土曜、日曜の休日出勤はさすがに疲れますね・・・。
FreeBSD-users-jp のメーリングリストから。覚えておくと役に立ちそうなので、メモしておきます。
壊れたDISK のmount というスレッドで、ディスクが物理的に故障し、fsck のエラーで、HDD がマウントできなくなった場合に、強制的にマウントさせる方法がありました。-f オプションを使用するとマウントできるそうです。
FreeBSD だけでなく、Linux でも -f オプションがありましたので、HDD が故障して、マウントできなくなった時には役に立つかもしれません。故障した HDD をマウントする際は Read Only でマウントした方が安全のようです。
# mount -f -o ro [ HDD デバイス名 ]
SecuriTeam.com に、OpenSSL Exploit Code (Slapper) ということで、ワームのソースコードが載せられています。
Linux 活用日記に XFree86 のセキュリティホールの情報が載っていました。
> XFree86 のセキュリティホールがアナウンスされました.
> 対象となっているのは最新版である 4.2.1 までのバージョンで,
> libX11.so ライブラリの脆弱性によってローカルユーザーに任意の
> プログラムを実行される可能性があるということです.
気になる人は、XFree86 Security Issues を参照してください。
@IT から。セキュリティエンジニアについての概念を解説。
@IT から。フリーの監視ツール「Nagios」をインストールするまで。
今、使用している CD-R に 1.4GB 記録できるというドライブが出荷されるようです。読み出しはファームウェアの変更のみということで、DVD には手を出せないけれども、大容量を必要としている人には、いい情報かもしれません。
ファイルの改ざん検知システムの Tripwire の導入について。
JPCERT/CC が連載。コラムのインシデントの分類 (Taxonomy)は勉強になるかもしれません。
httpd として広く使われている Apache の最新版。CHANGE LOG を見ると、mod_dav の修正のようです。
非常に有名なキャッシュ用のプロキシ。 セキュリティホール memo の情報では、Referer リクエストヘッダの除去 の方法として、squid 2.5 以降で、 acl を利用して特定の referer を送出しないように設定する方法が書かれています。
最近、日が沈むのが早くなってきました。もう秋分の日です。
Wazilla 1.1 がやっと公開されていましたが、どうやら、Yahoo! Japan の表示が崩れてしまうと言うバグがあるようです。自分は、Yahoo はほとんど使っていないので、気が付きませんでしたし、気にならないので、wazilla をそのまま使っています。スプラッシュスクリーンがあまりにも変わっていたので、面白いです。興味がある人は、使ってみてください。Internet Explorer に見劣りしません。
PHP4徹底攻略改訂版のPDFファイルについて(SRA)、(net-newbie)というページで、PDF が公開されているようです。書籍が発売される前に全文を PDF で公開したようです。内容も PHP 4.2.x に準拠したようですので、興味のある人は PDF をダウンロードしてみるといいかもしれません。9月30日に書店で発売される予定らしいです。過去のPDF公開によっても売り上げは大して落ちなかったということですが、今回はどのようになるのか気になるところです。
他にも、石井 達夫氏の Linux Conference 2002での講演資料「PostgreSQLにデータベースサーバ構築技法」が「改訂第3版・PostgreSQL 完全攻略ガイド」サポートページで公開されています。PostgreSQL 7.3 についての情報も入っています。
[connect24h:4768] Re: Linux.Slapper.Worm の情報では、以下のようにありますので、このワームに関しては、そういった方法で一時的に対処するという方法もあるようです。 当然、OpenSSL の修正パッケージやパッチを当てるという対処をするのが一番正しいのですが、一応、参考程度に。
> http://isc.incidents.org/analysis.html?id=167
> による解析結果からみると、httpd.confでapache 1.3.12以降のディレクティブ、
ServerTokens ProductOnly> をつけておくだけで、SSLへの攻撃は来なくなりますね。
9月19日には、Microsoft から、Internet Explorer 6 Service Pack 1 が公開されたようです。とりあえず、Internet Explorer を使っている方は、インストールしておいた方がいいでしょう。
Windows XP Service Pack 1 も公開されていますので、Windows XP を使っている人は、インストールした方がいいと思います。134MB もあるそうなので、ダイヤルアップ接続の人は厳しいですが・・・。
Mozilla Referer Privacy Leak の問題に関しては、スラッシュドットでも話題になっていましたが、もじら組の掲示板のMozilla のプライバシーバグという情報に対処方法がありましたので、Mozilla のバグが気になる人は設定をしてみるいいと思います。最新の Mozilla の Nightly Build では、すでに修正されているそうです。
A Buffer Overflow Study Attacks & Defenses
英語。Buffer Overflow についての解説。ソースと図が付属で解説されています。
@IT から。オブジェクト指向の概念について。
@IT から。インストールから、運用関係でのトラブルについて。
スラッシュドット・ジャパンに載っていたのですが、産業技術総合研究所が、KNOPPIX 日本語版を公開したそうです。CD-ROM だけで動作して、ハードディスクは使用しないという Linux ディストリビューションのようです。Mozilla や、OpenOffice、GIMP などが入っているそうで、手軽に持ち歩く Linux CD-ROM というのは、非常に便利かもしれません。
Linux 2.2 系のカーネルの最新版。
Web ブラウザ Mozilla のメニューなどを日本語化したもじら組の独自ビルドバージョン。ただ、Yahoo! Japanの表示が崩れてしまうというバグがあるようです。修正バージョンがでるかもしれません。
朝晩は涼しくなって過ごしやすくなってきました。9月ももう半分過ぎてしまいました。
やっと Mozilla 1.0.1 がリリースされました。そのうち、もじら組がリリースしている、日本語パックなどの日本で開発されているパッケージを取り入れた wazilla も 1.1 が数日中にリリースされるというアナウンスが出ています。
それにしても、セキュリティ関係の話題は相変わらず多すぎます。細かいところまでは調べていませんので、何か間違っている可能性もあります。
RedHat 7.3 のデフォルトインストールの less-358-24.i386.rpm は KDE の Konsole で man コマンドで日本語が入ったマニュアルを表示すると、ゴミが表示されて気になっていたのですが、rpmfind で less を探して、RawHide 1.0 for i386 の less-358-28.i386.rpm をインストールして使用すると問題が解消していました。それでも文字がうまく表示されない場合は、
export JLESSCHARSET="euc"
と入力して、~/.bashrc にも入れておけば大丈夫だと思います。gnome-terminal では、問題ないようでしたが・・・。
Windows で、証明書確認の問題により、ID が偽装される (Q328145) (MS02-050) という問題のパッチが公開されたようですが、ハードウェアのデバイスドライバのインストールの際に証明書関係の問題があるようです。今度は、このパッチを準備中らしいです。
PHP 4.2.3 がリリースされたばかりですが、SecuriTeam.com の情報に、PHP header() CRLF Injection が掲載されていました。クロスサイトスクリプティングの問題があるということでした。同じ問題で、PHP fopen() CRLF Injection も掲載されています。関数実行時に、に %0D%0A と Javascript コードを挿入することでクロスサイトスクリプティング問題を起こすことができるようです。fopen() の方は、php.ini で allow_url_fopen を Off にすることで回避できます。これらの関数にユーザからの GET の引数を与えている場合は気をつけて入力チェックを行うという対処をする必要がありそうです。問題のあるバージョンは、4.1.2, 4.2.2, 4.2.3 となっていますので、現在のところ、ほとんど全てのバージョンで問題が起こりえます。
また、日本 PHP ユーザー会 には、PHP 4.2.3 は、「日本語関係の処理にバグがあります。patch が出るまでしばらくお待ち下さい」という情報が掲載されていますので、マルチバイト関係の処理を行っている人は、パッチが正式に公開されるまでインストールは待った方がよさそうです。
もう一つ、SecuriTeam.com の情報ですが、Mozilla Referer Privacy Leak という問題があるらしいです。Javascript の onunload ハンドラの問題で、ユーザが次に訪れようとしているページの Referer が取得されてしまうらしいです。回避方法は、Javascript を無効にするということらしいですが・・・。Mozilla 1.0, 1.0.1, 1.1 および、Mozilla エンジンを使用している、Netscape 7, Galeon などでも同じ問題があるようです。
スラッシュドットジャパンからですが、PGPで攻撃という記事が出ていました。電子メール暗号化技術の1つである、PGP (Pretty Good Privacy) にセキュリティホールが見つかったようです。結構、危険のようですので、使っているは、パッチを適用する必要がありそうです。
他にも、Word文書で他人のファイルを盗む、Linux.Slapper.Worm という、OpenSSL のバグに寄生するワームが見付かっているという、セキュリティ関係のニュースがいくつかありました。
OpenSSL に寄生するワームの方は、OpenSSL を使用している Apache によって広まっているようです。実際には、脆弱性のある OpenSSL を使用している mod_ssl が対象のため、Apache のバージョンは関係なく、OpenSSL のバージョンに依存しているようです。Apache に OpenSSL を使っているサーバでは、OpenSSL 0.9.6g(現在の最新版) か、ベンダーがリリースしている対応済みバージョンに入れ換えてください。Apache をソースからインストールしている場合は再コンパイルしてください。実際の攻撃方法や、ログへの書き込みなど、詳しくは、CERT Advisory CA-2002-27 Apache/mod_ssl Worm を参照してください。
INTERNET Watchで、Internet ExplorerのJava環境にセキュリティーホール という記事が掲載されています。「セキュリティーホールはMicrosoftが独自に拡張した部分で発生したもの」ということなので、Sun Java 環境では大丈夫のようです。Microsoft からパッチが公開されるまで、Javaを無効にするか、SunのJava Plug-in を使用するという方法で回避できるそうです。
日本でクラックされてしまったサイトの情報を集めたページです。Microsoft の IIS サーバでクラックされてしまったサイトが目立ちます。何度もクラックされてしまうサイトも目立ちます。
結構勉強になります。テスターも教育が重要のようです。
@IT から。paste コマンドなんていうものがあったとは知らなかった・・・。
