セキュリティ対策の冗長性が、果たしてセキュリティの担保にどれぐらい役に立つんだろうなあ。 - 深淵

2015/02/09 18 users 深淵 担保 冗長性 セキュリティ Exim

2015-02-04 セキュリティ対策の冗長性が、果たしてセキュリティの担保にどれぐらい役に立つんだろうなあ。 俯瞰 「EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記」から始まる何かを見て。 gethostbyname関数を修正した方がはええよなあと思いました。まあ今回はupdateで済むわけなんですが。 何故それを入力値のバリデーションとかで回避しようとするのか意味不明... 続きを読む

GHOST脆弱性を用いてPHPをクラッシュできることを確認した | 徳丸浩の日記

2015/02/07 247 users 徳丸浩 PHP Exim 日記 libc

2015年2月7日土曜日 GHOST脆弱性を用いてPHPをクラッシュできることを確認した GHOST脆弱性について、コード実行の影響を受けるソフトウェアとしてEximが知られていますが、PHPにもgethostbynameという関数があり、libcのgethostbyname関数をパラメータ未チェックのまま呼んでいます。そこで、PHPのgethostbynameを用いることでPHPをクラッシュでき... 続きを読む

GHOST脆弱性を用いてPHPをクラッシュできることを確認した | 徳丸浩の日記

2015/02/07 247 users 徳丸浩 PHP Exim 日記 libc

2015年2月7日土曜日 GHOST脆弱性を用いてPHPをクラッシュできることを確認した GHOST脆弱性について、コード実行の影響を受けるソフトウェアとしてEximが知られていますが、PHPにもgethostbynameという関数があり、libcのgethostbyname関数をパラメータ未チェックのまま呼んでいます。そこで、PHPのgethostbynameを用いることでPHPをクラッシュでき... 続きを読む

EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記

2015/02/03 154 users Exim gethostbyname バリデーション 徳丸浩

2015年2月3日火曜日 EximのGHOST脆弱性の影響とバリデーションの関係 大垣さんのブログエントリ「GHOSTを使って攻撃できるケース」を読んだところ、以下のようなことが書いてありました。 1. ユーザー入力のIPアドレス（ネットワーク層のIPアドレスではない）に攻撃用データを送る。 2. バリデーション無しで攻撃用の不正なIPアドレスをgethostbyname()に渡される。 3. ヒ... 続きを読む

「 GHOST脆弱性勧告書の一部を翻訳」GHOST脆弱性の問題を緩和する要素について - タオルケット体操

2015/01/28 97 users タオルケット体操 res 要素 シカ 一部

2015-01-28 「 GHOST脆弱性勧告書の一部を翻訳」GHOST脆弱性の問題を緩和する要素について 翻訳 ネットワーク プログラミング つい数時間前に存在を知りました。 某ニュースサイトとかで「マジやべえ今すぐ対処しないと死ぬぞ」みたいなことを書かれていたので超焦っていたのですが、かくかくしかじかの理由で独自パッチの作成を検討するために https://www.qualys.com/res... 続きを読む

GHOST脆弱性にyum update glibc、その後リブートする前に - Qiita

2015/01/28 47 users SSH authorized_keys root glibc

CentOS7で遭遇したトラブル。 本日話題のGHOST脆弱性にyum updateでパッチを当てたところ SSHログインできなくなってしまった というものです。 root権限でyum update → もちろん成功 (この時点で /root/.ssh/authorized_keys が空ファイルになってしまったよう) リブートしてSSHで再ログインを試みる。公開鍵認証が通らない。 パスワード認証... 続きを読む