System Admin – ページ 3

unzip: ZIP decompression failed (-3) unzip fails to extract password protected archive

2012-06-152018-12-04 清水文行

パスワードつきzipのunzipで表題のようなエラーが出るときがあります。

&gt; zip -e hoge.zip hoge.txt
&gt; unzip -v hoge.zip
Archive:  hoge.zip
 Length   Method    Size  Ratio   Date   Time   CRC-32    Name
--------  ------  ------- -----   ----   ----   ------    ----
       0  Stored        0   0%  06-13-12 21:09  00000000  hoge.txt
unzip: ZIP decompression failed (-3)

> zip -e hoge.zip hoge.txt

> unzip -v hoge.zip

Archive: hoge.zip

Length Method Size Ratio Date Time CRC-32 Name

-------- ------ ------- ----- ---- ---- ------ ----

0 Stored 0 0% 06-13-12 21:09 00000000 hoge.txt

unzip: ZIP decompression failed (-3)

which unzip するとわかりますが、今時の FreeBSD は /usr/bin/ に unzip がいて、これは archivers/unzip の ports から /usr/local/bin/ にインストールされる Info-ZIP の unzip とは別物です。というわけで

&gt; /usr/local/bin/unzip -v hoge.zip
Archive:  hoge.zip
 Length   Method    Size  Cmpr    Date    Time   CRC-32   Name
--------  ------  ------- ---- ---------- ----- --------  ----
   40960  Defl:N     8288  80% 06-13-2012 21:09 342c5fc6  hoge.txt
--------          -------  ---                            -------
   40960             8288  80%                            1 file

> /usr/local/bin/unzip -v hoge.zip

Archive: hoge.zip

Length Method Size Cmpr Date Time CRC-32 Name

-------- ------ ------- ---- ---------- ----- -------- ----

40960 Defl:N 8288 80% 06-13-2012 21:09 342c5fc6 hoge.txt

-------- ------- --- -------

40960 8288 80% 1 file

/usr/local/bin/ を指定してめでたしめでたし。

チップのバックドア

2012-05-302021-11-16 清水文行

2012/5/29 18:00現在、gigazine で bingると、顔を見るだけで判断できてしまう… ギガジン、恐ろしい…のようなSERPになっているのは私だけでしょうか。

原発や軍事用に使われている中国製シリコンチップにサイバー攻撃可能な未知のバックドアが発見される – GIGAZINE の元ネタとなっているケンブリッジ大のページLatest news on my Hardware Security Research – Sergei Skorobogatov(HTTPS Everywhereを入れている人はcam.ac.ukをはずしておかないとエラーになります 2012/5/29) や、もっと昔のだよーと書かれている Copy Protection in Modern Microcontrollers でのくらっとくる色で警告など、いずれにせよ、古いdraftなabstractをRedditに晒されたからという理由で急いでいろいろ付け加えられているようです。その後RedditはFalse news story: No Chinese backdoor in military chip「ホームルータの20%(最近もWAN側にあるのがあった!)、工業制御用の50%のコンピュータでバックドアあるし～(数字の根拠は???)、中国が源なの?そもそも軍事用チップじゃないじゃん」という趣旨のblogで盛り上がったようです。このbloggerが付け加えているように、だからといってバックドアが有るチップを軍事用に使っちゃ良いことにはならないですね。

元文の一番下に並んでいる良く見るような型番もあるリストはごく一部で、多くのマイクロコントローラ、スマートカード、セキュアメモリチップ、FPGAは脆弱だそうです(PSoCはその頃手に入らなかったのだろうか、それともこの手法ではみつからないということなのだろうか、単に載せなかっただけなのか、時系列やターゲットが整理されていないので良くわからない)….どういう展開を見せるのか、連休明けの Microsemi Corporation 界隈で何かを狙っているなんてことはないですよね。

追記: その後も

spambotなアイロン
クレジットカードのICチップに半田付けMITMでPOSを突破
G+のエントリが有名になった「悪魔のように賢い」「悪意あるハードウェア」 (概説SlideShare)

とか、この分野は実験環境を作るハードルが高めなので面白ネタの宝庫ですね。

関係ないですがきゃりーぱみゅぱみゅと耐タンパ性って微妙に似てる?

