【警告】「lizamoon」マルウェア感染仕組み＋SQLインジェックション攻撃が今現在も未だ行っている最中

今朝からlizamoon.comのDNS登録情報がハッキングされました、元は下記のDNS登録情報でしたが↓


ハッキングされてから下記の登録情報になりました↓


この攻撃の続きはマルウェア感染仕組みになります。偽lizamoonのAレコードには「ur.php」のマルウェアのスクリプトを入れられました。
感染仕組みは色んなウェブページからの「ur.php」ページへアクセスが出来る様にハッカーが考えて、最近発見されたSQLインジェックションを使ってハッカーが色んなサイトで攻撃をかけて、ハッキングが出来たページに「lizamoon.com/ur.php」のリンクを入れました。

最初のアラートが出た時に攻撃されたのサイト数は大体28,000以上ページと報告されておりますが、このブログを書いた時に112,000ページの結果が出てました。下記の画像ではレコード数と感染されたURL情報を確認が出来ます↓


因みに、詳しくur.phpスクリプトの中身をみたら、obfuscated javascriptで書いマルウェアスクリプトを確認が出来ました。分散したらプロセスはこんな感じです⇒先ずはユーザのブラウザ情報を取ってたらユーザがマルウェアウェブサイト（h●●●://defender-uqko.in）に飛ばされてしまいます。そのマルウェアページは偽アンチウイルスソフトと偽セキュリティーアラートのマルウェアが発見されました。

問題なのは感染されたページの中にはitunes.apple.com（Apple iTunesの曲ダウンロードページ）も見つかります、詰りitunes.apple.comのサイトも本件のSQLインジェックションに攻撃されてました。確認の為に画像を取って、下記となります↓


但し、itunes.apple.comのサイトのポリシーで本件のスクリップトが実行が出来ませんという仕様ですので、itunesユーザが本件のマルウェア感染リスクが少ないです。

本件のハッキング目的は未だ不明です。確かに2年前同じSQL攻撃パターンが発見されたので、その時にクレジットカード情報が沢山取られてしまいましたから、恐らく今回も同じ目的じゃないかと思われます。

追加情報↓
1. つい最近を確認しましたのでlizamoon.comのDNS登録情報が元に戻されました。
2. 転送先のマルウェアサイト（h●●●://defender-uqko.in）もダウンした状況になりました。
3. 感染された数は現在130,000ページ以上超えました。

4月1日の追加情報↓
今日迄に500Kページ以上感染されております↓
http://isc.sans.edu/diary.html?storyid=10642&rss

---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
研究者：アドリアン・ヘンドリック
Sponsored by: 株式会社ケイエルジェイテック
Tweet

【マルウェア情報】 調査結果「MyWebFace」バックドアーアドウェア【対応済み】

最近、ツイッターのおかげで、顔の写真から顔の漫画を作れるようなソフトが流行っているみたいですね。マルウェア種類もこのトレンドに乗って色々出てきたみたいですね。
さっき色々感染レポートを見たら「MyWebFace.exe」とのマルウェアに感染された方々が多いので、サンプルも取れたから調査しました。本件のマルウェアですが、リファレンスが少ない、大きいマルウェア対策メーカー達から情報が少ないので、今調べた結果をここで書きました↓

このサイトからダウンロードの物です↓

※TIPS↑上記画像に書いたURL情報とウェブ検索キーワードをご注意下さい！

ダウンロード情報はこんな感じで↓

※注意点は↑上記の画像に書いたダウンロードサーバドメインです。
----------------------------------------------------------------------
exeを実行したら下記のプロセスが起動されております↓
----------------------------------------------------------------------
1. ファイルをc:\program files\funwebproductsとc:\program files\funwebproducts\にコピーされています。

2. c:\program files\funwebproducts\Installr\setupsの中にFirefoxのプラグイン・インストーラーがはいています、起動されています、それでFirefoxのプラグインをインストールされます↓

※上記のプラグインですが、Firefox4以降には影響がありません、Firfox3.xには影響が出ます。

3. ↑続いて、二つWindowsのプロセスが立上ります、1個はレジストリーファイルをアクセスするプロセスです、もう１つはインストーラー実行の後プロセスが残っています。

4. Firefoxが立上ったらプラグインを起動されたので、面白いプラグインと見えますが、問題はPCが再起動されたらいくつかポートが開けます（2回再現しました、1回目は２つ、もう1回目はつポートが開いた/TCP listen状況）。そのポhttp://www.blogger.com/img/blank.gifートを開いたのはマルウェアのプロセスと発見しました。プロセスのバイナリ名がランダムです。
これで危ないと思って、インストールされたマルウェアパッケージの情報を集めます。

5. MyWebFace.exeをインストールされたらアンインストールが出来くて、アンインストールの方法がありません。これを見たら前回このブログに書いたYouTubeダウンローダーマルウェアと同じ形かと思われます。

---------------------------------------------------
INSTALL/感染されたら確実に下記の情報が出ます↓
---------------------------------------------------
■感染されたレジストリー・キー↓
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3}
HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E}
HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss
（↑これ以上未だありますが、再現の関係で外したりしましたので。。申し訳御座いません）

■変更/追加されたレジストリーバリュー
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D}
（ウェブで見たらそれぞれMyWebFaceマルウェアのバーション種類による、上記のデータが変ると）

■下記のフォルダーを追加されました↓
c:\program files\funwebproducts
c:\program files\funwebproducts\Installr
c:\program files\funwebproducts\Installr\1.bin
c:\program files\funwebproducts\Installr\2.bin
c:\program files\funwebproducts\Installr\Cache
c:\program files\funwebproducts\Installr\setups
c:\program files\funwebproducts\screensaver
c:\program files\funwebproducts\screensaver\Images
c:\program files\mywebsearch
c:\program files\mywebsearch\bar
c:\program files\mywebsearch\bar\1.bin
c:\program files\mywebsearch\bar\Settings

■マルウェアファイル↓
c:\program files\funwebproducts\Installr\1.bin\F3EZSETP.DLL
c:\program files\funwebproducts\Installr\1.bin\F3PLUGIN.DLL
c:\program files\funwebproducts\Installr\1.bin\NPFUNWEB.DLL
c:\program files\funwebproducts\Installr\2.bin\F3EZSETP.DLL
c:\program files\funwebproducts\Installr\2.bin\F3PLUGIN.DLL
c:\program files\funwebproducts\Installr\2.bin\NPFUNWEB.DLL
c:\program files\funwebproducts\Installr\Cache\2A4B897C.exe
c:\program files\funwebproducts\Installr\Cache\files.ini
c:\program files\mywebsearch\bar\1.bin\M3HIGHIN.EXE
c:\program files\mywebsearch\bar\1.bin\M3TPINST.DLL
c:\program files\mywebsearch\bar\1.bin\MWSOEMON.EXE
c:\program files\mywebsearch\bar\1.bin\MWSOESTB.DLL
c:\program files\mywebsearch\bar\Settings\s_pid.dat

↓サンプルがVirusTotalに登録しましたが、下記の検知結果でした（クリックしたら結果のページを見えます）↓


↑スキャナーの見地結果見たらAdWareと殆ど書いてあります。それとも、大きいマルウェア対策メーカーは殆ど検知が出来てません。バックドア動きが確認しましたので、トロイ可能性が高いです。さらに、そのポートは開いたらデータ受信と送信が発見してないので、不思議です。

