2015年5月23~24日のtwitterセキュリティクラスタ

あまり話題にならないLogjamですが。

Logjam対策としてApacheでDHパラメータを2048ビットにするにはApache 2.4.7以降にする必要。RHEL6のパッケージでは、httpd-2.2.15-32.el6でこの機能がバックポートされている。bugzilla.redhat.com/show_bug.cgi?i…

RHEL 6のApacheでは2014-10-13のbug fix and enhancement update(security fixではない)でDH 1024ビット以上に対応。
rhn.redhat.com/errata/RHBA-20…

Logjam の脆弱性の記事に Opera 12.17が安全だった話を追加しました
・ω・ 。o ( Opera 12最強伝説再びですね )
blog.livedoor.jp/blackwingcat/a…

ファイヤーフォックスでLogjam Attackの脆弱性回避する方法
①ファイヤーフォックスのアドレスバーに、
about:configと入力
②検索BOXで
security.ssl3.dhe_rsa_aes_128_sha
を入力(true)を(false)に変更
(続)

JJ.txtというのを入れられるのが流行っているようです

@h_okumura 岐阜県関連のサイトが多いですね。イランのセキュリティフォーラムが関わっているようですが。。。

へぇ,何で岐阜県なんでしょう RT @Chrono_Net: @h_okumura 岐阜県関連のサイトが多いですね。イランのセキュリティフォーラムが関わっているようですが。。。

@h_okumura 理由は分かりませんが、ホームページの制作元が岐阜の会社の様ですね。

あー,特定の業者の問題でしたか RT @Chrono_Net: @h_okumura 理由は分かりませんが、ホームページの制作元が岐阜の会社の様ですね。

サーバのレスポンストヘッダみるとPHP5.1.6なので一般的には大丈夫な感じなのですが、どうやって侵入したのでしょうね。HTTP以外の経路でしょうかね。とても気になります。 RT @h_okumura あちこちにJJ.txtというのが入れられている。

パスワードが甘かったとかでしょうか RT @knagasaki: サーバのレスポンストヘッダみるとPHP5.1.6なので一般的には大丈夫な感じなのですが、どうやって侵入したのでしょうね。HTTP以外の経路でしょうかね。とても気になります。 RT @私 あちこちにJJ.txt…

どなたも気づいていないんでしょうか RT @Chrono_Net: @h_okumura 大垣女子短大もその製作会社の実績として紹介されていますね。

その他に気になったことはこのあたり

脆弱性報奨金制度、開発チーム側としてはメリットしか感じないし、ハンターの皆様本当にありがとうございますという気持ちです。

ただ現実的には、日々の報告への対応コスト、脆弱性に対する知見、開発チームの理解、経営層の理解と予算確保など、敷居はそれなりにあるので、全企業が今すぐ報奨金制度を運用すべき!と軽々には言えないよなぁとは思います。

chromeのHTTP/2 and SPDY indicatorをアドオンしてみたが、結構いい!!HTTP/2とSPDYで通信しているときは、アドレスバーに雷マークが表示され、それをクリックするとchrome://net-internals/#spdyで確認することができる。

第10回情報危機管理コンテスト 経済産業大臣賞は早稲田大学!おめでとうございます! #sccs2015

『この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です』 / “Life with open mind: QEM…” htn.to/hYRyGH

研究者がRaMBLEというアプリをPlayStoreで公開。これはAndroid端末100m以内の青歯LEに繋る全てのフィットネス端末等の情報をSDカードに記録。個人の追跡や端末別に攻撃を仕掛けるための入口とする。forbes.com/sites/thomasbr…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>