ブログ

    発行
     
      • Symantec Backs Its CA

        Oct 20 2017, 8:41 PM

        作成者 : connect 0

        The below has been updated to ensure translation accuracy.

        Symantecは業界をリードする認証局の一つであることを誇りに思っています。私たちはGoogle社がChromeブラウザにおいてSymantec SSL/TLSサーバ証明書をターゲットとして行なうアクションに強く反論します。この行為は想定外のものであり、かつブログに書かれた内容は無責任なものであると考えます。私たちは、この行為がSSL/TLSサーバ証明書に対するインターネットコミュニティの不確かな状況や不信感を生じさせるために行われたものではないことを願います。

        私たちの証明書発行業務ならびに過去の不適切な発行の影響範囲に関するGoogle社のステートメントは誇張されており、誤解を生じさせるものです。例えば私たちが3万枚の証明書を不適切に発行したとするGoogle社の主張は事実ではありません。Google社が言及する事象では、3万枚ではなく、127枚の証明書が不適切に発行されましたが、消費者に被害は及んでいません。私たちはこれらの状況を是正するために広範な救済措置を執り、問題に関わったパートナーのRegistration Authority(RA)としての認定を即時終了し、またSymantecのSSL/TLSサーバ証明書の信頼を強化するためにRAプログラムの終了を発表しています。この管理の強化は非常に重要なものであり、他のパブリック認証局が未だ追従できていないものです。

        あらゆる大手認証局がSSL/TLSサーバ証明書の不適切な発行という事態を経験している中、Google社はブログの中でいくつかの認証局における問題の存在を指摘しつつ、Symantecの認証局のみを提案の対象としています。

        私たちは業界標準に従って認証局を運営しています。私たちはSSL/TLSサーバ証明書の発行業務に対する厳格なコントロールを維持しており、認証局としての業務内容を継続的に強化しています。私たちはこれまでにインターネットのセキュリティに対して多大な投資を行い、今後も同様にコミットしていきます。Symantecは公にかつ積極的にSymantec証明書のCertificate Transparency(CT:証明書の透明性)へのログの登録を推進しており、自らCTサーバーを抱える数少ない認証局の一つです。Symantecは、Certificate Authority Authorization (CAA:認証局の指定)の推進者であり、CA/ブラウザフォーラムにすべての認証局がCAAの遵守をするようルールの変更を働きかけてきました。直近では、私たちが作り出したフリーミアムプログラムであるEncryption Everywhereが、暗号化されたウェブサイトの広範囲な拡大を促進し、認証局のエコシステムに対して貢献しています。

        Symantecのお客様および消費者の皆様には、シマンテックSSL/TLSサーバ証明書が引き続き信頼してお使いいただけますことを確認させて頂きます。Symantecは、Google社のブログ記事の提案によって引き起こされ得る混乱があったとしても、安全で生産的なインターネットの利用を精力的に守ります。

        私たちはGoogle社と共通の顧客とパートナーの利益の為に、この件の解決に向けてGoogle社と話し合いを持つ準備が出来ており、進んで議論を行います。

        • Products
        • DigiCert Complete Website Security
        • Products and Solutions
        • Symantec Website Security
      • OSコマンドインジェクション脆弱性(CWE-78)の解説

        Oct 20 2017, 9:16 PM

        作成者 : Masato Hayashi 0

        このブログではウェブサイトやその上で動作しているウェブアプリケーションの脆弱性について紹介すると共に注意喚起をする目的でまとめられています。

        今回は、最近著名CMSの脆弱性として情報漏えいを起こした原因としてニュースをにぎわしており、Webアプリケーションの脆弱性の中でも最も危険度の高いOSコマンドインジェクションについて解説をしています。

        ※なお、内容に関しましてはHASHコンサルティング株式会社の徳丸 浩様に監修いただいています。

        +++++++++++++++++++++++++++++++++++++++++++++++

        OSコマンドインジェクション脆弱性(CWE-78)

        ■概要

        Webアプリケーションの中には、機能の実現のために外部コマンドを呼び出すものがあります。また、多くのアプリケーションでは、メール送信の機能をsendmailコマンドの呼び出しで実現し、外部からのファイルダウンロードをwgetやcurl等のコマンド呼び出しにより実現する場合もあります。

        外部コマンドにパラメータを渡して呼び出している場合、パラメータを巧妙に細工することにより、開発者が意図しない別のプログラムを呼び出せる場合があります。これにより悪意のあるコマンド呼び出しを行う攻撃がOSインジェクション攻撃です。また、OSコマンドインジェクション攻撃を許す状況をOSコマンドインジェクション脆弱性と言います。

         OSコマンドインジェクションはソフトウェアの脆弱性として継続して報告されており、サイト改ざんなどの攻撃に悪用されています。

        ■攻撃のイメージと影響

         Webアプリケーションで利用者登録の際にメールアドレスを登録してもらい、そのメールアドレスに対して通知メールを送信している場合を想定します。以下のPerlスクリプトで$mailは、利用者が入力したメールアドレスです。

        system(“/usr/sbin/sendmail $mail < /var/data/message.txt”);

        ここで、$mail = “test@example.jp; cat /etc/passwd” と外部から指定された場合、生成されるコマンドは以下の通りです。

        /usr/sbin/sendmail test@example.jp; cat /etc/passwd < /var/data/message.txt 

         コマンド中のセミコロン「;」は、2つ以上のコマンドを続けて実行する際の区切り文字なので、上記コマンド呼び出しにより/etc/passwdの内容を表示する結果となります。この他、様々なコマンド呼び出しが可能です。

        ■脆弱性による影響

         この脆弱性による影響の例として下記がありますが、これらに限りません。OSコマンドインジェクション攻撃を受けると、サーバが乗っ取られた状態になり、最悪の場合はサーバ内部からの脆弱性攻撃により、root権限を奪取される可能性があります。

        • サーバ内のファイルの閲覧、書き換え、削除
        • 不正なシステム操作(ユーザアカウントの追加、変更、その他)
        • 不正なプログラムのダウンロード、実行
        • 他のサーバーへの攻撃(踏み台)

        ■脆弱性の有無の確認方法

         OSコマンドインジェクション脆弱性の有無の確認は、ソースコードを確認する方法が確実です。system、exec等外部コマンドを呼びだすことのできる関数名やメソッド名を検索して、該当箇所を目視で確認します。

         あるいは、ネットワーク経由の手動診断で脆弱性の有無を検証することもできます。この場合、独立行政法人情報処理推進機構(IPA)が公開している「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に診断の方法が説明されており、参考になります。

        ■対策

         OSコマンドインジェクション脆弱性はアプリケーションのバグなので、アプリケーション改修による対策が基本です。外部コマンドを使わないで同じ機能を実現できる場合は、外部コマンドを呼ばない実装の方が安全で効率も良くなる場合が多いです。どうしても外部コマンドを使用する必要がある場合は、シェルを経由しないコマンド呼び出しの方法を採用します。詳しくは「安全なウェブサイトの作り方」等の参考資料を御覧ください。

        なお、「シマンテック クラウド型WAF」では、OSコマンドインジェクション脆弱性からウェブサイトが攻撃を受けるのを防ぐことができます。

        ■参考文献

        安全なウェブサイトの作り方

        https://www.ipa.go.jp/security/vuln/websecurity.html

        • Products
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions