カテゴリー
Vulnerability

CVE-2014-0160って?

投稿アップデート情報  追記3(4/16)

 CVE-2014-0160 ってことで,対処としては, secadv_20140407.txt ということらしいんだが, ApacheLounge 版の場合,もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って, News & Hangout にお願いを書こうと思っていったら,もうあった。
     Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

 すぐに,出るかな? openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると,かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

 チェットサイトが作られてた。 Heartbleed test
 同じくテストサイト。 heartbleed test

 当面,ポートを閉じておくことにした。うちの場合は,ユーザは私だけだから,私が不自由に耐えれば,無問題(爆)。@19:00

追記:
 「本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)」をやりやした(爆)。当然,ポートも元に戻したヨ。
 うちは,これでいいとして,「母さん、私達のあの証明書、どうするんでせうね?ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても,心配。

 証明書自体は大丈夫なのかな?いまんとこ,情報は錯綜しているようだが……

追記2:
  The Heartbleed Bug を読み直してみた。やはり,証明書は作り直しておこう。

追記3(4/16):
 SSL Server Test というのもある。 CVE-2014-0160 だけではなく,証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし,証明書の 0day 後の再発行はされていないようだ。

カテゴリー
Windows

本家のお世話-#98。(PHP5.5.11へアップデート)

The same article in English

 PHP5.5.11 が Apr-03 06:21:19UTC に出たので,アップデートした。

 ChangeLog によれば, CVE-2013-7345 のパッチが入っている模様。

 php.ini-production には,変更点なし。php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
Windows

本家のお世話-#97。(Apache 2.4.9へアップデート)

The same article in English

 Apache HTTP Server 2.4.9 が出たので,アップデート。 OpenSSL 関連で問題があったとかで, 2.4.8 はリリースされなかったので, 2.4.9 は 2.4.8 の変更も内包していることになる。

 VC11 用の httpd-2.4.9-win32-VC11.zip (16 Mar) を我が家用 ( Windows7 x86 ) にダウンロード。 Apache 2.4.x conf 情報が必要な方は,「Windows7上にWamp系WebServerを建てる-#1。」を見てください。

カテゴリー
Windows

本家のお世話-#96。(MariaDB5.5.36へアップデート)

The same article in English

 本日,自鯖上 (Windows7HP+SP1(x86)) の MariaDB を 5.5.36 にアップデートした。 Changelog は,こんな感じ。

 何はともあれ,バックアップ。特に, MariaDB と MyDB

 で,アップデート。

  1. mariadb-5.5.36-win32.zip をダウンロード。
  2. Zip を展開。
  3. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを停止。
  4. MariaDB にある bin,include,lib,share の4つを,そっくり,新しいものと入れ替える。
  5. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを開始。

 以上。

カテゴリー
Windows

本家のお世話-#95。(PHP5.5.10へアップデート)

The same article in English

 WOFF にはまってたので書き忘れたが, 3/10 に PHP5.5.10 にアップデートした。

 ChangeLog によると, CVE-2014-1943CVE-2014-2270CVE-2013-7327 のパッチが含まれているらしい。

 php.ini-production から,以下の 31 行が削除されている。うちのサーバには特に影響なし。
———————————————
; session.bug_compat_42
; Default Value: On
; Development Value: On
; Production Value: Off
———————————————
; session.bug_compat_warn
; Default Value: On
; Development Value: On
; Production Value: Off
———————————————
; PHP 4.2 and less have an undocumented feature/bug that allows you to
; to initialize a session variable in the global scope.
; PHP 4.3 and later will warn you, if this feature is used.
; You can disable the feature and the warning separately. At this time,
; the warning is only displayed, if bug_compat_42 is enabled. This feature
; introduces some serious security problems if not handled correctly. It’s
; recommended that you do not use this feature on production servers. But you
; should enable this on development servers and enable the warning as well. If you
; do not enable the feature on development servers, you won’t be warned when it’s
; used and debugging errors caused by this can be difficult to track down.
; Default Value: On
; Development Value: On
; Production Value: Off
; http://php.net/session.bug-compat-42
session.bug_compat_42 = Off
———————————————
; This setting controls whether or not you are warned by PHP when initializing a
; session value into the global space. session.bug_compat_42 must be enabled before
; these warnings can be issued by PHP. See the directive above for more information.
; Default Value: On
; Development Value: On
; Production Value: Off
; http://php.net/session.bug-compat-warn
session.bug_compat_warn = Off
———————————————

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

 ついでに,phpMyAdmin も 4.1.9 にアップデートした。こちらも,新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#3。」を参考にしてください。

カテゴリー
WordPress

「シンボリックリンク攻撃のデモ」だってサ。

 「シンボリックリンク攻撃のデモ」をやるかもしれないってさ。徳丸さんとこの「マイナビのセミナーにて講演します」に書いてあった話。まぁ,ご自分の講演の告知だから,宣伝ちゃ宣伝だけど,近くだったら聞いてみたいよなぁ。

 申し込みのページには,「※競合企業や同業他社の方は参加をご遠慮いただく場合がございますのであらかじめご了承ください。」という注意書きがあるから,競合企業や同業他社の方で行きたい方は気をつけてねー。何の注意をしとるんじゃ(笑)。

 「シンボリックリンク攻撃のデモ」って,元ネタは絶対に,これ,でしょ。しかし,こういうことって対岸の火事じゃないからね。参考になりそうなことは聞いてみたいよなぁ。

 まあ,距離的に,聞きに行くってのは無理だよなー。

カテゴリー
Windows

本家のお世話-#94。(PHP5.5.9へアップデート)

The same article in English

 Feb-06 00:36:12UTC に PHP5.5.9 が出た。

 ChangeLog によれば,十数個のバグフィックスが含まれているが,そのうちのいくつかは OPCache に関連している。というわけで,早速,アップデートした。

 いつもどおり,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.9-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php.ini-production には何も変更はなかった。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
Windows

本家のお世話-#91。(PHP5.5.8へアップデート)

The same article in English

 Jan-09 18:16:03UTC に PHP5.5.8 が出た。少し,体調も戻ってきているので, PHP をアップデートした。

 ChangeLog によれば,十数個のバグフィックスと新実装が1つ含まれているようだ。新しい実装は CVE-2011-3379 というかなり古い脆弱性がらみのもので,徳丸さんの tumblr に情報があった。「PHP5.4.24、PHP5.5.8以降で、__autoloadのクラス名チェックが実装されることに

 いつもどおり,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.8-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php.ini-production には何も変更はなかった。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
WordPress

本家のお世話-#90。(Opcacheを使う)

The same article in English

 先の一昨日,自鯖上で, Opcache を有効化した。

 インストール以来,種々のトラブルをもたらしたBulletProof Security」だが,結構,有用な情報もくれた。例えば,これの System Information のページで見たことから,セキュリティ強化のために, php.ini の以下の値を変更した。

デフォルト カスタム
output_buffering = 4096 output_buffering = Off
expose_php = On expose_php = Off
mysql.allow_persistent = On mysql.allow_persistent = Off

 また,同じページで,「Opcode Cache」というのを見て,そういえば, OPcache が PHP5.5 にバンドル とか書いてあったなと,思い出した。で,やってみたわけ。

 php.ini の変更点は,以下の通り。

 「zend_extension=php_opcache.dll」という行を Windows Extensions の最後に加える。以下の6行はアンコメントし, ここのページの指示 にしたがって値を変更する。のちのち自鯖用にもっといい値を見つけられるかもしれないが,今のところは,指示どおりが無難だろう。

デフォルト カスタム
;opcache.enable=0 opcache.enable=1
;opcache.memory_consumption=64 opcache.memory_consumption=128
;opcache.interned_strings_buffer=4 opcache.interned_strings_buffer=8
;opcache.max_accelerated_files=2000 opcache.max_accelerated_files=4000
;opcache.revalidate_freq=2 opcache.revalidate_freq=60
;opcache.fast_shutdown=0 opcache.fast_shutdown=1

 うちの場合, CLI 版 PHP は使わないので,「;opcache.enable_cli=0」はこのまま。

 ビフォア&アフタで Apache のベンチマークを採ってみた。 ApacheBench
 ベンチマークでも,若干良くなっているように見えるが,自 LAN 内での体感は,もっと良かった。うちのサイトは WordPress で動いてるから, PHP のキャッシュの効果は,多分,大したもんなんだろう。

Details
Details
Files
Files

 APC Control Panel ってのがあるらしいので, Opcache にもあるのかなと思って探してみたら, Opcache Control Panel (実体は ocp.php だけ) というのがあって,ブラウザから Opcache を操作出来て便利。なんだけど, phpinfo 関数を有効にしないと動かないので,アクセス制限はかけておかないといけないよ。

 くりくりさんが,「APC / OPcacheについて」というページを教えてくれた。こういう比較サイトはほかにもいろいろあるから,やってみる前にググって見るといいと思う。

カテゴリー
Windows

本家のお世話-#87。(PHP5.5.7へアップデート)

The same article in English

 Dec-12 01:43:06UTC に PHP5.5.7 が出た。

 ChangeLog によれば,バグフィックスに, CVE-2013-6420 についてのものが含まれているようだ。

 いつもどおり,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.7-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php.ini-production には何も変更はなかった。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。