Last modified: Thu Aug 26 20:34:20 2004 +0900 (JST)
Weekly SOC Report (ISSKK)。
CAがウイルス対策ソフトで低価格攻勢,乗り換え時はサーバー・ソフト込みで1ユーザー800円から (日経 IT Pro)。 注意点としては、eTrust Anti Virus は ユーザ数でのライセンス (機械の数ではない) というところでしょうか。一人数台環境ではおトクかと。
VIRUS BULLETIN 100 summary table (virusbtn.com) や "Bix XP" Anti-Virus Comparative Test 2003-01/02, Last Update: 2003-02-07 (pcmweb.nl) を見る限りでは、素性は悪くなさげ。 あとは新種ウィルスへの対応速度とか OS との親和性とかサポート全般とか、そういうところですか。OS との親和性については、評価版である程度チェックできるかと。
VB conference 2003 って、トロントなんですね。まだしばらく時間はありますが……。
加カルガリー大学がウィルス作成コースを開講へ (CNET)、 「ウイルス作成講座」に巻き起こる賛否両論 (ZDNet)。 アンチウィルスソフト作成コース、ならよかったんだろうなあ。
Windows Media サービス 4.1 に弱点。Windows Media サービス 4.1 に含まれる ISAPI エクステンション nsiislog.dll に buffer overflow する欠陥があり、これを利用してログを記録している IIS を停止させることができる。
……と Microsoft は言っているが、eEye の Marc Maiffret 氏は 任意のコードを実行可能である (実証済み) と言っている。問題を発見したのは eEye の Brett Moore 氏だ。 停止と任意のコードを実行可能ではずいぶん違う。両者の意見が食いちがっているのはなんでだろ〜♪
patch があるので、Windows Media サービス 4.1 利用者は適用すればよい。
CVE: CAN-2003-0227
任意のコードの実行が確認され、Microsoft の深刻度が「重要」に変更されました。
5 月28 日に、深刻度を警告でセキュリティ情報を公開しました。しかし、公開後に、攻撃者がこの脆弱性を悪用することで、任意のコードが実行される可能性がある事がわかりました。そのため、脆弱性の深刻度を重要とし、セキュリティ情報を修正いたしました。また、セキュリティ修正プログラムへの変更はありません。すでに適用済みのお客様は、再適用の必要はありません。
関連: [VulnWatch] Windows Media Services Remote Command Execution (発見者の Brett Moore 氏)。
IIS 4.0 / 5.0 / 5.1 に 4 種類の欠陥。次の表において、○は欠陥がない、△は欠陥があり修正プログラムが存在する、×は欠陥があり修正プログラムもないことを示す。
| 欠陥 | IIS 4.0 | IIS 5.0 | IIS 5.1 |
|---|---|---|---|
| リダイレクト時のエラーメッセージでのクロスサイトスクリプティング CAN-2003-0223 |
△ | △ | △ |
| SSI での buffer overflow CAN-2003-0224 |
○ | △ | ○ |
| ASP ヘッダーでの DoS 攻撃 CAN-2003-0225 |
△ | △ | ○ |
| WebDAV の PROFIND / SEARCH による DoS 攻撃 CAN-2003-0226 |
○ | △ | △ |
修正プログラムがあるので適用すればよい。なおこの問題は IIS 6.0 にはない。
Apache 2.0.46 登場。Apache 2.0.x 利用者は入れかえよう。
Apache 2.0.37〜2.0.45 に欠陥。mod_dav などを契機として、ある状況で crash してしまう。これにより、remote から DoS 攻撃を実行可能。
UNIX 上の Apache 2.0.40〜2.0.45 に欠陥。 BASIC 認証モジュールに欠陥があり、remote から DoS 攻撃を実行可能。
Fixes several potentially hazardous integer and buffer overflows
というあたりが、たぶん
PHP ねた
とかの fix にあたるのではないかと。
PHP 4.3.2 リリース (slashdot.jp)。
だから原稿書け > 俺。
カルガリ大学のウイルス作成コースは無責任 (sophos)。 大学生は子供じゃない……と思いたいなあ。 実際には……子供もいるけどさ。教職員含めて、ね。 やっぱ危険ですか?
日経コンピュータ 2003.6.2 p.14「見えてきた IC タグの問題点」。 プライバシーのプの字もない、ところがとても素敵。
同じく p.22『電力不足で「輪番停電」が必至に』。本当に足りないのか? という点については何の検証もされていない、ところがとても素敵。
Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018) と Windows Media サービスの ISAPI エクステンションの問題により、サービス拒否が起こる (817772) (MS03-019) は明日書きます。Microsoft によると、MS03-019 は「警告」「これはサービス拒否の脆弱性です」になっていますが、 eEye の Marc Maiffret 氏によると exploit 書ける (実証済み) だそうなのでご注意あれ。
PSEサービス (NAI)。 WebShield Appliance は、この 2003.05 出荷分からにしか PSE マーク対応の電源コードが付属していないのだそうで。 PSE マーク非対応品の利用者に PSE マーク対応品を送付する「サービス」だそうです。
VirusScan Enterprise 7.0 マイグレーションセミナー用資料が ダウンロード可能 になっています。
平成14年度活動報告 (IPA ISEC)。
SpamAssassin インストール。perl から入れかえる必要があったのでちょっと苦労。Microsoft からのメールが楽しみだなあ。 ……とりあえず「マイクロソフト セキュリティ情報」については SpamAssassin を通過しているようだ。
……http://www.fkimura.com/SpamAssassin0.html のように対処する手もあったのか。 でも力技で全部 perl 5.6.1 ベースにしちゃったからなあ (苦笑)。
地震時の情報収集・伝達システムにトラブル多発 (slashdot.jp)。 だめすぎ。こういうだめだめ状況にならないように、きちんとやってください > e-Japan II ↓。
「e-Japan戦略 II」パブリックコメント募集中 (slashdot.jp)。 結局はハコもの、「IT 公共事業」にしか見えないなあ。
「重複投資は徹底排除、行政の透明性を高め、民の参画を促進」(p.22)。 とりあえず、IT セキュリティ方面での総務省系と経産省系の重複投資 (重複口出し?) をなんとかしてください。そのくせ、ぜんぜん投資されてない方面だっていっぱいあるわけで。
トラブル・メンテナンス速報 に掲載されています: 「818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できない」。どうやらアンインストールできるようです。
パフォーマンス問題を改善した、 Windows XP SP1 用新 patch 登場。 こちらからどうぞ。 (念のため、テストしましょうね)
Windows XP にも欠陥があることが明らかとなった (結局 NT 4.0 / 2000 / XP 全てに欠陥があった!)。Windows XP 用 patch もリリースされている。 こちらからどうぞ。 (念のため、テストしましょうね)
また、マイクロソフトセキュリティ情報 (MS03-007) :よく寄せられる質問 に、次の記述が追加された:
Windows XP で動作する IIS 5.1 もこの脆弱性の影響を受けますか?
いいえ、影響を受けません。ユーザーによって IIS 5.1 がインストールされた場合、 IIS 5.1 で WebDAV がサポートされますが、内在する ntdll.dll の Windows XP のバージョンは、WebDAV の攻撃の影響は受けないため、攻撃者はこの脆弱性を悪用することができません。しかし、IIS がインストールされていない場合でも、攻撃者はコンピュータに対話的にログオンする必要がある攻撃の方法などにより、内在する脆弱性を悪用する恐れがあります。
IIS + WebDAV 経由ではない攻撃があり得る事を Microsoft も確認した模様。
Microsoft DRM 話。
この機能を利用するとファイルにアクセス制限を与えるユーザーをメールアドレスで指定し(ただし、.NET Passportか会社などのネットワークユーザーアカウントに対応している必要がある)
結局は Passport なのか。Passport に登録してあるアドレスを公開したくない人には使えないシステムだな。Passport に複数のアドレスを登録できればよいのかな。 (現状ではできないというか、1 ユーザに 1 つ、でしたっけ?)
権利制限付き文書 (中略) を作成できるのは、現状ではInformation Rights Management(IRM)機能が有効になっているOffice 2003だけだ。
Office System 2003 に upgrade する必要があるようで。魅力 90% 減 (当社比)。
PukiWiki 1.3.4 以前にクロスサイトスクリプティング欠陥が発見され、PukiWiki 1.3.5 で修正されたそうです。 玉岡さん情報ありがとうございます。
821817 - ActiveX の実行ダイアログを表示すると他アプリケーションへの切り替え表示ができなくなる (Microsoft)。 IE のバグ。
女性を守る8万ボルトの電気ジャケット (WIRED NEWS)。びりびり。
欧州宇宙機関、独自GPS「ガリレオ計画」開発へ (毎日)。めでたい。
TTSSH 日本語版、TTSSH 1.5.4 日本語版 1.4 (build 153) が登場しています。 OpenSSL 0.9.7b 対応だそうです。
[aml 34232] Fwd: [TUP-ML] TUP速報94号 03年5月27日 アフガン人の体内から異常に高レベルのウラニウム。
「99年に行った、91年湾岸戦争従軍兵士の調査結果に比べて100〜400倍という、異常に高いウラニウム同位体を検出」したという。
妊娠中にディーゼル排ガス、子ネズミ花粉症に 都が実験 (asahi.com)。
住基ネット: 長野県に離脱求める 審議会報告案 (毎日)、 長野県が住基ネットから離脱へ。住民データの保護が保証できない (日経 IT Pro)。 長野県 web ページには 長野県本人確認情報保護審議会 委員名簿 (長野県) しかないのかな。 ……長野県本人確認情報保護審議会 (長野県) にあるそうです。匿名希望さんありがとうございます。
これですか: 【東北地方地震】 秋田県副知事、地震発生後30分間パチンコ店に (asahi.com)。 よほどパチンコが好きなのかな。
日本電気(NEC) 〜 10万台規模のウイルス対策を茫漠化させないための例え話による啓蒙 (NAI)。
2003年3月現在で、NECの社外とのメールの送受信の総量は一日平均約100万通です。NECから社外に発信される約40万通のうち、ゲートで捕獲されるウイルスは一日約30〜35通ぐらい、つまりパーセンテージにして約0.007%です。
平成15年宮城県沖を震源とする地震について(5月28日7:00現在) (内閣府防災部門)。女川原発は再起動したのですね。まだ一部に通行止めや運休な個所・鉄道もあるようで。時系列の対応状況記述が興味深いです。
カナダのBSE感染牛、ドッグフードの可能性 (CNN)。ドッグフードならいいんですか?
93年のノドン2発同時発射だった 北の亡命技師が中日新聞に証言 (中日新聞)。
(小島注: 亡命技師は) 日本は自国の安全保障のため、北朝鮮の重要情報を持つ亡命者の受け入れ態勢を整えるべきだと述べた。
まっとうな意見だろう。
新型肺炎: 患者家族ら3400人以上隔離 トロント (毎日)。 すごい状況だなあ、と他人事モードでいられるのは幸せなことなのですよね。 今後どうなることやら。
というわけで、時節柄、小松左京の復活の日を読んだりしたわけですが、すばらしい。 さすが小松左京。映画 復活の日もまた見たいなあ。音声解説がおもしろいらしいし。
警察官8千人が職場復帰 イラク (産経)。 これで治安が回復するといいのですが。
web ブラウザ自身では対応できなさそうっぽかったので、Web Bug についてあらためて調べていたのですが、調べた限りでは Privacy Foundation がいちばんまとまってるっぽかったです。 IE といっしょに使える対抗ソフト Bugnosis も配られています。あと、いまどきの商用 personal firewall ものには Web Bug 対応機能が含まれているようです。
Bugnosis って、今は配布が中断されているんですね。(T_T)
手抜きモードですんません。
4.14 で直っているそうです。
SQL Server / MSDE 2000 SP3a ねた。MSDE 2000 SP3a は、新規インストールのデフォルトでは UDP 1434 を listen しない状態 (DISABLENETWORKPROTOCOLS=1 相当) で設定されるそうです [フォロー記事、Service Pack 3a for Microsoft SQL Server 2000 (Microsoft)]。
「単に見栄えのよいメール」としか認識されていないだろうしなあ。 セキュリティな話の続編が予定されている模様。
FastTrack というものは、日本でも使われているんですかねえ? ……あ、KaZaA が使っているのが FastTrack なんですか。
http://camera-ip//admin/img_general.shtml のように // すると認証がかからないそうな。 AXIS 2100 〜 250S までで影響するそうな。
Sun-ONE Application Server 7.0 for Windows 2000/XP に問題があるようで。 おまけに、開発元に連絡したけどなしのつぶてだったようで。
Windows Update からひっこめたというのは 818043 - L2TP/IPSec NAT-T Update for Windows XP and Windows 2000 のようです。そう、アンインストールできないというアレです。 記事からすると、Windows XP では Symantec のセキュリティソフトウェア (Norton 先生とかですかね) とけんかするみたい。Windows 2000 ではだいじょうぶ、なんですかねえ。 Microsoft トラブル・メンテナンス速報 には何も出てないようですが……。
関連: XPアップデートで接続障害、MSは即座に取り下げ (WIRED NEWS)、 Windows XPのアップデートソフトに問題 (ZDNet)、 ヤパーリソウイウコト? ((R)日記)。
トラブル・メンテナンス速報 に掲載されています: 「818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できない」。どうやらアンインストールできるようです。
ふつうの IPv6 屋さんは「P2P でつながる事が大前提。プライバシー? 知らん」という考え方のような気が。ふつう見かけるのは実名主義者で匿名主義者はほとんどいないような気が。dial-up とか NAT/NAPT は「排除しなければならないもの」だと思っているような気が。
一方で、ふつうのセキュリティ屋さんは「IPv6 なら P2P でつなげる? 冗談はよせ」なんて方向に話が進んだりするわけですが、両者の間にはオリオン腕とペルセウス腕の間くらいギャップがあるような気が。
いや、個人的には「P2P 大前提」でもぜんぜん構わないんですけどね。
……谷村さんから (ありがとうございます):
NAT の匿名性ですが、NAT router の実装によっては、address や port は変換しても、IP header の ID はそのまま保存するものがあります。その場合、NAT router から出てきた IP packet の ID を追跡すると、packet を送信元の計算機毎に分類することができるかもしれません。
以下、FreeBSD 4.7-STABLE (今年1月頃) を NAT router として用い、freefall.freebsd.org へ ssh 接続した場合の tcpdump の結果です。(長いと見にくいので最後の部分だけ)
NAT の内側
--- v --- inside NAT --- v ---
15:50:22.878875 192.168.1.4.56327 > 216.136.204.21.22: P 2586:2618(32) ack 4457 win 49232 <nop,nop,timestamp 6667583 499550866> (DF) [tos 0x10] (ttl 64, id 41051, len 84)
15:50:22.882551 192.168.1.4.56327 > 216.136.204.21.22: F [tcp sum ok] 2618:2618(0) ack 4457 win 49232 <nop,nop,timestamp 6667583 499550866> (DF) [tos 0x10] (ttl 64, id 6992, len 52)
15:50:23.079429 216.136.204.21.22 > 192.168.1.4.56327: . [tcp sum ok] 4457:4457(0) ack 2619 win 57920 <nop,nop,timestamp 499550894 6667583> (DF) (ttl 53, id 18723, len 52)
15:50:23.131404 216.136.204.21.22 > 192.168.1.4.56327: F [tcp sum ok] 4457:4457(0) ack 2619 win 57920 <nop,nop,timestamp 499550895 6667583> (DF) (ttl 53, id 18725, len 52)
15:50:23.132029 192.168.1.4.56327 > 216.136.204.21.22: . [tcp sum ok] 2619:2619(0) ack 4458 win 49231 <nop,nop,timestamp 6667608 499550895> [tos 0x10] (ttl 64, id 20498, len 52)
--- ^ --- inside NAT --- ^ ---
NAT の外側
--- v --- outside NAT --- v ---
15:50:22.883926 61.203.106.23.56327 > 216.136.204.21.22: P [tcp sum ok] 2586:2618(32) ack 4457 win 49232 <nop,nop,timestamp 6667583 499550866> (DF) [tos 0x10] (ttl 63, id 41051, len 84)
15:50:22.889668 61.203.106.23.56327 > 216.136.204.21.22: F [tcp sum ok] 2618:2618(0) ack 4457 win 49232 <nop,nop,timestamp 6667583 499550866> (DF) [tos 0x10] (ttl 63, id 6992, len 52)
15:50:23.077815 216.136.204.21.22 > 61.203.106.23.56327: . [tcp sum ok] 4457:4457(0) ack 2619 win 57920 <nop,nop,timestamp 499550894 6667583> (DF) (ttl 54, id 18723, len 52)
15:50:23.086177 216.136.204.21.22 > 61.203.106.23.56327: F [tcp sum ok] 4457:4457(0) ack 2619 win 57920 <nop,nop,timestamp 499550895 6667583> (DF) (ttl 54, id 18725, len 52)
15:50:23.135438 61.203.106.23.56327 > 216.136.204.21.22: . [tcp sum ok] 2619:2619(0) ack 4458 win 49231 <nop,nop,timestamp 6667608 499550895> [tos 0x10] (ttl 63, id 20498, len 52)
--- ^ --- outside NAT --- ^ ---
TCP の中身を突き合わせてみると分かりますが、IP の ID (行末のカッコ内に記述) は保存されています。
NAT router で ID を変換するとしたら... fragmented packet に対して同じID を割り当てられるように、何か状態を持たせないとまずいでしょうねぇ。
力武さんから (ありがとうございます):
高木さんの5月25日の日記の話を、小島さんのsecurity hole memoのページで見て、そこに私の話が出ていたのでメールしました。
まず、私もIETFにはなるたけ近寄らないようにしています。時間の無駄になりそうなので。
また、昔々 ngtrans に書いた話ですが、あれは full inclusion と private address は矛盾しないという主張で、IPv4ではアドレス空間を分断する運用形態が一般化した以上、IPv6でも同様のことが起こるだろうし、アドレスの一意性は追求しても意味がないのではと思っていたのでした。ただし、IPv6の中である領域は無条件にIPv4だと言い切ることは可能だろうと思っています。その言い切ったアドレスがprivateであるかないかを関知する必要はない、といいたかったのですが、伝わったかどうか。
で、IPv6のアドレスについてですが、128bitだからといって本当に一律に追跡可能なのかというのをまず疑う必要があるでしょう。あらゆるプロトコルレベルのアドレスは書換え可能ですしね。MACアドレスだって一意ではない。なりすましの防御はハードの対タンパー性(書き換え可能になっているものは論外)以外に依って立つところはないのではないでしょうか。そもそもhost local, link local, site localなどの通用範囲がglobalでないアドレス領域があることは一般の人達には理解されているのでしょうか。
高木さんも書いてますが、信頼性とプライバシーの両方を考えたアプリケーションであれば、IPアドレスになんか依存しては絶対にいけないはずです。アドレスはそもそもIPv6では「変わる」かつ「多重定義される」ものなので、それで「利用者の認証」をするというのにはかなり無理があるでしょう。(IPv4ですらそうなんですからIPv6でそうならない理由はありません。)
私自信はまあ別に世の中が unified address space になっても困りませんが(そういう運用をしていますから)、そうなったときはどこもかしこも攻撃し放題というのはもっと叫んでおく必要があるかもしれません。
というか、なぜアンインストールできない patch というものが存在できるのでしょうね……。
「MS03-010 patch を適用すると不具合」話の日本語 KB を追加。
いろいろ (真紀奈17歳さん)。すると何だ、たとえばこのページが 「バーチャルセキュリティへげへげねーちゃん メモ 18 歳」 とかになって、ねーちゃんのイラストか何かが top に出ていると 「会社で見ると大丈夫じゃない」 とか言われるわけか。 それってなんか変だと思うし。
巧妙化する PayPal 詐欺 (japan.internet.com)。やっぱもうかるんだろうなあ。
Windows XPなどでエクスプローラの項目を右クリックするとハングする不具合 (INTERNET Watch)。 Windows XP では「パフォーマンスを優先する」ラジオボタンを選択しているので気がつきませんでした。LUNA インターフェイス? 何ですかそれは?
Virtual Disk Driver が更新されています。
スパマーに重罰を——ついに動くか米議会 (ZDNet)。 そういえば monyo さんが spamassassin を導入 されたそうで。 手元でも、SPAMメール対策2(spamassassin) (siscom.or.jp) あたりを真似てやってみようかなあ。
bsfilter というものもあるそうです。
OCNレンタルサーバサービスに情報漏洩など複数のセキュリティ問題(2003.5.26) (netsecurity.ne.jp)、 OCNホスティングサービス メール&ウェブ30,100,200をご利用の皆様へ お客さまコンテンツの安全性強化について (OCN)。 OCN って何使ってるんだろう。
……中満さん、鯉沼さん情報ありがとうございます。SGI IRIX のようですね。 IRIX で外向けサービスなんて、やっていいんですかねえ……。
IE 5.5 SP2 ダウンロード、2003.06.01 までです。
インターネット・オークションにおける盗品等の処分状況 (警察庁)。 2002.01.01〜2003.03.31 の集計。
3 特徴
(a) 複数回にわたり盗品等を処分している事例が多く(86%)、インターネット・オークションが盗品等の処分にとって容易な面があると窺われる。
(b) 被疑者の年齢が判明しているもののうち、約半数(44%)が少年による処分事例である。
(c) 処分された被害品が多岐にわたっており、いわゆるマニア向けの流通性の低い物品も処分されている。
うーむ、半分が少年犯罪ですか……。
そういえば昨日の地震、例によって電話が輻輳していたようですが、 もしかして、IP 電話は平気で通じていたりしたんでしょうか?
