Binary Hacks Rebooted
河田 旺、小池 悠生、渡邉 慶一、佐伯 学哉、荒田 実樹 著、鈴木 創、中村 孝史、竹腰 開、光成 滋生、hikalium、浜地 慎一郎 寄稿 TOPICS Programming 発行年月日 2024年08月 PRINT LENGTH 660 ISBN 978-4-8144-0085-0 FORMAT Print PDF EPUB 本書は低レイヤのプログラミングに関するHack集であり、2006年に発行された『Binary Hacks』の再構築版として書かれました。低レイヤとは抽象化の度合いが低く計算機と近いレイヤのことを指し、またHackとは巧妙な方法で問題を解決する手法を指します。現代のコンピュータシステムは重層的です。抽象化のレイヤを重ねることで発展し、無数の機能が実現されています。これらのレイヤは巧みに設計されているため、機能を利用するだけなら各レイヤの動作を詳細に知る必要はあり
台湾でサイバーセキュリティのコンサルティングサービスを提供しているDEVCOREは2024年6月6日(現地時間)、PHPに緊急度が「緊急」(Critical)に分類される重大なセキュリティ脆弱(ぜいじゃく)性が存在すると伝えた。 PHPに発覚した新たなセキュリティリスク この脆弱性はWindows OSにインストールされている全てのバージョンのPHPに影響を及ぼし、認証されていない攻撃者がリモートから任意のPHPコードを実行する可能性がある。Windowsの文字エンコード変換を処理するベストフィット機能に問題があり、攻撃者はベストフィット機能を悪用することでPHPのコマンドライン引数に任意の文字列を挿入し、悪意のあるPHPコードを実行できる。 特に影響を受けるのはPHP 8.3.8、PHP 8.2.20、PHP 8.1.29より前のバージョンだ。ユーザーは修正済みのバージョンにアップグレー
ChatGPTで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、脆弱性のあるサンプルが出てきた話
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません blog.tokumaru.org 徳丸 浩 @ockeghem ChatGPT o1-previewで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、相変わらずXSS脆弱性のあるサンプルが出できた pic.x.com/orvsbd90fy
VSCodeベースのCursorっていうGPT連携組込みエディタがあって、GitHub Copilot Chatと比較してみた。 cursor.sh 関心 読みテスト 脆弱性探知 OSS解析 書きテスト Cursor Copilot Chat 関心 GPTでソースコードからpatchを生成し続けたらプログラミングを自動化できるのでは???? - laiso ChatGPTのCode Interpreterのコードリーディング能力は結構優秀 - laiso で書いたようにコーディング(読み書き)を自動化したい。 Cursorをとくに薦めはしないけどLLM組込みエディタのUXの例としてわかりやすかったので紹介します。 読みテスト 脆弱性探知 例によって脆弱性診実習用アプリ(通称「やられサイト」)のSQLインジェクションを発見してもらうという会話をした。 ディレクトリを開いて「PHPファイルにS
通販サイト「プレミアムバンダイ」を運営するBANDAI SPIRITSは、業務委託先が保存していた会員の個人情報が漏えいした可能性があると6月11日に発表した。委託先社員が私物の外付けHDDを業務に利用し、データを削除せずに廃棄したため。このHDDを入手した人からの連絡で発覚した。 ダークウェブなどのモニタリングを行っているが、個人情報が外部へ流出した事実は確認できず「データが外部へ漏えいした可能性は極めて低い」とみている。 漏えいした可能性があるのは、「プレミアムバンダイ」の会員情報の一部で、2012年11月に行われたキャンペーンに参加した一部の顧客のメールアドレス233件と、13年11月18日に出荷した顧客の住所、氏名、電話番号1951件。 2019年11月27日、開発保守支援の委託先従業員が、私物の外付けHDDを業務に使い、2023年12月末ごろデータを削除せずに廃棄したという。 2
こんにちは。freee PSIRTでマネージャーをやっています、ただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2023 24日目です。昨日は最近freeeにグループジョインしたBundleのkouheiさんによる「Bundleの3年間をライブラリで振り返る」でした。 さて、「freeeでは新卒研修でHardeningをやってるらしい」という話は界隈ではちょっとは知られているものの、その内幕が伺えるのは、まだPSIRTがCSIRTから独立する前の2018年の記事しかありませんでした。 developers.freee.co.jp あれから5年。最近のHardening研修はどうなっているのか、アップデートしようというのが今回の記事になります。 Hardening 2023! 細かい話はあとまわしにして、さっそく今年行われたHarde
NginxをフォークしたFreeNginxが早くも「FreeNginx 1.25.4」正式版をリリース。Windows版とLinux版のバイナリも公開
NginxをフォークしたFreeNginxは、FreeNginxを名乗る最初のバージョンとして「FreeNginx 1.25.4」正式版を公開しました。Windows版とLinux版のバイナリも提供されています。 FreeNginx 1.25.4は、FreeNginxへの名称変更と同時にフォーク直前のNginx 1.25.3からいくつかのバグフィクスが行われています。 ほぼ同時にNginxからも同バージョンとなるNginx 1.25.4がリリースされており、こちらもCVE-2024-24989、CVE-2024-24990の2つの脆弱性の修正を中心としたバグフィクス版です。そしてNginxとFreeNginxのそれぞれのリリースノートを見る限り、どちらもほぼ同じ修正内容となっているため、バージョン1.25.4においては両者はほぼ同一のものと見られます。 今後FreeNginxがNginxと
1. 調査結果 本事案での影響範囲および原因の特定に向けて、当社および外部の専門調査会社によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施した結果、以下の事実が判明しました。 (1)マルウェアの挙動および影響範囲 当社の業務パソコン1台にマルウェアが蔵置された後、当該パソコンを起点に他の業務パソコンに影響を広げるマルウェアの挙動が確認されています。このマルウェアはランサムウェアではなく、様々な偽装を行って検知されにくくするなど高度な手法によって攻撃を行う類のものであり、発見が非常に困難な攻撃であったことが判明しました。 業務パソコンの調査を行った結果、マルウェア感染が確認された業務パソコン、およびその業務パソコンから複製指示のコマンドが実行され情報を転送された他の業務パソコンの台数は、当初検知していた49台以外に無かったことが確認されました。これらはすべて日本国内の当
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
概要 ある記事が8/21出た。 ITが面白い時代はすでに終わっているし変化も遅くなった - きしだのHatena Xで流れてきて、ああこれは反論記事をだれか出すだろうなぁと思った。出てきた。 ITがつまらんとか言ってるのは老害だけ | さにあらず 両方ともワカル。わかるけど、なんか違うんよね。 違和感 まず自分のバックグラウンドを知ってもらいたい。未だ30にもなっていない一応若い部類に入る方だと思っている。初めて触ったPCはWindows Meだし、PCスペックがアレゲすぎてDamm Small Linuxを入れたり遊んだ。大学でアプリ開発して遊んで、NWを勉強し、そして今は電気だの空調をやっている。そのバックグラウンドをもって思うことがある。 この議論は現時点で不毛だ。と思う。 ITというデカい主語 議論をする際は論点を明確にしないといけない。 ことIT、情報技術においては各人のバックグ
Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた - piyolog
2024年2月20日、日本を含む複数の司法機関の共同捜査により、Lockbitランサムグループの関係者2名の逮捕とリークサイトなどのインフラのテイクダウンが行われました。ここでは関連する情報をまとめます。 共同捜査の成果 Lockbitランサムグループに対して10か国の法執行機関が参加した共同捜査はEUROPOLなどが調整を行っていたもので、作戦名はOperation Cronos。フランスからの要請を受け開始された。EUROPOLや英国NCA、米国司法省などが共同捜査に関連した情報について公表を行っており、そこではこの捜査を通じた主な成果として次の5つが上げられている。 Lockbit関係者の摘発や起訴 フランス司法機関の要請を受け、ポーランド、ウクライナの両国において関係者2名が逮捕された。またフランスおよび米国司法機関より、3件の国際逮捕状および5件の起訴状の発行が行われた。米国はL
アップデートは計画的に | Jenkins運用未経験の二人チームがJenkinsを任せられるようになるまで - MonotaRO Tech Blog
こんにちは、MonotaROの伊藤です。 今回は私が所属しているチームでMonotaROのサイトのデプロイの大部分で使用されているJenkinsの運用を引き継いだ話をしたいと思います。 チームが結成されて最初の仕事として始めたこの引き継ぎでしたが、当初予定されていた二週間どころか完全な完了に四カ月かかってしまいました。 なぜ、このような事が起きてしまったのか振り返り、上手くいった事や上手くいかなかった事、どうすればもっとスムーズに進められたのか事などの内容について紹介できればと思います。 背景 終わらないアップデート 問題一: 本体のバージョンとプラグインの整合性が合わない 問題二: ジョブが動かない! 問題三: サービスを停止して対処が出来ない 教訓 アップデートは定期的に実施しよう 問題の解像度を上げる 最後に 背景 MonotaROではCI/CDプラットフォームとしてJenkinsを
数億個のAMD製CPUに存在する深刻な脆弱性「Sinkclose」が報告、検出不可能なマルウェアインストールが可能となり、システムの廃棄が必要になる場合も | XenoSpectrum
AMD製CPUに10年以上にわたって存在していた深刻な脆弱性「Sinkclose」が発見された。この脆弱性は、2006年以降に製造されたほぼ全てのAMD製プロセッサに影響を与え、システムの非常に奥深くに侵入することを可能とする物であり、場合によってはマシンの修復が不可能となり、マシン自体を廃棄する必要すらある程に深刻な物となっている。 Sinkclose はウイルス対策を回避し、OS の再インストール後も存続する Sinkcloseは、セキュリティ企業IOActiveの研究者Enrique Nissim氏とKrzysztof Okupski氏によって発見された。彼らは、AMDのドキュメントを何度も読み返す中で、この重大な脆弱性を見出した。Nissimは、「脆弱性のあるページを約1000回読んだと思います。そして1001回目に気づいたのです」と述べており、この発見が綿密な、そして粘り強い調査
訪日観光客が戻ってくるのを待ち望んでいたはずなのに、インバウンド消費が回復しつつあるいまの日本では、オーバーツーリズムを嘆く声が目立つ。この背景には、コロナ前とは異なる経済事情を経験している日本人の複雑な心境があると、英経済紙「フィナンシャル・タイムズ」は指摘する。 日本は、訪日客で自国が賑わう現状を喜びつつも、オーバーツーリズムを憂慮しはじめた。 訪日外国人用と、それより安価な地元住民用の価格を設定する二重価格制度についても、「妥当だ」「いや差別だ」「むしろ自滅を招くものだ」と、活発な議論が巻き起こっている。 この一方、政府が長らく同じ政策を維持し続けたせいで、かつては身軽だった日本人の海外旅行はコロナ以前のわずか6割に留まる。 膠着状態にあった日本経済は、いま大きな危機に直面している。自国の通貨である円と貿易の脆弱性が露呈したのだ。 日銀史上「最も議論を呼ぶ」決定 7月の日経平均株価の
生成AIを活用したシステム開発の現状と展望
Copyright (c) The Japan Research Institute, Limited 生成AIを活用したシステム開発 の現状と展望 - 生成AI時代を見据えたシステム開発に向けて - 株式会社日本総合研究所 先端技術ラボ 2024年09月30日 <本資料に関するお問い合わせ> 伊藤蓮(ito.ren@jri.co.jp) 近藤浩史(kondo.hirofumi@jri.co.jp) 本資料は、作成日時点で弊社が一般に信頼できると思われる資料に基づいて作成されたものですが、情報の正確性・完全性を弊社で保証するもので はありません。また、本資料の情報の内容は、経済情勢等の変化により変更されることがありますので、ご了承ください。本資料の情報に起因して閲覧者 及び第三者に損害が発生した場合でも、執筆者、執筆取材先及び弊社は一切責任を負わないものとします。本資料の著作権は株式会社日
2023年4月までの私の資格はAWS Certified Solutions Architect - Associate (SAA 2022年4月取得)のみでした。 ただ、これだけでは弱いと感じX (旧Twitter)やYoutubeなどから情報収集し、どうしたら実務未経験でも企業にアピールできるか?を考え、インフラの分野はポートフォリオよりも資格を評価する企業が多いことを聞き、まずは見た目でもわかりやすい資格でアピールする方針としました。 LinuCについて AWSを学習する上で必須となる知識としてサーバの知識は必須になってきます。 Linuxの基本的なコマンドは一通り触れます、とアピールできるようにLinuC Lv1を取得して網羅的にLinuxを学ぶことにしました。 学習コンテンツ Ping-t Linux教科書 LinuC レベル1 スピードマスター問題集 Version10.0対応
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
自動車セキュリティ入門:CANインベーダーの原理と対策 ~車両盗難の被害を防ぐには?~ - Qiita
車両盗難被害の現状 警察庁「犯罪統計資料」[1]によると、2022年の自動車盗難数は5,734件で前年比552件増と被害が増加している状況です。 車両盗難の手口には、玄関などに置かれたスマートキーから出ている微弱な電波を特殊な機器でキャッチし、リレーのように車まで中継することでロックを解除する「リレーアタック」というものがありますが、この手口にはスマートキーを電波を遮断しやすいアルミの容器で保管することにより対策が有効であると言われています[2]。一方、自動車盗難の手口には他にも近年被害が増加していると言われているCANインベーダーという手法があります[2]。 CANインベーダーは施錠された車両の車室外(エンジンルームやバンパーの中など)の配線に盗難用の機器を直接接続して開錠信号を送信することにより盗むという手口です[11]。 本記事では、CANインベーダーの原理と対策に関する研究を解説し
要件定義システム生成AI-Babelリリース
1. 要件定義プログラミング:自然言語による要件記述から直接実行可能なコードを生成 2. 自動要件定義生成:顧客の要望やビジョンを入力するだけで、Babelが詳細な要件定義を自動的に作成 3. 自律的システム構築:生成された要件定義に基づき、Babelが独自にシステムの設計、開発 4. グラフ型空間コンピューティングによる視覚的な開発体験:2D、3D空間内でシステム構造を可視化し、直感的な操作が可能 5. 並列実行マルチAIエージェント:複数のAIエージェントが並列で作業を行い、効率的にシステムを構築 6. 高い柔軟性と拡張性:様々な業界や規模の企業に対応可能 7. 開発期間の大幅短縮:一人月規模の開発、150ファイル近くの生成を2,3分で完了 要件定義プログラミングの革新性 Babelの中核技術の一つである要件定義プログラミングは、ソフトウェア開発のプロセスを根本的に変革します。 自然言
発送物の印刷や送付を委託していたイセトーがランサムウェア攻撃を受けた影響で、情報が漏えいした恐れがある件を巡り、公文教育研究会(公文)は8月20日、新たに個人情報など約75万人分の漏えいを確認したと発表した。 漏えいしたのは、(1)2023年2月時点で公文で算数か数学、英語、国語を学習した会員の会員番号、利用した学習教材、教室名、学年、入会年月など72万4998人分、(2)同月時点で、公文内部の認定テストの受験資格を満たしていた会員の氏名、学年、過去に合格した認定テストのうち最もランクが高いものの情報など7万1446人分、(3)0~2歳向けサービス「Baby Kumon」に同月時点で加入していた会員の氏名、生年月日、年齢、保護者の氏名など9922人分、(4)23年8月の認定テストを受けた会員の会員番号や合格情報など2人分──という。 【訂正:2024年8月20日午後4時40分】当初、(1)
米国大統領令や日米豪印4カ国の枠組み「Quad(クアッド)」による共同原則、欧州サイバーレジリエンス法など、世界各国でSBOM(Software Bill of Materials、エスボム)対応の制度化が進む。日本もSBOMを国際標準戦略の一環と位置付け、普及を促進している。経済産業省は、2024年8月29日、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を更新し、ver2.0を公開した。産業界におけるSBOMのさらなる活用をめざした具体的な手法などを追加している。 SBOMとは、ソフトウエアの構成要素とそれらの関係性を把握する、ソフトウエア管理の手法のこと。経産省の手引きは、付録を含めると約160ページに上る。特にver2.0で加わった内容は専門的であり、SBOM初心者には難しく感じられるかもしれない。 しかし、ここまで具
Google、AIによるコード補完やコード生成を実現する「Duet AI for Developers」正式リリース。数週間以内にGeminiを採用へ
Googleは、AIによるコード補完やコード生成などを実現する新サービス「Duet AI for Developers」の正式リリースを発表しました。 Duet for Developersは有償で提供されるサービスですが、2024年2月1日まで無償で提供すると説明しています。 20以上の言語をサポート、VSCodeなどで利用可能 Duet AI for DevelopersはVisual Studio Code、IntelliJ、PyCharmなどのコードエディタやIDE、そしてCloud Shell EditorやCloud WorkstationsなどのGoogleのサービスで利用可能。 書きかけのコードの補完やチャットによるコードの生成、コードの説明、単体テストの生成などの機能が備わっています。 C、C++、Go、Java、JavaScript、Pythonなど 20 以上のプログ
『情報セキュリティの敗北史』を読んだ - chroju.dev
https://www.hakuyo-sha.co.jp/science/security/ 面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。 歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速に
米GitHubは、意図的に脆弱性が挿入されたコードを修正する、リポジトリ内学習エクスペリエンス「Secure Code Game」の、JavaScript、Python、Go、GitHub Actionsのチャレンジを含む第2シーズンを、2月15日(現地時間)にリリースした。 Secure Code Gameは、コードをレビューしてバグを修正し、テストを実行して次のレベルに進むという体験を通じて、安全なコーディングの考え方について学べるようになっている。GitHub Codespacesを経由して完全にクラウド上で構築されているにもかかわらず、2分もかからず起動が可能で、1か月あたり最大60時間、無料で利用できる。 Secure Code Gameの開発に先立って、開発チームは開発者コミュニティから、セキュアなコーディングを学ぶためのトレーニングにおいて苦労していることをヒアリングしたとこ
Automatticから159名が退職、WP Engineとの係争が深刻化 – Capital P – WordPressメディア
WordPress共同創業者のマット・マレンウェグは10月3日づけで “Automattic Alignment” と題したブログ記事を公開、それによると159名がAutomatticを退職したようだ。これは現在WP Engineとの争いが発端で、マットの方針に同意しなかった職員が辞職したようである。この人数はAutomatticの全従業員の8.4%にあたる。 そして、日本人WordPressユーザーとしてややショッキングなのは、長年にわたって日本のWordPressコミュニティの発展に寄与してきた高野直子氏もその1名に含まれていたということである! 辞める理由ですが、簡潔に言うとすれば「最近の WP Engineとの対立の中でマット (Automattic CEO・WordPressプロジェクトリード) が下した戦略的決定に賛同できないため」です。 Naoko Takano 「Autom
税理士ドットコム流のCI/CDを設計する考え方と実践 - 弁護士ドットコム株式会社 Creators’ blog
今年の頭から税理士ドットコム事業部に異動した @komtaki です。3 月末から 7 月まで育休を頂いていたのですが、無事復帰しました。 部署異動してすぐに、ジョブ追加の際にコンテナや CI/CD の最適化がされず開発体験を損なっていると感じました。そこで、異動直後の 2 月末に、フルスクラッチでコンテナと CI/CD を作り直しました。 約半年運用し GitLab CI でのデプロイ運用のデータが溜まり、定量的にデプロイを分析できるようになりました。 そこで税理士ドットコムのデプロイフローにどのような問題があったのか、CI/CD の設計の考え方と改善後の効果についてお話しします。 CI/CDとは 簡単におさらいすると、CI/CD とはソフトウェアの変更を常にテストし、自動で本番環境へ適用できるような状態にしておく開発手法です。CI/CD がうまく機能した場合、下記のような効果があります
【PR】 2024.02.09 働き方 プロフェッショナルセキュリティー駆け出し注目企業 開発を効率化するツールやサービスが続々と登場する昨今。複雑なコードを書かなくてもボタン一つで設定できる開発環境が広まり、経験の浅いエンジニアでも簡単にものづくりができる時代になりつつある。 だがその便利さや手軽さに甘んじていると、本当に価値あるサービスやプロダクトを作ることができず、いずれ自身の成長も頭打ちになる。 そう警鐘を鳴らすのが、企業向けセキュリティサービスを提供するセキュアエッジ株式会社代表取締役の西島正憲さんだ。 エンジニアとしてキャリアをスタートし、サイバーセキュリティ領域で第一線を歩む中で「技術力の基礎となる“原理原則”を知ることの重要性を学んだ」という西島さんに、いつの時代も求められる本物の技術力とは何かを聞いた。 セキュアエッジ株式会社 代表取締役 西島正憲さん セキュリティ最大手
アジアで広がる「iPhoneの危険な設定」にアップルが警告、今すぐ確認を | Forbes JAPAN 公式サイト(フォーブス ジャパン)
自分のiPhoneにこの危険な設定がないかをチェックし、デバイスやデータへの脅威を削除するのには30秒もかからない。新たな警告に従い、今日にでも対処を行ってほしい。 アップルユーザーに対して、iPhone上の不正なVPNやデバイスプロファイルの危険性に関する警告がアジアで出ている。「ユーザーは、偽のウェブサイトやSMSメッセージ、悪質なマルウェアへのリンクを通じて、不審なアプリをインストールするよう騙された可能性があります」。ほとんどのユーザーにとってリスクは低いが、デバイスのチェックにかかる時間は30秒もかからないため、時間をかける価値は十分にある。 この最新のニュースは、ユーザーが騙されてマルウェアをインストールさせられて銀行口座にアクセスされたことから発覚した。当初、悪意のある電源ケーブルが問題だったのではないかと疑われたが、実際は彼らが騙されてインストールした危険なプロファイルが原
Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディス
メール送信者への警鐘:DMARC がもはや「Nice to have」と言えなくなった理由 - Cisco Japan Blog
この記事は、Security Product Marketing の Leader Gabrielle Bridgers によるブログ「Return to Sender: Why DMARC is no longer a “nice to have”」(2023/11/27)の抄訳です。 Eメールの脆弱性は依然として広がっており、高度なエンタープライズ DMARC ソリューションの必要性が高まっています。DMARC ソリューションによって、シスコのお客様は高いレベルの実装とサポートを受けながら自社のドメインを迅速に保護し、最小限の労力でEメールセキュリティのニーズを効率的に管理できるようになります。 先月、Google と Yahoo はそれぞれ Eメールの配信に関する新たな一連の要件(英語)を発表しました。この発表は Eメールセキュリティの重大な変化を示し、業界が認めるベストプラクティス
Next.jsでSSRF(=Server Side Request Forgery)の脆弱性が発覚したことが社内で話題になったので、まとめておこうと思います。対象の脆弱性は以下です。 脆弱性の概要 SSRF脆弱性は本来到達できないサーバーに対して、公開されてるサーバーを経由してアクセスすることができてしまう脆弱性です。 今回のNext.jsの脆弱性はhttpヘッダーのHostを書き換えることで、self hostingなNext.jsサーバーから任意のhttpリクエストを送信できてしまうというものです。これは、外部には公開してない内部APIに対するリクエストも可能になるため、SSRF攻撃になりえます。 今回の脆弱性の対象は、以下の条件を満たしている必要があります。 Next.jsをself hostingで運用している Next.jsアプリケーションがServer Actionsを利用して
議事堂襲撃から3年、現場で目の当たりにした残虐さと人種差別
議事堂襲撃事件の恐怖を絶対に繰り返してほしくないと、当時現場にいた元警官が語る/Mostafa Bassim/Anadolu Agency/Getty Images (CNN) 15年の間、私は米議会警察で勤務する栄誉に浴し、連邦議会議事堂の荘厳なロタンダ(訳注:議事堂のドームの下にある円形の大広間)から感銘を受ける恩恵にあずかってきた。あの場所のあまりの美しさに、日々息をのんでいた。 3年前、それほどの畏敬の念に満たされた同じ建物で、冒涜(ぼうとく)的な事象の数々が私をのみ込んだ。無限に続くかと思われたその時間、そこでは汗と叫び声、金切り声、怒りと死、恐怖、血、折れた手足、つば吐き、憎悪と戦慄(せんりつ)、人種差別と偏狭とが入り交じっていた。 混沌(こんとん)と暴力が、議事堂の敷地内で繰り広げられている。私が守ると誓ったその場所で。この事実に心底震え上がった。私や勇敢な同僚の警官たちが受
Canonicalが「Everything LTS」発表。あらゆるオープンソースを用いたDockerイメージに12年間の長期サポートを提供
