  |
はてなキーワード:firewallとは
”Criticism ofthe exclusion of AfD andBSW fromMSC”
”The term "firewall" stands forthe exclusion of coalitionswith the AfD. Ever since the CDU/CSU pushed apaperon migration policy through the Bundestagwith the support of the party, whichhas been classifiedbythe Office for the Protection of the Constitutionas partly far-right, therehas been a debate about whether thisfirewallis shaking.”
「ファイアウォール」とは、AfDとの連立を排除することを意味する。 CDU/CSUが、憲法保護局によって一部極右と分類されている同党の支持を得て移民政策に関するペーパーを連邦議会に押し通して以来、このファイアウォールが揺らいでいるのではないかという議論が起こっている。
バンスは演説の直前、『ウォール・ストリート・ジャーナル』紙のインタビューで、ドイツにおけるAfDの排斥に対する批判をすでに表明していた。 同メディアは、ドイツの政治家たちに対し、AfDを含むすべての政党と協力するよう促すという彼の発言を引用していた。
彼はスピーチの中でこのことを繰り返すことはなかった。しかし、安全保障会議(MSC)の主催者がAfDとBSWを排除したことを批判した。政治指導者が重要な有権者を代表しているのであれば、「少なくとも彼らとの対話に参加するのが我々の義務だ」と述べた。会議の議長であるクリストフ・ホイスゲンは、両政党が「対話による平和」という会議の基本原則を遵守していないことを理由に、排除を正当化していた。
ある企業で、サーバ室に設置してたFirewallの電源を「電気代がもったいない」って理由でそこの偉いさんがわざわざoffにして
Firewallってその名の通り壁で、そこがパケットを転送しないのだから、内も外も遮断される
内部では物理的に直結されてて電源オフるとパケットをそのまま横流し「してくれる」の?
これもとからFirewallが機能していなかったとしか思えない
自販機って結構古い機体でも、「釣銭切れ」って売り切れと同義なんよ
ちな海外向けはforceベンドって機能があって釣銭無しでも売るフラグがある
海外で釣銭返ってこないとかの話はこれだと思っている
多くの方がご存知の通り、Log4j 2 (以下面倒なのでLog4j) の脆弱性CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備としてCVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織でJavaアプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch やApacheSOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk やSalesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは?クライアントのJavaアプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他WebApplicationFirewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 WizardBible事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきりLDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAFバイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうとCISA は動きが素早かった。最初は個人のgist に影響のあるソフトウェアがまとめられていたけど、数日後にはhttps://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方でJVNDB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
32 風吹けば名無し@転載禁止 [sage] 2014/11/25(火) 04:07:46 (tor-elpresidente.piraten-nds.de )
使えなくは無いけども当職は使わないナリ
kaliかtailsをCDに焼いた方が便利ですを。win系のパスクラならophcrackがオススメナリ
守り方だけど鯖建てたい初心者はhackmeで検索してSQLインジェクションとXSS辺りの初歩を学ぶと良いナリ
バッファオーバフローはアップデートと設定さえ、やっとけば0dayで無い限りやられることは無いと思うナリ
win系とかの簡易ウイルス発見テクは「タスクマネージャが出ない」「隠しフォルダが強制非表示になる」
「サービス、スタートアップ、タスクスケジューラに不審なexeが登録してある」「USBを挿した時autorun.infを上書きしようとする」等々のパターンが多いナリ
とりあえず常駐プロセスとサービスがどこの会社のどのソフトか理解しておくことも早期発見に繋がるので大切ナリ
防御ソフトとしてはpeerblock、sandboxie、privoxy、EMET、DNSCrypt、comodofirewall辺りと適当なウイルス対策ソフトナリ
ブラウザはfirefoxでアドオンはadblockedge、cookiesafe、noscript、prefbar辺りを入れてprefbarでプロキシとかflashとかjavaのオンオフ管理すると良いナリ
合計は重複含む
