どんなことでも

この人 blog を書くのだろうか?

Mozilla, Firefox アップデートされました

2005-05-13 07:04:46 | コンピュータ
Firefox 1.0.4 リリースノート [ダウンロード]
Mozilla 1.7.8 [ダウンロード]
いずれも日本語版はまだです。
Mozilla類の既知の脆弱性


ちなみに、IPsec のモードの一つ(ESP のトンネリングモード)にも脆弱性が見つかったそうです。個別の実装の問題ではないため、全ての IPsec が気を付ける必要があります。

ESP では、ヘッダの認証(完全性チェック)を行わず、ペイロード認証のみのためヘッダの書き換えが行われる可能性がある。
AH では、ペイロードに加えヘッダも認証を行う(HOP数によって変化する TLLフィールドなどは 0 として計算)ため、この攻撃は検出が可能であるらしい。
但し、AH では「送信者の認証(なりすましの防止)」、「完全性確認(改竄されていないことの確認)」のみであり、データの暗号化は行われない。
ESP に完全性保護を有効にするのではなく、ESPトンネリングに AHトンネリングを被せることでもこの攻撃を防ぐことが可能と考えられる...が、AH のトンネリングモードは問題があり、動かない...ダメじゃん(FreeBSD の ipsec(4) の BUGS の項に書いてあります。
(以上、ASCII刊「使って学ぶIPv6」7章 IPsec 入門より)
IPsec部分は書きかけですので、鵜呑みにしないように。

IPsec通信の設定に存在する脆弱性 (wakatonoの戯れメモ)
追記:上記の対策(Vulnerability Issues with IPsec Configurationsより)
* ESPの暗号化機能だけではなく、整合性チェック機能も使う
* AHを使って整合性チェックを行う
* ICMPエラーメッセージの送出を、ゲートウェイやFirewallレベルで制限する
NISCCの対策のうち、最後のやつだけは対策になってない(汗)
ESP のトンネルモードの上に AH のトランスポートモードを被せることができるのならいいが、できないのなら ESP のトンネルモードの中に AH トランスポートモードを通すことになり、ESP が破られると機密保持ができないし AH の整合性チェックでも検出は不可能のはず。
う~む、分からんぞ。(AH トンネルモードはプロトコルの論理的問題により使えないと仮定)
「ESP のトンネルモードの上に AH のトランスポートモードを被せることができる」何ができる気がしてきた。

ESP (encapsulated security payload: データのカプセル化による防御)
AH (authentication header: ヘッダー認証)


見付けたので書いてみる

2005-05-13 06:21:26 | コンピュータ
RFC1597 プライベートアドレスの定義を見付けました。
IPv4 アドレスの割り当て状況を見ると「IANA - Reserved」がまだあって、もう暫くいけそうですねぇ。IPv4 が本当に枯渇しないと IPv6 に移行しない気がするのでガンガン使って欲しいですね(笑)

一時期は結構割り当て審査が厳しかったそうですが、最近は必要と認められればどんどん割り当ててくれるそうなので枯渇が進むのかな?でも、日本も韓国もこれからは大して増えないだろうし、中国に期待か?
# 職場のマシンは whois で検索しても割当日の載っていないhttp://whois.nic.ad.jp/cgi-bin/whois_gw?key=157.113.0.0/16なんてアドレスが付いているんですが、返還したら枯渇するのが遅れるので返還しない方が良いですね(^^;

しかし、IPv6 では同様の目的に使われる予定だったサイトローカルアドレスがなくなりました。RFC3879
はて、そのうちインターネットに繋ぐかも知れないけど未だ繋がっていないおうちには、どういうアドレスを振れば良いのやら。