2009.09.05 土曜日
石炭の日(クリーン・コール・デー)
9月5日の「95」を「クリーン・コール」と読むことができることから。
最近では硫黄や窒素酸化物が除去され、石炭が大気を汚染しないクリーンエネルギーとなっていることをアピールし、エネルギー源としての石炭を広く知ってもらおうと、1992年に
資源エネルギー庁が制定。
国民栄誉賞の日
1977年のこの日、王貞治氏が第1号を受けた事にちなむもので、授賞式があるわけではない。
----------
Ruby on Rails XSS
Ruby on Rails Cross Site Scripting and Time Algorithm Vulnerabilities
Ruby on Rails XSS vulnerability patched - Update
攻撃者はTwitterのような Ruby on Railsで動作しているCMSのFormに対して、悪意的なUTF-8文字列を送信することでJavaScriptコードを偽装することができる。
XSS Vulnerability in Ruby on Rails
CVE-2009-3009 (reserved)
影響下のプロダクツ:
Ruby on Rails versions 2.x (1.9は影響を受けない)
UPDATE:
Ruby on Rails 2.3.4: Security Fixes
Upgrade to Ruby on Rails version 2.3.4 or 2.2.3.
さて・・Twitterあたりはどうなりますか?
RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した
尚、発見者の Brian Mastenbrook 氏は、Blogの中で IE8に実装されている 
Cross Site Scripting filterが、的確に機能していることに "One surprise" として絶賛しています。
----------
MacOS 10.5 update regarding Java
MacOS 10.5のほうにも Java 6 1.6.0 update15を適用してきました。
Apple Releases Java Updates for Mac OS X 10.5
About the security content of Java for Mac OS X 10.5 Update 5
尚、現時点での Java 6は 
update16ですが、セキュリティには影響がないため、MacOSには関係ないということなのでしょう。
Mac OS X 10.5のアップデート公開、Javaの脆弱性に対処
なお、いずれの問題も、Mac OS X 10.6「Snow Leopard」は影響を受けないとしている。
----------
IIS
最近周辺では IIS というと別のものを指す事があるのでちょっと怖いんですが(苦笑)
New vulnerability in IIS5 and IIS6
この問題なんですけど、まず認識しておかなければならない点は
FTPサービスは既定で有効になっていない
ということ。
つまり、ユーザの意思でFTPサービスを有効にし、かつ匿名まで有効にしているような環境下で発生する性質のものです。
NTT Commnicationsの検証:
MS-IIS FTP Service 5/6 の NLST コマンドの脆弱性について
また、Milw0rmには DOS攻撃のPoCが出ています。
MS IIS FTPD DoS ZER0DAY
Microsoft FTP in IIS vulnerability now under attack
ZDnet(Kaspersky)は9月のパッチに間に合うかどうか微妙だとしています。
----------
RoboHelp
Adobeのオンラインヘルプ作成ツール、
RoboHelp Server 8に何らかの潜在的な脆弱性がある模様
Potential RoboHelp Server 8 Issue
Adobe is aware of reports of a remote pre-authentication exploit in RoboHelp Server 8. We are currently investigating this potential issue and will have an update once we get more information.
使用中の方は、ちょっとだけ気をつけつつ続報待ち・・デスネ。
----------
今ココを撮影中です
何かと物議を醸す Google Street View ですが、この度以下のようなコーナーが開設しました。
ストリートビューが利用できる場所
現在撮影中のエリア
Google Street Viewが何時、家を撮影するのか心配なヒトは、毎日チェックしたほうがいいかもしれません(苦笑)
ストリートビューに関する取り組みについて
----------
Google Documentも不調
昨日からどうも調子の悪かった Google Documentですが、
Documents and Presentations will not be editable on Saturday, Sept. 5, 2009, from 12:00 - 1:30 pm PDT; all documents and presentations should still be accessible.
というお知らせが表示されています。
----------
Renewal F-secure
ごめんなさい
かけがえのないものを守る
特定のセキュソフトのアップデートに関しては何もしないスタンスなのですが、ひとつだけ・・・
この新ロゴを見て友人が
マリ見ての瞳子のドリルだね!(どうしても見たい方→●)
と言われて、ググって吹いてしまい、それ以来F-ドリルが定着してしまいました。
あまりにヒドいオチをお許しください
追記:
インジェクション
# F-Secure2010 ドリルと言ったら
D4だろ常識で考えて。
深夜にあまり笑い声あげると(それでなくても)変なヒトと思われるので困るんですが・・(笑)
EoF