テキストエディタ「GNU Emacs」にコマンドインジェクションの脆弱性が複数明らかとなった。パッチが提供されている。 最新版となる「同28.2」までのバージョンに「CVE-2022-48337」など3件の脆弱性が明らかとなったもの。 「CVE-2022-48337」は、タグ機能に明らかとなった脆弱性。TAGSファイルの作成時、対象となるソースコードファイルの名前にシェルメタ文字を含めることで、コマンドを実行させることが可能となる。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とした。一方Red Hatでは、CVSS基本値を「7.3」、重要度を「中(Moderate)」とレーティングしている。 また一部関数にも「CVE-2022-48339」や「CVE-
OpenSSLの開発チームは、アップデートとなる「OpenSSL 3.0.6」をリリースした。脆弱性1件を解消している。 「同3.0」系において「NID_undef」を用いたカスタム暗号を利用すると、NULL暗号化を行い、暗号化されていない平文が出力されるおそれがある脆弱性「CVE-2022-3358」が明らかとなったもの。開発チームは、脆弱性の重要度を4段階中もっとも低い「低(Low)」としている。 開発チームは、同脆弱性やバグに対処した「同3.0.6」をリリースした。「同1.1.1」「同1.0.2」については同脆弱性の影響を受けないとしている。 (Security NEXT - 2022/10/12 ) ツイート
OWASP(Open Web Application Security Project)が提供するウェブアプリケーションファイアウォール(WAF)向けのルールセット「OWASP ModSecurity Core Rule Set(CRS)」に複数の脆弱性が明らかとなった。 HTTPヘッダの「Content-Type」を細工することにより、文字エンコーディングの許可リストをバイパスされるおそれがある「CVE-2022-39955」や、HTTPマルチパートによるリクエストにおいてルールセットをバイパスされる「CVE-2022-39956」など、あわせて4件の脆弱性が判明したもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、「CVE-2022-39955」「CVE-2022-39956」のいずれも「9.
情報処理推進機構(IPA)は、「情報セキュリティ10大脅威2022」の解説資料を公開した。先行公開された個人編にくわえて、組織編やコラムなどを収録している。 「情報セキュリティ10大脅威」は社会的に影響が大きいセキュリティ上の脅威についてセキュリティ研究者や実務担当者が毎年選定し、公開しているもの。 2021年の脅威について1月にランキングを公開。先行して2月末に個人編の解説書を公開していたが、組織編やコラムをあらたに追加、再編集してリリースした。A4サイズ64ページで構成されている。 コラムでは、誤解させる目的で広められる「ディスインフォメーション」の問題やクラウドサービス利用時の注意点といったトピックを取り上げた。 同資料は、同機構ウェブサイトよりPDFファイルにてダウンロードすることが可能。今回ランキング入した脅威は以下のとおり。 2021年の組織における10大脅威 1位:ランサムウ
情報処理推進機構(IPA)は、社会的に影響が大きいセキュリティ上の脅威を取りまとめ、「情報セキュリティ10大脅威 2022」として発表した。 2021年に発生した情報セキュリティ事故や攻撃の状況を踏まえ、セキュリティ研究者や企業の実務担当者など約150人が参加する「10大脅威選考会」による投票により選定したもの。「10大脅威」は2006年以降、発表されている。 2021年の組織における「10大脅威」は、2020年から9件が引き続きランクインした。2020年と同様、「ランサムウェアによる被害」がトップとなり、「標的型攻撃による機密情報の窃取」が続いた。 目新しいところでは、「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が今回あらたに7位へランクインした。広く利用されているログ記録ライブラリ「Apache Log4j」に発見された脆弱性なども影響した。一方、「インターネット上のサービスへ
富士通は、不正アクセスを受けたプロジェクト情報共有ツール「ProjectWEB」を廃止することを決めた。不正アクセスについて複数存在した脆弱性によるものと結論付ける一方、具体的な内容については明らかにしていない。 「ProjectWEB」は、富士通が独自に開発、運用してきたオンラインツール。社内外のプロジェクトで情報共有に用いていたが、不正アクセスがあり、政府機関を含む129組織に関する情報が外部に流出した。 同社では5月25日に不正アクセスを受けたことを公表。全面的に運用を停止していたが、再稼働することなく、同ツールを廃止し、新ツールへの移行を決定した。 同社は8月に何らかの脆弱性が悪用された可能性が高いとの見解を示していたが、調査が完了し、複数ある脆弱性のいずれかが悪用されて正規利用者の「ID」と「パスワード」を窃取され、正規利用者になりすます不正アクセスが行われたと結論づけた。運用管
マイクロソフトは、2021年最後となる月例セキュリティ更新プログラムを公開し、67件の脆弱性を解消した。「Emotet」「Trickbot」の感染活動ですでに悪用されているゼロデイ脆弱性の修正を実施している。 今回のアップデートでは、「Windows」における「Windows NTFS」「Windows印刷スプーラー」「リモートデスクトップクライアント」「Microsoft PowerShell」のほか、「Microsoft Office」「Microsoft Windows Codecs Library」「Microsoft Local Security Authority Server」「Azure Bot Framework SDK」「ASP.NET Core」「Visual Studio」など幅広い製品において脆弱性を修正している。 CVEベースで67件の脆弱性を修正。最大重要度を
脆弱性検証ツール「OWASP ZAP」の開発チームは、脆弱性「Log4Shell」に対処したアップデートをリリースした。 同ツールはプロキシサーバとして動作し、ウェブアプリケーションの脆弱性を検証する際に活用されているオープンソースのセキュリティツール。OWASP(Open Web Application Security Project)より提供されている。 「同2.11.0」および以前のバージョンにおいて、別名「Log4Shell」としても知られる脆弱性「CVE-2021-44228」が存在するログ記録ライブラリ「Apache Log4j 2.14.1」を実装していたことから対処したもの。 開発チームでは、脆弱性が修正された「Apache Log4j」を実装した最新版「同2.11.1」をリリース。「OWASP ZAP」の全利用者に対して、できる限り早く最新版へアップデートするよう強く推
F-Secureは、「Apache Log4j」に深刻な脆弱性「CVE-2021-44228」が明らかとなった問題で、複数製品が影響を受けることを明らかにした。脆弱性を修正するパッチをリリースし、利用者に注意を呼びかけている。 Javaアプリケーション向けにロギング機能を提供するライブラリ「Apache Log4j」に、リモートよりコードを実行されるおそれがある「CVE-2021-44228」が明らかとなったことから、同社製品の影響についてアナウンスしたもの。 同社によると、「F-Secure Policy Manager」「F-Secure Policy Manager Proxy」「F-Secure Endpoint Proxy」「F-Secure Elements Connector」に脆弱性が存在。Windows版、Linux版のいずれも影響を受けるという。 同社では、これら製品に
Mozilla Foundationは、暗号化通信や署名検証などの機能を提供するオープンソースのライブラリ「Network Security Services(NSS)」に深刻な脆弱性が見つかったことを明らかにした。同ライブラリを利用する製品において影響を受けるおそれがある。 「DER」でエンコードされた「DSA」または「RSA-PSS」による署名を処理した際、データ長を正しく検証せず、ヒープオーバーフローが生じる脆弱性「CVE-2021-43527」が明らかとなったもの。重要度は、4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「Cryptographic Message Syntax(CMS)」「S/MIME」「PKCS#7」「PKCS#12」においてエンコードされた署名の処理に同ライブラリを用いている場合、脆弱性の影響を受ける。また「TLS}「X.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く