ネットワークセキュリティや, GENTOO Linuxによるサーバ運用を中心に, 身の回りの雑多なことについて書いていきます.
2006年10月 1日
MovableType 3.2以降にXSSの脆弱性が見つかったらしい.
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
CVE-2006-5080のことかな.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5080
ということで, 早速, 対策版の3.33にアップデート.
ダウンロード時に使用するIDが, TypeKeyからシックス・アパート ユーザーID (SAID) に
変わったらしいので, 移行登録が必要.
移行登録画面でハマりやすい(?)ところがあるので注意
2006年3月19日
セキュリティホールmemoのメーリングリストで, 商用セキュリティスキャナについて
流れてきた.
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://memo.st.ryukoku.ac.jp/archive/200603.month/index.html
QualysGuardは出てこなかったが, その方はRetinaにおちついていたようである.
http://www.qualysguard.com/products/overview/
http://www.eeye.com/html/products/retina/index.html
私の感想としては, InternetScannerは××だからやめた方がいい.
まず, Signatureが全然追加されないから, 何も見つけることができないし,
数ヶ月遅れで公開される日本語訳は意味不明.
おまけに最低要件のスペックが比較的高い. Pentium 1.2GHz以上 & Mem 512MB以上.
ノートに入れようと思ったら, 新しく買わないといけないじゃないか.
QualysGuard, Retinaはどちらも早くていい.
QualysGuardは数年前はまだ作りが甘かったがよくなった. ただし, 診断結果がQualys社にすべて
送られてしまうのが問題.
RetinaはWindowsが動くPCであればOK. ただ, 現在のところ, Retinaの送信したリクエストと
受け取った応答がレポート内に表示されないのが問題(QualysGuardではできる).
それから, Openなポートが全部はレポートに記載されないのも問題. 近日中に変更されるらしいが.
2005年6月11日
ちょこっと修正してみた.
利用する暗号アルゴリズムを表示するようにしたのと,
ログファイルの出力を変更した.
2005年3月31日
今日で今年度も最後です.
去年に引き続き, 3月は非常に忙しかったなぁ.
記録に, 2004年度にできたところまでのfk-grubverを上げておこう.
fk-grubver-0.10.5.tbz
そのうち, どれが最新版か分からなくなりそうなので, Currentへのリンク.
fk-grubver-current.tbz
2005年3月16日
コネクションがSSL化できない場合, ひたすら待ち続ける問題があったので修正.
fk-grubver-0.10.4.tbz
2005年3月13日
久しぶりの書き込みです.
今までのfk-grubverでは, telnetなどのコネクション確立後に,
バイナリデータでネゴシエーションが必要なプロトコルでは,
無限に待ち続ける状態になることがわかったので, この点を修正.
ついでに, Telnetのバナーもとれるようにした.
2004年11月30日
FireFoxがいいよーなんて会社で話してた矢先に, FireFoxを含むほとんどの
ブラウザに脆弱性が出ちゃいました.
よくわかんないけど, JavaScriptで, Arrayを作ると同時に, sort()するとだめっぽい.
2004年10月18日
Black Hat Japanで, ゲルハルド エッシェルベック(Gerhard Eschelbeck)氏が
講演したらしい. 彼は, 前職で使っていたセキュリティホール診断ツールQualysGuard
を作っているQualys社のCTO.
その講演で, 脆弱性半減期の法則(前から言っていたらしい. 知らなかった)の
動向を披露したらしい.
http://www.itmedia.co.jp/enterprise/articles/0410/15/news019.html
脆弱性が半減するのに, 去年は30日, 今年は21日とのこと.
ただし, 社内限定のサーバに関しては, 60日.
それは実感するね. イントラの診断をすると, ぼこぼこ脆弱性が出るもん.
おまけに, 自分たちで運用しているサーバも, 社内だからって放置することが多々あるし.
勉強になりました.
2004年10月 1日
今までの会社を退職した.
退職手続きのときに, 年金手帳と雇用保険証を渡された.
持ち帰ってみてみると, 同姓の別人のもの.
翌日, 電話をして交渉. 偶然, 本社の近くまでいっていたので,
本社に立ち寄って交換してもらった.
が, こんなに簡単に別人になれてしまうんだね. 脆弱だ...
2004年8月20日
こういう記事を見つけました.
パッチ未適用のWindowsシステム、「生存時間」は約20分
http://www.itmedia.co.jp/enterprise/articles/0408/18/news021.html
要はパッチを当ててないWindowsをインターネットに直結すると,
20分以内にウィルスなどにやられちゃうよってこと.
とはいうものの, 経験からして, パッチを当ててないWindowsに
Personal Firewallを入れて, インターネットに接続した場合,
何ヶ月もやられないとおもう.
もう半年以上, 問題なく動いてるもん. (ヤバいかな?)
2004年7月12日
OWASP(the Open Web Application Security Project, http://www.owasp.org/)から,
Webアプリケーションにおける脆弱性Top 10 (2004年版)がでてます.
Top10 http://www.owasp.org/documentation/topten
Top10の日本語版
http://sourceforge.net/project/showfiles.php?group_id=64424
AppScanで診断したら, よく検出されるものが多いですね.
2004年7月 8日
IPA(情報処理推進機構), JPCERT/CCらが脆弱性情報の取り扱いの支援を開始したらしい.
官報にもでてるじゃん.
http://kanpou.npb.go.jp/20040707/20040707g00148/20040707g001480000f.html
ちょっと前から, パブリックコメントを求めていると思ったら, 突然開始か....
IPA: http://www.ipa.go.jp/about/press/20040708-2.html
JPCERT/CC: http://www.jpcert.or.jp/press/2004/0708.txt
2004年6月28日
LACさんところの脆弱性情報公開のポリシーを見つけた.
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/SNSpolicy.html
こういうことには, やっぱり, ちゃんとしたポリシーが必要だよねー.
ちょっと感心してしまいました.
