Subject: Cross-Site Vulnerabilities (Still) Found in Major Web Sites Date: Mon, 21 Jan 2002 14:40:38 +0700 From: Watung Arif <watung@transavia.co.id> To: bugtraq@securityfocus.com CERTがクロスサイトスクリプティング問題に対する警告とその対策を示したのは2年も前のことなのに、大手のウェブサイトで未だにこの問題が解決されていない。 Yahoo, MSN, AOL, Lycos, Exciteがこの問題を抱えている。例えば、以下のURLはそれぞれのドメイン内として実行される。
Subject: Shoutcast server 1.8.3 win32 Date: 19 Jan 2002 18:16:49 -0000 From: Brian Dittmer <bditt@columbus.rr.com> To: bugtraq@securityfocus.com shoutcast for windowsの最新版に問題をハケーンしました。 http://some-shoutcast-server:8888/admin.cgi?\\\\(いっぱい)\\\ と入力するとshoutcastサーバーが逝ってしまいます。 漏れは厨房なのでこれ以上何かできるか(exploitとか)はワカリマセン。 開発元にはシカトこかれているみたいです。
Subject: Re: Shoutcast server 1.8.3 win32 Date: Tue, 22 Jan 2002 15:35:11 -0700 (MST) From: ellipse <elliptic@cipherpunks.com> To: Brian Dittmer <bditt@columbus.rr.com> I have been unable to reproduce this on Win2K with Shoutcast server 1.8.3. Win2kとShoutcast server 1.8.3で再現しねぇぞヽ(`Д´)ノゴラァ
19 :
Subject: Re: Shoutcast server 1.8.3 win32 Date: Mon, 21 Jan 2002 22:04:58 -0800 From: Austin Ensminger <skream@pacbell.net> To: Brian Dittmer <bditt@columbus.rr.com>, bugtraq@securityfocus.com you can also cause the dnas to fatally exit by sending a long string for the pass パスワードに文字列をつっこんでも起きるYo! 例: http://127.0.0.1:8000/admin.cgi?pass=AAAAAAAAAAA(いっぱい)AAAA i found this a long time ago. just never sent it in to bugtraq or anything 大分前に漏れがみっけたんだけど、bugtraqには投げてなかった http://www.egoclan.barrysworld.net/sc_crashsvr.txt maybe you heard this from someone that read my article? たぶんオメーはオレの記事を誰かからきいたんだろ?(このパクリ野郎) -- Austin Ensminger skream@pacbell.net
20 :
×bugtraqには投げてなかった ○bugtraqとかには投げてなかった
21 :
Subject: Vulnerabilty in PaintBBS v1.2 Date: 23 Jan 2002 04:45:01 -0000 From: John Bissell <sbccmonk@hotmail.com> To: bugtraq@securityfocus.com PaintBBS Server v1.2 Advisory
Author: John Bissell A.K.A. HighT1mes Vulnerable: PaintBBS Server Ver.1.2 Build 010514 Impact: PaintBBS Server 0wn3d Release Date: January, 22, 2002 Contact: blumorpho@cox.net Vendor Homepage: http://www.ax.sakura.ne.jp/~aotama/ PaintBBS Server v.1.2 is a cool WWW app that allows people to draw pictures as well leave messages like a normal BBS. ペイントBBSサーバー1.2はイケてるウェブアプリケーションで、人々は掲示板にメッセージを残すのと同じように絵を描くことができる。
22 :
A few days ago I learned about this app and decided to test some of it's security for fun. 数日前にこのアプリを知って、遊びでセキュリティ面について調べてみた。
Since the documentation is in Japanese it took a little time to figure out what files did what. 説明が日本語で描かれているのでどのファイルが何をやっているのかを把握するのにちょっとかかった。(訳注:藁)
The main file to be aware of is oekakibbs.conf. 中心となるファイルはoekakibbs.confだ(訳注:ワラ)
23 :
Anyone can read this file by default and it contains the encrypted password to the PaintBBS Server. このファイルにはペイントBBSのパスワードが暗号化されて保存されているが、初期状態では誰でもこのファイルを読むことができる。
The other problem is that the permissions of the /oekaki/ folder is 777 allowing all hell to break loose by anyone. もう一つの問題はお絵かきフォルダのパーミッションが777になっていて、誰にでも好き勝手に荒らせてしまうことだ。
So if I don't know what the .conf file is named I can go to that folder from a web browser and see. だからもし設定ファイルの名前がわからなくとも、そのフォルダにブラウザでアクセスすれば見えちゃうのである。
24 :
I haven't tested any other version of this software yet. 他のバージョンについては調べてない PaintBBS Server is actually up to v2.40. So if anyone wants to continue the investigation have fun! :p 今はもうバージョン2.4にまであがってる。もし調査したければ楽しんでやってくれ(プ
Problem Description: 問題の詳細 This is one of those default configuration problems. 初期設定のミスだ。 A malicious person can read the oekaki config file from the web then find the encrypted password then crack it. Thus giving them admin access to the server. 誰でもファイルを覗いて暗号化されたパスワードを取得でき、クラックできる。 そしてアドミン権限を手に入れることができる。
25 :
As an example if I wanted to remotely take over http://www.victim.com/oetaki/oetaki.cgi もしこの例のようなURLについて権限を盗りたかったら (訳注: oekaki じゃなくて oetaki なのが萌える) I would first go to the config file located in the /oetaki/ dir by default at http://www.victim.com/oetaki/oekakibbs.conf. デフォで設定されるこのURLにアクセスしてみる。 If that didn't work then I could set my web browser to the /oetaki/ folder then see what the .conf files are named and access them. Once I could view the config file I would see something like this... もしそれがダメなら/oetaki/フォルダにアクセスしてconfという拡張子のファイルを見る。一度ファイルが次のように覗ければ、、 password=m8kl78sKTixvs ... etc
26 :
Now that I have the encrypted password I would take a standerd DES password cracking program (I prefer John the Ripper) since PaintBBS uses the crypt() function and get the goods. 暗号化されたパスワードを手に入れたら普通のDESパスワードをクラックする プログラム(ジョンがオススメだぜ)を使う。なぜならペイントBBSは暗号化にcrypt()を 使っているからさ。 If you use John the Ripper put the encrypted password into a unix type /etc/passwd.txt file format and run John. もしジョンを使うならUNIXの/etc/passwdみたいな形に整形してやりな。 Now that I have the cracked password then I would go over to one of the following admin url's to have some fun.. パスワードをゲットしたら次のアドミン権限のURLを使ってやりたい放題さ http://www.victim.com/oekaki/oekaki.cgi?mode=administration http://www.victim.com/oekaki/oekaki.cgi?mode=deleteUserCommentView
27 :
Solution: 対策 To solve this security problem first you should change the /oekaki/ folder from 777 to something more secure like 333 using the chmod command. この問題を解決するには、まず/oekaki/フォルダのパーミッションを777よりももっと安全な333とかにchmodコマンドを使って変える。 Next you will want to rename the oekakibbs.conf file so no one can get easy access to that file. 次にoekakibbs.confのファイル名を変える。そうすれば他人はそうそう簡単には設定ファイルを見ることができなくなる。 If you have the right web server you should also change the permissions of the file so not everyone can read it. もしウェブサーバー権限を持ってるなら誰からも読めないようにパーミッションを設定する。 Have a good day! でわでわ Thank you to Chris_Judah and Hiroshi :) クリスとひろし、ありがとー
28 :
Multiple security vulnerabilties exist in SquirrelMail < v 1.2.3
バージョン1.2.3よりも前のSquirrelMailに複数の脆弱性が存在する。
that allow malicious HTML messages to: * send messages appearing to come from the user * run arbitrary javascript
1. Topic: New rsync packages are available; these fix a remotely exploitable problem in the I/O functions. It is strongly recommended that all users of rsync upgrade to the fixed packages. 新しいrsyncパッケージが、利用可能です。この新しいパッケージでは、 I/O機能における外部からの攻撃が可能となる問題点を修正しています。 rsyncを利用しているすべての利用者が、修正されたパッケージにアップグレードすることを強く推奨します。
33 :
3. Problem description: rsync is a powerful tool used for mirroring directory structures across machines. rsync has been found to contain several signed/unsigned bugs in its I/O functions which are remotely exploitable. A remote user can crash the rsync server/client and execute code as the user running the rsync server or client. The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned the name CAN-2002-0048 to this issue. All users of rsync should upgrade their packages. In addition rsync server administrators should consider using the "use chroot", "uid", and "read only" options, which can significantly reduce the impact of a security problem in rsync or elsewhere. Thanks go to Sebastian Krahmer for providing a patch for this vulnerability and to Andrew Tridgell and Martin Pool for their rapid response. rsyncは、マシン間でディレクトリ構造を複写するために使用する強力なツールです。 rsyncのI/O機能に、外部攻撃可能となる幾つかのsined/unsigned??バグを含んでいる事が発見されました。 外部の利用者は、rsyncが動いているサーバーやクライアント端末をぶっ壊し、 rsyncを作動させている利用者として、外部の利用者がコードを実行することが出来ます。 The Common Vulnerabilities and Exposures project (cve.mitre.org) は、この問題に対し CAN-2002-0048という名前を割り当てました。 rsyncの利用者全員、rsyncパッケージをアップグレードすべきです。 加えて、rsyncサーバー管理者は、"chroot","UID","read only"オプションの使用を考慮すべきです。 これらのオプションを使用することで、rsyncや他のセキュリティ上の問題を 著しく減らす事が可能です。 この脆弱性に対するパッチを提供してくれたSebastian Krahmer、迅速な反応を送ってくれた Andrew TridgellとMartin Poolに感謝いたします。
34 :
4. Solution: Before applying this update, make sure all previously released errata relevant to your system have been applied. To update all RPMs for your particular architecture, run: rpm -Fvh [filenames] where [filenames] is a list of the RPMs you wish to upgrade. Only those RPMs which are currently installed will be updated. Those RPMs which are not installed but included in the list will not be updated. Note that you can also use wildcards (*.rpm) if your current directory *only* contains the desired RPMs. Please note that this update is also available via Red Hat Network. Many people find this an easier way to apply updates. To use Red Hat Network, launch the Red Hat Update Agent with the following command: up2date This will start an interactive process that will result in the appropriate RPMs being upgraded on your system. このアップデートを適用する前に、利用者のシステムに関係のある、 以前から公開されている修正を適用している事を確認してください。 特定のアーキテクチャのRPMをアップデートするには rpm -Fvh [filenames] [filenames]には、アップグレードを希望する一連のRPMパッケージ名を指定してください。 現在インストールされているRPMパッケージだけがアップグレードされます。 RPMのパッケージの中には含まれているけれども、インストールされていないRPMに関しては アップグレードされません。 もしも、利用者の現在のディレクトリに(インストール作業するディレクトリの事?) 希望するRPMを含んでいる場合のみ、ワイルドカード(*.rpm)を使用してファイル名を 指定できます。 またRed Hat Networkを経由して、このアップデートが可能です。 多くの人が、Red Hat Network利用してアップデートを適用する方法の方が容易である 事に気がつくでしょう。Red Hat Networkを使用するには、 Red Hat Update Agentを起動して次のコマンドを up2date これにより対話形式によるプロセスが始まり、利用者のシステム上で適切なRPMのアップグレードが 完了します。
35 :
To:BugTraq Subject:Vulnerability report for Tarantella Enterprise 3. Date:Jan 26 2002 8:46AM Author:Larry W. Cashdollar <lwc@vapid.dhs.org> Message-ID:<20020126094434.S26298-100000@vapid.dhs.org> In-Reply-To:<3C516548.2070802@snosoft.com>
Vulnerability report for Tarantella Enterprise 3. (製品紹介 http://www.tarantella.com/products/) 1. local root compromise during installation: The installation script provided with tarentella handles utility packages during installation insecurely. A root owned binary "gunzip" is created in /tmp with world writeable permissions, the pid is appended to the filename. Tarantella Enterprise 3の脆弱性の報告 1.インストール中にルート権限を弱めてしまう: Tarantella社が提供しているインストールスクリプトによって、 インストール中に安全でない状態をもたらします。 /tmpに、パーミッション書き換え可能な、ルート所有の"gunzip"バイナリが生成され ファイルネームにPIDを付加します。
