X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響 - ITmedia エンタープライズ
LinuxのGUIインタフェースに使われているX.OrgのXサーバに特権昇格の脆弱性が発見され、主要Linuxディストリビューションがセキュリティ情報を公開している。 10月25日に公開されたX.Orgのセキュリティ情報によると、脆弱性は、X.Org Xサーバのコマンドラインパラメータの不適切な検証に起因する。Xサーバが高い権限で実行されている場合(例えば「setuid」でインストールされるなど)、特権を持たないユーザーがこの問題を突いて権限を昇格したり、任意のファイルを上書きしたりできてしまう恐れがある。 Red Hatでは、物理コンソール経由でシステムにログインできる特権のないユーザーが、特権を獲得してroot権限で任意のコードを実行できてしまう可能性を指摘している。 この脆弱性は、X.Org Xサーバ1.19およびそれ以降のバージョンに存在する。危険度は共通指標CVSSのベーススコア
IBMがLinuxのRed Hatを340億ドルで買収へ ハイブリッドクラウド強化 - ITmedia NEWS
米IBMは10月28日(現地時間)、Linuxデュストリビューター大手の米Red Hatを買収すると発表した。買収総額は約340億ドル(約3兆8038億円)で、取引は2019年下半期に完了の見込みだ。 買収完了後、Red HatはIBMのハイブリッドクラウドチーム下の独立ユニットとして存続する。Red Hatのジム・ホワイトハースト社長兼CEOはIBMの幹部チームに参加し、IBMのバージニア(ジニ)・ロメッティCEO直属になる。 この買収により、両社は「クラウドへのオープンなアプローチを提供し、複数のクラウドにわたる前例のないセキュリティと可搬性を実現」し、IBMを「1兆ドル規模の成長市場であるハイブリッドクラウドのトッププロバイダーにする」としている。 IBMにとって過去最大規模の買収になる。米CNBCによると、米国のテクノロジー業界としても、2001年のAOLとTime Warnerの
一問一答完全収録 NTTグループのブロッキング、なぜ実施?
NTTグループの通信事業者3社(NTTコミュニケーションズ・NTTドコモ・NTTぷらら)が、マンガや動画の「海賊版(無断転載)」サイトに対するブロッキングを実施する方針を発表した。 →NTTグループ3社、「漫画村」など海賊版サイトをブロッキングへ この方針は、政府が打ち出した「インターネット上の海賊版サイトに対する緊急対策(案)」(PDF形式)に基づく措置。しかし、この手法はブロッキングを“する”側が法的リスクを負うなど、問題点もある。 そもそも「ブロッキング」とは何なのか。そして、それの何が問題なのか。そして、NTTグループはなぜ自らにリスクが降りかかるような方針を取るのだろうか。 「ブロッキング」とは? ブロッキング(Blocking)は、その名の通り何らかの手段で、ユーザーがリクエストしたサイト(接続先)に接続させない措置のことで、主に以下の方法がある。 パケットフィルタリング プロ
世界最大のDDoSサービスが摘発される 月額わずか15ユーロで攻撃実行
「webstresser.org」を利用すれば、ITに詳しくなくても、特定の標的を狙ってDDoS攻撃を仕掛けることが可能だった。 欧州刑事警察機構(ユーロポール)は4月25日、世界最大規模のDDoS(分散型サービス妨害)サービスを展開していた「webstresser.org」を摘発し、欧州各地の警察が複数の管理人を逮捕したと発表した。 発表によると、今回の事件ではオランダと英国の警察が「Operation Power Off(パワーオフ作戦)」を主導。英国、クロアチア、カナダ、セルビアを拠点とする管理人を逮捕した。さらに、オランダやイタリア、香港などでwebstresser.orgのサービスを利用していたユーザーを摘発するとともに、米国やドイツなどでインフラを押収した。 webstresser.orgは世界最大のDDoSマーケットプレースを展開していたとされ、登録ユーザーは13万6000人
「炎上」対策会社をネットウォッチャーが立ち上げた理由
2018年4月1日、新会社「MiTERU」の設立案内が届いた。「炎上したくない」というニーズに応える会社だという。代表取締役はネットウォッチャーとして知られる、おおつねまさふみさん。アルファブックマーカーotsune、「おちゅーん」のニックネームで知られるネット有名人だ。otsune伝説なるものまである。「ウォッチャーだから"見てる"なのか。しゃれてるけどエイプリルフールとしてはどうよ」と疑問だったのだが、どうも本気の発表だという。 おおつねさんと公私ともにパートナーである東智美さん(自身の会社、トーモでiPhone用人気ケースRAKUNIをヒットさせており、cheeroのDANBOバッテリーの発案者でもある)、元AppBankのCFOだった廣瀬光伸さんという新会社の中心メンバー3人に設立の意図を聞いた。 「簡単に説明すると、"半年ROMれ"をすぐにお手伝いしますということです」とおおつね
Google、URL短縮サービス「goo.gl」を2019年3月30日に終了へ
米Googleは3月30日(現地時間)、2009年に開始したURL短縮サービス「Google URL Shortener」(goo.gl)の提供を終了すると発表した。 同日から、同日までにURL Shortner APIsにアクセスしたことのあるユーザー以外は新規に短縮URLを生成できなくなる。APIにアクセスしたユーザーは、1年後の2019年3月30日までは利用できるが、この日にAPIが終了する。生成済みの短縮URLは2019年3月30日以降も実際のURLにリダイレクトする。 終了の理由は、同社のスマートURL「Firebase Dynamic Links」(FDL)へのシフト。Firebase Dynamic Linksのサイトによると、「Dynamic Linksは、既存のユーザーと潜在的ユーザーをiOSまたはAndroidアプリ内の任意の場所に誘導できるスマートなURL」という。
Microsoft Edgeに未解決の脆弱性、Google Project Zeroが詳細を公表
米GoogleのProject Zeroチームが、Microsoft Edgeの脆弱性に関する詳しい情報を同チームのページに掲載した。最初の報告から90日が経過すると自動的に詳細を公表するという独自のルールに従い、Microsoftによる脆弱性の修正を待たずに公開に踏み切った。 Project Zeroによると、今回の脆弱性を悪用した場合、Edgeのセキュリティ機能「Arbitrary Code Guard(ACG)」をかわし、任意のコード実行といった攻撃が可能になるという。ただし、攻撃を成功させるためには、まず別の脆弱性を突く必要があることから、危険度は「中程度」と評価している。 Microsoftには2017年11月17日に報告していたが、2018年2月15日の時点で、「当初予想していたよりも修正が難しく、(Googleが決めた)2月の期限に間に合わない公算が大きい」とMicrosof
脆弱性対策パッチの導入中止を――「リブート問題」でIntelが呼び掛け
米Intelの脆弱性対策パッチをインストールした一部のCPU搭載マシンでリブートが増える不具合が確認された問題で、Intelは1月22日、現在出回っているパッチの導入を中止するよう、メーカーやエンドユーザーに呼び掛けた。 Intelは「Meltdown」「Spectre」と呼ばれるCPUの脆弱性が発覚したことを受け、1月上旬までにOEMなどを通じて対策パッチを配信した。ところがこのパッチが原因でリブートが増える不具合が報告され、IntelはBroadwell、Haswell、Skylake、Kaby Lakeの各CPUを搭載したマシンで問題を確認していた。 1月22日の時点では、このうちBroadwellとHaswellの問題について、根本の原因を突き止め、アップデートの初期バージョンを業界パートナー向けにリリースしてテストを行っているという。テストが完了次第、正式リリースを予定している。
PEZYのスパコン、20ペタFLOPS達成 世界3位相当
ベンチャー企業のPEZY ComputingとExaScaler(東京都千代田区)は12月13日、2社が共同開発した大規模液浸型スーパーコンピュータ「暁光」(ぎょうこう)が、実行性能で世界3位(国内1位)、エネルギー消費効率で世界4位(国内4位)に相当する性能を達成したと発表した。1249キロワットの消費電力で20.41ペタFLOPS(1秒間当たりの浮動小数点演算回数が1兆の2万倍)を実現した。 計測に使用した暁光は、CPU1万個(総プロセッサ数1986万コア)、総メモリ容量680TBで、理論性能では約28ペタFLOPSに達するという。今回の結果は、年に2回発表されるスーパーコンピュータのシステムランキング「TOP500」(2017年11月時点)での順位で世界3位、電力効率のランキングである「Green500」(2017年11月時点)での順位で世界4位に相当する。
「爆速すぎて笑う」 表示速度が“異常な”Webサイト「dev.to」 その仕組みは
「爆速すぎて笑う」「速すぎて逆に不安になるレベル」――「dev.to」という米国のWebサイトの表示速度が異常に速いと、ネット上で話題だ。なぜ速いのか、サイト創設者のベン・ハルパーンさんがサイト内の記事で説明している。 2016年にオープンしたdev.toは、プログラマーが情報を交換したり、議論したりできるコミュニティーサイト。トップページにはユーザーが投稿したブログ記事のタイトルやコメントが、SNSのタイムラインのように並んでいる。このトップページの表示にかかる時間、各記事をクリックしたときのページ遷移が“一瞬”なのだ。 なぜ速いのか。ハルパーンさんが17年2月に投稿したブログ記事によれば、米Fastlyが提供するCDN(Content Delivery Network)を活用している。CDNは世界中にキャッシュサーバを分散配置し、ユーザーごとに最も(ネットワーク的に)近いサーバにキャッ
新幹線に無料の無線LAN JR東・西が導入
JR東日本とJR西日本はそれぞれ11月7日、無料の公衆無線LANサービスを、新幹線に導入すると発表した。2018年夏ごろから順次、提供を始める。訪日外国人向けに整備したが、メールアドレスを登録すれば誰でも利用できる。 東北新幹線「E5系」、上越・北陸新幹線を走る「E7系」(W7系)、秋田新幹線「E6系」でそれぞれ始める。携帯電話の電波を使用しているため、トンネル内や山間部では利用できないことがあるとしている。 新幹線で無線LANが利用できるサービスとしては、JR東海が2009年から開始しているが、利用者は事前にキャリアと契約する必要がある。キャリアとの契約不要で誰でも無料で利用できるサービスは初。 関連記事 訪日外国人向け無料Wi-Fi、東西・千代田線に拡大 20年夏までにメトロ全線へ 東京メトロが、訪日外国人向けの車両内無料Wi-Fiを東西線と千代田線に順次導入する。 東京メトロ・都営地
WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。 脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。 Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に取り組み、加盟するメンバー企業が使用できる脆弱性検出ツールを提供、メーカー側にも必要なパッチを迅速に提供で
Adobeセキュリティブログ、秘密鍵掲載しちゃった
PGP(Pretty Good Privacy)はメールの暗号化に使われるプログラムで、公開鍵で暗号化し、受信者が秘密鍵を使って復号する。 ところが一般に公開してはならないはずの秘密鍵が、公開鍵と一緒にAdobeのPSIRTブログに掲載されているのを、フィンランドのセキュリティ研究者ユホ・ナーミネン(Juho Nurminen)氏が9月22日に発見した。 ナーミネン氏から連絡を受けてすぐ、Adobeは問題の投稿を削除して、鍵を失効させたという。同氏は鍵が失効されたことを確認して、Adobeのブログに掲載されていた秘密鍵のスクリーンショットをTwitterに掲載した。 Adobeは9月25日、メディア各社に寄せたコメントで手違いがあったことを認め、「問題のPGP鍵は失効させ、新しい公開鍵と秘密鍵を発行した。問題のPGP鍵は外部のセキュリティ研究者とAdobeセキュリティチームとのメールのやり
Apache Strutsに重大な脆弱性、直ちに更新を
Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモ
「マストドンが日本だけ流行ってるのはロリコンのせい」 MITメディアラボのレポート
MITのメディアラボと市民メディアセンターに所属するイーサン・ザッカーマン氏によるブログは、英文メディアとしてはひさびさにマストドンを取り上げたものだ。 Mastodon is big in Japan. The reason why is… uncomfortable しかし、その中身がまあひどい。 マストドンがBig in Japan、つまり日本でだけ人気なのはロリコンのせいだというのだ。 ザッカーマン氏がこのブログを書いたのは、なぜマストドンユーザーの69%が日本なのかということを知りたかったためだという。 BACK TO THE FUTURE:THE DECENTRALIZED WEB 筆者らが関わった、100ページを超えるこの調査レポートのマストドンに関わる部分の多くは、5月末に「マストドンについて読んでおくべき4本の英文記事と見ておくべき1本の動画」で取り上げたマシュー・スカラ
Google Chromeの人気拡張機能に不正なコード混入、作者にフィッシング詐欺攻撃
「Web Developer for Chrome」がハッキングされ、不正なコードを仕込んだバージョンがアップロードされてしまっていた。 米GoogleのWebストアで提供されている、Chromeブラウザ向けの拡張機能「Web Developer」が何者かにハッキングされ、不正なコードを仕込んだバージョンがアップロードされる事件が起きた。作者は8月2日、更新版を公開してユーザーにアップデートを促している。 Web Developerは各種のWeb開発ツール用のボタンをブラウザに表示するためのツールバーで、作者は米ソフトウェアエンジニアのクリス・ペデリック氏。英語版のユーザーは100万を超えている。 ペデリック氏は8月2日、Twitterで「Web Developer for Chromeのアカウントが不正侵入され、ハッキングされたバージョンの拡張機能(0.4.9)がアップロードされた」と伝
Microsoftは“UI音痴”なのか?
あれ? UIが変わった? いつものツールはどこ?――Windowsユーザーなら、きっとそんな戸惑いを持ったことがあるはず。そこで、あえて言わせてもらいます。Microsoftの“UI/UX音痴”について。 ちょっと怒っています。Microsoftの“UI/UX音痴”に、です。4月に「Windows 10」の大型アップデート(Creators Update)が公開されたのですが、そのときMicrosoftが、また“やらかしてくれた”のです。 メニューの構成が変わり、「コントロールパネル」が見つからなくなったのです。それまでは、スタートボタンを右クリックして表示されるメニューの中にコントロールパネルがあったはずなのですが、「ないな……」と思って調べたところ、この記事を発見して分かったのです。なくなってはいませんでしたが、とても見つけづらいところに移動していました。 どうやらコントロールパネルの
「VALU」やめました やめるのは、とても大変でした
話題のネットサービス「VALU」。「よく分からないけど、面白そうだし、もうかりそう!」――そう思って飛びついてしまった筆者は、その数週間後、激しく後悔し、やめる方法を模索し始めた。 「行きは良い良い、帰りは怖い」。そんなメロディが、筆者の頭をこだましている。 VALUを「やめる」、2つの意味 VALUには(1)VALUを売る、(2)VALUを買う――の2つの参加方法があります。この記事では(1)に焦点をあて、「VALUをやめる」=「VALUを売ることをやめる」「VALUが売れた後にやめる」の意味でレポートします。 VALUは、今年5月31日にスタートしたばかりの、金融とITを融合した「FinTech」と呼ばれるサービスの1つだ。誰でも自分の「価値」を売り出し、それを他人に買ってもらえる――というものだ。 ユーザーは、「VALU」と呼ばれる模擬株式を発行し、ほかのユーザーに買ってもらえる。上
Linuxなどにローカル権限昇格の可能性、管理者権限取得に利用される恐れも
セキュリティ企業のQualysは6月19日、LinuxなどのUNIX系OSに存在するメモリ管理の脆弱(ぜいじゃく)性に関する詳細を公開した。同社はこの脆弱性を「Stack Clash」と命名。攻撃に利用されればメモリ破損を誘発され、任意のコードを実行される恐れもあると解説している。 Qualysによると、Stack Clashの脆弱性は、Linux、OpenBSD、NetBSD、FreeBSD、Solarisの各OSで影響が確認されており、他のOSも影響を受ける可能性がある。 Stack Clashという名称は、各プログラムがコンピュータ上で利用するスタックと呼ばれるメモリ領域に由来する。各プログラムが必要とするスタックメモリが増えると、この領域は自動的に増大するが、増大し過ぎて別のメモリ領域に過度に接近すると、異なるメモリ領域のスタックとの間で衝突あるいはクラッシュが起きて、脆弱性が発生
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired