Linux勧告ウォッチ - 2003年9月5日
最近、興味深い情報セキュリティ・プロジェクトを見つけた。「情報保全の分類法に向けて(Towards a Taxonomy of Information Assurance)」と名付けられたものだ。発起人はAbe Usher氏で、もともとはオープンソース・コミュニティからのコメントを求めてセキュリティ関連のメーリング・リストに投稿されたものである。同プロジェクトのWebサイトでは、その目的について次のように述べられている。「情報保全やセキュリティについて議論するときのやり取りがより明確になるように、産官学で利用していただけるような分類法、それが私の意図である。」同氏が情報保全について調査してみたところ、「現実世界の問題に適用できるレベルまで十分に詳細化」された分類法は、現時点では見当たらないという。
この分類法では、全体は3つの区分に分かれている。セキュリティ・サービス、情報の状態、セキュリティ対策である。セキュリティ・サービスは、可用性、認証、機密性、完全性、否認防止に分かれている。情報の状態は、伝送、保管、処理に分かれている。セキュリティ対策は、技術、ポリシー、人に分かれている。さらに、これら各セクションが、もっと詳細に区分わけされている。この分類法の構成を理解するには、同プロジェクトのWebサイトを見るのが一番だ。アドレスは次のとおりである。
http://www.sharp-ideas.net/ia/information_assurance.htm
それで、分類法がいったい何の役に立つのかと疑問に思うかもしれない。どんな利用法が考えられるだろうか。私が最初に思い付いたのは、ドキュメントの仕分けである。皆さんの多くと同じように、私はここ数年、セキュリティ関連やオープンソース関連のドキュメントを参照用として数多く集めてきた。私はおおむね、役に立つドキュメントはすべてローカルに保存しておくことを好む。そうすれば、いつでも確実に利用できるからだ。こうしたドキュメントを集めたデジタル・ライブラリが膨らんでくるにつれて、索引付けが著しく複雑になってきてしまった。現時点では、すべてを効率よく取りまとめておくことは困難である。情報セキュリティを網羅した完全な分類法を基準として使えば、包括的なディレクトリ構造を作成して、すべてのドキュメントを格納することが可能となる。また、完全な分類法は、整理に役立つだけでなく、情報セキュリティについて詳しく身に付けたいと考えている人にとっても助けとなるはずだ。学習者が、情報セキュリティに含まれるものの全体像をよりよくつかむことができる。Abe Usher氏の取り組みには拍手を送りたい。皆さんも、もし提案やアイデアがあったら、ぜひ同氏に教えてあげてほしい。
では、また来週。
Benjamin D. Thomas
Linuxセキュリティに関するその他の記事:
A Practical Approach of Stealthy Remote Administration – 重要なサーバ(企業のファイアウォール・コンソールやIDSなど)を管理する秘密の手法を求める神経質な管理者のために書かれたペーパー。
Expert vs. Expertise: Computer Forensics and the Alternative OS – コンピュータ犯罪調査はもう暗く不可解なプロセスではなく、明るみに出てから既に5年以上経つ。それにも関わらず、注目を浴びるようになったのはごく最近である。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
フリーのApache SSL Guide(Thawte社)─Webサーバのセキュリティが心配な人。ここをクリックしてフリーのApache SSL Guideを入手し、Apache SSLセキュリティに必要なすべての答えを見つけよう。
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読 ]
| 配布元: | Conectiva | ||
| 2003/8/29 | sendmailのリモート脆弱性 | ||
sendmailのバージョン8.12.8およびそれ以前のバージョン(ただし8.12.x系のみ)には、DNSマップに関連するリモート脆弱性がある。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3587.html | |||
| 2003/9/1 | gdm | ||
| 複数の弱点 任意のファイルの読み取り、free()使用後のクラッシュ、認証データのチェック時のsegfaultという複数の弱点がこの更新で修正される。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3591.html | |||
| 配布元: | Debian | ||
| 2003/8/29 | nodeのバッファ・オーバーフロー、フォーマット文字列 | ||
| 複数の弱点 Morgan氏(コールサインSM6TKY)が、アマチュア・パケット・ラジオ・ノード・プログラムであるLinuxNodeにセキュリティ関連の問題を複数発見し、修正した。氏の発見したバッファ・オーバーフローを利用して、rootアクセス権を不正に奪われ、リモートから悪用される可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3583.html | |||
| 配布元: | Gentoo | ||
| 2003/9/1 | pam_smb | ||
| リモート・バッファ・オーバーフローの弱点 長いパスワードが渡された場合にバッファ・オーバーフローを引き起こす可能性がある。これを利用して、PAMサービスを起動したプロセスの権限で任意のコードを実行されるおそれがある。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3588.html | |||
| 2003/9/1 | vmware | ||
| 安全でないsymlinkの弱点 この前のGLSA 200308-03では、勧告で指摘されている問題はvmware-workstation-4.0.1-5289にすれば解決できると述べたが、その部分に誤りがあった。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3589.html | |||
| 2003/9/1 | horde | ||
| リモート・セッション・ハイジャック 攻撃者は、HORDE MTAを使っている者を標的としてメールを送り、あるWebサイトを閲覧させる。そしてそのWebサイトですべてのアクセスをログに記録し、各標的に関する詳細を把握する。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3590.html | |||
| 2003/9/2 | phpwebsiteのSQLインジェクションの弱点 | ||
| SQLインジェクション phpwebsiteのカレンダー・モジュールにSQLインジェクションの弱点があり、攻撃者がSQLクエリを実行できる。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3592.html | |||
| 2003/9/2 | eroasterの一時ファイルの弱点 | ||
| symlink攻撃の弱点 以前のバージョンのeroasterでは、ロックファイルとして使用している一時ファイルに対するsymlink攻撃により、ローカル・ユーザが任意のファイルを上書きできてしまう。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3593.html | |||
| 2003/9/2 | mindiの一時ファイルの弱点 | ||
| 安全でないファイルの作成 mindiが/tmpに作成するファイルを使って、ローカル・ユーザが任意のファイルを上書きできる。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3594.html | |||
| 2003/9/2 | galleryのクロス・サイト・スクリプティングの弱点 | ||
| クロス・サイト・スクリプティング Gallery 1.1〜1.3.4のsearch.phpにクロス・サイト・スクリプティングの弱点があり、searchstringパラメータを使ってリモートの攻撃者が任意のWebスクリプトを挿入できる。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3595.html | |||
| 2003/9/2 | atari800のバッファ・オーバーフロー | ||
| バッファ・オーバーフロー atari800にはバッファ・オーバーフローがあり、これを使って攻撃者にroot権限を奪われるおそれがある。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3596.html | |||
| 配布元: | Red Hat | ||
| 2003/8/29 | sendmailのDNSマップによるDoS | ||
| リモート脆弱性 更新されたsendmailパッケージが公開された。DNSマップの処理に含まれている弱点を修正するためのものである。 http://www.linuxsecurity.com/advisories/redhat_advisory-3584.html | |||
| 2003/8/29 | up2dateの必須の更新 | ||
| up2dateの更新 up2dateおよびrhn_registerクライアントの新しいバージョンが公開された。Red Hat Networkを引き続き利用するためにはこの更新は必須である。 http://www.linuxsecurity.com/advisories/redhat_advisory-3585.html | |||
| 配布元: | TurboLinux | ||
| 2003/8/29 | pam_smb | ||
| 弱点 pam_smbモジュールにリモート・バッファ・オーバーフローが見つかった。リモートでアクセス可能なサービスを認証するように構成されたpam_smbを攻撃者が悪用できてしまう。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3586.html |
|||
