度を超した危険な脆弱性には名前が付けられる。ある脆弱性に「Heartbleed」という名前が付けられ、ブランド化された結果、セキュリティについて語る方法に変革がもたらされた。しかしロゴまで用意するというのは不謹慎なのではないだろうか?それともこれは情報セキュリティの進化なのだろうか? 連続銀行強盗など、あまりにも多くの悪事を重ねた犯罪者には別途名前が付けられる場合がしばしばある。歴史をひも解いてみても、連続殺人犯が凶行に及んだ場所(例えば「ハイキング道の殺人者」を意味する「The Trailside Killer」)や、ギャングの特徴(例えば「ベビーフェイス・ネルソン」こと「"Baby Face" Nelson」)などから固有の識別名が与えられている。致命的な脆弱性やゼロデイ攻撃も同じというわけだ。 iSIGHT Partners(同社は、「Microsoft Windows」に対するゼロ
本講演では、shellshock(bash脆弱性)への対処事例をもとに、組織におけるセキュリティ事故発生リスクとその対処能力を評価する方法を述べます。ShellShockは、サーバから組み込み機器まで多数のシステムに影響を与えました。また、この脆弱性は、複数の脆弱性が重なったものであり、その対処方法や影響範囲も二転三転するものでした。このため、システム管理者は、最新の情報を把握に加えて、自身のシステムを正確に把握し、パッチ適用までの空白時間におけるリスク評価など、高度かつ適切な対処が求められました。本発表では、その対処事例の紹介と、その問題点・改善点を説明し、組織としての事故発生リスクや対処能力を把握する方法を説明します。Read less
ここではBashの脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。 関連情報 bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた 影響が及ぶケースの前提条件 対象のシステムでBashの脆弱性(CVE-2014-6271、CVE-2014-7169)が修正されていない 攻撃方法 方法 具体例 条件 能動的 ExploitをHTTPリクエストやメール等を使って送り付ける (参考)BASHの脆弱性でCGIスクリプトにアレさせてみました 攻撃者が対象へ直接接続可能 受動的 Exploitを仕込んだ罠ページを設置し攻撃対象に踏ませる (参考)ファイアウォール内の
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
ゼロデイが出るといつも大忙し。 特にリバースエンジニアリングの僕らの手が回らない状態です。 《一日目》 CVE-2014-6271(bash 0day)の発表後24時間以内にMalwareMustDieのチームメートから連絡があり、私が調査してマルウェア感染攻撃を発見しました。 https://t.co/CO9AOtHglO Shit is real now. First in-wild attack to hit my sensors CVE-2014-6271 #shellshock #bash ping @MalwareMustDie — Yinette (@yinettesys) September 25, 2014↑調査してくれっていう事で、当時自分は外出中でしたが危なそうだったので急いでPCを開いてバイナリーの分析調査を始めました。 「早く!早く!」とあちこちから催促するメッセ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く