セキュリティホール memo - 2002.09

　2. Description of the "tar" problem は、GNU tar において、tar アーカイブに ../ なパス名入りのファイルを仕込んでおくと、 そのアーカイブの展開時に /etc/passwd などの重要ファイルを上書きさせることができる、という指摘なのかな。 1.3.19 以前の問題、とされていたが、1.3.25 でも類似の問題がある模様。 CVE: CAN-2001-1267、 CAN-2002-0399 (中身がない……)。

　さらに、info-zip の unzip 5.42 以前にも同様の問題があるようだ。 CVE: CAN-2001-1268, CAN-2001-1269。History.550 にあるこれかな?

5.5h (12 Jan 02):
 - unzip.h, unzip.c; mapname() in all ports except CMS/MVS, Tandem, TOPS20:
   added code to strip "../" path components from extracted names and new
   option "-:" to allow deactivating this security feature; changed mapname()

　Red Hat fix: [RHSA-2002:096-24] Updated unzip and tar packages fix vulnerabilities。 FreeBSD ports の archivers/gtar にはこの patch は含まれていなさそう。

2002.10.02 追記:

• Miracle Linux: tar, unzip

　CAN-2002-0399 は中身ができてます。

　2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。CIACTech02-005。

　平成14年7月24日（水）17:30〜20：50 開催の第 477 回理事会。直後だと言うのに、ウィルスメール送信騒ぎについて、何の議論もしていない模様。 あまりにダメすぎ。

　2002.09.24 の 富士通 HDD 無償交換は氷山の一角? 高温多湿の状況下でLSIが経年劣化 に追記した。ソニー、メルコも無償交換。

　時代は「ふつう RAID 1」ってコトなんでしょうか。まぁ、安いですけどねぇ。

　サンがOpenSSLプロジェクトに暗号化技術を提供 (CNET) の話には、実は地雷が仕掛けてあるらしい。 #173053 も参照。Debian GNU/Linux さんはどうされるんだろう。

　2002.09.27 の Tests of Anti-Virus Software: Comparison Test 2002-02 (Unix) Linux に追記した。 F-Secure AntiVirus は、--dumb オプションをつければほぼ 100% の模様。

　2002.09.12 の Apple QuickTime ActiveX v5.0.2 Buffer Overrun (a091002-1) に追記した。おくればせながら、Apple オフィシャル情報を追記。 QuickTime 5 for Windows 用の fix は出ない模様。

　Microsoft FrontPage Server Extension 2000/2002 に弱点。 FPSE に含まれる Smart HTML インタープリタ (shtml.dll) に問題がある。 リクエストに特定の文字が含まれると CPU を食いつくしてしまい、 DoS 攻撃となってしまう。 また FPSE 2002 の場合はバッファオーバーフローする問題もあり、外部から任意のコードを実行される恐れがある。ヤバい。

　patch があるので適用すればよい。当初 FPSE 2000 for Windows 2000/XP だけだったが、FPSE 2002 用、FPSE 2000 for NT 4.0 用も登場している。 Windows XP SP1 にはこの patch が含まれている。 また、FPSE 2002 用 patch を適用するには、あらかじめアップデート patch を適用しておく必要があるそうだ。 Q317296 を参照されたい。

　なお、FPSE が不要な場合はアンインストールしてしまうのがよい。 デフォルトではインストールされてしまっているので注意されたい。

2002.12.13 追記:

　FPSE 2000 / 2002 for UNIX にはこの問題はないそうだ。参照:

• Update - Microsoft Security Bulletin MS02-053 (rtr.com)

  FPSE for UNIX をサポートしている Ready-to-Run Software による公式見解。

• Microsoft FrontPage Server Extensions 2002 for UNIX (Microsoft)

  最新バージョンは 5.0.2.2623。ただし、HEAD / HTTP/1.0 などを実行したときに表示されるのは mod_frontpage.c に書かれているバージョン番号で、これは 5.0.2.2623 とは一致しない場合がある。というか、添付されているものでは FrontPage/5.0.2.2510 になる。

• Microsoft FrontPage 2000 Server Extensions SR1.2: Downloads for UNIX-Based Servers (Microsoft)

  最新バージョンは 4.0.2.4222。 2003.02 に Service Release 1.4 というものが登場した時点で FPSE 2000 は打ちどめなのだそうだ。

• けんのぼやき: 2002-12-10 shtml.dll (tdiary.net)

Debian GNU/Linux

• [SECURITY] [DSA 149-2] New glibc packages fix

• [SECURITY] [DSA 168-1] New PHP packages fix several vulnerabilities

  main()、fopen() もの。

• [SECURITY] [DSA-136-3] Multiple OpenSSL problems (update)

Red Hat Linux

• [RHSA-2002:060-17] Updated Zope packages are available

SGI IRIX

• [VulnWatch] IRIX IGMP multicast report Denial of Service vulnerability

• [VulnWatch] IRIX default root umask and coredumps

　Microsoft PPTP Server and Client remote vulnerability の話。CNET の記事によれば、Microsoft は任意のコードの実行については否定しているようだ。DoS については確認されているみたい。

　2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Mac OS / Mac OS X 用 IE 修正版が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac、 OutlookExpress for Mac。

　Linux 用 anti-virus soft 12 種類のテスト結果。 Sophos AntiVirus と NAI UVScan が 100%、 F-Secure だけ 80% 台。 日本エフ・セキュア、アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが、……。

　Comparison Test 2002-03 (Unix) FreeBSD, OpenBSD, Solaris も出てます。Sophos AntiVirus、Linux や FreeBSD では 100% なのに Solaris では 94.6% なのはなぜ?

2002.09.30 追記:

　日本エフセキュアの吉岡さんから (ありがとうございます):

●1. 「F-Secure だけ 80% 台。」は拡張子設定の違いによるものです。
　　「--dumb」オプションを指定することでほぼ全てのウイルスを検出いたします。

　av-test.orgの評価中の「F-Secure」の項目は確かに80%台となっておりますが、これは、テスト中のF-Secureコマンドライン版スキャナの設定が他のソフトウェアと異なり、テスト対象ファイルに含まれるいくつかの拡張子が検査対象外になっているためです。
　ファイル名を直接指定するか「--dumb」オプションを指定し、拡張子によらない検査を行うことで、ほぼ全てのウイルスを検出いたします。 決してF-Secureの検査エンジン自体の能力が劣っているわけではないことをご理解願います。
　なお、拡張子によらない検査をした場合の検出率の一部が、av-test.orgの以下のページの「Best possible settings」の項目で確認できます。
　　　　http://www.av-test.org/down/data/2002-02-en/results.xls
　拡張子設定の件を含めて各エンジンの動作詳細コメントがav-test.orgの以下のページでも確認できます。
　　　　http://www.av-test.org/down/data/2002-02-en/comments.txt
　また、F-Secureでは24時間体制で活動するウィルス研究チームを擁しており、新規に発生するウィルスに対しても迅速に対応していますので、ウイルスに感染する可能性は極めて少ないと考えられます。

●2. 「F-Secure アンチウィルスLinuxゲートウェイを発表 (f-secure.co.jp) なんてのも出てますが...」については、"F-Secure アンチウイルスLinuxゲートウェイ"はコマンドライン版(Linuxサーバ版)とは別製品であり、デフォルト設定でほぼ全てのウイルスを検出いたします。
　　(F-SecureアンチウィルスLinuxゲートウェイ:
　　　　http://www.f-secure.co.jp/products/linux_gw/index.html )

　先日発表いたしました「F-SecureアンチウィルスLinuxゲートウェイ」では全ての拡張子を検査いたしますので、ほぼ全てのウイルスを検出いたします。
　決して、「F-SecureアンチウィルスLinuxゲートウェイ」のウイルス検査能力の能力が劣っているわけではないことをご理解願います。
　「F-SecureアンチウィルスLinuxゲートウェイ」については以下のページで90日間試用版も公開しておりますので必要に応じて評価等にご利用いただけますと幸いです。
　　F-SecureアンチウィルスLinuxゲートウェイ[90日間評価版]:
　　　　http://www.f-secure.co.jp/download/trial/index.html

　apache 2.0.42 出ました。mod_dav で DoS 攻撃されるバグが fix されているそうです。

　path MTU discovery が通るような wall / フィルタを構築するように心がけましょう。ICMP need fragment はなるべくフィルタしないようにしましょう。

　sourceforge からだと tripwire-2.3.1-2 が入手可能ですし、Red Hat Linux 7.0 以降には tripwire は標準添付されています。RH 7J でも tripwire-2.3-55 ですから、tripwire.org のやつはちょっと……。

　#170987 で jbeef 氏は

指摘をした側も、「問題ない」と否定されると（そしてそれが間違っていると）それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います

と述べているわけだが、その直後から、実際に余計なエネルギーを必要としていそうな再反論を余儀なくされているようで、なんだかなあ。

　個人的には、やっぱりコラムが興味深い。

　Mac OS X 10.2, 10.2.1 に弱点。悪意ある web ページ管理者や HTML メール送信者が、telnet:// URL を Mac OS X 10.2/10.2.1 利用者にクリックさせることで、Terminal 上で任意のシェルコマンドを実行させることが可能になる。という理解でいいのかな。 Security Update 2002-09-20 を適用することで弱点が塞がれる。 [memo:4864] も参照。

　2002.09.21 の Bypassing SMTP Content Protection with a Flick of a Button に追記した。トレンドマイクロ solution 4732/4742 登場。

　犯人は住友ベークライトのパッケージ封止材「EME-U」の模様。 影響が極めて広い範囲にわたる恐れあり。 HDD不良品の無償交換で富士通の負担は100億円超す (日経 BP) のだそうで。すごいね。

　IO DATA: 弊社製ハードディスク製品に関するお知らせ。該当品は、希望者および修理時に無償交換、だそうです。

2002.09.30 追記:

　ソニー、バイオデスクトップのHDD不具合を告知 〜メルコも無償交換を告知 (PC Watch)。

2002.10.02 追記:

　富士通HDD不良、対策遅れ他製品へ波及懸念 (日経 BizTech)。

　Visual C++ .NET の /GS スイッチ や IBM 江藤さんの ProPolice (SSP)、 FreeBSD packages/ports にも入っている libparanoia が紹介されていないのはなぜ?

