2016年4月26日のtwitterセキュリティクラスタ

まだまだ続くケータイキットとOSコマンドインジェクションについて

[2016/04/26 14:00 公表] ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性 jvn.jp/vu/JVNVU921168…

ケータイキット for Movable Typeの脆弱性 (CVE-2016-1204) に関する注意喚起を公開。アイデアマンズ株式会社の当該製品にOS コマンドインジェクションの脆弱性があります。修正済みバージョンの適用を。^MM jpcert.or.jp/at/2016/at1600…

久々に日記を更新:「ケータイキット for Movable Type」のOSコマンドインジェクションの修正」 bakera.jp/ebi/topic/4911

しかし、2016年の今日においてもこの修正でよいと一瞬たりとも思ってしまうエンジニアがいることに敗北を感じざるを得ない。
bakera.jp/ebi/topic/4911
$execute = “$convert $option \”$src\” \”$dest_temp\””;

こういう直し方は依然として不安が残るよね。
bakera.jp/ebi/topic/4911
$execute = “$convert $option ” . escapeshellarg($src) . ” ” . escapeshellarg($dest_temp);

いや、 escapeshellarg() は、PHP謹製なのか。じゃあこれでいいな。
(PHPがクソなのはよくわかるが。)

「安全なウェブサイトの作り方」ではこうなっている。

根本的解決 2-(i) シェルを起動できる言語機能の利用を避ける。p.11
修正例3 シェルを経由せずにコマンドを呼び出す方法 p.78

「安全なウェブサイトの作り方」のOSコマンドインジェクションのところは、Perlしか題材にしていないので、もうちょっと書き足したほうがよさげ。

あと、考え方的な解説が足りてないな。

OSコマンドインジェクションと言えば、この記述を早く何とかしないと… 『Perlには、シェルを動作させずに他のプログラムを呼び出せるAPIが備わっていない。』<間違いですので念のため ipa.go.jp/security/aware…

ケータイキットの脆弱性対策 特設ページってライセンスキーを持っているユーザしか見られないんですね。 / bit.ly/1rdO2Vn bit.ly/1rdO2Vn

@ntsuji 昨日これは気になりました。 セキュリティ的な要因もあるのかもしれませんが、社外ベンダーで対応する場合は遅延に繋がりますよね…

日テレ社長 個人情報流出で謝罪 再発防止へ調査委「被害の連絡ない」 sponichi.co.jp/entertainment/… 「不正アクセスがあり、個人情報が流出した恐れがあることがわかったため、発表させていただいた。現在、専門家を交えて調査委員会を立ち上げて、原因究明に務めています。

脆弱性のサンプルを作るときは、過度にわざとらしい実装にならないように注意しています。それは、開発者の方々に「こんな実装しねーよ」と思われたら負けという意識からなのですが、実物の脆弱性はしばしば私の想像力を超えていますね。気にしなくてもいいのかもしれない

しかし、OSコマンドインジェクションを避けるには、PHPよりもPerlの方が圧倒的に確実なのに、MovableTypeのプラグインでわざわざPerlからPHP呼び出してそこからconvertプログラム呼び出すなんて…と思ったものの…そもそも脆弱性の意識がないから同じことかorz

実はconvertプログラム呼び出しを使ったOSコマンドインジェクションのサンプルは私も作ったことがあるので、今後は積極的に活用していきたい。わざわざそのためのセミナーを開催するほどではないけど…CMSのプラグインに注意、というのはありか…

その他に気になったことはこのあたり。

Androidに対する攻撃に新たな幕開け。研究者はWinのパッチの無い脆弱性に対する攻撃への類似点を強調。この攻撃はAndroid 4.xの修正されない脆弱性を攻撃。4.xユーザはまだ6割を越える。広告経由でデフォルトブラウザを攻撃threatpost.com/android-ransom…

Androidの新ランサムウェアはHackingTeamから盗まれた攻撃手段を利用。攻撃は更新されておりより広い範囲の4.xに対応。ルート化を行うTowelrootをインストールする。暗号化は行わずNSAを騙り罰金を要求threatpost.com/android-ransom…

EC-CUBEの脆弱性と簡単インストールの3.0.10対応のご案内 – 2016年04月25日 / 新着情報 / お知らせ – レンタルサーバーならロリポップ! lolipop.jp/info/news/5291/

Just posted “Exploiting IE’s MS15-106, Part I: VBScript Filter Type Confusion Vulnerability (CVE-2015-6055)”: blog.coresecurity.com/2016/04/25/exp…

社内サーバのバグ報告にも報奨金出すのはすごいな。でも、バグハンター体質の社員とか業務横に脆弱性探してそう。/Facebookの社内サーバーからフルアクセス許すバックドアが見つかる。発見したセキュリティ業者は報奨金1万ドル獲得 japanese.engadget.com/2016/04/25/fac…

Windowsセカンダリログオンの脆弱性により、権限昇格が行える脆弱性(CVE-2016-0099)(MS16-032)に関する調査レポート/ softbanktech.jp/information/20…

ゆうちょ銀行のフィッシングで、偽サイトを開設し忘れている件。2サーバで攻撃しているようですが、片方にしか偽サイトがなく不思議に思っていました。しっかり誘導しているようなので、単なるマヌケ仕様だったんですね。 twitter.com/omoitsukitter/…

どんなソフトなのかと思ったら、セキュリティ製品だった。MITB攻撃からパソコンをガードしてくれるらしい。これはひどい。
SaAT Netizen | ネットムーブ株式会社 NetMove Corporation
netmove.co.jp/security/saat_…

WordPressユーザは更新の準備を。v4.5とそれ以前には全て未承認のGET経由でのXSSが存在。 詳細はいずれ直ぐ。RE twitter.com/0x6D6172696F/s…

Get ready to update your WordPress installations soon. Because 4.5 and below all have XSS via GET, unauthenticated. More info soon.

@0x6D6172696F We’ll report the issue tomorrow, several involved parties. Fix likely soon, then write-up here. Sorry, no logo, no campaign.

本日IPAは「セキュリティ・キャンプ全国大会2016」の参加者募集を開始しました。今年は、人工知能とセキュリティ、ゲームの不正対策など合計34の専門的な講義を予定しています。
詳しくは→ipa.go.jp/jinzai/camp/20… pic.twitter.com/pEUiKvRnec

#cchanabomemo #seccamp #spcamp
セキュリティキャンプ全国大会2016 今年は8/9~8/13でクロスウェーブ幕張にて実施です。
ipa.go.jp/jinzai/camp/20…
応募はWebから本日より5/30まで。時期が例年より早いので要注意です!

#cchanabomemo #seccamp #spcamp
あと今年も @tamanara 先生が暗号で熱くぶった切りながらオシロスコープいじるのめっちゃムネアツだし、井上先生と松原先生とはいってこられててかなりいい構成だと思うので、上野さん頑張ったんだなーとムネアツ。

#cchanabomemo #seccamp #spcamp
そういえば、今週土曜日4/30の名古屋情報セキュリティ勉強会 #nagoyasec は、講師のおひとりが名古屋大の松原先生なのですが、今年のセキュリティキャンプ全国大会2016の講師でもありますよー。

ゴルフ用品の通販サイトでカード情報流出、セキュリティコードも ascii.jp/elem/000/001/1…

キャリアアプリか。ますます日本製とかつかえねー / “豆知識:警察は、キャリアのプリインアプリで特定した位置情報を犯罪捜査に利用している? – すまほん!!” htn.to/JLg2zj

ワッセナーアレンジメントに関する意見書を本日公開しました。
jnsa.org/secshindan/ fb.me/1dRERIfUC

ブログ公開しました>モバイル脅威レポート: 2016年動向予測
blogs.mcafee.jp/mcafeeblog/201…

「鳥貴族」従業員約400人分のマイナンバー、車上荒らしで盗難被害 bit.ly/1QwHXYN #FNN

バングラ中銀盗難、ハッカーはSWIFTのソフトウエアに侵入か bit.ly/1SEof1H pic.twitter.com/pff2qYa8vH

【ニュース】Linuxを攻撃する「Kaiten」の新バージョンが発見される canon-its.jp/eset/malware_i… 機能が強力になったLinuxマルウェア「カイテン」の新種に注意してください。 #Linux #マルウェア pic.twitter.com/oZu4Qku3el

[エンタープライズ]古いAndroidは「XP状態」、ランサムウェア感染攻撃を確認 bit.ly/1YQR0dd

[TechTargetジャパン]ボブはもういない:アクセス制御に関するミステイク・トップ5 bit.ly/1YQSrIy

[News]Twitter、嫌がらせ報告ツールで複数ツイートの一括添付を可能に bit.ly/1WmMF2c

現在、避難所等において無料Wi-Fiが利用できるようになっていますが、暗号化通信がなされていないなど、セキュリティが脆弱となっています。盗聴等の危険性がありますので、IDやパスワードの入力が必要なインターネットバンキングやショッピングサイトの利用をできるだけ控えましょう。

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>