Last modified: Wed Feb 26 18:52:08 2003 +0900 (JST)
明日は IPA 情報セキュリティセミナー に参加するので、このページの更新はありません。
アルテミス、ウィルス対策とファイアウォール機能を備えたサーバーを発売 (INTERNET Watch)。 関連: 日本エフ・セキュア、アプライアンスサーバにウィルススキャンエンジンをOEM供給 (F-Secure)。 F-Secure のもの、どういうライセンス状態で入っているんだろう。
2002.10.07 に「到着が遅れる原因になったイベント用のプレゼン資料も、明日にでも再現 + α して置いておきます」と書いておきながら、急がしさにかまけておもいっきり遅れていたブツ「ふつうの人のためのセキュリティ対策」をこっちに置いておきました。たいしたことは書かれてません。
ついでに、セキュリティ・スタジアム 2002 のプレゼン資料もこっちに置いておきました。
電源コードの交換についてのお知らせ (SHARP)。 私の手元の SHARP 製品は対象外みたい。 (info from ポケットニュース)
しかし、シャープ、同社のプラズマテレビ2機種から蒸気が出る不具合 (AV Watch) ってのは豪快だなあ。
日本軍事情報センター 最新情報 (kamiura.com)。モスクワ劇場占拠事件、確かにいろいろありげですよねえ。 (info from [aml 30578])
東芝、データ消失のおそれで『ポケットPC』5万台を無償修理 (WIRED NEWS) の件ですが、 GEOMETRIC SPACE 掲示板 #5072 によると、該当シリアル番号には属さない 「ポケットPC e740W/e740」でもトラブルが散見されたりする事例があるようです。池田さん情報ありがとうございます。
特定電子メール送信適正化業務を行う指定法人の指定 (総務省) で指定されているのは 日本データ通信協会 なんだけど、情報の提供にご協力ください と言うわりにはプライバシーポリシーもなにもないんですね。 政府から指定されてやってるんだから、もうちょっときちんとして頂けナイト。
「Eメールでのご相談はお受けしておりません」 とか言いながら、情報提供フォーム にはしっかり
<form METHOD=POST ACTION="http://sa-cgi.ias.biglobe.ne.jp/cgi-bin/enquete/enquete.cgi">
<input TYPE="HIDDEN" NAME="_to_" VALUE="meiwaku@dekyo.or.jp">
<input TYPE="HIDDEN" NAME="_subject_" VALUE="情報提供表示違反">
<input TYPE="HIDDEN" NAME="_location_" VALUE="http://www.dekyo.or.jp/soudan/thankshyouji.html">
<input TYPE="HIDDEN" NAME="_confirm_" VALUE="YES">
って書いてあるじゃん……。なんだかなあ。このソースもなんだかだけど。
「ペース・メーカーへの電磁波影響」にいただいたコメントに答える (日経 IT Pro)。 ベンダー自身が、こういった数値をどんどん公開してほしいなあ。
ミニ解説:コピー防止策でCD売り上げは回復するのか? (日経 BizTech, info from バーチャルネットハッカーっ娘 沙耶16歳さん)。 賞味期限が短かすぎる、あるいは最初から存在しない、ですか……。 たしかに、「メガヒット」があふれすぎる割に中身はスカスカですねえ。
こっちに書いた話も関連かなあ。
富士通、2002年度は1100億円の赤字見通し (日経 BizTech)。 例の HDD 関連は「特別損失250億円」だそうで。 100 億では済まなかったんですね。
題名は「Pocket PC のセキュリティ」だけど、これに限らず、モバイルデバイス全般について言えることが多いように思える。
イベント会場において、無線 LAN 経由で bugbear が「蔓延」したそうです。 いまどきだと、いろんな場所で無線 LAN できたりしますが、いきなり隣の PC から攻撃される可能性も考慮しておく必要があるってことですね。 まあ、お外に直接つなぐときはウィルス対策 + personal firewall くらいは必須かと。
2003.05.22, 23 だそうです。来年のカレンダーをチェックしておきましょう。 layer9 さん情報ありがとうございます。
Openwall GNU/*/Linux (Owl) 1.0 が登場したのだそうです。
新着サポート技術情報 ですが、link をクリックしても「ありましぇ〜ん」って言われるような。
……素直に http://www.microsoft.com/japan/support/kb/ から進んでいくとよろしいようです。ふえっぷさん情報ありがとうございます。 ふぅむ。 http://www.microsoft.com/japan/support/kb/default.asp?gssnb=1 が変なようです。
日経 Windows プロ 2002.11 が届いた。
ぐはぁ、Windows XP SP1 って JP418344: 自動システム回復機能でシステムの復元に失敗する が直ってなかったのか。確かに SP1 で直ったとはどこにも書かれてない。 日経 Windows プロ 2002.11 によると、XP SP1 適用済み bootable CD-ROM があれば ok とのことだが。
Q. How can I prevent Microsoft Word in Office XP from loading HTTP-linked images? (windows2000faq.com)。 Office XP では、いわゆる「web バグ」対策ができるそうです。 設定しませう。Acrobat Reader とかでもできないかなあ。
特集もよくまとまっていると思う。IE のインターネットゾーンは「高」ベースで運用した方がいいと思うけど。
『パトリオット法』に対するACLUの抗議運動がいよいよ本格化 (WIRED NEWS)。
メール盗み見の教授を減給、新たに男性技官も戒告 大分医大 (毎日)。
陳腐化教授は「外国や民間企業では、部下のメールをすべてチェックするのが一般的。自分も管理者としてチェックしていいのではないかと思った」と話しているという。
その「外国や民間企業」では、あらかじめ、そのような行為が行われていることが警告され、かつ契約書が交されるのがふつうだと思うのだが、くだんの「教授」はそれを実施していたのだろうか。(していたら、それはそれでまた問題、だろうが……)
MHonArc 2.5.12 以前にクロスサイトスクリプティング脆弱性が存在。 メールに
Header<SCRIPT>hello</SCRIPT>def: honyarara
のような、タグつきのヘッダを記述することにより攻撃が可能なのだそうだ。
MHonArc 2.5.13 で修正されているので upgrade すればよい。 また、FIELDORDER リソースから -extra- を削除することによって問題を回避できる模様。 デフォルトでは
<FieldOrder>
to
subject
from
date
-extra-
</FieldOrder>
だそうなので注意。
2002.10.28 の SNS Advisory No.56: TSAC Web package/IIS 5.1 connect.asp Cross-site Scripting Vulnerability に追記した。MS02-046 を適用しただけだと、問題のあるファイルが残ってしまう場合があるとの情報を追記 (Onodera さん感謝)。
WLA-AWC,WLA-AWCG付属ACアダプタの自主回収について (メルコ)。 うーむ……。
Vine Linux、 「Vine Linux 2.6 に見つかった webmin のセキュリティホールがひろまるのを防ぐために 2.6r1 をリリースします」だそうで。
で、Vine Linux Security Watch Team なのだが、
Vine Linux Security Watch Team 協力者募集 (2001,08,22)
Vine Linux のセキュリティアップデート情報を監視報告していただける方を募集しています。VineSeed, Vine Linux 2.x についてセキュリティ情報をウオッチしてご報告いただける方は、Vine@vinelinux.org までご連絡おねがいします。
こう書かれていると、負荷高そうに見えて躊躇してしまうなあ……。
http://www.axehind.com/honeynet/ (セキュリティ・スタジアム 2002 技術セミナ「Vine とセキュリティ」より)。
NTFS for Windows 98 (Read-Only) v2.0 出てます。 95/Me でも使えます。
ntp 4.1.1b 出ています。 Tristate Ltd. JJY receiver JJY01 がサポートされました。 google で検索 してみると、ntpd で JJY01 をサポートする patch というのはいくつもあるんですね。
GnuPG 1.2.1 が出ています。
個人情報の漏洩よりも重要な話を見過ごすな (日経 IT Pro)。 うーん、情報漏曳って「生活の脅威」に十分つながると思うんですけど。 エステ屋さん方面のやつとか、派遣会社さん方面のやつとか。 まがりなりにも補償システムがあるクレジットカードというのはむしろ希有な例なのでは。もちろんこれも、気がつかなかなったら致命的なわけで。
主従関係 (ル・モンド・ディプロマティーク)。 ふむん。 イラクを攻撃して北朝鮮を攻撃しないのは、北朝鮮を攻撃しても何のトクにならないから、なのかな。やっぱ世の中ゼニですか?
MIT Kerberos 4 / 5 , KTH eBones / Heimdal に含まれる kadmind (MIT Kerberos 5 では kadmind4) に弱点。 buffer overflow してしまうため、remote から kadmind 動作権限を奪取可能。 ただし KTH Heimdal では、Kerberos 4 互換コードを有効にしている場合にのみこの問題が発生する。
MIT Kerberos 5 1.2.6, KTH eBones 1.2.1, Heimdal 0.5.1 で修正されている。 各所から patch や fix package が出ている / 出つつあるので適用しよう。 FreeBSD も、CVSup で得られる最新ソースはすでに修正されている。
かなり古いネタもあります。
IIL Advisory: Winamp 3 (1.0.0.488) XML parser buffer overflow vulnerability
Winamp 3 (1.0.0.488) が利用する wasabi.dll に buffer overflow する弱点があり、これを利用すると、スキンファイル経由で任意のコマンドを実行可能だそうで。
syslog-ng 1.5.21 (devel)、1.4.16 (stable) で修正されているそうです。
[VulnWatch] Apache Tomcat 3.x and 4.0.x: Remote denial-of-service vulnerability
KDE もの:
R7-0006: Oracle 8i/9i Listener SERVICE_CURLOAD Denial of Service
Symantec もの
AN HTTPD もの。最新は 1.41e です。
NSSI-2002-zonealarm3: ZoneAlarm Pro Denial of Service Vulnerability
AIM 4.8.2790 remote file execution vulnerability
AOL Instant Messenger 4.8.2790 において、 local file を示す URL を送られて、それをクリックすると、警告なしでそれが実行されてしまうそうで。4.7.2480 や 5.0.2938 にはこの問題はないのだそうで。
WS_FTP Server 3.13 に古めかしい穴があるという話。
mod_ssl にクロスサイトスクリプティング問題があり、2.8.12 で fix された。
[SECURITY] [DSA 174-1] New heartbeat packages fix buffer overflows
[SECURITY] [DSA 175-1] New syslog-ng packages fix buffer overflow
[SECURITY] [DSA 177-1] New PAM packages fix serious security violation in Debian/unstable
[SECURITY] [DSA 178-1] New Heimdal packages fix remote command execution
[SECURITY] [DSA 179-1] New gnome-gv packages fix buffer overflow
[SECURITY] [DSA 180-1] New NIS packages fix information leak
[SECURITY] [DSA 181-1] New mod_ssl packages fix cross site scripting
[RHSA-2002:204-10] Updated squirrelmail packages close cross-site scripting vulnerabilities
[RHSA-2002:196-09] Updated xinetd packages fix denial of service vulnerability
[RHBA-2002:198-03] Updated kernel packages fix DB2 and IBM JDK problems
[RHSA-2002:210-06] New kernel 2.2 packages fix local vulnerabilities
[RHSA-2002:192-13] Updated Mozilla packages fix security vulnerabilities
[RHSA-2002:223-07] Updated ypserv packages fixes memory leak
Terminal Services Advanced Client (TSAC) Web パッケージ、および IIS 5.1 の「リモートデスクトップ Web 接続」オプションコンポーネントに含まれる connect.asp ファイルにクロスサイトスクリプティング問題が存在する、という指摘。 TSAC ActiveX コントロールのバッファオーバーランにより、コードが実行される (Q327521) (MS02-046) の修正プログラムを適用すると、この問題についても修正されるのだそうだ。
Onodera さんから (情報ありがとうございます):
この問題は、MS02-046 の適用だけでは、解決しない場合があります。 すでに、TSAC を利用していた環境に MS02-046 を適用した場合は、 脆弱なファイルが残る場合があります。 その場合は、手動で別途削除により対策することができます。 詳しくは、以下をご覧ください。
JP327521 : [MS02-0046] TSAC ActiveX コントロールのバッファ オーバーランによりコードが実行される
http://support.microsoft.com/default.aspx?scid=kb;ja;JP327521
「Connect.asp が
(中略) Default.htm に置き換えられます
(中略) connect.asp は自動的に削除されません。
(中略) この問題は、Windows XP Service Pack 1 を適用することでも解決します
」(「インストール情報」)
だそうです。_o_
Windows 2000 において、Print Spooler サービスが起動しておらず、かつ SNMP サービスが起動している場合に、LANMAN MIB (具体的には 1.3.6.1.4.1.77.1.2.28.0) を参照すると SNMP サービスがメモリを食いつぶしてしまい、結果として DoS 状態に陥ってしまうという。
Windows 2000 SP3 で修正されているそうで。
MIT Kerberos 5 で Windows 2000 を認証させる方法。 monyo さんち にはいろいろと有用なドキュメントがあって素敵です。
port scan に関する情報提供は、ぜひ JPCERT/CC へ。 (あくまで情報提供、ね)
chkrootkit を仕掛けるのは難しくないので、ぜひやっておきませう。 いまどきの Linux だと tripwire も標準添付だし、FreeBSD も ports に入ってます (security/tripwire)。関連:
不正アクセス調査ガイド -rootkitの検出とTCTの使い方 (オライリージャパン)
オライリージャパン、 セキュリティ コーナーに載せてないのはどう考えても変だぞ。
Rootkitの紹介と対処法 (みっきーのネットワーク研究所)
Forensicとは何か (みっきーのネットワーク研究所)
このところいそがしくて、おまけに金もないので、チョムスキー 9.11 はあきらめざるを得ないかなーとか思っていたのですが、 京都朝日シネマ の上映スケジュールを見直すと、10/26 以降も上映しているではありませんか。 これまでのレイトショーとはうってかわってお昼の上映ですが、祝祭日に観にいくのには都合がいいです。イフニ!
チョムスキー 9.11 上映スケジュール ページによると、大阪や名古屋、静岡でも上映が決定しているようで。 名演会館・名演小劇場によると、三省堂書店 名古屋高島屋店ではチョムスキー・ブックフエアーが開催されているらしい。
総務省、電子入札・開札システムの運用開始 (INTERNTE Watch) だそうです。
第一線エンジニアに聞く! 不正侵入検知のスペシャリストになるには (@IT)。 ラックの西本さんへのインタビュー。
「P2Pへの合法ハッキング」法案、大幅修正へ (ZDNet)。そりゃそうだろう……。
「インターネット接続サービス安全・安心マーク」って、しょせんアリバイづくりでしかないように聞こえるんだが……。実態としてのセキュリティ向上、が期待できるのかなあ。 インターネット接続サービス安全・安心マーク[審査項目] を見る限り、何をして適切だと定義するのか不明だし。 安全・安心マーク使用許諾審査料金表 に見合った内容、なんでしょうし。 まあ、ないよりはマシなんだろうけど、あったからと言って……。
2002.10.22 の 富士ゼロックス株式会社製印字装置(エンジン)搭載の モノクロレーザープリンター等の無償部品交換について に追記した。今 Xerox さんが来て直しているので詳細を聞いてみた。うーむ、そこまでやるか。
そうそう、A.D.200x 方面から教えていただきました _o_ が、 QuickSSL というのがあるそうです。
東芝、データ消失のおそれで『ポケットPC』5万台を無償修理 (WIRED NEWS)。 燃えはしませんが、……。
Linux Column:教育コストの問題をどう解決していくのか (ZDNet)。 教育コストは、デフォルトで 0 と相場が決っているような気が……。 (特定金持ち企業は除く)
【WPC EXPO 2002速報】セキュリティ・スタジアム2002でOSのデフォルト設定の怖さを見せつける (日経 IT Pro)。 ヤラレたのは実は私のだったり。 そのあたりの log の解析をしたいのだけど、なかなか時間がとれず。 ウーム。
CERT/CCの存在意義を見直す (ZDNet)。
セキュリティ企業とソフトメーカーが財政面でCERT/CCをサポートすれば、CERT/CCはもっと公明正大なソフト脆弱性データ交換所になれる。
すれば、ね。で、誰もしないワケでしょ?
