bash の危険な算術式 - どさにっき
■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し
どさにっき 新春恒例 BIND 祭
■ 新春恒例 BIND 祭 _ 脆弱性まとめて4件とか、今年も BIND は絶好調だなぁ。 2013、 2014、 2016と、1月の脆弱性はこの5年で4回目。ある意味いつもどおり。 _ BIND の脆弱性が公開されるタイミングの研究は かなり進んでて、ぶっちゃけ今回も数日前から確実視されてた(今回は、ではなく今回も)。具体的な内容は不明なものの、出るのは間違いなく、それが明日になるかあさってになるか、という程度。だいたい日本時間の夜中から明け方ぐらいの時間帯に公表されるので、朝イチで確認しにいって、今朝になってああやっぱり出たね、って感じで以後淡々といつもの流れをこなす感じ。もうバレバレなんだから、いっそ事前に予告しておいて、その数日後に詳細公開という流れにした方がいいんじゃないですかねぇ。openssl なんかは実際にそういうフローで脆弱性公開してるし。その方が更新作業のスケジュールを
どさにっき BIND 夏祭
■ ビーナスライン _ 暑いので山へ避暑に。ヒザの具合がなんだかあやしいので、山登りはやめて車だけで。ビーナスラインで霧ヶ峰から美ヶ原へ。すばらしくよく晴れて下界だとクソ暑かろう陽気だけど、山の上では軽く汗ばむ程度でたいへんよろしい。 _ で、車で走るだけじゃあれなんで、やっぱり外に出てうろうろ歩きまわったりもするんだけど、カメラ忘れてきた。あれー。そういえば最近使ってなかったけどバッグの中にもう1台入れっぱなしだったなと思い出してひっぱりだしてみたら、ついてるレンズが中望遠の単焦点だった。こういうところではひじょーに使いづらい。まあないよりマシか。 _ そんなわけで、車山だの八島湿原だの美ヶ原だのを歩きまわってみたり。美ヶ原のアンテナ群をはじめて見たときはこんな山のてっぺんに無粋なもの作りやがって、といい気はしなかったんだけど、何度も来て見慣れるうちに、むしろ今の倍ぐらいアンテナあっても
ファイルアップローダーのセキュリティ: どさにっき
2015年5月2日(土) ■ ファイルアップローダーのセキュリティ _ 徳丸さんとこ。 Apacheの多重拡張子にご用心。 ファイルのアップロードは、実は簡単ではないととらえるべきだと思います。 アップロード自体は難しくもなんともないよね。アップロードしたファイルをダウンロードさせるのであれば気をつけなきゃいけないことはたくさんあるけど。 _ ファイルをダウンロードさせるためのスクリプトなのであれば、アップロードだけじゃなくてダウンロードの部分まで面倒を見るべき、つまり推奨されてるとおり、対策の (3)(4) が正道だと思う。 _ が、たとえば、プログラムを1ビットも書かなくても、WebDAV という仕組みを使えばファイルのアップロードやら削除やらは好き放題できる。でも、DAV でもファイルのダウンロードは素の HTTP の GET を使うので、DAV が有効な場所でスクリプトが実行可能に
どさにっき
2014年11月21日(金) ■ 逆引き shellschock _ きのうの dnsops BoF で発表してきました。 資料置いときます。 _ スライドに書いてないこと、当日話さなかったことについていくつか補足。 こういう危険な文字をリゾルバがどのように扱うべきかの規定は、探したかぎりでは見つからなかった(たぶんどこにも規定されてないと思うんだけど確証はない) BIND8 のコードは 4.9.7 にバックポートされ、BIND4 も最終的にはサニタイズ処理するようになった つまり、OpenBSD はバックポート以前のコードをずっと保守している OpenBSD については近所のコミッターさんに直接報告済み courier については開発者にメールで報告済み _ OSX や OpenBSD、Windows などのリゾルバが脆弱だとはいえないと思う。glibc など BIND8 由来のコードは
野良キャッシュ DNS - どさにっき
2012年5月1日(火) ■ 無題 _ 八代から球磨川をさかのぼり、噴火がヤバい霧島を越えて桜島へ。そしてフェリーで鹿児島に渡り、指宿に向かう途中の道の駅まで。 _ 今日も朝は天気がよかったんだけど、だんだん曇ってきて日が落ちるころにはとうとう雨に。そして晴れていた朝は球磨川沿いにある球泉洞という太陽とは無縁の鍾乳洞の中。貴重な晴れの時間をなんともったいない。そしてふたたび手ぶれ写真を量産するの巻。高感度に強いカメラと明るいレンズを下さい。 _ 新燃岳の火山活動が続いてるのは知ってたけど、最近はあまりニュースにもならないので平気かなと思いこんでた。が、やっぱり甘いね。だいたい半径 5km 以内は車道・登山道が通行止めになってる。山歩きすることも考えてたんだけど、やめておいた。まあ、通行止めの影響よりもガスってて視界が効かなかったという理由の方がずっと強いんだけど。霧島はツツジの名所のはずな
どさにっき - DNSSEC スプリングフォーラム
2012年4月25日(水) ■ DNSSEC スプリングフォーラム _ そんなわけで、早口でまくしたててきました。わかりにくかったと思います。ごめんなさい。資料はそのうちしかるべき場所で公開されるんじゃないかな。 _ ああいう場に立ったけれども、自分個人としては無理に DNSSEC やらんでもいいんじゃね、という立場。どーしても必要だと思ったところがやればいいことであって、しょーもない用途にしか使ってないドメインまで、あるいは別の方法で安全性を確保できるドメインまで DNSSEC で守る必要はないと思ってる。.se や .cz が DNSSEC 対応ドメインに対してインセンティブを与えて普及を促進してるという話があったし、.jp もそういうことやらないの、という質問も出たけど、そこまでして普及させる必要はないんじゃないかなー。あくまでも、とりうる選択肢のひとつでしかない、という認識。 _
Apache CVE-2012-0883 - どさにっき 2012年4月18日(水)
2012年4月14日(土) ■ BIND + SoftHSM _ 雨ってイヤね。 _ SoftHSM をインストール。手順略。 _ openssl の pkcs#11 engineをインストール。freebsd なので ports/security/engine_pkcs11 を入れるだけ。テスト。 % openssl engine dynamic -pre SO_PATH:/usr/local/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/local/lib/libsofthsm.so -t (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/local/lib/engine
ルートサーバをでっちあげよう - どさにっき
2012年2月22日(水) ■ Apache 2.4 正式リリース _ 2.4.1 出た。…2.4.0 は? _ しばらく前からリリースされそうな気配が見えてたので、うちのサーバも 2.3 の最終版で設定のテストをしておこうかと思ったんだけど、間に合わずリリースが先になってしまった。ずいぶん前から評価目的ではいろいろいじってたので、とくにとまどうことなく移行できる目算はついてはいるんだが。このところなんか時間が取れないな。仕事は(いつもどおり)あまりしてないのになんでだろ。まあ、本気でやろうと思えばこの程度の作業に使う時間ぐらいは確保できるので、その程度のやる気しかないってことだが。 ■ ルートサーバをでっちあげよう _ global blackout の件、なんか Anonymous は おれ知らねーとか言ってるし、落とすの無理っしょ、とかいう 記事に対して いい指摘だとか言ってる。わし
cookie monster - どさにっき
2011年9月21日(水) ■ 帰宅難民 _ 3.11 のときはうちで寝てたから関係なかったんだけど、台風でひっかかるとは。早々と 15:30 に退勤して、帰宅したのは22時過ぎ。タクシー待ち3時間+タクシー2時間で2駅分しか進まないとかかなりヒドい。その2時間の間に電車が動きだして、タクシーなんか待たずに駅で雨宿りしてた方が早くてよけいな出費せずに済んだ。タクシー待ってる間に長傘が壊れて折り畳み傘も壊れたので買い直さないといけないし。雨が降ってなければ歩くのも厭わないんだけどねぇ。傘が壊れてパンツまでずぶ濡れで震えてたのに歩くというのはさすがにありえなかった。 _ 東京の人間は助け合いの精神が足りん。タクシーを待ってる人はどーせみんな同じ沿線に住んでる人ばっかりなんだから、ご近所さん探して相乗りすればいいのに。来ないタクシーを待つ時間が短くなるし割り勘できて安上がりなのになんでひとりで乗
8.8.8.8 が速くなった - どさにっき
2011年9月11日(日) ■ 9.11 _ 今日で震災から半年というのもそうなんだけど、9.11 テロから10年でもあるんだよな。10年前、生まれて初めての海外行きでその前日に US 入りしてヒドい目にあった。行き先はテロの攻撃があったところからかなり離れてて直接なにかあったわけじゃないけど、それでも予定していたことがまったく何もできなくなって、空港が再開するまでの間ホテルで CNN を見る以外なにもすることがなかった。おかげで evacuate という単語を覚えた。CNN で The Whitehouse is evacuated. The FBI is evacuated. てなテロップがずっと流れ続けてたのが強烈に記憶に残ってる。 _ あ、10年てことは、パスポートの有効期限切れてんじゃん。2回しか使ってない。 2011年9月12日(月) ■ 無題 _ 震災から半年経ち、9月も半ば
どさにっき - Apache killer
2011年8月21日(日) ■ Lion _ 天気が悪くて避暑に出かける必要ないほど涼しいので、世間より1ヶ月遅れて Snow Leopard から Lion にアップデートした。がおー。なんかあんまり変わった気がしない。おしまい。 _ …いや、まあ、もちろん変わった部分もあるんだけど、半日使った程度では見た目以外には Expose と Spaces が統合されたぐらいしか違いを感じるところはほとんどなく。アップデートはうちに2台ある Mac のうちとりあえず1台だけにしておいて、しばらく Lion を使って問題なければもう1台も移行する予定。 _ ところで、TimeMachine を使うにあたって要求される AFP (netatalk) のバージョン下限が上がったようなんだけど、これによるメリットって何かあるんだろうか。やることはこれまでと大して変わってないように見えるんだが、それなのに
特定パターンを無視して diff する - どさにっき
2011年5月23日(月) ■ O157 と O111 の関係 _ 食中毒事件が起きたのはだいぶ前だが今さら。 _ O157 やら O111 やらが8進数に見えた。ので、ためしに 8進の 0157 を10進数に変換してみた。 _ !! % echo "ibase=8; 157" | bc 111 ということで、O157 と 111 は同じもののようです。 ■ 亀の踊らせかた _ v6 での接続性に問題がないかみんなで検証しようぜ、という主旨のイベント World IPv6 Dayまであと半月。たいていは v6 化(正確にはデュアルスタック化)しても問題は起きないはずだけど、「たいてい」に含まれないユーザが少なからず出てくるかもしれない(まったくいないことが確実ならそんなイベントをやる必要はない)。 _ で、そんな影響が出たユーザがいたとして、その人が v4/v6 のどっちでつながってたのか
ぷららオーバーブロック - どさにっき
2011年5月12日(木) ■ ぷららオーバーブロック _ 大手のニュースサイトではほとんど記事になってないなぁ。「 ネット接続を遮断する「ブロッキング」、対象外のサイトまで閲覧不能に、ぷらら」というこれだけ? ニュースサイト以外では ここの 2ch まとめぐらいか。 _ 大手 ISP では 4/21から児童ポルノのブロックがはじまっているんだけど、ぷららだけはそれ以前からユーザの同意を得てエロコンテンツとかをブロックする 独自サービスをやってたわけね。で、何をやらかしたのか、ぷららの内部でこの両者がごっちゃになってしまったらしく、ぷらら独自サービスを申し込んでいない人が独自サービスの規制にひっかかった挙句、そのときに表示されるのは独自サービスの規制画面ではなく、各 ISP でやってる児童ポルノブロックにひっかかったときの規制画面というカオスなことになってしまった、ということらしい(現場に
どさにっき
2011年3月3日(木) ■ 無題 _ qmail 512バイト問題の件、JPRS からも アナウンスが出ましたな。 _ この問題は DNSSEC によって発現しやすくなったけれど、DNSSEC が原因ではないので念のため。あくまで qmail の側のバグで、DNSSEC をやってないサイトにメールを送るときでも条件さえ揃えば起きる。たとえば、microsoft.com や apple.com は DNSSEC 未対応だけど、どちらも ANY で512バイト以上返すので未パッチの qmail ではメールを送れないはず。とっととパッチを当てるか qmail 以外に乗り換えてくださいまし。 ■ 続・v6 逆引き _ IPv6の逆引き設定は必要か? したがって、全部とはいいませんが、必要なホスト(/128)を個別に設定し、割り当てられたブロック/64とか/48全体に対しては同じ応答を返すように*
st とか ly とか
2011年2月21日(月) ■ st とか ly とか _ うちで使っている .st という TLD って DNSSEC 対応するつもりあるんだろうか、と調べてみたんだけど、どうなんだかわからんかった。それはともかく、調べてるうちにサントメ・プリンシペという国についてまったく何も知らないことに今さらながら気がついた。 _ 島国だというのは知ってたのでカリブ海あたりの中米の小国かなと思ってたんだけど、ぜんぜんそうではなく、西アフリカらしい。で、 ここを見てみると、サントメ・プリンシペに割り当てられた IPv4 アドレスの数は、ゼロ…。なんつーか、いろいろ申し訳ない気持ちになった。.st ドメインって実はけっこう高いんだけど(取得したときは酔ってたのでそんなことはぜんぜん考えてなかった)、このうちどのくらいの額がスウェーデンのレジストリ運営会社にピンハネされることなくサントメ・プリンシペ本国に
qmail はオワコン - どさにっき
2011年2月1日(火) ■ ちょっとトイレットペーパー買い占めてくる _ 一般向けの記事も出てるぐらいなんで別にいまさら書く必要もない気がせんでもないが、自分が後で思い出したくなったときのためにメモ。 _ ipv4 がめでたく売り切れました。厳密にはまだ /8 が5個残ってるけど、これは RIR に自動的に分配される分なので、おばちゃんおかわり、と言ってもごめんねーごはんもうないんだわ、となる。 _ 最後のおかわりは、大方の予想どおり APNIC に2ブロック。この APNIC の在庫も年内には枯渇するはず。ほとんど中国が使っちゃうのかなー。 _ 2003年8月の記事。 RIR exhaustion of the unallocated address pool would occur in 2022. 2003年の時点で、RIR の枯渇が2022年の予想。文中では言及されてないけど、
どさにっき
2011年1月1日(土) 元日 ■ 謹賀新年 _ 正月なので餅を焼いてみた。車内で。 _ いやはや元旦からまたすごい雪だこと。早朝はそれほど降ってなかったんだけど9時過ぎぐらいから激しく降りだした。一年の計は元旦にあり、という言葉を思い出してしまって、ああ、今年のわしはこんな見通しが暗いのか、などとよけいなことを考えてしまった。昼前にはすっかりやんで、それからしばらくするうちにあっとゆーまに解けてしまったんだけどね(解けたのではなく、わしの移動先がもともと降ってなかっただけなのかもしれんが)。 _ 正月なので、初詣。高千穂神社と天岩戸神社。ここに辿りついたころにちょうど雪がやんだのだが、そうでなければ「無事帰れますように」などというどうしようもないお願いをするところだった。 _ 九州を無事横断して太平洋まで出てくると、さっきまで雪が降ってたのがウソみたいに晴れて暖かい。うん、こういうのを求
どさにっき
2010年12月1日(水) ■ CNAME の間違った使い方 _ なんかわかりにくい書き方してるけど、よーするに CNAME を使うなら同じレコードに A とか MX とか SOA とかを共存させちゃダメ、ということ。まったくもって正しい。 _ 正しいんだが、ライブドアよ、おまえがゆーな。 _ ライブドアの独自ドメインブログが公然とRFC違反してる?この質問に対して「問題ないよ」という回答が出てるけど、これは回答者の誤りで、alfalfalfa.com というレコードにはとーぜん SOA や NS が存在してるので、さらに加えて CNAME を設定するのは明らかに違反。答える人が質問者よりレベルの低い Q&A サイトって…。 _ 2chのスーパーハカー様方は正しく即レスしてるようだ。 _ 初心者ではよくある間違いだけど、でもサービスとして他人に売ってるところでこれをやっちゃいかんだろ。上で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
どさにっき サブシェルはイヤだ