Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー
はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする
学生が開発したコードがRubyの本体に---セキュリティ&プログラミングキャンプ2009を開催
「学生が開発したコードが,Ruby本体に取り込まれ,Linuxカーネル・メーリング・リストにも投稿された」(プログラミングコース 主査 よしおかひろたか氏)---。経済産業省(経産省)などは2009年8月12日から16日まで,学生が合宿形式でIT技術を学ぶ「セキュリティ&プログラミングキャンプ2009」を開催した。 「セキュリティ&プログラミングキャンプ2009」は,経産省が独立行政法人 情報処理推進機構(IPA),財団法人 日本情報処理開発協会(JIPDEC),NPO 日本ネットワークセキュリティ協会と共催しているイベント。2004年に「セキュリティキャンプ」として始まり,2008年からプログラミングコースを新設し,「セキュリティ&プログラミングキャンプ」になった。今年は,書類選考で選ばれた中学生から大学生までの61名が参加した。 このキャンプの大きな特徴は,講師全員が第一線で活躍する著
XSS、SQLインジェクションを発見する·Pixy MOONGIFT
PHPはWebシステムの中で広く使われているポピュラーなスクリプト言語だ。だが、手軽に習得し、開発が行えるとあって成果物のレベルが様々であり、中にはセキュリティ上問題のあるコードが多数存在することがある。そうしたセキュリティ上の問題を解決する手法やフレームワークもあるが、ごく簡単なシステムでは使われることがないだろう。 SQLのコードを精査し、問題の発見につなげる そのようなものを放置しておくと、いつ何時問題がわき上がるか分からない。そうした不安を取り除くためにもPixyを使ってみよう。 今回紹介するオープンソース・ソフトウェアはPixy、XSS、SQLインジェクションを発見するスキャナソフトウェアだ。 最初に断っておくと実際試してみたところでは100%の解決にはつながらなさそうなのでご注意いただきたい。PixyはJavaで作られたソフトウェアで、PHPファイルを指定して実行するとソースフ
Engadget | Technology News & Reviews
California's age verification bill for app stores and operating systems takes another step forwardThe Digital Age Assurance Act will now go to Governor Gavin Newsom. Roblox hit with wrongful death lawsuit following a teen player's suicideAccording to The New York Times, a mother has taken legal action against Roblox and Discord for their alleged involvement in her son's death.
Google,Webアプリ用試験ツール「ratproxy」をオープンソースとして公開
米Googleは米国時間2008年7月1日,Webアプリケーションの安全性を確認できるツール「ratproxy」をオープンソースとして公開した。同社のWebサイトから無償ダウンロード提供している。 同ツールは,これまで同社が社内でWebアプリケーションを試験する際に使っていた。プロキシ・サーバーとして作動し,クロスサイト・スクリプティングに悪用される恐れのあるコードや,情報漏えいにつながる問題などを調べられる。従来のセキュリティ・ツールと違い,意識することなく利用でき,オーバヘッドも小さいという。 ソフトウエア・ライセンスはApache License 2.0。現在のバージョンは「1.51ベータ」。Linux/FreeBSD/Mac OS Xと,Windows向け疑似UNIX環境Cygwin用に開発した。 [GoogleのMichal Zalewski氏によるブログ投稿記事] この記事の目
MOONGIFT: » 凄すぎる。便利なオンラインパスワードマネージャ「Clipperz Community Edition」:オープンソースを毎日紹介
何がすごいか。それはこれだけの機能を持ちながらオープンソースである点だ。 Webアプリケーションが隆盛になる中で、登場したのがオンラインのパスワード管理ソフトウェアだ。これは非常に重要なステップと言えそうで、現状のWebアプリケーションでは最も大事と言えそうなIDやパスワードを外部のWebサービスに預けて、セキュリティの問題やリスクをどう捉えるかが問題になる。これが可能になれば、Webアプリケーションのあり方すら変わってくるだろう。 オフライン版 だが、それでもWebサービスにデータを預けるのは精神的に難しい、という人も多いのではないだろうか。そんな人のためのソフトウェアがこれだ。 今回紹介するオープンソース・ソフトウェアはClipperz Community Edition、Clipperzのオープンソース版だ。 Clipperzはオンラインのパスワード管理アプリケーションだが、Clip
「Sendmail」に深刻な脆弱性--攻撃者に悪用されるおそれ
研究者らが米国時間3月22日、人気の高いオープンソースおよび商用の電子メールソフトウェア「Sendmail」の一部のバージョンに、深刻な脆弱性が存在していると発表した。ただし、これらの問題を修復するパッチはすでに提供されている。 Internet Security SystemsのMark Dowd氏が報告したこの脆弱性は、攻撃者がPCをリモートからコントロールするのに悪用されるおそれがあるという。侵入者は、SMTPメールサーバに任意のコードを一定の間隔で送信し攻撃すると、セキュリティプロバイダーISSおよびFrSirtの警告には記されている。 この攻撃では、電子メールの配信が妨害または遮断され、侵入者が脆弱なシステム上のほかのプログラムやデータを改ざんできるようになる。また、攻撃を受けたマシンのネットワークに含まれる、ほかのシステムへのアクセスも可能になることがある。 Sendmailプ
AxCrypt
多くの企業や公共団体などの個人情報の流出・紛失がメディアで大きく取り上げられている。個人情報保護法の施行もあるが、情報の管理が問われる時代に是非利用して欲しいツールが暗号化ツールである。今回はAxcryptを紹介する。 Downloadはhttp://axcrypt.sourceforge.net/content.htmから。 AxCryptの特徴 オープンソースな状態で開発されているAxCryptの特徴は次のとおり。 最大128BitのAES暗号化 Windows98のFATからWindows2003のNTFSまで対応 暗号化ファイル数の制限なし 暗号化ファイルのサイズ制限なし(FATは500MB〜700MBくらいまで。NTFSは制限なし) 自己解凍型復号も作成可能 GNUライセンス 無償で使える暗号化ツールにはファイル数やサイズに制限があるものが多いが、AxCryp
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
