オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される | スラド セキュリティIT Mediaの記事によると、オランダのSSL認証局であるDigiNotarの認証局インフラに対する不正侵入が発覚し、これによりGoogle.comを含む多数のSSL証明書を不正に発行してしまったそうだ。/.でも取り上げられている。 同様の事件は、今年の3月にComodo Groupでも発生している。
GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 | スラド セキュリティ
以前、GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明という話題があったが、誤ってGitHub上で公開状態にされているAmazon Web Services(AWS)の秘密鍵を使って、不正に仮想サーバーのインスタンスを立ち上げて大量の請求を行わせたり、またユーザーの環境を操作・破壊するという攻撃が発生していることが報告されている(ITnews、slashdot)。 AWSはAPIを使って外部プログラムやスクリプトから操作が可能だが、この際に秘密鍵を使った認証を行う。逆にいうと、この秘密鍵情報が分かればユーザー名やパスワードが分からなくてもAWS上のリソースの操作が可能になってしまう。 Amazon側はこれに対し、セキュリティガイドラインに従って認証情報は注意して管理してほしいと述べている。
Apacheに新たな脆弱性発見 | スラド セキュリティ
ストーリー by hylom 2009年06月23日 15時12分 Slowlorisはワシントン条約で保護されている小型のサルだそうで 部門より Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6.0、 IIS7.0、およびlighttpdでは確認されていないとのこと。 SA
総務省、オプトアウトメールを全面禁止の方針? | スラド セキュリティ
日経の記事になっているが、 総務省が、受信者の同意を得ない広告や宣伝など迷惑メール、いわゆるオプトアウトメールの送信を全面的に禁止する 方針を固めたとのことである。 現在の特定電子メール法では、広告や宣伝メールには「未承諾広告※」と表示したりするわけだが、 そもそもオプトアウトをやめて、全面的にオプトインということのようだ。 方針に沿えば、通信会社には悪質業者の情報提供が求められ、違反業者への罰則も重くなるとのこと。 全面オプトインということになると、ネットでの飛び込み営業なんてのは消えてしまいそうだ。 総務省としては、特定電子メール法改正案を今国会に提出するということだが、日経の記事だけでは どうもどこまでが禁止となるかが、いまいちつかめない。 総務省の 迷惑メール関係施策のページに 迷惑メールへの対応の在り方に関する研究会の情報が載っているが、 この関連で法案が出てくるのだろうか。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
