JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能
Javaのログ出力ライブラリであるLog4jで、任意のコードをリモート実行される深刻な脆弱(ぜいじゃく)性・CVE-2021-44228、通称「Log4Shell」が発見されました。Log4jを提供するApacheソフトウェア財団(ASF)は、さらに新たな脆弱性・CVE-2021-45046が発覚したと報告しており、Log4jをバージョン2.16.0以降にアップデートするように呼びかけています。 CVE - CVE-2021-45046 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 CVE-2021-45046- Red Hat Customer Portal https://access.redhat.com/security/cve/cve-2021-45046 Log4Shell Update: Secon
世界規模でデジタル化が進むとともに増加するサイバー攻撃。個人情報や金銭が詐取されたり事業継続に支障が生じたりと、被害の深刻化が懸念されている。そうした悪意ある攻撃の抜け道となる「脆弱性」に関する研究で、世界的に注目される人物がいる。日本電信電話(NTT)サービスイノベーション総合研究所の中島明日香氏だ。セキュリティーの世界に足を踏み入れたきっかけ、研究の内容と成果、設立した女性限定のセキュリティーコミュニティの活動などについて聞いた。
AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました | DevelopersIO
AWSチームのすずきです。 log4jの脆弱性を標的とした攻撃による被害が疑われたEC2インスタンスについて、 AWSからのメールでの案内を受ける機会がありましたので、紹介させて頂きます。 AWSからのメール 一部抜粋 From: Amazon Web Services, Inc. no-reply-aws@amazon.com Subject: [Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2] Your account contains resource(s) that likely have a vulnerable log4j library that are under attack. The following are your affe
定例外で修正されたSMBv3の脆弱性(CVE-2020-0796)についてまとめてみた - piyolog
MicrosoftはWindowsのSMBv3に深刻な脆弱性(CVE-2020-0796)が存在するとして定例外で更新プログラムKB4551762を公開しました。ここでは関連する情報をまとめます。 この脆弱性は何? Windows 10 など最新のOSに実装されているMicrosoft Server Message Block 3.1.1プロトコル(SMBv3)に脆弱性が確認された。 この脆弱性により、リモートから任意のコードを実行できる可能性がある。 Microsoftは脆弱性深刻度を「緊急」(Critical)と評価しており、3月12日に定例外で修正プログラムを公開した。 脆弱性はCVE-2020-0796が採番。JPCERT/CCによるCVSS(基本値)スコアは9.8(v3)*1 何故深刻な(話題となった)の? 2017年以降多数の被害が発生したWannaCryのようなワーム型プログ
Linuxに特権昇格可能な脆弱性、7年間存在
Qualysは7月20日(米国時間)、「Qualys Security Advisory - Sequoia: A deep root in Linux's filesystem layer (CVE-2021-33909)」において、Linuxカーネルに特権昇格可能な脆弱性が存在すると伝えた。この脆弱性が少なくとも2014年7月にLinux 3.16に混入して以来存在していると説明しており、7年間にわたってLinuxカーネルに存在していたことになる。多くのLinuxディストリビューションがこの脆弱性の影響を受けるとみられる。 Qualys Security Advisory - Sequoia: A deep root in Linux's filesystem layer (CVE-2021-33909) これはLinuxカーネルのファイルシステムレイヤに存在するsize_t-int変
JPCERT-AT-2020-0013 JPCERT/CC 2020-03-16(新規) 2020-03-18(更新) I. 概要2020年3月16日、トレンドマイクロ株式会社から、ウイルスバスター ビジネスセキュリティの脆弱性 (CVE-2020-8468) に関する注意喚起が示されました。トレンドマイクロ株式会社によれば、本脆弱性は既に攻撃に悪用されているとのことです。 トレンドマイクロ株式会社 【注意喚起】ウイルスバスター ビジネスセキュリティの脆弱性(CVE-2020-8468)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3729 脆弱性 (CVE-2020-8468) が悪用された場合、攻撃者が、ウイルスバスター ビジネスセキュリティエー
Java は業務システム、Web アプリケーション、Android アプリの開発等で幅広く使われている言語です。本記事では Java ベースの Web アプリケーション開発に焦点を当て、脆弱性とその対策方法について解説します。
理化学研究所は、職員の研修などに利用している学習管理システムが不正アクセスされ、1万4000件の個人情報が流出した可能性があると発表した。 理化学研究所(理研)は11月5日、同所が職員の研修などに利用している学習管理システムが不正アクセスされ、1万4000件の個人情報が流出した可能性があると発表した。理研がシステムの提供元に改善を要求していた脆弱(ぜいじゃく)性を何者かに悪用され、ファイルの改ざんや何らかの命令が実行されたという。 9月24日午後1時ごろ、システム提供元から「不正アクセスによりファイルが改ざんされた」と連絡があり判明した。理研は学習管理システムを停止。全体を初期化して脆弱性へ対応し、不正アクセス以前のデータを復旧した。 流出したのは、研究員、学生、派遣社員などのアカウントのID、名前、メールアドレスなど。理研は27日と10月7日に所内向け掲示板で状況を説明し注意喚起。退職者
はじめにこんにちは、Finatext で保険事業にてプロダクト開発をしている @toshipon です。今回は我々のプロダクトでも活用している AWS Amplify コンソールにおける Custom headers の運用についてお話いたします。 概要Amplify 上で Custom headers を設定する手順についてご紹介いたします。Custom headers は、HTTP レスポンスのヘッダーに指定できる情報を管理するもので、主にデバッグやセキュリティ対策、情報提供に利用されます。 今回は、キャッシュを適切に有効にさせてパフォーマンスを向上させたり、XSSやクリックジャッキング等のWebアプリケーション脆弱性に対処することを目的として利用したいと思います。 また、Content-Security-Policy-Report-Only というセキュリティヘッダー(説明については
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX"
Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX
by Bolly Holly Baba Microsoftが、未修正のゼロデイ脆弱性2件について警告する新しいセキュリティアドバイザリを2020年3月23日に発行しました。Microsoftによると、この脆弱性の影響を受けるのはWindows 10をはじめとするWindowsシリーズで、Windowsエクスプローラーで使われているファイルのプレビュー機能に関連するもの。また、すでにこの脆弱性を利用したと思われる標的型攻撃が確認されているとのことです。 ADV200006 | Type 1 Font Parsing Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv200006 Microsoftによれば、ファイルを開かなくてもエク
ユーザーが別のユーザーの権限を利用してプログラムを実行できるコマンド「sudo」に、パスワードなしで特権の獲得を許す脆弱性が見つかりました。この脆弱性は2011年7月から存在しており、各Linuxディストリビューションは修正対応を発表しています。 CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit Buffer overflow in command line unescaping https://www.sudo.ws/a
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月21日、「JVNVU#99392903: 複数のTP-Link製品における複数の脆弱性」において、TP-Linkの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって認証の回避と任意のコマンドを実行される危険性があるとされており注意が必要。 JVNVU#99392903: 複数のTP-Link製品における複数の脆弱性 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。 Archer A10「Archer A10(JP)_V2_230504」より前のファームウェア Archer AX10「Archer AX10(JP)_V1.2_230508」より前のファームウェ
Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた - piyolog
2022年5月30日(現地時間)、Microsoft サポート診断ツール(MSDT)にリモートからコード実行が可能な脆弱性が確認されたとしてMicrosoftは セキュリティ情報を公開しました。文書ファイルを通じた攻撃が可能であり、条件が揃えば攻撃対象者の特定の操作を必要とせずファイルをプレビューするのみで影響を受ける可能性があります。ここでは関連する情報をまとめます。 1.何が起きたの? Windowsのツールの1つであるMicrosoft Windows Support Diagnostic Tool(Microsoft サポート診断ツール、略称MSDT)で深刻な脆弱性(CVE-2022-30190)のセキュリティ情報が公開された。また2022年6月15日まで修正する更新プログラムが公開されていないゼロデイの状態だった。 MSDTはWord等の文書ファイルからも呼び出しが可能であり、細
悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」に対し、AppleがMRTで対応。
悪意のあるWebサイトにアクセスするだけでMacのカメラが乗っ取られてしまう脆弱性が発覚した「Zoom」に対し、AppleがMRTで対応しています。詳細は以下から。 ここ数日、米Zoom Video Communications, Inc.が提供するリモート会議システム「Zoom Meeting」のMac用クライアントにユーザーの許可なしにMacのWebカメラが乗っ取られ、ユーザーが気づかないうちにMacのWebカメラで撮影した動画が第三者に閲覧される可能性のある脆弱性が発見され話題になっていますが、 米TechCrunchによると、カリフォルニア州クパチーノにある巨大なテック企業(Apple)はこの事態を収拾するためにmacOSのセキュリティ機能を利用し、ZoomがインストールしたWebサーバー(localhost)を削除するようにしたとコメントしたそうです。 The Cupertino
