「「BIND 9」にまた重大な脆弱性が発見されたんだにゃーの巻」(8月5日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.04.28(日)

「「BIND 9」にまた重大な脆弱性が発見されたんだにゃーの巻」(8月5日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

DNSサーバーアプリケーションの「BIND 9」にDoS攻撃を受ける脆弱性が見つかったんだにゃー。リソースレコードのRDATA部分の取り扱いに問題があって、DNS問い合わせによって異常終了するんだにゃー。夏恒例のBINDの脆弱性なんだにゃー。

特集 コラム
facebookLINE
怪しいやつをスニッフィングしてやるんだにゃー
怪しいやつをスニッフィングしてやるんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●「BIND 9」にDoS攻撃を受ける重大な脆弱性が発見される

DNSサーバーアプリケーションの「BIND 9」にDoS攻撃を受ける脆弱性が見つかったんだにゃー。リソースレコードのRDATA部分の取り扱いに問題があって、DNS問い合わせによって異常終了するんだにゃー。夏恒例のBINDの脆弱性なんだにゃー。

この脆弱性はBIND 9のDNSライブラリに問題があるらしく、named以外のアプリケーションにも影響があるみたいなので、DNSを管理していないからといって安心はできないんだにゃー。管理者の皆さんはパッチを当てたり対応が大変だと思うけどがんばってほしいんだにゃー。

●BlackHat/DEFCON 2013開催される

ラスベガスでは毎年恒例のセキュリティカンファレンス、BlackHatとDEFCONが開催されたんだにゃー。日本からもたくさんのセキュリティ関係者が参加してたみたいで、りくは編集部から出られないからうらやましいんだにゃー。

BlackHatでもDEFCONでも新たなセキュリティのトピックや脆弱性に関する話が盛りだくさんで、発表者の資料を読むだけでも勉強になるんだにゃー。そしてCTFに参加されたチームSutegoma2の方々、お疲れ様なんだにゃー。

●DDoS攻撃の規模、速度、複雑性は拡大傾向に

アーバーネットワークスの発表によると、2013年上半期中のDDoS攻撃の規模、速度、複雑性は拡大傾向にあるんだって。特に1Gbps以上の攻撃が占める割合が46.5%と、2012年上半期の13.5%から大幅に上昇しているんだにゃー。

最近ハクティビズムのためのDDoS攻撃は収まってきた気はするけど、まだまだDDoSは続いているみたい。原理的にも防ぐのはなかなか大変だと思うけど、管理者の皆さんがんばってくださいにゃー。
http://www.arbornetworks.com/corporate/blog/4922-q2-key-findings-from-atlas

●ほとんどのChromeユーザーは警告メッセージを気にしないとの調査結果

Webサイトを見ているとき、たまにブラウザーが「あなたが表示しようとしているWebサイトは偽物のページである可能性、あるいはマルウェアを含んでいる可能性がある」という警告を発することがあるけど、Chromeユーザーは気にせず先に進む人がほとんどなんだってにゃー。

理由はよくわからないけど、偽陽性が多いからってことも考えられているみたい。確かに何度も何度も警告が出ると、警告の内容を見るのが面倒になって、はいはいOKOKってなっちゃうよね。ペットボトルが置かれてると最初は嫌だけど、毎日見てると平気になるみたいなものだろうにゃー。

・「ユーザーは Chrome のセキュリティ警告を気に留めない」Google の調査で明らかに~ ,500 万件のブラウザ警告メッセージを追跡調査したところ、「Chrome ユーザーのほとんど警告を無視」という結果に(The Register)
http://scan.netsecurity.ne.jp/article/2013/07/30/32170.html

●中国のセキュリティ研究者たちが、新たなAndroidの脆弱性を発見

先日発表されて大騒ぎとなったAndroidのデジタル署名に関する脆弱性に続き、今度は中国のセキュリティ研究者がデジタル署名を改ざんすることなくスマートフォンのアプリに変更を加えられる別の脆弱性を発見したんだにゃー。

どちらの脆弱性もAndroidアプリパッケージを改ざんしてトロイの木馬を仕掛けたものを、オンラインマーケットプレイスへアップロードすることができるんだにゃー。しばらくは本当に信頼できるアプリしかインストールしちゃいけないのかにゃー。

・「すべての Android がやられる」パート 2:Java の欠陥、隠されたトロイの木馬~アップデート推進中の Google、だが公開時期は?(The Register)
http://scan.netsecurity.ne.jp/article/2013/08/01/32196.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  7. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

  8. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  9. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  10. NETGEAR 製ルータにバッファオーバーフローの脆弱性

    NETGEAR 製ルータにバッファオーバーフローの脆弱性

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP