セキュリティホール memo - 2004.10

Last modified: Tue Jul 11 13:29:59 2006 +0900 (JST)


2004.10.30


2004.10.29

JVN#E59B594B 鶴亀メールにおけるS/MIMEの署名検証に脆弱性
(JVN, 2004.10.28)

 鶴亀メール 3.70 以前に欠陥。S/MIME の署名検証が不十分である (証明書パスが検証されない、有効期限が検証されない) ため、自己署名証明書を使った電子署名メールを送られても、そうとは気がつかない。

 鶴亀メール 3.71 以降で修正されている。 鶴亀メールの改版履歴 を見る限りでは 3.70 で直っているような気がしないでもないのだが、最新は 3.71 なので、まあいいか。

2004.11.01 追記:

 関連: 開発者のプライドか、それとも「脆弱性」のネガティブイメージの影響か (高木浩光@茨城県つくば市 の日記, 2004.10.30)。

2004.12.22 追記:

 このままではJVNは役に立たない (高木浩光@自宅の日記, 12/19)。 鶴亀メールの S/MIME まわりにはさらなる欠陥があり、4.00 版で修正された (「S/MIME電子署名の検証関係での脆弱性のバグ対応」) のだが、 そのことが JVN の記述からはわからない、という指摘。

New URL spoofing bug in Microsoft Internet Explorer
(bugtraq, Fri, 29 Oct 2004 06:38:16 +0900)

 IE 6.0 SP1 において URL を詐称するリンクが作成可能だ、という指摘。 手元で試したところ、IE 6.0 SP1 と IE 5.01 SP4 で再現でき、 IE 6.0 SP2 (Windows XP SP2), Mozilla 1.7.3, Opera 7.54 では再現できなかった。 再現できないブラウザを使いましょう。

 ……ひろりんさんから (ありがとうございます):

試されたものでは、
<a href="http://www.microsoft.com/"><table><tr><td><a href="http://www.google.com/">Click here</td></tr></table></a>
となっておりますが、これをHTML的に正しそうな状態である、
<a href="http://www.microsoft.com/"><table><tr><td><a href="http://www.google.com/">Click here</a></td></tr></table></a>
のようにテーブル内にもちゃんとを入れてやるとFirefox0.10.1でも、ステータスバーへのリンク先表示がmicrosoftになります。
このとき、リンクをクリックする方法によって、
1)同一ウインドウで表示させると、ステータスバーどおりでmicrosoft
2)他のタブや新ウインドウで表示させると、ステータスバーの内容に反してgoogle
のような挙動を示しました。

 さっそく試してみたところ、手元の Mozilla 1.7.3 でも同様になりました。 Opera 7.54 ではどちらも google が出ました。

2004.11.02 追記:

 さらに新たな手法: Re: New URL spoofing bug in Microsoft Internet Explorer。 例によってテストページをつくってみた。 IE 6.0 SP2 でもひっかかるっぽい (色が変だけど)。 Mozilla 1.7.3 はひっかからない。 Opera 7.54 だとひっかかりそう (よく見れば判断できるかもなのだけど)。

 関連: IEのステータス・バーを偽装する手法が複数公開される (日経 IT Pro, 2004.11.01)

追記

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)

 888952 - [IC2004] MS04-038 適用後、連絡先情報でドラッグ アンド ドロップができない (Microsoft)。InterConnect 2004 で副作用が発生するそうです。

RealPlayer および RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース

 Exploit-RealSkin (マカフィー)。 「現行のエンジン」という書き方は誤解を招きそうだなあ。 英語版

squid-2.5.STABLE6-SNMP_core_dump: SNMP related denial of service

 fix / patch:

PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability

 PuTTY IPv6 も 0.56 ベースになったそうです。


2004.10.28

APPLE-SA-2004-10-27 QuickTime 6.5.2
(apple, Thu, 28 Oct 2004 02:40:37 +0900)

 QuickTime 6.5.2 登場。2 つの欠陥が修正されている。

CAN-2004-0988

 Windows 版の QuickTime に欠陥。integer overflow が発生するため、悪意ある HTML により任意のコードを実行可能。 Mac OS X 版の QuickTime にはこの欠陥はない。

CAN-2004-0926

 Windows 版、および Mac OS X 版の QuickTime に欠陥。 BMP 画像の扱いに欠陥があるため、悪意ある BMP ファイルにより任意のコードを実行可能。 Mac OS X 向けには、既に APPLE-SA-2004-09-30 Security Update 2004-09-30 において修正されている欠陥。

 QuickTime 6.5.2 は http://www.apple.com/quicktime/download/ から入手できる。 iTunes はイラネという人は QuickTime Standalone Installer から。 (らむじぃさん感謝)

 関連:

追記

RealPlayer および RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース

 High Risk Vulnerability in RealPlayer。NGSSoftware が発見したそうだ。詳細は 2005.01.27 に公開する、とされている。

Changes since cabextract 1.0

 CVE: CAN-2004-0916

 fix / patch:

Apache HTTP Server 1.3.32 リリース

 [Apache-Users 4733] より:

開発者の間でも、release 用のディレクトリに tar ball が置かれたということは実質的にリリースされたようなものだ、という意見はあるようです。ですが、リリースのアナウンスのメール送られていません。来たるべき 1.3.33 のアナウンスでは 1.3.32 は「正式には」リリースされなかったということになっています。

 なんだそりゃ〜。

PuTTY SSH2_MSG_DEBUG Buffer Overflow Vulnerability
(iDEFENSE, 2004.10.27)

 PuTTY 0.55 以前に欠陥。SSH2_MSG_DEBUG パケットの処理に欠陥があるため、 悪意ある ssh サーバが PuTTY 動作権限で任意のコードを実行することが可能。 2004-10-26 ANOTHER SECURITY HOLE, fixed in PuTTY 0.56 によると、SSH2 プロトコルにおいては、攻撃はホストキー認証の前に行うことが可能とされている。

 PuTTY 0.56 で修正されている。 また PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ も 0.56 ベースのものが登場している。木村さん情報ありがとうございます。 PuTTY β 0.56 ごった煮版 も 0.56 ベースになったそうです。藤井さん情報ありがとうございます。

 関連: GLSA 200410-29 - PuTTY: Pre-authentication buffer overflow (gentoo.org)。

2004.10.29 追記:

 PuTTY IPv6 も 0.56 ベースになったそうです。

2004.11.01 追記:

 WinSCP 3.71 が出ています。SSH core upgraded to PuTTY 0.56 だそうです。stm_d さん情報ありがとうございます。

 PuTTY 0.56 + IPv6 patch10 + fix01 というものがあるそうです。stm_d さん情報ありがとうございます。

パスフレーズ vs. パスワード Part 1
(Microsoft, 2004.10.27)

 LM ハッシュを破棄する方法と、その影響。 LM ハッシュは Project RainbowCrack とか使われるとすぐヤラれるらしいです。 セキュリティフライデー,脆弱なパスワードを数秒で解読するシステムを開発 (日経 IT Pro, 5/20) にあるように、NTLM も v2 でないとあれな模様なのですが、その話はきっと Part 2 以降で出てくるのでしょう。


2004.10.27

追記

Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037)

 「Program Group Converter の脆弱性」の回避策として「.grp ファイルと grpconv.exe アプリケーションの関連付けを削除するよう .inf ファイルを使用してレジストリの設定を変更する方法」が MS04-037 に記載されていたが、これは、 Windows NT 4.0 と Windows 2000 では機能しないことが判明。 「この回避策は、Windows XP、Windows XP Service Pack1 および Windows Server 2003 でのみ有効です」という注が追記された。

RealPlayer および RealOne Player のセキュリティ脆弱性に対応するアップデートをリリース
(RealNetworks, 2004.10.26)

 Windows 用の RealOne Player v1/v2、RealPlayer 10 / 10.5 に欠陥。 DUNZIP32.DLL において buffer overflow する欠陥があり、 悪意あるスキンファイルによって任意のコードを実行可能。 Windows 用の RealPlayer 8 にはこの欠陥はない。 また Mac OS や Linux など、Windows でないプラットホーム向けの RealOne Player / RealPlayer にはこの欠陥はない。 CVE: CVE-2004-1094

 RealPlayer 10.5 (6.0.12.1056) で修正されている。 また、RealOne Player v1/v2、RealPlayer 10 / 10.5 用のアップデートが用意されている。

2004.10.28 追記:

 High Risk Vulnerability in RealPlayer。NGSSoftware が発見したそうだ。詳細は 2005.01.27 に公開する、とされている。

2004.10.29 追記:

 Exploit-RealSkin (マカフィー)。 「現行のエンジン」という書き方は誤解を招きそうだなあ。 英語版


2004.10.26

追記

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

 888098 - Windows XP SP2 ベースのコンピュータ上の Ntvdmd.dll ファイルのバージョン番号が、Windows XP SP2 ベースの他のコンピュータまたは更新プログラム MS04-032 に含まれる Ntvdmd.dll のバージョン番号より小さい (Microsoft)。仕様だそうです。

「欧州で流行する“サイバー恐喝”,国内でもDoS対策は不可欠」——米Top LayerのCEO

 関連記事: 警察庁、7〜9月のSYN flood攻撃について分析〜中国への攻撃が最多 (Internet Watch, 10/25)。

国別では中国からの跳ね返りパケットが73,474件で最多、続いて米国が2,267件で2位。警察庁では「この2国からのパケットは定常的に検知しており、両国に対するSYN flood攻撃が常態化している」という。 (中略) 米国からの跳ね返りパケットではオンライン賭博サイトからのものが多く、「企業恐喝にSYM flood攻撃が用いられている可能性が高い」と分析。

ニセ Red Hat セキュリティ情報
(various, 2004.10.25)

 ニセの Red Hat セキュリティ情報が出回っており、これに従って「patch」を適用すると、バックドアが作成される模様です。匿名希望さんご提供 (ありがとうございます) のニセ情報:

 HTML メール、というあたりから怪しさ爆発です。ニセサイト www.fedora-redhat.com には現在は接続できないようです。

 Red Hat は Security and Updates で次のように注意を呼びかけています。

Official messages from the Red Hat security team are never sent unsolicited, are always sent from the address [email protected], and are digitally signed by GPG. All official updates for Red Hat products are digitally signed and should not be installed unless they are correctly signed and the signature is verified. For more details see www.redhat.com/security/team/key.html.

 たとえば、ニセメールでは、patch のインストール手順がこのように説明されていました:

* First download the patch from the Security RedHat mirror: wget www.fedora-redhat.com/
fileutils-1.0.6.patch.tar.gz
* Untar the patch: tar zxvf fileutils-1.0.6.patch.tar.gz
* cd fileutils-1.0.6.patch
* make
* ./inst

 しかし、まともな Red Hat の patch であれば GPG 署名された .rpm 形式で配布されるので、このようなインストール手順が記載されるはずがない、ということですね。

 なお、バックドアコードとその解説が http://www.k-otik.com/news/FakeRedhatPatchAnalysis.txt.php に掲載されています。

 関連:


2004.10.25

IEに2種類のセキュリティ・ホール,組み合わせるとXP SP2も影響を受ける
(日経 IT Pro, 2004.10.21)

 [Full-Disclosure] How to Break Windows XP SP2 + Internet Explorer 6 SP2 (http-equiv 氏) と [SA12889] Microsoft Internet Explorer Two Vulnerabilities (secunia) の件。http://www.malware.com/noceegar.html にデモページがある模様。

 PivX の Thor Larholm 氏は 問題の存在を確認し、 QwikFix をインストールしてあれば防げる、としている。 また、

In order for http-equiv's exploit to work the "ceegar.html" file uses the AnchorClick behavior to open "C:\WINDOWS\PCHealth\" in a named window which is then used as a drop target for the DYNSRC pointing to the "malwarez" file. When any behavior in IE tries to list a local directory it uses the Shell.Explorer ActiveX object, an object which has no justification of use inside the browser but which is heavily used by Windows Explorer itself.

ということに関連して、Shell.Explorer ActiveX オブジェクトに kill bit を設定するための .reg ファイルが http://www.pivx.com/research/freefixes/neutershellexplorer.reg で公開されているという。 neutershellexplorer.reg を適用すると、デモページがうまく動かなくなることを手元の Windows XP SP1 で確認した。

2004.11.08 追記:

 888534 - Internet Explorer のセキュリティ上の問題 "クリックとスクロール" からコンピュータを保護する方法 (Microsoft)。 MS04-038 を適用し、インターネットゾーンおよびイントラネットゾーンで「ファイルのドラッグ/ドロップ、またはコピー/貼り付け」を無効とすれば回避できるようです。

2005.02.09 追記:

 MS05-008MS05-014 との合わせ技で修正されている。 (CVE: CAN-2005-0053

pacsec.jp から
(pacsec.jp)

2004.11.19 追記:

 pacsec.jp に参加した方から、Firewire/IEEE1394に物理的セキュリティ侵害につながる脆弱性 は恐いものがあった旨、教えていただいた。 ターゲットコンピュータに IEEE1394 経由で攻撃者のコンピュータを接続し、とあるツールを動かすと、ターゲットコンピュータの内部情報にアクセスできる他、ターゲットコンピュータ上で動作しているプロセスの権限を直接 (!) 変更できたりする……というデモが行われた模様。

2004.11.30 追記:

 FireWire Presentation and Demos on Video (Red Team, 11/18)。

追記

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

 MS04-032 の副作用問題、Microsoft により対応されたようです。


2004.10.23

Apache <= 1.3.32 mod_include local buffer overflow Exploit
(k-otik.com, 2004.10.21)

 apache 1.3.32 以前の 1.3 系列に欠陥。mod_include に buffer overflow する欠陥があるため、server side include (SSI) が有効なサーバ領域にファイルをアップロードできる場合に、apache サーバ権限で任意のコードを実行することができる。 Exploit は Red Hat Linux 9.0 での実行を確認できている、とされている。 SSI を無効にすれば (デフォルトは無効)、この欠陥は回避できるはず。 CVE: CAN-2004-0940

 参照記事のタイトル自体は「Apache <= 1.3.31 mod_include local buffer overflow Exploit」なのだが、1.3.32 の登場により誤解されかねないので、この記事では <= 1.3.32 に直してある。

 apache-1.3/src/modules/standard/mod_include.c 1.141 ではこの欠陥が修正されている。 1.140 との diff を apache 1.3.32 に適用の上、apache を再構築すればいいのかな。

2004.11.01 追記:

 apache 1.3.33 が出ました。この欠陥が修正されています。 CHANGES_1.3

fix / patch:

Apache HTTP Server 1.3.32 リリース
(apache.org, 2004.10.21)

 apache 1.3.32 が登場しました。

CAN-2004-0492 (cve.mitre.org)
遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。

という欠陥が修正されているそうです。負の Content-Length というと、 先日の Helix Server の潜在的な脆弱性 が想起されます。 Overview of security vulnerabilities in Apache httpd 1.3 (apacheweek.com) を見ると、 CAN-2004-0492[Full-Disclosure] Buffer overflow in apache mod_proxy, yet still apache much better than windows の fix である模様。

 apache 1.3.32 のリリースアナウンスにはこんな文章も:

Forensic ロギングが有効になっているときに、ある無効なリクエストを送られると子プロセスがセグメンテーションフォールトを起こす症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。

 mod_log_forensic というものが apache 1.3.30 以降にはあったんですね。知りませんでした。

2004.10.28 追記:

 [Apache-Users 4733] より:

開発者の間でも、release 用のディレクトリに tar ball が置かれたということは実質的にリリースされたようなものだ、という意見はあるようです。ですが、リリースのアナウンスのメール送られていません。来たるべき 1.3.33 のアナウンスでは 1.3.32 は「正式には」リリースされなかったということになっています。

 なんだそりゃ〜。


2004.10.22

追記

JVN#61857DA9: DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

 BIND query大量送信によるTCP SYN_SENT状態遷移時のサーバリソース消費に関する問題の分析結果 (IPA, 2004.10.22)

Fixed in Apache httpd 2.0.53-dev: SSLCipherSuite bypass CAN-2004-0885

 mod_ssl 2.8.20-1.3.31 が出ています。この欠陥が修正されています。

 fix / patch:

「Sleipnir」「Firefox」などのタブ切り換え型Webブラウザーに存在する脆弱性: Secuniaで報告されたソフト以外のWebブラウザーも編集部にて検証
(窓の杜, 2004.10.21)

 Mozilla や Opera などの多くのタブ対応 web ブラウザに欠陥。

 Secunia によると、Mozilla 1.7.3, Firefox 0.10.1, Netscape 7.2, Avant Browser 9.02 / 10.0, Maxthon (MyIE2) 1.1.039 には両方の欠陥があるという。 また Opera 7.54 には前者の欠陥がある (後者については存在しない) という。 手元の Mozilla 1.7.3 でも欠陥の存在を確認できた。

 窓の杜によると、Sleipnir 1.66, WeBox 0.98A,すごいたぶちさん 4.0 にも両方の欠陥があるという。 また Collector 3.2 には前者の欠陥がある (後者については存在しない) という。 影鷹 0.3.1 にはどちらの欠陥も存在しないという。

 回避するには JavaScript (アクティブスクリプト) を無効とすればよい。 各ブラウザとも、修正版はまだ存在しないようだ。

Changes since cabextract 1.0
(cabextract, 2004.10.18)

 cabextract 1.0 以前に欠陥。.. バグがあり、意図しない場所にファイルが展開される恐れがある。 cabextract 1.1 で修正されている。 CVE: CAN-2004-0916

fix / patch:

Google、検索サービスのセキュリティ欠陥を修正
(ITmedia, 2004.10.21)

 Google Script Insertion Exploit の話のようです。 ITmedia 記事では「修正した」と過去形ですが、 Google Desktop Exploit で Jim Ley 氏は

Google have now patched their boxes, and the last time I saw the exploit working was 5:51 GMT on 20th October 2004, the fix doesn't seem to be complete to me - it still special cases the strings javascript and vbscript, so it's still possible to put things other than http urls into the img (which seems to be the only logical thing to allow to me)

と、「fix はまだ完全じゃない」と主張しています。


2004.10.21

JVN#61857DA9: DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費
(JVN, 2004.10.20)

 権威ある DNS サーバが 53/tcp への問いあわせに答えないと、 DNS キャッシュサーバに負荷がかかる、という話。 DNS Anomalies and Their Impacts on DNS Cache Servers (NANOG) の前半にあるのは、 Antinny - www.accsjp.or.jp 話 (DDoS 食らってるからといって A レコードを削除するのはやめましょう)。 RFC3330: 特別に使用する IPv4 アドレス というものがあるんですね。TEST-NET ですか……。

 自分が管理している「権威ある DNS サーバ」が 53/tcp への問いあわせにもちゃんと答えることを簡単に確認するには、どうすればよいのだろう。 長大な回答になる逆引きを 1 個用意して、それが引けるかどうかを見ればよいのかな。

 …… bind 8 の dig だと +vc、bind 9 の dig だと +vc+tcp というオプションが使えるようです。 加納さん、山本さん情報ありがとうございます。 bind 9.3.0 の dig(1) より:

+[no]tcp
Use [do not use] TCP when querying name servers. The default behaviour is to use UDP unless an AXFR or IXFR query is requested, in which case a TCP connection is used.
+[no]vc
Use [do not use] TCP when querying name servers. This alternate syntax to +[no]tcp is provided for backwards compatibility. The "vc" stands for "virtual circuit".

2004.10.22 追記:

 BIND query大量送信によるTCP SYN_SENT状態遷移時のサーバリソース消費に関する問題の分析結果 (IPA, 2004.10.22)

2004.11.26 追記:

 Internet-Draft が出たそうです:


2004.10.20

LibTIFF Multiple Image Decoder Parsing Vulnerabilities
(secunia, Fri, 15 Oct 2004 00:04:10 +0900)

 LibTIFF 3.6.1 以前に複数の欠陥。

 LibTIFF 3.7.0 で修正されている。

fix / patch:

squid-2.5.STABLE6-SNMP_core_dump: SNMP related denial of service
(squid.org, 2004.09.29)

 squid 2.5 以前に欠陥。 SNMP 機能が有効な場合に、細工した SNMP リクエストにより squid が Segmentation Fault し再起動してしまう。

 squid 2.5.STABLE6 用の patch が用意されている他、squid 2.5.STABLE7 で修正されている。また、squid.conf に snmp_port 0 とすることで回避できる。

fix / patch:

追記

CUPS STR #920: Device URIs containning username & password end up in error_log

 fix / patch:

[Full-Disclosure] GNU sharutils <= 4.2.1 Format String POC

 fix / patch:

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

 885920 - MS04-028 Enterprise Update Scanning Tool の入手方法および Systems Management Server を使用している環境での使用方法 (Microsoft)。

[Full-Disclosure] iDEFENSE Security Advisory 10.18.04: Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability

 Exploit-ZIP (マカフィー)。DAT4398 で対応。

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

 この patch の適用により、副作用の発生するソフトが存在するようです。


2004.10.19

[Full-Disclosure] iDEFENSE Security Advisory 10.18.04: Multiple Vendor Anti-Virus Software Detection Evasion Vulnerability
(Full-Disclosure ML, Tue, 19 Oct 2004 00:17:55 +0900)

 複数のアンチウイルス製品に欠陥。 .zip ファイルのヘッダ情報の検証手法に欠陥がある。 .zip ファイルの 2 つのファイルヘッダ (local ヘッダと global ヘッダ) における非圧縮時のファイルサイズ情報を、.zip アーカイブとしての機能が損なわれない (WinZip や Windows XP の圧縮フォルダがきちんと機能する) 程度に改変すると、既知のウイルスがウイルス検査をすり抜けることができるという。 iDEFENSE は、マカフィー、コンピュータアソシエイツ (CA)、Kaspersky、Sophos、Eset、RAV の製品において現象を確認した、としている。

 マカフィー (CVE: CAN-2004-0932) は、DAT4398 にこの問題への対応が含まれているそうだ。最新 DAT は 4399。

 CA (CVE: CAN-2004-0933) は、http://supportconnectw.ca.com/public/ca_common_docs/arclib_vuln.asp において、問題の説明と、修正プログラムの配布が行われている。

 Kaspersky (CVE: CAN-2004-0934) は、3.x / 4.x は次の累積的更新で、5.x は次のメインテナンスパックで、対応されるようだ。

 Eset (CVE: CAN-2004-0935) は、2004.09.16 21:00 CET に公開された archive-support module version 1.020 で対応されているそうだ。手元の NOD32 では 「アーカイブサポートバージョン 1.021 (20040917)」になっていた。

 Sophos (CVE: CAN-2004-0937) および RAV (CVE: CAN-2004-0936) については情報なし、とされている。

 WinZip などで展開される段階か、個別のファイルが実行される段階で、ウイルス検査にひっかかるだろうから、実害は大きくはなさそうな気はする。 また、本当に欠陥があるのは WinZip や Windows XP の圧縮フォルダ、のような気がする。

 関連: 複数のウイルス対策ソフトにぜい弱性,ZIPファイルを適切にチェックできない (日経 IT Pro, 10/19)

2004.10.20 追記:

 Exploit-ZIP (マカフィー)。DAT4398 で対応。

2004.11.24 追記:

 関連か: F-Secure Security Bulletin FSC-2004-3: ZIP-files with zero size may bypass scanning。 修正プログラムがあるので適用すればよい。


2004.10.18

「欧州で流行する“サイバー恐喝”,国内でもDoS対策は不可欠」——米Top LayerのCEO
(日経 IT Pro, 2004.10.15)

 そういう時代のようです。

2004.10.26 追記:

 関連記事: 警察庁、7〜9月のSYN flood攻撃について分析〜中国への攻撃が最多 (Internet Watch, 10/25)。

国別では中国からの跳ね返りパケットが73,474件で最多、続いて米国が2,267件で2位。警察庁では「この2国からのパケットは定常的に検知しており、両国に対するSYN flood攻撃が常態化している」という。 (中略) 米国からの跳ね返りパケットではオンライン賭博サイトからのものが多く、「企業恐喝にSYM flood攻撃が用いられている可能性が高い」と分析。

2004.10.15

追記

ハードディスクレコーダーからのコメントスパム攻撃

 JVN#E7DDE712: 東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能 (JVN)。


2004.10.14

NetDDE の脆弱性により、リモートでコードが実行される (841533) (MS04-031)
(Microsoft, 2004.10.13)

 Windows NT 4.0 / 2000 / XP / Server 2003 に欠陥。 Network Dynamic Data Exchange (NetDDE) サービスに buffer overflow する欠陥があり、remote から任意のコードの実行が可能。 ただし、NetDDE サービスはデフォルトでは動作していない。 CVE: CAN-2004-0206

 修正プログラムがあるので適用すればよい。Windows NT Workstation 4.0 については、有償サポートに問いあわせること。

2005.01.31 追記:

2006.06.26 追記:

 MS04-031 patch に副作用があるようです。

 有償サポートから patch をもらえるようです。

WebDAV XML Message ハンドラの脆弱性によりサービス拒否が起こる (824151) (MS04-030)
(Microsoft, 2004.10.13)

 Windows 2000 / XP / Server 2003 上の IIS 5.0 / 5.1 / 6.0 に欠陥。 特殊な WebDAV リクエストにより IIS が CPU・メモリを食いつくすため DoS 攻撃が成立。復旧には IIS の再起動が必要。 CVE: CAN-2004-0718

 修正プログラムがあるので適用すればよい。 適用すると MSXML 3.0 Service Pack 5 がインストールされる。

RPC ランタイム ライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる (873350) (MS04-029)
(Microsoft, 2004.10.13)

 Windows NT 4.0 SP6a / Windows NT 4.0 Server TSE 6.0 に欠陥。 RPC ランタイムライブラリに buffer overflow する欠陥があり、remote からメモリの読み取りや DoS 攻撃が可能。 CVE: CAN-2004-0569。 関連: BindView Advisory: Memory Leak and DoS in NT4 RPC server

 修正プログラムがあるので適用すればよい。Windows NT Workstation 4.0 については、有償サポートに問いあわせること。

Fixed in Apache httpd 2.0.53-dev: SSLCipherSuite bypass CAN-2004-0885
(apacheweek.com, 2004.10.11)

 Apache 2.0.35〜2.0.52 に欠陥。 directory あるいは location コンテキストにおいて SSLCipherSuite ディレクティブが使われており、 特定の暗号アルゴリズムを指定している場合に、 実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう。 CVE: CAN-2004-0885

 Apache 2.0.53 で修正される。開発版にはすでに修正が含まれている。

2004.10.22 追記:

 mod_ssl 2.8.20-1.3.31 が出ています。この欠陥が修正されています。

fix / patch:

2005.02.11 追記:

 Apache 2.0.53 が登場した。 CHANGES_2.0

追記

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

 ClamAV 0.80rc4 が出ています。手元で試してみたところ、 0.75.1 では検出できない MS04-028 攻略 JPEG ファイルをきちんと検出できることを確認できました。

 2004.10.13 付で MS04-028 が改訂されています。

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)

 関連: ACROS Security: Poisoning Cached HTTPS Documents in Internet Explorer

Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033)

 関連: Buffer Overflow In Microsoft Excel

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)

 関連: SetWindowLong Shatter Attacks


2004.10.13

Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038)
(Microsoft, 2004.10.13)

 IE 5.01 SP3 / SP4 (Windows 2000 SP3 / SP4)、IE 5.5 SP2 (Windows Me)、IE 6.0 gold / SP1 / SP2 に複数の欠陥。

 修正プログラムがあるので適用すればよい。 なお、この修正プログラムを適用すると以下の状況が発生する。

2004.10.14 追記:

 ACROS Security: Poisoning Cached HTTPS Documents in Internet Explorer を追加。

2004.10.29 追記:

 888952 - [IC2004] MS04-038 適用後、連絡先情報でドラッグ アンド ドロップができない (Microsoft)。InterConnect 2004 で副作用が発生するそうです。

2004.11.10 追記:

 MS04-038 の 2004.11.10 付変更に対応し、heartbeat.ocx を hrtbeat.ocx に修正。

Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037)
(Microsoft, 2004.10.13)

 Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に複数の欠陥。

 Windows NT 4.0 Server / 2000 / XP (SP1 以前) / Server 2003 用の修正プログラムが用意されているので適用すればよい。Windows XP SP2 ではこれらの欠陥は既に修正されている。 Windows 98 / 98 SE / Me / NT 4.0 Workstation については、修正プログラムがほしければ有償サポートと相談する。

 修正プログラムをインストールすると、Windows XP と Server 2003 においては、Windows XP SP2 と同様に、shell: プロトコルが無効化される。

2004.10.27 追記:

 「Program Group Converter の脆弱性」の回避策として「.grp ファイルと grpconv.exe アプリケーションの関連付けを削除するよう .inf ファイルを使用してレジストリの設定を変更する方法」が MS04-037 に記載されていたが、これは、 Windows NT 4.0 と Windows 2000 では機能しないことが判明。 「この回避策は、Windows XP、Windows XP Service Pack1 および Windows Server 2003 でのみ有効です」という注が追記された。

NNTP の脆弱性により、コードが実行される (883935) (MS04-036)
(Microsoft, 2004.10.13)

 Windows NT 4.0 Server / 2000 Server / Server 2003 に欠陥。 NNTP コンポーネントに欠陥があり、remote から任意のコードを実行可能。 CVE: CAN-2004-0574

 修正プログラムがあるので適用すればよい。 この欠陥を回避するには、port 119, 563 を遮断したり、NNTP を無効にしたりすればよい。

SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035)
(Microsoft, 2004.10.13)

 Exchange Server 2003、Windows XP 64-Bit Edition Version 2003 / Server 2003 に欠陥。SMTP コンポーネント (reapi.dll / smtpsvc.dll) における DNS 照会に欠陥があり、攻略 DNS レスポンスによって任意のコードの実行が可能。 CVE: CAN-2004-0840

 修正プログラムがあるので適用すればよい。 なお、Windows Server 2003 上に Exchange Server 2003 をインストールした場合は、Windows Server 2003 用の修正プログラムだけをインストールする。 一方、Windows 2000 Server 上に Exchange Server 2003 をインストールした場合は、 Exchange Server 2003 用の修正プログラムをインストールする。

 この欠陥を利用した攻撃を回避するには、53/tcp を遮断すればよい。

2005.02.10 追記:

 Exchange 2000 Server もこの欠陥の影響を受けることが判明。 Exchange 2000 Server SP3 用の修正プログラムが用意された。 なお、この修正プログラムを適用するには「2004 年 8 月公開の Exchange 2000 Server Service Pack 3 以降の更新プログラムの ロールアップ」が必要。

圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される (873376) (MS04-034)
(Microsoft, 2004.10.13)

 Windows XP / Server 2003 に欠陥。 Windows XP / 2003 における 圧縮 (zip 形式) フォルダの処理において、 DUNZIP32.DLL に buffer overflow する欠陥があるため、 攻略 zip ファイルによって任意のコードを実行させることが可能。 攻略 zip ファイルを添付してメールを送ったり、web ページ上に設置して閲覧させるといった攻撃が考えられる。 CVE: CAN-2004-0575

 修正プログラムがあるので適用すればよい。 この欠陥を回避するには、regsvr32 /u zipfldr.dll によって圧縮 (zip 形式) フォルダ処理の登録を解除すればよい。

 関連: [Full-Disclosure] EEYE: Windows Shell ZIP File Decompression DUNZIP32.DLL Buffer Overflow Vulnerability

2004.12.21 追記:

 [Full-Disclosure] Compressed files overflow

Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033)
(Microsoft, 2004.10.13)

 Office 2000 SP3 / Excel 2000 SP3 以前、Office XP SP2 / Excel 2002 SP2 以前、 Office 2001 / Excel 2001 for Mac、Office v.X / Excel v.X for Mac に欠陥。 攻略 Excel ファイルを開くと任意のコードが実行される、ような欠陥が存在する模様。 Mac OS 版 Excel にも欠陥があるので注意されたい。 攻略 Excel ファイルを添付してメールを送ったり、web ページ上に設置して閲覧させるといった攻撃が考えられる。 Office XP SP3、Office 2003 / Excel 2003、Excel 2004 for Mac にはこの欠陥はない。CVE: CAN-2004-0846

 修正プログラムが存在するので適用すればよい。 Office 2000 / XP / 2003 では Office Update が利用できる。その他の場合は MS04-033 から個別の修正プログラムを入手し適用する。

2004.10.14 追記:

 関連: Buffer Overflow In Microsoft Excel

Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032)
(Microsoft, 2004.10.13)

 Windows 98 / 98 SE / Me / NT 4.0 / 2000 / XP (SP1 以前) / Server 2003 に複数の欠陥。

 Windows NT 4.0 Server / 2000 / XP (SP1 以前) / Server 2003 用の修正プログラムが用意されているので適用すればよい。Windows XP SP2 ではこれらの欠陥は既に修正されている。 Windows 98 / 98 SE / Me / NT 4.0 Workstation については、修正プログラムがほしければ有償サポートと相談する。

2004.10.20 追記:

 この patch の適用により、副作用の発生するソフトが存在するようです。

2004.10.25 追記:

 MS04-032 の副作用問題、Microsoft により対応されたようです。

2004.10.26 追記:

 888098 - Windows XP SP2 ベースのコンピュータ上の Ntvdmd.dll ファイルのバージョン番号が、Windows XP SP2 ベースの他のコンピュータまたは更新プログラム MS04-032 に含まれる Ntvdmd.dll のバージョン番号より小さい (Microsoft)。仕様だそうです。

2004.11.19 追記:

 WORM_GOLTEN.A (トレンドマイクロ)。 Graphics Rendering Engine の脆弱性- CAN-2004-0209 を利用するウイルスだそうです。

2004.12.14 追記:

 Microsoft Windows Metafile (.emf) Heap Overflow Exploit (MS04-032) (k-otik.com)。

IP電話対応ブロードバンドセキュリティルータ「Web Caster X400V」の機能改善に向けたバージョンアップのお願いについて
(NTT 東日本, 2004.10.12)

 NTT 東日本のブロードバンドルータ Web Caster X400V に欠陥。メールの添付ファイルとしてメールが添付されていると、添付されている方のメールにウイルスが存在したとしても、ウイルスチェックをすり抜けてしまうことがある模様。 更新版ファームウェアが用意されているので更新すればよい。

 しかし、「機能改善」ですか……。

追記

「InterScan VirusWall for UNIX 3.8 サービスパック 1 用 Patch1」 「InterScan VirusWall for UNIX 3.81 用 Patch1」公開のお知らせ

 吉村さんから (ありがとうございます):

ISVW for UNIXの XSSですがTrendMicroに問い合わせてみた結果、以下のような 脆弱性である可能性が高いという結論に達しました。

  • http/ftp スキャンにおいて、ウイルス検出されたURLの表示は実際にリクエス トされたURLそのまま(エスケープ処理が無いか、不完全)であり、ファイル名や ディレクトリ名部にhtml等をそのまま挿入することが現実的に可能である

これについてはウイルスURLを表示しない、という選択肢が無いため、回避する 方法がないと思われます。

http://www.example.com/<SCRIPT />スクリプト本体</SCRIPT>/eicar.txt
とか。
*生憎手元にISVWをインストールした環境がないのでテストできておりません


2004.10.12

素人がやってはいけないセキュリティの「大発明」
(高木浩光@茨城県つくば市 の日記, 2004.10.11)

 [memo:7796] Fw: イーバンク銀行が導入したキーワード確認機能はフィッシング詐欺防止にならない の話。624 行あるねたメモに埋もれてた…… orz

 イーバンクは PayPal と提携しているのですか。 PayPal の Security Center には

Avoid Fake Websites
Log in safely to your account. Open a new web browser (e.g., Internet Explorer or Netscape) and type in the following: https://www.paypal.com/

と書かれていますが、一方のイーバンクは https://www.ebank.co.jp/ を提供していないようですね。

MS Wordに危険なセキュリティ・ホール,信頼できないファイルは開かない
(日経 IT Pro, 2004.10.08)

 [HV-HIGH] MS Word multiple exceptions, at least one exploitable の話。 MSに連絡せずOfficeの欠陥を発表したセキュリティ会社 (日経 IT Pro, 2004.10.11) とか勘違いしている人がいるようだが、 Secunia が発見・発表したわけじゃない。 勘違いよけのためか、 Microsoft Word Document Parsing Buffer Overflow Vulnerability (Secunia) にもこんな註釈がついている:

Please note: The information, which this Secunia Advisory is based upon, comes from third party unless stated otherwise.

Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

 発見者自身は「MS Word 2002 (10.6612.6714) SP3 with all the latest patches」で確認した、としている。また Secunia は 「The vulnerability has been confirmed in Microsoft Word 2000, but has also been reported in Microsoft Word 2002.」としている。

2005.04.26 追記:

 Microsoft Word の脆弱性により、リモートでコードが実行される (890169) (MS05-023) で修正された。


2004.10.11

APPLE-SA-2004-09-30 Security Update 2004-09-30
(apple,, 2004.09.30)

 Mac OS X 10.2.8 / 10.3.5 用のセキュリティアップデート登場 (古暮涼氏による邦訳版)。 修正されているのは:

 QuickTime と ServerAdmin は 10.2.8 にも該当、残りは 10.3.5 のみ。

PHP 4.3.9 / 5.0.2 released
(PHP.net, 2004.09.22/23)

 PHP 4.3.9 / 5.0.2 が登場。これらにおいて、次の欠陥が修正されているという。

fix / patch:

2004.10.10


2004.10.09

CUPS STR #920: Device URIs containning username & password end up in error_log
(cups.org, 2004.09.29)

 CUPS 1.1.21 以前 (?) に欠陥。 認証が必要なデバイスに印刷する場合に、ユーザ名とパスワードが error_log に記録されてしまう模様。 GLSA 200410-06 には「認証の必要な SMB 共有プリンタに遠隔プリントする場合に」と書かれている。 CVE: CAN-2004-0923

 CUPS 1.1.22rc1 で修正されている。

fix / patch:

[Foomatic] ANNOUNCEMENT: Foomatic 3.0.2 released!
(linuxprinting.org, 2004.09.15)

 Foomatic 3.0.1 以前に欠陥。 foomatic-rip に欠陥があり、remote user が lp などのプリンタスプーラユーザ権限で任意のコマンドを実行できてしまう。 Foomatic 3.0.2 で修正されている。 CVE: CAN-2004-0801

fix / patch:

CUPS Empty UDP Datagram DoS (1.1.20〜1.1.21rc1)
(OSVDB, 2004.09.16)

 CUPS 1.1.20〜1.1.21rc1 に欠陥。 空の udp パケットを port 631 に送ると、cupsd が port 631 を listen しなくなってしまうため、DoS 攻撃が成立。 CUPS 1.1.21rc2 で修正されている。 STR #863: denial of service hole in CUPS がそれだそうだが、 Common UNIX Printing System 1.1.21rc2 (cups.org) にはなぜか掲載されていない。 CVE: CAN-2004-0558

fix / patch:

SANS Top 20 Internet Security Vulnerabilities - The Experts Consensus
(SANS, 2004.10.08)

 SANS Top 20 の 2004 年版。Windows の Top 10 と UNIX の Top 10 をあわせて Top 20 です。2003 年版 とくらべると:

Top Vulnerabilities to Windows Systems
2004 2003
W1 Web Servers & Services
W2 Workstation Service
W3 Windows Remote Access Services
W4 Microsoft SQL Server (MSSQL)
W5 Windows Authentication
W6 Web Browsers
W7 File-Sharing Applications
W8 LSAS Exposures
W9 Mail Client
W10 Instant Messaging
W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook and Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)
Top Vulnerabilities to UNIX Systems
2004 2003
U1 BIND Domain Name System
U2 Web Server
U3 Authentication
U4 Version Control Systems

U5 Mail Transport Service
U6 Simple Network Management Protocol (SNMP)
U7 Open Secure Sockets Layer (SSL)
U8 Misconfiguration of Enterprise Services NIS/NFS
U9 Databases
U10 Kernel
U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with
No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

 「W10 IM」とか「U4 Version Control Systems」「U10 Kernel」が目新しいですかね。

 日本語版 PDF もあるんですね。ありがたいことです。_o_


2004.10.08

WebSphere Application Server (WAS) のHTTPレスポンス分割に関する脆弱性
(IBM, 2004.08.19)

 WebSphere Application Server v4.0/v5.0/v5.1 に欠陥。 "Divide and Conquer": HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics (sanctuminc.com) で述べられている HTTP Response Splitting 攻撃の影響を受けてしまい、クロスサイトスクリプティング攻撃や Web Cache 汚染攻撃、 結果として 悪意あるサイトへの情報漏洩などが発生するという。 匿名希望さん情報ありがとうございます。 紹介がとんでもなく遅くてごめんなさい。

 patch があるので適用すればよい。patch を適用すると、HTTP Response Splitting 攻撃に対してはエラーコード 500 が返るようになるという。

 SAC とは……。"Divide and Conquer": HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics に掲載されているのは WAS だけじゃないんですけねえ。

追記

RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース

 関連:

ColdFusion / JRun ねた
報告された Microsoft ASP.NET の脆弱性に関する情報

 Handler's Diary October 6th 2004 (SANS ISC) に関連情報があります。URL の '/' を '\' や '%5C' にするとアレな状況になってしまうようです。

 報告された Microsoft ASP.NET の脆弱性に関する情報 (Microsoft) が 10/8 に更新されています。

この問題を緩和する選択肢として、HTTP モジュールインストーラを使用できます。緩和策としてこのモジュールが使用できることになったのをお知らせするために、このページは 2004 年 10 月 7 日 (米国日付) に更新されました。このモジュールは、Web サーバー上の全 ASP.NET アプリケーションを、マイクロソフトが現時点で把握しているすべての正規化の問題から保護します。
Samba Security Announcement -- Potential Arbitrary File Access

 CVE: CAN-2004-0815

 fix / patch:

Helix Server の潜在的な脆弱性
(RealNetworks, 2004.10.07)

 iDEFENSE Security Advisory 10.07.04: RealNetworks Helix Server Content-Length Denial of Service Vulnerability の件。 9.0.4.958 以前の Helix Universal Server 9 に欠陥。Content-Length に -1 を設定した POST リクエストによって DoS 攻撃が可能。Helix Universal Server 9.04 (9.0.4.960) で修正されている。

 CVE: CAN-2004-0774

Norton AntiVirus と Sophos AntiVirus における MS-DOS 予約デバイス名の取り扱いの問題
(various)

 Norton AntiVirus と Sophos AntiVirus において、MS-DOS 予約デバイス名の取り扱いに欠陥がある。AUX, CON, PRN, COM1, LPT1 といった MS-DOS 予約デバイス名でウイルスを設置すると、そのウイルスに対する検査が回避されてしまう。 関連: Norton AntiVirusにセキュリティ・ホール,MS-DOSの予約語が付いたファイルをチェックしない (日経 IT Pro, 10/7)。


2004.10.07

追記

ハードディスクレコーダーからのコメントスパム攻撃

 oyak さんから (ありがとうございます):

http://www.rd-style.com/support/info/security/security.htm をよんでみると・・・

 さて、弊社製HDD&DVDビデオレコーダー(対象製品は下記をご参照ください。)におきまして『ネットdeナビ』機能をお使いの場合に、悪意の第三者によってお客様が知らないうちに当該製品から大量のスパム(無意味な電子データ)が発信されてしまった事例の報告がありました。
 調査の結果、外部ネットワークとの接続を行っている(下記 1. (2) をご参照ください。)お客様が、常時(長時間)接続されて、ネットワーク設定のセキュリティ機能を利用されていない場合に発生することがわかりました。

ということで、いかにもセキュリティ機能をonにしていれば、大丈夫的な記述に読めてしまい、旧バージョンだとセキュリティ機能をonにしていても問題だということを東芝は明記してくれていません。

対応部分に関しては、バージョンアップ&セキュリティ設定onにしろということで、問題ないのですが、この書き方だと、バージョンアップをしない人もいるかもしれないですね。

 藤村さんから (ありがとうございます):

東芝のアナウンスやインプレスの記事についても、認証設定のことだけが大きく採り上げられているように読み取れます。
問題は認証バイパスできてしまうことですので、この点(ファームウェアアップグレードが最優先)を注意されるとよいかと思います。

 そう言われて 東芝、HDD搭載DVDレコーダ「RD」シリーズが“踏み台”になる危険性 〜セキュリティ設定「あり」に変更を呼びかけ (Internet Watch, 10/6) を見ると、

 東芝は対策として、ソフトを最新版にバージョンアップすることとセキュリティ設定を「あり」に変更することを呼びかけている。セキュリティ設定を「あり」にすることで、外部からアクセスする際にユーザー名とパスワードの入力が必要になり、不正アクセスを防げるようになる。

とあり、「ソフトを最新版にバージョンアップ」しないと、セキュリティ設定を「あり」にしても無意味な模様であることは強調されてはいませんね。

「InterScan VirusWall for UNIX 3.8 サービスパック 1 用 Patch1」 「InterScan VirusWall for UNIX 3.81 用 Patch1」公開のお知らせ
(トレンドマイクロ, 2004.10.07)

 InterScan VirusWall for UNIX 3.8 SP1 / 3.81 に、クロスサイトスクリプティング欠陥が存在した模様。"patch1" で修正されている。 InterScan VirusWall for UNIX 3.8 Patch 1 Readme によると、この他にもこんな文章が:

   1. 本リリースには、セキュリティの脆弱性を修正する最新のOpenSSLとLibSSLライブ
      ラリのリリースが含まれます。
(中略)
   3. 次のパラメータの値が「intscan.ini」ファイルに設定されている場合に、
      InterScan VirusWall FTPサービス経由で送信されるデータが破損する問題
      を修正します。

      - putmode=thru
      - trickle=yes 

   4. InterScan VirusWallが、拡張子「.vbs」のファイルをブロックできない問題を
      修正します。
(中略)
  13. File Type Block機能でOther typesフィールドに拡張子vbsを指定した場合に、
      HTML部分が削除されてしまう問題を修正します。

  14. File Type Block機能でOther typesフィールドに拡張子pifを指定した場合に、
      pifファイルをブロックできない問題を修正します。

 13. については以前ちいちゃんさんから情報を頂いていた (ありがとうございます) のだが、「サポート情報が出たら載せよう」と思って待っているうちに忘れてました _o_。結局サポート情報が出ないまま patch1 で修正されたみたい。

2004.10.13 追記:

 吉村さんから (ありがとうございます):

ISVW for UNIXの XSSですがTrendMicroに問い合わせてみた結果、以下のような 脆弱性である可能性が高いという結論に達しました。

これについてはウイルスURLを表示しない、という選択肢が無いため、回避する 方法がないと思われます。

http://www.example.com/<SCRIPT />スクリプト本体</SCRIPT>/eicar.txt
とか。
*生憎手元にISVWをインストールした環境がないのでテストできておりません


2004.10.06

報告された Microsoft ASP.NET の脆弱性に関する情報
(Microsoft, 2004.10.05)

 何の話なのかよくわかりませんが、ASP.NET を利用している場合には、 887459 - ASP.NET の正規化の問題をプログラムによって確認する方法 (Microsoft) にある

Application_BeginRequest イベント ハンドラを Global.asax ファイルに追加

を実行しないとたいへんなことになる恐れがあるのでしょう。

2004.10.08 追記:

 Handler's Diary October 6th 2004 (SANS ISC) に関連情報があります。URL の '/' を '\' や '%5C' にするとアレな状況になってしまうようです。

 報告された Microsoft ASP.NET の脆弱性に関する情報 (Microsoft) が 10/8 に更新されています。

この問題を緩和する選択肢として、HTTP モジュールインストーラを使用できます。緩和策としてこのモジュールが使用できることになったのをお知らせするために、このページは 2004 年 10 月 7 日 (米国日付) に更新されました。このモジュールは、Web サーバー上の全 ASP.NET アプリケーションを、マイクロソフトが現時点で把握しているすべての正規化の問題から保護します。

2005.02.12 追記:

 ASP.NET パス検証の脆弱性 (887219) (MS05-004) で修正された。

追記

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

2004.10.05

The Rose Fragmentation Attack / New Dawn Fragmentation Attack
(Secunia Advisory SA12670, Fri, 01 Oct 2004 22:52:45 +0900)

 IP fragment を利用した DoS 攻撃「Rose Attack」 と、その改変である「New Dawn Attack」の解説、および Windows / Linux でのテスト結果。 サンプルコードあり。Rose Attack が fragment の最初と最後を送るのに対し、New Dawn Attack は fragment の最初と真ん中と最後を送り、最後についてはずーっと送りつづけるみたい。

FreeBSD-SA-04:15.syscons: Boundary checking errors in syscons
(FreeBSD, Tue, 05 Oct 2004 05:54:11 +0900)

 FreeBSD 5.x に欠陥。syscons CONS_SCRSHOT ioctl(2) の入力引数の検証が不十分なため、CONS_SCRSHOT ioctl が kernel メモリの一部を返してしまう場合がある。 回避方法はない。最新の RELENG_5_2 ブランチでは修正されており、5.2-RELEASE 用の patch も用意されている。

追記

ハードディスクレコーダーからのコメントスパム攻撃

 浅見さんから (ありがとうございます):

東芝のRDシリーズの公式サイトに、
<重要なお知らせ:セキュリティ設定のお願い>
http://www.rd-style.com/support/info/security/security.htm
という情報が掲載されていましたのでお知らせします。

レコーダ本体のバージョンが古いと、本体セキュリティの設定がONでも匿名proxyとして動作するのでバージョンアップせよ、ということみたいです。

ちなみに、私が所有しているのは"RD-X4"に機能拡張キットを適応した"RD-X4EX" ですの で、すでに本体セキュリティ設定をONにしておけば、Proxy動作をするときでもBASIC認証ダイアログがでました。

 重要なお知らせ:セキュリティー設定のお願い (rd-style.com) によると、対象となるのは RD-XS40, RD-X3, RD-XS31, RD-XS41, RD-XS41KJ-CH869, RD-X4, RD-X4EX, RD-XS43, RD-XS53, RD-XS34 (10/5 現在) だそうです。


2004.10.04

Samba Security Announcement -- Potential Arbitrary File Access
(bugtraq, Thu, 30 Sep 2004 19:17:35 +0900)

 Samba 2.2.11 以前 / 3.0.5 以前に欠陥。remote から、共有領域の外部に存在するファイルにアクセスできる可能性がある。 欠陥を回避するには wide links = no を設定すればよい。

 Samba 2.2.12 / 3.0.6 で fix されている。また Samba 3.0.5 用の patch が配布されている。 http://us1.samba.org/samba/ftp/patches/security/ には Samba 2.2.11 と 2.2.12 の diff も設置されている。

 CVE: CAN-2004-0815

fix / patch:

追記

[Full-Disclosure] GNU sharutils <= 4.2.1 Format String POC

 [GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c によると、unshar.c にも欠陥があった模様。

fix / patch:
Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる

 セキュリティフライデーの関さんから (ありがとうございます):

”Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる”に関してですが、一つ補足させていただきますと、NTLMv1でも単純でない15文字以上のパスワードを使えばそれなりに安全だと思います。

Norton Internet Security 2003 に脆弱性を発見
(登大遊@筑波大学情報学類の日記, 2004.09.28)

 Norton Internet Security 2003、Norton AntiVirus 2003 Professional などに含まれる "Network Dispatch Driver" SYMTDI.sys に欠陥があるという指摘。 複数 CPU を塔載した、あるいは Intel Hyper Threading が有効な状態において、 大量の socket (and 大容量のデータ転送?) を扱うようなプログラムを動かすと、OS がクラッシュしてしまうという。このため、local user が DoS 攻撃を実施できる。シングル CPU ではこの欠陥は発現しないという。

 Norton 2004 / 2005 シリーズではどうなのか、は不明。 手元の Norton AntiVirus 2004 には 5.3.2.67 というバージョンが入っていた。

Firefox の重要なセキュリティアップデートを公開
(mozilla-japan.org, 2004.10.02)

 Firefox Preview Release に欠陥。ダウンロードディレクトリ内のファイルを削除してしまうような、ダウンロードリンクを設置することが可能。 Firefox Preview Release update (0.10.1) で修正されている。 関連:


2004.10.01

Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる
(日経 IT Pro, 2004.09.29)

 元ネタ: Automatically passing NTLM authentication credentials on Windows XP (セキュリティフライデー)。 Windows 2000 / IIS 5.0 で構築した web ページに Word ドキュメントを設置 (例: http://www.example.com/test/foo.doc) し、 Office 2000 / XP をインストールした Windows XP から http://www.example.com/test/foo.doc を開き、そして閉じると、 Windows XP はなぜか \\www.example.com\test への SMB 接続を行おうとし、そのとき NTLM 認証が行われてしまうという話。

 クライアント側で「WebClient」サービスを停止するとこの現象を回避できるそうだ。

 "Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点  第 2 部 : ネットワーク保護技術WebDAV リダイレクタ が関連なのかな (これは WebDAV 側から書かれているわけだけど……もっと適切な資料どこかにないかな)。Windows XP の仕様的には WebDAV と SMB は統合されており、NTLM は暗号化されていることになっているから SMB アクセス時に洩れても ok ok、というのが設計思想なのかな。でも実際には NTLMv1 はもうだめだめなわけで (参照: Windows認証を数秒で解析 脆弱なパスワードは即座に破られる (日経 IT Pro, 6/1))。

 なんかこう、Windows の「なんでもやってくれすぎ主義」の弊害がまたもや発生している、という気が。個人的には、WebDAV を勝手に SMB に翻訳したり、SMB を勝手に WebDAV に翻訳したりしてほしくはないのだが。

2004.10.04 追記:

 セキュリティフライデーの関さんから (ありがとうございます):

”Windows XPに「勝手にパスワード情報を送信する危険性」が見つかる”に関してですが、一つ補足させていただきますと、NTLMv1でも単純でない15文字以上のパスワードを使えばそれなりに安全だと思います。

追記

JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028)

Windows NT 4.0 and Windows 98 Threat Mitigation Guide
(Microsoft, 2004.09.16)

 まだまだ NT 4.0 and/or Windows 98 というところも多いのかなあ。

[Full-Disclosure] GNU sharutils <= 4.2.1 Format String POC
(Full-Disclosure ML, Wed, 22 Sep 2004 22:48:02 +0900)

 GNU sharutils 4.2.1 に format バグがあるという指摘。PoC コードつき。 GNU sharutils 4.3.77 で「src/shar.c(shar): fix fscanf buffer overrun vulnerability」として修正されているようだ。 手元で試した限りでは、sharutils-4.3.76-4.3.77.diff.gz に含まれる src/shar.c の差分は GNU sharutils 4.2.1 にそのまま適用できた。

2004.10.04 追記:

 [GLSA 200410-01 ] sharutils: Buffer overflows in shar.c and unshar.c によると、unshar.c にも欠陥があった模様。

fix / patch:

[セキュリティホール memo]
私について