カテゴリー
Vulnerability

phpMyAdmin狙いの話。

 phpMyAdmin configuration storageのところの【注】に「phpMyAdmin狙いのクローラ」の話を書いているのだが,エラーログでわかるphpMyAdmin狙いクローラの使うディレクトリ名を調べてみた。

 自鯖のエラーログ,帰宅後は現時点でまだ2週間しかとっていないんだけど,それでも49個もあった。もちろん全部エラーが出てるんだけどね。以下の通り。
 まぁ,きちっと管理すればいいのだろうけど,人間が手作業でやることじゃないから,これらのディレクトリ名を避けるだけでも多少の効果はあるのじゃないかと思う。
    admin/mysql-admin
    admin/phpmyadmin
    admin/pma
    database
    datenbank
    db
    dbadmin
    muieblackcat
    myadmin
    mysql
    mysql-admin
    mysqladmin
    padmin
    php-my-admin
    phpadmin
    phpmyadmin
    phpMyAdmin
    phpMyAdmin-2
    phpMyAdmin-2.2.3
    phpMyAdmin-2.2.6
    phpMyAdmin-2.5.1
    phpMyAdmin-2.5.4
    phpMyAdmin-2.5.5
    phpMyAdmin-2.5.5-pl1
    phpMyAdmin-2.5.5-rc1
    phpMyAdmin-2.5.5-rc2
    phpMyAdmin-2.5.6
    phpMyAdmin-2.5.6
    phpMyAdmin-2.5.6-rc1
    phpMyAdmin-2.5.6-rc2
    phpMyAdmin-2.5.7
    phpMyAdmin-2.5.7-pl1
    phpMyAdmin-2.6.0
    phpMyAdmin-2.6.0-pl1
    phpMyAdmin-2.6.2-rc1
    phpMyAdmin-2.6.3
    phpMyAdmin-2.6.3-pl1
    phpMyAdmin-2.6.3-rc1
    phpmyadmin1
    phpmyadmin2
    pma
    PMA
    sqlweb
    typo3/phpmyadmin
    web/phpMyAdmin
    webadmin
    webdb
    websql
    xampp/phpmyadmin

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)更新-#2。

 ちょっと,バタバタしていて出遅れたんですが,「DigiNotarが破産申立」なんていうのも出てました例の件,KB2616676にVer.2が出てます。

 これは,「マイクロソフト セキュリティ アドバイザリ (2607712)更新。」の追記(9/15)で書いた既知の問題関係なので,Windows XP および Windows Server 2003 ベースの方に関係します。マイクロソフト セキュリティ アドバイザリ (2607712)の「よく寄せられる質問」の「なぜこのアドバイザリは 2011年9月20日に更新されたのですか?」のところに書いてある通りです。

 自動更新で,順調に2607712―→2616676の順でパッチがあたった方は無問題。不安な方は,上記リンクからVer.2を落としてあてとけば,悩む必要がなくなるでしょう。

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)更新。

投稿アップデート情報  追記(9/15)

 マイクロソフト セキュリティ アドバイザリ (2607712)の件ですが,アドバイザリ 2607712 更新 – DigiNotar 社のデジタル証明書を削除する更新プログラムを公開というアナウンスがあったのとともに,Windows Update でパッチが配布されているようです。

 ネットにつないであって自動更新にされている方は,もうインストールされているのではないかと思いますが,コントロールパネルで更新プログラムの見える状態にして,2011/09/07の日付でKB2607712があればパッチあては完了しています。

 うちには,IE8しかないのですが,メニューバーからツール>>インターネットオプション>>コンテンツ>>証明書>>信頼された証明機関と進み,今回問題の発行先―たとえばDigiNotar Root CA―をクリックしたのち表示をクリックすると図1が現れます。「この証明書は証明機関から失効されています。」になっていれば,O.K.
 KB2607712がコントロールパネルの一覧にあるにもかかわらず証明書の失効が済んでいなければ,ここに行って手動でダウンロードして当てておいたほうがいいでしょうね。今のところ説明は英文しかありませんが,そのうち日本語版が出ると思いますし,パッチ自体はすでに日本語版が出ています。FireFoxやThunderbird・SeaMonkeyなどもアップデートが出ています。IE以外のブラウザの方も早めに対処しましょう。

 しかし,DigiNotarの不正証明書発行による被害はどんどん広がっているようで,どこで遭遇して被害にあうかわからないので,各プログラムのアップデートはしっかりやっておいたほうがいいと思いますよ。

追記(9/15):
 昨日づけで,2607712のパッチともいうべき,2616676が出たようです。正常なアップデートが行われていれば,9月の定例更新とともに自動更新されるようですが,既知の問題の報告があります。
 Windows XP とWindows Server 2003 については,必ず先に,2607712を当てておいてくださいということらしいです。
 うーん,しかしうちに来る方のキーワードを見ていると,2607712がうまくインストールできない場合があるようなんだが,それの対処法は書いていないようだ。

カテゴリー
Vulnerability

マイクロソフト セキュリティ アドバイザリ (2607712)

 マイクロソフト セキュリティ アドバイザリ (2607712)の件で,ブラウザの証明機関から昨日インストールしているDigiNotarを削除したんだけど,今日ニュースを読んでいると,このことは結構問題を含んでいるようだ。

 もちろん,Google の一部サイトに対して発行された不正な SSL 証明書の問題ということで,これ自体困ったものなんだが,エフセキュアの「Diginotar」がBlack.Spookとイランのハッカーによりハッキングとか読んでると,「Diginotar」の対応にかなりの疑問を呈している。書いていることのスタンスが23日に米Comodoが同じようなことを発表したときと違っているようだ。もちろん,執筆者も違うわけだが。そのときの記事というのは,これ。これを読むと,コードサイニングの悪用というのは,とっても怖いですね。

 今回のことに対して,MSやMozillaはまたすぐに対応するだろうけど。どこか,証明書発行システムの根本的な見直しが必要なのかもしれない。まぁ,こういうことは,いたちごっこですが……

追記(9/1):Firefox 6.0.1,出ました。

追記(9/6):
 ここのところ,サイトのCMSをWordPressに一本化することにスタックしているのだが,この追記は書いておくべきだろう。
 「Diginotar」の件はますます痛い話になってきた。現在,ネット上での商売でデジタル証明書というは欠かすことにのできないものになっているんだから,こんなんあり得ないでしょう。こんなんとは,以下の記事のの中に書いてある「Diginotar」の対応ということだけど。
 MozillaがDigiNotarのCA認定を取り消し、政府関連証明書も失効とか,Mozillaのこの対応も無理ないと思う。
 後で気づいたが,Googleもこんなん書いてる。特に9/3のアップデートの内容に注目。

カテゴリー
Vulnerability

PHPやらApacheやら。

投稿アップデート情報  追記(8/28) 追記2(8/29) 追記3(8/31) 追記4(9/16)

 Apache Killerの件のパッチはいつになったら,出るんだろう。Apache HTTPD Security ADVISORYの記事の最初の時刻は,8/24 16:16:39 GMT(日本時間8/25 00:16:39 だっけ。イギリスはまだ夏時間だよね。)になっていて,48時間でパッチを出したいと書いているのだが,8/26 10:35:31 GMT(日本時間8/26 18:35:31)の記事では,あと1日みたいなことを書いてある。もうすぐ経過するよね。今度は出るだろうか。

 こういうことって,素人に毛の生えたようなサーバ管理者(もちろん自分のこと!! こんなところで威張ってどうするんだ―爆)には,頭痛の種。どうすればいいかよくわからん。Bug 51714からDoS Exploit for mentioned vulnerabilityを落として試してみようとしたら,バスター君の異議で落とせなかった。ブラウザで見るだけでなく,ダウンロード自体ができない。この辺を弄るのも面倒なので,やめることにした。

 Apache LoungeのWarning Security issue :: DoS attack with range requests !のSteffenの書き込みにしたがって,手当てをしておくべきだろうか。うちのような零細なところに故意に攻撃してくるとは思えないけど,「下手な鉄砲も数撃ちゃ当たる」でバカなことをやる頭の悪いハッカーがいたら,流れ弾に当たらないとも限らない。どうせ今まで,おどおどしながら手をこまねいていたんだから,パッチが出るのを待っていようかな。modsecurity_crs_20_protocol_violations.confを利用するのなら,あんまりよくわからなくても手当てだけはできそうだから,やっぱりやっておこうかな。

 しかし,この間のPHP ver.5.3.7のとんでもないバグといいい,こういうことがあるときには続くものですね。

追記(8/28):
 結局,24時間以上たっても,正規のパッチは出ていないもよう。
 ということで昨日,やっぱりやっておいた方がいいかなと思ったことについてだけど,徳丸さんが,
     訂正:mod_securityのCore Rule Set 2.2.2に含まれるApache Killerルールは
     とても効果があるけど、Rangeヘッダのみの対応で、Request-Rangeヘッダには
     対応していないので、他の回避策をとった方が良さそうですね
とつぶやいておられたので,どうしたらいいかなと思いつつ寝た。朝,Twitterを見に行ったら,日記を書いたとつぶやいておられたので,早速見に行った。さすがに徳丸さんで,詳しい検証付きで「Apache killerは危険~Apache killerを評価する上での注意~」を書いておられた。

 徳丸さんは,Apache2.2系を使っておられるとのことなので,この記事を参考に,httpd.confを手直しした。いつも,お世話になります(拝)。あまりにも常識なので,徳丸さんが書いていないことの備忘(汗)。
     LoadModule headers_module modules/mod_headers.so のアンコメント。
     Apacheの再起動。
と思ったら,再起動については,Twitterでつぶやいておられた(爆)。

追記2(8/29):
 パッチはまだ出ていない。Apache Killer (CVE-2011-3192)には,「はっきりと攻撃元のログが残ってしまうので、むやみに撃つのはやめたほうがいいかなと思います。」と書いてある。(笑)

追記3(8/31):対応のApache 2.2.20が出ました。

追記4(9/16):
 アパッチ本家で2.2.21(released 2011-09-13)が出ました。2011-09-14 06:06リリースのCVE-2011-3192.txtがこの件のADVISORYの最終版のよう。
 Loungeでも,Apache 2.2.21 releasedということらしいです。9/8にサイトをXREA+に移したため,サーバのセキュリティアップデートが喫緊の課題でなくなったため,書き込みが遅くなってしまいました。「対岸の火事」と思うと対応がいい加減になるという典型です。お粗末。

カテゴリー
Vulnerability

本家のお世話-#2。

投稿アップデート情報  追記4(2012/4/11)

 初っ端に自鯖をたてた時以来,Apacheについては,http://www.apache.org/dist/httpd/binaries/win32/から.msiを落としてきて使ってきた。
 ところが,今回,3月17日のPHP 5.3.6のリリースで,ちょっと困った事態が発生した。いままで提供されていたVC6 x86 対応バージョンがなくなってしまったのだ(この件に関しては,追記2・3参照)。しかし,PHP 5.3.6ではかなり脆弱性が修正されているので,アップデートしないというのは,日ごろの主義に反する。
 修正された脆弱性は,主なものだけでも以下の通りだ。

  • Enforce security in the fastcgi protocol parsing with fpm SAPI.
  • Fixed bug #54247 (format-string vulnerability on Phar). (CVE-2011-1153)
  • Fixed bug #54193 (Integer overflow in shmop_read()). (CVE-2011-1092)
  • Fixed bug #54055 (buffer overrun with high values for precision ini setting).
  • Fixed bug #54002 (crash on crafted tag in exif). (CVE-2011-0708)
  • Fixed bug #53885 (ZipArchive segfault with FL_UNCHANGED on empty archive). (CVE-2011-0421)

 PHP For Windows では前々から,「Do NOT use VC9 version with apache.org binaries」となっている。見ての通り,NOTは大文字かつ太字。
 仕方がないので,http://windows.php.net/download/での指示通り,Apache Loungeに行って,httpd-2.2.17-win32-x86-ssl.zipを落としてきた。
 さて,地道に本家のお世話に取り組むか。

  1. こいつを解凍してみると,Apacheのディレクトリ名がApache2になっているので,これを現在の使用中のApache2.2に変更。
    また,*.confファイルの中に14か所あるc:/Apache2を,自鯖のパスにアジャスト。
  2. httpd.confを自鯖の環境に合わせて書き換え。
  3. conf/extra内の*.confの追加および書き換え。(awstats用,バーチャルホスト用などなど。)
  4. php-5.3.6-Win32-VC9-x86.zipを解凍して,php.ini-productionをphp.iniにリネームし,現在使用中のphp.iniと比較しつつ,手直し。
  5. allow_url_fopen = Onをallow_url_fopen = Offにする。(RFI対策のひとつ)
  6. ;extension_dir = “ext”をアンコメントし,extension_dir = “C:PHPext”に書き換え。
  7. ;extension=php_gd2.dllをアンコメント。
  8. ;extension=php_mbstring.dllをアンコメント。
  9. ;extension=php_mysql.dllをアンコメント。
  10. ;extension=php_mysqli.dllをアンコメント。
  11. ;date.timezone =をアンコメントし,date.timezone =”Asia/Tokyo”に書き換え。
  12. ;sendmail_from = me@example.comをアンコメントし,sendmail_from =”管理者のメールアドレス”に書き換え。
  13. ;mbstring.language = Japaneseをアンコメント。
  14. ;mbstring.internal_encoding = EUC-JPをアンコメントし,mbstring.internal_encoding = UTF-8に書き換え。
  15. ;mbstring.http_output = SJISをアンコメントし,mbstring.internal_encoding = UTF-8に書き換え。
  16. この際だから,ついでにdisable_functions =も編集して,disable_functions =”shell_exec, suexec, passthru, phpinfo”にしておいた。

 ApacheとPHPの下準備が済んだので,インストールにかかるが,その前にサイトのデータをバックアップ。この間みたいに後で青ざめたくないもんね!!
 今回ほかにもいろいろアップデートが出ているので,下記の順でやります。

