カテゴリー別アーカイブ: 脆弱性

2017 11月パッチチューズデイ

windowsupdateが来ていました。

詳細は発表され次第追記しますが、すぐアップデータしたほうがいいでしょう。

https://blogs.technet.microsoft.com/jpsecurity/

次に他のアップでーた。

「Adobe Acrobat」「Adobe Reader」
http://www.security-next.com/087561

「Adobe Flash Player」
http://www.security-next.com/087566

さて、おわりのはじまりがはじまった。

その記述をみたのか馬鹿が17時に急遽なぞの帰宅。俺のほうも警戒態勢を一段あげました。

恐らくなんかするということはないだろうが、サーバーになんかやられたら困るので

すぐ復旧できるように大事な奴はデータを毎日保護するように変更しました。

社長からの連絡もあると思うので夜もskypeをあげておかないといけない。

2年前に行動してくれれば助かったのだが、やれやれである。

さて、今日も一日がんばらないとな。

今日もブログをおよみいただきありがとうございました。

openssl-1.1.0g

知らなかったんですが、opensslの脆弱性がでていた。

https://www.openssl.org/news/secadv/20171102.txt

結局夜中にバージョンアップすることになっちゃったよ。

もっと早く気がついていたら、連休中にやったのにさー。気がつかなかった・・・。

red hatの方はcveすら登録されていないしそのうちやるんかなー。

出たらバージョンアップして再起動しなとね。

opensslのライブラリーはサーバー全体に影響するから、再起動のほうがいい。

さて、この時期はプロ野球選手の解雇とかリストラとか色々話題がでてくる。

かわいそうだがそういう厳しい世界だ。

せめて、次の雇用が決まり安心して来年を迎えられればと思う。

それとは反対に一部高給の某不良債権もあったな。

これはやっととか正直いらないとみんな思うだろう。

野球だけではない。自社も5人ほどリストラをする。

線引きは言われたことのみをやる人間と自発的に何かをやる人間。

結果を残す人と残さない人間。

色々考えられるのだが、結局は人間性だったのかなーと思う。

インフラ系の俺がWPの本を読んだり、RWDの作り方を勉強したり、

webmasterhelpフォーラムに登録したり

とここまで製作側に入り込んだのもやつらの不勉強ゆえである。

いかす機会はなかったがな。

結果論だが

止めをさしたのは馬鹿が不倫相手の家におしかけるといった

2年前からこのようになる出来事が発生したのだとおもう。

しかし、2年間の間に彼らはかわれなかった。

さて、上記にならないようディープラーニングの勉強をしないとな。

KRACKとCVE-2017-13077

昨日からWPA2の脆弱性が騒がれていましたが、

どうやらパッチで対応可能という情報だけで安心して寝てしまいました。

朝、早くおきてみる具体的なことがわかってきた。

無線のクライアント側への影響が多い。

影響を受ける端末は

クライアントモードで運用するルータ(アクセスポイントとかブリッジモードルータ)と
linux系の特にスマフォ(Android 6.0以上、その他)

http://www.security-next.com/086642

windowsは徳丸さんによるとすでに対策済みだそうで、ルータのファームウェアのバージョンアップはむずかしいのではないかとのこと

まぁ、いずれにせよ端末もしくはアクセスポイントで片方だけでもパッチを適用してしまえば攻撃は成立しないそうです。

俺は両方でたら、バージョンアップしますけどね。

さらにもともと通信が暗号化されているhttpsなどは影響をうけません。

dnsなんかはばれちまうでしょう。

パッチの適用については各ベンダーのサイトやjpcertを確認するといいでしょう。

https://www.jpcert.or.jp/

buffalo

http://buffalo.jp/support_s/osirase/

さて、red hatのほうですが、影響をうけます。

[root@www txt]# rpm -qa |grep wpa
wpa_supplicant-2.6-5.el7.x86_64

https://access.redhat.com/security/cve/cve-2017-13077

こんなパッケージがあったんですね。

修正バージョンがでたら、すみやかにバージョンアップします。

おまけ、flash playerのゼロデイ攻撃

http://www.security-next.com/086663

今日もお読みいただきありがとうございました。