追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。 この情報は、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日のブログで紹介した。脆弱性はJavaの「common-collections」ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。 コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、
New Version-String Scheme(新しいJavaのバージョン表記体系) - きつねとJava!
新しいJavaのバージョン表記体系がJEP 223で提案されています. 概要 Javaのバージョン表記をメジャー,マイナーバージョンに加えてセキュリティアップデートにも対応できるような体系を作るJEPです. また,今まで混在していたバージョン表記を統一して一つの体系として再構築していきます. 今後使われるバージョン表記は新しいバージョン表記体系で記述されます. すでに使用されている過去のバージョン表記については変更しないようです. バージョン表記のセキュリティアップデート対応 今までのJavaのバージョン表記はマイナーアップデートしてuXXやUpdate XXという風に記述していました. ここではJDK7のXXというupdateには「JDK 7 Update XX」と表記していきます. さて,JDK 7 Update 60とJDK 7 Update 55とを比較してみましょう. この時に一
JavaでSSL証明書の検証無効化、ホスト名検証の無効化…とデバッグ - CLOVER🍀
時々使う割には、かなりの頻度で忘れるのでメモ。 テストなどでSSLの自己署名証明書を使った場合に、よく遭遇する状況 SSL証明書をマジメに検証しないようにしたい 証明書のホスト名と実際のホスト名が異なる時にエラーにならないようにしたい というのをゴマかそう?というお話。 以下のような例外がスローされるケースですね。 アクセス先が、未知の証明書を返却する場合。 sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target※単に自己署名証明書を通したいだけなら、後述のキーストアに証
Java/SSH実装 - Glamenv-Septzen.net
id: 1256 所有者: msakamoto-sf 作成日: 2014-01-19 14:13:31 カテゴリ: Groovy Java SSH [ Prev ] [ Next ] [ Java ] JVM言語で使えるSSH実装ライブラリのメモ Javaで使えるSSHライブラリ - Starlight http://d.hatena.ne.jp/Kazuhira/20120819/1345375895 2012年8月時点でのまとめ。 SSH library for Java - Stack Overflow http://stackoverflow.com/questions/995944/ssh-library-for-java メジャー: JSch - Java Secure Channel http://www.jcraft.com/jsch/ わりと利用実績多いらしい。 http
Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず
セキュリティ専門家は「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 さまざまな脆弱性の悪用を狙った攻撃ツールの「Neutrino」に、Javaの既知の脆弱性を悪用する機能が加わった。Java 6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava 7にアップグレードするよう促している。 セキュリティ企業F-Secureの研究者は8月26日、TwitterでJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
はてなブログ | 無料ブログを作成しよう
わたし的棚ぼた一万円選書 急に千葉さんに手渡された封筒、開けてみたら1万円札が1枚。何ごとかと思えば、同期の出張を代わったお礼をもらったらしい。 「葵はワンオペで育児してくれたから」と半分わけてくれました。 泡銭の1万円 これはもう、わたし的1万円選書をしろという思し召しなのでは……
Javaに未解決の脆弱性が発覚、標的型攻撃に利用される(ITmedia エンタープライズ) - livedoor ニュース
> > > Javaに未解決の脆弱性が発覚、標的型攻撃に利用される2012年08月28日08時14分提供: Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。 この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。 この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイト
Javaで使えるSSHライブラリ - CLOVER🍀
最近、仕事でJavaからSSHを使用することが多いのですが、ちょっとどんなライブラリがあるか調べることになりまして…せっかくなので、結果をまとめてみることにしました。 割と有名どころが多いので、知っている方はそれほど大した情報にはならないと思いますが…。 では、いってみましょう。 JSch これが1番有名なライブラリではないでしょうか?妙にバージョンが低い割には、Ant、Eclipse CVSプラグイン、Maven Wagonなどで利用されているようです。 名前 JSch プロトコルバージョン SSH v2 最新バージョン(2012/08/18時点) 0.1.48 利用可能な主な機能 SSH、SFTP、SCP(リモートコマンド実行の限定サポート)、公開鍵認証 プロジェクトサイト http://www.jcraft.com/jsch/ Maven Central Repositoryへの登録
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Vulnerability in Java Reflection Library Fixed after 30 Months
ファイルをVVVに書き換えるランサムウェアの蔓延とWin10のアップグレードで感染する事例が急増の懸念【12/13 8:00更新】 - Windows 2000 Blog
デシリアライズを利用したリモート実行可能な Java ゼロデイエクスプロイット
2年ぶりのJavaゼロデイ脆弱性
JAXenter - Java Development & Software Architecture
Java is still the most secure widespread runtime
JavaFX needs to be a new edition of Java
Another Week, Another Java Security Issue Found
デジタル署名の作成と検証 - しおしお
