セキュリティホール memo - 2008.10

Last modified: Sat Nov 7 20:17:33 2009 +0900 (JST)

だそうです。まぁβですから、なんでもありでしょう。

トレンドマイクロ製品 + MS08-064 patch の環境で、再起動せずに使用し続けるとブルー画面になることがある模様。対象製品は以下だそうで。 製品名 バージョン ウイルスバスター コーポレートエディション 8.0 Trend Micro ビジネスセキュリティ 5.0 Trend Micro ウイルスバスター ビジネスセキュリティ 3.6 / 3.5 ウイルスバスター 2009 17.x ウイルスバスター 2008 16.x ウイルスバスター2007 トレンド フレックス セキュリティ 15.x 森田さん情報ありがとうございます。 しかし、さきほど流れてきたメールマガジン「トレンドマイクロ セキュリティレポート」には、この情報はないんだよなあ。

書籍「はじめてのPHPプログラミング基本編5.3対応」で記述されている dbescape 関数に欠陥があり、SQL インジェクションが可能。 思うに、バインド機構に似た機能を自作しようというのが間違いで、そんなに簡単にできるものではない。PHPのsqlite_xxxx系の関数にはバインド機構が用意されていないようだが、 SQLite ってそんなもんなんだ……。この本、初心者向けですよね。 機能が足りてないソフトを初心者に触らせるのはよくないなあ。 あるいは、SQLiteの使用をあきらめ、MySQLを使ってもよかった。(中略) MySQLであれば、mysql_xxxx系の関数でバインド機構が利用できる。

F-Secure のアンチウイルス製品に欠陥。RPM ファイルの処理において integer overflow する欠陥があり、攻略 RPM ファイルを使って任意のコードを実行できる。 Hotfix 等が公開されているので適用すればよい。

TEMPEST というと「ディスプレイ」が定番だが、「有線キーボード打鍵時に発生する微弱な電磁波」を捉えてキー入力を再現することに成功したのだそうだ。距離は最大で 20m、壁を隔てても捉えられる。USB, PS/2、ラップトップ PC で再現に成功。 伊能さん情報ありがとうございます。 元ねた: COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED KEYBOARDS

Jack C. Louis and Robert E. Lee to talk about New DoS Attack Vectors 関連: CVE-2008-4609

CERT-FI Statement on the Outpost24 TCP Issues (CERT-FI)。2008.10.17 付で改訂されている。 Oct 17. The TCP issue reported by Outpost24 is being coordinated by CERT-FI. We are in a process of determining the impact of the techniques and principles described by the reporters of the issue. We are researching and handling the issue with several vendors from all potentially affected branches of network equipment and software. Once we are fully aware of what types of network equipments and services are most possibly affected, we will make more vendor contacts. Based on previous experience from similar coordination projects, we estimate that the full publication of the details of the issue may take until next year. CERT-FI will publish more information on the developments of the issue coordination as the coordination progresses.

Cisco Security Response: Cisco Response to Outpost24 TCP State Table Manipulation Denial of Service Vulnerabilities (Cisco, 2008.10.17) Cisco PSIRT research indicates an attacker must complete a TCP three-way handshake to a device to successfully exploit the DoS vulnerabilities. This requirement makes spoofing the source of an attack more challenging. The TCP vulnerabilities that Outpost24 announced are an extension of well-known weaknesses in the TCP protocol.



It is possible to mitigate the risk of these vulnerabilities by allowing only trusted sources to access TCP-based services. This mitigation is particularly important for critical infrastructure devices. PSIRT recommends the implementation of infrastructure access control lists (IACLs) and control plane policing (CoPP) to protect core network functionality.

TCP Resource Exhaustion and Botched Disclosure (insecure.org)。nmap な人による解説。

Apache 2.2.10 登場。mod_proxy_ftp の XSS 欠陥 CVE-2008-2939 が修正されている。iida さん、藤井さん情報ありがとうございます。

Oracle 2008.10 版出ています。データベースソフトだけではなく、Oracle WebLogic Server や Oracle Workshop for WebLogic の修正も含まれていますので注意。

VLC media player 0.9.2 (以前?) に欠陥。XSPF プレイリストファイルの扱いに欠陥があり、メモリ破壊が発生。攻略 XSPF ファイルを使って任意のコードを実行できる。 VLC media player 0.9.3 以降で修正されている。最新版は 0.9.4。

Norton 360 2.0 以前, Norton Ghost 14 以前, Norton Save and Restore 2.0 以前, Backup Exec System Recovery 6.x / 7.x / 8.x, Symantec LiveState Recovery に欠陥。これらに含まれる GEARAspiWDM.Sys に欠陥があり、local user が SYSTEM 権限を奪取できる。CVE-2008-3636 Norton 360 は LiveUpdate すればよい。その他のソフトについては、http://www.gearsoftware.com/support/drivers.cfm から最新のドライバを入手しインストールする。

3 種類。 安定した悪用コードの可能性 不安定な悪用コードの可能性 機能する見込みのない悪用コード あくまで安定するかどうかだけなのだけど、安定しないものよりも安定するものの方が開発は容易で効果的なのでしょう。

Mac OS X 10.4.11 / 10.5.5 用の Security Update 2008-007 登場。 例によっていろいろ直っているのですが、なんじゃこりゃ…… Postfix

CVE-ID: CVE-2008-3646

Available for: Mac OS X v10.5.5

Impact: A remote attacker may be able to send mail directly to local users

Description: An issue exists in the Postfix configuration files. For a period of one minute after a local command-line tool sends mail, postfix is accessible from the network. During this time, a remote entity who could connect to the SMTP port may send mail to local users and otherwise use the SMTP protocol. This issue does not cause the system to be an open mail relay. This issue is addressed by modifying the Postfix configuration to prevent SMTP connections from remote machines. This issue does not affect systems prior to Mac OS X v10.5 and does not affect Mac OS X Server. Credit to Pelle Johansson for reporting this issue. わけわかめな設定がされていたということなのか? 手元に Mac OS X 10.5 がないのでよくわからんなあ。 高橋さん情報ありがとうございます。

にせアンチウイルス売場への誘導所にありがちな内容の例。.htaccess に気をつけませう。

Microsoft Digital Image 2006 に付属する ActiveX コントロールに欠陥があるようで。Digital Image 2006 は販売打ち切り品だからなあ……。サポートってどうなってるんだろう。

10/1 から無警告でいきなり始めている模様。それほど緊急事態なのだろうけど、そのわりにはヤフオクの top ページにも何もないしなぁ……。

2008.07.23 に発見して Apple に通報したけどぜんぜん修正されないので詳細を公開だそうです。

例の「予防接種」ですが、次回へ向けて JPCERT/CC が実施協力企業を募集しています。 締切 2008.10.31。江田さん、小宮山さん情報ありがとうございます。