2014年11月19日、20都道府県警の合同捜査本部が国内で違法にプロキシサーバーを運営する全国8業者へ一斉捜索をかけました。ここではその関連情報をまとめます。 タイムライン 大光・SUNテクノ関連 日時 出来事 2013年4月〜8月 AmebaへSUNテクノのサーバーから不正ログインが行われた可能性。 2014年1月 愛知県警が偽サイトのIPアドレスからSUNテクノを割り出し。*1 2014年2月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが開設。*2 2014年3月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが設置され当月だけで約1万3千件のアクセス。*3 2014年8月 大光とSUNテクノが捜索を受ける。 その後 大光と他1社がISPから不正行為に関わったとして契約を解除。 その後 大光、SUNテクノが他人のIDを使ってインターネッ
2021年4月22日、内閣府は外部とのファイルのやり取りで職員が利用するファイル共有サーバー(FileZen)が外部から不正アクセスを受けたと発表を行いました。ここでは関連する情報をまとめます。 内閣府の外部とのファイル共有に不正アクセス 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて 不正アクセスを受けたのは内閣府、内閣官房、個人情報保護委員会、復興庁の4組織の職員等が利用する内閣府LAN内に設置されたサーバー。 サーバーは外部とのファイル共有用途で設置されたソリトンシステムズの「FileZen」 内閣府はメール送信先誤りや記録媒体紛失の発生時に情報流出を防止する目的で利用していた。 イベント参加者情報流出の可能性 流出の可能性があるのはサーバー上に保管されていた231名分の氏名、所属、連絡先等を含む個人情報。内閣府が関わったイベント申込者等の情報。*1 実
はじめに 先日、Amazon Linuxで脆弱性が見つかった際に弊社のAWSチームのメンバーが以下の記事を公開していました。私は最近までクライアントサイドの開発案件を主に担当していたので自分の業務にはあまり関わりはないのですが、どのような手順でLinuxの脆弱性に対応しているのか興味があったので社内の人に聞いたり調べてみたことをまとめます。 [AmazonLinux] OpenSSLの脆弱性(CVE-2015-1793)について 1.脆弱性の情報を得る まずは脆弱性が見つかった情報はどこから得るのでしょうか?脆弱性に関する情報は以前から以下のサイトのRSSなどから情報を得ることができますが最近はTwitter見てたら知った、なんてこともあるそうです。 Japan Vulnerability Notes JPCERT コーディネーションセンター 以下はTwitterのアカウントです。 JVN
Dell製PCで確認された勝手ルート証明書問題(Superfish2.0とも呼称されている)の関連情報をまとめます。 Dellの公式見解・サポート情報 更新:弊社PC証明書脆弱性について(eDellRoot証明書ならびにDSDTestProvider証明書) 弊社PC証明書脆弱性について(eDellRoot証明書) Dell System Detect Security Update Response to Concerns Regarding eDellroot Certificate Information on the eDellRoot certificate and how to remove it from your Dell PC Information on the eDellRoot and DSDTestProvider certificates and how to
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
鳥越俊太郎、池上彰のインタビューを拒否 1 名前: タイガースープレックス(愛知県)@\(^o^)/:2016/07/31(日) 20:30:56.87 ID:i3TCIi110●.net ソースはテレ東 2: 中年'sリフト(埼玉県)@\(^o^)/ 2016/07/31(日) 20:31:14.02 ID:hgv1yNEf0 小者過ぎワロタwwww 9: 栓抜き攻撃(公衆電話)@\(^o^)/ 2016/07/31(日) 20:31:56.00 ID:wgxp450J0 ファーwwwwwwwwwwwwwwwwwwwwwwww 10: ハイキック(やわらか銀行)@\(^o^)/ 2016/07/31(日) 20:31:59.73 ID:PI247KAo0 だせえええええええええええええええ 11: フランケンシュタイナー(東京都)@\(^o^)/ 2016/07/31(日) 20:32:
