2006年10月 1日

MovableType 3.33公開

MovableType 3.2以降にXSSの脆弱性が見つかったらしい.
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
CVE-2006-5080のことかな.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5080

ということで, 早速, 対策版の3.33にアップデート.

ダウンロード時に使用するIDが, TypeKeyからシックス・アパート ユーザーID (SAID) に
変わったらしいので, 移行登録が必要.
移行登録画面でハマりやすい(?)ところがあるので注意

続きを読む "MovableType 3.33公開"

2006年3月19日

商用セキュリティスキャナ on セキュリティホールmemo ML

セキュリティホールmemoメーリングリストで, 商用セキュリティスキャナについて
流れてきた.
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://memo.st.ryukoku.ac.jp/archive/200603.month/index.html

QualysGuardは出てこなかったが, その方はRetinaにおちついていたようである.
http://www.qualysguard.com/products/overview/
http://www.eeye.com/html/products/retina/index.html

私の感想としては, InternetScannerは××だからやめた方がいい.
まず, Signatureが全然追加されないから, 何も見つけることができないし,
数ヶ月遅れで公開される日本語訳は意味不明.
おまけに最低要件のスペックが比較的高い. Pentium 1.2GHz以上 & Mem 512MB以上.
ノートに入れようと思ったら, 新しく買わないといけないじゃないか.

QualysGuard, Retinaはどちらも早くていい.
QualysGuardは数年前はまだ作りが甘かったがよくなった. ただし, 診断結果がQualys社にすべて
送られてしまうのが問題.
RetinaはWindowsが動くPCであればOK. ただ, 現在のところ, Retinaの送信したリクエストと
受け取った応答がレポート内に表示されないのが問題(QualysGuardではできる).
それから, Openなポートが全部はレポートに記載されないのも問題. 近日中に変更されるらしいが.

続きを読む "商用セキュリティスキャナ on セキュリティホールmemo ML"

2005年6月11日

fk-grubver 0.11.0

ちょこっと修正してみた.
利用する暗号アルゴリズムを表示するようにしたのと,
ログファイルの出力を変更した.

fk-grubver 0.11.0

2005年3月31日

fk-grubver 0.10.5

今日で今年度も最後です.
去年に引き続き, 3月は非常に忙しかったなぁ.

記録に, 2004年度にできたところまでのfk-grubverを上げておこう.
fk-grubver-0.10.5.tbz

そのうち, どれが最新版か分からなくなりそうなので, Currentへのリンク.
fk-grubver-current.tbz

2005年3月16日

fk-grubver 0.10.4

コネクションがSSL化できない場合, ひたすら待ち続ける問題があったので修正.
fk-grubver-0.10.4.tbz

2005年3月13日

fk-grubver 0.10.3

久しぶりの書き込みです.

今までのfk-grubverでは, telnetなどのコネクション確立後に,
バイナリデータでネゴシエーションが必要なプロトコルでは,
無限に待ち続ける状態になることがわかったので, この点を修正.


fk-grubver-0.10.3.tbz

ついでに, Telnetのバナーもとれるようにした.

2004年11月30日

Firefoxを含むブラウザに脆弱性

FireFoxがいいよーなんて会社で話してた矢先に, FireFoxを含むほとんどの
ブラウザに脆弱性が出ちゃいました.
よくわかんないけど, JavaScriptで, Arrayを作ると同時に, sort()するとだめっぽい.

2004年10月18日

脆弱性半減期の法則

Black Hat Japanで, ゲルハルド エッシェルベック(Gerhard Eschelbeck)氏が
講演したらしい. 彼は, 前職で使っていたセキュリティホール診断ツールQualysGuard
を作っているQualys社のCTO.

その講演で, 脆弱性半減期の法則(前から言っていたらしい. 知らなかった)の
動向を披露したらしい.
http://www.itmedia.co.jp/enterprise/articles/0410/15/news019.html

脆弱性が半減するのに, 去年は30日, 今年は21日とのこと.
ただし, 社内限定のサーバに関しては, 60日.

それは実感するね. イントラの診断をすると, ぼこぼこ脆弱性が出るもん.
おまけに, 自分たちで運用しているサーバも, 社内だからって放置することが多々あるし.
勉強になりました.

2004年10月 1日

なりすましは簡単

今までの会社を退職した.

退職手続きのときに, 年金手帳と雇用保険証を渡された.
持ち帰ってみてみると, 同姓の別人のもの.

翌日, 電話をして交渉. 偶然, 本社の近くまでいっていたので,
本社に立ち寄って交換してもらった.

が, こんなに簡単に別人になれてしまうんだね. 脆弱だ...

続きを読む "なりすましは簡単"

2004年8月20日

生存可能時間

こういう記事を見つけました.
パッチ未適用のWindowsシステム、「生存時間」は約20分
http://www.itmedia.co.jp/enterprise/articles/0408/18/news021.html

要はパッチを当ててないWindowsをインターネットに直結すると,
20分以内にウィルスなどにやられちゃうよってこと.

とはいうものの, 経験からして, パッチを当ててないWindowsに
Personal Firewallを入れて, インターネットに接続した場合,
何ヶ月もやられないとおもう.
もう半年以上, 問題なく動いてるもん. (ヤバいかな?)

2004年7月12日

Webアプリの脆弱性Top 10

OWASP(the Open Web Application Security Project, http://www.owasp.org/)から,
Webアプリケーションにおける脆弱性Top 10 (2004年版)がでてます.

Top10 http://www.owasp.org/documentation/topten
Top10の日本語版
http://sourceforge.net/project/showfiles.php?group_id=64424

AppScanで診断したら, よく検出されるものが多いですね.

2004年7月 8日

脆弱性情報届出制度, 本日開始

IPA(情報処理推進機構), JPCERT/CCらが脆弱性情報の取り扱いの支援を開始したらしい.
官報にもでてるじゃん.
http://kanpou.npb.go.jp/20040707/20040707g00148/20040707g001480000f.html

ちょっと前から, パブリックコメントを求めていると思ったら, 突然開始か....

IPA: http://www.ipa.go.jp/about/press/20040708-2.html
JPCERT/CC: http://www.jpcert.or.jp/press/2004/0708.txt

続きを読む "脆弱性情報届出制度, 本日開始"

2004年6月28日

脆弱性情報公開のポリシー

LACさんところの脆弱性情報公開のポリシーを見つけた.
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/SNSpolicy.html

こういうことには, やっぱり, ちゃんとしたポリシーが必要だよねー.
ちょっと感心してしまいました.