セキュリティホール memo - 2003.12

Last modified: Thu Feb 12 20:26:52 2004 +0900 (JST)


 2003.12.10 は Windows Update の日です。 ……と思ったら、12 月の patch はないそうです (T_T)2003 年 12 月現在のセキュリティ情報 (Microsoft) に「今月の月刊セキュリティ情報のリリースはありません」と明記されています。
 つまり、List the Unpatched IE Vulnerabilities Secunia Advisory SA10289: Internet Explorer System Compromise Vulnerabilities はあと 1 か月は存在しつづける、ということですか……。Qwik-Fix 0.57 で防ぐことができるらしいですが……。

 と言っている間に、IEにURLを偽装できるパッチ未公開の脆弱性が発見されてしまってさあたいへん。誰でも簡単に、アドレスバー / ステータスバーの URL を偽装できてしまいます。「現状の IE は危険すぎて使いものにならない」と言い切ってしまってよいでしょう。

2003.12.27


2003.12.26

サポートいたしません。
(TOTOROの自堕落 日記, 2003.12.19)

 「某無線LAN最大手メーカ」が出した「製品の一部」に、管理者パスワードや WEP キーが漏曳してしまう欠陥がある、という話。AirSnort するまでもないようです。 その「某無線LAN最大手メーカ」が言うことには、

販売が終了した製品なので、サポートはしない

のだそうで。「某無線LAN最大手メーカ」、すばらしいですねえ。

 つづき: なんだかねぇ・・・・ (TOTOROの自堕落 日記)。

この製品を取り扱っている販社では、独自に調査を行い、現象が確かに再現することを確認し、販売の中止及び購入者へ個別に案内を出し、製品を回収・返金する方針だとか。

 販社さんもたいへんですね。正式な第一報がこの販社さんから出たりすると、スゲーはずかしいと思うんですけどねえ > 「某無線LAN最大手メーカ」。

何せ、家庭用としては国内で8割のシェアを誇っているわけですから。

 「某無線LAN最大手メーカ」 = 「家庭用としては国内で8割のシェア」だそうです。きちんと公表しないと、欠陥のない製品まで欠陥があるとみなされちゃうと思うんですけどねえ。


2003.12.25

追記

SoftEther Virtual Ethernet System

 著作権・使用条件と、SoftEther 自身をインストールする時に表示される「SoftEther 使用許諾契約書」の内容が一致しない、という状況は改善されましたね。しかし、web ページの SoftEther 使用許諾契約書 が gif 画像というのはちょっとなあ。

 経済産業省の要請により SoftEther の配布を停止 (softether.com)。 こういう抗議が来ることくらい予想した上での行為じゃなかったのか IPA。 うーむ。 おおもとの他にも「再配布」サイトがいくつかあるようですが、開発者による再配布中止要請が出ています [softether:00040]。

 SoftEther を止めたところで vtun や OpenVPN は存在しつづけるのだがなあ……。それよりは、こういうものとの折りあいをどうつけていけばいいのかを考えるべきだと思うのだが。

[rsync-announce] rsync security advisory

Mac OS X:

Mac OS Xに脆弱性--パッチはまだ手に入らず

patch 登場。

Linux kernel do_brk() lacks argument bound checking

NAI WebShield Appliance (e250/e500/e1000): セキュリティベンダーよりo_brk 関数機能の脆弱性によってローカル攻撃者にroot権限を奪われる危険性があるとの報告がありましたが、WebShieldの対応はどのようになるのでしょうか?


2003.12.24

追記

IEの新セキュリティーホールとはてなダイアリーXSS対策

 こんどは XSS 脆弱性、ただし Mozilla は影響なし? (えむもじら news)。

セキュリティホール memo ではあたかも Mozilla に XSS 脆弱性があるかのごとく書かれていますが、実際は不正な記述?の @import で CSS のインポートができてしまうということだけのようで、大きな問題ではないはずです。

 すいません、私自身は @import の動作しか追いかけてません。 江村さん情報ありがとうございます。

年末年始もの

 Sophos 話、「年末 PC 大掃除」のお願い (Telecom-ISAC JAPAN) を追加。 「年末 PC 大掃除」はいい言葉だなあ。 MBSA 1.1.1 よりも 1.2 beta の方がよいのだろうが、一般公開されているものじゃないからなあ。

SoftEther Virtual Ethernet System

 0.40 Beta2 が出ていますね。ML もできたようなので、とりあえず subscribe してみるテスト。

 しかし、web ページにある著作権・使用条件と、SoftEther 自身をインストールする時に表示される「SoftEther 使用許諾契約書」の内容が一致しない、という状況は困ったものですね。0.40 Beta2 でも不一致のままです。

 また、上村さんから OpenVPN 1.5.0 以降では http proxy をサポートしていると教えていただいた (ありがとうございます) ので、比較表を修正しました。

 SoftEther Version 0.40 (Beta 2) 10:46 (9DOの日記)。snort で使えるシグネチャ。

マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る
(Internet Watch, 2003.12.24)

小野寺氏は、「脆弱性を直すだけのパッチであれば、すぐにでも提供できる。しかし、不十分な検証のままパッチを提供し、“パッチにパッチを当てる”ような状態にはしたくない。そのような不完全なパッチは、ユーザーにとって手間がかかるだけで無意味だとも言える」と語った。

 しかし現実問題として、「十分な検証」をしたはずの hotfix でもいろいろボロが出ているし、「Microsoft 製品の修正は Linux と比べると遅い」といった批判に十分答えることもできていないわけで。個人的には、少なくとも既知の問題については、Windows 利用者の圧倒的な多さを利用した「ベータ版 patch 」的な展開もありなのでは、と思うのだけど、むつかしいかなあ。

VISA を騙った、Visa International Service を称する悪質な E-mail
(ヽRノ日記, 2003.12.24)

 うちには来てないなぁ……と思ったら、SpamAssassin がゴミ箱送りにしてました。 9 通来てました。偽装手段はこんな感じですね。これ自体は古典的なものだと思います。Opera や Mozilla のステータスバーならアヤシサに気がつけると思いますが、IE だとダメですね。Windows XP SP2 ではこういうところも直ってくれるといいんですが。もっとも IE でも、アクセス後にアドレスバーを見ていれば、ちゃんと気がつけるはずなんですけどね。