バリ島爆破事件とアメリカの「別働隊」 (tanakanews.com)。 なんでもアルカイダのせい、というのはあまりにうさんくさいと思うし。
もと記事: Vulnerable cached objects in IE (9 advisories in 1)。 IE 5.5 と 6.0 に 9 つの問題があり、それより前 (IE 5.01 SP2) や IE 6.0 SP1 には問題がない、とされている。ZDNet の
GreyMagicによれば、IE 5.5と6がこれらの弱点の影響を受けるが、最新のサービスパックをインストールすれば問題は修正されるという。
は、誤記だろう。
この問題、Microsoft への通知直後に公開されてしまっているそうで、 問題の修正には 1.5〜3 か月は要すると考えられる。 IE 5.5 や 6.0 の利用者は IE 6.0 SP1 への移行を強く検討されたい。 5.01 SP2 な人は、そのままでもよいでしょう。
……ところが、バーチャルネットハッカーっ娘 沙耶16歳 さんによると、 IE 6.0 SP1 でも 2 つの弱点が残るのだそうで。 http://security.greymagic.com/adv/gm012-ie/ にデモプログラムがあるそうなのだけれど、なんだかつながらないんだよなあ。
……つながった。http://sec.greymagic.com/adv/gm012-ie/ では「IE 5.01 以前にはこの弱点はない」「IE 6.0 SP1 には "external" と "clipboardData" 脆弱性がある」となっている。 回避するには、アクティブスクリプトを off にする。
Server: Apache/1.3.20 Sun Cobalt (Unix) mod_gzip/1.3.19.1a mod_ssl/2.8.4 OpenSSL/0.9.6b PHP/4.1.2 mod_auth_pam_external/0.1 FrontPage/4.0.4.3 mod_perl/1.25 かぁ。ふぅん……。
なんか、そういうことがあったみたいですね。
Backbone DDoS (Internet Traffic Report)
ルートサーバーに大規模攻撃 (WIRED NEWS)
ルートサーバーに攻撃 「大騒ぎの必要なし」と村井・慶大教授ら (毎日)
WIDE の M さんは「全く影響は出なかった」そうです。
そもそも ftp://ftp.sendmail.org/ や ftp://ftp.openssh.com/ が「信頼できる」サイトかどうかという話があると思う。 sendmail や openssh の事例では (多くの人がアクセスする) original site が改ざんされたが故に問題が発見されたわけだけど、 もっと局所的な攻撃が行われたとしたら、はたしてそれに気がつけるのか。
「その情報って本物? あるいは、なぜ未だにこうなのか」 (間違っててごめん > FreeBSD) を A.D.2002 でしゃべった直後にこういうのがみつかるのは、 なんだかタイムリーすぎてあれだったり。つーか資料直せ > 俺。
関連: Opinion:ソフトウェアのセキュリティ——信頼性という問題 (ZDNet)。
ようやく、手元から tea room for conference が見えるようになった模様。ふぅ。
あやしい「フリーソフトウェア」の定義 (slashdot.jp)。 #187436、強烈すぎます。世の中そんなものなのか。
個人情報を不正閲覧した社員を懲戒処分 NTTドコモ関西 (毎日)。 氷山の一角なんだろうなあ。
「一部修正では不十分」 メディア総研など人権擁護法廃案要求 (毎日)。人権という概念は任意に定義可能なのでしょう。
IEで日本語JPドメインを利用できるソフト JPRSが無料配布 (毎日)。日本語 JP ドメイン自身の登録・管理料は無料にしない模様。 どうひいき目に見ても詐欺だと思うけどな。
telnetd ……。有名どころの telnetd 穴だとしたら、その「旧サーバー」というのはかなり古い (1 年以上更新されてない) と思うのだが……。富士フィルムの「社内のシステム部門からそのセキュリティ・パッチの適用を促されていたが,対応していなかった」というのも、なぁ……。
「Web サイト改ざん」なんてハデな状況だからすぐわかったのだろうけど、もっとコッソリ系だったらどうなってたことやら。……なんてことを考え出すと半径 50m 以内的にも恐かったり。
いくつかの ccTLD や .int, .museum, .pro がそうなっている、という話。うーみゅ……。
ブラザー製レーザープリンタ HL-1040 でも「ごくまれに製品が焼損する可能性がある」のだそうで。無料部品交換してもらえるので電話しよう (電話するしかない模様)。
富士ゼロックス製エンジンを塔載した「モノクロレーザープリンター/デジタル複合機/ファクシミリ」の一部で、最悪の場合、発火する事故が発生する恐れがあるそうです。富士ゼロックス製エンジンは、富士ゼロックス自身の他、カシオ計算機、兼松エレクトロニクス、セイコーエプソン、東芝、IBM、ブランズウィック、日立、富士通、松下、武藤工業、村田、メモレックス・テレックス、リコーでも使われているそうなので、これらのメーカの製品を利用しているユーザは、必ず型番を確認し、該当している場合はエンジンを交換してもらおう。無償で交換してもらえる。
すでに発火事故が 2 件確認されているそうだ。ヤバい。
手元の Laser Press 4150 II を Xerox さんが来て直してくれているのでちょっと聞いてみた。今回の事例は
とある 2 つの金属部品の接合部が熱を持ってしまい
その熱を持つ部分の直下に存在するレバー部品が耐熱性でなかった
ために、熱を持つ→レバーが発火という連鎖が発生した模様。対策は:
接合部が存在しない一体型部品に交換
レバー部品を耐熱性部品に交換
電源ケーブルを、漏電ブレーカつきケーブル (コピー機についているような奴) に交換。
1 と 2 はふつうだが、3 は……。うーむ、そこまでやるか。
Xerox さんは正月返上で対応にあたるそうで。たいへんです。
大阪府が有害サイトフィルタリングソフトの導入を義務付け検討 (slashdot.jp)。 #185344 以下のスレッドで関連情報が紹介されています。
5th JWNTUG Open Talk in MSC2002/fall の募集が開始されています。無料です。 JWNTUG 会員じゃないと参加できないんですが、 JWNTUG への参加も無料でできます。
くぅ、10/18 に回線が太くなったのだけど、どうもこのあと mail がうまく届かないことがあるみたい (特に memo ML 方面で影響が……)。
<XXX@XXX.jp>: host XXX.XXX.jp[XXX.XXX.XXX.XXX] said: 554 Transaction failed, client timeout/disconnect while recieving mail message.
なんてのが多発してます。うーみゅ……。
……外部→龍大、についても発生している模様。FW-1 かトンネリングルータか、どちらかが原因だと思うのだが…… (あるいは NCA-5 ?!)。 とりあえず、mail がきちんととどかないのは致命的なので、全ての mail のやりとりを backup line 経由で行うことに。
RAV センター/販売形態 (rav-japan.com)。 パッケージ版とダウンロード版の販売形態と価格の違いが説明されています。 日本語でお話したい場合はパッケージ版というわけですね。 パッケージ版も、他社と比べればずいぶん安いわけで。 あと、rav-japan.com では現在評価版 CD を無料配布 (先着 500 件) しているそうです。 伊東さん情報ありがとうございます。
龍大からだと、www.office.ac にはつながるけど、 http://www.office.ac/tearoom/noframe.cgi がうまく見えないみたいだ。なんでだろう。
www.office.ac って落ちてる?
いやぁ……。ふつう .eml 添付でエラーメール送るか? > MDaemon.PRO.v6.0.4.R。 新手の攻撃メールかと思ったぞ。
「マイクロソフトサポートライフサイクルポリシー」を発表 (Microsoft)。 SP 毎にサポート終了日が異なる点に注意。現実的だと思う。
ビジネス、開発用ソフトウェア
セキュリティ修正プログラムは、最短でも延長サポート期間終了まで、無料で提供されます (5 年間のメインストリーム サポート期間+2 年間の延長サポート期間)。
Windows NT 4.0 Server SRP1 の延長サポート期間終了は 12/31/2003 と書いてある。 Windows 2000 Pro SP3 だと 3/31/2007。
OpenSSH 3.5 が出たそうで。
TechStyle Newsletter:2002-10-15 に Red Hat Linux 8.0 雑誌収録話が出ていたが、 Red Hat のプレスリリースページには何も出てないってところがイヤラシイなあ。
【WPC EXPO 2002プレビュー】 情報機器の“組み込み”に動き出した住宅機器メーカー (日経 IT Pro)。 うう、つっこみどころ満載風なのに watch し忘れた……。 東芝ブースでスタバなコーヒーがタダで飲めることには気がついたのだが。 (関係ないやん)
Windows環境における情報漏洩・改ざん対策ソリューションセミナー、 2002.10.29、京王プラザホテル (東京都新宿区)、無料。 夏井先生のお話あります。
どうして「Java や JavaScript には注意しよう、デフォルトで無効にしておくのが安全」という方向に話が進まないのだろう。 この事例の場合、Java / JavaScript が無効なら回避できていたってコトですよね?
Microsoft Office 文書による個人情報漏曳に注意しよう、ということなのかな。
世の中には ゲートウェイも『Office』離れ (CNET) なんて話もあるようですが、対抗製品ならそういう問題はなかったりするのかなあ。
スキルの低い人は危険なモノも「安全」だと判断しかねないからなぁ……。 「安全」なソフトウェアを悪用するヤツ (JavaScript モノとか) にも効かないだろうし。 そういう限界を認識した上で、より安全を目指すために利用するソフトなのでしょう。 デジタル署名サポートは楽しそうだなあ。
Abtrusion Protector Personal Edition is free for non-commercial, personal use on one workstation computer in a non-network environment. If the product is installed on a server or on a computer connected to a domain, a LAN with a dial-up connection to a corporate network, a paid license key will be required.
なにこれ。いまどき non-network environment なんてどのくらいあるんだ。 まあ、workstation は $20 なので、めちゃくちゃ高いものではないのですが。 server $400 はチト高いと思うぞ。
今週は、セキュリティ・スタジアム 2002 と、金曜日の学内ネットワーク工事とで、 このページは更新されなかったり見えなかったりします。 アンテナは自動更新されていますので、そっちを見てね。
てゆーか、例によってプレゼン資料、まだ 1 枚もできておらず。
Windows XP 側で作業していると、ときどき VMware 上の FreeBSD のコネクションが切れてしまったりするなあ。同時に動かしている VMware 上の Red Hat Linux は全く問題なく動いてくれていたりするのだが。
Windows XP 付属の firewall 機能 (解説記事は、たとえばこのへん) をはじめていじってみたが、ICMP のところ、チェックボックスが何を意味してるのかイマイチわかりにくい。ICMP type な番号が付記されていたりするとわかりやすいのかな。
PGP 6.5.8ckt 日本語版 r2 が出たそうです。(info from PGP 最新情報)
Mac OS X 10.2: アプリケーションやフォルダの名前が予期せず英語に変わる (Apple TIL)。
解決方法
Finder 環境設定で「常にファイル拡張子を表示する」の選択を外します。
ダメすぎ。
ports にあった問題総ざらえ。 not fixed になっているのは mozilla, mozilla-devel, pkzip。
今気がついたのだけど、SA、SN、それから patch には GPG 署名がありますね (あぁ、訂正しとかなきゃ……)。 少しでも安全性を高めたい人は GPG 署名を確認した上で patch を使え、になるのかな。 でも経験上、patch って、単体検証しかされてないっぽいんだよね。 patch を順番に適用していくと、途中で reject されちゃったりした経験あるので。 いいかげん嫌になって、手元では CVSup するようにしちゃった。なので気がつかなかったって事で (いいわけモード)。
SA には
という情報があるけど、これらバージョンのファイルの MD5 値あたりが書いてあれば、それで正当性を検証できそう。 MD5 値自体は GPG 署名で検証できるし。で、GPG 署名自体の検証は……src/lib/libkvm/kvm.c RELENG_4 1.12.2.3 RELENG_4_6 1.12.2.2.8.1 RELENG_4_5 1.12.2.2.6.1 RELENG_4_4 1.12.2.2.4.1
Outlook Express 5.5, 6.0 に弱点。S/MIME のデジタル署名に問題があった場合に警告メッセージが表示されるのだが、この処理においてバッファオーバーフローしてしまう。この弱点を利用すると、悪意ある S/MIME メール送信者は Outlook Express を動作させるユーザの権限で任意のコードを実行させることができる。 なお、IE 6.0 SP1 または Windows XP SP1 を利用している場合は、この弱点は存在しない。
参照: Outlook Remote Code Execution in Preview Pane (S/MIME) (SecuriTeam)。 CVE: CAN-2002-1179
patch があるので適用すればよい。が、個人的には、Outlook Express ユーザは特に、IE 6.0 SP1 へ移行したほうがよいと思う。いろいろな設定が安全側に倒れているし、
テキスト形式電子メールのオプション
Outlook Express はすべてのメッセージをテキスト形式で読むことができるようになりました。ユーザーは [ツール] - [オプション] - [読み取り] の [メッセージはすべてテキスト形式で読み取る] によってこのオプションを設定できます。このオプションを選択すると、すべての受信メールはテキスト形式で表示されます。このオプションは既定では有効になっていません。
という機能もあるし (from README。ウイルス発見届出状況(9月分) (IPA) に画像あり)。有効にしましょう。安全側に倒れた中では、
ウイルス防止機能
電子メール ウイルスに感染する危険性については、更新された保護機能が対応しています。プログラムによる送信をブロックし、添付ファイルを開くかどうか確認することができます。あらかじめ設定された一覧にあるファイルの種類をブロックするこのオプションは [ツール] メニューの [オプション] の [セキュリティ] タブにある [ウイルスの可能性がある添付ファイルを保存したり開いたりしない] チェックボックスによってアクセスされます。このオプションは新規インストールやアップグレードでは既定の設定で有効になっています。
がひっかかりやすそうなので注意しましょう。 .exe や .pif はともかく、.doc や .xls な添付ファイルもこれに該当しますから。 対象となるファイルは……どこで定義されてるんだったかな。忘れた……。
443/tcp や 5680/tcp の調査のしかたも出ています。
2002.10.10 の [stalk:01385] [FYI] 解法? IEの content-type無視問題 に追記した。<plaintext> を行頭に置くのがいちばん簡単かつ確実な模様。
総務省方針:住基カードにお買い物ポイントを (slashdot.jp)
そうら出た「民間活用」。で、その「活用データ」を使って BIG BROTHER も実現できる、と。 総務省の言う「セキュリティ万全」とはいったい何なのやら。
<住基ネット>自治体向けウイルス対策情報 3カ月間更新なし (毎日)
同センターの戸田夏生・システム担当部長は「2週間に1度は原則。更新がなかったのは、住基ネットという閉じたネットワークに脅威を与えるものはないと判断したため」としている。
万全を期す、とか、「Nimda の教訓」とかいう概念はない模様。 戸田部長は、今すぐ考えを改めるか、さもなくば辞職するか、どちらかにしていただきたい。
住基ネット稼働で気になる 自治体の個人情報保護対策 (日経 IT Pro)
戸田部長は宇治市で 1 週間くらい丁稚奉公してくるべきだと思う。 (typo fixed: 中里さん感謝)
Windows 9x/NTをXPにすると数10億ドルの節約に (日経 BizTech)。虚しい。 手元にある Pentium 200MHz な note PC (Windows 98) に XP を入れると、多分 DoS 状態になると思うんだが……。 タッチパッドのドライバもないし。
エステの個人データ流出で被害弁護団が電話相談 11日まで (毎日)。 明日まで。
コミーは当初、データが流出した被害者数について3万7000人と発表していたが、「その後調査をやり直した結果、5万人以上になった」と説明している。
違いすぎ……。どんな調査をしたんだ……。
まだまだ続くよ住基ネット: 「住民票コード付与は違法」 名古屋市で100人分の審査請求 / 函館の医師、住基ネット情報の削除を申し立て / 住民票コード拒否世帯増で保管分渡し場所設置高知市 / 8自治体が「住基ネットから離脱すべき」 日弁連調査 / 「住基ネット接続は条例違反」 東京・東村山市監査委 / 「住基ネットは希望参加制を」 東京・杉並で署名運動 (毎日)。
Detecting and Removing Trojans and Malicious Code from Win2K (securityfocus.com)。
SPIKE 2.7 や SPIKE Proxy 1.4 というものが出ています。SPIKE Proxy 1.4 は開発版だそうで。
Bruteforce Exploit Detector というものがあるそうです。
あうぅ、しまった、変なもの入りのデータを渡してしまった……。 ごめん。
モータージャーナリスト三本和彦氏に聞く 自動車盗難対策、ここが問題だ! (日経 BP)。
「最高の盗難防止策はクルマを持たずにリースすること
」
うーむ。
「アメリカでは個人の75%くらいがパーソナルリースを使っています
」
へぇ、そうなんだ……。
セキュリティ・スタジアム 2002 の セキュリティ技術セミナ、話者情報が追加されました。
