カテゴリー
everyday life

CVE-2014-0160関連で調べてみた。

投稿アップデート情報  追記(4/11)  追記2(4/16)  追記3(4/22)  追記4(5/13)

 通常取引のある https 関係を Heartbleed test で調べてみた。
  All good, yourCheck.domain seems fixed or unaffected!
と出れば,一応OKという扱いで。 100% の保証はないし,対処がいつだったかもわからないし,証明書関係を作り直しているかどうかもわからないし。と,いろいろ問題はあるが,本日,私が使った銀行,電話,ホスティング関係は,みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても,いつから fixed or unaffected なのかはわからないから,心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが,その辺は,一般人には調べようがない。

 それから, FFFTP についてなのだが,川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla(OpenSSLではなくGnuTLSによる実装)への移行をおすすめします」ということだったが,一応,暫定版は出ている。

 ものすごく,基本的なことがわかっていない自分に驚きなんだが, SSL 証明書の中には,もちろん, OpenSSL ベースじゃないものもあるわけで,どこの SSL 証明書が何を使っているかというのは,一般消費者側で確認可能なのだろうか。

追記(4/11):
 考えたら,証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行,電話,ホスティング関係の期限をチェックしてみた。
  銀行  2013/06/04 – 2014/08/02
  電話  2013/11/12 – 2015/12/04
  ホスティング  2013/04/05 – 2016/06/04
 で,これは,どうなんだろう。正式の認証局が再発行する場合,新しくなっても期限は変わらないものですか。それとも,期限が上記の場合は,古いままだと思っていいんですかね。常識的に考えると,発行日は新しくなるべきだと思うんですが。もっとも,もともと OpenSSL での実装でない可能性も大きいわけだが……

 OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが,興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。

追記2(4/16):
 脆弱性確認サイトのメッセージだけれども, heartbleed test のほうは,こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP. ----- Heartbeat の有効/無効の確認後, CVE-2014-0160 に対する脆弱性の判定,警告。----- ----- OK の場合 1 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected. ----- Heartbeat の機能が無効なので,多分,大丈夫だろうという判定。--------------------- ----- OK の場合 2 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug. Checking your certificate Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords? ----- Heartbeat は有効だが,パッチ済の判定。証明書も再発行済,パスワードは変えた?の確認。---- でもって, Heartbleed test のほうは,こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi|
00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW |
00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh|
00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5|
00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.|
00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........|
00000060 0A |.|
}

Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは,まずい。—–

—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので,多分,大丈夫だろうという判定。——————————————–

追記3(4/22):
 昨日付で,「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては,12日18日の発表である。私のカードも関連があるので気になったのだが,今のところは,大丈夫そう。

今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

 ITpro の記事内に上記の引用の表現があるのだが,特定の手段があるなら,教えてほしいもんだよな。公表しても,一般ピーポーにはつかえない特別なシステムがいるのだろうか。または,知られたらすぐに対策されちまうレベルの方法とか???

追記4(5/13):
 まだまだ,後を引きそうだねぇ。セキュリティホールmemoさんも,昨日スマホに関しての追記を書かれていた。

 The list of Android phones vulnerable to Heartbleed bug というのもあったんだが,日本語サイトでは,あまり一覧というのがない気がする。 GALAXY のサイトなんかでも,更新ファイルはあるがその辺の情報にはそれほど触れていない。更新開始日が,4/17とかになってるから間違いなく, HeartBleed 関連だと思うんだけどな。もっとも,スマホ利用の一般ユーザにとっては,スマホ本体にどれだけはっきり,この手の要アップデート情報が届くかのほうが,大事だろう。自分がいまだにスマホを使っていないので,その辺がどうなっているのか不明。身近の Amdroid 使いはあまり何も言っていないけどな。実際のとこ,どうなんだろう。

 Google App としては,だいぶ前から, Heartbleed Detector があるが,本人が調べる気になるかどうかが問題だからなぁ。

 再度, PC でのチェックサイトを掲載しておく。
     Heartbleed test
     heartbleed test
     Trend Micro Heartbleed Detector (無くなっちゃったみたいだ)

カテゴリー
Vulnerability

CVE-2014-0160って?

