-
- Zotob に関する情報 (Microsoft, 8/15)
- マイクロソフト セキュリティ アドバイザリ (899588): プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (Microsoft, 8/15)
- Malicious Software Encyclopedia: Worm:Win32/Zotob.A (Microsoft, 8/14)
- Malicious Software Encyclopedia: Worm:Win32/Zotob.B (Microsoft, 8/14)
- 「プラグ&プレイの脆弱性」悪用する危険度「中」のワーム——トレンドマイクロ (ITmedia, 8/15)
- WORM_ZOTOB.A (トレンドマイクロ)
- WORM_ZOTOB.B (トレンドマイクロ)
- W32.Zotob.A (シマンテック)
- W32.Zotob.B (シマンテック)
- W32/Zotob.worm (McAfee)
VirusScan Enterprise 8.0i and Managed VirusScan's generic buffer overflow protection protects against code execution that may result from exploitation of MS05-039.
- W32/Zotob.worm.b (McAfee)
■ 2005.08.14
》 今日はネットワークまわりの工事をしているので、ときどきこのページへのアクセスできなくなったりするはずです。 ……工事終りました。_o_
》 Sophos Client Firewall テクニカルプレビュー版リリース (Sophos)。Outpost ベースだそうで。
個人的には、Sophos 方面では Sophos ZombieAlert Service もおもしろそうな気が。
》 日本ミルクコミュニティー株式会社富里工場の 総合衛生管理製造過程の承認辞退について (厚生労働省, 8/9)。うーむ。
》 健康診断:主要16検査項目、効果に疑問 予防に根拠なし−−厚労省研究班が報告書 (毎日, 8/14)
その結果、「血圧の測定」と、「飲酒」と「喫煙」に関する問診は、効果を示す十分な証拠があった。「身長・体重の測定」は減量指導を充実すれば有効、糖尿病検査の「糖負荷試験」や、「うつ病を調べる問診」は、健診後の指導や治療の体制整備を条件に、有効と評価された。健診が有効とされたのは以上の6項目のみ。他に2項目が判定保留となった。
これ以外の16項目は「勧めるだけの根拠はない」「病気予防や悪化防止の証拠はない」などとされた。うーむ。 関連: 解説:厚労省の健診評価、マイナス面も検証を (毎日, 8/14)
》 [警察白書]「高齢者対策がカギ握る交通安全」 (読売, 8/14)。
》 [AML 3018] 12日の杉並区教委の状況について。 なかなかにすさまじいですな。
》 Handler's Diary August 13th 2005
Another of our readers, Wolf, brought this issue to our attention. Some admins have chosen not to install Windows 2003 Server SP1 until issues have been worked out. This has led to a problem that the admins may not be aware of. If you use Microsoft Update and choose the Express (recommended) option, it will NOT show the July or August updates, you have to choose Custom updates in order to see them. This could be very dangerous as it may leave the admins believing their servers are current on patches when in fact they are exposed.
本当ですか?! 手元の Windows Server 2003 gold にはつい先日 SP1 を適用しちゃったので、確認できないなあ……。Express って選択したことがないし……。 個人的には、Microsoft 用語「Express」の意味は「機能が低い」(例: Outlook Express) だから「使っちゃダメ」と等価だと思ってるし……。
》 総務省、医療器具への電波の影響調査結果を発表 (slashdot.jp, 8/13)
》 ハッカーが「Everquest II」で大量の通貨偽造--20%のインフレ状態に (CNET, 8/12)
》 「ヌーブラを買ったばかりに」、楽天被害女性の悲しみ (ITmedia, 8/11)。個人的にはむしろ、ITmedia はどうやってこの「被害女性」に到達できたのかに興味があるなあ。
……関連?: 楽天市場:流出の顧客情報、悪用か 携帯料金引き落としに (毎日, 8/14)。
》 ビッダーズ店舗でも流出を確認、8456人分 (ITmedia, 8/10)
》 Scope「情報漏えい疑惑」より、もっと重要なこと (ITmedia, 8/10)
》 次々と明らかになる新事実−クラーエフ裁判 (バイナフ自由通信, 8/9)
》 Draft Publications (NIST)。いろいろ出てます。
■ 追記
■
Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる (899587) (MS05-042)
(Microsoft, 2005.08.10)
Windows 2000 / XP / Server 2003 の Kerberos 実装に 2 つの欠陥。
Kerberos の脆弱性 - CAN-2005-1981
Windows 2000 Server / Server 2003 に影響。ドメインコントローラが、特殊な Kerberos メッセージを受信するとクラッシュし再起動してしまう。
PKINIT の脆弱性 - CAN-2005-1982
Windows 2000 / XP / Server 2003 に影響。 Windows が実装している PKINIT (Public Key Cryptography for Initial Authentication in Kerberos) は Internet-Draft の draft-9 だが、これには Man-in-the-Middle 攻撃を受ける欠陥がある模様。 ちなみに、PKINIT の最新版は draft-27 のようだ。 PKINIT はスマートカードを利用した認証において利用されている模様。
修正プログラムを適用しましょう。
修正プログラムを適用すると、PKINIT draft-27 に基く認証機能が追加されるようだ。 これの制御 (draft-27 のみ / 旧来のものも受け入れる) はレジストリエントリ RequireAsChecksum で行われるそうだ。詳細は 904766 - セキュリティ更新プログラム 899587 のインストール後、レジストリ エントリ RequireAsChecksum を変更する方法 (Microsoft) を参照。 全てのサーバ及びクライアントに MS05-042 修正プログラムを適用し、その後 RequireAsChecksum を 1 に設定する、のがいいらしい。
■
リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる (899591) (MS05-041)
(Microsoft, 2005.08.10)
Windows 2000 Server / XP / Server 2003 に欠陥。 Remote Desktop Protocol (RDP) 実装に欠陥があり、RDP が有効な場合、remote から DoS 攻撃を受ける。 Update: New Windows XP SP2 vulnerability の話。CVE: CAN-2005-1218
攻略プログラムが公開されている。
修正プログラムを適用しましょう。
■
テレフォニー サービスの脆弱性により、リモートでコードが実行される (893756) (MS05-040)
(Microsoft, 2005.08.10)
Windows 2000 / XP / Server 2003 に欠陥。 Telephony サービスに欠陥があり、
Windows 2000 Server で Telephony サーバー機能を有効にしていた場合 (既定値: 無効)、remote から無認証で任意のコードを local SYSTEM 権限で実行可能。
Windows Server 2003 で Telephony サーバー機能を有効にしていた場合 (既定値: 無効)、remote から要認証で任意のコードを local SYSTEM 権限で実行可能。
Windows 2000 Professional / XP, および Telephony サーバー機能が無効の Windows 2000 Server / Server 2003 では、 local user が local SYSTEM 権限を奪取可能。
CVE: CAN-2005-0058
修正プログラムを適用しましょう。
なお、Windows 98 / 98 SE / Me にもこの欠陥があるが、「緊急でない」判定のため修正プログラムは用意されない。
■
いろいろ (2005.08.14)
(various)
Linux もの
- [SA16355] Linux Kernel Keyring Management Denial of Service Vulnerabilities。 2.6.13-rc6 で修正されているそうな。
- [SA16406] Linux Kernel XDR Encode/Decode Buffer Overflow Vulnerability。 2.6.13-rc1 で修正されているそうな。
