OpenSSLプロジェクトチームは3月15日、「OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-2022-0778)」において、OpenSSLに処理が無限ループに陥る脆弱性が存在すると伝えた。深刻度は重要(High)と評価されており注意が必要。すでに問題に対処したバージョンが公開されていることから、該当するバージョンを使用している場合はアップデートを適用することが望まれる。 OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-202
サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお知らせを掲載しています。 はじめに家人がテレビを見ていて欲しい商品があるというので、あまり気は進まなかったのですが、その商品を検索で探して購入することにしました。「気が進まない」というのは、利用実績のないサイトはセキュリティが不安だからという理由ですが、この不安は的中してしまいました。 最初の「えっ?」はパスワード登録のところでして、パスワードを再入力する箇所で「確認のためもう一度、コピーせず直接入力してください」とあるのですよ。私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピ
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 なんだかんだでuPortを触ったり現Azure Active Directory Verifiable Credentialsの前身を触ったり、最近だと数カ所で実証実験プロジェクトを立ち上げたり、MS主催のDecentralized Identity Hackathonで入賞してみたり、と分散型IDに関わり始めて5年くらい経っていたりしますので、現時点で分かったことをメモしておこうかと思います。(往々にして数年後に見返すとう〜ん、となるやつだけど気にしないことにする) ※そういう意味では2019年の#didconでその時点でわかっていることをある程度まとめて発表してからおよそ3年も経つんですね・・・ また機会があればdidconでも開催してじっくりお話さ
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
ハードディスクドライブ(HDD)は安価に大容量のストレージを用意でき、長期保存に適しているというメリットがありますが、衝撃や熱に弱いというデメリットがあり、精密部品も多く使われているため、物理障害も十分起こり得ます。オンラインストレージサービスを提供するBackblazeが、ハードディスクの状態から機械学習で将来的に障害が起こりうる可能性を予測する技術の研究論文を解説しています。 Interpretable predictive maintenance for hard drives - ScienceDirect https://www.sciencedirect.com/science/article/pii/S2666827021000219 Using Machine Learning to Predict Hard Drive Failures https://www.backb
aini_graphql_vuln.md GraphQL採用サービスに追加で脆弱性を報告した話 前置き 個人の活動であり文責は全てmalaにあります。 網羅的に調べているわけではないので、自分が利用していたり、調査したサービスに他の脆弱性が無いことを保証するものではないです。 概要 ainiというサービス https://helloaini.com/ のGraphQLでの情報露出の脆弱性に関する記事を見て、追加で調べたところ、Webサイトやアプリ上から参照できない他のユーザーのフォロー/フォロワー関係をGraphQL経由で取得することが出来ることを発見した。 9月24日(金)の日付変わったころに報告したところ、迅速に修正された。修正されたようなので開示して良いか訪ねたところ、問題ないとの返信をもらった。 malaから問い合わせ 報告内容と、脆弱性が修正された旨をブログ、Twitter等で公
■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが
テレビゲームやギャンブル、暗号は一見すると全く関係ないように思えますが、実はすべて「乱数」を利用しており、現代人の生活は乱数なくして成立しません。そんな乱数をコンピューターでどうやって生成させているのかを、プログラミング関連のブログ・BetterProgrammingが解説しています。 Generating Random Numbers Is a Lot Harder Than You Think | by Sunny Beatteay | Sep, 2021 | Better Programming https://betterprogramming.pub/generating-random-numbers-is-a-lot-harder-than-you-think-b121c3e75d08 プログラミングで乱数を使いたい場合、例えばRubyの場合は「rand」、Pythonの場合は
「CA BASE NEXT」は、20代のエンジニア・クリエイターが中心となって創り上げるサイバーエージェントの技術カンファレンス。青山氏は、PlatformのためのPlatformとしてのKubernetesを、実際の事例を踏まえて紹介しました。前半は、Kubernetesの拡張性の高さについて話しました。 devチームでは「Kubernetes as a Service」と「ML Platform」を開発中 青山真也氏:本日は「"Platform for Platform" with Kubernetes」というテーマで発表いたします。よろしくお願いします。 軽く自己紹介します。私は青山と申します。2016年に株式会社サイバーエージェントに新卒入社して、現在はメディア側とAI事業本部側の、プライベートクラウドのインフラ部隊を合併して作った「CyberAgent group Infrast
各領域の最前線で活躍されるエンジニアや研究者を招き、インフラ技術を基礎から応用、普遍的な技術から最新技術まで網羅的に学ぶ、インフラ勉強会シリーズ「Infra Study Meetup #1 - #10」。2ndシーズンの第3回として、小川氏が登壇。ここからはIPv6とIPv4の違いや、IPv6による回線速度について紹介します。前回の記事はこちらから。 IPv4とIPv6の名前解決 小川晃通氏(以下、小川):ここで、IPv6とDNSの話になります。どうしてIPv4とIPv6という、ぜんぜん違う直接的な互換性のない2つのプロトコルが1つのものに見えるかという話ですが、これは通信の仕方の特徴によります。 通信を開始するときにIPアドレスをいきなり指定する場合はないとは言いませんが、多くの場合はまず名前解決を行い、例えばwww.example.comだったら、その名前に対応するIPアドレスが何かと
Tebiki 社の CTO をしている渋谷です(会社名が変わりました)。「現場向け動画 DX」を実現するための SaaS『tebiki』を開発しています。 今回は「スタートアップでも AeyeScan を使えば、継続的に脆弱性を診断できるようになるよ」という話について書いてみたいと思います。 (※近年特に注目されている SaaS などの Web アプリケーションに対する脆弱性診断の話です) スタートアップでもセキュリティは最重要スタートアップではとにかくサービスの PMF を目指すことを優先すべきで多少の脆弱性は後でどうにかすればよい、という意見をたまに見かけます。BtoB 向けの SaaS スタートアップを3年間やってきた一人としては、それは全くの嘘で、やはりセキュリティが最も重要だと考えています。 なぜなら「情報漏えいは会社の倒産リスクに直結する」からです。 仮に脆弱性を突かれて情報が
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Problems that Static Typing Doesn’t Solve | CodingItWrong.com 原文公開日: 2020/10/19 原著者: Josh Justice サイト: CodingItWrong.com | Full-stack developer for sufficiently small definitions of stack. Work for Big Nerd Ranch. Brandur Leach氏のブログ記事『Better typing in Ruby』は、Stripeの静的型付けチェッカーSorbetが誕生したときの状況と、Sorbetで得られたメリットについて解説しています。私はこれまで静的型付けのメリットについては割り引いて考えてきましたが、この記事を読むうちに、私がそ
26日(日本だと27日)に「MSのクラウドのデータベースに脆弱性 数千社に通知」みたいなタイトルのニュース記事がロイターからありました。情報不足で正確性にかけるタイトルですが。 より細かい詳細はそのうちでるかも知れませんが現状はこちらを参照。 Update on the vulnerability in the Azure Cosmos DB Jupyter Notebook Feature – Microsoft Security Response Center(MicrosoftのSecurity Response Centerの記事) ChaosDB: How we hacked thousands of Azure customers’ databases | Wiz Blog (脆弱性発見者の記事) 脆弱性の概要 Cosmos DB組み込みのJupyter Notebook機能を
数日前にTwitterで, JavaScriptのオブジェクトに対する===の挙動が初心者には難しいみたいな話を見かけた. 発端や周辺の議論をちゃんと追いかけてないからとくに出典は貼らない. たぶん元々の話は「へぇ, こういう挙動なんだ, 簡単ではないね」くらいの話だったのかもしれない. 自分のタイムラインの観測範囲では「そうだそうだ, (参照の同一性ではなく)同値性にしとけばいいのに」と思っている人もそれなりにいそうに見えた. 個人的にも同値性が簡単に確認できるとよい気はするものの, 「なんでそうしないんだ, オブジェクトの中身を確認していくだけだろ!」みたいな簡単な話ではないことも知っているため, 以下のようなツイートをしたのだった. JavaScriptのオブジェクトの同値性、再帰的な構造とか作るとぜんぜん自明じゃないんだよなぁ。リンクの構造は違うけどプロパティを辿ったときのパスはど
DIとは DI(Dependency Injection)とは、日本語訳で依存性の注入です。依存性の注入と聞くと、依存性という抽象的な概念を何かに注入するような印象を与えますが、依存性という言葉自体は依存対象を表します。 DIにおける依存対象は、オブジェクトのインスタンスです。つまり、Dependencyはオブジェクトのインスタンスを指します。そして、Injectionは外部から挿入するという意味を持つため、DIはオブジェクトのインスタンスを外部から挿入するという事になります。 DIのコード DIの対応前後のサンプルコードで比較を確認します。次のコードは、ブラウザのコンソールに「Saved yamada!」と出力します。実用性はないコードです。 DI対応前 import User from './user' export default class Database { saveUser(
MemoryDB はElastiCache の約1.5倍、Aurora の約1.2倍と若干高価です。 耐久性を重視するMemoryDBはElastiCacheで言うところの「クラスターモード」しか存在しないため、{シャード数} x {ノード数/シャード} x {インスタンス利用費} 分の利用費が発生する点にもご注意ください。 最後に Redisを永続的なデータストアとしても使える Amazon MemoryDB for Redis が爆誕しました。 データ耐久性のトレードオフとして書き込み速度は低下したものの、読み取りの速さはまさにRedisです。 クライアントはRedisコマンドを投げるだけで、MemoryDBが良しなにやってくれるため、使い勝手が良さそうです。 今後はDynamodB+DAXの代替として検討したり、RDB+キャッシュRedisなシステムを MemoryDB に集約すると
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く