セキュリティホール memo - 2002.07

　「6月からのMSUSのダウンロード数が、6120サーバ」。 多いのやら、少ないのやら。

　OpenSSL 0.9.6d / 0.9.7 beta2 以前に複数の弱点が発見された。

　まず、A.L. Digital Ltd と The Bunker が DARPA の CHATS プログラムの下に発見したもの。

1. SSL2 の client master key において buffer overflow が発生する。 exploit 可能であることが実証されている。

   CVE: CAN-2002-0656

2. SSL3 において client に発行される session ID で buffer overflow が発生する。

   CVE: CAN-2002-0656

3. SSL3 server に発行される master key において stack buffer overflow が発生する。これは OpenSSL 0.9.7 beta3 より前の 0.9.7 において Kerberos が有効な場合にのみ発生。

   CVE: CAN-2002-0657

4. 64 bit プラットホームにおいて、整数を ASCII 文字に変換するための buffer の多くのサイズが小さすぎる。

   CVE: CAN-2002-0655

　これにより、OpenSSL を用いて SSL または TLS を実現しているプロダクト (client / server 両方) に脆弱性が発生する。ただし、SSL 2.0 を無効にし、OpenSSL 0.9.6d を利用している 32 bit 環境ではこの問題は発生しない。 SSLeay においても「たぶん」この問題が発生するだろうという。

　さらにもうひとつ弱点がある。 OpenSSL の ASN1 ライブラリに問題があり、 正しくないエンコーディングを施したデータを利用して DoS 攻撃を行うことができる。 ASN1 ライブラリを利用するものには、全ての SSL / TLS アプリ、 S/MIME (PKCS#7) で ASN1 ライブラリを利用するもの、 certificate generation routines があるという。 CVE: CAN-2002-0659

　上記のすべての問題は OpenSSL 0.9.6e および 0.9.7-beta3 で修正されている。 また旧版への patch が示されている:

• 0.9.6d 用: http://www.openssl.org/news/patch_20020730_0_9_6d.txt

• 0.9.7 beta2 用: http://www.openssl.org/news/patch_20020730_0_9_7.txt

• それ以前用: OpenSSL patches for other versions (bugtraq)

  A.L. Digital Ltd の人が投稿したものなので、ASN1 問題の fix 部分は入っていないかも (未確認)。

　fix package:

• Debian GNU/Linux: [SECURITY] [DSA-136-1] Multiple OpenSSL problems

• RedHat Linux: [RHSA-2002:155-11] Updated openssl packages fix remote vulnerabilities

  CAN-2002-0655 と CAN-2002-0656 しかクレジットされていないなあ。

• VineLinux: ●2002,07,31● openssl にセキュリティホール: 2.1.5 用、 2.5 用

　関連:

• CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL (CERT/CC)

• OpenSSLの一部バージョンにセキュリティ・ホール——米ビジリンクスが発表 (日経 IT Pro)

  「一部」と言うと誤解を招くと思うが……。

• OpenSSL 0.9.6d 以前のバージョンに脆弱性 (slashdot.jp)

2002.08.01 追記:

• FreeBSD Security Advisory FreeBSD-SA-02:33 openssl contains multiple vulnerabilities

• openssl: バッファオーバーフロー他 (Miracle Linux)

2002.08.05 追記:

• openssl: buffer overflowによるローカルユーザー権限奪取 (TurboLinux)

2002.08.08 追記:

• 「ネットワークバイオ」（PCV-JX11GN・JX10GN）において LinkGarage（β版）をご使用のお客様へ（OpenSSL、J2RE セキュリティ情報） (SONY)

  LinkGarage Ver1.1 で修正済みだそうで。

• [RHSA-2002:160-21] Updated openssl packages fix protocol parsing bugs (RedHat)

• openssl　セキュリティホール バッファオーバーフロー (Miracle Linux)

• ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:33.openssl [REVISED] (日本語版)

  OpenSSL 0.9.6e のコードにはバグがあったので直しました、と読めるのだけど、そういう理解で合っているのかなあ。 openssl2.patch は OpenSSL 0.9.6e にも適用できるもののように見える。

2002.08.09 追記:

　itojun さんから (情報ありがとうございます):

openssl 0.9.6eはバグ入りです。これあてないと駄目。なんで0.9.6fとか openssl advisoryが出ないのか不思議です。
http://marc.theaimsgroup.com/?l=openssl-cvs&m=102831422608153&w=2

　上記 URL、前半部分は FreeBSD の openssl2.patch と同じ (omax - (*p - *pp) になっているのは typo だと思う) で、 後半部分は [VulnWatch] RUS-CERT Advisory 2002-08: 01: Incorrect integer overflow detection in C code に出てくるやつですね。 両方要るぞ、と。

　……と言っている間に OpenSSL 0.9.6f が出ています (info from [memo:4721])。該当個所、もちろん直ってます。

　……中野さんから (情報ありがとうございます):

OpenSSL 0.9.6f をインストールしてたのですが、Makefile に問題がありそう
な気がしましたので、お知らせします。もし重要なことでしたら、webへの掲
載もしてもらえると嬉しいです。

問題のファイルは、
openssl-0.9.6f/Makefile.ssl
です。install_docs: 以後のところです。問題は、make install の時に発生
します。

691行目：
正：
        @pod2man=`cd ./util; ./pod2mantest ignore`; \
元：
        @pod2man=`cd ../../util; ./pod2mantest ignore`; \

703行目
正：
        for i in doc/crypto/*.pod doc/ssl/*.pod; do \
元：
        @for i in doc/crypto/*.pod doc/ssl/*.pod; do \
（頭の「@」をとる）

FreeBSDだと、
前者：
making all in tools...
cd: can't cd to ../../util
*** Error code 2

後者：
@for: not found
*** Error code 127

Solarisだと、
前者：
making all in tools...
sh: ../../util: 存在しません。
*** Error code 1
make: Fatal error: Command failed for target `install_docs'

後者：
making all in tools...
sh: 構文エラー 行12: `do' 予想外です
*** Error code 2
make: Fatal error: Command failed for target `install_docs'

このようにエラーが出て、停止してしまいます。
「正」の用に変更すると、インストールが正常終了します。

　[openssl.org #203] OpenSSL 0.9.6f install broken: no egcs, no doc, no shared libs にも情報があるそうです。合谷さんありがとうございます。

2002.09.17 追記:

　OpenSSL は 0.9.6g が最新です。うまく make できない問題は fix されています。 各ベンダーの OpenSSL パッケージ最新版、OpenSSL 0.9.6f 以降になっていれば問題ないと思いますが、0.9.6e 以前ベースの場合に 0.9.6f で修正された部分が入っているのかどうかは確認する必要ありかと思います。

　ちょっとまとめてみました:

Red Hat Linux

• RHSA-2002:160 opensslパッケージのアップデート

  0.9.6f での変更は含まれているようです。

Vine Linux

• 2.1.x: openssl にセキュリティホール

• 2.5: openssl にセキュリティホール

  0.9.6f での変更は含まれていないようです。

Turbolinux

• OpenSSL 0.9.6e バグフィックス(追加)

