SecuLog

■まぁ、そんなこんなで

今日は欠席だったわけですが、原因がown goalみたいなもんだったりするので、なんとも。

seculogger による 08:58 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■月刊Microsoft号外

ということで。うわさのMS04-025がリリースされております。

• MS04-025: Internet Explorer 用の累積的なセキュリティ更新プログラム (867801)

8/2追記:

なんか更新されてます。

このセキュリティ情報ページを更新し、Windows Update Version 5 を実行している Windows XP を使用しているお客様用の新しいバージョンの更新プログラムが利用可能となったことをお知らせしました。

ということで、Windows Update V5なサイト経由でもMS04-025の適用ができるようになったということみたいですね。

seculogger による 12:50 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■はまった。。。

ずっぽりと。。。。。

呪われてるのかぁぁぁぁぁぁぁぁぁぁぁぁぁぁぁぁあ.....

seculogger による 05:38 午前 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■Microsoft: Office 2003 Service Pack 1 (SP1)

ということで、出たみたいです。詳細についてはKB参照のこと。

• マイクロソフト サポート技術情報 - 842532: Office 2003 Service Pack 1 について

アンインストールできないらしぃので、人柱をどれにするかが悩みどころか。

• マイクロソフト サポート技術情報 - 873125: Office 2003 製品に適用した Service Pack 1 は削除できない

出先のアレでちと...（マテコラ。

seculogger による 02:28 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■Securiteam: Mozilla Firefox Certificate Spoofing

Mozilla FireFoxに脆弱性。SSL未使用サイトが鍵マークを表示して、あたかもSSLを使用しているかのように見せかけることができてしまう。報告では、 0.91/0.92に影響ありとのこと。

デモコードでは、METAタグのRefreshとJavaScriptのonunloadを使用して、他のサイトのSSL証明書を参照させながらページ内には別コンテンツを表示させるという方法を使っている。

鍵マークを確認するときには、ツールバー上のURLのドメインと証明書に入っているサーバのFQDNが一致しているかどうかを確認するのを心がけること。

seculogger による 07:32 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■Nucleus CMS 3.01以前にSQL injection脆弱性

Nucleus CMS 3.01 以前に、セキュリティホールが発見されている。SQL injection 脆弱性が存在しており、Nucleus データベースへの無権限でのアクセスを許してしまう。既に管理権限ユーザのユーザ名/パスワードハッシュをダンプするデモコードが流通しており早急な対策が必要。

この問題に対処するには、action.php の 65 行目（3.01の場合）の次の行：

$blogid = getBlogIDFromItemID($post['itemid']);

を、以下のように変更することで対処できる。

$blogid = getBlogIDFromItemID(intval($post['itemid']));

手元環境の3.01に対してデモコードを実行し、実際に管理権限ユーザのユーザ名/パスワードハッシュをダンプ可能なこと、対策により問題が回避できることを確認。

以下、公開されているデモコードによる攻撃に関する参考情報。上記の対策後にご確認を。

2.0まで同じコードになっていることを確認したので、おそらく以前のバージョンは全て影響を受けると思われる。

• 公開されているデモコードは、UNION SELECTを利用して総当りで、最初の管理者ユーザ名とそのパスワードのMD5ハッシュをダンプするというもの。このスクリプトを実行されている場合、特定IPアドレスからのaction.phpへの連続アクセスが行われているので、Webサーバのログが確認できる場合は突然特定IPからの連続アクセスが発生していないかを確認する。
• また、Nucleus CMSの管理権限ユーザによる身に覚えのないログイン記録がないかを確認しておく。
• 上記に当てはまるか否かにかかわらず、念のためパスワードは変更しておく。

8/3追記:

Top落ちしたので、exploitへのメモを。

• NucleusCMS 3.01 SQL Injection Vulnerability

seculogger による 02:27 午後 の書き込み
コメント(4) | トラックバック(0) | Translate (en)

■うわー

これから出かけようかというときに、なんか雨降ってきてるし。。。

seculogger による 07:42 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■お客様

• [Full-Disclosure] Automated SSH login attempts?

