Winnyやりてぇー！ 初心者のための「ファイル共有入門」, 英知出版, 2005年12月発売 の内容すごすぎです。しかも、2005年12月出版という事は昨年末ではないですか、古い本かと思いました... システム管理者は本を買わなくても、せめてリンク先は参照するべきです。とにかく必見です。（ちなみ私は買いません。リンク先の内容だけでも十分...） エンドユー…

CSSを文字列として見れないようにしたMSの対策は不十分だったようですね... と言うよりリンク先の情報からすると確信犯で直していなかった（直っていなかった）ようです。 ということで、ユーザは自衛として他のブラウザを使う、サイト運営者はバグがあるブラウザに対するCSRF対策も行う必要がありますね... Firefox/Mozilla/SeaMonkeyユーザ…

WindowsマシンとLinuxマシンの両方を標的とする悪意のあるソフトが新たに出現した。 同ウイルスは、LinuxのELFフォーマットとWindowsのPEフォーマットの両ファイルへの感染力を持つ だそうです。 To infect ELF files, the virus uses INT 80 system calls and injects its b…

昨日の夜7時のNHKニュースで山田オルタナティブウィルスの件が報道されていました。IPAの方（多分IPAの方）が「基本に立ち返る必要があります。出所が不明なファイルを開いてはなりません」と言われていました。何故今頃このような報道が?と思ったら、1日300台のペースで感染が広がっているいるようです... PCがWebサーバになってしまってHDDの中身が丸見えに…

追記：このブログを記載する理由となったURLを記載された方が内容を削除されたようです。「間違っている」と言われるのは心外である、と思ったことは確かですがページの内容が削除されるのは私の本意ではありません。書かれていた情報はとても役に立つ情報だと思います。非常に残念なので再度掲載されることを望みます。（本当 ----- セキュリティ対策ではよくあることですが、…

ちょっと古いネタなのですが古いPEAR AUTHにはSQLインジェクションに対して脆弱です。Blogに書くか迷ったのですがPEARのサイトにはセキュリティ情報のページが無いので書いておきます。PEARをアップデートして使っていれば大丈夫なのですが、運用環境で理由無くライブラリをアップデートしながら使う、と言うことは考えられません。 私はPEARライブラリのヘ…

GoogleのAdWordsにおかしな広告が載っている、という話。 確かに日本ではあまり話題になっていなかったです。本当にAdWordsに掲載する方法は振り込め詐欺にも似た感じを持ちます。Googleも全ての広告主がまっとうな広告主なのか、低コストで、検証する方法は無いでしょうからおかしな広告主がいる事は簡単に予想できます。あまりに酷いと「不正な広告主をレポ…

Web Application Security ConsortiumがWeb Hacking Incidents Database (whid)のアナウンスがありました。Defacement（ページ改ざん）データベースで有名なZone-Hとは異なるアプローチのデータベースです。全てのインシデントを記録する、と言うよりメンテナが気になった（気が付いた?）問題…

前に書いたSendmail脆弱性の攻撃コードだそうです。 急いでいるとは思いますがSendmailを使っている方は早くアップグレードをしないとならないです。

OSVDBに1983年に登録されたとされる"SendmailのUnspecified Overflow"のエントリ他3つが更新されていたので、またSendmailにセキュリティホールかな?と思っていたら色々なディストリビューションからアドバイザリが出始めました。sendmailのホームページにもアドバイザリが記載されています。 任意コマンド実行など危険性が高…