Os

• OpenBSD の教授が学生と共に、RDP ゴッドのミルチゲーション効果について FreeBSD にポートした実験報告。
• 発表された数値よりも大幅に低い実効性と、両方のミルチゲーションを組み合わせると相殺が生じる不具合が発見された。
• 「完全無料」だとされていたセキュリティ向上策は、現実にはコードサイズ増大や効果減退をもたらすことを確認した。

OS のセキュリティ強化施策が実際には意図するほどの効果を出さず、コストを伴うケースが多く見られる重要な検証結果である。

• Lantronix製のEDS5000・EDS3000PS等多数製品に、OSコマンド挿入による権限付与と認証回避の脆弱性が確認されています。
• サーバーキー削除時やユーザー名設定時に無断で管理者コマンド実行が可能であり、管理者パスワード変更も容易です。
• 脆弱性を悪用するとシステム全体への重大な影響が出るため、開発者が提供するアップデートを速やかに適用する必要があります。

OSコマンド注入と認証回避は管理系機器の最悪ケースであり、組織インフラ全体が管理者権限で操縦されるリスクが高いため重要です。