2004年 9月 30日
■Nucleus CMS 3.1以前に、悪意あるリダイレクトにより不正な管理操作をさせられてしまう脆弱性
こういう時に限って見つかるんだよなぁ。
後で変更箇所を確認するようにメモしておこう。
- ITmedia: Nucleus CMSにCookie盗用セキュリティホール、フィクスした開発バージョンを公開
- Nucleus CMS v3.1+ CVS /w patch1(Update 2004/09/29)
- attacking MT 1
普通cookie盗用とかセッションハイジャックというのとは微妙に違う気がするけどなぁ>ITmedia記事。ちゃんと確認したわけではないけど、
- 攻撃者は、管理操作用のURLに悪意あるパラメータを埋め込んだリダイレクトページを作成して、トラップとしてコメント投稿などにそのURLを埋め込む。
- 管理者ログイン中のユーザがそのリンクを踏むと、自動的に意図しない管理操作が発動してしまう。
ということかな?
コメントなし
Translate (en)2004年 9月 28日
■GDI+のJPEG問題と似たケース
そういえば、GTK+にもXPM画像処理におけるヒープオーバフロー脆弱性が報告されていました。
普及度の違いからあまり騒がれていないわけですが、他の形式の画像、画像だけでなく他形式のファイルでも同じ問題はまだまだ隠れていそうな気がするなぁ。
2004年 9月 24日
■Google Toolbar About Page Cross-Domain Command Execution
Google Toolbarでも脆弱性が見つかってるみたい。
インストールされたアドオンの生成するAboutページにスクリプトを挿入することができてしまうため、マイコンピュータゾーンでのスクリプト実行が可能になってしまっているという問題のようで。悪意あるリンクに誘導されると危険なコードを実行させられてしまいますね。
Bugtraqに実証コードがポストされているとのこと。
Googleからはまだアナウンスなどは見当たらないようで。
最新版では、実は修正されているという話もあるみたい。
- Akira's Blogs: 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性
まぁ、Google Toolbarは自動アップデートされるようになっているので、そういうものは対策版がリリースされれば順次更新されていくのでしょうが、さて他のアドオンツールではどうなんでしょうかね。
参考:
- --- コメント 1件 [ 全文表示 ] ---
- みゃ~ : うちのMLもでてたね。この話題。(だいぶ前)
■9月のMicrosoft定例セキュリティアップデートに関しての備忘録
埋もれているうちに過ぎ去っていった感がある、9月の月刊定例アップデートだったのですが、一応自分用のメモのみ作成しておくことに。
[全文を読む...]2004年 9月 22日
■Javaランタイム環境の脆弱性を悪用するウイルス
が出回っているらしいですね。
Windows UpdateはしていてもJava周りはそのまんまとかいうケースはありがちといえばありがち。
JREもJavaUpdateというのがあるにはあるけど、ランタイムと一緒にSDKも入れてる場合、SDKの方はアップデートされないから、ま、こまめに確認しなきゃ、ですね。
■Osiris 4.0.5 RC1
ダウンロードできるようになっているそうです(osiris-4.0.5-rc1.tar.gz)。バグ修正メインのようで。アナウンスによると、
- 比較データベース差分の自動受け入れをオンにしている場合には、通知メールにURLを入れないように修正
- "checking schedules"ログをWindowsビルドから除去
- test-notify メッセージヘッダに余計なCRLFが入るバグ(の修正?)
- スケジューラプロンプトでのタイムゾーンの問題を修正
- 権限分離をしていないUNIXプラットホームにおいて、rootpriv_fopenコールが解決されない問題を修正
- configure によるコンパイルオプション設定の変更やコメントスタイルの修正
- インストーラスクリプトやWindows版インストーラの修正
- Windows 用のkmodのステータスフィールドに数字だけでなく説明などが入るようになった
- print-configがコンフィグ名称をプリントしない場合があったというバグの修正
- 管理設定にadmin email設定が追加された
といったところのようです。
しばらくは入れ替えるとかいう暇はないなぁ。
9/28追記:
正式リリースされている。
2004年 9月 21日
- --- コメント 2件 [ 全文表示 ] ---
- 15 : 10時に掃除? あ゛ーーー休みだったのかぁ!!! ずるぅーい。(ぇ
- seculogger : 別に書き込んでる時間に掃除してるわけちゃうって(w
2004年 9月 16日
2004年 9月 13日
■貨幣博物館: あたらしい日本銀行券 ~最新技術ココにあり!~
もうすぐ新券発行が始まるわけですが、それに絡めての企画展だそうです。発行前に偽造防止技術が詳しく公開されるのはこれまでにはなかったことだそうで。
今朝のめざましテレビでも、「偽造防止技術は使う人が詳しく知っていてこそ、見分けが付けられるもの」といってましたが、本当にそのとおりですね。なんだか色々参考になりそうなので、展示期間中に一度は見にいってみたいです。
■Iptables チュートリアル 1.1.19 全文訳 1.0.0
久しぶりにiptables周りの設定を確認しなければならなくなって探し物をしていたらばったり行き当たった翻訳文書。素晴らしいです。
文書を公開されているサイトの方針として、
- たまたまうまく動いたからといって、その設定やコマンドの意味が分からないまま使うのは意味がない。納得できるまで調べる。
- やったことのないことは書かない。知ったかぶりはしない。
- 検証できていないことは書かない。
というのを掲げられています。当たり前のようで実践するには結構な努力が必要だと、最近つくづく思ったりしているところ。肝に銘じたいです。
2004年 9月 12日
■MySQL 4.0.21 has been released
バグフィックス多数。
ということで、このサイトのMySQLも4.0.21にアップデート。
RPM管理だとSource RPMからリビルドしても大抵一発なので、管理面からすると楽でいいわけだけど、あんまり中身を気にしなくなってしまって無いスキルがさらになくなってく弊害は何とかしないとな。
追記:
上記のリリース文を見ていてふと思ったのだけど、CVE CAN-2004-0457の件についてそれらしき記述が見当たらない。これって直ってないのか?と思ってdiff 取ってみると。。。ちゃんとFile::Temp使うように直してある。
ソースのChangeLogの方にも04/07/09付けで手を入れている記録が残っている。普通はアドバイザリが出るようなものは、リリース文にも載せるものだと思うんだけどな。
■BASE - Basic Analysis and Security Engine
snortのログ解析用Webインターフェース。メンテナンスが止まっているACIDを引き継いでいるものの様子。
スクリーンショット見ても分かりますが、設定・使い方はほとんどACIDそのまま。DBアクセスはACIDに比べて心なしか早くなっている感じがしますが、まだそれほど手は入っていないのかな。
2004年 9月 11日
■XP SP2の新機能: Controlling block storage devices on USB buses
Jerry's Security Weblog: Controlling block storage devices on USB busesより。
XP SP2以降で追加されたUSBストレージデバイス制御設定。
キー: HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Control\StorageDevicePolicies
値の名前: WriteProtect
値(DWORD): 0=書き込み許可(デフォルト)/1=書き込み禁止
本来であれば、DVD系も含めたリムーバブルメディアの統一的な制御ポリシーがほしいところなのですが。
9/13追記:
ちなみに読み書き共に禁止したい場合は、UsbStorドライバを無効化すればよい。この辺にTipsとして紹介されていますね。
- MYCOM PC WEB: Windows XPスマートチューニング - 第117回USBメモリデバイスを無効にする
2004年 9月 09日
■Foundstone: Hacme Bank
Foundstone謹製だめ銀行Webサイトのサンプル(ぉ。
SQLインジェクションやクロスサイトスクリプティングといった広く知られた脆弱性を複数作りこんだサンプル銀行サイトとのこと。IIS + .NET Framework 1.1 + SQL Server 2000で動作するらしい。Webアプリ設計・開発者、セキュリティ専門家向けの実践教材といったところでしょうか。
ホーム
アーカイブ
管理画面