HELIOS GmbHによるとMacOSXのAFPは常にrootで稼働するから危険だと
ドイツ HELIOS GmbH の Web で、ファイルサービング製品におけるセキュリティの指摘があります。この会社は、UNIX や Mac OS X で動く AFP サーバソフトウェアを開発・販売しているところですから、必然、競合他社製品に対する優位性を提示している、ていう前提で読んでください。
HELIOS Software GmbH - WebShare Security [www.helios.de]
……ぐふっ。僕ドイチュ語読めません。第二外国語ドイツ語にしておけばよかったなと思いました(がサイトの言語はどう見ても英語です)。
そこで、日本のインテリジェントワークス社が、日本語訳してくれています。この会社は、HELIOS 社の AFP サーバソフトウェアの販売をしているところですから、必然、競合他社製品に対する優位性を提示している、ていう前提で読んでください。
Intelligent works[サーバセキュリティ] [www.intelligentworks.co.jp]
によると、「AppleのAFPサーバは、常に“root”で稼働!」
なんて書いています。おお、それは怖い!(棒読み)
~~~
実際には、548番なんて社内の Macintosh ネットワークに使うのがほとんどだと思うので、548番を インターネットに直接続している一部の印刷会社や製版会社以外は問題ないと思いますし、AFP サーバに問題があっても Apple 様が直してくれるよ!(棒読み)
Port 548(AFP over TCP)は、Windows でいう Port 445(SMB/CIFS)と同じように、インターネット側からは塞いでおくのが基本です。さっきのリンク先の資料にも明記されているんですけれどもね。
【ファイルサーバセキュリティ】
インターネットからダイレクトにファイルサーバにアクセスする事は拒否するべきです。
それにしても、競合他社の製品については、
注意:WebNativeでのCGIプログラムにはセキュリティーホール があります。
またAppleのAFP serverは非セキュアです。
OSに対してのプロセスセキュリティとファイルセキュリティがないからです。
これらはすべてのサーバ処理(プロセス)が管理者「root」権限で行われるため、ユーザ毎に監視をすることが不可能です。
と、商魂たくましいジャーマン魂をかいま見ました。
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/19018/8560626
この記事へのトラックバック一覧です: HELIOS GmbHによるとMacOSXのAFPは常にrootで稼働するから危険だと:
コメント
SambaやNFSを含めた「ファイルサーバー」を、インターネット側に公開しないでね。
という啓蒙記事としてならわかる。
だけど「AFPって脆弱なんでしょ?」というFUDに成らないように注意深く書いて啓蒙してほしいところ。
投稿者: otsune (2006/02/09 4:31:55)
HELIOS 社の記事は、啓蒙目的じゃないです。
HELIOS 社は、完全に自社製品とかぶる、Xinet 社の製品を昔っから攻撃していました。
そして、Apple の ビルトイン AFP サービスまで攻撃し始めたわけですが、最近になって、HELIOS 社の AFP サーバ製品が Mac OS X にインストールできるようになったからなのです。
投稿者: CL (2006/02/09 7:34:37)
![: SANYO NEW eneloop 充電式ニッケル水素電池(単3形2個パック) [HR-3UTGA-2BP]](http://ecx.images-amazon.com/images/I/51V83UYI5kL._SL75_.jpg)
![: デジモンアドベンチャー ぼくらのウォーゲーム!/デジモンアドベンチャー【劇場版】 [DVD]](http://ecx.images-amazon.com/images/I/617JZ13THTL._SL75_.jpg)
![: サマーウォーズ [Blu-ray]](http://ecx.images-amazon.com/images/I/51ZDAy7c8KL._SL75_.jpg)
![: サマーウォーズ [DVD]](http://ecx.images-amazon.com/images/I/419nVKBEIkL._SL75_.jpg)
