日時： 2004年 3月 6日(土) 13:30〜17:30 所 ： お茶の水女子大学 ・Webアプリのセキュリティ限界に迫る 国分 裕 氏 ・Web サービス時代に現れた脅威 -クロスサイト・スクリプティングと受動的攻撃- Eiji James Yoshida 氏

いろいろあってちょっと忙しい。ちなみに今日の某交流会は不参加。

"週"記のコメントより。文字列をURLエンコード/デコードするツール。さすがにそのまま日本語は使えないか。

ITProより。SSL-VPNはブラウザがあればどこでもアクセスできるという簡便さが逆に問題になるんですよね。ネットカフェとかからアクセスされると危険なのでセキュリティポリシーとか教育とかは当然必要なんでしょうけど、「クライアント・インテグリティ・ス…

developerWorksより。最近configureをたたく回数が激減しているんですが、参考のためにメモ。そういえば、Autobookも途中までしか読んでなかった（汗

@policeより。IISが公開しているWEBページを改ざんする機能があるんですか。 政治的なメッセージを送りつける、今度のNachiワーム (CNET Japan) 日本語版Windows狙う「Nachi.B」浮上 (ITmedia)

筋肉痛が治らない…。

けんのぼやき経由。UNDERGROUND JOURNALのプレ・イベントが3月20日（土）24:00〜28:30に新宿のクラブにて開催されるようです。チケット 3,500円 どうしよう。行ってみようかな。

ASN.1関係の脆弱性と聞いてOpenSSLの脆弱性のことが頭に浮かんだのですが、tessyの日記に書かれているように関係あるんでしょうね。 WindowsのASN.1ライブラリに致命的な欠陥、影響は特大 (Slashdot) Windowsにとても危険なセキュリティ・ホール，仕事前にま…

Microsoft ASN.1 Library の未チェックのバッファが原因となり、バッファ オーバーフローの脆弱性が起こる可能性があります。 絵でみるセキュリティ情報 MS04-007 (Microsoft) Microsoft ASN.1 Library Length Overflow Heap Corruption (eEye Digital Secur…

Windows インターネット ネーム サービス (WINS) にセキュリティ上の脆弱性が存在し、特別な細工がされたパケットの長さを WINS が検証する方法に問題があるためにバッファオーバフローが起こります。 絵でみるセキュリティ情報 MS04-006 (Microsoft)

Virtual PC for Mac が実行されている時、Virtual PC for Mac が一時ファイルを作成する方法に脆弱性が存在します。 絵でみるセキュリティ情報 MS04-005 (Microsoft)

2年ぶりにテニスをしてきました。バックハンドはそんなに崩れていなかったのですが、フォアハンドストロークはぼろぼろ。2年もブランクあるとこんなものかと思いました。あとサーブは結構ぽこぽこ入るものですね。意外。

月刊Microsoftが出ているらしいですが、今日は祝日だから明日チェックしよう（マテ

Red Hat、次バージョンではSE Linuxをサポート (ITmedia) Fedora JP Projectが正式に発足 (Slashdot)

LACのJSOCにおけるIDS のログから攻撃者の侵入傾向を分析した2003 年度(?)のサマリレポート。

Slashdotより。Mozilla FirebirdがMozilla Firefoxに改名されて、最新バージョン0.8がリリース。Mozilla Thunderbird 0.5も同時にリリースされているとのこと。

ITmediaより。ルータメーカーのJuniper NetworksがNetScreen Technologiesを買収ですか。この辺のM&Aは激しいですね。 米Juniper、米NetScreenを約40億ドルで買収 (Nikkei BizTech)

抗議文のやりとりとともに個人情報も掲載 (Slashdot)

Internet Watchより。IPsecやMobile IPv6、ENUM等といった技術の標準化動向についての最新動向が報告されたようです。個人的にはIPsec関連プロトコルの標準化動向が気になります。 関連ドラフトリストが見つかったのでついでにメモ。 IPsec 関連インターネッ…

@ITより。Webアプリケーションに潜むセキュリティホール 第9回

【NET&COM 2004速報】携帯電話にも搭載可能な“軽い”顔認証ソフトウエア (ITPro) 【NET&COM 2004速報】シスコ、ウイルスの“持ち込み”を防ぐセキュリティ新戦略を解説 (ITPro) 【NET&COM 2004速報】NECがウイルスのまん延を防ぐ“検疫ネット”をデモ，秋にも製品…

bugtraqより。PineのアドバイザリによるとFreeBSD 2.2.0以上，NetBSD 1.3以上，OpenBSD 2.6以上のバージョンのカーネルのSYSTEM V Shared Memory関連システムコール"shmat()"にローカルから管理者権限を奪取されるおそれのある脆弱性があるとのこと。*BSDを…

某さんの日記より。受動的情報収集とありますが、Whois、DNS、検索エンジン、Email、ホスト名の命名慣習、 netcraftなどを利用し間接的にサイト情報を収集する方法を解説しています。 某セキュリティトレーニングも結構念入りにこの辺を教えてましたし、某さ…

SecuriTeamより。Windows NT/2K/XP/2003用TCP/IP Stack Hardeningツールです。画面イメージを見るとGUIでチェックつけるだけで変更できるので簡単ですね。使う際には変更できる項目を把握しておかないといけないですが。

音声/動画再生ソフト「RealOne Player」や「RealOne Player v2」、「RealPlayer 8」などに複数のセキュリティ・ホールが発見されました。問題の内容は以下のとおりです。 ・問題 1: SMIL ファイルまたは他のファイルによって開かれた URL のドメイン からリ…

昨日の午後は幕張に行ってたこともあって、知ったのは結構あとだったのですが、今回の件は報道のされ方から法の解釈までいろいろ考えさせられます。自分的にも整理できてない部分があるので、ここで意見を述べるようなことはしませんが、セキュリティ業界の…

ITProより。GPLの解釈っていろいろあって混乱してしまいます。日本語のGPL FAQみたいなものがあるといいのに（知らないだけ？） 【Net&Com 2004】講演レポート「オープンソースの知的財産権問題」 〜SCOには結局勝ち目はない？ (Internet Watch) 【Net&Com 2…

もう一つはSecuRemote/SecureClientにおいてISAKMPの処理に問題があるようです。こちらはversion 4.1のみSP5以前とNG FP0, FP1が脆弱性の対象でversion NGは問題ありませんす。ちなみにversion 4.1はもうサポートされていないので、Check Pointはversion NG …

ISS Security Advisoryより。Checkpoint Firewall-1のHTTP Security Serverに脆弱性。この脆弱性は影響を受けるバージョンが広いですね。 Affected Versions: Checkpoint Firewall-1 NG-AI R55, R54, including SSL hotfix Checkpoint Firewall-1 HTTP Secur…