アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

2021/12/23 151 users 行政機関 Apache Log4j ６カ月間 提携関係 中国

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）... 続きを読む

sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com

2021/01/26 324 users important sudo ローカルユーザ 特権昇格 和毅

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうと... 続きを読む

MSが“おきて破り”の緊急対応　今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ

2019/05/20 61 users 大部分 ファ CVE-2019-0708 Microsoft

Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。 サイバー空間の脅威の多くは、メールもしくはWebからやってきます。皆さんもご存じのように、そうした攻撃の大部分は、「クリックしてファ... 続きを読む

Rails 4, 5, 6における Secuirty Fix について - ペパボテックブログ

2019/03/19 98 users Rails mrtc ライブラリ ペパボテックブログ 脆弱性

セキュリティ対策室の mrtc0 です。 セキュリティ対策室では、サービスで利用しているパッケージやライブラリ等の脆弱性情報を日々収集し分析しています。 そこで今回は 2019/3/14 に公開された次の3つの Rails の脆弱性の詳細をまとめたいと思います。 CVE-2019-5418 File Content Disclosure in Action View CVE-2019-... 続きを読む

「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚 - GIGAZINE

2018/08/31 50 users GIGAZINE meltdown Intel グレッグ 開示

2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー＝ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kern... 続きを読む

3/28に公開されたRubyの脆弱性情報についてのポエム的解説 - pixiv inside

2018/03/29 198 users Ruby pixiv inside WEBrick USA

こんにちは。Rubyコミッターのusaです。 なんか Ruby の 最新 リリース と一緒に、 脆弱性 情報 が いっぱい 公開 されました ね。うわー、なんかよくわかんないけど、やばそうですね！正味のところ、こいつら結局どれくらい危なそうなのか、それらの脆弱性の記事を書いた人がたまたまピクシブにいましたので、率直に本音を語っていこうと思います。 CVE-2017-17742: WEBrick に... 続きを読む

エンジニアなら脆弱性情報を読めるようになろう | Tech Blog

2018/01/30 563 users エンジニア Tech Blog セキュリティエンジニア 岡崎

こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 １，脆弱性情報の見方... 続きを読む

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018/01/04 737 users piyolog SPECTRE meltdown CPU 名称

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre ... 続きを読む

WPA2の脆弱性 KRACKsについてまとめてみた - piyolog

2017/10/16 646 users piyolog KRACKs プロトコル 盗聴 改ざん

2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後... 続きを読む

Gitの脆弱性 ( CVE-2017-1000117 ) — | サイオスOSS | サイオステクノロジー

2017/08/13 299 users Git SIOS OSSエバンジェリスト サイオスOSS

8/11に、Gitに関しての脆弱性 ( CVE-2017-1000117 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。 8/11に、Gitに関しての脆弱性情報 ( CVE-2017-1000117 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビュ... 続きを読む

sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 ) — | サイオスOSS | サイオステクノロジー

2017/05/30 368 users sudo SELinux 特権昇格 サイオスOSS 脆弱性

05/30/2017にsudoの脆弱性情報(CVE-2017-1000367)が公開されました。Priorityも高いので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 SELinuxの動作も悪用しているので、SELinuxがシステムで有効になっていると発生します。 こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 05/30... 続きを読む

SQLインジェクションの脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明、IPAが注意喚起 -INTERNET Watch

2017/01/25 53 users IPA SQLインジェクション ウェブサイ 判明 注意喚起

SQLインジェクションの脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明、IPAが注意喚起 中国の脆弱性情報のポータルサイト「WooYun」に2016年2月以降、SQLインジェクションの脆弱性が存在する日本国内のウェブサイト約400件の情報が登録されていたことが判明。独立行政法人情報処理推進機構（IPA）セキュリティセンターでは25日、脆弱性が存在し続けているウェブサイ... 続きを読む

ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog

2016/05/04 380 users 複数 ImageMagick piyolog 関連情報 脆弱性

画像処理ソフトImageMagickに複数の脆弱性が存在するとして2016年5月3日頃、CVE-2016-3714他の脆弱性情報が公開されました。ここでは関連情報をまとめます。 脆弱性概要 対象 ImageMagick CVE CVE-2016-3714 CVE-2016-3715 CVE-2016-3716 CVE-2016-3717 CVE-2016-3718 影響 RCE 重要度 N/A P... 続きを読む

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog

2016/03/01 328 users OpenSSL piyolog 愛称 脆弱性 プロジェクト

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advis... 続きを読む

Javaライブラリに脆弱性、主要ミドルウェア全てに影響 - ITmedia エンタープライズ

2015/11/09 133 users Javaライブラリ ITmedia エンタープライズ 影響

WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないと... 続きを読む

【重要】VENOM（KVMの脆弱性）に関する対策について | さくらインターネット

2015/05/14 144 users VENOM kvm 平素 CVE-2015-3456 脆弱性

2015年5月14日 お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 2015年5月13日、CVE-2015-3456（VENOM）という脆弱性情報が発表されました。 ▼Common Vulnerabilities and Exposures「CVE-2015-3456」 http://cve.mitre.org/cgi-bi... 続きを読む

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響<br />～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～ | セキュリティ情報 | 株式会社ラック

2014/04/24 81 users Apache Struts 緩和策 脆弱性 株式会社ラック

ラックホーム >  セキュリティ情報 >  注意喚起情報・脆弱性情報 >  Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 ～国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を～ 注意喚起情報 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 ～国内でいまだ大量稼働するStruts 1利用... 続きを読む

Internet Explorerに情報漏えいの脆弱性、「IE 10に更新を」 - ITmedia エンタープライズ

2013/06/07 128 users ITmedia エンタープライズ 脆弱性 情報漏えい 更新

情報処理推進機構とJPCERT コーディネーションセンターは6月7日、Microsoft Internet Explorer（IE）に関する脆弱性情報を発表した。細工されたXMLファイルをローカルファイルとして開くことで、別のローカルファイルの内容が漏えいする恐れがあるという。 それによると、脆弱性はIE 6～9に存在する。現時点で最新版のIE 10は初期出荷版で解決されているため、影響を受けない... 続きを読む