nminoruのブックマーク - はてなブックマーク

OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。概要深刻な脆弱性が確認されたのはOpenSSHサーバー︵sshd︶コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

nminoru 2024/07/02

リンク

「OpenSSH」にルート権限で認証なしに任意のコードが実行される致命的な脆弱性／リモートから悪用可能、「OpenSSH 9.8p1」への更新を

nminoru 2024/07/02

リンク

ユニクロ、顧客データの扱いに不備　個人情報扱わないはずの委託先が閲覧可能な状態に

問題があったのは、サービスの稼働状況を監視するシステムの設定。本来は個人情報を保存しない仕様だったものの、2023年6月から24年1月にかけて、一部の顧客情報が保存される設定になっていた。結果として、ファーストリテイリンググループが個人情報の取り扱いを任せていない委託先が、特定の条件下でデータを閲覧できたという。閲覧できたのは︵1︶ユニクロ、ジーユー、プラステなどファーストリテイリンググループが運営するECサイトを使った顧客の氏名、住所、電話番号など、︵2︶グループ店舗に来店した人のうち、他店舗からの商品取り寄せを希望した人の氏名、電話番号、メールアドレス、︵3︶着こなし確認用スマートフォンアプリ﹁スタイルヒント﹂利用者のメールアドレス──で、クレジットカード情報やパスワードは含まないとしている。データが閲覧可能だった委託先事業者とは、今回の件を受けて個人情報の保存や持ち出しをしていな

nminoru 2024/07/02

リンク

How to Secure a Docker Host Using Firewalld

nminoru 2024/07/02

リンク

Dockerのiptablesを有効にしたままSSRF対策をするには - セキュアスカイプラス

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。動機としてはタイトルに書いた通りSSRF対策を目的としています。特に内部ネットワーク宛の攻撃を想定し、Dockerコンテナからの private network 宛のoutboundを禁止したい。でもDocker ホスト側ではメールGWなど一部内部NW上のサーバへのoutboundは許可する必要があるので、Dockerコンテナだけに限定したoutboundルールを設定したい・・・そんな状況に対応するにはどうするか調べてみた次第です。結論から書くと Docker Engine 公式ドキュメントで解説されているとおり

nminoru 2024/07/02

リンク

Docker と iptables

Linux 上において Docker はiptablesルールを利用して、ネットワークを分離します。このことは実装に関わることであって、Docker がiptablesポリシーに挿入するルールを修正するべきではありません。 Docker が管理するポリシーとは別に、独自のポリシーを追加しようとする場合は、そこには重要な観点がいくつかあります。 Docker を起動するホストがインターネットに接続しているとします。その場合は、ホスト上で稼動するコンテナーや他のサービスに対しての不正アクセスを防止するような iptables ポリシーを設定したいはずです。ここではそれをどのように実現するか、そしてどこに気をつけるべきかを説明します。 Docker ルール前への iptables ポリシー追加 Docker はDOCKER-USER、DOCKERという独自の iptables チェーンをイ

nminoru 2024/07/02

リンク

dockerはufwに穴を空ける。 - テコテック開発者ブログ

本投稿は TECOTEC Advent Calendar 2021 の17日目の記事です。決済認証システム事業部の下江です。今年の夏ごろ、ふとサービスを作りたいなと思い、仮想レース配当サービスを個人で作っていた時に起きたDB情報を全部抜かれた話をしていこうと思います。 <2021.12.17 追記> ※本記事はあくまで個人開発上で起きた問題であり、弊社開発ではセキュリティ専門の部隊がこの要な事態が発生しないよう対応しています。構成 OS: Ubuntu 20.04.2 LTS フレームワーク‥Laravel フロント : blade デザイン : Tailwind CSS DB情報が抜かれるまでの流れサーバの初期設定を行い、動作確認のためBasic認証を掛けて知り合い内共有して、いくつか細かい問題の修正を行いとりあえず動作するところまで終わらせた後就寝しました。翌日、知り合いから

nminoru 2024/07/02

リンク

regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog

The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this vulnerability is CVE-2024-6387. The vulnerability, which is a signal handler race condition in OpenSSH’s server (sshd), allows unauthenticated remote code execution (RCE) as root on glibc-based Linux systems;

nminoru 2024/07/01

Vulnerability

リンク

Dockerのポートマッピングのデフォルト設定は危ない - JUNのブログ

あらすじ公衆WiFiに繋いだ状態でいつものように docker container run -p 8080:80 nginx のような感じでDockerコンテナを動かしていたら、外部からリクエストを受信した。ファイアウォールを設定し、外部からのアクセスを拒否しているはずなのになぜアクセスできたんだ... 環境 Docker desktop for mac with apple silicon 4.21.0 何が起きた? Dockerはデフォルトの設定では-p 8080:80のようにポートマッピングするとファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている。その結果LAN内の他のPCから対象ポートにアクセス出来てしまう。ちなみにこれはDocker公式からも注意が出ている。 Publishing container ports is insecur

nminoru 2024/07/01

リンク

Debian Package Tracker

nminoru 2024/07/01

リンク

ライセンスの考え方: Windows Server 2022 | NEC

サーバーライセンスは「物理コア数」に応じたライセンス体系になります。具体的には、以下の3つのルールをすべて満たすライセンスが必要です。物理コアの総数を満たすライセンスが必要 1プロセッサ当たり、最低8コア分のライセンスが必要サーバ1台当たり、最低16コア分のライセンスが必要もし上記で分かりづらい場合は、以下のようにお考えください。サーバに搭載しているCPU数が2つ以内の場合：

nminoru 2024/07/01

リンク

タブーだらけの中で生きる!?　ユダヤ教超正統派エリア「メア・シェアリーム」で学んだこと｜EXPAT by クーリエ・ジャポン

こんにちは！今日のテーマは﹁タブー﹂。エルサレムにおけるタブーは宗教ごとに違います。先日挙げた、食におけるタブーもその1つ。︻エルサレムの食事情︼日本人のためのお勧めレストラン①ディナー編 …

nminoru 2024/06/29

リンク

ユダヤ教超正統派徴兵すべき、イスラエル最高裁　首相に打撃

６月２５日、イスラエルの最高裁判所は現在、徴兵を免除しているユダヤ教超正統派の学生も徴兵しなければならないという判断を下した。写真は３月、徴兵免除の手続きをしにイスラエル・キリヤットオノの徴兵事務所を訪れた超正統派ユダヤ教徒ら（２０２４年　ロイター/Hannah McKay）［エルサレム　２５日　ロイター］ - イスラエルの最高裁判所は２５日、現在、徴兵を免除しているユダヤ教超正統派の学生も徴兵しなければならないという判断を下した。連立政権存続で超正統派２政党を頼みとするネタニヤフ首相に打撃となる。

nminoru 2024/06/29

リンク

英国の冤罪事件は公聴会が大詰めに、システムを開発した富士通の責任は

﹁2025年初頭に3年に及んだ公聴会が終わる。その直後、英国会議員団や2019年の判決で無罪を勝ち取ったサブポストマスターらは、英ポストオフィスだけではなく、富士通にも何らかの法的責任を取らせる行動に出るだろう。そうなれば、渦中のHorizonを開発した富士通の現地子会社はもちろん、本社経営者の召喚もあり得る﹂こう見通しを話すのは富士通の元技術系役員である。同氏は英国政府が主導し、元判事が委員長を務める公聴会を注視し続けてきた。この公聴会は、ポストオフィスが引き起こした冤罪︵えんざい︶事件を改めて調査している。ポストオフィスはHorizonと呼ぶ勘定系システムの残高と郵便局の現金残高が合わなかったとして、2000年から2014年にかけて736人ものサブポストマスター︵民間受託郵便局長︶や郵便配達員を訴えた。しかしHorizonのデータのほうが間違いで、冤罪だったという判決が出ている。

nminoru 2024/06/29

リンク

Ｓ＆Ｐ500、年末までに23％下落へ－ＪＰモルガンのコラノビッチ氏

Ｓ＆Ｐ500、年末までに23％下落へ－ＪＰモルガンのコラノビッチ氏 Alexandra Semenova Ｓ＆Ｐ500種株価指数は、過去最高値を再び更新するかもしれないが、ＪＰモルガン・チェースのチーフ・マーケット・ストラテジスト、マルコ・コラノビッチ氏は、景気減速や企業利益見通しの下方修正など逆風が強まることで、同指数が今後数カ月で勢いを失うと予想する。コラノビッチ氏率いるチームは28日、半期見通しでＳ＆Ｐ500種が年末までに4200まで下落すると予想した。これは27日終値を約23％下回る水準。注目されていた米インフレ指標で物価の落ち着きが示唆されたことを受け、同指数は28日、一時5500台に乗せた。ウォール街の他の専門家が株価急伸に追随して予想を引き上げる中、コラノビッチ氏は今年これまで見方を変えていない。ＪＰモルガンの目標値は、ブルームバーグがフォローするストラテジストの中で最も

