プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
Microsoftによると、2015年代以前のプロセッサを搭載したPCや、Windows Serverでは、対策パッチを適用すると、パフォーマンスに相当な影響が出ることが分かった。 IntelやAMDなどの主要プロセッサに「Meltdown」「Spectre」と呼ばれる脆弱性が発覚した問題で、米Microsoftは1月9日、対策パッチがWindowsマシンのパフォーマンスに及ぼす影響についての調査結果を公表した。 この脆弱性に対処するため、Microsoftは9日までに、現在サポートしているWindowsの45エディションのうち、41エディションについてWindows Update経由で対策パッチを配信。残るエディションについても近くパッチを配信する予定としている。 こうした対策パッチがPCやサーバのパフォーマンスに与える影響については、Microsoftのベンチマークテストの結果、「20
MS15-034で修正されたHTTP.sysの脆弱性 CVE-2015-1635についてまとめてみた。 - piyolog
2015年4月のMicrosoftが公開した更新プログラム MS15-034で修正されたHTTP.sysの脆弱性について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 無し アイコン 無し CVE CVE-2015-1635 発見者名 “…the Citrix Security Response Team…” MSは協調的な脆弱性の公開を通じて情報を得たと発表。 HTTP.sys が特別に細工された HTTP リクエストを誤って解析した場合に、HTTP プロトコル スタック (HTTP.sys) にリモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、システム アカウントのコンテキストで任意のコードが実行される可能性があります。 この脆弱性の悪用には、攻撃者が特別な細工をした HTTP リクエストを影響を受けるサーバーに送信する必要があり
届け出が急増するDOM Based XSS
2012年10月~12月において、IPAにDOM Based XSSの脆弱性に関する届出が急増した。日本語で解説された資料が少ないDOM Based XSSの脆弱性について2回に分けて解説する。第1回ではDOM Based XSSの脆弱性について概要や対策が必要なアプリについて解説し、第2回ではコードを交えての対策方法を解説する。 XSSの脆弱性とは? DOM Based XSSとは、XSS(cross-site scripting:クロスサイト・スクリプティング)の脆弱性の一種である。まずは、XSSの脆弱性について解説する。 XSSの脆弱性とは、端的に言えば「攻撃者が用意した不正なJavaScriptをWebページに埋め込める問題の一つ」である(図1)。不正なJavaScriptを埋め込む方法は何パターンか存在するが、ここでは説明を割愛する。 これはつまり、攻撃者が悪意のあるJavaSc
旧バージョンの Parallels Plesk Panel の利用に関する注意喚起
各位 JPCERT-AT-2013-0018 JPCERT/CC 2013-04-08 <<< JPCERT/CC Alert 2013-04-08 >>> 旧バージョンの Parallels Plesk Panel の利用に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130018.html I. 概要 JPCERT/CC では、サーバ上に不正な Apache モジュールが設置されたことに より、Web サイト閲覧時に意図しない JavaScript が挿入される Web 改ざん に関する報告を多数受けています。改ざんされたサイトを閲覧した場合、結果 としてユーザの PC がマルウエアに感染する可能性があります。 弊センタ―にて入手した情報によると、これらのサイトでは、サポート期限 切れのバージョンを含む旧バージョンの Parallels Ples
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。 ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。 US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしま
mod_proxy_ajpなどに含まれる脆弱性を修正したApache HTTP Server 2.2.22リリース | OSDN Magazine
Apache HTTP Server Projectは1月31日、「Apache HTTP Server 2.22.2」を公開した。セキュリティ問題およびバグ修正がメインのリリースで、重要なセキュリティ問題6件の修正も含まれている。 2.2.22は2005年に公開されたバージョン2.2系の最新版で、2011年9月にリリースされた2.2.21以来のリリースとなる。mod_proxy_ajpやmod_rewrite、mod_aliasといったモジュールに修正が加えられており、一定のリバースプロキシ設定においてリモートから任意のサーバーにリクエストを送ることができる場合がある問題、ap_pregsubのinterger overflowにおいて設定によってはローカルユーザーがサーバー権限を得ることができる問題など、6件のセキュリティ問題が修正されている。 Apache HTTP Serverは現
PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等):IPA 独立行政法人 情報処理推進機構
ウェブアプリケーション等で使用されている言語 (PHP, Ruby 等) やウェブアプリケーションフレームワーク (Apache Tomcat 等) のハッシュテーブルの実装方法に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。この脆弱性が悪用されると、運用中のウェブサービスを提供できなくなるなどの被害にあう可能性があります。 攻撃に悪用可能な情報が公開されているため、至急、アップデートを実施して下さい。 ・Apache Tomcat Apache Tomcat 7.0.22 およびそれ以前のすべてのバージョン Apache Tomcat 6.0.34 およびそれ以前のすべてのバージョン Apache Tomcat 5.5.34 およびそれ以前のすべてのバージョン ・Ruby Ruby 1.8.7-p352 およびそれ以前のすべてのバージョン ・Microsoft .NET
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UPnPのオープンソースライブラリに脆弱性、数千万台に影響