セキュリティホール memo - 2003.06

Last modified: Wed May 2 12:16:34 2007 +0900 (JST)


2003.06.30

止められない基幹業務サーバの管理対策 第2回 ソフトウェアの現状確認とアップグレード
(@IT, 2003.06.28)

 NetBSD には audit-packages なんてコマンドがあったのか……。

IPv6 のセキュリティ上の影響
(ISSKK, 2003.06)

 多くの OS はすでに v6 ready になっていて、これには v4 と v6 をつなげる技術も含まれているので、v4 しか使ってないつもりのサイトにおいて、v6 がクラッカーに悪用されている場合がある。 ので、そろそろ v6 についても注意しましょうね、という話、かな。

Tea Room for Conference No.1433
(Tea Room for Conference, 2003.06.26)

 トレンドマイクロ方面で、XSS と SQL injection 穴があった模様。 (過去形でいいのかな……?)

 関連: TrendMicroってセキュリティホントに大丈夫? (ramsy の日記)。 らむじぃさん情報ありがとうございます。

続・通信キャリアの独占型PKI
(高木浩光@茨城県つくば市 の日記, 2003.06.25)

 FirstPass についてちょっと調べてみたら

とありますから、再発行できることが前提なのだろうと思います。

 しょせん閉じた世界でしょうから、ドコモの CA がツブれるような状況になった場合は、他のキャリアを使うことで回避するのでしょうね。って、AU や vodafone が似たようなことをやってくれていないと困るのですが。(現状では回避不能か)

 それはともかくとして、「自社内ですでに PKI をやっているので、自社で発行した証明書を FOMA に組みこみたい」という要求はあるような気がします。そういう要求には対応してくれるのかなあ。やっぱりだめかなあ。

2003.07.04 追記:

 N+I 2003 TOKYO のドコモブースに FirstPass コーナーがあったので、きれいなおねえさんに聞いてきました。

.NETの知られざる脅威 「難読化せずに.NET向けパッケージを出してはいけない」エージーテック鈴木氏
(ZDNet, 2003.06.30)

 いっそオープンソースにしてしまえ、という方向には……いかないのだろうなあ。

コンピュータに設定した GPO を優先適用する
(だめだめ日記, 2003.06.28)

 いや実際、手元でこういう要件な話があって……。参考になります。_o_


2003.06.27

Frequently Asked Questions About the Microsoft VM and Windows 2000 Service Pack 4
(JWNTUG security ML, Thu, 26 Jun 2003 23:42:00 +0900)

 Windows 2000 SP4 は Microsoft VM for Java 関連ファイルをアップデートしない。 また Windows 2000 SP4 では、Microsoft VM for Java 関連ファイルが Windows File Protection による保護対象から外された。 Windows 2000 SP2 / SP3 用の MS03-011 修正プログラムは Windows 2000 SP4 には適用できない。

IEブラウザに新たな欠陥:米マイクロソフトは「調査中」
(CNET, 2003.06.26)

 元ネタ: Internet Explorer >=5.0 : Buffer overflow。 日本語 Windows 2000 SP3 (IE 5.01 SP3; 5.00.3502.1000) では失敗したが、 英語 Windows 2000 SP3 (IE 5.01 SP3; 5.00.3315.1000) では何か出た (画像)。 フォローによると HTML32.cnv が原因なのだそうだが、……。

2003.07.14 追記:

 fix 登場: HTML コンバータのバッファ オーバーランにより、コードが実行される (823559) (MS03-023)

[OFFXP] Norton AntiVirus の影響で Office アプリケーションの OLE 機能が正常に動作しない
(Microsoft, 2003.06.26)

 NAV の「スクリプト遮断」機能の副作用で Visio 2002 や Project 2002 で不具合が発生する場合があるそうだ。

追記

Re: [Full-Disclosure] (Updated) Symantec ActiveX control buffer overflow

シマンテック日本語版アドバイザリを追記。


2003.06.26

Windows Media サービスの ISAPI エクステンションの問題により、コードが実行される (822343) (MS03-022)
(Microsoft, 2003.06.26)

 Windows Media サービス 4.1 を Windows 2000 Server へインストールすると、マルチキャストリクエストのログを記録するためのコンポーネント nsiislog.dll が ISAPI エクステンションとして IIS 5.0 に組みこまれる。 この nsiislog.dll に buffer overflow する欠陥が存在するため、これを利用すると、外部の攻撃者が IIS 動作権限 (IWAM_machinename) で任意のコードを実行可能となる。

 patch があるので適用すればよい。

 関連:

Windows Media Player の問題により、メディア ライブラリがアクセスされる (819639) (MS03-021)
(Microsoft, 2003.06.26)

 Windows Media Player 9 に欠陥。ActiveX コントロール Wmp.dll に欠陥があるため、悪意ある web ページが Media Player 利用者のメディアライブラリ を操作できてしまう。また Media Player 利用者のユーザ名を知ることも可能。

 patch があるので適用すればよい。また、Windows Media Player 8 以前はこの欠陥の影響を受けない。

 CVE: CAN-2003-0348

追記

[Full-Disclosure] Windows Messenger Popup Spam on UDP Port 1026

関連情報を追記。

いろいろ (2003.06.25)

Debian GNU/Linux での状況を追記。やまねさん情報ありがとうございます。

Intrusec Alert: 55808 Trojan Analysis

Reports of TCP scanning with window size 55808 (CERT/CC Current Activity)。

Re: [Full-Disclosure] (Updated) Symantec ActiveX control buffer overflow

関連情報を追記。Symantec からのオフィシャル情報など。庄司さん情報ありがとうございます。

@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」,緊急メンテナンスを実施

関連情報を追記。状況継続中の模様。

ローソン、カード会員の情報約56万件が社外流出
(ロイター, 2003.06.26)

 詳細: 顧客情報の流出について (ローソン)。 2002.08.17 時点の約 56 万件の顧客情報 (氏名・住所・性別・生年月日・自宅電話番号・携帯電話番号) が流出だそうで。すごいね。

経緯としては、今月9日及び18日に会員のお客様・計3名より、弊社又はLCSにのみ登録してある住所において、不審なダイレクトメールが届いたとのお問い合わせがありました。ダイレクトメール会社への聞き取り調査をした結果、2002年8月17日現在の約56万件の会員情報が社外に流出し、その一部の会員に、ダイレクトメールが送付されていたことがわかりました。
……中略……
<発見に至る経緯・対応>
平成15年6月 9日 会員からのお問い合わせ
平成15年6月10日 社内調査開始
平成15年6月18日 別の会員からのお問い合わせ
平成15年6月19日 顧客情報の流出を確認
平成15年6月23日 調査委員会発足・警察当局へのご相談
平成15年6月24日 個人情報保護委員会発足

 ダイレクトメール会社自身に存在した流出情報については

ダイレクトメール発送受託先が保有する会員情報を消去し、かつ再度送付されない状態にいたしました

そうだけど、それだけが流出先なのかなあ。 流出ルートと原因は調査中だそうだ。 また信用情報の管理は別会社 (クレディセゾン) で、こちらは流出していないそうだ。

<ローソンパス会員への対応>
お詫び状と商品券を送付させていただきます。(会員の皆様へのお届けは、2〜3週間後になる予定です)

 個人情報の価値はその商品券分、ということなのかな。でも 56 万件ですから、 1 件につき 1,000 円の商品券と考えても……うひゃあ。

 関連: ローソンカードの会員情報、56万人分流出 (slashdot.jp)。

著作権法、また改正……
(真紀奈17歳さん, 2003.06.24)

 つまり、業界保護目的ですか……。


2003.06.25

いろいろ (2003.06.25)
(various)

Remote Buffer Overrun WebAdmin.exe (NGSSoftware)

MDaemon / WorldClient 関連。patch あるそうです。

GNATS (The GNU bug-tracking system) multiple buffer overflow vulnerabilities.

GNATS 3.002, 3.113, 3.113.1への patch が示されています。

[Full-Disclosure] Speak Freely <=7.5 multiple remote and local vulnerabilities (the Hackademy Audit)

Speak Freely 7.6 で fix されているそうです。

[Full-Disclosure] Sambar Server Buffer Overflow in search.pl

Sambar Server (sambar.com) 6.0 beta 3 より前に付属する CGI プログラム search.pl に buffer overflow する欠陥がある。 6.0 beta 3 以降で fix されている。 参照: Sambar Server Security Alert (sambar.com)。

[UNIX] Portmon Arbitrary File Read/Write Access Vulnerability

portmon 1.8 の changelog に Security fix for arbitrary file read with SUID install. SUID install is now disabled. とあるのがこれの fix かな。 最新は 1.9 です。

[VulnWatch] R7-0014: RSA SecurID ACE Agent Cross Site Scripting

fix があるようです。

[Full-Disclosure] SQL Inject in ProFTPD login against Postgresql using mod_sql

ProFTPD の認証を mod_sql 経由で PostgreSQL で行う場合に欠陥。 下請け関数 mod_sql_postgres では入力値を全くエスケープしていないため、 SQL injection 攻撃が可能。これにより、認証機構をバイパスできてしまう。 (typo fixed: らむじぃさん感謝)

proftpd 1.2.9rc1 以降では、常に PQescapestring() 関数を利用してエスケープするようにした。ただし、これは PostgreSQL 7.2 以降で利用可能な関数。 つまり PostgreSQL 7.2 以降が必須となる。

[Full-Disclosure] iDEFENSE Security Advisory 06.16.03: Linux-PAM getlogin() Spoofing Vulnerability

Linux-PAM 0.77 以前に欠陥。 pam_wheel モジュールでの getlogin() 関数の使いかたに欠陥があるため、 いくつかの条件が重なると、ユーザ名を詐称することにより local user が root 権限を奪取できてしまう。 回避するには、pam_wheel モジュールで use_uid オプションを使用する。 Linux-PAM 0.78 で修正されている。

[Full-Disclosure] [contact@lsd-pl.net: [LSD] HP-UX security vulnerabilities]

HP-UX にいろいろ穴あり話。 関連かな: SSRT2330 Potential Security Vulnerability in rpc.yppasswdd (rev.1)

2003.06.26 追記:

 やまねさんから (ありがとうございます):

Debianでのセキュリティ関連の状況を個人的にwatchしているので、
気づいた所だけ情報提供です。(あまり役に立ちませんが。。。)
 
 ・xpdf の 脆弱性
   すでにunstableでは更新されています。
   セキュリティチームのMatt Zimmermanが「Debianのxpdfでは脆弱性の問題
   は無い」とコメントを寄せていますので、stableへの影響は無く、DSAが
   でることは無いでしょう。
   http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=198032

 ・pam  の 脆弱性
   package メンテナから「pam_wheelからgetloginのサポートを外している」
   ので脆弱性は無いとの返答がありました。
   http://bugs.debian.org/cgi-bin/bugreport.cgi?archive=no&bug=197766

UNIX fixes
(various)

Red Hat Linux
Sun Solaris
SGI IRIX
Debian GNU/Linux

[Full-Disclosure] Windows Messenger Popup Spam on UDP Port 1026
([Full-Disclosure], Sat, 21 Jun 2003 11:37:46 +0900)

 Windows Messenger ポップアップ spam が、135/udp ではなく、 実際の port である 1026/udp (RPC なので動的に確保されるが、手元の Windows XP SP1 でも 1026/udp だった) を狙ってきている、という話かなあ。Windows Messenger サービスを止めたり、パーソナルファイアウォールなどでフィルタしたりすれば防ぐことができる。 関連:

2003.06.26 追記:

 関連:

追記

Re: [Full-Disclosure] (Updated) Symantec ActiveX control buffer overflow

やっぱり新しくなっていた模様。対応方法を追記。

「McAfee.com パーソナルファイアウォールPlus」をご使用のお客様へ
(京セラ, 2003.06.20 (info from 2ch.net マカフィースレ)

 「McAfee.com パーソナルファイアウォール Plus」がインストールされている PC に、京セラの有線ブロードバンドルータ「KY-BR-CB100」あるいは「KY-BR-WL100」に付属するプリンタサーバモニタ用プログラムをインストールすると、 PC が起動しなくなり、復旧不可能になる のだそうで。ひ〜。

子供のインターネット利用はどうあるべきか
(INTERNET Watch, 2003.06.24)

 そもそも「子供」の定義は? とまず思うわけですが、品川女子学院というのは中高一貫教育の学校のようですね。 話の流れからも、「子供」とは中学生以上の未成年、なのかな。

品川女子学院の漆副校長は「フィルタリングソフトの導入に関して議論をした結果、導入しないことを決めた。理由のひとつに、学校で有害コンテンツから隔離したとしても、家庭では野放しになっていることが挙げられる。なぜダメなのかというセルフコントロールをする術を教えることの方が重要だと思う」とコメントした。

 中学生以上なら、そのほうがいいかなあ。

 崔監督の作品は見たことがないのだけど、こんど見てみようかな。

SecurityFocus Newsletter #201 2003-6-9->2003-6-13
(bugtraq-jp, Wed, 25 Jun 2003 13:35:29 +0900)

 テキスト版: SecurityFocus Newsletter #201 2003-6-9->2003-6-13

Securing PHP: Step-by-step
(securityfocus, 2003.06.23)

 mod_security (あるいは http://www.webkreator.com/mod_security/) というものがあるのですね。

OUと異なったグループ単位にポリシーを設定したい
(だめだめ日記, 2003.06.24)

 こういう要求はものすごくありがちだと思うので、参考になる人は多いんじゃないかしら。


2003.06.24

The Next Step in the Spam Control War: Greylisting
(タレコミ, Mon, 23 Jun 2003 16:54:41 +0900)

 slashdot.org での議論。これはつまり、「spam は 4xx 応答に対して retry しない」ことを利用している、ってことなのかなあ。頭が悪いのでいまいち理解できない。 もしそうだとすると、十分に多くの MTA がこれを実装すると、spam 屋さんも対応してくるような気がするけど、どうなんだろう。

 似たものとして 『お馴染さん』方式 (spam.qmail.jp) があると玉岡さんにおしえていただきました (ありがとうございます)。

@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」,緊急メンテナンスを実施
(日経 IT Pro, 2003.06.23)

 詳細情報 (えび日記、info from Tea Room for Conference No.1428):

 うーむ、nifty.com 全体に効いてしまうのですか……。

2003.06.26 追記:

 状況継続中の模様。どうするどうなる nifty。

Re: [Full-Disclosure] (Updated) Symantec ActiveX control buffer overflow
(Full-Disclosure ML, Tue, 24 Jun 2003 08:41:56 +0900)

 シマンテックの Symantec Security Check によって設置される Active X コントロール Symantec RuFSI Utility Class (あるいは Symantec RuFSI Registry Information Class) に buffer overflow する欠陥があり、悪意ある web サイトが IE 動作権限で任意のコードを実行可能、という話。

 実際に Symantec Security Check でウィルススキャンをしてみると、 Symantec Security Check UtilitiesScan for VirusesVirus Definitions のインストールが促され、インストールするとウィルススキャンが開始される。 前 2 者が Active X コントロールなのだろう (画像)。

 示されているデモコードの "long string here" に 32kB ほどつっこんで IE 6 SP1 上で試してみたが、IE がきれいに落ちたりすることはなかった。よくよく Active X コントロールの日付を見てみる (署名日付も) と、Symantec RuFSI Registry Information Class は 2003.06.23 (署名は 2003.06.24) になっているので、すでに修正されているのかもしれない。buffer overflow fix に加えて、プログラマのためのセキュリティ対策テクニック (microsoft.com) の 10.5.2 にあるような対策がされているとうれしいのかな。

2003.06.25 追記:

 [Symantec Security Advisor] Symantec Security Check ActiveX Buffer Overflow。 やっぱり新しくなっていたようで。 対応方法は以下のどちらか:

 関連: Symantec Security Check ActiveX Control buffer overflow (ISS)。

2003.06.26 追記:

 関連:

 シマンテックはどうして advisory を web に掲載しないの? セキュリティ・アドバイザリー (シマンテック) には他社のものしか掲載しないってこと? Symantec Security Check (シマンテック) ページにすら、いまだに何の注記もないし。おかしいんとちゃう?

 ……ここにあるそうです: June 25, 2003: Symantec Security Check ActiveX Buffer Overflow (symantec.com)。庄司さん情報ありがとうございます。 しかしこれ、top page からだと

としてようやくたどりつけるという……。頭痛くなってきました。

 日本語ページにはまだ反映されていないようです。

2003.06.27 追記:

 日本語版アドバイザリ: 2003年6月25日: Symantec Security Check のActiveXにバッファ・オーバーフローの脆弱性 (シマンテック)。たどりつけなさは英語版と同様です。 シマンテックって、こういう会社だったね。(T_T)

Problem with Symantec Antivirus Corporate Edition 8.0: Faulty Definition updates disabled client systems
(ntbugtraq, Tue, 24 Jun 2003 01:16:45 +0900)

 2003.06.19 の Intelligent Updater の適用によって NAVCE 8 が停止してしまった、という話。 NAVCE 7.5 にはこの問題はないそうだ。

神戸大のコンピューターに不正侵入、システム停止
(読売, 2003.06.24)

 休講掲示板システム自身にアカウントがあったのか、それとも学内認証システムを休講掲示板システムでも使っていたのか。後者じゃないと「同大はシステムを停止、学生にパスワードの変更を呼びかけている」という対応にはなりそうもないけれど。休講掲示板システムだけで止まっていれば幸せだけど、他にも波及していないかどうかを調べるのはたいへんなのだろうなあ。というか、それがある程度は調べられていないと「パスワードの変更を呼びかけている」という処置すらできないだろうけど。

 トピックス (神戸大学) には何もありませんね。……ああ top page にあった: 緊急告知: 休講掲示板システムの停止のお知らせ 学外からのメールの取込みの停止 パスワード変更のお願い (神戸大学)。

6月17日から6月30日までの間にパスワードを変更されていない方々のパスワードは、学術情報基盤センターで強制的に変更を行います(7月上旬の予定)。

 NAKAZATO さん情報ありがとうございます。

「セキュリティ事故は経営者の責任」と牧野弁護士
(ZDNet, 2003.06.23)

日本企業でトップダウン形式の意思決定がなされるケースはあまり多くない。たいていは下から「お伺い」という形で、つまり稟議が回りまわって情報が吸い上げられ、経営トップに至ってはじめて意思決定がなされる、というやり方がなされているだろう。ただこうなると、「新鮮かつ機密性の高い“生まれたての情報”をきちんと管理できているかが気にかかる」(牧野氏)。

 確かに……。ありがちだよなあ……。

誰がどのデータや情報にアクセスしてもいいのか、どのようにコントロールするかを判断せず、ルールの整備や適切な製品の導入といった必要な対策を取らない経営者は、株主に損害を与えるものであり、その責任を問われてしかるべきだと述べた。

 こちらも主旨的には同じですかね: 「セキュリティ・ツールの“導入”に力を入れても,機能は生かせない」 (日経 IT Pro)。

ユビキタスIDセンター、日立ら3社の標準タグ準拠製品を認定 〜東大坂村教授「世界標準は私たちが作る」
(INTERNET Watch, 2003.06.23)

 ぜひ、プライバシー問題についても「世界標準は私たちが作る」という意気込みでカリッとつくっていただきたいところです。プライバシーのプの字も見えなさげなのが不安ですが。関連:


2003.06.23

追記

Intrusec Alert: 55808 Trojan Analysis

Trojan.Linux.Typot (シマンテック)。

32 ドットビットマップフォントの無断複製について

kochi-alternative (wiki.fdiary.net) が早くも登場しています。すばらしいです。

InterScan VirusWall UNIX:バージョン3.6においてInterScan VirusWallが「-1」の返答を行いSMTPサーバの接続が切断される
(トレンドマイクロ, 2003.06.19)

 未定義入力に対して未定義出力で答えるとは……。 そういうものをつくれてしまう神経が信じられない。

2003.06.24 追記:

 3.6 SMTP-Build_1316 以上 でのみ発生する事象だそうで。 hotfix (サポートから入手できる) を適用すると、どうやら未定義入力に対しては無反応になるようだ。それはそれで問題なんじゃないのかなあ。 たとえば TEST<CRLF> なら、ふつうの MTA は 50x 応答 (500 か 502) を返すと思うのだけど (参照: RFC2821)。


2003.06.20

InterScan VirusWall UNIX: SMTP:ヘッダにあて先(To)が指定されていないメールでウイルスを検出した場合、受信者宛の通知メッセージにBCC受信者が開示される
(トレンドマイクロ, 2003.06.20)

 To: に RCPT TO: をそのままダラダラと書いちゃってる、ということですか。 いやはや。 修正プログラムは開発中だそうです。

Intrusec Alert: 55808 Trojan Analysis
(VulnDiscuss, Fri, 20 Jun 2003 05:25:57 +0900)

 最近 incidents ML などで話題になっている、TCP windows size = 55808 な謎の TCP パケットの話。Intrusec は、その正体は分散型のトロイの木馬だとしている。/tmp/.../a に設置され、ランダムな source IP address を使った window size = 55808 な TCP SYN パケットを投げる。その一方でネットワークを盗聴し、tcp window size = 55808 なパケットを取り出して、カレントディレクトリ (通常 /tmp/.../) の r という名前のファイルに記録する。そして、その結果を 24 時間ごとに集計サーバ (デフォルトでは 12.108.65.76) の 22/tcp に送り込む。 設置されたプログラムが多ければ多いほど、このやり方でも TCP SYN scan として機能するようになる。

 /tmp/.../a とありますが、Intrusec はいまのところ Linux で動作するものしかつかまえていないそうです。

 関連:

 snort だと window:55808; とか書けば window size を指定できるらしいです。

 window size = 55808 な TCP SYN を送る人は Stumbler さんだけではないようなのでご注意。 たとえば W32.Randex.C さん (シマンテック)。

 関連記事: ウィンドウサイズ「55808」のTCPパケットに注意 (ZDNet)

2003.06.23 追記:

 Trojan.Linux.Typot (シマンテック)。

2003.06.26 追記:

 関連:

ルートコミュニケーションズがやってくれるらしい
(高木浩光@茨城県つくば市 の日記, 2003.06.18)

 ルートコミュニケーションズは良心的な企業なのだろうと思いますが、逆に言うと、良心的な企業ですら安易に web バグを利用してしまっていた (顧客に提供してしまっていた) ということなのだろう。さてそれでは、良心的でない企業ではいったい、……。

追記

高木浩光@茨城県つくば市 の日記 2003年6月15日

Double Click 関連記事を追加。って、同じく高木さんの日記なんですけど。

32 ドットビットマップフォントの無断複製について

関連情報を追加。

[Full-Disclosure] -10Day CERT Advisory on PDF Files

構成を大幅に変更。Miracle Linux fix、ZDNet 記事。


2003.06.19

追記

32 ドットビットマップフォントの無断複製について

KNOPPIX、モナーフォントの (一部) 公開停止。判例話。 匿名希望さん情報ありがとうございます。

[Full-Disclosure] -10Day CERT Advisory on PDF Files

Vulnerability Note VU#200132、Acrobat Reader 5.07 for Linux, Solaris, HP/UX and AIX, Red Hat patch。

InterScan VirusWall UNIX: SMTP:JS_FORTNIGHT.C-1が検出できない
(トレンドマイクロ, 2003.06.18)

InterScan VirusWallにより署名部分は本文とみなされ、添付ファイルつきのメールではないため、添付ファイルのみを検索する初期設定の状態ではInterScan VirusWallで検出することができません。

 WholeFileScan機能 を使う必要があるのだそうです (デフォルト無効)。設定ファイル /etc/iscan/intscan.ini を直接編集する必要があるそうです。

InterScan for Lotus Notes 2.6 Windows:一部のウイルスがメール検索で検出されない
(タレコミ, 2003.06.19)

 「2003年3月24日から2003年5月30日までWebで公開されていた」 トレンドマイクロ InterScan for Lotus Notes 2.6 Windows 版に欠陥。 リアルタイムメール検索機能に欠陥があり、 Klez.H、Yaha.P、Fizzer.A などの一部が InterScan をすり抜けてしまう。

 InterScan for Lotus Notes 2.6 Windows 版 build 1278 で修正されているのでアップグレードすればよい。 加納さん情報ありがとうございます。

 関連: InterScan for Lotus Notes Windows:バージョン2.6 build 1278 導入時の注意点 (トレンドマイクロ)。


2003.06.18

32 ドットビットマップフォントの無断複製について
(vine-security ML, Wed, 18 Jun 2003 20:28:28 +0900)

 日本語対応のフリー PC UNIX で広く利用されている TrueType フォント、 東風 (こち) フォント が参考にした「渡邊フォント (と呼ばれているもの)」の 32 ドットビットマップフォントは、実はオリジナルなものではなく、商用作品の盗品であったことが判明。この影響を受けて、東風フォントは現在公開停止になっている。 これはインパクト大きいですね。

 関連: 「渡邊フォント」がパクリと発覚 (slashdot.jp)。 そもそも、渡邊フォント (と呼ばれているもの) は渡邊さんがつくったものではない (slashdot.jp) のだそうだ。

2003.06.19 追記:

 影響が広がっています。

 一方で、こういう判例があるそうです:

 たとえ裁判になった場合でも、著作権法違反にはならない可能性があります。 もっとも公開を停止している方々は道義的責任の方を重視していらっしゃるように思えますから、厳密に著作権法違反なのか否かはあまり関係ないようにも思います。

 匿名希望さん情報ありがとうございます。

2003.06.20 追記:

 関連:

 和田研フォントを利用して代替フォントを開発しよう、という話があるようです。

2003.06.23 追記:

 kochi-alternative: 場繋ぎのための東風フォント代替フォントの開発 (wiki.fdiary.net) が早くも登場しています。すばらしいです。

2003.09.30 追記:

 つづき: 東風フォント問題が解決 無償利用も可能に

[Full-Disclosure] -10Day CERT Advisory on PDF Files
(Full-Disclosure ML, Sat, 14 Jun 2003 06:24:50 +0900)

 Red Hat Linux 8.0 に含まれる Xpdf 1.01、Adobe Acrobat Reader 5.06 for UNIX において、 mailto: URL にシェルコマンドを含めておくと、URL をクリックした際にそれが実行されてしまう、という話。Red Hat じゃなくても該当するのだろう。Acrobat Reader 4.x for UNIX も同様である可能性がある。

 関連: Vulnerability Note VU#200132 Various PDF readers/viewers execute commands embedded within hyperlinks (CERT/CC)、UNIX/Linux用のPDFファイルビューワーにセキュリティホール (ZDNet)。

fix / patch:

Acrobat Reader

Acrobat Reader 5.07 for Linux, Solaris, HP/UX and AIX で修正されている。 ダウンロード。Windows / Mac 版にはこの問題はない。 関連: Adobe Systems Incorporated Information for VU#200132

Xpdf

Xpdf 2.02pl1 で修正されている。 patch。 関連: Xpdf Information for VU#200132

Red Hat

[RHSA-2003:196-01] Updated Xpdf packages fix security vulnerability

Miracle Linux

アップデート情報: xpdf

Changelog:

2003.06.19

Vulnerability Note VU#200132、Acrobat Reader 5.07 for Linux, Solaris, HP/UX and AIX, Red Hat patch。

2003.06.20

構成を大幅に変更。Miracle Linux fix、ZDNet 記事。

UNIX fixes
(various)

Red Hat Linux
Debian GNU/Linux
Mac OS X Server
Mac OS X

厚労省、水銀を含む魚介類の安全性について一般向けQ&A公開
(日経 BizTech, 2003.06.17)

妊娠している人や妊娠している可能性のある人は、バンドウイルカについては、1回60〜80gとして2カ月に1回以下、ツチクジラ、コビレゴンドウ、マッコウクジラ及びサメ(筋肉)については、1回60〜80gとして週に1回以下、メカジキ、キンメダイについては、1回60〜80gとして週に2回以下にすることが望ましい

 バンドウイルカやコビレゴンドウなんて食べたことないですけど……。 週に 1 回ツチクジラやマッコウクジラを食べるという状況も想像しにくいなあ……。 メカジキやキンメダイはそのへんでも売ってるけど、これも週に 1 回くらいが限度でしょう。

 日経 BizTech の記事にはちらっとしか出てきませんが、オリジナルの 平成15年6月3日に公表した「水銀を含有する魚介類等の摂食に関する注意事項」について(Q&A) (厚生労働省) を見ると、マグロも水銀含有量高いです。メカジキやキンメダイより高い。 マグロはイワシを食べて育つからなあ。 厚生労働省は、わざわざ 問15: なぜ、マグロは注意事項の対象とならなかったのか? という項目をつくって否定していますが、クジラやイルカにくらべて圧倒的にポピュラーな食品なのだから、「これくらいの量ならだいじょうぶ」などといった警告をすべきだと思うなあ。

 厚生労働省は、いつまでたっても業界保護優先なんだろうか。

SecurityFocus Newsletter #196 〜 200
(bugtraq-jp)

 HTML 版:

 テキスト版:

ファイル レプリケーション サービスと互換性があるウイルス対策、バックアップ、およびディスク最適化プログラム
(Microsoft, 2003.06.17)

FRS レプリケーションを開始しないプログラム
(中略)
* "NTFS インクリメンタル スキャン" 機能を無効にした eTrust Antivirus build 96 以降
* NetShield Hotfix Rollup を含む McAfee/NAI NetShield 4.50
* Norton AntiVirus 7.6 以降

 英語版では

Programs That Do Not Trigger FRS Replication
(中略)
* eTrust Antivirus build 96 or later with the "NTFS incremental scan" feature disabled
* McAfee/NAI NetShield 4.50 with the NetShield Hotfix Rollup
* Norton AntiVirus 7.6 or later

なので、「NetShield Hotfix Rollup を適用した NetShield 4.50」と書いた方がより適切なのでは > MSKK。 VirusScan Enterprise Solution 7.0 はだいじょうぶなのかな > NAI。

追記

Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default

塩月さんによる検証結果: [port139ml:03435]。 検証ツールも公開されています: Dnsreply3


2003.06.17

[Full-Disclosure] Script Injection to Custom HTTP Errors in Local Zone (GM#014-IE)
(Full-Disclosure ML, Tue, 17 Jun 2003 10:14:34 +0900)

 IE 5.01 / 5.5 / 6.0 に欠陥。 IE が http サーバからのエラーを受信した際に使用する内部表現 (res://shdoclc.dll/...) に欠陥があるため、これを利用した攻撃リンクをたどっていくと、攻撃者が仕掛けたスクリプトが local computer ゾーン権限で実行されてしまう (= なんでもアリ)。Microsoft からは「IE 6 gold 以前で再現できた」 という返事が来たそうだが、発見者の GreyMagic は IE 6.0 SP1 を含む全てのバージョンで再現できたとしている。 手元の IE 6.0 SP1 でも再現できた (画像)。

 次期 SP で修正されるそうだ。って、IE 5.5 には次期 SP なんてものはないけれど。 発見したのは 2003.02.18 とされているから、 IE 5.01 SP4 (Windows 2000 SP4) には間にあうのかな。

[Full-Disclosure] Cross-Site Scripting in Unparsable XML Files (GM#013-IE)
(Full-Disclosure ML, Tue, 17 Jun 2003 10:09:53 +0900)

 IE 5.5 / 6 において、XML ファイルで parse error が発生した場合に表示するエラーページにクロスサイトスクリプティング欠陥が存在する、という指摘。 Microsoft からは「IE 6 gold で再現できたが他ではできなかった」という返事が来た、とされている。手元の IE 6.0 SP1 でも再現できなかった (画像)。 IE 6.0 gold の延長フェーズは 2003.06.30 でおわりですし、IE 6.0 SP1 にしておきましょう。

InterScan WebManager データベース障害のお知らせ
(INTERNET Watch, 2003.06.17)

2003年6月16日付けのデータベースにおいて、(中略) InterScan WebManagerを経由させるすべてのURLが「アダルト」カテゴリで規制されてしまう。

 君のサイトもエロサイト。僕のサイトもエロサイト。IIJ もエロサイト。

 最新のデータベースでは修正されているそうです。

2003.06.18 追記:

 関連: InterScan WebManager: 2003年6月16日付けデータベースで「http://」で始まるURLが規制される (トレンドマイクロ)。


2003.06.16

パッチを当てていないウイルス対策ソフトが原因でメールサーバがクラッシュ
(ZDNet, 2003.06.16)

 これ?: Exchange2000 の Store.exe が停止してしまう件について (NAI)。

差出人の名前が511文字を超えるメールをGroupShield 5.2 Exchange2000にて、スキャン実行した場合、Exchange2000のStore.exe が停止してしまう現象が発生します。

