YAPC::Asia 2014 Reject con LT 2014-09-03
既にいくつかの記事で指摘がありますが、PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になります。 しかし、ブログ記事等を見ていると、外部由来の値をunserialize関数に処理させているケースが多くあります。 ユースケースの一例としては、「複数の値をクッキーにセットする方法」として用いる場合です。 PHP クッキーに複数の値を一括登録する方法という記事では、以下の方法で複数の値をクッキーにセットしています。 $status = array( "height" => 167, "weight" => 50, "sight" => 1.2 ); setcookie("status", serialize($status)); クッキーの受け取り側は以下のコードです。 print_r(unserialize($_COOKIE['status'])); 出力結果は以下
2020年東京五輪・パラリンピックのメーン会場となる新国立競技場の総工費が2520億円に膨らんだ問題で、大会組織委員会が、31日からクアラルンプールで開かれる国際オリンピック委員会(IOC)総会で、英国の建築家、ザハ・ハディド氏のデザインを基にした現行計画を報告することが14日、分かった。これにより、今後の設計変更はほぼ不可能となる。組織委会長の森喜朗元首相が、産経新聞の取材に応じ、事実関係を明らかにした。 競技場は、「キールアーチ」と呼ばれる2本の巨大な鋼鉄製アーチが屋根を支える特殊な構造で、これが総工費を押し上げた。 森氏や大会関係者によると、アーチがあまりに巨大なため、パーツごとに切断したものを会場付近の仮設工場で接合せねばならず、事業主体の日本スポーツ振興センター(JSC)は今月中にもアーチ用の資材を発注する予定だという。 また、アーチは地中構造物で固定する設計となっており、
2015年7月13日、セブン銀行やGMOの子会社であるFXプライムbyGMO*1、SMBC日興証券*2がDoS攻撃を受け、さらに脅迫もされていたと報じられました。ここではそのDoS攻撃に関する情報をまとめます。 DoS攻撃を受けたと報じられていた組織 報道によれば次の組織がDoS攻撃を受けていた模様。報道によると国内ではこれら合わせておよそ10社が被害を受けていたとの報道がある。*3 組織名 DoS攻撃が行われた時期 セブン銀行 2015年6月25日 8時59分〜10時45分頃(1時間45分ほど) FXプライムbyGMO 2015年5月22日 11時9分〜12時13分(1時間ほど) SMBC日興証券 不明 Akamaiによれば、2015年5月頃に同様のDoS攻撃、及び脅迫が行われていたとのこと。*4 中国地方の約10の金融機関:1時間程度 ユーロポールによるDD4BCの摘発 2016年1月
Javaで“2年ぶり”となる未修正の脆弱性が7月13日までに、セキュリティ各社から報告された。この脆弱性は最新版プラグインの1.8.0.45に存在し、既に標的型攻撃で悪用されているという。 Trend MicroやSymantecによれば、脆弱性の悪用攻撃は「APT28」などと呼ばれる組織の攻撃活動「Pawn Storm」の中で行われているという。APT28は、2000年代後半から北大西洋条約機構(NATO)や米国の国防関連組織などを標的にサイバーテロ活動を繰り返し実行しているとみられる組織。 今回の攻撃では標的型メールなどを通じてJavaの脆弱性悪用コードがホストされたIPアドレスに誘導されるという。このIPアドレスは、4月に確認された別の攻撃にも利用されていたという。また、攻撃ではMicrosoftが2012年に対処したWindowsコモンコントロールの脆弱性(MS12-027)も悪用
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く