KDE Security Advisory: kpdf temp file writing DoS vulnerability。 KDE 3.3.1 〜 3.4.1 の kpdf に、攻略 pdf ファイルを閲覧すると $TMPDIR を埋めつくしてしまう欠陥。 patch あり。 CVE: CAN-2005-2097
[VulnWatch] High Risk Vulnerability in Novell eDirectory Server。以下の件だそうです。
[Full-disclosure] Privilege escalation in Network Associates ePolicy Orchestrator Agent 3.5.0 (patch 3)。 ePO Agent 3.5.0 patch 3 を利用すると、 local user が local SYSTEM 権限で閲覧可能なあらゆるファイルを取得できる模様。patch はまだない。 問題のディレクトリが everyone フルコントールなのを何とかすればいいのでしょうね。
Insecure directory permissions of default installation of Kaspersky Anti-Virus for Unix/Linux File Servers will lead to local root exploit。 Kaspersky Anti-Virus UNIX 版は world-writable なディレクトリにインストールされてしまう模様。
2005.08.23 追記:
[Full-disclosure] Privilege escalation in Network Associates ePolicy Orchestrator Agent 3.5.0 (patch 3) は CMA 3.5 Patch4 で修正された。
- CMA3.xの脆弱点が発見されました。(2005/8/15) (マカフィー)
- CMA 3.5 Patch4の修正内容は? (マカフィー)
■ 2005.08.13
》 事故を引き起こした企業の側の姿勢 (佐々木俊尚の「ITジャーナル」, 8/10)。カカクコムって本当に、……。
》 ISC INFOCON が Yellow になっているのですが、セキュリティ関連アラートでうまく反映できていなかったので、表示内容を修正しました。
》 [AML 2979] 「つくる会」と統一協会。ふぅん。
》 Snort-Clamav。snort 2.4.0 に対応しました。
》 トレンドマイクロのウイルス対策技術に関する米国特許に対するITC(米国際貿易委員会)の最終判決について (トレンドマイクロ, 8/11)
ITCは米国において、特許を侵害するFortiGate(TM)(アンチウイルスファイアウォールアプアイアンス製品)の広告、輸入、流通、販売を停止するようにフォーティネット社に命令しました。
■
印刷スプーラの脆弱性により、リモートでコードが実行される (896423) (MS05-043)
(Microsoft, 2005.08.10)
Windows 2000 / XP / Server 2003 に欠陥 (ただし 32bit 版 Windows のみ。また Windows Server 2003 SP1 は除く)。 印刷スプーラサービスに buffer overflow する欠陥があり、
Windows 2000 および Windows XP SP1 の場合は、remote から無認証で任意のコードを local SYSTEM 権限で実行可能。
Windows XP SP2 および Windows Server 2003 の場合は、 remote から要認証で DoS 攻撃を実行可能。
修正プログラムを適用しましょう。Windows 2000 / Windows XP SP1 な人は特に。
CVE: CAN-2005-1984
2005.12.26 追記:
【重要】秘文シリーズ Windowsセキュリティパッチ(MS05-043)適用環境における性能問題についてのお知らせ (日立, 2005.12.26)。日本語版秘文については patch が提供されている。
■
プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)
(Microsoft, 2005.08.10)
Windows 2000 / XP / Server 2003 に欠陥。 Plug and Play サービスに buffer overflow する欠陥があり、
Windows 2000 の場合は、remote から無認証で任意のコードを local SYSTEM 権限で実行可能。
Windows XP SP1 の場合は、remote から要認証で任意のコードを local SYSTEM 権限で実行可能。
Windows XP SP2 および Windows Server 2003 の場合は、 local から要認証で任意のコードを local SYSTEM 権限で実行可能。
従って、Windows 2000 において特に危険なわけだが、既に Windows 2000 対応の攻略プログラムが公開されてしまっている。
- http://www.frsirt.com/exploits/20050811.MS05-039.c.php (FrSIRT)
- http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php (FrSIRT)
- http://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php (FrSIRT)
修正プログラムを適用しましょう。Windows 2000 な人は特に。
関連:
- CVE: CAN-2005-1983
Windows Plug and Play Remote Compromise (ISS)
日本語版: Windows プラグ アンド プレイによるリモートからのセキュリティ侵害 (ISSKK)Alert: Exploits for Plug and Play Vulnerability Released (eEye)
調査プログラムダウンロード: Free Utilities (eEye)Handler's Diary August 12th 2005 (SANS ISC)。 Bleeding Snort な snort signature が掲載されている。
2005.08.14 追記:
この欠陥を利用するワームが登場しました: Zotob.A (F-Secure)。
2005.08.16 追記:
Zotob 話:
- Zotob に関する情報 (Microsoft, 8/15)
- マイクロソフト セキュリティ アドバイザリ (899588): プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (Microsoft, 8/15)
- Malicious Software Encyclopedia: Worm:Win32/Zotob.A (Microsoft, 8/14)
- Malicious Software Encyclopedia: Worm:Win32/Zotob.B (Microsoft, 8/14)
- 「プラグ&プレイの脆弱性」悪用する危険度「中」のワーム——トレンドマイクロ (ITmedia, 8/15)
- WORM_ZOTOB.A (トレンドマイクロ)
- WORM_ZOTOB.B (トレンドマイクロ)
- W32.Zotob.A (シマンテック)
- W32.Zotob.B (シマンテック)
- W32/Zotob.worm (McAfee)
VirusScan Enterprise 8.0i and Managed VirusScan's generic buffer overflow protection protects against code execution that may result from exploitation of MS05-039.
- W32/Zotob.worm.b (McAfee)
2005.08.18 追記:
Zotob / MS05-039 attack bot 話:
- BotWar? (F-Secure weblog, 8/17)
- 国内でも感染が報告され始めた「Zotob」ワーム,社内LANへの“持ち込み”を防げ (日経 IT Pro, 8/17)
- 悪意のあるソフトウェアの削除ツール (Microsoft) が 8/18 付けで Zotob などに対応しています。
- Microsoft 社 Windows の脆弱性(MS05-039)を突いたワームが複数種発生!! 〜 W32/IRCbot、W32/Zotob 〜 (IPA ISEC, 8/17)
2005.08.20 追記:
- 「PCを再起動する場合あり」「Windows 2000だけに感染する」——新種ワームの詳細が明らかに (日経 IT Pro, 8/18)
- IRCボットワーム 第3報
「危険度:高」から「危険度:中」へ引き下げ
(マカフィー, 8/19)。マカフィーってプレスリリース出してたのね。
- IRCbot.worm! MS05-039(「危険度:高」) 第2報 (マカフィー, 8/17)
- 「危険度:高」のウイルス、IRCbot.worm! MS05-039が発生、世界で感染拡大 (マカフィー, 8/17)
- 新ウイルス、週明けは要警戒 ウインドウズ欠陥狙う (asahi.com, 8/20)
2005.08.21 追記:
- MS05-039とZotobに関するサマリー (武田圭史, 8/20)
- MS05-039 Scan v1.0 (Foundstone)
2005.08.23 追記:
Eye-witness account of a global virus outbreak (F-Secure blog, 2005.08.22)。F-Secure における MS05-039 malware との闘いの記録。
2005.08.24 追記:
マイクロソフト セキュリティ アドバイザリ (906574) 簡易ファイルの共有および ForceGuest についての説明 (Microsoft)。 ドメインに参加していない、MS05-039 patch も適用されていない Windows XP SP1 は、簡易ファイルの共有が有効になっているのでヤバい、という理解でいいんだろうか。
■
Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038)
(Microsoft, 2005.08.10)
IE 5.01 SP4 / 5.5 SP2 / 6.0 SP[12] に関する、新たな 3 つの欠陥を含む累積的更新プログラム。
JPEG イメージ レンダリングのメモリ破損の脆弱性 - CAN-2005-1988
[Full-disclosure] Compromising pictures of Microsoft Internet Explorer! の件。 Microsoft 自身により、任意のコードの実行が可能であることが確認されている。
Web フォルダの動作のクロス ドメインの脆弱性 - CAN-2005-1989
IE の Web Folder Behaviors に欠陥があり、 Web ページから Web フォルダの表示にナビゲートされる時、 特定の URL においてクロスドメイン欠陥が発生。攻略 web サイトがローカルコンピュータゾーン権限で任意のスクリプトを実行可能。
COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990
Microsoft Security Advisory (903144): A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit の話のつづき。 MS05-037 では Javaprxy.dll にしか対応されなかったけど、もともとの指摘文書 SEC-CONSULT SA-20050629-0 には
we found that at least 20 of the objects available on an average XP system either lead to an instant crash or an exception after a few reloads
とありました。 その残りが MS04-038 で修正された模様。 結果として、合計 40 個もの .dll ファイルに Kill Bit が設定されることに。関連:
適用しましょう。
■ 追記
- 2005 年 8 月のセキュリティ情報 サマリ
-
MS05-039 攻略プログラム登場:
- http://www.frsirt.com/exploits/20050811.MS05-039.c.php (FrSIRT)
- http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php (FrSIRT)
- http://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php (FrSIRT)
これを受けて、eEye から警告文書とフリーの scan tool の配布が行われています。高宮さん情報ありがとうございます。
Handler's Diary August 12th 2005 (SANS ISC) に Bleeding Snort な snort signature 出てます。
Microsoft からも警告出ました: Microsoft Security Advisory (899588): Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588) (Microsoft)。
■
AWStats ShowInfoURL Remote Command Execution Vulnerability
(iDEFENSE, 2005.08.09)
AWStats 6.4 以前に欠陥。eval() の引数に対する除染処理が不十分なため、remote から任意のコードを実行可能。AWStats 6.5 で修正されている……が、AWStats 6.5 はまだ stable 扱いじゃないですね。
CVE: CAN-2005-1527
■
WirelessIP5000: ネットワークアクセスに関する脆弱性について
(日立電線, 2005.08.12)
ワイヤレス IP 電話 WirelessIP5000 に複数の欠陥。remote から設定を参照・変更したり、3390/tcp から「不正アクセス」できる、などの影響がある。 最新版 2.0.1 においても「工場出荷時において設定されている管理者のデフォルトパスワードを容易に推測し得る」という欠陥が残るので、 最新版 2.0.1 に更新した上で、強固なパスワードを設定する。
■
VERITAS Backup Exec Uses Hard-Coded Authentication Credentials
(US-CERT, 2005.08.12)
VERITAS Backup Exec Remote Agent for Windows Servers に欠陥。 ハードコードされた認証情報を利用しているため、その認証情報を利用して、remote から、local SYSTEM 権限で読み出せる任意のファイルを取得できる。
修正プログラムはまだ存在しない。Remote Agent が利用する 10000/tcp をフィルタしたり、利用する port を 10000/tcp から他の port に変更したりすることで、影響を低減できるかもしれない。
関連:
Veritas Backup Exec Agent for Windows Remote File Access Issue (FrSIRT)。
SYM05-011: VERITAS Backup Exec for Windows Servers, VERITAS Backup Exec for NetWare Servers, and NetBackup for NetWare Media Server Option Remote Agent Authentication Vulnerability (Symantec)。日本語版はまだないみたい。
Handler's Diary August 11th 2005 (SANS ISC)。 Bleeding Snort な snort signature 出てます。
2005.08.24 追記:
SYM05-011: VERITAS Backup Exec for Windows Servers、VERITAS Backup Exec for NetWare Servers および NetBackup for NetWare Media Server Option Remote Agent に認証の脆弱性 (シマンテック)。SYM05-011 (Symantec) の日本語版。しかし、参照リンクがなぜか VERITAS の英語版ページのまま。
J278434: Backup Exec for Windows Servers セキュリティ勧告: 任意のファイルの不正ダウンロードの可能性について (VERITAS)。patch が示されています。
■ 2005.08.12
》 ウイルスパターン復旧ツール話 (トレンドマイクロ)
》 「ディスカバリー」はほとんど無傷=NASA◇ロイター (日経 BP, 8/11)
》 拡散するアスベスト被害: 将来に残す二つの過恨 (日経 BP, 8/11)。 アスベストだけでなく、 アスベスト代替繊維や、 カーボンナノチューブなどのナノテク素材にも同様の危険性が危惧されているという。
要は,アスベストが危険とされていた根拠は「細い」「溶けない」こと。アスベストの化学的組成が問題だったわけではない。逆に言えば,代替繊維の中でも「細い」「溶けない」という危険な条件を満たせば,アスベストと同様の発がん性のリスクを負うことになるのだ。
関連:
- 石綿による健康被害への対応について (厚生労働省, 7/8)
- 石綿(アスベスト)についてQ&A (厚生労働省, 7/29)
- アスベスト問題への当面の対応 (厚生労働省, 7/29)
- 石綿が使用されている建築物等の解体等を行う作業現場に対する監督指導等の重点的な実施について (厚生労働省, 7/29)
- 建築物等の解体作業等における石綿のばく露防止対策等の掲示について (厚生労働省, 8/2)
- 石綿による健康障害に係る相談等の状況について (厚生労働省, 8/5)
- 石綿ばく露作業従事者労災認定事業場リストの公表について (厚生労働省, 8/9 更新)
》 MSDN TV: Writing Secure Code with Visual Studio 2005 (Microsoft)
》 900935 - How the Windows Update client determines which proxy server to use to connect to the Windows Update Web site (Microsoft)
》 IE7 (日本のセキュリティチームの Blog, 8/12)。 IE 7 beta 1 登場にあわせ、ドキュメントもいくつか公開されているそうです。
》 Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide (Microsoft)。サンプルスクリプトもあります。
》 Internet Week 2005。 今年もやるそうです。
■ 追記
- 2005 年 8 月のセキュリティ情報 サマリ
-
MS05-038 patch を個別ダウンロードできるようになったようです: MS05-038 セキュリティ更新プログラム公開 (日本のセキュリティチームの Blog, 2005.08.11)。
MS04-038 の「COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990」は、Microsoft Security Advisory (903144): A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit の話のつづきのようです。 マイクロソフト セキュリティ アドバイザリ (903144) / MS05-037 では Javaprxy.dll にしか対応されなかったけど、もともとの指摘文書 SEC-CONSULT SA-20050629-0 には
we found that at least 20 of the objects available on an average XP system either lead to an instant crash or an exception after a few reloads
とありました。 その残りが MS04-038 で修正されたようです。で、「COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990」 の攻略プログラムの完全版が公開されているようです (おおかわさん情報ありがとうございます):
また、MS05-041 についても攻略プログラムが公開されているようです (おおかわさん情報ありがとうございます)。
SPIKE というのは、Free Software (immunitysec.com) から入手できるもののことみたい。
■ 2005.08.10
》 NBLookup.exe コマンド ライン ツール (Microsoft)
-
- ウイルスバスター コーポレートエディション 6.5 トラブルシューティングガイド
- ウイルスバスター2005: 「Windows エラーが発生しました。NISDRV(01)+・・・」メッセージによりブルースクリーン(青い画面)になる。 Norton 先生が完全にアンインストールされていなかったために、ウイルスバスターとぶつかって青くなる事例。
》 [OFF2003] Office XP または Office 2003 ドキュメントを開くときに ActiveX コントロールにアクセス許可を設定するように求められる (Microsoft)
》 スパイウェアCoolWebSearchにご注意--米で大規模な個人情報盗難が発覚 (ZDNet, 8/9)。伊能さん情報ありがとうございます。 削除方法については CWShredderによるCoolWebSearchの除去 (アダルトサイト被害対策の部屋) を参照。
■
携帯向けインターネットブラウザScope - 情報漏洩問題まとめ
(OeNgrvZ4D6, 2005.08.04〜)
携帯向けインターネットブラウザ Scope の Mars (Build 0710.1; 郵政民営化) に欠陥があり、 pop3 ユーザ名・パスワード・pop3 サーバが HTTP Referer として漏曳してしまう。 この欠陥は Mars (Build 0710.1; 郵政民営化) で修正された……のはいいのだが、欠陥の存在および欠陥が修正された事実は開発元からは公開されていない。 さらに、開発元は欠陥が存在した事を執拗に隠蔽しようとしている。……という話。
匿名希望さん情報ありがとうございます。
■
2005 年 8 月のセキュリティ情報 サマリ
(Microsoft, 2005.08.10)
2005.08 版出ました。新作:
- Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038)
- プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)
- テレフォニー サービスの脆弱性により、リモートでコードが実行される (893756) (MS05-040)
- リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる (899591) (MS05-041)
- Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる (899587) (MS05-042)
- 印刷スプーラの脆弱性により、リモートでコードが実行される (896423) (MS05-043)
MS05-038 / 039 / 043 が「緊急」です。関連:
- Multiple Microsoft Vulnerabilities - August 2005
(ISS)
日本語版: Microsoft における複数の脆弱点 - 2005 年 8 月 (ISSKK) - Windows Plug and Play Remote Compromise
(ISS)
日本語版: Windows プラグ アンド プレイによるリモートからのセキュリティ侵害 (ISSKK)
MS05-041 は Update: New Windows XP SP2 vulnerability の話だと思われ。 また MS05-038 には [Full-disclosure] Compromising pictures of Microsoft Internet Explorer! の件が含まれています。
旧作の更新:
- Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023)。Microsoft Office Word Viewer 2003 にも影響するのだそうです。
- Microsoft エージェントの脆弱性により、なりすましが行われる (890046) (MS05-032)。旧版修正プログラムでは、64bit Windows 上の 32bit IE で kill bit が設定されなかったそうです。64bit Windows な方は再適用しませう。
non-security な……は、これなのかな:
先月までは Windows Update だったような気がするのですが、今見ると、 昔のものまで
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
になってますね。
MS05-038 patch を個別ダウンロードできない理由は 8 月のセキュリティ情報 (日本のセキュリティチームの Blog, 2005.08.10) に記載されています。
2005.08.12 追記:
MS05-038 patch を個別ダウンロードできるようになったようです: MS05-038 セキュリティ更新プログラム公開 (日本のセキュリティチームの Blog, 2005.08.11)。
MS04-038 の「COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990」は、Microsoft Security Advisory (903144):
A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit
の話のつづきのようです。
マイクロソフト セキュリティ アドバイザリ (903144) / MS05-037 では
Javaprxy.dll にしか対応されなかったけど、もともとの指摘文書
SEC-CONSULT SA-20050629-0
には we found that at least 20 of the objects available on an
average XP system either lead to an instant crash or an exception after
a few reloads
とありました。
その残りが MS04-038 で修正されたようです。
で、「COM オブジェクトのインスタンス化のメモリ破損の脆弱性- CAN-2005-1990」 の攻略プログラムの完全版が公開されているようです (おおかわさん情報ありがとうございます):
また、MS05-041 についても攻略プログラムが公開されているようです (おおかわさん情報ありがとうございます)。
SPIKE というのは、Free Software (immunitysec.com) から入手できるもののことみたい。
2005.08.13 追記:
MS05-039 攻略プログラム登場:
- http://www.frsirt.com/exploits/20050811.MS05-039.c.php (FrSIRT)
- http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php (FrSIRT)
- http://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php (FrSIRT)
これを受けて、eEye から警告文書とフリーの scan tool の配布が行われています。高宮さん情報ありがとうございます。
Handler's Diary August 12th 2005 (SANS ISC) に Bleeding Snort な snort signature 出てます。
Microsoft からも警告出ました: Microsoft Security Advisory (899588): Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588) (Microsoft)。
■ 2005.08.09
》 Mozilla 1.7.11 日本語版が出ています。 匿名希望さん情報ありがとうございます。
》 静岡新聞社の情報サイト、4万件以上の個人情報が流出していた (Internet Watch, 8/9)。
静岡新聞社は「不正アクセスが発生した当時も、ファイアウォールやセキュリティ修正プログラムなどは適用していた。しかし、SQLインジェクションなどの一部技術者が注目していた新しい攻撃手法についての対策には問題があった」とコメント。
SQLインジェクションは「新しい攻撃手法」じゃないし。
関連: 不正アクセスについて、現在までの経緯、不正アクセスによる個人情報流出について (静岡新聞社)。
》 ノーツメールを開くのが重い (マカフィー, 8/8)。VSE8.0i の話。回避方法が記載されている。
》 チェチェンニュース Vol.05 No.21 2005.08.09 A ポーランドの難民キャンプで (チェチェンニュース, 8/9)
