commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
無償かつ高機能な「ModSecurity」をもっと活用しよう!
無償かつ高機能な「ModSecurity」をもっと活用しよう!:OWASP AppSec USA 2013 レポート(後編)(1/2 ページ) 前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。 2013年11月18日から11月21日の4日間にわたり、米国ニューヨークでWebアプリケーションのセキュリティに関する国際的なカンファレンスである「OWASP AppSec USA 2013」が開催されました。前回の記事に続き、そのトレーニングや講演の模様を紹介していきます。 注目すべきModSecurityの機能とは 筆者らが受講した2つ目のトレーニングは、「Web Application Defender’s Cookbook: LIVE」です。このコースはModSecurityを
セキュリティnews | MBSD
Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。 しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性
うにっくすさんの覚え書き - Apache2 - MySQL認証
Apache2 - MySQL認証 MySQLを使ったデータベース認証モジュールをAapche 2.2.x へ組み込みます デフォルトのままではコンパイルに失敗するので、こちらのサイトを参考にパッチを作成して適用しています。 このページでは、既にMySQLがデフォルトディレクトリにインストールされている事を前提としています。 用意するもの mod_auth_mysql-3.0.0.tar.gz 公式サイト http://sourceforge.net/projects/modauthmysql/ ダウンロードサイト http://sourceforge.net/project/showfiles.php?group_id=60218&package_id=56398 コンパイルエラー修正パッチ mod_auth_mysql.c.patch コンパイル&インストール % t
PostgreSQL で Apache のユーザ認証
PostgreSQL で Apache のユーザ認証 ユーザ毎の認証 先ほど説明したパスワードファイルを使ったユーザ認証ですが、ユーザ数が多くなるとだんだんパフォーマンスが悪くなるのでお勧めできません。基本認証の仕組みから言うと、ユーザがユーザ名/パスワードを入力した時ではなく、ユーザ認証が必要な部分へアクセスするたびにパスワードファイルがチェックされます。したがって何千人ものユーザがいる場合は、ページにアクセスするたびにパスワードファイルをすべて検索しユーザが存在するかを調べるのです。これはかなりまずいことなので、Apache のマニュアルだと DBM ファイルを使ったユーザ管理をするようにと書いてあります。が、ここでは PostgreSQL を使った説明をしているので、PostgreSQL を使ったユーザ認証について説明したいと思います。 ユーザ認証を PostgreSQL でするよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://modauthmysql.sourceforge.net/CONFIGURE
http://kvasir.skirnir.net/software/software00005.ksd