パスワードを忘れた? アカウント作成
245059 story
インターネット

Memcached に潜むセキュリティホール 27

ストーリー by reo
インターネット向けにポート開いちゃってる事がニュースなのでは 部門より

insiderman 曰く、

さまざまなサイトで使われているキャッシュ機構、memcached に潜む脆弱性が 本家 /. 記事にて紹介されている。

memcached には認証機構やセキュリティ関連の機能を備えていないため、データベース〜 memcached 間や、Web サーバー〜 memcached 間のネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり、そこからたとえばユーザーのログイン ID / パスワードなどを取得するということが理論的には可能という。

前述のとおり memcached はセキュリティ機構がないため、利用には適切なネットワーク設定が必要であるが、たとえば bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり、これらに対してデータの取得を試みるデモが発表されている (発表スライド) 。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 何を今更・・・ (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2010年08月10日 10時50分 (#1807510)

    >ネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり
    memcachedに限らず、FTPやSMTPなんかも同様なんですがそれをセキュリティホールと言っていいのでしょうか?
    想定してない欠陥を突かれて漏洩などが起こるのであればセキュリティホールだと思っていたのですが
    初めから想定されていた動作もセキュリティホールだ、と言われるとなんだかなーという気がします。

    >bit.ly や Globworld、Gowalla といったサイトではインターネットから memcached へのアクセスが可能であり
    プライベートで利用されることを想定してるツールをグローバルで利用できるようになってる事自体が異常な状態では?
    どうみてもサービスの欠陥としか思えませんが。

    • まぁ穴かどうかは別にして有名サイトでも、これが可能だということを想定しないで運用しちゃってるみたいだから気をつけようねってのが主眼ですね。

      親コメント
    • by Sukoya (33993) on 2010年08月10日 11時34分 (#1807539) 日記

      すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
      納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

      それこそ素のFTPは使用禁止にしているところもあるような……

      親コメント
      • Re:何を今更・・・ (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2010年08月11日 5時52分 (#1807976)
        HTTPはセキュリティホールですねわかります。
        親コメント
      • by Anonymous Coward
        >すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
        >納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

        "平文で流れる == セキュリティホール"
        なのかww
        そんなご時世は嫌だなぁ
        IC内部なんてどうするんだろうね。盗み見られたら検知できる量子なんとかの出番か。
        • by Sukoya (33993) on 2010年08月10日 12時28分 (#1807572) 日記

          いくらネットワークをガチガチに暗号化しても、オペレータやハードウェアの中身を狙われたらひとたまりも無いから、せめて国産品を使おうぜ!
          って話じゃないかなあ……?

          親コメント
          • by Anonymous Coward

            > せめて国産品を使おうぜ!

            国産だと安全なんですか?意味不明

      • by Anonymous Coward

        それなのに、よくスラドでログインできるな
        平文は危険なのでAC

        • Re:何を今更・・・ (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2010年08月10日 13時20分 (#1807615)

          だからこそ、ユーザー側の対策として、サイト毎にパスワードを変えたり、定期的に変更しようという啓蒙活動が必要な訳でありましてね?

          #スラドの管理者が信頼できるか否かは、
          我輩も自信がないのでAC

          親コメント
          • by adeu (2937) on 2010年08月10日 14時25分 (#1807650)
            いくつかのサイトで異なるパスワードを使っているけど、一発でログインできることは少ないのが悩み。
            パスワード管理アプリケーションは怖くて使えないし。
            親コメント
            • by Anonymous Coward

              いくつかのサイトで異なるパスワードを使っているけど、一発でログインできることは少ないのが悩み。 パスワード管理アプリケーションは怖くて使えないし。

              別サイトのパスワードを間違えて入力しちゃうとかTabnagging [ideaxidea.com]とか考えると、ちゃんとマスターパスワードを設定してブラウザに覚えさせる方がましだと思ってそうしてる。

          • by Anonymous Coward

            #スラドの管理者が信頼できるか否かは、

            左側のThinkGeekのリンクが改竄されてるよって日記で指摘されてもまだ放置されてる位だからなあ。

            ##あっしも自信がないのでAC

      • by Anonymous Coward

        ならば現状で存在するすべてのプロトコル、通信がセキュリティホールであり暗号化すべきでしょう。
        それがされてないのは暗号化しないことによるメリット(高速性など)の方が大きいからです。

        >FTPは使用禁止にしているところもある
        FTPはインターネット上のすべてのサービスで使えないようになってますか?
        それがされてないならやはりFTPもあなたが言うようにmemcachedと同じセキュリティホールでしょう。
        #私が知ってる限りFTPをファイルやりとりの手段として使えるサービスはまだ多く存在していますし、memcachedも多くはプライベートでしか使われません。

        このように使い手次第でいかようにもなるものを捕まえて「理想的にこうあるべき!そうでなければセキュリティホール」と言うのは偏見でしかない。

        • by Sukoya (33993) on 2010年08月10日 15時39分 (#1807692) 日記

          セキュリティレベルはサービス内容で決める事
          それが判断出来るのは素晴らしい事であります

          でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?

          親コメント
          • by Anonymous Coward

            セキュリティレベルはサービス内容で決めるのは同意ですが、
            ガンブラーの蔓延はネットワークが暗号化されてなかったせいじゃないですよ?
            ちゃんとググりましたか?

          • by Anonymous Coward

            >セキュリティレベルはサービス内容で決める事
            だからこそ、memcachedはプライベートで使われるべきなんですが。
            サービス内容に適してないツール使ってるのにそのツールは欠陥だ、暗号化されているべきというのは論点のすり替えでしかありません。
            WebでのログインはHTTP認証だったら気になりますよね?
            そこはHTTPSであるべきと思いますよね?
            そういう話です。あなたの言ってるのはHTTPは欠陥だすべて暗号化されてるべきと言ってるのと同じです。

            >でも、ガンブラーでググれ。とでも言わなきゃ駄目でありますかね……?
            そのままそっくりお返ししますよ。
            ここで例としてガンブラーを挙げるのは仕組み、蔓延した原因なにも分かってないですよね?

            • by Sukoya (33993) on 2010年08月11日 10時21分 (#1808023) 日記

              ああ、そうか。求めている要件が違いすぎる
              貴方が正しい
              問題が起きた時に、迅速に解決出来るならばそれでいい

              >ガンブラー
              ガンブラーで、FTPの脆弱性が改めて浮き彫りになった
              アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよね
              って話でありますよ……?

              親コメント
              • by Anonymous Coward

                あなたのおっしゃる脆弱性とは一般的に使われるセキュリティホールとは異なります。
                セキュリティホールとは欠陥であり脆弱性とは仕様上の欠点です。
                memcachedは脆弱さを犠牲にして速度を最優先に考えられています。
                ただし、これはセキュリティホールではありません。
                同様に平文で通信されるプロトコルはすべて脆弱であるといえますがいずれもそれ自体がセキュリティホールというわけではありません。
                それでも通信路を暗号化してない=セキュリティホールと言えますか?

                >アプリケーションの脆弱性の問題だったとはいえ、そもそもFTP自体に脆弱性があるよねって話でありますよ……?
                FTPではなくすべての平文通信のプロトコルはタッピングに対する脆弱性を持っています。
                ガンブラーを例にあげてますが、まさか暗号化経路だったらガンブラーによるアカウントハックは防げたとでも?
                もう一度、経緯と仕組み、個々のアプリケーションでの問題について復習したほうがよいかと。

      • by Anonymous Coward

        元コメントにあるようにローカルネットワークで使う物で
        rawデータの送受信しか流せない物にID/PSなどのデータを詰め込んで
        グローバルネットワークに公開しているのが根本的におかしいのであって
        それをもってmemcachedのセキュリティーホールだというのは無理がある。

        MySQLをアクセス制限もユーザ認証の設定もせずに外部に公開して
        DELETEもDROPもできるし、しかもSELECTでID/PASSを平文で出力できた!
        これはMySQLのセキュリティーホールだ!
        と言って誰がまともに取り合うのですか?
        これは「ソフト」のセキュリティーホールではなく
        「サービス」のセキュリティーホールです。

        > すくなくとも、ネットワーク上の通信が暗号化されて居ない場合は、
        >納得出来なくても、仕様だとしても、今のご時世はセキュリティホール扱いでは?

        smtpsを使ってのメール送信はクライアントサーバ間は暗号

  • memcachedをダダ漏れで使っているケースなんて想定外だろうな。
    しかしその想定外の使い方をしているケースがあるとすればまずいよ、という啓蒙か。

    普通はバックエンドのDBや分散key-valueストアなんてのは
    システム外からはアクセス出来ないサーバファーム専用のネットーワーク内にあって、
    インターフェイスも物理的に別個だったり、
    ブレードのフレームに有るスイッチが持ってるVLANモドキ機能とか、
    そうでなくてもせめてVLANで切り分けられているネットワーク内にあるものだと思うが。

    その内部でモニタすればバレバレだよ、とか言われると
    じゃぁロードバランサでSSLを解除してバックエンドのウェブサーバに振り分けるのもアウトなのかと。

    --
    屍体メモ [windy.cx]
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...