カテゴリー
Vulnerability

ShellShock,ショーーーーーック!

The same article in English
投稿アップデート情報  追記(9/30) 追記2(10/6)

ヒェーッ!!
もう対処しました? ShellShock 。うちのサーバ OS は Windows なので,直接の影響はなさそうですがね。まぁ,とんでもない脆弱性ですよ, NVD のスコアは満点の 10 だし。 VMWare 上に CentOS 6.5 があるので,その bash は,一応 bash-4.1.2-15.el6_5.2.i686 にアップデートしました。

アップデートが済んだ後に env x='() { :;}; echo vulnerable' bash -c "echo this is a test" で,以下のメッセージが出るようだと,初期のパッチしか当たっていないので,もう一度アップデートが必要です。
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test

この情報は Red Hat Customer Portal 上の Masanari Iida さんのコメントで発見したものです。

関連リンクをちょっとだけ。もちろんネット上にはすごい量の記事がありまっさ:

ところで,うちの Apache エラーログには,昨日までに 6 回のアタックが残っていて,それについては昨日ブロックするようにしたんですが,本日現時点までで,また新しいところから 2 回のアタックがあってました。どれに対しても, HTTP エラーが返ってるんですがね。

追記(9/30):
Bash bug: apply Florian’s patch now” に, “I very strongly recommend manually deploying Florian’s patch unless your distro is already shipping it.” という記述があり,そのパッチが当たっているのかどうかの確認方法も書いてある。

Bash 自身で foo='() { echo not patched; }' bash -c foo をやったときに, “コマンドが見つかりません” が返ってくればパッチ済, “not patched” なら未パッチ。

コメントで, vdp が “These ‘toughen the feature’ patches still feel quite scary.” と書き,あまり使わない機能なので,デフォルトでは使えないようにして,必要な場合はセキュリティに気を付けて有効にするようにしたらどうかと提案しているが,そのほうがいいんじゃないだろうか。

追記2(10/6):
セキュリティホール memo さんのところのに 10/6 づけで追記が出ていた。

ウォオオ。
foo='() { echo not patched; }' bash -c foo
だけではいけないようですな。ただし, CVE-2014-6271 や CVE-2014-7169 と比べれば,危険度はグッと下がっているらしいです。

カテゴリー
Vulnerability

Android 版 Kindle の SSL サーバ証明書検証不備脆弱性。

 表題の件,我々一般人には,一見関係なさそうに見えるが,怪しいアプリをうかつに使わないとか,メールアカウントやパスワードの管理をしっかりするとかいうことでは,同じなんじゃないかと思う。

 そういえば,昨日,「ネット競売、消せぬ情報 大手3社、履歴・カード番号保存 利用者「流出が心配」」というのもあったな。えって,思うかもしれないけど,結構そういうとこ多い。だって,登録させる側からいえば,データの不正使用をする気はなくても,ユーザ側の無料版の反復利用を防ぐためだけでも,元情報は必要なわけだから,良心的であっても,罰則がないなら,データを保持するほうが妥当だと思う。どのくらい保持するとかで口を拭ってる様子は感じられるが……。知識の欠如から対応がいい加減なところもあるにはあるけどね。

 登録データの削除については,簡単/困難/不能をまとめたこんなサイトがある。 justdelete.me
 このサイトは, bitly.com (有名どころだが,日本語対応がないみたいなので, twitter そのものの短縮リンクが向上してからは,使うのをやめようとしたのだ) のアカウントを削除しようと四苦八苦しているときに発見した。
 まぁ, justdelete.me の一覧を見ると,サイトの性質から考えても, HARD あるいは impossible で当然だなと思うところもたくさんあるけど……。 justdelete.me ,日本語でも似たものがあるのかな。

 やっと,本題。
 29 日に JVN から Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性というのが出ていて,セキュリティホール memo さんが「そのうち徳丸さんから解説が出るだろう」と書いておられた解説が出た。「Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908」。読んでみたけど,難しくて,よくわからん。

 証明書を作るときに「コモンネームをちゃんとやってねー」というのはよく聞く。一致してない場合は,アクセスさせてくれないからだと,理解していた。これは,自前証明局の話ね。

 でも,奥さんの記事「SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)」を読むと,多数の人がアクセスするアプリの場合,コモンネームの検証の実装はそれほど単純なものではないみたいだ。うちの自宅サーバレベルは蚊帳の外みたい(爆)。

 徳丸さんの解説は難しくて 100% 理解しているとはいいがたいのだが,それでも「コモンネームの検証が漏れてる場合があるって,超ヤバいじゃん」ということくらいは十分わかる。

 8月初めには,「App Storeのアプリが盗まれた」って話もあったし,スマホが一気に普及して,それ関係の悪事も花盛りだな。

 徳丸さんの記事の件は,実際に悪用されてるかどうかは現時点で不明なようだが,持っている方は,既に対応バージョンが出ているようだし, 「Kindle – Google Play の Android アプリ」でアップデートしておこう。

 「App Storeのアプリが盗まれた」の件については,セキュリティホール memo さんによると,いたのくまんぼうさんとこが,有用みたい。「注意喚起:アプリ乗っ取り犯の手口判明。ITCアカウントの入力を求めるアプリには注意!

カテゴリー
Vulnerability

例のベネッセの件。

投稿アップデート情報  追記(7/29)

 しかし,なんだって,データがそう簡単に持ち出せたんだろうとか思ってたんだが, connect24h さんが「公知の事実になっちゃったよ。」ってつぶやいてて,フムフムとか,調べてたら,「ファイル転送の「MTP」と「MSC」」のことが絡んでるみたいで,ベネッセの件もさることながら,セキュ担当の現場大変だろうなと,お察し申し上げる。

 connect24h さん流れで,つぶやき見てたら,「システムエンジニアなら、なおさら、知っててもやっちゃいけないコトでしょう?」ってのがあって,まさしくその通りなんだが,その本人の倫理観に期待するというのは,悲しいことに時代遅れというか,この訳の分からないグローバリゼーションの時代においては,日本にだけしか通用しないという考え方なので,というか書いててため息が出てしまう。

 いつもながらのもじり。「母さん、私達のあの日本、どこに行ったんでせうね?ええ、ずっと前に小泉八雲が、あれほど感嘆したあの日本ですよ。」

追記(7/29):
 なんか,結構, MTP で来る方がいるので,もう少し書いておこうかなとか思ってしまった(爆)。

 MTP モードそのものは,FOMA でも対応機種はあった。私のふるーい SH906i でさえ対応している。
 ただし,私は使ったことがない。何しろ, FOMA に SD カードも挿さないような人間なので(汗)。で,自分を基準に考えてはいけないが(滝汗),たぶん,他の人もあまり使っていなかったのではないかと思う。そもそも,デフォルトでは, MTP モードになっていなかったし,制限もきつくてあまり役立ちそうに見えなかったし。

 だもんで,今回の犯○もスマホをつないでびっくりしたのではないかな,なにしろ,名前は同じ MTP モードでも,使い勝手が全然違うみたいだから。割りと,ベテランの SE だったようだから,逆に衝撃が激しかったりしてね。

 だからってそれで申し開きはきかへんでー。

カテゴリー
Vulnerability

バッファローダウンロードサイトのウイルス混入について。

投稿アップデート情報  追記(6/7)

 バッファローにユーザ登録してあるので,昨日付で,「バッファローダウンロードサイトのウイルス混入によるお詫びとご報告」というメールが来た。

 ここまでの詳細は<ご参考:これまでの経緯>に記載がある。またもや,Adobe Flash Player の脆弱性利用のネットバンキングがらみの話のようだ。

 当該日にバッファローのダウンロードを使った方は,自PCをチェックしたほうがいいだろう。バッファローのメールでは,Infostealer.Bankeiya.Bというものだとなっているが,これはシマンテックの命名で,他のウイルス対策ソフトでの名称は,virustotalなどの情報でわかる。たとえば,こんな感じ

追記(6/7):
 バッファローから,続報が出ている。
ダウンロードサイトのウイルス混入に関するご報告(6/5付続報)
 さらに続報(6/11に追記)。
ダウンロードサイトのウイルス混入報告に関する訂正とお詫び(6/9付続報)

カテゴリー
Vulnerability

Web-based DNS Randomness Test。

 「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について」について記事を書いたときに, Web-based DNS Randomness Test についてギャンギャン言って,ギャンギャンいうだけじゃあまりにも無責任なので,サイトのアドミンにメールしてみたのだが,その返事が今日来た。

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

ということなので,私が送ったテスト結果はメインのサーバに関してのものだが,「DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということだと, Web-based DNS Randomness Test は,一応,大丈夫ということになるのかなと思うのだが,この返事を読んで別のことが心配になってしまった。彼が書いてきたことが本当だとすると, Heartbleed testHeartBleed Bug が,どういうチェックの仕方をしてくれているのかということだ。

