Everything I Know About the XZ Backdoor
Everything I Know About the XZ Backdoor stateevergreeninblogtagsopen-sourcedate3/29/2024licenseCC BY-SA 4.0This publication was last updated at 12:49 PM EST on April 8th Recently, a backdoor was discovered in XZ, a popular library for lossless data compression. Initial research efforts were predominantly concentrated on unpacking the well-disguised attack vector, while the social aspects of the at
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
LINE Pay、約13万人の決済情報が「GitHub」で公開状態に グループ会社従業員が無断アップロード
LINE Payは12月6日、13万3484アカウントの一部決済情報がソースコード共有サイト「GitHub」上で閲覧できる状態になっていたと発表した。すでに情報は削除しており、該当ユーザーへ個別に案内。現時点ではユーザーへの影響は確認されていないという。 国内ユーザーで5万1543アカウント、海外を含めると13万3484アカウントが対象。閲覧できた情報は、LINE内でユーザーを識別するための識別子(LINE IDとは異なる)、システム内で加盟店を識別する加盟店管理番号、キャンペーン情報の3点。氏名、住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていない。 決済情報の該当期間は、2020年12月26日から21年4月2日まで。情報が閲覧できる状態だったのは、21年9月12日午後3時13分頃から11月24日午後6時45分まで。期間中、外部からのアクセスは11件確認
ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明
オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。 php.internals: Changes to Git commit workflow https://news-web.php.net/php.internals/113838 PHP's Git server hacked to add backdoors to PHP source code https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
(お詫びと訂正)Android版COCOAがバグった理由 - DEVGRU
2021/02/06 21時35分 追記 参照したGoogleの資料が古く、現在はAppleと同じ仕様になっております。 先日報じられた不具合の原因はこちらのIssueと思われます。 訂正が遅くなり申し訳ありません。 調べたらそれっぽいのがわかったのでメモ。 広告 報道発表の時期から、原因はこのコミットだと思われる。 怪しいのはこの変更。 - MinimumRiskScore = 1, + MinimumRiskScore = 21, (Minimum)RiskScore の定義を調べると、Google と Apple で異なる。 Appleの場合 Google の場合 https://www.blog.google/documents/68/Android_Exposure_Notification_API_documentation_v1.2.pdf Apple は0~8の整数値を取る
GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く
三井住友銀行(SMBC)が1月29日、同行のシステムに関するソースコードが流出したことを明らかにした。業務委託先のSE(システムエンジニア)らしき人物が、ソースコードから年収を診断できるWebサービスを利用。その際、自身がSMBCなどの委託で開発したコードを、ソースコード共有サービス「GitHub」に公開したことが原因という。 ソースコードの中には、SMBCに加えてNTTデータ ジェトロニクスに関係するとみられる記述もあった。問題の指摘があったTwitterでは、28日深夜に「GitHub」「SMBC」などがトレンド入りした。 流出したコードの中にはセキュリティに影響を与えるものはなく、SMBCとNTTデータ ジェトロニクスはそれぞれ「顧客情報の流出には影響がない」「単独では悪影響を与えるものでない」と説明している。 今回の事態に対し、ネット上では「これを機にGitHubの利用やテレワーク
TokusiN on Twitter: "本人はSMBCとの間に何の契約も結んでいない。所属していた会社は倒産している。SMBCが訴えられるのは、直接取り引きをしていた企業ということになるのだが、既に存在しない以上訴えることが出来ない。この構図によって契約上の問題は発生していない。"
本人はSMBCとの間に何の契約も結んでいない。所属していた会社は倒産している。SMBCが訴えられるのは、直接取り引きをしていた企業ということになるのだが、既に存在しない以上訴えることが出来ない。この構図によって契約上の問題は発生していない。
GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」
三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま
勝手に公開されたものは「公表」されていない - 西尾泰和の外部脳
「公表されたものは引用することができる」と著作権法32条に定められているが、著作権者でない人によって勝手に公開されてしまった場合はどうなるか? 著作権法による公表の定義が「著作物は、発行され、又は者Xによつて上演、演奏、上映、公衆送信、口述若しくは展示の方法で公衆に提示された場合...において、公表されたものとする。」で、者Xとは「権利を有する者、若しくはその許諾...を得た者、若しくは...」なので、権利を有しない者によって勝手に公開されたものは公表されていない。 第四条 著作物は、発行され、又は第二十二条から第二十五条までに規定する権利を有する者若しくはその許諾(第六十三条第一項の規定による利用の許諾をいう。)を得た者若しくは第七十九条の出版権の設定を受けた者若しくはその公衆送信許諾(第八十条第三項の規定による公衆送信の許諾をいう。次項、第三十七条第三項ただし書及び第三十七条の二ただし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft 365 Apps 利用時に p1.aprimocdn.net への通信が発生する
The Disappearance of an Internet Domain
COCOA v1.4.0 が起動しない · Issue #517 · cocoa-mhlw/cocoa
transmission_risk_levelの値について · Issue #14 · cocoa-mhlw/cocoa
ねむねむ on Twitter: "11月にはCOCOAの公式開発サイトに「Androidだと絶対に通知が出ないよ」とバグ報告を上げた人がいたけど完全に無視されており、 じゃあ公式開発サイトは誰も見ていないのかというと1/5にはわざわざ「ここに報告されても対応できま… https://t.co/t197SjuSsh"
45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう