GitLabにアカウント乗っ取りの脆弱性 直ちにアップデート適用をGitLabは2022年3月31日(現地時間)、同社のブログでソースコード管理サービス「GitLab Community Edition(CE)」「GitLab Enterprise Edition(EE)」に複数の脆弱(ぜいじゃく)性が存在すると報じた。見つかった脆弱性のうち、1つは深刻度「緊急」(Critical)に分類されている。
Spring Frameworkにリモートコード実行の脆弱性 即時アップデートの適用を
VMwareは2022年3月31日(現地時間)、同社のブログでJavaアプリケーションフレームワーク「Spring Framework」(Spring)にリモートコード実行の脆弱(ぜいじゃく)性(CVE-2022-22965)が存在すると伝えた。同脆弱性は通称「Spring4Shell」または「SpringShell」と呼ばれている。 この脆弱性は、VMwareが調査とアップデートおよび情報公開に向けた準備を進めている段階で情報がリークされたという経緯がある。VMwareは急きょアップデートをリリースしたが、先にサイバー攻撃に利用できる詳細情報が広く出回ってしまった。 本稿執筆時点ですでに修正版はリリース済みのため、SpringまたはSpringを利用したソフトウェアを使用している場合には迅速にアップデートを適用してほしい。
Spring Core on JDK9+ is vulnerable to remote code execution
Update: March 31, 2022 A patch has officially been released. https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement https://tanzu.vmware.com/security/cve-2022-22965 Overview Spring Core on JDK9+ is vulnerable to remote code execution due to a bypass for CVE-2010-1622. At the time of writing, this vulnerability is unpatched in Spring Framework and there is a public proof-of-conce
CVE-2022-22965: Spring Core Remote Code Execution Vulnerability Exploited In the Wild (SpringShell) (Updated)
Executive Summary Recently, two vulnerabilities were announced within the Spring Framework, an open-source framework for building enterprise Java applications. On March 29, 2022, the Spring Cloud Expression Resource Access Vulnerability tracked in CVE-2022-22963 was patched with the release of Spring Cloud Function 3.1.7 and 3.2.3. Two days later on March 31, 2022, Spring released version 5.3.18 a
Windows 10で始めるC言語開発(26) WindowsでC言語開発! ウィンドウを作る
Microsoftのチュートリアルで学んでいこう 前回までで、Windows APIを使ってモーダルダイアログボックスを作成した。短いソースコードで実際に動作するウィンドウプログラミングを体験するものとして、ダイアログボックスを表示するMessageBox()はわかりやすいものだったと思う。今回から、ウィンドウを作成する基本的なコーディング方法を取り上げていく。 Windows APIを利用したウィンドウプログラミングとしては、Microsoftが提供している次のチュートリアルに沿って学習を進めるのがよいだろう。比較的短く簡潔にまとまっており、説明もわかりやすい。 Module 1. Your First Windows Program - Win32 apps | Microsoft Docs ただし、上記チュートリアルに掲載されているサンプルソースコードは、現在ではそのままではビルドで
「Java」がいまだに使われ続ける“端的な理由”
関連キーワード Java | アプリケーション開発 | プログラミング プログラミング言語には、はやり廃りがある。その中で「Java」は、開発者に支持され続けてきた。この傾向は、2022年以降も間違いなく続くと考えられる。本連載は、2022年の今からでも開発者がJavaを習得すべき主な理由を5つ紹介する。前編は、そのうち2つを取り上げる。 理由1.根本的な有用性 登場以来、Javaの人気が衰えないのはなぜだろうか。端的に答えるなら、Javaは プログラミングの難しい問題を解決するためのライブラリ(プログラム部品群)を豊富に備える、バランスの取れたプログラミング言語 だからだ。 併せて読みたいお薦め記事 Javaを学ぶ理由 Java使いでも「R」「Python」を学びたくなる“納得の理由” 「Java」はなぜ、今も昔も開発者に愛されるのか 「Java」を学びたくなるシンプルな理由 Javaは
Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。 一方のSpring Frameworkのコアには、リモー
New Spring Java framework zero-day allows remote code execution
HomeNewsSecurityNew Spring Java framework zero-day allows remote code execution A new zero-day vulnerability in the Spring Core Java framework called 'Spring4Shell' has been publicly disclosed, allowing unauthenticated remote code execution on applications. Spring is a very popular application framework that allows software developers to quickly and easily develop Java applications with enterprise
Java 18新機能とJava 19以降に入りそうな機能
2022/3/29に行われたJJUG ナイトセミナーでの登壇資料です https://jjug.doorkeeper.jp/events/134652
ソフトウェアのオープンソース化--伴うリスクと責任を考える
オープンソースを説明する言葉として、「自由」や「無料」を意味する英単語「free」を使って「言論の自由のようなfreeであって、無料のビールのfreeではない」と区別する表現がある。これにはいくつか言い換えがあり、筆者は長年、「自由な子犬のfree」と言っている。また、「自由な非番の夜のfree」という言い回しを考え出した。これは、自分のプロジェクトを使用する大企業のために無償で適時に修正を行うという困難な立場に置かれた個人の保守管理者の負担を説明する言葉だ。先頃の「Log4j」の脆弱性は、そうした問題について、われわれが業界として「Heartbleed」からほとんど何も学んでいないことを示している。 しかし、最近、新しいマットレスを購入した筆者は、「無料のマットレスのfree」という表現に考えをめぐらせるようになった。これは、オープンソースに対する非常に痛烈な隠喩だと思う。筆者はいつも、
最近のC言語と、次期C標準(C23)
C言語といえば古い言語なイメージですが、その重要性はまだまだ落ちていません(多分)。重要な言語だからこそ、今もひっそりと進化を続けています。この記事では、そんなC言語の最近の動向を紹介します。 まずはC言語の前世紀の標準であるC99、現行の標準であるC11/C17を振り返り、その後に未来の標準であるC23に触れます。 C99 C99では色々追加されました。ここでは一部のみの紹介とします。 _Bool _Complex C++の std::complex とメモリ上での互換性がある(C++11以降)。 可変長配列(VLA) 可変長引数マクロ 浮動小数点数の強化 十六進表記 筆者による関連記事:浮動小数点数の16進表記 fma 筆者による関連記事:FMA (fused multiply-add) の話 #pragma STDC FENV_ACCESS, #pragma STDC CX_LIMI
CLR をターゲットにした C++/CLI プログラムをコンパイルする
C++/CLI を使用すると、.NET クラスとネイティブの C++ 型を使用する C++ プログラムを作成できます。 C++/CLI は、ネイティブ C++ コードをラップして .NET プログラムからアクセスできるようにするコンソール アプリケーションと DLL で使用することを目的としています。 .NET に基づく Windows ユーザー インターフェイスを作成するには、C# または Visual Basic を使用します。 この手順では、独自の C++ プログラムを入力するか、いずれかのサンプル プログラムを使用できます。 この手順で使用するサンプル プログラムでは、textfile.txt という名前のテキスト ファイルを作成し、プロジェクト ディレクトリに保存します。 前提条件 C++ 言語の基本の理解。 Visual Studio 2017 以降では、C++/CLI のサポ
Conventional Commits
Conventional Commits 人間と機械が読みやすく、意味のあるコミットメッセージにするための仕様 Conventional Commits 1.0.0 概要 Conventional Commits の仕様はコミットメッセージのための軽量の規約です。 明示的なコミット履歴を作成するための簡単なルールを提供します。この規則に従うことで自動化ツールの導入を簡単にします。 コミットメッセージで機能追加・修正・破壊的変更などを説明することで、この規約は SemVer と協調動作します。 コミットメッセージは次のような形にする必要があります: 原文: <type>[optional scope]: <description> [optional body] [optional footer(s)] 訳: <型>[任意 スコープ]: <タイトル> [任意 本文] [任意 フッター] あな
ソフトウェア開発の見積もり入門
見積もりとは? Wikipediaによると見積もりとは、以下のようにあります。 見積(みつもり。見積り、見積もりとも書く)とは、金額・量・期間・行動を前もって概算すること。見積もること。あらましの計算をすること。また、その計算。目算。「所要時間を見積る」、「一日の来客者数をざっと見積もった」など、おおよその感覚で数字の見当をつける場合の口語体表現でも使われる。 Wikipedia このように見積もりとは、なにかを行う前に事前にその結果を予想しておくことを言います。 見積もりを使うケースは、ソフトウェア開発に限った話ではありませんが、製造業であるソフトウェア開発においては『見積もり』というタスクは様々なケースで登場します。 見積もりが苦手な人は多い ソフトウェア開発では、「この機能を開発するときにどのくらいで完成できますか?」といったケースが見積もりのシチュエーションとしては多いかと思います
JavaScriptの進化で変わる身近なコーディング習慣
JavaScriptの進化で変わる身近なコーディング習慣 uhyo ( https://twitter.com/uhyo_ ) JavaScriptは歴史が結構長い言語であり、さまざまなベストプラクティスがあります。一方で、JavaScriptは進化を続けており、それに伴ってこれまでに蓄積したベ…
BIGLOBEニュース
「BIGLOBEニュース」は2025年6月2日をもちまして終了いたしました。 これまでご利用いただきありがとうございました。 今後ともBIGLOBEのサービスをご愛顧くださいますようお願いいたします。 10秒後にBIGLOBEのおすすめページに遷移します
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Androidのフレームワーク部分に深刻な脆弱性、4月のセキュリティパッチで解消(Impress Watch) - Yahoo!ニュース
【海外ITトピックス】 Oracle JDK無償化にJavaOne復活 OracleのJava戦略
angular/CONTRIBUTING.md at main · angular/angular
Style guide for Flutter repo
