MS15-034 – 緊急 / HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)

2015/04/152015/04/18 / buchizo / 1件のコメント

HTTP.sysでカーネルキャッシュが有効な場合、特別に細工されたHTTP要求を受信するとHTTPS.sysでリモートコードが実行できてしまう脆弱性があるようです。（システムアカウントなコンテキストで任意のコードが実行できてしまう）

マイクロソフトセキュリティ情報 MS15-034 – 緊急 / HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)

HTTP.sysが対象なのでIIS7以降でクライアントOSも含むので注意が必要です。クライアントOSの場合、HTTP.sysを使うような人はだいたい開発者で通常localhostからしかリクエストを許可していないだろうと思いますが2段階で脆弱性を突くような攻撃を踏まないとも言い切れませんので、さっさとパッチを適用しましょう。

暫定的な回避策としてはカーネルキャッシュを無効にすればよいようです。
※攻撃の詳細よくわかってないのでパッチ適用するほうが望ましいかと。

Azureで言えばIaaSなVirtual Machinesは自己責任なのでさっさとパッチ適用しましょう。
Cloud Servicesの場合はパッチ適用されたGuest OSが出るまでの間、スタートアップタスクなどでパッチをあてるか一時的にIISのカーネルキャッシュを無効化する必要があります。
(2015.04.18 Update) 対策済みGuest OSでました。(Guest OS versions: 4.19, 3.26, 2.38 ) ドキュメントはもうすぐ更新されるみたいです → Azure Guest OS Releases and SDK Compatibility Matrix

~~Web Apps（Websites）の場合、IISマネージャーでサイトに接続してカーネルキャッシュをオフにする手段がとれそうです。（抜本対策されるまでの間）~~

Web Apps (Websites)はすでに対策済みだそうです。さすが安心と信頼のWeb Apps！みんなWeb Apps使おう

イミテーション・ゲームみてきた

2015/04/102015/04/10 / buchizo / コメントする

たまには雑記らしく。イミテーション・ゲームみてきました。

しばやんに感化されたとかじゃく、前から観たいと思ってたので。ほんと邦題にすると（ｒｙ

映画はほぼノンフィクションなんでアラン・チューリングの伝記を見たことあればネタバレもへったくれもない気がしますが、それでも映像化されて俳優が演じるのを観るのはいいものです。変な演出がないのもいいです。主題はそんなとこじゃないし。そしてラストはウルっとしました。

映画館はかなり人が少なかったです。。。ご年配の人が多い感じでした。感想としては若い人ほど見てほしいなぁ（知ってほしいなぁ）というところかな。。純粋。純粋なんですよね。だから映画を見てウルっと来てしまう。

共通鍵とChiperの話だったり効率のよいアルゴリズムの話だったり、そういう（主体として出てこないドイツ軍との）攻防戦も面白いかもしれません。今とやってることそのものは変わらないのが面白い。

ーー

初めてアラン・チューリングのことを知ったのはMSXマガジンの人工知能うんちく話だったわけですが、すごくざっくりとしか知らなかったんですよね。万能機械（チューリング・マシン）のことや物まねゲーム（=イミテーション・ゲーム、チューリング・テスト）は載ってたのでどういうものかは知っていましたが、映画と照らし合わせて経緯とか当時の記事みると改めて感慨深いです。アラン・チューリングの話そのものは70～80年ぐらい前の話ですよ？現在のノイマン型コンピューターの基礎となる論文がチューリング・マシンなわけですよ。そういうのをざっくりわかりやすい文章で載せていた当時の鹿野司さんの記事はすごいなぁと思います。（ただこの記事の印象やその後のアラン・チューリングの人生のあれこれを散見すると、映画は美化されすぎてると思ってしまいましたがｗただ実際のところは本当にわからないのでそういう意味では映画の煽り文句通りミステリーなんですよね）

※ スクラップ探してきたのでちょいみせ的な。MSXマガジンは当時買ってなかったけど、友人に借りてこのコラムを知ってから買うようになった。最終的にかなり古い号から持ってない分を友人に貰い受けてスクラップにしたのを持ってました。その友人は今でもおかしいやつです。

そんなこんなで幼少期の心に少なからず影響を与えた話が映画化されて、見ることができて良かった。というわけで、今後も真摯に・純粋に生きていきたいと思います。Think differently。

ーー

余談。

映画を観たりした人はGoogleでブレッチリー・パークを検索すると面白い。

（再ツイート）イミテーション・ゲームを観てきた人は、ぜひチューリングらが勤めていたHut 8跡地、「ブレッチリー・パーク」をGoogle検索。http://t.co/1RowSSl6yy
— Kentaro Inomata (@matarillo) April 9, 2015

Nano Server がアナウンスされました

2015/04/09 / buchizo / コメントする

唐突ですがNano Serverというものがアナウンスされました。

だいぶ前に言ってたこれの進捗ですかね。

New Windows Server containers and Azure support for Docker

Nano Serverは、いわゆる最近のコンテナ技術を扱うために特化したWindows Serverのリファクタリングバージョンです。

図を引用するとこんな感じ

やりたいことは分離されたアプリケーションのフットプリントの最小化（コンテナ化）とそれらを動かすための最小限のカーネルですかね。MSのクラウドプラットフォームインフラを担いたい感じです。

GUIスタックや32ビットサポート（WOW64）、MSIや既定のサーバーコアコンポーネントを減らしたWIndows Serverぽいです。ローカルログオンもRDPすらもない！全部WMIとPowerShellでリモート管理のようす。（新しいWebベースの管理ツールも開発してるようですが）
PowerShell DSCを使った構成だけでなくリモートファイル転送、リモートスクリプトのオーサリングとリモートデバッグも改善される様子？

API互換はあるものの、サポートされないAPIも当然出てくるようですがVisual Studioのリモートデバッグ機能や通知もサポートしてるので何とかしてくれという感じでしょうか？まだよくわからず。

コンテナの分離度合いとして、ホスト上で動作するWindows ServerコンテナとHyper-V仮想化技術を使ったHyper-Vコンテナの2種類が提供されるようです。どちらもDocker Engine経由でDocker Clientで操作できるようですね。

Dockerもそうですが他のSystem CenterやらChefやら協業しているところとの連携も期待が持てますね。

取りあえずぱらぱらと見てましたがまだまだ情報足らず。なんとなく今時点ではコンテナ動かすためのサーバーでるよ！という感じでしょうか。気になるところはたくさんありますが、より詳細な話は今後きっとでてくるので待たざるを得ない。まずはIgniteと//buildに期待ですかね！