 大倉さん情報ありがとうございます。

Enhancing Customer Security: New Microsoft Initiatives in the Ongoing Security Effort to Help Customers
(Microsoft, 2003.12)

 Microsoft Outlines New Initiatives in Ongoing Security Efforts To Help Customers: Company Announces Technology Investments to Help Protect Windows Users の内容がより具体化されたもの、なのかな。


2003.12.22


2003.12.21

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

 Internet Security Systems Security Alert: Microsoft Internet Explorer URL Spoofing Vulnerability (ISS) 登場。この欠陥を回避するためのプログラムが ISS から配布されている。 Product Utilities の Microsoft Internet Explorer domain URL spoofing filter がそれ。 ActiveX コントロールとして実装されている。

 手元で試した限りでは、きちんと回避できているようだ。 「表示された URL にアクセスするように修正する」事により回避しているようで、Mozilla などでリンクをたどった場合とは結果が異なるようになる (^^;)。 偽装先が https: な場合は、一瞬そのサイトにアクセスしてしまうようだ。


2003.12.19

年末年始もの
(various)

 注意喚起もの:

 アンチウィルスベンダー営業もの。

 Sophos24 時間 365 日対応のはずなのだが、 年末年始の弊社休業日とサポート体制についてには

ソフォスでは、24時間/365日、テクニカルサポートを提供しております。

なお、年末年始は、2003年12月30日(火)午後5時30分〜2004年1月5日(月)午前9時までお休みとさせていただきますが、ソフォス製品ライセンスをお持ちのユーザー様で緊急時の場合のみ、上記時間内でもサポートさせていただきます。

 「24時間/365日」なら「2003年12月30日(火)午後5時30分〜2004年1月5日(月)午前9時までお休みとさせていただきます」とか「緊急時の場合のみ」とか言ってはいけないと思うんですけど……。JARO に電話か?

 この夏は Blaster まつりに参加できなくてくやしかったので、年末は PC を持っていくことにしょう。

ChangeLog:

2003.12.24

Sophos 話、「年末 PC 大掃除」のお願い (Telecom-ISAC JAPAN) を追加。「年末 PC 大掃除」はいい言葉だなあ。 MBSA 1.1.1 よりも 1.2 beta の方がよいのだろうが、一般公開されているものじゃないからなあ。

追記

暗号の秘密とウソ

 関連: 『暗号の秘密とウソ』正誤表 (YAMAGATA Hiroo Official Japanese Page)。 売れていない、という話なので、世の中には「初刷り」しか存在しないのかもしれません。

 で、一夜にして amazon.co.jp では「Amazon.co.jp 売上ランキング: 91」(14:08:59) で「通常2日間以内に発送」になっていたりするのですが、瞬間風速でどうこうという本ではないはずなんですよね、本当は。 ただし、絶対量が出ていない、というのは……。

Vulnerability Note VU#707100: Multiple web-based email services fail to filter malicious characters when the message contains cascading style sheet character escaping

 関連: 「CSS2 のバックスラッシュの扱い」 (えび日記)。 うーむ……。

IEの不思議な挙動

 関連: 「MSIE6 もう駄目かも」 (えび日記)。なんだかすさまじい例が掲載されています……。 どういう実装をするとこういう結果になるんでしょう……。

Sun Solaris もの
(富士通 Sun Alert Notifications, 2003.12.19)


2003.12.18

IEの不思議な挙動
(hoshikuzu|stardustの書斎, 2003.12.18)

 IEの新セキュリティーホールとはてなダイアリーXSS対策 のつづき (?)。 この一連の状況はなんなのでしょう。IE の CSS まわりはどうしようもないほど変なのでしょうか。Windows XP SP2 ではいろいろなものが secure になると宣伝されていますが、CSS まわりについてもクリーンアップされる予定はあるのでしょうか。

2003.12.19 追記:

 関連: 「MSIE6 もう駄目かも」 (えび日記)。なんだかすさまじい例が掲載されています……。 どういう実装をするとこういう結果になるんでしょう……。

追記

GnuPG 1.0.2以降のElGamal鍵署名で秘密鍵が漏洩
CVS security update
[Full-Disclosure] lftp buffer overflows

Vine Linux: [ 2003,12,18 ] lftp にセキュリティホール

IEの新セキュリティーホールとはてなダイアリーXSS対策

Ikegami さんから Mozilla 1.6 beta (20031214) の情報を頂いた (ありがとうございます) ので表を更新。 Mozilla 1.5 と同様のようです。

STUDIO KAMADA さんの情報を追記。@import だけではなく、いろいろなものについて省略記法が可能な模様。なんなのだこれは……。

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

Opera 7 でのページ情報の表示の仕方を匿名希望さんに教えていただいた (ありがとうございます) ので表を改訂。 Opera 7.23 でのページ情報は○だった。 その方法: [表示] メニューの [ホットリスト] で「ページ情報」をチェックすると、ホットリストに「ページ情報」という項目ができるので、これで確認できる。

暗号の秘密とウソ
(極楽せきゅあ日記, 2003.12.16)

 あえてセキュリティホール扱いしてみるテスト。インシデントレスポンス—不正アクセスの発見と対策をめぐるともつながるのだけど、良書が売れていないという状況は致命的なわけで。

 有澤氏の「これだけ多くの事例を扱っているわりには参考文献が少ない」という批判はギャグめいているが、「これだけの分量の内容に対して、図表がきわめて少ない」という批判については同意だなあ。だからと言って、本書の価値が下がるわけではないのだが。

 個人的には「その題名どうにかしてよ」とは思う。どうして Secrets & Lies が「暗号の秘密とウソ」になるのか全く理解できない。誤解させすぎの題名のおかげで売上がすごく下がってたりしませんか? ふつうの人は「暗号」ってあっただけでステなのでは? 今からでも遅くないから、「セキュリティの秘密とウソ」とかに変更すべきなのでは?

 まあともかく、まだ読んでない、なんて人がいたら、今すぐ注文すべきだろう。タイトル部のリンクは amazon.co.jp。 cbook24.com ならここ……って品切れじゃん cbook24。 しかし、なぜ Applied Cryptography が「あわせて買いたい」で出てくるかねえ > amazon.co.jp。 暗号技術大全 という邦訳書があるのに。

2003.12.19 追記:

 関連: 『暗号の秘密とウソ』正誤表 (YAMAGATA Hiroo Official Japanese Page)。 売れていない、ということなので、世の中には「初刷り」しか存在しないのかもしれません。

 で、一夜にして amazon.co.jp では「Amazon.co.jp 売上ランキング: 91」(14:08:59) で「通常2日間以内に発送」になっていたりするのですが、瞬間風速でどうこうという本でもないはずなんですよね、本当は。 ただし、絶対量が出ていない、というのは……。


2003.12.17

いろいろ
(various)

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

Microsoft KB 登場: 833786 - 成りすました Web サイトか見分ける手順について (Microsoft)。しかし……。

Internet Explorer and Opera local zone restriction bypass

公式 Advisory 登場: MPSB03-08 Update to Flash Player Addressing Local Shared Object Security (macromedia.com)。 Flash Player (7,0,19,0) で修正されているそうだ。

しかし、いまだに Flash 7 に対応してくれていない web ページとか、あるんですよねぇ……。

Microsoft FrontPage Server Extensions のバッファオーバーランにより、コードが実行される (813360) (MS03-051)

Ready-to-Run Software 公式見解: pdate on "Microsoft Security Update 813360, ref MS03-051": (rtr.com)。「UNIX versions for the Microsoft FrontPage 2002 Server Extensions」 にはこの欠陥はないそうだ。FrontPage 2000 Server Extensions for UNIX については何も語られていないことに注意。FrontPage 2000 Server Extensions for UNIX はもはや維持されていないので、利用者は FrontPage 2002 Server Extensions for UNIX に移行した方がいいだろう。

IEの新セキュリティーホールとはてなダイアリーXSS対策

水無月ばけらさんから、NULL については Mozilla でもダメなのでは (テストページ) という指摘を受けた (ありがとうございます)。確かに Mozilla 1.5 でも発現する。 Mozilla、お前もか。表と手元のテストページを修正・追加した。_o_

備前さんから、Safari 1.1(v100.1) では NULL 直埋めが×になるとの情報を頂いた (ありがとうございます) ので表を更新。

住基ネット侵入実験 個人情報の改ざんが可能

住基ネット——食い違う意見の中で見えてきた2つの隔たり (ZDNet)。CS は Windows 2000 ですか。 知事会見「市町村ネットワークの安全性調査について」 (長野県) は、見ておかナイトだめのようです。

BIND 8.4.3 Release (8.4.3-REL)

NetBSD: NetBSD Security Advisory 2003-018

SoftEther Virtual Ethernet System
(タレコミ, Tue, 16 Dec 2003 19:50:05 +0900)

 たいへん使いやすそうな (使いやすすぎる?!) VPN ソフトウェアのようです。 仮想ネットワークデバイスとして見えるようです。そのため、原理的には全てのアプリケーションが VPN を利用できるのでしょう。要は Ethernet over IP ってことでしょうか。 P2P な VPN ではなく、仮想 HUB を利用した VPN、というところが新しいのかな。日本語ドキュメントが整備されているのはすばらしいです。って、悪用するのはかんべんしてほしいですけど。

 ヽRノ日記 では「OpenVPN とどう違うの?」 というような記述がありますが、比較してみるとこんな感じでしょうか。 ドキュメントを斜め読みしただけなので、間違っていたら指摘してください。 ? が多いのもちょっとあれなんですが。 VPN ものってさわったことがないのでよくわからん……。

  SoftEther OpenVPN
対応 OS Windows UNIX / Linux / Mac OS X, Windows
通信方法 仮想 HUB を介した通信 原則 P2P? ブリッジモードもあるようだが……
proxy 対応 ○ (http proxy, socks, ssh) ○ (http proxy: OpenVPN 1.5.0 以降)
ドキュメント 詳細な日本語ドキュメント、ただしプロトコルドキュメントはまだ準備中 英語
ソース 非公開 公開 (GNU GPL version 2)
利用 戦争、内戦、犯罪、武器・兵器・戦闘機等の製造・販売に関わる用途への使用の禁止、開発者の許可のない商用サービスの提供禁止、などの条件あり (「SoftEther 使用許諾契約書」第 4 条) GNU GPL version 2 に基づく利用
再配布・改変 再配布については「SoftEther 使用許諾契約書」第 5 条および第 6 条に従うことになるのだろうが、第 5 条と第 6 条は矛盾しているように私には見える。改変については禁止されていないようだ。 GNU GPL version 2 に基づく再配布・改変が可能

 作者は「戦争、内戦、犯罪、武器・兵器・戦闘機等の製造・販売に関わる用途」という定義が自明だと思っているのかもしれないが、まじめに考えはじめると、……。

 少なくとも、仮想 HUB は public にアクセスできる場所にないとまずいのかな。 public と言っても、TCP の port が 1 つ開いていればそれで十分っぽいけれど。 入れて再起動して削除してみたけど、削除後も「ネットワーク接続」に「SoftEther 仮想 LAN 接続」が残るなあ。全般タブの [プロパティ] → [構成] → ドライバタブの [削除]、 で消したけど、そういうものなんだろうか。

 酒井さん情報ありがとうございます。

2003.12.24 追記:

 0.40 Beta2 が出ていますね。比較表については、0.40 Beta2 付属の「SoftEther 使用許諾契約書」に基づいて更新しました。ML もできたようなので、とりあえず subscribe してみるテスト。

 しかし、web ページにある著作権・使用条件と、SoftEther 自身をインストールする時に表示される「SoftEther 使用許諾契約書」の内容が一致しない、という状況は困ったものですね。0.40 Beta2 でも不一致のままです。

 また、上村さんから OpenVPN 1.5.0 以降では http proxy をサポートしていると教えていただいた (ありがとうございます) ので、比較表を修正しました。

 SoftEther Version 0.40 (Beta 2) 10:46 (9DOの日記)。snort で使えるシグネチャ。

2003.12.25 追記:

 著作権・使用条件と、SoftEther 自身をインストールする時に表示される「SoftEther 使用許諾契約書」の内容が一致しない、という状況は改善されましたね。しかし、web ページの SoftEther 使用許諾契約書 が gif 画像というのはちょっとなあ。

 経済産業省の要請により SoftEther の配布を停止 (softether.com)。 こういう抗議が来ることくらい予想した上での行為じゃなかったのか IPA。うーむ。 おおもとの他にも「再配布」サイトがいくつかあるようですが、開発者による再配布中止要請が出ています [softether:00040]。

 SoftEther を止めたところで vtun や OpenVPN は存在しつづけるのだがなあ……。それよりは、こういうものとの折りあいをどうつけていけばいいのかを考えるべきだと思うのだが。


2003.12.16

追記

[CORE-2003-12-05] DCE RPC Vulnerabilities New Attack Vectors Analysis

UNYUN さんによる検証結果が、The Shadow Penguin Security Technical Forum で公開されています。

IEの新セキュリティーホールとはてなダイアリーXSS対策
(hoshikuzu|stardustの書斎, 2003.12.15)

 Internet Exploer は CSS の扱いにおいて、@import だけではなく @i とか @im とかだけでも @import と同様に扱ってしまうという話。また @impor\0t (\0 は NULL コードのつもり) のように NULL コードが途中に入っていても、@import と同様に扱ってしまうという。このため、各所の web メールや掲示板、blog ものなどで、この状況を悪用した script 挿入が可能となる可能性がある。はてなダイアリーについては、いちはやく修正されたそうだ。 (手元で検証した結果、欠陥があるのは IE 6 のみのようだ。後述)

日本の各WEBMailサービスにも出来るだけの手はうちましたが、しっかりした返答があり、私のexploitを詳細に聞いてきたのは、たった2社だけでした。MicrosoftとYahooです。この2社には本当に感謝いたします。

 逆に言うと、Microsoft と Yahoo! くらいしか本気な組織はない、ということなのだろう。

XSS対策については、JPCERTは報告用の窓口がありません。従来、JPCERTに連絡しても、何も解決しませんでした。個人が広範なシステムにかかわる脆弱性を発見しても、公的には、どこからも、サポートを期待できないのです。 (中略) それよりも何よりも、私が訴えたいことは、脆弱性の発見を報告できる公的な窓口、コーディネートをしてくれて、適切に各ベンダ、企業、団体に連絡をしてくれる機関、を求めるものです。

 魂の叫びだよなあ……。しかし実際問題として JPCERT/CC はやる気はないようなので、どうすべきなんでしょうねえ。国内ベンダとの脆弱性情報の流通手順に関するワークショップ (JPCERT/CC) をやるときに、そういう方面についても含めるべきだと思うんですけどねえ。

2003.12.16 追記:

 手元で試してみました。 ○は欠陥なし、×は欠陥ありです。

ブラウザ 結果 特記事項
Mozilla 1.5 × @i とかは○だけど @i\0mport は×、NULL 直埋めは○
Mozilla 1.6 beta (20031214) × Ikegami さん調べ: @i とかは○だけど @i\0mport は×、NULL 直埋めは○
Opera 7.23  
IE 5.01 SP3 + hotfix  
IE 5.5 SP2 + hotfix  
IE 6.0 SP1 + hotfix × @i とかと @i\0mport は×、NULL 直埋めは○
Safari 1.1 (v100.1) × 備前さん調べ: @i や @i\0mport は○だが、NULL 直埋めが×

 IE 6 もうだめぽ……Mozilla、お前もか……Safari もか……

2003.12.17 追記:

 水無月ばけらさんから、NULL については Mozilla でもダメなのでは (テストページ) という指摘を受けた (ありがとうございます)。確かに Mozilla 1.5 でも発現する。 だめじゃん > Mozilla。表↑を修正。また手元のテストページにテスト項目を追加した。_o_

 備前さんから、Safari 1.1(v100.1) では NULL 直埋めが×になるとの情報を頂いた (ありがとうございます) ので表↑を更新。

2003.12.18 追記:

 Ikegami さんから Mozilla 1.6 beta (20031214) の情報を頂いた (ありがとうございます) ので表↑を更新。

 STUDIO KAMADA さんに注目すべき情報が:

 @import だけではなく、いろいろなものについて省略記法が可能な模様。 なんなのだこれは……。

2003.12.24 追記:

 こんどは XSS 脆弱性、ただし Mozilla は影響なし? (えむもじら news)。

セキュリティホール memo ではあたかも Mozilla に XSS 脆弱性があるかのごとく書かれていますが、実際は不正な記述?の @import で CSS のインポートができてしまうということだけのようで、大きな問題ではないはずです。

 すいません、私自身は @import の動作しか追いかけてません。江村さん情報ありがとうございます。

住基ネット侵入実験 個人情報の改ざんが可能
(毎日, 2003.12.16)

 長野県の侵入実験結果、再実験の末、ようやく公開されたようで。 以下、CS = コミュニケーション・サーバー。

 下諏訪町では庁舎外のパソコンから、市販の無線LANカードを使って、氏名など12項目の個人情報が入っている「既存住基システム」に侵入。阿智村では、庁内LANなどに直接、接続したパソコンからCSとCSの操作端末、既存住基システムに侵入し、いずれもコントロール下に置いた。
 関係者によると、CSの操作が可能になったことで、総務省の外郭団体「地方自治情報センター」が運用する全国サーバーにも正規の操作者を装ってアクセスし、全国民の個人情報を検索・閲覧できる状態になった。侵入は3日半に及んだが、検知されなかった。

 以前から「内部からの攻撃には弱いのでは?」と言われていたが、それを実証した、ということなのだろう。というか、これは、一自治体の CS から「全国民の個人情報を検索・閲覧できる状態」にできてしまう、というシステムそのものの欠陥なのではないのか。紙ベースで行っている事務処理を、そのままネットワークシステムに置きかえた場合には、こんなことにはならないはずなのに。住基ネットのシステム設計そのものが誤っている、ということではないのか。

