JVNVU#99039870: HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
JVNVU#99039870 HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性 HTTP/2をサポートするHTTP WebプロキシやWebアクセラレータに対して、HTTP/1への変換処理の実装不備によりHTTP Request Smuggling攻撃が可能になる脆弱性が報告されています。 HTTP/2 をサポートするWebプロキシやアクセラレータを、HTTP/1 のみをサポートしているWebサーバと組み合わせて使用している場合、HTTP/2リクエストはHTTP/1リクエストに変換されてWebサーバに届けられます。 一部のWebプロキシやアクセラレータでは、HTTP/2からHTTP/1への変換処理において、不正な形式のリクエストやレスポンスを生成してしまうことが報告されています。 例えば、HTTP/1リクエスト(やレスポンス)で
JVNTA#96129397: Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題
JVNTA#96129397 Web Rehosting サービスにおいて複数ウェブサイトに跨ったコンテンツの改ざん・盗聴等が行われる問題 NTT セキュアプラットフォーム研究所および早稲田大学の研究チームにより、Web Rehosting と呼ばれるサービスを利用するユーザのブラウザ上で複数ウェブサイトのコンテンツを跨ったコンテンツ改ざんや盗聴などが可能となるセキュリティ上の問題が発見されました。この問題は研究チームにより NDSS 2020 において公表されました。 Web Rehosting サービスとは、本研究において提唱されたウェブサービス群の名称であり、指定された他のウェブサイトからコンテンツを取得し、変換などの処理を加えた後に自らのサーバに再度ホスティングして表示させる(再ホストする)機能を持っています。Web Rehosting サービスに該当するサービスとして、ウェブイン
JVNVU#98141012: 複数の CDN サービスプロバイダに HTTP キャッシュポイズニングの影響を受ける問題
コンテンツデリバリネットワーク (CDN) は、バックエンドに置かれた Web サーバのコンテンツを配信するためのプロキシサーバのネットワークであり、効率的な配信のために、コンテンツを一時的なローカルストレージにキャッシュします。 プロキシサーバやバックエンドの Web サーバによる HTTP ヘッダの処理を悪用し、遠隔から細工した HTTP ヘッダを使用して任意のコンテンツを CDN のキャッシュに注入する攻撃を HTTP キャッシュポイズニングと呼びます。 CDN のキャッシュに悪意あるコンテンツが注入されると、対象の Web サイトへのアクセスに対して悪意あるスクリプトが配信され、閲覧者の環境で実行される可能性があります。 CDN は高可用性、高パフォーマンスのサービスを提供するために、HTTP キャッシングソフトウェアが動作する複数のプロキシサーバからなるネットワークを構成しており
JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 プロセッサチップ A5 から A11 を搭載する次の製品 iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 脆弱性に該当するプロセッサチップを利用している製品であれば、上記以外の製品も影響を受けます。 なお、 A12 以降のプロセッサチップを使用している i
JVNVU#90419651: OpenSSL における整数オーバーフローの脆弱性
OpenSSL Project より、OpenSSL Security Advisory [6 December 2019] が公開されました。 深刻度 - 低 (Severity: Low) 512 ビット用モジュールのべき乗計算で使用される Montgomery squaring プロシージャにおけるオーバーフローの問題 - CVE-2019-1551 秘密鍵の情報が窃取される可能性があります。 なお、開発者によると楕円曲線暗号アルゴリズムを用いる場合には本脆弱性の影響は受けないとのことです。 アップデートする [2020年 3月 18日 - 追記] 本脆弱性の修正を含む次のバージョンが提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。 OpenSSL 1.1.1e パッチを適用する 開発者が提供する情報をもとに、パッチを適用してください。詳しくは、開発
JVNVU#98790275: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
JVNVU#98790275 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における複数の脆弱性に対応した Apache HTTP Web Server 2.4.41 が公開されました。 The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.41 が公開されました。 mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性 - CVE-2019-10092 mod_rewrite に潜在的なオープンリダイレクトの脆弱性 - CVE-201
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVNVU#90340376: Dnsmasq における複数の脆弱性 (DNSpooq)