【セキュリティ ニュース】Linuxなどに含まれる「pppd」に脆弱性 - root権限でコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
モデム接続やPPPoE接続、VPN接続の「PPTP」など、ノード間の接続に用いる「Point-to-Point Protocol(PPP)」の接続セッションを管理する「pppd」に、深刻な脆弱性が含まれていることがわかった。 Linuxなどで広く採用されているPaul's PPP Packageの「pppd」に脆弱性「CVE-2020-8597」が明らかとなったもの。 「同2.4.8」から「同2.4.2」までが影響を受ける。 認証プロトコル「EAP(Extensible Authentication Protocol)」のパケットを処理する際、データサイズの検証処理に問題があり、バッファオーバーフローが生じるという。 脆弱性を悪用されると、任意のコードを実行されたり、サービス拒否に陥るおそれがある。認証に「EAP」を用いていない環境でもパケットを受け付け、脆弱性の影響を受ける可能性があるた
LinuxベースのネットワークスイッチOS「OpenSwitch」が、Linux Foundationのプロジェクトに
Linux Foundationは、いわゆるホワイトボックス用のネットワークスイッチOSをLinuxベースで開発する「OpenSwitch」が、Linux Foundationのプロジェクトになったと発表しました。 OpwnSwitchは、米ヒューレット・パッカードやメラノックス、ブロードコム、インテル、LinkedInなどが昨年10月に立ち上げたオープンソースプロジェクト。 スイッチなどのネットワーク機器は、ネットワークベンダが独自のハードウェアと専用のOSを開発し、組み合わせて提供されるものでした。それをサーバと同じようにハードウェアとOSの業界標準を作ることで、自由にベンダーやユーザーが組み合わせて利用できるようにする動きが強まってきています。 そのハードウェアがいわゆるホワイトボックススイッチであり、例えばFacebookが設立したOpen Compute Projectなどでホワ
Linuxネットワークドライバの開発 - Handwriting
この記事はLinux Advent Calendar 2016 9日目の記事です。 遅刻してしまい申し訳ございません。。。 とある事情があって1ヶ月半ほど独自NICのLinux向けのネットワークドライバを開発していた。 今回はARM用のデバイスドライバを開発した。NICはXilinx社のFPGAであるZYBOを用いて開発した。 まだ十分に実用段階というわけではないが、ひとまず独自NIC経由でのpingやiperfが通ったので、後学のために知見を残しておきたい(誰得だ、という感じだが)。 ソースコードはまだ公開されていないが、そう遠くないうちに公開する予定(たぶん)。 はじめに Linuxのデバイスには キャラクタデバイス - バイト単位のデータ通信 (e.g. シリアルポート) ブロックデバイス - ブロック単位のデータ通信 (e.g. ディスク) ネットワークデバイス の3種類がある。ネ
LinuxのTCP実装に重大な脆弱性、広範囲に影響のおそれ
カリフォルニア大学らの研究者らが公開したホワイトペーパー「Off-Path TCP Exploits: Global Rate Limit Considered Dangerous (PDF)」が、Linuxカーネルバージョン3.6以降にはネットワークスタックに重大な脆弱性があり、遠隔から攻撃者によってTCP通信の内容を推測される危険性があると指摘していることを複数のメディアが伝えた。Linuxカーネル3.6は2012年に公開されており、影響範囲が広範囲に及ぶ可能性が高く注意が必要。 研究者らが指摘した脆弱性はパス外TCP攻撃(Off-Path TCP Exploits)を許してしまうというもの。1分間ほどの攻撃で90%程度の確率で通信に割り込むパケットを生成することが可能になるとされている。この攻撃は受けていることがわかりにくく、しかも広範囲に影響が及ぶ可能性が高い。Linux以外のオペ
14億台ものAndroid端末に通信が傍受される脆弱性が存在することが明らかに
By Family O'Abé HTTPによる通信をより安全にするため、通信データをSSL(TLS)を用いて暗号化するのが「HTTPS」ですが、その普及率はまだ完全とは言い難い状況です。そんな中、Android端末の80%に暗号化されていない通信をインターネット経由でどこからでも簡単に傍受されてしまう脆弱性が存在することが明らかになっています。 Linux flaw that allows anyone to hijack Internet traffic also affects 80% of Android devices | Lookout Blog https://blog.lookout.com/blog/2016/08/15/linux-vulnerability-android/ LinuxカーネルのTCPに重大な脆弱性「CVE-2016-5696」が存在することが明らかにな
LinuxのTCPに脆弱性、トラフィックを乗っ取られる恐れ
米カリフォルニア大学リバーサイド校(UCR)の研究チームが、Linuxに2012年から存在していたというTCPの脆弱性に関する論文を発表した。悪用されればリモートの攻撃者にインターネット通信を乗っ取られる恐れがあるとしている。 UCRの8月9日の発表によると、研究チームが発見したのはLinuxのTCPに関する「サイドチャネル」と呼ばれる脆弱性で、標的とするクライアントとサーバのIPアドレスさえ分かれば、その接続に関連したTCP連続番号を推測できてしまうという。 この問題を悪用すれば、リモートの攻撃者が標的とするユーザーのネット上の行動を追跡したり、通信を強制終了させたり、通信に不正な内容を仕込んだりすることが可能とされる。また、Torのような匿名ネットワークが保証するプライバシーが損なわれる恐れもあるという。 攻撃は簡単に仕掛けることができ、約90%の確率で成功すると研究チームは解説。米紙
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linux TCPスタック実装の脆弱性、Android 4.4以降の14億台の端末に影響 
ネットワークカードを認識させるには