ConcurrentReal-Time-Logo

リアルタイムテクニカルドキュメント 最終更新 2021.04.16

Concurrent Real Time IncのRedHawk Linuxオペレーティングシステム・ セキュリティに関する情報を記述しています。

[hand.right] STIG Viewerについて

STIGs(Security Technical Implementation Guides)は、米国国防総省(DoD)によって開発および公開されているセキュリティ技術実装ガイドで、セキュリティ設定チェックリスト記述形式(XCCDF)で記述されています。
DoD/DISA STIG Viewer ツールは、1 つ以上の XCCDF (拡張可能な構成チェックリスト記述形式) で書式設定された SCG を、人間が読みやすいわかりやすい形式で表示する機能を提供します。
これは、DoD用にDISAによって開発され、公開されたSSTIと互換性があります。STIG Viewer の目的は、STIG コンテンツへのアクセスを容易にする直感的なグラフィカル ユーザー インターフェイスを提供し、現在の SCG を表示する方法 (Web ブラウザでスタイル シートを使用) では利用できない追加の検索および並べ替え機能を提供することです。
STIG Viewerは、DoD CYBER EXCHANGEのサイトからダウンロードし、RedHawkで利用できます。
また、実装ガイドは、https://public.cyber.mil/stigs/downloads/からダウンロードでき、 2021/1/5公開の U_RHEL_8_V1R1_STIG.zip(RHEL8用 Ver1 Rel1)では341のプロファイルがあります。
オリジナルはすべて英語ですが、コンカレント日本株式会社ではこのSTIG Viewer2.13とU_RHEL_8_V1R1_STIGの翻訳版を有償で提供していますので、お問い合わせください。
詳細は、U_STIG-_Viewer_2-x_User_Guide_July_2020_JPと、 U_RHEL_8_V1R1_Overview_JPをご参照ください。
翻訳版STIG Viwerでは、日本語の入力も可能です。

[STIGViewer.png]

[hand.right] sudoの脆弱性について
「sudo」に、パスワードなしで特権の獲得を許す脆弱性CVE-2021-3156が見つかりました。
この欠陥は、認証なしでsudoコマンドを実行できる(デフォルトでは、すべてのローカルユーザーがsudoを実行できる)ローカルユーザーによって悪用される可能性があります。
この欠陥の悪用に成功すると、特権の昇格につながる可能性があります。
    以下のRedHawk製品およびコンテナは、直接影響を受けるか、影響を受ける可能性があります。

  • RedHawk Linux 6.x
    この版は、上記リンクからソースコードをダウンロードして、下記手順で、コンパイル、インストールしてください。
    
    # tar xvfz sudo-1.9.5p2.tar.gz
    # cd sudo-1.9.5p2
    # ./configure --prefix=/usr
    # make
    # make install
    
  • RedHawk Linux 7.x
    この版は、 下記手順でリポジトリからsudoをアップデートするか、 上記リンクからRPMをダウンロードして、ローカルインストールしてください。
    
    # yum update sudo
    
    または
    
    # yum localupdate sudo-1.8.23-10.el7_9.1.x86_64.rpm
    
  • RedHawk Linux 8.x
    この版は、 下記手順でリポジトリからsudoをアップデートするか、 上記リンクからRPMをダウンロードして、ローカルインストールしてください。
    
    # dnf update sudo
    Last metadata expiration check: 0:08:41 ago on Tue Feb  2 11:37:37 2021.
    Dependencies resolved.
    ================================================================================
     Package       Architecture    Version                    Repository       Size
    ================================================================================
    Upgrading:
     sudo          x86_64          1.8.29-6.el8_3.1           BaseOS          924 k
    
    Transaction Summary
    ================================================================================
    Upgrade  1 Package
    
    Total download size: 924 k
    Is this ok [y/N]: y
    Downloading Packages:
    sudo-1.8.29-6.el8_3.1.x86_64.rpm                610 kB/s | 924 kB     00:01    
    --------------------------------------------------------------------------------
    Total                                           423 kB/s | 924 kB     00:02     
    Running transaction check
    Transaction check succeeded.
    Running transaction test
    Transaction test succeeded.
    Running transaction
      Preparing        :                                                        1/1 
      Upgrading        : sudo-1.8.29-6.el8_3.1.x86_64                           1/2 
      Running scriptlet: sudo-1.8.29-6.el8_3.1.x86_64                           1/2 
      Cleanup          : sudo-1.8.29-5.el8.x86_64                               2/2 
      Running scriptlet: sudo-1.8.29-5.el8.x86_64                               2/2 
      Verifying        : sudo-1.8.29-6.el8_3.1.x86_64                           1/2 
      Verifying        : sudo-1.8.29-5.el8.x86_64                               2/2 
    Installed products updated.
    
    Upgraded:
      sudo-1.8.29-6.el8_3.1.x86_64                                                  
    
    Complete!
    
    
    または
    
    # yum localupdate sudo-1.8.29-6.el8_3.1.x86_64.rpm
    
[hand.right] 報告: 難読化オープンソースソフトウェアについて(PDF)
難読化コード(Obfuscated code)とは、コンピュータプログラムにおいて、その内部的な動作の手続き内容・構造・データなどを人間が理解しにくい、あるいはそのようになるよう加工されたソースコードやマシンコードのことです。
本資料では、アプリケーションプログラムの難読化を行うオープンソース Obfuscator-LLVM に含まれるclang のインストール方法について記述しています。

[hand.right] カタログ: USB Flash ディスクセキュアプログラム(PDF)
ptadminは、USB Flash Diskの挿入時に、登録されたデバイスのみをホストコンピュータに認識させるためのセキュリティプログラムであるため、インストール後は、ptadminを使用してデバイスパスワードテーブルを保守しないと、USB Flashディスクをマウントす ることが出来なくなります。
ptadminは、ホストコンピュータでの未登録USB Flashデバイスの使用を抑制しますが、USB Flashデバイスを保護するものではないため、必要であれば、LUKS(Linux Unified Key Setup)を使用して、USB Flashの内容を保護(暗号化とパスフレーズ保護)してくださ い。
USB Flashの暗号化については、 暗号化 USBFlashDisk デバイスの取り扱いについての資料をご覧ください。


[hand.right] お知らせ:
インテル社は、 インテル製CPUが搭載するプロセス管理用ファームウェアに、 遠隔攻撃を許す深刻な脆弱性があるため早急にファームウェアのアップデートを行うように警告しています。
Intel SA-00086(外部HTML)
    影響を受ける製品は以下の通りです。
  • 第6世代、第7世代および第8世代のインテル ® Core ™ プロセッサー・ファミリー
  • インテル ® Xeon ® プロセッサーE3-1200 v5およびv6製品ファミリー
  • インテル ® Xeon ® プロセッサースケーラブル・ファミリー
  • インテル ® Xeon ® プロセッサーWファミリー
  • インテル ® Atom ® C3000プロセッサー・ファミリー
  • Apollo LakeIntel ® AtomプロセッサE3900シリーズ
  • Apollo Lakeインテル ® Pentium
  • Celeron® N および J シリーズプロセッサ

サポートは、各ハードウェアメーカーの公式サポートページを参照してください
なお、インテル社が公開している検出ツールは、Concurrent RedHawk Linux上では動作しませんので、ご注意ください



[back]Back