DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起
各位 JPCERT-AT-2016-0002 JPCERT/CC 2016-01-12 <<< JPCERT/CC Alert 2016-01-12 >>> DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160002.html I. 概要 権威 DNS サーバの設定不備により、必要な IP アドレス以外からのゾーン 転送要求に応答し、ゾーン情報が第三者に流出する危険性があります。 ゾーン情報には、ゾーンの管理情報 (サーバ名や IP アドレス等) が保持さ れており、それらが外部に流出することで、組織のサーバやネットワーク構成 を推測され、組織のネットワークやサーバのセキュリティに対する、潜在的な 脅威の増加につながる可能性があります。 JPCERT/CC では、日本国内にある一定数の権威 DNS
グッド・プラクティス・ガイド パッチ管理
グッド・プラクティス・ガイド パッチ管理 2006 年 10 月 24 日 発行 邦訳:一般社団法人 JPCERT コーディネーションセンター 要約 本書は、 重要国家インフラストラクチャに関わる組織向けにパッチ管理に関するガ イドを示すものである。 セキュリティ上の脆弱性を最小限に抑えるためにすべての システムにパッチを正しく適用するための 4 段階のプロセスについて説明すると ともに、パッチ適用計画の有効性を測定する際に利用できる指標について説明す る。 付録では、 一般的なオペレーティングシステム用のパッチ管理ツールについて 詳しく説明する。 Japan Computer Emergency Response Team Coordination Center : Japan Computer Emergency Response Team Coordination Center DN
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 | JPCERTコーディネーションセンター(JPCERT/CC)
各位 JPCERT-AT-2017-0037 JPCERT/CC 2017-09-13 <<< JPCERT/CC Alert 2017-09-13 >>> Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170037.html I. 概要 複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne" に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり するなどの可能性があります。 Armis The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device https://www
CON09-C. ロックフリープログラミングの手法を使うときは ABA 問題を避ける
CON09-C. ロックフリープログラミングの手法を使うときは ABA 問題を避ける ロックフリープログラミング (Lock-free programming) の手法を用いると、ロックを明示的に使用することなく、共有データ構造を同時に更新することができる。この手法を用いることで、長時間に渡って待機するスレッドがなくなり、プログラムの性能は向上する。 ロックフリープログラミングには下記の利点がある。 割込みハンドラなど、ロックの使用を避ける必要がある場所で使用できる ある程度の負荷がかかっている状況ではロックを使ったアルゴリズムよりも効率的であり、マルチプロセッサマシンにおけるスケーラビリティ向上にも役立つ リアルタイムシステムにおいて優先度逆転を防ぐ ロックフリープログラミングの手法では、CAS (compare and swap) や LL/SC (load linked/store
POS33-C. vfork() を使用しない
POS33-C. vfork() を使用しない vfork 関数を使用すると可搬性やセキュリティに関する多くの問題が生じることになる。未定義の動作や処理系固有の動作が発生しうるケースが多数存在し、サービス運用妨害の脆弱性につながる可能性がある。 vfork のマニュアルには次のように記載されている。 vfork() 関数は fork() と同じ働きをするが、vfork() が作成したプロセスが、vfork() の戻り値を格納するための pid_t 型変数以外のデータを変更した場合、vfork() が呼び出された関数からリターンする場合、および _exit() や exec 系の関数を正常に呼び出す前に他の関数を呼び出した場合、その動作は未定義である。 また、旧バージョンの Linux では、特権プロセスが vfork() を呼び出し、次に、子プロセスが権限を降格して execve() を呼
Java アプリケーション脆弱性事例解説資料
2014 2013 セキュアコーディングを学ぶための教材として活用していただくことを目的として、Java 言語で書かれたアプリケーションの脆弱性事例に関する解説資料を公開しています。 セキュアな Java アプリケーションの開発を目指すには、すでに知られている脆弱性の具体例を理解し、それを反面教師として同じ失敗を繰り返さないようにすることが重要です。 Java言語によるセキュアなプログラムを開発するためのコーディング規約「Java セキュアコーディングスタンダード CERT/Oracle版」や、Javaセキュアコーディングセミナー資料とともに、本資料を自習や勉強会などの参考資料としてご活用ください。 2014 公開日 タイトル PDF PGP 署名
JPCERT C Secure Coding Standard 日本語版 - プリプロセッサ (PRE) (#c01)
CERT C コーディングスタンダード 00. はじめに 01. プリプロセッサ (PRE) 02. 宣言と初期化 (DCL) 03. 式 (EXP) 04. 整数 (INT) 05. 浮動小数点 (FLP) 06. 配列 (ARR) 07. 文字と文字列 (STR) 08. メモリ管理 (MEM) 09. 入出力 (FIO) 10. 環境 (ENV) 11. シグナル (SIG) 12. エラー処理 (ERR) 13. Application Programming Interface (API) 14. 並行性 (CON) 49. 雑則 (MSC) 50. POSIX (POS) AA. 参考情報 BB. Definitions CC. 未定義の動作 DD. 未規定の動作 XX. お問い合わせ 00はじめに このページでは、JPCERTコーディネーションセンターが翻訳を行っている CE
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
