タグ

securityに関するk-holyのブックマーク (424)

  • QEMU 仮想フロッピードライブコントローラの脆弱性(通称:VENOM) CVE-2015-3456についてまとめてみた。 - piyolog

    2015年5月13日にCrowdStrike社が仮想フロッピーディスクコントローラの脆弱性情報を公開しました。ここでは関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 VENOM VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATIONの略 アイコン あり CVE CVE-2015-3456 発見者名 Jason Geffner氏 CrowdStrike シニアセキュリティリサーチャー 専用サイト あり http://venom.crowdstrike.com/ QEMUの仮想フロッピードライブコントローラのコードに存在するバッファオーバーフローの脆弱性。この脆弱性を悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセス・任意のコード実行が可能となる恐れがある。 CrowdStrik

    QEMU 仮想フロッピードライブコントローラの脆弱性(通称:VENOM) CVE-2015-3456についてまとめてみた。 - piyolog
  • 【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ(5/20更新) | さくらインターネット

    5月20日更新 お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 先日、仮想化基盤システム「KVM」において、仮想サーバ内からの特定のコマンド実行 により、ホストサーバや、ホストサーバで動作する別の仮想サーバが不正操作される 可能性のある脆弱性が公表されました(※)。 ※脆弱性は「VENOM」と呼称され、仮想フロッピーディスクドライバの不具合を悪用 することによりホストサーバや他の仮想サーバが不正操作されるものです。 詳細はMITRE社による脆弱性喚起情報を参照下さい。 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456 さくらのVPSでは仮想化基盤にKVMを採用しており、当脆弱性の影響を受ける可能性が 確認されたため、下記のメンテナンスを実施させてい

    【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ(5/20更新) | さくらインターネット
    k-holy
    k-holy 2015/05/21
    貴重な再起動のチャンス!! → yum update → アプリケーションが動かなくなった!!
  • 【重要】VENOM(KVM・XenなどのQEMUの脆弱性)に関する対策について(5/15 18:10更新) | さくらインターネット

    5月14日17:05更新 5月14日18:55更新 5月15日10:00更新 5月15日11:30更新 5月15日18:10更新 お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2015年5月13日、CVE-2015-3456(VENOM)という脆弱性情報が発表されました。 ▼Common Vulnerabilities and Exposures「CVE-2015-3456」 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456 この脆弱性は、サーバの仮想化ハイパーバイザ KVM において発見されたもので、KVM を用いたゲストVM(お客様のサーバ)において特定のコマンドを発行することにより、 ホストサーバ(弊社が管理するサーバ)に影響がおよぶ可能性が

    【重要】VENOM(KVM・XenなどのQEMUの脆弱性)に関する対策について(5/15 18:10更新) | さくらインターネット
  • 仮想化製品多数に「ゲストVM脱出」の脆弱性、影響は極めて重大

    悪用された場合、攻撃者がゲストVMから抜け出してホストシステムにアクセスし、任意のコードを実行できてしまう恐れがある。 XenやKVMなど多数の仮想化プラットフォームで使われている仮想フロッピードライブのコードに、極めて重大な「仮想マシン(VM)エスケープ」の脆弱性が発覚した。セキュリティ企業CrowdStrikeの研究者が発見して5月13日に情報を公開した。 CrowdStrikeによると、この脆弱性(CVE-2015-3456)はXenやKVMをはじめとする膨大な数の仮想プラットフォームやアプライアンスに使われているQEMUの仮想フロッピーディスクコントローラ(FDC)に存在する。同社は、この脆弱性を「VENOM」(Virtualized Environment Neglected Operations Manipulation)と命名した。

    仮想化製品多数に「ゲストVM脱出」の脆弱性、影響は極めて重大
  • SQL Injectionシグネチャの更新 - 2015-05-07 - T.Teradaの日記

    気がつけば3年ぶりの日記更新となりました。 相変わらずWeb/スマホ等のセキュリティは続けてます。 そろそろバイナリもやろうかとも思い、IDA Proを購入してみました。 購入に際してはKinugawaさんの記事を参考にさせてもらいました。 ところで、最後に自作検査ツールについて書いてから6年ほど経ちました。 その間に細々とですがシグネチャの追加や変更を行ってきました。 またこのGW前後にも変更を加えましたので、それについて書こうと思います。 まずはSQL Injectionのシグネチャを取り上げます。 6年前の関連するエントリはこちらです。 2009-05-31 T.Teradaの日記 | 自作検査ツール - SQLインジェクション編 6年間に行われた変更の目的は、正確性と安全性の向上です。 正確性の向上は、False Positive/False Negativeの両方を減らすことを目

    SQL Injectionシグネチャの更新 - 2015-05-07 - T.Teradaの日記
  • ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました

    元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン

    ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
  • Apacheの多重拡張子にご用心

    先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ

    Apacheの多重拡張子にご用心
    k-holy
    k-holy 2015/04/30
    AddHandlerにそんな罠があったのね。前提を満たすことはなさそうだけど気を付けよう…
  • SHA1でハッシュ化したパスワードは危険になった

    (Last Updated On: 2018年4月3日)パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 Slashdot.orgにまた載っているので更に高速化できた、ということか? 参考: RainbowテーブルによるMD5ハッシュのクラック(英語) RainbowテーブルによるSHA1ハッシュのクラック(英語) 前のエントリ PostgreSQLでSHA1 でPostgreSQLでSHA1を使う方法の一つを紹介していますが可能であればSHA512など、より強いハッシュ関数を利用したり、Saltを利用する、等の方法を採用した方が良いと思います。 備考:

    SHA1でハッシュ化したパスワードは危険になった
    k-holy
    k-holy 2015/04/21
    “DEFAULTのハッシュ関数が更新された場合、後方互換性を維持しつつ新しいハッシュ関数とハッシュ回数が利用されます。古いパスワードはパスワードが再設定された場合に自動的に更新されます。”まじか
  • パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構

    出展期間・場所 MAP (1) 2015年4月3日(金)~ 4月9日(木)【終了しました】 JR原宿駅 線路側ボード(ホームからご覧いただけます) (2) 2015年4月10日(金)~ 現在 JR原宿駅 道路側ボード(駅を降りて竹下口に面した道路よりご覧いただけます) 共催:独立行政法人情報処理推進機構(IPA)/公益財団法人 日交通文化協会 後援:サイバーセキュリティ戦略部/経済産業省/国立研究開発法人情報通信研究機構(NICT) 陽だまり家族とパスワード ~自分を守る3つのポイント~ 仲良し5人家族をある日突然襲ったなりすましや不正送金の被害…。脅威が高まるパスワード漏えいへの対策についてホームドラマを通してわかりやすく解説します。(時間:約10分)

    パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構
  • 武田圭史 » パスワードを定期的に変更することに意味はあるのか?

    皆さんはパスワードの定期的変更、してますか? 私ですか? 私はしていません。でも、使用するサービスで情報漏洩があった時やパソコンを買い換えるタイミングなど時々変更するようにしています。 パスワードを定期的変更は無意味だという人がいます。私は無意味であるとは考えていません。パスワードを定期変更しなかったとしても多くの人が不正アクセスなどのセキュリティ被害にあうこともなく平穏な日々を過ごしていることが多いでしょう。そのためパスワードを定期的に変更しなくてもパスワードの盗用によるセキュリティ被害に遭うことはないと感じてしまいます。 一方、なんらかの理由(フィッシングサイトに入力してしまった、コンピュータウイルスに感染し盗まれた、サービス提供企業の管理者が不正に持ち出したなど)で流出したパスワードが闇サイトでパスワードリストの形で販売されたような場合はどうでしょうか。パスワードを一度も変更しない人

    k-holy
    k-holy 2015/03/17
    定期変更を強要するシステムが多く存在して、安易なパスワードを設定されてしまいがちな点で弊害が大きいにも関わらず、それがセキュリティの常識として盲目的に追随されている現状をどう見るかでは
  • 安全なウェブサイトの作り方改訂第7版の変更点と変わらない点

