6th Edition of the Hacker Powered Security Report is available for download Get your copy today!
富士通Japanは5月9日、神奈川県川崎市のコンビニの証明書交付サービスで、他人の戸籍謄本が発行された問題について、原因を公表した。 「2カ所のコンビニで、2人の住民が同一タイミング(1秒以内)で交付申請した際に、後続の処理が先行する処理を上書きしてしまう」プログラムのバグが原因だったという。 このプログラムは川崎市以外では使われておらず、他の自治体で起きた問題と原因は異なる。バグは既に修正・入れ替えたとしている。 富士通Japanの証明書交付サービスは、全国200弱の自治体に導入されているが、川崎市の他、横浜市、東京都足立区で、他人の住民票の写しを誤って発行するなどの問題が発生。それぞれ別のプログラムが原因であることが分かっている。 河野太郎デジタル大臣は5月9日の記者会見で、同システムの一時停止を富士通Japanに要請したと発表。同社は9日付のニュースリリースで、「サービスの総点検は既
In this short note I'll describe a bug I found in Chrome recently. It allowed to set arbitrary headers in cross-domain requests. @insertScript recently found a very similar bug in Adobe Reader plugin but it turns out you can still expect those bugs in browsers themselves. Why is it serious? Because you can use it to inject any request headers, including ones on which security decisions are based,
Theme 第 35 回のテーマは Security の Bug Bounty 編です。 今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。 報告する側 ハンターは何を見ているか ハンターにとっての報告制度 報告しやすさ CSP と脆弱性 バグハントを始めたい人へ 報告される側 なぜ報奨金制度を行うのか プラットフォームと自前運営 評価の難しさと CVSS 成立するが CSP でブロックされるバグはどう扱うか 報奨金制度を始めたい人へ これらを踏まえ、 Web セキュリティで 今何が起きているのか、 これからどうなっていくのか について議論しました。 Show Note 脆弱性報奨
As you may have read, Parity issued a security advisory today to inform its users and developers about a bug that got “accidentally” triggered which resulted in freezing more than $280M worth of ETH, including $90M belonging to Parity’s Founder & Ethereum former core developer: Gavin Woods. How long has this bug been around for?As Dan Guido points out, this new vulnerable contract has been deploye
こんにちは、技術部の遠藤(@mametter)です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、Ruby や RubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke
エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。 概要 GoDaddy社は米国のホスティング(レンタルサーバー)やレジストラの大手で、認証局(CA)の事業も手がけています。 GoDaddyが発行するドメイン認証証明書の認証手続きに不備があったとして報告されています。 In a typical process, when a certificate authority, like GoDaddy, validates a domain name for an SSL certificate, they provide a random code to the customer and ask them to p
バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日本のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit時
セキュリティの専門家が錦糸町の小さな会社についたとき、JVNに一人のバグハンターが乗っていた。 JVNの中には数種のXSSが載せられていた。 そのセキュリティ専門家はバグハンターにバグの品質を褒めて、見つけるのにどれくらい時間がかかったのか尋ねた。 バグハンターは答えた。 「ほんの少しの間さ」 「何故、もう少し続けてもっとバグを見つけないのかい?」 「これだけあれば、家族が食べるのには十分だ。」 「でも、君は残った時間に何をするんだい?」 バグハンターは答えた。 「朝はゆっくり目を覚まし、少しXSS探しをして、社長たちと遊び、同僚の隆と昼寝し、夕方にはFacebookを散策し、はてブを味わい、アミーゴ(仲間)とTwitterで呟くのさ。それで人生は一杯さ。」 セキュリティ専門家は小馬鹿にし、 「私はCDIの上級分析官を取得しててね、きっと君を助けることが出来ると思うよ。」 「君は、もっとバ
いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。 Google Program Rules – Application Security – Google facebook Security Bug Bounty - Facebook Etsy(ハンドメイド商品のマーケットプレイス) Announcing the Etsy Security Bug Bounty Program « Code as Craft Barracuda Networks(セキュリティ機器) Barracuda Networks Security Bug Bounty Program Yandex(ロシアのGoogle的な。今年モスクワのオフィスに遊びに行かせて頂きました。)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く