Security News 1998/12

[Latest News] [Backlog Index]

Security News Backlog(1998/12)

1998/12/27(02)
[IE] IEに新たにCuartango holeの変種

 MicrosoftのInternet Explorer 4に、先日のCuartango hole(Untrusted Paste Problem)の新たな変種が見つかりました。
 この問題はすでにMicrosoftに報告されており、Frame Spoof問題へのパッチで修正されています。

参照URL:
バグの発見者のページ
Frame Spoof問題へのパッチ

1998/12/27(01)
[NT] Windows NT上のウィルス"Remote Explorer"について

 現在、Windows NT上で繁殖するコンピュータウィルス"Remote Explorer"について、いろいろな情報が飛び交っています。注意しておきたいのは、一部の情報がやや大袈裟になっている感がある点です。
 このRemote Explorerウィルスは、第1段階としてウィルスに汚染されたソフトウェアを実行した場合に、一般的なウィルスと同様に他のファイルへの感染します。また、データファイルを暗号化してしまうことがあります。
 汚染されたソフトウェアを管理者権限で実行した場合には、そのシステム上に自分自身のコピーを生成し、NTの「サービス」として管理者特権を持ったままシステムに常駐します。さらに、このマシンに「ドメインの(ネットワーク)管理者権限」を持つユーザーがローカルマシンからログオンした場合、この管理者権限でドメイン内の他のコンピュータのファイルに感染します。
 この第2段階において、システムに常駐したサービスは、「コントロールパネル- サービス」の一覧上で、"Remote Explorer"として表示されます。  このプログラムの実体は、%systemroot%\system32\drivers\IE403R.SYSですが、感染するという特性があるため、このファイルを削除しても他のファイルから再びこのファイルが作成される可能性があります。Remote Explorerサービスの存在を確認する場合、可能なら安全なコンピューターからリモート操作で行なうのが望ましいようです。
 この件に関しては、MCI-WorldcomとNetwork Associates, Inc.から感染とその存在に関する発表がありました。しかし、「サイバーテロリズムである」というこの発表は、やや過大な表現だといっていいでしょう。特に、Network Associatesはいわゆるワクチンと呼ばれるソフトをリリースしている会社だということは念頭に置いておくべきでしょう。
 もちろんウィルスに対する警戒は必要ですが、実際の被害規模はまだ今のところ極めて小さいもののようだということは、把握しておくべきです。
 感染の可能性のあるマシン約7000台を調査するにはかなりの人力的な損害があったようですが、その台数は情報ソースにより異なるものの18台〜50台程度というのが実状で、調査や対策ソフトウェア作成のための隔離されたサンプルを除けば、現在感染が確認されている範囲は極めて狭い範囲に限定されているようです。
 当初はこのウィルスのコードを入手した会社は、Network AssociatesとMicrosoft、MCI-Worldcomに限られていたようですが、現状では複数の会社がコードを入手しており、対策ソフトウェアも順次発表されるでしょう。
 ウィルスに対する一般的な対策として、CERT/CCでは

ことを勧めています。

参照URL:
Microsoftの発表
CERT/CCの発表
Network Associates, Inc.の発表と対策ソフト
Symantec(日本語)による発表と対策ソフト(Norton AntiVirus)
C|NETの記事(1)
C|NETの記事(2)
ZDNNの記事(1)
ZDNNの記事(2)

1998/12/24(01)
Update:[IE][NN] Internet ExplorerおよびNetscape Navigatorでフレーム内容の差し替え

1998/12/23(02)
[BSD] BSD系のTCP処理ルーチンに関するDoSアタックに関する報告

 CERT/CCから、BSDから派生したTCP処理ルーチンを用いているOSに対する、Denial of ServiceアタックについてのAdvisoryが出ました。
 判明している範囲でこのバグが影響するのは、

です。(その他のBSD系のOSについては不明)
 これらのOSでは、任意のリモートユーザがネットワークサービスを中断させることや、OSを停止させることが可能です。また、TCPパケットの発信元偽装と組み合わせることで、発信元の追跡を不可能にすることもできます。
 対策としては、問題のないバージョンに入れ換えるかパッチを当てることになります。
 また、偽装と併用した攻撃に対する防御のため、ルーターなどでアドレス偽装したパケットを排除するという手もあります。これは攻撃に対する防御にはなりませんが、攻撃者の発信元を不詳にする試みに対する若干の防衛になり、また他の攻撃に対する予防にもなります。
 この種のフィルタに関する詳しいことはRFC2267(HTTP/FTP)を参照してください。

参照URL:
CERT Advisory CA-98.13
FreeBSD用のパッチ
BSD/OS 3.1用のパッチ
OpenBSD用のパッチ
OpenBSD用のパッチ

