こんにちは、デジタルペンテスト部のねいちゃーどです。 普段は チート対策ペネトレーションテスト の診断員として、主にゲームに関わるサービスの脆弱性診断を担当しています。 さて、6月末は 高難易度で知られるアクション RPG の DLC が配信開始 されたり 登録アカウント数が3000万人を超えた MMORPG の新たな拡張パッケージが公開 されたりゲーマーにとっては忙しい月末でした。 某 MMORPG のプロデューサー兼ディレクターは DLC を 1週間で終わらせて!と言っていたそうですが... さて、私も普段、後者の MMORPG を遊んでいるのですが、オンラインゲームを遊ぶために必要なものって何でしょうか ? PC/ゲーム機 ? はたまたカセット (ソフト) ? それも必要ですが ... ズバリ、「ID」と「パスワード」です。 昨今では通販を始めとした、様々なサービスがオンライン上で提
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
情報処理推進機構(IPA)は、国内において6月に判明した「PHP」の脆弱性「CVE-2024-4577」を悪用した「ネットワーク貫通型攻撃」による被害が確認されているとして注意喚起を行った。 問題とされる「CVE-2024-4577」は、PHPの「CGIモジュール」において引数インジェクションが可能となる脆弱性。Windowsにおけるエンコーディング変換機能の影響によるもので、Windows環境で利用している場合に影響を受ける。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。現地時間6月6日にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正された。 Impervaでは、「WebShell」の設置やランサムウェア「TellYouThePass」の感染活動に悪用されたこ
OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」を調査する過程で発見され、調整を経て現地時間7月8日に公表された。 「CVE-2024-6387」と同じくシグナルハンドリングの競合状態に関する脆弱性としており、非同期に安全ではない関数が呼び出されるおそれがある。「CVE-2024-6387」に比べて権限が低い子プロセスで引き起こされる問題とし、発見者は即時に大きな影響を与えるものではないと説明している。 CVE番号を採番したRed Hatでは共
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
「Node.js」の開発チームは、複数の脆弱性を解消したセキュリティアップデート「Node.js 22.4.1」「同20.15.1」「同18.20.4」をリリースした。 現地時間7月8日にセキュリティアドバイザリを公開。バージョンによって影響を受ける脆弱性は異なるが、CVEベースであわせて5件の脆弱性へ対処したことを明らかにしたもの。当初7月2日に公開が予定されていたが、2度の延期を経てリリースされた。 今回修正された脆弱性のなかでもっとも重要度が高い脆弱性は「CVE-2024-36138」。Windows環境に影響があり、4段階における重要度において、上から2番目にあたる「高(High)」とレーティングされている。 過去に判明した別名「BatBadBut」に関連する脆弱性「CVE-2024-27980」の修正が不十分でバイパスされるおそれがあることが判明した。 このほか、重要度が「中(M
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く