2007/12/18(火)火曜日ー。(ホスティングサーバストアップケア?w)
[出来事] * Vulnerability Summary CVE-2007-6348 (NIST NVD)
先日の、SquirrelMail のメンテナのアカウントが破られ、パッケージが改ざんされた件ですが、PHP remote file inclusion の脆弱性が作りこまれていたとのことです。 リモートから任意のコードの実行を行われてしまう恐れがあります。 1.4.11 と 1.4.12 のユーザは、ただちに * 1.4.13
にアップデートする必要があります。[セキュリティ] * 眠れない夜 (hoshikuzuさん)
evasionテクニックとして考えた場合、例えば、こんなの(↓)が動いてしまうわけですね。(汗
全国1000店舗を超える規模にもかかわらず、当日すぐに問題の店舗を特定できたのは、週に2〜3回は担当店舗をチェックしているエリアマネージャーの存在が大きかったとのこと。 エリアマネージャが、厨房の様子や盛り付け方を見て、犯人と思しき人物を割り出し、事情を聴取したところ、当人が認めたのだそうです。 今後は、社内報などを通じて、再発を防ぐための啓蒙活動を行っていくとのこと。[セキュリティ] * 学校のネットワークに侵入できたら、無線ルータをプレゼント
2年前に、管理者パスワードを入手した学生が学校のシステムに侵入し、自分のフランス語の成績を「A」に改竄したり、数人の友達の成績を“上方修正”したりした・・・という事件があり、その後、2年間に150万ドルのIT予算を計上し、学区内のITシステムの改修に注力してきたとのこと。 今回は、その取り組みの一環としてハッキングコンテストの開催に至ったそうです。 もちろん、侵入先はハニーポットのみで、その他の学内ネットワークへの侵入は厳禁とのことです。[雑談] * 火元は護衛艦戦闘指揮所か 自力消火できず地元消防支援 (読売新聞)
本当に有事の際には、岸壁につなげて消防車呼ぶわけにいかないんでしょうが、大丈夫?[セキュリティ] * Mac OS XとWindows版Safariのセキュリティアップデート公開 (ITmedia)
関連: * Apple セキュリティアップデートについて
[雑談] * 衝撃のコピーフリー受信機「フリーオ」、その仕組みをひもとく (Tech-On!)
経由。 デジタル放送のコピー制御を回避する装置。 いいなー。(←コラッ!!w)[出来事] * 英政府、またも個人情報を紛失 (ITmedia)
この前の2500万人に続いて、今度は300万人分の個人情報を紛失とのこと。 全国民の半分の個人情報が流出済みとのことなので、残りの半分の流出に向けて着々と邁進中?(^-^;[雑談] * 東西・南北の通りの名前を指定して検索できるサービス「京都の通り名検索」
そう言えば、先日の京都での まっちゃ139 の懇親会で、「東入ル」を「ひがしはいる」とか読んでしまうとタクシーの運ちゃんになめられる!という話を聞きましたw(上ル/下ル=あがる/さがる、東入ル/西入ル=ひがしいる/にしいる が正解らしい。)[セキュリティ] * GoogleのAjax開発ツールにXSSの脆弱性 (ITmedia)
「Google Web Toolkit」(GWT) に XSS の脆弱性が存在し、細工されたWebページを介してユーザが GWT にアクセスすると、任意のスクリプトが実行される恐れがあるとのこと。 発見者は、SST の福森さん。[雑談] いろいろ。
先日の、SquirrelMail のメンテナのアカウントが破られ、パッケージが改ざんされた件ですが、PHP remote file inclusion の脆弱性が作りこまれていたとのことです。 リモートから任意のコードの実行を行われてしまう恐れがあります。 1.4.11 と 1.4.12 のユーザは、ただちに * 1.4.13
にアップデートする必要があります。[セキュリティ] * 眠れない夜 (hoshikuzuさん)
evasionテクニックとして考えた場合、例えば、こんなの(↓)が動いてしまうわけですね。(汗
textile<script> (\u0061l\u0065r\u0074)(d\u006fcu\u006dent['l\x6fca\u0074i\u006fn'])</script>スクリプト内に var param="入力値" という出力があるとして、「"」が適切にエスケープされていない状況下で、これを止められる WAF って、数少ないだろうなぁ。 (某Site○uard なら止まりますがw)[雑談] * 吉野家、“豚丼騒動”の教訓: 安部修仁社長が語る「経営の足りない部分」
全国1000店舗を超える規模にもかかわらず、当日すぐに問題の店舗を特定できたのは、週に2〜3回は担当店舗をチェックしているエリアマネージャーの存在が大きかったとのこと。 エリアマネージャが、厨房の様子や盛り付け方を見て、犯人と思しき人物を割り出し、事情を聴取したところ、当人が認めたのだそうです。 今後は、社内報などを通じて、再発を防ぐための啓蒙活動を行っていくとのこと。[セキュリティ] * 学校のネットワークに侵入できたら、無線ルータをプレゼント
2年前に、管理者パスワードを入手した学生が学校のシステムに侵入し、自分のフランス語の成績を「A」に改竄したり、数人の友達の成績を“上方修正”したりした・・・という事件があり、その後、2年間に150万ドルのIT予算を計上し、学区内のITシステムの改修に注力してきたとのこと。 今回は、その取り組みの一環としてハッキングコンテストの開催に至ったそうです。 もちろん、侵入先はハニーポットのみで、その他の学内ネットワークへの侵入は厳禁とのことです。[雑談] * 火元は護衛艦戦闘指揮所か 自力消火できず地元消防支援 (読売新聞)
本当に有事の際には、岸壁につなげて消防車呼ぶわけにいかないんでしょうが、大丈夫?[セキュリティ] * Mac OS XとWindows版Safariのセキュリティアップデート公開 (ITmedia)
関連: * Apple セキュリティアップデートについて
[雑談] * 衝撃のコピーフリー受信機「フリーオ」、その仕組みをひもとく (Tech-On!)
- まっちゃさん
経由。 デジタル放送のコピー制御を回避する装置。 いいなー。(←コラッ!!w)[出来事] * 英政府、またも個人情報を紛失 (ITmedia)
この前の2500万人に続いて、今度は300万人分の個人情報を紛失とのこと。 全国民の半分の個人情報が流出済みとのことなので、残りの半分の流出に向けて着々と邁進中?(^-^;[雑談] * 東西・南北の通りの名前を指定して検索できるサービス「京都の通り名検索」
そう言えば、先日の京都での まっちゃ139 の懇親会で、「東入ル」を「ひがしはいる」とか読んでしまうとタクシーの運ちゃんになめられる!という話を聞きましたw(上ル/下ル=あがる/さがる、東入ル/西入ル=ひがしいる/にしいる が正解らしい。)[セキュリティ] * GoogleのAjax開発ツールにXSSの脆弱性 (ITmedia)
「Google Web Toolkit」(GWT) に XSS の脆弱性が存在し、細工されたWebページを介してユーザが GWT にアクセスすると、任意のスクリプトが実行される恐れがあるとのこと。 発見者は、SST の福森さん。[雑談] いろいろ。
- カード1枚のサイズで年間カレンダーになる「Thumb Calendar」 (GIGAZINE)
- 私的録音録画小委員会:「ダウンロード違法化」不可避に (ITmedia)
