HTTPS Isn't Always as Secure as It Seems
A surprising number of high-traffic sites have TLS vulnerabilities that are subtle enough for the green padlock to still appear. Widespread adoption of the web encryption scheme HTTPS has added a lot of green padlocks—and corresponding data protection—to the web. All of the popular sites you visit every day likely offer this defense, called Transport Layer Security, or TLS, which encrypts data bet
脆弱性が多いプログラミング言語、第2位はPHP - 第1位は?
WhiteSource Softwareは3月19日(米国時間)、「Is One Programming Language More Secure Than The Rest?」において、過去の脆弱性情報を集計し、どのプログラミング言語がより多くの脆弱性とかかわりを持っていたのかについて伝えた。 脆弱性情報が多い順にまとめたプログラミング言語ランキングとしては、以下が報告されている。 C言語 (47%) PHP (17%) Java (12%) JavaScript (11%) Python (6%) C++ (6%) Ruby (5%) 資料: WhiteSource Software データソースはNVD (National Vulnerability Database)、各種セキュリティアドバイザリ、GitHub、そのほか人気の高いトラッキングシステムなどで集計された脆弱性情報など。
Linuxサーバに焦点を絞ったマルウェア「Mirai」登場、大規模DDoSの可能性 | マイナビニュース
Arbor Networksは11月21日(米国時間)、「Mirai: Not Just For IoT Anymore」において、IoTデバイスではなくLinuxサーバを標的としたMiraiの亜種と見られるマルウェアが拡散していることが発見されたと伝えた。 LinuxサーバはIoTデバイスよりもコンピュータリソースが強力でより太いネットワーク帯域が利用できる状況にあることが多く、IoTデバイスを対象としていたMiraiよりも少ない台数への感染で大規模なDDoS攻撃を実施できる可能性がある。 MiraiはLinuxを搭載したIoTデバイスを主な標的としたマルウェアで、大規模なボットネットを構築していた。このボットネットを用いたDDoS攻撃は世界中のインターネットに影響を与え、一部の地域のインターネットが一時的に利用できないといった状況を引き起こしたこともある。 少ない数のIPから感染のため
CPU脆弱性対策パッチによる性能への影響、インテルがベンチマーク公開
Intelは米国時間1月9日、同社のCPUにパッチを適用した後の性能低下は、最新のチップで最大6%だと述べた。ただし一部の旧型チップでは、さらに大きく性能が低下する恐れがあるという。パッチは、「Spectre」と「Meltdown」の脆弱性に対応するものだ。 Intelはプレスリリースで、「当社の最新のPCベンチマーク結果に基づき、平均的なコンピュータユーザーに対するパフォーマンスの影響は深刻ではないはずだと引き続き考えている」と述べた。 Intelのデータによると、旧型チップの場合は最大で8%性能が低下する可能性があるという。「応答性」に対する影響はさらに大きい。同社の最新チップで応答性は12%低下し、旧型チップの1つ(「Windows 10」で動作する「Core i7 6700K」プロセッサ)では、応答性が21%低下した。 Intelがチップ性能のベンチマーク評価に使用したツールの開発
「VPS」サービスにおけるMeltdownおよびSpectreへの対応について | さくらのサポート情報
ホストサーバーのOS及び関連パッケージを適切なバージョンにアップデートし、脆弱性対策を行います。 アップデート作業に伴い、ホストサーバーをリブートいたします。 リブートに伴い、お客様サーバーの再起動が発生いたします。 お客様サーバーの再起動のご案内はスケジュールが決定次第お知らせいたします。 ホストサーバーのアップデートが完了しない限り、お客様の仮想サーバーのアップデートをしても、一部の設定ができない可能性があります。 お客様サーバーのOSにあわせて関連パッケージ等を適切なバージョンにアップデートしてください。 ご利用のOSによって、Meltdown/Spectre対策の進捗が異なります。 詳細は以下のページをご参考ください。 https://meltdownattack.com/#faq-advisory お手数ですが、ご利用のOSについて情報を確認し、対策完了バージョンにアップデートし
グーグルのファズツール、LinuxカーネルのUSBサブシステムに潜む複数の脆弱性発見
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleの研究者であるAndrey Konovalov氏は米国時間11月7日、LinuxカーネルのUSBドライバに14件の脆弱性が存在していることを明らかにした。同氏がこれら脆弱性を発見するために使用したのは、同じくGoogleの研究者であるDmitry Vyukov氏が開発したOSカーネルのファズツール「syzkaller」だ。 Konovalov氏は、オープンソース環境のセキュリティ情報をやり取りするOpenwallのメーリングリストに、「これらすべての脆弱性は、攻撃者が物理的にアクセスできるコンピュータを標的にした、悪意あるUSBデバイスを作成することで悪用できる」と記している。 今回発表された14件の脆弱性に対する修正が入手
Gitの脆弱性によってリポジトリをクローンすると「うんこもりもり」と表示される - BppLOG
8/11にGitの脆弱性 ( CVE-2017-1000117 )が出ていました。 CVE-2017-1000117 - Red Hat Customer Portal これは、gitクライアント上での任意のshellコマンド実行の可能性があります。 重要度 - Important Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥が見つかりました。これを利用して、悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります。 Gitの脆弱性 ( CVE-2017-1000117 ) — | サイオスOSS | サイオステクノロジー 実際にどんなことが起きるか 百聞は一見にしかず。 このリポジトリを cl
【悲報】Windows 7とWindows 8をクラッシュさせる90年代風のヤバイNTFSバグがみつかる | ソフトアンテナ
現在サポート期間中のWindowsのバージョンであるWindows 7とWindows 8.1にNTFSに関連した不具合が存在することが分かりました(Ars Technica、The Verge)。 不具合は、NTFSファイルシステムのメタデータを扱うために存在する特別なファイル"$MFT"に関連したもので、Windowsは通常、プログラムからこのファイルへのアクセスをブロックしていますが、"$MFT"がパスの一部に含まれる場合に取り扱いに失敗し、結果としてシステムが遅くなったり、最終的にクラッシュしたりする現象が発生するとのことです。 例えば"c:\$MFT\123"というようなファイルをInternet Explorerで開こうとするとこの不具合が発生することから、悪意を持ったWebサイトに含まれた、"$MFT"を含む不正リンクをクリックすることでシステムがクラッシュする可能性があるこ
無料通信ソフト「サンバ」にぜい弱性、ランサムウエア類似の被害も
5月25日、基本ソフト(OS)Linux(リナックス)やUNIX向けに開発された無料通信ソフト「Samba」(サンバ)に新しく欠陥が見つかったことが分かった。写真は13日撮影(2017年 ロイター/KACPER PEMPEL) [シンガポール 25日 ロイター] - 基本ソフト(OS)Linux(リナックス)やUNIX向けに開発された無料通信ソフト「Samba」(サンバ)に新しく欠陥が見つかったことが分かった。サイバーセキュリティー会社によると、世界で30万台以上のコンピューターに感染したランサムウエア「WannaCry(ワナクライ)」と同様の被害が発生する危険性があるという。 米ラピッドセブンのレベッカ・ブラウン氏はロイターに対し、発見の発表後12時間以内にハッカー集団がこのぜい弱性を悪用している証拠は見つかっていないと指摘した。だが、研究者らが欠陥を悪用するマルウェア(悪意のあるソフト
Linuxカーネルに脆弱性--大手ディストロはパッチ提供へ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Linuxカーネル内に深刻な脆弱性が発見された。この脆弱性はメモリの二重解放(double free)に起因するものであり、2005年頃から存在していたとされている。CoreOSやRed Hat、Canonical、Debian ProjectをはじめとするLinuxディストリビューターは、パッチのリリースに向けて作業を進めており、既にパッチを公開しているところもある。 同脆弱性は、LinuxカーネルにおけるDatagram Congestion Control Protocol(DCCP)の実装に存在している。これを悪用すれば、ローカルユーザーによるルート権限の取得が可能になり、他の脆弱性と組み合わせることでカーネル内で任意のコードが
BSDの標準ライブラリに脆弱性、FreeBSDやAppleに影響
BSDの標準ライブラリ「BSD libc」に脆弱性が発見され、修正のためのアップデートが公開された。米セキュリティ機関CERT/CCの12月6日付のセキュリティ情報によると、この脆弱性はFreeBSDやAppleへの影響が確認されているという。 CERT/CCのセキュリティ情報によれば、BSD libcにバッファオーバフローの脆弱性があり、攻撃者によるメモリへの書き込みや読み込みができてしまう恐れがある。 影響や危険度は悪用の手段やアプリケーションによる同ライブラリの使われ方によって異なるものの、最悪の場合、root権限で任意のコードを実行される恐れもあるとして、共通脆弱性評価システム(CVSS)での評価値は9.3(最大値は10.0)と位置付けた。ただしCERT/CCは12月6日の時点でコンセプト実証コードの存在は確認していないという。 BSD libcはアップデートでこの脆弱性を修正し、
OpenSSL脆弱性対応手順まとめ - infragirl’s blog
2016 - 11 - 20 OpenSSL脆弱性対応手順まとめ おはこんばんにちは。 OpenSSLさんがまた 脆弱性 ですって(´・ε・`)? JVNVU#92930223: OpenSSL に複数の脆弱性 私の中ではBINDさんの次に多い印象があります。 BINDの 脆弱性 対応手順をまとめたのにならって、今回はOpenSSLバージョンをまとめてみますね。 infragirl.hatenablog.jp 1.OpenSSLの 脆弱性 の発表をキャッチする 本家が情報をわかりやすく出してくれてるようです。 脆弱性 がアナウンスされた時 https://twitter.com/ha4gu/status/750102197174607872 の一次ソース「Security Advisory」はここですね。 ここの RSS が見つけられない…。 https://www.openssl.org
主要Linuxディストリビューションに深刻な脆弱性--Enterキーを押し続けるだけで悪用可能
主要なLinuxディストリビューションの「Linux Unified Key Setup-on-disk-format」(LUKS)に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「cryptsetup」というユーティリティを使用してセットアップされている。この脆弱性はcryptsetupに存在するもので、かなり深刻度が高く、影響を受けるLinuxディストリビューションには、「Debian」、「Ubuntu」、「Fedora」、「Red Hat Enterpise Linux」(RHEL)、「SUSE Linux Enterprise Server」(SLES)が含まれる。 セキュリティレポートCVE-2016-4484には、このセキュリティホールを利用すると、攻撃者は「対象システム
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTPSサイトは必ずしも安全ではない? セキュリティホールの存在が一部で明らかに|WIRED.jp
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ
広く採用されている書庫展開処理に任意コード実行を許す脆弱性 ~数千のプロジェクトに影響/英セキュリティ企業が“Zip Slip”と命名、StackOverflowを介して拡散か
「Git」に複数の脆弱性、修正版が公開 ~Microsoftは「Git for Windows」の更新を推奨/細工のあるレポジトリをサブモジュール込みでクローンすると任意のコードが実行される
TechCrunch | Startup and Technology News
TechCrunch | Startup and Technology News
あらゆるPC/Macから情報を抜き取れる5ドルのラズパイデバイスが公開 ~対抗手段はUSBポートをセメントで固めること
