[B! 脆弱性] belgianbeerのブックマーク

macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ

はじめにこんにちは。事業推進部でOffensive Teamを担当する永井です。先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。さて、今回はApple関連の話として﹁macOSの暗号化zipファイルはパスワード無しで解凍できる﹂というネタについて書いていきます。解凍できる条件何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzip cryptoである (通常の暗号化zipファイルは基本的にzip cryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つであるこのうち1.は基本

belgianbeer 2021/10/06

リンク

投機実行の脆弱性修正、Haswell世代以前では性能への影響大～I/O集中型アプリケーションを利用するサーバーは慎重な選択を。AMDはほぼ影響受けず

belgianbeer 2018/01/11

インテルの少し古めのCPUだと影響が大きいのか。自宅のサーバーはAMDだ

リンク

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。脆弱性の概要報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754︵Rogue data cache load︶ CVE-2017-5753︵Bounds check bypass︶ CVE-2017-5715︵Branch target injection︶影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開論文中にx

belgianbeer 2018/01/05

例の件のまとめ。piyologのまとめはわかりやすいな

リンク

プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた | DevelopersIO

森永です。新年早々大変な脆弱性が出てきてセキュリティクラスタがざわついてます。内容によって2つの脆弱性に分かれていて、﹁Meltdown﹂と﹁Spectre﹂と名前がつけられています。現在使用されているほぼ全てのCPUにおいて対象となりうるという相当影響範囲が広い脆弱性です。まだ詳細が公開されていない部分もありますが、パッチで対処できる脆弱性ですので落ち着いて対応し、続報を待ちましょう。現在分かっている範囲の情報をまとめます。 Meltdown and Spectre 概要今回の脆弱性は大きく3つに分けられます。 Variant 1: bounds check bypass (CVE-2017-5753) Variant 2: branch target injection (CVE-2017-5715) Variant 3: rogue data cache load (CV

belgianbeer 2018/01/05

そういうことか

リンク

Node.js で発生した Hash flooding DoS とその内容について - from scratch

Node.js のセキュリティアップデート 7/11 に Node.js のセキュリティアップデートがリリースされました。 Security updates for all active release lines, July 2017 | Node.js これには複数の脆弱性が報告されており、今回はそのうちの1つの Hash flooding DoS という脆弱性が何なのか、それに対して採用された対策が何なのかについてお話します。 Hash flooding DoS (hashdos) Denial Of Service 、つまりサービス拒否攻撃の一種です。 JavaScript のオブジェクトは内部的にハッシュテーブルとして表現されています。図はこちらから引用ハッシュ関数は同じkeyなら同じ値を返しますが、別なkeyなら通常は別な値になります。ハッシュテーブルのinsert, g

belgianbeer 2017/07/18

Node.js の 2017-07-11 のアップデートの解説

リンク

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。脆弱性情報概要注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory ［1st March 2016］ OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公

belgianbeer 2016/03/02

いつも助かります

リンク

USBに設計上の致命的な脆弱性が発見され、そのコードが公開される

PCの接続端子として不動の地位を確立したUSBに設計上の致命的な脆弱性が見つかり、この脆弱性を突くハッキング手法「BadUSB」が2014年8月に開催された開発者会議Black Hat 2014 USAで発表されていました。BadUSBについて公表した技術者は有効な対策のない脆弱性の危険性を勘案してコードを公開しませんでしたが、DerbyCon 4.0の講演でBadUSBのコードが別の技術者によって公開されてしまいました。 SRLabs-BadUSB-BlackHat-v1.pdf (PDFファイル)https://srlabs.de/blog/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf The Unpatchable Malware That Infects USBs Is Now on the Loose | WIR

belgianbeer 2014/10/08

脆弱性

リンク

OpenSSLの脆弱性で想定されるリスク - めもおきば

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応についてまだ直っていないウェブサイトもあれば、元々壊れていないウェブ

belgianbeer 2014/04/11

OpenSSHの件

リンク

Ghost Domain 脆弱性まとめ

Yasuhiro Morishita @OrangeMorishita RT @hdais: やれやれ、こういうことをよく思いつくなぁ。ある意味﹁浸透問題﹂の応用問題だよね Ghost Domain Names: Revoked Yet Still Resolvable: http://t.co/yURxlsWu 2012-02-08 22:35:18 Yasuhiro Morishita @OrangeMorishitaというわけで、影響はBIND 9のみにとどまらず、ちょっと古いUnbound、PowerDNS recursor、Windows server 2008のDNSサービス、djbdns(dnscache)など、広い範囲に及ぶ模様。 2012-02-08 22:36:36 Yasuhiro Morishita @OrangeMorishita論文を斜め読みした限りでは、件

belgianbeer 2012/02/10

OrangeMorishitaがんばった

リンク

JPCERT C Secure Coding Standard 日本語版 - プリプロセッサ (PRE) (#c01)

CERT C コーディングスタンダード 00. はじめに 01. プリプロセッサ (PRE) 02. 宣言と初期化 (DCL) 03. 式 (EXP) 04. 整数 (INT) 05. 浮動小数点 (FLP) 06. 配列 (ARR) 07. 文字と文字列 (STR) 08. メモリ管理 (MEM) 09. 入出力 (FIO) 10. 環境 (ENV) 11. シグナル (SIG) 12. エラー処理 (ERR) 13. Application Programming Interface (API) 14. 並行性 (CON) 49. 雑則 (MSC) 50. POSIX (POS) AA. 参考情報 BB. Definitions CC. 未定義の動作 DD. 未規定の動作 XX. お問い合わせ 00はじめにこのページでは、JPCERTコーディネーションセンターが翻訳を行っている CE

belgianbeer 2011/12/08

CERTセキュアコーディングスタンダード

リンク

CloudGuard Cloud Security | チェック・ポイント・ソフトウェア・テクノロジーズ

検索言語メニュー言語を選択... English（English） Spanish（Español） French（Français） German（Deutsch） Italian（Italiano） Portuguese（Português） Russian（Русский） Japanese（日本語） Chinese（中文）製品・サービス Quantum Quantum Maestro Quantum セキュリティゲートウェイ Quantum Spark Quantum Scala ble Chassis Quantum Edge Quantum IoT Protect Quantum VPN Quantum Smart-1 Quantum Smart-1 Cloud CloudGuard GloudGuard Network CloudGuard ポスチャー管理 CloudG

belgianbeer 2011/08/25

本当に被害にあうのかどうかは難しいが興味深い

リンク

はてなブックマーク

タグ

関連タグで絞り込む (13)

脆弱性に関するbelgianbeerのブックマーク (11)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス