脆弱性。欠陥や、欠陥ではないが何らかの弱点(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)を含む言葉。主にセキュリティ分野で好んで用いられる。
参考:「欠陥」なのか「脆弱性」なのか - 高木浩光@茨城県つくば市 の日記
なおこの言葉は、1980年代に日本の人類学者・山口昌男氏によって「攻撃誘発性」と訳され、紹介されたことがある。 →ヴァルネラビリティ
cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…
2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…
Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知す…
はじめに anchoreのsyftが最近対応したattestationの出力 に使われている in-toto attestation format の仕様を調査をしたので、備忘録としてまとめておきます。 調べながらの記述となっており、不正確な情報も含まれているかもしれないです。何か気づいたことがあればコメントやtwitterなどで教えていただけると助かります。 TL; DL in-toto attestation format はソフトウェアのアーティファクトのメタデータ向けの署名の仕方とデータ形式 署名とデータ形式を定義しているので jwt のような立ち位置な感じ。ただし、in-toto a…
techcrunch.com サイバーセキュリティの基本はログサーチ。 期待が持てる会社ですね。 その他以下注目 New Relicがセキュリティサービス開始 New Relic enters the security market with its new vulnerability management service – TechCrunch Stripeがデーター管理にAWS, Snowflakeを連携可能に Stripe expands its infrastructure play with Data Pipeline to sync financial data with Ama…
先週ブログの末尾で「ミニチャレンジのパペットを取り出すための壁の穴を見た瞬間に「グローリーホールズ…」って言ってしまった」って懺悔したのですが、シャローンがそのままその通りのことを実際に呟いてくれたのでちょっと嬉しかったです。しばらく穴を見たら脳内でエコーしちゃいそう… I'm watching Comedy Club Roast on WOW Presents Plushttp://www.wowpresentsplus.com/videos/dresp-208 そんなみんな大好き、パペットチャレンジから始まった回でした。ジュリジがルージカルでのヴェネディタの味のある歌声を再現してくれたのが…
Zyxel製ファイアウォール USG FLEX CVE-2022-30525 OSコマンドインジェクションの脆弱性についての情報になります。 https://www.cve.org/CVERecord?id=CVE-2022-30525 === 説明 Zyxel USG FLEX 100(W)ファームウェアバージョン5.00から5.21パッチ1、USG FLEX 200ファームウェアバージョン5.00から5.21パッチ1、USG FLEX 500ファームウェアバージョン5.00から5.21パッチ1、USGFLEX700のCGIプログラムにおけるOSコマンドインジェクションの脆弱性ファームウェア…
2022年5月のWindows UpdateではActive Directory環境のドメインコントローラの更新で注意が必要になることがあります。あまり大きく取り上げられていないので自分用にメモ。
というFRB論文をMostly Economicsが紹介している。原題は「Cyberattacks and Financial Stability: Evidence from a Natural Experiment」で、著者はFRBのAntonis KotidisとStacey L. Schreft。 以下はその要旨。 This paper studies the effects of a unique multi-day cyberattack on a technology service provider (TSP). Using several confidential daily…
Heroku、全ユーザーのパスワードをリセット - OAuthトークンの漏洩受け | TECH+ https://t.co/R47Qdnrbhp — 辻 伸弘 (nobuhiro tsuji) (@ntsuji) May 6, 2022 @0zte9 『ホワイトハッカーの教科書』の感想ツイートありがとうございます???♀? 本書をきっかけとして、どんどん学習法や教材についての議論が盛り上がっていき、結果的にセキュリティに興味を持つ若者が増えていって頂ければ幸いです?? — ipusiron@『ホワイトハッカーの教科書』予約受付中 (@ipusiron) May 8, 2022 Windowsイ…
Github actions はとても便利だ。テストやビルドを自動化するのに活用している。 パブリックリポジトリだと無料で実行環境が利用できるのがありがたい。 その無料の実行環境 Github-hosted runner では重すぎる処理を実行したくて Github actions の Self-hosted runner 環境を作った話は前回のエントリで書いた。 hero.hatenablog.jp 環境構築の動機となった目的は果たしたものの、作った環境はコスト性能比的にも良い選択だったのだろうか? と思ってちょっと調べてみた。 今回はそれについて記す。 レイヤ数の多い大きな Docker …
Youtubeで公開している 【超高速!15分で850単語!】英検準1級 超速英単語 パート3 の単語リストです。動画と合わせて単語暗記にご利用ください。 1 merger (企業などの)合併 2 aptitude 適性 3 corridor 廊下 4 agility 軽快さ、機敏 5 enlist 入隊する 6 undertake 引き受ける、同意する 7 widespread 広範囲にわたる 8 contiguity 接触 9 restoration (美術品、建築物、文献などの)修復、復元 10 rhinoceros サイ 11 immovable 動かせない 12 contradict…
こんにちは!日々英語多読チャレンジされている皆様。 このブログは、英語記事で多読したい方のお役に立ったら良いなと思って書いてます。 今日の英語記事の概要です。 記事タイトル Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless sign‑ins 読みやすさ・レベル ★★★ 単語数 約 800語 このブログの使い方 記事を読んでみて分からない単語があれば、こちらを参考にしていただいて、読み進めてみる。先に単語を見て、本…
こんにちは、M-Yamashitaです。 ちょうど今朝The Timeを見ていると、安住さんから、「「土食って虫食って口渋い」 を早口で言うとツバメの鳴き声になると聞いた。本当?と思ってあるとき聞いたらまさにそうだった」と言われていました。 言われればそうかもと思います。 それでは4月の振り返りです。 インプット 4月のインプットはありません。 アウトプット 記事 サブクエリに関する記事を1件投稿しました。 サブクエリを使ったときに、パフォーマンス低下の問題が出てしまい痛い目にあったので、なぜその問題が出たのか、サブクエリの最適化にはどんなものがあるのか調べた記事となります。 zenn.dev…
Windows Update 5月の月例更新を実施しました。今月適用した作業ログです。適用後、特に問題になりそうな動作は今のところなさそうです。
msrc-blog.microsoft.com ■悪用確認済の脆弱性 CVE-2022-26925:Windows LSA のなりすましの脆弱性 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925 攻撃条件の複雑さが「High」評価だが、以前公開されたアドバイザリ ADV210003 と組み合わせでリスクが高くなる。 Active Directory Certificate Services (AD CS) に対する NTLM リレー攻撃の緩和 https://msrc.microsoft.com/updat…
【要点】 ◎ Ryuk の後継ランサムウェア。Ryuk の使用は現在停止している。ロシアの犯罪組織 Wizard Spider が RaaSで使用していると考えられている 【目次】 概要 【辞書】 【概要】 【最新情報】 記事 【ニュース】 【図表】 【検索】 【リークサイト】 【関連情報】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Conti (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/details/win.conti ◆Conti (Wikipedia) https://ja.wikipedia.org/wiki/Cont…