BT
前の記事 rss
人のフォロワー

PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 h_yoshida _ フォローする 0 人のフォロワー   投稿日  2018年6月20日 午前3時27分

ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。

人のフォロワー

Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに

作者: Charles Humble フォローする 798 人のフォロワー , 翻訳者 阪田 浩一 フォローする 1 人のフォロワー   投稿日  2018年6月13日 午前5時1分

オープンソースとクラウドのセキュリティモニタリング企業であるSnyk社がZip Slipを開示した。これは任意のファイルを上書きする脆弱性で、パスをトラバースするファイル名を持つ、巧妙に作られたZIPアーカイブを使い弱点を突いている。脆弱性は何千ものプロジェクトに影響を与え、そこにはAWS CodePipelineやSpring Integration、LinkedInのPinot、Apache/TwitterのHeron、AlibabaのJStorm、Jenkins、Gradle、Google Cloud Platformが含まれる。

人のフォロワー

Gitの脆弱性により任意のコードが実行できる

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 編集部T _ フォローする 0 人のフォロワー   投稿日  2018年6月7日 午後11時35分

Gitサブモジュール名の検証に対する脆弱性により、リモートの攻撃者が開発者マシン上で任意のコードを実行できる。さらに、攻撃者はシステムメモリの一部にアクセスできる。どちらの脆弱性もすでにGit 2.17.1、2.16.4、2.15.2、および他のバージョンでパッチが適用されている。

人のフォロワー

IntelがマルウェアスキャンにGPUの使用を開始

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 編集部T _ フォローする 0 人のフォロワー   投稿日  2018年5月7日 午後10時22分

Intelは、GPUを使用してメモリをスキャンしてマルウェアを検出する一連のシリコンベースの機能セットである新しいThread Detection Technology (TDT)を発表した。これにより、CPUをそのタスクから解放し、SpecterとMeltdownから防御する上での影響を緩和する。

人のフォロワー

GitHubセキュリティアラートが400万以上の脆弱性を検出

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 編集部T _ フォローする 0 人のフォロワー   投稿日  2018年3月26日 午前12時45分

昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。

人のフォロワー

直近のNpmインシデントによりセキュリティ上の脆弱性が発覚

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 編集部T フォローする 0 人のフォロワー   投稿日  2018年1月31日 午前3時44分

先週、npmレジストリで操作インシデントが発生した。これによって、require-from-stringなどに依存する多くのパッケージが利用できなくなった。このインシデントは解決するのは比較的単純であったが、npmを使用してプロジェクトに悪質なコードを挿入するために悪用された可能性のある主要なセキュリティの脆弱性が明らかになった。

人のフォロワー

NISTがアプリケーションコンテナのセキュリティに関するガイドラインを公開

作者: Hrishikesh Barua フォローする 12 人のフォロワー , 翻訳者 h_yoshida フォローする 1 人のフォロワー   投稿日  2018年1月9日 午後10時21分

National Institute of Standards and Technology(NIST)は先頃、アプリケーションコンテナテクノロジと、その最も重要なセキュリティ上の問題に関する報告書を公開した。イメージやレジストリ、オーケストレータ、ホストOS、ハードウェアなどの脆弱性領域とその対策を概説した、公開済の2つの報告書を要約したものだ。

人のフォロワー

Netflix: マイクロサービスアーキテクチャのアプリケーションをDDoSから守るには

作者: Andrew Morgan フォローする 3 人のフォロワー , 翻訳者 h_yoshida フォローする 1 人のフォロワー   投稿日  2017年8月30日 午後8時21分

マイクロサービスアーキテクチャにおけるアプリケーションDDoSの緩和戦略が、Netflixのブログで公開された。この種の攻撃を引き起こす要求の特定方法、それらを同社のRepulsive GrizzlyやCloudy Krakenなどオープンソースのフレームワークを使ってテストする方法、攻撃からシステムを保護するベストプラクティスなどについて、それらの概要が紹介されている。

人のフォロワー

Gitはバージョン2.13でセキュリティとUIの改善を続けている

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 阪田 浩一 フォローする 1 人のフォロワー   投稿日  2017年6月16日 午前4時23分

Gitは最新リリースでユーザインタフェースの改善を目指した多くの変更を導入した。また2つの重要な脆弱性を修正した。

人のフォロワー

Webには時代遅れで脆弱性のあるJavaScirptライブラリで溢れていることが研究により明らかに

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 高橋 洸 フォローする 0 人のフォロワー   投稿日  2017年4月11日 午後10時30分

最新の研究により、Alexaの上位75,000件のウェブサイトのうち37%が少なくとも1つの、10%近くが少なくとも2つの脆弱性をもつことがわかった。さらにショッキングなことに、Alexaの上位500件のウェブサイトのうち26%は脆弱性のあるライブラリを使用している。

人のフォロワー

Cloudbleed - Cloudflareプロキシのメモリリーク

作者: Chris Swan フォローする 492 人のフォロワー , 翻訳者 h_yoshida フォローする 1 人のフォロワー   投稿日  2017年4月11日 午前12時13分

Cloudflareプロキシに対するリクエストのごく一部で、無関係なリクエストからパスワードなどの機密情報を含む可能性のあるデータがリークする、バッファオーバーフローのバグが発生した。‘Cloudbleed’と命名されたこの問題を発見したのは、GoogleのProject Zeroに所属する脆弱性研究者のTavis Ormandy氏だ。

人のフォロワー

オブジェクトのデシリアライゼーションフィルタがJava 9からバックポートされる

作者: Abraham Marín Pérez フォローする 8 人のフォロワー , 翻訳者 阪田 浩一 フォローする 1 人のフォロワー   投稿日  2017年3月30日 午後11時55分

JEP 290は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタできるようにするものであるが、当初はJava 9を対象としていたがJava 6と7、8にバックポートされる。この機能は処理されているオブジェクトのインプットストリームにおいて入ってくるデータをフィルタするメカニズムを提供する。またしばらく前にApache Commonsと他のライブラリに影響したもののようなデシリアライゼーションの脆弱性を防ぐ手助けができる。

人のフォロワー

Windowsの脆弱性を修正プログラム公開前にGoogleが開示

作者: Sergio De Simone フォローする 12 人のフォロワー , 翻訳者 西村 美沙 フォローする 0 人のフォロワー   投稿日  2016年12月5日 午後9時27分

Serverlessconf London 2016の初日に挙げられたテーマは,‘NoOps’からは程遠い,サーバレスプラットフォームがもたらす運用上の課題についてだった。物理サーバと仮想マシンはかけ離れた概念かも知れないが,それは必ずしもインフラストラクチャ設定が不要になったということではない - その上で開発者たちは,危険を覚悟して,基盤である永続化機構の影響を無視しているのだ。

人のフォロワー

マイクロサービスとセキュリティ

作者: Jan Stenberg フォローする 29 人のフォロワー , 翻訳者 笠原 王徳 フォローする 0 人のフォロワー   投稿日  2016年12月2日 午前3時12分

アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。

人のフォロワー

Docker Security Scanning

作者: Chris Swan フォローする 492 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー   投稿日  2016年6月10日 午前3時15分

Docker Incは,これまでProject Nautilusと呼ばれていたDocker Security Scanningの一般向け提供を発表した。今回のリリースは,CIS Docker Security BenchmarkのアップデートをDocker 1.11.0に反映するためのものだ。Docker Benchツールがアップデートされて,ホストとデーモンの設定が同セキュリティベンチマークの推奨事項に適合していることをチェックできるようになる。

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT