List of vulnerability - Baldanders.info
tag:Baldanders.info,2015-07-26:/tags
2015-07-26T09:00:00+00:00
バルトアンデルスは連続的な怪物,時間の怪物である。(ホルヘ・ルイス・ボルヘス 『幻獣辞典』より)
https://baldanders.info/images/avatar.jpg
https://baldanders.info/images/avatar.jpg
CVSS に関するメモ 3
tag:Baldanders.info,2015-07-26:/blog/000864/
2015-07-26T09:00:00+00:00
2015-07-26T09:00:00+00:00
先日 CVSS(Common Vulnerability Scoring System; 共通脆弱性評価システム)のバージョン3がリリースされ IPA でも記事が登場した。「その2」の記事を書いたのが2007年なので,実に8年ぶり? である。
Spiegel
/profile/
<p>
先日 CVSS(Common Vulnerability Scoring System; 共通脆弱性評価システム)のバージョン3がリリースされ IPA でも記事が登場した。
</p><ul>
<li><a href="https://www.first.org/cvss">Common Vulnerability Scoring System (CVSS-SIG)</a>
<ul>
<li><a href="https://www.first.org/cvss/specification-document">CVSS v3.0 Specification Document</a></li>
</ul></li>
<li><a href="http://www.ipa.go.jp/security/vuln/CVSSv3.html">共通脆弱性評価システムCVSS v3概説:IPA 独立行政法人 情報処理推進機構</a></li>
</ul><p>
「<a href="https://baldanders.info/blog/000334/">その2</a>」の記事を書いたのが2007年なので,実に8年ぶり? である。
</p><p>
バージョン2からの大きな違いは深刻度をコンポーネント単位で評価できるようになったことだろう。
以前は攻撃対象となるシステムやホストマシンが対象だったので,更に細かい評価ができるようになったと言える。
</p><p>
これに合わせて「スコープ(Scope)」という評価軸が追加された。
厳密には「管理権限の範囲(Authorization Scope)」。
脆弱性のあるコンポーネントが他のコンポーネントに影響をおよぼす場合に,「他のコンポーネント」が管理権限の範囲の内側か外側かで深刻度が異なる。
脆弱性が管理権限の範囲の外側に影響を及ぼす具体例としてはクロスサイトスクリプティング(XSS)脆弱性などが挙げられるだろう。
</p><p>
基本評価基準(Base Metrics)で新たに追加された評価項目としては
</p><ul>
<li>必要な特権レベル(Privileges Required)</li>
<li>ユーザ関与レベル(User Interaction)</li>
<li>スコープ(Scope)</li>
</ul><p>
がある。
一方,バージョン2にあった「攻撃前の認証要否(Authentication)」項目は廃止され,「必要な特権レベル」に含まれる形になった。
</p><p>
一番大きく変わったのは環境評価基準(Environmental Metrics)だろう。
環境評価基準では対策後の状況を再評価し,評価が低いものについては再度対策を行えるようになっている。
CVSS を使ってセキュリティ対策のプロセスをきちんと回せるようになったわけだ。
</p><p>
再評価の観点は以下のとおり。
</p><ul>
<li>緩和策後の攻撃元区分(Modified Attack Vector)</li>
<li>緩和策後の攻撃条件の複雑さ(Modified Attack Complexity)</li>
<li>緩和策後の必要な特権レベル(Modified Privileges Required)</li>
<li>緩和策後のユーザ関与レベル(Modified User Interaction)</li>
<li>緩和策後のスコープ(Modified Scope)</li>
<li>緩和策後の機密性への影響(Modified Confidentiality Impact)</li>
<li>緩和策後の完全性への影響(Modified Integrity Impact)</li>
<li>緩和策後の可用性への影響(Modified Availability Impact)</li>
</ul><p>
つか基本評価基準(Base Metrics)の評価観点で再評価するって感じかな。
</p><p>
最近の「セキュリティ対策」がこれまでと異なっているのは,目の前の脆弱性に対処すれば「完了」とはならない点である。
(私は今までもずうっと言ってきているけど)セキュリティは「ハザード(hazard)」ではなく「リスク(risk)」で考えなければならない。
リスクをゼロにするには無限のリソース(人的資源やもっと端的にお金)が必要だが,私たちの持っているリソースは無限ではない。
つまりリスクをゼロにすることはできないのだ。
したがって,業務プロセスの中で改善を行いながら,最適解を探っていくしかない。
</p><p>
「セキュリティ対策」をコストと考えるなら,これは果てしなく不毛な話になるが,「セキュリティ対策」を投資と考え,きちんと PDCA サイクルを回していくならば,それほど不毛な話ではないはずである。
</p><p>
ところで,今回もデモページを作った。
</p><ul>
<li><a href="https://baldanders.info/spiegel/archive/cvss/cvss3j.html">Demo for CVSS v3</a></li>
</ul><p>
<a href="https://baldanders.info/spiegel/archive/cvss/cvss2.html">CVSS v2</a> の JavaScript と HTML をちょろんと手直しして済ます手もあったが,「どうせなら node.js でも使えるようにしよう」と色気を出したために,週末まるまる使ってハマりまくってしまった。
</p><ul>
<li><a href="http://qiita.com/spiegel-im-spiegel/items/d6fe10d3df92b9d8556b">CVSSv3 用の node.js モジュールを作ってみた - Qiita</a></li>
<li><a href="http://qiita.com/spiegel-im-spiegel/items/f2db3759b957206d4521">node.js の CVSS v3 モジュールを使ってデモページを作ってみた - Qiita</a></li>
</ul><p>
おかげで現状評価基準(Temporal Metrics)と環境評価基準(Environmental Metrics)には手を付けてない。
これはおいおいやる予定。
なんだけど,時間が取れるかなぁ。
</p>
<div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51-pZ52JsUL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4822283100/baldandersinf-22/">セキュリティはなぜやぶられたのか</a></dt><dd>ブルース・シュナイアー 井口 耕二 </dd><dd>日経BP社 2007-02-15</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/4881359967/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4881359967.09._SCTHUMBZZZ_.jpg" alt="暗号の秘密とウソ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4797350997/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4797350997.09._SCTHUMBZZZ_.jpg" alt="新版暗号技術入門 秘密の国のアリス"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4594070507/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4594070507.09._SCTHUMBZZZ_.jpg" alt="チャイナ・ハッカーズ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4102159746/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4102159746.09._SCTHUMBZZZ_.jpg" alt="宇宙創成〈上〉 (新潮文庫)"/></a> </p>
<p class="description">日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。</p>
<p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-09-14">2014/09/14</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p>
</div>
<div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00E7HMI7U/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51I9C7cFl2L._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00E7HMI7U/baldandersinf-22/">環境リスク学</a></dt><dd>中西準子 </dd><dd>日本評論社 2013-08-01</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00E7HMIB6/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00E7HMIB6.09._SCTHUMBZZZ_.jpg" alt="食のリスク学"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00YGIKCKK/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00YGIKCKK.09._SCTHUMBZZZ_.jpg" alt="黒い迷宮 ルーシー・ブラックマン事件15年目の真実 (早川書房)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00BWI0U0O/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00BWI0U0O.09._SCTHUMBZZZ_.jpg" alt="「ゼロリスク社会」の罠~「怖い」が判断を狂わせる~"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00XKZGJDE/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00XKZGJDE.09._SCTHUMBZZZ_.jpg" alt="逆流するグローバリズム ギリシャ崩壊、揺らぐ世界秩序 (PHP新書)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00M98XGDO/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00M98XGDO.09._SCTHUMBZZZ_.jpg" alt="基準値のからくり 安全はこうして数字になった (ブルーバックス)"/></a> </p>
<p class="description">主題は「環境リスク」だが,あらゆるリスクについて応用可能な名著。</p>
<p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-07-26">2015/07/26</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p>
</div>
「Flash が無料でも皆さんの時間は無料ではない」
tag:Baldanders.info,2015-07-19:/blog/000863/
2015-07-19T09:00:00+00:00
2015-07-19T09:00:00+00:00
ここまで言わなくてもいいんじゃ,とは思うのだが,こうも立て続けだとウンザリしてしまうというものである。
Spiegel
/profile/
<ul>
<li><a href="https://www.us-cert.gov/ncas/alerts/TA15-195A">Adobe Flash and Microsoft Windows Vulnerabilities | US-CERT</a></li>
<li><a href="http://www.jpcert.or.jp/at/2015/at150020.html">2015年7月 Adobe Flash Player の未修正の脆弱性に関する注意喚起</a></li>
<li><a href="http://www.jpcert.or.jp/at/2015/at150024.html">Adobe Flash Player の脆弱性 (APSB15-18) に関する注意喚起</a></li>
</ul><p>
ここまで言わなくてもいいんじゃ,とは思うのだが
</p>
<figure>
<blockquote>
<q>最近はAdobe自身がFlashを嫌っているのは公然の秘密だ。Flashはウェブの黎明時代にはそれなりの役割を果たしたが、HTML5その他のウェブ標準が整備されるにつれて、デベロッパーは非効率でセキュリティー上の問題を抱えるFlashプラグインに次第に頼らなくなっている。GoogleのYouTubeはすでにFlashではなくHTML5を標準として採用しているし、Chromeはウェブページ中で重要性の低いFlashコンテンツの自動再生をブロックするようになった。</q>
</blockquote>
<figcaption><q><a href="http://jp.techcrunch.com/2015/07/15/20150714firefox-temporarily-blocks-adobe-flash-because-of-security-concerns/">致命的脆弱性の発見でFirefoxがFlashを一時的にブロック中―Adobeのパッチをインストールすれば復活 | TechCrunch Japan</a></q> より</figcaption>
</figure>
<figure>
<blockquote>
<q>米フェイスブックのCSO(最高セキュリティ責任者)であるAlex Stamos氏は2015年7月12日(現地時間)、「米アドビシステムズはFlashの終了日を早急に発表し、Webブラウザー提供者に対して同じ日にFlashを無効化する措置を要請するべきだ」とTwitter上で発言し、話題を呼んでいる。</q>
</blockquote>
<figcaption><q><a href="http://itpro.nikkeibp.co.jp/atcl/news/15/071402358/">ニュース - 「アドビはもうFlashを"終活"すべし」、Facebookのセキュリティ責任者:ITpro</a></q> より</figcaption>
</figure>
<figure>
<blockquote>
<q>このことは、Flashが無料でも皆さんの時間は無料ではないことを私たちに思い出させます。</q>
</blockquote>
<figcaption><q><a href="http://blog.f-secure.jp/archives/50751405.html">エフセキュアブログ : Adobe Flashをより快適または安全にするための3つの方法</a></q> より</figcaption>
</figure>
<p>
まぁ,しかし,こうも立て続けだとウンザリしてしまうというものである。
Flash は 0-day 脆弱性を引き起こしやすい。
</p><p>
今回もこれで終息することは恐らくなくて,未発見や未公表の脆弱性はまだ相当あるだろうし,その中には既に悪用されているものもあるかも知れない。
これは Adobe が悪いわけではないだろうが年に数回程度のペースで 0-day 脆弱性が発覚してしまうのは Flash 自体に何か構造的な欠陥があるのではないかと思われても仕方ない。
</p><p>
かつて iOS が Flash を見限ったのはマーケティング戦略上の問題(または設計上の制約)だったのかもしれないが(だって Mac OS X はまだ Flash を見捨ててないし),怪我の功名と言うべきか,ネット全体で見ても Flash を捨てる準備は着々と進行している。
</p><p>
IPA などの公的機関は(Adobe が正式に give up するまで)言ったりしないだろが,個人的には Flash はセキュリティ・リスクだと思う。
本当に必要がないのならアンインストールすべき。
私はだいぶ前にメインで使う Firefox から Flash を排除したが日常生活に困ることはない。
</p><p>
ただし Chrome や Windows 8 以降の IE や Edge は Flash を内蔵してるので注意が必要。
つか Google も Microsoft も Flash は opt-in にしていただけないものかねぇ。
内蔵にする必然性がない。
</p><p>
製品自体に明確な欠陥がなくても(標的にされやすいという意味で)セキュリティ・リスクを抱える製品は Flash 以外にもある。
たとえば Java や Wordpress あたりは典型的だ。
Java はサーバ側でよく使われるため, Java や Java を使うエンジニアは標的にされやすい。
Java 8 以降は 0-day 脆弱性はかなり減ったが,それでも皆無ではないし, Java 8 より前のバージョンを使ってるところもあるかも知れない(ちなみに <a href="http://www.oracle.com/technetwork/jp/java/eol-135779-ja.html">Java 7 およびそれ以前のバージョンの Oracle Java の無償サポートは終了</a>している)。
</p><ul>
<li><a href="https://www.jpcert.or.jp/at/2015/at150022.html">2015年7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起</a></li>
</ul><p>
困ったことに <a href="http://www.ipa.go.jp/security/vuln/icat.html">IPA が提供している icat</a> は Flash だし(Twitter 版もあるけど), <a href="http://jvndb.jvn.jp/apis/myjvn/">MyJVN</a> が提供するバージョンチェッカは Java なんだよねぇ(.NET 版もあるけど)。
そろそろ止めない,これ。
</p><p>
安全なネットライフを。
</p>
GnuPG 2.1.4 リリース,他
tag:Baldanders.info,2015-05-24:/blog/000847/
2015-05-24T09:00:00+00:00
2015-05-24T09:00:00+00:00
GnuPG 2.1.4 リリース / VENOM 脆弱性および Logjam 攻撃について
Spiegel
/profile/
<section> <h3>GnuPG 2.1.4 リリース</h3> <p> 2週間前の話ですみません。 </p><ul> <li><a href="https://lists.gnupg.org/pipermail/gnupg-announce/2015q2/000366.html">[Announce] GnuPG 2.1.4 released</a></li> </ul><p> 今回もセキュリティ・アップデートはなし。 まぁ modern バージョンは試行錯誤が多いのでこういうのも致し方ない。 </p><ul> <li>gpg: Add command --quick-adduid to non-interactively add a new user id to an existing key.</li> <li>gpg: Do no enable honor-keyserver-url by default. Make it work if enabled.</li> <li>gpg: Display the serial number in the --card-status output again.</li> <li>agent: Support for external password managers. Add option --no-allow-external-cache.</li> <li>scdaemon: Improved handling of extended APDUs.</li> <li>Make HTTP proxies work again.</li> <li>All network access including DNS as been moved to Dirmngr.</li> <li>Allow building without LDAP support.</li> </ul><p> Windows 用のバイナリも出ている。 </p> <pre class="brush:bash gutter:false" title="GnuPG 2.1.4">C:>gpg --version
gpg (GnuPG) 2.1.4
libgcrypt 1.6.3
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
<p>Home: ********
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2</pre></p>
</section>
<section>
<h3>VENOM 脆弱性および Logjam 攻撃について</h3>
<p>
VENOM 脆弱性および Logjam 攻撃について, Qiita にメモ書きしておいた。
</p><ul>
<li><a href="http://qiita.com/spiegel-im-spiegel/items/a6e149b41115bee6b41c">セキュリティ - VENOM 脆弱性について - Qiita</a></li>
<li><a href="http://qiita.com/spiegel-im-spiegel/items/af0cdb620ad79c4d0f36">セキュリティ - TLS における Diffie-Hellman 鍵交換の脆弱性 - Qiita</a></li>
</ul><p>
最近は脆弱性情報を収集する際に markdown 形式でメモをとっているのだが,特に公開してなかった(<a href="https://gist.github.com/spiegel-im-spiegel/47f340122c895ccc8bb8">FREAK 情報は Gist</a> に貼ってある)。
<a href="https://medium.com/@tsukamoto">Makio Tsukamoto</a> さんの「<a href="https://medium.com/@tsukamoto/-43a810cfe980">ググれるメモの勧め</a>」や「<a href="http://qiita.com/tsukamoto/items/d5dee47ecea2f42b3dbd">VMware製品へのVENOM脆弱性の影響情報</a>」を見て「公開できる情報なら公開すればいいやん」と思い立った。
</p><p>
Movable Type のような「ブログ」はいったん記事を書くと更新するのが結構面倒くさかったりするが, Qiita の場合は本当にメモ書きに近い感覚でいくらでも書き直せるので便利だったりする。
いずれこれはこのサイトでも取り入れたい。
もう日記やブログのような時系列の logging は私の中であまり意味をなさなくなりつつある。
</p><p>
気をつけるポイントは
</p>
<figure>
<blockquote>
<q>メモをインターネット上に残すときには、特に「インターネット上にある情報だけで構成されていること」を確認する</q>
</blockquote>
<figcaption><q><a href="https://medium.com/@tsukamoto/-43a810cfe980">ググれるメモの勧め</a></q>より</figcaption>
</figure>
<p>
ことだろう。インターネット上の情報が1次情報とは限らないが,公開されている情報だけで公開情報を構成するというのは結構重要かもしれない。
</p><p>
ところで Logjam って Log Jam と関係ある?
</p>
<figure style="margin:0 auto;text-align:center;" lang="en">
<iframe width="500" height="281" src="https://www.youtube.com/embed/txiucVjW0lA" frameborder="0" allowfullscreen=""></iframe>
<figcaption>via <q><a href="https://www.youtube.com/watch?v=txiucVjW0lA">Log Jam - The Log - YouTube</a></q></figcaption>
</figure>
</section>
MTOS 5.2.13 リリース,他
tag:Baldanders.info,2015-04-21:/blog/000834/
2015-04-21T09:00:00+00:00
2015-04-21T09:00:00+00:00
MTOS 5.2.13 リリース / Google は何でもお見通しさ! (ケーサツもね♥) / 「Simdaボットを射る3本の矢」
Spiegel
/profile/
<section> <h3>MTOS 5.2.13 リリース</h3> <ul> <li><a href="https://movabletype.org/news/2015/04/movable_type_608_and_5213_released_to_close_security_vulnera.html">MovableType.org – News: Movable Type 6.0.8 and 5.2.13 released to close security vulnerability</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1100.html">Movable Type 6.1.1 をリリース。クラウド版のサーバー配信機能がより使いやすくなりました | Movable Type ニュース</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1045.html">[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始 | Movable Type ニュース</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/04/16-1100.html">Movable Type セキュリティ対策ガイドを公開しました | Movable Type ニュース</a></li> </ul> <figure> <blockquote> <q>Movable Type 6.1 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。Movable Type 6.1.1へのアップグレードを強く推奨します。</q> </blockquote> <figcaption><q><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1100.html">Movable Type 6.1.1 をリリース。クラウド版のサーバー配信機能がより使いやすくなりました</a></q>より</figcaption> </figure> <figure> <blockquote> <q>Movable Type 6.0.7、5.2.12 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。修正版へのアップグレードを強く推奨します。</q> </blockquote> <figcaption><q><a href="http://www.sixapart.jp/movabletype/news/2015/04/15-1045.html">[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始</a></q>より</figcaption> </figure> <p> というわけで MTOS(Movable Type Open Source)も 5.2.13 へ要変更。 ちなみに <a href="https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0845">CVE-2015-0845</a> では CVSS 基本値を 7.5(AV:N/AC:L/Au:N/C:P/I:P/A:P)と見積もっている。 一般的に CVSS 基本値が 7 以上は「危険」なので,必ず更新すること。 </p><p> 「<a href="http://www.movabletype.jp/guide/movable-type-security-guide.html">Movable Type セキュリティ対策ガイド</a>」は参考になるが,個人的には Movable Type を 6 以上に上げる気はないので, MTOS のメンテナンスが続いてくれてるうちに CMS(Content Management System)の検討を始めるべきか。 とりあえず GW 中に色々と物色してみるつもり(といっても実は既にある程度あたりはつけているのだが)。 はっきり言って個人で運用する限りにおいて CMS の機能をサーバサイドに置くのはリスクが高い。 WordPress とか愚の骨頂だし。 </p> </section> <section> <h3>Google は何でもお見通しさ! (ケーサツもね♥)</h3> <ul> <li><a href="http://weekly.ascii.jp/elem/000/000/326/326088/">移動履歴・あなたの趣味をGoogleは全部知っている これが確認方法だ - 週アスPLUS</a></li> </ul><p> ポイントとなるのは<q><a href="http://www.google.com/settings/ads">広告設定</a></q>と<q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>。 特に<q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>は見たらギョッとすると思う。 </p><p> <q><a href="http://www.google.com/settings/ads">広告設定</a></q>は「オプトアウト設定」の2箇所を「オプトアウト」してしまえばよい。 ロケーション履歴については,嫌ならマメにクリアするしかない(<a href="https://baldanders.info/blog/000768/">本気で困る人は GPS 付きのケータイを使わない</a>こと)。 </p><p> まぁ,この件に関して Google は比較的誠実だよね。 たとえば Apple や Yahoo! などがどうしてるのか(<a href="http://docs.yahoo.co.jp/info/notice/150317.html">Yahoo! Japan はこの前 CCC の一味に加わった</a>けど),考えるだに「ぞんぞがさばる」。 </p><p> そういえば総務省が「<a href="http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000169.html">電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集</a>」を行っている。 