PRiMENON:Weblog: Security アーカイブ

ブチ切れそうな Kuro です(#'-')、今日は情報公開しちゃいまーす(何)。
Myuruca さんの日記で Open Proxy についてあったので私も。
Weblog を運営し始めると逃げられないし防ぎきれなくなってくるのがスパムです。
MT-Blacklist にはいくら .htaccess でブロックしていても色々な IP アドレスから送ってきやがります。
その多くは open proxy と呼ばれる IP アドレスを別の端末のものにして偽装しています。
open proxy は「自分は open proxy サーバを運営している」ことを前提にして運営しているはずですが、中には不正に侵入されて無断で open proxy サーバとして使われている、いわゆるゾンビ PC になっている場合があります。
私は MT-Blacklist のブロックログにある IP アドレスを host に変換して、一体どこからスパムをしてくるのか調べてみました。

すると、日本からスパムをしていることが分かりました。
これは、host の最後に jp が付いているのでわかります。
ここでは実際の host を出させていただく(といっても既に IP ブロックしているので当の本人は見れないが)。

以下にリストアップしたのは、PRiMENON:Weblog にスパムを行った JP ドメインにおける IP アドレスとホストである。
一応、IPアドレスとホストは伏せ字を使っておいた。open proxy になんでこんなことしなきゃならないのか憤りを感じるが。

61.120.95.xxx xxx.kyukof.ed.jp
210.248.183.xxx xxx.hokuriku-it.nict.go.jp
202.215.139.xxx xxx.vectant.ne.jp
210.129.184.xxx xxx.dpr.co.jp
218.47.43.xxx xxx.plala.or.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
61.192.160.xxx xxx.alpha-net.ne.jp
61.23.124.xxx xxx.home.ne.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
211.124.193.xxx xxx.zaq.ne.jp
221.186.122.xxx xxx.anabuki-housing.co.jp
160.252.73.xxx xxx.shinshu-u.ac.jp
61.197.165.xxx xxx.san-works.co.jp
61.7.96.xxx xxx.town.yobuko.saga.jp
219.106.249.xxx xxx.csj.co.jp
220.110.24.xxx xxx.wako.ac.jp
61.11.149.xxx xxx.cna.ne.jp
203.180.100.xxx xxx.iij4u.or.jp
219.163.56.xxx xxx.nishikawaunyukogyo.co.jp
133.146.32.xxx xxx.nissan.co.jp
203.180.100.xxx xxx.iij4u.or.jp
203.165.251.xxx xxx.home.ne.jp
221.114.35.xxx xxx.usen.ad.jp
133.146.32.xxx xxx.nissan.co.jp
202.234.131.xxx xxx.fusione.co.jp
211.126.196.xxx xxx.jyuken.or.jp
61.123.140.xxx xxx.okayamafuso.co.jp
210.172.101.xxx xxx.acrlinx.co.jp
202.248.22.xxx xxx.gsh.co.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.41.129.xxx xxx.hiroshima-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
133.3.135.xxx xxx.kyoto-u.ac.jp
61.45.42.xxx xxx.wakwak.ne.jp
133.72.85.xxx xxx.kanagawa-u.ac.jp
202.157.56.xxx xxx.kcn-tv.ne.jp
210.175.251.xxx xxx.toneup.co.jp
150.7.208.xxx xxx.u-tokai.ac.jp
219.96.205.xxx xxx.disec.co.jp
210.194.18.xxx xxx.home.ne.jp
220.108.83.xxx xxx.plala.or.jp
222.144.234.xxx xxx.ocn.ne.jp
220.214.83.xxx xxx.dion.ne.jp
210.20.2.xxx xxx.home.ne.jp
210.172.124.xxx xxx.rios.jp

私を含む Weblog ユーザーは本当にうんざりしている!
open proxy を運営しているのであれば迷惑している人がいるということを理解してくれ!
(上記にあげるリストは既に対策を行っているものも含まれる)。

open proxy は port 80 以外のポートを使う場合が多いみたいです。
よく使われる port をアドレスの最後に :8000 といった具合につけて何か反応があるか調べるとわかります。
が、それはかなり面倒なのでかわはらたろうさんが公開されているOPEN-PROXY検査で調べてみましょう。
注意していただきたいのは、この検査はあくまで open proxy を調査するためのものであり、悪用しないように。
といっても特定の port しか調査できませんけど。

上記のリストから例として 210.248.183.xxx(xxx.hokuriku-it.nict.go.jp)でやってみます(←go.jpドメインかよ)。
フォームに IP アドレスを入力して、送信をクリックします。
ここで、port が開いているかどうか調査が開始されます。port が閉じている場合は時間がかかりますが、open proxy の場合はすぐ表示されます。

scanning 210.248.183.xxx:8080
scanning 210.248.183.xxx:3128
scanning 210.248.183.xxx:6588
scanning 210.248.183.xxx:80
CONNECTED
SEND
CLEAR 501
scanning 210.248.183.xxx:81
scanning 210.248.183.xxx:1080
scanning 210.248.183.xxx:8000
scanning 210.248.183.xxx:1959

上記の表示は open proxy として良く使われる port がすべて開いていることを示します。
port 80 は web サーバ用のため、CONNECT できましたが CLEAR されています。
他の port は接続ができたことを示します。

もしも port が閉じている場合は以下のようになります(私の自宅サーバの場合)。

scanning 219.111.7.xxx:8080
TIMEOUT
scanning 219.111.7.xxx:3128
TIMEOUT
scanning 219.111.7.xxx:6588
TIMEOUT
scanning 219.111.7.xxx:80
CONNECTED
SEND
CLEAR 405
scanning 219.111.7.xxx:81
TIMEOUT
scanning 219.111.7.xxx:1080
TIMEOUT
scanning 219.111.7.xxx:8000
TIMEOUT
scanning 219.111.7.xxx:1959
TIMEOUT

TIMEOUT となる場合は接続に失敗したという意味です。open proxy を運営していない場合は普通こうなるはずです。
大学や大手企業からきているので、通報したほうがいいかもしれません。
当方で検討したうえで、対処を決めます。

投稿者 Kuro : 12:24 AM | コメント (2) | トラックバック

April 30, 2005

福岡県筑前町Webサイトが改竄される

zone-h the internet thermometer 曰く、4月29日(米国時間)ごろ、福岡県筑前町の Web サイトが、AodTurus と名乗るグループにより改竄されました。

zone-h.org による改竄された際に保存されたページ(2005年4月27日ごろ保存されたもの)を見ることができます。
同 zone-h.org によれば、OS は Windows 2000 で、 Web Server は Microsoft-IIS/5.0 だったようです。
現在 Web サイトは改竄されたページが削除されており、復旧している模様です。

投稿者 Kuro : 12:19 PM | コメント (0) | トラックバック

April 25, 2005

日野市Webサイトが改竄される

4月22日ごろ、東京都日野市の Web サイトが iskorpitx と名乗るグループにより改竄されたようです。

zone-h.org によるミラーページ(米国時間の2005年4月21日ごろ保存されたもの)から改竄された時のサイトをみることができる。
NETCRAFT でサーバステータスを調べると、OS は Windows 2000 で Web Server は Microsoft-IIS/5.0。
Windows でも Linux でも UNIX でもそうですが、地方自治体のサーバメンテナンスは十二分にしてほしいものです。
なにせ、住民基本台帳ネットワークとやらが動いている自治体もあるわけで。

私のサーバにも、Windows を標的にしたアタックが何度もきています。中国からのゾンビPCからなのか中国からのアタックが多いです。
そろそろ中国の IP アドレスを広域ブロックでもしようかと思い始めてます。

投稿者 Kuro : 10:31 PM | コメント (0) | トラックバック

April 16, 2005

2005年4月のWindowsUpdate

HOTFIX Report BBS を参考に今回の更新の内容をチェック。
HOTFIX Report BBS に関連リンクがあるので是非使わせていただきましょう。

■Windows シェルの脆弱性により、リモートでコードが実行される (893086) (MS05-016)
[HOTFIX report]MS05-016［重要］：Windows シェルの脆弱性により、リモートでコードが実行される
この脆弱性を攻撃する実証コードが公開されているので、早急にアップデートしてください。

■メッセージキューの脆弱性により、コードが実行される (892944) (MS05-017)

■Windows Kernel の脆弱性により、特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
富士通の PREMERGY に適用するとアプリケーションがクラッシュする障害が発生するそうで([富士通]PRIMERGY FT モデル: Windows Updateに関する留意事項)。

■TCP/IP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (893066) (MS05-019)
この脆弱性は Windows での実装だけでなく、TCP/IP 全般の問題らしい。Windows 以外の Cisco 製品などの TCP/IP 製品に影響があるそうです。
Windows 2000 に適用すると、ネットワークのパフォーマンスが低下するようです。

■Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)

■Exchange Server の脆弱性により、リモートでコードが実行される (894549) (MS05-021)

■MSN Messenger の脆弱性により、リモートでコードが実行される (896597) (MS05-022)

■Microsoft Security Bulletin MS05-023: Microsoft Word の脆弱性により、リモートでコードが実行される (890169)

今回の更新で、WindowsUpdate での Windows XP SP2 の自動アップデートが行われるようになります。
どうしても SP2 の適用を行いたくない場合の手順が HOTFIX report BBS にあります。

[Microsoft]今後のセキュリティ情報リリーススケジュール
次回は米国日付5月10日(日本日付5月11日)です。

投稿者 Kuro : 10:22 AM | コメント (0) | トラックバック

April 14, 2005

リファラスパム含むスパムの件

plasticdreams で .htaccess が公開されているのを発見。
私が使っている .htaccess よりも無駄がない記述に参考にさせていただきますorz

私が使っている .htaccess はこんななんですが。
一部自分用エラー画面設定は消してありますが、ほとんど同じです。

ところで、.htaccess で指定して deny されるはずのリファラスパムがなぜかまだリファラに記録されるのはなぜなんでしょうか。
.htaccess で指定してある www.fire-fire-fire.com はまだリファラに残っているようで、全く持って腹立たしい。
webalizer に膨大な量のリファラスパムが残って腹立たしいです。

これだけは言える。

スパムは絶対に許さん。

投稿者 Kuro : 11:20 PM | コメント (0) | トラックバック

March 14, 2005

スパムメールをOCN のabuseに通報、返信がきた

Becky!2のメールスパム対策・対処用プラグインBkASPil for Becky!2を使ってます。

このプラグインには「処置依頼支援機能」という機能があります。
ユーザー登録したユーザーのみが使えるもので、スパムメールを大元の管理者へ通報するための機能です。
今年は何か始めてみよう！計画の一環として、1月はじめにユーザー登録してみました。

で、去年の暮れあたりから来るスパムを abuse へ「初」通報してみました。

今回の餌食になったのは、アドレスが delivery@hosyou-b.mine.nu / delivery@hosyou-r01.mine.nu / delivery@hosyou-r02.mine.nu で送ってくるスパム(送り主は違えど内容は同じ)。
天気予報が下のほうについていますが、その日が終わってから天気予報されても無意味なんですが。
通報したスパムメール(ヘッダ付)。
mine.nu ドメインは、DynamicDNS を利用した動的 IP アドレスを利用し Postfix で送信したようです。

ヘッダにある Reveived を見ると、1つ目は OCN 東京丸の内データセンターを経由。
2つ目はプライベート IP アドレスなので無視。
てことで、OCN の abuse@ocn.ad.jp へ通報しました。

12日(土)に出して、14日(月)今日返信が来てました。
内容によれば、どうやら犯人は迷惑メールを複数名義、複数住所の契約で送信しているそうで。
利用停止措置を実施したそうなので、これからスパムは来ることはないでしょう。

今後におきましても、当該の迷惑メール送信者のような悪質なユーザに対しては、
即時に厳しく対処していきたいと思っておりますので、誠にお手数ではございま
すが、受信されましたら弊社までご連絡いただければ幸いでございます。

スパムに対して措置をちゃんとしてもらえるなら、私はスパム行為のない世の中を目指して監視・通報を行う覚悟でございます。
そんな、ホワイトデー。

投稿者 Kuro : 10:27 PM | コメント (0) | トラックバック

March 12, 2005

リファラスパムを正規表現で指定する

前のエントリーでは、以下のような指定をしてリファラスパムを拒否しようとしていました。

SetEnvIf Referer "spamurl¥.com" deny_referer_spam

この指定でも十分対応可能です。
が、アクセス解析で調べてみるとドメイン名が2文字の場合がありました。
リファラスパムの1つで、se.com は上記の指定を使うと非スパムからのアクセス www.websense.com のようなリファラも拒否してしまいます。

これはまずいので、正規表現を調べて編み出した指定法。

SetEnvIf Referer "(¥.|/)se¥.com" deny_referer_spam

上記の正規表現が意味するのは、「se の文字列の前にドット(.)もしくはスラッシュがあり、.com と続く」リファラを拒否します。
サブドメインを無限にとるリファラスパムは、ドメインの後ろに必ずドット(.)があるので拒否。
また、http://se.com の場合もありますが se の後ろにスラッシュがあるのでこれも拒否。
もちろん、http://www.se.com も se の前にドット(.)があるので拒否できます。

拒否できるのは以下のような例です。
http://se.com
http://abcdefghijk.se.com
http://124349241913981.se.com
http://sex-poker-game-credit.se.com

以下のアドレスはスパムを行わない正常なリファラなのでページを表示できます。
http://www.websense.coom
http://websense.com

これで、リファラスパムもざまーみろです(笑)。

以下は、今回追加した拒否ドメインです。

SetEnvIf Referer "(¥.|/)nutzu¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)crescentarian¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)highprofitclub¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)doobu¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)rohkalby¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)rohkalby¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)sky-dream¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)low-low-rates¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)zalaszentgrot¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)xrl¥.us" deny_referer_spam
SetEnvIf Referer "(¥.|/)gb¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)rulo¥.biz" deny_referer_spam
SetEnvIf Referer "(¥.|/)best-buy-site-4u¥.info" deny_referer_spam
SetEnvIf Referer "(¥.|/)fidelityfunding¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)ps2cool¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)tecrep-inc¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)cheat-elite¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)houseofsevengables¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)debt-help-bill-consolidation-elimination¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)online-deals-4u¥.info" deny_referer_spam
SetEnvIf Referer "(¥.|/)reachcasino¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)learnhowtoplay¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)911easymoney¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)1a1merchantaccounts¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)se¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)atlanta2000¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)devilofnights¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)flafeber¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)mortgagequestaz¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)neweighweb¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)sportingcolors¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)uk¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)musicbox1¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)tclighting¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)uk¥.net" deny_referer_spam
SetEnvIf Referer "(¥.|/)hermosa¥.us" deny_referer_spam
SetEnvIf Referer "(¥.|/)mediavisor¥.com" deny_referer_spam
SetEnvIf Referer "(¥.|/)sedonaretreat¥.org" deny_referer_spam
SetEnvIf Referer "(¥.|/)tv-taro¥.com" deny_referer_spam

投稿者 Kuro : 11:18 PM | コメント (0) | トラックバック

リファラスパムをWebサーバで拒否する

リファラスパム(referer spam)を説明する前に、リファラとはなにかを説明しておかないと気がすまないです(何)。

A という Web サイトを今みていて、その Web サイトにリンクが張られている B という Web サイトがあるとします。
Web ブラウザは B という Web サイトに移動する際に、A という Web サイトのアドレスを記憶して、B という Web サイトの Web サーバ(Apache など)に送ります。これをリファラと呼びます。
B という Web サイトを管理している Web サーバには「A という Web サイトから来たんだなコンチクショ！」というのが分かります。

このリファラは Web ブラウザに標準で装備されているのですが、お店で販売されているいわゆるファイヤーウォールソフト(Norton Internet Security)ではこのリファラを隠蔽するような設定になっています。
そのため、「リファラ情報を出さないとページをみせないぞ！」というルールで Web サイトを運営している場合、ページが表示できなくなるということが発生しました。
※信頼ある Web サイトのみリファラ情報を送る設定にすれば問題なく閲覧できます

それで有名になったサイトといえば、ITmedia の画像が表示されない件ではないでしょうか。
リファラを隠蔽していると、画像が表示されないと思います。

リファラはアクセス解析にも残りますし、一部の日記スクリプト(tDiary？)はリファラ情報を表示している場合があります。
どのサイトから来たかわかるので、面白いです。

リファラのことはこの辺で終わり(なにー)。

問題は、このリファラを悪用してアダルトサイトやポーカーサイトのアドレスに改悪し、リンクをクリックさせて検索エンジンで上位表示させるサイトが今現在急増しています。

PRiMENON:Weblog は、これを重大な問題と受け止め、早速対策に取り組もうと思います。
対策として考えられるのは、日記スクリプトや Weblog ツールはプラグインという方法がありますが、それでは根本的な対策になりません。
つまり、その日記スクリプトで生成されていない普通の HTML で作成している Web ページには何の効果も得られません。

ここは、「リファラが150% アダルトサイトやポーカー以下略の場合は Web サーバにアクセスできないようにする」で対処しようと思います。
Web サーバに root 権限を持っている場合は、httpd.conf を編集できますが、それは少々面倒なので .htaccess で拒否しようと思います。
レンタルサーバで、.htaccess が許可されていないとだめですので、確認してくださいね。

■参考にさせていただいた Web サイト
.htaccessで参照元（Referer）によるアクセス制限する方法

私はすでに、.htaccess ファイルがあるのでそれを編集します。
初めて作成される方へ、Windows の場合はドットから始まるファイルは作成できないのでご安心を。
Web サーバにアップロードした後に、名前をドットから始まるファイル名にしてくださいな。

書き方はこんなかんじ。

order allow,deny
allow from all
deny from env=deny_referer_spam
SetEnvIf Referer "http://www¥.spamurl¥.com/" deny_referer_spam

deny_referer_spam は、SetEnvIf の最後に書いてある記述と同じにしましょう。
つまり、

deny from env=spam_is_taco
SetEnvIf Referer "http://www¥.spamurl¥.com/" spam_is_taco

でもいいです。分かりやすいユニークな名前を付けてください。

また、上記の例では URL がそのままかいてありますが、正規表現で書かなくてはなりません。
ドット(.)の前に円マーク(¥←バックスラッシュに見えるかも)があるのは、「文字列としてのドットだよー」を宣言するためです。
正規表現でのドット(.)は、「なんでもいいけど何か文字1文字分(改行は除く)」を意味します。
"www.spamurl.com" だと、「www と続いて何か1文字があって spamurl と続いて何か1文字があって com」となってしまいますのでご注意を。
私もあまり正規表現は詳しくないので、Web サイトから拝借して使わせていただいてまス。

HSTBT Hiki に参考になる正規表現が書いてあるので使わせていただこうと思います。

SetEnvIf Referer "(¥.com|¥.net|¥.org|¥.biz|¥.info|¥.name|¥.us|¥.ws)$" anti_refspam

上記の私の例では、deny_referer_spam にしているので、anti_refspam を deny_referer_spam にしましょう。
もちろん、自分でユニークな名前をつけたらそれに。

ちなみに、order allow,deny と allw from all は1度かいてあれば記述しなくてよいです。
IP アドレスでブロックする方法を使っている場合は、既に記述してあるはずなので(私の場合はとくに)。

自分で拒否したい URL を指定して、SetEnvIf 行をどんどん増やしていきましょう。

もうひとつ方法(未確認なので有識者さん意見希望)。
こんなリファラ情報を残すスパムが現れた場合はどうしましょう(いや、既にもうキテマス)。

http://aaaaaaaaaa.spamurl.com/
http://bbbbbbbbbb.spamurl.com/
http://aaaaaaaaaa.spamurl.com
http://bbbbbbbbbb.spamurl.com
http://asdfjklewlalklewjraoijlkgkjsaflksjlalkjn.spamurl.com/
http://143242879857917ajfjkajjwerjajfjaower.spamurl.com/poker-game-daily.html
http://lkfajflajlejrlkw2jlr2354532421nbvzietw.spamurl.com/eroero-image-download-url.shtml

サブドメインを無限に設定している例です。
注目すべきなのは、spamurl.com は常に同じであること。
こんなときは、SetEnvIf に以下を指定するといいのではないでしょうか。

SetEnvIf Referer "spamurl¥.com" deny_referer_spam

たぶんこれで可能なはず。
http://www. なリファは少数派になりつつあるので、ドメインで一括指定一括拒否です。
もちろん、上記の指定だと悪意のないユーザーも拒否してしまう可能性があるので注意が必要です。

記述がすべて終わったら、Web サーバへアスキーモードでアップロードしましょう。
アップロードする場所は、一番上位のディレクトリでいいでしょう(/home/ユーザー名/public_html/ あたりに)。

投稿者 Kuro : 01:01 PM | コメント (0) | トラックバック

スパムを行うホストIPアドレス情報探し

コメントスパムやトラックバックスパムを行うホスト IP アドレスを公開されている方がいらっしゃるようなので、じゃんじゃん登録しちゃってます。
もちろん、悪意を持った人もいる可能性があるのでそれは人間が判断しなくてはなりませんが。