36 :
2. Exploit: There is a race condition between when gunzip is extracted and used during installation. At which time a malicious local user could inject code to compromise the system quickly. インストール中、gunzipが伸張され、gunzipが利用される時の間は、 レースのような状態(ものすごいスピード、瞬間)です。その僅かな間に、 悪意のあるローカルユーザーが、システムを弱めるためのコードを 素早く注入する可能性があります。 ---shellスクリプト?省略--- I was able to change the permissions of /etc/passwd to 777 by performing the above as an unpriviledged user. 私は、特権のないユーザーとして、上記のスクリプトを実行し/etc/passwdのパーミッションを 777に変更することが出来ました。
37 :
3. Recommendations: Perhaps create a directory in /tmp or /var/tmp and use that directory as a work place? umask 077 mkdir /tmp/workdir おそらく/tmp か /var/tmp にディレクトリを作成するならば、 作業場所としてそのディレクトリを使用することになるだろう。 umask 077 mkdir /tmp/workdir umaskコマンドを使用して、新しく生成されるディレクトリのファイルモードを指定する。 777-077=700
38 :
ニュースレター来たね。
rsyncは使ってないなー
39 :
To:BugTraq Subject:Identifying PGP Corporate Desktop 7.1 with PGPfire Personal Desktop Firewall Installed (no need to be enabled) on Microsoft Windows Based OSs Date:Jan 25 2002 6:47PM Author:Ofir Arkin <ofir@stake.com> Message- ID:<3C51B658.3040203@stake.com>
Subject: Identifying PGP Corporate Desktop 7.1 with PGPfire Personal Desktop Firewall Installed (no need to be enabled) on Microsoft Windows Based OSs
Network Associates PGP Corporate Desktop version 7.1 alters the TCP/IP stack of the MS operating system it is installing its PGPfire Personal Desktop Firewall product on.
This alternation occurs even if PGPfire is not being enabled.
The type of alternation we have absorbed is with an ICMP Port Unreachable Error Messages received from a Microsoft Windows machine using the program.
The following tcpdump trace was produced with Xprobe against a Microsoft Windows 2000 SP2 with the PRE-SP3 patches installed, based machine:
Network AssociatesのPGP Corporate Desktop version 7.1は、その製品に含まれるPGPfire Personal Desktop Firewallをインストールした場合、マイクロソフトのオペレーティングシステムの TCP/IPスタックを改竄します。
この改竄は、PGPfire Personal Desktop Firewallを利用していない場合にも発生します。
我々を虜にして止まないこの種の改竄は、PGP Corporate Desktop 7.1を使用している マイクロソフト社ウィンドウズマシンからICMP Port Unreachable Error Messagesを伴っています。
以下のtcpdumpのトレース結果は、Xprobeを使用して、マイクロソフトWindows 2000 SP2に the PRE-SP3 patchesをインストールしたマシンに対して行った物です。
-----トレース結果省略----------
41 :
-----トレース結果省略----------
If you look at the ICMP Error message, look at the part, which it starts to echo the original message:
4500, 0062, 70a0 AND THAN 0000!
This behavior is also common with ULTIX based machines. But it is very easy to differentiate the ULTRIX based machines from the traces produced against machines using Network Associates PGP Corporate Desktop 7.1 with PGPfire Personal Desktop Firewall installed (no need to be enabled). If we will examine the echoed UDP Header, for example, with the ULTRIX based machines this echoed field value will be zero, while with the machines running Microsoft Windows operating systems with Network Associates PGP Corporate Desktop 7.1 with the PGPfire Personal Desktop Firewall installed this field will be echoed correctly.
Tested against machines running PGPfire Installed on:
-Microsoft Windows 2000 Platforms (No-SP, SP1, SP2, Pre-SP3 Patches) -Microsoft Windows Millennium
これらのテストは、PGPfireが作動している以下のOSがインストールされているマシンで行いました。 -Microsoft Windows 2000 Platforms (No-SP, SP1, SP2, Pre-SP3 Patches) -Microsoft Windows Millennium
42 :
Dangers: Ability to pinpoint Microsoft Windows Operating Systems using Network Associates PGP Corporate Desktop 7.1 with the PGPfire Personal Desktop Firewall installed (no need to be enabled), since this type of echoing error integrity is almost unique.
If the firewall is not being used, or if it is running in a not secure mode an attacker might use this information to maliciously attack a victim's machine.
Vendor Response: Since this is an "Information Leakage" problem no patch will be released for version 7.1. This is already fixed on the upcoming PGP Corporate Desktop software version 7.5.
Remedies: Just enable one of the PGPfire security policies of your choice, and check it does not allow ANY ICMP Error messages from your protected machine to the outside world.
ベンダの回答:これは”情報漏洩”問題なので、バージョン7.1用のパッチはリリースを行いません。 今度のPGP Corporate Desktop software version 7.5では既に修正されています。
To:BugTraq Subject:[ARL02-A01] Vulnerability in Hosting Controller Date:Jan 26 2002 5:20PM Author:Ahmet Sabri ALPER <s_alper@hotmail.com> Message-ID:<20020126182018.23125.qmail@mail.securityfocus.com> Summary ------- Hosting Controller is an all in one administrative hosting tool for Windows based servers. It automates all hosting tasks and gives full control of each website to the respective owner. A vulnerability exists in Hosting Controller which could enable anyone to confirm the validity of usernames and crack the password's of known users via brute forcing method. Hosting Controllerとは、ウィンドウズベースのサーバー用、オールインワンホスティング管理ツールです。 この管理ツールによって、ホスティング業務を自動化し、各々のウェブサイトオーナーが、 各自のウェブサイトを完全にコントロール可能となります。このHosting Controllerに存在する脆弱性によって、 誰でもユーザー名が有効であることを確認し、総当たりの手法を用いて、確認したユーザーのパスワードをクラックすることが可能です。
46 :
Details ------- The site owners' may login to Hosting Controller by submitting the login form either found at; http://www.thesite.com.tr/admin/ http://www.thesite.com.tr/webadmin/ http://www.thesite.com.tr/advwebadmin/ http://www.thesite.com.tr/hostingcontroller/ These paths are the most common ones for Hosting Controller login page. If a non-existing username is entered, the form returns the message: "The user name could not be found". Anyone can try this login process for finding an existing user name. When an existing username is entered, but the password supplied with it was incorrect, the form returns the message: "The user has entered an invalid password". So now, the attacker may launch a brute force attack on the password entry, for the known username. I should point out that, generally domain names or related variations are used as usernames in Hosting Controller. So it is even possible to easily predict the username. Once logged in, the attacker will have total control over the web site. サイトオーナーは、次のようなログインフォームを送信して、Hosting Controllerにログインします。 中略 これらのパスは、Hosting Controllerのログインページとして、もっともよくあるものです。 存在しないユーザー名でログインした場合、以下のメッセージフォームが返ってきます。 ”ユーザー名が見つかりません” よって、誰でも、存在するユーザー名を見つけるために、ログインを繰り返し行うことが可能です。 存在するユーザー名を入力し、間違ったパスワードを入力した場合、 以下のメッセージフォームが返ってきます。 ”パスワードが正しくありません” そして、攻撃者は、知り得たユーザー名に対し、パスワードを入力するためのブルートフォースアタック ツールを起動するでしょう。 一般的に、Hosting Controllerに使用するユーザー名は、ドメインネームやドメインに関連性のある変名を 使用するでしょう。そのような場合、ユーザー名を容易に推測可能です。一度、ログインしてしまえば、 攻撃者は、ウェブサイトを完全にコントロール出来ます。
47 :
Solution -------- The vendor replied within 12 hours after the contact,stating they would release a patch within 1-2 weeks which will probably be based on the first of the below suggested solutions. Hosting Controller managers were highly responsive to this advisory submission and acknowledged the security vulnerability in the Hosting Controller programme. They responded quickly and professionally which is a really good action that every vendor should take in such occasions. 1. A practical solution might be limiting login tries from the same IP, on a time basis. Eg: 3 wrong password entries from the same IP within an hour, may trigger such a protection. 2. The login form might return a message like "Wrong username or password", if either of the username or the password entry is wrong. 3. Assignment of hardly guessable usernames and passwords, and changing of passwords in a period of time might also be a quick idea. 4. Also the path to the Hosting Controller might be changed to a non-default path or perhaps the path might be named with random character sequences. ベンダーに連絡したところ、12時間以内に回答があり、以下の提案の内一番目に基づいたパッチが 1、2週間の内に公開されるようです。Hosting Controller担当マネージャーは、 この勧告を送った事に対して反応を示し、the Hosting Controllerのプログラムに存在する脆弱性を認識しました。 Hosting Controller社の素早い、プロフェッショナルな対応は、本当に素晴らしい。あらゆるベンダが、 このような脆弱性発見時に取るべき対応といえるものでした。 1.実践的な解決方法は、時間に基づく同一IPからのログイン試行を制限する。 例えば、一時間以内に、同一IPから3回間違ったパスワードを入力した場合、保護機能が働くようにする。 2.ユーザーネームやパスワード入力を間違った場合、”ユーザー名、もしくはパスワードが間違っています”と言うようなメッセージを返すようにする。 3.よく言われているような、推測困難なユーザー名、パスワードを使用する。一定期間でパスワードを変更するようにする。 4.Hosting Controllerに対するパスを初期設定のものから変更する。もしくは、パスをランダム文字列を使用したものに変更する。
48 :
To:BugTraq Subject:Intel WLAN Driver storing 128bit WEP-Key in plain text! Date:Jan 28 2002 9:06AM Author:dario luethi <dlu@remote-exploit.org> Message-ID:<20020128100643.5367.qmail@mail.securityfocus.com> Intro: while doing some troubleshoting i found a bug on a compaq evo n600c, with an integrated 802.11b card connected via usb (on the back of the display) running as Intel(R) PRO/Wireless 2011B LAN USB Device. 幾つかのトラブルシュートをしている際に、Intel(R) PRO/Wireless 2011B LAN USBデバイスなど (ディスプレイの背面についている)usbを介して接続されている統合型の802.11bカードが装備されている、 compaq evo n600c上でバグを発見しました。
49 :
Description: the WEP-Key ist stored plain to the registry. the permission the the specific key is weak enough that every local user has read access and can extract it via regedit.exe or an equivalent tool. a driver from other vendors (as example: Actiontec PrismII)stores the 128bit key in a encrypted form to the same place in the registry. WEP-Key所持者の情報は、レジストリに平文で保存されています。特定のキー情報に対する パーミッションは、非常に弱く、あらゆるローカルユーザーがアクセス可能で、 regedit.exeや同等のツールを使用して情報を無理矢理抜き取る事が出来ます。 (Actiontec PrismIIなどの)他のベンダーのドライバーを用いて、128ビットキーで暗号化し、 レジストリの同じ場所に保存しましょう。
50 :
Howto: Easy way: if you open up the properties dialog of your WLAN-Card and click to the "Advanced" tab, you can find an entry dislaying the WEP-Key plaintext (only as administrator). a normal user don't have access to this "Advanced"tab. this happened with the latest driver version from Compaq Support Page (version 1.5.16.0). I tried to get the latest driver from intel which is Version 1.5.18.0 (downloaded on 24th January 2002). The newer release fixed one part by not showing the entry in the "Advanced" tab. 利用しているWLANカードのプロパティを開き、"Advanced"タブをクリックしてください。 WEPキーを平文で表示している入力画面を見つけることが出来ます(アドミニストレータ権限を 持っている場合のみ)。普通のユーザーは、この"Advanced"タブにはアクセスできません。 これは、Compaqサポートページから、最新ドライバ(version 1.5.16.0)を適用している場合に発生します。 私は、インテルの最新ドライバーVersion 1.5.18.0(2002/01/24にダウンロードした)を取得してみました。 この新しく公開されたドライバーでは、"Advanced"タブクリック後の画面でキー入力を表示しないように 一部修正されたようです。 Everytime working way: レジストリ表示&ユーザー名:パーミッションの適用については一部省略。 (no matter which of the 2 noted driver versions used) 上記の2バージョンのドライバ使用時には問題はなかった you find the string entry "DefaultKeys"="364e01815b300d8038abc5ff00000000000000" 文字列の入力が発見できると思います。 where the first 12 Hex-values show the WEP key in plaintext. "364e01815b300d8038abc5ff" 16進数で先頭から12文字分平文でWEPキーが表示されています。 on another system with the new driver (1.15.18.0)added additional key's under the same context noted above: "Profiles\Default\WepKey" "Key128"="2544801583660d7009abcdef00000000000000" "DefKeyId128"="1 新しいドライバ(1.15.18.0)の別のシステムの場合、同じ部分にキーが追加されていました。 if this wep-key belongs to anyone, i apologize. this key is free invented from my fingers on the keyboard! このWEPキー(2544801583660d7009abcdef)が、誰かに属する場合、私は、記述に関し謝罪します。 このキーは、キーボード上で適当にタイプして生成したキーです。
51 :
Long path exploit on NTFS ===================== http://www.securityfocus.com/archive/1/253053 The filesystem NTFS seems to be a hiding place for virusses if you use a file path which exceeds 256 charaters. 256文字を超えたファイルパスを使用している場合、NTFSファイルシステムには、 ウイルスの隠れ家が存在しているように思われます。
以下の環境でテストしました。 Windows NT 4.0 SP4,SP6a, 2000 Professional SP2, XP Pro I have determined that the following versions of Norton AntiVirus will not follow the deep path during a complete scan: 以下のバージョンのNorton AntiVirusは、コンプリートスキャン中、深いパスまで フォローしていないと考えています。 Norton AntiVirus 5.0, 7.5.1, 8.00.58 I suspect that other virusscanners will encounter the same "bug" so you might try the sample script that i created. Additionally, other tools (quotamanagers,inventory tools etc) that gather information from a NTFS partition might reveal the same bug. 他のウィルススキャナーも同じようなバグが発見出来そうなので、私の作った単純なスクリプdを 試してみてください。他のツール(クオータマネージャ、イベントリツールなど) NTFSパーティションからの情報を集めてみると、同じようなバグが明らかになるでしょう。
54 :
After running the script below, remove the substituted drive (SUBST Q:/D) and run a full scan on your C-partition. I suspect that the Eicar-virus will not be found. Additionally, re-create the substituted drive and re-run the scan. Under normal conditions the Eicar-virus will be found and removed (depending on your settings). As far as i can see, there is no real remedy against this exploit. I hope this message will pass through the proper channels, so the responsible parties will act on this. Responses on this posting at my address are welcome. Hans Somers (hans.somers@nl.abnamro.com) スクリプトを起動後、置換したドライブ(SUBST Q:/D)を取り除き、 Cパーティション上でフルスキャンを行ってください。EICARウィルスは、発見されないと思います。 加えて、置換したドライブを再び作って、再スキャンしてください。 普通の環境では、EICARウィルス発見され、駆除されるでしょう(設定に依存するけれども)。 私が見る限り、この攻撃に対する実質的な修繕方法は存在していません。このメッセージが、 適切な伝達手段を通じて伝わる事を願っています。そうすれば責任ある者達は、行動を起こすでしょう。 この投稿に対する返事は歓迎します。 Hans Somers (hans.somers@nl.abnamro.com)
55 :
http://www.securityfocus.com/archive/1/253129 McAfee Virusscan V4.5.1 running on NT4.0 SP6a seems vulnerable to the same trick. NT4.0 SP6a上のマカフィーウィルススキャンV4.5.1も同じトリックに対し脆弱なように思われ Virusscan found eicar1 but not eicar2. Worst thing is, it just silently stopped (no error it couldn't go 'deeper') and claimed there where no more infected items. EICAR1は発見できたけどEICAR2は、発見出来なかった。最悪なことに 固まったYO(エラーじゃないが深いパスには、もうRないよ) これ以上のインパクトあるものはちょっとないなぁぐらいの意味かなぁ ageたほうがいいかな。 自動的に長いパスを生成して、そこに住み着かせるようなウイルスを 作ればウイルスチェッカに今なら引っかからないかもと? 誰かスクリプト解説してください。おながいします。
56 :
コピぺうざ
57 :
Subject: Web Browsers vulnerable to the Extended HTML Form Attack (IE and OPERA) Date: Thu, 7 Feb 2002 02:50:43 +0100 From: "obscure" <obscure@eyeonsecurity.net> To: <bugtraq@securityfocus.com> ウェブブラウザ(IEとOPERA)拡張HTMLフォーム攻撃に対する脆弱性 対象アプリケーション: Internet Explorer 6 and older versions Opera 6.0 and older versions 可能な攻撃: クッキーの盗聴や内部ネットワークに関する情報の漏洩など ベンダーの対応状況: Internet Explorer - M$は今せっせとパッチを作っている。そろそろ出るかも Opera - 次のバージョンで直るかも ウェブでの情報源 http://eyeonsecurity.net/papers/ - Extended HTML Form Attack 説明: IEをはじめ多くのウェブブラウザはフォームからHTTP以外のサービスへデータの 送信を許している。そしていくつかのHTTP以外のプロトコルは送られてきた文字 列をそのまま送り返す。そしてウェブブラウザはそのサービスのプロトコルによ らず、返されたデータをHTMLだとみなして解釈してしまう。 問題点: 悪意あるユーザは犠牲者に送信させるフォームを作成し、アクティブスクリプト もしくはソーシャルエンジニアリングによって実行させる。HTTP以外で送られた データをそのまま返すプロトコルによって、そのドメインのクッキーが奪われる。 もしくはそれ以上の事が行われる可能性がある。 Exploitの例: available at http://eyeonsecurity.net/advisories/showMyCookie.html --訳ここまで Qpopperとかは送ったデータをそのまま返したりするからこの攻撃でクッキー盗め るみたいね。でもCookie発行してるドメインでpopも動いてるとこって少ないと思 うけど。 ネスケはしっかり違うドメイン扱いになってたんでcookieは盗まれません。試した。
> スタンフォード大学卒業式におけるジョブズのスピーチの和訳 http://www.buckeye.co.jp/blog/buckeye/archives/cat36 で同じ翻訳者が無礼な言いがかりをつけている。 一つ目、"If you live each day as if it was your last, someday you'll most certainly be right." これは後半がジョークのオチになっていて、井口耕二の言ってる事は全て間違い。 二つ目、"Stay Hungry. Stay Foolish." は 「ハングリーであれ。馬鹿であれ」 が簡潔で正解。 井口耕二がご丁寧に間延びした悪訳を提示している。 _________________________ ■ 新製品紹介のプレゼンテーション後、ジョブズの発言(翻訳書): 「懸命に働き、ご紹介した新製品を創りあげたアップルの社員全員に、みなさんとともに感謝したいと思います。 また、アップル社員の家族や配偶者にもありがとうと言いたい。みなさんとしても、我々にまだしばらく、仕事をして欲しいと思っておられるでしょうから」(井口耕二 訳) "I would like you to join me in thanking all the people at Apple who've worked so hard to create all these new products." Then he added, "I want to thank the families and the spouses of all the people at Apple. Because I know you'd like to have us around a little more." 文脈が無いと解りにくいが、最後の部分が完全な誤訳。 (こういう誤訳が何十もあるのか?) ■ Two years later, C&G closed its doors. 「その二年後、C&Gはドアを閉じた。」(井口耕二 直訳) 正しくは「解散した」「廃業」「撤退」「閉店」「倒産した」「店をたたんだ」・・・ ■ 「砂の中に隠しているわれわれの頭を引っ張り出そうではないか」(井口耕二 直訳)と 訳文にあって、私はすぐに bury one's head in the sand(現実から目を背ける)という慣用句が思い浮かんで・・・ これは日本語話者には、まったく意味不明ですよね。(直訳者にも意味不明でした。チャンチャン)