セキュリティホール memo - 2001.12

　メール送信時にメールヘッダを書きかえる proxy server。 ダウンロードは Penguin Toolbox から。

　プレゼン資料と会場の様子の画像が揃いました。 secure@microsoft.com の他に、 secfdbk@microsoft.com というのがあるって知ってました? 「hotfix のデジタル署名の有効期間が切れている」 なんて事象の場合は secfdbk@microsoft.com に mail するのがよいそうです。

　というわけで、このページと セキュリティホール memo ML が受賞した模様です。 これも情報を提供してくださるみなさんのおかげです。ありがとうございます。

• Stunnel: Format String Bug in versions < 3.22

  -c -n (smtp|pop|nntp) 時に問題になる。3.22 で fix。

• Lynx format string vulnerability in URL logging.

  少なくとも 2.8.5dev.5 までの lynx で問題。patch が示されている。

• [SECURITY] [DSA-095-1] gpm (gpm-root) format string vulnerabilities

  Debian GNU/Linux の gpm パッケージ中の gpm-root に format バグ。 1.17.8-18 で fix されている。

2002.01.07 追記:

　stunnel format バグは、 Stunnel: Format String Bug update においては 3.15 <= 3.21c の問題だとされている。

　lock したら lock したで、DoS 攻撃が可能ということですしねえ。 「口座の暗証番号を (そのまま) 用いる」 がそもそも問題ですね。

　The GNU Privacy Handbook の邦訳版。すばらしい。

　そういうものが世の中には存在しますので、気をつけましょう。 リストには、 RealPlayer 7 とか Netscape/AOL Smart Download なんてのもある。

　多機能 proxy サーバ DeleGate 7.7.[01] (それ以前も?) を http proxy として利用する場合に弱点。 クロスサイトスクリプティング問題が発生してしまう。 7.8.0 以降で fix されているので入れかえる。

　不正経理で go go な団体でも取れるぞ、と。 日本情報処理開発協会が不正経理で申告漏れ (毎日)。 「請求書を書き換えて経費を計上するなど、悪質な経理操作を繰り返し」 する団体に公布されるような ISMS パイロット認証って……。 見てるところが違うんだろうけど、でもねぇ……。

　技術メモが一気に更新されています。 今になって気がついたのですが、ftp.jpcert.or.jp って閉まってるんですね。

　diff 取ってみました:

• 技術メモ - 電子メール配送プログラムの不正利用 (予期しない中継) - (Version 4 → 5)

• 技術メモ - sendmail バージョンアップマニュアル (Version 10 → 11)

• 技術メモ - 関係サイトとの情報交換 (Version 2 → 3)

• 技術メモ - コンピュータセキュリティインシデントへの対応 (Version 2 → 3)

• 技術メモ - サービス運用妨害攻撃に対する防衛 (Version 2 → 3)

• 技術メモ - Web ページの改竄に対する防衛 (Version 3 → 4)

　「MS Windows」はちょっとアレゲな表現のような気がします。

　公共利用の無線LAN/イーサネット・ジャックのセキュリティ対策 と似たような話だが、こちらは pam_iptables というものを利用して実現しているみたい。

2002.01.28 追記:

　日本語版: http://www.linux.or.jp/JF/JFdocs/Authentication-Gateway-HOWTO/index.html (info from Tea Room for Conference No.614)

　Windows XP, Me, 98/98SE で利用できる UPnP サービス (+ SSDP Discovery サービス?) に弱点。 悪意ある NOTIFY ディレクティブによって buffer overflow が発生し、サービス実行権限 (local SYSTEM) を獲得できてしまう。 SSDP サービスは broadcast / multicast アドレスを listen しているため、 一撃で broadcast / multicast ドメイン全体を攻略することが可能。 また、この NOTIFY ディレクティブの LOCATION: ヘッダに chargen (TCP port 19) を指定することにより DoS 攻撃を行うことも可能。 詳細: Multiple Remote Windows XP/ME/98 Vulnerabilities (eEye)。

　Windows XP では UPnP がデフォルトで有効とされている。 Me はデフォルトでは無効だし 98/98SE では optional software だという。 よって、主に問題になるのは Windows XP。 のだが、Windows XP 日本語版では UPnP サービス (Universal Plug and Play Devide Host) はデフォルトで「手動」「停止」で、 UPnP 関連の SSDP Discovery サービスは「手動」「開始」だという報告が多数ある。 また、OEM 先によっては Windows Me で UPnP をデフォルト有効にしているところもあるようだ。 プリインストール OS に何が入っていて何が起動されているかは OEM 依存なので、 プリインストール OS をそのまま利用している場合は状態を確認されたい。

　UPnP については、 upnp.org とか Universal Plug and Play in Windows XP とか Universal Plug and Play を参照。

　対策としては、patch があるので適用する。また、UPnP / SSDP サービスを無効にしたり、 これらが利用する port 1900 / 5000 を firewall 等で塞いてしまえばよい。 XP の personal firewall 機能では、unicast IP address 宛の攻撃は防げるが、 broadcast / multicast address 宛の攻撃は防げないので注意。

　CVE: CAN-2001-0876, CAN-2001-0877。

　なお、 "Universal Plug and Play technology exploit code" というものも発表されているが、 eEye の発見したモノとは違うとフォローされている。

2002.01.18 追記:

　UnPlug n' Pray (抜いて祈る (^^;;)) というツールが公開されている。

　KB JP315056: ユニバーサル プラグ アンド プレイ サービスを使用するサービス拒否攻撃を防ぐ方法 が公開されている。

　そういうことなんだそうです。

　IE 5.5 SP2, 6 に弱点。異なるドメインのサーバ証明書を持つサイトに https:// で接続する場合に警告を発しない場合がある。 http://suspekt.org に実例がある。

　http://suspekt.org/ ページでは <img src="https://suspekt.org/nofile.gif" width=1 height=1> と https:// ページ中の存在しないファイルへの inline link が書いてある。 IE はこのとき、https://suspekt.org/ にある鍵が正当な認証局 (ex. VeriSign) から発行されているか否かのみをチェックして「https://suspekt.org/ は正当なサーバ証明書を持つ」と認識してしまうという。本来あわせて行うべき 「ドメイン名は証明書と整合しているか」「証明書の有効期間は過ぎていないか」 のチェックが抜けてしまうというのだ。 このため、その後 http://suspekt.org/ から https://suspekt.org/secure.html に移動しても IE は警告を発しない。

　なお、現状の IE であっても、IE を新規に起動し https://suspekt.org/secure.html へ直接移動した場合にはきちんと警告する。 罠ページ http://suspekt.org/ を経由する場合に問題が発生するのだ。

　UPDATE: IE https certificate attack にもあるように、 MS00-039: Patch Available for "SSL Certificate Validation" Vulnerabilities と同じ弱点に見える。なぜか復活してしまったらしい。

　Konqueror 2.2.1 (Mandrake Linux 8.1 + OpenSSL 0.9.6b) と lynx 2.8.4rel.1 (compiled with OpenSSL 0.9.6a on FreeBSD) には同じ問題 があるようだが、 Mac 版 IE では問題ないらしい。 また Konqueror 2.2.1.0-6 (no kdebase-crypto and kdelibs3-crypt) on Debian woody や Mozilla 0.9.6 では問題がなく、w3m 0.2.1-inu-1.5 では問題がある模様。 w3m 0.2.3.2 も同様。

　関連: 今度はニセの証明書に騙される穴 (slashdot.jp)、 IE【続報】　SSL偽装の脆弱性は、なくなったはずの脆弱性の再発だった(2001.12.26) (netsecurity.ne.jp)。

　これのつづき。 WebDAV に興味がない人も、ngrep の紹介 のところは見ておいてソンはないかも。

　「もし誰かがとがめた場合，その人にディナーの招待券をプレゼントした」、 ちゃんとご褒美を与えているところがえらいなあ。 step 4 まではこちらを。

　ネットワークセキュリティ Magazine のことですね。ゲテモノ好きの方以外は買わなくてもいいです。 立ち読みする暇すらないときにみつけたので買っちゃったんだけど。

　IE 6 のアクティブスクリプトにおいて、素直に document.open() するだけで、任意のドメインの cookie を取得したり既知のパス名のローカルファイルを読み出せたりしてしまう。 http://www.osioniusx.com にデモが用意されている。 手元の IE 6 では SiteSpoofing.html は意図どおりに動かないようだが、 cookie を偽装ドメイン名で要求することには成功しているみたい。 (IE を起動しなおしてやりなおしたら成功したので打ち消し)

　アクティブスクリプトを無効にすれば回避できる。

　Office XP SP1 では、Outlook (Outlook 2002) において、 HTML メールを plain text として表示するオプションが利用できるという話。

　SecurityFocus.com Newsletter 第 124 号日本語版 (テキスト, 英語版)。 個人的注目:

• Webmin Directory Traversal Vulnerability、まだ fix 出てないみたい。

　SecurityFocus.com Newsletter 第 123 号日本語版 (テキスト, 英語版)。 個人的注目:

• Microsoft Windows 2000 Internet Key Exchange DoS Vulnerability の件は UDP DoS attack in Win2k via IKE が詳しい。

• XFree86 fbglyph Denial of Service Vulnerability、4.0.x で問題になる模様。 4.1.0 で fix されているそうだ。

• FreeBSD AIO Library Cross Process Memory Write Vulnerability、 VFS_AIO つき kernel でのみ発生。デフォルトは VFS_AIO なし。

　2001.11.13 の CERT Advisory CA-2001-31 CDEサブプロセスコントロールサービスにバッファオーバフローが存在する に追記した。 Sun fix 登場。荒木さん情報ありがとうございます。

　Microsoft 自身がようやく「IE 5.01 SP2 ではダメダメ」であることを明記した模様。 参照: 「IE 5.5 SP2/IE 6 にバージョン・アップして，パッチの適用を」--- MSが警告 (日経 IT Pro)、 マイクロソフトがセキュリティ対策を呼びかけ〜年末年始警戒警報 (ZDNet)。

　2001.12.20 の solution 3445: Microsoft Outlook Express でWeb メールをダウンロードするように設定している場合、Web メールの添付ファイルに対してウイルス検索を実行できますか？ に追記した。 hotmail のウイルスチェックは web メール時にしか効かない模様。

　その後いろいろな情報が集まったし、前回のものは焦点がズレているので改めて以下に書きなおします。

　拡張子を .gif や .jpg など画像ファイルのもので偽装した HTML ファイルによる攻撃。IE が Content-type を無視した処理を行う事を利用する他、「スクリプトを停止させていても強制的に実行させる」 という恐るべき手法が用いられている。 高木さんによる分析: [memo:2396]。 (4) で示されているスクリプト (オリジナルは 知能力学研究所 の 強制的にスクリプトを実行 と スクリプト実行テスト) だが、手元の IE 6 / Windows 2000 SP2 で確認した限りでは、 "" なしだと IE 6 では動作しないようだ [memo:2455]。

　「スクリプトを停止させていても強制的に実行させる」 攻撃は IE が実装している HTML+TIME2 という機能 (web ページにおけるマルチメディア規格のひとつ) に基づくものだという。 HTML+TIME2 の詳細については、MSDN の HTML+TIME ページなどを参照。

　回避するには、regsvr32 /u mstime.dll を実行する ([memo:2427]) 他、 [ツール] メニューの [インターネットオプション] から [詳細設定] タブを選択し、 [マルチメディア] の 「Web ページのアニメーションを再生する」のチェックを外すことでも可能 [memo:2432]。 ただしこれを実行すると、副作用として gif アニメーションが再生されなくなってしまう。

　他にも [詳細設定] には 「Web ページのサウンドを再生する」 「Web ページのビデオを再生する」 があり、ねんのためチェックを外しておいたほうがよいだろう。 知能力学研究所 には 強制的にサウンド再生 という例も紹介されているし。 テスト: http://www.st.ryukoku.ac.jp/~kjm/test/html_time2_sound.html

　根本対策としては、Microsoft による IE の修正 (Content-type 遵守と HTML+TIME2 まわり) が必要だろうが、さて……。

2003.05.27 追記:

　2002 年 2 月 11 日 Internet Explorer の累積的な修正プログラム (MS02-005) で修正された模様。

　また、「Web ページの XXXX を再生する」は HTML+TIME の全機能を停止しているわけではないので注意されたい。HTML+TIME の全機能を停止するには regsvr32 /u mstime.dll を実行するしかない。

　上↑の記事の「HTML+TIME2」は「HTML+TIME 2.0」と書くべきなんだろうなあ。

　丁寧に書かれているしよくまとまっているのだけど、 2001.12.21 付として公開される記事で IE 5.01 SP2 / 5.5 SP2 / 6 はセキュリティホールなし ではまずいんじゃないの? 初心者さんはこういう「結果」しか見ないし。 「執筆時点では xx だがその後状況が変化している可能性もあるので、 Microsoft セキュリティ情報を確認してほしい」とか書いてくれナイト。 IE 6 にしただけで安心してもらうとすごくマズい。

　一瞬 マイクロソフト製品をより安心してご利用いただくためのホームユーザー向けセキュリティ対策早わかりガイド を推奨した方がいいのかなとも思ったのだが、 IE のページ には 5.01 だの 4.01 だのといった「もはや維持されていない」ものが並んでいるのでダメダメ。 Microsoft は自分自身で「お勧め」程度では済ませられない状況にしているくせに、こういうページをつくるんだもんなあ。

　というわけで、 気軽なノリ ということで。 「大阪/京都方面でトークライブ形式の小イベントをやろう」 ということ以外はまだなんも決まってない状況です。 詳細はおいおい発表されることでしょう。

　fusianasan トラップで使われた効果のテストと (IE を使いつづけられる) 回避方法。う〜む……。

　具体的には hotmail のコトですよね。他のアンチウィルスベンダも同様なのかな。 Microsoft ってやっぱり「機能優先」なんだよね。

2001.12.25 追記:

　少なくとも hotmail については、hotmail 自身が NAI/McAfee の anti-virus software を利用しているのだそうです。池田さん情報ありがとうございます。

2001.12.26 追記:

　櫻井さんから (ありがとうございます):

Hotmail自身が持っているウイルスチェック機能ですが、
トレンドマイクロで配布しているテスト用ウイルスeicar.comを
自分自身に送ってテストした限りでは、
今回のようなケース(OEを使ってダウンロードする場合）では
チェック機能が働かないことを確認しました。(^○^;
Hotmailに組み込まれているMacafeeのソフトウェアは
あくまでもWebメールでしか機能しないようです。

　さっそく私の hotmail アカウントに Goner.A (もちろん本物) を送ってみたところ、手元の Outlook Express 6 経由で 見事に受信できてしまいました。 なんなんだ……。

　A.D.2001 プレゼンテーション資料。 Windows での .pdf 作成は、free なツールでもがんばれないことはないと思いますが、 やっぱり Acrobat だとラクです。

　A.D.2001 プレゼンテーション資料。 open source というと、 マクロウィルスとか? (なんかちがう)

　A.D.2001 での 4lj 氏のプレゼン資料だそうです。 金床さん情報ありがとうございます。 (link fixed: 金床さんご指摘ありがとうございます)

　やっぱ大学ですか。ザルなとこ多いだろうからなあ。 こういう「悪評が立つ可能性」も考慮して、つーつーにするかフィルタばしばしにするか、などを決めましょう。

　いよいよ年末ですねえ。ってのんびりしている場合じゃないのだが。

警告

• IPA: ウイルス届出急増　年末緊急警報 −12月の届出件数は過去最悪のペース−

• JPCERT/CC: 長期休暇を控えて

アンチウィルスベンダ

• トレンドマイクロ: 期間限定ウイルス対策専用回線の公開に関して

• ネットワークアソシエイツ (NAI): McAfee 年末年始のサポートについてのご案内

  あ、IIS 4.0 だ。

その他

• NTBUGTRAQ: Administrivia #36268 - Say goodbye to NTBugtraq before Christmas。 うーむ大胆な管理。私にはマネできない。 気持ちはわからんでもないが。 Out of Office Agent in Outlook は確かにウザイしねえ。

　さっそく「そういう」ウィルスも登場している模様: 米CAなどアンチウイルス・ベンダー各社が「Reeezak」ウイルスを警告 (日経 BizTech)。

　MTX って多いんですね。

　2001.12.17 の MS01-058: 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム に追記した。 CERT Advisory 登場。

　MS01-058 がらみなので、まだ読んでない人はそちらも参照。

　ああそうか、

<?php
Header("Content-type: image/gif");
Header("Content-Disposition: inline");
readfile("page.html");
?>

とかしておいて、page.html にアクティブスクリプトを書くわけか。 これ、一旦ダウンロードしてから実行するので、アクティブスクリプト経由でなんでもやり放題なような気が。対策としては、アクティブスクリプトを無効にするしかないような気が。どうも、アクティブスクリプトの有効/無効はサイトが所属するゾーンで制御されるようなのだけど、実際のスクリプトの実行自体は local computer ゾーンになっちゃうみたい。

　NetSecurity の記事 2ch でIE のセキュリティホールをつく「fusianasanトラップ」が蔓延 では「この問題に関しては、12月13日に発表された累積パッチにより解消することが可能だ」としているが、 ほんとに防げてます? 手元で試した限りでは、 Windows 2000 SP2 + IE 6, Windows NT 4.0 SP6a + SRP + IE 6, Windows 2000 SP2 + IE 5.5 SP2 いずれもスクリプトが実行されてるっぽいのだが。 手元の Windows 2000 SP2 + IE 6 の場合は、スクリプトの実行途中で失敗しちゃうみたいだけど、JavaScript の知識が決定的に足りないのでよくわからん。 WSH 5.6 のからみかとも思ったけど、違うみたい。 VisualStudio とかが入っているからかなあ。

　テストページ http://www.st.ryukoku.ac.jp/~kjm/test/readme.gif では、page.html として

<script>
var x=window.open('file://C:/boot.ini');
x.navigate("javascript:alert(document.body.innerText)");
</script>

を置いてある (高木さんがむかし示されたものをかっぱらった)。 これを試すとみなさんどうなります? (c:\boot.ini への読み取り許可がある user で試してね)

2001.12.20 追記:

　……あー、 [memo:2392]。 単に .html から rename すればいいだけなんだ。そうなんだ。 .gif でも .jpg でも .txt でもおっけーですね。 結局は IE が Content-Type, Content-Dispostion を正常に扱ってない (01-058 patch を適用しても) ってコトなんですが。

　で、↑で書いたアヤシゲな script の実行なんですが、うまくいったりいかなかったりするみたいで、どうもよくわからんです。

　A.D.2001 プレゼン資料。「ハッカージャパン 21」Vol.7 も参照、かな。 サイズが大きいのは capture 画面が多いからかな。

　おくればせながら、手元の VMWare を 3.0 に upgrade した (2.0 から pre-purchase したので $89)。 確かに反応速度が上がっている。

　InterScan VirusWall UNIX において、Firewall-1 + 「ユーザ認証有りのプロキシ」 という状態で運用する場合に、パターンファイルの Update 処理において Firewall-1 が認証エラーを吐くのだそうだ。 リクエスト中に User-Agent が含まれていないためだそうで、次バージョンで対応されるそうだ。

　CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する に関連して、Linux のいくつかの distrib. では SysV login option を有効にした /bin/login を含めており、しかも vulnerable だという。 具体的には、Slackware 8.0 以前と SuSE 6.1 が vulnerable だと指摘されている。

　CERT/CC Vulnerability Note VU#569272 では RedHat, Mandrake, Caldera は Not Vulnerable だとされている。 ちなみに BSD 方面だと Apple, BSDI, NetBSD は Not Vulnerable だとされている。

　ProFTPD 1.2.4 以前に弱点。 ls /////////// (/ を 11 個以上つづける) とすると Segmentation Fault してしまう。1.2.5rc1 以降で fix されている。

　Becky! 2.00.07 以前の「実行可能タグを無効化」機能に問題があり、 いくつかの方法で HTML メール内の JavaScript を実行させることができてしまう。 2.00.08 で fix されているので適用する。

　2.00.08 ではこの他にも、anti-virus ソフトとのからみで不具合が発生する問題への対応などが含まれているようです。 ウイルス対策を施した「Becky! Internet Mail」v2.00.08が公開 などを参照してください。

　英語版: Retiring Windows NT Server 4.0: Changes in Product Availability and Support。

　というわけで、2003.01.01 以降は security fix であろうとなかろうとタダでは手に入らなくなる、と。 『デスクトップオペレーティングシステム（OS）の提供およびサポートの提供期間に関するガイドライン』−企業ユーザー様向け− や 『デスクトップオペレーティングシステム（OS）の提供およびサポートの提供期間に関するガイドライン』−コンシューマユーザー様向け− も読んでおきましょう。

　関連: Windowsの「引退スケジュール」に，昨年出た“あの”OSも (ZDNet)。open source 方面はもっと変化しますが、 必要なお金の額が違うから (まだ) 気にならないですね。

　なんでも http 時代第 1 弾の WebDAV です。 お勉強しておきましょう。 かゆいところに手が届く内容になっていて助かります。

　2001.12.13 の CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する に追記した。 再現方法など。

Sun

• Sun Security Bulletin #00213: login

  CERT Advisory CA-2001-34: System V系のLoginにバッファオーバフローが存在する の話。

FreeBSD

• FreeBSD-SA-01:67 htdig configuration file vulnerability

• FreeBSD-SA-01:68 xsane port uses insecure temporary file handling

Debian GNU/Linux

• DSA-093-1 postfix: remote DoS

• [DSA-094-1] mailman cross-site scripting problem

RedHat

• [RHSA-2001:160-09] Updated glibc packages are available

  CVE: CAN-2001-0886

HP-UX

• HP-UX setuid rlpdaemon induced to make illicit file writes

  CERT Advisory 2001-32: HP-UXのラインプリンタデーモンにディレクトリトラバーサルの脆弱性が存在する の詳細だろう多分。 なぜか「バッファオーバーフロー」として紹介していたのでついでに記述を修正。

TurboLinux

• openssh: ローカルユーザーによるroot権限奪取

　Secrets & Lies の翻訳本は 暗号の秘密とウソ。 題名でソンしてるよねえ。暗号の話はそれほど出てこないんだもん。 というか、冒頭からして……。

　いきなり CVE ってのは何か違うような気がするが。CVE って要は xref だよね? ……あ、RedHat も CVE 使うようになったんだ。 他の Linux distrib. や PC-UNIX 方面でも使ってくれるとメチャ助かるのだが。

　まあしかし、あれもやれぇこれもやれぇと言ったところで、できる企業は限られているような気が。それこそ 優先順位を考えて効率的なセキュリティ対策を なわけで。

　「Step 4: 対応」も出ている。 backup を用意しても、 backup server にも同じ弱点があった、なんてコトだとシャレにならないけど。 step 1, 2 は エンタープライズセキュリティを実現するための5つのステップ を。

　基本をきちんとやっておけば、少なくともスクリプトキディ程度にはやられないはず。どこまでが基本なのよ、という話もありますが。

　IE 5.5 SP2 / 6.0 に、新たな 3 つの問題。

1. 「HTML ストリームの Content-Dispostion ヘッダ フィールドおよび Content-Type ヘッダ フィールドの処理のある問題」。 Nimda が利用した MS01-020 のように、 web ページや電子メールの閲覧によって、 一切の確認なしにいきなり .exe を実行させられるようだ。 やばい、のだが詳細不明。何に対して警戒すればよいのかよくわからん。 IE 6 のみの問題とされている。

2. 「MS01-015: フレームのドメイン照合脆弱性の変種」。 詳細はよくわからない。 IE 5.5 / 6 共通の問題とされている。

3. 「ファイルのダウンロードが開始されると、ダイアログ ボックスにファイルの名前が表示されます。しかし、場合によっては攻撃者がダイアログ ボックスに実際のファイル名とは異なる名前を表示させることができる可能性があります」。 IE 5.5 / 6 共通の問題とされている。 これは RE: File extensions spoofable in MSIE download dialog の話だと思う。

　1 番目と 3 番目の違いは、3 番目はウソであってもとにかくダイアログが出るが 1 番目はそれすら出ない、ということなのかなあ。3 番目のやつの特殊形が 1 番目? ちょっと試してみたけどよくわかんないや。 試した結果は RE: File extensions spoofable in MSIE download dialog の方に追記しておいた。

　対策としては、IE 5.5 SP2 / 6 には patch があるので適用すればよい。 3 番目については IE 5.5 も十分致命的なので、ちゃんと patch を適用しよう。 その意味で、Microsoft の言う「危険度: 中 (moderate)」には賛成できない。

　少なくとも 3 番目の問題については、IE 5.01 SP2 には IE 6 と同程度の問題がある。という話は RE: File extensions spoofable in MSIE download dialog に書いた。 試しに手元の IE 6 に MS01-058 fix を適用してみたら、まともなダイアログを表示するようになった。しかし、同様の問題がある IE 5.01 SP2 用の fix は出ないのだ。 IE 5.01 SP2 以前のユーザは IE 5.5 SP2 あるいは IE 6 に移行される事を強く推奨する。

　CVE: CAN-2001-0727, CAN-2001-0874, CAN-2001-0875

　関連記事: IE 5.5/6.0に新たなセキュリティホール (ZDNet)、 New Internet Explorer Vulnerabilities and Patch (incidents.org)。

2001.12.18 追記:

　関連記事: IE 5.5/6で発生する深刻なセキュリティ問題の修正プログラムが公開 (窓の杜)

2001.12.20 追記:

　CERT Advisory 登場: CERT Advisory 2001-36: Microsoft Internet ExplorerはContent-Disposition並びにContent-Typeの両 MIMEヘッダを尊重していない (reasoning.org)。 英語オリジナル: CA-2001-36 Microsoft Internet Explorer Does Not Respect Content-Disposition and Content-Type MIME Headers 。

　あと、fusianasanトラップになんらかの対処を という話も出てます。IE 5.5 SP2 でも問題になる ところを考えると、MS01-058 の 1 番目の問題はこれでもないみたいなんだよなあ。

2002.01.18 追記:

　MSIE may download and run programs automatically - details。

2002.02.20 追記:

　IEとWindows NT/2000のセキュリティ・ホールを検証する (日経 IT Pro)。

　昔は資源が乏しかったのでがんばってカリカリに tuning してたりしましたが、 今ではそのへんの数万円の PC でもとんでもないパフォーマンスですし、 その分台数も多くなったので、あまりまじめに tuning できてないなあ。 あ、新サーバに tripwire 入れとかなくちゃ。

　A.D.2001 でのプレゼン資料だそうです。 おそるべし > Sun。 KuniG さん情報ありがとうございます。

　A.D.2001 でのプレゼン資料だそうです。snort し (ようとし) ている人は読みましょう。 宗教上の理由で .ppt が読めない方はこちら: pdf 版。

　IE 6 に弱点。IE 6 に同梱されている Microsoft.XMLHTTP ActiveXObject (という表現でいいのかな) に弱点。 悪意ある web サイトは、この ActiveXObject を利用して、既知のパス名のファイルを読みとることが可能。 IE 5.5 にはこの弱点はないという。 手元の IE 6 / Windows 2000 SP2 日本語版でも見事に成功した。

　ActiveScript, ActiveX コントロールとプラグインの実行, スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行 のいずれかを無効にすれば回避できる。

　A.D.2001 でのプレゼン資料だそうです。解説つき。すばらしい内容。 「もしかしたらスグに消すかも」 と書かれているので、速攻で wget -r -np。

　Windows 用の proxy サーバ BlackJumboDog 2.6.1 以前に弱点。クロスサイトスクリプティング脆弱性が存在する。 2.6.2 で fix されているので upgrade する。 BlackJumboDog 開発元と弱点発見者の高木さんとのやりとりが全て公開されているのが興味深い。

• ロータスドミノ SunRPC DoS 攻撃の脆弱性について

  確かに脆弱性が存在し、R5.0.9 で fix されたそうで。 当の www.lotus.co.jp 自身は Lotus-Domino/5.07 のようで。

• 不正な URL を使った DoS 攻撃について

  確かに脆弱性が存在するが、「攻撃されるデータベースは、サーバータスク、ユーザーのいずれからも以前に全くアクセスされていないことが必須条件」 のだそうで。

　2001.12.05 の [memo:2162] アップルのメールサーバはオープンリレー に追記した。 mail-in.asia.apple.com は直ったが、mail-in.euro.apple.com だとイケるという話。

　ssh に関する既知の脆弱性、特に Vulnerability Note VU#945216: SSH CRC32 attack detection code contains remote integer overflow まわりについての警告。 SSHスキャンの激増 (NetSecurity) を受けて、でしょうね。 References が素敵。 オリジナル: CERT Advisory CA-2001-35: Recent Activity Against Secure Shell Daemons

　というわけで、そろそろ protocol version 1.x は捨てたいと思っていたりするのですが、「日本語」+「Windows」というところでネックになっていたり。 試してみた限りでは SSH Secure Shell for Workstations Japanese 3.0 はなかなかいい感じなのですが、いかんせんおタカいですし。 PuTTY あたりが日本語バリバリになるか、TeraTerm 用の ssh2 extension が登場するかするとうれしいのですが。 実力があれば自分で書くのですが、ないので (T_T)。

　(reasoning.org から日本語版が出たので、表題はそちらに変更しておきました)

　video 自体はどこかで公開されているんだろうか。 しかしこの「テープ」、CIA などによる捏造ではないという証拠はあるんですかね (そんなもんはどこにもないだろうけど)。 たとえば [aml 25629] ＩＳＩとＣＩＡの関わり、と。

　そういえば、事故だかなんだか知らないけど、B-1B が 1 機墜落したらしいですね。

　……ビデオも公開されているようですね: ビン・ラディンのビデオにネットユーザー殺到 (CNET)。わはは、DoS。

　あとは、たとえば [aml 25629] ＩＳＩとＣＩＡの関わり とか [aml 25610] アメリカが自由主義・・・ (炭疽菌とアメリカの報道) とか。 米軍は U.S. を守るのか、破壊するのか。

　耐障害用途に広く使われているらしい HSRP だが、7. Security Considerations にあるようにセキュリティは皆無なので、 同じ LAN セグメントにアクセスできる攻撃者から DoS 攻撃が可能という話。 HSRP とはそういうものだ、という理解が必要だということだろう。 Workaround としては、IPsec の利用が挙げられている。

　[port139:00849] も参照。foo.~[e^x^e]~ ですか……。 もしかして、~[e^x^e]~.~[e^x^e]~ なんてコマンドも実現可能ということだろうか。うーむ。

　なんか XP 欲しくなってきた (なんかちがう)。

　AIX 4.3〜5.1, HP-UX, SCO OpenServer 5.0.6 以前, SGI IRIX 3.x (!!), Sun Solaris 8 以前 (ってどこまでさかのぼれるの?) に弱点。 これらに含まれる、System V 由来の login コマンドに buffer overflow する弱点があり、攻撃者が root 権限を得られる。 login を呼ぶコマンドとしては、たとえば telnetd とか rlogind とかが挙げられる。 そのため、これらのコマンドを経由して remote から root 権限を奪取することが可能だという。 英語オリジナル: CERT Advisory CA-2001-34 Buffer Overflow in System V Derived Login 。

　対応としては、patch があれば patch を適用。 patch がない場合は、telnetd や rlogind など login を呼ぶコマンドを停止する。 この他に乱暴な方法 (^^) として、login を S/Key (logdaemon) や OPIE 付属のものに取り換えてしまうというテもあるだろう。

　Appendix A. - Vendor Information では、HP は「HP-UX is NOT Exploitable」だと言っている。 AIX からは emergency fix が出ている。 Sun はまだ。SGI IRIX 3.x……は patch 出ないだろうさすがに。

　関連: Vulnerability Note VU#569272: System V derived login contains a remotely exploitable buffer overflow (CERT/CC)、 Internet Security Systems Security Advisory: Buffer Overflow in /bin/login (ISS)。

　(reasoning.org から日本語版が出たので、表題はそちらに変更しておきました)

2001.12.18 追記:

　nessus ML に投稿された binlogin_overflow.nasl によると、 こういうことらしい:

port = get_kb_item("Services/telnet");
if(!port) port = 23;

function login(env)
{
soc = open_sock_tcp(port);
if(soc)
{
 buffer = telnet_init(soc);
 send(socket:soc, data:string("nessus ", env, "\r\n"));
 r = recv(socket:soc, length:4096);
 close(soc);
 if("word:" >< r)
  {
        return(1);
  }
 }
 return(0);
}

if(login(env:""))
{
 my_env = crap(data:"A=B ", length:400);
 res = login(env:my_env);
 if(!res)
 {
  security_hole(port);
 }
}

　あと、Sun Security Bulletin #00213: login が出たので Solaris な人は適用しましょう。

2001.12.20 追記:

　Linux distributions and /bin/login overflow という話がある模様。

　それって何が「Unbreakable」なの? 必ずしも Oracle なワケではないような気が。

　ZDNet の記事だとイマイチよくわからないのだが、 Oracle 自身は「Oracle9i Application Server release 2」が Unbreakable だと言いたい模様。 最初から穴つきでは論外だけど、 こんなのは使う人次第でどうにでもなってしまうと思うのだがなあ。

　……A+ さんから鋭いツッコミをいただきました (ありがとうございます):

この記事で、

> 「Unbreakable」を開始してから7週間，
> 当社のサイトが攻撃される回数は週に3000回ほどだが，
> いまや週に3万回の攻撃を受けている。

とあるけど、この７週間って調度 Nimda が発生した時期に重なる気がするんですよね。

私も個人でひっそりサーバ立ててまして、
ふと、自分のとこにきた Nimda の数を数えてみたんだが
うちでも週３万超えてるんですよね…。
うちの apache も侵入を許してはいません（当然ですが）。

もしもこの攻撃のカウントに Nimda が含まれているとすれば
世の中にあるサーバは殆どが賞賛されなければいけないことになってしまいますよ
ねぇ。
つまりうちのサーバも「Unbreakable」ということになるわけです（笑

> 「ハッカーはWindows NTのバグを探そうとOracleのWebサイトに攻撃を仕掛けてくる。
> かわいそうなことに，それはフロントガラスにぶつかる蝿のようなもの。
> フロントガラスはびくともしない」（同氏）
とあるがこのことからも攻撃の大半が Nimda であると予想がつきます。

というわけでこの記事、
実は全く的外れなことを書いてるのかも知れず…
と思いました。

# Oracle の良いように宣伝に使われてるだけ？

　メールアドレス鋭すぎです > A+ さん (^^;;;)。

　Outlook Express 6 のセキュリティオプション「ウィルスの可能性がある添付ファイルを保存したり開いたりしない」をチェックする (デフォルトはチェックなし) と、「ウィルスの可能性がある添付ファイル」を開いたり保存したりできなくなる。 のだが、そういうものが添付されたメールを「転送」して表示された Fw: ウィンドウの「添付:」経由では、開いたり保存したりできてしまう、という話。 これは「仕様」だそうです。 まあそんなもんでしょう。

　「ウィルスの可能性がある添付ファイル」とは何かについては以下参照: OLEXP: Using Virus Protection Features in Outlook Express 6 (Q291387) 、 [OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法 (JP291387)。 OE 専用に別途定義できないってのはつらいなあ。

　Windows 用 Personal FireWall ソフトが、 MS 標準の protocol stack から送られたものではないパケットを検査できないという話。 少なくとも、ZoneAlarm と Tiny Personal Firewall にはこの問題があるとされている。

　富士通の J2EE 対応アプリケーションサーバ INTERSTAGE に Cross Site Scripting 脆弱性があるという指摘。 Cross-Site Scripting問題に関するINTERSTAGEの対応(2001.11.30) に回避策および patch が示されているが、 全ての INTERSTAGE に対して patch が用意されているわけではない。 patch がある製品については patch を適用し、 そうでない製品については回避策を実施されたい。

　Exchange 5.5 + Outlook Web Access (OWA) で弱点。 特殊なスクリプトを含む HTML メールを OWA で開くと、そのスクリプトが OWA サーバが属するゾーンの権限で実行されてしまい、結果としてスクリプト経由でメールの発信・移動・削除などが可能になってしまう。 ただし、この弱点を利用したメールの大量送信 (spam) はできないそうだ。 また、OWA を利用していない場合はこの弱点の影響は受けない。

　patch があるので適用すればよい。ただし、Exchange サーバ上にインストールしてある IE が 5.5 SP2 以降である必要があるようだ。 参照: Potential Problem with Microsoft Security Bulletin MS01-057。

　2001.11.07 の Acrobat 4.0（Win）：Microsoft Office 2000 のアプリケーションを起動する際にエラー「証明（署名または発行元）は有効期限が切れました。」 に追記した。 Acrobat 5.0.5 で対応された模様。

　セミナー資料と質疑応答の記録。

　息切れしてきたのでここまでを公開。

• Windows .NET Server Family Beta 3 Technical Overview Page 4 of 4: Improve Employee Communication and Collaboration Across a Business

  .NET Server / IIS 6.0 の HTTP.SYS ネタですが、 Kernel-mode Queuing というところにちょこっと書いてあります。 これはつまり、HTTP.SYS は Kernel-mode Queuing だけ を行うというコトなんでしょうかねえ。いまいちよくわかんない。

• Microsoft IIS/5 bogus Content-length bug.

  IIS 5.0 に対する HTTP リクエストに Content-Length: 5300643 なんて書いておくと、 コネクションが開きっぱなしになるので DoS が可能という話。 補足も参照。

• [memo:2283] about:プロトコル 対策のレジストリ設定の影響

  about: による cookie 取得攻撃への workaround として about: のゾーン設定を「制限付きサイト」ゾーンへ変更すると、 Windows 2000 Resource Kit の Tools が動作しなくなるという話。

• [port139:00793] [XP] ソフトウェアの制限ポリシー

  XP Pro. の「ソフトウェアの制限のポリシー」 で遊んでみた話。Outlook Express については [port139:00801] に答が示されている。 また、.exe に制限をかけても拡張子を変更すれば実行できてしまうらしい [port139:00822]。 まだ XP はさわったことがないのでよくわかんないや。

• Alert: Exchange Server 5.5 Virus Scanning API 1.0

  Exchange 5.5 SP2 以前の MAPI ベーススキャン、 5.5 SP3 の Virus Scanning API 1.0 ベーススキャンでは virus check が完全ではない、という話。 おまけに、よりマトモになった Virus Scanning API 2.0 は Exchange 2000 でしか提供されない。イェイ。

• [memo:2274] Re: アンチウィルスソフトのアップデートについて

  Wake-on-Lan と Before Power Off を利用して、24h 稼働でない PC の anti-virus data を update するテクニック。

• [memo:2277] Re: Scanning all files on a drive

  アクセス権のないファイルに対する virus check をするにはどうすれば [memo:2165] という問題提起に対する回答。 補足 [memo:2278] も参照のこと。

  port139 ML でも [port139:00836] 以下のスレッドで同じ話題を扱っているので参照されたい。

• [memo:2269] Office Update Inventory Tool 1.0

  http://www.microsoft.com/downloads/release.asp?ReleaseID=34453 から入手できるそうです。 HFNetChk の Office 版、という感じでしょうか。 OFF: Office Update Inventory Tool Readme (Q312982) は現在は閲覧可能な模様です。

• [memo:2234] NAVGW が Badtrans Goner を取りこぼすこと

  gateway ものはいろいろあるようです。

• SQL Server 方面。いずれも PASSJ から。

  • [pml-security,00148] xp_crypt: 暗号化、複合化、ハッシュ値計算のための拡張ストア ドプロシジャ

  • [pml-security,00150] dSQLSRVD 暗号化したストアドプロシジャやビューを覗きたい !

  • [pml-security,00151] pwdencrypt : パスワード暗号化用関数

  • [pml-security,00152] xp_cmdshell を削除しますか ?

Debian GNU/Linux

• DSA-092-1 wmtv: local root exploit

• DSA-091-1 ssh: influencing login

• DSA-090-1 xtel: symlink attack

• DSA-089-1 icecast-server: remote root exploit (and others)

• DSA-088-1 fml: improper character escaping

  これは FML Advisory 2001-001: $AUTO_HTML_GEN pass through invalid URL (HTML 化機構が悪意ある URL を通過させ得る) の話。

FreeBSD

• FreeBSD-SA-01:63.openssh: OpenSSH UseLogin directive permits privilege escalation [REVISED]

  openssh-portable も同様だと思うのだけど、書かれてないですね。 openssh と openssh-portable は、 どっちを使うのがいいんだろう。 同様にメンテナンスされているみたいだけど。

  そういえば、vuln-dev ML には OpenSSH UseLogin proof of concept exploit という記事が流れてました。

• FreeBSD-SA-01:64.wu-ftpd: wu-ftpd port contains remote root compromise

  これは *ALERT* BID 3581: Wu-Ftpd File Globbing Heap Corruption Vulnerability の話。 (link fixed: 木村さん感謝)

• FreeBSD-SA-01:65.libgtop: Buffer overflow in libgtop_server

  local から libgtop_server が保持する gid kmem 権限を取得可能。 kmem 権限があれば kernel memory が読めるので、 ここからさらに root 権限の奪取も可能と考えられる。

• FreeBSD-SA-01:66.thttpd: thttpd port contains remotely vulnerability

  remote から thttpd 動作権限 (通常 nobody) を奪取可能。

RedHat

• [RHSA-2001:164-08] Updated secureweb packages available

HP

• security bulletins digest

  HP-UX の rpc.ttdbserverd の続報と、HP Secure OS software for Linux Release 1.0 の Linux kernel version が 2.4.5 になったという話。

　「個人レベルでの暗号化が、当たり前となる」? ISP が PKI サービスするくらいにならないと普及しないような気が (「インフラ」だしねえ)。 してるとこってありましたっけ?

　こういう時代なんだし、個人にもサーバ鍵出してほしいよねえ。 非商用 only でいいから安いやつを。

　「個人情報が漏れたり悪用された場合に、住基ネットへの接続を切断できる」。わかっていらっしゃる自治体は違う。問題は「個人情報が漏れたり悪用された」ことをどうやって検知するかかなあ。 とりあえず条例つくればそれで済むわけじゃないだろうし。

　デフォルト設定が安全側に倒れたのはいいのだけど、

IIS 6.0の内部デザインは，新しいhttpd.sysをベースとする。HTTPサーバとキャッシュからなるhttpd.sysは，ネットワークスタックと直接交信を行い，カーネルモードで動作することで速度の改善を図っている。

　カーネルモードですか……。

　SecurityFocus.com Newsletter 第 122 号日本語版 (テキスト, 英語版)。 Stealth HTTP Scanner (2.0 Build 37 が出てます) は http://www.nstalker.com/stealth.php に移動したようです。

　「2001.12.07 アンケート調査票の発送を開始 」だそうです。ちゃんと調査票を公開してるあたりエライなあ。

　でも、全ての質問内容を理解できるトコロってどのくらいあるんだろう。 「ペネトレーションテストって何だ?」とかありがちっぽくない?

　検出できない場合があるので hotfix が用意されたそうです。

　MacOS 8.6 以降 / MacOS X で使える sftp (ssh についてくる sftp) クライアント。

　ライセンスがアレゲな ip filter にかわり OpenBSD 3.0 以降に塔載されている pf の実装についての記事。

　[memo:2282] の問題は修正された模様。

　snort 用サーバ機がまだ届かない。 つーか、すでに届いている他のサーバをまず setup しろよ > 俺。

　OEM 版ユーザは要注意ですねえ。 「この問題を解決する OPK (OEM Preinstall Kit) のアップデートは、コンピュータの製造元に配布されました」 そうですが、 フロッピードライブやパワーケーブルの OEM で購入した (!) ユーザはどうなるんでしょうね。 Q312369 には "Windows XP Update Package, November 19, 2001" をインストールするとか Undo_guimode.txt を削除するとか出てますが。

　「これらのウイルスの中には，1つもVBスクリプトで作成されたウイルスがないのである」、確かに……。

2001.12.14 追記:

　記事 中 (2) で「Outlook Expressのプレビュー機能をOffにする」 方法として挙げられている 「Outlook Expressの「ツール」−「オプション」でオプション画面を起動し，「読み取り」タブで「プレビューウィンドウで表示するメッセージを自動的にダウンロードする」のチェックを外せばよい」 は、POP3 を利用している場合には効果がない。 IMAP, news, hotmail の場合には効果がある。

　POP3 でも効果のあるプレビュー無効化は次の手順: メールフォルダ (どれでもよい) を選択してから 表示メニューの [レイアウト(L)...] で「ウィンドウのレイアウトのプロパティ」 を表示させ、[プレビューウィンドウを表示する] のチェックを外す。

　参照: [memo:2323], [memo:2325]

　Trends in Denial of Service Attack Technology によると、handler / agent model はもう古いみたい。 プラットホームは Windows で、制御は IRC で、というのが流行りのようです。 grc.com がヤラれた話 もこのパターンですよね。

　JPCERT/CC Seminar 2001 では警察庁の坂氏が注目されていたという話を聞いたのだけど、 この記事ではぜんぜん出てこないな。 やっぱ現場に行かなきゃイカンなあ。

　DNS root server については、 DNSミーティング で root server M についての発表が WIDE 加藤氏により行われていた。 「関東がつぶれたとき」用に、 backup が大阪方面某所に用意されるよう準備中の模様。 また named version についても、現行 M さん (bind 8) とは違うコードベースのもの (bind 9) を利用する方向で検討中の模様。 ただし bind 9 のパフォーマンス (bind 8 の半分程度) は懸念事項の模様。

　DNSミーティングでは、遅くてデカい bind 9 も、ガンコ一徹すぎの djbdns も「大規模運用ではちょっとね」という雰囲気だったので、ここで一発 「bind 8 のパフォーマンスと djbdns の堅牢性」 をあわせ持つ DNS server をスクラッチする人が出ると、 ヒーローになれることうけあいの模様。

　参照: JPCERT/CC 活動概要 [ 2001年7月1日 〜 2001年9月30日 ] 、 インシデント報告件数の推移。 私は IP Meeting 2001 には参加できていないのだが、 別途伝え聞いた情報によると、 2001.07.01〜09.30 の報告件数が 04.01〜06.30 よりも減っているのは 「これまでこまめに、しかも JPCERT/CC にとって処理しやすい形でしてくれていた方からの情報提供がなくなった」 ためなのだそうです。 あと、あくまでこれは「件数」であることに注意。 整理した情報をまとめてドカッと送っても「1件」。 「助けて!」とだけ書いて JPCERT/CC を混乱させても「1件」。

　JPCERT/CC くらい、期待されている活動内容と実際の組織規模とのギャップが激しい組織もなかなかないですよねえ。 「JPCERT はマイクロソフトになんとかしろとは言わないのか」 というのも期待のアラワレなんだろうけど、 なんとかしろと言わねばならぬ相手はマイクロソフトに限らないし、 マイクロソフトはどっちかとゆーと 「セキュリティ fix も情報もちゃんと出している企業」 なわけで (この事実を理解できていない人は多いようだ)。 どうして「JPCERT は Project Vine になんとかしろとは言わないのか」 という声が上がらなかったのか、私にはよくわからないです。 (そういう声も上がっていたのならごめん)

　というわけで、JPCERT/CC にはやっぱり CC (Coordination Center) の部分でがんばって頂きたいと思ったり。現状 JPCERT/CC が有する資源ではいろいろとたいへんであることは理解していますが。

　HFNetChk 用の xml ファイルはこまめに update されているので、下手に悩むよりはこれを基準にするのがいちばんいいのでしょう。 自動 get するのは英語版 xml ファイルなのだけど、せっかく MSKK から配布するなら日本語版 xml ファイルを自動 get するようになっていてほしいような。

　「Norton AntiVirus for Macintosh （NAVM）はAutoProtect機能、スケジューラ機能がMac OS X上で動作しません」なんて状態で「対応」と言っていいのか? デスクトップ OS 用としては明らかに不合格だぞ。 「シマンテックではMac OS X上でネイティブに稼働するよう設計した製品ラインを現在開発中です」 だそうなので、この次の版で対応なんですかねえ。

　まあ、こういう意味でも「MacOS X はまだまだ使えない」のでしょう。

　「名刺に住所が書かれていない謎の組織」JPCERT/CC に関する FAQ。 これができあがるまでには、さまざまな苦労があった模様。 (typo fixed: 横井さん感謝)

　mail-in.asia.apple.com が open relay を許しているという指摘。 試してみたが、確かにその通りのようだ。

2001.12.14 追記:

　mail-in.asia.apple.com は直ったが、mail-in.euro.apple.com だとイケるという話。 参照: [memo:2337]

　2001.12.10 の 最も小さなワーム〜W32.Aliz に追記した。 記事中の記述の一部に、POP3 ユーザにとっては意味がないものがある。

　こんな内容の php スクリプトを用意し、

<?php
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

これを readme.txt という名前で保存する。で、AddType application/x-httpd-php .txt する。で、IE からアクセスしてみる。

　IE 5.01 SP2 や IE 6 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、今度は 「次のファイルをダウンロードしています - calc.exe - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」 というダイアログが出る。これは正常だ。

　ところが、IE 5.5 SP2 からアクセスすると、「次のファイルをダウンロードしています - readme.txt - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出たときに「開く」と答えると、 いきなり calc.exe が実行されてしまうのだ。あな恐しや。 手元では IE 5.01 SP2 / 5.5 SP2 / 6 on Windows 2000 SP2 で確認した。

　実験したい人は http://www.st.ryukoku.ac.jp/~kjm/test/readme.txt にアクセスされたい。ここでは calc.exe ではなく lhasa016.exe になっている。

　.asp の場合はこんなふうなのだそうだ。

　Netscape 6.2 でも試してみたが、指定されていないアプリで開くか保存するかしかできないようなので ok だろう。

2001.12.17 追記:

　MS01-058: 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム で修正されている。これを適用すると、IE 6 では最初から 「次のファイルをダウンロードしています - calc.exe - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」 というダイアログが出るようになる。

　あと、こんなふうに変更してみて

<?php
Header("Content-type: application/ms-word");
Header("Content-Disposition: attachment; filename=calc.exe");
readfile("calc.exe");
?>

readme.doc という名前にして AddType application/x-httpd-php .doc として IE 6 (MS01-058 patch なし) で試すと、「次のファイルをダウンロードしています - readme.doc - ファイルを開くか、ファイルをコンピュータに保存するか選択してください」というダイアログが出る。で、「開く」と答えると、 calc.exe がいきなり実行されてしまう。 これで IE 6 も IE 5.5 と同程度に危険ということに。 patch ありではちゃんと「calc.exe」になる。 もっとも、Office がインストールされていない環境とか、 Office の open 時のデフォルトの挙動の設定とかにも依存するのだろう。 (きっと「デフォルト = open」が影響しているに違いない)

　2001.11.29 の 現在、以下の製品でW32.Aliz.Worm及びW32.Badtrans.B@mmの検知/駆除において問題が確認されております (Norton AntiVirus for Gateways 2.[125].x 問題) に追記した。いくつかの続報。 (link fixed: 志村さん感謝)

　ソニースタイルにおいては、login ID がパスワードとして用いられているため、 推測しやすい login ID を選択しているユーザの個人情報を誰でも簡単に入手・変更することができてしまうという話。 こういうものを「認証」だと言ってしまうところもアレゲだが、 高木氏とソニースタイルとのやりとりがまたアレゲ。 さらにつづきがあり [memo:2140]、 またまたアレゲだがとりあえずやめることにはなった模様。

　「さすがといわれる会社」ですねえ。

　CentreNET AT-TCP/32 Elite-FTPクライアント 2.1 pl 0 に弱点。 長大なバナー文字列によって buffer overflow が発生するため、 バナーに攻撃コードを仕込むことにより、悪意ある ftp サーバがクライアント上で任意のコマンドを実行させることができる。 2.1 pl 1 で修正されているので update する。

RedHat

• [RHSA-2001:150-06] Updated Cyrus SASL packages available

• [RHSA-2001:154-06] Updated OpenSSH packages available

TurboLinux

• wu-ftpd ローカルユーザーによるroot権限奪取

Debian GNU/Linux

• [SECURITY] [DSA-087-1] wu-ftpd buffer overflow in glob code

OpenBSD

• November 28, 2001: An attacker can trick a machine running the lpd daemon into creating new files in the root directory from a machine with remote line printer access.

  OpenBSD 3.0 以前の lpd に弱点。lpd へのアクセスを許可された機械から、 / 下にファイルを作成されてしまう。 3.0 patch, 2.9/2.8 patch。

• OpenBSD local DoS (BUGTRAQ)

  OpenBSD 2.9, 3.0 に対する local DoS コード。 対策 patch つき。

　SecurityFocus.com Newsletter 第 121 号日本語版 (テキスト, 英語版)。

　SecurityFocus.com Newsletter 第 120 号日本語版 (テキスト, 英語版)。

　JWNTUG 2nd Open Talk in MSC 大阪では、Windows Update (の進化形) は単なる hotfix の入手用などというものではなく、3rd パーティソフトや企業内管理者からも利用可能なものとして動く、という話を聞いた。まあしかし、ワクチンソフトの data ファイル程度のものでない限り、入手自体は自動化させても、最終的な配布までは自動化したくないだろう。 過去の事例を見ても、ね。

　しかし、このタイトルはなんだか意味不明だなあ。

　……山崎さんから:

業務の関係で OSや使用していたウィルススキャンのバージョンア
ップが出来なく、たまたま該当した為に全部所の NT Workstation
で自動アップデートかかったコンピュータすべて起動しなくなる
という洒落にならん状態に陥ったことがあります。

http://web.archive.org/web/20001109184200/http://www.nai.com/japan/download/dat4102.asp

＃ naiは無かったことにしたいらしいですね… Webサイト見て
＃も痕跡すら残っていません。 archive.orgにあってよかった :-)

小島さんのサイトにも載っていたような記憶があるなぁと思って
みてみたらありました。2000.11.08付けのものですね。

というわけで「ワクチンソフトの data ファイル程度」であって
もハマル場合があるので、自分でテストして大丈夫と思わない限
りは入手配布は自動化させたくないと思ったりしてます。

＃…とはいってもコスト等の絡みでしな自動化しなきゃならん場
＃合が多いんですけど。

　そういうリスクがあるのは理解していますが、これだけ virus わさわさな時代ですので、現実問題としてテストしている時間ってとれないような気が。 data がアレゲで社内システムがダウンするリスクと、virus にひっかかって社内システムがダウンしさらに外部に被害を及ぼすリスク (+ それぞれについての復旧するためのコスト) をてんびんにかけて判断することになるのでしょうが、ふつうは前者の方が低いような気が。

　あと、Windows を使わないことによるリスク回避は現状ではとても有効だと思います。

　特定の形式のメールを受信すると、Outlook Express 5.0, 5.01, 5.02 for Mac がダウンしてしまう。5.03 で修正されているそうだ。英語版 5.03 が入手可能だが、 日本語版はまだ。 ただし、日本語メールの読み書きについては英語版でも可能だそうだ。 落ちるメールの例としては Simple .ida exploit method and POC code. があるそうだ。手元でも MacOS X 10.1.1 + Outlook Express 5.02 日本語版 (Classic 環境) で落ちることを確認した。

　[stalk:01055] [FYI]Buffer over flow on Outlook express for Macintosh 以降でも議論されているので参照。

　リンクとか備忘録とか日記とか: 2001.12.04 番外編 にまとまった記事が出ました。 手元の OE 5.02 では DELE してから crash してくれたっぽいのですが、 これはタイミング依存なのかな。

2001.12.17 追記:

　Outlook Express 5.03 Macintosh Edition 登場。利用者は入れかえましょう。

　その「免許」システムがまともなものになるという保証も、 「免許」があるからまともなサービスがなされるという保証もないような。 結局ユーザ自身が判断しなければならないということ自体は何も変わらないような。

　迷惑メール防止法案 なんてものを出す人間が、この程度の認識でいてもらっては困るのだがなあ。 これだから民主党はドッチラケ (死語) 政党なんだよなぁ。 イージス艦出さなかったから賛成ってなんなんだよ一体。

　ってことを言っててもラチあかないから、センセー方を教育するしかないのかな。 ガッコのセンセー方よりは人の話を聞いてくれそうな気はしないでもない。 50 歩 51 歩かもしれんが。

　関連: 議員も間違う行政のサイバーテロの定義　検討経過と有効性に大きな疑問、 R-MSX サイトだった島さとし議員のサイト (NetSecurity)。 JPCERT/CC って今でも「原則はボランティア組織」なんでしたっけ? IW 2001 で確認しておかナイト。