「Text4Shell」の影響が「Docker」にも拡大 ~悪用が容易な任意コード実行の脆弱性/人気の文字列処理ライブラリ「Apache Commons Text」に欠陥
Japan Vulnerability Notes
JVNVU#99084687: Siemens製品に対するアップデート(2024年8月) [2024/08/16 14:30] JVNVU#94517482: AVEVA HistorianにおけるSQLインジェクションの脆弱性 [2024/08/16 14:00] JVNVU#91739300: 複数のPTC製品における制限または調整なしのリソースの割り当ての脆弱性 [2024/08/16 14:00] JVNVU#99298639: Siemens製品に対するアップデート(2024年7月) [2024/08/14 17:45] JVNVU#98271228: Siemens製品に対するアップデート(2023年12月) [2024/08/14 17:45] JVNVU#94715153: Siemens製品に対するアップデート(2023年4月) [2024/08/14 17:45] JV
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Apache OpenOffice、プロジェクトの終焉を協議 - いくやの斬鉄日記
オープンソースからハイスクールフリート、The Beatlesまで何でもありの自称エンターテインメント日記。 うちにある一番古いOpenOffice.org 現在、Apache OpenOfficeのProject Management Committee (PMC) のChair(要するに代表者)であるDennis E. Hamiltonさんによって、Apache OpenOfficeプロジェクトを終了させ、その後の処理をどうするのかの提案がされています。 [DISCUSS] What Would OpenOffice Retirement Involve? (long) ソースコードはThe Apache Attic(Atticは屋根裏の意味)に置き、それ以外のインフラやソーシャルメディアのアカウントは原則として閉鎖、というのが概要です。 その理由はApacheプロジェクトの成熟モデル
HTTP/2プロトコルに複数のセキュリティ問題--Black Hatでレポート公開
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2016-08-05 10:28 新しいプロトコルであるHTTP/2に、数千万のウェブサイトを攻撃のリスクに晒す可能性がある複数のセキュリティ問題が発見された。 サイバーセキュリティ会社Impervaは米国時間8月3日、Black Hat USAでウェブや通信システムで使用されるHTTPの最新バージョンであるHTTP/2に関連して、複数の重大なセキュリティホールが存在すると報告するレポートを公開した。 このレポート「HTTP/2: In-depth analysis of the top four flaws of the next generation web protocol」は、HTTP/2に関連する4つの脆弱性と攻撃手法について説明したものだ。現在、HTTP/2の導入数は着実に増加して
nginxでDDoS対策をする方法
nginxでDDoS対策をするための方法を調べてみました。 いくつか方法が見つかったので、リンクをまとめてみました。あとで、色々試してみようと思います。 nginxをプロキシサーバとして利用して、バックエンドにアプリサーバを配置するような構成で使うので、外部から来たDDoSをnginxでブロックしてアプリサーバを守る。といったような用途になるかと思います。 もちろん、nginxが応答できるHTTPリクエストの範疇に収まらない攻撃は、その前段階でブロックしたり、他のサーバにアクセスを逃したりする必要があります。 DDoS攻撃に対するシンプルな戦略 | ツチノコブログ(http://tsuchinoko.dmmlabs.com/?p=611) さらに、こちらで紹介されているように、完璧に防ごうとすると青天井のコストが見えてしまったりするので、”どれくらいDDoSからの保護をするのか”を明確にル
存在に気付かないふり? Struts
調査を行う過程で、稼働中と思われる探調TOOLを発見した。このURLを見て分かる通り、「.action」という拡張子が用いられている。これは慣習的に「Apache Struts」を用いるアプリケーションで指定される拡張子である。さらに、ソースコードを確認すると「struts」という文字列がパス指定でいくつか記載されていた。 これは断定ではないのだが……。 Apache HTTP Serverは10年ほど外部から改ざんを行えるような脆弱性、および攻撃コードがリリースされていない 原因となった探調ツールでは「.action」拡張子が使用されているページがある そのソースコードにはstrutsの文字列がパス指定で記載されている という理由から、探調TOOLでは脆弱性の影響を受けるバージョンのApache Strutsが利用されており、その脆弱性を突かれて、今回の事件に至ったのではないだろうかと考
Google、OSSのセキュリティ問題対応にも報奨金を提供へ
OpenSSHやBINDといったオープンソースプロジェクトのセキュリティ強化に貢献した研究者などに、500~3133.7ドルの賞金を贈呈する。 米Googleは10月9日、脆弱性情報に対して報奨金を支払う制度を拡大して、同社の製品だけでなく主要なオープンソースソフトウェア(OSS)のセキュリティ対策強化に貢献した研究者なども報奨金の対象にすると発表した。 ただしオープンソースプロジェクトの場合、報奨金を目当てに脆弱性の報告が殺到するとボランティアのコミュニティでは対応し切れなくなることも想定される。このため「単なる既知のセキュリティ問題の修正を超えた、現実的かつ予防的な改善に対して報奨金を提供する」方針を決めたという。 対象となるのは、Googleが「インターネット全体の健全性を保つ上で欠かせない主要サードパーティーソフトウェア」と位置付けたプロジェクト。具体的には、OpenSSHやBIN
ラックがApache Struts2の脆弱性を悪用した攻撃の急増を警告
ラックは7月18日、同社のセキュリティ監視サービス「JSOC マネージド・セキュリティ・サービス」において、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が多数確認されたと発表、緊急事案と受け止め、注意喚起を行った。 同社によれば、2013年7月16日に公開された、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が、2013年7月17日から急増しているという。 Apache Struts2を使用されているサイトの多くは、セキュリティアップデートの適用によるWebアプリケーションへの互換性問題が懸念されるため、互換性検証作業を行う都合で対策が遅れる場合が懸念されるという。 同社によれば、これまでもApache Struts2に関
Apache狙いの攻撃発生、パスワード流出の恐れも
バグトラッキングソフトをホスティングしているサーバが攻撃を受け、JIRA、Bugzilla、Confluenceのユーザーのパスワードが流出した恐れがあるという。 Apache Software Foundationは4月13日、バグトラッキングソフト「JIRA」をホスティングしているサーバが攻撃を受けたとブログで発表した。この攻撃により、ApacheでホスティングしているJIRA、Bugzilla、Confluenceのユーザーのハッシュ化されたパスワードが流出した恐れがあると警告した。 Apacheによれば、攻撃には短縮URLサービスのTinyURLを使ってクロスサイトスクリプティング(XSS)攻撃コードを仕込んだURLへリダイレクトする手口が使われたという。Apacheの管理者数人がこのリンクをクリックしてしまい、JIRA管理権限を含むセッションに侵入された。 さらにXSS攻撃と並行
SSL/TLS で Namebase のバーチャルホスト
このスライドについて 2008 年 7 月 12 日の第 15 回まっちゃ 139 勉強会のライトニングトークで発表した (出来なかった :-p) 資料です. (予想通り? :-p) 内容以上に質問のあったこのスライドで使っているソフトについて. W3C の HTML Slidy で作成しています. 他にも似たようなもっと高機能なツールで S5 とか S6 とかありますね. 使い方 普通のプレゼンソフト的にスペースとか←→キー,マウスクリックでページ遷移します. "F11" で全画面表示します.ただし,Mac OS X では,ブラウザが全画面表示をサポートしてない模様です (Safari, Firefox). "c" でメニューが開きます. "a" でページめくりなしで全ページ表示になります. "s", "b" フォントサイズ変更. 印刷すると,一枚一スライドになるみたいです.今回の資料は
産総研 RCIS: フィッシング対策のためのHTTP相互認証プロトコル
「HTTPパスワード相互認証プロトコル」は、Webシステムでのフィッシング攻撃を防止するための、新しい認証プロトコルです。この認証プロトコルはPAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止します。 研究の概要 お知らせ プロトコル仕様案 draft-04 を提出しました (2015/02/19) 実験用Webブラウザ を更新しました: Firefox 35.0 and draft-04 spec がベースです 2015/03/27公開 2015/03/31更新 2015/04/10更新 実験的 WEBrick サーバー を掲載しました 2015/03/27公開 2015/03/31更新 2015/04/10更新 HTT
Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yosai
FreeBSDでportsを更新する | レンタルサーバー・自宅サーバー設定・構築のヒント
株式会社ブリッジコーポレーション | Webサイト制作からWebシステムの開発まで総合的にサポート