« 2014年3月 | トップページ | 2014年10月 »

2014年9月

2014/09/26

bash脆弱性(perl CGI)

Image02_2

こっちは大丈夫だけど、
#!/usr/bin/perl
print "Content-type: text/plain\n\n";
exec("df -h")







Image04


こっちは当然のようにアウトでした。
#!/usr/bin/perl
print "Content-type: text/plain\n\n";
exec("./hoge.cgi")


| | コメント (0) | トラックバック (0)

2014/09/25

bash脆弱性

Image01_2
VM上のVine6.2で、bash-4.2.8-3vl6 の環境で
http://www.walbrix.com/jp/blog/2014-09-bash-code-injection.html
の方法を試してみました。

見事にやられますね。

ネタ元のページにあるpythonの事例から考えると、perl+systemでも影響あるんじゃなかろうか。

| | コメント (0) | トラックバック (0)

bash脆弱性

Updateしたけど、今のとこパッチ配布状況は

●OK
・Ubuntu14.04
・CentOS5/6/7

●NG
・Ubuntu13.10
・FreeBSD10.0
・Vine6.2

こんな感じ。

| | コメント (0) | トラックバック (0)

2014/09/19

第10回PostgreSQLエンタープライズ・コンソーシアムセミナー

行ってきました。
みんなPostgreSQL大好きだなw

https://www.pgecons.org/2014/08/21/3157/

| | コメント (0) | トラックバック (0)

2014/09/12

IBM XCITE Autumn 2014

ハンズオン目当てで行ってきました。

【基調講演】
会場に入ると、ど真ん中にステージがあって、バンドの生演奏。
オープニングフィルムもかっこいい。

クラウド/ビッグデータ/エンゲージメントのそれぞれについてお客さま事例を。


【Softlayerハンズオン】
サーバ管理編とストレージ編からサーバ管理編を選択。

感想:in progress の状態が管理画面に存在しないので把握しづらい。
・テンプレートイメージ作成→Imageメニューに入らないと作業状況がわからない。
・ディスク追加→Storageメニューに入らないとわからない。2本目にディスク追加→Attach中に再度、追加にメニューを開くと2本目が空のままなので追加できてしまう。

【Bluemixハンズオン】
・さすがにブラウザ上からソース書くのはきついでしょう…


ここ何年かのIBMのイベントは非常にポップな感じ。昔のガチガチなイメージはもう無いですね。

| | コメント (0) | トラックバック (0)

第21回 CloudStackユーザ会

2回目の参加です。

4.4の新機能/検証などの発表でした。

●4.4のはまりポイント
SystemVMテンプレートを使うとVRが起動しない。
→jenkinsからテンプレート持ってきました。

●DRS検証
DRS利用時のベストプラクティス

・しきい値はCPU150%にして徐々に上げる。
・メモリはオーバーコミットせずに規定値。
・物理メモリはDRS利用しない場合の1.5~3倍搭載する。

●4.4のHyper-Vサポートの話
http://cloudstack-installation.readthedocs.org/en/latest/hypervisor/hyperv.html

Zone Wide Primary Storageにしても、ハイパーバイザが違えば当然ダメ。
Storage Live MigrationはROOT adminでできるが、SystemVMの状態がおかしくなったり、監視できなかったりします。

http://jenkins.buildacloud.org/view/4.4/
公式RPMとかイメージだけでなく、↑からファイル持ってくるといいかも…

Hyper-V対応はまだまだ…

●VPCの新機能
・ゲストネットワークのIsolationはGRE、管理/パブリックはVLANで物理ネットワークを分ける。
・リージョンワイドVPCは実現されたけど、VPC-VRはまだ1個しか作れない…

 "ストレッチドL2サブネットのサポート"のチェック→ゾーンをまたいでの同一サブネットを作成できます。
 ただし、画面からは別ゾーンのサブネットは選択できず、APIからのみ作成可能。

| | コメント (0) | トラックバック (0)

2014/09/11

McAfee Macnica Security Conference 2014


【Current Statistics and 12 Month Predictions】
と題してマカフィージャパンのテクニカルディレクター Bruce Snell氏の話。

やっぱり、ベネッセの情報漏洩には触れますね。
技術的なセキュリティとしてはHeartBleedを一番にあげています。

●ビジネスユーザはフィッシングメールに騙されやすい。
・試験の結果、経理/人事部門のテスト対象者の88%が7通のフィッシングメールのすくなくとも1通に騙されました。

●2013年の色々な数値
・疑わしいURLの増加率、70%
・新しいモバイルマルウェア、2,400,000
・悪意のある署名付きバイナリ、5,700,000
・日本がホストしている スパムURLは9%
など

●モバイルランサムウェア攻撃
・2015年に増加すると予測されます。
・情報と金銭搾取を目的としてNFC攻撃が行われるでしょう。→iPhone6が大きなターゲットになります。

●ソーシャル攻撃
・2014年末までに一般化する。
・攻撃は大規模なユーザーベースと「友達」への無防備な信頼を利用します。
・ボットネットは今後も大量のパスワードを窃取する手段として使用されるでしょう。

●クラウドアプリケーションおよびデータ攻撃
・クラウドのサーバではなく、管理ツールを狙った攻撃が増えてくる。
・大企業はSLAの契約条件を通じて、セキュリティ境界をクラウドプロバイダーに拡大するでしょう。

| | コメント (0) | トラックバック (0)

2014/09/10

AWS Cloud Storage & DB Day 2014

昨日いってきました。

●コンテンツグラビティ時代のクラウド活用

クラウドストレージはアマゾンストアで使うために開発した。
Amazon Glacierはアーカイブ向け。でも、S3と同レベルの堅牢性。

Amazon Redshiftはペタバイト規模でも年間コストは$1000/TBぐらいで安価です。

「コンテンツグラビティ」とは「データの周りに処理を集める」 ←Amazonさん、ちょっと何言ってるかわかんないです。 AWSにデータ載せたら、周りにいっぱいサービスあるよってこと?


●メディア制作フローの未来
Sonyピクチャーはクラウドで映画作成のワークフローシステムを作りました。
sonymcs.comを見てね。

●新鮮なビッグデータ
Amazon Kinesisの話。

●ガリバーの考えるContent Gravity
コネクテッドカーサービスの話。前にも聞いた。

・ながらスマホが問題になってるので、車に乗らないで使えるサービスにしている。
 →ex.どこに駐車した?駐車してから何分たった?
・スタンプはまだ8パターンしかないです。

・kinesisが決めてとなって、AWSで開発することにした。

・事業自体がアジャイルみたいなもんなので、スモールスタートできるのは助かる。

・最後は経営の意思決定との距離感。それを詰めれるのがContentGravityかも。

| | コメント (0) | トラックバック (0)

« 2014年3月 | トップページ | 2014年10月 »