　2002.09.17 の CERT Advisory CA-2002-27 Apache/mod_ssl Worm に追記した。亜種登場。

　RFC2046: Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types の section 5.2.2.1 で定義されている Fragmentation and Reassembly 機構を利用すると、アンチウィルスゲートウェイを回避してウィルスを送り込むことが可能になる、という話。NIDS 回避ネタにもそういうのがありましたねえ。

　回避方法としては、ファイアウォールなどで message/partial なメールを叩き落としてしまう方法がある。と言っても、ちょっと乱暴だよねぇ。やはりアンチウィルスゲートウェイ自身がきちんと対応することが望ましいわけで。 元記事では symantec や trendmicro などいくつものプロダクトの対応状況が述べられている他、 MIMEDefang では 2.21 で fix されたそうだ。また amavis-perl でも利用されている MIME::Tools 5.411a にもこの問題があり、 patch と、この patch を適用した MIME-tools-5.411a-RP-Patched.tar.gz が公開されている。

　なお、各自で状況を試したい場合は http://www.gfi.com/emailsecuritytest/ に go! らしい。

　CVE: CAN-2002-1121。 CERT Vulnerability Note: VU#836088。

2002.09.24 追記:

　solution 4742: InterScan VirusWall UNIX: SMTP：分割メールへの対応、 solution 4732: InterScan VirusWall NT: SMTP：分割メールへの対応 (トレンドマイクロ)。message/partial を隔離して終り、のように読める。

　Microsoft Java VM build 3805 以前に 3 つの弱点。 悪意ある web ページ作成者や HTML メール送信者が

1. あらゆる DLL を読み込み、実行できる

2. 使用不能攻撃 (IE の異常終了) が可能で、任意のコードの実行もできる可能性あり

3. Java アプレットからすべての任意の操作を実行可能

という、いずれも極めて危険な弱点だ。build 3805 用の fix patch が Windows Update 経由で入手できるので適用しよう。

　なお、この patch を適用しても、jview コマンドなどで確認できる build 番号に変化はないようだ。KB Q329077 には This update upgrades your Microsoft VM with the 5.00.3807 patch とあり、示されているレジストリにも "Version"="5,00,3807,0" なんて書いてあるのだが、MS02-052 自身にはわざわざ「注 : Jview により表示されるバージョン番号に関わらず、上記のレジストリキーはこの修正プログラムの正しいインストールを確認する要素となります」と書いてあるので、そういうことなのだろう。いまいち納得できないのは確かなのだけど。(鄭さん情報ありがとうございます)

　ところが、Microsoft Java VM には実はまだまだ穴があるらしい: 米MicrosoftのJavaセキュリティーホール修正は不十分と発見者が指摘 (INTERNET Watch)。 MS02-052 で fix されたのは、 Vulnerabilities in Microsoft's Java implementation で「10 を越える穴がある」とされたものの中の一部にすぎないというのだ。 ひきつづき、Java を off にするか、Sun の Java Plug-in などを利用するか、する必要があるようだ。

2002.10.01 追記:

　Technical information about the vulnerabilities fixed by MS-02-52。

　Windows 2000 ターミナルサーバー、Windows XP リモートデスクトップにおける RDP 実装に 2 つの弱点。RDP セッションは暗号化されているが、これを解読できる可能性がある。また、特殊な RDP パケットを送ることにより DoS 攻撃が可能。 Windows NT TSE の RDP 実装にはこれらのの弱点はない。

　patch があるので適用すればよい。また Windows XP SP1 ではこの問題は修正されている。

　参照: Microsoft Windows XP Remote Desktop denial of service vulnerability。

　2002.09.19 の 防衛庁のデータ流出で露呈（上）IT業界の下請け構造の危うさ に追記した。（下）登場。

　HTML 版:

• SecurityFocus Newsletter #159[1/2] 2002-8-19->2002-8-23、 SecurityFocus Newsletter #159[2/2] 2002-8-19->2002-8-23

• SecurityFocus Newsletter #160 2002-8-26->2002-8-30

• SecurityFocus Newsletter #161 2002-9-2->2002-9-6

　テキスト版:

• SecurityFocus Newsletter #159[1/2] 2002-8-19->2002-8-23、 SecurityFocus Newsletter #159[2/2] 2002-8-19->2002-8-23

• SecurityFocus Newsletter #160 2002-8-26->2002-8-30

• SecurityFocus Newsletter #161 2002-9-2->2002-9-6

　2002.06.25 の WindowsXPの5/30問題を考えるページ に追記した。Windows XP SP1 を適用すると、問題が消滅してしまう?!

　正式に登場しています。IE 6 SP1 README も読みましょう。特に、セキュリティ拡張のための機能: 以降。

　2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。Debian のさらに新しい fix package 出てます。 Turbolinux の警告。

　2002.09.17 の UNIX fixes に追記した。FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors の部分に追記と修正。バカすぎ > 俺。

　どう考えても「氷山の一角」。ここでも必要とされているのは「構造改革」なのだが、……。

2002.09.21 追記:

　防衛庁のデータ流出で露呈（下）IT業界の下請け構造の危うさ (日経 IT Pro)。

　2002.09.17 の MS Wordに文書のハイジャックを許す問題点 に追記した。Microsoft 公式見解登場。

　数分で読めてしまうのだけど、経験上 (笑)、この記事を書くのはたいへんだっただろうと思う。そんな労作を無料で読めるのは本当にありがたいことです。

　参照: Security side-effects of Word fields。 隠しフィールド、ですか……。

2002.09.19 追記:

　報告された Microsoft Word フィールドの脆弱性に関する情報 (Microsoft)。 「最善のセキュリティのために、マイクロソフトはお客様に Word 2002 (Office XP) をご利用いただくことを推奨します」 というのは、まあ、Microsoft としては、そうなんだろうなあ。

2002.09.30 追記:

　CIACTech02-005: Understanding Capturing Files with Microsoft Word Field Codes (CIAC)。 詳細な解説。

2002.11.01 追記:

　MS02-059: Word フィールドおよび Excel の外部データ更新の問題により、情報が漏えいされる (Q330008) 登場。Word 97/98/2000/2002, Excel 2002, Word 98/2001/X for Macintosh で問題が発生する。 Word 2000/2002, Excel 2002, Word 98/2001/X for Macintosh については修正プログラムもある。Word 97/98 for Windows だけ、まだ patch がない。

Debian GNU/Linux

• [SECURITY] [DSA 166-1] New purity packages fix potential buffer overflows

• [SECURITY] [DSA 167-1] New kdelibs fix cross site scripting bug

• [SECURITY] [DSA-136-2] Multiple OpenSSL problems (update)

FreeBSD

• FreeBSD-SA-02:39.libkvm - Applications using libkvm may leak sensitive descriptors

  sgid kmem なアプリから起動したプロセスからは /dev/mem および /dev/kmem を直接読めないはずなのに、実は読めてしまう。 該当するアプリとしては ports の asmon, ascpu, bubblemon, wmmon, wmnet2 があるという。 発見者による情報: [VulnWatch] iDEFENSE Security Advisory 09.16.2002: FreeBSD Ports libkvm Security Vulnerabilities。

  patch があるので適用するか、記載の修正済みバージョンを cvsup する等して入手し kernel を再構築、インストールして reboot libkvm ライブラリを再構築しインストール。 static link されたコマンドがあれば、それも再構築しインストール。

  2002.09.19 追記:

  佐藤さんから (ありがとうございます):

    > patch があるので適用するか、記載の修正済みバージョンを
    > cvsup する等して入手し kernel を再構築、
    > インストールして reboot。 
  
   というのは誤りだと思います。この弱点は libkvm に関連するもので、
   kernel の再構築を行なっても効果はありません。
  
   SA には
  
    |b) Execute the following commands as root:
    |
    |# cd /usr/src
    |# patch < /path/to/patch
    |# cd /usr/src/lib/libkvm
    |# make depend && make && make install
  
   という手順が紹介されています。静的リンクしているバイナリを
   再構築する必要はあるものの、今回の修正に関して、再起動は
   必ずしも要求されません。
  
   また、
  
     > sgid kmem なアプリから起動したプロセスからは
     > /dev/mem および /dev/kmem を直接読めない
     > はずなのに、実は読めてしまう。
  
   という部分も、厳密には適切な説明ではないと思います。
   前提条件は 「sgid kmem されていること」ではなく
   「親プロセスが /dev/kmem をオープンしていること」ですし、
   exec(2) で descriptor が渡されれば、それにはアクセス
   できるのが普通ですよね。
  
   今回の問題の要は、アクセスに高い権限が必要なファイルの
   descriptor は exec(2) したプロセスに渡さないよう
   close-on-exec を指定すべきなのに対して、close-on-exec を
   指定するための方法が提供されていなかった、という部分にあります。
   つまり「直接読めないはず」なのではなくて、
   「読めないようにすべきなのに、そうなっていない」というのが
   正しい理解だと思います。
  	    

  kernel へげへげ部分の間違いは致命的なので <s> で囲って直しておきました。 日本語版の Re: ANNOUNCE: FreeBSD Security Advisory FreeBSD-SA-02:39.libkvm も参照。つーかちゃんと読め > 俺。

Red Hat Linux

• [RHSA-2002:190-06] Updated gaim client fixes URL vulnerability

  7.0 用。

• [RHSA-2002:189-08] Updated gaim client fixes URL vulnerability

  7.1〜7.3 用。

• [RHSA-2002:036-26] Updated ethereal packages available

  6.2/7.0/7.1 用。

• [RHSA-2002:188-08] New wordtrans packages fix remote vulnerabilities

  7.3 用。 参照: Guardent Client Advisory: Multiple wordtrans-web Vulnerabilities

NetBSD

NetBSD SA が大量改訂。NetBSD 1.6 登場にあわせて 改訂されているようです。また、2002-015 と 2002-016 は

NetBSD-SA2002-015 and NetBSD-SA2002-16 are pending advisories awaiting disclosure co-ordination with third parties. The issues they will describe are fixed in NetBSD-1.6 and NetBSD-current.

なのだそうです。

• NetBSD Security Advisory 2002-006: buffer overrun in libc/libresolv DNS resolver

• NetBSD Security Advisory 2002-007: Repeated TIOCSCTTY ioctl can corrupt session hold counts

• NetBSD Security Advisory 2002-009: Multiple vulnerabilities in OpenSSL code

• NetBSD Security Advisory 2002-010: symlink race in pppd

• NetBSD Security Advisory 2002-011: Sun RPC XDR decoder contains buffer

• NetBSD Security Advisory 2002-012: buffer overrun in setlocale

• NetBSD Security Advisory 2002-013: Bug in NFS server code allows remote

• NetBSD Security Advisory 2002-014: fd_set overrun in mbone tools and pppd

• NetBSD Security Advisory 2002-017: shutdown(s, SHUT_RD) on TCP socket does not work as intended

• NetBSD Security Advisory 2002-018: Multiple security isses with kfd daemon

　AES (Rijndael) と Serpent に弱点が?! 今後登場するだろう、さまざまな解析を待つ必要があるようだけど、もしかすると、……。

過失の有無の判断には，“業界標準”に沿ったリスク管理を行っているかどうかが論点となる。損害を予防するために相応の対策を施していれば，第三者に損害を被らせても故意過失がないと考えられるからだ。

というような話は、第 1 回 STPP セキュリティ対策セミナー でもトレンドマイクロの久保さんが冒頭でおっしゃっていらっしゃいましたね。 久保さんはもちろん、「いまどきウィルス対策なしではダメダメでしょう」という話をされたのですが。

　2002.07.31 の OpenSSL Security Advisory [30 July 2002] に追記した。OpenSSL 0.9.6g 話と各ベンダーでの最新の fix の状況をまとめてみた。 Debian の新しい fix package 出てます。特にまだ potato の人、今すぐ適用しよう。

　OpenSSL 穴 を突く worm が登場。今のところ、 「mod_ssl が有効な Linux 上の Apache」 が攻撃対象の模様。攻撃は https (443/tcp) を通じて行われるので、これを塞いであれば、とりあえずこの worm からの攻撃は防ぐことができる。

　今回対象になっている弱点に対応するには、通常は、各ディストリビュータ/ベンダーから配布されている、最新の OpenSSL パッケージをインストールすればよい。 あわせて mod_ssl パッケージも最新のものをインストールする必要があることがあるので注意されたい。

　worm による攻撃が成功すると DDoS 攻撃用のソフトが植えつけられるそうだ。こいつは 2002/udp を使って通信を行うそうなので、これも塞いでしまうのがよい。

2002.09.17 追記:

　関連情報:

• 緊急報告 - OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム (JPCERT/CC)

  日本でも感染事例が発見されているようです。注意しましょう。研究のために 1 匹ほしいけど、現状の手元の環境では採取できないんだよな。やっぱり昆虫採集用ネットワークがほしいなあ。

• Analysis: OpenSSL Vulnerabilities (incidents.org)

  攻撃対象は、今のところ

  struct archs {
  char *os;
  char *apache;
  int func_addr;
  } architectures[] = {
  {"Gentoo", "", 0x08086c34},
  {"Debian", "1.3.26", 0x080863cc},
  {"Red-Hat", "1.3.6", 0x080707ec},
  {"Red-Hat", "1.3.9", 0x0808ccc4},
  {"Red-Hat", "1.3.12", 0x0808f614},
  {"Red-Hat", "1.3.12", 0x0809251c},
  {"Red-Hat", "1.3.19", 0x0809af8c},
  {"Red-Hat", "1.3.20", 0x080994d4},
  {"Red-Hat", "1.3.26", 0x08161c14},
  {"Red-Hat", "1.3.23", 0x0808528c},
  {"Red-Hat", "1.3.22", 0x0808400c},
  {"SuSE", "1.3.12", 0x0809f54c},
  {"SuSE", "1.3.17", 0x08099984},
  {"SuSE", "1.3.19", 0x08099ec8},
  {"SuSE", "1.3.20", 0x08099da8},
  {"SuSE", "1.3.23", 0x08086168},
  {"SuSE", "1.3.23", 0x080861c8},
  {"Mandrake", "1.3.14", 0x0809d6c4},
  {"Mandrake", "1.3.19", 0x0809ea98},
  {"Mandrake", "1.3.20", 0x0809e97c},
  {"Mandrake", "1.3.23", 0x08086580},
  {"Slackware", "1.3.26", 0x083d37fc},
  {"Slackware", "1.3.26",0x080b2100}
  };

  のようです。

• OpenSSL/Apache ワーム「Slapper」の蔓延 (ISSKK)

　関連報道:

• OpenSSL の脆弱性をねらう Slapper ワーム Linux+Apache+OpenSSLは注意(2002.9.16) (netsecurity.ne.jp)

• Slapper ワーム　行政府、自治体でターゲットになるのは 38 IPアドレス(2002.9.16) (netsecurity.ne.jp)

• Slapperワーム、攻撃のための歩兵マシンを組織中 (ZDNet / ロイター)

• 『リナックス』サーバーでネットワークを作るワーム『スラッパー』流行中 (WIRED NEWS)

2002.09.24 追記:

　さっそく亜種が出たそうで: 「Slapper」OpenSSL/Apache ワームの変種の蔓延 (ISSKK)。 crontab を設定したりするものもあるようです。 攻撃対象プラットホームはオリジナルと同じなので、攻撃コード自体は同一なんだろうな。

　openssl-too-open.tar.gz なんてものもあるので、特定ファイルの有無だけでヤラレ具合を判断したりしないようにしましょう。

2002.09.25 追記:

　「ウイルスの進化」を示したSlapperワーム (ZDNet)。 これからは P2P が流行りなんでしょうか。

2002.10.02 追記:

　注意：4種類のワームの同時蔓延への注意 (ISSKK)。 さらなる亜種が 2 つ。

Red Hat

• [RHSA-2002:169-13] Updated ethereal packages are available

• [RHSA-2002:186-07] Updated scrollkeeper packages fix tempfile vulnerability

• [RHSA-2002:188-08] New wordtrans packages fix remote vulnerabilities

• [RHSA-2002:189-08] Updated gaim client fixes URL vulnerability

Debian

• [SECURITY] [DSA 159-2] New Python packages fix problem introduced by security fix

• [SECURITY] [DSA 160-1] New scrollkeeper packages fix insecure temporary file creation

• [SECURITY] [DSA 161-1] New Mantis package fixes privilege escalation

• [SECURITY] [DSA 162-1] New ethereal packages fix buffer overflow

• [SECURITY] [DSA 163-1] New mhonarc packages fix cross site scripting problems

• [SECURITY] [DS 164-1] New cacti package fixes arbitrary code execution

HP (Compaq) Tru64 UNIX

• [security bulletin] SSRT2310a HP Tru64 UNIX & HP OpenVMS Potential OpenSSL Security Vulnerability (fwd)

• [security bulletin] SSRT-547 HP Tru64 UNIX Potential Security Vulnerabilities TPC/IP, FTPD, ARP (fwd)

TRU64 formal disclosure from Snosoft. なんてのも出てます。

HP-UX

• HPSBUX0209-215 Security Vulnerability in XDR library
  HPSBUX0207-197 Sec. Vulnerability in Apache Server Chunk Encoding Rev 08

• HPSBUX0209-217 Sec. Vulnerability in Apache OpenSSL
  HPSBUX0208-209 Sec. Vulnerability in DNS resolver libraries (rev. 5)

IRIX

• Netscape JRE vulnerability on IRIX

　QuickTime 5.0.2 for Windows の ActiveX コンポーネントに弱点。 pluginspage フィールドの処理においてバッファオーバーフローしてしまう。 これを利用すると、悪意ある web サーバや HTML メール送信者は、 ユーザコンピュータ上で任意のコードを実行させることが可能になる。

　QuickTime 6 for Windows にはこの問題はないという。upgrade しましょう。

2002.09.17 追記:

　[harden-mac:0083] での指摘にあわせて "for Windows" を追記。

2002.09.30 追記:

　Apple オフィシャル: M-128: Apple QuickTime ActiveX Buffer Overrun [Apple Security Advisory APPLE-SA-2002-09-19]。 ここでも「QuickTime 6 for Windows に upgrade」になってます。QuickTime 5 for Windows 用の fix は出ない模様。

　2 つの CRLF Injection 問題指摘。 リクエストに %0D%0A を挿入するとクロスサイトスクリプティング脆弱性が発生。

• PHP header() CRLF Injection

  回避方法なし。入力値検査を行うことで回避されたい。

• PHP fopen() CRLF Injection

  php.ini で allow_url_fopen を Off にすれば回避できる。

　PGP Corporate Desktop 7.1.[01] に弱点。PGP はファイル名の長さをきちんとチェックしていないため、長大なファイル名を利用して任意のコードを実行可能だという。 patch ファイル PGPhotfix_OutlookLFN_20020828.zip が公開されているので適用すればよい。 patch の readme によれば、更新されるファイルは PGPexch.dll と PGPsc.dll のようだ。

　関連報道: PGP暗号メールが“電子の弾丸”になる？ (ZDNet)

　MSIE と KDE Konqueror に対する指摘。

• MSIEv6 % encoding causes a problem again

  手元の XP + IE 6 ではうまくいかなげなんだが……。

• MSIEv6 % encoding - Konqueror 3.0.3 also vulnerable

  fix 出ました: KDE Security Advisory: Konqueror Cross Site Scripting Vulnerability

　KDE 方面では KDE Security Advisory: Secure Cookie Vulnerability なんてのも出ているそうで。

　Microsoft Java VM には 10 を越える未公開の脆弱性があるのだそうで。 Sun のオリジナル Java VM には同様の問題はないのだそうで。 とりあえず回避するには Java を無効にしておけばよいでしょう。 どうしても Java を使いたい人は Sun の Java Plug-in 1.3.1 以降を使えばよいでしょう [memo:1498]。 って、Microsoft Java VM 依存だとダメですが [memo:3933]。 住基ネットでおなじみの総務省ですな……。

　関連報道: Internet ExplorerのJava環境にセキュリティーホール (INTERNET Watch)。山野井さん情報ありがとうございます。

　日本語版が新たに 2 つ出てました (単に気がつくのが遅い > 俺)。

• 第2回 - 最小限の特権という課題

• 第3回 - 出力が信用できなくなる時: クロスサイト スクリプティングの解説

　気分はインデペンデンス・デイ? 認証もなにもかかってないような無線 LAN なら、不正アクセス禁止法にも触れないだろうし……。

　2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 2000 用 patch が新たに登場。まだ fix がないのは XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。

　また、この patch を適用することによる副作用が MS02-050 の「警告」欄に追記されている。patch を適用すると、 Microsoft 自身が利用している「ある特定の」デジタル証明書まで reject されてしまうため、実際には合格していても、「ドライバが Windows ロゴテストに合格していない」という警告表示がされる場合があるという。 この問題を修正する新 patch は現在開発中なのだそうだ。

　2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows の日本語版、報告された Windows の構造上の問題に関する情報登場。 翻訳スピード上がってるなあ。

　ジャストシステムの Shuriken, Shuriken Pro, Shurken Pro2, カラメル, カラメルパフェ, カラメル2, eタイム, eタイム2 に 2 つの弱点。

1. 受信箱にある HTML メールを「ダブルクリックして別ウィンドウで」開くと、 HTML メールに記述された既知パス名のコマンドをマイコンピュータゾーンで動作させることが可能。 2. の弱点との組みあわせにより、任意のコマンドを実行させることも可能。

2. 添付ファイルの一時展開先が既知である (ランダム化されていない) ために、 HTML メール内に、一時展開先に存在する添付ファイルへの直接リンクを設定することが可能。 このリンクをクリックさせることにより、添付ファイルに仕込まれた任意のコマンドを実行させることが可能。

　対応としては、これらを fix する patch が出ているので適用すればよい。 ダウンロード先は [memo:4768] を参照。

　それにしても、[memo:4769] 「セキュリティを強化」文化の伝承 にもありますが、どうして「修正」と言えないんでしょうかねえ。

　2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) が改訂。 Windows 98/98SE/Me 用 patch が新たに登場。 まだ fix がないのは Windows 2000, XP 64bit, Office 98/2001/v.X for Mac, IE/OutlookExpress for Mac。らむじぃさん情報ありがとうございます。

　2002.08.21 の web ブラウザ関連 に追記した。MS02-050: 証明書確認の問題により、ID が偽装される (Q328145) 登場。Windows NT 4.0 と Windows XP 用の patch が配布されている。 Windows 9x/Me, 2000 用などはまだ。

　2002.08.22 の White paper: Exploiting the Win32 API. に追記した。Information About Reported Architectural Flaw in Windows (Microsoft) 登場。 Microsoft 製プログラムのいくつかにもこの問題が発見され、patch 製作中、の模様。

　原発推進派って、スリーマイル島 (TMI) 事故のころ (古くてすまん) 「日本の原発は U.S. よりはるかに厳しく検査してますから ok ok」なーんて言っていたような記憶があるんですが、実は U.S. と同じだったんですね。ハハハ。

　「解雇」されていた東電原発トラブル隠しの情報提供者 (asahi.com) など、すばらしい状況があらわになりつつあるようで。 東電原発トラブル隠し (asahi.com) ページできてますね。

　指摘文書: SecuRemote usernames can be guessed or sniffed using IKE exchange。 Check Point さんがおっしゃるには、

Check Point does not recommend the use of IKE Aggressive Mode, because of many well-known limitations in the protocol, and the Check Point products offer much more secure alternatives.
……中略……
By default, Aggressive Mode is not enabled in NG. In 4.1, the recommended configuration is to disable Aggressive Mode and use Hybrid Mode instead (which involves no change to the user experience).

なんだそうで。

　Cisco VPN 3000 シリーズにさまざまな弱点がある、という話。DoS や remote exploit される穴などなどがあるようで。

　対抗ソフトも紹介されてます。

　複数のメールソフトを併用するのはけっこうむつかしいものがあるけど、複数の web ブラウザを併用するのはそれほどむつかしくない。Netscape 6 以降は「IE じゃないと読めないんだよね」ということも少なくなったし。Netscape/Mozilla/Opera なら MIME content-type もちゃんと解釈してくれる/するようにできるようだし。

　とりあえず、MIME content-type 問題だけはなんとかしてほしい > IE。 シャレにならん。

　同じ machine っぽい address から Klez が定期的にやってきたりして、いいかげんウザいと思っている人は、ISP に連絡して対応を促してみてもよいかもしれません。必ず対応される、というわけではありませんが。

　Namazu 最新版 2.0.12 が登場しています。 標準エラー出力による問題 (クロスサイトスクリプティング問題につながってしまう) などが排除されています。Namazu 利用者はなにはともあれ upgrade しておきましょう。IIS 4.0/5.0 上で Namazu を利用している場合は特に。

　参照: クロスサイトスクリプティング脆弱性(ver2.0.10) (namazu-devel-ja ML)

　うーん、

ウィルス被害は、ムダにたれながされているIT予算の一部をまわせば、簡単に防ぐことができるはずなのに、あえて行なっていないのである。

　ムダムダな「IT 予算」支出が存在することには同意するけれど、そもそもウィルス対策を政府予算でやるべきなんだろうか……。

ウィルスに感染しないもっとも効果的な方法は、「アウトルックエクスプレス（OE）とインターネットエクスプローラ（IE）を使わないこと」につきる。

　IE/OE が困ったちゃんなことには同意するけど、他のメーラでも、添付ファイルをダブルクリックされたらオワリなわけで……。そういう部分での「基礎教育」はいずれにしろ必要かと。

　Mac OS 9.2.2 以前用。Mac OS X 用は…… inetd で /bin/sh でも動かしとけば ok ok なのでしょう。

　今のところは物理攻撃の方が簡単かつ有効な模様。斧が一本あれば電線切れるしなあ。

　2002.09.02 の マイクロソフト セキュリティ情報センターの電話窓口について に追記した。それらしい記述が追加されました。当面は英語でがんばるしかないようです。(T_T)

　2002.09.02 の solution 4576 - InterScan VirusWall UNIX - CVP：Security Patchを適用後CVPサービスが停止する に追記した。「HTTPのTrickle機能」の解説を追記。

　linuxconf が長大な LINUXCONF_LANG 設定で buffer overflow する、という指摘。 特に、linuxconf が setuid されてインストールされている場合 (たとえば Mandrake が該当するそうだ) は注意が必要だ。

　linuxconf 1.28r4 で修正されているので入れかえる。あるいは各ディストリビュータの fix package をインストールする。

　--max_rtt_timeout 50 --max-parallelism 100 を試してみよう、という記事。

FreeBSD

• FreeBSD-SN-02:05 security issues in ports

  対象: acroread5, aide, apache+mod_ssl, bugzilla, Canna, ethereal, fam, isakmpd, irssi, kdelibs[23], krb5, linux-netscape6, netscape7, linux-mozilla, mozilla, mm, mpack, newsx, openssh, openssh-portable, php, linux-png, png, postgresql7, samba, squid24, super, webmin, zmailer。

RedHat

• [RHSA-2002:162-12] PXE server crashes from certain DHCP packets

HP Tru64 UNIX

• [security bulletin] SSRT2275 HP Tru64 UNIX - Potential Buffer Overflows & SSRT 2229 Potential Denial of Service (fwd)

HP-UX

• HPSBUX0208-214 VJE.VJE-RUNにおけるセキュリティ脆弱性

• HPSBUX0208-213 LPサブシステムにおけるセキュリティ脆弱性

　「HTTPのTrickle機能」を停止すれば回避できるようだが、「HTTPのTrickle機能」って何だろう。

2002.09.03 追記:

　イシゲさんから (ありがとうございます):

InterScanVirusWall（Solaris版）のhttpスキャン設定画面には、以下のようなメニューがあります。
---------
□ Use Trickle:
Send [ ] bytes of data to client for every [ ] kilobytes received.
(prevents browsers timeouts and provides progress)
---------

デフォルトではこのチェックはオフで、2048kbごとに5byteずつデータを送る数値が入っています。

httpやftpをInterScanでチェックさせると、ファイル一つをダウンロードし終えてウィルスチェックするまでクライアントに渡さないので、回線が混んでいたり、とても大きなファイルだと、クライアント（ブラウザ）がタイムアウトしてしまいます。これを防止するために、時々クライアントをつついて、セッションを保持するそうです。

もっともウチの会社では、ユーザとInterScanの間にSquidを置いているせいで効果がないのか、ファイルが大きい時はやっぱりタイムアウトして、ユーザに嫌われています (^_^;

　らむじぃさんから (ありがとうございます):

(Check box) Use Trickle:
Send XXX bytes of data to client for every YYYY kilobytes received.
(prevents browsers timeouts and provides progress)

という設定項目になります。
要は YYYY キロバイトを受信する毎に XXX バイトをクライアント宛に送る機能ですね。

無通信時間が長いと早々にあきらめるクライアントの対策です。

以前はダミーヘッダを送り返すことで対応していましたが、

Outside <=> Proxy2 <=> ISVW <=> Proxy1 <=> Clients

という構成の場合、Proxy1との相性によりおかしくなる場合があったためにTricleが実装されたようです。

　Oracle9i Application Server 9.0.2 の Web Cache 機能に弱点。 Web Cache 管理機能のパスワードがデフォルトでは暗号化されないまま、平文で保存されてしまう。

　回避方法が記載されているので適用すればよい。

　0-day であるか否かを問わず、侵入された場合に、「侵入された」こと自体を発見できるか否か、が問題になるんだろうなあ。その上で、あらかじめ対策手順をきちんとしておきましょう、と。これも 0-day であるか否かは関係なさそうだなあ。半径 50m 的にはどちらもかなりマズげなんですが (^^;;)。 web ページ書きかえられました系のようにわかりやすいものばかりならまだ楽そうですが、……。

　PTRS の吉田さんから (ありがとうございます):

マイクロソフト セキュリティ情報センターの電話窓口についてですが、私の方でMSKKの方に確認したところ「電話での脆弱性の報告は受け付けていません。」との事です。

よって現状では脆弱性の報告先は secure@microsoft.com に英語にてメールを送るしか方法が無いということになります。

どうやらMS内部でも電話窓口のサポート範囲について混乱しているようですね。

　この件、佐名木さんも Sat, 10 Aug 2002 11:04:19 +0900 付の bugtraq-jp へのポスト (archive は化けてます) で、やはり「米国へ連絡して欲しいと言われました」と報告なさってます。

　というわけで、これら対応が意図された状態であるのなら、 TechNet セキュリティ センター の電話番号のところに「脆弱性情報については、セキュリティ関連事項についてマイクロソフトへ報告をご参照の上、お手数ですが英語にて secure@microsoft.com へ連絡して下さいますようお願いいたします」とかなんとかいう記述がほしいですね。

2002.09.03 追記:

　↑のような記述がTechNet セキュリティ センターに追加されました。当面は英語でがんばるしかないようです。(T_T)

　2002.08.29 の ネットワーク共有プロバイダの未チェックのバッファにより、サービス拒否が起こる (Q326830) (MS02-045) に追記した。ISS セキュリティ アラート: Microsoft Windows SMB におけるサービス不能攻撃の脆弱点 (ISSKK)。