 私のドメインで動いている Web サーバはたった1台の PC だが,通常は複数であるほうが当たり前だ。だから,当然,そのドメインでつながっているサーバをすべて調べて,1台でも変なのがあれば,警告を出してくれてるんだと思いたい。まさか,てっぺんに立っている代表だけを調べてるわけじゃないよな。

カテゴリー
Vulnerability

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について。

投稿アップデート情報  追記  追記2(4/16)  追記3(4/16)  追記4(4/19)

 JPRS 様のおっしゃるところによれば,「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNS サーバーの設定再確認について」なんだそうで,ございまする。

 DNS サーバーの設定についてのナンチャラカンチャラは,去年もイッパイあったが,先日の CVE-2014-0160 と手に手を取って,パーティやるっち,考えるだに恐ろしい。

 Web-based DNS Randomness Test てのがあるみたいなんだが。何の脈絡もなく,フッと,そのサーバ www.dns-oarc.net を Heartbleed test でチェックしてみたんよ。ほしたら, VULNERABLE かつ Please take immediate action! になったよぉ。えーーーっ。

 この世は,どうなっとんじゃ。

追記:
 テスト結果が 100% 正しいと言えないのは,百も承知だが, heartbleed test でのテストでも, www.dns-oarc.net は Server is vulnerable to all attacks tested, please upgrade software ASAP. という結果になった。どうすんのー?

追記2(4/16):
 www.dns-oarc.net で, DNS Randomness チェックするときにさ,何にも入力するわけではない。だから,個人情報なんかを抜かれるとは思わないが,しかし,これだけ HeartBleed Bug について大騒ぎしてるのに,こういうたぐいのサイトのアドミンが今まで対処していないことに,ガックリ来て,信頼できなくなっちまうわけよ。カミンスキー祭りなんかあって,みーんなが www.dns-oarc.net でチェックしたりすると,このサイトの脆弱性が巡り巡ってどこに影響するかわからないのが,ネットの世界だからなぁ。
 このガックリは,先のスラドのリンク先で見た,「なぜ Theo de Raadt は IETF に激怒しているのか」の Theo de RaadtIETF への怒りにも通じるところがあるような気がする。
 こーんだけ, HeartBleed Bug で大騒ぎしている最中に,警告を出した JPRS がその警告ページに www.dns-oarc.net へのリンクを貼るなら,直接関係はないにしても, HeartBleed Bug の対応が済んでるかくらい,チェックしてから貼んなよということだ。

 しかし,この件はどこにコンタクトをとったらいいんだろう。 admin at dns-oarc.net にメールしてみるかな。

追記3(4/16):
 「強烈なDNSキャッシュポイズニング手法が公開される」。
 「もうなんか,ついていけない」って,素人のつぶやき。上記のページやその中のリンクを見に行くと,どうすりゃいいんだという気になる。難しすぎてよくわからないところも多いが,一般の人も多大な影響を受けるということはよくわかる(出るのは溜息ばかり)。

追記4(4/19):
 上の追記2についてだが,今日,

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

という返事をもらった。私が送ったテスト結果は,「メインのサーバに関してのものだが, DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということなんだけどさ。だから, DNS Randomness test については,それなりに大丈夫ということになるのかな。

カテゴリー
Vulnerability

CVE-2014-0160って?

投稿アップデート情報  追記3(4/16)

 CVE-2014-0160 ってことで,対処としては, secadv_20140407.txt ということらしいんだが, ApacheLounge 版の場合,もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って, News & Hangout にお願いを書こうと思っていったら,もうあった。
     Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

 すぐに,出るかな? openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると,かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

 チェットサイトが作られてた。 Heartbleed test
 同じくテストサイト。 heartbleed test

 当面,ポートを閉じておくことにした。うちの場合は,ユーザは私だけだから,私が不自由に耐えれば,無問題(爆)。@19:00

追記:
 「本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)」をやりやした(爆)。当然,ポートも元に戻したヨ。
 うちは,これでいいとして,「母さん、私達のあの証明書、どうするんでせうね?ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても,心配。

 証明書自体は大丈夫なのかな?いまんとこ,情報は錯綜しているようだが……

追記2:
  The Heartbleed Bug を読み直してみた。やはり,証明書は作り直しておこう。

追記3(4/16):
 SSL Server Test というのもある。 CVE-2014-0160 だけではなく,証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし,証明書の 0day 後の再発行はされていないようだ。

カテゴリー
Vulnerability

CVE-2012-1823

The same article in English

 「さくらのVPSに来る悪い人を観察する その2」と「SSH ハニーポットでの悪い人の観察」を見て大笑いした。徳丸さんところで見つけて,彼が「抱腹絶倒のスライド資料」と書いてあったので,確認のために見に行ったのだが,なるほどだった。

 CVE-2012-1823 関連のスライドショーである。実際のとこ,スライドナンバー 36 で示されているアタックは,どこにでもやってくる。脆弱性があるかないかなんてお構いなしだ。そんなわけで,うちも例外ではない。現サーバ構成には, SSH は含まれていないし, PHP も当該脆弱性とは関係なく CGI 版でもないから,大きな被害は免れているだけだ。しかし,攻撃数が多いときに,管理者(私)が頭に来るという被害は常にある(爆)。

 Ozuma5119 さんなんかは,真の white hacker といえるね。興味があったら,リンク先を訪問してみてください。

カテゴリー
Vulnerability

BOT for JCE.

 セキュリティネタを2つ。

 ひとつ目は, Mozilla の MFSA 2013-103 の件。「重要度:最高」になってた。すぐにアップデートしよう。

 ふたつ目は,表題の件。
 さっき, AWStats のスタッツを見たら,たった1日で HTTP エラーコード 400 がメチャ増えてて,ビックリ。

 アクセスログを調べてみたら,すべて同じ IP アドレス ( xxx.254.253.246 こういう場合さらしちゃっていいのかな,有名どころの不正アクセスサーバとは違うみたいだが。よくわからないので,頭だけ伏せとくワ ) からでずらっと POST かつ 400 が並んでいた。調べたところ, JoomlaJCE というコンポーネント狙いのボットらしい。

 というわけで,我が家は 400 と 404 でもあるし,直接の関係はないわけだが,いろいろ読んでみると, Joomla 1.5 上の JCE1.5.7.4 の脆弱性狙いの攻撃のようで, Joomla にしても JCE にしても,それ用に対処されたパッチはすでに出ているようだ。しかし, Joomla 遣いのサイトにおいても,我が WordPress 同様,セキュリティパッチが施されていないサイトは多い模様で,攻撃されたら危ないよというのは多いらしい。メソッドが POST だから,何か悪いものを仕込んでやろうとしているんだよネ?うまくいったら,そこから次の段階で盗み出しとかに進むんだろう。

 Joomla 本体をアップグレードするなり, JCE を最新にするなりが対策としては手っ取り早い。各サイトで事情もあろうが,しっかり,取り組もう。

カテゴリー
Vulnerability

有名どころサイトの改竄について。

 今日も今日とて,デジタル記事を読んでいたら,一般紙でこんなのがあった。読売新聞です。「「見て感染」サイト急増…トヨタ・環境省も被害」というの。こういう無料バージョンの新聞記事というのは,リンクを貼っておいてもすぐ読めなくなっちゃうので,毎度ながらPDFバージョンも作っといた(「見て感染」サイト急増)。

 まあ,過去に WordPress の プラグインの作者のところで,ウイルスを仕込まれそうになったことがあるが,このときも,サーバを管理しているホスティングサービスがおおもとの問題で,かの作者はすぐにできる対策はしたが,根本的には,会社にクレームをつけているようなことを言っていた。

 サーバというものは,いろんなプログラムの集合体で,100%完全ということはありえないわけだが,それでも,開発の続いているものの場合は,日夜攻防が続いている。開発が終わっているものは,攻攻になっちゃうわけで,ここのところで,「最新バージョンを使おうね」という話になるわけだ。新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。

 Apache,MySQL,PHP,Perl などもしょっちゅうアップデートされているが,私の使っていない大物としては, BIND,Parallels Plesk Panel などの話がある。 BIND については使おうかなと思ったことがあるので,ここの記事でもチラッと触れたことはあるが, Parallels Plesk Panel はまったく縁がなかったので,ここで触れたこともない。しかし,読売の記事を見て,ふっと思い出したのがこれ同PDF版)なのだ。

 Parallels Plesk Panel はコマンドを使い慣れない人には便利なものらしいから,零細なサービスとかでは, JPCERT/CC の危惧どおりいっぱいあるんじゃないかな。その上,ここが困った点なのだが,興味がないと,こういう情報にすら気づかないのが人間なんですよねー。自戒をこめて!!