春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

セキュリティ

OpenSSH 6.6/6.6p1 がリリースされました.

2014/03/16, OpenSSH 6.6/6.6p1 がリリースされました.

http://www.openssh.org/txt/release-6.6

Changes since OpenSSH 6.5
=========================

OpenSSH 6.5 からの変更点

This is primarily a bugfix release.

主としてバグ修正のリリース.

Security:

セキュリティ:

 * sshd(8): when using environment passing with a sshd_config(5)
   AcceptEnv pattern with a wildcard. OpenSSH prior to 6.6 could be
   tricked into accepting any enviornment variable that contains the
   characters before the wildcard character.

 * sshd(8): sshd_config(5) の AcceptEnv のパターンでワイルドカードを用いて
   環境変数を受け渡しを行なっている場合, OpenSSH 6.6 より前では, 
   ワイルドカード文字より前の文字列に含まれる任意の環境変数を受けいれるように
   だまされる可能性があった.

New / changed features:

新しい / 変更された特徴:

 * ssh(1), sshd(8): this release removes the J-PAKE authentication code.
   This code was experimental, never enabled and had been unmaintained
   for some time.

   ssh(1), sshd(8): このリリースで J-PAKE 認証コードを削除する.
   このコードは実験的でかつけっして有効になることはなく,
   しばらくの間管理されてなかった.

   訳注: この機能について CVE-2014-1692
   https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1692
   が出たが, configure で有効にするできないくらいの
   実験的なコードなので, 面倒がないように消すということだと思われる)

 * ssh(1): when processing Match blocks, skip 'exec' clauses other clauses
   predicates failed to match.

   ssh(1): Match ブロックを処理する場合に, 他の節の述語がマッチに失敗したら
   'exec' 節をスキップする. (訳注: other の前に if が抜けていると思われる)

 * ssh(1): if hostname canonicalisation is enabled and results in the
   destination hostname being changed, then re-parse ssh_config(5) files
   using the new destination hostname. This gives 'Host' and 'Match'
   directives that use the expanded hostname a chance to be applied.

   ssh(1): ホスト名の正規化が有効で接続先ホスト名が結果として変わる場合,
   新しい接続先ホスト名を使って ssh_config(5) ファイルを再度パースする.
   これにより, 正規化されたホスト名を用いている 'Host' と 'Match' 設定項目が
   適用されるようになる.

Bugfixes:

バグ修正:

 * ssh(1): avoid spurious "getsockname failed: Bad file descriptor" in
   ssh -W. bz#2200, debian#738692

   ssh(1): ssh -W での誤った "getsockname failed: Bad file descriptor"
   を回避する. bz#2200, debian#738692

 * sshd(8): allow the shutdown(2) syscall in seccomp-bpf and systrace
   sandbox modes, as it is reachable if the connection is terminated
   during the pre-auth phase.

   sshd(8): seccomp-bpf と systrace サンドボックスモードで shutdown(2)
   システムコールを許可する. 認証前のフェイズで接続が終了した場合に,
   このシステムコールが呼ばれることがあるので.

 * ssh(1), sshd(8): fix unsigned overflow that in SSH protocol 1 bignum
   parsing. Minimum key length checks render this bug unexploitable to
   compromise SSH 1 sessions.

   ssh(1), sshd(8): SSH プロトコル 1 の bignum のパース時の
   符号無し整数のオーバフローを修正する. 最小の鍵長のチェックにより
   このバグを使って SSH 1 のセッションを侵害するのに利用できない.

 * sshd_config(5): clarify behaviour of a keyword that appears in
   multiple matching Match blocks. bz#2184

   sshd_config(5): 複数マッチする Match ブロックがある キーワードの
   振舞いを明確にする. bz#2184

 * ssh(1): avoid unnecessary hostname lookups when canonicalisation is
   disabled. bz#2205

   ssh(1): 正規化が無効な場合に必要がないホスト名の検索を回避する.
   bz#2205

 * sshd(8): avoid sandbox violation crashes in GSSAPI code by caching
   the supported list of GSSAPI mechanism OIDs before entering the
   sandbox. bz#2107

   sshd(8): サポートしている GSSAPI メカニズムの OID のリストを
   サンドボックスに入る前にキャッシュすることによる
   GSSAPI コードでのサンドボックス違反のクラッシュを回避する.

 * ssh(1): fix possible crashes in SOCKS4 parsing caused by assumption
   that the SOCKS username is nul-terminated.

   ssh(1): SOCKS のユーザ名が nul で終端されていることを仮定している
   ために起こる SOCK4 のパースで発生する可能性のあるクラッシュを修正する.

 * ssh(1): fix regression for UsePrivilegedPort=yes when BindAddress is
   not specified.

   ssh(1): BindAddress が指定されていない場合の UsePrivilegedPort=yes の
   不具合を修正する.

 * ssh(1), sshd(8): fix memory leak in ECDSA signature verification.

   ssh(1), sshd(8): ECDSA 署名検証でのメモリリークを修正する.

 * ssh(1): fix matching of 'Host' directives in ssh_config(5) files
   to be case-sensitive again (regression in 6.5).

   ssh(1): ssh_config(5) ファイルでの 'Host' 設定項目のマッチを
   大文字小文字を区別するように再び修正する(6.5 での不具合).

Portable OpenSSH:

移植版 OpenSSH:

 * sshd(8): don't fatal if the FreeBSD Capsicum is offered by the
   system headers and libc but is not supported by the kernel.

   sshd(8): FreeBSD Capsicum がシステムのヘッダと libc で提供されていて
   kernel でサポートされていない場合に 致命的エラーにならないようにする.

 * Fix build using the HP-UX compiler.

   HP-UX コンパイラを用いた場合のビルドを修正する.

情報セキュリティポリシー サンプル を公開しました.

昨日がECナビの最終業務日でした. ECナビではセキュリティに関する活動をしており, セキュリティポリシー策定も業務として行なっていました. 2010/10に基本ポリシーといくつかの標準を社内で承認してもらい, ポリシーに基づく運用を行なっていました.

承認を受けたもの以外にも個人的に将来ポリシーに組み込みたい文書の原稿を書きためていました. この原稿の外部公開をECナビに打診したところ, OKをもらったので以下に公開しました. 今後ECナビとは独立に追加/変更していく予定です.

もともとの原稿から以下の部分を除いています.

  • 株式会社ECナビの情報セキュリティポリシーとして承認され運用されている部分
  • 春山以外の者が作成に関与した部分
  • 株式会社ECナビに固有の情報
    • ここにそれを実現する社内ライブラリがあるよ, とか

OpenSSH 5.1/5.1p1 リリース

RFC4253 「セキュア シェル (SSH) トランスポート層プロトコル」 適当に翻訳

RFC4253 「セキュア シェル (SSH) トランスポート層プロトコル」 適当に翻訳した. もちろんちゃんと見直ししたりしてない.

http://www.unixuser.org/%7Eharuyama/RFC/ssh/rfc4253.txt

「セキュア シェル (SSH) 認証プロトコル」の翻訳

rfc4252 - セキュア シェル (SSH) 認証プロトコルを一通り訳した. 例によってちょー適当.

OpenSSH 4.9/4.9p1 リリース

RFC4250「セキュア シェル (SSH) プロトコルに割り当てられた番号(訳注: や名前) 」を翻訳

RFC4250「セキュア シェル (SSH) プロトコルに割り当てられた番号(訳注: や名前) 」を一通り翻訳.

http://www.unixuser.org/%7Eharuyama/RFC/ssh/rfc4250.txt

またまた適当.

3/25 RFC4251「セキュア シェル (SSH) プロトコル アーキテクチャ」

RFC4251「セキュア シェル (SSH) プロトコル アーキテクチャ」の翻訳が一応終わったので置いた.

翻訳メモリ(OmegaT)のせいで適当な改行がないがとりあえずはこのまま(追記: 適当にfoldしました). 内容も適当.

http://www.unixuser.org/%7Eharuyama/RFC/ssh/rfc4251.txt

「OpenSSH情報 - 補足: 原理から学ぶネットワーク・セキュリティ?」を作成

IIJは平文メールで個人情報を要求する

IIJが平文メールで連絡先住所を要求している.

IIJ Innovation Institute【応募要項】

なぜこのような応募は保護の対象にならないのだろうか?

普通にWebなシステムを作れば, HTTPSを使うところなのに.

(IIJ IIに応募する気はないです.)

QRコード
QRコード
  • ライブドアブログ