Linux最新バージョンを常に意識し、サーバを運用しましょう。最低限のサーバソフトのバージョンとセキュリティ情報だけは、本家サイトも確認しておこう!
セキュリティ情報とLinux最新バージョン
JPCERT/CC
JPCERTコーディネーションセンター(JPCERT/CC)は、インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデント*1(以下、インシデント) について、日本国内に関するインシデント等の報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。特定の政府機関や企業からは独立した中立の組織として、日本における情報セキュリティ対策活動の向上に積極的に取り組んでいます。
JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF: 1.42MB)
「JPCERT/CC 脆弱性関連情報取扱いガイドライン」は、製品開発者の方々が脆弱性関連情報を取り扱う際の指針としていただくために、経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」および「情報セキュリティ早期警戒パートナーシップガイドライン」をふまえて、JPCERT/CCが策定し公表しています。
脆弱性診断
Linux最新バージョンを維持するため、脆弱性診断における実施手順及び実施項目は、ISECOM(Institute for Security and Open Methodologies)の「オープンソース・セキュリティ・テスト手法マニュアル(OSSTMM)」、OWASP(Open Worldwide Application Security Project)の「セキュリティガイドライン」、国際規格ISO 27001:2013などに基づいて行われるのが一般的です。
緊急性の高いセキュリティアラートを以下に記録しておきます。
Public on 2023–7-19
CVE-2023-38408
OpenSSH ( ssh-agent )のリモートコード実行の脆弱性。転送されたエージェントソケット経由でリモートからコードを実行される可能性がある。Openssh-9.3p2 AlmaLinux8/1.html
CVE-2023-38408 Mitigation
Remote exploitation required that a user establishes an SSH connection to a compromised or malicious SSH server with agent forwarding enabled. The agent forwarding is disabled by default.
Public on 2021-09-26
CVE-2021-41617
特定のデフォルト以外の設定を使用した場合、補助的なグループが期待通りに初期化されないため、特権の昇格が可能です。
CVE-2021-41617 Mitigation
Mitigation for this issue is either not available or the currently available options do not meet the Red Hat Product Security criteria comprising ease of use and deployment, applicability to widespread installation base or stability.
Public on 2019-08-28
CVE-2019-16905
細工された XMSSキーを使うように設定されていると、 認証前の整数オーバーフローが発生します。
CVE-2019-16905 Mitigation
This flaw is triggered when parsing XMSS private keys. XMSS is a PQC (Post-quantum cryptography) algorithm and its use is currently experimental. Other key types or any other OpenSSH functionality are not affected by this flaw. A possible mitigation for this flaw is to NOT use XMSS keys for SSH.
同梱されているOpenSSHパッケージでは、XMSSのサポートが有効になっていないため、この欠陥の影響を受けません。