HOME | LastUpdate: 2004-05-01
長期休暇前ということで JPCERT/CC から長期休暇を控えてというアナウンスが出ています。
Vim のサイトを見ていたら、PHP5 用の Syntax ファイルが登録されていました(php.vim for php5 - Syntax file for php5)。まだまだ PHP5 は実用はできないと思いますが、PHP 5 でテストスクリプトを書く時に、syntax ファイルがあると便利かもしれません。
PHP4 と共用するため、ダウンロードした php.vim を ~/.vim/syntax/php5.vim として保存して、~/.vim/ftplugin/php5.vim に以下のように記述して、
set syntax=php5
PHP5 のファイルを編集するときだけ、以下のように syntax ファイルを切り替えるという方法が便利かもしれません。
:set ft=php5
また、以下のようなスクリプトを作成して、mkphp5dic.php として保存し、
<?php $f = get_defined_functions(); sort( $f["internal"] ); echo implode( "\n", $f["internal"] ); ?>
以下のように、PHP5 の CLI 版を使用すると、PHP5 用の辞書が作成できます(通常は、PHP5 でも、実行ファイルは php として作成されますが、php5 とファイル名を変更しています)。
$ php5 mkphp5dic.php > ~/.vim/dict/php5.dict
~/.vim/ftplugin/php5.vim に以下の行を加えておくと Vim で辞書機能が使えますので便利です。
set dictionary+=~/.vim/dict/php5.dict
Vim の辞書機能については、Vim で PHP 関数の辞書を作成する方法についてのメモで簡単にまとめていますので、そちらを参照してください。
多くの Windows 関連の情報が出ています。4月14に公開された Windows の修正プログラムを適用することで修正される問題を攻撃するためのプログラムなどが公開されているそうですので、修正プログラムをインストールしていない場合は、早急に対処してください。
2004年 4月14日に公開された マイクロソフトの修正プログラムに対するまとめ記事です。
修正プログラムをインストールできない環境で、問題を回避する方法が挙げられています。
この記事を読むためには登録が必要ですが、非常に詳しいまとめがあります。
昔から指摘されていたそうですが、インターネットで広く使われている TCP プロトコルについて、TCP コネクションを切断せずに長時間使用していた場合、通信中のセッションが切断されたり、データの挿入が行われる可能性がある問題があったそうです。この問題により、DoS 攻撃などを受ける可能性があるそうです。
この問題を軽減できる方法として、送信元 IP アドレスが詐称されているパケットをフィルタリングする事が推奨されています。また、IPSec のように、TCP より下の階層で動作するものであれば、影響を回避できるそうです。
詳しくは、以下のサイトを参照してください。
スラッシュドット・ジャパンに、2.4.22-2.4.25 / 2.6.1-2.6.3 に root 権限奪取可能な脆弱性という記事が出ていました。「Linux カーネルの 2.4.22 及び 2.6.1 のバージョンで取り入れられた setsockopt システムコールの MCAST_MSFILTER オプションに欠陥があり、オーバーフローを起こす可能性がある。これによってローカルユーザが root 権限を奪うことが可能になり、権限を奪えなくとも DoS となってサーバの停止や再起動を起こせる」とされています。
いくつかの Linux ディストリビューションでは、既に修正が行われていますので、バージョンアップを行った方が安全です。
Linux Kernel のセキュリティホールの件で 2回修正パッケージのアップデートがありました。新規にカーネルのインストールを行う場合は、kernel-2.4.22-0vl2.13 にしてください。
Gentoo Weekly Newsletter の翻訳版。
通信を暗号化するネットワークツール、サーバなどが含まれています。変更点などについては、メーリングリストに投稿された、Portable OpenSSH 3.8.1p1 released(日本語訳:[ssh:00205] OpenSSH 3.8.1p1 リリース) や、ChangeLog を参照してください。
オープンソースのブラウザ、メール環境。Mozilla 1.7 のリリース候補 1版。詳細は、Mozilla 1.7 RC 1 Release Notes(日本語訳:Mozilla 1.7 RC1 リリースノート) にあります。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。Samba 3.0.3 のリリース候補 1版。詳しくは、Release Notes for Samba 3.0.3rc1 を参照してください。
オープンソースのネットワーク侵入検知システム(NIDS)。Snort 2.1.3 のリリース候補 1版。
メールサーバ。詳しくは、postfix-2.1.0.RELEASE_NOTES を参照してください。
オープンソースのコンパイラ。GCC 3.4 Release Series ? Changes, New Features, and Fixes に変更点や新機能、修正個所の説明があります。
Windows Update でセキュリティ修正プログラムが公開されました。危険性の高い問題も修正されていますので、アップデートを行った方が安全です。また、Linux カーネルや、CVS などでもセキュリティ修正のアップデートが出ています。
PHP 4.3.6 が公開されました。多くのバグ修正が行われ、マルチスレッド環境においてスレッドがウェブサーバからシャットダウンされた場合にクラッシュする問題が修正されています。Apache 1.3.x で、コンパイルオプションで --enable-experimental-zts を有効にしていない場合は関係の無いバグですが、Windows 版や、Apache 2.0.x などの環境では影響を受ける可能性があります([PHP-users 21101])。
その他の変更点などの詳細は、PHP 4.3.6 Release Announcement とPHP 4 ChangeLog を参照してください。PHP-users メーリングリストに投稿された日本語訳([PHP-users 21258] PHP 4.3.6 Release Announcement)もあります。
Windows 用のセキュリティ修正プログラムが公開されています。既に悪用されている問題についても修正が行われていますので、Winodws Update などによる修正プログラムの適用を行った方が良いと思います。2004 年 4 月のセキュリティ情報に概要がありますので参考にしてください。
Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows 98 / Windows 98 Second Edition / Windows Me など、ほとんどのバージョンの Windows で報告されている複数の問題(14個挙げられています)についての修正プログラムです。最大深刻度は「緊急」になっています。
以下の問題に対する修正が行われるようです。
マイクロソフト セキュリティ情報 (MS04-011) : よく寄せられる質問に、Windows 98 / Windows 98 SE / Windows Me については、深刻な影響はないということと、この修正プログラムを適用した際に.folder のファイル拡張子で終わるファイルがディレクトリに関連付けられなくなるという機能上の変更があることなどが書かれています。
以下の情報も参考にしてください。
Windows NT 4.0 / Windows 2000 / Windows XP / Windows Server 2003 / Windows 98 / Windows 98 Second Edition / Windows Me など、ほとんどのバージョンの Windows で Microsoft RPC/DCOM についての累積的な修正プログラムです。最大深刻度は「緊急」になっています。
以下の問題に対する修正が行われるようです。
以下の情報も参考にしてください。
Outlook Express がインストールされているほぼ全てのバージョンの Windows に対する、累積的な修正プログラムです。Outlook Express を使用していない場合でも、インストールされていると、問題の影響を受ける可能性がありますので、アップデートを行っておいた方が安全です。
修正プログラムをインストールすると、「MHTML URL のプロセスの脆弱性 - CAN-2004-0380」 の修正が行われるようです。
以下の情報も参考にしてください。
Microsoft Jet データベース エンジン バージョン 4.0 がインストールされている全ての Windows に対する修正プログラムです。Windows NT 4.0 はデフォルト状態ではこの問題はないそうですが、Microsoft Office や、Microsoft Visual Studio などの、他のアプリケーションが Jet をインストールする可能性があるため、注意が必要とされています。
外部から任意のコードが実行される可能性があり、最大深刻度は「重要」になっています。
修正プログラムをインストールすると、「Jet の脆弱性 : CAN-2004-0197」 の修正が行われるようです。
以下の情報も参考にしてください。
以下のサイトなどにも詳しい情報があります。
他には、TechNet Online - マイクロソフト セキュリティ情報一覧を見ると、以下の 5つのセキュリティ情報についての更新があったようです。
上の 3つについて、Exchange Server 5.0 用の修正プログラムが公開されたそうです。
SSL/TLS 3.0 サイト訪問時の HTTP 500 (Internal Server Error) エラーを対策する修正プログラムが Windows Update に公開され、マイクロソフト セキュリティ情報 (MS04-004) : よく寄せられる質問などの情報が更新されたそうです。
Windows NT Server 4.0 用の修正プログラムが公開され、マイクロソフト セキュリティ情報 (MS02-011) : よく寄せられる質問で、Exchange Server 5.0 を使用している場合、メール中継に対しセキュアな状態にすることに関する一般情報が追加されたそうです。
また、Windows HotFix Briefings(2004年4月16日版)(@IT) に、以下の不具合情報についての情報があります。
