気になった記事(20091012)

Security関連

• 偽ウイルス対策ソフトの配布、今度はSkypeで
  • 配布手法のみの変化ですな。まぁ、ある意味よくある話ですが。
• Hotmailに加えてGmailやYahoo!も、アカウント流出被害が拡大
  • いろいろ漏れていますが、yahoo!なんてあっという間にアカウントが漏れます。そんなの、前から判っていたこと。でも未だに対策されないんだよね。
  • ただ、対策が難しいのは事実で、結局使われるアカウントである以上、必ず漏れるはずなんですよ。だから、どこまで個人情報を収集しないか？が企業側の問題。
• 岩本隆史の日記帳
• htmlspecialcharsのShift_JISチェック漏れによるXSS回避策
• Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある
  • ああ、もうPHPはだめだ。だめすぎる。代わりはないものかなぁ？
• 全スパム送信の9割弱にボットネットが関与、メッセージラボ調査
  • Botnetを駆逐する方法を、そろそろ本気で考えて実行しないともうだめですね。
  • 法律に触れることを厭わないなら「攻勢防壁」もあり得るんだけど、これは要するにVirusだからなぁ。
• 「ウィニー」開発者に逆転無罪　大阪高裁
• 「Winny」開発者・金子勇氏、逆転無罪、大阪高裁で控訴審判決
• ウィニー：２審は逆転無罪　著作権侵害ほう助認めず
• ウィニー開発者に逆転無罪…「著作権侵害の意図なし」
• Winny開発、第2審で逆転無罪
  • ソフトウェアはあくまで道具である。道具である以上、誤った使い方をしたからと言って制作者を責めるのはおかしい。という当然の結果が認められただけ。
  • ただし、開発当時のWinnyはあくまで「未完成」といえるものであって、今の時代に合わせた対応をしなければならないという意味では問題が大きいものではある。
  • 逮捕という行為のおかげで、ソフトウェアを改変することができず（作者にその意志があったかは不明）現状のまま放置してしまったことは最悪の失敗であったと思う。
• 新種ウイルスを捕獲する“人柱型”ハニーポット，フォティーンフォティが発売
  • ハニーポット自身を販売するのか。すごいなぁ。
• MySQL のコマンドラインクライアントにおけるクロスサイトスクリプティングの脆弱性
• MySQL におけるサービス運用妨害 (DoS) の脆弱性
  • JPCERT/CC方面。しかし、かなりいやーんな攻撃です。
• Linux kernel の eCryptfs サブシステムにおけるヒープベースのバッファオーバーフローの脆弱性
• Linux kernel の eCryptfs サブシステムにおけるスタックベースのバッファオーバーフローの脆弱性
• Linux kernel の personality サブシステムにおける NULL ポインタ参照の脆弱性
• Linux kernel の ptrace_start 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の e1000_clean_rx_irq 関数における整数アンダーフローの脆弱性
• Linux カーネルの libata におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の hrtimer_start 関数における整数オーバーフローの脆弱性
• inux kernel の execve 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の do_sigaltstack 関数における情報漏えいの脆弱性
• Linux kernel の ext4_fill_super 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の ext4_isize 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の make_indexed_dir 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の ext4_group_add 関数におけるサービス運用妨害 (DoS) の脆弱性
  • 転記するのも面倒なくらい出てます。さっさと2.6.31-rc4以降に移行しなさい。
• Sun Java SE における任意のファイルを改ざんされる脆弱性
• Sun JRE で使用している Apache Xerces2 Java におけるサービス運用妨害 (DoS) の脆弱性
• Sun JRE の unpack200 ユーティリティにおける整数オーバーフローの脆弱性
• Sun JRE の Sun Java Web Start における整数オーバーフローの脆弱性
• Sun JRE のプロキシ機構実装におけるアクセス制限を回避される脆弱性
• Sun JRE のプロキシ機構実装における Web セッションを乗っ取られる脆弱性
• Sun JRE の SOCKS プロキシ実装における重要な情報を取得される脆弱性
• Sun JRE のオーディオシステムにおける重要な情報が取得される脆弱性
  • もういいからさっさとVersion Upしてくれ。いっそのこと、JREを全面交換するのもありだ。
• Apache Tomcat における Web アプリケーションに関連するファイルを読まれる脆弱性
• Apache Tomcat における有効なユーザ名を列挙される脆弱性
• Apache Tomcat のサンプル用 calendar アプリケーションにおけるクロスサイトスクリプティングの脆弱性
• Apache Tomcat におけるサービス運用妨害（DoS）の脆弱性
• Apache Tomcat における情報漏えいの脆弱性
• Apache Tomcat において不正な Cookie を送信される脆弱性
  • SUN JREだけでなく、Apache-Tomcatもだめですか。早く更新しなさい。
• Cyber Security Awareness Month - Day 5 - port 31337
• Cyber Security Awareness Month - Day 6 - ports 67&68 udp - bootp and dhcp
• Cyber Security Awareness Month - Day 7 - Port 6667/8/9/7000 - IRC: is it evil?
• Cyber Security Awareness Month - Day 8 - Port 25 - SMTP
• Cyber Security Awareness Month - Day 9 - Port 3389/tcp (RDP)
• Cyber Security Awareness Month - Day 10 - The Questionsable Ports
  • シリーズもの。全部読みましょう。
• かんぽ生命の顧客情報1万3,500件以上が、Winny経由で流出
  • というか、もうWinnyはいいじゃん？やめればいいのに。
• 「あなたのオンラインゲームのキャラクターは狙われている」IPAが注意喚起
• オンラインゲームの不正アクセス被害に注意～IPAが呼びかけ
  • だって。気をつけましょう。でも、どうしたらいいのか判らないというところが味噌ですね。
• 「最もよく使われるパスワード」が判明：流出情報分析で
  • ううむ、こんなパスワードつける人いるんだ…。
• CSKシステムズ、「PCIDSS対応システム構築サービス」を提供
  • へぇぇぇ。PCI/DSSもそれなりに知名度が上がってきたんだねぇ。
• 大塚商会、公開サイトのぜい弱性を診断する「FMS Web脆弱性診断サービス」
  • うわ、安い。なんでこんな金額でできるんだ？まぁ、ツールだけなんだろうけど、どこまでできるのかねぇ。

Computer関連

• ZFSはRAIDと相性が悪い
  • ああ、そうか。確かにZFSとRAIDは相性が悪そうだなぁ。考えてもみなかった。
• iPhoneアプリユーザーの1割が「毎日ダウンロード」　IMJモバイル調査
  • すごい、毎日ダウンロードですか。
• 24時間有人監視付きで1ラック8万円から
  • 安い、マジで安い。回線とかはどうなんだろう？

その他

• 東京で無言の「すれ違い通信」が流行る理由
  • コミュニケーション能力がこれだけ劣化していると認めるのはつらいですねぇ。
• 09年のカード決済市場2.5％減に、クレジット不振、電子マネーは堅調
  • おお、クレジットカードから電子マネーに移行しているとみていいのか知らん？
  • って、そういう訳じゃないよね。単純に財布のひもが締まっているからクレジットカードは使わず、事前決済だから電子マネーが伸びているんだろうね。
• 最も多かった「不備」はIT統制関連，監査役協会がJ-SOX初年度の状況を調査
  • こんだけJSOXとかISO27001(ISMS)とかPmarkとか言っててもこれですかい！