www.iimc.kyoto-u.ac.jp https://www.iimc.kyoto-u.ac.jp/services/comp/pdf/file_loss_insident_20211228.pdf bash は、シェルスクリプトの実行中に適時シェルスクリプトを読み込みます。この挙動によ る副作用を認識できておらず、実行中のスクリプトが存…

「Apache Log4j」にまたRCE脆弱性 ～修正版のv2.17.1などが公開 - 窓の杜 Log4j – Apache Log4j Security Vulnerabilities Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remot…

少し調べたのでメモ 概要 外部からの入力をlog4jでそのままログ出力しようとすると、任意のコードを実行できる脆弱性 CVE-2021-45046とv2.16.0について v2.15.0で修正されたかに見えたが、MessagePatternConverter以外の攻撃経路が見つかった。そのため、v2.…

DNSがよくわかる教科書作者:株式会社日本レジストリサービス（JPRS）,渡邉 結衣,佐藤 新太,藤原 和典SBクリエイティブAmazon DNSの知識が足りていない気がして教科書的なものを読んでみたくなって、読んでみた。 DNSの基本的な仕組みから、DNSSECやQNAME min…

ALPACA Attack 論文ちょっと読んでみた。 サーバAへのリクエストを同じサーバ証明書を利用している別プロトコルのサーバBに流すことで、秘密情報を盗んだり、XSS攻撃をすることができるという話。攻撃者はクライアントとサーバの間にいて、TLS通信を本来のサ…

接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討について(pdf) を読んでみたのでメモ 匿名化されている部分 事業者の名前が匿名化されているけども、委託事業者はパーソルプロセス＆テクノロジー、再委託事業者Aは日本マイクロソフト、再…