東北中心に強い地震 岩手・宮城など震度6弱 (asahi.com)。
802.11セキュリティ (オライリージャパン)、出たようですね。
米衛星ゴーズ9号、またトラブル 画像途絶える (asahi.com)。 うーむ、マズすぎます。
再圧縮されて対策ソフトを回避するウイルス「LovGate」亜種が登場 (INTERNET Watch)。つまり、こういうことですか? 「シマンテックのアンチウィルスソフトは、ウィルスを再圧縮した程度で検出できなくなってしまいますので注意しましょう。今回は個別対応致しました。」
認識が間違っていたらおしえてください。_o_
情報セキュリティ・マネージメントのポイント (日経 IT Pro)。 簡単にできれば苦労はないんですけどねえ。
Trend Microのスパム対策ソフトにバグ (ZDNet)。Trend Micro eManager 話だそうです。 Solution 14638: Antispam Rule 915 unintentionally blocks some legitimate emails scanned by Trend Micro eManager. (トレンドマイクロ)。
ウイルスバスター2003: Windows Updateが途中で止まる (トレンドマイクロ)。
現在、パーソナルファイアウォールをアンインストールするか、無効にすることで回避するという報告があります。
原因につきましては現在調査中です。
だから原稿書け > 俺。
GateMinder (NEC)。おいくらなんだろう。
管制障害: NECを2カ月指名停止、損害賠償も検討 国交省 (毎日)。
またプログラムを事前に十分にチェックしなかったとして同省の洞駿(ほらはやお)航空局長ら幹部3人を文書厳重注意処分にした。
それだけ? 国交省のテスト不足こそが根本の原因だと思いますけどねえ。 しかし、あいかわず NEC ホームページには何もないなあ。
究極の戦闘服を開発する研究所オープン MIT (毎日)。 めざせ○○戦隊実現?! (収納をどうする……)
個人情報保護関連5法が成立 (読売)、個人情報保護法が参院本会議で可決、成立 (毎日)。 成立してしまいましたとさ。 自民党のみなさんはおおよろこびなのでしょうねえ。 「政権交代後に改正」の王道を歩むしかありませんね。
“藤村遺跡”すべてねつ造、考古学協会が断定 (読売)。全てステ。
ミキサーに金魚を入れて展示するのは虐待か? (真紀奈17歳さん)。 宗教ものは根が深いなあ……。
SQL Server 2000 Service Pack 3a、MSDE 2000 Service Pack 3a について (Microsoft)。出たそうで。
新しいSP3a では、以前の SP3 から次の点が変更されています。
* SQL Server 2000 120 日間限定評価版への SP3a の適用が可能になりました。
* Microsoft Data Access Components (MDAC) version 2.71a を含んでいます。このバージョンは、814572 (英語) と 814410 (英語) に記載されている問題を修正しています。
* ネットワークが使用できない場合に、1434 ポートへのリスニングを行いません。
820575 - [OL2000] Internet Explorer 用の重要な更新 813489 のインストール後、Outlook Today をカスタマイズできない (Microsoft)。 きちんとした対応のためには Outlook 2000 側を直す必要がある、ということなのかな。
ハッキング横行、中国が狙われる理由 (ZDNet)。 ただただ完全に無防備、ですか……。
「マーケティングの問題児」Gatorを使っている企業は…… (ZDNet)。タダより高いものは……。
Windows XPに「RealOne Player」を導入するとパフォーマンスが低下する不具合 (INTERNET Watch)。RealOne version 2.0 ならだいじょうぶだそうです。
米国防総省、イラクのネットワーク復興にワールドコムを選択 (WIRED NEWS)。 当然、ワールドコムから官僚や政治家に金が流れるようになっておるのでしょう。
白田秀彰の「インターネットの法と慣習」第1回 そろそろ真面目に「法」について考えよう (WIRED NEWS)。 今回はイントロダクションですね。
「ハッカーの甲子園」でサーバー侵入の腕競べ 経産省 (asahi.com)、 政府主催のハッカー甲子園 (slashdot.jp)。
1チーム3人以内で、自分と相手チームのサーバーにあらかじめセキュリティー上の穴(欠陥)を開けておく。チームで防御を固めながら相手サーバーの穴を探して侵入、システムをコントロールできるかどうかを競う。
穴のあけ方をルール化するのって難しいと思うのだけど、だいじょうぶなのかなあ。もしかして、(ひみつの) 穴をあけるのも審判の仕事で、「同じ種類の穴が開いているので、それを発見・修復しつつ相手を攻撃してね」とか? でも patch はあげないから ダイナミックプロテクション (ISS) でなんとかしてね、とか? もちろん signature は自分で書いてね、とか?
あ、カミングアウトされてます: [port139ml:03330]。 よぅしわかった、犯人は……。
ユーロ紙幣が日立製ICチップを導入へ (slashdot.jp)。結局のところ、どのくらいの距離から ID を読み取れるのかによって話が全く違ってきてしまうのですよね。 μ-Chip (日立) 自身の仕様上の読み取り距離は
Maxmum Communication Length: about 25 cm (with an external antenna) (Reader: 300mW, 4 Pach Antenna, Circular Polarization)
だそうですが、たとえば応用製品である KIDS (KIDS Forum) の場合の読み取り距離は 10mm だそうです。
カナダ、北米で10年ぶりの狂牛病感染を報告 (WIRED NEWS)。 日本では結局、「ある特定の時期に産まれた乳牛」でしか確認されていない (原因: 農水省による肉骨粉屋の過剰な保護) という認識でよかったのでしたっけ?
ISS News メール (ISSKK)。6 月からだそうです。アドレス登録受付中。
原稿書け > 俺。
総務省が決めたセキュリティのガイドラインを参考にする方法もあったが、「内容が日々の業務に落とし込まれていないのでわかりにくかったため、独自でやろうと決めた」
現場で使えないポリシーですか > 総務省。まあ自治体によってバラバラなのだろうけどなあ。
確か奥天師匠が「DRM なかなかすごい〜」とおっしゃっていらっしゃったような気が。「それでは白浜の奥天さんを呼んでみましょう。白浜の奥天さん〜?」 (明日 rtsp://real2.aikis.or.jp/encoder/sccs.rm で見れるようです)。
RMS というとストールマン師を想起してしまってアレだなあ。
オリジナル: 犯罪発生マップ (警視庁)。 各種施設 (駅、建造物、……) を重ねるとおもしろいのだろうなあ。
すごい量のドキュメント……。
KB 821442: Q815485 適用後 WEP キーを使用してアクセスポイントに接続できなくなる (Microsoft)。 WPA を必要としない人 (大半の人は今のところ必要としないはず) は、815485 は適用しない方がよいのでしょう。
ひまわり5号引退、しかし... (slashdot.jp)。つなわたりがつづいております。
Port139 勉強会 (通称:ケーキオフ) の資料と様子が公開されているのですね。
PitSaw Documents (Japanese) (riken.go.jp)。たしかにおもしろそうです (info from けんのぼやき)。 (目が痛い件については、もうちょっと考えてから mail させていただきます > けんさん。_o_)
あらゆる個人情報を記録する米国防総省の新プロジェクト (WIRED NEWS)。 めちゃくちゃですなこの国は……。
Microsoft、ウイルス対策情報サイトを構築 (slashdot.jp)。 MSKK ではすでに、だいぶ前からアンチウィルスベンダー各社 (トレンドマイクロ、シマンテック、NAI) と協力体制にありますね。
DNS 関連技術情報 (JPRS)。 DNSSEC 関連 RFC の邦訳版あります。
NIDS SHOKI。 おもしろそうですね。
セキュアなインターネットサーバー構築に関する調査 (トラステッド OS 利用とセキュア Web プログラミング) (IPA)。 読まねば……。
米Gartnerが「企業でMicrosoft Passportは使わないように」と忠告 (日経 IT Pro)。
Palyh.A / Sobig.B ですが、2003年5月31日に活動を停止するように設計されてい (シマンテック) るのだそうです。 関連: Palyh ワーム、2003年5月31日に活動停止 (Sophos)。
【詳報】ジャパンネット銀行,相次ぐトラブルの真相が判明。即時バックアップは今後の課題 (日経 IT Pro)。
2003.05.14 の 「what_country.pl を、IP address っぽいところを IP address(CC) と書き換えるフィルタに変える diff」 に bug があったので更新: diff。
暗号技術大全 (amazon.co.jp)。Applied Cryptography、ついに邦訳成る。 もっとも、今では Practical Cryptography (counterpane.com) の方がいいのかもしれないけれど。 (どっちも読んでないので、よくわからん)
Internet Explorerがfile:// リクエストの際にゾーンを無視する (シマンテック)、 IEのパッチ公開前の脆弱性を突くトロイの木馬が発見される (INTERNET Watch)。
Red Hat fix。
Turbolinux fix。
Linux カーネルに 2 つの欠陥。
Linuxカーネル2.4にDoS攻撃に対する脆弱性 (ZDNet)
ルーティング情報のキャッシュの仕方に問題があり、うまくやれば、400 パケット/s 程度の攻撃パケットの送出により Linux カーネル 2.4 が DoS 状態になってしまう。
CVE: CAN-2003-0244
[Bug 703] New: Security vulnerability in "ioperm" system call
ioperm システムコールに問題があり、一般の local user が I/O ポートを読み書きできてしまう。デモプログラムが付属している。 ここでは kernel 2.5.69 と書かれているが、[RHSA-2003:172-00] を読む限りでは kernel 2.4.x にも同様の問題があるようだ。
CVE: CAN-2003-0246
Some vim problems, yet still vim much better than windows と同じような問題なのかな……。
各プラットホームの Java Media Framework (JMF) 2.1.1 〜 2.1.1c に、信頼できないアプレットが、crash したり、認可されていない権限を取得できたりする欠陥があるようです。 Java Media Framework (JMF) 2.1.1e 以降で修正されているそうなので、利用者は入れかえましょう。
security fix というのはこれのようです:
Security fixes. Add detection of %pipe% device when in SAFER mode. Also fix detection of 'renamefile' to prevent rename from a file that is not on the PermitFileControl list. (zfile.c [1.11.2.4.2.2]: 2003/05/17 14:28:33 ray)
明日はこのページの更新はありません。たぶん。
nai@surveysolutionsltd.co.uk という所から NAI Localisation Survey 2003 というメールが来ているのだけど、http://www.nai.com/japan/ には何も書かれてないし。これ、ホントなんですかね?
