2015年2月アーカイブ

2015年2月のアーカイブリストとなっています。

ntpdの脆弱性アップデート手順(CVE-2014-9298,CVE-2014-9297・・・etc)

2015年2月16日

ネットワーク経由で時刻調整を行うntpdに複数の脆弱性が発見されています。
今回は、ntpdの脆弱性アップデート手順を紹介します。

■関連情報
Network Time Protocol daemon (ntpd) に複数の脆弱性
ntpd 脆弱性におけるパッケージのアップデートについて

今回対応できる脆弱性は下記になります。
・スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298
 ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。
・プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297
 ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、
 情報漏えいやプログラムの異常終了が発生する可能性があります。
・PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293
 ntp.conf ファイルで auth key が設定されていない場合、暗号強度の不十分なデフォルト鍵が生成されます。
・暗号における脆弱な PRNG の使用 (CWE-338) - CVE-2014-9294
 4.2.7p230 より前のバージョンの ntp-keygen は、弱いシード値で暗号論的に
 不適切な乱数生成器を使い、対称鍵を生成します。
・スタックバッファオーバーフロー (CWE-121) - CVE-2014-9295
 ntpd の crypto_recv() (autokey 認証利用時)、ctl_putdata()、および configure() には、
 細工されたパケットの処理に起因するスタックバッファオーバーフローの脆弱性が存在します。
・エラー条件、戻り値、状態コード (CWE-389) - CVE-2014-9296
 ntpd において特定のエラー処理を行うコードに return 式が存在しない箇所が存在するため、
 エラー発生時に処理が停止しない問題があります。

続きを読む "ntpdの脆弱性アップデート手順(CVE-2014-9298,CVE-2014-9297・・・etc)"

2015年1月2回目リナックスマスターセミナーを実施しました。

2015年2月13日

こんにちは。
リナックスマスター.JPの宮崎です。

1/29(木)〜1/30(金)の2日間、
2015年1月2回目リナックスマスター2日間集中セミナーを開催しました。

次回以降のセミナーの日程や詳細は↓のページで公開しています。
参加ご希望の方は、いますぐ↓URLをクリックしてください。
リナックスマスター2日間集中セミナー(CentOS版)のお申し込みはこちら

DSC09130.jpg

続きを読む "2015年1月2回目リナックスマスターセミナーを実施しました。"