HTTP ヘッダインジェクション (HTTP Header Injection)は、ユーザーから受け取ったデータを Web アプリケーション側で適切にチェックせずに、HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。 改行コードが起因となることから、CRLF インジェクション(CRLF Injection)とも呼ばれています。 本記事では HTTP ヘッダインジェクションの概要と発生する仕組み、対策方法について、主に Web 開発者に向けてわかりやすく解説していきます。 HTTP ヘッダインジェクションとはなにかHTTP ヘッダインジェクションは、ユーザーがフォームや URL で入力するリクエストパラメーターやクエリパラメーターを、想定しないデータに改変して送信することで、HTTP レスポンスヘッダに新たなヘッダ要素を追加したり、レスポンスボディに任意の文字列
米MicrosoftのWindowsに未解決の脆弱性が発覚し、米セキュリティ機関のCERT/CCが8月27日付でセキュリティ情報を公開した。既に悪用コードも公開されているという。 CERT/CCによると、脆弱性はWindowsタスクスケジューラの「Advanced Local Procedure Call(ALPC)」に存在する。ローカルユーザーに悪用された場合、権限を昇格されてシステム特権を獲得される恐れがある。 悪用コードはGitHubなどを通じて公開され、CERT/CCでは64ビットのWindows 10とWindows Server 2016に対して通用することを確認。このコードに手を加えれば、他のバージョンのWindowsに対しても使用できる可能性があるとしている。 危険度は、共通脆弱性評価システム(CVSS)のベーススコアで6.8(最高値は10.0)。現時点でMicrosoft
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
2018年1月24日(米国時間)、Threatpostに掲載された記事「Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug|Threatpost|The first stop for security news」が、SkypeやSlackなどの複数のアプリケーションに遠隔からコード実行が可能な脆弱性が存在すると伝えた。SkypeやSlackではすでに脆弱性を修正したバージョンを公開している。該当するプロダクトを使用している場合にはアップデートを実施することが望まれる。 Skype for WindowsやSlackはElectronと呼ばれるフレームワークを使用している。今回、このフレームワークに脆弱性が存在することが明らかになった(CVE-2018-1000006)。このため、S
筆者からの注意 本稿は、ITプロフェッショナルの方に向けた記事です。「Spectre」および「Meltdown」の脆弱(ぜいじゃく)性に関する情報は、日々アップデートされています。できるだけオリジナルの情報を確認することをお勧めします。本稿で紹介する内容や手順は、一般のWindowsユーザーにとっては難しいでしょう。ご利用中のPCにおけるWindows側の対策は、ウイルス対策ソフトを最新状態に維持し、Windows UpdateでWindowsを最新状態に更新するだけで十分です。ただし、「2018-01」から始まる名前の更新プログラムがインストールされておらず、検出もされない場合は対応が必要です。後は、PCメーカーから提供される(されない場合もあります)BIOS/ファームウェアを更新することが重要ですが、それについてはPCの購入元に問い合わせるか、PCメーカーのWebサイトなどで確認してく
もちろん、脆弱性の内容に大きく依存するのでこれが全てではありませんが、「 対策が確立されていないのに攻撃コードが出回っていて、攻撃事例も報告されているのが最もヤバイ 」っていう認識は持っておくべきでしょう。 脆弱性の影響有無 世間を騒がせる脆弱性があったとしても、該当機器がなければ騒ぐ必要も当然ないですし、攻撃しようがない仕組みになっていたとしたらそれも気にする必要はありません。 そういう意味で、対象の脆弱性が自システムに影響があるのかどうかを調べる必要があります。観点としては以下となります。 該当バージョンの有無 攻撃条件の成立可否 該当バージョンの有無 脆弱性は影響範囲をもちます。最たるものがソフトウェアバージョンで、「 バージョンX以降 」であったり「 バージョンYからZの間 」などと表現されたりします。 ソフトウェアによっては、バージョンの前後関係が読みづらかったりすると思うので、
「CPUの脆弱性」に手元のゲームPCは対策できているのか。Windows環境で簡単にチェックできるツールを作ってみた ライター:米田 聡 12→ 北米時間2018年1月3日にGoogleのセキュリティ研究チーム「Project Zero」が発表したCPUの脆弱性について,4Gamerでは先に,脆弱性の概要と,ゲーマーはどうすべきかといった点をまとめている(関連記事)。 あれからまだ数日しか経過していないが,関連各社の対応は迅速で,本稿を執筆している1月10日の時点でほぼ出揃った。また,ゲーマーなら気になるであろう「性能への影響」についても,各社から公式コメントが出つつある状況だ。 今回は,4Gamer読者の中でもとくにユーザー数が多いと思われるWindows側の対応を中心に,ここまでの動きをまとめてみよう。 Variant2の対策にはBIOS(UEFI)のアップデートが必要 1月5日掲載の
