Mozillaがオープンソースコードのセキュリティアップのためにファンドを立ち上げ、次のHeartbleedを防ぐ

heartbleed

Mozillaが今日(米国時間6/9)、オープンソースのコードをよりセキュアにするためのファンドSecure Open Source(SOS)を立ち上げる、と発表した。このファンドは、Mozilla Open Source Support事業からの50万ドルの助成金を最初の資金とし、オープンソースのプロジェクトに監査と修正の機会を与えることによって、次のHeartbleed事件やShellshock事件が起きることを防ごうとするものだ。

Mozillaはまた、オープンソースの恩恵を受けている企業や教育機関、政府機関などに対して、ファンドへの参加を求めている。今日の声明の中で、“これらオープンソースの受益者たちに資金提供を求めることによって、よりセキュアなインターネットを築いていきたい”、とMozillaのChris Rileyが述べている。

具体的には、SOS Fundがセキュリティ企業に費用を払ってプロジェクトのコードを監査し、またプロジェクトのメンテナーと協力してコードの修正を実装、さらに情報の開示も正しく行っていく。修正の検証にも、必要ならお金を払う。

Mozillaによると、このやり方をすでに3つのプロジェクトでテストしている(PCRE, libjpeg-turbo, phpMyAdmin)。これら最初のテストによって、43のバグが見つかり、中には深刻な脆弱性もあった。最初のテストでMozillaは、Cure53NCC Groupと協働した。

“われわれが頼りにしているコードのあまりにも多くが、オープンソースのソフトウェアを使っている。それは商用製品にも埋め込まれ、インターネットのオペレーションの重要な部分を提供している”、Center for Strategic and International StudiesのSVPでディレクターでもあるJames A. Lewisが、今日の声明文の中でこう語っている。“それだけ重要なコードでありながら、オープンソースのコードはパッチやアップデートがお留守になることがきわめて多い。どのソフトウェアにも、悪用されうる欠陥がある。それは、コードの本質だ。そういうバグが放置されたら、犯罪と破壊行為のための機会を作り出す。MozillaのSOSファンドは、オープンソース中のバグ発見と修正のためのインセンティブを作って、サイバーセキュリティにおけるギャップを埋める”。

自分のコードのセキュリティ監査を申請したいデベロッパーは、ここで申し込む。それらのコードはオープンソースで、しかも現状でメンテナンスが持続しているものでなければならない。Mozillaは、それらのソフトウェアが広く利用されていることや、その機能性の継続がインターネットやWebにとって重要であることも検証する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

AppleがOS XのShellshockバグのパッチを提供

先週、OS XなどUNIX系のシステムの多くに、”Shellshock“と呼ばれる、重大で悪質で、しかも広がりの異様に大きなバグが見つかった。

Appleはただちに、OS Xユーザの“大半は”このバグの被害が及ぶことはなく、一部の“高度な設定”をしているユーザだけが対策を要する、と発表したが、同時に、同社独自のデバッグも開始した。同社はバグにセキュリティのためのパッチを当て、ユーザがそれを即時に利用できるようにした。

このパッチは当面、OS Xが標準で持っているアップデートツールには含まれないらしいから、ユーザは手作業でダウンロードする必要がある。パッチはそれぞれ、Mavericks用とLion用、そしてMountain Lion用がある(ダウンロード用のリンクはOS Xのバージョンによって違うから、間違えないように)。

なお、まだベータ状態で半ば非公開のOS X Yosemite用には、パッチが提供されないようだ。正式リリースの前のソフトウェアには、それでなくても危険がつきまとうが。

[写真: Martin Cathrae, Creative Commonsのライセンスによる]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Shellshock攻撃をリアルタイムで見つけてくれるシステムモニタSysdig

シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。

以下、DegioanniのWebサイトより:

Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。

・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)

この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:

13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd

このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。

この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全

AppleがいわゆるShellshock脆弱性に対応する公開声明を発表し、OS Xのユーザはほとんどの場合、いかなる攻撃の可能性に対しても安全である、と確証した。Appleのスポークスパーソンは本誌TechCrunchに、この脆弱性に関する次のような一文を提供した。それは、AppleのデスクトップOSにも含まれているUNIXのシェル、bashに見つかった脆弱性だ。

大半のOS Xユーザは、最近報道されたbashの脆弱性のリスクにさらされていない。OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

本誌もさきほど、読者のためのShellshock対策をポストした。しかしAppleがここで言っているように、OS Xでは高度なアクセスを構成していなければ安全だ(だから読者のほとんど全員が安全)。Appleは、このセキュリティホールを塞ぐためのOS Xのアップデートをもうすぐ提供するはずだから、それまではUNIXの高度なオプションを有効にしないように。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))