vulnerability

こんにちは、お手伝いの大櫛です。 今回は、rustc/Cargoまわりの脆弱性紹介に引き続き、community crates関連の脆弱性を紹介していきます。 rustcと違い、ある脆弱性一つがRustユーザー全体に影響を与えるものではないため、比較的広くつかわれているcrateのものや、個人的に面白いと思ったものを取り上げます。必ずしも今回の脆弱性すべてがCVSSスコアで言うところのクリティカルなものではないこと、今回紹介した以外にもクリティカルな脆弱性は存在し得ることをご留意ください。 また、筆者の理解不足により、脆弱性の説明において誤った内容を述べている可能性があります。そのような記述を…

こんにちは、お手伝いの大櫛です。 今回はrustcや標準ライブラリ、Cargoについて発見された脆弱性のいくつかを紹介していきます。 Cargoについての補足ですが、一般的なセットアップツールの一つであるrustupを使う場合、rustcとCargoはRust toolchainとして強く結びついています。このため、今回はrustcと共に紹介したいと思います。 念のための注釈として、この文章中の「Rust x.y.z以降」という表現はx.y.z自身を含むものとします。 また、この記事中ではMIT/Apacheでデュアルライセンスされている標準ライブラリの実装コードを一部引用している箇所がありま…

cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…

2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…

承認欲求の本質を理解する 承認欲求とは何か？その心理的背景 他者からの評価と自己認識の違い 承認欲求が強すぎることの影響 承認欲求を抱くことは本当に悪いのか？ 承認欲求を手放すための実践的アプローチ 自分の価値を内在化する方法 他者からの評価に振り回されない考え方 自己受容とセルフコンパッションの重要性 瞑想やマインドフルネスを活用する 精神力を高めるための基盤を築く 精神力と内面的な強さの違い 心のしなやかさを養う 弱さを認めることの力 困難を成長の機会とする思考法 真の精神力を育むための習慣 ポジティブな言葉と行動で自己成長を促す 感情をコントロールし冷静さを保つ方法 失敗や挫折を受け入れ…

前回から約三か月ぶり。OWASP Kansaiのイベントにおじゃましてきました。 https://owasp-kansai.doorkeeper.jp/events/179740 会場は京都産業大学。おうちからだと、どんぶり勘定で片道2時間半以上。 それなりに早目に出かけたのですが、道中に立ち寄った京都駅がトラップ。 年末年始休暇初日ということで、買い物客や観光客が多いだろうなというのは予想していましたが、今日はこれに加えて新幹線のトラブルが直撃。 https://www.nikkei.com/nkd/company/article/?DisplayType=1&ng=DGXZQOUE2809…

なんで、能登(のと)半島の、地震による復興が、なかなか進まないのだろうか。 能登半島の復興がなかなか進まずにおくれているのは色々な要因があるのにちがいない。体系(system)としてみれば、色々な要因を見て行くことがなり立つ。 一つの要因としては、可傷性(vulnerability)をあげることがなり立つ。地域としての可傷性が高いのが能登半島だ。 傷を受けやすい地域に、大きな地震がおきた。傷を負いやすい地域だから、深い傷になっていて、なかなか復興がすすまない。おくれている。 なんで能登半島が、地域として可傷性が高いのかといえば、原子力発電の政策と関わる。原子力発電所を建てるのをこばんだのが能登…

2024年12月26日に、QYResearchは「危険・脆弱性緊急管理―グローバル市場シェアとランキング、全体の売上と需要予測、2024～2030」の調査資料を発行しました。本報告書は、危険・脆弱性緊急管理の世界市場を分析し、主要企業の売上、動向、市場規模、市場シェア、ランキングなどを掲載しています。また、地域別、国別、製品タイプ別、用途別に市場を分析しています。2019-2030年の売上に基づいて、危険・脆弱性緊急管理の市場規模を推計と予測しています。企業が事業成長戦略を策定し、競争環境を評価し、市場ポジションを分析し、危険・脆弱性緊急管理関連情報に基づくビジネス上の意思決定を行うのに役立つ…

こんにちは。ソフトウェアエンジニアの id:masutaka26 です。 最近 ROUTE06 では、Giselle と Liam というプロダクトを OSS 化しました。 https://github.com/giselles-ai/giselle https://github.com/liam-hq/liam 本記事では、ROUTE06 の OSS 推進室が OSS 化の際に作成し実際に使用した、「OSS 公開チュートリアル」を公開します。一部、内部リンクへの参照などは削除しています。 👉 ROUTE06 の OSS 推進室は Open Source Program Office (OSP…

こんにちは。富士通のデータ＆セキュリティ研究所の牛田芽生恵です。 富士通では複数のビデオ映像を利用したマルチカメラトラッキングの研究開発をしています。 また、ビデオ映像を用いた行動分析技術にも力を入れています。 ビデオ映像を利活用する際に大切なことのひとつは、ビデオに映る生活者のみなさんのプライバシーをしっかりと守ることです。 しかし、ビデオ映像に対するプライバシー保護手法は、世の中に多数存在するものの、場当たり的な手法が多く、攻撃とのいたちごっこが続いています。というのも、どのような手法でプライバシーを保護すれば、どのような性質のプライバシーが、どの程度守られるのかという定量的な評価がなされ…

この記事は、 NTT Communications Advent Calendar 2024 24日目の記事です。 システムを運用していると日々のアラートメールへの対応の手間を減らしたいと感じることはありませんか？ 例えばセキュリティアラートに日々対応している運用者の方は、アラートの中に含まれる誤検知・過検知への対応に負担を感じている方も多くいらっしゃると思います。 この記事では、そのような誤検知・過検知対応の負担を削減するためにサーバーの脆弱性通知メールの一次切り分けを、マイクロソフト社が提供しているローコードツールであるPower Automateを使って自動化した話を紹介します。 はじめ…

Path of Exile 2（以下、PoE2）は海外のプレイヤーが多く、英語のほうが多くのビルド情報に触れることができます。しかし日本語環境でプレイしているとゲーム内用語の日本語⇔英語の対応関係まで覚えるのは難しいこともあります。この記事では、PoE2でビルドの根幹ともいえるジェムを一覧にし、和英対訳表としてまとめました。 スキルジェム 凡例 出典 まとめ スキルジェム 日本語 英語 ボーンシャッター（スキル効果詳細）アタック, 範囲効果, 近接, ストライク Boneshatter（スキル効果詳細）Attack, AoE, Melee, Strike アースクエイク（スキル効果詳細）アタッ…

Global Cybersecurity Camp 2025(以下GCC2025) の選考に通過したので, 選考の際に提出した課題についてインターネット上に残しておくことにする. 原文をそのままコピペしてもいいのだが, せっかくなので所感を交えておく. 誰かの何かにとって参考になれば幸いである. 2024年12/18日現在, アドベントカレンダーに間に合わせるために急ぎで書いている. 本エントリは, 後に修正される可能性が大いにあることに留意されたし. 基本方針 GCCについての説明文を読む限り, 講義やコミュニケーションは全部英語で行われるらしい. であればまあ課題もできるだけ英語で書いてお…