まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

興味を持った記事

セキュリティ

「BN-SDWBP3 ファームウェアバージョン 1.0.9 およびそれ以前」には、認証不備(CVE-2018-0676)、OSコマンドインジェクション(CVE-2018-0677)、バッファオーバーフロー(CVE-2018-0678)の脆弱性が存在する。これらの脆弱性が悪用されると、同一LAN内の当該製品に管理者権限でアクセス可能なユーザによって、任意のコードを実行されたり、サービス運用妨害(DoS)攻撃を受けたりする可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

現在、パワートレインやボディ、インフォテインメントはソフトウェアによる制御が進んでおり、修正プログラムなどを無線通信でセキュアに更新することで、コスト効率とユーザの利便性を高めることができる。今回発表したSPC58 Hラインは、最先端のセキュリティに加え、大容量の内蔵コードストレージを備え、無線通信による主要な更新をセキュアに実行できる、業界初のゲートウェイ/ドメインコントローラチップの1つ。

2018/11/08に開催されたSecurity-JAWSで質問がありましたAWS WAFのログ解析基盤の料金を算出してみました。

無料VPNがどのくらい危険性があるのか、本サイトではたびたび指摘してきた。今回アメリカでとある団体が調査したところ、その大半の無料VPNが中国と関係があるという結果が出た。個人向けVPNは違法化しており、無料VPNを使うことの危なさを取り上げる。

Teleportという踏み台システムは、AWSやAzure、GCPなどのクラウドインフラだけではなく、オンプレミスの一般的なサーバーでも稼働しますし、Dockerやk8sもサポートしています。Teleportを経由して接続できるサーバー群は、sshを喋るサーバーです。つまり現時点でRDP(Windows Server)をサポートしていません。 Teleportを経由すると、シェル丸ごとTeleportを利用するので、誰にたいしてどのサーバーにどんな権限でアクセスさせたいかをIdPとの接続などで統合管理できる他、シェル内で入力したコマンドは全て記録され、誰がいつ何をしたのかを「動画」として再生することができます。