SSH接続への中間者攻撃を可能にするエクスプロイト「Terrapin Attack」が発見される
セキュリティで保護されていないネットワークと通じてコンピューターに安全にコマンドを送信する「Secure Shell(SSH)」プロトコルにおいてハンドシェイクプロセス中にシーケンス番号を操作してSSHプロトコルの整合性を破る「Terrapin Attack」という攻撃が発見されました。この操作で、攻撃者は通信チャネルを通じて交換されるメッセージを削除あるいは変更できるようになり、さまざまな攻撃が可能になります。 Terrapin Attack https://terrapin-attack.com/ Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation (PDFファイル)https://terrapin-attack.com/TerrapinAttack.pdf Terrapin a
【セキュリティ ニュース】テキストエディタ「vim」に脆弱性 - パッチで修正(1ページ目 / 全1ページ):Security NEXT
UNIX系OSをはじめ、広く利用されているテキストエディタ「vim」に脆弱性が明らかとなった。パッチにて修正されている。 ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」が明らかとなったもの。脆弱性報告サイト「huntr」を通じて開発者に報告された。実証コード(PoC)も公開されている。「huntr」では共通脆弱性評価システム「CVSSv3」のベーススコアを「6.6」とし、重要度を「中(Medium)」とレーティング。Red Hatも同様に「6.6」とし、「中(Moderate)」と評価している。 「huntr」では、脆弱性の悪用にはローカル環境においてログイン権限が必要と評価しているが、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、ネットワーク経由で攻撃が可能であり、権限も不要としてCVSS基本値を「9.8」、重要度を「クリティカル(Critica
不正アクセスに関する調査結果のご報告【第4報】 | プレスリリース | 株式会社カプコン
2021年4月13日 大阪市中央区内平野町三丁目1番3号 株式会社カプコン 代表取締役社長 辻本 春弘 (コード番号:9697 東証第1部) 株式会社カプコンは、第三者による不正アクセス攻撃を受け、当社グループが保有する個人情報が流出しましたこと(以下「本インシデント」といいます。)を2020年11月4日から2021年1月12日にかけて公表いたしました(以下「既報」といいます。)。 この度、外部の専門企業の協力のもと進めてまいりました本インシデントに関する調査が完了し、報告書を受領しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申しあげます。なお、当社グループのシステムは現時点でほぼ復旧しており、新設の「セキュリティ監督委員会」と連携し、今後も継続的にセキュリティ、個人情報保護の強化を図ってまいります。 お客様はじめ多くのご関係先にご心配とご迷惑をおかけいたしまし
よりよくわかる認証と認可 | DevelopersIO
少し早いですが、メリークリスマス!事業開発部の早川です。 早いもので、入社して 1 ヶ月半が経ちました。 現在は、 prismatix の理解を深めながら、導入支援を行っています。 今回はその中から、認証 / 認可についてお伝えします。 と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。 ジョインしました 以来、初めての記事となりますドキドキ 目標 本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。 本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で「マイクロサービス時代の認証と認可」の話をしてきた #AWSDevDay 目的 まず、認証 / 認可を学ぶ理由を考えてみました。 近年、様々なサービスが API を通じてつながり、より便利
Smoozにおけるユーザー情報の取り扱いについて – Smooz Blog
Smoozを運営するアスツール株式会社の代表の加藤です。 当社のSmooz(スムーズ)ブラウザにおけるユーザー情報の取り扱いについてご指摘いただきました。Smoozを利用するユーザーの皆様にはご心配・ご迷惑をおかけして誠に申し訳ありません。 以下で、弊社アプリの挙動についての概要とその詳細について、私の方からご説明させていただきます。 【概要】 (1)Smoozは、おすすめ記事をパーソナライズしブラウジング体験を快適なものとするために、行動履歴や検索履歴のデータを収集しております。ご利用者様のプライバシーを侵害するデータの収集を目的とするアプリではございません。 (2)プライベートモード利用時または「サービス利用データの提供」をオフにした時には、サーバーへの全てのデータ送信を停止する設計にしておりましたが、弊社側で調査をしたところ、実際には一部の情報送信が止まっていないことが分かりました。
セキュリティ視点からの JWT 入門 - blog of morioka12
こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日 普段は Web Security や Cloud Security 、バグバウンティなどを興味分
図解 X.509 証明書 - Qiita
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
