Friday, April 11, 2014

Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

■Heartbleedのリスクと善後策

Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。

  • 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃)
  • 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読
  • サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩

漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。

どこまで対策を施すべきかは、攻撃を受けた可能性をどの程度と評価するか、個々の組織の判断によるところがあると思うのでコメントしませんが、以下のような対策が必要になる可能性があります。

  • 偽サイトの出現や中間者攻撃、これからのパケット解読を防ぐには、新しい秘密鍵/公開鍵ペアを使うサーバ証明書への更新と、現行のサーバ証明書のrevocation
  • 秘密鍵の漏洩によって過去のパケット解読が容易になることのないよう、Forward Secrecyを満たすようなサーバ設定
  • 他のユーザーのものを含むデータの漏洩については、セッション情報のリセットとパスワードの再設定のお願い

■Heartbleedの背景

Heartbleedのような問題は、そもそもなぜ発生するのでしょう。それは言うまでもなく、安全性の根拠をプログラムが正しく記述されることに求めているからです(つまり、プログラムにバグがあると脆弱性として発現する可能性があるから)。最小権限の原則が守られていない、と言い換えてもよいと思います。

Heartbleedにおいて他のユーザーのデータが漏洩するのは、一つのプロセスが複数のユーザーの通信を処理しているからです。ユーザーごとに(あるいは接続毎に)別個のプロセスを割り当てていれば、他のユーザーの通信内容が漏洩することは起こりえません。

秘密鍵の漏洩にしても、秘密鍵を必要とする処理(TLSのハンドシェイク中の一部処理に限られます)と、TLS Heartbeatの処理(ハンドシェイク中以外に限られます)を別個の権限の元で動作させていれば、発生しなかったと言えます(17:19修正)。

多くのOSのプロセス分離やファイルアクセス権の制御に見られるように、最小権限の原則に基づいたセキュリティは有効に機能することが知られています。

にもかかわらず、ウェブ関連のソフトウェアにおいては同原則を用いずに、安全性の根拠をプログラムにバグがない点に求めるという悪しき慣習が続いています。特に、機能別の権限分離はまだしも、アクセスユーザー別の権限分離については系統だった実施例が非常に少ないという印象をもっています。

たとえば、SQL Injectionに代表されるSQL関連の情報漏洩も、アクセス制御にRDBMSのアクセス制御機構を用いず、アプリケーションプログラム内のSQL(とそのエスケープ)が正しく記述されている点に、安全性の根拠を求めているが故に発生しているわけです注1

ウェブの黎明期においては、(小数のユーザが使用することが一般的だった)RDBMSの認証システムの要件と多数が使用するウェブの要件は異なるのでRDBMSの認証システムはウェブ向けには使用できない、というのは説得力のある言い訳でした。ですが、今やRDBMSの用途の多くがウェブアプリケーションのデータストアになっているはずです。にもかかわらず、RDBMS(あるいはその他のデータストア)のアクセス制御機構をウェブアプリケーションからのアクセス制御に使う、というのは一般的な手法になっていません。

同様の問題はウェブアプリケーションサーバにもあり、複数のユーザーのリクエストを単一のプロセスで処理する結果、情報漏洩が発生するケースが見受けられます注2

リバースプロキシ、アプリケーションサーバ、データストア、そういったウェブアプリケーションの各要素について、最小権限の原則に基づいた、アプリケーションにバグがあっても脆弱にならないようなアーキテクチャの構成技法と技術開発が求められているのではないでしょうか。


注1: 強制アクセス制御がうまく機能しないようなアクセスパターンも、もちろん存在します
注2: 卑近な例としては、ログインユーザーとして別のユーザの名前が表示されるとか
投稿者 時刻:
ラベル: , ,
はてなブックマーク - Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について

19 comments:

  1. fumiyasApril 11, 2014 at 3:50 PM

    s/通信データの漏洩/データの漏洩/

    ReplyDelete
    Replies
    1. Kazuho OkuApril 11, 2014 at 3:56 PM

      ありがとうございます。修正しました。

      Delete
  2. UnknownAugust 2, 2016 at 12:03 PM

    ray ban sunglasses
    hollister outlet
    nike air max 90
    jordan shoes
    cheap jordan shoes
    michael kors handbags
    cheap oakley sunglasses
    michael kors outlet
    fitflops
    jordan retro 3
    mont blanc pens for sale
    nike outlet
    louis vuitton handbags
    rolex watches outlet
    tods outlet
    michael kors outlet
    oakley sunglasses
    louis vuitton handbags
    coach outlet
    ghd flat iron
    ralph lauren polo
    juicy couture
    polo ralph shirts
    coach outlet store online
    gucci outlet
    louis vuitton handbags
    coach outlet store online
    coach outlet
    louis vuitton outlet
    toms
    christian louboutin outlet
    tory burch sale
    coach factory outlet
    hollister clothing
    hermes handbags
    oakley outlet
    jordan 3
    adidas outlet store
    tory burch outlet
    true religion jeans
    20168.2wengdongdong

    ReplyDelete
  3. ane semprulMay 18, 2017 at 3:28 PM

    This blog is so nice to me. I will continue to come here again and again. Visit my link as well. Good luck
    http://www.jualobataborsiherbal.com/ obat aborsi
    http://caramenggugurkankandungan.info/ cara menggugurkan kandungan
    http://www.jualobataborsiherbal.com/cara-menggugurkan-kandungan/ cara menggugurkan kandungan
    http://obataborsi59.com/ obat aborsi
    http://obataborsi59.com/cara-menggugurkan-kandungan-dengan-cepat-dan-aman/ cara menggugurkan kandungan
    http://obattelatdatangbulan.info/ obat telat datang bulan
    http://klinikobataborsi.com/ jual obat aborsi
    http://jualobatpenggugurkandungan.net/ obat penggugur kandungan
    http://tandatandakehamilan.net/ tanda tanda kehamilan
    http://tandatandakehamilan.net/cara-cepat-dan-selamat-menggugurkan-kandungan/ cara menggugurkan kandungan

    ReplyDelete
  4. ahmadsayedOctober 7, 2017 at 3:39 AM


    شركة نقل عفش بالدمام الشرق الاوسط متحصصه فى نقل عفش واثاث بالدمام ونقل العفش بالخبر كما انها توفر شركة نقل عفش بالجبيل والخبر وشركة نقل عفش بالقطيف والاحساء وجميع خدمات نقل العفش والاثاث بالمنطقة الشرقية بارخص اسعار نقل عفش بالدمام وتقدم ايضا شركة تخزين عفش بالدمام والخبر
    نقل عفش بالدمام
    شركة نقل اثاث بالدمام
    شركة نقل اثاث بالخبر
    شركة نقل اثاث بالجبيل

    ReplyDelete
  5. ahmadsayedOctober 7, 2017 at 3:46 AM

    شركة نقل عفش بالخبر
    شركة نقل عفش بالقطيف
    شركة نقل اثاث بالاحساء
    شركة نقل عفش الجبيل
    شركة نقل عفش بالدمام

    ReplyDelete
  6. ahmadsayedOctober 7, 2017 at 3:47 AM

    شركة نقل اثاث بجدة
    شركة نقل عفش بالرياض
    شركة نقل عفش بالمدينة المنورة
    شركة نقل عفش بالدمام
    شركة نقل عفش بالدمام

    ReplyDelete
  7. UnknownNovember 20, 2017 at 12:26 PM

    mulberry handbags
    ray ban sunglasses
    oakley sunglasses
    tory burch outlet
    nike outlet
    nike shoes
    canada goose outlet
    pandora jewelry
    polo outlet
    michael kors
    chanyuan2017.11.20

