-----BEGIN PGP SIGNED MESSAGE-----

各位

JPCERT-AT-2005-0009
JPCERT/CC
2005-10-19

<<< JPCERT/CC Alert 2005-10-19 >>>

Snort Back Orifice preprocessor の脆弱性に関する注意喚起

Buffer overflow in Snort Back Orifice preprocessor

http://www.jpcert.or.jp/at/2005/at050009.txt

I. 概要

Snort に標準で含まれる Back Orifice preprocessor にはバッファオーバー
フローの脆弱性があります。結果として、遠隔から第三者が管理者権限を取得
し、任意のコードを実行する可能性があります。


II. 対象

Snort versions 2.4.0 - 2.4.2
Sourcefire Intrusion Sensors

その他に Snort または Snort コンポーネントを使用する製品が影響を受け
る可能性があります。


III. 対策

各 OS のベンダや配布元などが提供する対策済みソフトウェアへのアップデー
ト、または設定変更を行ってください。

- 対策済みソフトウェアへのアップデート
以下の URL より対策済みソフトウェアを入手して適用してください。
Snort Downloads
http://www.snort.org/dl/

　- Snort Back Orifice preprocessor の停止
Snort Back Orifice preprocessor を無効にすることにより、この脆弱性
に対処することが可能です。ただし、これにより Snort センサは Back
Orifice による通信の検出や防止を行わなくなります。以下の手順により
Snort Back Orifice preprocessor を無効にすることができます。

1. snort.conf をエディタで開く
2. "preprocessor bo" の行を "#" でコメントアウトする
3. ファイルを保存する
4. snort を再起動する


IV. 参考情報

US-CERT Technical Cyber Security Alert TA05-291A
Snort Back Orifice Preprocessor Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA05-291A.html

US-CERT Vulnerability Note VU#175500
Buffer overflow in Snort Back Orifice preprocessor
http://www.kb.cert.org/vuls/id/175500

JP Vendor Status Notes JVNTA05-291A
Snort Back Orifice Preprocessor にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA05-291A/

JP Vendor Status Notes JVNVU#175500
Snort Back Orifice プリプロセッサにバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23175500/

ISS Advisory - Snort Back Orifice Parsing Remote Code Execution
http://xforce.iss.net/xforce/alerts/id/207

Sourcefire Network Security
http://www.sourcefire.com/


今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ1Wqnox1ay4slNTtAQGtYQP/eQHthwrP2gdgAzginQn6GRqswkAavDmN
ErgOaVU6ukeLXNhUnJDKmEJG6x8MYMANZVHHvj3b9le+IWcO+vohEBTOtIwn5oKY
ss0reM8bhJZDKFxaagLmfO0cIMlY3eIA2vu0stsDywgtZXKe79tJuL1mnmjtHX3m
2yTfbh4cbfU=
=cAgE
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----

JPCERT-WR-2005-4101
JPCERT/CC
2005-10-19

<<< JPCERT/CC REPORT 2005-10-19 >>>

これは JPCERT/CC が 10/9(日) から 10/15(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Windows 関連製品の脆弱性

US-CERT Technical Cyber Security Alert TA05-284A
Microsoft Windows, Internet Explorer, and Exchange Server Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA05-284A.html

US-CERT Cyber Security Alert SA05-284A
Microsoft Windows, Internet Explorer, and Windows Media Technology Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA05-284A.html

US-CERT Vulnerability Note VU#214572
Microsoft Plug and Play fails to properly validate user supplied data
http://www.kb.cert.org/vuls/id/214572

US-CERT Vulnerability Note VU#883460
Microsoft Collaboration Data Objects buffer overflow
http://www.kb.cert.org/vuls/id/883460

US-CERT Vulnerability Note VU#922708
Microsoft Windows Shell fails to handle shortcut files properly
http://www.kb.cert.org/vuls/id/922708

US-CERT Vulnerability Note VU#995220
Microsoft DirectShow buffer overflow
http://www.kb.cert.org/vuls/id/995220

US-CERT Vulnerability Note VU#180868
Microsoft Distributed Transaction Coordinator vulnerable to buffer overflow via specially crafted network message
http://www.kb.cert.org/vuls/id/180868

US-CERT Vulnerability Note VU#950516
Microsoft COM+ contains a memory management flaw
http://www.kb.cert.org/vuls/id/950516

US-CERT Vulnerability Note VU#959049
Several COM objects cause memory corruption in Microsoft Internet Explorer
http://www.kb.cert.org/vuls/id/959049

US-CERT Vulnerability Note VU#680526
Microsoft Internet Explorer allows non-ActiveX COM objects to be instantiated
http://www.kb.cert.org/vuls/id/680526

CIAC Bulletin Q-009
Vulnerabilities in MSDTC and COM+
http://www.ciac.org/ciac/bulletins/q-009.shtml

CIAC Bulletin Q-010
Vulnerability in the Microsoft Collaboration Data Objects
http://www.ciac.org/ciac/bulletins/q-010.shtml

CIAC Bulletin Q-011
Vulnerability in DirectShow Could Allow Remote Code Execution
http://www.ciac.org/ciac/bulletins/q-011.shtml

CIAC Bulletin Q-012
Cumulative Security Update for Internet Explorer
http://www.ciac.org/ciac/bulletins/q-012.shtml

CIAC Bulletin Q-013
Vulnerabilities in Windows Shell Could Allow Remote Code Execution
http://www.ciac.org/ciac/bulletins/q-013.shtml

CIAC Bulletin Q-014
Client Service for NetWare Could Allow Remote Code Execution
http://www.ciac.org/ciac/bulletins/q-014.shtml

CIAC Bulletin Q-015
Vulnerability in Plug and Play
http://www.ciac.org/ciac/bulletins/q-015.shtml

Microsoft Windows 関連製品のいくつかには、バッファオーバーフローをはじ
めとした複数の脆弱性があります。結果として、遠隔から第三者が管理者権限
を取得するなど、様々な影響を受ける可能性があります。対象となる製品およ
びバージョンの詳細については上記文書および下記関連文書をご参照ください。

この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ
とで解決します。

なお、この更新プログラムを適用することで不具合が発生する場合があること
が知られています。不具合および対処方法の詳細については以下の文書を参照
してください。

Microsoft サポートオンライン
http://support.microsoft.com/kb/909444
http://support.microsoft.com/kb/908620

関連文書 (日本語)
JP Vendor Status Notes JVNTA05-284A
Microsoft Windows, Internet Explorer, Exchange Server に関する脆弱性
http://jvn.jp/cert/JVNTA05-284A/

2005 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms05-oct.mspx

マイクロソフト セキュリティ情報
DirectShow の脆弱性により、リモートでコードが実行される (904706) (MS05-050)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-050.mspx

マイクロソフト セキュリティ情報
MSDTC および COM+ の脆弱性により、リモートでコードが実行される (902400) (MS05-051)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-051.mspx

マイクロソフト セキュリティ情報
Internet Explorer 用の累積的なセキュリティ更新プログラム (896688) (MS05-052)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-052.mspx

マイクロソフト セキュリティ情報
NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される (899589) (MS05-046)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-046.mspx

マイクロソフト セキュリティ情報
プラグ アンド プレイの脆弱性により、リモートでコードが実行され、ローカルで特権の昇格が行なわれる (905749) (MS05-047)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-047.mspx

マイクロソフト セキュリティ情報
Microsoft Collaboration Data Objects の脆弱性により、リモートでコードが実行される (907245) (MS05-048)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-048.mspx

マイクロソフト セキュリティ情報
Windows シェルの脆弱性により、リモートでコードが実行される (900725) (MS05-049)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-049.mspx

マイクロソフト セキュリティ情報
Windows FTP クライアントの脆弱性により、ファイルの転送場所が改ざんされる (905495) (MS05-044)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-044.mspx

マイクロソフト セキュリティ情報
ネットワーク接続マネージャの脆弱性により、サービス拒否が起こる (905414) (MS05-045)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-045.mspx


