WebLogic 使ってるなら LimitRequestLine 設定した？ (；・∀・)ﾀﾞﾀﾞｲｼﾞｮｳﾌﾞ･･･?

臨時で公開： WebLogic に極めて深刻な脆弱性、Oracle が異例のアラート (ITmedia)

米 Oracle は 7 月 28 日、WebLogic の脆弱性に関する臨時アラートを公開した。この問題を突いた悪用コードが出回っているとして、全ユーザーに対し早急に回避策を取るよう促している。脆弱性の修正パッチは間もなく準備が整う見通しで、テストが済み次第、サポート対象の全バージョン向けに臨時パッチとして配布する。それまでの間、現在のアラートに記載された回避策を取るようユーザーに呼び掛けている。

> Exploit resulting in availability, confidentiality and integrity impact on WebLogic Server applications that are using WebLogic plug-in for Apache

Apache の LimitRequestLine を設定しろだそうな。ｹﾗｹﾗヽ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)ノｹﾗｹﾗ

バッファオーバーフローを誘発： Trend Micro の OfficeScan に未パッチの脆弱性 (ITmedia)

HP OpenView Internet Service Probe Builder Arbitrary Process Termination (Secunia)

AVG Anti-Virus UPX Processing Denial of Service (Secunia)

94% が脆弱性情報公開から 24 時間以内に実証コードが公開？ｴｯ(ﾟДﾟ≡ﾟДﾟ)ﾏｼﾞ?

大量アクセスで福岡県の HP 一時閲覧不能 (asahi.com)

フィッシングでネット銀行から現金詐取全国初の摘発 (ITmedia)

24 時間以内のエクスプロイト公開が急増：脆弱性の公開基準が無いのは問題 — IBM が指摘 (ITmedia)

Web に関連したエクスプロイトのうち、94% は脆弱性情報の公開から 24 時間以内に出現していることが明らかになった。ISS は、自動化ツールなどの活用によって悪用コードを従来以上の早さで生成できるようになったと分析。多数のエクスプロイト作成ツールがブラックマーケットで流通しているとみられる。

大手 Web サービス製品に： SOA 特有のセキュリティ問題が存在 (ITmedia)

Fortify が調べたのは Apache Axis、Apache Axis 2、IBM WebSphere 6.1、Microsoft .NET Web Services Enhancements（WSE）2.0、Microsoft Windows Communication Foundation（WCF）の 5 製品。特定の設定で、不十分な認証や暗号化、反射攻撃の脆弱性、XPath 挿入問題など多数の重大なセキュリティ問題につながることが分かったとしている。

米国政府機関所有のノート PC で、暗号化されていたのはわずか 3 割 (Computerworld.jp)

「MD5 の安全性の限界に関する調査研究」に関する報告書 (IPA)

当面の対策としては、従来からいわれている「パスワードを定期的に変更すること」、「メールソフト側で、APOP の規約に従ったチェックを行うこと」の 2 点を行う必要があることがわかりました。特に、パスワードの変更周期については、使用しているパスワードやサーバーへの接続頻度によりますが、1 か月～ 2 か月毎の変更の必要性が判明しました。

セキュリティのずさんな実態 — ログインなき患者情報管理 (ITpro)

McAfee SiteAdvisor says ‘SANS, you are Bad!’ (SANS)