Last modified: Fri Jan 25 14:30:23 2008 +0900 (JST)
》 ブルセラ、スカウト行為規制へ 健全育成条例、都が強化 (asahi.com)。東京都ローカル。明日から。
》 OCNバックボーンが重大障害 (slashdot.jp)。
いやあ、たいへんですね……。 「転んでもタダでは起きない」という意味では、今回の事象の詳細と、そこから得られる教訓をまとめて公開してほしいなあ。 もちろん、一段落ついてからでいいですが。
》 Namazu メーリングリストに関する免責事項 (namazu.org)。namazu 関係のメーリングリストへは、この免責事項の同意を前提に、参加し直す必要があるそうです。メーリングリスト再構築について (namazu.org) も参照。
》 最高裁裁判官の国民審査、改憲で廃止検討へ…自民 (読売)
》 BBCが映像アーカイブをCCライクなライセンスで公開予定 (slashdot.jp)。いいぞ BBC。 グッジョブ!! NHK もがんばれ。
》 紙のように薄い太陽電池、シャープが開発 (asahi.com)。うぉー、薄いだけでなく変換効率 28.5% とは。
名刺を2枚合わせた大きさの重さは約1グラム、発電量は2.6ワット。1グラムあると自転車ライトの電力がまかなえる。電極をつなぎ、カーテンやテントの素材として日光を遮りながら発電したり、自動車の外面にはったり、円柱に巻き付けたりして使うことも可能。蓄電池と接続し、携帯電話などの充電に役立てることもできるようになる。
すげぇ。
》 マイクロソフト サポート オンライン for Mobile について (Microsoft)。サバイバルツールになるかなあ。
イラク関係ではこんなのも。まあ、当初から予想されたことですが。
》 Microsoft defaced once again! (zone-h.org, 5/25) なんて話があったようですね。SQL injection attack ですか。
》 バーチャルネットハッカーっ娘沙耶16歳 さんちが Not Found になっているんですね。 server 自体は動いているようですが……。Laut さん情報ありがとうございます。
》 第二回セキュリティスタジアムセミナー「情報漏洩の傾向と対策」は本日12時半開場、13時から だそうで。当日券あるようです。
情報漏洩といえば、日経コンピュータ 2004.05.31 に「特集 2: 情報漏曳、事件に学ぶ事後対策」という記事が出ていました。事後対策として行うべきは何か、またその事後対策を行うために事前に行うべきは何か、をまとめた記事です。記事全体としてたいへん興味深いのですが、そこにこんな文章があります。
答えが出しづらいが、原則は、「不要な個人情報は削除、アクセス・ログは永久保存」である。
「答えが出しづらい」というのは、解約した会員の情報など「もはや不要になった個人情報」はどうすべきか、という話を受けてのものなのですが、この他にも、「アクセス・ログに個人情報が含まれている」あるいは「アクセス・ログが個人情報である」という場合がおうおうにして存在することにも注意する必要があるのでしょう。 たとえば、現在裁判中の ASKACCS 事件で漏曳したのは、「個人情報」ではなく「個人情報が含まれたアクセス・ログ」でした。
原則はアクセス・ログ永久保存かぁ……。保存方法を考えナイトなあ。
mod_ssl 2.8.17 以前に欠陥。 SSLOptions +FakeBasicAuth を指定していた場合に、 クライアント証明書の Subject-DN が 6KB を越えていると buffer overflow する欠陥がある。 元ネタ: [Full-Disclosure] mod_ssl ssl_util_uuencode_binary potential problem。 CVE: CAN-2004-0488
mod_ssl 2.8.18 で修正されている。 また Apache 2.x にも同様の問題があり、 modules/ssl/ssl_engine_kernel.c 1.106 で修正されているそうだ。 patch。 SA11534 (secunia.com) 参照。
neon に含まれる libneon に欠陥。ne_rfc1036_parse() における sscanf() の使い方に欠陥があり、buffer overflow が発生。これを利用すると、libneon を利用するアプリケーションにおいて任意のコードを実行可能となる。 CVE: CAN-2004-0398
neon 0.24.6 に含まれる libneon では修正されている。
Subversion 1.0.2 以前に欠陥。libneon と同様の sscanf() がらみ欠陥により、remote user が任意のコードを実行可能となる。 CVE: CAN-2004-0397
Subversion 1.0.3 で修正されている。最新は 1.0.4。
CVS 1.12.7 / 1.11.15 以前に欠陥。 CVS エントリ行中の modified および unchanged フラグの処理に欠陥があり、 heap overflow が発生。これを利用すると、remote から CVS サーバ動作権限で任意のコードを実行できる。 攻撃を実行するには CVS サーバへのアクセス id / password が必要となるが、 よく見かける、anonymous で read-only 公開している場合でも実行可能である。 CVE: CAN-2004-0396。
CVS 1.12.8 / 1.11.16 で修正されているので入れかえればよい。
exploit が公開されている。コメントが興味深い。
cvshome.org <-- PLAY "FIND THE SUCKIT" と書かれているわけだが、www.cvshome.org が現実に侵入されていた (rootkit が仕掛けられていた) ことが明らかになっている。 関連: Handler's Diary May 27th 2004 (SANS ISC)。
バージョン管理ツールCVSのセキュリティ・ホールを突いた不正侵入が続発 (日経 IT Pro)。流行ってます。
Vine Linux: [ 2004,06,07 ] cvs にセキュリティホール(修正版)。前の版は実は直っていなかった。
Fedora Legacy: [FLSA-2004:1620] Updated cvs resolves security vulnerabilities
helium.ruby-lang.orgの侵害についての報告 (ruby-lang.org)、ruby-lang.org、クラックの詳細を公開 (slashdot.jp)。
》 karin.namazu.org がセキュリティ侵害を受けました (namazu.org)。open source project を狙った攻撃、流行ってますね……。
》 ANNOUNCE: [FreeBSD-Announce] Announcing FreeBSD 4.10-RELEASE だそうです。リリースノート。各所にもおいおい mirror されるのでしょう。
》 サイバー犯罪条約関連の刑事法等改正に関する公開セミナー関連:
書籍もだめ……というのは、言論の自由を制約しすぎだと思うのだが。 あと、サイバー犯罪条約とその国内法化に関するQ&A (日本弁護士連合会) にあるように、あまりに曖昧・無限定な部分があるわけで:
【不正指令電磁的記録作成等の罪の新設について】
(中略)
これらの罪は、いわゆる電子ウイルスを想定し、その取り締まりを意図したものであり、その取締目的自体については、昨今の電子ウイルスが蔓延している状況から見るとやむを得ないものと考えられます。
しかしながら、それぞれの犯罪の構成要件を見ると、「意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」という文言は極めて曖昧であり、どのような場合に本罪が成立するのかが明確ではありません。
また、本罪は目的犯とされ、「人の電子計算機における実行の用に供する目的」がなければ成立しないとされていますが、この目的だけでは、コンピュータ・システムの正当な試験のために行われる開発行為がこの罪に該当しないかどうかが不明確です。
白浜シンポの「俺テーマ」として「どうするどうなるセキュリティホール memo」というものがあった。高木先生に聞くと「目的犯なのだからだいじょうぶ、下手に萎縮する方が間違い」という感じの答えが返ってくるのだが、岡村先生に聞くと「可能な限り広く解釈されるのでは? いっそそうなって、ビル・ゲイツを逮捕してしまえばいい」という感じの答えが。うーむ……。
》 最終回 ネットワークの私的利用をやめさせよう (@IT)。ドキュメント書きしてくれる人ほしいなあ。
ところで、中村君のところは、たしか Windows NT とか sendmail 8.9.3 が動いている Linux とか、今にもサポートが終りそうな (あるいはもう終ってる) ものを使っていたような気が……。だいじょうぶなんだろうか。情報漏曳編につづくようだけど。
》 技術上の宗教論争には理由がある? (ITmedia)。IDS vs IPS (IDP) 話。 「IDSとIPSを連携させれば、威力は最大限に発揮される」という意見には首をかしげざるを得ないのだが……。両方売りたいだけちゃうの。 「一方のIDS機器は、一種のセキュリティ監視カメラのようなものであり」という意見にも首をかしげざるを得ないのだが……。監視カメラと呼ぶべきは、今では、「ネットワーク・フォレンジック製品」の中のある種類のものだと思うし。 監視カメラじゃなくて、センサーですよねえ。良くも悪くも。
》 完成近づくWindows XP SP2——NXのバグが最後の障害に (ITmedia)。NX を試している人ってどのくらいいるんだろう。 手元には……ないです (T_T)。
》 MS、「Yukon」で暗号化機能をネイティブサポート (ITmedia)。次期 Microsoft SQL Server ではデータの暗号化をネイティブでサポート予定、だそうです。それはいいんだけど、いつ決まった話なんだろう。
》 顧客情報流出、メルマガ改ざん配信被害 自転車のツノダ (asahi.com)。ニセメール送信ですか……。 【その後】株式会社ツノダさんの失態 (裸の大笑:おむすび咥えて三千里の旅) になにやらそれっぽいものがあるのだが、From: が簡単に偽造できるってことは、意外に知られていないんですかねえ。
》 いまごろになって Red Hat Linux 7.3 をインストールしなくてはならないかもしれなくなったのでちょっと調べていたのです。
ふぅむ……。「まぜるな危険」だったりするかなあ。 (クララオンラインを追加: 黒木さん情報ありがとうございます)
》 世の中にはこんな話もあるようですが、彼らはなぜ逮捕されないんですかねえ:
一方で、抗議をするだけで家宅捜索されたり、ビラを配っただけで逮捕され 75 日も拘置されたりするようですが。
こんな話もあるようです (水野さん情報ありがとうございます):
会見の主旨:京都府警警察官の不法行為に関わる提訴について
出席者:元京都府警警察官、中道武美弁護士、宮崎学(作家)
》 セキュリティ情報専門誌を年間3,000円で提供開始(NS総研)(2004.5.26) (NetSecurity.ne.jp)。もしかして、安いですか?
》 Windows Server World 2004.07 の Virus Bulletin では、Linux 用のアンチウィルスプロダクトを取りあげていますね。NOD32、Linux 版も扱ってくれないかなあ…… > キヤノンシステムソリューソンズさん。
Dazuko というものがあるのですか。FreeBSD もいけるようで。 Clam AntiVirus の clamd も Dazuko に対応しているようで。
今気がついたのですが、
》 ACKACCS 事件、裁判が始まったようです。office さんはあくまで争うようです:
そういえば ACCS から仮処分申請なんてのもされてましたが、その後どうなっているんですかね:
しかし ACCS は、1 次流出の責任についてどう思っているんだろう。 うやむやにして終りなんだろうか。
》 内部告発者処分を検討 コスモ石油個人情報流出 (中日)。処分も満タンに、コスモ、石油♪
そういえば、未納方面でもさがしていらっしゃるようですね: 年金未納問題 社保庁、年金情報のアクセス判断、職員まかせ 「犯人捜し」に躍起 (毎日)。
》 タイ北部で鳥インフルエンザ再発 大学の農場 (asahi.com)。またでました。
》 デスクトップ画像などを漏洩させる、Antinnyの最新亜種「Antinny.L」 (Internet Watch)。またでました。
Apple プレスリリース: Mac OS Xアップデート、セキュリティ上の懸念に対処 (apple.co.jp)。 しかし Secunia は反論: 「Mac OS Xの脆弱性は未解決」とSecunia (ITmedia)。 実際、完全には直ってないんだから仕方ない。
さらに、ssh: URI ハンドラにも欠陥があるとの指摘が: [Full-Disclosure] SSH URI handler remote arbitrary code execution。
さらなる障害情報:
[OFF2000] MS04-011 修正プログラム適用すると Photo Editor で透過設定ができない (Microsoft)。
Office 2000 付属のもののみ障害が発生。 Office XP 付属のものは問題ない。 回避・対応手段は今のところない模様。
セイコーエプソン,MS04-011適用後にプリンタ・ドライバがインストールできなくなる不具合を公表 (日経 IT Pro)。 オフィシャル: セキュリティパッチ適用後に弊社プリンタドライバがインストールできなくなる件について (EPSON)。
Windows 2000 を利用しており、かつ、MS04-011 patch インストール済の状況で、Windows 2000 用プリンタドライバをインストールしようとすると失敗する。 回避策がある: エプソン製のインストーラ (setup.exe, fd_setup.exe) を使うのではなく、 OS 標準の「プリンタの追加ウィザード」を利用すればよい。
F-Secure: F-Secure Security Bulletin FSC-2004-1: Buffer overflow caused by malformed LHA archive。 更新版が用意されているので F-Secure 製品利用者は適用しよう。
この一方で、さらなる buffer overflow の指摘が。 コマンド行引数で buffer overflow する模様。 patch が提案されている。
FreeBSD 4.x/5.x に欠陥。msync(2) の実装に欠陥があり、ファイルへの読み込み許可を持つユーザが、そのファイルへの変更がディスクに適用されるのを妨害することができる。source に patch を適用するなり CVSup で更新するなりしてから、kernel をつくりなおしてインストールし再起動すればよい。
F-Secure Anti-Virus 5.x に欠陥があり、zip ファイルに含まれた Sober.D と Sober.G を検出できないことがあるようだ。 hotfix が登場しているので適用すればよいようだ……が、日本語版にも適用できるんだろうか……。
パッチ適用状況を検査できる無償ツール「MBSA 1.2日本語正式版」を公開 (Internet Watch)。待ちに待ってたヤットデタ♪
Network Security Toolkit (NST)。Red Hat Linux 9 ベースだそうで。
ネットマークス,不正なパソコンを“自動隔離”するシステム (日経 IT Pro)。ラックさんが噛んでいるそうで。
セキュリティフライデー,脆弱なパスワードを数秒で解読するシステムを開発 (日経 IT Pro)。NTLMv1/v2 対応ということなのかな。
今回のシステムでは,既存の辞書攻撃を使ってパスワードを割り出すのに7日かかる場合で5秒,30日かかる場合で20秒で解析できる。それぞれの場合で,1.4テラバイト,5.7テラバイトのハードディスク容量が必要になる。
うひゃあ、TB ですか……。
Spybotのツールを使ったシステム解析/修正 (アダルトサイト被害対策の部屋)。 Spybot は便利ですね。
NEGiES。 簡易ファイアウォール機能つきのパーソナル帯域制御ソフト、なのかな。
ネットワークの盗聴を発見するツール「PromiScan Ver3.0J」を販売開始(NS総研)(2004.5.26) (NetSecurity.ne.jp)。31,290円(税込)だそうです。
副題の「ビジネスおよび開発用ソフトウェア製品のサポート期間を製品発売から最短で10年に延長、セキュリティ対策ニーズに対応するとともに、製品の新規導入・システム移行計画を支援」にあるように、ビジネスおよび開発用ソフトウェアは最短でも 10 年はサポートされるように、サポートライフサイクルポリシーが変更された。 単に「10 年になりました」ではなく、
メインストリームサポート 次のうちいずれか長い方
・ 製品発売から5年
・ 後継製品の発売から2年延長サポート 次のうちいずれか長い方
・ メインストリームサポート終了から5年
・ 2番目の後継製品の発売から2年
なので、次期製品の登場がひどく遅れるような事態 (Windows 2000 を思い出せ) が発生した場合には、メインストリーム・延長サポート共に「最短 5 年」から延長されることになる。 少なくともサポート期間については、HP-UX など商用 UNIX 製品に追いつき追い越した、というところか。 商用 Linux 陣営はどう受けて立つのかな。
なお、サービスパックについては
「サービスパック」については、最新、および1つ前のバージョンも、最新バージョン公開後、基本12ヶ月まで修正プログラムやセキュリティ更新プログラムを対象とします。(ただし、お客様のシステム移行状況等を考慮した結果、1つ前のバージョンのサポート期間を 24ヶ月とする場合があります。)
と、含みはあるものの、基本的には現状と同様のようだ。
関連記事:
》 元麻布春男の週刊PCホットライン■ Windows XP SP2は8月から登場 (PC Watch)。あぁレポートしなくちゃ……。
》 Clam AntiVirus 0.71 が出ていたんですね。
Windows GUI 版の ClamWin も 0.35 が出ています。 ClamWin は Beta Testers Needed だそうですので、興味と時間のある方はぜひ。
》 CSIR & Digital Forensics (port139) の「Computer Forensics (Windows)」と「不正アクセス探偵団」に大量のドキュメントが登場。うひ〜すげ〜。
》 Handler's Diary May 24th 2004 (SANS ISC)。 昨日の Akamai トラブル話出てます。攻撃等ではなかったようで。 関連: [memo:7586] DDoS Attack? 以下のスレッド。
》 パスワード変更を求める不審なメールに関するご注意 (yahoo.co.jp)。 オォゥ。これはモロですねえ。 (info from SecuLog)
》 Kerberos 本、いよいよ 5/28 に出るそうです。UNIX で広く利用されている Kerberos 実装 (MIT, Heimdal) と Windows Active Directory の Kerberos との連携話なども記載されています。
関連: Symantec Norton AntiVirus 2004 の脆弱性に関するお知らせ (富士通)。NAV 2004 がプリインストールされている機種があるそうで。
Symantec Norton AntiVirus 2004は下記の全てのFMVシリーズに添付されています。
* FMV-DESKPOWER / FMV-BIBLOシリーズ 2004年春モデル以降
* FMV Desktop / FMV LIFEBOOKシリーズ 2004年5月発表のモデル以降
CVE: CAN-2004-0459。 CERT/CC Vulnerability Note: VU#106678。
InterScan Messaging Security Suite: WINDOWS:UNIX:メールデータ全体に対する検索 (WholeFileScan機能) (トレンドマイクロ)。 WholeFileScan 機能の解説。
InterScan Web Security Suite: トレンドマイクロ製品のウイルスパターンファイルや検索エンジンのアップデートが正常に完了しない (トレンドマイクロ)。Security Patch (readme: Windows 版, Linux 版, Solaris 版, Solaris 1.1 版) があるので適用すればよいそうだ。 適用しないと、さまざまな製品で不具合が発生する模様。
セキュリティをリモートから侵害可能な McAfee ePolicy Orchestrator の脆弱点 (ISSKK)。 英語版: McAfee ePolicy Orchestrator Remote Compromise Vulnerability (ISS)。
ePolicy Orchestrator (ePO) 2.5.1, 3.x に欠陥。 ePO サーバに特殊な HTTP POST リクエストを送ると、ePO サーバ上に任意のファイルを作成できてしまう。これを利用して、攻撃ファイルを ePO クライアントに配布させることにより、ePO 配下の全てのコンピュータを支配することが可能になる。
ePO 2.5.1 Patch 14 および 3.0.2a Patch 4 で修正されている。
ePolicy Orchestrator 3.0,3.0.1,3.0.2a: FTP分散リポジトリに対して「複製タスク」の実行が失敗し、分散リポジトリへパッケージのコピーが出来ません (NAI)。 ePO 3.02a Patch 4 で修正されている。
ePolicy Orchestrator 3.x: NaRepl32.exeプロセスがCPUに高負荷をかけてしまいます (NAI)。 NaRepl32.exe を停止させ、Framework Service を再起動した後に、回避策を実行。 NAIFtp よりも NAIHTTP の方がいいのか……。
VirusScan4.5.1 SP1のオンデマンドスキャンのスキャン対象に不正な値が設定されてしまい、オンデマンドスキャンが正常に動作しません (NAI)。レジストリに障害が発生するとアレになってしまうのかな。 patch がある他、VSE 7.1 ではこの問題は発生しないので移行を推奨だそうで。 でも Windows 9x/Me では VSE 7.1 は動きませんからねえ。
VSE 7.1: 「リモートユーザを切断してネットワーク共有に対するアクセスを拒否」のオプションが正しく動作しません (NAI)。fix があるそうで。
VSE 7.0, 7.1: FrameworkService.exeのCPU使用率が100%となってしまいました (NAI)。うーむ。
VirusScan ASaP: ATOK利用コンピュータの終了時にMyAgtSvcエラーが発生する (NAI)。 ATOK 15 と VirusScan ASaP の Rumor 機能 (peer to peer での更新機能) が同じポート (port 6515) を使うためにかちあってしまう模様。 ATOK 15 の「オンメモリ辞書機能」を無効にする、 ATOK 15 にジャストシステム提供のアップデートモジュールを適用する、ATOK 16 以降にアップデートする、のいずれかで解決するそうだ。
》 白浜へ行くときに スティーリング・ザ・ネットワーク—いかにしてネットワークは侵入されるか を読みはじめたのですが、いやあ、おもしろい本です。
》 本当はもっと恐ろしい肥満——脂肪が死を招く要因が 次々と明らかに (WIRED NEWS)。
》 環境戦略で拓く次世代ビジネス 第61回〜脱原発(1) (日経 BP)。
しかし環境問題について深くかかわっている人々の間では、原発はもはや「終わりつつある」エネルギーで、議論の中心は「原発を使うか、原発をやめるか」ではなく、「どのように終わらせるべきか」に移ってきている感があります。
日経にすらこういう記事が出る時代になった、ということで。5/11付日本経済新聞1面トップ「増殖炉実用化を断念」について (関西電力) なんてのも出てますが、
いずれにしても、わが国のエネルギー政策は、長期的な視点から様々な要素を総合的に考慮して判断すべきもであり、短期的な経済状況や資源状況で決めるべきものではないと考えます。
「核のゴミの処理」という中長期的視点に立てば、原発なんてものを推進すべきかそうでないかは……。
》 美浜発電所の低レベル放射性廃棄物輸送について (関西電力)。低レベル放射性廃棄物専用運搬船、というものが世の中には存在するのですね。武装しているわけではないようですが、「攻撃」に対する防衛策はどのように策定されているんだろう。巡視船がつき添ったりするのかなあ。
》 OCNでのNetskyワーム検出/駆除状況について(続報2) (OCN, 2004.05.20)。やっぱり Netsky 一族が大半を占めるのですね。
》 IPアドレス認証局のマネジメントに関する調査報告書 (JPNIC)。準備は着々と進んでいる……のかな。
》 経産省、原子力施設以外でも内部告発を受理 (読売)。
》 パリ・ドゴール空港ターミナル崩落、乗客ら5人即死 (読売)。名立たる先進国の正面玄関が自壊、ですか……。
同ターミナルは将来、500人乗り超大型機A380の駐機を予定する同空港自慢の近代建造物。今年末の最終完成を目指すが、一部開業を急ぎすぎたという指摘もある。
あれまあ。威信まるつぶれですねえ。関連: 仏の空港施設崩壊で「観光大国」面目失う (asahi.com)。
》 W32Time により頻繁にイベント ID 50 がイベント ログに記録され、Windows Server 2003 の時刻の同期に失敗する (Microsoft)。
》 Windows サーバー オペレーティング システムの既知のセキュリティ識別子 (Microsoft)。
》 認証サーバ+IEEE802.1xを使った 大規模無線LAN構築方法 〜安定稼働しない無線LANセキュリティの課題〜 (@IT)。802.1x は甘くないようですね……。
》 ムーア監督、「びっくりしちゃっただろ」 カンヌ最高賞 (asahi.com)。「華氏 911」の前評判はやたら上昇中。 確かに USA は、華氏 451 的な意味で「ファイヤーマン」だよなあ。
フィッシングまであと一歩、というところなのかなあ。 某所では「日本ではフィッシングってまだ流行ってないですよねえ」という話が出ていたのだけど、もはや時間の問題か?
》 第 8 回 コンピュータ犯罪に関する白浜シンポジウムに行ってきました。 参加者 & staff のみなさんおつかれさまでした。 「夜こそ本番」の噂は本当でした (笑)。 なお、京都府警の人はいそがしいので来ていなかったらしいです。
来年は Big・U で開催されるらしいです。
》 ウイルスバスター2004 インターネット セキュリティ プログラムバージョン11.30公開のお知らせ (トレンドマイクロ)。2004.05.27 から。
Opera 7.23 以前に欠陥。telnet: URI ハンドラにおいて、ホスト名の先頭の '-' 文字をチェックしていないため、ハンドラによって起動されるプログラムにオプションを渡すことが可能となってしまう。 Opera 7.50 で修正されている。英語版の Opera 7.50 は存在するが、日本語版の Opera 7.50 はまだ存在しない。 この欠陥は telnet: URI ハンドラを無効化する (telnet: URI で起動するアプリケーションを指定しない) ことで回避できる。
Opera 7.23 以前には、この他にも、アドレスバーを偽造される欠陥があり、これも Opera 7.50 で修正されている。
KDE 3.2.2 以前に欠陥。 iDEFENSE Security Advisory 05.12.04: Opera Telnet URI Handler File Creation/Truncation Vulnerability に類似した欠陥が KDE の telnet, rlogin, ssh, mailto URI ハンドラにも存在する。 これらの URI ハンドラにおいて、ホスト名の先頭の '-' 文字をチェックしていないため、ハンドラによって起動されるプログラムにオプションを渡すことが可能となってしまう。
CVE: CAN-2004-0411
KDE 3.0.5b / 3.1.5 / 3.2.2 用の patch が用意されているので適用すればよい。
Mac OS X Help URI Handler Arbitrary Script Execution (secunia.com) の修正話。 古暮涼氏による邦訳版: [harden-mac:0671]。 おおもとは Safari remote arbitrary code execution のようで、 [Full-Disclosure] Vuln. MacOSX/Safari: Remote help-call, execute scripts にも参考になる記述がある。 help: URI ハンドラと disk: URI ハンドラに欠陥があり、この 2 つを組みあわせることで、 ダウンロードされた .dmg ファイル中の任意のアプリケーションやスクリプトを実行させることが可能となるようだ。 さらに、disks: URI や telnet: URI もアレな模様。 telnet: URI 話は iDEFENSE Security Advisory 05.12.04: Opera Telnet URI Handler File Creation/Truncation Vulnerability に類似した欠陥のようです。
Security Update 2004-05-24 として Mac OS X 10.2.8 / 10.3.3 用の修正が公開されているので、利用者は適用すればよい。 ……が、[harden-mac:0672] によると、disk: や disks:、telnet: については修正されない模様。 Disabling Unsafe URI Handlers With RCDefaultApp で紹介されている RCDefaultApp を利用すると、これらについても対策できるようだ。
CVE: CAN-2004-0485 CAN-2004-0486 (まだ何もない)。
関連記事:
Apple プレスリリース: Mac OS Xアップデート、セキュリティ上の懸念に対処 (apple.co.jp)。 しかし Secunia は反論: 「Mac OS Xの脆弱性は未解決」とSecunia (ITmedia)。 実際、完全には直ってないんだから仕方ない。
さらに、ssh: URI ハンドラにも欠陥があるとの指摘が: [Full-Disclosure] SSH URI handler remote arbitrary code execution。
APPLE-SA-2004-05-28 Mac OS X Update 10.3.4 (古暮涼氏による邦訳版)。 Mac OS X 10.3.4 には CAN-2004-0485 の修正が含まれています。
さらに、APPLE-SA-2004-06-07 Security Update 2004-06-07 (古暮涼氏による邦訳版) が登場。disk: URI ハンドラについての修正が含まれています。 しかし、
コンポーネント: DiskImageMounter
CVE-ID: これは追加的な予防策であるため,CVE ID は取っていません。
このような扱いは全くいただけません。Apple という会社はあいかわらずのようです。 関連記事:
某所で偉いひとに聞いてみたところ、MS04-011 の副作用の件については、サポートに連絡すれば無料で patch を得られるようです。本当によかった (ポリアンナ)。
こんな話もあるそうです: 841632 - IIS 5.0 を実行するコンピュータに MS04-011 をインストール後、クライアント証明書でエラーが発生する (Microsoft)。IIS にもちゃんと patch をあてましょう。
これまでは「対策しなさすぎ」だったと思うので、ある程度、そういう方向に進むのは仕方ない (というか、やるべき) だろうなあとは思う。
あるシステム・インテグレータは「情報を外部に持ち出すのは,会社に対して不満を持つ不幸な従業員であるケースが多い」と指摘する。確かにその通りだろう。
先日の「第 8 回 コンピュータ犯罪に関する白浜シンポジウム」では、「そういう状況では全くない個人情報漏曳事件」の事例を聞く機会があった。それは、こういう事例だったそうだ (聞きおぼえなので細かい部分は違っているかもしれない):
このような、「役人の天下り」に類似した構造に基づく漏曳状況は、個人情報に限らず、日本のあちこちに存在し、しかもより根が深いような気がするのだが、私の気のせいだろうか。 なお、その事例を聞かせてくださった方は「(当事者が) 金のためにやったとは全く思えない、なぜなら我々は十分な報酬を得ているから」と語っていた。
Norton AntiVirus 2004 に含まれる Active X に欠陥。この欠陥を利用すると、NAV 2004 に対する DoS 攻撃を実行できたり、ローカルコンピュータ上のコードを実行させたりすることが可能。 対応するには LiveUpdate を利用して最新版にアップグレードすればよい。
関連: SNS Advisory No.72: Symantec Norton AntiVirus 2004 ActiveX Control Vulnerability (LAC)。
関連: Symantec Norton AntiVirus 2004 の脆弱性に関するお知らせ (富士通)。NAV 2004 がプリインストールされている機種があるそうで。
Symantec Norton AntiVirus 2004は下記の全てのFMVシリーズに添付されています。
* FMV-DESKPOWER / FMV-BIBLOシリーズ 2004年春モデル以降
* FMV Desktop / FMV LIFEBOOKシリーズ 2004年5月発表のモデル以降
》 Microsoft File Checksum Integrity Verifier (Microsoft) というのがあるそうで。
The Microsoft File Checksum Integrity Verifier tool is an unsupported command line utility that computes MD5 or SHA1 cryptographic hashes for files. Microsoft does not provide support for this utility. Use this utility at your own risk. Microsoft Technical Support is unable to answer questions about the File Checksum Integrity Verifier. For more information, see Microsoft Knowledge Base Article 841290.
そんなさびしい事言わずに、OS 標準で添付してほしいなあ。
》 RSA Conference 2004 Japan というのがあったんですね、そういえば。
》 Winny開発者を京都府警が逮捕——著作権法違反の幇助容疑 (HotWired デジタル虎の穴)。
》 携帯電話 緊急通報の発信位置情報通知、07年4月から (毎日)。
報告書案では第3世代携帯電話でGPSを使ったサービスが増えていることから、GPSを利用して、緊急通報者の位置を特定できるように提案。
》 戦場イラクからのメール —レジスタンスに「誘拐」された3日間 (社会批評社)。
》 [aml 39629] 写真展「Dear Boys---バグダッド路上の子たち」。山形浩生(評論家)氏が
高遠氏のボランティア歴はかなりお粗末だし、イラクでの活動もシンナー遊びの若者支援。(中略) イラクへの直接的なメリット皆無。
とおっしゃる、支援対象のひとたちの写真展。 2004.06.02〜08、東京都港区。
》 自動アップデートを過信してはいけない (日経 IT Pro)。同じ会社のものでも、製品によってずいぶん違ったりしますしねえ。
RIAAのコメントを見る限り、日本でも輸入権が確立されれば、並行輸入について厳しいコントロールが課せられる可能性が高い。それが、結果として、洋楽についても直輸入盤という選択肢を次第に狭めらていくことは十分ありえる。やっぱりね〜。
》 EU、量子暗号の通信システムで米のEchelonに対抗へ (ITmedia)。4 年でつくるそうです。
》 住基ネット 総務省、住基カードの発行枚数調べず (毎日)。調べたくない、と。
》 BIGLOBEが日本ネットワークアソシエイツと提携し「セキュリティセットV2」の提供を開始 〜最新セキュリティ環境の自動提供とファイアウォール機能の強化〜 (NAI)
新サービスは、従来の「セキュリティセット」と同様にブロードバンド対応コース(注2)をご利用のBIGLOBE接続会員の方には、無料でご提供いたします。(注3)
(中略)
(注3)これまで「セキュリティセット」で提供していたアンチウィルスサービスは、セット外の個別有料オプションサービスとして月額210円にて提供
アンチウィルスサービスがほしかった人にとっては「実質値上げ」ということなのかな。
》 Yahoo! BB 顧客情報流出で初の被害者による提訴 (slashdot.jp)。今後続々と増えたりするのかなあ。
》 Handler's Diary May 17th 2004 (SANS ISC)。
MS04-011 は「ふつ〜使われる穴」になってしまいましたね。
》 Person who tipped off Microsoft about Sasser author also under suspicion? Sophos comments (Sophos)。あら……。そういう人にも払ってこそ、内部分裂を誘えると思えるのだが……。
このニュースの出所は「Securitylabs.ru」というロシアのサイトで、現地時間15日に同サイトで公開された模様。
http://www.securitylab.ru/45221.html のようです。 Russian 読めない人は、 PROMT-Online / URL mode (paralink.com) などの翻訳サイトをどうぞ。 google の Language Tools には、残念ながら russian to english はありませんね。
関連: セキュリティ専門家:「シスコ製品のコード流出による脅威の可能性は低い」 (ITmedia)。
私の知人の間では、FTTHを使い切ることのできるアプリケーションは今のところWinnyしかない、と話している。Winnyは、現在のブロードバンドネットワークを初めて「生かし切る」分散アプリケーションなのである。そのおかげで、バックボーン屋さんは強い危機感を抱くようになったようですが……。
》 security/portaudit。 そういえば、まだ試していないんだった。
》 セキュリティ啓蒙活動も行うSnortユーザ会、渡辺勝弘氏コラム (ITmedia)。
》 823890 - [Support WebCast] Microsoft Internet Explorer 6 の Cookie について (Microsoft)。
》 マイクロソフト、約2万人の技術者を対象に無償セキュリティトレーニングを開催中! (ITmedia)。先日 STPP 2004 ITPro#2 を受講したときに耳にした話によると、 ITPro#2 は片手でも指が余るような人数で日本全国を回っている模様。 講師自身も、内容に関するレクチャーを受けたわけでもなんでもなく、 いきなり「これでよろしく」とプレゼン資料を渡されているだけの模様。 参加した人ならわかるように、プレゼン資料の量は半端じゃないし、デモも多い。デモの中には「Windows Server 2003 gold を使って検疫ネットワークを構築する」などという cutting edge なものまで含まれており、講師に求められる知識水準もまた半端じゃない。そのため、実施できる講師の量も限られ、結果として片手でも指が余るほどの人数で……という悪循環に陥っている模様。 さらには、「STPP reloaded」なるものが予定されているとかいないとかいうお話がある模様で、講師残酷物語はまだまだ続くとか続かないとか。合掌。
以上、噂度 200% ということで。
》 SoftEther対抗馬? Virtual Native Network登場 (slashdot.jp)。なんじゃこりゃ……。
》 個人情報保護法の対応準備セミナー開催〜稲垣隆一弁護士が講演 (Internet Watch)。
》 KNOPPIX 3.4日本語版 が登場だそうです。「Windows 2000 や XP の NTFS に書き込みができる」ようになったのだそうです。memtest という boot option もあったのか。知らなかった……。
「ハクられちゃいました、何をすればいいの?」の答えは
The only way to clean a compromised system is to flatten and rebuild.
「まっさらにしてから再構築するのが唯一の方法」ということで。Security Management columns の日本語版ってあるのかな。 ……ないみたい。
Eraser 5.7 に含まれている「全 HDD 消去ディスク」を試してみたところ、その中身は DBAN でした。手元の、処理が必要な機械 (NEC SV28D、FreeBSD 4.8 がインストールされている) で実行してみたところ、なぜかうまく起動しないようでした。うーむ。謎。 FreeBSD では問題ないのに。
Active@ Kill Disk の場合は、FreeDOS + exe な disk がつくられました。こちらはうまく起動でき、消去処理もできたようです。free 版では「0 書き 1 回」しかできませんが、casual hack 対策であればこれでも十分でしょう。機密情報が書かれているような disk なら、もっと気合いを入れる必要があるでしょうが。
……なんだか、FreeSBIE な CD つくった方が早いような気がしてきました。
関連:
》 Winny続報あれこれ (slashdot.jp)。いろいろ情報がまとまっています。
ネットワークの自由防衛同盟 に 47 氏支援関連のリンクがまとまっていますね。 2004.05.18 16:30 から、 京都簡易裁判所 (京都地方裁判所と同じ場所だそうです) で勾留理由開示請求公判が行われるそうです。
あと、47氏を応援するページかな。
》 定番スパイウェア対抗ツール Spybot 1.3 が登場しています。 (fixed: 水谷さん感謝)
》 ウイルスバスター2004 : 2バイト文字(日本語)のアカウントにてコンピュータを起動すると、起動時に「リアルタイム検索サービスが起動できない」というメッセージが表示される (トレンドマイクロ)
》 Squid Development Projects - ICAP client (squid-cache.org)。 InterScan Web Security Suite (トレンドマイクロ) に関連して、 ICAP についてちょっと調べていたのでめも。
》 Apple、「トロイの木馬はウイルスじゃない」 (ITmedia)。いまどきこういうことを言いますか。火に油を注いでいるようにしか思えないのだが、だいじょうぶなのか。
》 DVDの私的複製を合法に——DMCAの修正求める法案 (ITmedia)。
》 うーん、 ISS AlertCon も symantec ThreatCon も level 2 になっていますね…… (5/14 14:15)。Current Internet Threat Level (ISS) を見ると、ISS の場合はシマンテックの personal firewall ねた (Internet Watch) がその理由のようです。
》 ネットエージェント、Winny上のファイル共有者を特定するソフトを開発 (Internet Watch)。
Winny検知システムはOne Point Wallの開発のために用いたツールであり (中略) 一般に販売する予定はないという。
一般じゃないところには販売しているのかなあ……法執行機関とか。 ……「Winny」でファイル発信元を特定可能に ネットエージェント (ITmedia) にはっきり書いてありますね:
「一般企業では必要のないソフトなので、特定機関向けのみに販売する」(同社)。価格は非公表。
Symantec の Norton Internet Security/Professional 2002 / 2003 / 2004、 Norton Personal Firewall 2002 / 2003 / 2004、 Norton AntiSpam 2004、 Symantec Client Firewall 5.01 / 5.1.1、 Symantec Client Security 1.0 / 1.1 / 2.0 (SCF 7.1) に欠陥。これらに含まれる SYMDNS.SYS に複数の欠陥がある。
EEYE: Symantec Multiple Firewall Remote DNS KERNEL Overflow
細工をした、長大な CNAME RR を送ると stack buffer overflow が発生する。 これを利用することで、remote から kernel レベル権限で任意のコードを実行可能となる。 これを利用するには UDP 1 パケットで十分であり、 しかも、すべてのポートがフィルタリングされていたり、すべての侵入ルールが設定されていたりした場合でも成立してしまう。
CVE: CAN-2004-0444
EEYE: Symantec Multiple Firewall NBNS Response Processing Stack Overflow
細工をした NetBIOS Name Service (NBNS, 137/udp) パケット 1 つを送ることにより、stack buffer overflow が発生し、remote から kernel レベル権限で任意のコードを実行可能となる。 この欠陥を利用した攻撃は、内向きの 137/udp を拒否していれば成立しない (デフォルトで拒否)。
CVE: CAN-2004-0444
EEYE: Symantec Multiple Firewall NBNS Response Remote Heap Corruption
NetBIOS Name Service (NBNS, 137/udp) の応答パケットの処理に欠陥があり、heap を破壊することが可能となるため、 remote から kernel レベル権限で任意のコードを実行可能となる。 この欠陥を利用した攻撃は、内向きの 137/udp を拒否していれば成立しない (デフォルトで拒否)。
CVE: CAN-2004-0444
EEYE: Symantec Multiple Firewall DNS Response Denial-of-Service
DNS 応答パケットの処理に欠陥があり、 細工した DNS 応答 1 パケットで DoS 攻撃 (システムフリーズ) を行うことが可能となる。いったん攻撃を受けると、回復させるには再起動するしかない。
CVE: CAN-2004-0445
exploit: HOD-symantec-firewall-DoS-expl.c
修正プログラムが配布されているので適用すればよい。 Norton シリーズの場合は LiveUpdate を利用して最新の状態に更新する。 Symantec Client Firewall、Symantec Client Security については、 修正プログラムを入手し適用する。
関連:
Oracle に関する情報が出ました:
841180 - Oracle データベース サービスの起動処理で応答が停止する 。 手動での開始、および instsrv / srvany での回避方法が記載されています。
一方、問題が解消する環境もあるようで:
トレンドマイクロの ServerProtect for NetAPP では、アンインストールできなくなる不具合が:
無線LANにDoS攻撃の脆弱性 (ITmedia)。論文発表は、日本時間では 5/15 (土) だそうです。 匿名希望さん情報ありがとうございます。
》 RSS読み込み機能やチャット機能を搭載した「Opera 7.50」 (Internet Watch)。ようやく登場、だそうです。
》 「出来損ない」の著作権保護が創造性をダメにする 「FREE CULTURE」を出版したローレンス・レッシグ教授に聞く (asahi.com)。
「エルドレッド裁判」の教訓とは、この問題について、一般の人たちが関心を持つようにならなければ、我々に勝ち目はない、ということだ。著作権問題が多くの人たちの関心を引くようになった時、裁判所もまた、この問題を考え始めるだろう。
》 世界最速の光ファイバー量子暗号通信に成功 (産総研)。
》 [aml 39571] テント村から3名奪還声明。 ビラを配るとタイホされ、75 日拘留される話。 法執行機関には、もっと他に調べるべき重大犯罪が存在するのでは?
802.11, 802.11b および 802.11g の低速通信で使われている DSSS 2 次変調方式に欠陥。妨害電波による DoS 攻撃を受ける。ただし、この攻撃を行うためには、攻撃者は電波到達範囲内から妨害電波を出し続けなければならない。 802.11a および 802.11g の高速通信では DSSS ではなく OFDM が使われているためこの欠陥の影響は受けない。 また 802.11 の赤外線通信と FHSS を用いた無線通信にもこの欠陥の影響はないはず。
これはプロトコルの欠陥であるため、DSSS を利用する全ての機器が欠陥の対象となる。AA-2004.02 -- Denial of Service Vulnerability in IEEE 802.11 Wireless Devices (AusCERT) にはいくつかの軽減策が述べられているが、この欠陥を回避できるわけではない。 欠陥に対応するには、802.11a や 802.11g の高速通信などの、DSSS を使用しないプロトコルを用いた通信に移行するしかない。
詳細: AA-2004.02 -- Denial of Service Vulnerability in IEEE 802.11 Wireless Devices (AusCERT)。 参考: 鈴木直美の「PC Watch先週のキーワード」 ■ 第190回 (PC Watch)。
無線LANにDoS攻撃の脆弱性 (ITmedia)。論文発表は、日本時間では 5/15 (土) だそうです。 匿名希望さん情報ありがとうございます。
CVE: CAN-2004-0459。 CERT/CC Vulnerability Note: VU#106678。
》 経済産業省 情報窃盗罪を検討へ (毎日)
》 社会への浸透進む「個人情報データベース」 (WIRED NEWS)。
》 裁判員法案で法相、施行前の法改正に言及 (読売)。なんじゃそりゃ……。もっとじっくりつくりなさいよ。
》 ニフティ 迷惑メール対策ポリシーを制定 (毎日)。 @nifty迷惑メール対策ポリシー (@nifty)。
》 Web Application Securityフォーラム第一回コンファレンス。 2004.05.25、東京都港区、8,400円。
》 緊急セミナーちょっと詳細 (極楽せきゅあ日記)。 2004.05.28、東京都品川区、一般 7,000円。
》 道警「裏金作りは組織的」…調査結果を報告 (読売)。警察って、すばらしいですね。
》 東京・立川の反戦ビラ配布事件で、被告3人を保釈 (asahi.com)。ビラを配るとタイホされる話、まだまだ続くようです。
》 シマンテック、ファイアウォール、侵入検知、ウイルス対策機能を統合した 「Symantec Client Security 2.0」を発表 (シマンテック)。
》 一般ユーザーと同じ環境のインターネット定点観測、IPAが新システム導入 (MYCOM PC WEB)。 プレスリリース: 「インターネット定点観測システム」について (IPA)。 TALOT という名前なのだそうで。 @police のように常時公開・更新になるとうれしいなあ。 JPCERT/CC ISDAS も常時更新してくださいよ〜。
》 無料で使えるパーソナル・ファイアウォールの日本語版が登場 (日経 IT Pro)。欠陥が発見された場合に、日本語版が英語版と同時に fix される、くらいの気合いが入っていれば使えるんだけど、どうなんだろう。
》 IEやOEの脆弱性を悪用し、リンクをクリックするだけで感染するウイルス (Internet Watch)。
http://drs.yahoo.com/ は spam でおなじみのリダイレクト web ページですが、ウィルスも利用するようになりましたか……。 Outlook 2000 や Kmail だと見事に釣られる、と言っている人がいますね: Hiding URLs from Outlook and other mail clients。
今回の逮捕は、「思想は処罰されない」という近代法の大原則に反しているように思えてならない。
》 米英軍による捕虜虐待問題関連: ネタたまりすぎ……
》 ふと思って MBSA 1.2 を手元の Windows XP にかけてみたら、Office XP の fix が適用されていなかったことが判明:
あぅぅ 3 月…… (T_T)。さっそく適用して再起動。
このお話なのですが、どうやら、「root kit "Hacker defender 1.0.0" を利用したスパイウェアが横行している」という状況のようです。 Hacker defender を利用して、 スパイウェア対策ツールの定番 HijackThis や Spybot の動作を妨害してしまう、というわけです。[Hidden Table] に HijackThis や Spybot が登録されていたりするのかな……(2004.05.13 追記: そのとおりだったそうです)。 いやはや、たいへんです。
掲示板でいろいろ議論されていたそうなのですが、苦労がにじみ出ていますよね……。 揮発性情報を取得した後は、 WinPE (BartPE) とか BerryLinux とかを使って調べた方がよいのかもしれません。 いや、私はまだどちらも使ったことがないのであれなのですが。
群青さん情報ありがとうございます。
Clam AntiVirus 0.70-rc 以前に欠陥。特殊なファイル名を設定したウィルスを利用して、local user が clamd 動作権限でコマンドを実行することが可能。 回避するには、clamav.conf の VirusEvent ディレクティブから %f を削除するか、 VirusEvent ディレクティブ自身をコメントアウトする。
Clam AntiVirus 0.70 で修正されている。
Apache 1.3.31 登場。4 つの欠陥が修正されている。
mod_ssl 2.8.17-1.3.31 も出ているそうです。
なお、このapacheパッケージは最新の1.3.31からのバックポート修正パッチが適用されているため、Apache License, Version 2.0が適用されます。
Windows XP / Server 2003 に欠陥。ユーザに特殊な HCP:// URL の記載されたリンクをクリックさせることで、攻撃者のコマンドをマイコンピュータゾーン権限で動作させることが可能となる。
修正プログラムがあるので適用すればよい。ただし:
ヘルプとサポートセンター (Help and Support) サービスが無効に設定されている PC に修正プログラムをインストールすると不具合が発生する [KB841996]。 なお、ヘルプとサポートセンターサービスは、既定値では自動的に起動される。
日本語版 Windows XP SP1 上で、本欠陥の修正プログラム (840374) を、[プログラムの追加と削除] からアンインストールしようとすると、PC がハングしてしまう [KB842253]。 回避するには、[プログラムの追加と削除] からではなく、 %Windir%\$NTUninstallKB840374$\spuninst\spuininst.exe コマンドを利用してアンインストールする。
関連: MS04-015/840374 「ヘルプとサポート センター」の脆弱性により、リモートでコードが実行される危険性 (hotfix.jp)。
Windows XP gold (SP なし) 用の修正プログラムのローカライズが不完全だったそうで、新しい更新プログラムが登場している。 Windows XP SP1 用修正プログラムには、この問題はない。
NT 4.0 TSE 用 patch が更新された。以前の版では、攻撃を防げない場合があるという。
[SECURITY] [DSA 502-1] New exim-tls packages fix buffer overflows
利用可能なQuickTimeのバージョン (Apple) が改訂され、Windows 用の QuickTime 6.5.1 日本語版の存在が明示された。 skel.103M さん情報ありがとうございます。
》 トレンドマイクロ、シスコの自己防衛ネットワーク対応版“ウイルスバスター”を発表 (Enterprise Watch)。CISCO NAC 対応製品がようやく出てきたようで。McAfee さんと Symantec さんも対応を予定していたと思うが、どうなっているんだろう。
》 [port139ml:05294] 5月22日勉強会参加者募集。 『Windowsセキュリティよもやま話』2004.05.22、東京都新宿、3000円。
》 eEye Upcoming Advisories。Symantec が 4 つ来てます。
》 Winny 作者逮捕関連。 47 氏の「著作権法違反幇助」の幇助対象者とされているのは、Winny やってて先日京都府警に逮捕された 2 名なのだそうだ。なんじゃそりゃ。時系列が逆転しているんじゃないのか?
ソフト会社などで組織する業界団体「コンピュータエンターテインメント協会」(東京都港区)で顧問を務める森本紘章弁護士は「感情的に『開発者が悪い』と言う声があることは理解できるが、刑罰の要件を満たしているかどうかは慎重に検討されなければならない」との見解を示した。
森本弁護士は、今回の容疑事実の内容によっては、他のユーザーの違法使用についても、助手がさらに刑事責任を問われうることを問題点として指摘し、「先に逮捕された2人に頼まれて作成したソフトなら、助手を罪に問えるかもしれないが、そうでなければ、摘発がソフト開発を制限することにつながりかねない」と懸念を表明した。
拳銃は、人を殺傷する以外に目的を持たず、日本では所持も製造も禁止されている。京都府警が今回、ウィニーという通信ソフトの開発者を著作権法違反の「ほう助」で立件に踏み切るのは、同ソフトをネット社会における「拳銃」の開発に等しい、と判断したといえるだろう。Winny は人を殺しませんが。どうしてこういう変な例えが出てくるのか。
あと気になるのは、ACCS、BSAやJASRAC、RIAAなどが民事訴訟に出る可能性です。金子氏は日ごろの言動にウソがなければWinnyの開発に東大のマシンも使っていたことが明らかですが、これを根拠に東大が訴えられないでしょうか?訴えられた場合どこまで賠償を請求されうるでしょうか。
》 MacOSXで侵入検知 (Web Scripter's Meeting)。 osiris ってそういうメールを送るんだ。web ベースなんだ。 いまどきの世の中では使いやすそうですね。 つづき: MacOSXで侵入検知2、MacOSXで侵入検知3(rkhunter)。 (info from リンクとか備忘録とか日記とか)
Internet Explorer (Outlook, Outlook Express にも影響) と Eudora に、 URL を偽装できてしまう新たな欠陥。 phishing に代表される詐欺行為に悪用される懸念がある。
DEEP SEA PHISHING: Internet Explorer / Outlook Express。 http-equiv 氏によるデモコードを このへん に置いておきます。 Mozilla 1.6 では釣られませんでした。 また Outlook 2003 も釣られないそうです。
Status bar exploit hides spoofed URLs Eudora, possibly other e-mail clients。 <a href="http://www.e-gold.com の直後には CTRL-A (^A) が埋め込まれている。
いずれについても、修正プログラムはまだ存在しない。 Outlook / Outlook Express については、HTML メールをテキスト表示に設定することでこの欠陥を回避できる。Outlook Express 6.0 SP1 の場合は、ツールメニューのオプション (図) を開き、[読み取り] タブにある「メッセージはすべてテキスト形式で読み取る(R)」をチェックし、[適用] をクリックする (図) 。
》 サイバー犯罪条約関連の刑事法等改正に関する公開セミナーのご案内。 2004.05.14 09:30〜17:50、六本木ヒルズ森タワー、1000円。うぉー行きたいー (無理)。
エントランス回転ドアは閉鎖中につき近くの入口からお入りください
》 [Snort-users-jp:00966] 第一回 Snort 入門セミナー参加募集。2004.06.13、東京都豊島区、4000円。
》 JUS 勉強会 第122回「個人情報保護法がやってくる!ヤァヤァヤァ!」。 2004.05.25 19:00-21:00、東京都新宿区、一般3,000円。
》 実はAgobot/Phatbotの作者も逮捕されていたらしい (SecuLog)。 Agobot作成容疑者もドイツで逮捕される (ITmedia)。
》 ブッシュ再選のために食い止められたイラク総攻撃 (tanakanews.com, 2004.05.08)。
》 Winny開発者、逮捕 (ITmedia)。過去形。報道各社の記事:
各社、内容が驚くほど似ているので、警察発表がそういう内容なのだろう。 from asahi.com:
容疑者はインターネット上の掲示板「2ちゃんねる」上で「47氏」と呼ばれ、「そろそろ匿名性を実現できるファイル共有ソフトが出てきて現在の著作権に関する概念を変えざるを得なくなるはず。自分でその流れを後押ししてみようってところでしょうか」などと開発意図について説明していた。
これを「著作権法違反幇助を意図」と判断したということなのか。 生な内容は 47氏語録 (Winny Tips ページ) などで読める。 (そういうことみたいですね: 「著作権法への挑発的態度」が逮捕理由 京都府警 (asahi.com))
関連:
きっと 2ch.net でも祭になっているのだろうなあ。
園田寿・甲南大大学院教授(刑法、情報法)は「今後、争点になるのは、開発者の故意の有無だろう」とみる。開発者がメールなどで利用者と連絡を取っていた場合、幇助容疑も成立するが、単に開発しただけなら違法行為の「あおり」にしかならないと指摘。「共犯が成立するためには具体的に犯罪が発生するという結果について予見していることが必要だ。でないと、パソコンメーカーやインターネット接続業者、Winnyのマニュアル本を出している出版社までも共犯に問われることになってしまう」と話した。ここでいう「利用者」は、実際に著作権違反をしていることが明らかであるような「利用者」、ということなのかな。
》 「かなり技術に詳しい者でないとできないレベル」とは? (高木浩光@茨城県つくば市 の日記, 2004.05.04)。 電子情報通信学会員(以下本学会員)は、電子情報通信技術の専門家として、各自の専門技術の研究、開発、実施を通じて、全人類社会の幸福と福祉に貢献するよう努力する のだそうですが、事務局の人は「電子情報通信技術の専門家」でもなんでもない、ということなんだろうか。もしそうなら、「電子情報通信技術の専門家」な人に相談するべきだと思うのだけど。「電子情報通信技術の専門家」な人に相談した結果がこのメールだということなら、……。
Mac OS X 10.2.8 および 10.3.3 に存在する 8 個の欠陥の修復パッケージ登場。 古暮涼氏による邦訳版。
CVE: CAN-2004-0428。CoreFoundation での環境変数の取りあつかいに関するもの (詳細不明)。
CVE: CAN-2003-0020 CAN-2004-0113 CAN-2004-0174。 Apache 2.x 関連の欠陥。この更新で Apache 2.0.49 がインストールされる。
CVE: CAN-2004-0429。RAdmin における大きなリクエストの扱いを改善 (詳細不明)。
CVE: CAN-2004-0430。 AppleFileServer の欠陥。これ: @stake: AppleFileServer Remote Command Execution。
クリアテキスト認証において、PathName 引数の処理で buffer overflow が発生する。このため、remote から任意のコードを管理者権限で実行可能。
CVE: CAN-2004-0155 CAN-2004-0403。 IPsec に関連するもの。
関連報道: アップル、セキュリティ勧告の「不適切」な分類に再三の批判 (ITmedia)。
eEye: Apple QuickTime (QuickTime.qts) Heap Overflow の話。 QuickTime 6.5 に欠陥。 特殊な movie ファイルを作成することで heap overflow が発生、SYSTERM 権限 (Windows 版の場合?) で任意のコードを実行可能だという。
bid 10257 - Apple QuickTime Sample-to-Chunk Integer Overflow Vulnerability (securityfocus.com) によると、Windows だけでなく、Mac OS / Mac OS X 用でもこの欠陥に影響されるそうだ。同文書は QuickTime 6.5 だけでなく、それより前のバージョンもこの欠陥の影響を受ける、としている。 APPLE-SA-2004-04-30 QuickTime 6.5.1 (古暮涼氏による邦訳版) によると QuickTime が crash するだけ、となっているが、eEye はこう書いている:
Apple is doing a disservice to its customers by incorrectly labeling this vulnerability as a "crash bug" rather than stating correctly that attackers can compromise systems running the affected Apple software.
この欠陥は QuickTime 6.5.1 で修正されているという。利用可能なQuickTimeのバージョン (Apple) を見る限りでは Windows 用の QuickTime 6.5.1 日本語版はまだ存在しないようだが、QuickTime ダウンロードページ ダウンロードすると「QuickTime 6.5.1 にようこそ」と出るので 6.5.1 日本語版なのだろう。
CVE: CAN-2004-0431。
利用可能なQuickTimeのバージョン (Apple) が改訂され、Windows 用の QuickTime 6.5.1 日本語版の存在が明示された。 skel.103M さん情報ありがとうございます。
libpng 1.0.15 および 1.2.5 以前に欠陥。壊れた png ファイルを扱う場合に使われるエラー処理部分における境界処理が不十分であるため、libpng を利用するアプリが crash する。
The investigation led by German police over the past week led to information relating not only to all four variants of the Sasser worm, but also to the Netsky worm, which was launched on Feb. 16, 2004. Ultimately there were 28 variants of the Netsky worm, and German authorities are alleging that all these variants are connected to the individual arrested yesterday.月曜日には日本語版も読めるようになるのかな。
》 ネットを震撼させたイラク人捕虜収容施設の虐待画像 (ITmedia)。おお、またもや The Memory Hole だ。 というわけで、アンテナに入れました。 GlobalSecurity.org も入れるべき?
》 Antinny感染マシンからの大量アクセスでACCSのWebサイトが閉鎖中 (Internet Watch)。毎月、というのはけっこうつらいものがあるだろうなあ。
ACCSでは今後の対策として、異常アクセスの発生元となっているISPへの連絡を検討する一方で、Winnyユーザーなどにはぜひウイルス対策ソフトを適用してほしいと述べている。
「ウイルス対策ソフト」は部分的な解にしかならないと思うけど。 「ウイルス対策ソフト」を盲信する人は Antinny にヤラレているような気が。
》 H16. 3.24 東京地裁平成14(ワ)28035 著作権民事訴訟事件 (裁判所)。 「見出し著作権」裁判 の判決文。伊藤さん情報ありがとうございます。
YOL見出しは,YOL記事で記載された事実を抜きだして記述したものと解すべきであり,著作権法10条2項所定の「事実の伝達にすぎない雑報及び時事の報道」(著作権法10条2項)に該当するものと認められる。
妥当な解釈だと思うけどなあ。
》 BSE 検査せず処分は重大 (NHK)。 ふつう、そう思うわなあ。 全文: 石原農林水産事務次官記者会見概要 ( 平成16年5月6日(木) 14:00〜14:06 於:本省会見室 ) (農林水産省)。
》 ノルウェー イラク撤退を表明 (NHK)。 6 月末に撤退。
》 福田官房長官、年金未納問題で辞任 (asahi.com)。未納 7 兄弟の 1 人が脱落。「個人情報」と強弁して情報隠蔽を図ったり、他の 6 兄弟の追随を許さない勢いがあったしなあ。
菅代表「辞任は当然」 声かすれ、疲れた表情 (共同)。一時の勢いはどこへやら……。
麗美さん情報ありがとうございます。
》 MS、自動ワーム削除ツール提供へ (ITmedia)。RAV AntiVirus 技術の転用第 1 弾なんですかね。
》 [connect24h:7559] FYI:輸入盤CD規制に関するシンポジウムのメモ。用語がよくわからなかったのでしらべてみた:
関連:
UNIX 用の MTA Exim に 2 つの欠陥。Exim 3.x では両方、4.33 までの Exim 4.x では 1 つが該当。
CVE: CAN-2004-0399
exim.conf で sender_verify = true を設定した場合に sender の検査において buffer overflow する。 Exim 4.x では修正されている。
CVE: CAN-2004-0400
exim.conf で headers_check_syntax を設定した場合 (Exim 3.x)、あるいは exim.conf で require verify = header_syntax を設定した場合 (Exim 4.x) に buffer overflow する。
Kerberos 5 実装 Heimdal に欠陥。 0.6.2 より前の Heimdal に含まれる Kerberos 4 kadmin 互換モジュールに buffer overflow する欠陥があり、remote から任意のコードを実行される恐れがある。
Heimdal 0.6.2 で修正されている。また、kadmin を --no-kerberos4 オプションつきで起動させれば、Kerberos 4 kadmin 互換機能は無効となり、この欠陥を回避できる。
CVE: CAN-2004-0434
FreeBSD: FreeBSD-SA-04:08.heimdal - heimdal cross-realm trust vulnerability
発見者による文書: [Full-Disclosure] LHa buffer overflows and directory traversal problems。 修正 patch とサンプル exploit が添付されている。PoC コードも登場: [Full-Disclosure] Lha local stack overflow Proof Of Concept Code。
また、この欠陥は LHa だけでなく、WinZip、WinRar、McAfee plugin for CommuniGate Pro にもあるようだ: [Full-Disclosure] LHa repercussions: WinZip, WinRar, CommuniGate Pro McAfee plugin, blog。
『「LSASS の脆弱性」の回避策』が更新された。新たに登場した回避策は:
%systemroot%\debug\dcpromo.log という名前のファイルを読み取り専用の属性で作成します。ファイルの作成には、次のコマンドを実行してください。
echo dcpromo > %systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
なぜこれでいいのか。この欠陥に関する eEye の技術文書 Windows Local Security Authority Service Remote Buffer Overflow (eEye) にはこうある:
The buffer overflow bug is in a logging function which generates a string for the log file using vsprintf(). The name of the log file is "DCPROMO.LOG", and it is located in the Windows "debug" directory.
dcpromo.log への書き込み処理において vsprintf() が buffer overflow するのだろう。そこで、そもそも dcpromo.log を write open できないようにしてしまえば……ということでいいのかな。
DeleGate 8.9.2 以前に欠陥。SSLway フィルタに buffer overflow する欠陥があり、remote から任意のコードを実行可能。 DeleGate 8.9.3 で修正されている。8.9.3 では、SSLway の他にも
[FIX]
+ SSLway: fixed possible overflow in certificate printing (6.1.18)
+ HTTP: fixed SEGV by overflow on long method (8.8.8)
+ HTTP: fixed to forbid access to off-limit files by escaped URL
+ HTTP: fixed Referer MOUNT to cope with virtual hosting
+ HTTP: fixed breaking SSL negotiation on SSLtunnel / CONNECT (8.9.2)
+ HTTP: removed delay on response by repetitive chunkes (8.7.7)
+ CGI: fixed to return 404 for non-existent CGI file
+ FTP: fixed FTP+SSLway on the first data-connection (8.8.0)
+ SMTPGATE: fixed to try secondary MX lists after failure
+ Resolvy: fixed RES_CONF="file:/path/of/..." (6.1.0)
+ auth: fixed SEGV in scan_ListL() for unbalanced as "{list,..."
+ log: fixed pushing out delayed client process on Win32
+ porting: fixed detecting availability of libraries
+ Udprelay: fixed port mapping for TCPrelay by udprelay
+ Tcprelay: changed tcprelay-DeleGate to work as a Sticky server
+ Telnet: coped with telnet client of WinXP
と、多数の修正項目が並んでいる (全てがセキュリティ関連なわけではない) ので、DeleGate 利用者は upgrade しませう。
》 地方自治体 情報セキュリティアップセミナー2004 〜地方自治体の抱えるセキュリティ課題と情報セキュリティ対策〜 (シマンテック)。おもしろそうかなあ。
》 米でBSE感染疑い牛を無検査で処分 (BIGLOBE / TBS)。
「こうしたケースは、中枢神経の病気か 他の病気の可能性もありますが、どちらかはっきりしなかったから調べなかったんでしょう」(農務省スポークスマン)(中略)
「ほとんどの処理場で、毎週のように問題のある牛は出ているだろうね。だけど、明らかに農務省は、歩けない牛は食肉には入れてないよ」(ロンスター・ビーフ社、バーリー・スミス副社長)
こんな状態で安全だと主張しますか…… > USA。ボスコーンを代表してヘルマスより「おまえの報告は完全でもなければ確実でもない」と言われそうだなあ。
》 Handler's Diary May 5th 2004 (SANS ISC)。 Lovgate.R に Nachi.K ですか。 Nachi.K はアジアジ〜な web ページをつくるようで: W32.Welchia.K (Symantec)。
PRIMERGY TX200FT > TX200FTのお知らせ > 留意事項 (富士通)
IAサーバPRIMERGY TX200FTに MS04-011:Microsoft Windows のセキュリティ修正プログラム (835732) を適用する際には、事前にダウンロード検索から下記の緊急修正プログラムをダウンロードし適用してください。
MS04-011 をそのまま入れるとマズい模様。
#541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。
Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。
OpenSSL now directly uses the new AES instructions some VIA C3 processors provide, increasing AES to 780MBytes/second (so you get to see a fan-less cpu performing AES more than 10x faster than the fastest cpu currently sold).
これかな: VIA C3 Processor (via.com.tw)。ベンチマーク: AES performance (openbsd-misc ML)。すげー。
》 個人的に気になること。 2ch.net とかで「825732 を何度インストールしても Windows Update の 825732 が消えない」なんて話が出たりするわけだが、それへの reply として「MBSA でチェックしろゴラァ」とかいう文章はぜんぜん見かけないような気が。MBSA ってそんなにマイナーなんだろうか。いまだに「早期提供」ステートというのもアレなんですけどね。
》 「イラク人囚人虐待」米への不信感高まる (TBS NEWSi, 5/3)。
「我々は任務を達成した。フセインを取り除いたのだ。そして、イラクにはもはや拷問部屋などなくなったのだ」(ブッシュ大統領、先月30日)
で、USA が復活させました、ということですか……。いやはや。
「虐待が組織的だという証拠は全く存在しません」(マイヤーズ統合参謀本部議長)
では、虐待が組織的ではないという証拠はあるの? 関連:
7. 国際法下の犯罪に恩赦を与えてはならない。イラクにおける重大な人権侵害に責任を負う者は全て国際基準に則って裁き、死刑を科さないことを保証すること。
》 「米国だったら英雄」高遠さんへの善意の寄付があだ (TV 朝日)。ま、日本大使館だし。 TV 朝日のリンクは固定されたものが存在しないようですね…… > 奥村さん。
》 IRAQ BODY COUNT、Min もあっけなく 9,000 を越えましたね……。
関連情報:
またまた亜種 (Sasser.c) 登場:
関連:
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) に、Sasser.A/B の検出機能が追加されています。ただし、Internet Explorer でアクセスしないと動きません。
……と書いている間に Sasser.D が登場したようで:
》 IRAQ BODY COUNT、 Min ですら 9,000 に届きそうになっている。 IRAQ BODY COUNT は、民間人の死亡者数の集計だ、ということを忘れずに。
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報 MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。
MS04-011 LSASS 穴 attack worm キター。Gaobot じゃないよ。
このワームの MD5 ハッシュ値は、0xA73C16CCD0B9C4F20BC7842EDD90FC20 です。
これが原因なのかどうか知りませんが、5/2 01:00 AM 現在 Symantec ThreatCon は Level 3 になってますね。 ……あ、level 2 に戻った (5/2 02:10)。
関連:
The public exploit used by the "Sasser" worm was released Thursday by "houseofdabus", and is confirmed to work against Windows 2000 Professional, Windows 2000 Server, and Windows XP Professional, in English and Russian languages. We have seen the exploit fail against Japanese-language Windows 2000, and it is possible that other languages of Windows 2000 are not susceptible to the attack as well, although an attempted attack against a vulnerable machine will cause LSASS to crash and the machine to reboot, even if it does not succeed. Because of shortcomings in the worm's use of the exploit, it should only be able to infect Windows XP and certain versions of Windows 2000 Professional.
正式に対応している (!) のは英語版およびロシア語版 Windows 2000 / XP の模様。日本語版および他の言語版の Windows 2000 では LSASS の crash による reboot が発生する模様。
the exploit has been observed to succeed on some languages of Windows XP where it will fail on Windows 2000 (for instance, Windows XP Professional (Japanese) is susceptible, but Windows 2000 Professional (Japanese) is not); only English and Russian were confirmed by the exploit's author
しかし、日本語版 Windows XP には効いてしまう模様。
Handler's Diary May 1st 2004 (SANS ISC)
Sasser が作成する 9996/tcp remote shell へのアクセスを検出する snort signature が掲載されています。
Microsoft LSASS Sasser ワームの拡散 (ISSKK)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編 (Microsoft)
ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編 (Microsoft)。 ipsecpol コマンドについては 813878 - IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法 (Microsoft) も参照。
News from the Lab (F-Secure)
Sasser (secunia)
さっそく亜種登場:
このワームの MD5 ハッシュ値は、0x1A2C0E6130850F8FD9B9B5309413CD00 です。
トレンドマイクロは WORM_SASSER.B をレッドアラート扱いにしていますね。 (5/3 19:00)
またまた亜種 (Sasser.c) 登場:
The MD5 hash value for this worm is 0x831f4ee0a7d2d1113c80033f8d6ac372.
関連:
Joe reports that SasserC spawns 1024 threads to attack other systems注: Sasser.A/B は 128 threads です。
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) に、Sasser.A/B の検出機能が追加されています。ただし、Internet Explorer でアクセスしないと動きません。
……と書いている間に Sasser.D が登場したようで:
The MD5 hash value of this worm is 0X03F912899B3D90F9915D72FC9ABB91BE.
#541679 (slashdot.jp) にも書きましたが、いまのところ、プライベートアドレスは攻撃対象から外されています。ただし、感染 PC によるプライベート → グローバルへの攻撃は行われるでしょうし、Sasser.D だと 1024 threads で ping してくれますので、これだけで十分頭痛のタネになりかねません。 このあたりを見る限りでは、snort だと sid 469 がひっかかる?
あと、What You Should Know About the Sasser Worm and Its Variants (Microsoft) の Sasser 検出機能が Sasser.C/D にも対応されました。Sasser.A〜D に対応しています。 ただし、Internet Explorer でアクセスしないと動きません。
Sasser インターネット送信型ワーム感染の最新情報 (ソフォス)、 Tuesday, May 4, 2004: The Netsky-Sasser Connection (f-secure.com)。 なんか頭痛いなあ。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について