パスワードを忘れた? アカウント作成
Close
12087752 story
ゲーム

提督業も忙しい!に脆弱性、オープンプロクシとして動作 23

ストーリー by hylom
狙われるほどユーザー数が多いのだろうか 部門より
あるAnonymous Coward 曰く、

ブラウザゲーム「艦隊これくしょん ~艦これ~」向けの支援ツール「提督業も忙しい!(KanColleViewer)」に、オープンプロクシとして動作するという脆弱性が発見された(JVNVU#98282440)。

KanColleViewerはIEコンポーネントを使用しており、通信内容をキャプチャしてデータを集めて表示する仕組みなのだが、localhost以外のホストからの接続を拒否していないため、意図せずオープンプロクシとして動作する問題があるという。すでにKanColleViewerが使用する37564ポートを狙ったスキャン攻撃も観測されているとのこと。

すでに問題が修正されたバージョンが公開されているので、使用されている提督の皆様はアップデートを。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

提督業も忙しい!に脆弱性、オープンプロクシとして動作 More

  • 皆殺し (スコア:2)

    by AZUCO (32400) on 2015年05月29日 23時50分 (#2822378) ホームページ
    37564ポートはひぐらしデイブレイクのポートでもあった・・・(遠い目)
    これ今日の豆な。

  • 実際問題 (スコア:1)

    by Anonymous Coward on 2015年05月29日 15時25分 (#2822200)

    外部から接続する為に使うものではなく、
    jsonキャプチャの為だけのローカルプロキシがlocalhost以外もlistenしてたってだけの話なので、
    ルーター側でわざわざポート空けたりしてない限りは問題になる事は無いでしょう。

    そして、用途が用途だけに外側を空けることに何のメリットもありませんので、おそらく影響は皆無かと。

    • Re: (スコア:0)

      by Anonymous Coward

      ダイヤルアップはほぼ壊滅してるだろうけど全滅ではないし、
      ルータ無しでモデムに直結する場合とかはポート開放不要です。
      であっても、Windowsファイヤーウォールが適切に設定されてれば大丈夫だったかな。

      皆無というほどではないにしても、ごく少数ではあるでしょうね。

    • Re: (スコア:0)

      by Anonymous Coward

      こういうバカがいるせいでわざわざこんな告知をしなければならなくなった

      https://twitter.com/Grabacr07/status/603471624814239744 [twitter.com]

      本件、一般家庭のルーター環境下など直接影響しないケースも多いですが、公衆 Wi-Fi や一部環境下で実害の出る問題なので、ご迷惑おかけし大変申し訳ありませんが KanColleViewer 3.8.2 以降に「必ず」更新してください。

      • 実際拡散させた (スコア:0)

        by Anonymous Coward

        艦これ扱ってる有名アフィブログが取り上げてしまったしな

        http://akankore.doorblog.jp/archives/44199526.html [doorblog.jp]

        >乗っ取り事件などが社会問題となっている昨今の事情を考えて200万DLされているツールが「オープンプロキシとして動作する」ということの重大性を周知させるために記事にしました

        • Re: (スコア:0)

          by Anonymous Coward

          ああ、あれですか。脆弱性は公開してしまうと悪用されるので黙ってろ、って例のメソッドですか

        • Re: (スコア:0)

          by Anonymous Coward

          艦これ扱ってる有名アフィブログが取り上げてしまったしな

          アフィブログのコメント欄に書き込む奴なんて、頭の悪いのばっかりなんですね。
          あそこはまだマシな方か…

  • Squidに脆弱性、オープンプロクシとして動作 (スコア:0)

    by Anonymous Coward on 2015年05月29日 14時38分 (#2822174)
    接続先の制限とかファイアウォールでするもんじゃねえの?
    大昔に立てたプロクシとか接続制限されずに今でも放置されてたりして

  • ノーガード戦法? (スコア:0)

    by Anonymous Coward on 2015年05月29日 14時42分 (#2822178)

    艦これ遊ぶためにルーターのインバウンドに穴開けてる人いるの?
    それともWinタブにSIM刺して使っている人向けのアナウンス?

    • Re: (スコア:0)

      by Anonymous Coward

      他にもUSBで直結するとモデムとして動作するタイプのモバイルルータとか
      スマホのUSBテザリングとかでもそういうのありそうだし
      あとは昔別の何かを使うために同じポートに穴開けてそのまんまにしといた人が意識してないとか

    • Re: (スコア:0)

      by Anonymous Coward

      ルータを使わずに、PCをモデムと直結してる人とか、いるかも知れない。
      PCに詳しくなくてPC1台しか持っていない人は、わざわざルータを買ったりしないかも。
      (最近はモデム内蔵ルータを配ってるキャリアも多いけど)

    • Re: (スコア:0)

      by Anonymous Coward

      あとは公開wifi使ってるような人とかかな
      まともに設定してないでしょうから

  • 最近だと (スコア:0)

    by Anonymous Coward on 2015年05月29日 17時07分 (#2822236)

    安いVPSがインターネット直結かと

  • FiddlerCoreに問題あり (スコア:0)

    by Anonymous Coward on 2015年05月29日 19時37分 (#2822287)

    件のソフトはプロキシライブラリFiddlerCoreを利用していたのですが、意識して組み込まない限りオープンプロキシとして動作する問題があるそうです。
    http://www.cat-ears.net/?p=39957 [cat-ears.net]

    FiddlerCoreを利用した他のソフトでも同様の問題を抱えている可能性は高いです

    • Re: (スコア:0)

      by Anonymous Coward
      何かbind()関数にINADDR_ANYを指定すると世界中からアクセスされる脆弱性!!とか言われてる気分だな…

      • Re: (スコア:0)

        by Anonymous Coward

        今は残念ながらそういう時代になってしまったんですよ。
        ツールが整備されて作り手側もスキルの低い人があふれていますし。

  • そもそも (スコア:0)

    by Anonymous Coward on 2015年05月30日 0時54分 (#2822411)

    この手のツールは規約違反になるのでいつBANされても文句言えないの
    わかってて使ってる人はどのくらいいるんだろう

    • Re: (スコア:0)

      by Anonymous Coward
      まあそれ言うたらOperaやSafariで接続すんのもアウトだから

    • Re: (スコア:0)

      by Anonymous Coward

      そうなんだけど、艦これ界隈の事情ってけっこう不思議で、
      運営的にはデータの改竄や操作の伴わない情報ツールの類は現状見逃すって公的に言ってる。
      (ほぼ)画面上で確認できる事を表にしてだしてるだけなので、プレイ上の不公平に繋がってはいないという見解。

      ただ、これにはもうひとつ裏があって、
      画面を遷移して情報を確認するたびにHTTPセッションが発生するから、こういうツールを黙認すれば運営側にもサーバー負荷が軽減されるってメリットが実はある。

      >まあそれ言うたらOperaやSafariで接続すんのもアウトだから

      それ言うたらWindows8で接続するのもなんだよなw

    • Re: (スコア:0)

      by Anonymous Coward

      > いつBANされても
      頭おかしいのかな?
      プロキシ通してるだけだから原理的にBAN出来ないんだが???

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs