(緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開) - キャッシュ/権威DNSサーバーの双方が対象、即時の対応を強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2013/03/27(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の問題により、namedに対する外部からの攻撃が可 能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedが過度のメモリ消費を引き起こし、その結果としてnamedを含む当該サー バーで動作しているプ
Perl のハッシュ値の再計算メカニズムの脆弱性 - JPA 運営ブログ
JVNでも公開されていますが、perl 5.8.2からperl 5.16系までのバージョンでハッシュ値の計算に対する脆弱性が報告されています。 perl 5.16系であれば perl 5.16.3、5.14系であれば perl 5.14.4 で修正がされていますので、アップグレードを推奨されています。 すでにEOLとなっているperl 5.8系、5.10系、5.12系ではgit レポジトリに存在するパッチを適用することでこの件に関しての修正を行う事ができます (perl 5.8 -> レポジトリ 対象コミット、 perl 5.10 -> レポジトリ 対象コミット、 perl 5.12 -> レポジトリ 対象コミット 各ベンダー提供のperlも自前でインストールしたperlもアップグレードが推奨されています。
一般的な脆弱性とアプリケーション要件としての脆弱性
脆弱性には2種類あります。 一般的に要求される最低限のセキュリティ水準を満たさない場合アプリケーション要件として規定しているセキュリティ機能が、要件を満たしていない場合たとえば、パスワードリセットするのに、(a)秘密の質問に対する答えを知っている、(b)あらかじめ登録したメールへの送信文を読める、の両方が必要という要件に対して、実際には片方だけでリセットできたとすると、「アプリケーションの要件を満たさない」という意味では脆弱性ですが、一般的な要求水準は満たしているので、「一般的には許容されるレベルだが、本来のセキュリティ機能を満足していない」という意味で「軽微な脆弱性」となります。 一方、個人情報入力フォームがSSL暗号化していない場合、「最低限の水準」を満たしていないとはいえないので一般的には脆弱性ではありませんが、プライバシーポリシー等に「個人情報は暗号化して送信されます」などと書いて
あなたのWebサイトの脆弱性を調査してくれるサービス『Detectify』
あなたのWebサイトの脆弱性を調査してくれるサービス『Detectify』 『Detectify』はあなたのWebサイトの脆弱性を見つけてくれるサービス。 サービス側がハッカーに成り代わってあなたのWebサイトにセキュリティーホールがあるかどうかを徹底的に調べ上げてくれます。 使い方はまず調査するWebサイトを追加することから始まります。 トップページからサイトのURLを入力しアカウントを作成しましょう。 次に自分がこのサイトの管理者であることを証明するために、3つの方法の中から選んで指示通り行ないます。 ダウンロードしたテキストファイルをサイトのルートに置く トップページのヘッダにメタタグを挿入する 各CMS用のプラグインをインストールする それが済んだら『Verify...』をクリックし確認が取れると、アカウントの確認コードがメールで送信されるので、そこに記載されているコードをペースト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
