Red Hatは3月29日(米国時間)、「Urgent security alert for Fedora 41 and Fedora Rawhide users」において、圧縮ツールおよびライブラリーの「xz」から悪意のあるコードを発見したとして、注意を喚起した。このコードの影響を受けるライブラリ「liblzma」により、攻撃者はsshdを介してシステムに不正アクセスする可能性がある。 Urgent security alert for Fedora 41 and Fedora Rawhide users xzが抱える脆弱性の概要 発見された悪意のあるコードは脆弱性「CVE-2024-3094」として追跡されている。この脆弱性の影響を受けるバージョンは次のとおり。 xz バージョン5.6.0または5.6.1 脆弱性(CVE)の情報は次のとおり。 CVE-2024-3094 - XZ Ut

The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register

Check Point Software Technologiesはこのほど、「Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog」において、Dockerイメージの危険性について伝えた。Dockerイメージには構築と使用に特有の脆弱性があることから、攻撃者の格好の標的となってしまっている。同社は既知の脆弱性を含む基礎コンポーネントの使用、クラウド環境の動的な性質、簡単な配布方法によって、セキュリティインシデントが引き起こされていると指摘している。 Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog Dockerイメージは攻撃者にとって好ましいターゲットの一つとなっている。一般的にさ

The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。 StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価さ

セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE（Customer Premises Equipment：カスタマ構内設備）で広く利用されており、Arris製の複数のルータモデルに使われるファームウェアに含まれているという。 Arris / Arris-variant DSL/Fiber router critical vulnerability exposure｜Derek Abdine muhttpd(mu HTTP deamon)は、ANSI Cで開発されたシンプルなWebサーバ

京都大学(京大)は11月5日、一般相対性理論が提唱された当初からの懸案だった“一般の曲がった時空”において、正しいエネルギーの定義を提唱したこと、ならびに、その定義を自然に拡張することで、宇宙全体からなる系で、エネルギーとは異なる別の新しい保存量が存在することを理論的に示したことを発表した。 同成果は、京大 基礎物理学研究所の青木慎也教授、同・横山修一特任助教、大阪大学(阪大) 大学院理学研究科の大野木哲也教授らの共同研究チームによるもの。詳細は、シンガポールの国際学術誌「International Journal of Modern Physics A」に2本の論文(論文1、論文2)として掲載された。 一般相対性理論によって、物質の質量(=エネルギー)や運動量が空間の曲がり具合を決定し、その曲がりが重力であるということが示され、それまでのニュートン力学から革新された。E=mc2の公式で知

高エネルギー加速器研究機構(KEK)と、東京大学国際高等研究所カブリ数物連携宇宙研究機構(Kavli IPMU)は11月24日、欧州宇宙機関(ESA)のプランク衛星による「宇宙マイクロ波背景放射」(CMB)の偏光観測データを用いて、宇宙を記述する物理法則が「パリティ対称性」を破っている兆候を、99.2％の確からしさで観測したと共同で発表した。 同成果は、KEK素粒子原子核研究所の南雄人博士研究員と、Kavli IPMUの小松英一郎主任研究者(独・マックス・プランク宇宙物理学研究所所長兼任)らの共同研究チームによるもの。詳細は、米国物理学専門誌「Physical Review Letters」に掲載された。 我々の天の川銀河には1000億とも2000億ともいわれる恒星があり、この宇宙には、そうした銀河が1000億はあるとされ、実に膨大である。しかし、我々人類を含め、こうした全宇宙に存在する膨

三菱重工業は2019年9月23日、H-IIBロケット8号機の打ち上げ前ブリーフィングを開催し、11日に発生した移動発射台の火災の原因と対策、そして打ち上げに向けた準備状況について発表した。 火災の原因は、エンジン冷却に使う液体酸素が発射台開口部に吹き付けられたことで、静電気が発生し、断熱材が燃えた可能性が高いと結論。対策として、帯電、延焼防止を目的としたアルミシートを施工した。一方、ロケットの機体には大きな影響はなかったという。 新しい打ち上げ日時は、9月25日1時5分5秒に予定されている。 9月11日に起きた、H-IIBロケット8号機の移動発射台の火災の様子 (C) nvs-live.com 移動発射台の火災 この火災事故は、9月11日の未明に発生した。このときH-IIBロケット8号機は、すでにターミナル・カウントダウン作業と呼ばれる準備作業の段階にあり、推進剤の充填や点検など、6時33

Microsoftは5月13日(米国時間)、「WSL 2 Post BUILD FAQ｜Windows Command Line Tools For Developers」において、ユーザからの質問に答える形で先日発表されたWSL2 (Windows Subsystem for Linux 2)の詳細について伝えた。当初発表された内容よりも詳しい内容が伝えられている。 伝えられている主な内容は次のとおり。 WSL 2はWSL 1が利用可能なすべてのSKUで利用可能になる WSL 2では仮想環境としてHyper-Vを使用する WSL 1を廃止する予定はなく、WSL 1とWSL 2は並列して実行することが可能 LinuxディストリビューションはWSL 1とWSL 2を切り替えることが可能 WSL 2の実行中はVMwareやVirtualBoxといった仮想環境を使うことができない。この点に関して

Opensource.comは9月28日(米国時間)、「10 handy Bash aliases for Linux｜Opensource.com」において、Bashで利用できる便利なエイリアスを10個紹介した。紹介されているエイリアスは次のとおり。

禁断のコマンドを味わう Linuxは、Webサーバやクラウド・プラットフォームでのコンテナ・オペレーティングシステムとして高いシェアを持っている。今や、スーパーコンピュータTOP500のOSはすべてLinuxだ。デスクトップ・オペレーティングシステムとしてのシェアは2%前後だが、Macの5分の1程のシェアがあると考えると、かなりの台数が使われていることになる。 このLinuxだが、スーパーユーザーで『あるコマンド』を実行すると簡単にシステムを壊すことができる。チュートリアルやティップス系の記事では、そうしたコマンドは実行しないようにと必ず注意書きが追加されている。 しかし、「実行するな」と言われると、実行したくなるのがお茶目な管理者やユーザーの常というものだ。本連載では、こうした「絶対に実行してはいけない」というコマンドを淡々と実行して、その結果をお伝えする。 すべてを削除する『rm -r

皆既日食が起こると、太陽の周囲に、真珠色に淡く輝く部分が見える。これは「コロナ」と呼ばれる高温の大気で、その温度は100万℃もの、猛烈な熱さをもっている。 ところが、太陽の表面の温度は6000℃しかなく、さらにコロナは太陽表面から数百kmから数千kmも離れている。にもかかわらず、なぜコロナは太陽の表面より、100倍以上も高温になっているのだろうか。 この不思議な現象は「太陽コロナ加熱問題」として、数十年間にわたって多くの研究者を悩ませ続け、そして現在も未解決のままだ。 その謎を探るべく、国立天文台と宇宙航空研究開発機構(JAXA)宇宙科学研究所は、2013年に日本の太陽観測衛星「ひので」と、米国の太陽観測衛星「IRIS」(アイリス)による共同観測を実施し、さらにスーパー・コンピューター「アテルイ」による数値シミュレーションを組み合わせた研究が行われ、そして2015年8月24日、その研究成果

F5ネットワークスは9月2日、「2014年サイバーセキュリティ攻防最前線」と題した記者説明会を開催。サイバー攻撃の最新の驚異傾向と同社が考えるサイバー攻撃へのセキュリティ対策を説明した。 F5ネットワークスジャパン アジアパシフィックジャパン セキュリティアーキテクトの谷村透氏は、最近の脅威傾向について、「2020年には50億台のデバイスがインターネットに接続され、これらはクラウドサーバに接続されており、Webベースのアプリケーションをサイバー攻撃から守ることがますます重要になる」と語った。 同氏は、IPAによる「2014年版 情報セキュリティの10大脅威」を示し、「外部公開Webサーバの攻撃が上位を占めており、外部Webサーバを守っていくことが重要になる」と指摘した。

取引先や紹介された企業や団体に赴いた時、「さてここの団体は御のあと、なんていうのが正しいんだっけな?」なんて戸惑ってしまうことはありませんか?企業や会社ならわかりやすいのですが、相手が銀行・組合・学校なんてものだと、どういえばいいのかわからなくなりがち。会社じゃない場合の御●●について、ご紹介します。 ■「御社」を使っていいのはどこまで? 御社という言葉は、相手の会社を敬う時に使う言葉です。そのため会社や企業に対して使われます。ただし取引先の中には、「会社」という枠組みの中に入らない団体もあるはず。そんな時は、どんな言葉を使えばいいのでしょうか? ■銀行の場合は、「御行」? 銀行を敬う時に使う表現は、「御行」です。ただし銀行の場合「株式会社」が前につくか後につくか、さらには各銀行の中のならわしとして、「御行」を使うのか、それとも「御社」を使うのかがわかれることがあるので、注意が必要です。

The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトの開発者でありLibreSSLの開発に携わっているBob Beck氏は5月17日(カナダ時間)、「BSDCan2014: LibreSSL」においてLibreSSLの開発がはじまってからのおおよそ30日間のできごとを伝えた。なぜOpenSSLからLibreSSLを派生させ別プロジェクトとして取り組むことにしたのか、具体的にどういった変更を実施したのかなどが説明された。プロジェクトを立ち上げるきっかけはHeartbleed脆弱性が決め手だったのではなく、そのあとに取り組んだ作業によって別プロジェクトにするという判断が決定的なものになったと説明があった。懸念された点は特に次のとおり。

The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. OpenBSDプロジェクトは「OpenOpenSSL」と呼ばれる新しい取り組みを開始した。OpenBSDプロジェクトは今回のOpenSSLのセキュリティ脆弱性(通称Heartbleed)を修正する取り組みを進めている間に別のバグも発見したとしており、抜本的にコードを作り替えるべきと判断。すでに初期段階のクリーンナップを実施しており、今後も積極的に開発を進める姿勢を示している。 「OpenOpenSSL」はOpenSSL風の暗号化システムとして開発が継続される見通し。執筆現在ではOpenOpenSSLのサイトは既存のコンテンツを流用した作りになっており、不自然な表記が見られるが、コミットログには作業の様子が残

前回は、近年ますます重要度が増しつつあるセキュリティ対策、特にDDoS攻撃への対応においてApplication Delivery Controller(以下、ADC)が脚光を浴びていることを紹介した。簡単におさらいすると、ADCはネットワークレイヤーを防御する「ネットワークファイアウォール」とアプリケーションレイヤーを防御する「WAF(Web Application Firewall)」の双方の機能を持ち、DDoSをはじめとするWebアプリケーションを狙った攻撃に対する多層防御を実現する。前回はネットワークファイアウォールの機能について詳しく取り上げたが、今回はもう1つの要であるWAFの機能について詳しく紹介する。 アプリケーションの脆弱性を狙った攻撃を防ぐにはWAFが不可欠 WAFは、アプリケーションの手前に設置されるセキュリティアプライアンスで、アプリケーション層のプロトコル、より具

電車乗り換えのためにホームを移動する際、階段を昇降するのって結構面倒……。しかし、阪神電気鉄道・尼崎(あまがさき)駅では、ホーム移動に階段やエレベーターを利用する必要がないのだとか。驚くべき移動手段は、なんと停車中の電車だという。これは一体どういうことなのか!? その移動手段は、「中通し」と呼ばれている。読んで字のごとく、利用者を“電車の中を通して”移動させることを意味する。例えば、1番線から3番線に乗り換えなければいけない場合、通常は階段を昇降して移動するが、停車している電車を開け放ち、通路として利用できるようにすれば、乗客の移動の手間が省けるというわけだ。 甲子園球場でイベント開催時に利用されていた方式 この「中通し」はもともと、甲子園球場でのイベント開催時に、甲子園駅で利用されていた。開催期間中、梅田方面から同駅4番線に入線した電車がしばらく停車する際、両サイドの扉を開け放つことで、