[B! security] t-tanakaのブックマーク

xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita

本記事は4月3日21:30︵JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。本記事には誤りが含まれている可能性があります。新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。事実は～です。～であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。概要問題の

t-tanaka 2024/04/02

security

リンク

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。脆弱性の概要xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

t-tanaka 2024/04/01

OSS全体を揺るがす大事件。コントリビュートする人の身元調査をする負荷まで抱えこんでしまったら，多くのプロジェクトが頓挫しかねない。

security

リンク

Debianプロジェクト、バックドアが発見されたXZを悪意の改変を含まない過去のバージョンまで戻すことを検討 | ソフトアンテナ

2024年3月29日、圧縮ユーティリティ﹁xz-utils﹂にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。この情報によると、バックドアを追加したとされるxzのメンテナJia T

t-tanaka 2024/03/31

id:tmatsuu やり過ぎではないです。JiaT75の活動の洗い出しが各所ですすんでますが，きな臭い話がどんどん出てきてます。彼および彼のサブアカウントの全更新を全てのOSSから取り除くべきです。

security

リンク

xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。︵SBOMの話、VEXの話はこちら︶。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。︻04/01/2024 09:45更新︼情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、﹁xz –version﹂を実行するのもだめという話

t-tanaka 2024/03/31

なんか，どんどん話がきな臭くなってる。JiaT75は，自身のLinkedInでカリフォルニア在住と言っているが，Commitログから彼がUTC+8のTZで活動していることが判明しており，中国だ……とか。 ●security

リンク

Ken Thompsonの(loginへの)トロイの木馬の現代(open-ssh)版 - 間違いだらけの備忘録

security.sios.jp xzのtarボールで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファイルを抽出します。このファイルは、liblzmaコード内の特定の関数を変更するために使用されます。難読化してテストで入れ込むの手が込んでるな。そして良く見付けたなという感でじっくり見ていったら。 postgresqlのmicro-benchmarkしてたところ, username間違えてログインしてるのにsshdがCPU使いすぎだな?ということで気がついたみたい… なんだと？ mastodon.social Saw sshd processes were using a surprising amount of CPU

t-tanaka 2024/03/31

security

リンク

xz-utils backdoor situation (CVE-2024-3094)

xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is still a new situation. There is a lot we don't know. We don't know if there are more possible exploit paths. We only know about this one path. Please update your systems regardless. This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything abo

t-tanaka 2024/03/30

CVE-2024-3094。xzユーティリティにバックドアが仕掛けられていた。

security

リンク

広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ

Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール﹁xz﹂の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。悪意のある変更は難読化され、バ

t-tanaka 2024/03/30

うぎゃあ，手元のMacにも5.6.1がbrewではいってる。brew upgradeで5.4.6になったけど，すでにアウトかしら？

security

リンク

LINEヤフー､総務省も呆れ果てた｢変わらぬ体質｣

﹁行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう﹂総務省は3月5日、SNS﹁LINE﹂や検索サービス﹁Yahoo! JAPAN﹂などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。 LINEヤフーは2023年9～10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の﹁通信の秘密﹂の漏洩に当たると判断した。具体的な指導項目として、LINEヤフーの親会社に50％出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを

t-tanaka 2024/03/15

LINEは，日本人の大多数が使う通信インフラになってしまったからなあ。そんな会社に韓国資本が半分入っていることに，安全保障的な危機感も持っているんだろうなあ。

security

リンク

“AIワーム”ついに登場──ChatGPTとGeminiの複数のセキュリティを突破する

t-tanaka 2024/03/15

よく考えるなー。

ai
security

リンク

中国出張でPCは“肌身離さず”でなければいけない、なぜ？

中国出張でPCは“肌身離さず”でなければいけない、なぜ？‥世界を読み解くニュース・サロン︵1/5 ページ︶2月上旬から、筆者は取材のためにイスラエルとパレスチナ自治区ガザ周辺を訪問した。その取材で知り合った外国人記者が、現場で重そうなバックパックを背負っていたので話しかけると、﹁海外出張は多いけど、どこに行ってもPCなどデジタルデバイスは怖くてホテルに置いておけないんだ﹂と言う。実はサイバーセキュリティやインテリジェンスを取材・研究している筆者も、その﹁習性﹂は同じだ。どこへ出張に行ってもPCなどは常に持ち歩いている。そして最近、そんな習性が正しかったことを改めて確認させられる情報が飛び込んできた。ある日本政府関係者が言う。﹁まだ公表されていないが、昨年、中国に出張に行った中央省庁の職員3人が情報窃取工作の被害を受けたとして最近話題になっている﹂その話を詳しく聞いていくと、手口は非

t-tanaka 2024/02/23

PC本体に物理的に接続されてしまうと，PCにどんなセキュリティ対策を行っていても役には立たない。

security

リンク

鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃　シンガポール国立大「SpiKey」発表

この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi

t-tanaka 2024/02/13

原理的に，この攻撃が可能なのはピンが1列に並んでいるタイプの鍵のはず。最近のまともな鍵は2列以上の場合が多いので現実的ではない。

security

リンク

パスキーに入門してみた話 - Qiita

久しぶりの投稿です。はじめに昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。パスキーとは？パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。次世代認証技術であるFIDO︵Fast IDentity Onlineの略で、﹁ファイド﹂と呼びます︶を使った認証方式︵詳細は後述︶で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは？脆弱なパスワードは安全ではありません。2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻

t-tanaka 2023/12/05

security

リンク

生徒用アカウント一覧表を盗み撮りして行われた不正アクセスについてまとめてみた - piyolog

2023年9月22日、津山市教育委員会は市内の公立中学校で教員が保管していたアカウント一覧表を不正に入手した生徒が他の生徒の授業用タブレットに不正アクセスを行っていた事案が発生したと発表しました。ここでは関連する情報をまとめます。サポートのため教員が一覧表を教室へ持参津山市公立中学校の生徒2名が不正に入手した生徒用Googleアカウント一覧表に記載された情報を元に、別の生徒8名のアカウント（授業用タブレット）に不正アクセスを行っていた。生徒らは授業に使用するタブレットに保存された動画（体育、音楽の授業の様子を撮影したもの）の閲覧やダウンロードを行ったり、タブレットのホーム画面の壁紙変更を行ったりしていた。*1 不正閲覧した生徒は、興味本位やからかい目的で行ったと学校の聞き取りに答えている。生徒用Googleアカウント一覧表は1クラス約30名分の情報を記載したもので教員が管理を行ってい

t-tanaka 2023/09/26

教師がアカウントとパスワードの一覧が印刷された紙を作成し，教室で一時的に放置した，と。これ，不正アクセス問題じゃないだろ。情報漏洩問題だ。悪いのは教員の方。

security

リンク

Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も

印刷するメールで送るテキスト HTML 電子書籍 PDF ダウンロードテキスト電子書籍 PDF クリップした記事をMyページから読むことができます Javaアプリケーションフレームワーク﹁Spring﹂において、サーバーレス実行環境の﹁Spring Cloud Function﹂で脆弱性が報告された。これとは別に﹁Spring Framework﹂コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された﹁SpEL﹂によって、ローカルリソースへのアクセスを許容してしまう脆弱性︵CVE-2022-22963︶が存在する。この脆弱性を修正したSpring Cloud Funct

t-tanaka 2022/03/31

リンク

GitHub - proferosec/log4jScanner: log4jScanner provides the ability to scan internal subnets for vulnerable log4j web services

t-tanaka 2021/12/23

こういうツールが出回るのは仕方がないが。これは攻撃には使えても防御には使えない。ネットで接続できないシステムでも攻撃が可能。それが今回のCVE-2021-44228の本質的なやばさ。これでは見つけられない穴がある。

リンク

Log4J問題で明るみになった「ボランティア頼み」の危うさ

世界中で広く使われているオープンソースのログ収集ソフト﹁Log4J﹂の深刻な脆弱性をめぐって、開発者が対応に追われている。インターネットの運用を支えるほど重要な存在であるにもかかわらず、オープンソース・ソフトウェアは無報酬の労働にほとんど頼っている状況だ。 by Patrick Howell O'Neill2021.12.21 133 45 8 ヴォルカン・ヤズジュは今、1日22時間タダ働きをしている。ヤズジュは、さまざまなタイプのソフトウェア内部のアクティビティを記録するオープンソース・ツール﹁Log4J﹂プロジェクトのメンバーの1人だ。Log4Jは、アイクラウド︵iCloud︶からツイッターに至るまでさまざまなアプリケーション、つまりインターネットを構成するかなりの部分を機能させるのに使われている。ヤズジュと彼の同僚は現在、数十億台のマシンを危険にさらしている極めて深刻な脆弱性に対処

t-tanaka 2021/12/22

なんか，OpenSSLのHeartbleedのときとおんなじこと言ってるな。

security
OSS

リンク

20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則

はじめに皆さんこんにちは．3回生のらん︵@hoshina350︶です．文字列マッチングに便利な正規表現ですが，テキトーに書くと脆弱になり得るという情報を耳にしてから色々と原因や対策を調べていました．しかし，多くの記事で紹介されていた対策方法は，﹁独自の正規表現を使用しないー﹂とか﹁ * や + などの繰り返し表現はなるべく使わないー﹂とかいうなんともふわっとしたものでした．これでは﹁いやぁ確かにそうなんかもしれんけど…そうゆう訳にはいかんやんか…﹂と納得できません．つまり，﹁本質的に何が問題﹂で，﹁具体的にどんな特徴のある正規表現が脆弱になり得るのか﹂を知りたい訳です．そこで，様々な文献を調査してみました．本記事では調査して溜まった知見を紹介していきます．本記事は， Purdue大学のJames Davis教授による “The Regular Expression Denia

t-tanaka 2021/12/21

リンク

Oracle Security Alert Advisory - CVE-2021-44228

Description This Security Alert addresses CVE-2021-44228, a remote code execution vulnerability in Apache Log4j. It is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password. It also addresses CVE-2021-45046, which arose as an incomplete fix by Apache to CVE-2021-44228. Due to the severity of this vulnerability and the public

t-tanaka 2021/12/12

Oracle評価では，CVSS Base Scoreは10.0。でました，満点。

リンク

Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO

AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール﹁Log4JRCE﹂が追加されました。 Apache Log4j2 Issue (CVE-2021-44228) Log4j の脆弱性(CVE-2021-44228)対策として、AWS WAFの有効性を確かめる機会がありましたので、紹介させていただきます。 AWS Managed Rule Known bad inputs 新しいルール﹁Log4JRCE﹂が追加されました。試してみた WAF(ACLs)設定 AWSManagedRulesKnownBadInputsRuleSet のみ設定した WebACLを用意しました。 BadInputsRuleSetのバージョンはデフォルト、検証

t-tanaka 2021/12/11

form-urlencodedされてても遮断してくれるんだろうか。

リンク

cve-details

Red Hat legal and privacy links About Red Hat Jobs Events Locations Contact Red Hat Red Hat Blog Diversity, equity, and inclusion Cool Stuff Store Red Hat Summit © 2024 Red Hat, Inc. Red Hat legal and privacy links Privacy statement Terms of use All policies and guidelines Digital accessibility

t-tanaka 2021/12/10

CVSS v3 Base Score 9.8。ほぼ上限いっぱいいっぱい。ですよねー。 ●Java ●security

リンク

はてなブックマーク

タグ

関連タグで絞り込む (78)

securityに関するt-tanakaのブックマーク (458)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス