PGP(Pretty Good Privacy)はメールの暗号化に使われるプログラムで、公開鍵で暗号化し、受信者が秘密鍵を使って復号する。 ところが一般に公開してはならないはずの秘密鍵が、公開鍵と一緒にAdobeのPSIRTブログに掲載されているのを、フィンランドのセキュリティ研究者ユホ・ナーミネン(Juho Nurminen)氏が9月22日に発見した。 ナーミネン氏から連絡を受けてすぐ、Adobeは問題の投稿を削除して、鍵を失効させたという。同氏は鍵が失効されたことを確認して、Adobeのブログに掲載されていた秘密鍵のスクリーンショットをTwitterに掲載した。 Adobeは9月25日、メディア各社に寄せたコメントで手違いがあったことを認め、「問題のPGP鍵は失効させ、新しい公開鍵と秘密鍵を発行した。問題のPGP鍵は外部のセキュリティ研究者とAdobeセキュリティチームとのメールのやり
無効なURLです。 プログラム設定の反映待ちである可能性があります。 しばらく時間をおいて再度アクセスをお試しください。
Googleが提供するメールサービス「Gmail」のパスワードとメールアドレスが約500万件も流出する事件が発生しました。 Gmailを利用している人はもちろん、Androidを使っている人にも影響があります。自分のGmailのパスワードが流出しているかどうか必ず確認しておきましょう。 Gmailのパスワードが流出しているか調べる方法今回紹介する方法では海外のウェブサイトで公開されているチェックツールを利用しますが、その前にGmailなどに不正なログインが行われたかを確認しましょう。 最近のアクティビティ – アカウント設定 上記のサイトにアクセスするとGmailを含め、自分のGoogleアカウントのログイン履歴を確認することができます。 覚えのない日付や自分が所有していない端末および住所からログインされている場合は、不審なアクティビティが検出されて画面上に表示されます。 今回の件に関わら
「java.com」などの大手サイトに、ユーザーをマルウェアに感染させる不正な広告が配信されていたという。 Javaプラグイン配布の公式サイト「java.com」にJavaの脆弱性を悪用する広告が表示され、ユーザーをマルウェアに感染させていたことが分かった。セキュリティ企業のFox-ITが8月27日のブログで伝えた。 Fox-ITは同社のサービスを通じ、8月19日~22日にかけて複数の大手サイトに、ユーザーをマルウェアに感染させる不正な広告が配信されているのを発見したという。不正な広告はJava.comのほか、TMZ.com、Photobucket.com、eBay.ieなどの大手サイトに配信されていた。 問題の広告には脆弱性悪用キットの「Angler」が仕込まれていて、ユーザーのコンピュータ上にJava、Flash、Silverlightの古いバージョンが見つかると、その脆弱性を突くマル
この真ん中のアプリの利用が原因だ。 pic.twitter.com/HtSgluSr9P— akira nagaoka (@ngokakr) 2014, 8月 5 8月4日の昨日、「アプリが盗まれて他人の物になる」事件が発生したことをお伝えしたが、その手口と思われるものが判明した。 (事件の詳細はこちら→AppStoreで盗難事件発生。半年かけて作ったゲーム、『プロエリウム』がAppStoreから盗まれ別業者に販売される。) 犯人はアプリの売上げを確認する開発者補助ツールをリリースしており、このツールを使用してログインした開発者の iTunes Connect アカウントを乗っ取っているようなのだ。 これは、盗まれたアプリ『プロエリウム』の作者のツイートで判明したもの。 『プロエリウム』の作者は、盗んだ業者のリリースしている売上げ確認補助ツールを使用しており、このツール上で iTunes
ファイルシステムソフトウェア「Samba」のNetBIOSネームサーバをサポートするデーモン「nmbd」に、ローカルネットワークユーザーによるホストの乗っ取りを誘発する重大な脆弱性が存在したが、最新のアップデートにより修正された。 Sambaはネットワークファイル共有のSMB/CIFSプロトコルのオープンソース実装。SMB/CIFSプロトコルはMicrosoft Windowsネットワークのファイル共有に使われていることで最もよく知られているが、Sambaはこれらのネットワークと非Windows OS間の相互運用を実現する。nmbdはIPアドレスとNetBIOS名を結びつける役割を担い、 IPネットワーク越しにNetBIOS名の問い合わせを解決する。 脆弱性を悪用するために、ネットワーク上の不正なシステムが「・・・標的のnmbd NetBIOSネームサービスデーモンのヒープを上書きするパケ
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
悪用された場合、GnuTLSを使っているTLS/SSLクライアントで任意のコードを実行される恐れもある。 Red Hat、Debian、Ubuntuなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に新たな脆弱性が見つかり、修正パッチがリリースされた。悪用された場合、クライアントサイドで任意のコードを実行される可能性が指摘されている。 Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバ
7. 通常のWebサーバとの通信 <html> <body> <form action=“register” method=“POST”> 氏名:vultest<BR> メールアドレス:vultest@example.jp<BR> 性別:男<BR> (以下略) </html> POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name=vultest&mail=vultest%40example.jp&gender=1 HTTP Response HTTP Request 8. 色々いじってみてどういう応答があるか確認 POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? もしも運用しているサーバにDDoS攻撃をされて、大量のトラフィックを理由にホスティング業者から、そのサーバの利用停止を唐突に宣告されたらどうしますか? なにか対策を考えていますか? by woodleywonderworks. CC BY 2.0 「ファイアウォールでそういった攻撃を防いでいるから大丈夫」「まさか契約上そんな一方的なことができるはずない」と思うかもしれません。私もそのような認識でした。しかし、実際にDDoS攻撃を受けてみると業者の対応は次のようでした。 ホスティング業者は味方をしてくれない ホスティング業者は技術的に的は
クレカ明細開いたら身に覚えのあるAppleiTunesStoreからの請求がほぼ毎日5000円づつ来てる・・・・よくわからないが2万円分、知らない請求があった。 明細書が届く頃なので、当然当月の利用分は入っていないのですが、後でそれも確認してみるとずーっと続いていて、合計18本。9万円もの請求でした。 なんじゃこりゃあ!!! 混乱するのでメモを取りながら対応していたのですが、せっかくなのでそのメモを再度お越し直し記事にします。 同じような事が起きている方もいらっしゃると思うので。 対応内容 まずはクレカ会社に即相談。土日はセキュリティ部門が休みの為、月曜返事待ちに。 (公共料金等の支払いが止まると面倒なので、この時点ではカード再発行、停止は未申請。) まずiTunesでAppleID購入履歴を確認。特に該当する項目は無さそう。 Appleに電話 連絡すると、本人確認の為App
By Answer Wen 個人情報が詰まったスマートフォンの画面をロックしておくことは、個人でセキュリティを高める基本中の基本。紛失してしまった時でも自動で画面ロックがかかれば、他人が中身を見ることはできないはずですが、ハッカーのSherif Hashim氏がiOS 7.1.1のiPhoneのロックスクリーンを突破して、「連絡先」にパスコードの入力なしでフルアクセスできる手順をYouTubeで公開しています。 ハッカーがロックスクリーンを突破している様子は以下のムービーから見ることができます。 iOS 7.1.1 passcode lock trick to fully access contacts - YouTube わかりづらいですが、iPhone 5sの情報を開いており、iOS 7.1.1であることを映しています。 ホーム画面を表示してなんの変哲もないiPhone 5sであること
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
ホロライブのカバー、沙花叉クロヱさん配信活動終了(キャラクター消滅は回避)でクビ卒業合わせて今年5人目のお別れ表明
Apache Strutsは、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Strutsのバージョン(2.0.0)から(2.3.16)には、ClassLoaderを操作される脆弱性が存在し、2014年3月に対策されたバージョン(2.3.16.1)が公開されました。 しかし、このバージョン(2.3.16.1)に対して修正が不十分であるため、未だClassLoaderを操作される脆弱性が存在しており、現在も未対応の状態です。 弊社にて調査結果、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にできることを確認いたしました。 また、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される可能性
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
