YANO's digital garage

WindowsのヘルプシステムとLoadImageにそれぞれ欠陥が警告されている。

それぞれは異なる欠陥だがどちらもバッファオーバフローが原因で、添付ファイルやWebアクセスによりリモートから攻撃コードを実行される恐れがある深刻なものだ。

悪用事例の報告はまだ無いものの、実証コードはインターネット上で公開されている。また対象がほとんどのWindowsと広範囲な事もあってクラッカーには格好の標的、攻撃に悪用されるのは時間の問題だ。

残念ながら修正プログラムはまだ無く、設定による回避策も不明。特に年賀メールが増える時期だけに年末年始の心配は尽きない。誰から送られたに関らず、くれぐれも添付ファイルを不用意に開く事の無い用に注意されたい。

クリスマスプレゼントはThunderbird 1.0 日本語版だけでえぇがな…。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣今年もキミは来ないのね――聖夜にかけるIT戦士かく闘えり 2004年12月24日
┣Mozilla Japanからクリスマスプレゼント――「Mozilla Thunderbird 1.0」日本語版がリリース 2004年12月24日
┗Windowsヘルプファイルなど、多数の未パッチ脆弱性が発覚 2004年12月25日

ハードディスクを入れ替えてFedora Core 3 の基本導入。DVD-ROMから直接起動しインストールして僅か30分程で終了。ウィンドウマネージャーはGNOMEをチョイスしたが、特に明確な理由は無い。up2date に2時間近くかかり「やられた〜」と思ったもののここまで昨夜のうちに終了。

Firefox が入っているのはいいものの日本語版はどうやって入れればいいんかな？ Resize Search Box Extention が入りきれない事もあってちょっとイマイチ。

まずは自分が sudo で成り上がる為 /etc/sudoers にアカウントを追加。暫くはNOPASSWDで。

# User alias specification
yano    ALL= NOPASSWD:ALL

# Defaults specification
Defaults syslog=auth,    logfile=/var/log/sudo.log

/etc/httpd/conf/httpd.confの修正。いつものカスタマイズ点は省略。Apache 2.0 ではAddDefaultCharsetを忘れないように。

#
# Specify a default charset for all pages sent out. This is
# always a good idea and opens the door for future internationalisation
# of your web site, should you ever want it. Specifying it as
# a default does little harm; as the standard dictates that a page
# is in iso-8859-1 (latin1) unless specified otherwise i.e. you
# are merely stating the obvious. There are also some security
# reasons in browsers, related to javascript and URL parsing
# which encourage you to always set a default char set.
#
#AddDefaultCharset ISO-8859-1
AddDefaultCharset off

ついでにLanguagePriorityディレクティブも、日本語を優先させる為にjaを先頭に移動。

#
# LanguagePriority allows you to give precedence to some languages
# in case of a tie during content negotiation.
#
# Just list the languages in decreasing order of preference. We have
# more or less alphabetized them here. You probably want to change this.
#
#LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no pl pt pt-BR ru sv zh-CN zh-TW
LanguagePriority ja en ca cs da de el eo es et fr he hr it ko ltz nl nn no pl pt pt-BR ru sv zh-CN zh-TW

ディレクトリのパーミッションを設定した後、perlへのシンボリックリンクを作成。

$ chmod 711 /home/yano/
$ chmod 755 /home/yano/public_html/
$ ln -s /usr/bin/perl /usr/local/bin/

ポリシーソースが必要になるので yum でインストール。…の前に yum の設定。/etc/yum.confに下記追加。

[base]
name=Fedora Core $releaserver - $ basearch - Base
baseurl=http://download.fedora.redhat.com/pub/fedora/linux/core/3/i386/os
baseurl=ftp://ftp.kddilabs.jp/Linux/packages/fedora/core/3/i386/os

[update-release]
name=Fedora Core $releaserver - $ basearch - Release Updates
baseurl=http://download.fedora.redhat.com/pub/fedora/linux/core/3/i386/os
baseurl=ftp://ftp.kddilabs.jp/Linux/packages/fedora/core/3/i386/os

でもってポリシーソースのインストール。FC3の規定はtargetedモードだが、実はより制限の強力なstrictパッケージがあるらしいのでそいつらもついでに。

# yum install selinux-policy-targeted-sources selinux-policy-strict selinux-policy-strict-sources

# /usr/sbin/setenforce 0

と permissiveモード にして apache の動作確認を行った後、

# cd /etc/selinux/targeted/src/policy/
# audit2allow -d -l >> domains/program/apache.te
# make reload

としてポリシーを追加・反映。

# /usr/sbin/setenforce 1

した後も apache の動作に問題が無ければOKなり。

参考まで

allow httpd_sys_script_t var_lib_t:dir search;
allow httpd_t user_home_t:dir { getattr search };
allow httpd_t user_home_t:file { getattr read };
allow httpd_suexec_t httpd_log_t:dir write;
allow httpd_t httpd_suexec_t:process { sigkill signal };
allow httpd_suexec_t httpd_log_t:dir add_name;
allow httpd_suexec_t httpd_log_t:file create;
allow httpd_suexec_t user_home_dir_t:dir search;
allow httpd_suexec_t user_home_t:dir { getattr search };
allow httpd_suexec_t user_home_t:file { execute execute_no_trans getattr ioctl read };

が /etc/selinux/targeted/src/policy/domains/program/apache.te に追加されていた。

取り敢えず Apache はこれでOKかな？

courtesy of http://www.noradsanta.org/

今年で50回目を迎えたNORAD Tracks Santaも無事終了。長い夜を終えてサンタのおっさんはハワイで床に就いている模様。

daemontools-0.76.tar.gz を展開し、daemontools-0.76.errno.patch を適用する。

# mkdir -p /package
# chmod 1755 /package
# cd /package
# tar xvpfz ~yano/archives/daemontools-0.76.tar.gz
# cd admin/daemontools-0.76/
# patch -p 1 <~yano/archives/daemontools-0.76.errno.patch
# ./package/install

/etc/inittabの最後に

SV:123456:respawn:/command/svscanboot

が追加されていれば取り敢えずOK。再起動した後 svscan が稼動していれば完了だ。