メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
データベース
ネットワーク
開発者ツール
デリバリー
セキュリティ
サービス
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    51
  2. コンピュート
    18
  3. コンテナ(Kubernetes、Docker)
    34
  4. データベース
    20
  5. 開発者ツール
    40
  6. Linode 
    258
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    32
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    60
  13. ストレージ
    22
著者 53
  1. Austin Gil 2
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 175
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 4
  23. Justin Cobbett 17
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 14
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 10
  53. Yuri Goldfeld 1
ブログセキュリティLinodeセキュリティ・ダイジェスト 2022年4月24日~5月1日

Linodeセキュリティダイジェスト 2022年4月24日~2022年5 月1日

Linode 
The Linode Security Team
2022年4月28日
Linode セキュリティダイジェスト

今週のセキュリティダイジェストでは、Jiraの重大なセキュリティ勧告をはじめ、JavaやKubernetesのingress-nginx モジュールに存在する深刻度の高い脆弱性を取り上げます。 

JIRA サーバとデータセンター認証のバイパス

Atlassianが4月20日に発表したセキュリティアドバイザリによると、JIRA ServerおよびData Centerの一部の旧バージョンには、認証バイパスの脆弱性が存在する可能性があるとのことです。この脆弱性により、リモートの未認証の攻撃者が、影響を受ける設定を使用して、WebWorkアクションの認証と承認の要件をバイパスすることができます。Atlassian はこの脆弱性を重要度(Critical severity)と評価し、特定の設定のみが脆弱性を引き起こす環境であることに留意することが有用であるとしています。

影響を受けるサードパーティーおよびアトラシアンのアプリケーションの詳細については、アドバイザリーをご覧ください。この脆弱性は致命的であるため、アトラシアンは Jira のパッチを適用したバージョンにアップグレードすることでこの脆弱性を修正するようユーザーに推奨しています。 

脆弱性のあるバージョンは以下の通りです。

Atlassian Jira Server および Data Center のバージョン 8.13.18 以前、8.14.0 ~ 8.20.6 間、および 8.21.0 ~ 8.22.0 間。

Atlassian Jira Service Management Server および Data Center のバージョン 4.13.18 以前、4.14.0 ~ 4.20.6 以前、および 4.21.0 ~ 4.22.0 以降。

修正されたバージョンは、8.13.18, 8.20.6, 8.22.0 と 4.13.18, 4.20.6, 4.22.0 です。

Javaによるサイキックシグネチャ

ECDSA(Elliptic Curve Digital Signature Algorithm)は、楕円曲線暗号を用いた電子署名アルゴリズムで、適切に実装することが難しいことで有名である。

CVE-2022-21449は、Java による ECDSA 署名の処理方法に発見された脆弱性に割り当てられています。Java バージョン 15 でコードベースの EC 部分が書き換えられ、この書き換えにより、署名の検証時に特定のチェックが行われないというバグが発生しました。

署名付きJSONウェブトークン(JWT)やその他の認証メッセージにECDSAを使用している場合、このバグにより、攻撃者がSSL証明書とハンドシェイクを偽造してサーバーを認証することができるようになります。Oracle社は、この脆弱性を緩和するために、インストールしたJavaを最新バージョンに更新することをユーザーに推奨しています。15以上のすべてのJavaバージョンが影響を受け、Oracleがリリースした2022年4月の重要なパッチアップデートは、この脆弱性を緩和しています。

National Vulnerability Databaseによると、この脆弱性の悪用に成功すると、重要なデータまたはOracle Java SE, Oracle GraalVM Enterprise Editionのアクセス可能なすべてのデータに対して不正な作成、削除、修正アクセスが行われる可能性があるとのことです。

根本的な原因

Java version 15では、当初C++で書かれていた楕円曲線暗号のコードがJavaで書き換えられました。この書き換えにより、ECDSA署名を利用した認証機構が、偽造されたメッセージを認証する脆弱性を持つようになりました。

CVE-2022-21449 に対する OpenJDK 脆弱性アドバイザリは、こちらでご覧になれます。

クレジットニール・マデン

Kubernetes Ingress-Nginx 脆弱性

Kubernetesは、ロードバランサーおよびリバースプロキシとして、ingress-nginxモジュールをユーザーに提供しています。

CVE-2021-25746は、ingress オブジェクトを作成または更新できるユーザーが、ingress-nginx コントローラーのクレデンシャルを取得できる脆弱性に割り当てられています。デフォルトの設定では、その資格情報は、クラスタのすべてのシークレットにアクセスすることができます。

A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.

勧告によると、修正プログラムを展開できない場合、この脆弱性は、metadata.annotationsの値を既知の安全な値に制限する入場ポリシーを実装することでも緩和できます(新しく追加されたルール、またはannotation-value-word-blocklistの推奨値を参照してください)。

こちらもどうぞ...

ハリーとのコンプライアンス・オートメーション

コンプライアンス自動化ツール解説|データと顧客を守る

このビデオでハリーは、コンプライアンス・オートメーションの意義を説明し、Chefのようなコンプライアンス・オートメーション・ツールの使い方を紹介する。
セキュリティ
スティーブ・ウィンターフェルドによるランサムウェア攻撃から身を守る方法。

ランサムウェア攻撃から身を守るには|アカマイ、Steve Winterfeld

このビデオでは、アカマイのアドバイザリー CISO、Steve Winterfeld が、企業がランサムウェア攻撃から身を守る方法についてアドバイスします。
セキュリティ
Wazuhは、Code with Harryを特徴とするサイバーセキュリティの強豪企業である。

Wazuhはサイバーセキュリティの強国|オープンソースセキュリティのエキスパートMonitoring & Response

CodeWithHarry(@CodeWithHarry)は、セキュリティ・データの収集と分析に使用されるオープンソースのセキュリティ・プラットフォーム「Wazuh」を取り上げている。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。