これによると </p> <figure> <blockquote> <q>電気通信事業者は、第4条の規定にかかわらず、捜査機関からの要請により位置情報の取得を求められた場合において、当該位置情報が取得されていることを利用者が知ることができるときであって、裁判官の発付した令状に従うときに限り、当該位置情報を取得するものとする。</q> </blockquote> <figcaption><q><a href="http://www.soumu.go.jp/main_content/000353830.pdf">ガイドラインの一部改正案<sup><i class="far fa-file-pdf"></i></sup></a></q>より</figcaption> </figure> <p> そうだ。 <q><a href="https://maps.google.com/locationhistory/">Googleロケーション履歴</a></q>またはそれよりも詳細な情報をケーサツが握ってしまえるわけだ。 これに意見のある方は5月22日までにどうぞ。 </p> </section> <section> <h3>「Simdaボットを射る3本の矢」</h3> <ul> <li><a href="http://blog.f-secure.jp/archives/50746592.html">エフセキュアブログ : Simdaボットを射る3本の矢</a></li> <li><a href="http://blog.kaspersky.co.jp/simda-botnet-check/7327/">自分のPCがボットネットに組み込まれていないかチェックしよう | Save the Worldの思いを伝えたい – カスペルスキー公式ブログ</a></li> </ul> <figure> <blockquote> <q>インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。 <br/>カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。 <br/>そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。</q> </blockquote> <figcaption><q><a href="http://blog.f-secure.jp/archives/50746592.html">エフセキュアブログ : Simdaボットを射る3本の矢</a></q>より</figcaption> </figure> <p> Kaspersky が提供している <q lang="en"><a href="https://checkip.kaspersky.com/">Simda botnet detector</a></q> は有用と思えるので一度チェックしてみるとよい。 あとは <a href="http://www.cyberdefense.jp/simda/">hosts ファイルをチェック</a>して変な記述がないか調べてみることをお勧めする。 それでも不安な方は Kaspersky や Trend Micro が提供するアンチウイルスソフトで検出可能らしい。 </p><p> 安全なネット生活を。 </p> </section>
FREAK の CVSS 基本値は 7.8
tag:Baldanders.info,2015-03-09:/blog/000818/
2015-03-09T09:00:00+00:00
2015-03-09T09:00:00+00:00
先週から世間を騒がせている FREAK(Factoring attack on RSA-EXPORT Keys)だが, CERT/CC から具体的なレポートが出ている。
Spiegel
/profile/
<p> 先週から世間を騒がせている FREAK(Factoring attack on RSA-EXPORT Keys)だが, CERT/CC から具体的なレポートが出ている。 </p><ul> <li><a href="http://www.kb.cert.org/vuls/id/243585">Vulnerability Note VU#243585 - SSL/TLS implementations accept export-grade RSA keys (FREAK attack)</a></li> <li><a href="https://jvn.jp/vu/JVNVU99125992/index.html">JVNVU#99125992: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)</a></li> </ul><p> 注目すべきは CVSS 評価値。 <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a> では 5.0 だったが, <a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> では 7.8 に跳ね上がっている(一般的には CVSS 基本値が 7 以上で「危険」とみなされる)。 </p><p> 具体的には <a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a> では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃元区分(AV)</td> <td class="left">ネットワーク(N)</td></tr> <tr><td class="right">攻撃条件の複雑さ(AC)</td> <td class="left">低(L)</td></tr> <tr><td class="right">攻撃前の認証要否(Au)</td> <td class="left">不要(N)</td></tr> <tr><td class="right">情報漏えいの可能性(機密性への影響, C)</td><td class="left">なし(N)</td></tr> <tr><td class="right">情報改ざんの可能性(完全性への影響, I)</td><td class="left">部分的(P)</td></tr> <tr><td class="right">業務停止の可能性(可用性への影響, A)</td> <td class="left">なし(N)</td></tr> </tbody> </table> <figcaption><a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204">CVE-2015-0204</a>: CVSS 基本評価</figcaption> </figure> <p> だったのが,<a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃元区分(AV)</td> <td class="left">ネットワーク(N)</td></tr> <tr><td class="right">攻撃条件の複雑さ(AC)</td> <td class="left">低(L)</td></tr> <tr><td class="right">攻撃前の認証要否(Au)</td> <td class="left">不要(N)</td></tr> <tr><td class="right">情報漏えいの可能性(機密性への影響, C)</td><td class="left">全面的(C)</td></tr> <tr><td class="right">情報改ざんの可能性(完全性への影響, I)</td><td class="left">なし(N)</td></tr> <tr><td class="right">業務停止の可能性(可用性への影響, A)</td> <td class="left">なし(N)</td></tr> </tbody> </table> <figcaption><a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a>: CVSS 基本評価</figcaption> </figure> <p> となった。 具体的な攻撃手法が明らかになったことで,機密性への影響が「なし」から「全面的」になっているようだ(その代わり完全性への影響は「なし」になった。改ざんの可能性はないと見ているということだろうか)。 もっとも <a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a> の評価でも CVSS の現状評価(3月9日時点)では </p> <figure class="center"> <table> <tbody> <tr><td class="right">攻撃される可能性(E)</td> <td class="left">攻撃可能(F)</td></tr> <tr><td class="right">利用可能な対策のレベル(RL)</td><td class="left">正式(OF)</td></tr> <tr><td class="right">脆弱性情報の信頼性(RC)</td> <td class="left">確認済(C)</td></tr> </tbody> </table> <figcaption><a href="http://www.kb.cert.org/vuls/id/243585">VU#243585</a>: CVSS 現状評価(3/11 更新)</figcaption> </figure> <p> ということで,現状値は 6.4。 「容易に攻撃可能」とまではいかないので,今のうちにしっかり対策しておくことが肝心である。 </p><p> (余談だが,随分昔に <a href="https://baldanders.info/spiegel/archive/cvss/cvss2j.html">CVSS のデモページ</a>を作っている。よかったらこれで遊んでみてください) </p><p> あるサーバが危険かどうかは “<a href="https://www.ssllabs.com/ssltest/">SSL Server Test</a>” でチェックすることで確認できる。 たとえば hatena.ne.jp は最初 FREAK の影響を受けていたが,その後対策していることがこれで確認できる。 ただし hatena.ne.jp はいまだに POODLE を放置(つまり SSL 3.0 を許可)したままだけどね。 RC4 も有効にしたままだし(まぁ国内の Web サーバは大概そうみたいだけど。いい加減 XP/IE6 は捨てなさいよ。ちなみに <a href="https://baldanders.info/blog/000810/">TLS で RC4 を使うのは禁止になった</a>)。 </p><p class="offrec"> (そういえば「TLS にまた脆弱性」みたいな馬鹿タイトルを付けてるメディアを見たが,近年 SSL/TLS などの暗号周りのセキュリティ研究は急速に進んでいる。 今回の FREAK にしたって,まさか「そんな奴おれへんやろ」と思ってたのがかなりの数いてビックリした,ってのが真相らしい。 おそらく今年も暗号周りの脆弱性はたくさん出てくると思われる。 それはそれだけセキュリティ評価が進んでいるということなのである) </p><p> FREAK については <a href="https://gist.github.com/spiegel-im-spiegel/47f340122c895ccc8bb8">Gist にまとめている</a>ので,よろしかったらどうぞ。 再利用(fork)歓迎! </p> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4314009071/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51ZRZ62WKCL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/4314009071/baldandersinf-22/">暗号化 プライバシーを救った反乱者たち</a></dt><dd>スティーブン・レビー 斉藤 隆央 </dd><dd>紀伊國屋書店 2002-02-16</dd><dd>評価<abbr class="rating" title="5"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-5-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/487593100X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/487593100X.09._SCTHUMBZZZ_.jpg" alt="ハッカーズ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4105393022/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4105393022.09._SCTHUMBZZZ_.jpg" alt="暗号解読―ロゼッタストーンから量子暗号まで"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4484111160/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4484111160.09._SCTHUMBZZZ_.jpg" alt="グーグル ネット覇者の真実 追われる立場から追う立場へ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/410215972X/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/410215972X.09._SCTHUMBZZZ_.jpg" alt="暗号解読〈上〉 (新潮文庫)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/4102159738/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/4102159738.09._SCTHUMBZZZ_.jpg" alt="暗号解読 下巻 (新潮文庫 シ 37-3)"/></a> </p> <p class="description">20世紀末,暗号技術の世界で何があったのか。知りたかったらこちらを読むべし!</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-03-09">2015/03/09</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div> <div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51njmeGhpKL._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H18/baldandersinf-22/">新版暗号技術入門 秘密の国のアリス</a></dt><dd>結城 浩 </dd><dd>SBクリエイティブ株式会社 2013-12-04</dd><dd>評価<abbr class="rating" title="4"><img src="https://images-fe.ssl-images-amazon.com/images/G/01/detail/stars-4-0.gif" alt=""/></abbr> </dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00H372H40/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00H372H40.09._SCTHUMBZZZ_.jpg" alt="プログラマの数学"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMJ0/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMJ0.09._SCTHUMBZZZ_.jpg" alt="数学ガールの秘密ノート/整数で遊ぼう"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00IP549AE/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00IP549AE.09._SCTHUMBZZZ_.jpg" alt="インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMIQ/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMIQ.09._SCTHUMBZZZ_.jpg" alt="数学ガールの秘密ノート/式とグラフ"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00L0PDMK4/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00L0PDMK4.09._SCTHUMBZZZ_.jpg" alt="数学ガール/ガロア理論"/></a> </p> <p class="description">まさに入門書。暗号がどのような要素技術で成り立っているのか体系的に理解できる良書。</p> <p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2014-09-18">2014/09/18</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p> </div>
PuTTY 0.64 がリリース
tag:Baldanders.info,2015-03-02:/blog/000815/
2015-03-02T09:00:00+00:00
2015-03-02T09:00:00+00:00
今回は2つの脆弱性が修正されている。
Spiegel
/profile/
<p> <a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/">PuTTY</a> 0.64 がリリースされている。 今回は2つの脆弱性が修正されている。 </p><ul> <li><a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/private-key-not-wiped-2.html">PuTTY vulnerability private-key-not-wiped-2</a></li> <li><a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/diffie-hellman-range-check.html">PuTTY bug diffie-hellman-range-check</a></li> </ul> <figure lang="en"> <blockquote> <q>PuTTY 0.63 and earlier versions, after loading a private key from a disk file, mistakenly leak a memory buffer containing a copy of the private key, in the function <code>ssh2_load_userkey</code>. The companion function <code>ssh2_save_userkey</code> (only called by PuTTYgen) can also leak a copy, but only in the case where the file it tried to save to could not be created.<br/> [...]<br/> This issue is distinct from <a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/private-key-not-wiped.html">private-key-not-wiped</a>, which was in a different part of the code and was fixed in 0.63.</q> </blockquote> <figcaption>via <q><a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/private-key-not-wiped-2.html">PuTTY vulnerability private-key-not-wiped-2</a></q></figcaption> </figure> <p> いやいやいや。 </p> <figure lang="en"> <blockquote> <q>PuTTY 0.63 and earlier versions implement Diffie-Hellman key exchange without checking that the value sent by the server is within the range [1,p-1]. This range check is required by section 8 of RFC 4253.</q> </blockquote> <figcaption>via <q><a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/diffie-hellman-range-check.html">PuTTY bug diffie-hellman-range-check</a></q></figcaption> </figure> <p> いやいやいやいや。 </p><p> どうかいのう。 よいよ。 まぁいいや。 