多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を
Qualysの脅威調査部門(TRU)は米国時間10月3日、GNU Cライブラリ(glibc)でセキュリティーホールを発見したと報告した。この脆弱性(CVE-2023-4911)は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム(CVSS)」では7.8、「重要」(Important)と評価されている。 最もリスクが高い「深刻」(critical)ではないものの、このglibcの脆弱性はバッファオーバーフローであるため、厄介な問題だ。さらに、多数の「Linux」ディストリビューションに含まれている。 TRU の研究者らによると、「(ローカル権限を昇格して完全なroot権限を付与する)この脆弱性を、『Fedora』37と38、『Ubuntu』22.04と23.04、『Debian』12と13のデフォルトインストール」で、実際に悪用できたという。また、他のディス
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。 今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
(語り手)JILIS副理事長 高木 浩光 (聞き手)JILIS出版部 編集長 小泉 真由子 (撮影)宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木: はい、よろしくお願いします。話はと
cgroupsに影響するLinuxの新たな脆弱性CVE-2022-0492 コンテナエスケープの条件は
By Yuval Avrahami March 3, 2022 at 5:09 PM Category: Cloud Tags: containers, CVE-2022-0492, Linux, vulnerabilities This post is also available in: English (英語) 概要 2022年2月4日、Linuxはカーネルにおける新たな特権昇格脆弱性CVE-2022-0492を公表しました。CVE-2022-0492はコンテナの基本構成要素であるLinuxの機能、コントロールグループ(cgroup)における論理バグです。この問題は最近発見されたLinuxの権限昇格脆弱性のなかでもとりわけその単純さできわだつもので、「Linuxカーネルが誤って特権的オペレーションを非特権ユーザーに公開してしまった」という内容になっています。 さいわい、ほとんどのコン
Log4jで話題になったWAFの回避/難読化とは何か
はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ!」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない!」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか?」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で
Re: CookieのPath属性は本当に安全性に寄与しないのか - Qiita
以下の記事を読みました。 CookieのPath属性は本当に安全性に寄与しないのか 結論として以下となっています。 結論。Path属性は特殊な状況下ではある程度安全性に寄与する Path属性は、これを設定してCookieを発行するあるパス(以下「自身のパス」)にサーバサイドのプログラムを書き換えられるような脆弱性がなく、同一オリジン内の別のパスにそのような脆弱性がある場合に、そのパスへのCookieの漏洩することを防ぐことができます。 中略 つまり、「体系的に学ぶ 安全なWebアプリケーションの作り方」の記述はおそらく間違えです。 とはいえ私はセキュリティは専門ではなく、特に攻撃側には疎く、この記事に書いた以上の調査・実験もしていないため、この結論も確実とは言い切れません。詳しい情報をお持ちの方がいたら、ぜひご教示ください。 記事では、iframeなどを用いた攻撃について言及されていて、そ
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
ログ消去もされていた三菱電機の不正アクセスについてまとめてみた - piyolog
2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。 発端は研究所サーバーの不審ファイル動作 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。 報道された出来事を時系列にまとめると以下の通り。 日時 出来事 2017年後半? 三菱電機の中国国内子会社でマルウェア感染。 2019年3月18日 三菱電機が中国拠点のウイルスバスター法人向け製品の脆弱性を悪用された攻撃を受ける。*1 : アップデート機能を悪用し中国拠点で侵害範囲が拡大。 2020年4月3日 中国拠点端末より国内拠点の
これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎 - Qiita
✎ 基礎知識編 CSRF とは何か? CSRF (Cross-Site Request Forgeries) を意訳すると 「サイトを跨ぐ偽造リクエスト送信」 です。 簡単に言うと,罠サイトを踏んだ結果,自分が無関係な別のサイト上で勝手にアクションをさせられる攻撃です。具体的には,ネットサーフィンをしているうちに知らない間に自分のIPアドレスから掲示板に犯罪予告が書かれていた,といった被害を受けます。 この攻撃を防ぐ責任は「無関係な別のサイト(具体例では掲示板)」側にあります。Web サイト作成者には,利用者が意図しない操作を勝手に実行されないように,利用者を守る責任があります。 また上図からも分かる通り,この攻撃の最大の特徴はアカウントがハッキングされたというわけではないということです。ログイン状態の利用者のWebブラウザを利用して攻撃が行われている,というのが重要です。 オリジンとは何
さよならパスワード!WebAuthnに対応したBacklog / Cacoo / Typetalkで指紋を使って安全ログイン | 株式会社ヌーラボ(Nulab inc.)
BacklogにmacOSの指紋認証でログインする様子 ヌーラボでは2019年3月にW3Cで標準化されたパスワードレス認証の「Web Authentication API」(WebAuthn: ウェブオースン)と、「FIDO2」(Fast IDentity Online: ファイド)対応のサーバを実装することで、Backlog / Cacoo / Typetalk上でのパスワードを使わない新しい認証に対応しました。 WebAuthn / FIDO2を使用した生体認証ログインのメリットは次のとおりです。 生体認証でログインが素早く簡単になります 生体情報はネットワーク上には流れず、ローカルのセキュリティ デバイスに保存されるため安全です 2要素認証※2のため安全です サーバに登録する認証情報は公開鍵のため、パスワードリスト型攻撃や情報漏洩のリスクがありません ドメインが検証されるため、フィッ
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか?
by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。 Your Pa$$word doesn't matter - Microsoft Tech Community - 731984 https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 Microsoftでセキュリティに関する仕事に従事しているヴァイネルト氏
(その1)「不正指令電磁的記録に関する罪」について、最高裁判所へ情報公開請求をしました - ろば電子が詰まつてゐる
兵庫県警が「不正指令電磁的記録に関する罪(刑法168条の2および3)」について起こした無限アラート事件について、前回の続きです。 今回は、兵庫県警ではなく最高裁判所へ情報公開請求をしました。そのためナンバリングを(その1)と振り直しました。二つは並列して進めていきます。これまでの動きを追いたい方は、Twitterのmomentにまとめてあるのでこちらで追ってください。 https://twitter.com/i/moments/1145015327027154944 今回の概要 - 最高裁判所への情報公開請求 前回の記事、(その6)兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしましたでも書きましたが、今回の無限アラート事件のひとつの要因は法務省が曖昧すぎる法律の条文を放置しているという点もあります。 現在の「不正指令電磁的記録に関する罪」は、この曖昧な条文を「運用でカバー」し
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
コンテナはなぜ安全(または安全でない)なのか - sometimes I laugh
CVE-2019-5736を覚えていますか?今年の2月に見つかったrunc(Dockerがデフォルトで利用しているコンテナのランタイム)の脆弱性で、ホストのruncバイナリを好き勝手にコンテナ内部から書き換えることができるというものです。 脆弱性の仕組みに興味があったので調べたところ、コンテナを攻撃する方法というのは他にもいろいろあって、runcは頑張ってそれを塞いでいるようです。これまとめると面白いかも、と思ったので以下のようなおもちゃを作りました。 Drofuneは簡単なコンテナランタイムです。drofune runとかdrofune execなどでコンテナを起動したり、入ったりすることができます、といえば想像がつくでしょうか。 これだけでは何も面白くないので、Drofuneはわざと安全でない実装になっています。なので、今回発見されたCVE-2019-5736を利用した攻撃も成立します
鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した
4月23日(火)に開催された 「#ssmjp 2019/04 ~DNSの話を聞く会~」に「Outputなら任せてください枠」で参加しましたので、講演内容からとくにやばい(?)内容と思われる@tss_ontap(鈴木常彦=浸透言うな先生)の「黒塗りの DNS (萎縮編)」から、「共用レンタルサーバにおけるメールの窃盗」について紹介します。スライドは公開されています。 サマリ レンタルサーバーからメールを送信する場合、悪意の第三者に、特定のドメインに対するメールを横取りされるリスクがある 攻撃手法 攻撃者は、レンタルサーバーを契約(お試しなどでも可能)して、攻撃対象のドメイン名(ここではchukyo-u.ac.jp…中京大学のドメイン名を用いる)を登録する その際に、当該ドメイン名の権利を有している必要はない(権利があれば正当にメールを受信できるので攻撃の必要がない) これだけ なぜメールが横
パスポートのセキュリティ - AAA Blog
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その2) - ろば電子が詰まつてゐる
2019/03/11(月)に、簡易書留で公文書公開請求書を送付しました(前回の記事参照)。郵便追跡で到着は確認していたのですが、念のため兵庫県警へ電話して受理を確認したので記録します。 なお、本記事の最後に「必ず知って欲しいこと」を付けておりますので、できれば最後まで読んでください。 到着確認の電話 兵庫県警察本部県民広報課 情報センターへTELしました。 電話のやりとり はじめに広報担当の方が出て、情報センターの方に代わって頂いたため、その部分は省略します。また、各所に「えー」「あー」がお互い入っておりますが、それは省略します。 ozuma「わたくし、○○○○と申します。一昨日に公文書公開請求書をご送付いたしましたが、そちらに届いているか確認したく、お電話させて頂きました」 ご担当「はい、届いております。現在、作業に入っております」 ozuma「了解いたしました、よろしくお願いします。そ
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
コインハイブ事件 高木浩光氏が公判で証言「刑法犯で処罰されるものではない」 - 弁護士ドットコム
自身のウェブサイト上に他人のパソコンのCPU(処理装置)を使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)の第2回公判が1月15日、横浜地裁(本間敏広裁判長)であり、セキュリティ専門家の高木浩光氏への証人尋問が行われた。 ●「ソフトウェアの作成や流通に萎縮効果」 弁護側の主尋問で、高木氏はいわゆる「サイバー刑法」(情報処理の高度化等に対処するための刑法等の一部を改正する法律)が成立した際の附帯決議に「構成要件の意義を周知徹底すること」、「捜査は適切な運用に努める」と付記されていることを説明。構成要件が曖昧なまま処罰されてしまう弊害について、「ソフトウェアの作成や流通に萎縮効果が出てしまう」と述べた。 また、JavaScriptは、閲覧者側のPC内のファイルに触れられない機能になっており
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
