Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210327 - 20210402)

f:id:y_saiki:20210315230255j:plain

20210327 ~ 20210402の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. How Do Websites Get Hacked?(Webサイトはどのようにハッキングされますか?)

ハッキングされるポイントとして「アクセス制御」「ソフトウェア脆弱性」「サードパーティ統合」に分けられ、それぞれポイントに関して説明がされています。
また、セキュリティはリスクの排除ではなくリスクの軽減であり、完全な解決策があるわけではないと述べられています。

blog.sucuri.net

2. The good and the bad with Chrome web browser's new security defaults(Chromeウェブブラウザの新しいセキュリティデフォルトの良い点と悪い点)

Chrome90からはWebサイトに接続する際にはデフォルトがHTTPSで接続されるようになるわけですが、HTTPSだからと言ってそのサイトが完全に安全とは限らないと述べられています。
これは他のサイトになりすましたフィッシングサイトがSSL証明書を発行しているケースがあり、このような場合でもChromeは安全なサイトと認識してしまうからであるそうです。
認証局は偽の証明書を発行すべきではないのですが、それは防げないため、認証局は以下のことをおこなうべきではないか?というポイントが記載されていました。

  1. Tighten up their identity verification processes.
  2. Reduce the cost, time, and effort of acquiring identity verification.
  3. Browser vendors should design a meaningful icon for identity verification for the browser toolbar -- away from the padlock.
  4. Browser vendors should improve the user experience so websites' real identity is intuitive.

出典:The good and the bad with Chrome web browser's new security defaults

www.zdnet.com

3. Critical netmask networking bug impacts thousands of applications(重大なネットマスクネットワークのバグは、何千ものアプリケーションに影響を与えます)

npmライブラリであるnetmaskに脆弱性があることが述べられています。

netmask - npm

脆弱性の内容についてはこちら

NVD - CVE-2021-28918 NVD - CVE-2021-29418

www.bleepingcomputer.com

4. PHP's Git server hacked to add backdoors to PHP source code(PHPのGitサーバーがハッキングされてPHPソースコードにバックドアが追加されました)

PHPのGitサーバーがハッキングされ、バックドアが仕込まれたそう。
変更はすぐに元に戻されたが、またPHPの公式リポジトリは独自のGitサーバー上で管理されており、不正なアクセスによる悪意のあるコミットがされてしまうセキュリティリスクを考慮し公式リポジトリをgithubに移行することを発表している。
またPHPの開発に携わるにはgithubの2段階認証設定が必須みたいですね。

www.bleepingcomputer.com

5. SAML XML Injection(SAMLXMLインジェクション)

SAMLは異なるインターネットドメイン間でユーザー認証を行うための規格です。
SAMLはXMLベースであり、SAMLXMLインジェクションを受けると署名を書き換えて任意のユーザーアカウントに不正アクセスできてしまうそうです。

research.nccgroup.com

6. Google Chrome for Linux is getting DNS-over-HTTPS, but there's a catch(Linux用のGoogleChromeはDNS-over-HTTPSを取得していますが、問題があります)

DNS-over-HTTPSとは?

リモートのDNS解決をHTTPSプロトコルを用いて実行するためのプロトコルである。

出典:DNS over HTTPS - Wikipedia

詳しくはこちらのサイトに記載されている内容がわかりやすいかと思います。

https://www.cloudflare.com/ja-jp/learning/dns/dns-over-tls/

Chrome for linuxはDNS-over-HTTPSをサポートをリリースする計画だそうです。
他のプラットフォームではサポートされているのに、なぜ今までサポートされていなかったのかというと以下のように述べられています。

"The reason it is not yet supported is because of Linux's variability and advanced configurability."

出典:Google Chrome for Linux is getting DNS-over-HTTPS, but there's a catch

また、サイトの読み込みパフォーマンスに影響があるそうです。

Additionally, because DoH functions over multiple networking layers (it is really DNS over HTTP over TLS), minor latency is expected affecting page load times.

出典:Google Chrome for Linux is getting DNS-over-HTTPS, but there's a catch

www.bleepingcomputer.com

7. Fake jQuery files infect WordPress sites with malware(偽のjQueryファイルがWordPressサイトをマルウェアに感染させる)

jQueryMigrateとというjQueryのバージョンによる仕様の差分を吸収してくれるプラグインがあるのですが、これに成りすました偽のjqueryファイルがあるそうです。
このファイルは検出を困難にするために./wp-includes/js/jquery/に存在する元の正当なファイルを置き換えてしまうみたいです。
この悪意のあるファイルが実行されるとWordPressがCSRF保護を実施するために使用する_wpnonce_create-user 変数にアクセスでき、CSRFトークンの取得などが行えてしまうそうです。

www.bleepingcomputer.com