    ReplyDelete
  8. UnknownApril 23, 2018 at 4:06 PM

    prada
    sac michael kors
    dansko outlet
    new balance femme
    adidas superstar
    miu miu shoes
    supra shoes
    mizuno
    air max plus
    salvatore ferragamo
    2018.4.23chenlixiang

    ReplyDelete
  9. chenliliMay 26, 2018 at 10:21 AM

    kate spade handbags
    a bathing ape clothing
    stussy hoodie
    pandora jewelry
    james harden jerseys
    nike outlet online
    jordan 31
    mont blanc pens
    kobe 12
    michael kors outlet clearance
    20185.26chenjinyan

    ReplyDelete
  10. UnknownJune 11, 2018 at 10:42 AM

    adidas superstar
    montre pas cher
    cheap nfl jerseys
    soccer shoes
    bcbg outlet
    prada outlet
    wedding dresses
    michael kors
    nike air max
    skechers shoes
    2018.6.11linying

    ReplyDelete
  11. Solusi Sehat dengan HerbalJune 24, 2018 at 2:52 PM

    This information is very useful. thank you for sharing. and I will also share information about health through the website

    Obat Sakit Mata Belekan Alami
    Cara Mengatasi Diare
    Obat Sariawan Alami
    Obat Penghancur Batu ginjal
    Cara Menghilangkan Varises
    Obat Sakit perut melilit paling Ampuh
    Cara Mudah Menghilangkan Keloid

    ReplyDelete
  12. chenlinaJune 26, 2018 at 3:06 PM

    hermes uk
    10 deep clothing
    spalding basketball
    tory burch sandals
    nike store
    nike air max
    air zoom pegasus
    isabel marant
    jordan 14
    maui jim sunglasses
    chenlina20180626

    ReplyDelete
  13. nailaakifaAugust 27, 2018 at 10:12 AM


    Thank you for joining us. his article is very helpful

    Obat Maag Alami
    Cara Menghilangkan Keputihan Secara Alami dan Permanen
    Cara Mengobati Hematuria
    Obat Penambah Berat Badan
    Cara Mengobati Penyakit Kista
    Cara Mengobati Sesak Napas Alami
    Cara Mengobati Penyakit Gagal Jantung

    ReplyDelete
  14. Webroot.com/safeDecember 21, 2018 at 4:30 PM

    Webroot.com/safe is a protection software solution that communicates with the cloud avoiding the hassle to manage the signature updates to deploy. for office setup visit office.com/setup

    ReplyDelete
  15. AmanMay 2, 2019 at 6:16 AM

    Hi everyone
    career jankari hindi latest updates here
    career jankari hindi latest updates here

    career planning medical engineering admission job motivation jankari hindi

    mbbs admission ebtrentr job updates here

    B.Ed admission course job updates here

    after 12 th arts job carrier vacancy

    iit admission course job Indian institute of technology hindi latest updates here

    veterinary Doctors admission course job hindi latest updates here

    ReplyDelete
  16. aryanooneMay 13, 2019 at 3:37 PM

    Thanks for sharing such a nice Blog.I like it.
    enter norton product key
    norton com/setup
    mcafee activate enter code
    comcast customer support number
    AVG support number
    webroot antivirus phone number
    kaspersky phone number
    Outlook Phone number
    MIcrosoft Edge Phone number

    ReplyDelete
  17. remukJune 19, 2019 at 12:50 AM

    now present in your city cara menggugurkan kandungan
    1. manfaat kurma untuk persalinan
    2. manfaat buah nanas
    3. aktivitas penyebab keguguran
    4. apakah usg berbahaya
    5. penyebab telat haid
    6. cara melancarkan haid

    ReplyDelete
  18. Erin MosesJuly 2, 2019 at 5:41 PM

    Outlook online support
    Canon printer customer support number
    McAfee contact number
    Hp printer support

    ReplyDelete

Note: Only a member of this blog may post a comment.

Subscribe to: Post Comments (Atom)