以下は、今回リストに追加させていただいた Web サイトです。
Cubic::cubic +(2004年11月第1週分)
Cubic::cubic +(2004年11月第2週分)
れっつ日記(2005/01/12更新)の IP アドレスのみ
れっつ日記さんは、ドメイン名も書かれているようですがそれだとあんまり意味ないかなと思ったので追加してません。

.htaccess にどんな風に書いているか、またはリストが欲しい方は自宅サーバのほうにテキストデータをおいておきますのでどうぞ。

もしもスパムを行うホスト IP アドレスをご存知でしたら、教えてくださいね。

投稿者 Kuro : 11:28 AM | コメント (0) | トラックバック

March 03, 2005

今頃WindowsUpdateにKB887742とKB886677が表示される

今日、WindowsUpdate をしてみると以下の patch が表示されていました。
これらは、以前の定例 WindowsUpdate 時には表示されていませんでした。
なぜ表示されたのかは謎です。

■Windows XP Service Pack 2 または Windows Server 2003 で Stop エラー "Stop 0x05 (INVALID_PROCESS_ATTACH_ATTEMPT)" が表示される(KB887742)
Windows XP SP2 で、ウイルス対策ソフトやファイヤーウォールソフトをインストールすると、ブルースクリーンになる不具合を修正します。

■Windows XP 上の Internet Explorer で Shift-JIS 文字エンコードを使用する Web サイトを参照すると、2 バイト文字セット (DBCS) 文字が正しく表示されない場合がある(KB886677)
Windows XP SP2 で、SHIFT_JIS エンコードで表示する Web サイトを Internet Explorer で表示したとき、文字化けが起こる不具合を修正します。

検索してみると、2004年11月22日に公開された窓の杜の記事を発見。
BroadBand Watchによれば、このパッチは脆弱性として位置づけていないので、深刻度も未設定。

一応、サブマシンにインストールして検証予定。

投稿者 Kuro : 10:41 PM | コメント (0) | トラックバック

February 28, 2005

フィッシング詐欺サイトのスクリーンショットを掲載・通報するサイト「フィッシング詐欺サイト情報」

日本独自のブラックリストデータベースシステムを立ち上げるプロジェクト Realtime Blackhole List Japan が運営しているフィッシング詐欺サイト情報は、実際に犯罪に使われようとしているフィッシング詐欺 Web サイトのスクリーンショットを見ることができます。

他にも、サーバの OS に何を使っているかなど、細かな経過が見れて犯罪の裏を知ることができます。

私の元にはまだフィッシング詐欺のメールは着ていないので、見たことがないです。
このサイトにあるスクリーンショットを見ると、ホンモノのサイトと全く同じですねー。
でも URL を見てみると、IP アドレスだったりまったく違うサイトだったり。
スクリーンショットには、URL が写るようになっているので、偽サイトということが分かりますね。

ちなみに、記事にある URL をブラウザで表示すると、偽サイトがまだ見れる場合があります。
ボタンやリンクは、ホンモノサイトを表示するようにしていてかなり巧妙です。
でも時々、ボタンを押すと Apache の forbidden が表示されて、手抜き感もあります。

メールスパムは時々着弾しています。Becky のスパム対策プラグインBkASPilを入れているので、スパムはスパ無用別フォルダに入るようにしています。

メールで着信したアドレスには十分にご注意ください。

投稿者 Kuro : 10:02 PM | コメント (0) | トラックバック

February 09, 2005

2005年2月のWindowsUpdate

セキュリティーホール memo やスラッシュドットジャパンの記事によると、毎月恒例の WindowsUpdate の日がやってまいりました。

■ASP.NET パス検証の脆弱性 (887219) (MS05-004)
・Microsoft .NET Framework 1.0
・Microsoft .NET Framework 1.1

■Microsoft Office XP の脆弱性により、リモートでコードが実行される (873352) (MS05-005)
・Microsoft Office XP(Microsoft Office 2000 及び 2003 は影響を受けない)
・Microsoft Project 2002
・Microsoft Visio 2002
・Microsoft Works Suite

■Windows SharePoint Services および SharePoint Team Services の脆弱性により、クロスサイトスクリプティングおよびなりすましの攻撃が行われる (887981) (MS05-006)
・Microsoft Windows SharePoint Services
・SharePoint Team Services from Microsoft

■Windows の脆弱性により、情報漏えいが起こる (888302) (MS05-007)
以下のソフトウェア以外のユーザー(以下のソフトウェアに影響はなし)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems
・Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)
・Microsoft Windows Millennium Edition (Me)

■Windows シェルの脆弱性により、リモートでコードが実行される (890047) (MS05-008)
・Microsoft Windows 2000 Service Pack 3
・Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1
・Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 64-Bit Edition for Itanium-based Systems
・Microsoft Windows 98
・Microsoft Windows 98 Second Edition (SE)
・Microsoft Windows Millennium Edition (ME)

■PNG 処理の脆弱性により、バッファオーバーランが起こる (890261) (MS05-009)
・Microsoft Windows Media Player 9
・Microsoft Windows Messenger バージョン 5.0
・Microsoft MSN Messenger 6.1/6.2
・Microsoft Windows Messenger バージョン 4.7.2009(Windows XP Service Pack 1 上で実行されている場合)
・Microsoft Windows Messenger バージョン 4.7.3000(Windows XP Service Pack 2 上で実行されている場合)

■ライセンスログサービスの脆弱性により、コードが実行される (885834) (MS05-010)
・Microsoft Windows NT Server 4.0 Service Pack 6a
・Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
・Microsoft Windows 2000 Server Service Pack 3
・Microsoft Windows 2000 Server Service Pack 4
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 64-Bit Edition for Itanium-based Systems

■サーバーメッセージブロックの脆弱性により、リモートでコードが実行される (885250) (MS05-011)
・Microsoft Windows 2000 Service Pack 3、Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■OLE および COM の脆弱性により、リモートでコードが実行される (873333) (MS05-012)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■DHTML 編集コンポーネントの Active X コントロールの脆弱性により、リモートでコードが実行される (891781) (MS05-013)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■Internet Explorer 用の累積的なセキュリティ更新プログラム (867282) (MS05-014)
・Microsoft Windows 2000 Service Pack 3 および Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■ハイパーリンクオブジェクトライブラリの脆弱性により、リモートでコードが実行される (888113) (MS05-015)
・Microsoft Windows 2000 Service Pack 3 および Microsoft Windows 2000 Service Pack 4
・Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
・Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
・Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
・Microsoft Windows Server 2003
・Microsoft Windows Server 2003 for Itanium-based Systems

■SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035)
・Microsoft Windows XP 64-Bit Edition Version 2003 (KB885881)
・Microsoft Windows Server 2003 (KB885881)
・Microsoft Windows Server 2003 64-Bit Edition (KB885881)
・Microsoft Exchange Server 2003 および Microsoft Exchange Server 2003 Service Pack 1
・Microsoft Exchange Server 2003
・Microsoft Exchange 2000 Server Service Pack 3 (KB890066)

投稿者 Kuro : 10:34 PM | コメント (0) | トラックバック

February 06, 2005

PRiMENONがブロックしているIPアドレスを公開します

現在 PRiMENON では、コメントスパム・トラックバックスパム行為を含む不正なアクセスからのサーバの保護を強化しています。
MT-Blacklist のブロック IP アドレスを利用して、.htaccess による拒否機能を併用しています。

現在 PRiMENON でアクセスブロック中の IP アドレスについて、Web ページを作成し公開します。

PRiMENON:アクセスブロック中の IP アドレス

Wikipedia の投稿ブロック中のユーザーやIPアドレスを参考に、リスト化していますが、管理上下に行くほど新しくブロックした IP アドレスになっています。

もしも、スパムを行ってくる IP アドレスがあるのであれば、.htaccess による拒否機能も併用することをお勧めします。
やり方については、.htaccess に関するドキュメントを参照するか、私の PukiWikiにも書いてありますのでご利用ください。

投稿者 Kuro : 12:12 PM | コメント (0) | トラックバック

January 26, 2005

MovableType全バージョンにスパムメールを幇助する脆弱性

MovableType 日本語版サイト曰く、MovableType の脆弱性によってスパムメールを幇助する現象が確認されたそうです。

該当するバージョンは、出荷済みのすべてのバージョンとなっていて、回避するにはプラグインをインストールするとのこと。また、同 Web サイトからダウンロードできる MovableType はすでに対策済み。

ご利用中の方は、ただちに対策を行いましょう。

ちなみに、今回のプラグイン形式のパッチは、MT-Blacklist のようにプラットフォーム画面には表示されません。2.6x への対応のためとの説明がされています。

投稿者 Kuro : 10:19 PM | コメント (0) | トラックバック

December 15, 2004

2004年12月のWindowsUpdate

スラッシュドットジャパンの記事によると、月刊 WindowsUpdate12月号に＋α付きで発表されました。
いずれも深刻度は2番目に高い「重要」レベルです。

今回の修正は以下の通り。セキュリティーホール memoさんより抜粋です。

■[Microsoft]WordPad の脆弱性により、コードが実行される (885836) (MS04-041)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-041［重要］：WordPad の脆弱性により、コードが実行される

■[Microsoft]DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる (885249) (MS04-042)
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
[HOTFIX report]MS04-042［重要］：DHCP の脆弱性により、リモートでコードが実行され、サービス拒否が起こる

■ハイパーターミナルの脆弱性により、コードが実行される (873339) (MS04-043)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-043［重要］：ハイパーターミナルの脆弱性により、コードが実行される

■Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる (885835) (MS04-044)
・Windows 2000 SP3/4
・Windows XP SP1/1a/2
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows XP 64-Bit Edition SP1
・Windows XP 64-Bit Edition Version 2003
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-044［重要］：Windows カーネルおよび LSASS の脆弱性により、特権の昇格が起こる

■WINS の脆弱性により、リモートでコードが実行される (870763) (MS04-045)
・Windows 2000 Server SP3/4
・Windows Server 2003 SP0
・Windows NT Server 4.0 SP6a
・Windows NT Server 4.0, Terminal Server Edition SP6
・Windows Server 2003 64-Bit Edition SP0
[HOTFIX report]MS04-045［重要］：WINS の脆弱性により、リモートでコードが実行される

該当 OS を管理しているユーザーもしくはネットワーク管理者はアップデートを行いましょう。

投稿者 Kuro : 10:56 PM | コメント (0) | トラックバック

November 25, 2004

PukiWiki 1.4.x にXSS脆弱性

Pukiwiki Errata 発表によると、PukiWiki 1.4.x に含まれている color プラグイン (r1.5-1.9まで) に XSS脆弱性が含まれているそうです。

解決するには、pukiwiki がインストールされたディレクトリ/plugin/color.inc.php を検証済みのリビジョン 1.13 に置き換えることがアナウンスされています。
私にもちょっと分かりづらいバージョンアップ方法だったので、メモ。

PukiWiki CVS(Current Versions System) にある、Revision 1.17 の右にある (Download) からダウンロードします。
ダウンロードしたら、自分の利用している PukiWiki のインストールされたディレクトリにある、plugin/color.inc.php に上書き保存しましょう。

私の使っている KuroWiki もバージョンアップしておきました。

投稿者 Kuro : 10:16 PM | コメント (0) | トラックバック

November 04, 2004

PukiWikiを利用したサイトが改竄される

NetSecurityの記事によると、11月2日と3日に個人サイトを含む8件のWebサイト改竄が行われたと確認されたようです。

改竄された Web はいずれも私も利用している、Web上から直接サイトを編集することができる PukiWiki.org のようです。

zone-h.orgで確認してみると半田企画有限会社のみ改竄の様子を確認できました。
というより、元サイトのバックアップで確認できました。

見る限り、サーバシステムへ侵入しての改竄ではなくただ PukiWiki の編集機能を利用して書き込んだようです。
また、北陸先端科学技術大学院大学のお知らせをみても分かるとおり、システムレベルでの不正侵入は確認できなかったそうです。

PukiWiki のメリットが逆にこういう風に利用されてしまうととても残念であり、不安が募るばかりですね。
私も気を付けないとならないな。

投稿者 Kuro : 10:15 PM | コメント (0) | トラックバック

September 27, 2004

スクリーンショットを画像掲示板にアップするトロイの木馬

またセキュリティーホール memoからの転載。

ITmediaの記事によると、24日ごろから掲示板やP2Pネットワークを介して広まるトロイの木馬「Trojan.Upchan」(別名:苺キンタマ)に対して、シマンテックは警告を発したようです。
このトロイの木馬に感染した実行ファイルを実行すると、PCに本体が自動的にコピーされ、デスクトップのスクリーンショットを8分おきに撮影し、2chのとある画像掲示板に公開されてしまうとのこと。
シマンテックの security responseにはその画像掲示板のURLが記載されていて、この画像掲示板で閲覧できてしまうようです。スクリーンショットが撮影されるときに、重要なファイルや、デスクトップ上にある個人情報などがそのまま撮影されて、不特定多数に閲覧されてしまうというダメージがとても大きいでしょうね。

駆除する方法は、同シマンテックを参照していただきたい。
もちろん、ネットワークケーブルははずした上で行ってください。
感染したアナタはアナタの物なのでどうでもよいが、他人にばら撒かれることが一番迷惑なのです。

投稿者 Kuro : 10:28 PM | コメント (0) | トラックバック

September 23, 2004

Apache HTTP Server 2.0.51 release

セキュリティーホール memoによると、Apache HTTP Server 2.0.51 がリリースされました。

今回のバージョンアップは主にバグ修正となっているようで、特に5つの注意点が修正されます。サーバ管理者は、バージョンアップをして対応を行いましょう。

Apache HTTP Server 2.0.51ダウンロードサイトからどうぞ。
Apache HTTP サーババージョン 1.3 と 2.0 の主な変更点はこちらに書かれています。

投稿者 Kuro : 09:20 PM | コメント (0) | トラックバック

September 16, 2004

2004年9月のWindowsUpdate

セキュリティーホール memoやINTERNET Watchなどの情報サイトによると、マイクロソフトは15日付けでJPEG処理(GDI+)のバッファオーバーランにより任意のコードが外部から実行されてしまう脆弱性のセキュリティ修正プログラム「MS04-028」を発表しました。
深刻度は"緊急"になっているので、早急にWindowsUpdateを行いましょう。

今回の脆弱性に該当するのは、OSの種類のほかOffice・プログラム開発・コンポーネント・マイクロソフトから発売された画像編集ソフトなどのソフトウェア関連など多岐にわたります。該当するソフトウェアについては、[Microsoft]JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される (833987) (MS04-028)やセキュリティーホール memo を確認しましょう。

[@police]JPEG 処理 (GDI+) のバッファオーバーランにより、コードが実行される(MS04-028)(9/15)
脆弱性発見者による解説

投稿者 Kuro : 10:00 PM | コメント (0) | トラックバック

September 07, 2004

XP SP2で回避できないIEの脆弱性

セキュリティーホール memo曰く、ITmediaの記事によるとIEのドラッグ＆ドロップ処理に深刻な脆弱性があるとSecuniaがアドバイザリーを出しました。

原因はIEでインターネットゾーンのファイルをローカルリソースにドラック＆ドロップする際に、ファイルに対する十分な認証が行われていないこと。この脆弱性を悪用するWebサイトからファイルをドラッグ＆ドロップすると、ユーザーのスタートアップフォルダに任意の実行ファイルが作成されてしまい、次回Windowsを起動した際に自動的に実行されてしまう。

この脆弱性を回避するには、アクティブスクリプトを無効にするかIE以外の Web ブラウザを使えばOK。

この脆弱性を利用するトロイが発見されていますのでご注意ください。
[symantec]Backdoor.Akak

投稿者 Kuro : 09:12 PM | コメント (0) | トラックバック

August 16, 2004

架空請求を特集する番組「報道特捜プロジェクト」

となりのBARでも書かれているのですが、情報特捜プロジェクトという番組が楽しいです。

14日に放送されていたのですが、視聴者から届いた架空請求の電話番号にかけまくるという特集がありました。
私たち被害者の代表としてイマイさんがかけまくってました(日本テレビのディレクター)。
やっぱり、逆にこういった犯人に電話するというのは面白いですね。

といっても、皆さんは電話はかけてはなりませんよ。無視・放置が一番です。

一番笑えたのは、いつまでも払わないイマイさんに苛立ち口走ったこの言葉

もともとね　胃に病気があったんですよ
十二指腸潰エンという

十二指腸潰エン？
十二指腸潰瘍なら聞いたことがありますが、潰エンは聞いたことがありません。
頭悪いのがバレバレですね。こんな低脳な馬鹿どもに、私たちが汗水たらして稼いだ金をこんなことに払ってはいけません。

もしあなたの元に、おかしな葉書が届いてもすぐに電話をしたりお金を払ったりしてはいけません。
子供であっても親に聞いてみたり(たとえアダルトだとしても)、近くの消費生活センターへ相談したりしましょう。

投稿者 Kuro : 09:47 PM | コメント (0) | トラックバック

August 02, 2004

2004年7月のWindowsUpdate(号外)

セキュリティホール memo・IPA緊急対策情報・Enterprise Watch・窓の杜・INTERNET Watchの記事によると、マイクロソフトは31日(土)に Internet Explorer の脆弱性「MS04-025」を発表しました。同時に、累積的セキュリティ修正プログラムを公開しました。
修正対象となる脆弱性は3つとなっており、すべて悪意ある攻撃者からリモートでコードを実行される可能性があり、深刻度は”緊急”となっている。

セキュリティホール memo 2004.07.31や更紗姫のイチゴ畑日記に詳しい情報が掲載されていますので、確認するとよいでしょう。私が同じのをコピペするより、専門家の日記を見た方が早いとおもふ。

WindowsUpdate が最近多いようですね。Microsoft もセキュリティに関しては気になりだしたのかな。まあそれは良いことであるわけで、ユーザーはそれに応えなければならないです。

[Microsoft]Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
[Microsoft]絵でみるセキュリティ情報 MS04-025
[asahi.com]マイクロソフト、修正ソフト提供閲覧ソフト欠陥で
 [UpdateTechnologyCorporation]MS04-025 (KB867801) の修正プログラムを適用する際の注意
 [コンピュータセキュリティ研究所]SNS Spiffy Reviews No.14 Appendix to MS04-025 "Navigation Method Cross-Domain Vulnerability"
[@police]マイクロソフト社Internet Explorer 用の累積的なセキュリティ更新プログラムについて(MS04-025)

[US-CERT]Technical Cyber Security Alert TA04-212A -- Critical Vulnerabilities in Microsoft Windows
[US-CERT]Technical Cyber Security Alert TA04-212A -- Critical Vulnerabilities in Microsoft Windows
[US-CERT]Vulnerability Note VU#713878 Microsoft Internet Explorer does not properly validate source of redirected frame
[US-CERT]Vulnerability Note VU#266926 Microsoft Internet Explorer contains an integer overflow in the processing of bitmap files
[US-CERT]Vulnerability Note VU#685364 Microsoft Internet Explorer contains a double-free vulnerability in the processing of GIF files
[CIAC]O-191: Microsoft Cumulative Security Update for Internet Explorer (867801)

[CVE]CAN-2003-1048 (under review)
[CVE]CAN-2004-0549 (under review)
[CVE]CAN-2004-0566 (under review)

投稿者 Kuro : 06:53 PM | コメント (0) | トラックバック

July 24, 2004

Becky用スパム対策プラグイン「BkASPil for Becky!2」

ゆみさんのコメントを見て、早速とりあえずな日記を見てみる。

マシン(Veltiena5)構成表発見。
CPU:Athlonですかー。Athlonは未知の領域～なので私は黙ってIntelかな。
M/B:MSIは良いって聞きますけど、やはり個人の好みみたいです。GIGABYTE今のメイン機なのですがまぁ普通かな。
GPU:これはチップしか見てないっス。Matrox はどうなんでしょうか…。
RAM:JEDIC準拠って書いてあるのを今使ってまッス。
HDD:IBMは微妙に音煩いっス。Seagate派になりそうで。
光ドライブ:読めりゃいい。
FDD:FA404Mの黒いのつかってますよー。初期不良で交換しました。
CASE:OWL-103-SLT(BK)使ってます。

と、見てたらSPAMメールの記事発見。メールサーバを最近立てたばかりの管理人Kuroなので、リンク先とか開いてみたり。
迷惑メール(spam)対策用メールヘッダ解析hdparにBecky!InternetMail用スパム対策プラグインBkASPil for Becky!2というものを発見。

Beckyユーザーな私なので、早速インストール直後に発生する不具合対策＆ダウンロード＆インストール＆フィルタリング機能の基本設定。
終わったら早速スパムメールの振り分け実行。
3通ほどあったので振り分けられた模様。その他スパムメールが登録されているか確認などいじってみた。かなり便利!!

なんかいいねぇ、悪人退治みたいで。Beckyユーザーの方でスパムにお困りの方は是非このプラグインをインストールすることをオススメ!!

投稿者 Kuro : 12:12 AM | コメント (5) | トラックバック

July 15, 2004

2004年7月のWindowsUpdate

1日遅れましたが昨日 WindowsUpdate がきたようですね。
とりあえず Windows ユーザーは有無を言わさず fix しましょう。

■[Microsoft]Outlook Express 用の累積的なセキュリティ更新プログラム (823353) (MS04-018)
[Microsoft]絵でみるセキュリティ情報 MS04-018
[CVE]CAN-2004-0215 (under review)

■[Microsoft]ユーティリティマネージャの脆弱性により、コードが実行される (842526) (MS04-019)
[Microsoft]絵でみるセキュリティ情報 MS04-019
[CVE]CAN-2004-0213 (under review)

■[Microsoft]POSIX の脆弱性により、コードが実行される (841872) (MS04-020)
[Microsoft]絵でみるセキュリティ情報 MS04-020
[CVE]CAN-2004-0210 (under review)

■[Microsoft]Internet Information Server 4.0 のセキュリティ更新プログラム(841373) (MS04-021)
[Microsoft]絵でみるセキュリティ情報 MS04-021
[CVE]CAN-2004-0205 (under review)

■[Microsoft]タスクスケジューラの脆弱性により、コードが実行される (841873) (MS04-022)
[Microsoft]絵でみるセキュリティ情報 MS04-022
[CVE]CAN-2004-0212 (under review)

■[Microsoft]HTML ヘルプの脆弱性により、コードが実行される (840315) (MS04-023)
[Microsoft]絵で見るセキュリティ情報 MS04-023
[CVE]CAN-2003-1041 (under review)
[CVE]CAN-2004-0201 (under review)

■[Microsoft]Windows シェルの脆弱性により、リモートでコードが実行される (839645) (MS04-024)
[Microsoft]絵でみるセキュリティ情報 MS04-024
[CVE]CAN-2004-0420 (under review)
このパッチを fix すると Windows NT のデスクトップにおいてショートカットの取り扱いに問題が発生するようです。
[Winfaq.jp]WinNTのデスクトップについて(Windows2000/XP.FAQ 掲示板)

投稿者 Kuro : 09:17 PM | コメント (0) | トラックバック

July 03, 2004

ADODB.Stream ActiveXの脆弱性を回避するパッチ配布

昨日の夜に release されたせいか、メディアには発表記事がみつからないのだが、WindowsUpdateにインターネットエクスプローラからADODB.Streamオブジェクトを不能にするパッチが release されました。このパッチをインストールすると、ADODB.Stream Active X コントロールを無効にする。

Active X の機能である ADODB.Streamはメモリの中でのファイルを表している。Streamオブジェクトはバイナリファイルとテキストファイルを読み書きするいくつかの機能を持っているが、Microsoft Internet Explorer を利用して悪意のあるHTMLドキュメントを閲覧すると、その機能を利用してリモートのマシンからスクリプトが実行できてしまうらしい。リリースされているのは、Windows XP / 2000 / NT / Server 2003 / 9x / ME / XP Version 2003 / 64 bit Edition / Windows Server 2003 and 64bit Edition。ご利用の方はすぐに WindowsUpdate を行うようにしてください。

[Microsoft]Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer (KB870669)
[DownloadCenter]Windows XP, Windows 2000, Windows NT, Windows Server 2003用
 [DownloadCenter]Windows 9x, Windows ME用
 [DownloadCenter]Windows XP Version 2003, 64 Bit Edition , Windows Server 2003, 64 Bit Edition
[US-CERT]TA04-184A:Internet Explorer Update to Disable ADODB.Stream ActiveX Control

投稿者 Kuro : 11:18 PM | コメント (0) | トラックバック

June 30, 2004

TBSラジオの番組で個人情報流出

セキュリティホール memo曰く、毎日新聞・Net Securityなどの記事によると、TBSラジオは6月27日放送13時～17時放送「伊集院光日曜日の秘密基地」において実施された「聴取者参加クイズ企画」において、携帯電話でクイズに参加した聴取者の個人情報の一部が流出したことが29日に判明したそうだ。

実施されたクイズ企画において、最大63名の個人情報が流出した可能性があるらしい。TBSラジオ&コミュニケーションズの発表によると、番組開始直後の13時から13時20分の間にクイズへ応募し、聴取者の個人情報を一時保存されたNTTドコモ・iモードユーザー63名の情報の一部が、同社モバイルシステムプログラムの不具合で、別のユーザーの携帯電話に表示されたとのこと。

原因は、EZweb用のセキュリティ保護を誤って、iモード用のシステムに設定したため、ユーザーIDの混同が発生。これにより、聴取者の入力した個人情報が上書きされる形となり、次に回答しようとした聴取者の画面に、前の聴取者の名前、電話番号、メールアドレス、性別、年齢、都道府県の内容が表示された。

伊集院光のラジオは、UPS時代から聞き続けてる私なのですが、お昼の秘密基地は聞いていませんでした。私は専ら深夜の馬鹿力です。来週の馬鹿力はどんな内容になっているか、気になっています。

投稿者 Kuro : 09:17 PM | コメント (0) | トラックバック

June 27, 2004

Web閲覧で感染するウィルス「スコッブ」

スラッシュドットジャパン・INTERNET Watch・BroadBand Watch・ITmediaなど多くの記事によると、IEで閲覧するだけで感染するウィルスが発見されたそうです。

このウィルスは MS04-011 を適用していない Windows 2000 で動作するIISサーバに感染し、悪意のある JavaScript コードをWebページのフッターに記述されます。
それから MS04-013 を適応していない Internet Explorer で閲覧すると、JavaScript が実行されバックドア(例:Padodor.W)を仕込むらしい。このウィルスには、感染したパソコン内の重要な情報を外部に流すプログラムが組み込まれているとされる。

この悪意のあるコードとバックドアは現在調査が続いており、最終的にどういった影響を与えるのかが判明しておらず、調査が終わるまでは一先ずInternet Explorer は利用を控えたほうがいいかもしれない。
もちろん、Internet Expolorer を利用しているタブブラウザ系列も注意が必要なのは言うまでもない。

投稿者 Kuro : 02:37 PM | コメント (0) | トラックバック

June 14, 2004

Real Player系にバッファオーバーフローの脆弱性

IPAの記事曰く、real カスタマーサポートによると RealOne Player および RealPlayer にバッファオーバーフローの脆弱性が発見されました。この脆弱性によりユーザーのマシン上で攻撃者が任意のコードを実行される恐れがある。影響があるのは、Windows 上で動作する以下の Version。

RealOnePlayer (英語版)
RealOnePlayer v2 (すべての言語版)
RealPlayer 10 (英語、ドイツ、日本語版)
RealPlayer 8 (すべての言語版)
RealPlayer Enterprise (すべての言語版、スタンドアロン型、および RealPlayer Enterprise Manager により設定されたもの)

この脆弱性を回避するには、各 RealPlayer のアップデートのチェックを確認するようにとされている。

RealOne Player になってから、広告が煩くなってしかも使いづらくなったのでインストールしていません。
インストールしている方は、アップデートをすることをオススメします。

[eEye]RealPlayer embd3260.dll Error Response Heap Overflow
[iDEFENSE]Real Networks RealPlayer URL Parsing Buffer Overflow Vulnerability

投稿者 Kuro : 09:20 PM | コメント (0) | トラックバック

June 09, 2004

2004年6月のWindowsUpdate

IPA・BroadBand Watch・INTERNET Watch・Enterprise Watch の記事によると、マイクロソフトは「DirectPlay」に含まれる脆弱性により、サービス拒否が起こる問題に対応する修正プログラム MS04-016 (絵で見る MS04-016 )を公開しました。

MS04-016は、特定の DirectPlay を利用しているネットゲームなどが以上終了する可能性があるらしい。DirectPlay とは、Direct X に同梱されているネットワークプロトコルで、これによりマルチプレイヤー型のネットワークゲームを可能にしているそうだ。今回発見された脆弱性では、Direct X 9.x / 8.x に同梱されている「 DirectPlay version 4 」が影響を受け、「 DirectPlay version 8 」は影響を受けないとしている。
影響を受けるOSは、Windows XP / 2000 / Me / 98 / Server 2003 。すでにサポートのメインストリームフェーズが終わっているWindows Me / 98 に関しては、修正プログラムは提供されないようだ。

[CVE]CAN-2004-0202 ( under review )

また、セキュリティーホール memoさんやEnterprise Watch の記事によると、Crystal Reports Web Viewer の脆弱性により、情報漏えいおよびサービス拒否が起こる修正プログラム MS04-017 (絵で見る MS04-017 )を公開しました。

影響のあるソフトウェアは、Microsoft Visual Studio .NET 2003 / Outlook 2003 with Business Contact Manger / Microsoft Business Solutions Customer Relationship Management 1.2 を使っている人のみ。

とりあえず、Windows Upadate しておきましょう。

投稿者 Kuro : 09:25 PM | コメント (0) | トラックバック

June 08, 2004

Apple の Mac OS X に複数の脆弱性

IPA (独立行政法人情報処理推進機構)の記事によると、Apple の Mac OS X 10.2.8 "Jaguar " 及び 10.3.4 "Panther" の複数の脆弱性に対応した Security Update 2004-06-07 を release したそうです。

Security Update 2004-06-07(10.2.8)及びSecurity Update 2004-06-07(10.3.4) によると、DiskImages / LaunchServices / ターミナルのアップデートがされるようです。
利用している方はすぐにアップデートを行いましょう。

[CVE]CAN-2004-0485 (under review)
[CVE]CAN-2004-0486(under review)

投稿者 Kuro : 09:33 PM | コメント (0) | トラックバック

May 27, 2004

セキュリティ情報に耳を傾けろ

セキュリティ関連の情報を掲載している更紗ルームセキュリティーニュースさんが移転されました。
ブックマーク変更しておかなきゃ。

セキュリティ関連の情報を掲載しているWebサイト（私が巡回している）は以下の通り。
セキュリティーホール memoさん
エンド・ユーザ向けネットワーク・セキュリティ・ニュースさん
更紗ルームセキュリティーニュースさん

その他のサイト知っていらっしゃる方おられましたら、是非是非 comment お願いします(_ _

投稿者 Kuro : 09:14 PM | コメント (0) | トラックバック

May 26, 2004

もじら組のWebサイト、改竄される

Net Securityの記事によると、24日18時46分ごろ日本モジラユーザーグループWebサイト(もじら組)が改竄されたようだ。現在は既に復旧されている。

改竄を行ったのは、p0rkと名乗るグループでサーバのOSはLinux、WebサーバはApacheを使用(zone-h.org による詳細情報)。
zone-h.org ではWeb改竄が行われた際のWebサイトのミラーを見ることができる。

有能なエンジニアによって開発が進んでいる Mozilla だが、Webサーバが改竄されることがあるなんてちょっと信じられません・・・。

もじら組のフォーラムにも改竄に関してのスレッドが確認できた。

投稿者 Kuro : 10:20 PM | コメント (0) | トラックバック

May 20, 2004

CVS サーバにリモートから攻略可能な脆弱性

情報処理推進機構( IPA )の脆弱性関連情報によると、オープンソースコードの公開・共有手段としてよく利用されている CVS( Concurrent Versions System )に脆弱性が発見された。

内容としては、エントリライン処理コードが適切なチェックを行っていないことが原因。この脆弱性により、リモートからの攻撃者に任意のコードを実行される可能性がある。影響を受けるバージョンは 0.22.2 以前、影響を受ける環境はUNIX / Sun Solaris / BSD / Linux となっている。

ご利用の方は早急にアップデートを行うことをオススメします。

[CVS]2004-05-19: CVS Feature Version 1.12.8 Released! (security update)
[CVS]2004-05-19: Stable CVS Version 1.11.16 Released! (security update)
[US-CERT]CVS contains a heap overflow in the handling of flag insertion
[e-matters]A vulnerability within CVS allows remote compromise of CVS servers.
[CVE]CAN-2004-0396 (under review)

投稿者 Kuro : 09:24 PM | コメント (0) | トラックバック

May 06, 2004

Sasser 検知・駆除ツール

巷ではBlaster級のワームウイルス Sasser が流行っていますが、皆さんは大丈夫ですか？
BroadBand Watchの記事によると、マイクロソフトが IE 上で「Sasser」を検知・駆除できるツールを発表したようです。

だが、この検知・駆除できるWebは英語ページしか公開されておらず、英語の授業を6年間学習していながら英語に精神的・身体的・感覚的に拒否反応を起こす日本人には利用されにくい気がします。

日本語での解説ページは作成されたようなので、わからない人はこちらで確認しながらどうぞ。

Kuroが実際に検知・駆除ツールページにて確認したところ、もちろんワームは確認されませんでした（Sleipnir v1.41）。

社会人の方でまだ会社に行っていない人も多くいるようですので、来週から出勤の方（特にシステム管理者さん）は、社内のWindowsマシンにはご注意ください。
セキュリティーホール memo によると、イギリスで沿岸警備隊のコンピュータがワームに感染した模様です。
また、シドニーでワームにより信号制御していたコンピュータが故障、30万人の旅行者に影響がでたようです。

投稿者 Kuro : 09:11 PM | コメント (0) | トラックバック

May 02, 2004

早速GWワーム登場

セキュリティーホール memoによると、MS04-011(英語) の LSASS(Local Security Authority Subsystem Service) の脆弱性を利用したワームが発見されたようです。
自分のマシンをワームから守るため、指示に従って対策を行うことをオススメします。また、既に亜種も報告されているようです。

・[Microsoft]ホームユーザー向け - Sasser ウイルスに関する情報 Windows XP 編
・[Microsoft]ホームユーザー向け - Sasser ウイルスに関する情報 Windows 2000 編

・[McAfee]W32/Sasser.worm
・[symantec]W32.Sasser.Worm
・[TRENDMICRO]WORM_SASSER.A
・[SOPHOS]W32/Sasser.worm
・

世界は黒に始まり、黒に終わる。

June 17, 2005

May 13, 2005

May 01, 2005