カテゴリー別アーカイブ: 脆弱性

KRACKとCVE-2017-13077

昨日からWPA2の脆弱性が騒がれていましたが、

どうやらパッチで対応可能という情報だけで安心して寝てしまいました。

朝、早くおきてみる具体的なことがわかってきた。

無線のクライアント側への影響が多い。

影響を受ける端末は

クライアントモードで運用するルータ(アクセスポイントとかブリッジモードルータ)と
linux系の特にスマフォ(Android 6.0以上、その他)

http://www.security-next.com/086642

windowsは徳丸さんによるとすでに対策済みだそうで、ルータのファームウェアのバージョンアップはむずかしいのではないかとのこと

まぁ、いずれにせよ端末もしくはアクセスポイントで片方だけでもパッチを適用してしまえば攻撃は成立しないそうです。

俺は両方でたら、バージョンアップしますけどね。

さらにもともと通信が暗号化されているhttpsなどは影響をうけません。

dnsなんかはばれちまうでしょう。

パッチの適用については各ベンダーのサイトやjpcertを確認するといいでしょう。

https://www.jpcert.or.jp/

buffalo

http://buffalo.jp/support_s/osirase/

さて、red hatのほうですが、影響をうけます。

[root@www txt]# rpm -qa |grep wpa
wpa_supplicant-2.6-5.el7.x86_64

https://access.redhat.com/security/cve/cve-2017-13077

こんなパッケージがあったんですね。

修正バージョンがでたら、すみやかにバージョンアップします。

おまけ、flash playerのゼロデイ攻撃

http://www.security-next.com/086663

今日もお読みいただきありがとうございました。

Nginx 1.13.6 release

changeは下記。

中身をみるとバグ修正になります。

新しいのはこなかったのだな。

Changes with nginx 1.13.6 10 Oct 2017

*) Bugfix: switching to the next upstream server in the stream module
did not work when using the "ssl_preread" directive.

*) Bugfix: in the ngx_http_v2_module.
Thanks to Piotr Sikora.

*) Bugfix: nginx did not support dates after the year 2038 on 32-bit
platforms with 64-bit time_t.

*) Bugfix: in handling of dates prior to the year 1970 and after the
year 10000.

*) Bugfix: in the stream module timeouts waiting for UDP datagrams from
upstream servers were not logged or logged at the "info" level
instead of "error".

*) Bugfix: when using HTTP/2 nginx might return the 400 response without
logging the reason.

*) Bugfix: in processing of corrupted cache files.

*) Bugfix: cache control headers were ignored when caching errors
intercepted by error_page.

*) Bugfix: when using HTTP/2 client request body might be corrupted.

*) Bugfix: in handling of client addresses when using unix domain
sockets.

*) Bugfix: nginx hogged CPU when using the "hash ... consistent"
directive in the upstream block if large weights were used and all or
most of the servers were unavailable.

そして、今日はwindows updateの日でもあります。

jpcertなりだしたら追記します。

office2007がサポート終了と2000年代のものが次々とおわっていく。

そして、windows 10の仕様変更もあるみたいだしwindowsのupdateは注意したほうがよさげ。

apacheをバージョンアップしました。

[root@www httpd]# httpd -v
Server version: Apache/2.5.0-dev (Unix)
Server built: Oct 11 2017 07:33:33

LoadModule mod_ssl_ct.so /usr/lib64/httpd/modules/mod_ssl_ct.so

mod_ssl_ctを読み込むようにするとエラーがでる何ゆえ?

opensslのバージョンか?とりあえずインストールしたけど無効化。

windowsupdate,何かあれば追記します。

httpd-2.4.28 release

https://github.com/apache/httpd/releases

ここ見るとreleaseされていた。

CHANGEの中身みるとこの間の脆弱性らしきものとバグぽいね。

gitの方はちょっとちがうのでやり方を乗せておきます

# cd /usr/local/src
# wget # コメント上記urlからzipファイルをダウンロード
# unzip 2.4.28.zip
# cd httpd-2.4.28
# svn co http://svn.apache.org/repos/asf/apr/apr/trunk srclib/apr
# ./buildconf

これでconfigureができるので後は通常通りインストール。

ということでインストール完了。

[root@www httpd-2.4.28]# httpd -v
Server version: Apache/2.4.28 (Unix)
Server built: Sep 26 2017 12:58:16

以下はchange logになります。

Changes with Apache 2.4.28

  *) SECURITY: CVE-2017-9798 (cve.mitre.org)
     Corrupted or freed memory access. <Limit[Except]> must now be used in the
     main configuration file (httpd.conf) to register HTTP methods before the
     .htaccess files.  [Yann Ylavic]

  *) event: Avoid possible blocking in the listener thread when shutting down
     connections. PR 60956.  [Yann Ylavic]

  *) mod_speling: Don't embed referer data in a link in error page.
     PR 38923 [Nick Kew]

  *) htdigest: prevent a buffer overflow when a string exceeds the allowed max
     length in a password file.
     [Luca Toscano, Hanno Bock ]

  *) mod_proxy: loadfactor parameter can now be a decimal number (eg: 1.25).
     [Jim Jagielski]

  *) mod_proxy_wstunnel: Allow upgrade to any protocol dynamically.
     PR 61142.

  *) mod_watchdog/mod_proxy_hcheck: Time intervals can now be spefified
     down to the millisecond. Supports 'mi' (minute), 'ms' (millisecond),
     's' (second) and 'hr' (hour!) time suffixes. [Jim Jagielski]

  *) mod_http2: Fix for stalling when more than 32KB are written to a
     suspended stream.  [Stefan Eissing]

  *) build: allow configuration without APR sources.  [Jacob Champion]

  *) mod_ssl, ab: Fix compatibility with LibreSSL.  PR 61184.
     [Bernard Spil , Michael Schlenker ,
      Yann Ylavic]

  *) core/log: Support use of optional "tag" in syslog entries.
     PR 60525. [Ben Rubson , Jim Jagielski]

  *) mod_proxy: Fix ProxyAddHeaders merging.  [Joe Orton]

  *) core: Disallow multiple Listen on the same IP:port when listener buckets
     are configured (ListenCoresBucketsRatio > 0), consistently with the single
     bucket case (default), thus avoiding the leak of the corresponding socket
     descriptors on graceful restart.  [Yann Ylavic]

  *) event: Avoid listener periodic wake ups by using the pollset wake-ability
     when available.  PR 57399.  [Yann Ylavic, Luca Toscano]

  *) mod_proxy_wstunnel: Fix detection of unresponded request which could have
     led to spurious HTTP 502 error messages sent on upgrade connections.
     PR 61283.  [Yann Ylavic]