DNSソフトウェアにおける実装上の問題で、DNSサーバープロセスに対し外部からの攻撃が可能になる脆弱性が発表されました。 対象となるDNSソフトウェアは以下の通りです。 全てのバージョンのBIND9全てのバージョンのUnbound全てのバージョンのPowerDNS Recursor 対策としましては、DNSソフトウェアをバージョンアップすることです。 詳細はこちらをご参照ください。 Amazon Route53がこの脆弱性の対象となる報告は現在ございません。 AWSで「Route53でプライベートDNSで

こんにちは。日本食って本当に美味しいなと感じているセールスの永淵（@Nagafuchik）です。 今回は、AWS re:Invent 2014 Day3(Thursday)にありましたセッション「Architecting for End-to-End Security in the Enterprise」のセッションに参加しましたので様子をレポートします。 このセッションではAWS上でユーザーが実施すべきセキュリティ対策とその事例としてBoeingの事例が公開されました。 セキュリティの脅威は年々高まって

MySQL5.5および5.6に脆弱性が見つかりました。アップグレードを実施し、5.5は5.5.40に、5.6は5.6.21にアップグレードする必要があります。 AWSからのお知らせ日本語版 AWSからのお知らせ英語版 下記「続きを読む」から 詳細や対処方法をお知らせします。 2014年10月21日 18:45 JST 更新MySQL 5.6の新バージョンへの自動アップグレードに関しては現在一旦延期とのことです。いつ再開かはAWSからの続報待ちです。 2014年10月26日 18:50 JST 更新MySQ

先日、bashに脆弱性が見つかり対応する必要がありました。 Amazon Linux CVE-2014-6271対策 ALAS-2014-418 CVE-2014-7169対策 ALAS-2014-419 Red Hat Enterprise Linux CVE-2014-6271対策 特別に作成された環境変数を使用した Bash コード挿入の脆弱性 (CVE-2014-6271) CVE-2014-7169対策 Bash Code Injection Vulnerability via Speciall

bashの脆弱性「ShellShock」に関するEC2の対応状況をお知らせします。 脆弱性情報 CVE-2014-6271 CVE-2014-7169 Amazon Linux AMI Security Advisory: ALAS-2014-418 Amazon Linux AMI Security Advisory: ALAS-2014-419 EC2上にて利用できる対策済みパッケージ ディストリビューション CVE-2014-6271 CVE-2014-7169 Amazon Linux i686

こんにちは。新規事業本部・金融グループの金（成奉）です。 前回（ PHPコンパイルによる高性能のFastCGIウェブサーバー構築とチューニ&#x3

最近北九州が熱いなと感じている小室＠福岡です。 先日JAWS-UG北九州・福岡合同主催-１から学ぶクラウドのセキュリティ勉強会＠北九州が開催されてたので参加＆登壇してきました！ １から学ぶクラウドのセキュリティ勉強会＠北九州 http://jaws-kitaq.doorkeeper.jp/events/13701日時: 2014-08-23（土）13:00 - 18:00場所: fabbit http://fabbit.in/ まとめ http://togetter.com/li/711388

Apple原理主義者の大坪です。 先日Google I/Oに参加するチャンスを得ました。Apple主催のWWDC2014ではなくGoogle I/Oです。何故Apple原ry)が？と問うのであれば、抽選の神様に聞いてくださいとしか答えようが無い。いくら私がAppleを愛していようが、さいころの目が「否」とでればWWDCに参加することはできない。何かの気まぐれでGoogleがふったサイコロが「正」と出ればそちらに参加する権利が得られる。細かいことは抜きにしてとにかく行くのです。そして行ったのです。ああ、世の

先日、OpenSSLに脆弱性が見つかり対応する必要がありました。対応すると言っても一言でいえばOpenSSLを更新すれば良いのですが、対象のサーバが何十台、何百台あると大変です。 いわゆる刺身タンポポな作業になります。人生は有限です。機械に任せられるところは任せてさっさとビールでも飲みたいものです。「機械に任せて」の部分をFabricでやってみます。

大阪オフィスの桶谷です。こんにちは。 今週から大阪オフィスにも1人メンバーが増えました。祝ぼっち脱出。 さて、先日のHeartbleedに続いて、またしてもOpenSSLの脆弱性が発見されました。今回はCCS Injectionです。 ということで対応方法をまとめてみました。 ※最終更新 2014/06/11 1:00 CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について 株式会社レピダム さんの脆弱性発見ニュース http://lepidum.co.jp/news

サムです。 日本最大級の不動産・住宅情報サイト「HOME'S」のiPhoneアプリ にiOS 7からの新機能である iBeacon を使った試験サービスを開始しました。 『HOME'S』、近距離無線通信技術「iBeacon」を使った不動産O2Oマーケティングの実験開始 本記事では、iBeaconの導入方法や、サービスに導入された試験サービスについて書きます。 iBeaconとは まずiBeaconとは、ご存知のとおり iOS 7以上から提供された新機能の１つで、緯度と経度から取得するGPSとは異なり、Bl

こちらでは初めまして、大阪で孤軍奮闘中の桶谷です。 現在、話題になっているOpenSSLの脆弱性への対応方法をまとめてみました。 ※随時更新中。最終更新 2014/04/11 12:29 OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.htm こちらに今回の脆弱性についての説明動画があります http://vimeo.com/91425662 The Hear

AWSのリソースに対して脆弱性/侵入テストを行う場合は事前に申請をしておく必要があります。 申請情報 申請時に必要な情報は以下の通りです。 診断先EIP 192.168.1.5 診断先インスタンスID i-hogehoge インスタンスが診断元か、診断先か 診断元？診断先？ スキャンをする診断元IPアドレス XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX インスタンスがあるリージョン 東京リージョン（等） 開始時間 2014/3/11 10:00 終了時間

エンジニアの新井です。 今回はzshのちょっとしたTIPSをお届けします。 問題 zshでHISTSIZEを増やしておくと何かと便利なのですが セキュリティに関わる内容(パスワードべた打ちなど)のコマンドは履歴に残したくないですよね。 解決 .zshrcに以下の設定を追加しておきます。 setopt hist_ignore_space 使い方 コマンドを実行するときに履歴を残したくない場合先頭に半角スペースを入れて実行します。 補足 実際には履歴に一度保存して、次にコマンドが実行されたタイミングで削除され

CDP Advent Calendar 2012の18日目を担当させていただく横倉です。 今回書かせていただく内容は 年末セキュリティ点検ウィーク ☆⌒(ゝω･)vｷｬﾋﾟ にある ”別のAWSアカウントとの共有はIAMで賢く行なう” を詳細にした内容になります。 AWSを安全に共有するパターンです。 元ネタ Delegating API Access to AWS Services Using IAM Roles