[B! security] YaSuYuKiのブックマーク

OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。概要深刻な脆弱性が確認されたのはOpenSSHサーバー︵sshd︶コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

YaSuYuKi 2024/07/02

security

リンク

「Linux」のセキュリティ--独自CVE公開とサポート期間短縮の影響

Steven J. Vaughan-Nichols ︵Special to ZDNET.com︶翻訳校正‥ 川村インターナショナル 2024-05-01 07:30 ﹁Linux﹂カーネル開発の動向を知りたければ、﹁Linux Kernel Mailing List﹂を購読するといい。Linuxカーネルの実状を深いレベルで知りたいが、細かな部分まですべて追跡したくはないという場合は、﹁Linux Weekly News﹂︵LWN︶を購読しよう。だが、Linuxカーネルの現状に関する幅広い概要を手早く知りたいなら、筆者と同じことをするのがいいだろう。それは、Linuxカーネルの開発者でLWNの編集長であるJonathan Corbet氏が、Linuxの大規模カンファレンスで実施したLinuxカーネルの現状に関するプレゼンテーションを見ることだ。シアトルで開催の﹁Open Source

YaSuYuKi 2024/05/02

リンク

複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう

YaSuYuKi 2024/05/02

security

リンク

「Ruby 3」系統の正規表現コンパイラーに情報漏えいの脆弱性、修正版がリリース／v3.0.7、v3.1.5、v3.2.4、v3.3.1への更新を

YaSuYuKi 2024/04/24

リンク

「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える

Steven J. Vaughan-Nichols ︵Special to ZDNET.com︶翻訳校正‥ 川村インターナショナル 2024-04-12 07:30 すべての始まりは、Microsoftの主任ソフトウェアエンジニアであるAndres Freund氏が、﹁Debian Linux﹂ベータ版のSSHリモートセキュリティコードの実行速度が遅い理由に関心を持ったことだった。Freund氏が詳しく調べたところ、問題が明らかになり、xzデータ圧縮ライブラリーのチーフプログラマー兼メンテナーだったJia Tanと名乗る人物がコードにバックドアを仕掛けていたことが分かった。その目的は、攻撃者が﹁Linux﹂システムを乗っ取れるようにすることだ。近年は、悪意あるハッカーがソフトウェアに不正なコードを挿入する事例が非常に多くみられる。一部のオープンソースコードリポジトリー、たとえば人気の﹁

YaSuYuKi 2024/04/12

security

リンク

XZ Utilsにバックドア攻撃が行われるまでのタイムラインまとめ

2024年3月29日に、圧縮ツールの﹁XZ Utils﹂に、悪意のあるバックドアが仕込まれていたことが明らかになりました。どのようにバックドアが仕掛けられたのかについて、Googleのエンジニアであるラス・コックスさんが時系列順にまとめました。 research!rsc: Timeline of the xz open source attack https://research.swtch.com/xz-timeline XZ Utilsおよび設置されていたバックドアについては下記の記事で解説しています。 Red HatやDebianなどLinuxディストリビューションの組込み圧縮ツール﹁XZ Utils﹂に悪意のあるバックドアが仕掛けられていたことが発覚 - GIGAZINE XZ Utilsへの攻撃を行った﹁Jia Tan﹂という名前の攻撃者は2021年後半ごろから数年に渡ってXZ

YaSuYuKi 2024/04/03

security

リンク

xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita

本記事は4月3日21:30︵JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。本記事には誤りが含まれている可能性があります。新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。事実は～です。～であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。概要問題の

YaSuYuKi 2024/04/02

security

リンク

“解読不可能”量子暗号通信の開発加速国内企業も実用化急ぐ | NHK

理論上、解読が不可能とされる﹁量子暗号通信﹂の開発が世界的に加速しています。金融や医療など秘匿性が高い情報通信での活用が期待され、国内の企業も実用化を急いでいます。インターネットなどで使われる今の暗号は、高い計算能力を持った量子コンピューターの登場で解読されるリスクが指摘されています。量子暗号通信は、暗号鍵の情報を光の粒子＝光子に載せて伝送し、相手と共有します。観察すると状態が変化するという量子力学の特性を生かして盗聴を検知でき、理論上、解読が不可能とされています。実用化に向けて日本の企業も開発に力を入れ、東芝は、去年7月からイギリスの金融機関などとともにロンドンで実証実験を行っています。すでにアメリカやシンガポールなどでも実証実験を行っていて、事業の海外展開を目指しています。東芝の情報通信プラットフォーム研究所の斉藤健所長は﹁これからますます発展するインターネット社会で安全に

YaSuYuKi 2024/03/21

中国が大きく先行していることが書かれていない

リンク

Windowsが再起動不要のアップデートの仕組みを導入へ

現在、Windowsに提供されるほとんどの更新プログラムは、インストールした後に再起動が必要となる。特に、重要なシステム機能のアップデートでは強制的に再起動が行われるため、これを煩わしく感じるユーザーも多いだろう。Windows Centralが「Microsoft wants to update your Windows 11 PC without forcing you to reboot」で伝えたところによると、Microsoftはこの問題の抜本的な改善に取り組んでおり、再起動せずに更新プログラムをインストールできる仕組みを開発中だという。メモリーに直接パッチを適用する「ホットパッチ」再起動せずに更新プログラムをインストールする仕組みは「ホットパッチ（Hot Patching）」と呼ばれている。MicrosoftはすでにAzureプラットフォーム向けの一部のWindows Ser

YaSuYuKi 2024/03/01

リンク

米Gizmodoの元記者、退職時にSlack上の名前を「Slackbot」に変えて数か月間なりすましていたことを告白 | テクノエッジ TechnoEdge

ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他ビジネス向けIT技術情報サイトIT Brewのシニアレポーター、トム・マッケイ氏は、所属していた米Gizmodoを2022年に退職した際、Slackアカウントの名前を﹁Slackbot﹂に書き換え、その後数か月間、偽SlackbotとしてこっそりアクセスしていたことをX︵Twitter︶で明かしました。マッケイ氏は、このことについてGizmodoの親会社であるG/O Mediaが﹁何か月も発見も削除もできなかった﹂と述べています。 Slackbotとは、Slackユーザーの特定の投稿に対して自動的にレスポンスを返したり、リマインダーを知らせたりする機能を持つBotのこと。条件や応答内容を設定してカスタマイ

YaSuYuKi 2024/02/25

security

リンク

情報セキュリティ講座の受講システムで個人情報漏えい　閲覧権限の設定ミス

企業向けのセキュリティソリューション事業を手がけるラック︵東京都千代田区︶は2月21日、情報セキュリティ講座﹁ラックセキュリティアカデミー﹂のオンライン受講システムで個人情報の漏えいがあったと発表した。コースを申し込んだ1人の情報閲覧の権限設定に作業ミスがあった。このため、1月10日から15日までの間、該当するユーザーは過去に他のコースを受講した19人の名前やメールアドレス、受講履歴などの個人情報を閲覧できる状態になっていた。通報を受けてラックは設定を修正。20人のユーザーに連絡して謝罪した上、システム上の全ての登録データを調査し、関係機関へ報告したという。ラックは関係者に改めて謝罪すると共に、﹁今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります﹂としている。関連記事トヨタの社用車クラウドで情報漏えい　過去プロダクトのAWSアクセス

YaSuYuKi 2024/02/23

紺屋の白袴というのもある。信頼性破壊しまくり

リンク

スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃　中国の研究者らが開発

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 中国の華中科技大学などに所属する研究者らが発表した論文「PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound」は、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム（AFIS）へのサイドチャネル攻撃を提案した研究報告である。この攻撃手法は、ユーザーの画面上でのスワイプ動作を利用して指紋の特徴を抽出し、これらの特徴に基づいて、ユーザーの指紋

YaSuYuKi 2024/02/19

security

リンク

「Gmail以外を使って」。神奈川県の高校入試出願システムで障害、6日経っても未解消

YaSuYuKi 2024/01/16

security

リンク

1兆年以上かかるとされていた1409次元の暗号、KDDIなどが29.6時間で解読に成功

KDDIとKDDI総合研究所は12月26日、次世代暗号(耐量子暗号)として標準化が進められている﹁Classic McEliece﹂方式において、これまでは総当たりによる探索での解読には1兆年以上要するとされてきた1409次元の暗号を、わずか29.6時間で解読に成功し、2023年11月13日に世界記録を更新したことを共同で発表した。詳細は、2024年1月23～26日に長崎で開催される﹁2024年暗号と情報セキュリティシンポジウム(SCIS2024)﹂で発表される予定。量子コンピュータの性能が向上した将来、現在の方式では暗号強度が不足することが指摘されており、アメリカ国立標準技術研究所(NIST)は2030年ごろに向けて、将来の量子コンピュータの性能にも耐えうる耐量子暗号の検討を進めている。NISTは2022年7月に、耐量子暗号の標準として4つの暗号方式を選定しており、さらに現在はCla

YaSuYuKi 2023/12/28

リンク

「クレデンシャルをSlackに書くな高校校歌」freeeが公開　なぜ作った

freeeは12月6日、﹁クレデンシャル︵IDやパスワードなど認証に用いられる識別情報︶をSlackに書くな高校校歌﹂を公開した。といっても何のことか分からないと思うので、取りあえずこの音源を聞いてみてほしい。聞いてもまだ分からないと思う。freeeが同日に投稿したブログによれば、この音源はクレデンシャルをSlackに書く行為に警鐘を鳴らすために作られたという。いやいや、わざわざ曲なんか作らなくても……と思うかもしれないが、実はちゃんとした経緯があって生まれたものらしい。クレデンシャルをSlackに書くな高校創設の歴史ブログによれば、事の発端は2022年10月。社内で、クレデンシャルがSlackの公開チャンネルに書き込まれるインシデントがあったという。幸い対応はすぐに行われ、実害はなかった。その後テキストベースで注意喚起がなされたが、間を置かずにもう一度同様の事態が起こってしまった。

YaSuYuKi 2023/12/06

security

リンク

[石川温の「スマホ業界 Watch」] クアルコム「Snapdragon 8 Gen 3」AI関連の進化でもっとも注目すべきポイントは？

YaSuYuKi 2023/10/31

security

リンク

東大、これまでに解かれたことのない次元の暗号解読を実現

YaSuYuKi 2023/10/26

解く必要がある部分は実は少なかった、ということか

リンク

SQLインジェクションが通った原因は“静的解析ツールのバージョンアップ”　「自動修正機能」に気をつけるべき理由

﹁静的解析ツールで生まれたSQLインジェクション﹂というタイトルで登壇したのは、小川氏。﹁面白かった脆弱性﹂について解説し合い、脆弱性に関する知識を深めるためのイベント﹁Security․Tokyo #2﹂で、静的解析ツールによって生まれたSQLインジェクションの事例について発表しました。登壇者の自己紹介小川氏‥小川と申します。﹁静的解析ツールで生まれたSQLインジェクション﹂というタイトルで発表いたします。よろしくお願いします。自己紹介を簡単に。経歴ですが、昔学生の時にWebアプリ開発のバイトをしていて、就職後は10年ぐらいぜんぜん違う、製造業で働いていました。ずっとパソコンを見ていたら目が悪くなるかなと思ってほかの業界に行ったのですが、結局ずっとExcelやWordを見ていて、あまり変わりませんでした。結局やはりITだなと思って、最近root ipという会社に転職して、Bto

YaSuYuKi 2023/10/20

ORマッパーのインターフェースも良くないよな

security

リンク

知られざる王小雲。米国の暗号学的ハッシュ関数MD5、SHA-1を過去に葬り去った女性研究者 - 中華IT最新事情

第4回未来科学大賞で多額の賞金が、数学者、王小雲に授与され、彼女の名前がにわかにメディアに注目をされた。王小雲は2004年に米国のハッシュ関数﹁MD5﹂の脆弱性を発見した研究者だったと資訊咖が報じた。ネット社会に必須のハッシュ関数デジタル時代、ハッシュ関数はさまざまなところで使われる。最もよく知られているのは、パスワードの保管や書類の改竄検知などだ。ハッシュとは﹁混ぜこぜ﹂という意味で、元のデータを混ぜこぜにして、まったく別のデータに変換をしてしまうというものだ。例えば、﹁元の数値を2倍にして1を引く﹂という単純なアルゴリズムでもハッシュ関数に近いことができる。2であれば3になるし、7であれば13になる。元の数字とは異なったものになる。しかし、これでは何かの役に立つことはできないため、暗号学者、数学者たちは、複雑なアルゴリズムを考案し、ハッシュ関数としてさまざまな応用をしてきた。こ

YaSuYuKi 2023/08/16

リンク

インテルCPUに新たな脆弱性「Downfall」　修正で「パフォーマンスに最大50％の影響」　対象は第6～11世代

米Intelは8月8日︵現地時間︶、同社製CPUに脆弱性︵CVE-2022-40982︶が見つかったと発表した。同社のメモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。メモリ内に散在するデータへのアクセスを高速化する命令﹁Gather﹂が引き起こす問題という。この脆弱性により、信頼できないソフトウェアが、通常はアクセスできないはずのデータにアクセスする可能性がある。脆弱性の影響を受けるのは第6世代Skylakeから第11世代Tiger LakeまでのCPU。脆弱性を発見した米Googleの研究者ダニエル・モギミ氏は、脆弱性を悪用することで、同じコンピュータを共有する他ユーザーのパスワード、電子メールのメッセージ、銀

YaSuYuKi 2023/08/10

リンク

はてなブックマーク

タグ

関連タグで絞り込む (142)

securityに関するYaSuYuKiのブックマーク (1,209)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス