サーバ管理者日誌

朝からラジオでニュースを聴いていて、 なぜ 中国銀行[http://www.chugin.co.jp/] ＠岡山が？って思ったんですけど、別の中国銀行があるんですね。正式には、「中國銀行」って書く様な。

• 続・中国のインターネット遮断問題2010-03-30
• スパイウエア使った不正振り込み、容疑で男逮捕　警視庁2005-11-10
• 「チェックコードが一桁あるので、セキュリティが低いとは言えない」2005-02-27
• Yahoo!ニュースに似せた「中国軍侵攻」記事、ヤフー「警察に被害届」2005-10-19
• 中国に「コンピュータゲーム病」矯正センター2005-07-06
• robots.txtに従わず、図書館ＨＰにアクセス３万３千回　業務妨害容疑で男逮捕2010-05-26
• 気になった曲2003-08-25
• バカニュース2004-05-29
• マイヤヒー！マイヤフー！マイヤホー！マイヤハッハー！2005-08-24
• Eスポ2004-06-03
• 中国初の人型ロボット、発表2001-03-09
• 線路に置き石した容疑、無職の男逮捕　「脱線事故見て」2005-05-04
• 上海→蘇州2006-02-21
• 「ユニクロ」サイトに不正注文＝在庫4000着以上発生−無職男を逮捕・警視庁2006-05-10
• 中国国内に配置される、DNS ルート･サーバーが閉鎖された？2010-03-28

ローカルユーザーの権限昇格に悪用される可能性がある系。
インストールしたばかりのneoは、natをやるためにIPDIVERTのサポートを有効にしないといけなかったので、ついでにmake updateして対応。
他のサーバも折りを見て直さないと。

• security update package2002-03-10
• OpenSSH contains exploitable off-by-one bug2002-03-08
• Hyper-Threading Considered Harmful2005-05-14
• 絶賛buildworld中2002-03-07
• 公開開始、RSTパケットによるDoS1998-10-14
• FreeBSD-SA-02:08 race condition during exec may allow local root compromise2002-01-25
• /etcをCVS管理2002-02-09
• サーバの立ち上げ2000-06-16
• ipfw+natを一つのインターフェイスで2002-01-21
• フィッシング詐欺用サイトとサイト改竄の違い2005-02-22
• XR-350/DES2002-12-03
• i system2000-04-11
• セキュリティメモについて1998-10-24
• FTPD_INTERNAL_LS2000-09-04
• なぜかgooからのお客さんが多い2000-05-22

セキュリティホール memo[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/04.html#20050420_shinsei] から。 NHKの報道[http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html] によれば、

独立行政法人・情報処理推進機構によりますと、これらのソフトを入れると利用者のパソコンがコンピューターウイルスや不正侵入の被害を受けやすくなり、パソコンの中のデータが外部に流出したり消されたりするおそれがあるということです。

電子申請 行政ソフトに不具合, NHKニュース, 2005年4月20日[http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html]

という。IPAやるな！って感じだ。
原因として、

・指定している JRE のバージョンが古いので、 Sun Alert ID 57591: Security Vulnerability With Java Plug-in in JRE/SDK[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/11.html#20041124_Java] に該当してしまうお話。 対応としては、新しい JRE をインストールする。 J2SE JRE 1.4.2[http://java.sun.com/j2se/1.4.2/ja/download.html] の最新は1.4.2_08のようです。
・ Java セキュリティポリシーの独自設定に関する注意喚起[http://www.ipa.go.jp/security/vuln/20050228javapolicy.html] (IPA ISEC, 2005.02.28) に該当するような、不適切なポリシー設定がなされているお話。 対応としては、適切なポリシーを設定する。

「電子申請 行政ソフトに不具合 」, セキュリティホール memo, 2005年4月20日[http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/04.html#20050420_shinsei]

の異なる二つの問題が挙げられているが、背景では根本的なところで共通している問題があって、「自分のところのシステムを動かすのが大事で、利用者の環境がどうなっても構わない」という、 利用者のパソコンを自分のところの専用端末とでも思っている[http://www.nantoka.com/~kei/diary/?200503b&to=200503162#T200503162] 様なシステムの作り方に多くの問題が端を発している様に思う。

一部の行政のサービス提供者は、利用者のパソコンを「ウチの自治体サービス端末」とでも思っているのではなかろうか。 そして、イントラネットを構築する積もりで、利用者に「これを導入しろ、信用して『はい』を押せ」とやっているのではないか。だとすると、これだけ、オレオレ証明書にもプラグインにも、無頓着な作りを看過していることが理解できる。 だとすると、端末で起こる問題にも責任を負う必要が生じるはずだが、一切責任を負わないと宣言しているのはどうしたことだろうか。

続・ＵＦＪ銀行を偽装した電子メール詐欺が発生していますのでご注意ください, サーバ管理者日誌, 2005年3月16日[?200503b&to=200503162#200503162]

こういった問題を意識せずにシステムを構築しているのだから、もっと大きな問題を抱えているシステムがあることは容易に想像できる。
今回の問題は、いわばJavaだから分かったという話で、幸運だったと言えよう。 例えば、 ActiveXコントロールが悪用された時に何をやり出すか[?200504b&to=200504123#200504123] は、なかなか分からない。恐らく署名したところにも、ひょっとすると開発した人にも。

• 続・ＵＦＪ銀行を偽装した電子メール詐欺が発生していますのでご注意ください2005-03-16
• 「原因は秘密だが天災の様なもので当社に落ち度は無いから補償はしない」〜カカクコム2005-05-26
• そう来たかIPA - 「不正請求」という表現を使わない方向で検討2009-12-29
• ぐる2002-06-28
• 続・Flashムービーに感染するウイルスが初登場2002-01-11
• メモ2002-10-23
• i-system2000-06-04
• 続・続・ダブルチーズバーガー2002-11-19
• 官庁はJavaの脆弱性にどう対処すればいいのか2005-07-19
• PluginCommanderの部屋2002-05-29
• インターネットをイントラネットゾーンに設定するセキュリティソフト2005-06-03
• ヒーヒーの素2000-05-24
• 電子情報通信学会 技術と社会･倫理研究会（SITE）2010-12-08
• HDD パスワードクラッカーポッド2005-01-27
• F-Secure、「Cabirが車に感染」の噂を実地検証2005-05-11

アプリケーションの実例。

• 音声信号処理ツールキット2001-06-12
• 入力フォームでのペースト禁止教2009-10-31
• 続・「セキュリティのため」のActiveX2005-04-06
• NTT西日本Bフレッツお申し込みページにみる個人情報管理2002-11-13
• 第三者中継関連でメール2000-06-01
• 続・NTT西日本フレッツお申し込みページにみる個人情報管理2002-11-18
• ユニクロのフィッシング詐欺風サイトに見る群集心理2010-05-26
• OCNからの指定事業者変更2002-12-25
• 忍者バーガー2002-03-10
• 侵入されてますよのお知らせ2002-03-01
• root化する2010-06-06
• オレオレ証明書クイズ2005-01-18
• ご解約者様へのお詫び送付先確認ページ2004-03-09
• ウェブアプリ開発の鉄則31カ条2002-12-25
• 続・PDFファイルのテキスト化2009-11-17