最近のセキュリティ分野で起きた主な脆弱性についてまとめる
最近IT分野でセキュリティ問題が巷を賑わせているなぁと思っていましたが、何となく名前だけ聞いたことがある程度だったので、ここで少し調べてみました。 対象は個人的に有名だと思った以下の4つに絞っています。
・OpenSSLの脆弱性、通称「Heartbleed」
・Apache Struts 2の脆弱性
・GNU Bashの脆弱性、通称「ShellShock」
・SSL 3.0の脆弱性、通称「POODLE」
発見日(2014)、呼称、CVSS(深刻度)、内容、対策を表にしました。
発見日 | 呼称 | CVSS | 内容 | 対策 |
---|---|---|---|---|
4/7 | Heartbleed | 5.0 | 秘密鍵、Cookie、クレカ番号等が漏洩 | OpenSSLアップデート、SSLサーバ証明書の再発行と現在使用しているSSLサーバ証明書の失効、Web利用者パスワード変更 |
4/17 | Apache Struts(特になし) | 7.5, 7.5, 5.0 | 情報の窃取、特定ファイルの操作、Webアプリを一時的に使用不可等 | Apache Strutsのアップデート、設定変更 |
9/24 | ShellShock | 10.0 | サーバ情報搾取、ファイル編集・削除、過負荷状態にさせる | bashアップデート、パッチ適用、フィルタリング(WAF や iptables)、アクセス制限、公開停止等 |
10/14 | POODLE | 4.3 | 通信の一部が第三者に漏えい | SSL 3.0 の無効化[サーバ管理者、利用者] |
*CSVVとはソフトウェアや情報システムに存在する保安上の弱点や不具合(脆弱性)の深刻度を評価する手法の一つです。0 ~ 10までの値で表します。
この4つの中なら、断トツでShellShockの脆弱性が深刻みたいですね。。1ヶ月経った現在も悪用しようとする試みがあるみたいです。まあ、他の脆弱性も攻撃の成功しやすさが低いだけで、利用者にとっては深刻だと思います。また、色々調べてみると他にもOracle製品(Java, DB)とかで深刻な脆弱性が最近修正されているようです。 開発では後回しにされがちなセキュリティ要件ですが、影響度はかなり高いと自覚しないといけないですね。