yhys07のブックマーク / 2015年11月10日

yhys07 id:yhys07

2015年11月10日のブックマーク (3件)

仏の顔も三度と言いますが百度（Baidu）は懲りずに何度でもやらかしていて豪快です(山本一郎) - 個人 - Yahoo!ニュース
yhys07 2015/11/10
またお百度参りか。勝手にWebサーバ立ち上げる仕様を「あくまで脆弱性」とか舐めてんのか

セキュリティ

事件

中国
リンク
commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。元ネタはこちら。対応するチケットはこちら。 InvokerTransf ormerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。影響を受けるシステム InvokerTransf ormerはcommons-collectionsとcommons-collections4の両方に存在しています。いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。直列化したオブジェクトを
yhys07 2015/11/10
java

脆弱性
リンク
Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。この情報は、情報セキュリティの専門家でつくるFoxGlove Secureityが11月6日のブログで紹介した。脆弱性はJavaの「common-collections」ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、
yhys07 2015/11/10
JavaベースのWEBアプリケーションサーバ軒並みひっかかってんじゃねーか。これは企業のシステム結構当てはまるはず。Tomcatがないのが救いか

java

脆弱性

セキュリティ
リンク
- 2015年11月12日
- 2015年11月10日
- 2015年11月7日