IISからApacheへの移行で逆にセキュリティー問題が拡大? 64
ストーリー by wakatono
移行すりゃいいってもんじゃないぞ 部門より
移行すりゃいいってもんじゃないぞ 部門より
syun 曰く、 "アイ・サイナップが、国内の上場企業のうち3,364社を対象に行なったWebサーバーの実態調査の結果を発表しました。
この記事では、Webサーバーの種類別ではApacheが63%と断トツで多いが、その半数はセキュリティに問題のあるものを使用している、NimdaやCodeRedが猛威をふるったのをきっかけに、IISからApacheへ移行したのに、逆にセキュリティ問題が増してしまっていると指摘しています。
なお、江藤@アイ・サイナップさんから私が聞いた話では、テストはバージョン確認だけではなく、各種セキュリティホールチェックツールでテストをして総合的に判断したとのことです。"
セキュリティの確保に王道なし。移行しただけでよしとするのではなく、その後の情報収集やメンテナンスを確実にこなしていくことが重要だ。でないと、「せっかく移行したのに何故…」ともなりかねない。まぁ、これは移行するしないにかかわらない話なのだが…
以下、未満 (スコア:3, 参考になる)
セキュリティーホールのあるバージョン1.3.27「以下」
って、心臓に悪いですよ・・・。
見落としだったらまずいと思って、apache.orgを見に行ってしまいました。
Re:以下、未満 (スコア:0)
たとえばDebianは1.3.26で問題はないよ。
また単純にバージョンじゃなくてSSLのライブラリが問題とか
いろいろ絡みがあるしね。
それにスタックガードでコンパイルしているとか、コード自体に
問題があってもどうにかできるみたいな、いろいろな守り方
Re:以下、未満 (スコア:0)
Re:以下、未満 (スコア:0)
×:バージョン1.3.27「以下」
○:バージョン1.3.27未満
と記載すべきなのですね。
インプレスも訂正 (スコア:0)
今見たら直してたけど(笑)
実際 (スコア:2, 興味深い)
やっていたりします。
CodeRedの時は、まあ広がった広がった。あっという間でした。
ひどかったのは、WinのOSをインストールしIISをインストールし、
さて、IISのCodeRed修正パッチをダウンロードしてインス
トール・・・そのダウンロードの間にもう一度感染したという
話。あきれて物が言えなかった。
私もサーバ構築の以来を受けるときは、PC-UNIX(FreeBSD)+
apacheにしています。ただ、apacheも1.3.26でセキュリティー
ホールが見つかり、Scalper?とかいうワームもできたと記憶
していますので、結局本文中にあるとおり「どんなOS/httpd
にしようと、セキュリティーの情報を常に仕入れ、必要とあ
れば即メンテすること」が一番だと思います。
さきほど私がメンテの担当で無いマシンで、Scalperに感染した
という情報が入った。FreeBSD 4.1+apache-1.3.10だって・・・
-- gonta --
"May Macintosh be with you"
Re:実際 (スコア:1)
>ひどかったのは、WinのOSをインストールしIISをインストールし、
>さて、IISのCodeRed修正パッチをダウンロードしてインス
>トール・・・そのダウンロードの間にもう一度感染したという
>話。あきれて物が言えなかった。
修正パッチはFDかCD-Rにいれて、オフラインで入れるというのが常套手段だと思いましたが・・・
修正パッチのダウンロードは、IIS無いWindowsマシンですればいいわけだし。
その他のウィルスも基本それでいかないと、ドンドン広まりません?
Re:実際 (スコア:1)
普通、パッチの当たってないIISは停止しておいてからパッチを 当てる作業をするんでわ?
近いIPから総当たりでCodeRedが来てると思うので、学内に大量の 感染マシンがあったとか?
Re:実際 (スコア:1)
>パッチを 当てる作業をするんでわ?
だからさ、元記事では、その程度の事も注意出来ない人
ばかりという事を言いたいんだよ。
1番のセキュリティホールは? (スコア:2, すばらしい洞察)
しかしCodeRedに感染するような管理者がApacheに移行したところで
管理能力は変わらない罠
Re:1番のセキュリティホールは? (スコア:2, すばらしい洞察)
当然、安直にApacheに乗換えただけだと、どのOSで動かそうとOSのセキュリティーホールもほったらかしか。
/* Kachou Utumi
I'm Not Rich... */
ところで (スコア:2, 参考になる)
晒さなくたってやられるところはどうせやられるんだといわれりゃそれまでだけど
Re:ところで (スコア:1)
# そう思いたい。そうであって欲しい....
Re:ところで (スコア:0)
Re:ところで (スコア:1, 参考になる)
推定理由
・予備調査から晒されまで1カ月なし(実質2週間)
・予備調査時と晒され時での調査サイト数が約3倍
後、別スレッドだけど
>相手に通知して対処が済んだ後の公開であれば良いのですが、
の可能性も薄そう。1月5日調査の1月6日発表なんで
調査日 IIS Apache Netscape その他 合計 調査サンプル(PDF)
2002/12/13 207 795 146 94 1242 予備調査
2003/01/05 532 2119 290 423 3364 ダウンロード
お金払えば (スコア:1, 興味深い)
これも簡易版なんだろうか?どこまでが暴露されているんだろう?
売る方も売る方だけど、買う人って何のために?
Re:お金払えば (スコア:0)
自分の会社名が入っていないかどうか心配な
一部のお偉い様
Re:お金払えば (スコア:1)
Re:お金払えば (スコア:0)
「弊社が保守すればこんなことはなくなりますよ。」
とか、いうんじゃないでしょうか。
#ちょっと、本気でかんがえたので、AC
Re:ところで (スコア:0)
#「対処法不明の穴」を無邪気に指摘ってんならォィォィと思うけどね。
Re:ところで (スコア:0)
他人の家でカギ閉め忘れているのを、ドロボウに解る所に公表すると幇助と取られるのと一緒だから、軽々しくしていいものでは無いと思いますが。
移行した? (スコア:1)
今からでも遅くないので、取りあえずは移行して欲しいと思うのは私だけでしょうか。(^_^;)
の
Re:移行した? (スコア:4, 参考になる)
確かにシェアは落ちてるけど、サーバ全体の増加率を勘案すると IIS の絶対数は減ってないかも。
の
Re:移行した? (スコア:1)
移行もなにも、IISが動いていることを知らないような人がまだ多いのでは。
Re:移行した? (スコア:0)
別な職に就いた方がいいでしょう。
そういう管理者が移行してくるとますますこの手の記事が増えそうだ
Re:移行した? (スコア:1)
ということで、(1) サーバ管理は「ちゃんとした仕事なのだ」というのを、大々的に広めるか、(2)素人でもできるようにするのが良いのでしょうね。
昔から、(2)をするんじゃと、言う人は多いけど、私の不勉強のせいか、あまり上手にいっている例をみていない。もし、例があれば教えてほしい>/.-Jの皆さん。
何を指してるのかな (スコア:1)
> バージョン確認だけではなく、各種セキュリティホールチェックツールでテスト
ってだけだと、何を見てるのかわからないのが残念。
# 極端な話、「公平な条件であるかは疑わしい」と言われてもしかたない…。
# ApacheもIISも使ってるのでAP
勝手にセキュリティホールを探してる? (スコア:1)
> バージョン確認だけではなく、各種セキュリティホールチェックツールでテスト
ってやばいんじゃないでしょうか。
ツール(というとまず思いつくのがnessusですが)でテストするということは、少なからぬ「中途半端なリクエスト」や「怪しいリクエスト」が対象のサーバに飛んでるって事ですよね。
ともすれば不正アクセスに勘違いされそうな気がするのですが...。
そもそも、検査ツールの注意書きには必ず「知らない相手や事前に知らせてない相手にチェックかけちゃダメだよ」って書いてあると思います。
この検査をした会社は、リストに載ってるすべての企業(の情報システム担当?)に「チェックしますのでご了承くださ~い」と問い合わせをしてまわり、かつあれだけの企業に許可をもらったのでしょうか?
こういう行為が、いわゆる「不正アクセス禁止法」に反する行為かどうかについて調べてみたのですが、どうも「これだ!」という回答にたどり着けませんでした。
実際のところは不正アクセスになるんでしょうかねぇ。
#教えてエラい人!
