-
世界中の技術者が震撼? Bashの 『Shell Shock』問題がヤバイ #ShellShock
2014-09-25 23:40(2014/09/25 20:00 時点での情報です)今朝あたりから、GNU Bash の脆弱性(CVE-2014-6271、CVE-2014-7169)が 巷で大騒ぎになっています。
概要
Bashアホ 環境変数が小細工されていると、bashを実行しただけでご覧の通り、環境変数の中身に記述したコマンドが実行されてしまうという非常にヤバイ脆弱性です。
例えば、CGI経由でbashスクリプトを実行できるようにしていた場合、User-Agent等に上記の小細工した文字列を設定してリクエストを投げるだけで、遠隔操作ができてしまいます。その結果、アカウント情報やその他の機密情報(/etc/passwdやSSLの秘密鍵等)を盗まれたり、WEBサイトを改ざんされたりする可能性があります。
さらに・CGI及びPython経由でbashを呼び出していても影響を受けることがある・cPanelのdefault -
良いパスワードって?ニコニコでリスト型攻撃と思われる不正ログイン発生
2014-06-11 03:124他社流出パスワードを用いた不正ログインについてhttp://notice.nicovideo.jp/ni046768.htmlだそうです。最近この手の話題が多いですね。流出パスワードを利用したリスト型攻撃が増えているということの現れでしょう。サイト毎に別々のパスワードを設定するのは基本中の基本なのですが、それでも、いろいろなサイトで別々のパスワードを設定するのは難しかったりしますし、なかなか難しいものです。どうすればいいの?
使い回しをしていることに心当たりがある方はパスワードの再設定を行いましょう。心当たりがなくても、万が一ニコニコから流出している可能性も考えて、再設定することをオススメします。どんなパスワードがいいの?
実際の所、いくらパスワードを再設定していても悪いパスワードを設定していれば、意味がありません。ニコニコのパスワードの再設定をするついでに、良いパスワードについて考えてみ -
【セキュリティ速報】OAuthの欠陥!? Covert Redirect 脆弱性についての簡単な解説
2014-05-07 23:20Heartbleed問題に乗り遅れたと思ったら今度はCovert Redirectとやらがやってきましたね。CNETの記事[1]の説明もイマイチよく分からない上に、John Bradley 氏の解説[7]でさらに分からなくなり、右往左往しておられる方もおられるのではないでしょうか。今回の問題はユーザーが「OK」さえ押さなければ被害を受けることはないという点で、Heartbleed問題よりは影響範囲は少なそうです。詳細記事を書こうと思っていたら、色々記事が出てきたのでいいかなーと思いつつ投げやりで書きます。一般向けの概要
何を気を付ければ良いか
Facebookの画面キャプチャ
TwitterやFacebookの認可ポップアップ画面(アクセスを許可しますか?などの画面)で、気安く「はい」「許可する」「OK」等をクリックしないこと。たとえ、信頼の出来るアプリやサービスであったとしても。
本物 -
【セキュリティ速報】Flash Playerに深刻な脆弱性。直ちに更新を
2014-02-05 12:47Flash Playerの脆弱性を突く攻撃発生、緊急更新を - ITmedia ニュース http://www.itmedia.co.jp/news/articles/1402/05/news043.htmlアカネ「だそうですよ?」少佐「うむ」アカネ「更新パッチを適用するよう全社にメール流しますか?」少佐「その必要はない。この脆弱性は、ページをみただけでパソコンをなすがままにできる可能性があるというもの……。つまり、この脆弱性をついてアップデートを適用するプログラムを作成すれば!」アカネ「またそんな回りくどいことを」
1 / 1