あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
趣味で作ったソフトウェアが海外企業に買われ分野世界一になるまでの話 - knqyf263's blog
2年前の2019年8月に以下のブログを書きました。 knqyf263.hatenablog.com 今回はその続きです。前回のブログは多くの人に読んでもらうことを意識して書きましたが、今回はそうではないです。特に得た学びを書くわけでもなく何で作り始めたのか?とかどんなことがあったのか?とか思い出話を書いているだけなので、言ってしまえば自己満足の記事です。それで構わない人や前回の記事を見てその後どうなったか気になった人だけが読んでもらえますと幸いです。 誰かのためになるわけでもない過去の出来事について語るのは老人感が強くて基本的に好きではないのですが、自分の中で一番大きかった目標を達成したので節目として書いています。 英語版の記事も会社のブログから公開しています。英語版のほうが簡潔で良い可能性もあります。日本語版は誤った解釈をされると嫌だからもう少し詳細に書こう、を繰り返していつも長くなりす
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
WPA2 (Wi-Fi Protected Access II) は、無線 LAN (Wi-Fi) の通信規格です。 10月16日(米国時間)に、WPA2 における暗号鍵を特定される等の複数の脆弱性が公開されました。 本脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2 通信の盗聴が行われる可能性があります。 現時点で、攻撃コードおよび攻撃被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。 各製品開発者からの情報に基づき、ソフトウェアのアップデートの適用を行うなどの対策を検討してください。 なお、本脆弱性によりHTTPSの通信が復号されることはありません 図:脆弱性を悪用した攻撃のイメージ アップデートする 現時点で、本脆弱性を修正するための修正プログラムが公開されている場合は、アップデートを実施してください。 ---2017/10
概要 Dockerfileを書くためのベストプラクティスを読んで、ベストプラクティスなDockerfileを作った/作りたい人が対象です。 そのDockerfileで大丈夫かを3分でチェックできるツールをつくりました。Hadolintのような、単なるDockerfileのLinterではなく、ビルドしたイメージの中身まで細かく分析します。 通常のLinterでは原理的に不可能な、ベースイメージに存在している危険性も含めて調べることができます。 ←GitHubのStarもらえると嬉しいです。 Dockleの内部で使われているツールはTrivy, Vulsなどと同じなので、そのあたりを踏まえて、動作原理を別記事にまとめました。 人を震えさせるツール「Dockle」の仕組みを解説 なお、DockerHubで人気のコンテナに対して試した結果をサイトにして公開しています。操作方法もふくめて、別記事に
人を震えさせるツール「Dockle」の仕組みを解説〜Dockerセキュリティの基礎知識も一緒に - Qiita
はじめに 「3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと」で告知したVuls祭り #5で、コンテナのセキュリティについてお話ししました。 しかし15分程度の時間だと、説明不足な点もあったので、資料を修正しつつ、補足コメントを入れました。 パートごとにタイトルを付けたので、Qiitaの目次を参考にするとわかりやすいと思います。Dockerイメージの簡単な説明 & Dockle内部でやっていることの解説 が本記事のメインパートです。 参考になったら、Vuls/Dockle/Trivyのスターお願いします! 特にDockleは後発でスター数が少なく、まずはスター1Kを目指してます。 Vuls Dockle Trivy なお、タイトルの元ネタはこちらです。震えてくださってありがとうございます。 @nagashi_ma_w 2019.6.20: いくつかスライドを削除し、
ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 - エンジニアHub|Webエンジニアのキャリアを考える!
エンジニアHub > 記事一覧 > ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 サーバー運用者の抱える「脆弱性対応の負担が大きい」という課題を解決するべく、神戸康多さんが開発したOSS「Vuls」。同ソフトウェアはなぜ複数OSの脆弱性を検知できるのか、その基本構造を聞きました。そして、神戸さんが語るVulsの開発の根本にあった、貢献意識とは。 マカフィー株式会社が戦略国際問題研究所と協力して2018年3月8日に発表したレポート「Economic Impact of Cybercrime - No Slowing Down(衰えを知らないサイバー犯罪の経済的影響)」は、サイバー犯罪が世界経済にもたらした損害額は約6,000億米ドル
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
CentOS7
ホーム CentOS7 VulsRepoのインストール CentOS7 Vulsのインストール CentOS7 OpenVAS(GVM)のインストール CentOS7 Webminのインストール CentOS7 Userminのインストール CentOS7 Cockpitのインストール CentOS7 Nginxでリダイレクト処理 CentOS7 NginxでCGI(Perl) CentOS7 NginxでPHP CentOS7 NginxでSSL証明書の設定(SNI含む) CentOS7 Nginxでバーチャルホスト CentOS7 Nginxのアクセス制限 CentOS7 Nginxの基本インストール CentOS7 ディスク容量チェック CentOS7 WordPressのインストール CentOS7 RainLoopのインストール CentOS7 PHPListのインストール Ce
--------------------------------------------------------------------- ■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開) - BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/12/09(Tue) 最終更新 2014/12/25(Thu) (米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加) --------------------------------------------------------------------- ▼概要 BIND 9・Unbound・PowerDNS Recursorを含む複
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Takayuki Ushida
- WinMirror - 任意のアプリケーションのウィンドウやデスクトップをミラーリングして表示できます。 解説: オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ - 音声字幕機能付きのWebカメラ - Web Audio APIを使ってマイク入力をスピーカーから出力 - LTタイマー - JavaScriptセキュリティの基礎知識:連載|gihyo.jp … 技術評論社 - HTML5時代の「新しいセキュリティ・エチケット」- @IT - 教科書に載らないWebアプリケーションセキュリティ - @IT - 連載:本当は怖い文字コードの話|gihyo.jp … 技術評論社 - JSF*ck - encode JavaScript with only 6 letters - []()!+ (broken) JSF*ck demo
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた | DevelopersIO
[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた SSMと連携してパッチ適用を数クリックでできるようになりました!メチャ嬉しい!脆弱性管理ツールであるFutureVulsは発見した脆弱性をその場で判断して優先度付けやタスク化できていましたが、これで全てのオペレーションがFutureVuls上で完了します。 こんにちは、臼田です。 全世界のサーバ管理をしている皆様、朗報です。 脆弱性管理ツールのFutureVulsがAWS Systems Manager(SSM)と連携する機能を発表しました! 具体的には下記2つの機能を提供しています。 SSM連携パッケージアップデート FutureVulsの画面上からパッケージのアップデートを行うことができます。 SSM連携スキャン実行 FutureVulsの画面上からサーバのスキャンを
![[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/415c1fe8d9a5dca822acdf7d92bdfdb86eae498a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F06%2Ffuturevuls_1200_630.png)
セキュリティの草の根コミュニティ系勉強会って今どうなってるんだろう? 以前は有志がカレンダー作ってくれてたりしたけど、さすがにパワーが続かずメンテは超ベストエフォートになり、いろいろあった情報源もロストしてしまったので手元のメモをもとにちょっとまとめてみました。 追加情報歓迎&2022年12月時点での最新情報入れてるので陳腐化上等。 また近年新型コロナ禍もあり、どの勉強会もオフラインだけでなくオンラインでも開催しているので、あきらめずに各サイトをチェックしてみてください。 (なお、これ草の根?みたいなのも構わず広めに掲載してます) オンラインのみ 初心者のためのセキュリティ勉強会 https://sfb.connpass.com/ 基本から学ぶセキュリティ勉強会 https://connpass.com/event/267821/ ゼロから始めるCTF https://zeroctf.co
事業会社とOSS - Qiita
最近、社内でよく話をする内容についてまとめました。 企業がOSS化するといろいろメリットがあると思っていて、社内でもそこのコンセンサスはうちの技術横断部門のメンバー間では取れていたりするのですが、自社以外の人とかと話をする時もあるので、いろいろまとめておきます。 なお、この文章では本業をOSSにしつつビジネスを回そうみたいなElasticsearchとかMongoDBとかMySQLみたいな話題はとりあげず、本業が別にある会社がOSS化する、という部分に特化した話です。 9/13に追記 よく言われるメリットとデメリット メリットは、公開することで開発が自然と進み、コスト削減になる。一方でノウハウの流出などのデメリットがある、みたいなトレードオフ、という理解をしている人が多いようです。 コストは削減にならない OSS化したら多くの人に使ってもらいたいですよね?というのは考えるわけですが、その「
IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)は、オープンソースソフトウェアの“Vuls”(バルス)を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開しました。 下記より「脆弱性対策の効果的な進め方(ツール活用編)」についてのレポートPDF版をダウンロードしてご利用いただけます。 テクニカルウォッチ補助資料「ソフトウェア脆弱性関連情報管理シート」を公開【2020年9月30日】 「脆弱性対策の効果的な進め方(ツール活用編)」では、組織の脆弱性対策の進め方の一例として、利用しているソフトウェアを把握し、そのソフトウェアに関連する脆弱性情報を収集後、脆弱性対策の適用の判断を行う方法を解説しています(第2章参照)。それらを円滑に進めるためには、収集した情報等を適切に管理しておく必要があります。一方で、組織によっては管理する方法がわからず適切に行えていないところ
こんにちわ。Cyber Security Innovation Group(CSIG)の井上です。 部門名の通り、サイバーセキュリティに関する部署で、セキュリティコンサルティングやFutureVuls( https://vuls.biz )という脆弱性対策サービスのコンサルティングやサポートをしています。 初めに春の入門祭り2023 という事で、初めて脆弱性対応をする方に向けた記事を書いてみようと思います。 この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。 今回は、IPAの「mjcheck4」( https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html )というツールを使った、セキュリティ情報の収集についてお話しようと思います。 セキュリティ情報収集とは世の中にはセキュリティ情報はいろいろありま
以前より個人で開発していたパッケージ脆弱性管理サービスVeetaをリリースしました。 現状はAWSで個人資金にて運用しているため、1オーガニゼーション5台までの制限がありますが、無料で利用できます Veetaのアーキテクチャは下記の通りです。 利用方法は、ドキュメントにも記載がありますが、以下の手順ですぐに始めることができます。 オーガニゼーションを登録する 認証トークンを発行する クライアントをインストールし、認証トークンを設定する この作業を行うだけで、クライアントであるVazがサーバ内のパッケージ情報を取得し、Veetaにアップロードし、自動的にスキャンしてくれます。 スキャンした結果はVeetaのコンソール上で確認することができ、脆弱性の詳細を確認したり、無視することができます。また、脆弱性の有無はレポート機能でメールやSlackに指定した時間に通知することが可能です。 解決したか
「コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
こんにちは、臼田です。 みなさん、すべてのレイヤーでAWSのセキュリティ対策出来ていますか?(挨拶 今回は先日登壇したAWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –の内容について解説します。 資料 解説 コンセプト AWSにおけるセキュリティ対策も、一般的なセキュリティ対策と同じように様々なレイヤーで実施していく必要があります。 最近トレンドマイクロさんのAWS上で利用できる製品群がたくさんリリースされ、昔からよく使われているDeep Security + EC2以外にも様々なレイヤーで活用できるようになりました。 このセミナーでは特に私がめっちゃ押したいS3のファイルをマルウェアスキャンするFile Storage Security(FSS)とAWS環境のセキュリティチェックをするConfor
各位 JPCERT-AT-2016-0021 JPCERT/CC 2016-05-06(新規) 2016-05-09(更新) <<< JPCERT/CC Alert 2016-05-06 >>> ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起 https://www.jpcert.or.jp/at/2016/at160021.html I. 概要 ImageMagick Studio LLC の ImageMagick には、脆弱性 (CVE-2016-3714) があります。脆弱性を悪用するコンテンツを ImageMagick で開いた場合に、 任意の OS コマンドが実行される恐れがあります。 脆弱性の詳細は、ImageMagick Studio LLC の情報を確認してください。 ImageMagick Security Issue http://
フューチャーアーキテクト裏アドベントカレンダーのエントリーです。9月から、DeNAからフューチャーアーキテクトに転職してお仕事しております。どちらかというとネットで話題になるのはSIerからWeb系ばかりなので、それとは逆ですね。Vulsで有名な神戸さんに声をかけていただいて、一度飲み屋で焼き鳥食べながらお話をして「次は役員呼びますわ」と言われて、今の上司の宮原洋祐さんを紹介されて焼肉を食べて、「次は会長紹介しますわ」と言われて、創業者で会長の金丸さんと面談があって「うちにおいでよ」という感じで、「次転職する時はクイズみたいなの楽しみだなぁ」と期待していたものもなく、1時間の面談でOKが出てしまい、他の会社も受けることなく決まりました。人事の方も「初めてのケース」と言われてました。 なぜフューチャーを選んだのか 一応、転職エージェントに何回か会ってみたりもしたものの、なかなかいいなと思える
