BIND 9 にわずか 15 クエリーでキャッシュポイゾニングできる欠陥? ( ゚∀℃( `Д´)マヂデスカ!?
BIND 9: allow-query-cache/allow-recursion default acls not set. (ISC)
>> BIND 9 DNS Cache Poisoning (Trusteer.com) (←ネタ元)
>> CVE-2007-2925
>> BIND cache poisoning vulnerability details released (SANS)
>> ISC BIND DNS Query ID Generation Weakness Cache Poisoning Vulnerability / Exploit (FrSIRT)
>> BIND 9 DNS Cache Poisoning (SecuriTeam)
リカーシブ DNS を外部に公開していない人には大した問題ではないと思うが、どうやら BIND 9 のほぼすべてのバージョン(最新版を除く)でトランザクション ID を作成するアルゴリズムに欠陥があり、15クエリーほどのサンプルでトランザクション ID を推測可能、つまりはキャッシュポイゾニングができてしまうという問題があるようだ。対策としては、最新版を使う。パッチをあてる。allow-query-cache と allow-recursion を使って提供範囲を制限する。など。( ゚∀℃( `Д´)マヂデスカ!?
>> [RHSA-2007:0740-01] Moderate: bind security update
Red Hat が超速でアップデートパッケージ出してきたよ。やはりそれだけ緊急度は高いということか!?明日はアップデート大会だな。 ( ゚Д゚)マンドクセー
iPhone でもやっぱり Safari ってダメじゃん ヽゝ゚ ‐゚νダメナノネ・・・
iPhoneにぜい弱性,「Safari」に遠隔操作/データ不正取得の危険 (ITpro)
iPhoneの脆弱性突くコンセプト実証コードが登場、個人情報盗む (ITmedia)
損保ジャパン、代理店から個人情報約3,000人分がWinny流出 (impress)
総務省、ISP契約数情報など含むUSBメモリ紛失 (impress)
「スパマーにもサーバー貸します」、悪質業者の広告がグーグルに (ITpro)
1人1台パソコンはもはやあたりまえだのくらっかー (,,゚Д゚) ガンガレ!
うちなんてきびしい予算の中で社内用と作業用で1人2台っすよ。遅れてんじゃない? (´-ω-`)ヨサンガタリナイ
経産省と文科省が足並みを揃え、IT業界の人材育成に本腰 (ITpro)
IDC Japan、国内セキュリティソフトウェア市場の動向と予測を発表 (IT-PLUS)
Microsoftがプライバシ対策を強化,ユーザーの検索情報を18カ月で匿名化 (ITpro)
「Live Search」ユーザーの検索クエリなどのデータを,18カ月経過後に匿名化する。クッキーIDやIPアドレスをはじめ,個人を特定可能な情報も恒久的に削除する。ただし,ユーザーの同意を得た場合は,18カ月を超えてこれら情報を保管する。
脅威モデリングでWebアプリのセキュリティを強化する (TechTargetジャパン)
モバイルデバイスを護る術:携帯電話やスマートフォンは使わせる? 使わせない? (ITmedia)
見えますか?カラーレーザープリンターの印刷物に埋め込まれた暗号コード (Technobahn)
セキュリティ対策として Flash をブロッキングするとホームページが見やすくなる (・∀・)イイネ!!
ライブドアがWebメールシステムをGmailに移行 (ITpro)
「スパコン、無料で貸します」東大など8大学、民間に (asahi.com)
VMware,仮想化環境のアプリケーション性能を測定するツールを無償提供 (ITpro)
Flashをブロックして意外と使えると思った副作用 (yohgaki’s blog)
セキュリティ対策として Firefox のアドオンの Flashblock を入れたらウザい Flash 広告なんかもブロックできてみやすくなったという話。さっそくぼくも実装させてもらおう。impress とか広告だらけだから超有効。 (・∀・)イイネ!!
>> Flashblock :: Firefox Add-ons
レノボ、SXGA+(1,400×1,050)表示対応の「ThinkPad X61 Tablet」 (impress)
12.1 インチで 1,400×1,050 はムリだろ。T61 がほすぃ。 モムーリ?o(゚Д゚)っ
Red Hat Security Advisory
Exploit Code
- Entertainment CMS (Local Inclusion) Remote Command Execution Exploit
- Confixx Pro <= 3.3.1 (saveserver.php) Remote File Inclusion Vulnerability
- bwired (index.php newsID) Remote SQL Injection Vulnerability
- Joomla! CMS 1.5 beta 2 (search) Remote Code Execution Vulnerability
- JBlog 1.0 Create / Delete Admin Authentication Bypass Exploit
- WSN Links Basic Edition (displaycat catid) SQL Injection Vulnerbility
- Data Dynamics ActiveReport ActiveX (actrpt2.dll <= 2.5) Inscure Method
- Lotus Domino IMAP4 Server 6.5.4 Remote Buffer Overflow Exploit
- Blog System 1.x (index.php news_id) Remote SQL Injection Vulnerability
- PHP <= 5.2.3 snmpget() object id Local Buffer Overflow Exploit