oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After observing a few odd symptoms around liblzma (part of the xz package)
EC2インスタンスの踏み台を用意したくない こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスの踏み台を用意したくないと思ったことはありますか? 私はあります。 VPC上のRDS DBインスタンスやRedisクラスター、OpenSearch Service ドメインなどのリソースに接続したい場合、Site-to-Site VPNやClient VPN、Direct Connectがなければ踏み台(Bastion)が必要になります。 踏み台へのアクセス方法は以下のようなものがあります。 直接SSH SSMセッションマネージャー EC2 Instance Connect そして、踏み台となるリソースとして採用される多くがEC2インスタンスだと考えます。EC2インスタンスの場合、OS周りの面倒をみる必要があります。OS内のパッケージのアップデートが面倒であれば「踏み台が
「Linux」でSSHのセキュリティを強化するヒント
Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部 2024-02-29 07:45 筆者は何十年も前からセキュアシェル(SSH)を使用している。このリモートログインツールを使用すると、リモートマシンがログインを安全かつ効率的に受け入れるようになるので、安心できる。その一方で、ネットワークに接続されたデバイスにおいて、完璧なセキュリティなどあり得ないことも理解している。筆者が使用するすべてのコンピューターで、必ずSSHのセキュリティを強化するようにしているのは、そのためだ。 セキュリティの「層」をいくつか追加することがいかに簡単であるかを知って、驚く人もいるかもしれない。以下で説明するように、「Linux」デスクトップおよびサーバーマシンのセキュリティを簡単に強化できるヒントがいくつかある。これらのヒントを実践すれば、不要なログインをより効果的に阻止す
Cloudflare Warpは、Cloudflareが提供する無料のVPNサービス。 Webサイトやアプリの閲覧を高速化、安全化、プライバシー保護を目的としている。 Warpは、Cloudflareのグローバルネットワークを介して、ユーザーのインターネットトラフィックを暗号化し、最適化することでWebサイトやアプリの読み込み速度が向上し、遅延が減少する。 またIPアドレスをcloudflareのものにできるため、プライバシーを保護する。 Warpは、iOS、Android、Windows、Mac、Chrome OS、Linuxなどのプラットフォームで利用できる。 結局のところWarpは、以下のようなユーザーにおすすめ。
本記事は 【Advent Calendar 2023】 6日目の記事です。 🎄 5日目 ▶▶ 本記事 ▶▶ 7日目 🎅 はじめまして、檀上です。 普段は顧客の社内システムの要件調整・基本設計などを担当しています。 さて、私は仕事で悩んだときにとりあえず本屋に行って本を買い漁るという癖があり、自宅には、読書が趣味ではない人にしては結構な数の本があります。 読み終わった後に心に残らなかったら売りに出すので、自宅に残っている本は個人的にかなりおススメできる本になっています。 今日は私の本棚に置いてあるおすすめ本を何本かピックアップして紹介させていただきます。 悩める社会人の皆様の一助になれば幸いです。 その1:セキュリティってどうやって守られてるの? その2:アジャイルってどうやって進めたらいいの? その3:チームでのふりかえり、どうやって話したらいいの? その4:社会人らしくふるまえない
Starlink(スターリンク) 対応ルータをSEIL/x86 Ayameで自作する | IIJ Engineers Blog
結構長くゲーム業界に出向していましたが、2022年秋に戻ってきました。 ゲーム業界での経験も生かしながらIIJのエンジニアとしてちょっと面白いことを提供できていければいいなぁと思っています。 格闘ゲームの世界チャンピオン(Evo2017)になった従兄弟がいますが彼にゲームを教えたのは僕ではありません。2023年は4位でしたね、おめでとうというべきか残念というべきか。 どうぞよろしくお願いします。 SEIL/x86をStarlinkルータとして考える Starlink付属のWi-Fiルータはカスタマイズできる範囲がとても狭く、面白くありません。 そこで多機能なIIJルータに置き換える話をしたいわけですが、機器として提供しているのはいずれも法人向けの製品で、MPCと呼ばれるクラウド型のマネジメントサービスとセットになっています。 そこで今回は個人でもAmazonから購入できるソフトウェアルータ
1Passwordを利用したSSH時のToo many authentication failuresを回避する | DevelopersIO
SSHキーを1Passwordに保存しておき、 ~/.ssh/configに IdentityAgent "~/Library/Group Containers/HOGEHOGE.com.1Password/t/agent.sock" という設定を書いておくと秘密鍵を1Passwordから出すことなくサーバに接続することができます。 こちらの内容については下記ブログなどをご参照ください。 https://dev.classmethod.jp/articles/1Password-git-ssh/ 私はこの方法を愛用していたのですが、 ある日次のエラーが出るようになりました。 Received disconnect from UNKNOWN port 65535:2: Too many authentication failures Disconnected from UNKNOWN por
Google、「Chrome Enterprise Premium」発表。Chromeブラウザにポリシーの適用や動的URLフィルタリングなどのエンドポイントセキュリティを提供
Google、「Chrome Enterprise Premium」発表。Chromeブラウザにポリシーの適用や動的URLフィルタリングなどのエンドポイントセキュリティを提供 Webブラウザが、企業においてもあらゆる業務アプリケーションのフロントエンドとして使われるようになってきたと同時に、リモートワークの普及やBYOD(Bring Your Own Device)の拡大によって、オフィス以外の場所からWebブラウザを通じて企業内のアプリケーションや業務用のサービスにアクセスする、もしくは社員の私物のスマートフォンなどからWebブラウザを通じて業務アプリケーションにアクセスする機会が大幅に増大しています。 こうした状況においては、エンドポイントとなるWebブラウザにおいてマルウェアやフィッシングの対策、データ漏洩対策を行うことが欠かせません。 今回発表されたChrome Enterpris
OCIについて知らない方向け AWSは知ってるがOCIを知らないという方は取り急ぎ以下のようなページを読むとイメージが掴みやすいかと思いますのでリンクを貼っておきます。 本件では細かい用語の違いなどの説明は省略します。 OCIへの移行理由 今回移行した理由はコスト削減が最大の理由でした。 オンプレからAWSに移行したのは3年前の2021年2月で当時のドル円相場は約106円でした。 2021年のAWS移行当時、RDSのReserved InstancesとEC2のSavings Plansを3年で購入していました。(通常は1年などで購入されるケースの方が多いと思いますが、歴史のあるサービスなので急激なリソースの増減はあまり無さそうではと考えたためとなります。結果としては円が強いタイミングで安く買えて助かりました) 移行を検討し始めたのはRI/SPが切れる1年前くらいで、その時点のドル円レート
最近、国内企業、特に大企業のサプライチェーンに連なる中堅・中小企業を狙ったサイバー攻撃が多発している。業務停止を引き起こしたインシデントで近年大きな話題を集めたものとしては、大阪急性期・総合医療センターのランサムウェア被害事例が挙がるだろう。 調査報告書にもあるように、この事件では病院内システムへの侵入は関連する給食委託事業者を経由して実行された。リモートメンテナンスに使われていたVPN機器の脆弱(ぜいじゃく)性が狙われたと見られている。外部事業者の接続点、特にVPNの入口を狙った侵入手法はサイバー攻撃の常とう手段であり、企業規模にかかわらずどの企業でも注意する必要がある。 ただ、川口氏はこのような大きな事例だけでなく、報道などで明らかになっていないところでも中堅・中小企業を狙ったセキュリティインシデントが発生している点にも目を向けている。 「中堅・中小企業を狙ったサイバー攻撃の中では、電
SSHは暗号や認証技術を利用して安全にリモートコンピュータと通信するためのプロトコルですが、その通信の開始時に行うRSA署名の際に計算エラーが発生するとSSH秘密鍵が解析されてしまうことが実証されました。 (PDF)Passive SSH Key Compromise via Lattices https://eprint.iacr.org/2023/1711.pdf In a first, cryptographic keys protecting SSH connections stolen in new attack | Ars Technica https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/ SSHでは接続時にユ
Cado Securityは2024年7月17日(現地時間)、CloudflareのVPNサービス「Cloudflare WARP」(以下、WARP)がクラウドサービスの乗っ取りに悪用されていることを明らかにした。WARPを悪用した複数のキャンペーンが報告されている。 WARPはCloudflareの国際バックボーンを利用してトラフィックを最適化する無料のVPNだ。VPNプロトコル「WireGuard」のカスタム実装を介してCloudflareデータセンターにトラフィックをトンネリングすることで接続の高速化が図られている。またエンドユーザーのIPを「Cloudflare CDN」の顧客に提示するよう設計されている。 無料VPN機能「WARP」を攻撃者が悪用 特徴を逆手に取ったその手法とは? Cado Securityの調査によると、CloudflareのCDNを通さずに直接ターゲットのIP
SSH keys stolen by stream of malicious PyPI and npm packages
A stream of malicious npm and PyPi packages have been found stealing a wide range of sensitive data from software developers on the platforms. The campaign started on September 12, 2023, and was first discovered by Sonatype, whose analysts unearthed 14 malicious packages on npm. Phylum reports that after a brief operational hiatus on September 16 and 17, the attack has resumed and expanded to the
