 |
時間も手間もいりません!簡単な入力だけで御社のセキュリティリスクをお調べいたします! |
神戸デジタル・ラボ(KDL)が主催・参加する
セキュリティセミナーを紹介していますので、
ぜひご覧ください!
お客様とのトラブルは避けたい。
契約段階で明確に取り決めをすることでトラブルは回避できます。
小冊子プレゼント
神戸デジタル・ラボ(KDL)が作成した、Webセキュリティの現状と対策が一目で分かる小冊子をプレゼントしています。
最新のセキュリティ情報を随時配信!
| 2011/ 11/2 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【コンピュータセキュリティシンポジウム2011】経産省受託案件の展示と論文発表』 |
| 2011/ 10/31 |
「セキュリティ研究」にコンテンツを追加しました!2011年10月26日(水)から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたしました。 |
| 2011/ 10/27 |
「ルール&チェック All-in-One」サービスを追加しました!Webサイト全体のセキュリティレベルを向上させるためのサービスを追加しました。 |
| 2011/ 10/27 |
「プレスリリース」を追加しました!株式会社神戸デジタル・ラボは、自社サイトのセキュリティ水準を担保する包括サポートサービス「ルール&チェック All-in-One」を2011年11月1日より開始します。 |
| 2011/ 10/26 |
「セキュリティ研究」にコンテンツを追加しました!Apache HTTP Serverのリバースプロキシ機能(mod_proxy)にリバースプロキシを迂回して内部LANにアクセスできる脆弱性が発見されました。 |
| 2011/ 10/18 |
「アンドロイドセキュリティ診断」サービスを追加しました!Android OSを対象としたアンドロイドセキュリティ診断サービスを追加しました。 |
| 2011/ 10/18 |
「プレスリリース」を追加しました!株式会社神戸デジタル・ラボは、スマートフォンやタブレットPCなどのAndroid端末向けセキュリティ診断サービス「ProactiveDefense for Android」を、2011年10月24日より開始します。 |
| 2011/ 10/05 |
「セキュリティセミナー情報」を追加しました!2011年10月26日(水)から3日間、千葉県幕張メッセで開催される第2回クラウドコンピューティングEXPO 【秋】に出展いたします。 |
| 2011/ 10/05 |
「セキュリティセミナー情報」を追加しました!2011年10月19日(水)から3日間、情報処理学会コンピュータセキュリティ研究会主催による 「コンピュータセキュリティシンポジウム2011 (CSS2011)」にて研究発表を行います。 |
| 2011/ 06/15 |
「お客様の声」を追加しました!「株式会社エルネット様」 |
| 2011/ 04/18 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【OSC関西/神戸】MistyGateとGlobal Incident Monitorの展示』 |
| 2011/ 04/18 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【神戸ITフェスティバル】MistyGateとGlobal Incident Monitorの展示』 |
| 2011/ 04/15 |
「セキュリティ対談」にコンテンツを追加しました! テーマ:『「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が公表されました』 |
| 2011/ 03/11 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【経済産業省シンポジウム】経産省受託案件の成果報告会発表』 |
| 2011/ 03/07 |
「セキュリティセミナー情報」を更新しました!3月10日(木)に「平成22年度新世代情報セキュリティ研究開発シンポジウム」にて研究発表を行います。 |
| 2011/ 03/05 |
「セキュリティ研究」にコンテンツを追加しました! テーマ:『【情報処理学会全国大会】経産省案件の展示と論文発表』 |
リバースプロキシを迂回して内部LANにアクセスできる脆弱性が発見されました。
リバースプロキシを使用されている企業様にとって大変危険な脆弱性ですので、一度ご確認ください。
■リバースプロキシの脆弱性
多くのWebサイトでリバースプロキシを使用して認証を行ったり、
Webサーバを外部にさらさない為の防護壁として利用されていると思います。
今回(2011年10月)、Apache HTTP Serverのリバースプロキシ機能(mod_proxy)にリバースプロキシを迂回して
内部LANにアクセスできる脆弱性が発見されました。
関連リンク
http://www.contextis.com/research/blog/reverseproxybypass/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3368
■この脆弱性による影響は?
この脆弱性のあるリバースプロキシを悪用して内部LANにアクセスできますので、
認証の必要なWebサイトや外部に公開していないサーバやネットワーク機器にアクセスされる可能性があります。
特にサーバ機器やネットワーク機器のWebの管理画面について内部LANだからと簡単なパスワードにしている場合など
甘い設定にされている場合、攻撃者に乗っ取られてしまう可能性があります。
また、この脆弱性を悪用して外部から内部LANの状況を調べるプログラムも公開されていますので、
同一LAN内にある機器全てが攻撃対象となります。
■対策方法は?
最新版(2011年10月26日現在)のApache2.2.21は、この脆弱性の対策バージョンですので、
早めにバージョンアップをお勧めします。
また、暫定的な対策ですが、プロキシサーバの設定内容を確認し、下記のような脆弱な設定の書き方になっている場合、
それを正しい設定の書き方に修正することで対策可能です。
脆弱な設定の書き方
RewriteRule ^(.*) http://internalserver:80$1 [P]
正しい設定の書き方
RewriteRule ^(.*) http://internalserver:80/$1 [P]
■発見方法は?
弊社のWebアプリケーション診断にて診断可能です。
http://www.proactivedefense.jp/ServiceFlow/Index
2011/10/1より上記のページに示した「診断サービスの内容」の「ロジックを狙った攻撃(Logical Attacks)」の中の
「機能の悪用(Abuse of Functionality)」の診断項目にて診断を開始しました。
■最後に
つい最近もApache Killerの脆弱性が発見されるなど、Webアプリケーションに関わる脆弱性の発見は後を絶ちません。
リバースプロキシの運用をされている企業様は、この機会にWebアプリケーションのセキュリティ診断を兼ねて
リバースプロキシの安全性をチェックされてみてはいかがでしょうか?
http://www.proactivedefense.jp/
今後も提供されていく情報にご注目下さい。
小冊子プレゼント
|
|