他に参考になりそうな情報として、パッチ未公開のセキュリティ・ホールにも対応,最新版「IEを使い続けるための“お勧め”設定」(IT Pro) という情報がありました(この記事を読むには登録が必要です)。Internet Explorer のマイ コンピュータ ゾーンのセキュリティ設定を強化する方法(Microsoft)に関する解説記事ですが、マイコンピュータゾーンのセキュリティ設定を適切に行うことで、ゾーンによる制限を回避できてしまう問題による攻撃からWindows を守ることができるため、非常に有効な手段だと思います。
日本の Linux 情報 の、バグ・セキュリティ情報によると、Linux カーネル 2.4 系の 2.4.25 以前のバージョンに、root 権限の取得可能というセキュリティホールが 見つかっているそうです。Linux カーネル 2.4.26 が公開され、その他の DoS 攻撃が可能になってしまう問題も含めて修正が行われています。
#533854 の情報が参考になります。
WinSCP Denial of Service (SecuriTeam.com) で報告されていましたが、WinSCP 3.5.6 以前のバージョンで、WinSCP のデフォルトインストールでは、Windows の Internet Explorer などから scp:// や sftp:// という形式でアクセスすると、WinSCP が起動するようになりますが、この時に不正なアドレスを与えると、CPU とメモリを尽くしてしまい、DoS 攻撃が可能になってしまうという問題のようです。
バージョン仮システムの CVS に、Path の妥当性チェックの部分に 2つのセキュリティ問題が見つかり、CVS 1.11.15 と、CVS 1.12.7 が公開されています。
問題が修正される前のバージョンでは、1つは CVS のクライアント側で、サーバから update を行う際に、絶対パスによるアクセスを許してしまい、ファイルを任意の場所に上書きされてしまう可能性のある問題と、もう 1つはサーバ側で、クライアントから相対パスによるアクセスを受け付けるため、../ という方法でアクセスすることにより、$CVSROOT で設定された Path の上にある別のリポジトリにアクセスすることが可能になってしまうという問題が修正されているそうです。
多くの Linux ディストリビューションや BSD 系の OS で修正が行われ、修正パッケージや Security Advisory が出ています。
OpenOffice 1.0.x、1.1.x で使用している neon という WebDAV クライアントに問題が見つかったそうです。Neon Client Library Format String Vulnerabilities を参照してください。また、Subversion でも同じ問題が報告されています(Subversion Neon Client Code Format String Vulnerabilitie(Secunia))。
セキュリティや、ハッキング、クラッキングに関するレポート。
Gentoo Weekly Newsletter の翻訳版。
バージョン管理システム。セキュリティ修正が行われているそうです。詳しくは、2004-04-14: Stable CVS Version 1.11.15 Released! (security update) と、2004-04-14: CVS Feature Version 1.12.7 Released! (security update) を参照してください。
オープンソースのファイル転送ツール。rsync 2.6.1 のプレビューテスト版。rsync 2.6.0 からの変更点などについては、rsync-2.6.1pre-2-NEWS を参照してください。
ネットワークパケットを分析するツール。ettercap History に追加機能や変更点などの情報があります。
PuTTY 0.54 ベースになったそうです。
全文検索システム。セキュリティ修正や、文書抽出精度の向上など、多くの修正が行われています。現在(2004.04.18)、Namazu 2.0.13 から不要なファイルが取り除かれた Namazu 2.0.13-1 が公開されています。
Linux カーネル。セキュリティ修正が行われているようです。詳しくは、ChangeLog-2.4.26 を参照してください。
Gentoo Linux で多くのセキュリティアドバイザリが出ていますが、セキュリティ関連の問題の報告が非常に多いです。
アナウンスは無いようですが、PHP 4.3.6RC3 が公開されたようです。PHP 4.3.5 から、また多くのバグ修正が行われているようです。
PHP-users メーリングリストで、少し気になる投稿がありましたので、メモしておきます。[PHP-users 21187] pcntl_frokのエラーについてから始まるスレッドですが、pcntl_fork() は失敗しても -1 は返さず、Fatal エラーになり、スクリプトの実行は中断されてしまうようです。[PHP-users 21190] で、pcntl_fork() が失敗してもスクリプトを中断しないようにする Patch が投稿されています。
この Patch は取り込まれそうにないみたいです([PHP-users 21224])ので、pcntl_fork() での失敗を検出したい場合は、自分で Patch を当てて使う必要がありそうです。
今年の 1月に報告されていた Internet Explorer の showHelp 関数が、任意のプログラムを実行できてしまう問題について多くの情報が出ています。Web ページにアクセスするだけで、任意のプログラムの実行が行われてしまうそうです。セキュリティホール memo の 2004.04.06 に詳しいまとめがあります。
