Windows XP、UPnPがらみで脆弱製発覚 54
ストーリー by Oliver
よくある事 部門より
よくある事 部門より
wai2pulser 曰く、 "ZDNetのこの記事によると、「これまでで最悪のセキュリティホール」が見つかった模様。すでにパッチはMicrosoftのサイトから配布されている。
コントロールを完全に奪うんですか。機能が増えて便利で簡単になる事で、穴が増えるのはしょうがないのでしょうか。こういった機能は標準でオフになっているべきなんでしょうけど、9x系とNT系を合流させようとしているXPの客層を考えると、オンにしておかざるを得ないような気もします。かといって、標準でオンになっていないと怒るタイプの方々は、こういった情報のリリースも見ている人が多いとは思えないですし。判断が難しいところですね。"
MS01-059システム権限で動くUPnPサービス内のシンプルなバッファオーバフロー。ここまではよくある話なので、メディアが盛大に煽っているだけなのが、いかんせ穴を持っているマシンの数がすごく多そうなので、すぐにガキンチョでも使える悪用ツールが蔓延するんだろうな。もうひとつもUPnP関係で簡単に他人のマシンをDDoSの攻撃ツールと化してしまうもの。こわっ。
最悪 (スコア:2)
Re:最悪 (スコア:2)
Re:最悪 (スコア:1)
セキュリティホール横断ウイルスとかかなりイヤですが。
#穴が増えれば必然的に横断する規模も大きくなるから必ず新種は史上最大か…
Re:最悪 (スコア:1)
最悪の状況とは往々にしてタチの悪い冗談に聞こえる
といったのは誰か忘れましたが、ぱっと浮かびまして。まさにこのことかと。
Sin
Re:最悪 (スコア:1)
まるでドラゴンボールだ (スコア:1, おもしろおかしい)
ドラゴンボールみたいに次から次へとすごいのが登場しているような気がするね!
でも導入する前にこういった情報が手に入るのはありがたいね。
導入時には気をつけようっと。
Re:まるでドラゴンボールだ (スコア:1)
どうしましょう?
そもそも導入を考えなきゃ良いのか。。。
Re:まるでドラゴンボールだ (スコア:0)
Re:まるでドラゴンボールだ (スコア:1)
と言う前に、枯れる前に引退させられるだろうからなぁ。
Re:まるでドラゴンボールだ (スコア:0)
ってコトワザなかったですか?(笑)
最悪の事態ではない (スコア:1)
だって、発売してまもなく見つかったんだから。むしろ、ある意味ラッキーかも。
# しかし、今後も同様のがないという保証は全然ないが。
# ところで、"脆弱製"ってわざと?
製品は最悪ではないかも知れないが (スコア:2)
Re:製品は最悪ではないかも知れないが (スコア:1, おもしろおかしい)
Re:最悪の事態ではない (スコア:0)
実際。 (スコア:1)
脆弱性?
というツッコミはさておき。
(lac.co.jpさんでもちょっと前に取り上げていたヤツかな?)
消費者の殆どはアップデートなどしませんね。
家電やゲーム機と同じように電源入れれば動くものと思っていますから。
ちなみにUPnPは以下参照。
http://japan.cnet.com/Help/manual/0672.html
http://www4.nikkeibp.co.jp/NCC/nccnews/ncc518.html
p.s.
年末にかけて管理から手が離れるサーバーで
IISを利用されている方、MS01-044もお忘れなく:P
p.s.2
最近乱文だなぁ・・・
で、動いているの?UPnP (スコア:2)
>IISを利用されている方、MS01-044もお忘れなく:P
1時間に何本もやってきますから、年末で待たなくたって感染しますよ。
Re:で、動いているの?UPnP (スコア:1)
Re:で、動いているの?UPnP (スコア:2)
ssdp 5000/tcp # SSDP web-XML parser for Universal Plug & Play
開いていました。ありがとうございます。
年内の最後のルータ変更依頼を行っておこう。
#サービスはとまっていても起動時に、239.255.255.250 ポート 1900/UDPパケットが送信されるんですね。
その口を塞げ (スコア:1)
# そうすればみんながアップデートする必要もない?
Re:実際。 (スコア:1)
> 家電やゲーム機と同じように電源入れれば動くものと思っていますから。
XPプリインストールパソコンを買った多くの人達はこのことを知らないのでは?
Alizとか、Badtransのときも感染してしまい、友人とかから指摘されるまで、
気づかなかった人は多かったようですし。
# これを悪用したワームがそのうちでてくるんでしょうね。
CNNのニュース (スコア:1)
この話と同じ話なんでしょうか?
これだけじゃなんのことやらさっぱりわかりません。
Kiyotan
マスコミに踊らされすぎ (スコア:1, オフトピック)
UPnP の問題は、MS01-054 のバリエーションです。この件はすでに 11/2 に出ており、当然その時点で Windows XP は対象です。この時点では DoS のみでしたが、今回重要度が上がっただけですね。
#異常終了するという時点で、MS がなんと言おうと重要度が高い問題であることは分かっていたわけですし。
はっきり言って雑誌の記者は、特にこういう技術関係ではダメダメです。前後関係を調べていないのは、まぁ新聞もそうですが、どうしようもない。まぁそれはそれで仕方がないことですが、だめなものを真似したってやっぱり仕方がない。/.-J だとせめて前後関係の裏ぐらいはとってください。MS の Security 情報をとっている人なんて周りにいくらでもいるでしょ。
だってここは・・・ (スコア:3)
こういう発言がオフトピックになる時点で、すでに偏っているわけで、別に偏っているのも悪くないと思いますよ。MSだってこういうサイトチェックしている訳だし、企業に苦言を呈するコミュニティはあった方がよいですよ。ま、一歩間違うと戦争大好きなあの国のシルバー圧力団体みたいになりかねませんがね。
Re:だってここは・・・ (スコア:1, すばらしい洞察)
が多いとおっしゃりたいようですが、
『「MSが嫌い」だから「Linuxの方が好き」な人』
の方が多いのでは?
Re:だってここは・・・ (スコア:1)
誰が飯喰ってるんだろう...「ような」が比喩だとすると、具体的にどういうコトを指してる? >「飯喰ってるような」
# ウサ晴らしてるのは確かだが ;-p
Re:マスコミに踊らされすぎ (スコア:1, オフトピック)
"Quidquid latine dictum sit, altum videtur."
Re:マスコミに踊らされすぎ (スコア:0, オフトピック)
Re:マスコミに踊らされすぎ (スコア:0, オフトピック)
Re:マスコミに踊らされすぎ (スコア:2)
"Quidquid latine dictum sit, altum videtur."
Re:マスコミに踊らされすぎ (スコア:0)
NetNewsのmoderatorと勘違いしていると思われ。
Re:マスコミに踊らされすぎ (スコア:1)
Re:マスコミに踊らされすぎ (スコア:0)
っていうか外してます。まず、FAQを読んでください。
で、これって結構怖いバグじゃないのでしょうか?