HTTP status code 416 (Chrome)

2012-03-072021-11-16 清水文行

HTTPサーバのログにはステータスコード416を返していることが結構あったりするようです。Rangeヘッダは先ごろApache Killerで有名な問題がありましたが、特にDoSしようとしているわけでもなく普通のリクエスト。共通項は

Chrome (新旧問わず 6.0.472.63, 15.0.874.121, 17.0.963.56, …)
GET対象のサイズが6で割り切れる(リクエストは複数ですが対象は高々3つだけなのでたぶんたまたま)。

くらいしか見当たりません。ただし新しめのChromeでは416の直後に再度GETして正常取得しているので、何らかの対症療法が施されているように見えます。https://code.google.com/p/chromium/issues/detail?id=68298によれば13で修正されているようですがregressionでしょうか、はたまた別件でしょうか。Range, If-*ヘッダをログ、ChromeからのRangeはunsetして様子を見ることにします。

誤検知: cmdproxy.exe Trojan.Win32.Siscos.ipv

2012-03-072021-11-16 清水文行

新しい機械をセットアップするといろいろ起きて楽しいです。WindowsでもGNU Emacsでちゃちゃちゃっと便利に済ませたいときがよくあるのでNTEmacs 23.3をぶち込んだところ、Vulnerability Scanが便利なKasperskyさんが表題の警告を表示。variant部分が3文字です。Trojan.Win32.Siscos.ipvは最近追加された亜種、詳細説明無し。Trojan.Win32.SiscosのNumber of resultsは6453だそうで。データを盗むということのようですがdetached署名でも確認してあり VirusTotalで2/43、しかも片方はsuspiciousなので誤検知ということで良さそうです。(最近出たemacs-23.4-bin-i386.zipの方は署名に使われているkey ID 0x597F9E69(0x587DE7C6597F9E69)な公開鍵がGNUの公開鍵一覧にもメジャーなキーサーバにも存在していないのでFSFに鍵無いと連絡だけしてとりあえず放置してありますが、こちらのcmdproxy.exeはどうだったんでしょうね)

シェルを呼び出してまでWindowsでEmacsを使うこともないのでさくっとquarantineしてくれちゃって良いのですが、一応困る人がいるかもしれないのでunbel32以来久々のfalse detectionの報告をしたところ、「ごめん、誤検知。次で直すね。ありがとー!(超訳)」とのお返事。

問題イベント名: BEX

2012-03-072016-08-26 清水文行

http://technet.microsoft.com/en-us/library/cc738483(v=WS.10).aspx によれば a buffer overflow or DEP exception だそうな。ってことは例外は全部 ?EX なのか、例外は最大で26個までなのか、はたまた36個までなのか、特別例外とかいう「イベント」があったらまずくないのか、などなどBOFとでも書いておいてくれればいだくはずもない素朴な疑問はおいておいて、バイナリが正しい配布のものであることを確認して、複数のアンチウィルスでも確認、さらに可能であればそれがDEPに対応できていないことを確認した後にわざわざその実行ファイルでのDEPを無効にし、実行完了後に戻すことにします。

今回はWindows用JREインストーラ実行開始直後

Java(TM) Platform SE binary は動作を停止しました
...
問題の署名:
  問題イベント名:        BEX
  アプリケーション名:  jre-6u31-windows-i586.exe
  アプリケーションのバージョン:   6.0.310.5
  アプリケーションのタイムスタンプ:     4f2ce2fa
  障害モジュールの名前:       StackHash_6718
  障害モジュールのバージョン:      0.0.0.0
  障害モジュールのタイムスタンプ:        00000000
  例外オフセット:        046898a0
  例外コード:      c0000005
  例外データ:      00000008
  OS バージョン:   6.1.7601.2.1.0.256.48
  ロケール ID:      1041
  追加情報 1:       6718
  追加情報 2:       6718520661a5809bd4bc4af70234b126
  追加情報 3:       2b9a
  追加情報 4:       2b9a6b667e74ecf8b9265e65579805bf

Java(TM) Platform SE binary は動作を停止しました

...

問題の署名:

問題イベント名: BEX

アプリケーション名: jre-6u31-windows-i586.exe

アプリケーションのバージョン: 6.0.310.5

アプリケーションのタイムスタンプ: 4f2ce2fa

障害モジュールの名前: StackHash_6718

障害モジュールのバージョン: 0.0.0.0

障害モジュールのタイムスタンプ: 00000000

例外オフセット: 046898a0

例外コード: c0000005

例外データ: 00000008

OS バージョン: 6.1.7601.2.1.0.256.48

ロケール ID: 1041

追加情報 1: 6718

追加情報 2: 6718520661a5809bd4bc4af70234b126

追加情報 3: 2b9a

追加情報 4: 2b9a6b667e74ecf8b9265e65579805bf

JREインストーラのハッシュはどこにも見当たらないのでインストーラ本体のデジタル署名を隅々まで確認。もっともらしそう。「オンラインで解決策を確認してプログラムを終了します」をクリックすると無言のまま終了。何も無いことを確認してくれたんですね。

