Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
Have I Been Pwned: Check if your email has been compromised in a data breach
Breaches you were pwned in A "breach" is an incident where data has been unintentionally exposed to the public. Using the 1Password password manager helps you ensure all your passwords are strong and unique such that a breach of one service doesn't put your other services at risk. Pastes you were found in A paste is information that has been published to a publicly facing website designed to share
“警察に相談”冷蔵庫の電源入っておらずワクチン廃棄…同じ場所で同じことが2度発生(MBSニュース) - Yahoo!ニュース
大阪府堺市は、集団接種会場の「ホテルアゴーラリージェンシー大阪堺」で保管していた新型コロナウイルスのワクチン456回分を廃棄したと発表しました。冷蔵庫の電源が入っていなかったということです。 (堺市の担当者 6月10日) 「非常に貴重なワクチンを廃棄することになり、本当に申し訳ございませんでした」 堺市によりますと、6月10日に担当者が冷蔵庫の電源に使用していた非常用電源のスイッチがオフになっていることに気が付きました。ワクチンは保管温度を超えていて廃棄したということです。 (堺市の担当者 6月10日) 「会場内の冷蔵庫が置いてあるところには基本的には入れない。施錠して誰も入れない状態にしている。警察と相談する方向で調整をしています」 ホテルアゴーラリージェンシー大阪堺では、6月1日にも冷蔵庫の電源が入っておらず、保管されていたファイザー社製ワクチン210回分を廃棄しています。
Web Application開発に10080番ポートは使ってはいけない
要約 現在最新のGoogle Chormeで10080番ポートが使用できなくなった Firefoxではすでにブロック済み NAT Slipstreaming v2攻撃への対応のため ブラウザからアクセスするサーバを建てる場合は10080以外のポートにするべき 回避方法は一応ある Chrome 91以降は10080番ポートがブロックされる Google Chormeの91 (2021/05/25 リリース)から10080番ポートへのサーバに接続できなくなります。 例えば Google Chrome 90だと以下のように10080番のポートを受け付けるサーバにアクセスできますが、91以降だとアクセスできなくなります % python -m http.server 10080 Serving HTTP on 0.0.0.0 port 10080 (http://0.0.0.0:10080/) .
高木浩光氏のワクチン予約サイトの問題への見解
Hiromitsu Takagi @HiromitsuTakagi これはしょうがない。緊急時なのだし(情報漏洩が起きるわけでない限り)このままいくしかない。ただ、こういう事実があることは周知されていた方がよい。 dot.asahi.com/dot/2021051700… 2021-05-17 23:02:01 Hiromitsu Takagi @HiromitsuTakagi 識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電磁的記録不正作出・供用罪。 twitter.com/yasushia/statu… 2021-05-17 23:05:37
けしからんSoftEther VPNを作ったら怒られた 登大遊氏のVPN構築ソフトを日本政府が配布停止した理由
情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。まずは登氏が作ったSoftEther VPNについて。全4回。 ネットワークをもっとやりたいという方々を増やしたい 登大遊氏(以下、登):本日は長い歴史があり、名誉ある「若手の会」で講演の機会をいただき、ありがとうございます。先ほどコメント欄も拝見しましたが、自宅の1Uサーバーを持っている方がどうとか。 本日の主題は、どうすればそういうみなさんのような方々が、日本の中でもっとたくさん増えるのかなということが1つ。2つ目は、自宅ラックのようなことを大規模にやろうとすると、どうしても家の中だけでは壁がありまして、そこをどう乗り越えるかという
Clubhouseの全録音をAndroid/PCで聞けるよ。しゃべれる非公式のAndroid版も現る
Clubhouseの全録音をAndroid/PCで聞けるよ。しゃべれる非公式のAndroid版も現る2021.02.24 22:0036,110 Ed Cara - Gizmodo US [原文] ( satomi ) 血の気がサーッ。 iPhone版オンリーの招待制音声SNSアプリ「Clubhouse」をAndroidやパソコンでも聞きたい!というたくさんのリクエストに応えて、なんと全会話を再生できるオープンソースアプリ「OpenClubhouse」に続き、トークに参加したり、普通に使える非公式のAndroidアプリ「Houseclub」までもがGitHubに公開になりました! 警告が現実にスタンフォード大学の警告が現実になったかたち。リスナーは招待がなくても全然OKで、公開設定になっている全ルームのログを聞けます。最初に報じたのは、SiliconANGLE。 Breaking news
COCOA騒動メモ
COCOA が動いていなかったことで大臣が謝罪してひと騒動起きている件について、開発者視点からのメモを残してみます。 なぜこのメモを書いたのか 世間的には不正確な情報で叩ければOKの風潮が強くてしんどいので、正しいと思われる情報を拾い集めたものです。中抜きwww 王子wwwww Xamarin wwwwwwww みたいな人にはあんまり興味ないかと思います。 調べ始めたきっかけはこのツイートと引用されたblog記事ですが、記事の内容が違うことはすぐに指摘されて撤回されていたのですが、実際どうだったのかさらに調べてみました。 接触通知アプリ COCOA とはなんなのか 仕組みとか何かは公式サイトでもみてもらうとして。この件で煽っている人でも一部理解できていない人がいるようなのですが、直接的な効果としては 保健所が濃厚接触者追跡をする際の手助けとなるためのアプリ ということになります。アプリをイ
キーボードをガチャガチャ連打した子どもが「Linux Mintのロック解除方法」を発見
「スクリーンセーバー時に画面をロックする」という設定のLinux Mintのロックを突破する方法が見つかりました。発見者は子ども2名で、キーボードを連打したことがきっかけでした。 Screensaver lock by-pass via the virtual keyboard · Issue #354 · linuxmint/cinnamon-screensaver · GitHub https://github.com/linuxmint/cinnamon-screensaver/issues/354 このロック解除方法について報告したrobo2bobo氏によると、問題のロック解除方法は同氏の子どもたちがキーボードを連打した際に見つかったとのこと。robo2bobo氏は子どもたちが「お父さんのパソコンをハッキングする」と言ってキーボードとマウスクリックを連打した際にその様子を眺めていま
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を
焼肉サブスクの脆弱性 - Qiita
※規約違反として限定公開にされました。Qiita運営からのメールに「Qiitaだけじゃなくて他サービスの規約違反もあかんのやで」という文言があったので、そのへんに気をつけて修正しました。 本記事はすべてフィクションです。実在する企業とは一切関係ありません 焼肉サブスクに22日通った。 その中で、色々な脆弱性が見受けられたため、詳しく書く。 ※この記事で紹介する脆弱性を実際に突いてサービスを不正利用すると、詐欺罪に問われる可能性があるので、絶対にやらないこと。また、この記事は啓蒙を目的としており、システムの悪用を推奨していない。 焼肉サブスクのシステム サブスクプラットフォームに登録し、クレカでサブスクパスに課金する。 店でパスの画面を見せる。画面には1日1回だけ押せるボタンがあり、ボタンを店員の目の前で押すことで、サービス権を行使する。食べ放題が無料になる 最後にレジで会計するが、食べ放題
postgresのデータを盗まれた話 - のんびりやの日記
はじめに さっぶ。どうも、だーやまんです。 この記事は、本番環境でやらかしちゃった人 Advent Calendar 2019 - Qiitaの11日目の記事です。 これは、中途半端な知識でサービスを運用していた結果、タイトル通りの大失敗をしてしまったお話です。個人開発での出来事なので、業務で起きたことかと胃薬を握られていた方はご安心ください。 語るのもすごい恥ずかしいレベルですが、戒めのために晒しておきます。 この記事を読んでほしい人 初めてインターネット上にサービスを公開しようとしている人 喋太郎の利用者様(この場をお借りして、改めてお詫び申し上げます。本当に申し訳ございませんでした。) 背景とか Discord読み上げBot 「喋太郎」にてやらかしました www.dayaman.work 利用者が約10万人 さくらのVPSにてAppサーバ2台、DBサーバ1台で運用 各サーバの死活監視
サイバーセキュリティの観点で見る『ターミネーター』
『ターミネーター:ニューフェイト』に先立つ『ターミネーター』『ターミネーター2』の世界では、サイバーセキュリティの状況はどうだったのでしょうか。 映画『ターミネーター』の新作が公開中です。製作者によると、今回の作品はシリーズの中でも重要な『ターミネーター2』の正統な続編とのことです。一般的に見て、AIの反乱は明らかに情報セキュリティの問題です。そこで、私たちは本作のサイバー的状況を詳しく調べることにしました。ここで取り上げるのは、シリーズの最初の2作品です。 ※以下、ネタバレを含みます ターミネーターそのものに対しては、特に言いたいことはありません。このアンドロイドは、プログラムされたことに厳密に従い、サラ・コナーの追跡に優れた判断力と感覚を発揮します。思い出してほしいのですが、第1作の公開は1984年でした。当時、コンピューターは今ほど普及していませんでした。そこで、私たちの観点から見て
SMSで送信元を偽装したメッセージを送る
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース
フォロワーの数が仕事や報酬に直結するSNSのインフルエンサーの世界。そのフォロワーを購入して水増しする行為がインスタグラムの一部のインフルエンサーの間で行われている実態を取材した記事を21日に掲載した。 News Up「私は“水増しインフルエンサー”」 https://www3.nhk.or.jp/news/html/20190521/k10011924131000.html では水増ししたフォロワーはどこからやってくるのか。売買しているのはどんな業者で、どのようなからくりになっているのか。取材で購入した3万人のフォロワーを徹底追跡すると、その一端が見えてきた。 (「ネット広告の闇」取材班記者 田辺幹夫・田隈佑紀・藤目琴実、ディレクター 中松謙介) フォロワーを売っているのはどんな業者なのか。「フォロワー購入」とネット検索するだけで、数多くの業者が見つかる。 インスタグラムをはじめ、You
PS2251-07(2307)でBadUSB(Psychson)を動かす
経緯 そもそもの発端は、以下の記事だった。 Psychsonを使用したBadUSBの作成方法 – にわか鯖管の苦悩日記 Phison製のUSBコントローラを積んだUSBメモリはホスト(PC)からファームウェアを書き換えることができるため、独自のファームウェアに書き換えてBadUSB化できる。 Psychsonという名前でこのファームウェアと書き込み用ツールのソースコードがGitHub上で公開されている。 adamcaudill / Psychson 上の記事によれば、Psychsonに対応するUSBメモリを入手できれば、わりと簡単にBadUSB化できそうだったので自分でも試してみることにした。 2307の罠 Known Supported Devices 動作確認されているUSBメモリの中で日本で安く入手できる「Toshiba TransMemory-MX USB 3.0 8GB」を買った
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「習近平のID番号でユーザー登録すると…」ダメ警官が指導者の個人情報を転売、中国“最強監視社会”のショボい裏側 | 文春オンライン
オンラインソフト同梱でお馴染み 「JWordプラグイン」が7月31日でサービス終了へ/Webブラウザープラグインを利用するタイプの検索連動型広告サービス
