「Git」に任意コード実行などへつながるおそれのある脆弱性が2件/「Git for Windows」「GitHub Desktop」などの関連ツールにセキュリティアップデート
Java セキュアコーディング 並行処理編
Java セキュアコーディング 並行処理編 Fred Long Dhruv Mohindra Robert Seacord David Svoboda 2011 年 8 月(原著「Java Concurrency Guidelines」公開 2010 年 5 月) TECHNICAL REPORT CMU/SEI-2010-TR-015 ESC-TR-2010-015 CERT® Program http://www.cert.org/ 一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)訳 https://www.jpcert.or.jp JPCERT Coordination Center 診 設 : JPCERT Coordination Center DN : c=JP, st=Tokyo, l=Chuo-ku, serialNumber=AATL20241
JenkinsがJava 8の対応を終了し、Java 11が必須に。Java 17の対応も開始
Jenkins開発チームは、6月28日リリースのJenkins 2.357および9月にリリース予定のJenkins LTS版からはJenkinsの実行環境としてJava 11が必須になることを、ブログ「Jenkins requires Java 11」で明らかにしました。 これまでJenkinsはJava 8もしくはJava 11を実行環境としていましたが、Java 8の対応がなくなることになります。 Jenkins 2.357 released today as the first Jenkins version to require Java 11. @bcrow shares the history of Java support in Jenkins and the benefits of the update. https://t.co/FPTNBTG3jK pic.twitte
三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を
三菱電機は9月29日、炊飯器や冷蔵庫などの家電製品やネットワーク機器などで複数の脆弱性が見つかったと発表した。悪用されるとDoS攻撃を受けた状態になったり、情報漏えいが発生したりする恐れがあるとしている。 【編集履歴:2022年9月30日午後8時 画像内に対象製品ではないものが含まれていたため修正しました】 対象製品は同社製のエアコン、無線LANアダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IHクッキングヒーターなど。 見つかったのは(1)情報漏えいの脆弱性、(2)DoSの脆弱性、(3)悪意のあるスクリプトを含むメッセージを応答する脆弱性。認証情報が暗号化されず、盗聴により情報を盗まれる恐れもある。 対象製品と対処法一覧(情報漏えいの脆弱性) 対象製品と対処法一覧(DoS、悪意のあるスクリプトを含むメッセージを応答する脆弱性) 三菱電機
LCK08-J. 例外発生時には保持しているロックを解放する
例外が発生するとロックの解放が行われなくなり、デッドロックが発生する可能性がある。Java API [API 2006] には以下のように記載されている。 ReentrantLock は、最後にロックに成功したがまだロック解放していないスレッドにより「所有」される。ロックが別のスレッドに所有されていない場合、ロックを呼び出すスレッドが復帰してロックの取得に成功する。 つまり、解放されていないロックを他のスレッドが取得することはできないということである。例外が発生したら、プログラムは所有しているすべてのロックを解放しなければいけない。一方、メソッド同期およびブロック同期で使用されている固有ロックは、スレッドの異常終了のような例外発生時には自動的に解放される。 違反コード (チェック例外) 以下の違反コード例では、ReentrantLock を使用してリソースを保護しているが、ファイルの操作中
THI00-J. Thread.run() メソッドを直接呼び出さない
スレッドの開始方法は誤解しやすい。スレッドで実行したい処理をコード上は正しく実行しているように見えても、実際には間違ったスレッドによって実行してしまっていることがある。Thread.start()メソッドを呼び出すと、Javaの実行環境は新たに開始したスレッドの上で、そのスレッドのrun()メソッドを実行する。Threadオブジェクトのrun()メソッドを直接呼び出すのは間違いである。直接呼び出した場合、run()メソッドのなかに書かれた処理は、新規に生成されたスレッドではなく、呼出し元のスレッドにより実行されてしまう。また、Threadオブジェクトが、Runnableオブジェクトから生成されるのではなく、run()メソッドをオーバーライドしていないThreadのサブクラスをインスタンス化することによって生成される場合、サブクラスのrun()メソッドはThread.run()メソッドを呼び
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
DX(デジタルトランスフォーメーション)やIoT(Internet of Things)の進展により、ますますその存在感が増しているオープンソースソフトウェア(OSS)。ソフトウェアの高機能化、大規模化によるサプライチェーンの複雑化を背景に、SBOM(Software Bill of Materials)によるOSSサプライチェーンマネジメントに注目が集まっています。米国では既に必須化・標準化の動きが始まっており、日本企業も対応を迫られるようになってきました。本記事では、あらためてSBOMとは何か、そして日本におけるSBOM活用の普及促進にはどういった課題があるかについて、詳しく解説します。 SBOMとはいったい、どのようなものなのか Software Bill of Materials(SBOM、「エスボム」と読みます))とは、ソフトウェアを構成するOSSや商用ソフトウェアなどのライブラ
開発フレームワーク「Electron」に複数の脆弱性、MS TeamsやDiscordにも影響
Malwarebytes Labsは8月12日(米国時間)、「A vulnerability was found in Electron which is what drives Discord, Spotify, and Microsoft Teams」において、ソフトウェア開発フレームワークの「Electron」に複数の脆弱性が発見されたと伝えた。 Electronは、HTML5やCSS、JavaScriptといったWeb技術を用いてデスクトップアプリケーションを開発することができるフレームワークで、Microsoft TeamsやVisual Studio Code(VSCode)、Discordなどの人気アプリケーションでも利用されている。 今回のElectronの脆弱性に関する発表は、米国で開催されたサイバーセキュリティカンファレンス「Black Hat USA 2022」の次の
シスコがサイバー攻撃受け不正侵入、きっかけは従業員の個人Googleアカウント悪用
Cisco Talos Intelligence Groupは8月10日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber attack on Cisco」において、2022年5月24日に同社がサイバー攻撃を受けたと伝えた。調査の結果、従業員の個人的なGoogleアカウントがサイバー犯罪者に悪用されたことから、攻撃が始まったことがわかったと報告している。 Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Cisco Talos shares insights related to recent cyber
2021 年 8 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
2021 年 8 月 11 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。 .NET Core & Visual Studio ASP .NET Azure Azure Sphere Microsoft Azure Active Directory Connect Microsoft Dynamics Microsoft Graphics Component Microsoft Office Microsoft Office SharePoint Microsoft Office Word Microsoft Scripting Engine Microsoft Windows Codecs Library Remote Desktop Client Windows Bluetooth Service Windows Cryptograph
MyJVN API
MyJVN API とは MyJVN API は、JVN iPedia の情報を、Web を通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVN が提供する API を利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。 現在、MyJVNで提供中のAPIは次のとおりです。詳細については各ページを参照のうえ、利用上の規約を踏まえてご利用ください。 また、本サービスを利用して開発したアプリケーションによって表示される情報には、MyJVN API により提供されたものである旨を表示していただくご協力をお願い致します。 ■MyJVN API に関するお問い合わせ 宛先: (問合せ様式) MyJVN API (HND/ITM) バージョン
AWS Lambdaで300万円以上課金されてしまった怖い話 | LAC WATCH
各サービスに加え、サポート費用、消費税諸々含め300万以上の課金が発生しました。 幸い今回の事象はラックの検証環境上で発生した事象のため、お客様への影響はなかったものの、これが「もしお客様環境で起きていたら......」と考えると背筋が凍ります。 事象の原因 今回上記(A)(B)の仕組みを定期的に実行する想定で各々EventBridgeルールの設定をしましたが、(B)のEventBridgeルールの設定に考慮漏れがありました。 具体的には、以下のように記載をしていました。 EventBridgeルールの作成時、イベントパターンのフォームから生成したJSONとなります。 ※ S3にオブジェクトが配置されたら後続処理を実施するというテンプレートを使用しました。 テンプレートの内容を深く理解せず、そのまま流用したことが本事象の発端となっていました。 ※ ただ、EventBridgeでは、ルールが
MIME タイプ(IANA メディア種別) - HTTP | MDN
このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。 �r�Ϫ�View in English PA Ϫ�Always switch to English メディア種別(以前は Multipurpose Internet Mail Extensions または MIME タイプと呼ばれていました)は、文書、ファイル、またはバイト列の性質や形式を示します。 MIME タイプは IETF の RFC 6838 で定義され、標準化されています。 Internet Assigned Numbers Authority (IANA) はすべての公式の MIME タイプを管理しており、Media Types ページで最新の完全な一覧を見ることができます。 警告: ブラウザーは URL を処理する方法を決定するた
増えるサイバー攻撃に経産省が警鐘 産業界へ「セキュリティ対策徹底」呼び掛け
経済産業省の産業サイバーセキュリティ研究会は4月11日、産業界に向けて情報セキュリティ対策に取り組むよう呼び掛ける「産業界へのメッセージ」を発表した。ランサムウェアやEmotetなどによるサイバー攻撃が増加傾向にあるとして、対策の徹底、攻撃を受けた際の適切な対応、支援制度の活用について言及した。 対策の徹底について、具体的には、保有する情報資産を漏れなく把握すること、脆弱(ぜいじゃく)性対策を徹底すること、認証を強化すること、安全な場所にデータのバックアップを用意すること、攻撃を想定した訓練を行うこと、攻撃を受けた際にも業務を止めないようBCPを策定すること──などを呼び掛けた。 攻撃を受けた際の対応としては、専門家の支援を依頼しつつ早期の業務復旧を図ること、身代金要求に応じないこと、関係者に状況を説明すること、警察や所轄省庁などに相談、報告することなどを挙げている。 中小企業に向けては、
SpringのRCE脆弱性(CVE-2022-22965)について
はじめに Log4jやStruts2など、Java製ソフトウェアにおいてリモートからの任意のコード実行(RCE)の脆弱性が目立つ時代になってしまっていますが、これにさらにSpringも加わってきました。この記事では特にCVE-2022-22965に焦点を当て、技術的な視点からの解説を行ってみます。 なぜJavaアプリでRCEとなるのか? Javaの(特にウェブアプリケーションで)RCEとなるパターンはいくつか知られており、以前こちらの記事にまとめました。今回のCVE-2022-22965はこの記事の「3. クラスローダを操作できてしまうパターン」のパターンになります。 なぜクラスローダを操作できるのか? そもそも「クラスローダの操作」とは何を意味しているのでしょうか。この文脈では、Javaのプロセス内のクラスローダ系のクラスのインスタンスの、getterやsetterのメソッドを攻撃者が実
Git Credential Manager: authentication for everyone
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも
表2 Spring Core Remote Code Execution Vulnerabilityシグネチャをトリガーした接続元IP上位15 Spring Core Remote Code Execution Vulnerabilityのシグネチャをトリガーした31,953個のパケットキャプチャを解析し、エクスプロイトに成功した場合にサーバーに保存されるWebシェルのファイル名とWebシェルのコンテンツとを特定しました。多くの場合、Webシェルのファイル名には .jspという拡張子が与えられていました。これによりインストールしたWebシェルが有効に機能するようになります。ただし多くのケースではファイル名にはWebシェルには対応しない拡張子、たとえば .jsや.txtといった拡張子が与えられていました。これらはおそらく脆弱なサーバーの発見のためにファイルアップロード成功可否を示す目的で使用
![[2022-04-19 JST Windows/Linuxによる保護セクションを更新] CVE-2022-22965: Spring Coreにリモートコード実行脆弱性(SpringShell)、すでに実際のエクスプロイトも](https://cdn-ak-scissors.b.st-hatena.com/image/square/bcebaec7d06409cf03bdb2d18c851c945592a82c/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.com%2Fwp-content%2Fuploads%2F2024%2F06%2F01_Vulnerabilities_1920x900.jpg)
新たなセキュリティテスト手法、バグバウンティプログラムのすすめ(後編) - NTT docomo Business Engineers' Blog
こんにちは。マネージド&セキュリティサービス部セキュリティサービス部門の閏間です。総合リスクマネジメントサービス「WideAngle」の新サービスの企画を担当しています。 本記事では、私がセキュリティの知識・技術向上のために業務外で取り組んでいるバグバウンティプログラムについて、3回にわたって紹介します。 本記事により、バグバウンティプログラムの有効性と、脆弱性探しのおもしろさの両方を伝えられれば幸いです。 (前編)バグバウンティプログラムの有効性について (中編)脆弱性探しの魅力と調査方法について (後編)実際に発見した脆弱性の詳細について【本記事】 なお、バグバウンティに関する記事としては、NTT Com社内バグバウンティのご紹介もありますので、ぜひそちらもご覧ください。 脆弱性の実例:3つの問題が重なってXSS(Cross Site Scripting)が発生 本記事では、私が過去に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Java コーディングスタンダード CERT/Oracle 版
【セキュリティ ニュース】開発プラットフォーム「GitLab」に深刻な脆弱性 - アップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT