![「OpenSSL 3.0.8」が公開 ~8件の脆弱性を修正/一部は旧バージョンにも影響、「OpenSSL 1.1.1t」への更新を](https://cdn-ak-scissors.b.st-hatena.com/image/square/4a35cbe5af10aaa463fbfcd46c894cf7b4b30fb3/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F1477%2F012%2Fopen_ssl.jpg)
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
この記事は、 NTT Communications Advent Calendar 2022 7日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 「Metemcyber」プロジェクトで脅威インテリジェンスに関する内製開発や、「NA4Sec」プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は「開発に使える脆弱性スキャンツール」をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト
先日、OpenSSLのセキュリティアップデートが予告され、大きな話題を集めましたが、読者の皆さんはしっかりと対応できたでしょうか。しかし、今回以外にも脆弱性は日々見つかるもの。“全部は対処できない”という組織は何から始めればいいのでしょうか。 2022年10月末、多くのシステムで利用されるオープンソースソフトウェア(以下、OSS)「OpenSSL」に大きな動きがありました。OpenSSLプロジェクトは同年11月1日に“緊急”レベルの脆弱(ぜいじゃく)性対応を含むバージョンアップを予告したのです。この時点で詳細は明らかにされていなかったものの、予告するほどの脆弱性対応が含まれることから“準備を万全に整えてほしい”という意図がうかがえました。 そして予告通り、2022年11月1日には「CVE-2022-3602」と「CVE-2022-3786」に対応したバージョンであるOpenSSL 3.0.
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
先日、このようなツイートを書いたところ、かなりの反響がありました。 JavaScript の正規表現の脆弱性の例でいうと、例えば /\s+$/ は脆弱性があると言える console.time(); /\s+$/.test(" ".repeat(65536) + "a"); console.timeEnd(); 結構時間がかかるのがわかる。でも /\s+$/ を見て「これは危険だな」と理解出来る人はそんなにいない。JavaScript に限らないけれど。 — Takuo Kihira (@tkihira) February 17, 2022 これは一般に ReDoS (Regular expression Denial of Service) と呼ばれる脆弱性です。正確に理解するのが難しい脆弱性なので、少し解説してみたいと思います。 結論 長い記事になるので、最初に「とりあえずこれだけ知っ
CVE(Common Vulnerabilities and Exposures) ~一つ一つの脆弱性を識別するための共通の識別子~ >> ENGLISH 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。 CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2n
Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web
オープンソースプロジェクトにまつわる脆弱性の問題を解決するため、Googleは脆弱性データベース「Open Source Vulnerabilities(OSV)」を構築しています。2021年6月24日付けの発表で、OSVが扱うオープンソースプロジェクトの範囲がPython、Rust、Go、DWFにまで拡大することが明らかになりました。 Google Online Security Blog: Announcing a unified vulnerability schema for open source https://security.googleblog.com/2021/06/announcing-unified-vulnerability-schema.html GitHub - google/oss-fuzz: OSS-Fuzz - continuous fuzzing fo
GitLab、バグや脆弱性の検出ツール「GitLab Protocol Fuzzer Community Edition」をオープンソースで公開。APIやHTTP経由などでファジングを実行 ファジングとは、検査対象のソフトウェアに「ファズ(fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することでバグや脆弱性を検出する検査手法です。 GitLab Protocol Fuzzer Community Editionは、GitLabが2020年6月に買収したPeach Techが提供する商用のファジングツール「Peach Fuzzer Professional」をベースにしたもの。 「Peach Fuzzer Professional」と、それをベースにオープンソース化されたGitLab Protocol Fuzzer Community Edition
脆弱性管理ツールFutureVulsは、脆弱性の検知、管理(判断、計画、パッチ適用)を行うことができるクラウドサービスです。 FutureVulsに関する記事が、当ブログに多数ございますので、ここらで振り返ってみたいと思います。本記事にまとめましたので、紹介して行きたいと思います。 目次 FutureVulsとは アカウント登録、スキャン実施 Linux Windows トリアージ トリアージ支援機能強化 外部連携 AWS Systems Manage連携 Deep Security as a Service連携 FutureVulsとは FutureVulsとは、OSSの脆弱性スキャナVulsをベースにした脆弱性管理のサービスです。 脆弱性対応における、検知、収集、パッチ適用の判断、タスク管理、パッチ適用といったタスクをFutureVulsでは一元管理できます。脆弱性管理ツールは様々なも
「これは、まじで圧倒的…」 OSSの脆弱性スキャンツールとして界隈では有名な「Trivy」。以前からもお世話になっていたのですが、初回起動処理が長いためキャッシュが効かないCI/CDツールとは相性が悪いという弱点がありました。 それが、バージョン0.2.0からその弱点の初回起動処理の遅さが一気に解消され、既存のCI/CDツールへの取り込みが現実的になりました。 インストールも簡単で、かつワンライナーで実行できる手軽なツールなので、コンテナを運用している人はこれを機に一度試してみることをおすすめします。 初回起動爆速化きたか…!! ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ / Trivyとは GitHubはこちら。 aquasecurity/trivy: A Simple and Comprehensive Vulnerability Scanner for Co
エンジニアHub > 記事一覧 > ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 サーバー運用者の抱える「脆弱性対応の負担が大きい」という課題を解決するべく、神戸康多さんが開発したOSS「Vuls」。同ソフトウェアはなぜ複数OSの脆弱性を検知できるのか、その基本構造を聞きました。そして、神戸さんが語るVulsの開発の根本にあった、貢献意識とは。 マカフィー株式会社が戦略国際問題研究所と協力して2018年3月8日に発表したレポート「Economic Impact of Cybercrime - No Slowing Down(衰えを知らないサイバー犯罪の経済的影響)」は、サイバー犯罪が世界経済にもたらした損害額は約6,000億米ドル
It's easier to use vulsctl than to use docker directly. This tutorial will let you scan the vulnerabilities on the remote host via SSH with Docker-Vuls. Before doing this tutorial, you have to setup vuls with Docker. This can be done in the following steps. NVDの取得 (vuls/go-cve-dictionary) OVALの取得 (vuls/goval-dictionary) GOSTの取得 (vuls/gost) fetch go-exploitdb(vuls/go-exploitdb) fetch go-msfdb(vuls/
背景 サーバーOSに各Linuxディストリビューションを導入した時、今日では各クラウド用イメージから、またはISOファイルから手動インストールします。 構築した際にはインストールした各パッケージのライブラリなどは最新版ですが、時間の経過と共に新たな脆弱性が発見されて修正パッチがリリースされます。 昨今、脆弱性を悪用したサイバー攻撃は修正パッチがリリースされてから時間をあまり置かず世界中から同時多発的で開始される状況です。 管理者としては重大な脆弱性に対する修正パッチがリリースされたら迅速に対応したい所です。 しかしインストールしたパッケージ数に比例して確認する脆弱性も増えます。また確認すべき脆弱性を見逃す事も考えられます。 さらに管理するサーバーの台数が増えれば、もう迅速に対応するには人力では限界があります。 そこでLinuxディストリビューションの各パッケージの脆弱性を自動で検知する仕組
version: '3' services: vuls: image: vuls/vuls volumes: - ~/.ssh:/root/.ssh:ro - ./:/vuls - ./vuls-log:/var/log/vuls depends_on: - db cve: image: vuls/go-cve-dictionary volumes: - ./:/vuls - ./vuls-log:/var/log/vuls depends_on: - db oval: image: vuls/goval-dictionary volumes: - ./:/vuls - ./vuls-log:/var/log/vuls depends_on: - db gost: image: vuls/gost volumes: - ./:/vuls - ./vuls-log:/var/log/vuls
IPA(独立行政法人情報処理推進機構)は、オープンソースソフトウェアの“Vuls”(バルス)を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開しました。 下記より「脆弱性対策の効果的な進め方(ツール活用編)」についてのレポートPDF版をダウンロードしてご利用いただけます。 テクニカルウォッチ補助資料「ソフトウェア脆弱性関連情報管理シート」を公開【2020年9月30日】 「脆弱性対策の効果的な進め方(ツール活用編)」では、組織の脆弱性対策の進め方の一例として、利用しているソフトウェアを把握し、そのソフトウェアに関連する脆弱性情報を収集後、脆弱性対策の適用の判断を行う方法を解説しています(第2章参照)。それらを円滑に進めるためには、収集した情報等を適切に管理しておく必要があります。一方で、組織によっては管理する方法がわからず適切に行えていないところ
2018/4/20 執筆、2020/1/14修正・加筆、2022/2/28修正・加筆、2022/10/5修正・加筆 自社で利用しているWebアプリケーションのセキュリティ対策状況をご存知でしょうか。もし、Webアプリケーションに脆弱性が存在し対策がされていないのであれば、サイバー攻撃によってWebサイトが簡単に改ざんされたり、ダウンさせられたり、保有する個人情報の漏えいにまで繋がる可能性があります。 例えば、企業の運営するECサイトが脆弱性を突いた攻撃によりダウンしたら、「大変なこと」が起きることは明白です。それにもかかわらず、自社のWebアプリケーションの脆弱性については、導入したきりで誰も把握していない場合も多々あります。 そこでおすすめしたいのがセキュリティ診断ツール「OWASP ZAP(オワスプ・ザップ)」です。OWASP ZAPはWebアプリケーションの脆弱性をチェックすることが
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く