スポンサーサイト

--年--月--日 --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Opera "Content-Length" Processing Buffer Overflow Vulnerability 対策

2010年03月05日 23:00

http://secunia.com/advisories/38820
http://www.exploit-db.com/exploits/11622

operaで長大なContent-Lengthを読み込ませるとOverflowする
という脆弱性が出ました。

今のところ、10.50 10.10でもOverFlowするし
security fix もいつになるか解らないので
ちょっとした対策方法を考えてみました。

結論から言うと
「プロキシでhttp headerをチェックする」
です

まぁ説明するまでも無いんですが

プロキシサーバはsquidを利用し
「reply_header_max_size」を設定しました。

例)
reply_header_max_size 3 KB

3KBが妥当かは解りませんがPoCではContent-Lengthだけで5KB程度ありましたし
codeを挿入することを考えるともう少し大きい設定でもいいかもしれません

ただ、3KBでも通常のブラウジングには影響は無さそうでした

ってか、3KBを超えるreply headerってどういう場合が想定されますかね?
その辺は詳しくないので・・・
まぁ問題があったら調整する感じが良いでしょう


ちなみにsquidには
「reply_body_max_size」
というContent-Lengthをチェックしてくれるパラメータがあるのですが
件のPoCには残念ならが効果を発揮しませんでした。

どうやら整数値が大きすぎてsquidがContent-Length値として認識できないようで・・・
(最新版では試してないので、全てのバージョンでどうかは確認してません)




スポンサーサイト

Googleバズ始めました

2010年02月11日 15:01

googleがgoogleバズっていうtwitterみたいなつぶやきサービス始めました
昨日くらいから?
http://buzz.google.com/

つぶやきっていうか、googleはSNSサービスとして出してますけどね

位置づけ的には

twitterほどゆるくなく
mixi(facebook)よりはゆるい

って感じだろうか。

他のサービスとの連携が可能で
特に
google reader
google map
youtube
picasa
なんかは、そもそもgoogleのサービスなんで連携がかなりいい感じ。

逆に気がついたら共有されててあせったなんて人も多いみたい
俺はreaderをよく使ってるので共有は楽しそうだけど

で、この共有したものがタイムライン上に乗るので
それにコメントしたりされたりって使い方はなかなかよさそう

その辺は
friendfeed, tumblr, foursquare
あたりが競合になるんですかね

TL自体も、twitterと違って時系列に上から下じゃなくって
コメントはツリー上になってコメントがついた発言が上にあがってきたりと
今までと、かなり違います。

なので、twitterとは違う使い方になるだろうし
今、それをみんな模索中
最初からユーザが使い方を考えるサービスってのも
なんだかなぁって感じだけどw

ネタがない

2010年02月11日 01:06

わけでもないが纏めてる暇がない。

そんなわけで。広告を消すてすと。

Zen Cart ってSecurityPatch解り難いよ・・・

2009年12月21日 22:39

ちょっと仕事でZenCartを触る機会があったんだけど、
SecurityPatchの状況が非常に解り辛い状態だったので書いてみる。

ちなみに、カートシステム自体を触ったわけでもなく
PHPも読めても書けない人なので詳しいことは解らない。
あくまで、セキュリティ検証で触った程度なので。


http://www.zen-cart.com/

まず、公式にある最新版1.3.8aなのだが
これは脆弱性が存在するバージョンのようです。
なんせ、
更新日が「2007-12-11」
古すぎ。

枯れててそうならいいんだけど、
どうもフォーラムでパッチやコードを公開しているみたいだ。
ところが、これが解りにくい。正直探せない。
公式サイトでアップデート情報をうまく取り出す方法があったら
誰か教えてほしいですw


仕方がないので、CVEから引っ張り出すことに。


「Zen Cart」で検索し、日付なんかを参考に
1.3.8a以降の脆弱性をピックアップ


http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4323
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4322
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-4321
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6986
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6985
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6878
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6877
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2255
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2254
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6616
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6615


こんなに出てきますw
詳細を説明するのはムリなので省略。

簡単に眺めただけでも
「SQLインジェクション」
「XSS」
「任意のコードを実行」
「任意のファイル読み取り」

とまぁやりたい放題です。



といっても対応自体はそれほど難しいことではなく。
何種類かの修正で対応できます。

●adminフォルダの制限
http://www.zen-cart.com/forum/showthread.php?t=130161

adminのrenameと、出来ればIPアドレスなどで制限をかけることが望ましいです。
あと、セキュリティバイパス的なパッチもあった気がするけど、
運用上気にする必要がなければ無視していいはずです。

これ以上調べるのもう疲れたw

●不要フォルダの削除
http://www.zen-cart.com/forum/showthread.php?t=142784

- /docs
- /extras
- /zc_install
- /install.txt

これを削除するなり外部からアクセス不能に。


●/includes/classes/shopping_cart.phpを修正
http://www.zen-cart.com/forum/showthread.php?p=604473

詳細はフォーラムを参照してください。
あと名前のとおり非常に重要なファイルなので
修正は慎重に


これで対応出来るはず。
だけど、いろいろ調べすぎてわけが解らなくなってるので
ほんとに大丈夫か自信なかったりw
(追記:nessusのプラグイン最新にしてスキャンするといろいろ検知出来ます)


ZenCartの開発者は、フォーラムで対応するんじゃなくて
わかりやすい場所での告知と、adminやinstallerは抜本的な対応をしてほしいです。

正直、この状態で公開してるのを見ると、
脆弱性を残したままのZenCart製ショッピングサイトは世界中に相当数あるんじゃないかと。
普通に考えて
多少気にする人でも、最新版落として後は更新チェックするくらいで
放置すると思う。


こんなんじゃ、ZenCart製ショッピングサイトを利用するときは
どうせ個人情報だだ漏れだろ、くらいの気分で使わざるをえない・・・



あと、ぜんぜん関係ないけど今回情報を参照してて思ったんだけど
securityfocusの情報書いてる人、プログラムの事さっぱり解ってないよね、たぶん。

あまりにも誤読というか、曲解というかが多すぎて
まったくあてにならないというか、逆に壮絶に俺を混乱させてくれたよ。
まぁ書いてる人全員がそうというわけじゃないと思うけど・・・

2009.12 WindowsUpdate 「Security Enhancements for the Indeo Codec」

2009年12月09日 23:18

Microsoft Security Advisory (954157)
http://www.microsoft.com/technet/security/advisory/954157.mspx

Security Enhancements for the Indeo Codec
ってことで、これってコーデックのエラーなんじゃないの?

secunia advisoryにも

Microsoft has issued an update that reduces the attack surface by preventing loading of Indeo content from the Internet zone in general and via Internet Explorer and Windows Media Player. However, other third-party applications may still use it to render media content and thus present attack vectors.

と書かれているし、WindowsUpdateを実施しても、
コーデック自体にはなんら変化が無いので、脅威が取り除かれた、という風には見えない。
いちおう、IEやWindowsMediaPlayerはデフォルトでは参照しない設定のようだが。
サードパーティ製のプレイヤーはどうなるやら。


つか、Indeo Codecなんて入れておく必要なんてあるんかいね。
今となってはメジャーなコーデックというわけでもなさそうだし
古い動画でも見ない限りはいらないんじゃ・・・

というわけで、とりあえず消すなり移動するなりしてみよう。

対象ファイルは
http://support.microsoft.com/kb/954157

ここを参考に、片っ端から移動してみた。

ir32_32.dll
ir41_32.ax
ir41_qc.dll
ir41_qcx.dll
ir50_32.dll
ir50_qc.dll
ir50_qcx.dll


Windows7環境だけど、この辺は全部あったので変更。
まーもし何かあったとしてもdllが見つかりません
とかいってダイアログが出るくらいのもんだろう。

必要だったら戻せばいいし、しばらく様子見


当たり前だけど、sysytem32のファイルなので、trustedinstaller 権限を奪取して
移動しました。
戻すときは権限・所有者を戻すのも忘れないように・・・と。


最近の記事


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。