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント #始めに #本書は、ISOG-J WG1の新技術に対する診断手法分科会によってまとめられたさまざまな技術に関する脆弱性診断手法ドキュメントです。 クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。 本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。 執筆者一覧 (敬称略、順不同) #三井物産セキュアディレクション株式会社 廣田 一貴三井物産セキュアディレクション株式会社 山本 健太三井物産セキュ
米GoogleのChromeや米MicrosoftのEdgeなど、主要Webブラウザが9月11日から重大なゼロデイ脆弱性に対処するアップデートをリリースしている。この脆弱性「CVE-2023-4863」は、GoogleのWeb向け画像フォーマット「WebP」のヒープバッファオーバーフローに関するもので、既に悪用されているという。 この脆弱性は、米Apple Security Engineering and Architecture(SEAR)と加トロント大学のCitizen Labが6日に報告した。 本稿執筆現在、Chrome、Mozilla Firefox、Brave、Microsoft Edgeがこの脆弱性に対処するアップデートをリリースしている。 Googleは公式ブログで、「CVE-2023-4863のエクスプロイトが存在することを認識している」とした。 また、米Stack Dia
同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。 マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日(米国時間、以下同)に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。 今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
この攻撃ではmacOS Catalinaの脆弱性(CVE-2021-30869)を悪用し、Webサイトを訪れたユーザーの端末にバックドアをインストールしていた。このバックドアには侵入した端末を特定するモジュールが含まれ、音声を録音し、画面をキャプチャし、キーロガーをインストールする。 TAGは、この攻撃は、「国家の支援を受けている可能性の高い」グループによるものだという見解を示した。 関連記事 Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表 Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。 「iOS 12.5.5」セキュリティ更新 「積極的に悪用された可能性がある」脆弱性に対処 AppleがiPhoneの旧モデル対象のセキュリティ更新をリリ
by Alan Levine 2018年6月にWi-Fiセキュリティの新規格として「WPA3」が発表されましたが、1年も経たないうちに「Wi-Fiネットワークのパスワードが一部漏洩(ろうえい)してしまう」という脆弱(ぜいじゃく) 性がセキュリティ研究者によって発見されました。そして2019年8月2日、同じ研究者が新しい脆弱性2つをWPA3に発見したと報じています。 Dragonblood: Analysing WPA3's Dragonfly Handshake https://wpa3.mathyvanhoef.com/#new New Dragonblood vulnerabilities found in WiFi WPA3 standard | ZDNet https://www.zdnet.com/article/new-dragonblood-vulnerabilities-f
Netflix報告: Linux Kernel又はFreeBSDのリモートから攻撃可能な脆弱性(TCP SACK PANIC) (CVE-2019-11477, CVE-2019-11478, CVE-2019-11479, CVE-2019-5599) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。
セキュリティ研究者のDerek Abdine氏は7月29日(米国時間)、「Arris / Arris-variant DSL/Fiber router critical vulnerability exposure|Derek Abdine」において、muhttpd Webサーバに複数の脆弱性が存在すると伝えた。muhttpd WebサーバはISPのCPE(Customer Premises Equipment:カスタマ構内設備)で広く利用されており、Arris製の複数のルータモデルに使われるファームウェアに含まれているという。 Arris / Arris-variant DSL/Fiber router critical vulnerability exposure|Derek Abdine muhttpd(mu HTTP deamon)は、ANSI Cで開発されたシンプルなWebサーバ
作者: アンドリュー・スチュワート、翻訳:小林 啓倫 出版社: 白揚社 発売日: 2022/10/12 本書は2021年9月に出版された、A Vulnerable System: The History of Information Security in the Computer Age(脆弱なシステム――コンピュータ時代の情報セキュリティ史)の邦訳である。著者のアンドリュー・J・スチュアートは投資銀行で情報セキュリティの専門家として働く一方、ロンドン大学キングス・カレッジに研究生として在籍中であり、情報セキュリティに関する論文を多数発表している。原著のタイトルにもある通り、本書は「脆弱なシステム」であるコンピュータのセキュリティをめぐる歴史を振り返るとともに、それを通じて「なぜ情報セキュリティは失敗の連続なのか」を明らかにしている。 本書でも繰り返し指摘されているように、いまや情報セキ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
サイバーセキュリティツールベンダーのPortSwiggerは2021年8月4日(米国時間)、セキュリティカンファレンス「Black Hat USA 2021」(2021年7月31日~8月5日、米ラスベガスで開催)で公開されたサイバーセキュリティ対策用のツールをブログ記事で紹介した。 公開れたのはインターネットを間接的に「grep」してWeb脆弱(ぜいじゃく)性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」だ。 WebアプリケーションやWebフレームワーク、オープンソースコンポーネントの欠陥の発見を目指すセキュリティ研究者やバグバウンティ(報奨金)ハンターに向く。WARCannonを使うことで、インターネット全体を対象に正規表現パターンで検索し、脆弱性の指標を調査できる。 低コストな並列処理で課題を解決 だが、このような調査を実行するに
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月4日(米国時間)、APIの危険性と対策について解説したブログ記事を公開した。 APIに対する攻撃についての著書をNo Starch Pressから近く出版するコーリー・ボール(Corey Ball)氏へのマット・アトキンソン(Matt Atkinson)氏のインタビューに基づいた内容だ。ボール氏は、公認会計士事務所Moss Adamsのサイバーセキュリティコンサルティングマネジャーを務めている。ブログ記事の概要は次の通り。 APIセキュリティの現状 APIは長年にわたって使われており、成熟したインフラだ。だが、攻撃者の関心は高まる一方だ。近年のマイクロサービスの台頭に伴い、APIエコシステムは複雑さを増しており、昔ながらのセキュリティ問題も相まって、極めて多くの脆弱(ぜいじゃく)性が残っている
WordPressに緊急の脆弱性、直ちにアップデートを
米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月13日(米国時間)、「WordPress Releases Security Update|CISA」において、WordPressに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。 脆弱性に関する情報は次のページにまとまっている。 News – WordPress 5.7.2 Security Release – WordPress.org 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。 WordPress 3.7から5.7.1までのバージョン 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 WordPress 5.7.2
sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ10/02/2019にsudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。また、本件の発生条件(何故「ALL」が絡んだ場合のみ発生するのか)をソースコードレベルで追いかけた記事を@ITで公開しました。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「脆弱性」対策で世界を駆ける女性ホワイトハッカー
ウイルスバスター ビジネスセキュリティの脆弱性 (CVE-2020-8468) に関する注意喚起
Java を使った Web アプリにおける脆弱性対策 | yamory Blog
MicrosoftがmacOSの脆弱性「powerdir」を解説
数多くのPCで採用されているInsyde H2O UEFI BIOSに23個の脆弱性。開示で修正へ
理研が不正アクセス被害、1万4000件の個人情報が流出か 指摘済みの脆弱性を悪用される
セキュリティの問題が指摘されているビデオ会議サービス「Zoom」のCEOが声明を発表。今後は問題の修正に専念し、Mac版の脆弱性も修正。
AWS Amplify で Custom headers を活用したパフォーマンスと脆弱性対策
脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
Windowsに重大度「緊急」のゼロデイ脆弱性2件、すでに攻撃も行われている可能性
「sudo」コマンドに特権昇格の脆弱性、各ディストリビューションの対応一覧
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
VMware製品に致命的な脆弱性 ~「ESXi」「Workstation」「Fusion」に影響/対策版への更新を
AMD製プロセッサーに複数の脆弱性 ~Athlon、Ryzen、Threadripperなどに影響/マザーボードベンダーからBIOSのアップデートが提供され次第適用を
TP-Link製Wi-Fiルータに重要な脆弱性、すぐにアップデートを
iOS 13.4でVPN利用時もトンネル外で通信が発生する脆弱性
ソフトウェアによる修正が困難なIntel CPUの脆弱性「LVI」
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント
WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由
iPhone 4S~Xなど複数のApple製品で修正困難な脆弱性、米CERT/CCが注意喚起
OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに
Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
Wi-Fiセキュリティ新規格「WPA3」にWi-Fiのパスワードが漏れる新たな脆弱性が発見される
複数のNEC製のWi-Fiルーターに脆弱性、生産終了した「Aterm WF800HP」など 「Aterm WG2600HP」「Aterm WG2600HP2」も対象
数百万のルータに緊急の脆弱性が発覚、何年も続く可能性あり、
『情報セキュリティの敗北史 脆弱性はどこから来たのか』 訳者あとがき - HONZ
SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか