TOMOYO

Fork

[tomoyo-users 619] OpenSSH に対する 0 day exploit の噂

Tetsuo Handa from-****@I-lov*****
2009年 7月 8日 (水) 22:10:23 JST

• 前の記事 [tomoyo-users 618] TOMOYO 1.6.7 / 1.6.7p1 / 1.6.8 を CONFIG_SLOB=y で利用する場合のセキュリティホール
• 次の記事 [tomoyo-users 622] Re: OpenSSH に対する 0 day exploit の噂
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]

　熊猫です。

　セキュｍｅｍｏ経由
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090708__OpenSSH
現在 OpenSSH に対する 0 day exploit が出てきているらしいです。（まだ噂レベル）

　この exploit 攻撃により /bin/sh が実行される時のパラメータがどうなっているか
気になりますね。 TOMOYO を使えば argv[0] が -bash の場合だけ許可するとか
特定の環境変数が設定されている場合だけ実行を許可するという制限が可能です。

　この exploit が本物ならば、 execute_handler でハニーポットに誘導したり
ケロちゃんチェックで防御したりするのには最高の例になりそうですね。

• 前の記事 [tomoyo-users 618] TOMOYO 1.6.7 / 1.6.7p1 / 1.6.8 を CONFIG_SLOB=y で利用する場合のセキュリティホール
• 次の記事 [tomoyo-users 622] Re: OpenSSH に対する 0 day exploit の噂
• 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ]