Javaサービスの90%が重大な脆弱性を抱えている――Datadog調査
Javaがセキュリティ強化のためのKey Encapsulation Mechanism (KEM) APIを導入
8月3日、JavaはKey Encapsulation Mechanism (KEM) APIの導入を発表しました。 このAPIの導入により、開発者はアプリケーションのセキュリティを強化するために暗号化プリミティブを使用することができます。 KEM APIはセキュリティプロバイダベースであり、アプリケーションにKEMアルゴリズムをシームレスに組み込むことができます。 2023年8月4日、OpenJDKはKey Encapsulation Mechanism (KEM) APIの導入を発表した。この新しい暗号化プリミティブは、開発者により安全なJavaアプリケーションの開発を支援するものであり、送信者と受信者が秘密鍵に合意する手段を提供する。鍵カプセル化メカニズムAPIの導入により、セキュリティ強化が可能となる。 Key Encapsulation Mechanism (KEM) APIとは
VPNアプリ「Swing VPN」が利用者をひっそりとDDoS攻撃に加担させていたことが判明
VPNアプリとして配布されている「Swing VPN」が、ユーザーの意図しないところでひそかにDDos攻撃を行っていることが判明しました。 Swing VPN app is a DDOS botnet | Greek geek https://lecromee.github.io/posts/swing_vpn_ddosing_sites/ 発見したlecromee氏によると、事の発端はlecromee氏の友人が「自分の携帯電話が数秒おきに特定のウェブサイトにリクエストを送信している」と訴えたことだったそうです。lecromee氏は当初「ウイルスに感染しているのでは」と思っていましたが、2分ほど調査したところ、すべてのリクエストはVPNサービスとして携帯電話にインストールされているSwing VPNからであることがわかりました。このアプリは友人が利用したことのない特定のウェブサイトにリクエ
Java SEに脆弱性 数が多く影響範囲広く 早急に対策を
Javaの基本的なAPIをまとめた「Oracle Java SE」に複数の脆弱性が見つかったとして、情報処理推進機構(IPA)とJPCERT/CCは1月18日、早急に修正パッチを適用するよう注意を呼び掛けた。 脆弱性が見つかったのは「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。 脆弱性の数が多く、攻撃された場合の影響が大きい。JPCERT/CCはJava SEを活用する製品を使っている場合もあるとして。利用中のPCやサーバに対象となる製品が含まれていないかも確認するよう促している。 関連記事 つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も 米ラ
続・Auth0 java-jwtを使った素のJWT認証 - 公開鍵方式でやってみた | 豆蔵デベロッパーサイト
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第25日目で今回が最後の記事になります🙌 Auth0 java-jwtを使った素のJWT認証では理解が比較的容易な共通鍵方式による仕組みを紹介しましたが、今回はその続きとしてRSAの公開鍵方式で同じことをやってみたいと思います。説明は前回の記事をなぞる形で進めて行くため、内容が重複する部分の説明は割愛します。行間が読めないところや「そこもうちょっと説明を」などといったところがある場合は前回の記事を確認していただければと思います。 なお、記事はサンプルアプリの必要な部分の抜粋を記載しています。全量を確認したい、または動作させてみたい方は説明に使用したコードを一式GitHubリポジトリにアップしていますので、そちらを参考にしてください。 JWTの用語についてJWT認証で使われる文字列は正しくはJWS(JSON Web Signatur
Oracle Javaに脆弱性 IPAが注意「攻撃時の影響大きい」
Oracle社から2022年4月、プログラミング言語「Java」を使った基本的な開発・実行環境を備えた「Java SE」に関する脆弱性が公表されています。情報処理推進機構(IPA)などが「攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください」と注意を呼びかけています。 脆弱性とは 総務省の公式サイトによると、脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。 マルウェア感染や個人情報漏洩…サイバー攻撃による損害費用はいくら 今回見つかった脆弱性「CVE-2022-21449」とは 今回見つかった脆弱性には、「CVE-2022-21449」と共通脆弱性識別子が付けら
Java Authentication and Authorization with Apache Shiro--an airhacks.fm podcast : Adam Bien's Weblog
Oracle Java の脆弱性対策について(CVE-2020-14664等) | アーカイブ | IPA 独立行政法人 情報処理推進機構
※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョンのチェックが行えます。こちらからご利用ください。 概要 Oracle 社が提供する Java SE には脆弱性が存在し、攻撃者に悪用されると、任意のコード(命令)が実行され、コンピュータを制御されるおそれがあります。 同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 14.0.1 Oracle Java SE 11.0.7 Oracle Java SE 8 Update 251 Oracle Java SE Embedded 8 Update 251 Oracle Java SE 7 Update 26
Apache Tomcatの脆弱性(CVE-2020-1938)を狙ったと思われる8009/tcpへのアクセス増加
概要 2020年2月24日にApache Software FoundationからApache Tomcatの脆弱性(CVE-2020-1938)情報が公開されました。これは、Apache JServ Protocol(AJP)に関する脆弱性です。AJPとは、Apache Tomcatと通信を行うためのプロトコルであり、例えば、HTTPサーバ(Apache HTTP Server)とアプリケーションサーバ(Apache Tomcat)を連携する際に用いられます。この場合、HTTPリクエストをApache HTTP Serverで受け取り、Javaで動的な処理が必要となるものをApache Tomcatで実行する構成になります。なお、Apache TomcatもHTTPサーバとしての機能を備えており、標準で8080/tcp(HTTP)及び8009/tcp(AJP)を使用する設定となっていま
Java いまふたたびのJDBC
この記事は Java Advent Calendar 2018 の 9 日目のエントリーです。 流行をとらえた話題が多いなか、10~15年前感のあるコンテンツです。化石です。 しかし化石とはいえ、よく使う技術ではあります。 ということで、何気なく使ってたけど改めて勉強し直しました。 検証バージョンjava 1.8.0_181JDBCドライバ postgresql 42.2.5PostgreSQL 10.5 自前ビルド検証環境Java動作環境 Windows 10 Pro ver.1803CPU 4コア(Hyper-Vと共用)RAM 16GB(うち、Hyper-Vへ8GB割り当て)Intel Core i5-4690 CPU 3.50GHzSSDPostgreSQL動作環境 Hyper-V 仮想インスタンスCentOS Linux release 7.1.1503 (Core)CPU 4コア
Spring BootでWebセキュリティを設定しよう
サンプルアプリケーションの概要 サンプルアプリケーションは、図1に示す通り、郵便番号と住所データを提供する簡単なアプリケーションです。 今回は管理者を想定したWeb側からのアクセスに対してBasic認証と任意のヘッダ値をチェックする2種類のセキュリティ設定を行う方法について説明します。 通常、APIサーバの場合には、APIキーやAPIシークレットキーなどを用いてトークンをリクエストヘッダに設定するといった使い方が多いです。 図1:サンプルアプリケーションのイメージ Spring Security Web(1) Webでのセキュリティを扱う場合には、Filterなどを使って自分で作成することも可能ですが、セキュリティ関連のトレンドについていきながら安全なアプリケーションを維持するのは難しいことでもあります。 しかし、Spring Security Webを使えば簡単に図2に示すようにWebア
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「macOS Sonoma 14.4.1」が公開 ~Javaがクラッシュする問題が修正/任意コード実行の脆弱性2件にも対処
Oracle、387件の脆弱性に対処 ~「Java」で5件、「VirtualBox」で3件、「MySQL」で37件/今年最後の定例セキュリティアップデート「Critical Patch Update」を実施
Apache Tomcatに保護されていない認証情報の送信の脆弱性 | ScanNetSecurity
Oracle Javaの複数バージョンで脆弱性 急ぎアップデートを
10 Java security best practices | Snyk
「HtmlUnit」に任意のコードが実行可能な脆弱性、IPAとJPCERT/CCが更新呼び掛け 
Oracleの定例セキュリティパッチ、「Java SE 13.0.2」など公開 
未経験の底辺アラサーがJavaエンジニアに転職して役立った知識 - Qiita
Securing Services with Spring Cloud Gateway