    IPAの安全なウェブサイトの作り方 改訂第7版が公開されました。 このエントリでは、安全なウェブサイトの作り方の元々もつ特徴(変わらない点)と、第7版の変更のポイントについて説明します。 なお、私は安全なウェブサイトの作り方の執筆者の一人ではありますが、以下の記述は私個人の意見であり、IPAを代表するものではありませんので、あらかじめご承知おきください。 安全なウェブサイトの作り方の変わらぬ特徴 安全なウェブサイトの作り方の特徴は、「まえがき」の中で述べられています。 書は、IPAが届出を受けたソフトウェア製品およびウェブアプリケーションの脆弱性関連情報に基づいて、特にウェブサイトやウェブアプリケーションについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根的な解決策と、保険的な対策を示しています。 すなわち、以下の2点がポイントと考えます。 脆弱性の選定

    安全なウェブサイトの作り方改訂第7版の変更点と変わらない点
  • プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構

    IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版

    プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
  • SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか

    SSL通信の根を揺るがす「SuperFish」問題をどう見るべきか:セキュリティクラスター まとめのまとめ 2015年2月版(1/3 ページ) PCにプリインストールされたソフトが通信に割り込み、その内容を全て見ていたかもしれない――2015年2月、レノボの「SuperFish」問題は大きな爪痕を残しました。 連載目次 2月と言えば情報セキュリティ月間改め「サイバーセキュリティ月間」です。脆弱性による大きなインシデントは発生せず、ほっとしていたのもつかの間、レノボのPCにSSL通信を書き換えるアドウエアが、レノボ自身の手によって仕込まれていることが明らかとなり、大きな騒ぎとなりました。 さらに、セキュリティクラスターの風物詩的なものとして長く見守られていたいわゆる「バリデーション論争」がついに終わりを迎えることとなります。 レノボのPCに「SuperFish」の凶悪なアドウエアが仕込まれ

    SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
  • sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる

    ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー

    sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
  • WordPressに仕込まれたマルウェアのコードが恐ろしすぎた

    Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース

    WordPressに仕込まれたマルウェアのコードが恐ろしすぎた
  • 汎用JPドメイン名3200円、属性型JPドメイン名5800円で独自 ドメイン取得! アリクイネット!

  • NHK NEWS WEB 広告ソフトが脅かすセキュリティー

    購入したばかりのパソコンを使うと、クレジットカードなどの情報がインターネットから盗み見られてしまう。 去年販売されたパソコンの一部に、重大なセキュリティー欠陥があるソフトが最初から入っていたことがわかり、大きな批判を招いています。 問題から見えてきたのは、ネットユーザーを分析して利益を上げようという技術に潜む危険性です。 報道局の三輪誠司解説委員が解説します。 パソコンに入っていたソフトの正体は 問題のパソコンは、中国のパソコンメーカー「レノボ・グループ」が去年の9月から12月にかけて世界中で販売した40余りの機種です。 レノボが2月20日明らかにしたところによりますと、これらのパソコンには「Superfish(スーパーフィッシュ)」と呼ばれるソフトが出荷状態から入れられていました。 Superfishは利用者がショッピングサイトなどで商品を検索したり表示したりすると、その情報を別の企業の

    NHK NEWS WEB 広告ソフトが脅かすセキュリティー
  • 本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子

    2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。

    本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子
    k-holy
    k-holy 2015/02/27
    端末任せなら定期変更も現実的な話に
  • PHPのmb_ereg関数群は不正な文字エンコーディングをチェックしない

    PHPのbasename関数には、マルチバイトに対応していないという誤解(実際にはロケールの設定をすればマルチバイトでも使える)があったり、不正な文字エンコーディングをチェックしないという課題があったりで、イマイチだなーと思っている方も多いと思います。 そういう方々が、preg_replace(u修飾子つき)やmb_ereg_replaceを用いて代替関数を作成している解説も見かけますが、それではこれら正規表現関数は不正な文字エンコーディングをチェックしているのだろうかという疑問が生じます。 ざっと調べたところ、以下の様な状況のようです。 preg_replace : 不正な文字エンコーディングをチェックしている mb_ereg_replcae : 不正な文字エンコーディングをチェックしていない ここでは、mb_ereg_replaceが不正な文字エンコーディングをチェックしない状況と、そ

    PHPのmb_ereg関数群は不正な文字エンコーディングをチェックしない
  • Superfish/eDellRootが危険な理由 - めもおきば

    Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで

    Superfish/eDellRootが危険な理由 - めもおきば
    k-holy
    k-holy 2015/02/20
    こんな手法が横行するようじゃ、プロトコルの信頼性も何もあったもんじゃないな…