PHPMailerの脆弱性CVE-2016-10033について解析した
エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ(エンベロープFrom)を外部から設定できる 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない 対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。 はじめに 12月24日にPHPMalerの脆弱性CVE-2016-10033が公表され、とんだクリスマスプレゼントだと話題になっています。 PHPからのメール送信に広く使われているライブラリの「PHPMai
初風呂はどこにする?【京都の銭湯・年末年始営業まとめ】
2020年 初風呂を京都の銭湯で! やっぱり年末年始って銭湯開いてない?いやいやたくさんの銭湯あります! 年越しや初詣と一緒に銭湯に行くと1年いい年に! 京都の銭湯スタッフ調べですので、変更になっている場合があります! 行かれる際は、必ず事前に各銭湯にご確認ください。
元旦に実施される うるう秒の対策 まとめ | Act as Professional
前回のうるう秒が2015年7月1日でした。 今回は2016年12月31日の最後にうるう秒が追加されます。日本時間だと2017年1月1日の午前9時(正確には8時の最後に挿入)となります。 「うるう秒」挿入のお知らせ | NICT-情報通信研究機構2015年に実施されたときからまわりの環境は良くなっているので、うるう秒への対策簡単にとれるようになりました。このことについて、簡単にまとめておこうと思います。 ※ うるう秒について、詳しい解説が欲しい方は以前の記事を参照してください。 ー 閏秒を迎えるにあたってLinuxでは何を対策すべきか? うるう秒対策済のNTPに設定を向ける結論から言うと、うるう秒対策が施されているNTPサーバにntpdの設定を向ける。というのが最近登場した簡単な方法です。 11/30にGoogleがうるう秒対策済のPublic NTPを公開しました。 Public NTP
「第二の京都」10カ所指定へ=3年間で景観を重点整備-国交省:時事ドットコム
「第二の京都」10カ所指定へ=3年間で景観を重点整備-国交省 国土交通省は、2020年東京五輪・パラリンピックに向けて、地方の観光地の景観を重点的に整備する方針だ。東京、大阪など都市部に集中する外国人観光客を地方に呼び込むのが狙い。全国10カ所をモデル地区に指定し、17年度から3年かけて街並みを刷新。「第二の京都」と呼ばれるような観光地へ発展させていきたい考えだ。 22日に閣議決定した17年度政府予算案に、関連経費として25億円を計上した。 モデル地区として想定しているのは、城下町や宿場町などの風情が残る市町村。歴史的な建物の保存や歩道の石畳化、展望台、駐車場の整備事業などを対象に、費用の最大2分の1を補助する。 同省によると、景観に着目した大型の補助制度は初めて。17年度から3年間の総事業費は、地方負担分を含めて1カ所当たり16億円程度に上る見込みだ。 来年1月から候補地の選定作
業界に痕跡を残して消えたメーカー DRAMの独自技術を持ちながらも倒産したQimonda (1/4)
今年最後の業界に痕跡を残して消えたメーカーシリーズはDRAMメーカーだ。国内でもそれなりに出回っていたQimonda(キマンダ)を紹介したい。 DRAM業界に多くの企業が参入 Qimondaがどんな会社か? という前に、まずはDRAM業界の概観をまとめて説明する。そもそもDRAMというものがどんな仕組みか、という話は連載95回で簡単に紹介している。 今回はDRAMの作り方に踏み込むつもりはないのだが、このDRAMの原理そのものを発明したのはIBMのRobert H. Dennard博士であり、この功績で京都賞やIEEE Medal of Honorを初め、数々の賞を受賞している。 ただ意外にもIBMはDRAMの製造に参入したのはだいぶ後の話である。もっと言えば、最初のDRAMは現在のDRAMとは異なる1セル=3トランジスタ+キャパシタの構成(現在は1セル=1トランジスタ+キャパシタ)で、当
日経三国志スペシャルサイト
※一部地域では月額税込5,000円となります。日経Wプランは新聞購読料+1,000円です。 ※海外にお住まいの方は、日経Wプランにお申し込みいただくことができません。 (日経電子版・日経電子版オプションのお申し込みは可能です。) ご注意事項 ※日本経済新聞の宅配と電子版をセットでご希望の場合は必ず「日経Wプラン」をお選びください。「日経電子版」を申し込み、新聞も宅配購読されますと、電子版料金(月額4,200円)のほかに新聞購読料も別途発生します。 ※電子書籍ダウンロードの詳細はこちらをご覧下さい。 ※日本経済新聞(宅配)の購読料は、お客様のお住まいの地域により異なります(地域の確認はこちら)。ニュースを1日2回に分けてお届けする朝・夕刊セット版と、1日のニュースを朝刊のみでお届けする全日版に分かれており、購読料が異なります。朝・夕刊セット版地域にお住まいの方が全日版を購読したり、全日版地域
新説『忠義の人・松永久秀』について
地雷魚 @Jiraygyo 逆に『松永久秀』とか、絶対に大河ダメそうだなーと思いつつ、考えてみると ・半島関係ない ・沖縄関係ない ・大仏焼いたぐらいじゃ信長よりマシ ・セックス関係はむしろ今はアリ と、オーケー要素ばかりなので時代は変わった 2016-12-27 20:44:13
「小さくて良い会社」をどうやって探すか。
年末となり、そろそろ真剣に就職活動について考えている学生の方が増えているようである。 そして、学生たちに話を聴くと、特に見栄えのする学歴を持っている学生ほど「大手に行きたい」という志向が強いと感じる。 たしかに、マイナビの調査によれば、近年では「大手」で、かつ「安定している会社」を志望する学生が増えているという (2017年卒マイナビ大学生就職意識調査:http://www.mynavi.jp/news/2016/04/post_11203.html)。 何が正解かわからない今、少しでも安定を求める気持ちは分からないでもない。 だが、よくよく学生たちに突っ込んで話を聴くと、本当に「大きな会社」に行ってしまってよいのかどうか彼らも迷っていることがよくわかる。 彼らとて「単に大きい会社にいければ良い」とは思っておらず、彼らなりに真剣に考えている。 それでも「大手」という人が多いのは、結局のとこ
『Microsoft Flow』で業務タスク自動化。テンプレ活用で即実践! | Ledge.ai
チャットや解析系ツール、BIツールの進化にクラウド管理体制の超発達。 あらゆる業務が効率化していった…のは、まぁ良いんです。良いことなんです。が、だからこそ起こってしまう問題って… ありますよね。 Slackメインなもんでメール読まない癖がついて…大事なメール見落とした!BIツールのアラートってなんでメールなの?タスクリストに入れてよ…TrelloとRedmineとTodoistで同じタスクをそれぞれ完了すんのメンドクサ!Salesforceとスプレッドシートってなんで連携デフォじゃないの!日々チェックする海外ニュース記事を自動翻訳してRSSに出してくれないもんか… とまぁ、こんな感じに。 上げればキリがないですが、それぞれの業務フローに最適特化したツールがごちゃごちゃ増えすぎて、作成と確認と管理のフローが重複したりスルーしちゃったり…と。困ったもんですよね。 Microsoftの出したタ
アプリケーションから例外を投げる派、投げない派 - Shin x Blog
例外をどのような状況に投げるかもしくは投げないか、というのはわりと意見が分かれるところです。もちろん、プログラミング言語によっても異なりますが、同じプログラミング言語ユーザ同士でも様々です。 基本の考え方 ベースとしては、Effective Java の項目 39 にある下記の方針が参考になります。 例外的な状況の時にのみ例外を使う。 Effective Java 禅問答のような定義ですが、これには異論は無いでしょう。例外を正常フローで利用したり、制御構造に用いるべきではありません。 人によって異なるのは「例外的な状況」の解釈です。 例外的な状況 この「例外的な状況」の解釈は人によって異なるようで、これまでも議論になっていました。これまで聞いた解釈を乱暴に分けると以下の 2 パターンに分かれます。 1. アプリケーションから独自の例外を投げる派 ランタイムやミドルウェア連携などプラットフォ
インフラエンジニアのいない会社で働いて 1 年半 - Diary
インフラエンジニアのいない会社で働いて 1 年半 が経った。 iOS で動く POS レジアプリとその管理インターフェイスの Web アプリケーションを作ってます。 iOS 側のことはほとんど分からなくて、データ同期用 API と Web アプリをずっと作っている。 ところで、 「NoOps」の時代がこない理由という記事が前にあったのですが、この点ぼくが働いている会社は NoOps です。アプリケーションは Heroku に乗っていて、 RDBMS が Amazon RDS で一部分析系に Google BigQuery を使っていること以外は全て Heroku 系の何かで動いています。 CI は Travis と circleCI を使っていて、 circleCI については来年初頭にも利用をやめて Travis に一本化する予定、というかんじ。 本当に自分達でなにもサーバーを管理してい
アマゾンのマーケットプレイスに資料本を注文したところ、個人情報を勝手に調べ上げて攻撃材料にするとんでもない業者にでくわしました。
当方は通常の安売りだと思って注文したのですが、エラい目に遭いました。皆さん注文しないようにしてください。
ネットワークでなぜ遅延が生じるのか
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita
今回の脆弱性 CVE-2016-10033 CVE-2016-10045 CVE-2016-10074(Swift Mailer) 追記 2016/12/28 14:15 Postfixを使っていて、sendmailコマンドの代わりにPostfixのsendmailコマンドを使っている場合は、Postfixのsendmailコマンドが -X オプションを無視するようですので大きな影響を受けないと思います。ただ、別のオプションで違う脆弱性が発生する可能性もあるので、PHPMailerはアップデートしたほうが良いですね。 2016/12/28 15:35 PHPMailer5.2.18の修正を回避する新しい攻撃が見つかり、 CVE-2016-10045として登録されその攻撃方法も公開されてます。こちらはPHPMailer5.2.21で対応されています。 この攻撃は、PHPMailer5.2.1
世界征服のためのやさしい手引き
世界征服* のための やさしい手引き 規則だらけの世界で とてつもない生き方をする方法 *そしてその他の重要なゴール クリス・ギレボー* このレポートは完全に非営利目的のものであり、いかなるアフィリエイト・リンクも含まれていません。 * クリス・ギレボーの許可の下、塚越悦子および松本匡史が日本語版を作成しました。日本語版作成者に関する情報は、本書の最終ページをご覧ください。 A Brief Guide to World Domination Copyright © 2008 Chris Guillebeau. All rights reserved. Layout by Reese Spykerman 重要: もし君がプリンタを使える環境にあれば、 このレポートを印刷してほしい。 モニター上で読むよりも、 そのほうがもっといろいろなことを学べるだろう。 お気に入りのカフェへ持って行くときや
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【日本酒】純米至上主義VS醸造アルコール添加容認派【大論争】