%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 日本語訳: Yozo TODA (yozo@ipc.chiba-u.ac.jp) assistant of Information Processing Center, Chiba University TEL: +81-43-290-3539 FAX: +81-43-290-3537 メイリングリスト・ニュースグループへの転載, FTP や WWW などによる配布は 自由に行なって下さい. initial translation: Thu Feb 27 19:32:09 JST 1997 updated: %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% --------------------------------------------------------------------------- CERT(sm) Summary CS-97.01 February 26, 1997 CERT では Incident Response Team に 報告された 攻撃方法に関して 注意を うながすため, 定期的に CERT Summary を 発行している. ここでは 対処方法などに関する 情報源への ポインタも 示している. さらに {Summary 発行後に 入手した} 新しい 情報については ftp://info.cert.org/pub/ から 公開している. 発行済みの CERT Summary については ftp://info.cert.org/pub/cert_summaries/ から 入手することができる. ---------------------------------------------------------------------------- 最近の 動向 --------------- 1. cgi-bin への 攻撃 続く CERT には, cgi-bin スクリプトの セキュリティホールを 狙う 事例が 毎日のように 寄せられている. この問題に関しては すでに CERT advisory を 1996年 3月に 発行している. 以下の URL を参照のこと. ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code 上記 advisory でも 説明しているが, "phf" プログラムを 標的にする事例が いちばん多い. "phf" プログラムは httpd サーバプログラムを インストールするとき 一緒に 自動的に インストールされてしまうことが多い. "phf" を 狙う スクリプトは 広く 出回っており, これを 使って /etc/passwd ファイルの 取得を 試みる 輩が 多いが, 幸運なことに これらの 試みの ほとんどは 失敗に 終っているようだ. 最近の傾向としては, "phf" を 利用して WWWサーバ上で さまざまなコマンドを 実行しようとする事例が 増えている. これによって システム上の ファイルへの 書き込み・変更などを 行なったり シェルを 起動することが 可能になってしまう. また, "phf" プログラムの 名前を 変えて これらの 活動が 発見されないようにするといった テクニックも 報告されている. "phf" の他にも 同様の セキュリティホールを 持つ cgi-bin プログラムが あることが 知られている. CERT advisory 97.07 を 参照のこと. ftp://info.cert.org/pub/cert_advisories/CA-97.07.nph-test-cgi_script 2. Linux への 攻撃 続く Linux マシンの root 権限を 利用される 事例が 後を絶たない. 多くの場合, それらのシステムでは 必要な パッチを 当てていないとか 設定が 間違ったまま 放置されており, 広く 知られている セキュリティホールが そのまま 残っている. これらの 問題点については CERT advisory でも 警告している. Linux を 使っているサイトでは セキュリティ関連のパッチや 対処を 必ず 施しておくこと. root 権限を 不正利用されてしまった 場合の 対応については 以下の URL も 参照してほしい. ftp://info.cert.org/pub/tech_tips/root_compromise Linux 関連の ニュースグループや メイリングリストも チェックすると よいだろう. http://bach.cis.temple.edu/linux/linux-security/ に さらに 詳しい情報があるので 参照すること. 3. "Naughty Robot" メイル サブジェクトに "security breached by NaughtyRobot" と書かれた 嘘つきメイルに 関する 報告が 寄せられている. これらのメイルは 受信者自身の アカウントから 送られているように 見せかけてあり, WWWサーバの セキュリティホールを 破った, とか クレジットカードの番号も 盗んだぞ, などといった内容が 書いてある. しかし CERT で 調べたかぎりでは, 実際に メイルに書かれたようなことが 行なわれた 形跡は 認められない. 他の 団体でも この問題を 調査中である. The Computer Incident Advisory Capability (CIAC) は WWW を通じて 情報を 提供している: http://ciac.llnl.gov/ciac/CIACHoaxes.html#naughty メイルの 送信元 ごまかし問題および その対処法については 以下の ドキュメントを 参照してほしい: ftp://info.cert.org/pub/tech_tips/email_spoofing CERT FTP アーカイブ 新規情報 ---------------------------------- 前回の CERT Summary (November 26, 1996) から 以下の 変更が あった. * 新規追加 ftp://info.cert.org/pub/cert_advisories/ CA-96.25.sendmail_groups group権限で 書き込み可能なファイルに 関するセキュリティホールについて. sendmail バージョン8 が対象. ベンダが発行したパッチや 対処方法に ついても 解説. CA-96.26.ping ping コマンドを 使って 規格で 定められているサイズを超えた 大きさの ICMP パケットを 送り込む 攻撃について. ベンダからの情報も 含む. CA-96.27.hp_sw_install HP の SD-UX にて ローカルユーザが root 権限を 利用できてしまう 問題について. 対処方法も 解説. CA-97.01.flex_lm FLEXlm の セキュリティホールについて. ローカルユーザが FLEXlm デーモンの ユーザ権限を 使って ファイル作成・コマンド実行を 行なえてしまう. CA-97.02.hp_newgrp HP-UX 9.x および 10.x の newgrp(1) の 問題. 誰でも root に なることが できてしまう. 対処方法も 解説. CA-97.03.csetup IRIX バージョン 5.x, 6.0, 6.0.1, 6.1, 6.2 の csetup プログラムの 問題. ローカルユーザが任意のファイルの 作成・変更を 行なえる, root に なることができる, という 問題. 対処方法も 解説. CA-97.04.talkd talk(1) で 使われる talkd(8) プログラムについて. うその DNS 情報を 伝える・外部から 任意の プログラムを root 権限で 実行させることが できてしまう, という問題. CA-97.05.sendmail sendmail バージョン8.8.3 および 8.8.4 の MIME 変換バッファが 溢れてしまう 問題. ベンダからの情報, sendmail の 最新バージョン, 問題への対処方法, sendmail 利用に際しての 一般的な 注意について. CA-97.06.rlogin-term rlogin プログラムの 多くの実装に 含まれる問題について. eklogin や klogin も 含む. ベンダからの情報と 対処方法も解説. CA-97.07.nph-test-cgi_script いくつかの http サーバプログラムに 付属している nph-test-cgi スクリプトの 問題. このスクリプトは 利用できない ように しておくべき. ベンダからの 情報も 含む. CA-97.08.innd INN (InterNetNews server) の 1.5 までのバージョンに ある 問題. バージョン 1.5.1 へのポインタ, パッチ, ベンダからの情報も含む. ftp://info.cert.org/pub/cert_bulletins/ VB-96.19.sgi systour および OutOfBox の問題. VB-96.20.hp HP Remote Watch の問題. ftp://info.cert.org/pub/vendors/hp/ HPSBUX9609-038 HP-UX 10.01 か 10.10 上で Vue 3.0 を 使っている場合, 与えられている以上の権限を 得ることができ, denial-of-service 攻撃を かけることができる. HPSBUX9610-040 ping コマンドで 使われる ICMP の echo request パケットに関する問題. HPSBUX9611-041 HP-UX 10.20 において UID や GID に 大きな数を 使うときの 問題. HPSBUX9701-049 chfn コマンドのセキュリティホール. ftp://info.cert.org/pub/vendors/ibm/ ibm-key ftp://info.cert.org/pub/vendors/sgi/ 19961202-01-PX TCP SYN パケットと ping コマンドによる denial-of-service 攻撃について. ftp://info.cert.org/pub/latest_sw_versions/ MH MH バージョン 6.8.4-10 に関する情報を 追加. sendmail sendmail バージョン 8.8.5 に関する 情報を 追加. wuftpd wuftpd バージョン 2.4.2-beta-12 に 関する情報を追加. ftp://info.cert.org/pub/tools/crack/ crack5.0.tar.gz ftp://info.cert.org/pub/tools/tcp_wrappers/ tcp_wrappers_7.5.tar.gz * 更新されたファイル ftp://info.cert.org/pub/ cert_faq CIAC の ウイルス偽情報ページの URL を 追加. Sysadmin_Tutorial.announcement 講習「システム・ネットワーク管理者の ためのインターネットセキュリティ」の 説明. 講習日程・場所についての情報. ftp://info.cert.org/pub/cert_advisories/ CA-96.01.UDP_service_denial IP スプーフィングに関する情報を更新. Cisco 社の ドキュメントへの ポインタを 追加. CA-96.14.rdist_vul Sun のパッチ情報を 追加. CA-96.19.expreserve HP に関する情報を 更新. CA-96.21.tcp_syn_flooding IBM の パッチ情報を 追加. Sun の メイルアドレス(security-alert) を 訂正. SGI, Livingston, HP, 3COM に 関する情報を 追加・修正. CA-96.25.sendmail_groups Cray Research - SGI に関する情報を 追加. CA-96.26.ping SCO および Data General に 関する 情報を 更新. CA-97.01.flex_lm SGI, Sun の パッチ情報を追加. CA-97.02.hp_newgrp パッチ情報追加. CA-97.04.talkd Cisco に関する情報を追加. CA-97.05.sendmail sendmail.cf の 例を 訂正. CA-97.06.rlogin-term Cygnus, NetBSD, Sun からの情報を追加. CA-97.07.nph-test-cgi_script acknowledgements にある情報を訂正. --------------------------------------------------------------------------- CERT への 連絡方法 Email cert@cert.org Phone +1 412-268-7090 (24時間 受け付け) 8:30-5:00 p.m. EST(GMT-5)/EDT(GMT-4) には CERT メンバが 応答. 緊急時には その他の 時間帯にも 対応. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT advisory や bulletin などの 回覧を 行なう メイリングリストに 参加したい 場合は E-mail アドレス cert-advisory-request@cert.org まで 連絡を. subject 欄には SUBSCRIBE your-email-address と 入れること. {your-email-address の部分に 自分の アドレスを 入れる.} CERT advisory や bulletin は USENET ニュースグループ comp.security.announce に 投稿される. CERT 発行文書など セキュリティ関連の 情報は http://www.cert.org/ ftp://info.cert.org/pub/ にて 公開されている. クラッキングなどに 関する 報告を CERT まで E-mail で 送る場合, 暗号化することを 強く 勧める. CERT では shared DES key や PGP での 暗号化メッセージに 対応している. 詳しいことは CERT まで. CERT の PGP 鍵は ftp://info.cert.org/pub/CERT_PGP.key にある. --------------------------------------------------------------------------- Copyright 1997 Carnegie Mellon University この文章は 非商用目的で CERT の クレジットを つけてある場合に 限り 再配布を 許可する. CERT is a service mark of Carnegie Mellon University. -----BEGIN PGP SIGNATURE----- Version: 2.6.2 iQCVAwUBMxR8THVP+x0t4w7BAQHLdgP/ZhctBl2lw6D5+ITY01aLq7t0ObFXGqzb pDNsLCTbF5d27dpBQHBlee7472qMSZjIwtFxeouOP/kSzlBQ951AXDz8S0S3McOm 0Jz2XNOzQciNxxPXdbs7ai0Md+OPNPLy1gxeNq+l+zqQmhq9o/F1+a9PV40hWW/f lRqM6TtEF6Q= =x6rN -----END PGP SIGNATURE----- %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% Return-Path: ip-connection-owner@jepg-ip.ad.jp Date: Thu, 27 Feb 1997 09:58:30 JST From: Takashi Ichihara To: ip-connection@jepg-ip.ad.jp Message-ID: <009B081D.3FDFC820.7@rikaxp.riken.go.jp> Subject: [IP-CONNECTION] CERT Summary CS-97.01 Sender: owner-ip-connection@jepg-ip.ad.jp Precedence: bulk Reply-To: Takashi Ichihara Content-Type: text Content-Length: 14406 -----BEGIN PGP SIGNED MESSAGE----- - --------------------------------------------------------------------------- CERT(sm) Summary CS-97.01 February 26, 1997 The CERT Coordination Center periodically issues the CERT Summary to draw attention to the types of attacks currently being reported to our Incident Response Team. The summary includes pointers to sources of information for dealing with the problems. We also list new or updated files that are available for anonymous FTP from ftp://info.cert.org/pub/ Past CERT Summaries are available from ftp://info.cert.org/pub/cert_summaries/ - --------------------------------------------------------------------------- Recent Activity - --------------- 1. Continuing cgi-bin Exploits The CERT Coordination Center continues to receive daily reports of attempts to exploit vulnerabilities in cgi-bin scripts. Our original advisory regarding these vulnerabilities was published in March 1996, and is available from: ftp://info.cert.org/pub/cert_advisories/CA-96.06.cgi_example_code The most frequently reported variety of these vulnerabilities uses the "phf" program discussed in the advisory. The "phf" program is installed by default with several implementations of httpd servers. Intruders continue to use widely available "phf" exploit scripts to attempt to obtain a copy of the /etc/passwd file. Fortunately, many of the reported attempts are unsuccessful. We are now seeing increasing numbers of incidents where intruders exploit "phf" to execute a broad range of commands. This can result in the addition or modification of files, and the creation of terminal windows. We are also receiving reports that the "phf" program is being renamed by intruders so that further use can remain undetected. Intruders are increasingly aware of similar weaknesses in cgi-bin programs other than "phf", such as the vulnerability described in CERT Advisory 97.07: ftp://info.cert.org/pub/cert_advisories/CA-97.07.nph-test-cgi_script 2. Continuing Linux Exploits We continue to see incidents in which Linux machines have been the victims of root compromises. In many of these incidents, the compromised systems were unpatched or misconfigured, and the intruders exploited well-known vulnerabilities for which CERT advisories have been published. If you are using Linux, we strongly urge you to keep current with all security patches and workarounds. If your system has been root compromised, we also recommend that you review ftp://info.cert.org/pub/tech_tips/root_compromise Further, you may want to monitor the Linux newsgroups and mailing lists for security patches and workarounds. More information can be found at http://bach.cis.temple.edu/linux/linux-security/ 3. Naughty Robot Email Messages The CERT Coordination Center has received a number of reports describing forged email messages with a subject of "security breached by NaughtyRobot". These messages appear to originate from the victim's own account and claim to have exploited a security hole in the victim's web server. The messages also claim to have collected a variety of