BINDの複数の脆弱性対策 (CVE-2017-3136他)

先日明らかにされたセキュリティアラート: CVE-2017-3136/3137/3138
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

対策実施について

原文はこちら
CVE-2017-3136(英文)
https://kb.isc.org/article/AA-01465
CVE-2017-3137(英文)
https://kb.isc.org/article/AA-01466
CVE-2017-3138(英文)
https://kb.isc.org/article/AA-01471

JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/index.html

本件の問題点と対策は以下の通りです。

続きを読む

fail2ban で不正アクセスをブロック

サーバーを運営していて気を付けることに、不正アクセスがあります。
特にパスワードクラッキングされてスパムメール送信の踏み台にされないこと。

自分のサーバーがいつの間にかスパムメール送信していたら大変です。
レンタルサーバー会社に通報あるいはスパムサーバーとしてブラックリストに登録されるかもしれません。

fail2ban は、不正アクセスと判定したら、一定時間アクセスをブロック(遮断)します。

■ fail2ban インストール

yum install fail2ban

続きを読む

BINDのDNAME脆弱性対策 (CVE-2016-8864)

先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について

原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434

JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html

本件の問題点と対策は以下の通りです。

続きを読む

glibc バッファオーバーフロー脆弱性対策 (CVE-2015-7547)

先日明らかにされたセキュリティアラート: CVE-2015-7547
glibc バッファオーバーフロー脆弱性に関する対策実施について

原文はこちら
CVE-2015-7547(英文)
https://sourceware.org/bugzilla/show_bug.cgi?id=18665

JVNVU#97236594
glibc にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97236594/

本件の問題点と対策は以下の通りです。

続きを読む

OpenSSL 証明書チェーン検証不備の脆弱性について (CVE-2015-1793)

先日明らかにされたセキュリティアラート: CVE-2015-1793
OpenSSL: Alternative chains certificate forgery
OpenSSLの証明書チェーンの検証不備の脆弱性について

OpenSSLプロジェクトによる Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt

本件の問題点と対策は以下の通りです。
続きを読む

glibc バッファオーバーフロー脆弱性対策 (CVE-2015-0235)

先日明らかにされたセキュリティアラート: CVE-2015-0235
glibc バッファオーバーフロー脆弱性に関する対策実施について

原文はこちら
CVE-2015-0235(英文)
https://access.redhat.com/security/cve/CVE-2015-0235

JVNVU#99234709
glibc ライブラリにバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU99234709/

本件の問題点と対策は以下の通りです。

続きを読む

自己署名SSLサーバー証明書の作成

自己署名のSSLサーバー証明書の作成方法を書きます。

前提条件として OpennSSL は普通に使える環境であるものとします。

■ 自己署名のSSLサーバー証明書とは

通常 SSLサーバー証明書は然るべき認証局(VeriSignとかジオトラストとか)が発行し、それには電子署名が施されており、コモンネーム(運用するFQDN=フルドメイン名)が確かなものであると証明します。
この電子署名を認証局にやってもらわずに自分で OpennSSL の機能で施すことが自己署名です。

自己署名の証明書は信頼性に欠けるとしてブラウザなどのクライアントソフトウェアではエラーや警告メッセージが表示され、フィッシングサイト、怪しいサイトであるような印象を与えます。
しかしながらデータの暗号化という観点だけを見れば認証局が署名したものと全く同等であり、暗号化の観点でセキュリティは劣りません。
ですからデータの暗号化が目的なだけなら自己署名でよい場合もあります。
続きを読む

Bash 脆弱性対策 (CVE-2014-6271他)

Bash の脆弱性に関しまして、9月24日~10月5日までに以下の
6つのセキュリティーアラート及び修正が出ております。
CVE-2014-6271,CVE-2014-7169,CVE-2014-7186
CVE-2014-7187,CVE-2014-6277,CVE-2014-6278

詳細はこちら
JPCERT/CC による GNU bash の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2014/at140037.html

本件の問題点と対策は以下の通りです。

続きを読む

OpenSSL CCS Injection 脆弱性対策

つい先日明らかにされたセキュリティアラート:
CVE-2014-0224 OpenSSL CCS Injection 脆弱性に関する対策実施について

原文はこちら
CCS Injection Vulnerability
http://ccsinjection.lepidum.co.jp/ja.html

OpenSSLプロジェクトによる Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt

本件の問題点と対策は以下の通りです。
続きを読む

OpenSSL Heartbleed 脆弱性対策 (CVE-2014-0160)

つい先日明らかにされたセキュリティアラート:
CVE-2014-0160 OpenSSL Heartbleed 脆弱性に関する対策実施について

原文(英文)はこちら
Heartbleed Bug
http://heartbleed.com/

OpenSSLプロジェクトによる Security Advisory [07 Apr 2014]
https://www.openssl.org/news/secadv_20140407.txt

脆弱性診断サービス・タイガーチームによる参考情報
http://www.tiger1997.jp/report/activity/securityreport_20140410.html

JPCERTによる参考情報
https://www.jpcert.or.jp/at/2014/at140013.html

Symantec VeriSignによる参考情報
https://knowledge.verisign.co.jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=AD835&locale=ja_JP&redirected=true

本件の問題点と対策は以下の通りです。
続きを読む