[セキュリティ] * Apache Struts2に深刻な脆弱性 (ZDNet)

---

例えば、<s:textfield name="name" /> の状態で、%{1+1} のような入力を行った状態で画面を再表示させられれば、値が 2 になるらしい。 つまり、式の実行を行わせることが可能。 これを応用すると・・・関連： * Apache Struts XWork Input Validation OGNL Command Injection Vulnerability

---

[雑談] * 「悪意はなかった」--ソニー、rootkitをめぐる非難に対して弁明 (CNet)

---

textileソニーは、同社の指紋認証機能付き…ドライブに使用されているデバイスドライバがrootkit的な振る舞いをするのは意図的なものではないと弁明している。

前回の* ルートキット入り音楽CD

---

の交換・回収で何も学ばなかったのでしょうか。(^-^;[セキュリティ] Fuktommy.com製「httpd.pl」におけるディレクトリ・トラバーサルの脆弱性

• JVN#01913089: ディレクトリトラバーサルの脆弱性

---

（* IPAの解説

---

）

• JVN#75899905: 任意の CGI ソースコードが閲覧可能な脆弱性

---

（* IPAの解説

---

）パスの解釈を行っている部分で、「 $uri =~ s|/\.\./||g; 」 なんていう “サニタイズ” をしてトラバーサルの防止を試みているのを見つけてしまったので、つい・・・。(^-^;[雑談] 今日のspam

textile突然のメール申し訳ございません。月収200万以下の貧乏人とうかがったのでメールしました。そんな収入で一体どうやって生活しているのでしょうか？道端の草や泥、昆虫を食べて飢えをしのいでいるというのは本当でしょうか？

ビンボー人で、スミマセン。（＞＿＜）[出来事] * Trend Micro偽サイト、「ウイルス対策ソフト無償提供」でおびき寄せ (ITmedia)

---

写真を見るに、* 本物の中国のサイト

---

のデザインじゃなくて、* 本家

---

のデザインをそれっぽく再編集したみたいですね。 最初、偽サイトの一番目立つところに出ている中国人っぽい男性、犯人の自画像か？！とか思ったのに、なーんだ、オフィシャルなサイトにも出てる人だわｗ[セキュリティ] * 「谷口ウイルス」に注意！不正流通のゲームソフトに混入 (ITPro)

---

不正に流通しているゲームソフトを構成するファイルの一つとして混入されているそうです。 感染したとしても、人に相談しにくい、ということはあるのかも。(^-^;[出来事] * 日本の団体が攻撃対象？　MS Accessを悪用した不正ファイル発見 (ITmedia)

---

どういう仕掛けなんだろう？　脆弱性を突いたもの？　マクロを使ったもの？？関連： * Microsoft Accessを悪用したウイルスドロッパー「TROJ_ACDROPPER.K」

---