スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月8日のtwitterセキュリティクラスタ

RSAのSecureIDの脆弱性絡みで、SecureIDを使用している銀行はトークンを交換することになって大変そうですが、最近大規模な交換を行ったばかりのジャパンネットバンクはなぜか交換しないようで。うちにも自信たっぷりなメールが届きましたが、ちょっとよくわかりません。
ockeghem: 『当社が発行しているトークンとお客さまのジャパンネット銀行でのお取引を関連付ける情報は、当社のみが保有し、当社が責任を持って管理しております。引き続き安心してトークンをご利用ください』 / ジャパンネット銀行:Japan Net Ban… http://htn.to/bmeNjH

>MasafumiNegishi: 米国の主要な銀行はできるだけ早く顧客のトークンを交換する予定とのこと。 RSA Security Faces Angry Users Over Breach - NYTimes.com http://nyti.ms/mRvBBF

ockeghem: @MasafumiNegishi ジャパンネット銀行の「自信」の根拠はなんですかねぇ

MasafumiNegishi: @ockeghem 聞いてみたいですね。実際のところ、事件の背景を考えると、一般ユーザーが被害にあう可能性は低いとは思いますが、顧客にそれが理解できるとは思えません。結局、顧客からトークン交換の要求がでてきて、応じることになるのでは…


PHPのsocket_connect関数()実装のバッファオーバーフロー脆弱性について。こういったブログ記事が書かれるまでの流れが見えるところがtwitterの面白いところだと思いますね。
ockeghem: CVE-2011-1938 に関してブログを書こうと思うんだけど、分からないことが多いな。影響があまりないから情報も少ないのだろうとは思うけど。一番の疑問は、先に書いたように、PHP5.3.2以前で本当に影響がないかということ

kaito834: @ockeghem 実際に Exploit コードでテストしてみるというのはどうでしょうか。

ockeghem: PHP 5.2.16で、http://seclists.org/fulldisclosure/2011/May/472 のPoC実行すると、セグメンテーション違反。シェルは起動しないけど、これ脆弱性だよね

ockeghem: @kaito834 まさにやってました。PHP 5.2.16で、「セグメンテーション違反です」となりました

kaito834: @ockeghem セグメンテーション違反時にスタックがAAAA...という状態で埋まっていて、レジスタ値が41414141あたりになっていれば脆弱性になりそうですね:)

ockeghem: @kaito834 ソース見ると、データ長のチェック全然してなくて、どう見ても脆弱性なんですよね。悪用できるかどうかは別でしょうが。バージョンの限定付けなくていいんじゃないですかね

kaito834: @ockeghem これは推測なんですが、PHP の公式情報が 5.3, 5.4 に限定しているからじゃないでしょうか。NVD などの脆弱性情報は、開発元の公式情報を信用して記述していると思います。

ockeghem: @kaito834 私の意見もそれです

kaito834: @ockeghem PHP開発元に突っ込むブログ記事になるかと期待:D

ockeghem: ブログ書いたが、レギュレーションに従い一晩寝かす。書きたいことは書いたが、もう少し手を入れたい

ockeghem: 日記書いた / PHPのsocket_connect()関数における *つまらない* 脆弱性の話 - ockeghem(徳丸浩)の日記 http://htn.to/5KXmbq


またまたkinugawamasatoさんがご活躍のようです。
hasegawayosuke: http://technet.microsoft.com/en-us/security/cc308589 5月に @kinugawamasato さん。

kinugawamasato: @hasegawayosuke シンプルなXSSでした!


いい加減に落ち着きそうなソニー関連。
connect24h: ソニー、不正侵入による米映画子会社の情報流出は3万7500人分 | テクノロジーニュース | Reuters http://bit.ly/jumwn7

kitagawa_takuji: ソニーはなぜハッカーに狙われたのか、「アノニマス」の正体 http://www.toyokeizai.net/business/strategy/detail/AC/6a3a34048854eb58ca96b3be592f09f0/

kitagawa_takuji: ハッカー集団に狙われ続けるソニー http://tinyurl.com/3bvygma #itprojp <アクセス情報開示要求の事は判っていても触れちゃいけないことになっているのかな?


その他に気になったことはこのあたり。
hir0_t: OWASP ZAPを触ってみたけど、なかなかいい感じ。 http://d.hatena.ne.jp/hiro-t/20110608#p1


tamiyata: おおおお16日にこんなイベントが。/@IT 情報漏えい対策セミナー 防ぐ、見つける、拡散を抑える ―― 現実的な情報漏えい対策とは http://ow.ly/5cJJx


MasafumiNegishi: セキュリティ講師スキル研究WGの実践的教育のガイドライン、とても興味あります。今月下旬に中間報告α版が公開になるそうです。


yasulib: エフセキュアブログ : ルートエクスプロイトを使用する新たなAndroidマルウェア http://t.co/JBY1B8v


Murashima: Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 - JPCERT/CC http://bit.ly/jhDgnB #FYI


prof_morii: 確かにこの手のものでほとんどの脆弱性は鍵管理と鍵生成。脆弱性見つけても恨まれるだけで研究にもならない:-) RT @le_miyachi: 鍵はどうしているのかな…関係無いけどExpress mouseは前から欲しいと思ってます(^^;

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。