1998/12/23(01)
[NT] IISのDoSアタックに対するパッチがリリース

 Windows NT用のInternet Infomation Server(IIS)のDoSアタックに対するパッチがリリースされています。
 このDoSアタックは、特定の文字列で構成されたURLにアクセスすると、サーバ上の資源を食い潰しIISまたはNT自体をハングアップさせるというものです。

参照URL:
IIS 4.0(x86)用のパッチ
IIS 4.0(Alpha)用のパッチ
IIS 3.0(x86)用のパッチ
IIS 3.0(Alpha)用のパッチ
Microsoft Security Bulletin 98-019
Microsoft Knowledge Base(KB) article Q192296

1998/12/18(03)
[Solaris] CDE上のメールクライアントに複数のバッファオーバーラン

 SolarisのCommon Desktop Environment(CDE)上のメールクライアントであるdtmailに、複数のバッファオーバーランがみつかりました。
 これにより、悪意を持ったメール送信者がmailerの権限および受信ユーザーの権限で、受信者に任意のコードを実行させることができます。
 対策としては、Sunからパッチがリリースされています。

CDE Version Patch ID
1.2105338-14
1.2_x86105339-12
1.0.2104178-03
1.0.2_x86104185-03
1.0.1106920-01
1.0.1_x86106921-01

参照URL:
Sun Microsystems, Inc. Security Bulletin#00181 (1998-12-17)
http://sunsolve.sun.com/sunsolve/pubpatches/patches.html

1998/12/18(02)
[Solaris] BINDのセキュリティホールに対するパッチ

 CERT Advisory CA-98.05 "Multiple Vulnerabilities in BIND"への対策として、SunからSunOS 4.4.3_U1、SunOS 4.1.4、Solaris 2.3〜2.6へのパッチがリリースされました。
 なお、自分でBINDをコンパイルしている場合、バージョン8.1.2及び4.9.7で修正が行われているので、パッチの必要はありません。
 気になるのは、このBINDのセキュリティホールは以前、かなり大きく報道されたものではないかという点です。もし仮にそのものだとしたら、この対応の遅さはとても誉められたものではないでしょう。

Operating System Patch ID
Solaris 2.6105755-07
Solaris 2.6_x86105756-07
Solaris 2.5.1103663-15
Solaris 2.5.1_x86103664-15
Solaris 2.5103667-11
Solaris 2.5_x86103668-11
Solaris 2.4102479-13
Solaris 2.4_x86102480-11
Solaris 2.3101359-10
SunOS 4.1.4106866-02
SunOS 4.1.3_U1106865-02

参照URL:
Sun Microsystems, Inc. Security Bulletin#00180 (1998-12-17)
http://sunsolve.sun.com/sunsolve/pubpatches/patches.html
CERT Advisory CA-98.05
BIND namedの配布元であるISC

1998/12/18(01)
[Solaris] passwdへのDoSアタック

 Solaris 2.3〜2.6(SPARC, x86)のパスワード変更プログラムであるpasswdに、Denial of Serviceアタックが可能なバグが見つかっています。
 対策として、これに対応するパッチがSunからリリースされています。

Operating System Patch ID
Solaris 2.6106271-04
Solaris 2.6_x86106272-04
Solaris 2.5.1104433-09
Solaris 2.5.1_x86104434-08
Solaris 2.5103178-09
Solaris 2.5_x86103179-09
Solaris 2.4101945-60
Solaris 2.4_x86101946-53
Solaris 2.3101318-91

参照URL:
Sun Microsystems, Inc. Security Bulletin#00182 (1998-12-17)
http://sunsolve.sun.com/sunsolve/pubpatches/patches.html

1998/12/16(01)
[NT] Service Pack 4日本語版がリリース

 Windows NT 4.0用のService Pack 4の日本語版がリリースされています。
 バグフィックスやセキュリティ関係のフィックス、機能追加などが行われている模様です。
 基本的には、セキュリティ関係のフィックスが行われているので導入したほうがいいと思われますが、システムへの変更項目などがあるためインストールによる問題が生じる可能性もあります。その辺の判断をきちんと行ったうえで、導入すべきでしょう。

参照URL:http://www.microsoft.com/japan/products/ntserver/sp4/

1998/12/12
[Win] Excel 97に任意のDLLを呼び出せる機能を修正するパッチ(英語版)

