YANO's digital garage

RedStone1が降ってきた X201s。

C:\Windows\System32\bash.exe

スタートメニューに！

３月の発表以来、楽しみにしていた「Bash on Ubuntu on Windows」(BoW)ことWindows Subsystem for Linuxの事を忘れてたので、入れてみた。

まず「Windowsを開発者モードに変更」し、「PowerShellでMicrosoft-Windows-Subsystem-Linuxを有効」にする。一旦再起動した後、bash.exeを起動し、Windows Subsystem for Linuxをインストールする流れになるそうだ。

今回は時間的にここで終了したが、LinuxのELF64バイナリがそのままWindows上で実行できる時代が来るとは感慨深いねぇ…

【参照】
●＠IT http://www.atmarkit.co.jp/
┣Tech TIPS：Windows 10のLinux／Ubuntu互換環境でbashを使う 2016年8月8日
┗Tech TIPS：Windows 10のBash on Ubuntu on Windows環境を初期化／再インストールする 2016年10月5日
●Build Insider http://www.buildinsider.net/
┗Bash on Ubuntu on Windowsとは？ そのインストールと使い方 2016年8月23日
●Engadget Japanese http://japanese.engadget.com/
┣Windows 10がBashに公式ネイティブ対応。マイクロソフトとカノニカルが協力、Ubuntu Linuxのコマンドラインツールがそのまま動作 2016年3月30日
┗次のWindows 10大型更新は8月2日に決定。Anniversary Updateでコルタナ・Edge・ペン・ゲームetcが進化 2016年6月29日
●MSDN Blogs https://blogs.msdn.microsoft.com/
┣Windows Subsystem for Linux Overview 2016年4月22日
┣Learn more about Bash on Ubuntu on Windows and the Windows Subsystem for Linux 2016年6月2日
┗Bash on Ubuntu on Windows 10 Anniversary Update 2016年7月8日
●Wikipedia https://ja.wikipedia.org/wiki/
┣Ubuntu
┣Bash
┗Windows Subsystem for Linux

Linuxカーネルに管理者権限を取得される恐れがある脆弱性「Dirty COW」発覚。

Dirty COWより

なんと「11年前に修正を試みたがうまくいかなかった」という長い歴史があるセキュリティホールらしく、影響を受けるKernelのバージョンが2.6.22以降とこちらも幅広いのがなんとも深刻だ。

ソフトバンク・テクノロジーの調査でも実際に「Debian 7.8 + Kernel 3.2.0-4-amd64」の環境で権限昇格に成功している。手元のUbuntu 14.04 LTS (Trusty Tahr)もリスクがあったが、CVE-2016-5195 in Ubuntuにあるとおり、3.13.0-100.147で改修されたのが確認できた。

なお、２週間前に書いたボットネット「Mirai」だが、感染したIoT機器が急増し、DNSへの大規模DDoS攻撃が発生し、TwitterやSpotifyがダウンした。

今週になり防犯カメラが踏み台とわかり中国メーカーがリコール表明、関与のIPアドレスは数千万規模というので、モノのインターネットを取り巻く環境は思った以上の速さで急激に悪化しているようだ。

【参照】
●ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/
┣セキュリティニュースサイトに史上最大規模のDDoS攻撃、1Tbpsのトラフィックも 2016年9月26日
┣サイバー攻撃者に乗っ取られやすいIoT機器、パスワードのトップ10は？ 2016年9月27日
┣史上最大級のDDoS攻撃に使われたマルウェア「Mirai」公開、作者がIoTを悪用 2016年10月4日
┣大規模DDoS攻撃横行の恐れ、IoTマルウェア「Mirai」のソースコード公開で米機関が注意喚起 2016年10月17日
┣マルウェア「Mirai」に感染したIoT機器が急増、亜種も相次ぎ出現 2016年10月20日
┣米DNSサービスに大規模DDoS攻撃で米国でTwitterやSpotifyが長時間ダウン 2016年10月22日
┣Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ 2016年10月24日
┣大規模DDoS攻撃は防犯カメラが踏み台に、中国メーカーがリコール表明 2016年10月25日
┣DNSへの大規模DDoS攻撃、関与のIPアドレスは数千万と判明 2016年10月26日
┗日本型セキュリティの現実と理想：第34回　IoTセキュリティが日本の国家戦略の要になる理由 2016年10月27日
●ソフトバンク・テクノロジー https://www.softbanktech.jp/
┗Linux カーネルの脆弱性により、権限昇格が行える脆弱性（CVE-2016-5195）に関する調査レポート 2016年10月25日
●JVNVU https://jvn.jp/
┗JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性 2016年10月24日
●CERT Vulnerability Notes https://www.kb.cert.org/vuls/
┗VU#243144 - Linux kernel memory subsystem copy on write mechanism contains a race condition vulnerability 2016年10月21日
●linux CVEs in Ubuntu https://people.canonical.com/~ubuntu-security/cve/main.html
┗CVE-2016-5195 in Ubuntu
●Wikipedia http://ja.wikipedia.org/wiki/
┣ボットネット
┗モノのインターネット