BSD系の OS の1つ。NetBSD 日本語ページもあります。詳しくは、NetBSD 1.6 のアナウンスを見てください。
オープンソースで Java Servlet や JavaServer Pages(JSP) の環境を実現するものです。待望の安定版らしいですが、まだ使っていないので詳しくは分かりません。Apache Tomcat Version 4.1 リリースノートも出ていますので、気になる人は見てください。
オープンソースのブラウザ。1.0 系の安定版。様々なプラットフォームに対応しています。かなり多くのバグが修正されています。
gtk 環境で使用できるメールクライアント。
9月に入ってしまいました・・・。先週は自宅のルータとして使っていた PC が故障して、インターネットに接続する環境がなかったためアップロードできませんでした。とりあえず、ブロードバンドルータを買って来て、インターネット環境は確保しました。2週間分まとめていますので、少し情報が古いものがありますが、あまり気にしないでください。
ルータとして使っていた PC には、FreeBSD をインストールして使っていたのですが、そこに CVS リポジトリとか、いろいろと作業データのバックアップなども入れていたので、故障は非常に痛いです。さすがに5年前の PC なので、寿命でしょうか・・・。
Mozilla 1.1がリリースされました。いろいろな環境で使用できるオープンソースのブラウザです。リリースノート も公開されています。1.1b から大きな変更は無いそうです。
Netscape 7(日本語版) もリリースされたようです。現在のところは、Windows 版のみと書いていますが、そのうち、他の OS でも公開されると思います。Netscape 7 はインストールして使ってみましたが、かなりいい感じでした。軽くなっているし、タブ機能も便利です。
それにしても、スラッシュドットジャパン で、Netscape利用者、さらに減少 という話題などもありますが、Internet Explorer がシェア 96% らしいです。どのようにしてこの数字が出てきたのかは知りませんが、Netscape にとっては厳しい数字かもしれません。やはり、初心者が Windows がインストールされているパソコンを買ってきて、いきなり他のブラウザをインストールできるわけがないという意見は正しいようです。
あと、これもスラッシュドットジャパンからのネタですが、Mozilla Browserの再設計版 「Phoenix」という、ブラウザが Mozilla から派生してリリースされているようです。Mozilla よりも相当軽いということですので、使ってみるといいかもしれません。
Mozilla 1.0.1 は、なかなかリリースされません・・・。個人的には、wazilla を使っているのですが、wazilla は Mozilla 1.0.x ベースということなので、1.0.1 がリリースされないとバージョンアップしないみたいです。セキュリティホールの問題もあるので、早く Mozilla 1.0.1 がリリースされて欲しいのですが・・・。
IPAセキュリティセンター(IPA/ISEC)のインターネットセキュリティ関連の RFC 日本語訳 のページが整理されています。また、RFC 3365 日本語訳(IETF 標準プロトコルについての強いセキュリティ要件) も掲載されたようです。
SecuriTeam.com の情報に、PHP Allows Bypassing of safe_mode And Injecting ASCII Control Chars With mail() がありました。セーフモードから抜けられてしまう問題のようです。レンタルサーバで PHP が使えるところでは問題かもしれません。PHP 4.2.3 では、修正されているようです。
RedHat Linux の security Advisories に Updated ethereal packages are available ということで、 Ethereal の修正パッケージが公開されています。他にも、New PHP packages fix vulnerability in safemode、Updated scrollkeeper packages fix tempfile vulnerability、PXE server crashes from certain DHCP packets など、いろいろと修正パッケージが公開されています。
インシデントを発見する方法(2) - システムの改ざんを検知する方法 -
JPCERT/CC の連載記事。ファイルのチェックサムを取る方法と改ざん検知ツールの紹介。
やさしく読む「XML 1.0勧告」第1回 XMLの仕様書によると、XMLの目標とは
XML の仕様書を読んでいこうという企画。なかなか面白そうなのでメモ。
syslogd についての詳しい説明。
ポリシー運用サイクルに適した形態とは 〜 運用して分かるセキュリティポリシーの問題点 〜
一応、参考に。
いろいろな UNIX 系の OS でプラットフォームで使用できるメールクライアント、ニュースリーダです。Sylpheed for Win32 も 0.8.2 に追従したらしいです。
日本語も処理できる全文検索システム。バグ修正やクロスサイトスクリプティングなどの、セキュリティ修正がされたようです。Namazu 2.0.11 がリリースされてから次の日に、アップデートされました・・・。
サーバ側で動作するスクリプト言語。マイナーバージョンアップの割に、かなりのバグフィックスがあったようです。ただ、mbstring 関係のバグらしいのですが、PHP 4.2.3で4バイト以下の配列の変数値が取れない というバグがあるようです。PHP-users のメーリングリストによると、--enable-mbstr-enc-trans オプションを使用している場合に起こる問題のようです。パッチも投稿されていますが、Apache モジュール版では、問題があるようですので、もう少し様子を見た方がいいかもしれません。CGI 版では問題ないようです。
かんなの辞書を強化して変換効率を上げることができます。Unix 系の OS でかんなを使っている人はインストールしてみるといいかもしれません。