  OpenSSL 0.9.6g ベースになっています。

Miracle Linux

• openssl

Debian GNU/Linux

• [SECURITY] [DSA-136-2] Multiple OpenSSL problems (update)

  potato 用 fix も登場。最新の fix では 0.9.6f での変更も含まれているようです。 web にある DSA-136 はまだ古い内容なので注意。

FreeBSD

• ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:33.openssl [REVISED] (日本語版)

  0.9.6f での変更は含まれているようです。

NetBSD

• NetBSD Security Advisory 2002-009: Multiple vulnerabilities in OpenSSL code

  updated 2002/9/16 です。0.9.6g ベースになっています。

OpenBSD

• 013: SECURITY FIX: July 30, 2002

  0.9.6f での変更は含まれているようです。

HP-UX

• HPSBUX0209-217: Apache OpenSSLにおけるセキュリティ脆弱性

  0.9.6g ベースになっています。

2002.09.19 追記:

Debian GNU/Linux

• [SECURITY] [DSA-136-3] Multiple OpenSSL problems (update)

Turbolinux

• OpenSSL/Apache ワーム「Slapper」について

　ファイアウォール / パーソナルファイアウォールとアンチウィルスソフトが連携するようになってきた、という話。 米Symantecがネットワーク・クライアントとリモート・ユーザー向け統合セキュリティ・ソリューションを発表 (日経 IT Pro) も、その線をいっている製品なんですかね。

　四日市市にプライバシーなし。これも氷山の一角、なんでしょうねえ。 Tatekawa さん情報ありがとうございます。

　Mozilla において、悪意ある web サイトや HTML メール送信者が任意のドメインの cookie を読み出せてしまう弱点がある。 \n つきリクエストを使って任意のドメインの cookie を読める、模様。 1.1 beta では修正されている。 回避するにはスクリプトからの cookie 読み出しを拒否する (Advanced → Scripts & Windows の Read Cookies のチェックを外す) か、JavaScript 自体を無効にする (Advanced → Scripts & Windows の Enable JavaScript for のチェック) 。 関連:

• mozilla.gr.jp

  Mozilla 0.9.2〜 1.0, 1.1 Alpha に問題があり、 1.1 beta や 2002/07/23 の nightly build (trunk, 1.0系) では修正されている、とされている。 これらに対応する Netscape 6.x/7.x でも同様の問題が発生すると考えられる。

• Bugzilla Bug 152725

  0.9.4 branch 用の patch も示されている。

• Mozillaに任意ドメインのCookieが漏曳するセキュリティホール (slashdot.jp)

  Netscape 6.2.3 や 7.0 PR1 での問題発生が確認されている。

• [moz-users:04884] JavaScriptサイトポリシーを使って（ Re: mozilla 0.9.2から1.1aまでにセキュリティーホール

  サイト事に JavaScript の on/off を行う方法。

2002.08.05 追記:

• mozilla: 任意のホストのクッキーが不正に取得されてしまう (TurboLinux)

　LDAP でアカウントを集中管理する話。

　cgiwrap 3.7 において、デバッグ版 (cgiwrapd、nph-cgiwrapd) が利用できる状態だと、 特定のブラウザ (少なくとも、IE とデフォルト状態の Opera) との組みあわせにおいてクロスサイトスクリプティング脆弱性が発生してしまう。 これは IE やデフォルト状態の Opera が Content-Type: text/plain でも HTML だと解釈する場合があるため。

　回避するには、デバッグ版 (cgiwrapd、nph-cgiwrapd) を削除するなどして利用できなくなくする。[stalk:01345] では Apache で BrowserMatch を利用する例が示されている。 また、[stalk:01347] cgiwrap を改造して、丈夫にする案 でも回避できるようだ。IE/Opera が「これはテキストだあ」と判断できる状態にしてあげればよいということなのだろう。

　Cobalt RaQ な人は、[stalk:01342] にある URL から patch をインストールしよう。 [coba-q:11307] 【続報その２】 CGIWrap のクロスサイトスクリプティング脆弱性 によるとデバッグ版は利用不可になるで。 この patch では [memo:896] CGIWrap Cross-site Scripting Vulnerability とあわせて fix されているようです。

　jbeef さんの鋭い指摘にも注目。 対応準備完了時点でアナウンスくらいすべきだと思いますけどねえ > KDDI。

　お金モノを含め、ケータイでなんでもやろうなんて人がいるようですが、穴がみつかってもきちんと塞ぐつもりのないベンダーがあるような状況でやっていいんですか?

2002.08.02 追記:

　オフィシャルアナウンス登場: 一部au携帯電話におけるホームページURLの送出について (KDDI)。 「お客様個人を特定する情報(氏名、Eメールアドレス、電話番号など)が外部に送出されるものではありませんが」の後に「別の意味でとんでもないことになりかねません、というのは……」という説明があるべきなのでは?

ご利用にあたって、携帯電話機の電源を一旦切るか、ブラウザ履歴をクリアする設定(自動または手動クリア)を行えば、本件の事象は発生しません。

　これも誤解を与える記述な気が。「web page にアクセスする前に」の一言が必要なのでは? 「ブラウザ履歴の自動クリア」というのは、いつ自動でクリアするんだろう。

　メール保存ソフトとしてフィルタリング・ソフトを使うんですか……なるほど。 (下) もどうぞ。

　Microsoft 方面、いろいろ出たようで。

• MS02-036: Microsoft Metadirectory Services の認証問題により、 権限が昇格する (Q317138)

  聞いたことがない製品だなあ、と思ったら、日本では販売されてないそうで。 修正プログラムがあるので適用すればよい。

• MS02-037: SMTP クライアント EHLO コマンドへのサーバー応答で、 バッファオーバーランが発生する (Q326322)

  Exchange Server 5.5 に弱点。Exchange 5.5 Internet Mail Connector において、EHLO の応答においてバッファオーバーフローが発生してしまう。これを利用すると、remote から Exchange 5.5 IMC を crash させたり、Exchange 5.5 実行権限で任意のコマンドを実行させたりできる。

  修正プログラムがあるので適用すればよい。 また、Q190026: XFOR: SMTP Protocol Log Only Shows Connection Established Else にあるように、EHLO の DNS 逆引き参照を無効とすることにより、 この問題を回避できるそうだ。

  関連: Microsoft Exchange Server におけるリモート バッファ オーバーフローの脆弱点 (ISSKK)

• MS02-038: SQL Server 2000 ユーティリティの未チェックのバッファ により、コードが実行される (Q316333)

  SQL Server 2000、SQL Server Desktop Engine (MSDE) 2000 に 2 つの弱点。 Database Consistency Checker (DBCC) でバッファオーバーフローが発生する。 また、データベースのレプリケーションで使用される 2 つのストアドプロシージャで SQL 挿入問題が発生する。 SQL Server 7.0 にはこの問題はない。

  修正プログラムがあるので適用すればよい。

  参照: SQL Server 2000 Buffer Overflows and SQL Inyection vulnerabilities

• MS02-039: SQL Server 2000 解決サービスのバッファのオーバーラ ンにより、コードが実行される (Q323875)

  SQL Server 2000、SQL Server Desktop Engine (MSDE) 2000 に 3 つの弱点。 スタックバッファオーバーフローおよびヒープバッファオーバーフローする弱点と、DoS 攻撃を受ける弱点。 バッファオーバーフローする弱点を利用すると、remote から SQL Server 動作権限で任意のコードを実行させられる可能性がある。

  修正プログラムがあるので適用すればよい。

  参照: Microsoft SQL Server 2000 Unauthenticated System Compromise (#NISR25072002)

　あと、更新ものが 1 つ:

• 2002 年 6 月 26 日 Windows Media Player 用の累積的な修正プログラム (Q320920) (MS02-032)

  累積的修正プログラムなはずだったのに、MS01-056 で修正したファイルが欠けていた、という話。昔 MS01-056 を適用したことがあった人には関係ないが、 最近 Windows を新規インストールした場合など、過去に MS01-056 を適用していない人は、再パッケージされた新 MS02-032 修正プログラムを再適用しよう。

　一般向けの資料です。製本版も用意されている模様。

　となりの大学を含め、確かに ac.jp 方面いっぱい。主として Windows 狙いな人 (?) なのかな。

　直前になっても「新設する方針を固めた」レベルですか。 「住基ネットのセキュリティーは信頼に足るものだ」、どうやら「信頼」は独自に定義されている模様。

　この時代に「2週間ごと」だぁ? 「住基ネットはインターネットとは異なり、閉じたネットワークで、毎日の更新は必要はない」? 今どきの、瞬時に拡散する複合型ウィルスにそんな悠長な態度で勝てるとでも思っているのか。アホか。

　わからんちーの「地方自治情報センターの戸田夏生・システム担当部長」になにか言ってやってよ > IPA さん。ダメすぎ。

　そういう時代、なんですねえ。 ピッキング対策進み窓破り横行、防犯ガラスに各社が本腰 耐火性強化・盗難見舞金も (asahi.com) もあわせて。

　少なくとも「安全」というレベルでないことは確か、なのでしょう。

　2002.07.23 の Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default に追記した。DnsCache\Parameters ではなく TcpIp\Parameters なのでは、という指摘。しかしそうなると、Microsoft の他のドキュメントは全部バグ入りってことに……。

　OpenBSD に stack でのコード実行を禁止する機能がついた模様。

　Microsoft によると、これはセキュリティ脆弱性ではないのだそうだ。 そういうことは「スクリプトによる貼り付け処理の許可」をデフォルトで無効に変更してから言ってほしいのだが。

　mailman 2.0.11 以前にクロスサイトスクリプティング問題があるという話。 2.0.12 で修正されているという。

　CacheFlow CacheOS V4.1.06 にクロスサイトスクリプティング問題があるという話。 V4.1.07 で修正されているという。

　なにはともあれ読みましょう。

　「2000年冬モデルFMV−DESKPOWERシリーズ」 FMV-DESKPOWER ME5/655、FMV-DESKPOWER ME5/657 の一部に含まれる HDD に、 「高温多湿の使用環境で長時間使用した場合」に「まれに (中略) 不具合が発生することが判明」したのだそうです。該当するかどうかは、上記 URL で製造番号を入力すればチェックできます。

　2ch.net の 富士通製ハードディスクまだ続く？突然死 3台目 も関連のようです。

　また、HDD というわけではないかもですが、ノートＰＣにおいて、本体温度が通常以上に高くなることに関する重要なお知らせ (NEC LaVie NX、VersaPro NX) という話もあるそうです。福光さん情報ありがとうございます。

　手元で最近 write error 出しまくってくれたのは Maxtor のやつだなあ。 この HDD が入っていた PC は「朝焼けの光の中に立つ影は〜」な状態にあったことが判明したので、直射日光が当たらないようにしておきました (^^;;)。

　RFC3227 の日本語版。

　すごい発想だなあ。U.S. どこへ行く。

　InterScan VirusWall UNIX 3.6 および 3.6 Patch[12] において、「不正なヘッダ情報」を利用したウィルスが通過してしまう問題があるという。 CVP 版は solution 4333 を参照。

　「2002年7月22日時点で日本でリリースしているInterScan VirusWall for UNIX の全ての最新のバージョンで発生」するのだそうだ。patch があるので適用すればよいみたい。

　「組織名などから容易に推測できる字句を利用したうえ、全国の自治体職員に同一のID・パスワードを使わせている」……。ワキどころじゃないでしょうこれは。総務省のセキュリティ意識はあまりにも杜撰。こんな状況で住基ネットをやってもらっては困る。実害が出る。

　高木さんのコメントについては、高木さん自身によるフォローが表明されています: [memo:4654]。

　関連: 地方自治情報センター　一部重要情報をサイトから削除 (毎日)。 本当に情報のランクづけをきちんとやっているのか? 秘密保持の必要が本当にないのなら、いっそのこと全て公開すべきなのでは。

　福島・矢祭町の住基ネット不参加表明　総務相が苦い顔 (毎日)。 「個人情報保護法がなければ情報が漏れるということはない」。言ってるそばからじゃじゃ漏れなんですけど。片山虎之助総務相って「裸の王様」にしか見えないです。

　【解説】総務省、同調を懸念　矢祭町の離脱表明、 住基ネット　矢祭町に続き離脱考えては (毎日)。 違法はどっちだ。

• TurboLinux: mod_python: パブリッシャーハンドラの脆弱性

  mod_python 2.7.8 で fix されている件のようです。

• wwwoffle-2.7b and prior segfaults with negative Content-Length value (bugtraq)

  2.7c で fix。

• asciiSECURE advisory (2002-07-17/1) (bugtraq)

  flock(2) で /etc/dumpdates を lock すると dump(8) で困っちゃったりするねぇという話みたい。

• Linux kernel setgid implementation flaw (bugtraq)

• Vulnerability found: Adobe Acrobat eBook Reader and Content Server (bugtraq)

• tru64 proof of concept /bin/su non-exec bypass (bugtraq)

• IBM Tivoli ネタ (f13w さん感謝):

  • IBM Tivoli Management Framework ManagedNode Buffer Overrun Vulnerability (securityfocus)

  • IBM Tivoli Management Framework Endpoint Buffer Overflow Vulnerability (securityfocus)

• サーバID更新時の作業：Microsoft IIS 5.0 / Windows2000 (日本ベリサイン)

  [現在の証明書を更新する] は失敗するんだそうで。 別の仮想サイトをつくった上で置きかえる必要があるみたい。

　ISS Security Alert Summary AS02-29 です。

　龍大瀬田学舎の場合、滋賀が無事でも京都が崩壊するとネットワーク切れちゃうんだよなあ。対策は……今のところ何もないぞ、と。

　Microsoft Windows 98, NT, 2000, XP に塔載されている DNS クライアント (resolver) の初期設定に弱点。DNS query を送った IP アドレスからの DNS reply だけでなく、 どんなアドレスから送られた DNS reply でも受けつけてしまう。 これにより、悪意ある攻撃者による DNS 詐称や DNS cache 汚染が可能となってしまう。 この弱点は致命的な結果を招く可能性があるので、今すぐ対応しよう。

　回避方法:

• Windows NT (?)、2000、XP においては、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters に QueryIpMatching エントリ (REG_DWORD) を作成し、値を 1 とする。 参照:

  • TCP/IP in Windows 2000 Professional: Configure DNS Name Resolution (Microsoft)

    「Windows 2000 Professional リソースキット (下)」p.113 です。

  • Microsoft Windows XP Professional Resource Kit Documentation: DNS Caching, Network Prioritization, and Security (Microsoft)

    「Windows XP Professional リソースキット (下)」p.125 です。

• Windows 98 での回避方法は不明。 上記レジストリは Windows 98 では効かないようだ。

　実はけっこう有名な話みたいなんだけど、私は初耳だったなあ (ドキュメントの読みが足りない証拠……)。 日本語な URL ないかなあ。 ISS の win2k-dns-resolver (4280) の日本語版は V-STAF にはまだないみたいだ。

　関連:

• Best Practices for Enterprise Security > Name Resolution for Administrative Authority (Microsoft)

  DNS Client Resolver Security の部分。 日本語版が 企業セキュリティのベスト プラクティス にある……かと思ったら、Name Resolution for Administrative Authority の部分は英語のまんまだ……(T_T)。

• Registry Tip #41: Windows 2000 DNS Client Resolver Security (is-it-true.org)

• Windows 2000 DNSクライアントの新機能 (ZDNet)

  ipconfig /displaydns とか ipconfig /flushdns とかの解説。

2002.07.26 追記:

　JWNTUG security ML で、レジストリを設定しても効かないという指摘 [security:00036] や、DnsCache\Parameters ではなく TcpIp\Parameters 下に設定したら効いたという指摘 [security:00052] [security:00053] がされている。確かに、 Microsoft Windows 2000 TCP/IP 実装詳細 では TcpIp\Parameters になっているし、この位置なら Windows NT 4.0 でも効きそうな感じですよね。

　しかしそうなると、Microsoft の他のドキュメントは全部バグ入りってことに……。

2002.08.21 追記:

　企業セキュリティのベスト プラクティス - 名前解決の管理者権限 がめでたく日本語に訳された (すばらしい)。しかし DnsCache\Parameters は (まだ) そのままになっている。確認作業が続けられている模様。

2003.06.12 追記:

　匿名の方から Windows 2000 と Windows Server 2003 での情報を教えていただきました: [port139ml:03414]。 どなたか KB 出してもらってください。 あ、Windows XP の情報を聞き忘れた……。

2003.06.18 追記:

　塩月さんによる検証結果: [port139ml:03435]。 Windows Server 2003 では、Dnscache\Parameters の方が優先されるようです。 検証ツールも公開されています: Dnsreply3。

　PHP 4.2.0、4.2.1 に弱点。HTTP POST リクエストの処理において入力値のチェックに問題があり、local/remote から web サーバ実行権限を取得できる可能性がある。 IA32 環境では、任意のコードの実行には失敗したが、PHP and/or web サーバを crash させることには成功したという。

　PHP 4.2.2 で修正されているので、PHP 4.2.0/4.2.1 ユーザは即座に入れかえよう。 回避方法としては、HTTP POST リクエストを web server 側で抑止すればよい。 Advisory には Apache での抑止設定例が示されている。

　関連:

• PHP Security Advisory: Vulnerability in PHP versions 4.2.0 and 4.2.1 (PHP.net)

• Advisory 02/2002: PHP remote vulnerability (e-matters.de)

• ISS Security Alert: Remote Compromise and Denial of Service Vulnerability in PHP (ISS)

• オープンソースのスクリプト言語「PHP」に脆弱性 (ZDNet)

• CERT Advisory CA-2002-21 Vulnerability in PHP 邦訳版 (LAC)

2002.08.01 追記:

• PHP: 任意のコードが実行できる (Miracle Linux)

　計画を立てるだけのリソースがなかなか捻出できず…… (T_T)。 きっちり計画しておかナイト、結局バータリーになってしまってイカンのですが、……。

　恐るべし“小林雅一”氏の偏見——記事内容に頭を痛める。 この人には「ご冗談でしょう，ファインマンさん」を一読されることを推奨しておこう。

　ZDNet Security How-To の snort シリーズ第 4 弾。

　2002.07.15 の AppleCare Document: 75304: This document contains the Security Update 7-12-2002 に追記した。新版 Security Update 7-18-02 登場。

　2002.07.15 の 「Re:Your Password!」の件名に注意，新種ウイルスが国内で流行の兆し に追記した。日経 IT Pro の ML 管理者への警告記事。

　インシデント報告件数の推移 を見ても、着実に減少していってしまっている。 しかし CERT/CC Statistics 1988-2002 を見ると、Q1-Q2,2002 ですら 43,136 件。この差はどこから来るのだろう。

　2002.07.18 の 住民基本台帳システムはWindows！？ に追記した。いくつかのフォローと注目記事。

• [memo:4551] client software that uses zlib。 MacSSH と TTSSH の zlib 穴対応状況。 PuTTY は独自実装だそうですので、穴はないのかもしれません [memo:4634]。

• Follow-up to Malware Repository Request (vuln-dev)

• HP-UX security bulletins digest: Sec. Vulnerability in CIFS/9000 他

  HP's CIFS/9000 Client is based on a third-party product called Sharity. HP has been made aware of a potential vulnerability with the CIFS/9000 client that may allow local users to gain additional privileges.

  だそうで。

• [RHSA-2002:134-12] Updated mod_ssl packages available (RedHat)

• ICQ and MSIE allow execution of arbitrary code (bugtraq)

• KPMG-2002032: Macromedia Sitespring Cross Site Scripting (bugtraq)

• [UNIX] PHP fopen() Warning Cross-Site Scripting Vulnerability (SecuriTeam)

　狼少年 NAV。

　合意したのは Windows 2000 のセキュリティー評価基準。 The Center for Internet Security から入手できる。[port139:01414] スコア 6.25 点 以降のスレッドで実行結果がいろいろ示されている。

　そういえば、Microsoft 自身も最近 Windows 2000 Server セキュリティ運用ガイド というのを出していましたね。 あと、@IT の IIS安全対策ガイド・インターネット編 の ６．FTPを利用したコンテンツの更新 以降も登場しています。

　2002.07.15 の 「Re:Your Password!」の件名に注意，新種ウイルスが国内で流行の兆し に追記した。NAI のレポート、CERT Incident Note IN-2002-05、Symantec の駆除ツール。

　文藝春秋 2002.08 の記事「警告! ネット監視社会が来る」は興味深いので読みましょう。読んでから書いたこと。 改札方面とかは、黙ってではなくて正式サービスとして実装されちゃう (住基カードでなんでもできまっせ奥さん) のかもしれないけど。

　von_yosukeyan さんの投稿 で知ったのですが、 財団法人 地方自治情報センター (LASDEC) (「総務省の外郭団体」なんだそーで) 内に 住民基本台帳ネットワークシステム 全国センター ホームページ なんてものがあるんですね。

　匿名希望さんから (情報ありがとうございます):

「財団法人 地方自治情報センター (LASDEC)」と言えば、このニュースを忘れてはなりますまいです。

住民基本台帳ネットを担当する地方自治情報センターのサイトに脆弱性(2002.5.8)
https://www.netsecurity.ne.jp/article/1/5055.html

　そういえば、slashdot.jp でも [memo:4491] 宝塚市、伊丹市、川西市、猪名川町のICカード利用者に任意コード実行攻撃の脅威 (was Re: ブラウザのセキュリティ設定を安全性を下げるよう指示しているサイト) が取りあげられていましたが、 2002.07.18 付で 緊急の注意喚起 が行われています ([memo:4632])。

　ActiveX コントロールについては、「プログラマのためのセキュリティ対策テクニック」 では、注意深くプログラムしよう、そのうえで、穴が発見されたときに悪用されないように、利用できるドメインを制限しよう、という話が出てきますね (p.324〜)。でも [memo:4491] の場合は、client side のセキュリティレベルそのものを下げさせてしまいますので、 自分達がつくった ActiveX コントロールに穴があろうがなかろうが、利用者にとっては致命的だ、というわけで。

2002.07.19 追記:

　読んでから書いたこと にいくつかフォローがついている。ありがたや。非接触型 IC カード関連のフォローが多いみたい。操作するのはそれほど簡単な話ではない、と理解していいのかな。

　注目記事: 「多漢字環境」を採用しなかったツケ (slashdot.jp)。ユーザー権限が Administrator となっ?! うーむ。確かにこれでは心配にもなりますな。 なぜこれがスコア 0 なのだ。

　2002.06.06 の SECURITY.NNOV: Courier CPU exhaustion + bonus on imap-uw に追記した。imap-uw、どうやら修正された模様。

　2002.07.15 の 「Re:Your Password!」の件名に注意，新種ウイルスが国内で流行の兆し に追記した。トレンドマイクロの個別対策プログラム、Microsoft からの情報提供、など。

　シマンテック official: Symantec Norton Internet Security 2001 Denial of Service Buffer Overflow。

　Norton Personal Firewall 2001 (Norton Internet Security 2001 にも含まれる) に buffer overflow する弱点がある、という指摘。Norton Personal Firewall 2002 にはこの問題はない。patch ができしだい、LiveUpdate により配信されるようだ。 つまり、まだ patch はない。

　フォロー: by Chris Wysopal。MFC Overflow Test Code。

　Visual Studio 6.0 SP3 以前において MFC ISAPI framework を利用してモジュールを作成すると、もれなく mfc42.dll 内部で buffer overflow するバグがついてくる、という話。回避するには、Visual Studio 6.0 SP4 以降で再コンパイルする。

• Microsoft Foundation Classes ISAPI Framework Heap Overflow

• exploit

　Microsoft official:

• ISAPI DLLs Built w/ MFC Static Library Vulnerable to DoS Attacks (Q310649)

• FIX: Access Violation in MFC ISAPI with Large Query String (Q216562)

　IIS 4.0/5.0/5.1 付属の smtp サービスに弱点。 mail relay が許可されていなくても mail relay させることが可能になる、という。MS99-027 の update だとされている。

　いろいろ。

• TurboLinux: kernel: ファイルディスクリプタの脆弱性

  Linux kernels DoSable by file-max limit 話。

• The answer to the PIX encryption issue

• SGI Apache Web Server Chunk Handling vulnerability

　2 つ出てます。

• SPS Advisory #48: RealONE Player Gold / RealJukebox2 Buffer Overflow

  スキンファイルを利用してバッファオーバーフローを引きおこさせることができるため、任意のコードを実行させられる。

• SPS Advisory #47: RealONE Player Gold / RealJukebox2 skin file download vulnerability

  スキンファイルを利用してスクリプトをマイコンピュータゾーン権限で実行させられる。

　回避方法: RealOne Player Gold および RealJukebox 2 のバッファ オーバーフローに関する脆弱性 (jp.real.com)。対応 patch はまだない。

2002.07.23 追記:

• VU#843667: Real Networks RealJukebox2 vulnerable to arbitrary code execution via crafted skin file

• VU#888547: Real Networks RealONE Player vulnerable to arbitrary command execution via crafted html in the skin file

　SecurityFocus.com Newsletter 第 152 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 151 号日本語版 (テキスト)。

　3 つ出てます。

• FreeBSD-SA-02:29 Buffer overflow in tcpdump when handling NFS packets

  tcpdump 3.7.1 以前が、変形した NFS パケットによってバッファオーバーフローする話。

• FreeBSD-SA-02:30 Users may trace previously privileged processes

  local user が他人のパスワードファイルや認証キーを読めてしまう可能性があるようだ。

• FreeBSD-SA-02:31 openssh contains remote vulnerability

  -CURRENT のコトしか書かれていない。 CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling は OpenSSH 2.3.1p1 〜 3.3 が対象なんだけど、 4.5-RELEASE 以降って OpenSSH 2.9 が入っていたんじゃありませんでしたっけ?

　私的には 4.6.1-RELEASE 待ちモードに入ってますが……。

　2002.07.15 の 「Re:Your Password!」の件名に注意，新種ウイルスが国内で流行の兆し に追記した。トレンドマイクロ、シマンテック、NAI、Sophos、F-Secure、ANTIDOTE は対応を完了。

　Frethem の亜種話、まとめておきます。

• トレンドマイクロ: WORM_FRETHEM.K。

  パターンファイル 317 で対応。

• シマンテック: W32.Frethem.K@mm。

  W32.Frethem.J@mm の亜種 W32.Frethem.K@mm については、02/07/15 対応予定、となっている。うーむ。

  BIGLOBEメールウィルスチェックサービス ではすでに対策されているようだ。(戸井さん感謝) 最新ウィルス定義ファイルのダウンロード をみると 7/15 版になったように見えるが、その先に行くと 7/12 のままだ。 英語 page では 7/15 になってるみたい ([connect24h:4426])。

  2002.07.16 追記:

  web page 整備されてます。LiveUpdate でも対応されました。

• NAI: W32/Frethem.k@MM。

  緊急対応用Extra.dat で対応。

  2002.07.16 追記:

  W32/Frethem.k@MM ではなくて W32/Frethem.l@MM だそうで。定義ファイル 4212 で対応されました。

  各社の名前の微妙な違いが混乱を助長していると思うぞ。

• Sophos: W32/Frethem-Fam。

  7月15日 19:12 付の fret-fam.ide で対応。web page の記述は状況に追いついていないみたい。

  2002.07.18 追記:

  web page も改訂されてました。

• F-Secure: Frethem.K

  FSAV for Windows 用の AVP パターンファイルが更新されました。 ftp://ftp.europe.f-secure.com/anti-virus/updates/fsupdate.exe を入手してください。