それが分かったということはチェックが働いてるってことだよね。 そう解釈しよう。 </p><p> トップページに </p> <figure lang="en"> <blockquote> <q>Apparently the build initially uploaded to the website as 0.64 was in fact built from the wrong branch and didn't have those fixes in. Sorry again! Teething trouble from last year's migration to git. A new 0.64 is now up in its place. You can identify the wrong build by the fact that the list box in the SSH > Kex config panel includes the option "ECDH key exchange", which is a post-0.64 feature that should not be in the real 0.64. The correct 0.64 should not have that option. </q> </blockquote> <figcaption>via <q><a href="http://www.chiark.greenend.org.uk/~sgtatham/putty/">PuTTY: a free telnet/ssh client</a></q></figcaption> </figure> <p> とあって,どうも開発途中のものを引っ込めて,急遽セキュリティ対応したって感じ。 開発版を使っている方は注意した方がいいかもしれない。 </p><p> すでに日本語対応のものが出ているので,こちらを適用してもよい。 </p><ul> <li><a href="http://hp.vector.co.jp/authors/VA024651/PuTTYkj.html">hdk の自作ソフトの紹介 | PuTTYjp</a>: Version 0.64-jp20150301 がリリースされている。お薦め</li> <li><a href="http://ice.hotmint.com/putty/">iceiv+putty</a>: 2015/02/28 版が 0.64 ベースになっている。こちらがお好みの方はアップデートを。</li> </ul><p> 今回の修正は plink.exe なども影響を受けるので,これらを使っているアプリケーション(<a href="https://code.google.com/p/gitextensions/">Git Extensions</a> など)にも注意する必要がある(plink.exe を同梱しているアプリケーションもあるため)。 </p><p> そうそう。 PuTTY って git repository を公開してるみたい。 </p> <pre class="brush:bash gutter:false" title="git clone putty">$ git clone git://git.tartarus.org/simon/putty.git</pre>
<p>
で取得できる。
</p><p>
安全なネット生活を。
</p>
<div class="hreview"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00P7SKB40/baldandersinf-22/"><img src="https://images-fe.ssl-images-amazon.com/images/I/51zsTEqIrML._SL160_.jpg" alt="photo" class="photo"/></a><dl><dt class="fn"><a class="item url" href="https://www.amazon.co.jp/exec/obidos/ASIN/B00P7SKB40/baldandersinf-22/">OpenSSH[実践]入門 Software Design plus</a></dt><dd>川本安武 </dd><dd>技術評論社 2014-11-05</dd></dl><p class="similar"><a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00PHC4480/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00PHC4480.09._SCTHUMBZZZ_.jpg" alt="食べる!SSL! ―HTTPS環境構築から始めるSSL入門"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00O8GIL62/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00O8GIL62.09._SCTHUMBZZZ_.jpg" alt="Linuxネットワークプログラミングバイブル"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00QJINS1A/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00QJINS1A.09._SCTHUMBZZZ_.jpg" alt="UNIXシェルスクリプト マスターピース132"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00R0XOFNI/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00R0XOFNI.09._SCTHUMBZZZ_.jpg" alt="すべてわかるストレージ大全 SDS/フラッシュが切り開くビッグデータの高度活用(日経BP Next ICT選書)"/></a> <a href="https://www.amazon.co.jp/exec/obidos/ASIN/B00NM7VROQ/baldandersinf-22/" target="_top"><img src="https://images-fe.ssl-images-amazon.com/images/P/B00NM7VROQ.09._SCTHUMBZZZ_.jpg" alt="内部構造から学ぶPostgreSQL 設計・運用計画の鉄則 Software Design plus"/></a> </p>
<p class="gtools">reviewed by <a href="#me" class="reviewer">Spiegel</a> on <abbr class="dtreviewed" title="2015-03-02">2015/03/02</abbr> (powered by <a href="http://www.goodpic.com/mt/aws/index.html">G-Tools</a>)</p>
</div>
[Security Update] GnuPG 1.4.19 and Libgcrypt 1.6.3 released (with SCA fix)
tag:Baldanders.info,2015-02-28:/blog/000813/
2015-02-28T09:00:00+00:00
2015-02-28T09:00:00+00:00
このバージョンでは2つの Side Channel Attack を緩和する措置がとられている。
Spiegel
/profile/
<ul> <li><a href="http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000363.html">[Announce] GnuPG 1.4.19 released (with SCA fix)</a></li> <li><a href="http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000364.html">[Announce] Libgcrypt 1.6.3 released (with SCA fix)</a></li> </ul><p> このバージョンでは2つの Side Channel Attack(<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3591">CVE-2014-3591</a>, <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3591">CVE-2015-0837</a>)を<strong>緩和</strong>する措置がとられている。 </p> <ul> <li><a href="http://www.cs.tau.ac.il/~tromer/radioexp/">Cheap Electromagnetic Key-Extraction Attacks on PCs: the Case of Sliding and Fixed Window Exponentiation</a></li> </ul><p> Classic 版(1.4 系)は 1.4.19 にアップデートすること。 Stable 版(2.0 系)および Modern 版(2.1 系)については Libgcrypt を 1.6.3 に差し替えること。 </p><p> 問題は Windows バイナリ。 1.4.19 のバイナリは既にダウンロード可能だが, Stable 版および Modern 版についてはバイナリが存在しないので注意が必要。 まぁ Side Channel Attack は,実験レベルではともかく,実際の場面では(状況的に)そう簡単にできるものではないので,そのうち対応してくれるのを待つしかない。 </p><p> やっぱ自前で Windows 版の GnuPG をビルドできる環境がいるなぁ... </p>
GnuPG 2.1.2 と MTOS 5.2.12 がリリース
tag:Baldanders.info,2015-02-14:/blog/000804/
2015-02-14T09:00:00+00:00
2015-02-14T09:00:00+00:00
MTOS 5.2.12 のリリース / GnuPG 2.1.2 released / 余談だけど... / MyJVN バージョンチェッカ for .NET が登場
Spiegel
/profile/
<p> セキュリティ関連の話題を3題ほど。 今回は手早く終わらせます。 仕事部屋は寒いので。 </p> <section> <h3>MTOS 5.2.12 のリリース</h3> <ul> <li><a href="https://movabletype.org/news/2015/02/movable_type_607_and_5212_released_to_close_security_vulnera.html">MovableType.org – News: Movable Type 6.0.7 and 5.2.12 released to close security vulnerability</a></li> <li><a href="http://www.sixapart.jp/movabletype/news/2015/02/12-1045.html">[重要] 6.0.7、5.2.12 セキュリティアップデートの提供を開始 | Movable Type ニュース</a></li> </ul> <figure> <blockquote> <q>Movable Type 6.0.6、5.2.11 を含む以前のバージョンにおいて、Storable Perl モジュールの脆弱性に起因する LFI(ローカルファイルインクルージョン)攻撃が発生する可能性があります。修正版へのアップグレードを強く推奨します。</q> </blockquote> <figcaption><q><a href="http://www.sixapart.jp/movabletype/news/2015/02/12-1045.html">[重要] 6.0.7、5.2.12 セキュリティアップデートの提供を開始</a></q>より</figcaption> </figure> <p> ちうわけで,ここの MTOS(Movable Type Open Source)もアップデートした。 </p> </section> <section> <h3>GnuPG 2.1.2 released</h3> <ul> <li><a href="http://lists.gnupg.org/pipermail/gnupg-announce/2015q1/000361.html">[Announce] GnuPG 2.1.2 released</a></li> </ul><p> 今回はセキュリティ関連の修正はなし。 ただねぇ, Windows 版のバイナリが 2.1.1 のままなのよ。 う~ん。 </p><p> GnuPG といえば,先日こんな話が話題になった。 </p><ul> <li><a href="https://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke">The World’s Email Encryption Software Relies on One Guy, Who is Going Broke - ProPublica</a></li> <li><a href="http://gigazine.net/news/20150206-world-email-encryption-one-guy/">世界のメールの暗号化はたった一人の男に依存しており、開発資金はゼロになってしまっているという衝撃の事実が判明 - GIGAZINE</a></li> <li><a href="http://japan.zdnet.com/article/35060156/">オープンソースの暗号化ソフト「GNU Privacy Guard」、Facebookなどから寄付を獲得 - ZDNet Japan</a></li> </ul> <figure> <blockquote> <q>ソフトウェアエンジニアのコッホ氏がGPGの開発をスタートさせたのは1997年のことで、それ以来ほとんど一人でドイツの自宅からコツコツとソフトウェアの開発を続けてきました。コッホ氏は現在53歳ですが、ProPublicaにコッホ氏の記事が掲載された2月5日午前10時の段階で、既に開発資金は一切合財使い果たしてしまっている状況だそうです。</q> </blockquote><blockquote> <q>スノーデン氏による内部告発から1年以上が経過したわけですが、現在コッホ氏はプロジェクトを推し進め、彼の夢である「常勤のプログラマーを雇う」ための資金集めに奮闘しています。コッホ氏が年間で得られる収入は現在のところ2万5000ドル(約290万円)程度だそうで、とても「常勤のプログラマーを雇う」という夢を実現させるような金銭的な余裕はないので資金集めを行っているわけです。</q> </blockquote> <figcaption><q><a href="http://gigazine.net/news/20150206-world-email-encryption-one-guy/">世界のメールの暗号化はたった一人の男に依存しており、開発資金はゼロになってしまっているという衝撃の事実が判明</a></q>より</figcaption> </figure> <figure> <blockquote> <q>g10 Codeという(ドイツ法における)有限会社を運営し、散発的な寄付によって10年以上にわたって何とか開発を続けてきたKoch氏は、現地時間2月5日のツイートでLinux Foundationから6万ドルの寄付があったことを明らかにした。GnuPGの寄付関連ページによると、本記事執筆時点で目標額の12万ユーロを上回る12万3253ユーロの寄付を受け取っているという。</q> </blockquote> <figcaption><q><a href="http://japan.zdnet.com/article/35060156/">オープンソースの暗号化ソフト「GNU Privacy Guard」、Facebookなどから寄付を獲得</a></q>より</figcaption> </figure> <p> ちうわけで,結構ヤバかったみたい。 あぁ,また寄付したい先が増える。 是非 Flattr thing を開設して下さい。 そっちならなんとか(微々たる金額だけど)。 </p> </section> <section> <h3>余談だけど...</h3> <p> <q><a href="http://internet.watch.impress.co.jp/docs/yajiuma/20150212_687863.html">「作者に牛丼をおごる \100」という新種のアプリ内課金が見つかり話題に</a></q>という記事を見て,私も真似することにしました。 いやアプリを作ってるわけじゃないけど,この記事のフッタに「Spiegel に<a href="http://instagram.com/p/w_S40OiWNk/">肉玉そば</a>をおごる」ボタンを付けてみました。 <a href="https://flattr.com/thing/115615/Baldanders-info">Flattr thing</a> のページに遷移します。 どぞ,よろしく(笑) </p><p> ちなみに,いままで5.85ユーロの寄付,つまり,<a href="http://instagram.com/p/w_S40OiWNk/">肉玉そば</a>(ダブルで)一枚分の寄付をいただいてます。 感謝! </p> </section> <section> <h3>MyJVN バージョンチェッカ for .NET が登場</h3> <ul> <li><a href="http://jvndb.jvn.jp/apis/myjvn/vccheckdotnet.html">MyJVN - MyJVNバージョンチェッカ for .NET</a></li> </ul><p> 「<a href="http://jvndb.jvn.jp/apis/myjvn/">MyJVN</a> バージョンチェッカ」は Windows 機にインストールされている主要なアプリケーションのバージョンを調べて,古いバージョンが入っている場合はアップデートを促してくれる便利ツールである。 Vista 以降の 32bits/64bits 機に対応している。 </p> <figure style="margin:0 auto;text-align:center;"> <a href="https://www.flickr.com/photos/spiegel/16332493538" title="MyJVN Version Checker for .NET by Yasuhiro ARAKAWA, on Flickr"><img src="https://farm8.staticflickr.com/7452/16332493538_4a0cdc7696.jpg" width="500" height="407" alt="MyJVN Version Checker for .NET"/></a> <figcaption><a href="https://www.flickr.com/photos/spiegel/16332493538">MyJVN Version Checker for .NET</a></figcaption> </figure> <p> 今までは Java ベースのものしかなかったが, .NET 版が登場して使いやすくなった。 つか,何故今まで出なかったのか。 やっぱアレかね。 次期 .NET Framework の Core 部分をオープンソース化・マルチプラットフォーム化することになったのが影響しているのだろうか。 </p><ul> <li><a href="http://blogs.msdn.com/b/visualstudio_jpn/archive/2015/02/04/coreclr-is-now-open-source.aspx">CoreCLR がオープン ソースに - Visual Studio 日本チーム Blog - Site Home - MSDN Blogs</a></li> <li><a href="https://github.com/dotnet/coreclr">dotnet/coreclr</a></li> <li><a href="http://www.publickey1.jp/blog/15/macoslinuxcvisual_basicnetnet_coreclrgithub.html">MacOS/LinuxでC#やVisual Basicを実行可能にする.NETランタイム「.NET CoreCLR」。早くもGitHubで公開 - Publickey</a></li> </ul><p> 自作パソコンや企業内できっちり管理しているパソコンはともかく,個人でプリインストールモデルのパソコンを買ったりすると変なアプリケーションが入ってたりするよね。 しかもそれに気付かない。 で,そういうのが脆弱性放置の原因にもなったりする。 この機会に自分のパソコンの中身をチェックすることをお薦めする。 </p><p> ところで,なんでいまだに OpenOffice.org なんだろう。 ちゃんと LibreOffice も対応しなさいよ。 </p> </section>
glibc: __nss_hostname_digits_dots() の脆弱性について
tag:Baldanders.info,2015-01-31:/blog/000798/
2015-01-31T09:00:00+00:00
2015-01-31T09:00:00+00:00
更新を確実に反映させるには再起動が必要。したがって,特にサーバは,きちんと計画した上で更新を行う必要がある。
Spiegel
/profile/
<p> ふぅ。 やっと仕事が一段落したんで溜まった宿題を片付けていくか。 </p><ul> <li><a href="https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt">GHOST: glibc gethostbyname buffer overflow -- Qualys Security Advisory CVE-2015-0235</a></li> <li><a href="http://www.kb.cert.org/vuls/id/967332">Vulnerability Note VU#967332 - GNU C Library (glibc) __nss_hostname_digits_dots() function vulnerable to buffer overflow</a></li> <li><a href="http://jvn.jp/vu/JVNVU99234709/">JVNVU#99234709: glibc ライブラリにバッファオーバーフローの脆弱性</a></li> <li><a href="http://www.ipa.go.jp/security/announce/20150129-glibc.html">glibc の脆弱性対策について(CVE-2015-0235):IPA 独立行政法人 情報処理推進機構</a></li> <li><a href="http://news.mynavi.jp/news/2015/01/28/123/">Linuxできわめて重大で危険な脆弱性「GHOST」を確認 | マイナビニュース</a></li> <li><a href="http://d.hatena.ne.jp/Kango/20150128/1422409960">glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた - piyolog</a> (網羅的)</li> <li><a href="http://blog.trendmicro.co.jp/archives/10818">Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を | トレンドマイクロ セキュリティブログ</a></li> <li><a href="http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1016">【重要】Linux GNU Cライブラリ(glibc)の脆弱性に関する注意喚起 | さくらインターネット</a></li> <li><a href="http://labs.timedia.co.jp/2015/01/how-to-use-ghost.html">GHOST 脆弱性は如何様に使うのか - TIM Labs</a> (Exim を例に具体的に説明)</li> <li><a href="https://www.st.ryukoku.ac.jp/~kjm/security/memo/2015/01.html#20150128_glibc">「セキュリティホール memo」の情報</a></li> </ul> <figure> <blockquote> <q>バッファオーバーフローが発見された関数は__nss_hostname_digits_dots()だが、ユーザランドのソフトウェアからはgethostbyname()などの関数を呼び出すことでこの関数が実行される。このため、gethostbynameをGetHOSTbynameともじって「GHOST」と命名されている。 <br/>Qualysの研究者によると、2013年の時点でこの脆弱性を発見して、glibc-2.17とglibc-2.18の間において修正を行っているが、当時はセキュリティに関わるリスクとしては認識されていなかったため、長期サポートの対象となっているバージョンのLinuxディストリビューションではこの脆弱性が修正されることなく残り続けているという。</q> </blockquote> <figcaption><q><a href="http://news.mynavi.jp/news/2015/01/28/123/">Linuxできわめて重大で危険な脆弱性「GHOST」を確認</a></q>より</figcaption> </figure> <p> NVD ではこの脆弱性の <a href="http://www.kb.cert.org/vuls/id/967332">CVSS 値を 10.0(AV:N/AC:L/Au:N/C:C/I:C/A:C)と評価</a>している。 脆弱性を報告した Qualys では </p> <figure lang="en"> <blockquote> <q>The gethostbyname*() functions are obsolete; with the advent of IPv6, recent applications use getaddrinfo() instead.</q> </blockquote> <figcaption>via <q><a href="https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt">GHOST: glibc gethostbyname buffer overflow</a></q></figcaption> </figure> <p> としていて,実際に影響のあるアプリケーションは多くないと見ているようだ(<a href="http://www.exim.org/">Exim</a> を運用しているサーバは早急に対応が必要)。 こちらはトレンドマイクロの記事。 </p> <figure> <blockquote> <q>すべてのアプリケーションが等しく危険にさらされているわけではありません。この脆弱性の攻撃において攻撃者が利用できるのは4バイトもしくは 8バイトのエクスプロイトコードであり、実行できることは非常に限られています。この攻撃に利用できるバイト数は OS が 32ビット版か 64ビット版かで異なります。追加のコードは、変更可能なポインタに参照されるアドレスに攻撃者が脆弱性とは別の方法で書き込んで置かなければなりません。また、apache や postfix、OpenSSH など、多くの有名アプリケーションがこの脆弱性の影響を受けないことも確認されています。これまでのところ、トレンドマイクロでは、Web攻撃に利用される可能性のある感染媒体を確認しておらず、そのため攻撃の可能性はかなり低いものと考えられます。</q> </blockquote> <figcaption><q><a href="http://blog.trendmicro.co.jp/archives/10818">Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を</a></q>より</figcaption> </figure> <p> 対策としては glibc-2.18 (以上)にアップデートすればよい。 glibc を取り込んでいるアプリケーションについては再コンパイルが必要かもしれない。 更新を確実に反映させるには再起動が必要。 したがって,特にサーバは,きちんと計画した上で更新を行う必要がある。 (慌てるなんとかは貰いが少ない) </p><p> 対象のシステムが今回の脆弱性に該当しているかわからない場合は,以下の検証コードをコンパイル・実行すると良い。 </p> <figure lang="en"> <div> <script src="https://gist.github.com/spiegel-im-spiegel/f77b143ae938ffb8996f.js"></script> </div> <figcaption>via <q><a href="https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt">GHOST: glibc gethostbyname buffer overflow</a></q></figcaption> </figure> <p> <a href="https://github.com/mholzinger/CVE-2015-0235_GHOST/">GitHub でも公開</a>されているので参考にどうぞ。 </p><p> 気をつけるべきはルータやスイッチなどのファームウェアだろう(特に古いもの)。 <a href="http://jvn.jp/vu/JVNVU99234709/">JVN に日本製品の情報がある</a>ので注意すること。 (つっても殆ど無いけど) </p><p> とりあえず,こんなとこかな。 今回は,最初こそ騒がれたものの(私もびっくりした),だんだんトーンダウンしていくプロセスが面白い。 まぁ,こういうこともあるよね。 </p>
MTOS 5.2.11 セキュリティ・リリース
tag:Baldanders.info,2014-12-11:/blog/000780/
2014-12-11T09:00:00+00:00
2014-12-11T09:00:00+00:00
Movable Type Open Source 5.2.11 がリリースされました。SQL インジェクションの脆弱性が修正されています。
Spiegel
/profile/
<p>
Movable Type Open Source 5.2.11 がリリースされました。
SQL インジェクションの脆弱性が修正されています。
</p>
<figure>
<blockquote>
<q>Movable Type 6.0.5、5.2.10 および 5.17 を含む以前のバージョンにおいて、SQL インジェクションが発生する可能性があります。修正版へのアップグレードを強く推奨します。</q>
</blockquote>
<figcaption><q><a href="http://www.movabletype.jp/blog/_6065211518.html">[重要] 6.0.6、5.2.11、5.18 セキュリティアップデートの提供を開始 | MovableType.jp</a></q>より</figcaption>
</figure>
<p>
なお MTOS 5.1.x については
</p>
<figure>
<blockquote>
<q>Movable Type 5.1.xは2014年9月26日(日)をもって製品ライフサイクルが終了(EOL)しています。最新版へのアップグレードまたは、Movable Type 5.2.11 へのアップデートをご検討ください。</q>
</blockquote>
<figcaption><q><a href="http://www.movabletype.jp/blog/_6065211518.html">[重要] 6.0.6、5.2.11、5.18 セキュリティアップデートの提供を開始 | MovableType.jp</a></q>より</figcaption>
</figure>
<p>
ということなので,アップデートしてしまいましょう。
ちなみに Movable Type は GitHub で管理されています。
</p><ul>
<li><a href="https://github.com/movabletype/movabletype">movabletype/movabletype</a></li>
</ul><p>
いつまでサポートしてもらえるのかねぇ,MTOS。
</p>