【セキュリティホール】情報交換【バグフィックス】

**以下キムチ** · 03/02/03 00:43

おまいら、セキュリティホールはふさぎましょう

**DNS未登録さん** · 03/03/21 13:48

>>148
Windows 2000 Service Pack 3をインストールしたコンピュータには
問題はないらしい。

**DNS未登録さん** · 03/03/21 13:59

　　　 ∧＿∧∩　／￣￣￣￣￣￣￣￣￣￣￣
　　　（　´∀｀）/＜先生！こんなのがありました！
　＿ / /　　 /　　　＼＿＿＿＿＿＿＿＿＿＿＿
＼⊂ノ￣￣￣￣＼
　||＼　　　　　　　　＼
　||＼||￣￣￣￣￣||
　||　 ||￣￣￣￣￣||
http://saitama.gasuki.com/hiroyuki/

**念のため** · 03/03/27 13:34

～全てのWindows 2000ユーザーは対策パッチの導入が必要
WebDAVに関する脆弱性はIISを起動していないWindows 2000にも影響
ttp://internet.watch.impress.co.jp/www/article/2003/0326/iis.htm

**DNS未登録さん** · 03/03/31 01:34

Sendmailにスタック・オーバーフローの脆弱性
http://www.sendmail.org/8.12.9.html
http://www.cert.org/advisories/CA-2003-12.html

prescan() 関数に問題があり、アドレス解析時sendmailの中で
コード化する際に十分に電子メールアドレスの長さをチェックしない為。
巧妙に作られたアドレスを備えた電子メールメッセージによって
スタック・オーバーフローを引き起こすことが出来る。

今回の脆弱性が有るとされるSendmailのVerは
・Sendmail Pro (all versions)
・Sendmail Switch 2.1 prior to 2.1.6
・Sendmail Switch 2.2 prior to 2.2.6
・Sendmail Switch 3.0 prior to 3.0.4
・Sendmail for NT 2.X prior to 2.6.3
・Sendmail for NT 3.0 prior to 3.0.4
・Systems running open-source sendmail versions prior to 8.12.9, including UNIX and Linux systems

非常に広い、パッチを適用するか、アップグレードするべし。

**DNS未登録さん** · 03/03/31 11:36

えー、またSendmailぅ。
そういえば、こないだのSendmailの脆弱性とは別物みたいですね。

＞ ※ この問題は、3月初旬に公開された sendmail の脆弱性とは別のものであ
＞ることに注意してください。
＞
＞ sendmail にバッファオーバーフローの脆弱性が発見されました。結果とし
＞て、遠隔から第三者が root 権限を取得する可能性があります。
＞
＞この問題は、sendmail が電子メールアドレスを処理する際に発生します。
＞したがって、内部ネットワークに設置したホスト上で稼動している sendmail
＞であっても、外部から中継されたメッセージを受け取ることによって、問題が
＞発生する可能性があります。

やっぱりSendmail使い多いのかなぁ？
（ちなみにうちは、Postfix）

>>107 どうよ。

**DNS未登録さん** · 03/04/08 11:24

Sambaに新たな脆弱性
http://www.zdnet.co.jp/news/0304/08/nebt_15.html

**DNS未登録さん** · 03/04/09 00:09

この板には使ってる人がいるかも。

APC 製の UPS を管理するフリーのツールである apcupsd に
リモートから root を取られる穴と DoS を受ける穴。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0098
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0099

世に侵入の穴は付きまじ。

**DNS未登録さん** · 03/04/16 19:51

Snortにリモートからsnortが動作しているサーバのプロセス実行権限(普通はroot)を奪取できる脆弱性
http://www.coresecurity.com/common/showdoc.php?idx=313&idxseccion=10

**bloom** · 03/04/16 20:15

http://www2.leverage.jp/start/

**山崎渉** · 03/04/17 11:58

（＾＾）

**DNS未登録さん** · 03/04/19 15:28

age
http://www.st.ryukoku.ac.jp/~kjm/security/memo/#20030417_MS03-013

**山崎渉** · 03/04/20 05:52

　　 ∧＿∧
　　（　　＾＾）＜ぬるぽ（＾＾）

**DNS未登録さん** · 03/04/20 11:20

>>153
ISPサポートで法人担当してますが、
殆どsendmailですね。Postfixは皆無、
稀にqmailがあるかな、という感じです。

Postfixの方が穴が少ない印象がありますが、
単にシェアが相対的に低いから、攻撃対象として
敬遠されているだけなんでしょうか？

**DNS未登録さん** · 03/04/20 11:22

使ってる奴が多いほうを狙ったほうが楽しいからな。

**DNS未登録さん** · 03/04/21 12:59

>>161
両方やん？
窓が攻撃されやすいのと一緒

**DNS未登録さん** · 03/04/21 17:35

すみません、linuxでサーバを立てようとしているのですが
アプリケーション個別のログ(apacheやftp)では無く
tcp/ip全体に対するログって取れるのですか？

**DNS未登録さん** · 03/04/21 17:41

>>164
tcpdump > logfile

**164** · 03/04/21 19:57

>>165
サンクスです

**DNS未登録さん** · 03/04/21 21:29

iptablesで取った方がいいんじゃないの

**山崎渉** · 03/05/22 02:00

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

**山崎渉** · 03/05/28 17:07

　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

**DNS未登録さん** · 03/05/30 19:53

GET /NULL.IDA?CCCCCCCCCC・・・・・
GET /NULL.printer
こんな感じの見慣れないログが残ってたので調べてみたら、
WINNTAutoAttack V2.5というアタックツールらしい

http://www.liandun.net/news/newscontent.asp?snncode=121
http://huijin.org/down/list.asp?id=524
↓インフォシーク翻訳
http://honyakuinfoseek.infoseek.co.jp/amiweb/browser.jsp?langpair=6%2C2&url=http%3A%2F%2Fwww.liandun.net%2Fnews%2Fnewscontent.asp%3Fsnncode%3D121&display=2&lang=JA&toolbar=yes&c_id=honyakuinfoseek
http://honyakuinfoseek.infoseek.co.jp/amiweb/browser.jsp?langpair=6%2C2&url=http%3A%2F%2Fhuijin.org%2Fdown%2Flist.asp%3Fid%3D524&display=2&lang=JA&toolbar=yes&c_id=honyakuinfoseek

**DNS未登録さん** · 03/06/01 19:03

>>170
右のおねーちゃんにﾊｧﾊｧ

**DNS未登録さん** · 03/06/01 20:07

>>170
それアタックツールっぽいけど、
元のIPにアクセスしたら中国のIISのサーバーだったんだよね。
IISが感染するとかあるのかな？
それに俺のとこにもきたけど俺のとこアタックされるほどアクセス多くないし

**170** · 03/06/02 00:11

>>172
下の方の翻訳に
>自動的に増えたのうえに長距離の図形を伝えたのは裏門の機能を支配する
ってあるからワームにもなるっぽい

**DNS未登録さん** · 03/06/02 13:48

php4.3.2がでてたのね…

**DNS未登録さん** · 03/06/08 08:46

Samba 2.2.8a日本語版リリース1.0 がリリースされました。(2003/05/27)
って、かなり前だった

**DNS未登録さん** · 03/07/10 21:48

http://internet.watch.impress.co.jp/www/article/2003/0710/ms.htm
バッファオーバーランに対する脆弱性っていうものは、窓OS以外では発生しないのでしょうか？
もし発生しても他のOS、カーネルでは脆弱性とならないのであるならば、
窓OS自体が、、、かと思いまして。

**DNS未登録さん** · 03/07/10 21:53

>>176
人が書いたコードである以上、穴はどこかにある。
「WindowsじゃないからBORが起こらない」というのは
ちょっとおかしい話だと思う。

**DNS未登録さん** · 03/07/10 21:55

　★見て見てマムコ★
★http://yahooo.s2.x-beat.com/linkvp/linkvp.html★

**DNS未登録さん** · 03/07/10 22:02

実際 Windows 以外でもいっぱい見つかってるし。

**DNS未登録さん** · 03/07/10 22:49

>>179
だな
でも、だからといって Windowsと他のOSの危険度が同じと言う話でもなくて…
頻度、対応等々を含めて総合的に判断しなきゃいけないよなぁ

そういう所がMS　はちょっとアレとか言われる所以で
ttp://japan.cnet.com/news/ent/story/0,2000047623,20059757,00.htm
こんな話もあるしなぁ

**DNS未登録さん** · 03/07/11 04:17

たぶん、Cでソース書くからじゃないかな。
バッファオーバーフローをランタイムライブラリで阻止するのが
デフォルトな処理系を使って書いてれば（DelphiとかC#とか）
危険なバグの出る確率はぐっと減ると思う

**DNS未登録さん** · 03/07/11 21:35

最近ポート445にアタックするサイトがすごく多いけど

何か、穴でもあるの？

**DNS未登録さん** · 03/07/12 23:42

>>182
男には５個、女には６個穴がある。

**DNS未登録さん** · 03/07/13 23:49

>183
毛穴は除外するにしても、何か(穴2個所)を忘れてる余寒。

**DNS未登録さん** · 03/07/14 01:58

>>184
おそらくは>>183は人間ではないと思われ

**DNS未登録さん** · 03/07/14 21:31

合ってんじゃねーのかいの？
男は「鼻の穴が２つ」「口」「尿道口」「肛門」の計５個
女は「鼻の穴が２つ」「口」「尿道口」「膣口」「肛門」の計６個

ほかに有ったか？ｗ

**DNS未登録さん** · 03/07/14 21:32

酔うかい人間ベムベラベロ

**186** · 03/07/14 22:24

おっと！あれだな、耳の穴だな。忘れてたワイ。
誰かに突っ込まれる前でよかたよ。

**DNS未登録さん** · 03/07/14 23:43

>>186 >>188
おまえにはもう２個あるだろ！

「ふしあな」という穴が

**DNS未登録さん** · 03/07/15 00:26

九穴

**山崎渉** · 03/07/15 11:05

　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

**DNS未登録さん** · 03/07/17 06:59

緊急age

**DNS未登録さん** · 03/07/19 22:36

そういや昨日だっけ？Apache1.3.28リリースは。

**DNS未登録さん** · 03/07/20 03:46

>>186

耳は？

**DNS未登録さん** · 03/07/20 08:21

>>194 ｶﾞｲｼｭﾂ

**αランド** · 03/07/20 09:54

http://elife.fam.cx/a006/

**DNS未登録さん** · 03/07/20 21:44

>>193
確かそれくらい(w
漏れは今日slashdot見て知った…個人的には先週インスコしたばっかなのに鬱。

**DNS未登録さん** · 03/07/21 09:52

まさか1.3.ｘがバージョンうｐするとは思わなんだ。
つかFixだもんね。ADDじゃないもんね。

**197** · 03/07/21 09:59

っていうか2.xにしようかな、と考え中。

**DNS未登録さん** · 03/07/21 13:50

>>199
Apache2への移行を推奨しまつ。

**つーか** · 03/07/21 16:48

2．×で、全く問題なし。

**DNS未登録さん** · 03/07/31 06:55

どうせ、httpd.confの書き方変わってたりするんだろ～
書き直すの面倒くせー

apache2.xが1.xより優位な点教えてよ。
乗り換える理由にするから。

**DNS未登録さん** · 03/07/31 20:35

>>202
自分で調べ自分で判断しろ。
まさか仕事もそうやって進めているんじゃないだろうな？

**DNS未登録さん** · 03/08/01 15:05

>>202
優位な点：新しいものを使っているという間違った優越感（ｗ

**ぼるじょあ** ◆ySd1dMH5Gk · 03/08/02 04:52

　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

**DNS未登録さん** · 03/08/02 14:23

山崎渉は正しくセキュリティーホールだよな

_ · 03/08/02 14:45

http://homepage.mac.com/hiroyuki44/

**DNS未登録さん** · 03/08/02 15:36

>>206
本７みたいなこと云うとるし。
>>207 と >>208 の違いって判ってるんだろうか？

**DNS未登録さん** · 03/08/02 18:54

↑
おいお前、アンカ変じゃねぇか？

_ · 03/08/02 19:11

http://homepage.mac.com/hiroyuki44/

**DNS未登録さん** · 03/08/07 16:24

Postfix1.1.xに脆弱性
ttp://www.zdnet.co.jp/enterprise/0308/06/epn17.html

**DNS未登録さん** · 03/08/07 17:03

☆★　新商品　ゾク・ゾク　入荷！！　急げ～！！　☆★☆
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★　送料激安！　　スピード発送！　　商品豊富！　　　
★☆　　　　　　http://www.get-dvd.com　　　　　　　　
☆★　激安ＤＶＤショップ　「ＧＥＴＤＶＤドットコム」　
★☆　　　　　　http://www.get-dvd.com　　　　　　　　
☆★　今すぐアクセス　Ｌｅｔ’ｓ　Ｇｏ！　　　急げ！　
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★

**DNS未登録さん** · 03/08/12 18:36

>186
耳を忘れてるよ！

**DNS未登録さん** · 03/08/12 19:30

>>213

>>189

**DNS未登録さん** · 03/08/12 19:55

浦島太郎って、好きだ。

**DNS未登録さん** · 03/08/14 13:25

（・∀・）ﾆﾔﾆﾔ

**DNS未登録さん** · 03/08/14 20:04

GNUのFTPサーバが3月～7月末まで乗っ取られ
ttp://ftp.gnu.org/MISSING-FILES.README

**DNS未登録さん** · 03/08/14 20:28

>>217
怖すぎ。

**山崎渉** · 03/08/15 22:29

　　　 (⌒V⌒)
　　　│ ＾＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

**DNS未登録さん** · 03/08/15 22:38

ある意味ｾｷｭﾘﾃｨﾎｰﾙだよな…>>219の存在

**DNS未登録さん** · 03/08/19 23:12

apacheのログ見たら、昨日（18日）から "GET / HTTP/1.1"が異様に多く来てる。ま、異様っても２～３分に１回くらいなんだけど。
ちなみにウチのは閑古鳥の鳴く掲示板が一つ動いてるだけで、ドキュメントルートは空っぽ。

発信元IPはバラバラ。送ってくるUser-Agent情報は全て同一で、MSIE5.5 on Win98。パケットも見てみたけどサイズは普通。Hostはドメイン名でなくIPアドレスの直接指定。
サーバ情報の取得用かなとも思う。

世間で何か起こってるの？

**DNS未登録さん** · 03/08/19 23:16

>>221
http://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.html
これかな？

**DNS未登録さん** · 03/08/19 23:18

>>221
MSBLASTERでぐぐってみ

**223** · 03/08/19 23:20

>>222
MSBLASTERとは別物だったんか…？

**222** · 03/08/19 23:24

>>224
BLASTERと同系といえば同系だが…
BLASTERはM$以外の80番PORTにはアクセスしないはず

なんか情報が錯綜してて何がなんだかってのはちょっとある
トレンドマイクロは亜種という位置付けだな

セキュリティホールmemoよりコピペ
とくちょう:

攻撃前に ping し、反応があったホストを攻撃。 snort だと "ICMP PING CyberKit 2.2 Windows" として検出する。
10240 バイトの dllhost.exe ファイルと 19728 バイトの svchost.exe を使う。後者は tftp サーバ。
MS03-026 穴と MS03-007 穴を狙う。
MS03-026 patch (Microsoft 謹製の本物) をダウンロードしインストールする。ただし英語・中国語・韓国語版 patch にしか対応しておらず、日本語版 patch はダウンロードされない。
MS03-007 patch はインストールしない。
4444/tcp ではなく 666～765/tcp を使う。
Blaster ワームを削除する。
2004 年になると自己破壊する。
目標のさがし方がかしこい。MSRPC DCOM ワーム「MS Blast」の蔓延 (ISSKK) より:

**223** · 03/08/19 23:41

>>225
セキュリティホールmemoはキラいなんで、ISSKK読んだけど、
BLASTERを駆除する「善意の」ワームってことになってるみたい。
でも、迷惑には変わらないんだよなぁ。

**221** · 03/08/19 23:46

なるほど。MSblastを消去してpatchをダウンロードする亜種についての記事は読んでたけど、
80番にもアクセスしてくるのは知らなかった。ありがと。

**223** · 03/08/19 23:52

>>227
＞MSblastを消去してpatchをダウンロードする亜種についての記事は読んでた
なんか、折れの無知を晒しただけなような気がする（ｗ

M$公式とかセキュリティホールmemoとかスラドとか除いて、
この辺りの情報が確実に集まってくるサイトって、他にどこがあるんでしょ？
一応、折れは@ITを見るようにはしてるけど、ここんとこ暇がなかった…。

**DNS未登録さん** · 03/08/20 03:25

>>228
そんだけ見てれば十分じゃろ
あと2chのセキュ板が早い

**DNS未登録さん** · 03/08/21 21:06

ものすごい数のサンプルと画像を集めてみました。モロ
動画系サンプル集、新たにアップ！
こきすぎ注意
http://vs2.f-t-s.com/~moemoe/index.html

**DNS未登録さん** · 03/08/21 21:10

http://www.rantyan.net/moro/linkv.html
◎天使の誘惑◎

**DNS未登録さん** · 03/08/26 16:38

ここ数日こんなのが5分に1回くらい世界からくるんだが、いったいなんなんだ?
ぐぐったりウイルスメーカー見たがさっぱりわからん。誰かわかる人キボンヌ
3行目の宛先アドレスが127.0.0.1だし。

2003-08-26 07:23:35 63.138.193.58 - 192.168.2.209 80 GET /index.html - 200 484 191 210 HTTP/1.1 ***.***.***.*** Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+98) - -
2003-08-26 07:23:35 63.138.193.58 - 192.168.2.209 80 SEARCH / - 411 233 44 0 HTTP/1.1 ***.***.***.*** - - -
2003-08-26 07:23:45 63.138.193.58 - 192.168.2.209 80 SEARCH /AAAAAAAAAAAAA(中略)NNNNNNNNNNNNNNN - 404 0 66301 281 HTTP/1.1 127.0.0.1 - - -

**DNS未登録さん** · 03/08/27 19:43

>>232
あなたのおうちは踏み台です

**DNS未登録さん** · 03/08/27 20:21

php4.3.3とっくに出てるからインスコしとけ

**DNS未登録さん** · 03/08/28 23:10

マトモに動かんから今まで通り4.3.2やね

**DNS未登録さん** · 03/08/29 01:13

マトモに動かせないの間違いダロ（ｗ

**biosmaina** · 03/08/29 09:47

もまいら、うちのアクセスログに
"GET / HTTP/1.1" - "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
が大量に入ってますたが、ワームでも流行ってますかね？

**DNS未登録さん** · 03/08/29 09:51

はい

**235** · 03/08/29 20:42

>>236
き、貴様、なぜそれを知っている！！（ｗ

**DNS未登録さん** · 03/09/11 22:21

出たので貼り付けておく
ttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp

**DNS未登録さん** · 03/09/12 04:00

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp

**DNS未登録さん** · 03/09/12 04:38

新種かな？

一発目が　2003/09/11,21:01:27 JST
get /scripts/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af/winnt/system32/cmd.exe?/c%20dir

Nimdaの亜種か？

**DNS未登録さん** · 03/09/12 14:56

>>237
300件／日くらいあるんだよな。

**DNS未登録さん** · 03/09/12 15:13

>>243
それって悪名高いAsia Pacific Network Information Centreからの客？

**DNS未登録さん** · 03/09/12 15:30

だね。
This IP address range is not registered in the ARIN database

**DNS未登録さん** · 03/09/12 15:31

ちなみにうちでは今日はまだ０件

**DNS未登録さん** · 03/09/12 15:52

漏れルーターで>>244からのアクセス止めたいんだけど
「IPアドレス/マスク長」てな具合で設定するもんだから
訳わからん。
誰か>>244のIPアドレス範囲を「IPアドレス/マスク長」で
おすえてプリーズ。

**DNS未登録さん** · 03/09/12 16:02

0.0.0.0/0