脆弱性

こんばんは皆さん如何お過ごしでしょうか？ 春が来て気分は良いけど、私は全く晴れません。 さて今日のコンテンツはこちらです。 深夜帯スプラをやっています。 今回の通信系不具合の修正は一つも無かったので。もうこれ以上修正しようが無いのかな この脆弱性、２ヶ月も前に修正していたので、同じ問題があった 現在製造ラインは終わっているので、メンテも出来無いはずですから。 最近生活が苦しいのですよね。 そんな感じなので、クラウドワークスでバイトも上手く行っていないのですよ まとめ 終わりに 深夜帯スプラをやっています。 まぁ同業者なので、あんまりゲームのバグとか追及はしたくないけど。 昨日スプラ3のナワバリ…

※こちらの記事は2021年1月18日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容ですこんにちは、デジタルペンテストサービス部の山梨ブルースです。 今回は軽めのお話を紹介します。2020年より、IoT機器に関連して大騒動になったRipple20、その脆弱性のお話です。 Ripple20とは 米国企業Treck社製のTCP/IPミドルウエアにおける19個のゼロデイ脆弱性の総称となります。これらの脆弱性についてはイスラエル企業JSOFのエキスパートチームが発見した脆弱性となります。このTreck社のミドルウエアはOSに依存しない形で設計されており、これが元でネットワーク通信機能を持…

www.security-next.com 最近になってこの脆弱性をついた攻撃が盛んに行われている。 そもそもの話、商用利用しないESXiの古いバージョンを全世界に公開している時点でヤバい。 これ、VMware側でサポートするにしてもとっくの間に修正パッチはでていて 「バージョンを上げろ」という話でしかない。 結局脆弱性を残すのは人間であり、今回に関しては同情の余地はあんまりない気がする。 一応、とあるサイトとかでどれだけの数の全公開ESXiがあるかは確認できるがちらっと見たが想像を絶する感じであった。 5.1っていつのやねん。 笑い話ではあるが、自分たちもちゃんとシステムを監視する側なのでし…

前から存在だけ知っていたyoctoのcve-checkを実際に動かしてみる。 作業概要 yoctoのレイヤmeta-raspberrypiの最小構成でcve-checkを実施し、どのような結果が得られるか確認する。以下のページの「3.34 Checking for Vulnerabilities」 を参考に作業する。 https://docs.yoctoproject.org/dev-manual/common-tasks.html#checking-for-vulnerabilities yoctoバージョンはkirkstoneで、ビルド環境はあらかじめ用意してあるものを使用する。 作業日は…

東京商工リサーチによる「上場企業の個人情報漏えい・紛失事故」調査（2019年）を見ると、情報漏洩を起こす原因として、誤廃棄やメール誤送信に代表される人為的ミスが多いことに改めて気がつきます。 情報漏えい・紛失事故685件のうち、理由として最も多かったのは「紛失・誤廃棄」の265件（構成比38.6％）で約4割を占めた。次いで、「ウイルス感染・不正アクセス」が178件（同25.9％）、「誤表示・誤送信」が146件（同21.3％）と続く。「紛失・誤廃棄」は、書類や記録メディアの紛失、本来保管しておくべき必要書類を廃棄していたことが社内調査で判明したケースなど。「誤表示・誤送信」は、メールの宛先間違い…

【脆弱性リスト】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2019/06/04 CVE-2018-13379 NVD 9.8(NVD)9.1(Fortinet) CWE-22 パス・トラバーサル 2022/10/10 CVE-2022-40684 NVD 9.6(Fortinet) CWE-306 重要な機能に対する認証の欠如 FG-IR-22-377 2022/12/06 CVE-2022-35843 NVD 9.8(NVD)8.1(Fortinet) - - FG-IR-22-255 2022/12/12 CVE-2022-42475 NVD 9.8(NVD)9.3(…

1月1日のではないけど、とにかく新年っぽい日の出 こんにちは、１年ぶりに戻ってきました笑 新年の挨拶、だいぶ遅くなっちゃったんですけど、明けましておめでとうございます。 今年もみんな元気で幸せたっぷりな一年になりますようにー ♪(´▽｀) この頃は時期が時期なんで、あちこちで年賀状やプレゼントが届いてきます。 たくさんのプレゼント商品があるだろうが、 その中でもIPカメラが目立ち、人から好まれているそうです。 画像：https://item.rakuten.co.jp/tispeed/b09kcfpms3/?scid=af_pc_etc&sc2id=af_117_1_10001720 IPカメ…

Node.jsの設計思想・動作から理解し、アプリケーション開発の実践的なスキルを身につける 2023/1に出たばかりの本です。著者の伊藤康太さんは元Yahooのスペシャリスト認定制度の黒帯保持、有識者による一冊。タイトルは「Node.js入門」とありますがNode.js本体の話にとどまらずJavaScriptの文法の話、ExpressによるWebアプリにCLIツールにフロント/バックエンド両方の開発や運用...と、実質最新のフロントエンド・バックエンド全般を概観できる本となっています。384Pなのでそんなに分厚くはないですね。 Node.jsは仕事でもインストールはしてるしたまに使うこともある…

3/25 - 3/26という日程で開催された。C++感あふれるチーム std::weak_ptr<moon> で参加して11位だった。24時間という競技時間に対してWebが9問と多く、かつ全体的に難易度も高く、ひいひい言いつつ楽しんでいた。 競技時間中に解いた問題 [Web 100] Baby Simple GoCurl (163 solves) [Web 119] Old Pal (67 solves) [Web 152] Imagexif (39 solves) [Web 290] Flag Masker (9 solves) 競技終了後に解いた問題 [Web 193] Adult Sim…

・ ・ ・ 関連ブログを６つ立ち上げる。プロフィールに情報。 ・ ・ ｛東山道・美濃国・百姓の次男・栗山正博｝・ ２０２３年２月２３日 ＹＡＨＯＯ！ＪＡＰＡＮニュース 幻冬舎ゴールドオンライン「干ばつの世界的な深刻化…日本も干ばつの影響から逃れられない 緊迫感増している気候変動問題。世界的に干ばつが深刻化していますが、日本にも甚大な影響を及ぼすといいます。ニッセイ基礎研究所の篠原拓也氏によるレポートです。 【画像】記事中の図表をまとめてみる 1―はじめに 気候変動問題を巡る動きが世界中で活発になっている。温暖化をはじめ、台風や豪雨による災害の激甚化、海面水位の上昇など、様々な形で、その影響が出…

概要 ハニーポットを運用してみたくなったのでしてみようという日記です。 本記事ではハニーポットの概要説明、サーバのレンタル、ログ分析用のElasticsearch、kibanaの導入までを行います。 ハニーポットとは ①運用者がVPSとかにハニーポットを作る ②攻撃者がハニーポットに攻撃を仕掛ける ③ハニーポットがログを出力する ④ハニーポット運用者(※1)がログを観察する 運用者がログを観察することで、どのような攻撃が仕掛けられるか分析することができる。 (※1) ハニーポットの運用者は巷ではハニーポッターと呼ばれるらしい ハニーポットの運用時に気を付けること ハニーポット自体に脆弱性を作ら…

IMFのギオルギエバ専務理事が金融安定性が脅かされていると警告を発している。世界経済の不確実性はかつてないほど高まっていると話す。 北京で開かれたカンファレンスでの発言。今年の世界経済の成長率は3％を下回る見通しになっている。ウクライナ戦争やコロナパンデミックの傷跡、それに金融引き締めによるものだという。 インフレ退治のために長く続いた超低金利政策から金融引き締めに急速に転じると、必然的にストレスと脆弱性を引き起こしてしまう。特に銀行部門への波及が心配である。 世界の金融セクターは今月の米国のSVB破綻により、大きく揺るがされることになった。その後、UBSによるクレディスイス買収も発生した。 …

通信販売サイトのセキュリティインシデント対応に関する次の記述を読んで，設問1〜4に答えよ。 R社は，文房具やオフィス家具を製造し，店舗及び通信販売サイトで販売している。通信販売サイトでの購入には会員登録が必要である。通信販売サイトはECサイト用CMS（Content Management System）を利用して構築している。通信販売サイトの管理及び運用は，R社システム部門の運用担当者が実施していて，通信販売サイトに関する会員からの問合せは，システム部門のサポート担当者が対応している。 〔通信販売サイトの不正アクセス対策〕 通信販売サイトはR社のデータセンタに設置されたルータ，レイヤ2スイッチ…

EU35年以降もエンジン車販売容認するってさ 絶対にすべてを電気自動車にするのは不可能だと 思っていましたので表題の様な言葉がもれました 化石燃料を使ったエンジンは排出ガスがデメリットでもありますが 利便性といざという時の信頼度は電池に比べて遥かに優れていますから そう簡単にやめられるわけではないですよね 特にうちの様な北国の視点からは電池オンリーのクルマは恐怖でしかないです 万が一のとき動かざる厄介な文鎮になる訳ですから… 今回の紛争があったことも事実で脆弱性に国民も気がついちゃったのでしょう それにしても音頭をとって国際的世論をレシプロエンジン全廃に振っておいて 今更なにを言うか、と…やは…

DNSのセキュリティ対策に関する次の記述を読んで，設問1〜3に答えよ。 R社は，Webサイト向けソフトウェアの開発を主業務とする，従業員約50名の企業である。R社の会社概要や事業内容などをR社のWebサイト（以下，R社サイトという）に掲示している。 R社内からインターネットへのアクセスは，R社が使用するデータセンタを経由して行われている。データセンタのDMZには，R社のWebサーバ，権威DNSサーバ，キャッシュDNSサーバなどが設置されている。DMZは，ファイアウォール（以下，FWという）を介して，インターネットとR社社内LANの両方に接続している。データセンタ内のR社のネットワーク構成の一部…

出典：令和2年度秋期 問4 ヘルスケア機器とクラウドとの連携のためのシステム方式設計に関する次の記述を読んで，設問1〜3に答えよ。 C社は，ヘルスケア機器の製造販売を手掛ける中堅企業である。このたび，従来の製品である，歩数や心拍数などを測定する活動量計を改良して，クラウドを利用した新しいサービス（以下，新サービスという）を開発することになった。 〔従来の活動量計の概要〕 従来の活動量計の概要を次に示す。 ・リストバンド型で生活防水に対応する。 ・24時間装着して，歩数や心拍数，睡眠時間を記録する。 ・横10文字，縦2文字のモノクロ液晶画面に，現在時刻や測定中のデータ，記録されたデータを表示でき…

マルウェアへの対応策に関する次の記述を読んで，設問に答えよ。 P社は，従業員数400名のIT関連製品の卸売会社であり，300社の販売代理店をもっている。P社では，販売代理店向けに，インターネット経由で商品情報の提供，見積書の作成を行う代理店サーバを運用している。また，従業員向けに，代理店ごとの卸価格や担当者の情報を管理する顧客サーバを運用している。代理店サーバ及び顧客サーバには，HTTP Over TLSでアクセスする。 P社のネットワークの運用及び情報セキュリティインシデント対応は，情報システム部（以下，システム部という）の運用グループが行っている。 P社のネットワーク構成を図1に示す。 図…

総務省及び国立研究開発法人情報通信研究機構（NICT）が2019年2月から実施している取組“NOTICE”に関する記述のうち，適切なものはどれか。 NICTが運用するダークネット観測網において，Miraiなどのマルウェアに感染したIoT機器から到達するパケットを分析した結果を当該機器の製造者に提供し，国内での必要な対策を促す。 国内のグローバルIPアドレスを有するIoT機器に，容易に推測されるパスワードを入力することなどによって，サイバー攻撃に悪用されるおそれのある機器を調査し，インターネットサービスプロバイダを通じて当該機器の利用者に注意喚起を行う。 国内の利用者からの申告に基づき，利用者の…

ベビー用品の販売・レンタル・クリーニング専門店からカード情報が漏洩した可能性があると発表されていました。 www2.uccard.co.jp 公式発表 ・弊社が運営する「ECサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（3/23）魚拓 2.個人情報漏洩状況 (1)原因 弊社が運営する「ECサイト ベビーランド」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。(2)個人情報漏洩の可能性があるお客様 2021年3月9日～2022年10月28日の期間中に「ECサイト ベビーランド」においてクレジットカード…