》 マカフィー、サイバー犯罪実態調査レポートの日本語版を公開 (日経 IT Pro, 8/8)。 Virtual Crimonology Report Report 〜北米の組織犯罪とインターネットに関する調査〜(日本語版)ダウンロード (マカフィー) の件のようなのですが、
下段のリンクにあるプライバシーポリシーの内容をご確認下さい。
(中略)
お客様からご提供頂きました個人情報は、正当な理由のある場合を除き、マカフィー株式会社、またその業務委託先以外の第3者に提供することはございません。マカフィーオレオレ基準で「正当な理由」があれば第3者提供も ok ok なんですかねえ。
あと、とあるダウンロードリンクを直接参照すれば、個人情報を記入しなくても get できちゃうみたいなんですけど……。こういうのはマカフィーの伝統なんだろうか。
》 謝罪:黙とう記事で高野連に 毎日新聞社 (毎日, 8/9)。黙とう:甲子園で広島代表校が提案、高野連が制止 (毎日, 8/6) は誤報だったそうで。高橋さん情報ありがとうございます。
》 「住所や電話番号を聞き出そうとする偽電話に注意」——FedEx (日経 IT Pro, 8/8)
》 東欧のプログラマ事情 (佐々木俊尚の「ITジャーナル」, 8/1)
》 MSがMOM 2005 SP1をリリース,Windows Server 2003 SP1などに対応 (日経 IT Pro, 8/2)
》 【続報】2億5500万円の不正振り込みは専用端末によるものと判明 (日経 IT Pro, 8/8)
■
MySQL: ユーザ定義関数に関する欠陥
(various)
MySQL: Improper Filtering of Directory Traversal Characters in User Defined Functions (appsecinc.com)。 MySQL 4.0.25, 4.1.13, 5.0.7-beta で修正されているそうです。
MySQL: Buffer Overflow in User Defined Functions (appsecinc.com)。 MySQL 4.0.25, 4.1.13, 5.0.7-beta で修正されているそうです。
MySQL: Multiple Issues with User Defined Functions (appsecinc.com)。 まだ修正されていません。
■
いろいろ
(various)
■ 2005.08.08
》 ICMPの問題を修正するWindows XP SP2用パッチがダウンロードセンターで公開 (窓の杜, 8/8)。Windows XP SP2 のみに存在する問題みたいです。
》 迷惑メール撲滅に向けた取り組みと現状について (NTT ドコモ, 8/8)
》 「価格.com事件はウイルスを仕掛けられる典型的な例」米McAfee副社長 (Internet Watch, 8/8)
「現在デイリーアップデートを行なっているが、頻発するボットに対応するには、将来的には毎時アップデートを行なう必要があるだろう。ボットの繁殖スピードを超えていかなければならない」
毎時にしたところで勝てない戦いだと思うし。そろそろ「ウイルスデータの更新」という考え方自体を捨てる (少なくとも、主流ではないとする) べき時だと思うのですが……。
「現在ウイルス定義ファイルは6MBだが、将来的には倍の12MBになる可能性もある。12MBを毎時ダウンロードするのであれば、ブロードバンドの帯域を占有してしまう」
回線速度が 1Mbps あれば、1 分半ほどで get できるのでは。 ブロードバンドってどういう意味だろう。
》 迷惑メール業者の情報をISPで共有へ、総務省がガイドライン改訂案 (Internet Watch, 8/8)。元ねた: 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に係る意見募集 (総務省, 8/8)。パブリックコメント募集中 (〜9/8)。
》 アップル、「Intel Mac」にセキュリティチップ搭載 (CNET, 8/5)
》 修学社:2億円、無関係口座へ振込み ネットバンキングで (毎日, 8/8)。2 億円のない生活。 いやあ、恐いですねえ。伊能さん情報ありがとうございます。
》 滋賀県HPに不正アクセス 個人情報漏洩は不明 (産経, 8/5)。元ねた: 滋賀県「協働ネットしが」の運用サーバへの 不正侵入等について (協働ネットしが)。
原因
一時的に作成したテスト用のログインIDを放置し、また、そのログインIDおよびパスワードは、容易に推測可能なものでありました。orz
》 「失敗学」がしなやかで強い組織をつくる (日経 BP)。JR 東日本には「事故の歴史展示館」という施設があるのですか。
-
- 楽天市場の店舗での取引に係る個人情報の流出について(続報) (楽天, 8/6)
- 個人情報3万6239件、カード番号1万件──「楽天市場」店舗問題、大規模漏えいに (ITmedia, 8/7)
- 楽天の個人情報漏洩事件、被害件数が3万6000件に拡大--楽天以外の情報も (CNET, 8/7)
一方で、こんな話もあるそうで:
- 楽天の一部店舗でカード決済が10日以降不能に、流出対策で「対象外」と通告 (ITmedia, 8/5)
- 楽天の対応に関する疑問「誰のためのR-Card plus?」 (ケンコー・コム, 8/5)
楽天トラベル (旧「旅の窓口」) の件 (他社の躍進のおかげで少し緩和されたようだが) といい、今回の件といい、「かつてのマイクロソフト」を彷彿とさせるこのごろの楽天、だいじょうぶなのだろうか。
続報。
ビッダーズは「詳細未確認」──楽天店舗取り引き情報流出問題 (ITmedia, 8/8)
【特報】楽天に不正アクセスの痕跡--3000件超える顧客データが奪われる (日経 IT Pro, 8/8)
8月6日、3万6000件を超える顧客データの外部流出が明らかになった楽天で、この6、7月の2カ月だけで38件もの不正アクセスを受けていた可能性が高いことが本誌の取材で明らかになった。
これらのアクセスによって、3000件を超える個人情報がダウンロードされている。 (中略) 楽天では一連の顧客データ流出について「楽天内部でデータをダウンロードした痕跡はない」と説明してきたが、その調査過程で明らかになった不正アクセスの可能性が高いアクセスの存在については一切明らかにしていない。
》 医師ら5757人の個人情報流出 キリン、パソコン盗難で (産経, 8/8)。元ねた: パソコンの盗難による個人情報の流出について (キリンビール, 8/8)
》 Q&A 郵政民営化とは何だろう? (郵政民営化を監視する市民ネットワーク)。 匿名希望さん情報ありがとうございます。 さて、いよいよ採決らしいですが……。今週のヤマ場〜
……郵政法案:参院本会議で否決、総選挙の可能性強まる (毎日, 8/8)。予想以上に大差がついた感じ。
選挙日程は8月30日公示—9月11日投票が有力だ。
9.11 ですか。いよいよ公約どおり、自民党がぶっこわれる日がくるのか。
》 Bフレッツの企業利用を推進するオトナの配慮 (日経 IT Pro, 8/8)。正直者はバカを見るようで。
》 モスクワ(ロシア):空港での航空機乗換時における査証トラブル (外務省, 8/8)
》 シリーズ闇の正体「“交通安全協会費は不可解”の声」 (毎日放送, 8/4)。安全協会費は任意なので払わなくてもいいです。
今年6月、神戸市内の宴会場で、兵庫県安全協会の懇親会が開かれ、100人ほどの役員が一堂に会した。 立食の料理にビールやウイスキー。 テーブルごとに女性コンパニオンがつくという豪華さだ。 パンフレットによると、費用は1人1万円。
どう見ても交通安全運動とは結びつかないが、なぜか代金は全額協会が負担していた。どーせそんなことだろうとは思ってましたが、本当にそうでしたか。
関連: 警察の捜査用報償費、5年で6割減 都道府県警 (asahi.com, 8/6)
》 PCヘビーユーザーを襲う「マウス症候群」 (日経 BP, 8/5)。さぁみんな、ストレッチだ! (NHK)
》 中国産の冷凍うなぎ蒲焼きから使用禁止の合成抗菌剤が検出 (日経 BP, 8/5)
》 How to bypass windows Genuine Advantage Check on Windows XP (sinhack.net)。はじめての方にもできる、簡単な作業です。Lain さん情報ありがとうございます。
》 はてなの玉手箱:男の更年期って? (毎日, 8/7)
■ 2005.08.06
》 セキュリティ専門家のほうが問題な時もある (CNET, 8/5)。通知後 700 日経過しても直せない会社の人に言われては、たとえ正論だとしても説得力なさすぎだと思うのですが。
》 NEC、4個の電池でPCの停電時駆動に成功 (PC Watch, 8/5)。いくらくらいでできるんでしょうね。
》 黙とう:甲子園で広島代表校が提案、高野連が制止 (毎日, 8/6)
メッセージを伝えようとしたところ、高野連の田名部和裕参事が「原爆は広島だけのこと。この場でみんなを巻き込むのは良くない」と制した。
「原爆は広島だけのこと」ですか……。寂しいのう。
》 韓国政府による盗聴話。 金大中政権も盗聴を行っており、その中にはアナログおよびデジタル携帯電話の盗聴も含まれていたそうな。
- 国情院「DJ政権の4年間も盗聴・通信傍受あった」 (中央日報, 8/5)
- 【社説】私の携帯電話は安心できるか (中央日報, 8/5)
- 国家情報院「金大中政権も4年間盗聴続けた」 (朝鮮日報, 8/5)
- 国情院の不法盗聴、両金氏政権で組織的に行った 国情院が実態明かす (東亜日報, 8/6)
》 シャトル落下断熱材に亀裂、加工不良の可能性 (読売, 8/6)
》 性感染症:4コマ漫画で分かりやすく、予防啓発の冊子作成 (毎日, 8/6)。元ねた: 社会貢献活動プログラム STD予防啓発リーフレット「STOP STD」を制作、無料配布 (ロシュ・ダイアグノスティックス株式会社, 6/27)
》 エチゼンクラゲ:「過去最悪の大発生の恐れ」水産庁が警告 (毎日, 8/6)。これも中国発だからなあ。
■
いろいろ
(various)
Defeating Citi-Bank Virtual Keyboard Protection。 Citibank のって、たとえば citibank.co.uk と citibank.co.in とでは方式が違うっぽいので、指摘者がどこの話をしているのかいまいちわかんないですけど。
Vulnerability Note VU#973635: Some SSH servers on Microsoft Windows set insecure permissions for the host identification key file (US-CERT)。SSH Tectia や F-Secure SSH (って今では WRQ に買われていたんですね), VShell の Windows 版において、SSH サーバのホスト秘密鍵を local user なら誰でも読み出せてしまうという話。
■ 2005.08.05
》 お知らせ:お客様の情報の紛失について (富士通, 8/5)
弊社において、秋田県警察本部様、長野県警察本部様および石川県警察本部様のそれぞれの通信指令システムに関する情報(以下、本情報)を格納したノートパソコン(外部記憶装置を含む)を紛失しました。
オッオゥ。
紛失したノートパソコン(以下、紛失パソコン)に格納されている情報は下記に記すような技術情報であり、第三者には容易に理解できない情報になっています。したがいまして、紛失パソコンの拾得者が内容を理解できる可能性はきわめて低いため、悪用されるおそれは想定しにくい
「暗号化してあるので漏曳リスクは低い」などといった記述が一切ないところをみると、そういった種類の対策は何もされていなかったと考えるべきなのでしょうね。 また、なぜそんなデータの入った PC が「千葉県内の自宅マンション入口付近」にあったのか、についての記述が一切ないのも気になりますね。
》 VirusScanEnterpriseのミラータスクが失敗します (マカフィー, 8/4)。修正版を作成中だそうです。
》 国土交通省 河川局渇水情報 (国土交通省)。
現在、一級水系109水系のうち、5水系で取水制限を実施しています。2005/8/3
》 羽田空港における電源障害について (国土交通省, 8/3)
》 「Linuxカーネルのセキュリティが過去6カ月で向上」,米Coverityの調査 (日経 IT Pro, 8/4)。ふぅん。
》 Google Hack Honeypot というものがあるそうです。
■ 追記
- 秘文とSymantec AntiVirus、同一PCにインストールすると暗号ファイル破壊のおそれ
シマンテックの文書 http://service1.symantec.com/support/INTER/entsecurityjapanesekb.nsf/jp_docid/20050712145310949 (シマンテック) のタイトルが、「秘文で暗号化したファイルを開けない」から「データ暗号化プログラムで暗号化したファイルを開けない」に変化しています。またその対象として、秘文に加えて
- 富士通社製 System Walker Desktop Encryption 12.0
- 富士通ビー・エス・シー社製 FENCE-ProR 自動暗号パック全バージョン
が挙げられています。回避方法は同じです。 富士通からもこんな文書が:
- 夏休み前に対策を
Microsoft Security Bulletin Advance Notification (Microsoft) が更新されました。
セキュリティ更新は、Windows OS が 6 件登場。 最大深刻度は「緊急」で、再起動が必要。 Office や Exchange などには更新予定はない。
「悪意のあるソフトウェアの削除ツール」の更新版が登場。
Microsoft Update (MU), Windows Update (WU), Windows Server Update Services (WSUS), Software Update Services (SUS) 経由で「セキュリティ以外の優先度の高い更新プログラム」を 1 つリリース。
というわけで、なつやすみ前の宿題ですね。 ……マイクロソフト セキュリティ情報の事前通知 (Microsoft) も 2005.08 版になりました。
- Update Rollup 1 for Windows 2000 SP4 をインストールすると不安定になる事例
Update Rollup 1 for Windows 2000 SP4 の再リリースが計画されているそうです。 KB891861: Update Rollup 1 for Windows 2000 SP4 and known issues (Microsoft) Revision:10.0 より:
Known issues
After the release of Update Rollup 1 for Windows 2000 SP4, we identified several issues that may occur when you install this update rollup. These issues are isolated, and affect few customers. These issues are described in this article. This article also explains how to resolve these issues. If you are affected by these issues, we suggest that you do not install Update Rollup 1 for Windows 2000 SP4 until the corresponding hotfix is available. We plan to reissue Update Rollup 1 for Windows 2000 SP4 soon. Several hotfixes will be integrated into the new version of Update Rollup 1 for Windows 2000 SP4.ふつうの人は、再リリース版を待った方がよさそうですね。
- Kismet, Metasploit, CANVAS に欠陥
Metasploit は [framework] msfweb "refang" security update (metasploit.com) の話のようです。
- IBM ThinkPad X41 が外部から誰でもシャットダウンできる仕様について
ThinkVantage指紋認証ユーティリテイ− (Windows 2000/XP) - ThinkPad T42/T42p/T43/T43p/X41/X41 Tablet (IBM) の Ver.4.6.0 Build 1153 が出ています。水野さん情報ありがとうございます。 リリースレターより:
<4.6.0 Build 1153> -(修) リモートデスクトップ接続でシャットダウンボタンを無効化した。
■
大規模な「DNSキャッシュ汚染」攻撃の可能性--専門家が警鐘
(CNET, 2005.08.05)
Kaminskyによれば、インターネット上には900万台のDNSサーバが存在するという。同氏はそのうちの250万台について、Prolexic Technologiesの提供する高帯域接続を用いて調査した。その結果、調査の対象となったサーバのうち、23万台が潜在的に脆弱性を抱えており、また6万台はこの種の攻撃に対して無防備な状態に置かれている可能性が高く、さらに1万3000台は確実にキャッシュを汚染できる状態にあることがわかった。
うひゃあ……約 1 割ですか……。
■ 2005.08.04
》 「過去1年で推定300万人の米国人がカード不正使用被害,総額は27億ドル超」 (日経 IT Pro, 8/3)
》 「中高生に最先端のセキュリティ技術を」,経産省がセキュリティキャンプ2005 (日経 IT Pro, 8/2)
》 [OL2003] Outlook 2003 迷惑メール フィルタ更新プログラム (2005 年 7 月) について (Microsoft)
》 HPサイト「@MUSIC」不正アップロードについて (avex.co.jp, 8/4)。クラックされたそうで。 zone-h ミラー: http://atmusic.avexnet.or.jp/baltic.htm。
》 米Foundryのネットワーク製品をベースにしたワーム拡散防止ソリューション (Enterprise Watch, 8/4)
》 日経コンピュータ 2005.8.8 に武田圭史さんのインタビュー記事が出てますね。
》 コンピュータウイルス・不正アクセスの届出状況[7月分]について (IPA ISEC, 8/4)
》 情報セキュリティ対策ベンチマークシステムの公開について (IPA ISEC, 8/4)。なつやすみのしゅくだいかな。
》 iTunes Music Store、ようやく日本でも開始だそうで。最低価格 150 円はチト高いけど、CD 自体が入手困難な楽曲を容易に入手できるようなら歓迎だなあ。 遠藤響子さんの昔の楽曲とかあるとうれしいのだけど、どうなんだろう。
》 安明進・元北朝鮮工作員の証言は信用できるか? (河信基, 7/31)。このへんの話:
- 元工作員、衆院特別委で初の陳述「日本人14人を目撃」 (asahi.com, 7/28)
- 安明進氏、衆院拉致問題特別委で証言 (TBS, 7/28)
- 安氏の国会証言に、蓮池さん反論 「会ったことない」 (asahi.com, 7/29)
- 蓮池薫さん、元工作員の証言を否定 (TBS, 7/29)
■
Security and Protection in Windows Vista
(Microsoft)
逆に言うと、ここに書かれているのは、Windows XP 以前には存在しない (足りない) セキュリティ機能なわけですね。
■ 追記
- 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性
似たような指示は他にもいろいろあるのだそうで:
Google、読売新聞社、Mapion、Yahoo! JAPAN、ソフトバンク!BB、早稲田大学図書館、三洋電機、NEC、Oracle、マイクロソフトらがスパイウェア感染を招き金融被害をもたらしている可能性 (高木浩光@自宅の日記, 2005.08.01)。