アイ・サイナップの調査内容 (スコア:1, 興味深い)
も見てApacheの問題を総合的に判断しているなら、
おそらく、
http://www.asahi-net.or.jp/~ps5k-etu/secinfo.htm
に出ている「N-Stealth : Webサイトの脆弱性検出の最強ツール」
を使用しているものと思われます。
同社は、「不正アクセス行為の禁止等に関する法律」に
ついてもサイトで言及しているわけですから、3400社全
てに許可をもらったか、または、強力な脆弱性スキャン
はしなかったかのどっちかだと思われます。
どっちにしても、このような議論を呼ぶだろう事が予想
出来ただろうにもかかわらず、この辺りの事をはっきり
させていないのは、ちょっと御粗末だと思います。
誰もデータを信用しないでしょうね。
まあ、いいんじゃないですか。小さなセキュリティ市場
の新参コンサルがこけたところで、業界に与える影響な
んてありません。市場が判断する事だし。
Re:何を指してるのかな (スコア:0)
だから、あの記事は、移行しただけで安心して放置されて
いるサーバが多いんだぁ、気をつけんとなー、という注意
喚起だと思うのが吉。
文句がある人は調査元に注意すれば。
MSフレーバーを添えて召し上がれ (スコア:0)
事実に誘導ベクトルを与える。この辺はいつも変わりませんね。
せっかく第三者が調査し記事にするのだから爆弾投げあうゲームでなくて全体に益を与えるスタンスを、と期待したいのですが。
# 外注先にIISがありXSSも残っていればSQLserverにパスワードがかかっておらずワームにはポート番号を変えるだけで対応するヘボっぷり。いつも最大のセキュリティホールは人と思いつつAC
考えすぎじゃない? (スコア:0)
スラッシュドットの前の話題のように事実に反したことでもアンチマイクロソフトな内容なら受け入れられるというお話よりははるかにマシです。
Re:MSフレーバーを添えて召し上がれ (スコア:0)
ここ [srad.jp]に比べればまあマシだと思われますが。
#自分に都合が良ければ「違う観点」
#都合が悪ければ「ベクトルがかかっている」
#では子供の思考ですな。
Re:MSフレーバーを添えて召し上がれ (スコア:0)
それこそ考えすぎ。
あまりにも酷いので「オマエモナ」とも言えない。
あげあし(-1:余計なもの) (スコア:0)
「ベクトルがかかる」ってなんだ?
「バイアス」ならわかるが。
#しょせんこの程度しかツッコめないような話題なのでAC
インプレスがタコなのです (スコア:0)
のでなければ、○○から依頼されて平気で乗せています。
もともと品位も権威も無いので良いんです。みんなわかっ
ているでしょ?
セキュリティホールの数だけでどうのこうの言うアイ
Re:インプレスがタコなのです (スコア:0)
といった記事は多数みたことがあります。しかしこういう反論は初めて見たな~。
どうしてでしょーかねー。
Re:インプレスがタコなのです (スコア:0)
元々数で比べる事に無理あるでしょ。
「apacheの方が~」なんて誰かが言っていたとして、
それは単純に数だけの問題では無かったはず。
root取られる場合と、nobody(apache)アカウント
取られる場合で
Re:インプレスがタコなのです (スコア:0)
apacheの脆弱性をついてrootを取るようなツールも、多くあると思うのですが…
貴方自身が仰っているように、元々数で比べる事が無意味なのですから
無闇にどちらか片方を貶めるような論調は、控えたほうがよろしいかと
Re:インプレスがタコなのです (スコア:1)
できるとしたら、それって一般的なの?
たいていの Linux ディストリビューションだと、
Apache は nobody (または専用のユーザ)で動いてるようだけど。
クラックした結果、奪えるのがどのレベルの権限なのか、
そこが明らかになれば安全性の比較もできないことはないと思われ。
# mishimaは本田透先生を熱烈に応援しています
Re:インプレスがタコなのです (スコア:0)
なぜなら、バイナリがバラバラだから。
一方、IISは簡単。MSのバイナリしかないから。
Re:インプレスがタコなのです (スコア:0)
って返されて終わり。
もっと説得力のある反論を考えよう。
拡大? (スコア:0)
別に拡大はしてないんじゃないかな。
ヘボ管に何使わせてもヘボってことで、現状維持はあるかもしんないけど。
Re:MSフレーバーを添えて召し上がれ (スコア:0)
○ 珍走団
typoじゃないみたいだし、用語は正しく覚えろや。
Re:MSフレーバーを添えて召し上がれ (スコア:0)
珍走団(激おふとぴ) (スコア:0)
Re:MSフレーバーを添えて召し上がれ (スコア:0)
で珍走族 [infoseek.co.jp]ぢゃないの?
リリース (スコア:0)
#ニセもんじゃねーぞ。i-cynap [i-cynap.com]から単葉フレームでhttp://www.asahi-net.or.jp/~ps5k-etu/ [asahi-net.or.jp]を呼んでいて、その中だからな。
つうか (スコア:0)
Re:つうか (スコア:0)