Struts2だけではない、OSSコンポーネントの更新漏れに注意 | LAC WATCH
エンタープライズ・セキュリティサービス事業部の倉持です。 JSOCアナリストグループより、Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大についてのレポートが投稿されています。重要インシデントは減少傾向にあるものの、Apache Struts2を狙った攻撃は継続して多数の攻撃が行われているようです。また、3月20日には、同様の脆弱性が別の箇所にも存在していることが判明しています(S2-046)。今回問題になった対象バージョンのApache Struts2をお使いのユーザは早期にバージョンアップする事を改めて推奨いたします。 Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について 【続報】Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大
Vulsを使って脆弱性情報を精査していて気づいたこと - Qiita
この記事は、Vuls Advent Calendar 2016の1日目の記事です。 はじめに システム運用をされている方で、脆弱性情報を収集するために毎日NVD(https://nvd.nist.gov/ )やJVN(https://jvn.jp/ )の更新情報をチェックされている方は多いと思います。 しかし、Vuls祭り #1で発表した「Vulsで危険な脆弱性を最速検知!」の中でも触れましたが、それらの情報が常に最新で正しい情報であるとは限りません。半年間Vulsを使っていて気付いた点を書いていきたいと思います。 vuls tuiの表示で、Scoreが「?」になっている 原因として以下のことが考えられます。 1.CVE-ID全部のスコアが「?」になっている。 → NVDデータを取り込んでいない。vuls tuiではNVDのデータを元に表示するので、JVNのデータしか取り込んでいない場合も
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
ArachniでWeb脆弱性スキャンをやってみる - ももいろテクノロジー
「w3afでWeb脆弱性スキャンをやってみる」では、w3afを使ってWeb脆弱性のスキャンを行った。 Web脆弱性のスキャンツールには、w3afの他にArachniがある。 ArachniはヘッドレスブラウザPhantomJSを利用しており、高精度な脆弱性テストを行うことができる。 ここでは、Arachniを使ったWeb脆弱性のスキャンをやってみる。 環境 Ubuntu 14.04.3 LTS 64bit版、Docker 1.9.1 $ uname -a Linux vm-ubuntu64 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Dist
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
