https://www.bravotouring.com/~yano/archives/2003/01/26/ Recent content in 2003/01/26 on Yano's digital garage Hugo en-us Sun, 26 Jan 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030126.htm Sun, 26 Jan 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030126.htm <p>下で<span class="Strong">一般ホームユーザーのパソコンに感染する危険性はまず無い</span>と書いたのだが、その後<span class="Corporation">マイクロソフト</span>から出された<a href="http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp" target="SubWindow">「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」</a>によるとサーバーだけでなくクライアントも影響を受ける<span class="Worning">可能性</span>がある事が明らかになった。</p> <p>具体的に言うと<span class="Tradename">Office 2000/XP</span>のようなクライアント製品にもデータの保存やログデータを記録する為に<span class="Tradename">Microsoft SQL 2000 Desktop Engine (MSDE)</span>が導入される<span class="Worning">場合がある</span>という事だ。<a href="http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp" target="SubWindow">「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」</a>に影響を受ける可能性のある製品がリストアップされているが、該当製品のユーザーがもれなく該当するというわけでないというのが曲者だ。で、取り敢えずリストアップされた製品の如何に関わらず全ての<span class="Worning">Windowsユーザー</span>は<span class="Strong">コマンドプロンプト</span>から<span class="Strong">「netstat -an」コマンド</span>を入力して、<span class="Strong">UDP 0.0.0.0:1434 と表示された行</span>があれば<span class="Worning">感染の危険性がある</span>と思って、対策を講ずる必要がある。<span class="Note">具体的な操作手順などは<a href="http://winsec.toranoana.ne.jp/" target="SubWindow">Winセキュリティ虎の穴</a>や<a href="http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp" target="SubWindow">「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」</a>の「本ワームへの対策」以降を参照の事。</span></p> <p>修正プログラムとしては、サーバーには<a href="http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp" target="SubWindow">SQL Server 2000 サービスパック 3</a>を、クライアントには<a href="http://www.microsoft.com/japan/technet/security/bulletin/ms02-061ov.asp" target="SubWindow">MS02-061</a>の修正プログラムをオススメする。</p> <p>また<a href="http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp" target="SubWindow">「MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875)」</a>ではクライアントの深刻度が「なし」になっている事から当初は<span class="Corporation">マイクロソフト</span>も気付いていなかったと思われるが、事態が深刻になる前に気付き速やかにアドバイザリを出した事は高く評価されよう。身近に感染しちゃったクライアントが出現して気付いたのだとしたらなかなか厳しいものがあるが…</p> <p class="Reference">参照 <br/>●<a href="http://winsec.toranoana.ne.jp/" target="SubWindow">Winセキュリティ虎の穴</a> <br/> <br/>●<a href="http://www.microsoft.com/japan/technet/security/" target="SubWindow">マイクロソフトTechNetセキュリティセンター</a> <br/>　-<a href="http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp" target="SubWindow">「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」</a> 2003/01/26 <span class="Caution">必読</span> <br/>　-<a href="http://www.microsoft.com/japan/technet/security/bulletin/ms02-061ov.asp" target="SubWindow">「MS02-061: SQL Server Web タスクで権限が昇格する (Q316333)」に関する要約情報</a> 2002年10月17日 <br/>　<img alt="ダウンロードアイコン" src="parts/fileicon.png"/> MS02-061 修正プログラム(日本語版インストーラ付) <a href="http://download.microsoft.com/download/SQLSVR2000/Patch/8.00.0686/W98NT42KMeXP/JA/8.00.0686_jpn_installer.exe" target="SubWindow"/>http://download.microsoft.com/download/SQLSVR2000/Patch/ 8.00.0686/W98NT42KMeXP/JA/8.00.0686_jpn_installer.exe</p> 2003年1月26日 https://www.bravotouring.com/~yano/diary/it/20030126a.htm Sun, 26 Jan 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20030126a.htm <p>昨日活性化した新種のワームは速やかに解析され<span class="Worning">W32/SQLSlammer</span>という名前でアナウンスされた。このワームは、件の<span class="Tradename">Microsoft SQL Server 2000</span>の問題を突いて<span class="Worning">メモリ上にのみ感染</span>し、ネットワークを通じた感染活動を行うがコンピュータ本体に対する破壊活動は行わないのが特徴。<span class="Strike">また<span class="Topics">一般ホームユーザーのパソコンに感染する危険性はまず無い</span>と言っていい。</span></p> <p>会社などでSQLを導入したサーバーを管理している人はまずファイアウォール等で<span class="Strong">1434/udp</span>ポートを閉鎖してから、<a href="http://www.microsoft.com/japan/sql/downloads/2000/sp3.asp" target="SubWindow">SQL Server 2000 サービスパック 3</a>を適用する必要がある。週末の休業日で落としているサーバーも少なくないであろう事から、月曜日に愚かなサーバーが立ち上がってワームが更に活発化する事も考えられるので要注意だ。</p> <p>感染が<span class="Strong">メモリ上</span>のみでファイルに及ばないという事から再起動するだけで簡単に駆除する事ができるのだが、ファイルアクセスしか検閲しない現在主流のアンチウィルス系ソフトでは検出されない可能性が高い。特に破壊活動も行わないしサーバーの稼働数が多少下がる週末を狙っている事から、感染対象を一般的に再起動しないサーバーに絞る事により「onメモリな攻撃も場合によっては有効である」事を示したいが為の悪意を持たないコンセプトウィルスではないだろうか？</p> <p>何はともあれ昨夜はテレビ朝日系、フジテレビ系、日本テレビ系全国ニュースにおいてトップで扱われるなど社会的な関心の高さを思い知らされたが、クライアントまでがターゲットとなったCodeRedと並べて論ずるのはちょっと性急なんじゃないの？情報は正確にね(^_-)。</p> <p class="Reference">参照 <br/>●<a href="http://www.isskk.co.jp/" target="SubWindow">インターネット セキュリティ システムズ株式会社</a> <br/>　-<a href="http://www.isskk.co.jp/support/techinfo/general/X-ForceslammerWorm.html" target="SubWindow">Microsoft SQL Slammer Worm Propagation</a> <br/>●<a href="http://www.nai.com/japan/" target="SubWindow">Networks Associates</a> <br/>　-<a href="http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SQLSlammer" target="SubWindow">W32/SQLSlammer</a> <br/>●<a href="http://www.itmedia.co.jp/enterprise/" target="SubWindow">ITmedia > エンタープライズ</a> <br/>　-<a href="http://www.itmedia.co.jp/enterprise/0301/26/epn04.html" target="SubWindow">速報：UDP/1434ポート宛のパケットが急増、新種のワームの可能性も</a> <br/>　-<a href="http://www.itmedia.co.jp/enterprise/0301/26/epn04.html" target="SubWindow">続報：犯人は「Slammer」――各社が新種のワームを警告</a> <br/> <br/>●<a href="http://www.microsoft.com/japan/technet/security/" target="SubWindow">マイクロソフトTechNetセキュリティセンター</a> <br/>　-<a href="http://www.microsoft.com/japan/technet/security/bulletin/MS02-039ov.asp" target="SubWindow">MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875)</a> 2002年7月25日 </p>