楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」

2023/10/24 16 users security.txt セキュリティー向上 事実 SNS

楽天グループが2023年10月2日、Webサーバーにsecurity.txtを設置し、脆弱性情報の受付窓口としてVDP（脆弱性開示プログラム）を開始したことがSNSで話題になった。同社広報はこれを事実だと認めた。 日本有数のIT企業である楽天グループが「Webサーバーにテキストファイルを設置？」「脆弱性情報の受け付けがなぜ関係す... 続きを読む

【重要】CPU脆弱性による弊社サービスへの影響について（2023年8月10日更新） | さくらインターネット

2023/08/10 16 users CPU脆弱性 さくらインターネット 影響 弊社サービス AMD

お客様各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2023年8月8日にAMDのCPUに対して、また8月9日にIntelのCPUに対して下記の脆弱性情報が発表されました。 これらの脆弱性に対する弊社の対応状況をお知らせいたします。 ・CVE-2023-20569（Inception） （参考）Inception https... 続きを読む

GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog

2023/07/31 16 users GitHub SSRF セキュリティエンジニア テキサス 許可

はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む

Amazon Inspectorから脆弱性情報を取得してGitHub Issuesにチケット発行するのを自動化する - LIVESENSE ENGINEER BLOG

2023/05/30 8 users Github Issues まえがき Python ドイル

まえがき こんにちは、インフラグループの yjszk です。 インフラグループでは、Amazon Inspectorで検出された脆弱性への対応を定期的に行っています。 ただ、脆弱性情報を収集して適切な対応を行うプロセスは手作業です。作業が面倒であり、トイルとなっていました。 そこで、PythonとGitHub Actionsを使ってGitHub Iss... 続きを読む

脆弱性情報に誤記があるとき問い合わせると修正してもらえる - hogashi.*

2022/12/29 14 users stefafafan hogashi 目次 エンジニア 誤記

目次 目次 実際の例 NVD CVE 番外編: Security NEXT むすび こんにちは、 id:hogashi です。 はてなエンジニア Advent Calendar 2022 - Hatena Developer Blog の 30日目の記事です。昨日は id:stefafafan さんの はてなのエンジニアとして日々意識しながらやっていることを紹介します - stefafafan の fa は3つです で... 続きを読む

脆弱性情報を隠匿、被害後の原因調査もなし……　クレカ情報漏えいのメタップス子会社に行政指導

2022/07/01 9 users SQLインジェクション メタップスペイメント 隠匿 監査 行政

経済産業省は、大量のクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメントに行政指導した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかった。 経済産業省は6月30日、不正アクセスやSQLインジェクション、バックドア... 続きを読む

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

2021/12/23 151 users 行政機関 Apache Log4j ６カ月間 提携関係 中国

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）... 続きを読む

出会い系アプリ「omiai」、過去最悪レベルの個人情報流出で新規会員数が4割減まで落ち込む : 市況かぶ全力２階建

2021/07/07 13 users Omiai ネットマーケティング 質量 市況かぶ全力２階建

7594591200220899443@shyouhei東証一部上場企業は金曜の夕方に脆弱性情報を出すという学びを得た 2021/05/21 16:40:44※ネットマーケティングの出会い系アプリ「omiai」、質量ともに過去最悪レベルの個人情報171万件が流出（2021/05/21） あさぎ@lmvleOmiai、心配して問い合わせしてきた人の情報まで流出させるなんて何が... 続きを読む

Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開 – Microsoft Security Response Center

2021/07/07 6 users マイクロソフト ソフトウェア 定例外 以下 Windows S

Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開 2021 年 7 月 7 日 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを定例外で公開しました。 Microsoft Windows 注: Windows 10 version 1607、Windows Server 2016、Windows S... 続きを読む

WordPress周りの脆弱性情報のソース - ひげろぐ

2021/06/27 19 users ひげろぐ ソース キャッチ 頻度 WordPress

プラグインやテーマを含めるとWordPressの脆弱性は毎日のように出てくるものなので、情報にしっかりキャッチアップしておく必要がある。 さすがに毎日張り付いて情報を収集するのは厳しいが、WPScanやithemes.comのニュースレターを購読すれば月一や週一の十分な頻度で簡単に脆弱性情報を知ることができる。 WPScan http... 続きを読む

sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com

2021/01/26 324 users important sudo ローカルユーザ 特権昇格 和毅

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうと... 続きを読む

sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28) - OSS脆弱性ブログ

2019/10/15 44 users important sudo 各ディストリビューション 和毅

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 10/02/2019にsudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 [過去の関連リンク(最新5件)] sudoに任意の... 続きを読む

GitHub Security Alertを元にIssueを作成するCLIを書いた | Web Scratch

2019/07/19 28 users CLI Issue npm gem リポジトリ

@security-alertというGitHub Security Alertを扱うコマンドラインツール群を作りました。 GitHub Security Alertは、リポジトリに含まれるnpmやgemなどのパッケージの脆弱性情報を通知した一覧管理できる仕組みです。 詳しくは次のドキュメントで紹介されています。 About security alerts for vulnerable dependencies... 続きを読む

MSが“おきて破り”の緊急対応　今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ

2019/05/20 61 users 大部分 ファ CVE-2019-0708 Microsoft

Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。 サイバー空間の脅威の多くは、メールもしくはWebからやってきます。皆さんもご存じのように、そうした攻撃の大部分は、「クリックしてファ... 続きを読む

Rails 4, 5, 6における Secuirty Fix について - ペパボテックブログ

2019/03/19 98 users Rails mrtc ライブラリ ペパボテックブログ 脆弱性

セキュリティ対策室の mrtc0 です。 セキュリティ対策室では、サービスで利用しているパッケージやライブラリ等の脆弱性情報を日々収集し分析しています。 そこで今回は 2019/3/14 に公開された次の3つの Rails の脆弱性の詳細をまとめたいと思います。 CVE-2019-5418 File Content Disclosure in Action View CVE-2019-... 続きを読む

AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開 - ITmedia エンタープライズ

2019/03/05 13 users macOSカーネル XNU Apple バッチ 脆弱性

Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。 AppleのmacOSカーネル「XNU」に脆弱性が見つかったとして、GoogleのProject Zeroチームが情報を公開した。Appleには2018年11月30日に連絡したが、Google側が指定した90日の期限を過ぎてもA... 続きを読む

SpamAssassinの日本語対応状況 - インフラエンジニアway - Powered by HEARTBEATS

2018/10/15 14 users 滝澤 インフラエンジニアway 半ぶり リリース情報 アップ

こんにちは滝澤です。 先月（2018年9月16日）に約3年半ぶりに迷惑メールフィルターSpamAssassinの最新版（バージョン3.4.2）がリリースされました。 リリース情報が脆弱性情報とルール更新プログラム（sa-update）の署名アルゴリズムの変更と共にもたらされたため、SpamAssassinを利用している場合には最新版へのアップ... 続きを読む

「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚 - GIGAZINE

2018/08/31 50 users GIGAZINE meltdown Intel グレッグ 開示

2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー＝ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kern... 続きを読む

3/28に公開されたRubyの脆弱性情報についてのポエム的解説 - pixiv inside

2018/03/29 198 users Ruby pixiv inside WEBrick USA

こんにちは。Rubyコミッターのusaです。 なんか Ruby の 最新 リリース と一緒に、 脆弱性 情報 が いっぱい 公開 されました ね。うわー、なんかよくわかんないけど、やばそうですね！正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に本音を語っていこうと思います。 CVE-2017-17742: WEBrick に... 続きを読む

Dropboxがセキュリティ技術者の権利を守るための脆弱性公開ポリシーを設定 - GIGAZINE

2018/03/25 37 users オンラインストレージ GIGAZINE Dropbox 昨今

By Ian Lamont オンラインストレージ サービスを運営している Dropbox では脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘... 続きを読む

エンジニアなら脆弱性情報を読めるようになろう | Tech Blog

2018/01/30 563 users エンジニア Tech Blog セキュリティエンジニア 岡崎

こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 １，脆弱性情報の見方... 続きを読む

MeltdownおよびSpectre（CPUの脆弱性）による弊社サービスへの影響について – さくらのサポート情報

2018/01/12 30 users MeltdownおよびSpectre CPU CVE JVN

2018年1月3日、下記の脆弱性情報が発表されました。 このページでは、今回発覚した脆弱性に対する弊社の対応状況をまとめています。 JVN（Japan Vulnerability Notes） JVNVU#93823979 「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」 CVE（Common Vulnerabilities and Exposures） CVE-2017-5715（S... 続きを読む

【重要】MeltdownおよびSpectre（CPUの脆弱性）による弊社サービスへの影響について | さくらインターネット

2018/01/05 41 users MeltdownおよびSpectre 平素 CPU 脆弱性

サービスサイト > お知らせ > 【重要】MeltdownおよびSpectre（CPUの脆弱性）による弊社サービスへの影響について お知らせ│さくらインターネット お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2018年1月3日、下記の脆弱性情報が発表されました。これらの脆弱性に対する弊社の 対応状況、および、お客様へのお願... 続きを読む

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018/01/04 737 users piyolog SPECTRE meltdown CPU 名称

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre ... 続きを読む

Intel，第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース - 4Gamer.net

2017/11/22 46 users Intel 小西利明 Coreプロセッサ 有無 検出ツール

Intel，第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース 編集部：小西利明 北米時間2017年11月20日，Intelは， 第6世代から第8世代までのCoreプロセッサ およびXeon，Pentium，Celeronプロセッサが備えるシステム管理機能「 Intel Management Engine 」（以下，Intel ME... 続きを読む