| どるこむ仲間の掲示板! 過去ログ倉庫 | LOG:2003/08: | |
|
●2003年08月インデックス
●過去ログ検索トップ
■どるこむ仲間の掲示板へ
| ||
| [3485] マイクロソフト セキュリティ情報 updateあり (23 レス) 2003/08/21(Thu) 11:30:16 |
Beth さん |
| Web: http://www.d1.dion.ne.jp/~beth/virus/worm_blaster.html | |
|
8/21付けで、新たなセキュリティアップデートがあるようです。 重要 [MS03-033] Microsoft Data Access Components のセキュリティ アップデート (823718) http://www.microsoft.com/japan/technet/security/bulletin/MS03-033ov.asp 緊急 [MS02-040] MDAC 機能の未チェックのバッファにより、システムが侵害される (326573) http://www.microsoft.com/japan/technet/security/bulletin/MS02-040ov.asp Microsoft Data Access Components(MDAC) 2.5 〜 2.7 「MDACは、Windows XP、Windows 2000、Windows Millennium Edition および Windows Server 2003 の一部として既定でインストールされます。」 とのこと。 また、[MS02-040] は、 「2003/08/21: このセキュリティ情報ページを更新し、Microsoft SQL Server のみではなく、Windows のすべてのバージョンがこの脆弱性の影響を受けることをお知らせしました。」 とあります。 [MS02-040] は、[MS03-033] に含まれているため、[MS03-033] を適用すれば良いようです。 緊急 [MS03-032] Internet Explorer 用の累積的な修正プログラム (822925) http://www.microsoft.com/japan/technet/security/bulletin/MS03-032ov.asp 対象は、IE5.01〜6 #08/21 17:52 [MS02-040] と [MS03-033] の関係追記 #08/21 18:03 MDAC関連 補足追記(下記) [HOW TO] MDAC のバージョンを確認する方法(301202) http://support.microsoft.com/default.aspx?scid=kb;ja;301202 私のRv20でのバージョンチェック結果 http://www.d1.dion.ne.jp/~beth/virus/mdac_cc_result_rv20.jpg Universal Data Access 関連ダウンロード http://www.microsoft.com/japan/msdn/data/download.asp MDAC 2.1.1.3711.11 (GA) 〜 MDAC 2.7 SP1 Refresh (2.71.9040.2) をダウンロード可能 「多くのWindowsが影響を受ける「MDAC」の脆弱性が“緊急”で警告される」 (Internet Watch) http://internet.watch.impress.co.jp/cda/news/2003/08/22/220.html MDACの修正は適切な順序で行わないといけないそうです。 #08/21 18:30 MDAC関連 [MS02-040] と [MS03-033] の関係 追記(下記) よねさんの報告により、[MS02-040] と、[MS03-033] は事実上同一である(現時点では [MS02-040] 内のリンクから [MS03-033] に飛ばされる)ことが判明しました。ありがとうございます。 それにしても、同じものなのに緊急度が違うのななぜでしょうね(^_^; > MS # 08/22 20:00 以下追記 脆弱性 [MS03-001] と [MS03-026] を利用し、ポートアタック (ポート135,445) とバックドア作成 (ポート22226) するワームが現れています。念のため、ご注意を。 WORM_AGOBOT.P (TrendMicro) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.P&VSect=T [MS03-001] Locator Service の未チェックのバッファにより、コードが実行される (810833) http://www.microsoft.com/japan/technet/security/bulletin/MS03-001.asp 対象は、Windows NT4、2000、XP で、Lacator Service を使用している場合。 [MS03-026] RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp 対象は、Windows NT4server、2000、XP、2003 MS03-026 は、Blaterで話題になっている脆弱性です。 # 08/22 23:40 MDAC関連リンク(Internet Watch) と、MDAC修正適用時の注意追加 # 08/26 08:50 WORM_AGOBOT.Pのバックドアのポート番号22226追記 1. よね 2003/08/21(Thu) 15:18:31
表の掲示板にも書きましたが、PC-98でWindows98SEでは、この2番目の「緊急」のパッチが当てられません。ワームに襲われるほかないのでしょうか?
ここになぜかMDAC2.7が落ちてました。
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&familyid=D91995D9-6840-4AA0-961B-42A7C5AA2CB3 自分のMDACが何なのかよくわからない場合は、一応こいつで2.7にアップデートした後、MS03-033を入れるとうまくいく…のでは。 Win98・WinNTにもインストール可能です。 #今、自由になる9821実機が身の回りにないからのぅ。。。。 3. よね 2003/08/21(Thu) 17:55:02
マイクロソフトに聞いたら、Bethさんの1番目のパッチと2番目のパッチは「同じ」だそうです。確認してみてもやはり同じでした。
対処方法としては、ペンチアムさんの方法でいいようでした。 ありがとうございました。 4. Beth 2003/08/21(Thu) 18:02:38
念のため、MDAC関連 補足 を追記しました。(#08/21 18:03)
5. むねを 2003/08/21(Thu) 19:49:39
>ペンチアムさん
MDAC2.7 のそのバージョンはインストールに失敗したりバグ有りだったりするようですので, MDAC2.7 SP1 refresh と云う方がいいです. http://www.microsoft.com/downloads/details.aspx?FamilyID=9ad000f2-cae7-493d-b0f3-ae36c570ade8&DisplayLang=ja で,MDAC2.8はこちらです. http://www.microsoft.com/downloads/details.aspx?FamilyID=6c050fe3-c795-4b7d-b037-185d0506396c&DisplayLang=en 英語版ですが,日本語版にも入ります.(自己責任でどうぞ) 6. SWITCHON 2003/08/21(Thu) 21:24:34
Xv20でWindows98sp1で使っているのですが、IE5.5SP2に「緊急 [MS03-032] Internet Explorer 用の累積的な修正プログラム」が当てられないのはあきらめるしかないのでしょうか?それとも、私のパソコンがおかしいのかな。
あれ? 822925ですよね? うちのXa20/Win98SE IE5.5SP2には入りましたけど…… (SEではないのか……)
にしてももうSP3が出てもおかしく無い気がするんだけど…… 5.5はサポート打ち切りなのかな? バージョン : 5.50.4807.2300 更新バージョン : SP2; Q312461; Q306121; Q313675; Q316059; q313829; Q319182; Q321232; Q323759; Q328389; Q328970; Q810747; Q818529; Q330994; Q822925 8. いーとん 2003/08/22(Fri) 00:50:13
Windows98sp1 の環境で Windows update に行くと(822925)が出てきませんのでサポート対象外なんでしょう...
★Win98SE 環境の場合は出てきます。 ☆MDAC 2.7 SP1 を入れれば Win98SP1 にもインストールできるのかな? ところで…
連続エンコード作業中なのでパッチ当てられませ〜ん(自爆) #残り時間33時間以上ってぉぃ。 10. いーとん 2003/08/22(Fri) 01:31:50
恥ずかしい事が判明。
IE5.5 SP2 だと思っていたのが、SP1 でした(爆死 とりあえず Win98SP1 + DX8.1b + IE5.5SP2 の環境で Windows update に行くと(822925)が出てきまして、正常にインストールも出来ました。 と言う事で 8. の書きこみは大嘘です(恥 11. SWITCHON 2003/08/22(Fri) 08:20:36
6の書き込みはWindows updateが混んでいたせいでうまくダウンロードできなかったのかもしれません。PC/AT互換機の方でも、[MS03-033] が失敗したので(もう一度試したら出来ました)。Xv20はその時点で電源を落としていたので、今日の夜にでももう一度チャレンジしてみます。。
12. Beth 2003/08/22(Fri) 09:52:56
「まだそこにある危機」 (ZDNET)
http://www.zdnet.co.jp/enterprise/0308/21/epn10.html 「ウイルス感染者に対して下される“社会的制裁”」 (ZDNET) http://www.zdnet.co.jp/enterprise/0308/20/epc07.html 「Windowsのアップデート自動化を検討する米マイクロソフト」 (CNET Japan) http://japan.cnet.com/news/ent/story/0,2000047623,20060541,00.htm # 08/22 10:45 リンク追加 >「ウイルス感染者に対して下される“社会的制裁”」
★我輩の職場では以下のとおりですが、何か? 「ウイルス捕獲者に対して下される“社会的名声”」 ・・・ その瞬間を、彼はこう回想する。 「周り中の視線が、僕の席にふりそそがれていた。みんなは僕のPCを、まるで人気爆発の芸能人に街中で出合ったような目で見ていた」。 それからというもの、周囲のM氏に対する反応は目に見えて変わってきた。まず、M氏が同僚の席に近づくと「なんで、俺のところにウイルスがこないんだ、待っているのに!」という、こうした場合の常套手段ともいえるセリフが飛んできた。 無論、こうしたからかいは本気になって対応すべきものではなかったし、また、自らのマニアックなセキュリティ管理を思えば、そのような反応も受けいれるべきだと思った。 しかし、そうはいっても職場の上司(40代)が、M氏をにらみながら「……僕の体の調子が悪いのも、君のウイルスのせいじゃないかね!」と疑いの目を差し向けるのには、正直いって閉口した。その上司はPCもロクに操作できず、人間もコンピュータウイルスに感染すると思い込んでいるような人物だった。 M氏は、なかばあきらめにも似た心境で、上司の猜疑心と恐怖のいりまじった顔を見つめながら、「上司、それは、人間には感染しないんですよ……!」と、のどまででかかったセリフを、ぐっとのみこんだ。 またM氏はこの件で、新しい発見をした。それは、ひょっとするとウイルスの感染速度より、人の噂の伝達速度の方がいくらか早いかもしれない……と、いうことだ。 Blasterに関していえば、ウイルスの感染は“過去最速で”広まった。ほかの有名ウイルスの時と比べると、たとえば「NIMDA」の時でさえ初日の被害報告数は約100件だったし、「Badtrans.b」や「CODERED」の時でも、それよりずっと少ない数字だった。しかし、Blasterは初日の被害数が、200件に上った(数字はいずれも、トレンドマイクロの報告より引用)。 だが、M氏の周りで噂が感染した速度は、これを上回る勢いを見せた。実際のところ、夏期休暇明けで初めて会った違う部署の先輩が、開口一番「だめだよ、先に捕獲なんかしちゃ!」といったときには、寒気すらおぼえたものだ。 もっとも、こうした全ての出来事に、M氏は依然として耐えることができた。――職場の同僚で、たまにIMで会話を交わす女性が、“あのセリフ”を口にするまでは。 M氏はこの話になると、記者の視線を手でさえぎるようにしながら、心を整理するように話した。「彼女は、ゆっくりと、抑揚のない声でこう言ったんです。『……これからは、ウイルスを捕獲したからって私にIMで話しかけるのをやめてくれる? あなたが捕獲できて、まだ私が捕獲できないのは、シャクだから』」。 M氏に限らず、ウイルス捕獲一番乗りは、“周囲からの妬み”を買い競争心をかきたてる。 14. jawa 2003/08/22(Fri) 20:55:48
そんなに・・・・捕獲したいのかw
15. SWITCHON 2003/08/22(Fri) 21:12:42
もう一度WindowsUpdateをしたらIEのパッチがあたりました。よかったぁ。
17. 雷獣王GRIFFON 2003/08/22(Fri) 21:15:02
あかん,めちゃめちゃワラタw
かくいう自分も,メールサーバー経由で隔離されたウイルスが削除されずに残ってますね. 18. Beth 2003/08/22(Fri) 21:56:53
ワームが使用するポート (ちょっと長かったかしら(^_^;
69 tftp用。 ワーム MSBLAST.D (別名 Welchia, Nachi)など。 69 は、ネットワーク機器の保守管理などで使われる場合がある。 LAN内でブロックを試みる場合は事前に検討必要。 境界ルータあたりでならブロックできるかも。 80 http用。 ワーム MSBLAST.D (別名 Welchia, Nachi)など。 http、wwwで使われるため、ブロック困難。 修正プログラム [MS03-007] の適用必須。 なお、境界ルータ・FWの配下に公開WEBサーバがない場合は、WAN → LAN 方向を閉じることができる場合あり。 135 rpc用。 ワーム MSBLAST系すべて、AGOBOT.P など。 135 は、DHCP、Active Directory、Exchange server + Outlook などで利用されている。 LAN内でのブロックは事実上不可能。 境界ルータ・FW でブロックすべき。 137 netbios,名前解決用。 ワーム WORM_THRAX.A など。 138 netbios,ブラウジング用。 ワーム WORM_THRAX.A など。 139 netbios,ファイル・プリンタ共有用。 ワーム WORM_THRAX.A など。 137〜139は、クラッキングのターゲットに利用されやすい。 LAN内でのブロックはできない場合が多い。 境界ルータ・FW で必ずブロックすべき。 公開サーバーでは、サーバー自身のポートも閉じるべき。 445 Microsoft-DS,ファイル・プリンタ共有用。 ワーム SQLSlammer (別名 WORM_SQLP1434.A)、AGOBOT.P など。 LAN内でのブロックはできない場合が多い。 境界ルータ・FW で必ずブロックすべき。 公開サーバーでは、サーバー自身のポートも閉じるべき。 666〜765 ワーム MSBLAST.D(別名Welchia,Nachi)など。 LAN内でのブロックは多くの場合可能と思われる。 境界ルータ・FW では必ずブロックすべき。 995 pop3s,メールのSSL通信用。 ワーム SOBIG.F メールのSSL通信で995以外を使用している(995を使っていない)場合はブロックすべき。 996 vsinet用。 ワーム SOBIG.F 使っていないならばブロックすべき。 997〜999 Applix ac用?。 ワーム SOBIG.F 使っていないならばブロックすべき。 1434 Microsoft-SQL-Monitor用。 ワーム SQLSlammer (別名 WORM_SQLP1434.A) Micirosoft SQLサーバー2000を使っていないならブロックすべき。 2018-2021 WORM_FIZZER.A WORM_FIZZER.A がクラッキング待ち受け用に開ける。 ログを定期的にチェックするのが好ましいと考えられる。 4444 KRB524,NV Video default用。 ワーム MSBLAST.A〜C,E (別名Lovsan,Poza) Xerox製品で使われている場合がある? 境界ルータ・FW では必ずブロックすべき。 4899 RAdmin Port用。 ワーム MSBLAST.A〜C,E (別名 Lovsan, Poza) RAdmin Portという言葉を聞いたことがなければブロックしても支障ないと思われる。 LAN内でのブロックは多くの場合可能と思われる。 境界ルータ・FW では必ずブロックすべき。 5190 aol用。 WORM_FIZZER.A aol(America-Online)用。 使っていないならブロックすべき。 6667 IRCU,IRCサーバ用。 ワーム WORM_THRAX.Aなど。 IRCを利用時はブロックできない? IRCを利用していない場合はブロック可能と思われる。 8998 Unassigned(未使用)。 ワーム SOBIG.F 全PC,ルータ・FW で必ずブロックすべき。 22226 Unassigned(未使用)。 ワーム AGOBOT.P 全PC,ルータ・FW で必ずブロックすべき。 参考文献 「Windowsで使うポートとセキュリティの落とし穴」 http://www3.ocn.ne.jp/~koshino/winport.html 「ルータで収集した不正アクセスログ」 http://acorn.zive.net/~oyaji/router/router_log.htm 「iana.org」 http://www.iana.org/assignments/port-numbers 「ワームBlasterに関する情報」 私のサイト(^_^; http://www.d1.dion.ne.jp/~beth/virus/worm_blaster.html 本掲示板セキュリティ関連スレッド 3421,3422,3448,3453,3467,3470,3474,3486 # 08/22 22:28 参考文献 追記 # 08/26 09:20 WORM_FIZZER.A 、 AGOBOT.P が使用するポート追記、 ポート80記述修正 19. none 2003/08/22(Fri) 22:15:49
http://jpinfo.jp/topics/030207.html
対抗して(何 不用意に1024番以上のポートをふさいじゃいけませんという話 登録済みポートを一時ポートとして使用させない方法 http://support.microsoft.com/default.aspx?scid=kb;ja;813122 20. 雷獣王GRIFFON 2003/08/22(Fri) 22:50:03
FreeBSD とかで NAT 箱組んでるなら,established にしてしまうのが吉とおもうというかそれが一番簡単で確実・・・とおもふ.
外からコネクションを張る物はほとんどないだろうし. FTP は PASV で逃げましょう. ちなみに ipfw でフィルタリングしてますが,nmap を外からかけてみると所々で filtered になるけど,これって良いのか悪いのか・・・. 21. Beth 2003/08/23(Sat) 00:37:41
MDACの修正は適切な順序で行わないといけないそうです。ご注意ください。
親記事に、修正順序について解説されている、Internet Watch へのリンクを追記しました。 22. Beth 2003/08/26(Tue) 09:47:02
親記事と18の書き込みに追記と修正をしました。(08/26 08:50,09:20)
ところで、最近、マクロウイルスの X97M_LAROUX.XE (TrendMicro名) が再び増えてきているような。 23. Beth 2003/09/09(Tue) 23:37:26
MS03-032でIEの「オブジェクトタグのデータ属性で示されたURLの処理に関する脆弱性」を修正できない場合があるそうです。
ActiveXとプラグインを無効にすれば一時的に回避可能とのこと。 「IEの修正プログラム「MS03-032」が脆弱性を修正できていないことが判明」 (Internet Watch) http://internet.watch.impress.co.jp/cda/news/2003/09/09/385.html |
|