脆弱性

はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サービスを作ったことを書きました。 techblog.securesky-tech.com その後、私の新卒研修ではこのサービスについて弊社の主な業務である脆弱性診断を行っていたのですが、そこでSSRFという中々面白い脆弱性が見つかりました。この記事ではSSRFがなぜ引き起こされてしまったのかと、その対策について書いていこうと思います。 SSRFとは SSR…

10万円給付開始はいつ? Yahoo!検索で自治体ごとに表示 - Impress Watch 結局１０万円を一括給付するところと、別にする所の２つに分かれてしまいましたね。 私の市は５万円、後から５万円の自治体になりました。 私は子供世帯の給付金よりも余りニュースにならない、非課税世帯の給付金が どうなるかとても気になりますね。何か法律が制定されたので、それから動くとか 言う話しですよ。 まぁ確認書を一月に発送して、それから給付で二月にお金が入る感じですね。 本当は早く来て欲しいのですよね。まぁでも予算案が通らないと意味がないので。 それがアレなのですよね。でも確実らしいです。 少しでも家計の…

log4j がめちゃくちゃ話題になってますね。 自分がいる会社でも、製品に使われていないかなどの対応に追われているところもあり、なかなか安心できない状況となります。 毎年クリスマス前は、ハッキングとかセキュリティの話題が出ているような。 インフラチームはクリスマス嫌っている人多そう。 警察庁がlo4jの攻撃情報を公開 悪用されるとどうなるか どうなったらかかるのか windows もすぐに対処 自分のpcにもlog4jが linux はすぐに対処を androidはあまり気にしなくて良い うちで使っている製品もやばいの？ docker desktopの場合 microsoft の場合 被害にあ…

この記事はCalendar for Ruby | Advent Calendar 2021 - Qiitaの15日目です。 今年Ruby関連で見つけた、または公開された脆弱性のまとめです。 Ruby(CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse) CVE-2021-41819: Cookie Prefix Spoofing in CGI::Cookie.parse Rack/Rails側に報告されていたCookie parserの問題が他にもないか探して見つけたものです。ブラウザのcookieはhttpでの接続、サブドメ…

史上最悪のセキュリティ欠陥 インターネットサーバーで広く使われているソフトウェアに致命的脆弱性が見つかり、 世界中のサイバーセキュリティ業界がひっくり返ったとAP通信が伝えた。 ゲームサーバーやクラウドサーバーを運営するIT企業はもちろん、ウェブサーバーを 運用する企業や政府機関までもがこのソフトウェアを活用しており、深刻なハッキング リスクに晒される可能性がある。 中国からのトラフィックが普段より増えるかも？ 問題となるのはオープンソースのロギングライブラリ「Log4j」。 ※Javaプログラムで用いられるライブラリ。 ロギングとは、サーバーやプログラムのメンテナンスを目的として動作状態を記…

Javaで使われるログ出力ライブラリ log4j2 で任意のリモートコードを実行される脆弱性が見つかったようです。 12月10日に判明したらしく、この脆弱性を利用すると攻撃者が悪意のあるリクエストを送出できるようで、任意のコードがリモートから実行されてしまう可能性があるとのこと...((((；ﾟДﾟ))))search.yahoo.co.jpwww.cyberkendra.comgithub.comlogging.apache.org log4j2とは 脆弱性について 影響を受けるバージョン 具体的な問題点 log4j2とは Log4j は Javaのログ出力に使われるライブラリのことを指しま…

ペンタセキュリティとクラウドブリックは、四半期ごとにExploit-DBのWeb脆弱性を分析し、最新のWeb脆弱性のトレンドを分かりやすくまとめた「EDB/CVE-Report」を発刊しております。 第3四半期のWeb脆弱性トレンドをインフォグラフィックにてご確認ください。 Web脆弱性を予防するためには、Webアプリケーションファイアウォール（WAF）を活用した深層防御（Defense indepth）の実装し、持続的にセキュリティを維持することが重要です。 インテリジェント型WAF 「WAPPLES」 www.pentasecurity.co.jp クラウド型WAF「Cloudbric W…

SELinuxシリーズ 本記事は、SELinuxシリーズの4記事目です。 Linuxプロセスアクセス制御の概要 SELinuxの概要 SELinux Type Enforcement SELinuxの実践 ←今ココ (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL SELinuxの関連記事は、SELinuxタグから探せます。 お伝えしたいこと 前回のType Enforcementの記事では、デフォルトのtargeted policyに限定しつつもSELinuxを理解するために必要な理論を一…

SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL SELinuxの関連記事は、SELinuxタグから探せます。 お伝えしたいこと 本記事では、SELinuxの位置づけを明確にするために、Linuxプロセスのアクセス制御技術を分類します。 SELinux自体の具体的な特徴は次の記事…

ブラボ含むフロムゲーでは、猛烈な割引率のセールが秋の台風くらいの頻度で発生するので、Twitterの自分のタイムラインにはそれをオススメするツイートも一緒に流れてくる。自分もその関連で軽率にブラボとダクソ2,3を購入した口だ。 しかしこの中で自分がクリアどころか最初のボス的存在まで行けたものは一つとして無い。どころか最初の方少しだけ触って終わっている。最後まで出来る人は凄い(VERY SUGOI GAMER) 単純に難易度が高いというのもあるだろうけど、いわゆる「死にゲー」に関しては別のゲームでのクリア経験が幾つかある。そのため単純に「高難易度ゲームが出来ない」という訳ではなく、シンプルに相性…

あるWindowsサーバの再起動をしたところ、共有プリンタが使えなくなるという障害が発生したということで、調査対応しました。 Windowsサーバにプリンタが接続されており、そのサーバ上からはテストプリントなど通るものの、既に設定されていた共有プリンタからのアクセスはできなくなっていました。ネットワークプリンタにアクセスしようとすると 0x0000011bエラー が発生してアクセスできないことがわかりました。 これで調べてみると、去年の秋2021年9月頃に出た印刷スプーラーの脆弱性（PrintNightmare）という脆弱性に対する対策パッチKB5005565が当たると、共有プリンタが使えなく…

CubePDF、CubePDF Utility、CubeICE を始め、弊社が Cube シリーズとして公開している Windows ソフトウェアは .NET Framework と呼ばれる技術を利用しています。 .NET Framework には複数のバージョンが存在しており、Cube シリーズでは現在 3.5 または 4.5 以降（CubePDF Utility のみ 4.5.2 以降）がインストールされていれば利用可能ですが、下記の理由により、近々この動作環境を .NET Framework 3.5 または 4.7 以降 に変更する予定です。 .NET Framework 4.5.2、4…

北京在住の画家許那さん（大紀元） 北京五輪の「舞台裏」 ジェノサイド訴え投獄された女性画家と数百万人の良心の囚人 22 時間前 中国北京冬季オリンピック 北京冬季五輪ボイコット ※ 大紀元エポックタイムズで表明された内容や意見は、寄稿者の個人的見解です。無断転載を堅く禁じます。 画家であり詩人でもある女性が、中国共産党の刑務所に入れられた。彼女の顔や名前は、世界中の多くの人にとって馴染みのないものだった。 彼女の名前は許那（シュ・ナ）。 世界は彼女の苦しみについてほとんど沈黙したままだ。中国共産党が彼女を監禁している刑務所やコンクリートの独房では、昨年、彼女のような良心の囚人5千人以上が逮捕・…

三日連続稼働、2日目の朝。 すでに帰りたいと叫ぶ身体をどうにか起こして、特に急ぎでもないが、スピードを選び、洗濯機を回す。 洗濯は家事の中でも苦手な方だ。 うまく汚れが落ちないことや、型崩れしてしまうことが多い。 色々ある家事の中でも、洗濯の方法が一番私の中で曖昧なままでいる。 今の私は洗濯を回すことだけで精一杯だ。 着たものを上手に洗えるようになれば、それはとても心地いいことだと思うのだけれど。 洗濯機が私を呼ぶまで、流れ作業のように私は私の準備を始める。 ベッドから出たら一気にことを済ませないと、またしばらく動かなくなってしまうタチなので。 顔を洗って、着替えをして。 そして、労力を洗濯に…

たんぽぽ舎です。【TMM:No4393】 2022年１月２７日(木)地震と原発事故情報－ ５つの情報をお知らせします 転送歓迎 ━━━━━━━ ★１．(原発は)再生可能エネルギーよりも高価である 寿命の長い放射性廃棄物の問題が未解決、持続不可能 事故による本質的な危険性に加え災害に対する脆弱性があるなど グレゴリー・ヤツコ氏始め４人の声明(2022.1.6) 「原子力は気候変動に対する戦略にはなり得ない」の紹介 山崎久隆（たんぽぽ舎共同代表） ★２．「古くて危険な東海第二原発いらない！ 原発事故避難者訴訟の最高裁勝利判決を！市川アピール行動」 2/11(金・休日)市川アピール行動にご参加を 上…

Hello there, ('ω')ノ WPScanを使用して最初のP1（機密情報開示）を取得する方法を。 脆弱性： 情報開示 記事： https://medium.com/@harrmahar/how-i-get-my-first-p1-sensitive-information-disclosure-using-wpscan-c2fba00ac361 偵察フェーズ： 最初に行うステップは、すべてのサブドメインを見つけることで。 crtshをhttpprobe（By Tomnomnom）と組み合わせて使用​​して。 VPSで次のコマンドを実行して。 https://crt.sh/ https…

今回のアップデートは、iPhoneやiPad用のバグ修正とセキュリティアップデートが含まれる。 対象機種はiPhone 6s以降、iPad Pro（全モデル）、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch（第7世代）。 主な解消点 Webサイトがユーザーの機密情報を追跡できる可能性があるWebKitストレージの脆弱性（CVE-2022-22594） 悪意のあるアプリケーションによってカーネル権限で任意のコードを実行される脆弱性（CVE-2022-22593） 更新は従来通り各製品本体のみでOTA（On-The-Air）によりダウンロードで行…

はじめに はじめまして！ KADOKAWA Connectedに2021年新卒として入社したEngineer Lab部の池田です。 Engineer Lab部は、KADOKAWA Connected内でシステム開発を担っている部署*1で、私を含めて5名の新卒が配属されました。 Engineer Lab部の業務は基本的にフルリモートで行われています。リモートワークには良い面も悪い面もありますが、よく言われる悪い面のひとつとしてコミュニケーションの問題が挙げられると思います。Engineer Lab部でもそれは例外ではなく、新卒の育成という観点でも、次のような課題がありました。 同じ部にいながら一…

〈はじめに〉 どうもこんにちは。いずです。今日は、前に考案したもののずっと眠らせていたデッキが現環境で突然輝き出したので、この機会に紹介しようと思います。当時、いろいろと考え調整した末にできたデッキなのに、いろいろなセオリーを全て無視してできた謎デッキです。 〈基本デッキ〉 「Burning Steam」「Steam Cannon」「Stunt」「反攻」「防壁」「号令」「制圧前進」 「Alpha-Edge」「天守八龍閣」「山城水津城の鬨の声」 〈入れ替え〉 「反攻」→「陣頭」「撃ち落とし」 「天守八龍閣」→「三重膝丸櫓」 〈概要〉 「鬨の声」を中心に構築したコンボデッキです。シンプルに『前進』…