回避方法として、Vulnerability in Internet Explorer ITS Protocol Handler (US-CERT) では、レジストリを操作して、問題になる部分を削除、または名前を変更する方法が挙げられています。また、日本語での説明が、IEのパッチ未公開セキュリティ・ホールをUS-CERTなどが警告,複数の攻撃コードが出回っている (ITPro) にありますので、参考にしてください。
REAL One Player R3T File Format Stack Overflow (bugtraq) や、REAL One Player R3T File Format Stack Overflow (SecuriTeam.com) で報告されていましたが、RealPlayer 8、RealOne Player、RealOne Player v2 for Windows、RealPlayer 10 Beta(英語版のみ)、ReaPlayer Enterprise で、不正な R3T メディアファイルを読み込むと、stack overflow を引き起こすことが可能という問題が見つかったそうです。この問題により、攻撃者がユーザーのマシン上で任意のコードを実行できてしまう可能性があるそうです。
既に、修正されたバージョンが公開されていますので、バージョンアップすることが推奨されています(RealNetworks, Inc. がセキュリティ上の問題に対応するアップデートをリリース)。
先週に引き続いて、多くのセキュリティアドバイザリが出ています。
メールの添付ファイルを解して感染を拡大するタイプのコンピュータウイルスのようです。ウイルスに感染した場合、特定サイトに対してDoS 攻撃を行うそうです。注意喚起と、ウイルス対策ソフトを使用している場合は定義ファイルをアップデートすることなどが推奨されています。
Winamp 5.02 以前のバージョンに含まれている in_mod.dll に問題があり、Fasttracker 2 というメディアファイルを読み込む際に、Heap overflow を起こしてしまう可能性があるそうです。Winamp 5.03 が公開されていますので、バージョンアップするか、Fasttracker 2 というメディアファイルを無効にすることで対処できるそうです。
Internet Explorer の VBScript から Macromedia Flash の LoadMovie 関数を呼び出すときに不正な引数を与えると、Internet Explorer をクラッシュさせることが可能だそうです。
shar コマンドの 4.2.1 以前のバージョンで、-o オプションに buffer overflow の問題があったそうです。問題を修正するためのパッチがあります。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。3.0.3 のプレビュー版。変更点などの詳細は Release Notes for Samba 3.0.3pre2 を参照してください。
Samba 3.0.2a に対する国際化パッチを適用したパッケージや、ソースコードに適用するパッチの配布が行われています。また、Samba の国際化についての文書類があります。
@IT から。syslog を syslog-ng に変更する方法についての続きです。詳細な設定方法や、syslog からの移行方法について書かれています。
スクリプト言語。PHP 4.3.6 のリリース候補 3版。PHP 4.3.6RC2 が出た後、すぐに RC3 が出ています。
hoshikuzu | stardust の書斎で、WinIE: HTTPエラーメッセージの簡易表示がクロスサイトスクリプティング脆弱性対策に有効という迷信を打破する。という非常に参考になる情報があります。私も少しだけ検証のお手伝いをさせていただきました。Web サーバの管理を行っていて、404 エラーのページをカスタマイズしている場合には場合は参考になる話だと思います。
また、その下に書いておられる、XREA.COMのSSL対応についてという情報を見て、少し見てみましたが、XREA.COM での SSL 対応というのは 1つの SSL 対応のサーバから指定のページを呼び出すという方式になっているようです。結局、1つのドメインを不特定多数のユーザが共用することになっているようで、Cookie によるセッション管理を行うような Web アプリケーションを使用するのは非常に危険な感じがしました。もし、Cookie Path を設定しない(Path が / になっている)場合、どのディレクトリにアクセスしても、他のディレクトリで設定された Cookie を送信してしまうため、他のユーザが管理するディレクトリでの Cookie の読み出しや、Cookie の上書きが行われてしまうことが考えられます。Cookie Path を設定したとしても、Internet Explorer などのいくつかのブラウザでは、Multiple Browser Cookie Path Directory Traversal Vulnerability の問題もあるため、安全なセッション管理を行うのは非常に難しいと思います。