このインストーラに対してDEPくらい対応してよという声も複数見つかるので、では半べそですがインストーラのDEPを無効にします。 EMET があれば簡単です。’Configure System’ボタンを押し、DEP を ‘Always On’ から ‘Application Opt Out’ に格下げ。’Configure Apps’ボタンを押して jre-6uxx-windows-xxx.exe を追加、DEPのチェックをはずし、OSごとリブート。インストーラを実行してインストール完了後に’Configure Apps’で追加したものを削除して、DEPを’Always On’に戻して完了。

老舗ダウンロードサイトが勝手に独自インストーラでラップ

2011-12-072021-11-16 清水文行

今年の8月よりCNETの老舗ダウンロードサイト Download.com が広告対象のソフト(ツールバー)の独自インストーラでオリジナルのインストーラをラップするという暴挙に出ているというFyodorさんの怒りの記事です…ちょっと前は広告対象をインストールしないと目的のソフトがインストールできないようになっていた(VLC)とか、お子様用のソフト(Kea Coloring Book)もとか、上塗りで何かとまずいですね…

追記: SourceForgeもやらかしました。

複数経路で入手したハッシュ値での確認の必要性を再認識させられます。

国ごとのIPアドレスの範囲 – RIR stats -> 各国のIPv4とIPv6のCIDR

2011-11-242021-11-16 清水文行

ありがちな作業なのでそのものずばりなツールはごまんとありそうですが、極力先人の知恵を組み合わせて手抜きしながらIPv6対応のものを自力生成してみます。net-mgmt/p5-Net-IPが超便利です。最近はaggregateされたものは置いてないようなので aggregate-cidr-addresses を使います。NANOG MLのメールのとおりにIPv6の場合はprefix()をprint()に変更します。

#!/usr/bin/perl
# -*- mode: cperl; coding: iso-8859-1; tab-width: 8 -*-
use Net::IP;
use strict;

my $cc = 0 > $#ARGV ? 'JP' : $ARGV[0];
foreach (<stdin>) {
  chomp;
  if ($_ =~ /\|$cc\|ipv([46])\|([^\|]+)\|(\d+)\|/) {
    if (4 == $1) {
      my $ip = new Net::IP ("$2 + " . ("$3" - 1)) || die ('argument for Net::IP');
      foreach ($ip->find_prefixes ()) {
        print "$_\n";
      }
    } else {
      print "$2/$3\n";
    }
  }
}
close (AGR);
# end of file

#!/usr/bin/perl

# -*- mode: cperl; coding: iso-8859-1; tab-width: 8 -*-

use Net::IP;

use strict;

my $cc = 0 > $#ARGV ? 'JP' : $ARGV[0];

foreach (<stdin>) {

chomp;

if ($_ =~ /\|$cc\|ipv([46])\|([^\|]+)\|(\d+)\|/) {

if (4 == $1) {

my $ip = new Net::IP ("$2 + " . ("$3" - 1)) || die ('argument for Net::IP');

foreach ($ip->find_prefixes ()) {

print "$_\n";

}

} else {

print "$2/$3\n";

}

close (AGR);

# end of file

上を hoge.pl とでもして保存。先ほどの aggregate-cidr-addresses もその名前のままダウンロードして、最後の

foreach (@addrs) {
    print $_->prefix(), "\n";
}

foreach (@addrs) {

print $_->prefix(), "\n";

}

の部分を

foreach (@addrs) {
  if ($_) {
    print 6 eq $_->version ? $_->print() : $_->prefix(), "\n";
  }
}

foreach (@addrs) {

if ($_) {

print 6 eq $_->version ? $_->print() : $_->prefix(), "\n";

}

に置き換えます。日本のサイダーであればfetchなりwgetなりを使って

fetch 'ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest'
perl hoge.pl JP <delegated-apnic-latest | perl aggregate-cidr-addresses >jp

1 2	fetch 'ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest' perl hoge.pl JP <delegated-apnic-latest \| perl aggregate-cidr-addresses >jp

お気楽日本のサイダー jp のできあがり。全部のRIR statsは以下のとおり。

ftp://ftp.apnic.net/pub/stats/apnic/
ftp://ftp.lacnic.net/pub/stats/lacnic/
ftp://ftp.ripe.net/pub/stats/ripencc/
ftp://ftp.arin.net/pub/stats/arin/
ftp://ftp.afrinic.net/stats/afrinic/

ftp://ftp.apnic.net/pub/stats/apnic/

ftp://ftp.lacnic.net/pub/stats/lacnic/

ftp://ftp.ripe.net/pub/stats/ripencc/

ftp://ftp.arin.net/pub/stats/arin/

ftp://ftp.afrinic.net/stats/afrinic/

頻繁にRIRにftpしないように良い子はちゃんとftpしたファイルを保存します。あとRIR dbはただの登録情報なので、実際に設置されている国と異なったりanycastだったりする場合も多いので、もう少し精度良く場所を知りたい場合はGeoIPなどの他、looking glass, traceroute, whoisなどを使って推察していくことになります。

archiver/php5-zip (pcre.h: No such file or directory)

2011-10-182021-11-16 清水文行

devel/php5-pcre (port directory error)の記事を書いてから早1年半以上たったところで思わぬ事態に遭遇。archiver/php5-zipのmake中に

In file included from /usr/ports/archivers/php5-zip/work/php-5.3.8/ext/zip/php_zip.c:30:

/usr/local/include/php/ext/pcre/php_pcre.h:29:18: error: pcre.h: No such file or directory

/usr/local/include/pcre.h はあるので、よく見ると -I/usr/local/include が無いです。configure がおかしかったことになるので config.m4 と config.log を見ると、 PHP_PCRE_DIR に /usr/local が指定されるところまでは正常、その後

#include <main/php_config.h>
#if defined(HAVE_PCRE) && !defined(COMPILE_DL_PCRE)
yes
#endif

#include <main/php_config.h>

#if defined(HAVE_PCRE) && !defined(COMPILE_DL_PCRE)

yes

#endif

をプリプロセッサに渡して出来上がりに yes があるかという条件判定で PHP_PCRE_REGEX=no になってしまっています。php/main/php_config.h は php/ext/php_config.h を読み込み、さらに php/ext/pcre/config.h を読んでいます。そこには #define COMPILE_DL_PCRE 1 の行が。というわけで1年半前のports/UPDATING の指示は微妙に作業が足りていないようです。/usr/local/php/ext/php_config.h に、必要の無い行がある場合は削除します(pcre spl以外は実際に存在していたか特に確認していません)。

# cd /usr/local/include/php/ext
# cp -p php_config.h php_config.h.prev
# fgrep -v -e ext/pcre/ -e ext/spl/ -e ext/dbase/ -e ext/ncurses/ -e ext/ming/ -e ext/mhash/ php_config.h.prev > php_config.h

# cd /usr/local/include/php/ext

# cp -p php_config.h php_config.h.prev

# fgrep -v -e ext/pcre/ -e ext/spl/ -e ext/dbase/ -e ext/ncurses/ -e ext/ming/ -e ext/mhash/ php_config.h.prev > php_config.h

間違いの無いようにファイルも

# /bin/sh
# for p in pcre spl dbase ncurses ming mhash; do [ -f "$p/config.h" ] && mv -v "$p/config.h" "$p/config.h.prev"; done
# exit

# /bin/sh

# for p in pcre spl dbase ncurses ming mhash; do [ -f "$p/config.h" ] && mv -v "$p/config.h" "$p/config.h.prev"; done

# exit

とでもしてリネームしておきます。最後に

# portupgrade -fr lang/php5

1	# portupgrade -fr lang/php5

あたりをしておけば安心です。ふぅ。/usr/ports/UPDATINGとしては1.5)を追加して

20100409:
  AFFECTS: users of lang/php5
  AUTHOR: ale@FreeBSD.org

  As of PHP 5.3, a few extensions were removed from or included into the core
  PHP5 package.  Follow the steps below to update your installation.

  1) Delete the following packages (if installed):

     - php5-dbase
     - php5-ncurses
     - php5-pcre
     - php5-spl
     - php5-ming
     - php5-mhash

     Keep package names in the output of this commend,
     # pkg_info -R php5-dbase php5-ncurses php5-pcre php5-spl php5-ming php5-mhash

     Delete them,
     # pkg_deinstall -f php5-dbase php5-ncurses php5-pcre php5-spl php5-ming php5-mhash

  1.5) Remove unused files (if installed):

     # cd PREFIX/include/php/ext
     # cp -p php_config.h php_config.h.prev
     # fgrep -v -e ext/pcre/ -e ext/spl/ -e ext/dbase/ -e ext/ncurses/ -e ext/ming/ -e ext/mhash/ php_config.h.prev > php_config.h
     # for p in pcre spl dbase ncurses ming mhash; do [ -f "$p/config.h" ] && mv -v "$p/config.h" "$p/config.h.prev"; done

  2) Rebuild lang/php5 and all ports that depend on it.

     # portupgrade -fr lang/php5
     # portupgrade -f [packaged names checked on step 1)]

20100409:

AFFECTS: users of lang/php5

AUTHOR: [email protected]

As of PHP 5.3, a few extensions were removed from or included into the core

PHP5 package. Follow the steps below to update your installation.

1) Delete the following packages (if installed):

- php5-dbase

- php5-ncurses

- php5-pcre

- php5-spl

- php5-ming

- php5-mhash

Keep package names in the output of this commend,

# pkg_info -R php5-dbase php5-ncurses php5-pcre php5-spl php5-ming php5-mhash

Delete them,

# pkg_deinstall -f php5-dbase php5-ncurses php5-pcre php5-spl php5-ming php5-mhash

1.5) Remove unused files (if installed):

# cd PREFIX/include/php/ext

# cp -p php_config.h php_config.h.prev

# fgrep -v -e ext/pcre/ -e ext/spl/ -e ext/dbase/ -e ext/ncurses/ -e ext/ming/ -e ext/mhash/ php_config.h.prev > php_config.h

# for p in pcre spl dbase ncurses ming mhash; do [ -f "$p/config.h" ] && mv -v "$p/config.h" "$p/config.h.prev"; done

2) Rebuild lang/php5 and all ports that depend on it.

# portupgrade -fr lang/php5

# portupgrade -f [packaged names checked on step 1)]

とでもなりましょうか。

RIP, dmr 1941-2011

2011-10-142016-08-26 清水文行

すごい勢いでつぶやかれているようですが、まさにこの本(K&R)が世のプログラミング言語に与えた影響は計り知れず、彼がいなければ世のOSの状況も変わっていたし、それに広範囲に依存している世の中も大きく変わっていたと思います。鶯色のカバーのANSI C対応第2版の翻訳本は今でもきれいに本棚に並んでいますが、高校生のころ読んだ白いカバーの初版の翻訳本はぼろぼろです。

#include <stdio.h>
#include "our_heartfelt_condolences.h"
main()
{
  printf("good bye, dmr, from the world, rip\n");
}

#include <stdio.h>

#include "our_heartfelt_condolences.h"

main()

{

printf("good bye, dmr, from the world, rip\n");

}

レセプトオンライン 7月分のレセプトデータが送れない

2011-07-072021-11-16 清水文行

今まで長いことオンライン請求できていたのに2011年7月から急にレセプトデータの送信時にハングアップするようになったという方が増えているようですが、原因はInternet Explorer 9に対応できていない(webサイトが)ことのようです。(その後サイト側のIE9対応完了したようなので、この件に該当する方は既にいらっしゃらないと思います)

請求期限までに送らないといけないのであわてていらっしゃる方も多いと思います。Windows Vista, Windows 7, Windows Server 2008で以前はIE8以下だったけれども現在IE9がインストールされているという場合は更新をアンインストールして以前のIEに戻せば送信できるようになる可能性があります。アンインストールは Internet Explorer 9 をインストールまたはアンインストールする方法の「Internet Explorer をアンインストールするには」以降(インストールの仕方の次の項です)に従えばできます。

レセプトオンライン用のPCでは、使用可能であることの確認ができるまではIE9をインストールしない、Windows UpdateでIE9を選択しない、あるいはIE9のインストールを開始する旨のダイアログが出た時点で「キャンセル」を押すなどの対応が必要です。

IE9のβが出てから大分たったような気がしますが、どんな時系列だったかを遡ってみると…

この辺が最近の主要なできごとのようです。Windows Updateで「重要な」ものを全部インストールするようにしている方は7月、能動的にIE9をインストールされた方は時期によって5月、6月でも問題に直面したことになります。動作環境ではないとはいえ非常に多くの人に生命線として利用されているものがいまだIE9で動作しない旨の表明が無い(2011/7/6現在)のが困りものですが、これだけ準備期間があったのにちょっと対応が遅いようです…

HylaFAXでの送受信速度を制限する

2011-04-182021-11-16 清水文行

回線は大丈夫でもモデムがおかしかったりして強制的に送受信速度を制限したい場合は、HylaFAXのコマンド設定の先頭に!をつけるとその応答があったとみなす機能を使用します。

Class 1 FAXモデムの場合 ITU-T.31

送信 (ITU-T.31の8.3.3およびTable 6)

例えばログに

Jan 18 10:13:33 FaxGetty[1194]: <-- [9:AT+FTM=?\r]
Jan 18 10:13:33 FaxGetty[1194]: --> [41:3,24,48,72,73,74,96,97,98,121,122,145,146]

