皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は昨日の続きになります。

『Apache 2.4』では『アクセス制御』の記述方法が『Apache 2.2』から大きく変更されていますので、昨日に続き、今日はいくつかの記述方法をお伝えします。

Apache2.4でのアクセス制御サンプル

＜すべての要求を拒否する＞

これだけは昨日の投稿でも書きましたが念のため。

（Apache 2.2）

Order deny,allow
Deny from all

（Apache 2.4）

Require all denied

＜すべての要求を許可する＞

（Apache 2.2）

Order allow,deny
Allow from all

（Apache 2.4）

Require all granted

＜IPを指定する場合＞

（Apache 2.2）

・許可：Allow from 192.168.0.1

・拒否：Deny form 192.168.0.1

（Apache 2.4）

・許可：Require ip 192.168.0.1

・拒否：Require not ip 192.168.0.1

＜環境変数を利用する場合＞

（Apache 2.2）

SetEnvIf User-Agent “Googlebot” Allowbot
Allow from env=Allowbot

（Apache 2.4）

SetEnvIf User-Agent “Googlebot” Allowbot
Require env Allowbot

こんな感じになります。

少しまとめてみると『Apache 2.4』では以下のようになります。

・すべてを許可：Require all granted

・すべてを拒否：Require all denied

・個別指定で許可：Require ip 192.168.0.1 / Require host example.com / Require env example

・個別指定で拒否：Require not ip 192.168.0.1 / Require not host example.com / Require not env example

＜条件ディレクティブ＞

今まで記述したものに加え、『Apache 2.4』では以下の『ディレクティブ』を使って条件を指定できます。

・RequireAll：すべての条件にマッチすれば許可

・RequireAny：条件に一つでもマッチすれば許可

・RequireNone：条件に一つでもマッチすれば拒否

例えば、Basic認証でIPアドレスも条件に加えた場合、

<RequireAll>
Require user admin
Require ip 192.168.0.1
</RequireAll>

（AuthUserFile、AuthGroupFile、AuthName、AuthTypeなどはApache 2.2と同じです。）

といった感じになります。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

私もここ最近で気づかされたことがあります。

Webサーバーの『Apache』が『Apache 2.4』からアクセス制御の記述方法が大きく変わっていることを。

Apache2.4におけるアクセス制御

『.htaccess』などに記述するアクセス制御ですが、『Apache 2.2』と『Apache 2.4』では記述方法が異なります。

例えば、すべての要求を拒否する場合に『Apache 2.2』では

Order deny,allow
Deny from all

と記述していましたが、『Apache 2.4』では

Require all denied

と記述します。

ただし、多くのホスティング会社では従来の『Apache 2.2』の記述方法でアクセス制御が可能となるよう、『Apache』に『モジュール』を追加して対応していると思われます。

それならば問題はないのでは？

となるところですが、

サーバーの高負荷などが原因でその『モジュール』が正常に動作しないことが発生すれば別です。

『500 Internal Server Error』となりWebサイトが表示されなくなります。

つまり、そういったエラーの要因を一つでも減らしておくには『Apache 2.4』の記述に変更すべきと言えるわけです。

明日に続く。。。

これは過去のものにも影響する『セキュリティメンテナンス』とされています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日でしたでしょうか、早くもWordPressの更新版『WordPress 5.0.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.0.1への更新を強く推奨

WordPressのブログニュースを見る限り、今回のリリースは『WordPress 3.7以降のすべてのバージョン』に対するセキュリティリリースで、『すぐにサイトを更新することを強くお勧めします』とされています。

リスクを考えると、『WordPress 5.0″ベボ”』へのアップデートを様子見していた方もアップデートせざるを得ないとも言えます。

以下、発見された脆弱性の内容です。

１．著者が許可されていないファイルを削除するためにメタデータを変更できてしまう

２．著者が特別に細工された入力で許可されていないタイプの投稿を作成できる可能性がある

３．コントリビュータがPHPオブジェクトインジェクションの結果としてメタデータを作成できてしまう

４．コントリビュータがより高い権限を持つユーザーからの新しいコメントを編集し、クロスサイトスクリプティングの脆弱性を招く可能性がある

５．特別に細工されたURL入力が、状況によってはクロスサイトスクリプティングの脆弱性を引き起こす可能性がある

（WordPress本体は影響を受けていなかったが、プラグインはいくつかの状況にある可能性がある）

６．ユーザーアクティベーション画面を検索エンジンで索引付けすることができ、電子メールアドレスの公開につながり、場合によってはデフォルトのパスワードが生成される

７．Apacheホストサイトの作者がMIME検証をバイパスする細工されたファイルをアップロードし、クロスサイトスクリプティングの脆弱性を引き起こす

早めの段階でWordPress 5.0.1へアップデートされることがお勧めです。

理想のショップは作れる
“あなたのための” EC-CUBEできました

EC-CUBE 4は、EC-CUBE 3からのメジャーバージョンアップ版です。
前バージョンEC-CUBE 3より、フレームワーク構成がシンプルになり、パフォーマンスや機能カスタマイズ性が大幅に向上した他、スタイルガイドの整備、管理画面UIの改善、プラグインの安定化など、エンジニア・デザイナー・運営管理者・顧客すべてにとって“使いやすいEC-CUBE”を目指し開発された新バージョンです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

