Tag: セキュリティ’

phpMyAdminの脆弱性を狙った攻撃が増加中

 - by naoki

phpMyAdminを狙う攻撃が増加だってさ。
うちの環境は最新の状態になっているから大丈夫そうだけど、某ホスティングサービスのレンサバとか大丈夫なのだろうか。
ちなみに「さくらインターネット」さんは3.3.10.3だった。

2011年の年末から2012年にかけて、phpMyAdminの脆弱性を狙った攻撃が増加しており、
注意が必要だ。いくつかのブログで、phpMyAdminの脆弱性をスキャンしたと見られる
ログが報告されている。

phpMyAdminは、PHPで実装されたMySQLの管理ツールだ。
機能が豊富で、Webインターフェイス経由でMySQLを管理できることから広く利用される一方で、
複数の脆弱性が発見されており、たびたび攻撃の標的になってきた。
古くは2009年3月に、「phpMyAdminのsetup.phpにおける任意のPHPコードを挿入される
脆弱性(CVE-2009-1151)」が発見され、学術機関を中心に被害が発生した。
また2011年7月にも、任意のコードを実行可能な2種類の脆弱性(CVE-2011-2505、CVE-2011-2506)が
発見されている。この脆弱性に関するNTTデータ先端技術のレポートによれば、
これら2つの脆弱性を組み合わせて利用し、細工したHTTPリクエストを送り付けることによって、
Webサーバの実行権限で任意のPHPコードを実行可能となってしまう。実際に同社が、
Debian6.0.2上のphpMyAdmin3.3.10を用いて検証を実施したところ、細工を施した
HTTPリクエストを介してコンフィグファイルを出力させ、任意のコマンドを実行できる
スクリプトを設置、実行できることが明らかになった。

またラックでは2011年12月16日に、phpMyAdminの脆弱性を狙った攻撃に関する被害相談が
複数寄せられていることを受け、注意喚起を行っていた。
対策は、脆弱性を修正済みのバージョン3.3.10.2/3.4.3.1以上にアップグレードすること。
また、基本的にphpMyAdminは外部に公開する必要はないため、インターネットに公開しないか、
するとしても接続できるIPアドレスを制限するといった手法も有効だ。

http://www.atmarkit.co.jp/news/201201/16/phpmyadmin.html

【財布】連休中盤でやらかした件【紛失】

 - by naoki

連休のど真ん中でお財布を落としました。
現金は3,500円くらいしか入ってなかったけど免許証、保険証、クレジットカード*2、銀行カード*2、ビックカメラとかヨドバシカメラとかグリンピースとか色々なお店のポイントカードも一緒に失った。
お財布はツモリチサトのお財布でとっても大事に使っていて、もちろんすごく気に入ってたのに。
失ってしまった。
最近買ったお気に入りのハンドバックと自宅の鍵と一緒に何処かに置き忘れてきてしまった。
最初は「なんとかなるっしょ」なんて斜に構えてたけど、バスやら鉄道の各交通機関に連絡したり、警察に紛失届けを出したり、oricoに連絡してカード止めたり、銀行に連絡して口座を凍結してもらったり、ネットバンク口座を凍結してもらったり・・・・。
んな事後作業をしているうちに事の重大さにジワジワと気付いてきて、嫌な汗が止まらなくなってた。
そんな個人情報と一緒に自宅の鍵も落としたわけだから、それをもし悪い人が拾っていたとしたらと思うと更に変な汗が。
連休明けるまで銀行窓口開かないから手持ちのお金も無いし、なんか人生のどん底に突き落とされた感じ。
自業自得なんだからしょうがないんだけどさ。
tsumorichisato-saihu.jpg
↑落とした財布。
あ、これを見てる方で最近お財布拾った人連絡ください。
どんなお財布でもいいんで連絡ください。
多分それ僕のです。
男物の財布とか女物の財布とか関係ないです。
全部僕の財布です。
僕が回収しますんで連絡ください。
お財布だけの届出ですとお茶の一杯くらいでしか対応しませんが、その財布の中に諭吉さんでも入れてくれれば一緒に写真までOKです。
顔出しもOKです。
肖像権は僕にあるので無断複製・転載は勘弁してくださいね。
別途”コレ”頂きますよ。
すいません。
本当に困ってるので、ひとつよろしくお願いします。