リファレンスですが下記のウイルス名も本件のマルウェアの検知結果です↓
Symantec 20101.3.0.103 2011.03.26 「Suspicious.Cloud.5」
Kaspersky 7.0.0.125 2010.11.07 「not-a-virus:AdWare.Win32.FunWeb.di」
NOD32 5597 2010.11.06 「a variant of Win32/AdInstaller」
K7AntiVirus 9.94.4219 2011.03.26 「Riskware」

結論は、対策ソフトで検知が出来ると出来ないマルウェアがあります。マルウェアにかんせんさせる為にマルウェアメーカーがトレンドを見て沢山便利なツールを作っています。やはり、安全第一で、リファレンスが無い無料ソフトをなるべく使わないで下さい。

上記のレポートは調査した物ですので、マルウェアが危険な物ですので、専門きゃないとやらないで下さい、何かやられたら私は責任が取りませんのでご了承下さい。

---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所
Tweet

【リサーチレビュー】スマートフォーンのセキュリティが必要ですか？

最近スマートフォーンが流行っています、スマートフォーンのOS（Apple、Android、Windows Phone、Symbian、Palm、など）が沢山出ました。スマートフォーンのサービスとハードウェア種類が段々と出てきました。
どのぐらいスマートフォーンセキュリティを注意しなけえばならないでしょうか？本当に必要ですか？
AVGとThe Ponemon Instituteがスマートフォーンリサーチを行いまして、結果はPDFダウンロードが出来ます、アクセスはこちらです。
重要なのは①スマートフォーンの使い方、②保存されたデータの種類、と、③お金やり取りに付いて下記のグラフで結果が見えます↓

１）スマートフォーンの使い方に付いて


２）保存されたデータの種類に付いて


３）オンライン振込みの関係、ウェブでのサービス契約に付いて


上記のリサーチ結果を見たらメール、SNS、個人情報とオンラインダウンロードサービスを使っているユーザが殆どですね、その関係の保存されたデータが多いと思います。

リサーチ結果を読んだら下記の2点がポイントです↓
1. マルウェアの心配よりも、ユーザがCM/宣伝の迷惑が気になります(大体60%)
2. オンライン買い物ユーザは66%でそのい上の半分はスマートフォーンから直接振り込みしていると。さらに、モバイル銀行をやり取りしている方々は14%です。詐欺されたの方々は12%だそうです。

では、どんなセキュリティ集中が必要ですか？
やはり個人情報を守る仕組みがメインじゃないかと思われます。それと、安全なオンラインショッピング/支払い仕組みが需要です。

---
http://0day.jp
マルウェア研究所
アドリアン・ヘンドリック
sponsored by: 株式会社ケイエルジェイテック
Tweet

【zeroday】Windows Phoneの偽デジタル認証問題について

つい最近出た「デジタル認証」の問題について、Microsoft社より3月23日に「Microsoft Security Advisory (2524375)」のセキュリティ・アドバイサリーがリリースされております。

アドバイサリーに書いた内容を良く見たら、認証問題についてIEブラウザには影響があり、「Phising」や「インターネット詐欺/Fraud」される可能性が非常に高いので、Microsoft社が緊急セキュリティアップデートをリリースしました⇒「Dscomm クライアントの DoS 攻撃に対する Windows のマイクロソフト セキュリティ アドバイザリ: 脆弱性」

アドバイサリーに書いた文書では「An update is available for all supported versions of Windows to help address this issue」、下記はページのスナップショットです↓


上記の情報に当たって、スマートフォーンの影響があるかどうかと調べましょう。
ご存知の様に世の中にWindows OS経由スマートフォーン携帯が沢山り、標準ブラウザーがIEブラウザモバイル版ですね、基本的にパソコンのIE版の古いバーションです。
色々確認したら、Microsoftスマートフォーンのブラウザに、認証の問題に付いて、影響があります。

但し、Microst社出した「Dscomm クライアントの DoS 攻撃に対する Windows のマイクロソフト セキュリティ アドバイザリ: 脆弱性」をじっと見たらWindows Phone OSのアップデートが入ってません、さらにアドバイサリーではでは「An update is available for all supported versions of Windows to help address this issue」が書いてあると（影響されたWindowsOSにはアップデートが出ますとの事です）...

Fraudulent Digital Certificationセキュリティ問題に影響されたのにMicrosoft社からアップデートが出ないと、何故か？

自分はなっとく出来なくてMicrosoft社に直接に連絡して聞きましたが、思ったように無視された。認証問題について現時点では結構流行っているので、スマートフォーンの対応をはっきりさせないと危ないかと思いました。
本件の問題完全にゼロデイ状況ですので。。。メーカーがレスポンス無しですね。

では、本件の問題について、何もレスポンスが無い状況で、Microsoft社がちゃんと認識して欲しいですのでSecunia Full Disclosure（seclists.org/fulldisclosure）のメーリングリストにレポートを送りました。
レポート内容を厳しく確認されたので、PING-PONG連絡が来ました。ちゃんと対応れていると信じて結果を待っていました。やっとFull Disclosureに本件の情報をアップされている状況になった↓

（内容は下記のURLに確認が出来ます、私の情報とhttp://0day.jpがちゃんと書いてあります↓
http://seclists.org/fulldisclosure/2011/Mar/296

本件に付いては結局Windows Phoneのゼロデイセキュリティ問題になったので、誰も気づかなかったと思いました。一つ勉強が出来た、日本にはスマートフォーン携帯のユーザが沢山居ますから、皆様のセキュリティをもっと守るように専門側が海外のセキュリティ情報をちゃんと見て、確認が必要です。私の知っている限りではミスが多いっていうか適当な情報も多いです。

何故かこの内容をこのブログに書いたかと、今後もし同じ事が起きたら、ちゃんと手続きすれば必ず進めます。
では、本件に付いてMicrosoft社のレスポンスを待ちましょう。

追加情報＃１

■現時点情報↓
$ date
Sat Mar 26 03:49:13 JST 2011
待っている間にMicrosoft社より直接レスポンスが未だ来ないけれども、うわさ(rumour)のニュースが出てました、さっきこのページがGoogleで出てきました↓
Microsoft working on new Windows Phone 7 update to patch fraudulent SSL certificates
↑内容をちゃんと読んだら、これはMicrosoft社の回答なんだ、下記のように書いてあります（ポイントonly）↓

①「Microsoft is currently working on a Windows Phone 7 update to address the issue on its latest range of smartphones」
ようは、”現在パッチが開発最中”だって
②「Fraudulent digital certificates are not a Microsoft security vulnerability” explained Microsoft Trustworthy Computing manager Bruce Cowper」
それで　”認証セキュリティ問題は弊社の問題じゃないと。。。”（私よりのコメント：ふむふむ、これはどうかなぁ…）
③「Microsoft has not provided a specific time-line for the update saying it will provide “additional guidance as it comes available."」
”パッチリリース予定は未だ分からないと。。。”　（私はno commentです）

■結論は↓
ゼロデイのままで予定が不明ですがメーカーが認めてくれた。メーカーに認識を入れるミッションは以上です。これからパッチ対応待ち状況とゼロデイの状況をはっきりさせましょう。

■リファレンス↓
http://thenextweb.com/microsoft/2011/03/25/windows-phone-7-update-coming-to-block-fake-ssl-certificates/
http://www.winrumors.com/microsoft-working-on-new-windows-phone-7-update-to-patch-fraudulent-ssl-certificates/

追加情報＃２

$ date
Sat Mar 26 04:25:26 JST 2011

ゼロデイ状況をはっきりさせる為にFull Disclosureに結論を書きました。
今確実に分かったのは、セキュリティの為にFull Disclosureでレポートのアップ時間がわざっと延ばされた。例えば下記の結論を攻めたら↓


↑大体Sat Mar 26 11:14:39 JST 2011、7時間ぐらいにはアップされています。
本件のWindows Phoneのゼロデイ状況はFull Disclosureで認めて頂きました,
本件のレポートは世界のゼロデイ状況です、ではボールは今Microsoft社側にあります↓
http://seclists.org/fulldisclosure/2011/Mar/301

追加情報＃３

2011/03/29 03:26am JST
最新情報はMicrosoft社がアップデートを用意する事となります（http://bit.ly/fAVd0D）

追加情報＃４

Mon, 18 Apr 2011 19:09:31 +0900
Full Disclosureメーリングリストに本件のアップデート情報が無いとリマインダーが投げました⇒http://seclists.org/fulldisclosure/2011/Apr/284

追加情報＃５

Tue, 19 Apr 2011 22:11:30 +0900
本日下記の情報が発見されました↓
「Microsoft’s third Windows Phone update is due to be released on May 3 2011, addressing a recently discovered security issue that could see users of WP7 handsets open to phishing attacks or content spoofing. The update, a source with inside information told SlashGear, is described as a security certificate fix, closing a loophole around compromised third-party certificates issued by Comodo」←ようはMicrosoft社から情報があり５月３日に本件のアップデートが出ますと。URLは↓
http://pocketnow.com/windows-phone/windows-phone-7-security-update-coming-may-3

Thu, May 5 2011 22:11:30 +0900
Windows Update 7.0.7392.0をリリースしました↓
http://www.microsoft.com/windowsphone/en-us/howto/wp7/basics/update-history.aspx
これで、本件のゼロデイがCLOSEとなります。

ここで出来た勉強代は、大きいメーカーが自分の製品のバグのハンドルに付いて、直接にメーカーにレポートを送って中々直ぐにレスポンスが出ない状況です。こんな時にセキュリティ専門コミュニティーの力が必要です。認めてくれる迄に少し時間と手間がかかるけれども、認めてくれたら強くメーカーにちゃんと伝えてくれると本件には確認が出来ました。
本件のゼロデイに付いては日本からはじめて認識して、ちゃんと手続きしたの状況で、もっと力を合わせたら綺麗なゼロデイハンドル仕組みを作れるので、日本のセキュリティを守りましょう！

---
http://0day.jp
アドリアン・ヘンドリック
マルウェアとゼロデイ研究者
株式会社ケイエルジェイテック http://www.kljtech.com
Tweet

海外が出たマルウェアメールのニュース情報が正しい情報でしょうか？

「現時点の状況ではスパムメールに添付されているマルウェアが増えてきましたがスパムメール自体の数が下がっています」と色んなセキュリティサイトに本件の情報が見えています。明確にスパムボリュームが～５０％下がったけど、マルウェアメールの感染仕組みが増えて、その上でサーチエンジン/SEO経由のマルウェアソースが２０％以上増えたと。このニュースのソースは「こちら」と「こちら」と「こちら」、など。

結構ストレートな情報を言われてます、この情報に対する信頼を確認しないとユーザがこのままで情報を読んで信じちゃいます。
皆さん、ニュースの情報に付いて確認が必要ですが、このブログ内容でどうやって確認が出来るかと少し書きました。

確認の為に色んなマルウェアメールの最新情報を使いましょう、ソースはこのブログの下に書きましたので後で見て下さい。では、確認の結果は下記となります

1) 感染ドメイン名、と、マルウェアのネットワークソースに付いて


ニュースの情報では上記のドメインからのマルウェアが多いと言われてますが、調べたら情報が少し古いかと思っています。上から5番目迄のランク情報をチェックしたら、昨年10月からドメイン又はマルウェアのリンクが無くなりました。クロスチェックが出来ていません。

現実と近い情報では、オープンソースで感染されたドメイン名の一覧はちゃんと管理されているので、例えな、こちらの一覧です。
では、ユースで書いたドメイン名とこのデータをクロスチェックしたら結果は全然会わないです。

ドメイン名一覧のテキストデータを秀丸でGREPしたら、ドメイン名を分割したら（下記の画像ようにやったので↓）、これで見たら「.com」は一番、2番目は「.net」次は最近流行っている「.cc」です。国対に付いて、「.cn」と「.ru」が一番多い、次は「.de」と「.kr」ぐらいですね。さらに、言われた「.br」は現時点ではそんなに多くないです(119件/順番はNo.10ぐらいです)


↑これだけだとミスがあるかも知れないので、別のオープンソースに確認しました。ネットワークの情報も出まして、結果は下記となります↓



↑これではアメリカ、ヨーロッパとアジアネットワークからのマルウェアメールの発見が多いとの証明が出来ました。なので、結論はニュースの情報の確認が出来てません、データが古いからこそ現状と全然違う状況になる可能性が高いと、確認が出来ましたね。


２）スパムのボリュームが下げた事に付い

スパムのボリュームが下げたと言われてます。
スパムの数の話だと、ボットネットの情報とクロスリファレンスしようと思っています。さっそく下記はボットネットのC&Cタイムライングラフです↓

↑12月ZeusとRustockが沢山ダウンされていたから、その時だけスパム数は結構少し下がったとの情報はOKです。但し、昨年12月前と1月から沢山C＆C動きが発見されていますので、ニュースで言われた５０％迄にスパム数が下げたと思いません。

さらにスパム数の動きがいつもボットネットの数とイコールですが↓

↑では、ボットネットの数の状況はこんな感じのトレンドですが、これを見たら昨年からスパム数が５０％が下がると見えますか？

３）今年から感染されたマルウェアメールが増えた事に付いて

マルウェアメールが増えたと言ってました。全て全国にあるK-SHIELD製品のマルウェア感染された情報に確認しました。1月からこんな感じの状況です。昨年と比べたら変っていません↓

↑上記は関西、東北と関東にあるメールフィルター結果情報ですが、マルウェアメールは大体0.2%以下です、昨年と比べたら少し下がる(大体0.16%)ぐらいです。

もっと行くと、マルウェアよりも明確にトロイですね、こんなレポートで確認が出来ます、現実もこの通りの割合で毎日見ています↓

↑これの情報を見たらマルウェアメールに添付された物が殆どトロイの関係です。そのトロイの中に殆どScriptダウンローダーですがブラウザーexploit攻撃ベクターが殆どの窓口です（その他の窓口はwindows osのセキュリティ問題、詰り.lnkショットカットの問題など）

※結論↓
インターネットであるセキュリティニュースの情報は、そのままで信じちゃ行け無いですが確認が必要です。時間が少しかかるかも知れないけど、調べた時にすっごく色々勉強になりますから、ちゃんと一緒に確認しましょう。

ソース: MDL, CleanMX, ShadowServer, K-SHIELD, honeynet.org
---
ゼロデイ・ジャパン
http://0day.jp
アドリアン・ヘンドリック
Tweet

Linuxカーネルのマルチプルセキュリティ問題について

3月の中に沢山Linuxカーネルセキュリティ問題が発表されております。
あなたの使っているLinuxカーネルには影響がありませんか？ちゃんと問題の情報を確認しましたか？
本日下記のLinuxカーネルセキュリティ問題が発表されておりますので、どうぞご確認下さい↓

Mar 24 2011 03:16PM Linux Kernel 'task_show_regs()' Local Information Disclosure Vulnerability - http://bit.ly/dXDUGs
Mar 24 2011 03:16PM Linux Kernel 'drivers/media/dvb/ttpci/av7110_ca' IOCTL Local Privilege Escalation Vulnerability - http://bit.ly/eRv31l
Mar 24 2011 03:16PM Linux Kernel 'ethtool.c' Information Disclosure Vulnerability - http://bit.ly/gyI8vH
Mar 24 2011 03:16PM Linux Kernel FSGEOMETRY_V1 IOCTL Local Information Disclosure Vulnerability - http://bit.ly/gqY985
Mar 24 2011 03:16PM Linux Kernel 'load_mixer_volumes()' Multiple Vulnerabilities - http://bit.ly/ec0AtK
Mar 24 2011 03:16PM Linux Kernel SCTP Local Race Condition Vulnerability - http://bit.ly/gckBGc
Mar 24 2011 03:16PM Linux Kernel 'blk_rq_map_user_iov()' Local Denial of Service Vulnerability - http://bit.ly/dWCLqK
Mar 24 2011 02:57PM Linux Kernel 'irda_getsockopt()' Local Integer Underflow Vulnerability - http://bit.ly/eO4xkf
Mar 24 2011 02:57PM Linux Kernel Multiple 'net/' Subsystems Local Information Disclosure Vulnerabilities - http://bit.ly/hpgFHD
Mar 24 2011 02:57PM Linux Kernel 'AF_ECONET' Protocol NULL Pointer Dereference Denial of Service Vulnerability - http://bit.ly/fKLevw
Mar 24 2011 02:57PM Linux Kernel TIOCGICOUNT CVE-2010-4077 Information Disclosure Vulnerability - http://bit.ly/h6pwXv
Mar 24 2011 02:56PM Linux Kernel Block Layer Local Denial of Service Vulnerabilities - http://bit.ly/9bDVEQ
Mar 24 2011 02:56PM Linux Kernel 'posix-cpu-timers.c' Local Race Condition Vulnerability - http://bit.ly/fRKQcr
Mar 24 2011 02:56PM Linux Kernel 'hci_uart_tty_open()' Local Denial of Service Vulnerability - http://bit.ly/ei9dAq
Mar 24 2011 02:56PM Linux Kernel TIOCGICOUNT 'serial_core.c' Information Disclosure Vulnerability - http://bit.ly/eJJrP7
Mar 24 2011 02:56PM Linux Kernel 'sctp_process_unk_param()' Remote Denial of Service Vulnerability - http://bit.ly/cWlMXi
Mar 17 2011 02:27PM Linux Kernel 'fs/partitions/osf.c' Information Disclosure Vulnerability - http://bit.ly/gWShJH
Mar 16 2011 02:47PM Linux Kernel IGB Panic VLAN Packet Remote Denial of Service Vulnerability - http://bit.ly/h8WhMQ
Mar 16 2011 03:57PM Linux Kernel 'io_submit_one()' NULL Pointer Dereference Denial of Service Vulnerability - http://bit.ly/hbEhYc
Mar 10 2011 09:07PM Linux Kernel 'ib_uverbs_poll_cq()' Function Local Information Disclosure Vulnerability - http://bit.ly/eL3S0h
Mar 10 2011 08:58PM Linux Kernel TKIP Countermeasures Security Vulnerability - http://bit.ly/e0SuMk
Mar 08 2011 03:27PM Linux Kernel 'security_filter_rule_init()' Local Security Bypass Vulnerability - http://bit.ly/fPkXuk
Mar 04 2011 12:00AM Linux Kernel 'dns_key.c' NULL Pointer Dereference Denial of Service Vulnerability - http://bit.ly/evSkKB
Mar 03 2011 05:38AM Linux Kernel XSF 'SWAPEXT' IOCTL Local Information Disclosure Vulnerability - http://t.co/iPkFDhc
Mar 03 2011 05:48AM Linux Kernel KVM Intel VT-x Extension NULL Pointer Denial of Service Vulnerability - http://bit.ly/hByypG
Mar 03 2011 05:48AM Linux Kernel Btrfs Integer Overflow Information Disclosure Vulnerability - http://bit.ly/dnv9Km
Mar 03 2011 05:48AM Linux Kernel CIFS 'CIFSSMBWrite()' Remote Denial of Service Vulnerability - http://bit.ly/bIwWHN
Mar 03 2011 07:09AM Linux Kernel 'set_ftrace_filter' File Local Denial Of Service Vulnerability - http://bit.ly/daQx79

---
ゼロデイ・ジャパン
http://0day.jp
Tweet

Androidのrootkitマルウェア「DroidDream」

Androidマルウェアのニュースが現在あちこち出ましたので、実は何があったのか？
実は最新Androidマルウェア感染Outbreakが行いました↓

Androidのダウンロードマーケットで50件以上Androidアプリーが本件のマルウェアに感染されている状況と確認が出来ました。Google社の行動は感染されているアプリーがサスペンドされいる状況になり、ダウンロードが出来ません（別のリソースでは消したって言われていたが確認したらアプリー情報が未だ残っている状態ですがダウンロードが出来ません）。Google社のアナウンスを読んだらサスペンド迄に200件ダウンロード履歴があると確認されていますので恐らく200台ぐらいスマートフォンが感染されていると思われます。

上記のPutbreakに当たってどのアプリーが「感染されていますか？

下記はサスペンド前のAndroidマーケットのアプリー一覧スクリーンショットです、下記のアプリーが全て感染されております。


一番ダウンロードされているマルウェアアプリー名は「Super Guitar Solo」ですが（有名な「Guitar Solo」のぱっくりです）アプリーのスクリーンショットは下記となります↓

スキャンしたら下記の警告が出ました↓

はきり、感染されたアプリーの一覧がありますか？

あります、下記は50件のアプリー名一覧となります、アプリーのPublisherによって３つに分けます↓
「Myournet」のPublisherのアプリー一覧↓
Falling Down • Super Guitar Solo • Super History Eraser • Photo Editor • Super Ringtone Maker • Super Sex Positions • Hot Sexy Videos • Chess • 下坠滚球_Falldown • Hilton Sex Sound • Screaming Sexy Japanese Girls • Falling Ball Dodge • Scientific Calculator • Dice Roller • 躲避弹球 • Advanced Currency Converter • App Uninstaller • 几何战机_PewPew • Funny Paint • Spider Man • 蜘蛛侠

「Kingmall2010」のPublisherのアプリー一覧↓

Bowling Time • Advanced Barcode Scanner • Supre Bluetooth Transfer • Task Killer Pro • Music Box • Sexy Girls: Japanese • Sexy Legs • Advanced File Manager • Magic Strobe Light • 致命绝色美腿 • 墨水坦克Panzer Panic • 裸奔先生Mr. Runner • 软件强力卸载 • Advanced App to SD • Super Stopwatch & Timer • Advanced Compass Leveler • Best password safe • 掷骰子 • 多彩绘画

「we20090202」のPublisherのアプリー一覧↓
Finger Race • Piano • Bubble Shoot • Advanced Sound Manager • Magic Hypnotic Spiral • Funny Face • Color Blindness Test • Tie a Tie • Quick Notes • Basketball Shot Now • Quick Delete Contacts • Omok Five in a Row • Super Sexy Ringtones • 大家来找茬 • 桌上曲棍球 • 投篮高手

そもそも「DroidDream」ってどのマルウェアなんですか？

１）「rageagainstthecage」のroot exploitが入っています。Androidのroot権限を取るrootkitですね。感染されたアプリーの中に下記のSTRINGを検索が出来ます↓
「CVE-2010-EASY Android local root exploit (C) 2010 by 743C」
↑これがあると完全に感染される確認との事です。

２）個人情報盗む事、感染されたデバイスのroot権限を取ってから携帯のIMEI情報 (International Mobile Equipment Identity) と、IMSI 情報(International Mobile Subscriber Identity) をハッカーのサーバに送る動きが発見されております、その時に一緒にプロダクトID, 機械モデル情報, プロバイダー情報, language, country, とユーザID情報を送ってしまいます！
殆ど下記のIPアドレスにHTTPで繋ぐ事になります↓
hxxp://184.105.245.17:8080/GMServer/GMServlet
↑Fremont,CA(アメリカ)にあるIDCのIpアドレスです。

３）バックドアの機能が持っています。
必ず上記のIPアドレスにセッションがずっと繋ぎっぱなしになっています、目的は不明です。

解決方法↓

１）マルウェア対策ソフト無料版又は有料版で本件のマルウェアを検知が出来ますが使った方が安心ですね。
２）このサイトで書いた情報えすが、pre-Gingerbreadパッチを入れたら/system/bin/profileファイルの情報を隠す事が出来ますので、個人情報が取られてません。
３）上記一覧にあるアプリーがあったら気をつけて下さい。

今迄Androidのマルウェアの中に本件の種類が一番ひどいタイプって言われていますはDroidDreamマルウェアは英語で「Mother Of All Android Malware」と言います。
感染の時間が結構早いです、インストールしてから起動されています、３Gネットワークだと5秒ぐらいリモートIPに繋ぐ事が出来ます、結構危険な物ですね。

本件の情報がまた追加しますので、宜しくお願いします。
もし追加情報がございましたら私にツイッターで@unixfreaxjpへご連絡下さい、宜しくお願いします。

リファレンス↓

http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/
http://www.androidpolice.com/2011/03/02/update-on-the-malware-monster-droiddream-is-an-android-nightmare-and-weve-got-more-details/
http://www.reddit.com/r/netsec/comments/fvhdw/someone_just_ripped_off_21_popular_free_apps_from/

追加情報ですが、こちらへDroid Dreamのコードアナライズ情報がみえます。

Malware Analyst Credit: Lompolo
----
ゼロデイ・ジャパン
http://0day.jp
Tweet

Webkitセキュリティパッチ情報を確認しましょう！

Webkitの説明はこちらとなります。簡単なサマリーは下記の図ですね↓

↑「…上の図から分かることは、Safari の本体とWebKit フレームワークは別々に存在しています。つまり、Safari の本体にあたるような、WebKit を利用するアプリケーションを作れば、自分用のブラウザが作れます。など…」

では、Webkitのセキュリティ問題が結構出ていましたので、まとめてCVE情報を整理しましたので、結構長いです(2011/03/03の追加情報ですが、今日迄のWebkit問題内容も追加しました)

CVE-2009-2797 CVE-2010-1402 CVE-2010-1772 CVE-2010-3259
CVE-2009-2841 CVE-2010-1403 CVE-2010-1773 CVE-2010-3812
CVE-2010-0046 CVE-2010-1404 CVE-2010-1774 CVE-2010-3813
CVE-2010-0047 CVE-2010-1405 CVE-2010-1780 CVE-2010-4040
CVE-2010-0048 CVE-2010-1406 CVE-2010-1781 CVE-2010-4197
CVE-2010-0049 CVE-2010-1407 CVE-2010-1782 CVE-2010-4198
CVE-2010-0050 CVE-2010-1408 CVE-2010-1783 CVE-2010-4204
CVE-2010-0051 CVE-2010-1409 CVE-2010-1784 CVE-2010-4206
CVE-2010-0052 CVE-2010-1410 CVE-2010-1785 CVE-2010-1824
CVE-2010-0053 CVE-2010-1412 CVE-2010-1786 CVE-2011-0111
CVE-2010-0054 CVE-2010-1414 CVE-2010-1787 CVE-2011-0112
CVE-2010-0314 CVE-2010-1415 CVE-2010-1788 CVE-2011-0113
CVE-2010-0647 CVE-2010-1416 CVE-2010-1790 CVE-2011-0114
CVE-2010-0650 CVE-2010-1417 CVE-2010-1791 CVE-2011-0115
CVE-2010-0651 CVE-2010-1418 CVE-2010-1792 CVE-2011-0116
CVE-2010-0656 CVE-2010-1419 CVE-2010-1793 CVE-2011-0117
CVE-2010-1386 CVE-2010-1421 CVE-2010-1807 CVE-2011-0118
CVE-2010-1387 CVE-2010-1422 CVE-2010-1812 CVE-2011-0119
CVE-2010-1389 CVE-2010-1501 CVE-2010-1814 CVE-2011-0120
CVE-2010-1390 CVE-2010-1664 CVE-2010-1815 CVE-2011-0121
CVE-2010-1391 CVE-2010-1665 CVE-2010-2264 CVE-2011-0122
CVE-2010-1392 CVE-2010-1758 CVE-2010-2647 CVE-2011-0123
CVE-2010-1393 CVE-2010-1759 CVE-2010-2648 CVE-2011-0124
CVE-2010-1394 CVE-2010-1760 CVE-2010-3113 CVE-2011-0125
CVE-2010-1395 CVE-2010-1761 CVE-2010-3114 CVE-2011-0126
CVE-2010-1396 CVE-2010-1762 CVE-2010-3115 CVE-2011-0127
CVE-2010-1397 CVE-2010-1764 CVE-2010-3116 CVE-2011-0128
CVE-2010-1398 CVE-2010-1766 CVE-2010-3119 CVE-2011-0129
CVE-2010-1400 CVE-2010-1767 CVE-2010-3248 CVE-2011-0130
CVE-2010-1401 CVE-2010-1770 CVE-2010-3255 CVE-2011-0131
CVE-2011-0133 CVE-2011-0140 CVE-2011-0147 CVE-2011-0154
CVE-2011-0134 CVE-2011-0141 CVE-2011-0148 CVE-2011-0155
CVE-2011-0135 CVE-2011-0142 CVE-2011-0149 CVE-2011-0156
CVE-2011-0136 CVE-2011-0143 CVE-2011-0150 CVE-2011-0164
CVE-2011-0137 CVE-2011-0144 CVE-2011-0151 CVE-2011-0165
CVE-2011-0138 CVE-2011-0145 CVE-2011-0152 CVE-2011-0168
CVE-2011-0139 CVE-2011-0146 CVE-2011-0153 .....

