Last modified: Wed Jan 10 15:18:17 2024 +0900 (JST)
》 サン、セキュリティ問題だらけのマイクロソフトに挑戦状 (CNET)。そんなこと言ってる暇があったら、とっとと sadmind や sendmail 用の patch 出してほしいんですけど。
》 強いWindowsの基本 (seshop.com)。Security Solution 2003 には SE のブースはあるのかな? ここはやっぱり著者サイン入り本 200 冊平積みだと思うのだが (高さ何メートルかな)。 気分はヴィレッジ・ヴァンガード。
》 Microsoft Security Summit 2003、2003.10.22〜24、東京ビッグサイト。 Security Solution 2003 にあわせたイベントのようですね。
Security Solution 2003 では セキュリティ・アカデミー というのもあるそうで。Security Solution 2003 って、もしかしてコストパフォーマンス高いですか? (併設イベントで喋る人間がそういうこと言うなよ…… > 俺)
小ネタも直接リンクできるようにしてみた。 》 をクリックする。 デザイン的にいまいち感がぬぐえないのがあれなのだが (ごめんなさい)。 もうちょっと悩んでみるつもり。
list-style-type: none にして ● とか ■ を使う、というテもあるのだけど、そうすると w3m で見たときにちょっとアレなのですよね (》でもアレだけど)。 table を使うというテもあるけど、source がアレになるのでできればやりたくないし。 まあ、blog ツールとか使うべきなんですけどね。
》 Windows Update 総合情報 (Microsoft) ができています。
》 CM Do more with less (Microsoft)。 この CM の最後が、最近では「あなたのPCを守るために、Windows Updateを利用してください」になっているんですかね。見たことがないのでよくわからないのだけど。protect your PC バージョンも web に載せられないのかなあ > Microsoft。
関連: あのCM、もう見ましたか?:セキュリティアラート、今週のアクセストップ10(8月24日〜8月30日) (ZDNet)。 タバコ CM との類似性ですか。確かに。Windows Update や ICF を push する 30 秒 CM、なんてのがあればずいぶん違うのだろうけど。
》 SUS の構築の実際 (monyo.com)。 ローカルポリシーを使う場合の手順は、学内向けに書いてみたりしたものがある。サーバアドレスを各自のものに読みかえていただければよろしいかと。なお、Windows 2000 SP4 だと wuau.adm の中身がちょっと違うのですが、そこがまだ書けてません。 Windows XP SP1 でも Windows 2000 SP4 と同じ内容になることがあるらしいのですが、手元の Windows XP SP1 では確認できていないんですよね。謎。 (link fixed: 安藤さん感謝)
Windows Server World 2003.11 の「解題マイクロソフトサポート技術情報」(p.136) にも SUS 関連の興味深い情報がありますね。SUS をインストールしようとしている人にはすごく役に立つと思います。 こういうあたりも、SUS 2.0 で改訂されるとうれしいのですけどね。
……[Security]SUS の構築の実際(MONYO-COM)(だめだめ日記経由) 11:11 (Rlyehの日記) に Windows 2000 SP4 な話があります。学内向けのやつにも、今日中に追加しておくかなあ。
》 [aml 35898] 遺棄毒ガス・砲弾被害者の証言集会。 2003.10.02 早稲田大学、2003.10.05 キャンパスプラザ京都 (京都駅前)。
》 G5 ソリューションフェア レポート (Mac お宝鑑定団)。 セキュリティ系の話題もすこしあります。オープンソース、はいいんだけど、ちゃんと還元してよ > Apple。
》 [RELEASE] GenXE - Generate Xss Exploit。 Liu Die Yu 氏によるもの。
》 銀行初の指紋認証カード 東京三菱、来年度導入へ (京都新聞) だが、グミ指対策がされていないと、ATM のタッチパネル上に残った指紋からグミ指を作って攻撃する、というシナリオが成立しそうな気が。この場合、「強いパスワード」よりもよっぽど弱くなってしまうだろう。銀行なんだから、グミ指でダマされるような安物は使わないだろうとは思うのだが……。
米MS、とんだお粗末-重大な脆弱性用のパッチが役に立たず 話。ガンガン使われている模様。 Microsoft は「Windows Update せよ」とは言うが、「IE は穴ボコだらけなので、現状では XX して回避してくれ」とは言いませんね……。
関連記事: IEの脆弱性を悪用したAIM/ダイヤルアップ攻撃について警告 (ZDNet)。
OpenSSL 0.9.6j / 0.9.7b を含む、OpenSSL および SSLeay の全バージョンに 3 つの欠陥。 2 つの欠陥により DoS 攻撃が可能となり、1 つの欠陥により特定の状況における任意のコードの実行が可能になるという。ただし、任意のコードの実行が可能となる欠陥 (CAN-2003-0545) は OpenSSL 0.9.7 にのみ存在する。DoS 欠陥は 0.9.6 / 0.9.7 に共通して存在する。
OpenSSL Security Advisory [30 September 2003] Vulnerabilities in ASN.1 parsing によると、こんな感じ:
パーサに無効であるとして破棄される、 特定の ASN.1 エンコーディングが、対応するデータ構造を廃棄してしまい、スタックが破壊されるという欠陥の引金になる。 これは DoS 攻撃に利用できる。攻撃コードの実行が可能になるかどうかは不明。 この問題は OpenSSL 0.9.6 には影響しない。
NISCC Vulnerability Advisory 006489/OpenSSL: Vulnerability Issues in OpenSSL では、理論的には攻撃コードの実行が可能、としている。
ふつうではない ASN.1 タグ値が、特定の条件における領域外読み込みの原因となり、DoS 攻撃が成立。
公開鍵デコードエラーを無視するように設定してある場合 (通常は無視しない)、 証明書中の奇形の公開鍵により検証機構をクラッシュさせられる。 やはり DoS 攻撃が成立。
CVE: なし
この 3 つの欠陥に加えて、SSL/TLS プロトコルの処理に欠陥があり、 クライアント証明書を要求していない場合でもクライアント証明書を処理してしまうという。これにより、OpenSSL を利用する全ての SSL/TLS サーバは、クライアント認証を行っていない場合でも上記の 3 つの欠陥に影響されてしまうと。 SSL なサービスを提供しているサイトは要注意。
OpenSSL 0.9.6k / 0.9.7c で修正されている。
OpenSSL: OpenSSL Security Advisory [30 September 2003] Vulnerabilities in ASN.1 parsing。
Red Hat Linux:
Debian GNU/Linux: [SECURITY] [DSA-393-1] New OpenSSL packages correct denial of service issues
Turbolinux: Turbolinux Security Advisory TLSA-2003-55
Vine Linux: [ 2003,10,03 ] openssl にセキュリティホール
OpenBSD: DoS bugs in OpenSSL
NetBSD: NetBSD Security Advisory 2003-017: OpenSSL multiple vulnerabilities
Cisco: Cisco Security Advisory: SSL Implementation Vulnerabilities。
Mac OS X: Mac OS X 10.2.8 で fix されている。 Apple Security Updates 参照。
日立 Hitachi Web Server: HS03-007。問題がある、ことしか示されていないようだ。
OpenSSL Security Advisory [30 September 2003] Vulnerabilities in ASN.1 parsing が登場したので、これに関連する記述を追加。 Cisco Security Advisory: SSL Implementation Vulnerabilities 追加。「関連記事など:」を追加。
CERT Advisory CA-2003-26 Multiple Vulnerabilities in SSL/TLS Implementations (CERT/CC) (LAC 邦訳版)、 Vendor Status Note JVNCA-2003-26: SSL/TLS の実装に複数の脆弱性 (JPCERT/CC JVN) を「関連記事など」に追記。
Vine Linux: [ 2003,10,03 ] openssl にセキュリティホール を追加。
fix / patch: に FreeBSD Security Advisory FreeBSD-SA-03:18.openssl、 OpenBSD: DoS bugs in OpenSSL を追加。 関連記事など: に New OpenSSL remote vulnerability (issue date 2003/10/02) (ebitech.sk) を追加。
fix / patch: に NetBSD Security Advisory 2003-017: OpenSSL multiple vulnerabilities を追加。
fix / patch: に Mac OS X、Hitachi Web Server、Opera の情報を追記。
元ネタは、penetration technique research site の Microsoft Internet Explorer %USERPROFILE% Folder Disclosure Vulnerability だと思います。Yoshida さんの報告は Windows 2000 + IE 6 SP1 ですが、 Microsoft により Windows Me / NT 4.0 / 2000 / XP / Server 2003 でも同様の問題が発生することが確認されました。また Windows Server 2003 の場合は、 プロファイルフォルダ以下だけでなく、任意のディレクトリとファイルにアクセスできてしまうのだそうです。改悪ですか…… (T_T)。
Windows Server 2003 に限り上記の動作以外にも、任意のディレクトリとファイルにアクセスすることが可能になります。しかし、同じような制限により、ファイルへのアクセスしか許可されません。任意のディレクトリとファイルにアクセスできる動作は将来のサービスパックで修正される予定です。
この文章だと、プロファイルフォルダ以下にアクセスできてしまう問題については永遠に修正されない、と読めるなあ……。
かねこさん情報ありがとうございます。
Yoshida さんから (ありがとうございます):
KB829493ですが、これは私のadvisory07とは似ていますが別の問題です。
アドバイザリの公開については、今もMSと打ち合わせをしている最中です。
失礼しました。_o_
Microsoft Windows Server 2003 "Shell Folders" Directory Traversal Vulnerability 。
32 ドットビットマップフォントの無断複製について 話。直接的営利行為 (フォント自体を売る) でなければ、日立製作所と契約を結ぶことによりフォントの添付・再配布が許諾される模様。
「日立グループ全体を考えると,グループ全体でLinux事業を推進している上,経済産業省が主体となってLinuxを推す動きもある。これらを総合的に捉えて,問題のフォントの利用を一律に禁止したり,ライセンス料金を課することはしないことにした」(日立プリンティングソリューションズの小池氏)
オリジナル: フォントの権利侵害について (hitachi-ps.co.jp)。
Linuxにおける使用について
当フォントのLinuxでの流用に関しては、両社に無断で使用されておりますが、Linuxシステムの振興活動を考慮し、これに協力するため、限定した範囲での使用を認めることにいたします。使用を希望される方は、下記にお申し出ください。
え゛? Linux だけですか?! 他のフリー OS はステだと。
関連: [FreeBSD-users-jp 76554]。 他のフリー OS も ok のようです。本当によかった (ポリアンナ)。 あくまでも「対象となるフォントの製作者」と日立との間の契約で、そのようにできるようになる、もののようです。 また非営利利用のみの許諾なので注意が必要です。
まあ kochi-alternative もあるのですが、たとえば最近 Linux Linux と叫んでいる go.jp 方面がこういうところに投資して、成果物をフリーで公開してしまうというような活動が望まれているのではないかと。
関連: 渡邊フォント問題、非商用限定の無償利用可で解決へ (slashdot.jp)。
サイード氏追悼関連:
NHK BS-1 でサイード氏な番組の再放送があるそうです。 2003.09.29 (って今日じゃん) 21:00-21:50 『BSプライムタイム サイード「イラク戦争」を語る』。
邦人が集団買春か、中国紙報道の波紋 (TBS)。 消えた時用のキャプチャ版。 中国方面で話題になっているそうで。 紅い人達がまた騒ぎ出したりするのかも。 関連:
中国政府は、福岡の一家殺人事件などをめぐり、日本のメディアで中国人の犯罪が大きく扱われていることを問題視している。今回の集団買春事件を契機に、逆に「日本人の品性」を問題にし、国際社会で日本人のイメージを落とすことを狙っている模様だ。したがってこれから当分、事件が中国メディアによってキャンペーン的に報じられる可能性もある。
一方で、日本で中国人の犯罪が増えている問題について、中国のメディアはまったく報じていない。
銀行初の指紋認証カード 東京三菱、来年度導入へ (京都新聞)、東京三菱銀、指紋認証の新型IC搭載カード (日経)。 銀行なんだから、グミ指でダマされるような安物使ってないよね? > 東京三菱。
[email protected] 。Java による web application firewall。
WebApp への攻撃は見つけられるのか? (ヽRノ日記)。
ProScanアンチウイルス (promark-inc.com)。カスペルスキーエンジンを利用したオリジナル製品の模様。UNIX 用。 佐藤さん情報ありがとうございます。 しかしこのページ、JavaScript を有効にしないとロクに読めませんね。
Microsoft トラブル・メンテナンス速報 (Microsoft)。 ドライバまわりのトラブルは、なくなりませんねえ。 こういう状況を完全に駆逐するのは不可能だろうから、各 OEM ベンダー自身が Windows Update サイトを設置できるようにするべきだと思うんだけどなあ。
Microsoft ヘルプデスク。いつのまにか https:// なページへのリンクが用意されているんですね。飛び先は、https://www.microsoft.com ではなく https://s.microsoft.com になっていますね。
http://www.pandasoftware.jp/。 Panda Antivirus Titanium、無料評価版があるんですね。 って、評価できるのは英語版なのかな。
818742 - Microsoft Configuration Capture ユーティリティ (MPS_REPORTS) の概要 (Microsoft)。 便利なのかな。
Windows 2000 SP4 ねた KB:
ようやくこういう KB が出てくるところを見ても、Service Pack は 3 か月は寝かせるべきかな、という気がする。 もっとも、重要な security fix が SP でしか得られない、なんて場合もあるわけで、なかなかむつかしいものがある。
“厳しすぎる”反スパム法に違憲訴訟の可能性 (ZDNet)。うーむ。 一方で、スパム対策サイト、DoS攻撃受けて停止 (ZDNet) なんて話もあるようで。
「MSBlast関連」で新たに未成年者逮捕 (ZDNet)。
渦中の元@Stake幹部、報告書の意図を語る (ZDNet)。
ギア氏は、今回の報告書の意図は、その題名とは裏腹、@Stakeに金を払っている顧客であるMicrosoftの信用を傷つけようとしたものではないと強く主張している。
本当にそう思っているのなら、もっと言葉を選ぶべきだったと思う。
Microsoft Java VM は来年以降は穴がみつかっても直されない話 (p.11)。 アンインストールツールの提供って、どうなってるんだろう。 関連: Microsoft VMのサポートは2003年末まで,求められるアンインストール機能。
Windows プリインストール PC への hotfix プリインストールねた (p.15)。 NEC と SONY は、秋モデルから「緊急」と「重要」は全て適用して出荷するそうで。富士通、東芝、エプソンもいくつかの hotfix をプリインストールするそうで。 SONY は 2001 年秋以降、富士通は Windows 95 時代から既にやっていたそうで。 その一方で、HP や DELL、IBM はほとんど動きがないようで。
でもこういう話って、各社の web ページからは読み取れないようですね。
生物兵器攻撃に対処、陸自が偵察車導入へ (読売)。
全然関係ないのだけど、そういえば、 【全通甲板】海自13500t型DDH13【対潜艦!?】 (2ch.net) というスレがあったのだった。 1 万トン越えてるのに駆逐艦って言うのはちょっとなあ。
平成15年度 事前の事業評価 政策評価書一覧 (防衛庁) を見ておくべきなのかな。
JR中央線工事、8時間遅れ終了 配線ミスで信号故障 (asahi.com)。
JRは「こんな事態は予想できなかった。しかし、すべての乗客をそもそもバスに振り返るのは無理。バス輸送は補完的なもので、隣接する私鉄に回って、と前からお願いしていた」と説明した。
驚愕。なんと想像力に欠けた組織なのだろう。
MS批判の報告書を作成した@Stake社員解雇 (ZDNet)。 CCIA の CyberInsecurity: The Cost of Monopoly -- How the Dominance of Microsoft's Products Poses a Risk to Security (「MSの独占がセキュリティを脅かす」——業界団体が報告, ZDNet) 関連話の模様。Daniel Geer 氏はいちばん上に名前が出てますしねえ。
関連: そんなに恐い? MS批判で解雇 (slashdot.jp)。
朝鮮人が2ちゃんねる攻撃をたくらんでいます (pc.2ch.net)。 なんだかなあ。
ゲートウェイにおけるウイルス対策製品「InterScan VirusWall」の製品戦略発表 〜「InterScan VirusWall」を2製品構成に〜 (トレンドマイクロ)。お求めやすい版が登場する、ということなのかな。
Kaspersky Labs Takes Advantage Of The Recent Microsoft Acquisition [09/26/2003] (kaspersky.com)。 RAV から Kespersky への移行が進んだりするのかなあ。 玉岡さん情報ありがとうございます。
平成15年9月26日 釧路沖を震源とする地震について(H15年9月26日 18:00現在) (防災情報のページ)。
エドワード・サイード氏が亡くなられたようです。 ご冥福をお祈りいたします。 アクビさん情報ありがとうございます。
ここはやっぱり、『パレスチナ 響きあう声 〜E.W.サイードの「提言」から〜』を NHK スペシャル枠で放映しナイトだめでしょう > NHK。 参照: [aml 35567]。 「集大成」にも期待したいところです。
講習会/セミナー 資料 (port139.co.jp) で「Windows Server 2003への攻撃と防御」 と「Windows環境におけるセキュリティ 〜攻撃とその対策について〜」が公開されています。
「Windows Server 2003への攻撃と防御」 の p.44 で「ウォー・ゲーム」と「スニーカーズ」が紹介されていますね。 ちなみに、どちらにも Lawrence Lasker 氏と Walter F. Parkes 氏が脚本として参加しています。 確認したい向きは、たとえば スニーカーズ (goo 映画) あたりを。 まともな映画はまともな脚本から。
「ウォー・ゲーム」の評は、やっぱり神林長平氏のそれ (@ SF イズム) がいちばん鋭いと思う。どこかで再読できないのかなあ。 あの文章には雪風な観点からも重要な記述が記載されている、と私は思うのだが。
神林長平氏のそれは「リアルワールド——神林長平のTOOL BOX」のようです。 『戦闘妖精・雪風解析マニュアル』に採録されていない、というあたりで「早川ってダメだね」と思う (極論)。
ラックの川口氏が指摘する今後の課題は「攻撃を受けたときどうするか」 (ZDNet)。
SpamAssassin 2.60 が出たそうです。
長野県が阿智村などで住基ネットへの侵入実験を開始,実施方法に課題残る (日経 IT Pro)。
「パソコン用地図ソフトなど無断複製」 ゼンリンが同業他社を提訴 (毎日)。戦闘開始。
[aml 35836] 司法記者クラブが武富士に厳重抗議!。 武富士の部屋 というページがあるんですね。
食欲低下と睡眠障害はうつ病の可能性 (日経 IT Pro)。 きをつけましょう。
住基ネット批判に楽観的見通し 麻生・新総務相 (毎日)。早くも大臣失格ですか。さすがです。
B-) の独り言 (port139) 「Windows 用の netcat(nc)つったら (2003/09/20)」。 デフォルトで検出するのはいかがなものかという気はするが、 そういうものも検出するモードはほしい気がする。 そう思うようになったのは、だいぶ前に他力さんから「侵入者とかが設置した VNC とかって、アンチウィルスソフトは報告してくれないんだよねぇ。だからずっと設置されっぱなしなんてことになって、……」というような話を聞いてから。
3年半という一区切り (高木浩光@茨城県つくば市)。 毎日新聞は記名記事を推進しているようですが、記名記事だからこそ、こういう反応も生まれるわけで。
Office のアップデートの不具合と回避策について (Microsoft)。
日本サイト情報 に日本語なセキュリティ情報があるのですか > Sun。
ウイルス情報毎日公表へ——警察庁の技術支援部隊 (日経)。「ウイルス情報」ねぇ。
FreeBSD: arp テーブル溢れに対するセキュリティアドバイザリの発行 (slashdot.jp)。 出しなおしになるようですね。 同じ修正が入っているっぽい Mac OS X 10.2.8 がトラブったと聞いていたので、適用は見合わせておいたのが正解だったかな。
その Mac OS X 10.2.8 については Mac OS X 10.2.8: Can't Connect via Ethernet After Installing Update が出ているようで。[harden-mac:0510] も参照。
IRAQ BODY COUNT、7346 になってるし。
DCOMbobulator (grc.com)。 中身的には、LAC の Blaster 対策ツール (SNS_ABM.exe) と同じことをやっているのかな。 日本語 OS / patch 対応という意味では、ふつうの日本のユーザは SNS_ABM の方がいいのでしょう。 デザインでは圧倒的に DCOMbobulator の勝ちですが。 あと、remote test 機能は SNS_ABM にはありませんね。
Opera 7.20 for Windows introduces unprecedented speed boost (opera.com)。 7.20 出たそうで。
XBOX はいろいろ大変みたいですね……。
匿名希望さんからの情報を追記。Delphi 7 情報も。
fix / patch: に Sun Solaris 情報を追記。
来日外国人犯罪の現状(平成15年上半期) (警察庁)。
ePolicy Orchestrator 3.0.1 が出たようですね。VSE 7.1 はまだなのかなあ。
Mac OS X Update 10.2.8 : Information and Download (apple.com)。 10.2.8 update はトラブルが頻発したようで、ひっこめられています。 OpenSSH 穴や sendmail 穴が直っているそうなのですが。
関連: APPLE-SA-2003-09-22 Mac OS X 10.2.8、 古暮さんによる翻訳版 ([harden-mac:0498])。
Gartner News配信用メールアドレス宛のスパムメールについてのお詫び (ガートナージャパン)。(info from [memo:6507])
Windows デスクトップ製品のライフサイクル - ライフサイクル サポートおよび入手可能期間のガイドライン (Microsoft) ですが、Windows XP gold の hotfix がもはや供給されなくなったことに対応した改訂だそうです。匿名希望さん情報ありがとうございます。
Windows Update 総合情報 というページがあるんですね。 でも、「インターネット接続にプロキシサーバを利用している場合に、Secure(S) プロキシが設定されていないと Windows Update に失敗する」話はおもいっきり抜けてますね。
お、FreeBSD-SA-03:14.arp ですか。
Fix a bug in arplookup(), whereby a hostile party on a locally attached network could exhaust kernel memory, and cause a system panic, by sending a flood of spoofed ARP requests.
APPLE-SA-2003-09-22 Mac OS X 10.2.8 に似たような記述があるから、 CAN-2003-0804 なのかな。
Swen には取りあげる価値を見出せなかったし……。 いまどき MS01-020 って言われてもなあ。
Swenワームを作成した人物のプロファイルについて (idefense.co.jp)。Fumi-pooh さん情報ありがとうございます。
chkrootkit 0.42b が出ています。chkrootkit-0.42a-0.42b.diff。
マイケル・ムーアの恐るべき真実 アホでマヌケなアメリカ白人 1 (amazon.co.jp)。 VIDEO / DVD 出てたんですね。
ボーランドの開発環境 Delphi 3.1 Profesional, 5 Profesional, 6 Personal に欠陥。Delphi に付属するクラスライブラリ VCL に含まれる TComboBox、TListBox、TToolBar、TListView クラスに buffer overflow する欠陥が存在する。ただし、6 Presonal では TListBox については欠陥が修正されている。
Delphi 3.1 Pro / 5 Pro / 6 Presonal で開発され、これらクラスを利用するアプリケーション全てに buffer overflow する欠陥が存在することになる。これを悪用すると、任意のコードが実行可能となる、とされている。
回避方法としては、VCL のソースを利用して修正を加える (方法は [memo:6508] 参照)。あるいは上記のクラスを使用しない。
匿名希望さんから情報をいただきました (ありがとうございます)。 そのまま引用すると匿名にならないような気がするので一部編集して:
Delphi では「実行時パッケージを使用する」というオプション付きでコンパイルすることにより、VCL 部分を省いた小さい exe を作成することができる。その場合、VCL 部分は Borland により提供される DLL 形式の実行時パッケージといわれるものが実行時にリンクされる。
もちろん、この実行時パッケージにもバッファオーバーフローが含まれており、実行時パッケージを使用する場合には、VCL ソースの修正では問題は不可避となっている。
なお、実行時パッケージはソースが付属しないだけでなく、これを修正することはライセンス上できないことになっている。
その他、VCL ソースの修正以外に問題を緩和する方法としては、コンボボックスやリストボックスに無条件に受け取った文字列を設定するのではなく、バッファ長以下であることを確認してから設定する、という方法が考えられる。
Delphi 7 の場合は、TComboBox および TListBox は修正されているが、TToolBar および TListView の問題は残っている、という情報がある。
CVE-1999-0997は、 wu-ftpd の動的処理機構 (参照: ftpconversions(5)) において、利用者が動的処理に利用しているコマンドへ不適切なオプションを渡せてしまうことがある、という話。 これが Debian woody の wu-ftpd に存在していた。
FreeBSD の ports/ftp/wu-ftpd/ にも存在していたようで、 2.6.2_3 で修正されている。……がしかし、これって直り切ってないんじゃないの? gzip や chksum、md5 にも -- をつけた方がいいですよね。 Debian の方にはついているのに。 (link ミス fixed: HIDECK さん感謝)
ProFTPD 1.2.7、1.2.8、1.2.9rc[12] に欠陥。ProFTPD における ASCII モードでのファイル転送処理に欠陥があり、特殊な状況において buffer overflow が発生する。このため、攻撃者は
ことにより ProFTPD 実行権限を取得できるという。さらに、ProFTPD の権限制限機構は回避することができ、root 権限の奪取も可能だという。
ProFTPD 1.2.7p、1.2.8p、1.2.9rc3 で修正されている。 (typo fixed: 大吉さん感謝)
Turbolinux Security Advisory TLSA-2003-54 を追記。
exploit: Working proftpd remote root exploit。
VeriSign .com / .net 占拠ネタ (2003.09.22) のつづき。
ISC BIND 用対抗策 (isc.org)。さらに改訂されて -P3 になっています。そろそろ使ってもだいじょうぶなのかなあ。 いまいち不安。
1512. [bug] Extend the delegation-only logging to return query type, class and responding nameserver. 1511. [bug] delegation-only was generating false positives on negative answers from subzones.
bind 9.2.3rc4 も出ています。
Richard M. Smith 氏による、さらなる情報:
[Full-Disclosure] VeriSign's fake SMTP server for SiteFinder
関連: VeriSignが乗っ取ったドメインでSMTPサーバを立ち上げ (slashdot.jp)
[Full-Disclosure] Privacy leak in VeriSign's SiteFinder service
ICANN 対 VeriSign:
Recommendations Regarding VeriSign's Introduction of Wild Card Response to Uninstantiated Domains within COM and NET (ICANN Security and Stability Advisory Committee)
portable 版 OpenSSH 3.7p1 および 3.7.1p1 に欠陥。PAM 実装に複数の欠陥があり、いくつかの条件が重なると外部から攻略可能だという。
OpenSSH 3.7.1p2 で修正されている他、PAM を無効にすれば回避できる。 関連:
OpenSSH 3.7.1p2 で fix されている。
ラックのハニーポットが残した不正侵入の記録、「既知の手口」が大半 (ZDNet)。Sombria 話。
東プレの“あのキーボード”がテンキーレスで登場 (ZDNet)。 テンキーなし型キター。ぜひ 1 つ買ってみたい。
WTOの絶望と希望 (tanakanews.com)。イさんについては http://www.labornetjp.org/worldnews/korea/misc/2003cancun に情報があるようです。
整合性チェックツール Osiris を使う (ヽRノ日記)。Windows に導入しやすいようです。
p0f 2.0.1 を仕掛けてみた。-l をつけたので、こんな感じの log が取れる:
<Mon Sep 22 13:11:47 2003> XXX.XXX.XXX.XXX:1879 - FreeBSD 4.7-5.1 (up: 4946 hrs) -> 133.83.XXX.XXX:XXX (distance 20, link: IPSec/GRE)
<Mon Sep 22 13:12:17 2003> XXX.XXX.XXX.XXX:44189 - Solaris 7 (NAT!) -> 133.83.XXX.XXX:XXX (distance 20, link: IPSec/GRE)
<Mon Sep 22 13:12:28 2003> XXX.XXX.XXX.XXX:3724 - Windows XP Pro SP1, 2000 SP3 (NAT!) -> 133.83.XXX.XXX:XXX (distance 23, link: IPSec/GRE)
<Mon Sep 22 13:12:51 2003> XXX.XXX.XXX.XXX:3943 - Windows 2000 SP4, XP SP1 (1) -> 133.83.XXX.XXX:XXX (distance 19, link: IPSec/GRE)
時刻が GMT ですねえ……。local time にする option あったっけ……。
chkrootkit 0.42a が出ているそうです。小西さん、匿名さん情報ありがとうございます。
個人情報を守れ——ノート・パソコンの社外への持ち出しが“落とし穴” (日経 IT Pro)。見事にそういう事例ですね→ 東電系の接続業者、顧客情報入りパソコン盗難 東京 (毎日)。
[memo:6494] ガートナーのニューズレターにSPAM!?、 ガートナーのMLで外部からスパムメール侵入 (毎日)。 ガートナージャパン web page には何一つ記載されていないようですね。
Windows デスクトップ製品のライフサイクル - ライフサイクル サポートおよび入手可能期間のガイドライン (Microsoft) が更新されてるっぽいのだが、どこが変わったんだろう。
中国が欧州版GPSのGalileoに参加 (slashdot.jp)。日本はとりあえず保険の意味で Galileo に (も) 参加してもいいんじゃないかって気がする。
Windows RPC DCOM2 Remote Exploit Ver1.1 (MS03-039) (k-otik.com)。「新型か?!」
Project RainbowCrack。Windows 用パスワードクラッカー。Windowsパスワードを13.6秒で解読 (ZDNet) な手法が導入されている模様。
第一回オープンソースソフトウェア勉強会: Windows管理者に贈る、Linuxと仲良くなる方法 (tokai-ic.or.jp)。まだお席に余裕があるようで。 つじもとさん情報ありがとうございます。
ISSKK Weekly SOC Report。http 方面が増加中、とされている。
ノーク・リサーチ調査、「ウイルスバスターのシェアと評価が高い」 (INTERNET Watch)。 オリジナル: [Sep.2003] 2003年 民間企業のITアプリケーション利用実態調査報告 (norkresearch.co.jp)。 図だけ見ると McAfee の評価が異様に低いように見えるが、数字を見ると 3.27 対 3.12 で、こんなのは誤差範囲内だと思うが。というか、こんなすごい図にするかふつう……。悪意があるとすら見えるなあ。 「シェアの増減」も誤差としか思えないし。 よほどのことがない限り、一旦入れたものを他のものに変えようなどとは思わないだろうし。
あまりに書きうつし記事すぎるんじゃないか? > INTERNET Watch。
[Software] Forensic Acquisition Utilities の netcat (けんのぼやき)。
対サイバーテロ演習、経産省が来年度から実施 (asahi.com)。 「実際に使われているのと同等の演習用システムをつくる」のにお金がかかるんだろうなあ。ちゃんとやってくれるのなら、3 億は安いのでは。90 式戦車 1 台分くらいですよね?
他力さん が「ペネトレのサービスはじめます」だそうです。
国コードや言語コードなどに課金? (slashdot.jp)。 ゼニクレージーの攻撃か? 助けてコンドールマン。
もっと電気を! − 小型太陽光発電システム (slashdot.jp)。 そういえば、エコロジーの風が吹く 〜あの、風力だけでPCは動きマスカ?〜 (MYCOM PC WEB) という記事があったなあ。 神鋼電機、家庭用小型風力発電装置に受注殺到−月産1万台体制へ (asahi.com) で紹介されているのは 神鋼電機、超低価格の家庭用小型風力発電装置を開発 (kobelco.co.jp) のことかな。
SecurityFocus Newsletter 212 号。 pam_dotfile というものがあるのですか。
IE6 SP1 をインストールすると、一部のファイルが古い (欠陥がある) ものに戻ってしまうという話。注意しましょう。
IE6 SP2 って出ないんですかねえ……。
VeriSign .com / .net 占拠ネタ のつづき。
ISC BIND 用対抗策 (isc.org)。bind patch は改訂されて -P2 になっています。 副作用は緩和されたのかな。9.2.2-P1 から -P2 への changelog:
1509. [bug] Hint zones should accept delegation-only. Forward zone should not accept delegation-only. 1508. [bug] Don't apply delegation-only checks to answers from forwarders. 1507. [bug] Handle BIND 8 style returns to NS queries to parents when making delegation-only checks. 1506. [bug] Wrong return type for dns_view_isdelegationonly().
また、bind 9.2.3rc3 では root-delegation-only という機能が追加されているそうです。
Advisory Concerning VeriSign's Deployment of DNS Wildcard Service (ICANN)。
Recognizing the concerns about the wildcard service, ICANN has called upon VeriSign to voluntarily suspend the service until the various reviews now underway are completed.
IAB Commentary: Architectural Concerns on the use of DNS Wildcards (IAB)。
Richard M. Smith 氏による、Microsoft 製品への影響報告:
関連記事:
Verisign問題、どこがどう問題なのか? 「.com、.netドメインが“Site Finder”に転送される」問題を解決するには (INTERNET Watch)
事件になってからでは遅い、のだけど、では事件になる前に対策するのが簡単かと言うと、もちろんそうではないわけで……。
TISは1998年に自主規制の個人情報保護規制を作り、2000年にはプライバシーマークを取得するなど、専門部署を置きセキュリティ対策を施してきた。それでも情報漏洩を防げなかったわけだ。
つまり、役に立たない、と。
中村さんから (ありがとうございます):
貴サイトの
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2003/09.html#20030922_TIS
ですが、TISのサイトからは完全に消されています。
http://www.tis.co.jp/news/index.html
サイト内検索でも見つかりません。個人情報流出はなかったことにしているのでしょうか。
#9月以前のニュースは出てるのに...
#残す期間に規約はないのかしら。
しかし、googleなどのサーチエンジンから、'TIS' and '流出'のキーワードで見つかりますので、ファイルを削除しないだけましかも...と思ったのですが、本来なら見ることができないURL(だと思う)なので消し忘れているはず。つまり、公開サイトも管理できないところなので、やっぱり個人情報保護もできないと...
http://www.tis.co.jp/news/2003/html/030912.html
小島さんがおっしゃるように、「つまり、役に立たない、と。」の通りだと確信しました。
……荻野さんから情報をいただきました (ありがとうございます)。TOP ページにはリンクがあるそうです。 確かに、フレームをスクロールさせると「お知らせ 弊社取引先の個人情報流出事案に関しまして 03/09/12」が出てきます。NEWS じゃないから NEWS ページにはないということなのでしょうか。 しかし「サイト内検索」で見つからないのは確かですし。 「サイト内検索」の実体は namazu のようですが、namazu を使ってるなら使ってると表示すればいいのに。なぜわざわざ copyright 削りますかねえ。
CERT Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH のつづき。 OpenSSH buffer management bug、またまた別の場所にもみつかったようで。 2 度あることは 3 度ある、のかな (T_T)。 CVE: CAN-2003-0682。
Debian GNU/Linux:
変更内容は
* NMU by the security team.
* Apply additional realloc fixes from Solar Designer
* Apply double-free fix, taken from OpenBSD CVS
だそうで。NMU というのは ノンメンテナアップロード だそうで。 debian の patch を見比べたところ、DSA-382-3 で新たに変更されたのは deattack.c, misc.c, session.c, ssh-agent.c のようだ。
OpenSSH CVSWeb (openbsd.org)。
Red Hat の [RHSA-2003:279-02] Updated OpenSSH packages fix potential vulnerabilities や FreeBSD の FreeBSD Security Advisory FreeBSD-SA-03:12.openssh [REVISED]、 NetBSD の NetBSD Security Advisory 2003-012: Out of bounds memset(0) in sshd にはこの修正があらかじめ含まれているようだ。 志村さん情報ありがとうございます。
OpenSSH 3.7.1p1 にはこの修正は含まれていないように見える。3.7.2p1 が近々登場するのだろう。
3.7.2p1 じゃなくて OpenSSH 3.7.1p2 (kddlabs mirror) が出ました。この件の他、3.7p1 と 3.7.1p1 に含まれている pam まわりの欠陥についても fix されています。
lsh 1.4.3 / 1.5.3 登場。fix されている模様。
[WSJ] 脆弱性はWindows離れを招くか? (ZDNet)。 「多様性はよいことだ」 (Diversity is good) は Morris worm で得られた教訓なんですけどねぇ……。Morris worm じゃなくても、たとえば攻殻機動隊でもいいんだけど。もう 21 世紀なんだし、少しは進化したいなあ。
「笑い男」Tシャツとか、あるんですね。 うーん、もうひとまわり大きい図柄じゃないとインパクトないと思うんだが。 位置もちょっとなあ。
snort 2.0.2 が出たそうです。
社長をだせ! 実録クレームとの死闘 という本があるんですね。
クリエイティブ・コモンズに気をつけろ (日経 ネット時評)。 「現在のクリエイティブ・コモンズのライセンスはどこの国の法律に準拠するのかを明示していない」というのは、GNU GPL まわりでも目にした話ですねえ。
米ベリサイン:「リダイレクトはやめない」 (CNET)。 「VeriSign は糞」が事実、ではないのか?
VeriSignのSite Finder問題、ついに訴訟へ (ZDNet)。 戦闘開始。
[中間]書籍情報 Coming Soon! (極楽せきゅあ日記)。 おもしろそうな本がいっぱいだけど、読む時間が……。助けて Dr. Strangelove!
Microsoft Windows 2000 Service Pack 4 への対応状況 (トレンドマイクロ)。 SUS でも Service Pack が配られる時代になりましたが、インストールしているアプリケーションが SP4 に対応していることを確認した上で、あるいは何かあるかもしれないと覚悟して (^^;) 適用しましょう。
GNU の SSH 実装 lsh 1.4.x に対する exploit だそうです。 lsh 1.4.2 は lsh の最新の stable version のようです。
……patch だそうです。
lsh 1.4.3 / 1.5.3 が出たようです。 参照: LSH: Buffer overrun and remote root compromise in lshd。 patch も添付されています。↑の patch は不十分みたい。
exploit: http://www.metasploit.com/tools/rootdown.pl。 手元の Solaris 2.6 sparc で動くことを確認。
富士ゼロックスからの案内文書が更新された。 MS03-039 にも言及されている。
MS03-039-linux.c (packetstorm)。
fix / patch: に sendmail.{com,org}, Turbolinux, Miracle Linux を追記。 解説など: を追記。
MS03-039の脆弱性を攻撃するプログラムへの緊急の対応について (経産省)。大学的には、文科省がこういうアナウンスをしてくれると動きやすくなったりする気がするのだが、そういう意識はないんだろうなあ。
攻撃プログラム登場で警察庁など3省庁が警告 (毎日)。
3省庁が合同で、脆弱性への対応を求める緊急の呼びかけを行うのは初めて。総務省情報流通振興課では「それだけ政府の危機感が強いということ。企業も個人も早急な対策が必要だ」と指摘している。
それはいいことだと思うのだけど、たとえば NIRT は何をしているんだろう……。
dcom2_scanner v1.1。 UNIX で使える MS03-039 scanner。
Opinion:インターネットを崩壊させかねない特許訴訟 (ZDNet)。
私は、意図してここであるプラグインを挙げなかった——それは、Microsoftの「Windows Media Player」だ。(中略) Microsoftは最低でも、Windows Media Player向けに設計されたWebベースのコンテンツが中断されないようにするために、Windows Media PlayerをInternet Explorerに組み込める。
想像してみてほしい。世界を支配しているWebブラウザがMicrosoftの技術しかサポートしないのだ。
こんなときにはこの言葉 (ジャカジャン): 「負けて勝つ」 (こえ: かんだ さんよう)。
plala.or.jp は、エラーメールを envelope from ではなく From: に送り返しているのかなあ。
そんなもんだろうなあ。大量の無知な人々が使う OS では
にせざるを得ないかなあ、と最近思う。でも、そのためには hotfix の品質をもっともっとレベルアップする必要もあるだろうと思うし。
BGM: The Imperial March (STAR WARS: The Empire Strikes Back)。帝国は〜とても〜強い〜。
占拠対抗策:
a patch for BIND to support the declaration of "delegation-only" zones in caching/recursive name servers (isc.org)。 bind への patch。 合谷さん情報ありがとうございます。
BIND9パッチ出ました (slashdot.jp) のスレッドも参照。 patch には副作用があるようなので注意しませう。
djbdns 用 patch が http://www.djbdns.org/ からたどれます。白畑さん情報ありがとうございます。 特定の IP アドレスが返ってきたら無視する、という動きなのかな。
[postfix-jp:03378] postfixも対抗。 postfix 2.0.x 用 patch。
あと、くだんのサイトには XSS 穴があるとか web バグが仕掛けてある ([Full-Disclosure] VeriSign hires Omniture to snoop on typosも参照) とか、いろいろあるようですね。
こんな話も: [Full-Disclosure] Verisign abusing .COM/.NET - nothing new..。他にもあるのだそうで。
「\コンピュータの構成\管理用テンプレート\Internet Explorer」 ではなく 「\コンピュータの構成\管理用テンプレート\Windowsコンポーネント\Internet Explorer」 ですね。吉田さん情報ありがとうございます。
Solaris 7〜9 についてしか語られていない件について追記。大河原さん情報ありがとうございます。
文書が更新され、OpenSSL 穴 2 つ への対処が含まれたものになっている。
関連: SNS Spiffy Reviews No.7: Successful Reproduction of MS03-039 "Buffer Overrun In RPCSS Service Could Allow Code Execution" on Japanese Environment (LAC)。 日本語 OS に対する攻撃が成功。
OpenSSH 3.7 相当の「fix」を出していたところはたいてい 3.7.1 相当のものに修正しているので、修正したものへのリンクへ修正。 新たな fix を追記。
KDE 3.1.3 以前に含まれる KDM (xdm の KDE 版なのかな) に 2 つの欠陥。
pam_setcred() 関数の戻り値を正当に検査していないため、使用する PAM モジュールに依存するが、login するユーザに root 権限を与えてしまう場合がある。pam_krb5 でこの状況が発生するとされている。
CVE: CAN-2003-0690
KDM が使用するセッションクッキーの生成アルゴリズムに欠陥がある。 これを悪用すると、攻撃者はセッションクッキーを brute force で推測し、ユーザセッションにアクセスできてしまう。
CVE: CAN-2003-0692
KDE 2.2.2 / 3.0.5b / 3.1.3 用の patch が用意されているので適用すればよい。
[RHSA-2003:286-01], [RHSA-2003:287-01], [RHSA-2003:288-01] を追記。
sendmail 8.12.9 以前に欠陥。
prescan() 関数に buffer overflow する欠陥がある。この欠陥は CERT Advisory CA-2003-12 Buffer Overflow in Sendmail とは別のものである。この欠陥を悪用すると、細工した電子メールによる、sendmail 実行権限 (通常 root) での任意のコードの実行が可能となる。
詳細: Sendmail 8.12.9 prescan bug (a new one) [CAN-2003-0694]。CVE: CAN-2003-0694
ルールセットを解釈するコードに潜在的な buffer overflow 欠陥が存在する。 ただし、sendmail のデフォルト設定では攻略可能ではないと考えられている。
CVE: CAN-2003-0681
sendmail 8.12.10 で修正されている。 また 8.12.9 以前用の patch が公開されている。
fix / patch: に Sun Solaris 情報を追記。
fix / patch: に sendmail.{com,org}, Turbolinux, Miracle Linux を追記。 解説など: を追記。
Solaris 7〜9 用 patch が用意されたので記述を変更。 足立さん、福原さん情報ありがとうございます。
JPNICとJPRS、ダイレクトメール対策でWHOISの検索機能を制限へ (INTERNET Watch)。
EPIO応援班 八ヶ岳南麓天文台 (VHF電波による地震予報観測) 地震前兆観測センター。 「串田氏からのコメント 最近の報道等に関して」によると、 東京新聞やTV朝日スーパーJチャンネルがひどいことをしているようですね。 (info from やじうまWatch)
マイクロソフト、「Protect Your PC」キャンペーンを開始 〜セキュリティ対策CD-ROMも配布 (INTERNET Watch)。 オフィシャル: Windows搭載PCのセキュリティを向上させる「Protect Your PCキャンペーン」を推進 (Microsoft)。
9月20日から配布されるこのCD-ROMには、Microsoft Windows XP Service Pack 1aや、「MS03-039」までの脆弱性を修正するプログラムなどを収録。また、Windows Updateの自動更新機能が強制的に有効化される。
「Windows Updateの自動更新機能が強制的に有効化」とは、
Windows Updateの「自動更新機能」を「更新を自動的にダウンロードして、インストールの準備ができたら通知する」に設定します。
という意味のようです。
NEC、不正改ざんされたデータを自動復旧するLinux用ソフト (INTERNET Watch)。Red Hat Linux 7.3 って……。
ロシアのウイルス対策ソフトベンダー「Kaspersky」の日本法人設立 (INTERNET Watch)。
Kasperskyは (中略) フィンランドF-Secure社などにセキュリティ技術をライセンス提供しているという。
F-Secure AntiVirus には Kaspersky (AVP) と Frisk (F-Prot) の 2 種類のエンジンが塔載されていますね。
日本カスペルスキー・ラボの山岡大蔵代表取締役社長は、「国内のウイルス対策ソフト市場は、安全性よりもブランドやユーザーフレンドリーなユーザーインターフェイスが全面に出ている」と指摘。
Kaspersky に「ユーザーフレンドリーなユーザーインターフェイス」を期待してはいけない、ということですか……。
Calendar of US Military Dead during Iraqi War (cryptome.org)。あいかわらず戦死者が出続けています。 IRAQ BODY COUNT もじわじわ増えつづけているし。
@police−セキュリティ解説: コンピュータ・フォレンジックス (@police)。
nmap 3.45 だそうです。 Nmap Version Scanning、確かに強力ですね。 これからは -O じゃなくて -A ですか。
関連: [Software] nmap 3.45 (けんのぼやき)。
INTERNET WEEK 2003。 2003.12.02〜05、パシフィコ横浜。プログラムページ公開されてます。 もとのぶ先生や奥天師匠のお名前もありますね。
う〜ん、DNS DAY とインターネット上の法律勉強会が重なっているぅ……。
VeriSignが全ての未登録.COM、.NETドメインをハイジャック (slashdot.jp)。 VeriSign は覇道を邁進中のご様子で。
Solaris 2.3〜9 付属の sadmind デーモンに欠陥。特製の RPC リクエストを送ることにより、remote から任意のコードを sadmind 実行権限 (通常 root) で実行させることが可能。 既に exploit が出回っているのだそうだ。
修正プログラムはまだ存在しない。sadmind が動作しないように inetd.conf を調整したり、111/{tcp,udp} をフィルタで塞いだりして回避されたい。
関連: Security Issue Involving the Solaris sadmind(1M) Daemon (Sun)。 Solaris 7〜9 についてしか語られていないんですね。
山本さん情報ありがとうございます。
Solaris 7〜9 についてしか語られていない件ですが、
Solaris Operating System:
Releases (sun.com)
や
Solaris Operating Environment:
Life Cycle (sun.com)
を見ると、どうやら
Solaris 2.6 は Vintage Phase II に入っており、
No patches will be issued for new bugs
になっているようですね。大河原さん情報ありがとうございます。
うーん、でも Solaris 2.6 Recommended Patch Cluster とか更新されてるっぽいなあ。いまいちよくわからん。
exploit: http://www.metasploit.com/tools/rootdown.pl。 手元の Solaris 2.6 sparc で動くことを確認。
RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039) 欠陥の攻略プログラムのソース。 これ自体は Windows 2000 英語版がターゲットみたい。 オリジナル (?): MS03-039-exp.c (xfocus.net)。
関連: SNS Spiffy Reviews No.7: Successful Reproduction of MS03-039 "Buffer Overrun In RPCSS Service Could Allow Code Execution" on Japanese Environment (LAC)。 日本語 OS に対する攻撃が成功。
MS03-039-linux.c (packetstorm)。 Linux で使えるらしい。
OpenSSH 3.7 以前に欠陥。バッファ管理における欠陥が存在するため、remote から DoS 攻撃が可能。また任意のコードの実行も可能かもしれない (不明確)。 OpenSSH 3.7.1 以降で修正されている他、3.6.1 以前および OpenSSH 3.7 用の patch が公開されている。修正されたのは buffer.c と channels.c。
CERT Advisory CA-2003-24 は今だに「prior to 3.7」になっているが、OpenSSH のオフィシャルアドバイザリ OpenSSH Security Advisory: buffer.adv では「prior to 3.7.1」に改訂されているので注意されたい。 (追記: 現在は CERT Advisory CA-2003-24 も改訂されている)
元ネタ: [Full-Disclosure] openssh remote exploit。 CVE: CAN-2003-0693 CAN-2003-0695。
OpenSSH:
OpenBSD: Re: OpenSSH Security Advisory: buffer.adv。 OpenBSD 3.2 / 3.3 用 patch があるので適用して再構築しよう。
FreeBSD: FreeBSD Security Advisory FreeBSD-SA-03:12.openssh [REVISED]。 src/crypto/openssh や ports/security/openssh-portable/ にも修正が入ったようだ。
NetBSD: NetBSD Security Advisory 2003-012: Out of bounds memset(0) in sshd
Debian GNU/Linux: DSA-382-2 で追いついた模様。DSA-383 は ssh-krb5 に関するもの。
Turbolinux: Turbolinux Security Advisory TLSA-2003-51
Red Hat Linux: [RHSA-2003:279-02] Updated OpenSSH packages fix potential vulnerabilities
Vine Linux: [ 2003,09,18 ] openssh にセキュリティホール
Miracle Linux: OpenSSH セキュリティ。不十分 (OpenSSH 3.7 相当) のように見える。
Cisco: Cisco Security Advisory: OpenSSH Server Vulnerabilities
Internet Security Systems セキュリティ アドバイザリ: OpenSSH メモリ破損の脆弱性 (ISSKK)。 英語版: Internet Security Systems Security Advisory: OpenSSH Memory Corruption Vulnerability (ISS)。
邦訳版 CERT Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH (LAC)。
Vendor Status Note JVNCA-2003-24: OpenSSH のバッファ管理機構に脆弱性 (JPCERT/CC JVN)。
OpenSSH 3.7 相当の「fix」を出していたところはたいてい 3.7.1 相当のものに修正しているので、修正したものへのリンクへ修正。
主催らしい「ブロードバンド推進協議会」というのは Y! BB 方面な団体のようで: ブロードバンド推進協議会が設立総会を開催。設立時の会員企業は23社 (INTERNET Watch)。ホームページないんですかねえ > ブロードバンド推進協議会。
総務省、「ブロードバンドは普及したが、セキュリティ技術者は不足」〜セキュリティを高めれば潜在ユーザーも獲得できる (INTERNET Watch)
Telecom-ISAC Japan がどのくらい役に立っているのかは、関係者じゃないのでよくわからない。 JPCERT/CC 方面についてはそれなりに役に立っているようなのがわかるのだけど。
気象情報と同じくらいまでセキュリティ情報の報道頻度を高めたい〜セキュリティ問題特別講演会で経産省山崎氏 (INTERNET Watch)
マスメディアまわりについては大いに同意するけれど、 ISMS が意図どおりに動いているかと言えば、そうではないだろうし。
光インターネットでは1台のPCがネット上の“立派な凶器”になり得る 〜セキュリティ問題特別講演会で警察庁宮城氏 (INTERNET Watch)
情報漏えいを修復する際に必要な経費を例示し、「1回につき30人日、約500万円が必要だということを念頭に置き、それに見合った対策を行なうべきだ」と警告した。
どこから出てきた数字なのかよくわからないけど、たとえば先日のローソン話だと桁が 2 つ違うだろうし……。
日本政府はMSBlastにどう立ち向かったのか? (CNET)
宮城氏は、「政府広報には予算があり、毎月いくらと決まっている。そのため緊急時に広告を打つようなやり方は難しい」と官公庁ならではの台所事情を明かし、「今のところは個別のメディアにお願いするしかない」とした。
逆に言うと、平常時における啓蒙活動のようなものになら使える、ということだろう。ぜひやっていただきたいなあ。
サンルイスオビスポ郡の書記官を務めるジュリー・L・ロードワルド氏は、結果がオンラインにされたことを「懸念している」が、ディーボルド社の投票システムを排除する計画はないと話した。
もっとひどいことになるまでは、やめるつもりはない、ということかなあ……。
Helix Universal Server 9、RealSystem Server 8、RealSystem Server 7、 RealServer G2 の欠陥の件、fix 登場: View Source プラグインの脆弱性の解決 (jp.real.com)。 ただし Helix Universal Server 9.0 用のみ。他については patch の提供予定はないようだ。
ワイヤーカッターなら数秒だそうです。
早稲田大: 講演会参加者名簿の警察提出は違法 最高裁 (毎日)。事前許諾のありなし、がポイントなようで。 しかし、こんな裁判を最高裁までやってしまって……。学内では議論はなかったんですかねえ。
ウイルスの駆除方法をパートナー企業に提供する「トレンドマイクロ ウイルス駆除情報サービス」10月1日開始 (トレンドマイクロ)。 SI 屋さん向けサービス、なのかな。
米サイバー攻撃監視の新組織「US-CERT」設立 (ZDNet)。 us-cert.gov なので、政府主導なのでしょう。 きっと日本の NIRT よりははるかにマシなんだろうなあ。
@ Everyday People 2003/09/16。あら〜、アムネスティ・インターナショナル日本支部がヤラれてますねえ。だいじなデータとかが置かれていなければよいのですが……。
恐怖をそそる超低周波音 (slashdot.jp)。以前 FERC もレポート出してましたね (松岡ルームのレポートだったかも……)。 FERC レポートでは「軍事的応用」という話もあったような。
……やまざきさんに教えていただきました (ありがとうございます):
少数のAnonymous Cowardによる大量投稿への対策 (slashdot.jp)。 ジサクジエンな人ってほんとうにいるんですね。 よっぽどヒマなんだろうなあ。
PC 防犯グッズの話。「防犯ワイヤーを実際に切ってみて、時間を計ってみました」とか、参考になる。 太いワイヤーも切ってみてほしかった気はするが。
パソコン盗難、どうやって防ぐ? (slashdot.jp)。 ワイヤーカッターなら数秒だそうです。
P0f 2.0.1 (and 2.0.2-beta)。 passive OS fingerprinting tool。
SecurityFocus Newsletter #209 2003-8-4->2003-8-8 、 訂正版 (bugtraq-jp)
SecurityFocus Newsletter #210 2003-8-11->2003-8-15 (bugtraq-jp)
SecurityFocus Newsletter #211 2003-8-18->2003-8-22 (bugtraq-jp)
Integer overflow in OpenBSD kernel (bugtraq)。 OpenBSD 3.3-release と 2003.09.10 以前の -current に integer overflow する欠陥があり、root が securelevel(7) による制限を越えて kernel メモリを操作できてしまう。 サンプルコード。
patch: September 10, 2003: Root may be able to reduce the security level by taking advantage of an integer overflow when the semaphore limits are made very large. (OpenBSD.org)
Defeating the Stack Based Buffer Overflow Prevension
Mechanism of Microsoft Windows 2003 Server (NGSSoftware)。
Visual Studio .NET の /GS スイッチねた。
the
new methods presented in this paper are generic
なのだそうで。
4D WebSTAR FTP Buffer Overflow. (bugtraq)。 WebSTAR 5.3.1 の ftp 機能に buffer overflow する欠陥があるという指摘。
iDEFENSE Security Advisory 09.10.03: Two Exploitable Overflows in PINE (bugtraq)。 PINE 4.58 で fix されているのだそうで。 CVE: CAN-2003-0720 CAN-2003-0721。
[Full-Disclosure] RealOne Player local privilege escalation (Full-Disclosure)。 UNIX 版の Real Player 9 はなぜか初期設定ファイルをグループ書き込み: 可 の状態で保存してしまうために、同じグループに所属している他のユーザから細工される可能性がある、という指摘。
初期設定ファイルのグループ書き込み権を削除してしまえば回避できる。 指摘文書には chmod 700 ~/.realnetworks/* とあるけど、chmod -R go-rwx ~/.realnetworks の方がいいんじゃないかなあ。
[VulnWatch] leafnode 1.9.3 - 1.9.41 security announcement SA-2003-01 (VulnWatch)。 Leafnode 1.9.42 以降で修正されている。
関連情報を追加。
出会い系サイト規制法、施行前に的確な運用指示 警察庁 (毎日)。明日からですね。
パスワードの惰性利用を断つ(4) サイン認証、 パスワードの惰性利用を断つ(5) 指紋/虹彩/顔認証 (日経 IT Pro)。
セキュリティ法律相談室——踏み台 (日経 IT Pro)。
米国で導入が進まない「コピー・コントロールCD」 (日経 IT Pro)。 対する日本の状況は、なかなかに寒いものがありますね……。
【Anti Virus】Kaspersky Lab【Firewall】 (2ch.net)。 http://www.kaspersky.co.jp/ がすこし進展してます。
がんばれマカフィーPART4 #651 (2ch.net)。 お高くなってしまうようで。
シングルサインオンにおける共通ID化の回避 (高木浩光@茨城県つくば市 の日記)。Liberty の話。
世界貿易センタービルの瓦礫から空気中に放出されていた有毒物質 (WIRED NEWS)。 教訓: 早すぎる「安全宣言」は危険。
米国の公立学校で普及進む「指紋認証システム」 (WIRED NEWS)。給食、ですか……。
Liu Die Yu 氏による大量の報告により、31 になっています。 攻撃者によるクッキーの取得やコマンド実行が可能な穴がたくさんある模様。 関連:
スクリプトの無効化で回避できる……のかな。
関連:
Word 97 / 98 用修正プログラムが登場。 MS03-035 page から入手できる。
Office 97 / 98 用修正プログラムが登場。 MS03-036 page から入手できる。
Windows NT 4.0 / 2000 / XP / Server 2003 に、新たな 3 つの欠陥。いずれも RPCSS (RPC Server Service?) サービスの欠陥。
バッファオーバーフローが発生する欠陥が 2 つ。 どちらについても、攻撃者は外部から local SYSTEM 権限で任意のコードを実行させることが可能となる。
DoS 攻撃を受ける欠陥が 1 つ。 Microsoft Windows 2000 RPC DCOM Interface DOS AND Privilege Escalation Vulnerability (xfocus)。 exploit: Windows 2000 RPC DCOM Interface Denial of Service Exploit。
CVE: CAN-2003-0605
この欠陥の影響を受ける port は以下のとおり:
TCP: 135、139、445、593。 また COM Internet Services (CIS) および (または?) RPC over HTTP を有効にしている場合は 80 と 443 も影響を受ける。
UDP: 135、137、138、445
修正プログラムがあるので適用すればよい。 MS03-026 と同様に、Windows NT 4.0 Workstation や Windows 2000 SP2 にも対応している。 Blaster / Nachi のようなワームが登場する前に適用しておこう。 ふつうの人は Windows Update を利用して適用すればよいだろう。
TCP: 135 / 139 / 445 / 593、UDP: 135 / 137 / 138 / 445 をフィルタした上で COM Internet Services (CIS) および RPC over HTTP を無効にする。 フィルタする方法としては、たとえば Windows XP / Server 2003 のインターネット接続ファイアウォール (ICF) や Windows 2000 以降の IPSec フィルタ、Windows NT 以降の RRAS フィルタ がある。もちろん 3rd パーティ製品を利用してもよい。
DCOM を無効にする。 無効にする場合はこれも読んでおこう: DCOM/RPC Vulnerabilities FAQ (ntbugtraq)。
CERT Advisory CA-2003-23 RPCSS Vulnerabilities in Microsoft Windows (CERT/CC)。 LAC 邦訳版。
Vendor Status Note JVNCA-2003-23 (JPCERT/CC JVN)
JSOC 緊急レポート - RPCSS サービスのバッファ オーバーラン (MS03-039): 一般ユーザ向け、 システム管理者向け。
Microsoft RPC サービスにおける複数の脆弱点 (ISSKK)。
DCOM/RPC Vulnerabilities FAQ (ntbugtraq)。
KB824146scan.exe。 参照: 827363 - How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed (Microsoft)。
xfrpcss.exe。 参照: Xfrpcss - MS03-039 RPC Vulnerability Scanner (ISS)。
注意: NAI VirusScan は xfrpcss.exe を Exploit-DcomRpc として検出してしまう。 スキャンエンジン 4.2.60 + 定義ファイル 4.0.4292 で確認。 (KJM さん情報ありがとうございます)
dcom2_scanner。 参照: [Full-Disclosure] unix based network scanner for 2nd MS DCOM DCE RPC vulnerability。UNIX で使える。動作は遅い。
RPC DCOM Vulnerability Scanner and Worm Disinfection Utility (eEye)。
exploit 登場: 09.16.MS03-039-exp.c。
9.11。
ウイルス対策のメールフィルタがトラフィックを倍増させる〜ウイルス研究者が指摘 (INTERNET Watch)。指摘もなにも、ふつうのメール管理者なら気がついているはずのことで。最近の手元の事例としては pressenter.com だなあ。このサイトは exim を利用していらっしゃるようで。
いろいろと情報をいただいているのですが、なかなか反映できてません。 すいません。
そろそろ潮時か (高木浩光@茨城県つくば市 の日記)。 そもそも「いわゆる日記」じゃないし……。 Googleは日記を過大評価しすぎ?。 「高木浩光@茨城県つくば市 の日記」 は S/N 比が高すぎると思うし……。「いわゆる日記」の S/N 比はたいていもっと低いものです。というか、「いわゆる日記」の場合、Signal と Noise の区別がつかない (つけられない) 場合が少なくないような。
セキュリティ対策ソフト「PestPatrol」v4.2のダウンロード販売などが開始 (窓の杜)。Norton AntiVirus 2004 やウィルスバスター 2004 がスパイウェアなどにも対応する、というニュースが流れてしまっているので、どれだけ売れるのかはアレですが……。
セキュリティー専門家が語る現代米国社会の「危険な妄想」 (WIRED NEWS)。 Welcome to the desert of the real.
大手ウェブホスティング会社がホストする各サイトに悪意あるスクリプト (WIRED NEWS)。ホスティング屋さん、おおもとがやられると……という話なのかな。
緊急治安対策プログラム (警察庁)。
○新警察移動通信システムの整備
警察活動の神経系統たるデジタル車載無線システムの後継システムとして、暗号強度を飛躍的に向上させ、不感地帯を減少させた新警察移動通信システムを早期に全国整備する。
これって「緊急治安対策」なのかなあ……。
パスワードの惰性利用を断つ(1)——作成支援ツール、 パスワードの惰性利用を断つ(2)——USBキー、 パスワードの惰性利用を断つ(3)——ワンタイム・パスワード。 SHADO は 1980 年にすでに声紋認証と指紋認証を組みあわせていますね (指紋認証は広くは利用されていなかったようだが)。 ちなみに IC カードはけっこう安くイケるのだそうで。 (info from JWNTUG OpenTalk)
どうやって個人情報を守りますか?。教育だけにたよるな、という話。
[aml 35566] 新刊「自衛隊マル秘文書集」小西誠編の発行。おもしろそう。
[port139ml:03870] 10/18 『眠れない管理者の龍大襲撃 (& Computer Forensics)』 。なんだか、参加者の顔ぶれの方が豪華だという話が……。 関連: [port139ml:04013]。
パソコンメーカは穴のあいた製品を店頭に並べていてよいのか (高木浩光@茨城県つくば市 の日記)。MS03-026 については NEC は再配布権を持っているから実施した、ということなのだろうが、 多分、他の patch については入っていないんじゃないかな、という気がする。 「patch CD 添付」をするなら、それは「OEM ベンダーが」という形になると思うのだけど、そもそも現状では OEM ベンダーはやりたくてもできないのではないか、という気がする……けど、実際はどうなんだろう。 全 patch の再配布権を持っているにもかかわらず何もやってない、のだとしたら……。うーん。
そういったことも含めて、「Blaster ショック」に対する検討は開始されているようだ。が、答えはいつ出るのだろう。
A researcher asks for Japanese assistance in identifying the Japanese journalist/photographer in the photo below who was active in the mid-western United States in the early 1960s. (cryptme.org)。 尋ね人。
新製品「ウイルスバスター2004 インターネット セキュリティ」10月24日(金)より発売開始 (トレンドマイクロ)。初期のバスター 2003 のような混乱が発生しなければいいのですが。
あら、ベータ版ダウンロードページが 404 になってるぞ。
MS最高セキュリティ責任者の言い分は「ソフトウェアを安全にするだけでは十分でない」 (CNET) Scott Charney 氏、日本巡業中なのかな。
ついに始まったRIAAの一斉個人攻撃、261件の提訴 (ZDNet)。攻撃開始。 しかし誤った標的を攻撃する場合もあるようで: RIAAの個人追及訴訟、身に覚えのない人物も対象に (ZDNet)。
その論文: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication (cryptme.org)。
Microsoft からの情報、関連記事を追記。 レジストリ設定 (の削除) による回避方法。
ミニストップがウイルス感染メールを5483人に送信 (日経 IT Pro)。2003.09.01 には コジマネット でも Hybris さわぎがあったそうで。 状況はミニストップと同様だったようです。 匿名希望さん情報ありがとうございます。
FileVersion.exe ファイルのバージョンを表示、確認するコマンドラインツール (PASSJ)。 すばらしいです。
Sombria (LAC SNS)。日本語版レポートにも期待したいですね。
NEC,Blasterワームのセキュリティ・ホールを修正済みのパソコン発売 (日経 IT Pro)。MS03-026 だけじゃなくて、全部入れといてよ。
観測研究本格化、地震前兆検知公開実験開始から8年間で初めての一般公表について (八ヶ岳南麓天文台 (VHF電波による地震予報観測) 地震前兆観測センター 公開実験参加者一部による観測応援班 「EPIO応援班」)。 匿名希望さん情報ありがとうございます。 at your own risk で見るべきものなのでしょう。 常識的には、「関東」「直下型」はいつ起こってもおかしくないんですよね……。そういえば、このまえやってた NHK スペシャル、まだ見てないな。
さて、明日は東京に出張するのでこのページの更新は多分ないでしょう。新幹線の中で「日本沈没」でも読みなおそうかな。
オープンソフトウェアコミュニティ、欧州ソフトウェア特許導入を阻止? (INTERNET Watch)。
衛星ネットで50bpsから1.2Gbpsまでラインナップ〜NASDAのi-Space実験 (INTERNET Watch)。 当然 NSA は傍受するでしょうから、通信内容は暗号化しましょうね。
[管理] Officeアップデート (リンクとか備忘録とか日記とか@はてな%暫定公開中&練習中)。 確かに、Office Online に飛ばされますね……。なんなんだ……。 (T_T)
Office Online の「ダウンロード」に存在するようです > Office Update。 このページの link はあたらしい URL (http://office.microsoft.com/officeupdate/) に直しておきました。 うわ、また更新されてますね > Office Update Installation Engine。
Windows XP + ASP.NET 1.0 不具合話、管理者ログオン必要話、 patch 不十分話を追記。
山内さんからの情報を追記 (ありがとうございます)。 問題があるのは XFree86 4.3.0 だけではなさそう、という話。
exploit: word.zip (PacketStorm)。
MS03-032 patch は、実は直り切っていなかった、という話。
[Full-Disclosure] BAD NEWS: Microsoft Security Bulletin MS03-032: malware.com による投稿
Re: [Full-Disclosure] BAD NEWS: Microsoft Security Bulletin MS03-032: フォローアップ
Re: [Full-Disclosure] BAD NEWS: Microsoft Security Bulletin MS03-032: さらなるフォローアップ (スクリプト不要バージョン)。 GreyMagic 自身による投稿は こちら。
[Full-Disclosure] Re: [VulnWatch] RE: BAD NEWS: Microsoft Security Bulletin MS03-032: 「ActiveX コントロールとプラグインの実行」を無効にせよ、と言っている。
Microsoft が MS03-032 を改訂:
マイクロソフトは最初にこのセキュリティ情報を 2003 年 8 月 20 日 (米国日付) にリリースしました。このセキュリティ情報のリリース後、マイクロソフトはこのセキュリティ情報で提供した修正プログラムが「オブジェクト タグの脆弱性」 (CAN-2003-0532) を適切に修正しないとの報告を受けました。(中略)
マイクロソフトはこれらの報告を調査しており、これらの問題を修正する更新版修正プログラムとともに、このセキュリティ情報を再リリースする予定です。
情報を公開したことはよいけれど、「問題を修正する」までの間の回避策がきちんと示されてい………FAQ に記述があるようで:
インターネット セキュリティ ゾーンの設定を変更し、ActiveX コンポーネントが実行される前にダイアログが表示されるようにすると、この脆弱性に対する保護の手助けとなります。
実際にやってみればわかるが、[ActiveX コントロールとプラグインの実行] を [ダイアログを表示する] に設定したところで、大した助けにはならない。表示されるダイアログからは、どのような ActiveX コントロール (あるいはプラグイン) が実行されようとしているのかがさっぱりわからないのだ。どうせやるなら、それよりも、インターネットゾーンでは [ActiveX コントロールとプラグインの実行] を無効にした上で、ActiveX コントロール (あるいはプラグイン) を使わせてもよいサイトを信頼済みサイトゾーンに登録した方がよいだろう。
状況と回避方法については、IE用累積パッチの欠陥で事態は「危機的状況」 (ZDNet) がよくまとまっている。回避方法については、[ActiveX コントロールとプラグインの実行] の設定変更よりも、レジストリ
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/hta
の削除がよいのだろう。application/hta を業務等で利用している人は実施できないだろうが、そんな人は世の中に何人もいないと思うし。 気になるのなら、あらかじめレジストリを保存 (export) した上で削除し、新しい修正プログラムが登場した時点で戻せばよい。
と思って、手元の Windows XP SP1 で reg export "HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/hta" ms03-032.reg コマンドを実行すると
エラー: 指定されたレジストリ キーまたは値が見つかりませんでした
なんて言われちゃいますね。どうやら reg コマンドは \ と / をきちんと区別していないようです。だめすぎ。
関連: Temporary Fix for IE Zero Day Malware RE: BAD NEWS: Microsoft Security Bulletin MS03-032。
MS03-040 で修正されました。
reg コマンドの問題は、Windows Server 2003 にはないらしいです。 Windows XP SP2 では直っているといいなあ。
hp OpenView が使用している DCE (Distributed Computing Environment) は、Blaster に攻撃されると crash してしまう模様。patch 出てます。参照:
GSM 携帯通話には、盗聴される他、発信者を装われる欠陥があるのだそうです。
GSM Associationは (中略) この問題点に関して言うと、複雑かつ高度な技術を使わない限り悪用はできず、個人通話者を標的にするには長い時間がかかるとしている。
つまり、NSA のように複雑かつ高度な技術を所有していれば実現可能、ということですね。「すべては傍受されている」p.497 より:
ネットワークデータ、光ファイバー・携帯電話データなどわれわれが標的にしているあらゆる態様の通信法にアクセスができるという点で、われわれは他をはるかに先んじている。
第3世代 (3G) 携帯電話にはこの欠陥はない、そうです。
その論文: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication (cryptme.org)。
大橋さんから (ありがとうございます):
ところで2003年9月2日の記事の中で、 「おまけ: http proxy に対応してください > 自動更新。」 とありますが、対応方法はあります。 (もしご存じでしたら、余計なことですね。ごめんなさい。)
proxy 環境下で自動更新がうまくいかないのは、自動更新はSYSTEMアカウントで行うので、Administrator が InternetExplorer の proxy 設定を行っても、その proxy 設定が SYSTEM アカウントに反映されないためだと思われます。
そこで、グループポリシーで「コンピュータ別にプロキシを設定する (ユーザ別ではなく)」を有効にして、proxy の設定を行えば、SYSTEM アカウントにも proxy が反映され、自動更新も可能になるようです。
設定方法は、以下の通りです。
スタートメニューの「ファイル名を指定して実行」から「gpedit.msc」を実行します。
「\コンピュータの構成\管理用テンプレート\Internet Explorer」の下の「コンピュータ別にプロキシを設定する(ユーザ別ではなく)」をダブルクリックして、「有効」に設定します。
その後 Administrator 権限を持つアカウントで、インターネットオプションで proxy サーバの設定を行います。(2. を行った時点でそれまでの proxy の設定はリセットされています。)
普段使っている PC なら良いのですが、実験室等にあって毎日は必ずしも使っていない PC では、WindowsUpdate を忘れがち/後回しにしがちなので、自動更新するようにしています。WindowsUpdate に問題のあるファイルが登録されてしまうリスクはありますが、Update し忘れのリスクと比較して、自動更新を選んでいます。
「\コンピュータの構成\管理用テンプレート\Internet Explorer」 ではなく 「\コンピュータの構成\管理用テンプレート\Windowsコンポーネント\Internet Explorer」 ですね。吉田さん情報ありがとうございます。
proxy 環境下での自動更新 (だめだめ日記)。monyo 先生が local SYSTEM の proxy の設定方法を解説なさっていらっしゃいます。 ありがたいことです。_o_
Windows XP の場合は、proxy 環境で Windows XP SP2 を利用すると、Windows Update でファイルをダウンロードできない にある proxycfg を利用することで、自動更新も動作するようになるようです。 まとめると、こうなります:
手元の Windows 2000 SP4 で試した限りでは、local SYSTEM に IE の proxy を設定しただけでは自動更新がうまく動かなかった例がありました。その機械では、「コンピュータ別にプロキシを設定する」ポリシーによる方法はうまく動きました。
5 つもいっぺんに出ると、なかなかツラいものがあるなあ。
American Chemical Society (acs.org) からの Dumaru.A ウィルスの注入が続いているなあ……。
「学校襲撃小説」を書いて逮捕された元高校生に対する起訴、裁判所が棄却 (WIRED NEWS)。裁判所はまともで、とりあえずよかった。
大停電の兆候に無力だったエンジニアたち (WIRED NEWS)。
「こちらも努力しているんだ。コンピューターの機嫌が悪い。うまく動いてくれない」というのがスニッキー氏の答えだ。
まさか、UPS がなかったとか?
ウイルス(MSBLAST)に対する関連製品の対応について (リコー)。 リコー製品には Windows 2000 / XP ベースのものは存在しない模様。
ウイルスバスター コーポレートエディション 5: Windows 2000 Service Pack4(SP4)サーバへのインストール時に、_INS5176_MP-アプリケーションエラーが発生する (トレンドマイクロ)。 SP4 だとアレな事例というのは存在するのだなあ。
ウイルスバスター アップデート実行時「ActiveUpdate内部エラー:47」が発生する (トレンドマイクロ)。 2003.09.04 06:30〜14:00 で発生。現在は解消されている。
ACCS・イーディーコントライブ(株)主催 「セキュリティを通して考える情報モラル連続セミナー」 (accsjp.or.jp)。全 5 回、各回定員 50 人。 5 回まとめると割引料金になるようで。匿名希望さん情報ありがとうございます。
Microsoft Access 97 / 2000 / 2002、および個別に配布されている Microsoft Access Snapshot Viewer に欠陥。Access に含まれ、個別にも配布されている Microsoft Access Snapshot Viewer において、ActiveX コントロール Snapview.ocx に buffer overflow する欠陥がある。これを利用すると、Access Snapshot Viewer で開いたとたんに攻撃コードが実行されるような Access データベースファイルを作成することが可能になる。
Access 2000 / 2002 には修正プログラムがあるので適用すればよい。 Office Update を利用した更新も可能だ。 Access 97 および個別配布の Access Snapshot Viewer については、更新された Access Snapshot Viewer が配布されているので、これをインストールする。
CVE: CAN-2003-0665。 KB: 827104。
eEye の VBE Document Property Buffer Overflow をまず読み、それから MS03-037 FAQ を読み、最後に MS03-037 を読む、のがいいのかな。
Microsoft Visual Basic for Applications (VBA) 5.0 / 6.0 / 6.2 / 6.3 に欠陥。Microsoft Office などの VBA をサポートするアプリの場合、 アプリが文書を開くと、まずその文書が VBA を必要とするか否かのチェックが行われるそうなのだが、そのチェックの部分で buffer overflow が発生してしまう。 具体的には Visual Basic Design Time Environment library (VBE.DLL および VBE6.DLL) に buffer overflow する欠陥が存在する。 VBE Document Property Buffer Overflow (eEye) にサンプル .doc ファイルのつくりかたが紹介されている。
この欠陥を利用すると、VBA をサポートするアプリが文書を開いたとたんに攻撃コードを実行させることが可能になる。 VBE Document Property Buffer Overflow (eEye) では Inetenet Explorer における危険性 (IE は Office 文書をいきなり開いてしまう場合が多々ある) も指摘している。
修正プログラムがあるので適用すればよい。ただし、アプリによって適用すべきものが異なるので注意されたい。具体的には、修正プログラムには
があるので、適切なものを取得して適用しなければならない。 たとえば Office 2000 と Project 2000 を利用している場合は、 Office 2000 用と Project 2000 用の両方を適用しなければならない。 とっても手間がかかるので、Office 2000 / 2002、Project 2000 / 2002、Visio 2002 については Office Update を利用した更新を行うのがよいだろう。 その他についてはその他用 (Microsoft VBA 用修正プログラム) を個別に適用する。
なお、Office Update を実行すると必要に応じて Office Update 用の ActiveX コントロールの更新が促されるが、 古い ActiveX コントロールが proxy サーバなどに cache されているとこの更新がうまくいかず、結果として Office Update に失敗する場合があるようだ。 その場合の対策は [memo:6368] [memo:6369] [memo:6371] を参照されたい。
CVE: CAN-2003-0347。 KB: 822715。 詳細: VBE Document Property Buffer Overflow (eEye)。 これも Yuji "The Ninja" Ukai さん。
Microsoft Office 97 / 2000 / XP、Word 98、FrontPage 2000 / 2002、Publisher 200 / 2002、Microsoft Works Suite 2001 / 2002 / 2003 に欠陥 (Works Suite 2002 / 2003 は英語版のみ)。 Microsoft Office などに含まれる WordPerfect コンバータに buffer oveflow する欠陥がある。 これを利用すると、Microsoft Office などで文書を開いたとたんに攻撃コードが実行されるような WordPerfect 文書を作成することが可能になる。たとえば、web ページやメールの添付ファイルとして送られてきた WordPerfect 文書を開くとドカ〜ン、という状況が考えられる。
Microsoft Office 2000 / XP、FrontPage 2000 / 2002、Publisher 200 / 2002、Microsoft Works Suite 2001 / 2002 / 2003 については修正プログラムがあるので適用すればよい。 ただし Office 2000 SP3 / Office XP SP1 の適用が前提になる。 Office Update を利用した更新も可能だ。 しかし、Office 97、Word 98 についてはまだ修正プログラムがない。 また Office 97、Word 98 については、修正プログラムが作成されたとしても Office Update を利用した更新はできない。個別の修正プログラムをインストールする必要がある。
CVE: CAN-2003-0666。 KB: 827103。 詳細: EEYE: Microsoft WordPerfect Document Converter Buffer Overflow。 Yuji "The Ninja" Ukai さんですか。
exploit: word.zip (PacketStorm)。
Office 97 / 98 用修正プログラムが登場。 MS03-036 page から入手できる。
Microsoft Word 97 / 98 / 2000 / 2002 (XP)、Microsoft Works Suite 2001 / 2002 / 2003 に欠陥 (Works Suite 2002 / 2003 は英語版のみ)。 Word のマクロセキュリティ機能を迂回できる方法が存在する。 Word マクロセキュリティを「高」 (信頼できる作成元からの署名付きのマクロだけを実行) や「中」(マクロの実行前に警告を表示) に設定していても、「低」と同様にマクロを無警告で実行させることができてしまう。 これを悪用すると、Word マクロセキュリティの設定にかかわらず、 開いたとたんにファイルを削除したりハードディスクをフォーマットするような word 文書を作成することができる。
Word 2000 / 2002 (XP) については修正プログラムがあるので適用すればよい。 ただし Office 2000 SP3 / Office XP SP1 の適用が前提になる。 Office Update を利用した更新も可能だ。 しかし、Word 97 / 98 についてはまだ修正プログラムが存在しない。 また Word 97 / 98 については、修正プログラムが作成されたとしても Office Update を利用した更新はできない。個別の修正プログラムをインストールする必要がある。
Works Suite 2001 / 2002 / 2003 には Word 2000 か Word 2002 (XP) が含まれているようだ。ところで、Microsoft Works Suite 2000 は見つけることができたのだが、Microsoft Works Suite 2001 というのはどこにあるんだろう。 また、Works Suite 2000 に含まれる Word 2000 はどのような扱いになっているんだろう。
なお、この問題は Word のみに存在する。Excel など他の Office 製品には存在しない。
CVE: CAN-2003-0664。 KB: 827653。
Word 97 / 98 用修正プログラムが登場。 MS03-035 page から入手できる。
Windows NT 4.0 / 2000 / XP / 2003 に欠陥。 ある特定の状況において、NetBIOS ネームサービス (NBNS) の応答パケットに、メモリの内容の一部が含まれてしまう。この結果を利用すると、攻撃者は 特殊な NBNS クエリーを送ることにより、被害者の PC のメモリ上にある情報を取得することが可能となる。 Windows Me にはこの欠陥はない。 なお、Windows 98 はもはや調査対象ではないので欠陥があるかどうかはわからない。
修正プログラムがあるので適用すればよい。 また、137/udp をフィルタしていれば、この欠陥を回避できる。 この修正プログラムについては、Windows XP (SP なし) にも適用できるようだ。
CVE: CAN-2003-0661。 KB: 824105。
他人のフリ見て我がフリ直せ。他人事で済んでいるうちに対応しておきませう。 って書くのは簡単なんだけど、目の前が火事にならないと動いてくれない人・部署は多いですよねえ……。
xc/lib/FS/ にも更新個所があるそうです。itojun さん情報ありがとうございます。
Windows XP 初期出荷版 (Service Pack なし) 用の修正プログラム (hotfix) は 2003.09.04 以降には登場しないという話。 Windows XP Service Pack 1 についてはひきつづき修正プログラムが作成されるので、 いまだに初期出荷版を利用している人は今すぐ Service Pack 1 を適用しませう。
2003.09.04 って US 時間なんじゃないかなあ、と思うんだけど……。
2003年9月2日 弊社宛てのメール送信不具合に関するお知らせ (baltimore.co.jp)。 らむじぃさん情報ありがとうございます。 @baltimore.com についてはだいじょうぶだったみたいですね。 逆に、それで気がつくのが遅れたのかなあ。
Microsoft Windows NT 4.0 / 2000 / XP / 2003、Microsoft Office 97 / 2000 / XP (2002) 方面でいろいろ patch が出ているようです。 ふつうのひとは Windows Update + Office Update しておきましょう。
Office Update すると、必要に応じて Office Update 用の ActiveX コントロールの更新が促されるはずですが、 古い ActiveX コントロールが proxy サーバなどに cache されているとこの更新がうまくいかず、結果として Office Update に失敗する場合があるようです。 その場合の対策は [memo:6368] [memo:6369] [memo:6371] を参照してください。
なお、 MS03-037 を除いて、 Office 97 用の修正プログラムはまだのようです。 また Office 97 では Office Update はできませんので、個別の修正プログラムをダウンロードしインストールする必要があります。
パケット・キャプチャからWindowsのファイル・アクセス状況を分析する製品が登場 (日経 IT Pro)。セキュリティフライデーの「VISUACT トランスレータ」。
ルーマニアで「Blaster.F」の容疑者が逮捕される (INTERNET Watch)。
ウイルス配布時に使用されたニックネームが、Ciobanu容疑者が日頃から使用していたものと同じことが身元特定につながったとしている。
Blaster.B の場合もそうだけど、こういう欲求に勝てない人っているんですねえ。 関連: 「MSBlast.F」作成でルーマニアの大学生逮捕 (ZDNet)。
Securing MySQL: step-by-step (securityfocus.com)。
US Air Force Air Combat Command: AN/FPS-118 Over-The-Horizon-Backscatter (OTH-B) Radar (cryptome.org)。そういえば、まだ「ソ連の脅威」があった頃、自衛隊方面でも OTH レーダーとかバイスタティックレーダーとかって話があったような気がするんだけど、その後どうなったんだろう。AWACS を導入できたからいいのかなあ。
日経コンピュータ 200.9.8 によると、明間さんご指摘の状況だったようですね。 唖然。
[connect24h:6355] Re: 自宅サーバー 故障対策は?。 電源の話。便利そう。
[Full-Disclosure] Snort on a Bootable FreeBSD CD to catch Nachi, Blaster & Sobig。 ふむん。
NOD32 ねた。http://pc.2ch.net/test/read.cgi/sec/1059699904/577 ですが、 本家 NOD32.com では NOD32 for Lotus Domino Server や NOD32 for Exchange Server を売ってますから、そういう用途にはそういうものを使うべきでしょう。Products ページ参照。
NOD32 じゃなくて NAI ですが、こんな話もあります: VirusScan Enterprise、NetShield がExchange2000データベースを破損 (NAI)。グループウェア領域は除外設定した方が安全なのでしょう。
『MSブラスター』ワーム感染から復旧できないユーザーが続出 (WIRED NEWS)。
TCP/UDP 135 ポートをブロックした場合の Active Directory を利用した環境への影響 (Microsoft)。 AD ←→ AD、AD ←→ client で使っているので塞がないでね、だそうで。 他については塞いでもいいのでしょう (が、ICF ではそーゆーのは無理なんだよなあ)。
RSSがスパム危機を救う? (ZDNet)。時代は RSS ですか。 そろそろ対応を考えないとダメだなあ。 その場合はもはや HTML 生書きなんてやってられないだろうから、 blog ツールなり日記ツールなりを使うことになるのだろうけど、 問題は、www.st.ryukoku.ac.jp は動的な web ページの設置に耐えられるようなサーバじゃないってことだなあ。 ハードウェアの更新を検討しナイト……。
[aml 35530] 山形大学に対する国家賠償請求訴訟。 こんな事件があったんですね。 盗聴法や有事法制や構造改革は、話をひろげすぎだと思うけど。
Apache Software Foundation ホームページ (apache.org) が変化しています。 欧州における、ソフトウェア特許を認めようという動きに対する抗議のようです。 shimizu さん情報ありがとうございます。 関連:
セキュリティ - 日本のコンピュータ情報 (富士通) というページがあるそうで。
シマンテック、ウイルス対策ソフトの学校向け無制限ライセンス (INTERNET Watch)。K12 向け。
BlasterやSobigで一般ユーザーのウイルス対策ソフトへの認識高まる (INTERNET Watch)。どっちかというと、Windows Update への認識が高まってほしいのだけどなあ……。
[堅]弁護士岡村先生のQ&Aセミナー (極楽せきゅあ日記)。 2003.09.18 10:00-12:30 幕張メッセ。
CERT/CC Current Activity: Increase in traffic to 554/tcp。 これの影響を受ける人はそれほど多くないと思うけど、 Helix Universal Server 9、RealSystem Server 8、RealSystem Server 7、 RealServer G2 を使っている人はちゃんと対策しましょう。
ふつうの人には、 RealNetworks、RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース の方が影響が大きいと思います。 RealOne Player を使っている人はちゃんと対策しましょう。
XFree86 4.3.0 のフォントライブラリに複数の integer overflow 欠陥があり、最新の CVS ソースでは修正されている……そうなのだけど、どこがどのようにアレなのかはよくわからない。 XFree86 CVSweb をちょっとのぞいてみた限りでは、 xc/lib/font/fc/ に更新個所があるようだ。他にもあるかもだけど、よくわからない。
xc/lib/FS/ にも更新個所があるそうです。itojun さん情報ありがとうございます。 まとめると:
xc/lib/font/fc/: fsconvert.c, fserve.c, fslibos.h
xc/lib/FS/: FSFontInfo.c, FSFtNames.c, FSGetCats.c, FSListCats.c, FSListExt.c, FSOpenServ.c, FSQGlyphs.c, FSQXExt.c, FSQXInfo.c, FSlibint.h, FSlibos.h
山内さんから (ありがとうございます):
少し source を見た感じだと、 X Fontserver protocol を解釈する部分で overflow check をしていないので、めちゃくちゃな message を xfs もしくは X server に送りつけると、確保される buffer の size が要求された size よりも小さくなってしまうことが多々あり、それを fix したようです。
たぶん (xfs が初登場した) X11R5 の時点からこのようになっていたと思われるので、現在の XFree86 だけではなく昔の XFree86-3 (昔の X-TT を見た結果これはほぼ確実) や商用の X11 にも影響するのでしょう。
#ただし X11R5 の source は探せば見つかるはずですが確認はしていません
NetBSD: NetBSD Security Advisory 2003-015: Remote and local vulnerabilities in XFree86 font libraries
この件の CVE は CAN-2003-0730 のようです。
de.mcafee.com に XSS 穴あるよという話……でいいのかな。
富士ゼロックスからの案内文書が更新された。新たに DocuPrint CG835、Color DocuTech シリーズ用 Fiery カラーサーバー の情報が追加された。
関連記事と MDAC 2.8 話を追記。
blog ツール b2evolution 0.8.2 以前に XSS 欠陥があり、0.8.2.2 で修正された、ということでいいのかな。
JAVA Secure Socket Extension (JSSE) に欠陥。 [ANNOUNCE] OpenSSL 0.9.7a and 0.9.6i released の話。……って、もう半年も前の話じゃん。 SDK / JRE 1.4.1_02 以前 および 1.4.0_04 以前に含まれる JSSE、および JSSE 1.0.3_01 以前にこの欠陥がある。 SDK / JRE 1.4.1_03 および 1.4.2 以降に含まれる JSSE、 および JSSE 1.0.3_02 にはこの問題はない。
ところで、その後発見された OpenSSL 穴 2 つ についてはどうなっているんだろう。
文書が更新され、OpenSSL 穴 2 つ への対処が含まれたものになっている。 SDK / JRE 1.4.1_04 以降なら ok のようだ。 また JSSE については 1.0.3_02 で ok のようだ。
日本語版: SSRT3627 Java VM (J2SE)とJava Secure Socket Extension (JSSE) におけるセキュリティ脆弱性 (hp)。
オープンソースになっているそうな……。日本がターゲット、ですか。 どこにあるかは……さがしてください。 関連:
アンテナ内蔵型ミューチップが開発された、という話。製品化にはもうしばらくかかる模様。
アンテナが小さい分、ICタグのデータを読み書きする装置であるリーダー/ライターとの通信距離は短くなる。データを読み取る際にはリーダー/ライターと数ミリの範囲で「密着」させることが必要だ。その一方で、セキュリティ上のメリットもあると井村氏は指摘する。「離れた機器から自動的に読み取られることがなくなるので、心配されるプライバシの保護にも役立つはずだ」(同)
しかしそうなると、バーコードと同様の運用を想定せざるを得ないですね。 それでかまわない領域ではそれでかまわないのでしょうが、「電波であることの利点」はほとんどなくなりますね。
日立プレスリリース: アンテナ内蔵型「ミューチップ」を開発 世界最小0.4mm角のチップのみで動作可能。
なお、アンテナ内蔵型「ミューチップ」は、 9月10日から12日に東京ビックサイトで開催する第5回自動認識総合展に参考出展する予定です。
興味のある方はどうぞ。
関連: “金のアンテナ”内蔵がもたらす大きな未来——日立「新ミューチップ」 (ZDNet)。
NTT東日本によると (中略) 8月20日以降1日2,000件以上に急増したため、調査した結果ウイルス「Blaster」の影響である可能性が高いとして急遽発表したとのこと。
調査に 2 週間近くかかるわけですね…… > NTT 東日本。
某所より、関連リンク集 (発表順):
ヤマハさんは 8/22 に情報を公開していました。内容も、ヤマハさんのものがいちばんしっかりしていると思います。さすがだなあ。
http://www.kaspersky.co.jp/、 なかなか販売がはじまらないなあ……。待っているんですが。
日医大、東邦大がセカンドオピニオン窓口を開設 (日経 BizTech)。
元の医師に戻って治療することが前提となっている。
それって意味あるの?
[aml 35521] アーミテージ新語録:日本よ、Don't walk away !。 つくづくなさけないなあ、日本政府。
経産省が独自OSを開発!?——一部報道の真相 (日経 IT Pro)。独自でやるなとは言わないが、独自にこだわってクソをつくるのだけは避けてほしい。
住基ネット 情報漏えい、国に調査求める 高槻市が条例制定 (毎日)。「徐々に広がる」って、逆に言うとほとんどの自治体にはそういうものはない、ということなのでは……。
バグダッド国連爆破テロの深層 (tanakanews.com)。
[aml 35494] 鎌仲ひとみ監督の話もある『ヒバクシャ 世界の終わりに』上映会。 2003.09.05 18:30〜 武蔵野公会堂ホール (吉祥寺南口3分、丸井東側)。
RAV Antivirus for MailServers販売中止のお知らせ (オレンジソフト)。アンチウィルスソフトは他にもいろいろあると思うのだが、オレンジソフトとしての次の一手はないのか。
MSがVirtual PC for Windowsの試用版を無償提供 (日経 IT Pro)。 Microsoft Virtual PC (MSKK) を見る限り、日本では (まだ?) やっていないみたいですね。
見えない網・追跡ネット自殺 (毎日)
一酸化炭素ものは、とても苦しいらしいですね。 人生自体、つらく苦しいものだけどさ。
お詫びとお知らせ: 滋賀工場製造のQoo(クー)オレンジ500mlペットボトル製品の自主回収について (日本コカ・コーラ)。
<対象製品>
●Qoo(クー)オレンジ500mlペットボトルキャップ側面に下記の賞味期限及び製造所固有記号の記載があるもの
031110/MSI 031111/MSI 031116/MSI 031202/MSI 021211/MSI
031216/MSI 031227/MSI 040104/MSI 040111/MSI 040112/MSI
040126/MSI 040225/MSI 040307/MSI 040313/MSI 040405/MSI
040406/MSI
痴漢容疑で逮捕の男性不起訴 身重の妻が目撃者見つける (asahi.com)。 世の中には勘違い系の人がいるので自衛しましょう。
男性は「話せば分かると思って警察へ行ったが、『お前がやったのは明らかだ』と怒鳴られるばかりだった。少なくとも目撃者が現れた後の勾留は不当で悔しい」と話している。
教訓: 警察へ行ったら負け。
富田林署幹部は「女性の訴えに基づいて適正な捜査をしたと考えている」と話している。
適正な捜査 = 怒鳴られるばかり。
イラク爆弾テロ:「アルカイダとの関連情報ない」 (毎日)。なんでもアルカイダのせいにしたい人もいるようですが。
英情報操作疑惑:「夫は国防省に裏切られた」 ケリー氏夫人 (毎日)。UK 政府、敗色濃いですね。
WTO:エイズコピー治療薬解禁へ 枠組み合意 (真紀奈17歳さん)。逆流防止は無理だと思う。たとえば、すでに US ではそういう状況になっているのでは。 メキシコにお薬買物ツアー、とか。
http://pc.2ch.net/test/read.cgi/sec/1059699904/573 を読んで「およ?」と思って調べてみると、 NOD32 の 動作環境 には確かに Windows 2000 Server や Windows Server 2003 Standard Edition が含まれている。なぜか NT 4.0 Server は含まれていない。 商用サーバライセンス、という意味では、 この価格 は格安だろう。 NOD32アンチウイルス コーポレートライセンス 見積システム をいじってみればわかるが、 商用クライアントライセンスという意味でも安い。
私自身は NOD32 を使ったことがない。NOD32 スレ (2ch.net) を読む限りでは、機能・性能は悪くないが初期設定や設定 UI にちょっと難あり、なのかな。
ちなみに、本家 NOD32 には Linux / *BSD x86 版もあったりする。 こっちも販売してくれないかなあ > canon-sol.jp さん。
19の罠−ハッカーの挑戦 2 (翔泳社)。パート 2 キター。 9/19 発売。
究極のバイオメトリクス?——日立、“指の静脈”を使った個人認証システム (ZDNet)。 63 万円ですか。けっこういいお値段ですねえ。
マイクロソフトのテレビCMで (高木浩光@茨城県つくば市 の日記)。 この論理を進めると、デフォルトで hotfix / Service Pack 強制適用、という方向しかなさそうに思える。 その場合、hotfix / Service Pack 自身の品質をもう一段階上げる事は必須だろう。 え? 一段階じゃ足りない?
現状では任意更新の Windows Update か、これまた任意の自動更新かしかない。その自動更新は
新しい更新をインストールする準備ができました
コンピュータの更新が Windows Update からダウンロードされました。更新を確認してインストールするには、ここをクリックしてください。
なんて表示する。これをたとえば
新しい更新をインストールする準備ができました
コンピュータ ウィルスの感染を予防するためにも、今すぐインストールしてください。更新を確認してインストールするには、ここをクリックしてください。
と変更するだけで、ずいぶんイメージが違うように思う。
あと、デフォルトで hotfix / Service Pack 強制適用させるのであれば、 OEM 品についてはやはり OEM ベンダーが行うべきだろう。OEM ベンダー自身が Windows Update サイトを運用するわけだ。 どの OEM ベンダーも実施していないようなので、 現状の OEM ライセンス契約では、そういうことはできないようになっているのではないかと推測するが、もはやそんなわけにはいかないと思う。
おまけ: http proxy に対応してください > 自動更新。
RealOne Player (英語版のみ)、RealOne Player v2 for Windows (すべての言語版)、RealOne Enterprise Desktop (すべての言語版、スタンドアロンおよび RealOne Desktop Manager により設定されたもの) に欠陥。SMIL 言語において javascript: URL を指定すると、直前に指定された URL のゾーン権限において、javascript: URL の中身が実行されてしまう。これを悪用すると、攻撃者は任意の JavaScript コードをローカルコンピュータゾーン権限で実行させることが可能となる。 攻撃者は、SMIL ファイルを web ページに設置した上で被害者をそのページに誘導したり、被害者にメールの添付ファイルとして送りつけたりすることが可能である。
修正プログラムが用意されているので適用すればよい。RealOne Player v2 の場合は、ツールメニューから [アップデートをチェック(U)] を選択し、 「セキュリティアップデート - 2003 年 8 月」をチェックした上で [インストール] をクリックすればよい。インストールすると RealOne Player v2 の再起動を促されるので、再起動する。
詳細: RealOne Player Allows Cross Zone and Domain Access 。サンプルコードが示されている。
これが原因で、ISS AlertCon は AlertCon 2 になっています。
RIAAが明らかにした著作権侵害の調査テクニック (WIRED NEWS)。
たとえば、RIAAは「ハッシュ」というデジタル指紋のライブラリーを使用していることを明らかにした。(中略) 特定の人物のコンピューターに保存されている音楽ファイルの指紋を、保有するライブラリーと比較することで、合法的に購入したCDから録音した楽曲なのか、それともインターネット上の他のユーザーからダウンロードしたものかを判別できる場合があるとRIAAは主張している。
メールアドレス登録、検索サイトから4万5千件を超える個人情報が流出(2003.9.1) (netsecurity.ne.jp)。
漏洩したのは氏名、現住所、出身地、生年月日、学校名、趣味、職業/職種、クラブ・サークルといった個人情報
[Full-Disclosure] [Update]:Cross Site Scripting in Webbased Virusencyclopedia has fixed。 www.trendmicro.co.jp はだいじょうぶなのかな。
どこまでが「OSやアプリケーションが組み込まれたハードウェア機器」で、 どこからが「プリインストール・パソコン」なんだろう。 もはや区別なんてつけられない時代だと思うのだが……。
relays.osirusoft.com の参照はやめましょう。
<[email protected]>: host rt.baltimore.co.jp[210.154.102.122] said: 554 Service unavailable; [133.83.4.52] blocked using relays.osirusoft.com, reason: Please stop using relays.osirusoft.com
318197 - [HOWTO] Windows NT Embedded 4.0 ランタイム イメージに Service Pack 6a とセキュリティ修正プログラムを適用する (Microsoft)。
プラントの運転状況: 日立が主要設備を納入した商用炉の運転状況は下記のとおりです。 (日立)。 こんなページがあったとは。
MSBlast.B作成の少年は「遊び好きの普通の子」 (ZDNet)。 ふつうの子はこういうページ、つくりますかねえ: t33kid.com の google cache。
メールサーバを夏休み体制から通常体制に戻したら、この反動でエラーメールの山が生成されてしまったようで、 受け側 (私) のプロセステーブルが埋まってしまった。ほとんど DoS 状態。 いちばんまずいのは、「じゃあとりあえず飯でも食うか」と思って xlock しようとすると、これにも当然失敗してしまうこと。 プロセステーブルに空きができるまで、机を離れられないじゃん……。
個人的には、「保守用パソコン」をインターネットに接続してしまったことよりも、
「保守用パソコン」に patch が適用されていなかったこと
「保守用パソコン」に personal firewall が設置されていなかったこと
「保守用パソコン」に最新のアンチウィルスデータが含まれていなかったこと
の方がはるかに重大なのではないかと。しかも
保守用パソコンをPNETに再接続した後、ほかの2台の保守用パソコンにも感染。
不適切な管理がされていた PC は 1 台だけではなかった。
NEC に管理を委託している人はたくさんいると思うが、NEC の作業員は上記のようなシロモノを「保守用」と称して持ち込んでいることになるからだ。 龍大も NEC なので、シャレになってない。 NEC は全ての「保守用パソコン」の点検を行ったのだろうか?
……明間さんから (ありがとうございます):
私は IT Pro の元記事を「NEC の作業員は上記のようなシロモノを「保守用」と称して持ち込んでいる」とはとらず、ちょうど測定機器のお守りPCのような「交換機のユーザーインターフェースを担当するPC」だと受け取りました。つまり「保守用パソコン」は郵政公社が設置して杜撰な管理をしていたシロモノではないかということです。
正確なところは続報を待たないといけませんが、記事を読んだ時点で「買ってきたままの姿でモデムも組み込まれたまま管理者ユーザーがパスワードも なしに自動ログオンするようになっているパソコン」が反射的に目に浮かびました。
そういう可能性は考えられますが、そういうものを Internet についないだのだとしたら、 それは正真正銘の大馬鹿者、即刻解雇というレベルだと思います。 いくらなんでもそれはないだろう、と思っているのですが、……。
日経コンピュータ 200.9.8 によると、明間さんご指摘の状況だったようですね。 唖然。
しかし、そういう事態が発生しているにもかかわらず patch あてを怠り、結果として今度は Nachi の大量感染 (4000 台) を招いてしまったというのは、なさけなさすぎですね > 郵政公社。