2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC
20211210-TLP-WHITE_LOG4J.md Security Advisories / Bulletins / vendors Responses linked to Log4Shell (CVE-2021-44228) Errors, typos, something to say ? If you want to add a link, comment or send it to me Feel free to report any mistake directly below in the comment or in DM on Twitter @SwitHak Other great resources Royce Williams list sorted by vendors responses Royce List Very detailed list NCSC-N
awesome-selfhosted
Awesome-Selfhosted# Self-hosting is the practice of hosting and managing applications on your own server(s) instead of consuming from SaaSS providers. This is a list of Free Software network services and web applications which can be hosted on your own server(s). Non-Free software is listed on the Non-Free page. HTML version (recommended), Markdown version (legacy). See Contributing. Software# Thi
GitHub - taishi-i/awesome-ChatGPT-repositories: A curated list of resources dedicated to open source GitHub repositories related to ChatGPT and OpenAI API
awesome-chatgpt-api - Curated list of apps and tools that not only use the new ChatGPT API, but also allow users to configure their own API keys, enabling free and on-demand usage of their own quota. awesome-chatgpt-prompts - This repo includes ChatGPT prompt curation to use ChatGPT better. awesome-chatgpt - Curated list of awesome tools, demos, docs for ChatGPT and GPT-3 awesome-totally-open-chat
【マイクラ1.21】最も簡単に作れるスライム経験値トラップの作り方解説!Minecraft Easiest Slime Farm【マインクラフト/統合版/BE/JE/MCPE/PC/Xbox/PS4/Switch/ゆっくり実況】 - じゃがいもゲームブログ
皆様こんにちは! 如何お過ごしでしょうか。 今回は、最も簡単に作れるスライム経験値トラップの作り方について解説します! 今回のトラップは最も簡単に作れます。回路一切不要なので、エンドやネザーに行く必要なく作れます。ワールドを作りたての初心者でも作れる。5分で作れて1時間に3000個以上のスライムボールと経験値が得られます。では、早速作り方について解説したいと思います。 必要素材は以下の通りです。 特にレアなアイテムはありません。非常に低コスト。はしごは足場で代用可です。 文章じゃなくて動画で解説を見たいという方は下の動画を参考にしてください。最も簡単に作れるスライム経験値トラップの作り方を、動画でわかりやすく解説しています。 youtu.be ※1.20.32で作成しています。今回のトラップは統合版でもJava版でも作れます。 トライデントが入手できるドラウンド経験値トラップの作り方はこち
awesome-selfhosted
Awesome-Selfhosted# Self-hosting is the practice of hosting and managing applications on your own server(s) instead of consuming from SaaSS providers. This is a list of Free Software network services and web applications which can be hosted on your own server(s). Non-Free software is listed on the Non-Free page. HTML version (recommended), Markdown version (legacy). See Contributing. Software# Thi
<<< JPCERT/CC WEEKLY REPORT 2021-07-28 >>> ■07/18(日)〜07/24(土) のセキュリティ関連情報 目 次 【1】複数のFotinet製品にuse-after-freeの脆弱性 【2】複数のCitrix製品に脆弱性 【3】2021年7月Oracle Critical Patch Updateについて 【4】複数のApple製品に脆弱性 【5】Google Chromeに複数の脆弱性 【6】複数のアドビ製品に脆弱性 【7】Drupalのサードパーティライブラリに脆弱性 【8】複数のCisco製品に脆弱性 【9】Microsoft WindowsにシステムフォルダーのACL設定不備による権限昇格の脆弱性 【10】Arcadyan製ソフトウェアを使用するルーターにディレクトリトラバーサルの脆弱性 【11】Minecraft Java Edition
こんにちは。株式会社アイデミーの清水(@meso)です。 アイデミーは、DXリテラシーからAI/機械学習の専門知識までオンラインで学べるラーニングサービス Aidemy を運営しています。 教育サービスをやっているソフトウェアエンジニアという立場なので、自分の子にもプログラミングをどう経験させようかとずっと考えてきましたが、その一つの道筋が見えてきたのでそれを共有しつつ、そのために必要なツールとして表題のアドオンをご紹介いたします。 対象読者は、普段から TypeScript や JavaScript のコードを書いていて、子供にプログラミングに親しみを持ってもらいたいと思っている Web エンジニアを想定しています。 Minecraft とプログラミング 娘は、年長さんのころからマインクラフトにハマり始めました。きっかけは YouTube で「まいぜんシスターズ」や「HIKAKIN」の動
可視化はGrafanaでって言ったよね
Aruba Instant APのsyslogから、干渉デバイスのHeatmapを作成 Queries, Transformations, Visualizationsを纏めて解説 Loki #見出しにジャンプ Grafanaは主に可視化のみ担当し、裏にデータソースがあって初めて機能する。Grafanaが参照するデータソースには、時系列データベースのLokiを使用した。 Lokiは、下記のユースケースを満たしていた。 ネットワーク機器からのsyslog -> Promtail RFC3164ですらないsyslog -> rsyslog Journald -> Promtail アプリケーションからのPOST -> Loki HTTP API アプリケーションサーバにGET -> cURL & Loki HTTP API 使っていく中で、数値型の扱いや表示速度が気になった。前者はLogQLや
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
JPCERT コーディネーションセンター Weekly Report
TypeScript で Minecraft のサバイバルを楽にするアドオンを作ってみた