glibc ライブラリにはバッファオーバーフローの脆弱性が見つかりました。

glib 脆弱性対応 (CVE-2015-7547) の対応状況についてご報告します。tracpath は glibc の脆弱性 (CVE-2015-7547) への対応のため glibc ライブラリの更新を実施済みです。(2016-02-17)

JVNVU#97236594:

影響を受けるシステム
glibc 2.9 から 2.22 まで
詳細情報
glibc には、send_dg() および send_vc() の処理に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。

glibc GHOST 脆弱性対応についてご報告します。tracpath は glibc GHOST 脆弱性 (CVE-2015-0235) への対応のため glibc ライブラリの更新を実施済みです。(2015-01-29 04:00)

glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。

NTP daemon 脆弱性対策についてご報告します。tracpath は NTP daemon 脆弱性 (VU#852879) の対策を実施済みです。(2014-12-20)

4.2.7 以前のバージョンにバッファオーバーフローを引き起こすおそれがある脆弱性が発見されました。この脆弱性を用いて、第三者がリモートから ntpd プロセスの権限でコードを実行できてしまうおそれがあります。

[US-CERT] VU#852879 http://www.kb.cert.org/vuls/id/852879


 こんにちは。SSLv3 POODLE 脆弱性対策についてご報告します。tracpathはPOODLE: SSLv3.0 脆弱性 (CVE-2014-3566)の対策を実施済みです。(2014-10-17)

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。
ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。

[IPA] SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html

[Redhat] POODLE: SSLv3.0 脆弱性 (CVE-2014-3566)
https://access.redhat.com/ja/articles/1232403

 こんにちは。シェルプログラム bash の脆弱性 (shellshock) についてご報告します。

tracpath において、リモートからこの脆弱性を利用した攻撃の可能性はありません。しかし、非常にリスクが高いものであるため 2014/09/25 と 2014/09/26 とで bash の更新を実施しております。

[JPCERT/CC] GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

[IPA] 更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20140926-bash.html

 
 

tracpath のサービスは影響ありません

こんにちは、オープンソースの暗号化ライブラリである OpenSSL の脆弱性が発表された2014年4月7日以降大きな騒ぎになっており、多くのニュースに取り上げられました。

お客様よりセキュリティに対するお問い合せがあったため、ブログ記事として公開させて頂きます。
tracpath は OpenSSL を利用していますが、脆弱性の影響はありません。脆弱性発表があった以降、すべてのサービスについて調査を実施し、影響がないことを確認しております。

[JPCERT/CC]OpenSSL の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140013.html

[IPA]OpenSSL の脆弱性対策について(CVE-2014-0160)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html
[IPA]OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について
http://www.ipa.go.jp/security/ciadr/vul/20140416-openssl_webuser.html

もし、脆弱性のある OpenSSL を利用していたら…

証明書の秘密鍵とユーザのパスワード・セッションクッキーの漏えいが主なリスクです。
つまり、証明書は再発行する必要があり、利用者のパスワードは再設定が必要になります。

 
 
 
 

 

こんにちは、tracpath の管理者向け機能をご紹介します。
tracpath ではお客様の利用しているホスト毎にアクセスログと認証ログを提供しています。
通常のアクセスログは膨大な数になるため一定のルールを設け、–例えば、同じアクセス元の場合、1時間分を1つにまとめる–ユーザのアクセスログをダウンロードできます。

アクセスと認証ログの仕様

具体的にどのような場合にロギングされているかというと、

  • フォームによる正常ログイン時
  • セッションクッキーによるアクセス時
  • RSS などに付与された private-token によるアクセス時
  • HTTP Auth からのアクセス時

などです。tracpath のリポジトリにアクセスする Git クライアントや Subversion クライアントのログインも記録されます。

それでは、実際のログの取得と値について説明します。

アクセスログの取得

アクセスログの取得は「管理権限」が必須です。管理者権限を保持するユーザのみサイト全体のアクセスログを取得することが可能です。

2013121702

管理者で tracpath にログインすると、グローバルメニューに「ログ」が表示されます。
ログをクリックしてください。

2013121701

この画面でアクセスログを取得するために日付(FROM と TO)を指定し「ダウンロード」を押下します。これであなたのサイトのアクセスログを取得することが出来ます。

