Last modified: Wed Feb 26 18:52:09 2003 +0900 (JST)
帰って来る?ウルトラマンコスモス (slashdot.jp)。おぉっ?!
違法コピーには北風より太陽 (CNET)。そんなにうまくいくのかなあ。
富士通が「e-Japan」で開く新市場に狙い (日経 IT Pro)。 狙うのはべつにいいんだけど、穴つくるのはやめてくださいね。 これまでに得られた教訓から学んでますよね?!
京都府警 子供向けにハイテク犯罪からの自衛ホームページ (毎日)。 7/1 start なので、まだ何もありません。
三重県議会 住基ネット施行延期求める意見書可決 (毎日)。県レベルで、ですぜ。 住基ネット「8月5日稼働の予定変えず」 総務相表明 (毎日) だそうですが。
Apache ワームが登場した模様。 FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix) とか FreeBSD 4.5 x86 / Apache/1.3.20 (Unix) って文字列が見えるなあ。/tmp/.a とか /tmp/.uua とかにアレゲなものを産みおとす模様。
ISPのセキュリティ・サポートを認定する新制度 ISP協とテレサ協 (ZDNet)。わかったようなわからないようなマークがまたひとつ。
JWNTUG Security ML。やっとできた。とりあえず subscribe。
[aml 28678] Fw: [chance-forum:6319] 【報道】西側はまたしてもアフガニスタンを見捨て始めた(ガーディアン紙)。
米軍車両にひかれ女子中学生2人死亡 韓国 (asahi.com)。ようやく報道か > asahi.com。AML だと [aml 28510] や [aml 28604] ですね (転載禁止になってるので web archive にはありません)。 [aml 28604] によると、「はね」たのではなく「押しつぶした」ことになっている。なにしろ相手は「装甲車」なんてものではなく「浮き橋運搬用の軌道車両」だというのだ。キャタピラーで「押しつぶした」というのだ。
[日韓記者日記] 礼儀知らずの「大合唱」 (毎日)。 傍若無人の「テーハンミングク」に怒! (zakzak) と同じ穴のムジナ。トルシエ監督が言うように、アジアはまだ遅れているってことか。って、ひとくくりにするとアジアの他の国の人に失礼か。 張さん情報ありがとうございます。
2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc にまた追記した。 bind 9 を利用した回避方法。 JPCERT/CC 注意喚起。
CISCO IOS、PIX Firewall、CatOS が動作する Catalyst 6000、Cisco 11000 Content Service Switch に弱点。 Cisco Security Advisory: Multiple SSH Vulnerabilities を適用した場合に、攻撃者が SSH CRC32 attack を行うと、SSH モジュールが CPU を食いまくって DoS 状態になってしまったり、あるいは reboot してしまったりする。
patch があったりなかったりするようなので、ご利用の IOS 等のバージョンをお確かめの上ご対応を。
ファイルのつくり方にいろいろと問題があるようで。
2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。NetBSD Advisory、bind 4.9.9/8.2.6/8.3.3 登場。
2002.06.27 の CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling に追記した。NetBSD, Kondara, RedHat からの Advisory。
うーむ、 The page cannot be found って使用許諾契約なのか……。 (typo fixed: mitsuki さん感謝)
SSH Secure SHell ssh-3.2.0 が出たそうです。
セキュリティマガジン vol.004 でがくとさんが http://www.eicar.org/anti_virus_test_file.htm に本物そっくりのテストウィルスファイルがあるよ、という話をされていましたが、 Sophos AntiVirus CD-ROM の TOOLS/UTILS ディレクトリには eicar.com を生成する SAVTEST.EXE というコマンドがある、ことにさきほど気がつきました。
Trojan Detection kernel patches for OpenBSD and FreeBSD、OpenBSD 3.1 用と FreeBSD 4.6 用、出てます。
「神の下の国」という『忠誠の誓い』が合衆国憲法違反と裁定 (WIRED NEWS)。「十字軍」という発想の原点だったりするのかなあ。
ブラジル強い……。
FreeBSD, OpenBSD, NetBSD に含まれる DNS resolver コードに buffer overflow する弱点。悪意ある DNS サーバが返す reply によって攻撃が可能。 すでに FreeBSD, OpenBSD, NetBSD では修正が入っている。
[netbsd,07786] Re: libc... (NetBSD)
buffer overflow in the DNS resolver (OpenBSD)
libc を入れかえたあとで、static link されているコマンドは作りなおす必要がある。
NetBSDのlibcにリモートからのバッファオーバーランの危険性 (他UNIXも) (slashdot.jp) の この記事 によると、glibc にも同じ問題があるらしい。
NetBSD Security Advisory 2002-006: buffer overrun in libc DNS resolver
bind 4.9.9/8.2.6/8.3.3 が出ています (info from [installer 7354])。web page はまだ更新されていないようですが、ftp://ftp.isc.org/isc/bind/ には存在します。BIND for NT/2000 8.3.3 もちゃんとあります。 また、498-499.diff などといった patch も公開されています。
Vulnerability Note VU#803539: Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflow では The DNS resolver libraries (libbind) included with BIND 4 and 8 are vulnerable. ISC has reported that named does not call vulnerable functions in libbind とされています。
2002.06.28 追記 part 2:
Vulnerability Note VU#803539: Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflow には対応方法として、patch 適用、upgrade の他に「DNS answers を再構成するような Local Caching DNS Server を使う」が示されている。DNS answers を再構成するようなプロダクトとしては bind 9 が示されている。
参照: NetBSD ML での議論。
DNS resolver の脆弱性に関する注意喚起 (JPCERT/CC)
まだまだ状況は拡大しそうです。
sendmail 話は違う話であることが明確になったので記述をコメントアウトした。
patch が適用された FreeBSD 4.6-RELEASE-p1、4.5-RELEASE-p7 が ftp://snapshots.jp.FreeBSD.org/pub/FreeBSD/releases/i386/ で公開されています。 ISO イメージもあります。
CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries
注意しましょう: BIND 9 contains a copy of the BIND 8.3.x resolver library (lib/bind). This will be updated with the next BIND 9 releases (9.2.2/9.3.0) in the meantime please use the original in BIND 8.3.3
の部分。
libbind については bind 8.3.3 付属のものを使いましょう。
GNU adns なんてソフトがあるんだ。ふぅん。
Mac OS X はシロだそうです: Mac OS X not vulnerable to resolver vulnerability
Vulnerability Note VU#803539 が更新されています。これによると:
GNU glibc はシロ
Microsoft もシロ
Sun Microsystems Inc. はクロ
CA-2002-19 が更新されています。
IBM AIX はクロ。
GNU glibc も実はクロだった。
ホスト名解決 (/etc/nsswitch.conf の host: エントリ) においては、glibc 2.1.2 以前で問題が発生。 いまどきの多くの Linux に塔載されている glibc 2.1.3 では問題にはならない。
ネットワーク名解決 (/etc/nsswitch.conf の networks: エントリ) においては、glibc 2.2.5 以前で問題が発生。 いまどきの多くの Linux に塔載されている glibc 2.1.3 でも問題になるが、networks: で DNS を利用している例はまずないと思われる。
glibc 2.1.3 以降に upgrade した上で patch を適用し、static link されているプログラムを再コンパイルすることが推奨されている。
info from: [memo:4540]、[memo:4542]。
djb 氏による DNS client (resolver) ライブラリが public domain 宣言された: Re: Remote buffer overflow in resolver code of libc。
IRIX はシロ: IRIX DNS resolver vulnerability
[RHSA-2002:139-10] glibcパッケージのアップデート (RedHat Linux)
glibc: resolverの脆弱性 (TurboLinux)
DNS resolverの脆弱性はlocal cacheでは完全に防げない。 resolver 入れかえが必要。
2002-09-04 Roland McGrath <roland@redhat.com>
* resolv/nss_dns/dns-network.c (MAXPACKET): Increase minimum value from 1024 to 65536, to avoid buffer overrun.