世界的なパンデミックと前後して発生した「半導体不足」もようやく出口が見えてきました。まだまだ足りない状態でありますが、「全然ない」という状況は脱しつつあるようです。これは教育向けからホビー用途・IoT・産業用に至るまで幅広く使われるようになったRaspberry Piについても同じで、一時期ほとんど手に入らない状態ではありました。しかしながら最近は、モデルによっては普通にもしくは運が良ければ購入できる状態になっています。 今回はリリース後もなかなか入手できない状態が続いていた、Raspberry Pi Zero 2 WにUbuntuをインストールしてみましょう。 図1 高性能でフットプリントが小さいRaspberry Pi Zero 2 W Wi-Fi/BTに対応しUbuntuも使えるRaspberry Pi Zero 2 W Raspberry Piには様々なモデルが存在します。そのう
本記事は マイグレーションウィーク 3日目の記事です。 💻🖥 2日目 ▶▶ 本記事 ▶▶ 4日目 🖥💻 はじめに こんにちは。入社2年目の牛塚です。部署に配属されてからもうすぐ一年になりますが、さまざまな経験をし多くのことを学ぶことが出来ました。私は普段オンプレサーバーからクラウド環境へ移行する案件を担当しており、その中でAnsibleをはじめて使いました。今回はAnsibleについて簡単な説明と、実際に案件で使ってみて感じたことをまとめてみました。 Ansibleとは AnsibleとはサーバーをはじめとしたIT機器の構築作業を自動化できるIaCサービスです。サーバーのセットアップをする際には要件に合わせて、ソフトウェアのインストール、サービスの設定・起動、など一連の作業が必要となります。これらの作業をコマンドを入力して手作業で進めると、思わぬミスが起こる可能性があります。 An
Posted on Monday, April 1, 2024. Updated Wednesday, April 3, 2024. Over a period of over two years, an attacker using the name “Jia Tan” worked as a diligent, effective contributor to the xz compression library, eventually being granted commit access and maintainership. Using that access, they installed a very subtle, carefully hidden backdoor into liblzma, a part of xz that also happens to be a d
Linux Daily Topics Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ Linux Foundationは10月4日(米国時間)、BastionZeroおよびDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」をローンチすることを発表した。 Linux Foundation, BastionZero and Docker Announce the Launch of the OpenPubkey Project -linuxfoundation.org The Linux Foundation, BastionZero and Docker are excited to announce the launch of OpenPubkey as a Linux
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、「Debian Linux」ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が「Linux」システムを乗っ取れるようにすることだ。 近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の「
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ
はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。 できないことを悩まない 入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。で
社内向けStreamlitのデプロイの現実解
結論 社内データを扱うアプリケーションを安全にデプロイするならCloudflare Tunnel,Cloudflare Accessを使う。要件次第ではStreamlit in Snowflakeも使える。 はじめに Streamlitはデータアプリケーションを短時間で作成できる便利なツールですが、社内データを扱うアプリケーションをデプロイする際は外部からの不正アクセスを防ぐように厳重な注意が必要です。 にもかかわらず、Streamlitを安全にデプロイする成熟した方法はまだありません。 本記事では、最も単純なStreamlitのデプロイ構成の例から問題点を再確認し、それらを解決する方法を順に説明します。ただし、本記事で紹介する構成を使うにはドメインのネームサーバーがCloudflareである必要があることに注意してください。 単純な構成はどう危険なのか? まずは非常に単純なStreaml
AWS CodeCommit リポジトリを他の Git プロバイダーに移行する方法 | Amazon Web Services
Amazon Web Services ブログ AWS CodeCommit リポジトリを他の Git プロバイダーに移行する方法 本記事は 2024 年 7 月 31 日時点のブログ How to migrate your AWS CodeCommit repository to another Git provider を翻訳したものです。 慎重に検討を重ねた結果、 2024 年 7 月 25 日をもちまして、 AWS CodeCommit について、新規のお客様向けのアクセスを閉じることを決定いたしました。 AWS CodeCommit を既にお使いのお客様は、これまで通りサービスをご利用いただくことが可能です。 AWS は AWS CodeCommit のセキュリティ、可用性、パフォーマンスの改善に引き続き投資を行ってまいりますが、新機能の導入は予定しておりません。 お客様は、リポ