PHP 4.3.5 が公開されてから 1週間ほどしか経っていないのですが、PHP 4.3.6RC1 が公開されています。Windows 版や、--enable-experimental-zts を有効にしてコンパイルしている場合、拡張モジュールを読み込むとメモリリークを起こす問題という問題が修正されています。Unix 系の OS で、Apache 1.3.x のように、マルチスレッドでない設定を使用している場合は、問題ではないようです([PHP-users 21101] Re: PHP 4.3.5 Release Announcement)。ただ、fread() や fgetcvs() を使用している場合は仕様変更による問題が指摘されていますので、少し古いバージョンの PHP からバージョンアップする際は気をつけてください。
fgetcsv() の仕様変更に関しては、[PHP-dev 963]fgetcsv仕様変更について から始まるスレッドが参考になると思います。文字コードに Shift-JIS を使用している場合の問題のようです。
ステータスバーに表示されるリンクと実際のリンク先が違う URI を偽装できるという問題が Internet Explorer と Outlook Express でまた見つかったそうです。
Secunia にある例では、form タグを使って、スタイルシートで通常のリンクと同じように見せかけるようにして、ユーザを騙しやすくしているようです。セキュリティホールmemo の 2004.04.02 の情報にテストページがありますので、確認してみると良いと思います。Internet Explorer の他にも問題のあるブラウザもあるようです。
他にも、hoshikuzu | stardustの 書斎のWinIEだけじゃぁないURL偽装再び。と、WinIEだけじゃぁないURL偽装再び。パート2で、非常に詳しい解説と偽装対策についての情報があります。
Microsoft から Windows XP SP2 のプレビュープログラム日本語版が公開されています。
1ヶ月ほど前に Squid Proxy Cache Security Update Advisory SQUID-2004:1 が公開されていたようです。
Squid 2.5.STABLE 4 以前に、"%XX" をデコードする関数に問題があり、url_regex で定義されたルールが回避されてしまうという問題があったそうです。この問題は、Squid 2.5.STABLE 5 で修正されているようです。多くの Linux ディストリビューションで修正パッケージが公開されていますので、url_regex によるルールを使用している場合はバージョンアップした方が良さそうです。
また、Internet Explorer で、URI に "%01@" を含めることで、アドレスバーに表示される URI が偽装されてしまう問題などに対処することができるように、URI の userinfo フィールドをマッチさせるためのアクセスコントロールタイプが追加されたそうです。
squid.conf を確認すると、以下のルールが使用できるようになったようです。
# acl aclname urllogin [-i] [^a-zA-Z0-9] ... # regex matching on URL login field
Rapid7 Advisory R7-0017 TCPDUMP ISAKMP payload handling denial-of-service vulnerabilities によると、TCPDUMP 3.8.1 以前のバージョンに、ISAKMP プロトコルを表示する関数に複数の問題があったそうです。不正な ISAKMP パケットを受け取ると、クラッシュする可能性があるそうです。
TCPDUMP 3.8.3 が公開されていますので、TCPDUMP 3.8.2 以上にバージョンアップすることでこの問題を回避できるようです。
MySQL 3.23.58 以前と、MySQL 4.0.18 以前のバグレポートツールの mysqlbug に安全でないテンポラリファイルを作成してしまう問題があるそうです。CVS では既に修正され、次のバージョンでは問題ないそうです。
mplayer で外部にあるサーバに接続する時の HTTP ヘッダを解析する部分に buffer overflow の問題があり、任意のコードを実行できてしまうそうです。
2004.03.30 から Symantec Norton Internet Security 2004/Professional for Windows 修正パッチの LiveUpdate による配布が開始されています。
@IT から。syslog を syslog-ng に変更する方法について書かれています。
@IT から。安全なセッション管理についてまとめられています。
スクリプト言語。Apache 2.x などでマルチスレッドオプションを有効にしている場合に問題となるバグがあったため、緊急に公開されたそうです。既に PHP 4.3.5 から多くの修正が行われています。
バックアップツール。pdumpfs 0.7 は Ruby 1.6 で動作しないため、すぐに pdumpfs 0.8 が公開されました。exculde オプションの追加、Win32/NTFS への対応などが行われているようです。
オープンソースのオフィス環境。日本語版はまだのようです。OpenOffice.org 最新バージョン情報ページに 1.1.1 についての修正点や追加機能などの情報があります。
オープンソースのネットワーク侵入検知システム(NIDS)。バグ修正が行われ、バージョンアップすることが推奨されています。
パケットキャプチャツール。セキュリティ修正が行われています。
Linux カーネル 2.6 系。変更点など詳しいことは ChangeLog-2.6.5 にあります。
4月25日分を追加。
4月18日分を追加。
4月11日分を追加。
このページを作成。4月 4日分を追加。
LastUpdate: 2004-05-01 | HOME