読者です 読者をやめる 読者になる 読者になる

アラタナエンジニアブログ

aratana Engineer's Blog

2014年サーバ関連の脆弱性を振り返ってみる

セキュリティ

こんにちは、 アラタナの月岡です。
あ、Mery Christmas!
ということで今年も残り僅かとなりましたね。はやいですね。

軽く今年を振り返りますとサーバ脆弱性対応が
たくさんあった一年だったような印象を覚えております。
サーバーエンジニアの方はうんうんと激しく頷いていることでしょうw

そこでどんなセキュリティ系トピックが発生していたのかを振り返ってみます。
(あまり思い出したくないですが..)

f:id:aratanakoho:20160729172153j:plain


2014年01月14日 NTPがDDoS攻撃の踏み台として使用される問題

JVNVU#96176042

こちらは /etc/ntp.confに"disable monitor"を追記することで対策できましたね。

2014年04月08日 OpenSSLのheartbeat 拡張に情報漏えいの脆弱性

JVNVU#94401838

憶えてます!! 憶えてます!!
aratana-CSIRT(アラタナシーサート)にて対応報告させて頂いております。


OpenSSL脆弱性への弊社対応状況について | 株式会社アラタナ


2014年06月06日 OpenSSLにおける Change Cipher Spec メッセージの処理に脆弱性

JVN#61247051

想定される影響として、サーバとクライアント間の SSL/TLS 通信が、中間者攻撃によって解読されたり、改ざんされたりする可能性。
ニュースにもかなり取り上げられましたね。
OpenSSLの影響範囲のバージョンが広いために世界的に対応に追われたサーバエンジニアも多かったことでしょう。
こちらもaratana-CSIRT(アラタナシーサート)にて対応報告させて頂いております。


OpenSSL脆弱性への弊社対応状況について | 株式会社アラタナ



2014年09月26日 GNU Bash にOSコマンドインジェクションの脆弱性

JVNVU#97219505

これも嫌な脆弱性でしたねー
またの名をshellshockというやつです。
f:id:ststyle:20141225120325p:plain
「Youtube」Shellshock: Bash Bug 脆弱性について知っておくべきこと | Symantec より

yumやapt-getでアップデートすることで簡単に対応可能でしたがこれは大変危険な脆弱性でした。
外部からだとWAFの重要性を改めて再認識しましたし、標準で導入していてよかったなと思います。


GNU bash脆弱性への弊社対応状況について | 株式会社アラタナ


2014年10月16日 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE攻撃)


JVNVU#98283300

f:id:ststyle:20141225120811j:plain
「ACRO MEDIA」Beware of P.O.O.D.L.E, SSLv3 Vulnerability & Security Update より

もう全然かわいくないですね、POODLEってぐらい話題になりましたね。この脆弱性
Padding Oracle On Downgraded Legacy Encryption
OpenSSL系が立て続いて、もうまたかいっ!!みたいな感じでしたね。この時期。

サーバもしくはクライアント、あるいはその両方で SSLv3 を無効にすることで、
POODLE 攻撃の影響を回避することができますが
古いブラウザやOSによっては閲覧できない等の影響もなかなか大変でしたね。

WEBサーバがApacheな方はSSLProtocolの設定項目で"-SSLv3"を定義されたことと思います。

もうPOODLEさん!!
f:id:ststyle:20141225120839j:plain
「Lead Commerce」POODLE SSLv3 より


SSLv3 POODLE 脆弱性への弊社対応状況について | 株式会社アラタナ


2014年10月29日 GNU Wget にシンボリックリンクの扱いに関する問題

JVNVU#98581917

想定される影響として
リモートの FTP サーバから再帰的にファイルをダウンロードする際、
GNU Wget を使用しているユーザの権限で任意のファイルを作成されたり、任意のファイルを上書きされたりする可能性。
こちらはyumやaptでアップデートで簡単に対策できます。
 

2014年12月22日 Network Time Protocol daemon (ntpd) に複数の脆弱性

JVNVU#96605606

なんと僕の誕生日じゃないですか!! ww
こちらもyumやaptでupdateするだけで簡単に対応可能です。
更新後、以下のバージョンであることを確認して下さい。

CentOS5「ntp-4.2.2p1-18.el5」
CentOS6「ntp-4.2.6p5-2.el6」
CentOS7「ntp-4.2.6p5-19.el7」

ソースインストールな方はこちらからlatestをインストールしてください
ntp.org: Home of the Network Time Protocol


ざっと振り返りますと暗号化系が多かったですね。


来年はみんなのセキュリティが安全でありますように。
ではー