オープンソースな製品でどうセキュリティバグをハンドルするか?
Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日本のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit時
(Last Updated On: 2018年8月18日)徳丸さんから「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい 」とあったのでツイッターで返信するには少し長いのでこちらに書きます。まだ直していない脆弱性を詳しく解説するのはあまりよくないのですが、今なら影響を受けるアプリはほぼないと思うので構わないでしょう。 まず前提として、Webサーバと同様にJavascriptからもクッキーが設定できます。Javascriptインジェクションに脆弱なコードがサイトに1つでもあると、サイト上のセッションアダプション脆弱性をもつアプリへの攻撃が可能になります。この攻撃を緩和する対策もありますが、それはそれ、これはこれなので省略します。 セッションアダプションに脆弱なセッション管理機構で困る代表的な
Posted on: 2011/11/18 CakePHP セキュリティ対策について考える(SQLインジェクション、XSS、CSRF) 概要 SQLを使って不正にデータベースを操作する攻撃 攻撃例 ユーザー名とパスワードを入力してログインする処理があるとする。 username と password の組み合わせが、データベースのものと一致すれば認証するという仕組みだとする。 SELECT * FROM users WHERE username='$username' AND password='$password' ここで、($username: admin, $password: ' OR 'a'='a)と入力すると、SQLは以下のようになる。 SELECT * FROM users WHERE username='admin' AND password='' OR 'a'='a' こ
http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマのセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。 それでこれだよ。 http://d.hatena.ne.jp/essa/20080130/p1 もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけ
この脆弱性は2012年5月7日にリリースされた MySQL バージョン 5.1.63 と 5.5.24 において修正されました。認証時に指定するパスワードは何でもよく、認証要求を繰り返すと一定確率でログインが可能というかなり奇妙な脆弱性です。すべての環境において発生するわけではありませんが、攻撃成立時には深刻な影響を受けます。 該当するバグチケットは以下です。リリースバージョンも同様の修正でした。 MySQL Bugs: #64884: logins with incorrect password are allowed Rapid7 により PoC や影響が確認された環境等が纏められています。 CVE-2012-2122: A Tragically Comedic Security Flaw in MySQL アプリケーションに対するコード修正は1行のみ、発生する環境が限られている、非常
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ソフトウェアの脆弱(ぜいじゃく)性をソースコードで検査し、問題箇所や修正方法のレポートを出力するソースコードセキュリティ検査ツール「iCodeChecker(アイコードチェッカー)」を開発し、2012年5月8日からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/iCodeChecker/index.html 近年、ソフトウェアの脆弱性を悪用する攻撃やそれによる被害が継続的に報告されており、ソフトウェアベンダーにおいては、脆弱性を極力低減させる安全なソフトウェア開発が求められています。その為には、「脆弱性を作り込まない」「脆弱性を確実に取除く」ことが重要になります。その一つの有力な手段に、ソースコード検査技術があります。一部の企業では本技術を開発工程に取り入れて
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
しばしば、「○○というプログラミング言語は△△に比べて安全だ」「Webプログラミングの分野において最も安全な言語は何?」といった主張が繰り広げられることがある。これに対しSecurity Ninjaが「どの言語を選択しても関係ない、(なぜなら)それらは等しくセキュアでないからだ!」と反論している。 記事ではWhite Hat Securtyの統計レポート を元に、「どの言語も脆弱性がある入力の割合は大差なし」「かつて重要な脆弱性があったWebサイトの割合はどの言語でも70~80%台」「現在でも脆弱性があるWebサイトの割合はどの言語でも50~70%台」といったデータが示されている。このデータではPerlで実装されたWebサイトについて若干脆弱性が多いように見えるものの、結論としては「どの言語も等しくセキュアでない」とのことで、「セキュアなコードはセキュアな開発プロセスや開発者に対するセキュ
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
ダウンロード このコンテンツは、「セキュア・プログラミング講座 Webアプリケーション編」を元にした 3回コースのセミナー講座形式のテキストおよび補助資料であり、次の6つのファイルから成る。 講座テキスト「はじめに - 脆弱性の分類と開発工程」 講座テキスト「第1回 要件定義工程における保護対象の識別が重要である対策」 講座テキスト「第2回 設計工程における考慮が重要である対策」 講座テキスト「第3回 主に実装工程で実施する対策」 Webアプリケーション脆弱性対策チェックリスト 用語解説 品質保証部門向けコンテンツ この講座は、「上流から保証する脆弱性予防」と題して、Webアプリケーション開発に関わる品質保証部門に向けた脆弱性対策解説とチェックリストを提供するものである。この内容は、「セキュア・プログラミング講座 Webアプリケーション編」で取り上げた脆弱性対策に、脆弱性の特性を考慮した工
昨年も取りまとめられていた「最も危険なプログラミングエラーTop 25」の2010年版が発表された(本家/.記事)。 2010年版で一番のエラーとされたのは、クロススクリプティングを引き起こし得る「ウェブサイトの設計不備」。その後にSQLインジェクションの原因となる「SQLクエリの保護不備」、バッファオーバーフローの原因となる「メモリバッファ境界チェックの不備」と続く。このTop 25のエラーは、最近中国で起きたGoogleへの大規模サイバー攻撃や、その他軍用システムから一般ユーザまでを対象とした大小様々なサイバー攻撃の多くで悪用されているとのこと。 今回のレポートでは、製品のセキュリティに対して開発者らが責任を負うよう消費者が声を挙げるべきであると推奨している。「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負う」ようベンダーに求
NTT情報流通プラットフォーム研究所は2010年1月8日、RSA暗号に代表される公開鍵暗号で安全性の根拠となる「素因数分解問題」において、欧州の研究機関と共同で768ビット整数(10進数表示では232桁)の素因数分解に成功したと発表した(写真1)。今回の成果は、鍵長768ビットの公開鍵暗号がどのくらいの計算能力と時間をかければ解読できるのかという安全性の指標を数量的に示したことにある。 分解に成功したのはNTTのほか、スイス連邦工科大学ローザンヌ校(EPFL)、ドイツのボン大学、フランスの国立情報学自動制御研究所(INRIA)、オランダの国立情報工学・数学研究所(CWI)。今回の分解法は一般数体篩(ふるい)法と呼ぶもので、どのような整数の素因数分解にでも適用できる方式である。 分解に要した計算資源は1700コア・年としている。デュアルコアのCPUを搭載したコンピュータなら、850台程度あれ
1995年を「95年」と表記するなど、年数の表記を西暦の下2桁のみで行っている一部のコンピュータで、「2000年(00年)」を「1900年」と解釈してしまった結果、コンピュータが誤作動する可能性があるとされた「2000年問題(Y2K問題)」が1990年代末に世界を騒がせましたが、オーストラリアで2010年を迎えた途端、金融システムにエラーが発生したそうです。 どうやら10年遅れる形で「2000年問題」で懸念されていた事態が到来してしまったことになりますが、いったいどうなっているのでしょうか。 詳細は以下から。 Bank error costs retailers > Inside Retailing > Articles page この記事によると、オーストラリアのクイーンズランドにある銀行のシステムが2010年1月1日を迎えた途端、なぜか日付を「2016年1月1日」であると誤認識してしま
「学生が開発したコードが,Ruby本体に取り込まれ,Linuxカーネル・メーリング・リストにも投稿された」(プログラミングコース 主査 よしおかひろたか氏)---。経済産業省(経産省)などは2009年8月12日から16日まで,学生が合宿形式でIT技術を学ぶ「セキュリティ&プログラミングキャンプ2009」を開催した。 「セキュリティ&プログラミングキャンプ2009」は,経産省が独立行政法人 情報処理推進機構(IPA),財団法人 日本情報処理開発協会(JIPDEC),NPO 日本ネットワークセキュリティ協会と共催しているイベント。2004年に「セキュリティキャンプ」として始まり,2008年からプログラミングコースを新設し,「セキュリティ&プログラミングキャンプ」になった。今年は,書類選考で選ばれた中学生から大学生までの61名が参加した。 このキャンプの大きな特徴は,講師全員が第一線で活躍する著
》 日本医師会 市民公開講座「新型インフルエンザ(H1N1)の教訓」 (日本医師会)。 2009.09.05、東京都文京区、無料。taka さん情報ありがとうございます。 》 NGNのIPv6接続方式が固まる,申請通りトンネルとネイティブの2案が認可へ (日経 IT Pro, 7/29) 》 IMSS 7.0 Linux 版 Service Pack 1 Patch 1 の公開が再開されています。藤井さん情報ありがとうございます。 》 Common Management Agent / McAfee Agent とその役割について (マカフィー, 7/31) 》 ASISインターナショナル日本支部、次回のセキュリティミーティング (2009.08.18) は「お詫びHPの分析−横浜市の事例を中心として」だそうで。 》 マグナ・カルタとアンネ・フランクの日記を世界記憶遺産に登録:UNESCO
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
