パスワードを忘れた? アカウント作成

iidaさんのトモダチの日記みんなの日記も見てね。 過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13432154 journal
日記

iidaの日記: 米軍炎上ヘリから放射性物質 5

日記 by iida
13429432 journal
ソフトウェア

iidaの日記: OpenSSH 7.6

日記 by iida

OpenSSH 7.6がリリースされていた (2017-10-03)。
バージョン1プロトコルのサポートがなくなった。
sftp-serverのセキュリティー修正を含んでいるようだ。

13425325 journal
ソフトウェア

iidaの日記: Apache HTTP Server 2.4.28

日記 by iida

Apache HTTP Server 2.4.28がリリースされた (2017-10-05)。
セキュリティーのページによると、OptionsBleed脆弱性 (CVE-2017-9798) が修正された模様。

13424475 journal
ソフトウェア

iidaの日記: Apache Tomcat 8.0.47, 7.0.82

日記 by iida

Apache Tomcat 8.0.477.0.82らがいっせいにリリースされた。
トップ・ページでの発表は2017-10-03付だが、オンライン・マニュアルでのリリース日やPGP書名のタイムスタンプは、2017-09-29付となっている。
CVE-2017-12617に対応したようだ。
手元の環境では、8.0.47がJava 9では機能しなかった。
- - - - -
PS 2017-10-06
無引数のstartup.shなら次の差分

--- bin/catalina.sh~    2017-09-29 22:48:42.000000000 +0900
+++ bin/catalina.sh     2017-10-05 18:02:17.851001010 +0900
@@ -431,7 +431,7 @@
 
   else
     eval $_NOHUP "\"$_RUNJAVA\"" "\"$LOGGING_CONFIG\"" $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS \
-      -Djava.endorsed.dirs="\"$JAVA_ENDORSED_DIRS\"" -classpath "\"$CLASSPATH\"" \
+      -classpath "\"$CLASSPATH\"" \
       -Dcatalina.base="\"$CATALINA_BASE\"" \
       -Dcatalina.home="\"$CATALINA_HOME\"" \
       -Djava.io.tmpdir="\"$CATALINA_TMPDIR\"" \

で起動するようにはなる。引数を付けたり、catalina.shで動かそうとするなら、あと数か所同様に直せばよかろう。

13423788 journal
ソフトウェア

iidaの日記: CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP upload

日記 by iida

当初7系列 (7.0.0から7.0.81まで) のApache Tomcatが内包するとされていた脆弱性 (CVE-2017-12617) だが、
    9系列 (9.0.0.M1から9.0.0 まで)
    8.5系列 (8.5.0から8.5.22まで)
    8.0系列 (8.0.0.RC1から8.0.46まで)
に拡大された模様。

既定のJavaサーブレットとWebDAVのJavaサーブレットの脆弱性だ。
Javaサーブレットのreadonlyパラメータを、あからさまにfalseと設定した場合、脆弱性が悪用可能になる。
無設定かtrueとあからさまに設定すれば、安全で、既定では無設定。
悪用可能な場合、JSPのアップロード後、そのJSPを閲覧することで、JSPの含む任意のコードを実行できる、というもの。

もし攻撃者がTLS/SSLサーバーの私有鍵を表示するJSPを書いて、アップロードし、閲覧すれば、私有鍵が漏えいすることになり、もし脆
弱性が悪用可能な状態なら、アップグレードするか、悪用不能な状態に変えることが強く推奨される。

幸いにも既定ではreadonlyパラメータは無設定で、脆弱性は悪用不能なので、影響範囲は限られよう。

13422827 journal
日記

iidaの日記: 憲法五十三条 5

日記 by iida

憲法五十三条を読んだ。

いづれかの議院の総議員の四分の一以上の要求があれば、内閣は、その(引用者注:国会の臨時会の)召集を決定しなければならない。

3か月の放置プレーを許すとも許さないとも書いてはいないが、とっとと召集して「丁寧に説明」したらよかったのにな。
- - - - -
PS
コメントにも書いてくださった方がいらしたが、冒頭解散も勘弁してほしい (2017-10-04)。

13393750 journal
日記

iidaの日記: CVE-2017-3735

日記 by iida

OpenSSLに脆弱性が発覚し、アドバイザリーが刊行された。
深刻度は低。もしX.509の証明書が細工をしたIPAddressFamily拡張を使っていると、OpenSSLがバッファーの外1バイトを読み過ぎてしまう。たいていは誤った表示になることが多いだろうという。
1.0.2系と1.1.0系へのパッチが出る模様。
深刻度が低いため、このためのリリースは出ないようだ。

13370548 journal
ソフトウェア

iidaの日記: 認証局再編相次ぐ 1

日記 by iida

ここのところTLS/SSLの証明書を発行する認証局 (CA) の再編が相次いでいる。

13347388 journal
日記

iidaの日記: NIST SP 800-89

日記 by iida

NIST SP 800-89でRSAの公開鍵の法 (modulus) を検査をすることになった。
・奇数である
・単一の素数の正の整数乗ではない
・752未満の因数を持たない
という3つの検査がある。

「752未満の因数を持たない」かどうかは、奇数である前提で、
1451887755777639901511587432083070202422614380984889313550570919659315177065956574359078912654149167643992684236991305777574330831666511589145701059710742276692757882915756220901998212975756543223550490431013061082131040808010565293748926901442915057819663730454818359472391642885328171302299245556663073719855
(3以上752未満の全素数の積)
との最大公約数を取ればよいようなことが書いてある。
ところがこの長ったらしい数、実は3以上752でなく750未満の全素数の積になっていて、751は、掛け忘れみたいだ。
さらに751をかけて
1090367704589007566035202161494385722019383400119651874476478760664145697976533387343668263403266024900638505861980470638958322454581550203448421495842767449796261170069732921897400657944793163960886418313690808872680411646815934535605444102983629208422567461571568587963766123806881456648026733413053968363611105
とするのが正解だろう。

NISTといえども鵜呑みにしちゃだめだ、ということか。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...