アクセスログデータ

「user-activities on xxxxxx.tracpath.com.zip」というファイル名でダウンロードされます。ZIP圧縮されていますので解凍してください。
解凍すると、日付毎にCSVファイルで保存されています。

2013121703

CSVファイルの項目

項目 内容
time 認証ログとして記録し日時
hostname ご利用のホスト名
username 認証ユーザ
auth_type 認証種類を表示します。form, cookie, private-token, http-authがあります。
status 認証結果を表示します。success, failure が記録されます。
ip アクセス元のIPアドレスを表示します。
user_agent ユーザの利用したクライアントツールの情報を表示します。

ログのサンプル

time	hostname	username	auth_type	status	ip	user_agent
2013-12-16T09:24:31.737617+09:00	sample.tracpath.com	satoshi.nakamura	private-token	success	65.19.138.34	Feedly/1.0 (+http://www.feedly.com/fetcher.html; like FeedFetcher-Google)
2013-12-16T09:38:08.157426+09:00	sample.tracpath.com	masa.shoji	private-token	success	203.141.159.246	Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:24.0) Gecko/20100101 Thunderbird/24.2.0
2013-12-16T09:38:18.019585+09:00	sample.tracpath.com	masa.shoji	cookie	success	203.141.159.246	Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
2013-12-16T10:24:56.002980+09:00	sample.tracpath.com	satoshi.nakamura	http-auth	success	203.141.159.246	SVN/1.7.9 neon/0.29.6
2013-12-16T10:25:08.329219+09:00	sample.tracpath.com	masa.shoji	http-auth	success	203.141.159.246	SVN/1.6.17 (r1128011) neon/0.29.6
2013-12-16T10:46:26.316509+09:00	sample.tracpath.com	taro.abe	http-auth	success	219.117.195.103	git/1.7.1
2013-12-16T10:57:01.766082+09:00	sample.tracpath.com	masa.shoji	cookie	success	203.141.159.246	Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
2013-12-16T11:18:01.900517+09:00	sample.tracpath.com	masa.shoji	private-token	success	203.141.159.246	Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:24.0) Gecko/20100101 Thunderbird/24.2.0
2013-12-16T11:21:44.870285+09:00	sample.tracpath.com	jun.saito	cookie	success	203.141.159.246	Mozilla/5.0 (Windows NT 5.1; rv:26.0) Gecko/20100101 Firefox/26.0
2013-12-16T12:24:30.540624+09:00	sample.tracpath.com	satoshi.nakamura	private-token	success	65.19.138.34	Feedly/1.0 (+http://www.feedly.com/fetcher.html; like FeedFetcher-Google)

さいごに

管理者向けのアクセスログ機能を紹介しました。アクセスログと認証ログを取得し調査することで不正なアクセスを監視することが出来ます。ログから不正なアクセスを把握することが出来ることはメリットではあるが不正アクセスの対策としては弱いです。
そのため、tracpath では認証失敗時に自動でアカウントをロックし、ログインできなくしたり、ログインアクティビティ管理としてセッションを無効にしてサイログインできなくする機能を提供しています。

その他、エンタープライズ向けに実用的なセキュリティ施策を実施しています。
高度な安全性が求められるエンタープライズ領域で実績がある tracpath をあなたのソースコード管理(バージョン管理)サービスとしてご利用ください。

企業間取引の場面で個人情報や営業情報など業務に関する情報を外部に開示しないことを約束する契約です。秘密保持契約と言われ、英語では「Non-Disclosure agreement」から略して「NDA」と言われます。
他にも、機密保持契約、守秘義務契約とも言います。

ref:秘密保持契約(Wikipedia)

当社は、tracpath:クラウド型バージョン管理、バグ管理サービスを提供しています。
特に法人のお客様からのお問い合せとして、「NDA締結することは可能か?」があります。

結論として、お客様と弊社の間でNDAを締結することは可能です。
NDA締結をご希望のお客様は弊社にお問い合わせください。書面のやりとりが発生するため締結まで1〜2週間の時間が必要となります。ご了承ください。

NDA(秘密保持契約)

NDA 締結までのフロー

  1. お客様または弊社からNDAの雛形を送付
  2. お客様のNDA雛形を利用する場合、内容の精査に1週間ほどお時間を頂きます
  3. 弊社のNDA雛形を利用する場合、お客様にて内容の精査をお願いします
  4. NDA書類の確認が終わりましたら、NDA書類を2通作成の上、お客様と弊社が署名・捺印をします
  5. お互いに1通ずつ保存します

NDA契約は tracpath のサービスを開発・運営している株式会社オープングルーヴと締結して頂きます。
書類のやりとりが発生するため締結までに少なくとも1,2週間の時間が必要となります。

tracpath サービスのエンタープライズ向けセキュリティ施策については「[2013年版] tracpath のセキュリティ対策をまとめてみた」をご覧下さい。

tracpath / サービスの内容 / セキュリティについて / 株式会社オープングルーヴについてのお問い合せはこちらよりお願いします。

Git / Subversion によるクラウド型バージョン管理サービス

 

こんにちは、tracpath はエンタープライズ向けに Git / Subversion / Mercurial のソースコード管理サービスを提供しています。エンタープライズ向けに求められるデータの安全性とセキュリティ対策についてまとめました。tracpath を運営している株式会社オープングルーヴの取り組みについても説明します。
 

はじめに

利用者のデータを扱う上で tracpath が備えているセキュリティ機能と tracpath を運営するオープングルーヴの情報セキュリティ管理方針の基本になる2つがあります。
 

セキュリティ機能

 セキュリティ機能は tracpath がセキュリティ向上のために標準で備えているセキュリティ機能です。全てのプランの標準機能として提供しています。
 

1. SSLによる暗号化通信

 tracpathはインターネット上の通信データをすべて暗号化します。詳しくはこちら

2. IPアドレスの接続制限

 IP接続制限による、指定したグローバルIPからアクセスを許可することでセキュリティを向上させます。詳しくはこちら
 

3. アカウントのロックアウト

 アカウントのロックアウトは不正な操作、異常な操作(主にパスワードの試行)が行われたアカウントに対してアクセスを自動的に遮断します。詳しくはこちら
 

4. アカウントアクティビティ

 アカウントアクティビティとは tracpath に関する最近のアクセス状況が表示されます。 これは、あたなのアカウントによる tracpath へのアクセス状況を確認することで不正にアクセスされていないか、知らない場所からの不正なアクセスがないか、調べることができます。詳しくはこちら

利用者様が利用するセキュリティ対策の機能を説明しました。ブログではさらに詳しく解説していますのでセキュリティ記事を参照してください。
 

情報セキュリティ管理

 情報セキュリティ管理とはサービスを運営する当社社員に関係する利用者データの安全性を担保するために設けている決まりです。セキュリティ行動規範として常にアップデートし、インターネットに公開しています。

 

5. 当社のセキュリティ行動規範

 セキュリティ行動規範は「tracpath」を運営している株式会社オープングルーヴが社内のセキュリティ管理のために利用する文書です。 当サービスにおける情報セキュリティの取り組み状況について現状を通知するために公開しております。

 

6. セキュリティ管理方針

 tracpathのクラウドサービスは、エンタープライズ環境において求められる高いレベルの安全対策が施されたサービスとして設計しています。お客様の大切なソースコードや設計情報を守るために実施しているtracpathクラウドサービスのセキュリティ対策とセキュリティ管理について詳細を公開しています。

  1. 共通セキュリティ仕様
  2. 物理的なセキュリティ(Amazon EC2)
  3. セキュリティ管理
  4. データ冗長性
  5. ネットワークセキュリティ
  6. アカウント管理とセキュリティ
  7. 外部からの攻撃に対する対策
  8. データのセキュリティ

 

7. セキュリティに対するお願い

 tracpathが提供しているセキュリティ対策以外に利用者に守っていただきたいルールがあります。利用者のプロジェクトチームや会社で徹底することを期待しています。

  • プロジェクトに必要なくなったユーザアカウントが残っている場合、ロックするか削除してください。
  • チームメンバーに定期的にパスワードを更新するように注意喚起してください。(1~3ヶ月毎の更新がおすすめです)
  • 管理アカウントを利用すれば、すべてのアカウントをロックしたり、パスワードを強制的に変更することができます。厳密な管理をおすすめします。
  • パスワードの有効期限機能を活用してください。
  • 強いパスワードを作成するようにしてください。Microsoftが推奨する強いパスワードのページを参照してください。

 

さらに、エンタープライズ向けのサービス(セキュリティ編)

 主に大規模な開発プラットフォームとして、tracpath を利用するお客様に向けたサービスがあります。
tracpath Enterprise Planはお客様の要望に合わせたソリューションを提供しております。

例えば、自社のデータセンターとtracpathをVPNによるセキュアな環境を構築したり、開発チームのアクセスログ、統計情報を提供するサービスなど….

tracpath を社内の開発チームに導入することが可能です。
セキュリティに対するご質問・お問い合せはこちらからお問い合せ下さい。

 

こんにちは、tracpath に新しい機能「前回のアカウントアクティビティ管理機能」が利用できるようになりました。
アカウントのアクティビティとは tracpath に関する最近のアクセス状況が表示されます。 これは、あたなのアカウントによる tracpath へのアクセス状況を確認することで不正にアクセスされていないか、知らない場所からの不正なアクセスがないか、調べることができます。

 

最近のアクセス履歴を確認するには

 

あなたのアカウントについて最近のログイン履歴を確認するには、tracpath にログイン後、グローバルメニューの「個人設定」>>「ログイン履歴」にアクセスします。 ログイン履歴には、直近24時間のログイン履歴とアクセスの種類(ユーザエージェント)、IPアドレス、時刻、認証結果が表示されます。

アカウントのアクティビティ機能

 

別のところからのログインがある場合

 
あなたのアカウントが別のところからアクセスがある場合、以下のようにアラートが表示されます。
他のセッションが見つかったからと言って、すぐに不正アクセスとはなりません。他のセッション情報が表示されている理由として、別のパソコンで tracpath にログインしていることが考えられます。会社から tracpath にアクセスしているときに、スマートフォンから tracpath にアクセスしている場合などが考えられます。

別の場所からのログイン

 

ログアウトしていないセッションが残っている場合

 
あなたのアカウントを利用してログイン後、ログアウトしていない場合は以下のように通知されます。
ログアウトしていない状態は、ブラウザの強制終了やネットワークの断絶などが考えられます。

ログアウトしていないセッションの確認

 

ユーザエージェントでログイン履歴を確認します。

 
ユーザエージェントは、tracpath にアクセスしたとき利用者がデータ取得に用いたソフトウェアまたはハードウェアを記録します。ユーザエージェント項目を定期的に調べることで、他の人による tracpath へのアクセスの有無とその時刻を知ることができます。 例えば、いつも利用するブラウザとは異なるブラウザ「Chrome」を利用していないにもかかわらず、Chrome のユーザエージェント情報が記録されている場合はアカウントの不正使用されている可能性があります。

Mac OS X 10.8.4 を利用して、Chrome からアクセス

 

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36

Subversion クライアントからアクセス

 

SVN/1.6.17 (r1128011) neon/0.29.6

アカウントの最近のアクティビティを活用することで安心してご利用することができます。

 

自分のアカウントが不正使用されている可能性があるとき

 
アカウントが不正使用されている可能性があるときはセキュリティ対策手順を実施してください。