Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性が見つかってからパッチとSecurity Bulletinが作られるまで

Avatar for Hiroko Takamiya Hiroko Takamiya
June 04, 2023
Technology
0
160

脆弱性が見つかってからパッチとSecurity Bulletinが作られるまで

アプリケーションサーバー製品のPSIRTチームの一員として、脆弱性対応をした経験をシェアさせていただいています。
Avatar for Hiroko Takamiya

Hiroko Takamiya

June 04, 2023
Tweet

More Decks by Hiroko Takamiya

See All by Hiroko Takamiya
MicroProfile JWTを使ってマイクロサービスをセキュアにしよう
Avatar for Hiroko Takamiya hirokotakamiya2022
2
440

Other Decks in Technology

See All in Technology
Vibe Coding Tools
Avatar for Michael H. Oshita ijin
0
240
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2025年版)
Avatar for Infiniteloop infiniteloop_inc
13
40k
Google Cloud Next 2025 Recap アプリケーション開発を加速する機能アップデート / Application development-related features of Google Cloud
Avatar for turbofish ryokotmng
0
220
製造業向けIoTソリューション提案資料.pdf
Avatar for h.uriu haruki_uiru
0
260
木を見て森も見る-モジュールが織りなすプロダクトの森
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
170
技術選定を突き詰める 懇親会LT
Avatar for Kaoru okaru
1
550
MagicPod MCPサーバー開発の裏側とAIエージェント活用の展望
Avatar for MagicPod magicpod
0
230
newmo の創業を支える Software Architecture と Platform Engineering
Avatar for Yuki Ito 110y
5
530
ソフトウェアテスト 最初の一歩 〜テスト設計技法をワークで体験しながら学ぶ〜 #JaSSTTokyo / SoftwareTestingFirstStep
Avatar for nihonbuson nihonbuson
PRO
2
160
事業と組織から目を逸らずに技術でリードする
Avatar for ogugu ogugu9
8
1.4k
Global Azure2025(GitHub Copilot ハンズオン)
Avatar for tomokusaba tomokusaba
2
770
経済メディア編集部の実務に小さく刺さるAI / small-ai-with-editorial
Avatar for Yukiya Nakagawa nkzn
2
410

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
40
7.3k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
137
6.9k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.2k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
34
2.2k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
41
2.3k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Fontdeck: Realign not Redesign
Avatar for Paul Robert Lloyd paulrobertlloyd
84
5.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
160
15k
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
11k

Transcript

  1. JJUG Spring 2023 脆弱性がみつかってから パッチとSecurity Bulletinが 作られるまで 高宮 裕子(@htakamiy) E-mail

    ↗ Twitter ↗

  2. With you today 高宮 裕子 IBM WebSphere Security Development Open

    Liberty Security Development Product Security Incident Response Team • 米ノースカロライナ州のIBMに勤務 • アプリケーション・ランタイム製品のセキュリティ開発部門に所属 • 2020年3月よりPSIRTチーム一員として脆弱性対応に従事 • 東京生まれ、東京育ち • JJUG CCC Fall 2022から参加 JJUG CCC 2023 Spring

  3. PSIRT (Product Security Incident Response Team)とは? JJUG CCC 2023 Spring

    自社製品の脆弱性対応をするチーム 主な業務 • ステークホルダーとの連携 • 脆弱性関連情報の収集 • インシデント発生の対策 • 24時間体制で脆弱性レポートをモニター マネジメント・リーガル 情報収集 パッチとBulletin作成

  4. なぜJJUGで脆弱性のトーク? 脆弱性発見 パッチ作成 Security Bulletin掲載 パッチ適用 品質担保 JJUG CCC 2023

    Spring コンテナ技術利用 自動テスト システム無停止 脆弱性対応を支える技術 梶紳之介さん (JJUG CCC 2022 Fall) オープンソース・コミュニティ お客様の報告 FVT, SVTテスト Penetration Test Vulnerability Scan Application Security Scan Ethical Hackers Third Party Security Entities 1 2 3 今日のトーク JJUG CCC 2022 Fall まとめブログ by YujiSoftware(@YujiSoftware) JJUG CCC 2022 Fall YouTubeチャンネル

  5. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  6. @2022 IBM Corporation IBM Automation Software 脆弱性の評価 6 CVEID: CVE-2020-4276

    DESCRIPTION: IBM WebSphere Application Server 7.0, 8.0, 8.5, and 9.0 traditional is vulnerable to a privilege escalation vulnerability when using token-based authentication in an admin request over the SOAP connector. X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 説明をどう書いている? スコアはどうやってつけているの? ベクターって何?

  7. @2022 IBM Corporation IBM Automation Software 脆弱性の評価 7 再現 レポート通りに再現するか?

    評価 脆弱性を認めるのは製品オーナー • Review Board (ミーティング) • CVSSスコアのための質問 • Bulletin内容検討 CVE CVSS 会社のセキュリティ部門から CVE IDとCVSSスコアを取得 • OSSのスコアはそのまま使う • 自社コードのスコアは経験則で CVE: Common Vulnerability Exposure 脆弱性に割り振られるID MITRE Corporation(米連邦政府非営利組織) CVSS:Common Vulnerability Scoring System 脆弱性のスコア

  8. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 8 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) ネットワーク経由で悪用できる

  9. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 9 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 悪用には複雑な手順がいる

  10. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 10 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 管理者でなくてもよい

  11. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 11 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) ユーザーの介入不要

  12. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 12 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) 他のコンポーネントにまで影響がでるか

  13. @2022 IBM Corporation IBM Automation Software CVEID & CVSSスコアとベクター ◼

    Access Vector (AV) – どこから悪用されるか Local(Need a local account), Adjacent (Local subnet, Blue tooth, Network, Physical ◼ Access Complexity (AC) – 悪用する手順 Default (Y/N), Easily Exploited or Multiple steps involved? (Low/High) ◼ Privileges Required (PR) – 認証、認可は必要?(Rootだけが悪用、Root以下でも悪用、認証すらいらない)None/Low/High ◼ User Interaction (UI) – 悪用されるには、ユーザーの行動が必要か?PopUpをクリックする必要があるなど ◼ Scope – 発見されたコンポーネントに限るか(Unchanged)より広い範囲で影響があるか(Changed) ◼ Impact (Confidentiality, Integrity, Availability) – None/Low/High 13 CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H) CIA Triad(秘匿性、完全性、可用性) インパクト

  14. @2022 IBM Corporation IBM Automation Software CVE Rating 14 CVSS

    Score Qualitative Rating 0.1 – 3.9 Low 4.0 – 6.9 Medium 7.0 – 8.9 High 9.0 – 10.0 Critical ◼いつもの業務を中断してバグフィックスをする ◼お客様が臨時メンテナンスをとられることもある

  15. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  16. @2022 IBM Corporation IBM Automation Software パッチ作成 ◼スコアに応じて、パッチ作成の期限がきまっている ◼スコアが高くなる脆弱性タイプ –リモートコード実行(Remote

    Code Execution) –XML外部エンティティ(XML External Entity) –Denial of Service(DoS攻撃) –Cross-site scripting(XSS) –Cross-site request forgery(CRSF) –Server-side request forgery(SSRF) –Information Disclosure (情報漏えい) 16

  17. @2022 IBM Corporation IBM Automation Software パッチ作成 プログラム修正点 –DeserializeやXML解析の入力データに注意(Sanitizeする) –大量リクエスト、大量データ処理に注意(高CPU、OOMを起こさない)

    –認証の失敗は、何度もリトライさせない –JavaScriptのBest Practiceを守る –Exceptionのスタックを表示しない –セキュリティ&プライバシー・データを表示しない 17

  18. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  19. @2022 IBM Corporation IBM Automation Software Security Bulletin作成 19 CVEID:

    CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [7.0, 8.0, 8.5, and 9.0] traditional is vulnerable to a [privilege escalation] vulnerability when using [token-based authentication] in [an admin request over the SOAP connector] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

  20. @2022 IBM Corporation IBM Automation Software Security Bulletin作成 20 CVEID:

    CVE-2020-4276 DESCRIPTION: IBM WebSphere Application Server [バージョン] traditional is vulnerable to a [脆弱性タイプ] vulnerability when using [手段] in [経路] X-Force ID: 175984. CVSS Base score: 7.5 CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H)

  21. @2022 IBM Corporation IBM Automation Software Security Bulletin作成 ① 定型文なので、英語力は必要なかった

    ② 脆弱性の内容は最小限しかシェアしない ③ 「◦◦の脆弱性がない」とは絶対に発表しない ④ Security Bulletinとパッチは一緒に発表する 21

  22. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  23. @2022 IBM Corporation IBM Automation Software PSIRTのチームに入って学んだこと ◼プロセスがトップダウンで変化 23 ◼コロナでオンライン需要拡大、脆弱性レポートが激増

    ◼LOG4Jでセキュリティの重要性が高まる ◼記録を残すこと – 現在進行形の脆弱性をトラッキング(ServiceNow) – ミーティングとパッチの状況を把握(Zenhub) – 自分のやった仕事、業績も書きとめておく

  24. @2022 IBM Corporation IBM Automation Software PSIRTのチームに入って学んだこと 24 ◼パッチのスケジュール管理、品質管理 ◼オープンソースの取り扱い(独自Branch)

    独自パッチ:システム安定、メンテ・コスト高、OSSバージョンが上がらない OSSパッチ:コミュニティの他のコード変更がはいる、お客様のテスト負担

  25. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  26. @2022 IBM Corporation IBM Automation Software セキュリティ強化の取り組み ◼コンテナ・イメージのセキュリティ強化 26 ◼DevOpsにセキュリティ・スキャンのプロセス追加

    ◼SPbD(Security & Privacy by Design) ◼CISベンチマーク作成 (Center of Internet Security Benchmark) きめうちパスワードやデフォルトのCertificateを使わない セッションなどのタイムアウト最短 Cookieのセキュリティ設定を厳しく Cipherやプロトコルの設定を厳しく ネットワークポリシー最適化 データーのライフサイクル確認(収集、削除、監視など) Privilegeを最小にする SPbDを遵守したコンテナ・イメージづくり

  27. 今日お話しすること 脆弱性の評価 パッチ作成 Bulletin作成 PSIRTで学んだこと セキュリティ強化の 取り組み トレンド・まとめ JJUG CCC

    2023 Spring

  28. @2022 IBM Corporation IBM Automation Software 個人的なまとめ ◼コンテナやクラウドの技術とセキュリティを合わせた分野に注目 28 ◼タイムリーなリスク評価や、脆弱性発見のスキルに需要

    ◼会社間のパートナーシップが進む ◼製品の脆弱性対応は、AIやオートメーションで合理化する余地がある