PuTTY 0.81 がリリースされた【セキュリティ・アップデート】
Windows 用の SSH クライアントソフトである PuTTY について ECDSA 署名に絡んで秘密鍵が漏洩するリスクがあるらしい。 PuTTY vulnerability vuln-p521-bias Every version of the PuTTY tools from 0.68 to 0.80 inclusive has a critical vulnerability in the code that generates signatures from ECDSA private keys which use the NIST P521 curve. (PuTTY, or Pageant, generates a signature from a key when using it to authenticate you to an SSH server.) via Pu
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
パスワードマネージャの1Passwordがパスキーに正式対応を開始。パスキーの保存、管理、サインインに対応
1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始。1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になる。 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始しました。 1Passwordによって、これまで可能だったパスワードの保存や管理、パスワードによるサインインだけでなく、1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になります。 Ready to unlock the web without passwords? Create, save, and sign in with passkeys using 1Password in the browser a
ソフトウェアはなぜバージョンアップしなければならないのか - Qiita
はじめに 社内インフラの運用担当者にとってソフトウェアのバージョンアップは地味な割に大変な業務です。 特に社内のオンプレサーバで動いているようなソフトウェアの場合、バージョンアップに伴う諸々の調整をそのソフトウェアを利用している各部署と行う必要があります。 そんなときに「今は忙しいからバージョンアップを先送りしてほしい」「このバージョンはスキップしてもよいのでは?」なんて声が各部署から聞こえてきます。バージョンアップの価値を各部署に理解してもらうのは大変です。 この文章はそんな時になぜバージョンアップしなければならないのかを上司や各部署のマネージャに伝えるために書きます。 ソフトウェアの有効期限は2-5年 まず、第一に、ソフトウェアというものは無限に使えるわけではなく、一定の有効期限があり、それを過ぎると徐々に動かなくなってきます。俗にいう「何もしてないのに動かなくなった問題」です。 なぜ
GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
seafay(tkhsk) on Twitter: "これを説明できるSIer と これを理解できる情シスが求められる。 https://t.co/czefMfyfHt"
これを説明できるSIer と これを理解できる情シスが求められる。 https://t.co/czefMfyfHt
【セキュリティ ニュース】「RealPlayer」に複数の深刻な脆弱性(1ページ目 / 全2ページ):Security NEXT
RealNetworksが開発するマルチメディアプレイヤー「RealPlayer」において、複数の深刻な脆弱性が判明した。修正方法などはわかっていない。 「同20.0.8.310」や「同20.0.7.309」において、任意のファイルタイプをダウンロードさせ、任意の場所に配置できるディレクトリトラバーサルの脆弱性「CVE-2022-32270」が指摘されている。 脆弱性を悪用されると。端末の起動時に実行ファイルを実行させたり、DLLインジェクションなどに悪用されるおそれがある。 また「同20.0.8.310」では、ローカルのHTTPエラーページに安全ではない「JavaScript」を挿入できる脆弱性「CVE-2022-32269」も明らかとなった。 さらにファイルを参照するために使用する内部URLプロトコルに脆弱性「CVE-2022-32271」が存在。任意のドメインにスクリプトを注入できる
ツール (まとめ) - TT Malware Log
【連携サイト】 ◆TT Security Tools セキュリティツールに特化した筆者のブログ ★今後、コンテンツを順次移行予定 https://security-tools.hatenablog.com/ 【目次】 攻撃ツール 解析ツール 監視ツール 管理ツール ユーティリティ OSコマンド 関連情報 【関連まとめ記事】 攻撃ツール ◆マルウェア作成支援ツール (まとめ) https://malware-log.hatenablog.com/entry/Malware_Support_Tools ◆ラテラルムーブメントツール (まとめ) https://malware-log.hatenablog.com/entry/Lateral_Movement_Tools ◆フィッシング支援ツール (まとめ) https://malware-log.hatenablog.com/entry/Phi
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出
この記事は新野淳一氏のブログ「Publickey」に掲載された「Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール」(2020年6月23日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Googleはこのほど、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました。 Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱(せいじゃく)性を発見してくれるツールです。 Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsun
vulnhub Privilege Escalationメモ - 高林の雑記ブログ
以下二つに追記していってたんですが、文字数が多すぎてレスポンスが重くなったので、PrivilegeEscalationのことはここに書くことにしました。 PE以外は以下二つを参照してください。 kakyouim.hatenablog.com kakyouim.hatenablog.com Privilege Escalation Linux 情報収集ツール 手動で情報収集 Exploit use searchsploit Compile error use command or program 有名なExploit Dirty cow Windows ツールやコマンド powerless.bat Sherlock.ps1 Session Gopher.ps1 JAWS WindowsEnum.ps1 windows-privesc-check2.exe beRoot PowerUp win
WiresharkのDissectorを使った独自プロトコル解析をやさしく解説してみました
本稿では、基本的なDissectorの作り方と、Dissectorを活用したパケット解析方法を紹介します。 WiresharkのDissectorをご存知でしょうか?DissectorはWiresharkのプロトコル解析部分で、バイト列を人が理解できる内容に変換し表示してくれます。 Wiresharkを使った事がある方なら、独自プロトコルのバイト列を人が理解できる表示にできないかなぁと思った経験があると思います。 Dissectorを自作しPluginとして追加すると独自プロトコル解析が容易になります。 なぜ今Dissectorを紹介するの? 技術部の安井です。 長年、制御システムを開発した経験から、現在は制御システムセキュリティを見ています。 現在、世の中の多くのプロトコルに対応したDissectorがWiresharkに搭載されています。しかし、制御システムやIoT機器など独自プロトコ
Process Hackerのフォーラムが攻撃される | スラド セキュリティ
マシンのリソースや実行されているプロセスなどの情報を確認できるWindows向けソフトウェア「Process Hacker」のフォーラム(https://wj32.org/processhacker/forums/)などに対し攻撃が行われる状態となっているようだ。そのため、現在Webブラウザでアクセスすると「セキュリティリスクがある」などと警告が表示される事態になっている(GitHubのprocesshackerリポジトリに投稿されているIssue)。 Anonymous Coward曰く、 現在継続的に中間者攻撃がフォーラムに行われているようです。情報収集等の閲覧の際にはお気をつけください。いまのところProcess Hackerの自動更新等には問題はないそうです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに/ヘルプファイルの削除で緩和可能
【セキュリティ ニュース】「Apache httpd」に4件の脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
「TCPView」v4.0が公開 ~検索ボックスやダークモードに対応/開発者・管理者向けトラブルシューティングツール「Windows Sysinternals」の一角
Release v2.0 · JPCERTCC/EmoCheck
bom on Twitter: "EmoCheck のソースを参考にしてEmotetを見つけて停止させるサービスを登録するツール「EmoKill」がリリースされたようです。 https://t.co/QEgQ48VKuP 実際に動かすと、サービスとして登録すると… https://t.co/ZNcjBY8Ncl"
GitHub - JPCERTCC/EmoCheck: Emotet detection tool for Windows OS
高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も
Sophos、信頼できないアプリを隔離環境で実行できる「Sandboxie」の無償化を発表/オープンソースプロジェクトへ移行
