「まだTelnetを使い、インターネットに公開している企業がある」 ExtraHopが警告
同社は「意図的であれ、偶発的であれ、こうしたプロトコルを通じてサイバー攻撃者によるネットワークへの侵入が容易になり、企業に対する攻撃リスクが増大する」と警告している。 非推奨のTelnetだが、12%の企業が利用 このレポートは、ExtraHop Networksが世界の企業のIT環境を分析して、開いているTCP/IPポートと、インターネットに公開されている通信プロトコルを観点に、企業のサイバーセキュリティ体制を調べたもの。それによると、企業が公開しているプロトコルとセキュリティには幾つかの特徴があるという。 関連記事 「脅威ベースアプローチ」のリスク評価とは何か――MITRE ATT&CKとNavigatorで攻撃グループと対策を特定してみた ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」(マイターアタック)について解
NTPで新たな脆弱性が発見される、不正な時刻源と同期される可能性 | スラド セキュリティ
時刻を同期するために広く利用されているNetwork Time Protocol(NTP)に新たな脆弱性「CVE-2015-7871が発見された(ZDNet、ITmedia、NETWORKWORLD、Slashdot)。 特定の暗号化されたNAKパケットを送りつけることで認証をバイパスできるというものだそうで(Red Hat Bugzilla)、これにより不正な時刻源に時刻を同期させることができてしまうという。なお、この問題を修正したntpの新版「ntp-4.2.8p4」がすでにリリースされている。 時刻を不正に操作することで、失効したパスワードやアカウントで認証できるようにしたり、TLSクライアントが失効した証明書を受け入れるようにしたり(逆に、有効なはずのものを拒むようにしたり)、証明書ピニングやHTTPSなどの現行のセキュリティ構造を回避したりする悪用例が考えられるという。
時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
Firefox、ログインの常識を変える「BrowserID」を発表 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
時刻同期のntpdに危険度の高い脆弱性、不正パケット受信でコード実行の可能性 
http://japan.internet.com/busnews/20100222/1.html
