Dev2Dev Online: Security Advisories and Notifications

セキュリティ

Beaから大量のセキュリティアドバイザリとパッチが出ています。

2007/5/14 BEA07-174.00 Non-trusted Applets may be able to elevate privileges advisory High High JRockit prior to R26.0.0 1.4.2_07
JRockit prior to R26.0.0 1.5.0_04
2007/5/14 BEA07-173.00 An Application started through Java Web Start may be able to elevate its privileges advisory Medium Medium JRockit prior to R26.0.0 1.4.2_07
JRockit prior to R26.0.0 1.5.0_04
2007/5/14 BEA07-172.00 Buffer Overflow in processing GIF images advisory High High JRockit prior to R26.0.0 1.4.2_07
JRockit prior to R26.0.0 1.5.0_04
2007/5/14 BEA07-171.00 Non-trusted Applets may be able to exploit serialization condition to elevate privileges advisory High High JRockit prior to R26.0.0 1.4.2_07
JRockit prior to R26.0.0 1.5.0_04
2007/5/14 BEA07-170.00 Exposure of filenames in development mode advisory Low Medium WLI 9.2
WLI 8.1 (SP2-SP6)
2007/5/14 BEA07-169.00 WebLogic SSL may verify RSA Signatures incorrectly if the RSA key exponent is 3 advisory High Medium WLS 9.2
WLS 9.1
WLS 9.0
WLS 8.1 (-SP6)
WLS 7.0 (-SP7)
2007/5/14 BEA07-168.00 An SSL port may be susceptible to a Denial of Service attack advisory Low Low WLS 9.2
WLS 9.1
WLS 9.0
2007/5/14 BEA07-167.00 Inadvertent corruption of entitlements could result in unauthorized access to protected resources advisory Low Low WLP 9.2
2007/5/14 BEA07-166.00 Cross-site scripting attacks in the WebLogic Portal Groupspace application advisory Low Medium WLP 9.2
2007/5/14 BEA07-165.00 WebLogic JMS Message Bridge not enforcing proper credentials to access a protected queue advisory Medium Low WLS 8.1 (-SP6)
WLS 7.0 (-SP7)
2007/5/14 BEA07-164.00 Security policy may not be applied to WebLogic administration deployers when uploading archives advisory Medium High WLS 9.1
WLS 9.0
2007/5/14 BEA07-163.00 The WLST script generated by configToScript may not encrypt sensitive attributes when creating a new domain. advisory Low Medium WLS 9.1
WLS 9.0
2007/5/14 BEA07-162.00 The WebLogic console may display certain Web Service sensitive attributes in clear text advisory Low Medium WLS 9.0
2007/5/14 BEA07-161.00 WebLogic Server Embedded LDAP may be susceptible to a brute force attack advisory Medium High WLS 9.1
WLS 9.0
WLS 8.1 (-SP5)
WLS 7.0 (-SP6)
2007/5/14 BEA07-160.00 Security policies may not be enforced on WebLogic JMS servers advisory Medium Medium WLS 8.1 (-SP4)
WLS 7.0 (-SP6)
WLS 6.1 (-SP7)
2007/5/14 BEA07-159.00 Requests served through WebLogic proxy servlets may acquire elevated privileges advisory Medium High WLS 9.1
WLS 9.0
WLS 8.1 (-SP5)
WLS 7.0 (-SP7)
WLS 6.1 (-SP7)
2007/5/14 BEA07-158.00 The Tuxedo cnsbind cnsunbind and cnsls commands may echo sensitive information in clear text advisory Low High Tuxedo 8.1
Tuxedo 8.0
WLE 5.1
2007/5/14 BEA07-80.03 Patches available to prevent multiple cross-site scripting (XSS) vulnerabilities. advisory High High WLS 9.1
WLS 9.0
WLS 8.1 (-SP5)
WLS 7.0 (-SP7)
WLS 6.1 (-SP7)

あとはWLSの昔取った杵柄さんにお願いしますw

ITmedia エンタープライズ:Samba、3件の脆弱性に対処した最新版公開

セキュリティ

Sambaに3件の脆弱性を修正した新バージョンが出ています。

US-CERTは14日、Sambaに関して2件のアドバイザリーを公開した。このうちNDR構文解析に関するヒープバッファオーバーフロー脆弱性は、MS-RPCパケットの認証が不適切なことに起因し、リモートの攻撃者に任意のコードを実行される可能性がある。

3件目の脆弱性は、悪用されるとユーザーが一時的にroot権限を取得できてしまう。
Samba 3.0.25のソースコードはSambaのサイトからダウンロードできる。Samba 3.0.25rc3のパッチファイルをダウンロードすることも可能。

関連URL

日立が1万台の社内サーバーをブレード3000枚に統合開始、まずは財務会計:ITpro

セキュリティ

日立が2010年までに社内サーバーをブレードサーバーに前面統合するそうです。1万台が3000枚のブレードに収まるんだ。

日立製作所はグループ内で運用している業務サーバー群を、2010年までにブレード・サーバーにほぼ全面的に統合する。約1万台あるUNIX/IAサーバーを、約3000枚の同社製ブレード・サーバーに置き換える。

年間70%もへるのか?!?!本当かよく分からないけどある視点では劇的に費用が下がるそうです。

日立はブレード・サーバーの新システムへの移行メリットを定量的かつ客観的に示すため、米ガートナーに評価を依頼。このほどガートナーが独自の性能指標「GEMs」を用いて算出した。これによるとコストをGEMsで割った値、つまり価格対性能比が旧システムから6.9倍向上したという。最も大きな効果はサーバーやソフトウエアへの初期投資や運用費などを合わせたコストで、年間約70%の削減となった。

MS、「Longhorn Server」正式名称をフライング掲載 - ZDNet Japan

セキュリティ

Longhornの製品名は、Windows Server 2008だそうです

Microsoftからまた、「Longhorn Server」の正式名称が「Windows Server 2008」であるという情報がリークした。

営業とSEは一つのチームである:ITpro

セキュリティ

SEと営業が相乗効果をだすと1+1が2以上になりエルというお話で、SEとしての心構えが書かれていますね。

営業1人とSE1人が仕事をすると相乗効果が働き「1+1>2」の式が成り立たなければならない。そのためには営業は営業らしい仕事を,SEはSEらしい仕事を行い,お互いが切磋琢磨することが肝要である。SEが営業の言いなりになったり,営業に遠慮したり,迎合したり,またSEが勝手だったりすると,なかなか相乗効果を発揮できず,1+1<2にしかならない。当ブログの3月9日号で大体こんなことを述べた。

顧客第一主義

1番目だが,当時筆者はそんなSEには「営業とSEは同じ顧客を担当する一つのチームなんだよ。君がそのチームの中のSEであることを忘れて貰っては困る。SEの中には往々にしてそれを忘れている人がいる。そんな人は営業などから何か頼まれると,それがSEの仕事かどうか考え,そしてそれがSEの仕事でないと思うとすぐ顧客やビジネスのことは考えずに“それはSEは関係ない”などと言う。だがそれは間違いである。あくまでも第一線部隊では顧客やビジネスが“先”でSEが営業が云々と言うのは“後”である」と良く話していた<<

守備範囲は自分で決めるのではなく、やってはいけないもの以外をやるようにすれば抜けが無くなる。

2番目は,SEの仕事の範囲をどう考えるかという問題である。
SEは往々にして「SEは何をやるべきか」と考えて自分のやることを決める。この思考のやり方だと「SEの仕事はこれこれだ。これ以外はSEの仕事ではない」と考えやすい。すると日頃の仕事の中で,「これはSEの仕事だ,これ以外は関係ない」ということになり,結果として両者の間に漏れが生じやすい。

「ただ,SEがやってならないことは3つある。それは価格と納期と契約書の3点だ。これだけはSEは手を出すな。この3点はSEがやって間違えたら責任をとろうにもとれない。しかも下手をすれば営業の首が飛ぶ」とも話していた。

ソースネクスト、Webブラウザー上で利用できる無料のオフィスソフト「ThinkFree てがるオフィス」を発表 / デジタルARENA

セキュリティ

Webブラウザで使えるOffice互換のサービスらしいです。Web3.0ですな。

これで、メールクライアントがWebブラウザならクライアントOSなんて、気にならなくなりますね。ActiveX依存じゃないみたいですねぇ。

このThinkFree てがるオフィスは、ThinkFree社が開発した「ThinkFree Online」をソースネクストが日本語化したもの。パソコンにインストールするアプリケーションではなく、インターネットに接続すればWebブラウザー上で利用できるのが特徴だ。アプリケーションを事前にインストールしておく必要がないため、インターネットに接続できる環境があれば利用できるほか、WindowsMacintoshなどパソコンの種類を問わずに使える。

社内情報共有に「ブログ+RSS」が浮上:ITpro

セキュリティ

社内もBlogとRSSで情報収集ですか、SharePointRSSを表示させるのもおもしろそうですね。もっと画像とか出てくれたらいいのに>SharePointRSSプラグイン・・・

SNSRSSとで今後は、グループウエアに置き換えになるんでしょうかねぇ。

ブログを閲覧するだけなら、クライアントにインストールする一般的なRSSリーダーで問題ない。しかし、7種のブログすべてを社員に自分でチェックさせると逆に、業務効率が下がりかねない。そこでサーバー型RSSリーダーでブログの更新情報を集約し、操作負荷を下げながら社員の情報共有を徹底する。「勤怠管理や経費精算といった業務用サイトも、サーバー型RSSリーダー経由でしかアクセスできないようにした」(経営戦略部)。

「このWindowsは別の利用者に使用されています」と表示するマルウェア | エンタープライズ | マイコミジャーナル

セキュリティ

極悪なソフトですねぇ。ソーシャルエンジニアリングいっぱい。確かにXbox360ではカード番号を聞いてきますよね>Microsoftあり得る内容ですよねぇ。

Trojan.Kardphisherに感染すると、再起動後に英語で「このWindowsは別のユーザに使用されています。再アクティベーションが必要です。再アクティベーションには支払い方法の情報が必要ですが、チャージされることはありません」というウインドウが表示されるという。その後、「再アクティベーションを行う」を選択すると、下図のようなウインドウが表示され、クレジットカード番号や電子メールアドレス、電話番号などの入力が促される。また、「再アクティベーションを後で行う」を選択すると、Windowsがシャットダウンしてしまうという。

Cisco IPS Full/Half Width Unicode Detection Evasion Vulnerability

セキュリティ

Cisco IOSにHTTPトラフィックをバイパスするような脆弱性があるそうです。

Cisco IPS is reportedly prone to a vulnerability that may allow malicious HTTP traffic to bypass detection.
Attackers may bypass the Cisco IPS by sending this type of HTTP data to evade detection and perform further attacks.
Cisco has stated that all IOS releases that support the Firewall/IPS feature set are affected. Although we currently have no definitive list of such versions, Symantec is investigating the matter and will update the affected technologies appropriately.

特集記事:セキュリティ対談 - 株式会社 ラック

セキュリティ

ず♪経由)

最近は愉快犯よりも、どうやってお金をゲットするかにサイバー犯罪者も変わってきていますね。トップページ監視なんて時代遅れか・・・

[新井氏 (以下、敬称略)] ホームページを書き換えるなどの愉快犯的なセキュリティ事件は以前からありましたが、現在は犯罪を目的としたセキュリティ事件が多発しており、コンピュータ犯罪が世界的に影響を与えています。
インターネットというボーダーレスな空間を利用し、犯罪の標的となるコンピュータの場所も関係なくなってきています。あらゆるコンピュータが犯罪のインフラとして勝手に使われる危険性があるのです。

あとでよむ

雑記