Category: Java
PostgreSQLカンファレンス2008
June 3rd, 2008PostgreSQLカンファレンス2008が今週金曜日(6/6)に開催されます。
http://www.postgresql.jp/events/postgresql-conference-2008
例年通り参加費が必要ですが懇親会費込みです。
参加費:
カンファレンス ならび に懇親会 4,000 円
チュートリアルも含むカンファレンス ならびに 懇親会 10,000 円
今回のカンファレンスの目玉は色々ありますが、その一つはチュートリアルセッションです。まだ、空席が残っているようなのでライセンスもBSDでMySQLよりも使いやすいPostgreSQLを始めてみたい方には良いチャンスだと思います。新人研修の一環としても良いと思います。
* MySQLユーザのためのPostgreSQL入門
(リナックスアカデミー 学校長 濱野 賢一朗 氏)
興味がある方は是非カンファレンスにお越し下さい。
Posted in Linux, Windows, PHP, PostgreSQL, Ruby, Java, MySQL, SQLite, Webシステム開発, Mac, Perl, Python
| 
Permalink
| Send feedback »
Webアプリスキャナの性能
October 24th, 2007Link: http://ha.ckers.org/blog/20071014/web-application-scanning-depth-statistics/
NTOSpider, AppScan, WebInspectとメジャーなWebアプリスキャナの性能を比較した方がいるようです。結果のPDFは以下のURLです。
http://ha.ckers.org/files/CoverageOfWebAppScanners.pdf
Forty Tracerを使ってスキャン中のコード実行カバレッジを利用してアプリケーションスキャナの性能を評価しています。
結論はNTOSpiderがダントツの性能のようです。AppScan、WebInspectは同じ程度となったようです。いずれにせよWebアプリスキャナは「セキュリティを維持」する為のツールではなく「最低限のセキュリティが維持できているかチェック」する為のツールなので多少の性能差ならそれほど気にする必要はないでしょう。しかし、多少と言える性能差ではないのでIBMとHPには頑張ってもらいたい所です。
J2EEアプリが対象との事ですが脆弱性だらけ(NTOSpiderは200以上の脆弱性を見つけている)と判定されたOpenCMSとはどれの事なのでしょうね?
なのは確かだと思いますが、どのバージョンを使ったか書いていないようです。
ちなみにSecuniaのデータベースだとOpenCMSにはそれほど脆弱性が登録されていません。
http://secunia.com/product/6531/?task=advisories
単純に誰もセキュリティチェックしていないだけなのかも知れません。Javaアプリなので個人が気軽にCMS、といった形でなく企業が使っている可能性が高いと思われます。使っている方は念のために自分でチェックした方が良いかも知れません。
# JSPWikiといい、Javaベースのアプリにも問題が多い予感がします。
Posted in Security, Java, Webシステム開発
| Permalink
| Send feedback »
Javaの脆弱性
October 10th, 2007書かない日記なので書きませんがJava(JRE,JDK,SDK)の脆弱性が多数CVEとして公開されています。数日前のアップデートで更新されていると思いますが、WindowsUpdateのついでにJavaもアップデートの確認をした方が良いです。
アプレットを使ったリモートからの任意ファイルの読み取り、DNS Rebinding攻撃に対する防御などいろいろアップデートされています。
勝手に更新するように設定していたはずのPCでもJavaアップデータのバグか何かで更新ができていないPCもあるのでちょうど良い機会のなので念のために確認するのも良いと思います。
JRE1.6ならJRE Update 3(1.6.0_03), JRE1.5ならUpdate13, JRE1.4なら1.4.2_16になっていればOKです。
CVEの一部
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5274
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5273
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5239
Posted in Security, Java
| Permalink
| Send feedback »
JSPWiki?
October 1st, 2007JSPWikiの脆弱性がCVEに書いてあったので見てみました。
JSPWiki: http://jspwiki.org/
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5121
Cross-site scripting (XSS) vulnerability in
JSPWiki 2.5.139-beta allows remote attackers to inject
arbitrary web script or HTML via the redirect parameter
to wiki-3/Login.jsp and unspecified other components.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5120
Multiple cross-site scripting (XSS) vulnerabilities
in JSPWiki 2.4.103 and 2.5.139-beta allow remote
attackers to inject arbitrary web script or HTML
via the (1) group and (2) members parameters in
(a) NewGroup.jsp; the (3) edittime parameter in
(b) Edit.jsp; the (4) edittime, (5) author, and
(6) link parameters in (c) Comment.jsp; the (7)
loginname, (8) wikiname, (9) fullname, and (10)
email parameters in (d) UserPreferences.jsp and
(e) Login.jsp; the (11) r1 and (12) r2 parameters
in (f) Diff.jsp; and the (13) changenote parameter
in (g) PageInfo.jsp.
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5119
JSPWiki 2.4.103 and 2.5.139-beta allows remote
attackers to obtain sensitive information (full path)
via an invalid integer in the version parameter
to the default URI under attach/Main/.
要約すると「クロスサイトスクリプティングをはじめセキュリティの事を全く考えずに作ってしまいました」という感じ(?)です。
安定版のソースをダウンロードして見てみました。JSPWikiとなっていたので、全部JSP?と思いましたが違いました。zipで6MBあるので結構な分量です。
[yohgaki@dev JSPWiki]$ find . -name "*.jsp" | wc -l
55
[yohgaki@dev JSPWiki]$ find . -name "*.java" | wc -l
430
[yohgaki@dev JSPWiki]$ find . -name "*.jar" | wc -l
29
インストールに必要な環境
* Java (1.4 for 2.2)
* To know what a WAR file is and how to use it.
* A Servlet 2.3 -compliant web server. JSPWiki of course runs on 2.4 -compliant servers, we just don't require anything more than 2.3. Containers that are known to work include:
o Tomcat (4.0 and higher) works quite nicely. For best results, we recommend Tomcat 5.5.
o See below for more container-specific notes
* A server to run your Wiki on. It does not have to be a very big server: JSPWiki has been run on a 266 MHz Pentium II with 192 Mbytes of memory.
* Some patience (the setup is not as easy as I would like it to be)
* If you want to email things, you need JavaMail and the Java Activation Framework JARs. Email is needed for password recovery, or error logging (log4j) if you wish to configure it that way.
初めての脆弱性レポートなのか調べてみると
http://secunia.com/advisories/13285/
がありました。
Release Date: 2004-11-24
Last Update: 2005-02-21
3年前くらいによくありそうなQueryパラメータのクロスサイトスクリプティング脆弱性がレポートされています。どうしてこんな感じになってしまったのか時間がある時に調べたいです。
Posted in Security, Java, Webシステム開発
| Permalink
| Send feedback »
Tomcat 3.3.0 - 3.3.2にクロスサイトスクリプティング脆弱性
August 8th, 2007IPAのドキュメントでは大規模開発にはJava, .NETをお勧めしているようですがTomcatのページにはこのような記載も。
Apache Tomcat 3.x and 4.x, we strongly encourage users to use the latest stable version of Apache Tomcat whenever possible. We recognize that upgrading across major version may not be a trivial task, and some support is still offered on the mailing list for users of old versions. However, because of the community-driven support approach, the older your version the less people would be interested or able to support you.
つまり3.x, 4.xユーザは早く6.xに乗り換えてねと言う事です。PHP4の状況と同じですね。
そして現行の3.3.xの最新版に未パッチ(私が見た情報には詳しい記述がなかったので詳細は分かりません。もうすぐパッチはリリースされるのかな?)のXSS脆弱性があるようです。IPA的にはJavaは良いけどTomcatは大規模開発には使うなと言う事なのかな?
MoPBの邦訳をしていたので「例えば大規模開発にPHPは使用しない」(IPAのページが見つけられなかったので正確な言い回しでは無いかもしれません)と言う表現に一役買っているとも言えますが、私としてはどうもドングリの背比べに見えるのですけどね...
機会がある毎に、言語やフレームワークでより安全なWebサイトが作りやすくはなっても、言語やフレームワークで安全性を保証できない、と言っています。「○○言語利用しているので安全です」とか「○○フレームワークを利用して構築しているので安全です」とは言えないことは明らかです。バージョンアップについても状況は違っても似たような状態だと思います。
Posted in Security, Java, Webシステム開発
| Permalink
| Send feedback »
Apache MyFaces Tomahawk JSF Framework Cross-Site Scripting
June 21st, 2007Link: http://www.securiteam.com/unixfocus/5QP0M00LPS.html
6/12にApache MyFaces TomahawkにXSS脆弱性が修正されています。
Java Server Faces, JSF, is "a framework used to create server side GUI Web applications. It is comparable to the Java Struts framework. Apache MyFaces Tomahawk is an open source implementation of JSF. The Tomahawk version contains Apache extensions to the base specification". Remote exploitation of an input validation vulnerability in Apache Software Foundation's MyFaces Tomahawk JSF framework could allow an attacker to perform a cross-site scripting (XSS) attack.
autoscroll属性に設定された値がバリデーション、エスケープ処理無しにそのまま出力されている事が原因だそうです。1.1.6で修正されています。
http://www.vulnerable.tld/some_app.jsf?autoscroll=[javascript]
の様に簡単に攻撃出来てしまうので価値が高いサイト(JSFで作ってあるサイトの多くは攻撃対象となるようなサイトばかりと思いますが..)の場合は早めに対処した方が良いと思います。
JSFでサイトを作ると結構簡単にインタラクティブなサイトを作れますが、セキュリティの多くはフレームワーク任せになってしまいます。あまりMyFacesの脆弱性は聞きませんが見つかった場合の対処は最初から決めておかなければなりません。JSFを使って開発しているようなサイトの場合、セキュリティポリシーもしっかり定義してあるはずなので大丈夫だとは思いますが、動きが遅いところもあるので...
MyFaces Tomahawk 1.1.6 has been released. This is an important security related update that fixes a severe XSS (cross-site scripting) bug in the Tomahawk 1.1.5 release (CVE-2007-3101).
MyFacesのサイトでは「severe XSS bug」と記載されている様に非常に危険なバグです。
ところで、TomcatにもXSS脆弱性が公開されています。こちらは対策が無い状態ですがしばらくするとアップデートが公開されると思います。きちんとしたサイトがサンプルプログラムをインストールしていたりはしないと思いますが、アップデートが公開されるまでは管理者インターフェースのXSS脆弱性にはログアウトで対策するしか無いです。
Posted in Security, Java, Webシステム開発
| Permalink
| Send feedback »
Open Ajax
February 6th, 2006Link: http://zimbra.com/community/open_ajax.html
Ajax普及目指すオープンソースプロジェクト「Open Ajax」をIBMやその他の会社がはじめた、とニュースリリースがりました。
ApacheとMozilla Pulicライセンスに基づき公開されるAjaxランタイムツールキットを提供するZimbraのサイトにデモアプリケーションがありました。メールとスケール管理のアプリケーションですが、ここまでやれば従来型のクライアントサーバ型アプリケーションと変わらない状態です。
http://zimbra.com/products/hosted_demo.php
「Skip Registration, go to Demo」ボタンを押せばデモアプリケーションを利用できます。日本語対応も考えられている(?)らしく日時は日本語で表示されていました。
オープンソース化されるツールキットはこちら。
http://zimbra.com/community/ajaxtk_download.html
ページを見れば分かりますが、ApacheかMPLのどちらかのライセンスを選択できるようになっています。
参考
http://zimbra.com/community/open_ajax.html
http://www.itmedia.co.jp/enterprise/articles/0602/02/news011.html
Posted in Java, Webシステム開発
| Permalink
| 1 feedback »
RedHatのWeb開発スタック
December 11th, 2005Link: http://br.sys-con.com/read/162109.htm
LAMP+PostgreSQLはシンプルなサイト用に
Red Hat says the Web Application Stack is for simple web sites and applications, and includes the key LAMP components Apache HTTP Server, MySQL database and the PHP scripting language on top of Red Hat Enterprise Linux. Customers will be able to choose the PostgreSQL database, which will be an option with the Web Application Stack.
http://www.redhat.com/docs/manuals/database/
にあるようにRedHatはPostgreSQLを推進(RedHat Databaseの中身はPostgreSQL)するはず、だったのですがRHDBをバージョンアップしませんね...
Javaは何でもあり用に
It says the Java Web Application Stack is for more dynamic web applications and supports all the components of the Web Application Stack - in other words LAMP plus PostgreSQL - as well as the Apache Tomcat servlet and JSP Container. There will be support and updates for the key Java development libraries and tools - Apache Struts, Apache Axis, Spring, Hibernate, Lucene, Ant, Junit, Jython, Log4J and key XML libraries.
JythonがあるあたりはRedHatらしい。
基情報となる情報をRedHatのサイトを探してみまると2005/12/6のプレスリリースが基ネタのようです。
Posted in Linux, PHP, Java, Webシステム開発
| Permalink
| Send feedback »
Javaのセキュリティホール
June 20th, 2005Link: http://news.com.com/Java+flaws+open+door+to+hackers/2100-1002_3-5746913.html?tag=cd.hed
このセキュリティーホールは1週間ほど前に報告されている問題で、ちょっと古いですがメモとして残しておきたいので書いておきます。
The flaws are "highly critical," security monitoring company Secunia said in an advisory posted Tuesday.
自動更新を有効にしている場合、アップデートが自動的に行われます。私のPCも先週「アップグレードしてください」と表示されました。
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101749-1
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101748-1
適当なニュース記事を探そうと、CNet Japanを見ても記載されていないので本家を見て見ると載っていました。日本語版でも載っていたほうが良い様な気がします。
Posted in Security, メモ, Java
| Permalink
| Send feedback »
XML Feeds