Operations Lab.

Archive for 4月 2013

KB2823324 をアンインストールする

leave a comment »

2013 年 4 月の定例セキュリティアップデート MS13-036 (の一部)としてリリースされたセキュリティ更新プログラム KB2823324 について、適用後に一部のアプリケーションが停止(クラッシュ)したり、OS が起動しなくなる(PC が起動しない、又はブルースクリーンになる)事例が確認されています。

今のところ、具体的に問題が確認されているのは Kaspersky の一部セキュリティ製品(アンチウィルス / アンチマルウェア製品)のみですが、その他の製品も影響を受ける可能性があります。

  • Kaspersky Lab テクニカルサポート

Microsoft は、現在 Windows Update 経由での KB2823324 の配信を停止しています。また、ダウンロードセンターからもダウンロードできないようになっています。

マイクロソフトは、セキュリティ更新プログラム 2823324 の適用後に、システムが再起動から回復できない場合がある、またはアプリケーションが読み込みに失敗する動作について調査中です。マイクロソフトは、この更新プログラムをアンインストールすることを推奨します。万一の場合に備えて、マイクロソフトは調査期間中、更新プログラム 2823324 へのダウンロード リンクを削除しています。

対処が必要な環境

以下の OS を使用しており KB2823324 を既に適用済みの環境は、更新プログラムのアンインストールが必要です。(必須ではありませんが、影響が出ていない環境であってもアンインストールすることを Microsoft は推奨しています。)

  • Windows Vista (x86/x64)
  • Windows 7 (x86/x64)
  • Windows Server 2008 (x86/x64/ia64)
  • Windows Server 2008 R2 (x64/ia64)

Windows 8 や Windows Server 2012、Windows XP 等については、対応の必要はありません。(もともと、KB2823324 の対象外です。)

MS13-036 で提供されているNTFS Kernel 用のセキュリティ更新プログラム 2823324 をインストールされたお客様 (MS13-036 では 2 つのセキュリティ更新プログラムが提供されています) は、本現象の発生有無にかかわらず、セキュリティ更新プログラム 2823324 をアンインストールしてください。すでに本現象が発生したお客様はサポート技術情報 2839011 に記載の内容に従い、対応を行うようお願いします。なお、セキュリティ更新プログラム 2823324 で解決している脆弱性は深刻度 “警告” の脆弱性で、悪用するには攻撃者が物理的にコンピューターにアクセスできる必要があります。
MS13-036 で提供されている Windows Kernel 用のセキュリティ更新プログラム 2808735 は引き続き利用可能です。コンピューターを脆弱性から保護するためにも 2808735 は引き続き適用してください (すでに適用済みのお客様はアクション不要です)。

なお、Windows 8 や Windows XP を含めたサポート対象全ての OS について、MS13-036 に含まれているもう一つの更新プログラム(KB2808735)は引き続き適用する必要があります。(MS13-036 は2つの更新プログラムから構成されており、KB2808735 については上記の事象とは無関係です。)

KB2823324 がインストール済みか確認する方法、及びアンインストール方法

既に KB2823324 をインストール済みの環境については、問題の発生有無に関わらず KB2823324 をアンインストールすることが推奨されています。KB2823324 のアンインストール方法については、KB2839011 にまとめられています。

いくつかの方法が紹介されていますが、一番分かりやすいコントロールパネルから更新プログラムを削除する方法を試してみました。なお、この手順を実施する為には、OS が正常に動作している必要があります。

スタートメニューから「コントロールパネル」→「システムとセキュリティ」→「Windows Update」→「更新履歴の表示」を選択します。

problem-kb2823324-02

ここで「xxxxx 用セキュリティ更新プログラム (KB2823324)」等が表示されていれば、アンインストールが必要です。(上記の場合は、「Windows 7 for x64-Based Systems 用セキュリティ更新プログラム (KB2823324) 」)

Windows Update の履歴に表示されない場合も更新プログラムがインストールされている場合があります(更新履歴は手動でクリアすることができます)ので、念のため「プログラムと機能」からも確認を行います。

[Windows キー] + R (Windows キーを押しながら R を入力)で「ファイル名を指定して実行」を表示し、「名前」に “appwiz.cpl” と入力して OK をクリックします。

problem-kb2823324-03

「プログラムのアンインストールまたは変更」で「インストールされた更新プログラムを表示」をクリックします。

problem-kb2823324-04

「更新プログラムのアンインストール」が表示されます。ここにはインストールされている更新プログラムが一覧で表示されます。一覧から KB2823324 を探しても良いのですが、数が多いと大変なので対象の更新プログラムを検索します。

problem-kb2823324-05

右上の検索ボックスに「KB2823324」と入力します。更新プログラムが絞り込まれ、KB2823324 がインストールされている場合には表示されます。何も表示されない場合、KB2823324 はインストールされていません。(基本的には。正常にインストールが完了していないなど、通常の手順でアンインストールができない場合には表示されない可能性があります。)

problem-kb2823324-07

更新プログラムをアンインストールする場合は、該当の更新プログラム(KB2823324)を選択した後、「アンインストール」をクリックします。確認のダイアログが表示されますので、「はい」をクリックします。

problem-kb2823324-08

更新プログラムのアンインストールが始まります。政情にアンインストールが完了すると再起動を求められますので、「今すぐに再起動する」を選択します。

problem-kb2823324-09problem-kb2823324-10

OS が再起動すれば更新プログラムのアンインストールは完了です。もう一度「プログラムと機能」内の「インストールされた更新プログラムを表示」で一覧を表示し、KB2823324 が表示されないことを確認すると確実です。

広告

SSH で root のみ公開鍵認証を強制する

with one comment

OpenSSH (sshd)を使用している場合、セキュリティを考慮して root での直接ログインを拒否(禁止)している事が多いかと思います。

基本的には(かつ、個人的には)root で直接 SSH ログインさせることはありえないと思っていますが、一部の運用管理ソフトウェア(ミドルウェア)は root で SSH ログインできることが動作条件となっており、どうしても root の SSH ログインを許可しなければならない場合があります。

SSH のログイン認証としては、パスワード認証の他に秘密鍵(private key)と公開鍵(public key)を使用した鍵認証(公開鍵認証 / public key authentication)を使用することができます。(それ以外にも様々な方式が利用できますが、ここではパスワード認証を公開鍵認証に焦点を絞ります。) 公開鍵認証を使用すると秘密鍵を保持している人しか認証をパスできなくなる為、パスワード認証よりは安全に利用することができます。

OpenSSH では認証方式ごとに利用するかどうかを設定できます。root ユーザーを含む全てのユーザーについてパスワード認証を拒否して公開鍵認証のみを使用する場合は、以下の設定を行います。

# rootユーザーのログインを許可する
PermitRootLogin yes

# パスワード認証を拒否する
PasswordAuthentication no

# チャレンジレスポンス認証を拒否する
ChallengeResponseAuthentication no

# SSHプロトコル ver.1 で公開鍵認証を許可する
# ver.1 を使用する場合のみ設定(ここではコメントアウト)
#RSAAuthentication yes

# SSHプロトコル ver.2 で公開鍵認証を許可する
PubkeyAuthentication yes

# PAMを使用する
UsePAM yes

このように設定を行うと、root を含めた全てのユーザーに対して公開鍵認証を強制できます。しかし、既に運用を行っている環境では全てのユーザーに公開鍵認証を強制することが難しい場合もあります。

sshd_config で指定する PermitRootLogin には、yes (許可)と no (拒否)以外の値を設定することができます。

PermitRootLogin

Specifies whether root can log in using ssh(1).  The argument must be “yes”,“without-password”, “forced-commands-only” or “no”.  The default is “yes”.

If this option is set to “without-password” password authentication is disabled for root.

If this option is set to “forced-commands-only” root login with public key authentication will be allowed, but only if the command option has been specified (which may be useful for taking remote backups even if root login is normally not allowed).  All other authentication methods are disabled for root.

If this option is set to “no” root is not allowed to log in.

man 5 sshd_config で sshd_config のマニュアルを読むと分かりますが、without-password を指定することで root のみパスワード認証を拒否することができます。パスワード認証以外の認証方式として公開鍵認証のみが許可されていれば、結果として、

  • root のみ公開鍵認証を強制(パスワード認証でのログインは拒否)
  • 一般ユーザーはパスワード認証及び公開鍵認証の両方が利用可能

といった状態に設定できます。

# rootユーザーのログインはパスワード認証以外のみ許可する
PermitRootLogin without-password

# パスワード認証を許可する(rootユーザー以外に適用)
PasswordAuthentication yes

# チャレンジレスポンス認証を拒否する
ChallengeResponseAuthentication no

# SSHプロトコル ver.1 で公開鍵認証を許可する
# ver.1 を使用する場合のみ設定(ここではコメントアウト)
#RSAAuthentication yes

# SSHプロトコル ver.2 で公開鍵認証を許可する
PubkeyAuthentication yes

# PAMを使用する
UsePAM yes

ちなみに、root ユーザーの認証方式を厳密に(公開鍵認証のみに)制限したい場合は、without-password ではなく、forced-commands-only を使用した方が良いでしょう。forced-commands-only を指定した場合は、SSH 公開鍵側で指定した(許可した)コマンドのみが実行できるようになります。同時に、公開鍵認証以外の認証方式では(rootユーザーは)ログインできなくなります。

Written by kazu

2013/04/11 at 13:34

カテゴリー: Linux

Tagged with , , ,