phpMyAdmin は、以下のファイルに関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。 (1) db_search.php (2) db_sql.php (3) db_structure.php (4) js/messages.php (5) libraries/common.lib.php (6) libraries/database_interface.lib.php (7) libraries/dbi/mysql.dbi.lib.php (8) libraries/dbi/mysqli.dbi.lib.php (9) libraries/db_info.inc.php (10) libraries/sanitizing.lib.php (11) libraries/sqlparser.lib.php (12) server_databases.php
脆弱性の発生するメカニズム 脆弱性の原因はlibraries/mult_submits.inc.php の以下の部分です。 case 'replace_prefix_tbl': $current = $selected[$i]; $newtablename = preg_replace("/^" . $from_prefix . "/", $to_prefix, $current); 上記再現手順の場合、preg_replace関数の呼び出しは以下の引数となります。 preg_replace("/^/e\0/", "phpinfo();", "test"); preg_replace関数(PHP5.4.6以前)の第1引数はバイナリセーフでないため、NULLバイト以降が無視され、結局以下の引数で呼び出されたのと同じになります。 preg_replace("/^/e", "phpinfo();
このウェブサイトは販売用です! smsv.net は、smsvに関する情報用の最新かつ最適なソースです。一般的興味の問題に関連するトピックもここから検索できます。お探しの内容が見つかることを願っています!
環境 RHEL5 ( ntp-4.2.2p1 ) RHEL6 ( ntp-4.2.4p8 ) NTPは結構微妙な修正を入れてくるのでバージョンが異なる場合は注意が必要。 manが当該バージョンの情報源としてはまず優先。 最近の変更 RHEL6ではRHEL5で /etc/init.d/ntpd のみで行っていたことを /etc/init.d/ntpdate と /etc/init.d/ntpd に分離している。 ntpd起動前のntpdate実行について分離している。ntpdを使うのであればntpdateも同時に有効にするべき(ntpdate実行を避けたい場合以外)。 設計 何もよりも先に 『参考』にあげた富士通の『Linuxユーザーズマニュアル RHEL6編』がNTPの説明として詳しい・わかりやすい。まずはこれを読む。 NTPサーバの階層設計 NTPを使う目的は『正しい時刻の維持』と『時刻
2013-04-03 Vagrantと1.0.xと1.1.xについて バージョン1.1.xの位置づけについては以下の記事を参照。 Vagrant 1.1, VMware Fusion - HashiCorp 変更履歴は vagrant/CHANGELOG.md at master · mitchellh/vagrant · GitHub。 gem installで入れられるのは1.0.x系のみ。現在は1.0.7。 search | RubyGems.org | your community gem host Vagrant 1.1.5のインストール Vagrant → Vagrant - Downloads → Vagrant - Downloads v1.1.5 と進み、Vagrant.dmgをダウンロードしてインストール PATH設定 vagrantコマンドにPATHを通します。 ca
Vagrant用のbox(OSのテンプレート)はhttp://www.vagrantbox.es/などで多数配布されています。 とりあえず試してみる分にはこちらにあるものを使ってみるのも良いですが、実際に開発で使おうとするといくつか問題があります。 そのOSに怪しいプログラムがインストールされているかもしれない初期の設定が自分たちの環境と大きく乖離している。例えばyumのレポジトリが多数追加されたりしているVirtualBoxのGuestAdditionsなどのバージョンが古くてそもそも正しく動かないかもしれないこういったことを避けるためには、自分たちでセキュアなboxを作るのが良いと思います。ここではveeweeを使って、自分用のboxを作る方法を紹介します。 veeweeのインストールveeweeはrubyで書かれたツールで、vagrantをはじめとする多くの仮想化ツール用にOSの雛形
企業や団体は、規模の大小を問わず、内部からの脅威に対処する必要がある。企業等にとって認可した利用者による不正行為は大きな脅威を意味するからだ。『2005 Computer Security Institute and Federal Bureau of Investigation Computer Crime and Security Survey』によると、企業等は、コンピューターへの内部からの侵入が全インシデントのおよそ半数を占めると報告している。 したがって、外部からの脅威を念頭にネットワークの周囲に侵入検出システムやファイヤウォールやウィルス・スキャナーを張り巡らせただけで安心してはならず、認可した利用者についても監視すべきだ。Linux Auditデーモンは、その際に必要となるセキュリティー・ポリシー違反の検出に有効だ。 「監査(audit)」という言葉は、情報セキュリティー分野
「いますぐ実践! Linux システム管理」はこちらです。 メルマガの解除、バックナンバーなども、以下からどうぞ。 https://www.usupi.org/sysad/ (まぐまぐ ID:149633) その他、作者に関するページは、概ね以下にございます。 https://www.usupi.org/kuri/ (まぐまぐ ID:126454) http://usupi.seesaa.net/ (栗日記ブログ) https://twitter.com/kuriking/ (twitter) https://facebook.com/kuriking3 (facebook) https://jp.pinterest.com/kuriking/pinterest) https://www.instagram.com/kuri_king_/ (instagram) [バックナンバーのトップへ
※2012/12/04 に内容を修正しました。Network Node を切り出すよう修正。 ※213/01/09 に内容を修正しました。パラメータ修正です。 OpenStack の Folsom リリースからメインコンポーネントの仲間入りした Quantum を 理解するのに時間を要してしまったのだけど、もう数十回とインストールを繰り返して だいぶ理解出来てきました。手作業でインストールしてると日が暮れてしまうのでと思っ て自分用に bash で構築スクリプトを作ったのだけど、それを公開しようと思います。 OpenStack Folsom の構築に四苦八苦している方に使ってもらえたらと思ってます。 http://jedipunkz.github.com/openstack_folsom_deploy/ chef や puppet, juju などデプロイのフレームワークは今流行です。ただ
こんにちは。最近 OpenStack の導入に向けて保守性や可用性について調査している @jedipunkz です。 OpenStack は MySQL のダンプや OS イメージ・スナップショットのバックアップをとっ ておけばコントローラの復旧も出来ますし、Grizzly 版の Quantum では冗長や分散が 取れるので障害時に耐えられます。また Quantum の復旧は手動もで可能です。最後の 悩みだった Cinder の接続先ストレージですが、OpenStack のスタンスとしては高価な ストレージの機能を使ってバックアップ取るか、Ceph, SheepDog のようなオープンソー スを使うか、でした。で、今回は Ceph を OpenStack に連携させようと思いました。 この作業により Cinder の接続先ストレージが Ceph になるのと Glance の OS イメー
InnoDB はデフォルトでは同期I/O *1だけど、 innodb_flush_method=nosyncっていう隠しオプションがあって、それを有効にすると MyISAM みたく fsync しなくなるよ。ってソースコードちら見した自分が言ってた。 この設定がうれしいのって、どういう時だろう? MySQL – Wikipedia にも書いてあるけど、スレーブ運用してて「クラッシュしたらリカバリで数時間かかるし、データ一貫性チェックするくらいだったらバックアップからリストアして再開しちゃうもんね〜」的な向きにはおすすめなのかしらん。 とは言え、fsync しないってことは OS のページキャッシュに書込みデータが滞留することになる → buffer_pool 削る必要が出てくる → 無駄な I/O が増える、わけで、設定するメリットがあるかどうかは知らない。swappiness=0 にしと
ハードディスクイメージの変換に使うツールですが、VirtualBoxが対応しているディスクイメージとrawイメージについては付属の vboxmanage コマンドを利用して変換できます。 vboxmanage が対応していないディスクイメージについては、qemu/kvmのユーティリティである qemu-img を利用すると変換できます。 VirtualboxはVMwareのvmdk形式も利用する事ができるので、qemuのqemu-imgコマンドを使いvmdk形式に変換して利用します。 qemu-imgでvdiに対応したのでそのまま変換できます。 $ qemu-img convert -O vmdk (元イメージファイル名).qcow2 (変換イメージファイル名).vmdk vdiにしたい場合は、一度rawイメージにしてからvdiに変換します。 $ qemu-img convert -O r
