-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-4501
                                                               JPCERT/CC
                                                              2002-11-20

                  <<< JPCERT/CC REPORT 2002-11-20 >>>

これは JPCERT/CC が 11/11(月) から 11/15(金) の間に得たセキュリティ関
連情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CERT Advisory CA-2002-31
    Multiple Vulnerabilities in BIND
    http://www.cert.org/advisories/CA-2002-31.html

    CIAC Bulletin N-013
    ISC Remote Vulnerabilities in BIND4 and BIND8
    http://www.ciac.org/ciac/bulletins/n-013.shtml

ISC BIND の named にはバッファオーバーフローなどの複数の脆弱性がありま
す。結果として、遠隔から第三者が named の実行ユーザ (多くの場合 root)
の権限を取得したり、サービス運用妨害 (DoS) 攻撃を受けるなどの影響を受
ける可能性があります。対象となるのは以下のバージョンです。

  - ISC BIND 4.9.5 から 4.9.10
  - ISC BIND 8.1、8.2 から 8.2.6、8.3.0 から 8.3.3

また、ISC BIND バージョン 4.9.2 から 4.9.10 の resolver にはバッファオー
バーフローの脆弱性があります。結果として、遠隔から第三者が resolver を
使用しているプロセスの実行ユーザ権限を取得する可能性があります。なお、
OS (libc や GNU glibc など) に含まれている resolver については、各ベン
ダや配布元が提供する情報を参照してください。

これらの問題は、ISC またはベンダや配布元が提供するパッチを適用するなど
の方法で解決します。

  関連文書 (日本語)
    Internet Security Systems セキュリティ アドバイザリ
    BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点
    http://www.isskk.co.jp/support/techinfo/general/BIND4and8_xforce.html

    Turbolinux Japan Security Center
    bind 3つのセキュリティ上の問題
    http://www.turbolinux.co.jp/security/bind-8.2.6-2.html

    Vine Linux errata
    bind にセキュリティホール
    http://vinelinux.org/errata/25x/20021115-1.html

    OpenBSD 3.2 errata 005: セキュリティのための修正: 2002 年 11 月 14 日
    http://www.openbsd.org/ja/errata.html#named

  関連文書 (英語)
    Internet Software Consortium: BIND Vulnerabilities
    http://www.isc.org/products/BIND/bind-security.html

    FreeBSD Security Advisory FreeBSD-SA-02:43.bind
    multiple vulnerabilities in BIND
    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:43.bind.asc

    NetBSD Security Advisory 2002-028
    Buffer overrun in getnetbyname/getnetbyaddr
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-028.txt.asc

    NetBSD Security Advisory 2002-029
    named(8) multiple denial of service and remote execution of code
    ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-029.txt.asc


[2] CERT Advisory CA-2002-30
    Trojan Horse tcpdump and libpcap Distributions
    http://www.cert.org/advisories/CA-2002-30.html

    CIAC Bulletin N-014
    Trojan Horse tcpdump and libpcap Distributions
    http://www.ciac.org/ciac/bulletins/n-014.shtml

www.tcpdump.org において、tcpdump-3.6.2、tcpdump-3.7.1 および
libpcap-0.7.1 のソースパッケージが、日本時間 2002年11月11日(月) 19時頃
から改竄された状態で配布されていたことが分かりました。また、いくつかの
ミラーサイトからも同様の状態で配布されていた可能性があります。なお、
www.tcpdump.org において、改竄されたパッケージの配布が停止されたのは、
日本時間 2002年11月14日(木) 0時頃です。

改竄されたソースパッケージからソフトウェアをコンパイルすると、あるプロ
グラムが生成されて起動し、特定の IP アドレスの 1963/tcp に接続します。
結果として、遠隔から第三者がソフトウェアをコンパイルしたユーザの権限を
取得する可能性があります。

また、改竄されたソースパッケージから生成された libpcap (gencode.c) は、
上記の 1963/tcp を用いた通信を隠蔽するように改竄されている可能性があり
ます。

改竄されたソースパッケージであるか否かは、MD5 などのチェックサムや PGP
署名を検証することで確認できます。オリジナルのソースパッケージの MD5
チェックサムは以下の通りです。

    03e5eac68c65b7e6ce8da03b0b0b225e tcpdump-3.7.1.tar.gz
    0597c23e3496a5c108097b2a0f1bd0c7 libpcap-0.7.1.tar.gz

  関連文書 (日本語)
    Turbolinux Japan Security Center
    tcpdumpとlibpcapにしかけられたトロイの木馬の件
    http://www.turbolinux.co.jp/security/tcpdump-libpcap-trojan.html


[3] CIAC Bulletin N-015
    SGI IRIX lpd Daemon Vulnerabilities via sendmail and dns
    http://www.ciac.org/ciac/bulletins/n-015.shtml

SGI IRIX 6.5.18 およびそれ以前のバージョンに含まれる lpd には、アクセ
ス認証の方法に脆弱性があります。結果として、DNS 情報を偽造したユーザが、
アクセスを許可されていないホストから lpd にアクセスし、その lpd を経由
して sendmail にオプションを送ることで root 権限を取得する可能性があり
ます。

この問題は、SGI が提供するパッチを適用するか、IRIX 6.5.19 もしくはそれ
以降に更新することで解決します。

  関連文書 (英語)
    SGI Security Advisory 20021104-01-P
    IRIX lpd daemon vulnerabilities via sendmail and dns
    ftp://patches.sgi.com/support/free/security/advisories/20021104-01-P

    CERT/CC Vulnerability Note VU#30308
    lpd hostname authentication bypassed with spoofed DNS
    http://www.kb.cert.org/vuls/id/30308

    CERT/CC Vulnerability Note VU#39001
    lpd allows options to be passed to sendmail
    http://www.kb.cert.org/vuls/id/39001



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用ください。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPox1ay4slNTtAQFxEQQAy+9eXtNr6E6laCao0acj1tgcPmtfjbvZ
QYAeNhjlfgvUbOmfR2EiO231VNahzn9AH1W5qNhi88j0JLAwTtmsIbc7EOTa5EdD
U+tY3iCQ4Oq0nqmSHjlzm5KZBJjqddjy2HnND+zS9IUD/KpsLSlsJCGG8rmTvlom
UvIY0Xs1GtU=
=o13V
-----END PGP SIGNATURE-----