インテルとARMのCPUに脆弱性「Spectre-v2」の悪夢再び、新たな攻撃手法
2017年、インテルやARMのCPUに情報窃取の脆弱性が存在することが明らかになった。通常、CPUのプロセスはほかのプロセスの処理しているデータを読み取ることはできない仕組みになっているが、ある機能を悪用することで実行中のプロセスから本来は入手できてはいけないデータを窃取できることが明らかになった。この仕組みを悪用して複数の攻撃手法が開発されたが、「Spectre-v2 (またはBTI: Branch Target Injectio)」と呼ばれる手法が最も危険な攻撃方法と認識されている。 これら脆弱性に対して、オペレーティングシステム側が対策を導入したほか、CPUメーカーがハードウェア緩和策(eIBRSやCSV2など)を導入した。この緩和策は意図した通りに機能するが、どうやら研究者はこの攻撃手法を復活させることに成功したようだ。 研究者らは「Branch History Injection
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
クラウドアカウントでMFAが重要な理由
本文の内容は、2022年3月2日にDavid Gonzalezが投稿したブログ(https://sysdig.com/blog/why-mfa-prevents-attacks/)を元に日本語に翻訳・再構成した内容となっております。 最近、クラウドセキュリティに関連して、認証情報の漏洩や破壊に基づく侵害が繰り返し問題になっています。ユーザーは、ユーザーとパスワードの組み合わせなど、単一要素システムを使用してアカウントにログインする傾向があります。これは、アカウントのセキュリティに単一障害点を導入することになります。 数週間前、AWS Lambda ファンクションをクリプトマイニングに使用するために攻撃者に奪われた鍵のために、AWSの巨額請求に対処している人についてのツイートを読みました。1ヶ月後、彼らは$45,000のAWS請求書に直面しました。彼らのケースは厳密には盗まれたパスワードでは
ウクライナへの新たなワイパー攻撃、仕込まれたのは昨年末──ESETが解説
ロシアによるウクライナ侵攻が開始された2月24日(現地時間)の午後、ウクライナの多数の組織のシステムがデータ消去マルウェアによるサイバー攻撃に見舞われたと、スロバキアのセキュリティ企業ESET Researchが報じた。数百台のコンピュータが影響を受けているという。 この攻撃の数時間前には、DDoS攻撃で同国の銀行や政府期間のWebサイトが停止した。 ESETが「HermeticWiper」と名付けたデータ消去マルウェア(データワイパー)は24日午後5時ごろ検出されたが、ワイパーのタイムスタンプによるとコンパイルされたのは2021年12月28日になっており、この攻撃が昨年末には計画された可能性を示しているとESETは解説した。 HermeticWiperは、中国EASEUSのディスク管理ソフトの正規ドライバーとキプロスHermetica Digitalが発行するコード署名証明書を悪用する(
米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知
米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知 米国防総省は「Software Development and Open Source Software 」(ソフトウェアの開発とオープンソース)と題する同省CIO John B. Sherman氏の1月24日付けの書面を公開し、プロプライエタリな製品を購入する前に、既存の政府ソリューションやオープンソースソフトウェアの採用を優先する方針を示しました。 この書面は、セキュアなオープンソースソフトウェアや商用ソリューションの採用を増やすことを同省に指示した2018年7月発表のサイバー戦略の下で、どのようにオープンソースソフトウェアを位置づけるかを説明するものです。 書面の本文で、オープンソースを採用する上で2つの懸念を示した上で、付録のガイドラインで具体的な方針を明らかにしています。
Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家
Linuxに12年前から存在する脆弱性「PwnKit」が新たに明らかになり、主要なLinuxディストリビューションのほとんどに影響が及ぶことがわかりました。エクスプロイトは概念実証の段階ですが、「悪用されるのは時間の問題」とみられています。 PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034 A b
Open source developer corrupts widely-used libraries, affecting tons of projects
Tech/SecurityOpen source developer corrupts widely-used libraries, affecting tons of projects Open source developer corrupts widely-used libraries, affecting tons of projects / He pushed corrupt updates that trigger an infinite loop By Emma Roth, a news writer who covers the streaming wars, consumer tech, crypto, social media, and much more. Previously, she was a writer and editor at MUO.
接種証明アプリの通信内容が見えてしまう? デジ庁「他人からは見えず問題ない」
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。 投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。 ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されてい
【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
「CEOに身代金を要求したい」 こんにちは、PSIRTマネージャのただただし(tdtds)です。この記事はfreee Developers Advent Calendar 2021 18日目です。 freeeにjoinしてから早くも14ヶ月がすぎました。freeeでは毎年10月に全社障害訓練をしていて、昨年は入社したてで右も左もわからないままAWS上の本番環境(のレプリカ)に侵入してDBをぶっ壊す役目をさせられたのも良い思い出です*1。 で、上の「CEOに身代金を要求したい」という物騒な相談は、今年の訓練計画の話です。話を持ち掛けてきたのはCIOの土佐。昨年は主要サービスが落ちて、開発チームが対応にあたる中、ビジネスサイドも顧客対応などで訓練参加しましたが、今年はさらに、経営サイドまで巻き込もうというゴール設定がされたわけですね。腕が鳴ります。 ゴールは「CEOに4BTCを要求する」 ゴー
Apache Log4jに存在する RCE 脆弱性(CVE-2021-44228)についての検証レポート | NTTデータ先端技術株式会社
2021年12月6日にApache Software Foundationにより修正されたLog4j に存在するリモートコード実行の脆弱性(CVE-2021-44228)についての検証を実施し、脆弱性の悪用が可能であることを確認しました。[1][2] (2022.2.16) 追加情報: 以下追加情報として、「Apache Log4jに関する解説 1.6版」を公開しましたのでご覧ください。 1. 本脆弱性の概要 Log4j は、Apache Software Foundationが提供するロギング用ライブラリで、Java等のアプリケーションでログ出力を行う実装として幅広く利用されています。本脆弱性はLog4shellとも呼称され、Log4j に存在する JNDI(Java Naming and Directory Interface) Lookup機能に含まれる問題に起因します。 本脆弱性の
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package | LunaTrace
Originally Posted @ December 9th & Last Updated @ August 1st, 3:30pm PDT Fixing Log4Shell? Claim a free vulnerability scan on our dedicated security platform and generate a detailed report in minutes. What is it?On Thursday, December 9th a 0-day exploit in the popular Java logging library log4j (version 2), called Log4Shell, was discovered that results in Remote Code Execution (RCE) simply by log
セキュリティを一切考慮しないMMORPGを開発するとどうなるか
どうもご無沙汰しております。本Blogが私の年1回の生存報告、兼、アドベントカレンダー用と相成って久しいですが、今年も一発恒例行事として筆を取らせていただきたいと思います。 今年、私が話題に取り上げますのは、とあるゲームです。Amazon Game Studiosという会社が開発・リリースしました、New WorldというMMORPGについてご紹介させていただきたいのです。ゲームの話題には一切興味がない読者諸君も、どうか少し我慢して、私に騙されたと思って最後まで話を聞いていただけませんでしょうか。そもそも、あのAmazonが開発したMMORPGというのですから、どれほどゲームに興味がなくても、技術に興味のある方でしたら、少しは興味深く感じられるのではないでしょうか? けして後悔はさせませんよ。悪い方向にね。 さて、ゲームに何ら興味知識のない方にもわかるように少し解説を入れさせていただきます
Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた - piyolog
2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの? Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリ
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
Why OpenSSH deprecated DSA keys
This is a good question. The dedicated page from OpenSSH only says: OpenSSH 7.0 and greater similarly disables the ssh-dss (DSA) public key algorithm. It too is weak and we recommend against its use. which is no more detailed than the "inherit weakness" from the announce. I did not find any published explanation about these weaknesses except some unsubstantiated weaselling that talks of "recent di
図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書
この本の概要 テレビ会議やリモートワークが普及する中,情報を守る暗号や本人確認のための認証技術の重要性が増しています。本書は公開鍵暗号や署名などの理論を基礎から詳しく解説し,TLS1.3やHTTP/3,FIDOなどの新しい技術も紹介します。更にブロックチェーンで注目されている秘密計算,ゼロ知識証明,量子コンピュータなど最先端の話題も扱います。 こんな方におすすめ 暗号と認証の基礎を学習したい人 Web担当者やセキュリティ担当者など 1章 暗号の基礎知識 01 情報セキュリティ 情報セキュリティの三要素 情報セキュリティと暗号技術 利便性とコスト 追加された要件 02 暗号 暗号とは よい暗号と使い方 暗号の動向を知る 03 認証 パスワードによる認証 パスワード攻撃者の能力 パスワードの攻撃手法 認証の分類 認可 OAuth 04 古典暗号 シフト暗号 換字式暗号 符号化 2章 アルゴリズ
レガシーとなった TLS 1.0/1.1 廃止までの道のり - クックパッド開発者ブログ
SRE 兼よろず屋の id:sora_h です。最近は本社移転プロジェクトをやっています。趣味は Web *1 です。 さて、クックパッドでは 2020 年 12 月に TLS 1.0 および TLS 1.1 (以後 "Legacy TLS") を廃止しました。 Legacy TLS は RFC 7457 でまとめられているような既知の脆弱性の存在などから、Chrome, Firefox といった主要ブラウザを含め各所でのサポートが打ち切られつつあります。また、現在では IETF においても Legacy TLS は deprecated と RFC 8996 にて宣言されました。 クックパッドでもセキュリティ対策およびレガシーな技術と向き合う一環で廃止を進めました。我々は歴史の長いサービスも提供しているため、古い Android や Internet Explorer などからのアクセス
PyPIにおける潜在的な任意コード実行
はじめに(English version is also available.) PyPIは、セキュリティページ自体は公開しているものの、脆弱性診断行為に対する明確なポリシーを設けていません。1 本記事は、公開されている情報を元に脆弱性の存在を推測し、実際に検証することなく潜在的な脆弱性として報告した問題に関して説明したものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 PyPIに脆弱性を発見した場合は、Reporting a security issueページを参考に、[email protected]へ報告してください。 要約PyPIのソースコードを管理しているリポジトリのGitHub Actions上において、悪意あるプルリクエストが任意のコマンドを実行する事が可能な脆弱性が存在した。 これにより、当該のリポジトリに対して書き込み権限を得ることができ、結果
Cloudflareのcdnjsにおける任意コード実行
はじめに(English version is also available.) cdnjsの運営元であるCloudflareは、HackerOne上で脆弱性開示制度(Vulnerability Disclosure Program)を設けており、脆弱性の診断行為を許可しています。 本記事は、当該制度を通して報告された脆弱性をCloudflareセキュリティチームの許可を得た上で公開しているものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 Cloudflareが提供する製品に脆弱性を発見した場合は、Cloudflareの脆弱性開示制度へ報告してください。 要約cdnjsのライブラリ更新用サーバーに任意のコードを実行することが可能な脆弱性が存在し、結果としてcdnjsを完全に侵害することが出来る状態だった。 これにより、インターネット上のウェブサイトの内12.7
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
