Linux勧告ウォッチ - 2003年9月26日
パスワードには根本的な弱点があるので、重要なデータの場合はパスワードだけを使った認証手段は不十分なことが多い。たとえば、ユーザーは簡単に推測できる単語を選んだり、作業を楽にするためにパスワードを他人に教えたりすることがある。さらに、パスワードは簡単に傍受されてしまうことも多い。現在使われているアプリケーションやプロトコルには、パスワードをクリアテキストで送るものがまだ数多くある。弱いパスワードを使うのは、故障した錠前を使うようなものだ。パスワードは安全を保証するわけではない。データや情報にアクセスするのにかかる時間を長くするだけである。
システム管理者は、いくつかの方法でユーザーのパスワードセキュリティを強化することができる。まず、ログオン試行に対する制限を設定する。たとえば、ログイン試行が何度か続けて失敗したら、ユーザーIDをロックする。次に、パスワードの強度に対する要件を設定する。パスワードの最小長を決め、特殊文字と大文字/小文字を必須とし、辞書ファイルに含まれている単語を禁止する。さらに、有効期限を設定し、同じパスワードを連続して使用できないようにすれば、パスワードのセキュリティはさらに高まる。
パスワードに加えて生物学的認証やその他の認証を行えば、セキュリティは格段に上がる。二次的な防御策を用意することは重要である。たとえば、sshセキュリティは、キー認証とIPに基づくアクセス制御を使うことで格段に向上できる。テクノロジの進化に伴い、パスワードは徐々に使われなくなっているが、まだ数年の間はなくならないだろう。次週は、シングル・サインオン・メカニズムを使ってパスワードのセキュリティとユーザー管理を向上する方法を説明する。
では、また来週。
Benjamin D. Thomas
Linuxセキュリティに関するその他の記事:
R00ting The Hacker ─『The Hacker Diaries: Confessions of Teenage Hackers』の著者Dan Vertonは、米国海兵隊の元情報士官であり、現在はComputerworld and CNN.comで国家的なサイバー・セキュリティの問題と重要なインフラストラクチャ保護について執筆している。
A Practical Approach of Stealthy Remote Administration ─ 重要なサーバ(企業のファイアウォール・コンソールやIDSなど)を管理する秘密の手法を求める神経質な管理者のために書かれたペーパー。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
フリーのThawte Apache SSL Guide─Webサーバのセキュリティが心配な人は、ここをクリックしてフリーのThawte Apache SSL Guideを入手しよう。Apache SSLに関するすべてのセキュリティニーズへの答えが見つかる。
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。 [ ]
| 配布元: | OpenServer | ||
| 2003/9/24 | ‘wu-ftpd’ fb_realpath()のoff-by-oneバグ | ||
Wu-ftpd FTPサーバーにリモートから悪用される可能性のあるバッファ確保ミス(off-by-one)が見つかった。ローカルまたはリモートの攻撃者は、この弱点を利用して、そのシステムのルート特権を得る可能性がある。 http://www.linuxsecurity.com/advisories/caldera_advisory-3682.html |
|||
| 配布元: | Conectiva | ||
| 2003/9/22 | wu-ftpdのリモートからのコマンド実行の弱点 | ||
主にファイルを圧縮(および)解凍するために使われるwu-ftpdの「変換」機能の使用方法に関する弱点が修正された。この弱点が悪用される状況は、サーバーの設定によって異なる。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3670.html |
|||
| 2003/9/23 | vnc | ||
| 複数の弱点 VNCで見つかった2つの弱点が修正された。これによって、Conectiva Linux 7.0および8と共に配布されるバージョンに影響が及ぶ。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3674.html |
|||
| 2003/9/23 | krb5 | ||
| Kerberosの複数の弱点
プリンシパル名の処理、暗号化の弱点、xdrmem_getbytesの長さチェックに関するバグ、その他いくつかの弱点が修正された。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3675.html |
|||
| 2003/9/24 | php4 | ||
| 複数の弱点 整数オーバーフローの弱点など、いくつかの修正および改良を含む新しいバージョンがリリースされた。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3684.html |
|||
| 配布元: | Debian | ||
| 2003/9/20 | ipmasq | ||
| 危険なパケットフィルタの規則
不適切なフィルタ規則のために、外部インターフェイスに届く内部ホスト宛てのトラフィックが、確立済みの接続に関連付けられているかどうかに関係なく転送される可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3665.html |
|||
| 2003/9/21 | ssh-krb5 複数の弱点 | ||
| 複数の弱点
前のDSA-383勧告に対する補足。Solar Designerは、OpenSSHに悪用される可能性のあるバグをさらに4つ発見した。 http://www.linuxsecurity.com/advisories/debian_advisory-3668.html |
|||
| 2003/9/21 | ssh | ||
| 複数の弱点の追加
前のDSA-382-1勧告とDSA-382-3勧告に対する補足。Solar Designerは、OpenSSHに悪用される可能性のあるバグをさらに4つ発見した。 http://www.linuxsecurity.com/advisories/debian_advisory-3669.html |
|||
| 配布元: | EnGarde | ||
| 2003/9/24 | ‘WebTool-userpass’パスフレーズ露見の弱点 | ||
| 複数の弱点の追加
“Shawn” http://www.linuxsecurity.com/advisories/engarde_advisory-3680.html |
|||
| 配布元: | FreeBSD | ||
| 2003/9/24 | ARP | ||
| リソース枯渇によるDoS
一部の状況で、攻撃者がFreeBSDシステムに偽のARP要求を大量に送る可能性がある。その結果リソースが枯渇し、最終的にはシステムがパニック状態に陥る可能性がある。 http://www.linuxsecurity.com/advisories/freebsd_advisory-3683.html |
|||
| 配布元: | Gentoo | ||
| 2003/9/23 | openssh | ||
| PAMの複数の弱点
OpenSSHの移植可能バージョン3.7p1および3.7.1p1の新しいPAMコードにいくつかの弱点が見つかった。そのうちの少なくとも1つは、リモートから悪用される可能性がある(privsepを無効にした標準以外の構成の場合)。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3676.html |
|||
| 配布元: | RedHat | ||
| 2003/9/22 | apache/mod_ssl 複数の弱点 | ||
| 複数の弱点
セキュリティに関するいくつかの小さな問題を修正するRed Hat Linux 7.1、7.2、7.3用の更新済みApacheおよびmod_sslパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3666.html |
|||
| 2003/9/22 | perl | ||
| 複数の弱点 Safe.pmに関するセキュリティの問題とCGI.pmのクロスサイトスクリプティング(XSS)の弱点を修正する更新済みPerlパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3667.html |
|||
| 配布元: | Slackware | ||
| 2003/9/23 | ‘wu-ftpd’の弱点 | ||
| 複数の弱点 Slackware 9.0以降に対する更新済みWU-FTPDパッケージが公開された。攻撃者が特別なファイル名とWU-FTPDの変換機能を組み合わせて、サーバー上で任意のコマンドを実行するという問題が修正されている。 http://www.linuxsecurity.com/advisories/slackware_advisory-3677.html |
|||
| 2003/9/23 | ‘proftpd’の弱点 | ||
| 複数の弱点 Slackware 8.1、9.0以降に対する更新済みProFTPDパッケージが公開された。攻撃者が特殊なファイルをダウンロードしてルートシェルを取得するというセキュリティ上の問題が修正されている。 http://www.linuxsecurity.com/advisories/slackware_advisory-3678.html |
|||
| 2003/9/23 | ‘openssh’のPAMの弱点 | ||
| 複数の弱点 Slackware 8.1、9.0以降に対する更新済みOpenSSH 3.7.1p2パッケージが公開された。PAM認証に関するセキュリティの問題が修正された。Solar Designerのいくつかのコードクリーンアップも含まれている。 http://www.linuxsecurity.com/advisories/slackware_advisory-3679.html |
|||
| 配布元: | SuSE | ||
| 2003/9/20 | sendmail、sendmail-tls | ||
| 複数の弱点 SuSE製品に含まれるすべてのバージョンのsendmailに、リモートから悪用される可能性のあるバッファ・オーバーフローが見つかった。これらのバージョンにはsendmail-8.11とsendmail-8.12が含まれる。 http://www.linuxsecurity.com/advisories/suse_advisory-3664.html |
|||
| 配布元: | TurboLinux | ||
| 2003/9/24 | ‘openssh’のPAMの弱点 | ||
| 複数の弱点 OpenSSHの移植可能バージョン3.7p1と3.7.1p1の新しいPAMコードにいくつかの弱点が見つかった。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3681.html |
|||
