どさにっきLTE 〜2013年9月上旬〜

by やまや
<< = >>

2013年9月3日(火)

Great だねー

_ Great すぎるだろ:-)

_ まあ、でも、パターンマッチという Great な仕組みがあるとわかってるのであれば、どんどん利用してやるべきだよね。

_ ということで、うちのドメインの MX を以下のように変更してみました。 

maya.st. IN MX 10 twitter.com.antispam-test.maya.st.
Great な国からは名前解決が失敗するのでメールが届かなくなる。はず。飽きたらやめる。

`Options -FollowSymLinks` は不完全

_ symlink が race condtion でどうの、という脆弱性はときどき見つかるので知ってたけど、それに TOCTOU という名前がついてることは知らなかった。名前がなくても symlink で脆弱性、と聞けば、ああアレがまた起きたのか、とピンとくるぐらいよくある穴だよね。

_ が、この穴って、脆弱性として報告されることは珍しくないけど、実際にそれを利用して攻撃された事例ってあんまり聞かないんだよね。タイミングがシビアで再現性に欠けるせいだと思うけど(でも何百回何千回と試せば1回ぐらいは成功するはず)。まあ、自分が知らないだけで、たぶんどっかで悪用されてるとは思うんだけど。

2013年9月9日(月)

なんかスゴいゾーン見つけた

_ .gov なドメインで DNSSEC まわりにアヤしいのが多いのはまあそれなりに知られてることだけど、しかし この doc.gov はなんじゃこれ。アメリカ商務省が関連団体用に 2LD 的に(?)使ってるドメインっぽい。.gov が今まさにアルゴリズムロールオーバー作業進行中なこともあり、 dnsviz のグラフが今まで見たことがないレベルのカオス (*1)

_ KSK が2個、ZSK が5個のあわせて7個も DNSKEY が存在してて、どの鍵がどのレコードを署名してるのかしっちゃかめっちゃかでわけわからんのはまだいい。しれっと期限切れやら bogus な署名が存在してるのも、全体で見れば影響のないところだからまあ許そう。なんですかねこれ。 

doc.gov.		0	IN	TYPE65534 \# 5 08D7A40001
doc.gov.		0	IN	TYPE65534 \# 5 087AF20001
以前 .fr が NSEC3 まわりの BIND のバグを踏んでこのような謎な TYPE65534 なレコード (*2)が外から見えるという 事故を以前起こしたけど、doc.gov は NSEC3 じゃなくて NSEC なんだよね。あのバグって NSEC でも起きるんだっけ? 同じバグを踏んでるんだとしても、このバグが残ってるバージョンの BIND は穴があるからもはや使っちゃいけないはずなんだけどなぁ。

_ そいえば関係ないけど、dnsviz はちょっと前まで対応してなかった ECDSAやら GOSTやらで署名されたゾーンの検証がいつのまにやらできるようになったらしい。

(*1): 現在の状況を後から見返したくなったら ここを見ればいいのかな?
(*2): なお、TYPE65534 自体は内部処理用のもので ARMにもちゃんと記述がある(sig-signing-type)が、本来外から見えないはずのもの。つーか、内部処理のためになんでそんなわけわからんものが必要になるんですかね。

2013年9月10日(火)

ロリポ攻撃事件続報

_ 公式の説明来てた。

当社が「ロリポップ!」において提供していたWordPressの導入が簡単にできる「簡単インストール」を利用して設置されたWordPressのうち、設置後インストールを完了せず管理者が登録されていない状態のWordPressが第三者に管理者権限を乗っ取られ、悪質なスクリプトが設置された。
あー、狙われたの この穴ですかね。初期設定が完了してないと外部から任意コード注入可能というかなり凶悪な穴なんだけど、WP 側はインストールしたらすぐセットアップするのがふつーで、危険な状態にある時間は短いから気にすんな、とかフザケタことを 言ってたようなので、確認してないけどもしかしたら最新版でもこの穴は放置されたまま残ってるかも。仮に穴でないとしてもバグであるのは間違いないので、ちゃんと直してると期待したいけど。

_ 「簡単インストール」という言葉が出てきたのでちょっとぐぐってみたら、いちいち自分で公式サイトからダウンロードしてきて自分のサイトにアップロードして、てなことをやらずに画面からボタンをぽちぽち押していくだけでインストールしてくれる 機能があるのね。が、このページを最後まで読んでいくと、アップデートはユーザに一任されているとも書かれている。うーん、そりゃマズいんじゃないかなぁ。

_ wordpress は セキュリティホールが多すぎるんでぜったいに放置してちゃいけないものなんだけど、レン鯖を借りるだけの一般ユーザにそんなアップデートをきっちりやってくれるなんてこと期待する方が間違ってる。ユーザが勝手にインストールしたものなのであれば、その後のメンテも勝手にやれ、で許されるかもしれないけど、簡単インストールなんて機能を提供するのなら、ましてや他ユーザにも影響があるかもしれない共用サービスなら、インストール後に発覚した脆弱性対応もサービス側で面倒見てやらなきゃいかんと思うんだけどなぁ。

_ 今回はアップデートとは無関係な穴を踏まれたような感じだけど、客まかせで確実に脆弱性対応されることはアテにできない以上、今後もロリポの wp は穴だらけのままなんだろうな。まあ、ロリポにかぎらず wp を使ってるサイトすべてに言えることなんだけど。

<< = >>
やまや