JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
※最新情報は、JVN iPediaをご覧ください。 概要 株式会社ロックオンが提供する「EC-CUBE」にコードインジェクションの脆弱性が存在します。 この脆弱性を悪用された場合、第三者に製品が持つ権限で任意の PHP コードが実行される可能性があります。 攻撃が行われた場合の影響が大きい脆弱性であるため、できるだけ早急に修正プログラムを適用して下さい。
APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つです。 APOP には、プロトコル上の問題でパスワード解読が可能なため、第三者にパスワードが漏えいする問題があります。 この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。 APOP を実装しているメールクライアント 本件は、プロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできません。POP over SSL などの暗号化通信を使用することを推奨します。また、POP アカウントに利用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに
情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERT コーディネーションセンター(JPCERT/CC)は8月26日、WindowsプログラムのDLL読み込みに攻撃可能な脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。 ダイナミックリンクライブラリ(DLL)は、プログラムのコンパイル時ではなく、実行時に読み込まれるソフトウェアコンポーネント。プログラムはLoadLibrary() や LoadLibraryEx() を利用してDLLを読み込むが、読み込まれるDLLのパスが指定されていない場合、特定のディレクトリ群が順番に探索され、最初に見つかったDLLが読み込まれる。 この問題が悪用されると、たとえばブラウザによる閲覧をトリガーとして不正なWebDAVサーバへと誘導し、細工したファイルを閲覧させるといった攻撃を実行される可能性が
株式会社NTTドコモが提供する spモードメールには、作成中のメールへのアクセス制限に関する問題が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.6100 から rev.6300 まで Android 4.1 およびそれ以降向け spモードメール rev.6130 から rev.6700 まで 株式会社NTTドコモが提供する spモードメールには、外部アプリケーションとの間で作成中のメールデータの受け渡しを行うためのアプリ連携インターフェースが実装されています。連携するアプリケーションを選択した時点で、受け渡しされるメール本文および添付ファイルが SD カードに保存されるため、他の Android アプリケーションからも読み取ることが可能です。
CGI RESCUE より提供されている WebFORM はフォームに入力された内容を電子メールにて送信するソフトウェアです。 WebFORM にはメールのヘッダ部分へ挿入される入力値の検査が適切に行なわれないことにより、任意の宛先へメールの送信に利用される脆弱性が存在します。 WebFORM v4.1 およびそれ以前 また、ベンダの提供する情報では、同様の脆弱性が FORM2MAIL にも存在し、その修正版のリリースを確認しております。
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
The PHP Group が提供する Windows 版「PHP」は、ウェブ開発用プログラミング言語です。Windows 版「PHP」には、OS コマンド・インジェクションの脆弱性が存在します。細工されたパラメータを escapeshellarg 関数に処理させることで、任意の OS コマンドを実行させられる可能性があります。
サイボウズ Garoon 3.5.0 から 4.2.6 まで (CVE-2018-0530) サイボウズ Garoon 3.0.0 から 4.2.6 まで (CVE-2018-0531, CVE-2018-0532, CVE-2018-0533) サイボウズ Garoon 4.0.0 から 4.6.0 まで (CVE-2018-0548) サイボウズ Garoon 3.0.0 から 4.6.0 まで (CVE-2018-0549) サイボウズ Garoon 3.5.0 から 4.6.1 まで (CVE-2018-0550) サイボウズ Garoon 3.0.0 から 4.6.1 まで (CVE-2018-0551) サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。 アプリケーション「アドレス帳」に関する SQL インジェクション (CWE-89)
株式会社NTTドコモが提供する spモードメールには、受信したメールの添付ファイルへのアクセス制限に関する問題が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.6300 およびそれ以前 Android 4.1 およびそれ以降向け spモードメール rev.6700 およびそれ以前 株式会社NTTドコモが提供する spモードメールには、受信したメールの添付ファイルに他の Android アプリケーションがアクセスするための機能が実装されています。この機能には、アクセス制限に関する問題が存在します。
