タグ付けされた質問 「vulnerabilities」

4
CentOS 7システムを更新しました。メルトダウン/スペクトルが部分的にしか緩和されないのはなぜですか?
私たちの多くがそうであるように、私は昨日、メルトダウンとスペクターの攻撃を軽減するために多くのシステムを更新しました。私が理解しているように、2つのパッケージをインストールして再起動する必要があります。 kernel-3.10.0-693.11.6.el7.x86_64 microcode_ctl-2.1-22.2.el7.x86_64 これらのパッケージをインストールして再起動したCentOS 7システムが2つあります。 Red Hatによると、これらのsysctlをチェックし、それらがすべて1であることを確認することで、緩和のステータスをチェックできます。ただし、これらのシステムでは、すべてが1ではありません。 # cat /sys/kernel/debug/x86/pti_enabled 1 # cat /sys/kernel/debug/x86/ibpb_enabled 0 # cat /sys/kernel/debug/x86/ibrs_enabled 0 また、1に設定することもできません。 # echo 1 > /sys/kernel/debug/x86/ibpb_enabled -bash: echo: write error: No such device # echo 1 > /sys/kernel/debug/x86/ibrs_enabled -bash: echo: write error: No such device Intelマイクロコードがブート時にロードされたように見えることを確認しました: # systemctl status microcode -l …

3
DNSSECを提供すると、どのようなセキュリティの脆弱性が露呈しますか?
DNSSECでDNSゾーンに署名することを計画していました。私のゾーン、レジストラ、およびDNSサーバー(BIND9)はすべてDNSSECをサポートしています。DNSSECをサポートしていないのは、私のセカンダリネームサーバープロバイダー(つまりbuddyns.com)だけです。 彼らのウェブサイトで、彼らはDNSSECに関してこれを述べています: BuddyNSは、大量のDNSサービスに適さないいくつかの脆弱性にさらされるため、DNSSECをサポートしていません。 ほとんどのリゾルバはレコードが正しく署名されているかどうかをチェックしないので、DNSSECの使用は現在何らかの形で疑わしいと思いました。私が知りませんでした-彼らの声明によると-それを提供することは何らかの種類のセキュリティ脆弱性を公開するようです。 それらの「脆弱性」とは何ですか?

4
Java ON A SERVER自体が安全でないことを管理者に納得させる方法は?
アプリケーション いくつかのCamelルートを使用してWebサーバーからアップロードされたファイルを取得し、それらを処理し、結果を含む電子メールを送信する小さなJavaアプリケーションがあります。 このアプリケーションが実行されていたサーバーは廃止されました。現時点では、Webサーバー(実際には多目的サーバー)にJREをインストールするよう管理者を説得することはできないため、低電力のハードウェアで実行する必要があります。 恐怖 私は自分でJavaアプリケーションエンジニアであり、生活のためにJEEコードを書いており、1週間に数万ユーロの価値があるB2Bトランザクションを処理しています。しかし、Java自体は安全でないという神話に反論する信頼できるソースを見つけるのに問題があります。 JREのインストールに対する管理者の2つの主な議論: JavaアプリケーションはすべてのRAMを使い果たします Javaには脆弱性がいっぱいです 真実? JavaアプリケーションがRAMを食い尽くす場合。さて... Xmxに適切な値を設定する必要があると思います。できた 現在、Javaの多くの脆弱性について話している多くの情報源があります。これらのソースは、主に米国レドモンドの会社の特定のオペレーティングシステムを実行しているエンドユーザーを対象としています。私の知る限り、すべてのアプレットを自動的に実行するように設定されたJavaブラウザプラグインのパッチが適用されていないバージョンでは、感染によってドライブの犠牲になる可能性が非常に高いことがあります。通勤中に電車の中でイベイオンと無防備なセックスをしているときに性感染症にかかるリスクがあるように。 しかし、サーバーアプリケーションやヘッドレスで実行されているJREについて話す世界的なinterwebzでだれも見つけることができませんでした。それはまったく別のことです。 それとも私はここに何かが欠けていますか? [編集2014-08-28]明確化:私はサーバー上のJavaのみに関心があります。JavaプラグインやJavaで開発された特定のソフトウェアの問題は気にしません。

2
Meltdown&Spectre-パッチを適用していないハイパーバイザーのゲストカーネルにパッチを適用すると、仮想マシン間のメモリリークが防止されますか?
脆弱性の大規模なリリースの24時間後、RackspaceはSpectreとMeltdownについて沈黙しています。Xenハイパーバイザーのすべてにパッチを適用する計画はありません。新しいプラットフォームサーバーはすべてHVMサーバーであり、脆弱性があります。古いPVサーバーは脆弱ではありません。 HVMゲストのLinuxカーネルを更新しましたが、Rackspaceはハイパーバイザーを更新していません。パッチを適用していないハイパーバイザーでゲストカーネルを更新すると、「悪意のある」VMがパッチを適用したホストからリークしたメモリにアクセスできなくなりますか?

5
Matasanoはどのようにハッキングされましたか?
から:http : //seclists.org/fulldisclosure/2009/Jul/0388.html http://news.ycombinator.com/item?id=723798の投稿から私がそれを最もよく理解している場合、Matasanoの連中はsshdをインターネットからアクセスできるようにしました-これに対する提案された解決策(プログラミングの観点から)?

5
debian 7(wheezy)のCVE-2015-0235(GHOST)にパッチを当てる方法は?
この脆弱性はglibcで発見されました。詳細については、このハッカーのニュース投稿を参照してください。 debianバグトラッカーで説明されているように、この脆弱性はすでにテストでパッチが適用されており、不安定です。 できるだけ早くパッチを適用したいので、これらのバージョンのいずれかからパッチを適用したパッケージをインストールすることは可能ですか?

2
OpenSSL Poodleの脆弱性に対応して、SSLv3を無効にする必要がありますか?
OpenSSLがメモリルーチンに新たな脆弱性を発表しました。あなたはそれについてここですべて読むことができます:https://www.openssl.org/news/secadv_20141015.txt 回避策は、SSLv3を無効にすることです。 これにより、当社のWebサイトでHTTPSが完全に無効になりますか? まだSSLv3に依存しているクライアントはありますが、それらのサポートについて心配する必要がありますか?

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.