[2] VERITAS NetBackup の Java ユーザインタフェースの脆弱性

CIAC Bulletin Q-018
VERITAS NetBackup Java User Interface Format String Vulnerability
http://www.ciac.org/ciac/bulletins/q-018.shtml

VERITAS NetBackup の Java ユーザインタフェース認証サービスには、フォー
マット文字列処理に脆弱性があります。結果として、遠隔から第三者が管理者
権限を取得する可能性があります。対象となるのは以下の製品です。

- VERITAS NetBackup Data and Business Center 4.5 FP/MP
- VERITAS NetBackup Enterprise/Server/Client 5.0, 5.1, 6.0

この問題は、VERITAS の提供するセキュリティアップデートを適用することで
解決します。

関連文書 (英語)
VERITAS Software Alerts Document ID: 279085
http://support.veritas.com/docs/279085

Symantec Security Response SYM05-018
VERITAS NetBackup: Java User-Interface, format string vulnerability
http://securityresponse.symantec.com/avcenter/security/Content/2005.10.12.html


[3] OpenSSL の脆弱性

CIAC Bulletin Q-007
OpenSSL Potential SSL 2.0 Rollback
http://www.ciac.org/ciac/bulletins/q-007.shtml

OpenSSL の SSL/TLS サーバ実装を使用しているアプリケーションには、
SSL_OP_MSIE_SSLV2_RSA_PADDING オプションを有効にしている場合に脆弱性が
あります。結果として、クライアントとサーバの双方が SSL 3.0 や TLS 1.0
を実装していても、その間の通信を遠隔から第三者が強制的に SSL 2.0 プロ
トコルに変更する可能性があります。

※ SSL 2.0 プロトコルには暗号方式の決定の際に、第三者によって通信経
路上で改ざんを受けて暗号強度を落とされる可能性があることが知られ
ています。

対象となる OpenSSL は以下のバージョンです。

- OpenSSL 0.9.7h および OpenSSL 0.9.8a より前の全てのバージョン

この問題は OpenSSL を以下のバージョンに更新することで解決します。

- OpenSSL 0.9.7h またはそれ以降の 0.9.7 ブランチ
- OpenSSL 0.9.8a またはそれ以降の 0.9.8 ブランチ

また OpenSSL の機能 (ライブラリ) を静的にリンクしているアプリケーショ
ンの場合は、OpenSSL を更新後にアプリケーション自体を再リンクする必要が
あります。

関連文書 (日本語)
OpenSSL におけるバージョン・ロールバックの脆弱性
http://jvn.jp/jp/JVN%2323632449/

関連文書 (英語)
OpenSSL Security Advisory [11 October 2005]
Potential SSL 2.0 Rollback (CAN-2005-2969)
http://www.openssl.org/news/secadv_20051011.txt


[4] Internet Week 2005 パシフィコ横浜会議センター (12/6-12/9)
ネットワーク技術者 集結! ご登録受付中! 事前登録優待がございます。
詳細は http://internetweek.jp/ へ

Internet Week はインターネットオペレータ、エンジニアを中心対象として技術
の習得や最新動向のキャッチアップに役立つセッションを多数ご用意していま
す。いよいよプログラムの公開と事前登録を開始いたしました。プログラムの詳
細は上記 Web をご参照ください。

今回 JPCERT/CC は、特定非営利活動法人日本ネットワークセキュリティ協会
(JNSA) と財団法人日本データ通信協会テレコム・アイザック推進会議
(Telecom-ISAC Japan) と共催でカンファレンス「Security Day」を 12/8(木)
に行ないます。カンファレンスの詳細については、以下の関連文書をご参照くだ
さい。

関連文書 (日本語)
Security Day ここだけの話〜あなたはどう考えますか？〜
　 http://internetweek.jp/program/shosai.asp?progid=C6



[今週の一口メモ]

* 設定更新作業時の作業漏れに注意

システムの設定更新/変更後に、その設定の保存し忘れやバックアップ漏れの
ために、次の再起動時や復旧作業後に、新しい設定が反映されない場合があり
ます。

例えば、新しいサーバプログラムを有効にした場合に、OS 起動時に自動的
にそのサーバプログラムも起動するように設定しなければならないのを忘れ
てしまうケースは多々見受けられます。

特にセキュリティにかかわる設定の場合は、次の起動時に前の設定に戻ってし
まうことで、外部からの攻撃に対して無防備になり、侵入などのインシデント
による被害が発生する危険性があります。またこのような場合は、設定を更新
したという認識があるため、かえってインシデントの発見やインシデントの原
因究明に時間を要してしまう可能性もあります。

設定変更時の作業内容については、あらかじめ手順を整理しておき、保存のし
忘れやバックアップ漏れがないように充分に注意することが推奨されます。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ1WMqox1ay4slNTtAQE4vAQAvY84OL4zh0Q3LM6b1HQuDE17Syh/Z0NF
ny44Hh1MDc9EpO4X/YNUGFJUafQW4biMTYxBZZjRN7sAwKMlKEU1s6VYvHk/Cf/L
+857sv/hnXWqtwr6lqvandf6dqtZQgXRkL6EbTeMA4Rrp6psYsuHX46tBkSdoKeQ
9nDpGUgAnN8=
=BTys
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

==============================================================
I feel like I'm waiting on some event
before I grow up. Please wake me up
so I don't miss it.
-- anonymous
==============================================================
Release Announcements
=====================

This is a preview release of the Samba 3.0.21 code base and
is provided for testing only. This release is *not* intended
for production servers. There has been a substantial amount
of development since the 3.0.20 stable release series. We
would like to ask the Samba community for help in testing
these changes as we work towards the next official, production
Samba 3.0 release.

Common bugs fixed in 3.0.21pre1 include:

o Missing groups in a user's token when logging
in via kerberos
o Incompatibilities with newer MS Windows hotfixes
and embedded OS platforms

New features introduced in Samba 3.0.21pre1 include:

o Complete NTLMv2 support by consolidating
authentication mechanism used at the CIFS and
RPC layers.
o The capability to manage Unix services using
the Win32 Service Control API.
o The capability to view external Unix log files
via the Microsoft Event Viewer.
o New libmsrpc share library for application
developers.
o Rewrite of CIFS oplock implementation.


smb.conf changes
================

Parameter Name Action
-------------- ------
eventlog list New
iprint server New
map read only New
rename user script New
svcctl list Renamed from 'enable svcctl'


================
Download Details
================

The uncompressed tarball and patch files have been signed
using GnuPG (ID F17F9772). The source code can be
downloaded from:

http://download.samba.org/samba/ftp/

The release notes are available online at:

http://www.samba.org/samba/ftp/pre/WHATSNEW-3-0-20pre1.txt

Binary packages are available at

http://download.samba.org/samba/ftp/Binary_Packages/

Our Code, Our Bugs, Our Responsibility.
(https://bugzilla.samba.org/)

--Enjoy
The Samba Team
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFDVWJ4IR7qMdg1EfYRAoFVAKDPIUB/r4n0Oej3UQHvoP3pMUE8ggCgt0Yd
0FvWlNDYogC0tAodrhE8wSk=
=5dCh
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


National Cyber Alert System

Technical Cyber Security Alert TA05-291A


Snort Back Orifice Preprocessor Buffer Overflow

Original release date: October 18, 2005
Last revised: --
Source: US-CERT


Systems Affected

* Snort versions 2.4.0 to 2.4.2
* Sourcefire Intrusion Sensors

Other products that use Snort or Snort components may be affected.


Overview

The Snort Back Orifice preprocessor contains a buffer overflow that
could allow a remote attacker to execute arbitrary code on a
vulnerable system.


I. Description

Snort is a widely-deployed, open-source network intrusion detection
system (IDS). Snort and its components are used in other IDS
products, notably Sourcefire Intrusion Sensors, and Snort is
included with a number of operating system distributions.

Snort preprocessors are modular plugins that extend functionality
by operating on packets before the detection engine is run. The
Back Orifice preprocessor decodes packets to determine if they
contain Back Orifice ping messages. The ping detection code does
not adequately limit the amount of data that is read from the
packet into a fixed-length buffer, thus creating the potential for
a buffer overflow.

The vulnerable code will process any UDP packet that is not
destined to or sourced from the default Back Orifice port
(31337/udp). An attacker could exploit this vulnerability by
sending a specially crafted UDP packet to a host or network
monitored by Snort.

US-CERT is tracking this vulnerability as VU#175500. Further
information is available in an advisory from Internet Security
Systems (ISS).


II. Impact

A remote attacker who can send UDP packets to a Snort sensor may be
able to execute arbitrary code. Snort typically runs with root or
SYSTEM privileges, so an attacker could take complete control of a
vulnerable system. An attacker does not need to target a Snort
sensor directly; the attacker can target any host or network
monitored by Snort.


III. Solution

Upgrade

Sourcefire has released Snort 2.4.3 which is available from the
Snort download site. For information about other vendors, please
see the Systems Affected section of VU#175500.

Disable Back Orifice Preprocessor

To disable the Back Orifice preprocessor, comment out the line that
loads the preprocessor in the Snort configuration file (typically
/etc/snort.conf on UNIX and Linux systems):

[/etc/snort.conf]
...
#preprocessor bo
...

Restart Snort for the change to take effect.

Restrict Outbound Traffic

Consider preventing Snort sensors from initiating outbound
connections and restricting outbound traffic to only those hosts
and networks that have legitimate requirements to communicate with
the sensors. While this will not prevent exploitation of the
vulnerability, it may make it more difficult for an attacker to
access a compromised system or reconnoiter other systems.


Appendix A. References

* US-CERT Vulnerability Note VU#175500 -
<http://www.kb.cert.org/vuls/id/177500>

* Fixes and Mitigation Instructions Available for Snort Back
Orifice Vulnerability -
<http://www.snort.org/pub-bin/snortnews.cgi#99>

* Snort downloads - <http://www.snort.org/dl/>

* Snort 2.4.3 Changelog -
<http://www.snort.org/docs/change_logs/2.4.3/Changelog.txt>

* Preprocessors -
<http://www.snort.org/docs/snort_htmanuals/htmanual_2.4/
node11.html#SECTION00310000000000000000>

* Snort Back Orifice Parsing Remote Code Execution -
<http://xforce.iss.net/xforce/alerts/id/207>


____________________________________________________________________

This vulnerability was researched and reported by Internet Security
Systems (ISS).
____________________________________________________________________

The most recent version of this document can be found at:

<http://www.us-cert.gov/cas/techalerts/TA05-291A.html>
____________________________________________________________________

Feedback can be directed to US-CERT Technical Staff. Please send
email to <cert@cert.org> with "TA05-291A Feedback VU#175500" in the
subject.
____________________________________________________________________

For instructions on subscribing to or unsubscribing from this
mailing list, visit <http://www.us-cert.gov/cas/signup.html>.
____________________________________________________________________

Produced 2005 by US-CERT, a government organization.

Terms of use:

<http://www.us-cert.gov/legal.html>
____________________________________________________________________


Revision History

Oct 18, 2005: Initial release


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iQEVAwUBQ1VB130pj593lg50AQLY6wf+Kq/rI3wxG4rGr+OdVrpl3v+TfTMp6MX3
T0e99ybRSGKeWQCleMQYdBYrS+7UyCa28T1yE8ENe4SuYLPj7ttTqpd0AGxn7f8H
+qOY0GnJwXvrWlKCfVtAhjo5JFDxgZQV9P/13MwjcsJrGTtHzhuJ8YZc4RtSMyVX
4nf2s4Nymjd2+jIEX9BnwRIe/E47TRdFLSsza36mhKZLZV1lxLdJYywCZSsQLWNM
nL9gohRojR/6wQk8sLjef8LCv2JFu3btsqrrblcTWqfB6GhVR9OSUBhL+b8P/mme
jVd9eE0OS5v8rzhaEMiYIMI+pEZEpATj4BnVoLwPkLAoD6ObGJKHkQ==
=jjID
-----END PGP SIGNATURE-----