関連: 信頼済みサイトゾーンを使わせない……? (水無月ばけらのえび日記, 2005.08.02)
茨城県、愛知県、和歌山県、愛媛県などの電子申請システム利用者がスパイウェア感染しやすい設定に変更している恐れ (高木浩光@自宅の日記, 2005.08.01)
どんなにセキュリティ機能を追加してもそれを設定で殺させる虫が湧いてくる (高木浩光@自宅の日記, 2005.08.02)
- Cisco Security Advisory: IPv6 Crafted Packet Vulnerability
-
関連:
- Comments on the Lynn Cisco Presentation (cryptome.org)。 オライリーが件のページをびりびり破いている現場の映像を流しているんですね。
- Michael Lynn: Cisco IOS Shellcode (JPGs) (cryptome.org)
- [Full-disclosure] taking their revenge @ cisco、 [Full-disclosure] Cisco CCO hacked。むふぅ。
- ルーター制御OSのバグを暴露した研究者に独占インタビュー(1) (WIRED NEWS)
■
夏休み前に対策を
(IPA ISEC, 2005.08.04)
ちなみに 8 月の Windows Update の日は 8/10 です。明日には概要がわかるのかな。
8. 休暇中に使用しないサーバーやマシンの電源を切る
下手に切るとエラーメールの山が築かれることがあるので注意しましょう。
なつやすみ関連:
- 長期休暇中のウイルス対策 (トレンドマイクロ)
2005.08.05 追記:
Microsoft Security Bulletin Advance Notification (Microsoft) が更新されました。
セキュリティ更新は、Windows OS が 6 件登場。 最大深刻度は「緊急」で、再起動が必要。 Office や Exchange などには更新予定はない。
「悪意のあるソフトウェアの削除ツール」の更新版が登場。
Microsoft Update (MU), Windows Update (WU), Windows Server Update Services (WSUS), Software Update Services (SUS) 経由で「セキュリティ以外の優先度の高い更新プログラム」を 1 つリリース。
というわけで、なつやすみ前の宿題ですね。 ……マイクロソフト セキュリティ情報の事前通知 (Microsoft) も 2005.08 版になりました。
■
JPRSがDNSサーバの不適切な管理による危険性解消のための取り組みを開始
(JPRS, 2005.08.04)
VISAドメイン問題 のような状況の発生を防止するための取組が開始されるようです。Suzuki さん情報ありがとうございます。
取り組みの端緒として、まずは、不適切なDNSサーバ設定の調査を行い、該当する登録者の方々への連絡を来週より開始します。
すばらしい。でも JPRS なので、対象は .jp ドメインに限られると思われ。 .com とかを持っている人は自分でなんとかしましょう。
■
Hiki Advisory 2005-08-04
(Hikiwiki.org, 2005.08.04)
Hiki 0.8.0 〜 0.8.2 に欠陥。ページ名に関する除染処理が行われていない個所があり、スクリプトの注入が可能。さらに、特定のクエリーによって設定ファイルが消える不具合があり、これらを組みあわせると、攻撃者が任意の設定を行うことが可能。
Hiki 0.8.3 で修正されている。
関連:
■ 2005.08.03
》 チンパンジー:パンくんの興行 種の保存法違反で聴取へ (毎日, 8/3)。繁殖目的だったのか……。
》 Blach Hat USA 2005 - 攻撃のターゲットはOSからウイルス対策ソフトの脆弱性へ (MYCOM PC WEB, 8/3)。ISS には Witty worm という前例があるからなあ。
-
- ウイルスバスター2005 インターネット セキュリティ プログラムバージョン12.3 公開のお知らせ (トレンドマイクロ, 8/3)。 8/11 公開予定。
- InterScan Web Security Suite 1.01 Windows版 Patch 3 公開のお知らせ (トレンドマイクロ, 8/3)。8/10 公開予定。
- InterScan VirusWall for UNIX 3.6 AIX版/HP-UX版 Patch 1公開のお知らせ (トレンドマイクロ, 8/3)。8/10 公開予定。
- サポート終了予定製品のお知らせ(2005年01月〜2005年12月) (トレンドマイクロ, 8/3)
》 製品Q&A(トラブルシューティング) (トレンドマイクロ) に、Windows Server 2003 SP1 話がいっぱい出てきてます。
関連: Microsoft Windows Server 2003 Service Pack 1への対応について (トレンドマイクロ)
■
いろいろ
(various)
[Full-disclosure] iDEFENSE Security Advisory 08.02.05: CA BrightStor ARCserve Backup Agent for MS SQL Server Buffer Overflow。CVE: CAN-2005-1272
CA から: Computer Associates BrightStor ARCserve Backup Agents buffer overflow vulnerability (CA)。patch あります。
unzip TOCTOU file-permissions vulnerability。 CAN-2005-0953, CAN-2005-0988, CAN-2005-1111 と同様の欠陥が unzip 5.52 以前にもあるという指摘。
FreeBSD-SA-05:18.zlib - Buffer overflow in zlib。 zlib 1.2 系列に buffer overflow する欠陥があるという話。 CVE: CAN-2005-1849。 zlib 1.2.3 で修正された CAN-2005-2096 とは別の話。
FreeBSD-SA-05:19.ipsec - Incorrect key usage in AES-XCBC-MAC。 認証に利用される AES-XCBC-MAC アルゴリズムの実装に欠陥があり、偽パケットを使って認証を通り抜けることが可能な模様。patch があるので適用しましょう。 CVE: CAN-2005-2359
[SA16225] Ethereal Multiple Protocol Dissector and zlib Vulnerabilities。 Ethereal 0.8.5 〜 0.10.11 に欠陥があり 0.10.12 で修正されたそうで。
[SA16210] Microsoft Windows Unspecified USB Device Driver Vulnerability
R-4 をご使用のお客様へ 重要なお知らせ: R-4 のプロジェクト名に関するご注意 (ローランド)。こういう条件でブルーサンダーになることがるのだそうです。 力武さん情報ありがとうございます。
■
ハンズフリーの欠陥突き、車載Bluetoothに侵入の可能性
(ITmedia, 2005.08.03)
Car Whisperer (trifinite.org) の話。 こういうのって、日本国内でも多いんですかねえ。
trifinite.stuff にはこの他にも bluetooth ねたがいっぱい。
■ 追記
- 公衆無線LANサービスの落とし穴---偽アクセスポイントに気を付けろ
対応策としては、JPCERT/CC REPORT 2005-08-03 (JPCERT/CC) の「今週の一口メモ: 名前解決に注意 その4」 が参考になります。
このようなネットワーク環境においては、名前解決を用いずに (あらかじめ記録していた) IP アドレスを直接使ってサーバにアクセスする、または IP アドレスで (IPSec などで相互認証された) VPN 接続を行ない、その VPN 環境でインターネットを利用する等の方法が推奨されます。
自組織に VPN 設備を用意、公衆無線 LAN からは IP アドレス直打ちで VPN に接続し、それを使う、と。
■
Kismet, Metasploit, CANVAS に欠陥
(SANS ISC, 2005.08.02)
DefCon 13 で、Kismet, Metasploit, CANVAS に欠陥があるゼ話が出ているようです。詳細はよくわからないけど……。 Kismet については対応中である旨が web page に示されています。 関連: DefCon Day 2: Patching Your Hacker Toolkit (Washington Post)。
ExploitTree とかはだいじょうぶなのかなあ。
2005.08.05 追記:
Metasploit は [framework] msfweb "refang" security update (metasploit.com) の話のようです。
2005.08.23 追記:
Kismet は 2005-08-R1 で対応されたようです。
■ 2005.08.02
》 羽田空港停電 人為ミスも (NHK, 8/2)。
通常、非常用のバッテリーが作動すると、空港事務所の監視室に表示が出るほか、警報音が鳴りますが、2日は、工事のため午前9時ごろから監視装置の電源が切られていたということです。作業が終わって電源が入れられた時、バッテリーが作動していることを示す表示が出たということですが、監視室の職員は工事の影響による誤った表示と思い込んでいたということです。監視室には工事が終わったことが伝えられていなかったということで、
「思い込み」は恐いですねえ。
》 国内ネット銀を狙うスパイウエア---自宅パソコンで乱数パスワード使っても被害 (日経 IT Pro, 8/3)
》 現場担当者がホンネで語る「セキュリティ対策,ここが課題」 (日経 IT Pro, 8/2)
》 東京都が震度情報の送信遅延を改善,8月末までに半分以下に短縮 (日経 IT Pro, 8/2)
》 「楽天市場とAMCのどちらから流出したかは不明」センターロードが見解 (Internet Watch, 8/2)
》 パソコンユーザのためのスパイウェア対策 5 箇条 (IPA, 8/2)
》 Microsoftの海賊版対策プログラムWGAが早くも破られる (日経 IT Pro, 8/1)。 Boing Boing: Microsoft "Genuine Advantage" cracked in 24h: window.g_sDisableWGACheck='all' (boingboing.net) の話。
》 当協会のWebサーバへの不正アクセスと改竄について経過報告 (私情協, 6/15)。本田さん情報ありがとうございます。
》 みずほ銀行、ソフトウェアキーボードの提供などでスパイウェア対策 (Internet Watch, 8/2)。ショルダーハックには弱そうだなあ。 元ねた: 「みずほダイレクト」のセキュリティ対策について (みずほ銀行, 8/1)
ソニー銀行でも似たようなことをはじめたそうで: スパイウェア等による不正利用防止のための機能追加について (ソニー銀行, 8/1)。 小出さん情報ありがとうございます。 ソニー銀行では「1日あたりの振り込み限度額」を 1 万円単位で自由に設定できるようにもなったそうです。既定値の「1000 万円」は、ふつうの人にはいささか多いと思うので、ソニー銀行利用者は変更しておいた方がよろしいかと思います。
-
- 速やかに「iPod課金」を——音楽関係7団体が強く要望 (ITmedia, 7/28)
- 「iPod課金」への一家言 (ITmedia, 8/2)
一方こちら↓は、少しはまともな方向に行っているみたい:
- デジタル放送のコピワン番組、運用見直しへ (ITmedia, 7/29)
- 地上デジタル放送の利活用の在り方と普及に向けて行政の果たすべき役割: 情報通信審議会から第2次中間答申 (総務省, 7/29)。本文 p.35 あたり。
》 disk 故障のため、03:00 ごろから www.st.ryukoku.ac.jp が停止していました。 現在は暫定的に稼働していますが、14:00 ごろからメンテナンスのため停止させる予定です。
……とりあえず対応完了しました。
■ 追記
- Cisco Security Advisory: IPv6 Crafted Packet Vulnerability
-
Ciscoの脆弱性騒動がもたらしたもの (ITmedia, 2005.08.02)
Techdirt.comは、セキュリティ脆弱性を隠すCiscoのやり方が裏目に出たと指摘している幾つかのブログの1つだ。リン氏を沈黙させるための取られたこの極端な措置は、皆に「Ciscoは本当にこの問題を心配している」と確信させただけだったとこのブログには書かれている。
確かにそうだよねえ。当該プレゼン資料を見る限りでは、Cisco の反応は overkill だと思うし。
■ 2005.08.01
-
- 楽天市場の店舗での取引に係る個人情報の流出について【今後の対応策】 (楽天, 8/1)
- 楽天、全店舗をカード決済代行サービスに強制加入へ (日経 IT Pro, 8/1)
- 楽天、顧客情報管理体制を一新:三木谷社長がセキュリティ本部長に (CNET, 8/1)
- 楽天市場の会員情報管理を強化 店舗とカード番号情報を遮断へ (ITmedia, 8/1)
- 楽天市場が個人情報の管理体制を変更、カード番号を店舗側に非開示へ (Internet Watch, 8/1)
》 自殺:自民党の永岡洋治衆院議員、東京の自宅で首つり (毎日, 8/1)。郵政国会、ついに死者ですか。 永岡議員のホームページ、 トップページは見れなくなってるっぽいですが、プロフィールとかはまだ見れますね。
》 原爆症1号カルテ:英訳の報告書発見 症状経過克明に、 原爆症1号カルテ:記述の医師、未知の症状に衝撃 (毎日, 8/1)。
》 BSE牛:検査体制の米国と日本との格差示す 農水省 (毎日, 8/1)
》 鳥インフルエンザ:シベリアで流行 3100羽以上感染死 (毎日, 8/1)
》 《 ESPIO! 》NHK番組改編問題と公安調査庁。 関連:
- 自民役員、本社への取材対応自粛 NHK巡る月刊誌問題 (asahi.com, 8/1)
- 朝日新聞のわが党に対する取材「自粛」求める 取材資料流出問題受け朝日新聞問題報道PT (自民党, 8/1)
- 朝日は取材自粛を 自民が通知 (NHK, 8/1)
》 関東の震度5強で露呈した携帯電話の弱点 (日経 IT Pro, 8/1)。 ずいぶん前からケータイ乗りかえを検討中なのだが、 au の CDMA 1X WIN にしとこうかなあ。
》 “フィッシング時代”のメール「べからず」集 (日経 IT Pro, 8/1)
》 「安全なクルマ」を再考する!: “本当の安全”はショールームを見れば分かる (日経 BP, 7/15)。なるほど……。
》 その災害対策は機能しない (日経 BP)
》 大塚商会、証券・金融業向け「本人認証システム構築サービス」を開始 (ZDNet News, 8/1)。 元ねた: オンライントレーディングサービスを提供する証券業、金融業向け 「本人認証システム構築サービス」の提供を開始 —ワンタイムパスワード認証によりセキュリティ強化を支援— (大塚商会, 7/28)。 SecurID ねた。伊能さん情報ありがとうございます。
》 第0回LIDS勉強会のご案内 (selinux.gr.jp)。2005.09.03、東京都千代田区、500 円。 面さん情報ありがとうございます。
■
公衆無線LANサービスの落とし穴---偽アクセスポイントに気を付けろ
(日経 IT Pro, 2005.07.29)
ではどうすればよいかというと、(つづきは水曜日)
2005.08.03 追記:
対応策としては、JPCERT/CC REPORT 2005-08-03 (JPCERT/CC) の「今週の一口メモ: 名前解決に注意 その4」 が参考になります。
このようなネットワーク環境においては、名前解決を用いずに (あらかじめ記録していた) IP アドレスを直接使ってサーバにアクセスする、または IP アドレスで (IPSec などで相互認証された) VPN 接続を行ない、その VPN 環境でインターネットを利用する等の方法が推奨されます。
自組織に VPN 設備を用意、公衆無線 LAN からは IP アドレス直打ちで VPN に接続し、それを使う、と。
■
Cisco Security Advisory: IPv6 Crafted Packet Vulnerability
(cisco, 2005.07.29)
先日から話題だった件の話。
Cisco IOS / IOS XR に欠陥。IPv6 パケットの処理に欠陥があり、攻略 IPv6 パケットによって任意のコードを実行可能。 IPv6 に対応していない IOS、あるいは IPv6 を無効にした IOS ではこの欠陥は影響しない。修正版が準備されつつある模様。
関連:
日本語版: Cisco Security Advisory: IPv6 Crafted Packet Vulnerability (Cisco)。更新が遅いので、最新の状況は 英語版を参照されたい。
Michael Lynn's controversial Cisco security presentation (boingboing.net)。問題のプレゼンテーション資料へのリンク……の中身が、なにやら興味深いものに。
関連: シスコのIOS脆弱性問題で新たな動き--ISS、情報公開サイトに停止命令 (CNET, 8/1)
Cisco IOS におけるリモートからのコード実行手法 (ISSKK)
Black Hat USA 2005 - CiscoのIOSに脆弱性、セキュリティ研究者が職を辞して公開 (MYCOM PC WEB, 7/29)
FBI、ルーター制御OSのバグを暴露した研究者を捜査中(上) (WIRED NEWS, 7/29)
2005.08.02 追記:
Ciscoの脆弱性騒動がもたらしたもの (ITmedia, 2005.08.02)
Techdirt.comは、セキュリティ脆弱性を隠すCiscoのやり方が裏目に出たと指摘している幾つかのブログの1つだ。リン氏を沈黙させるための取られたこの極端な措置は、皆に「Ciscoは本当にこの問題を心配している」と確信させただけだったとこのブログには書かれている。
確かにそうだよねえ。当該プレゼン資料を見る限りでは、Cisco の反応は overkill だと思うし。
2005.08.04 追記:
関連:
- Comments on the Lynn Cisco Presentation (cryptome.org)。 オライリーが件のページをびりびり破いている現場の映像を流しているんですね。
- Michael Lynn: Cisco IOS Shellcode (JPGs) (cryptome.org)
- [Full-disclosure] taking their revenge @ cisco、 [Full-disclosure] Cisco CCO hacked。むふぅ。
- ルーター制御OSのバグを暴露した研究者に独占インタビュー(1) (WIRED NEWS)
■
Microsoft Office 2001 for Mac セキュリティ更新プログラム (9.0.6)
(Microsoft, 2005.07.27)
Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033) で示されているのは Microsoft Office 2001 for Mac セキュリティ更新プログラム (9.0.5) なのだが、 これをさらに更新する修正プログラムみたい……なのだけど、何が変わったのかよくわからない。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について