タグ 脆弱性情報
人気順 5 users 50 users 100 users 500 users 1000 users楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」
楽天グループが2023年10月2日、Webサーバーにsecurity.txtを設置し、脆弱性情報の受付窓口としてVDP(脆弱性開示プログラム)を開始したことがSNSで話題になった。同社広報はこれを事実だと認めた。 日本有数のIT企業である楽天グループが「Webサーバーにテキストファイルを設置?」「脆弱性情報の受け付けがなぜ関係す... 続きを読む
【重要】CPU脆弱性による弊社サービスへの影響について(2023年8月10日更新) | さくらインターネット
お客様各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2023年8月8日にAMDのCPUに対して、また8月9日にIntelのCPUに対して下記の脆弱性情報が発表されました。 これらの脆弱性に対する弊社の対応状況をお知らせいたします。 ・CVE-2023-20569(Inception) (参考)Inception https... 続きを読む
GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む
脆弱性情報に誤記があるとき問い合わせると修正してもらえる - hogashi.*
目次 目次 実際の例 NVD CVE 番外編: Security NEXT むすび こんにちは、 id:hogashi です。 はてなエンジニア Advent Calendar 2022 - Hatena Developer Blog の 30日目の記事です。昨日は id:stefafafan さんの はてなのエンジニアとして日々意識しながらやっていることを紹介します - stefafafan の fa は3つです で... 続きを読む
アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド(阿里雲)... 続きを読む
出会い系アプリ「omiai」、過去最悪レベルの個人情報流出で新規会員数が4割減まで落ち込む : 市況かぶ全力2階建
7594591200220899443@shyouhei東証一部上場企業は金曜の夕方に脆弱性情報を出すという学びを得た 2021/05/21 16:40:44※ネットマーケティングの出会い系アプリ「omiai」、質量ともに過去最悪レベルの個人情報171万件が流出(2021/05/21) あさぎ@lmvleOmiai、心配して問い合わせしてきた人の情報まで流出させるなんて何が... 続きを読む
WordPress周りの脆弱性情報のソース - ひげろぐ
プラグインやテーマを含めるとWordPressの脆弱性は毎日のように出てくるものなので、情報にしっかりキャッチアップしておく必要がある。 さすがに毎日張り付いて情報を収集するのは厳しいが、WPScanやithemes.comのニュースレターを購読すれば月一や週一の十分な頻度で簡単に脆弱性情報を知ることができる。 WPScan http... 続きを読む
sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうと... 続きを読む
sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28) - OSS脆弱性ブログ
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 10/02/2019にsudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 [過去の関連リンク(最新5件)] sudoに任意の... 続きを読む
GitHub Security Alertを元にIssueを作成するCLIを書いた | Web Scratch
@security-alertというGitHub Security Alertを扱うコマンドラインツール群を作りました。 GitHub Security Alertは、リポジトリに含まれるnpmやgemなどのパッケージの脆弱性情報を通知した一覧管理できる仕組みです。 詳しくは次のドキュメントで紹介されています。 About security alerts for vulnerable dependencies... 続きを読む
MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ
Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。 サイバー空間の脅威の多くは、メールもしくはWebからやってきます。皆さんもご存じのように、そうした攻撃の大部分は、「クリックしてファ... 続きを読む
Rails 4, 5, 6における Secuirty Fix について - ペパボテックブログ
セキュリティ対策室の mrtc0 です。 セキュリティ対策室では、サービスで利用しているパッケージやライブラリ等の脆弱性情報を日々収集し分析しています。 そこで今回は 2019/3/14 に公開された次の3つの Rails の脆弱性の詳細をまとめたいと思います。 CVE-2019-5418 File Content Disclosure in Action View CVE-2019-... 続きを読む
AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開 - ITmedia エンタープライズ
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。 AppleのmacOSカーネル「XNU」に脆弱性が見つかったとして、GoogleのProject Zeroチームが情報を公開した。Appleには2018年11月30日に連絡したが、Google側が指定した90日の期限を過ぎてもA... 続きを読む
SpamAssassinの日本語対応状況 - インフラエンジニアway - Powered by HEARTBEATS
こんにちは滝澤です。 先月(2018年9月16日)に約3年半ぶりに迷惑メールフィルターSpamAssassinの最新版(バージョン3.4.2)がリリースされました。 リリース情報が脆弱性情報とルール更新プログラム(sa-update)の署名アルゴリズムの変更と共にもたらされたため、SpamAssassinを利用している場合には最新版へのアップ... 続きを読む
「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚 - GIGAZINE
2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー=ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kern... 続きを読む
3/28に公開されたRubyの脆弱性情報についてのポエム的解説 - pixiv inside
こんにちは。Rubyコミッターのusaです。 なんか Ruby の 最新 リリース と一緒に、 脆弱性 情報 が いっぱい 公開 されました ね。うわー、なんかよくわかんないけど、やばそうですね!正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に本音を語っていこうと思います。 CVE-2017-17742: WEBrick に... 続きを読む
Dropboxがセキュリティ技術者の権利を守るための脆弱性公開ポリシーを設定 - GIGAZINE
By Ian Lamont オンラインストレージ サービスを運営している Dropbox では脆弱性報奨金制度を行っており、報告の内容によっては最高で約3万3000ドル(約350万円)の報奨金を支払う制度を導入しています。しかし、昨今のセキュリティ研究者は脆弱性情報を公開することで「企業に損害を与えた」として訴訟されるケースがあり、セキュリティ技術の発展を妨げている状況にあるとDropboxが指摘... 続きを読む
エンジニアなら脆弱性情報を読めるようになろう | Tech Blog
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方... 続きを読む
MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について – さくらのサポート情報
2018年1月3日、下記の脆弱性情報が発表されました。 このページでは、今回発覚した脆弱性に対する弊社の対応状況をまとめています。 JVN(Japan Vulnerability Notes) JVNVU#93823979 「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」 CVE(Common Vulnerabilities and Exposures) CVE-2017-5715(S... 続きを読む
【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について | さくらインターネット
サービスサイト > お知らせ > 【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について お知らせ│さくらインターネット お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2018年1月3日、下記の脆弱性情報が発表されました。これらの脆弱性に対する弊社の 対応状況、および、お客様へのお願... 続きを読む
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre ... 続きを読む
Intel,第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース - 4Gamer.net
Intel,第6〜第8世代Coreプロセッサ搭載システムに関する重要な脆弱性情報を公開。脆弱性の有無を調べる検出ツールもリリース 編集部:小西利明 北米時間2017年11月20日,Intelは, 第6世代から第8世代までのCoreプロセッサ およびXeon,Pentium,Celeronプロセッサが備えるシステム管理機能「 Intel Management Engine 」(以下,Intel ME... 続きを読む
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後... 続きを読む
外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか? (1/4) - @IT
外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか? (1/4) 連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITは、2017年8月30日にセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』を東京で開催した。多数の専門家やセキ... 続きを読む
Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ - ITmedia NEWS
米Appleがリリースしたばかりの新OS、「macOS High Sierra」について、パスワード管理アプリケーションの「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱(ぜいじゃく)性が指摘された。 この脆弱性に関する情報は、セキュリティ企業Synackの研究者で、米国家安全保障局(NSA)のアナリストだったというパトリック・ウォードル氏が9月25日にTwitterに投稿した。... 続きを読む