Canonicalが「Everything LTS」発表。あらゆるオープンソースを用いたDockerイメージに12年間の長期サポートを提供 Canonicalは、たとえUbuntuのディストリビューションに含まれていないオープンソースであっても、あらゆるオープンソースを用いたDockerイメージに12年間セキュリティパッチなどを提供する長期サポート「Everything LTS」を発表しました。 重要な脆弱性に対しては24時間以内にセキュリティパッチを提供するとしています。 Cannonical offers a 12 year LTS for any open source Docker image! We will build distroless Docker images to customer specifications that include upstream compon
AS7684(さくらインターネット): さくらインターネットは日本に拠点を置くWebホスティングおよびデータサービスプロバイダーだ。このASNに重大なマルウェアアクティビティーがリンクされている。これによってユーザーシステムの侵害や悪意のあるエンティティによるサービスの悪用が懸念される AS9318(SK Broadband): SK Broadbandは韓国に拠点を置く重要なインターネットサービスプロバイダー(ISP)だ。このASNにマルウェアアクティビティーが存在している。これはネットワークインフラストラクチャ内の潜在的なサイバーセキュリティの脆弱性を示唆しており、侵害されたエンドユーザーマシンまたは悪意のあるクライアントに起因している可能性がある AS8968(BT Italia): BT Italiaはイギリスの大手通信企業BT Groupのイタリア子会社だ。このASNに関連する多
漏えいした可能性がある情報は、医療従事者の氏名、性別、生年月日、メールアドレス、医療機関の名前と住所、役職、職種、診療科。さらに、サノフィ従業員1390人の氏名も漏えいした可能性がある。クレジットカード情報や銀行口座情報は含まない。 不正アクセスがあったのは7月10日から14日の間。原因はコンサルタントがサノフィのセキュリティポリシーに違反し、個人用PCにデータベースへのアクセスIDなどを保存していたことだ。このPCがマルウェアに感染し、アクセスIDなどが漏えいした結果、データベースへの侵入を許したとしている。 サノフィはコンサルタントが所属する委託先との契約を即刻解除。再発防止策として、アクセスIDなどを変更した他、アカウント管理の見直し、IPフィルタリング、社外ネットワークからのアクセス禁止措置なども講じたという。情報が漏えいした可能性がある医療従事者に対しては、問い合わせ用のコールセ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
Cursorはコードベースに質問できる - laiso
委託先が私物HDD使用、データ削除せず廃棄 「プレミアムバンダイ」顧客情報漏えいの可能性
新人研修でHardening! 2023 - freee Developers Hub
個人情報を含む情報漏えいのおそれについて(調査結果) : 富士通
OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに
若い方だけど、ITのつまらなくなったも、ITおもしろいもチョットワカル - Qiita
英紙「日本人がオーバーツーリズムを嘆くのは訪日観光客が妬ましいから」 | 自国のレジャーを楽しめない「悲しみ」
ウェブサーバーのセキュリティ対策はどうすればいい? さくらインターネットらが解説 セミナーを実施、最新のセキュリティ動向と脆弱性診断など
AMD製CPUに複数の脆弱性 ~任意コード実行の恐れ/深刻度はいずれも「High」
フリーの高速リモートデスクトップソフト「Brynhildr」が3年半ぶりのアップデート/「libvpx」ライブラリのゼロデイ脆弱性などに対処したv2.6.1が公開
実務未経験でAWS設計構築案件にアサインされるためにやってきたこと - Qiita
「macOS Sonoma 14.4.1」が公開 ~Javaがクラッシュする問題が修正/任意コード実行の脆弱性2件にも対処
公文、75万人分の情報漏えい新たに発覚 子どもの氏名なども 委託先・イセトーのランサムウェア被害で
経産省の本気が見える「SBOM導入の手引きver2.0」、ソフト調達・取引の指針に
GitHub、ゲーム感覚で安全なコーディングについて学べる「Secure Code Game」に、新たなチャレンジを追加
技術進化の一方でエンジニアが退化? 「基本を軽視するエンジニア」が立ち行かない理由 - エンジニアtype | 転職type
多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を
Next.jsのSSRF脆弱性 CVE-2024-34351
さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
医療従事者73万人分の情報漏えいか 製薬大手に不正アクセス 委託コンサルが私物PC使用のポリシー違反