内閣府情報管理課の職員がネットで詐欺未遂 (毎日)。 「出来心」ねぇ……。
Sun RPC 弱点話。日本語版 SFU 3.0 (beta 含む) にはこの問題はないそうで。
Cisco Secure Content Accelerator 11000 は slapper worm の攻撃を受けると DoS 状態になってしまう、という指摘。 フォロー によると 3.2.0.20 版で fix されているそうな。
まだ patch はない。
Oracle Net Listener の潜在的な DoS 脆弱性
patch はまだない。解説されている回避方法を実行されたい。
SQL Server 7.0/2000, MSDE 1.0/2000 に新たな弱点。
ユーザー認証におけるバッファオーバーフロー (SQL Server 2000)。 この弱点を利用すると、remote から SQL Server サービス権限で任意のコードを実行可能。 認証が成功しなくても攻撃可能であり、危険性が高い。
CVE: CAN-2002-1123
Database Console Commands (DBCC) でバッファオーバーフロー (SQL Server 7.0/2000)。 この弱点を利用すると、remote から SQL Server サービス権限で任意のコードを実行可能。 ただし、攻撃前に認証が成功している必要がある。
CVE: CAN-2002-1137
スケジュールされたジョブに関する弱点 (SQL Server 7.0/2000)。 権限のないユーザが、SQL Server Agent によって実行されるスケジュールジョブを作成することができてしまう。 設計上は、SQL Server Agent はリクエストしたユーザの権限でジョブを実行することになっている。のだが実際には、ファイル出力については SQL Server Agent 自身の権限で実行してしまう。 この弱点を利用すると、攻撃者は、他のユーザの Startup フォルダにコマンドを仕掛けたり、システムファイルを上書きできたりする。 ただし、攻撃前に認証が成功している必要がある。
CVE: CAN-2002-1138
patch があるので適用すればよい。これは累積的 patch だ。ただし:
InterScan VirusWall for Windows NT ver. 3.53 以下に弱点。 gzip で圧縮されたウィルスを発見できない場合がある。 3.53 用の patch が出ているので適用すればよい。3.52 以前の場合は、3.53 に upgrade する必要がある。
この弱点は InterScan VirusWall for UNIX には存在しない。
logsurfer 1.15a 以前にいくつかの弱点。off-by-one バグがある他、readcfg() で利用しているバッファの中に、初期化していないものがある。 1.5b で修正されている。 ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/ から入手できる。
Net-SNMP 5.0.1, 5.0.3, 5.0.4.pre2 に弱点。 snmp デーモンに特殊なパケットを送ると crash するみたい。 Net-SNMP 5.0.5 で直っているそうで。
CVE: CAN-2002-1170
Strange Attractors and TCP/IP Sequence Number Analysis (CA-2001-09) のその後の状況を追跡したレポート、だそうです。 なんとかしてください > Windows 他。
多くの人を悩ましてきた、IE が MIME content-type 指定を無視してしまう問題だが、
Content-Disposition: attachment; filename=test.txt
のように「.txt 拡張子つきの添付ファイル」と指定すれば回避できる、という指摘。 求む追試。
XSS text/plain問題 (MoonWolf 氏)。 <plaintext> を行頭に置くのがいちばん簡単かつ確実な模様。
いいかげん溜っているので……。
[RHSA-2002: 197-06] Updated glibc packages fix vulnerabilities in resolver
6.2, 7.0 - 7.3
[RHSA-2002:094-16] Updated tcpdump packages fix buffer overflow
6.2, 7.0 - 7.2
[RHSA-2002:175-16] Updated nss_ldap packages fix buffer overflow
6.2, 7.0 - 7.3
[RHSA-2002:215-09] Updated fetchmail packages fix vulnerabilities
6.2, 7.0 - 7.3,, 8.0
[RHSA-2002:212-06] Updated packages fix PostScript and PDF security issue
7.0, 7.1
[SECURITY] [DSA 169-1] New ht://Check packages fix cross site scripting problem
[SECURITY] [DSA 170-1] New tomcat packages fix unintended source code disclosure
[SECURITY] [DSA 171-1] New fetchmail packages fix buffer overflows
[SECURITY] [DSA 172-1] New tkmail packages fix insecure temporary file creation
[SECURITY] [DSA 173-1] New bugzilla packages fix privilege escalation
sendmail: sendmailにしかけられたトロイの木馬の件
問題ない、という表明。
Turbolinux 6.x, 7, 8
Turbolinux 7 Workstation, 8 Workstation
Turbolinux 8 Workstation
NetBSD Security Advisory 2002-015: (another) buffer overrun in libc/libresolv DNS resolver
NetBSD 1.4.x, 1.5.x。NetBSD 1.6 には fix が含まれている。
NetBSD Security Advisory 2002-019: Buffer overrun in talkd
NetBSD 1.5.x, 1.6
NetBSD Security Advisory 2002-022: buffer overrun in pic(1)
NetBSD 1.5.x, 1.6
NetBSD Security Advisory 2002-021: rogue vulnerability
NetBSD 1.5.x, 1.6
NetBSD Security Advisory 2002-023: sendmail smrsh bypass vulnerability
NetBSD 1.5.x, 1.6
不審ファイルに2時間以内に対処、対応できない場合一定金額を返金 (INTERNET Watch)。 トレンドマイクロの「Gold」レベル以上の法人向けサービス、だそうで。
MS02-014: Windows Shell の未チェックのバッファにより、コードが実行される の NT 4.0 TSE 用 patch が出ています。
他国のローカルなネット検閲を回避するツールの開発に補助 (slashdot.jp)。 要は Voice of America がやりたいんじゃないのかな。
しばらく手動でやってみて、よい感じであれば自動化してしまおう。
お、コンピュータユーザのための著作権&法律ガイド が発送された模様。
ISID 主催 LAC 協賛セキュリティセミナー: 企業におけるセキュリティリスクとその対策。2002.10.17、都市センターホテル (東京都千代田区)、無料。
sendmail 8.12.6 のトロイ入り版が出回っていた、という話。 トロイ入りを build すると、某ホスト (特定アドレス) の port 6667 に自動的につながってしまうようだ。ちなみに、
www.cert.org は https:// でつながります。 advisory には sendmail@Sendmail.ORG の fingerprint が掲載されていますので、sendmail.org 配布の PGP 公開鍵 とクロスチェックできます。 ただし、CERT advisory は署名されていません。
www.sendmail.org は https:// でつながりますが、プライベート証明書を使ってます。 sendmail 配布アーカイブは PGP で署名されてます。 .tar.sig は .tar に対する署名なので、 gunzip sendmail.8.12.6.tar.gz; gpg --verify sendmail.8.12.6.tar.sig とか gzip -cd sendmail.8.12.6.tar.gz | gpg --verify sendmail.8.12.6.tar.sig - とかで検査しましょう。
麗美さん情報ありがとうございます。
なお、www.sendmail.org には
We would like to thank Manabu Kondo and the staff at IIJ for bringing this to our attention.
とありますね。
Vine Linux 2.6CR が 2002.11.01 に出るそうで。 繰りかえしになるが、セキュリティ・スタジアム 2002 の技術セミナー、 木曜日の「Vine とセキュリティ」には注目しておいた方がいいと思うぞ。
Apache 1.3.27 に対応した Apache-SSL 1.48 が出たそうです。麗美さん情報ありがとうございます。 mod_ssl 2.8.11 も出てます。
[postfix-jp:02124] 携帯キャリア制限事項 [Re: メールを送信し続ける ]、 [postfix-jp:02125]。 J-Phone ダメすぎ。
『.Mac』サービスが2度目のダウン (CNET)。 止まるだけで十分迷惑なんですが。有料サービスだしねえ。
あら、[FreeBSD-users-jp 71243] は Bugbear ですね。
PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ が PuTTY 0.53 ベースになっています。
米・英のイラク攻撃、日米経済に大打撃の可能性 (日経 BizTech)。 「スイスフラン、ノルウェークローネ、カナダドル」ですか……。 こんな状況にもかかわらず「高速道路〜」とか叫ぶ人がいっぱいいる国って素敵ですね。
BSD Daemon Statuette Pre-order (BSD Mall)。 7cm 強 (約 3 インチ) だそうです。 ぷらっとホームで扱っていたそうですが、 すでに売り切れだそうで。待たれよ再入荷。 根暗井さん情報ありがとうございます。
2002.08.22 の White paper: Exploiting the Win32 に追記した。MSDN コラムの邦訳版が登場してました。
ActiveX はなんでもアリですからねえ。「プログラマのためのセキュリティ対策テクニック」でも、呼び出し元ドメインを制限する、といったことくらいしか述べられてないし。
英辞郎で調べると、「forensic science: 科学捜査{かがく そうさ}、法医科学」とか「forensic search: 法機関[警察]による検査[捜査]」なんて出てますね。
注目したいのはやまやまなのだが、当面の必要性と時間のなさが……。 日頃の鍛練がないとイザというときに困るのだけど、……。
A.D.2002、参加者および関係者のみなさまには多大なご迷惑をおかけして申しわけありませんでした。ごめんなさい。_o_
参加者および staff のみなさん、おつかれさまでした。楽しいひとときを過ごさせていただき、ありがとうございます。個人的には「キソドソ」がいちばん楽しかったです。次回はちゃんとネタを投稿できるようがんばります。
とりあえず、プレゼン資料を こっち に置いておきました。また、到着が遅れる原因になったイベント用のプレゼン資料も、明日にでも再現 + α して置いておきます。(最終版を誤って消してしまったので、紙から再現しなくちゃいけないのだけど、その紙を自宅に置いてきてしまったので……)
社民党、HPから拉致事件否定の論文削除、抗議メール殺到で (毎日)。 「註釈つきで掲載」 など、他にも対応のしかたがあると思うのだが……。
IPA 情報セキュリティセミナー、 当初、セミナー資料が web 公開されるということだったが、結局それはとりやめになったのだそうで、さきほど mail がとどいた。 しかたがないので印刷版資料を申しこみ。
コンピュータウイルスの届出状況 (2002.09)、 不正アクセスの届出状況 (2002.09) (IPA ISEC)。 あくまで「届出られた数」です。
イスラエルの高等戦略 、 イスラエル市民運動のラディカルさ (tanakanews.com)。
MessageWall は proxy server として動作するんですね。
コンピュータユーザのための著作権&法律ガイド、amazon.co.jp から「ご注文いただいた以下の商品がまだ確保できておりません……商品の発送が4〜6週間ほど遅れます」のおしらせが。 でも上記 web page の記述を見る限り、増刷がかかっているわけでもない模様。 MYCOM に「とっとと増刷せんかいゴラァ」と mail でもしたほうがいいんだろうか。
「危険な」じゃなくて「ありがちな」だと思う。 それはともかく、すごくよくまとまっているし、日本語版がほしいなあ。
HTML 版:
テキスト版:
2002.10.03 の Security Advisory APPLE-SA-2002-10-02 Stuffit Expander に追記した。 vm_converter 氏による追試結果登場。
おおっ!! こ、これは……。ミトニック氏といえばソーシャル、だと思うし。 どこかで訳してくれないかなあ。出たら絶対買うし。JPNIC / JPRS も買わなきゃだめだよ。
そういえば、A.D.2002 ではなぜか「FREE UNYUN」という言葉が流行っていた……。
ネットワーク機器、特にルータ、(ネットワーク) プリンタ、NAS に注意しろ、という記事。CISCO ルータあたりだとそれなりに security fix が出るのだけど、プリンタとか NAS って、びっくりするほど fix されませんよね。 A.D.2002 では UNYUN さんがネットワークカメラを exploit されていましたし。
bind 4.9.10 が出ています。ISC web page はまだ変更されていないようですが、 ftp server にはあります。 いまだに bind 4 (server / resolver) を使っている人は、乗りかえてください。
--- 4.9.10-REL released --- 821. [bug] read buffer overflows. 820. [port] __printf0like required for test build under FreeBSD. 819. [cleanup] res_mkquery.c: kill buflen manipulation.
MAXPACKET の定義が
--- bind4/res/gethnamaddr.c:8.24 Wed Jun 26 07:46:29 2002
+++ bind4/res/gethnamaddr.c Thu Aug 8 23:02:55 2002
@@ -117,11 +117,7 @@
static void addrsort __P((char **, int));
#endif
-#if PACKETSZ > 1024
-#define MAXPACKET PACKETSZ
-#else
-#define MAXPACKET 1024
-#endif
+#define MAXPACKET (64*1024)
typedef union {
HEADER hdr;
なんて変わっているので client side (resolver) 利用者も要注意です。 最近 glibc 方面で resolver fix 入ってるの (Pine Internet Security Advisory PINE-CERT-20020601: Remote buffer overflow in resolver code of libc の 2002.10.02 追記) って、これですよね。
IRC っていわゆる「インスタント・メッセージング」(IM) とは違うんだろうか。 いや、IRC は麻薬なので、IM も同じ感じだったらまずいと思って試してないんですが。
セキュリティ・スタジアム 2002 の技術セミナー、 木曜日の「Vine とセキュリティ」には要注目、らしい。
次回の @Random は、来年の 1 月末をメドに調整する方向で進めることになった、らしい。
会場には、AirSnort でまるみえ go go な人が実際にいた、らしい。
SEC 2002 Autumn はやっぱり中止になってしまった、らしい。
FreeBSD徹底入門 [改訂版]、初回限定のおまけ付き版だが、もしかすると amazon.co.jp には少量残っているかも、らしい。 一旦閉め切られたのだが、実はまだ残りがあったらしい。 amazon.co.jp の該当ページには
初回仕入れ限定特典として、DVD-ROM 1枚とBSDデーモンメタルフィギュアが入ったDVD BOXがつきます。ただし、予定数量に達し次第、特典付き商品の販売は終了し、通常商品の販売となりますので、予めご了承ください。
と書いてある。 ここから購入しても、やっぱり特典がないかもだけど……。
ちなみにデーモン君は「合金製無着色 3〜4cm」 なので、くれぐれも箱の大きさに期待しないように。 DVD-ROM が入っているからあの大きさ、なのだ。 箱の大きさとの落差に衝撃を受けた人は多いらしい。
会場でカレーピラフ (って名前ではなかったような気がするが、 要はそういう感じのものってことで) を食べたが、けっこううまかった。 A.D.2002 終了後、麹町のアジャンタに行ってチキンカレーを食べた。 辛かった。
A.D.2002 用資料できた。はふ。 すいません、予定していた内容と違います > UNYUN さん。
北海道・西友元町店の返金騒動 ネットが混乱を加速? (毎日)。 誰が判断したのか知らないけど、レシートなし、はやっぱいかんでしょう。
インターネット悪女のマニュアル という本が出たのだそうです。
snort 1.9.0 が出ています。
2002.10.01 の Bugbear に関する情報 に追記した。関連情報を追記。
2002.10.01 の Opaserv / Opasoft / Scrups 関連情報 に追記した。関連情報を追記。
Windows 98, 98SE, Me, NT 4.0, 2000, XP に弱点。 Windows の HTML ヘルプ関連で 2 つの弱点。
HTML ヘルプのための ActiveX コントロールにバッファオーバーフローする弱点がある。 このため、悪意ある web ページや HTML メールにより、攻撃者がユーザコンピュータ上で任意のコードを実行できてしまう。
関連: [VulnWatch] Buffer Overflow in IE/Outlook HTML Help、 [VulnWatch] Thor Larholm security advisory TL#004。
CVE: CAN-2002-0693
「ショートカットを含む、コンパイル済みの HTML ヘルプ (.chm) ファイル」 の処理に弱点。 信頼する HTML ヘルプファイルにのみショートカットが使用可能となるよう制限しなければならないが、この制限を回避する方法がある。 インターネット一時ファイルに置かれた .chm ファイルがローカルコンピュータゾーン権限で処理されてしまうため、これが「信頼する HTML ヘルプファイル」であると認識されてしまう。 これを利用すると、悪意ある HTML メールにより、 .chm に含まれたショートカットを利用して、 攻撃者がユーザコンピュータ上で攻撃コードを実行できてしまう。
