JBoss RichFaces は、JavaServer Faces (JSF) 向けに Ajax 機能を持つコンポーネントを提供するライブラリです。JBoss RichFaces には do パラメータの処理に起因する、任意の Java コードが実行される脆弱性が存在します。
株式会社ドワンゴが提供する iOS アプリ「niconico」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
The Apache Software Foundation が提供する Apache Tomcat には、サービス運用妨害(DoS)の脆弱性が存在します。 Apache Tomcat 4.1.0 から 4.1.39 まで Apache Tomcat 5.5.0 から 5.5.27 まで Apache Tomcat 6.0.0 から 6.0.18 まで 開発者によると、現在サポート対象外となっている Apache Tomcat 3.x、4.0.x、および 5.0.x も、本脆弱性の影響を受ける可能性があるとのことです。 詳しくは開発者が提供する情報をご確認ください。 The Apache Software Foundation が提供する Apache Tomcat は、Java Servlet と JavaServer Pages のサーバ実装です。 Apache Tomcat は、Ja
JVN#27691264 Android 版 Opera Mini ウェブブラウザおよび Opera Mobile ウェブブラウザにおいて任意のスクリプトが実行される脆弱性 Android 版 Opera Mini ウェブブラウザおよび Opera Mobile ウェブブラウザには、任意のスクリプトが実行される脆弱性が存在します。
Lhaplus は、ファイルの圧縮・展開を行うソフトウェアです。Lhaplus には、ZIP64 形式のファイルを展開する際に、展開するファイルの内容を検証しない、検証不備の脆弱性が存在します。
ソフトバンク株式会社が提供する光BBユニット E-WMTA2.3 には、クロスサイトリクエストフォージェリの脆弱性が存在します。
JVN#91474878 ファイル暗号化ソフト ED に小さいファイルを暗号化した場合において暗号化データの解読が比較的容易になる問題 ファイル暗号化ソフト ED では、サイズの小さいファイルを暗号化した際にサイズの大きなファイルを暗号化した時と比べ、解読が比較的容易になります。
Android アプリ「NewsPicks(ニューズピックス)/経済ニュースアプリ」10.4.5 およびそれ以前のバージョン iOS アプリ「ニューズピックス -ビジネスに役立つ経済ニュースアプリ」10.4.2 およびそれ以前のバージョン 株式会社ニューズピックスが提供する Android アプリ「NewsPicks(ニューズピックス)/経済ニュースアプリ」および iOS アプリ「ニューズピックス -ビジネスに役立つ経済ニュースアプリ」には、外部サービスの API キーがハードコードされている問題 (CWE-798) が存在します。
JVN#27052429 WordPress 用プラグイン Google XML Sitemaps におけるクロスサイトスクリプティングの脆弱性
JVN#75514460 防衛装備庁が提供する電子入札・開札システムのインストーラにおける DLL 読み込みに関する脆弱性
H2O version 2.2.2 およびそれ以前 (CVE-2017-10868、CVE-2017-10869) H2O version 2.2.3 およびそれ以前 (CVE-2017-10872、CVE-2017-10908) H2O は、オープンソースのウェブサーバソフトウェアです。H2O には、次の複数の脆弱性が存在します。 HTTP/1 ヘッダの処理に起因するサービス運用妨害 (DoS) (CWE-20) - CVE-2017-10868
TS-WPTCAM ファームウェア バージョン 1.18 およびそれ以前 TS-WPTCAM2 ファームウェア バージョン 1.00 TS-WLCE ファームウェア バージョン 1.18 およびそれ以前 TS-WLC2 ファームウェア バージョン 1.18 およびそれ以前 TS-WRLC ファームウェア バージョン 1.17 およびそれ以前 TS-PTCAM ファームウェア バージョン 1.18 およびそれ以前 TS-PTCAM/POE ファームウェア バージョン 1.18 およびそれ以前 株式会社アイ・オー・データ機器が提供する複数のネットワークカメラ製品には、次の複数の脆弱性が存在します。 HTTP ヘッダインジェクション (CWE-113) - CVE-2017-2111
H2O version 1.6.1 およびそれ以前 H2O version 1.7.0-beta2 およびそれ以前 これらのバージョンを使用し、サーバに redirect ハンドラを使用するよう設定している場合に本脆弱性の影響を受けます。
GT-DMB-N Ver3.00 より前のバージョン GT-DMB Ver3.00 より前のバージョン GT-DMB-LVN Ver3.00 より前のバージョン GT-DB-VN Ver2.00 より前のバージョン
全日本空輸株式会社が提供する iOS アプリ「ANA」には、SSL サーバ証明書の検証不備の脆弱性 (CWE-295) が存在します。
ロジテック株式会社の提供する LAN-W300N/R シリーズには、アクセス制限不備の脆弱性が存在します。
コルネ株式会社が提供する Welcart は、ショッピングサイトを構築するための WordPress プラグインです。 Welcart には、クロスサイトリクエストフォージェリの脆弱性が存在します。 当該製品にログインしたユーザが、カートに商品を登録した状態で悪意のあるページを読み込んだ場合、商品の購入手続きが完了させられる可能性があります。
Lhaplus は、複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェアです。Lhaplus は圧縮ファイルを展開する際に、特定の DLL を読み込みます。Lhaplus には、DLL を読み込む際の DLL 検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
株式会社バッファローが提供する WXR-1900DHP2 は無線 LAN ルータです。WXR-1900DHP2 には、次の複数の脆弱性が存在します。 認証欠如の問題 (CWE-306) - CVE-2018-0521
Tween は、Twitter 用のクライアントアプリケーションです。Tween のインストーラには、DLL を読み込む際の検索パスに関する処理に不備があり、意図しない DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
JVN#98617234 WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性
本資料は、JVNで公表した「JVN#35274905:『FreeStyleWiki』におけるクロスサイト・スクリプティングの脆弱性」について解説するものです。 「FreeStyleWiki」は、ウェブブラウザ上からウェブコンテンツの発行や編集を行うことができる Wiki クローンです。 「FreeStyleWiki」には、ウェブコンテンツ編集時の内容のチェックが不十分であるため、ウェブコンテンツに任意のスクリプトが埋めこめてしまう、クロスサイト・スクリプティングの問題があります。 本問題は、JVN#67001206 におけるクロスサイト・スクリプティングの脆弱性と同様の問題です。 最新情報は、JVN#35274905 を参照してください。 「FreeStyleWiki」が生成したウェブページを閲覧している利用者のブラウザ上で、その利用者の意図しないスクリプトが実行してしまう可能性があります
GTK+ は、GUI を含むアプリケーションを作成するためのツールキットです。GTK+ には、DLL を読み込む際のDLL 検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
Windows 7 が提供する標準の DLL ファイルのなかには、プログラムの実行時に必要とする他の DLL ファイルを、呼び出し元プログラムと同一のディレクトリから読み込むように作られているものが存在します(CWE-427)。 開発者によると、本件は「アプリケーション ディレクトリにおける DLL の植え付け」の問題であり、Windows 7 におけるセキュリティ更新プログラムによる対応は行わないとのことです。 開発者による「アプリケーション ディレクトリにおける DLL の植え付け」への対応については、開発者が提供する情報をご確認ください。 Windows 10 にアップグレードする 開発者が提供する情報をもとに、Windows 7 を 最新の Windows 10 へアップグレードしてください。 ワークアラウンドを実施する 次のワークアラウンドを実施することで、本脆弱性の影響を軽減す
JVN#85213412 有限会社AKABEi SOFT2 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構には、競合状態が発生する脆弱性が存在します。 競合状態 (CWE-362) - CVE-2016-5195 Linux カーネルのメモリサブシステムには、copy-on-write 機構の実装の問題に起因して、 競合状態が発生する脆弱性が存在します。 再現コードなどの詳しい情報は Dirty COW を参照してください。 Dirty COW https://dirtycow.ninja/ なお、本脆弱性を使用した攻撃活動が確認されているとのことです。 CVSS v3 による深刻度 基本値: 8.4 (重要) [NVD値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 高 完全性への影響(I):
奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) には、バッファオーバーフローの脆弱性が存在します。 茶筌 (ChaSen) version 2.4.4 およびそれ以前茶筌 (ChaSen) version 2.3.3 およびそれ以前上記バージョンの茶筌 (ChaSen) を組み込んでいるソフトウェアが本脆弱性の影響を受けます。 奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) は、日本語の形態素解析をするためのソフトウェアです。茶筌 (ChaSen) には、文字列の読み込みに問題があり、バッファオーバーフローの脆弱性が存在します。 なお、茶筌 (ChaSen) は一時的に開発が停止していましたが、2011年12月8日より、ChaSen legacy プロジェクトによって開発が再開されました。
「baserCMS」における SQL インジェクションの脆弱性(JVN#78151490):IPA 独立行政法人 情報処理推進機構
baserCMSユーザー会が提供する「baserCMS」は、コンテンツ管理システムです。「baserCMS」には、SQL インジェクションの脆弱性が存在します。遠隔の第三者によって、任意の SQL 文を実行され、ファイルの作成やデータベース内の情報を取得、改ざんされる可能性があります。 攻撃が行われた場合の影響が大きい脆弱性であるため、"「baserCMS」を使用したウェブサイトの運営者"はできるだけ早急に製品開発者が提供する情報をもとに、アップデートしてください。
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
最新版のインストーラを使用し、ワークアラウンドを実施する 2017年7月19日以前にホームページに掲載されていた道路工事完成図等チェックプログラム Ver3.1.2 (cdrw_checker_3.1.2.zip) をダウンロードしているユーザは、インストールせず速やかに削除してください。インストールする場合は、最新版の道路工事完成図等チェックプログラム Ver3.1.3 (cdrw_checker_3.1.3.zip) をダウンロードしなおしてから、次の点に注意してインストーラを実行してください。 インストーラ(cdrw_checker_3.1.3.zip)を解凍すると作成される 「セットアッププログラム」ディレクトリに、"setup.exe" 以外の不審なファイルがないことを確認する。 "setup.exe" は、必ず 「セットアッププログラム」ディレクトリで実行する。 本脆弱性の影響
プリインストールを含む複数のAndroidおよびiOSアプリに、複数の脆弱性(JVN)(ScanNetSecurity) - Yahoo!ニュース
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月17日、プリインストールされたものを含む複数のAndroidアプリおよびiOSアプリに、複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。これらの脆弱性はKryptowire社により報告され、「DEF CON 26」などで発表している。 多くのAndroid端末にOEMによりプリインストールされている複数のアプリには、不正な証明書検証の脆弱性が存在する。また、複数のAndroidアプリおよびiOSアプリには、暗号鍵がハードコードされている脆弱性や、安全性の低い暗号化技術を使用している脆弱性が存在する。 端末により影響は異なるが、脆弱性を攻撃する悪意のあるアプリをユーザがインストールさせられた場合、遠隔の攻撃者によっ
concrete5 日本語版 5.5.1 から 5.5.2.1 まで concrete5 英語版 5.5.0 から 5.6.0.2 まで concrete5 は、オープンソースのコンテンツ管理システム (CMS) です。concrete5 には、クロスサイトスクリプティングの脆弱性が存在します。
IPA、ぜい弱性情報DB「JVN iPedia」で情報自動収集を試行、開発者側から登録可能に | OSDN Magazine
独立行政法人情報処理推進機構(IPA)は2009年4月28日、運営しているぜい弱性対策情報データベース「JVN iPedia」で、製品開発者が発信するぜい弱性対策情報の自動収集を試行開始した。自動収集を利用することで、開発者は製品ユーザーに広く対策を促すことができるようになるという。 JVN iPediaは、日本国内で使用されているソフトウェア製品のぜい弱性対策情報のDBで2007年4月から公開している。収録しているのは、(1)国内開発者が公開したぜい弱性対策情報(2)ぜい弱性対策情報ポータル「JVN」で公表したぜい弱性対策情報(3)米国立標準技術研究所(NIST)のぜい弱性DB「NVD」が公開するぜい弱性対策情報――で、必要に応じて翻訳も行う。2009年3月末の累計登録件数は6156件。 情報収集・登録は、これまでIPAが手作業で行ってきたが、処理能力が限界に達しつつあることから自動収集
ソニー株式会社が提供する Digital Paper App は、ソニー製電子ペーパー専用のドキュメント管理ソフトウェアです。Digital Paper App のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。 最新のインストーラを使用する 開発者が提供する情報をもとに、最新のインストーラを使用してください。 また、インストーラを実行する際には、インストーラと同じディレクトリに不審なファイルがないことを確認してください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。
ジャストシステムが提供する一太郎シリーズには、任意のコードを実行される脆弱性が存在します。 なお、本脆弱性は JVN#98467259 とは異なる問題です。
JVN#76515037 PukiWiki Plus! におけるクロスサイトスクリプティングの脆弱性
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【今週の『セマネ教科書』】「情報処理技術者」秋期試験まであと58日! そこで第6問:JVN(Japan Vulnerability Notes)などの脆弱性対策ポータルサイトで採用されているCVE(Common Vulnerabilities and Exposures)識別子の説明はどれか。
JVN#56297719: JBoss RichFaces において任意の Java コードが実行される脆弱性
JVN#20355129: iOS アプリ「niconico」における SSL サーバ証明書の検証不備の脆弱性
JVN#87272440: Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性
JVN#27691264: Android 版 Opera Mini ウェブブラウザおよび Opera Mobile ウェブブラウザにおいて任意のスクリプトが実行される脆弱性
Windows標準の日本語入力システム「Microsoft IME」に脆弱性 ~JVNが明らかに/2016年11月8日にリリースされた月例アップデートで修正済み。毎月の適用を忘れずに
JVN#57842148: Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性
JVN#34364599: 光BBユニット E-WMTA2.3 におけるクロスサイトリクエストフォージェリの脆弱性
JVN#91474878: ファイル暗号化ソフト ED に小さいファイルを暗号化した場合において暗号化データの解読が比較的容易になる問題
JVN#32739265: スマートフォンアプリ「ニューズピックス」に外部サービスの API キーがハードコードされている問題
JVN#27052429: WordPress 用プラグイン Google XML Sitemaps におけるクロスサイトスクリプティングの脆弱性
JVN#75514460: 防衛装備庁が提供する電子入札・開札システムのインストーラにおける DLL 読み込みに関する脆弱性
JVN#84182676: H2O における複数の脆弱性
JVN#46830433: アイ・オー・データ製の複数のネットワークカメラ製品に複数の脆弱性
JVN#45928828: H2O における HTTP ヘッダインジェクションの脆弱性
JVN#75437943: アイホン製インターホンシステムにおける情報漏えいの脆弱性
JVN#71535108: iOS アプリ「ANA」における SSL サーバ証明書の検証不備の脆弱性
JVN#85934986: LAN-W300N/R シリーズにおけるアクセス制限不備の脆弱性
JVN#53269985: Welcart におけるクロスサイトリクエストフォージェリの脆弱性
JVN#82752978: Lhaplus における DLL 読み込みに関する脆弱性
「JVN iPedia」の脆弱性対策情報が6000件突破
JVN#97144273: WXR-1900DHP2 における複数の脆弱性
JVN#17523256: Tween のインストーラにおける DLL 読み込みに関する脆弱性
JVN#98617234: WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性
JVN#35274905:「FreeStyleWiki」におけるクロスサイト・スクリプティングの脆弱性
JVN#58019849: GTK+ における DLL 読み込みに関する脆弱性
「島根県CMS」にSQLインジェクションの脆弱性(JVN) | ScanNetSecurity
JVN#69181574: Windows 7 における DLL 読み込みに関する脆弱性
JVN#85213412: 有限会社AKABEi SOFT2 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
JVNDB-2016-005596 - JVN iPedia - 脆弱性対策情報データベース
JVN#16901583: 茶筌 (ChaSen) におけるバッファオーバーフローの脆弱性
脆弱性データベース「JVN iPedia」、脆弱性概要ページで画像が掲載可能に
JVN#82120115: 国土交通省国土技術政策総合研究所が提供する道路工事完成図等チェックプログラムのインストーラにおける DLL 読み込みに関する脆弱性
JVN#65458431: concrete5 におけるクロスサイトスクリプティングの脆弱性
JVN#75700242: Digital Paper App のインストーラにおける DLL 読み込みに関する脆弱性
JVN#17293765: 一太郎シリーズにおける任意のコードが実行される脆弱性
JVN#76515037: PukiWiki Plus! におけるクロスサイトスクリプティングの脆弱性