Connect :
Uptime :
Primary
14 Days
18 Hour
3 Min.
あけましておめでとうございます。
今年もDigiLoogと"ns-lab"を宜しくお願いいたします。
ns-lab関係だと、昨年はサブ自鯖の追加とASA本格導入が大きな出来事だったり。
今年は老朽化したメインL2SWの入れ替えと、
稼働し続けているNASの代えを買ってLAN内でiSCSIとsmbで接続出来る様にしたい所。
記事面では今後どんな事を書いて行くかは未定ですが、2014年は技術系に寄っていた為、
2015年はエ○ゲとか秋葉原近辺のイベント毎についても書いて行きたいな。
………
ちなみに、
2014年は「一週間に一度は記事を書く」という目標があったのだが、
無事に達成する事が出来ました!!
という事で、
2015年は「一週間に一度は記事を書く」+「二週間に合計三回は記事を書く」として、
ちょいとステップアップしてみようかな~と思います。
流石に、いきなり毎週2回は厳しいどす(´・ω・`)
6年ぶりらしい、大晦日じゃないコミケ最終日。
漢達の戦いに参戦する為に自分も3日目は始発で行ってきた。
ちなみに、抜けている2日目については今回買い物が全く無かったのと、
朝から雨がジャバジャバ降っていたので自宅で中休みしていた。
前日が雨だった事もあって朝焼けで靄が上手い具合に。「この雰囲気こそコミケだな~」と思った瞬間の一つ。
C87の3日目は21万人が参加。C87全体だと56万人が参加していた模様。やはり、3日目は多かった。
前回(C86)は3日間で55万人らしいので、やはり年々増えている事が数としても出ていた。
…規模が大きくなるからこそ、最低限のマナー守ったりが重要になるのだが、最近は守らない輩が多くて悲しい(´;ω;`)
2014年は基幹レベルでヤバいインシデントが多かった多かった…(´・ω:;.:…
NTPやSNMPあたりの、UDPを使っているサービスはDDoS踏み台にされる事がある為、
インシデントの注意喚起がよく出ている昨今。
だが、今年はそんな日常的セキュリティインシデントを吹っ飛ばすレベルでヤバい脆弱性が多数上がってきた。
という事で、nowsky主観で今年の脆弱性を適当に挙げてみた
※切りが無いので、MicroSoft/Adobe/Javaあたりは除く。だって毎月でるし…
| 発見時期 | 種類 | 概要(JPCert , JVNから引用) |
| 1月中旬 | DDoS攻撃 | NTPDのmonlist機能を悪用したDDoS攻撃の可能性 |
| 2月中旬 | DDoS攻撃 | ApacheCommonsFileUploadのマルチパートリクエスト無限ループ問題 |
| 4月上旬 | メモリ漏洩 | OpenSSLのHeartBeat機能実装不備によるメモリ内容漏洩問題 |
| 6月上旬 | 中間者攻撃 | OpenSSLのChangeCipherSpecメッセージ受信時の空鍵生成問題 |
| 9月下旬 |
コマンド インジェクション |
Bash環境変数処理の不備によるOSコマンドインジェクションの危険性 |
| 10月中旬 | 中間者攻撃 | SSLv3環境下でProtocolDowngradeDanceの悪用による通信内容盗聴 |
| 11月上旬 |
ドメイン ハイジャック |
".com"ドメイン登録情報の不正書き換えによるドメイン名ハイジャック |
| 11月下旬 | DDoS攻撃 | FreeBSDのTCPセッションタイマー処理不備によるDDoS危険性 |
| 12月上旬 | DDoS攻撃 | BIND9の再帰的名前解決によるサービス停止の危険性 |
この中でも特に緊急性が高かったのは、OpenSSLのHeartBeat脆弱性(Heartbleed)と、
GNU BashのOSコマンドインジェクションの脆弱性(Shellshock)あたりだと思う。
