![[ C H A N G E L O G ]](/images/changelog.s.s.gif){kind=small}
![[Tux]](/images/tux.s.gif)
|
aka LWN JAPAN
|
|
|
ChangeLog |
セキュリティ [1999/8/26〜9/15]
Section Editor: Liz Coolbaugh
|
ChangeLog |
![[ Security ]](/images/title_Security.gif){kind=small}
|
||
| 8月26日から9月15日までのセキュリティ関連のニュースをお伝えします。 | ||
|
|
||
|
まず、1999年8月26日〜9月1日
のセキュリティ関連ニュースをお伝え致します。
|
||
|
News
|
||
Linux に仕掛けられた時限爆弾 --- 数年間放置されていたセキュリティ問題またもや最悪のバッファオーバフローは全て発見済みとお考えの方は、 ご注意を。 今週は沢山のセキュリティ問題が発見されました。 詳細は以下を参照して下さい。 しかし今週発見された問題には、 綿密な検討が必要な一面があります。cron の問題がアナウンスされた時、 Caldera (英語) と Debian (英語) からは、どちらも、 その問題は「何年も前に」発見し、修正済みです、という コメントが出されました。 なぜ他のディストリビューション、 例えば Red Hat は、こんなにも長い間弱点を残したままだったのでしょう? 彼らがそんな古いバグに驚かされる事になったのは、一体どういうわけでしょうか? この件により、 ほとんどのディストリビューションが採用している vixie-cron パッケージを誰も保守していないということが明らかになりました。 Cron は、古い、退屈なパッケージで、実際ここ何年も変更の必要は生じていません。 このため誰も面倒を見ていませんでした。 ディストリビューションの作成者はいつも、 プログラムの最終的なメンテナーに修正を報告する事に関して非常に熱心です。 殊にセキュリティ関連の修正の場合は。 しかし、そういうメンテナーがいないと言われてしまうと、 パッチの送り先がありません。 同様に保守されていない箇所は、 Linux の核となる部分においても、確実にあります。 そのうちいくつかはセキュリティに問題を抱えているに違いありません。 おそらく既知ではあっても、 あるディストリビューションでは修正済で、他では聞いたこともないような問題が。 ここには時限爆弾が仕掛けられているようなものです。 悪賢いクラッカーが異なるディストリビューション間でソースを見比べて、 同様の問題を捜し出すまでには、どのくらいの時間が残されているでしょうか? メンテナーのいない基本的なユティリティの保守を行なうために協力することは、 おそらく Linux のディストリビュータのためになるでしょう。 彼らは SourceXchange (英語) や Cosource (英語) を通して、この保守を支援することができるのではないでしょうか。 保守を支援するのは、 独自にパッケージを保守して同じような努力を繰り返すこと (それが現状ですが) よりも、確実に安上がりになると思われます。 |
||
|
Security Reports
|
||
当初考えられていたより深刻な cron のバグCron の弱点は当初考えられていたよりも深刻な物でした。 悪賢いユーザは (root として) コマンドを実行するために sendmail を利用出来るようです。 全てのディストリビューション がこの弱点を持っている事に注意して下さい。 元々 cron の弱点は修正済とされていたものまでも含まれます。 唯一の例外は、別の cron デーモンを使っていた Slackware だけです。※ Plamo Linux も Slackware と同様に Dillon's cron を使っていますので、 この弱点はありません。詳細とパッチは Martin Schulze 氏からの この投稿 (英語) にあります。 |
||
|
Security Reports
|
||
カーネル 2.0.38Linux カーネル 2.0.38 がリリースされました。 このことは、当分新しい 2.0 リリースは無いと予想していた 多くの方達にとっては大変な驚きでした。 TCP スタックに、複雑で、利用するのが難しいバグがあることがわかり、 これを修正する必要があったためです。 実際にこれが悪用された例は知られていません。 そのうえ、このバグは目標が接続されている LAN (又はその近くのネットワーク) に直接にアクセス出来なければ、ほとんど悪用不可能です。 2.2 と、それ以降のカーネルにはこの弱点はありません。 詳細は、 アナウンス (英語) をご覧下さい。 |
||
|
Security Reports
|
||
Oracle8, Netscape Enterprise サーバ、FastTrack Web サーバ、Lotus ノーツドミノサーバ 4.6商用ソフトウェアにも弱点が見付かっています。 Oracle8 (英語) (Oracle からのこの勧告 (英語) も同時に参照してください) と、 Netscape Enterprise サーバと FastTrack Web サーバ (英語)、そして、 Lotus ノーツドミノサーバ 4.6 (英語) の弱点について、ISS が勧告を出し、詳しく解説しています。※ ISS - ここでは Internet Security Systems 社のセキュリティ調査チーム X-Force (英語)の事を指しています。 |
||
|
Security Reports
|
||
INN の弱点INN 2.2 と、それ以前のバージョンにはバッファオーバフロー問題があります。 このため INN 2.2.1 がリリースされました。アップグレードをお勧めします。 詳細はアナウンス (英語) を参照して下さい。※ INN - InterNetNews デーモン。UNIX 系 OS での NetNews のデーモンとして広く使われています。 |
||
|
Updates
|
||
Cron の修正Cron の弱点に対するアップデートが以下のサイト (全て英語) で公開されました。 |
||
|
Updates
|
||
FTP デーモンのアップデート各種 FTP デーモンのアップデートが公開されました。
|
||
|
Updates
|
||
AMD オートマウンターの問題AMD オートマウンターは問題を抱えており、 インターネット上で「活発に悪用されて」います。 公開されているアップデートは以下の通りです。
※ AMD - NFS やリムーバブルディスク, フロッピーディスク等を自動的にマウントするためのデーモン。AMD は一種の NFS サーバとして動作する事により、ユーザ空間のみで動作するのが特長です。 ちなみに Linux 2.0 以降では、同様の機能を提供するカーネルオートマウンタ (autofs) も利用出来ます。 |
||
|
Updates
|
||
epic4 のアップデートepic4 に対するアップデートが Debian からリリースされました。 詳細はアナウンス (英語) を参照して下さい。 |
||
|
Updates
|
||
man のバッファオーバフローCaldera からの このアップデート (英語) で man のバッファオーバフローが修正されました。 |
||
|
Updates
|
||
SuSE のセキュリティページの遅れSuSE のセキュリティアップデートのページは、更新が遅れています。 先週のセキュリティセクション (英語) において 6 月 30 日以来 SuSE からのセキュリティアップデートが出されていないと、お伝えしました。 これは、SuSE のセキュリティアナウンス(英語)ページからの情報です。 残念ながら、このページも定期的に更新されてはいないようです。 SuSE Linux 6.2: パッチ、アップデート、バグ修正(英語)ページに、 8月 10日以降にリリースされ、既に公開されている、 6.2 向けの 6つのセキュリティ関係のアップデートが、 列記されていることが Martin Treusch von Buttlar 氏によって指摘されました。 アップデートには、 nkitb、termcap、xmonisdn、trn の修正が含まれています。 |
||
|
Updates
|
||
2.2.12 のセキュリティパッチを公開2.2.12 のセキュリティパッチが、Solar Designer 社(?)により公開されています。 これは、いくつかの不安な点の修正と、その他の改良を含んでいます。※Update: Solar Designer「社」でなくて Solar Designer 「氏」のようです。 (Thanks to 小島さん)現在はテストバージョンが公開されており、最終リリースは来週中の予定です。 詳しくはアナウンス (英語) をご覧下さい。 |
||
|
Updates
|
||
Slackware elflibs のアップデート再びSlackware elflibs への二回目のアップデートが出されました。 termcap 問題を修正する当初の Slackware "elflibs" アップデートを適用した方へ、 この修正は、「うまく動かかず、システムの弱点は修正されない」 ということです。 そこで、新しいバージョンの elflibs パッケージが アナウンス (英語) されています。こちらは、本当にこの問題を修正します。 |
