「DNSに対する最悪の攻撃」　DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる

2024/02/19 29 users CloudFlare ＤＮＳ 根幹 CPU 脆弱性

「DNSに対する最悪の攻撃」　迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウ... 続きを読む

多数の「Linux」ディストリビューションに影響する脆弱性--パッチ適用を

2023/10/06 7 users ディストリビューション Linux Qualys Tru 多数

Qualysの脅威調査部門（TRU）は米国時間10月3日、GNU Cライブラリ（glibc）でセキュリティーホールを発見したと報告した。この脆弱性（CVE-2023-4911）は「Looney Tunables」と呼ばれ、深刻度をスコアで表す「脆弱性評価システム（CVSS）」では7.8、「重要」（Important）と評価されている。 最もリスクが高い「深刻」（... 続きを読む

Windows 10更新でOneDriveが強制終了する不具合。パッチ適用を

2022/10/31 9 users OneDrive 強制

続きを読む

「ニフクラ」の負荷分散装置に不正侵入、多層防御も設定ミスで効かず

2022/09/08 16 users ニフクラ 既知 多層防御 一角 負荷分散装置

国産クラウドの一角である「ニフクラ」が不正アクセスを受けた。対象となったのは負荷分散装置で、既知の脆弱性を悪用された。負荷分散装置を通過する通信パケットが窃取された恐れがある。脆弱性の公開からパッチ適用まで1週間かかった隙を突かれた。ネットワーク防御装置にも設定不備があり、攻撃を許した。 富士通子... 続きを読む

悪用続く「Log4Shell」　対応放置の企業はランサムウェア感染など二次被害　「パッチ適用を怠れば、コストは増大」

2022/07/12 10 users ランサムウェア感染 Log4Shell 増大 Java いまだ

悪用続く「Log4Shell」　対応放置の企業はランサムウェア感染など二次被害　「パッチ適用を怠れば、コストは増大」： この頃、セキュリティ界隈で Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の... 続きを読む

AWS Systems Manager を使用したソフトウェアのパッチ適用 | Amazon Web Services ブログ

2020/09/13 10 users ソフトウェア AWS Systems Manager 過程

Amazon Web Services ブログ AWS Systems Manager を使用したソフトウェアのパッチ適用 世界中の企業でクラウドコンピューティングの導入が急速に増加しており、クラウドジャーニー（クラウド活用を進める過程）の中で、さまざまな移行パターンが選ばれています。モノリシックなレガシーアプリケーションをそのまま使用... 続きを読む

「Windows DNS Server」の深刻な脆弱性、DHSが緊急指令でパッチ適用を呼びかけ - ZDNet Japan

2020/07/17 7 users DHS 緊急指令 脆弱性 ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁（DHS CISA）は米国時間7月16日、「Windows Server」に深刻な影響を与えるバグに対処するた... 続きを読む

【これまでのまとめ】脆弱性管理ツールFutureVuls ｜ Developers.IO

2019/11/25 5 users Developers.IO FutureVuls 検知 目次

脆弱性管理ツールFutureVulsは、脆弱性の検知、管理（判断、計画、パッチ適用）を行うことができるクラウドサービスです。 FutureVulsに関する記事が、当ブログに多数ございますので、ここらで振り返ってみたいと思います。本記事にまとめましたので、紹介して行きたいと思います。 目次 FutureVulsとは アカウント登録... 続きを読む

［速報］Oracle Autonomous Linuxリリース。ダウンタイムなしで自律的にパッチ適用、チューニング実行、RHELと100％互換など。Oracle OpenWorld 2019 － Publickey

2019/09/17 54 users RHEL Publickey サンフランシスコ ラリー 速報

［速報］Oracle Autonomous Linuxリリース。ダウンタイムなしで自律的にパッチ適用、チューニング実行、RHELと100％互換など。Oracle OpenWorld 2019 米オラクルは、サンフランシスコで開催中の年次イベント「Oracle OpenWorld 2019」で、「Oracle Autonomous Linux」のリリースを発表しました。 同社会長兼CTOのラリー... 続きを読む

VLCプレイヤーに重大な脆弱性。パッチ適用まではアンインストールした方がいいかも | ギズモード・ジャパン

2019/07/24 38 users ギズモード VLC image 脆弱性 ジャパン

VLCプレイヤーに重大な脆弱性。パッチ適用まではアンインストールした方がいいかも2019.07.24 17:00 Sam Rutherford- Gizmodo US ［原文］ （ 岡本玄介 ） Image: VLC あなたのPCがハッキングされる危険性が！ 動画再生メディア・プレイヤーとして広く使われているVLC。これは無料かつオープンソースであることから、世... 続きを読む

[遂にきた！]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた ｜ DevelopersIO

2019/06/06 122 users SSM DevelopersIO FutureVuls 臼田

こんにちは、臼田です。 全世界のサーバ管理をしている皆様、朗報です。 脆弱性管理ツールのFutureVulsがAWS Systems Manager(SSM)と連携する機能を発表しました！ 具体的には下記2つの機能を提供 […] 続きを読む

マイクロソフトは伝染性BlueKeepバグへのパッチ適用を勧告 | TechCrunch Japan

2019/06/01 11 users 勧告 マイクロソフト TechCrunch JAPAN 再発

マイクロソフトは、今月2度目の勧告を出し、システムをアップデートしてWannaCryに類似した攻撃の再発を防ぐことをユーザーに促した。 同社は米国時間の5月30日に、最近発見された「ワームの侵入を可能にする」Remote Desktop Services for Windowsの脆弱性により、攻撃者は未対策のコンピュータ上でコードを実行できる... 続きを読む

WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3)：今さら聞けない「セキュリティ基礎の基礎」（1） - ＠IT

2018/08/20 11 users WannaCry SIer ベンダー サイバー攻撃 アドバイス

今さら聞けない「セキュリティ基礎の基礎」（1）：WannaCryも防げたはず。今度こそ「パッチ適用」を徹底しよう (1/3) サイバー攻撃が年々高度化、巧妙化している今、企業には一層高度なセキュリティ対策が求められています。日々付き合いがあるベンダー、SIerの意見やアドバイスを参考することも大切ですが、ご自身でも... 続きを読む

Google App Engineがスタンダード環境でNode.jsをサポート。パッチ適用は自動、カスタムドメインでのHTTPSも利用可能 － Publickey

2018/06/13 53 users Publickey https 増減 サーバ 復旧

Google App Engineがスタンダード環境でNode.jsをサポート。パッチ適用は自動、カスタムドメインでのHTTPSも利用可能 Google App Engineはクラウド上にアプリケーションの実行環境が提供され、サーバが落ちた場合の復旧や負荷に応じたサーバの増減などの管理をすべてクラウドにまかせることができるサービスです。 アプリケーションの実行環境として、あらかじめGoogleが言... 続きを読む

CPU脆弱性Meltdownのパッチ適用でベンチマークスコアが25％低下した - Qiita

2018/01/07 98 users カーネル Qiita バッチ CPU ベンチマークスコア

いま話題のCPU脆弱性Meltdownですが、 各OSベンダーからカーネルのパッチが配布され始めました。 個人で利用しているEC2にパッチを適用して、ベンチマークをとったところ、 トータルスコアが25％低下という結果が出ましたのでまとめます。 ※環境やCPUの種類やベンチマークの取り方で変わるので、 必ずしも全ての環境においてこの結果が正しいわけではありません。 環境とスペック EC2インスタンス... 続きを読む

「WannaCry」被害の英病院、パッチ適用の警告を無視していた - ZDNet Japan

2017/10/30 20 users WannaCry ＮＨＳ nao 警告 ランサムウェア攻撃

英国民保健サービス（NHS）が「WannaCry」ランサムウェア攻撃に対して無防備な状態で放置されたのは、NHS Trust病院に対して、システムへのパッチ適用を求める警告が発せられていたにもかかわらず、多くの病院がそれを実行しなかったことが原因だった。 英会計検査院（NAO）が5月に発生した世界規模のWannaCryランサムウェア攻撃を調査したところ（この攻撃で、多くのNHS組織の情報システムが... 続きを読む

Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ　パッチ適用を - ITmedia エンタープライズ

2017/10/03 37 users dnsmasq ホームルータ Linux Android 影響

Androidやデスクトップ向けLinuxディストリビューション、ホームルータ、IoTデバイスなどの幅広いシステムに使われている「Dnsmasq」に脆弱性が見つかり、パッチが公開された。 米Googleは10月2日、オープンソースのDNSソフトウェアパッケージ「Dnsmasq」に7件の脆弱性が見つかったと発表した。AndroidやLinuxディストリビューションなどに広範な影響が指摘されている。 ... 続きを読む

Equifaxの情報流出、「Apache Struts」の脆弱性に起因--パッチ適用怠る？ - CNET Japan

2017/09/15 23 users Equifax 起因 Apache Struts 声明 脆弱性

Equifaxは、 1億4300万人の消費者が影響を受けたとされる同社の情報流出 が、数カ月前から情報が公開されていた、Apache Strutsの脆弱性を修正しなかったことが原因で発生したことを認めた。 米国の大手消費者信用情報会社であるEquifaxは、発表した声明で「Equifaxは、どの情報がアクセスされ、誰が影響を受けたかを明確にするため、有力な独立サイバーセキュリティ企業の支援を受けて... 続きを読む

「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性 -INTERNET Watch

2017/06/20 37 users DOS JPCERT 岩崎 INTERNET Watch 推奨

ニュース 「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性 2.4系はアップデート、2.2系はパッチ適用を推奨 岩崎 宰守 2017年6月20日 18:02 　「Apache HTTP Web Server」の複数モジュールにおけるサービス運用妨害（DoS）など5件の脆弱性について、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注... 続きを読む

「WannaCry」で騒ぎすぎ？セキュリティのプロが静観する理由 - CNET Japan

2017/05/31 28 users WannaCry 身代金 痛手 ランサムウェア 拡散

ランサムウェア「WannaCry」は5月上旬にインターネット上で爆発的に流行し、世界中の「Windows」マシンに大規模な被害をもたらした。 初期の拡散は収まり、PCへのパッチ適用も進んでいるが、業務の停止を余儀なくされた病院や小規模企業などにとっては痛手となった。300ドルまたは600ドルの身代金を支払った人は数百人にのぼる。 しかも、WannaCryは今なお進化を続けている。 150カ国で30... 続きを読む

Active Directoryに対する攻撃の検知と対策手法のドキュメント、JPCERT/CCが公開 -INTERNET Watch

2017/03/14 37 users JPCERT 岩崎 検知 ドキュメント 手法

ニュース Active Directoryに対する攻撃の検知と対策手法のドキュメント、JPCERT/CCが公開 パッチ適用やOSアップデートではない運用対処の具体的な手法を解説 岩崎 宰守 2017年3月14日 14:22 　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）早期警戒グループは、14日に公開した「ログを活用したActive Directory（AD）に対する攻... 続きを読む

Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 | スラド セキュリティ

2017/02/09 20 users DoS攻撃 ゼロデイ Microsoft 遠隔 スラド

「Windows Server 2016のマーケティングの事情からMicrosoftによるパッチ適用が遅れた」という、Windowsに存在する脆弱性が公開された（ PC Watch 、 VU#867968 ）。 この脆弱性はWindowsのファイル共有やプリンタ共有などで使われているSMBプロトコルに関連するもので、悪用することで認証されていない攻撃者が遠隔から該当システムに対するDoS攻撃を行え... 続きを読む

「PHPMailer」に重大な脆弱性、直ちにパッチ適用を - ITmedia エンタープライズ

2016/12/27 78 users PHPMailer ライブラリ PHP バッチ 脆弱性

PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。 PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Int... 続きを読む

MS、脆弱性緩和ツール最新版「EMET 5.5」公開--「Windows 10」のセキュリティ機能もアピール - CNET Japan

2016/02/08 9 users アピール EMET CNET Japan セキュリティ機能

Microsoftは先週、7年前に公開された脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit」（EMET）の最新バージョン「EMET 5.5」をリリースした。EMET 5.5は、「Windows 10」に対応している。 Microsoftは2009年以降、ソフトウェア脆弱性へのパッチ適用が間に合わずに攻撃が発生してしまった場合、エンタープライズ顧客にE... 続きを読む

Flash Playerのパッチ適用を急いで　脆弱性突く攻撃発生 - ITmedia ニュース

2016/01/05 23 users 脆弱性 Flash Player 攻撃発生 Adobe 時点

米Adobe SystemsはFlash Playerのセキュリティアップデートを12月下旬に公開し、複数の深刻な脆弱性を修正した。この時点で「限定的な標的型攻撃」の発生が確認されており、まだ更新を済ませていない場合は早急に対処する必要がある。 Adobeの12月29日付のセキュリティ情報によると、今回のアップデートでは19件の脆弱性を修正した。悪用された場合、システムを制御される恐れがあり、1件... 続きを読む