2017年12月は、なかなか豪快なTLS脆弱性が公開されました。その名もReturn Of Bleichenbacher's Oracle Threat(略称:ROBOT)と呼びます。 19年前に、暗号研究者のDaniel Bleichenbacher氏により考案された攻撃を防ぐための手法は、TLS 1.2のRFCにも反映されているのですが、この手法を適切に実装していないために、Bleichenbacher攻撃の成立を許してしまいます。 ROBOT攻撃とは何なのか?~「RSA暗号による鍵交換実装」の脆弱性を突く ROBOT攻撃は、本質的には鍵交換時の処理の不具合により、適応型選択暗号文攻撃に対して脆弱になってしまっているTLSサーバを攻略することにほかなりません。 そしてこの脆弱性は、RSA暗号による鍵交換を行う際に利用可能とされています。 この攻撃は、理論と実装の両面から情報が公開されて
Mozillaの「Thunderbird」や、macOSおよびiOSに標準搭載の「Apple Mail.app」など、多数のメールクライアントにおいて、受信されたメールの送信元を詐称することが可能な脆弱性「Mailsploit」が5日、公開されました。日本語の情報がまだ出回っていないため、自分用のメモも兼ねてまとめました。 — 今回発覚したこの脆弱性の影響を受けるメールクライアントは非常に多く、先述の「Thunderbird」「Apple Mail.app」だけでなく、Microsoftの「メール」アプリ、「Outlook 2016」、Webメールでは「Yahoo!メール(英語版)」など、世界中でリリースされているほぼ全てのメールクライアントが該当しています。 Mailsploitのサイトでは、実際にそのデモを試すことができます。 Mailsploitのデモ 送信先の欄に自分のメールアドレ
macOS High Sierra 10.13.1の脆弱性を開発者のLemi Orhan Erginが発見した。システム環境設定の「ユーザとグループ」から錠前のボタンをクリックし、環境設定のロックを解除するためにユーザー名とパスワードを入力する場面で、ユーザー名に「root」と入力すると、パスワードを入力しなくてもロックが解除される。ロックが解除されるとゲストユーザーを自由に設定できるようになり、誰でもログイン可能になる。アップルでは問題を把握しておりソフトウェアアップデートの準備を進めている。現状の対策方法は以下のとおり。 ●現状できる対策 (1)アップル公式パッチを待つこと (2)ゲストアカウントへのアクセスを無効にすること (3)システム環境設定からルートパスワードを変更すること ルートパスワード変更方法は以下のとおり。 1.Appleメニュー >「システム環境設定」の順に選択し、「
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。 Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性が見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に主要なメーカー各社は対応するパッチをユーザーに提供し始めているという。 脆弱性は、ベルギーのマシー・ヴァンホフ氏(ルーヴェン・カトリック大学)が複数発見したもの(コードネーム:KRACKs)。WPA2プロトコルの暗号鍵管理にいくつかの脆弱性があり、「Key Reinstallation Attacks」と呼ばれる手法で悪用が可能という。 Wi-Fi Allianceは、脆弱性が報告されてから直ちに対応に
こんにちは、技術部の遠藤(@mametter)です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、Ruby や RubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。 脆弱性は、信頼できないデータを非
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
Photo by Torkild Retvedt こんにちは、吉岡([twitter:@yoshiokatsuneo])です。 サーバ管理で使わない人はいないSSH(OpenSSH)ですが、SSHクライアントで秘密鍵が漏洩する 可能性のある脆弱性(CVE-2016-0777)が発見されています。 各ベンダーからリリースされるアップデートを適用していただくのですが、まだアップデートがリリース されていない環境も多いです。 そのような場合を含めて、結論から言うと、以下のコマンドをSSHクライアントでルート権限で実行することで、脆弱性は回避できます。 # echo -e '\nHost *\nUseRoaming no' >> /etc/ssh/ssh_config ルート権限で上記コマンドが実行できない場合、以下のようにユーザ単位の設定を変更します。 $ echo -e '\nHost *\n
回避策 脆弱性の対策済みファームウェアの使用が困難な場合、以下のいずれかの方法で回避することができます。 管理者パスワードを設定し、そのパスワードをウェブブラウザに記憶させないように設定する。 この設定をした上で、GUI設定画面での作業が終わったら、必ず、一度、ウェブブラウザを閉じる。 なお、SRT100とFWX120以外は、工場出荷状態では管理者パスワードが設定されておりません。 httpd service off を設定し、HTTPサーバー機能を無効にする httpd host none を設定し、全てのホストからのGUI設定画面へのアクセスを禁止する ○ヤマハ 無線LANアクセスポイント WLX302 について 脆弱性と概要 ヤマハ 無線LANアクセスポイント WLX302 の GUI 設定画面がこの脆弱性の影響を受け、意図しない機能を実行させられる可能性があります。 対象となる機種
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く