タグ「脆弱性」 - はてブログ

タグ脆弱性

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 534件)

次の25件 »

「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性～「WinSCP」など他ツールにも影響／v0.81への更新と鍵の再生成を

2024/04/16 290 users putty WinSCP 再生成他ツール影響

「Apache」「Node.js」も～多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」／「Rapid Reset」脆弱性と比べても深刻

2024/04/09 100 users http Apache Rapid Reset 実装影響

NECの無線LANルータAtermシリーズに複数の脆弱性、59製品に影響

2024/04/08 383 users NEC JPCERTコーディネーションセンター複数影響

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVN#82074338: NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻... 続きを読む

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

2024/03/31 431 users piyolog メンテナペンタ XZ Utils 特定

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウント... 続きを読む

xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

2024/03/31 112 users Critical OpenSSH 各ディストリビューション

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており... 続きを読む

GPT-4にWebサイトを“自律的に”ハッキングさせる方法　AI自身が脆弱性を検出、成功率70％以上【研究紹介】

2024/02/21 223 users GPT-4 検出 AI自身 LLM Webサイト

米UIUC（イリノイ大学アーバナ・シャンペーン校）に所属する研究者らが発表した論文「LLM Agents can Autonomously Hack Websites」は、大規模言語モデル（LLM）を用いたAIエージェントに、自律的にWebサイトをハッキングさせる攻撃手法を提案した研究報告である。LLMエージェントがWebサイトに存在する脆弱性を事前に知... 続きを読む

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート

2024/02/18 347 users GitHub ユニットテストコーディングセキュアシーズン

GitHubは、脆弱性を含むコードを実際にデバッグすることでセキュアなコーディングを無料で学べる「Secure Code Game」のシーズン2開始を発表しました。「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通し... 続きを読む

新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表

2023/11/29 234 users 漏えい新MacBook Pro 機密情報米国チーム発表

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-ba... 続きを読む

楽天が「security.txt」を導入

2023/11/28 146 users txt 楽天アップル導入米Apple

楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP（Vulnerability Disclosure Program、脆弱性開示プログラム）を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple（アップル）や米Google... 続きを読む

本当にあった Web アプリケーションの脆弱性

2023/10/02 109 users アプリケーション開発現場目的過去 web

この記事の目的今まで Web アプリケーション製作を行った経験が無い方が「ちょっと個人開発で何か作ってみようかな！」と思ったときにうっかり脆弱性を作りこんでしまうことを少しでも防げたらいいなと考えました。そのためにはまず脆弱性を他人事だと考えないことが大事だと思ったので、私が過去の開発現場において実... 続きを読む

静的解析ツールで生まれたSQLインジェクション | ドクセル

2023/09/04 112 users SQLインジェクションドクセル静的解析ツール SQLi

面白かった脆弱性 - CVE-2023-22727 PHPフレームワーク CakePHP 4 のSQLインジェクション脆弱性 ORM limit(), offset() でSQLi CVSS v3 9.8 2023/01に修正済み CakePHP Laravelの次に使用率高いフレームワーク(多分) 割と使いやすいからお勧め 一般にコード品質が上がる静的解析ツールの使用で逆に発生続きを読む

GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

2023/07/24 136 users GitLab Flatt Security Blog

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理... 続きを読む

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

2023/07/13 119 users medium mala 開示文責所属組織

0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using cu... 続きを読む

オープンソースのVPNソフト「SoftEther VPN」、Ciscoの協力で6件の脆弱性を修正／製品版「PacketiX VPN」にもアップデート

2023/07/03 113 users Cisco SoftEther VPN VPNソフト協力

Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog

2023/06/20 116 users Flatt Security Blog Firebase

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生... 続きを読む

脆弱性を探す話 2023 - Qiita

2023/05/12 116 users パクメモ現状診断行為

最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ主にWebアプリに関すること診断と自分で勝手に脆弱性を探す行為との違い網羅性は全く必要ない診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。期間が永遠診断期間は自由なので後で気づいて... 続きを読む

ウイルスバスタークラウドの脆弱性（CVE-2023-28929）を報告しました (via Passle)

2023/05/02 168 users via Passle ウイルスバスタークラウド藤田羽田

https://www.passle.net/Content/Images/passle_logo-186px.png Passle https://passle.net はじめに本日の記事は藤田、羽田による投稿です。 ※本記事は、関連組織と調整の後、許可を受けて掲載しています。 2023/4/14にトレンドマイクロ社のウイルスバスタークラウドの脆弱性(CVE-2023-28929)が公開されました。本脆弱... 続きを読む

Windows 11にもスクショで情報漏洩の脆弱性、切り取り範囲外や消した部分が復元できる可能性 | テクノエッジ TechnoEdge

2023/03/22 118 users 上書き Snipping Tool TechnoEdge

Androidで見つかったスクリーンショット編集機能の脆弱性が、Windows 11の純正スクリーンショットツールにもあることが分かりました。 Windows 11 / 10標準のSnipping Tool (Win＋Shift＋S)でスクリーンショットを撮影してから、切り取ったりマークアップで塗り潰して上書き保存した場合、切り取った範囲外や消したはず... 続きを読む

Windows 11の要件でもあるTPM 2.0に脆弱性。数十億台に影響

2023/03/07 178 users 要件影響 TPM 2.0 Windows 11

GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリ

2023/02/28 356 users GitHub 多種アプリ

A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch? 続きを読む

JWTのシークレットポイズニングに関する新たな脆弱性(CVE-2022-23529)を開示

2023/01/11 138 users Exploit リサーチャー JWT cloud 英語

By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation This post is also available in: English (英語) 概要 Unit 42のリサーチャーは広く使われているオープンソースプロジ... 続きを読む

(1 - 25 / 534件)

次の25件 »