後からこの件について知りたくなった方のために反響・関連発言をまとめました。 (発言をまとめただけで特に結論的なものはありません。)
EC-CUBE脆弱性 公開中止関連反響まとめ
後からこの件について知りたくなった方のために反響・関連発言をまとめました。 (発言をまとめただけで特に結論的なものはありません。)
EC-CUBEで発見した脆弱性の詳細 前編
本件はEC-CUBEに関しての一番最初の届出だったのですが、再現方法が複雑で、自分の説明がうまくなかったのもあって、IPAの方と話がうまくかみ合わず苦労した覚えがあります。 これはPostgresを利用しているEC-CUBEの上記バージョンにおいて、不正なUTF-8文字コードをリクエストに含めるとエラーが発生し、エラーメッセージとして、PHPSESSIDに紐づいているPHPセッションオブジェクトに入っている情報の先頭680バイト部分(長さは環境による)が、ユーザーのブラウザ上で暴露されてしまう、という脆弱性と、そのエラーメッセージのダンプにタグを含ませることができ、XSSが可能、という脆弱性です。 再現に使ったPostgreSQLのバージョンは9.2.3で、MySQL利用のEC-CUBEだと再現せず、またEC-CUBE2.12.3では同様の攻撃を行っても情報は出力されませんでした。 当時使
情報処理推進機構:情報セキュリティ:脆弱性対策:脆弱性関連情報の届出
IPAでは、以下の脆弱性関連情報の届出を受付けています。 (1) ソフトウエア製品脆弱性関連情報 OSやブラウザ等のクライアント上のソフトウエア、ウェブサーバ等のサーバ上のソフトウエア、プリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てください。脆弱性そのものの情報以外にも、検証方法や攻撃方法、回避方法などについての情報についても届出を受付けます。 (2) ウェブアプリケーション脆弱性関連情報 インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届け出てください。 脆弱性とは 脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフト
追記7月16日 【山と溪谷社より】不正アクセスによる会員情報漏洩のお詫びとご報告 | 山と溪谷社 新着情報 | 山と溪谷社
2015/07/16 不正アクセスによる会員情報漏洩のお詫びとご報告 この度、弊社が運営しております「涸沢フェスティバル特設サイト」(http://special.yamakei.co.jp/karasawa/)のウェブサーバを経由して、ヤマケイオンラインの会員データベース・サーバに対して外部から不正アクセスがあり、サーバ内の一部情報が取得された旨が判明いたしました。この不正アクセスにより取得された情報は以下の通りです。 1)漏洩が確認された会員情報 ヤマケイオンライン会員データ 580 件 対象項目 : メールアドレス 579件、パスワード(暗号化済) 1件 2)内容 不正アクセスの内容については、「脆弱性を利用した不正アクセスが行われ、弊社データベース・サーバ内の一部情報を取得されている」旨の情報提供を情報セキュリティ団体〔JPCERTコーディネーションセンター(以下JPCERT)〕よ
Oracle DBに未解決の脆弱性、研究者が手違いで詳細情報を公開
米Oracleが4月17日に公開した定例クリティカルパッチアップデート(CPU)をめぐり、データベースの脆弱性情報を提供した研究者とOracleとの間で情報の行き違いが発生、実際には脆弱性が修正されていないにもかかわらず、修正されたと思い込んだ研究者が詳しい情報や攻撃方法などを公開してしまう事態が起きた。 米セキュリティ機関のSANS Internet Storm Centerなどによると、問題の脆弱性はOracle Database Serverの「TNS Listener」というコンポーネントに存在するもので、この研究者が2008年にOracleに報告していた。 研究者は、Oracleが17日に公開したCPUの中に情報提供者として自分の名があったことなどから、この脆弱性が解決されたと考え、翌18日にセキュリティメーリングリストのFull Disclosureに寄せた投稿で詳しい情報を公
JVN#51216285: DBD::mysqlPP における SQL インジェクションの脆弱性
DBD::mysqlPP は、MySQL のクライアントインターフェースを提供する Perl モジュールです。DBD::mysqlPP には、SQLインジェクションの脆弱性が存在します。 DBD::mysqlPP を使用しない 開発者によると、「DBD::mysqlPP は、ジョークプログラムとして作成されたものであり、プライベートな利用や MySQL 通信プロトコルの読解を助ける用途にのみ利用し、それ以外の用途においては同一の API を持つライブラリである DBD::mysql 最新版の使用を推奨する」とのことです。 DBD::mysql については、以下のページをご参照ください。 DBD::mysql http://search.cpan.org/dist/DBD-mysql/
はてなブログ | 無料ブログを作成しよう
新米と秋刀魚のわた焼き お刺身用の秋刀魚を買いました。1尾250円です 3枚におろして、秋刀魚のわたに酒、味醂、醤油で調味して1時間ほど漬け込み、グリルで焼きました 秋刀魚のわた焼き わたの、苦味が程よくマイルドに調味され、クセになる味わいです 艶やかな新米と一緒に 自家製お漬物 土…
iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない - ockeghem's blog
iモードブラウザ2.0では、同一ドメインであっても、iframe内のコンテンツがJavaScriptにより読み出せないよう制限が掛かっていることを確認しましたので報告します。 【追記】元の内容には、重大な事実誤認がありました。正確には、同一ドメイン・同一ディレクトリであれば読み出せます。詳しくは追記2をご覧ください。 きっかけ ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された - 徳丸浩の日記(2010-02-22)にて既に紹介したように、twitter.comの日本のケータイ向けフロントエンドであるtwtr.jpにDNSリバインディング脆弱性があったことを確認・報告し、直ちに修正されました。このエントリの中に、以下のように書いています。 すぐに確認作業が終わるだろうと思っていたが、意外なところで失敗した。ログイン
IE 6使い続ける英政府、「移行は多額の税金使う」
英政府「IE 6使い続ける」 Internet Explorer(IE)6の撲滅を求める声が高まっているが、英国政府はまだ同ブラウザを使い続けるつもりだ。同国政府は、政府機関で使っているIE 6をアップグレードするよう求める嘆願書に対し、「ノー」という回答を示した。IE 8への移行は「大がかりな仕事」になり、「多額の税金を使う」可能性があるからだという。「IE 6を使い続けながら、ファイアウォールやマルウェア検知ソフトなどのセキュリティ対策を使う方が、多くの場合コスト効率が高い」と英政府は述べている。嘆願書はWeb企業Inigo Mediaのディレクター、ダン・フリードマン氏が提出したもので、6000人以上が署名した。 IE 6はリリースから9年が経過しており、セキュリティや互換性などの理由から、同ブラウザのサポートを打ち切る動きが進んでいる。フランス政府とドイツ政府は国民にIE 6を使わ
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開 | スラド セキュリティ
セキュリティ研究者らが Microsoft のゼロデイ脆弱性の詳細を相次いで公開している (Softpedia の記事、本家 /. 記事より) 。 この一週間にゼロデイの脆弱性は、IIS 5.1 のディレクトリ認証の回避や、Windows Vista/2008 のカーネルレベルへの権限昇格、ROP (Return Oriented Programming) / ASLR 回避の攻撃に繋がる発見が公開されている。 また、6 月上旬に Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、いくつかの産業界などが集まり Microsoft-Spurned Researcher Collective (MSRC) を結成したとのこと。自分たちが
セブン&アイ、ネットの「誤算」:日経ビジネスオンライン
2009年12月8日に誕生した「セブンネットショッピング」。オープン直後から価格表示ミスなど、トラブルが相次いだ。消費不振の中、セブン&アイの新たな成長基盤になれるか。 「年内は1日も休めなかった」。幹部からはそんなため息が聞こえる。セブン&アイ・ホールディングスのEC(電子商取引)サイト、セブンネットショッピングに携わる社員は、年末年始も気が休まらなかったに違いない。 「“流通クラウドポータル”を目指す」。セブンネットショッピング社長の鈴木康弘氏がそう豪語する中で誕生した通販サイト。2009年12月7日、東京・四ツ谷のセブン&アイ・ホールディングス社内の会見場は、突然の告知にもかかわらず記者や関係者で埋め尽くされた。 ネットユーザーの指摘は厳しい 書籍から食品、日用雑貨に至るまで11のカテゴリー、500万品目の商品を揃え、2011年末までには1000万品目を扱うサイトにする--。総合ネッ
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
伊藤 彰嗣 / ITO Akitsugu on Twitter: "脆弱性のコード上の修正方法が公開されているOSSでも、CVSSでいう「攻撃される可能性(E) 」が上がる脆弱性の PoC 公開されることは許容できないという事例として参考になります。ベンダーが事前に脆弱性の発見者にどの情報までは公開してよいかを明確にするのが望ましいのでしょうね。"
[PDF] IPA 平成26年度業務実績報告書 - 000047682.pdf
[PDF] IPA「脆弱性情報ハンドリングシステム開発」に係る一般競争入札 入札説明書
Twitter / 谷川薫莉: 一緒にいた営業が、「LASDECの脆弱性診断などで指 ...
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
ソフトバンク端末100機種以上にJavaScript関連の不具合