Baldanders.info

MTOS 5.2.13 リリース,他

MTOS 5.2.13 リリース

Movable Type 6.1 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。Movable Type 6.1.1へのアップグレードを強く推奨します。
Movable Type 6.1.1 をリリース。クラウド版のサーバー配信機能がより使いやすくなりましたより
Movable Type 6.0.7、5.2.12 を含む以前のバージョンにおいて、ユーザー入力値のバリデーション漏れに起因する、リモートコード実行の脆弱性が発見されました。修正版へのアップグレードを強く推奨します。
[重要] 6.0.8、5.2.13 セキュリティアップデートの提供を開始より

というわけで MTOS(Movable Type Open Source)も 5.2.13 へ要変更。 ちなみに CVE-2015-0845 では CVSS 基本値を 7.5(AV:N/AC:L/Au:N/C:P/I:P/A:P)と見積もっている。 一般的に CVSS 基本値が 7 以上は「危険」なので,必ず更新すること。

Movable Type セキュリティ対策ガイド」は参考になるが,個人的には Movable Type を 6 以上に上げる気はないので, MTOS のメンテナンスが続いてくれてるうちに CMS(Content Management System)の検討を始めるべきか。 とりあえず GW 中に色々と物色してみるつもり(といっても実は既にある程度あたりはつけているのだが)。 はっきり言って個人で運用する限りにおいて CMS の機能をサーバサイドに置くのはリスクが高い。 WordPress とか愚の骨頂だし。

Google は何でもお見通しさ! (ケーサツもね♥)

ポイントとなるのは広告設定Googleロケーション履歴。 特にGoogleロケーション履歴は見たらギョッとすると思う。

広告設定は「オプトアウト設定」の2箇所を「オプトアウト」してしまえばよい。 ロケーション履歴については,嫌ならマメにクリアするしかない(本気で困る人は GPS 付きのケータイを使わないこと)。

まぁ,この件に関して Google は比較的誠実だよね。 たとえば Apple や Yahoo! などがどうしてるのか(Yahoo! Japan はこの前 CCC の一味に加わったけど),考えるだに「ぞんぞがさばる」。

そういえば総務省が「電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集」を行っている。 これによると

電気通信事業者は、第4条の規定にかかわらず、捜査機関からの要請により位置情報の取得を求められた場合において、当該位置情報が取得されていることを利用者が知ることができるときであって、裁判官の発付した令状に従うときに限り、当該位置情報を取得するものとする。
ガイドラインの一部改正案より

そうだ。 Googleロケーション履歴またはそれよりも詳細な情報をケーサツが握ってしまえるわけだ。 これに意見のある方は5月22日までにどうぞ。

「Simdaボットを射る3本の矢」

インターポール、マイクロソフト、カスペルスキー、トレンドマイクロと協力しSimdaボットネットのテイクダウンを行いました。
カスペルスキーから出向している同僚から報告があるように、このマルウェアは多くの解析妨害機能があるため、アンチウイルスベンダーのサンドボックスではうまく検知することができていませんでした。
そこで、サイバーディフェンス研究所が手動で解析を実施し、その解析結果を元にしたアンパッカーと暗号化された通信、設定ファイルの復号ツールをマイクロソフトやアンチウイルスベンダーに提供し、全容の解明に協力しました。
エフセキュアブログ : Simdaボットを射る3本の矢より

Kaspersky が提供している Simda botnet detector は有用と思えるので一度チェックしてみるとよい。 あとは hosts ファイルをチェックして変な記述がないか調べてみることをお勧めする。 それでも不安な方は Kaspersky や Trend Micro が提供するアンチウイルスソフトで検出可能らしい。

安全なネット生活を。