10月に入り、9月までに起こったことをざっと振り返るというお題がどこかから聞こえてきたので、「じゃあ……」という感じで振り返ってみることとします。 わずか1週間程度でBashが大幅な進化を遂げた ~Shellshock大暴れ~ まだ現在進行形の事案ではありますが、9月下旬に発覚したBashの脆弱性に起因して、10月上旬までまだ収束していないShellshock。 Bash 4.3の例で説明すると、Patchlevel 25~30までは以下のような軌跡をたどっています。 9月24日にPatchlevel 25 9月26日にPatchlevel 26 9月27日にPatchlevel 27 10月1日にPatchlevel 28 10月2日にPatchlevel 29 10月5日にPatchlevel 30 この間に発見、修正された脆弱性は、CVE-2014-6271、CVE-2014-71
Linux などで使用されるオープンソースプログラム「Bourne Again shell(bash)」に存在する脆弱性「Shellshock」が最初に発見されてから、さまざまな問題が bash に確認されています。これは意外なことではありません。OpenSSL に存在する脆弱性「Heartbleed」も発覚後、OpenSSL に存在するさまざまな脆弱性が確認されました。今回の bash と「Shellshock」においても、同様のことが繰り返されています。 ■脆弱性「Shellshock」の概要 2014年10月2日現在、脆弱性「Shellshock」に関する脆弱性識別子 CVE は6つ公開されています。この脆弱性を利用した遠隔からの攻撃は、bashシェルのよく知られた機能に関係しています。それは、入力値や関数を環境変数に割り当てることを可能にする機能です。これらの不具合は、シンタックス
》 個人情報を含むメール誤送信と対応について (龍谷大学, 10/30) 龍谷大学では、2014年10月23日(木)17時頃、10月25日(土)から2日間にわたり実施しました理工学部研究室公開の運営補助をおこなう本学学生アルバイトである理工学部および大学院理工学研究科の学生105名に対し、事務連絡をする際に、理工学部および大学院理工学研究科の学生2,634名分の個人情報(生年月日を除く、氏名、住所、電話番号、メールアドレスなど)を含んだメールを誤って送信しました。 うわー orz どうしてそうなった……。 これを受け、本学では、学外への個人情報流出という事態を防ぐため、学生アルバイトに、個人情報を含む、誤送信したメールの削除を至急依頼し、2014年10月26日(日)午前に、すべての処理の完了を直接本人と対面して確認するとともに、2,634名の学生に対して、流出した個人情報の内容を通知しお詫
各位 JPCERT-AT-2014-0037 JPCERT/CC 2014-09-25(新規) 2014-10-08(更新) <<< JPCERT/CC Alert 2014-09-25 >>> GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html I. 概要 GNU bash の環境変数の処理には脆弱性があります。外部からの入力が、GNU bash の環境変数に設定される環境において、遠隔の第三者によって任意のコー ドが実行される可能性があります。 ** 更新: 2014年9月30日修正 ***************************************** 本脆弱性を使用する攻撃を確認しておりますので、該当するバージョンの GNU bash を使用している場合は、「III. 対策」を参考に、
System Requirements: OS X Mavericks v10.9.5 or later File Size: 3.4 MB Download This update fixes a security flaw in the bash UNIX shell. See this article for details on how to verify the authenticity of this download. For more information on the security content of this update, see http://support.apple.com/kb/HT1222. Supported Languages: Bahasa Indonesia, British English, Crna Gora, Dansk, Deutsc
GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。 bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。 ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。 bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。 図:脆弱性を悪用した攻撃のイメージ 警察庁によると本脆弱性を標的としたアクセスが観
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く