セキュリティホール memo - 2004.06

Last modified: Fri Sep 10 12:12:35 2004 +0900 (JST)


2004.06.30

Apache 2.0.46〜2.0.49 Input Header Folding Denial of Service Vulnerability
(secunia, Tue, 29 Jun 2004 03:01:09 +0900)

 apache 2.0.46〜2.0.49 に欠陥。ap_get_mime_headers_core() 関数に欠陥があり、空白または TAB ではじまる長大なヘッダによって DoS 攻撃が可能な他、4GB 以上の仮想記憶を持つ 64bit 環境においては heap overflow が発生する。

 apache 2.0.50 で修正されている。また apache 2.0.47〜2.0.49 用の patch が用意されている。

2004.07.15 追記:

 この欠陥だが、32bit 環境においても、PHP などの 3rd party モジュールにおいて顕著な影響が発生する、との指摘が登場している。 PHP 4.3.7 / 5.0.0RC3 に 2 つの欠陥 を参照。

2004.07.30 追記:

fix / patch:

SA11966: Internet Explorer Frame Injection Vulnerability
(secunia, 2004.06.30)

 [Full-Disclosure] SUPER SPOOF DELUXE : Take Two の件のようなのだけど、手元の環境では再現しないなあ……。なんでだろ〜。

2004.07.01 追記:

 関連:

2004.07.12 追記:

 IE の場合は、インターネットオプションの [セキュリティ] で、各ゾーンにおける「異なるドメイン間のサブフレームの移動」を無効にすることで回避できるそうだ。 画像

 なお、「異なるドメイン間のサブフレームの移動」を無効に設定すると、たとえば 2 ちゃんねる掲示板の閲覧に支障が出ます。専用ブラウザを使えばよいのでしょうが……。

 [memo:7646]。すいません。_o_

2004.09.09 追記:

 SA11978: Multiple Browsers Frame Injection Vulnerability (secunia)。 Safari: CAN-2004-0720

「オンラインすり」にご用心——新たなトロイの木馬プログラム見つかる
(ITmedia, 2004.06.30)

 Download.Ject が話題になったときに「偽装画像ファイルで?」という話が出ていたように記憶しているが、これのことか。 Windows XP SP2 にはこういうものへの対策も含まれていますね。

2004.07.01 追記:

 関連:

追記

[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows
Download.Ject に関する情報

 関連情報:

 関連報道:

Juniper JUNOS PFE の IPv6 処理にメモリリークの脆弱性
(JPCERT/CC, 2004.06.30)

 2004.02.24 以降の Juniper JUNOS Packet Forwarding Engine (PFE) に欠陥。 JUNOS で IPv6 を有効にしている場合に、特定の IPv6 パケットによってメモリリークが発生する。これを利用すると、外部から DoS 攻撃が可能となる。

 2004.06.21 以降の JUNOS で修正されている。また、IPv6 を無効とすることで回避できる。

 関連:


2004.06.29


2004.06.28

追記

Hiki の脆弱性に関する注意喚起

 0.64 にも欠陥が発見されました: Hiki の脆弱性に関する注意喚起。0.65 で修正されています。 また、詳細情報が 7/12 に公開されるそうです。 かずひこさん情報ありがとうございます。

Download.Ject に関する情報

 関連情報:

 関連報道:

「Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ」 開催
(various)

 Internet Watch:

 ITmedia:

 CNET:

 個人 web ページ:


2004.06.25

さまざまなアプリケーションを異常終了させるGIF画像がネット上に流出
(窓の杜, 2004.06.24)

 異常な GIF ファイルを閲覧しようとすると異常終了してしまうアプリがある、という話。窓の杜記事には 2 つのサンプル画像でのテスト結果が掲載されている。 また、http://tts.s53.xrea.com/temporary/gif.htm に、夏樹さんによる検証結果が公開されている。 IE がだめだめなのだが、 Microsoft 的には「それはセキュリティ問題ではない」と言われてしまうのだろうなあ。Windows XP SP2 では修正されているっぽいし。

 関連: [memo:7611] GIF画像による異常終了

 夏樹さん情報ありがとうございます。

Download.Ject に関する情報
(Microsoft, 2004.06.25)

 IIS がいっぱいヤラレたので調べてみると、

  1. 修正プログラム未公開の IE の欠陥を突く JavaScript を仕掛けた web サイトが用意されており、
  2. その JavaScript を IE でアクセスすると自動的にバックドアを仕掛けられ、
  3. そのバックドアから MS04-011 patch が適用されていない IIS がヤラレ、
  4. ヤラレた IIS にも修正プログラム未公開の IE の欠陥を突く JavaScript を仕掛けた web ページが用意され、(以下くりかえし)

……というストーリーなのかなあ。IIS attack については、MS04-011 patch を適用してあれば防げると Microsoft は主張している。IE については、

というわけで、「マイコンピュータゾーンのロックダウンは必須」と認識すべきなのでしょう。

 関連:

2004.06.26 追記:

 最新パッチの適用とJavaScriptの無効化を——トロイの木馬対策 (ITmedia, 6/25) によると、まず IIS attack があり、次にその IIS を通じた client attack、となっている。

 IIS攻撃の方法では一致、しかし規模では異論噴出 (ITmedia, 6/26)。まだよくわかっていないようだ。

2004.06.29 追記:

 関連情報:

 関連報道:

2004.06.30 追記:

 関連情報:

 関連報道:

2004.07.05 追記:

 Microsoft から ADODB.Stream オブジェクトを無効にするプログラムが登場し、 Windows Update や自動更新、Microsoft Software Update Services で配布されています。Windows 2000 / XP / Server 2003 用です。

 なお、Windows XP SP2 RC2 では、ADODB.Stream オブジェクトはあらかじめ無効化されています。

2004.07.08 追記:

 ADODB.Stream オブジェクトを無効にしてもイケてしまうという報告があるようで。

 Jelmer Kuperus 氏の……というのは これ ですかね。

2004.07.09 追記:

 Handler's Diary July 8th 2004: Time to update Mozilla/Firefox/Thunderbird and Ethereal; also: sightings of infected IIS 6 servers. (SANS ISC)。IIS 6 が 100 サイト、とあるけれど、その 100 サイトがある特定の一台のホストマシンに集中していました、なんてオチだったらアレだなあ。


2004.06.24

いろいろ
(various)


2004.06.23

SYM04-010: Symantec Gateway Security 製品に DNS キャッシュ・ポイゾニングの脆弱性
(symantec, 2004.06.21)

 Symantec Gateway Security 5400 Series, v2.0 / 5300 Series, v1.0、 Enterprise Firewall v7.0.x / v8.0、 Symantec VelociRaptor Model 500/700/1000/1100/1200/1300 に欠陥。 これらに付属する DNS プロキシ DNSd に、DNS キャッシュ汚染が発生するという重大な欠陥がある。 シマンテックから修正プログラム (hotfix) が提供されているので、利用者は今すぐ適用すること。

 これのことか?: Symantec Enterprise Firewall DNSD cache poisoning Vulnerability。PoC コードが添付されている。

US-CERT Technical Cyber Security Alert TA04-174A: Multiple Vulnerabilities in ISC DHCP 3
(US-CERT, 2004.06.23)

 ISC DHCP 3.0.1rc12 / 3.0.1rc13 に 2 つの欠陥。dhcpd に対し、remote から DoS 攻撃や任意のコードの実行が可能になる模様。

 ISC DHCP 3.0.1rc14 で修正されているので入れかえればよい。 関連:

またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール
(日経 IT Pro, 2004.06.22)

 Opera 7.51 に、アドレスバーを偽装できる欠陥があるという話。 「6月18日ごろ,セキュリティ関連のメーリング・リストなどに投稿された」というのは、 [Full-Disclosure] Opera Browser version 7.51 Address Bar Spoofing Vulnerability か? このコードは Linux 上の Opera 7.50 では動かないとフォローされている。 日経 IT Pro 記事では、JavaScript を無効にすることで回避できるとされている。

 うーん、[Full-Disclosure] Opera Browser version 7.51 Address Bar Spoofing Vulnerability を手元の Opera 7.51 英語版 (build 3798) で動かしてみたが、再現できないぞ……。

2004.06.24 追記:

 Webブラウザー「Opera」にアドレスバーのURLを偽装できる脆弱性が新たに発見 (窓の杜, 6/23)。なぜ再現できないんだろう > 俺。

2004.07.09 追記:

 Opera 7.52 で修正されたようです。 と言っている間に、また別の欠陥が発見されたようで: OperaにまたもやURLを詐称できる脆弱性〜7.52でも修正されていない

SNS Advisory No.76: Printing from Internet Explorer Lets Users to Cause DoS
(LAC SNS, 2004.06.23)

 IE 6 SP1 で、特定の web ページを印刷すると CPU 100% になり、大量の印刷物が生成されてしまうそうな。


2004.06.22

いろいろ
(various)


2004.06.21

追記

ウイルス定義ファイル(DAT4367)の問題について

 DAT4367 に関する問題 (NAI) が更新されています。どうやら、不具合が発生するのは、「本来アップグレードされているはずのものがアップグレードされていない」場合に限られるようです。そのため、この現象が発生した場合は「SDAT4367 を強制適用する」ことで解決できるようです。強制適用するための方法については、DAT4367 に関する問題 (NAI) を参照。

New (Linux) Kernel Crash-Exploit discovered

 Vine Linux: [ 2004,06,19 ] kernel にセキュリティホール

Hiki の脆弱性に関する注意喚起
(Hiki Development Team, 2004.06.21)

 Hiki 0.63 以前に

が存在するそうだ。Hiki 0.64 で修正されているそうだ。Hiki 利用者は入れかえよう。

2004.06.29 追記:

 0.64 にも欠陥が発見されました: Hiki の脆弱性に関する注意喚起。0.65 で修正されています。 また、詳細情報が 7/12 に公開されるそうです。 かずひこさん情報ありがとうございます。

livedoorの情報セキュリティ
(沙耶 16 歳さん, 2004.06.21)

 livedoor blog を退会するには、ググらないと探せない退会申請フォームから、入会時には入力していない個人情報を入力させられた挙句、SSL 化されていない通信路 (livedoor プライバシーポリシー違反) を使わされる模様。素敵ですね。


2004.06.18

連載【IT奔流 ベンリ社会の行方】(2)生体認証 「他人のフリ」簡単
(読売, 2004.06.17)

 「グミ指」の松本勉先生、虹彩認証も赤外線写真で突破されていらっしゃるそうです。 関さん、谷口さん情報ありがとうございます。

松本教授は「生体認証は、自由に変えられるパスワードなどと異なり、なりすまされても代替手段がないという怖さがある」と指摘し、認証の精度を客観的に示す必要性を唱えている。

 そこですよねえ。これだけ「個人情報漏曳」が続発する世の中ですし。 関連:

 安い製品には安い理由がある、ということですね。高価な製品は「生きているかどうか」を判断しているはずです。もっとも、第三者機関が検証しているわけでもないでしょうから、それらも十分なのかどうかはよくわからないというのが本当のところでしょうが。

追記

New (Linux) Kernel Crash-Exploit discovered
キーボード入力などを記録し外部に送信するプログラムに関する注意喚起

 関連: 個人情報流出の新手ウイルス (NHK)。

コンピューターの不正アクセスなどの情報を提供している「JPCERTコーディネーションセンター」の調べによりますと、このウイルスに感染し情報を流し続けているパソコンが国内で少なくとも150台にのぼっているとことがわかりました。

 そうだったんですか……。明間さん情報ありがとうございます。

 もうひとつ関連: JPCERT/CC、キーロガー埋め込むウイルス「Psyme」に注意呼びかけ (ITmedia, 6/17 21:39)。

JPCERT/CCによると、IPアドレスベースでおよそ100件の届出があったという。

 およそ 100 件 = 150 台、なのか、ITmedia 記事のあと 50 件の報告があり、NHK が「150 件」を「150 台」と間違えたのか、どっちだろう。

[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows

 CVE: CAN-2004-0492Apache httpd 1.3 vulnerabilities (Apache Week) によると、この欠陥は Apache 1.3.26〜31 に存在するそうだ。


2004.06.17

いろいろ
(various)

追記

New (Linux) Kernel Crash-Exploit discovered

 Miracle Linux: kernel-2.4.9 セキュリティ

[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities

 Miracle Linux: lha セキュリティ

ウイルス定義ファイル(DAT4367)の問題について
(McAfee Support Information, 2004/06/17)

 エンジン 4.1.60 + DAT4367 の場合に、VirusScan 4.5.1 SP1 や NetShield 4.5 HFR for Windows などが起動しない場合があるそうだ。 回避するにはエンジンを 4.2.60 や 4.3.20 にアップグレードすればよいのだが、 すると今度は、Windows 9x/Me + VirusScan 4.5.1 SP1 において、PC が起動しない (!!) 場合があるそうだ。これを回避するには、DAT4366 以前にロールバックするか、 autoexec.bat に記載されているマスターブートレードスキャン部分をコメントアウトすればよいそうだ。

 なお、手元の VMware 3.x な

という環境では、多少時間はかかるものの起動はできています。

 サポート Q & A にも情報を書いてほしいなあ……。 ……あ、出た: DAT4367 に関する問題 (NAI)。

2004.06.21 追記:

 DAT4367 に関する問題 (NAI) が更新されています。どうやら、不具合が発生するのは、「本来アップグレードされているはずのものがアップグレードされていない」場合に限られるようです。そのため、この現象が発生した場合は「SDAT4367 を強制適用する」ことで解決できるようです。強制適用するための方法については、DAT4367 に関する問題 (NAI) を参照。

キーボード入力などを記録し外部に送信するプログラムに関する注意喚起
(JPCERT/CC, 2004.06.17)