EC-CUBE 2系がリリースされたのが2007年、EC-CUBE 3系がリリースされたのが2016年7月、この2つの間には約9年程の期間があったわけですが、2018年10月、前回から2年強の期間でEC-CUBE 4系が正式にリリースされました。

EC-CUBE 4系が新たに登場した

EC-CUBE 4、前回のEC-CUBE 3の登場に比べるとかなり短い期間でメジャーバージョンアップ版がリリースされました。

EC-CUBEの開発ドキュメントにあるシステム要件を見てみると、PHPなどにおいては新しめのソフトウェア要件がありそうです。

機能面においては、EC-CUBE 3系と比べEC-CUBE 4系では以下のことが可能になっています。

＜フロント機能＞

１.商品一覧からカートに追加

２．カートの永続化機能

３．パスワード再設定

＜管理機能＞

１．売上状況グラフ

２．おすすめプラグイン

３．商品一括変更機能

４．タグ登録/編集

５．出荷CVS登録

６．対応状況一括変更

７．出荷メール一括送信機能

８．問い合わせ番号（出荷伝票番号）入力機能

９．配達用メモ登録機能

１０．モバイル専用レイアウト設定

１１．HTMLコードエディタ

１２．マルチパートメール設定

１３．プラグイン検索・インストール

１４．プラグインハンドラ設定

このような感じになっています。

EC-CUBE 3系はあまり好評ではなかったのか、今回のEC-CUBE 4系の方がEC-CUBE 2系からのリニューアルといった感じも受けます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

昨日、IPAがとてもありがたいページをサイト上に公開してくれました。

今日はそれに関してお伝えします。

IPAのセキュリティ情報ページとは

IPAが公開した『セキュリティ情報』のページとは、ウェブサーバ上で動作しているサーバ用ソフトウェアのうち、日本で広く利用されているオープンソフトウェアを対象としてまとめてくれたものになります。

対象としているのはウェブサイト運営者、ウェブサイト・ウェブシステムを構築する事業者、システム管理者、ということになっています。

情報源はインターネット上で公開されている製品情報とセキュリティに関する情報にはなりますが、週1回程度の更新を予定しているため、定期的に当該ページをチェックすることである程度一括して情報把握ができます。

もちろん、従来の重要なセキュリティ情報は随時更新されます。

そして、このページでは以下のオープンソースソフトウェアに関する製品及びセキュリティ情報が掲載されます。

・Apache HTTP Server

・Apache Struts

・Apache Tomcat

・ISC Bind

・OpenSSL

・WordPress(日本語)

・Joomla!Japan

また、各オープンソースソフトウェアの掲載内容は以下のものが掲載されます。

・開発者情報（ウェブサイトへのリンク）

・ダウンロード情報

・セキュリティ情報

・最新バージョン情報

・脆弱性などに対する注意喚起情報などの参考情報

以上のような感じになっております。

ウェブ担当者の方などは是非活用されると良いです。

参考：『サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報』

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日は多くの脆弱性情報をお伝えします。

PHPやその他における脆弱性情報

4月4日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

1.複数のCisco製品に脆弱性

複数のCisco製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、Cisco IOS ソフトウェア / Cisco IOS XE ソフトウェア / Cisco IOS XR ソフトウェア。

Cisco提供の修正済みバージョンへの更新で解決。

2.複数のApple製品に脆弱性

複数のApple製品に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行ったり、任意のコードを実行したりするなどの可能性がある。

対象は、iCloud for Windows 7.4 より前 / Safari 11.1 より前 / macOS High Sierra 10.13.4 より前 / macOS Sierra（Security Update 2018-002 未適用） / OS X El Capitan（Security Update 2018-002 未適用） / iTunes 12.7.4 for Windows より前 / Xcode 9.3 より前 / tvOS 11.3 より前 / watchOS 4.3 より前 / iOS 11.3 より前のバージョン。

Apple提供の修正済みバージョンへの更新で解決。

3.Drupalに任意のコードが実行可能な脆弱性

Drupalに任意のコードが実行可能な脆弱性があり、遠隔の第三者が、細工したリクエストを送信することで任意のコードを実行する可能性がある。

対象は、Drupal 8.5.1 より前 / Drupal 7.58 より前のバージョン（サポートが終了しているDrupal 6系やDrupal 8.4系以前についても影響を受ける）。

Drupal提供の修正済みバージョンへの更新で解決。

4.OpenSSLに複数の脆弱性

OpenSSLに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、OpenSSL 1.1.0h より前の 1.1.0 系列 / OpenSSL 1.0.2o より前の 1.0.2 系列のバージョン。

OpenSSL Project提供の修正済みバージョンへの更新で解決。

5.Mozilla Firefox に解放済みメモリ使用の脆弱性

Mozilla Firefoxに解放済みメモリ使用の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Mozilla Firefox 59.0.2 より前 / Mozilla Firefox ESR 52.7.3 より前のバージョン。

