カテゴリー別アーカイブ: 脆弱性

2017/7 パッチチューズデー

さーて、今日はいっぱいあります。

まずマイクロソフトから、いきましょう!!

https://portal.msrc.microsoft.com/ja-jp/security-guidance

アップデータはふたつほどきていました。詳しくは上記を参照。

次はアドビ関係。

flash player
http://www.security-next.com/083742

Acrobat Reader DCのバージョンアップがきていました。

で、その次サーバー関係です。

nginxの脆弱性。nginx-1.13.3とnginx-1.12.1がリリースされていた。

http://mailman.nginx.org/pipermail/nginx-announce/2017/000200.html?_ga=2.78077725.86927166.1499663211-511929412.1498799311

次はbindのバグ。

— 9.11.1-P3 released —

4647. [bug] Change 4643 broke verification of TSIG signed TCP
message sequences where not all the messages contain
TSIG records. These may

そして、最後ルートゾーンのKSKロールオーバーについてです。

ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー
  のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。これ
  によりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性
  があります。なお、その可能性はDNSSEC検証の有効・無効には関係ありませ
  ん。

つまり、名前解決できない可能性がある。

詳しくはここをみてください。

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

確認方法は下記

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf

webでの確認はここです。自分のパソコンがちゃんと対応してるか確認できる。

http://keysizetest.verisignlabs.com/

サーバーは側これで4090になってるのでおk

[root@www ~]# dig +bufsize=4096 +short rs.dns-oarc.net txt
rst.x4090.rs.dns-oarc.net.
rst.x4058.x4090.rs.dns-oarc.net.
rst.x4064.x4058.x4090.rs.dns-oarc.net.
"61.211.226.107 DNS reply size limit is at least 4090"
"61.211.226.107 sent EDNS buffer size 4096"
"Tested at 2017-07-11 23:53:36 UTC"
[root@www ~]# dig +bufsize=4096 +short rs.dns-oarc.net txt
rst.x4090.rs.dns-oarc.net.
rst.x4060.x4090.rs.dns-oarc.net.
rst.x4066.x4060.x4090.rs.dns-oarc.net.
"2001:e42:200::10 DNS reply size limit is at least 4090"
"2001:e42:200::10 sent EDNS buffer size 4096"
"Tested at 2017-07-11 23:53:40 UTC"

うちの会社サーバーがat leastが1500以上になりませんでした。

原因はforwarders{}でレンタルサーバーのdnsを指定していたのが原因。

これをgoogleの公開dnsサーバーに変更しました。

ということでまとめ終わり。

つかれた・・・。

CVE-2017-3143とCVE-2017-3142

bindの脆弱性がでました。

まぁTSIGを有効にしてる場合のみ影響をうけます。デフォルトでは無効になっています。

https://jprs.jp/tech/security/2017-06-30-bind9-vuln-circumvent-tsig-auth-dynamic-update.html

TSIGとは下記をみるとわかりやすい。

http://www.atmarkit.co.jp/ait/articles/0305/10/news001_3.html

俺は有効化してないのでこの脆弱性の影響はうけません。

しかし、red hatのパッケージをみてみましょう。

https://access.redhat.com/security/cve/cve-2017-3143

6と7と影響をうけます。

有効化してる場合はパッケージがでたら速やかにバージョンアップをしましょう。

ということでバージョンアップ終わり。

[root@www ~]# named -v
BIND 9.11.1-P2 <id:f90acef>

ここも参考にするといいかな。

https://www.jpcert.or.jp/at/2017/at170024.html

Stack Clash

6/29追記

o6asanさんからsudoコマンドの追加情報頂きました。ありがとうございます。

http://www.atmarkit.co.jp/ait/articles/1706/29/news029.html

昨日、glib-cとカーネルのアップデータがあったとおもったら、

root権限がうばわれるかなりやばい脆弱性がでていたんだな。

詳しく下記の内容をみていくと

これをより重大性の低いセキュリティホールと組み合わせることで、i386とamd64のLinux、OpenBSD、NetBSD、FreeBSD、Solarisのメモリプロセスの破壊に使用できる可能性があるという。

攻撃者はこれらの攻撃手法を利用することで、ローカルユーザーの特権昇格を引き起こし、完全な管理者権限を取得することができる。

ただしこれは、リモートから攻撃されるリスクがないことを意味しているわけではない。研究者らは、リモートから脆弱性を持つアプリケーションを通じて攻撃を行うことも、理論上は可能だと考えている。

https://japan.zdnet.com/article/35103039/

あるとしたらweb経由のWPの脆弱性からユーザー権限を通じてrootになる恐れがあるな。

完全なCentOSならカーネルのバージョンアップをしてこの問題は終わりだが、

特定のレンタルサーバーの場合はこの攻撃が成功する可能性としてあるか

レンタルサーバーの動きに注意だな。

こういうのがあるから、カーネルのバージョンアップをとめるべきではないんだよ。