【セキュリティ ニュース】Fortinet製品のSSL VPN機能に脆弱性 - すでに悪用、侵害調査を(1ページ目 / 全2ページ):Security NEXT
Fortinetのセキュリティゲートウェイ「FortiGate」などでOSとして搭載されている「FortiOS」に深刻なゼロデイ脆弱性が明らかとなった。すでに悪用が確認されており、同社では機器が侵害されていないか早急にログを確認するよう呼びかけている。 同社では、現地時間12月12日にアドバイザリをリリースし、「FortiOS」の「SSL VPN」機能にヒープベースのバッファオーバーフローの脆弱性「CVE-2022-42475」が存在することを明らかにした。リモートより細工したリクエストによって認証なしにコードやコマンドの実行が可能となる。 同社では、同脆弱性について共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度をもっとも高い「クリティカル(Critical)」とレーティングしている。 同社では、脆弱性を修正した「FortiOS 7.2.3」「同7.0.9」「
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?(大元隆志) - エキスパート - Yahoo!ニュース
警察庁は27日、庁内の端末1台が外部から不正アクセスを受けていたと発表した。報道内容からは、2019年8月から今月中旬まで46回、複数のIPアドレスから不正アクセスがあったという。 ■Fortinet-SSLVPNの脆弱性CVE-2018-13379を利用か? 実は、先日伝えた「Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。」で公開されたIPアドレスの一つに警察庁のものが含まれていた。 これを発見した筆者は、24日に警視庁の「不正アクセスに関する情報提供」から警察庁のIPが含まれていたことを通知。翌25日に警視庁から反応があった。 毎日新聞には「25日に警視庁から「不正アクセスを受けているのではないか」と情報提供があり、発覚した。」とあり、時系列的には一致している。 また、Fortinet-SSLVPNの脆弱性CVE-2018-1337
中国がTLS 1.3とESNIを使用するHTTPSトラフィックをブロック
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 中国政府は、国内の通信を検閲するシステムである「グレートファイアウォール」(GFW)をアップデートし、通信のインターセプト(傍受、妨害)を防止する最新のセキュリティプロトコルを使ったHTTPS接続をブロックし始めた。 中国の検閲状況を調査している3つの組織(iYouPort、メリーランド大学、Great Firewall Report)が米国時間8月7日に発表した共同レポートによれば、この状況は7月末から始まっているという。 中国政府はHTTPS+TLS 1.3+ESNIの接続をブロック GFWのアップデートで新たに標的になったのは、「TLS 1.3」や「ESNI」(Encrypted Server Name Indication)など
Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST
Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 - Qiita
Let's Encrypt にバグが発見されました。利用ドメイン全体の 2.6% のサイトに影響があるとの事です 有効な証明書の 2.6% に影響があるとの事です。影響があるサイトは 2020/3/4 までに対応が必要です。すでに期限は過ぎています。該当サイトには個別にメールが届きますが、メールが届かない場合もあるとの事なので注意して下さい。 この記事では問題の概要と該当するかどうかの確認方法、および対応方法について記載しています。 記事の修正を行いました(2020/3/6 追記) この記事は筆者の予想をはるかに超えて多くの方に読んで頂きました。ありがとうございます。改めて読み返してみると不完全な部分も多かったため、以下の修正を行いました。 2.6% の意味が不正確だったので修正 バグの概要と、その影響について以下の項に追記 問題の概要 どんな影響があるのか? 確認方法の詳細、補足説明、注
「バグの影響で特定のサーバー証明書を失効させる」とLet’s Encryptが発表、影響を受けるのは全体の2.6%
by Sean MacEntee HTTPS通信に必要なサーバー証明書を無料で発行する認証局「Let's Encrypt」が、ソフトウェアのバグによって安全に証明書が発行できていなかったとして、バグの影響を受けたと考えられる証明書を2020年3月4日(水)に失効させることを発表しました。 2020.02.29 CAA Rechecking Bug - Incidents - Let's Encrypt Community Support https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591 Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support https://community.letsen
【セキュリティ ニュース】Palo AltoのVPN機能旧版にRCEの脆弱性 - バージョンの確認を(1ページ目 / 全2ページ):Security NEXT
Palo Alto Networks製ファイアウォールで提供されているSSL VPNサービス「GlobalProtect」の旧版に脆弱性が判明した。容易に悪用が可能な一方、アップデートせずに運用されているケースも見つかっており、注意が必要だ。 同VPNサービスは、モバイル環境など組織外で利用するエンドポイント端末より、同社製ファイアウォール経由のアクセスを実現するVPNソリューション。 今回、「GlobalProtectポータル」「GlobalProtectゲートウェイ」において、あらたな脆弱性「CVE-2019-1579」が明らかとなったもので、フォーマット文字列攻撃により、認証なしにリモートよりコードの実行が可能となるという。 「PAN-OS 8.1.2」「同8.0.11」および「同7.1.18」および以前のバージョンに影響がある。「同9.0」は含まれない。
ビジネスで、無料のSSL証明書 Let’s Encrypt を使用するべきか | インソースマーケティングデザイン | ホームページ制作・リニューアル・運用改善で課題を解決
2019.2.5システム開発 システムエンジニア 大貫 晃一 2021年8月1日「マリンロード」は「インソースマーケティングデザイン」へ社名を変更いたしました ビジネスで、無料のSSL証明書 Let’s Encrypt を使用するべきか こんにちは、システムエンジニアの大貫です。 2年前に無料のSSL証明書について、触れましたが、セキュリティ性の高いHTTPSでの通信を普及させることを目的として「Let’s Encrypt」による無料のSSL証明書の発行ができるようになりました。 その後の傾向を調べてみましたが、なんと「Let’s Encrypt」は無料で発行できるということもあってか、フィッシングサイトでも年々SSL化が、多く利用されるようになり、フィッシングサイトの実に50%くらいが、SSL証明書を導入しているとの記事がありました。 49 Percent of Phishing Sit
Webサイトに7月危機、常時SSL対応待ったなし
最大シェアを持つWebブラウザー「Chrome」で7月中にも、SSL/TLS証明書を全面導入していないサイトに警告が表示される。銀行やEC事業者などは「常時SSL化」の対応を迫られる。
世界30%のSSL証明書が3月と10月に強制無効化!? あなたのサイトが大丈夫か確認する3ステップ | 初代編集長ブログ―安田英久
2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元: SymantecGeoTrustRapidSSLThawte無効化スケジュール: 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ: Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼
Google Chrome でシマンテック (旧ベリサイン) 発行 SSL 証明書の有効期限が強制的に短縮されたり、EV (拡張認証) が無効になるかもという話
Google Chrome でシマンテック (旧ベリサイン) 発行 SSL 証明書の有効期限が強制的に短縮されたり、EV (拡張認証) が無効になるかもという話 最大手の認証局 (CA:Certification Authority) であるシマンテック(旧ベリサイン)が、適切な認証手続きを行わずに SSL 証明書を発行していたとされる問題で、Chrome チームが提案した証明書有効期限の段階的な短縮や EV 証明書の無効化についてまとめます。 週末に某 2ch まとめサイトで取り上げられて話題になっていましたが、Google Chrome において、シマンテック - Symantec (旧ベリサイン - Verisign) 発行の SSL 証明書がブロックされるかもという話。 まとめサイトで書かれていたような 「問答無用でブロック」 というのは煽りタイトルなのであまり真に受けるのはやめた
CDNをAkamaiに切り替えた - Glide Note
2ヶ月くらい前にCDNをAkamaiに切り替えたので、知見を公開。 (追記 2015年8月18日 私個人の認識不足で用語の使い方に問題があったので一部修正しました s/SLA 100%/高可用性構成/g) TL;DR Kaizen Platform, Inc.で利用しているCDNをAkamaiに切り替えた Akamaiはスタートアップでも利用出来るコスト感 高可用性構成のAkamaiを利用することでCDNの可用性というインフラエンジニア的に頭の痛い問題が減った CDN第一世代 AWS CloudFront CDN (-2015年1月) CDNにCloudFrontを利用 サービスで利用しているインフラのほとんどがAWSで稼働しており、 その関係でCDNもCloudFrontを選択。 CDN第二世代 CloudFront + CDN77 (2015年1月-5月) AWS CloudFront
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/06/27) 公開のお知らせ