というのが加わってるんですね。
2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。Oracle、IBM の patch 出ました。
2002.06.13 の MS02-029: リモートアクセスサービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) に追記した。MS02-029 patch を適用すると、VPN 利用時に administrator 権限が必要になるという副作用があるそうだ。
Commerce Server 2000/2002 に 4 つの弱点。プロファイルサービス、Office Web コンポーネント (OWC) パッケージ、AuthFilter ISAPI フィルタのバッファオーバーフローと、OWC パッケージインストーラを利用したコマンド実行。
patch があるので適用すればよい。
Windows Media Player 6.4/7.1, Media Player for Windows XP の「累積的な修正プログラム」。既知の弱点の他、以下の 3 つの問題が修正される:
Windows Media Player によるキャッシュのパスの公開 (CAN-2002-0372)
Media Player が 特定の形式のセキュアメディアファイルを扱う時に、サーバに対して、IE cache 中のファイルの位置を暴露してしまう。これにより IE cache の場所がわかるので、悪意ある web サーバ管理者や HTML メール送信者が cache 中の攻撃ファイルを実行させることが可能となる。
Windows メディアデバイスマネージャサービスによる権限の昇格 (CAN-2002-0373)
Windows Media Device Manager Service が local storage device を扱う際に local SYSTEM 権限で行ってしまうため、これを悪用すると一般ユーザが local SYSTEM 権限を取得できてしまう。
Windows 2000 上の Windows Media Player 7.1 のみの問題。また、ターミナルセッションの場合にも問題が回避される。
メディア再生スクリプトの呼び出し (CAN-2002-0615)
スクリプトをマイコンピュータゾーン権限で実行させられるようだ。
patch があるので適用すればよい。
patch が再リリースされている。 累積的修正プログラムなはずだったのに、MS01-056 で修正したファイルが欠けていた模様。昔 MS01-056 を適用したことがあった人には関係ないが、 最近 Windows を新規インストールした場合など、過去に MS01-056 を適用していない人は、再パッケージされた新 MS02-032 修正プログラムを再適用しよう。
Excel 2000/XP、Word XP 用の「累積的な修正プログラム」。既知の問題の他に 4 つの問題が修正されている。「HTML スクリプト実行の脆弱性」は、 Excel XP xml stylesheet problems (Georgi Guninski security advisory #55, 2002) の話 (CAN-2002-0618)。 「「Word の差し込み印刷機能」の脆弱性の変種」は A variant of "Word Mail Merge" vulnerability の話 (CAN-2002-0619)。
patch が出ているので適用すればよい。
Re: Upcoming OpenSSH vulnerability の話ですが、あらためて。
OpenSSH 2.3.1p1 〜 3.3 までに 2 つの弱点。
チャレンジレスポンス認証利用時に integer がオーバーフローしてしまうため、これを利用して remote から任意のコードを sshd 実行権限で実行可能。 OpenSSH 2.9.9 〜 3.3 において SKEY か BSD_AUTH 認証が有効な場合に該当。 この問題を利用した exploit は既に存在するという。
詳細: Internet Security Systems セキュリティ アドバイザリ 「OpenSSH でのリモート チャレンジの脆弱点」
チャレンジレスポンス認証利用時にバッファオーバーフローしてしまうため、これを利用して remote から任意のコードを sshd 実行権限で実行可能。 OpenSSH 2.3.1 〜 3.3 において、対話的キーボード認証を利用する PAM モジュール (PAMAuthenticationViaKbdInt) を使用している場合に該当。 この問題が exploit 可能か否かは現時点では不明。
対応するには、OpenSSH 3.4 以上に移行するか、あるいは Revised OpenSSH Security Advisory (adv.iss) に示されている patch を適用する。OpenSSH 3.3 以降でデフォルト有効となっている privilege separation 機能を利用すると、将来発生するかもしれない問題に対しても最小限の被害で済む可能性が高いので、patch 適用ではなく OpenSSH 3.4 以降での移行が望ましい。ただし、privilege separation 機能が利用できない OS もあるようだ。
移行あるいは patch を適用するまでの回避策がいくつか存在する。
SSH protocol version 2 を無効にする。
sshd_config で Protocol 1 とする。
チャレンジレスポンス認証を無効にする。OpenSSH 2.9 より後のバージョンで利用できる。
sshd_config で ChallengeResponseAuthentication no とする。
PAM における対話的キーボード認証を無効にする。OpenSSH 2.9 より後のバージョンで利用できる。
sshd_config で PAMAuthenticationViaKbdInt no とする。
OpenSSH 2.3.1p1 〜 2.9 においては、 KbdInteractiveAuthentication no と ChallengeResponseAuthentication no の両方を指定すれば回避できる。 (記述修正: 戸川さん感謝)
patch, fix package 等:
Revised OpenSSH Security Advisory (adv.iss)
official patch。
ports/security/openssh-portable (FreeBSD)
FreeBSD 3.4p1 対応になっています。
OpenSSH セキュリティ 管理者権限の奪取 (Miracle Linux)
[debian-users:33484] [Translate] [SECURITY] [DSA-134-3] Unknown OpenSSH remotevulnerability (Debian GNU/Linux)
DSA-134-3 の段階では OpenSSH 3.3p1 が示されているので、そのうち 3.4p1 に対応した新 Advisory が登場するかもしれません。
とか書いている間に (まただよ (^^;;))、DSA-134-4 が出ました: [SECURITY] [DSA-134-4] OpenSSH Remote Challenge Vulnerability。 OpenSSH 3.4p1 対応版が登場しています。 DSA-134-4 日本語版。
●2002,06,26● OpenSSH にセキュリティホール (VineLinux 2.5)
これも 3.3p1 なので、そのうち 3.4p1 ベースのものが登場するでしょう。
関連情報:
OpenSSH サーバプログラムの脆弱性に関する注意喚起 (JPCERT/CC)
installer ML の [installer 7352] において、FreeBSD 4.6-RELEASE / STABLE においては、OpenSSH 3.4p1 の configure の 6544 行目 (#include <sys/mman.h>) の前に #include <sys/types.h> を挿入しないと #define HAVE_MMAP_ANON_SHARED 1 が定義されなかった、と指摘されている。
同様のレポート: Re: new sshd 3.4p1 (freebsd-security ML)
openssh (2002-06-28) (Kondara MNU/Linux)
[RHSA-2002:127-18] Updated OpenSSH packages fix various security issues
RedHat は OpenSSH 3.1p1 ベースのままですね。
Vulnerability Note VU#369347: OpenSSH vulnerabilities in challenge response handling も参照。
Security Update July 2002 (Apple)
ソフトウェアアップデートで Security Update July 2002 をインストールすると OpenSSH 3.4p1 になります。 ただし、リンクとか備忘録とか日記とか 2002.06.29 にもあるように、デフォルトでは privilege separation が有効ではないようです。また [macosx-jp:11168] によると、ユーザ/グループ sshd とディレクトリ /var/empty を作成した上で UsePrivilegeSeparation yes すると privilege separation は利用可能なようです。
FreeBSD での OpenSSH 3.4p1 ports における HAVE_MMAP_ANON_SHARED 問題は、ports/security/openssh-portable の 3.4p1_1 で修正されています。
Sun statement on the OpenSSH Remote Challenge Vulnerability
Solaris 9 には OpenSSH がついているんですね。
[netbsd,07828] BSD BOF: security update
7/3 の N+I BSD BOF で itojun さんが resolver と OpenSSH の話をされるそうです。 こんなの書いてみました: [netbsd,07832]
●2002,06,26● OpenSSH にセキュリティホール (2002/06/28改訂) (VineLinux 2.5)
セキュリティ・ホール対策の整理法〜OpenSSHを題材に考える〜 (日経 IT Pro)
privilege separation を有効にすると PAMAuthenticationViaKbdInt が使えなくなるので、有効にした場合、「対策後の影響」は「なし」ではないと思うのだが。
春山氏による README.privsep 邦訳版
LAC による CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling 邦訳版
openssh: 悪意のあるユーザーによるroot権限奪取 (TurboLinux)
6/22トルコ料理屋さんでマターリ応援するスレ。トルコ料理食べたい……。
sendmail 8.12.5 出ています。
SECURITY: The DNS map can cause a buffer overflow if the user specifies a dns map using TXT records in the configuration file and a rogue DNS server is queried. None of the sendmail supplied configuration files use this option hence they are not vulnerable. Problem noted independently by Joost Pol of PINE Internet and Anton Rang of Sun Microsystems.
だそうです。
CVE: CAN-2002-0906。
JPCERT/CC による連載の第 1 回。
2002.06.24 の セキュリティ上の脆弱性を修正したEditX v1.23を公開しました に追記した。Winbiff の対策版登場。
2002.06.25 の Re: Upcoming OpenSSH vulnerability に追記した。Debian 情報更新、OpenSSH 3.4 登場予告。
ドイツ決勝進出〜〜!
SSHコミュニケーションズ 教育機関に半額で暗号化ソフト (毎日)。 ¥6,900- なら買ってみようかな、と思うよね。個人的には PuTTY でじゅうぶんなんだけど。 Press Release。
文科省、所得隠しめぐり帝京大総長から事実確認へ (asahi.com)。ついに来た、って感じ?
[aml 28612] 防衛庁リスト問題報告書。なるほど、「理想の公務員」ですか (笑)。
ベネズエラ再クーデタの危険 (ル・モンド・ディプロマティーク日本語版)。U.S.A.!! U.S.A.!!
N+I TOKYO 2002 Samba BOF Samba日本語版やめちゃってもいいかな?〜本当に必要?。 2002.07.04 18:30-20:00。うぅ、興味深いけれど先約があるので参加できないなあ……。
ブロードバンド時代のセキュリティを考える 2002 か BSDなひとときか、どっちにしようかまだ迷ってる奴 > 俺。
【レポート】マイクロソフトのバルマーCEO、学生と語る - 東京大学シンポジウムにて (MYCOM PCWEB)。「オープンソースはいままでにある機能を実行するのは得意だが、革新的なことにはまだ成功していない
」。十分な性能を持つ OS がまるごと free/open source ってのは、革新じゃないんですね。いまだに Windows NT 4.0 を使いつづけている人が多いってのは、Microsoft 流の「革新」に対するイエローカードだ、という気もするんですけどね。
プロジェクトの上手な進め方として「計画のデザインに思い切り時間をかけること。最初の着想部分で急ぎすぎない。そして、通常は開発に比べてテストや検証には予算が割かれないが、検証の時間には、必要だと思われる2倍の時間をかけること」というアドバイスをした。
Internet Explorer もそのように作ってほしかったですね。
Microsoft CEOスティーブ・バルマー氏、東大で基調講演 〜シンポジウムで学生にITの未来ビジョンを語る (PC Watch) だと、またニュアンスが違ってるみたいですけどね。
AL-Mail32 1.13 が出ています。半径 50m 以内的には『「添付ファイルの設定」ダイヤログで、「分割して送信する」の初期値をオフに変更した
』が重要かな。
IPA ISEC から 平成13年度 技術開発事業 総括報告書 が公開されています。
P2P技術を用いた「Outlook」用のスパム排除ツール「SpamNet」 (INTERNET Watch)。なぜ Outlook Express じゃなくて Outlook なんだろう。
「代表を応援しそうだから」逮捕状却下 韓国 (01:34) (フレッシュアイ)。 もうなんでもアリだなこの国は。 傍若無人の「テーハンミングク」に怒! (zakzak) なんてのも、ちょっとねえ。 (info from EVERYDAY PEOPLE)
財団法人日本情報処理開発協会プライバシーマーク事務局。 プライバシーマーク使用許諾事業者。
[memo:4133] 「事業の内容及び規模を考慮した適切な個人情報の収集」ハァ?
つづき: [memo:4139]。これは冗談ではなく、現実です。
[memo:4109] Re: mytrip.netのなりすまし問題
マイトリップ・ネットは半年以上有効期間が切れているにもかかわらず使いつづけられていたという話。ちなみに、今は更新手続きが完了したようです [memo:4312]。
プライバシーマークセミナー2002(東京) 第2回 PDF 版説明会資料
「個人情報保護の安全対策の考え方」……ふむふむ……ふぅん、合理的な安全対策ね (p.3)。オーバーヘッドが少なく事業継続可能、と……。なんだか、どうとでも取れそうな文言だなあ。
「プライバシーマーク制度とコンプライアンス・プログラムの留意点」……ふむふむ……。取消後 2 年以内だとプライバシーマークの付与対象にならないんですね (p.11)。あくまで業界保護優先だから、一旦取消ではなく 7 か月も更新手続きしているわけなのかな。現地調査は半日だけなんだ (p.16)。費用的にもたいしたことないですね (p.17)。その程度なのに、更新手続きに 7 か月もかかるの?
1 年を経てようやく公開、だそうです。
2002.02.20 の [memo:2996] 「VAIO」の出荷時設定で信頼済みサイトに特定サイトが登録されている問題 訂正 に追記した。高木さんによるフォロー記事を追記。新モジュール開発により、問題のサイトは信頼済みサイトゾーンから外せるようになった模様。
2002.06.14 の Web開発者は過去の失敗事例を学んでから開発に着手すべき 〜産業技術総合研究所 高木氏 に追記した。講演資料の公開と INTERNET Watch 記事へのフォロー。
[memo:3933] および [memo:4255] によると、総務省:電子申請・届出システム のセキュリティ的な寿命は 2003.12.31 までの模様。 あと 1 年半です。
ISS Security Alert Summary AS02-25 です。
NGSSoftware からドキュメント 2 つ:
NGSSoftware Insight Security Research Advisory #NISR19062002: OpenDataSource Buffer Overflow
SQL Server 2000 に弱点。 OpenDataSource 関数を用いた特殊な SQL query によってバッファオーバーフローが発生するため、これを利用して外部から SQL Server 動作権限を取得できてしまう。最新の JET Servic Pack の適用で回避できるそうだ。
2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。Apache 1.3.x 用の official な個別 patch 登場、他。
被害額って、高くしようと思ったらいくらでも高くなるしなあ。おまけに、数字だけ独り歩きするし。ミトニック氏のときなんて、……。
問題が発生するのは Warez もの、らしい。これが本当なら、変だと言っていた人はみな Warez 使いなわけで、なかなかアレゲ。
けっきょく今だにインストールできてないし…… > XP。入手してから何か月経過したんだろう。
FAQ が更新され、「Q.いよいよWindowsXPのSP1が登場しましたが、このSP1にはセキュリティカタログが無効にならないNT5INF.CA_が入っているようです。
もしかしてこのファイルを使えば5月30日問題は回避できるのでは?
」
が追加されている。うーむ……。
匿名希望さん情報ありがとうございます。
[memo:4304] の話の fix が入っていると思います。
mod_ssl: 悪意のあるユーザーによるhttpdサーバーの権限奪取 (TurboLinux)
DSA-135-1 libapache-mod-ssl -- buffer overflow / DoS (Debian)
OpenBSD 3.1: 008: SECURITY FIX: June 26, 2002
20010601-01-I pmpost vulnerability
SGI has not provided patches for these vulnerabilities
だそうで。
20020607-02-I nveventd vulnerability
SGI will not be releasing patches for this problem, as the product is being
moved into Legacy support mode
だそうで。
20020606-02-I xfsmd vulnerability
SGI will not be providing a fix or patches for this issue, as the product is
being retired
だそうで。
PHP設定画面アップデート 2.0.1-14185、各種セキュリティアップデート 2.0.1-13323
いままで直ってなかったとは。さすがですね。
SUS については SQL Server ユーザーグループ (PASSJ) の セキュリティ分科会 ML に有用な情報があるようです。
最新 3.3 を含む OpenSSH に弱点。sshd の何か (詳細不明: 公表は来週) に問題があり、remote から exploit 可能な模様。ただし、OpenSSH 3.3 で UsePrivilegeSeparation yes している場合、弱点は存在しつづけるものの exploit は回避できるようだ。
DSA-134-1 ssh -- remote exploit (Debian GNU/Linux)
woody 用の OpenSSH 3.3。 (誤植 fixed: 神谷さん感謝)
[SECURITY] [DSA-134-2] Unknown OpenSSH remote vulnerability
改訂されています。potato 用パッケージ登場。 で、OpenSSH 3.3 にはこんな問題があるんだそうで:
- compression does not work on all operating systems since the code relies on specific mmap features,
- the PAM support has not been completed and may break a few PAM modules,
- keyboard interactive authentication does not work with privilege seperation. Most noticable for Debian users this breaks PAM modules which need a PAM conversation function (like the OPIE module).
で、privilege separation を有効にすると、root を取られるんじゃなくて、separate account restricted to a chroot を取られるだけで済む、ようです。
The new privilege separation support from Niels Provos changes ssh to use a separate non-privileged process to handle most of the work. This means any vulnerability in this part of OpenSSH can never lead to a root compromise but only to access to a separate account restricted to a chroot.
日本語翻訳版: [debian-users:33475]。 かねこさん情報ありがとうございます。
とか書いてる間に DSA-134-3 が出てるぞ (^^;;)
potato の (デフォルト) 設定変更関連の注意点が追加された、のかな。
openssh.com にこんな記述が:
現在 OpenSSH にはまだ公表されていない脆弱性が存在します。 OpenSSH 3.3 にアップデートし、UsePrivilegeSeparation (特権分離) オプションを使用するよう強くおすすめします。 特権分離 機能はこの問題をブロックします。来週の月曜日にはこの脆弱性を解決する OpenSSH 3.4 リリースが出ますので、どうかお見逃しなく。
刮目して待て。
つづきは CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling で。
「オープンソースには技術革新がない」——マイクロソフト・バルマーCEO (CNET)。いやぁそのとおり。たとえば Active X は、誰でも簡単に大穴をつくれるという意味でまさに「革新」でしたね。Code Red や Nimda におけるヤラれざまもまさに「革新」でしたね。
……とか反射的に書きたくなるんで、いいかげんそういうネタはやめてください > バルマー氏。
LAC主催 Symantec共催「イントラネットのセキュリティ運用」セミナーのご案内、2002.07.08 (月) 13:30〜16:30、都市センターホテル オリオン (東京都千代田区)、150名、無料。
日焼け止めクリームの適正量は「厚塗り」 (日経 BizTech)。 ギャグっぽくていいです。
OpenSSH 3.3
出ています。privilege separation is now enabled by default
はハマりやすいので注意しましょう。
参考: [memo:4287]。
Privilege Separated OpenSSH
も参照。
トロメールメンテナンスのお知らせ、なんか穴があったらしいです。(info from ポケットニュース)
東京都立大久保病院さん、病院が Klez ばらまいてていいの?
誤審が快挙を判定勝ちにした (nikkansports.com、世界を見るジーコ!!)。
「PK戦でスペインのキックが止められた場面も、GKは明らかに前に出ていた。やり直すべきだ。
……(中略)……韓国戦に限って不可解な判定が多い。
……(中略)……これはもう、偶然とは言えない。言っていいはずがない
」。
ここまで言われちゃう状況って、なんだかなあ。FIFA も
審判員にミスあった・FIFA広報部長 (日経)
とか言ってるヒマがあったら、可能な限りミスを回避する手段を検討せぇよ。
「審判も人間だから、なんでもあり」では済まんだろう。
まあ、FIFA 自身が疑惑だらけの団体なわけで、そんなところに改善を要求する方がおまぬけなのかもですが。
Jun 23 21:14:28 の KUWcd-02p179.ppp.odn.ad.jp さんは /etc/master.passwd を get してどうしたいと思ったんでしょうねえ。
thkw89@jp-t.ne.jp って誰? 「送信先エラーにより、配信されませんでした」とだけ書かれたおまぬけメッセージが MAILER-DAEMON@jp-t.ne.jp からわんさか届くんですけど。 まあ、J-PHONE がおまぬけである、とも言えるのだが。
2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。TurboLinux, Kondara, Debian から fix package 登場。 IBM, Oracle の情報。 eEye 等の弱点確認用プログラム。 一時対策ツール Blowchunks。 等。
[memo:3953] Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール と同様に、Becky!2 2.00.08 以前、Becky! 1.26.08 以前においても、添付ファイルが展開される位置が完全固定、あるいは容易に推測できるために、同様の攻撃を受けてしまう、という指摘。 ただし、HTML メールの表示が無効な場合は攻撃を回避できる。 1.26.09 以降、2.00.09 以降では修正されているので upgrade すればよい。
Becky! については、メール本文と添付ファイルを分離可能にした「Becky! Internet Mail」の最新版 (窓の杜) という話も出ている。
MAIL Direct、HyperEdit、Kenm3 for Windows、Net/PAD、Winbiff V2.30以降
などに塔載されている ActiveX コントロール、EditX
の 1.22 以前に弱点。詳細は不明だが、「悪意のあるWebサイトにアクセスすると、Internet Explorerのデフォルトの設定では、ユーザーが気が付かないうちにPCのファイルが書き換えられてしまう可能性があ
」ったのだそうだ。ActiveX コントロールなので、script 経由でアレゲになる、という路線だろうか。
EditX 1.23 で修正されているので入れかえる。上記 EditX 利用アプリの web page には EditX に関する警告は存在しないようだ。WinBiff 2.3.4.8 には EditX 1.2.1.0 が含まれているようだ。
匿名希望さん情報ありがとうございます。
Winbiff の対策版登場: Winbiffユーザーの皆様へ重要なお知らせ。Winbiff V2.30 以降の EditX あり版を利用している場合に問題になる、とされている。「修正した EditX を梱包した Winbiff インストーラー」が登場したので、これを利用して再インストールすればよい。 Winbiff V2.41 beta についても、beta6 で修正版 EditX が同梱されている。IKEGAMI さん、芳賀さん情報ありがとうございます。
SnortSnarf、RazorBack のインストールとルールセットのチューニング。
