VMware ESXとESXiに脆弱性--IPAとJPCERT/CC
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます VMware ESXとESXiにおいて、任意のファイルにアクセス可能な脆弱性が存在することが判明した。この脆弱性情報は、7月19日にJPCERTコーディネーションセンター(JPCERT/CC)が届け出を受けたもので、JPCERT/CCが製品開発者と調整した上で、情報処理推進機構(IPA)セキュリティセンターとJPCERT/CCが、両者が共同で運営する脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)において12月24日に公表した。 この問題について、開発者が提供する情報を基にパッチを適用するよう呼び掛けている。 影響を受けるシステムは以下の通り。 VMware ESXi 5.5 without pa
SQL識別子は結局どうすればよいか
今まで2回にわたって、SQL識別子のエスケープの問題を取り上げました。 間違いだらけのSQL識別子エスケープ SQL識別子エスケープのバグの事例 3回目となる本稿では、SQL識別子の取り扱いに関する問題を整理して、一般的な原則を導きたいと思います。 SQL文が動的に変化する場合のSQLインジェクション対策 「間違いだらけの…」で示したように、識別子エスケープが必要な局面でそれが洩れていると脆弱性の要因になることがありますが、それは外部から指定したデータにより、SQL文の構造が変化してしまい、アプリケーションの要件にないSQL呼び出しがなされてしまうからでした。 しかし、「間違いだらけ…」の後半で示したように、識別子のエスケープだけではセキュリティ問題を防ぐことはできず、情報漏洩を招いてしまいました。外部から任意のSQL識別子を指定できることが問題という結論でした。 上記のように、アプリケー
DB設計の難しさ
今日は徒然なるままにDB設計について思っていることを並べてみようと思う。 ようやくWEB+DB Pressの次号の原稿を書き終えた。2年間の連載であるが、来年はプライベートが忙しくなる予定なので、連載はこれにて終了とさせてもらうつもりである。 「なぜ人はリレーショナルデータベースを使いこなせないのか」 このところ執筆や講演を通じてリレーショナルモデルについて説明する機会を色々頂いているが、それらの活動の根源となっているのが、この素朴な疑問である。その疑問をパワーにしてこれまで活動を行なってきた。 現時点での自分の回答は「データベース設計が難しいから」である。もちろんリレーショナルモデルそのものの難しさというのもあるが、それよりは「適切な使い分けができていない」ということが大きいように思う。言葉を変えると、リレーショナルモデルを適用すべきデータとそうでないデータの判断ができていないからDB設
アーティストを指定してYouTube動画を視聴できるサービス「FMTube」 | ライフハッカー・ジャパン
Nintendo Switchの純正プロコンを異次元レベルの操作性に!使わない理由がない革新的アダプター
スキーマレスなオブジェクトたちからスキーマを推測するやつ - hitode909の日記
MongoDBなどはスキーマレスなデータベースであり,先にスキーマ決めなくても,何でもつっこめることになってる. データベースから見ればスキーマレスということでいいけど,アプリケーション的には,何が入ってるかちゃんと管理したい. 下の例では,AliceとBobでは持ってるフィールドがちがって,Bobはhobbyを持ってるけど,Aliceは持ってない. { name => 'Alice', age => 20, } { name => 'Bob', age => 21, hobbies => ['tennis', 'soccer'], } これくらいなら見れば分かるけど,長期間運用してて,結局何が入ってるのか分からない,みたいなことがあって,難しかった. オブジェクトをどんどん渡していくと構造を教えてくれるのを作った. hitode909/perl-object-classifier · G
英ロックバンドのアイアン・メイデン、ビッグデータを活用したユニークな手法で違法ダウンロードに対処 | All Digital Music
*文末に追記しました(12月28日6:00am) 違法ダウンロードの対処にも、こういうやり方が出来るんですね 世界を代表するイギリスのヘヴィメタルバンド「アイアン・メイデン」は、世界中から楽曲が違法ダウンロードされ、その対処に困っていたそうです。 そこで彼らは、違法ダウンロードした人を控訴するかわりに、最も違法ダウンロードが行われている国へ行き、そのエリアでライブを行うことにしました。 これまでネットでしか聴けなかったバンドがライブに来るということで、音楽ファンは大喜び、ライブはソールドアウトし、バンドはグッズ販売などから大きな収益を上げたそうです。 特にアイアン・メイデンが違法ダウンロードされていたのは南米で、バンドは主にこれらの国で重点的にライブ活動をしてきました。その結果、サンパウロではライブはソールドアウト、その日のライブだけでバンドは258万ドルの収益を上げたそうです。 アイアン
SQL識別子エスケープのバグの事例
昨日のエントリに続いてSQL識別子のエスケープの話題で、今回は著名アプリケーションにおけるSQL識別子のエスケープ処理のバグについてです。 MySQL Workbenchには識別子のエスケープに関するバグがあった 以下の画面は、MySQLが提供するMySQL Workbenchの旧バージョン(5.2.34)の様子です(CentOS6.5上で動作)。MySQL WorkbenchはWebアプリケーションではなく、下図からも分かるようにGUIツールです。 下図では a`b というテーブルの内容を表示しようとして、エラーが表示されています。 生成されているSQL文は下記の通りです。 SELECT * FROM `db`.`a`b`; これは駄目ですね。SQL識別子中に引用符がある場合は、引用符を重ねるのがルールでした。つり、正しくは以下であるべきです。 SELECT * FROM `db`.`a
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