 Microsoft Excel 97のワークシートから、任意のDLLを呼ぶことができるという仕様を修正するパッチ(英語版)が発表されました。
 このパッチを当てない場合、ワークシートからシステムの任意の機能を呼び出すことができるため、他人から受けとったデータファイルを開いた場合に、「トロイの木馬」攻撃を受ける可能性があります。
 このパッチは、その機能を無効にすることで問題を解決するので、この機能を実際に利用しているユーザはこのパッチを当ててはいけません。また、このパッチでは「マクロからDLLルーチンを呼び出す機能」についてはなんの修正もしていないので、マクロが実行できる状態では、この問題に関して安全とはいえません。
 一般論として、ExcelやWordのような「プログラミング機能を備えたプログラム」のデータファイルについては、不正な埋め込みプログラムに対する防御が必要です。最低限の対策として、「知らない人からの添付ファイルは絶対に開かない」という基本原則を、しっかりと守ることが重要です。
 なお、Excelに詳しくないためよくわかりませんが、Excel 97で何らかの方法を使って式、あるいは読み込み時などにマクロを自動で呼び出すことができるなら、このパッチはほとんど何も意味がないことになりますが、実際はどうなのでしょう。Excel 97ユーザの方からの情報をお待ちします。
 現在のところ、日本語版に関する情報及びパッチは発表されていない模様です。

参照URL:
http://www.microsoft.com/security/bulletins/ms98-018.asp
http://support.microsoft.com/support/kb/articles/q196/7/91.asp

1998/12/11
[Solaris] mkcookieプログラムにセキュリティホール

 Solaris 2.5〜2.7 x86のmkcookieプログラムに、ローカルユーザがroot権限を得られるバグがあるそうです。
 mkcookieプログラムは、Xサーバが起動する際に、認証用の乱数(magic-cookie)を生成するプログラムです。このプログラムは/usr/openwin/lib/mkcookieにあって、乱数の種を得るためにroot setuidされています。
 当分の間の対策として、このプログラムのSUIDを落しておくことが推奨されています。setuidがされていない場合でも、乱数性が若干下がるものの正常に動作して認証鍵を生成できるそうです。
 なおSPARC版では、同様の問題は存在するものの、関数のリターンアドレスをregister windowに保存するため(*)攻撃はできない模様です。
(*)筆者は正確には意味がわからずに書いています。ミスがあったらすみません。

参照URL:http://www.repsec.com/advisory/0012.html(1998-12-03)

1998/12/10
[Linux] Debian GNU/Linux 2.1(slink)のfte-consoleにセキュリティーホール

 Debian GNU/Linux 2.1(slink)及びそれ以降のunstable versionのパッケージとして含まれている、エディタプログラムfte-consoleにroot 権限を奪える可能性のあるセキュリティーホールが見つかっています。
 slinkは現在のところ次期バージョンという位置付けのもので、現行バージョンであるDebian GNU/Linux 2.0(hamm)およびそれ以前のバージョンには、このプログラムは含まれていません。
 Debianは、対策を講じた新しいパッケージを提供しました。この新しいパッケージのバージョンは0.46b5-4.1です。
 また現状では、このバグがオリジナルのfteに起因するものなのか、Debianパッケージに依存するものなのかは不明です。そのため、fteプログラムをインストールしているサイトでは確認を行なうことをお勧めします。恐らく、オリジナルの0.46b5では対策がとられたと推測されます。

対策されたソースファイル:
ftp://ftp.debian.org/debian/dists/slink/main/source/editors/fte_0.46b5-4.1.diff.gz
MD5 checksum: 44c60f6b5b55c80f7634eb405f3707e5
ftp://ftp.debian.org/debian/dists/slink/main/source/editors/fte_0.46b5-4.1.dsc
MD5 checksum: e8991ea4fe2e298b57432e80dc5fd0b8
ftp://ftp.debian.org/debian/dists/slink/main/source/editors/fte_0.46b5.orig.tar.gz
MD5 checksum: 255f2f8cd2c210b497fdcdb0b9f964ed

対策されたパッケージ:
fte-console_0.46b5-4.1.deb(for x86)
MD5 checksum: 0d3d146749f68b11f6aed19d64161bbe
fte_0.46b5-4.1.deb(for x86)
MD5 checksum: 39a33e02915d6cc594b9170d0fc9b0f8
その他のCPU

1998/12/08
Update:[IE] Untrusted Scripted Paste問題に対するパッチが更新

1998/12/02
[Mac] AppleShare IP 6(英語版)のDoS攻撃対策パッチ

 Macintosh用のサーバーソフトウェアであるAppleShare IP 6.0と6.1にDoSアタックが可能なことが判明し、対応パッチが公開されています。
 今回のDoSアタックは、壊れたIPパケットを送りつけるとサービスが停止してしまうというものです。
 なお、Security InformationではMacintoshに詳しい人がいないため、今回の情報は全く未確認です。Macintoshのセキュリティに詳しい人の参加をお待ちしています。

参照URL:
Appleによる説明
Internet Watch
パッチ


[Latest News] [Backlog Index]
このページはSecurity Information Project Teamによって運営されています。
リンクに関しては当然自由に行っていただいて構いません。
但し、コンテンツの著作権はSecurity Information Project TeamおよびWebページ担当者であるLefに帰属します。
Copyright (C) 1998-1999 Security Information Project Team and Lef. All rights reserved.