JVN#01014759: Android アプリ「LaLa Call」における SSL サーバ証明書の検証不備の脆弱性
Android アプリ「LaLa Call」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
Android アプリ「LaLa Call」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
P2P ファイル共有(交換)ソフトウェアである Winny にはバッファオーバーフローの脆弱性が存在します。 Winny 2.0 b7.1 およびそれ以前 2006/05/25 現在、本脆弱性を使用した攻撃手法に関する情報が一般に公開されています。 現在のところ、本脆弱性を使用した攻撃活動は観測されていませんが、本ソフトウェアを利用しないことで、本脆弱性を使用した攻撃の影響を未然に回避することが可能です。 遠隔の第三者から巧妙に細工されたパケットを送信されることにより、ソフトウェアが異常終了する可能性があります。 また、ソフトウェアの異常終了だけでなく、ログインしているユーザの権限で任意のコードを実行される可能性があるとの情報が、一般に公開されています。 なお、詳細については引き続き確認中です。新しい情報が入り次第、随時掲載します。 IPA 「Winny」におけるバッファオーバーフローの脆
Android は、アプリケーションの暗号化署名を適切にチェックしないため、任意のコードを実行される脆弱性が存在します。 アプリケーションパッケージファイル (APK) の Zip 内に複数の同じ名前のエントリが存在する場合、1 つのエントリが有効であれば、その他のエントリは検証されずにインストールされる問題があるとされています。 本脆弱性は、Android セキュリティバグ 8219321、および「マスタキーの脆弱性」と呼ばれています。
[2013年03月21日] 掲載 [2013年04月23日] ベンダ情報:Ubuntu (USN-1770-1) を追加 [2013年05月10日] CVSS による深刻度:基本値と脆弱性評価基準を追加 ベンダ情報:オラクル (CVE-2013-1667 Denial of Service (DoS) vulnerability in Perl) を追加 [2013年05月21日] ベンダ情報:レッドハット (RHSA-2013:0685) を追加 [2013年05月27日] ベンダ情報:オラクル (CVE-2013-1667 Denial of Service (DoS) vulnerability in Perl 5.16) を追加 ベンダ情報:オラクル (CVE-2013-1667 Denial of Service (DoS) vulnerability in Perl 5.12)
イー・アクセス株式会社が提供する Pocket WiFi (GP02) は、モバイル無線 LAN ルータです。Pocket WiFi (GP02) のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。
IPAとJPCERT コーディネーションセンターが共同で運営する脆弱性関連情報ポータルサイトJVN(Japan Vulnerability Notes)は2010年12月14日、Internet Explorer(IE)に任意のコードが実行される危険がある重大な脆弱性が見つかったことを公表した。細工されたHTML文書を閲覧するだけで、任意のコードを実行される危険がある。 危険度のレベルは、脆弱性の影響を受けるシステムや製品、その周囲への影響が大きく、できるだけ速やかにパッチや回避策を適用することを推奨する「緊急」であるとしている。 見つかった脆弱性は、IEに含まれるmshtml.dllライブラリによるCSS(Cascading Style Sheets)ファイルの処理に起因するもの。具体的には、様々な「@import」規則を含んでいるCSSファイルを参照しているWebページを処理するときに
IPA(情報処理推進機構)とJPCERT/CCが共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)は2012年10月23日、米アップル製のWebブラウザー「Safari」にリモートからローカルファイルを読み取り可能となる深刻な脆弱性が存在することを公表し、利用者に注意と対策を呼びかけた。 Webサイトなどに置かれた「細工されたHTMLドキュメント」をSafariでローカルファイルとして開くことにより、第三者にアクセスを許可していないパソコン内のファイルを取得される危険がある。IPAによれば、同脆弱性を発見した「Masahiro YAMADA」氏が4月27日にIPAに報告し、JPCERT/CCが開発元(アップル)との調整を担当したという。 対象となるのは「Safari 6.0.1」より前のバージョン。Macintosh向けSafariの場合
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)
【重要】EC-CUBE 4.0系における緊急度「高」の脆弱性(JVN#97554111)発覚と対応のお願い(2021/5/24 17:00 更新)(2021/05/24) 本脆弱性告知ページの更新情報やその他脆弱性対応への最新情報は、EC-CUBE公式Twitterより発信いたします。 最新情報を取得されたい場合はTwitter公式アカウントのフォローをお願いいたします。 EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。 本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。 なおクラウド版 ec-cube
npm には、ワームプログラムの感染拡大を許す問題が存在します。 npm は、サーバサイドのウェブアプリケーションを開発するための実行環境である Node.js のパッケージマネージャです。npm には、ワームプログラムの感染拡大を許す問題が存在します: Node.js https://nodejs.org/ 1. npm はセマンティックバージョニング (semver) の使用を推奨しています。セマンティックバージョニングでは、依存関係にあるパッケージのバージョンは固定されておらず、依存パッケージの作者は、自由にアップデートバージョンをプッシュできるようになっています。 セマンティックバージョニング (semver) https://docs.npmjs.com/getting-started/semantic-versioning 2. npm は、npm サーバへのログイン状態を維持
Android OS を搭載しているデバイスには、オープンリゾルバとして機能してしまう問題が存在します。 不特定の相手からの再帰的な DNS 問い合わせに対して DNS キャッシュサーバとして動作してしまうデバイスのことをオープンリゾルバと呼びます。 Android OS を搭載しているデバイスでテザリング機能を有効にした場合、オープンリゾルバとして機能してしまう問題が存在します。 Android OS を搭載しているデバイスのユーザが気付かないうちに、デバイスが DNS リフレクター攻撃に悪用され、DDoS 攻撃に加担してしまう可能性があります。 なお、接続するネットワークによっては本問題の影響を受けません。影響の有無の詳細については、「ベンダ情報」からご確認ください。 アップデートする 開発者または販売元が提供する情報をもとにアップデートを適用してください。 ワークアラウンドを実施する
Android 4.3 およびそれ以前のバージョンでは、Android OS の既定のウェブブラウザとして Android ブラウザ (アプリの表示名は「ブラウザ」、AOSP Stock Browser と呼ばれることもあります) が提供されています。Android ブラウザには、サービス運用妨害 (DoS) の脆弱性が存在します。
黄昏フロンティアの提供する東方緋想天には、サービス運用妨害 (DoS) の脆弱性が存在します。 黄昏フロンティアの提供する東方緋想天は、通信対戦が可能な PC 用のゲームソフトです。東方緋想天には、通信対戦におけるデータ処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 黒米 祐馬 氏
JVN#39218538 Android 版 ピザハット公式アプリ 宅配ピザのPizzaHut における SSL サーバ証明書の検証不備の脆弱性
FuelPHP は、ウェブアプリケーションを作成するためのフレームワークです。FuelPHP には、Request_Curl クラスの処理に問題があり、任意のコードが実行される脆弱性が存在します。 フレームワークを最新版に更新し、アプリケーションが Request_Curl クラスを使用している場合は対応する 開発者が提供する情報をもとにフレームワークを最新版に更新してください。 更新後、アプリケーション内で Request_Curl クラスを使用しているか確認し、当該クラスを使用している場合は、下記について確認してください。 cURL 呼び出しに対するレスポンスが信用できる場合 autofomatting を有効にすることが可能です。cURL 呼び出しに対するレスポンスが信用できない場合 リクエストを実行した直後にレスポンスを確認するコードを追加する必要があります。確認後、auto fo
グリー株式会社が提供する複数の Android アプリには、WebView クラスに関する脆弱性が存在します。 GREE (グリー) 1.4.0 およびそれ以前探検ドリランド 1.0.7 およびそれ以前釣り★スタ 1.5.0 およびそれ以前モンプラ 1.1.1 およびそれ以前海賊王国コロンブス 1.3.5 およびそれ以前ハコニワ 1.1.0 およびそれ以前聖戦ケルベロス 1.1.0 およびそれ以前GREEマーケット 2.1.2 およびそれ以前
SensioLabs が提供する Symfony は、オープンソースのウェブアプリケーションフレームワークです。Symfony には、コードインジェクションの脆弱性が存在します。Symfony を使用するアプリケーションにおいて、リバースプロキシ機能 (HttpCache クラス) を使用し ESI サポートを有効にしている場合に、本脆弱性の影響を受けます。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏
spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
H2O は、オープンソースのウェブサーバソフトウェアです。H2O には、アクセスログの出力処理に起因するバッファオーバーフロー (CWE-119) の脆弱性が存在します。
NECビッグローブ株式会社の提供する Android 版 嫁コレには、IMEI (端末識別番号) を SD カードに保存する問題が存在します。 当該製品が IMEI を SD カードに保存することによって、READ_PHONE_STATE パーミッションを持たないアプリケーションでも IMEI を得ることができます。
株式会社NTTドコモが提供する spモードメールには、 Java メソッドが実行される脆弱性が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 までAndroid 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで
株式会社NTTデータ・スマートソーシングが提供していた、「アクセス解析」サービスを利用するための JavaScript には、クロスサイトスクリプティングの脆弱性が存在します。 株式会社NTTデータ・スマートソーシングが提供していた、「アクセス解析」サービスを利用するための JavaScript には、エスケープ処理の不備に起因するクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 開発者によると、当該スクリプトは 2003年11月26日 から 2013年7月9日まで配布されていたものであるとのことです。
特定非営利活動法人 Seasar ファウンデーションが提供する S2Struts には、ClassLoader が操作可能な脆弱性が存在します。 特定非営利活動法人 Seasar ファウンデーションが提供する S2Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。S2Struts は、ClassLoader が操作可能な脆弱性 (CVE-2014-0114) の影響を受ける Apache Struts を使用しています。そのため、S2Struts も同脆弱性の影響を受けます。
グリー株式会社が提供する複数の Android アプリには、WebView クラスに関する脆弱性が存在します。 GREE (グリー) 1.4.0 およびそれ以前探検ドリランド 1.0.7 およびそれ以前釣り★スタ 1.5.0 およびそれ以前モンプラ 1.1.1 およびそれ以前海賊王国コロンブス 1.3.5 およびそれ以前ハコニワ 1.1.0 およびそれ以前聖戦ケルベロス 1.1.0 およびそれ以前GREEマーケット 2.1.2 およびそれ以前
株式会社ジャストシステムが提供する花子および花子を含む複数の製品には、任意の DLL 読み込みに関する脆弱性が存在します。 花子2017 花子2016 花子2015 花子Pro 3 JUST Office 3 [Standard] JUST Office 3 [エコ印刷パック] JUST Office 3 & Tri-De DataProtect パック JUST Government 3 ジャストジャンプ クラス2 ジャストフロンティア3 ジャストスクール6 Premium 花子Police 5 JUST Police 3 花子2017 体験版 対象製品のバージョン情報等、詳しくは開発者が提供する情報をご確認ください。
OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。 サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 最初の SSL/TLS ハンドシェイクでは、暗号化通信で使われる暗号化鍵を生成するために鍵情報の交換を行い、それに続き Change Cipher Spec メッセージがサーバから
JVN#43561812 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性 ソフトバンク株式会社 Android アプリ「+メッセージ(プラスメッセージ)」12.9.5 より前のバージョン iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」54.49.0500 より前のバージョン iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」3.9.2 より前のバージョン iOS アプリ「+メッセージ(プラスメッセージ)」3.9.4 より前のバージョン
株式会社バッファローが提供する複数のルータ製品には、ブラウザから各機能を設定できるウェブ管理画面があります。このウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。
[2014年06月06日] 掲載 [2014年06月09日] ベンダ情報:OpenSSL Project (Fix for CVE-2014-0224) を追加 ベンダ情報:ミラクル・リナックス (OpenSSL CCS Injection の脆弱性 (CVE-2014-0224) の影響と対処) を追加 ベンダ情報:ヤマハ (OpenSSL「Change Cipher Specメッセージ処理」の脆弱性について) を追加 ベンダ情報:富士通 (OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 (CVE-2014-0224)) を追加 ベンダ情報:レッドハット (OpenSSL MITM CCS injection attack (CVE-2014-0224)) を追加 ベンダ情報:レッドハット (Bug 1103586) を追加 参考情報:Natio
Yahoo!ツールバー Chrome 版 Ver.1.0.0.5 およびそれ以前Yahoo!ツールバー Safari 版 Ver.1.0.0.5 およびそれ以前Internet Explorer 版、Firefox 版は本脆弱性の影響を受けないとのことです。
トレンドマイクロ社製パスワードマネージャーの脆弱性 1(JVN#37183636)について解説 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。Apache Struts には、ClassLoader が操作可能な脆弱性が存在します。 Apache Struts が動作しているサーバ上で、遠隔の第三者によって、情報を窃取されたり、任意のコードを実行されたりするなどの可能性があります。 アップデートする 2014年4月25日、本脆弱性を修正した Apache Struts 2.3.16.2 が公開されました。 開発者が提供する情報をもとに、 Apache Struts 2.3.16.2 にアップグレードしてください。 ワークアラウンドを実施する Apache Struts 2.3.16.2 へのアップグレードが行えない場合、本脆弱性の影響を軽減することがで
Android 版 LINE バージョン 5.0.2 およびそれ以前iOS 版 LINE バージョン 5.0.0 およびそれ以前 LINE株式会社が提供する LINE は、コミュニケーションアプリです。LINE は、WebView 上の通信の一部で SSL/TLS を使わない HTTP 通信を許可しているため、中間者攻撃により通信内容を改ざんされた場合、意図しないアプリ内関数が呼び出される等の可能性があります。 中間者攻撃 (man-in-the-middle attack) によって通信内容を改ざんされ、不正な JavaScript コードが実行される可能性があります。結果として、意図しないアプリ内関数が呼び出される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は次のように述べています: サーバー側での修正が完了していますが
更新:「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755):IPA 独立行政法人 情報処理推進機構
