はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ CVE

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 25件)
 

OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに

2024/04/22 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip OpenAI LLM abs GPT-4 セキュリティ勧告

OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can expl... 続きを読む

GoogleがChromeの脆弱性としてCVEに報告していたWebPの脆弱性を改めて報告、却下される | スラド セキュリティ

2023/10/02 このエントリーをはてなブックマークに追加 5 users Instapaper Pocket Tweet Facebook Share Evernote Clip スラド WebP headless libwebp 脆弱性

headless 曰く、Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。 この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP... 続きを読む

脆弱性にIDを割り振って管理する「CVE」のシステムには欠陥があるという指摘

2023/08/28 このエントリーをはてなブックマークに追加 20 users Instapaper Pocket Tweet Facebook Share Evernote Clip メンテナー curl 欠陥 指摘 ダニエル

情報セキュリティの欠陥となる脆弱(ぜいじゃく)性が発見されると、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)という識別IDが与えられ、重大度が評価された上でリスト化されます。このCVEのシステムに大きな問題があると、転送ライブラリであるcURLのメンテナーであるダニエル・ステンバーグ氏が自身... 続きを読む

40%のUbuntuに影響大の深刻な脆弱性「GameOver(lay)」、2020年に修正されたはずなのに改めて発見されてしまう非常事態

2023/07/28 このエントリーをはてなブックマークに追加 7 users Instapaper Pocket Tweet Facebook Share Evernote Clip GameOver Ubuntu Linuxカーネル 非常事態

Linuxディストリビューションの一つであるUbuntuにて、ローカル権限昇格の脆弱(ぜいじゃく)性「GameOver(lay)」が発見されました。CVEは「CVE-2023-2640」および「CVE-2023-32629」の2つで、ともに修正パッチが2023年7月24日にリリース済みであるものの、脆弱性の内容が2020年にLinuxカーネルで修正された「CVE-2021-349... 続きを読む

mala on Twitter: "CVE-2022-23529は偽脆弱性で売名行為。paloaltoは恥を知るべき。Auth0はCVEをrejectすべき。 https://t.co/acc91MaZO8 https://t.co/RnJI8PVLHR verif… https://t.co/TRoqWTqAOE"

2023/01/11 このエントリーをはてなブックマークに追加 12 users Instapaper Pocket Tweet Facebook Share Evernote Clip auth 売名行為 CVE-2022-23529 https

CVE-2022-23529は偽脆弱性で売名行為。paloaltoは恥を知るべき。Auth0はCVEをrejectすべき。 https://t.co/acc91MaZO8 https://t.co/RnJI8PVLHR verif… https://t.co/TRoqWTqAOE 続きを読む

新しい脆弱性がCVEで開示されると攻撃準備として15分以内にスキャンされ数時間以内に実際の悪用が試みられる

2022/07/28 このエントリーをはてなブックマークに追加 21 users Instapaper Pocket Tweet Facebook Share Evernote Clip ハッカー スキャン パッチ未適用 脆弱性 エンドポイント

一般的に情報セキュリティの脆弱(ぜいじゃく)性が公開される際には、内容識別のために全世界共通の番号「CVE ID」が各脆弱性ごとに割り当てられます。こうして公開された脆弱性について、ハッカーは少なくとも15分以内にスキャンを行い、パッチ未適用のエンドポイントを探し出していることが調査により明らかになりまし... 続きを読む

CVE - CVE-2021-45046

2021/12/14 このエントリーをはてなブックマークに追加 22 users Instapaper Pocket Tweet Facebook Share Evernote Clip CVE-2021-45046

• CVSS Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings • CPE Information It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context M... 続きを読む

CVEのデータだけに頼った脆弱性管理」では不十分【海外セキュリティ】 - INTERNET Watch

2020/07/01 このエントリーをはてなブックマークに追加 21 users Instapaper Pocket Tweet Facebook Share Evernote Clip INTERNET Watch 脆弱性管理 海外セキュリティ

続きを読む

Amazon Inspectorで共通脆弱性識別子(CVE)を評価する手順 | DevelopersIO

2019/10/08 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip Inspector DevelopersIO 手順 脆弱性

おはようございます、もきゅりんです。 Amazon Inspector(以下、Inspector)では、比較的に容易に潜在的なセキュリティ上の問題や脆弱性を検出できます。 今回はInspectorで、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)の評価を実施してみたいと思います。 共通脆弱性識別子(CVE)とは 独立行政法人 情... 続きを読む

WordPress記事中のCVE/JVN/WPVDB各IDを自動的にリンクさせる | Jトラストシステム株式会社

2019/08/20 このエントリーをはてなブックマークに追加 7 users Instapaper Pocket Tweet Facebook Share Evernote Clip Jトラストシステム株式会社

残暑の続く中、いかがお過ごしでしょうか。 ここのところのWordPressプラグイン脆弱性大量発生でCVE識別子等をゴリゴリとブログ記事に記載していたので、これをリンクにしたら便利かなあと、WordPressの簡単ハックをしてみました。 やりたいこと WordPressのブログで、本文に「CVE-YYYY-NNNN」「JVNDB-YYYY-NNNNNN」「WP... 続きを読む

Linux Kernel CVE-2018-6554 の PoC を書いて検証・観察した - hibomaの日記

2018/09/06 このエントリーをはてなブックマークに追加 25 users Instapaper Pocket Tweet Facebook Share Evernote Clip hiboma PoC 表題 Linux kernel 検証

表題の通り CVE-2018-6554 が出ており、その PoC を書いてどのような影響があるのを検証・観察した CVE の Description CVE-2018-6554 は Linux Kernel に付いた CVE です Memory leak in the irda_bind function in net/irda/af_irda.c and later in drivers/staging/irda/net/af_irda.c in the Linux kernel before 4.... 続きを読む

CVE採番機関CNAの今/ウェブプライバシー保護技術の比較【海外セキュリティ】 - INTERNET Watch

2018/02/01 このエントリーをはてなブックマークに追加 28 users Instapaper Pocket Tweet Facebook Share Evernote Clip INTERNET Watch 山賀 海外セキュリティ 正人

海の向こうの“セキュリティ” CVE採番機関CNAの今/ウェブプライバシー保護技術の比較 山賀 正人 2018年2月2日 06:00 CVE採番機関CNA(CVE Numbering Authority)の今  脆弱性の識別子として国際的に使用されているCVE(Common Vulnerabilities and Exposures)番号は米国政府の支援を受けた非営利団体MITRE社が採番していま... 続きを読む

CVE - CVE-2018-1000006

2018/01/26 このエントリーをはてなブックマークに追加 21 users Instapaper Pocket Tweet Facebook Share Evernote Clip CVE-2018-1000006

• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings GitHub Electron versions 1.8.2-beta.3 and earlier, 1.7.10 and earlier, 1.6.15 and earlier has a vulnerability in the ... 続きを読む

MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について – さくらのサポート情報

2018/01/12 このエントリーをはてなブックマークに追加 30 users Instapaper Pocket Tweet Facebook Share Evernote Clip MeltdownおよびSpectre CPU JVN 脆弱性

2018年1月3日、下記の脆弱性情報が発表されました。 このページでは、今回発覚した脆弱性に対する弊社の対応状況をまとめています。 JVN(Japan Vulnerability Notes) JVNVU#93823979 「投機的実行機能を持つ CPU に対するサイドチャネル攻撃」 CVE(Common Vulnerabilities and Exposures) CVE-2017-5715(S... 続きを読む

CVE - CVE-2017-13077

2017/10/16 このエントリーをはてなブックマークに追加 59 users Instapaper Pocket Tweet Facebook Share Evernote Clip

• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a n... 続きを読む

linux kernelの脆弱性( CVE-2016-10229 ) — | サイオスOSS | サイオステクノロジー

2017/04/05 このエントリーをはてなブックマークに追加 29 users Instapaper Pocket Tweet Facebook Share Evernote Clip Linux kernel サイオスOSS 脆弱性 和毅 概要

04/04/2017に、4.5以前のkernelが対象となる、kernelの脆弱性情報(CVE-2016-10229)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 04/04/2017に、4.5以前のkernelが対象となる、kernelの脆弱性情報(CVE-... 続きを読む

あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita

2016/04/29 このエントリーをはてなブックマークに追加 931 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita サーバ イケ 悪魔 セキュリティ

はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわから... 続きを読む

脆弱性を識別するCVE番号の新体系による採番のお知らせ

2014/09/24 このエントリーをはてなブックマークに追加 33 users Instapaper Pocket Tweet Facebook Share Evernote Clip CVE番号 採番 脆弱性 体系 前提

脆弱性を識別するCVE番号の新体系による採番のお知らせ 米国MITRE社*1が管理運営する脆弱性の識別子CVE (Common Vulnerabilities and Exposures)*2番号の体系が、2014年から年間1万件を超える脆弱性にも対応できるよう拡張されました。 CVEを参照している組織等においても、固定長のCVE番号を前提とした機械処理をしている場合には、誤動作する可能性があるた... 続きを読む

Android 4.1.1、4.1.2、4.2.2、4.4.2に許可なく電話を発信できる脆弱性 - GIGAZINE

2014/07/09 このエントリーをはてなブックマークに追加 41 users Instapaper Pocket Tweet Facebook Share Evernote Clip GIGAZINE 挙動 通話 脆弱性 Android

Androidアプリが通話などのアクションを必要とする場合、OSはアクセス権限を持たないアプリの挙動をストップすることができますが、セキュリティ会社Curesecが公開した脆弱性情報データベース(CVE)によると、Androidのバージョン4.1.1、4.1.2、4.2.2、4.4.2がインストールされたスマートフォンで、許可なく発信を可能にする脆弱性が発見されています。 Cureblog - D... 続きを読む

浮動小数点数パースにおけるヒープオーバーフロー (CVE-2013-4164)

2013/11/22 このエントリーをはてなブックマークに追加 31 users Instapaper Pocket Tweet Facebook Share Evernote Clip ヒープオーバーフロー 浮動小数点数 Ruby 脆弱性 文字列

Ruby において、浮動小数点数のパース時にヒープオーバーフローが発生しうるという問題が報告されました。 この脆弱性は CVE-2013-4164 として CVE に登録されています。 脆弱性の詳細 文字列を浮動小数点数値に変換する際に、意図的にヒープオーバーフローを発生させる文字列を構成できることが判明しました。 これによって、セグメンテーションフォールトによるサービス拒否攻撃を行うことができ、... 続きを読む

OpenSSL クライアントにおけるホスト名検証バイパス脆弱性 (CVE-2013-4073)

2013/06/27 このエントリーをはてなブックマークに追加 35 users Instapaper Pocket Tweet Facebook Share Evernote Clip 一意 null Ruby サーバー 機構

Ruby の SSL クライアントに信頼された証明書を用いて認証されたサーバーになりすまして 中間者攻撃を可能とする脆弱性が報告されました。 この脆弱性は CVE-2013-4073 として CVE に登録されています。 脆弱性の概要 Rubyの SSL クライアントはホストネームが一意であることをチェックする機構を持っていますが、 その機構は null バイト文字が含まれている証明書のホストネー... 続きを読む

Apache HTTP Server 2.4.4 がリリースされました: 日誌

2013/02/25 このエントリーをはてなブックマークに追加 18 users Instapaper Pocket Tweet Facebook Share Evernote Clip 日誌 XSS ディレ バグ修正 ほか

Apache HTTP Server 2.4.4 がリリースされました。セキュリティ上の修正、機能の追加、バグ修正などです。 * mod_info などでのホスト名出力で XSS が発生する可能性があったのを修正 * mod_proxy_manager の管理画面での XSS の2件については CVE が割り当てられています。ほかに気になるところとしては、 * SSLCompression ディレ... 続きを読む

Apache HTTP Server 2.4.3 がリリースされました: 日誌

2012/08/23 このエントリーをはてなブックマークに追加 37 users Instapaper Pocket Tweet Facebook Share Evernote Clip 日誌 CHAN リリース記事

Apache HTTP Server 2.4.3 がリリースされました。また、2.4.2 も今年の4月にリリースされていたので、それについてもリリース記事を www.apache.jp に書きました Apache HTTP Server 2.4.2 がリリースされました Apache HTTP Server 2.4.3 がリリースされました CVE についてのみしか言及していないのですが、CHAN... 続きを読む

Android(CVEなし/BID-45048)

2011/02/14 このエントリーをはてなブックマークに追加 6 users Instapaper Pocket Tweet Facebook Share Evernote Clip プロンプト リモート 欠陥 HTMLファイル 脆弱性

これは嫌だなぁ。 Androidのブラウザの仕様の欠陥により、リモートから任意の情報を取得される脆弱性。 Androidのブラウザはファイルをダウンロードするときにプロンプトが表示されず自動的にダウンロードされる。 ダウンロードしたHTMLファイルがJavaScriptを利用していても確認画面を表示されず自動的に実行される。 これにより、任意のファイルを読み込まされ、攻撃者に情報を送信するように仕... 続きを読む

Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー

2010/08/19 このエントリーをはてなブックマークに追加 246 users Instapaper Pocket Tweet Facebook Share Evernote Clip 西尾泰和 顛末 upstream WEBrick ゼロデイ攻撃

はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま... 続きを読む

 
(1 - 25 / 25件)