Security Archive

今日は脆弱性が騒がしいですね^^
githubから、Action Required - SSH Key Vulnerabilityなるメールが来た - Born Neet

メールの内容は、

・漏れたのはパスワードのハッシュ値（shaとだけ書いてあるからおそらくSHA-1）
・saltも一緒に漏れた
・強いパスワード使ってる人は何もしなくていいけど、リセットもできるよ
・同じパスワード使ってる他のサービスのパスワードも変えてね

って感じかな。

saltも一緒に漏れてるから、時間さえかければ元のパスワードばれますね。
というわけで問答無用で変えた方が良いんじゃないでしょうか。
（衝突させるのにどれぐらいの時間がかかるか詳しく知りませんが、"2010年"をとっくに過ぎてますし、SHA-1値がsaltと共に漏れたのなら、パスワードが漏れたと考えておいた方がよいと思います。）

リセットの方法は、

・CouchDB _User Resetからusernameとemailを入力。
・メールが届くのでそのリンクをクリックする（ユーザがリセットされる）
・~/.npmrcの"_auth"行を消す
・$ npm adduser してユーザを作り直す
・適当なpackageを$ npm publish --force とかしてみる

これでいいのかな？
（タイミングによっちゃ他の人にアカウント取られちゃう気もするw）

…と思ったけど、他のマシンで認証しなおそうとnpm adduserしたら、

Error: conflict Document update conflict.: -/user/org.couchdb.user:

となってできなかった。
バグかな？
（とりあえずリセットしたマシンから_auth行をコピペしたら使えました）

githubから、Action Required - SSH Key Vulnerabilityなるメールが来た - Born Neet
で書いた通り、githubのSSH公開鍵を確認しようと思ったら、
Unix/Linuxコマンドで拇印を確認する方法を知らないという凹む事実に気がついた。
ssh-keygenコマンドで出来るんですね。

$ ssh-keygen -lf ~/.ssh/yourpublickey.pub
2048 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx id_rsa.pub (RSA)

僕は拇印って習ったけど、指紋とも言うみたい。
英語だと、Fingerprintの方がよくみかける（Thumbprintじゃなくて）から、指紋の方がよいのかな？

適用訳すると、

ごめん！ githubのアカウントに第三者がSSH公開鍵を追加出来ちゃう脆弱性があったよ！！
とりあえずみんなのSSH公開鍵を無効にしといたから、
SSH Key Audit
にアクセスして問題なかったら、有効にしてね。

ってことかな。
面倒くさいけど、まぁしかたないか。
今からせっせとチェックします。
（しました→ssh-keygenコマンドでSSH公開鍵の拇印を確認する方法 - Born Neet）

ちなみにこの脆弱性ってのはちょっと前に話題になった、
github の mass assignment 脆弱性が突かれた件 - blog.sorah.jp
ですね。

Railsのupdate_attributesにチェックなしでparams渡すと更新されたくないパラメータも更新されちゃう、という話。
詳しいことは上記ブログ参照。

うーん、セキュリティはスーツやってた頃の方が明るかったなー。
置いてかれないように勉強しないと！