MS15-034 – 緊急 / HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)

HTTP.sysでカーネルキャッシュが有効な場合、特別に細工されたHTTP要求を受信するとHTTPS.sysでリモートコードが実行できてしまう脆弱性があるようです。(システムアカウントなコンテキストで任意のコードが実行できてしまう)

HTTP.sysが対象なのでIIS7以降でクライアントOSも含むので注意が必要です。クライアントOSの場合、HTTP.sysを使うような人はだいたい開発者で通常localhostからしかリクエストを許可していないだろうと思いますが2段階で脆弱性を突くような攻撃を踏まないとも言い切れませんので、さっさとパッチを適用しましょう。

暫定的な回避策としてはカーネルキャッシュを無効にすればよいようです。
※攻撃の詳細よくわかってないのでパッチ適用するほうが望ましいかと。

Azureで言えばIaaSなVirtual Machinesは自己責任なのでさっさとパッチ適用しましょう。
Cloud Servicesの場合はパッチ適用されたGuest OSが出るまでの間、スタートアップタスクなどでパッチをあてるか一時的にIISのカーネルキャッシュを無効化する必要があります。
(2015.04.18 Update) 対策済みGuest OSでました。(Guest OS versions: 4.19, 3.26, 2.38 ) ドキュメントはもうすぐ更新されるみたいです → Azure Guest OS Releases and SDK Compatibility Matrix 

Web Apps(Websites)の場合、IISマネージャーでサイトに接続してカーネルキャッシュをオフにする手段がとれそうです。(抜本対策されるまでの間)

Web Apps (Websites)はすでに対策済みだそうです。さすが安心と信頼のWeb Apps!みんなWeb Apps使おう

Windows Azure WebサイトのWeb Jobs (Preview)

Windows Azure Webサイトを裏で動かしているKuduにはWeb Jobsという機能があります。そのまんま、Webアプリケーションとは別に指定されたジョブを実行することができる機能なのですが、この間までこの機能は直接KuduのAPIを叩いて設定する必要がありました。

面倒ですね。でも大丈夫。今日のUpdateでAzureの管理ポータル上から設定することができるようになりました。

image

続きを読む

Windows Azure Web Sitesの魅力を120%引き出す

このPostはWindows Azure Advent Calendar 2013の22日目です。

皆様はWindows Azure Webサイトを活用してますか? Windows Azure Webサイトはとってもステキなプラットフォームです。とりあえず先日の帝国兵さんのPostしばやん先生のBlogでも見て魅了されるべきです。ただ、普通に使っていてはその魅力は100%どまりです。

んふふふ・・・へただなぁカイジくん。へたっぴさ! Webサイトの解放のさせ方が下手!

カイジくんが本当に欲しいのは、これ・・・!

Kudu!

これを使ってHackしてさ、さらにクールなWebサイトをやりたい、、、だろ…?

 

とかなんとか、そういうわけでWindows Azure Webサイトをもっともっと面白おかしく使うためのエッセンスとして、今回はKuduを丸裸にしたいと思います。

「ヌーディスト・クードゥーゥゥゥゥ!!!」 みそ先生から圧力もとい電波を受けました。

続きを読む

Windows Azure Web Sites のローカルストレージ

焼土下座ーな感じでこんにちは。

Windows Azure Web Sitesのローカルストレージについて勘違いしていたので懺悔の意味も込めてまとめてみました。

|←樹海|     ┗(^o^ )┓三

もっと素晴らしいのはきっと、しばやん大先生が纏めてくださると思います。

結論から言うと、Windows Azure Web Sitesのローカルストレージは永続化されるし、複数インスタンスで共有(というより同一のものを見ている)されてるので超COOL、ということです。

実際にどういうことか見てみたいと思います。

続きを読む

Windows Azure Cache Service (Preview)を使ってみる

どうも、この間のJAZUGイベントのLTで圧倒的多数ッ! の (´・ω・`)ショボーン をゲットした@kamebuchiです。

あれか、ストアアプリ動かなかったからか!そうなのか!

あ、しばやん大先生、アプリ作成ありがとうございました。( ´∀`)bグッ! 
うまい棒贈呈します。

というのは置いといて、この間リリースされたばかりのWindows Azure Cache Service(Preview)をさっそく使ってみたいと思います。

※一応、【祝】Azure日本DC前夜祭!★Japan Windows Azure User Group 3周年のLTフォローアップ的な何かです。
※あ、Cache ServiceはPreviewなので申請が必要です。(すぐにActiveになりますが)

続きを読む

Windows AzureのCloud ServicesでVirtual Network

移行とかでDBはやむを得ずそのままでフロントは頑張った系の構成つくろう、つまり Windows Azureのクラウドサービス(Web RoleとかWorker Role)をVirtual Networkに参加させちゃおうという話です。

ついでに同じVirtual NetworkにWindows Azure 仮想マシンも参加させてサービス間通信もしちゃいましょう。

今回想定しているのはざっくり以下のような構成です。

バックエンドのVMはDBとかまぁそういうのを想定。通信の方向性としては双方向で通信できますが、今回はフロントのWebRoleからVMへのアクセスを想定します。

といっても対してすることは無く。Web RoleなどのCloud ServicesでのVirtual Networkへの参加方法と、VMのVirutla Networkへの参加方法、名前解決についてあたりを書こうと思います。

続きを読む