上記の一覧となり、全てパッチが入っているRPMではMandriva Linux経由パッケージしかありません「webkit-1.2.7-0.1mdv2010.2.src.rpm」
後は他のLinuxディストリビューションがバラバラRPM名でwebkitが入っています、例えば下記のRPMサイトの検索結果は917件のRPMにwebkitが入っていますと↓


ツイッターで質問が受けたので、どのソフト/アプリー/OSに影響されていますか？と。
下記は可能性の一覧ですが、ここの中にWebkitのコードが必ず入っていますが、全て上記に書いたCVE内容に影響されているのか別の問題になります。

WebKit Open Source Project WebKit ～1.2.3
WebKit Open Source Project WebKit rXXXX
Ubuntu Ubuntu Linux 9.10 sparc
Ubuntu Ubuntu Linux 9.10 powerpc
Ubuntu Ubuntu Linux 9.10 lpia
Ubuntu Ubuntu Linux 9.10 i386
Ubuntu Ubuntu Linux 9.10 amd64
Ubuntu Ubuntu Linux 10.10 powerpc
Ubuntu Ubuntu Linux 10.10 i386
Ubuntu Ubuntu Linux 10.10 amd64
Ubuntu Ubuntu Linux 10.04 sparc
Ubuntu Ubuntu Linux 10.04 powerpc
Ubuntu Ubuntu Linux 10.04 i386
Ubuntu Ubuntu Linux 10.04 amd64
MandrakeSoft Linux Mandrake 2010.1 x86_64
MandrakeSoft Linux Mandrake 2010.1
SuSE openSUSE 11.3
Apple Safari 4.0.5 for Windows
Apple Safari 4.0.5
Apple Safari 4.0.4 for Windows
Apple Safari 4.0.4
Apple Safari 4.0.3 for Windows
Apple Safari 4.0.3
Apple Safari 4.0.2 for Windows
Apple Safari 4.0.2
Apple Safari 4.0.1
Apple Safari 4 for Windows
Apple Safari 4
Apple iTunes 9.0.2
Apple iTunes 9.0.1 .8
Apple iTunes 9.0.1
Apple iTunes 9.0
Apple iTunes 9.1
Apple iTunes 8.2
Apple iTunes 8.1
Apple iTunes 8.0.2.20
Apple iTunes 8.0
Apple iPod Touch 3.1.3
Apple iPod Touch 3.1.2
Apple iPod Touch 3.1.1
Apple iPod Touch 2.2.1
Apple iPod Touch 2.0.2
Apple iPod Touch 2.0.1
Apple iPod Touch 3.0
Apple iPod Touch 2.2
Apple iPod Touch 2.1
Apple iPod Touch 2.0
Apple iPhone 4.0.1
Apple iPhone 3.2.1
Apple iPhone 3.1.3
Apple iPhone 3.1.2
Apple iPhone 3.0.1
Apple iPhone 2.2.1
Apple iPhone 2.0.2
Apple iPhone 2.0.1
Apple iPhone 4.0
Apple iPhone 3.2
Apple iPhone 3.1
Apple iPhone 3.0
Apple iPhone 2.2
Apple iPhone 2.1
Apple iPhone 2.0
Apple iPad 3.2.1
Apple iPad 3.2.2
Apple iPad 3.2
Apple iPad 0
Apple iPad 0
Apple iOS 4.0.2
Apple iOS 4.0.1
Apple iOS 3.2.2
Apple iOS 3.2.1
Apple iOS 4.2 beta
Apple iOS 4.1
Apple iOS 4
Apple iOS 3.2
Apple iOS 2.0

結構あるwebkitを使っているアプリーが上記のCVE問題情報に当たると常識に確認しましたが、もしあなたは近い内にwebkitの開発をやっていると開発の前にバーションとcve情報を、お願い、ご確認して下さい。

---
ゼロデイ・ジャパン
http://0day.jp
Tweet

FUSEセキュリティ問題について（CVE-2009-3297, CVE-2011-0541, CVE-2011-0542, CVE-2011-0543）

FUSE（Filesystem in Userspace)とは？、

一般のアプリケーションと同じように「ユーザー空間」で稼働するプログラムとしてファイル・システムを実装するための仕組みです。ファイル・システムを比較的簡単に実装できるので，実用性を度外視したような実験的なファイル・システムの作成や，特殊用途向けのファイル・システムの作成などに向いています。仕組み的には下記の図となります↓

本件のセキュリティ問題に付いて下記の書いたFUSEのバーションのOS情報には影響があります↓

Ubuntu/Kubuntu/Xubuntu/EdubuntuのOSバーション8.04 LTS、9.10、10.04 LTSと10.10に入っている「fuse-source」、「fuse-utils」、「libfuse-dev」と「libfuse2」のパッケージです。

問題の説明↓

FUSEのバウンダリーハンドルのバグがあり、ある条件のマウントポイントをアクセスした時に、もしFUSEがsymlinksのパスをフォローすると、エラーが起きてマウントポイントがunmountされてしまいます。本件のバグ条件を使ったアタッカーが切替し攻撃したら、攻撃されたシステムがDoS状態になる可能性が高いです。
もっと詳しい説明は下記のCVE情報をご覧下さい↓
CVE-2009-3297, CVE-2011-0541, CVE-2011-0542, CVE-2011-0543

解決方法↓

アップデートが出ましたので下記のFUSEバーションにアップデートが必要です↓
Ubuntu 8.04 LTS:
fuse-utils 2.7.2-1ubuntu2.3
Ubuntu 9.10:
fuse-utils 2.7.4-1.1ubuntu4.5
Ubuntu 10.04 LTS:
fuse-utils 2.8.1-1.1ubuntu3.1
Ubuntu 10.10:
fuse-utils 2.8.4-1ubuntu1.3

もっとリファレンスは↓

http://www.nessus.org/plugins/index.php?view=single&id=52479
http://dl.packetstormsecurity.net/1102-advisories/USN-1077-1.txt

---
ゼロデイ・ジャパン
http://0day.jp
Tweet

【セキュリティ情報】Windowsアップデートで自動でAutorunを無効されています

Windows Autorun V2.1のアップデートパッチの設定仕組みが変りました。
今回Windowsアップデートをする時に"Autorun V2.1のアップデートパッチ"がオプションアップデートの設定から自動アップデートオプションの設定に変更されております。
本件の設定変更に付いて実は前回のアップデートから変更をされておりまして、気づいているお客様が未だ少ないので、行き成りUSBのCD/DVD/Flashメモリー機械が動かなくなるレポートがあります。
企業向けのお客様では企業ポリシーのグルップ設定で管理が出来ますが、個人ユーザが今迄ガイドラインが少ない、ISCのセキュリティブログ内容を翻訳しここで書きました。

リファレンスは下記となります、ご覧下さい↓
マイクロソフト セキュリティ アドバイザリ (967940)《Windows Autorun (自動実行) 用の更新プログラム》

---
ゼロデイ・ジャパン
http://0day.jp

vsftpdバージョン～2.3.2のリモート側のDoSセキュリティ問題に付いて(ツイッターRT)

本件セキュリティ問題について下記のUNIX FTPサーバに影響があります↓

Affected Software (verified):
- - vsftpd 2.3.2 (NetBSD 5.1)
- - vsftpd 2.3.0 (Ubuntu 10.10)
Affected Servers (19.02.2011):
- - ftp.gnu.org (2.0.6)
- - ftp.kernel.org (2.2.2)
- - ftpgen.wip4.adobe.com (2.3.2)
- - ftp.oracle.com (2.0.5)
- - ftp.freebsd.org (2.2.0)
- - more more more...
※本件のバグはvsftpdのバーション2.3.4に直りました。バーション2.3.4には影響がありません。

問題の説明↓

vsftpdのソースコード「ls.c」の所にアスタリスクのハンドルのバグがあり、当たるコマンドラインが来るとresource exhaustion（システムリソース不足になる事）の状況を作れる可能性がありFTPサービスのDoS状況になります。
コードの中には下記の条件のCALLの制限があった方が良いとの事です↓

if (vsf_filename_passes_filter())

注意点↓

本件のバグ再現仕方はウェブで交換されております、例えば下記のサイト↓
http://seclists.org/fulldisclosure/2011/Mar/2
http://cxib.net/stuff/vspoc232.c
http://packetstormsecurity.org/files/download/98796/vsftpd232-dos.txt
影響されている運用しているFTPサービスが多いですので、バーション確認が必要し、アップグレードのお手続きをお願いします。

再現仕方↓

こちらからPoCファイル（vspoc232.c）をダウンロードし、それでこちらのページに書いたあう再現手順でやると再現が出来ます。

解決方法↓

下記のURLで最新版のvsftpdバーションのダウンロードが出来ます↓
ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.3.4/Changelog
ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.3.4.tar.gz
ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.3.4.tar.gz.asc

問題のTwitterアラート履歴↓

3月2日01:27 AM JST@unixfreaxjp: Vsftpd 2.3.2 DoSの再現情報がもうウェブで交換されていますが早めにバージョンアップの確認をして下さい、この対応が漏れたらgumblarみたいな感染仕組みがまた出てきたぞ! → http://t.co/ju0i2CM

3月1日21:52 PM JST@unixfreaxjp: vsftpdバージョン～2.3.2のリモート側からのDoSセキュリティ問題に付いて → http://t.co/Vxqy6ae

credit: Maksymilian Arciemowicz [ SecurityReason.com ]

---
ゼロデイ・ジャパン
http://0day.jp
Tweet

【zeroday?】FreeBSD crontabの情報漏れセキュリティ問題について

Prologue↓

UNIXセキュリティ神様「Dan Roesenbergさん」は本件の問題のレポートを詳しく書きました、彼達は本件のバグを発見しました。
彼からのコメントがあり、マイナーな情報リークの問題ですが、危険では無いけど直す必要があると言われております。

影響されているcrontabバーションに付いて↓

基本的にFreeBSDを使っているcronバーションがUNIX経由のまま「vixie-cron」ベースですので、vixie-cron 3.0を使っているシステム、例えば：OpenBSDとNetBSD又はDebian/UbuntuやRedHatのcronには本件の問題について影響が出ません。
但しFreeBSDのソースコードを使っているMacOSXには影響が出ます。

問題の説明↓

簡単な説明では「race conditions」とsymlink攻撃が原因です。corntab.cのコードの中にライン366とライン436にあるstat()コマンドを実行された時にもしsymlinkをフォローしたらENOENTエラー返すが出て、その時にシステムのファイルとパス情報が見えたと。詳しい説明ではDan'sのレポートを見たらもっと分かりやすいだと思いますがアクセスがこちらです。

リファレンス↓

http://seclists.org/bugtraq/2011/Feb/267
http://svn.freebsd.org/viewvc/base/head/usr.sbin/cron/crontab/crontab.c?view=markup
http://opensource.apple.com/source/cron/cron-35/crontab/crontab.c
http://packetstormsecurity.org/files/98784

---
ゼロデイ・ジャパン
http://0day.jp

【zeroday】Facebook URLリダイレクトのセキュリティ問題について

本件セキュリティ問題について下記のウェブアプリケーションに影響があります↓

Facebook（www.facebook.com） の「track.php?r=」のスクリプト

問題の説明↓

Facebookのウェブアプリケーションにある「track.php?r=」のインプットハンドルバグがあり、ユーザがマルウェアサイトに飛ばされてしまう可能性が出ます。
例えば下記のURL↓
hｘｘp://apps.facebook.com/truthsaboutu/track.php?r=http://malware.site.dayo
↑上記のバグに付いてFacebookにログインされてないユーザにも影響が出ます。
本件の問題について未だ解決になってないので、ゼロデイ状況となります。

追加セキュリティ情報↓

Time Table:　2/27/2011 Reported Vulnerability to the Vendor
Credits:　Nathan Power at www.securitypentest.com

---
ゼロデイ・ジャパン
http://0day.jp
Tweet

SambaのDoSと、メモリー・コラップションのバグに付いて（CVE-2011-0719）

本件セキュリティ問題について下記のファイルシェアサーバ情報には影響があります↓

Samba 3.0.x ～ Samba 3.5.x
※Samba 3.5.7には影響がありません

問題の説明↓

FD_SETマクロに設定されている「file descriptors」の範囲(rage)の制限デサイン問題があり、ある条件file descriptorを設定されたらSambaサービスがクラッシュ又はinfinite-loopされている状況になってしまいます。Sambaユーザ又はguestユーザから本件の問題を起こす事が出来ます。攻撃ベクター可能性は↓

・アプリケーション・クラッシュ(DoS)crash application
・infinite loop (DoS)
・arbitary codeを実行される可能性が出ます

念のために英語の説明ですと「Range checks on file descriptors being used in the FD_SET macro were not present allowing stack corruption. This can cause
the Samba code to crash or to loop attempting to select on a bad file descriptor set」

追加セキュリティ問題情報↓

Class: Failure to Handle Exceptional Conditions
CVE: CVE-2011-0719
Remote: Yes
Local: Yes
Published: Feb 28 2011 12:00AM
Updated: Feb 28 2011 09:38PM
Credit: Volker Lendecke of SerNet.

解決方法↓

Samba 3.5.7にアップグレードして下さい

---
ゼロデイ・ジャパン
http://0day.jp
リファレンス↓
http://samba.org/samba/security/CVE-2011-0719.html
http://www.securityfocus.com/bid/46597/info
Tweet

ClamAV 「vba_read_project_strings()」のDoS/クラッシュのバグに付いて

本件のセキュリティ問題に付いて下記のClamAVアンチウイルスソフトのバーションに影響があります↓

Clam Anti-Virus ClamAV 0.96.2以下 （バーション0.97には影響が出ません）
■下記のLinuxディストリビューションに入っているClamAVソフトにも影響が出ます↓

Ubuntu Linux 9.10 sparc　、Ubuntu Linux 9.10 powerpc
Ubuntu Linux 9.10 lpia　、Ubuntu Linux 9.10 i386
Ubuntu Linux 9.10 ARM　、Ubuntu Linux 9.10 amd64
Ubuntu Linux 10.10 powerpc　、Ubuntu Linux 10.10 i386
Ubuntu Linux 10.10 ARM　、Ubuntu Linux 10.10 amd64
Ubuntu Linux 10.04 sparc　、Ubuntu Linux 10.04 powerpc
Ubuntu Linux 10.04 i386　、Ubuntu Linux 10.04 ARM
Ubuntu Linux 10.04 amd64　、S.u.S. E openSUSE 11.3
S.u.S.E. openSUSE 11.2　、S.u.S.E. openSUSE 11.1

問題の説明↓

Cコードライブラリーでバグがあります。バグ情報では「libclamav/vba_extract.c」にパスのダブルフリーハンドルのバグ(path double free error /bb#2486)が発見された、ある条件のサンプルをスキャンしてしまうとClamAVがクラッシュ状態になってしまいます。

■本件のバグのパッチがリリースされております、パッチのコードはこちらへ

■エラーの情報を詳しく確認方々ではこちらへエラー情報を見えます、コピーペーは↓

==7986== Invalid free() / delete / delete[]
==7986== at 0x4A060FD: free (vg_replace_malloc.c:366)
==7986== by 0x4CCD914: vba_read_project_strings (vba_extract.c:240)
==7986== by 0x4CCDBA2: cli_vba_readdir (vba_extract.c:290)
==7986== by 0x4CBB60E: cli_vba_scandir (scanners.c:790)
==7986== by 0x4CBBCDF: cli_vba_scandir (scanners.c:933)
==7986== by 0x4CBBCDF: cli_vba_scandir (scanners.c:933)
==7986== by 0x4CBA470: magic_scandesc (scanners.c:1220)
==7986== by 0x4CBCAE4: cli_scangzip (scanners.c:536)
==7986== by 0x4CBAB10: magic_scandesc (scanners.c:2096)
==7986== by 0x4CBADCD: cl_scandesc_callback (scanners.c:2447)
==7986== by 0x40711E: scanfile (manager.c:192)
==7986== by 0x4082E4: scanmanager (manager.c:727)
==7986== Address 0x5854370 is 0 bytes inside a block of size 298 free'd
==7986== at 0x4A060FD: free (vg_replace_malloc.c:366)
==7986== by 0x4CCD99C: vba_read_project_strings (vba_extract.c:225)
==7986== by 0x4CCDBA2: cli_vba_readdir (vba_extract.c:290)
==7986== by 0x4CBB60E: cli_vba_scandir (scanners.c:790)
==7986== by 0x4CBBCDF: cli_vba_scandir (scanners.c:933)
==7986== by 0x4CBBCDF: cli_vba_scandir (scanners.c:933)
==7986== by 0x4CBA470: magic_scandesc (scanners.c:1220)
==7986== by 0x4CBCAE4: cli_scangzip (scanners.c:536)
==7986== by 0x4CBAB10: magic_scandesc (scanners.c:2096)
==7986== by 0x4CBADCD: cl_scandesc_callback (scanners.c:2447)
==7986== by 0x40711E: scanfile (manager.c:192)
==7986== by 0x4082E4: scanmanager (manager.c:727)

■再現の確認が必要な方々ではこちらからサンプルダウンロードが出来ますがClamAV開発登録ログインが必要です。ファイル名：「0020153379.gz」

追加セキュリティ情報↓

Class: Parse Logic Error
CVE: CVE-2011-1003
Remote: Yes
Local: No
Published: Feb 21 2011 12:00AM
Updated: Feb 28 2011 06:38PM
Credit: Török Edwin

解決方法↓

・コンパイル版と使っている方々には蒸気のパッチを導入すれば問題解決となります。
・上記に書いたLinuxディストリビューション版を使っている方々ではこちらにはアップデートが出ましたので、ダウンロードして下さい。

リファレンスは上記の書いたURLの全てです。
---
ゼロデイ・ジャパン
http://0day.jp
Tweet

WiresharkのBuffer Overflowの問題、Nokia DCT3のシグナルハンドルのバグに付いて

本件のセキュリティ問題について下記のソフトに影響があります↓

Wireshark Wireshark 1.4.3
Wireshark Wireshark 1.4.2 Wireshark Wireshark 1.4.1
Wireshark Wireshark 1.2.12 Wireshark Wireshark 1.2.10
Wireshark Wireshark 1.2.10 Wireshark Wireshark 1.2.9
Wireshark Wireshark 1.2.8 Wireshark Wireshark 1.2.7
Wireshark Wireshark 1.2.6 Wireshark Wireshark 1.2.5
Wireshark Wireshark 1.2.4 Wireshark Wireshark 1.2.3
Wireshark Wireshark 1.2.2 Wireshark Wireshark 1.2.1
Wireshark Wireshark 1.2 Wireshark Wireshark 1.4.1
Wireshark Wireshark 1.4.0 Wireshark Wireshark 1.2.13
Wireshark Wireshark 1.2.12 Wireshark Wireshark 1.2.11
Pardus Linux 2011 0 Pardus Linux 2009 0

問題の説明↓

悪戯Nokia DCT3携帯の電波をトレースすると本件の問題が出ます。dct3traceの制限ハンドルのバグがあると発見されました。本件のバグに当たるとWiresharkがBuffer Overflowの状態になってしまい、プログラムがクラッシュになります。
バグの情報はこちらへ詳しく見えます。

解決方法↓

パッチが出ました。メーカのダウンロードページにご確認下さい。

追加セキュリティ情報↓

Bugtraq ID: 46416
Class: Boundary Condition Error
CVE: CVE-2011-0713、CVE-2011-0538と関係があり。
Remote: Yes
Local: No
Published: Feb 16 2011 12:00AM
Updated: Feb 28 2011 12:48PM ←パッチの情報
Credit: gerald

リファレンス↓

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-0713
http://anonsvn.wireshark.org/viewvc?view=rev&revision=35953
http://anonsvn.wireshark.org/viewvc/trunk/wiretap/dct3trace.c?r1=35953&r2=35952&pathrev=35953
http://anonsvn.wireshark.org/viewvc/trunk/wiretap/dct3trace.c?r1=35953&r2=35952&pathrev=35953
http://www.securityfocus.com/bid/46416/info
http://secunia.com/advisories/43554/

---
ゼロデイ・ジャポン
http://0day.jp
Tweet

libpam-pgsqlのIPアドレスインプットバグでBuffer Overflowセキュリティ問題について

本件のセキュリティ問題について下記のシステム権限管理（PAM）の関係に影響があります↓

ソフト名/パッケージ名：libpam-pgsql
営業されたバーションは↓

libpam-pgsql 0.7.1
libpam-pgsql 0.6.3

問題の説明↓

libpam-pgsqlとはPostgreSQLデータベースのバックで動いているPAMモジュールライブラリーです。libpam-pgsqlを使うとpgsl仕組みでユーザの権限を確認が出来ます。libpam-pgsqlはpam_acct_expiredとnew_authtok_reqdの認証アップデート仕組み(updating auth token)に対応しています。
本件の問題についてインプットのバウンダリーハンドルのバグがあり、このバグに当たるとPAMサービスのDoS状況を作れます。本問題についてローカル側とリモート側のベクター攻撃が可能です。
バグがファイル「src/backend_pgsql.c」のpg_execParam()にあり、ipv4のoctet長さ127以上リクエアストが来ると問題の再現が出来ます。

追加セキュリティ情報↓

Bugtraq ID: 46579
Secunia ID: SA43471
Class: Boundary Condition Error
CVE: 現時点では未だ無し
Remote: Yes
Local: No
Published: Feb 26 2011 12:00AM
Updated: Feb 26 2011 12:00AM
Credit: Krzysztof Galazka

解決方法↓

アップデート/パッチが出ましたが、officialではありません、開発ページにはパッチダウンロードが出来ません。
ワークアラウンドでは、使っている方々には暫くPAMの他のauth方法で変更必要があります。

リファレンス↓

http://sourceforge.net/projects/pam-pgsql
http://www.securityfocus.com/bid/46579/discuss
http://secunia.com/advisories/43471

---
ゼロデイ・ジャパン
http://0day.jp
Tweet