昔はZIP圧縮できるソフトが軒並み有料であったため、無料で使える国産の圧縮形式「LZH」は事実上のファイル配布時のデファクトスタンダード状態だったわけですが、ついにセキュリティ上のもろもろの事情によって、UNLHA32.DLL・UNARJ32.DLL・LHMeltの開発が中止されることになりました。バグフィックスは継続されるものの、64ビット版や低レベルAPI追加版は出る予定はなくなるそうです。 また、「(特に団体・企業内で) LZH 書庫を使うのは止めましょう」ということで、LZH形式の使用中止も呼びかけられています。 一体何がどうなってこのようなことになったのかという詳細は以下から。 お知らせ http://www2.nsknet.or.jp/~micco/notes/ann.htm(InternetArchive) UNLHA32.DLLなどの開発者であるMicco氏の公式サイトに、
Linuxは企業のサーバとして利用されることが多い。 そのため、Linuxのセキュリティ対策はとても重要なポイントだ。 このページではLinuxのセキュリティの基礎対策について概要をご紹介する。全体像をざっくりと把握するにはちょうど良い内容になっているだろう。参考にして頂ければと思う。 Linuxのセキュリティ対策 オープンソースとセキュリティについて オープンソースで大丈夫? Linuxはオープンソースで開発されている。つまりソースコードが公開されている訳だ。 「ソースが公開されているなら、悪意のあるユーザが弱点を見つけられるのでは?」 という疑問はもっともだ。実際、誰かが脆弱性を見つけて、それを報告しなければ、その人しか知らない脆弱性が残るということになる。 また、多くの人があらゆる要求に対して、多数の機能を追加することがあるため、ソースコードがどんどん膨らんでいく。そうなると、多機能
ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表(第一種ホワイトリスト) セキュリティ上安全と考えられる書式(第二種ホワイトリスト) アプリケーション仕様として許可された書式(第三種ホワイトリスト) 以下順に説明します。 許可されたものの一覧表(第一種ホワイトリスト) ホワイトリストというくらいですから、本来のホワイトリストは
国産アーカイバ「UNLHA32.DLL」「UNARJ32.DLL」「LHMelt」を提供するMicco氏はこのほど、同プログラムの開発を中止すると発表した。 同プログラムは国内で利用度の高い圧縮形式「LZH」を作成、解凍するもの。無料で提供されていることや、以前はWindowsとMacで共用できる数少ない圧縮形式であったことから、日本国内ではZIPなどよりも多く使用されていたこともある。 開発を中止する理由として同氏は、Japan Vulnerability Notes(JVN)およびセキュリティ対策ベンダーが同形式に対応しないことを挙げている。LZH形式のアーカイブには、ZIPやCAB、7zなどと同様に、ヘッダ情報を細工することでセキュリティ対策ソフトが対応できず、スキャンに失敗する場合があり、同氏はJVNに報告をしている。 しかし、JVNの回答は「不受理」であり、主要ベンダーのセキュリ
10月に入り、9月までに起こったことをざっと振り返るというお題がどこかから聞こえてきたので、「じゃあ……」という感じで振り返ってみることとします。 わずか1週間程度でBashが大幅な進化を遂げた ~Shellshock大暴れ~ まだ現在進行形の事案ではありますが、9月下旬に発覚したBashの脆弱性に起因して、10月上旬までまだ収束していないShellshock。 Bash 4.3の例で説明すると、Patchlevel 25~30までは以下のような軌跡をたどっています。 9月24日にPatchlevel 25 9月26日にPatchlevel 26 9月27日にPatchlevel 27 10月1日にPatchlevel 28 10月2日にPatchlevel 29 10月5日にPatchlevel 30 この間に発見、修正された脆弱性は、CVE-2014-6271、CVE-2014-71
1:以下、名無しにかわりましてVIPがお送りします:2013/08/12(月) 22:36:39.30 ID:JcB+izV40 ルワンダ虐殺 人間ってあそこまで残虐になれるんだな ルワンダ虐殺 1994年にルワンダで発生したジェノサイドである。 1994年4月6日に発生したルワンダ大統領のジュベナール・ハビャリマナと ブルンジ大統領のンタリャミラの暗殺からルワンダ愛国戦線 (RPF) が同国を制圧するまでの 約100日間に、フツ系の政府とそれに同調する過激派フツによって、多数のツチと穏健派フツが殺害された。 正確な犠牲者数は明らかとなっていないが、およそ50万人から100万人の間、 すなわちルワンダ全国民の10%から20%の間と推測されている。 http://ja.wikipedia.org/wiki/ルワンダ虐殺 4:以下、名無しにかわりましてVIPがお送りします:2013/08
最強のWiki「Crowi」のフォーク、「GROWI(旧crowi-plus)」を公開した話 - Qiita
経緯 Crowi とは node.js + jQuery (一部React) 製の、オンプレにディプロイ可能な Wiki システム。Qiita でも Crowi タグ で検索すると20エントリーほど引っかかる。 Pukiwiki から Crowi へ うちの会社では創業から10年来 Pukiwiki Plus! を使っていて、サイトを簡単に量産できるようにするための Pukiwiki Plus! Plus! なんていうリポジトリもある程使い倒していたのだが、やはり Markdown で書きたいという動機から代替システムを検討、2016年末くらいから Crowi の試用を行っていた。 が、どうにもかゆいところに手が届かない。 Pukiwiki では利用可能だった以下2点の機能が、移行にあたっては必須事項だった。 任意のページの下の階層のツリー表示を行う事ができること Pukiwiki では
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。 たとえば 『安全なウェブサイトの作り方』 改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、
PukiWiki† ようこそPukiWikiの公式サイトへ!! 最新バージョンは PukiWiki 1.5.4 です (PHP8.1対応) ダウンロード: PukiWiki/Download/1.5.4 PukiWiki 1.5.3以前のバージョンには複数の脆弱性が見つかっています。管理者の方は早急に PukiWiki 1.5.4 へバージョンアップをお願いします。 詳細 (2022/08/23) PukiWikiに関して、何か質問のある方は 質問箱 へ ↑ 管理者の方へ† OSやPHPのバージョンアップでPukiWikiが動作しなくなった場合 →FAQ/45 をご参照ください 最新のリリースアナウンス、セキュリティアップデートなどの情報を受け取るためにPukiWiki-announce メーリングリストを購読して下さい PukiWiki開発サイトでは、次期バージョンの開発だけでなく、現行
ドメインコントローラーがのっとられる脆弱性 Zerologon(CVE-2020-1472)についてまとめてみた - piyolog
2020年8月に修正された脆弱性 CVE-2020-1472はドメインコントローラーが使用するNetlogon リモートプロトコルに欠陥が見つかったもので、その内容からZerologonとも呼称されています。Microsoftをはじめ、セキュリティ組織は深刻な脆弱性であることから早急な対応を行う様呼び掛けています。ここでは関連する情報をまとめます。 Zerologonって何? Windows が実装する Netlogon リモートプロトコル (MS-NRPC)に発見された脆弱性の名前。 脆弱性悪用を通じてパスワードが変更されドメイン管理者権限の取得が行われる恐れあり。 9月11日に技術情報と実証コードが公開され、9月24日には攻撃に悪用されたとMicrosoftが注意喚起。 8月12日に脆弱性に対応するセキュリティ更新プログラムが公開済。非Winデバイス互換性への考慮から2段階に分け対応が
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 プロセッサチップ A5 から A11 を搭載する次の製品 iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 脆弱性に該当するプロセッサチップを利用している製品であれば、上記以外の製品も影響を受けます。 なお、 A12 以降のプロセッサチップを使用している i
AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!
はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
【2ch】ニュー速クオリティ:インターネット終了のお知らせ。DNSの脆弱性の実証コードがリリースされる。僅か数分で汚染可能
1 力保美達(福島県)2008/07/25(金) 11:29:15.07 ID:6KHoBSxHP ?PLT(12000) ポイント特典 Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対してパッチを当てる緊急性が何段階か跳ね上がっている。 このセキュリティホールを利用する、対象の名前サーバのキャッシュに悪意のあるDNSレコードを埋め込むことを 可能にする脆弱性実証コードが、無料で配布されている攻撃・侵入テストツールであるMetasploitに追加された。 Metasploitを作ったHD Moore氏によれば、この脆弱性実証コードの作成には|)ruidの研究者と協力しており、 この脆弱性実証コードを支援するためにDNSサービスも作成されたという。 このコードはここで提供されており、深刻なキャッシュポイズニング攻撃を行うことを可能にするDNSプロトコルと 一般
JVN iPedia
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
自己紹介 どーも、はじめまして。ネコが大好き、こゆいです。 開発推進チームという、開発メンバーがより楽しく効率良く働けるようにするためのチームに所属しています。 社内エンジニアLT大会を企画したり、コミュニケーションツールを導入したり、EFKスタック(Elasticsearch + Fluentd + Kibana)の導入を進めたりなど、業務内容は多岐にわたります。 初回のこの記事はSlack導入周りのお話をしていきたいと思います。 「Slackを導入したいけど、どう進めるのがいいのかなー」と悩んでいる方々の参考になれば幸いです。 読んだら参考になるかもしれない人 わりと大人数でSlackを導入したい人 わりとセキュリティや費用対効果などを聞かれる事情がある人 弊社のSlackアカウント推移 弊社は企画開発本部のメンバーを中心に、今年の4月からSlackの本格導入を始めました。社内での評価
■ はてなブックマークを禁止する技術的方法 ある属性を持つ人々にとって、はてなブックマークは、必要な情報源を巡回するための効率的なツールとなっている。もはや「はてブ」されない記事は存在しないのも同然となってしまている人もいるかもしれない。ソーシャルブックマークサービスはなにも「はてな」だけではないのだが、事実上「はてな」が独占状態にあり(少なくとも一部の分野においては)、「はてなブックマーク」でないと情報源となり得ない状況になっている。この状況はアーキテクチャ的に望ましい状態ではないと思うが、しかたない。 そういう中で一つ問題がある。情報セキュリティの話題を追いかけるには「セキュリティ」タグを見ていればよいわけだが、ここに「JVN」のエントリが出てこない。 JVNの認知度が高まらないのにはいろいろな要因があって、JVNのサイトデザインが最悪だ(ユーザビリティを何も考えていない)という問題も
あるブログで見かけました。。サイボウズ利用者の皆さんは公開大好きです。 サイボウズの旧版を放置している会社の社員情報バレバレです。 検索してみよう。 次のリンクをクリック→サイボウズ ログイン 名前 パスワード filetype:cgi いっぱい出てきた。 (スクリーンショット 2012-03-07 21.17.53) (スクリーンショット 2012-03-07 21.19.03) (スクリーンショット 2012-03-07 21.19.48) 「◯◯部の◯◯さんお願いします」って言えば簡単にテレアポ営業出来るんじゃないですかね。ってかかれてたけど、全くそのとおりだと思いました。 テレアポさん頑張って。 情報って怖いです、Googleさん怖いです。 あわせてオススメ、Desknets (スクリーンショット 2012-03-07 21.18.17) desknets グループ 氏名 file
以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム Java SE Development Kit (JDK 7) Update 6 およびそれ以前 Java SE Runtime Environment (JRE 7) Update 6 およびそれ以前 Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。 なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
フジテレビ『FNSうたの夏まつり』ウェブサイトのアーティスト名がめちゃくちゃと話題に 1 名前: スリーパーホールド(庭)@\(^o^)/:2016/07/18(月) 16:24:13.83 ID:VPXTumnO0●.net 7月18日の午前11時45分から放送している『FNSうたの夏まつり(フジテレビ系)』のウェブサイトに掲載されている出演アーティストの名前と写真がめちゃくちゃと話題になっている。 サイトにアクセスするとアーティスト写真とアーティスト名が一致していないことが判明。森山直太朗は三代目J Soul Brothersと表記されており、谷村新司は高橋優、和田アキ子はmiwa、平井堅はPUFFY、鈴木雅之は私立恵比寿中学となっている。 現在は全て修正されているが、番組始まってしばらくのお昼まではこのままの状態だった。 http://gogotsu.com/archives/198
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
Jura Impressa F90 コーヒーメーカー用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないため、サービス運用妨害 (物理的損害) 状態となる、コーヒーの設定を変更される、およびコードを実行される脆弱性が存在します。
独立行政法人情報処理推進機構 (IPA) が提供する安全なウェブサイト運営入門には、セーブデータの読み込み処理に起因する OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
痛いニュース(ノ∀`):“あきたこまち”の萌え画を描いた西又葵さんに、ジョージ・ルーカスからスター・ウォーズのオファー
1 名前: 藤(大阪府) 投稿日:2009/04/20(月) 13:16:09.54 ID:kH4CIQpP ?PLT 美少女の“萌え画”を袋に描いたコメが大ヒットしたことで一躍注目された女性イラストレーターが、映画「スター・ウォーズ」のイラストをジョージ・ルーカス監督らから依頼されていたことが分かった。世界の著名イラストレーター100人が参加する「記念画集」の一員に選ばれたもので、ルーカス氏も“萌え画”を絶賛している。 “世界デビュー”が明らかになったのは、アダルトゲームなどの美少女画で人気のイラストレーター、西又葵さん。以前からマニアの間では有名だったが、その存在を一般に知らしめたのは昨年9月に発売された美少女イラスト入りの「あきたこまち」。 販売したJAうご(秋田)の佐々木常芳課長は「ブログや口コミなどで聞きつけた西又さんのファンが買い付けに殺到し、1カ月で2年分を売り上
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
[結] 2006年7月 - 結城浩の日記
目次 2006年7月30日 - 正八面体一筆書きパズル(解答編) / 2006年7月28日 - 立方体切断パズル(解答編) / 2006年7月27日 - 正八面体一筆書きパズル(問題編) / 2006年7月24日 - 立方体切断パズル(問題編) / 2006年7月20日 - サイン・コサインの湯 / 学ぶって、喜びなんですよね / 2006年7月13日 - 単純なようでいて、豊かな毎日 / 2006年7月11日 - 「結城浩」のambigram / 2006年7月10日 - 仕事 / 2006年7月9日 - さて。 / 2006年7月8日 - Javaレッスンと暗号本が増刷 / 「励まし」について(週末の自動書記) / 2006年7月7日 - YukiWiki 2.1.3を公開 / JPCERT/CCの製品開発者リストへの登録 / 2006年7月5日 - 自分で本を出す場合のアドバイス /
以前に紹介した「空が濃い青色に染まる時間帯『ブルーアワー』に撮影された世界中の美麗な風景写真」の前後、日の出・日没の僅かな時間に現れる、世界が金色に輝く時間帯「マジックアワー(ゴールデンアワー)」に撮影された美麗な風景写真です。太陽からの直接の光が無いため限りなく影の無い状態で、やさしい黄金のような明かりに包まれた世界はまさに魔法の時間です。 これらの写真はナショナルジオグラフィックの写真コミュニティ「Your Shot」のマジックアワー(ゴールデンアワー)を集めた写真シリーズ「Your Shot: Golden Hour」の作品です。 1. モンパルナス(フランス・パリ) by Nan Li Toh 2. ゴールデンゲートブリッジ(アメリカ・サンフランシスコ) by Michael Bennett 3. ベーカー山(アメリカ・ワシントン州) by Joel Brady-Power 4.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プロキシ業者が一斉捜索を受けた件をまとめてみた - piyolog
内閣府のFileZenへの不正アクセスについてまとめてみた - piyolog
Linuxで脆弱性が見つかった場合の対応方法 まとめ | DevelopersIO
Dell製PCで確認されたeDellRoot証明書の関連情報をまとめてみた - piyolog
政府情報システムにおける 脆弱性診断導入ガイドライン
Japan Vulnerability Notes
時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
鳥越俊太郎、池上彰のインタビューを拒否 : 痛いニュース(ノ∀`)
トレンドマイクロの「パスワードマネージャー」に情報漏えいの脆弱性など、JVNが注意喚起
国産の圧縮形式「LZH」のUNLHA32.DLLの開発中止へ、LZH形式使用中止を呼びかけ
ざっくり概要!Linuxセキュリティに関する基礎知識まとめ
僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog
「LZH」の開発中止--企業などは使用しないよう作者が注意喚起
第4回 わずか1週間程度でBashが大幅な進化を遂げた ~Shellshock大暴れ~ | gihyo.jp
「酷すぎる…」って思う歴史上の出来事:哲学ニュースnwk
CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org
FrontPage - PukiWiki-official
JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
FREAK についてまとめてみた - piyolog
sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
Slackを導入するまでの話 - ぐるなびをちょっと良くするエンジニアブログ
高木浩光@自宅の日記 - はてなブックマークを禁止する技術的方法, 追記, 追記2 (23日)
コレもヒドいダダ漏れ。サイボウズで会社名と社員名がダダ漏れな件について - それマグで!
JVNTA12-240A: Oracle Java 7 に脆弱性
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
フジテレビ『FNSうたの夏まつり』ウェブサイトのアーティスト名がめちゃくちゃと話題に : 痛いニュース(ノ∀`)
「ウイルスバスター クラウド」に複数の脆弱性 ~JVNが注意喚起/情報漏洩や権限昇格につながる可能性
JVNDB-2009-004384 - JVN iPedia - 脆弱性対策情報データベース
JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性
蓮舫氏「どれだけ偉いの?」 民度発言の麻生氏を非難:朝日新聞デジタル
世界が金色に輝く魔法のような時間帯「マジックアワー(ゴールデンアワー)」に撮影された美麗な風景写真25枚