セキュリティ担当者を震撼させた2014年
2014年12月29日(月) - 18:13 | カテゴリ: PC
2014年は基幹レベルでヤバいインシデントが多かった多かった…(´・ω:;.:…
NTPやSNMPあたりの、UDPを使っているサービスはDDoS踏み台にされる事がある為、
インシデントの注意喚起がよく出ている昨今。
だが、今年はそんな日常的セキュリティインシデントを吹っ飛ばすレベルでヤバい脆弱性が多数上がってきた。
という事で、nowsky主観で今年の脆弱性を適当に挙げてみた
※切りが無いので、MicroSoft/Adobe/Javaあたりは除く。だって毎月でるし…
| 発見時期 | 種類 | 概要(JPCert , JVNから引用) |
| 1月中旬 | DDoS攻撃 | NTPDのmonlist機能を悪用したDDoS攻撃の可能性 |
| 2月中旬 | DDoS攻撃 | ApacheCommonsFileUploadのマルチパートリクエスト無限ループ問題 |
| 4月上旬 | メモリ漏洩 | OpenSSLのHeartBeat機能実装不備によるメモリ内容漏洩問題 |
| 6月上旬 | 中間者攻撃 | OpenSSLのChangeCipherSpecメッセージ受信時の空鍵生成問題 |
| 9月下旬 |
コマンド インジェクション |
Bash環境変数処理の不備によるOSコマンドインジェクションの危険性 |
| 10月中旬 | 中間者攻撃 | SSLv3環境下でProtocolDowngradeDanceの悪用による通信内容盗聴 |
| 11月上旬 |
ドメイン ハイジャック |
".com"ドメイン登録情報の不正書き換えによるドメイン名ハイジャック |
| 11月下旬 | DDoS攻撃 | FreeBSDのTCPセッションタイマー処理不備によるDDoS危険性 |
| 12月上旬 | DDoS攻撃 | BIND9の再帰的名前解決によるサービス停止の危険性 |
この中でも特に緊急性が高かったのは、OpenSSLのHeartBeat脆弱性(Heartbleed)と、
GNU BashのOSコマンドインジェクションの脆弱性(Shellshock)あたりだと思う。
