CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
【製品動向】iOS/Android対応が進む「脆弱性診断サービス」
「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す(参考:最新トレンドが分かる! マネージドセキュリティサービス)。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。 脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンやタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。 関連記事 【
Linuxのcrontabコマンドの脆弱性をつぶす
はじめに 今回はCronをとりあげます。CronはOSの持っている時計に基づき、あらかじめ設定しておいたコマンドを実行するための仕組みで、Unix系システムには必ず備えられているといっていい機能でしょう。ログファイルのローテーションやログインアカウントの利用状況集計など、システム管理上のジョブを定期的に実行するために活用されています。 英語版Wikipediaのページによると、Cronの歴史はVersion7 Unix(1979年リリース)までさかのぼるそうです。Linuxディストリビューションの多くが現在使っているものは、Paul Vixie氏が実装したVixie Cronが元になっています。 サンプルコード Cronでは、crontabという設定ファイルでいつどのようなジョブを実行するかを指定します。この設定ファイルはユーザごとに用意されており、必要に応じてユーザが自分で編集します。こ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