サーバの脆弱性チェックできるVulsをdockerを使って試した - tjinjin's blog
世のインフラエンジニアの方々は、何らかの形で利用しているソフトウェアのセキュリティ情報を日々チェックしていると思います。しかし、利用するソフトウェアが増えてくると全部のチェックはなかなか難しいのではないでしょうか。 そんな中最近Amazon Inspectorがプレビューから一般利用開始となり、注目されている方もいると思います。そういったツールが様々出る中で、最近Vulsというものを知ったので試してみたいと思います。 Vulsとは Amazon Inspectorとの違い go-cve-dictionaryについて 実際に使ってみる 検証環境のバージョン Vuls server scan対象サーバ 事前準備 slack通知を試す TUI(Terminal-Based User Interface)を試す OSパッケージ以外もチェックする まとめ Vulsとは github.com scan
Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 Mathy Vanhoef imec-DistriNet, KU Leuven Mathy.Vanhoef@cs.kuleuven.be Frank Piessens imec-DistriNet, KU Leuven Frank.Piessens@cs.kuleuven.be ABSTRACT We introduce the key reinstallation attack. This attack abuses design or implementation flaws in cryptographic protocols to reinstall an already-in-use key. This resets the key’s associated param
IoTプロジェクトでの技術的な反省点2017年
SI系、エンプラ系のエンジニアとして色々なおもしろい経験をさせてもらった2017年でしたが、今になって思えばもっとこうすればよかったという点もたくさんありました。特に技術的な面を振り返ります。 tl;drIoTでは、デバイス接続をいかにスムーズにして台数を増やすかが大事なので、デバイス側が楽になる側に倒すことが正義オンプレ運用はやっぱり大変だクラウドのベストプラクティスは従わない理由がない2017年にやったことIoTという文脈でやったことは主に2つでした。 工場のデジタル化・コネクテッド化を推進する、いわゆるIndustorial IoT(IIoT)物流などでトラックにセンサーをつけて分析する、いわゆるモビリティIoT特にIIoTは昨年からカウントして約1年間やっており、基礎的な機能群はとっくに保守運用フェーズに入っているのでこちらを中心に振り返ります。 採用技術・構成について工場内の制御
はじめに 前回に引き続き、今回もシステムの脆弱性スキャン・検査ツールを紹介していきます。今回はOSSのOpenVAS、Vuls、OpenSCAPについて簡単に概略を解説し、機能比較を行います。 OpenVASの概略 OpenVASは、前回で解説したNessusがクローズドソースになった後、これまでに公開されていたOSSのソースコードをベースに開発が続けられています。基本的な構成はNessusと同じエージェントレスの脆弱性検査ツールで、2017年11月時点での最新のバージョンはOpenVAS-9です。 Linux版のOpenVASでは各ディストリビューション用のパッケージが用意されているので、そちらを用いた方が簡単にインストールできます。今回、筆者はUbuntu 17.10-desktopにUbuntu用のOpenVAS 9をインストールしました。インストールはhttps://launchp
専門板にいる玄人やキチガイの書き込み集:ハムスター速報
専門板にいる玄人やキチガイの書き込み集 Tweet カテゴリコピペ集 1:以下、名無しにかわりましてVIPがお送りします:2011/11/22(火) 07:06:51.74ID:7rKZOumZ0 【サブカル板】 ビックリマンシールのストーリーを語るスレ 第12弾 901 :名無しさん@お腹いっぱい。:2011/11/17(木) 23:40:26.62 ID:1o+oWA5K アリババの器になった聖ズーは言ってみりゃクロノズーの「影」みたいなもんだからな 影=羅との親和性も高かったんじゃない? 902 :名無しさん@お腹いっぱい。:2011/11/18(金) 02:54:58.48 ID:G4qRQ42f 騎神子アリの三日月パーツが創陰パワーを連想させるかな。 月つながりで黒満月の青インカPも付き纏ってたみたいだし。 ていうか曼9聖インカ誕生後でも青インカPが存在してるのは何故なんだ? 3
各位 JPCERT-AT-2014-0001 JPCERT/CC 2014-01-15 <<< JPCERT/CC Alert 2014-01-15 >>> ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140001.html I. 概要 NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態 を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運 用妨害 (DDoS) 攻撃に使用される可能性があります。 NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを 詐称することができます。また、monlist 機能は、サーバへのリクエストに対 して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻
バルスというツールをご存知だろうか? 日本ではとあるアニメの崩壊の呪文として扱われることの多いこのフレーズがいま、サーバー管理者のシステム崩壊を防ぐためのツールとして注目されている。OSSの脆弱性検知ツールであるVuls(バルス)について、開発元であるフューチャーアーキテクトの神戸 康多氏と林 優二郎氏に詳しく話を聞いた。 まずはVulsについて簡単に教えてください 神戸氏:VulsはVULnerability Scannerの略で、Linux/FreeBSD向けの脆弱性スキャンツールです。OSのみならずプログラミング言語やライブラリに至るまで多くの環境に対応し、レポートや通知を行います。ソフトウェアには数多くのバグが含まれ日々脆弱性に関するレポートが報告されています。サーバー管理者は脆弱性に関する情報を随時チェックし、その脆弱性が自身が管理するサーバーにどれくらい含まれているのか影響範囲
本日12月1日より、プログラマやエンジニア、企業、学生、団体などの有志による2016年の技術系Advent Calendar(アドベントカレンダー)が各所ではじまり、一日目を担当する人の記事が公開されてきている。 一般的なAdvent Calendarは、12月25日のクリスマスを楽しみに待つためのもので、12月1日から24日までのカレンダーの日付それぞれの部分が扉になっており、1日ずつその日の日付の部分を開くと天使や動物の絵などが見えるという仕組みになっている(もちろん、様々なバリエーションがある)。 これに発想をえて、技術系Advent Calendarでは基本的に、12月1日から25日までの25日間、特定のプログラミング言語縛りなどの緩やかなルールで、毎日別の人(日付を埋めるために同じ人が複数回担当することもある)が自分のblog等にて記事を書くという形式になっている(特設サイト
脆弱性情報 (CVE : Common Vulnerabilities and Exposures) の対応状況を確認する手順をまとめておこうと思う. CVE データベース CVE 情報は全て以下にまとまっている. cve.mitre.org 全ての CVE にはユニークな ID が振られていて,例えば,環境変数 HTTP_PROXY を悪用して外部サイトと通信できてしまう可能性がある "httpoxy" なら CVE-2016-5385 だし,ImageMagick で任意のスクリプトが実行されてしまう可能性がある "ImageTragick" なら CVE-2016-3714 となる."Shellshock" もそうだけど,どの脆弱性もカッコイイ別名(厨ニ)が付いてて,エンジニア同士の会話だとバズワード的に認識できて良いと思う. CVE - CVE-2016-5385 CVE - CV
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
OSS活動を通して掴んだ海外キャリア。英語力よりも技術力を大切にチャンスを掴む - Findy Engineer Lab
コンテナ脆弱性ツール「Trivy」の開発者である福田さんと、Denoのコントリビューターをしていた日野澤さん。お二人は、OSS活動を通して海外キャリアをスタートさせました。 海外企業で働くのであれば、英語スキルは必須のはず。しかし、福田さんは「未だに英語はわからない」と話し、日野澤さんは「英語は話せるものの、複数人の会話は聞き取れない」と言います。その上で「英語スキルに関係なく挑戦することが大事」だと教えてくれました。 本稿では、4月26日(火)に行われた「オープンソース活動が切り開いた海外キャリア論 vol.4」のなかで語られた、海外企業での働き方やOSS活動との向き合い方についてまとめています。 パネリスト 福田 鉄平さん / @knqyf263 Aqua Security Software Ltd. Open Source Engineer コンテナ脆弱性ツールであるOSS「Triv
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 | JPCERTコーディネーションセンター(JPCERT/CC)
各位 JPCERT-AT-2017-0037 JPCERT/CC 2017-09-13 <<< JPCERT/CC Alert 2017-09-13 >>> Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170037.html I. 概要 複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne" に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり するなどの可能性があります。 Armis The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device https://www
GNU Project が提供する bash は、Linux など UNIX 系の OS に含まれるコマンドを実行するためのシェル(OS の一部としてプログラムの起動や制御などを行うプログラム)です。 bash に任意の OS コマンドを実行される脆弱性 (CVE-2014-6271) が発見され、2014 年 9 月 24 日に修正パッチが公開されました。 ただし、CVE-2014-6271への修正が不十分であるという情報があります。その修正が不十分であることによる脆弱性 (CVE-2014-7169) に対応したアップデートまたはパッチも各ベンダから順次公開されています。 bash を使用して OS コマンドを実行するアプリケーションを介して、遠隔から任意の OS コマンドを実行される可能性があります。 図:脆弱性を悪用した攻撃のイメージ 警察庁によると本脆弱性を標的としたアクセスが観
CVE - CVE-2017-13077
Note: References are provided for the convenience of the reader to help distinguish between vulnerabilities. The list is not intended to be complete. BID:101274 URL:http://www.securityfocus.com/bid/101274 CERT-VN:VU#228519 URL:http://www.kb.cert.org/vuls/id/228519 CISCO:20171016 Multiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II URL:https://tools.cisco.com/security/ce
えびすセキュリティボーイズは、オンラインセキュリティ勉強会です。 今回、エフセキュアのコンサルティング担当の河野氏がクラウド・セキュリティ初心者に向けて、まずやるべきことを紹介しました。講演資料はこちら 「エフセキュア」はどういう会社か 河野真一郎 氏(以下、河野):みなさんこんばんは。 一同:こんばんは。 河野:えびすセキュリティボーイズ meetup online #1の一発目を担当します、河野です。「初心者のあなたに捧げるCloud SecurityあとCyber Security Sauna」というタイトルで、10分ほど喋りたいと思いますます。私は、エフセキュアという会社の法人営業本部で営業担当でして、主にクラウドセキュリティとセキュリティコンサルティングサービスを担当しています。 今日の資料は既にSlideShareにアップロードしてありますので、読み直したい方はそれをご覧くださ
--------------------------------------------------------------------- ■(緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによる namedのサービス停止について - バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2011/05/27(Fri) 更新 2011/06/01(Wed) (ISC発表文書の更新を反映) --------------------------------------------------------------------- ▼概要 BIND 9.xのネガティブキャッシュの取り扱いには実装上のバグがあり、 namedのリモートからのクラッシュ(サービス停止)が可能であることが、 開発元のISCより発表されました。本脆弱性により、提供者が意図し
セキュリティに関するいくつかの考察 - qmail 1.0 から10年(Some thoughts on security after ten years of qmail 1.0)
[This is a Japanese translation of Some thoughts on security after ten years of qmail 1.0] Daniel J. Bernstein Department of Mathematics, Statistics, and Computer Science (M/C 249) University of Illinois at Chicago, Chicago, IL 606077 045, USA djb@cr.yp.to CSAW’07, November 2, 2007, Fairfax, Virginia, USA. Public domain. 目次 概要 1. はじめに 1.1 - 「今月のバグ」倶楽部 1.2 - qmail のリリース 1.3 - qmailのセキュリティ保証 1.4 - 本
vuls/README.ja.md at master · future-architect/vuls · GitHub
Vuls: VULnerability Scanner Vulnerability scanner for Linux, agentless, written in golang. README in English Slackチームは こちらから 参加できます。(日本語でオッケーです) Abstract 毎日のように発見される脆弱性の調査やソフトウェアアップデート作業は、システム管理者にとって負荷の高いタスクである。 プロダクション環境ではサービス停止リスクを避けるために、パッケージマネージャの自動更新機能を使わずに手動更新で運用するケースも多い。 だが、手動更新での運用には以下の問題がある。 システム管理者がNVDなどで新着の脆弱性をウォッチし続けなければならない サーバにインストールされているソフトウェアは膨大であり、システム管理者が全てを把握するのは困難 新着の脆弱性がどのサーバ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
更新:WPA2 における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと - Qiita
(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月25日更新)
脆弱性もバグ、だからテストしよう!
UTF-8.jp
サイバーセキュリティの草の根コミュニティ系勉強会 - Qiita
初めてのセキュリティ情報収集(mjckeck4) | フューチャー技術ブログ
パッケージの脆弱性管理サービスVeetaをリリースしました | ten-snapon.com
ImageMagick の脆弱性 (CVE-2016-3714) に関する注意喚起
Shibu's Diary: DeNAからフューチャーアーキテクトに転職しました。
Key Reinstallation Attacks
OSSのシステム脆弱性スキャン・検査ツール「OpenVAS」「Vuls」「OpenSCAP」を使ってみよう
ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
脆弱性検知ツール「Vuls」の開発者に聞いたOSSをバズらせる極意
本日12月1日より、2016年の技術系Advent Calendarが各所ではじまる | gihyo.jp
脆弱性情報 (CVE) の対応状況を確認する - kakakakakku blog
更新:bash の脆弱性対策について(CVE-2014-6271 等):IPA 独立行政法人 情報処理推進機構
AWSになぜセキュリティが必要なのか エフセキュアのコンサル担当が教えるAWSセキュリティ対策
(緊急)BIND 9.xのネガティブキャッシュ機能の実装上のバグによるnamedのサービス停止について