Archive for 12월, 2015

GO.CD audit config

2015/12/22

위치 : $GO_SERVER_HOME/config/cruise-config.xml

config 형상 위치
$GO_SERVER_HOME/db/config.git

cf) 주의!!! 위 git에 직접 접근하지 말것. 대신 아래 형상정보 audit용 fork repo를 이용하여 조회할것.
cf) 또는 clone 받아서 작업할것 ( $git clone $GO_SERVER_HOME/db/config.git clonned_path )

audit 예시

ex) 특정 유저의 commit 조회 ( –author, –committer )
$git log -p –author=anonymous

ex) 특정 문자열이 포함된 commit 조회
$git log -p -Spansuk.kim

백업
https://www.go.cd/documentation/user/current/advanced_usage/one_click_backup.html

Advertisements

기브앤테이크 giver 이용당하지 않기

2015/12/21

https://brunch.co.kr/@brunchflgu/710

내 삼성 디바이스에서 보냈습니다

기브앤테이크 giver 이용당하지 않기

2015/12/21

https://brunch.co.kr/@brunchflgu/710

내 삼성 디바이스에서 보냈습니다

Apache Commons Collections Java Library 직렬화 보안이슈 대응

2015/12/21
= Apache Commons Collections Java Library 직렬화 보안이슈 대응
v1.0, December 2015
== 개요
Apache Commons Collections Java library insecurely deserializes data VU#575313
The Apache Commons Collections (ACC) library가 안전하지 않은 직렬화로 인하여 임의의 코드 실행으로 인한 취약점을 가짐.
== 영향도
해당 라이브러리의 직렬화를  사용하여 원격 코드 전송시 해당 스트림에 악의적인 데이터를 보내고 실행시킬 수 있음.
== 영향받는 library 버전
 3.2.1 이하 , 4.0 이하
== 영향받는 관련 Application
    취약점을 가진 library 버전을 사용하여 직렬화 작업을 수행하는 대상 application
    * IBM WebSphere  8.5 and 8.5.5 Full Profile and Liberty Profile Version 8.0 7.0
    * Jenkins 1.637 이하, LTS 1.625.1 이하
    * Oracle Weblogic 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0  : CVE-2015-4852
    * etc
== 해결책
=== 일반적인 해결책
commons-collection 의 직렬화 기능을 사용하지 않을 경우,
해당 취약점에 노출되지 않음.
그러나 장기적으로 라이브러리 오용을 방지하기 위해 아래와 같은 방식의 해결책을 권고.
———————-
해당 취약점이 제거된 패치 버전으로 라이브러리 업그레이드 후 기존 버전 삭제
3.2.1이하 -> 3.2.2 이상 ,
4.0 이하 -> 4.1 이상
———————-
– 참고
=== 주요 Application 별 해결책
    – Spring Framework
        . Spring F/W 자체는 commons collections 의존성이 존재하지 않음.
        . 영향받는 버전 : 4.1.8, 4.2.2
        . 해결책 : 4.1.9, 4.2.3 이상으로 업그레이드
    – jenkins
        . 영향받는 버전 :  1.637 이하, LTS 1.625.1 이하
        . 해결책
        .. jenkins upgrade가 가능한 경우
            1.638 이상, LTS 1.625.2 이상 으로 업그레이드
        ..  jenkins upgrade가 불가능한 경우, 원격 호출을 사용하는 jenkins-cli 를 사용하지 않도록  스크립트(cli-shutdown.groovy) 를 script 콘솔에서 실행
        *** http://${JENKINS_URL}/script 로 이동
        *** 입력창에 스크립트 붙여넣기
        *** 실행 : 에러메세지가 없어야함.
        *** 정상실행 확인 : http://${JENKINS_URL}:9090/cli/ 접근시 404 표시됨.
        . 참고
– Groovy
    . 영향받는 버전 : 1.8.9, 2.0.8, 2.1.9, 2.2.2, 2.3.11, 2.4.3
    . 해결책 : 2.4.4 이상으로 업그레이드
== 참고자료

scouter apm

2015/12/18

http://www.slideshare.net/pongsor/open-source-apm-scouter-jadecross?from_m_app=android

내 삼성 디바이스에서 보냈습니다

openssl 1.0.2e patch

2015/12/18

openssl 보안패치 절차

https://www.openssl.org/news/secadv/20151203.txt

조치내용 : OpenSSL 1.0.2 -> OpenSSL 1.0.2e 로 패치

조치절차 cf) yum update openssl 이 불가능하여 직접 패치처리함.

  1. version 확인 #openssl version

    OpenSSL 1.0.2 22 Jan 2015 <– patch 필요

  2. download from https://www.openssl.org/source/ openssl-1.0.2e.tar.gz
  3. upload to target server ~/patch
  4. unzip #tar xzf openssl-1.0.2e.tar.gz
  5. config with install path #./config –prefix=/usr/local/
  6. make #make #make install
  7. patch 확인 #openssl version OpenSSL 1.0.2e 3 Dec 2015

category link tags link status private 미국 우체국(Usps), 이메일 서비스 실시 feedly

2015/12/09

—-
미국 우체국(Usps), 이메일 서비스 실시
// techNeedle

미국 우체국인 USPS는 편지가 배달될 것을 미리 이메일로 알려주는 “Informed Delivery” 서비스를 실시한다. USPS를 통해서 서비스 신청을 하면 편지가 배송되는 날 오전 11:00 (미국 동부시간 기준) 에 편지를 흑백으로 스캔한 이미지가 이메일로 배송된다. 이미 뉴욕 메트로와 버지니아 북부에는 시범 운영을 하고 있는 중이고, 2016년까지 계속 지역을 넓혀 갈 예정이다. 그리고 현재는 편지크기의 우편물로 크기가 제한되어 있지만 향후 잡지를 비롯한 큰 크기의 우편물로도 확대할 예정이다.

tN 인사이트: 미국 우체국은 나라에서 관리를 하므로 다른 연방업체와 유사하게 크게 변화를 하지 않는 것으로 유명하다. 하지만, 택배 사업에서 UPS, Fexdex와 경쟁을 하고 있는 상황이므로 가격 경쟁이외도 서비스 경쟁을 할 수 밖에 없는 입장으로 보인다. 모바일 시대에 맞춘 서비스로 보이고, 이 서비스를 통해서 긴급으로 기다리는 우편물을 사전에 확인할 수 있으므로 문제가 있는 경우, 사전 조치를 취할 수 있을 것 같고, 분실율로 줄어들지 않을까 기대된다.

관련 기사: Huffington Post

—-

Shared via my feedly reader