2014/05/10

IE、OpenSSL、Strutsなどの脆弱性まとめ

ここ最近、身近なソフトウェアの脆弱性の発覚が多発しました。
影響や対策の情報はよく見かけますが、脆弱性の内容の情報が意外と見つからないので、
すごく簡単にまとめてみました。

IE(Internet Explorer)


【内容】
IEで悪意あるウェブページを開くと、IEで悪意あるコードが実行され、
ウイルスの感染や不正操作、個人情報の流出などが行われる。
対象はIE6~11。

詳細な原因はあまりWeb上にも見つからないのですが、
恐らくVector Markup Language(VML)が原因のようです。
VMLはWebページでベクター画像を表示するXMLベースの言語で、
1998年に提案されたが、W3Cに標準化はされず、今はSVGに統合されました。
要は使われなくなった機能にセキュリティホールがあったようですね。

【対策】
・セキュリティ更新プログラム(MS14-021)=WindowsUpdate(XPもOK)

WindowsUpdateができない場合、以下のどれかを実施
・EMET 4.1を適用する
・IE 10/11では「拡張保護モード」を有効にする
・Flashプラグインを無効にする
・VGX.DLLを無効にする
・IE以外のブラウザを使う

【参考】
http://d.hatena.ne.jp/Kango/20140427/1398602077
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx


OpenSSL


【内容】
OpenSSL 1.0.1から実装された「Heartbeat」にある脆弱性なので、「Heartbleed」と呼ばれる。
HeatbeatはSSLの通信相手が稼働していることを確認するために、
最大64KBののデータを送信し、受信した側はそのまま返送する。
ただし、実際1KBでも「64KBです」と宣言して送ると64KBを返送してしまい、
差の63KBの部分にその時メモリにあるデータを使ってしまう。
その中に個人データやパスワードが含まれている可能性がある。

【対策】
・OpenSSLを1.0.1g以降にアップデート
・(アップデートが難しい場合)DOPENSSL_NO_HEARTBEATSオプションを有効にしてOpenSSLを再コンパイル
・証明書の再設定

【参考】
http://itpro.nikkeibp.co.jp/article/COLUMN/20140425/553345/?mle
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html


Apache Struts


【内容】
Apache StrutsのJava ClassLoaderが、外部からの細工されたリクエストによって操作され、
情報を取られたり特定のファイルを操作される。
特定のファイルにJavaのコードを書き込まれると、そのコードが実行される可能性もある。

【対策】
・Apache Struts 2.3.16.2にアップデート
・(アップデートができない場合)excludeParamsを適切に設定する

【参考】
http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000045.html



FreeBSD


【内容】
TCPでは、分割して送り出したパケットの順番が入れ替わって届いた場合、
受信側のシステムでパケットの並べ直しが行われるが、
FreeBSDの並べ直しの処理に問題があり、攻撃者が細工したパケットを送り付けると、
カーネルがクラッシュしてサービスが停止してしまう危険性がある。
また、メモリー領域の一部情報を盗まれる可能性もある。

【対策】
下記のうちどれかを実施
・この脆弱性が修正された、最新のソースコードを取得してビルドする
・既存のシステムに、セキュリティアドバイザリーで紹介されているパッチを適用する
・「freebsd-update」というツールを使ってシステムを更新する
・パケットフィルターを設定(/etc/pf.confファイルに「scrub in all」と設定)

【参考】
http://itpro.nikkeibp.co.jp/article/NEWS/20140502/554423/?mln

0 件のコメント:

コメントを投稿