【備忘録】Let’s Encryptの更新

blog.honto.infoでは、証明書としてLet’s Encryptを使用しています。

こちらのLet’s Encryptは90日間で証明書の期限が切れる(結構早い)です。

更新前には、下記のようなメールが登録メールアドレスに届きます。

Hello,

Your certificate (or certificates) for the names listed below will expire in
20 days (on 20 Jun 18 08:36 +0000). Please make sure to renew
your certificate before then, or visitors to your website will encounter errors.

blog.honto.info

For any questions or support, please visit https://community.letsencrypt.org/.
Unfortunately, we can't provide support by email.

更新の方法は以下になります。

  1. 対象サーバでapacheを停止します。(systemctl stop apache2等)

  2. 対象サーバで以下のようにcertbotを使って証明書を更新します。

    certbot renew --webroot-path=/var/www/html --post-hook "systemctl restart apache2"
    
  3. opensslコマンドを用いて、証明書の期限を確認します。

    openssl s_client -connect blog.honto.info:443 < /dev/null 2> /dev/null |openssl x509 -text |grep Not
                Not Before: May 31 07:50:18 2018 GMT
                Not After : Aug 29 07:50:18 2018 GMT
    

これで、証明書が更新されている(2018/08/29まで)のがわかりました。

corosyncの脆弱性 ( CVE-2018-1084 )


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



04/12に、corosyncに関しての脆弱性情報 ( CVE-2018-1084 )が出ていました。遅くなりましたが、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

04/12に、corosyncに関しての脆弱性情報 ( CVE-2018-1084 )が出ていました。遅くなりましたが、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


Priority

Important

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-1084

    • 整数オーバーフローの脆弱性

    • 重要度 – Important

    • 2.4.4以前のcorosyncには、exec/totemcrypto.cに整数オーバーフローの脆弱性があります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

Bug 1552830 – (CVE-2018-1084) CVE-2018-1084 corosync: Integer overflow in exec/totemcrypto.c:authenticate_nss_2_3() function

セキュリティ系連載案内

Gitの複数の脆弱性 ( CVE-2018-11235, CVE-2018-11233 )


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



05/30に、gitに関して複数の脆弱性情報 ( CVE-2018-11235, CVE-2018-11233 )と更新バージョンが出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

05/30に、gitに関して複数の脆弱性情報 ( CVE-2018-11235, CVE-2018-11233 )と更新バージョンが出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


Priority

Important(CVE-2018-11235) / Moderate(CVE-2018-11233)

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-11235

    • gitサーバ上での任意のコマンド実行の可能性

    • 重要度 – Important

    • gitに、’git clone –recurse-submodules'(あるいは、”git clone –recurse-submodules”)を実行した際に、任意のコードの実行を許可する脆弱性が見つかりました。

      悪意のあるレポジトリは外部のレポジトリを示す.gitmodulesサブモジュール設定ファイルを含む事が出来ます。gitがそのようなレポジトリをcloneした際に、攻撃者に制御されているcloneされたサブモジュール内のフックに騙されることが有ります。

  • CVE-2018-11233

    • 任意のメモリ読み込みの可能性

    • 重要度 – Moderate

    • バージョン2.13.7、2.14.4、2.15.2、2.16.4、2.17.1より前のGitは、NTFS上でのパスのサニティチェックを行う際に任意のメモリを読み込んでしまう可能性が有ります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

[ANNOUNCE] Git v2.17.1, v2.13.7, v2.14.4, v2.15.2 and v2.16.4

Upgrading git for the May 2018 Security Release

A security vulnerability in Git that can lead to arbitrary code execution

Bug 1583862 – (CVE-2018-11235) CVE-2018-11235 git: arbitrary code execution when recursively cloning a malicious repository

セキュリティ系連載案内

Linux Kernelの脆弱性(CVE-2018-11506 (Medium), CVE-2018-11508 (Low))


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



05/28/2018にLinux Kernelの脆弱性情報(CVE-2018-11506 (Medium), CVE-2018-11508 (Low))が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こちらのサイトはoss.sios.comの引越し先が整理される前の仮の場所になります。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/28/2018にLinux Kernelの脆弱性情報(CVE-2018-11506 (Medium), CVE-2018-11508 (Low))が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



Priority

Moderate(CVE-2018-11506), Low(CVE-2018-11508)

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11506
    • ローカルユーザによるDoS(スタックベースバッファオーバーフロー)の可能性

    • 重要度 – Moderate

    • 4.16.12までのLinux Kernelのdrivers/scsi/sr_ioctl.c中のsr_do_ioctl()関数は、senseバッファーがCDROMレイヤとSCSIレイヤで異なったサイズを持つため、これを利用してローカルユーザがDoS(スタックベースバッファオーバーフロー)を引き起こす事が出来る可能性があります。

      こちらのkernelでの修正は以下のようになります。

      diff --git a/drivers/scsi/sr_ioctl.c b/drivers/scsi/sr_ioctl.c
      index 2a21f2d..35fab1e 100644
      --- a/drivers/scsi/sr_ioctl.c
      +++ b/drivers/scsi/sr_ioctl.c
      @@ -188,9 +188,13 @@ int sr_do_ioctl(Scsi_CD *cd, struct packet_command *cgc)
       	struct scsi_device *SDev;
       	struct scsi_sense_hdr sshdr;
       	int result, err = 0, retries = 0;
      +	unsigned char sense_buffer[SCSI_SENSE_BUFFERSIZE], *senseptr = NULL;
       
       	SDev = cd->device;
       
      +	if (cgc->sense)
      +		senseptr = sense_buffer;
      +
             retry:
       	if (!scsi_block_when_processing_errors(SDev)) {
       		err = -ENODEV;
      @@ -198,10 +202,12 @@ int sr_do_ioctl(Scsi_CD *cd, struct packet_command *cgc)
       	}
       
       	result = scsi_execute(SDev, cgc->cmd, cgc->data_direction,
      -			      cgc->buffer, cgc->buflen,
      -			      (unsigned char *)cgc->sense, &sshdr,
      +			      cgc->buffer, cgc->buflen, senseptr, &sshdr,
       			      cgc->timeout, IOCTL_RETRIES, 0, 0, NULL);
       
      +	if (cgc->sense)
      +		memcpy(cgc->sense, sense_buffer, sizeof(*cgc->sense));
      +
       	/* Minimal error checking.  Ignore cases we know about, and report the rest. */
       	if (driver_byte(result) != 0) {
       		switch (sshdr.sense_key) {
      
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11508
    • ローカルユーザによるkernel memoryからの情報取得

    • 重要度 – Low

    • 4.16.9までのLinux Kernelのkernel/compat.c中のcompat_get_timex()関数に問題があり、ローカルユーザがadjtimexを用いてkernel memoryから情報を取得できる可能性が有ります。

      こちらのkernelでの修正は以下のようになります。

      diff --git a/kernel/compat.c b/kernel/compat.c
      index 6d21894..92d8c98 100644
      --- a/kernel/compat.c
      +++ b/kernel/compat.c
      @@ -34,6 +34,7 @@ int compat_get_timex(struct timex *txc, const struct compat_timex __user *utp)
       {
       	struct compat_timex tx32;
       
      +	memset(txc, 0, sizeof(struct timex));
       	if (copy_from_user(&tx32, utp, sizeof(struct compat_timex)))
       		return -EFAULT;
       
      

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11506

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11508

セキュリティ系連載案内

【雑記】珍訳(2)

前回の珍訳だけれど、ちょっと試してみたら、文末にピリオド”.”(ドット)を入れると、訳が変わることが判明!!

まだ訳の中身は変だけど、少なくとも小泉さんから安倍さんにはなった(笑)

とりあえず、google翻訳の下の「フィードバックを送信」で問題点を報告してみた。

【雑記】珍訳

“cronyism”という単語を知らなかったので「Japan’s Shinzo Abe tipped to resign in June as cronyism scandals take toll 」という文章をGoogle翻訳にかけてみたら(笑)

OpenFlowの脆弱性(CVE-2018-1000155)


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



05/25/2018にOpenFlowの脆弱性情報(CVE-2018-1000155)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こちらのサイトはoss.sios.comの引越し先が整理される前の仮の場所になります。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/25/2018にOpenFlowの脆弱性情報(CVE-2018-1000155)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



Priority

Moderate

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000155
    • 境界外のmemcpyの可能性

    • 重要度 – Moderate

    • OpenFlow 1.0はOpenFlowハンドシェイク中に、DoSと不適切な認証に繋がる脆弱性を持っています。features_replyメッセージに含まれるDPID(DataPath Identifier)の信頼性はコントローラによって継承されますが、これがDoSやネットワークへの非認証のアクセスを生み出す結果になっています。この攻撃はネットワークが接続されている所から行われ、攻撃者は最初にOpenFlowコントローラと転送接続を確立し、OpenFlowハンドシェイクを初期化する必要があります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、アプリケーションの再起動が発生する場合には、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000155

セキュリティ系連載案内

Linux Kernelの脆弱性(CVE-2018-11412)


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



05/22/2018にLinux Kernelの脆弱性情報(CVE-2018-11412)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こちらのサイトはoss.sios.comの引越し先が整理される前の仮の場所になります。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/22/2018にLinux Kernelの脆弱性情報(CVE-2018-11412)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



Priority

Moderate

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11412
    • 境界外のmemcpyの可能性

    • 重要度 – Moderate

    • 4.13から4.16.11までのLinux Kernelのfs/ext4/inline.c中のext4_read_inline_data()関数は、system.data拡張属性の値を専用のinodeに格納している細工されたファイルシステムによって、信頼できない長さの値を持つmemcpyを実行します。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11412

セキュリティ系連載案内

【備忘録】Windows Subsystem for Linuxのデフォルトユーザ変更方法

Windows Subsystem for Linuxをインストールしてみたのですが、Debianをインストールした後にデフォルトユーザ名を間違えて登録したら後に戻れなかったので、変え方のメモ

コマンドプロンプトを開いて

C:\> debian config --default-user [新しいデフォルトユーザ名]

とすれば、デフォルトユーザを[新しいデフォルトユーザ名]に変更できます。

Wiresharkの脆弱性情報(CVE-2018-11354,CVE-2018-11355,CVE-2018-11356,CVE-2018-11357,CVE-2018-11358,CVE-2018-11359,CVE-2018-11360,CVE-2018-11361,CVE-2018-11362)


こちらのサイトはoss.sios.com/securityの引越し先が整理される前の仮の場所になります。



05/22/2018にwiresharkの脆弱性情報(CVE-2018-11354,CVE-2018-11355,CVE-2018-11356,CVE-2018-11357,CVE-2018-11358,CVE-2018-11359,CVE-2018-11360,CVE-2018-11361,CVE-2018-11362)の公開情報が追加されました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

05/22/2018にwiresharkの脆弱性情報(CVE-2018-11354,CVE-2018-11355,CVE-2018-11356,CVE-2018-11357,CVE-2018-11358,CVE-2018-11359,CVE-2018-11360,CVE-2018-11361,CVE-2018-11362)の公開情報が追加されました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.wireshark.org/security/wnpa-sec-2018-25.html
  • 関係するCVE

    • CVE-2018-11362
    • 影響するバージョン:2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

    • LDSS dessector クラッシュ

    • LDSS dessector がクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

  • https://www.wireshark.org/security/wnpa-sec-2018-26.html
  • 関係するCVE

  • 影響するバージョン:2.6.0

  • IEEE 1905.1a dessector クラッシュ

  • IEEE 1905.1a dessector がクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

https://www.wireshark.org/security/wnpa-sec-2018-27.html

  • CVE-2018-11355
  • 影響するバージョン:2.6.0

  • RTCP dissector クラッシュ

  • RTCP dissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

https://www.wireshark.org/security/wnpa-sec-2018-28.html

  • CVE-2018-11357

  • 影響するバージョン:2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

  • 過大なメモリ消費による複数のdissectorのクラッシュ

  • LTP dissectorやその他のdissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

https://www.wireshark.org/security/wnpa-sec-2018-29.html

  • CVE-2018-11356
  • 影響するバージョン: 2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

  • DNS dissectorのクラッシュ

  • DNS dissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

  • https://www.wireshark.org/security/wnpa-sec-2018-30.html
    • CVE-2018-11360
    • 影響するバージョン:2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

    • GSM A DTAP dissectorのクラッシュ

    • GSM A DTAP dissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

  • https://www.wireshark.org/security/wnpa-sec-2018-31.html
    • CVE-2018-11358
    • 影響するバージョン: 2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

    • Q.931 dissectorのクラッシュ

    • Q.931 dissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

  • https://www.wireshark.org/security/wnpa-sec-2018-32.html
    • CVE-2018-11361
    • 影響するバージョン:2.6.0

    • IEEE 802.11 dissectorのクラッシュ

    • IEEE 802.11 dissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。

  • https://www.wireshark.org/security/wnpa-sec-2018-33.html
    • CVE-2018-11359
    • 影響するバージョン:2.6.0, 2.4.0 to 2.4.6, 2.2.0 to 2.2.14

    • 複数のdissectorのクラッシュ

    • RRC dissectorやその他のdissectorがクラッシュすることがあります。これにより、悪意のあるユーザが不正な形式のパケットを挿入したり、不正な形式のパケットトレースファイルを読み込ませることにより、Wiresharkをクラッシュさせることが可能です。



    対処方法

    各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

    また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

    セキュリティ系連載案内