vol.19報告(1/2)―2014セキュリティー事件の振り返り、専門家もユーザー同様に悩み戦っていた - TechLION
TechLION取材班のまつうらです。今週そして来週のブログでは、11/25に開催したTechLION vol.19のレポートをお届けします。 本日のゲストは、全員スーツを着ていた(対するMCがカジュアルすぎ?) もう幾つ寝るとお正月……、にはちょっと早いですが今年もいよいよ最後の月に。この2014年はITエンジニアにとっても本当にいろいろありました。というわけで本日のTechLIONは、酒を酌み交わしながら今年一年を振り返る、一足早い忘年会なのです。 今回のゲストは、そんなITエンジニアの中でも特にいろいろあったであろうセキュリティー業界からお呼びした三選手。HeartbleedにShellshock、もう少し一般に知られている話ではベネッセの史上最大級の顧客情報漏洩事件など。今年の騒ぎは近年稀に見る規模でしたが、そんな一年を皆で振り返っていきましょう。 当日の全セッションの模様の録画(
bash ShellShockメモ(Hishidama's bash "shell shock" Memo)
bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x' this is a test この脆弱性がある場合は、「vulnerable」と表示される。(vulnerableは「脆弱」という意味らしい) 対処されているバージョンでは、関数を定義しようとしたというエラーになる。 脆弱性確認用コマンドの意味 上述の脆弱性確認用のコマンドがどういう意味なのか解析してみる。 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" まず、これはenvコマンドを実行している。 envコマンドは、環境変数を設定し、その環境を使ってコマンドを実行するもの。「env 環境変数定義 実行
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
