JVNVU#91213144: OpenSSLに複数の脆弱性
CVE-2023-0286、CVE-2022-4304、CVE-2023-0215 OpenSSL 3.0、1.1.1、1.0.2 CVE-2022-4203、CVE-2023-0216、CVE-2023-0217、CVE-2023-0401 OpenSSL 3.0.0から3.0.7 CVE-2022-4450 OpenSSL 3.0、1.1.1 OpenSSL Projectより、OpenSSL Security Advisory [7th February 2023]が公開されました。 OpenSSLには、次の脆弱性が存在します。 深刻度 - 高(Severity: High) X.509 GeneralNameにおけるX.400アドレスの型の取り違え - CVE-2023-0286 X.509 GeneralName内に、X.400のアドレス処理に関連する型の取り違えの脆弱性がありま
JVNVU#97133859: Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
JVNVU#97133859 Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性 Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2 には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2 が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュー
JVNVU#94858949: 複数の NETGEAR 製ルータに脆弱性
R6250 R6400 R6700 R6900 R7000 R7100LG R7300DST R7900 R8000 D6220 D6400 コマンドインジェクション (CWE-77) - CVE-2016-6277 重要な機能に対する認証欠如の問題 (CWE-306) クロスサイトリクエストフォージェリ (CWE-352) NETGEAR 製の複数のルータにはコマンドインジェクションの脆弱性が存在します。 LAN 内の攻撃者は http://<router_IP>/cgi-bin/;COMMAND にアクセスすることで、認証を要求されることなく、当該製品の管理者権限で任意のコマンドを実行することが可能です。 また、当該製品にアクセス可能なユーザが、細工されたページにアクセスすることで、上のような URL へアクセスさせられ、結果として当該製品の管理者権限で任意のコマンドを実行させられる可
JVNVU#94858949: 複数の NETGEAR 製ルータに脆弱性
R6250 R6400 R6700 R6900 R7000 R7100LG R7300DST R7900 R8000 D6220 D6400 コマンドインジェクション (CWE-77) - CVE-2016-6277 重要な機能に対する認証欠如の問題 (CWE-306) クロスサイトリクエストフォージェリ (CWE-352) NETGEAR 製の複数のルータにはコマンドインジェクションの脆弱性が存在します。 LAN 内の攻撃者は http://<router_IP>/cgi-bin/;COMMAND にアクセスすることで、認証を要求されることなく、当該製品の管理者権限で任意のコマンドを実行することが可能です。 また、当該製品にアクセス可能なユーザが、細工されたページにアクセスすることで、上のような URL へアクセスさせられ、結果として当該製品の管理者権限で任意のコマンドを実行させられる可
JVNTA#94087669: 細工された PDF による情報詐取について
サーバ: ユーザによる PDF のアップロードを許可する。アップロードされた PDF を同一オリジンに格納する。 クライアント: Adobe PDF Plugin を有効にした IE11 もしくは Firefox PDF には入力フォームを持つドキュメントを作成する機能がありますが、この機能を実現するための仕様として、PDF 1.5 以降、Adobe が策定した Adobe XML Forms Architecture (XFA) がサポートされています。さらに、フォームに入力された値を使って動的に演算等の処理を行うために、FormCalc と呼ばれるスクリプト言語が用意されており、これを用いることで PDF ドキュメントにプログラムを埋め込むことが可能です。 FormCalc の概要、言語の仕様は、Adobe が提供する FormCalc ユーザーリファレンスにまとめられています。 Fo
JVNVU#92141772: Android Stagefright に複数の脆弱性
Stagefright は Andorid 2.2 (Froyo) で導入された Android 向けメディア再生サービスです。Stagefright には、遠隔の攻撃者によるコード実行を可能にする整数オーバーフローを含む、複数の脆弱性が存在します。 Zimperium zLabs のブログ記事によると、Android の Stagefright エンジンには、整数オーバーフローを含む複数の脆弱性が存在し、遠隔の攻撃者によって、ファイルにアクセスされたり、デバイス上でコードを実行されたりする可能性があります。この脆弱性は、Android 2.2 (Froyo) から Android 5.1.1_r9 (Lollipop) より前のバージョンまでのすべてのバージョンに影響があります。 攻撃対象となるユーザの電話番号を知る攻撃者は、Stagefright が不適切に処理するように細工したマルチ
JVN#55714408: ヤマハルーターシリーズにおけるサービス運用妨害 (DoS) の脆弱性
ヤマハルーターシリーズには、IP パケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 本脆弱性への対策を行ったファームウェアは順次リリースされるとのことです。 ワークアラウンドを実施する 対策を行ったファームウェアが入手できない場合は、下記の回避策を適用することで本脆弱性の影響を軽減することが可能です。 IP フィルタ機能を用いて接続先を限定する なお、開発者によると一部製品は対策を行ったファームウェアのリリース予定は無いとのことです。 詳しくは開発者が提供する情報をご確認ください。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#98975951: Chrome 拡張機能 5000兆円コンバーターにおけるクロスサイトスクリプティングの脆弱性
JVN#68922465: Wi-Fi STATION L-02F にバックドアの問題