Last modified: Mon Aug 3 14:16:42 2009 +0900 (JST)
》 石原都知事: 日韓併合の歴史観を改めて述べる (毎日)。下には下がいる、と言ったところでねえ……。
》 [aml 36279] Fwd: [palestine-forum] [ナブルス通信]『世界が沈黙している中で』──果てしない殺戮が続くラファ、 [aml 36367] イスラエル参謀総長がシャロンの対パレスチナ政策を批判。いつまで続くんだろう。
》 Qwik-Fix for Microsoft Windows (PivX)。そういえば、まだ試してない。
》 続・横暴集団JASRAC (沙耶16歳さん)。 契約期間 5 年、中途解約なし、ですか。おいしい商売していらっしゃいますねえ。 日本の独占禁止法にようやく手直しが入る方向のようだけど、こういう話にもちゃんとメスを入れてほしいですねえ。
独占禁止法改訂方面については、公正取引委員会 報道発表資料 2003.10.28 の「独占禁止法研究会報告書について」を参照。
》 Mac OS XのG3サポートをめぐる訴訟、裁判所が和解を予備承認 (CNET)。いかにも Apple ですね。
》 OpenBSD 3.4 Released。 Release Songs もどうぞ。
》 「スパイウェア」として知られる米Gatorが社名を「Claria」に変更 (INTERNET Watch)。芸名を変えるそうで。本質は変わらないのだろうけど。
》 ウイルス検索エンジン VSAPI 6.810 公開のお知らせ (トレンドマイクロ)。リリースノートを見ると:
VSAPI 6.810での修正点
(中略)
MS VC++.net のデバッグモードでコンパイルしたモジュールの検索が遅い問題を改善
改善というのは、どのくらい変化したんだろうなあ。
VSAPI 6.810での新機能
(中略)
5. 圧縮ツールASPACK ver. 2以上 対応
6. 圧縮ツールUPX ver. 1.9 対応
7. 圧縮WWPack32新規 対応
逆に言うと、前の版では対応していなかった、と?
コーポレートエディションな人は、 ウイルスバスターコーポレートエディション 5.02/5.5サーバに検索エンジン 6.810を適用する際の留意点について も参照しておいた方がよいようです。竹本さん情報ありがとうございます。
》 日本Snortユーザーズグループ(仮称)の設立準備と準備委員募集のお知らせ (snort.hawkeye.ac)。 ということで。
SecurityFocus Newsletter
mod_security 1.7RC1 to 1.7.1 vulnerability。 先日出たばかりの mod_security 1.7 もさっそくアレだったようで。1.7.2 で fix されているそうです。
[Full-Disclosure] [OpenPKG-SA-2003.047] OpenPKG Security Advisory (postgresql)。 PostgreSQL 7.3.4 より前に buffer overflow 穴があり、 7.3.4 で直った、ことに対応。 CVE: CAN-2003-0901。
[Full-Disclosure] Security issues with Asp.Net in Shared Hosting Environments
FW: Server problems caused by the application of a Microsoft Secu rity Patch。SAP さんが悲鳴を上げたのだそうで。
Shatter シリーズ
APPLE-SA-2003-10-28 Security Update 2003-10-28
さっそく Mac OS X 10.3 用の fix が出ています。 古暮涼氏による日本語訳: [harden-mac:0516]。
Local vulnerability: MacOSX Screensaver locking bypass.
screen lock を迂回できるようです。
"Panther"に深刻な障害--一部の外付けHDでデータ消失の危険性 (CNET)
特定ベンダのハードと相性が悪いようで。
対応: A special message for Firewire 800 disk drive users (Apple)、FireWire 800対応製品をお使い方へ重要なお知らせ (ヤノ電器)。 FireWire 800対応ディスクドライブをお使いの皆さまへ、重要なお知らせ (アップルコンピュータ) もあるけど中身がまだない。 やまざきさん情報ありがとうございます。
FireWire 800対応ディスクドライブをお使いの皆さまへ、重要なお知らせ が更新されています……が、3rd party link はぜんぜんないなあ。 やまざきさん情報ありがとうございます。 (遅くてすいません)
Mac OS X 10.3 ではいろんな欠陥を直しました、でも Mac OS X 10.3 でしか直さないから Mac OS X 10.2.x 以前の人はずーっと穴つきバリバリってことで、bye! という話。古暮涼氏による日本語訳: [harden-mac:0515]。
Mac OS X Systemic Insecure File Permissions。 Mac OS X においては
という問題があるそうな。
CVE: CAN-2003-0876
Mac OS X Arbitrary File Overwrite via Core Files。 Mac OS X 10.0〜10.2 の欠陥? ただしデフォルト状態では発現しない。 Mac OS X で core ファイルを作成するよう設定すると core ファイルは /core に作成されるのだが、/core が world-writable なので symlink 攻撃を受ける模様。
CVE: CAN-2003-0877
Mac OS X Long argv[] buffer overflow。 Mac OS X 10.0〜10.2 の欠陥? コマンドを長大な引数つきで起動すると kernel が crash してしまう模様。さらには、root 権限での任意のコマンドの実行も可能かもしれないという。
CVE: CAN-2003-0895
CAN-2003-0878。 slpd デーモンに symlink attack を受ける欠陥がある、のかな。
CAN-2003-0880、 CAN-2003-0881、 CAN-2003-0882、 CAN-2003-0883。 その他にも、古めのものがいろいろ直ってるみたい。
Mac OS X 10.2.x が維持されないようだ、ということで、当然ながら非難の声が上がっている。
まともな会社なら「最新の OS」と「ひとつ前の OS」くらいは維持するものですが、Apple という会社はそんなことにはお構いなしのようで。最低でも 3rd party ソフトが落ちつくまで (3〜6 か月?) くらいはなんとかしてほしいところだが、それすらない。 OS 屋としては失格だよね。こんな OS を大量導入する東京大学さんはだいじょうぶなんですかねえ。
》 インターネット インフォメーション サービス 6.0 におけるセキュリティの強化 (Microsoft)。
》 Windows XP セキュリティガイド (Microsoft)。
》 OS のサポートポリシー をまとめてみた。情報募集中。
》 WinSCP 3.4 が出たそうです。 Download ページで multilanguage 版を選択するといいようです。 WinSCP 日本語化 ページも参照。stm_d さん情報ありがとうございます。
》 元社員が対価求め提訴 三菱電機に2億円 半導体メモリー構造発明 (毎日)。この手の話がつづきますねえ。
》 そういえば、 関西オープンソース+フリーウェア2003 で Wietse Venema 氏の基調講演 があるそうで。2003.11.01 (土) 16:00 - 17:30。無料。
》 MSのPDC出席者、LAへの長い道のり (ZDNet)。 山火事、あいかわらずのようですね。 加州での死者18人に 山火事、シュワ氏が支援訴え (asahi.com)。
》 米SCO:「GPLは米国憲法違反だ」 (CNET)。GNU GPL が米国憲法違反だとは私は思わないけれど、これは GNU GPL にとって必要な試練なのだろうという気はする。 いずれにせよ、要注目ではあるだろう。
》 増加する不正無線LAN基地局を無効にする機器が登場 (日経 IT Pro)。
NECの基地局は、常に回りの電波状況を監視しており、勝手に基地局を設置すると、その電波を検知する。
NECの基地局から十分に離れた場所に設置すれば ok ok ってことなのかな。
》 W3C,特許商標局に米Eolasのブラウザ特許の再審査を要求 (日経 IT Pro)。逆襲なるか?
》 横暴集団JASRAC (沙耶16歳さん)。スゲー。SCO どころか、ヤクザも顔負けですなあ。
Windows XP 用の修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
Windows 2000 / XP / Server 2003 用の修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
Re:mod_alias.c の場合 (slashdot.jp)。Apache 1.3.0 の前なので、全ての 1.3.x / 2.x が該当するようですね。
関連: 0063-01 [Oracle]Oracle Database Server バイナリの潜在的なセキュリティの脆弱性 (CTC)。
》 反戦Tシャツ禁止は違憲、米連邦地裁で高校生が勝訴 (読売新聞)。そりゃそうだろう。
》 DB技術者に贈るセキュリティ対策の基本 第3回 Oracleデータベース導入時のセキュリティ対策の基本 (@IT)。 さわったことがないからよくわかんないなあ。
》 米国再入国に指紋照合、来年1月からビザ所有者対象 (読売)。まあ、これまでも US は「外国人」の人権なんて無視無視なんですが。
》 「メール中毒」、拡大の様相 (WIRED NEWS)。気をつけましょう。
》 マルチセキュリティアプライアンス「Proventia」の紹介セミナー (ISSKK)。 大阪でセミナー、という話題があったけど、たとえばこれの定員を見れば、その隔差がよくわかるわけで。
Nachi の新種が?! という話があちこちであるようなのですが (New RPC worm?、[Full-Disclosure] New variant of Nachi ? など)、ISS は、worm である可能性は低いと判断しているようです。 もっとも、そういうものがいつ出てきても不思議じゃないので、ひきつづき注意が必要なのでしょう。
手元的には、445/tcp には目立った動きはないです。
》 『RFID』を生徒の管理に利用する学校が登場 (WIRED NEWS)。 うーむ……。
》 戦争賠償という法の欠落 (ル・モンド・ディプロマティーク 日本語・電子版)。
》 [aml 36295] 貿易と森林問題:11月16日 関西イベント。アピオ大阪、18:00-19:00、1000円。
》 暗証番号を通行人に見せる新幹線自動券売機 (高木浩光@茨城県つくば市 の日記)。 すげぇ。ATM ですらショルダーハックで暗証番号ゲット + カード強盗による預金引き出しが問題になっているのに、これはショルダーですらない。
なお、下手に隠したとしても、こういう話もあるのでご注意を: 貴重品ロッカーの暗証番号を小型カメラで盗撮、巧妙な手口の大型窃盗が関西で頻発 (週刊ゴルフダイジェスト)。
》 ETCで料金踏み倒しが増加中 (slashdot.jp)。 唖然。総裁更迭どころか、民営にしたくらいでは、この組織はよくならないんじゃないのか。 JR だって、ドル箱路線をかかえる会社 だけ はこういうことを平気でやっているわけだし。
》 AOL、ポップアップスパムに“密かに”対処 (ZDNet)。何やったんだかよくわかんないですねえ。
》 Outlook 2003のスパム対策はどうなっているのか (ZDNet)。日本語版でも同様に気持ちよく動作してくれるんですかねえ。 もちろん、日本語な spam も含めて。
》 ハッキングは「私ではなくマシンの仕業」 (ZDNet)。
カナダのオタワ大学ロースクールのマイケル・ガイスト教授は「スパイウェアの台頭により、この手の弁護方法は今後ますます増えていく。われわれは今後、個人に対し、自分のコンピュータの運用についての責任まで問える手段を模索しなければならなくなるだろう」と語っている。
》 ウェブログがスパムの新たな標的に (WIRED NEWS)。やはりこういうのが来ますか。
》 このページは the gematriculator でも うぇぶんるい でも判定できないのさ。フフフ。 (単にでかすぎるらしい)
》 Googleを通して見える世界 (ル・モンド・ディプロマティーク 日本語・電子版)。 これもまた、情報戦争の一形態なのだろうと思ったり。
》 「IT」で若者がぼける? 言われたことや予定を忘れる (毎日)。毎日 MSN Messenger とかで音声チャットしたりするといいんだろうか (なにかちがうような気も)。
》 新勢力●急ピッチで導入が進む「ICタグ」 個別システムでは市民権を得つつも,幅広く普及するには課題山積 (日経 IT Pro)。 千葉県富里市立図書館では、プライバシー問題をどう認識しているんだろう。まともな図書館員ならプライバシー問題には敏感なはずなので、まともな記者ならちゃんとインタビューしてあるはずなんだが。
》 「迷宮のインターネット事件」出版 ネット社会の問題浮き彫り (毎日)。読みやすくていい本だと思います。 もうちょっと脚注が多いともっとよかったと思うけど。 モンティ・パイソンとか、わかんない人多いと思うし。
このような点から、小山氏は「万が一日本が局地的に狙われた場合には、米国のウイルス対策ベンダーの対応が遅れる可能性がある」と指摘。
それは今にはじまった話ではないし、可能性ですらなく、単なる現実。 しかし、「日本のウイルス対策ベンダー」とは認識されていないようですね > トレンドマイクロ。
日本独自の調査機関として、政府などが先頭に立って行なう分析機関が複数必要だと強調した。
政府自身の対応体制は必要だが、それは「米国のウイルス対策ベンダーの対応が遅れる可能性がある」からではないはずだよね。
Blaster発生時には、「当社の脆弱性情報を提供しているWebサイトへは数千万のアクセスが殺到し、電話は最高1日14万件の問い合わせが来た。電話対応はトータルで100万件に達している。これは、もはや1企業では対応不可能だと感じた(奥天氏)」とのこと。
シェアを大幅に落とせば回避できます……というのはともかくとして。 全部 Microsoft に集まるようにしているからそうなるのであって。 メディアや OEM ベンダー、SI 業者をうまく使うことをきちんと考えていなかったツケなんじゃないのかなあ。
まあ、いちばんの問題は、Microsoft がゆるゆるな製品を出荷した、ってことなんだけど。
UNIX / Linux 版の Oracle 9i 9.0.x / 9.2.x に欠陥。コマンド oracle と oracleO (oracle オー) に buffer overflow する欠陥があり、local user が oracle ユーザ権限を取得可能。 CIAC O-013 では Oracle 8i でも、となっているが、リンクされている Oracle Security Alert #59 では Oracle 8i にはこの欠陥はない、とされている。 また Windows 版にはこの欠陥はない。
関連: 0063-01 [Oracle]Oracle Database Server バイナリの潜在的なセキュリティの脆弱性 (CTC)。
Apache 2.0.47 以前 (?) に欠陥。
threaded MPM が使われている場合に、
mod_cgid が CGI リダイレクトを誤って処理するため、CGI が誤ったクライアントに出力されてしまう。
CVE: CAN-2003-0789
mod_alias および mod_rewrite に buffer overflow する欠陥。
CVE: CAN-2003-0542
Apache 2.0.48 で修正されている。2.0.48 の全ての変更は CHANGES_2.0 を参照。
Apache 1.3.28 以前 (?) に欠陥。 mod_alias および mod_rewrite に buffer overflow する欠陥があるようだ。 CVE: CAN-2003-0542。
Fix buffer overflows in mod_alias and mod_rewrite which occurred if one configured a regular expression with more than 9 captures.
more than 9 captures ってどういう意味なんだろう。() が 10 個以上あると、とかいう話だろうか。
Apache 1.3.29 で修正されている。1.3.29 の全ての変更は CHANGES_1.3 を参照。CGI 問題も修正されているようです。
Miracle Linux: apache セキュリティ
Vine Linux: [ 2003,11,06 ] Apache にセキュリティホール
Re:mod_alias.c の場合 (slashdot.jp)。Apache 1.3.0 の前なので、全ての 1.3.x / 2.x が該当するようですね。
Miracle Linux: apache セキュリティ
Vine Linux: [ 2003,11,06 ] Apache にセキュリティホール
Norton Internet Security 2003 v6.0.4.34 (他のもかも) に欠陥。 NIS 2003 が web サイトを block した時に表示するエラーページに XSS 欠陥が存在するのだそうだ。
オフィシャル: Symantec Network Internet Security (NIS) のサイト遮断通知メッセージが正しくチェックされない (シマンテック)。 まだ fix されていない模様。
thttpd 2.21 〜 2.23b1 に欠陥。defang() で buffer overflow が発生、remote から任意のコードを実行可能。 thttpd 2.24 で修正されている。
リリースノート の記述は、下の方に
Fixed buffer overflow bug in defang().
とあるだけですね。
remote から任意のコードの実行が可能な模様。 これを fix した libnids 1.18 が出たそうです。
CVE: CAN-2003-0850
どういうふうにつくると AES がダメになっちゃうんだろうなあ。
》 ウイルスバスター2004: スパイウェア対策について (トレンドマイクロ)。
ウイルスバスター2004のスパイウェア検索機能では、ユーザの情報を無断で送信してしまうプログラムでも、次の条件のいずれかを満たしている場合は「スパイウェア」として検出されません。
・ソフトウェアの作成会社がプライバシーポリシーを保証していること
・プログラムの活動内容が開示されていること
世の中きびしい。
》 ハニーポットはネットワーク監視技術として有用〜エネルギアの濱本氏 (INTERNET Watch)。詳細は 日経ネットワークセキュリティ プロが薦める!最強ツール を参照。
ルーマニアねた: サイバー犯罪の巣窟、汚名を返上したいルーマニア (WIRED NEWS)。
》 スパイウェア関連のトピックスです (アダルトサイト被害対策の部屋)。 Gator について調べていたらたどりついた。 よくまとまっているページですね。
》 新雑誌発刊の呼びかけ (hiropress.net)。よさげ。
年間購読者が 2 万人集まれば、この雑誌はスタートできます。(中略) 最初からお金を振り込んでいただくことをせず、申込書だけを集めさせていただき、創刊の見通しが立った時点( 2004 年 1月 頃)で振り込んでいただこうと思います。
さっそくメールを送付してみた。
》 手元の MHonArc を 2.6.8 に upgrade したので、 もしかすると セキュリティ関連 Mailing List アーカイブに影響があるかも。よい影響しかないはずなのだけど。
》 [mac][security] FileVaultについて感想を聞き回ってみた。 (リンクとか備忘録とか日記とか@はてな%暫定公開中&練習中)。 ユーザランドな暗号化ファイルシステムなんですかね。
IE 6 と Opera に、local file にアクセスできてしまう欠陥がある、という指摘。 これに対して、これは IE ではなく Flash player の欠陥であるとの反論 が PivX の Thor Larholm 氏によってなされている。
In summary, when Macromedia changes their Flash player to no longer store Flash cookies in plaintext in a known location, this will no longer be an issue.
少なくとも Flash player 6.0.65.0 にはこの欠陥があるようだ。 patch はまだない。
公式 Advisory 登場: MPSB03-08 Update to Flash Player Addressing Local Shared Object Security (macromedia.com)。 Flash Player (7,0,19,0) で修正されているそうだ。
NTFS の Alternate Data Stream にトロイを仕込まれてしまいますたネタ。 フォロー で紹介されている
が興味深かったです。
IE 穴を使って mIRC 方面が狙われているそうですが、元ネタはこれでしょうか: Internet explorer 6 on windows XP allows exection of arbitrary code。
いくつかの anti-virus ベンダーが対応したそうです。
[Full-Disclosure] _another_ Internet explorer vulnerability (spread via IRC) - new variation of irc.trojan.fgt。類似品が登場しているようで。
明日 (10/24) はこのページの更新はありません。
》 「ひまわり」後継機の製造会社が破産、完成の目処たたず (slashdot.jp)。唖然、呆然、愕然。 「国産」は金がかかるけど、でも必要なのだ、という事例がまたひとつ、ってことかな。国防ってものがわかってない証拠でもあるのだろうが。
》 マイクロソフト、「Office System」や「SMS 2003」の利用方法をデモ (INTERNET Watch)。そうなんだ。でも SMS はどう考えても買わないから、情報仕入れても意味ないしなあ。
》 携帯電話、中高生の名義借り高額請求 都内で被害相次ぐ (毎日)。こんなのにひっかかる人がいるなんて。
》 質問名「旧日本軍遺棄毒ガス問題に関する質問主意書」の経過情報 (衆議院)。
》 [aml 36204] アフガン・劣化ウラン弾回復基金HP。ぜんぜん終ってません。
》 日本郵政公社でまたウイルス感染,未対策のパソコンが原因か (日経 IT Pro)。まただそうです。
》 [aml 36223] 原水禁NEWS:イランのブシェール原発建設の経緯。話題の施設に歴史あり。
》 住基ネット「選択制」導入へ 東京・杉並区が希望調査を開始 (毎日)。 関連: リンクとか備忘録とか日記とか@はてな%暫定公開中&練習中。
》 「スパイウェア」呼ばわりはダメ——Gator、批判者に法的措置も (ZDNet)。
》 IAB、TRUSTeなどが「メールマーケティングの誓い」を立てる (INTERNET Watch)。誓わなかったらどうなるんだろう。
》 ソニー、64MBのストレージ付き指紋認証USBトークンを展示 (INTERNET Watch)。
価格は、ボリュームディスカウントにもよるが、本体が15,000円程度で、内蔵アプリケーションが数千円程度だろう
2 万円くらいですか……高いなあ。
》 マクニカ、クライアントにパッチを強制適用させることができるソフト (INTERNET Watch)。push ものはいろいろありますよね。
》 搾乳機につながれた4つの乳房の女性——ニュージーランドの遺伝子組み換え解禁に抗議する過激広告 (WIRED NEWS)。 確かに刺激的ですね。
この種の実験は米国でも進行中だが、一般市民からの抗議の声はほとんど聞こえてこない。
遺伝子操作バンザイな国と比べても……。
》 [コンピュータ]269190: [HOWTO] LDAP を介して Windows 2000 ユーザーのパスワードを変更する (だめだめ日記)。ふぅむ……。
》 Valgrind, an open-source memory debugger for x86-linux。 purify みたいなものなんだろうか。
》 東風フォント製作中止に (slashdot.jp)。 残念ですが、仕方ないでしょうねえ。
》 米Microsoft,認定技術者「MVP」向けにソース・コードを開示 (日経 IT Pro)。ソース開示キター。しかし、一旦見てしまうともう後には戻れないだろうからなあ。
》 「ウイルス対策にも予防訓練は必要」,日本HPが新サービスを提供開始 (日経 IT Pro)。たのしそうですね。でもトレンドマイクロ製品利用者じゃないとだめなのかな。
》 Fun with /bin/ls, yet still ls better than windows (guninski.com)。 wu-ftpd + GNU ls で DoS、という話のようだ。 GNU ls に修正がかかった模様。CVS 最新版では修正されているようだ。
》 Sylpheed-claws format string bug, yet still sylpheed much better than window (guninski.com)。 Sylpheed-claws 0.9.6 - 0.9.4 に format バグがある模様。 CVS 最新版では修正されているようだ。 「Sylpheed Claws は Sylpheed メールクライアントの最先端バージョン」なのだそうだ。
》 [NT] PGPDisk Available to Any "Switched User" Under Windows XP。
》 Potential DoS in Interactive Syslog Server (adiscon.com)。WinSyslog と MonitorWare Agent 用の修正プログラムが用意されています。
》 Buffer Overflow in AOL Instant Messager。AIM 5.2.3292 for Windows には欠陥があり、AIM 5.5.3415 Beta for Windows で fix されているそうだ。
old news ですが、まとめておきます。
Exchange 5.5 の Outlook Web Access (OWA) に欠陥。 OWA にクロスサイトスクリプティング (XSS) 欠陥が存在するため、攻撃者が HTML メールを利用して、利用者のセキュリティコンテキストでスクリプトを実行させられる可能性がある。
修正プログラムがあるので適用すればよい。ただし、Exchange 5.5 SP4 + IE 5.01 以降でないとインストールできない。また、10/23 付で修正プログラムが出し直されているので注意されたい。
CVE: CAN-2003-0712。KB: 828489。
old news ですが、まとめておきます。
Exchange 5.5 / 2000 に欠陥。「Exchange サーバー上の SMTP ポートに接続し、特別な細工をした拡張コマンドリクエストを発行」することにより、
可能になるという。
修正プログラムがあるので適用すればよい。Exchange 2000 に対しては、特に早急なる適用が求められる。
CVE: CAN-2003-0714。KB: 829436。
関連: MS03-046 Microsoft Exchange 2000 Heap Overflow。 XEXCH50 コマンドに欠陥があるそうです。お試しコードも公開されています。
old news ですが、まとめておきます。
Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 リストボックスコントロールおよびコンボボックスコントロール (どちらも User32.dll に含まれる) に buffer overflow する欠陥がある。この欠陥を悪用すると、特定の Windows メッセージをリストボックスあるいはコンボボックスを使用するアプリケーションに送ることにより、任意のコードを実行させることが可能となる。 Windows 2000 のユーティリティマネージャのように local SYSTEM 権限で動作しているアプリケーションに送れば、その権限を奪取できてしまう。 ただし、この欠陥を悪用するには local から攻撃する必要がある。
修正プログラムがあるので適用すればよい。注意: Windows 2000 用修正プログラムのうち、ブラジル語、 チェコ語、 デンマーク語、 フィンランド語、 ハンガリー語、 イタリア語、 ノルウェー語、 ポーランド語、 ポルトガル語、 ロシア語、 スペイン語、 スウェーデン語、 トルコ語版については、互換性を改善するために修正プログラムが出し直されている。 これらの言語版の利用者は、最新の修正プログラムを再適用されたい。 日本語版や英語版などについては、この問題はない。 関連: Patch MS03-045 for Czech W2K has conflicting kernel32.dll。
CVE: CAN-2003-0659。KB: 824141。
関連: Listbox And Combobox Control Buffer Overflow 。
Windows XP 用の修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
アップデートされた理由: 830846 - Windows Update のインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される (Microsoft)。
アップデート版の (中略) 修正プログラムには、バージョン 5.4.1.0 の Update.exe が含まれています。5.4.1.0 以降のバージョンの Update.exe では [プログラムのデバッグ] のユーザー権利は必要ありません。
old news ですが、まとめておきます。
Windows XP / Server 2003 に欠陥。「ヘルプとサポート」における、HCP プロトコル関連ファイルに buffer overflow する欠陥がある。この欠陥を悪用するには、攻撃者は web ページや HTML メールに悪意ある URL を記述する。ユーザがこの URL をクリックすることで攻撃が成立し、攻撃者は既存のファイルを読んだり起動させたりできる。
この欠陥のあるコードは Windows XP / Server 2003 だけでなく Windows Me / NT 4.0 / 2000 にも存在する。しかしこれらでは HCP プロトコルを使用していないため、悪意ある URL をクリックしても攻撃が行われないようだ。
修正プログラムがあるので適用すればよい。Windows XP / Server 2003 だけでなく Windows Me / NT 4.0 / 2000 用の修正プログラムも用意されている。
CVE: CAN-2003-0711。KB: 825119。
関連: #NISR15102003: Microsoft PCHealth Privilege Escalation (nextgenss.com)。
old news ですが、まとめておきます。
Windows 2000 に欠陥。Microsoft ローカルトラブルシュータ ActiveX コントロール (Tshoot.ocx) は「スクリプトを実行しても安全」とマークされているが、実際には buffer overflow する欠陥がある。この欠陥を悪用すると、web ページや HTML メールによって、クライアントコンピュータ上で任意のコードを実行させることが可能となる。
修正プログラムがあるので適用すればよい。
CVE: CAN-2003-0662。 KB: 826232)。
関連: [Full-Disclosure] Microsoft Local Troubleshooter ActiveX control buffer overflow 。
修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
アップデートされた理由: 830846 - Windows Update のインストール中、応答が停止するか、大部分またはすべての CPU リソースが消費される (Microsoft)。
アップデート版の (中略) 修正プログラムには、バージョン 5.4.1.0 の Update.exe が含まれています。5.4.1.0 以降のバージョンの Update.exe では [プログラムのデバッグ] のユーザー権利は必要ありません。
old news ですが、まとめておきます。MS03-041 以降、Bulletin のフォーマットが変更されていますね。
Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 Authenticode が認証を確認する方法に欠陥があり、「ある特定のメモリが不足した状態」において認証ダイアログが表示されず、そのまま ActiveX コントロールがダウンロード・インストールされてしまう。この欠陥を悪用すると、悪意ある web サイトは悪意ある ActiveX コントロールをクライアントコンピュータにインストールでき、クライアントコンピュータ上で悪の限りをつくすことが可能となる。
修正プログラムがあるので適用すればよい。
CVE: CAN-2003-0660。KB: 823182。
》 Java & .NET サーバーサイドセキュリティセミナー (ウェブプラネット)。 2003.10.27、東京都千代田区、1500円。
》 Weekly SOC Report (ISSKK)。
この脆弱点 (小島注: MS03-043) を利用した場合、UDPを使うことによりSlammerに準じたスピードでの拡散と、MS Blasrerと同じ感染ターゲットを持つワームを開発することが可能であるため、十分な注意を払う必要があります。
なお、ワームまたは、攻撃コードが利用するものと予想されるのは、TCPおよびUDPの1024-1100番までのポートです。ネットワーク管理を行われる方においては、これらのポートが確実にブロックされていることを確認してください。
学内向けに書いたものの方がすこし詳細かも。
》 「ウイルスバスター2004 インターネット セキュリティ」 無料アップグレード (トレンドマイクロ)。 ウイルスバスター2004Part2 (2ch.net) をみると、personal firewall 機能をインストーラ段階で削除できないのと、新機能はオマケの域を出ないようだという感じなのかな。基本機能はよいようで、2003 のような不評さくさく状態ではないみたい。 製品Q&A(トラブルシューティング) (トレンドマイクロ) にも 2004 ネタが出てきていますね。
》 CTC、セキュリティ教育ビジネスに本格参入 アイ・ディフェンス・ジャパンとの協業により、セキュリティ技術者の育成を推進 (CTC)。実施が決まっているのは Ultimate Hacking コース (2003.11.18〜21、58 万円) のみのようですが、 Incident Response/Forensics コースや Special Edition コースも企画されているそうで。それにしても、いいお値段だなあ。
》 「単なる大本営発表」と田中康夫知事,総務省の住基ネット侵入テスト結果を一蹴 (日経 IT Pro)。 田中知事の指摘は 住基ネットに対するペネトレーションテスト結果報告 (総務省) にちらっと書かれている「クロワ社による助言」と ((4) を除いて) ほぼ同じ意味のような気が。総務省は現場を理解していない (あるいは故意に無視している) とも言えるのかな。
》 FreeBSD おぼえがき 2003年10月20日(月)21時23分15秒。 Serial ATA はもうちょっと待った方がよいのかなあ。
》 キヤノン元社員、発明対価10億円求め訴え (日経)。この手の話が続きますねえ。日本企業が社員に大していかにまともな対価を与えていないか、ということでもあるのだろうけど、弁護士な方々が「この方面は金になる!!」と気がついたのかもしれないなあと思ったり。
Sun の JRE 1.4.2_01 に欠陥。 別々のドメインから読み込まれた、署名されていないアプレットが、JDK の文書化されていない変数を介してデータを共有できてしまう、という指摘。
実は remote からも攻略可能なのだそうだ。 えくせるさん情報ありがとうございます。
[Full-Disclosure] port of ms03-043 dos, fix for freebsd と MS03-043 Popup Messenger Servce buffer-overflow 関連話を追記。
Opera 7.11 / 7.20 の、少なくとも Windows 版と Linux 版に欠陥。A タグの HREF 属性の処理において buffer overflow が発生する。このため、悪意ある web ページ作成者や HTML メール送信者によって任意のコードを実行させることが可能となる。
Opera 7.21 で修正されている。しかし、Opera 7.21 press releases (opera.com) には security なんて文字はどこにもない。また Changelog for Opera 7.21 for Windows (opera.com) には
Privacy and security
・ Updated to latest version of OpenSSL
としか書かれていない。この会社のセキュリティへの取りくみははあいかわらず低いレベルに保たれているようだ。
日本語版の Opera 7.21 はまだないようですね。
mod_security 1.7
Mod_security is an Apache module whose purpose is to protect vulnerable applications and reject human or automated attacks.
Redfang - The Bluetooth Hunter 2.5。 Bluetooth デバイス強制探索ツール。 Linux 用のツールだそうです。
Chaosreader - Trace TCP/UDP from Tcpdump Logs。 perl スクリプトです。Windows でも使えるそうです。
》 NTBugtraq Patch Management Poll (NTBugtraq)。いろいろありますね。
》 ぷらら、「Winny」や「Win-MX」のトラフィック制御を11月より開始 (INTERNET Watch)。そういう状況なんですね。
》 Incident Response Tools For Unix, Part Two: File-System Tools (securityfocus.com)。 日本語にしたくなる文章だなあ。FreeBSD 方面だと、packages/ports については pkg_info -g で MD5 digital signature をチェックできるようです。OS 部分はだめですけど。 たとえば make installworld するときにチェック用データをつくったりするとうれしいのかなあ。
》 MS批判のCCIA報告書に物申す(Part 3) (ZDNet)。
》 テロ警告、日本も名指し…ビンラーディンが肉声で? (読売)。対米協力が認知されたようで、よかったね > 日本政府。
》 宮城沖地震に備え、政府が北日本の観測強化 (読売)。
検討した結果を来年夏までに中間報告としてまとめ、装置の開発や設置に着手する。
間にあうのか?
》 第3回 JPNIC・JPCERT/CCセキュリティセミナー2003 開催のお知らせ (JPNIC)。 警察庁方面 + 定点観測ネタ。 定点観測ネタは発表できる段階に到達しているんだろうか……。
》 JALがハワイ・メガ高級ゴルフリゾート開発から撤退 (フラ・カヒコ 公演&ムーブメント)。 2001.05 の[aml 21807] 報告と第2次のお願い:ハワイ先住民の権利と環境を破壊するJALハワイリゾート開発の話。JAL 撤退、だそうで。 また 9 月には、裁判所から工事停止命令が出された (つづき) のだそうです。
》 総務省が住基ネット侵入実験 「安全性問題なし」 (毎日)。オリジナル: 住基ネットに対するペネトレーションテスト結果報告 (総務省)。理想的な状態で理想的な攻撃をした場合には防ぐことができている、ということなのかな。行われていないテストがある (CS への直接攻撃など) し、テスト詳細がわからないからその結果を検証することもできないので、「これで安心」とはとても言えないなあ。 せめて patch 適用ポリシーくらい公開してくれナイト。 ところで「ペネトレーションテスト」って、ふつう 3 時間で終わるものなんですか?
一方の長野県は「現場の状態重視」だろうから、こちらの発表にも注目ですね。
》 Tea Room for Conference No.1591。 JASRAC公開講座『知財・ビジネス・著作権』、 キャンパスプラザ京都なんですね。知らなかった。
このコンサートはJASRAC会員(作詞家・作曲家・音楽出版社)の会費により、公益的文化事業として開催いたします。
スポンサー様に損はさせない内容なのかな。
》 「僕じゃない、中の人がしたんだ!」 (slashdot.jp)。 AC さんがおっしゃるのは、
Caffrey's counsel questioned the validity of Barrett's evidence because the witness had not physically examined the actual hard disk from Caffrey's computer, but an image of it that was sent to him on CD-ROM.
(from Expert undermines hacking suspect's defence) の訳が
一方、Caffreyの弁護人は、BarrettがCaffreyのコンピュータのハードディスクを、実際に自分の目で調べたわけではなく、送られてきたCD-ROMの画像しか見ていないことから、Barrettが示した証拠の正当性を疑問視した。
(from 英ハッカー裁判--専門家が容疑者の主張の正当性を否定) になっている、ということかな。
しかし、判決文も読まずに議論なんてできないと思うんだが……。 判決文はどこかにないのかなあ。 ……匿名希望さんから http://www.courtservice.gov.uk/JudgmentTextSearch.do を教えていただきました (ありがとうございます)。そのうち掲載されるのかな。
関連:
Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 メッセンジャサービスに buffer overflow する欠陥があるため、これを悪用すると、remote から local SYTEM 権限で任意のコードを実行できてしまう。
修正プログラムがあるので適用すればよい。
2003.10.30 追記: Windows 2000 / XP / Server 2003 用の修正プログラムが再リリースされている。 「Debug Programs (SeDebugPrivilege) のユーザー権利の問題」が修正されている、のだそうだ。
2003.11.17 追記: 上記の修正プログラム再リリースのうち、Windows XP 用については、 ファイルの一部が正しくインストールされないという問題 が秘密裏に修正されていたことが判明。 英語版の MS03-043 ページでは、version 2.2 (2003.11.14) でこの件が追記された。
回避するには、メッセンジャサービスを無効にすればよい。 ほとんどの人は無効にして構わないだろう。 Windows Server 2003 では、デフォルトで無効になっている。 無効にする方法は MS03-043: 「メッセンジャー」サービスの停止方法 を参照。
CVE: CAN-2003-0717。KB: 828035。
MS03-043 Messenger Service Scanning Utility (ISS)。 version 2 になっています。 version 2 では silent scan がデフォルトになりました。
[Full-Disclosure] Proof of concept for Windows Messenger Service overflow
[Full-Disclosure] Linux Ported Version of MS03-043 DOS
[Full-Disclosure] port of ms03-043 dos, fix for freebsd
MS03-043 Popup Messenger Servce buffer-overflow、 Re: MS03-043 Popup Messenger Servce buffer-overflow。 MS03-043 patch は NetrSendMessage API を無効化してしまうという話。 なお ifids は RPC tools v1.0 (razor.bindview.com) に含まれています。
[Full-Disclosure] port of ms03-043 dos, fix for freebsd と MS03-043 Popup Messenger Servce buffer-overflow 関連話を追記。
Windows 2000 / XP / Server 2003 用の修正プログラムが再リリースされたことを追記。
Windows XP 用修正プログラム再リリースに関する話を追記。
TEMPEST ねた。ベンダー情報: 無線LAN向けシールド設備「e-wave AEGIS(イージス)」 (クマヒラ)。 半径 20m を war walking してみた結果からは、ガラスがいちばん通りやすいような気がしているので「ガラス面シールドフィルム」だけでもかなり違うような気がしているのだが、実際にはどうなんだろう。
しかし、いくらかかるんだろう。
》 Windows XP SP2の遅れは新セキュリティ技術「Springboard」のせい (日経 IT Pro)。おぉ、これは……。わくわく。
しかし、赤福 18 個ですか……。
10 枚くらい書いてから、「なんだか方向性が違う」ことに気がついてステ。 間にあうのか?
》 NPO「日本セキュリティ監査協会」が発足 (ZDNet)、 公正/公平なセキュリティ監査実現を目指す、日本セキュリティ監査協会設立 (MYCOM PC WEB)。 後者の方がくわしい。
CERT Advisory などを追記。
》 「Digital Defense Test」に学ぶべき理由 (ZDNet)。 おもしろそうだけど、言語バリアーがあぁ。(T_T)
》 Web日記の魅力は粗暴性なのか? (高木浩光@茨城県つくば市 の日記)。 内容全体はともかくとして、
目つきのヤバい少年がナイフをシュッ・シュッと振り回しながら街を徘徊している情景が目に浮かんだ。
この一文はあまりにまずいのではないか。最初にネガティブ・イメージを張りつけてしまっては、……。
》 「神舟5号」成功、軍事利用に警戒感 米主要メディア (asahi.com)。あいかわらず、自分のことは棚に上げるのがお得意な人達だなあ。
》 東南海・南海地震等に関する専門調査会(第15回) (防災情報のページ)。
》 BSD CONFERENCE JAPAN、 2003.10.18 10:00-20:00、東京都新宿区、¥2,000 (T シャツつき)。 Mac OS X 話がけっこうありますね。匿名希望さん情報ありがとうございます。
ちなみに同日開催の赤福オフですが、最後にしゃべる人はプレゼン資料が全くできていないらしいです。
》 萌えクリ - 「萌える![[クリエイティブ・コモンズ]](仮)」の同人出版企画ブレスト会場です。 企画進行中のようで……。 やっぱりキャラが命だと思うので、がんばってほしいです (なにをだ)。 (info from 真紀奈17歳さん)
》 Mozilla 1.5, Firebird 0.7, Thunderbird 0.3同時リリース (slashdot.jp) だそうです。
》 OpenBSD 3.4 のCD出荷開始 (slashdot.jp) だそうです。
》 Windowsサーバーを「がさいれ」してボトルネックを探すツールが登場 (日経 IT Pro)。フォレンジックものではないようです。
》 826939 - Update Rollup 1 for Windows XP Is Available (Microsoft)。IE や Windows Media Player の fix は含まれていないみたい。また 64bit Windows XP には対応していないそうで。
》 [aml 36149] Fwd: [ナブルス通信]「侵攻また侵攻」傷だらけの街にまた戦車が・・。テロ国家による攻撃は、いつまで続くのだろう。
》 迫る中国初の有人打ち上げ、単なる技術導入でも模倣でもないオリジナル技術搭載 (日経 BizTech)。ふむむ。木達さん情報ありがとうございます。
しかしそうなるとますます、 中国有人宇宙船: 宇宙大国の地位を確保 平和利用に疑問強く (毎日) にある
外務省報道官は14日の会見で「打ち上げ成功によっても、中国が発展途上国であることは変わりようがない」と強調した。
というのは苦しいですねえ。
関連: (問)中国が有人の宇宙船の打ち上げに成功しましたが、この件が中国に対するODAの供与についての議論に関してどのような影響を与えるかの点についてお話頂けますか。 (外務省 報道官会見記録(10月15日付))。 41% 減った、というよりも、この経済状況下で 1342 億円も対中 ODA に使っているなんて、としか読めないなあ。
》 Windowsシステムを探検しよう---第20回 修正パッチ・インストーラの誤りを考える (日経 IT Pro)。これって本当に誤りなんですか? Windows Update の履歴や「プログラムの追加と削除」にはちゃんと出てきますが……。 Microsoft のやりかたが不統一だ、という批判はできると思うけど。
》 株価最新情報チェックツールが実はキーロガー! 当局が19歳の提供犯を起訴 (MYCOM PC WEB)。氷山の一角なんだろうなあ。山口さん情報ありがとうございます。
》 電子カルテがウイルスに感染 全国34病院 (毎日)。 電子カルテシステム、に Nachi が感染したようで。
同病院事務局は「業務への影響はなかったが、業者に対し厳重注意し、遠隔操作による保守点検の中止も求めた」と話している。
遠隔操作による保守点検をやめちゃって大丈夫なんでしょうか。 Nachi が感染するような「遠隔操作による保守点検」は確かによくないと思いますが、そうじゃない「遠隔操作による保守点検」もできるはずですよねえ。
元ネタ: Finjan Software Discovers a New Critical Vulnerability In Microsoft Hotmail。 ---<iframe ....> などと書くと、hotmail のタグフィルタを通過できていた模様。
だからって、こんなにいっぱいこなくても:
MS03-043 を利用したネットワーク経由の攻撃や MS03-044 を利用したウィルスの登場がありそうかなあ。やられるまえに MS03-043 Messenger Service Scanning Utility (ISS) で調査して hotfix を適用しましょう。利用上の注意: [memo:6532]。 MS03-041 の "under certain low memory conditions" というのはどの程度の状況なんだろう。
関連記事:
今月から月刊 Windows Update になったのだそうで。刊行日は第 3 木曜日で固定になるのかなあ。固定にしないと意味ないはずだから、どこかに固定されると思うけど。
……Revamping the Security Bulletin Release Process (Microsoft) によると
Starting in October 2003, Microsoft will release security bulletins on the second calendar Tuesday of every month. However, the first set of monthly bulletins for October will be released on Wednesday, October 15, 2003.
だそうなので、第 2 水曜日 第 2 火曜日の次の日 (日本時間) ですね (ややこしい表現だなあ)。足立さん情報ありがとうございます。MORITA さん、ご指摘ありがとうございます。
関連情報:
》 Opera 7.21 for Windows, Linux, FreeBSD, Solaris が出たようです。 press releases。
》 後を絶たないIEのセキュリティ・ホール,設定変更などで“自衛”を (日経 IT Pro)。Unpatched IE security holes の閉鎖にも触れられています。 PivX さんのおかげで手抜きができていたのですが、これでまた自分自身で調べるしかなくなっちゃいましたね。
》 情報セキュリティ講座 (NII.ac.jp)。 大学等向けだそうで。
》 VirusScan、NetShiledがサポートするOS、IEのプラットフォームは? (NAI)。VSE 7.1 を試さナイト。
》 中国初の有人宇宙船「神舟5号」打ち上げ成功 (asahi.com)。 技術的にはソユーズのコピー品らしいですが、宇宙船本体や打ち上げ時の写真は公開されていないんですかねえ。
……アオキさんから情報をいただきました (ありがとうございます)。 中国なサイトにはいっぱいあったのですね。
》 JANOG12 ミーティング 〜 和 〜 の「SPAMメール対策の現状と課題」の発信者詐称 spam メールによる DoS 攻撃への対策手法に記載されているメーリングリストが稼働しはじめたのだそうです。
[RHSA-2003:278-01] Updated SANE packages fix remote vulnerabilities
Red Hat Linux 7.1〜8。 CVE: CAN-2003-0773 CAN-2003-0774 CAN-2003-0775 CAN-2003-0776 CAN-2003-0777 CAN-2003-0778。 saned を使っていなければ問題ない (デフォルトでは使わない)。 Debian で対応するのは [DSA 379-1]。
SANE 自身ではいつ fix された話なんだろう。 NEWS にある「New with 1.0.11, released 2003-02-09: * Security fixes for saned」がそうなのかな。from Changelog:
2003-02-09 Henning Meier-Geinitz <henning@meier-geinitz.de>
* frontend/saned.c sanei/sanei_codec_bin.c sanei/sanei_wire.c: Check the IP address of the remote host before any communication occurs. Check for a errors before trsuting values that came from remote. Make sure that strings are 0-terminated.
[RHBA-2003:247-01] Updated SANE packages prevent hardware damage
Red Hat Linux 9。security fix じゃないけど EPSON 1260 スキャナを利用している人は適用した方がいいでしょう。 ハードが壊れるらしい。 この fix は RHSA-2003:278-01 にも含まれている。
ISS も問題の存在を確認した模様です: Microsoft RPC での競合状態によるサービス不能 (ISSKK)。 MS03-039 適用済みでも DoS 状態 (crash) が発生し得るが、いつ発生するかを予測するのは困難だとしている。
中村さんからの情報を追記 (ありがとうございます)。 さらに荻野さんからの情報を追記 (ありがとうございます)。 TOP ページにはリンクがある (フレームをスクロールしましょう)。しかし NEWS ページにはないし、サイト内キーワード検索でもひっかからないのもまた事実。
exploit: Working proftpd remote root exploit。
》 http://pc2.2ch.net/test/read.cgi/win/1054515786/827。 私が大御所であることは明確に否定できる。痛い部類であることは否定しない。
》 Opinion:MS批判のCCIA報告書に物申す(Part 2) (ZDNet)。大筋において John Carroll 氏の意見に賛成。全部じゃないけど。
》 世田谷区で回復費用の一部を職員に負担 (日経)。画期的かも。 杉本さん情報ありがとうございます。 でも世田谷区ホームページには何もないなあ。
》 Windows Server 2003 (MSDN) にはいろいろありますね。 Build Secure Applications with Windows Server 2003 とか……。
》 Xprobe2 v0.2 (sys-security.com) だそうです。
》 [aml 36105] お薦め映画 『戦場のフォトグラファー ジェームズ・ナクトウェイの世界』。これですか:
Theater Information。あ、京都でも上映してるじゃん。 しかし 11:00 から 1 回だけかー。苦しい。
》 このところあまりに痛すぎるものが多いので、 がんばれ!! ゲイツ君 をアンテナから外しました。↑のリンク集からはだいぶ前から外してあったのですが。
mIRC 6.0〜6.11 に欠陥。 細工した DCC リクエストにより、remote から mIRC を crash させられる模様。 関連: mIRC Unspecified DCC Request Vulnerability (Exploit) (securiteam.com)。
mIRC 6.12 で修正されている。 また /ignore -wd * ディレクティブにより回避できる。
mIRC には mIRC Buffer Overflow (irc:// Links) という話もあったらしい。これは 6.11 で修正されているのだそうだ。
IRCnet IRCD 2.10.3p3 以前の 2.10.x に欠陥。local から攻略可能な buffer overflow 欠陥があるそうだ。2.10.3p4 以降で修正されている。最新は 2.10.3p5。 http://akson.sgh.waw.pl/~chopin/ircd/patches/m_join.diff に patch があるそうだ。
関連: Buffer Overflow in JOIN Command Leads to DoS (securiteam.com)。
えくせるさんから (情報ありがとうございます)。
buffer overflow in IRCD softwareに関する記載で、"Local"からbuffer overflowが可能ではなく、"Remote"から可能な様です*2。
実際にLocalIRC網を私も個人的にやっている関係で、このNewsには大変助かりました。 しかし、記事にはLocalと書いてありますが、実際にExploitを実行し、確認してみたところ明かにRemoteから可能でしたので、ご報告をさせて頂きました。
*2 付け加えますとIRCDのI-Lineでアクセスが許可されているHostからなら誰でもIRCDをDownさせることができるようです。
OpenOffice.org 1.1 の UNO 対応機能に欠陥。Setup.xml やコマンドラインオプションを利用して OpenOffice.org が 8100/tcp を listen している状態 (デフォルトではそうなっていない) に対して DoS 攻撃を行うことが可能、という指摘。
Counterpoint: Linux vs. Windows Viruses。security fix されてもアナウンスされないじゃん、というケースは確かにある。
マイクロソフト、現行のセキュリティ対策に追加して、新たな強化策を発表 〜同時に、Windowsユーザーに向けて、さらなるテクノロジーに関する投資を発表〜 (MSKK)。
Windows 用バイナリなど。
》 Tiny Windows 2000 Reverse Connect 。 reverse shell shellcode for Windows というのも出てましたね。
》 IE 6 XML Patch Bypass (with Media Player 9) や Windows Media Player & Internet Explorer File Download & Execution (with Media Player 8) という話があるようで。手元ではいまいち再現できないのであれなのだが。 解説: RE: IE 6 XML Patch Bypass。
》 不正溶接問題の根本原因を究明せず、補修工事を始めた日本原燃 — 8月6日付報告書の問題点について(暫定版)— (美浜の会)。日本原燃のマインドの欠如はいかんともしがたいものがありますな。
》 POPFile ドキュメンテーション (popfile.sourceforge.net)。 spam 対抗ツールとして使えるようです。
》 SpywareGuard 2.2 (wilderssecurity.net) というものがあるんですね。
old news ですが、まとめておきます。
MS03-032 で示された Internet Explorer 5.01 / 5.5 / 6 の欠陥が直り切っていなかった問題 (参照: 米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず) の修正。
「インターネット・エクスプローラがポップアップウインドウの呼び出し時に、Web サーバーから返されたオブジェクトタイプを、適切に判断をしないために発生する脆弱性」。[Full-Disclosure] BAD NEWS: Microsoft Security Bulletin MS03-032 のこと。
CVE: CAN-2003-0838
「インターネット エクスプローラが XML データ接続を行っている間、Web サーバーから返されたオブジェクトタイプを、適切に判断をしないために発生する脆弱性」。 Re: [Full-Disclosure] BAD NEWS: Microsoft Security Bulletin MS03-032 のことなのかな。
CVE: CAN-2003-0809
修正プログラムがあるので適用すればよい。ただし MS03-040 修正プログラムには副作用があるので注意すること。
827667 - [IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する (Microsoft)
実は MS03-032 からの問題だそうだ。 この副作用に対する修正プログラムがあるので適用すればよい。
MS03-040 を適用すると、 818857 - [IE6] MIME タイプにより ActiveX コントロールを起動するのに時間がかかる (Microsoft) で示されているファイル Urlmon.dll が、MS03-040 に含まれる、互換性のないバージョンで上書きされてしまうそうだ (Windows HotFix Briefings Biweekly(10月10日版)参照)。MS03-040 を適用している場合、818857 修正プログラムを再適用する必要がある。
また、MS03-040 と同時に 828026 - [WMP] Windows Media Player の URL スクリプト コマンド機能の更新 が公開されている。これ自体は欠陥修正プログラムではなく機能向上プログラムのようだが、Windows Media Player にからむ欠陥も多い昨今でもあるので、ぜひ適用しておきたい。
reg コマンドの問題は、Windows Server 2003 にはないらしいです。
》 CDコピー防止技術回避の学生提訴は取りやめ (ZDNet)。 ようやく気がついたようです。
》 座礁船: 水産庁が対策マニュアル作成 (毎日)。 水産庁 web ページには (まだ?) ないようです。
MS03-039 の Universal Remote Exploit だ、とされているものが公開されています。
コンパイルできないよーという話もあるようですが……http://www.cyberphreak.ch/sploitz/MS03-039.txt ならだいじょうぶなのだとか。
さらに悪いことには、既存の hotfix を全て適用した場合でもまだ欠陥が残っている、という話があるそうです。DoS の他、任意のコードの実行も可能かもしれないそうで。snort シグネチャもついてます。
さらなる fix が登場するまで、DCOM を無効にするか、あるいは (境界 | パーソナル) ファイアウォールによるアクセス制御によって回避しておいた方がいいかもしれません。 対象の port は MS03-039 の FAQ にあります。 いや、「さらなる fix」が登場するのかどうか知りませんし、ファイアウォールは常時稼働させた方がいいと思いますが。
Windows 用バイナリ (http://www.SecurityLab.ru/_exploits/rpc3.zip) が公開されています。ただし、シェルコードは含まれていません (bshell2 の中身は aaaa.... になっている)。
RE: [Full-Disclosure] Bad news on RPC DCOM vulnerability には snort シグネチャもついていますが、検出事例があるそうで。
ISS も問題の存在を確認した模様です: Microsoft RPC での競合状態によるサービス不能 (ISSKK)。 MS03-039 適用済みでも DoS 状態 (crash) が発生し得るが、いつ発生するかを予測するのは困難だとしている。
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012) で修正されました。
》 http://sagyou.plala.jp/index.htm って proxy なんですかね? けんさん情報ありがとうございます。
……アクセス制限がかかった模様。
》 就業規則: 「周知してなければ効力なし」と初判断 最高裁 (毎日)。ほほぅ。セキュリティポリシーも、もちろんそうでしょうねえ。
》 中央防災会議 「首都直下地震対策専門調査会」のページ (防災情報のページ)。京大には「巨大災害研究センター」というものがあるんですね。知らなかった。
》 325192 - Internet Explorer または Windows に更新をインストールした場合の問題 (Microsoft)。 IE 6 SP1b では、このあたりもすっきりしてくれるのかなあ。
》 パスワード設定のホントとウソ(後編) (ZDNet)。 このあたりの話は、脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定 (Microsoft) でもいろいろと解説されていますね。 「脅威とその対策 : Windows Server 2003 と Windows XP のセキュリティ設定」はなかなかおもしろいです。おすすめ。
》 TCP139番ポートに対するトラフィックの増加について (@police)。手元的には全く増えていないですねえ……。
》 Protect Your PC Web サイトの自動化された部分に関してよく寄せられる質問 (Microsoft)。そんな機能があったとわ。
A4 : Protect Your PC Web サイトの自動化された部分は、主にホーム ユーザーを対象としています。コンピュータがネットワークに接続されている場合、マイクロソフトでは Protect Your PC Web サイトの自動化された部分を使用しないことを推奨しています。
あの〜、Protect Your PC Web サイトに接続している時点で「コンピュータがネットワークに接続されている」と思うのですが……。
》 情報セキュリティ総合戦略 (経済産業省)。 それで、天気予報はどうなってるんですか? > JPCERT/CC。
》 もしかして、 rim.or.jp のメールサーバ壊れてます? ……これか: 10月10日(金) メール/WWWサーバ障害報告 (rim.or.jp)。
「ユーザ名@xx.rim.or.jp」のメールアドレスで、メールの送受信が行えません。
どこかに溜っているのではなく、user unknown で返されている模様。
……直ったようです。 10月10日(金) メール/WWWサーバ障害報告 (rim.or.jp)。
》 「光学迷彩」のデモもある「MIXED FANTASY〜MRテクノロジーEXPO 2003」開催 (MYCOM PC WEB)。光学迷彩システムの様子が ZDNet 記事よりわかりやすい。
》 過熱するブラウザ特許訴訟、「IE配布停止」要求も (ZDNet)。 Eolas Technologies はなんとか儲けようと思って必死なのかな。 争っている最中に争点自体が消滅しそうですけどね。
》 CDコピー防止技術を破った学生に訴訟の可能性 (ZDNet)。
SunnCommのCEO(最高経営責任者)ピーター・ジェイコブズ氏は9日、この件に対する法的措置を考えており、刑事訴訟と民事訴訟の両方を検討していると語った。
SunnComm Technologies の辞書には「技術者倫理」という項目はない模様。
「まったく理不尽だ」と語るのは電子フロンティア財団(EFF)のフレッド・フォン・ローマン弁護士。(中略) 「ホルダーマン氏が公表しているのは悪玉(ハッカー)の悪用コードではない。Windowsの基本的な機能だ。これはDMCAが5年前に成立して以来、いかに乱用されてきたかを示す事例であり、これ以上の格好の例は考えにくい」
》 知性をもたない「上席研究員」を抱える研究所の不幸 (崎山伸夫のBlog)。 インターネット投票が民主主義を変える (RIETI) ってどう見ても「住基ネット活用ネタ」だよなあ。 総務省がウハウハ喜びそうな気がする。 住基カードを借り出して……なんて選挙違反が山ほど発生するぞきっと。
》 [RHSA-2003:281-01] Updated MySQL packages fix vulnerability
[Full-Disclosure] Buffer overflow in MySQL の fix。 4.0.15 / 3.23.58 で修正されている。 CVE: CAN-2003-0780。
exploit: exploit for mysql -- [get_salt_from_password] problem。
》 [Full-Disclosure] Process Killing - Playing with PostThreadMessage
MS03-040 には 2 つの副作用があるそうだ:
827667 - [IE] Q822925 または Q828750 を適用すると相対 URL を使用したスクリプトで HTTP 404 エラーが発生する
実は MS03-032 からの問題だそうで。 示されている hotfix は、 @IT の記事では「この修正プログラムがMS03-040の問題に対しても有効かどうかは、10月9日時点で特に記載されていない」 とされているが、現在は MS03-040 (828750) への対応が明記されている。
MS03-040 を適用すると、 818857 - [IE6] MIME タイプにより ActiveX コントロールを起動するのに時間がかかる で示されているファイル Urlmon.dll が、MS03-040 に含まれる、互換性のないバージョンで上書きされてしまうそうだ。MS03-040 を適用している場合、818857 修正プログラムを再適用する必要がある。
あわせて、828026 - [WMP] Windows Media Player の URL スクリプト コマンド機能の更新 と 2003.10.07 に追記した話が解説されている。
日本語な関連記事を追記。
NetBSD Security Advisory 2003-016: Sendmail - another prescan() bug CAN-2003-0694
NetBSD: NetBSD Security Advisory 2003-015: Remote and local vulnerabilities in XFree86 font libraries。
fix / patch: に NetBSD Security Advisory 2003-017: OpenSSL multiple vulnerabilities を追加。
「多様性はよいことだ」はいいのだけど、重要なのは、最後のここだろう:
だがGartnerは顧客に対して、「正しいやり方で行なうこと、さもなければ全くやらないように」と警告している。デスクトップに多様性を持たせる作業で、企業は往々にして失敗する可能性があるという。Gartnerのレポートは、サイバー攻撃が成功するケースの3分の2はシステムの設定の誤りを狙ったものであると指摘した上で、企業に対し、多様化は正しく実行できる場合以外は行なうべきではないと強調している。
「複数のOSをずさんに管理するくらいであれば、単一のOSを厳密に管理する方が、よほど優れたセキュリティを実現できる」とレポートには記されている。
事実上「複数のOS」は Windows + UNIX / Linux だろうが、 ずさんに管理された UNIX / Linux はカモがネギしょっているようなものですからね。
情報セキュリティ総合戦略 (経済産業省) の【戦略 2】の施策例として、こんなのが出てますね:
一極集中・依存リスクを回避した IT 基盤の形成
OS や GPS のような、一極集中・依存リスクが生じる恐れのある基盤については、企業や国民が選択肢を持てるよう、国として何らかの代替案の確保を検討。
あと、Opinion:MS批判のCCIA報告書に物申す(Part 1) (ZDNet) なんて記事も出ているが、
端的に言えば、モノカルチャーには確かにリスクが内在するが、OS日用品化のメリットは、このリスクに伴う代償を補って余りあるほどに大きなものだ。
常にこれが成立するような書き方をしているのはよくない。 そんなものは、導入者の価値基準によっていくらでも変わるのだから。
》 延期に延期を重ねる米国の化学兵器廃棄計画 (WIRED NEWS)。 国連査察団を派遣しなくちゃ。
》 [aml 36053] 10月8日・前駐レバノン大使・天木直人氏会見 (於)外国特派員協会。 政権交代の必要性を訴える人がここにも一人。
》 「マイノリティ」の世界から“透明人間”まで——“複合現実感”を楽しめる「MR-EXPO」(2/2) (ZDNet)。光学迷彩キター。 攻殻機動隊の世界で使われているものは素材自身で発光しているようなので、これとはちょっと違うのだけど。
》 [aml 36051] [Fwd: [ANSWER]: 10月25日、125を越える都市からバスがワシントンへ向かう OCT. 25: Buses from 125+ cities traveling to DC]。
》 InterScan Messaging Security Suite 5.1 Service Pack1 (Windows 版) 以降で修正された機能 (トレンドマイクロ)。
》 お、 VirusScan Enterprise 7.1.0 リリースだそうです。 7.0 はバグバグしてたけど、すこしはマシになったのかな。
》 RedHatのerrata日本語化 (けんのぼやき)。おぉ、そうだったのか。 なんだかアレな会社ですねえ、RedHat。
興味深い。 Ballmer 氏の発言全文は Remarks by Steve Ballmer, CEO, Microsoft Corporation "Partnership, Innovation and Customer Focus" Microsoft Worldwide Partner Conference New Orleans, Louisiana October 9, 2003 にある模様。
Ballmer (中略) announced that Microsoft will move to monthly patch releases, which will reduce the burden on IT administrators by adding a level of increased predictability and manageability.
hotfix は原則として毎月 1 回だけになる模様。「今のやり方では、hotfix 適用をスケジューリングできない」といった批判への回答なのかな。 でも月イチで間にあうのかな。 Ballmer 氏の発言そのものでは
We will now go to monthly patches -- no more than monthly. If we don't need monthly, we won't have them. But no more than once a month, except for emergency patches which will be made available essentially immediately.
となっています。
Ballmer also announced that Microsoft is extending security patch support for Windows NT Workstation 4 Service Pack 6a and Windows 2000 Service Pack 2 through June 2004.
おぉ〜?! またもや Windows NT 4.0 が延命されてしまったぞ。 「Server だけ維持」というのがわかりにくかった、ということなのかもしれないが。 Windows 2000 SP2 も来年 6 月まで維持、というのは、Service Pack サポートポリシー自身への変更がなされたということなのか、それとも単なる特例なのか。
Ballmer highlighted new tools, including Microsoft's free Software Update Services 2.0, which will be released in the first half of 2004 and will provide a seamless patch, scanning and installation experience for Windows, SQL Server, Office, Exchange Server and Visio.
SUS 2.0 は 2004 年前半ですか。
あと、Windows XP と Server 2003 の次の Service Pack に
Microsoft's new safety technologies designed to enable customers to more effectively protect their computers and systems from malicious attacks even if patches do not yet exist or have not yet been installed
というものが含まれるそうだが、詳細は明記されてませんね……。
くぅ〜、またプレゼン資料直さナイト。
関連記事:
Ballmer さん発言 のうしろの方を読むといいみたい。With that kind of context 〜 のあたりから。
マイクロソフト、現行のセキュリティ対策に追加して、新たな強化策を発表 〜同時に、Windowsユーザーに向けて、さらなるテクノロジーに関する投資を発表〜 (MSKK)。
関連記事: MSのパッチ公開頻度の変更はウイルス開発の抑止などが狙い (日経 IT Pro)。
背景には同社が「セキュリティ・パッチがリバース・エンジニアリングされて,ウイルスやワームが作成されている」(マイクロソフト日本法人Windows Server製品部の吉川顕太郎マネージャ)と見る事情がある。迅速な公開が必ずしもセキュリティの向上に得策でないと判断した。
そういう面は確かにあるわけで。ポストMSBlast時代の新セキュリティ戦略を披露したマイクロソフト (ZDNet)。
高沢氏は最後に、顧客に対し幾つかのセキュリティ対策を行ってほしいと述べた。中でも「ぜひ組み込んでほしいのが、パッチマネジメントの仕組み。パッチ適用が負担になってしまうのは本来望ましくないこと。ぜひ自動化ソリューションの導入を」と言う。
push なものと pull なものと、両方必要だと思うのですよね。 pull なものは Windows Update / 自動更新 / SUS の線でいいと思うのですが、 push 型が SMS というのは、なんだかアリを殺すのに MOAB を投下するような感じがして。 3rd party プロダクトを使えということなのかもしれないけど、patch 適用に機能を限定した、簡易 SMS みたいなものがあってもいいと思うのですよね。
》 HOW TO: Disable the Use of USB Storage Devices in Windows XP (Microsoft)。 Windows XP 上で USB ストレージだけを無効にする方法、だそうで。
》 New IE crash: CSS + HTML。 手元の IE 6 SP1 (Windows XP SP1) も crash しました。
自民党政権って、本当にすばらしいですね。
》 [Full-Disclosure] HPUX dtprintinfo buffer overflow vulnerability 。 関連: HPSBUX0310-289 SSRT3589 Potential Security Vulnerability in dtprintinfo
》 War Nibbling: Bluetooth Insecurity (@stake)
》 [pml-security,00967] 2433/tcp 「サーバーを非表示」。 「サーバーを非表示」にすると 1433/tcp のかわりに 2433/tcp が使われるのだそうで。
》 MSMQ Heap Overflow (Exploit) (securiteam.com)。 Windows 2000 SP2 には効くけど SP4 には効かないのだそうで。
fix / patch: に FreeBSD Security Advisory FreeBSD-SA-03:18.openssl、 OpenBSD: DoS bugs in OpenSSL を追加。 関連記事など: に New OpenSSL remote vulnerability (issue date 2003/10/02) (ebitech.sk) を追加。
FreeBSD-SA-03:15.openssh, FreeBSD-SA-03:18.openssl 出ました。
いまさらですが新 path 出てますね: APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised。 古暮氏による邦訳版: [harden-mac:0513]。 新 patch の調子はどうなのかしら。
829493 - ユーザー固有のフォルダが開かれる現象について の話。Windows Server 2003 での shell: URL 処理に .. バグがあり、攻撃者が任意のディレクトリ/ファイルへの URL を作成することが可能。 hotfix の予定はなく、次の Service Pack (Windows Server 2003 SP1) で修正される予定。
Windows Server 2003 SP1 英語版で修正されていることが確認された: penetration technique research site 参照。 また PivX によると、bid 7826 の exploit 欄にある ftpexp.html については Windows Server 2003 だけでなく Windows XP (SP2 含む) にも影響するという。
SANS による、いちばんヤバい上位 20 個所の欠陥。Windows 10 個所、UNIX 10 個所。 一般 Windows ユーザ向けの top 1 が IIS ってことはないだろうから、 server 管理者向けの情報なのだろう。
》 マイクロソフトの「Protect Your PC キャンペーン」を解説する 不十分な部分もいくつかある,今後はより一層の取り組みを期待 (日経 IT Pro)。 自動更新については、「hotfix の適用し忘れによるインシデント発生を防止するためには、適用によるトラブル発生のリスクを覚悟してでも自動更新すべきである」という考え方もあるだろう。山下氏の見解は、現状の hotfix の品質を考えると自動更新すべきでない、ということなのだろう。
というあたりが求められている、のかな。
》 DNSワイルドカードに関する技術的特徴と課題 (JPRS)。
》 SecurityFocus Newsletter #214 2003-9-8->2003-9-12 (bugtraq-jp)。
Report: IM Viruses on the Rise を訳すと「IMが抱える無数のセキュリティホール」なのですか。 ZDNet って、どうしてこう、煽情的なタイトルをつけたがるんだろう。 (狭義の) セキュリティホールが各社 IM に存在する、という話でもないのに。
なお、Symantec のレポートは Symantec Internet Security Threat Report から。日本語版は (過去の分も含めて) 作成されていないようです。
》 830371: WebDAV サーバーへのファイルサイズが大きいファイルの移動またはコピーに失敗する (Microsoft)。WebClient サービスを止めれば回避できるのだそうだ。
》 830368: WinExec() API を利用した場合に STOP エラーが発生する場合がある。 (Microsoft)。Netscape には該当するものが含まれているそうな。
》 インシデントレスポンスはじめの一歩 第5回 (@IT)。バックドア構築のススメ。
》 キッズ セーフティ: インターネットを安全に楽しむために (MSN)。 主旨はいいんだけど、たとえば 小学生のみなさんへは、誰のために書かれているんだろう。小学 1 年生と 6 年生とでは、読み書きできる漢字の数はすごく違う。IE only になっちゃうけど ruby タグを使ったページを用意するとか、できなかったのか?
》 RSSの配布開始について にあわせ、はてな方面のチェックには RSS を使うよう、アンテナをさきほど調整した。 中身までは解釈していないのでアレだけど。
》 InterScan Messaging Security Suite 5.1 Solaris版 InterScan Messaging Security Suite 5.1 Linux版 Security Patch公開のお知らせ (トレンドマイクロ)。postfix は Solaris 版にのみついてくるようです。
》 萌える!クリエイティブ・コモンズ(仮) (Flower Lounge はてな版) (真紀奈17歳さん)。コミケに行かないと買えないのかな。
》 豊田工業高等専門学校、 Nachi の蔓延を止められないのかな。千葉大学からも来てるなあ。
Adobe SVG Viewer (ASV) Windows 版の 3.0 以前に 3 つの欠陥。
Adobe SVG Viewer (ASV) 3.01 for Windows で修正されている。 http://www.adobe.com/svg/viewer/install/mainframed.html から入手できる。
》 ヨドバシなど提訴 27歳派遣社員と母親 「笑顔足りない」50回殴打 1,800万円賠償要求 (しんぶん赤旗)。すごいなあ。 ヨドバシカメラ派遣社員いじめ事件リンク も参照。(ネタもと: [aml 35954])
》 WindowsへのJava搭載、2004年9月まで延長 (ZDNet)。ナ、ナニー。プレゼン資料書き直さナイト。 Microsoft VM 開発者向け FAQ の方は (まだ?) 変わってませんね。
》 WinSCP次期バージョンで日本語版正式公開予定 (slashdot.jp)。おぉ。そろそろ 3.x に移行するかなあ。
》 「インターネット安全教室」の開催について (警察庁)。インターネット安全教室、奈良県は明日 (10/08) なんですね。 「インターネット安全教室」CD-ROM(ビデオ)というものがあるのだそうですが、どこかで配ってくれないのかなあ。BB な人のとなりで配るとか……。
》 Office のアップデートの不具合と回避策について (Microsoft) で述べられた問題は 2003.10.06 に修正されたようです。
》 Network Security Forum 2003 のプレゼン資料を事務方に送付。
スパークプラグが経産省で、エンジンはマスメディア、と。 そのころ私はネットに全くつなげられない環境にいたので、まつりにはほとんど参加できなかった。まあ、参加できていたとしても外野でしかないんだけどね。
あるアンチウイルス・ベンダーの担当者は,ほとんどのチャンネルに登場したそうだ。もっとも本人はあまり本意ではなかったらしく,「テレビをはじめ,新聞や雑誌などの取材にばかり時間を取られて,本来の業務がこなせなくて困った」と後日打ち明けてくれた。
絶好の宣伝の機会だからイケイケゴーゴーだったんでしょうかねえ。
実際,筆者のまわりには,「あの騒ぎで,生まれて初めてWindows Updateを実施した」というユーザーが複数いる。
半径 50m 以内も同様ですが、これに加えて「Windows Update したらシャットダウンできなくなっちゃった」と、Windows Update によるトラブルまではじめて経験した人もいました。
関連: 真相●Blasterと闘った不眠不休の1週間 (日経 IT Pro)。 しかし、意図してなのかどうなのかよくわかりませんが、Telecom-ISAC や JPCERT/CC という名詞は出てこない記事ですね……。
関連: 【 Microsoft RPC の脆弱性の流れを時系列に追っかけてみよう ・・・ 】 (@Sam さん)。
MS03-023 に「警告」が追加されたので追記。 hotfix 適用後に IE 6 SP 1 をインストールした場合は、MS03-023 hotfix を再適用する必要がある。 [memo:6500] の件 (の一部) が明記された模様。
》 フロリダ大学で威力を発揮する「ピアツーピア探知プログラム」 (WIRED NEWS)。ふむん。
》 MS、セキュリティ欠陥めぐる集団訴訟に抗戦の構え (ZDNet)。 どちらが勝つにせよ、Windows がよりセキュアになる方向への追い風にはなるのかな。
》 線路にショベルカー部品置き忘れ JR京浜東北線事故 (asahi.com)。バケットを置き忘れるって……。 配線ミスといい、ダブルブッキングといい、マインドの低下が致命的なレベルにまで来てしまっているのでは。死者が出ていないうちに手を打たないと、本当にたいへんなことになるでしょうね。不確実性のマネジメントあたりを読みなおさナイト。
rootから/へのメッセージ (ASCII) で語られる鉄道マンへの熱き信頼は、今は昔なのかなあ。
週末にいろいろ考えたことを追記。
一方で、自社ドメインではないところから案内メールを送りつける輩 (例: Microsoft) もいますからねえ。なんだかなあ。
spam だの phishing だの偽 From: のウィルス・ワームだのがこれだけ流行っているのですから、個人的には、メールへの電子署名がもっと流行ってしかるべきだと思っているのですが、「大企業」と言われるところですらほとんど見かけませんねえ。そういう訴訟が実際に行われるまで、誰も何もしないのかなあ。 (typo fixed: iida さん感謝)
》 午後プリンター購入、夜には偽札60枚使用 (asahi.com)。 カジュアルコピーの効く商品ってあるんですね。
》 空の事故、賠償上限撤廃 新たに21社が11月から (asahi.com)。
新条約では、批准国の旅客であれば上限が撤廃される。日本から外国の航空機で条約に批准していない国に行っても、帰国のチケットさえ持っていれば、原則、新条約の規定が適用される。乗客や遺族の請求が約1650万円までなら航空会社の過失の有無にかかわらず支払われ、それ以上の場合も航空会社側が過失のないことを証明できない限り支払うことになる。
》 岐阜県飛騨地方で震度4 マグニチュード4.5 (asahi.com)。さっき微妙に揺れたのはこれか。
》 VeriSign、ICANN命令でSite Finder中止へ (ZDNet)。
VeriSignのネーミング/ディレクトリサービス部門執行副社長ラッセル・ルイス氏は「ICANNは事情も聴かずに本日、当社に対し正式にSite Finderサービスの中止を求めてきた。当社はこの要求を受け入れるが、今後あらゆる選択肢を模索する」との談話を発表した。
ICANN に事情も聴かずに Site Finder なんてものをはじめた組織が何を言うか。
》 Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040) 出てますね。 米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず穴の fix なのでしょう。 この他に、Windows Update では「Windows Media Player 用セキュリティ問題の修正プログラム (KB828026)」なるものも配布されている模様。
関連記事: マイクロソフト、IE 5.01以後が対象の緊急の脆弱性「MS03-040」 (INTERNET Watch)
》 Advisory 03 October 2003: Advisory Concerning Demand to Remove VeriSign's Wildcard (ICANN)。
For all these reasons, ICANN has today insisted that VeriSign suspend the SiteFinder service, and restore the .com and .net top-level domains to the way they were operated prior to 15 September 2003. If VeriSign does not comply with this demand by 6:00 PM PDT on 4 October 2003, ICANN will be forced to take the steps necessary to enforce VeriSign's contractual obligations.
Letter from Paul Twomey to Russell Lewis 3 October 2003 (ICANN) も参照。 さあ VeriSign はどう出るか。全面戦争は回避されるのか、されないのか。
》 インターネット定点観測 (@police)。 ところでそちらはどうなっているんですか? > JPCERT/CC。
》 パスワード設定のホントとウソ(前編) (ZDNet)。
》 「信頼できるPC」はユーザーの脅威——市民権団体が批判 (ZDNet)。
》 ベスト・オブ・常習者(ジャンキー)サイト ノミネートリスト (ネットランナー)。 ノミネートされていたりするらしい……。
》 キャパシタの性能を画期的に向上させ、 蓄電システムの広範な実用化を可能とする ナノゲート・キャパシタを開発 (日本電子)。
大出力から高エネルギ−まで、従来のキャパシタより広範な、二次電池のほとんどの市場をカバーします。(中略) 電気は溜められないとする認識が公然と通用する現在から、脱皮する契機となります。必要な電力を必要な量、必要な大きさで効率よく活用できます。
すげー。世界を変えてしまうかもしれない。関連: 日本電子が高性能キャパシタを開発 (slashdot.jp)。
》 【レポート】急速に進むDNSルートサーバーのAnycast化 ルートサーバー間の国際協調が今後の課題に〜RIPE Meetingから (INTERNET Watch)。日本国内やアジア太平洋地域でもこういう動きはあるのかなあ。そういえば、Slammer のときには「もし韓国に root DNS サーバがあれば……」なんて話も出ましたね。 DNS DAY で質問してみる?
》 300万件の迷惑メールを送信した男が偽計業務妨害の容疑で逮捕 (INTERNET Watch)。断固とした措置を取った、のかな。
》 MSに対し、「脆弱性の責任」問う初の集団訴訟へ (ZDNet)。 要注目。
この訴訟を受けて、「コンピュータソフト産業も自動車メーカーなどほかの業界と同水準の責任を負うべきか」をめぐってくすぶっている議論が再び盛り上がることだろう。その結果、コンピュータソフトの安全性は高くなり、価格も高くなるかもしれないとセキュリティ専門家は話している。
》 [aml 35926] これは詐欺じゃないのか? ですが、やはり担当者の誤認識のようです。おざきさん、中村さん情報ありがとうございます。
次期 Windows "Longhorn" では、こういう側面も改善されたりするのかなあ……。 MIME をまじめに処理するだけでもかなり違うはずなんですが。 次期 Windows では OpenBSD をベースに、というギャグもありましたね……。
いろいろと考え直してみると、著者が主張する
Instead of just reading an email (... just reading an email?!?), a Linux user would have to read the email, save the attachment, give the attachment executable permissions, and then run the executable. Even as less sophisticated users begin to migrate to Linux, they may not understand exactly why they can't just execute attachments, but they will still have to go through the steps.
については、アーカイバ (tar, zip, ...) を介することで実行許可ビットの保存が可能なので、大して意味はないように思える。
Unfortunately, running as root (or Administrator) is common in the Windows world. In fact, Microsoft is still engaging in this risky behavior. Windows XP, supposed Microsoft's most secure desktop operating system, automatically makes the first named user of the system an Administrator, with the power to do anything he wants to the computer.
については同意。管理者自動ログオンがデフォルトのプリインストール PC も少なくない、という状況が拍車をかけていると思う。「最初のユーザが管理者だけど、平常時には一般ユーザと似たりよったりの権限しかない」という Mac OS X の設計がより正しい方向だと思う。Windows XP は runas を有効活用できていない、とも言える。
Linux runs on many architectures, not just Intel, and there are many versions of Linux, many packaging systems, and many shells. But most obvious to the end user, Linux mail clients and address books are far from standardized. KMail, Mozilla Mail, Evolution, pine, mutt, emacs ... the list goes on. It's simply not like the Windows world, in which Microsoft's email programs - Outlook and Outlook Express - dominate.
多様性はよいことだ、はそのとおりなのだが、Linux が普及したときに、そう言えるほど多様性が生じるか、という点についてはもうちょっと考える必要があると思う。 支配的なもの 1 つだけ選んで攻撃すれば十分な目標が存在、では、あまり意味はないわけで。支配的なものが存在しない世界が理想ですよね。
逆に Windows 方面については、たとえば Netscape と Opera をプリンストールしておくだけでもずいぶん違う展開になりそう、な気はする。
Counterpoint: Linux vs. Windows Viruses。 security fix されてもアナウンスされないじゃん、というケースは確かにある。
FreeBSD-SA-03:15.openssh, FreeBSD-SA-03:16.filedesc, FreeBSD-SA-03:17.procfs, FreeBSD-SA-03:18.openssl が出るから注意してね、という話。 FreeBSD-SA-03:16.filedesc と FreeBSD-SA-03:17.procfs は出ました:
FreeBSD Security Advisory FreeBSD-SA-03:16.filedesc
FreeBSD 4.3〜4.8 の readv(2) に欠陥。local user による
DoS 攻撃や権限上昇が可能な模様。回避方法はない。
関連: PINE-CERT-20030901。
FreeBSD Security Advisory FreeBSD-SA-03:17.procfs
procfs および linprocfs の実装において、struct uio の検証が不十分な個所があった。これを利用すると local user が DoS 攻撃や権限上昇が可能な模様。
回避するには、procfs および linprocfs を umount する。
関連: PINE-CERT-20030902
FreeBSD-SA-03:17.procfs が出たので書きなおした。
FreeBSD-SA-03:15.openssh, FreeBSD-SA-03:18.openssl 出ました。
FreeBSD-SA-03:18.openssl に「make world せよ」と書かれているので make world な日々……。
Vine Linux: [ 2003,10,03 ] openssl にセキュリティホール を追加。
トレンドマイクロは 2003.09.16 付 (パターン 631 以降) で WORM_MSBLAST.D から WORM_NACHI.A へ名称を変更。あわせて WORM_MSBLAST.[EFG] から WORM_MSBLAST.[DEF] へと 1 個ずらしている。 これに対応して、この項の記述を変更した。伏谷さん情報ありがとうございます。
Qhosts というトロイの木馬が登場したそうで。
するようだ。
OCNのDNSサーバーに再び障害発生,最大100万人に影響 (日経 IT Pro) も関連だったりするのかな。Qhosts 関連記事:
》 マイクロソフト,セキュリティ関連の技術資料を公開 (日経 IT Pro)。
目を通すだけでもタイヘン。
》 [aml 35926] これは詐欺じゃないのか?。 Norton さんは本当にこんな状況なのかなあ。 担当者の誤認識のような気がするんだけど。
》 Terminal Emulator Guevara 1.5 (ヽRノ日記)。 これで、Putty と比べて機能的に見劣りする部分はほとんどなくなったのかな。 使ったことがないのだけど、使ってみるか。
無政府状態の混乱に乗じて戦国大名たちは、タリバン政権下では規制されていた麻薬(ケシ)の栽培を拡大した。アメリカの新聞はこうした動きを批判する記事を盛んに載せているが、アメリカ政府自体は、戦国大名による麻薬栽培を黙認している。今や、ヨーロッパで消費される麻薬の9割以上がアフガニスタン産であるという状態になっている。
》 penetration technique research site で「Peculiar of TCP/IP response packet in existing Operating Systems」 が公開されています。
》 ウイルスバスター2002 製品サポートの終了について (トレンドマイクロ)。今年で終り。
関連: 長野県,「住基ネットに侵入成功」との一部報道を否定 (日経 IT Pro)。現在分析中なので、成功したともしていないとも言えない模様。
「当初の予定どおり,分析が終了後,プライバシーやしかるべき問題に配慮したうえで,実験を委託している業者との契約が切れる10月21日までには何らかの形で公表する。ただし,侵入可能だとしてもその点について詳細まで公けにするかどうかを決めているわけではない」(長野県 住基ネット対応チームリーダー 岡部英則氏)
米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず 話。とりあえず MS03-032 を適用した上で、ユーザの対応として以下を推奨している。
「ActiveX コントロールとプラグインの実行」を「無効にする」に変更する。
Outlook 98/2000 にはセキュリティ強化アップデートを適用する。
Outlook Express については Outlook Express 6.0 SP1 (IE 6 SP1) への移行を推奨すべきだと思うが、IN-2003-04 にはそこまでは書かれていない。
アンチウィルスソフトを更新する。
また管理者の対応としては:
次のレジストリキーを削除
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/hta
アプリケーションレベルファイアウォールや proxy サーバで Content-Type: application/hta なものを排除
%SystemRoot%\system32\mshta.exe が外部へ接続することを禁止
》 SUS の構築の実際 に関連して、森田さんから Software Update Services 1.0 ADM File for Service Pack 1 日本語版 を教えていただきました (ありがとうございます)。 Windows 2000 SP4 に入っている wuau.adm と同じものだそうです。
》 クリエイティヴ・コモンズに関する悲観的な見解 (japan.linux.com)。
そんなわけで、筆者としては、このような暗い見通しを持っているのだが、あと数年で、このような見通しを吹き飛ばすような普及をクリエイティヴ・コモンズが遂げてくれればと願うばかりである。
どうしてそんなに結論を急ぎたいのだろう。 100 年くらい様子を見てもいいと思うんだが。
》 RedHat Linux 7.3をプリインストールしたHP workstationでデータの不整合が発生する可能性があります (hp)。Adaptec U320 SCSI コントローラを使う場合は、最新のドライバを入手しインストールしましょう。
》 Opinion:ある財務局長のポスト9・11戦略「最悪の事態に備える」 (ZDNet)。 日本はどうなんですかね。関東や富士山が来たときにきちんと対応できるんだろうか。
》 KDDIとトレンドマイクロ、送信メールウイルスチェックサービスを開始 (INTERNET Watch)、 KDDIとトレンドマイクロ、DIONにおいて「送信メールウイルスチェックサービス」を提供 (トレンドマイクロ)。 無料じゃない。
》 環境マネジメントシステム「ISO14001」全学認証取得 (京都工芸繊維大学)。やるなあ。
》 ISO、標準使用料の徴収案を撤回 (CNET)。ほっ。
》 ソースネクスト、インドのウイルス対策ソフトなど1,980円シリーズ拡充 (INTERNET Watch)。 インドのK7Computing Private社 ですか。
関連スレ: 【印度の】ウイルスセキュリティ2004【山奥】 (2ch.net)。 いまどきの若い衆には「インドの山奥」がわからないようだ。 レインボーマンですね。 正確には 愛の戦士レインボーマン だった模様。 愛の戦士というとキューティーハニーの方の印象が強いですが。って、これもいまどきの若い衆には通じないか。 敵役の死ね死ね団のテーマが、これまたすごいんだよね。歌詞もすごいけど、曲がまたすごい。実に 70 年代していていいです。
》 ニフティ オンラインで無料ウイルス駆除サービス (毎日)。HouseCall は ウイルスバスターオンラインスキャン ですね。trendmicro.co.jp で提供しているものはサポートされていないし駆除にも対応していない (削除はできる) が、ニフティのものはニフティがサポートするし駆除もできる、ということなのかな。それとも、ニフティが「駆除」と言っているのは実は「削除」であり、それ以上のものではないのかな。
》 ソフォス、年内にスパム対策機能をウイルス対策ソフトに統合 (INTERNET Watch)。日本語 spam メールへの対応は、まだみたい。 他社のプロダクトもそういう状況が多いみたいだけど。 日本語でルールの追加はできますか? (NAI) とか。
》 欧州ソフトウェア特許、限定的に承認へ (INTERNET Watch)。
》 ニフティ、迷惑メール対策としてスパムブロック機能を強化 (INTERNET Watch)。無料だそうです。
》 IPv6でのファイアウォール、何ができて何ができないか (@IT)。
(Privacy Address Extension は) エンドユーザーにとっては匿名性を高める便利な技術である一方、管理者にとってはIPアドレスを見てもそれが誰なのか分からなくなってしまう、悩ましい技術である。従って管理者側としては、エンドユーザーへPrivacy Address Extensionを無効にするように依頼するか(図4)、もしくはフィルタリングに際してはIPv6アドレスの下64bitが固定であることを仮定しない運用をするかのいずれかの措置が必要となる。
無効化を依頼する、というのは、半径 50m 以内ではあり得ないなあきっと。
》 ネットワーク・セキュリティの基礎を学ぶための10冊 (日経 IT Pro)。妙に偏った 10 冊、のような気がするんだが……。
Sun Solaris 7〜9 用 patch が用意されました。 sendmail(1M) Buffer Overflow Vulnerability in Address Parsing Function prescan() や 0062-02 Sun sendmail セキュリティ脆弱性 (CTC) を参照。足立さん、福原さん情報ありがとうございます。
OpenSSL Security Advisory [30 September 2003] Vulnerabilities in ASN.1 parsing が登場したので、これに関連する記述を追加。 Cisco Security Advisory: SSL Implementation Vulnerabilities、 Turbolinux Security Advisory TLSA-2003-55、 [SECURITY] [DSA-393-1] New OpenSSL packages correct denial of service issues 追加。「関連記事など:」を追加。
関連記事: IEの脆弱性を悪用したAIM/ダイヤルアップ攻撃について警告 (ZDNet)。
Portalworks標準リポジトリにバッファオーバーフローの脆弱性 (2003年9月26日) (富士通)。 半年前の話なのに、まだ patch 情報が記載されていないようで。
この問題は、Yoshida さんが報告している「Microsoft Internet Explorer %USERPROFILE% Folder Disclosure Vulnerability」に似ているが別の問題だそうです。_o_
住基といえば、西邑 亨氏による 住基ネット問題ライブラリーが公開されていますね。 毎日の記事にもある住基カードについては 住基カードの問題点 で述べられています。
議員方面への技術情報提については、たとえば きょうのエサ (gtk's memo) を見てもわかるように、必要ですね。 インターネットの歴史については、たとえば Internet Society の A Brief History of the Internet (Takeharu Kudo 氏による冒頭部の邦訳) とか。最初は NCP もなかったようで。 NCP から TCP/IP への切りかえについては、たとえば RFC801: NCP/TCP TRANSITION PLAN (Adem or D.N.A. 氏による邦訳) とか。
SecurityFocus Newsletter 第 213 号。 BO2K ですが、あたらしいのは 1.1.1 じゃなくて 1.3 beta 1a なのでは。 英語オリジナル版 SecurityFocus Newsletter #213 でも 1.1.1 になってるから仕方ないのだけど。
Interstage Application Server に欠陥。JSP ソースやディレクトリリストが外部に漏曳する可能性があるそうだ。patch があるので適用すればよい。
InterScan for Lotus Notes 2.51 / 2.6 の一部 (UNIX 版の 2.51 Patch[23] と Windows 版の 2.6 Build 1278 未満) において、通知メッセージを送信するよう設定している場合に、「特定の形式のメール」(Swen がこれに該当) に対するウイルス通知メッセージを配信するとドミノ自体が停止してしまうという。
patch があるので適用すればよい。また、通知メッセージを送信しないよう設定することで回避できる。
小西さんから (ありがとうございます)。句読点とかをちょっと編集しました:
なんか皆黙っているのが不思議でしょうがないんですけど、Appleって早々にダメな10.2.8にアップデートした人の救済をする気が無いのでしょうか?
アップされているのが短期間だったから、アップデートした人が少ないから、放っておかれているのか、ユーザーが少ないMacだから騒ぎにならないのか……。
一般の人にはEther問題程深刻でなかったり、気がつかないのかも知れないですが、私の環境では、オーディオ周りが大変な事になっています。 幸いEther問題は起きていないのですが……。
某音楽アプリケーションが頻繁にクラッシュするようになったり、某音楽アプリケーション立ち上げている時にFinderその他が超重くなったりしています。 メーカーサイドでも、クラッシュログ見て10.2.8に問題がありそうだと言っています。 音楽しながら裏でMozillaなんて立ち上げていると、大変な事になります。
それから、他のディストリビューションはわからないですが、 デュアルブートで仕込んであるYellowDogはブート途中で勝手にShutdownしてしまいます。 これはYellodog MLでも話題になっています。
よくみんな黙っているなと思います。
個人的には、いちばんの問題は、10.2.8 アップデートを簡単にアンインストールする方法がない、ということなのではないかと思ったりしています。アップデート適用前の状態に簡単に戻せればいいのだと思うのですが、Mac OS X 10.3 でもそういう方面の改善がされる様子はないようですね。表面的な機能の強化よりもむしろ、そういう点の方が重要だと思うのですけどねえ。
黙ってる人が多いのは、宗教上の理由もあるのですかねえ。 個人的には 10.2.8 アップデートの適用を回避できているので、黙るもなにもないのですが。
いまさらですが新 path 出てますね: APPLE-SA-2003-10-03 Mac OS X 10.2.8 Revised。 古暮氏による邦訳版: [harden-mac:0513]。 新 patch の調子はどうなのかしら。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について