【セキュリティホール】情報交換【バグフィックス】
UNIX の場合 apache と openssl, openssh は ソースから入れるのが基本と言うことでよろ 最近修正された重要なセキュリティホールはなんですか と話題を振ってみる 鯖立ててる人は少ないかも知れないけど CVS のセキュリティホールは影響する範囲大きかったんでは? とりあえず 日本のくらっくサイト情報 ttp://tsukachan.dip.jp/ ここもチェック! セキュリティ情報(SIDFM) http://sid.softek.co.jp/ セキュリティホール memo http://www.st.ryukoku.ac.jp/ ~kjm/security/memo/ ちょっと変な主張も混じっちゃっている気もしないでもないが... >>4 Apache1.3.26のやつじゃないの? セキュリティーホールっていうか 鯖をほったらかしの奴が多すぎ 正直見てらんない(見まくりだけど) JPCERT/CC ttp://www.jpcert.or.jp/ セキュリティ情報のメーリングリストあり ウイルス・ワーム、各種ソフトの脆弱性情報などが送られてきます 各ディストリビューションのメーリングリストに入っておくのも大吉 Debian-usersなんかだとパッケージの更新情報とかも送られてきます その時点で自分の環境判断してパッケージ更新すればOK 結構助かってます >>11 ニムダとか、あいかわらず多いですね。 昨日の朝、Windows用IEのアップデートモジュールが公開されました。 Windows系はすべて「Windows Update」を実行してみてください。 ■マイクロソフト、IEに関する“緊急”のセキュリティホールを警告 ttp://internet.watch.impress.co.jp/www/article/2003/0206/ms.htm Windows UpDate 重・・・ それに今日はやけにアタックが多いいなぁ >>18 たしかにWindowsUPdate 重いな… age ねーねー、韓国に割り当てられてるIPの範囲ってわかる人いない? 半島完全シャットアウトしたいんだけど。 最近、mail relay狙ってくるバカチョン大杉。 >>21 >>22 やっぱりみんな困ってたのね。 ありがとー。じっくり読んでみまつ。 >>20-23 すごくスレ違いなのに すごくほのぼのした PHP4.3.0以前に実行ユーザ権限乗っ取りの穴 (wordwrap()関数を使っている場合) http://www.ciac.org/ciac/bulletins/n-042.shtml うぉ!今朝、めっちゃウインドウが開きまくってる! なにこれ? メッセンジャーは止めたんだけどなぁ・・・ やっぱ初心者にはサーバー運営は無理なのかなぁ・・・ みなさんファイアーウォールとかやっぱつけてるんですか? ZoneAlarmでもいい? >>25 半年に1回ペースでセキュリティホールUzeeeeeeeeeeeeeeeeeeeeeeeee >>25 サンクスコ! 早速PHP5に替えますた。 [] CIAC Bulletin N-038 Microsoft Cumulative Patch for Internet Explorer http://www.ciac.org/ciac/bulletins/n-038.shtml Microsoft Internet Explorer (以降 MSIE) 5.01、5.5 および 6.0 には、 cross-domain security model に関連した脆弱性があります。結果として、遠 隔から第三者が Web ページや HTML 形式の電子メールなどを経由して、MSIE を実行しているユーザの権限を取得する可能性があります。この問題は、 Microsoft が提供する修正プログラムを適用することで解決します。 関連文書 (日本語) マイクロソフト セキュリティ情報 Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004) http://www.microsoft.com/japan/technet/security/bulletin/MS03-004.asp [] CIAC Bulletin N-040 Red Hat Xpdf Packages Vulnerability http://www.ciac.org/ciac/bulletins/n-040.shtml xpdf バージョン 2.01 およびそれ以前のバージョンに含まれている pdftops には脆弱性があります。結果として、遠隔から第三者が PDF 形式のファイル を経由して、プログラムを実行しているユーザの権限を取得する可能性があり ます。 この問題は、ベンダや配布元が提供するパッチを適用する、もしくはパッケー ジを更新することで解決します。 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2003:037-09 Xpdfパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-037J.html Turbolinux Security Advisory TLSA-2003-3 xpdf 整数オーバーフローの問題 http://www.turbolinux.co.jp/security/TLSA-2003-3j.txt 関連文書 (英語) Debian Security Advisory DSA-222-1 xpdf -- integer overflow http://www.debian.org/security/2003/dsa-222.en.html Debian Security Advisory DSA-226-1 xpdf-i -- integer overflow http://www.debian.org/security/2003/dsa-226.en.html [] CIAC Bulletin N-039 Microsoft Unchecked Buffer in Windows Redirector Vulnerability http://www.ciac.org/ciac/bulletins/n-039.shtml Microsoft Windows XP の Windows リダイレクタには、バッファオーバーフロー の脆弱性があります。結果として、ローカルユーザが管理者権限を取得する可 能性があります。この問題は、Microsoft が提供する修正プログラムを適用す ることで解決します。 関連文書 (日本語) マイクロソフト セキュリティ情報 Windows リダイレクタの未チェックのバッファにより権限が昇格する (810577) (MS03-005) http://www.microsoft.com/japan/technet/security/bulletin/MS03-005.asp [] CIAC Bulletin N-042 Updated PHP packages available http://www.ciac.org/ciac/bulletins/n-042.shtml PHP には、wordwrap() 関数にバッファオーバーフローの脆弱性があります。 結果として、遠隔から第三者が PHP スクリプトを実行しているユーザの権限 を取得する可能性があります。対象となるのは以下のバージョンです。 PHP バージョン 4.1.2 より後、且つ 4.3.0 より前のバージョン (4.1.2 と 4.3.0 は含まれず) この問題は、PHP をバージョン 4.3.0 (もしくはそれ以降) に更新する、また はパッケージを更新することで解決します。 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2003:017-06 PHPパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-017J.html 関連文書 (英語) PHP: Hypertext Preprocessor http://www.php.net/ [] CIAC Bulletin N-043 Red Hat openldap Vulnerabilities http://www.ciac.org/ciac/bulletins/n-043.shtml OpenLDAP には、複数のバッファオーバーフローの脆弱性があります。結果と して、遠隔から第三者がサーバプログラムを実行しているユーザの権限を取得 するなどの様々な影響を受ける可能性があります。この問題は、ベンダや配布 元が提供するパッチを適用する、もしくはパッケージを更新することで解決し ます。 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2003:040-07 openldapパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-040J.html Turbolinux Security Advisory TLSA-2003-5 openldap バッファーオーバーフローの問題 http://www.turbolinux.co.jp/security/TLSA-2003-5j.txt 関連文書 (英語) Debian Security Advisory DSA-227-1 openldap2 -- buffer overflows and other bugs http://www.debian.org/security/2003/dsa-227.en.html [] CIAC Bulletin N-041 Sun Linux Vulnerabilities in "unzip" and GNU "tar" Commands http://www.ciac.org/ciac/bulletins/n-041.shtml unzip と GNU tar には、アーカイブ中のファイルの名前に「..」が含まれて いる場合、そのアーカイブの展開時に任意のファイルを上書きしてしまう脆弱 性があります。結果として、ローカルユーザが root 権限を取得する可能性が あります。 この問題はベンダや配布元が提供するパッチを適用する、もしくはパッケージ を更新することで解決します。 関連文書 (英語) Free Sun Alert Notifications Article 47800 Sun Linux Vulnerabilities in "unzip" and GNU "tar" Commands http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/47800 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2002:096-24 unzipとtarパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-096J.html Vine Linux errata tar にセキュリティホール http://vinelinux.org/errata/25x/20021101.html Vine Linux errata unzip にセキュリティホール http://vinelinux.org/errata/25x/20021101-2.html Turbolinux Japan Security Center tar ファイルを上書きされてしまう問題 http://www.turbolinux.co.jp/security/tar-1.13.17-7.html Turbolinux Japan Security Center unzip ファイルを上書きされてしまう問題 http://www.turbolinux.co.jp/security/unzip-5.50-1.html HP社セキュリティ報告: HPSBTL0209-068 unzipおよびtarにおけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0209-068.html [] CIAC Bulletin N-037 Multiple Vulnerabilities in Old Releases of MIT Kerberos http://www.ciac.org/ciac/bulletins/n-037.shtml MIT Kerberos 5 のリリース 1.2.4 およびそれ以前のリリースには、複数の脆 弱性があります。結果として、遠隔から第三者がシステムなどにアクセスする 権限を取得する可能性があります。この問題は、MIT Kerberos 5 をリリース 1.2.5 またはそれ以降のリリースに更新することで解決します。 関連文書 (英語) MIT krb5 Security Advisory 2003-001 Multiple vulnerabilities in old releases of MIT Kerberos http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-001-multiple.txt [] CIAC Bulletin N-036 Updated Kerberos Packages Fix Vulnerability in ftp Client http://www.ciac.org/ciac/bulletins/n-036.shtml Kerberos ftp クライアントには、ファイル名の処理に脆弱性があります。結 果として、遠隔から第三者が ftp クライアントを実行しているユーザの権限 を取得する可能性があります。この問題は、ベンダが提供するパッチを適用す る、もしくはパッケージを更新することで解決します。 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2003:020-10 kerberosパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-020J.html [] 株式会社日本レジストリサービス(JPRS) ウィルス・ワーム等への対処としてフィルタリングを行う場合の注意 http://jpinfo.jp/topics/030207.html ワームの感染を防ぐために特定のポートへのアクセスを制限する際に注意すべ き点を紹介した文書です。特に Microsoft SQL Server 2000 の脆弱性を使っ て伝播するワーム MS-SQL Sever Worm (別名: SQL Slammer など) の場合を例 として紹介しています。 関連文書 (日本語) 社団法人日本ネットワークインフォメーションセンター (JPNIC) ウィルス・ワーム対策のためのフィルタリングがDNSに及ぼす影響について http://www.nic.ad.jp/ja/dns/filtering.html hp OpenView サポート hp OpenView製品におけるSlammer/SQL Expワームの感染について http://www.jpn.hp.com/openview/support/fy03/030127.html JPCERT/CC Alert 2003-01-27 UDP 1434番ポートへのスキャンの増加に関する注意喚起 http://www.jpcert.or.jp/at/2003/at030001.txt JPCERT/CC REPORT 2003-01-29号 http://www.jpcert.or.jp/wr/2003/wr030401.txt JPCERT/CC REPORT 2003-02-05号 http://www.jpcert.or.jp/wr/2003/wr030501.txt >>37 へたに、UDP 1434番ポート塞ぐと、DNSがおかしくなる場合があるらしい。 (ってこと?) named.conf の options{} の中に query-source address * port 53; と書いとけ。常に 53 で問い合わせるようになるので、 53 以外の全 UDP ポートを塞げる。 ふつうダイナミックパケットフィルタリングで外からの UDP も必要なもの以外全部はじくもんじゃないのか? んでもし 1434 で listen している場合は ランダムソースアドレスには使われないから 穴があくこともない うん知ってる。 でも、起動のたびにランダムでも、ポートが固定であることには変わらんので、 常に同じ値にしたところでそれほどセキュリティの低下にはならんと思ってる。 ああそうか、BINDなら確かに変わらんな。 dnscacheはクエリーごとにランダムだから違いが出るけど - -------------------------------------------------------------------------- Debian Security Advisory DSA 251-1 security@debian.org http://www.debian.org/security/ Martin Schulze February 14th, 2003 http://www.debian.org/security/faq - -------------------------------------------------------------------------- Package : w3m, w3m-ssl Vulnerability : HTML のクオート処理の抜け Problem-Type : リモート Debian-specific: いいえ CVE Id : CAN-2002-1335 CAN-2002-1348 - -------------------------------------------------------------------------- なんか急に TCPポート:17300 へのアクセスが増えてる・・・ 何事? ポート3389と17300へのポートスキャンが増えているようです。 3389:リモートデスクトップ 17300:Kuang2TheVirusというTrojan。 PHP 4.3.1出てます。 CGIの脆弱性が修正されてます。 http://www.php.net/downloads.php > PHP 4.3.1 released in response to CGI vulnerability > [17-Feb-2003] The PHP Group today announced the details of a serious > CGI vulnerability in PHP version 4.3.0. A security update, PHP 4.3.1, fixes > the issue. Everyone running affected version of PHP (as CGI) are encouraged > to upgrade immediately. The new 4.3.1 release does not include any other changes, > so upgrading from 4.3.0 is safe and painless. >>48 Apacheのモジュールとして使ってるなら大丈夫? xpdfにバッファオーバーフローだってさ 自宅サバ板的には関係ないか… ちょと情報遅いけど openssl0.9.7a リリース 暗号アタックの可能性だとか Webmin, Userminにroot権限奪取のセキュリティホール 概要: Webmin および Usermin を動作させる Web サーバプログラムである miniserv.pl には、セッション ID を偽造させることのできる問題が存在します。 問題を確認したバージョン: Webmin Version: 1.060 Usermin Version: 0.990 ttp://www.lac.co.jp/security/intelligence/SNSAdvisory/62.html http://www.sendmail.org/ >Sendmail 8.12.8 is available; it contains a fix for a critical >security problem discovered by Mark Dowd of ISS X-Force Sendmail における深刻なセキュリティ脆弱性について http://www.ipa.go.jp/security/ciadr/20030303sendmail.html >最悪の場合、攻撃者は root 権限を取得してしまいます。 外部から SMTP 接続を許可していない場合でも、構成によっては 乗っ取られる可能性があるので注意。プライベートアドレスでも危険。 わからん奴はとにかく早急にアップデートせよ。 cert.orgも早急にアップデートしる。 $ nslookup -query=MX cert.org cert.org preference = 10, mail exchanger = beniaminus.red.cert.org $ telnet beniaminus.red.cert.org 25 220 beniaminus.red.cert.org ESMTP Sendmail 8.11.6/8.11.6/1.7 ★あなたのお悩み解決致します!! ●浮気素行調査 彼氏、彼女、妻、夫の浮気を調査致します!! ●盗聴器盗撮機発見 あなたの部屋に誰かが仕掛けているかも!! ●行方調査 行方不明になっている家族の消息を調査致します!! ●電話番号から住所割り出し 一般電話、携帯から住所を割り出し致します!! ●ストーカー対策 社会問題ともなっているストーカーを撃退致します!! その他人生相談からどんなお悩みでも解決いたします!! 直通 090−8505−3086 URL http://www.h5.dion.ne.jp/ ~grobal/ メール hentaimtt@k9.dion.ne.jp グローバル探偵事務局 >>6025 番叩いて 8.11.6 が出たからって穴があるとは限らないよ。sendmail.8.11.6.security.cr.patch 当ててもバージョン番号は変わらないし。 >>62 う、改行コードが腐った -- >>60 25 番叩いて 8.11.6 が出たからって穴があるとは限らないよ。 sendmail.8.11.6.security.cr.patch 当ててもバージョン番号は変わらないし。 sendmailを使っているというだけでセキュリティホール。 >>64 まあまあ。世の中sendmail使ってる鯖がほとんどというのも事実。 それにsendmailだって設定さえちゃんとできる香具師なら あれでかなりセキュアなメールサーバーになるのよ。 ただしマトモにsendmailを設定できる人間がいないというだけで… 最近 bind9 微妙にリビジョンあがってるね。 うち Debian(woody)だけど、こないだあぷげとしたら、 9.2.1-2.woody.1 −> 9.2.1-2.woody.2 になりますただ。 それはBINDのバージョンじゃなくてDebianが勝手につけてる番号じゃないのか? つーか、今あげるなら9.2.2だろ。 9.2.2 、debian なら unstable だな bind9 (1:9.2.1-2.woody.1 Debian:3.0r1a/stable, Debian-Security:3.0/stable) bind9 (1:9.2.1-4 Debian:testing) bind9 (1:9.2.2-1 Debian:unstable) snort : RPC の前処理(defragment)に buffer overflow あり ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0033 バージョンあげる(->1.9.1)か、rpc_decode行をコメントにすべし 445番にお客さんが多いと思ったら、これですた TCPポート445番をスキャンするトロイの木馬型ウイルス「DELODER」 ttp://internet.watch.impress.co.jp/www/article/2003/0310/deloder.htm BINDくらい自分でコンパイルしろよ・・ ./configure make make install これで終わりじゃん・・・ >>79 そうですね。 感染を目的とする攻撃を受けると IIS/apacheのログが残ります。 ・Code Red「GET /default.ida?NNNNN〜」 ・Code Red II「GET /default.ida?XXXXX〜」 あいかわらずニムダが多いのですが、 うちの方も、ここ最近2日、Code Red II「GET /default.ida?XXXXX〜」 が多くなりました。 (さっきまで、Win2K上の黒氷がピーピー鳴ってました。) 卒業とか入学祝いで春厨がパソ新規購入、ネット接続で感染? でも、WinXPって感染するのか? - - [12/Mar/2003:19:28:42 +0900] "GET /default.ida?XXXXXXXXXX[中略]HTTP/1.0" 200 - - - [12/Mar/2003:19:28:42 +0900] "GET /default.ida?XXXXXXXXXX[中略]HTTP/1.0" 200 - こんなん混じってたよ〜[apacheログ] 慌ててシマンティクの駆除ツールDLして走らせたけど Code Red/II/F検知なしと報告が…はて? "Deroder"はvncをインスコしてirc鯖に宣伝しに逝くらしい。 >>82 Windows+IISじゃなければ、大丈夫だと思われ。 ただ、単にログが残るだけです。 それより、apacheのバージョンとかは、大丈夫? 1.x系列または、2.x系列の最新入れてますか? ここ10日間くらいにiptablesで叩き落されたパケットの集計。 21/tcp …5回 25/tcp …1回 80/tcp …20回 111/tcp …4回 137/udp …645回 139/tcp …1回 443/tcp …3回 445/tcp …39回 1052/udp …5回 1080/tcp …1回 1433/tcp …5回 1434/udp …12回 3128/tcp …1回 3389/tcp …1回 28431/udp …1回 最後の28431/udpって、なに? 何かのワームが仕掛けるバックドア? >>84 ほい、了解。 他のは404/403出てたけど、コイツ(国内IPアドレス)だけ200に成ってたから、心配してました。 Apacheのバージョンも大丈夫ですよ。 >>85 Hack Attack 2000でつよ。 (トロイの一種) >>85 http://catnap.virtualave.net/tips/tips-network.htm >・バックドアやトロイの木馬で使われるPort番号 >28431 UDP YES Hack Attack 2000 >>87 あ、かぶったすね。 # 仕事に戻ります。明日から10日ほど在米の人。 3015はなんでつか? # proto source port port opts 13 tcp 211.135.255.206 80 3015 -af--- 1 tcp 211.135.255.206 80 3015 -a-r-- >>86 いや、ただの自宅鯖です。 (Debian GNU/Linux 3.0) 外部からは、職場からだけセッションを張れるようにしてあります。 内部からは、主に串(っつーか防火壁)として使っています。 インターネットの怖さを何も知らない愛する妻とそのパソコンを、 ただ黙って守っていまつ。 …例の完全匿名化squidです。 >>87-88 ほぉ、そういうヤツですか。参考にします。 # URLサンクス >>82 >>84 >>87 うちも、200 のヤツがきてるんだけど、2件ばかし。 (Debian + apache) 他の GET /default.ida?XXX・・・ は、404 なんだけど... これだけ、どうして、200 なのかなぁ? 大丈夫なんだろうけど、気になる。 どなたか教えて下さいませ。 >>82 HTTP 200 OKはヤバくないか? というか何でApache使ってるのにdefault.idaへのリクエストが200 OKになるのか 考えよう。 とりあえず200を出したリクエストと404のリクエストを比べてみよう。 というか、ワームを発射したヤシが送ってきたリクエストヘッダ見にゃ解らんと思うが。 漏れは今まで(今も)200になった事はないぞ。404と400だけ。 >>95 うちの場合 host ヘッダ無しのアクセスを転送してるせいで 200 は存在しないな... 全部 302 そう言うの以外でも 200 になる場合が本当にあるのかどうか興味あるね >>69 一応マジレスする。 知っとけYO、それくらい!w 2003.3.8 Postfix Version 2.0.5, 2.0.6 が続けてリリースされています。 2.0.6 では sendmail のヘッダ処理に関するセキュリティホールへの対策が含まれているので、 特にゲートウェイで Postfix を使っている場合にはアップデートをお勧めします。 1.1.12, 20010228-pl08 に対する同様のパッチも出ています。 read.cgi ver 07.5.0 2024/04/24 Walang Kapalit ★ | Donguri System Team 5ちゃんねる