【セキュリティ ニュース】glibcのJISコード処理に脆弱性 - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT
「GNU C Library 2.32」の日本語処理などに脆弱性が含まれていることがわかった。アップデートが提供されている。 「同2.32」および以前のバージョンに、関数「iconv」で「ISO-2022-JP-3」の処理を失敗してプログラムが中断し、サービス拒否へ陥るおそれがある脆弱性「CVE-2021-3326」などが明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度が「高(High)」とレーティングされている。 開発チームは、「同2.33」をリリース。同脆弱性をはじめ、「CVE-2020-27618」「CVE-2020-29562」「CVE-2019-25013」のあわせて脆弱性4件やバグの修正など行った。 (Security NEXT - 2021/02/08 )
グーグルが指摘する、ソフトウェアの脆弱性が無くならない理由
ソフトウェアに脆弱性が発見されるとベンダーは修正版や修正用パッチを出すが、限定的な対応しかしておらず、類似した別の脆弱性が放置されていることも少なくない。ベンダーはより深いレベルで脆弱性を根絶することを目指すべきだ。 by Patrick Howell O'Neill2021.02.08 56 20 7 12 2018年12月、グーグルの研究者たちは、マイクロソフトのインターネットエクスプローラーを狙ったハッカー集団を発見した。インターネットエクスプローラーの開発はその2年前に停止されていたとはいえ、非常に広く使用されているブラウザーである。つまり、このブラウザーをハッキングする方法を見つけることができれば、何十億台ものコンピューターのハッキングへの扉が開かれてしまう可能性があるのだ。 このハッカー集団は、「ゼロデイ脆弱性」と呼ばれる、未知の欠陥を探しており、それを見つけつつあった。 この
「sudo」コマンドに特権昇格の脆弱性、各ディストリビューションの対応一覧
ユーザーが別のユーザーの権限を利用してプログラムを実行できるコマンド「sudo」に、パスワードなしで特権の獲得を許す脆弱性が見つかりました。この脆弱性は2011年7月から存在しており、各Linuxディストリビューションは修正対応を発表しています。 CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit Buffer overflow in command line unescaping https://www.sudo.ws/a
楽天・PayPayは氷山の一角か セールスフォース製品にリスク
セールスフォースのクラウドの「設定不備」による情報漏洩リスクが浮上した。楽天とPayPayは最大で合計2000万件以上の情報が見られた恐れがある。火種は5年前の製品に潜み、設定不備に気づいていない企業も多そうだ。 15万社以上が使い、「世界No.1CRM(顧客情報管理)」をうたうセールスフォース・ドットコム。同社が提供するクラウドサービスを使う企業で、本来アクセスできないはずの情報を第三者が閲覧できてしまう問題が明らかになった。この問題に気づいていない企業もあるとみられ、情報漏洩のリスクが高まっている。 「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」。同社のクラウドを使うネット企業のセキュリティー担当者はこう憤る。 情報セキュリティーに詳しい国際大学グローバル・コミュニケーション・センター(GLOCOM)の楠正憲客員研究員は「今はアンテナが高い企業で被害が判明している段階
Ubuntuに特権ユーザーを誰でも簡単に作成できてしまう脆弱性が見つかる
Linuxディストリビューションとしてトップシェアを誇るUbuntuに、標準ユーザーから特権ユーザーを簡単に作成できてしまう脆弱性が見つかりました。 How to get root on Ubuntu 20.04 by pretending nobody’s /home - GitHub Security Lab https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE Ubuntu fixes bugs that standard users could use to become root | Ars Technica https://arstechnica.com/information-technology/2020/11/ubuntu-fixes-bugs-that-standard-users
脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる
GitHubは2020年9月30日(米国時間)、コードを本番環境に展開する前にコードの脆弱(ぜいじゃく)性を簡単に発見できるコードスキャン機能の一般提供を開始した。 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)といった脆弱性を含む2万以上のセキュリティ問題が見つかった。 マージ前のプルリクエストで報告があったセキュリティ上の問題の72%を、報告から30日以内に
ヨドバシカメラのAndroidアプリに脆弱性 フィッシングサイトなど任意のURLへのアクセスに使われる恐れ
ヨドバシカメラのショッピングアプリ「ヨドバシ」のAndroid版に、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、JPCERT/CC(JPCERTコーディネーションセンター)が9月7日、注意を呼び掛けた。対策として、最新版へアップデートするよう案内している。 ヨドバシのAndroid版アプリには、Androidの「Intent」という仕組みを利用して、他のアプリから送られてきたURLにアクセスする機能がある。しかし、同アプリにはリクエストの発行元を制限せず、任意のアプリからIntentを受け取って任意のURLへアクセスを行ってしまう、アクセス制限不備の脆弱性があるという。 第三者がスマートフォンに対し遠隔操作を行い、同アプリを経由することで任意のWebサイトにアクセスすることも可能なことから、JPCERT/CCはフィッシングなどの被害にあう可能性があるとしている
産業用アプリストアの脆弱性を悪用したワークステーションからの侵入
産業用アプリストアの脆弱性を悪用したワークステーションからの侵入:スマート工場に潜むサイバーセキュリティリスク(2)(1/2 ページ) スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第2回目となる今回は、開発に不可欠なEWS(エンジニアリングワークステーション)の役割と、EWSの接続先である産業用のアプリケーションストアに着目する。 工場でIoT(モノのインターネット)など先進のデジタル技術を活用するスマート工場化への動きが活発化している。しかし、一方で高まっているのが、サイバー攻撃のリスクである。トレンドマイクロは2020年5月11日、工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結
【セキュリティ ニュース】三菱電機製品の「TCPプロトコルスタック」に脆弱性 - 制御システムなどに影響(1ページ目 / 全1ページ):Security NEXT
三菱電機の製品で採用されているTCPプロトコルスタックに脆弱性が含まれていることが明らかとなった。制御システムなど、幅広い製品が影響を受ける。 セッション管理不備の脆弱性「CVE-2020-16226」が判明したもの。「なりすまし」に悪用されるおそれがあり、任意のコマンドを実行され、情報の漏洩や改ざん、破壊などが生じるおそれがある。 シーケンサ「MELSECシリーズ」やインバータ「FREQROLシリーズ」をはじめ、ロボット「MELFAシリーズ」、ACサーボ「MELSERVOシリーズ」、データ収集アナライザ「MELQIC IU1-1M20-D」、テンションコントローラ「LE7-40GU-L」、表示機「GOTシリーズ」、省エネデマンド監視サーバ「E-Energyシリーズ」など幅広い製品が影響を受けるという。 三菱電機では、同脆弱性の周知のため、JPCERTコーディネーションセンターへ報告。調整
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Python」にバッファオーバーフローの脆弱性 ~サポート終了の「Python 2」にも影響/リモートからサービス拒否(DoS)や任意コード実行の可能性
Androidのシステムコンポーネントに任意コード実行の脆弱性 ~2021年2月セキュリティ更新/メディアフレームワークにも深刻度“Critcal”の問題
汎用暗号化ライブラリLibgcryptに緊急のセキュリティ脆弱性、すぐにアップデートを
新型コロナの影響で「バグバウンティ」に参加する人は本当に増えた?【海外セキュリティ】
Linux「sudo」コマンドに管理者権限奪う脆弱性 - 日本経済新聞
世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男 | ScanNetSecurity
トレンドマイクロ ServerProtect for Linuxにヒープベースのバッファオーバーフローの脆弱性 | ScanNetSecurity
GitHubが開発ライフサイクルのすべてをセキュアにする――、OSSを取り巻くセキュリティ動向を説明
「Zerologon」とは何か? 深刻度の高い脆弱性、ADサーバを利用しているなら緊急対策を
米連邦政府機関に策定と公表が義務付けられた脆弱性開示ポリシーとは【海外セキュリティ】
Bluetoothに脆弱性、中間者攻撃に悪用の恐れ