Mozilla提供の修正済みバージョンへの更新で解決。

6.Windows 7 x64 / Windows Server 2008 R2 x64 に脆弱性

2018年1月にMicrosoftがリリースしたパッチをインストールしたWindows 7 x64 / Windows Server 2008 R2 x64に脆弱性があり、ログイン可能なユーザがシステムメモリ上の全てのコンテンツを読み出したり、書き込んだりする可能性がある。

対象は、Windows 7 x64 / Windows Server 2008 R2 x64。

Microsoft提供の更新プログラムの適用で解決。

7.Apache Struts 2 にサービス運用妨害（DoS）の脆弱性

Struts REST Pluginが使うXStreamライブラリの処理に脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行う可能性がある。

対象は、Apache Struts 2.1.1 から 2.5.14.1。

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

8.Ruby に複数の脆弱性

Rubyに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、Ruby 2.2.10 より前の 2.2 系 / Ruby 2.3.7 より前の 2.3 系 / Ruby 2.4.4 より前の 2.4 系 / Ruby 2.5.1 より前の 2.5 系のバージョン。

Ruby提供の修正済みバージョンへの更新で解決。

9.PHP に複数の脆弱性

PHPに複数の脆弱性があり、遠隔の第三者がサービス運用妨害（DoS）攻撃を行うなどの可能性がある。

対象は、PHP 7.2.4 より前 / PHP 7.1.16 より前 / PHP 7.0.29 より前 / PHP 5.6.35 より前のバージョン。

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

10.バッファロー WZR-1750DHP2 に複数の脆弱性

バッファロー製 WZR-1750DHP2に複数の脆弱性があり、当該製品が接続しているネットワークにアクセス可能な第三者が、当該製品上で任意のコマンドを実行するなどの可能性がある。

対象は、WZR-1750DHP2 ファームウエア Ver.2.30 およびそれ以前。

バッファロー提供の修正済みバージョンへの更新で解決。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

EC-CUBEを使ったショッピングサイトの構築において、それが素直に動作してくれないことがあります。

そんな時にはどのように対処したら良いのでしょうか？

EC-CUBE2におけるエラーの対処法

EC-CUBEは現在、Ver.3まで出ていますが、今でもVer.2を愛用している方も多いかと思います。

しかし、EC-CUBE2はまだPHP7には対応しておらず（対応中）、それがモジュール版であるかCGI版であるかによっても異なります。

確認をした限りでは、デフォルトでセットアップした場合、PHP5.6モジュール版は素直にインストールでき、動作する場合が多いですが、これが、PHP5系でもCGI版の場合にはインストールすらできない場合があります。

そんな時、以下のことを試してみて下さい。

１．PHPのバージョンを5.3で動作させてみる

２．/data/class/db/dbfactory/SC_DB_DBFactory_MYSQL.phpというファイルの最後の方に記述されている、『$objQuery->exec(‘SET SESSION storage_engine = InnoDB’);』の部分を、『$objQuery->exec(‘SET SESSION default_storage_engine = InnoDB’);』に変更してみる

この2つは、ベース環境となるApacheのバージョンに左右される可能性もありますので、これが絶対ではありませんが、試してみる価値はあるかと思います。

それでも動作しない場合はエラーログにて1つずつ確認していくことも必要になるかもしれません。

ご参考までに。

＜Update:2018/04/17＞

２に関しては、『storage_engine』がMySQL5.7.5以降で削除になっているためですので、MySQL5.7.5以降の場合に試してください。

default_storage_engine should be used in preference to storage_engine, which is deprecated and was removed in MySQL 5.7.5.
（default_storage_engineは、storage_engineより優先して使用する必要があります。これは廃止され、MySQL 5.7.5では削除されました。）

参考：MySQL 5.7 Reference Manual

それを受け、JPCERTやIPAにおいても注意喚起が促されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のセキュリティ機関が、3月に発覚したApache Struts2の脆弱性を突いた攻撃事案が急増していることを報告しました。

Apache Struts2とは？

そもそもApache Strutsというのは、Apacheソフトウェア財団が開発したオープンソースのJava Webアプリケーションフレームワークの機能改良版です。

従って、サーバにてJava Webアプリケーションフレームワーク、Apache Struts2が使われていなければ今回の問題は無関係ですので無視して構いません。

ランサムウェアに悪用されてしまう

Apache Struts2を使っている環境においては直ぐに更新版をインストールする必要があります。

今回の脆弱性を突かれてしまった場合、悪用された場合にはリモートでコードを実行し、不正なスクリプトを通じてコンピュータにダウンロードされ、ファイルを暗号化してしまい、身代金を要求されることになります。

こういった、Windowsに対する攻撃に悪用される事例が多く発生しているようなのです。

この脆弱性の対象は、Apache Struts 2.3.5からStruts 2.3.31までと、Apache Struts 2.5-Struts 2.5.10までで、それぞれ、Apache Struts 2.3.32、Apache Struts 2.5.10.1へアップロードする必要性があります。

自社内サーバではなく、社外のレンタルサーバなどを使用している場合においては各社の対応状況を確認しておいた方が良さそうです。