2009年06月16日
死に至るバグ
ひどいセキュリティホールが原因で自殺者まで出た一件。
英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺
話をまとめると、サーバ仮想化インフラがセキュリティホールだらけで、世界中で10万のサイトが削除されちゃって、それが原因かどうか知らないが開発元の会社の社長が自殺したという話。
攻撃方法の詳細はこちら。
何というかコレはひどいの一言。
でもセキュリティのことを一切考えず作ったらこうなっちゃうんだろうなと思う。
shell codeで穴をついて攻撃!とか一切無くて、すべてド直球の攻撃ばかり。
なんだか90年代の香りがするセキュリティホールだ。
一番笑ったのは次の攻撃。
ISSUE #16 - remote CPU and mem usage DoS
攻撃対象にtelnetしてすぐ切断するだけで、CPUとメモリを消費してサービス不能にw
サーバ側で無限ループして命令を待っているんだろうなぁ。
つか切断時の処理ぐらい書いておけよ。
シンボリックリンク攻撃が有効活用されまくりなのも興味深い。
やっぱルート権限で動作するアプリは怖いな。
しかしこの件は対岸の火事では無いので気をつけねば。
"死に至るバグ"へのコメントはまだありません。