information including the victim's credit card numbers. As far as the CERT Coordination Center is aware, there has been no indication that the activities described in the message have actually taken place on any machine. Other response teams have been investigating these messages. The Computer Incident Advisory Capability (CIAC) has additional information on their web site at: http://ciac.llnl.gov/ciac/CIACHoaxes.html#naughty For additional information concerning email spoofing and what you can do, please see our document: ftp://info.cert.org/pub/tech_tips/email_spoofing What's New in the CERT FTP Archive - ---------------------------------- We have made the following changes since the last CERT Summary (November 26, 1996). * New Additions ftp://info.cert.org/pub/cert_advisories/ CA-96.25.sendmail_groups Addresses a security problem affecting sendmail version 8 relating to group-writable files. Vendor patches and a workaround are included. CA-96.26.ping Describes a denial-of-service attack using large ICMP datagrams issued via the ping command. Vendor information is included. CA-96.27.hp_sw_install Describes a vulnerability in Hewlett-Packard SD-UX that may allow local users to gain root privileges. A workaround is included. CA-97.01.flex_lm Describes multi-platform UNIX FLEXlm vulnerabilities. These problems may allow local users to create arbitrary files on the system and execute arbitrary programs using the privileges of the user running the FLEXlm daemons. CA-97.02.hp_newgrp Describes a vulnerability in the newgrp(1) program under HP-UX 9.x and 10.x that may allow users to gain root privileges. A workaround is provided. CA-97.03.csetup A vulnerability in the csetup program under IRIX versions 5.x, 6.0, 6.0.1, 6.1, and 6.2 allows local users to create or overwrite arbitrary files on the system and ultimately gain root privileges. A workaround is provided. CA-97.04.talkd A vulnerability in talkd(8) program used by talk(1) makes it possible to provide corrupt DNS information to a host and to remotely execute arbitrary commands with root privileges. CA-97.05.sendmail Addresses a MIME conversion buffer overflow in sendmail versions 8.8.3 and 8.8.4. The advisory includes vendor information, pointers to the latest version of sendmail, a workaround, and general precautions to take when using sendmail. CA-97.06.rlogin-term Reports a vulnerability in many implementations of the rlogin program, including eklogin and klogin. Vendor information and a workaround are included. CA-97.07.nph-test-cgi_script Points out a vulnerability in the nph-test-cgi script included with some http daemons. Readers are urged to disable the script. Vendor information is included. CA-97.08.innd Describes a vulnerability in all versions of INN (the InterNetNews server) up to and including version 1.5. The advisory includes a pointers to version 1.5.1 and to patches, along with information from vendors. ftp://info.cert.org/pub/cert_bulletins/ VB-96.19.sgi Describes possible vulnerabilities in systour and OutOfBox. VB-96.20.hp Describes vulnerabilities in HP Remote Watch. ftp://info.cert.org/pub/vendors/hp/ HPSBUX9609-038 Using Vue 3.0 on only HP-UX releases 10.01 and 10.10 it is possible to increase privileges and launch denial of service attacks. HPSBUX9610-040 Describes a vulnerability with specific incoming ICMP Echo Request (ping) packets. HPSBUX9611-041 Describes a vulnerability with Large UID's and GID's in HP-UX 10.20. HPSBUX9701-049 Describes a security vulnerability in the chfn executable. ftp://info.cert.org/pub/vendors/ibm/ ibm-key ftp://info.cert.org/pub/vendors/sgi/ 19961202-01-PX Discusses TCP SYN and ping denial of service attacks. ftp://info.cert.org/pub/latest_sw_versions/ MH Added information on MH version 6.8.4-10. sendmail Added information on sendmail version 8.8.5. wuftpd Added information on wuftpd version 2.4.2-beta-12. ftp://info.cert.org/pub/tools/crack/ crack5.0.tar.gz ftp://info.cert.org/pub/tools/tcp_wrappers/ tcp_wrappers_7.5.tar.gz * Updated Files ftp://info.cert.org/pub/ cert_faq Added URL for CIAC virus hoax page. Sysadmin_Tutorial.announcement Describes the course Internet Security for System and Network Administrators. Shows dates and locations of upcoming course offerings. ftp://info.cert.org/pub/cert_advisories/ CA-96.01.UDP_service_denial Updated IP spoofing information. Added pointers to Cisco Systems documents. CA-96.14.rdist_vul Added patch from Sun Microsystems, Inc. CA-96.19.expreserve Updated HP information. CA-96.21.tcp_syn_flooding Added patch from IBM Corporation. Corrected Sun Microsystems, Inc. security alert address. Added or changed information from Silicon Graphics Inc., Livingston Enterprises, Hewlett-Packard Company, and 3COM. CA-96.25.sendmail_groups Added information Cray Research - A Silicon Graphics Company. CA-96.26.ping Updated information from The Santa Cruz Operation (SCO) and Data General Corporation. CA-97.01.flex_lm Added Silicon Graphics Inc. and Sun Microsystems, Inc. patch information. CA-97.02.hp_newgrp Added patch information. CA-97.04.talkd Added information from Cisco Systems. CA-97.05.sendmail Corrected sendmail.cf example. CA-97.06.rlogin-term Added information from Cygnus Solutions, NetBSD, and Sun Microsystems, Inc. CA-97.07.nph-test-cgi_script Corrected information in acknowledgements. - --------------------------------------------------------------------------- How to Contact the CERT Coordination Center Email cert@cert.org Phone +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA To be added to our mailing list for CERT advisories and bulletins, send your email address to cert-advisory-request@cert.org In the subject line, type SUBSCRIBE your-email-address CERT advisories and bulletins are posted on the USENET news group comp.security.announce CERT publications, information about FIRST representatives, and other security-related information are available for anonymous FTP from http://www.cert.org/ ftp://info.cert.org/pub/ If you wish to send sensitive incident or vulnerability information to CERT staff by electronic mail, we strongly advise you to encrypt your message. We can support a shared DES key or PGP. Contact the CERT staff for more information. Location of CERT PGP key ftp://info.cert.org/pub/CERT_PGP.key - --------------------------------------------------------------------------- Copyright 1997 Carnegie Mellon University This material may be reproduced and distributed without permission provided it is used for noncommercial purposes and credit is given to the CERT Coordination Center. CERT is a service mark of Carnegie Mellon University. -----BEGIN PGP SIGNATURE----- Version: 2.6.2 iQCVAwUBMxR8THVP+x0t4w7BAQHLdgP/ZhctBl2lw6D5+ITY01aLq7t0ObFXGqzb pDNsLCTbF5d27dpBQHBlee7472qMSZjIwtFxeouOP/kSzlBQ951AXDz8S0S3McOm 0Jz2XNOzQciNxxPXdbs7ai0Md+OPNPLy1gxeNq+l+zqQmhq9o/F1+a9PV40hWW/f lRqM6TtEF6Q= =x6rN -----END PGP SIGNATURE----- %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%