GHOSTを使って攻撃できるケース

glibcのGHOST脆弱性の内容と検出」はしっかり調べた上で書いていなかったので別エントリとしてまとめておきます。

追記:簡単だったので書かなかったのですが、バリデーション方法がない、とのご意見があったので「ホスト名バリデーションのやり方」を書きました。こちらもどうぞ。

追記:新しいgetaddrinfo問題の方はこちら

“GHOSTを使って攻撃できるケース” の続きを読む

glibcのGHOST脆弱性の内容と検出

glibcのgethostbynameのバッファーオーバーフローバグであるGHOSTがどのようなバグだったのか気になったので調べてみました。Twitterで「GHOSTは4バイトだけオーバーフローする」といったツイートを見かけたことが調べはじめた切っ掛けです。

追記だらけになって解りづらいので別エントリでまとめています。

http://blog.ohgaki.net/glibc-ghost-revisited

参考:より新しいglibcのgetaddrinfoの問題はこちら

“glibcのGHOST脆弱性の内容と検出” の続きを読む

PHP7の現状

PHP7が今年の秋リリースされる予定です。まだまだ多くの変更が行われる予定ですが、現状を簡単にまとめてみたいと思います。代表的な物のみ取り上げています。

ご存知ない方の為に書いておきます。現在リリースされているPHPはPHP5です。次のPHPはPHP7になり、PHP6はリリースされません。PHP6をUnicodeをネイティブ文字列としてサポートするバージョンとして開発されましたが、文字エンコーディングチェックを内部で自動的に行おうとするなど、無駄が多く遅いため破棄されました。(文字エンコーディングのバリデーションは本来アプリでするものです)このため、PHP6はスキップされ次のPHPはPHP7になります。

追記:PHP7.0は既にリリースされています。概要はPHP 7.0の概要・新機能・互換性、詳しくはマイグレーションドキュメントをご覧ください。

“PHP7の現状” の続きを読む

Software Design 2015年2月号とインフラエンジニア教本

久しぶりのSoftware Design (ソフトウェア デザイン) 2015年 02月号 [雑誌]
に寄稿させていただきました。テーマは「開発者は、セキュリティ問題を自己解決できるのか?」です。Software Designの見本と一緒に別冊の「インフラエンジニア教本 ~ネットワーク構築技術解説 (Software Design 別冊)」も頂きました。こちらも簡単に紹介します。

“Software Design 2015年2月号とインフラエンジニア教本” の続きを読む

謹賀新年 平成27年

謹賀新年 平成27年
謹賀新年 平成27年

新年明けましておめでとうございます!

旧年中に大変お世話になった皆様、本当にありがとうございました。本年もよろしくお願いいたします。