無料脆弱性検査ツール「Redmine Security Scanner」でRedmineサーバの健康診断

2017-12-18 01:00  •  分類:  •  前田剛

(この記事は Redmine Advent Calendar 2017 の18日目の記事です)

Redmine Security Scanner」は、運用中のRedmineに既知の脆弱性がないかチェックできる無料のWebサービスです。Redmineのクラウドサービスを運営しているドイツの企業「Planio」が提供しています。

指定したURLのRedmineのバージョンをHTMLやCSSを解析することで検出し、そのバージョンに対する既知のセキュリティ脆弱性の有無を表示します。また、TLS/SSLなどWebサーバの設定が適切かどうかも確認します。

インターネットからアクセスできるRedmineを運用しているとセキュリティが保たれているか気になります。無料のメールサービス「Redmine News」などを活用して最新リリースの情報を入手するとともに、「Redmine Security Scanner」で定期的に検査を行うことは、セキュリティの維持に有効です。

使い方

Redmine Security Scanner」のWebサイトで検査対象のRedmineのURLを入力して「Check」をクリックすれば数十秒から1分程度で検査結果が表示されます。

検査対象のRedmineへのログインは行われず、また検査によるHTTPリクエストは40〜50件程度でありサーバ負荷は極めて小さいので、実運用中のRedmineに対しても安心して検査できます。

注意: 第三者の管理下にあるRedmineに対する検査は行わないでください。 Redmine Security Scannerの利用規約 (Terms of use) では、自分が管理しているRedmineに対する検査のみが許されています。

結果の表示

検査結果は7段階で評価されます。もし評価が A+ 以外であれば問題点が詳しく指摘されます。特別な理由が無い限り A+ になるよう設定しましょう。

評価 問題点
A+ 問題無し。Redmineのバージョンは最新で、TLS/SSLで通信が保護され、またセキュリティに関連するHTTPヘッダは適切に設定されている
A セキュリティに関する推奨のHTTPヘッダの設定が一部行われていない
B 自己署名証明書など信頼できないサーバ証明書が使われている
C TLS/SSL無し(HTTP)でのアクセスが行える
D Redmineのバージョンが古く、深刻度「low」(低)の既知の脆弱性がある
E Redmineのバージョンが古く、深刻度「moderate」(中)の既知の脆弱性がある
F Redmineのバージョンが古く、深刻度「high」(高)の既知の脆弱性がある

インターネットからアクセスできないRedmineサーバの脆弱性の調査

社内ネットワークなどインターネットから直接アクセスできない環境のRedmineサーバは残念ながらRedmine Security Scannerでの検査はできません。しかし、Redmineのバージョンがわかれば、そのバージョンの既知の脆弱性をRedmine Security Scannerで調べることができます。

ある特定のRedmineのバージョンの既知の脆弱性を知るには

https://plan.io/redmine-security-scanner/versions/バージョン番号

にアクセスしてください。例えば、Redmine 3.4.2 の場合は以下のURLにアクセスします。

https://plan.io/redmine-security-scanner/versions/3.4.2

Redmineのバージョンの確認方法は下記ページを参照してください。

使用中のRedmineのバージョンを確認する — Redmine.JP

古いバージョンのRedmineに対する実行例

脆弱性がどのように指摘されるのか確認するために、テスト環境 badredmine.farend.ne.jp をつくって検査を行ってみました。

脆弱性が指摘されないと意味がないので、インストールしたのは約1年前の昨年11月にリリースされたRedmine 3.1.7。3.1系はすでにメンテナンスが終了していて、3.1.7は最後のリリースです。

検査結果は期待通り、最低評価の F。9個の脆弱性が指摘され、そのうち3個は深刻度が「high」でした。

badredmine.farend.ne.jp 検査結果

レポート内には1つ1つの脆弱性について説明、修正済みバージョン、CVEへのリンクが書かれています。

検査結果の全文は以下のリンクで参照できます。

badredmine.farend.ne.jp 検査結果

まとめ

Redmine Security Scanner を使うと、運用中のRedmineに既知のセキュリティ脆弱性がないか検査できます。定期的に検査をするのがお勧めです。

あわせて、無料のメールサービス「Redmine News」を購読し、速やかに最新リリースの情報を把握できるようにしておくとセキュリティを高めるのに効果的だと思います。

脆弱性を指摘されたものの対策するための時間がとれない方は、My RedminePlanio などのクラウドサービスへの移行を考えてみるのもよいかもしれません。いずれも無料でオンプレミス環境からのデータ移行ができます。

Redmineサーバを立てたら、ぜひ「Redmine Security Scanner」で定期検診をしましょう。

関連情報

作成: 2017-12-18 01:00  •  分類: