JVN#33021167: Pocket WiFi (GP02) におけるクロスサイトリクエストフォージェリの脆弱性
イー・アクセス株式会社が提供する Pocket WiFi (GP02) は、モバイル無線 LAN ルータです。Pocket WiFi (GP02) のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。
イー・アクセス株式会社が提供する Pocket WiFi (GP02) は、モバイル無線 LAN ルータです。Pocket WiFi (GP02) のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。
Redmine は、プロジェクト管理ソフトウェアです。Redmine には、URL パラメータのチェックが不十分なため、結果としてオープンリダイレクトの脆弱性が存在します。 Redmine へのログイン時に、任意のウェブサイトにリダイレクトされる可能性があります。結果として、ユーザがフィッシング詐欺などの被害に遭う可能性があります。
株式会社内田洋行が提供する ASSETBASE は、IT 資産管理ツールです。ASSETBASE には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 京都大学 山崎啓太郎 氏 CVSS v3 による深刻度 基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更あり 機密性への影響(C): 低 完全性への影響(I): 低 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要
JVN#04281281 ISUCON5 予選ポータル Web アプリケーション (eventapp) における OS コマンドインジェクションの脆弱性
株式会社東芝が提供する FlashAir には、インターネット同時接続機能を有効にした場合に、初期設定では STA 側 LAN から認証なしで接続可能な脆弱性が存在します。 FlashAir SD-WD/WC シリーズ Class 6 モデル ファームウェアバージョン 1.00.04 およびそれ以降 FlashAir SD-WD/WC シリーズ Class 10 モデル W-02 ファームウェアバージョン 2.00.02 およびそれ以降 FlashAir SD-WE シリーズ Class 10 モデル W-03 株式会社東芝が提供する FlashAir は、無線 LAN 接続機能を搭載した SDHC メモリカードです。FlashAir の初期設定では、インターネット同時接続機能を有効にした場合、STA 側 LAN (FlashAir が他のアクセスポイントに接続する側) から認証なしで接続
任天堂株式会社が提供するニンテンドーWi-Fiネットワークアダプタ WAP-001 には、複数の脆弱性が存在します。
更新:「SKYSEA Client View」において任意のコードが実行可能な脆弱性について(JVN#84995847):IPA 独立行政法人 情報処理推進機構
Sky株式会社が提供する「SKYSEA Client View」は、IT 資産管理用ツールです。「SKYSEA Client View」のエージェントプログラムには、管理機プログラムとの TCP 通信における認証処理に起因する任意のコードが実行可能な脆弱性が存在します。遠隔の第三者によって、「SKYSEA Client View」のエージェントプログラムが任意の操作を実行させられる可能性があります。結果として、任意のコードを実行される可能性があります。 開発者によれば本脆弱性を悪用した攻撃を確認しているとのことです。至急、製品開発者が提供する情報をもとに、最新版へアップデートしてください。 ---2017/3/9 更新--- 開発者によると、本脆弱性の対策と、更なるセキュリティ強化を施した「SKYSEA Client View Ver.11.4」を 2017 年 3 月 6 日にリリースし
アップグレードする Windows 7 以降または Windows Server 2008 R2 以降の Windows を使用しているユーザは、Internet Explorer 10 へアップグレードしてください。 ワークアラウンドを実施する 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ローカルディスク上に信頼できないファイルを保存しないなお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。
JVN#06372244 EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性 GMOペイメントゲートウェイ株式会社が EC-CUBE の追加モジュールとして提供する EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) には、複数の脆弱性が存在します。 EC-CUBEペイメント決済モジュール (2.12系) バージョン 3.5.23 およびそれ以前 EC-CUBEペイメント決済モジュール (2.11系) バージョン 2.3.17 およびそれ以前 GMO-PG決済モジュール (PGマルチペイメントサービス) (2.12系) バージョン 3.5.23 およびそれ以前 GMO-PG決済モジュール (PGマルチペイメントサービス)
JVN#88676089 iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性 iPod touch および iPhone に搭載されているウェブブラウザである Safari には、サーバ証明書が不正に受け入れられる脆弱性が存在します。
NHN Japan 株式会社が提供する LINE は、コミュニケーションアプリです。Android 版 LINE には、暗黙的 Intent の扱いに関する脆弱性が存在します。
JVNDB-2014-007416 GNOME Shell における無人のワークステーション上で任意のコマンドを実行される脆弱性 - JVN iPedia - 脆弱性対策情報データベース
GNOME Shell は、スクリーンロック機能が使用される場合、すべてのアクティブな PrtSc リクエストのメモリ消費の集計を制限しないため、無人のワークステーション上で任意のコマンドを実行される脆弱性が存在します。
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
DBD::mysqlPP は、MySQL のクライアントインターフェースを提供する Perl モジュールです。DBD::mysqlPP には、SQLインジェクションの脆弱性が存在します。 DBD::mysqlPP を使用しない 開発者によると、「DBD::mysqlPP は、ジョークプログラムとして作成されたものであり、プライベートな利用や MySQL 通信プロトコルの読解を助ける用途にのみ利用し、それ以外の用途においては同一の API を持つライブラリである DBD::mysql 最新版の使用を推奨する」とのことです。 DBD::mysql については、以下のページをご参照ください。 DBD::mysql http://search.cpan.org/dist/DBD-mysql/
島根県CMS バージョン 2.0.0 開発者によると、島根県CMS バージョン 1 系は本脆弱性の影響を受けないとのことです。
はてなツールバーの利用者が SSL で保護されたウェブサイトを閲覧した際に、その URL に含まれるセッション ID など保護するべき情報が盗聴される可能性があります。その結果、セッションハイジャックを受ける可能性があります。
Android OS に搭載されている電話帳アプリは、電話発信要求を Intent から受け取り、電話アプリを呼び出します。この電話帳アプリには、アクセス制限不備の脆弱性があり、CALL_PHONE 権限を持たないアプリからでも Intent を受け取り処理をしてしまいます。
JVN#30414126 Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性
複数の Wiki クローン実装のファイル添付機能において、クロスサイトスクリプティングにつながる脆弱性が存在します。これにより、Wiki 利用者のブラウザ上で任意のスクリプトが実行される可能性があります。
The GNU Project が提供する GNU Wget には、バッファオーバーフロー (CWE-119) の脆弱性が存在します。
セキュリティホール memo: JVN#70734805: Lhaplus におけるバッファオーバーフローの脆弱性
》 『ル・モンド・ディプロマティーク』日本語・電子版。 9 月のお題: 武器よ、来たれ!。武器輸出の話。 氷原の冷戦。北極の話。 アメリカの大学、作られた財政危機 サルコジのアフリカとんでも演説 》 ソレが僕には楽しかったから (マイクロソフト セキュリティ ニュースレター, 9/26)。 connect24h の中の人。 こうして大規模化した connect24h ですが、現在でも、3,000 名を越える参加者がいますが、NetNews やメーリングリストというコミュニティそのものが衰退していく中、ご多分に漏れず、情報の最前線としての役割を終えつつあると考えています。 memo ML も、もう要らないよね。 》 パソコンを安心して使うために。 セキュリティ啓発コンテンツ (Microsoft, 9/21) 》 [AML 15902] 「V字形滑走路なら住宅地の上を飛ばない」という説明はウ
以下の製品で、ファームウェアバージョンが 4.5.2 より前のもの WF-1000X WF-SP700N WH-1000XM2 WH-1000XM3 WH-CH700N WH-H900N WH-XB700 WH-XB900N WI-1000X WI-C600N WI-SP600N
aki-null が提供する夜フクロウは、OS X 向けの Twitter クライアントアプリケーションです。夜フクロウでは OS X の API である CTFramesetter で文字列を処理しています。CTFramesetter では絵文字を表す特定のユニコード文字列の処理に問題があり、当該製品がクラッシュする可能性があります。 この問題は、OS X v10.9 (Mavericks) で確認されました。また、夜フクロウの開発者によると、OS X v10.11 (El Capitan) では問題は発生しないとのことです。
Android OS を搭載した一部の端末には、特定のシステム領域を参照する際の処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。 なお、本脆弱性は Android OS を搭載する端末の実装に依存する問題です。
「Wi-Fi Protected Setup」に無線LAN設定情報を取得される未対応の脆弱性(JVN) | RBB TODAY
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月4日、Wi-Fiアライアンスが策定した無線LAN機器の接続とセキュリティの設定を容易に行うための規格である「Wi-Fi Protected Setup(WPS)」に無線LANの設定情報を取得される脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。 Wi-Fi Protected SetupのPIN認証を採用している製品には、PIN認証の仕様が原因でブルートフォース攻撃が容易になる脆弱性が存在する。しかも、複数の無線ルータにはブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になる。この脆弱性が悪用されると、該当する機器にアクセス可能な第三者によって、無線LANの設定情報を取得され
CGI Script Market が提供するマガジンガーZ <http://cgiscriptmarket.com/magazinegerZ/> は、ウェブサイトにメールマガジン配信機能を提供する CGI スクリプトです。 マガジンガーZ には、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として
「OpenPNE」において任意のPHPコードが実行される脆弱性の対策について(JVN#69986880):IPA 独立行政法人 情報処理推進機構
OpenPNEプロジェクトが提供する「OpenPNE」には任意のPHPコードが実行される脆弱性が存在します。 遠隔の第三者によって、「OpenPNE」を設置したサーバ上で任意のPHPコードを実行され、ウェブサイトを改ざんされる危険性があります。
NEC が提供する複数のモバイルルータのウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。 アップデートする 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。 ワークアラウンドを実施する 対策版が存在しない製品は、以下の回避策を適用することで本脆弱性の影響を軽減することが可能です。 〔クイック設定Web〕 での操作終了後は直ちにウェブブラウザを閉じ、Basic認証情報を削除する 詳しくは、開発者が提供する情報を確認してください。
独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10月30日、両団体が運営する「Japan Vulnerability Notes」(JVN)において、「複数のルータ製品におけるクリックジャッキングの脆弱性」(JVN#48135658)の情報を公開した。 この情報は、情報セキュリティ早期警戒パートナーシップに基づきサイバーディフェンス研究所から情報処理推進機構へと報告され、JPCERTコーディネーションセンターと開発者が調整を行い発表された。 この問題は、該当する市販のルータを使って管理画面にログイン済みのユーザーが、細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があるというもの。 Japan Vulnerability Notesで公開された影響を受けるシステム(製品)
JVNとは何ですか? JVN は、"Japan Vulnerability Notes" の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。 JVNに掲載されている情報 JVN では、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリ
「NScripter」におけるバッファオーバーフローの脆弱性対策について(JVN#08494613):IPA 独立行政法人 情報処理推進機構
「NScripter」は、ゲームを作成・実行するためのスクリプトエンジンです。「NScripter」には、バッファオーバーフローの脆弱性が存在します。細工されたセーブデータを読み込むことで、任意のコードを実行される可能性があります。 攻撃が行われた場合の影響が大きい脆弱性であるため、"「NScripter」を使用したゲーム"の開発者はできるだけ早急に製品開発者が提供する情報をもとに、アップデートし、当該ゲームをリビルドしてください。また、当該ゲーム利用者は、ゲーム開発者が提供する情報をもとに当該ゲームを最新版へアップデートしてください。
「JVN iPedia」で公開の脆弱性対策情報を取得するWeb APIを活用せよ:10個のツールで学ぶ、備える!情報セキュリティの脅威と対策 IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の8回目。JVN iPediaが公開する脆弱性対策情報を取得できるWeb APIの「MyJVN API」の使い方と活用のヒントを紹介します。 前回、国内で利用されているソフトウェアやOSを中心とした脆弱性対策情報を収集し、公開しているJVN iPediaについて説明しました。このJVN iPediaの情報は「MyJVN脆弱性対策情報収集ツール」で確認することができます。 「MyJVN脆弱性対策情報収集ツール」ではフィルタリング設定によって、情報を表示するベンダーやソフトウェアを限定することができるので、自社にとって必要な情報だけを確認するといったことができます。ただし、MyJVN
トレンドマイクロ株式会社製の複数の製品における DLL 読み込みに関する脆弱性について(JVN#28865183) | アーカイブ | IPA 独立行政法人 情報処理推進機構
トレンドマイクロ株式会社が提供する複数の製品には、当該製品をインストールした状態で他のアプリケーションのインストーラを実行した際に、他のアプリケーションのインストーラが配置してあるディレクトリに存在する特定の DLL が読み込まれてしまう脆弱性が存在します。
SoftBank が提供する Wi-Fiスポット設定用ソフトウェアには、Wi-Fi アクセスポイントへの接続処理に起因する脆弱性が存在します。 SoftBank、ウィルコム、ディズニー・モバイル・オン・ソフトバンクが提供する Wi-Fi を使用可能な一部の端末が本脆弱性の影響を受けます。 なお、修正済みのバージョンは SoftBank から提供されています。詳しくは開発者や販売元が提供する情報をご確認ください。
Android には、外部サイトのコンテンツを読み込むウェブサイトの SSL 証明書を表示する際、外部サイトの SSL 証明書を表示してしまう脆弱性が存在します。
Android アプリ「LaLa Call」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
Squid 3.1.1-STABLE より前のバージョン開発者によると、本脆弱性は Squid 3.1.0.10-beta で修正されており、Squid バージョン 3.1系の Stable リリース以降は本脆弱性の影響を受けないとのことです。 Squid は、プロキシサーバです。Squid には、HTTP ヘッダの Content-Length の値が不正な状態のサーバレスポンスを不正な状態のままでクライアントに転送してしまう脆弱性が存在します。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#93004610: Redmine におけるオープンリダイレクトの脆弱性
JVNDB-2017-000054 - JVN iPedia - 脆弱性対策情報データベース
JVN#04281281: ISUCON5 予選ポータル Web アプリケーション (eventapp) における OS コマンドインジェクションの脆弱性
JVN#39619137: FlashAir におけるアクセス制限不備の脆弱性
JVN#17625382: ニンテンドーWi-Fiネットワークアダプタ WAP-001 における複数の脆弱性
日本語プログラム言語環境「なでしこ3」に複数の脆弱性 ~JVNが注意喚起/コマンドインジェクションなど3件。深刻度の評価は「CVSS v3」の基本値で最大「9.8」
JVN#63901692: Internet Explorer における情報漏えいの脆弱性
JVN#06372244: EC-CUBEペイメント決済モジュールおよび EC-CUBE用 GMO-PG決済モジュール (PGマルチペイメントサービス) における複数の脆弱性
JVN#88676089: iPod touch および iPhone に搭載されている Safari において証明書が不正に受け入れられる脆弱性
JVN#67435981: Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性
「ウイルスバスター クラウド」に脆弱性 ~ファイルを削除される可能性/「CVSS 3.0」の基本値は「7.8」、JVNが注意喚起
脆弱性情報サイト「JVN」が実施したアンケートのCGIに脆弱性が指摘される
JVN#51216285: DBD::mysqlPP における SQL インジェクションの脆弱性
JVN#84982142: 島根県CMS における SQL インジェクションの脆弱性
JVN#77886599: はてなツールバーにおける URL 情報の扱いに関する問題
JVN#06212291: Android OS の電話帳アプリにおけるアクセス制限不備の脆弱性
JVN#30414126: Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性
JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
JVN#25261088: GNU Wget におけるバッファオーバーフローの脆弱性
JVN#67447798: 複数のソニー製 Bluetooth ヘッドホンにおける Bluetooth ペアリング処理の脆弱性
JVN#94816361: 夜フクロウにおけるサービス運用妨害 (DoS) の脆弱性
JVN#74829345: Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性
JVN#97370614: マガジンガーZ におけるクロスサイトスクリプティングの脆弱性
JVN#59503133: 複数の NEC 製モバイルルータにおけるクロスサイトリクエストフォージェリの脆弱性
複数の市販ルータにクリックジャッキングの脆弱性--JVNが発表
JVN#77886599
Japan Vulnerability Notes/JVN とは?
「JVN iPedia」で公開の脆弱性対策情報を取得するWeb APIを活用せよ
JVN#85371480: Wi-Fiスポット設定用ソフトウェアにおける接続処理に関する脆弱性
JVN#43105011: Android における SSL 証明書の表示に関する脆弱性
JVN#01014759: Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性
JVN#64455813: Squid における入力値検証の不備に関する脆弱性