 たとえば [Full-Disclosure] spamming trojan? ではじまるスレッドからたどれるサイトにあるものも VBS/Psyme (NAI) です (と VirusScan Enterprise 7.1 は言いました)。 この手のものはあちこちにはびこっているようで。 最近も、[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan) という話がありましたし。個人的には、現状では IE は全くおすすめできません。 それでも IE を使う場合は、Qwik-Fix くらいは併用した方がいいと思います。 IE という意味では Windows XP SP2 がおすすめなんですけどね。

 この注意喚起の対象は IE だけではないようですが……。

2004.06.18 追記:

 関連: 個人情報流出の新手ウイルス (NHK, 6/18)。

コンピューターの不正アクセスなどの情報を提供している「JPCERTコーディネーションセンター」の調べによりますと、このウイルスに感染し情報を流し続けているパソコンが国内で少なくとも150台にのぼっているとことがわかりました。

 そうだったんですか……。明間さん情報ありがとうございます。

 もうひとつ関連: JPCERT/CC、キーロガー埋め込むウイルス「Psyme」に注意呼びかけ (ITmedia, 6/17 21:39)。

JPCERT/CCによると、IPアドレスベースでおよそ100件の届出があったという。

 およそ 100 件 = 150 台、なのか、ITmedia 記事のあと 50 件の報告があり、NHK が「150 件」を「150 台」と間違えたのか、どっちだろう。


2004.06.16

追記

[rsync-announce] Rsync 2.6.1 released (includes security note)

 CVE: CAN-2004-0426

New (Linux) Kernel Crash-Exploit discovered

 CVE: CAN-2004-0554。 US-CERT Vulnerability Note VU#973654


2004.06.15

追記

堺市の住基ネット ずさん運用 契約結ばず業務を委託

 詳細: 住民基本台帳ネットワークシステムの基本的運用が危機にさらされています −堺市と富士通・住民基本台帳ネットの業務委託契2ヶ月間結ばれず− (田中たけよし市議, info from [social-memo:32])。

また富士通の「府下10自治体でも実態は同じ、他社もやっている」というように、この再委託と再々委託は堺市のみならず、全国の実態でもあると推察されます。
[Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability
  • Debian GNU/Linux: この欠陥は Debian woody には存在しない。
Webmin Unspecified Denial of Service and Security Restriction Bypass
Apache HTTP Server 1.3.31 Released
[Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities
Subversion <= 1.04 DoS / heap overflow

いろいろ
(various)

PHP 4.3.7 Release Announcement
(PHP.net, 2004.06.02)

 Windows 版 PHP 4 の escapeshellcmd() と escapeshellarg() に欠陥があったそうです。 Windows 版 PHP 4 を利用している場合は、4.3.7 への移行が推奨されています。

This is a maintenance release that in addition to several non-critical bug fixes, addresses an input validation vulnerability in escapeshellcmd() and escapeshellarg() functions on the Windows platform. Users of PHP on Windows are encouraged to upgrade to this release as soon as possible.

 関連:

[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows
(Full-Disclosure, Thu, 10 Jun 2004 23:38:26 +0900)

 apache 1.3.31 以前に付属の mod_proxy に buffer overflow する欠陥があるという指摘。CVE: CAN-2004-0492Apache httpd 1.3 vulnerabilities (Apache Week) によると、この欠陥は Apache 1.3.26〜1.3.31 に存在するそうだ。

fix / patch:

New (Linux) Kernel Crash-Exploit discovered
(linuxreviews.org, 2004.06.11)

 x86 / x86_86 アーキテクチャでの Linux 2.4.x / 2.6.x に、local user から DoS 攻撃を受ける (kernel が crash する) 新たな欠陥。 patch が公開されている。

 CVE: CAN-2004-0554。 US-CERT Vulnerability Note VU#973654

fix / patch:

お詫びと今後の方針について
(web-up.cside.biz)

 web-up.cside.biz で配布されていた CGI スクリプトには、

スクリプトの不正利用防止を目的として、以下のケースにおいて管理者様宛てに送信されるメールが弊社宛てにBCCにて送信される

という「プログラム的措置」が組み込まれていたそうだ。「以下のケース」とは:

1.スクリプトの初回設置時
2.著作権表示及びバージョン情報が改変・削除されたとき
3.シェアウェア登録IDが改変・削除されたとき(正規版スクリプトのみ)
4.シェアウェアスクリプト登録のご申請時設置URL
 以外のWEBスペースにて設置されたとき(正規版スクリプトのみ)

※試用版のみ、1において弊社サイトアクセス
  解析CGIにて設置URLを記録

 web-up.cside.biz 田久保氏は、免責事項として

本スクリプトの不正利用防止・設置状況把握を目的として、本スクリプトから設置先サーバーの情報を収集することがありますが、利用者はこれに同意したものとします。

と書いてある、と主張しているが、この文章を 「設置先サーバーの情報 = CGI 利用者から CGI 管理者へ宛てたメールの一部」と解釈する人は、世の中にはいないだろう。

 対応策だが、この「プログラム的措置」を削除した版が近々リリースされるようだ。

 関連:

 匿名希望さん情報ありがとうございます。

Windows認証を数秒で解析 脆弱なパスワードは即座に破られる
(日経 IT Pro, 2004.06.01)

 NTLMv1 はもうだめだめ、ということで。


2004.06.14

追記

[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)

Mozilla Browser Address Bar Spoofing Weakness
(Secunia, Mon, 14 Jun 2004 21:04:41 +0900)

 Mozilla 1.0〜1.6, Firefox 0.x に欠陥。 Internet Explorer Security Zone Bypass and Address Bar Vulnerability と同様の条件、つまり http://[trusted_site]%2F%20%20%20.[malicious_site]/ 形式の URL において、

  1. malicious_site のドメインにワイルドカード A レコードが登録されている
  2. malicious_site が誤った Host: ヘッダを受け入れる

場合に、アドレスバーにおける表示を trusted_site に偽装することができてしまう。

Internet Explorer Security Zone Bypass and Address Bar Spoofing Vulnerability
(secunia, 2004.06.12)

 IE 6 に欠陥。 http://[trusted_site]%2F%20%20%20.[malicious_site]/ 形式の URL において、

  1. malicious_site のドメインにワイルドカード A レコードが登録されている
  2. malicious_site が誤った Host: ヘッダを受け入れる

場合に、malicious_site 上のコードが trusted_site の権限で実行されてしまうという。またアドレスバーにおける表示を trusted_site に偽装することができてしまう。

 回避方法としては「他のブラウザを使う」が挙げられている。

Subversion <= 1.04 DoS / heap overflow
(subversion, 2004.06.10)

 Subversion 1.04 以前に欠陥。svn:// プロトコルや svn+ssh:// (ssh トンネル版)、svn+*:// (他のプロトコルによるトンネル版) の処理において heap overflow が発生、remote から任意のコードを実行される恐れがある。 回避方法としては、svnserve を停止し WebDAV を使う、があるそうだ。

 Subversion 1.05 において修正されているので入れかえればよい。 CVE: CAN-2004-0413

fix / patch:

RealNetworks, Inc. がセキュリティ脆弱性に対応するアップデートをリリース
(Real Networks, 2004.06.09)

 RealPlayer 8 / 10, RealOne Player, RealOne Player v2 に重大な欠陥。

 上記が同じ欠陥を指摘しているのか、それともそれぞれ違うものなのか、はよくわからない。

 RealOne, RealOne v2, RealPlayer 10 には修正プログラムが公開されているので、アップデート機構を通じて適用すればよい。 RealPlayer 8 は、RealPlayer 10 にアップグレード後、アップデートを行う。 RealPlayer 10 のインストールについては、 RealPlayerはスパイウェア? − 「上手に」インストールする方法 (アダルトサイト被害対策の部屋) も参照されたい。

 関連記事: 「RealOnePlayer」や「RealPlayer」などに任意のコードを実行できる脆弱性 (Internet Watch)。


2004.06.11

追記

Webmin Unspecified Denial of Service and Security Restriction Bypass

 [SNS Advisory No.75] Webmin/Usermin Account Lockout Bypass Vulnerability (LAC)。


2004.06.10

FreeBSD Security Advisory FreeBSD-SA-04:12.jailroute - Jailed processes can manipulate host routing tables
(FreeBSD, Tue, 08 Jun 2004 06:06:14 +0900)

 FreeBSD 4.9-RELEASE 以前に欠陥。jail(2) の内側からホストのルーティングテーブルを操作できてしまう。最新の RELENG_4_8 や RELENG_4_9 に更新したり、patch を適用したりした上でカーネルをつくりなおしてインストール、再起動すればよい。 また FreeBSD 4.10-RELEASE ではこの欠陥は修正されている。

堺市の住基ネット ずさん運用 契約結ばず業務を委託
(産経新聞, 2004.06.10)

 堺市も富士通も、不適切な運用を行っていたことは間違いないですねえ……。 田中たけよし市議の指摘がなかったら、ずーっとこんな状態を続けていたってことなんですかね。 もしかして、こんな運用、他にもあったりするんですかね。

 関連: 住基ネット、契約切れ後も運用 大阪府堺市 (asahi.com)。

 ジミーさん、麗美さん情報ありがとうございます。

2004.06.15 追記:

 詳細: 住民基本台帳ネットワークシステムの基本的運用が危機にさらされています −堺市と富士通・住民基本台帳ネットの業務委託契2ヶ月間結ばれず− (田中たけよし市議, info from [social-memo:32])。

また富士通の「府下10自治体でも実態は同じ、他社もやっている」というように、この再委託と再々委託は堺市のみならず、全国の実態でもあると推察されます。

不正な個人情報取得メールに関するご注意
(Yahoo! JAPAN)

 Yahoo! JAPAN 狙いのフィッシングだそうで。 「文書例」や「不正なホームページアドレス」の事例が掲載されていますね……。 61.121.100.100 は Nifty、202.212.115.115 と 218.47.162.23 はぷららですか。 http://www.pureweb.jp/~sagi/geocity/ID/login と http://j2k.naver.com/j2j.php/height/edit.yahoo.co.jp/config/send_webmesg?.src=pg&.target=dy4649 はまだ残ってますね……。 正しいブラウザを使えば、http://www.pureweb.jp/~sagi/geocity/ID/login の方はソースしか見えないのですが。ソースが見えないブラウザは変なブラウザなので、使わないようにしましょう。 こういう意味でも、Windows XP SP2 が待ち遠しいですね。

 またどちらも、「モード: セキュア (SSL)」の方は本物につながるようになってますね。SSL 使った上で、ちゃんと鍵の中身を確認しましょう。……とは Yahoo! の文書には書かれていないなあ。いまどきの世の中ではアドレスバー詐称攻撃とかもありますから、可能な限り SSL に誘導した方がいいと思うのだけど。 そういう意味では、ログイン画面の「標準」という言葉はよくないですねえ。

enpa-sa-00014: Multiple security problems in Ethereal 0.10.3
(ethereal.com, 2004.05.13)

 Ethereal 0.9.8〜0.10.3 に 4 つの欠陥。0.10.4 で修正されている。

fix / patch:

[Full-Disclosure] iDEFENSE Security Advisory 06.08.04: Squid Web Proxy Cache NTLM Authentication Helper Buffer Overflow Vulnerability
(Full-Disclosure, Wed, 09 Jun 2004 04:00:21 +0900)

 squid 2.5.x / 3.x に付属する NTLM 用認証ヘルパーに buffer overflow する欠陥がある、という指摘。CVE: CAN-2004-0541

 patch があるので適用すればよい。また、NTLM 用認証ヘルパーを使わないことで回避できる。 デフォルトでは、NTLM 用認証ヘルパーは使われない。

fix / patch:

追記

[Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities
[RHSA-2004:179-01] An updated LHA package fixes security vulnerabilities

 Debian GNU/Linux: [SECURITY] [DSA 515-1] New lha packages fix several vulnerabilities

gooリサーチ結果 (No.59) 「第2回企業の個人情報保護と情報セキュリティ対策に関する意識調査」
(goo リサーチ, 2004.06.09)

 「調査対象:社内向けシステム企画運用管理を行うgooリサーチビジネスモニター」 って、どういう基準で選択された人達なんだろう。

 top には「個人情報漏洩事件の多発をきっかけに、半数以上の企業が個人情報保護対策を推進」とあるが、中身を読んでいくと、「半数以上の企業」の約 2/3 は「検討中」という段階。

今後実施予定の項目としては「プライバシーマークの取得」が最も多く15.9%に達した【図3】。

 ISMS や BS7799 は無視されているんだろうか……と思ってみてみると、なんと、「ISMS の取得」や「BS7799 の取得」という項目自体がないではないか。うーん。 また「プライバシーマークの取得」が最も多いと言っても、他の項目も 10% 台なわけで、それだけ特出しして「最も多く」などと言うべきではない気が。


2004.06.09

[Full-Disclosure] Advisory 09/2004: More CVS remote vulnerabilities
(Full-Disclosure, Wed, 09 Jun 2004 22:00:04 +0900)

 CVS 1.12.8 / 1.11.16 以前に欠陥。 このまえの話 のあとで調べなおしたら、CVS にはまだまだ欠陥があったそうで。しかも複数。 remote から任意のコードを実行できるものも含まれるそうで。 CVE には CAN-2004-0414 CAN-2004-0416 CAN-2004-0417 CAN-2004-0418 が登録されたそうで。現状では予約されているだけのようですが。

fix / patch:

Changelog:

2004.06.10

 CVS, Red Hat, Debian, OpenBSD の fix / patch を追記。

追記

[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)

 IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (Internet Watch)。

[Full-Disclosure] Advisory 07/2004: CVS remote vulnerability

 Vine Linux: [ 2004,06,07 ] cvs にセキュリティホール(修正版)。前の版は実は直っていなかった。

 Fedora Legacy: [FLSA-2004:1620] Updated cvs resolves security vulnerabilities

「ウイルスバスター2004」に不具合,ただしセキュリティ上の影響は小さい
(日経 IT Pro, 2004.06.08)

 手元のウイルスバスター 2004 は、気がついたら 11.31 になっていた。

今日は Windows Update の日: 2004 年 6 月のセキュリティ情報
(Microsoft, 2004.06.09)

 6 月は以下の 2 点でした:

 いずれも patch があるので適用しましょう。 Window 9x/Me にはないですが。

Oracle E-Business Suiteに危険なセキュリティ・ホール,管理者はすぐに対応を
(日経 IT Pro, 2004.06.09)

 patch があるので適用すればよい。回避策は存在しないようだ。

[SA11791] jCIFS Arbitrary Username Authentication Security Issue
(secunia, Wed, 09 Jun 2004 18:52:38 +0900)

 jCIFS: Common Internet File System Client in 100% Java (samba.org) 0.9.0 以前に欠陥。CIFS サーバ上で guest アカウントが有効になっていると、jCIFS は間違ったユーザ名でも認証に成功してしまう。 jCIFS 0.9.1 で修正されている。


2004.06.08

Webmin Unspecified Denial of Service and Security Restriction Bypass
(secunia, Mon, 07 Jun 2004 23:01:56 +0900)

 Webmin 1.140 (以前?) に 2 つの欠陥。

 Webmin 1.150 で修正されている。Changes since Webmin version 1.140 も参照。

2004.06.11 / 14 追記:

[Full-Disclosure] Internet explorer 6 execution of arbitrary code (An analysis of the 180 Solutions Trojan)
(Full-Disclosure, Mon, 07 Jun 2004 10:21:52 +0900)

 前史: [Full-Disclosure] 180 Solutions Exploits and Toolbars Hacking Patched Users(I.E Exploits)

 http://216.130.188.219/ei2/installer.htm にある IE 攻略トロイ (危険!! アクセスする場合は、JavaScript / アクティブスクリプトを無効にしてからにすること) について、http://62.131.86.111/analysis.htm で解説している。Jelmer 氏は、http://216.130.188.219/ei2/installer.htm では複数の既知の欠陥と 2 つの新種の欠陥が利用されている、としている。

 なお、http://216.130.188.219/ei2/installer.htm のスクリプト部分は Windows Script Encoder (ダウンロード) によってエンコードされている。 これを外すには、たとえば Windows Script Decoder が使えるそうだ。 Obfuscated-HTML De-obfuscation Tools というページもあるそうで。

 また、http://62.131.86.111/analysis.htm に示されている exploit.zip の中身について、 VBS/Psyme (シマンテック: Downloader.Psyme) だと判断するアンチウィルスプロダクトがあるそうだ (Larry Seltzer 氏のメール)。

 ……Secunia Advisory 出ました: Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities。 回避策として、アクティブスクリプトの無効化と ms-its: URI ハンドラの削除を挙げています。

2004.06.09 追記:

 IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (Internet Watch)。

2004.06.15 追記:

2004.07.31 追記:

 Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025) で修正された。

追記

APPLE-SA-2004-05-21 Security Update 2004-05-24

 APPLE-SA-2004-05-28 Mac OS X Update 10.3.4 (古暮涼氏による邦訳版)。 Mac OS X 10.3.4 には CAN-2004-0485 の修正が含まれています。

 さらに、APPLE-SA-2004-06-07 Security Update 2004-06-07 (古暮涼氏による邦訳版) が登場。disk: URI ハンドラについての修正が含まれています。 しかし、

コンポーネント: DiskImageMounter
CVE-ID: これは追加的な予防策であるため,CVE ID は取っていません。

このような扱いは全くいただけません。Apple という会社はあいかわらずのようです。 関連記事:


2004.06.07


2004.06.06

solution 9245: パターンファイルが自動的に100番台になった場合の対応方法について
(トレンドマイクロ, 2004.06.05)

 検索エンジン VSAPI 6.640 (2004.08.05 でサポート終了) 以前を使っていると、パターンファイル 901 (1.901.00) へのアップデート時に、パターンファイルの番号が 101 (1.101.00) に戻ってしまったり、アップデートに失敗したりする。 VSAPI 6.810 以降ではこの問題は発生しない。 一般には検索エンジンのアップデートを行えば問題は解決するようだが、製品によって若干手順に違いがあるようなので、該当者は、solution 9245 からたどれる各製品毎の対応方法を参照しておくこと。


2004.06.04


2004.06.03

業務上使わなくなった個人情報は捨てるべき?
(日経 IT Pro, 2004.06.01)

 日経コンピュータ 2004.05.31 の「特集 2: 情報漏曳、事件に学ぶ事後対策」関連記事。 答えが簡単に見つかるものではないからこそ、議論を重ねる必要があるのだろうなあ。その過程で見つかるものもあるだろうし。

 ちなみに、fml 4 で confirm している場合、/var/spool/ml/mlname/var/log/confirm がおもいっきり個人情報と化しています。気がつかなさそうな場所にあるので注意が必要です。これに気がついたときには、のけぞりました。

追記

Microsoft Windows 関連

 weissbach さんからの情報 (ありがとうございます) によると、イメージマップによるステータスバー偽装の件は Safari 1.2.2 (v125.7) でも発生するそうだ。

MITKRB5-SA-2004-001: buffer overflows in krb5_aname_to_localname
(bugtraq, Wed, 02 Jun 2004 05:32:42 +0900)

 MIT Kerberos 1.3.3 以前に含まれる krb5_aname_to_localname() 関数に欠陥。 これは aname → lname mapping を実施している場合に問題となる。 krb5_aname_to_localname() において buffer overflow するため、これを利用すると remote からサービス動作権限 (通常 root) を取得できる可能性がある。 CVE: CAN-2004-0523

 MIT Kerberos 1.3.3 用の patch が公開されている。MIT Kerberos 1.3.4 で修正されるそうだ。

fix / patch:

Opera Favicon Displaying Address Bar Spoofing Vulnerability
(secunia, 2004.06.03)

 Opera 7.50 以前の 7.x に欠陥。大きな favicon 画像を利用して、アドレスバーやページバーなどを偽装することが可能。Opera 7.51 で修正されている。Opera 7.51 では、アドレスバー、ページバー、繰り返されるページ/ウィンドウにおける画像サイズを制限したそうだ。

 詳細: [Full-Disclosure] Phishing for Opera (GM#007-OP)

[Full-Disclosure] Format String Vulnerability in Tripwire
(Full-Disclosure, Thu, 03 Jun 2004 08:41:16 +0900)

 Tripwire オープンソース版 2.3.1 以前 / 商用版 2.4 以前に欠陥。 チェック結果を電子メールにより通知する機能 (tripwire -m c -M あるいは tripwire --check --email-report) に format バグがあり、特殊なファイル名を設定したファイルを仕掛けられることによって任意のコマンドを実行させられる可能性がある。

 指摘文書にオープンソース版 Tripwire 2.3.1 用の patch が添付されている。


2004.06.02

追記

TCP プロトコルに潜在する信頼性の問題

他人のメールを読む方法
([memo:7583], 2004.05.14)

 world writable な mail spool には注意しましょう。

Microsoft Windows 関連
(various)

2004.06.03 追記:

 weissbach さんからの情報 (ありがとうございます) によると、イメージマップによるステータスバー偽装の件は Safari 1.2.2 (v125.7) でも発生するそうだ。

平成15年度電気通信サービスモニターに対する第2回アンケート調査結果
(総務省, 2004.05.28)

 セキュリティ話としては「3. フィルタリングについて」「4. コンピュータウィルスについて」が関連でしょうか。

 「3. フィルタリングについて」では「必要だと思う: 58.1%、人によっては必要だと思う: 37.9%」であるにもかかわらず、実際に利用しているのは 9.0% のみであり、利用していない人の回答は「必要性を感じないから: 51.5%、フィルタリングソフトの存在を知らないから: 39.4%」。数字が合わないような気が。「必要だと思う: 58.1%」はあくまで一般論か? 「自宅で利用しているフィルタリングソフト」の選択肢に、Internet Explorer の「コンテンツアドバイザ」がないのも不思議な気がする。

 なお、アンケート調査結果(報告書より抜粋) では、フィルタリングの必要性のところだけしか載っていない。抜粋の仕方に強い作為を感じる。完全版 を読みませう。 (誤字修正: らむじぃさん感謝)

 「4. コンピュータウィルスについて」では、Windows Update は 69.0% が存在を知っており、55.6% が配信あり次第アップデートしている、となっている。 頻繁にはアップデートしない理由は「面倒だから」が 38.0% でトップ。 アンチウィルスを使っているのは 56.7% で、使っていない理由は「(料金が) 高いから」が 42.2% でトップ。しかし、「ではいくらが適切と思うか」という質問はされていないのが惜しい。


2004.06.01

追記

[Full-Disclosure] Advisory 07/2004: CVS remote vulnerability

 バージョン管理ツールCVSのセキュリティ・ホールを突いた不正侵入が続発 (日経 IT Pro)。流行ってます。


[セキュリティホール memo]
私について