 一方、波田町で行ったインターネットからの侵入実験は当初、侵入可能とみられたが、セキュリティー対策が十分施してあったため、最終的には侵入できなかった。

 外部からの攻撃に対しては、それなりにしっかりした防御が行わているようだ。 しかし問題は、内部の末端が実はボロボロでじゃじゃ洩れ、ということなのだろう。

 関連:

 以下、会見と第3者評価の詳細:

 他の自治体でも似たりよったり、あるいはもっとひどいのでないのか。

 総務省コメント:

 山口英先生コメント:

 反応:

 で、誰も何も指摘していないようですけど、住基ネットが Windows NT で動いているという話はその後どうなっているんでしょう。2000 とか XP / Server 2003 への乗りかえは完了しているんでしょうか。もうすぐ NT の patch は出なくなるんですが。まあ、patch あってもなくても同じっぽいですけど。

2003.12.17 追記:

Windows 98 サポート終了ねた
(Internet Watch, 2003.12.16)

 2004.01.16 で終了。ま、そゆことで〜 (声: クレヨンしんちゃん)。 どうしても使いつづけないとだめな場合は、Personal Firewall や Anti Virus や Anti Trojan で乗り切るんですかねえ。 まあ、スタンドアロンで使うのなら、そのままでも別にいいと思いますけどね。 まだしばらくは Anti Virus も対応されるようですし。

 「Windows 98 効果」で Personal Firewall の売上が上がったりするとおもしろいんだけどなあ。


2003.12.15

【重要】 新コンポーネント(2.000.8)の障害について
(canon-sol.jp, 2003.12.12)

 NOD32 バージョン 2.000.8 (2003.12.09 00:00〜20:00 の間公開、現在は公開停止) で、

という欠陥が発生する模様。旧バージョン 2.000.6 ではこの欠陥は発生しないそうだ。

 該当するバージョンを利用している場合は、修正モジュールが配布されているので上書きインストールすればよい。また「シャットダウン時にブルーサンダー発生」となる場合は、修正モジュールの上書きインストール後に 2000.6 を再インストールする。

 それにしても、NOD32 スレ (2ch.net) はなぜこんなに荒れるんだろう。


2003.12.13

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

Safari 1.0 の「ステータスバー: ○」は、私の事実誤認でした。 「×」が正解でした。 お手数をおかけして申しわけありませんでした > 沙耶16歳さん。

椎名さんからの Opera 6.05 と Netscape Communicator 4.75 の情報を追記。 IE 5.2.3 for Mac OS X についても記載。


2003.12.12

[Canna-dev 264] Canna 3.7 released.
(Canna-dev ML, 2003年 12月 12日 (金) 20:59:55 JST)

 Canna 3.7 登場。

・サーバのセキュリティーホールを修正しました。
(中略)
・クライアントから不正なリクエストを送られると、バッファオーバーフローを起こしたり、内部情報が漏れたりするというセキュリティ問題を修正しました。

 機能的には、API が新しくなったりしているそうで。 http://canna.sourceforge.jp/canna37patches/ に、新 API 対応 patch があるそうです。

[CORE-2003-12-05] DCE RPC Vulnerabilities New Attack Vectors Analysis
(bugtraq, Fri, 12 Dec 2003 00:34:42 +0900)

 MS03-026 をはじめとする RPC 穴が出るたびに「high port から侵入されることはないのか?」という話題が出ていたように思うが、どうやら MS03-049 についてはその方法が存在する模様。また broadcast address 向けの UDP パケットを利用した攻撃も可能らしい。

 とりあえず、既知の穴に関する patch をきちんと適用しておきましょう。 この文書で取りあげられているのは MS03-001MS03-026MS03-043MS03-049 です。

2003.12.16 追記:

 UNYUN さんによる検証結果が、The Shadow Penguin Security Technical Forum で公開されています。少なくとも high port に対する攻撃は、確かに実行可能なようです。source port: 53 とかだと、単純にはフィルタできないですよねえ。ちゃんとステートを見ナイト……。

Vulnerability Note VU#707100: Multiple web-based email services fail to filter malicious characters when the message contains cascading style sheet character escaping
(CERT/CC, 2003.12.10)

 ふつう、web メールものでは、メールに含まれるスクリプトを無効化するように組んであるのだが、複数の web メールものに、その無効化手段をかいくぐって script を有効化できてしまう欠陥があった、という話。具体的には、Excite や Yahoo にあった模様。MS hotmail、Lycos にはなかったそうだ。 関連:

2003.12.19 追記:

 関連: 「CSS2 のバックスラッシュの扱い」 (えび日記)。 うーむ……。

いろいろ
(various)

追記

IEにURLを偽装できるパッチ未公開の脆弱性が発見される

すいません、いろいろいじってます。 「テスト結果が合わないんですけど」系の疑問については、 テスト対象 URL を明記しましたので、それでチェックしてみてくださいまし。


2003.12.11

IEにURLを偽装できるパッチ未公開の脆弱性が発見される
(Internet Watch, 2003.12.11)

 元ネタ:

 というわけで、偽 web サイトを利用した詐欺などにもってこいの欠陥のように見えます。対策としては、アクティブスクリプト / JavaScript を無効にした上で、この欠陥のないブラウザを使う、になるのでしょう。

 しかし、Secunia Advisory SA10289: Internet Explorer System Compromise Vulnerabilities について

マイクロソフト取締役経営戦略担当の東貴彦氏は「一部で報道されたIEの脆弱性については認識している」とコメント。ただし、まだ攻撃コード(exploit code)が発見されていないことから緊急度は低く、「修正プログラムの開発を急がせて、不十分なものにならないよう、12月の“月例”修正プログラムではリリースしなかった。準備ができ次第公開したい」と語った。

というのはいただけませんね。デモコードが公開されているにもかかわらず「緊急度は低」いとは。

さらに毎月の修正プログラム配布についても言及。「今後は、配布スケジュールを現在の1カ月に1度から3カ月ごと、もしくは半年ごとに変更することも考えている」とコメントした。

 穴ありのまま 6 か月放置プレイを検討、ですか。いやはや。

2003.12.11 追記:

 水無月ばけらさんから情報をいただきました (ありがとうございます):

スクリプトを無効にしても防げない場合があるようです。スクリプトを使用せず、HTML に直接書いてしまういうパターンでも同様の攻撃ができます。以下に情報があります。
http://d.hatena.ne.jp/hoshikuzu/20031210#p3

 以下は私が作ったデモですが、
http://altba.com/bakera/bug/nul-url.html

 これを WindowsXP + MSIE6、スクリプト無効の環境で試したところ、ちゃんと (?) microsoft.com の URL が表示されました。

 なお、この攻撃は MSIE4 以降全てで可能なようです。
 MSIE3 では駄目だったという報告がでています。:-)
http://altba.com/bakera/hatomaru.aspx/htmlbbs/article/1317

 また、素の MSIE ではなく、タブブラウザを使用していると挙動が違うという情報もあります。
http://znz.s1.xrea.com/t/?date=20031211#p01

 12月11日追記3−−−偽装度アップの巻−−− (hoshikuzu|stardustの書斎) は強烈すぎますね。 「現状の IE は危険すぎて使いものにならない」と言い切ってしまってよいでしょう。 いやはや。 このデモの場合は、IE 5.01 / 5.5 だとアドレスバーが「http://www.cnn.com%2FUS%00」になるので、もしかしたら「なんじゃこりゃ」と気がつけるかもしれませんが、IE 6 だとそれすらありませんね……。

 Opera 7.23 だとこんなダイアログが表示されます (英語版だとこんな感じ)。これはいい感じですねえ。

 まとめると、こんな感じでしょうか。テスト対象は 12月11日追記3−−−偽装度アップの巻−−− (hoshikuzu|stardustの書斎) の「http://www.cnn.com/US/」です。 ステータスバーについては、クリック前の表示で判定しました。 ×は欠陥あり、○は欠陥なしです。

ブラウザ アドレスバー ステータスバー プロパティ (ページ情報) 特記事項
IE 5.01 SP3 + hotfix × × × アドレスバーは %2FUS%00 のようになる
IE 5.5 SP2 + hotfix × × × アドレスバーは %2FUS%00 のようになる
IE 6 SP1 + hotfix × × × だめすぎ
Netscape 7.1 ×  
Mozilla 1.5 ×  
Opera 7.23 ダイアログも表示される (日本語英語)
Safari 1.0 × 「構成ファイル一覧」をプロパティとして扱った
IE 5.1.7 for Mac OS 8/9 × 機能なし?  
IE 5.2.3 for Mac OS X × 機能なし?  
Opera 6.05 機能なし? ダイアログも表示されるが、中身がない (日本語)
Netscape Communicator 4.75  

 なお、Windows版Internet ExplorerにURLを偽装できてしまう脆弱性 (リンクとか備忘録とか日記とか) によると、Safari 1.1 ではステータスバーも「○」のようです。

 JavaScript 版 (アドレスバー + ステータスバー偽装) での結果も記載しておきます。http://www.st.ryukoku.ac.jp/~kjm/test/citibank.html で試せます。

ブラウザ アドレスバー ステータスバー プロパティ (ページ情報) 特記事項
IE 5.01 SP3 + hotfix × × × だめすぎ
IE 5.5 SP2 + hotfix × ×  
IE 6 SP1 + hotfix × ×  
Netscape 7.1 ×  
Mozilla 1.5 ×  
Opera 7.23 × ダイアログも表示される
Safari 1.0 動かない ×    
IE 5.1.7 for Mac OS 8/9 × 機能なし?  
IE 5.2.3 for Mac OS X × 機能なし?  
Opera 6.05 × 機能なし? ダイアログも表示されるが、中身がない (日本語)
Netscape Communicator 4.75 ×  

 JavaScript が有効な場合には、ステータスバーは全く信用できないようですね。 いやはや。「static な href と onClick 時の href が異なる場合には警告を出す」ようなオプション (デフォルトで有効) があるといいのかなあ。

2003.12.12 追記:

 miata さんから情報を頂きました (ありがとうございます):

Operaにもステータスバーはあります。 [表示]->[ステータスバー]で「上に表示」「下に表示」「表示しない」から選択できます。

 「下に表示」に設定してから試してみたが、同様に正しい結果が得られたので、↑でうだうだ書いていた部分をコメントアウトした。

 テストに用いたものと、○×の意味が不明確だったので追記しました。 IE 5.01 / 5.5 / 6 を、バージョン明記の上で分離して記述するようにしました。 Netscape 7.1 と IE 5.1.7 for Mac OS 8/9 での結果を追加しました。

 池田さんからプロパティに関する指摘を受けたので、プロパティに関する情報を追記しました。また沙耶16歳さんから URI偽装バグ (沙耶16歳さん) を教えていただいたので、JavaScript 版 (アドレスバー + ステータスバー偽装) での結果もまとめておきました。 椎名さんからいただいた情報は、テスト対象がいまいち不明なので、一旦コメントアウトしてあります (ごめんなさい)。

2003.12.13 追記:

 Safari 1.0 の「ステータスバー: ○」は、私の事実誤認でした。 「×」が正解でした。 お手数をおかけして申しわけありませんでした > 沙耶16歳さん。

 椎名さんから Opera 6.05 と Netscape Communicator 4.75 の情報を新ためて頂きました (ありがとうございます) ので、↑の表に追加しておきました。 また、IE 5.2.3 for Mac OS X についても記載しておきました。

2003.12.17 追記:

 Microsoft KB 登場:

 しかし、これ、そもそもその web ページがアヤシイことに気がつけないとどうしようもないわけで。対策としては弱すぎます。やっぱり当面は IE の使用を控えるのがよいと思います。IE 6 SP1 の Outlook Express 6 の場合には、HTML メールはテキストにして読むのがよいでしょう。

 それにしても、なぜ Internet Watch では「Mozilla や Opera ではここまでひどくはない」という話が紹介されないんだろう。不思議だ。

2003.12.18 追記:

 Opera 7 でのページ情報の表示の仕方を匿名希望さんに教えていただいた (ありがとうございます) ので表を改訂。 Opera 7.23 でのページ情報は○だった。 その方法: [表示] メニューの [ホットリスト] で「ページ情報」をチェックすると、ホットリストに「ページ情報」という項目ができるので、これで確認できる。

2003.12.21 追記:

 Internet Security Systems Security Alert: Microsoft Internet Explorer URL Spoofing Vulnerability (ISS) 登場。この欠陥を回避するためのプログラムが ISS から配布されている。 Product Utilities の Microsoft Internet Explorer domain URL spoofing filter がそれ。 ActiveX コントロールとして実装されている。

 手元で試した限りでは、きちんと回避できているようだ。 「表示された URL にアクセスするように修正する」事により回避しているようで、Mozilla などでリンクをたどった場合とは結果が異なるようになる (^^;)。 偽装先が https: な場合は、一瞬そのサイトにアクセスしてしまうようだ。

2004.01.05 追記:

 NAI VirusScan の ウィルス定義ファイル 4311 以降で、この欠陥に対応されている。

 こんな感じで表示される:

 

2004.01.28 追記:

 IE 用 fix が近日登場のようです: 834489 - Microsoft plans to release a software update that modifies the default behavior of Internet Explorer for handling user information in HTTP and HTTPS URLs 。まあ、fix というよりは仕様変更 (URL での username:password を無効にする) なのですが、これだけ悪用されている以上、仕方ないのでしょう。

 また koricoli さんによると (情報ありがとうございます)、先ごろ登場した Mozilla 1.6 では、ステータスバーについても ○ になっているそうです (koricoli さんによるキャプチャ画像)。

2004.02.12 追記:

 Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004) (Microsoft) 登場。fix された、とされています。 CVE: CAN-2003-1025 だそうで。

ブラウザ アドレスバー ステータスバー プロパティ (ページ情報) 特記事項
IE 5.01 SP4 + MS04-004 ×  
IE 5.5 SP2 + MS04-004 ×  
IE 6 SP1 + MS04-004 ×  

 ステータスバーはあいかわらずだめですし、アドレスバーについても、 fix というよりは「URL での username:password を無効にした」だけ、のように見えます。実際、834489 - Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するソフトウェアアップデートのリリースについて (Microsoft) にあるレジストリエントリを設定して「URL での username:password を復活」させると、見事にだめだめです。

 個人的には、MS04-004 を適用した上で、 ISS の Microsoft Internet Explorer domain URL spoofing filter も併用した方がよいように思います。 2 重に守られることになるし、ステータスバーについても正常に表示されます。 なお、ISS のフィルタをアンインストールするには、インストーラを再度起動します。

 さらに、3rd パーティアプリを併用している場合に、MS04-004 が無効化されてしまう場合があるようです。 MS04-004の修正プログラムは不完全? (CNET) を参照してください。実際には、無効化というよりは機能の上書きなのでしょうが。麗美さん情報ありがとうございます。

 さらにさらに、NAI VirusScan の ウィルス定義ファイル 4311 以降での対応だが、どうやら不十分のようだ。

手元のテストスクリプトでも試してみたところ、2 番目4 番目 (いずれも non-JavaScript 版) を検出してくれないようだ。 スターダストさん情報ありがとうございます。

CA証明書を更新したJDK1.4.2_03リリース
(slashdot.jp, 2003.12.11)

 Sun J2SE に含まれる VeriSign の CA 証明書の一部が 2004.01.07 で失効してしまうという話。J2SE 1.4.1_06 / 1.4.2_03 で修正された模様。

2004.01.06 追記:

 Oracle 製品にも同じ問題があったようです。三月兎さん情報ありがとうございます。

ソフォス、にせのApple iPodスパムが警察の電話システムに攻撃しようとしたことに対しコメント
(Sophos, 2003.12.05)

 誰でも簡単に実行できて、おまけに効果の高そうなテロだなあ。


2003.12.10

追記

Lot of traffic after installing bind 8.4.3 on sparc

詳細情報: BIND 8.4.3 の問題について (JPRS)。 Solaris だからどうこうという話ではなかったようです。

インターネット事件簿 第2回:「セキュリティ架空請求」に見るインターネットのけものみち
(Internet Watch, 2003.12.10)

 架空請求モノも、どんどん進化しているようです。気をつけましょう。

追記

Linux kernel do_brk() lacks argument bound checking

Fedora Core 1: [SECURITY] Updated Fedora Core 1 kernel packages.


2003.12.09

欠陥いろいろ
(various)

追記

再掲:SafariにCookieが漏洩する脆弱性

official fix 登場: APPLE-SA-2003-12-05 Security Update 2003-12-05


2003.12.08

日本 Snort ユーザ会設立のお知らせ
(日本 Snort ユーザ会, 2003.12.08)

 というわけで起動されました。関係者のみなさんおつかれさまです。

Lot of traffic after installing bind 8.4.3 on sparc
(bind-users ML, 2003.12.03)

 Solaris 8 で bind 8.4.3 に移行したら、なんだか IPv6 な名前 (AAAA) 引きトラフィックが増えたという話。 スレッドを追うと、Solaris 8 な人に同様事例が複数ある模様。 CPU 負荷もガガッと増えるみたい。 lame がらみトラブル? (このへんこのへん)。 とりあえず、-4 オプションをつけて IPv4 only にすると状況が軽減される模様 (このへん)。

 DNS関連技術情報 (JPRS) に

2003-12-06 BIND 8.4.3 に特定の環境化でqueryを出し続けるバグがありISCがこのバージョンを破棄しました。詳細が分かり次第、続報を出します。

とあるのだが、この話かなあ……。

2003.12.10 追記:

 詳細情報: BIND 8.4.3 の問題について (JPRS)。 Solaris だからどうこうという話ではなかったようです。


2003.12.07


2003.12.05

注意喚起: RFC 3280 の UTF8String 問題について
(IPA ISEC / JNSA, 2003.12.03)

