MovableType 3.2以降にXSSの脆弱性が見つかったらしい.
【重要】 Movable Type 新バージョンとパッチの提供について
http://www.sixapart.jp/movabletype/news/2006/09/26-1115.html
CVE-2006-5080のことかな.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-5080
ということで, 早速, 対策版の3.33にアップデート.
ダウンロード時に使用するIDが, TypeKeyからシックス・アパート ユーザーID (SAID) に
変わったらしいので, 移行登録が必要.
移行登録画面でハマりやすい(?)ところがあるので注意
-
3月からWindows Updateがうまく行かない。かなり以前の職場でWSUSといろいろと格闘したので、Windows Updateの扱いはよく知っているつもりではあるが、簡単には治らなかった。 次の累積パッチで治るかなと思って放置していたが、4月分もあたっていないし、最悪再イ...
-
AndroidスマホとカーナビをBluetooth接続をしている。 Google Play Musicではカーナビに楽曲情報が表示されるが、YouTube Musicでは表示されない。曲の頭出しや停止・再生はカーナビ側から操作ができる。 結論から言うと、AVRCPのバージョン...
-
iPadを落としたら、イヤホンジャックが抜けずに途中からポキっと行ってしまった。 仕方がないので修理をすることに。 使っているヘッドセットはlogicoolのH151 STEREO HEADSET。
-
QEMU上でWindows10の仮想PCを動かしていたが、そろそろWindows11に対応冴えておく必要があると思い、アップグレードしようとした。 結論的には、Win10はBIOSで動いていたのに対し、Win11はUEFIセキュアブートにしなければならなく、HDDイメージにEFI...
-
HKU\.DEFAULT(HKEY_USERS\.DEFAULT)は、あちこちで間違った認識をされている。HKU\.DEFAULT(HKEY_USERS\.DEFAULT)は、デフォルトユーザとかテンプレートユーザと呼ばれるアカウント(=今後作成されるユーザアカウントの初期設定)...
2006/10/01
2006/03/19
商用セキュリティスキャナ on セキュリティホールmemo ML
セキュリティホールmemoのメーリングリストで, 商用セキュリティスキャナについて
流れてきた.
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://memo.st.ryukoku.ac.jp/archive/200603.month/index.html
QualysGuardは出てこなかったが, その方はRetinaにおちついていたようである.
http://www.qualysguard.com/products/overview/
http://www.eeye.com/html/products/retina/index.html
私の感想としては, InternetScannerは××だからやめた方がいい.
まず, Signatureが全然追加されないから, 何も見つけることができないし,
数ヶ月遅れで公開される日本語訳は意味不明.
おまけに最低要件のスペックが比較的高い. Pentium 1.2GHz以上 & Mem 512MB以上.
ノートに入れようと思ったら, 新しく買わないといけないじゃないか.
QualysGuard, Retinaはどちらも早くていい.
QualysGuardは数年前はまだ作りが甘かったがよくなった. ただし, 診断結果がQualys社にすべて
送られてしまうのが問題.
RetinaはWindowsが動くPCであればOK. ただ, 現在のところ, Retinaの送信したリクエストと
受け取った応答がレポート内に表示されないのが問題(QualysGuardではできる).
それから, Openなポートが全部はレポートに記載されないのも問題. 近日中に変更されるらしいが.
流れてきた.
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://memo.st.ryukoku.ac.jp/archive/200603.month/index.html
QualysGuardは出てこなかったが, その方はRetinaにおちついていたようである.
http://www.qualysguard.com/products/overview/
http://www.eeye.com/html/products/retina/index.html
私の感想としては, InternetScannerは××だからやめた方がいい.
まず, Signatureが全然追加されないから, 何も見つけることができないし,
数ヶ月遅れで公開される日本語訳は意味不明.
おまけに最低要件のスペックが比較的高い. Pentium 1.2GHz以上 & Mem 512MB以上.
ノートに入れようと思ったら, 新しく買わないといけないじゃないか.
QualysGuard, Retinaはどちらも早くていい.
QualysGuardは数年前はまだ作りが甘かったがよくなった. ただし, 診断結果がQualys社にすべて
送られてしまうのが問題.
RetinaはWindowsが動くPCであればOK. ただ, 現在のところ, Retinaの送信したリクエストと
受け取った応答がレポート内に表示されないのが問題(QualysGuardではできる).
それから, Openなポートが全部はレポートに記載されないのも問題. 近日中に変更されるらしいが.
2005/06/11
2005/03/31
fk-grubver 0.10.5
今日で今年度も最後です.
去年に引き続き, 3月は非常に忙しかったなぁ.
記録に, 2004年度にできたところまでのfk-grubverを上げておこう.
fk-grubver-0.10.5.tbz
そのうち, どれが最新版か分からなくなりそうなので, Currentへのリンク.
fk-grubver-current.tbz
去年に引き続き, 3月は非常に忙しかったなぁ.
記録に, 2004年度にできたところまでのfk-grubverを上げておこう.
fk-grubver-0.10.5.tbz
そのうち, どれが最新版か分からなくなりそうなので, Currentへのリンク.
fk-grubver-current.tbz
2005/03/16
2005/03/13
fk-grubver 0.10.3
久しぶりの書き込みです.
今までのfk-grubverでは, telnetなどのコネクション確立後に,
バイナリデータでネゴシエーションが必要なプロトコルでは,
無限に待ち続ける状態になることがわかったので, この点を修正.
fk-grubver-0.10.3.tbz
ついでに, Telnetのバナーもとれるようにした.
今までのfk-grubverでは, telnetなどのコネクション確立後に,
バイナリデータでネゴシエーションが必要なプロトコルでは,
無限に待ち続ける状態になることがわかったので, この点を修正.
fk-grubver-0.10.3.tbz
ついでに, Telnetのバナーもとれるようにした.
2004/11/30
Firefoxを含むブラウザに脆弱性
FireFoxがいいよーなんて会社で話してた矢先に, FireFoxを含むほとんどの
ブラウザに脆弱性が出ちゃいました.
よくわかんないけど, JavaScriptで, Arrayを作ると同時に, sort()するとだめっぽい.
ブラウザに脆弱性が出ちゃいました.
よくわかんないけど, JavaScriptで, Arrayを作ると同時に, sort()するとだめっぽい.
2004/10/18
脆弱性半減期の法則
Black Hat Japanで, ゲルハルド エッシェルベック(Gerhard Eschelbeck)氏が
講演したらしい. 彼は, 前職で使っていたセキュリティホール診断ツールQualysGuard
を作っているQualys社のCTO.
その講演で, 脆弱性半減期の法則(前から言っていたらしい. 知らなかった)の
動向を披露したらしい.
http://www.itmedia.co.jp/enterprise/articles/0410/15/news019.html
脆弱性が半減するのに, 去年は30日, 今年は21日とのこと.
ただし, 社内限定のサーバに関しては, 60日.
それは実感するね. イントラの診断をすると, ぼこぼこ脆弱性が出るもん.
おまけに, 自分たちで運用しているサーバも, 社内だからって放置することが多々あるし.
勉強になりました.
講演したらしい. 彼は, 前職で使っていたセキュリティホール診断ツールQualysGuard
を作っているQualys社のCTO.
その講演で, 脆弱性半減期の法則(前から言っていたらしい. 知らなかった)の
動向を披露したらしい.
http://www.itmedia.co.jp/enterprise/articles/0410/15/news019.html
脆弱性が半減するのに, 去年は30日, 今年は21日とのこと.
ただし, 社内限定のサーバに関しては, 60日.
それは実感するね. イントラの診断をすると, ぼこぼこ脆弱性が出るもん.
おまけに, 自分たちで運用しているサーバも, 社内だからって放置することが多々あるし.
勉強になりました.
2004/08/20
生存可能時間
こういう記事を見つけました.
パッチ未適用のWindowsシステム、「生存時間」は約20分
http://www.itmedia.co.jp/enterprise/articles/0408/18/news021.html
要はパッチを当ててないWindowsをインターネットに直結すると,
20分以内にウィルスなどにやられちゃうよってこと.
とはいうものの, 経験からして, パッチを当ててないWindowsに
Personal Firewallを入れて, インターネットに接続した場合,
何ヶ月もやられないとおもう.
もう半年以上, 問題なく動いてるもん. (ヤバいかな?)
パッチ未適用のWindowsシステム、「生存時間」は約20分
http://www.itmedia.co.jp/enterprise/articles/0408/18/news021.html
要はパッチを当ててないWindowsをインターネットに直結すると,
20分以内にウィルスなどにやられちゃうよってこと.
とはいうものの, 経験からして, パッチを当ててないWindowsに
Personal Firewallを入れて, インターネットに接続した場合,
何ヶ月もやられないとおもう.
もう半年以上, 問題なく動いてるもん. (ヤバいかな?)
2004/07/12
Webアプリの脆弱性Top 10
OWASP(the Open Web Application Security Project, http://www.owasp.org/)から,
Webアプリケーションにおける脆弱性Top 10 (2004年版)がでてます.
Top10 http://www.owasp.org/documentation/topten
Top10の日本語版
http://sourceforge.net/project/showfiles.php?group_id=64424
AppScanで診断したら, よく検出されるものが多いですね.
Webアプリケーションにおける脆弱性Top 10 (2004年版)がでてます.
Top10 http://www.owasp.org/documentation/topten
Top10の日本語版
http://sourceforge.net/project/showfiles.php?group_id=64424
AppScanで診断したら, よく検出されるものが多いですね.
2004/07/08
脆弱性情報届出制度, 本日開始
IPA(情報処理推進機構), JPCERT/CCらが脆弱性情報の取り扱いの支援を開始したらしい.
官報にもでてるじゃん.
http://kanpou.npb.go.jp/20040707/20040707g00148/20040707g001480000f.html
ちょっと前から, パブリックコメントを求めていると思ったら, 突然開始か....
IPA: http://www.ipa.go.jp/about/press/20040708-2.html
JPCERT/CC: http://www.jpcert.or.jp/press/2004/0708.txt
官報にもでてるじゃん.
http://kanpou.npb.go.jp/20040707/20040707g00148/20040707g001480000f.html
ちょっと前から, パブリックコメントを求めていると思ったら, 突然開始か....
IPA: http://www.ipa.go.jp/about/press/20040708-2.html
JPCERT/CC: http://www.jpcert.or.jp/press/2004/0708.txt
2004/06/28
脆弱性情報公開のポリシー
LACさんところの脆弱性情報公開のポリシーを見つけた.
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/SNSpolicy.html
こういうことには, やっぱり, ちゃんとしたポリシーが必要だよねー.
ちょっと感心してしまいました.
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/SNSpolicy.html
こういうことには, やっぱり, ちゃんとしたポリシーが必要だよねー.
ちょっと感心してしまいました.
登録:
投稿 (Atom)