「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた
「UPnPに脆弱性が見つかり、危険だ」というニュースがいろいろなWebサイトに掲載されていますが、例によってまた何言ってるかよく分からない部分が多かったので、調べたことを書いておきます。 目次 1. 概要2. 日本語サイトの情報源3. 「libupnpの脆弱性」は「UPnPパケットを使ったバッファオーバフロー」4. 「WANから攻撃可能」というニュースの意味5. 「WANからのSSDPリクエストを受け付ける」ルーターとは?6. 「libupnp」と「SSDPリクエストを受け付けてしまう脆弱性」の関係について7. 「WANからのSSDPを受け取ること」自体の問題8. 何があったからニュースになった?9. 1月29日にあったこと10. 本当のニュースは「Rapid7のホワイトペーパー」の公開11. ホワイトペーパーの中身12. じゃぁどうして脆弱性情報が出たのか13. 結論:見つかったのは「脆
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。 ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。 US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしま
「.日本」、地名ドメインが実現へ--総務省の審議会がパブリックコメントを受け付け
ホームページのトップレベルドメインで、漢字による表記を可能にする見通しが固まった。総務省の情報通信審議会がこのほどまとめた報告書に計画が盛り込まれた。 ホームページのドメイン名は「総務省.jp」など、セカンドレベル以下での日本語化の導入が2002年に開始されている。 今回の計画では、 現在の「.jp」に加え、「.日本」を実現するもので、総務省の情報通信審議会に設置された情報通信政策部会・インターネット基盤委員会が新たな国別トップレベルドメインの名称や運用ルールの策定などをしてきた。 新たな漢字表記のドメインでは、「.日本」に加えて、地域ドメインでも可能にする方針。実現すれば、「.東京」や「.tokyo」といったご当地ドメインも可能になる。 総務省では、6月3日までパブリックコメントを募集。7月にも審議会で正式決定するという。
Mozilla Re-Mix: 安全・高速なWebサーフィンを実現する「OpenDNS」
皆さんご存じのように、ブラウザにURLを入力するとそれに該当するIPアドレスを引っ張ってサイトを表示するようになっています。 このような名前解決は、一般的にプロバイダなどから提供されるDNSサーバーが担うものですが、これらは安全性に欠けているとされているものもあれば、一部のサーバーでは名前解決ができないような場合もあります。 また、解決に要する時間はDNSサーバーに左右されることから、処理の速いDNSサーバーを使えばWebサーフィンの高速化に繋がるとも言えます。 「OpenDNS」は、こうした脆弱性を排除し、かつ、高速なブラウジングを実現するために提供されているフリーのDNSサーバーです。 管理者も、遅まきながらこの「OpenDNS」を導入し、Firefoxやその他のブラウザでどのように変化があったのか確認してみました。 「OpenDNS」の導入は、Firefoxになんらかの設定を行うとい
ネット上の違法・有害情報にR指定制度--総務省の検討部会が提言
総務省は1月16日、2007年11月から開始した「インターネット上の違法・有害情報への対応に関する検討会」の最終報告書を公表した。 同検討会は、インターネット上の違法・有害情報に対する総合的な対応策の検討を目的に設置。インターネット上の違法・有害情報の現状と課題を検証するほか、政府や業界、電気通信事業者などにおける対応、政府による支援方策などについて、検討が続けられてきた。 2008年7月に総務大臣が「『安心ネットづくり』促進プログラム」の策定を発表して以降は、基本的枠組みをはじめ、業界の自主的取り組み、親子のICTメディアリテラシー、技術といった4つを柱に、それぞれワーキンググループを設置し、政策パッケージの骨子となる施策を議論した。 報告書は、「安心を実現する基本的枠組の整備」、「民間における自主的取組の促進」、「利用者を育てる取組の促進」の3つの柱で整理。それぞれ国内外の現状や201
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
