「Apache」「Node.js」も ~多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」/「Rapid Reset」脆弱性と比べても深刻
AWS Open Source Blog Why AWS Supports Valkey Less than a week after Redis Inc. announced it was removing the open source license and pulling out of the Redis project, Redis contributors banded together to move the community to The Linux Foundation as the Valkey project. They did this almost immediately after the license change announcement went live, in response to community outcry on GitHub and o
GitHub - lawofcycles/apache-iceberg-101-ja: これからApache Icebergを学びたい人向けの実践的なハンズオンです。コンテナが動く端末1台で始められます
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
この記事のモチベーション 「php-fpmとはなにか?」を知るため、PHPのドキュメントを見ました。 しかし、ここに書いていることはまあそうなのですがあまりに焦点が絞られ過ぎてて「php-fpmとはなにか?」に対する答えとしては少し不十分な気がしていました。 例えるなら数学の問題に答えるにあたって、途中式を飛ばしたり証明の過程を飛ばしたりというような感じ。 不十分というのは、それを理解するための段階をすっ飛ばして答えだけが書かれている状態のことを指しています。 その不十分なところを自分も曖昧にしか理解できていない気がしており、いい機会なので整理しておこうというのがこの記事のモチベーションです。 そのためこの記事は、「php-fpmとはなにか?」をプロセス→Webサーバー→実行方式と順を追って説明していく構成になっています。 「細けぇこたぁいいんだ、おらぁ今すぐ答えだけ知りてぇンダ」という方
脆弱性「CVE-2023-50164」の解明:Apache Strutsのファイルアップロード機能が不正利用されるリスク|トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
Apache Strutsに存在するRCE 脆弱性(CVE-2023-50164, S2-066)についての検証レポート | NTTデータ先端技術株式会社
2023年12月7日にApache Software Foundationにより修正されたApache Strutsに存在するリモートコード実行の脆弱性(CVE-2023-50164, S2-066)についての検証を実施し、脆弱性の悪用が可能であることを確認しました。 1. 本脆弱性の概要 Apache Struts は、Apache Software Foundationが提供するWebアプリケーションのフレームワークで、Javaによる実装として幅広く利用されています。 本脆弱性の悪用に成功した場合は攻撃者がリモートから任意のコードを実行できる可能性があり、 Apache Software FoundationによるとCVSSv3スコアは9.8、SeverityはCriticalと評価されています。[1] また、概念実証(PoC)コードも数多く公開されており、攻撃の観測も報告されているこ
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
最近気に入っているOSSを淡々と紹介する
はじめに こんにちは〜!皆様いかがお過ごしでしょうか? no plan inc. CTOの @serinuntius です。 これはno plan inc.の Advent Calendar 2023の22日目の記事です。 最近気に入っているOSSとかを作者様に感謝しながら、スターを送りながら、こんなのを使用してるぜって紹介する記事です。 「OSSは使っていることを公言するだけでも貢献になる」とsongmuさんが言っていたので、私も貢献したいと思います。 紹介する順番に特に意味はありません。 rtx 個人的お気に入り度: ★★★★★ スター数: 3700 Rustで作られている💯 LICENSE: MIT 初っ端は、rtxです。あらゆるプログラミング言語環境(Runtime)のマネージャーです。 公式のデモ画像を見ていただくのが一番早いと思います。 私はこれを使う前はanyenvというも
JVNVU#96961218 Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066) The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性が存在します。
【セキュリティ ニュース】「Apache ActiveMQ」の脆弱性が標的に - ランサム攻撃にも悪用か(1ページ目 / 全1ページ):Security NEXT
メッセージブローカー「Apache ActiveMQ」に脆弱性「CVE-2023-46604」が明らかとなった問題で、すでに実証コードが公開されており、悪用されていることがわかった。セキュリティベンダーや米当局では注意を呼びかけている。 「CVE-2023-46604」は、「OpenWire」の処理に不備があり、リモートよりコードを実行されるおそれがある脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10」、重要度は4段階中もっとも高い「クリティカル(Critical)」と評価されている。 開発グループでは現地時間10月26日、「Apache ActiveMQ」および「Apache ActiveMQ Legacy OpenWire Module」向けに脆弱性を修正したアップデートをリリースした。 Rapid7によると、現地時間10月27日に同脆弱性の悪用を試みた
サーバー構築の練習ができるLinux学習サイトInfraAcademy(インフラアカデミー) - Qiita
こんにちは、 InfraAcademyというLinuxやネットワークの学習サービスを作成しております、ryuと申します。 サーバー構築が練習できるLinux学習サイトInfraAcademyについてご紹介します! シミュレーターを使ってサーバー構築の練習ができる InfraAcademyでは、Linuxのシミュレーターを使ってサーバー構築の練習ができます。 今までは、VirtualBoxで学習を進めていた人も多いでしょう。 私自身もVirutalBoxでサーバーの学習をしていました。しかし、環境構築に時間が掛かります。特に、複数台の連携したサーバー構築の準備に時間がかかりました。 しかし、InfraAcademyではそのような手間は一切かかりません! 関連記事:インフラ学習におすすめのサイトInfraAcademyとは? 環境の準備が1クリック Linuxの環境準備は1クリックで完了です!
はじめに 概要 Apache Iceberg(アイスバーグ)とは [重要] Icebergの本質はTable Specである Table Spec バージョン Icebergハンズオン Icebergの特徴 同時書き込み時の整合性担保 読み取り一貫性、Time Travelクエリ、Rollback Schema Evolution Hidden Partitioning Hidden Partitioningの種類 時間 truncate[W] bucket[N] Partition Evolution Sort Order Evolution クエリ性能の最適化 ユースケース Icebergのアーキテクチャ Iceberg Catalog Iceberg Catalogの選択肢 metadata layer metadata files manifest lists manifest f
Lampはどのように海外で人気になったか
大きな知名度はなく、知る人ぞ知るバンドとなっていますが、コアな音楽ファンの間で根強い人気を誇っています。 そのLampがどういうわけか「多くの海外の音楽リスナーに聴かれてる」と、最近ネットで話題となっています。 いいバンドだけど寡作で地味、というイメージのLampが海外で異様な人気が出てるというのは聞いてたけどマジだった。現時点で坂本龍一やNujabesを超えて坂本慎太郎やフィッシュマンズの10倍聴かれてる pic.twitter.com/ykVPc7ohl9 — サムソン高橋 (@samsontakahashi) August 27, 2023
ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近ブラウザから簡単に証明書を発行できる ZeroSSL というサービスで証明書を発行したことがあったのでまとめてみます。 ZeroSSL (8月21日追記) ACME 経由であれば無制限に無料で証明書を発行できる旨を追記しました ZeroSSL 無料で SSL/TLS 証明書を発行できるサービスと言うと Let's Encrypt を利用されている方が多いと思います。2023年8月時点で Let's Encrypt が発行している有効な証明書は2億8000万を超えています1。Let’s Encrypt は素晴らしいサービスですが、単一障害点になっていることに警鐘を鳴らしているセキュリティ研究者もいます2。別の選択肢として ZeroSSL を紹介しています。 Let's Encrypt では certbot の様なコマンドを使用して S
ソフトバンクが多額の投資をしたコワーキングスペースのWeWorkが破産の可能性について警告、「継続能力に重大な疑問」があると認める
by Phillip Pessar ソフトバンクグループが膨大な出資を行ってきたコワーキングスペース大手のWeWorkが、2023年8月8日にアメリカ証券取引委員会(SEC)に提出した書類の中で、「企業として事業を継続する能力」に疑問があると報告しました。 WeWork warns of remaining 'going concern' and says bankruptcy possible https://www.cnbc.com/2023/08/08/wework-warns-of-remaining-going-concern-and-says-bankruptcy-possible.html Once worth $47 billion, WeWork shares near zero after bankruptcy warning | Reuters https://jp.
Google Cloud Japan の RyuSA です。👋 最近「 Pub/Sub からイベントとデータを引っ張って BigQuery に投げ込みたい」「 Cloud Spanner の変更ストリームを BigQuery に配置し、データを分析に使いたい」など、様々な用途で大量なデータの処理のために Dataflow を利用いただいているのを観測しています。👀 さて、巨大な分散処理をマネージドで実行してくれる便利な Dataflow ですが、運用する上でいくつか気を付けないといけないことがあります。そしてそれらの多くは「問題が発生してから」発覚することが多いです。この記事では「 Dataflowジョブの運用に関しての FAQ やよくある問題」に対する回答をまとめておきました。 監視 / 可観測性 Q: ジョブのログベースの監視のベストプラクティスをおしえて! A. ログベース監視を
「YAPC(Yet Another Perl Conference)」は、Perlを軸としたITに関わるすべての人のためのカンファレンスです。ここで面白法人カヤックのmacopy氏が「デプロイ今昔物語 〜CGIからサーバーレスまで〜」をテーマに登壇。続いて、mod_perl、FastCGI、PSGIについて話します。前回はこちらから。 mod_perlの手法 macopy氏:というわけで、mod_perlの話をします。mod_perlは「Apacheの中にPerlのインタプリタを組み込んでしまいましょう」という発想(のこと)ですね。 Apacheの中にもMPMという、どういうふうにプロセスを立ち上げておくか、リクエスト・レスポンスを処理するかを決めるモジュールがあります。それによってプロセスやマルチスレッドを処理したりするんですが、そのワーカーの中にmod_perlがロードされて、その中に
メールサーバーへの接続をPOPやIMAPではなく現代風に改善しSMTPも設定不要になるプロトコル「JMAP」、高速に同期可能でスマホの通信量も減らせて効率的
メールサーバーとクライアントとのやりとりに利用されるプロトコルとしてはPOPとIMAPの2種類が広く利用されています。しかし、POPは主な仕様が2000年前後に策定されたままで、同期などの現代的な需要を満たすのが難しく、またIMAPは実装が特殊で新たな開発者にとって扱いづらいという問題がありました。そうした問題を解決するために策定されたのが「JMAP(JSON Meta Application Protocol)」です。JMAPのコアとなる仕様やメール用JMAPの仕様は2019年に策定が完了しており、すでにJMAPに対応済みのクライアントも登場しています。 JSON Meta Application Protocol Specification (JMAP) https://jmap.io/ JMAPは1999年からメールサービスを提供してきたFastmailのチーム主体で進められているプ
Pythonは人気の言語です。しかし、その割にPythonが気軽に利用できるレンタルサーバーは少ない感じがします。何故、レンタルサーバーはPythonの利用に消極的なのですか?
回答 (9件中の1件目) そうですか? さくらのレンタルサーバーやXserverでは使えるし、レンタルサーバーでpythonだけ使えないっていうことに遭遇したことないです。共用レンタルサーバーならruby、perl、pythonはひと揃い入ってるものという印象なのですが。 私のレンタルサーバーのチョイスが偏ってるだけという可能性はなのは否定しませんが、ちなみに使えなかったのってどこの何プランでした?
僕が社内でずっと言い続けていることがあります。 それは「思考と作業は分けましょう」ということです。 よく、プレゼン資料を作るためパワーポイントを開いてフリーズしている人がいます。もしくは、文章を書くためワードを開いてフリーズしている人もいます。それは「思考と作業を同時にやろうとしている」からです。 ではなぜ、思考と作業を同時にやると効率が悪くなるのか? それは「脳サボっちゃう問題」が起こるからだと思っています。 脳というのは考えることをめんどくさがるもの。作業をやりながら思考しようとしても、脳は作業のほうにリソースを使ってしまい、思考のほうになかなか行かないのです。 パワーポイントで図を作成しているときや、ワードで文章を打ち込んでいるときは、「思考」しているように思えますが、実は脳の多くが「作業」に使われている、ということも少なくありません。 だから、なるべく脳を作業から解放してあげること
情報処理推進機構(IPA)の公式Webサイトリニューアルにおいて、多くのページにリダイレクト設定がなされず問題視されていた件を巡り、IPAは4月3日「ご不便をおかけしまして大変申し訳ありません」と謝罪した。 IPAは3月31日に公式Webサイトの全面リニューアルを実施。モバイル端末からの閲覧を意識したデザイン改修、コンテンツへの導線の改善などを図ったとしていた。その中で多くのページのURLも変更したが、リダイレクト設定がほとんどなく、既存のリンクを開いても「404 Not Found」とのみ表示されることが問題視されていた。 謝罪文によると、リニューアルに際して「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツを選定した」という。しかし、多くのユーザーがIPAのコンテンツを資料として使っており、その影響について認識が不足していたのが原因の一つとしている。 なぜ「404エラ
Transformerは分散できる代償として計算量が爆発的に多いという不利がある。 一度みんなが忘れていたリカレントニューラルネットワーク(RNN)もボケーっとしている場合ではなかった。 なんと、GPT3並の性能を持つ、しかも完全にオープンな大規模言語モデルが公開されていた。 そのなもRWKV(RuwaKuvと発音しろと書いてある。ルワクフ?) RWKVはRNNなのでGPUメモリをそれほど大量に必要としない。 3GBのVRAMでも動くという。 時間がない方はビデオをご覧ください 僕の失敗は、何も考えずにgit lfs installでディレクトリごとコピーしようとしたこと。 このディレクトリには過去のモデルデータが全部あるので、ひとつ30GBのモデルデータを何十個もダウンロードしようとしていて終わらなかったのだ。 モデルデータは一とつあれば十分なのでひとつだけにする。 次に、chatのリポ
