HELIOS GmbHによるとMacOSXのAFPは常にrootで稼働するから危険だと

Tweet

ドイツ HELIOS GmbH の Web で、ファイルサービング製品におけるセキュリティの指摘があります。この会社は、UNIX や Mac OS X で動く AFP サーバソフトウェアを開発・販売しているところですから、必然、競合他社製品に対する優位性を提示している、ていう前提で読んでください。

HELIOS Software GmbH - WebShare Security [www.helios.de]

……ぐふっ。僕ドイチュ語読めません。第二外国語ドイツ語にしておけばよかったなと思いました（がサイトの言語はどう見ても英語です）。

そこで、日本のインテリジェントワークス社が、日本語訳してくれています。この会社は、HELIOS 社の AFP サーバソフトウェアの販売をしているところですから、必然、競合他社製品に対する優位性を提示している、ていう前提で読んでください。

Intelligent works[サーバセキュリティ] [www.intelligentworks.co.jp]

によると、「AppleのAFPサーバは、常に“root”で稼働！」なんて書いています。おお、それは怖い！（棒読み）

～～～

実際には、548番なんて社内の Macintosh ネットワークに使うのがほとんどだと思うので、548番を インターネットに直接続している一部の印刷会社や製版会社以外は問題ないと思いますし、AFP サーバに問題があっても Apple 様が直してくれるよ！（棒読み）

Port 548（AFP over TCP）は、Windows でいう Port 445（SMB/CIFS）と同じように、インターネット側からは塞いでおくのが基本です。さっきのリンク先の資料にも明記されているんですけれどもね。

【ファイルサーバセキュリティ】

インターネットからダイレクトにファイルサーバにアクセスする事は拒否するべきです。

それにしても、競合他社の製品については、

注意：WebNativeでのCGIプログラムにはセキュリティーホール があります。
またAppleのAFP serverは非セキュアです。
OSに対してのプロセスセキュリティとファイルセキュリティがないからです。
これらはすべてのサーバ処理（プロセス）が管理者「root」権限で行われるため、ユーザ毎に監視をすることが不可能です。

と、商魂たくましいジャーマン魂をかいま見ました。

2006.02.08 08:35 投稿　大野 義貴 [HELIOS] | 固定リンク |