メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
データベース
ネットワーク
開発者ツール
デリバリー
セキュリティ
サービス
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    50
  2. コンピュート
    15
  3. コンテナ(Kubernetes、Docker)
    33
  4. データベース
    19
  5. 開発者ツール
    37
  6. Linode 
    258
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    32
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    60
  13. ストレージ
    22
著者 52
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Justin Cobbett 15
  23. Jon Frederickson 1
  24. Jonathan Hill 2
  25. Justin Mitchel 4
  26. James Steel 5
  27. Jamie Sherkness 8
  28. Linode 52
  29. Linode Events 8
  30. The Linode Security Team 122
  31. The Linode Network & Security Teams 1
  32. LINQ 1
  33. Leslie Salazar 1
  34. Michelle Berg 1
  35. Mitch Donaberger 1
  36. Mike Fischler 1
  37. Mike Maney 10
  38. Maddie Presland 18
  39. Mike Quatrani 4
  40. Nathan Melehan 2
  41. Nigel Poulton 1
  42. Prasoon Pushkar 1
  43. Rick Myers 7
  44. Richard Tubb 1
  45. Sal Carrasco 1
  46. Salman Iqbal 1
  47. Shawn Michels 1
  48. Linode Support 13
  49. Tom Asaro 18
  50. Travis Baka 1
  51. Talia Nassi 8
  52. Yuri Goldfeld 1
ブログセキュリティLinodeセキュリティダイジェスト 2022年12月11日~12月18日

Linode セキュリティダイジェスト 2022 年 12 月 11 日~18 日

Linode 
The Linode Security Team
2022年12月16日
Linode セキュリティダイジェスト

今週のダイジェストでは、以下をご紹介します。

  • Kibanaのセキュリティリリース。
  • TLS接続を管理するTraefikの脆弱性。
  • NodeJS上のWebcrypto Keygenの弱いランダム性

Kibanaのセキュリティリリース

型の混同。プログラムがある型を使用してポインター、オブジェクト、変数などのリソースを割り当てたり初期化したりするが、後で元の型と互換性のない型を使ってそのリソースにアクセスすること。- MITREの定義

CVSSv3.1NIST - 8.8 (高) | CVE ID:CVE-2022-1364

7.17.8, 8.5.0 セキュリティアップデート : Kibana がレポート機能で依存しているヘッドレス Chromium ブラウザに、タイプ混乱の脆弱性が発見されました。この問題は、Chromium サンドボックスが無効になっているホスト OS 上のオンプレミス Kibana インスタンスにのみ影響します (CentOS,Debian のみ)。Chromium サンドボックスはデフォルトで有効になっており、無効にすることはできないため、この問題は Elastic Cloud には影響しません。また、この問題は Elastic Cloud Enterprise にも影響しません。

Kibanaセキュリティリリース緩和図

TraefikがTLSコネクションを管理する際の脆弱性

CVSSv3.1です。 

  • NIST - 6.6 (中)
  • CNA (Github) - 8.1 (高)

CVE IDCVE-2022-46153

Traefikは、最新のHTTPリバースプロキシおよびロードバランサです。既存のインフラ コンポーネント (Docker, Swarm mode, Kubernetes, Marathon, Consul, Etcd,Rancher,Amazon ECS) と統合し、自動的かつ動的に自身を構成します。 

影響を受けるバージョンでは、Traefik の TLS 接続管理に潜在的な脆弱性が存在します。不適切な形式のTLSOptionで設定されたルータは、空のTLSOptionで公開されます。例えば、間違ったCAファイルで設定されたmTLS接続を使用して確保されたルートは、クライアント証明書を検証することなく公開されます。ユーザーは、バージョン 2.9.6 にアップグレードすることをお勧めします。 

パッチ :https://github.com/traefik/traefik/releases/tag/v2.9.6

アップグレードできないユーザーは、ログをチェックして以下のエラーメッセージを検出し、TLSオプションを直接修正する必要があります。

空っぽのCA。

{"level":"error","msg":"invalid clientAuthType: RequireAndVerifyClientCert, CAFiles is required","routerName":"Router0@file"}

CAの内容が悪い(またはパスが悪い)。

{"level":"error","msg":"invalid certificate(s) content","routerName":"Router0@file"}

不明なクライアント認証のタイプ。

{"level":"error","msg":"unknown client auth type \"FooClientAuthType\"","routerName":"Router0@file"}

cipherSuites が無効です。 

{"level":"error","msg":"invalid CipherSuite: foobar","routerName":"Router0@file"}

curvePreferences が無効です。

{"level":"error","msg":"invalid CurveID in curvePreferences: foobar","routerName":"Router0@file"}

NodeJS上のWebcrypto Keygenにおける脆弱なランダム性

CWE-338。暗号学的に弱い擬似乱数生成器(PRNG)の使用。本製品では、セキュリティの観点から擬似乱数生成器(PRNG)を使用していますが、PRNGのアルゴリズムは暗号学的に強力ではありません。

CVSSv3.1NIST - 9.1 (重要) | CVE ID:CVE-2022-35255

NodeJS v15.0.0 で導入された脆弱性は、HackerOne の投稿者によって発見されました。https://github.com/nodejs/node/pull/35093は、 src/crypto/crypto_keygen.cc のSecretKeyGenTraits::DoKeyGen() でEntropySource()を呼び出しています。これには2つの問題があります。

  1. Node.js はSecretKeyGenTraits::DoKeyGen() の中でEntropySource()を呼び出すようにした。ただし、戻り値をチェックせず、EntropySource()が常に成功することを前提にしていますが、失敗することもありますし、失敗することもあります。
  2. EntropySource()が返すランダムデータは、暗号学的に強くない可能性があり、鍵の材料として適さない。

全体として、この欠陥により、遠隔地の攻撃者は機密情報を復号化することができます。

パッチ https://nodejs.org/en/blog/vulnerability/september-2022-security-releases/#weak-randomness-in-webcrypto-keygen-high-cve-2022-35255

こちらもどうぞ...

スティーブ・ウィンターフェルドによるランサムウェア攻撃から身を守る方法。

ランサムウェア攻撃から身を守るには|アカマイ、Steve Winterfeld

このビデオでは、アカマイのアドバイザリー CISO、Steve Winterfeld が、企業がランサムウェア攻撃から身を守る方法についてアドバイスします。
セキュリティ
Wazuhは、Code with Harryを特徴とするサイバーセキュリティの強豪企業である。

Wazuhはサイバーセキュリティの強国|オープンソースセキュリティのエキスパートMonitoring & Response

CodeWithHarry(@CodeWithHarry)は、セキュリティ・データの収集と分析に使用されるオープンソースのセキュリティ・プラットフォーム「Wazuh」を取り上げている。
セキュリティ
サーバーセキュリティ入門
タリア・ナッシ

サーバー・セキュリティ入門

2023年10月30日
タリア・ナッシ著
効果的なクラウド環境には、サーバーのセキュリティが不可欠です。詳しくはこちらをご覧ください。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。