Interlop Tokyo 2018での西村の講演資料です。
੬ऑੑཧͷϕετϓϥΫςΟεͱεϨοτϞχλϦϯάInterop Tokyo 2018גࣜձࣾϦΫϧʔτςΫϊϩδʔζαΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓ Ϛωδϟʔଜ फߊ
View Slide
ଜ फߊגࣜձࣾϦΫϧʔτςΫϊϩδʔζαΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ηΩϡϦςΟΤϯδχΞϦϯάάϧʔϓϚωʔδϟʔࠃܞଳిϝʔΧʔʹ͓͚ΔηΩϡϦςΟίϯαϧλϯτͳͲΛܦͯɺΑΓݱ৬ɻϦΫϧʔτάϧʔϓʹ͓͚ΔηΩϡϦςΟࣄނͷະવࢭʹऔΓΉɻ݄ʹɺϢ ʔ β ا ۀ Ͱ ࠃ ॳ ͱ ͳ Δ Ϩ ο υ ν ʔ Ϝʮ3&$36*5 3&% 5&".ʯΛࣾʹൃɻझຯϒϥβͷ੬ऑੑΛ୳͠ग़͠ɺϕϯμʔ͔ΒಘͨใۚͰॅϩʔϯΛฦ͢͜ͱɻʹՈΛݐͯɺޙʹͷฦࡁΛऴ͑ͨɻஶॻʹϒϥβϋοΫʢ༁ʣɻओͳߨԋྺʹɺ$ 0 % & # - 6 & ɺ 1 B D 4 F D
2017Լظ ηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔʹ༵όάϋϯλʔηΩϡϦςΟ࣭άϧʔϓͷϚωʔδϟʔ
લͷϚωʔδϟʔɾɾɾיࢤా তًϦΫϧʔτςΫϊϩδʔζ ࣥߦһݩ ָఱαΠόʔ൜ࡑରࡦࣨ
ݟΑʂ͜ͷ໌Β͔ͳϨϕϧμϯΛɾɾɾʂʂיࢤా তًϦΫϧʔτςΫϊϩδʔζ ࣥߦһݩ ָఱαΠόʔ൜ࡑରࡦࣨଜ फߊ༵όάϋϯλʔ
ࣗʹग़ͤΔόϦϡʔͳΜͯ͋ΔΜΖ͔ɾɾɾ
ϋοʜͬ͜ʜʜ
͜Εͩͬ
Hack Everything
• ࢲୡ͕ӦΉηΩϡϦςΟࢪࡦΛϋοΫͯ͠• ߹ཧੑଛͳΘͳ͍··ʹ• ςΫχΧϧʹਖ਼͘͠• ඒ͘͠εςΩʹ• ίετύϑΥʔϚϯεྑ͘• ͍͘͢• ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱHack Everything
ࢲୡͷάϧʔϓ͕ࢦ͢ํੑ
ϦΫϧʔτͰ։ൃͷԽ͕ਐΜͰ͍Δ͜Ε·Ͱ ݱࡏاըɾཧ ࣾһ ࣾһ։ൃ ֎෦ҕୗ ࣾһ ʴ֎෦ҕୗR R R RRR
͜Ε·Ͱϧʔϧͱ౷੍Ͱࣄ͕͏·͘ਐΜͩηΩϡϦςΟ৫اըɾཧ ࣾһ ࣾһ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗR Rݱࡏ͜Ε·ͰϧʔϧͳͷͰ͍ͬͯͩ͘͞Θ͔Γ·ͨ͠ RR
ࠓٕज़త߹ཧੑ͕ٻΊΒΕΔηΩϡϦςΟ৫اըɾཧ ࣾһ ࣾһ։ൃ ֎෦ҕୗ ࣾһʴ֎෦ҕୗR R͜Ε·Ͱ ݱࡏҙຯͳ͍͠໘ͳΜͰ͚͢ͲR RRԿނ͜Ε͕ϧʔϧͳͷ͔આ໌ͯ͠ཉ͍͠ΜͰ͚͢ͲR
ࢲୡ֤ࣾͷ౷੍෦Λ௨ͯ͡౷੍Λ͍֤ͯͨࣾ͠౷੍෦ࣄۀ୲ऀ ։ൃऀࢲୡΫΦϦςΟϚωδϝϯτ
ͦΕ։ൃݱͷϦΞϧͱԕ͍ͱ͜Ζ͔Βͷ౷੍ͩͬͨ߈ܸऀͷօ͞Μ֤ࣾ౷੍෦ࣄۀ୲ऀ ։ൃऀࢲୡΫΦϦςΟϚωδϝϯταΠόʔ߈ܸͷ࠷લઢ
͜Ε͔Βࢧԉͱڠۀͱ͍͏৽ͨͳ࣠Λங͘߈ܸऀͷօ͞Μ֤ࣾ౷੍෦ࣄۀ୲ऀ ։ൃऀࢲୡΫΦϦςΟϚωδϝϯτࢲୡࢧԉͱڠۀ
։ൃݱͰಘͨؾ͖ΛηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ߈ܸऀͷօ͞Μ֤ࣾ౷੍෦ࣄۀ୲ऀ ։ൃऀࢲୡΫΦϦςΟϚωδϝϯτࢲୡࢧԉͱڠۀηΩϡϦςΟࢪࡦʹϑΟʔυόοΫ
20184݄͔ΒϓϩμΫτ։ൃ৫ͱͷ݉ʹ߈ܸऀͷօ͞Μ֤ࣾ౷੍෦ࣄۀ୲ऀ ։ൃऀࢲୡΫΦϦςΟϚωδϝϯταΠόʔηΩϡϦςΟΤϯδχΞϦϯά෦ࢲୡʢ݉ʣϓϩμΫτΤϯδχΞϦϯά෦
։ൃऀڭҭͷ৽׆ಈࣄྫ
• ϦΫϧʔτͷ։ൃऀڭҭू߹ݚमʴڭຊʢ௨শ੨ຊʣ• 600ϖʔδΛ͑ΔࢴͷࢿྉΛ2017ʹWebԽ• Webͷڭࡐʹ͋Γ͕ͪͳ• ࣾΠϯτϥʹڭࡐΛஔ͚ͩ͘• ݕࡧੑ͕ѱ͘ɺଟ͘ͷࣾһ͕ͦͷଘࡏΛΒͳ͍• ϝϯςφϯε͕ߦ͖ಧ͔ͣɺ࣍ୈʹ༰͕ԽڭࡐΛࢴ͔ΒWebʹ
ٕज़ίϯςϯπΛࣾ֎ల։͢Δ͜ͱͰղܾ• ݴޠʗڥผηΩϡϦςΟΨΠυGitHub PagesͰ৴• άάΕݟ͔ͭΔঢ়ଶΛࢦ͢• IssuePull RequestΛड͚͚Δ͜ͱͰԽΛࢭ• ಁ໌ੑ͋ΔରԠͱɺࢦఠΛ༰ʹड͚ೖΕΔۭؾ࡞Γ• ࡞ʹؔ༩ͨ͠ਓREADMEʹँࣙΛܝࡌϦΫϧʔτݻ༗ͷηΩϡϦςΟΨΠυݴޠʗڥผͷηΩϡϦςΟΨΠυࣾαΠτࣾ֎ͷ։ൃऀ
20186݄͔Βॱ࣍ίϯςϯπΛެ։• AndroidΞϓϦ։ൃऀ͚ΨΠυ͔ΒॱʹϦϦʔε• GitHub Pages → ࣾαΠτʹΕΔֻ͚Λ࡞ΓࣾαΠτͷྲྀೖΛଅ͢ʢࣾNW͔ΒͷΞΫηεݶʣϦΫϧʔτݻ༗ͷηΩϡϦςΟΨΠυݴޠʗڥผͷηΩϡϦςΟΨΠυࣾ֎ͷ։ൃऀ͔ࣾΒͷΞΫηεͰ͋ΕΕΔֻ͚ࣾαΠτ
੬ऑੑϋϯυϦϯάͷڧԽ׆ಈࣄྫ
• ੬ऑੑରԠ֤ࣄۀͰ࣮ࢪ• ۓٸੑͷߴ͍੬ऑੑͷΈɺ֤ࣄۀରԠΛґཔ• ੬ऑੑใͷऩूͱਂࠁͷධՁΛCSIRTͰ࣮ࢪ• ෳͷٕज़ऀ͕࣋ͪճΓͰ୲ϦΫϧʔτʹ͓͚Δ੬ऑੑରԠͷجຊํ
• ߈ܸ͕དྷΔલʹɺใͷऩूɺධՁɺରԠࢧԉΛऴΘΒͤΔඞཁ͕͋Δ• 2017ͷStruts2ͷΑ͏ʹެ։ͨͦ͠ͷʹ߈ܸ͕؍ଌ͞Εͨࣄྫ͔ͳใల։͕ٻΊΒΕΔ߈ܸίʔυ࡞ ߈ܸ׆ಈใऩू ղੳͱධՁ ରԠࢧԉ੬ऑੑͷղੳ߈ܸऀ$4*35੬ऑੑใͷެ։
2015·Ͱͷ੬ऑੑϋϯυϦϯάࠃͷ੬ऑੑใαʔϏεୈੈ d
• ใ৴ͷλΠϜϥά• ։ൃݩʹΑΔใެ։͔ΒͷԆ• ใͷཏੑ• CVEͷׂΓͯΒΕ͍ͯͳ͍੬ऑੑͳͲʹൈ͚• ࣗࣾڥͱҰக͠ͳ͍ਂࠁධՁ• ଟ͘ͷ߹ɺCVSSࣗࣾʹ͓͚ΔਂࠁͱҰக͠ͳ͍ࠃͷ੬ऑੑใαʔϏεͷ՝$744ͳΒଈ࣌ରԠͱ͍ͬͨࣾϧʔϧΛෑ͘ͱେมͳ͜ͱʹͳΔ
• ใల։ͷૣظԽ• ੬ऑੑͷҰ࣍ใΛపఈऩू• JPCERT/CCͷૣظܯռύʔτφʔγοϓΛ௨ͯ͡ެදલͷ੬ऑੑใΛೖख• ཏੑͷ্• ࠃ֎ͷηΩϡϦςΟใൃ৴ऀΛTwitterͰϑΥϩʔ• JPCERT/CCͷૣظܯռใΛ༻͍ͯɺใͷऩू࿙ΕΛݮ• ࣗࣾڥʹج͍ͮͨ੬ऑੑධՁ• ੬ऑੑΛCSIRTͰղੳ͠ɺ߈ܸͷқࣗࣾͰੜ͡͏ΔඃΛධՁͦ͜ͰࣗࣾͰ੬ऑੑใͷऩूͱධՁ͕ඞཁͱͳΔ
ࣗͨͪͰใͷऩूͱ੬ऑੑͷղੳΛ࣮ࢪࠃͷ੬ऑੑใαʔϏε5XJUUFSͰใऩू+1$&35$$͔ΒͷθϩσΠใݸͷใݯ͔ΒҰ࣍ใΛऩूୈੈ d ୈੈ
• ৭ʑͳใݯΛνΣοΫ͢ΔͷͰख͕͔͔ؒΔ• νʔϜϓϨʔʹෆ͖• ݟ͚ͭͨ੬ऑੑใΛϝϯόʔʹڞ༗͢Δͷखؒ• ͦΕͰใΛڞ༗͠ͳ͍ͱݟམͱ͠Λޓ͍ʹϑΥϩʔͰ͖ͳ͍ॳಈΛૣΊΔ͜ͱ͕Ͱ͖͕ͨ৽ͨͳ՝͕
ͦ͜Ͱಋೖͨ͠ͷ͕ւ֎ͷใαʔϏε VulnDBࠃͷ੬ऑੑใαʔϏε5XJUUFSͰใऩू+1$&35$$͔ΒͷθϩσΠใݸͷใݯ͔ΒҰ࣍ใΛऩू7VMO%#ୈੈ d ୈੈ ୈੈ +1$&35$$͔ΒͷθϩσΠใ
• 6,000ݸͷใݯΛੈքͷ3ڌͰࢹ• 1ʹ50ʙ300݅ఔͷ੬ऑੑใ͕ಧ͘• ϦΞϧλΠϜੑୈ2ੈΑΓྼΔ͕ڐ༰Ϩϕϧ• ੈքͷஶ໊اۀΈΜͳͬͯΔ• ຊͰϦΫϧʔτ͕ॳΊͯಋೖ• APIఏڙ• N࣌ؒҎʹొ͞Εͨ੬ऑੑใΛऔಘͳͲVulnDBͷಛ
VulnDBͱࣾSlackΛ࿈ܞͯ͠੬ऑੑνϟϯωϧΛ࡞αʔόϨεͰ࣮ݱ
• Ϙοτͷ੬ऑੑଠʢུͯ͠ZEITAʣ৽͍͠੬ऑੑΛຖேϘοτ͕ͭͿࣗ͘ओن੍
• ੬ऑੑใΛ୳͢खؒΛݮ• ZEITA͕ຖேڭ͑ͯ͘ΕΔ• νʔϜϓϨʔʹΑΔ࿈ܞޮՌ্• ZEITA͕ൃݴͨ͠੬ऑੑΛݟͳ͕ΒϝϯόʔؒͰରԠΛٞͰ͖ΔVulnDBͱSlackͷ࿈ܞʹΑΓୈ2ੈͷ՝Λղܾ
• ࣾͷ։ൃऀ͕SlackνϟϯωϧΛϑΥϩʔͯ͘͠ΕΔ• ϑΥϩʔ 305໊ʢ20185݄࣌ʣ• ηΩϡϦςΟνʔϜͱࣾΤϯδχΞͷަྲྀͷʹ• ϝϯόʔ͕੬ऑੑͷϓϩͱͯ͠ͷࣾೝΛಘΔ• ։ൃऀ͕Өڹௐࠪʹڠྗͯ͘͠ΕΔ• Ͳ͜ͰͲͷϞδϡʔϧ͕ΘΕͯΔ͔ڭ͑ͯ͘ΕΔ• ·͍ͣ੬ऑੑ͕ग़Δͱɺೳಈతʹ֤ॴରԠΛಇ͖͔͚ͯ͘ΕΔZEITA͕͞Βʹଟ͘ͷ՝Λղܾͯ͘͠ΕΔΑ͏ʹ
• Custom Slash CommandͰ੬ऑੑͷग़ݱΛࢹ• ొͨ͠੬ऑੑͷ߈ܸίʔυ͕ੈͷதʹग़ΔͱZEITA͕ڭ͑ͯ͘ΕΔ੬ऑੑͷ߈ܸίʔυͷग़ݱΛࢹࣗओن੍ࣗओن੍
͞ΒͳΔվળࡦΛࡧதୈੈ ։ൃத7VMO%#+1$&35$$͔ΒͷθϩσΠใୈੈ αʔό/8ػث͔Βࣗಈऔಘͨ͠ߏใͱ੬ऑੑΛϚον
• ༵͝ͱʹ୲ऀΛܾΊͯɺ੬ऑੑͷௐࠪͱτϦΞʔδ• 300ਓҎ্ʹݟΒΕ͍ͯΔͷͰۓுײ͕ߴ·Δ• ৽ਓຖ1݅ɺ੬ऑੑΛௐࠪͯ͠Ϩϙʔτ• Өڹͷେ͖ͦ͏ͳ੬ऑੑ͔ͬ͠Γௐࠪ• ରࡦͷύον߈ܸίʔυ͔Β੬ऑੑͷࠜຊݪҼΛಛఆ• ϝϯόʔ͕ղੳͰ͖ΔΑ͏ʹDockerͰ࠶ݱڥΛߏங• IDEͷσόοΨͳͲΛར༻ͯ͠ɺ߈ཱܸͷϝΧχζϜΛݕূɻ࣮༻্ɺͦͷ੬ऑੑ͕ຊʹʹͳΔͷ͔ʁͳͲ੬ऑੑௐֶ͕ࠪͼͷʹ
• Spring Frameworkͷ੬ऑੑͷमਖ਼࿙ΕʢCVE-2018-1257ʣΛൃݟௐࠪதʹ৽ͨͳ੬ऑੑ͕ݟ͔ͭΔ͜ͱ
੬ऑੑݕࠪ׆ಈࣄྫ
• ίετΩϟοϓʹΑΔݕࠪείʔϓͷ੍ݶ• ϓϥοτϑΥʔϜ੬ऑੑݕࠪ• ؒ150 IPΞυϨεΛબग़ͯ͠ݕࠪΛ࣮ࢪ• Web੬ऑੑݕࠪ• ৽ن or มߋ͞ΕͨαΠτʹରͯ͠4~8ը໘ͷൈ͖औΓݕࠪΛ࣮ࢪ• ݕࠪͰͳ͘ݕͱ͍͏Ґஔ͚͜Ε·Ͱͷ੬ऑੑݕࠪશʹ֎෦ҕୗ
ϓϥοτϑΥʔϜ੬ऑੑݕࠪͷԽ R&Dݕ౼த
AWS্ʹαʔόϨεͰߏங༧ఆݕ౼த
ݕ౼த
6*ΛΘͣʹ"1*Λ͏͜ͱՄೳʹݕ౼த
• ݕࠪπʔϧͷϥΠηϯεඅ༻ʴAWSͷΠϯϑϥίετͷΈͰIPΞυϨεͷ্ݶͳ͘ݕࠪͰ͖Δ• ݕࠪπʔϧඅ༻ରޮՌʹԠͯ͡ஔՄೳ• ։ൃऀ͕࣮ࢪ͍ͨ͠ରʹ࣮ࢪ͍ͨ͠λΠϛϯάͰݕࠪՄೳ• CIπʔϧͱͷAPI࿈ܞՄೳʹπʔϧԽͷརݕ౼த
Web੬ऑੑݕࠪͷΧόʔΛ্͛ΔͨΊͷऔΓΈ• ݶΒΕͨϝϯόʔͰΑΓޮՌͷ͋ΔऔΓΈΛࡧ• ϝϯόʔͷՔಇ͕ಛఆαʔϏεͷݕࠪͰຒ·ͬͯ͠·͏ͷͰݕࠪͷԽʹΛΒͳ͍• ੬ऑੑΛΑΓޮՌతʹݟ͚ͭΒΕΔࢪࡦʹϑΥʔΧε͢Δ• RED TEAM͕ιʔείʔυͷ੩తղੳπʔϧΛࣗ࡞• ֤αʔϏεͷGitϦϙδτϦͷΞΫηεݖΛ༩ͯ͠Β͍πʔϧࢹͰ੬ऑੑΛ୳͍ͯ͘͠• ։ൃऀͷࣾཹֶ
Δ͞·ɾɾɾΔ͞·ɾɾɾRED TEAMͷࣾཹֶΛ։࢝• ηΩϡϦςΟʹڵຯͷ͋Δ։ൃऀΛ༗ظͰड͚ೖΕRED TEAMͰ߈ܸϚγʔϯʹվ• ։ൃ৫ʹηΩϡϦςΟͷ͔ΔਓΛ૿͢͜ͱͰ֤৫Ͱͷ੬ऑੑରԠΛଅ͢
։ൃϓϩηεʹدΓఴ͏ηΩϡϦςΟ׆ಈࣄྫ
• CVRվળޮՌͷ͋ΔͷΛ͘࡞ΓɺՁݕূ͢Δ͜ͱ͕ٻΊΒΕΔϦΫϧʔτʹ͓͍ͯSoEཁૉͷߴ͍Ҋ͕݅૿Ճग़యɿଟ༷ͳϏδωευϝΠϯɺαʔϏεϑΣʔζ͕ࠞࡏ͢ΔதͰͷ৫ઓུͱٕज़ઓུʗٶ యٱ
• طଘͷηΩϡϦςΟαʔϏεSoRʹ࠷దԽ͞Ε͍ͯΔ• 1ϲ݄ؒͷ੬ऑੑݕࠪΛܦͯϦϦʔε à 1ϲ݄ؒͷCVʹӨڹ• ։ൃΛམͱ͞ͳ͍ηΩϡϦςΟࢪࡦ͕ٻΊΒΕΔ• CIʹΑΔܧଓతͳ੬ऑੑݕࠪ• Deployͱ࿈ಈͨ͠ϓϥοτϑΥʔϜ੬ऑੑεΩϟϯ• Pull Requestͷߦ͏ηΩϡϦςΟϨϏϡʔ• ϨϏϡʔίϝϯτΛ௨ͯ͡։ൃऀڭҭSoEͷ։ൃʹ૬ੑͷྑ͍ηΩϡϦςΟࢪࡦͷࡧ
։ൃϓϩηεʹ࠷దͳࢪࡦΛࡧاը ઃܭ ։ൃ ςετ ӡ༻ɾվमɾଌఆ• ઃܭϦεΫϨϏϡʔʢڴҖੳʣ• ΞʔΩϨϏϡʔ• ίʔυϨϏϡʔ• ੬ऑੑͷमਖ਼ࢧԉ• ੬ऑੑεΩϟφ$*࿈ܞ• ։ൃऀҭʢ0+5ʣ• ੬ऑੑݕࠪ• ։ൃऀҭʢ0+5ʣ• ੬ऑੑͷૣظܯռ• ։ൃ৫Ͱͷࣗతͳ%FW4FD0QTମ੍ߏஙࢧԉSprintʢ1~4िؒʣকདྷతͳ։ൃମ੍ͷมԽΛߟྀ
͜ͷઌͷʮมԽʯʹ͚ͯ
ଜ͕ࢹ͍ͯ͠ΔपғͷมԽΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ߈ܸͷඪతʹͳΔڪΕϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿ՃࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ
͜ͷ2ؒͰʮมԽʯʹͲ͏උ͑Δ͔͕উෛΦϦϯϐοΫಛधΛऴ͑ɺηΩϡϦςΟۀքͷٸͳྫྷ͑ࠐΈɻ࠾༻ࢢʹηΩϡϦςΟΤϯδχΞ͕ྲྀग़͠ɺίϞσΟςΟԽ͕Ճ ౦ژΦϦϯϐοΫεϙϯαʔΛૂͬͨ߈ܸͷඪతʹͳΔڪΕϦΫϧʔτਓࡐྖҬੈք/PͱͳΓ࣭ྔͱʹੈքΫϥεͷ߈ܸ͕དྷΔڪΕηΩϡϦςΟݟͷ͋ΔࣾΤϯδχΞͷ૿ՃࣾͰ࠾༻͞ΕΔٕज़ͷٸͳҠΓมΘΓ͜͜ͰͲ͏උ͑Δ͔ʁ
ࣾʹ3&%5&".ΛൃࠃͰॳΊͯϢʔβاۀʹઃஔ͞Εͨ3&% 5&".ɻϦΫϧʔτάϧʔϓ֤ࣾʹӨڹ͠͏ΔηΩϡϦςΟϦεΫΛೳಈతʹ୳͠ग़͠ɺϦεΫݮʹऔΓΉ
CVE-2014-0580 CVE-2015-2744 CVE-2015-5208 CVE-2016-1136 CVE-2016-2816 CVE-2017-5386CVE-2014-1591 CVE-2015-2745 CVE-2015-5256 CVE-2016-1137 CVE-2016-2817 CVE-2017-5463CVE-2014-5318 CVE-2015-2951 CVE-2015-5667 CVE-2016-1138 CVE-2016-7599 CVE-2017-7788CVE-2014-7257 CVE-2015-2964 CVE-2015-6759 CVE-2016-1139 CVE-2016-7844 CVE-2017-7789CVE-2014-8638 CVE-2015-3750 CVE-2015-6762 CVE-2016-1140 CVE-2016-7845 CVE-2017-10815CVE-2015-0799 CVE-2015-3751 CVE-2015-7094 CVE-2016-1141 CVE-2017-2240 CVE-2017-10816CVE-2015-0807 CVE-2015-3752 CVE-2015-7190 CVE-2016-1782 CVE-2017-2241 CVE-2017-10817CVE-2015-0832 CVE-2015-5204 CVE-2015-7191 CVE-2016-1940 CVE-2017-2376 CVE-2017-10818CVE-2015-2714 CVE-2015-5207 CVE-2015-8510 CVE-2016-1955 CVE-2017-5385 CVE-2017-10819ϝϯόʔ͕ใࠂͨ͠੬ऑੑʢൈਮʣ
2020Ҏ߱ʹى͜ΔมԽʹ͚ͯ• طଘͷࢪࡦʹनΘΕͣɺࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ͢Δ• ։ൃऀͱ࿈ܞ͠ɺ։ൃݱͷ͋ΒΏΔηΩϡϦςΟ՝Λߴ͍ΤϯδχΞϦϯάྗͰղܾ͢Δ
ࣗΒ͕ϦεΫͱࢥ͏ͱ͜ΖΛೳಈతʹௐࠪ• ΦϯϥΠϯετϨʔδͷΞΫηε੍ޚόΠύεͷ੬ऑੑΛϖωτϨʔγϣϯςετதʹൃݟʢCVE-2016-7845ʣ• JSON Web TokenͷϥΠϒϥϦʹ͓͚Δॺ໊ݕূόΠύεͷ੬ऑੑΛ੬ऑੑݕࠪͷதͰൃݟʢCVE-2017-10862ʣ• ITࢿ࢈ཧιϑτΣΞͷ੬ऑੑ͕χϡʔεͰऔΓ্͛ΒΕͨࡍڝ߹ͷ੬ऑੑΛௐࠪʢCVE-2017-2240 ଞ9݅ʣ
$0%&#-6&ࠃ࢈*5ࢿ࢈ཧιϑτΣΞͷʢΠϯʣηΩϡϦςΟ
ηΩϡϦςΟ৫ͱͦͷख़
ϦΫϧʔτͷηΩϡϦςΟ৫ख़ $4*35ൃٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔҰ෦ۀͷԽϕϯμʔ࣭ཧʹணख͜͜ͷ࢟Λඳ͖͕࣌͘དྷ͍ͯΔߴͳٕज़ਓࡐͷ࠾༻ैདྷͷΛ͑Δ׆ಈΛػʹҰஈ্ͷεςʔδʹਐΉ४උ͕͍ͭͭ͋Δࠃઌਐେاۀࠃઌਐ*5ϕϯνϟʔࠃاۀฏۉੈքख़
৫ͷख़ʹΑΓٻΊΒΕΔηΩϡϦςΟਓࡐҟͳΔٕज़ۀϕϯμʔҕୗ ٕज़ਓһͷొ༻ʹΑΔҰ෦ۀͷԽϕϯμʔ࣭ཧʹணखܦӦͱͷڮ͠ਓࡐʴηΩϡϦςΟࠪਓࡐηΩϡϦςΟٕज़ͷΘ͔ΔίϯαϧਓࡐʴগͷηΩϡϦςΟٕज़ઐਓࡐ࣍ͷख़ͰٻΊΒΕΔηΩϡϦςΟਓࡐͱʁख़
ϕϯμʔ͔Βͷਓࡐྲྀग़ʹΑΓҎ߱ʹίϞσΟςΟԽ͠͏ΔྖҬଜ͕ߟ͑ΔࠓޙٻΊΒΕΔηΩϡϦςΟਓࡐܦӦͱͷڮ͠ਓࡐʴηΩϡϦςΟࠪਓࡐηΩϡϦςΟٕज़ͷΘ͔ΔίϯαϧਓࡐʴগͷηΩϡϦςΟٕज़ઐਓࡐرগੑͱۀքχʔζͷํΛอͯΔྖҬΤϯδχΞϦϯάྗΛۦͯࣗ͠ΒͷखͰ͋ΒΏΔ՝ղܾΛߦ͏ηΩϡϦςΟˍΤϯδχΞਓࡐίϞσΟςΟԽͷख़
"4*4͜ͷઌͷ2ͰঃʑʹࠩผԽྖҬγϑτ͢ΔηΩϡϦςΟٕज़ͷΘ͔ΔίϯαϧਓࡐʴগͷηΩϡϦςΟٕज़ઐਓࡐ50#&ΤϯδχΞϦϯάྗΛۦͯࣗ͠ΒͷखͰ͋ΒΏΔ՝ղܾΛߦ͏ηΩϡϦςΟˍΤϯδχΞਓࡐγϑτ͢Δख़
• άϧʔϓͷϝϯόʔʹԿ͔͠Βͷ։ൃΛΞαΠϯ• ੬ऑੑݕࠪͷਐཧγεςϜʮ.0,6#"ʯ• ύονϚωδϝϯτγεςϜʮ3"''-&4*"ʯ• ϓϥοτϑΥʔϜ੬ऑੑݕࠪγεςϜ• ࣗͨͪͰ։ൃΛߦ͏͜ͱͰಘΒΕΔݟ͕͋Δ• ηΩϡϦςΟࢪࡦΛυοάϑʔσΟϯά• ٕज़બఆͷ৹ඒ؟ʢӡ༻ऀͷࢹͳͲʣ• ։ൃϓϩηεʹ߹ͬͨηΩϡϦςΟࢪࡦΛఏҊ؇͔ͳγϑτ͢Ͱʹ࢝·͍ͬͯΔ
• )BDL&WFSZUIJOH• ࢲୡ͕ӦΉ͜Ε·ͰͷηΩϡϦςΟࢪࡦΛ)BDL͠• ߹ཧੑଛͳΘͳ͍··ʹ• ςΫχΧϧʹਖ਼͘͠• ඒ͘͠εςΩʹ• ίεύྑ͘• ͍͘͢• ԿΑΓ͕ࣗͨͪϫΫϫΫ͢Δͷʹຏ্͖͍͛ͯ͘ͱ͍͏͜ͱγϑτڪΕΔͷͰͳָ͘͠Ήͷ
rtechkouhou
prathamesh
yellowshippo
kazumax55
takumakume
yuhattor
shimastripe
imsaku
eiki
tsujiba
bonotake
nazonohito51
yusuke
matthewcrist
dougneiner
kastner
samlambert
trallard
mza
afnizarnur
scottboms
myddelton
wjessup
kevinliebholz
rocio