ただし、一時ファイルフォルダが既知でないとこの攻撃は実施できない。 また、悪意ある web サイトはこの攻撃を実施できない。攻撃手段は HTML メールのみ。
CVE: CAN-2002-0694
patch があるので適用すればよい。
Windows 98 + Plus! 98, Windows Me, Windows XP に弱点。 .zip ファイル対応機能に 2 つの問題がある。
.zip が長大なファイル名を含んでいる場合にバッファオーバーフローが発生してしまうため、 悪意ある .zip ファイル作成者が任意のコードを実行可能。
CVE: CAN-2002-0370
上位ディレクトリを指すパス名が存在する場合に、それを受け入れてしまう。 このため、.zip を展開させることで、既知パス名のファイルを上書きさせてしまえる可能性がある。
CVE: CAN-2002-1139
patch があるので適用すればよい。
複数のソフトウェアにおいて、.zip ファイルの取りあつかいに問題がある。 長大なファイル名を含んでいる場合にバッファオーバーフローが発生してしまうため、 悪意ある .zip ファイル作成者が任意のコードを実行可能だという。
問題があるとされているのは以下のソフト:
Microsoft Windows 98 + Plus! Pack、Windows Me、Windows XP
MS02-054: ファイル展開機能に含まれる未チェックのバッファにより、コードが実行される (Q329048) で修正されている。
Lotus Notes R4、R5、R6 (pre-Gold)
Notes R6 のリリース版 (Gold) では修正されている。
Verity, Inc. KeyView viewing SDK
修正 patch が存在するようだ。サポートに問いあわせよう。
Aladdin Systems Stuffit Expander
Security Advisory APPLE-SA-2002-10-02 Stuffit Expander を参照。Stuffit Expander 7.0 で修正されている。
素直に言うこと聞くよりも裁判した方がおトクかも、と判断していいのかな。 裁判自体にどのくらいのお金がかかるのか、私にはよくわからないけど。
Apache にいくつかの弱点があり、 1.3.27 と 2.0.43 がリリースされた。
CAN-2002-0839 (Apache 1.3.x)
System V 共有メモリに基づくスコアボードを利用しているプラットホーム (ってどこ?) で問題が発生。Apache UID でコマンドを実行可能な local user が Apache を DoS 状態にできる他、 任意のプロセスに対して root としてSIGUSR1 シグナルを送ることができてしまう。
詳細: [VulnWatch] iDEFENSE Security Advisory 10.03.2002: Apache 1.3.x shared memory scoreboard vulnerabilities。 PHP や CGI の実行を許可しているサイトで特に注意が必要の模様。
CAN-2002-0840 (Apache 1.3.x, 2.x)
UseCanonicalName が off で、かつ DNS でワイルドカード '*' を利用している場合に、Host: ヘッダによって、 デフォルトの 404 ページでクロスサイトスクリプティング問題が発生。
詳細: Apache 2 Cross-Site Scripting。指摘者は 2.x の問題としているが、1.3.x にも同様の問題が発見されているようだ。
A vulnerability exists in the SSI error pages
かつ
A few browsers (Internet Explorer for example), decode escaped hostnames in
URL components
という環境で問題になる、のかな。
CAN-2002-0843 (Apache 1.3.x)
添付プログラム ab (Apache HTTP server benchmarking tool, src/support/ab.c) に問題。 悪意ある web サーバが ab を overflow させ、ab 実行権限で攻撃コードを実行可能だとされている。
この他にも、Apache 2.0.43 では
Prevent POST requests for CGI scripts from serving the source code
when DAV is enabled on the location
という変更がなされているそうだ。
麗美さん情報ありがとうございます。
うわぁ、しかP さんと office さんの間だ。まだなにもできてないのに。
とか言ってる間に W32/Opaserv-B 登場の模様。 Bugbear に関する情報 の方にも追記してあります。
[aml 30212] コカコーラはアフリカで10万人のコカコーラ・ファミリーにエイズ対策を!。 コカコーラに「優良企業の見本」になってほしい、という意図なのかな。
プレビューだけで感染する「BugBear」ウィルスに注意 (INTERNET Watch)、 Bugbearウイルス被害が拡大 (ZDNet)。 手元では Klez なみと言うにはほど遠い検出量ですが、世の中的には流行っているのかなあ。 シマンテック は危険度 4、 F-Secure レーダーでは 1 になってますね。
Opaserv / Opasoft / Scrups も流行っているようで: 感染警報VAC-2 ハッキング活動を行うワーム 「WORM_OPASOFT.A」(オパソフト) 〜企業を中心に国内感染被害多数、無償駆除ツール提供〜 (トレンドマイクロ)、 トロイの木馬「Opasoft」に注意、企業などで情報漏えいの恐れも (INTERNET Watch)。
どちらも トレンド システム クリーナVer.3.0(TSC) (トレンドマイクロ) で駆除できるそうです。
真に必要なのは「脆弱性の開示ルール」ではない (ZDNet)。 新たにつくったところで、それが機能するという保障なんかどこにもないと思うが。そもそも、その「中立組織」の運営資金はどこからふんだくってくるつもりなの?
とうとう富士通HDD問題がHDD/DVDレコーダに波及,東芝の「RD-2000」で、 Maxim社が封止材による不具合をいち早く告知,問題はセットトップ・ボックスにも飛び火か (日経 NE ONLINE)。 どこまで広がるのか。
Outlook Express for Mac の MS02-050 問題修正版が登場しています。 このあたり から入手できます。 まだ出てないのは Office for Mac, Windows XP 64bit 版。
住基ネットの“効果”に疑問(下) (日経 IT Pro)。
Stuffit Expander 6.5.2 以前に弱点。 長大なファイル名のファイルを含む .zip アーカイブを展開する際にバッファオーバーフローが発生するため、悪意ある .zip アーカイブを利用して、展開するユーザの権限で任意のコードを実行させることが可能。 1999.11.08 のLhasa ver0.13 bufferOverflow Exploit のような話なのかな。
石川さんによる翻訳版: [harden-mac:0131] APPLE-SA-2002-10-02 Stuffit Expander とフォロー: [harden-mac:0132]。
Stuffit Expander 7.0 にはこの弱点がないので入れかえればよい。 とされているのだが、7.0 にはいささかよくないウワサがあるらしい: [harden-mac:0133] [macosx-jp:12985] [macosx-jp:12988] 。 7.0J 版はまだないらしい。ちょっと様子を見ておいた方がいいかもしれない。
というものの、 [harden-mac:0134] にあるように、この弱点を利用した攻撃は現実に可能だ。 様子を見ている間にヤラれるとシャレにならないので、 2002.01.28 番外編:Mac file execution vulnerability に示されている対策は施しておこう。 「必須ではないが有効な対処」に Stuffit Expander 話もある。
CERT/CC VU#383779。
2002.10.07 番外編: 『Security Advisory APPLE-SA-2002-10-02 Stuffit Expander』について (vm_converter 氏)。 Stuffit Expander 7.0 は、新しめのものだと、bzip2 や binhex が伸張・展開できない問題が修正されているようです [macosx-jp:12995]。 が、まだファイル展開時に文字化けすることがある問題が残っているようです [macosx-jp:13004] [macosx-jp:13006]。
OpenUp というものがあるのですね。知りませんでした。
富士通HDD不良、対策遅れ他製品へ波及懸念 (日経 BizTech)。
[aml 30188] 11.16 国際集会・行くところまで行きついたイギリス監視社会の実態。 監視社会先進国イギリスに学ぶ。 2002.11.16 文京区民センター、1,000 円。
PuTTY 0.53 が出ています。
MS ISA 教育機関向けページ (Microsoft)。 半径 50m 以内にも ISA 2000 を使っていた部署があったが、いろいろとトラブルに見舞われ、結局 PC UNIX + squid にしてしまったらしい。 本当に ISA が悪かったのかどうかは知らないけど。
そういえば squid 2.5-STABLE1 を入れナイト……。
住基ネットの“効果”に疑問(上) (日経 IT Pro)。 利益、はもちろんあるんですよね。行政側には。 あ、あと受注した企業にも、かな。中間マージンぼったくり企業とか。
bi01p1.nc.us.ibm.com [129.33.49.251] から Nimda 来てますけど、だいじょうぶなんですかねえ。
Microsoft Exchange 2000 Server セキュリティ運用ガイド (Microsoft) が出ています。
「やせの大食い」解明 体の脂肪を燃やすたんぱく質発見 (asahi.com)。 おぉ! 早期実用化希望。切実に (^^;;)。
建造中の豪華客船で火災、依然燃えつづける 長崎 (asahi.com)。 MHI 長崎造船所じゃん。何があったんだ長船……。 最悪、全部捨てなんてことになるんだろうか。
GNU glibc Information for VU#738331。
2002-09-04 Roland McGrath <roland@redhat.com>
* resolv/nss_dns/dns-network.c (MAXPACKET): Increase minimum value from 1024 to 65536, to avoid buffer overrun.
というのが加わってるんですね。
手元にも Bugbear がぼちぼち流れてきてます。 Klez よりも少ないですが。
企業経営のためのネットワーク・セキュリティとリスクヘッジ、2002.10.11、仙台市市民活動サポートセンター、1,000 円。
警備員に付いて歩く現金護送ロボット セコムが開発 (毎日)。 Knight Rider のアレみたいなのがついててほしいような。ヒューンヒューン。 アレは サイロン兵 と同じ、という意見もあるが。
Knight 2000、自作しちゃったひと もいるみたいですね。
sendmail 8.11.6 以降に付属の smrsh に弱点。 smrsh による .forward 内起動コマンドの制限を、 2 つの方法で突破できてしまう。 修正するには patch を適用する。
CVE: CAN-2002-1165
sendmail 8.12.7 で fix されている。
Sophos AntiVirus 3.62 において、「Windows 環境で MailMonitor 及び他の SAVI 互換アプリケーション
」を利用している場合は 3.62 XRS 版を利用した方がよいのだそうだ。3.62 XRS は重要な情報ページから get できる。
3.61 以前、および UNIX 版など 3.62 の他のプラットホーム用では問題は発生しないようだ。
これまでの IE まわりの経緯を見ても、「XXX を FullTrust にしてください」なんて堂々と指定する人は出てくるんだろうなあ。
Bugbear & Opaserv (Scrups) ねたの他、Slapper の新たな亜種 2 つが登場という話。
指摘文: Delete arbitrary files using Help and Support Center [MSRC 1198dg]。 Windows XP SP1 で修正されている。
最後に、マイクロソフトは回避策の手順を公開すべきであったとの批評家からの意見もあります。具体的には、あるサード パーティの批評家により、お客様に当面の処置として 「ヘルプとサポート センター」 のファイルの 1 つを削除することが推奨されています。しかし、これは効果的な回避策ではありません。マイクロソフトは報告された特定の脆弱性を調査しただけではありません。マイクロソフトの通常の手順にしたがって、我々は関わりのある問題に関連する特徴や機能もチェックし、いくつかの問題を確認しました。これらのそのほかの脆弱性もまた、修正されたソフトウェアをインストールすることによってのみ、改善することができます。
というのは、指摘文の「Temporary solutions may be;
」以下の事を言っているのかな。
MS02-060: Windows XP 「ヘルプとサポートセンター」の問題によりファイルが削除される (Q328940) で個別修正プログラムが公開されている。
公の場での「スカートの中の撮影」に合法判決 (CNET)。 うーむ、そう解釈しますか。
ベル研究所の落日のナゾ (今日の必ずトクする一言)
の文書の日付ですが、
「文書ノ日付ハ季節感ニ基ヅク完成見込日ニシテ太陽系ノ運行トハ必ズシモ平行セズ
」だそうで (^^;;)。
実際には、June 29 の 1 か月ほど前に書かれたものだそうです。
杉原さん情報ありがとうございます。
リスクマネジメント最前線: 世論と付き合う秘訣(連載第9回)。 世間はキビシイ。
〈ヤマガタ+〉映画祭“Post Fiction!”in 関西 開催!。 『マニュファクチャリング・コンセント ——ノーム・チョムスキーとメディア』 も、もちろん上映されます。 (info from 異分子(仮) -dissident- チョムスキー・アーカイヴ日本語版 )
防災情報のページ に『内閣府(防災担当)作成のパンフレット「わが国の災害対策」』というのが出ていますね。いつからあったんだろう。下の方にあるから気がつかなかっただけかな。
vm_converter さんち や kawa さんち で話題沸騰 (?) の バーチャルネットハッカーっ娘 沙耶16歳。色使いがきれい。
沙耶さんちを見て、発作的に blockquote に色をつけてみたりしたのが昨日。 今日また色を変えてみたり。
そういえば、台風来てるんですね。 台風21号、関東・東海に接近 八丈島が暴風域に (asahi.com)。 8JO と言えばガンヘッド。 進路情報。
fetchmail 6.0.0 以前に弱点。いくつもの個所で buffer overflow する弱点があり、 悪意あるメール送信者により任意のコードを実行させることが可能だという。
fetchmail 6.1.0 で修正されている。from NEWS:
fetchmail-6.1.0 (Sun Sep 22 18:31:23 EDT 2002), 21999 lines: * Updated French translation. * Stefan Esser's fix for potential remote vulnerability in multidrop mode. This is an important security fix!
FreeBSD ports の mail/fetchmail は、最新状態では 6.1.0 になっている。
CVE: CAN-2002-1174, CAN-2002-1175。
元記事: Microsoft PPTP Server and Client remote vulnerability。 Windows 2000 / XP の PPTP クライアント / サーバに対して、remote から任意のコードを実行可能だ、としている。しかしそれ以上の情報はない。 fix 前に公開するのなら、いつ Microsoft に通知したのか、くらい書いてもいいと思うのだが……。
PPTP サービスの未チェックのバッファにより、サービス拒否の攻撃を受ける (Q329834) (MS02-063) が fix。
おなじみの MS01-020 穴を利用した攻撃メールに加え、ファイル共有を介しても感染する worm "Bugbear" が登場。これの影響で 137/udp scan が増えている模様 (incidents.org とか W32/BugBear malicious code (CERT/CC Current Activity) 参照) 。 バックドア + キーロガーなトロイの木馬を内蔵し、感染するとアンチウィルスやパーソナルファイアウォールを停止させようとするようです。
W32/Bugbear-A (Sophos)
WORM_BUGBEAR.A (トレンドマイクロ)
w32.bugbear (Symantec)
W32/Bugbear@MM (NAI) (森田さん感謝)
Tanatos (F-Secure)
しかし、Bugbear に関する情報 の「Internet Explorer についての対策」って、……。いやまあ、patch は全部適用したほうがいいのは確かですし、MS02-023 fix での「制限付きサイトゾーンでフレームを無効に」も有効なんですが、……。
Alert:New worms, be aware of internal infection possibilities (ntbugtraq) では同時期に登場した Opaserv (別名 Scrup) についても言及しています。これはファイル共有を介してのみ感染するようです。
匿名希望さん示唆ありがとうございます。
プレビューだけで感染する「BugBear」ウィルスに注意 (INTERNET Watch)
Bugbearウイルス被害が拡大 (ZDNet)
W32/Bugbear-A:情報と対処方法 (Sophos)
トレンド システム クリーナVer.3.0(TSC) (トレンドマイクロ) で駆除できるそうです。
Opaserv / Opasoft / Scrups 関連情報を分離。
ウィルス「BugBear」、世界規模で感染を拡大中 (INTERNET Watch)。
10月3日現在、シマンテックでは国内の感染数は14件としている。トレンドマイクロでは18時30分現在で68件。NAIでは、15件程度とのこと。世界でみると、シマンテックが3,391件、トレンドマイクロが8,368件と総計が1万件を越えており、
手元に届いているものも海外からばかりだし、(いまのところ) 海外で流行っているという理解でいいのかな。
関連: ISS Security Alert: Bugbear Hybrid Threat Propagation (ISS)、 Bugbearウイルスさらに猛威 (ZDNet)。 NAI も「危険度: 高」に評価を変更してますね。 シマンテックはすでに危険度 4、F-Secure レーダー警報レベルも 1 です。
……あ、.jp ドメインからも Bugbear が来た……。 ibmbcs.co.jp って アイ・ビー・エムビジネスコンサルティングサービス株式会社 なのかな。
ファイル共有を介して (のみ) 感染するそうです。
W32/Opaserv-A (Sophos)
W32.Opaserv.Worm (Symantec)
WORM_OPASOFT.A (トレンドマイクロ)
このワームに関しましてパターン355にて「BKDR_OPASOFT.A」の名称で一旦検出に対応いたしましたが、パターン357以降にて「WORM_OPASOFT.A」に改称いたしました。パターン355使用時とそれ 以降とでは検出名が異なりますのでご注意ください。
だそうです。
W95/Scrup.worm (NAI)
Opaserv (F-Secure)
感染警報VAC-2 ハッキング活動を行うワーム 「WORM_OPASOFT.A」(オパソフト) 〜企業を中心に国内感染被害多数、無償駆除ツール提供〜 (トレンドマイクロ)
トロイの木馬「Opasoft」に注意、企業などで情報漏えいの恐れも (INTERNET Watch)
トレンド システム クリーナVer.3.0(TSC) (トレンドマイクロ) で駆除できるそうです。
……とか言っている間に亜種 W32/Opaserv-B 登場の模様。
ウィルス「Opasoft」、被害拡大中でアンチウィルスベンダー各社が警告 (INTERNET Watch)。
9月30日に発見されたがその後日本で感染を広げている。日本での感染数は、シマンテックの報告では10月3日の13時時点で41件、トレンドマイクロの報告では15時45分時点で134件と被害が拡大している。全世界では、2,373件以上と報告されている。
関連: ISS Apache Advisory Response (CKlaus@iss.net)。 このような場合に、真に最適なのは、どのような行動なのでしょうね。 答えのない世界だよなあ。