セキュリティホール memo - 2004.12

Last modified: Fri Sep 21 12:28:41 2012 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2004.12.28

追記

Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise

 指摘された欠陥を利用した攻撃事例が発生しているようだ。

PHP を使ったページにおけるプログラミングエラーを攻略するワームが登場
(various)

 PHP を使ったページにおけるプログラミングエラーを攻略するワームが登場しているようです。PHP の Include() あるいは Require() を誤用したページを利用して繁殖しているようです。

 PHP を利用している人は、今すぐそのような誤用がないかどうか確認し、また利用している PHP のバージョンを最新状態にアップデートすることが推奨されています。

 関連: PHPを狙う新たなワームが出現,Webページのプログラム・ミスを突く (日経 IT Pro, 12/27)


2004.12.27

追記

WordPad の脆弱性により、コードが実行される (885836) (MS04-041)

 iDEFENSE Security Advisory 12.14.04 - Microsoft Word 6.0/95 Document Converter Buffer Overflow Vulnerability

ハイパー ターミナルの脆弱性により、コードが実行される (873339) (MS04-043)

 HyperTerminal - Buffer Overflow In .ht File

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

 加賀さんから (ありがとうございます):

> 回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、
>なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の
>proxycfg.exe をダウンロードできるようにすべきだと思うのだが。つーか、自
>由にコピっていいんですか

私も「自由にコピってね!」に疑問を持っていたのでマイクロソフトに問い合わせをしてみました。

自由にコピっていいのかと、
http://www.microsoft.com/japan/legal/permission/t-mark/img-req4.htm
ここにメールで質問したところ、瞬殺

Windows Updateに関することなので、電話で問い合わせてみました。
http://support.microsoft.com/oas/default.aspx?gprid=6527
コピってOKという返事を貰うことができました。

コピることに関しては電話で問い合わせすればOKっぽいです。
#68 : Oracle Server製品に関するセキュリティの脆弱性

 NGSSoftware が詳細情報を公開した。

[VulnWatch] Patch available for IBM DB2 Universal Database flaws

 NGSSoftware が詳細情報を公開した。

いろいろ
(various)

2005.01.05 追記:

 netcat 1.11 for Windows is released (vulnwatch.org)。 Hat-Squad Advisory: Remote buffer overflow in Netcat TCP/IP Swiss Army Knife の fix。

MS Windows Media Player 9 Vulns (2)
(bugtraq, 2004.12.18)

 Windows Media Player 9 に付属する Active X コントロールに欠陥があるため、攻略 web サーバから

できてしまう。この欠陥は Windows Media Player 10 で修正されているそうだ。

libtiff に 2 つの欠陥
(iDEFENSE, 2004.12.21)

 libtiff に 2 つの欠陥が発見されました。

「CLIE Files 圧縮ファイル解凍の脆弱性修正アップデートプログラム(v.1.1.2)」のご案内
(SONY, 2004.11.11)

 圧縮ファイル解凍の脆弱性 (まっちゃ 139 hiki) が、SONY CLIE (Palm OS 5) 内蔵の CLIE Files にもあった模様。CLIE Files v.1.1.2 で修正されている。

 高木さん情報ありがとうございます。


2004.12.25

Linux ねた
(various)

 一部古いものもありますが……。

Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise
(Full-Disclosure ML, Sat, 25 Dec 2004 07:48:51 +0900)

 Windows XP SP2 (IE 6.0 SP2) において、web ページにアクセスしただけで、全自動で攻略ファイルをユーザのスタートアップに保存させることが可能だ、という指摘。

 対応方法として、.HTA ファイルの無効化 (関連づけの削除という意味か?)、IE におけるアクティブスクリプトの無効化、および IE を使わない (Mozilla / FireFox を使う)、が挙げられている。ActiveX の無効化も有効な気がするけど、記載されていない。

2004.12.28 追記:

 指摘された欠陥を利用した攻撃事例が発生しているようだ。

2005.01.04 追記:

 Qwik-Fix Pro Blocks XP SP2 Vulnerability (pivx.com, 2004.12.28)。ということで。

2005.01.13 追記:

 HTML ヘルプの脆弱性により、コードが実行される (890175) (MS05-001) において、HTML ヘルプ ActiveX コントロール (Hhctrl.ocx / Whhctrl.ocx) については欠陥が修正されました。

xfocus が公開した Windows の 3 つの欠陥
(bugtraq, 2004.12.24)

 xfocus の flashsky 氏が Windows の未修正の欠陥を 3 種類公開した。

 いずれについても http://www.xfocus.net/flashsky/icoExp/index.html で PoC コードが公開されている。

 上記したように、最初の 2 つについては Windows XP SP2 は対象外となっている。 またシマンテックとマカフィーのアンチウイルスプロダクトでは対応される (予定) があるようだ。ある程度の防御にはなるだろう。

 関連報道:

2005.01.13 追記:

 上記のうち、Microsoft Windows LoadImage API Integer Buffer overflowMicrosoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability については MS05-002 で修正されているように思える。

 他の exploit: [Full-Disclosure] Windows (XP SP2) Remote code execution with parametersAbout CMDExe (Command Execution) Remote code execution with parameters で解説されている。


2004.12.24

[Full-Disclosure] Internet Explorer FTP client can be used to send mail
(Full-Disclosure, Fri, 24 Dec 2004 08:56:21 +0900)

 IE 6 SP1 / SP2 に欠陥。 img タグの src 属性に特殊な ftp:// URL を記述すると、web ページ読み込み時に任意のメールを送れてしまう。デモページに IE でアクセスすると、 ian-example@penguinhosting.net 宛にメールが送られるので注意。 手元で試した限りでは、IE 5.01 SP4 でも再現できた。

 なお、マカフィー VirusScan Enterprise 8.0i がインストールされている環境では、 VSE 8.0i の「大量メール配信型ワームにメールを送信させない」機能によりメール送信が抑止された。同様の機能のあるセキュリティ製品 (パーソナルファイアウォールとか?) などを利用していれば抑止できるでしょう。

2004.12.24 追記:

 ヤマガタさんから (ありがとうございます):

◆[Full-Disclosure] Internet Explorer FTP client can be used to sendmail
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/12.html#20041224_IEFTP

の件ですが、新しい脆弱性ではなく、12月9日あたりに発表のあった、

◆Microsoft Internet Explorer FTP Command Injection Vulnerability (Secunia)
http://secunia.com/advisories/13404/
http://www.7a69ezine.org/node/view/168
http://yamagata.int21h.jp/d/?date=20041210#p03

の件の応用のようです。

ユーザ名 or パスワード or ディレクトリ名部分に含まれる改行コード(%0d%0a)をそのまま展開してしまうことが原因となります。←改行コードインジェクション

2004.12.23

追記

Advisory 01/2004: Multiple vulnerabilities in PHP 4/5

 CAN-2004-1018 がなぜか REJECT されています。やまねさん情報ありがとうございます。

IEにフィッシングの危険——ActiveXに問題

 関連: IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険 (日経 IT Pro, 12/17)

Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる (885835) (MS04-044)

 891531 - Windows 2000 ベースのコンピュータにセキュリティ更新プログラム 885835 をインストールした後、Veritas Backup Exec 8.6 でスケジュールしたバックアップでエラーが発生し、アプリケーションイベント ID 57480 が出力される (Microsoft)。MS04-044 修正プログラム (KB885835) を適用した環境で、Veritas Backup Exec 8.6 がトラブることがある模様。Veritas Backup Exec 8.6 を更新せよ、と書かれている。


2004.12.22

追記

鶴亀メールにおけるS/MIMEの署名検証に脆弱性

 このままではJVNは役に立たない (高木浩光@自宅の日記, 12/19)。 鶴亀メールの S/MIME まわりにはさらなる欠陥があり、4.00 版で修正された (「S/MIME電子署名の検証関係での脆弱性のバグ対応」) のだが、 そのことが JVN の記述からはわからない、という指摘。

Windows XP SP2 の「Windows セキュリティの重要な警告」画面
(penetration technique research site, 2004.12.13)

 Windows XP SP2 の「Windows セキュリティの重要な警告」画面では「プログラムアイコン」「名前」「発行元」しか表示されないため、これらを許可されているであろうプログラムと同じにすることにより、利用者の目を欺くことが可能、という指摘。

2005.01.04 追記:

 詳細記事: [Windows セキュリティの重要な警告] 画面を悪用した偽装について (penetration technique research site, 2005.01.03)。

名前の部分にカーソルを置いて数秒待つと、実行されたプログラムのフルパスとファイル名が表示されるので、[Windows セキュリティの重要な警告] 画面を悪用した偽装を見破るときに役立つ情報として覚えておいていただきたい。

 どこかのレジストリをいじると最初から表示されたりするとうれしいのだけどなあ。

[ZH2004-18SA] Content-Type spoofing in Mozilla Firefox and Opera could allow users to bypass security restrictions
(Full-Disclosure ML, Thu, 16 Dec 2004 10:10:07 +0900)

 Mozilla Firefox 1.0 / Mozilla 1.7.x / Opera 7.51〜7.54 に欠陥。 HTML ファイルを Content-Type: text/html. (ドットつき) で受けると、 これらのブラウザでは「open, save, cancel」のダイアログが開く。ここで open を選択してしまうと、HTML ファイルを local context で解釈してしまう。 これにより、HTML ファイルに含まれる JavaScript が local context で実行されてしまい、ローカルファイルを盗み読むなどの攻撃が可能となる。 PoC コードつき。

IEにフィッシングの危険——ActiveXに問題
(ITmedia, 2004.12.20)

 MSIE DHTML Edit Control Cross Site Scripting Vulnerability (bugtraq, Wed, 15 Dec 2004 17:01:33 +0900) の話。 IE 6 の DHTML Edit ActiveX コントロールにクロスサイトスクリプティング欠陥があるため、web サイトは本来のコンテンツに対して任意の JavaScript を挿入できる。これを利用すると、本来はできないはずのアドレスバーの URL 詐称や SSL 鍵アイコンの詐称などが可能となる。

 修正プログラムはまだ存在しない。回避方法としては、ActiveX を無効とする。 また Windows XP SP2 では、次の手順で DHTML Edit ActiveX コントロールだけを無効にできる。

  1. DHTML Edit ActiveX コントロールを読み込ませる web ページを閲覧する。 デモサイト (後述) を閲覧すればよい。
  2. IE のツールメニューから [アドオンの管理(A)...] を選ぶ。「アドオンの管理」ウィンドウが表示される。
  3. 「アドオンの管理」ウィンドウで「現在 Internet Explorer で読み込まれているアドオン」を表示させ、DHTML Edit コントロールをポイントし、「無効」を設定する (画像)。
  4. IE を再起動する。 再び同様の手順で「アドオンの管理」ウィンドウを表示させると、DHTML Edit コントロールが「無効」として表示されているのが確認できる (画像)。

 関連:

 デモサイト:

2004.12.23 追記:

 関連: IEにクロスサイト・スクリプティング攻撃を許すぜい弱性,ページ偽装やCookie盗難の危険 (日経 IT Pro, 12/17)

2005.02.09 追記:

 MS05-013 で修正されている。 CVE: CAN-2004-1319

Vulnerability Note VU#497400: phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter
(US-CERT, 2004.12.21)

 phpBB 2.0.10 以前に欠陥。 viewtopic.php の highlight パラメータに対する除染が不完全なため、これを利用すると remote から任意のコードを実行したり、phpBB の管理者権限を奪取したりすることが可能。 関連: Database passwords is open. Passthru() is available. (phpBB.com :: Security Tracker - Final Report)。

 phpBB 2.0.11 で修正されている。 また howdark.com exploits - follow up (phpBB) で示されている修正を施してもよい。

 この欠陥を狙ったワーム "Santy" が登場している。

 なお、phpBB 2.0.11 では他にも XSS in username field for privmsg.phpXSpider 7 reports vunerabilittphpBB Attachment Mod Directory Traversal HTTP POST Injection が修正されているそうだ。

2004.12.23 追記:

 関連:


2004.12.21

追記

Adobe Reader 6.0.3 update - English, Japanese

 iDEFENSE Security Advisory 12.13.04: Adobe Reader 6.0 .ETD File Format String Vulnerability (bugtraq)。 CVE: CAN-2004-1153 の話。

いろいろ
(various)

 古いねたもありますが……。

2005.01.16 追記:

 Veritas BackupExec Agent vulnerabilityexploit が登場し、なにやらさわがしくなっている模様。

 ポート番号を変えるには、255498 - How to change the port that Network Data Management Protocol uses in VERITAS Backup Exec 9.x for Windows Servers (Veritas) を参照するとよいらしい。でもまずは、patch あてましょう。

2005.02.01 追記:

 J273419: Backup Exec 8.x および 9.x におけるスタック上のバッファ オーバーフローに対する脆弱性を利用し、遠隔地から不正に任意のコードが実行される危険性について (VERITAS)。


2004.12.20

wget: Arbitrary file overwriting/appending/creating and other vulnerabilities
(bugtraq, Thu, 09 Dec 2004 18:14:38 +0900)

 GNU wget 1.8.x / 1.9.x に複数の欠陥。

fix / patch:

追記

Adobe Reader 6.0.3 update - English, Japanese

 Acrobatの脆弱性修正パッチがリリース (slashdot.jp) に貴重な情報が。

Advisory 01/2004: Multiple vulnerabilities in PHP 4/5

 関連:

  • php unserialize。 unserialize() 欠陥に関する PoC コードつき。

  • PHP Input Validation Vulnerabilities。 magic_quotes_gpc が On の場合 (既定値: On) に、 addslashes() が入力値に含まれる NULL や ' に対して \ をつけるが、この \ がパス区切りとして解釈されるような環境 (Microsoft Windows) で予期しない状況が発生する。

  • PHP Multiple Vulnerabilities (secunia)


2004.12.19


2004.12.18

Advisory 01/2004: Multiple vulnerabilities in PHP 4/5
(bugtraq, Thu, 16 Dec 2004 03:46:20 +0900)

 PHP 4.3.9 以前 / 5.0.2 以前に複数の重大な欠陥。

 PHP 4.3.10 / 5.0.3 で修正されている。 PHP 4.3.10 Release Announcement にも「This is a maintenance release that in addition to over 30 non-critical bug fixes addresses several very serious security issues」 とありますので、早期にアップデートしませう。 ただし、PHP 4.3.10, 5.0.3リリース (slashdot.jp) にはアップデートによる Zend Optimizer の不具合も報告されているので注意されたい。最新の Zend Optimizer なら大丈夫だそうだ。

 今回の欠陥は Hardened-PHP の開発中に発見されたのだそうだ。from documentation:

Hardened-PHP provides:

+ Protection of the Zend Memory Manager with canaries
+ Protection of Zend Linked Lists with canaries
+ Protection against internal format string exploits
+ Protection against arbitrary code inclusion
+ Syslog logging of attackers IP

2004.12.20 追記:

 関連:

2004.12.23 追記:

 CAN-2004-1018 がなぜか REJECT されています。やまねさん情報ありがとうございます。


2004.12.17

追記

Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる (885835) (MS04-044)

 samba-jp ML の [samba-jp:17427][samba-jp:17428][samba-jp:17431][samba-jp:17432][samba-jp:17439] を総合すると、

  • Windows XP SP1 + MS04-044 修正プログラム (KB885835)
  • Windows XP SP2

においては、 samba 2.2.x 日本語版のごみ箱機能がうまく動かなくなる模様。 samba 3.x のごみ箱機能 (recycle VFS モジュールを利用する方法) だと問題ない模様。

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

 proxy.pac を利用してプロキシを自動設定している環境では、proxycfg -u に失敗するそうです。上原先生情報ありがとうございます。

 上原先生は .reg ファイルを用意されたようですが、proxycfg を実行するバッチファイルを用意するという手もあるでしょう。

 ……千葉さんから (情報ありがとうございます)

  • 弊社では「proxy.pac」を利用して、urlにより社内社外を振り分けています。 WindowsUpdate時は、専用のproxyサーバ(delegate)に向かうようにしています。

  • XP-SP2適用後、WindowsUpdateができない端末が出てきました。

  • その動きを見てみると、端末でUpdate操作をした際、社内DNSにwpadの名前解決を実施しにきていました。IEで設定しているproxy.pacを無視して、wpadを探しているようです。 IEの「設定を自動的に検出する」にチェックしていなくてもwpadを探しています。

  • そこで、社内DNSにwpadサーバ(proxy.pacが置いてあるサーバ)のIPアドレスを記述し、proxy.pacと同じ内容をwpad.datというファイルで作成して、proxy.pacがあるディレクトリ配下に配置することで、WindowsUpdateができるようになりました。

  • ということで、ユーザ側の端末設定は変えずに、今のところ運用できています。

[SAMBA] CAN-2004-1154 : Integer overflow could lead to remote code execution in Samba 2.x, 3.0.x <= 3.0.9
(bugtraq, Thu, 16 Dec 2004 21:17:29 +0900)

 samba 2.x 系列および 3.0.9 以前の 3.x 系列に欠陥。 smbd に interger overflow する欠陥があり heap 破壊が発生するため、remote から smbd 動作権限 (通常 root) を奪取可能。 CVE: CAN-2004-1154

 samba 3.0.9 用の patch が配布されている。また samba 3.0.10 で修正されている。なお、samba 2.x 系列はもはや保守されていないので注意されたい。

 関連: iDEFENSE Security Advisory 12.16.04: Samba smbd Security Descriptor Integer Overflow Vulnerability

886185 - Windows XP Service Pack 2 用の重要な更新プログラムについて
(Microsoft, 2004.12.16)

 Windows XP SP2 に付属する Windows ファイアウォールの「例外」において適用範囲 (スコープ) を「ユーザーのネットワーク (サブネット) のみ」とした場合に、ダイアルアップ接続を行うと、その範囲が「インターネット全体」と等価になってしまうことがあるそうな。

一部のダイヤルアップ用ソフトウェアがルーティング テーブルを構成する方法が原因

だそうだ。修正プログラムを適用すると、

Windows ファイアウォールで、ダイヤルアップ ネットワーク接続がローカル サブネット上にあると解釈されなくなります。具体的には、IP アドレスが 0.0.0.0 でマスクが 0.0.0.0 の IP ルート テーブルのエントリはすべて、ローカル サブネットと解釈されなくなります。

だそうだ。さらに、

サブネットは、接続先のネットワークによって大きく異なります。そのため、"ユーザーのネットワーク (サブネット) のみ" のスコープの制限を使用しても、セキュリティが保証されるものではありません。不要な着信トラフィックがファイアウォールの例外を通過できないようにするには、カスタムのスコープオプションを使用することを強くお勧めします。

だそうだ。まあ確かに、ダイアルアップ接続というのはそういうものかもしれず。

 田仲さん、関さん情報ありがとうございます。

 関連: XP SP2でAir H"やFOMA端末利用時に共有フォルダが外部公開される脆弱性が存在 (窓の杜, 2004.12.17)。そういう表現の方がわかりやすいですね、確かに。

Outlook Expressに「BCC」を表示する新たな不具合,MSはパッチを公開
(日経 IT Pro, 2004.12.16)

 Outlook Express 5.5 / 6.0 系列に Bcc: が漏曳してしまう欠陥がある模様。

 patch があるので適用すればよいのですが、「重要な更新と Service Pack」には分類されていないので、SUS / 自動更新経由では適用できないんですよね。 手動で Windows Update に接続しなければなりません。 proxy 環境で Windows XP SP2 を利用している場合は、 proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない の件にご注意を。


2004.12.16


2004.12.15

追記

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

 メールの整理をしていたら、2004.11.01 の時点で、藤井さんからこの件についての情報が来てきたことに気がついた orz。すんません。_o_

WordPad の脆弱性により、コードが実行される (885836) (MS04-041)
(Microsoft, 2004.12.15)

 Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 WordPad が利用する Word for Windows 6.0 コンバータに複数の buffer overflow する欠陥があり、任意のコードを実行可能。 CVE: CAN-2004-0571 CAN-2004-0901

 修正プログラムが公開されているので適用すればよい。

2004.12.28 追記:

 iDEFENSE Security Advisory 12.14.04 - Microsoft Word 6.0/95 Document Converter Buffer Overflow Vulnerability

DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (885249) (MS04-042)
(Microsoft, 2004.12.15)

 Windows NT 4.0 Server に欠陥。DHCP サービスにおけるパケットの検証において複数の buffer overflow する欠陥があり、DHCP サービスがいかなるリクエストに対しても無反応になってしまったり、remote から DHCP サービス権限 (local SYSTEM?) で任意のコードを実行されたりする。 CVE: CAN-2004-0899 CAN-2004-0900

 修正プログラムが公開されているので適用すればよい。

ハイパー ターミナルの脆弱性により、コードが実行される (873339) (MS04-043)
(Microsoft, 2004.12.15)

 Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 ハイパーターミナルに buffer overflow する欠陥があり、攻略 telnet: URI や攻略 ハイパーターミナルセッション ファイル (.ht) によって任意のコードを実行させられる。 CVE: CAN-2004-0568

 修正プログラムが公開されているので適用すればよい。

2004.12.28 追記:

 HyperTerminal - Buffer Overflow In .ht File

Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる (885835) (MS04-044)
(Microsoft, 2004.12.15)

 Windows NT 4.0 / 2000 / XP / Server 2003 に複数の欠陥。

 修正プログラムが公開されているので適用すればよい。

2004.12.17 追記:

 samba-jp ML の [samba-jp:17427][samba-jp:17428][samba-jp:17431][samba-jp:17432][samba-jp:17439] を総合すると、

においては、 samba 2.2.xx 日本語版のごみ箱機能がうまく動かなくなる模様。 samba 3.x のごみ箱機能 (recycle VFS モジュールを利用する方法) だと問題ない模様。

2004.12.23 追記:

 891531 - Windows 2000 ベースのコンピュータにセキュリティ更新プログラム 885835 をインストールした後、Veritas Backup Exec 8.6 でスケジュールしたバックアップでエラーが発生し、アプリケーションイベント ID 57480 が出力される (Microsoft)。MS04-044 修正プログラム (KB885835) を適用した環境で、Veritas Backup Exec 8.6 がトラブることがある模様。Veritas Backup Exec 8.6 を更新せよ、と書かれている。

WINS の脆弱性により、リモートでコードが実行される (870763) (MS04-045)
(Microsoft, 2004.12.15)

 Windows NT 4.0 Server / 2000 Server / Server 2003 に欠陥。 WINS サービスに複数の欠陥がある。

 修正プログラムが公開されているので適用すればよい。

2005.01.04 追記:

 みなさん、patch あてましたよね?

JVN#904429FE: Namazu におけるクロスサイトスクリプティングの脆弱性
(JVN, 2004.12.15)

 namazu 2.0.13 以前に欠陥。タブ(%09) から始まる検索文字列によって namazu.cgi でクロスサイトスクリプティング欠陥が発生。

 namazu 2.0.14 で修正されている。また タブ(%09) から始まる検索文字列による問題 に欠陥回避用のスクリプトが提示されている。


2004.12.14

追記

Secunia Research 08/12/2004 - Multiple Browsers Window Injection Vulnerability -

 関連:

Adobe Reader 6.0.3 update - English, Japanese
(adobe, 2004.12.13)

 Adobe Reader 6.0.2 以前に複数の欠陥。

 Adobe Reader 6.0.3 で修正されている。アップデータがあるので適用しよう。

 関連:

2004.12.20 追記:

 Acrobatの脆弱性修正パッチがリリース (slashdot.jp) に貴重な情報が。

2004.12.21 追記:

 iDEFENSE Security Advisory 12.13.04: Adobe Reader 6.0 .ETD File Format String Vulnerability (bugtraq)。 CVE: CAN-2004-1153 の話。

Advisory: Opera security advisory 2004-12-10
(opera, 2004.12.10)

 Opera 7.54 以前に複数の欠陥。

 Opera 7.54u1 で修正されている。 ダウンロードページ の右側にある「Opera 7.54 Security Update」のリンクから入手できる。

 関連:


2004.12.13

Secunia Research 08/12/2004 - Multiple Browsers Window Injection Vulnerability -
(secunia, 2004.12.08)

 Microsoft Internet Explorer 6.0, Mozilla 1.7.3, Mozilla Firefox 1.0, Opera 7.54, Safari 1.2.4, Konqueror 3.2.2-6 に欠陥。ポップアップウィンドウ名 (window.open の第 2 引数) が既知の場合、そのポップアップウィンドウを乗っ取ることが可能……らしいのだが、 手元ではなぜか再現できない。 たとえば Windows 2000 SP4 に FireFox 1.0 をインストールし、ポップアップブロックを有効にした状態で

  1. デモサイトを開く
  2. デモサイトの Step 2 にある「With Pop-up Blocker: Test Now - With Pop-up Blocker - Left Click On This Link」を左クリックする
  3. citibank ウィンドウが開かれるので、そこにある「Consumer Alert」を左クリックする

とすると、手元では、FireFox 1.0 のポップアップブロックが、http://secunia.com/resultpage/ を表示しようとするポップアップをブロックする (放っておくと FireFox はハングしちゃうみたい)。うーん。 Windows 2000 SP4 + IE 6.0 SP1 + google ツールバーでも、上記と同様だったし。 私のやり方が、何か根本的に間違っているのかな。

 SANS ISC によると、以下の回避方法があるそうだ……

……が、そもそも手元では再現できていないので、……。

2004.12.14 追記:

 関連:


2004.12.10

追記

57591: Security Vulnerability With Java Plug-in in JRE/SDK

 サン、Javaプラグインの配布で不手際--初心者対応で課題浮き彫りに (CNET, 2004.12.08)。不手際というか、昔も今も変わらない企業というか。 [問] Microsoft の変化ぶりと比較せよ (20 点)。

 いたがきさんから (ありがとうございます):

Javaプラグインのアップデート配布の問題についてCNETに報じられていましたが、今日現在、プラグインの自動アップデート機能(コントロールパネルによるもの)が機能していないようです。1.4.2_05のマシンで手動確認ボタンを押しても、「最新のプラグインになっています」などというメッセージが表示されます。

 試しに J2SE SDK 1.4.2_03 をインストールして、Java Plug-in コントロールパネルからアップデートしてみたら、そこに現れるのは J2SE JRE 1.4.2_05-b04 というものでした。ふぅむ。なぜ 1.4.2_06 ではないのでしょうねえ。

[SECURITY] Fedora Core 2 Update: mysql-3.23.58-9.1
(fedora-announce-list, Wed, 08 Dec 2004 12:33:48 -0500)

 fix された欠陥:

Mac OS X / Adobe Version Cue local root exploit
(milw0rm.com, 2004.12.08)

 Adobe Version Cue の Mac OS X 版に欠陥。local user が root 権限を取得できる。 exploit には対象となる Version Cue のバージョンが明記されていないが、 1.0.1 アップデート を適用してもこの問題がある模様 [harden-mac:0695] [harden-mac:0696]

 Adobe からのアナウンス、fix 共に存在しない模様。

2005.01.28 追記:

 修正されたそうです。

2005.08.23 追記:

 Mac OS X においてローカルユーザの権限が高まることについての注意(Version Cue 1.x) (Adobe)。CVE: CAN-2005-1307 だそうです。

Squid-2.5 Patches: Random error messages in response to malformed host name
(squid-cache.org, 2004.12.07)

 squid 2.5 に欠陥。細工したホスト名によって生成されるエラーメッセージにランダムなデータが含まれてしまうため、内部情報が漏曳する可能性がある。 patch があるので適用すればよい。

fix / patch:

2004.12.09

追記

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない

 関連: 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft)。ここでも proxycfg してね、と書かれている。

 proxycfg コマンドは、Windows XP Pro / Server 2003 にはあるが、 Windows 2000 にはないようだ。 MSXML 4.0 SP2 (Microsoft) をインストールすると proxycfg.exe がもれなく付いてくるのだが、 困ったことに、Windows 2000 SP3 / SP4 にインストールしてもエラーが出てうまく動かない。 829735 - BUG: "WinHTTP5.dll Could Not Be Found" Error Message When You Run Proxycfg.exe after You Install MSXML 4.0 SP2 (Microsoft) によると、回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の proxycfg.exe をダウンロードできるようにすべきだと思うのだが。 つーか、自由にコピっていいんですか?

Internet Explorer 6 SP1 用の更新プログラムのロールアップ
(Microsoft, 2004.12.06)

 IE 6 SP1 に対する、非セキュリティ的な修正も含んだ累積的更新プログラム。 対応関係を示すと:

セキュリティ fix のみ 非セキュリティ fix も含む
834707 (MS04-038) 873377
889293 (MS04-040) 889669

 IE のロールアップ修正プログラム KB889669 を適用する際の注意 (updatecorp.co.jp) を読んでようやくわかった…… orz。私の解釈は大間違いだったので、おおいそぎで直しました。

 関連: 【月刊 M$ Securiyu 2004 年 12 月 2 日臨時増刊号】 MS04-040 特集 (Windows Security Center)。おざきさん情報ありがとうございます。

無料アプリの代償? 急増するスパイウェア(上)
(WIRED NEWS, 2004.12.08)

 iMesh にバンドルされている Marketscore というスパイウェア (シマンテックCA) は、 内蔵の proxy (ossproxy) を使って 全ての web トラフィックを Marketscore 社経由で行うようにしてしまうため、個人情報が Marketscore 社に漏曳してしまう、という話。 Marketscore でぐぐると、それらしい proxy ホスト名が出てきますね。

ペンシルベニア州立大学のある学生は、電子メールでの取材に対し「まったく最悪だ」と答えている。「これではウェブサーフィンできないし、マーケットスコアをアンインストールしたらファイル交換ができなくなる。自分のコンピューターをどう使おうとぼくの自由で、大学に指図される筋合いはない。大学のコンピューター管理者の方が、マーケットスコアよりもよっぽど煩わしい」

 この論理で行くと「大学のネットワークをどう使おうと大学の自由で、学生に指図される筋合いはない」になるだけのような気が。

マーケットスコア社は、声明の中で次のように述べている。「わが社の処理や手順はユーザーの知らないところで行なわれるわけではない——その逆で、われわれは、参加してくれそうなユーザーに、わが社の活動の内容とその方法を余すところなく伝えようと努力している。参加者自身について、また参加者のインターネットの利用法についてどんな情報を収集するか、この情報をどうやって収集するか、提供された情報を保護するために講じている手段、この情報の用途を、きちんと説明しようと努めている」

 そういえば、A.D.2001 における office 氏のプレゼンテーション「ウイルスハッキング」には次のようにありましたね:

 つづき: 無料アプリの代償? 急増するスパイウェア(下) (WIRED NEWS, 2004.12.09)。

 関連: SSL暗号通信を解読するスパイウェアに大学が警鐘 (ITmedia, 2004.12.01)。


2004.12.08

いろいろ
(various)

追記

いろいろ (2004.12.07)

 nfs-utils の欠陥は 1.0.7-pre1 で修正されているそうです。

MD5 To Be Considered Harmful Someday
(bugtraq, Tue, 07 Dec 2004 08:29:34 +0900)

 MD5 コリジョン話。stripwire というデモツールも公開されています。

[Full-Disclosure] Multiple vulnerabilities in w3who ISAPI DLL
(Full-Disclosure, Mon, 06 Dec 2004 20:40:39 +0900)

 Windows 2000/XP リソースキットに含まれる w3who.dll ISAPI DLL に欠陥。 クロスサイトスクリプティング欠陥が存在する他、buffer overflow する欠陥もある。 CVE: CAN-2004-1133 CAN-2004-1134

 修正プログラムはまだ存在しない。攻撃を回避するには、w3who.dll を使わないようにするしかない。

 w3who.dll についてはこのあたりを:

 現在、w3who.dll はダウンロードできなくなっている模様。


2004.12.07

いろいろ
(various)

2004.12.08 追記:

 nfs-utils の欠陥は 1.0.7-pre1 で修正されているそうです。

追記

Windows 2000に対するサービス・パックの提供はまだ続けてほしい

 コンポーネントを追加したときに、セキュリティ更新プログラムが適用されない現象について (日本のセキュリティチームの Blog, 2004.12.07)。 「すでにインストールされているコンポーネント」については XP / Server 2003 の「デュアルモードインストール」で解決されているが、「まだインストールされていないコンポーネント」を解決する sticky updates はまだ実装されていない、ということなのかな。 とりあえずは MBSA で確認、が現状での最善手のようです。

 Windows と Windows コンポーネント用パッケージ インストーラ Update.exe の内部メカニズム (Microsoft) は、きちんと読んでおいた方がよさそうだなあ。

proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない
(タレコミ, Mon, 06 Dec 2004 18:34:01 +0900)

 ひぐちさんから (ありがとうございます):

私のところではproxy経由でwebアクセスさせているのですが、 Windows Update出来ない項目が有るとクレームが上がって来ました。

調べてみると、WinXP SP2のWindows UpdateのバックエンドBITSが SP2アップデート時にIEからのプロキシ継承を行っていないため、 アップデータのダウンロードに失敗するようです。

アドミニストレータ権限でコマンドプロンプトから proxycfg -u で解決します。

この件については、青山学院のNOCでの情報が良くまとまっています。
http://www.agnoc.aoyama.ac.jp/announce/20041203.txt

 ぐぐってみると、同様の内容を他の場所でもみつけることができた:

 こういうことのようだ。

 WinHTTP のプロキシ設定は proxycfg コマンドで行う。コマンドプロンプトから実行する。

内容 コマンド
現在の設定を見る proxycfg
現在のユーザの Internet Explorer のプロキシ設定を WinHTTP のプロキシ設定に反映する proxycfg -u
プロキシサーバとして proxy.example.jp:8080 を、直接接続するアドレスとして 192.168.*, *.example.jp, <local> を指定する proxycfg -p proxy.example.jp:8080 "192.168.*;*.example.jp;<local>"
WinHTTP のプロキシ設定をクリアする (直接接続する) proxycfg -d
ヘルプを見る proxycfg -?

 <local> は、プロキシサーバ設定の「ローカルアドレスにはプロキシサーバーを使用しない」のことのようだ。 クロスサイトスクリプティング欠陥などにおいて意図しない状況を呼び込むことがあるので、<local> は使わないほうがいいと個人的には思う。

2004.12.09 追記:

 関連: 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft)。ここでも proxycfg してね、と書かれている。

 proxycfg コマンドは、Windows XP Pro / Server 2003 にはあるが、 Windows 2000 にはないようだ。 MSXML 4.0 SP2 (Microsoft) をインストールすると proxycfg.exe がもれなく付いてくるのだが、 困ったことに、Windows 2000 SP3 / SP4 にインストールしてもエラーが出てうまく動かない。 829735 - BUG: "WinHTTP5.dll Could Not Be Found" Error Message When You Run Proxycfg.exe after You Install MSXML 4.0 SP2 (Microsoft) によると、回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の proxycfg.exe をダウンロードできるようにすべきだと思うのだが。 つーか、自由にコピっていいんですか?

2004.12.15 追記:

 メールの整理をしていたら、2004.11.01 の時点で、藤井さんからこの件についての情報が来てきたことに気がついた orz。すんません。_o_

2004.12.17 追記:

 proxy.pac を利用してプロキシを自動設定している環境では、proxycfg -u に失敗するそうです。上原先生情報ありがとうございます。

 上原先生は .reg ファイルを用意されたようですが、proxycfg を実行するバッチファイルを用意するという手もあるでしょう。

 ……千葉さんから (情報ありがとうございます)

2004.12.27 追記:

 加賀さんから (ありがとうございます):

> 回避策は「Windows Server 2003 の proxycfg.exe をコピってくる」という、
>なんとも乱暴なもの。そんなこと言うのなら、Windows Server 2003 の
>proxycfg.exe をダウンロードできるようにすべきだと思うのだが。つーか、自
>由にコピっていいんですか

私も「自由にコピってね!」に疑問を持っていたのでマイクロソフトに問い合わせをしてみました。

自由にコピっていいのかと、
http://www.microsoft.com/japan/legal/permission/t-mark/img-req4.htm
ここにメールで質問したところ、瞬殺

Windows Updateに関することなので、電話で問い合わせてみました。
http://support.microsoft.com/oas/default.aspx?gprid=6527
コピってOKという返事を貰うことができました。

コピることに関しては電話で問い合わせすればOKっぽいです。

2005.01.09 追記:

 888859 - [WU] Windows Update version 5 で利用するプロキシについて (Microsoft) が 2004.12.22 付で改訂されている。 これを見る限りでは、WPAD (wlug.org.nzmonyo.com) を使っているか、http:// あるいは https:// な URL で .pac ファイルを指定していれば、自動的に proxy を認識してくれるようだ。 そうでない場合は、proxycfg コマンドなどで BITS proxy の設定が必要なようだ。

DeleGate 8.10.3-pre7
(delegate.org, 2004.12.06)

 DeleGate 8.10.3-pre7 が出ています (最新は 8.10.3-pre8 です)。 文字列やポインタ、構造体の配列の buffer overflow に対応されているそうです。[DeleGate:12545] より:

一例として、
delegated -f -P9999 PROXY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx....(超長い)
のようにすると、8.10.2 までは Segmentation fault (core dumped) となりますが、8.10.3 では scanf(), strncpy(), 文字列終端の設定の3地点で(!)バッファオーバーフローが未然に検出されて回避されます。

 [DeleGate:12546] より:

pre6までで主に文字列(文字の配列)のオーバフローに対処しましたが、その後 pre7でその他の、ポインタや構造体の配列のオーバフローに対処しました。 例えば、

-P1,2,3,4,5,6,7,8,9,10,11,... (FD_SETSIZE以上,通常1024)

のようにすると、svport.cの中にある ServerPort se_SVPorts[FD_SETSIZE] という構造体の配列が溢れます。
その他多数のオーバフローがありました。ほとんどがローカルにしか起こせないものではありましたが、中に2つばかり、リモートから起こせて結構危険だと思われるものがありました。

 delegate ML のアクセスパスワードについては ML アーカイブの top ページを参照してください。

 8.10.x 系列はまだβ扱いなので注意してください。 DeleGate ML では、FreeBSD 5.3-RELEASE や Debian GNU/Linux 3.1 でうまく make できないという話題が続いています。 また C99 の機能が使われているようで、FreeBSD 4.10-RELEASE (gcc 2.95.4) でもつくれませんでした。FreeBSD 4.10-RELEASE + gcc 3.4.4 (ports/lang/gcc34) では、 [DeleGate:12562][DeleGate:12564] の FreeBSD 5.3-RELEASE と同様に、

% ar d lib/libsubst.a lstat.o
% ar d lib/libsubst.a inet_aton.o

が必要でした。Turbolinux 10 Desktop (gcc 3.3.1) では素直につくれました。

2005.02.22 追記:

 DeleGate 8.11.0 出ました。βが取れてます。

2005.03.25 追記:

 DeleGate 8.11.1 が出ています。C99 に適合していない gcc 2.x でも作成できるようになりました。ありがたや。

「メールで尋ねることはしていない」という一つ覚え
(高木浩光@自宅の日記, 2004.12.05)

 イーバンク銀行って、こんなのまで平文メールで送っているんですか。 いやあ、恐いなあ。おまけに、正規のメールに示されている URL すら http:// じゃないですか。 なぜ https:// じゃないんだろう。

 銀行のネットサービスって、どこもこんな感じなのかなあ。


2004.12.06

追記

ZIP ファイルねた

 zip 2.3 方面 fix:

Yahoo! JAPAN IDとパスワードを不正に盗み取る悪質なメールに関するご注意

 詳細が公開されています: ヤフーからの通知を装った日本語フィッシングで何が起きていたか (高木浩光@自宅の日記, 2004.12.05)。

[SA13269] Winamp "IN_CDDA.dll" Buffer Overflow Vulnerability

 Winamp 5.07 が登場しています。欠陥が修正されたことになっているようです。


2004.12.04


2004.12.03


2004.12.02

追記

IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に

 patch が出たようです: Internet Explorer 用の累積的なセキュリティ更新プログラム (889293) (MS04-040) (Microsoft)。


2004.12.01

追記

Internet Security Systems Protection Alert: Microsoft WINS Server Vulnerability

 元ネタ: Wins.exe remote vulnerability (immunitysec.com)。

 Microsoft KB 日本語版: WINS のセキュリティの問題からコンピュータを保護する方法 (Microsoft)


[セキュリティホール memo]
私について