弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

rpcbindの111番ポートのsystemd脆弱性 update4

codeday.me→IPv6を無効にするときのrpcバインドエラー

redhat.com→4.14. NFSV4 専用サーバーの設定
/etc/nfs.confを編集…

[nfsd]

vers2=no
vers3=no
# systemctl mask --now rpc-statd.service rpcbind.service rpcbind.socket
# systemctl restart nfs-server

ask.fedoraproject.org→Port 111 open after upgrade to Fedora 25
テキサス州立大学→Port 111 rpcbind Vulnerability
systemdプロセスが111番ポートをLISTENしてる。

# netstat -pantu|grep systemd
tcp        0      0 0.0.0.0:111   0.0.0.0:*   LISTEN   1/systemd
udp        0      0 0.0.0.0:111   0.0.0.0:*            1/systemd
どうやらsystemdが111番ポートでLISTENしてる実装が脆弱性らすい。

rpcbindのポートはNFSを動作させるのに必要だったのはNFSv3までの話で、いまのNFSv4では不要。
RedHat社のマニュアル→第9章 NFS (Network File System)

NFS バージョン 4 (NFSv4) はファイアーウォールを介してインターネット上で動作します。rpcbind サービスを必要としなくなり、ACL に対応し、ステートフルな操作を活用します。Red Hat Enterprise Linux 6 では、NFSv2、NFSv3、および NFSv4 のクライアントに対応しています。NFS 経由でファイルシステムをマウントする場合、サーバーが NFSv4 に対応していれば Red Hat Enterprise Linux はデフォルトで NFSv4 を使用します。

hoge1:/hoge on /hoge/hoge type nfs4 (rw,relatime,vers=4.2,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,sec=sys,clientaddr=x.x.x.x,local_lock=none,addr=x.x.x.y)
F26では何も指定しなければNFS4.2を使う仕様。

iptablesでブロックするならこんなかんじ。

-A FORWARD -p udp --dport 111 -j DROP

-A INPUT -p udp -s 192.168.251.0/24 --dport 111 -j ACCEPT
-A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
-A INPUT -p udp --dport 111 -j DROP
こういうサービスは古く不要なのだから関連サービスをぜんぶ止めてしまうとかw。
for s in rpc-gssd.service rpc-statd.service rpc_pipefs.target rpcbind.socket rpc-statd-notify.service rpcbind.service rpcbind.target
do
        systemctl stop $s
        systemctl disable $s
done
サービスを止めてもrpcbindは依存関係で起動されてしまうのかw。
# cp /usr/lib/systemd/system/rpcbind.socket /etc/systemd/system/.
rpcbindの設定ファイルを手メンテw。
# RPC netconfig can't handle ipv6/ipv4 dual sockets
#BindIPv6Only=ipv6-only     #←コメントアウト
#ListenStream=0.0.0.0:111   #←コメントアウト
#ListenDatagram=0.0.0.0:111 #←コメントアウト
#ListenStream=[::]:111      #←コメントアウト
#ListenDatagram=[::]:111    #←コメントアウト
再起動。
# systemctl daemon-reload
# systemctl restart rpcbind
これでsystemdが111番ポートをLISTENしなくなる。

どうやらこのサイバーテロの原因を誰かが知らせてくれたみたいだw。
BIOS更新プログラムR1.29.0が/boot/initramfs*.imgを書き換え損なう未必の故意のテロを証明できるのか?

富士通、携帯電話事業を売却へ 一部ブランドは維持 2017年8月22日11時30分
 富士通が携帯電話事業を売却する方針を固めたことが分かった。9月にも入札を始める方向で調整しており、売却先候補には、欧米のファンドや中国の事業会社などが挙がりそうだ。ただ、売却後も株式の一部は持ち続け、NTTドコモなどに納める製品のブランドは維持する方向だ。
 富士通の携帯電話の国内シェアは5位。スマートフォンの「arrowsシリーズ」や高齢者向けの「らくらくシリーズ」などのブランドを抱える。だが、2011年度に約800万台あった販売台数は、米アップルや韓国サムスン電子、中国メーカーなどに押され、16年度は320万台にまで減少していた。
 富士通は携帯電話事業が大きな成長を見込めないとして、16年2月に分社化し、他社との連携を模索していた。同社は「強い独立した事業を目指して、様々な選択肢を検討している」(広報)としている。
 同社は、不振が続くパソコン事業についても、世界最大手の中国レノボ・グループと提携に向けた交渉を進めている。企業や官公庁向けのIT関連サービスに注力し、事業の選択と集中を図って収益力を高めていく考えだ。
あらら。東芝の次は富士通か。

投稿されたコメント:

コメント
コメントは無効になっています。