Railsエンジニアのためのウェブセキュリティ入門「のどが渇いた」というユーザーに何を出す? ユーザーの「欲しい」に惑わされない、本当のインサイトを見つけるUXデザイン・UXリサーチ
Internet Explorerでゼロデイ脆弱性が発見される、PC上のファイルを盗まれる可能性
by mynetx セキュリティ研究者がMicrosoft製のウェブブラウザであるInternet Explorer(IE)にゼロデイ脆弱性が存在することを発見しました。この脆弱性を利用すれば、ハッカーがWindows搭載PCからファイルを盗み出すことが可能になるとのことです。 hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.txt Internet Explorer zero-day lets hackers
JVN#25261088: GNU Wget におけるバッファオーバーフローの脆弱性
The GNU Project が提供する GNU Wget には、バッファオーバーフロー (CWE-119) の脆弱性が存在します。
Malicious remote code execution backdoor discovered in the popular bootstrap-sass Ruby gem | Snyk
On March 26, 2019, a malicious version of the popular bootstrap-sass package, that has been downloaded a total of 28 million times to date, was published to the official RubyGems repository. Version 3.2.0.3 includes a stealthy backdoor that gives attackers remote command execution on server-side Rails applications. We have already added the vulnerability to our database, and if your project is bei
Rails4/5/6に関する重大なSecurityFix / 2019年3月13日 01:49 - Qiita
Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released! 2019年3月13日 01:49に、Ruby on Rails開発チームからRails現行全バージョンに対してのマイナーアップデートがありました。重大なセキュリティ修正です。すでに目を通した方も多いと思いますが、まだ知らない方もいるようなので、こちらにてまとめます。 今回は現行全バージョンに対して2つの重大な脆弱性(important vulnerability)が発見されており、その改修が行われている模様です。開発チームから早急にupgradeあるいはworkaround(応急処置)をするようにと通告されています。 読むべき人 RoRを業務で使用している開発者 掲題の件について初耳だった人 英語がニガテなROR開発者 1.File
Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released!
Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released! Hello everyone! Rails 4.2.11.1, 5.0.7.2, 5.1.6.2, 5.2.2.1, and 6.0.0.beta3 have been released! These contain the following important security fixes. It is recommended that users upgrade as soon as possible: CVE-2019-5418 File Content Disclosure in Action View CVE-2019-5419 Denial of Service Vulnerability in Action View
脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ
第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。 Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。 当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに
個人情報閲覧の可能性に関するお詫び
個人情報閲覧の可能性に関するお詫び Ruby技術者認定試験で電子版認定証の配布に使用しているサービスにおいて、合格者の皆様の個人情報が公開された状態となっていたことが判明いたしました。 このような事態を招いたことを深く反省するとともに、合格者をはじめとする関係者の皆様に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。 1. 経緯 Ruby技術者認定試験の電子版認定証の配布にはAccredibleというサービスを利用しております。 2019年1月20日23時頃に合格者の方からメールでお問い合わせをいただき、当該サービスの不適切な設定により、合格者の個人情報の一覧が表示される状態となっていることが発覚しました。 2. 閲覧できる状態にあった情報 Ruby技術者認定試験合格者815名分の氏名・電子メールアドレスの一覧が閲覧できる状態になっておりました。 個人情報閲覧状況に関するご報告に
顧客のクレジットカード情報2000件余流出 一部不正使用か | NHKニュース
京都市の企業が運営する通販サイトが不正アクセスを受けて顧客のクレジットカード2000件余りの情報が流出し、一部は不正使用されたおそれがあることがわかりました。 会社側の説明によりますと、ことし3月以降、何者かがサイトに不正なプログラムを仕込み、決済の際に顧客が入力したクレジットカード番号などの情報を外部に送信していたおそれがあるということです。 ことし7月に、カード会社から指摘を受けて発覚するまでの間に、このサイトで顧客が入力したカードの情報は2169件に上っていて、流出後にカードが不正使用されたケースもあるということです。 ことし1月にサイトを更新した際、不正アクセスへの対策が十分でなかったということで、会社は警察に被害届を出すとともに顧客に謝罪しました。また、問題の通販サイトはすでに閉鎖して別のサイトで業務を行っているということです。 エディットモードは「事態の調査のため公表まで時間が
Rails 4.2.11, 5.0.7.1, 5.1.6.1 and 5.2.1.1 have been released! | Riding Rails
Rails 4.2.11, 5.0.7.1, 5.1.6.1 and 5.2.1.1 have been released! Hello everyone and happy Tuesday! Rails 4.2.11, 5.0.7.1, 5.1.6.1 and 5.2.1.1 have been released! These contain the following important security fixes, and it is recommended that users upgrade as soon as possible: CVE-2018-16476 Broken Access Control vulnerability in Active Job RAils 5.2.1.1 also includes the following security fix: CVE
2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita
概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。 参考リンク 調査が行われているGitHub Issue HackerNewsスレッド Details about the event-stream incident - The npm Blog 影響をうけたパッケージ event-stream@3.3.6 flatmap-stream@0.1.1 flatmap-stream@0.1.1 パッケージ
宇陀市立病院がランサムウエア被害、テープ未挿入でデータ復元できず | 日経 xTECH(クロステック)
宇陀市立病院は2018年10月23日、10月1日に導入した電子カルテシステムがランサムウエアに感染したと発表した。セキュリティーリサーチャーのpiyokango氏によれば、国内の病院では、公表された被害事例として、初のランサムウエア被害だという。 ランサムウエアに感染したのは、電子カルテシステムのサーバーと一部のクライアントパソコン。サーバーには、10月1日から15日までに来院した3835人の診療記録が保存されていたが、そのうち1133人分のデータがランサムウエアによって暗号化された。病院担当者は、「感染に気付いたのが早かったため、すべてのデータが暗号化されなかったとみている」という。またクライアントパソコンの多くは業務時間外で電源が入っていなかったため、感染を免れたとしている。 電子カルテシステムにはサーバーのデータを定期的にバックアップする装置を取り付けていたが、システム会社のミスで磁
「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan
Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部 2018-10-18 10:36 Secure Shell(SSH)の認証プロトコルをサポートする、知名度の高いライブラリ「libssh」に脆弱性が存在していることが明らかになり、米国時間10月16日にパッチがリリースされた。この脆弱性は、何千台という規模の企業サーバを危険にさらすものだ。 攻撃者はこの脆弱性を悪用することで、認証手順を迂回(うかい)し、パスワードを入力せずとも、SSH接続が有効化されているサーバにアクセスできるようになる。 具体的な攻撃手順は、libsshの認証手順を開始させるために通常用いられる「SSH2_MSG_USERAUTH_REQUEST」というメッセージの代わりに、「SSH2_MSG_USERAUTH_SUCCESS」というメッセージをSSHサーバに対して送信する
クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記
はじめに 先日の日記「ECサイトからクレジットカード情報を盗み出す新たな手口」は多くの方に読んでいただき、ありがとうございました。この記事では、「新たな手口」ではなく、従来からある手口についてまとめてみました。 1.SQLインジェクション 古典的な手法としてはSQLインジェクションがあります。下図のように、SQLインジェクション攻撃により、DBに保存されたクレジットカード情報を盗み出します。 攻撃が成立する条件は下記のとおりです。 DBにクレジットカード情報が保存されている ウェブサイトにSQLインジェクション脆弱性がある いずれも、現在の観点では論外の状況と言えますのでさすがに頻度は減っています。今年6月1日から施行されたカード情報非保持化により、今後はほとんど見られなくなると予想されます。過去の代表的な事例には以下があります。 エクスコムグローバル、SQLインジェクションで約11万件の
Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
Ruby 2.5.2 リリース
Posted by nagachika on 17 Oct 2018 Ruby 2.5.2 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。 CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。 ダウンロード https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.2.tar.bz2 SIZE: 13592827 bytes SHA1: 562d6b8be5a0804ed7617bb0465b288d44b
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3.0.3 Released - RubyGems Blog
GitLab Critical Security Release: 11.5.3, 11.4.10, 11.3.12 | GitLab
oss-sec: [CVE-2018-16471] Possible XSS vulnerability in Rack
NVD - CVE-2018-16468