セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
2002年12月26日
『修正プログラムを入れる前にコレに注意!』
暖かくなったり、急に冷え込んだり、体調を崩さないように気をつけましょうね。
さて、年末にかけて脆弱性が次々とレポートされ、毎日のように修正プログラ ムが提供されています。手間かと思いますが、年末年始はなにかと問題が発生 しやすいので、マメに対策をしておきましょう。
■修正プログラムを入れる前にコレに注意 !
さっそくですが、修正プログラムを入れる前には、最低ふたつ注意しましょう。
* 修正プログラムを入れる前にバックアップする。
* 修正プログラムを入れた後に問題が発生した場合は、すぐに元に戻してみる。
修正プログラムを入れた後に動作がおかしくなるケースを最近よく聞きます。
できれば、バックアップ、少なくとも最後に入れた修正プログラムを元に戻す 方法を確認しておきましょう。
Windows Update では、履歴から最後に入れた修正プログラムを確認することが できます。
■ドライバのアップデートするのはチョット待って !
次に、Windows Update によるドライバのアップデートは慎重に行いましょう。
具体的には、次の点を確認します。
1. ドライバのアップデートは必要な場合のみに限定します。
2. Windows Update よりも、そのハードウェアのメーカーのホームページから 最新のドライバがリリースされていないか確認します。
3. 修正プログラムとドライバのアップデートは一緒にしてはいけません。
問題が発生した場合、障害の切り分けが行いにくくなります。
4. ドライバを入れた後、一通り、操作をしてみましょう。
特に、スリープやスレーブ、負荷の高い処理での安定性を確認します。
5. もし、少しでも障害が発生した場合は、一旦ドライバを元に戻しましょう。
■メーリングリストの各種レポートもぜひ !
メーリングリストでは、米田さんが、MS02-040 について調査しています。
MS02-065, MDAC とあわせて評価しています。
また、マイクロソフトからリリースされている修正プログラム導入状況確認ツ ールの定番「 HFNetChk 」について、簡単に Q&A をまとめています。
HFNetChk のメインの開発者が shavlik.com に転職し、shavlik版 HFNetChk の 開発がどんどん進んでいることについてまとめています。
.NET のバイナリをデコードするシンプルで便利なツールも紹介しました。
「 Anakrino 」は、GUI ベースで、.DLL, .EXE に含まれるプログラムから C#, C++ のソースコードを作成してくれます。
プログラム設計という面でも、ぜひ一度みてみていただきたいツールです。
そうそう、ASP.NET の ViewState の暗号化についても、まとめています。
ヘルプのあいまいな表現ではわかりにくかったので、実験を含めてまてめてい ます。必要な部分が適切に暗号化されていないと、思わぬセキュリティホール を残してしまいますので、調査してみました。
■2003年の目標は ?
さて、来年に向けて、みなさんはどんな目標を立てるのでしょう。
プログラマとして、開発者として、システム管理者として、設計者として、 セキュリティ担当者として、データベース技術者として。。。
機会があれば、みなさんの目標もいろいろ聞かせていただければと思います。
ボードリーダーレポート トップページへ
PASSJメールニュース
著作権ついて
プライバシーポリシー
リンクポリシー
お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.