[aml 34141] アムネスティ日本が在日イスラエル大使に書簡。
本日 (小島注: 2003.05.19)、アムネスティ・インターナショナル日本は、イツハック・リオール在日イスラエル大使宛てに書簡を送付し、イスラエルが最近、たとえ殺傷されてもイスラエルに責任を問うことはしないという「権利放棄書」を、ガザ地区を訪問しようとする外国人に要求していることに懸念を表明しました。
Virtual Disk Driver (VMware の背中, info from [connect24h:5866])。すばらしいです。
そういえば、まだ VMWare 4.x をインストールしてない……。
中国情報システムサービス株式会社と中国通信ネットワーク株式会社の合併の認可 (総務省)。 株式会社エネルギア・コミュニケーションズですか。 エネルギア (NASDA) を想起してしまう名前ですが、いいのでしょうか……。
IRCネットワーク、Fizzerウイルス根絶へ前進 (ZDNet)。この問題を解決した、新型 Fizzer が登場したりして……。
MS/SCOのライセンス契約が持つ意味は? (ZDNet)。問題は、SCO が問題だとしている中身がいまだによくわからないってことだよなあ。アンチ Linux 側な企業の広報担当者にはその方がやりやすいのだろうが。ってことは、やっぱり裏には……。
プログラミング言語におけるセキュリティサポート: Rubyのケース (japan.linux.com, info from (R)日記)。
米MS、ウイルス情報提供で対策ソフト会社と提携 (日経 BizTech)。 Virus Alerts (Microsoft) というページがあるんですね。
セキュリティフライデー,Windowsネットワークを監視するツールを発表 (日経 IT Pro)。 1 セット 198,000 円だそうです。
Palyh に関する情報 (Microsoft)。 京大の次は武蔵工大か……。
802.11g機器をテスト 異機種接続とWEP負荷を測る (日経 IT Pro)。 もう買ってもいいのかなあ……。
jbeef さんの試されたコード が公開されたので試してみた。
Becky! にもこの問題があり、Ver2.06.02 で修正されたそうだ。
今度は電報だそうです。あの手この手できますねえ。 オリジナル: 電報を用いた債権取り立てへの対処方法について—身に覚えのない債権取り立ての脅迫電報の受け取り拒否等— (総務省)。
Mac OS X 10.2.6 では CAN-2003-0242 / Vulnerability Note VU#869548: Apple Mac OS X IPSec mechanism fails to handle certain incoming security policies that match by port 問題が修正されているそうです。
インドネシア国軍、アチェに大規模攻撃 (CNN)、 国連監視要員2人の「惨殺体」見つかる 内戦激化のコンゴ (CNN)。 うーむ……。
違法の香料使用の飲料17万本を回収 「キリンメッツ」、 コカ・コーラとアサヒも飲料回収 違反香料使用 (asahi.com)。 うーむ……。
マヨネーズ: Q熱の遺伝子を確認 健康への影響不明 金沢大 (毎日)。 うーむ、これはいったい……。
IIS Security and Programming Countermeasures の PDF 版 が出たそうで。 text / graphics 版。
米マイクロソフト、SCOからUnixの特許とソースコードをライセンス取得 (CNET)。ほほぅ。値段をつりあげるための訴訟だったのかなあ。
株式会社山武、ネットワークの不正アクセスを防止するベンチャー企業 「セキュリティフライデー株式会社」を社内ベンチャー制度で設立 (yamatake.com)。というわけで、http://www.securityfriday.com/jp/ ができています。大澤さん情報ありがとうございます。
パッチ適用状況のチェックにはHFNetChkPro/LTがおすすめ (日経 IT Pro)。 ♪ MBSA 1.2 がいまだに出ていないのはなんでだろ〜 (なんでだろ〜) いまごろはとっくに出てなきゃいけないはずなのになんでだろ〜 (なんでだろ〜) ♪
台湾メディア反発 SARS問題、本紙記者らの質問で (asahi.com)。 人権感覚麻痺メディアばかりなのか、それとも個人情報保護法への援護射撃なのか。「本紙記者」も十分頭痛ものだが、「別の日本人記者」って、どこの記者なんだろう。裏を取った上での質問ならまだ理解できるが、そんなわけではないのだろうなあ……。
the Microsoft Conference + expo 2003 レポート (ZDNet)。 大阪は 2 か月も先なんだよなあ。
W32/Palyh-A (sophos / トレンドマイクロ / NAI / シマンテック / F-Secure)。 手元にもきました。ご注意あれ。 もしかして、対応できてないのって NAI だけですか? ……あ、ウィルス定義ファイル 4265 出たようです。
映画「マニファクチャリング・コンセント: チョムスキーとメディア」上映会 (rootless.org)。 岩手 5月18日(日) は終ってしまいましたが、広島 5月24日(土) もあるぞ。未見の方はぜひ。アクビさん情報ありがとうございます。
ちょっとした騒音から逃げる方法 (ZDNet)。ほしい。
手元の Netscape 7.02 for Windows 日本語版では、デモプログラム は「ポップアップウィンドウを許可する」ラジオボタンを選択するとうまく動いてくれた。 このとき、詳細 → スクリプトとプラグイン の [Web ページを許可する] は、次のもののチェックは外していた:
手元の Mozilla 1.3.1 for Windows では、デモプログラム は Allow popups ラジオボタンを選択したうえ、Advanced → Scripts & Pugins の [Allow scripts to:] を全てチェックしてもうまく動いてくれなかった。
jbeef さんの試されたコード (slashdot.jp、匿名希望さん情報ありがとうございます)。 試してみた。「ポップアップウィンドウを許可する」を有効にした状態で Netscape 7.02 for Windows では再現するが、Mozilla 1.3.1 for Windows では再現しない。うーん……。
りそなHD、1兆円規模の公的資金注入を要請 (asahi.com)。
03年3月末の連結自己資本比率が、健全性の基準の4%を下回る方向となったためだ。
VirusScan ASaP ですが、 2.7 beta ではエンジン 4.2.40 になっているそうです。 玉岡さん情報ありがとうございます。6 月中旬までβテストのようなので、製品が出てくるのは 7 月くらいになっちゃうんですかねえ。
産廃業者の行政処分情報をネットで公開へ 環境省 (毎日)。
Telecom-Isac Japan。 右から左に情報流すだけなんだろうか。
「情報漏洩への集団訴訟が企業の脅威に,補償1億円の備えを」とAIG保険 (日経 IT Pro)、 ネット保険に求められているのは“加害者リスク”に対する補償 (INTERNET Watch)。 もうかりまっか? (info from port139 ML) (link fixed: 森田さん感謝)
[aml 34095] 転送:注目!外務省サイト「職員エッセイ」。 思い出した言葉: 「太鼓持ち」。
出会い系サイト規制法案、対象サイトの基準判明、 衆院委で出会い系サイト規制法案可決 なりすましの被害発生も、 出会い系サイト規制法案 衆院で可決 (毎日)。
オープンな「スパムの通り道」を閉鎖せよ (ZDNet)。
米当局関係者は5月15日、米ダラスで開かれたイベントで、オーストラリア/カナダ/日本の当局との協力の下、世界の1000台以上のメールサーバ運営者に対し、オープンリレーは「消費者、司法当局、そしてあなたがたの組織に問題を引き起こすものだ」と警告する書簡を送ったと述べた。
過去形なのね。
マイクロソフトのWindows Server 2003、課題はやはりセキュリティ (CNET)。
Windows NT Server 4.0に比べて攻撃対象となる部分を約60%減少させることに成功したという。
40% も残っているんですか。なぜわざわざ NT 4.0 と比べるかもよくわからない……。
DoS もののようです。Response Time Reporter (RTR) responder が有効な場合のみ、この欠陥の影響を受けるそうで。
HTML 版:
text 版:
[SECURITY] [DSA-305-1] New sendmail packages fix insecure temporary file creation
日本語訳: [debian-users:37108]
sendmail に含まれるスクリプト expn, checksendmail, doublebounce.pl の一時ファイル処理に欠陥があるので修正。
[SECURITY] [DSA-303-1] New mysql packages fix multiple vulnerabilities
日本語訳: [debian-users:37109]
[SECURITY] [DSA-302-1] New fuzz packages fix buffer overflow
日本語訳: [debian-users:37022]
[SECURITY] [DSA-301-1] New libgtop packages fix buffer overflow
日本語訳: [debian-users:37021]
CVE: CAN-2001-0928
[SECURITY] [DSA 299-1] New leksbot packages fix improper setuid-root execution
日本語訳: [debian-users:36995]
[SECURITY] [DSA 300-1] New Balsa packages fix buffer overflow
日本語訳: [debian-users:36996]
CVE: CAN-2003-0167
[SECURITY] [DSA 298-1] New EPIC4 packages fix DoS and arbitrary code execution
日本語訳: [debian-users:36958]
[SECURITY] [DSA 294-1] New gkrellm-newsticker packages fix DoS and arbitrary command execution
日本語訳: [debian-users:36859]
CVE: CAN-2003-0205, CAN-2003-0206
[SECURITY] [DSA 292-1] New mime-support packages fix temporary file race conditions,
[DSA 292-2],
[DSA 292-3]
日本語訳: [debian-users:36835],
[debian-users:36843],
[debian-users:36944]
[RHSA-2003:174-01] Updated tcpdump packages fix privilege dropping error
CVE: CAN-2003-0194
[RHSA-2003:172-00] Updated 2.4 kernel fixes security vulnerabilities and various bugs
[RHSA-2003:160-01] Updated xinetd packages fix a denial-of-service attack and other bugs
CVE: CAN-2003-0211
[RHSA-2003:113-01] Updated mod_auth_any packages available
CVE: CAN-2003-0084
[RHSA-2003:093-02] Updated MySQL packages fix vulnerabilities
[RHSA-2003:133-01] Updated man packages fix minor vulnerability
CVE: CAN-2003-0124
[RHSA-2003:118-01] Updated mICQ packages fix vulnerability
CVE: CAN-2002-1363
[RHSA-2003:142-01] Updated LPRng packages fix psbanner vulnerability
CVE: CAN-2003-0136
[RHSA-2003:112-01] Updated squirrelmail packages fix cross-site scripting vulnerabilities
CVE: CAN-2003-0160
[RHSA-2003:032-01] Updated tcpdump packages fix various vulnerabilities
CVE: CAN-2002-1350 CAN-2003-0093 CAN-2003-0108 CAN-2003-0145
Debian fix, Red Hat fix。
Red Hat fix。
Debian fix, Red Hat fix。
Debian fix。
Vine Linux fix。
Vine Linux fix。
Safari 1.0 Beta 2 (v74) で修正されたようです [harden-mac:0413] 。
Red Hat Linux, Debian GNU/Linux patch 情報を追記。
Sophos さらなる改訂版登場。NAI VirusScan ASaP 情報。IRC 関連記事。
「日経システム構築」もいいが、むしろ「日経ビジネス」とか「日経本紙」あたりに掲載しないといけないんじゃないか? 経営層に「うちは大丈夫なのか?」と危機感をもってもらわナイト。 いくら言ってもムダなところもあるのだろうけど。
複数の IMAP クライアントに欠陥。リテラルサイズやメールボックスサイズが巨大な場合に、クライアントが crash したり、IMAP サーバから任意のコマンドを実行させたりできてしまう。欠陥のあるクライアント:
imap-2002b and Pine 4.53 are vulnerable. imap-2002c is fixed.
Evolution 1.2.4 is vulnerable. 1.3.2 (beta) is fixed.
Mozilla 1.3 and 1.4a are vulnerable. 1.3.1 and 1.4b fixed 1).
mutt 1.4.1 and Balsa 2.0.10 are "vulnerable". Doesn't look exploitable, don't worry too much about it.
Sylpheed 0.8.11 (including -claws) is "vulnerable". Just a crash, don't worry about it.
Outlook Express 6.00.2800.1106 was tested to be "vulnerable". Apparently just a crash. Fix is in next OE service pack.
Eudora 5.2.1 is vulnerable. No replies to bug report I sent.
Becky! にもこの問題があり、Ver2.06.02 で修正されたそうだ。
IE 6.0 SP1 上で任意のコマンドを誰でも簡単に強制実行させることができてしまう、という話。
オリジナル: Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! - UPDATED。これはもともと Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! [CRITICAL] がベースになっている。
http-equiv@excite.com 氏によるフォロー。web ページに <iframe src="fooware.exe"> を大量に書いておけば、それで十分と指摘している。デモプログラム: http://www.malware.com/forceframe.html。 最初はファイルダウンロードのダイアログが大量に出てくるが、しばらくすると、勝手に実行されてしまうようになる。手元の IE 6.0 SP1 でも再現できた。
攻撃者の web ページが「制限つきサイトゾーン」に含まれていれば、きれいに回避できる。また手元で試した限りでは、「ファイルのダウンロード」が無効であれば、IE は落ちてしまうもののファイルの実行は回避できるようだ。
IEに危険なセキュリティ・ホール,スクリプトを無効にしても攻撃を受ける (日経 IT Pro)
ブラクラ状態の後にダウンロードプログラムを強制実行するIE 6 (slashdot.jp)
Mozilla Firebird や Opera 7.11、Safari Beta2(v74) ではだいじょうぶの模様。ただし Opera 7.11 の場合、放っておくと無反応になってしまうそうな。 手元の Mozilla 1.3.1 でもだいじょうぶだった。
jbeef さんのおっしゃる
根本的な解決のためには、そもそも大量のウィンドウが現れること自体を防ぐべきではなかろうか。
は、そのとおりですよねえ……。
IEのパッチ公開前の脆弱性を突くトロイの木馬が発見される (INTERNET Watch)
なかなかよさげ? あとは値段と小型化ですかねえ。
「ハードウェアは十分信頼できる」という前提が崩された、ということなのかな。
[aml 34085] アムネスティ・セミナーご案内。 真実と正義を求めて〜人権侵害の傷跡とどう向き合うか〜。 2003.05.27、東京都渋谷区、500 円。
Process Explorer 6.0 が登場したそうです (info from (R)日記)
VirusScan Enterprise 7.0: 自動アップデートのリポジトリリストの編集においてUNCパスの設定が出来ません。 (NAI)。 妙な制限だなあ。
出会い系サイト規制法案、15日にも採決 衆院青少年委 (毎日)。 指摘された問題点は解決されないまま、与党の賛成多数で可決されてしまう予定のようで。「過剰な規制? それこそが目的よ」なのだろうなあ。 規制あるところ利権あり。
経産省、情報セキュリティー戦略策定へ (毎日)。 産業構造審議会情報経済分科会情報セキュリティ部会の設置について (経済産業省)。 よく見かける名前がたくさん。
リアルタイム検索に対応したLinuxサーバ用ウイルス対策製品「ServerProtect for Linux 1.2」を発表 (トレンドマイクロ)。 対応製品は Red Hat だけなのですねえ。
フランクス司令官を提訴 イラク人がベルギーの地裁に (asahi.com)。 有罪。というか、ちゃんと後始末しろよなあ > US。 イラクの治安・衛生ともに、あいかわらずひどい状態らしいじゃん。
露軍が「対米核攻撃」演習へ…露紙報道 (読売)。 冷戦時代ですら、ロシア (当時はまだソ連) 軍の稼働率は低い (ので実は宣伝されたほどには脅威じゃなかった (笑)) と評判だったわけですが、今はどのくらいの稼働率なんでしょうね。チェチェン方面でも、ろくに訓練できてないのでまともに戦えなかったという話が伝わってきていますが……。
「開かれた新聞」アンマン問題座談会 (毎日)。 新聞記者や空港の検査官ですらそれが不発弾であることを判別できないわけで……。 US がさんざんバラ撒いたために、そういうものがイラクにはゴロゴロ転がっている、と。せめて事後に掃除をしなさい > US。
事前登録のパソコンでしか取引できないという対策 (高木浩光@茨城県つくば市 の日記)。 素敵すぎます。このあたりの話って、金融庁あたりから指導なり指針なりが出ていても不思議じゃないと思うのだけど、各社のオンラインバンキングの認証方法がバラバラなところをみると、そんなものはないのだろうなあ……。
Suica券売機の履歴印字を試してみた (高木浩光@茨城県つくば市 の日記)。 このバラバラさかげんは、 各アプリケーション開発担当者のおもいつきでつくっているということなんですかねえ……。
[connect24h:5857] 第3回 TLEC 勉強会「入門 IPSec」、 2003.05.24 15:00-18:00、東京都渋谷区、無料。
[harden-mac:0387] Apple AirPort Administrative Password Obfuscation
AirPort (日本では AirMac) の認証機構においては、平文に毛が生えた程度のものが流れてしまうので、暗号化さていない通信路でやりとりすると盗聴できるよね、という話。特に、WEP がかかってない無線 LAN でやりとりすると、……。
SUMITOMO Electric ADSL Modem DoS Vulnerability
住友電気工業社 ADSLモデム MegaBit Gear TE4121C(以下、TE4121C)にDoSが成立する脆弱性を発見しました。
2004.07.02 に修正されていたそうです: 住友電工、イー・アクセス向けADSLモデム2機種の新ファームウェア (Broadband Watch)。 stm_d さん情報ありがとうございます。
Cisco Security Advisory: Cisco VPN 3000 Concentrator Vulnerabilities
Multiple Buffer Overflow Vulnerabilities in SLMail (#NISR07052003A)
Multiple Vulnerabilities in SLWebmail (#NISR07052003B)、 Re: Multiple Vulnerabilities in SLWebmail。
「連載は1番目から順に読むもの」[memo:5891] ということで、他の記事も示しておきます。
NAV 話つづき、Sophos 改訂版。シマンテック情報には ManHunt 用のシグネチャがついている [memo:5992]。そのまま snort で使えるのだそうだ [memo:5993]。
8.不正アクセス等の被害状況 の (2)被害の内容、はいただけませんね。 調査票では 「被害にあった件数」と「その内、何らかの対策をしてあった件数」の両方を問うているのに、「被害にあった件数」しか集計していないなんて。
無料電子メールの開示困難、悲しみ深い家族 ネット自殺事件 (毎日)。うぅむ……。
「無線LAN相互接続実験報告書」 (JNSA)。EAP-TTLS よりも PEAP の方が現実的なのかなあ。
不正アクセスの発信地の国別統計をとろう! (u-tokyo.ac.jp, info from [connect24h:5848])。すばらしい。 せっかくなので、 what_country.pl を、IP address っぽいところを IP address(CC) と書き換えるフィルタに変えてみた: diff。 そのへんのてきとうなログファイルを通してみませう。
link fixed: 園田さん、はせがわさん他 1 名の方感謝。
(Secure) SHell FileSystem Linux kernel module (shfs/sshfs) というのがあるのですか。 (info from [TechStyle Newsletter:2003-05-14])
明治製菓、未殺菌商品の混入で「銀座カリー」の一部を自主回収へ◇ロイター (日経 BizTech)。
対象となるのは賞味期限が2005年3月5日と3月6日の「銀座カリー‘吟撰’中辛」5万4840個。
Name service error for canon-soft.co.jp: Host
found but no data record of requested type
ですか……。see-u.jp さんも同様みたい。
……canon-soft.co.jp さんは明日直ったようです (笑)。 いやまあ、serial は別に日付って決まったわけじゃないですけどね。 らむじぃさん情報ありがとうございます。
cdrtools に含まれる cdrecord に format バグがあり、local user が root 権限を奪取できる、という指摘。patch が示されている他、cdrtools 2.01a14 で修正されているそうだ。
Opera 7.11 for Windows 登場。
exploit 情報を分離、追記。
Sun JRE 1.4.1_01 および 1.3.1 系全てには Java Applet が DoS 攻撃を受ける欠陥があるよ、ということかな。1.4.1_02 で修正されているそうなので、java.sun.com から get しませう。さきほど登場した Opera 7.11 の Java つき版も 1.4.1_01 だそうなのでご注意。
LV
4.49.4 以前に欠陥。
LV はホームディレクトリ上だけでなくカレントディレクリ上の設定ファイル
(.lv) を読み込んでしまう。LV には
-E'
このため、悪意ある .lv が設置されたディレクトリ内で v コマンドを起動すると、.lv で設定されたエディタコマンドが実行され、ファイルの削除や転送などが可能となってしまう。 さらに、lv 実行者が root 権限保有者の場合、local user が root 権限を取得できてしまう。 効果については、たとえば .lv に
-E'rm -f %d'
とか
-E'chmod 4755 /bin/sh'
と書いて実験してみればよいだろう。
LV 4.49.5 では、カレントディレクリ上の設定ファイルを読み込むのは MS-DOS のみになっているが、MS-DOS ならよい、という問題ではないと私は思う。 それとも、MS-DOS では -E オプション自体が無効化されているのだろうか。
Debian Bug report logs - #190941 - lv: possible local root exploit using config files (debian.org)
CVE: CAN-2003-0188
Red Hat Linux:
[RHSA-2003:169-01] Updated lv packages fix vulnerability
Debian GNU/Linux:
[SECURITY] [DSA-304-1] New lv packages fix local privilege escalation
日本語訳: [debian-users:37107]
新BIOSでパソコンが変わる? (日経 BP)。「HDD データ完全消去機能」が BIOS レベルで標準装備されるとかなりうれしいのだけど、どうなるかなあ。
IEとスクリプトの“危険な関係” (日経 IT Pro)。
senderbase (info from [janog:04767])。
SenderBase is a free email reporting service designed to help email administrators research senders, identify legitimate email and block spam.
Yahoo! おそるべし。
無線LANの新セキュリティ規格「WPA」は安全? (日経 IT Pro)。 とりあえず WEP よりはましっぽい。
Windows Server 2003 の DNS サーバは RFC2671: Extension Mechanisms for DNS (EDNS0) (日本語訳) に対応していてデフォルトで有効になっているが、ファイアウォールなどネットワーク機器によっては EDNS0 に対応していないため、トラブルが生じる。この場合は、Support Tools に含まれる dnscmd を利用して
dnscmd /Config /EnableEDnsProbes 0
として EDNS0 対応機能を無効にすればよい、という話。関連情報として以下があるそうです:
Solaris fix。
メモリースティック版 PUPPY の情報を追記。こうちさんありがとうございます。
NAI の場合、スキャンエンジンのバージョンによって対応状況に違いがあることを追記。
このウイルスを検出するには4.1.60以上のエンジンが必要ですが、ウイルスを除去するには4.2.40 エンジンが必要です。AVERTでは全てのユーザ(企業/個人問わず)に対して、早急にエンジンを4.2.40にアップデートして、このウイルスに対応することを推奨いたします。
トレンドマイクロシステムクリーナ、NAI Stinger、F-Secure 無償駆除ツール情報を追記。 シマンテックは日本語情報に置きかえ。NAV ウィルスデータ話 (yutaka さんありがとうございます)。
防衛庁記者クラブから見た有事法案 (jca.apc.org)。
いま有事法案が成立したとしても、自衛隊は有効な活動はできないと制服組は考えています。(中略) 話を聞いた制服組の専門家は、いまの法案は一国で戦っているイメージでしかない、相手国があって、なおかつ国際社会が見つめていることを全く考えていない、と言います。
個人的には有事法制は必要だと思うのだけど、どうせ作るのなら、ちゃんと使えるものにしてくれナイト。中途半端なものをつくるくらいなら、現状の自衛隊法でも十分なのだし。
去年の暮れごろから、警察と自衛隊が、都道府県警あるいは師団ごとに協定を結んで、テロ攻撃発生の場合の図上訓練を開始しています。北海道から始まって、いずれは全国で行われることになると思いますが、実際にやってみるとえらいことだというのが現場の感覚です。 (中略) ゲリラ・コマンドウについてはいまの有事法案には記されていない。起こらない前提なのか、いまの運用でやる方針なのか、良くわかりません。このままでは法律が通ってもどうにもなりません。
いちばんありそうな脅威は、テポドンやノドンではなくてゲリラ攻撃なんですけどねえ。
ウイルスバスター2003: フロッピーディスクのフォーマットができない (トレンドマイクロ)。Windows XP でのみ発生するようだ。
OpenBSD 3.3 CD が届いた。カナダから揺られてきたようで、ケース内のツメがことごとく折れていた……。
bluecoara をアンテナに入れておきました。 ……うぅっ、アクセスカウンターか……。対応。
SANS Portal、なかなかおもしろいですね。もっとも、どう考えても参加できない SANS FIRE の案内をデカデカと載せられてもちょっとアレなのですが。
HighMATは、DVDの違法コピー問題に解決をもたらすか (ZDNet)。 うーん、けっきょく「低解像度データ? 捨て捨て」で終るような気が。
プロバイダ責任制限法関係実務マネージメント研修会 〜 第2回開催のご案内 〜 (テレサ協) なんてのやってたんですね。 もう終ってるのであれなんですが。
奥天の! セキュリティ川柳道場 第 4 回「ハッカー/クラッカー」 (microsoft.com)。次回は「暗号化」だそうです。
いきなり MIN 3736 に増えてるし…… > IRAQ BODY COUNT。
ジャパンネット銀行、復旧は週明けにずれ込む見込み、 【続報】ジャパンネット銀行一部復旧、バックアップは機能せず (日経 BizTech)、 【続々報】「良い教訓にしたい」──ジャパンネット銀行社長が緊急会見 (日経 IT Pro)。 CPU が本番・待機系とも都合よくダウン、というのはちょっと信じられないのだが。
IP Messenger v2.00 〜 v2.02 に欠陥。 長大なファイル名を含むファイル添付メッセージを受信した場合に、添付ボタンを押すと、buffer overflow が発生してしまう。この欠陥を悪用すると、攻撃者は任意のコードを実行可能となる。
IP Messenger v2.03 で修正されているので、v2.00 〜 v2.02 利用者は upgrade すればよい。
流行ってる? 手元では検出してないのですが。 攻撃手段がてんこもりなウィルスのようですね。
パターンファイル 532 で対応。 トレンドマイクロシステムクリーナ 3.0 も対応しています。
トレンドマイクロのウィルス情報には「感染状況」タブというのがあるのですね。なかなか興味深い……。
定義ファイル 4263 で対応しています。update しませう。 ただし、利用するスキャンエンジンによって対応が異なり、
このウイルスを検出するには4.1.60以上のエンジンが必要ですが、ウイルスを除去するには4.2.40 エンジンが必要です。AVERTでは全てのユーザ(企業/個人問わず)に対して、早急にエンジンを4.2.40にアップデートして、このウイルスに対応することを推奨いたします。
無償駆除ツール Stinger (NAI) も対応しています。
ウイルス絵とき理解: フィザー (W32/Fizzer@MM) とはこんなウィルス (NAI)。
やすさんから (ありがとうございます):
日本NACのホームページには、ウイルススキャンのエンジンバージョンが4.2.40が最新とありますが、これは、あくまで「最新」であり、該当エンジンが適用できないウイルススキャンがあります。当方のクライアントにVirusScan ASaPがあり、こちらのほうがエンジンが古い(4.1.60)状態です。ASaPは自動で定義ファイル・スキャンエンジンもバージョンアップする予定なのですが、定義ファイルのみ更新され、スキャンエンジンが4.1.60となっております。
また、他人から聞いた話ですが、ASaPはまだ新しいスキャンエンジンがないとNAIから返事がありました。ダメモトで、SuperDATを当ててみましたが、該当プロセスがないとのことで、バージョンアップされません。4.1.60でも「検出」はできるとのことなので、Stingerで対応しようと思っております。ちなみに、メール関係はWebShieldで対応しており、こちらのエンジンは4.2.40にあがっている為、メール経由での感染は防げそうです。
うーむ……。手間いらずのはずのシステム (ASaP) が手間を増やしているというのは……。
最新ウィルス ID で対応済み。 2003.05.14 00:20 付で「検出改善のため」改訂版が出ている。
.ide ファイル、またまた改訂されています。 Fizzer computer worm: bubbling but buggy (sophos.com) によると、Fizzer が設置する、実行不可能なバグってるファイルも検出できるように改良されたようです。
Intelligent Updater では 2003.05.09 (US 時間) で対応しているそうだ。 日本語版情報でも US 時間しか示してないってのは、ちょっとなあ……。 無償
yutaka さんから (ありがとうございます):
うちは Live Update 管理ユーティリティなるもので Symantec から定義ファイルをダウンロードしてます。2003/05/12 付けの定義ファイルがあるなと思ってダウンロードしてみたら定義ファイルはすでに最新ですというメッセージがでます。
Norton AntiVirus Corporate Edition(NAVCE) の販売元に確認してみると Symantec のサイトで掲載されている日付は「公開日」だそうで、定義ファイルの Version となる日付(Symantec Sysmtem Center や NAV のコンソール) ではないということでした。最新の定義ファイルは 2003/05/09 Rev16 だそうです。しかも「公開日」は米国時間なのでさらにややこしいことになってます。
さらに、Intelligent Updater は通常、Live Update の対応が間に合わないときに Extra 的に先行公開されるのが通常ですが、今回は公開日付が逆転しています。
これで今朝、社内が混乱しました。どれが最新定義ファイルだって!
うーむ……。明確に判断できるようにしてほしいですよねえ。
鈴木さんから、2003.05.13 15:54:16 (ありがとうございます):
2003/05/09 Rev16 は「Fizzerに対応」とのシマンテックの見解ですが、どういう対応なのかというと、
「実行すれば検知して駆除する」
という意味において「対応」なんだそうです。つまり、ダブルクリックしろということらしいです(なんじゃそりゃ)
2003/05/09 Rev16以降、LiveUpdateではウイルス定義ファイルが提供されていないので、、NAVCEユーザは現在(5/13 PM15:45)でも、Fizzer を飼うことができています(笑)
シマンテックのサポートに電話して怒鳴ったところ、5/12 Rev20 というファイルがDLできるURLを教えてくれました(さっき出来上がったらしい)出来たんだったらさっさと LiveUpdate に回してくれ。みんな困ってるんだから・・・
シマンテック web page には、現時点で以下のように記述されています。 すでに LiveUpdate でも取得可能になっているそうです。
5月9日(米国時間)付けのウイルス定義ファイルは、W32.HLLW.Fizzer@mmを検知いたしますが、一部ファイルを検知できなかった問題が報告されました。 そのため、5月12日(米国時間)付けのウイルス定義ファイルで対応していますので、こちらをご使用してください。
大吉さんから、2003.05.13 17:34:35 (ありがとうございます):
- 定義ファイルの「ファイル作成日」は公開日ではなくて、やはり「作成日」である
- LiveUpdate での最新定義ファイル日付が 5/12 になっているのは、更新を行っている最中で齟齬が生じているため
となっているのでは無いかと思います。
そのようだったようで、今では W32.HLLW.Fizzer@mm (シマンテック) の対応日の記述は Intelligent Updater / LiveUpdate どちらも 2003.05.09 になっていますね。
無償駆除ツールも出ました: W32.HLLW.Fizzer駆除ツール
あと、シマンテック情報には ManHunt 用のシグネチャがついています [memo:5992]。そのまま snort で使えるのだそうだ [memo:5993]。
その他:
Fizzer に関する情報 (Microsoft)
Fizzer対策でIRCネットワークが結束 (ZDNet)
Fizzer のおかげでいくつかの IRC が DoS 状態になっているらしい。
NAI の場合、スキャンエンジンのバージョンによって対応状況に違いがあることを追記。トレンドマイクロシステムクリーナ、NAI Stinger、F-Secure 無償駆除ツール情報を追記。 シマンテックは日本語情報に置きかえ。NAV ウィルスデータ話 (yutaka さんありがとうございます)。
NAV 話つづき、Sophos 改訂版。シマンテック情報には ManHunt 用のシグネチャがついている [memo:5992]。そのまま snort で使えるのだそうだ [memo:5993]。
Sophos さらなる改訂版登場。NAI VirusScan ASaP 情報。
IIS + COM+ な環境に MS03-010 patch を適用するとトラブルが発生する場合があるらしい。
暗号化ページ中に暗号化されないコンテンツが混在していると、Netscape 7は、「セキュリティに関する警告」の画面を出す。これがお客さまを大変心配させるので、出ないようにして欲しい。(高木による要約)
(中略)
ようするに、銀行としては、実際に安全であるかどうかはどうでもよく、お客さまが安全と思ってくれさえすればよいということになる。
顧客対応コストをかけられない、というのはよくある話ではある。 しかしそれなら、「暗号化ページ中に暗号化されないコンテンツが混在している」という状況をなんとかするのが本来の解決方法であって、セキュリティ上の問題を覆い隠すのが解決法、ではないよなあ。どう考えても。
Safari 1.0 Beta (v60)、 Safari 1.0 Beta 2、 Konqueror Embedded に欠陥。 SSL 接続 (https://) 時に、Common Name の照合を行わない。 このため、SSL 接続におけるサーバ認証が機能しておらず、利用者は偽 https:// サーバに接続しても気がつかない。 Konquror 3.0.5 や Mac OS 版 Microsoft IE にはこの問題はない。
Safari においてこれを回避するには、Debug メニューの "Security" から "Performe Strict Certificate Checks" をチェックするとよいそうだ [slashdot.jp #313741]。 Debug メニューは defaults write com.apple.Safari IncludeDebugMenu 1 で出せるのだそうだ [slashdot.jp #313819]。 Safari 利用者は必ず実施しておこう。
Safari 1.0 Beta 2 (v74) で修正されたようです [harden-mac:0413] 。
PKIで利用するハードウエア・トークンとして有力なのはICカードであろう。ICカードは携帯性に優れるとともに,十分な容量を備えている。
そうかなあ。どんな PC にでも interface が標準装備されている、という意味では USB 差し込み型のハードウエア・トークンの方が導入しやすいと思うのだけど……。
4. ユーザーはPIN(暗証番号)を入力してICカードへアクセスする
PIN の入力は PC のキーボード経由になってしまうので、たとえば key logger が仕掛けられていると PIN を取られちゃう、のがちょっと嫌かなあ。 One-Time Password ものだとハードウエア・トークン自身で PIN を入力するのがふつうだけど、それではハードウエア・トークンが大きくなりがちで、それはそれでよろしくない。 個人的には、ハードウエア・トークン自身に指紋認証機構がついていたりするとおもしろいかなあとか思ったり。USB に指し込むときに、指し込み者の指紋を読んで、適合していないと蹴る (何度も失敗すると自壊する)、とか。大きさやコストの制約がキツいので、むつかしいだろうけど……。
……橋本さんから PUPPY (SONY) をおしえていただきました (ありがとうございます)。これは、指紋認証デバイスを PKI 対応させたもののようですね。eToken (アラジン) くらいに小さくなるとうれしいのですが、……。
こうちさんから (ありがとうございます):
2003.05.12の「ハードウエア・トークンで“鍵”を守る」で指紋認証のpuppyが話題に出ていましたが、小さいものですとmemory stick版も発売されていたりします。
http://www.sony.co.jp/Products/puppy/new.html
memory stickなのであまり標準的なinterfaceではないですけど…。
puppyについては設定により認証に複数回失敗するとhardware的にlockがかかり、メーカに送り返さないとlock解除できないというようなこともできたりするみたいです。
うーんメモリースティック……。 USB 版出してくださいよ > SONY。あと、これ自体は PKI 対応というわけではないように読めますね。「企業向けじゃないから PKI ステ」なのかな。
'Exec Shield' ── Linuxの新たなセキュリティ機構 (japan.linux.com)。
機関内倫理審査委員会の在り方について (文部科学省)。うーん、3.(1)のまる1、
機関内倫理審査委員会は、研究の開始時の審査のみならず、その後の研究実施状況についても、適宜フォローアップをすることが望ましい。
望ましい = やらなくても ok ok なんだが、それでいいんだろうか……。
更新サービスの提供について (シマンテック)。NAV はけっこう長く維持されるんですね。
【速報】ジャパンネット銀行が全面ダウン,データベース・サーバーに障害 (日経 IT Pro)。基幹系が死んだそうで。
……復旧したようです: ジャパンネット銀行がデータベースサーバー障害により全面的にダウン (INTERNET Watch)。
警察庁、web page を整備したんですね。
業界初の品質保証契約サービス、2003年5月12日から新登場「トレンドマイクロ ウイルスレスポンス サービスレベルアグリーメントスタンドアロン版」 (トレンドマイクロ)。ウィルス対策も SLA の時代ですか。
首都圏の電力危機、6月末にも 経産省対策本部 (asahi.com)。 さっそく援護射撃ですか。
sftplogging patch (sourceforge.net) というのがあるそうです。
NTSyslog 日本語対応版 (vector.co.jp)、試しているのだけど、なんだかうまくいかない。 syslog サーバまではパケットは届いているようなのだけど、syslog サーバが受領してくれないみたい。サーバは FreeBSD 4.4 と Red Hat Linux 7.3 で試したのだけどどっちもだめ。なんでだろ〜。 あぁもちろん、syslog サーバに -a client-network/mask や -r はつけてます。
……たかださんから (ありがとうございます):
FreeBSD ですが syslogd はデフォルトで 514 からのパケットしか受け付けません。
-a ipaddr/masklen[:service]
これに、ひっかかってませんか?
これでした。-a client-network/mask:* としなければいけなかったのでした。 ありがとうございます _o_。 Red Hat Linux ではあいかわらず取れてないのだけど、:* に該当するオプションがないのかな……。
……菅原さんから (ありがとうございます):
私はNTSyslog 日本語対応版の作者です。ご紹介頂いてとても光栄です。(^^)
おぉ作者様ご降臨 _o_。
RedHat 7.3 のデフォルトインストール状態では当然のごとく動きません。
Webページ上のお話からすると -r オプションは付けていらっしゃるとの事でしたので、一度 ipchains サービスを停止してご確認ください。
デフォルトのルールでは 514番UDPポートは閉じられています。悪いことにパケットを遮断していることがログに記録されないルールなので、気づきにくくなっています。
あ゛〜〜〜〜っ! これでした。ありがとうございます _o_。 疑ってごめん > syslogd。 Red Hat Linux のスキルなさすぎ > 俺。
なお Vector 上にある NTSyslog 日本語対応版は私のミスにより、アーカイブの中身でバイナリのみが1バージョン古いものが混入してしまいました。
このバージョンはイベントログ中に改行コードが入っている場合「^M」という文字が混入してしまう問題があるのと、私が頑張って日本語メッセージにしたコントロールダイアログでなく、オリジナルの英語メッセージのままになっています。
Vector 側に差し替え依頼は出しておりますが反映まで2週間程度掛かるとのことなので、私のページ(http://www.hi-ho.ne.jp/denkas/)からダウンロードして頂けると幸いです。
さっそく get して入れなおさせていただきます。_o_
Windows Media Player 7.1 および 8.0 (Windows Media Player for Windows XP) における、スキンファイルの取り扱いに欠陥。 指定された URL からスキンファイルをダウンロードする場合、Windows Media Player は
のが正常な動作だ。 ところが、特殊な URL を指定することにより、Temporary Internet Files フォルダではなく既知パス名の任意のフォルダにファイルをダウンロードさせることができてしまう。さらに、Content-disposition ヘッダを利用することで、拡張子も任意のものを設定することができてしまう。 つまり、たとえば C:\WINNT\SYSTEM32\ に .DLL や .EXE やその他もろもろを設置できてしまう。
これにより攻撃者は、ニセ .DLL やニセ .EXE などを利用して任意のコードを実行させることが可能となってしまう。また、Outlook Express 5.5 以前をデフォルト設定のまま使っている場合や、 Outlook 電子メール セキュリティ アップデート を適用していない Outlook 98 / 2000 を利用している場合には、HTML メールを利用することにより、攻撃を自動化することが可能となってしまう。
patch があるので適用すればよい。Windows Media Player 9 にはこの問題はない。 Windows Media Player 6.4 にはスキン機能そのものがないので、これも問題はないと考えられる。Windows Media Player のライフサイクル (Microsoft) を見ると、Windows Media Player 6.4 は、Windows 2000 を除いてはサポートが停止していくことになっているようだ。
OS: OpenBSD、MTA: Postfix、ウィルス対策: Amavisd-new、spam 対策: SpamAssassin、spam データベース: Razor / DCC、でゲートウェイサーバをつくるドキュメント。 pflogsumm というものがあるんですね。デフォルトだと出力量が多いので、pflogsumm.pl -d yesterday -h 20 -u 20 とかするといい感じかなあ。
https://register.passport.net/emailpwdreset.srf?lc=1033&em=victim@hotmail.com&id=&cb=&prefem=attacker@example.jp&rst=1 という URL にアクセスするだけで、指定した Hotmail / Passport アカウント victim@hotmail.com のパスワードをリセットできる URL が、指定したメールアドレス attacker@example.jp に送られてしまう欠陥があった、という話。 Security Issue in Microsoft .NET Passport Is Resolved (Microsoft) だそうで、現在は無効化されているそうだ。 日本語版: Microsoft .NET Passport のセキュリティ上の問題は解決 (Microsoft)。 試しにやってみたところ、メールを送りましたという画面は出るものの、実際には送られてこないようだ。
関連: Hotmailと.NET Passportにアカウント乗っ取りの大穴 (slashdot.jp)。
「向かっ腹立つ」 米大統領の空母着艦、民主党が批判 (asahi.com)。 いまさらそんなこと言っても、戦争自体が宣伝ですからねえ。
ふんや水滴のウイルス陽性 香港SARSマンション (asahi.com)。
SARS致死率、大幅上方修正14〜15%にWHO (asahi.com)。 倍率ドン、さらに倍。
[aml 33960] 東京電力の柏崎刈羽6号炉運転再開強行に抗議する(2003/5/7)。
原発が止まったままでも供給ができてしまったら、原発の存在意義が問われる。 そうならないようにという、運転再開の強行である。
原発万歳系役所 and 議員からの圧力とかもあるんだろうか……。
Tripwire、 for Servers と Manager の version 4.0 が出たんですね。 いや、買えないけどさ。
[aml 33951] 5月10日、サイバー犯罪条約学習会、 14:00〜17:00、東京都渋谷区、1000円。
イラク中部、核施設と知らず略奪 住民被曝の可能性 (asahi.com)。 悲惨すぎる。 住民と同様、米軍も無知無教養だったのだろうなあ。 (例: 意図して略奪し米軍に撒いた場合を考えよ)
Linuxにおけるファイルシステムの性能及び信頼性の検証 (linux.or.jp)。 検証対象は ext2, ext3, ReiserFS, JFS。 安全性という点では JFS が一歩リードなのかな。 (info from [port139ml:03176])
RFIDで製品追跡できる在庫システムはプライバシー問題がネックに (ZDNet)。
RFID機能無効化のスイッチ導入へ」(ZDNet)。
連載:PKI再入門 第2回 PKIにおける信頼とは? (@IT)。
rndcontrol(8) というのがあったのか。 とりあえず rndcontrol -s 12 にしてみるテスト。/etc/rc.conf に rand_irqs="12" とか書けばいいみたいだ。
"Exec Shield", new Linux security feature (redhat.com)。 [TechStyle Newsletter:2003-05-06] に詳細な紹介記事が出ていました。 プログラム実行可能アドレスの上限値の設定 + コード領域の再配置によって buffer overflow 攻撃を困難にするものなのだそうです。 Linux 用です。
日立ソフトウェアによる Security-Enhanced Linux 紹介サイト (selinux.hitachi-sk.co.jp)。 info from kawa's memo。
指先で考える喜び——東プレ Realforce101 (ZDNet)。101 キターーーーーーーーーー。 でも個人的にはテンキーは不要、じゃま、ゴミなんだよな。
もしかして、CodeRed.F が蔓延してます? > 横浜国立大学。 ……おさまったかな。
同法案は成立後、直ちに施行される。
週刊現代増刊『緊急出版 断固拒否「個人情報保護法」の正体を暴く』 というのも出ているそうです。
14 に増えてしまいました。増えたもの:
「Microsoft が使っているので無効にできません」という事例は少なくないような気がします。迷惑なんですけどねえ。
多くの場合には問題にはならないような気もするけど、「自動で」というところがあれなのかなあ。とりあえず、更新しておきましょう。
Vine Linux 2.5:
gnupg のバグフィックス
Red Hat Linux:
[RHSA-2003:175-01] Updated gnupg packages fix validation bug
[VulnWatch] CORE-2003-0303: Multiple Vulnerabilities in Mirabilis ICQ client の話でしょう。
ICQ Inc. (旧称 Mirabilis Ltd.) の ICQ クライアント ICQ Pro 2003a 以前に複数の欠陥。
POP3 クライアント機能に複数の欠陥があり、 細工入りの e-mail ヘッダを送ることにより任意のコードが実行される、などの攻撃が可能。
"ICQ Features on Demand" 機能に欠陥があり、攻撃者が悪意あるソフトウェアを ICQ ユーザのマシンにインストールできてしまう。
広告表示機能に欠陥があり、攻撃者が ICQ をフリーズさせることが可能。
GIF ファイルの処理に欠陥があり、細工した GIF ファイルにより ICQ をフリーズさせることが可能。
現時点では、修正版は登場していない。修正されるまで、少なくとも POP3 クライアント機能と "ICQ Features on Demand" 機能は使わない方がいいと思う。 ZDNet によると、機能縮小版の ICQ Lite にはこの問題はないという。 (そもそも機能がないのか、機能はあるが問題がないのか、どっちなのかはよくわからない)
CVE: CAN-2003-0235, CAN-2003-0236, CAN-2003-0237, CAN-2003-0238, CAN-2003-0239
わけあって TCT の lazarus してるんですが、いやあ、時間がかかるかかる。じぇんじぇん終りませんねえ。
……ようやく lazarus 終了。むふぅ。このように掘り出せるわけですか。 けっこう信頼性低いんだな。 再インストール決定だから別にいいのだが。 ついでだから、リプレースも兼ねちゃおう。
NTSyslog 日本語対応版 (vector.co.jp)。 おぉ、これは……。かたっぱしから入れ入れ決定か? (info from (R)日記)
個人情報保護5法案が衆院を通過 与党、5月下旬成立目指す (毎日)。 舞台は参議院へ。
Top 75 Security Tools (insecure.org)。
Many people also suggested that the Analysis Console for Intrusion Databases (ACID) be used with Snort.
だそうだが、個人的には、インストールに苦労した割には得るものが少なく、ACID は捨ててしまった。
JPCERTが法人化 (slashdot.jp)。 APCERT (Asia Pacific Computer Emergency Response Team) 発足報告 (JPCERT/CC) のことを誰も取りあげてくれない、というところが、なんというか、アレだなあ……。
「インターネットのアメダスを作る」、新JPCERT (@IT)。 だからぁ、JPCERT/CC なんだってば。わかってくださいよぉ (ブレードランナーのうどん屋の声で)、と /CC を強調してみるテスト。 ……と書いている本人がつくった、上の方のリンクがあれだったので直しました _o_。
音楽の違法ダウンロード対策ソフト、開発中 (slashdot.jp)。本気なのか?
[TOOL] Microsoft IIS Authentication Manager Account Confirmation Vulnerability (securiteam.com)。
[aml 33912] 使用済燃料中間貯蔵施設/核の永久ゴミ捨て場に反対しよう(美浜の会)。
4月19日の説明会では、市民から次の疑問が出されている。「50年後には今の原発は寿命がきている。再処理しても使う原発がないのでは?」
確かに、原発をつくりつづけないと、再処理してから使う先がありませんね (えっ? 核爆弾ですか?)。 おまけに、「中間貯蔵施設」から運び出すことは実際には無理で、実際にはそこが「最終貯蔵施設」となる模様。すばらしすぎます。
[aml 33878] 【転載】JVJA報告会「イラク・爆撃下で何が起こったのか」、2003.05.08、中央大学駿河台記念館 (JR「お茶の水駅」徒歩 3 分)。
[aml 33875] DU等使用ブッシュブレアをICC 告発賛同募集。 [aml 33930] 前田朗さんの”国際法を市民の手に”連載開始 というのもあるそうで。
Free IIS Security Forensic Analysis E-Book。 IIS Security and Programming Countermeasures という文書だそうです。
具体的な脅威については、The Shadow Penguin Security Technical Forum (shadowpenguin.org) の「Beckyの困った仕様。。。」(04/30 Wed 17:35:02) を読んだ方が早いだろう。Becky! Ver.2.05.11 以降で修正 (無効化) されているので、利用者は upgrade しよう。
しかし、これ、何のために実装されていた機能なのだろう……。
手元の mozilla 1.1 (FreeBSD ports 1.1_3,2) では再現できなかった。 防げているのか、私のやり方が間違っているのか、……。
[memo:5768] RFIDがもたらすプライバシーへの影響 以下のスレッドも参照。特に [memo:5777]、 [memo:5793]。
実用化前夜,大ブレークを予感させる「ICタグ」 (日経 IT Pro) なんて記事も出る昨今ですが、
あるいは,思いもつかないような応用事例が今後出てくるかもしれない。
セキュリティ問題が実際に発生するようになってから、「いやあ、思いもつきませんでした」と言われるのだけはかんべんしてほしいですよね。
日経コンピュータセミナー・「ICタグ」の全貌、最新技術動向から応用まで (日経 BP) って、実際には「日経コンピュータ」の拡販イベントなのかな。
「連載は1番目から順に読むもの」[memo:5891] ということで、他の記事も示しておきます。
ドコモAOL、ウイルスチェックを会員に無料提供 (毎日)。 対象はメール (送受信共) だそうで。
「コンピュータ緊急対応センター(JPCERT/CC)の中間法人化」について —JPCERTコーディネーションセンターとして法人格を取得し、新たな事業展開へ— (経済産業省)。 やはり「国内ネットワークの定点観測事業」に期待が集まるわけですが、 人員不足は解消されたのかなあ。 多分、今でも志願者は welcome だと思うので、興味ある人は問いあわせてみよう。
関連: ネットの定点観測システム開発へ 法人化のJPCERT (毎日)。
Unpatched IE security holes は現在 10 個になっています。
爆発事件: アンマン空港で1人死亡 毎日新聞記者を逮捕 (毎日)、 「おみやげ」 毎日新聞記者が大使館員に説明 爆発事件 (asahi.com)。 拾い食いには注意しましょう。
VirusScan Enterprise 7.0 (NAI)、ざっくりマニュアルを読みました。 検査対象ファイルはデフォルトで「全てのファイル」になっているようです。 ようやく、顔文字拡張子なファイルもデフォルトでちゃんと検査されます (笑)。
ここ一週間のあいだに更新(あるいは新掲載)されたQ & A (NAI) にも VSE 7.0 ねたが多数登場しています。 W32/SQLSlammer.wormやCodeRedなどメモリ型ウイルスをVirusScanは検知できますか? (NAI) あたりは宣伝のために入っているような気も (笑)。 VirusScan Enterprise7.0 が対応するオペレーションシステムは? (NAI)、Windows 2000 / XP gold はサポート対象外なんですよね。
時間がとれない……。
Reviewing Code for Integer Manipulation Vulnerabilities (MSDN)
CISCO ねた:
Microsoft SQL Server ねた (appsecinc.com):
SQL Server Security ML ができたそうで。
Oracle ねた: Buffer Overflow in Net Services for Oracle Database Server
関連: [VulnWatch] Oracle Database Server Buffer Overflow Vulnerability (#NISR29042003)
Adobe Acrobat ねた: Adobe Acrobat 5.0.5 Security, Accessibility, and Forms patch - English (adobe.com)。.PDF ファイルから悪意あるコマンドの実行が可能だそうで。 Acrobat 6.0 にはこの問題はないそうで。
関連: W32/Yourde ウィルス (NAI)。PDF にひそむウィルスだそうで。 PDF は、JavaScript 使えちゃいますからねえ。
そうそう、アンチウィルスソフトの検査ファイルリストに .PDF がなければ、対応済みのアンチウィルスソフト + ウィルスデータを使っていても発見できませんのでご注意。いまどきの世の中では、「全てのファイルを検査」するよう設定したほうがよいでしょう。
APCERT (Asia Pacific Computer Emergency Response Team) 発足報告 (JPCERT/CC)。意義深いですね。
Windows Server 2003 Security Guide (Microsoft)。とりあえず邦訳待ち。
Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) (MS02-071) の Windows NT 4.0 Terminal Server Edition 用 patch が修正されました。 マルチプロセッサ用の修正だそうで、シングルプロセッサな人には関係ないそうです。
VirusScan Enterprise 7.0 (NAI) だそうです。Windows 9x/Me はサポートされません。 くぅ、マニュアル読まなきゃ。
フォト・レポート:SARSに脅える北京 (日経 BizTech)。 いやはや。
OpenBSD 3.3 がリリースされました。
“最終通告メール”の新型が登場? 架空請求メールに注意 (INTERNET Watch)、悪質な電話関係の「利用した覚えのない請求」が横行しています −有料情報料、ツーショットダイヤル情報料など− (国民生活センター)。
ねたとしては http://g000.hp.infoseek.co.jp/a.html というものもあるそうです。Y さん情報ありがとうございます。
インテル、「読唇」ソフトを配布 (毎日)。君のアプリも HAL 9000? もっとも、HAL は単に唇を読んでいるだけじゃないんですが。
この動作は、Windows 2000 より前の Microsoft オペレーティング システムの動作とは異なります。これらのオペレーティング システムはクライアント側の DNS キャッシュ機能を備えていません。
備えていない? ではたとえば、 企業セキュリティのベストプラクティス - 名前解決の管理者権限 (Microsoft) で説明されている HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \DnsCache というレジストリはどうなるの? Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default も参照。
この動作は、Windows 2000 より前の Microsoft オペレーティング システムの動作とは異なります。
「より前の」って書いてあるじゃん > 俺。Windows 2000 には DnsCache があるんだよ。 245437 - How to Disable Client-Side DNS Caching in Windows を参照。
Kerio Personal Firewall ねた。最新 version 2.1.4 に次の欠陥があるそうだ。
source port = 53 な UDP パケットが Kerio Personal Firewall をすり抜けてしまう、という指摘。
Kerio Personal Firewall の 遠隔管理機能 に欠陥がある。遠隔管理機能の認証機構には仕様上の問題があり、再使用攻撃を受ける。 また、認証プロセス中で buffer overflow してしまい、remote から任意のコードを実行可能となる。
回避するには、遠隔管理機能を停止する。
修正版は今のところ存在しないようだ。
BizTalk Server 2000 / 2002 に 2 つの欠陥。
BizTalk Server 2000 / 2002 の BizTalk ドキュメントトラッキング管理 (DTA) が利用するページのいくつかにおいて、問いあわせ文字列に SQL コマンドを挿入できてしまう。
詳細: Microsoft Biztalk Server DTA vulnerable to SQL injection
CVE: CAN-2003-0118
BizTalk Server 2002 の「HTTP 受信機能」を実現する ISAPI エクステンション (Biztalkhttpreceive.dll のことらしい) に buffer overflow が発生するため、外部から任意のコードを IIS 動作権限で実行させることが可能となる。
詳細: Microsoft Biztalk Server ISAPI HTTP Receive function buffer overflow
CVE: CAN-2003-0117
修正プログラムがあるので適用すればよい。
詳細情報追記。
OpenSSH-portable 3.6.1p2 が登場している。以下の欠陥が修正されているそうだ。
AIX ダイナミックリンカは標準でカレントディレクトリを検索パスに含めてしまうため、OpenSSH-portable 3.6.1p1 以前を gcc など AIX 非標準コンパイラで作成した場合、カレントディレクトリ上のライブラリを読む込んでしまう欠陥があった。 なお、IBM が配布している AIX 用 OpenSSH にはこの問題はないという。
この欠陥は sendmail 8.10 にもあったという。 他のプロダクトも AIX には注意されたい。 もっとも、ほんとうにアレなのは AIX ダイナミックリンカだと思うけど……。
PAM が有効 (--with-pam) な OpenSSH-portable 3.6.1p1 以前では、 指定したユーザが存在するか否かを容易に判別できてしまう欠陥があった。 少なくとも Linux では状況が顕著に発生するようだ。
CVE: CAN-2003-0190
Vine Linux 2.5:
openssh にセキュリティホール
Turbolinux:
openssh ユーザ名の漏洩
新報告様式、ようやく登場しました。旧版と比べると、スキャンものなどが格段に報告しやすくなっていると思います。記入例も参照しませう。
JPCERT/CC は、もはや住所・電話番号非公開の謎の組織ではありません! (笑)
正式名称が「JPCERT コーディネーションセンター」になったそうです。
法人化話などについてのプレゼン資料やプレスリリースがあります。 プレスリリースには電話番号も出ているぞ! (笑)
東京都千代田区だそうです。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