FWがあれば安全とかいう問題ではないですね。
#危険度が上がっただけだけとかそういう話は論外
Nimdaの時なんかはなにも知らないADSLユーザとかが
大量に感染していたし、XPプレインストールマシンとかを
何の気なしに使っているエンドユーザとかかなり危ないですよね。
そういう意味ではマスコミに踊らされるもなにも、
セキュリティとか全然考えてなくて、脆弱性とかバグとか言っても
なにそれ?って言うようなエンドユーザな方々に広く知らしめるため
Re:マスコミに踊らされすぎ (スコア:0)
異常終了ごときで慌ててたらWindowsユーザなんてやっとれんという話もありますが。
日常の異常終了と、問題のある異常終了を見分けられるようにならないと、立派なWindowsユーザにはなれんということか・・・。
というのはさておき、マスコミがよくわかってなくて煽ってるという意見には同意。
ただ、灰色のネタをこの場所で叩いて吟味できるってのはありがたいので、「モデレータ(ではないけど)がステろ」という意見には同意できない。
だって、俺ら全員がばらばら
いいなぁ~ (スコア:1, すばらしい洞察)
俺もスリルを味わうためにWin専用マシン組もうかな。。。。
Re:いいなぁ~ (スコア:1)
ADSLでつなぎっぱなしにしておけば・・・・
問題は運用ですよね。って、一般向けのOSでこのレベルは困りましたね。
AMIGA4000T(60/50)使い
UPnPはやっぱり余計だったか? (スコア:1)
した時に発見して、あまりの気持ち悪さに遮断に設定しました。InternetSecurity
はしばらくたってから鬱陶しいのとVB ScriptSupportがないと設定が出来ない
というのがなんだかイヤでuninstallしてしまったので、役にたったのは後にも先にも
SSDPを発見したことだけだったんですが(笑)
(とりあえずルータはSSDP止めるように設定してます)
InternetSecurityって普段はあまり役に立たないですけど、ルータ(Firewall)の
設定の時にアプリが使うportを調べるたりするのには結構便利なツールですね。
(どの実行ファイルがportを使おうとしたのか分かるから)
#それにしても、なんでMeからはデフォルトでonにしてしまったんでしょうね。
10 GOSUB *HELL
そんなあなた(ノートンセンセの生徒さん)につける薬 (スコア:1)
netstatコマンド。
あるとすれば、コマンドプロンプトからnetstat /? でヘルプが出ます。
実はNT 系は、一通りのネットワーク系コマンド(意味不明な表現^^;)が使えるのですよ。…ってーかXP-pro なら簡易FW 自前です(HE では未確認です)。
使い方間違わなきゃ、そんなに悪くないんですよ。>M$
不正アクセス禁止法が施行されてからというもの、
個人ユーザの吐き出しているワームだって法に触れる(ホールを利用してでも、利用者の許可無くログインに成功すれば)わけですから(節穴法律万歳 ^-^/~ )「自分の無知や管理責任をM$ の責任に転嫁するのは筋違い」というべきで、そもそも、自分の選択と運用を間違っていたと知るべきです。
# 世に完璧なOS があるのなら教えて欲しいです。
# あるのは比較的マシ(コレは各個人の主観です)な物ばかりです。
(Free な) pc-unix 信奉者は無料のOS だからとか、自分がOS にコミットできるからって理由でM$ に対する評価よりpc-unix に対する評価が甘いのですよ。
実際、FreeBSD のセキュリティ・アドバイザリ を見てると「リモートマシンのroot 権限奪取」っていう致命的な問題は結構多いです(ユーザランドで共通の物を利用してればLinux やsolaris も右にならえです)。
たまたま、利用率の高いサーバやアプリケーションでそういった致命的なバグが露呈しないだけではないかと。
# だからネットワーク・インフラのメンテナ(管理者)としての権限と
# 食い扶持があるのだが…(ホール万歳…ウソです…笑
Re:そんなあなた(ノートンセンセの生徒さん)につけ (スコア:1, 参考になる)
Re:そんなあなた(ノートンセンセの生徒さん)につけ (スコア:1)
なら常識でしょう(笑) それでもネットワークに繋ぐ
需要があるからいろいろとやってみるわけです。
>netstat
netstatだと発生した瞬間を捕らえられないし(それは
隣のマシンでtcpdumpなりiplogなりsnortなり使えば済む
けど)どのプログラムがportを使ったのか分からないで
しょう? そーいうのを調べるのに使えるわけですよ。
#それともNT系だと実装が違う?
>使い方間違わなきゃ、そんなに悪くないんですよ。
つまり、最初からnetworkに繋ぐなと。
#身も蓋も無いなぁ……(笑)
10 GOSUB *HELL
Re:そんなあなた(ノートンセンセの生徒さん)につけ (スコア:0)
そもそも、自分の選択と運用を間違っていたと知るべきです。
まったくそのとおり。
「この魚は完璧、ぜったいに中毒しません。」と言って売られてるのと、
「注意:魚の生食はすべからく食中毒や寄生虫のリスクを伴います。中毒しないためには・・・」と言って配布されてるのがある。
(仮に)その両者の品質に差はないとする。
よくわかってない人は前者を買って、言葉に安心して食べてたまに中毒する。
よくわかってる人は、後者を入手して、それなりの対策を施して食べる。(こちらも、やっぱりそれなりにリスクはある)
patch-kitの方が楽じゃないかと。 (スコア:1)
patch 集めて当てるのは大変でしたが、HotFixみたいに何度も再起動しなきゃいけない、なんてことはないから(笑)
# 386BSDの頃はPC-98x1ユーザーだったんで、自分で当てる苦労は良く知りませんが。
HFNetChk [microsoft.com]のおかげで、HotFix の当たり具合を調べるのは大分楽になったけど、データベースの更新頻度がHotFixの提供に追いついてないのが玉に瑕。HotFixのリリース管理と一緒にデータベースの更新くらい出来んのでしょうかねぇ、この会社は。
せめてHotFixのダウンロードだけでも、Debianのapt-getとかみたいにコマンド一発でできるようにして欲しいもんです>MS
# 当てるのまで自動にすると、きっと新しい「穴」になるから止めてくれ(笑)
Re:patch-kitの方が楽じゃないかと。 (スコア:1, 参考になる)
port139 とかでも紹介されてると思うんですが、QCHAIN.EXE を使うと何度も再起動せずに一気に Patch を当てられますよ。
>HFNetChk [microsoft.com]のおかげで、HotFix の当たり具合を調べるのは大分楽になったけど、データベースの更新頻度がHotFixの提供に追いついてないのが玉に瑕。HotFixのリリース管理と一緒にデータベースの更新くらい出来んのでしょうかねぇ、この会社は。
英語版のデータベースは更新が同期していたと思うけどなぁ。
どっからの情報化は忘れてしまいましたが...。
# 引数なしで実行すると「英語版の」最新データベースをダウンロードしてくるしね。
Re:patch-kitの方が楽じゃないかと。 (スコア:1)
つーか、じゃあ何のためのWindows Updateだよ、と思うのは俺だけ?
こうしてほしい (スコア:1)
でもそうすると、いつまでたってもアクティベートできないか・・・。
okome
気のせい? (スコア:0)
こんなのが現れ始めて徐々に増えてるんですが。
kernel: Packet log: eth-in DENY eth1 PROTO=17
***.***.***.***:1026 239.255.255.250:1900
L=125 S=0x00 I=6 F=0x0000 T=3 (#22)
まさか、UPnPってデフォルトOFFなのにパッチ当てると
ONになっちゃうなんてことないですよね?
Re:気のせい? (スコア:2)
incidents.orgに、(多分)このあたりの分析 [incidents.org]が出てます。
Re:気のせい? (スコア:1)
サービスが動いてしまいます。
スタートアップの種類を「無効」にしないと駄目みたいです。
パッチをあてた後なので、その前からこうなっていたのかは
不明です。
やっぱり (スコア:0)
(違
Re:やっぱり (スコア:1)
きっと脅威の速度なんだろうな。
# でもいらない。(笑)
(´д`;)
Re:やっぱり (スコア:1)
>
> きっと脅威の速度なんだろうな。
ウチにCeleron 700でWindows 95を動かしているPCが1台
ありますが,IE4の感染をセットアップ時に防止してあるだけ
でなく,IE5以降も入れてないのでIEのセキュリティホールと
無縁なのにWin32アプリが動きます.で,Windows Meを動か
せばちと辛そうなスペックなのに当然超特急で動作しますし,
Windows 2000 Proには及びませんがWindows 98に比べれば
遥かに安定してます.他にWindows 2000 Proとデュアルブート
なPentium III 1GHzもありますが,こっちでWindows 95を
動かしても体感的にはCeleron 700と大差ないです.(^_^;
# ちなみにWindows 98と98SEは不安定で重いだけでなく,
# メモリ管理の問題でキャッシュが肥大してスワップする
# のを回避するのも面倒なんで,Windows 95以前に引退
# させてしまいました.でも会社では主流なんだよなぁ….
# 個人的にはWindows 98を仕事で使うというのはサボって
# いるのに近いとしか思わないんですが.