Thankfully it's very easy to tell whether it's real. If anyone can publish the two, non-trivial factors of this number (where neither is 1!) then they'll have my attention: 0xe5c30e1286c41c7137dc06194199dde641120de591c1b7392de35ef6a961d6d29faa3bcdb7603d42768a90322197a7a46fa2cf23f6f10de5554db6e7322ba35e858f576f840347c795c8782c3f4ef9f530d2fd1f6b5c275ce49404958f0decddd0b53386d12c745891d5eeca1f265bdf8
》 個人情報を含むメール誤送信と対応について (龍谷大学, 10/30) 龍谷大学では、2014年10月23日(木)17時頃、10月25日(土)から2日間にわたり実施しました理工学部研究室公開の運営補助をおこなう本学学生アルバイトである理工学部および大学院理工学研究科の学生105名に対し、事務連絡をする際に、理工学部および大学院理工学研究科の学生2,634名分の個人情報(生年月日を除く、氏名、住所、電話番号、メールアドレスなど)を含んだメールを誤って送信しました。 うわー orz どうしてそうなった……。 これを受け、本学では、学外への個人情報流出という事態を防ぐため、学生アルバイトに、個人情報を含む、誤送信したメールの削除を至急依頼し、2014年10月26日(日)午前に、すべての処理の完了を直接本人と対面して確認するとともに、2,634名の学生に対して、流出した個人情報の内容を通知しお詫
Filesadvisory-108.txt (signed advisory file) xsa108.patchAdvisory-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Xen Security Advisory CVE-2014-7188 / XSA-108 version 4 Improper MSR range used for x2APIC emulation UPDATES IN VERSION 4 ==================== Public release. ISSUE DESCRIPTION ================= The MSR range specified for APIC use in the x2APIC access model spans 256 MSRs. Hypervisor cod
Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。 そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatra' require 'securerandom' get '/' d
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的
There is apparently a vulnerability (CVE-2014-6271) in bash: Bash specially crafted environment variables code injection attack I am trying to figure out what is happening, but I'm not entirely sure I understand it. How can the echo be executed as it is in single quotes? $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" vulnerable this is a test EDIT 1: A patched system looks like
NOTE: malware is now using this as their User-agent. I haven't run a scan now for over two days. I'm running a scan right now of the Internet to test for the recent bash vulnerability, to see how widespread this is. My scan works by stuffing a bunch of "ping home" commands in various CGI variables. It's coming from IP address 209.126.230.72. The configuration file for masscan looks something like:
This article was originally published on the Red Hat Customer Portal. The information may no longer be current. Update 2014-09-30 19:30 UTC Questions have arisen around whether Red Hat products are vulnerable to CVE-2014-6277 and CVE-2014-6278. We have determined that RHSA-2014:1306, RHSA-2014:1311, and RHSA-2014:1312 successfully mitigate the vulnerability and no additional actions need to be ta
会社のコンピューターは、使い方を一歩間違えると解雇につながることもあります。職場でありがちな10の間違いを紹介します。 多くの人の一日は、コンピューターを起動するところから始まります。しかし、コンピューターの使い方を一歩間違えると職を失うかもしれない、ということを自覚している人はほとんどいません。過ちの原因は、時として単なる不注意です。入社時に厳格なセキュリティ規約に署名していても、規約は守られず意識もされていません。ルールに違反すれば大事に至るという考えが、頭の中にないのです。では、会社のコンピューターを使う上での御法度とはどんなものか、見ていきましょう。 1. USBメモリを使ってデータを持ち出す:会社のデータをUSBメモリに移して持ち帰り、自宅のコンピューターで使う(またはその逆)という行為は、当たり前のように思えるかもしれません。しかし、この一見何も支障がなさそうな行為が、深刻な事
攻撃手法を技術的に理解するための連載、第2回目はバッファーオーバーフローを狙う「スタック」への攻撃を解説します。 連載目次 スタックベースの攻撃を知る 第2回では、バッファーオーバーフローの代表的な手法である、スタックベースの攻撃について取り上げます。なお、ここで取り上げる内容は、現在はマイクロソフトのSecurity Science teamの一員である、Matt Millerの「A Brief History of Exploitation Techniques & Mitigations on Windows」をベースとして記載しています。 スタックベースの攻撃、特にスタックオーバーフローは、現在では古典的な攻撃手法です。マイクロソフトが公表している「Security Intelligence Report Volume 16」によれば、現在はスタックベースの攻撃はほとんど見られない
送り間違えたメールを1通、削除させて――。米投資会社のゴールドマン・サックスがニューヨーク州裁判所にそんな申し立てをした。契約業者がメールの宛先を打ち間違え、顧客情報の入った社外秘メールを別人のGメールに誤送信したという。 ロイター通信によると、ゴールドマンの契約業者が6月下旬、社外秘のメールを送ろうとした際、宛先の最後をゴールドマンの「gs・com」ではなく、米検索大手グーグルが管理する「gmail・com」と打ち間違えた。メールには顧客の証券取引口座に関する機密情報が含まれていたという。 ゴールドマンはこのメールアドレスの所有者に接触を試みたものの返事がなく、「不必要な個人情報の漏洩(ろうえい)を防ぐには緊急措置が必要」としてグーグルの担当部署に削除を要請。しかしグーグルは、裁判所命令がなければGメールの削除はできないと返答したため、グーグルにメールの削除命令を出すよう裁判所に申し立て
先般弊社ソリューション「JISSENスマートオース」の紹介サイト(http://www.jissen-cl.co.jp/smartauth)に掲載しておりました以下文面について、多数の方より取得情報の取り扱いについてご指摘を頂きました。 *************************************** 〜取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります〜 例えばプレゼントキャンペーンやキャラクターの人気投票において 不正アクションを防ぎながら、当選通知をメールではなく より開封率の高いSMSで実施するといった展開も出来ます。 他にも取得した電話番号を活用してオンライン上のユーザー行動データから 見込み客を抽出して電話をかける等、アイディア次第で様々な活用が出来ます。 *************************************** こちら多く
Vulnerability in Internet Explorer Could Allow Remote Code Execution Published: April 26, 2014 | Updated: May 1, 2014 Version: 2.0 General Information Executive Summary Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS14-021 to address this issue. For more information about this issue, including download links for an available security update,
した後、依存しているサービスをリスタートしてOKです。 opensslのバージョンが1.0.1eになったままになっているけど、パッチは当たっているから大丈夫だよって書いてあります。 Versionのところがopenssl-1.0.1e-37.66.amzn1以上かだけチェックはした方が良さそうです。 The updated package is openssl-1.0.1e-37.66.amzn1 Please note that even though this package is still named openssl-1.0.1e, it does contain the patches that were made available upstream for CVE-2014-0160.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く