カテゴリー
everyday life

CVE-2014-0160関連で調べてみた。

投稿アップデート情報  追記(4/11)  追記2(4/16)  追記3(4/22)  追記4(5/13)

 通常取引のある https 関係を Heartbleed test で調べてみた。
  All good, yourCheck.domain seems fixed or unaffected!
と出れば,一応OKという扱いで。 100% の保証はないし,対処がいつだったかもわからないし,証明書関係を作り直しているかどうかもわからないし。と,いろいろ問題はあるが,本日,私が使った銀行,電話,ホスティング関係は,みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても,いつから fixed or unaffected なのかはわからないから,心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが,その辺は,一般人には調べようがない。

 それから, FFFTP についてなのだが,川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla(OpenSSLではなくGnuTLSによる実装)への移行をおすすめします」ということだったが,一応,暫定版は出ている。

 ものすごく,基本的なことがわかっていない自分に驚きなんだが, SSL 証明書の中には,もちろん, OpenSSL ベースじゃないものもあるわけで,どこの SSL 証明書が何を使っているかというのは,一般消費者側で確認可能なのだろうか。

追記(4/11):
 考えたら,証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行,電話,ホスティング関係の期限をチェックしてみた。
  銀行  2013/06/04 – 2014/08/02
  電話  2013/11/12 – 2015/12/04
  ホスティング  2013/04/05 – 2016/06/04
 で,これは,どうなんだろう。正式の認証局が再発行する場合,新しくなっても期限は変わらないものですか。それとも,期限が上記の場合は,古いままだと思っていいんですかね。常識的に考えると,発行日は新しくなるべきだと思うんですが。もっとも,もともと OpenSSL での実装でない可能性も大きいわけだが……

 OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが,興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。

追記2(4/16):
 脆弱性確認サイトのメッセージだけれども, heartbleed test のほうは,こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP. ----- Heartbeat の有効/無効の確認後, CVE-2014-0160 に対する脆弱性の判定,警告。----- ----- OK の場合 1 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected. ----- Heartbeat の機能が無効なので,多分,大丈夫だろうという判定。--------------------- ----- OK の場合 2 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug. Checking your certificate Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords? ----- Heartbeat は有効だが,パッチ済の判定。証明書も再発行済,パスワードは変えた?の確認。---- でもって, Heartbleed test のほうは,こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi|
00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW |
00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh|
00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5|
00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.|
00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........|
00000060 0A |.|
}

Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは,まずい。—–

—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので,多分,大丈夫だろうという判定。——————————————–

追記3(4/22):
 昨日付で,「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては,12日18日の発表である。私のカードも関連があるので気になったのだが,今のところは,大丈夫そう。

今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

 ITpro の記事内に上記の引用の表現があるのだが,特定の手段があるなら,教えてほしいもんだよな。公表しても,一般ピーポーにはつかえない特別なシステムがいるのだろうか。または,知られたらすぐに対策されちまうレベルの方法とか???

追記4(5/13):
 まだまだ,後を引きそうだねぇ。セキュリティホールmemoさんも,昨日スマホに関しての追記を書かれていた。

 The list of Android phones vulnerable to Heartbleed bug というのもあったんだが,日本語サイトでは,あまり一覧というのがない気がする。 GALAXY のサイトなんかでも,更新ファイルはあるがその辺の情報にはそれほど触れていない。更新開始日が,4/17とかになってるから間違いなく, HeartBleed 関連だと思うんだけどな。もっとも,スマホ利用の一般ユーザにとっては,スマホ本体にどれだけはっきり,この手の要アップデート情報が届くかのほうが,大事だろう。自分がいまだにスマホを使っていないので,その辺がどうなっているのか不明。身近の Amdroid 使いはあまり何も言っていないけどな。実際のとこ,どうなんだろう。

 Google App としては,だいぶ前から, Heartbleed Detector があるが,本人が調べる気になるかどうかが問題だからなぁ。

 再度, PC でのチェックサイトを掲載しておく。
     Heartbleed test
     heartbleed test
     Trend Micro Heartbleed Detector (無くなっちゃったみたいだ)

カテゴリー
Windows

本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)

The same article in English
投稿アップデート情報  追記(4/9)

CVE-2014-0160って?」で,どうしたらいいのと書いたばかりなのだが,素早い対処で Steffen が早速 Apache 2.4.9 available :: Updated を出してくれた。

 IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1g zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 と, openssl-1.0.1g でのビルドとなっている。

 アップデートのやり方自体はいつもと同じ。そんでもって,Changelog

 アップデート後, SSL 関係のキーとかも作り直したほうがいいという意見もあるようだから,それもあとでやっておくかな。

追記(4/9):
 SSL 関係のキーとかは夕べのうちに作り直した。

カテゴリー
Vulnerability

CVE-2014-0160って?

投稿アップデート情報  追記3(4/16)

 CVE-2014-0160 ってことで,対処としては, secadv_20140407.txt ということらしいんだが, ApacheLounge 版の場合,もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って, News & Hangout にお願いを書こうと思っていったら,もうあった。
     Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

 すぐに,出るかな? openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると,かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

 チェットサイトが作られてた。 Heartbleed test
 同じくテストサイト。 heartbleed test

 当面,ポートを閉じておくことにした。うちの場合は,ユーザは私だけだから,私が不自由に耐えれば,無問題(爆)。@19:00

追記:
 「本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)」をやりやした(爆)。当然,ポートも元に戻したヨ。
 うちは,これでいいとして,「母さん、私達のあの証明書、どうするんでせうね?ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても,心配。

 証明書自体は大丈夫なのかな?いまんとこ,情報は錯綜しているようだが……

追記2:
  The Heartbleed Bug を読み直してみた。やはり,証明書は作り直しておこう。

追記3(4/16):
 SSL Server Test というのもある。 CVE-2014-0160 だけではなく,証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし,証明書の 0day 後の再発行はされていないようだ。

カテゴリー
WordPress

「シンボリックリンク攻撃のデモ」だってサ。

 「シンボリックリンク攻撃のデモ」をやるかもしれないってさ。徳丸さんとこの「マイナビのセミナーにて講演します」に書いてあった話。まぁ,ご自分の講演の告知だから,宣伝ちゃ宣伝だけど,近くだったら聞いてみたいよなぁ。

 申し込みのページには,「※競合企業や同業他社の方は参加をご遠慮いただく場合がございますのであらかじめご了承ください。」という注意書きがあるから,競合企業や同業他社の方で行きたい方は気をつけてねー。何の注意をしとるんじゃ(笑)。

 「シンボリックリンク攻撃のデモ」って,元ネタは絶対に,これ,でしょ。しかし,こういうことって対岸の火事じゃないからね。参考になりそうなことは聞いてみたいよなぁ。

 まあ,距離的に,聞きに行くってのは無理だよなー。

カテゴリー
everyday life

こんなことがあっていいのか。

The same article in English

 今月20日に, Reuters が “Exclusive: Secret contract tied NSA and security industry pioneer” というすっぱ抜きをやった。 23 日には,ミッコ・ヒッポネン が “EMCおよびRSAのトップ達への公開書簡” を書いた。

 こんな話を信じたくはないが,ミッコがこんなものを書くということは,あらかた真実なんだろうと思わざるを得ない。 NSA にとっては,ある意味正規の仕事をやったにすぎないと言えないこともないが, RSA のほうからいうと恥を知ないにもほどがあるということになる。もちろん,片方の側の記事を読むだけでなく,反対側の記事,例えば NSAとの関係に関するメディアの主張に対するRSAの対応 (魚拓です)なんかも読まなければいけない。

 しかし,一番悲しいことは, RSA への信頼が損なわれたということである。

カテゴリー
WordPress

本家のお世話-#83。(WordPress3.7.x の ca-bundle.crt について)

The same article in English
投稿アップデート情報  追記(11/9)  追記2(2014/1/30)  追記3(5/6)  追記4(6/22)

 前に, WordPress3.7 から追加された ca-bundle.crt のことを記事にした。

 これについては,英語ブログのほうで, Oiram が有用な情報をコメントしてくれた。もし,同じ注意 “注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できないかもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain” が出る方がいたら, “Error upgrading WordPress (SSL) PDF版” にある彼の回避策を試してみてください。「 ca-bundle.crt に自分が使っている CA の ルート証明書情報を書き加えてやる」という方法です。

 改めて考えてみると,うちの場合は, Oiram のところと少し事情が違っていたように思う。自鯖ではいまだに彼の回避策を使っていないのだが, WordPress3.7.1 にアップデートしたときは注意が出なかったし, SSL 認証もその後は問題なく動いている。

 自鯖の環境が特殊だから,彼の場合とは事情が異なるのかもしれない。

 というわけで,いまだに以下の2つを疑問に思っている。

  1. マルチサイト上には,親が1つと子が3つあるのに,何だってひとつにだけ「注意」が出たのだろうか。 ca-bundle.crt についての設定は, class-http.php 中にあるようだから,4つともに同じように影響するとしか思えないのだが。ひとつにだけ注意が出たわけがわからない。
  2. 現時点で,うちの SSL は普通に動いているようなのだが,その場合でも Oiram の回避策をやる必要があるのだろうか。

追記(11/9):
 英語ブログのほうで, Oiram から,新たなコメントをもらった。彼も,7つあるサイトのうちのひとつについてのみ,「注意」が出たそうだ。彼の場合は, 3.7.1 でも同じように出たらしい。で,彼は SSL 認証が自動アップデートに関連しているのではないかと考えているようだ。彼の言う autoupdates が,新しくできたバックグラウンドのものを指しているのかどうかは,確認していない。前からある自動アップデートのことだったら,うちの場合, SSL 認証とは関係ないことがわかっている。日本語版が更新ページに現れないのは, SSL 認証を使い始める前からの話だからだ。しかし,話の流れからして,多分,新しいバックグラウンドでのアップデートの話だろうと思う。

 3.7.1 のときに,新しいバックグラウンドでのアップデートを試してみるつもりだったのだが,うっかり,ボタンをポチッとやってしまったので,次回は忘れずに試すつもり。一応,更新時のサイトのメッセージでも, Background Update Tester でも,バックグラウンドでのアップデートは可能になっていた。

追記2(2014/1/30):
 1月3日以来 Oiram のサイトに接続できない。 ca-bundle.crt で検索して来られる方もおられるので, Oiram が書いてたものを PDF 版で載せておく。「Error upgrading WordPress (SSL)

追記3(5/6):
 今日ようやく久しぶりに, Oiram のサイトに接続できた。

追記4(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
WordPress

本家のお世話-#76。(WordPress SSL ログイン-#3)

The same article in English

 「WordPress SSL ログイン-#2」の設定をしたときに,「define( ‘FORCE_SSL_ADMIN’, true );」は使わなかった。あの時点でのサーバ機は LaVie PC-LC5505D で,ちょっと過重かなと思ったからだ。

 今朝, Ajax Edit Comments Version 5.0.30.0 のアナウンスがあったのだが,その Changelog

Fixing SSL error when FORCE_SSL_ADMIN is set to true. See trac ticket: http://buddypress.trac.wordpress.org/ticket/4761

というふうに書いてあった。そのせいで,「define( ‘FORCE_SSL_ADMIN’, true );」を使っていなかったことを思い出した。ちかごろ世上を賑わしたセキュリティ関係のゴタゴタもあるし,ちょっと触っとくかと……

 で, wp-config.php を開けて,「define( ‘FORCE_SSL_LOGIN’, true );」行をコメントアウトし,その下に,「define( ‘FORCE_SSL_ADMIN’, true );」行を追加した。

 この後で,管理画面にアクセスしたら,証明書を要求されるようになった。動きもそんなに遅くなったようにも思えないが,読みに来る方の体感はどうだろうか。

 phpMyAdmin4.0.6 になっていたので,ついでにそれもやっておいた。

カテゴリー
WordPress

起きてびっくり,サイト改竄? at よそ様。

投稿アップデート情報  追記

 昨朝,起きて WordPress の日本語ブログのダッシュボードに入って,びっくり。フォーラムのところに,なんと,「サイト改ざん?」の文字が乱舞している。

 いや,うちではないです。よそ様です。フォーラムに初投稿がされたのは一昨日のようだが,一昨日は,芋虫くんにかまけていて,気づかなかった。まぁ,昼からは,いろいろリアルも忙しかったし。

 昨日も昨日で,朝あらかた読んで,ひとまずうちには影響がなさそうなので,予定通りでかけてしまった。(汗)

 しかしねぇ,テストサイトに使っている atpages から,一昨日こういう連絡が来たばかりだったし,
 【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28
さらに昨日はこれが来たので,
 【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29
いずこも同じようなことがあるのかなと思ったわけだ。上記の事件と同じようなといわれたら, atpages は心外かもしれないが……幸いにして,狙われなかっただけ,という気もする。
 今のところ,「ロリポップサーバーでサイト改ざんハッキング被害に遭った方への情報」から跳べる「ロリポップサイト改ざん関連情報 (2013年8月)」を読んでも,はっきりとした原因はわからないわけだが,いろんなことで似たり寄ったりかなと思う。(爆)

 「Hacked by Krad Xin」でググると,表題にこの文字列が入ったものすごい数のサイトが現れる。上記の事件の発端が一昨日だから,事件関連の記事も多いわけだが,それを除いても(年月日設定を去年1年とかしても,ということ),すごい数だ。これって,要するにスクリプトを仕組まれているんじゃないのか?

 フォーラムの話の中に,
> 一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました
てのがあるからねぇ。

 今回のクラックはある意味,性がいいかも知れないとか思った。だってね,一番初めに投稿した方が書いているように,クラックされたサイトで文字化けがあったわけだ。そうすると,変だなぁって,気づくよね。「深く静かに潜航」するほうが,たちが悪い。ダメージが一緒なら,早く気づけるほうが手当ても早いわけだから,不幸中の幸いだよ。「Hacked by Krad Xin」でググったときに出てくるサイトのほとんどは,気づいてないのではなかろうか。

 まぁ,「ロリポップ」では,昨年から, WAF が標準装備って謳っていたみたいだけど,あんまり役立てられていなかったようだね。徳丸さんが,「ロリポップ上のWordPressをWAFで防御する方法 」を書いているので(去年の記事を,昨日の時点でタイトル変更,追記までしている),「ロリポップ」を使っている人は,今回の手当が済んだ後は,よく読んで取り組んだほうがいいと思う。

 レンタルサーバだと,導入されていない WAF は使いようがないだろうけど, WordPress 使いとして,せめて出来ることはやっておこう。前にも書いたけど,こんなとこが参考になると思う。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

 セキュリティ関係はナマモノとはいうものの,上げられてる10個のうちの半分は, WordPress に限る話ではない。 up-to-date とか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて管理者だったら,一番苦労するとこ。

 しかし,管理者になっている方は,レベルの違いはあれ,日々勉強と縁が切れないってことだ。お互いに,ガンバ!!

追記:
 読み直してみて, wp-config.php や .htaccess のパーミッションの話を全く書いていないのに気付いた。今どき,あの環境で 404 , 604 は当たり前だろうとか思っていたせいで,書き忘れたのかな。結局, wp-config.php については, 400 ってことになったようだ。
 LINUX に詳しくないので,この辺がよくわからないのだが,レンタルサーバで public_html 下のファイルのオーナーと サーバソフトウェアのオーナーが違う場合, 400 にしちまうと, wp-config.php をビジターが使えなくてエラーになりそうな気がするが,その辺,ロリはどうなってんのだろ。
 詳しい方がいらっしゃったら,よろしく。

 ところで,先日
Windows ファイアーウォールからのアラートを受容すると自動的にルールが構築される。しかし,これが甘々なのである。 今回の場合でも,デフォルトだと,すべての IP アドレス&ポート(それも, TCP だけでなく UDP まで)についてオープンしている状態になる。これじゃあんまりなので,”セキュリティが強化された Windows ファイアウォール” の機能を使って,もう少しきっちりと制限しておくべきだと思うのであった。
と書いた件だが,ほかのパーソナルファイアーウォールを入れずに,”セキュリティが強化された Windows ファイアウォール”を使い続けている。この件で少し詳しい記事を書きたいと思っているが,今のところ,思っているだけ。
 一言愚痴っておくと,「スコープ」の細かい設定がしにくい。どなたか,その部分にデータをインポートするいい方法をご存じないですか。

カテゴリー
Windows

本家のお世話-#75。(PHP5.5.3へアップデート)

The same article in English

 Aug-21 17:44:24UTC に PHP5.5.3 が出た。

 ChangeLog によれば, CVE-2013-4248 へのパッチの中にあった UMR(unInitialized Memory Read) を直したとある。ふーん。

 まっ,とにかく,我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.3-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 php5apache2_4.dll はオフィシャルバイナリに含まれているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

カテゴリー
Windows

本家のお世話-#74。(PHP5.5.2へアップデート)

The same article in English

 Aug-16 02:13:06UTC に PHP5.5.2 が出たので,いつもの作業。我が家用 (Windows7HP+SP1(x86)) として,VC11 x86 Thread Safe 版の php-5.5.2-Win32-VC11-x86.zip を落としアップデート。 VC11 がいるので,インストールがまだの場合は PHP のコンフィグの前に vcredist_x__.exe を入れておく必要がある。

 ChangeLog によれば, CVE-2013-4248 へのパッチも入っている模様。

 新 php.ini-production には以下の変更があった。
   ”;extension=php_zip.dll” がなくなっている。
   mssql.compatability_mode = Off —> mssql.compatibility_mode = Off に誤字訂正。

 徳丸さんによれば,「【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました」ということらしい。確かに,phpinfo() によれば,session.use_strict_mode = Off が入っている。ただし,Windows 版のデフォルト php.ini-production には,この行は見当たらなかった。

 php5apache2_4.dll は入っているので,新旧のファイルを入れ替えて php.ini を放り込み, Apache をrestartするだけ。

 新規に導入する方は,必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。