2015年1月31日にFull DisclosureにInternet Explorerの脆弱性情報が投稿されました。ここでは脆弱性に関連する情報をまとめます。 脆弱性の概要 脆弱性識別情報 CVE:CVE-2015-0072 脆弱性の通称 UXSS(ユニバーサルクロスサイトスクリプティング) 脆弱性を悪用した攻撃手法の通称であり、この脆弱性をユニークに示すものではない。 (他UXSSとされる例 その1、その2) 脆弱性の影響 信頼できないページへのリンクをクリックする等をした際に任意のドメインで任意のJavaScriptが実行される。 同一生成元ポリシーの回避が可能なことによる。 影響を受ける製品・バージョン Internet Explorer 10 (Windows7、Windows8.1) Internet Explorer 11 (Windows7、Windows8.1) 脆弱性深
2015年1月27日(現地時間) Qualysはglibc(GNU C Library)に脆弱性を発見し、情報を公開しました。ここでは関連情報をまとめます。(暫定まとめなので精度低め、網羅性無しです。。) (1) 脆弱性関連情報 Qualysが公開した脆弱性情報 The GHOST Vulnerability Qualys Security Advisory CVE-2015-0235 注意喚起 IPA (注意) libc の脆弱性対策について(CVE-2015-0235) 脆弱性の概要 glibcの__nss_hostname_digits_dots() にヒープバッファオーバーフローの脆弱性。 当該関数はglibcのgethostbyname()とgethostbyname2()から呼ばれている。 アプリケーションによっては、DoS、またはリモートから任意のコードが実行可能となる可能性
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。放置した場合は相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えます。Linuxシステムでは(ことサーバー用途においては)例外なく glibcが使われています。 この glibcに含まれる gethostbyname系関数の実装に 2000年頃から存在したバグが今になって発見され、CVE-2015-0235 通称 GHOSTと命名されました。ネットワークで何らかの通信を行うアプリケーションは必ず※この関数を使用します。 ※追記: 名前解決をサポート
ALAS-2015-473
Amazon Linux 1 Security Advisory: ALAS-2015-473 Advisory Release Date: 2015-01-27 11:41 Pacific Advisory Updated Date: 2015-01-28 19:57 Pacific Issue Overview: A heap-based buffer overflow was found in glibc's __nss_hostname_digits_dots() function, which is used by the gethostbyname() and gethostbyname2() glibc function calls. A remote attacker able to make an application call either of these func
CVE-2015-0235 Advisory (Ghost)
2015/01/28 7:45 AM PST - Update AWS Elastic Beanstalk - Updates for Elastic Beanstalk have been completed and are ready for our customers to apply to their environments. Customers with existing environments will need to take action, please see the Elastic Beanstalk forum announcement (https://forums.aws.amazon.com/ann.jspa?annID=2855) for specific steps to patch your environment. All new environme
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Message-ID: <20150127162936.GB18888@localhost.localdomain> Date: Tue, 27 Jan 2015 08:29:36 -0800 From: Qualys Security Advisory <qsa@...lys.com> To: oss-security@...ts.openwall.com Subject: Qualys Security Advisory CVE-2015-0235 - GHOST: glibc gethostbyname buffer ove
Link: 食べログのレビュー点数を正規化する Chrome Extension Tabelog is well known for its score system very crowded between 3.1 and 3.5. Most restaurants over 4 stars (or even 3.5) are exceptionally great, while those around 3.0 are not as good.“食べログ 3.4 以上” とかいうフレーズに代表されるように、食べログの点数 は3.1–3.5 に圧縮されるので、より直感的なスコア表示になるように書き換える Chrome 拡張 をつくってみた。 点数のマッピングは、README とソースを見てもらうとわかる。 v1.0.3 から、正規化する前の点数も薄いフォントで併記するようにしたので、この
いつもQiitaをご利用いただきましてありがとうございます。Qiitaを運営しておりますIncrements株式会社の代表の海野です。 先週よりQiitaに対してご意見、ご要望をいただいておりますが、確認できる限り全て読ませていただいております。ありがとうございます。Qiitaに関してご心配や一部の対応についてご心証を悪くされている方もいらっしゃいましたので、以下についてご報告させていただきます。 一部ユーザーさまのユーザー資格の取消についてQiitaに対する要望の投稿の非公開化について1. 一部ユーザーさまのユーザー資格の取消について本件については当該のユーザーさまとご連絡のやりとりをさせていただいておりましたが、事態の改善が見られない事象を*自他の投稿のコメント欄にて*複数回視認したため、結果的に弊社サービス利用規約に基づきユーザー資格の取消という重い判断をさせていただきました。 今回
■ devise をあまりオススメしない理由 いまいち使うのに気が乗らない理由はこんな感じ コントローラレイヤ以降に作用する gem は inspect が物凄くやりにくい、params ないし、必要なコンテキストを全て揃えた上で、コントローラを new して action を呼んで、みたいなこと、考えただけでもだるい テストを書いていたとしても、環境要因、特にセッションとクッキーに影響して挙動が変わる箇所が多すぎるので、全ての環境で正しく再現することが難しい フルスタックすぎることから Rails よりも devise にロックインされることの方が多くなって負債化する そもそも devise で便利になることの多くは、自分で作ってもわけない物が多い 使うからには、devise のコードも全部読むし、PR も投げるしという前提かつ、上のようなことを全て乗り越えるつもりなら僕は止めません!
概要 偶然57577になっている文章を短歌としてつぶやく Twitter の bot を作りました。 フクロウが鳴くと明日は晴れるので洗濯物を干せという意味 #tanka ウィキペディア日本語版「フクロウ」より http://t.co/Dm1uHcQdzR— 偶然短歌bot (@g57577) 2014, 12月 31 再帰的アルゴリズムが有効な問題として有名であり #tanka ウィキペディア日本語版「ハノイの塔」より http://t.co/vm2ZqwImKi— 偶然短歌bot (@g57577) 2014, 12月 31 文章はウィキペディア日本語版を対象としました。 作り方 jawiki-latest-pages-articles.xml.bz2 をダウンロード。 WP2TXT で上記を扱いやすい形式に変換。 このスクリプト で57577になっている文を抽出。数時間かけて(遅い)
1. 世界最高のスタートアップ メンター Paul Graham、珠玉のアドバイス集 スタートアップが迷った時に読む Paul Graham からのアドバイス Takaaki Umada, Microsoft Ventures January 12th, 2015 https://medium.com/@tumada/ / tumada@microsoft.com Summary of Paul Graham Essays 1 2. Y Combinatorのパートナーと若い起業家の会話の多くは 「どうすれば…?」 という質問で始まり、 そしてパートナーは 「ただ (just) ... をしよう」 と答えます。 http://www.paulgraham.com/before.html 2 So many of the conversations YC partners have with
料理動画事業室の @yoshiori です。前に「RESTful Web API 開発をささえる Garage」で紹介した RESTful Web API を開発する Garage のクライアント側のライブラリを公開しました。この記事ではその使い方を紹介したいと思います。Garage の設計思想やサーバ側の実装については上記記事を御覧ください。 今回は簡単にクライアント側の挙動を知っていただくために pry を使って説明したいと思います。 アクセスするサーバは先程の記事で作成したアプリケーションを使用してみます。 サーバの準備 https://github.com/taiki45/garage-example の README にも書いてありますので簡単に進めたいと思います。 まずは下準備としてコードを github から clone してきて、ライブラリのインストールと DB のマイグレ
@hozuki_kyoさんの画像(完成形かつ綺麗) 2015年の1月17日、阪神淡路大震災から20年が経ちます。Remember 1.17 KOBE Projectは、17日当日の混雑や式典の警備なども鑑み、本日(1/11)一足早く三宮周辺に追悼CFアートを描きました。 N@01@Na_O1神戸三宮でIngressフィールドアート、まだ未完成っぽいけど不死鳥かな? ちなみに大震災追悼20周年てことで作成中だそうだ http://t.co/5i39CiRLqB2015/01/11 16:19:32 ozero dien@ozero神戸Ingressフィールドアート、無事、完成スクショとれました。お疲れ様でした。2015/01/11 16:19:07 ozero dien@ozero暫しの祈りを。 #hanshineq20th2015/01/11 16:20:02 20分ほど経つと首の一部
2016/12/27 更新 Googleなどの大手IT企業がうるう秒対策済のNTPサーバが公開したため、これを利用する内容などを以下にまとめました。 元旦に実施される うるう秒の対策 まとめ 2016/07/08 更新 2017/1/1に閏秒の実施が決定されました。対応はこの記事のとおりで問題なさそうです。 2015/06/24 情報追加(2015/06/29 更新) 下記の対応に関わるntpdの比較的新しいバージョンにSLEWモードで動作していても、うるう秒が挿入されるバグが発見されました。[redhat] これによりntp-4.2.8p3-RC1以降のバージョンでないとSLEWモードで動作していてもうるう秒が挿入されます。RedHatはntp-4.2.6p5-3.el6_6という対応済みのバージョンを提供しています。Ubuntuでは今日現在12.04LTS, 14.04LTSの2バージ
Network Time Protocol (NTP) は、様々なサービスやアプリケーションで時刻を同期するために使用される通信プロトコルです。ntpd には複数の脆弱性が存在します。 スプーフィングによる認証回避 (CWE-290) - CVE-2014-9298 ソースアドレスを IPv6 アドレス ::1 に偽装されると、ACL による制限を回避される可能性があります。 プログラムの異常状態や例外条件を適切に検査しない (CWE-754) - CVE-2014-9297 ntp_crypto.c において拡張フィールドの長さ (vallen) の値が正しく検証されていないため、情報漏えいやプログラムの異常終了が発生する可能性があります。 PRNG における不十分なエントロピー (CWE-332) - CVE-2014-9293 ntp.conf ファイルで auth key が設定さ
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
2014年12月18日にNTP ProjectはNTPDに複数の脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここでは任意のコードが実行可能とされるCVE-2014-9295を中心に関連情報についてまとめます。 注意喚起・脆弱性公開情報 2014年12月19日 US-CERT Vulnerability Note VU#852879 Network Time Protocol daemon (ntpd) contains multiple vulnerabilities ICS-CERT Advisory (ICSA-14-353-01) Network Time Protocol Vulnerabilities 2014年12月22日 JVNVU#96605606 Network Time Protocol daemon (ntpd) に複数の脆弱性 脆弱関連情報 C
Network Time Protocol(NTP)に、リモートからのコード実行に悪用される可能性がある極めて深刻なセキュリティホールが複数発見された。ICS-CERTによると、この脆弱性の悪用に高度なスキルは不要で、悪用するための具体的な手法がすでにインターネット上で公開されているという。 NTPバージョン4の4.2.8未満はすべて脆弱性の影響を受けるため、それらのNTPはただちにバージョン4.2.8にアップデートする必要がある。ただしNTPのウェブサイトは、米国東部時間12月19日17時の時点で断続的にアクセス不能に陥っていた。NTPバージョン4.2.8または脆弱性を修正するパッチを確実に入手するには、使用しているOSのベンダーに問い合わせることが推奨される。 セキュリティ系のニュース配信サイト「threatpost」のDennis Fisher氏によると、NTPのウェブサイトがアクセ
社会東京駅記念スイカ、希望者全員に販売へ[22日10:33] 政治躍進共産党のアイドル吉良佳子議員が結婚[22日09:35] 社会佐村河内氏が9カ月ぶりマスコミに応じる[22日09:29] 国際NYで警察官2人射殺 容疑者自殺[21日23:59] 社会ベルリンの壁の開通式/今日は?[22日00:09] 国際NYで警察官2人射殺 容疑者自殺[21日23:59] 政治共産党吉良佳子氏がツイッターで結婚報告[21日18:14] 社会爆弾低気圧が接近、北日本は猛吹雪に警戒[21日18:12] 政治安倍首相、4カ月ぶりゴルフ[21日13:32] 政治共産女子32歳池内氏「怒りぶつける」[21日08:25] 政治初当選の若狭氏 課題は「議員定数」[21日08:22] 社会東京駅 記念Suicaで怒号パニック[21日08:21] 社会南海地震が発生/今日は?[21日00:02] 社会高知競馬の競走馬から
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
