bash の危険な算術式 - どさにっき
■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し
mod_ssl 設定 2013/3 版 - どさにっき
2013年3月26日(火) ■ mod_ssl 設定 2013/3 版 _ 注: わしゃ暗号は素人です。 _ ここ最近の流れ。 2011/9 BEAST: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ 2012/9 CRIME: 圧縮機能を使うと解読されやすくなるよ 2013/2 Lucky 13: CBC モードの暗号はうまいことごにょごにょすると解読されやすくなるよ こんな感じで CBC でないストリーム暗号の RC4 を使うべき的な風潮になってきたところで、今月になって RC4 にも穴(*1)が発表されてちゃぶ台をひっくりかえされる。ということで、安全な設定について考える。Apache mod_ssl で。 _ えーと、まず、RC4 については現時点ではどうしようもない(?)っぽいので、捨てる方向で考える。先月まではとりあえず RC4 を強制しとけ、でも許さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
