JPCERTからいくつかのアナウンスが出ています。
Linuxの多くのディストリビューションで用いられているmountdにセキュリティーホールがあり、最近この弱点をついた攻撃が国内で起こっています。
安全なNFS serverのバージョンは、2.2beta35以降です。
バージョン番号は、
% /usr/sbin/rpc.mountd -v
Universal NFS Server 2.2beta36
104654-05 Solaris 2.5.1
104655-04 Solaris 2.5.1 x86
103187-42 Solaris 2.5
103188-42 Solaris 2.5 x86
101945-61 Solaris 2.4
101946-54 Solaris 2.4 x86
101318-92 Solaris 2.3
NetBSD上で、System V Release 4用のプログラムを実行する環境をインストールするスクリプトに問題があり、ローカルユーザーがディスクのraw deviceの読み書きをできるという問題が生じています。
影響のあるバージョンは、i386アーキテクチャ用のNetBSD 1.3.3とそれ以前、及び19990420より前のcurrentです。
この問題が発生しているかどうかは、/emul/svr4/dev/wabiのデバイス番号を調べることで判定できます。このデバイスがない場合、あるいは、デバイス番号が2,2になっている場合には問題はありません。
デバイス番号が3,2になっている場合は問題があります。なお、Sparc用のNetBSDでは3,2で正常です。
NetBSD 1.3.3に関しては、修正されたシェルスクリプトがあります。NetBSD-currentのユーザーは、19990420以降のバージョンに更新して下さい。
また、この問題が生じている場合は、上記のスクリプトを再実行するか、以下の処理を行なうことで、問題のデバイスファイルエントリを修正する必要があります。
# /bin/rm -f /emul/svr4/dev/wabi
# /sbin/mknod /emul/svr4/dev/wabi c 2 2
# /bin/chmod u=rw,g=rw,o=rw /emul/svr4/dev/wabi
Redhat Linuxに含まれるlprとprocmailの各パッケージについて、セキュリティーホールの修正を含む更新が行なわれています。
対象は、全てのRedhat Linuxのユーザーです。次のコマンドにより更新されたパッケージを導入することができます。
Redhat Linux 5.0〜5.2(i386):
rpm -Uvh ftp://updates.redhat.com/5.2/i386/lpr-0.35-0.5.2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/i386/procmail-3.13.1-1.i386.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/alpha/lpr-0.35-0.5.2.alpha.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/alpha/procmail-3.13.1-1.alpha.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/sparc/lpr-0.35-0.5.2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/sparc/procmail-3.13.1-1.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/lpr-0.35-0.5.2.src.rpm
rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/procmail-3.13.1-1.src.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/i386/lpr-0.35-0.4.2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/i386/procmail-3.13.1-0.i386.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/alpha/lpr-0.35-0.4.2.alpha.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/alpha/procmail-3.13.1-0.alpha.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/sparc/lpr-0.35-0.4.2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/sparc/procmail-3.13.1-0.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/lpr-0.35-0.4.2.src.rpm
rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/procmail-3.13.1-0.src.rpm
Internet Explorer 4と5に対する、ふたつのパッチが公開されました。
まず、ひとつ目はActiveXコントロールであるDHTML Editへのパッチで、[IE] IE 5にふたつのプライバシーに影響するバグの内の、DHTMLエディットコントロールの問題をfixしたものです。
ふたつ目は、Internet ExplorerのHTMLパーサーであるMSHTML.DLLへのパッチで、以下の三つのセキュリティ関連の問題をfixしたものです。
・Frame Spoof問題の亜種と思われるcross-frame securityのバグ
・[IE] IE 5にふたつのプライバシーに影響するバグの内の、クリップボード関係のバグ
・IMGタグとDOMを利用してユーザーの情報を収集できる問題
どちらも、対象はWindows 95/98/NT4.0のInternet Explorer 4と5が対象です。ただし、前者のDHTMLエディットコントロールに関してはIE 4ではデフォルトではインストールされていません。
参照URL:
MS99-011: Patch Available for "DHTML Edit" Vulnerability
MS99-012: MSHTML Update Available for Internet Explorer
NetBSDにおいて、filesystem操作のコード内におけるロックの扱いに関するバグのため、アカウントを持つ一般ユーザがNetBSDをフリーズあるいはパニックさせることができるというバグが見つかっています。
これに対するカーネルの修正が出ています。カーネルを修正しない利用上の回避方法は存在しないようです。
なお、currentの19990409以降のバージョンでは修正済みです。
参照URL:
NetBSD Security Advisory 1999-008
NetBSD 1.3.3用のパッチ
Microsoft Windows 95/98及びWindows NTにおいて、不正にARPパケットをこれらのOSの稼働するマシンに送りつけることで、計算機を利用不能にする方法が見つかりました。
Windows 95/98では、これにより受信したパケット数分のダイアログボックスが現れます。このため、パケットを大量に受信したマシンは事実上操作が不可能になります。
Windows NTでは、ダイアログボックスは同時に1つしか表示されず、表示している間は不正なARPパケットは無視されます。しかし、継続的にパケットを受信させ続けることで、同様にUIを麻痺させることができます。また、これらの破棄されたパケットが全てログに記録されるため、ログ記録の際の負荷による利用不能攻撃や、古いログの消去に利用される虞があります。
参照URL:ARP problem in Windows9X/NT
Unix上で、サイト間のファイルの同期をとるツールであるrsyncにセキュリティーホールが見つかり、version 2.3.1がリリースされました。
このバグは、サーバ側となるrsyncプログラムで発現するので、常にクライアントとして(コマンドを入力する側)のみで使う場合を除いて、当該プログラムを新しいバージョンに入れ換える必要があるでしょう。
参照URL:rsync 2.3.1 release - security fix
この件に関するRedhat Linuxのアップデートが行われています。
参照URL:
rsync-2.3.1-0.i386.rpm
rsync-2.3.1-0.alpha.rpm
rsync-2.3.1-0.sparc.rpm
この件に関するCaldera Open Linuxのアップデートが行われています。
対象システムは、OpenLinux 1.0, 1.1, 1.2, 1.3, 2.2で、対象パッケージはrsyncの2.3.0 までのバージョンです。
更新手順は、
rpm -q rsync && rpm -U rsync-2.3.1-1.i386.rpm
LinuxのディストリビューションのひとつであるDebian GNU/Linuxにおいて、/usr/docディレクトリにインストールされたファイルを/docというURLで取得できるという仕様が、リモート攻撃に重要となるソフトウェアのバージョン情報を提供してしまっているという指摘が出ています。
この問題は直接的なセキュリティーホールではありませんが、一般にインストールされているソフトウェアのバージョン情報は、秘匿すべき情報に類するという見解が一般的です。
このことに対する対策としては、
・不要なHTTPサーバは起動しない(該当パッケージの削除)
・/docディレクトリの公開を停止する(Apacheでは"Alias /doc/ /usr/doc/"の1行を設定ファイルから削除する)
ことが挙げられます。
参照URL:An issue with Apache on Debian
RedHat Linux 5.2で、いくつかの問題に対する修正パッケージが公開されています。
・XFree86: Local userがローカルファイルに不正に書き込める問題(/tmp/.X11-unixディレクトリに関する良く知られた問題)
・pine、mutt: MIMEヘッダのパーサーのバグによりリモートユーザーが任意のコマンドを実行できる問題
・zgv: ローカルユーザーがrootの特権を得られる問題
・sysklogd: ローカルユーザーがログ機能を停止させられる問題
Redhat Linuxのユーザーは、以上の問題に対する対処として、以下のサイトから得られる新しいパッケージを導入して下さい。
参照URL:
Red Hat Linux 5.2 (Apollo) General Errata
Internet Explorer 5がリリースされましたが、はやくもふたつのプライバシーに影響するバグが見つかっています。
ひとつ目は、以前みつかったWebページの管理者がユーザーのクリップボードの内容を読むことができてしまうというバグの変形で、同じようにクリップボードの内容が漏洩してしまうというものです。
ふたつ目は、名前や置き場所があらかじめわかっているファイルを、やはりWebページの管理者が盗むことができるというものです。これは、IE 5のDHTMLエディットコントロールで起きるもので、JavaScriptを使ってフォーム内にファイル名を指定して、サーバーに送信できるというものだそうです。
なお、Microsoftでは、双方の問題について作業を行っているものの、ふたつ目についてはバグとは認めていないといいます。ただし、意図しない方法で利用される可能性があるとは認めているそうです。
対策ですが、双方共にJavaScriptをオフにするということになるでしょう。
Microsoftでは、ひとつ目に関しては、ゾーン設定によってスクリプトをオフにするという対策を提示しています。
参照URL:
C|NETの記事
ふたつ目のバグに関する発見者のデモ(自己責任で確認してください)
双方のバグに関するデモ(自己責任で確認してください)
予測された通り、Melissa Virusの亜種で、Excelのワークシートファイルに感染するマクロウィルスが見つかっているそうです。
送信メール数などの細かい部分を除いて、基本的な動作は同じようですが、一部情報によるとOutlook以外のメーラにも対応しているとのことです。
原理が同じなため、基本的な対策も変わりません。
・添付ファイルを不用意に開かない
・添付ファイルのマクロを絶対に実行しない
・ウィルスの検出を定期的に行なう
・パスワードつきのExcel添付ファイルを開かない(参照)
参照URL:
InternetWatchの記事
ZDNETの記事(1)
ZDNETの記事(2)