バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
関連キーワード VPN | 脆弱性 | セキュリティリスク セキュリティベンダーFortinetによると、同社のVPN(仮想プライベートネットワーク)製品に存在する深刻な脆弱(ぜいじゃく)性が攻撃に悪用された。脆弱性「CVE-2022-42475」は、米国の共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)の評価では、深刻度が最も高い「緊急」(スコア9.3)となった。悪用されれば、攻撃者が認証なしで任意のプログラムを実行できる恐れがあるとFortinetは説明している。 「バッファオーバーフロー」を引き起こす CVE-2022-42475への対処法とは 併せて読みたいお薦め記事 企業は脆弱性対策が欠かせない 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由 Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは? C
sudoのメイン開発者であるTodd Millerは2月5日、pwfeedbackオプションが有効な場合にバッファオーバーフローを引き起こす可能性のあるバグが2009年のバージョン1.7.1より存在しており、1月31日にリリースした「sudo 1.8.31」においてその修正を含むアップデートを行ったことを明らかにした。 Buffer overflow when pwfeedback is set in sudoers この脆弱性は「CVE-2019-18634」として2019年10月にAppleのJoe Vennixにより最初に報告され、以後、追跡が行われてきた。Millerによれば、sudo 1.7.1からsudo 1.8.30までのバージョンがこの脆弱性の影響を受け、とくにsudo 1.26以前のバージョンを使っている場合は注意が必要だが、pwfeedbackオプションを有効にしていな
sudo バージョン 1.8.2 から 1.8.31p2 sudo バージョン 1.9.0 から 1.9.5p1 本脆弱性の影響を受けるディストリビューションについては、各ディストリビュータが公開する情報を参照してください。 sudo にはコマンドの引数に設定された特殊文字のエスケープ処理の実装に起因した、ヒープベースのバッファオーバーフロー (CWE-122) の脆弱性が存在します。 2021年2月5日時点において、macOS、AIX、Solaris においても影響を受ける可能性があるとの報告がされていますが、発見者による確認は実施されていません。 なお、2021年2月9日に Apple から本件に対応するセキュリティアップデートが公開されました。
pppd (Point to Point Protocol Daemon) には、バッファオーバーフローの脆弱性が存在します。 PPP はダイヤルアップでのインターネット接続に用いられるプロトコルであり、認証プロトコルとして Extensible Authentication Protocol (EAP) サポートしています。Paul's PPP Package の pppd には、EAP パケットの処理時に入力データのサイズを適切に検証していないことに起因してバッファオーバーフロー (CWE-120) が発生する脆弱性が存在します。 本脆弱性は EAP パケットのパース処理を行う eap.c 中の eap_request() と eap_response() 関数に存在します。これらの関数には入力データに含まれるデータ長の値を検証する処理が含まれますが、pppd にはこの検証処理に不備が
中国のセキュリティリサーチ組織「QAX-A-Team」は、2019年9月、UNIX用のメール転送エージェント(MTA)「Exim」上に存在する脆弱性「CVE-2019-16928」を確認しました。市場調査によると、2019年9月の段階でEximはインターネット上で確認可能なメールサーバの50%以上を占めており、広範的な影響が懸念されます。この脆弱性が悪用されると、以下の2つの攻撃が実行される可能性があります。また、脆弱性の深刻度は「緊急」に分類されています。 サービス拒否(DoS、Denial of Service)攻撃 遠隔からのコード実行(Remote Code Execution、RCE)攻撃 この脆弱性はEximの以下のバージョンに存在し、これ以前のバージョンへの影響は確認されていません。 4.92 4.92.1 4.92.2. Eximの脆弱性に関しては2019年6月にも「CVE
IPA(情報処理推進機構)セキュリティセンターとJPCERT/CC JPCERTコーディネーションセンター)は9月13日、リコー製プリンタと複合機にバッファオーバーフローの 脆弱性が複数あることをJVN(Japan Vulnerability Notes)において公表した。 今回発表された脆弱性は以下の通り。 HTTP クッキーヘッダ解析処理におけるバッファオーバーフロー(CVE-2019-14300) Wi-Fi、mDNS、POP3、SMTP および警告の設定を行う際のHTTPパラメータ解析処理におけるバッファオーバーフロー(CVE-2019-14305) SNMP 設定を行う際のHTTPパラメータ解析処理におけるバッファオーバーフロー(CVE-2019-14307) LPDパケット解析処理におけるバッファオーバーフロー(CVE-2019-14308) これらの脆弱性を悪用されると、遠隔
ISC (Internet Systems Consortium) が提供する BIND には、バッファオーバーフローの脆弱性が存在します。 BIND 9.5.0 から 9.11.27 BIND 9.12.0 から 9.16.11 BIND Supported Preview Edition 9.11.3-S1 から 9.11.27-S1 BIND Supported Preview Edition 9.16.8-S1 から 9.16.11-S1 BIND 開発版 9.17.0 から 9.17.1 BIND には TSIG プロトコルの拡張機能である GSS-TSIG の、GSSAPI に基づくネゴシエーションメカニズム SPNEGO の実装不備によりバッファオーバーフローの脆弱性が存在します。 GSSAPI に関するオプション tkey-gssapi-keytab または tkey-gs
プライム・ストラテジー「KUSANAGI」開発チームの石川です。 今回は先日公開されたOpenSSL 3.0.7で修正された脆弱性CVE-2022-3602を起点にバッファオーバーフローに関して少し詳しくお話したいと思います。 OpenSSL 3.0.7は2022年11月1にopenbsd.orgからリリースされたOpenSSLの最新版で、以下の2つのセキュリティアドバイザリーに対応しています。 X.509 Email Address 4-byte Buffer Overflow(CVE-2022-3602) X.509 Email Address Variable Length Buffer Overflow(CVE-2022-3786) 両方とも重要度「High」の脆弱性ですが、CVE-2022-3602は当初は重要度「Critical」としてアナウンスされたため、一時注目が集まりまし
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く