̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2014/10/13 通巻672号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 多くの Linux で使われる bash に重大な脆弱性が多数発生 2014年 9月 24日、多くの Linux などで使われる bash シェルのパッチが 公開された。 オープンソース製であっても脆弱性があることに気づいた セキュリティ関係者が、 bash を更に調査し、9月末までに 6件ものパッチが 提供される状況になった。 この事件は、シェルショックと呼ばれ始めた。 Linux 系 OS を使う場合、あらゆることをコマンドラインのシェルで操作 することが好まれる。 リモートで操作するときもホームページをインテリ ジェンスに反応させるときも、シェルを経由する。 それほど多くのことに 使われているのであれば、多くのテストが行われているも同然というオープン ソースの理論によって安全であると信じられてきたが、OpenSSL に続き、 bash にも脆弱性が見つかったことで、Linux の安全神話が完全に崩れた。 いくら理論が論理的に正しくとも実証できないものを信じてはいけない。 しかも、脆弱性を発見するオープンソースツールで簡単に脆弱性が見つかった という。 つまり、何か行動しているから安全だと主張してきたわけではなく、 オープンであるという理論だけで、あまり積極的に脆弱性に対応して こなかったことがうかがえる。 FreeBSDプロジェクトは、次のような対策を推奨している。 ・sshコマンドでログインする対象のシェルにbashを設定しない ・/bin/shをbashへリンクしない ・WebやCGIのユーザのシェルは/sbin/nologinに設定する ・CGIをシェルスクリプトで書かない ・WebサーバやCGIをroot権限で実行せず、それぞれサンドボックス化された環境で実行する ・カスタムスクリプトのようなものをbashで作成しない 内容的には正論であるが、bash が入っていない FreeBSD のライバルを 否定している内容にも取れる。 bash 側は、パッチを当てれば十分であると 説明している。 Web サービスを開発している人は、「脆弱性検査ツール」 を通すことはもちろんしていることだろう。 サーバーを借りている 人にとっては、もしかすると検査ツールの導入は有料かもしれないが、 bash のバージョンアップぐらいは無料で行われているだろう。 個人情報を 取り扱っている人は、確認してみた方がいいだろう。 ソース http://www.itmedia.co.jp/enterprise/articles/1409/25/news042.html http://www.itmedia.co.jp/enterprise/articles/1410/06/news038.html http://news.mynavi.jp/news/2014/09/26/451/ http://www.ipa.go.jp/about/technicalwatch/20131212.html http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html 注目ニュース 一覧 ◇ 次期Windowsの名称は Windows 10。プレビュー配布、発売は2015年後半に決定。 http://pc.watch.impress.co.jp/docs/news/20141001_669238.html … Windows 8.1 とほぼ変わらないが、フィードバックを受け付ける期間を設けた。 ◇ Windowsシェルにもbashに似た脆弱性か。 http://www.itmedia.co.jp/enterprise/articles/1410/07/news048.html … 特殊な名前のフォルダーを作成するか、cygwin などをインストールしなければ安全。 ◇ アップル、OS X のアップデートを公開。Bash 脆弱性に対応。 http://japan.zdnet.com/security/analysis/35054437/ … OS X を Linux として使う設定をしない限り安全だが、パッチを提供。 ◇ 1万7000台を超えるMacがマルウェア iWorm に感染、感染源は不明。 http://internet.watch.impress.co.jp/docs/news/20141004_669929.html http://japan.cnet.com/news/service/35054769/ … Mac もボット ウィルスにしてしまおうと狙われている。 ◇ IPA、サーバーログを解析して攻撃の痕跡を検出する iLogScanner v4.0を無償公開。 http://www.forest.impress.co.jp/docs/news/20141009_670705.html … IIS や Apache サーバーへの攻撃の証拠を残すためにも入れよう。 ◇ USBに設計上の致命的な脆弱性が発見され、そのコードが公開される。 http://gigazine.net/news/20141006-badusb/ … USB機器にあらかじめ埋め込まれているか、ファームウェアを更新できる機器が危ない。 ◇ 革新を天才が生むと考える日本、組織で生み出すと考える世界。 http://monoist.atmarkit.co.jp/mn/articles/1410/02/news019.html … 技術立国日本と言いながら、イノベーションを軽視している日本の会社。 ◇ 議事録に代わる新手法、グラフィックレコーディングとは。 http://www.itmedia.co.jp/enterprise/articles/1409/30/news046.html … 読まないのに正確性を求める議事録よりは役に立つ。 ◇ あまり知られていない Microsoft Office 監視ツールができること。 http://techtarget.itmedia.co.jp/tt/news/1410/03/news03.html … MS Office ファイルの閲覧数などを自動的に収集する企業内ビッグデータ。 ◇ リバーシブル仕様のUSB規格 Type-C。その利点と従来のUSB規格との違い。 http://japan.cnet.com/news/commentary/35054274/ … 従来の USB の一覧。 Type-C は、向きだけでなく、もう片方の端も挿せる。 ◇ ドコモ、子供を見守る腕時計型ウェアラブル端末 ドコッチ 01。3G通信も可能。 http://www.itmedia.co.jp/mobile/articles/1409/30/news054.html … 見守りサービスだけならこれで十分。 ◇ 衣服で心拍などを測る hitoe と連携。スマホ向けヘルスケアサービス Runtastic for docomo。 http://www.itmedia.co.jp/mobile/articles/1409/30/news039.html … 着るだけで心拍数や心電波形を計測できる素材との連携。 ◇ Oracle OpenWorld 2014開幕。クラウドとエリソン新体制のゆくえ。 http://japan.zdnet.com/cloud/analysis/35054375/ … ラリーエリソンが CEO から退任。 ◇ まだ早い? もう買い時?これがEIZO 4Kモデルの実力だ! http://www.itmedia.co.jp/pcuser/articles/1409/18/news007.html … 1枚でマルチディスプレイができる。 ソフトウェアデザイン館 Sage Plaisir 21 ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm