Apache HTTPD 2.2.21 における変更点 (CVE-2011-3192 Range header DoS 対策) - LowPriority
やっと出たので動作差分です。主に2.2.20でエンバグして修正された点が主になります。 現時点ではまだリリースノートは更新されていませんが、開発者によるGA投票通過して ミラーもされてるので引っ込む事は無いでしょう。 ともあれ今回の件はこれで最後になるといいなぁ。 アドバイザリはこちら。(2011/09/14 ドラフトから正式版に張り替え) 大きな変更としては1.3系が影響対象外になった旨が記載されています。 Apache HTTPD Security ADVISORY UPDATE 3 - FINAL http://httpd.apache.org/security/CVE-2011-3192.txt Rangeリクエスト関連の処理で2.2.19から動作が変わった点は以下です。 2番目と4番目は本質的には同じでしたが、実際にバグを踏んだ例があったので 分離しています。 リグレッションした
ニューヨークだより2012年3月
ニューヨークだより 2012 年 3 月 - 1 - 米国における M2M の動向 和田恭@JETRO/IPA New York 1.はじめに 現在、米国を始めとして、遠隔地にある電子機器・端末同士がネットワーク(主に無線)を 通して接続され、人間を介在せずに自律的な制御・情報処理を行う仕組みである M2M (Machine-to-Machine)に対する注目が高まっている。 M2M 技術については、ロジスティックス、遠隔機器からのセンサー入力を活用した医療、 スマートメーターからの検針データを活用したスマートグリッドなどでの活用・検討が進め られてきたが、将来的には、このほかセキュリティ、スマートシティ(都市インフラの IT 化 による公益事業、運輸、都市交通、リサイクルなどの効率的な運営)1 などの各分野で、M ニーズが高まると見込まれている2 。2011 年 10 月に Gartn
第10回:XMLを利用したDoS攻撃への対策/デベロッパーズコーナー:Javaプログラミングを極める「DoS攻撃への対策」(1)
DoS(Denial of Service)攻撃とは、悪意を持つ者が、標的としたサーバのサービスを停止に追い込むような攻撃をいいます。通常はサーバに対して短時間に非常に多くのリクエストを送りつけたり、サーバソフトウェアのバグを狙って攻撃するものが多いのですが、XML データを受信して処理するサービスでは、たった 1 回の通信でサービス能力の低下、あるいはサービス停止に追い込まれる可能性があります。今回はその点を検証し、対策を考えましょう。 みなさんは「ブラウザ・クラッシャー」という言葉をお聞きになったことがあるでしょうか?ブラウザでWeb ページを開いた時にブラウザをフリーズさせたり、システムをリソース不足にして動作不能にさせるような危険なWeb ページのことです。匿名掲示板などでいやがらせをするためにブラウザ・クラッシャーへのリンクが書き込まれる場合があるの で、リンクを不用意にクリック
[セキュリティ]XMLをparseするアプリのセキュリティ|2009-06-21 - T.Teradaの日記
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
![[セキュリティ]XMLをparseするアプリのセキュリティ|2009-06-21 - T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/06a15c64ba0ceec233d86d71001ebb29a9dcbf5d/height=288;version=1;width=512/https%3A%2F%2Fcdn.blog.st-hatena.com%2Fimages%2Ftheme%2Fog-image-1500.png)
XML サービス拒否攻撃と防御策
このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 XML サービス拒否攻撃と防御策 Bryan Sullivan サービス拒否 (DoS) 攻撃は、Web サイトに対する攻撃の中で、最も古くからある種類の攻撃の 1 つです。DoS 攻撃は、少なくとも 1992 年の記録には既に残っており、SQL インジェクション (1998 年に発見されました)、クロスサイト スクリプティング (JavaScript が発明されたのは 1995 年になってからです)、およびクロスサイト リクエスト フォージェリ (CSRF (クロスサイト リクエスト フォージェリ) 攻撃は一般にセッション Cookie を必要としますが、Cookie が世に出たのは 1994 年になってか
ソーシャルゲーム特有の脆弱性を検査、MBSDとリンクトブレイン
リンクトブレインと三井物産セキュアディレクション(MBSD)は2月5日、ソーシャルゲームに特化したセキュリティ診断サービス「LB Check!」を提供する。 リンクトブレインと三井物産セキュアディレクション(MBSD)は2月5日、ソーシャルゲームに特化したセキュリティ診断サービス「LB Check!」を提供することを発表した。ソーシャルゲーム開発者やSNSプラットフォーム事業者を対象に、ブラウザやAndroid/iOS上で動作するアプリのセキュリティ上の欠陥を診断するサービスで、不正利用による被害拡大防止を図る。 MBSDはこれまで10年以上にわたって、PC向けWebアプリケーションの脆弱性を検査するサービスを提供してきた。新サービスのLB Check!は、ソーシャルネットワーキングサービス(SNS)上で提供されるゲームアプリケーションが対象だ。通常のWebアプリケーションが抱える脆弱性に
高木浩光氏による「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」のポイント解説 - Togetter
TAKAGI, Hiromitsu @TakagiHiromitsu 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」http://t.co/giM0AzYb 「Webアプリケーションを導入するにあたって、システムの脆弱性をなくし、安全に運用するために必要な要求仕様事項を取りまとめた特記仕様書の例です」 2012-10-22 15:00:03 TAKAGI, Hiromitsu @TakagiHiromitsu LASDEC「Webアプリケーションセキュリティ要求仕様等検討委員会」に参画し、長年の懸案であったセキュアな発注仕様の一つの在り方を示しました。 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」http://t.co/giM0AzYb 2012-10-22 19:46:01 TAKAGI,
「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開しました - 財団法人 地方自治情報センター(LASDEC)
現在位置: ホーム > 情報セキュリティ 対策支援 > 自治体セキュリティ支援室からのお知らせ > 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開しました 背景 情報システムは住民向けのサービス基盤として欠かせない存在ですが、情報システムを安全に利用する上で避けては通れない問題があります。それが「脆弱性」に関する問題です。 脆弱性とは情報セキュリティ上の弱点のことであり、脆弱性の問題を放置すると、情報の流出や、ホームページ等コンテンツの改ざん、サービスの停止などの問題を引き起こす可能性があります。一見すると安定して動作しているように見えていても脆弱性が内在することもあり、情報システムの調達・構築・運用にあたってこの対処をあらかじめ決めておくことは安定的な運用に欠かせないことです。 特に近年ではWebアプリケーションの脆弱性
横浜市HPの安全対策強化 : 神奈川 : 地域 : YOMIURI ONLINE(読売新聞)
横浜市のホームページ(HP)に脅迫文を書き込まれた事件に絡み、同市のHPの弱点が悪用された可能性があることから、市はHPのプログラムを修正してセキュリティー対策を強化する方針を固めた。 この事件を巡っては、明治大学生だった少年(19)が県警に逮捕され、その後、保護観察処分となった。しかし、今月上旬、「真犯人」を名乗る人物から東京都内の弁護士などに届いた犯行声明とみられるメールに、犯人しか知り得ない犯行予告の全文が書かれていたことなどから、県警は少年以外の第三者が関与しなかったか事件の検証を始めている。 犯行声明とみられるメールには、閲覧させたウェブサイトから不正な命令を送ってパソコンを操作する「クロスサイト・リクエスト・フォージェリ(CSRF)」と呼ばれる攻撃を仕掛けたと書かれている。 市IT活用推進課によると、悪用されたのは市広聴相談課の管理する市のHP内にある投稿欄「市民からの提案」。
<エアアジア>HP上で情報漏れ 他人分閲覧、予約変更も (毎日新聞) - Yahoo!ニュース
アジア最大の格安航空会社(LCC)グループ「エアアジア」のホームページ(HP)上で、予約番号を入力するだけで他人の電話番号やクレジットカード番号の一部など個人情報を見られ、閲覧した人が勝手に予約変更もできる状態になっていることが分かった。 17日午前11時ごろ、関東在住の男性会社員(42)がHPに誤って別の予約番号を入力すると、22歳のマレーシア人の氏名と生年月日、電話番号、メールアドレス、クレジットカード番号の下4桁などが表示された。予約したマレーシア国内線の搭乗日、便名、座席番号も分かり、「変更」をクリックすれば変更可能な状態だった。 同様に違う予約番号を入力するだけで、同日午後10時半時点でマレーシア23人、インドネシア11人、日本1人など、少なくとも56人分の個人情報が閲覧できた。日本航空や全日空によると予約情報照会には他に氏名や搭乗日、便名の入力が必要で、予約番号だけ入力して
スクエニ、不正アクセスによりオンライングッズショップの運営を終了
スクウェア・エニックスは10月16日、同社が運営するオンラインショッピングサービス「スクウェア・エニックス オフィシャルグッズオンラインショップ」について、不正アクセスによる個人情報が窃取された形跡を確認。同ショッピングサービスを終了することを発表した。 同社は9月13日の時点で不正アクセスの可能性があったことを告知。その後の同社ならびに外部調査機関による調査の結果、当該サーバーに格納されていた、サイト上で登録している個人情報の「氏名」「住所」「電話番号」「性別」「生年月日」「メールアドレス」が窃取された形跡を確認したとのこと。なお、購入にあたり入力されたクレジットカード番号については、不正アクセスが可能な状態であったことは確認されているが、窃取された形跡は確認されていない。 当該サーバーは、同社のキャラクターグッズ販売のみに使用している専用サーバーであり、業務委託先が管理。同社のその他の
【事例】DeNAがBYODをやめた理由
私物のiPhoneやAndroid端末などを業務利用させる「BYOD(Bring Your Own Devices)」。国内企業の一部でもBYOD採用の動きが広がりつつある中、BYOD解禁から一転、原則中止してスマートフォンの会社支給へとかじを切ったのが、ソーシャルゲーム国内大手のディー・エヌ・エー(以下、DeNA)である。 DeNAは、なぜBYODの原則中止に踏み切ったのか。会社支給のスマートフォンには、どういったセキュリティ対策を施しているのか。スマートフォン導入を担当した、同社システム統括本部本部長の茂岩祐樹氏と、経営企画本部の玉木伯岳氏に話を聞いた。 関連記事 【事例】コニカミノルタの私物iPhone/iPad解禁を促したセキュリティ対策 Ford担当者に聞く、私物スマートフォン持ち込み許可時のセキュリティ対策 私物iPhone/Androidの普及が企業にもたらす課題 私物スマー
<サイバー攻撃>被害19件にも…尖閣「国有化」後 (毎日新聞) - Yahoo!ニュース
警察庁は19日、日本政府が沖縄県・尖閣諸島(中国名・釣魚島)の国有化を閣議決定した11日以降、公的機関や民間企業を狙ったサイバー攻撃が少なくとも19件あったと発表した。 同庁によると、総務省統計局、防衛省、政府のインターネットテレビをはじめ、銀行や電力会社など11カ所のウェブサイトが一時的に閲覧できなくなった。また、最高裁、東北大病院など8カ所のサイトは改ざんされ、アクセスすると中国国旗を掲げた尖閣諸島の写真などが表示された。東工大によると、同大世界文明センターのサイトが改ざんされ、主催イベントの申込者の氏名や住所、電話番号など個人情報延べ1068人分が流出した。 一連のサイバー攻撃に伴い、中国のハッカー集団「紅客(こうきゃく)連盟」の掲示板や中国の大手チャット「YYチャット」上には、攻撃を呼びかけるような書き込みが相次ぎ、標的として約300カ所の日本の公的機関や企業が示された。【村上
IPv4アドレス競争入札事例:Geekなぺーじ
2011年2月にIPv4アドレスの中央在庫(IANA在庫)が枯渇し、その2ヶ月後にアジア太平洋地域のIPv4アドレス在庫も枯渇しました。 ヨーロッパ、中東、中央アジア地域のRIPE-NCCのIPv4アドレス在庫も、あと1週間ぐらいで枯渇しそうです。 日本では、JPNICにおけるIPv4アドレス在庫枯渇から1年以上が経過し、多くの企業がIPv4アドレスの確保で四苦八苦しているようです。 今年に入ってから、「IPv4アドレスを売ってくれる人、知らない?」という相談を何度かうけたりもしました。 このような状況の中、IPv4アドレスの競争入札が行われようとしています。 公益財団法人 都市活力研究所 : 所有財産売却に係る競争入札について(PDF) 今回、競売にかけられるのは133.155.0.0/16ですが、「ただし、2口に分割し、32,768個を一口として売却する」とあります。 申し込み期限は「
New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7 | Rapid7 Blog
New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7 Last updated at Tue, 25 Jul 2017 13:10:10 GMT We have some Metasploit freshness for you today: A new zero-day exploit for Internet Explorer 7, 8, and 9 on Windows XP, Vista and 7. Computers can get compromised simply by visiting a malicious website, which gives the attacker the same privileges as the current user. Since Micro
TechCrunch | Startup and Technology News
Meta will soon officially permit users as young as 10 to use its Meta Quest 2 and 3 VR headsets — if their parents say it’s okay, anyway. In a blog post, the tech giant says that there’s Nikola Corp. is laying off 270 employees, or about 23% of its workforce, and restricting its electric truck efforts to North America as it seeks to preserve cash. The company said Friday it will lay o
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
XCom Global、10万件超のクレジット情報流出
セキュリティ対策のラック|情報を守るセキュリティ対策のパイオニア
【IPv6検査】グローバルセキュリティエキスパート株式会社 | GSX
【セキュリティ ニュース】ゲームポータルサイト公開時にアクセス集中、一部ユーザー情報が閲覧可能に - NC Japan(1ページ目 / 全1ページ):Security NEXT