LINEの通信プロトコルを解析する方法
前置き 本記事は特定のサービスのリバースエンジニアリングを推奨するものではありません。 リバースエンジニアリングの学習を目的とした利用を前提としています。 また、この記事は私が2021年に公開したWrite-upの日本語訳です。 内容は2018年に行ったリバースエンジニアリングの結果に基づいていますが、2020年にはいくつかの仕様が変更されたことに留意してください。 Shh 0. LINEの解析について こんにちは、リバースエンジニアリングについて学んでいる らと です。 各国にはそれぞれ人気なメッセージングアプリがあると思いますが、私の国、日本ではLINEが最も多くのユーザーに利用されています。 私はLINEの通信プロトコルに非常に興味がありましたが、LINEはOSSアプリケーションではありません。 そのため、LINEをリバースエンジニアリングすることに決めました。 1. LINEってな
GitHub - apache/opendal: Apache OpenDAL: access data freely.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
こんにちは、去年の8月に入社しましたMSP事業部エンジニアリンググループの鈴木です。 本記事は、Apache HTTP Server(以降「Apache」と略す)のgraceful stop/restart(以降、2つを指す場合「graceful」と略す)について調査・理解したことをまとめたものになります。具体的には以下について調査しました[※1]。 gracefulの概要、通常のstop/restartとの違いおよびユースケース systemd(systemctl)でgracefulを実行する方法 gracefulを実行する3つのコマンドの動作や関係性 gracefulを実行するコマンドの動作確認(ドキュメントの裏取り) 付録:graceful関連のソースコード解析(理解できている範囲のみ) なお、今回は私個人の学びの一環としてgracefulの基本的なことから調査しましたので、内容とし
あれから1年、Log4Shellの現状
2021年12月、Apache Log4jライブラリにLog4Shellの脆弱性(CVE-2021-44228)が発見され大騒ぎになりました。2022年春にはITメディアのトップページに掲載されなくなりましたが、2022年11月にこの脆弱性をサイバー犯罪者が悪用して米国の連邦機関を攻撃し、暗号通貨マイナーをシステムにインストールしたと報じられたことで、再びスポットライトが当たりました。これを受けて、今回はLog4Shellについて、そして脆弱性を過去のものとするには時期尚早である理由と企業のインフラストラクチャを守る方法を解説していきます。 Apache Log4jライブラリとは? Java SDKでは当初ログ出力をサポートしていなかったため、開発者が独自のソリューションを作成しなければなりませんでした。そのため、正式なJava Logging APIが登場するまでに、多数のバリエーション
Information 2024/1/8: pandas , Polars など18を超えるライブラリを統一記法で扱える統合データ処理ライブラリ Ibis の100 本ノックを作成しました。長期目線でとてもメリットのあるライブラリです。こちらも興味があればご覧下さい。 Ibis 100 本ノック https://qiita.com/kunishou/items/e0244aa2194af8a1fee9 はじめに どうもこんにちは、kunishouです。 この度、PythonライブラリであるPolarsを効率的に学ぶためのコンテンツとして 「Python初学者のためのPolars100本ノック」 を作成したので公開します。こちらは2020年9月に公開した「Python初学者のためのpandas100本ノック」の問題内容をPolarsのメソッドに合わせて修正、再編したものになります。本コンテン
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性 - CVE-2006-20001 mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性 - CVE-2022-36760 mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題 - CVE-2022-37436 想定される影響は各脆弱性により異なりますが、
AWS open source newsletter, #141
Ricardo Sueiras for AWS Posted on Jan 16 • Updated on Jan 23 • Originally published at blog.beachgeek.co.uk January 16th, 2023 - Instalment #141 Welcome Welcome to the AWS open source newsletter of 2023, edition #141. This week we have more new projects for you to practice your four freedoms, including "distributed-compute-on-aws-with-cross-regional-dask", a solution to simplify distributed comput
Webサーバーソフトウェアとして知られる「Apache」に、NPOから名前を変更するよう要請が来ているという。名称変更を求める声明を発表したのは、NPO「Natives in Tech」で、同団体は米国の先住民に力を与えるオープンソーステクノロジー構築を目指しているそうだ。声明を読む限り、創設者の1人であるBrian Behlendorf氏が、Apache Software Foundationが組織の名称を付ける際の経緯が気に入らなかったようだ(Natives in Techの声明、GIGAZINE)。 GIGAZINEに掲載された日本語訳を引用すると (前略)「Apacheという名前にしたのは文化的流用などではなく(中略)もう少し興味深くてロマンティックな名称が欲しかったからです。ちょうどジェロニモとアパッチという部族の最期についてのドキュメンタリーを見たところで、彼らが西部、つまりア
mozc-utの公開の終了といろいろについての所感
どういうことだってばよ Linux 上の日本語入力システムで一番メジャーといえる mozc(Google 日本語入力のオープンソース版)向けの辞書として公開されていた、mozc-ut の公開を作者が終了してしまいました。それに伴ってディストリビューションにパッケージの公開をしている人に削除が求められています。自分の知る限りでは AUR でしかパッケージングされていないので、その部分の影響は少なそうですが、かなりメジャーな mozc の辞書として知られていたので、影響が大きそうだと思いまとめることにしました。(私事で恐縮ですが、mozc-ut を利用していたのでまあまあなショックがあります) 発端 山田ハヤオさんの 2 つのツイートが作者のサイトで原因としてあげられています。 作者は 1 つめのツイートについて 山田ハヤオさんが「UT 辞書はライセンスに問題があってまともではない」と書いてい
オープンソースのWebサーバーソフトウェアとして知られる「Apache」を運営するApache Software Foundation(ASF)に、北アメリカ先住6部族の1つであるアパッチ族を念頭に「アメリカ先住民への敬意と独自の行動規範を守るため」として名称変更の要請が出されていることがわかりました。 Apache® Appropriation https://blog.nativesintech.org/apache-appropriation/ Native Americans ask Apache foundation to change name • The Register https://www.theregister.com/2023/01/11/native_american_apache_software_foundation/ 「Apache」の名称変更を求める声明を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Why AWS Supports Valkey | Amazon Web Services
Re: WebサーバーアーキテクチャとPHP実行方式の理解から始めるphp-fpmとはなにか?
「nginx」開発の主導権を一企業から開発者に ~「freenginx.org」プロジェクトが発足/「Apache」と並ぶ市場シェアを誇るオープンソースのWebサーバーシステム
「Apache Tomcat」に深刻度Importantの脆弱性 ~v9.0.44/8.5.64以降に更新を/POSTリクエストのエラー応答に別のユーザーのリクエストデータが含まれてしまう可能性
Ubuntu 22.04 LTS サーバ構築手順書
JVNVU#96961218: Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)
Apache Iceberg とは何か - 流沙河鎮
ブラウザから無料で簡単に証明書を発行できる ZeroSSL | DevelopersIO
Dataflow の Day 2 Operation ベタープラクティス
mod_perlからFastCGI、PSGIまでの今昔物語 時代の移り変わりに伴うデプロイ手法の変化
仕事が早い人は、思考と作業を分けている|三宅孝之
Hiromitsu Takagi on Twitter: "技術的仕組みの理解がないと「そんなわけあるか」と思えないわけよねえ。技術的仕組みの基礎教育がいかに大事かということなわけよ。 https://t.co/Dr9ibM0dnF 「アクセスが遅くなる懸念があると(ニッセイエブロから)聞いていて、適用するページを選定して合意……パフォーマンスの関係」(IPA)」" / Twitter
まきのっぴ on Twitter: "そこで「それリダイレクト設定どこに書きました? .htaccessに書いてない? でしょ? じゃあhttpd.confに書いて再検証してみて」と指示してやり直した結果、許容し得る性能低下で済むようになったとの報告があり、数万行のリダイレクト設定を施したリニューアルが無事実現できました。" / Twitter
IPAのサイトリニューアルで「404エラー」多発、一体なぜ? 経緯を聞いた
まきのっぴ on Twitter: "(補足: .htaccessはアクセス毎に読み込まれるがhttpd.confは起動時に1回読み込まれるだけなので、設定行数が少量なら無視できるが設定行数が膨大になる場合は圧倒的な性能差が生まれる)" / Twitter
Apache Tomcatに保護されていない認証情報の送信の脆弱性 | ScanNetSecurity
完全フリーで3GBのVRAMでも超高速に動く14B大規模言語モデルRWKVを試す|shi3z
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正/「Apache 2.4.56」への更新を
GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリ
Apache HTTP Serverのgraceful stop/restartを理解する
Python初学者のためのPolars100本ノック - Qiita
JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
Webサーバー「Apache」にアメリカ先住民から名称変更の要請 | スラド IT
Webサーバー「Apache」にアメリカ先住民から名称変更の要請 - GIGAZINE