  1. まず,VC6からVC9ということで,Microsoft Visual C++ 2008 再頒布可能パッケージ (x86)を,更新も含めてインストール。
  2. ちょっとApacheをストップして,Apache Lounge版とそっくり入れ替え。
  3. C:PHPの中身もPHP 5.3.6とそっくり入れ替え。
  4. ここで,ドキドキしながら,Apacheをスタート。おっ,走ったよッ。
  5. 再度,Apacheをストップ。
  6. ActivePerl-5.12.2.1203-MSWin32-x86-294165.msi
    ————> ActivePerl-5.12.3.1204-MSWin32-x86-294330.msi
  7. mysql-5.5.8-win32.msi
    ————> mysql-5.5.10-win32.msi (マイナーバージョンアップなので上書きインストール。)
  8. ImageMagick-6.6.7-4-Q16-windows-dll.exe
    ————> ImageMagick-6.6.8-10-Q16-windows-dll.exe (いつもながら,OSを再起動しないと更新されない。)
  9. phpMyAdmin-3.3.9-english.zip
    ————> phpMyAdmin-3.3.10-english.zip

 完了。
 いろいろ変わったので,ブログのプラグインでも不具合の起こる恐れもあります。なんか,気づかれましたら,ご連絡いただけたら幸いです。

追記:
 早速だが,次記事に書いたように,file_get_contents()が使えなくなっちゃったので,最新のcurl-7.21.4-devel-mingw32.zipを落としてきて,cURLをインストールした。
 http://www.php.net/manual/ja/curl.installation.phpによると,「libeay32.dll および ssleay32.dll が PATH の通った場所に存在する必要があります。」ということなので,curl.exeとlibeay32.dllをC:PHPにコピーするともに,既に存在したssleay32.dllを最新版で上書き。さらに,php.iniのextensionでextension=php_curl.dllをアンコメントした。

追記2(4/5):
  #apache.org
   httpd-2.2.17-win32-x86-openssl-0.9.8o.msi (released 2010-10-19)
  #apache lounge
   httpd-2.2.17-win32-x86-ssl.zip Changelog 18 Oct ’10
 となっていて,apache.org版でPHP5.3.6はちゃんと動くようだ。
 http://www.phppro.jp/qa/3176 で,iroha_codeさん から情報をいただきました。iroha_codeさん,ありがとうございます。
  何事も,鵜呑みはいけないようですね。

追記3(4/6):
 kazenokakasiさんの情報 (http://sitifukuzin.com/blog/?p=16145) によれば,apache.org版では動かなかったようですね。
 うーん,情報が錯綜しているなぁ。サーバのアップデートというのはあまり試行錯誤してどうこうという種類のことじゃないので,Apache Loungeのzip版の上書きインストールが無難なのかもしれん。

追記4(2012/4/11):
 Apache導入についての新しい記事を,本家のお世話-#28。本家のお世話-#29。に書いた。

カテゴリー
Vulnerability

MS10-018 – 緊急。

先日来,私も気にしていましたマイクロソフト セキュリティ アドバイザリ 981374関連のパッチが,緊急で出ましたね。KB980182というやつですが,マイクロソフト セキュリティ情報 MS10-018 – 緊急というところを読んでみると,ほかにもいろいろ含まれているようで,自動更新にしていない場合は,手動ですぐに当てたほうがいいように思えます。

Java SE 6 も19にアップデートされたようだし,ウイルスバスターの新VSAPIも近々リリースされそうです。

こう引き続くと,ユーザの方もうんざりですが,昨今の状況ではアップデートをサボるわけには行かないし,ましてやメーカやベンダの方たちは大変なことでしょう。

「エールを送りますのでがんばってください。」 <————-って,こんな零細なブロガーに言われてもなぁ。(笑)

カテゴリー
Vulnerability

本家のお世話。

昨日,本家のサーバのApacheをアップデートしました。apache_2.2.14 から 2.2.15 へ。直前のこの記事 (Apache HTTP Server Vulnerability Advisory for Adobe Flash Media Server Customers) のせいね。

ついでに,久しぶりに翻訳文もアップした。こちらにドップリだったので,本家の翻訳はほぼひと月ほったらかし。これでまた,しばらく放っておいてもいいかな。

カテゴリー
Vulnerability

Apache HTTP Server Vulnerability.

今日は,Apacheの脆弱性です。Apache HTTP Server Vulnerability Advisory for Adobe Flash Media Server Customers
まぁ,脆弱性なんてどれにだってあるんだけど,それを狙うマルウェアが増えに増えているのが問題だよね。

嫌な時代になったもんだと,古き良き時代へのノスタルジーに駆られます。
Apache 2.2.15 がリリースされてるから,早急に自宅サーバのお世話をしなくちゃね。パッチあての方がいいかなぁ。