Archives for: 2008年March
Smarty 2.6.19未満のregex_replaceは脆弱と言うよりは...
March 31st, 2008Smarty 2.6.19未満のregex_replaceは脆弱だったと言うよりは、今でも脆弱と言った方が良いと思います。
Smarty 2.6.19は2008/2/11にリリースされました。ちょっと古い話ですが、Smarty 2.6.19より前のバージョンのregex_replaceは脆弱、とアナウンスされています。
Posted in Security, PHP, Perl
| 
Permalink
| Send feedback »
文字エンコーディングを完全にバリデーションしても...
March 29th, 2008なるほど、と思いました。
http://d.hatena.ne.jp/hoshikuzu/20080328
文字エンコーディングを規格に則り、完全にバリデーションしてもダメな時がある...
頭が痛い問題です。
Posted in Security, Webシステム開発
| Permalink
| Send feedback »
APCにStack Overflow脆弱性
March 29th, 2008件名の通り、APCのStack Overflow脆弱性が公開されています。
http://sla.ckers.org/forum/read.php?3,21615,21615#msg-21615
このポストに書いてある通り、PHP4ではインクルード攻撃に脆弱なアプリならallow_url_fopenをoffにしていても効果はありません。PHP4+APCを使っている方は今すぐAPCをCVSバージョンにバージョンアップするか、APCをロードしない方が良いでしょう。
MomongaLinux等、パッケージをビルドする際にstack smashing attackから防御するstack protectorオプションを使ってビルドしているバイナリであればリンク先の攻撃方法では攻撃できません。しかし、インクルード攻撃に脆弱であれば、他の脆弱性を利用してカナリア値を盗む事も可能なので安全とは言えません。いずれにせよAPCを利用している場合はバージョンアップする方が良いでしょう。
追記:
CVSを見てみました。
http://cvs.php.net/viewvc.cgi/pecl/apc/apc.c?r1=3.20&r2=3.21
fileinfoがスタック変数、strcpyでオーバーフローしてます... 教科書通りの解りやすい脆弱性です...
Posted in Security, PHP
| Permalink
| Send feedback »
.Net用OCaml - F#の入門書 - Expert F#
March 28th, 2008OCamlはプログラミングコンテストで優勝するチームや開発者御用達の言語であることは以前から知っていましたが、個人的に利用しようと思ったありませんでした。しかし、最近関数型言語の人気が非常に高まってきています。関数型言語の簡潔なコードや副作用の少ないコードの生産性が認められてきたからだと思います。
OCamlを勉強しようかと思いましたが、AmazonでちょうどF#の本(英語版)が昨年末出版されている事を見つけて購入しました。
Posted in Linux, Windows, Webシステム開発, レビュー, 本
| Permalink
| Send feedback »
「例えば、PHPを避ける」ってなぁにその曖昧な書き方?
March 28th, 2008誤解を招く記事 - LAMPセキュリティを強化する4つの方法で、
実行できる最も重要な対策は、PHPを使わないことです。
と、理解できない対策を勧めています。セキュリティの事を解っていない素人が書いた事は、記事の内容と趣旨から明らかです。
しかし、IPAにも同じような事が書いてあったのですね。「例えば、PHPを避ける」ってなぁにその曖昧な書き方?で書かれています。去年から掲載されていたと思います。
IIS+ASPのアプリにダメダメなWebアプリが多いのも事実ですが、言語を問わずダメなプログラムだらけです。LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠では最近発見されたPythonベースのCMS、Ploneの脆弱性を紹介していますが、Java, Perlも同じです。
特に「LAMPセキュリティを強化する4つの方法」にPHPからPerl等に替えれば安全になるように勧めていますが、著者はPerlで作った恐ろしく穴だらけのCGIの数々を見たこともないのでしょう。探さなくてもそこら中にあるのですが.... フレームワークの利用は安全性向上に役立ちますが、フレームワークを使うだけでは安全になりません。JSFやRailsで作ったから、といって自動的に安全なWebアプリは作れません。
セキュリティを向上させるために他の言語に替えて再構築するリソースがあるなら、使っているプログラム(OS,Web,言語,フレームワーク,アプリ)きちんとバージョンアップをした上で、開発者が正しいセキュリティ知識を習得できるよう努力すべきです。
企業ならソースコードレベルの監査とコンサルティングを依頼した方が、言語を替えるよりよっぽど効果的で、コストも少なく効率的です。言語を替えても設計・ソースコードレベルでのセキュリティ監査はセキュリティ維持には欠かせません。
Posted in Security
| Permalink
| Send feedback »
BUFFALO Wi-Fi Gamers 無線LANアクセスポイント WCA-G
March 25th, 2008参考:自ら顧客離れを促進するバッファロー、不必要なアプリケーション利用制限とQ&Aの嘘
最近のCTUやモデムにはルータ機能が付いているので、無線LANを使う場合にルータ機能付きの親機(無線LANアクセスポイント)を買う必要はありません。ひかり電話を契約したのを機会に無線LANのアクセスポイントを交換しました。
前に使っていたのはNEC WarpStarで今回新しく購入したのはBaffalo BUFFALO Wi-Fi Gamers 無線LANアクセスポイント WCA-G です。
この無線LANアクセスポイントの箱やメーカの製品ページを見るとゲーム機専用のような印象を受けますが、ごく普通のルータ機能無し無線LANアクセスポイントです。この無線LANアクセスポイントで非常に気に入ったのは2行メッセージを表示できるLCDパネルが付いており、このパネルと周辺にボタン4つで基本的な操作や設定が全て行えることです。
Posted in 機器, レビュー
| Permalink
| Send feedback »
LAMPセキュリティを向上させる方法
March 23rd, 2008LAMPはLinux, Apache, MySQLとPHPまたはPerl, Pythonを利用したWebシステムの総称として利用されている用語です。
特にLinux/Apache/MySQL/PHPはよく見かけるシステム構成です。ホスティングサービスを提供する会社でこの構成をサポートしていない会社を探すのが難しいくらいではないかと思います。広く使われていますが、「十分に安全な状態」と言える状況で運用されているケースはほとんどありません。
関連エントリ
LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠
誤解を招く記事 - LAMPセキュリティを強化する4つの方法
Posted in Security, PHP
| Permalink
| 4 feedbacks »
LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠
March 21st, 2008誤解を招く記事 - LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。
結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です。言語を替えても、正しいセキュリティ知識を持ち合わせた開発者が開発しないと、危ないアプリケーションが簡単に作れます。
Posted in Security, PHP, Ruby, Webシステム開発
| Permalink
| 1 feedback »
誤解を招く記事 - LAMPセキュリティを強化する4つの方法
March 14th, 2008LAMPセキュリティを強化する4つの方法
http://enterprisezine.jp/article/detail/311
書いてある情報は有用な事も記載されていますが、偏狭な視点からの記述により誤解を招く記事になっていると考えられます。著者はセキュリティの専門家ではないようなので仕方ないかも知れませんが、間違った認識は有害です。
# 原本は読んでいません。もしかすると日本語訳にも問題があるのかも知れません。
Posted in Security, PHP, Ruby, MySQL, Webシステム開発
| Permalink
| 1 feedback »
XML Feeds