決算発表が出ないことを怪しんでストップ高まで買われたエックスネット、TOBされるどころか逆に資本提携解消で切られて過剰にお金が流出するお笑い劇場に
![深刻な脆弱性が見つかったInternet Explorer(IE6~11)を巡り全国各地の社内がコントでカオス : 市況かぶ全力2階建](https://cdn-ak-scissors.b.st-hatena.com/image/square/a67db4bdd01ccf5e35404be2aca047db90703947/height=288;version=1;width=512/https%3A%2F%2Flivedoor.blogimg.jp%2Fmasorira-kabu%2Fimgs%2Fa%2F0%2Fa0e4ad69-s.jpg)
HeartBleedの影響についての情報のまとめです。(OpenSSL情報集約のページに書いていましたが量が増えてメンテナンスが大変になってきたため別記事としました。) 「影響あり」は特に記載無い限り、修正版の公開、または対応が済んでいます。随時更新・修正しています。piyokangoが勝手にまとめているだけですので、リスト掲載の情報だけを鵜呑みにせずリンク先の情報を確認してください。また掲載されていない情報があれば、@piyokangoまで教えて頂けると嬉しいです。 1. OS 対象名 CVE-2014-0160の影響 対象製品・バージョン Windows 影響なし − OSX 影響なし − Android ●影響あり(修正版提供時期不明) 4.1.1 iOS 影響なし − BlackBerry(smartphone) 影響なし − RHEL ●影響あり(日本語) 6.5,7 Beta
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatという機能の詳しいことは調べられていないけれどどうやらクライアントーサーバ型の機能を提供するものらしい。 つまり何らかのリクエストを受け取ってレスポンスを返すようなサービスを提供するものらしい。dtls1_process_heartbeatで大事なのは ポインタpだ。これはリクエストデータを受け取って格納している。このリクエストデータは構造体になっていて、以下のように記述されている。 typedef struct
細かい事をはぶきますが、SSL通信を行っているプロセスのメモリが読み取られる件。 http://heartbleed.com/ http://d.hatena.ne.jp/nekoruri/20140408/heartbleed チェック方法 CentOS 6の話です。 1,まずパッケージ名を見る # rpm -qa |grep openssl openssl-1.0.1e-16.el6_5.4.x86_64CentOS 6系だと、1.0.x系で、「el6_x.x」のx.xが、5.7でなければ脆弱性あります。 yum update openssl とかしましょう。 注意点として、Opensslを野良でいれて、野良で他のプログラムをビルドしてないか気を付けましょう。 (…ということをさける為にも、よほどの事がなければ野良ビルドはやめましょう) 2,ツールをつかう 実際にパケットを飛ばして脆弱
If you’ve been following this blog (my colleague, David Busby, posted about it yesterday) or any tech news outlet in the past few days, you’ve probably seen some mention of the “Heartbleed” vulnerability in certain versions of the OpenSSL library. So what is ‘Heartbleed’, really?In short, Heartbleed is an information-leak issue. An attacker can exploit this bug to retrieve the contents of a server
■Debianの修正情報が014/03/07に出ている。 「なるほど、よく分からん。」という印象でしたので、調べてみた。 Debian Security Advisory https://www.debian.org/security/2014/dsa-2896 ■Wheezyである私の環境も対象の「1.0.1e-2+deb7u4」を使用している。 「1.0.1e-2+deb7u5」が修正されたバージョン。 $ sudo strings /usr/bin/openssl | grep libssl libssl.so.1.0.0 $ sudo ldd /usr/bin/openssl | grep "libssl.*1.0.0" libssl.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f5d544dc000)
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
こんにちは。小宮です。 OpenSSLの重大バグが発見されたという記事をうけまして、 さすがに影響が大きいようなので関連情報を記録しておきます。 OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 | TechCrunch Japan JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 影響範囲はopenssl-1.0.1~1.0.1fということで、まじめに最新にしてるサイトが影響を受けるという皮肉なことに。 でもまあ影響範囲が限定的なのは良かったと思います。 弊社ではCentOS6.5とAmazonLinuxの環境が影響を受けました。 まず以下をご覧ください。 対策方法を記しているサイト: AWS – EC2インスタンスのOpenSSLのHartbleed Bug対応 – Qiita opensslのTLS heartbea
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
高校生4人を逮捕、住宅を襲撃…女性の口ふさぎ「金があるのは分かっている」、包丁を見せて暴行し5千円奪う 女性の親族が通報「家の中めちゃくちゃに」 4人は地元の知人同士で16~18歳
これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(本稿) SQL識別子エスケープのバグの事例 SQL識別子は結局どうすればよいか ということで、まずはSQL識別子のエスケープの失敗例について説明します。この失敗例はあくまで説明のために作ったもので、実際のものではありません。また、想定が「ありえない」と思われるかもしれませんが、意図的なものですのでご容赦いただければと思います。また、「間違いだらけの」というタイトルは、今回の題材が間違いだらけという意味であり、巷のSQL呼び出しがそうであるという意味ではありません。本稿に登場する人物と団
PHP Advent Calendar 2013 in Adventarの19日目です。昨日も私の「PDOでの数値列の扱いにはワナがいっぱい(2)」でした。 うっかりtogetterなんか見てしまい、無駄に時間を使ってしまったと後悔した上に混乱してしまい余計にわからなくなってしまった人もいるかも知れません。 そこで、せっかくの機会なので、SQLインジェクション対策について、現在の私の考えをまとめておこうと思います。 選べ ①SQLインジェクション対策にプリペアドステートメントを使う ②SQLインジェクション対策にエスケープを使う もし、上記のような選択にはまってしまったら、あなたのSQLインジェクション対策は、現実的には、ほぼ100%間違っていると言えるのではないでしょうか。プリペアドステートメントとエスケープは、このような対立構造にはありませんから。 なお、この記事は、SQLインジェクシ
2013-12-20 ChatPadでの会話は簡単に覗き見られる この記事はKMCアドベントカレンダーの20日目の記事です。 ChatPadというチャットサービスを知ってますか? ChatPadは匿名でランダムな誰かと一対一でチャットができることが特徴で、暇な女子高生や性欲を持て余したおっさんなどに人気のチャットサービスです。 ChatPad|1クリックで始まる!見知らぬ誰かとのチャットサービス いつも通りネカマ活動にシコシコ勤しんでいたところ、ChatPadにおける会話が盗聴されることに気づいたので、この記事ではそのことについて紹介します。 いかにして主婦は盗み聞きをするか 簡潔に言うと、ChatPadでは中間者攻撃により他ユーザー同士の会話を盗聴することが可能です。 中間者攻撃という言葉に馴染みがない人も、二本の電話の受話器をひっくり返して組み合わせることを考えてみてください(ちょうど
基礎からのPHPという書籍を読んでおりましたら、SQLインジェクションの攻撃例として、以下のSQL文ができあがる例が紹介されていました。PHP+PDO+MySQLという組み合わせです。 SELECT * FROM tb2 WHERE ban=1;delete from tb2 2つのSQL文がセミコロンで区切って1つにまとめられていますが、これを「複文(multiple statement)」と言います。私は、SQLインジェクション攻撃の文脈で複文が使える組み合わせを調べたことがあり、PHPとMySQLという組み合わせでは、複文は使えないと思っていましたので、この攻撃は成立しないのではないかと思いました。 しかし、決めつけも良くないと思い手元の環境で動かしてみたところ、あっさり動くではありませんか。 PDOを用いてMySQLを呼び出す場合は複文が実行できると気づきましたが、なぜPDOの場合
最近、SQLインジェクションのネタが盛り上がってるようだ。下記のTogetterまとめあたりが震源地だろうか。 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ まとめを読んだ感想としては、「どちらの意見も間違ってはいない」というものだ。前提あるいは見方が異なるために、見解の相違が生じているだけのように思う。SQLインジェクションについては私も若干思うところがあるので意見を書いておこうと思う。 攻撃を防ぐのは難しいSQLインジェクションをはじめとするセキュリティ対策が難しいのは、ひとつでも穴があると致命的なダメージを受け得るということだ。「どうやって効率よくコードを書くか」とか「コードのメンテナンス性を高めるにはどう書くべきか」みたいな議論とは全く質が異なる議論が必要になっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く