  ただし、F-Secure AntiVirus for Linux は F-Prot エンジンを利用しており、 これについては「次回のパターンファイルのアップデートまでお待ち頂けますようよろしくお願い申し上げます」だそうです (info from 日本エフ・セキュア 高木氏)。

  2002.07.16 追記:

  F-Secure AntiVirus for Linux も更新されたようです。 ただし、戻り値が 3 (ウィルス発見) ではなく 8 (感染の疑義があるファイルを発見) であることに注意。たとえば amavis-perl は 3 しか見ていないようだ。

  % fsav decrypt-password.exe 
  F-Secure Anti-Virus for i386-linux Release 4.13 build 3360
  Frisk Software International F-PROT engine version 3.10 build 701
  sign.def version 2002-07-13
  sign2.def version 2002-07-15
  fsmacro.def version 2002-07-10
  
  decrypt-password.exe    infection:   is a security risk or a "backdoor" program
  
         1 files scanned
         1 suspected infections found
  % echo $?
  8

• ANTIDOTE: 今のところ未対応のようです。

  2002.07.16 追記:

  MAP20020715 で対応しています。I-Worm.Frethem.l として検出します。

• OpenAntivirus / Clam Antivirus 用シグネチャ (小川さん作):

  Worm/Frethem.J=2f532fdd6b32418e6b32418e6b32418e3211528e6932418e102e4d8e6332418ee82e4f8e7f32418e832d4b8e0e32418e832d4a8e6332418e6b32418e6332418e092d528e6032418e6b32408e0132418e832d578e6532418e526963686b32418e

  amavis-perl はインストールされている anti-virus ソフト全てを使ってチェックするようなので、緊急対応用に Clam とかも入れておくといいかも。 sigtool コマンドでシグネチャをつくることができるみたい。 ……なんだけど、なんだかつくりかたがよくわからないなあ。

• IPA: 「W32/Frethem」ウイルスの亜種に関する情報

　この項 special thanks: 田中さん。

2002.07.16 追記:

　各種 anti-virus ソフトの追記については上に書いた。関連:

• [memo:4606] 情処学会のどあほー！

  reply: [memo:4607]。素敵です。 ……お、ようやく [ipsj-info:00078] で情報が出ましたね。 web page にも出ています。

　この他に、エンテラシス・ネットワークス の「委託先ASPで管理されているサーバが、ウイルスの侵入を受け」「弊社の名を騙ったウィルス・メールが皆様に配信された」ようです。福光さん情報ありがとうございます。ここも web page には何もありません。

　うわぁ、IMAP4-ML もだああ。

2002.07.17 追記:

　うわぁ、TurboLinux な ML もだあ: ウィルスファイル添付メールの配信に関するご報告。

• 「WORM_FRETHEM.K」駆除ツール (トレンドマイクロ)

  WORM_FRETHEM.K 専用の駆除ツール。

• Frethem に関する情報 (Microsoft)

2002.07.18 追記:

• ウイルス関連レポート ウイルス「W32/Frethem.l@MM（フレゼム）」に関するVirusScan ASaPデータセンターからの報告 (NAI)

  NAI は VirusScan ASaP をプッシュしてますねえ。 ようやくアカデミックプライスという概念も登場したようですが、それでもちょっとお高いんですよね。

• CERT Incident Note IN-2002-05: W32/Frethem Malicious Code (CERT/CC)

• W32.Frethem 駆除ツール (Symantec)

　情報処理学会 はあいかわらず対応を検討中なんですかね。そんなに悩む内容なのか? というか、A タグくらいつけなきゃ。駆除ツールへの link も併記してさ。

2002.07.19 追記:

• メーリング・リスト管理者はウイルス「Frethem」の配布を防げ (日経 IT Pro)。

　MacOS X SoftwareUpdate Vulnerability に対する Apple の回答。ファイルに署名し、これを検証するようになった模様。 https: なページ もちゃんとできています。https: なページから get しましょう。

　すばやい対応、Apple やるじゃん。

2002.07.15 追記:

　新しい SoftUpdate は Mac OS 10.1.5 を要求する模様。参照: [macosx-jp:11331]

2002.07.22 追記:

　新版が出ています: TIL 75304: Security Update 7-18-02 に関する情報とソフトウェアのダウンロード。

　手抜きモード、a.k.a. 棚ざらい。

• EEYE: Remote PGP Outlook Encryption Plug-in Vulnerability

  PGP Desktop Security 7.0.4, PGP Personal Security 7.0.3, PGP Freeware 7.0.3 の PGP Outlook plug-in に弱点。 e-mail を開くだけで攻撃が開始され、任意のコードが実行されてしまう。 patch があるので適用すればよい。

  関連報道: 『Outlook』用のプラグインにも侵入経路 (CNET)

• Multiple Security Vulnerabilities in Sharp Zaurus

  シャープのザウルス SL-5000D と SL-5500 に複数の弱点があるという話。 port 4242 に ftp サーバが上がっていて remote から root アクセスできる、 スクリーンロックパスコード用のプログラムが常に同じ salt を利用してしまう。

  関連報道: シャープのLinux『ザウルス』にセキュリティーホール (CNET)

  Linux搭載ザウルス、発売延期 (slashdot.jp) ってこれ関連だったりするんですかね。 そういうフォローもついてますね。

• Linux kernels DoSable by file-max limit

  Linux kernel 2.4.18 に問題があり、local user が DoS できるようです。

• wp-02-0008: Apache Tomcat Cross Site Scripting

  Apache Tomcat v4.0.3 の CSS 問題。

• KPMG-2002029: Bea Weblogic Performance Pack Denial of Service

• MacOS X SoftwareUpdate Vulnerability

  全部 http でやってるから DNS 詐称とか DNS cache 汚染とかやられるとやばげ、という話。対応するには、ファイル (パッケージ) 側に署名を持たせるしかないと思う。 [memo:4536]

• The Open Web Application Security Project、Release 1.01 が出ています。

• wp-02-0002: 'WEB-INF' Folder accessible in Multiple Web Application Servers

  This vulnerability affects the Win32 versions of multiple j2ee servlet containers / application servers だそうで。

• wp-02-0009: Macromedia JRun Admin Server Authentication Bypass

  対応日本語情報: MPSB02-06 - JRun 3.0, 3.1 と 4.0 で利用可能な累積セキュリティ パッチ

• KPMG-2002026: Jrun sourcecode Disclosure

  上のと同じ patch で直ります。

• OpenBSD 3.1 Security Advisories: Receiving IKE payloads out of sequence can cause isakmpd(8) to crash。 FreeBSD でも同じような問題があるみたい。 src/sys/kern/kern_ktrace.c で修正入ってます。

• Vulnerability Note VU#165803: Apache Web Server ap_log_rerror() function discloses full path to CGI script。Apache 2.0 の話。2.036 で直ってます。

• Incident Analysis of Compromised OpenBSD3.0 Honeypot

• Security Advisory: Cisco Secure ACS Unix Acme.server Information Disclosure Vulnerability

• CORE-20020620: Inktomi Traffic Server Buffer Overflow

• IE'en: remotely controls Internet Explorer using DCOM。 [port139:01377] DCOM の無効化 (Re: [port139:01351] IE'en) も参照。

• UnBodyGuard a.k.a Bouncer (Solaris kernel function hijacking) (fwd)

• Forensic Acquisition Utilities。

• memo ML から:

  • [memo:4342] IMES, インターネットを利用した金融サービスの情報セキュリティ対策

  • [memo:4449] Re: 最近の個人情報流出について。 つづき: [memo:4533]。

  • [memo:4459] 技術倫理。 崎山さんの reply: [memo:4469]。

  • [memo:4491] 宝塚市、伊丹市、川西市、猪名川町のICカード利用者に任意コード実行攻撃の脅威 (was Re: ブラウザのセキュリティ設定を安全性を下げるよう指示しているサイト)。 つづき: [memo:4492]、 [memo:4493]、 [memo:4500]、 [memo:4509]。

  • [memo:4502] ANSI.SYS のエスケープシーケンス。 NEC PC98x1 は ok らしい: [memo:4511]。

• 住基ネット8月5日実施を許さない掲示板 (jca.apc.org)。 どうするどうなる住基ネット。

• プラスセックさん:

  • セキュアWebシステム構築術・第九回

  • セキュアWebシステム構築術・第八回

  • セキュアWebシステム構築術・第七回

　CDE の rpc.ttdbserverd に 2 つの問題。

• VU#975403

  remote user が root を取れる。

• VU#299816

  symlink attack を受けるみたい。local user が root を取れる。

　回避するには rpc.ttdbserverd を停止する。 対応するには patch を適用する、のだが、Sun など patch がまだないベンダーもけっこうある。

　詳細: [CORE-20020528] Multiple vulnerabilities in ToolTalk Database server

　関連報道: UNIXのプログラム間通信機能に新たなセキュリティ・ホール，任意のコードを実行される (日経 IT Pro)

　Microsoft の WebBrowser コントロールを利用する全てのアプリケーションに潜在的な弱点。そのようなアプリケーションの典型例としては、IE や Outlook、Outlook Express がある。

　OBJECT 要素によって組み込まれたドキュメントの object プロパティを呼び出すことによって、組み込まれたドキュメントに対するリファレンスを多重化でき、これを利用すると Domain Object Model (DOM) を逸脱したアクセスが可能になってしまう。 具体的には、攻撃者は悪意ある web ページや HTML メールを経由して、クッキーを読みとったり、local file を読み取ったり、任意のコマンドを実行させたり、できるという。 http://www.PivX.com/larholm/adv/TL003/ にデモプログラムが用意されている。

　patch はまだない。回避方法としては、ActiveX を停止するか、「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を停止する。 Outlook や Outlook Express においては、「制限つきサイトゾーン」で実行するように設定し、かつ「制限つきサイトゾーン」での「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を停止するよう設定しておけばよい。Outlook Express 6 ではこれがデフォルト値だ。

　関連報道: 『Outlook』と『IE』に新たなセキュリティーホール (CNET)。

信頼できるウェブサイトしか閲覧しないユーザー (中略) は、影響を受けないという

なんてのは、DNS cache 汚染がデフォルトで有効なプロダクトを販売している会社が言っていいセリフではないですね。

2002.08.29 追記:

　MS02-047 で修正された。

　SQL Server 関連ネタがいっぱい出ています。

• MS02-035: SQL Server のインストールプロセスで、パスワードがシステムに残る (Q263968)

  SQL Server 7.0, MSDE 1.0, SQL Server 2000 が対象。 混合モードでのセットアップ時に管理者 (sa) パスワードが、 混合モードまたは Windows 認証モードにおける SQL Server サービスアカウント設定時に入力する任意のユーザ ID のパスワードが、 setup.iss ファイル (%windir% と %sqlserverinstance%\install\ にある) に保存されてしまう。SQL Server 7.0 Service Pack 4 以前では平文で、それ以降でも簡単に解読できてしまうような形で保存されてしまうという。

  詳細: SQL Server 7 & 2000 Installation process and Service Packs write encoded passwords to a file (bugtraq)。 CVE: CAN-2002-0643

  修正プログラムが配布されているので実行すればよい。

• MS02-034: SQL Server 用の累積的な修正プログラム (Q316333)

  SQL Server 2000 の 3 つの弱点の修正。

  • パスワード暗号化プロシージャでバッファオーバーフロー。 SQL Server 2000/MSDE 2000 Buffer Overflow Vulnerability の話。

  • 一括挿入プロシージャのバッファオーバーフロー。 Microsoft SQL Server 2000 'BULK INSERT' Buffer Overflow (#NISR11072002) の話。

  • SQL Server サービスアカウントレジストリキーの不適切なアクセス権限。 [pml-security,00345] MS02-020 の説明の問題点と、レジストリ設定に関する注意 の話。

  [pml-security,00483] も参照。 CVE: CAN-2002-0624、CAN-2002-0641、CAN-2002-0642。

  patch があるので適用すればよい。 patch は MS02-020 fix を含む。

• NGSSoftware からドキュメント Cracking SQL Server passwords が登場している。

　2002.07.11 の iPlanet 関連 に追記した。後者の問題も 6.0 SP3 / 4.1 SP10 で修正されるとフォローされている。

　2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。AIX クロ、glibc も一部クロ。ただし glibc については多くの環境では問題にならないと考えられる。また、djb 氏による DNS client (resolver) ライブラリが public domain 宣言された。

　2002.07.05 の Squid Proxy Cache Security Update Advisory SQUID-2002:3 に追記した。Miracle Linux fix。

　2002.06.25 の mod_sslのバクフィックス版2.8.10-1.3.26がリリース に追記した。Debian, Turbo, OpenBSD の fix への link を追記。

　2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。ZDNet 記事話を追加。

　半径 50m 以内的にも、いまだに直してくれない人はいますし……。

• Sun iPlanet Web Server Buffer Overflow (#NISR09072002)

  iPlanet Web Server 6.0 / 4.1 に弱点。検索機能 (デフォルトでは無効) の NS-rel-doc-name パラメータに buffer overflow する弱点があり、 remote から任意のコードを実行できる。Windows NT/2000 では、これは local SYSTEM 権限で実行されるそうだ。

  iPlanet Web Server 6.0 Service Pack 3、iPlanet Web Server 4.1 Service Pack 10 で修正されているので入れかえる。

• Sun iPlanet Web Server Remote File Viewing Vulnerability

  Windows NT/2000 上の iPlanet Web Server 6.0 SP2 / 4.1 SP9、Netscape Enterprise Server 3.6 に弱点。検索機能 (デフォルトでは無効) を利用すると、GET /search?NS-query-pat=..\..\..\..\..\boot.ini のようにして、remote から任意のファイルを参照できてしまうという。

  回避方法としては、検索機能を停止する。iPlanet Web Server 6.0 SP3 / 4.1 SP10 で修正されているか否かは不明。

2002.07.12 追記:

　後者の問題も 6.0 SP3 / 4.1 SP10 で修正されるとフォローされている。

• Microsoft Security Response Center のツアー

  一日あたり 300 通くらい来る……んでしたっけ?

• 無秩序な情報公開が終結する時がきた

  (英語版) 公開当時物議をかもしたドキュメントですが、最近の 「脆弱性の公表」がいつなら、Apacheワームを防げたか？ (ZDNet) とか ワームの発生は止められない (slashdot.jp) とかと読みくらべてみるとおもしろいかもしれません。

• MS02-029: リモートアクセスサービスの電話帳の未チェックのバッファによりコードが実行される (Q318138) ですが、2002.07.04 付けで、VPN 利用時でも問題が発生しない修正プログラムが登場しています。

　(</ul> 抜けてました……Kuriyama さん感謝)

　2002.05.07 の ネットワークセキュリティ脆弱性データベースの公開について が、実際に公開されています。応援・feedback してあげませう。 協力メンバーも募集しているみたいです。

　koricoli さん情報ありがとうございます。

　今年は競技とセミナーの他にも出しものがあるそうです。 10 月はいろんなものが重なってタイヘンそう。

　現在 free mail ものを利用している Mailing List (manoeuvre とか) についても、順次 security-stadium.org での運用に移行すると思います。

　試すヒマが取れない……。9x/Me 対応せず、という時点でヤル気が 80% ダウン (当社比) だし。

　2002.07.08 の 【今週のSecurity Check】信頼を得るための，企業のセキュリティ・ホール対応 に追記した。関連リンクを追加。

　「警察は被害届を受け取らず」。現実は厳しい。

　SOC は IPv6 には対応していません (というか、そもそも IPv6 対応の製品がありません)、という話を ShowNet テクニカルセミナーで聞いた。それって「IPv4 と IPv6 が同じトポロジーで動いている」という今年の ShowNet との対比において重要だと思うのだけれど、ZDNet の記者氏は何も書いてないなあ。それとも本当は、IPv6 な何か、が動いていたりしたんだろうか。

　セキュリティ製品方面、まだ IPv6 対応してません、はともかく、対応予定の文字すら見えない現状では、IPv6 はまだまだ遠いなあと思ったり。N+I という場でこの反応の鈍さは……はっきり言ってガックリ。世の中ままならない。

　以下、関連話、だと思う。

　先日の STPP セキュリティ対策セミナーの懇親会で、ある方から質問されたのだが、報告される側としては、報告者に悪意があるのではないか、と疑心暗鬼になる場合があるようだ。たとえば、その相手が、特定ブランドのセキュリティホールを集中的に調査・報告することにより、そのブランドの価値を下げさせる、ことを目的としているのではないか、というような疑いを持ったりすることがあるようだ (これは私が理解した限りにおいてなので、その方の発言内容とは多少の違いがあるかも……ねんのため)。

　確かにそのような「攻撃」は可能だろうし、たとえば guninski 氏が Netscape のコンサルだった話 もそういう疑いをもたれたりした例だろう。しかし元はと言えば、穴をつけて出荷しているベンダー自身に根本原因があるわけで。脅威の対象となっているのは自社の顧客である、という意識があれば、そういった問題をさほど重視する必要があるとも思えないのだが。誠実な対応を続けることによって、顧客の信頼は (中長期的には) 上昇することが期待できると思うし。

　ちなみに、そこで話題になった「ある人物」については、悪意の存在を明確に否定できる材料を持っていたので、明確に否定しておきました。

2002.07.10 追記:

　Tea Room for Conference の No.939 (No.942 も?!) に関連する話題があります。

　Squid 2.4-STABLE7 登場。gopher 関連や FTP 関連、認証関連におけるいくつものセキュリティ問題が修正されている、そうです。個別 patch で修正されていたものが STABLE7 で本体に入ったみたいです。

2002.07.10 追記:

　squid セキュリティホール: バッファオーバーフロー他 (Miracle Linux)。 FreeBSD ports (www/squid24) も STABLE7 になってます。

　2002.07.02 の Samba 2.2.3以降にバッファオーバーフロー に追記した。わかりやすい解説と 2.2.3a、2.2.4、2.2.5 用 patch が登場。

　2002.06.27 の CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling に追記した。TurboLinux fix 登場。

　ISS Security Alert Summary AS02-26 です。

　2002.03.14 の 「Secure Site シール」情報提供サービス 再開のお知らせ に追記した。まだ直っていない模様。日本ベリサイン、さすがです。

　Samba 2.2.3〜2.2.5 で、--with-tdbsam 利用時に buffer overflow が発生、remote から samba の各 daemon の動作権限を奪取可能な模様。--without-tdbsam な場合には問題は発生しない。

　Samba 2.2.5 用の patch が示されているので、2.2.[34] 利用者は 2.2.5 に upgrade した上で適用すればよい。

2002.07.05 追記:

• Samba 2.2.3 以降における脆弱性の報告とその対応策について (日本 Samba ユーザ会)

  わかりやすい解説と 2.2.3a、2.2.4、2.2.5 用 patch が示されています。

  また、Samba 2.2.4 日本語版リリース 1.0 も登場しています。この問題は Samba 2.2.4 日本語版リリース 1.0 にはありません。

　2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。Mac OS X、GNU glibc、Microsoft はシロ。Sun Microsystems Inc. はクロ。

　待望のインターネット・サービス編。

　SecurityFocus.com Newsletter 第 150 号日本語版 (テキスト)。

　SecurityFocus.com Newsletter 第 149 号日本語版 (テキスト)。

　2002.06.27 の Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc に追記した。FreeBSD 4.6-RELEASE-p1、4.5-RELEASE-p7 ISO イメージ、CERT Advisory。

　2002.06.19 の CERT Advisory CA-2002-17 Apache Web Server Chunk Handling Vulnerability に追記した。worm ネタ、Mac OS X 用 fix 登場、RedHat package 再リリース、富士通 Interstage Application Server など。

　2002.06.27 の CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling に追記した。Mac OS X 用 fix 登場、Vine Linux 2.5 fix 更新、など。

　tsukachan 氏がまとめていらっしゃるヤラレ情報。「チェックしていたeveryday peopleさんが更新止まってしまったみたいなので無いと不便なので自分で作りました」そうです。 情報ありがとうございます。 維持たいへんだと思いますが、がんばって下さい。

　「Macの電源が入った状態でMac標準の FireWire ポートにバスパワード機器を接続すると、Mac側の FireWireポートを破損する恐れがある」のだそうです。 文字どおりの Plug and Pray ですね。 問題が発生する Mac 機種は「対象となるMacの機種について」の項を参照。 バスパワード機器ではない場合にはこの問題は発生しないようです。