これなんですけど、うちにも7/20ぐらいからtest/guestのパターンで複数個所からノックしてきてますね。列挙してみると、

• 131.234.157.10
• 61.187.94.210
• 66.232.140.94
• 210.114.221.72
• 61.60.51.163
• 61.221.156.204
• 61.222.139.3

地域的にはいろいろ。何をしようとしているのか見えないから、あまり面白くないな。やはりこういうときのためにポットは常備しておかないとだめか。

7/27追記:

DShield-MLに「入られますた」なメールがあって、そこでguestに入ってきたやつの.bash_historyが晒されてた。なんか侵入自体は手動みたいな雰囲気。いまだに各地からスキャンが来てるから、今からでもポット仕込もうかしらん。

8/3追記

結構じわじわいろんなとこに来てるみたいですな。

今日の時点でのSANS ISCのスキャングラフを見ると、こんな感じ。

Securityfocusのincidents-mlでも話題になってるし。

• incidents-ml: 関連スレッド

8/26追記:

なくなりませんねぇ。

• [Full-Disclosure] Automated ssh scanning
• [gentoo-security] new ssh worm?

seculogger による 03:30 午前 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■(´Д`)

仕込みの時間がない。。。

seculogger による 09:03 午後 の書き込み
コメント(1) | トラックバック(0) | Translate (en)

■Potential Buffer Overruns in Samba 3.0 and Samba 2.2

sambaに関する2つの脆弱性が報告され、問題が修正された2.2.10/3.0.5がリリースされている。

一つ目の問題は、sambaのWeb管理インターフェースSWATに関するもの。内部で使用されているHTTPベーシック認証時のBASE64デコード用のコードにバッファオーバーフローが発生し、任意コードが実行されるという問題が存在する(CVE: CAN-2004-0600)。この問題は、バージョン3.0.2から3.0.4までのSWATに存在している。

また、同じBASE64デコードルーチンがLDAP関連機能でも使用されており、同じ問題が発生する。アドバイザリでは、ldapsampasswdバックエンドを使用している場合には、sambaSamAccount属性への書き込みを権限があるユーザのみに限定するように強く呼びかけられている。

もう一つの問題は、'mangling method = hash'をサポートするコードにバッファオーバフローが発生する問題があるというもの(CVE: CAN-2004-0686)。この問題は、2.2.9までの2.2.xバージョン及び3.0.0から3.0.4までのバージョンに存在している。'mangling method = hash2'を使用している場合は影響を受けないとのこと（3.0.xではデフォルト）。

BASE64デコードルーチンの問題に関しては、PoCもポストされている。早急な対策が必要。

seculogger による 01:32 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■Snortのルール

昨日ぐらいにルールが更新されていたので、oinkmasterが出力してきた差分を眺める。

netbios.ruleで、DCE-RPC系のシグネチャの追加とか、HTTP/SMTP/POP/LDAPとかのプロトコルでのover SSLな場合を検知するシグネチャがだいぶ追加されたみたい。

seculogger による 11:55 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■Cisco Security Advisory: Cisco ONS 15327, ONS 15454, ONS 15454 SDH, and ONS 15600 Malformed Packet Vulnerabilities

Ciscoの光プラットホーム製品のONS15000シリーズについての悪意あるパケットによるDoS攻撃に対する脆弱性が報告されている。

ONSシリーズの管理アクセスを受け持つコントロールカードを経由して悪意あるパケットを送りつけられることでDoSが成立する模様。悪意あるパケットを生成可能なプロトコルはIP/ICMP/TCP/UDP/SNMPなど多岐にわたっている。

通常管理系接続は信頼できるネットワークだけに限定して、インターネット等からは切り離されている筈なのでほとんどの場合は問題にならないだろうが、管理系アクセスが限定されていない環境では対応が必要となる。

問題自体には、サポート先から修正版ソフトウェアを入手することで対応できる。

seculogger による 11:27 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■更新が滞り気味なのは

単に通信環境がよろしくないから。。。

seculogger による 10:44 午前 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■SharpReader 0.9.5.0

久々のバージョンアップです。

＃まだ使ってたのかとか言わない。

変更点はHistoryから。

いろいろバグフィックスとかがメインみたいですが、フィルタツールとかの画面表示設定を保存するようにとかのこまごまとした変更も。

seculogger による 07:59 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)

■MS: Exchange Server 2003 Disaster Recovery Operations Guide - 日本語

Exchange Server 2003障害復旧関連のドキュメントが邦訳されたようです。

Exchangeに関係するなら、この間出ていたバックアップリストア関連のものとあわせて読んでおいて損はないはず。

全然関係ないですけど、ダウンロードセンターのほうには、.NET　Framework 2.0の日本語言語パックベータがあがってるんですね。当面はそちら方面には関係しないので、眺めているだな～。

seculogger による 07:10 午後 の書き込み
コメントなし | トラックバック(0) | Translate (en)