1. まとめトップ

2018年3月14日のtwitterセキュリティクラスタ

2018年3月14日のtwitterセキュリティクラスタです。

更新日: 2018年03月15日

0 お気に入り 400 view
お気に入り追加

この記事は私がまとめました

yousukezanさん

排他制御に失敗したIPAと日立の件続き

[タレ]ITパスポート試験から団体申込者の個人情報が漏洩、排他制御漏れが原因 srad.jp/submission/758… 独立行政法人情報処理推進機構 (IPA) は13日、同機構が実施するITパスポート試験の団体申込者用のシ… twitter.com/i/web/status/9…

『原因は複数のユーザーが同時にアクセスした際の排他制御がシステムから抜け落ちていたことだという…二つの団体申込者の両方の情報が記載されたファイルが生成され…』 / “IPAのITパスポート試験申し込みシステムで個人情報が漏洩、原…” htn.to/9SYYRDm

・CSVファイル生成の際に排他制御がもれていた ←わかる ・そのため両団体の情報が記載されたファイルが作成された ←ふぁ? … どう書いたらそうなる???

ちょうど拙著の排他制御の節を変更していたところなのよねー

この記事を書いた時の反応で、「排他制御を怠るプログラマなんてありえない」みたいなコメントを複数確認したのですが、それが結構あるのですよねー。IPAのやつは、日立さんが担当だそうですが、そういう大企業でもあるのかとは思いました(僕自… twitter.com/i/web/status/9…

転んでもただでは起きずに、これを題材に午後1あたりの問題作るとか。排他制御でもインシデント対応でも作れそう / “プレス発表 ITパスポート試験における個人情報等の漏えいについて:IPA 独立行政法人 情報処理推進機構” htn.to/8WUwr1U

排他制御を完璧にこなすエンジニアはどれだけいるんだろう。dbだと意識違うんだろうか。 twitter.com/ockeghem/statu…

@_ko1 排他制御は人類には早すぎる。静的検証なしで排他制御が完璧と言いきれるエンジニアはあまりいないのではないか。

@anohana @_ko1 普通のDBならSQLという宣言的な言語なので排他制御は簡単だと思います(MyISAMなんて誰も使ってないという前提で)。唯一、長いトランザクションでデッドロックが生じるときぐらいでしょうか、泣くのは。… twitter.com/i/web/status/9…

@kenn @_ko1 それが昨今はNoSQLだのeventual consistencyだの… まあRDBMSだけ見ればSQLに任せちゃえばいいんですが、単一トランザクションで完結しないようなフローを上層でつくらなきゃならないこともちょくちょくありますし…

排他制御と言っていますが、「CSVファイル生成のリクエストがあった際には単一のファイルしか生成しないため、二つの団体申込者の両方の情報が記載されたファイルが生成され」とあるので、CSVを生成する際のテンポラリファイルがシステム全体で1つしかなかったという話のようにも読めますね。

そのテンポラリファイルに対する書き込み処理の排他制御をしていなかった、という意味で「排他制御が」と言っているのだと思いますが、対応としては「排他制御をする」のではなく、「テンポラリファイルがかぶらないようにする」のほうが良いような気はしますね。

テンポラリファイルを共用してようが内容がマージされるというのはおかしい。排他制御云々という問題ではなく開発者の設計が致命的に悪いとしか思えない。

何らかの理由で排他制御をしない場合は、後から来たリクエストに対して正規のレスポンスを返さない(エラーにしてしまう)のが筋なので、先に来たリクエストへのレスポンスに影響を出したり、内容がマージされるというのはちょっとどうかしてる。 https://t.co/KvvFwhWUd2

排他制御って言うか、あれだろ。Servletのメンバ変数に配列データを入れてたから、スレッドセーフじゃなくなって、汚染が発生しただけだろう。ってそれは基本情報技術者試験程度の内容じゃなかったっけ? / “IPAのITパスポート試…” htn.to/fcuo5G

本社の人たちが毎度こういう挙動するプログラム書いてて、同時アクセスするとその分のレスポンス(HTML)が全部混ざって表示されるという神業が起きる。 twitter.com/ockeghem/statu…

AMDのプロセッサに重大な脆弱性があるそうですが

itmedia.co.jp]AMDのプロセッサ「Ryzen」と「EPYC」に重大な脆弱性、セキュリティ企業が公開 bit.ly/2FCrWru

AMDのプロセッサに脆弱性、セキュリティ企業が情報公開--懐疑的な見方も japan.cnet.com/article/351161…

Spectra/Meltdownを発見したGoogleのチームとは全く無関係の「イスラエルの会社」で、脆弱性の命名もRyzenFall、amdflaws.com(AMDの欠陥)などあからさま過ぎる感がある

脆弱性をAMDに連絡してから24時間以内に公表したって話、これ脆弱性と報道がマジなら新種のサイバーテロの手口ですからね…

おまけにRyzenのチップセットにはバックドアってマジかよ…→ AMD製CPUに「致命的」欠陥 悪用でPC乗っ取りも afpbb.com/articles/-/316…

@dragoner_JP その脆弱性突くためには、OSの管理者権限が必要になるので、現実的にはあまり脅威にはなりえなさそうです。全体的にこちらの記事のほうが詳しいです。 japan.cnet.com/article/351161…

@RKX1209 Persistent 性という観点では目新しいものは "ある"。――が、条件がなー。

@a4lg ん? 僕の理解ではこれまず管理者権限取った後、Ryzenfall/FalloutでSMRAM書き換えるんですよね。しかもこれARMのTrustonic実装の問題を利用しているっぽくて、もしそうならかなり深刻なはずです。… twitter.com/i/web/status/9…

1 2