rryuのブックマーク / 2016年9月13日 - はてなブックマーク

rryu id:rryu

2016年9月13日のブックマーク (5件)

豊洲市場　盛土問題についてよくわかる「技術会議」の話
なんかゆえあって資料あさって読んだからまとめとくわ。（追記したわー）いま来た人向けWebで誰でも見ることが出来る資料だと、「建物地下の盛土を止めた」とは判らない盛土せず、地下空間を活用する案が議論された資料はある→その案が破棄された資料もある全区画で盛土完了の報告資料はある「専門家会議」も「技術会議」も、公開されている資料を見る限りでは、建物地下については盛土前提だねーちょっと詳しいまとめ「専門家会議」は、「地下水管理と全面盛土が前提」は、本当。東京都も同認識。「技術会議」で「地下空間」が出てこないというのは、嘘。何度も出てくるし質疑も多い。「技術会議」で「地下空間」が了承されたというのは、嘘。第9回で、明示的に否定されている。(ただし費用対効果でNGだった)「埋め戻し・盛土」については、全区画で完了していると、東京都は説明している。「豊洲新市場予定地の土壌汚染対策工事に関する技術
rryu 2016/09/13
地下室作るとその分コストがかかるから却下という理由なんだろうが、あんなに水を使う建物に地下設備が要らない訳は無いからどこかで覆ったんだろうなあ。

豊洲新市場
リンク
MySQL 5.7.6は--secure-file-privを設定してないとWarningを吐くようになった
いいことだと思います :) MySQL :: MySQL 5.7 Reference Manual :: 5.1.3 Server Command Options 2015-02-17T07:09:49.446585Z 0 [Warning] Insecure configuration for --secure-file-priv: Current value does not restrict locatio n of generated files. Consider setting it to a valid, non-empty path. ちなみにこのオプション、5.0.38からあるけど知名度が低い。いい加減、自分たちが何かアクションしないと誰も設定してくれないことに気付いたのかしら。。 MySQL :: MySQL 5.0 Reference Manual :: 5.1.3
rryu 2016/09/13
強力すぎるFILE権限で触れるファイルの場所を制限する機能があったのか。

mysql

セキュリティ
リンク
ING銀行の基幹データセンター、消防訓練で消火ガス噴射の衝撃音が大量のハードディスクとサーバを破壊。ATMや決済サービスが停止に
ING銀行の基幹データセンター、消防訓練で消火ガス噴射の衝撃音が大量のハードディスクとサーバを破壊。ATMや決済サービスが停止にオランダに本社を置く大手金融機関INGの基幹データセンターで、消防訓練のため消火ガスの噴射をしたところ予想以上に大規模な衝撃音が発生。大量のハードディスクやサーバが故障したと報道されています。 Fire drill knocks ING bank's data centre offline - BBC News ING Bank pays back fees to clients affected by system crash in Romania A Loud Sound Just Shut Down a Bank's Data Center for 10 Hours | Motherboard これにより9月10日土曜日の朝から夜まで、同社のATMやカード
rryu 2016/09/13
ガス消火設備は中に人がいない前提のものなので遠慮なく放出するけど、HDDは人と同じように振動に弱いのでジェットエンジン並みの騒音にやられてしまったのか。

システム障害
リンク
MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662
__ __ __ __ __ / / ___ ____ _____ _/ / / / / /___ ______/ /_____ __________ / / / _ \/ __ `/ __ `/ / / /_/ / __ `/ ___/ //_/ _ \/ ___/ ___/ / /___/ __/ /_/ / /_/ / / / __ / /_/ / /__/ ,< / __/ / (__ ) /_____/\___/\__, /\__,_/_/ /_/ /_/\__,_/\___/_/|_|\___/_/ /____/ /____/ <-- BACK TO legalhackers.com Follow @dawid_golunski ~~~~~~~~~~~~~ ExploitBox.io ~~~~~~~~~~~~~~~~ Interested in security / vulns
rryu 2016/09/13
INTO OUTFILEでmy.cnfを書き換える脆弱性は2003年に対策されたけどgeneral_logを使えばまだできるよって話らしい。TRGファイルにトリガーを直接書いてrootとして実行させる技すごい。

mysql

セキュリティ
リンク
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在
rryu 2016/09/13
set global general_log_file経由でmy.cnfに書き込めるのが問題なのならば、対応に時間がかかっているのはどう修正するのがいいのかが難しいからではないだろうか。そもそもそんなことができる時点で大分脆弱だし。

mysql

セキュリティ
リンク
- 2016年9月15日
- 2016年9月13日
- 2016年9月12日