タグ 脆弱性対応
人気順 10 users 50 users 100 users 500 users 1000 users脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が... 続きを読む
脆弱性対応とKnown Exploited Vulnerability Catalog(KEV Catalog)の考え方 (1/3) |IssueHunt
IssueHuntは、バグバウンティプラットフォームや脆弱性報告受付窓口ツールVDPの提供、製品セキュリティ施策の内製化をサポートします。世界最先端の技術とサービスで、お客様の情報資産をサイバー攻撃の脅威から守ります。 続きを読む
Cloud One Workload Security Agentのバージョン確認とアップグレードをしてみる | DevelopersIO
こんにちは、コンサル部@大阪オフィスのTodaです。 トレンドマイクロ社が提供しているCloud One Workload Security(C1WS)では監視対象のインスタンス・サーバにAgentをインストールして保護をおこなっています。 Agentは最新の検索エンジンなどによる脅威の対応や脆弱性対応のためアップグレードがおこなわれています。... 続きを読む
Log4j 2.14.1の脆弱性対応
Log4j で強めな脆弱性が発見されました。 詳細は省きますが、ある条件可で任意のコードが実行できるような脆弱性です。 mavenのリポジトリによってはまだ2.15.0のバージョンが上がっていないようで、少し手こずったので記事にします。 (2021/12/10 13時時点) ※自分が所属するログラスでも依存しているライブラリでしたが... 続きを読む
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で... 続きを読む
脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(... 続きを読む
「CVSS」とはそもそも何か? 脆弱性対応の優先順位付けではない!?【海外セキュリティ】 - INTERNET Watch
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか:@IT脆弱性対応セミナー2018 - @IT
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。 1960年に創業したリクルートは、現在4万人の従業員を抱える大手グループ企業。『ホットペッパー』『ゼクシィ』『じゃらん』などの情報サービスを中心に事業展開... 続きを読む
人気ゲーム「フォートナイト」のインストーラーの脆弱性対応を巡って開発会社がGoogleを強く批判 - GIGAZINE
世界的に人気のあるバトルロイヤルアクションゲーム「フォートナイト」のAndroid版が、2018年8月からリリースされています。Android版「フォートナイト」はGoogle Playを使用せず、公式サイトからダウンロードできるインストーラーで配信されています。Googleは2018年8月15日にこのインストーラーに脆弱性があると通知し... 続きを読む
第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること:インフラセキュリティの処方箋|gihyo.jp … 技術評論社
今月は, 時折見られる 「開発者と連絡を取れず, 修正できない (修正を期待できない) 脆弱性」 , 繰り返される 「攻撃」 の歴史, そして 「あたりまえ」 という3つのトピックについて解説します。 「連絡不能案件」 扱いされるソフトウェアの脆弱性対処 通常, ソフトウェアに脆弱性がある場合, 当該ソフトウェアの開発者に連絡が行き, 開発者による脆弱性修正がなされるのが通例と考える方が多いかと... 続きを読む
ゼロから考える脆弱性対応 - Qiita
はじめに こんなツイートを見かけました。 ・脆弱性ってなんだろう ・脆弱性対応ってなにしたらいいの? ・情報を集めよう ・該当機器を洗いだそう ・対応方法を決めよう … みたいなまとめほしいけど意外とないから作りたい…作るしかなくない…? — ナツヨさん@インフラ女子の日常 (@infragirl755) 2018年1月15日 たしかにそうだなぁ。力試しに書いてみよう。 脆弱性とは さて最初に、こ... 続きを読む
Google副社長、CPUの脆弱性対応を振り返る「この10年で最も困難だった」 - iPhone Mania
Googleの副社長が、CPUの深刻な脆弱性「Meltdown(メルトダウン)」と「Spectre(スペクター)」への対応には、企業を超えた数百人のエンジニアが数カ月にわたって取り組み、「過去10年間で最大で、最も困難だった」と振り返っています。 数百人のエンジニアが企業をまたいで連携し対応 2Google の副社長が、CPUの深刻な 脆弱性 「Meltdown(メルトダウン)」と「Spect... 続きを読む
CNN.co.jp : ウィンドウズPC、CPUの脆弱性対応で動作速度に影響
ウィンドウズPC、CPUの脆弱性対応で動作速度に影響 2018.01.10 Wed posted at 13:17 JST ニューヨーク(CNNMoney) 米インテルなど半導体大手のCPU(中央演算処理装置)に脆弱(ぜいじゃく)性が発覚した問題で、米マイクロソフトは9日、この問題への対策がコンピューターの動作速度に及ぼす影響について、詳しく説明した。同社がここまで詳しい情報を公表するのは異例。... 続きを読む
Linuxのパッケージをアップデートしたあとrestartが必要なプロセスを見つける方法 - Qiita
はじめに 脆弱性対応のためのアップデート作業というものは頻繁に発生するものですが、本番運用しているシステムではサービスへの影響を最小限にしたいものです。 アップデートした後、出来ることなら必要なプロセスだけリスタートさせることで済ませたいのですが、どのプロセスをリスタートすれば良いのか、そもそもOS再起動しないと反映されないものなのか、判断が付かない場合が少なくありません。 そのような場合のため、... 続きを読む
OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する | スラド セキュリティ
オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという( Bluck Duckの発表 、 ITmedia )。 Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソース... 続きを読む
BINDの脆弱性対応についての動きまとめ - infragirl’s blog
2016 - 01 - 23 BINDの脆弱性対応についての動きまとめ おはこんばんにちは。ナツヨです。 いつか、 脆弱性 対応についての記事を書こうと思っていたら、BINDさんがまた 脆弱性 を発表してくれました。(CVE-2015-8704,CVE-2015-8705) 前回の発表から1ヶ月も立っていないのに、流石BINDさんだなぁと思いました。(遠い目) 今日は、BINDに焦点をあてて、 脆... 続きを読む
Androidのパッチは不完全? Stagefrightの脆弱性対応で批判 - ITmedia エンタープライズ
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。 Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。 Stagefrigh... 続きを読む
【重要】【さくらのVPS】脆弱性対応に伴うメンテナンス実施のお知らせ | さくらインターネット
2015年8月3日 お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 先日、仮想マシンエミュレータ「QEMU」において、仮想サーバ内からの特定のコマン ド実行により、ホストサーバや、ホストサーバで動作する別の仮想サーバが不正操作さ れる可能性のある脆弱性(CVE-2015-5154)が公表されました。 さくらのVPSでは仮想マシ... 続きを読む
【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ | さくらインターネット
サービスサイト> お知らせ> 【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ お知らせ│さくらインターネット 2015年5月18日 お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 先日、仮想化基盤システム「KVM」において、仮想サーバ内からの特定のコマンド実行 により、ホストサーバや、ホスト... 続きを読む
対策は脆弱性対応やアカウント管理、書き換えに「気付く」手段の併用も:ドメイン名ハイジャックがマルウェア感染サイトへの誘導に悪用、国内組織の「.com」で被害発生 - @IT
対策は脆弱性対応やアカウント管理、書き換えに「気付く」手段の併用も:ドメイン名ハイジャックがマルウェア感染サイトへの誘導に悪用、国内組織の「.com」で被害発生 2014年9月から10月にかけて、ドメイン名登録情報の不正な書き換えによる「ドメイン名ハイジャック」が発生し、当該サイトにアクセスしたユーザーがマルウェア配布を試みる不正なサイトに誘導される事態が発生していたとし、JPCERT/CCやJP... 続きを読む
「bash」脆弱性対応の「OS X」アップデートは不完全:セキュリティ研究者が指摘 - CNET Japan
Appleが先ごろ、一部の「Macintosh」コンピュータの制御をハッカーらに奪われる可能性があるとして、「Shellshock」または「Bash」バグとして知られる脆弱性を修正するアップデートを公開した。しかし、セキュリティ研究者らは米国時間9月30日、パッチは不完全で、ある脆弱性が修正されないままになっていると述べた。 この脆弱性は、Mac用OSソフトウェアであるAppleの「OS X」を含... 続きを読む
Apple、「bash」脆弱性対応のOS Xアップデートをリリース - ITmedia ニュース
Appleが、「Shelshock」攻撃に悪用されるUNIXシェル「bash」の脆弱性を修正するためのOS Xアップデートをリリースした。 米Appleは9月29日(現地時間)、Mac OSのアップデートをリリースした。24日に発見された「bash」シェルの脆弱性に対応するためのアップデートで、対象となるのは「OS X Mavericks」「OS X Mountain Lion」「OS X Lio... 続きを読む
Ruby 1.9.3-p374 リリース
このところ毎月で恐縮ですが、Ruby 1.9.3-p374 がリリースされました。このリリースでは、以下の修正が取り込まれています。 (特に Rails 使用時に) ランダムに起きる SEGV の修正 Windows 8 対応 (たぶん今度こそ) その他多数のバグ修正 詳しくは、対応するチケットおよび ChangeLog を確認して下さい。なお、今回のリリースには、脆弱性対応は特に含まれていません... 続きを読む
Ruby 1.9.3-p362 リリース
毎年恒例ですが、今年もクリスマスに合わせて Ruby 1.9.3-p362 が リリースされました。このリリースでは、以下の修正が取り込まれています。 Solaris におけるビルドの問題の修正 Windows 8 対応 (たぶん) その他多数のバグ修正 詳しくは、対応するチケットおよび ChangeLog を確認して下さい。なお、今回のリリースには、脆弱性対応は特に含まれていません。 ダウンロー... 続きを読む
Ruby 1.9.3-p327 リリース
Ruby 1.9.3-p327 がリリースされました。このリリースには、脆弱性対応を含む以下の修正が取り込まれています。 ruby 1.9 におけるハッシュ飽和攻撃による DoS 脆弱性への対応 (CVE-2012-5371) その他多数のバグ修正 詳しくは、対応するチケットおよび ChangeLog を確認して下さい。 ダウンロード以下の URL から本リリースをダウンロードできます。 <URL... 続きを読む