ちょうど１週間前にこんな記事を書きましたが……pslabo.hatenablog.com 昨日付けで JVN からも情報が出てきました。 JVNVU#94276522: Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性これまでにいろいろなところで書かれている情報に対し…

2015/11/17追記 JVN や CERT、MITRE に情報が出てますので、こちらも併せてお読みください。 JVNVU#94276522: Apache Commons Collections ライブラリのデシリアライズ処理に脆弱性 Vulnerability Note VU#576313 - Apache Commons Collections Java library…

セキュリティホールmemo MLの[memo:8303] なりすまし？架空請求？で、架空請求のメールに記載された「申し込み時IPアドレス」の信頼性が薄い、という記述があったので、それならば信頼性を高める方法はないだろうかと思って考えたメモ。■準備するもの メール…

先日の日記 最近の会計ソフトってこんなもの？？にも書きましたが、PCA会計8というソフトは動作するために Administrator 権限を必要とするようです。（Power Users でも動くらしいけど僕の環境では動作確認できていない）これは非常に困るのですが、このソ…

高木浩光さんのblogから。 http://d.hatena.ne.jp/HiromitsuTakagi/20041027山梨県、富山県、茨城県、徳島県の電子申請システム用ドメイン名はダメすぎ。こういうときにお役所が杓子定規に「お役所仕事」をすれば、必然的に lg.jp や地域型JPドメインを使う…

また読売テレビだよ。今年の2月13日にも 読売テレビ、イベント当選者のアドレスをメールのCCに入力して流出と報じられているのに、この会社、全く懲りてません。このときは「今後は2重にチェックするなどの対策を実施し、防止に努めたい」とコメントしていた…

同社によると、ｅｚ−ｗｅｂ用のセキュリティー保護を誤ってｉモード用のシステムに設定したため、ユーザーＩＤの混同が起こった。EZ-Web用のセキュリティ保護、というのが何を意味しているかわからないけど、端末識別にHTTP_X_UP_SUBNOを使っていたのかな。E…

インターネットウォッチの記事によれば、本件に関するお詫びの文書が http://www.ytv.co.jp/owabi.html (読売テレビのサイト) に掲示されていたはずなのですが、このファイルは既に存在しないようです。こんな事故は無かったことにしたいのでしょうか＞読売…

今日のニュースから。 おれおれ詐欺、弁護士も被害…息子と信じ４０万円 「孫への思い逆手に…」 おれおれ詐欺未だに被害者が絶えない「おれおれ詐欺」。なんでこんなにおれおれ詐欺に引っかかってしまうのかと思うのだ。おれおれ詐欺の基本パターンは「電話が…

ネタ元: セキュリティホール memo ML http://memo.st.ryukoku.ac.jp/archive/200402.month/7108.htmlあるサイトのセキュリティ上の問題を、第三者からの情報で知ったときに、その問題の再現方法をそのまま真似したらイカンということですね。掲示板にリンク…

こんなのは前世紀の遺物だと思っていたんですが、いまだにこういうミスが起きますかね。こんなソフトを使ってたら、防止できたのかな。メール送信業務は株式会社日本ワーカーズに委託していたそうですが、この会社のサイトには本件に関する掲示は 19:20時点…

個人情報が漏れたのではなく「公開」してます。事の経緯は、西日本新聞にハンセン病宿泊拒否 入所者を元組員扱い アイスター理由説明で例示という記事が掲載されたため、それに対する事情説明として、抗議者とのやりとりを公開したようです。(抗議者の名前、…

これはネタなのか、マジなのか。 マジだったら怖いなあ。16:00 追記 これはヨセフアンドレオンの声明文に対する皮肉なんでしょうね。

昨日はめんどくさいという理由でツッコみを入れなかったんだけど、 いつのまにかページが消えてますね。非難や抗議でもあったのでしょうか。むしろ、非難や抗議をせずに放置プレイにしておくほうが、恥ずかしい文章が長く残り、この会社にシステム発注するよ…

よくまとめられていて、とても参考になりました。

昨日の日記ではK容疑者=office氏ということには意図的に触れなかったのですが、各所でoffice氏のこととして書かれているようですね。それはともかく、Slashdot Japan の国民投票がいつのまにかサイトの脆弱性発見になっています。たまたま国民投票のネタとし…

ASK ACCS の制作運営を受託していた有限会社ヨセフアンドレオンからofficeこと、河合一穂の逮捕にあたってという声明文が出ているそうです。内容を読むといろいろとツッコミどころがありそうなんだけど、めんどくさいからやめた。

らしいです。今回のケースは情報開示の手順に問題があったのでしょうが、もし自分が任意のシステムの脆弱性を発見した場合にどのような方法で連絡をとればいいのか、考えさせられます。方法の問題はともかく、彼はこれまでにいくつものシステムの脆弱性を指…

問題のサイト、ASK ACCSにも今回の逮捕の情報が掲示されていました。 この男性の目的が本当に「CGIの脆弱性の指摘」であれば、実際に個人情報を入手し、不特定多数の人の前で公開することまでは必要なかったと考えます。ですか。まあ、それは確かにその通り…

インターネットウォッチや、ITmedia、日経ITProにも記事が掲載されましたね。また、いくつかのマスコミ各社のサイトでも動画ニュースが掲載されているようです。http://internet.watch.impress.co.jp/cda/news/2004/02/04/1985.html http://www.itmedia.co.j…

「不正アクセスではない」 研究員逮捕で京都大が会見だそうです。

Internet Explorer 6 Service Pack 1 用セキュリティ問題の累積的な修正プログラム(MS04-004) がやっとリリースされました。これでURL偽装の脆弱性が解消されましたが、同時に少々困った問題が出てきました。このアップデートを適用すると、URLに次の形式が…