セキュリティ」カテゴリーアーカイブ

セキュリティに関するカテゴリーです。

Apache Struts 2の更新版リリース

Apache Struts 2の脆弱性に対応するためのマイナー更新版がリリースされたとの記事を紹介します:

鈴木 聖子さんによるこの記事によれば、脆弱性の原因になってしまいやすいDMI(Dynamic Method Invocation)をデフォルトで無効にする仕様変更を含む、セキュリティ対応リリースとのことです。

デフォルト設定ではDMIが無効になる仕様変更を伴うため、デフォルト設定のまま適用が可能かどうかアプリケーションごとに判断する必要があります。記事にもありますが、DMIに依存しないようなアプリケーションのリファクタリングを検討した方がよさそうです(DMIはStruts 3で廃止予定だそうです)。

なお、

Struts 2のActionマッピング機能に関連して、特定の状況下でセキュリティ制限をかわされる恐れのある脆弱性も修正された。

という修正を含むため、DMIを有効にせざるを得ない場合でも、本リリースの適用をすべきでしょう。

アメリカNSAによる標準規格の脆弱性汚染の可能性

中田 敦さんによる日経ITproの記事「拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ」によると、米NSA(アメリカ国家安全保障局)によって、標準規格にバックドアが仕込まれた可能性があるため、米NIST(国立標準技術研究所)が乱数生成アルゴリズムの技術標準「Dual_EC_DRBG」を使用しないように呼びかけているというとのことです。

続きを読む

市販ブロードバンドルーターにおけるオープンDNSリゾルバー問題

市販のブロードバンドルーターにおけるオープンDNSリゾルバー関連の記事がありましたので紹介します:

続きを読む

昨日18日は特にサイバー攻撃はなかった模様

先日「警察庁がDNSリフレクション攻撃の準備が行われていると発表」というメモを書きましたが、警戒対象日であった昨日18日は特段の問題は発生せず、平常な一日であったようです。

とはいえ、オープンDNSリゾルバーが危険な使われてしまう可能性が常にあるという状況は変わりありません。この機会に設定を見直してみることをお勧めします。

警察庁がDNSリフレクション攻撃の準備が行われていると発表

警察庁が中国を発信元とするとみられる、オープンDNSリゾルバーの検索を確認しているという発表を行いました。警察庁の発表と、関連情報が豊富なINTERNET Watchのページを紹介します:

続きを読む

「ロリポップ!レンタルサーバー」におけるWordPress改ざんについての公式報告

取り上げるのが少し遅くなってしまいましたが、「第三者によるユーザーサイトの改ざん被害に関するご報告」という、公式の報告が9月9日付けで掲載されました。

続きを読む

大量のメールの送り主は…

出社すると、私のメールボックスにはおびただしい量のメールが溜まっていました。送り主はサーバー監視ツールからの警報で、あるサービスのHTTPポートからの応答がなくなったということをレポートするものでした。それは、かつてのサービスで、読み物系であったために更新が終わった後も放置されていたものでした。しかし、最近はそういうものを置いておくことが難しくなってきました。

続きを読む

正しい方法でFacebookにセキュリティホールを指摘して懸賞金獲得

先日「Facebookへのよくない不具合報告」として、報告の仕方が不適切で懸賞金をFacebookから得られなかったセキュリティ研究者の記事を紹介しましたが、今度は正しい方法でFacebookに報告し、懸賞金を得たセキュリティ研究者の記事が出ていました。

目に留まった2本の記事を紹介します:

前者は、Charlie Osborneさんの英語記事を佐藤卓さんおよび吉武稔夫さんが翻訳した記事で、具体的にどのような問題があったのかを、技術的な観点から具体的に紹介しています。後者の鈴木 聖子さんによる記事は、いささか煽り気味のタイトルな気がします。この記事ではFacebookと報告したクマールさんとの間でどのようなやり取りがあったかを中心に紹介しています。

「ロリポップ!レンタルサーバー」で起きたこと

おととい書いた“続報・「ロリポップ!レンタルサーバー」への大規模攻撃”の続きで、共有サーバーだと何に気を付けないといけないのかまとめようと思っていたのですが、徳丸浩の日記の「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」に、きれいにまとまっていましたので、こちらを紹介するだけにします。

というわけで、占有サーバーだと顕在化しにくい(させる必要性がないので)のですが、共有サーバーではいろいろと考えないといけないことがあります。もちろん、占有サーバーでもアプリケーションに脆弱性があって攻撃をされる可能性を考えると、これらの知識を持って設定を行っておくことが望ましいでしょう。