 NAI の wep page がリニューアルしてますね。

絵でみるセキュリティ情報 重要な更新情報一覧
(タレコミ, 2003.06.16)

 どこからも link されていないようなのですが、本当に公開されているんでしょうか? > O さん (情報ありがとうございます)。

 うーん、しかし……。まだまだ固いような気がするなあ。もっとくだけてもいいような気がするのですが。

高木浩光@茨城県つくば市 の日記 2003年6月14日
(高木浩光さん, 2003.06.14)

 現実問題として、Netscape / Mozilla の「元のサーバから送られる画像だけを受け入れる」を選択したり、「Mail & Newsgroup メッセージにリモート画像を読み込まない」をチェックしたりするのは利便性の低下が激しすぎる局面が多いと思いますので、 試しに「全ての画像を受け入れる」を選択した上で Image Manager (mozilla.gr.jp) で block したいサイトを指定する、ということをしばらくやってみました。が、

ため、「これは使えないなあ」というのが正直なところです。 たとえば src= に ? を含む img タグだけ block したり、指定したサイズ以下の面積を持つ画像が転送されてきたら「こんな大きさの img が来たけれど、受け入れ続けますか?」といったダイアログを出して、拒否すると以後その URL については画像の読み込みを拒否できる、なんて機能があるとうれしいような気がします。

メールマガジンの購読者には、「未信頼ゾーン」から「信頼済みゾーン」(あるいはそこそこ信頼できる「インターネットゾーン」)へと移行するステップが必要なはずだ。

 この移行をある程度自動化するには……やっぱり PKI が普及してくれないとだめかなあ。現状では、そもそもそういうことのできる機能を備えた電子メールソフトがほとんどないのだろうけれど。

高木浩光@茨城県つくば市 の日記 2003年6月15日
(高木浩光さん, 2003.06.15)

 tracerouteしてみよう (高木浩光@茨城県つくば市 の日記 2003年6月15日)。う〜む。全ての道は Double Click へ通ず? 各社は Double Click をきちんと監査できているんでしょうか。

2003.06.20 追記:

 Webバグの責任分界点 (高木浩光@茨城県つくば市 の日記、2003.06.17)。 自ドメイン内か外かにかかわらず、 実際にきちんと監査できているかどうかが問題になると思うのだけど、 各社、監査できているんですかねえ。

その個人情報は本当に必要か? アクセンチュアが語る個人情報保護対策
(ZDNet, 2003.06.13)

 個人情報保護法成立・施行に伴って、個人情報の取得や利用、管理の見直しが現実的な問題になってきているようです。もっとも、まじめにやるつもりのない人達はまじめにやらないのでしょうけど。

 関連:

 memo ML 方面も policy を明記しなくちゃいけないかなあ、と思いはじめていて、ちょっと考え中です。考える間、とりあえず「エラーメール発生状況」のページへはアクセスできないようにしてみました。多分復活はしないと思うのですが、そうすると、ML 管理者の作業状況の透明性が確保できないような気がして、それはそれでいやだなあと思ったりしてます。ちなみに ML 管理者の作業状況の透明性の確保にこだわる理由ですが、透明性のなさが FireWall Defenders の崩壊の原因の 1 つであったと思っているからです。

追記

マイクロソフト、ルーマニアのウイルス対策ソフトメーカーを買収

関連記事を追記。

Windows Update が死んだ日

関連: [HOW TO] Windows Update への接続に関する問題のトラブルシューティング (Microsoft)。 この KB の長さが問題の大きさを物語っていますねえ……。


2003.06.13

Windows Update が死んだ日
(タレコミ, Fri, 13 Jun 2003 15:48:06 +0900)

 Windows Update は鬼門ですねえ……。 らむじぃさん情報ありがとうございます。 CF-W2 (panasonic.biz)、もうすこしメモリが積めればなあ……。

2003.06.16 追記:

 関連: [HOW TO] Windows Update への接続に関する問題のトラブルシューティング (Microsoft)。 この KB の長さが問題の大きさを物語っていますねえ……。

 しかしなあ。「いきなり再インストール」なんてことを推奨する前に、ファイルの version とそれに対応する digital signature を確認させるくらいのことはして頂きたいですねえ。「壊れている」ことを確実に認識できるようにならないといかんでしょう。

追記

近畿日本ツーリスト:ウィルスを防止するも、170人分のメールアドレス流出

トレンドマイクロからの情報を追記。

【速報】迷惑メール防止サイトが障害!

関連情報を追記。


2003.06.12

追記

マイクロソフト、ルーマニアのウイルス対策ソフトメーカーを買収

関連記事を追記。

近畿日本ツーリスト:ウィルスを防止するも、170人分のメールアドレス流出

関連記事を追記。

Vulnerability Note VU#458659: Microsoft Windows domain name resolver service accepts responses from non-queried DNS servers by default

Windows 2000 および Windows Server 2003 での情報を追記。 どなたか KB 出してもらってください。 あ、Windows XP の情報を聞き忘れた……。


2003.06.11

UNIX fixes
(various)

Mac OS X

【速報】迷惑メール防止サイトが障害!
(日経 IT Pro, 2003.06.11)

 関連かもしれない: Tea Room for Conference No.1403。 追試する以前、なのかな。 http://www.vcon.dekyo.or.jp/ にはつながるけど http://www.dekyo.or.jp/ にはつながりませんね。 ……あ、つながるようになってる。Tea Room for Conference No.1403 にも関連情報が追加されてますね。office さんおつかれさまです。_o_

2003.06.13 追記:

 関連:

 お 詫 び、当初はえらい素気ないページでしたが、Redlof 対応話が追加されてますね。 にしても、ウィルスコンサルティングセンター (dekyo.or.jp) というのは何なんでしょうねえ……。

rootkitによるハッキングとその防御 第5回 kernel rootkitの概要
(ZDNet, 2003.06.10)

 NetBSD / OpenBSD では、option LKM を削除してしまえば LKM を無効にできるみたいです: lkm(4) (OpenBSD)。 FreeBSD の場合はそういうオプションはないみたいですが、 kldload(2) と kldunload(2) をつぶせばいいじゃん という話があります。

 Linux の場合は .config で CONFIG_MODULES=n と設定 すればよいようです: Debian セキュリティマニュアル 章 9 - システムを破られる前 (debian.org)。

マイクロソフト、ルーマニアのウイルス対策ソフトメーカーを買収
(CNET, 2003.06.11)

 Microsoft が RAV AntiVirus でおなじみの GeCAD 社を買収。プレスリリース (ひろりんさん情報ありがとうございます):

 RAV AntiVirus には UNIX 版とかあったわけですが、

Microsoftは、GeCadの知的所有権を獲得する計画ではあるものの、今後はGeCad製品の開発は続けない方針だと述べている。

 あきらめましょう。

Network AssociatesやSymantecなどのウイルス対策ソフトメーカーにとっては、MicrosoftによるGeCad買収により、競争をめぐる状況が変わる可能性が高く、Netscape Communications--かつてはウェブブラウザ大手だったが、Microsoftが独自ブラウザをWindowsにバンドルさせたため市場から脱落してしまった--と、同じ運命をたどる恐れすら否定できない。

 そういえば、次の Windows では複数のアンチウィルスソフトが動作できるようにする、という話もありましたね……。

 関連:

2003.06.12 追記:

 関連:

 いや実際、手元でも RAV への乗りかえを検討していた最中だったので、なかなか厳しいものがあったり。at-random.org でも使いたかったんだけどなあ。

 こんなのも出てます:

2003.06.16 追記:

 関連: 「MSのアンチウイルスソフト参入」を疑う理由 (ZDNet)。

たとえ同社が将来版Windowsに自社ブランドのウイルス対策製品を搭載したとしても、ユーザーはもっと機能豊富なサードパーティのアプリケーションを選択するだろう。

 そうは思わないけどなあ。特に、サードパーティ製品の対応が間にあわないような場合には。

近畿日本ツーリスト:ウィルスを防止するも、170人分のメールアドレス流出
(slashdot.jp, 2003.06.10)

 お詫び (近畿日本ツーリスト) から:

ウイルス処理時の弊社サーバの設定は、従来から「ウイルスを排除した」旨、送信者及び受信者双方へ通知する設定(Virus Alert)としておりましたが、

 この時点でだめだめですね。通常は、アンチウィルスゲートウェイ管理者のみに通知する、のが適切でしょう。送信 / 受信アドレスが自組織のものであれば、送信 / 受信アドレスへも通知してもよいかもしれませんが。 送信 / 受信アドレスへも無条件で通知してしまうのがデフォルト動作になっているアンチウィルスゲートウェイソフトウェアは実在しますので、そのあたりの調整をした覚えがない人はぜひ見直しましょう。

2003.06.12 追記:

 ウイルス検出自動通知によるメール・アドレス漏えいに注意、近畿日本ツーリストで発生 (日経 BizTech)。 トレンドマイクロ InterScan VirusWall だそうです。

トレンドマイクロのメール・サーバー用ウイルス対策ソフトInterScan VirusWallは, デフォルトで送信者と受信者にウイルスの排除を通知するメールを送信する設定になっている。近畿日本ツーリストの設定は,一般的な設定であったと言える。ただし トレンドマイクロでは「管理者だけに検出の通知メールを送信するように設定することもできる。また,アウトバウンドブロック機能を設定すれば,検出通知メールを外部に送信しないようにすることが可能」(広報課)としている。

 設定すれば……というのは聞き飽きましたので、Secure by default でおねがいします > トレンドマイクロ殿。

 記述位置修正: 張さん情報ありがとうございます。

2003.06.13 追記 (2003.06.17 改訂):

 トレンドマイクロから:

 Windows NT 版では手順が違うそうです:

 このタイトルの違いはつまり、Windows NT 版では確実に発生するが、UNIX 版ではそうではない (が、可能性はある) ということなんだろうか。

情報漏洩のおそれがあるドライバをいまだ認定するMicrosoft
(ZDNet, 2003.06.11)

 元ネタ: Etherleak information leak in Windows Server 2003 drivers (NGSSoftware)。 [VulnWatch] Etherleak: Ethernet frame padding information leakage (A010603-1) 問題を引きおこすドライバが少なくとも 2 つ、Windows Server 2003 に含まれている、という指摘。もちろんそれらは「certified by Microsoft」なドライバだ。

Vulnerable drivers include:
VIA Rhine II Compatible network card (integrated into some motherboards).
AMD PCNet family network cards (Used by several versions of VMWare)

 「certified by Microsoft」は、こういう面に関しては信用できない、ということだ。


2003.06.10

Microsoft Internet Explorer %USERPROFILE% Folder Disclosure Vulnerability
(bugtraq-jp, Fri, 06 Jun 2003 01:36:53 +0900)

 悪意ある web サーバや HTML メール送信者が、HTML ファイルから IE の一時ファイルディレクトリを特定することが可能、という話。 これだけで何かをされるということはないけど、 一時ファイルディレクトリに悪意あるプログラムを cache させ、これを起動させるといった攻撃シナリオの実現に利用され得ます。

 デモプログラム、手元の IE 6.0 SP1 だと失敗するなあ。%USERPROFILE% と C:\Documents and Settings\%USERNAME% が合致しないからかな (ふつうじゃない環境……)。自宅の note pc で試してみるか……。

 Re: Microsoft Internet Explorer %USERPROFILE% Folder Disclosure Vulnerability (ntbugtraq) にもありますが、デモプログラムをウィルスだと判断するアンチウィルスプログラムが存在するので、テストする際はご注意を。 NAI VirusScan は「Exploit-CodeBase」と言いました。

DDoS攻撃の防御対策について
(@police, 2003.06.10)

 目新しいことが書かれているわけじゃないと思うけど、日本語で書かれた、まとまっている文章なので。

「パスワードこそセキュリティの根本」とセキュリティフライデー
(ZDNet, 2003.06.09)

 「認術修行」は、セキュリティ・スタジアム 2002 に登場した「パスワード脆弱度チェック・コーナー」の子孫 (というか進化形) なのかな。

 関連: 「いつ,誰が,何をした」Windowsネットを裸にするツール (日経 IT Pro)。

追記

Webバグについて復習する

「Accept images that come from the originating server only」 オプションですが、Netscape 7.02 でも user_pref("imageblocker.enabled", true); を追加すればイケるそうです。 池田さんありがとうございます。

Image Manager 関連話も追記。

McAfee AutoUpdate Architect 1.0.0
(self)

 from リリースノート:

8. McAfee AutoUpdate Architect を実行するには、Microsoft Windows NT 4、Windows 2000、 および Windows XP で Microsoft Internet Explorer 6.0 SP1 を実行している環境が必要です。ただし、Internet Explorer 6.0 SP1 は、 累積的なパッチを適用するのではなく、 Internet Explorer 6.0 からアップグレードする必要があります。6.0 からアップグレードしないと、スクリプト エラーが発生する可能性があります。Microsoft は、この問題の原因を Internet Explorer のパッチにあると発表しています。弊社では、この問題を解決するために、調査を進めています。

 そもそも、素の IE 6.0 SP1 に依存するようなものをつくっていることに問題があるのでは……。 というか、睡眠時間を返せ (笑)。教訓: リリースノートは最初に読みましょう。

 しかしなあ。素の IE 6.0 SP1 なんて insecure なものを要求してどうするんだ……。それでもセキュリティベンダーなの?


2003.06.09

Bugbear リローデッド:クレジットカード情報が狙われているとソフォスが警告
(Sophos, 2003.06.06 (info from タレコミ, Mon, 09 Jun 2003 20:53:37 +0900))

 Bugbear-B には key logger が含まれているそうです。おまけにオンラインバンクのアドレスが 1300 個含まれており、「金目当てのウィルス」である可能性があると。 そういう時代になったのですね。 玉岡さん情報ありがとうございます。

 関連: 「W32/Bugbear」ウイルスの亜種に関する情報 (IPA)。port 1080 に backdoor が開くそうです。つまり、Bugbear-B の送信元情報って……。

2003.06.11 追記:

 関連: 猛威をふるう『バグベアーB』ウイルス、標的は金融機関か (WIRED NEWS)。

Draft Security Vulnerability Reporting and Response Process
(slashdot.jp, 2003.06.05)

 OISの脆弱性情報開示ルール、30日の守秘義務規定 (ZDNet) をみると

OISのガイドラインでは、ソフトメーカーが研究者から自社のソフトの脆弱性に関する通知を受けた場合、7日以内にそれにこたえ、30日以内にそれを修正するパッチを作成するよう求めている。

30 日じゃなきゃイカンように読めますが、実際に書かれている文言はこう↓で、 あくまで a good starting point for the discussions でしかないようです。

By convention, 30 calendar days has been established as a good starting point for the discussions, as it often provides an appropriate balance between timeliness and thoroughness.

 加えて、

その一方で研究者には、パッチリリース後少なくとも30日間は、その脆弱性に関する詳細情報を公表しないよう求めている。

 こっちの 30 日も同じく a good starting point for the discussions になってます。

 関連: Administrivia: Response to OIS Draft on "Security Vulnerability and Response Process" (Russ Cooper 氏)。

ハニーポットの使用は違法? セキュリティ研究者に冬の時代
(日経 BP, 2003.06.04)

ミシガン州刑法(Michigan Penal Code)のAct 328 of 1931では,「電気通信サービスについてその起点や目的地,またはそれが行われる場所を隠蔽する...[そういう目的に使うために設計された不法な通信機器]...を組み立て,開発,製造,所有,配布することを禁じる」という条項がある(該当サイト)。

 honeyd と言わず、NAT/NAPT で十分ダメな気がするのですが。ミシガン州では Windows や Linux や Mac OS X、ルータ型の無線 LAN AP も販売できないのでは? (笑) あと、honyed がダメなら VMWare や VirtualPC もダメだよねえ。

Webバグについて復習する
(高木浩光@茨城県つくば市 の日記, 2003年6月7日)

 Web バグについては、そもそも日本語で書かれた資料がほとんどないように思います。Privacy Foundation の Web Bug Primer あたりが翻訳されるとうれしいような気がします。

Mozillaには、「Privacy & Security - Images - Image Acceptance Policy」の設定項目に「Accept images that come from the originating server only」という選択肢があり、「Do not load remote images in Mail & Newsgroupmessage」というオプションもある。

