ラベル セキュリティ(脆弱性) の投稿を表示しています。 すべての投稿を表示
ラベル セキュリティ(脆弱性) の投稿を表示しています。 すべての投稿を表示

2006/10/01

MovableType 3.33公開

MovableType 3.2以降にXSSの脆弱性が見つかったらしい.
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
CVE-2006-5080のことかな.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5080

ということで, 早速, 対策版の3.33にアップデート.

ダウンロード時に使用するIDが, TypeKeyからシックス・アパート ユーザーID (SAID) に
変わったらしいので, 移行登録が必要.
移行登録画面でハマりやすい(?)ところがあるので注意

2006/03/19

商用セキュリティスキャナ on セキュリティホールmemo ML

セキュリティホールmemoメーリングリストで, 商用セキュリティスキャナについて
流れてきた.
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://memo.st.ryukoku.ac.jp/archive/200603.month/index.html

QualysGuardは出てこなかったが, その方はRetinaにおちついていたようである.
http://www.qualysguard.com/products/overview/
http://www.eeye.com/html/products/retina/index.html

私の感想としては, InternetScannerは××だからやめた方がいい.
まず, Signatureが全然追加されないから, 何も見つけることができないし,
数ヶ月遅れで公開される日本語訳は意味不明.
おまけに最低要件のスペックが比較的高い. Pentium 1.2GHz以上 & Mem 512MB以上.
ノートに入れようと思ったら, 新しく買わないといけないじゃないか.

QualysGuard, Retinaはどちらも早くていい.
QualysGuardは数年前はまだ作りが甘かったがよくなった. ただし, 診断結果がQualys社にすべて
送られてしまうのが問題.
RetinaはWindowsが動くPCであればOK. ただ, 現在のところ, Retinaの送信したリクエストと
受け取った応答がレポート内に表示されないのが問題(QualysGuardではできる).
それから, Openなポートが全部はレポートに記載されないのも問題. 近日中に変更されるらしいが.

2005/03/31

fk-grubver 0.10.5

今日で今年度も最後です.
去年に引き続き, 3月は非常に忙しかったなぁ.

記録に, 2004年度にできたところまでのfk-grubverを上げておこう.
fk-grubver-0.10.5.tbz

そのうち, どれが最新版か分からなくなりそうなので, Currentへのリンク.
fk-grubver-current.tbz

2005/03/13

fk-grubver 0.10.3

久しぶりの書き込みです.

今までのfk-grubverでは, telnetなどのコネクション確立後に,
バイナリデータでネゴシエーションが必要なプロトコルでは,
無限に待ち続ける状態になることがわかったので, この点を修正.


fk-grubver-0.10.3.tbz


ついでに, Telnetのバナーもとれるようにした.

2004/11/30

Firefoxを含むブラウザに脆弱性

FireFoxがいいよーなんて会社で話してた矢先に, FireFoxを含むほとんどの
ブラウザに脆弱性が出ちゃいました.
よくわかんないけど, JavaScriptで, Arrayを作ると同時に, sort()するとだめっぽい.

2004/10/18

脆弱性半減期の法則

Black Hat Japanで, ゲルハルド エッシェルベック(Gerhard Eschelbeck)氏が
講演したらしい. 彼は, 前職で使っていたセキュリティホール診断ツールQualysGuard
を作っているQualys社のCTO.

その講演で, 脆弱性半減期の法則(前から言っていたらしい. 知らなかった)の
動向を披露したらしい.
http://www.itmedia.co.jp/enterprise/articles/0410/15/news019.html

脆弱性が半減するのに, 去年は30日, 今年は21日とのこと.
ただし, 社内限定のサーバに関しては, 60日.

それは実感するね. イントラの診断をすると, ぼこぼこ脆弱性が出るもん.
おまけに, 自分たちで運用しているサーバも, 社内だからって放置することが多々あるし.
勉強になりました.

2004/08/20

生存可能時間

こういう記事を見つけました.
パッチ未適用のWindowsシステム、「生存時間」は約20分
http://www.itmedia.co.jp/enterprise/articles/0408/18/news021.html

要はパッチを当ててないWindowsをインターネットに直結すると,
20分以内にウィルスなどにやられちゃうよってこと.

とはいうものの, 経験からして, パッチを当ててないWindowsに
Personal Firewallを入れて, インターネットに接続した場合,
何ヶ月もやられないとおもう.
もう半年以上, 問題なく動いてるもん. (ヤバいかな?)

2004/07/12

Webアプリの脆弱性Top 10

OWASP(the Open Web Application Security Project, http://www.owasp.org/)から,
Webアプリケーションにおける脆弱性Top 10 (2004年版)がでてます.

Top10 http://www.owasp.org/documentation/topten
Top10の日本語版
http://sourceforge.net/project/showfiles.php?group_id=64424

AppScanで診断したら, よく検出されるものが多いですね.

2004/07/08

脆弱性情報届出制度, 本日開始

IPA(情報処理推進機構), JPCERT/CCらが脆弱性情報の取り扱いの支援を開始したらしい.
官報にもでてるじゃん.
http://kanpou.npb.go.jp/20040707/20040707g00148/20040707g001480000f.html

ちょっと前から, パブリックコメントを求めていると思ったら, 突然開始か....

IPA: http://www.ipa.go.jp/about/press/20040708-2.html
JPCERT/CC: http://www.jpcert.or.jp/press/2004/0708.txt

2004/06/28

脆弱性情報公開のポリシー

LACさんところの脆弱性情報公開のポリシーを見つけた.
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/SNSpolicy.html

こういうことには, やっぱり, ちゃんとしたポリシーが必要だよねー.
ちょっと感心してしまいました.