投稿アップデート情報  追記3(4/16)

 CVE-2014-0160 ってことで,対処としては, secadv_20140407.txt ということらしいんだが, ApacheLounge 版の場合,もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って, News & Hangout にお願いを書こうと思っていったら,もうあった。
     Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

 すぐに,出るかな? openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると,かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

 チェットサイトが作られてた。 Heartbleed test
 同じくテストサイト。 heartbleed test

 当面,ポートを閉じておくことにした。うちの場合は,ユーザは私だけだから,私が不自由に耐えれば,無問題(爆)。@19:00

追記:
 「本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)」をやりやした(爆)。当然,ポートも元に戻したヨ。
 うちは,これでいいとして,「母さん、私達のあの証明書、どうするんでせうね?ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても,心配。

 証明書自体は大丈夫なのかな?いまんとこ,情報は錯綜しているようだが……

追記2:
  The Heartbleed Bug を読み直してみた。やはり,証明書は作り直しておこう。

追記3(4/16):
 SSL Server Test というのもある。 CVE-2014-0160 だけではなく,証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし,証明書の 0day 後の再発行はされていないようだ。

カテゴリー
everyday life

笑っちゃいけないけど……

投稿アップデート情報  追記(2/6)

 笑っちゃいけないし,笑いごとじゃないけど,やっぱり笑っちゃった件。以下,順不同に羅列。

 最後の記事については,さすがに追記がついているのだが,どうなるのかなぁ。 ANA については,我が家もマイレージを使っているけど,そっちも変わりますかー⤴。

 しかし,セキュリティの話って,いくら口を酸っぱくして説明し,口角泡を飛ばしても,聞いてるほうにその気がなければ,屁の突っ張りにもならないという明白な証左だね。その辺は,私ごとき辺境の住人でも,いつも「困ったもんだ」って件なんだけどサ。

追記(2/6):
 この件関連で,徳丸さんのところに,架空インタビュー仕立ての記事が載った。GitHubに関する話なども再引用されてて,なかなか,ためになる。JALの不正ログイン事件について徳丸さんに聞いてみた

カテゴリー
everyday life

ハーーァ。

 レベルは違うけど,いろいろ「ハーーァ」な話を順不同で列挙。列挙というと辣韭と書きたくなっちまうなぁ。 —> 我ながら,アホだね(汗)。

 正月でバタバタした後,寝込んだせいでいろいろセキュリティネタを書く元気がないので,あちこちチラチラ見ながら「ハーーァ」と溜息をついている始末。ハーーーーーーーァ。

カテゴリー
everyday life

こんなことがあっていいのか。

The same article in English

 今月20日に, Reuters が “Exclusive: Secret contract tied NSA and security industry pioneer” というすっぱ抜きをやった。 23 日には,ミッコ・ヒッポネン が “EMCおよびRSAのトップ達への公開書簡” を書いた。

 こんな話を信じたくはないが,ミッコがこんなものを書くということは,あらかた真実なんだろうと思わざるを得ない。 NSA にとっては,ある意味正規の仕事をやったにすぎないと言えないこともないが, RSA のほうからいうと恥を知ないにもほどがあるということになる。もちろん,片方の側の記事を読むだけでなく,反対側の記事,例えば NSAとの関係に関するメディアの主張に対するRSAの対応 (魚拓です)なんかも読まなければいけない。

 しかし,一番悲しいことは, RSA への信頼が損なわれたということである。

カテゴリー
Vulnerability

BOT for JCE.

 セキュリティネタを2つ。

 ひとつ目は, Mozilla の MFSA 2013-103 の件。「重要度:最高」になってた。すぐにアップデートしよう。

 ふたつ目は,表題の件。
 さっき, AWStats のスタッツを見たら,たった1日で HTTP エラーコード 400 がメチャ増えてて,ビックリ。

 アクセスログを調べてみたら,すべて同じ IP アドレス ( xxx.254.253.246 こういう場合さらしちゃっていいのかな,有名どころの不正アクセスサーバとは違うみたいだが。よくわからないので,頭だけ伏せとくワ ) からでずらっと POST かつ 400 が並んでいた。調べたところ, JoomlaJCE というコンポーネント狙いのボットらしい。

 というわけで,我が家は 400 と 404 でもあるし,直接の関係はないわけだが,いろいろ読んでみると, Joomla 1.5 上の JCE1.5.7.4 の脆弱性狙いの攻撃のようで, Joomla にしても JCE にしても,それ用に対処されたパッチはすでに出ているようだ。しかし, Joomla 遣いのサイトにおいても,我が WordPress 同様,セキュリティパッチが施されていないサイトは多い模様で,攻撃されたら危ないよというのは多いらしい。メソッドが POST だから,何か悪いものを仕込んでやろうとしているんだよネ?うまくいったら,そこから次の段階で盗み出しとかに進むんだろう。

 Joomla 本体をアップグレードするなり, JCE を最新にするなりが対策としては手っ取り早い。各サイトで事情もあろうが,しっかり,取り組もう。

カテゴリー
everyday life

速さにたじろぐ。

 何の速さかというと,変化の速さ。ここのところ,いろいろと,変化の速さにたじろぐことが引き続いちゃって。語るに落ちるね。ハハ。

 ひとつ目は, F-12D(らくらくスマートフォン)の LINE 対応の話。
 先日,知り合いに, F-12D で LINE を使うにはどうしたらいいのかと聞かれた。何しろ,ラクラクかタイヘンかは問わず,いまだにスマホを持っていないので(大汗),ググってみた。ところが,ページごとに出来るとか出来ないとか,書いていることが違う。書いた方がいい加減なのではなく,どうも時々刻々と対応状況が変化しているらしい。

 最終的にぶち当たったのは,「らくらくスマートフォン:F-12D、F-08EにLINEが対応」というページ。なんと,10月30日から対応したんだって。というわけで,このページにあるように,「d メニュー」からあっさり。ホーッ。
 で,もひとつビックリなのが, LINE の下のほうに書いてあった「一般の携帯電話でもご利用が可能です。」というセリフ。一応,やってみたよー。例の SH906i で。できちゃった。もっとも,使える機能は限られてて,いちいち,ネットに接続しなければいけないし,面倒なので,すぐにやめちゃったけど。何しろ,ガラケーはパケ・ホーダイにすらしていないから,うっかりネットをやりすぎると,物入りなのだ。私には, L-09C という強い味方がいるからね。実は,最近は他の機種と比べてそれほど強いとも言えないけど(苦々ッ)。ヤッパうちのあたりでは,捨てがたいよ。

 ふたつ目は,ケータイのカメラの性能。もっとも,残念ながら自分のではない。
 テレビを見ていたら,がケータイ(多分スマホ,チラ見で機種不明)で星空を撮っていた。ケータイだよ,ケータイ。しかも,かなりちゃんと写っていて,オドロキ。御嶽山の山小屋の外とかで,確かに暗さもあって星がしっかり見えてるところだったけど。

 このブログに,一番初めにお月さんの写真を載せたときに, june さんから「望遠なんて持っていないし・・・。」というコメントをいただいたが,これがウチらの世代では普通の反応。お月さんを撮影した私自身も,「へえーっ,コンパクトデジカメで満月が撮れるんだ!!」と感無量だったもの。

 それが,いまやケータイで星空だよ。たじろいでも無理ないでしょ。

 みっつ目は,「本格的に日本を襲い始めたAPT」。
 これは,マイクロソフトの「2013年11月のセキュリティ情報」の中にある MS13-090 がらみ。前の2つはありがたい話だけど,これは嬉しくないねぇ。
 今までは,ゼロデイがあっても,結構日本は蚊帳の外ってことが多くて,ノホホンとしてても割と大丈夫だったってことがあるんだけど,どんどんそうではなくなっている。この間も書いたけど,いつまでついていけるのかなあ。もともと少ない自信が,日々目減りしていく今日この頃なのであります(爆)。

カテゴリー
Windows

2013年10月マイクロソフト定例。

投稿アップデート情報  追記(10/10)

 2013年10月のセキュリティ情報ということです。 Adobe Acrobat Reader もアップデートが出ました。

 近ごろの我が家,セキュリティネタが少ないと思ってるでしょ。ないんじゃないです。ありすぎてアップアップで,書く気がしなくて,この体たらく。なんかもう,ほんと,おなか一杯,手いっぱい。

 対応する皆様,いずこの方も頑張ってください。零細な自鯖運営者も,及ばずながら,日々,努力しておりますですよー。 m(_”_)m

追記(10/10):
 まぁ, M$ の分だけでも多くて多くて,ほんとにちょっとアップアップなんですが,そうは言いながらも定例がらみで発見したことだけ書いておきます。

 なんかいっぱい緊急があって,なおかつズラズラと謝辞が並んでるなぁ,そういう時代なんだなと2013年10月のセキュリティ情報を読んでたら,謝辞のところに明らかに日系の名前があった。へえ,日系米人かと思ったが,よく見たら,どうもラックの石川芳浩さんですねぇ。

 で,行ったことのなかった LAC Co. をのぞいてみたら,こんなんありました。

 こういう時代なんですねえ。下級な現場のもの(—>自分のことですわ)もしっかりしないと,時代に取り残される。取り残されるだけならいいけど,いつ痛い目に合うかわからんなぁ。

カテゴリー
Linux

起きてびっくり,サイト改竄? at よそ様-続々々々々報。

 ぐふふ,ついに踊り字4つだよー。まっ,これで打ち止めだとは思うけどね(汗)。

 2013/09/09第三者によるユーザーサイトの改ざん被害に関するご報告ということで,09/09 20:42 追記後は増えていないから,これが公式な最終報告なのかなと思う。結局のところ,

■原因

  • 改ざんの原因
    簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。
  • 改ざんが拡大した原因
    サーバー側のディレクトリパーミッションが不適切だったことと、FollowSymLinks の設定を有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、他のユーザー様の wp-config.php の内容を参照し、データベースの更新を実行することで改ざんの被害が拡大しました。

    上記の事象と原因に関して、被害の拡大を防ぐため以下の対策を実施いたしました。

ということで,今回,被害が拡大したことについては, WordPress は無関係ということだ。無罪放メーン。

 もっとも,前記事で「大穴があいていたもので,個別の穴狙いでチョコチョコ出入りしていたクラッカーが,図に乗っちゃったということになるのか。」と書いたように,チョコチョコ出入りしようとするクラッカーはどのサイトでも見受けられるわけで, WordPress は売れ筋の CMS であるだけに,狙われやすいのだということは,肝に銘じておいたほうがいい。 Mac より Windows 狙いのマルウェアが多いのと同理由である。

 ロリさんのところがどのくらい改善されたのか試してみたい気もするが,最近は,あちこち手を出すのは止めてるので,どうなるかな。

 よそ様の運営に口を出すのもおこがましいが, WordPress の簡単インストールというサービスを提供するのであれば,もう少しガチガチにしといたほうがいいだろうと思う。ロリさんところで,簡単インストールを利用しようってユーザの場合,「パーミッション,何それ,おいしいの?( <-- 先に謝っときます。この表現,気に障ったらゴメンナサイ)」レベルの場合が考えられるわけで,インストールされそこなって放置される場合はもちろん,運営する状況に至っても,パーミッションまで気が回らないことは十分考えられるはずだから,簡単インストールなら,当然,そこまで面倒見るべきだろう。アップデートサービスについても然りだ。  WordPress はテーマやプラグインが豊富なのも魅力の一つだが,簡単インストールの場合だと,これらについては個別ユーザが自由にインストールできないようにしておくべきだ。それをやっておかないと,テーマやプラグイン由来の穴に対する保守が不可能になる。メリットも殺しちゃうことになるんで,痛し痒しだろうけど。  マルチサイトの子サイトとして提供するのがいいんだろうが,それだと,簡単インストールサービスじゃなくて,ブログのサービスになっちゃうからなぁ。  我が家の場合は,自鯖の上にユーザは私一人という特殊事情だから,そんな難しいことは考えなくていいんだけど,共用サーバって難しいんだろうね。

カテゴリー
Linux

起きてびっくり,サイト改竄? at よそ様-続々々々報。

投稿アップデート情報  追記

 完全に,後出しの話になる(爆)。ところで,踊り字3つだよーっ(汗)。

 実は,「起きてびっくり,サイト改竄? at よそ様-続々報。」のときに, Apache のドキュメントを読みに行って,何のことだろうと思っていた記述があった。それは,「このオプションを省略したからといってセキュリティの強化にはなりません。 なぜなら symlink の検査はレースコンディションを引き起こす可能性があり、 そのため回避可能になるからです。」というものだ。その時点では,そのことについて,触れているところを見つけられなかった。

 ところが,今晩,2つも見つけてしまった。やはり, Symlink Attacks に関連のあることだったようだ。
 見つけたのは,次の2つ。一つは WikiPedia で「 Symlink race 」の説明のところ,もう一つは,「 Apache HTTPD: `Options -FollowSymLinks` は不完全」というページ。

 特に,2つ目は,今回の事件を踏まえて書いていることなので,飲み込みやすい。要するに,
————————————————————————————————————————————————
「シンボリックリンク機能を持つ UNIX (リンク先の文中に,LINUX についても同等のことが可能である記述がある ― o6asan 追記) には 『ファイルがシンボリックリンクかどうかの判定』、 『ファイルまでのパスがシンボリックリンクかどうかの判定』、 『ファイルのオープン』を一度に処理する方法がない」
————————————————————————————————————————————————
ために,タイムラグが生じる。そのせいで隙が生まれ,悪用可能という話だ。この種類のことには,名前まである(「Time Of Check to Time Of Use」 = TOCTTOU)らしい。

 OSSTech の佐藤さんの書いた記事で,この間引用した徳丸さんの記事の話も,さくらインターネット社長の田中さんの記事の話も出てくる。

 実にわずかな時間の話だが,コンピュータは瞬時の生き物だからなあ。

 ここで,「TOCTTOU について具体的に解説していて参考になるページ」として挙げられている IPA の説明は,素人にはまるで手品のように思える不思議さである。

 今,徳丸さんのところに「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」を読みに行ったら,3日付の追記が増えていた。うーん,共用レンタルサーバだとそういうことになるんですか。

 田中さんのページ,「共用サーバにおけるSymlink Attacksによる攻撃とその対策について」には,今のところ,特に追記はないようだが, twitter では,佐藤さんとのつぶやきを閲覧可能である。いろいろと,使える対策を話し合ってる感じ。

追記:
 4日に書いたつもりが,公開の日付を見たら5日になっている。書いてる間に日が変わったようだ。まっ,いいけど。

 ところで関連でこんなのもあった。興味深いが,むずかしー。ユーザが一人しかいない,我が家では悩まなくていいようだけどネ。