「jvn」を含む日記 RSS

はてなキーワード: jvnとは

2021-12-17

ぶっちゃけ Log4j 2 の対応どうですか

多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています

ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。

今回の難所の一つに影響範囲特定があると思います

組織Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったこからアナウンスを待つ前に対応必要だったところもあると思います)。

OSS なら依存パッケージ比較的調べやすいですが、SplunkSalesforce のようなアプライアンス製品などはどうでしょうスイッチルーターは? クライアントJava アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。

ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います

ゼロデイだったため、最初対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。

特定クラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策

その他 Web Application Firewallバイパスなど、ご対応された皆さん、本当に大変だったと思いますお疲れ様です。

ところで、私はもっと日本人情報共有しろよと思いました。

これも全部 Wizard Bible 事件アラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。

最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMIかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。

攻撃メカニズムなどを解説してくれている記事があれば、最初からわず頑張ってアップデートする方向に舵取れたと思う。

誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。

小学校で配られた端末のセキュリティ突破話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。

そういえば情報共有でいうと CISA は動きが素早かった。最初個人gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db網羅され始めた。Pull Request も取り込んでいて、素晴らしい。

一方で JVN DB の方はどうでしょうhttps://jvn.jp/vu/JVNVU96768815/

報告を受けている製品しか書いていないのですかね。国内製品もっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。

…と愚痴をダラダラと書いてしまって申し訳ない。

セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品ソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。

2021-02-15

セキュリティ何もわからん

助けてくれ

IPA の中小企業向けガイドラインは見た。

セキュリティ五箇条めっちゃいいと思うんだけど、みんな現実問題どうしてんのさ

最新に保つ

公開された脆弱性を使った攻撃から守る、と言う理解OK?

あと公開された情報ってどこで見ればいいの? JVN?

ウィルス対策ソフト

Windows Defender だけでいい気がするけど会社とかだと金払って使うことが重要?

あと Mac / Linux ってみんなどうしてるの? 会社プライベート両方とも聞きたい

パスワードを強化しよう

なんか昔「好きな英単語を3つぐらい思い浮かべてその間に好きな数字記号を挟む」みたいなテクニック聞いたけど今もそれがオススメな感じなのかな?

ぶっちゃけ自分パスワード覚えてない人多すぎて無理になんない?? みんなどうしてんの??

共有設定

ウーッ! キッティング自動化アカウント基盤への集約したい!!!!!!!!!! 助けてくれ!!!!!!!!!

ワンパスワードとかまともに運用できればいいんだけどパスワードが↑みたいな感じだから怖いんだよな、怖くない???

助けて

助けて

2015-03-31

JVN#81094176 の裏側

http://jvn.jp/jp/JVN81094176/index.html Android OSオープンリゾルバとして機能してしま問題

ってやつね。

報告者の森下さんが「とあるから私個人宛で報告をいただき」と言っているので、その「とある」人として少し背景を書いてみようと思う。

https://twitter.com/OrangeMorishita/status/581314325853306882

どのタイミング発見したのか?

発見タイミングは、Android 4.2 のソースコードが出て少しして、ぐらい。この時点では、Android全てが修正されていなかった。当時、 CVE-2012-3411 (dnsmasq が libvirt特定config で使うときにオープリゾルバとなる) が発表されていて、これと同じ問題があるのでは、と調べた結果だった。Androidテザリングは、framework の指示を netd という daemon が受け取りネットワークの設定を変更して実現されている。で、テザリングクライアントDHCPプライベートアドレスを配りDNSのリゾルバを提供するために、必要に応じて netd から dnsmasq が起動される。

そのころ、Android端末の製品開発で、スケジュールに珍しく余裕があり、わりと好き勝手できる状況だったので、AOSPのソースコードを精査していた。

いくつか、セキュリティ問題をみつけて、ものによって単に修正修正と並行して Google会社から報告、あるいは単に Google会社から報告、ぐらいの対応をした。

この問題は、Google に報告だけ、の対応をとった。なぜかといえば、 次のような事情があった。

で、この報告の結果なのか、他の報告もあったのか分からないが、Android 4.3 のリリース修正が含まれていた。もっとも、国内ほとんどのスマートフォン端末は Android 4.3 はスキップした。森下さんへの個人的な連絡の最初は、Android 4.3 発表より前。

どうして森下さんに?

正直、この問題リスクは、端末ベンダ、および端末ユーザにとっては相当に低いものに見えた。3GLTE国内キャリアで、外から端末へ DNS query を許すところはほとんどないだろう、というのは直感的には思っていた(これが間違っている場合は、影響がケタ違いに大きくなるところだった。上流も下流も Wifi という構成テザリングAndroidは持っていないので、上流を Wifi と仮定すると、残るのは USBBluetooth だけになる) 。NAT される場合ならなおさら

ただ、ネットワークインフラにとってのDDoSというのは、個々にとってはリスクが低くても、それが何百万台、何千万台とあれば影響が出てくるんじゃないか、という気もした。ちょうどそのころ、森下さんが DNS リフレクション攻撃に関してベンダ等への啓発を始めていたのが目に留まったので、森下さんに連絡してみた。脆弱性対応としてハンドリングするのがIPAJPCERT/CC になるとしても、ネットワークインフラへの影響ということであれば、表に出ない話も扱える方が報告したほうが適切だと思った。私は原理的には分かってもネットワーク運用に関しては業界の外にいるからね。

なぜいま発表?

事情は知らないけど。

ひとつの可能性としては、「対応未定」の端末、おそらくは対応しないことになるのだろうけど、それらの現役感がなくなってきたからじゃないかな。Android 4.2系が端末のラインナップとして長生きしすぎたせいで、けっこうOSバージョンアップではなくセキュリティ修正としての対応をする製品が多くなったのかなぁ、という気もするけど。

もうひとつの可能性としては、当初よりもインフラへのリスクが上がっているのかもしれない。Android 4.2系の端末で修正リリースが去年の秋とか、これから近未来とかのが多い、という状況からするとね…。

2007-03-02

Optimistic TCP acknowledgementsってなに?

はてなでする程の話でもない。からここに。

JVNの2005のやつだけど、今日更新されてあがってた。記憶に無い。知らないかもしれない。

具体的にどんな攻撃なの?

http://www.kb.cert.org/vuls/id/102014 よめって話だけど、知ってる人が端的に説明してくれないかと期待して書いてみる。

 
ログイン ユーザー登録
ようこそ ゲスト さん