 ぐはぁ (吐血)。見逃してるし > 原稿 (T_T)(T_T)(T_T)。だめすぎる。今のうちにサポートページを用意しませう > 俺。 ちなみに Netscape 7.02 だと、「Accept images that come from the originating server only」に相当するオプションはありませんでした (画像)。

 関連: HTMLメールマガジンをどうするか (高木浩光@茨城県つくば市 の日記)。

2003.06.09 追記:

 関連: Tea Room for Conference No.1400。cookie つけられてるとあれだったりするのかな。

2003.06.10 追記:

 「Accept images that come from the originating server only」 の件について、池田さんから (ありがとうございます):

prefs.js もしくは user.js に、
user_pref("imageblocker.enabled", true);
を追加すればオプションが出るようになるはずです。
詳細は、拙サイトの「上級者向け N7 設定法 (prefs.js と user.js)」
http://member.nifty.ne.jp/georgei/n7/advanced.html
をご参照ください。

 手元の Netscape 7.02 で試したところ、「元のサーバから送られる画像だけを受け入れる」オプションが登場しました (画像)。

 Image Manager の解説としては イメージ処理を制御する - Image Manager (mozilla.gr.jp) がよさげです。Tool メニューからたどる方法が解説されていますが、この他に、画像自身にマウスカーソルをもっていって右クリックしても登録 / 登録解除 (block / unblock) が可能です。 しかし、web バグに対抗するという意味ではいまいち使いにくいですね。 なにしろ相手は、見えないくらい小さな画像ですから。

 たとえば Image Manager で www.mozilla.gr.jp を拒否サイトに登録すると、 プロファイルディレクトリの cookperm.txt に

www.mozilla.gr.jp 1F

と書かれるようです (区切り文字は TAB)。cookperm.txt を直接編集して、web バグ野郎サイトをかたっぱしから登録するといいかもしれません。

追記

Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)

関連記事: Internet Explorerの脆弱性により、Webサイトへのアクセスで攻撃者のプログラムが実行される可能性(MS03-020) (@IT)。

[VulnWatch] iDEFENSE Security Advisory 04.08.03: Denial of Service in Apache HTTP Server 2.x

[Full-Disclosure] Apache 2.x APR Exploit Code

Web Bug Primer

Bugnosis って、今は配布が中断されているんですね。(T_T)

4.2.60スキャンエンジンリリースに関するご案内

ウイルススキャンオンラインの情報、英語版 4260 Engine-only SuperDAT の情報を追記。ときんさん情報ありがとうございます。


2003.06.06

Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)
(Microsoft, 2003.06.04)

 IE 5.01 / 5.5 / 6 に新たに 2 つの欠陥。

 patch があるので適用すればよい。ただし、手元の Windows XP SP1 + IE 6.0 SP1 で確認した限りでは、この patch を適用しても、Flooding Internet Explorer 6.0.2800 (6.x?) security zones ! のデモプログラム http://www.malware.com/forceframe.html を試すと、コマンドこそ実行されないものの、IE はクラッシュしてしまう。マイクロソフト、IEスタンドアローン版廃止へ (CNET) なんてニュースもあるけど、こういうページでもクラッシュしない IE 6.0 SP2 を出して頂きたいものだ。

 KB: 818529

2003.06.09 追記:

 関連記事: Internet Explorerの脆弱性により、Webサイトへのアクセスで攻撃者のプログラムが実行される可能性(MS03-020) (@IT)。

4.2.60スキャンエンジンリリースに関するご案内
(NAI, 2003.06.06)

 最新のスキャンエンジン 4.2.40 において、ごく稀 (報告件数: 全世界で 1 件) にだが、Windows のレジストリ全てを削除してしまう場合があるという。 スキャンエンジン 4.2.40 を使っていても、影響を受けるアプリと受けないアプリがあるので注意。

影響を受ける 影響を受けない
* VirusScan 4.5.1 SP1
* WebShield SMTP 4.5
* NetShield for NT 4.5a SP1
* GroupShield 5.0a for Domino
* VirusScan TC 6.x
* VirusScan Enterprise 7.0
* GroupShield 5.2 for Domino
* WebShield SMTP 4.5 MR1a
* GroupShield 5.x for Exchange
* GroupShield 5.x for Exchange2000
* VirusScan ASaP
* Webshield e250/e500/e1000 Applianceを含むNon-Windowsプラットフォーム製品

 影響を受けるアプリでスキャンエンジン 4.2.40 を使用している場合は、この問題を修正したスキャンエンジン 4.2.60 が登場するので、これに入れかえる。 2003.06.26 に登場する Weekly SuperDAT で 4.2.60 にアップグレードするのが推奨のようだ。

2003.06.09 追記:

 ソースネクスト から販売されている ウイルススキャンオンライン (VSO) は、すでにエンジン 4.2.60 になっているそうです。 また英語版の 4260 Engine-only SuperDAT は http://www.nai.com/naicommon/download/engine.asp から入手できるそうです。 ときんさん情報ありがとうございます。

 ただし、英語版 4260 Engine-only SuperDAT については

『英語版エンジンのみのSuperDAT』は既に米国サイトにおいて公開されておりますが、日本語OS環境でのインストールができない場合が報告されていますので、適用についてはWeekly SuperDATからの適用をお勧めいたします。

と書かれているので注意。

2003.06.27 追記:

 4.2.60 エンジン入り SuperDAT 出ています。なんだか認証しなくても get できちゃうっぽいんですが、いいんですかねえ。

「攻撃を100%防ぐことは無理,問題が起きたときに対応できる組織作りを」——JPCERT/CC 山口氏
(日経 IT Pro, 2003.06.04)

たとえアクセス回線が1Gビット/秒でも,ファイアウオールのスループットが10Mビット/秒では意味はない。「ファイアウオールを置けば大丈夫」と考えて,ファイアウオールのパフォーマンスには無頓着な組織は少なくない。

 理解できるのですが、高々 10 万/月の 1G 回線に 1000 万もする高スループットファイアウォールは、簡単には導入できないんですよねえ。最近は、すこしは安くなったのかなあ。N+I 2003 TOKYO でいろいろしらべなきゃ。

 それでも 1G 程度ならまだなんとかなるんですが、「ふつー 10G」とか「ふつー 50G」とかいう世界も世の中にはあるようで、なかなか……。まあ、「太すぎて困る」なんてのはぜいたくな悩みではありますが。

サポセン・コムは反社会的サイトなのか?
(saposen.com, 2003.06.05)

 IIJ も InterScan WebManager を使っていたはずだなあ…… (「IIJ URLフィルタリングサービス」を開始 (IIJ))。

<カテゴリー内容>
・個人、企業、グループを誹謗・中傷する意見を掲載するサイト。

このサイトには、

・業界人のタレコミ
・ユーザーの逆タレコミ

などがあり、誹謗・中傷に値すると思われます。このような理由で「反社会的」のカテゴリーで規制しております。

 よくわからんなあ。たとえば slashdot.jp あたりも「業界人のタレコミ/ユーザーの逆タレコミ = 誹謗・中傷に値する = 反社会的」サイトになるのかな。セキュリチィホール memo もたぶん該当だなあ。 「saposen.com 掲載のこの記事が XXX なので XXX しました」ならまだわかるけど、 ドメイン全体を「反社会的」カテゴリーに入れちゃってるわけだしなあ。

 ウィルスバスタークラブの更新、まだ送金してないけど、送金するのやめようかな。

 関連: Tea Room for Conference No.1396

ウイルスバスター2003 バージョン10.02公開のお知らせ
(トレンドマイクロ, 2003.05.30)

 このへんの話もあるので、

自動アップデートではなく SP2 の手動適用の方がよいかもしれません。 ダウンロードはこちら

長野県 第6回本人確認情報保護審議会(2003.5.28)
(connect24h, Fri, 06 Jun 2003 10:51:32 +0900)

 戦慄すべき状況はまさに「ホラーストーリー」。まともな神経を持っているなら離脱しかあり得ない。

 技術的な話もさることながら、法的な話もとってもホラー。どう考えても「村」とか「町」が背負える法的リスクじゃないし、均質かつ上質なセキュリティポリシーを策定・運用すべきシステムを支えられるような法でもない。ひどいねえ。

関連:

 segmentationfault さん情報ありがとうございます。


2003.06.05

追記

27自治体で住基とネットが“接続” 長野審議会報告

Tea Room for Conference No.1394 に、つづきというか外伝というか、そういうものがあるようです。


2003.06.04

追記

27自治体で住基とネットが“接続” 長野審議会報告

たりきさん (仮名) からの情報における固有名詞がふせ字になった模様です。 植村さん情報ありがとうございます。


2003.06.03

追記

Windows Media サービスの ISAPI エクステンションの問題により、サービス拒否が起こる (817772) (MS03-019)

任意のコードの実行が確認され、Microsoft の深刻度が「重要」になりました。

いろいろ
(various)

Secure Programming for Linux and Unix HOWTO 日本語版
(タレコミ, Tue, 03 Jun 2003 18:53:25 +0900)

 すばらしいです。オリジナル英語版はこちら: Secure Programming for Linux and Unix HOWTO 。高橋さん情報ありがとうございます。

[VulnWatch] iDEFENSE Security Advisory 04.08.03: Denial of Service in Apache HTTP Server 2.x
(VulnWatch ML, Sat, 31 May 2003 05:54:20 +0900)

 [SECURITY] [ANNOUNCE] Apache 2.0.46 released 話。

 Apache Portable Runtime (APR) の apr_psprintf() に長大な文字列を通すと欠陥が表面化する。 このため、たとえば Apache の WebDAV モジュール (mod_dav) から長大な文字列 (UNIX: 12250 文字、Windows: 20000 文字) を注入すると、DoS 状態になってしまう。 patch が示されている他、 Apache 2.0.46 で修正されている。

 さらに、問題を発生させられるのは mod_dav だけではないとフォローされている。フォローによると、apr_psprintf() だけでなく、ap_construct_url() と ap_construct_server() にも問題があるという。 フォローには回避策についても述べられているので、どうしても Apache 2.0.46 に上げられず、patch も適用できない場合は参照されたい。

 CVE: CAN-2003-0245

2003.06.09 追記:

 [Full-Disclosure] Apache 2.x APR Exploit Code

SANS Critical Vulnerability Analysis Vol 2 No 21
(SANS, Mon, 02 Jun 2003 23:33:05 +0900)

Widely Deployed Software:
 (1) HIGH: ntdll.dll Vulnerability Revised to Include Windows NT/XP
 (2) HIGH: Apache Portable Runtime (APR) Function Vulnerability
 (3) MODERATE: IIS Multiple Vulnerabilities
 (4) MODERATE: IIS Windows Media ISAPI Extension Buffer Overflow
 (5) MODERATE: Vignette Server Multiple Vulnerabilities
 (6) LOW: Sun ONE Application Server Multiple Vulnerabilities

Other Software:
 (7) HIGH: Axis Network Camera Authentication Bypass
 (8) HIGH: WsMP3d Server Multiple Vulnerabilities
 (9) HIGH: AnalogX Proxy Long URL Buffer Overflow
(10) MODERATE: iisProtect Password Protection Bypass and SQL Injection

 Microsoft 自身によるレーティングと比較してみると興味深いでしょう。

ITPro 記者の眼:HTMLメールはやめよう
(日経 IT Pro, 2003.05.30)

 前ネタ: HTMLメールが急増中 (日経 IT Pro)。

「それならば,せめてOutlook ExpressでHTMLメールを表示しない設定が可能にならないだろうか」——。 この希望はOutlook Express 6 SP1(IE SP1)でようやくかなった。

 ここですかさず設定方法を示さナイト。ツールメニューの [オプション(O)...] で「オプション」ウィンドウを開き、[読み取り] タグを選択し、 「メッセージはすべてテキスト形式で読み取る」をチェック、ですね。 画像

 よくまった記事だと思いますが、詐称 HTML メールに仕込まれた偽 EC サイトや偽ネットバンクへの偽装リンク、の危険性についても解説して頂きたかったところです。もちろんテキストメールにもそういうリスクはあるわけですが、HTML メールだとよりダマし/ダマされやすくなるわけで。企業による HTML メールが広まることで、この手のリスクはグ〜ンと伸びると思います。 コメントにある「HTMLメール自体の問題というよりは、Internet Explorer+Outlook Expressの問題に過ぎないと思います」といった勘違いな人は特に危険だと思います。

 コメントを読むと、極端な意見もけっこうあって興味深いですね。マーケな方はやっぱり「利便性ゴーゴー! セキュリティ? 知らん」なんだろうなあ。

 コメントで「HTML のサブセット」を主張されている方が何人か見受けられますね。HTML メールを「制限付きサイト」ゾーンで実行する (画像) のはある意味「HTML のサブセット」で、IE 6 (OE 6) 以降は標準値になっていますが、IE 5.5 以前を利用している人もたくさんいますし。Netscape / Mozilla の標準値だと、HTML メールで JavaScript もプラグインもイケていたような気がするし。 詐称 HTML メール系への対抗策は……アンカータグの無効化、かなあ……。 より根本的には、たとえば Received: をきちんと理解して「From: が microsoft.com になってるけど、Received: を見る限り microsoft.com からは来てないぜ。これってなんかアヤしくないかい?」とか警告してくれるメーラを開発する、とかかなあ。 いや、Microsoft オフィシャルなメールが microsoft.com から来ないから、OE に実装するのは無理かな。というか、その状況をどうにかしてくれ……。

 関連: HTMLメールはやめよう! (沙耶16歳さん)。 アレな HTML メールに含まれる img タグの例あります。 web バグ もみてね。


2003.06.02

追記

Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)

Windows XP 関連の穴は :: Operash :: からの通報であった模様。関連記事を追記。

[VulnWatch] Etherleak: Ethernet frame padding information leakage (A010603-1)

HP-UX fix が出たので追記。

[Full-Disclosure] Mod_gzip Debug Mode Vulnerabilities
(Full-Disclosure ML, Mon, 02 Jun 2003 05:10:13 +0900)

 mod_gzip 1.3.26.1a 以前において、debug モードが有効な場合にはいろいろある、という話。デフォルトでは debug モードは無効。

2003.11.21 追記:

 exploit: remote exploit for mod_gzip (with debug_mode)

27自治体で住基とネットが“接続” 長野審議会報告
(毎日, 2003.05.28 (info from slashdot.jp))

審議会の中で、県情報政策課は問題の発覚後の措置について説明。「当面、早急にとるべき対策として、1.住基ネットを他のネットワークから切り離す。2.IDS(侵入検知装置)の導入など必要な対策を行う。3.住基ネットと常時接続せず、必要なときのみ住基ネットと接続するようにする、の三つについて検討した。しかし、3については、地方自治情報センター(LASDEC)から、接続を切ったりつないだりする度にIDSのアラートが鳴るのでダメだと言われた。2についてはかなりの予算措置が必要で無理。1については、抜本的な解決策として業者に見積もりをしてもらったが、庁内だけでなく各支所からの接続をどうするかなど、やはりかなりの予算が必要なことが判明した」と説明。

 間欠接続ができないとか、切り離すことすら困難なんていうのはシステム設計上の欠陥なんだろうなあ。 で、多分、長野県に限った話でもないのだろう (間欠接続不可は LASDEC の都合のようだし)。結果として離脱する・しないはともかくとして、各都道府県でちゃんと状況を点検した上で総括してほしいなあ。 どうせ総務省は何もしようとしないだろうから。

いずれも問題点は解決していない。

 解決されないまま運用されている?! それがいちばんマズいのでは……。

2003.06.02 追記:

 たりきさん (仮名) という方が このあたり に何かすばらしいことを書いていらっしゃいます。大阪市に未来はあるのでしょうか。

2003.06.04 追記:

 固有名詞がふせ字になった模様です。関連:

 日立ソフトと野村総研に未来はあるのでしょうか。 植村さん情報ありがとうございます。

2003.06.05 追記:

 Tea Room for Conference No.1394 に、つづきというか外伝というか、そういうものがあるようです。

さすらいのハッカー、ゴミ箱をあさって大手携帯会社の顧客データベースに侵入
(WIRED NEWS, 2003.05.30)

 ゴミをすてる時はこまめにシュレッダーにかけるか、焼却処分しましょう。シュレッダーする場合は、性能のいいものを使いましょう。 性能のいいシュレッダーがほしいので AC (違)。


[セキュリティホール memo]
私について