後からこの件について知りたくなった方のために反響・関連発言をまとめました。 (発言をまとめただけで特に結論的なものはありません。)
EC-CUBE脆弱性 公開中止関連反響まとめ
後からこの件について知りたくなった方のために反響・関連発言をまとめました。 (発言をまとめただけで特に結論的なものはありません。)
EC-CUBEで発見した脆弱性の詳細 前編
本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分(長さは環境による)が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使
総務省|非常勤職員採用情報 情報流通行政局(情報流通振興課情報セキュリティ対策室)
以下に掲げる事項について高い専門性や十分な知見を有している者 情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有すること。 情報通信技術の動向に関する情報収集・分析に必要な知識、経験を有すること。 情報セキュリティに関する情報収集・分析に必要な知識、経験を有すること。 パソコン操作(EXCEL、WORD等による資料作成)ができること。 なお、以下に該当する方は、応募できませんので御了承ください。 日本国籍を有しない者 国家公務員法第38条の規定により国家公務員になることができない者 成年被後見人、被保佐人 禁錮以上の刑に処せられ、その執行を終わるまで又は執行を受けることがなくなるまでの者 一般職の国家公務員として懲戒免職の処分を受け、当該処分の日から2年を経過しない者 日本国憲法又はその下に成立した政府を暴力で破壊することを主張する政党その他の団体を結成し、又はこれに加入した
piyokango on Twitter: "先ほどはてなより連絡があり、バイドゥ株式会社が削除申立を取り下げするとのことです。記事内容を再度検討し、権利侵害とは言い難いと判断されたそうです。 この取り下げに基づき予定していた記事の削除を取りやめます。 関係者の皆様、ご心配くださった皆様、大変ありがとうございました。"
先ほどはてなより連絡があり、バイドゥ株式会社が削除申立を取り下げするとのことです。記事内容を再度検討し、権利侵害とは言い難いと判断されたそうです。 この取り下げに基づき予定していた記事の削除を取りやめます。 関係者の皆様、ご心配くださった皆様、大変ありがとうございました。
piyokango on Twitter: "はてなからの連絡が正確ではなかったので補足します。 申立に基づいて連絡をしたもので、削除に同意できない場合は詳細理由を連絡してほしい、7日以内に削除、連絡がなければ、プライベートモードとする場合もあるというものです https://t.co/YvfcuauN1o"
はてなからの連絡が正確ではなかったので補足します。 申立に基づいて連絡をしたもので、削除に同意できない場合は詳細理由を連絡してほしい、7日以内に削除、連絡がなければ、プライベートモードとする場合もあるというものです https://t.co/YvfcuauN1o
piyokango on Twitter: "バイドゥ株式会社より、2013年のIMEの問題をまとめた記事が名誉毀損、業務妨害に相当するため削除申立があったと、はてなより連絡を受けました。 https://t.co/80gWXPSRoQ"
バイドゥ株式会社より、2013年のIMEの問題をまとめた記事が名誉毀損、業務妨害に相当するため削除申立があったと、はてなより連絡を受けました。 https://t.co/80gWXPSRoQ
情報処理推進機構:情報セキュリティ:脆弱性対策:脆弱性関連情報の届出
IPAでは、以下の脆弱性関連情報の届出を受付けています。 (1) ソフトウエア製品脆弱性関連情報 OSやブラウザ等のクライアント上のソフトウエア、ウェブサーバ等のサーバ上のソフトウエア、プリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てください。脆弱性そのものの情報以外にも、検証方法や攻撃方法、回避方法などについての情報についても届出を受付けます。 (2) ウェブアプリケーション脆弱性関連情報 インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届け出てください。 脆弱性とは 脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフト
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
追記7月16日 【山と溪谷社より】不正アクセスによる会員情報漏洩のお詫びとご報告 | 山と溪谷社 新着情報 | 山と溪谷社
2015/07/16 不正アクセスによる会員情報漏洩のお詫びとご報告 この度、弊社が運営しております「涸沢フェスティバル特設サイト」(http://special.yamakei.co.jp/karasawa/)のウェブサーバを経由して、ヤマケイオンラインの会員データベース・サーバに対して外部から不正アクセスがあり、サーバ内の一部情報が取得された旨が判明いたしました。この不正アクセスにより取得された情報は以下の通りです。 1)漏洩が確認された会員情報 ヤマケイオンライン会員データ 580 件 対象項目 : メールアドレス 579件、パスワード(暗号化済) 1件 2)内容 不正アクセスの内容については、「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供を情報セキュリティ団体〔JPCERTコーディネーションセンター(以下JPCERT)〕よ