Webサービスのセキュリティ仕様に決定版が登場 SOAPを拡張するWS-Security セキュリティ実装の標準化に期待 (日経 IT Pro)。
「システム統合の見切り発車を知らなかった」---みずほHD社長 (日経 BizTech)。知らなかったってアンタ、……。
Recommended & Security Patches for Solaris に SunOS 5.5.1 の rpc.rwalld patch が出てますね。 いつのまにか Signed Patch (.jar 形式) なんてのもあるんですね。
アフガニスタンの通貨戦争 (tanakanews.com)。生かさず殺さず。
[PRB] Visual Studio .NET をインストールする前に Symantec のスクリプト遮断サービスを無効にする必要がある。ふぅん。
出ました。みんなで試しましょう。って暇が……。
ISS Security Alert Summary AS02-24 です。
確かに便利そうです。
Windows 2000 上の Apache Tomcat 4.0.3 に 2 つの問題。 物理パス名が露見してしまう他、DoS 攻撃を受ける。 同じく Windows 2000 上の 4.1.3 beta では修正されているという。
いよいよ稼働かそれとも延期か。どうするどうなる住基ネット。
シンポジウム「住民基本台帳ネットワークシステムを考える」開催 稼動まで秒読み、「住基ネット」に孕む危険とは (INTERNET Watch)
2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。 Vine Linux 2.1、Miracle Linux 用 fix package、apache-ssl の 1.3.26 対応版登場。
bind 8.3.2 が出たそうです。
2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。exploit さっそく登場。Apache 1.x に対して、32bit UNIX でも、外部から任意のコードを実行可能となる事が実証された。えらいこっちゃ。 fix patch/package も続々と登場中。
[aml 28484] (=^o^=)/岡山でもチョムスキーのドキュメンタリーを上映します。 6/30 10:00〜、13:30〜。 http://home.att.ne.jp/sun/RUR55/J/Chomsky/show.htm を参照。いいなあ。
チョムスキー・アーカイヴ日本語版 というページがあるそうです。
第 1 回 STPP セキュリティ対策セミナーにご参加のみなさん、ありがとうございました。関係者のみなさん、おつかれさまでした。
補足: Q & A で言った「本」というのはもちろん「プログラマのためのセキュリティ対策テクニック」のことです。読みましょう。/GS については 13 章に記述があります。/GS については Visual C++ .NET セキュリティ機能に関する不正確な主張も参照してください。万能薬ではない、ということで。
2002.05.10 の MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022) に追記した。bulletin が更新され、MSN チャット コントロールや MSN Messenger、Exchange Instant Messenger のアップデート版が登場している。
Zope 2.4.0〜2.5.1 に弱点。 また、このバージョンでなくても、ZCatalog plug-in index support がインストールされていると弱点が発生。ZCatalog object の index のセキュリティに問題があり、 匿名ユーザが catalog index の任意のメソッドを call できてしまう。
Hotfix 2002-06-14 で修正されるので適用すればよい。
Apache 1.2.2 以降の 1.2.x、1.3.24 以前の 1.3.x、2.0.36 以前の 2.0.x に弱点。 負のサイズが指定された chunk-encoded データによって問題が発生する。
1.2.x, 1.3.x の場合はバッファオーバーフローが発生する。この結果、32bit UNIX では segmentation violation により子プロセスが終了させられると考えられるが、Windows 版や 64bit UNIX 版では、外部から任意のコードを実行可能となる可能性があるという。
2.0.x では子プロセスが終了してしまう。
apache 1.3.26、2.0.39 で修正されているので入れかえる。1.2.x 用の fix はないので、1.3.26 か 2.0.39 へ移行する。
[SECURITY] [DSA-131-1] Apache chunk handling vulnerability (Debian GNU/Linux)
あわせて mod_ssl や PHP も更新する必要がある (かもしれない) ので注意する [memo:4211]。1.3.26 用の mod_ssl は……mod_ssl 2.8.9-1.3.26 が登場したそうです [memo:4225]。なんか混んでるっぽいので、暫定的に http://www.st.ryukoku.ac.jp/~kjm/mod_ssl-2.8.9-1.3.26.tar.gz にも置いておきます。
関連:
Vulnerability Note VU#944335: Apache web servers fail to handle chunks with a negative size (CERT/CC)
SECURITY ADVISORY: June 17, 2002 (Apache Foundation)
Apacheにセキュリティ・ホール,最新バージョンも影響を受ける (日経 IT Pro)
Apache Server におけるリモートからのセキュリティ侵害の脆弱性 (ISSKK)
CERT/CC は、ISS advisory に示されている patch では対応できない、としている。1.3.26 か 2.0.39 へ移行しましょう。
早すぎた?『Apache』セキュリティー警告 (CNET)
「私は、レッドハットのことを信頼に足るサードパーティーとは見なしていない」
。うーむ。
David Litchfield 氏の bugtraq への post はこちら。
『アパッチ』サーバーソフトのセキュリティー警告は勇み足? (WIRED NEWS)
以前、ISS社が達成した研究成果を、レッドハット社が横取りしたことがあるとローランド氏は非難している
。うーむ……。
OpenBSD/i386 用の exploit 登場: Remote Apache 1.3.x Exploit。 コードのコメントには、Solaris 6-8 (sparc/x86)、FreeBSD 4.3-4.5 (x86)、Linux (GNU) 2.4 (x86) でも exploit に成功した、という。「32 bit UNIX では exploit できない」というのは大間違いだった模様 (クラークの第一法則か?!)。CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability も改訂され、
For Apache versions 1.3 through 1.3.24 inclusive, this vulnerability may allow the execution of arbitrary code by remote attackers. Several sources have reported that this vulnerability can be used by intruders to execute arbitrary code on Windows platforms. Additionally, the Apache Software Foundation has reported that a similar attack may allow the execution of arbitrary code on 64-bit UNIX systems.
が
For Apache versions 1.2.2 through 1.3.24 inclusive, this vulnerability may allow the execution of arbitrary code by remote attackers. Exploits are publicly available that claim to allow the execution of arbitrary code.
になっている。えらいこっちゃ。
fix patch/package も続々と登場中:
●2002,06,19● Apache にセキュリティホール (Vine 2.5)
Vine 2.1.x 用はまだないみたい。
[RHSA-2002:103-13] Updated Apache packages fix chunked encoding issue (RedHat)
[SECURITY] [DSA-131-2] Apache chunk handling vulnerability, update (Debian GNU/Linux)
Debian 用、更新されてます。
DSA-132-1 apache-ssl -- remote DoS / exploit (Debian GNU/Linux)
OpenBSD 3.1 Security Advisories #005: SECURITY FIX: June 19, 2002
警告:
Apache Web サーバプログラムの脆弱性に関する注意喚起 (JPCERT/CC)
LAC による CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability 邦訳版
最新版の邦訳ではないことに注意。特に、June 19, 2002: Added statement about exploit code for 32-bit platforms
や June 19, 2002: Try to be as clear as possible on the impact (all systems)
が欠けている点。
●2002,06,21● Apache にセキュリティホール (Vine Linux 2.1.x)
apacheセキュリティ 2002/06/20 (Miracle Linux)
Apache Chunked encoding vulnerability CAN-2002-0392 (Apache-SSL)
apache_1.3.26+ssl_1.48 で対応されています。
よしむらさん、Fujii さん情報ありがとうございます。
patch/package 情報:
apache: httpdサーバーのサービス停止 (TurboLinux)
apache (2002-06-21) (Kondara MNU/Linux)
DSA-133-1 apache-perl -- remote DoS / exploit (Debian GNU/Linux)
Apache Web Server で発見されたセキュリティー脆弱性に関する IBM での対応について (日本 IBM)
info from [memo:4288]。 まだ fix はできていません。
OHS:チャンクハンドリングのセキュリティ脆弱性の問題(CA-2002-17)について (oracle)
「ただ今既存の各プラットフォームの各リリースに対して修正を作成中です
」
だそうで。
fix package/patch のうち、RedHat、Debian、Vine 2.1.x、OpenBSD は 1.3.26 ではないです。 一方、Vine 2.5、Turbo、Miracle、Kondara、FreeBSD ports は 1.3.26 になっています。
Exploit:
apache-nosejob.c (packetstorm)
OpenBSD の他、FreeBSD や NetBSD が食える exloit。
hsj さんち にも FreeBSD 用の exloit が出ています。
解説:
Apacheの深刻なセキュリティ・ホールを解説する (日経 IT Pro)
よくまとまっている解説です。
弱点確認用プログラム:
Apache Chunked Scanner from eEye Digital Security (eEye)
karisuma さん情報ありがとうございます。 が、x86 でないと正しく判定できない?
x86 上の Apache 1.3.x しか正しく判定できない?
Apache 保護ツール:
Blowchunks - Protecting Existing Apache Servers Until Upgrades Arrive
chunked encoding request を reject するモジュール。 IIS で同じことをしたい場合は URLScan-SRP が利用できるようです。
その他:
[memo:4299] OCNホスティングサービスにおけるrapidsite(Apache系)のパッチ
ホスティング屋さんの対応の一例。
patch/package 情報:
http://www.apache.org/dist/httpd/patches/ 以下に official な個別 patch が登場しています。 1.3.x/2.x の他に、1.2.x 用まで用意されています。 (info from [Apache-Users 1491])
[RHSA-2002:118-06] Stronghold: Chunked encoding vulnerability in Apache
その他:
Oracle、IBM の patch 出ました:
Oracle HTTP Server : チャンクハンドリングのセキュリティの脆弱性: 説明とよくある質問・回答、patch
worm ネタ:
Scalper Worm(仮称)の出現 (IPA)
各社 anti-virus ソフトは対応した模様。
脆弱なApacheサーバに忍び込むワームに要注意 (ZDNet)
Security Update July 2002 (Apple)
ソフトウェアアップデートで Security Update July 2002 をインストールすると Apache v1.3.26 + mod_ssl v2.8.9 が入ります。既に mod_sslのバクフィックス版2.8.10-1.3.26がリリース という話があるんですけどね。
[memo:4344] 「ネットワークVAIO」の「LinkGarage」で脆弱なApacheが稼働 (was Re: Apacheのセキュリティホールと1.3.26, 2.0.39リリース)
ネットワークバイオで LinkGarage を利用していると、そこでは Apache for Win32 が動いていた模様。
[RHSA-2002:103-18] Updated Apache packages fix chunked encoding issue (RedHat)
update されています。
Updated packages have been added for Red Hat Linux for S/390. Slight
changes to problem description to take into account possibility of exploits
also on 32-bit platforms
だそうです。
[RHSA-2002:117-11] Updated secureweb packages fix chunked encoding issue (RedHat)
secure server 用。 [RHSA-2002:118-06] Stronghold: Chunked encoding vulnerability in Apache というのも出ています。
Interstage Application Server製品内Interstage HTTP Serverにおけるセキュリティ脆弱性の問題-(2002.07.01) (富士通)
「脆弱性の公表」がいつなら、Apacheワームを防げたか? (ZDNet)
出現を遅らせることは可能だったかもしれないが、防ぐことは無理でしょう。
「同社 (小島注: Gobbles Security) はBugTraqへの投稿で、4種のOS向けの攻撃コードを作成するには、約2カ月かかると報告している
」と言ったところで、たとえば hsj さんは 2002.06.23 付けで独自に開発された exploit を公開されているわけで、頭のいい人にとっては「約2カ月」なんてレベルではないと考えられますし。
ワームの発生は止められない (slashdot.jp) も参照。
NEC の .Gate サービス の fix 話を載せわすれていたようなので追記。
TechStyle Newsletter:2002-06-18 でも「Samba 2.2.4にバッファオーバーフローを引き起こされるバグ」として報じられていた問題ですが、[memo:4210] を読む限り、特殊な条件でしか発生しないようです。 [sugj-tech:4724] Security Advisory for Samba 2.2.4< 以下のスレッドも参照。
アプリケーション毎に、system call のアクセスポリシーを設定できる機構、かな。 OpenBSD と NetBSD で動作し、NetBSD-current には組みこまれているそうです。 GNU/Linux への移植作業が開始されているそうです。
明日は 第 1 回 STPP セキュリティ対策セミナー であやしく喋らなくてはならないので、このページの更新はありません。 しかしまあ、どうしてこう、合わせたように Nimda 埋めこんだりするかなあ。
ITセキュリティ評価及び認証セミナー開催について (IPA ISEC)。 7月12日(金) 文京グリーンコート イーストウイング 3F会議室 ( 東京都文京区)、無料。100 名。
FreeBSD 4.6-RELEASE、出たようです。
「住基ネットは予定通り稼働」 麻生自民政調会長が言明 (毎日)。
「コンピューターが分からないトップがいたら多くの国民が迷惑する
」。
わからなさの爆心地「自民党」に言われたくないよね。
一方で、住基ネット凍結で野党4党が合意 改正法案提出へ (毎日)、 東京・国立市も住基ネット延期を求める意見書 (毎日)、 東京・小金井市長も住基ネット稼働延期を要望へ (毎日) といった動きがあるようで。
プログラマのためのセキュリティ対策テクニック、まだ 1 章しか読めてませんが、なかなか興味深いです。bulletin 1 つで $100,000- ですか。
IEのまだ開いたままの穴は14個 (slashdot.jp) で紹介されている Unpatched IE security holes をアンテナに加えておきました。
MS、新たな脆弱性に警告——今年のセキュリティ警告は30件に到達 (ZDNet)。 Microsoft は bulletin が 30 件だが、RedHat なら……。たとえば Red Hat Linux 7.2 エラータ で S マークがついているモノを数えてみよう。
2002.05.24 の [memo:3953] Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール に追記した。PostPetのセキュリティに関する重要なお知らせ が更新されている。新たに PostPet DX 1.2 以前や「お試し版」に関しても対応方法が記載されている。
条文は、たとえば 電子メールによる一方的な商業広告の送りつけ(いわゆる迷惑メール)に関する新たな表示義務について から。
2002.06.06 の Buffer overflow in MSIE gopher code に追記した。Proxy Server 2.0、ISA Server 2000 用 patch 登場。しかし、IE 用はまだ。 の話。
あるいは、スーパー担当者のいる外部企業にアウトソースするか。 問題は、「スーパー担当者のいる外部企業」を選ぶ眼が必要になるという点かな。
情報処理学会論文誌 Vol.43 No.6 に出ているのは「システム・コールに対するラッパ/リファレンス・モニタ SysGuard の設計と実現」という論文です。 上の link は著者のひとり榮樂氏の「研究内容」のページ。現在、FreeBSD への移植作業が進行中なのだそうです。
2002.06.03 の SRT Security Advisory (SRT2002-04-31-1159): Mnews に追記した。ports/security/libparanoia をリンクしてお茶を濁してみるテスト。
いろいろとゴタクを並べているようだが、シャレにならんだろう。最新の virus に冒されていたならともかく、Nimda とは。「韓国の側に抜け穴があったため」? ダブルチェックという概念はないのか?!
「Microsoftは通常 (中略) マスタープログラムに統合するすべてのファイルをスキャンしているという。だが今回の場合、スキャンされたのは最初から統合する予定だったファイルのみ。」
原則を曲げるとこうなるという見本、か。高々数時間のチェックを怠ったために生じた損害はいくらだろう。
Microsoft official: PRB: Inert Virus Found in Korean Language Version of Visual Studio .NET (Q323302)
日本の MSDN 事務局からも、MSDN subscriber に対してメールで連絡が行っている模様。関さん情報ありがとうございます。
オープンソースを酷評する報告書を取り巻く疑惑 (WIRED NEWS)。Microsoft としては、実力で示すしかないと思うんだけどねえ。
高度なセキュリティーを備えたSEリナックス (WIRED NEWS)。使うのはけっこうタイヘンな気がするけど、そうでもないのかなあ。
「ウルトラマンコスモス」主役脱線 恐喝容疑で逮捕 (asahi.com)。なさけね〜。
日本勝利!! H 組 1 位で決勝トーナメント進出〜〜〜〜〜〜〜〜〜〜〜〜!!!
中田英ゴ〜〜〜〜〜〜〜〜〜〜〜〜ル!!
森島ゴ〜〜〜〜〜〜ル!!
Sensitive IM Security - MSN Message Sniffing で「説明」されている msn666 スニッファはバックドアだ、という指摘。
Oracle Developer R6i Patch9 以前、Oracle9iAS Enterprise Edition の Reports Services が Developer R6i Patch9 以前の場合に弱点。Oracle Reports Server にバッファオーバーフローする問題がある。R6i Patch10 で修正されたという。
関連: Oracle Reports Server Buffer Overflow (#NISR12062002B) (NGSSoftware)。
2002.06.06 の Buffer overflow in MSIE gopher code に追記した。Flawed workaround in MS02-027 -- gopher can run on _any_ port, not just 70 の話。
『セキュリティーという発想を常に持て』。おっしゃる通りなのですが、簡単にできれば苦労はないわけで……。要はポリシーだから、やっぱり組織トップの意識が問題になるような気が。Microsoft が苦労しているように、ポリシーを定めたとしても、その方向に舵が向くまでは時間がかかりますし。
個人情報保護法案方面、現実に数百〜数千人規模での個人情報の流出が後を断たない現状で、「今回対象としなければならないのは、何十万件もの個人情報を保有する役所や大企業であるべきだ」というのは説得力あるのかな。 ちなみに memo ML の subscriber も 5000 人越えちゃってるんで、……。
講演資料が高木さんの web ページで公開されています。また、[memo:4175] に INTERNET Watch 記事へのフォローがあります。
Active! mail 1.422, 2.0 に弱点。特定のヘッダにスクリプトを記述すると、これが除染されずにそのまま機能してしまう。つまり、クロスサイトスクリプティング脆弱性が存在する。
Active! mail 2.0.1.1 で修正されているそうだ。
また新しい API つくったってこと? Microsoft 的には「とくいわざ」なんだろけど、3rd party はそれではやっとれんだろう。最初からマトモな API を用意しナイト。
loader と data に分離されている、ってコトでしょうか。
テロが計画されていた放射能爆弾「ダーティーボム」とは (WIRED NEWS)。 爆弾じゃなくても、たとえば水源地に放射性廃棄物をバラ撒くとか、ありますよね。低レベル廃棄物でもパニックを誘発するには十分でしょう。
で、実は、劣化ウラン弾って放射性廃棄物利用製品なわけで。 バラ撒かれてしまった地域ってつまり、そういうことなんだよね。
佐川急便、ライト常時点灯で事故激減 (日経 BizTech)。 中島悟先生も早めの点灯を推奨していたが、これを実行すると確かにパッシングをバシバシ受けるのだよなあ。
玄人志向の最新USB 2.0カードにウイルス混入が判明、回収・交換へ (AKIBA PC Hotline!)。 戸井さん情報ありがとうございます。
情報セキュリティポリシーサンプル0.91版を掲載(NPO日本ネットワークセキュリティ協会) (netsecurity.ne.jp)。
電子政府向け Protection Profile (PP) というのが出ています。
富士噴火の被害予想中間報告 (NHK)。 富士山ハザードマップは 富士山ハザードマップ検討委員会 中間報告 からどうぞ。
incidents.org が模様替えしてますね。
アンチウイルス市場は2強が84.1%を占める,ファイアウオールはFireWall-1がリード (日経 IT Pro)。NAI ってそんなにシェア低くなっちゃったの? 「国内主要企業の利用状況」という条件がミソなのかな。 (typo fixed: 中田さん感謝。最近ボケがひどい……)
JNSA、セキュリティーイベント「Network Security Forum 2002」開催 (INTERNET Watch)。ビックリするような話はなかったみたい。
SQL Server 2000 に含まれる、あるいは別途取得できる SQLXML に 2 つの弱点。
SQLXML ISAPI フィルタ (ISAPI エクステンション) に buffer overflow する問題がある。 これを悪用すると、攻撃者は remote から IIS 上で local SYSTEM 権限で任意のコードを実行できる。
XML タグを利用して query にスクリプトを挿入することが可能となり、クロスサイトスクリプティング脆弱性が発生する。 攻撃者は罠 web ページや罠 HTML メールを介して query を儀牲者に実行させ、これにより、儀牲者が設定している IE セキュリティゾーン権限 (イントラネットゾーンであろうことが想定されているが、状況に依存する) でスクリプトを実行させることができる。
詳細: wp-02-0007: Microsoft SQLXML ISAPI Overflow and Cross Site Scripting (westpoint)
patch があるので適用すればよい。ただし、利用している SQLXML に対応した patch を適用すること。
Windows NT 4.0, 2000, XP に弱点。 RAS (Remote Access Service)、あるいは RRAS (Routing and Remote Access Service) for Windows NT 4.0 に含まれる「RAS の電話帳」の実装に問題があり、バッファオーバーフローしてしまう。これを悪用すると、logon 権限を持つ攻撃者が local SYSTEM 権限で任意のコードを実行できる。
patch があるので適用すればよい。
詳細: Microsoft RASAPI32.DLL (NGSSoftware)。
MS02-029 patch を適用すると、VPN 利用時に administrator 権限が必要になる場合があるという副作用があるそうだ: VPN Connections May Require Administrator Permissions After You Apply MS02-029 (Q318138) (Q324908)。MS02-029 にもこの件に関する注記が追加されている。
2002.07.04 付けで、VPN 利用時でも問題が発生しない修正プログラムが登場している。
IIS 4.0, 5.0 に弱点。 MS02-018 で修正された「Active Server Page によるチャンクされたエンコードリクエストでの heap overflow」問題の類似品が .HTR を処理する ISAPI エクステンションにも存在した。これを悪用すると、攻撃者は remote から IWAM_computername 権限 (IIS 5.0) あるいは local SYSTEM 権限 (IIS 4.0) [*] で任意のコードを実行できる。 IIS 5.1 および 6.0 にはこの弱点はない。
[*] advisory には明記されていないのだが、IIS 4.0 でも local SYSTEM でない権限で実行されるのなら、「問題を緩和する要素」にそう書かれるであろう。しかし書かれていないので、local SYSTEM で実行されるのだと考えられる。
回避方法としては、.HTR を無効にする。あるいは URLScan によってチャンクされたエンコードリクエストを排除する。対応するには patch を適用する。
今回の patch は「累積的 patch」ではないので、最新の累積的 patch (MS02-018) を適用した上で MS02-028 patch を適用すること。
詳細: ADVISORY: Windows 2000 and NT4 IIS .HTR Remote Buffer Overflow [AD20020612] (eEye)。eEye の SecureIIS によってもこの問題を回避できる。
な、なにっ! 消しゴム版画家のナンシー関さん急死 (asahi.com) だとぉ?!
MS02-022 英語版 は更新されているけど、日本語版 はまだですね。
「監視」から「防御・対応」へと進化した新タイプの連携IDSシステム (ZDNet)。 オペレーションの質が重要に思えるが、Tea Room for Conference No.881 を読むと……。それとも、オペレーションは DIT がやるのかな?
N+I に持ちこまれるようだけど、たとえば open port を 100 個くらい用意してもらって「note pc で誰でも attack ok ok、みなさん蜜壷へご案内してさしあげます〜」とか「さぁみんなでいっせいに DoS してみましょ〜、でもちゃんと耐えられるもんね」なんてデモくらいやってもらわナイト。
防衛庁リスト:与党圧力で概要に変更 調査報告書 (毎日)。 与党総ムネヲ化 (って前からか)。 防衛庁、個人情報保護法違反認める 調査報告書 (asahi.com)。 印象なんだそうで。
防衛庁リストは「調査隊任務のため」 3佐が判断 (asahi.com)。 自衛隊って素敵ですね。 「暴走するくらいがいい」 防衛庁リストで自民国防部会 (asahi.com)。 自民党って素敵ですね。
電子政府関連法案の審議が先送りへ 「e-Japan」スケジュールにも影響必至 (日経 IT Pro)。ダメすぎだからしかたない。
2002.06.06 の Buffer overflow in MSIE gopher code に追記した。 MS02-027 登場。IE 5.01 / 5.5 / 6 の他に、Proxy Server 2.0、ISA Server 2000 にも弱点の存在が判明。
UNIX 版 Mozilla 1.0 以前において、スタイルシートに body { font-size: 1666666px; } とか書いておくとアレゲな状況になる、という話。 要はブラウザクラッシャーねたなのだけど、X を道連れにしてくれる、と。 編集中のファイルを保存してからテストしましょう。
岐路に立つ「e-Japan」,揺らぐIT革命と日本復活のシナリオ (日経 IT Pro)。e-Japan / e-gov って、スケジュール優先中身は 2 の次、な気が。
タリバン残党とインド・パキスタン戦争 (tanakanews.com)。
どこが問題? 行政機関の個人情報保護法案 日弁連の清水弁護士に聞く (毎日)。 関係ないけど、日弁連方面では 日弁連が無断リンク禁止を打ち出す (slashdot.jp) なんてのが話題になっているようで。 (link fixed: Bessho さん感謝)
「エンタープライズの無線LANに必要なセキュリティを提供」と米バーニア (ZDNet)。 認証したり VPN したりのようです。
「ファイル交換ソフトで個人情報まで共有」の危険あり (ZDNet)。 administrative issue ?
【レポート】次世代セキュリティサービスでネットワークを防御 - McAfee副社長に聞く(1) (MYCOM PCWEB)。次世代ねぇ。
bugzilla 2.14.1 以前、2.15、2.16rc1 にさまざまな弱点。 2.14.2 および 2.16rc2 で修正されている。
Referer: や User-Agent: などが汚染されていることもあるから、ちゃんと除染しましょう、という話、かな。
FreeBSD のパスワード認証では、/etc/passwd や /etc/master.passwd が直接利用されるわけではなく、/etc/passwd や /etc/master.passwd から生成されたデータベース (/etc/pwd.db, /etc/spwd.db) が利用される。 このため、新規にユーザを作成しデータベースを更新した後に /etc/passwd や /etc/master.passwd から該当ユーザを削除しておくと、一見存在しないが利用可能なユーザを作成することができる。 このようなユーザを発見するにはどうすればいいだろうか、という話。
これに対して、
データベースから /etc/master.passwd を復元するツールを使う
[FreeBSD-users-jp 69126]
perl スクリプトでがんばる
[FreeBSD-users-jp 69130]
が示されている (やってる事はどちらも同じ)。
スレッド自体はさらに toor や WHEEL_SU の話に発展している。
Macromedia Flash がサポートする ActionScript の getURL() を利用して getURL(“javascript:alert(document.cookie)”); などと設定しておきつつ、 form などの入力としてこれを embed してあげると cookie が取れるよ、という話みたい。 デモ用の flash コンテンツが http://eyeonsecurity.net/download/example.swf にあるそうだ。 またデモサイトが http://eyeonsecurity.net/advisories/flash-demo/ にあるそうだ。
まだ Flash への patch は完成していない模様。
ActionScript なんて言われると、どうもアクション仮面を想起してしまっていけない (^^;;)。
Windows NT4.0/2000 版の Oracle9i Database Release 9.0.1.x に弱点。 Oracle9i 付属の Oracle Net リスナーに対して「不正なパケット」を送ると 「CPU リソースが消費され」、DoS 状態になってしまう。 UNIX 版などの非 Windows 版にはこの弱点はない。 また Oracle8i 以前にこの弱点はない。
9.0.1.3.1 Patch3 で対応している。
実態事例: Tea Room for Conference No.881、ですかねえ。
いよいよ Windows とつなげる話。Windows 2000 以降の IPSec 機能と PGPnet (PGP 6.5.1 以降に含まれている) を取りあげている。
PGP 6.5.8ckt 日本語版は http://www.hizlab.net/pgp/ から入手できる。また Mac での PGPnet の利用については「Mac上でのIPSecによるセキュアな通信の実現 (Part.1)」に情報がある。
2002.06.07 の ASP.NET ワーカープロセスに未チェックのバッファが含まれる (Q322289) (MS02-026) に追記した。advisory が改訂され、Visual Studio .NET を終了してから patch を適用せよ、とされている。
SecurityFocus.com Newsletter 第 147 号日本語版 (テキスト)。
ISS Security Alert Summary AS02-23 です。
MS02-020 を含む patch 全部入りの Microsoft SQL Server 2000、MSDE 2000 に弱点。 buffer overflow する問題があり、 pwdencrypt 関数利用時に crash してしまう。 現時点で patch はない。 回避策としては、firewall 等による TCP 1433, TCP 2433, UDP 1434 に対するパケットフィルタリングなどが示されている。 またその際には、port 53 (DNS) や port 20 (FTP DATA) からのパケットによるバイパスが行われないようにと注意を呼びかけている。
VBS.Chick.F@mm (シマンテック)。 ウィルスもワールドカップ。
Windows 2000 で Windows Update したら、なんだか XP 風味になってるなあ。 いや、XP まだ使ってないから本当に風味があるのかいまいちよくわかんないけど。 (インストールする暇が得られず……)
……お、情報が: [memo:4120] Windows2000 のWindows Update。 中身も XP 風味な模様。
Microsoft Systems Management Server セキュリティ マネージメントセミナー、2002.06.27 大阪、2002.07.05 東京。無料。 SMS 2.0 によるセキュリティ・パッチ配布ソリューション な話なのでしょう。SMS 2.0 をタダでもらえるなら興味深いけどなあ。
……お? [connect24h:4146 ] これって本当に MS なの?。 丸伊食品はいつものこと (笑) だけど、証明書がアレゲなのは……。
Follow Up:オラクルのカリフォルニア疑惑を機会にROIを考える (ZDNet)。興味深い。
フーリガン監視カメラの設置継続を要望 大分商議所 (毎日)。 文字通りの「目的外利用」な気が。というか、最初からそうするつもりだったんじゃないの?
防衛庁リスト 発覚直後に修正リスト作成し再掲示 (毎日)。 努力したけど、なかったことにしきれなかった模様。 自民党的には「しきれなかった奴が悪い」ってコトになるんだろうか。
任天堂のFF批判に反論 和田・スクウェア社長 (毎日)。
「今、FF11を遊んでいる人には満足してもらっている
」んだそうで。
トラブルフリーになったんですかね。
捕まえにくい「Simile.D」ウイルス (ZDNet)。日進月歩ですねえ。
死者だけが知るパスワード——ノルウェー国立機関がハッカーに解読を要請 (WIRED NEWS)。 お仕事的にはキーリカバリー機能はほしかったりしますよね。
インテル トラステッド・コンピューティング (インテル) ってのがあるんだそうで。
住基ネット利用の範囲拡大 オンライン化3法案、閣議決定へ (毎日)。まだはじまってもいないのに使途拡大予定だそうで。 【解説】「国民総背番号制」へのなし崩し的な拡大に疑念も (毎日)。 ふつう懸念します。
「オープンソース・ソフトは危険」という報告書、裏でMSが関係? (WIRED NEWS)。 「本質的に」危険ってのはヘンだと思うのだが、どうしてそういう結論になるのかな。オープンソースであろうがなかろうが、穴があれば危険だというのは Code Red / Nimda が完璧に実証してくれた筈なんだが。
host3.c-hosp-jsdf.go.jp [210.232.74.251] ってとこから Klez が来るんですけど、自衛隊中央病院さん。 病院がウィルスばらまいちゃいかんのでは。
JP240797: Internet Explorer で ActiveX コントロールの動作を停止する方法 だそうです。
連邦政府、セキュリティ対策にようやく本腰 (ZDNet)。 腰を上げただけ偉いのでは。 e-gov 方面はどうなってるんでしょうね。
Linux Column:「Linuxディストリビューションに求められるものとは?」 (ZDNet)。 確かに、そういう面での「かっちり」感にはまだまだ遠いですよね。
第二の2000年問題か——金融業界を襲う「T+1」問題 (日経 IT Pro)。ここでも必要なのは「構造改革」ですか。
IP Filter 3.4.28 が出たそうです。(info from [installer 7321])
[memo:4068] 「ディレクトリ丸見え」型漏洩から自己防衛する方法 (Re: 最近の個人情報流出について)
興味深い議論がつづいているので、こちらからスレッドを追ってみるのがよろしいかと。
[memo:4078] Re: Content-Type: text/plain なページでIEに生ずるクロスサイトスクリプティングの問題
<plaintext> による一時的な回避策。
教育は重要。
[memo:4109] Re: mytrip.netのなりすまし問題
「指定機関が更新の可否について決定するまでの間は (中略) 有効期間の満了後もなおその効力を有
」するって、なんなんだ…… >
プライバシーマーク。
何のための期限なのやら。
で、プライバシーマーク付与認定の更新について を見ると、
2. 更新申請受付期間
プライバシーマーク付与認定の有効期間の満了前、3ヶ月以内1ヶ月前までです。
なので、更新手続きに 7 か月以上かかっているわけで。 こんな状況で大丈夫なのか?!
2.1 用:
2.5 用:
MIME::Tools Perl module and virus scanners
patch が示されている。
[DER #11] - Remotey exploitable fmt string bug in squid
squid に付属している NT domain 認証モジュール (auth_modules/MSNT/) に format バグがあるという話。デフォルトでは含まれない、と思う。
SHOUTcast 1.8.9 bufferoverflow
1.8.12 で修正されている。
KPMG-2002019: BlackICE Agent not Firewalling After Standby
standby から復帰すると、BlackICE Agent 3.1 eal は再活性化しないという話。 BlackICE Agent V3.1 EBH にはこの問題はないという。
CERT Advisory CA-2002-16 Multiple Vulnerabilities in Yahoo! Messenger の話。 最新の日本語版 Yahoo! Messenger にはこの問題はないそうだ。
Microsoft .NET Framework 1.0 に含まれる ASP.NET に弱点。 ASP.NET の StateServer モード (Out-of-process モード) における cookie の処理でバッファオーバーフローが発生する。 このため、StateServer モードで cookie を利用した ASP.NET アプリケーションが動作している場合、これを remote から攻撃することで、動作中の web ベースアプリケーション全てを再起動させることができるという。 なお StateServer モードはデフォルトではない。また StateServer モードであっても cookie を利用していない場合には問題がない。
patch があるので適用すればよい。
しかし、さっそく、ですか。いやはや。
advisory が改訂され、Visual Studio .NET を終了してから patch を適用せよ、とされている。詳細は INFO: Installation Issues with Silent Install of Security Bulletin MS02-026 (Q324292) 参照、だそうだ。
mod_encoding-20011026a, mod_encoding-20011211a に弱点。 remote から Apache 実行ユーザ権限 (デフォルト: nobody) で任意のファイルを閲覧できてしまう。WebDAV を利用している場合、すべてのファイルは Apache 実行ユーザの所有となっているため、WebDAV で管理している全てのファイルが対象となる。
mod_encoding-20011211a-hotfix で修正されているので入れかえる。 また mod_encoding-20011211a への patch が示されている。
日本語版が penetration technique research site にあるのでそちらも参照。
MSIE 5.5/6 にクロスサイトスクリプティング脆弱性。
IE の詳細設定「FTP サイト用のフォルダ ビューを使用する」
Explorer のフォルダオプション「フォルダで Web コンテンツを使う」
の両方が有効の場合 (デフォルトで両方有効)、IE の URL として ftp://"><script>alert("Exploit")%3b</script>%20 を入力すると、このスクリプトがマイコンピュータゾーン権限で実行されてしまう。 よって、悪意ある web ページや HTML メールで罠のリンクを貼っておくと、これをクリックしてしまったユーザのコンピュータ上で悪の限りをつくすことができる。
回避策としては、上記のどちらかが無効であればよい。手元の環境では、後者 (Explorer のフォルダオプションを「従来の Windows ファルダを使う」とする) を設定しているので回避できていた。
発見者の Yoshida さんは半年も前にこの問題を発見し MS に報告したにもかかわらず、今だに fix されていないのだそうだ。だめじゃん > MS。
Windows 2000 SP3 で修正されているそうです: Q316890: Embedded Java Scripting in FTP Sites May Run After Java Scripting Is Disabled。 (info from bugtraq)
Mozilla, Opera でも同様事例が発見された。
Mozilla FTP View Cross-Site Scripting Vulnerability
cookie 盗まれ系の他、
「悪意のある者に偽のFTP View画面を実際のFTP View画面に埋め込まれて、トロイの木馬が仕込まれたファイルをダウンロードさせられてしまう可能性も考えられます
」。なかなか素敵です。
最新の Mozilla 1.1 Beta では修正されているようです。
Opera 6.05 で修正されているそうです。 penetration technique research site 2002.08.28 01:18 参照。 これまた連絡ナシだそうで。
(1)個人情報の範囲など,あいまいな点が多く実務面で混乱を引き起こす可能性がある,(2)本人からの開示請求に対応するためのコストやリスクが読めない,(3)開示内容の範囲が不明確,(4)CRMなど高度なマーケティングを導入する際に問題が起きる恐れがある
(2) にはたとえば、本人認証手段をどうするのか、という話 (なりすまし対策) も含まれたりするんだろうなあ。 でも (1) の個人情報の範囲や (3) の開示範囲ってそんなに不明確だろうか。 不明確であるようなシステムを運用している方も問題だと思うんだが。
って、他人事モードでは済まされないんだけど……。
UNIX 上で、とりあえずインストールして動かすところまで。
「社内向けのイントラネットWebサーバをIISで構築する点に主眼を置いて
」
いる記事なのでご注意。
「プログラマのためのセキュリティ対策テクニック」 邦訳版も登場したそうです。 STPP セキュリティ対策セミナー 会場で売り出したりするのかなあ。
HP個人情報流出 対策強化を (NHK)。 「警察庁は、ホームページの対策を強化するよう企業などに呼びかけています」 の中身は 「個人情報の流出事案に関する対策について」 (警察庁) の模様。 こんなんじゃ伝わらないよ。 寒い。寒すぎる。
W杯残り券 電話受け付け発表 (NHK) だそうで。
ひさびさに W95/Magistr.32768@mm が来たりすると、ほのぼのしますね (なにかちがう)。
http://www.turbolinux.com/security/ が超ひさしぶりに更新されてますね (笑)。
#00219 SEA SNMP (snmpdx, mibiisa)
Solaris 2.6/7/8 に弱点。 snmpdx に format バグ、mibiisa にバッファオーバーフローバグがあり、 remote から root 権限を取得できる。 関連: Entercept Ricochet Security Advisory: Solaris snmpdx Vulnerabilities
Recommended & Security Patches for Solaris に in.talkd パッチ出てます。
[RHSA-2002:097-08] Updated xchat packages fix /dns vulnerability
[RHSA-2002:083-22] Ghostscript command execution vulnerability
RHSA-2002:084-22 Updated nss_ldap packages fix pam_ldap vulnerability
前の fix において、RH 6.2 用パッケージがインストールできないものだったんだってさ。
Courier 0.38.1 に弱点。メールの年数をとても大きな値にすることにより DoS 攻撃を行うことが可能。これは 0.38.2 で修正されている。 0.38.2 ではこうなった (10000 年問題 (^^;)):
if (year < 1970) return (0);
if (year > 9999) return (0);
また、imap-uw にデザイン上の問題があり、これを防ごうと FAQ にある restrictBox を設定したとしても防ぎきれず、 imaptools.tgz を使うと
imapget imap.host.name /etc/passwd > passwd
のようにしてファイルを get してしまえる、という。 最新の imap-2001a でもこの状況は発生するという。
imap-uw 2002.RC2 の docs/RELNOTES には
The restrictBox option in env_unix.c sets "restricted box" functionality, which disables access to the root (leading "/"), access to other user's directories (leading "~"), and access to superior directories via "..".
という記述があるので、どうやら修正された模様。
imap: 任意のファイルの漏洩 (TurboLinux)
IE 5.5, 6.0 に弱点。gopher:// URL の処理においてバッファオーバーフローが発生するため、悪意ある web サイトや HTML メール送信者は IE 動作権限で任意のコードを実行させることが可能となる。
回避策として指摘者は、gopher プロトコルの proxy を次のように設定することにより、gopher:// URL を無効にする例を示している。
種類 使用するプロキシのアドレス ポート ------------------------------------------------ gopher(G): localhost 1
手元の squid では
acl POISONED_URL url_regex -i "/usr/local/etc/squid/poisoned-url.list" http_access deny POISONED_URL
とかしているので、poisoned-url.list に ^gopher:// と追加しておいた。
patch はまだない。関連:
Frequently asked questions about the MSIE gopher vulnerability (solutions.fi)
IEのGopher処理にバッファオーバーフロー脆弱性 (slashdot.jp)
IEに『Gopher』を悪用するセキュリティーホール (CNET)
MS02-027: Gopher プロトコル ハンドラの未チェックのバッファにより、攻撃者の任意のコードが実行される (Q323889)。IE 5.01 / 5.5 / 6 の他に、Proxy Server 2.0、ISA Server 2000 にも弱点の存在が判明。IE / Proxy Server / ISA Server 毎の回避策が記載されている。
Flawed workaround in MS02-027 -- gopher can run on _any_ port, not just 70。 FAQ の「この脆弱性に対して、何か緩和する要素はありますか?」 の記述に対するコメントですね。説明されている回避策は port 70 でないモノにも有効なんですけどねえ。
Proxy Server 2.0、ISA Server 2000 用 patch 登場。しかし、IE 用はまだ。
Internet Explorer 用の累積的な修正プログラム (Q323759) (MS02-047) で修正された。
出てます。Windows 系と Linux はほぼ同数ですね。
2002.05 分出てます。
AMaViS からの出力を IPA ウィルス届出様式 に変換して自動で送ってあげると喜ばれるんだろうか。 と書いている間にも [FreeBSD-net-jp 3728] に Klez.H が……。
いつできたのかよくわからないけど、そういうサイトができてます。 リスクマネジメント最前線 第 1 回の冒頭の話はつまり、DoS 状況、なわけで。
更新いくつか。
「Q11: JPCERT/CC は米国 CERT/CC の日本支部なのですか?」 とか、増えてます。(^^)
ふと思って試してみたのですが、https://www.jpcert.or.jp/ というのはないみたいですね。
[aml 28244] ジェニンで何が起こっているのか(前編)、 [aml 28251] ジェニンで何が起こっているのか(後編)。
[aml 28285] Fw: [oda 2816] Fw:総理になれば北朝鮮と戦争も,と石原知事談。 勇ましいことで。ぜひ先頭に立って白兵戦でもやってください。
FOMAはメールも第3世代? 人騒がせなFOMAのEメール (ZDNet)。 すばらしき 3G の世界。匿名希望さん情報ありがとうございます。
Life With djbdns とか Life with qmail というページがあるんですね。
penetration technique research site でパケット・スニファ scope 2.0 が公開されています。 jcode.pl と組みあわせることにより、日本語にも対応するそうです。
Windows XP SP1はなぜ「重要」か (ZDNet)。 すぐさま対抗策が練られて実行されてしまう気が。
AIBO、API公開で「なんでもできる」? (ZDNet)。パンチラチューンも可能な模様。
旅の窓口 にまたもや問題。ある程度の個人情報 (会員電話番号・氏名・生年月日・自宅住所) を把握していれば、会員番号を取得でき、結果として会員になりすます事ができてしまうという。 福光さんによる指摘 [memo:3863] と本質的には同じものだという。
この問題はすでに修正されているそうだが、他山の石として自サイトの見直しをしてくれるところがどれだけあることやら。って、他人事モードでいいのか? > 俺。
9.2.1 より前の bind 9 に弱点。 外部から bind 9 を shutdown させることができてしまう。 この弱点は bind 4.x や bind 8.x には存在しない。
bind 9.2.1 で修正されているので bind 9 利用者は入れかえればよい。
関連:
ISC BIND におけるリモートからのサービス不能攻撃の脆弱点 (ISSKK)
なんなんだろうこの記事は……。
しかし、先ほどの総務省のセキュリティ問題を指摘した記事を読んでみると、そもそも政府は重大な欠陥を抱えている電子申請の事実を隠し通してムリに推進しようとしているのか? という疑心を生むもとになる。
実際そうだと思うんだけど、違うんだろうか。 彼らは、今回の事例は重大な欠陥ではないと言いたいのだろうか。
真偽の判別についていうならば、かつて本当にあった夜間金庫のなりすまし事件(注1)などリアルの世界でも事件の例はある。同様に夜間金庫は危ないという記事を書くのだろうか?
「夜間金庫」の真実性を事前に十分検証できない場合、それは危ないと判断すべきだと思うんだけど、違うんだろうか。 彼らは、どんな記事を書けばいいと言うのだろうか。
[memo:4058] Re: ウイルスチェックレポート。Outlook / Exchange ってふしぎな挙動をするんですね。
IMウイルスを甘く見ちゃいけない (ZDNet)。 Nimda 級のやつが来ないと認識変わらないかも。
Gartner Column:第49回 ガートナーのベンダー評価: マイクロソフトはPositive (ZDNet)。 「セキュリティの課題」は「Caution」になってます。
ダスキン:「不検出」検体は肉まん2個 製造元など特定せず (毎日)。 アリバイづくり? ダスキン、客よりも加盟店よりも保身 (日経 BizTech) なんてのも。そりゃ売上減るよなあ。
それどころか、肉まん以外の飲茶商品については、「飲茶全商品を公的検査機関に持ち込み、確認中です」と発表する始末。「ほかの商品は安全です」と、消費者に断言できるデータを5月27日の時点で持ち合わせていない。
さすがとしか言いようが……。
個人情報保護法 顔を洗って出直すのがいい (毎日)。 コイズミ内閣に「顔を洗って出直す」という概念は存在するのかな。
防衛庁リスト:目的外利用の疑い 開示請求、訴訟相手に漏れる (毎日)。仲間、仲間、仲間〜。
「怪しい人は調べるのが当然」自民党内に防衛庁擁護の声 (asahi.com)。情報公開請求する人は全員「怪しい人」のようで。 さすが自民党員、言うことが違います。
sendmail 8.12.4 出てます。 File Locking Local Denial of Service; Impact on sendmail 問題が fix されています。
cookie を簡単に表示・削除する方法。ただし限界もあるので注意事項をよくお読みの上で利用しよう。 長大なものについては、アドレスバーに直接打ち込むよりも、適当な「お気に入り」(.url) ファイルをつくっておいて、そのファイルをテキストエディタで編集する方が確実でしょう。
SecurityFocus.com Newsletter 第 146 号日本語版 (テキスト)。
MSDE の 'sa' アカウントにパスワードを設定する方法。 ヤラレる前に、つけておきましょう。
ISS AS02-22 です。
本当なのか?! 実行されたらされたで、しばらく混乱が起こりそうな気がするが……。
Exim 迷惑すぎ。メール本文に
Content-Type: application/octet-stream; name=MTSREL.pif
って書いただけで reject されるってのは。 デフォルトでそうなるわけではないみたいだけど (Izawa さん感謝)、 複数のドメインが同じように reject してくれるっていうのは。
thkw89@jp-t.ne.jp に forward してるの、誰? エラーメールが山のようにやってくるんですけど、どこから forward されているのかさっぱりわからないエラーメールで、対応しようがないんですよね……。
それにしても、わかりにくすぎだぞ > J-PHONE ホームページ。
グリコ、無認可物質混入でアイスなど127万個を回収へ (日経 BizTech)。 こんなんばっかやな……。 ダスキンもグリコもある意味被害者なんだけど。(麗美さん感謝)
[aml 28226] アムネスティ発表:パレスチナ人大量逮捕について。テロリストって誰だっけ?
[aml 28208] 関電はMOX燃料返還輸送で「無許可輸送」を強行しようとしている(美浜の会HP)。 申請する方もアレゲだが、受理する方はもっとアレゲ。
北朝鮮人亡命事件の背景 、 揺れるアメリカの北朝鮮外交 (田中宇の国際ニュース解説)。 ジャイアンには勝てない。
EU、スパム・オンラインプライバシー規制法案を承認 (japan.internet.com)。オプトインです。
タカラ逝ってよし。 なんだかなあ。他人のものだろうがなんだろうが「とりあえずとっとけ」な会社なのかねえ。
……抗議殺到で「ギコ猫」商標登録取り下げ タカラ (毎日) だそうで。
[WSJ] ドイツ政府、Linuxへの移行でIBMと契約 (ZDNet)。
Windows はレドモンドが核攻撃を受けるとえらいことになる可能性が高いと思うが、Linux なら SuSE が核攻撃を受けてもメンテしてくれる SI 屋を探せばいいだけ、という意味では「オープンソースソフトの方が、1社独占のソフトより、(中略)脅威に対する耐性が高い
」でしょう
(BGM: ターミネーター)。
1.0.6 から 1.0.7 に upgrade すると、自分自身の key が trust: -/- になってしまうので注意しよう、という話。 そういえば手元はまだ 1.0.6 だったので、さきほど 1.0.7 に upgrade した。 確かにそうなった。
「MSIE が Content-Type: を正しく評価しない」話がクロスサイトスクリプティング脆弱性につながってしまった、という事例。 思い起こせば MS01-058 や fusianasan トラップ も Content-Type: を正しく評価しないからこそ発生した事例なわけで、根本原因はやはり MSIE のダメダメさにあるわけで。
この MSIE と同じ問題がデフォルト状態の Opera にもあるとフォローされている [memo:4017]。こちらは、設定すればまともな動作になるようだ。 MSIE もせめて、「設定すればまともな動作になる」ようにはできないのだろうか。 デフォルトでそうなってくれればもっとうれしいけど。 MSIE に甘えて変な Content-Type: を送ってくるサイトが多すぎるんですよね。
monkey.org がクラックされたために、そこで配布されていた dsniff-2.3, fragroute-1.2, fragrouter-1.6 が木馬入り版になっていた、という話。 Dug Song 氏のフォローも参照。
sprintf() とか strcpy() とかバシバシですしねえ。 (表現をすこし修正: 猿丸さん感謝)
official fix はいまだ登場していないが、手元の FreeBSD では ports/security/libparanoia をリンクしてお茶を濁してみた。 とりあえず bugtraq に流れた exploit で試したところ、 mnews[51250]: Stack violation - exiting といって終了するようにはなることを確認。
Linux で PPTP サーバを立ちあげ、Windows XP から接続する、という記事。