 RFC 3280 において、2004.01.01 以降に発行する全ての公開鍵証明書の DirectoryString は原則として UTF8String でエンコードしなければならないとなっているが、実は RFC 2459 から RFC 3280 に改訂するときの仕様の削除し忘れであることが判明したのだそうだ。また、UTF8String を利用するにしても、UTF8String と UTF8String ではない文字列との比較方法が不明確であり、明確化するための仕様を今後策定するそうだ。このため、「2004.01.01 以降は UTF8String で」という仕様は実質上 (無期限に?) 延期されたので、急いで対応する必要はない、らしい。

 しかし日本政府 GPKI の相互運用性仕様書では「原則として UTF8String、ただし 2003.12.31 までは Printable String でも可」となっており、「2004.01.01 以降は UTF8String」であることが明確化されている。これに従って、かなりの省庁では UTF8String への移行処置がすでに実行されているようだ。しかしその結果として、Windows 98 / 98 SE / NT 4.0 + IE では適切に処理できなくなってしまっており、しかもその状況をきちんと把握できていない省庁も散見されるようだ [memo:6726]。 個人的には「Windows 98 / 98 SE / NT 4.0 ステ」で全く構わないと思うが、動作状況をきちんと把握できていないというのはまずいだろう。

 まだ UTF8String に移行していない省庁もあるようだし、とりあえず相互運用性仕様書は改訂した方がいいと思うのだが、今からそんなことできるんですかねえ。

NEC製モノクロレーザープリンタ用印字装置の無償部品交換について
(slashdot.jp, 2003.12.04)

 NEC および (NEC 製プリンタエンジンを塔載した) 日立のモノクロプリンタにおいて、特定部分が発熱し、最悪の場合には発火する欠陥。該当機種は、NEC MultiWriter 2000X2 / 2050 / 2200X / 2200X2 / 2200XE / 2250 / 2250H / 2650 / 2650E / 2650M、NEC N1153-018、日立 HT-4559-209 / HT-4559-209N、日立 Typhoon 20 の特定の型番のもの (平成 11 年製造)。

 無償で点検・修理を行ってもらえる。該当機種を所有する場合は、シリアルナンバーを確認の上、該当している場合は「NECプリンタお客様受付センター」か日立の「専用受付窓口」に連絡を取ろう。また、「節電モード」を有効にして、発熱する可能性を可能な限り回避しておこう。

[rsync-announce] rsync security advisory
(bugtraq, Thu, 04 Dec 2003 22:59:40 +0900)

 rsync 2.5.6 以前に欠陥。rsync をサーバとして動作させた場合に heap overflow する欠陥があり、remote から任意のコードをサーバ実行権限 (デフォルト: nobody) で実行可能。rsync 2.5.7 で修正されている。

関連:

fix / patch:

Changelog:

2003.12.25

Mac OS X fix, CVE 番号を追記。

複数のブラウザを利用するということは・・・
(port139, 2003.12.04)

 「一つのブラウザをメンテナンスなり利用する」と single point of failure になってしまうので個人的には好きではありません。もっともシェア的には、IE に何かあると、事実上の single point of failure なんですけどね……。学内的には、Linux な人は Netscape / Mozilla だし、Mac OS X な人は Safari だしなので、結局主要なものは全部 watch しておく必要はあったりするのですが。

 Netscape / Mozilla を使う場合は、たとえば ポリシーマネージャ を使ってサイトポリシーを設定すると便利です。デフォルトでは JavaScript 無効にしておいた上で、「信頼済みサイト」ポリシーを作成、そこでは JavaScript を有効にし、特定のサイトだけ「信頼済みサイト」ポリシーに含ませる、といった使い方ができます。

追記

Linux kernel do_brk() lacks argument bound checking

詳細: Linux Kernel do_brk() Vulnerability (isec.pl)。 exploit つき。


2003.12.04

FreeBSD arp poison patch
(bugtraq, Wed, 03 Dec 2003 22:43:30 +0900)

 FreeBSD では、request のない、reply だけの ARP reply に対して syslog に警告を出すにもかかわらず、その reply 自体は受領してしまう。 http://freecap.ru/if_ether.c.patch を適用すると、古い MAC アドレスを置きかえる前に、古い MAC アドレスに対して unicast でリクエストを発し、答えが返ってきた場合には MAC アドレスを置きかえない、という動作になるそうだ。

追記

Some Debian Project machines compromised

状況詳細: Debian Investigation Report after Server Compromises

BIND 8.4.3 Release (8.4.3-REL)

Vine Linux: [ 2003,12,03 ] bind にセキュリティホール

Linux kernel do_brk() lacks argument bound checking

Linux ヤラレ系話
(various)

 Some Debian Project machines compromised の衝撃がまだ冷めない今日このごろですが、他にもヤラレていたサイトがあったようで。

 関連: GentooとFSFのサーバにも侵入事件が発生 (slashdot.jp)。


2003.12.03

Linux kernel do_brk() lacks argument bound checking
(Full-Disclosure, Tue, 02 Dec 2003 09:09:28 +0900)

 Some Debian Project machines compromised の原因は新種の local root exploit であったことが判明。

 2.4.22 以前の Linux 2.4.x カーネルに欠陥。 do_brk() における境界検査に欠陥があり、カーネルメモリの一部をユーザメモリとして認識させることが可能。これを利用すると、local user が root 権限を奪取することが可能となる。 詳細:

 exploit:

 CVE: CAN-2003-0961

関連記事:
fix / patch:
Changelog:
2003.12.04
2003.12.05

詳細: Linux Kernel do_brk() Vulnerability (isec.pl)。exploit つき。

2003.12.10

Fedora Core 1: [SECURITY] Updated Fedora Core 1 kernel packages.

2003.12.25

NAI WebShield Appliance (e250/e500/e1000): セキュリティベンダーよりo_brk 関数機能の脆弱性によってローカル攻撃者にroot権限を奪われる危険性があるとの報告がありましたが、WebShieldの対応はどのようになるのでしょうか?


2003.12.01

いろいろ
(various)

追記

CAN-2003-0901: PostgreSQL buffer overflow (7.2.x, 7.3.x < 7.3.4)
Some Debian Project machines compromised

関連: Debianサーバ攻撃--未知の脆弱性を突かれたか? (CNET)。

BIND 8.4.3 Release (8.4.3-REL)

[セキュリティホール memo]
私について