読者です 読者をやめる 読者になる 読者になる

らっちゃいブログ

日々の学びと気づきを発信するブログ

Apache HTTPDに認証なしでコンテンツにアクセスできてしまう脆弱性

Apacheにクライアント認証を設定していても認証なしでアクセスできてしまう脆弱性が見つかりました。 JVNVU#97485903: Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題 影響を受けるバージョンは2.4.18 から 2.4.20 までにな…

Nginx1.11.2がリリースされました

変更点を見てみます。 https://nginx.org/en/CHANGES *) Change: now nginx always uses internal MD5 and SHA1 implementations; the --with-md5 and --with-sha1 configure options were canceled. *) Feature: variables support in the stream module. *…

libcurlに任意のコードを実行される脆弱性

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4802 記事によると、SSPIまたは Telnet を使用してビルドされている場合に検索パスに関する脆弱性が複数存在するとのこと。この脆弱性を悪用することで、任意のコード実行が可能となるそうです。…

Apache Commons FileUploadにDoS脆弱性

IPA から Apache commons FileUpload のDoS脆弱性についての情報が公開されました。 JVN#89379547: Apache Commons FileUpload におけるサービス運用妨害 (DoS) の脆弱性 影響は以下の通りです。 Commons FileUpload 1.3 から 1.3.1 まで Commons FileUpload…

MicrosoftからMonacoエディタがリリースされました!

VSCodeやTypeScript Playgroundで使われているエディタを部分的に切り出したものが、Monacoとしてリリースされました。 https://microsoft.github.io/monaco-editor/index.html 今回は npm module としての提供となっています。 なにがうれしいのか Monaco …

Qiitaがスライドモードをリリースしたみたいなので試してみた

Qiita がマークダウンでスライドを作れるようにしてくれたらしいので、さっそく試してみました。 使い方 実際にスライドを作ってみる ひとこと 使い方 Qiita の記事作成画面にて、『スライドモード』にチェックを入れます。 あとは通常のマークダウンを書き…

NginxにDoS攻撃が可能となる脆弱性!

朝起きたら脆弱性情報がメーリングリストにてアナウンスされていました。JSTだと本日(2016/6/1)の公開となります。 [nginx-announce] nginx security advisory (CVE-2016-4450) A problem was identified in nginx code responsible for saving client reque…

AtlassianがBitbucket Pipelinesを発表!さっそく試してみた

ここまでのお話。 racchai.hatenablog.com 待ちに待った招待メールが届きました。すぐでしたね。 まずは [Bitbucket Pipelines add-on] をインストールする必要があるそうです。 すべてのリポジトリで有効化するなら、チームアカウントではなく自分のアカウ…

AtlassianがBitbucket Pipelinesを発表!さっそく申し込んでみた

Atlassianが先日 Bitbucket Pipelines を発表したそうですね。 これで Bitbucket へのプッシュをトリガーにして自動デプロイのようなことができるようになるのでしょうか? 気になるので使ってみることにしました。 『Get Bitbucket Pipelines』へアクセスし…

Nginx 1.11 がリリースされました

http://nginx.org/en/CHANGES 変更点はこちら。 *) Feature: the "transparent" parameter of the "proxy_bind", "fastcgi_bind", "memcached_bind", "scgi_bind", and "uwsgi_bind" directives. *) Feature: the $request_id variable. *) Feature: the "ma…

IntelliJ に重大な脆弱性!至急アップデートせよ

最近脆弱性情報が頻発してますね。 今度は JetBrains 社のIntelliJベースの製品群に critical な脆弱性が見つかったそうです。セキュリティアップデートはすでにリリースされている模様。 Security update for IntelliJ-based IDEs v2016.1 and older versio…

【ゼロデイ】Adobe Flash Player に深刻度 "critical" の脆弱性。任意のコード実行が可能でシステムが乗っ取られる可能性も。

5/10 には公式発表が出ていましたね。少し気づくのが遅れてしまいましたが、影響が大きそうなので一応共有しておこうと思います。 https://helpx.adobe.com/security/products/flash-player/apsa16-02.html 要約を転機します。 A critical vulnerability (CV…

GitHubが無制限にプライベートリポジトリを作成可能となる新料金プランを発表!

本日(5/11)、GitHub はアムステルダムにて開催されていたイベントにて新料金プランを発表したようです。 旧料金プラン 新料金プラン まとめ 旧料金プラン これまでの料金プランでは、プライベートリポジトリ数に対する課金でした。以下は個人利用の場合の料…

ImageMagickにリモートコード実行が可能となる脆弱性

サムネイル作成でお馴染みの ImageMagick にリモートコード実行が可能となる脆弱性が見つかったようです。 本脆弱性には ImageMagick という名前が付けられ(ロゴ画像あり)、以下のサイトで再現方法および対策が公開されています。 ImageTragick 本記事では対…

OpenSSLで深刻度"high"な脆弱性を修正したバージョンが公開されるようです

[openssl-announce] Forthcoming OpenSSL releases The OpenSSL project team would like to announce the forthcoming release of OpenSSL versions 1.0.2h, 1.0.1t. These releases will be made available on 3rd May 2016 between approximately 1200-15…

Nginxの安定版がリリースされたよ!バージョンは2.0ではなく1.10.0

nginx news 2016-04-26 nginx-1.10.0 stable version has been released, incorporating new features from the 1.9.x mainline branch - including the stream module, HTTP/2, dynamic modules support and more. ようやく安定版が出ましたね。CHANGESを見…

Amazonプライムラジオを使ってみた

Amazon が本日(4/22)プライムミュージックに新機能『プライムラジオ』を追加したと発表しました。 プライムラジオとは? 公式サイトから転載 プライムラジオは、Prime Music対象の楽曲をジャンル別に、24時間いつでも、途切れることなくお楽しみいただけるラ…

Nginx1.9.15がリリースされました

タイトルの通りですが、Nginx1.9.15がリリースされています。 昨日こういう記事を書いたばかりなので、今後も随時リリース情報をお伝えしていこうかと思います。 racchai.hatenablog.com さて、以下が変更点を見ていきましょう。 http://nginx.org/en/CHANGE…

これからGoogleアドセンスに申請しようと思ってるやつは注意!サブドメインでは申請できなくなってるぞ!

経緯 ググった 結論 経緯 よーし、おじさんGoogleアドセンスの申請しちゃうぞ! まずは申請画面を開いてっと。 「申し込みはこちら」ですな。クリック。 ログインが必要なのね。ログインっと。 はいはい、ブログのURLを書いて、と。言語は日本語ですじゃ。 …

レンタルサーバー業者がまた「rm -rf /」でデータを削除したらしい

blog.tokoproject.com こういう事件はいまだになくならないらしい。 プログラム中で、「rm -rf {foo}/{bar} 」と指定することで全サーバーを対象に、特定のディレクトリーのファイルだけを削除するスクリプトを動かしたところ、このプログラムのバグにより、…

無料でHTTPS証明書を発行できる Let’s Encrypt がついにベータを卒業!正式版になったところで証明書を作ってみた

こんにちは。racchai です。 Let's Encrypt がベータを卒業するというアナウンスが出ました。 Leaving Beta, New Sponsors - Let's Encrypt - Free SSL/TLS Certificates なにそれおいしいの?という方は公式の説明を読んでいただくとして、使い方を忘れてい…