2004/09/15(水)水曜日。。。
[セキュリティ] WebLogicにセキュリティホール
9月13日(月)付けで9個のアドバイザリが。「Severity: Medium – some administrative commands do not have proper authorization checks.」(BEA04-66.00) のようなアクセス制限回避系も含まれてる模様。
はいつ公開されるのかなー。[セキュリティ] MIMEのあいまいな実装 * NISCC Vulnerability Advisory 380375/MIME
MIME の実装の違いによって、コンテンツフィルタ系などは素通りしてしまい、本来のソフトウェア上では処理が行われてしまうことがあるんではないか、というお話。昔、アンチウィルスゲートウェイは素通りするけど、Outlook Express では添付ファイルとして認識するウィルスなんてのがあった気がしますが、あーゆーのとタイプ的には同じような話でしょうかね。RFC をきちんと守っていないものがある(or RFC がきちんと規定していないことがある?)以上、Webブラウザや、MUAなどの本来のクライアント側で対処と言うより、コンテンツフィルタ系のソフトの方で、考えられる全ての方式を網羅するように努力するしかないのでしょうか?? □関連
[セキュリティ] * 2004年9月のセキュリティ情報(Microsoft)
今月は2つ。でも、MS04-028は“影響を受けるソフトウェア”の範囲が広すぎ。
Microsoft Office WordPerfect コンバータに存在するバッファ オーバーランの脆弱性を修正するセキュリティ更新プログラムを公開しました。
リモートでコードが実行される可能性のある JPEG 処理の脆弱性を修正するセキュリティ更新プログラムを公開しました。 関連: * MSの月例アップデート、JPEG処理の脆弱性に対応(ITmedia)
[IT] * スパム対策仕様「Sender ID」、特許問題で標準化難航(ITmedia)
なんだか何回か同じようなニュースが出てきたけども、結局、Microsoftのライセンス契約に反発して標準化が難航中とのこと。で、また新たに知ったんですが、チェック方式には今のところ2つの方式があるんですねー。Sender ID - IPアドレスベースでの送信者認証フレームワーク**[登録]**メール送信者のIPアドレスなどをDNSに登録**SPF - Sender Policy Framework**送信者側は、DNSのSPF(Sender Permitted From)レコードにあらかじめ自ドメインのメールサーバのIPアドレスを登録する。**[チェック]**登録されたSPFレコードをMTA(Message Transfer Agent)がチェック
- Determining sender policy for the Purported Responsible AddressSMTPプロトコルレベルではチェックを行なわず、メールのヘッダ情報でチェックを行う。SPF/PRAの組み合わせはMicrosoftが特許を取っている。
- Determining sender policy for the MAIL-FROM return-pathSMTP転送時のエンベロープ情報を用いてチェックを行う。[IT] * P2Pソフト開発、どこまでが“違法”なのか(ITmedia)
大臣の問題提起によって省の英語名称が変わったとのこと。うん、こっちの方が良さそうかも。(修正前) 「Ministry of Public Management, Home Affairs, Posts and Telecommunications」 ↓(修正後) 「Ministry of Internal Affairs and Communications(MIC)」[雑談] * 楽天、プロ野球参入を検討中(ITmedia)
楽天もプロ野球参入か?と。しかも本拠地が「Yahoo! BBスタジアム」(笑)[雑談] * ネットワークアドレスとサブネットマスク@openmya-Hiki
続々と計算方法、参考情報、便利ツールが集まってきています。(^-^)[セキュリティ] 昔のRPGみたい? * @police セキュリティ講座 - サーバ管理者編
本質とは全く関係ないのですが、「再開のキーワード」機能がちょっと面白かったです。ここでは、講座がいくつかに分かれていて、どれから受けても良いようになっているのですが、終わった講座/まだ未受講の講座を呼び出すのが「再開のキーワード」です。講座が終了(テストに合格?)するごとに「再開のキーワード」が更新されて、それを覚えておくと、学習を中断した個所から再開できるという仕組みになってます。何だか、データセーブができなかった頃のロールプレイングゲームを思い出しました。(笑) Cookieを使いたくなかったとかで考え出した方式なのだろうか?これ。それとも発注者の趣味?・・・あ、Cookie使ってますね。うーん、じゃあ別のマシンでも続きができるように、かな?[雑談] * 最低飛行高度「サンタのそりは除外」米で条項削除論議 (asahi.com)
- BEA Advisories BEA04-65.00 〜 BEA04-73.00
9月13日(月)付けで9個のアドバイザリが。「Severity: Medium – some administrative commands do not have proper authorization checks.」(BEA04-66.00) のようなアクセス制限回避系も含まれてる模様。
- 日本語版アドバイザリ
はいつ公開されるのかなー。[セキュリティ] MIMEのあいまいな実装 * NISCC Vulnerability Advisory 380375/MIME
MIME の実装の違いによって、コンテンツフィルタ系などは素通りしてしまい、本来のソフトウェア上では処理が行われてしまうことがあるんではないか、というお話。昔、アンチウィルスゲートウェイは素通りするけど、Outlook Express では添付ファイルとして認識するウィルスなんてのがあった気がしますが、あーゆーのとタイプ的には同じような話でしょうかね。RFC をきちんと守っていないものがある(or RFC がきちんと規定していないことがある?)以上、Webブラウザや、MUAなどの本来のクライアント側で対処と言うより、コンテンツフィルタ系のソフトの方で、考えられる全ての方式を網羅するように努力するしかないのでしょうか?? □関連
- セキュリティホールmemo
- JVN NISCC-380375
[セキュリティ] * 2004年9月のセキュリティ情報(Microsoft)
今月は2つ。でも、MS04-028は“影響を受けるソフトウェア”の範囲が広すぎ。
- MS04-027: WordPerfect コンバータの脆弱性により、コードが実行される (884933)
Microsoft Office WordPerfect コンバータに存在するバッファ オーバーランの脆弱性を修正するセキュリティ更新プログラムを公開しました。
- MS04-028: JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987)
リモートでコードが実行される可能性のある JPEG 処理の脆弱性を修正するセキュリティ更新プログラムを公開しました。 関連: * MSの月例アップデート、JPEG処理の脆弱性に対応(ITmedia)
[IT] * スパム対策仕様「Sender ID」、特許問題で標準化難航(ITmedia)
なんだか何回か同じようなニュースが出てきたけども、結局、Microsoftのライセンス契約に反発して標準化が難航中とのこと。で、また新たに知ったんですが、チェック方式には今のところ2つの方式があるんですねー。Sender ID - IPアドレスベースでの送信者認証フレームワーク**[登録]**メール送信者のIPアドレスなどをDNSに登録**SPF - Sender Policy Framework**送信者側は、DNSのSPF(Sender Permitted From)レコードにあらかじめ自ドメインのメールサーバのIPアドレスを登録する。**[チェック]**登録されたSPFレコードをMTA(Message Transfer Agent)がチェック
- SPF/PRA
- Determining sender policy for the Purported Responsible AddressSMTPプロトコルレベルではチェックを行なわず、メールのヘッダ情報でチェックを行う。SPF/PRAの組み合わせはMicrosoftが特許を取っている。
- SPF/MAIL-FROM
- Determining sender policy for the MAIL-FROM return-pathSMTP転送時のエンベロープ情報を用いてチェックを行う。[IT] * P2Pソフト開発、どこまでが“違法”なのか(ITmedia)
textile塩澤教授は「ソフト開発時、社会的に認容される形で作るのが重要」と言う。特に、合法・違法両方に使えるソフトを開発した場合は、違法利用を防ぐための対策をとる義務が技術者にはあるという。…また塩澤教授は、技術者が新技術を世に出す前にやっておけばいいこととして「特許を取ること」を挙げた。日本では特許に対する信頼が比較的厚く、特許を取っておけば世論を味方につけやすいため、罪にも問われにくくなるのではないかとの考えだ。へー、特許にそんな効果が?! 知りませんでした。けど、一般的な世にいるソフト開発者としては、特許は少し敷居が高すぎる気がしますが。。。[雑談] * 「やっぱりわかりにくいので」、総務省が英語表記を変更(日経BP)
大臣の問題提起によって省の英語名称が変わったとのこと。うん、こっちの方が良さそうかも。(修正前) 「Ministry of Public Management, Home Affairs, Posts and Telecommunications」 ↓(修正後) 「Ministry of Internal Affairs and Communications(MIC)」[雑談] * 楽天、プロ野球参入を検討中(ITmedia)
楽天もプロ野球参入か?と。しかも本拠地が「Yahoo! BBスタジアム」(笑)[雑談] * ネットワークアドレスとサブネットマスク@openmya-Hiki
続々と計算方法、参考情報、便利ツールが集まってきています。(^-^)[セキュリティ] 昔のRPGみたい? * @police セキュリティ講座 - サーバ管理者編
本質とは全く関係ないのですが、「再開のキーワード」機能がちょっと面白かったです。ここでは、講座がいくつかに分かれていて、どれから受けても良いようになっているのですが、終わった講座/まだ未受講の講座を呼び出すのが「再開のキーワード」です。講座が終了(テストに合格?)するごとに「再開のキーワード」が更新されて、それを覚えておくと、学習を中断した個所から再開できるという仕組みになってます。何だか、データセーブができなかった頃のロールプレイングゲームを思い出しました。(笑) Cookieを使いたくなかったとかで考え出した方式なのだろうか?これ。それとも発注者の趣味?・・・あ、Cookie使ってますね。うーん、じゃあ別のマシンでも続きができるように、かな?[雑談] * 最低飛行高度「サンタのそりは除外」米で条項削除論議 (asahi.com)
textile米ユタ州の州都ソルトレークシティーで、市航空局が「市の上空を飛ぶ小型機の最低高度」を定めた条例の修正案を市議会に提出した。この条例には「クリスマスイブのサンタクロースのそりは適用外」という、冗談のような条項がある。今回の修正はその削除が目的だが、「子どもの夢を奪う」など、賛否の論議に発展している。平和です。(笑) まー、そもそも子供は法律なんて読まないと思ったり。。。