GitHub - amalshaji/portr: Open source ngrok alternative designed for teams
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
世の中には、一見関係なさそうな物理現象がITシステムに不可思議な影響を及ぼすことがあります 例えば,500マイル以上離れた場所にメールが送れないという話だったり 中国人のAさんがお茶を入れると会社のネットが繋がらなくなる という話があります。 私の場合は、祖母が就寝するとDBインサートが失敗する、という状況でした 実家の見守りシステム 問題が起きているのは、離れた実家にいる一人暮らしの祖母の状態を見守るために作成した自作のシステムです。 気温や湿度、CO2濃度、明るさ、部屋のドアの開閉、冷蔵庫の開閉の状況をモニタリングできるようにしています。 Raspberry Piに各種センサが接続され、定期的にInfluxDBに送信し、Grafanaという可視化ツールでいつでも見られるようにしています。 これらの情報を見ることで、祖母の家の部屋の温度が適切か、活動しているか、部屋にいるかなどが分かりま
OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響
セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vuln
【v6プラス/OCNバーチャルコネクトでもNATタイプA】LinuxでポートセービングIPマスカレード付きの制限コーン風NAT(EIM/ADF)を動かす - turgenev’s blog
概要 NAT動作をめぐる誤解まとめ - turgenev’s blogでは、UDPホールパンチングのしやすさとポートの節約を両立するには「Address Dependentなマッピングを保持しつつEIM風に動作するADFなNAT」が一番いいという話を書きました。これだとv6プラスやOCNバーチャルコネクトでもNintendo SwitchのNAT判定が「タイプA」になります。 この記事では、Symmetric NAT/Full Cone NATをサポートするruby製NATであるrat(GitHub - kazuho/rat: NAT written in pure ruby)を手元で動かし、またコードを少しだけ変更することで上記のようなNATを実際に動作させるところまでを紹介します。変更後のコードはGitHub - ge9/rat: NAT written in pure rubyに公開
i. アタッチされていない不要なElastic IPアドレスが無いか確認する これは今回の料金体系が適用される前にも有効な対策です。(現時点でも課金対象のため) 「1.現状把握」章でも紹介しておりますが、まずはアタッチされていない不要なIPv4アドレスが無いか、Amazon VPC IP Address Manager (IPAM)から確認します。 関連付けれていないEIPが想定より多い場合は削除を検討します。 「不要な」と記載した通り、将来的に利用を想定しているEIPは誤って消さないように注意しましょう。 また、ただ単純にEC2へのSSH/RDPのためにIPv4アドレスを利用している場合は、Systems Manager Fleet Managerや、EC2 Instance Connect Endpointを代替利用できる可能性があります。 アタッチされているIPv4アドレスに対しても
Blog をリニューアルするにあたり、今までの Movable Type でテンプレート作って、という手法から、Movable Type は JSON データの書き出しだけ担当させて、フロントエンドは Astro と Tailwind CSS で開発する形に切り替えたので、その概要を簡単にメモ。 この Blog は立ち上げ当初から Movable Type で運用していますが、MT タグを書いて、テンプレートを作って、という一般的な運用っていうんですかね? それをやめて、Movable Type は記事データの管理と JSON を書き出す役割だけにして、フロントエンドは Astro + Tailwind CSS でリニューアルしました。 面倒だったのでデザインは大きく変えず、ぱっと見はリニューアルしたのがわかりにくい感じになっていますが、Movable Type とフロントエンドを完全に分
最近のWebサイトを表示する際は、サーバー証明書とTLSを利用したセキュアな接続が大半になってきました。これはセキュリティ意識の向上もさることながら、Let's Encryptに代表される「サーバー証明書の更新の自動化」もその一助となっていることでしょう。今回はこのLet's Encryptっぽいサービスをローカルネットワーク内部に構築してみましょう。 図1 step-caを使えば、自己署名証明書であってもLet's Encryptと同じ方法で自動更新できる Let's EncryptとACMEプロトコル Let's Encryptは無償でサーバー証明書を発行し、自動的に更新処理を行える認証局です。インターネットに関わる名だたる企業・団体の多くが参加することで、300万サイト以上という非常に多くの利用者を抱えているにも関わらず、10年以上に渡って無償でオープンな組織運営を続けています。 L
538 U-名無しさん 2023/09/05(火) 22:39:42 PIYnAR5y0 もうすぐJ1、J2、J3、ルヴァン杯、天皇杯、スーパーカップ、ACLを全て優勝した日本サッカー界の真の勝者が初めて生まれるらしい J1リーグ優勝 J2リーグ優勝 ルヴァン杯優勝 天皇杯優勝 富士フイルム(ゼロックス)スーパー杯優勝 アジアチャンピオンズリーグ優勝 現在J3リーグで愛媛FCは2位と勝ち点8差の首位。 残りは13試合。 540 U-名無しさん 2023/09/05(火) 22:45:00 r/eccDl40 >>538 すげえ 541 U-名無しさん 2023/09/05(火) 22:46:08 cj0xVaFc0 >>538 次はJFLやな 545 U-名無しさん 2023/09/05(火) 22:51:08 Dv2X+67Y0 >>538 まさかのヤット超え 546 U-名無しさん 2
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「インターネット定点観測レポート(2023年 10~12月)」において、2023年10月から12月までの期間にインターネット上に発信されたパケットの観測レポートを発表した。同レポートはインターネット上に分散配置された複数の観測用センサーを用いて、一定のIPアドレス帯に向けて発信されるパケットを収集、分析したものであり、JPCERT/CCはこれらデータからサイバー攻撃の準備活動などの捕捉に努めている。 インターネット定点観測レポート(2023年 10~12月) 「インターネット定点観測レポート」の概要 2023年10月から12月までの3か月間で観測された国内の通信サービスの上位5つは次のとおり。 tel
こんにちは、後藤です。 Terraform開発を進める中で「こんなことできるのか」と思った機能があったので、備忘録も兼ねて紹介します。 それはローカルのファイルを操作できる、という機能です。 TerraformではAWSやAzure、GCPなどのパブリッククラウドプロバイダを扱えますが、localやarchiveといったHashiCorp社によるプロバイダがあります。 このプロバイダを使えば、Terraformを実行するローカル環境のファイル操作が可能になります。 当記事では、よく使われるであろう方法を3つ紹介していきます。 ※Terraformバージョン1.5.6で検証しております。 1つ目:local_file local_fileリソースを記述すればローカル環境にファイルを作成できます。resourceブロックによってファイルを作成し、dataブロックによってファイルを読み込むことが
Debianプロジェクト、バックドアが発見されたXZを悪意の改変を含まない過去のバージョンまで戻すことを検討 | ソフトアンテナ
2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。 現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。 例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。 この情報によると、バックドアを追加したとされるxzのメンテナJia T
Terrapin Attack
Paper Vulnerability Scanner Q&A Patches News The Terrapin Attack will be presented at Real World Crypto Symposium 2024, and USENIX Security Symposium 2024. We compiled a comprehensive list of SSH implementations adopting the "strict kex" countermeasure by OpenSSH. Recommended Articles: Ars Technica (Dan Goodin), The Register (Connor Jones) Introduction SSH is an internet standard that provides sec
[アップデート] AWS Console-to-Code (Preview)が使用可能になりました #AWSreInvent | DevelopersIO
[アップデート] AWS Console-to-Code (Preview)が使用可能になりました #AWSreInvent こんにちは、つくぼし(tsukuboshi0755)です! AWS Console-to-Code (Preview) というサービスが発表されたので、今回試してみます! Console-to-Codeとは? AWSコンソールで行った操作を記録し、サンプルコードを生成するという、IaC導入に役立つサービスです。 現状バージニア北部(us-east-1)のEC2コンソールのみで提供されています。 以下の形式であれば、Console-to-Codeを用いてコード変換が可能なようです。 CDK(Java) CDK(Python) CDK(TypeScript) CloudFormation(JSON) CloudFormation(YAML) またこちらのサービス自体は、
![[アップデート] AWS Console-to-Code (Preview)が使用可能になりました #AWSreInvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f099104aaa09df58f234f4f90b04b2f5cefbb675/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F11%2Feyecatch_reinvent-2023-newservice-update.png)
こんにちは、ファインディのEND(@aiandrox)です! 2024年4月30日より、ファインディは新オフィスに移転しました。 findy.co.jp 新オフィスのここがすごい! 大崎駅から直結徒歩5分!雨に濡れずに出社できる! 前オフィスの2.3倍の広さ! オフラインイベントが開催できるイベントスペースが増えました! この記事では、そんな新オフィスについて、エンジニア目線で紹介します(2024年5月時点)。 執務室について ソファ席・ハイテーブル パントリー イベントスペースについて 社内イベントの様子 オフラインイベントの様子 おわりに 執務室について 執務室は前オフィスと同じようにシンプルな作りです。1フロアで、大体徒歩5分あれば1周できるくらいの広さです。 最大500席入る広さですが、現在は出社メンバーが200人程度なので空席が多いです。毎月ガンガン新しい方にジョインしていただい
社長室兼基盤エンジニアリング本部所属。これだけ見るとフルスタックエンジニアを超越しているが、実態はネットワークを中心にしたインフラ全般の企画が主なお仕事。AS2497 / The Internet / BGP / SRv6 【IIJ 2023 TECHアドベントカレンダー 12/22の記事です】 警告: タイトルから推測できるとおり、人によってはメンタルに来る可能性があります。at your own riskでお読みください。 私のXタイムラインにシスコシステムズさんのこんな記事が流れてきた。 引用元:愛の告白をBGPに載せて 本題 show ip bgpを実行するのに、こんなに緊張するのは初めてだ。流宇太(るうた)はターミナルソフト画面に表示されているshow ip bgpコマンドを凝視しながらこう思った。 まだ若手エンジニアとは言えるが、幾つかの難関ネットワーク案件を完遂してきた実績を
Microsoftやウィスコンシン大学マディソン校などの研究チームが開発し、2023年4月17日に公開した「LLaVA」は「視覚」を持つAIで、画像を入力するとその画像に基づいて返答を行うことができます。2023年10月5日に登場したLLaVA-1.5はさらにクオリティが向上しているとのことなので、実際にGoogleのクラウドコンピューティングサービス「Google Cloud Platform(GCP)」上で動作させてみました。 LLaVA/pyproject.toml at main · haotian-liu/LLaVA https://github.com/haotian-liu/LLaVA 2023年4月にリリースされた旧バージョンの性能や、デモサイトの使い方については下記の記事で確認できます。 画像を認識して年齢推測可能&人名クイズにも正答できる無料の高性能チャットAI「LLa
Blueskyのデータを独自サーバーでホストする仕組み「PDS(Personal Data Server)」を使ってみた
Blueskyが独自にデータをホストする仕組み「PDS(Personal Data Server)」をリリースしたとのことなので、早速サーバーにPDSをインストールして使ってみました。 Bluesky: An Open Social Web - Bluesky https://bsky.social/about/blog/02-22-2024-open-social-web bluesky-social/pds: Bluesky PDS (Personal Data Server) container image, compose file, and documentation https://github.com/bluesky-social/pds 一般的なSNSでは投稿、いいね、フォローなどのデータはSNSの運営会社によって保存されており、その会社のサービスの使用をやめたい場合はSN
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS CDKでECS Fargate Bastionを一撃で作ってみた | DevelopersIO
Cloudflare WarpをWireguardに設定する
仕事で悩んだときに出会う本 - NRIネットコムBlog
AWS から OCI に移行してコストを約半額にした話 - Qiita
中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク
計算エラーの発生時にSSHの秘密鍵が盗み取られる危険があることを研究者が実証
Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意
第777回 Raspberry Pi Zero 2 WにUbuntuサーバーをインストール | gihyo.jp
クラウド移行案件を担当してAnsibleを覚えた話 - NRIネットコムBlog
research!rsc: Timeline of the xz open source attack
Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ | gihyo.jp
「Tera Term 5.1」が公開 ~SSHプロトコルで発見された脆弱性「Terrapin Attack」に対処/来年で30周年を迎える老舗のリモートログオンクライアント
「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える
祖母が就寝するとDBインサートができなくなる - Qiita
AWS環境上のIPv4アドレス数を減らしたいときに確認するチェックリスト | DevelopersIO
Astro と Tailwind CSS でこの Blog をリニューアルしました
第775回 step-caで自前のLet's Encrypt/ACMEサーバーをUbuntu上に構築する | gihyo.jp
J1、J2、J3、ルヴァン杯、天皇杯、スーパー杯、ACLをすべて優勝するという偉業に近づいている男 :
マルウェアに感染したデジタルビデオレコーダーから大量の不審な通信、確認を - JPCERT/CC
Terraformでローカルファイルを操作する方法 ~よくある使い方3選~ - NRIネットコムBlog
ファインディの新オフィスを紹介します - Findy Tech Blog
別れ話をBGPに載せて | IIJ Engineers Blog
画像を見て質問に答えられるオープンソースなGPT-4レベルのAI「LLaVA-1.5」をGCP上で動作させてみた