2016年4月27日のtwitterセキュリティクラスタ

Apache Struts2が大変なことになっているようですね。

Apache Struts2 の脆弱性(S2-032/CVE-2016-3081)の件… / Struts2|血洗 – サイバー中国 thalys.hatenablog.com/entry/2016/04/…

中国・インドはStruts2大好きですもんねぇ(ω・ 中国の方と仕事したときも私の名前知ってたし、
中国の方から直接質問もらったことあるくらいです。
ちなみに2.0のまま放置されてるとかもアルミタイデスヨ

ちなみにS2-032の件は、DMIをわざわざtrueにしていると発生します。デフォルトはfalseです。確か2.3になる前くらいからやんわりと非推奨です。#Struts2

連休前の最高のタイミングでリリースされたStruts2の脆弱性情報で、魂が抜けたエンジニアがそれなりにいると思うの

[エンタープライズ]Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開 bit.ly/1WSiTTE

Webアプリケーションフレームワーク「Apache Struts2」に、深刻な脆弱(ぜいじゃく)性が存在することが明らかになった。この脆弱性を狙うアクセスも観測されており、修正版へのアップデートといった速やかな対策が推奨される。 fb.me/7KmoN1z0N

Struts 2の脆弱性狙う攻撃が国内でも発生、至急回避策を(ニュース) itpro.nikkeibp.co.jp/atcl/news/16/0…

Apache Struts2に深刻な脆弱性、アップデートや回避策の実施を推奨 atmarkit.co.jp/ait/articles/1…

Struts2がみんなのGWを台無しにする

その他に気になったことはこのあたり。

久々に日記を更新:「ケータイキット for Movable Type」のOSコマンドインジェクションの修正」 bakera.jp/ebi/topic/4911

@bakera ばけらさん、私もソースを追っかけてみたのですが、攻撃経路はファイル名ではなく、オプションの方だと思います。ファイル名は存在チェックがあり攻撃が難しいですが、オプションはほぼノーチェックでconvertコマンド等に渡されていたようです

@ockeghem 情報ありがとうございます。となると、「緊急パッチ」とは一体なんだったのかという疑問が出てきますね……。

@bakera そうですね。私の見逃している経路がファイル名側にあるか、とりあえず気がついた箇所を直した、でしょうか。オプションで攻撃ができたことは確認済みです

社会人の方でセキュリティ・キャンプに参加されたい方は、お金で解決という方法もあります。セキュリティ・キャンプ実施協議会 会員企業になれば全国大会を見学、卒業生へのインターンシップ募集等も行えます。 security-camp.org/member/index.h… #spcamp #seccamp

新着記事:ハッカーに狙われたサイバー武器商人「Hacking Team」(前編)侵入犯が手口公開?
bit.ly/1WS07vt

おいおい…「本来ホストごとに固有であるはずのSSHホスト鍵が同一になっているものがあることが判明」:【重要】SSHホスト鍵の再作成のお願い | さくらのクラウドニュース cloud-news.sakura.ad.jp/2016/04/27/ssh…

感染したランサムウェアをセキュリティソフトで駆除し、喜んでいた飯野節夫さん(43才・仮名)でしたが、どうやら暗号化されたファイルが復旧できていないことに気付いてしまったようです。【ご案内】にそこはかとなく漂う絶望感(合掌) twitter.com/ntsuji/status/…

WordPress 4.5.1 does not fix the two issues we reported yet. It’s complicated, you’ll see why soon in the bug reports once public 😀

NTTソフト、データの不正受け渡しを防止する「Crossway/データブリッジ」 dlvr.it/L8zvFb

バングラデシュ中央銀行からの不正送金、カスタムメイドのマルウエアでSWIFTのソフトをハイジャック(Computerworldニュース) itpro.nikkeibp.co.jp/atcl/idg/14/48…

SWIFTの提供する国際決済ネットワークの脆弱性が明らかに japan.cnet.com/news/society/3…

itmedia.co.jp]「Firefox 46」安定版が公開、深刻な脆弱性を修正 bit.ly/1pDbKZS

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>