「Spring Framework」に複数の脆弱性、アップデートがリリース - 「同4.3.x」は再修正も ウェブアプリケーションの開発フレームワーク「Spring Framework」に深刻な脆弱性が含まるとしてアップデートが提供されている。「同4.3.x」に関しては、当初の修正が不十分だったことも判明し、再修正が行われている。 「同5.0.x」「同4.3.x」に複数の脆弱性が見つかったとして、Pivotal Softwareでは脆弱性を解消した「同5.0.5」「同4.3.15」を4月3日にリリース。 これらアップデートでは、リモートでコードを実行されるおそれがある重要度「クリティカル（Critical）」の脆弱性「CVE-2018-1270」を修正。 くわえて重要度「高（High）」のWindowsにおけるディレクトリトラバーサルの脆弱性「CVE-2018-1271」や重要度「低（Lo

ウェブアプリケーションの開発基盤「Spring Framework」に深刻な脆弱性が見つかった問題で、実証コードが公開されていることがわかった。 「クリティカル（Critical）」の脆弱性「CVE-2018-1270」など4件の脆弱性が明らかになったもの。 4月3日に3件の脆弱性を解消したアップデートとして「同5.0.5」「同4.3.15」がリリースされたが、「同4.3.15」では対策が不十分であり、「CVE-2018-1275」として4月9日に再度修正が行われている。 今回のアップデートを受けて注意喚起を行ったJPCERTコーディネーションセンターによれば、脆弱性の悪用を説明するウェブアプリケーションの実証コードを確認しており、実際にリモートから任意のOSコマンドが実行可能であることを確認したという。 同センターでは、十分にテストを実施した上で最新版となる「同5.0.5」「同4.3.1

アサイーをはじめ、食品を取り扱う通信販売サイト「フルッタフルッタオンラインショップ」が不正アクセスを受け、クレジットカード情報含む顧客情報が流出した可能性があることがわかった。 同サイトを運営するフルッタフルッタによれば、4月17日から7月31日にかけて、同サイトでクレジットカード決済を利用した顧客最大627人の個人情報が流出した可能性がある。クレジットカード会員の氏名や住所、カード番号、有効期限、セキュリティコードなどが含まれる。 7月19日に決済代行会社から指摘があり、情報流出の疑いが判明。クレジットカード決済を停止して、外部事業者による調査を行ったところ、不正プログラムを設置されたことにより、クレジットカード会員のデータが流出したことがわかったという。 同社では、個人情報保護委員会などへ事態を報告。対象となる顧客に書面で通知した。クレジットカードによる決済については、決済代行会社が提

大阪市は、市立小学校の教員が、小学校4校の児童の個人情報が保存されたハードディスクを紛失したことを明らかにした。帰宅途中に転倒、気を失っている間に持ち去られたという。 同市によれば、市立小学校の教員が私物のポータブルハードディスクに個人情報を保存して持ち出したが、9月16日0時ごろ、飲食後の帰宅途中に転倒して意識を失い、警察官が駆けつけて意識を回復するまでの2時間ほどの間に、ハードディスクが入った鞄ごと持ち去られたという。 所在がわからなくなっているハードディスクには、同教員が勤務する小学校および過去に勤務していた小学校、あわせて4校の児童434人の氏名と住所のほか、2校の校外活動写真700件以上が保存されていた。警察へ遺失届を提出。帰宅経路などの捜索を行ったが見つからず、同月18日に学校へ報告した。 同教員の勤務校では、全児童の保護者を対象に説明会を開いて説明と謝罪を実施するとともに、過

博多港ふ頭は、コンテナターミナル利用者向けに提供している情報提供サービスにおいてメールの誤送信が発生し、利用者のメールアドレスが流出したことを明らかにした。 同社によれば、5月29日18時過ぎに情報提供サービス「博多港物流ITシステム」のスマートフォンサービスの利用者へ送信した案内メールにおいて、誤送信が発生したもの。 担当者が送信先のメールアドレス700件を100件ずつ分けて送信したが、誤って「CC」を用いてしまい、同一グループの受信者間でメールアドレスを閲覧できる状態となった。送信したメールのうち、119件は未着だったという。 メールを受信した同社従業員の指摘により問題が発覚。同日中に対象となる利用者へ謝罪のメールを送るとともに、誤送信したメールの削除を依頼した。あらためて電話で謝罪を行うとしている。 （Security NEXT - 2017/06/02 ） ツイート

「Apache Struts 2」脆弱性、複数VMware製品に影響 - パッチ提供保留、一部緩和策も ウェブアプリケーションフレームワークである「Apache Struts 2」に脆弱性「CVE-2017-5638」が見つかった問題で、VMwareは同社の複数製品が影響を受けることを明らかにした。 同社によれば、「Horizon Desktop as-a-Service Platform（DaaS）」「VMware vCenter Server（vCenter）」「vRealize Operations Manager（vROps）」「vRealize Hyperic Server（Hyperic）」に関しても、「Apache Struts 2」の脆弱性「CVE-2017-5638」の影響があり、リモートでコードを実行されるおそれがあるという。重要度は4段階中もっとも高い「クリティカル（

Appleは、同社コンピュータ向けの最新OSとなる「macOS Sierra 10.12.1」を公開した。15件の脆弱性を修正している。 同アップデートでは、システムブートに関する脆弱性「CVE-2016-4669」をはじめ、FaceTime、画像やフォントの処理、プロキシー機能、複数のライブラリなど、あわせて15件の脆弱性へ対処した。 また同アップデートには、同日公開した同社のブラウザ最新版「Safari 10.0.1」が含まれており、上記とは別に3件の脆弱性が解消されている。 今回修正された脆弱性は以下のとおり。 CVE-2016-4635 CVE-2016-4660 CVE-2016-4661 CVE-2016-4662 CVE-2016-4663 CVE-2016-4667 CVE-2016-4669 CVE-2016-4671 CVE-2016-4673 CVE-2016-467

AsusTek Computer製の無線LAN中継器「ASUS RP-AC52」に複数の脆弱性が含まれていることがわかった。同機器以外にも同社の複数機器が同様の影響を受ける可能性もあるとし、セキュリティ機関では注意を呼びかけている。 同製品のウェブインターフェースに「クロスサイトリクエストフォージェリ（CSRF）」の脆弱性「CVE-2016-6557」や、「コマンドインジェクション」の脆弱性「CVE-2016-6558」が含まれていることが判明したもの。修正方法は不明。 またセキュリティ機関の調査によれば、「EA-N66」「RP-N12」「RP-N14」「RP-N53」「RP-AC56」「WMP-N12」といった他製品についても脆弱性が存在する可能性があり、利用者へ注意を呼びかけている。 （Security NEXT - 2016/10/18 ） ツイート

食品や健康、医薬品分野における人材派遣事業などを展開するRDサポートは、配信したメールマガジンに個人情報を含むファイルを誤って添付していたことを明らかにした。 9月2日14時過ぎに配信したメールマガジンに、誤って個人情報を含むファイルを添付し、配信してしまうミスが発生したもの。受信者からの指摘で問題に気が付いたという。 ファイルには、同社の人材派遣サービスに登録し、メールマガジンの配信に同意している管理栄養士、栄養士、調理師の資格を持つ1221人に関する氏名、メールアドレス、派遣登録IDなどが記載されていた。 同社では、メールマガジンの受信者に対して誤送信を謝罪し、ファイルの削除を依頼した。また流出の対象者には、書面およびメールで連絡を取っており、お詫びとして500円のプリペイドカードを送付するという。 （Security NEXT - 2016/09/21 ） ツイート

総務省は、元役員が個人情報を不正に持ち出し、売却していたことが発覚したインターネットサービスプロバイダのDEXに対し、個人情報の適正管理と再発防止を求める行政指導を行った。 同社元役員が同社業務委託先に不法に侵入し、顧客システムにアクセス。8万3762件におよぶ顧客情報を不正に入手、持ち出していたもの。 同社より報告を受けた同省では、委託先管理をはじめ、個人情報の安全管理に問題があり、個人情報保護法および同法の電気通信事業向けガイドラインに違反すると指摘。 同社に対し、安全管理、委託先管理、従業員の研修などを抜本的に見直し、再発を防止するよう文書により指導した。 （Security NEXT - 2016/09/16 ） ツイート

AKABEi SOFT2が提供する複数のゲームソフトに「OSコマンドインジェクション」の脆弱性が含まれていることがわかった。 脆弱性情報を公開したJVNによれば、同社のパッケージソフトやダウンロードソフトに「OSコマンドインジェクション」の脆弱性「CVE-2016-4853」が存在するという。細工されたセーブデータを読み込むと任意のコマンドが実行されるおそれがある。 JVNでは、同社から報告を受けた影響を受けるソフトの一覧を公表。緩和策として信頼がおけないデータの読み込みを行わないよう注意を呼びかけている。 （Security NEXT - 2016/09/02 ） ツイート PR