JPCERTコーディネーションセンターと情報処理推進機構(IPA)が共同で運営する脆弱性関連情報サイト「JVN」は2013年1月18日、米Oracleが提供するJava実行環境「Oracle Java 7」のセキュリティ脆弱性情報を更新した。 先日Oracleからリリースされたアップデートを適用しても、一部脆弱性が修正されないまま残る可能性を指摘し、改めて注意を喚起。Java利用の必要がない場合は、WebブラウザーにおけるJavaプラグインの無効化を推奨している。 この脆弱性を放置した場合、インターネット越しにパソコンで任意のコードが実行される可能性がある。攻撃用コードが既に出回っており、攻撃も観測されているという。 JVNは1月15日時点では、「Java 7 Update 11(7u11)」へのアップデート(関連記事)を推奨していた。今回さらに踏み込んだ表現で、「7u11へアップデートし
LINE PC版(Windows版)バージョン5.8.0 未満 開発者によると、5.8.0 以上のバージョンは、本脆弱性の影響を受けないとのことです。 LINE株式会社が提供する LINE PC版 (Windows版) には、起動時に DLL を読み込むパスを指定する機能があります。遠隔の第三者によって細工されたリンクを介して LINE を起動することで、意図しない DLL を読み込む可能性があります。
spモードメールアプリ バージョン5400 およびそれ以前開発者によると、Android 向けの spモードメールアプリのみ影響を受けるとのことです。
Boosted Boards スケートボードには、スケートボードの動きを変更され、身体的損害の原因となる、または物理的損傷の原因となる脆弱性が存在します。
株式会社NTTドコモが提供する spモードメールには、作成中のメールへのアクセス制限に関する問題が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.6100 から rev.6300 まで Android 4.1 およびそれ以降向け spモードメール rev.6130 から rev.6700 まで 株式会社NTTドコモが提供する spモードメールには、外部アプリケーションとの間で作成中のメールデータの受け渡しを行うためのアプリ連携インターフェースが実装されています。連携するアプリケーションを選択した時点で、受け渡しされるメール本文および添付ファイルが SD カードに保存されるため、他の Android アプリケーションからも読み取ることが可能です。
秘文 機密ファイル復号プログラムには、DLL 読み込みに関する脆弱性が存在します。 なお、本脆弱性は JVN#55516206 とは異なる問題です。
Trac は、EdgeWall 社が開発しているプロジェクト管理ツールです。また、日本語版 は InterAct 社が Trac をローカライズして公開している製品となります。 Trac の Wiki 機能には、クロスサイトスクリプティングの脆弱性が存在します。
EStrongs, Inc. が提供する ES ファイルエクスプローラーには、アクセス制限不備の脆弱性が存在します。
JVNでApndroidアプリケーションの脆弱性が多数公開されました。前回と同様中国のアプリが中心(今回は韓国のアプリも交じっているようです)ですが、「GO ~」系のアプリはダウンロード数もかなり多く、コメント欄を見ると日本でも利用しているユーザがかなりいるようです。 JVNDB-2012-001654 Android 用 GO WeiboWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07) JVNDB-2012-001653 Android 用 GO QQWeiboWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07) JVNDB-2012-001652 Android 用 GO FBWidget アプリケーションにおける詳細不明な脆弱性 (JVN iPedia: 2012/03/07)
JVN#31517714 Kingsoft Internet Security 2011 におけるサービス運用妨害 (DoS) の脆弱性
OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。 サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 最初の SSL/TLS ハンドシェイクでは、暗号化通信で使われる暗号化鍵を生成するために鍵情報の交換を行い、それに続き Change Cipher Spec メッセージがサーバから
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
独立行政法人情報処理推進機構 (IPA) が提供する安全なウェブサイト運営入門には、セーブデータの読み込み処理に起因する OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
Dolphin Browser HD v7.6 より前のバージョンDolphin for Pad v1.0.1 より前のバージョン Dolphin Browser は、Android 端末用のウェブブラウザです。Dolphin Browser HD および Dolphin for Pad には、WebView クラスに関する脆弱性が存在します。
RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン シャープ株式会社が提供するロボット家電 COCOROBO は、掃除機能を搭載したロボットです。ロボット家電 COCOROBO には、セッション管理不備 (CWE-639) の脆弱性が存在します。
スシロー Ver.4.0.31 ซูชิโร่ (タイスシロー) Ver.1.0.0 香港壽司郎 Ver.3.0.2 Singapore Sushiro Ver.2.0.0 台灣壽司郎 Ver.2.0.1
JVN#21369452 Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性 Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルには、DLL 読み込みに関する脆弱性が存在します。 Lhaz バージョン 2.4.0 およびそれ以前のバージョンのインストーラ - CVE-2017-2246 Lhaz バージョン 2.4.0 およびそれ以前を使用して作成された自己解凍書庫ファイル - CVE-2017-2247 Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ - CVE-2017-2248 Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫ファイル - CVE-2017-2249
http://internet.watch.impress.co.jp/docs/news/20151030_728285.html 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は30日、 複数のルーター製品の管理画面にクリックジャッキングの脆弱性が存在することを公表した。 この脆弱性は、管理画面にログイン済みのユーザーが、細工を施されたページにアクセスし、 そのページ上のコンテンツ(管理画面のボタンに重なって表示されるように作成されたコンテンツ)を クリックした場合、意図しない操作をルーターで実行させられる可能性があるというもの。 深刻度の評価は、CVSSによる基本値が2.6で「注意」レベル。 IPAとJPCERT/CCが運営する脆弱性情報サイト「JVN(Japan Vulnerability Notes)」によると、
株式会社プレゼントキャストが提供する Android アプリ「TVer」には、SSL サーバ証明書の検証不備の脆弱性が存在します。
Windows 版 PHP 5.6.10 より前のバージョン Windows 版 PHP 5.5.26 より前のバージョン Windows 版 PHP 5.4.42 より前のバージョン
TeraTerm Project が提供する Tera Term のインストーラには、DLL を読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定の DLL を読み込んでしまう脆弱性 (CWE-427) が存在します。
JVN#81676004 Windows 版 Mozilla Firefox および Thunderbird のインストーラにおける DLL 読み込みに関する脆弱性 Windows 版 Mozilla Firefox および Thunderbird のインストーラには、DLL 読み込みに関する脆弱性が存在します。
ホーム 検索 - ログイン | | ヘルプ 日記/2014/02/11/Apache Commons FileUploadのCVE-2014-0050,JVN#14876762の確認(不完全燃焼) ※内容的にはかなり浅くて緩い記事なので、参考程度の扱いでお願いします。また、以下はmsakamoto-sfのプライベートの活動になりますので、所属する組織の公式見解ではありませんのでご了承ください。 こんなのが出てまして、Apache Commons FileUpload については実際に使ったこともありましたので、ちょっと気になりました。 Apache Commons FileUpload および Apache Tomcat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140007.html commons-fileuploadについては、
東日本電信電話株式会社および西日本電信電話株式会社が提供するひかり電話ルータ/ホームゲートウェイには、複数の脆弱性が存在します。 東日本電信電話株式会社 ひかり電話ルータ PR-S300NE/RT-S300NE/RV-S340NE ファームウェアバージョン Ver. 19.41 およびそれ以前 ひかり電話ルータ PR-S300HI/RT-S300HI/RV-S340HI ファームウェアバージョン Ver.19.01.0005 およびそれ以前 ひかり電話ルータ PR-S300SE/RT-S300SE/RV-S340SE ファームウェアバージョン Ver.19.40 およびそれ以前 ひかり電話ルータ PR-400NE/RT-400NE/RV-440NE ファームウェアバージョン Ver.7.42 およびそれ以前 ひかり電話ルータ PR-400KI/RT-400KI/RV-440KI ファームウ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く