VagrantはOracle VirtualBoxを利用した仮想マシンをコマンドラインから作成してくれるソフトウェアだ。 設定ファイルをRubyで書くことができ、Chef等とも連携できるので、開発環境をコマンドライン一発で作成することができる。更にはCapistranoと組み合わせてアプリケーションのデプロイも一括で行うことで完全自動でいつでもテスト環境をつくれたりもする。 仮想マシンを捨ててしまってもいつでも再構築できること、誰のところにでもすぐ同じ状態に展開できることは開発を進める上で非常にメリットがある。 以下ではまずはVagrantを利用した簡単な仮想マシン構築の手順を説明する(本当に説明したい内容はもっと違う話なのだが追って別のエントリで書いていくことにする) Oracle VirtualBoxのインストールhttps://www.virtualbox.org/にアクセスし左ナビ
herokuのpg_dump.sqlしかバックアップが無い状態からDBを復旧させるため、適当なpostgres環境が必要になったんですが、$ brew install postgresql はv9.0とか未来的な感じが面倒そうだったので簡単にVirtualBoxの仮想環境が作れるという噂のVagrantを使ってみました。 Vagrant - Welcome Vagrantとは? VirtualBoxの仮想環境をCUIから操作するツールです。数回コマンドを叩くだけで環境が作れるのでとても便利。rubyで書かれたシンプルな設定ファイルを元に面倒な仮想環境構築を自動化してくれます。 VM自体はVagrantfileという設定ファイルで設定し、VMの中身はchefで設定するという感じです。僕はchef使ったこと無いので今回はVM作成したあとはsshで入ってpostgresをインストールしちゃいまし
Vagrant 会社でMac Book Proがどうのこうので盛り上がっておりまして、Windowsでないと動かないアプリがあるとかないとかで盛り上がってます。ま、VirtualBoxとかで仮想化すればいいじゃんなんて思って調べてたら、Vagrant なんて凄いものが出てるんですね(びっくり)。 Vagrant Vagrant を一言で言えば、Oracle VirtualBox を操作するコマンドラインツールってところでしょうか? rubyで記述されており、gemで簡単にインストールできたので紹介します。 VirtualBox のGUIをCUIで操作したいアレゲな人向けなツールです。 導入(for OS X Mountain Lion) 1) Virtual Boxをインストール Virtual Boxは https://www.virtualbox.org/wiki/Downloads
MacOSX 10.6で試しました。VirtualBoxはインストール済み。 Vagrantはdmgイメージのものをダウンロードして、インストールしました。 Vagrant by HashiCorp インストールすると、ターミナルでvagrantコマンドが使えるようになります。 Vagrantで使えるboxを探す このページにVagrantで使えるboxファイルがいろいろあります。 A list of base boxes for Vagrant - Vagrantbox.es が、CentOS6.4がまだない。 CentOS6.4のBoxを探す なければ自前で作らないとダメかなーと考えてたけど、探してみたら公開してる人がいました。 Vagrant Base Box Downloads NRELってのはアメリカの国立再生可能エネルギー研究所っぽい。内部で使ってるものを公開しているのかな。
タイトルは単なる煽りなので、気にせず先に進みましょう。 最近 chef や puppet、fabric などの自動化ツールの流行を受けて、 その実験環境として vagrant もかなり使われているようです。 vagrant は virtualbox の CLI ラッパーとして非常に良くできており、実験環境を構築するのに非常に便利なツールです*1。 そして、多くの vagrant 紹介記事が書かれているのですが、そこで気になったことがひとつあります。 それは vagrant を利用する際に vagrantbox.es に用意されている VM を利用しようと紹介されていることです。 vagrantbox.es は各々が作った VM イメージ(通称 box)を持ち寄って共有しあうサイトです。 新しくリリースされた distro. のイメージや、ツール(chef, puppet, guest ad
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
