Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。 この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。 Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをr
現在開催されている、AWS Summits 2018 | San Franciscoにおいて、AWS Secrets Managerが発表されました。 AWS Secrets Manager: Store, Distribute, and Rotate Credentials Securely | AWS News Blog 2018年4月9日更新 AWS Secrets Managerを学ぶ時に便利なリソースや、概要、構造、チュートリアルなどをまとめた記事を公開しました。こちらも合わせて御覧ください。 機密情報を一元管理できる「AWS Secrets Manager」とは?概要と主要機能、動作原理、各種リソースまとめ __ (祭) ∧ ∧ Y ( ゚Д゚) Φ[_ソ__y_l〉 Secrets Managerダワッショイ |_|_| し'´J AWS Secrets Mana
Today, we’re excited to share the first native support for gRPC traffic, released in NGINX Open Source 1.13.10. NGINX Plus Release 15 includes gRPC support as well as the support for HTTP/2 server push introduced in NGINX 1.13.9. NGINX can already proxy gRPC TCP connections. With this new capability, you can terminate, inspect, and route gRPC method calls. You can use it to: Publish a gRPC service
マネーフォワードは2月22日、自動家計簿・資産管理サービス「マネーフォワード」、ビジネス向けクラウドサービス「MFクラウドシリーズ」において、三菱東京UFJ銀行が提供する参照系APIとの連携を開始すると発表した。 今回の連携により、三菱東京UFJ銀行の法人向けインターネットバンキング「BizSTATION」ならびに、個人向けインターネットバンキング「三菱東京UFJダイレクト」の利用者は、IDやパスワードを預けることなく、「マネーフォワード」、ビジネス向けクラウドサービス「MFクラウドシリーズ」(MFクラウド会計、MFクラウド確定申告、MFクラウド経費、MFクラウド消込)において、残高情報や入出金履歴などが確認できるようになる。 なお、2月1日より法人口座の参照系APIとの連携を開始しており、同APIを利用する際には、三菱東京UFJ銀行の認証基盤(Oauth2.0準拠)を用いて認証される。マ
本日はメルマガとnoteの日。noteは単体だと108円ですが年間のマガジンだと3980円なのでかなりお得になります。マガジンがオススメです。w 1 はあちゅうのセクハラ騒動に対する見解 2 問屋や仲卸との関係維持のため、直販はやめるべき? 3 若者向けECショップの今後の展開について 4 ヒツジ的プログラマーの友人へアドバイス 5 パーソナルトレーニングジムの可能性はあるか 6 子育てにおけるデジタルデバイスとの付き合い方 です。まぐまぐ!または、スマホで読む方はnoteでお買い上げいただけます。関係ないですがついでにInstagramもフォローしていただけると喜びます。 みなさん、こんにちは。昨晩から物凄い勢いで仮想通貨が暴落しています。 Bitcoin、Ethereumその他ほとんど全ての暗号通貨が暴落 210万超えてたビットコインはあれよあれよという間に100円切り間近に・・・ G
MicrosoftのSkypeには独自のSkypeプロトコルが採用されており、暗号化がどのように実装されているのかなどが明らかではなく、セキュリティ面に不安があるという指摘がされていました。しかし、Microsoftは新しいチャット機能「Private Conversations」でSignalプロトコルを採用し、エンドツーエンドで暗号化されることになりました。 Skype Insider Preview // Private Conversations - Microsoft Community Signal >> Blog >> Signal partners with Microsoft to bring end-to-end encryption to Skype https://signal.org/blog/skype-partnership/ Microsoftは最新のSky
お正月に筆者陣にてAmazon Web Services 業務システム設計・移行ガイドの最終校正をおこなっていました。これで私の作業は終わりで、後はいよいよ発売を待つ限りです。発売日は、2018年1月20日の予定です。目次も確定したので、細かい部分含めて公開します。 Amazon Web Services 業務システム設計・移行ガイドの目次 Chapter1 AWSサービスの概要 1-1 AWSとは AWSのサービスの特徴 AWSとオンプレミスの違い ・所有と利用 ・キャパシティ設計 ・クラウドサービスの見分け方 AWSのメリット ・スモールスタートで始められて、駄目だったら捨てられる ・インフラ構築のスピードを加速できる ・事前に多めのリソースを確保する必要がなくなる ・AWSのメリットは、「早めに失敗する」が可能なこと 1-2 AWSのサービスの全体像 AWSの基本的な考え方 リージョ
米Intelは1月4日(現地時間)、前日に影響を認めたプロセッサの脆弱性「Meltdown」と「Spectre」の対策の進捗について発表した。既に同社が過去5年以内に製造した大部分のプロセッサ製品の更新プログラムを発行しており、この作業は来週末までに90%達成する見込みという。 米GoogleのProject Zeroチームなど複数の研究者が発見したこれらの脆弱性は、プロセッサの“仕様”を悪用すればコンピュータ内の機密情報を抜き出せるというもの。Intelだけでなく、AMDやArmのプロセッサも影響を受ける。また、PCだけでなく、AWSなどのクラウドサービスで使うサーバ、IoT端末など、様々な製品が影響を受ける可能性がある。 Spectreについては対策が難しく、完全に阻止する手段は今のところ見つかっていないという。Intelは上記の更新プログラムについて「双方の脆弱性に対する免疫を高める
米アマゾン ウェブ サービス(AWS)と米マイクロソフトは2018年1月3日(米国時間)、プロセッサ(CPU)に関わる深刻なセキュリティの脆弱性が明らかになったとする報道に対し、自社のパブリッククラウドサービスでの対応状況を公開した。 マイクロソフトはクラウドサービス「Microsoft Azure」のセキュリティブログにおいて、顧客に対し「Azureのインフラの大半は既にこの脆弱性に対処するために更新された」としている。 AWSのセキュリティ関連サイトでは、この脆弱性を「米インテル、米AMDおよび英アームのような近代的なCPUで、20年以上にわたって存在しているもの」と説明。「EC2(仮想マシンサービス)全体のインスタンスのうち、再起動が必要な割合は一桁台のパーセンテージで、その他は既に保護されている」という。 アマゾン ウェブ サービス ジャパンによると「対象顧客には個別にメールで通知
どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ(4chan.org、TechCrunch)。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。 影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社
Amazon Elastic Container Service for Kubernetes (EKS)とAWS FargateAWSDockerkubernetesFargateeks 本記事は個人の意見であり、所属する組織の見解とは関係ありません。 AWS re:Invent 2017のKeynoteにおいて、Amazon EKSが発表されました。 Amazon Elastic Container Service for Kubernetes (Amazon EKS) は、Kubernetes クラスターのインストールと運用を自分で行うことなく、Kubernetes を AWS で簡単に実行できるようにするマネージドサービスです。 https://aws.amazon.com/jp/eks/ この記事では、同じくre:Inventで行われたCON215: Intro to Amazo
はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、なぜWAFを導入するのかを考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI-DSS対応があげられています。 その他にも、組織の規定上導入しなければならないといったケースがあります。 Webアプリケーションに大きな影響を与える脆弱性が話題になる事があります。 Apache Struts2の脆弱性は記憶に新しいかと思います。 脆弱性対策として、WAFをお考えの方も多いのではないでしょうか。 脆弱性対策としてのWAFはあくまで支援ツール アプリケーション、ミドルウェア、OSの脆弱性
Serverless Aurora: What it means and why it's the future of data AWS had their annual re:Invent conference last week (missed it? Check out our full recap). AWS Lambda started the Serverless movement by releasing Lambda at re:Invent 2014. But the Lambda releases this year were run-of-the-mill incremental improvements—higher memory limits, concurrency controls, and of course, Golang support (coming
こんにちは、臼田です。 今回はAWS WAFの神アップデートであるManaged Ruleを利用して、Wordpressの脆弱性に対する攻撃を防いでみたいと思います。 WAFマネージドルールって何? 今回発表されたAWS WAFの新機能で、下記に速報があります。 【速報】AWS WAFがサードパーティーのマネージドルールに対応しました! #reinvent そもそもWAFマネージドルールって何がいいの? マネージドルールがこれまでのAWS WAFのルールより優れている点は大きく2つあります。 ルールを自分で管理しなくていい これまでAWS WAFでは、攻撃に対する防御に利用するルールは自分で作成する必要性がありました。 例えば防御したいサイトに対して、SQLインジェクションの防御用のコンディションを作成し、コンディションにフィルターを追加し、コンディションをルールに適用して利用します。 こ
Microsoft、ソフトウェアのセキュリティテストに機械学習を適用するニューラルファジング研究を推進:システムが過去の経験から学習し、脆弱性発見を支援 Microsoftの研究者は、機械学習とディープニューラルネットワークをソフトウェアのセキュリティ脆弱性発見に利用する「ニューラルファジング」という研究プロジェクトを進めている。初期の実験では有望な結果を示している。 Microsoftの研究者は2017年11月13日(米国時間)、機械学習とディープニューラルネットワークを活用して、ソフトウェアのセキュリティ脆弱(ぜいじゃく)性を発見する新しい方法を開発した、とブログで明らかにした。この新しい方法は、システムが過去の経験から学習し、バグをより効果的に除去できるように支援する。「ニューラルファジング」と呼ばれるこの新しい研究プロジェクトは、従来のファジング技術の強化を目的とし、初期の実験では
17年前に作成され、現在もシステム内に残っている「Microsoft Office」向けの実行ファイルに、遠隔でコードを実行される脆弱性が存在することが判明し、Microsoftがパッチをリリースした。この脆弱性は、「Windows 10」が備えている最新のエクスプロイト緩和機能のいずれによっても保護されていなかった。 セキュリティ企業Embediの研究者が発見したこのバグは、Office向けの古いツール「Microsoft Equation Editor」(数式エディター)内に存在する。このツールの実行可能ファイルである「EQNEDT32.EXE」は、2000年に作られて以来、一度も改定されたことがなかった。 このツールはOfficeドキュメントに数式を挿入するために使われていたが、「Office 2007」以降は不要になっていた。Embediでは、Microsoftが後方互換性を確保す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く