1 2	Jan 18 10:13:33 FaxGetty[1194]: <-- [9:AT+FTM=?\r] Jan 18 10:13:33 FaxGetty[1194]: --> [41:3,24,48,72,73,74,96,97,98,121,122,145,146]

のように出ている場合で9600bit/sにしたい場合は、表を見ると121,122,145,146を削って設定ファイルに

Class1TMQueryCmd:       "!3,24,48,72,73,74,96,97,98"

1	Class1TMQueryCmd: "!3,24,48,72,73,74,96,97,98"

と記載すればよいことになりそうですが、実際にはV.17のトレーニングが成功してしまうために14400bit/sでの通信が始まります。V.17でトレーニングさせないためには参照先の表をよく眺めてこの場合は73,74,97,98,121,122,145,146も削らなければならないのでした。

Class1TMQueryCmd:       "!3,24,48,72,96"

1	Class1TMQueryCmd: "!3,24,48,72,96"

受信 (ITU-T.31の8.3.4およびTable 6)

同様に AT+FRM の応答ログと設定ファイルの Class1RMQueryCmd を使用します。

Class 2 FAXモデムの場合 ITU-T.32

ITU-T.32の8.5.1.1およびTable 21

同様に AT+FCC の応答ログと設定ファイルの Class2DCCQueryCmd を使用します。

Comodo affiliate RA was compromised

2011-03-242021-11-16 清水文行

Comodoより重要サイトの証明書が不正な相手に発行されたという記事。RAはどこだったんでしょうか(参考1, 参考2)。ちょっと昔のnull-prefixの証明書の話とは異なります。

Comodo: Report of incident on 15-MAR-2011
Comodo: The Recent RA Compromise
Firefoxの対応(ブラックリスト)(他のMozilla製品の対応は?)
Microsoftの対応(ブラックリスト)(要Windows Update)

How to avoid fraudulent SSLでは、失効した証明書を

OCSPレスポンダが提供されていてOCSPをサポートしているクライアント使用でも
- OCSPを有効にしていない
- OCSPレスポンダの応答がタイムアウトした場合に有効な証明書とみなすようにしている
場合に、クライアント側が有効な証明書とみなしてしまう
大手ブラウザはそのような状況用にブラックリストを更新 ⇒ 最新にせよ
OCSPを有効にせよ、タイムアウト時に証明書を無効として扱うようにせよ
EV SSLを使用せよ(いきなりサーバ側の話)(現在CAはOCSPをサポートしないといけない参照: EV SSL Certificate Guidelines 11.1.1)

などの、サーバ証明書を売る立場での説明があります。特に今回のような大きな問題の場合は、クライアントが検証用にCRLをダウンロードするタイミングよりOCSPレスポンダへの問い合わせのタイミングのほうが早い場合が多いのでしょう。

秘密鍵がポストされてしまったようなので、ブラックリストでの対応があるクライアントは最新にアップデート、OCSPに対応している場合はタイムアウトした場合も無効となることの確認が急がれます。

参考: MS01-017

CVE-2011-0411 Plaintext injection in STARTTLS

2011-03-082021-11-16 清水文行

Plaintext command injection in multiple implementations of STARTTLS (CVE-2011-0411) Wietseさんが具体例でSendmailとEximに影響が無い理由とPostfix(2.8リリース時に修正済み)やQmail-TLSなどには影響がある理由を示しながら、いつものように上手に説明をしてくれています。
Bugtraqへのポスト
VU#555316
CVE-2011-0411
NVD

多くのSMTPクライアントはサーバ証明書を検証しない -> その場合そもそもMITMがいない確認ができていないので常にcommand injectionに脆弱な状態 -> だからこの問題は見た目より大きな問題ではない。という皮肉が効いてます…今時だとスマホアプリやIoT機器(こちらはそれなりの値段で買わないと手に入らないものが多いので比較的公開されてませんが、某社製のSSLスタックを積んでたりすると…)のサーバ証明書の検証不備の脆弱性がその状態ですね。

というわけでSTARTTLSからみでSMTP over TLS以外にもしばらく後続がありそうです。

FreeBSD ACPI acpi_tz0: _CRT value is absurd, ignored (256.0C)

2011-02-242021-11-16 清水文行

HP Compaq nx6320/CT Notebook PC(ノートPC)にFreeBSDをぶち込んだところ表題のメッセージが出続けます。absurdですか、そうですねハンダが溶けそうです。acpi(4) と SEE ALSO の acpi_thremal(4) が関係ありそうです。 hw.acpi.thermal.tz%d._CRT は致命的なのでシャットダウンする温度だそうな。上書きできると書いてありますが、実は一瞬できるように見えるだけですぐにもとの値に戻るようです。 hw.acpi.thermal.polling_rate を 0 にしてポーリングを止めてしまうという荒技だと猛暑のときに機械が壊れそうなので、こちらacpi_tz0: _CRT value is absurd, ignored (256.0C) (was pr kern/105537) FIX?のようにしてみます。

# acpidump -dt >nx6320.asl
# cp -p nx6320.asl nx6320.asl.orig

1 2	# acpidump -dt >nx6320.asl # cp -p nx6320.asl nx6320.asl.orig

中身を眺めると、 ThermalZone (TZ0) の中が記事で参照しているところと同様のようです。単位は0.1Kのようなので、90℃=363.15K=3631.5*0.1K を返すようにしてみます。

--- nx6320.asl.orig     2011-02-10 19:49:59.000000000 +0900
+++ nx6320.asl  2011-02-10 23:12:08.000000000 +0900
@@ -12942,7 +12942,8 @@

             Method (_CRT, 0, Serialized)
             {
-                Return (C316 (0x04, 0x00))
+                Return (3632)
             }

             Method (_TMP, 0, Serialized)

--- nx6320.asl.orig 2011-02-10 19:49:59.000000000 +0900

+++ nx6320.asl 2011-02-10 23:12:08.000000000 +0900

@@ -12942,7 +12942,8 @@

Method (_CRT, 0, Serialized)

{

- Return (C316 (0x04, 0x00))

+ Return (3632)

}

Method (_TMP, 0, Serialized)

これを元に

# mkdir tmp
# iasl ./nx6320.asl
# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

# mkdir tmp

# iasl ./nx6320.asl

# mv -i ./tmp/acpidump.aml /boot/nx6320.aml

あとはハンドブックの通りに /boot/loader.conf に以下を追加。

acpi_dsdt_load="YES"
acpi_dsdt_name="/boot/nx6320.aml"

1 2	acpi_dsdt_load="YES" acpi_dsdt_name="/boot/nx6320.aml"

リブートして表題のメッセージは止まりました。よかったよかった。

PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)

2011-02-152021-11-16 清水文行

2011/10/8追記: WordPress TimThumb RFI Vulnerability used as Botnet Recruitment Vectorにあるようなurlがquery string上で目立つTimThumbを狙ったアクセスを頻繁に観測していますが、PivotXも2.3.0のリリースノートでさりげなく書いてあるように本体がTimThumbを搭載しています。常にリリース状況を確認して最新にされることをお勧めします。なおこの問題に脆弱なPivotXのfingerprintingも、多くのケースでそうであるようにヘッダも含めてバージョン表示を消したところで即時に可能です。

2011/2/19追記: CVE-2011-1035, Vulnerability Note VU#175068

2011/2/14: PivotX 2.2.4がリリースされても告知が無く、SourceForgeにもリリースのアーカイブファイルがアップロードされないのでどうなっているのか見てたところ、フォーラムで開発チームからいくつか発言が出てきました。

2.2.4は緊急セキュリティ修正、そしてまもなく2.2.4での修正による悪影響を修正した2.2.5が~~出てくるそうです~~2011/2/17早朝に2.2.5リリースされました。SourceForgeにも置かれています。実際に攻撃があったことが複数報告されています。開発チームは詳細の公開を望んでいないようですが、結構誰でもすぐにわかってしまうかも…というかそもそも攻撃が現在進行形であるようなので可及的速やかに~~2.2.4、そしてリリースされ次第~~2.2.5以降にアップデートする必要があることになります。 http://pivotx.net/ の下の方にある最新情報を軒並み注意しておくとよろしいかと思います。アップデートだけではなく images/ と pivotx/templates/ を含むすべてのフォルダにmalwareが置かれていないことも要確認です。必要の無いファイルがある場合はダッシュボードに注意をうながすメッセージが出るようですが、出ないからと安心してしまわないようにしたいものです。全員のユーザ名が予測困難なものであることの確認とパスワードの変更を検討された方がよろしいかもしれません。

直接この問題とは関係無く、admin,system,pivotxなどの容易なユーザ名や、簡単にblogエントリから推測できるようなユーザ名は使用しないことを周知するとよろしいです。またCSRFはかわせないですがscript kiddieによる外部からのpivotx/index.phpへの直接攻撃には、例えばApache HTTPDで10.1.2.128/25,192.168.0.0/16からしかログインできないようにして良い状況でサーバ設定ファイルが変更できるのであれば

<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   Order Deny,Allow
   Deny from all
   Allow from 10.1.2.128/25
   Allow from 192.168.0.0/16
</locationMatch>
とか
<locationMatch "^/*yourblogdir/+pivotx(?:/+(?:index(?:..*)?)?)?$">
   <RequireAny>
     Require ip 10.1.2.128/25
     Require ip 192.168.0.0/16
   </RequireAny>
</locationMatch>

Order Deny,Allow

Deny from all

Allow from 10.1.2.128/25

Allow from 192.168.0.0/16

</locationMatch>

とか

Require ip 10.1.2.128/25

Require ip 192.168.0.0/16

</RequireAny>

</locationMatch>

さらに403では無くてリダイレクトさせるには追加で

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$    /$1/? [R=301,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^/*(yourbogdir)/+pivotx(?:/+(?:index(?:..*)?)?)?$ /$1/? [R=301,L]

.htaccessしか使えない場合はyourblogdir/pivotx/.htaccessファイルを作成して

RewriteEngine On
RewriteCond %{REMOTE_ADDR}  !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$
RewriteCond %{REMOTE_ADDR}  !^192.168.
RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^10.1.2.(?:12[89]|1[3-9][0-9]|2[0-5][0-9])$

RewriteCond %{REMOTE_ADDR} !^192.168.

RewriteRule ^(?:index(?:..*)?)?$ - [F,L]

(yourblogdirはそれぞれの環境に合わせて)程度の制限をしておいても良いかもしれません。くどいようですがCSRFはこれでは防げません。pivotx/index.phpを利用した直接攻撃だけに対する限定的な緩和策で、基本は常に最新版へのアップデートです。

なおこの問題に脆弱なPivotXのfingerprintingは、多くのケースでそうであるようにヘッダも含めてバージョン表示を消そうとも即時に可能です。

2011/2/22:

netname: VODAFONE-TURKEY-3G-46-106
descr:   Vodafone Turkey 3G IP Pool
country: TR

netname: VODAFONE-TURKEY-3G-46-106

descr: Vodafone Turkey 3G IP Pool

country: TR

から、google.com.tr の検索語 “inurl:jp pivotx” のSERPがReferer:の攻撃を観測しましたよ。

2011/2/17早朝:2.2.5がリリースされてSourceForgeにも置かれました。

2011/2/16朝:pivotx.netさきほど復活しました。

2011/2/15現在:pivotx.netがある共有サーバがダウンしてSourceForgeでも2.2.4以降のリリースとしてのアーカイブは入手方法がありませんが、SVNにコミットされたリリース前版は入手可能です:

http://sourceforge.net/projects/pivot-weblog/develop
http://web.archive.org/web/20160416045740/http://book.pivotx.net/page/1-2 trunk は現在2.3pre-alphaだそうなので、2.2系利用中の方は2.2.xのbranchが良いかと思います。SVN無しでもSorceForgeのレポジトリからのtar機能も一応使えます。リリース前なのでバージョン表記の変更が入ってませんが、 svn co した場合は pivotx/lib.php の $Rev$ が 3505 以降になっているはずです。なおリリースのアーカイブに含まれるextentionsは別途取得となります。gettextの.poファイルはPixotXの実行時に必要ありません。
- svn co https://pivot-weblog.svn.sourceforge.net/svnroot/pivot-weblog/branches/2.2.x 2.2.x
- http://pivot-weblog.svn.sourceforge.net/viewvc/pivot-weblog/branches/2.2.x/

kana.me 要

カテゴリー: System Admin

unzip: ZIP decompression failed (-3) unzip fails to extract password protected archive

チップのバックドア

HTTP status code 416 (Chrome)

誤検知: cmdproxy.exe Trojan.Win32.Siscos.ipv

問題イベント名: BEX

老舗ダウンロードサイトが勝手に独自インストーラでラップ

国ごとのIPアドレスの範囲 – RIR stats -> 各国のIPv4とIPv6のCIDR

archiver/php5-zip (pcre.h: No such file or directory)

RIP, dmr 1941-2011

レセプトオンライン 7月分のレセプトデータが送れない

HylaFAXでの送受信速度を制限する

Class 1 FAXモデムの場合 ITU-T.31

送信 (ITU-T.31の8.3.3およびTable 6)

受信 (ITU-T.31の8.3.4およびTable 6)

Class 2 FAXモデムの場合 ITU-T.32

ITU-T.32の8.5.1.1およびTable 21

Comodo affiliate RA was compromised

CVE-2011-0411 Plaintext injection in STARTTLS

FreeBSD ACPI acpi_tz0: _CRT value is absurd, ignored (256.0C)

PivotXを利用されている方は最新版にアップデートするべし (was: PivotXを利用されている方は2.2.5以降へアップデートするべし CVE-2011-1035)