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | キングソフト、無料ウイルス対策ソフトとして"初"の試み!フィッシング対策協議会と提携したフィッシング対策機能を提供
キングソフト株式会社(代表取締役社長:翁永飆、本社:東京都港区 以下、キングソフト)は、無料セキュリティソフト『KINGSOFT Internet Security 2014』において、フィッシング対策協議会(運営事務局:一般社団法人JPCERTコーディネーションセンター)よりフィッシングサイトのURL情報の提供を受け、フィッシングサイト対策機能の提供を開始いたしました。 この度の提携により、キングソフト独自のデータベースとフィッシング対策協議会から提供される情報を合わせ、毎月月間1,000件程度の国内外のフィッシング詐欺サイトの判定が行えるようになります。 これにより、『KINGSOFT Interntet Security 2014』は、日本国内や欧米、アジアなどで被害が報告されているフィッシングサイトを判定し、ユーザーのPCをフィッシング詐欺の脅威から保護する事ができるようになります
絶対に入れちゃダメ!76万人個人情報流出の「全国電話帳アプリ」が「全国共有電話帳アプリ」として復活 - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
これはヤバイ! 76万人もの個人情報を漏洩させた『全国電話帳』が名前を変え『全国共有電話帳』として復活
76万人もの個人情報を漏洩させた『全国電話帳』アプリが名前を変え、『全国共有電話帳』として復活しています。 全国共有電話帳 - Google Play の Android アプリ ★ 全国共有電話帳で検索可能な電話帳データベースの充実のために、アプリ利用者の端末の電話帳とGPSの情報をデータベースサーバーに送信し、利用します。 ★ どうやら昨年末には復活していたようで、作者が以下のようなツイートをしていました。 復活した「全国共有電話帳」 play.google.com/store/apps/det… 今回は説明通り取得したデータをどんどん検索可能にしています。さらに最新の電話帳データも投入します。 — 鳥取ループさん (@tottoriloop) 12月 31, 2012 「今回は説明通り取得したデータをどんどん検索可能にしています」というのは先日不起訴となった「The Movieアプリ
おすすめ製品のご案内
※本ページに記載の契約とは、ウイルスバスター ライセンス契約を指します。※記載価格は税込価格です。※以下の製品については契約期間無料延長の対象外となります。以下の製品で更新お手続きをご希望の方はこちら。ウイルスバスター クラウド + デジタルライフサポート プレミアム 契約1年版/ウイルスバスター クラウド + デジタルライフサポート プレミアム 契約2年版/ウイルスバスター クラウド契約1年版/ウイルスバスター クラウド契約2年版 *1:トレンドマイクロ・オンラインショップにおける、ウイルスバスター クラウド + デジタルライフサポート プレミアム(以下「サポート契約」といいます)サポート契約1年版更新を通常価格(税込8,360円)で3回行った場合の総額(税込25,080円)と、サポート契約3年版更新の場合の通常価格(税込17,820円)の差額(税込7,260円) *2:1台にOSがひと
全文起こしの件に関しまして
Hiromitsu Takagi @HiromitsuTakagi うわあ。こんな一言一句でレポートされるとは……。http://t.co/o2Vz5Prg 冒頭でお断りした「勤務先は強制夏休みで、今日は休暇中。仕事ではなく個人の高木として話すのでいろいろ言えます」と話した部分を省略されるのはちょっとつらいな。 2012-08-23 10:30:46 ゆかたん/岡田有花 @yukatan 面白かったが、タイトル冒頭はこの記事の本質とまったく関係なかった…:「日本人の男は9割9分ロリコンなんですよ」と語る「もしドラ」作者の岩崎夏海、その徹底したミリオンセラーを狙うための秘訣とは? - GIGAZINE http://t.co/MGLNSHjE 2012-08-23 10:32:29 Mill Yoshi @ntheweird 事務局が全文起こしはなしって言って、わかったっつうのにコレだもんな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
伊藤 彰嗣 / ITO Akitsugu on Twitter: "脆弱性のコード上の修正方法が公開されているOSSでも、CVSSでいう「攻撃される可能性(E) 」が上がる脆弱性の PoC 公開されることは許容できないという事例として参考になります。ベンダーが事前に脆弱性の発見者にどの情報までは公開してよいかを明確にするのが望ましいのでしょうね。"
[PDF] IPA 平成26年度業務実績報告書 - 000047682.pdf
[PDF] IPA「脆弱性情報ハンドリングシステム開発」に係る一般競争入札 入札説明書
辻 伸弘 (nobuhiro tsuji) on Twitter: "Flashの脆弱性を利用する攻撃を調べているのですが日本だけではなくトルコ的なところでも起きているっぽいですね。(アドレス的には日本っぽい)この一連の攻撃を個人的にOperation Cinematic Turquoiseと呼ぶことにしますよ。ターコイズの色って青っぽいですし。"
一連のサイバー攻撃に新証拠 中国系組織が関与か - 日本経済新聞
piyokango Mk-IIさんはTwitterを使っています: "おい、竹村!"