The U.K.’s newly empowered Internet content regulator has published the first set of draft Codes of Practice under the Online Safety Act (OSA) which became law late last month. More codes will
今年の2月末に、Ruby on Railsに潜在的なリモートスクリプトインジェクションの脆弱性CVE-2016-2098が報告されています。攻撃コード(PoC)も公開されていますが、現実の攻撃が行われているという発表はないようです。この脆弱性の内容と対策について報告いたします。 背景 Hello Worldのような以下のシンプルなアプリケーション(コントローラ)を考えます。 class HelloController < ApplicationController def index render 'hello/hello' end end これに対するテンプレート hello/hello.html.erb は以下だとします。 <div>Hello world</div> ご覧のように、上記テンプレートを指定した場合、Hello worldが表示されます。 次に、以下のテンプレート hel
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。放置した場合は相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えます。Linuxシステムでは(ことサーバー用途においては)例外なく glibcが使われています。 この glibcに含まれる gethostbyname系関数の実装に 2000年頃から存在したバグが今になって発見され、CVE-2015-0235 通称 GHOSTと命名されました。ネットワークで何らかの通信を行うアプリケーションは必ず※この関数を使用します。 ※追記: 名前解決をサポート
Red Hat has been made aware of a vulnerability affecting all versions of the bash package as shipped with Red Hat products. This vulnerability CVE-2014-6271 could allow for arbitrary code execution. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue. Update: 2014-09-30 18:00 UTC Two new flaws have been repo
Browse by time: December 2018 (1) December 2016 (1) December 2015 (1) January 2015 (1) September 2014 (2) July 2014 (2) April 2014 (1) February 2014 (1) January 2014 (3) December 2013 (2) September 2013 (3) June 2013 (1) May 2013 (1) April 2013 (1) March 2013 (2) February 2013 (5) やっと更新する気になった。 もくじ 0. 産業で説明 1. 理論編 2. 攻撃編 3. パッチ 4. 結論 0. 産業で説明 bashが アホで 地球がヤバイ 1. 理論編 bashの関数機能は、環境変数の中でも使える仕様になっています
何気なく放送大学をつけていたら公開鍵暗号の話をしていた。 妻「この話、何度聞いてもわかんないのよね」 僕「え、どこがわからない?どこまではわかってる?」 妻「平文はわかるけど、鍵を共有するとか秘密にするとか、署名するとかがよくわからない」 僕「あー、鍵に例えているのが逆効果なのか」 「鍵」をNGワードに指定 僕「じゃあ『鍵』という言葉を使わずに説明してみよう。暗号って『平文を暗号文に変換する方法』で伝えたい文章を暗号文に変えて送り、受け取った人はそれに『暗号文を平文に戻す方法』を使って元の文章を得るわけだ。その目的は、途中の通信文が敵に取られたりしても通信の内容がバレないようにするため。」 妻「うん」 僕「昔の暗号化の方法は、片方の方法がわかるともう片方の方法も分かった。例えば『アルファベットを後ろに1個ずつずらすと平文に戻せます』って教えてもらったら、『なるほど、前に1個ずつずらせば暗号
この真ん中のアプリの利用が原因だ。 pic.twitter.com/HtSgluSr9P— akira nagaoka (@ngokakr) 2014, 8月 5 8月4日の昨日、「アプリが盗まれて他人の物になる」事件が発生したことをお伝えしたが、その手口と思われるものが判明した。 (事件の詳細はこちら→AppStoreで盗難事件発生。半年かけて作ったゲーム、『プロエリウム』がAppStoreから盗まれ別業者に販売される。) 犯人はアプリの売上げを確認する開発者補助ツールをリリースしており、このツールを使用してログインした開発者の iTunes Connect アカウントを乗っ取っているようなのだ。 これは、盗まれたアプリ『プロエリウム』の作者のツイートで判明したもの。 『プロエリウム』の作者は、盗んだ業者のリリースしている売上げ確認補助ツールを使用しており、このツール上で iTunes
2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人
Norikraとは Norikraとはリアルタイム集計プロダクトです。イベントストリームに対してSQLライクな言語で処理を書くことが出来ます。 例えば、ApacheのアクセスログをNorikraに流し込み、1分あたりのアクセス数やレスポンスタイムの最大値をリアルタイムに集計することが出来ます。 Norikraの利用例は作者であるtagomorisさんのブログで紹介があります。 今回は、Norikraを使ってDoS攻撃をブロックする仕組みを作ってみました。 DoS攻撃ブロックの仕組み アクセス元はApacheのアクセスログから取得し、ログの受け渡しにはFluentdを利用しました。 ブロックの手順は以下のようになります。 アクセスログをFluentdのin_tailプラグインで取得。 Fluentdのout_norikraプラグインで、アクセスログをNorikraに流し込み。 Norikra
こんにちは、セキュリティ担当の色川です。 今やサイバー攻撃の主流の1つとなった「リスト型アカウントハッキング」について、弊社における状況やこれまでに行ってきた対策・対応などを紹介します。 リスト型アカウントハッキング(リスト型攻撃)とは他社サイトから流出したログイン情報(IDとパスワードの組み合わせ)を使い、不正なログインを試みる攻撃手法です。「パスワードリスト攻撃」とか「不正ログイン攻撃」などとも呼ばれています。(本稿では以降「リスト型攻撃」と表記します。) 他社サイトのログイン情報なので、IDが存在しなかったりパスワードが違ったりしてほとんどは失敗に終わるのですが、流出元サイトと同じID・パスワードで登録している利用者がいるとログインされてしまいます。複数のサイトで同じID・パスワードを使い回す利用者が多いため、効率のよい攻撃手法となっているようです。 GMOメディアにおける状況弊社で
最後の〆のために作った、天安門のページがお蔵入りになってしまって残念です。 IPを調べる こちらが、犯人がアクセスしたアクセスログ。 IPアドレスは126.7.173.196 Windows7で、Chromeを使っている模様。 (HTTPヘッダも取っておけば良かったなぁと反省) 126.7.173.196 - - [02/Jul/2014:22:43:48 +0900] "GET /static/webmoney.html HTTP/1.1" 200 272 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1" プロバイダはYahoo BBの様子。 % host 126.7.173.196 196.173.7.126.i
Aimingは自社オンラインゲーム「Blade Chronicle」のパッチサーバーが不正アクセスを受け、クライアントソフトがマルウェアにすり替えられ、ユーザーのPCにダウンロードされる事象が発生していたことを発表しました。ここではその関連情報をまとめます。 関連記事 JUGEMブログの改ざんについてまとめてみた 不正アクセスを受けマルウェアを配布していたBuffaloダウンロードサイトのホスティング元を調べてみた。 CDNetworksで発生したコンテンツ改ざんと一連のマルウェア感染インシデントを改めてまとめてみた 次々明らかになるマルウェア「Infostealer.Bankeiya.B」感染インシデント 無題な濃いログ見ていたらJUGEMなど、ここ最近の改ざんインシデントが分かりやすくまとめられていました。 日本狙いのサイバー攻撃! 改ざんサイト閲覧で被害、正規ファイルがウイルスに -
セキュリティ界隈でOpenSSLのHeartbleed(CVE-2014-0160)が話題になっている。 サーバからの情報漏洩がクローズアップされており、対策が進んでいるようだけど、一方でクライアントを攻撃できる「リバースHeartbleed」脆弱性がある。 Android 4.1.1のリバースHeartbleed脆弱性 Google Online Security Blog: Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug) クライアントから情報が漏れるので、かなり危険なんじゃないかと思うけど、あまり注意喚起もされていないようなので知らない人もいるのでは?と思って、その検証と、対策などをまとめてみた。 該当する端末やアプリを使っている人はぜひ参考にして自衛してほしい。 Heartbl
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く