脆弱性にIDを割り振って管理する「CVE」のシステムには欠陥があるという指摘
情報セキュリティの欠陥となる脆弱(ぜいじゃく)性が発見されると、CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)という識別IDが与えられ、重大度が評価された上でリスト化されます。このCVEのシステムに大きな問題があると、転送ライブラリであるcURLのメンテナーであるダニエル・ステンバーグ氏が自身のブログで疑問を提起しています。 CVE-2020-19909 is everything that is wrong with CVEs | daniel.haxx.se https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ 2023年8月25日、ステンバーグ氏はcURLのメーリングリストで、「最近cURL関連の脆弱
サイバー攻撃による「深刻な被害」をゼロに--サイバーセキュリティ連盟
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティ連盟(Cyber Security Alliance)は3月24日、調査レポート「サイバーセキュリティマインド」を発表した。経営者・役員、本部長・部長、課長、係長・主任、一般層にサイバーセキュリティに対する意識を聞いたもので、これによると現場の管理職に相当する職位層ではサイバーセキュリティ対策の必要性を感じているという回答が多かったものの、経営者・役員層では38.0%、一般層の53.2%が必要性を感じていないと回答した。 「サイバーセキュリティ対策をしていない理由」について最も回答が多かったのは、経営者・役員層で「サイバー攻撃に遭う可能性が低いと考えている」が27.6%、本部長・部長層で「どのように備えなければならな
Windows共通ログファイルシステムの脆弱性、Windows 10と11で特権昇格確認
Zscalerは10月14日(米国時間)、「Technical Analysis of Windows CLFS Zero-Day Vulnerability CVE-2022-37969 - Part 1: Root Cause Analysis」において、Windows共通ログファイルシステム(CLFS: Common Log File System)ドライバに存在した特権昇格の脆弱性に関する詳細な分析結果を伝えた。 2022年9月にこのゼロディ脆弱性が確認されており、Microsoftに報告されている。また、この脆弱性を修正するセキュリティパッチはすでに公開されている(参考「Windowsのゼロデイ脆弱性修正するセキュリティパッチが公開、Windows 7も対象 | TECH+(テックプラス)」)。 Technical Analysis of Windows CLFS Zero-Da
トレンドマイクロ製品に任意のコードを実行できる脆弱性 修正パッチ適用呼び掛け
トレンドマイクロは3月29日、同社の情報セキュリティ製品「Trend Micro Apex Central」の脆弱性を悪用したサイバー攻撃が発生しているとして注意喚起した。リリース済みの修正パッチを適用するよう呼び掛けている。 対象製品はApex CentralのBuild:6016未満、SaaS版Build:202203未満のバージョン。任意のファイルをアップロードできる脆弱性があり、遠隔地から任意のコードを実行される恐れがある。SaaS版は3月のメンテナンスで修正済み。 JPCERT/CCも「すでに攻撃に悪用されていることから、該当する製品を利用している場合には、早期にパッチ適用などの対応を行うことを推奨する」と注意喚起している。 関連記事 Chromeブラウザに緊急セキュリティ更新 悪用されたゼロデイ脆弱性を修正 ChromeとEdgeの緊急セキュリティ更新がリリースされた。実際に悪
OSV - Open Source Vulnerabilities
AlmaLinux 2722 View AlmaLinux vulnerabilities Alpine 3398 View Alpine vulnerabilities Android 881 View Android vulnerabilities Bitnami 3898 View Bitnami vulnerabilities crates.io 1348 View crates.io vulnerabilities Debian 9859 View Debian vulnerabilities GIT 32996 View GIT vulnerabilities Go 2151 View Go vulnerabilities Linux 13573 View Linux vulnerabilities Maven 4873 View Maven vulnerabilities n
Exploits Database by Offensive Security
The Exploit Database is maintained by OffSec, an information security training company that provides various Information Security Certifications as well as high end penetration testing services. The Exploit Database is a non-profit project that is provided as a public service by OffSec. The Exploit Database is a CVE compliant archive of public exploits and corresponding vulnerable software, develo
共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
OWASP ZAP | OWASP Foundation
The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences. Project Information Flagship Project Classification Tool Audience Breaker Builder Downloads Download OWASP ZAP! Questionnaire Please help us to make ZAP even better for you
Japan Vulnerability Notes
JVN#48443978: a-blog cms におけるディレクトリトラバーサルの脆弱性 [2024/03/08 12:00] JVNVU#91793178: Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性 [2024/03/08 10:00] JVN#54451757: SKYSEA Client View における複数の脆弱性 [2024/03/07 15:30] JVNVU#95852116: オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性 [2024/03/07 13:00] JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性 [2024/03/06 16:30] JVN#82749078: ブラザー製 W
e-Govサイトのhttpによる通信終了について|電子政府の総合窓口e-Gov イーガブ
e-Govサイトの全てのページを暗号化することに伴い、URLが「https」から始まる形に変更となりました。「https」から始まるURLへ変更してアクセスください。 e-Govサイト全ページのHTTPS化について 「https」のe-Govのトップページ Due to encrypting all the pages on the e-Gov site, the url was changed to start with "https". Please access to the e-Gov site with "https". e-Gov Top Page with "https"(English)
ブラウザの脆弱性とそのインパクト
セキュリティ・キャンプ全国大会2017の講義資料です(Masato Kinugawaさんとの共同制作です)。
ブラウザの脆弱性とそのインパクト // Speaker Deck
セキュリティ・キャンプ全国大会2017の講義資料です(Masato Kinugawaさんとの共同制作です)。
10万台以上のIoTカメラにセキュリティ脆弱性--Bitdefenderが発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます インターネットに接続されたセキュリティカメラ10万台以上に、「大規模な」セキュリティ脆弱性が含まれていることが分かった。セキュリティ企業のBitdefenderによると、悪用されるとオープンなWebを経由してアクセスや監視が可能であり、悪意あるボットネットを構築したり、同一ネットワーク上にある他のデバイスがハイジャックされたりする可能性もあるという。 脆弱性は、中国のメーカーShenzhen Neo Electronicsの「NEO Coolcam」ラインの2台のカメラから発見された。Bitdefenderの研究者によると、この脆弱性により外部から簡単にデバイスをリモート攻撃できるという。17万5000台のデバイスがインターネットに接続
Web サイトへのサイバー攻撃に備えて | JPCERTコーディネーションセンター(JPCERT/CC)
1. 概要 Web サイトに対する改ざんや DDoS 等の被害がJPCERT/CCに複数寄せられています。特に改ざんや情報窃取などの被害が発生した場合は、サービス停止や顧客への補償など、事業に直結する影響を受ける可能性があります。サイバー攻撃に備えて、Web サイトに対して定期的な点検を行うことをおすすめします。 図1. Web サイト改ざん件数の推移 ( JPCERT/CC インシデント報告対応レポートhttps://www.jpcert.or.jp/ir/report.htmlより) これまでも Web サイトに関する注意喚起を行ってきましたが、脆弱性を悪用したサイト改ざんや、情報窃取の他、DDoS 攻撃によりサービス停止を引き起こされる状況が継続して確認されています。Web サイトを取り巻く環境や状況は日々変化しており、万全の対策を行っているつもりでも被害に遭う可能性を否定できません
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Known Exploited Vulnerabilities Catalog | CISA
脆弱性体験学習ツール AppGoat | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Engadget | Technology News & Reviews
SIOS Tech. Lab - エンジニアのためになる技術トピックス
警視庁サイバーセキュリティ対策本部 on Twitter: "【OSSの利用】オープンソースソフトウェア(OSS)は、コスト面等のメリットが大きい反面、セキュリティ(脆弱性)等に不安があります。OSSを利用する場合は、機能だけでなくセキュリティのテストをしっかり行うとともに、バージョンをリスト化して管理し、脆弱性情報の把握に心がけましょう。"
LinuxカーネルにUse-After-Freeを引き起こす脆弱性