--- 2021 年 11 月 5 日 更新 --- 2021年11月5日現在、本脆弱性を悪用した攻撃が確認されているため、出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。 --- 2021 年 11 月 9 日 更新 --- 「Movable Type」をベースとした CMS である「PowerCMS」についても、本脆弱性の影響を受ける可能性があります。こちらも出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。 --- 2021 年 12 月 16 日 更新 --- 2021年12月16日、シックス・アパート株式会社は、2021年10月20日に公開したバージョンの修正が不十分であることが確認されたと発表しました。出来るだけ早急に、製品開発者が提供する情報をもとに、対策を実施してください。 本脆弱性の深刻度
TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します。 Fate/stay night (CD版、DVD版) Fate/hollow ataraxia 魔法使いの夜 Fate/stay night + hollow ataraxia (セット版)
グリー株式会社が提供する複数の Android アプリには、WebView クラスに関する脆弱性が存在します。 グリー株式会社が提供する HTML ベースのアプリ向け SDK を使用している複数の Android アプリには、WebView クラスに関する脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 寺田 健 氏、日本スマートフォンセキュリティ協会(JSSEC) 佐藤 勝彦 氏
JVN iPedia
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JP Vendor Status Notes - JVN#74294680 Winny におけるバッファオーバーフローの脆弱性
JVNDB-2013-003253 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2013-001912 - JVN iPedia - 脆弱性対策情報データベース
JVN#33021167: Pocket WiFi (GP02) におけるクロスサイトリクエストフォージェリの脆弱性
IEに細工されたHTML文書の閲覧で任意のコードを実行される危険な脆弱性が発覚、JVNが緊急警告
WebブラウザーSafariに深刻な脆弱性、JVNは「Windows版の使用停止」を推奨
JPCERT/CC、「Apache Log4j」の複数の脆弱性についてまとめたページを公開 IPAやJVNでも情報を更新中
JVNDB-2016-001918 - JVN iPedia - 脆弱性対策情報データベース
JVN#81094176: Android OS がオープンリゾルバとして機能してしまう問題
JVN#09470233: Android ブラウザにおけるサービス運用妨害 (DoS) の脆弱性
JVNDB-2011-000089 - JVN iPedia - 脆弱性対策情報データベース
JVN#39218538: Android 版 ピザハット公式アプリ 宅配ピザのPizzaHut における SSL サーバ証明書の検証不備の脆弱性
JVN#94791545: FuelPHP において任意のコードが実行される脆弱性
JVN#99192898: 複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性
JVNDB-2015-000089 - JVN iPedia - 脆弱性対策情報データベース
JVN#82029095: spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
JVN#93226941: H2O におけるバッファオーバーフローの脆弱性
JVN#05102851: Android 版 嫁コレにおける端末識別番号の管理不備の脆弱性
JVN#89260331: spモードメールにおいて Java メソッドが実行される脆弱性
JVN#70083512: 「アクセス解析」におけるクロスサイトスクリプティングの脆弱性
JVN#19118282: S2Struts において ClassLoader が操作可能な脆弱性
JVN#99192898: 複数の GREE 製 Android アプリにおける WebView クラスに関する脆弱性
JVN#54268888: 花子を含む複数の製品における任意の DLL 読み込みに関する脆弱性
「Apache Struts 2」にJavaコード実行の脆弱性、すでに攻撃コード公開(JVN) | ScanNetSecurity
JVN#61247051: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
JVN#43561812: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性
JVN#50505257: 複数のバッファロー社製ルータにおけるクロスサイトリクエストフォージェリの脆弱性
JVNDB-2014-000048 - JVN iPedia - 脆弱性対策情報データベース
JVN#51769987: Yahoo!ツールバー (Chrome 版 / Safari 版) においてツールバーが書き換え可能な脆弱性
JVN#19294237: Apache Struts において ClassLoader が操作可能な脆弱性
“JVN iPedia”がHTTPS対応などのリニューアル、「MyJVNバージョンチェッカ」は要更新/トップページがリニューアル、データベースの検索速度が向上。CVSS v3検索も可能に
JVN、「Internet Explorer 10」に未修正のゼロデイ脆弱性が存在することを公表
JVN#41281927: LINE における意図しないアプリ内関数が呼び出される脆弱性
JVN#80144272: TYPE-MOON 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性
JVNDB-2012-000077 - JVN iPedia - 脆弱性対策情報データベース