Spring4Shell の任意コード実行でわかったことをまとめる!
注意! こちらの記事は自分の解釈を多く含みます。 十分に注意し、念のため検証してから情報を利用してください! この記事の内容と対象 この記事では、以下の内容に触れます。攻撃原理をわかった範囲でまとめるので、なにかのお役に立てば幸いです。 Spring4Shellの脆弱性の全体像 なぜJDK9.0以上のみ限定なの? なぜtomcatで影響は受けているの?ほかは? 脆弱性の概要 SpringShell RCE vulnerability: Guidance for protecting against and detecting CVE-2022-22965 によると 以下の条件を満たしているときに 任意コード実行 につながると書かれています。 Running JDK 9.0 or later Spring Framework versions 5.3.0 to 5.3.17, 5.2.0 t
閲覧でウイルス感染も「bash」に重大欠陥 NHKニュース
インターネットのホームページを表示するサーバーで広く利用されているプログラムに重大な欠陥が見つかり、放置しておくと、個人情報の流出などを招くおそれがあるとして、セキュリティー機関などが早急な対策を呼びかけています。 欠陥が見つかったのは、Linuxという基本ソフト上で動く「bash」と呼ばれるプログラムで、インターネットのホームページを表示するサーバーで広く利用されています。 このプログラムについて25日、外部からコンピューターを勝手に操作されかねない重大な欠陥があることが明らかになりました。 この欠陥を悪用されると、サーバーに保管されている個人情報が流出したり、ホームページを閲覧した人のパソコンが、ウイルスに感染するよう仕組まれる危険性があるということです。 このため、セキュリティー機関のJPCERTなどは、このプログラムを利用しているサイトに欠陥が修正された最新のプログラムを早急に導入
Nessus入門
リコージャパン コンサルティング推進室 エグゼクティブ コンサルタント。情報セキュリティ監査や個人情報保護、BCPのコンサルティングや、ISMSやプライバシー関連の研修を手掛ける。 脆弱性検査は誰もが実践すべき Nessusはコンピュータの脆弱性を見付けて報告してくれる脆弱性検査ツールです。米国のテナブル・ネットワーク・セキュリティという企業の製品で、この分野では世界的に著名なツールの一つです。私は2002年頃にNessusの存在を知り、私自身も脆弱性検査のビジネスで使用していました。 ところがこのツール、日本ではまだ“知る人ぞ知る”という存在です。普及のネックとなっているのは、メニューや説明などが英語だからでしょう。Nessusを紹介している日本語のサイトはいくつかありますが、日本語のユーザーズマニュアルや解説書はありません。それが、本書「Nessus入門」を執筆したきっかけです。 個人
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