||
|
|
||
|
次に、
1999年9月2日〜8日
のセキュリティ関連ニュースをお伝え致します。
|
||
|
News
|
||
クローズドソフトにオープンしている裏口 --- オープンソースはセキュリティに必須オープンソースはセキュリティに必須です。LWN は、このことを主張してきました。 他の多くの方々も、同様に主張されてきたので、 今では、これを繰り返すのは、もう分かりきっていることを お説教しているように感じられます。 それでも、もしあなたが周りの方達を説得するのに困難を感じているなら、 今週 Microsoft Windows の多くのバージョンに第二の暗号鍵、名付けて "_NSAKey" が発見されたという事を引合いに出してみて下さい。 これはマスコミで大きく話題になりました。 以下のニュース記事やコラムでご覧になれます。
比較的公平な反応としては、NTBugTraq 編集者 Russ Cooper 氏による 記事 (英語) を参照して下さい。 彼は、Microsoft による反論を信用するとしても、第二の鍵が存在するという事実がシステムのセキュリティを非常に危うくすると指摘しています。 原理的には次のようなことが可能です。 Microsoft が提供する CSP を置き換える独自の CSP (何でも好きな物を実装。例えば、鍵を 40 ビット から 128 ビットに強化) を作り、第二の鍵を独自の物に変更し、あなたの CSP で Microsoft の物を上書きして CryptoAPI を使用するアプリケーションを何か立ち上げましょう。秘密主義によるセキュリティは又も破綻しました。 これが、オープンソースモデルに基づいていて、 第二の鍵を導入する理由が周知徹底されていれば、 人々は将来落し穴になるポイントを事前に指摘していたことでしょう。 情報を総合すると、 この特別の鍵に不適切な名前を選んだ事が、大騒ぎを引き起こした原因のようです。 しかし結論は、ソフトウェアにバックドアが無いことの保証は、どんなメカニズムを使うにしても、ソース無しでは決して得る事が出来ないということでしょう。※ CSP (Cryptographic Service Provider) - Windows において暗号化機能を提供するプログラム。この署名は、Microsoft の認証には失敗し、あなたのものを認証します。 そして、あたかも 米国/カナダ版を持っているように何でも動くでしょう。 ※ バックドア - 裏口。通常の方法とは別に、ソフトウェアの認証を得られる方法。例えば開発者がデバッグ用のパスワードをこっそりソフトウェアに埋め込んでおく事などを指します。 しかし、オープンソースをセキュリティ問題への万能薬だと思わないように、 オープンソースソフトウェアで依然として発見され修正されるセキュリティバグの数々 (今週リポートされるもののような) を忘れないで下さい。 ソースを持っておくのは良いことです。そしてバグを見付けて修正する事も。 しかし、常にそれで充分とは言えないのです。 この他、信用という見地では Ken Thompson 氏の 1995 年 のこの記事 (英語) もご覧下さい。 [Thanks to Dave Stevens] 陰謀説を信じる側からは、今週のこの Wired News の暴露記事 (英語。日本語) とリンクして考えるのも面白いでしょう。 LWN 5月 20日のセキュリティセクション(英語) において最初にお伝えしたものです。 STOA(ヨーロッパ議会の科学技術の選択についての査察委員会)への報告によると、 Lotus ノーツ他のソフトウェアに NSA との共謀によって導入されたバックドアの可能性があるとのことです。 あなたが商用ソフトウェアのバックドアの噂を信じるかどうかわかりませんが、 ヨーロッパの高級官僚達はそれらを信用するつもりのようです。 |
||
|
News
|
||
安全な Linux ディストリビューションSecurity Portal (英語) 今週の記事 (英語) において、セキュリティ的に安全な Linux ディストリビューションを特集しています。 彼らは khaOS、Secure Linux、Bastille Linux において進行中の開発についての概要を伝えています。 また、それぞれ異なる目標を持つこれらのディストリビューションについて議論し、 Secure Linux (Debian ベース) と Bastille Linux (Red Hat ベース) とが互いに協力する予定、との喜ばしいことも記されています。 |
||
|
Security Reports
|
||
ProFTPDProFTPD のセキュリティ報告。 先週、LinuxPPC, Red Hat, Yellow Dog Linux が ProFTPD のアップデートをリリースしたとお伝えしました。 これらのアップデートは 1.2.0pre4 直後の今週アナウンスされた ProFTPD 1.2.0pre5 (英語) に先行しています。 2.1.0pre4 や、Bugtraq に投稿されたパッチのいずれも、 最近報告されたセキュリティ問題の全てを修正するわけではありません。 このため 2.1.0pre5 へのアップデートが推奨されています。 来週にかけて、各ディストリビューションの開発元から、新たなアップデートが出て来るでしょう。長い間、ProFTPD の未来は安泰とは言えませんでした。 素晴らしい事に、それは新たなメンテナーを得ましたが、 ProFTPD の設計 (英語) ではセキュリティを確保するには苦労するとの定説があるようです。 しかし ProFTPD は豊富な機能を持っていますから、いずれにせよ、 人々はその苦労を引き受けるでしょう。 |
||
|
Security Reports
|
||
Red Hat 6.0 のシャドウパスワードRed Hat 6.0 において、コマンド "passwd -l ユーザ名" と "passwd -u ユーザ名" でアカウントを一時停止したり再開したりすると、シャドウパスワードファイルの パスワード領域の末尾に制御文字が付け加えられてしまいます。※ シャドウパスワード - UNIX におけるユーザアカウントの設定ファイル /etc/passwd は全てのユーザが読めるので、暗号化されているとはいえ、 ここにパスワードを保存するのは得策ではありません。 このため、パスワード情報のみを別の設定ファイル /etc/shadow に保存するように改良されました。これをシャドウパスワードと呼びます。Red Hat はこのバグに答えて、Mihai Ibanescu 氏がこのための パッチ (英語) をポストしました。 |
||
|
Security Reports
|
||
DNS の動的更新の弱点DNS の動的更新は弱点を抱えています。この現象についての 注意 (英語) が今週の Bugtraq に投稿されましたが、それでもなお、 ダイナミック DNS は本質的に安全ではなく、また、常にそうだったことが 「知られて」いることは、言及されておくべきでしょう。※ DNS の動的更新 - DHCP によって動的に IP アドレスを割り付ける環境や、TCP/IP 上の NetBIOS のように名前と IP アドレスを動的に関連づけるサービスの場合、従来の DNS では対応出来ませんでした。 この問題を解決するため DNS のデータベースを動的に更新出来る機能が RFC2136 で追加されました。RFC 中では DNS UPDATE と呼ばれていますが、俗に Dynamic DNS とも呼ばれています。これに対処するために、作業が行われていますが、まだ公開されていません。 あなたにとってセキュリティが重要なら、 今のところDNS の動的更新は無効にしておきましょう。 |
||
|
Security Reports
|
||
WatchGuard Firewall商用ソフトウェアでのセキュリティ上の弱点としては、 WatchGuard Firewall (英語) のデフォルト設定に問題が報告されています。 |
||
|
Updates
|
||
INN のセキュリティアップデート先週のセキュリティセクション (英語。日本語(今週)) で報告した INN の弱点についてアップデートが公開されています。
|
||
|
Updates
|
||
cron の追加アップデート先週のセキュリティセクション (英語) で報告した cron の弱点についてのアップデートが, 既に報告した Caldera, Debian, Red Hat, SuSE に加えて Linux-Mandrake (英語) からも出されました。 |
||
|
Updates
|
||
amd の弱点amd の弱点についての アップデート (英語) も提供されています。 詳細については先週号(上記記事)を参照してください。 |
||
|
Updates
|
||
XFree86 パッケージの更新Red Hat は 4.*、5.* 及び 6.0 ディストリビューションにおける XFree86 パッケージの一連のアップデートを アナウンスしました (英語)。 このアップデートはいくつかのセキュリティ上の修正を含んでおり、 おそらく適用するべきだと思われます。 |
||
|
Resources
|
||
Cisco の VLAN 実装のテストCisco の VLAN の実装に関するテストが Dave Taylor と Steve Schupp の両氏によって行われました。彼らの発見 (英語) が公開されています。※ VLAN - Virtual LAN (仮想 LAN)。 普通のスイッチングハブでは、各ポート毎のトラフィックは隔離出来ますが、ブロードキャストやコリジョンだけは全てのポートに転送されます。 VLAN 機能を持つスイッチングハブでは、ポートをいくつかのグループに分けて、ブロードキャストやコリジョンをグループ内だけに転送し、かつ各グループ間でのルーティングを提供する事で、 あたかも複数の独立したネットワークが存在しているかのように見せます。これを Virtual LAN と呼びます。 ルータを用いて物理的にネットワークを分離するのに比べ、Virtual LAN は性能や管理の柔軟性においてメリットがあります。この発見に関するいくつかのコメント (英語) もまた興味深いものです。 |
||
|
|
||
|
最後に、
1999年9月9日〜15日
のセキュリティ関連ニュースをお伝え致します。
|
||
|
News
|
||
Debian の新安定バージョン新しい安定バージョンの Debian GNU/Linux 2.1r3 (英語) がリリースされました。 Debian 2.1 以降に出たセキュリティ関係のアップデートを取り込む事を第一の目的としています。 このリリースでは新機能は追加されていません。バグ修正のみです。現在 2.1 を走らせており、必要なパッチをまだ全て実施し終えていないサイトには、このバージョンにアップグレードする事が強く推奨されています。 新規に Debian をインストールする場合このアップデートは、インストール後に必要なセキュリティ関係のアップデートを行う手間を省いてくれます。 |
||
|
News
|
||
なぜ Postfix に乗り換えるべきか?「Postfix へ乗り換えを勧める理由(Postfix, and why it is a preferred alternative)」 というテーマの Kurt Seifried 氏の記事 (英語)が 公開されています。 彼は postfix のセキュリティ, 設定の容易さ、そして、sendmail の代替として入れ換えるのが容易である点を取り上げています。「Postfix への変更には、ほとんどのサイトが平均で 10 分程度 (RPM を利用してコンパイルしなくても済む事が前提です) しかかからない事に注目して下さい。そして未だ大きな障害は経験していません (ただし私はいくつか小〜中程度の問題を発見しました)。」彼は最新の postfix のライセンスについても報告しています。それはいくつかの初期の出来事に由来しています。 「前のバージョンは Postfix の普及を妨げるような、やや嫌な条項を含んでいましたが、それが取り除かれて今や Postfix は『安全に』使用できるようになりました。 あなたはソフトウェアを配布し、改良し、変更を加える等の事が出来ます。唯一の落し穴は、あなたが行った変更は IBM に寄付する必要がある事です (彼らはこれを開発するため Wietse に投資したわけですから、これはまあ納得出来ます)。」 ※ Postfix は sendmail の後継を目指して IBM の支援の元、Wietse Venema 氏によって始められたプロジェクトです。 |
||
|
Security Reports
|
||
共用メモリを使った DoS 攻撃共用メモリを使った DoS 攻撃が BugTraq に投稿され、Linux システム上で実際に動く事が示されました。※ 共用メモリ (shared memory) - Linux (を含む UNIX) ではプロセスはそれぞれ独自のメモリ空間上で動作しており、他のプロセスが使っているメモリを見ることは出来ません。共用メモリは System V IPC (Inter Process Communication) の機能で、複数のプロセスの間で共用出来るメモリを作成出来ます。この機能を使っている身近なプログラムの例としては kon (Kanji ON) があります。いまのところ、実質上共用メモリに制限はありません。プロセスは制限を受けること無く、共用メモリを作成出来ます。 Henrik Nordstrom 氏は Linux 2.2.12 用のパッチ (英語) を投稿しました。このパッチは procfs に「割当可能な共用メモリの最大値を設定する」エントリを追加し、参照されない共用メモリページを削除し、そして誰がいつ共用メモリを作成したかの情報が得られるようにします。 |
||
|
Security Reports
|
||
gftpd にささいなバグgftpd にはあなたのパスワードをそのまま画面に表示したり、そのままログファイルに記録してしまったりするバグがあります。※ 原文には gftpd とありますが, gftp の誤りだと思われます。gftp は Gtk+ を使用したグラフィカルな FTP クライアントです。サーバ機能はありません。gftp の作者はこを修正するアップデートをリリースしました。 詳しい情報は Oscar Haeger 氏の BugTraq への投稿 (英語) を見て下さい。 |
||
|
Security Reports
|
||
ProFTPD にまたも新リリース先週リリースされた ProFTPD 1.2.0pre5 (英語。日本語) はあっという間に ProFTPD 1.2.0pre6 で置き換えられました。 最新版での変更内容の詳細はまだ公開されていませんが、またセキュリティ関係の修正です。 pre5 での変更一覧の長さを考えると、たぶんなにか見落としがあったのでしょう。 |
||
|
Security Reports
|
||
Netscape Enterprise Server 3.6、CDE商用ソフトウェアにもセキュリティ関連の報告があります。Netscape Enterprise Server 3.6 (英語) と CDE (英語) です。 CDE の問題についてこの CERT advisory(英語)は、この弱点により root 権限の搾取が可能だと報告しています。 |
||
|
Updates
|
||
Linux PPC のアップデートLinuxPPC (英語)は INN と ProFTPD の問題に関する新しいアップデート(英語)を出しました。 ProFTPD のアップデートは最新バージョンの 1.2.0pre5 を含んでいます。 |
||
|
Updates
|
||
mars_nwe のバッファオーバランいくつかのバッファオーバランが mars_nwe (NetWare パッケージ) に発見されました。※ mars_nwe - Linux を NetWare サーバにするソフトウェアです。今のところ、アップデートは Yellow Dog Linux (英語) と Red Hat (英語) から出ています。 |
||
|
Updates
|
||
更なる XFree のアップデートRed Hat から XFree の再度のアップデート(英語)が出されました。 これには XFree 3.3.5 パッケージが含まれていますが、「セキュリティ関連」という事になっており、適用が推奨されています。 |
||
|
Updates
|
||
SuSE から PINE のアップデートSuSE は 6 月に報告された PINE のセキュリティ上の弱点を修正する、PINE 新しいアップデートをリリースしました。 新しいパッケージ(英語)は、古いアップデートでの IMAP のサポートにあった問題を修正しています。 |
||
|
Resources
|
||
Linux 管理者へのセキュリティガイド「Linux 管理者へのセキュリティガイド(Linux Administrator's Security Guide)」は Security Portal (英語) へ移転しました。これからは HTML 形式でも公開されます (前のバージョンは PDF で配布されていました)。 近い将来、このガイドは大幅にアップデートされる事が約束されています。 |
||
|
Resources
|
||
Stack Shield 0.5Stack Shield 0.5 がアナウンス(英語)されました。 Stack Shield は Stack Guard の代替品です。 どちらも、バッファオーバフローと類似の問題に対して、システムを強くしてくれます。 |
||
|
Resources
|
||
Linux Audit Beta 0.1Linux Audit Beta 0.1 は Linux の監査をサポートするパッケージの早期リリース(英語)です。 これを動かすためには Linux カーネル 2.3.5 に加えて、パッチが必要です。 |
||
|
Resources
|
||
UNIX のウィルス?unix-virus メーリングリストが始まりました。 憲章(英語)によると、ここでは「unix 環境でのウィルス」について議論することになっています。 これは、もちろん、UNIX や Linux で動作し、Windows や Macintosh のウィルスを探すコードを保守している、ウィルス対策の開発者を対象としています。 原理的に不可能とは言えませんが、メーリングリストで UNIX ベースのウィルスについて活発な議論を維持するのは難しいようです。;-) また、メーリングリストのために提供された URL は間違っている事に注意して下さい。 後で掲示された訂正によると、メーリングリストのための web サイトは http://virus.beergrave.net/ (英語) です。 |
||
|
|
||
関連 URL
|