サーバー構築の練習ができるLinux学習サイトInfraAcademy(インフラアカデミー) - Qiita
こんにちは、 InfraAcademyというLinuxやネットワークの学習サービスを作成しております、ryuと申します。 サーバー構築が練習できるLinux学習サイトInfraAcademyについてご紹介します! シミュレーターを使ってサーバー構築の練習ができる InfraAcademyでは、Linuxのシミュレーターを使ってサーバー構築の練習ができます。 今までは、VirtualBoxで学習を進めていた人も多いでしょう。 私自身もVirutalBoxでサーバーの学習をしていました。しかし、環境構築に時間が掛かります。特に、複数台の連携したサーバー構築の準備に時間がかかりました。 しかし、InfraAcademyではそのような手間は一切かかりません! 関連記事:インフラ学習におすすめのサイトInfraAcademyとは? 環境の準備が1クリック Linuxの環境準備は1クリックで完了です!
「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
ポートスキャナ自作ではじめるペネトレーションテスト
本書は、ポートスキャンを用いて攻撃者がネットワークを経由してどのように攻撃してくるのかを具体的な手法を交えて学び、攻撃手法を知ることでセキュリティレベルの向上を目指す書籍です。Scapyを用いてポートスキャナを自作し、ポートスキャンの仕組みや動作原理をしっかりと学びます。そのあとで、脆弱性診断やペネトレーションテストに不可欠なNmap、Nessus、Metasploit Frameworkなどのツールについて解説します。ハンズオンで学習を進めながら徐々にステップアップしていける構成となっています。攻撃者側の思考プロセスを理解し、対策を強化しましょう。付録ではペンテスターのキャリア形成、関係の築き方などにも触れ、著者の豊富な経験からのアドバイスを紹介しています。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作
Ubuntu Weekly Topics Ubuntu 24.10(oracular)の開発 ; サードパーティーソフトウェアの導入ポリシーの整理 oracularの開発 ; サードパーティーソフトウェアの導入ポリシーの整理 oracularの開発そのものはFeature Freezeまであと二週間ほどとなり、「隠し球」のたぐいが投入されたり、あるいは予定していた機能のうち一部が削られるタイミングですが、夏休みシーズンやオリンピックと時期が重なっていることもあり、開発そのものについては今週は大きな動きはありませんでした。 もっとも「大きな動き」がなかったのは開発そのもので、開発ポリシーという観点では非常に大きな動きが開始されています。Ubuntuに含められるサードパーティーソフトウェアの導入ポリシー(policy on third party software sources inclu
--------------------------------------------------------------------- ■b.root-servers.net(B-Root)のIPアドレス変更に伴う設定変更について 株式会社日本レジストリサービス(JPRS) 初版作成 2023/11/28(Tue) --------------------------------------------------------------------- ▼概要 2023年11月27日(協定世界時)、ルートサーバーの一つである b.root-servers.net(B-Root)のIPアドレスが変更されました。 旧IPv4アドレス:199.9.14.201 新IPv4アドレス:170.247.170.2 旧IPv6アドレス:2001:500:200::b 新IPv6アドレス:2801:1
【セキュリティ ニュース】「BIND 9」にアップデート - DoS脆弱性4件を修正(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
CentOS 7と脆弱性
企業がセキュリティ事故から身を守るためには「脆弱性と EOL(End Of Life: サポート終了)」にも気をつける必要があります。その中でも特に多くの企業で Red Hat Enterprise Linux の代替として使われている「CentOS Linux(以下、CentOS)」の EOL と脆弱性について説明します。 1. CentOS 7 の EOL は 2024 年 6 月 CentOS にも当然 EOL がありますが、中でも CentOS 7 は 2024 年 6 月 30 日で EOL を迎えます。 それ以降は、重大な脆弱性が発見されても開発本家のセキュリティアップデートが提供されなくなります。 一口に「セキュリティアップデートが提供されなくなります」と言っても、どれくらいの影響があるのか判断しにくいと思います。そこで実際に、2021 年〜2023 年に公開された脆弱性がど
【セキュリティ ニュース】「BIND 9」の脆弱性、関連機関がアップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT
「BIND 9」に複数の脆弱性が明らかとなった問題を受け、関連機関からもアップデートが強く推奨されている。 重要度が「高(High)」とされるサービス拒否の脆弱性「CVE-2024-0760」「CVE-2024-1737」「CVE-2024-1975」「CVE-2024-4076」が判明。 Internet Systems Consortium(ISC)では、これら脆弱性を解消したアップデート「同9.20.0」「同9.18.28」をリリースした。 日本レジストリサービス(JPRS)では、いずれの脆弱性も「緊急」としており、「権威DNSサーバ」「キャッシュDNSサーバ」のいずれもアップデートを強く推奨している。 またアップデートがリリースされたことを受け、日本ネットワークインフォメーションセンター(JPNIC)や、JPCERTコーディネーションセンターなども情報提供を行っている。 (Secu
はじめに 今日は脆弱性を利用するとこんなことができてしまうから気をつけましょうというのを実際の攻撃をしていきながらお見せしようと思います。 ※注意 ここで書かれていることを第三者に対して実行した場合不正アクセス禁止法によって罰せられる可能性がある為くれぐれも実行しないようにご注意ください。 私も仮想環境の中で攻撃される用のマシンに対して実行しました。 利用ツール Metasploitable2(マシンA) セキュリティのお勉強用の脆弱性がたくさん用意されたマシン kali Linux Rolling (2024.1) x64(マシンB) 攻撃用の仮想マシン nmap ポートスキャン用ツール 主に上記を使いました。 なお、攻撃を実行するにあたってハッキングラボの作り方(IPUSIRON著)を参考にしております。 また、今回は脆弱性があるとどんなことが行われるかを紹介をするのみにしようと思うの
Ubuntu Weekly Topics Ubuntu 24.04 LTS(noble)の開発 / Feature Freeze後の試行錯誤、22.04.4 LTSのリリース noble(Ubuntu 24.04 LTS)の開発 / 初期インストールソフトウェアの変更 nobleはFeature Freezeを過ぎて、ここからは「品質を高めるため」の時間に入ります。 もっとも、UbuntuではFeature Freezeは「以降は新機能の投入に審査が必要になる」という意味しかなく、これ以降の仕様が動かないわけではありません。実際に「デフォルトではゲームをインストールしないようにするのはどうだろう」といった提案やインストーラーのユーザビリティテストが行われており(テストを行うということはつまり、悪い箇所があれば画面遷移等を見直す=機能的な変化が生じるということです)、GNOME Te
2023年9月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2023年9月観測レポートサマリ 本レポートでは、2023年9月中に発生した観測情報と事案についてまとめています。 当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数は先月から減少しました。最大規模を観測した攻撃はSYN Floodでした。また、当月最も長く継続した攻撃は31分にわたるものであり、主にDNSプロトコルを用いたUDP Amplificationでした。 IPS/IDSにおいて検出したインターネットからの攻撃について、当月は/etc/passwdへのアクセス試行が最も多く観測されています。また、Grafanaのディレクトリトラバーサルの脆弱性(CVE-2021-4
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2024/02/14(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedにおいて過剰なCPU負荷が誘発され、結果としてサービスの停止や品質 低下などが発生する可能性があります。 該当するBIND 9
【セキュリティ ニュース】「BIND 9」に複数脆弱性 - 影響範囲広く緊急対応を(1ページ目 / 全2ページ):Security NEXT
Internet Systems Consortium(ISC)は、現地時間2月13日にDNSサーバ「BIND 9」のセキュリティアップデートをリリースした。一部脆弱性は影響範囲が広く、クエリ、応答のいずれにおいても悪用が可能であるとして関連機関から緊急で対策を講じるよう注意喚起が行われている。 脆弱性によって影響を受ける利用環境やバージョンは異なるが、あわせて7件の脆弱性が明らかとなった。 重要度が「クリティカル(Critical)」とされる脆弱性は含まれていないが、「CVE-2023-4408」「CVE-2023-5517」「CVE-2023-5679」「CVE-2023-6516」「CVE-2023-50387」「CVE-2023-50868」の6件については、上から2番目にあたる「高(High)」とレーティングされている。 DNSメッセージの解析に不備があり、細工したクエリや応答に
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
Ubuntu 24.10(oracular)の開発 ; サードパーティーソフトウェアの導入ポリシーの整理 | gihyo.jp
「BIND 9」に2件の脆弱性、namedに対するDoS攻撃が可能
b.root-servers.net(B-Root)のIPアドレス変更に伴う設定変更について
【脆弱性】脆弱性を放置するとどんな事が起きるのか - Qiita
Ubuntu 24.04 LTS(noble)の開発 / Feature Freeze後の試行錯誤、22.04.4 LTSのリリース | gihyo.jp
wizSafe Security Signal 2023年9月 観測レポート
(緊急)BIND 9.xの脆弱性(過剰なCPU負荷の誘発)について(CVE-2023-50387) - バージョンアップを強く推奨 -