カテゴリー
WordPress

カールはプードル飼ってるのかな?

The same article in English
投稿アップデート情報  追記(10/26)

 前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。

 curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。

追記(10/26):
 cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。

 何はともあれ,(*´▽`*)。

カテゴリー
Windows

覚え書-#20。

The same article in English
投稿アップデート情報  追記(10/18)

 もう, “POODLE” 問題(つまり, CVE-2014-3566)には,対処した? OpenSSL のオフィシャルでも, OpenSSL Security Advisory [15 Oct 2014] が出てる。

 サーバ管理者としては下記のことをやった。
 今のところ, 1.0.1j でビルドされた Apache Lounge 版の Zip が手に入らないので, “SSL v3 goes to the dogs – POODLE kills off protocol” にあった回避策をやった。

 httpd-ssl.conf に SSLProtocol All -SSLv3 を書き加えて, httpd.exe をリスタートした。やる前は, SSL Server Test で “This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C” だったが,回避策後は, “This server is not vulnerable to the POODLE attack because it doesn’t support SSL 3” になった。実のところ,うちでは, Apache 2.4 と OpenSSL 1.0.1 を使っているので,うちの mod_ssl の場合, ‘SSLProtocol all’ は ‘SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2’ ということになる。これは SSLProtocol Directive に記述がある。

 ユーザとしては,ブラウザで SSLv3 を停めた。
 やり方は,これも How to protect your browser にあった。英文だが,図もあってわかりやすい。日本語のサイトでは, IE, FireFox, Chrome の 3 つともの説明があるところを見つけられなかった。

追記(10/18):
 PHP 5.6.1 —>> PHP 5.6.2 ChangeLog.
 phpMyAdmin 4.2.9.1 —>> phpMyAdmin 4.2.10 ChangeLog.

カテゴリー
Vulnerability

ShellShock,ショーーーーーック!

The same article in English
投稿アップデート情報  追記(9/30) 追記2(10/6)

ヒェーッ!!
もう対処しました? ShellShock 。うちのサーバ OS は Windows なので,直接の影響はなさそうですがね。まぁ,とんでもない脆弱性ですよ, NVD のスコアは満点の 10 だし。 VMWare 上に CentOS 6.5 があるので,その bash は,一応 bash-4.1.2-15.el6_5.2.i686 にアップデートしました。

アップデートが済んだ後に env x='() { :;}; echo vulnerable' bash -c "echo this is a test" で,以下のメッセージが出るようだと,初期のパッチしか当たっていないので,もう一度アップデートが必要です。
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for 'x'
this is a test

この情報は Red Hat Customer Portal 上の Masanari Iida さんのコメントで発見したものです。

関連リンクをちょっとだけ。もちろんネット上にはすごい量の記事がありまっさ:

ところで,うちの Apache エラーログには,昨日までに 6 回のアタックが残っていて,それについては昨日ブロックするようにしたんですが,本日現時点までで,また新しいところから 2 回のアタックがあってました。どれに対しても, HTTP エラーが返ってるんですがね。

追記(9/30):
Bash bug: apply Florian’s patch now” に, “I very strongly recommend manually deploying Florian’s patch unless your distro is already shipping it.” という記述があり,そのパッチが当たっているのかどうかの確認方法も書いてある。

Bash 自身で foo='() { echo not patched; }' bash -c foo をやったときに, “コマンドが見つかりません” が返ってくればパッチ済, “not patched” なら未パッチ。

コメントで, vdp が “These ‘toughen the feature’ patches still feel quite scary.” と書き,あまり使わない機能なので,デフォルトでは使えないようにして,必要な場合はセキュリティに気を付けて有効にするようにしたらどうかと提案しているが,そのほうがいいんじゃないだろうか。

追記2(10/6):
セキュリティホール memo さんのところのに 10/6 づけで追記が出ていた。

ウォオオ。
foo='() { echo not patched; }' bash -c foo
だけではいけないようですな。ただし, CVE-2014-6271 や CVE-2014-7169 と比べれば,危険度はグッと下がっているらしいです。

カテゴリー
Vulnerability

Android 版 Kindle の SSL サーバ証明書検証不備脆弱性。

 表題の件,我々一般人には,一見関係なさそうに見えるが,怪しいアプリをうかつに使わないとか,メールアカウントやパスワードの管理をしっかりするとかいうことでは,同じなんじゃないかと思う。

 そういえば,昨日,「ネット競売、消せぬ情報 大手3社、履歴・カード番号保存 利用者「流出が心配」」というのもあったな。えって,思うかもしれないけど,結構そういうとこ多い。だって,登録させる側からいえば,データの不正使用をする気はなくても,ユーザ側の無料版の反復利用を防ぐためだけでも,元情報は必要なわけだから,良心的であっても,罰則がないなら,データを保持するほうが妥当だと思う。どのくらい保持するとかで口を拭ってる様子は感じられるが……。知識の欠如から対応がいい加減なところもあるにはあるけどね。

