コンテナはなぜ安全(または安全でない)なのか - sometimes I laugh
CVE-2019-5736を覚えていますか?今年の2月に見つかったrunc(Dockerがデフォルトで利用しているコンテナのランタイム)の脆弱性で、ホストのruncバイナリを好き勝手にコンテナ内部から書き換えることができるというものです。 脆弱性の仕組みに興味があったので調べたところ、コンテナを攻撃する方法というのは他にもいろいろあって、runcは頑張ってそれを塞いでいるようです。これまとめると面白いかも、と思ったので以下のようなおもちゃを作りました。 Drofuneは簡単なコンテナランタイムです。drofune runとかdrofune execなどでコンテナを起動したり、入ったりすることができます、といえば想像がつくでしょうか。 これだけでは何も面白くないので、Drofuneはわざと安全でない実装になっています。なので、今回発見されたCVE-2019-5736を利用した攻撃も成立します
「Linux 4.20」性能問題、原因はSpectre v2対策STIBPの有効化--トーバルズ氏が変更を要求 - ZDNet Japan
次期「Linux 4.20」のパフォーマンス劣化の大きな原因は、Spectre variant 2(Spectre v2)の緩和策にあることがわかった。Linuxの生みの親であるLinus Torvalds氏は緩和策を制限したいと思っている。 LinuxニュースサイトのPhoronixが記しているように、パフォーマンスの急な劣化は「Single Thread Indirect Branch Predictors(STIBP)」と言われるSpecter v2の緩和策を新たに実装したためだという。STIBPは、最新のマイクロコードを持つIntel上のLinux 4.20でデフォルトで有効となる。 STIBPは、IntelがSpectre v2を悪用した攻撃を防ぐために行ったファームウェアアップデートで加わったものだ。IntelはSTIBPのほか、「Indirect Branch Restric
LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明 (1/19更新) - Qiita
はじめに Linuxの安定カーネルのとりまとめ役、グレッグ・クラーハートマンによるメルトダウンとスペクター問題に関する1/6時点での現況の説明の訳文です。 太字は訳者が主観で独自に付加したものです。 2018/1/19: 対応状況がGreg氏によりアップデートされましたので、追記しました。 ライセンス 原文は当人のブログでby-nc-sa3.0で公開されています。 この文章のライセンスも原文に準じます。 謝辞 何よりもまず多忙な中情報をシェアしてくれた原著者のGreg氏に。 表記間違いについて指摘ありがとうございます。以下修正しました。 https://twitter.com/KuniSuzaki/status/950888858568163328 ライセンスの表記間違いを修正しました。ご指摘ありがとうございました。 @7of9 さんより明らかな誤認・誤訳・見落とし箇所への編集リクエストを
Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ
Linuxカーネルに10年以上前から存在していた脆弱性に関する情報が公開され、悪用を狙う攻撃の発生が報告されている。Linuxディストリビューション各社がセキュリティ情報を公開し、米セキュリティ機関US-CERTも10月21日、ユーザーや管理者に対応を促した。 脆弱性は、Linuxカーネルのメモリサブシステムでcopy-on-write(COW)を処理する方法に起因し、バージョン2.6.22以降が影響を受ける。Linuxカーネルのパッチは10月20日に公開されており、リーナス・トーバルズ氏はこの問題について、「11年前に修正を試みたがうまくいかなかった」と明かしている。 COWに問題が存在することから「Dirty COW」と命名され、専用情報サイトが公開された。同サイトや米セキュリティ機関CERT/CCによれば、この脆弱性を悪用された場合、特権を持たないローカルユーザーによるリードオンリー
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
