(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月31日更新) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/07/29(Wed) 最終更新 2015/07/31(Fri) (PoCが公開され、日本国内において被害事例が報告された旨を追加) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可
秀まるおのホームページ-ニュースリリース(秀丸エディタの脆弱性について)
平素は、秀丸エディタをご利用頂きありがとうございます。 秀丸エディタについて、いわゆる脆弱性のバグの連絡をいただいたので、それについて報告させていただきます。 脆弱性の内容: 特別に細工された.hmbookファイルを「プロジェクトを開く」にて開いた場合、 任意のコードを実行できます。(送っていただいたサンプルの例ではcalc.exeを実行することが出来る) 注:「ファイル」メニューの「開く」では問題は起きません。 対策: 信頼できない.hmbookファイルは開かないように注意する。 または、 秀丸エディタをVersion 8.52β9以上に入れ替える。 細工されたhmbookファイルを一度開くと、以後、ファイルマネージャ枠を表示しようとするだけで毎回保護違反で落ちてしまいます。問題のhmbookファイルを削除すれば以後保護違反は出なくなります。脆弱性でご迷惑おかけしてすみませんが、よろしく
GHOST 脆弱性は如何様に使うのか | Webシステム開発/教育ソリューションのタイムインターメディア
先日 GHOST と呼ばれる glibc の脆弱性が発表された。なんでも、「リモートから任意のコードを実行できる可能性がある」らしいではないか。しかも様々なプログラムで利用されているライブラリ部分の問題とあって、影響範囲がとても広い。なかなか厄介なことである。 はて、しかし一体全体どうやってリモートから任意のコードを実行しようというのだろう? 話を聞くに、たかが数バイトの情報を範囲外のメモリに書き込める可能性があるだけだという。実際それだけのことでサーバーの乗っ取りなどできるものなのだろうか。そんなわけで、その疑問に答えるべく、本記事では以下の URL で解説されている実際の攻撃方法を若干端折って紹介してみようと思う。 http://www.openwall.com/lists/oss-security/2015/01/27/9 なお、本記事はこの脆弱性そのものに対する緊急度などについて言
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
Bash 脆弱性(2) CVE-2014-6271 / CVE-2014-7169 は何が危険で問題なのかを検証してみました。 – CLARA ONLINE techblog
こんにちは、グローバルソリューション事業部で運用等を行っている宇野と申します。 先に投稿された「Bash 脆弱性(1) CVE-2014-6271 / CVE-2014-7169 絶賛対応中です」の続きとして 何が危険なのかを検証してみましたので、ご参照ください。 はじめに まず、今回の問題点や危険な点を簡単に挙げると、、 ・リモートで任意のコマンドが実行できてしまう可能性がある。 ・Bash は linux 等のシステムで必ずインストールされているパッケージなので、影響が大きい。 ということでしょうか。その内容を紐解いています。 まずは、数ある情報元からの例です(以下は Redhat のセキュリティブログ ) ・Bash specially-crafted environment variables code injection attack とあるコードを環境変数に組み込むと、任意の
Blog: bashの脆弱性がヤバすぎる件 – x86-64.jp - くりす研
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
