メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
データベース
ネットワーク
開発者ツール
デリバリー
セキュリティ
サービス
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    50
  2. コンピュート
    15
  3. コンテナ(Kubernetes、Docker)
    33
  4. データベース
    19
  5. 開発者ツール
    37
  6. Linode 
    258
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    32
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    60
  13. ストレージ
    22
著者 52
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Justin Cobbett 15
  23. Jon Frederickson 1
  24. Jonathan Hill 2
  25. Justin Mitchel 4
  26. James Steel 5
  27. Jamie Sherkness 8
  28. Linode 52
  29. Linode Events 8
  30. The Linode Security Team 122
  31. The Linode Network & Security Teams 1
  32. LINQ 1
  33. Leslie Salazar 1
  34. Michelle Berg 1
  35. Mitch Donaberger 1
  36. Mike Fischler 1
  37. Mike Maney 10
  38. Maddie Presland 18
  39. Mike Quatrani 4
  40. Nathan Melehan 2
  41. Nigel Poulton 1
  42. Prasoon Pushkar 1
  43. Rick Myers 7
  44. Richard Tubb 1
  45. Sal Carrasco 1
  46. Salman Iqbal 1
  47. Shawn Michels 1
  48. Linode Support 13
  49. Tom Asaro 18
  50. Travis Baka 1
  51. Talia Nassi 8
  52. Yuri Goldfeld 1
ブログセキュリティLinodeセキュリティダイジェスト 2021年10月31日~11月7日

Linodeセキュリティダイジェスト 2021年10月31日~2021年11月7日

Linode 
The Linode Security Team
2021年11月4日
Linode セキュリティダイジェスト

今週は、コードが悪意を持ってエンコードされることで、コンパイラと人間の目には違って見えるようになってしまうUnicodeの脆弱性について確認します。また、コンテナのセキュリティや、注意が必要と思われる脆弱なWordPressプラグインについてもご紹介します。

トロイの木馬のソース (CVE-2021-42574)

ケンブリッジ大学の研究者2名が発表した論文によると、Unicodeの方向性を示す文字をコードに使用すると、人間がコードを安全だと誤認する一方で、悪意のあるアクターがコードベースに論理的な変更を加えることができるということです。研究者たちは、GitHubリポジトリを作成し、この文字がさまざまなプログラミング言語でどのように利用できるかを示しています。

#!/usr/bin/env python3

def sayHello():
    print("Hello, World!")

def sayHello():
    print("Goodbye, World!")

sayHello()

どの関数が実行されるかを知ることができますか?コンパイラなら可能です。

この問題は、複数のセキュリティ上の影響を及ぼす可能性があります。安全と思われる公開リポジトリに悪意のあるコードが混入し、サプライチェーン攻撃を受ける可能性があります。また、パブリックフォーラムからコピーされたコードにも、このような悪意のあるロジックの変更が含まれる可能性があります。論文の中では、ほとんどのコンパイラがこの問題に対して脆弱であることが述べられています。また、一部のコミュニティがこの問題を認めているものの(RustGitHubを参照)、ほとんどのコンパイラにはまだ脆弱性があることが知られています。

コンテナセキュリティのベストプラクティス

Docker社によると、コンテナとは、コードとその依存関係をすべてパッケージ化したソフトウェアの標準的な単位である。アプリケーションは、あるコンピューティング環境から別のコンピューティング環境へ、迅速かつ確実に実行されます。これにより、異なるホスト・オペレーティング・システム上で変更を加えることなく、アプリケーション・イメージを展開することができます。これらのコンテナイメージは、基盤となるオペレーティングシステムから分離されていますが、sysdig社のComprehensive Container Securityガイドによると、コンテナ内の脆弱性が悪用されると、クラウド全体が危険にさらされる可能性があります。インフラ 。2020年のCloud Native Computing Foundation(CNCF)の調査によると、本番環境でのコンテナの使用率は92%に増加しており、これらのインスタンスのセキュリティを確保することがこれまで以上に重要になっています。

当社では、安全なDockerイメージを構築するために推奨されるツールや手順をさらに詳しく説明した独自のコンテナセキュリティガイドを提供しています。コンテナをより安全にするために、これらのベストプラクティスに従うことをお勧めします。

  • イメージを定期的に更新することで、コンテナ内の脆弱性の数を減らすことができます。 
  • この目的のために作られた無料のオープンソースツールであるTrivyなどの脆弱性スキャンツールを使って、頻繁に脆弱性をスキャンします。
  • コンテナを実行するための限定されたユーザーを作成し、可能な限りルートユーザーとしてコンテナを実行しないようにします。コンテナを使用する際には、最小特権主義を行使することが重要です。
  • コンテナが使用するCPUとRAMを制限します。ハードウェアの使用量を制限することで、攻撃者が特定のコンテナで暗号マイニングを実行する能力を大幅に軽減できます。また、コンテナに割り当てられる不要なリソースの量を減らすことで、パフォーマンスの向上にもつながります。

最後に、Open Web Application Security Project(OWASP)が提供しているDocker Security Cheat Sheetをご覧になれば、このテーマに関する概要がわかります。

OptinMonster WordPress プラグイン (CVE-2021-39341)

このプラグインのWordPressページによると、OptinMonsterは、読者の購読を可能にするポップアップを構築するためのプラグインです。この記事を書いている時点で、100万以上のアクティブなインストールがあります。

このプラグインは API エンドポイントを使用します。WordFenceの記事によると、これらのエンドポイントのほとんどに脆弱性があった。 API エンドポイントには脆弱性があり、認証されていない攻撃者が機密情報をエクスポートしたり、プラグインを使用している WordPress サイトに悪意のある JavaScript コードを注入したりすることができます。このプラグインの2.6.4より前のバージョンはこれらの攻撃を受ける可能性があり、このプラグインを最新バージョンにアップデートすることを強く推奨する。OptinMonsterチームは漏洩した API キーをリセットしました。 API プラグインを使用し続けるには、キーを再生成する必要があるかもしれません。

このダイジェスト版は、読者の皆様に有益な情報をお届けすることを目的としています。今後もセキュリティに関する最新情報をお届けしてまいります。

こちらもどうぞ...

スティーブ・ウィンターフェルドによるランサムウェア攻撃から身を守る方法。

ランサムウェア攻撃から身を守るには|アカマイ、Steve Winterfeld

このビデオでは、アカマイのアドバイザリー CISO、Steve Winterfeld が、企業がランサムウェア攻撃から身を守る方法についてアドバイスします。
セキュリティ
Wazuhは、Code with Harryを特徴とするサイバーセキュリティの強豪企業である。

Wazuhはサイバーセキュリティの強国|オープンソースセキュリティのエキスパートMonitoring & Response

CodeWithHarry(@CodeWithHarry)は、セキュリティ・データの収集と分析に使用されるオープンソースのセキュリティ・プラットフォーム「Wazuh」を取り上げている。
セキュリティ
サーバーセキュリティ入門
タリア・ナッシ

サーバー・セキュリティ入門

2023年10月30日
タリア・ナッシ著
効果的なクラウド環境には、サーバーのセキュリティが不可欠です。詳しくはこちらをご覧ください。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。