Linux勧告ウォッチ - 2003年8月8日
ソフトウェアの弱点を招く最たる原因の1つが、プログラミングの不適切な実践である。機能を増やすためにセキュリティを犠牲にすることは珍しくない。たいていのプログラマは安全なコードを書きたいと思っているが、そう思わないプログラマも多い。ほとんどの大学では、プログラミングを教えるときにセキュリティを重視しない。学生が習うことはただ1つ、入力変数のチェック方法だけである。とはいえ、最近はソフトウェア開発においてセキュリティを重視する傾向が以前より多くの大学で見られ始めている。
コードの作成をなりわいとする、あるいは単なる趣味とする私たちにとって、最良のセキュリティが実践されたコードを書くにはどうすればよいだろうか。最近、私は米O’Reillyの書籍『Secure Coding: Principles & Practices』(Mark G. Graff/Kenneth R. van Wyk共著)を楽しく読み終わったところだ。O’Reillyの書籍はどれもそうだが、この本もほどほどに技術的な内容であり、見当違いな話術に退屈することはない。長さは200ページを少し超えるぐらいで、販売価格は$29.95だ。普通なら薄い割りに高いと感じるところだが、この本に限っては価格に見合うだけの情報が詰まっている。まじめな開発者にとって必携と言える。中級から上級レベルのプログラマを読者として想定して書かれている。
本書の最大の長所は、主に文章と理論で書かれていることだ。ソースコードはわずかしかない。特定のテクニックを詳述することよりも、高いセキュリティを備えたコードを書くための実践方法に重点が置かれている。この本から得られる情報は、セキュアな開発プロセスに着手するために必要な知識の確かな土台となるだろう。巻頭では、ソフトウェアを襲うあらゆる種類の攻撃手法が紹介される。その後の1章はセキュアなデザインをテーマとし、コーディングの手順、注意事項、不適切な実践方法が解説される。巻末では、リリース前にソフトウェアを正しくテストするテクニックが詳しく語られる。本書のもう1つの長所は、ケーススタディが含まれていることだ。実際に使用されている例を見ることは、概念の理解に役立つ。
繰り返しになるが、『Secure Coding: Principles & Practices』は、自信をもってお勧めできる好著である。セキュアプログラミングの完全な本を探しているなら、見つかったも同然だ。
では、また来週。
Benjamin D.
Thomas
Expert vs. Expertise: Computer Forensics and the Alternative OS─コンピュータ犯罪調査はもう暗く不可解なプロセスではなく、明るみに出てから既に5年以上経つ。それにも関わらず、注目を浴びるようになったのはごく最近である。
REVIEW: Linux Security Cookbook─実世界の問題に対する単純な解決策というものはめったにない。セキュリティの分野では特にそうである。『Linux Security Cookbook』は、こうした実世界の問題を解決するのに役立つ必須ツールである。本書は、ベテランのシステム管理者から、セキュリティに興味のあるホームユーザに至るまで、あらゆる人に当てはまる状況を網羅しており、自ら述べているように、セキュリティを重視する人にとっては必読の参考書である。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。 [ 購読 ]
| 配布元: | Conectiva | ||
| 8/2/2003 | wu-ftpdのoff-by-oneの弱点 | ||
fb_realpath()関数(wu-ftpdでファイル名パスを処理する関数)にoff-by-oneバッファ・オーバーフローの弱点が見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3518.html | |||
| 8/4/2003 | wget | ||
| バッファ・オーバーフローの弱点 攻撃者は、長い(256文字を超える)特殊なURLを作って、これをwgetに解析させ、任意のコードを実行させるか、プログラムに不正な動作をさせることができる。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3519.html | |||
| 8/5/2003 | postfix | ||
| リモートサービス拒否の弱点
複数の弱点がpostfixに見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3530.html | |||
| . | |||
| 配布元: | Debian | ||
| 8/1/2003 | wu-ftpdのバッファ・オーバーフローの弱点 | ||
| off-by-oneの弱点
wu-ftpdのfb_realpath関数にoff-by-oneバグがあることをiSEC Security Researchが発見した。ログインユーザー(ローカルユーザーまたは匿名ユーザー)は、このバグを悪用してルート権限を得ることができる。 http://www.linuxsecurity.com/advisories/debian_advisory-3507.html | |||
| 8/1/2003 | kernel | ||
| 複数の弱点 Linuxカーネルに複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3508.html | |||
| 8/1/2003 | atari800 | ||
| 複数の弱点 atari800(Atariemulator)に複数のバッファ・オーバーフローの弱点があることをSteve Kempが発見した。 http://www.linuxsecurity.com/advisories/debian_advisory-3509.html | |||
| 8/1/2003 | xfstt | ||
| 複数の弱点 xfsttに複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3510.html | |||
| 8/1/2003 | kdelibs | ||
| 複数のリモートの弱点 未承認アクセスとman-in-the-middle攻撃を許す弱点が修正された。 http://www.linuxsecurity.com/advisories/debian_advisory-3515.html | |||
| 8/2/2003 | mindi | ||
| 危険な一時ファイルの弱点 ブート/ルートディスク作成プログラムmindiが、一時ファイルを作成するときにセキュリティを十分に考慮しない。 http://www.linuxsecurity.com/advisories/debian_advisory-3520.html | |||
| 8/3/2003 | postfix | ||
| 複数の弱点 postfixに複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3521.html | |||
| 8/5/2003 | man-dbの複数の弱点 | ||
| 複数の弱点 man-dbのsuidインストールに複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3531.html | |||
| 8/5/2003 | kernel | ||
| 弱点 この勧告は、kernel-source-2.4.18 version2.4.18-7で持ち込まれたエラーを含む前のカーネルアップデートの修正に関するものである。このエラーのため、特定の状況でカーネルがクラッシュする。 http://www.linuxsecurity.com/advisories/debian_advisory-3532.html | |||
| 8/5/2003 | kernel | ||
| 弱点 この勧告は、kernel-source-2.4.18 version2.4.18-7で持ち込まれたエラーを含む前のカーネルアップデートの修正に関するものである。 http://www.linuxsecurity.com/advisories/debian_advisory-3533.html | |||
| 8/6/2003 | phpgroupware | ||
| 複数の弱点 いくつかの弱点がphpgroupwareに見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3536.html | |||
| 8/6/2003 | eroaster | ||
| 危険な一時ファイルの弱点
eroasterが、ロックファイルとして使う一時ファイルを作成するときにセキュリティを十分に考慮しない。 http://www.linuxsecurity.com/advisories/debian_advisory-3537.html | |||
| . | |||
| 配布元: | EnGarde | ||
| 8/4/2003 | ‘postfix’のリモートサービス拒否 | ||
| リモートDoSの弱点
リモートDoS攻撃を招く弱点がPostfix MTAにあることをMichal Zalewskiが発見した。 http://www.linuxsecurity.com/advisories/engarde_advisory-3517.html | |||
| 8/6/2003 | ‘stunnel’のシグナルハンドラ競合状態DoS | ||
| サービス拒否の弱点
stunnelは、SIMAPとSPOP3へのトンネルを作るためにEnGardeで使われるSSLラッパーである。これらのサービスの受信接続を待機するためにstunnelを構成する過程に、潜在的な弱点が見つかった。 http://www.linuxsecurity.com/advisories/engarde_advisory-3535.html | |||
| . | |||
| 配布元: | FreeBSD | ||
| 8/4/2003 | libc | ||
| バッファ・オーバーフローの弱点 解決済みパス名の長さを計算するrealpath(3)の部分にoff-by-oneエラーが見つかった。 http://www.linuxsecurity.com/advisories/freebsd_advisory-3522.html | |||
| 8/5/2003 | libc | ||
| realpathのoff-by-oneの弱点 解決済みパス名の長さを計算するrealpath(3)の部分にoff-by-oneエラーが見つかった。 http://www.linuxsecurity.com/advisories/freebsd_advisory-3534.html | |||
| . | |||
| 配布元: | Mandrake | ||
| 8/1/2003 | kdelibs | ||
| 認証の弱点 Konquerorに弱点が見つかった。http://user:password@host/形式のURLの一部として証明書が引き渡されると、HTTP-refererヘッダを通して標準テキストの状態で証明書を想定外のWebサイトに誤って送信する。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3511.html | |||
| 8/1/2003 | wu-ftpdのoff-by-oneの弱点 | ||
| off-by-oneの弱点 fb_realpath()関数にoff-by-oneのバグがあり、リモートの攻撃者がサーバのルート権限を取得できる。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3512.html | |||
| 8/4/2003 | postfix | ||
| 複数の弱点 postfix MTAの2つの弱点をMichal Zalewskiが発見した。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3523.html | |||
| 8/4/2003 | php | ||
| セッション処理の弱点 PHP4(version 4.3.2より前)のトランスペアレントセッションIDサポートに弱点が見つかった。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3524.html | |||
| . | |||
| 配布元: | NetBSD | ||
| 8/4/2003 | core | ||
| サービス拒否の弱点 念入りに準備したOSIネットワークパケットを送信することで、OSIで接続されたシステムをリモートからクラッシュさせられる。 http://www.linuxsecurity.com/advisories/netbsd_advisory-3525.html | |||
| 8/4/2003 | libc | ||
| off-by-oneの弱点 ライブラリ関数realpathに文字列操作の誤りがあり、1バイトのバッファ・オーバーランが起こる。 http://www.linuxsecurity.com/advisories/netbsd_advisory-3526.html | |||
| . | |||
| 配布元: | Red Hat | ||
| 8/1/2003 | wu-ftpdのoff-by-oneの弱点 | ||
| off-by-oneの弱点 2.6.2までのバージョンのwu-ftpdにoff-by-oneの弱点が見つかった。 http://www.linuxsecurity.com/advisories/redhat_advisory-3513.html | |||
| 8/4/2003 | postfix | ||
| 複数の弱点 Red Hat Linux 7.3、8.0、9のPostfixパッケージに影響する2つのセキュリティ問題がPostfixに見つかった。 http://www.linuxsecurity.com/advisories/redhat_advisory-3527.html | |||
| . | |||
| 配布元: | Slackware | ||
| 8/1/2003 | Konqueror | ||
| 複数の弱点 この勧告は、KonquerorがURLとして証明書を受け取った場合にHTTP-refererヘッダを通して証明書が想定外のWebサイトに漏れるセキュリティ問題のアップデートに関するものである。 http://www.linuxsecurity.com/advisories/slackware_advisory-3516.html | |||
| . | |||
| 配布元: | SuSe | ||
| 8/1/2003 | wuftpd | ||
| off-by-oneの弱点 Linux型システムの代表的なftpサーバー、WU ftpデーモン(wuftpd)で1バイトのバッファ・オーバーフローが起こる。 http://www.linuxsecurity.com/advisories/suse_advisory-3514.html | |||
| 8/4/2003 | postfix | ||
| 複数の弱点 リモートDoS攻撃やプライベートネットワークのバウンススキャンを招く可能性があるpostfixの問題をMichal Zalewskiが発見した。 http://www.linuxsecurity.com/advisories/suse_advisory-3528.html | |||
| . | |||
| 配布元: | TurboLinux | ||
| 8/4/2003 | wu-ftpdのoff-by-oneの弱点 | ||
| off-by-oneの弱点 この弱点を悪用すると、リモート認証ユーザーが、長いパス名を生成するコマンドを使って任意のコードを実行できる。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3529.html | |||