xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ
SSHログインの失敗が大量に記録されているとSSHログインが極端に遅くなる - Repro Tech Blog
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
ポートノッキング - ArchWiki
ポートノッキングとはデフォルトではファイアウォールによって閉じられているポートを外部から密かに開く方法です。ポートノッキングでは予め決めておいた順番で閉じているポートを叩きます。正しい順番のポートの"ノック" (接続試行) を受け取ったとき、ファイアウォールは特定のポートを開いて接続を許可します。 標準的なポートスキャンに対して、ポートのサービスが使われていないかのようにみせかけることができるという利点があります。この記事ではデーモンや iptables を使ってポートノッキングを利用する方法を説明します。 警告: ポートノッキングはあくまでセキュリティ戦略の一環として考えてください。ポートノッキングだけでシステムを防護することは不可能です。遮蔽によるセキュリティ (攻撃者が知らないことを前提とするセキュリティ) は脆いものです。SSH を保護する場合、ポートノッキングと組み合わせて使うこ
Linux標的の新マルウェア「Shikitega」 「Shikata Ga Nai」でステルス攻撃
米AT&TのセキュリティラボAlien Labsは9月6日(現地時間)、Linux搭載のサーバやIoTを標的とする新たなマルウェア「Shikitega」を発見したと発表した。脆弱性を悪用して権限を昇格させ、感染した端末で暗号資産マイニングを実行したり、システムを完全に制御したりする。 Shikitegaは強力なMetasploitである「Mettle」をダウンロードして実行することで、Webカメラ制御やシェルコマンドの実行など、様々な攻撃を可能にする。 攻撃のプロセスは、「Shikata Ga Nai」(仕方がない)と名付けられたポリモーフィックXOR加法的フィードバックエンコーダを使ってデコードループを実行し、最終的なシェルコードペイロードがデコードされて実行されるまで、デコードを続ける。 デコードが完了すると、シェルコードが実行されてマルウェアのサーバに接続し、追加のコマンドを受信する
QUIC and Linux capabilities - あどけない話
For security reasons, the typical boot process of HTTPS servers is as follows: Executed by a root. Reading a TLS private key and open a listen socket on TCP port 443. Switching the root user to nobody (or something). Since accept() can create connected sockets bound to TCP port 443 even with non-root privilege, servers can accept connections. Let's consider the case of QUIC servers which uses UDP.
システムソフトウェアに対する攻撃の歴史と傾向 - 高度標的型攻撃や国家に支援された攻撃の仕組み - - るくすの日記 ~ Out_Of_Range ~
A History of system-level offensive security researches: How is your system compromised by nation state hacking, APT attack はじめに 企業や個人に対するサイバー攻撃の頻度は年々増加の一途を辿っているが、これらはskiddyによる悪戯程度の物から、企業を標的とした高度な標的型攻撃、あるいは政府による諜報活動に至るまで多岐にわたっている。 特に大規模な組織や政府による綿密に練られたサイバー攻撃は、確実に目的を果たすために高度な手段が講じられる事が多い。 本記事では高度標的型攻撃や政府による諜報活動で用いられる手法の一つとして、"システムソフトウェアに対する攻撃"について紹介する。 これはオペレーティングシステム (OS) や仮想マシン、ファームウェアといった基盤システムを
2018年1月12日号 Spectre/Meltdown対策と17.04のEOL、17.10のISOイメージの再リリース | gihyo.jp
Ubuntu Weekly Topics 2018年1月12日号Spectre/Meltdown対策と17.04のEOL、17.10のISOイメージの再リリース Spectre/Meltdown対策と17.04のEOL 2018年初に、コンピューター業界全体を大きく揺るがす脆弱性が公表されました。業界全体での対処が続けられており、Ubuntuでも対策が進められています。Meltdown/Spectreと名付けられた(大きく分けて)2つの脆弱性がそれです。 いずれもCPU設計の基礎部分に関連する問題で、Meltdownは一部のベンダのプロセッサ(主としてIntel)に、Spectreは非常に多くのプロセッサに影響します。 影響範囲は正確には未知数ですが、次のようなシナリオで攻撃が成立すると考えられます。いずれもオンメモリなデータを読み取ることができるのみで、任意のコードを実行したり、(オン
LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明 (1/19更新) - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに Linuxの安定カーネルのとりまとめ役、グレッグ・クラーハートマンによるメルトダウンとスペクター問題に関する1/6時点での現況の説明の訳文です。 太字は訳者が主観で独自に付加したものです。 2018/1/19: 対応状況がGreg氏によりアップデートされましたので、追記しました。 ライセンス 原文は当人のブログでby-nc-sa3.0で公開されています。 この文章のライセンスも原文に準じます。 謝辞 何よりもまず多忙な中情報をシェアしてくれた原著者のGreg氏に。 表記間違いについて指摘ありがとうございます。以下修正しました。
Linuxのsystemdに任意コード実行の脆弱性--Ubuntuなどに影響
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Linuxのシステム管理デーモンであるsystemdに、特別に細工されたTCPパケットを受信することで、システムがクラッシュさせられたり、悪質なコードを実行される可能性のある脆弱性が存在することが明らかになった。 この問題はUbuntuを開発する企業CanonicalのソフトウェアエンジニアであるChris Coulson氏が発見したもので、同社はこの問題を修正するパッチを公開した。 Coulson氏は、「この問題を悪用すると、悪質なDNSサーバが、特別に細工されたTCPペイロードを持つDNS応答によって、systemd-resolvedにサイズが小さすぎるバッファを割り当てさせ、バッファ境界外への任意のデータの書き込みを発生させること
2017年2月9日 Linux 3.18 LTSが最後のアップデート、古いAndroidバージョンは要注意 | gihyo.jp
Linux Daily Topics 2017年2月9日Linux 3.18 LTSが最後のアップデート、古いAndroidバージョンは要注意 LinuxカーネルメンテナーのGreg Kroah-Hartman(GKH)は2月8日(米国時間)、ロングタイムサポート(LTS)カーネルのLinux 3.18の最後のアップデートとなる「Linux 3.18.48 LTS」を公開した。この公開とあわせて、3.18ユーザに対し早急にLinux 4.4 LTS、もしくはLinux 4.9LTSに変更するように呼びかけている。 Linux 3.18.48 -Greg KH :LKML Linux 3.18は2014年12月にリリースされ、LTS版であるため2年間に渡ってメンテナンスが続けられてきたが、今回のLinux 3.18.48でついに最後版となる。 Linux 3.18はAndroid端末やC
–cap-dropオプションを使ったDockerコンテナの安全性を高める工夫 | POSTD
DockerにはLinuxのケーパビリティを削除するためのオプションがあるのをご存じでしたか? docker run --cap-drop オプションを使うと、コンテナのルートを隔離することができ、コンテナ内でのアクセス権を制限することができます。悲しいことに、ほとんどの人はコンテナやそれ以外の場所でも、セキュリティを強化していません。 翌日では手遅れ ITの世界ではセキュリティへの配慮が遅すぎるという残念な傾向があります。 セキュリティが破られた翌日に初めて、セキュリティ対策システムが購入されているのです 。 ケーパビリティを落とすことで、コンテナのセキュリティを大変手っ取り早く改善することができます。 Linuxのケーパビリティとは? ケーパビリティのmanページ によると、 capabilities とは、個別に有効無効を設定することができる特権の集まりのことです。 私流に説明すると
2017年前半にサポートが終わる主なOSたち
Windows VistaやRHEL 4などのOSに対するサポートがまもなく終了する。期日などを改めてチェックしておこう。 2017年が始まったばかりだが、直近ではクライアントやサーバで使用されてきたOSのサポート終了が迫っている。多くの企業や組織では既に新OSへの移行といった対応作業を進めていると予想されるが、4月までにサポートが終了する主要なOSの状況について確認しておこう。 Windows Vistaは4月11日まで Microsoftは、2006年にリリースしたWindows Vistaの延長サポートを米国時間の4月11日に終了する。原則としてこの日に公開される見込みのセキュリティ更新プログラムが最後となり、4月12日以降は脆弱性が発見されても修正などは行われない。Vistaと同時にInternet Explorer 9のサポートも終了する。 米調査会社Net Applicatio
「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了:IPA 独立行政法人 情報処理推進機構
レッドハット株式会社提供のOS(基本ソフト)「Red Hat Enterprise Linux 4」の延長サポート、および「Red Hat Enterprise Linux 5」(以後、RHEL)の通常サポートが2017年3月31日、同時に終了する(*1)ことを踏まえ、システム管理者に速やかな移行を求められます。 Linuxはオープンソースソフトウェア(OSS)の基本ソフトとして、無償で利用可能なことから広く普及しています。またRHELの場合、その使途は外部からインターネットでアクセスされるサーバーにも活用されています。そのため、サポート終了により修正パッチが提供されなくなると、インターネットを介して攻撃に晒される可能性が高くなり、速やかな移行が求められます。 また、RHELのソースコードをベースに開発された無償の「CentOS(*2)」のように、派生ソフトウェアが複数存在しているのもOS
Ransomware Protection | Perception Point
Solutions Back To Menu Solutions By Channel Read the company overview to learn more about how Perception Point provides unparalleled prevention of advanced cyber threats across all attack vectors.
1万台ものルーターを何者かが勝手にハックしてセキュリティを高めていたことが発覚
by Peter Dahlgren ユーザーのネットワークに侵入したマルウェアは、侵入した後にさらなる攻撃を仕掛けるためにユーザーのルーターを利用することが多々あります。しかし、Symantecが発見したLinux.Wifatchというマルウェアは、Linuxを搭載する1万台ものルーターに感染しておきながら、悪用ではなくむしろ「デバイスのセキュリティを高める動き」をしていたことがわかりました。 Is there an Internet-of-Things vigilante out there? | Communauté Symantec Connect http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there Someone Has Hacked 10,000 Home Routers
「SELinuxのせいで動かない」撲滅ガイド - Qiita
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
Linuxに存在する脆弱性「GHOST」、システム管理者は落ち着いて対処を |
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア
僕が考えた最強のサーバ設定 - とあるプログラマの日記 @s025236
いつの間にかさくらのVPSの標準OSがCentOS6になってたので設定を見直してみました。 月額980円/月から利用でき、2週間のお試し期間もあるのでこれを機会にサーバ設定に足を踏み入れてみてはどうでしょう? 慣れると10分くらいでウェブサーバが立ち上げれるようになります。 すみません。こんなに多くの人が見てると思わなかったんです。 お一人様サーバ向けのつもりで書いてます。 タイトルもタグもネタだったのにツッコまれまくりで恥ずかしい… 公開鍵登録しよう どうせ自分しか触らないなしrootで作業しちゃってもいいんじゃない? リブート(またはsshのrestart)以降秘密鍵がないとsshでログイン出来なくなるので気をつけてください。 mkdir ~/.ssh/ touch ~/.ssh/authorized_keys chmod 700 ~/.ssh/ chmod 600 ~/.ssh/au
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - containers/bubblewrap: Low-level unprivileged sandboxing tool used by Flatpak and similar projects
