OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー（sshd）コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

「VMware製品を扱うリセラーから、突然ライセンスの契約更改を迫られた」「実質年間1億円の値上げになるシステムもあり、どうしたものか困っている」。2024年5月、日経クロステックに大手金融機関で情報システム部門の管理職を務めるA氏から悲鳴の声が寄せられた。 きっかけは2024年4月。同社の香港拠点から日本本社に対し、「VMware製品のライセンス変更の通知メールが来ており、どう対応すべきか悩んでいる」との相談が届いた。米国や欧州、東南アジアなどの拠点にも、同様の通知があったという。 変更の影響を試算したところ「現状と比べて最大20倍の値上げになるものもあった」（A氏）。中には「1週間以内に応じない場合、さらなる値上げに踏み切る」といった「半ば脅しのような内容もあった」（同）という。 海外拠点からの相談を受けて、同社が国内本社の状況を調べたところ、同社グループのシステム関連会社宛てにも、国

Design Guidelines and Models - Lecture 5 - Human-Computer Interaction (1023841ANR)

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正（当時）の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。 CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性 CVE-2023-20273 が悪用されていることも判明しました。同社は CVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。 脆弱性 CVE-2023-20198 / CVE-2023-20273 の概要 Cisco社の複数のネットワーク製品に搭載されているCisco IOS

現在、Webアプリの約60％がHTTP/2を採用しているという。 新たな攻撃は、何十万ものリクエストを作成し、すぐにキャンセルすることで機能するとCloudflareは説明した。リクエスト／キャンセルのパターンを大規模に自動化することでWebサイトを停止に追い込む。 3社は、HTTP/2を採用するプロバイダーに対し、可能な限り早くセキュリティパッチを適用するよう呼びかけた。 クライアントによるこの攻撃への最善策は、利用可能なすべてのHTTPフラッド保護ツールを使用し、多面的な緩和策でDDoS耐性を強化することだとしている。 Cloudflareは、8月の攻撃について今報告するのは、「可能な限り多数のセキュリティベンダーに対応の機会を与えるため、情報を制限してきた」と説明した。 HTTP/2 Rapid Reset Attackの詳しい説明などは、以下の「関連リンク」の各社の公式ブログを参照

2023年10月10日、全国銀行資金決済ネットワークは、同社が運用している全国銀行データ通信システムでシステム障害が発生したことを公表しました。この障害の影響により一部の金融機関で送金遅延などが生じました。ここでは関連する情報をまとめます。 560万件の取引に影響 障害が起きたのは全国銀行資金決済ネットワーク（全銀ネット）が運用する全国銀行データ通信システム（全銀システム）のうち、平日8時半から15時半まで稼働するコアタイムシステムで金融機関との接続に使用される中継コンピューター（RC）。障害は10月10日8時半に発生し、10月12日未明に復旧に向けた対応が完了、同日8時半の切替完了したことで復旧した。*1 全銀システムは1,000超の金融機関が参加しており、1営業日当たりの取引件数は2022年実績で約806万件、約14兆円。*2 今回のシステム障害により金融機関間で行われる送金に遅延や取

スタディスト 技術支援ユニットの笹木 (@s_sasaki_0529) です。 2022年上半期、およそ500コンポーネントを持つ Vue 2 プロダクトである Teachme Biz を、半年間に渡る単独作業を経て、 Vue 3 に移行することに成功しました。 本記事では、私達がどのようにして、機能開発は止めずにバージョンアップや破壊的変更への対応を行えたのかを簡単に振り返ろうと思います。 昨年の TypeScript 移行の次のステップとして、今年は Vue 3 移行を実現することにより、相乗効果でのフロントエンド開発体験の向上を実現しました。 モチベーションTeachme Biz をVue 3 に移行するモチベーションは概ね以下になります。 モダンブラウザに合わせてリアーキテクチャリングされた Vue 3 の恩恵を受けることVue 2 への機能追加・改修が 2.7 で終了してしまった

「OS標準のDockerが古すぎる・・・」 「Ubuntu 22.04 LTSに最新版Dockerをインストールしたい」 このような場合には、この記事の内容が参考となります。 この記事では、Ubuntu 22.04 LTSに最新版Dockerをインストールする方法を解説しています。 本記事の内容 Ubuntu 22.04におけるOS標準のDockerUbuntu 22.04における最新版Dockerのパッケージ取得Ubuntu 22.04への最新版DockerのインストールDockerの動作確認 それでは、上記に沿って解説していきます。 Ubuntu 22.04におけるOS標準のDocker Ubuntuには、OS標準のソフトウェアが存在しています。 ApacheやNginxなどには、OS標準のソフトウェアが存在します。 そして、DockerにもOS標準のソフトウェアは存在しています。 $

Some microprocessors from Intel and AMD are vulnerable to a newly discovered speculative execution attack that can covertly leak password data and other sensitive material, sending both chipmakers scrambling once again to contain what is proving to be a stubbornly persistent vulnerability. Researchers from ETH Zurich have named their attack Retbleed because it exploits a software defense known as

Bulletin ID: AMD-SB-1037 Potential Impact: Information disclosure, arbitrary speculative code execution Severity: Medium Summary This security bulletin addresses two issues related to CVE-2017-5715 previously known as Spectre Variant 2. As part of our efforts to continue improving security features, AMD has investigated additional issues related to CVE-2017-5715.  This security bulletin addresses

IntelおよびAMDのCPUに新たな脆弱性が見つかり、情報が公開されました。 新たに見つかった脆弱性は『Retbleed』と名付けられたSpectreの亜種。この脆弱性を悪用されることで、メモリ内容にアクセスされて、パスワードや各種キー、その他の機密情報を窃取される恐れがあるとされています。 この脆弱性の影響を受ける主な製品は、Inte第6世代～第8世代(Core 6000 ～ Core 8000シリーズなど)、AMD Zen、Zen+、Zen 2世代(Ryzen 1000 ～ Ryzen 3000シリーズなど)のプロセッサー。 Intelは、Windows環境においてはデフォルトでIndirect Branch Restricted Speculation (IBRS)が使用されているため影響を受けないとし、Linuxで利用できる緩和策もこれと同じとしています。 AMDは、緩和策として

HertzBleed 何ができたのか OSの電力モニタリングが制限されている時，今までデバイスに接近して何とか電力測定をしないと電力に対するサイドチャネル攻撃ができなかったけどCPUの効率化の機能のおかげで実質的にタイミング攻撃に変換できてリモートからもサイドチャネル攻撃ができた． PQCの最終ラウンドに残っているSIKEという手法に攻撃ができた． 今まで知られていた一定時間で処理をする手法では秘密情報を守り切れない． 前提知識 P State これはCPUの電源などの管理を行うACPIと呼ばれる規格の中でCPUが動作状態のときにその性能を制御する規格． skylake世代意向だと100MHz単位で周波数と駆動電圧が組になっているらしい． P stateが低い時はそのCPUがサポートする最小の周波数，高いとTurbo Boost（サポートしてないときはCPUのベースの周波数）にセットされる

JavaScriptの仕様はECMAScriptで、ECMAScript 2015（ES2015）、ECMAScript 2016（ES2016）...というように毎年進化を続けています。 これまでの仕様はES2021でした。 本日6月22日、ES2022は正式仕様として承認され、ES2022が最新仕様となりました。 22.06.2022 Ecma International approves new standards - Ecma International ブラウザ対応も完了しており、全モダンブラウザ（Google Chrome・Firefox・Safari・Microsoft Edge）でES2022の全機能が使えます。 本記事では、ES2022すべての新機能を紹介します。「何が使えるようになったのか？」「どうしてそれが必要だったのか？」が、できるだけわかりやすいように解説しました

はじめに ドキュメント生成ツールSphinxを使って、Pythonスクリプトのクラスや関数のdocstringからHTMLドキュメントを自動生成する方法を解説する。 おおまかな手順は以下の通り。 Pythonスクリプトのdocstringに、クラスやメソッドの説明を書く SphinxでreStructuredText (reST) 形式のソースファイルを生成する SphinxでHTML形式のドキュメントを生成（ビルド）する reSTはマークアップ言語の一種である。

Column2 = 2なレコード数が例えば1億レコードあった場合、ハイスペックなマシンでもそれなりに時間がかかることが予想されます。 また、トランザクションログの肥大も気になるところです。 一方で、カーソルを使ってループして1レコードずつUPDATEしていく方法も考えられます。 例えば、以下のクエリなどです。 DECLARE @PK INT DECLARE Cursor1 CURSOR FOR SELECT ColumnPK FROM Table1 WHERE Column2 = 2 OPEN Cursor1 FETCH NEXT Cursor1 INTO @PK WHILE @@FETCH_STATUS = 0 BEGIN UPDATE Table1 SET Colmun1 = 1 WHERE ColumnPK = @PK FETCH NEXT Cursor1 INTO @PK END

# cat /etc/redhat-release AlmaLinux release 9.0 (Emerald Puma) # cat /etc/os-release NAME="AlmaLinux" VERSION="9.0 (Emerald Puma)" ID="almalinux" ID_LIKE="rhel centos fedora" VERSION_ID="9.0" PLATFORM_ID="platform:el9" PRETTY_NAME="AlmaLinux 9.0 (Emerald Puma)" ANSI_COLOR="0;34" LOGO="fedora-logo-icon" CPE_NAME="cpe:/o:almalinux:almalinux:9::baseos" HOME_URL="https://almalinux.org/" DOCUMENTATION_

社内勉強会で使用した資料です。PythonユーザがRustに入門する際に必要となる知識やつまづきやすいポイントを記載しています。