Linuxをクラッシュさせられるバグが権限昇格のバグに進化した件 - ブログ - ワルブリックス株式会社
今月の初めに公表されていた、一般ユーザーが Linuxシステムをクラッシュさせてしまえるバグ CVE-2014-9090 が実は root権限の奪取にも使えることがわかり CVE-2014-9322 に進化しています。 CVE-2014-9090の日本語情報はこちら。 Linux Kernel の arch/x86/kernel/traps.c 内の do_double_fault 関数におけるサービス運用妨害 (DoS) の脆弱性 要するに、64bit版の Linuxでは管理者権限を持たない一般ユーザーが「わざと」システムをクラッシュさせてしまうことができるということです。対象となるのは x86_64用 Linuxカーネルの 今までの全てのバージョンです。 いま動いてるLinuxが 32bitか64bitかよくわからない場合は uname -m と入力して i686と出れば 32bit、
oss-sec: Linux kernel: multiple x86_64 vulnerabilities
Linux kernel: multiple x86_64 vulnerabilities From: Andy Lutomirski <luto () amacapital net> Date: Mon, 15 Dec 2014 10:01:19 -0800 CVE-2014-9322: local privilege escalation, all kernel versions Any kernel that is not patched against CVE-2014-9090 is vulnerable to privilege escalation due to incorrect handling of a #SS fault caused by an IRET instruction. In particular, if IRET executes on a writea
Linuxカーネルに複数の脆弱性が発見
「oss-sec: Linux kernel: multiple x86_64 vulnerabilities」において、すべてのバージョンのLinuxカーネルに特権昇格の脆弱性があることがアナウンスされた。CVE-2014-9090に対するパッチを適用していないLinuxカーネルには、IRETインストラクションによって引き起こされる#SSフォールトのハンドリングの不備によって特権昇格が実施される危険性があるという。 この脆弱性を悪用されると、一般ユーザが特権ユーザでの実行権限を簡単に得ることができる。SMAPまたはUDEREFが有効になったシステムでは仮にこの脆弱性が悪用されたとしても、影響はシステムのクラッシュまたは再起動といったレベルに抑えられ、特権昇格などには至らないだろうと見られている。 この脆弱性は一般ユーザが特権ユーザとしてコードを実行できてしまうため、影響範囲はかなり広いと
ゆゆ式を無限に楽しみたかった話 〜 ゆゆ式 Advent Calendar 2014 20日目 〜 - しゅみは人間の分析です
ある日のこと、後輩たちがこんなことを言いました。 「ゆゆ式のコマをランダムに並びかえたら無限にゆゆ式が楽しめるのでは?」 真面目に計算してみると、10の15乗くらいの組み合わせができることがわかりました。 この記事ゆゆ式アドベントカレンダー20日目は、そんな無限にゆゆ式をたのしむためのシステムを真面目に作ってみた話をします。 コマの切り出し 漫画のコマを並び替えるためには、コマがバラバラな画像として存在していなければなりません。 なので、まずは自炊で電子化された書籍をコマの線にそって切り出していく処理を自動化することにしました。 上の図がふつうの4コマの1ページですね。これの枠線を識別して、1ページから8枚のコマを取り出してくる方法を考えます。 ハフ変換で直線検出 OpenCVという画像処理のライブラリに直線を検出するツールがあったので、まずこれを試してみました。 が、結果はこのとおり。
処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
脆弱性"&'\ Advent Calendar 2014 (17日目) - 葉っぱ日記
この記事は脆弱性"&'<<>\ Advent Calendar 2014の17日目の記事です。今日は少し昔話をしようと思います。がはは。 かつて、日本製TwitterのようなWassrというサービスがありました。当時、Twitterは数日に一度くらいはサービスが落ちていて、Twitterユーザーも「またか」と思いながら我慢して使うようなサービスであり、Twitterが落ちるたびにWassrはユーザーを増やすとともに、画像の添付のように当時Twitterにはまだなかった機能をどんどんアグレッシブに取り入れていく、使っていて楽しいサービスでした。 さて、そんなWassrがある日絵文字機能を導入しました。当時はUnicode絵文字もなくスマートフォンも普及しておらず、主にレガシーな携帯電話で使える絵文字をなんとかWeb上でも使えるようにしたという感じのものでした。 絵文字をパレットから選択すると
KDDI、次世代炊飯器「INFOJAR」を発表
KDDIと沖縄セルラーは、22日の2014年春モデル発表会で、auブランドからLTE対応の次世代炊飯器「INFOJAR(インフォジャー)」を発表する。国内大手3社全てがiPhoneの取り扱いを開始したことから、ネット対応が遅れている炊飯器市場に参入することでauとしての独自色を出すのが狙いだ。 炊飯器事業への参入は、同社の田中孝司社長の指示により、子会社の「au未来研究所(A.U.F.L)」(【用語解説】参照)が3年前から独自に研究開発を進めていた。 業界初のタングステン製内釜を採用した「INFOJAR」は、白物家電の分野で進みつつあるスマートフォン連携とは次元が異なり、炊飯器本体が3G、4GLTEの通信サービスに対応、OSにはAndroid4.4(KitKat)を採用した通信端末として機能する。 本体側面には、炊飯器としては世界最大の7インチフルHDタッチ液晶を搭載。ご飯を炊きながらYo
1月22日付「次世代炊飯器、INFOJAR」記事についてお詫び
2014年1月22日付本紙記事「KDDI、次世代炊飯器「INFOJAR」を発表」にて報道した「INFOJAR」をau未来研究所が実際に開発、12月19日午後に完成させたとの発表があり、それまで現実に存在しなかった虚構の製品が存在することとなってしまいました。 上記記事におけるこの度の誤報についてお詫び申し上げます。 本紙編集部では19日夜から緊急の検討会議を開き、事態の把握に努めるとともに、記事執筆者への聞き取り調査を進めてきました。 協議の結果、先月11月の開発表明から1か月以上の猶予があったにもかかわらず、「文系の素人には完成させられないだろう」と事実上黙認し、au未来研究所に開発を取りやめるよう働きかけを行わなかったことを痛切に反省するとともに、改めて現実の領域に踏み込まない報道に徹する方針を確認しました。 本紙では昨年起こした森永製菓「グロス」誤報の反省を踏まえ、製菓業界を扱った記
XSSチャレンジのすゝめ – nootropic.me
タイトルに特に意味はありません。ヤマノススメでは主人公のあおいちゃんが好きです。 今回は某所で見つけたXSSチャレンジのwriteupでも書いてみようかと思います。 使用環境はMacのFirefox34.0(ブログ投稿時最新)でお送りします。 今回挑戦したのはこの問題です。 http://avlidienbrunn.se/xsschallenge/?xss=XSS%20me! 「xss」というクエリパラメータに何かストリングを入れてアラートを出せばいいんだと思います。XSSチャレンジは大抵そういうものです。 ただし、XSS対策が施されていてそれをかいくぐらないとアラートは出せないようです。 まずは適当なストリングをxssパラメータに与えてHTMLソースを観察してみようかと思います。 http://avlidienbrunn.se/xsschallenge/?xss=zzz”‘`><s>;/
脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった
脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンタ
Angularチームは、どうかしちゃった? | POSTD
私は 以前の投稿 で、Angularなどのフレームワークがあまり好きではない旨を述べました。宣言的なHTMLのタグや属性、{{二重波括弧}}のプログラミングを開発するということには、 どうも抜け落ちている部分がある ようです。そして、どのフレームワークも独自のやり方で開発されているため、それを理解しサポートするためには、ツールのアップデートに多大な労力を 浪費する 注ぐ 必要があります。 さらに、そんな先入観を抜きにして考えてみても、Angularの今後に関して最近入ってきた情報は、私がますます頭を抱えてしまうような内容だったのです…… ツールに新たに追加される概念は、1つではなく3つ! Angularをサポートするためにはツールのアップデートが必要ですが、今は下記を考慮していく必要があるようです。 Angular v1の構文 Angular v2の構文(従来と 大きく異なる ようです)
『selector spread WIXOSS』アフレコ終了&最終回放送直前キャストコメントが到着!
放送されるやいなや、従来のTCGアニメとは一線を画す作りで大きな反響を呼んだ『selector infected WIXOSS』。その続編である『selector spread WIXOSS』が、いよいよ最終回を迎えます。 最終回のアフレコを終えた加隈亜衣さん(小湊るう子役)、久野美咲さん(タマ役)、瀬戸麻沙美さん(イオナ&ユキ役)、佐倉綾音さん(ユヅキ役)、茅野愛衣さん(植村一衣役)、釘宮理恵さん(ウリス役)、種田梨沙さん(繭役)のキャストコメントが到着しました。 衝撃的な展開の連続で視聴者の心を掴んで話さなかった『selector』の結末を、ぜひ自身の目で確かめてください! (コメント内は敬称略) ■『selector』をシリーズ通して演じられたご感想をお願いいたします。 加隈:感謝の気持ちでいっぱいです。ここまで苦しくて辛い気持ちになるなんて思っていませんでしたが(笑)。その分、沢山
【12/19】何が何でもセックスする10の方法 - mantrog
はじめに ……もしもし聞こえますか……今、あなたの脳内に直接話しかけています。 私は、アドベントカレンダーに書く記事が思いつかないよつぼし君の代わりに現れた妖精です。 セックスの妖精さんです。 セックスしたい、そんな欲望がある人だけがこれを読んでください。 もしあなたが女性であるなら、今すぐブラウザを閉じてください。 テーマは「ホワイトクリスマス」。雪の降ってる寒い中、恋人たちが裸になって体と心を温める素敵な日ですね。 そんな日にセックス出来なくていいのでしょうか? あなただけ特別に『何が何でもセックスする10の方法』をお教えします。 全て実践すれば、次のクリスマスまでには必ず(素人)童貞卒業できることでしょう。 以下、気持ち悪い内容があるので、閲覧注意です。 ①部屋づくり もしあなたが女性を連れ込んでも、汚かったり平凡な部屋では女性も幻滅してすぐに帰ってしまいます。 まず、あなたがするこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
yui.md
コタツノコッソ on Twitter: "12月19日ゆゆ式Adventclalendar用http://t.co/h0lL8lWaEj 今年も唯ちゃん家でクリスマス http://t.co/oInoSeJ7b9"
たば(自信喪失無気力IT系無職)(__taba__)さん | Twitter
RydeenをBuzzでカバーする - S.F. Page
x.com
Waterfall (@loGout) | Twitter
[SOLVED] boot hangs at starting/stopping samba auto-reload integration
開発者ばかりの会社ってはたらきやすいですか? はてなランチで新入女子社員にききました
ubuntu 11.04 xinetd経由でsshdを起動する(設定の変更): 豆腐と蒟蒻