2015年10月30日
コンサル 浜松|脆弱性を知ろう
カテゴリー │コンサル
こんにちは、社内コンサルタント事務局です。
最近でも、Webサイトへの不正アクセスが相次いでいます。
被害に遭わないためには、最新の手口や対策に関する情報を常時チェックして備える必要があります。
まず、知っておいていただきたいことは、
Webサイトへの侵入経路には、大きく分けて以下の2種類しかありません。
・ソフトウエアの脆弱性をつく
・認証を突破
ここで、脆弱性について今一度整理してみたいと思います。
脆弱性(ぜいじゃくせい)とは、
コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
このような脆弱性が発見されると、
多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。 しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状です。
脆弱性を塞ぐには、
OSやソフトウェアのアップデートが必要となります。たとえば、Windowsの場合には、サービスパックやWindows Updateによって、それまでに発見された脆弱性を塞ぐことができます。 ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行わなければなりません。
なお、
近年はゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでの間に、その脆弱性を利用して行われる攻撃です。脆弱性が公開されてから、メーカーが対応策を検討して修正プログラムを開発することも多いため、完全な対策は困難と言わざるを得ません。そのため、指摘された脆弱性の内容を確認し、危険となる行為を行わないなど、修正プログラムを適用するまでの間は十分な注意が必要です。
また、
新たな侵入口として活発に使われている経路の一つが「Apache Struts 2(以下、Struts 2)」の脆弱性です。
Struts 2では、OGNL(Object Graph Navigation Language)という、Javaに似た式言語を使って簡潔に記述できるように工夫されています。
このOGNLが悪用されることで、開発者が意図しない操作が可能になる脆弱性がたびたび発見されています。
脆弱性情報にはどのようなものがあるのか、最近の物を少し纏めてみました。
脆弱性情報
PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23(2015/10/08)
PostgreSQL 9.xのcore serverコンポーネントには、JSON、JSONBの入力検証が適切でないために、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-5289)が存在します。また、contrib moduleコンポーネントで提供されているcrypt関数にはメモリーリーク問題に起因して情報漏洩を許してしまう脆弱性(CVE-2015-5288)が存在します。PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23では、この2件の脆弱性を解決しています。
http://www.postgresql.org/about/news/1615/
VMwareセキュリティアップデート:VMSA-2015-0007(2015/10/10)
VMware ESXi OpenSLPには、メモリーの2重解放(double free:CWE-415)に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-5177)が存在します。OpenSLPは、SLP(Service Location Protocol)のオープンソースです。また、VMware vCenter Serverには、JMX/RMI(Java Management Extensions/Remote Method Invocation)サービスに任意のコード実行を許してしまう脆弱性(CVE-2015-2342)、vpxdサーバーにサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1047)が存在します。
http://www.vmware.com/security/advisories/VMSA-2015-0007.html
Squid 3.5.10リリース(2015/10/01)
Squid 3.5.10は、バグの修正を目的としたリリースです。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2015-5400)の解決後に作り込まれてしまった不具合、SSL、Base64まわりの不具合が修正されています。
http://www.squid-cache.org/Versions/v3/3.5/changesets/
MySQL Community Server 5.6.27、5.5.46リリース(2015/09/30)
MySQL Community Server 5.6.27、5.5.46では、InnoDB Storage Engine、パーティショニング、レプリケーション処理などに存在するバグが修正されています。
http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-27.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-46.html
Red Hat Enterprise Linux Server(v.6)(2015/09/29)
Thunderbirdでは、メモリーの解放後使用(use-after-free:CWE-416)、メモリー使用の改善など、Firefox ESR 38.3で解決した12件の脆弱性に対応しています。OpenLDAPでは、slapdサーバーに存在するBER(Basic Encoding Rules)データ処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2015-6908)を解決しています。
https://rhn.redhat.com/errata/rhel-server-6-errata-security.html
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
最近でも、Webサイトへの不正アクセスが相次いでいます。
被害に遭わないためには、最新の手口や対策に関する情報を常時チェックして備える必要があります。
まず、知っておいていただきたいことは、
Webサイトへの侵入経路には、大きく分けて以下の2種類しかありません。
・ソフトウエアの脆弱性をつく
・認証を突破
ここで、脆弱性について今一度整理してみたいと思います。
脆弱性(ぜいじゃくせい)とは、
コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
このような脆弱性が発見されると、
多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。 しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状です。
脆弱性を塞ぐには、
OSやソフトウェアのアップデートが必要となります。たとえば、Windowsの場合には、サービスパックやWindows Updateによって、それまでに発見された脆弱性を塞ぐことができます。 ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行わなければなりません。
なお、
近年はゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでの間に、その脆弱性を利用して行われる攻撃です。脆弱性が公開されてから、メーカーが対応策を検討して修正プログラムを開発することも多いため、完全な対策は困難と言わざるを得ません。そのため、指摘された脆弱性の内容を確認し、危険となる行為を行わないなど、修正プログラムを適用するまでの間は十分な注意が必要です。
また、
新たな侵入口として活発に使われている経路の一つが「Apache Struts 2(以下、Struts 2)」の脆弱性です。
Struts 2では、OGNL(Object Graph Navigation Language)という、Javaに似た式言語を使って簡潔に記述できるように工夫されています。
このOGNLが悪用されることで、開発者が意図しない操作が可能になる脆弱性がたびたび発見されています。
脆弱性情報にはどのようなものがあるのか、最近の物を少し纏めてみました。
脆弱性情報
PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23(2015/10/08)
PostgreSQL 9.xのcore serverコンポーネントには、JSON、JSONBの入力検証が適切でないために、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-5289)が存在します。また、contrib moduleコンポーネントで提供されているcrypt関数にはメモリーリーク問題に起因して情報漏洩を許してしまう脆弱性(CVE-2015-5288)が存在します。PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23では、この2件の脆弱性を解決しています。
http://www.postgresql.org/about/news/1615/
VMwareセキュリティアップデート:VMSA-2015-0007(2015/10/10)
VMware ESXi OpenSLPには、メモリーの2重解放(double free:CWE-415)に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-5177)が存在します。OpenSLPは、SLP(Service Location Protocol)のオープンソースです。また、VMware vCenter Serverには、JMX/RMI(Java Management Extensions/Remote Method Invocation)サービスに任意のコード実行を許してしまう脆弱性(CVE-2015-2342)、vpxdサーバーにサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1047)が存在します。
http://www.vmware.com/security/advisories/VMSA-2015-0007.html
Squid 3.5.10リリース(2015/10/01)
Squid 3.5.10は、バグの修正を目的としたリリースです。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2015-5400)の解決後に作り込まれてしまった不具合、SSL、Base64まわりの不具合が修正されています。
http://www.squid-cache.org/Versions/v3/3.5/changesets/
MySQL Community Server 5.6.27、5.5.46リリース(2015/09/30)
MySQL Community Server 5.6.27、5.5.46では、InnoDB Storage Engine、パーティショニング、レプリケーション処理などに存在するバグが修正されています。
http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-27.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-46.html
Red Hat Enterprise Linux Server(v.6)(2015/09/29)
Thunderbirdでは、メモリーの解放後使用(use-after-free:CWE-416)、メモリー使用の改善など、Firefox ESR 38.3で解決した12件の脆弱性に対応しています。OpenLDAPでは、slapdサーバーに存在するBER(Basic Encoding Rules)データ処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2015-6908)を解決しています。
https://rhn.redhat.com/errata/rhel-server-6-errata-security.html
弊社では 「情報セキュリティ対策支援」サービスを行っております。
お問合せはこちらから
株式会社シーポイント ネットワークソリューション事業部
