長は 「茂串俊・元内閣法制局長官」。 反論になってないよ。 しょせん「ヤク人の論理」にすぎないことに気がついているのかいないのか。

　話の流れからすると、「住民基本台帳ネットワークシステム」は、 やっぱりクラック・悪用されることが前提なのでしょうね。

　FreeBSD の ipfw 変更予告。

　ふと読んでみて気がついた点:

• Digest authentication is not supported in this release。 まだみたい。

• File URLs will not be read if they are inside a network based (HTTP) document. To disable this feature, add the following pref (instructions here):

  user_pref("security.checkloadURI", false);

  non-local (Internet にある) として扱うオプションがほしいような気が。既にあるのかなあ。

• Netscape may not be able to connect to some secure (https) IBM Web servers. This is a problem with the servers' software, not with Netscape .

  「IBM Web servers' software」の fix ってあるんだろうか。

• Port restrictions. For security reasons, Netscape does not allow connections to certain ports. To override this on a per-port basis, add a comma-separated list of ports to default/all.js (in your Netscape installation directory). For example, to unblock ports 1, 3, and 7, use the following line: pref("network.security.ports.banned.override", "1,3,7"); Note that this cannot be done on a per profile basis - it must be done for the entire Netscape installation.

  手元の mozilla 0.9.4 では defaults/pref/all.js で pref("network.security.ports.banned", "1,2,3,4,5"); となっているなあ。 もっといろいろ追加してもいいような気がする。

　ダウンロード等は Netscape 6.2 の概要 から。概要ページからリリースノートへたどりつけないのはなんとかしてほしいなあ。

　なお Sun Microsystems, Inc. Security Bulletin 00208: Swing の件だが、Netscape 6.2 for Windows を Windows 2000 にインストールしてみたところ、java -version の出力は こうなった:

java version "1.3.1"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.3.1-b24)
Java HotSpot(TM) Client VM (build 1.3.1-b24, mixed mode)