「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を
CVE-2022-21449: Psychic Signatures in Java
The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.
Spring4Shell: Security Analysis of the latest Java RCE '0-day' vulnerabilities in Spring | LunaTrace
Getting Spring to load BinderControllerAdvice may require manual steps to have it load. We'll update this guide with more details about how to do that soon. import org.springframework.core.Ordered; import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.
Inside the code: How the Log4Shell exploit works
Products & ServicesSecurity OperationsThreat ResearchAI ResearchSophos Life The critical vulnerability in Apache’s Log4j Java-based logging utility (CVE-2021-44228) has been called the “most critical vulnerability of the last decade.” Also known as Log4Shell, the flaw has forced the developers of many software products to push out updates or mitigations to customers. And Log4j’s maintainers hav
PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由
このエントリは、PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスクリプティング(XSS)の対策を行う際には「エスケープ処理」をしましょうと言われますが、その割にPHP以外の言語ではあまりエスケープ処理の関数が用意されていなかったりします。それに比べてPHPはエスケープ処理の関数が非常に豊富です。これだけ見ても、PHPはなんてセキュアなんだ! と早とちりする人がいるかもしれませんが、しかし、他言語でエスケープ処理関数があまりないのはちゃんと理由があると思うのです。 本稿では、PHPのエスケープ処理用の関数を紹介しながら、その利用目的と、その関数を使わないで済ませる方法を説明します。 SQL用
CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応 | MSRC Blog | Microsoft Security Response Center
最新のセキュリティ更新プログラムを適用する マイクロソフトは、これら脆弱性を解決するために、最新のセキュリティ更新プログラムを適用することをお勧めします。詳細については、Apache CVE と Apache セキュリティ アドバイザリを参照してください。 Apache Log4j 2.x CVEs: CVE-2021-44228 および CVE-2021-45046 Apache security advisory: Apache Log4j Security Vulnerabilities インターネットに接していないシステムを含め、すべてのシステムがこれらの脆弱性に脆弱である可能性があるため、バックエンド システムとマイクロサービスもアップグレードする必要があります。どの Java バージョンでもこれらの脆弱性を緩和できません。推奨される操作は、Apache Log4j 2 を 更新
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
AWS LambdaのJava 8ランタイムがAmazon Correttoへ。OpenJDKから移行するとAWSが発表
Amazon Web Servicesは、同社のサーバレスコンピューティング基盤であるAWS LambdaのJava 8ランタイムを、OpenJDKからAmazon Correttoへ移行すると発表しました。 Javaにはさまざまなディストリビューションが存在します。代表的なのがオラクルが企業向けに有償で提供しているOracle JDK、そしてオラクルがビルド、テストして無償配布しているOracle OpenJDK(単に「OpenJDK」と書かれた場合は、一般にこのOracle OpenJDKのことを指す)でしょう。 ほかにも、Eclipse Foundationによる「Eclipse Adoptium」(旧AdoptOpenJDK)、マイクロソフトによる「Microsoft Build of OpenJDK」などがあり、Amazon CorrettoはAWSによるJavaディストリビュー
nkf の代替としての StreamRelay.jar (文字コード変換) - Qiita
java.exe -Djava.security.policy=StreamRelay.policy -jar StreamRelay.jar ⇔ StreamRelay.bat InputStream/OutputStreamにReader/Writerを被せる事で、(文字コードを含む)文字列を扱うことができるので、入力の文字コードと出力の文字コードを異なるオプション指定をすれば、文字コード変換を行う事ができる オプション 使うオプションは、 -LocalCharset -RemoteCharset 通信方向ごとに個別に設定したい場合は↓ -LocalRequestCharset -LocalResponseCharset -RemoteRequestCharset -RemoteResponseCharset レスポンスだけ文字コード変換したい。という時に使える 文字コード変換ツールと
Spring BootでWebセキュリティを設定しよう
サンプルアプリケーションの概要 サンプルアプリケーションは、図1に示す通り、郵便番号と住所データを提供する簡単なアプリケーションです。 今回は管理者を想定したWeb側からのアクセスに対してBasic認証と任意のヘッダ値をチェックする2種類のセキュリティ設定を行う方法について説明します。 通常、APIサーバの場合には、APIキーやAPIシークレットキーなどを用いてトークンをリクエストヘッダに設定するといった使い方が多いです。 図1:サンプルアプリケーションのイメージ Spring Security Web(1) Webでのセキュリティを扱う場合には、Filterなどを使って自分で作成することも可能ですが、セキュリティ関連のトレンドについていきながら安全なアプリケーションを維持するのは難しいことでもあります。 しかし、Spring Security Webを使えば簡単に図2に示すようにWebア
Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず
セキュリティ専門家は「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 さまざまな脆弱性の悪用を狙った攻撃ツールの「Neutrino」に、Javaの既知の脆弱性を悪用する機能が加わった。Java 6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava 7にアップグレードするよう促している。 セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極
「JSON文字列へのインジェクション」と「パラメータの追加」
「JSON文字列へのインジェクション」と「パラメータの追加」:NoSQLを使うなら知っておきたいセキュリティの話(2)(1/2 ページ) MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。 前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 JSON文字列へのインジェクション これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を実行できます。しかし型の扱いが厳格
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