3. Meltdown/Spectreとは? •“Speculative Execution Side Channel Attack” (投機実⾏のサイドチャンル攻撃) という新しい脆弱性のジャンルの2つの異なる脆弱性/攻撃 •現在、3つの攻撃⼿法が公開されている タイプ1:配列の境界チェックバイパス (CVE-2017-5753) (Spectre) タイプ2:分岐ターゲットインジェクション (CVE-2017-5715) (Spectre) タイプ3:不正なデータキャッシュ読み込み (CVE-2017-5754) (Meltdown) 4. 発見者 •2017年6月ごろにたまたま同じタイミングで 複数のチームに発見された •Meltdown ・ Jann Horn (Google Project Zero) ・ Werner Haas, Thomas Prescher (Cyberus
現在CPUの欠陥「Spectre」と「Meltdown」が大きな話題となっています。対応にはOS側の修正が必要で、特に「Meltdown」修正によりパフォーマンスの大幅な劣化が懸念されているなか、Microsoftは9日、「Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems」と題した文書を公開し、SpectreおよびMeltdownの緩和策のパフォーマンスへの影響を説明しています このドキュメントによるとパフォーマンスへの影響はWindowsのバージョンとCPUの世代が大きく影響している模様。 Windows 10で2016年のSkylake、Kabylake、それ以降のCPUの場合、ベンチマークは一桁遅くなる。しかしパフォーマンス劣化はミリセカンド単位なので
問題はオンプレミスの物理/仮想化環境、ファームウェア更新が必要 今回のプロセッサ脆弱性問題は、ハードウェアの脆弱性です。そのため、Azureの場合、プラットフォームおよびハイパーバイザーレベルで対策済みになりました。問題は、オンプレミスの物理/仮想化環境での対策です。 本連載はAzureに焦点を当てていますが、影響範囲が大きいため、Windowsや他社クラウドを含め、対策状況について触れておきます。 Windows向けに2018年1月4日にリリースされたこの脆弱性問題に対応する更新プログラムは、次の3つの脆弱性に対する“軽減策”を提供するものであり、脆弱性を根本的に解決するものではありません。 CVE-2017-5753(Bounds check bypass)……Spectre(Variant 1) CVE-2017-5715(Branch target injection)……Spec
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
AndroidのToast機能を悪用したオーバーレイ攻撃による脆弱性!引っかかると端末が操作不能に――Android 8.0や2017年9月1日のセキュリティーパッチで対策済みながら野良アプリには注意を 2017年09月19日19:25 posted by yukito_kato カテゴリAndroidニュース・解説・コラム list AndroidのToast機能を悪用して操作不能にする脆弱性が発覚! アメリカのセキュリティベンダーのPalo Alto Networksは7日(現地時間)、Androidの「Toast」機能を悪用することによって簡単にAndroid搭載製品を操作不能にできる「オーバーレイ攻撃」の脆弱性を発見したと発表しています Toastは本来、ユーザーに簡易的なメッセージを表示させる機能で、フローティング(今動いてるアプリの上に重ねて)表示させる便利なものです。 例えば
セキュリティ・キャンプ全国大会2017の講義資料です(Masato Kinugawaさんとの共同制作です)。
Trend Vision One はサーバレスやコンテナなど、さまざまなAWS環境のセキュリティをまとめてシンプルに運用。 Trend Vision OneはAWS環境を守る複数のセキュリティ製品を1つの単一プラットフォームで提供します。ベンダーの違う製品を複数契約すると、それぞれの運用体制を構築する必要がありますが、Trend Vision Oneは単一プラットフォームで提供されるため、運用をよりシンプルにすることができます。 Trend Vision One はサーバレスやコンテナなど、さまざまなAWS環境のセキュリティをまとめてシンプルに運用。 Trend Vision OneはAWS環境を守る複数のセキュリティ製品を1つの単一プラットフォームで提供します。ベンダーの違う製品を複数契約すると、それぞれの運用体制を構築する必要がありますが、Trend Vision Oneは単一プラット
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