 登録データの削除については,簡単/困難/不能をまとめたこんなサイトがある。 justdelete.me
 このサイトは, bitly.com (有名どころだが,日本語対応がないみたいなので, twitter そのものの短縮リンクが向上してからは,使うのをやめようとしたのだ) のアカウントを削除しようと四苦八苦しているときに発見した。
 まぁ, justdelete.me の一覧を見ると,サイトの性質から考えても, HARD あるいは impossible で当然だなと思うところもたくさんあるけど……。 justdelete.me ,日本語でも似たものがあるのかな。

 やっと,本題。
 29 日に JVN から Android 版アプリ Kindle における SSL サーバ証明書の検証不備の脆弱性というのが出ていて,セキュリティホール memo さんが「そのうち徳丸さんから解説が出るだろう」と書いておられた解説が出た。「Android版KindleにおけるSSLサーバ証明書の検証不備の脆弱性CVE-2014-3908」。読んでみたけど,難しくて,よくわからん。

 証明書を作るときに「コモンネームをちゃんとやってねー」というのはよく聞く。一致してない場合は,アクセスさせてくれないからだと,理解していた。これは,自前証明局の話ね。

 でも,奥さんの記事「SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)」を読むと,多数の人がアクセスするアプリの場合,コモンネームの検証の実装はそれほど単純なものではないみたいだ。うちの自宅サーバレベルは蚊帳の外みたい(爆)。

 徳丸さんの解説は難しくて 100% 理解しているとはいいがたいのだが,それでも「コモンネームの検証が漏れてる場合があるって,超ヤバいじゃん」ということくらいは十分わかる。

 8月初めには,「App Storeのアプリが盗まれた」って話もあったし,スマホが一気に普及して,それ関係の悪事も花盛りだな。

 徳丸さんの記事の件は,実際に悪用されてるかどうかは現時点で不明なようだが,持っている方は,既に対応バージョンが出ているようだし, 「Kindle – Google Play の Android アプリ」でアップデートしておこう。

 「App Storeのアプリが盗まれた」の件については,セキュリティホール memo さんによると,いたのくまんぼうさんとこが,有用みたい。「注意喚起:アプリ乗っ取り犯の手口判明。ITCアカウントの入力を求めるアプリには注意!

カテゴリー
Windows

マイクロソフト セキュリティ アドバイザリ 2915720 の続き。

The same article in English

 台風(Halong)が来てますねぇ。でも,何となく大丈夫そうな我が家辺。しかし,「備えあれば患えなし」ですからネ。なめずにチャンとやっときまっしょい!!

 ところで,「マイクロソフト セキュリティ アドバイザリ 2915720 ???」 というのを前に書いたが,ご記憶だろうか。この記事は, 8/12 も近づいてるが,あれはどうなってるんだろうと思ったという話。

 ここのところ,翻訳ほうで頭がいっぱいで,マイクロソフト セキュリティ アドバイザリ 2915720 の更新記事を見逃していたのだが,昨日気づいた。

 結論から言うと,「マイクロソフトが、サポートされているリリースの Microsoft Windows で、より厳格な検証動作を既定の機能として適用する計画を中止したことをお知らせしました。」ということらしい。ただし,「この機能は引き続き、お客様が使用するかどうかを選択する機能として提供されます。」ということで,レジストリの中にひっそりと残るようだ。

 ネット上の話によると,思ったよりもずっと影響が大きなことを改めて認識して,今回は,撤回したということらしいんだけどネ。

カテゴリー
WordPress

覚え書-#17。

 いつも忘れるので,メモ。

 デフォルトままのだと, /?author=1 をやると登録ユーザ名が見えてしまう。これは,管理ページのプロフィールで,表示名をニックネームとかに変えてても同じ。

 これを避けるために, Edit Author Slug プラグインを使って,管理ページのプロフィールで変更する。変更後は,プラグインは停止・削除してかまわない。

カテゴリー
Vulnerability

例のベネッセの件。

投稿アップデート情報  追記(7/29)

 しかし,なんだって,データがそう簡単に持ち出せたんだろうとか思ってたんだが, connect24h さんが「公知の事実になっちゃったよ。」ってつぶやいてて,フムフムとか,調べてたら,「ファイル転送の「MTP」と「MSC」」のことが絡んでるみたいで,ベネッセの件もさることながら,セキュ担当の現場大変だろうなと,お察し申し上げる。

 connect24h さん流れで,つぶやき見てたら,「システムエンジニアなら、なおさら、知っててもやっちゃいけないコトでしょう?」ってのがあって,まさしくその通りなんだが,その本人の倫理観に期待するというのは,悲しいことに時代遅れというか,この訳の分からないグローバリゼーションの時代においては,日本にだけしか通用しないという考え方なので,というか書いててため息が出てしまう。

 いつもながらのもじり。「母さん、私達のあの日本、どこに行ったんでせうね?ええ、ずっと前に小泉八雲が、あれほど感嘆したあの日本ですよ。」

追記(7/29):
 なんか,結構, MTP で来る方がいるので,もう少し書いておこうかなとか思ってしまった(爆)。

 MTP モードそのものは,FOMA でも対応機種はあった。私のふるーい SH906i でさえ対応している。
 ただし,私は使ったことがない。何しろ, FOMA に SD カードも挿さないような人間なので(汗)。で,自分を基準に考えてはいけないが(滝汗),たぶん,他の人もあまり使っていなかったのではないかと思う。そもそも,デフォルトでは, MTP モードになっていなかったし,制限もきつくてあまり役立ちそうに見えなかったし。

 だもんで,今回の犯○もスマホをつないでびっくりしたのではないかな,なにしろ,名前は同じ MTP モードでも,使い勝手が全然違うみたいだから。割りと,ベテランの SE だったようだから,逆に衝撃が激しかったりしてね。

 だからってそれで申し開きはきかへんでー。

カテゴリー
net radio

No-IP からメールが来たよ。

The same article in English
投稿アップデート情報  追記(7/11)

 ネットラジオ (もうありません – 2016.6.1)用に No-IP を使ってるもんだから,メールが来た。タイトルは ★ Update to Microsoft Takedown – All Domains Restored ★。もちろん,Microsoft takes on global cybercrime epidemic in tenth malware disruption” の関連ね。元記事がなくなってしまったようなので,リンク先を The Internet Archive の魚拓に変えた (2014.9.24)。 GIGAZINE にも1日に関連記事が出てたよね。

No-IP からのメール
No-IP からのメール

 ここには,どっちの味方のコメントも書かないことにするが,ユーザとしては,「No-IP くん,もう大丈夫かい?」とだけ聞いておきたい。

追記(7/11):
 本日, No-IP から2通目のメールが来た。

No-IP からのメール#2
No-IP からのメール#2

 ”Update: Details on Microsoft Takeover” に,経緯が書かれている。

 いずれにしても,ご苦労さん&おめでとうさん, No-IP 。

カテゴリー
Vulnerability

バッファローダウンロードサイトのウイルス混入について。

投稿アップデート情報  追記(6/7)

 バッファローにユーザ登録してあるので,昨日付で,「バッファローダウンロードサイトのウイルス混入によるお詫びとご報告」というメールが来た。

 ここまでの詳細は<ご参考:これまでの経緯>に記載がある。またもや,Adobe Flash Player の脆弱性利用のネットバンキングがらみの話のようだ。

 当該日にバッファローのダウンロードを使った方は,自PCをチェックしたほうがいいだろう。バッファローのメールでは,Infostealer.Bankeiya.Bというものだとなっているが,これはシマンテックの命名で,他のウイルス対策ソフトでの名称は,virustotalなどの情報でわかる。たとえば,こんな感じ

追記(6/7):
 バッファローから,続報が出ている。
ダウンロードサイトのウイルス混入に関するご報告(6/5付続報)
 さらに続報(6/11に追記)。
ダウンロードサイトのウイルス混入報告に関する訂正とお詫び(6/9付続報)

カテゴリー
Windows

マイクロソフト セキュリティ アドバイザリ 2915720 ???

The same article in English

 6月になっちゃいましたねぇ。
 2013年12月11日に,マイクロソフト セキュリティ アドバイザリ 2915720 が出たとき,「Windows Authenticode 署名形式で署名したバイナリの署名の検証方法を変更」っていう話があった。でもって,変更そのものは,セキュリティ情報 MS13-098 で既に配布されているが,2014年6月11日までは有効化されないよということだった。

 例のごとく「推奨するアクション」があったので,やってみた。”EnableCertPaddingCheck”=”1″ を試したのは, CF-J10(Win7 HP Sp1 64bit), NJ2100(Win8 Pro 32bit), xw4200(Win7 HP Sp1 32bit), KeyPaso(Vista Business SP2 32bit) の4台。いずれにおいても特にトラブルはなかった。どんな状況で問題が発生するのが,経験済みの方は,お教えいただければ幸いである。

 もっとも,マイクロソフト セキュリティ アドバイザリ 2915720 は 2014年5月22日に更新されてて,変更が有効になるのが, 8月12日に延期されたようだ。