感謝您訂閱本刊物,本刊物是由台灣電腦網路危機處理中心製作出版,著作
權屬本中心。<MARQUEE BEHAVIOR="ALTERNATE" BGCOLOR="<br>
我們歡迎以電子郵件方式傳遞本刊物,或將本刊物放上如電子佈告
欄及群體討論區等公開網路媒體</MARQUEE> 。如要作任何其他形式之部分或全文轉載之前,
則須事先取得本中心之書面授權。若您有相關的文章要本中心為您刊登,我們非
常歡迎,請將內容寄給[email protected],我們會盡快處理,並在近
期內登出。本通訊在 http://www.cert.org.tw/newsletter上同步發表,歡迎上
網閱讀。

緣起

由於網際網路的發展對人類日常生活產生了重大的影響,有越來越多的社會
及商業活動都透過網際網路來進行,因此網際網路的安全性日益受到大家的重視
。在Internet上,電腦網路危機處理中心(CERT)是專門投入提升網站系統及處
理網路入侵事件的專門組織。目前在各個國家也都陸陸續續成立了Country CERT
組織。有鑑於此,去年在參加完INET'97之後,TWNIC理事長曾憲雄教授希望我們
能幫忙把台灣的CERT 建立起來,並在TANet'97的TWNIC年會上通過本人為台灣電
腦網路危機處理中心(TW-CERT )之召集人。唯因初期以義工性質來運作,所以沒
有運作起來。前一陣子在行政院 NII 推動小組及電信總局的大力協助下,目前
TW-CERT 已正式運作並漸漸步上軌道了。我擬了一個三階段的進程計劃,希望最
後TW-CERT 能以社團法人的方式來運作,提供有關電腦網路安全上的相關服務。

我們會陸陸續續建立TW-CERT的相關服務。目前我們打算每個月發行一期TW-
CERT的Newsletter。在本期創刊號中,我們介紹了TW-CERT 的宗旨與目的,組織
架構,服務項目等。本人在此要特別感謝所有CERT成員的通力合作完成第一期的
出刊,也希望藉此 Newsletter的發行,能讓大家進一步了解 TW-CERT,使用TW-
CERT所提供的服務,進而提升台灣網際網路的安全性。
陳年興 教授


**********************************************************************
<<本期內容>>
**********************************************************************
■台灣電腦網路危機處理中心簡介
》目的與宗旨(許孟祥[email protected])
》服務項目(張簡毅仁[email protected])
》組織架構(林秉忠[email protected])
■系統安全通報(林秉忠[email protected])
》Cert Advisories
》Other Sources
■技術專欄(林東毅 [email protected],林秉忠[email protected])
》FreeBSD Security How-To
■台灣電腦網路危機處理中心PGP KEY(張簡毅仁[email protected])


**********************************************************************
台灣電腦網路危機處理中心簡介
**********************************************************************
◆宗旨與目的◆

宗旨:
1.提升國內電腦網路的安全性。
2.加強電腦網路偵防技術。
3.促進國際合作,共同維護電腦網路安全。

目的:
1.加速電腦網路安全資訊之流通,以提升全國網站的安全性。
2.協助處理電腦網路安全事件。
3.研究並提供各種系統平台相關之安全漏洞資訊。
4.發展電腦網路偵防技術,並協助電腦網路安全之維護。
5.加入FIRST 國際組織,並積極參與電腦網路安全相關的國際性活動,
以促進經驗交流與技術分享。


- ----------------------------------------------------------------------
◆服務項目◆

TW-CERT目前和未來計劃提供的服務項目, 可分為以下六項。

1.電腦網路安全事件回報:
在TW-CERT Web Server上建立一個電腦網路安全事件的報告表
格,在入侵事件發生時,該系統的管理者能在線上填好表格並寄出,
TW-CERT將提供協助。(http://www.cert.org.tw/tw-c/report.htm)

2.電子郵寄名單(Mailing List)訂閱:
目前TW-CERT提供以下幾個Lists:

1.newsletter
這一個List是用來訂閱TW-CERT的Newsletter, 並且此List
是單向的服務, 也就是說訂閱者只能收信,不能夠發表文章到
List上。TW-CERT Newsletter內容將包含科技新知,技術專欄等
等, 於每月月初出刊.

2.talk
這一個List是用來提供訂閱者討論的空間,它是雙向的服務
,也就是說, 您可將您的問題寄至此List,將可以和TW-CERT的
成員或其他訂閱者討論您的問題。討論信件請寄到:
[email protected]

3.advisory
這一個List是用來發送最新的CERT Advisories,它是單向的
服務.

4.announce
這一個List是TW-CERT的公佈欄, 它是單向服務, 舉凡TW-
CERT最新動態, TW-CERT座談會時間, 網路系統安全公告等等,
都將藉由此一List不定期發佈。

5.sig-internet-attack
本List是屬於SIG-Internet Attack(Special Interest
Group on Internet Attack )所有,該組織是由一群關心電腦網
路安全的人士共同組成的,討論網路及網路作業系統的漏洞以及
因應處理方式,此一list僅開放給該團體的成員使用,並不對外開
放。如果您想加入該團體,請e-mail給:
[email protected]

★訂閱方法:
請寄電子郵件至[email protected], 並於信
件內容填上"subscribe <您欲訂閱的List>", 例如: subscribe
newsletter(請注意,是信件內容, 不是信件標題), 於訂閱成
功後,您很快就會收到系統回信,信件中會告訴您取消訂閱的方
法。

3.台灣電腦網路危機處理中心通訊(Newsletter)發佈:
TW-CERT定於每月一號發佈Newsletter,內容包括系統安全通報,技
術專欄等等。Newsletter 將送上news server的group(tw.bbs.comp.security)
與TW-CERT的Mailing List(newsletter)。

4.檔案下載:
網路安全工具的下載,CERT Advisories 及 patches 的下載,系統
安全檢查工具的下載,及一些其他相關的技術文件。
(http://www.cert.org.tw/ftp/)

5.系統安全相關資訊查詢:
(1) 系統安全文件。(http://www.cert.org.tw/tw-e/index.html)
(2) 系統安全資料庫查詢。(http://www.cert.org.tw/tw-c/resource.htm)

6.遠端系統安全掃瞄:
TW-CERT未來將提供遠端掃瞄機制, 透過程式掃瞄使用者電腦, 檢
查您的系統是否有安全問題存在。


- ----------------------------------------------------------------------
◆組織架構◆

中心主任: 陳年興 教授
執行秘書: 張簡毅仁
研究服務組: 組長 許孟祥 博士 成員:周建宏 龔美真
技術研發組: 組長 黃世昆 博士 成員:林秉忠 陳彥邦

中心主任:
統籌整個台灣電腦網路危機處理中心,分配並指導各個組織
成員負責之工作,以推動TW-CERT之相關業務。

研究服務組:
1.規劃每期 Newsletter 的內容、格式,並彙整當月最新、最熱門的
安全議題與相關活動的記錄,對外發行,提供網路上使用者與系統
管理者第一手的資訊。
2.負責對外服務的通報、諮詢窗口,提供最快、最好的服務。
3.對外發佈重要消息,進行相關的宣傳工作。
4.不定期舉行與CERT相關或安全議題的研討會、座談會。
5.與民間的廠商產業合作。
6.搜集網路安全事件的資料,進行統計與研究的工作。

技術研發組:
1.建立網路與系統的Vulnerability Database。
2.蒐集與發展系統安全工具。
3.加強TW-CERT本身的偵防技術。
4.Scan技術與Tools的開發。
5.研究系統的安全漏洞。

執行秘書:
1.統籌協調TW-CERT各單位的運作,及相關業務的推動。
2.負責TW-CERT系統與網頁的建構與維護,建立Mailing List,提供
相關工具程式的下載,協助CERT對外服務。
3.維護TW-CERT的各項服務。


**********************************************************************
系統安全通報
**********************************************************************
★Cert Advisories★
- ----------------------------------------------------------------------
1。CERT Vendor-Initiated Bulletin VB-98.10
TITLE: Security Vulnerabilities in "mscreen" Serial Multiscreens
Utility
SOURCE: SCO
說明:
SCO 公司發現在其 "mscreen"這個工具軟體中存在安全漏洞,這個漏洞
可能使得系統中的使用者獲得超級使用者( root )的權限。

目前確認存在此一漏洞的系統有:
- SCO Open Desktop/Open Server 3.0 (all, also SCO UNIX 3.2v4)
- SCO OpenServer 5.0 (all, also SCO Internet FastStart)
- SCO CMW+ 3.0

詳細的資料及處理方式可以在 CERT Vendor-Initiated Bulletin VB-98.10
這份文件中找到,或是http://www.cert.org.tw/new/19981015-1.htm。


- ----------------------------------------------------------------------
2。CERT Vendor-Initiated Bulletin VB-98.11
TITLE: Cisco IOS Command History Release at Login Prompt
SOURCE: Cisco
說明:
Cisco 的 IOS軟體中出現錯誤,使得未經允許和未經授權的使用者可以
進入路由器或其它 Cisco IOS設備的登入提示,並且收集到前一位使用者鍵
入的文字。這些文字可能包括高度機密的資訊,例如:登入密碼。所有採用
IOS 這套軟體的 Cisco 產品都有可能遭受攻擊。採用 Cisco IOS 軟體的
Cisco 產品包括:

* Cisco routers in the AGS/MGS/CGS/AGS+, IGS, RSM, 8xx,
1xxx, 25xx, 26xx, 30xx, 36xx, 40xx, 45xx, 47xx,
AS52xx, AS53xx, 70xx, 72xx (including the ubr72xx),
75xx , and 12xxx series
* Most recent versions of the LS1010 ATM switch
* Some versions of the Catalyst 2900XL LAN switch.
* The Cisco DistributedDirector

其他的 Cisco 產品因為不使用 IOS 這套軟體,所以不受影響,包括:

* 7xx dialup routers (750, 760, and 770 series) 不受影響。
* Catalyst 19xx, 28xx, 29xx, 3xxx, and 5xxx LAN switches
不受影響, 除了某些 Catalyst 2900XL系列產品外。然而,某些外
加的模組由於也採用 Cisco IOS 軟體, 例如 RSM module for the
Catalyst 5000 和 5500,有可能遭受攻擊。
* WAN switching products in the IGX and BPX lines are not
affected.
* The MGX (formerly known as the AXIS shelf) is not affected.
* No host-based software is affected.
* The Cisco PIX Firewall is not affected.
* The Cisco LocalDirector is not affected.
* The Cisco Cache Engine is not affected.

詳細的資料及處理方式可以在 CERT Vendor-Initiated Bulletin VB-98.11
這份文件中找到,或是 http://www.cert.org.tw/new/19981027-2.htm。


- ----------------------------------------------------------------------
3。CERT Advisory CA-98.12
TITLE: Remotely Exploitable Buffer Overflow Vulnerability in mountd
SOURCE: CERT
說明:
使用某些版本 mountd 軟體的 NFS(Network File Service)伺服器出現
了安全漏洞,特別是Linux版本的mountd。入侵者可以透過這些版本 mountd
中存在的 buffer overflow 漏洞,來取得管理者的權限。只要mountd 這個
程式正在執行,不論有沒有分享(export)檔案,皆可能被入侵。目前確認存
在此一漏洞的系統有: 所有版本的 Red Hat Linux。

詳細的資料及處理方式可以在 CERT Advisory CA-98.12 這份文件中找
到,或是http://www.cert.org.tw/new/19981015-2.htm。


- ----------------------------------------------------------------------
4。CERT Vendor-Initiated Bulletin VB-98.13
TITLE: Untrusted Scripted Paste in Microsoft Internet Explorer 4.01
SOURCE: Microsoft
說明:
MicroSoft發佈了關於 scripted pastes 這個漏洞的修正程式,這個漏
洞出現在Internet Explorer 4.01版中。這個漏洞使駭客可以經由 Web站台
上放置的特定程式(script)取得使用者硬碟上的檔案 (這個檔案的位置必須
事先知道)。

目前確認存在此一漏洞的系統有:
- Microsoft Internet Explorer 4.01 and 4.01 SP1 on Windows NT
4.0, Windows 95
- Microsoft Windows 98, with integrated Internet Explorer
- Microsoft Internet Explorer 4.01 for Windows 3.1 and Windows
NT 3.51

任何平台的 Internet Explorer 3.x 或 4.0 皆不受影響。
Macintosh 或 UNIX平台上任何版本的Internet Explorer皆不受影響。

詳細的資料及處理方式可以在CERT Vendor-Initiated Bulletin VB-98.11
這份文件中找到,或是http://www.cert.org.tw/new/19981027-1.htm。


- ----------------------------------------------------------------------
★Other Sources★
- ----------------------------------------------------------------------
1。Back Orifice
說明:
Back Orifice 是一套針對 Wintel的平台為對象,功能強大的遠端管
理系統。強大到可以遠端執行程式,拷貝檔案,修改系統登錄( registry)
,取得使用者密碼。更可以配合各種外掛程式( plug-in )擴充其功能。
關於 Back Orifice的詳細資料可以在 http://www.cultdeadcow.com/
中找到。


- ----------------------------------------------------------------------
2。IRIX routed(1M) Vulnerability
Title: IRIX routed(1M) Vulnerability
SOURCE: SGI
說明:
在 routed(1M)程式中發現了一個漏洞,使得入侵者可以自遠端控制程
式,將一些除錯(debug)及追蹤(tracing)的資訊加入系統的任意檔案中。

目前確認存在此一漏洞的系統有:
IRIX 3.x / IRIX 4.x / IRIX 5.0.x / IRIX 5.1.x /
IRIX 5.2 / IRIX 5.3 / IRIX 6.0.x / IRIX 6.1 /
IRIX 6.2 / IRIX 6.3 / IRIX 6.4

暫時的處理方式:
1) 先成為超級使用者( root )
% /bin/su -
Password:
2) 用 chkconfig 確定 routed 的狀態
Flag State
==== =====
routed on
3) 將 routed(1M) daemon 取消
4) 確定 routed(1M) daemon 已經被取消了
Flag State
==== =====
routed off
5) 將所有網路服務中止後重新啟動
6) 回到一般的使用者狀態
%

詳細的資料請參考http://www.cert.org.tw/new/19981022-1.htm。
關於 SGI系統漏洞的 patch 可以在 http://support.sgi.com/找到。


- ----------------------------------------------------------------------
3。Xaw Library exploitable buffer overflow
TITLE: Xaw library exploitable buffer overflow ( CERT VB-98.04 )
SOURCE: SGI
說明:
The Open Group ( http://www.opengroup.org/ ) 透過 CERT 組織報
告他們發現,針對 Xaw 函式的 buffer overflow 攻擊技術。攻擊者可能獲
得 root 的權限。經過SGI 公司調查及處理,發現以下的系統含有此一安全
漏洞, SGI 強烈建議這些系統的管理者採取相對應的因應措施。

目前確認存在此一漏洞的系統有:
IRIX 5.0.x / IRIX 5.1.x / IRIX 5.2 / IRIX 5.3 /
IRIX 6.0.x / IRIX 6.1 / IRIX 6.2 / IRIX 6.3 /
IRIX 6.4 / IRIX 6.5 / IRIX 6.5.1

詳細的資料請參在http://www.cert.org.tw/new/19981017-1.htm。


- ----------------------------------------------------------------------
4。FreeBSD TCP RST denial of service
TITLE: TCP RST denial of sevice
SOURCE: FreeBSD Inc.
說明:
在一個未經補強的系統上,入侵者可以利用數個RST 封包強制中斷其他
使用者的連線。

目前確認存在此一漏洞的系統有:
FreeBSD 2.2.* (before 2.2.8R), FreeBSD-stable and
FreeBSD-current before the correction date (1998/9/16)

詳細的資料請參考http://www.cert.org.tw/new/19981015-3.htm。


**********************************************************************
技術專欄
**********************************************************************
* 【FREEBSD SECURITY HOW-TO】

o 這份 HOW-TO 是必要的嗎?
FreeBSD 是一個非常安全的作業系統。也正因為它的 source code是可
以免費的取得這個 OS長久以來不斷的有人改進加強。儘管 FreeBSD 一出廠
就非常安全,但是仍然有更多加強安全性的措施, 來滿足"偏執狂"的你
這份 HOW-TO 會教你一些步驟,以更加強你機器的整體安全。

o 這份文件會說明 tripwire, tcp_wrappers, cops, satan, 和其它的工具
嗎?
除了 SSH 之外, 不會。這是一份針對 FreeBSD 的文件 - 除此之外,
已經有很多文件說明上述的工具了。目前呢, 我只想關心的是關於 BSD 的
部份。

o 誰要讀這份 HOW-TO?
任何想讓他的系統更安全的人。這份HOW-TO包含了一些很基本的步驟,
和某些很複雜的步驟。如果你有任何的疑問,或者想要加以補充,請eMail
[email protected],另外,儘管大部份的內容是針對 FreeBSD 的,但仍然會
套用到其它的 Unix OSes上面,特別是 OpenBSD 和 NetBSD。

o 這份 HOW-TO 還有其它語言的版本嗎 ?
就我所知, 有俄語版:
http://www.etrust.ru/osa/security.html
和中文版:
http://water.ite.ntnu.edu.tw/doc/cfbhow2.txt

o TODO:
將包含 /etc/login.conf 和 login classes
將提及使用 X 的場合
將會有 html 版

本刊僅節錄一部份,全文請參閱
http://water.ite.ntnu.edu.tw/doc/cfbhow2.txt


***********************************************************************
台灣電腦網路危機處理中心 PGP KEY
***********************************************************************
說明:
TW-CERT所發出的文章中,都會有PGP(Pretty Good Privacy)的簽章。讀
者可經由檢查簽章 (check a signature) 得知文章是否被修改過; 若文章經
檢查有誤,或於文末無PGP簽章, 表示文章已遭修改, 亦表示文章已不是
TW-CERT所寄發的原稿。

如何驗證這篇文章:
1。請先至http://www.cert.org.tw/ftp/pgpkey/ 下取得 tw-cert.pgpkey.txt
這個檔案,這是 TW-CERT 的 PGP public key file。
2。在 Unix 命令提示字元下鍵入 pgp tw-cert.pgpkey.txt,之後回答 pgp程
式問您的一些問題,這樣會將User ID為TwCert之TW-CERT的pgp public key
放進您的記錄(PGP Key Ring)中。
3。請將這篇文章存檔,之後請在 Unix 命令提示字元下鍵入 pgp <文章檔名>,
pgp 程式將會自動檢查這篇文章是否有遭受過竄改。


========================================================================
◆ 下載TW-CERT PGP public key:
http://www.cert.org.tw/ftp/pgpkey/tw-cert.pgpkey.txt
◆ 訂閱TW-CERT Newsletter:
請將內容為"subscribe newsletter"的電子郵件寄至
[email protected]
◆ 取消訂閱TW-CERT Newsletter:
請將內容為"unsubscribe newsletter"的電子郵件寄至
[email protected]

台灣電腦網路危機處理中心 http://www.cert.org.tw


我先貼這一篇~~有興趣的可以先去看看~~