何百万台ものPCと携帯を危険に晒すLinuxのバグ
危険そうなリンクには今までより警戒したほうがいいかも。 Linuxには約3年ほど見過ごされてきたバグがあり、機器のほぼ全てを乗っ取られてしまう危険性があるとセキュリティ研究者が警告しています。このバグが影響すると考えられるのは、数百万、数千万台にも及ぶコンピューターとサーバー、そして66%のAndroidスマートフォンとタブレットです。 Perception Pointによると、新しく発見されたバグ「CVE-2016-0728」は、Linuxのキーリングに存在します。これはセキュリティデータや認証キー、暗号化キーなどの保存に使われるもので、普通のアプリでは簡単に使用できません。しかしPerception Pointのチームはバグを発見し、それを元に概念実証用のアタックを作り上げ、一時的にメモリに保管されているキーリングの中の物を自分のコードとすり替える事に成功しました。 すり替えられたコー
Grub2の認証でバックスペースを28回押すとレスキューコンソールに入れる脆弱性が発見された
Back to 28: Grub2 Authentication Bypass 0-Day Grub2のバージョン1.98(2009年12月)から、2.02(2015年12月)までにおいて、脆弱性が発見された。 脆弱性はGrub2の認証機能を使っていた場合に、ユーザー名を入力すべきところで、バックスペースを28回入力すると、レスキューコンソールに入れてしまうものだ。これにより、コンピューターに物理アクセスを得ている人間が、Grub2の強力なレスキューコンソール機能を使うことができる。 脆弱性の原因も詳しく書かれていて興味深い。grub2のコードでは、'\b'が入力されるたびに、unsigned型の変数をデクリメントする。この時、アンダーフローをチェックしていない。その変数は配列の添字に渡されて、ゼロが書き込まれる。 結果として、関数のreturn addressを0x0にすることができ、関
ITmedia エンタープライズ:特集:Linuxカーネル2.6で実現するACL (1/5)
特集 2004/03/07 00:00 更新 特集:Linuxカーネル2.6で実現するACL (1/5) Linuxカーネル2.6に標準採用された新しい機能の1つ、POSIX ACL(Access Control Lists)を紹介しよう。これを機にLinuxカーネル2.6の世界を楽しんでみるのもいいかもしれない。 Linuxカーネル2.6も正式リリースからしばらく経ち、O(1)スケジューラの採用やデバイスI/Oの効率化により、システムのパフォーマンスが飛躍的に高まったことはすでにご存知の方、もしくは十分に体感されている方も多いのではなかろうか。そのほかにも、多くの改良および機能拡張が行われているが、今回はその中でも「これまで無かったのが不思議」とさえ思える機能、POSIX準拠のアクセス制御リスト(ACL)について紹介したい。 具体的には、Linux 2.6カーネルにおけるACLを利用可能
1万台ものルーターを何者かが勝手にハックしてセキュリティを高めていたことが発覚
by Peter Dahlgren ユーザーのネットワークに侵入したマルウェアは、侵入した後にさらなる攻撃を仕掛けるためにユーザーのルーターを利用することが多々あります。しかし、Symantecが発見したLinux.Wifatchというマルウェアは、Linuxを搭載する1万台ものルーターに感染しておきながら、悪用ではなくむしろ「デバイスのセキュリティを高める動き」をしていたことがわかりました。 Is there an Internet-of-Things vigilante out there? | Communauté Symantec Connect http://www.symantec.com/connect/blogs/there-internet-things-vigilante-out-there Someone Has Hacked 10,000 Home Routers
Ted Ts'oがEXT4で暗号化を実装
Encryption Support For EXT4 - Phoronix GoogleのTed Ts'oが、EXT4に直接暗号化機能を実装したそうだ。 Linuxカーネルにおけるストレージの暗号化にはいくつか方法がある。ファイルシステム自体が暗号化機能を備えているというのはわかりやすいが、その他にも方法がある。 eCryptfsはEXT4のような通常のファイルシステムの上に、さらに暗号化されたファイルシステムのレイヤーをかぶせる方法だ。eCryptfsは、、ホームディレクトリ以下を暗号化するのによく使われている。 dm-cryptは、ブロックデバイスレベルの暗号化で、これは通常のファイルシステムの下で暗号化を行うレイヤーだ。 今回は、ファイルシステム自体に暗号化機能をもたせたわけだが、[PATCH 00/22] ext4 encryption patchesによると、Androidで使
セキュリティセンター
若い世代を中心に人気のティックトック(Tik Tok)について、そこに潜んでいる危険性と、その危険性に適切に対処する方法を解説します。
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Man page of SETFACL
openSUSE 13.1: 第10章 Linux におけるアクセス制御リスト
ファイルをVVVに書き換えるランサムウェアの蔓延とWin10のアップグレードで感染する事例が急増の懸念【12/13 8:00更新】 - Windows 2000 Blog
JAXenter - Java Development & Software Architecture