nminoru 2024/06/29

Prediction

リンク

｢日銀利上げでも、円キャリー取引は止まらず｣BofA幹部　Foresight - 日本経済新聞

外国為替市場で1ドル=160円を下回る水準まで円安・ドル高が進んだ。日銀の低金利政策が続くなか、円を借りて外貨で運用する﹁キャリー取引﹂の活発化も円安傾向に拍車をかけている。最も円弱気派の一社である米バンク・オブ・アメリカでアジア金利・為替戦略チーム共同責任者のアダーシュ・シンハ氏に今後の見通しを聞いた。──円相場が再び下落傾向にあります。﹁円安は長期化すると考える。構造的な資本流出が続いて

nminoru 2024/06/29

Prediction

リンク

PostgreSQLのPub/Sub機能とJavaのクライアント実装 | フューチャー技術ブログ

本記事は﹁珠玉のアドベントカレンダー記事をリバイバル公開します﹂企画のために、以前Qiitaに投稿した記事を改訂したものです。はじめにPub/Sub型のメッセージングアーキテクチャを採用するにあたっては、kafkaなどのブローカーミドルウェアや、Amazon SNS、Google Cloud Pub/Subなどのマネージドサービスを利用するケースが多いかと思います。ところでPostgreSQLでも実はPub/Subができます。すでに業務でPostgreSQLを使っていれば、新たにPub/Subブローカーを構築しなくても、疎結合なシステム間通信を簡易的に実現できます。本記事ではこの機能の紹介と、Pub/SubクライアントをJavaで実装する場合の選択肢、考慮点を示しています。 ※実行環境はPostgreSQL 16.2とJava21です ※データベースの文字コードはUTF-8としてい

nminoru 2024/06/29

PostgreSQL

リンク

アングル：歴史的な円安、陰に「キャリーモンスター」　大きな金利差に勝機

28日午前の東京外為市場でドルが１６１円台まで上昇した。ドルと円のイラスト写真。︵2024年ロイター/Dado Ruvic/Illustration/File Photo︶﹇東京　27日　ロイター﹈ - 外為市場で金利差収入を狙った円売りが改めて存在感を増している。短期売買を繰り返し値ざやを狙う投機筋のようにドルの上値を追いかけることはないが、下値ではすかさず買いを入れてくるスタンスで、円を歴史的な安値に押し下げる陰の主役となっている。その影響力から一部で﹁キャリー・モンスター︵キャリー取引の怪物︶﹂とも呼ばれており、将来の金利の方向性だけではなく、現在の水準に着目している点が特徴だ。

nminoru 2024/06/28

Currency

リンク

民主党議員ら、バイデン氏に「絶望」　大統領討論会終え

︵ＣＮＮ︶バイデン大統領とトランプ前米大統領との討論会では、幅広いトピックについて議論が交わされた。トランプ氏は、バイデン氏在任中の雇用増加はすべてコロナのパンデミック︵世界的大流行︶によるロックダウンからの﹁回復﹂によるものだと主張した。ただし、増加した雇用はすべて﹁回復﹂による雇用というわけではなく、人々がみな以前の仕事に戻ったわけではない。両氏はインフレについて非難の応酬を繰り広げた。バイデン氏は自分が引き継いだ経済に一因があると批判した。これに対しトランプ氏は、バイデン氏が就任した当時、﹁ほとんどインフレはなかった﹂と反論した。トランプ氏は、バイデン氏が実行したアフガニスタンからの米軍撤退を﹁わが国史上最も恥ずべき日﹂と断じた。トランプ氏は自身が当選した場合、中絶薬の入手を阻止しないと述べ、中絶の規制は州が決定すべきだという立場を繰り返し表明した。バイデン氏は中絶を州の裁