iyuichiの私的開発ログ

渋谷で働くWebエンジニアのログ. Java, Android, iOS, Docker, GCP, AWS, ゲーム開発

セキュリティ

glibc ライブラリにバッファオーバーフローの脆弱性GHOSTの状況 (CVE-2015-0235, JVNVU#99234709)

この辺のアプリが影響受けないなら様子見だな。 優先度は下げてタイミングをみてアップデートを実施。 apache, cups, dovecot, gnupg, isc-dhcp, lighttpd, mariadb/mysql,nfs-utils, nginx, nodejs, openldap, openssh, postfix, proftpd,pure-ftpd, rsyslo…

twitterのスパム

まんまとひっかかってました。。。 TwitterでスパムDMが出回っている。DMに書かれたURLのページでボタンをクリックすると、同じDMをフォロワーに送り付けるという仕組み。日本のユーザーも被害にあっている。

javaのDNSキャッシュ

・networkaddress.cache.ttl ⇒ sun.net.inetaddr.ttl ・networkaddress.cache.negative.ttl ⇒ sun.net.inetaddr.negative.ttlデフォルトは-1で無限キャッシュ。 うろ覚えだが、DNS Rebindingを防ぐために無限になってたと思う。 TomcatなどのWebアプリで再起…

スプーフィングとは「なりすまし」

IPスプーフィング †TCP通信ではサーバとの通信時のスリーウェイハンドシェイクの際シーケンス番号を毎回発行するのですが、その番号が規則性を持って発行されている場合、推測が可能となります*1。 これを利用して攻撃対象サーバーの初期シーケンス番号を推…

新たなSQLインジェクション

これまではホームページからの入力として使用される「GET」または「POST」という形式でのインジェクション攻撃が通常だったが、今回は「Cookie(クッキー)」を経由してSQLインジェクション攻撃が行われていたのだ。また同時に、JSOCの…