カテゴリー別アーカイブ: 脆弱性

CVE-2017-3137

移転が終って一安心したら、bindの脆弱性だもんなー。

休む暇ないです。あああああああああ、休みたい。

さて、詳しく見ていきましょう。

https://www.jpcert.or.jp/at/2017/at170016.html

解決方法はニューバージョンにバージョンアップするしかないのか

 

影響を受けるバージョンは

– CVE-2017-3136 : 中 (Medium)
– 9.9系列 9.9.9-P6 およびそれ以前
– 9.10系列 9.10.4-P6 およびそれ以前
– 9.11系列 9.11.0-P3 およびそれ以前
– 特定のオプション (“break-dnssec yes;”) を設定して DNS64 を使用し
ている場合に対象になるとされています
– サポートが終了している 9.8 系列も対象になるとされています

– CVE-2017-3137 : 高 (High)
– 9.9系列 9.9.9-P6
– 9.10系列 9.10.4-P6
– 9.11系列 9.11.0-P3
– キャッシュ DNS サーバが対象になるとされている他、権威 DNS サーバ
で名前解決を実行している場合に対象となりうるとされています

– CVE-2017-3138 : 中 (Medium)
– 9.9系列 9.9.9 から 9.9.9-P7 まで
– 9.10系列 9.10.4 から 9.10.4-P7 まで
– 9.11系列 9.11.0-P4 およびそれ以前
– 制御チャンネル (control channel) により遠隔から制御を受けつける場
合に対象になるとされています

CentOSは影響を全部受けそうですね。しかし、5はもうサポートを終了したので修正のパッケージはでませんので注意。

red hatのcveデータベースをみるとうん。まだでていませんので修正パッケージがでたら

すぐバージョンアップしましょう。

俺の方は完了。

[root@www bind-9.11.0-P5]# named -v
BIND 9.11.0-P5 <id:ad4fb79>

PHP-7.1.3とPHP-7.0.17

新バージョンがでていのでバージョンアップ完了です。

[root@www httpd]# php -v
PHP 7.1.3 (cli) (built: Mar 15 2017 14:38:41) ( NTS )
Copyright (c) 1997-2017 The PHP Group
Zend Engine v3.1.0, Copyright (c) 1998-2017 Zend Technologies
with Zend OPcache v7.1.3, Copyright (c) 1999-2017, by Zend Technologies

まだ、発表がありませんが、何かしら脆弱性があるんでしょう。

会社の方は土日くらいにrpmファイルがでればバージョンアップ。

最近は脆弱性が発表と同時に攻撃がはじまるので油断できません。そして、今年は5.6.x系が終わり7以上のみとなります。WPの推奨環境も7以上になっていますしWPで構築してる人も多いですが、

最新のphp,wp,ブラウザ,webサーバー,mariadb使うことを推奨します。

さて、今日もサーバーの引越しをがんばらないとな。ちょっと予定外の動きになってるのでそれを修正しないといけない。めんどくせーな。

今日はバックアップの日だから、それが終れば検証してみよう。

しかし、あの馬鹿はなんで毎週毎週サーバーの再起動を要求するのか?

折角、キャッシュ化してOSが最適化してる状態なのにそれをクリアしてもいみないとおもう。

恐らくlinuxをxpかなんかと勘違いしてる上にitの知識が2006年くらいで

止まってる可能性が大きいな。

もうすぐ縁がきれるかもしれないしうれしい限りだ。

2017/03 パッチチューズデー

windowsから見ていこう。

smbの問題が解決されるのとIEに脆弱性があるのですぐ修正したほうがいいだろう。

https://technet.microsoft.com/ja-jp/library/security/ms17-mar.aspx

flashplayerは

http://www.security-next.com/079509

最近の特に脆弱性が公開されてすぐに攻撃が始まるパターンが多いので

すぐupdateをしましょう。

さて楽天ブログとはてなブログが常時ssl化を目指してるそうです。

楽天

https://plaza.rakuten.co.jp/hirobastaff/diary/201701100000/

はてなブログは検討中らしい。のこりの大手はlivedoorくらいかな?

いずれにせよこれらが常時ssl化すれば日本の常時ssl化が進みますね。サイトの修正とか大変な思いをされると思いますが、がんばってください。

俺のサイトはさらに先をいけるようがんばります。

つーかさ、検索エンジンにこういう技術でブログを評価してくれてもよくない?

確かにそんな褒められるサイトつくってるわけじゃないけどさーw

おまけ、nginxとphp-fpmの間でなんか不具合がおきてるぽい。

下記urlはダッシュボードの更新なんだが、アクセスすると502になるし、

https://www.superweibu.com/wp-admin/update-core.php

2017/03/15 06:57:07 [error] 31464#31464: *86 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: superweibu.com, request: “POST /wp-admin/update-core.php?action=do-core-reinstall HTTP/2.0”, upstream: “fastcgi://unix:/var/run/php-fpm.sock:”, host: “www.superweibu.com”, referrer: “https://www.superweibu.com/wp-admin/update-core.php”

投稿した場合は下記エラー。

2017/03/15 06:14:51 [error] 12965#12965: *10986 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: xxx.xxx.xxx.xxxx, server: superweibu.com, request: “GET /wp-admin/post.php?post=11439&action=edit&message=6 HTTP/2.0”, upstream: “fastcgi://unix:/var/run/php-fpm.sock:”, host: “www.superweibu.com”, referrer: “https://www.superweibu.com/wp-admin/post.php?post=11439&action=edit”

何が原因なのか・・・。mariadb元のバージョンに戻すかな。