一般社団法人JPCERTコーディネーションセンター 〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング8階 TEL: 03-6271-8901 FAX 03-6271-8908 ご利用にあたって プライバシーポリシー お問い合わせ モバイル向けコンテンツ © 1996-2024 JPCERT/CC
JPCERT コーディネーションセンター
一般社団法人JPCERTコーディネーションセンター 〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング8階 TEL: 03-6271-8901 FAX 03-6271-8908 ご利用にあたって プライバシーポリシー お問い合わせ モバイル向けコンテンツ © 1996-2024 JPCERT/CC
脆弱性情報共有フレームワーク - MyJVN バージョンチェッカ
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 プロセッサチップ A5 から A11 を搭載する次の製品 iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 脆弱性に該当するプロセッサチップを利用している製品であれば、上記以外の製品も影響を受けます。 なお、 A12 以降のプロセッサチップを使用している i
JVN iPedia
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
独立行政法人情報処理推進機構 (IPA) が提供する安全なウェブサイト運営入門には、セーブデータの読み込み処理に起因する OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性 [2024/03/22 13:00] JVNVU#98188101: Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性 [2024/03/22 13:00] JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性 [2024/03/22 11:00] JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/0
概要 IPA(独立行政法人 情報処理推進機構)及びJPCERTコーディネーションセンターでは、情報セキュリティ早期警戒パートナーシップに基づいて届出られたソフトウェア製品の製品開発者、またはその関係者からのご連絡を求めています。 調査対象 情報セキュリティ早期警戒パートナーシップに基づいて届けられたソフトウェア製品で、インターネット等から入手し得る情報では連絡が取れない、以下の一覧に掲載されている製品開発者、またはその関係者が調査対象です。
MyJVN - MyJVN バージョンチェッカ
■MyJVNバージョンチェッカ JRE版の公開終了のお知らせ 2019年1月16日をもって以下のツールの公開を終了致しました。 MyJVNバージョンチェッカ JRE版(オンライン) MyJVNバージョンチェッカ JRE版(コマンドライン) MyJVNバージョンチェッカ JRE版(オフライン) MyJVNバージョンチェッカ JRE版(オンライン、コマンドライン)をご利用の方は、同等の機能を持つ「MyJVNバージョンチェッカ .NET Framework版」への移行をお願いします。 MyJVNバージョンチェッカ JRE版(オフライン)をご利用の方は、利用の停止をお願いします。 更新履歴 2019年01月16日 MyJVNバージョンチェッカ JRE版の公開終了. 2018年04月25日 対象ソフトウェア製品から対象外製品を削除(QuickTime). 2018年02月21日 Windows XP
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
脆弱性対策情報共有フレームワーク - MyJVN
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
情報処理推進機構(IPA)とJPCERT/CC(JPCERTコーディネーションセンター)が共同で運営する情報セキュリティ関連サイト「JVN(Japan Vulnerability Notes)」は2012年9月27日、2012年第3四半期の「連絡不能開発者一覧」を公表した。 JVNでは一般に流通するソフトウエアに情報セキュリティ上の問題(脆弱性)がある疑いがある場合、開発者と連絡を取りながら、問題解決のための方策を探る。開発者自身がソフトウエアを更新することで脆弱性が解消されるケースも多い。ところが、電子メールや郵便、電話などの手段を使っても連絡が取れない場合、スムーズな対応が困難になる。このため、開発者名や製品名を公表して、広く情報を募る。 2012年第3四半期は、開発者名の新たな公表はなかった。一方で前四半期に開発者名のみ公表した2人について、この四半期の間に連絡が取れなかった。このた
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
高木浩光@自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
■ はじめに 「△△製のソフトウェア××に脆弱性が発見された」というニュースが連日のようにネットの上を行き交っています。 このブログの読者にはプログラム開発者の方も多いと思いますが、 自分の携わるソフトウェアの脆弱性を第三者から指摘された経験のある方はどのくらいおられるでしょう? 先日、筆者は「HttpLogger」というフリーソフトウェアのセキュリティホールを修正しました。 そのきっかけとなったのはJPCERT/CC(有限責任中間法人 JPCERT コーディネーションセンター)様から届いた 一通のメールでした。 それから私は同センターと連携し、10日余りの準備期間を経て修正ずみのモジュールの公開と 旧バージョンにおける脆弱性情報の開示を行いました。 この「脆弱性情報ハンドリング」と呼ばれるプロセスに関わったことは、一般的な知名度とは裏腹に 普段あまり身近な存在ではない「JPCERT/CC
JVN#48443978: a-blog cms におけるディレクトリトラバーサルの脆弱性 [2024/03/08 12:00] JVNVU#91793178: Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性 [2024/03/08 10:00] JVN#54451757: SKYSEA Client View における複数の脆弱性 [2024/03/07 15:30] JVNVU#95852116: オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性 [2024/03/07 13:00] JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性 [2024/03/06 16:30] JVN#82749078: ブラザー製 W
誰(どの組織)が書いたか不明(JVN編集者が書いているようにも読めなくもない)なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。 それ書いたの僕なわけですが。 マニュアルとか、フォームのそばにある説明を見ても「CERT/CCへの情報提供(任意)」だっけかな、そんな一文が書いてるだけで何を書いたらいいか分からないのですよ。そこに書いて欲しい具体的な内容があるなら具体的にどういうことを書くかとか、そういうのがないと分からないですね。 あと、このシステムの位置づけというのがいまいち理解できてなかったり。(もちろん、脆弱性情報を安全な経路で教えていただけるのは大変ありがたいことです。 ) それを修正した後に僕らが JVN のシステムを使って決められたフォーマットであれやこれを入力するのは何かしらの義務なんで
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
本資料は、JVNで公表した「JVN#74294680:『Winny』におけるバッファオーバーフローの脆弱性」について解説するものです。 「Winny(ウィニー)」はインターネットを利用して、不特定多数のユーザ間でファイルを交換できるソフトウェアです。不特定多数の個人間で、サーバを介さずに、直接データのやり取りを行います。 「Winny」には通信処理にバッファオーバーフローの脆弱性があります。遠隔の第三者によるソフトウェアの動作停止の可能性があるのみならず、一般的に、バッファオーバーフローの脆弱性は、任意の命令を実行される可能性があります。 開発者による修正方法は公表されていませんので、回避方法は「Winny利用の中止」となります。 最新情報は、JVN#74294680 を参照してください。
JVN iPedia
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
今日の出来事(Jun, 2010)
現在 VMware 上のゲスト linux の中でメイン使用しているのは Ubuntu 9.04 なのですが, 気付いたら あと 3 月ほどでサポート期間が終了する状況となっていました。 結果論としては LTS である 8.04 から さっさと上げてしまったことが敗北点ということになります。 その時点では解っているつもりで上げたわけですけれど。(笑) それはともかく, サポートが切れる以上版を上げないといけないわけですが, 幸いと言いますか VMware 7.1 が 10.04 LTS に対応しましたので, 10.04 をインストールすることにしました。 そうと決まれば, あとは iso イメージを落とし それを使ってインストールして, パッケージを最新のものへ上げて最後に wine をインストール…と, サクッと環境が整いました。 新からのインストールだと楽ちんですね。 データーは全部ホ
公開: 2010年6月11日0時55分頃 「UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける (slashdot.jp)」というお話が。ネタ元はUNLHA32.DLLの作者であるmiccoさんの日記のようですが……。 「『LZH 書庫なんて知らねぇ~よ』という態度」と解釈したのは, ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」, JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合:JVNVU#545953。) と何が異なるのか?』といった質問に対して未回答だった」, といった経緯からです。 以上、http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100
Elbereth曰く、"JVNにて、gzipの脆弱性についていくつか報告があがっています。 JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性 JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性 JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性 JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性 JVNVU#381508: gzip の make_table() の配列処理における脆弱性 2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるも
脆弱性情報データベース - Wikipedia
脆弱性情報データベース(ぜいじゃくせいじょうほうデータベース)とは、脆弱性に関する情報をデータベース化し、広く一般に公開するためのプラットフォームである。 概要[編集] 脆弱性(情報)データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。 このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール(SATAN(Security Administrator's Tool for Analyzing Network)やSAINT(Security Administrator's Integrated Net
Hey look! It's a pragmatic language for the JVM... A simple JVM language. Gosu was designed with **Java** developers in mind by providing a set of features that allows them to be more productive without sacrificing the benefits of Java's simplicity and type-safety. Features: - Open Type System - Advanced type inference - Program files (mix statements, functions, and classes at the same level) - St
IPの実装におけるサービス運用妨害(DoS)の脆弱性について ヤマハルーターシリーズのIPの実装に脆弱性が存在することが分かりました。対象となる機種及び対策方法につきましては下記をご確認いただき、必要な場合には対策を行ってください。 脆弱性とその概要 JVN#55714408 ヤマハルーターシリーズのInternet Protocol (IP) の実装には、不正なIPヘッダオプションを処理することに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 IPヘッダの特定箇所に不正な値が挿入されていると不正なメモリ領域を参照してしまうため、場合によってはリブートすることがあります。 なお本脆弱性は、ルーターに直結されたPCからの攻撃に対しては成立する可能性がありますが、インターネット経由での攻撃に対して成立する可能性は低いと判断しております。具体的な理由につきましては「インターネット経
SSH(Secure Shell)は、ネットワークを介してインターネット上に置かれているサーバにログインしたり、 コマンドを実行したりするためのプログラムおよび通信プロトコルで、データは暗号化された状態で通信が行なわれます。 SSH で使用される通信方式の一部に対する攻撃方法が報告されています。 報告された攻撃方法では、SSH がデフォルトで使用する通信方式において、ひとつの暗号化ブロックから 32 ビットの平文を取り出すことができるとされています。 この攻撃が行なわれると、SSH セッションが切れることがあります。RFC 4251 では、通信エラーが発生した際再接続すべきとされているため、自動的に再接続する実装の場合、攻撃による影響が大きくなる可能性があります。
Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、脆弱性が存在します。 Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォース攻撃が容易になる問題が存在します。 また、複数の無線ルータにおいては、ブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になっています。 (2012年1月6日 - 追記) JPCERT/CC では、攻撃ツールが公開されていることを確認しています。
はじめに 藤本です。 のんのんびよりは二周目でも癒やされます。 概要 みなさん、ソフトウェアの脆弱性対応をどのように取り組んでいますか? ソフトウェアの多くには潜在的なバグが内在していて、そのバグ、脆弱性を利用されることでシステムが停止したり、情報を漏洩したり、最悪、システムが乗っ取られると言った様々なリスクを抱えています。これらのバグ、脆弱性の情報は様々な組織が運営する脆弱性情報データベースにより公開されることで私達は情報を知ることができます。ただ、脆弱性情報は多くのソフトウェアで小さいものから大きいものまであり、過去3ヶ月で1,790件(NVD検索結果)が報告されています。このように日々報告される情報から必要な情報を探すのは大変な労力を要します。 脆弱性データベース 有名な脆弱性データベースは以下のようなものがあります。 CVE(Common Vulnerabilities and E
JVN iPedia - 脆弱性対策情報データベース
集計期間:2024/02/25 - 2024/03/02 JVNDB-2024-002843 「マイクロソフトの Microsoft 365 Apps および Office におけるリモートでコードを実行される脆弱性」 JVNDB-2024-002839 「マイクロソフトの複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性」 JVNDB-2024-002860 「複数のフォーティネット製品における書式文字列に関する脆弱性」
glibc ライブラリにはバッファオーバーフローの脆弱性 (CWE-788) があります。細工したホスト名を gethostbyname などの関数の引数に渡すことにより、バッファオーバーフローが発生します。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 glibc の開発元では、バージョン 2.18 で修正されています。また、Linux ディストリビューションによっては、影響を受けるバージョンの glibc に対して対策を行ったパッケージを提供している場合があります。詳細は、各ディストリビューションが提供する情報を参照してください。
Redmine は、プロジェクト管理ソフトウェアです。Redmine には、URL パラメータのチェックが不十分なため、結果としてオープンリダイレクトの脆弱性が存在します。 Redmine へのログイン時に、任意のウェブサイトにリダイレクトされる可能性があります。結果として、ユーザがフィッシング詐欺などの被害に遭う可能性があります。
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Japan Vulnerability Notes
JVNVU#95417700: 複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性
Japan Vulnerability Notes
Japan Vulnerability Notes/連絡不能開発者一覧
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
作者に連絡がつかず脆弱性が放置されているソフト一覧の最新版、JVNが公表
JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性
バグハント入門 (OSS編) - blog of morioka12
JPCERT/CCとの「脆弱性情報ハンドリング」の記録 : DSAS開発者の部屋
Japan Vulnerability Notes
JVN のシステムの話 - naoyaのはてなダイアリー
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
脆弱性関連情報取扱い:脆弱性関連情報の調査結果:IPA 独立行政法人 情報処理推進機構
JPCERT/CC、連絡のとれない開発者の製品に関する脆弱性情報の公表を開始
IPA、「QuickTime for Windows」のアンインストールを推奨
ルーターの管理画面にクリックジャッキングの脆弱性、ヤマハやバッファロー、アイ・オー・データなど該当製品あり
IPAのせいでUNLHA32.DLLが開発停止、の誤解 | 水無月ばけらのえび日記
スラッシュドット ジャパン | gzipに複数の脆弱性〜LHAにも関連あり?
The Gosu Programming Language
FAQ for YAMAHA Router Series / Security
CPNI-957037: SSH 通信において一部データが漏えいする可能性
IPA、インストールしているソフトが最新版かチェックするツール
連絡不能開発者一覧
JVNVU#723755: Wi-Fi Protected Setup に脆弱性
MyJVN APIを利用した脆弱性情報収集 | DevelopersIO
JVNVU#99234709: glibc ライブラリにバッファオーバーフローの脆弱性
Flash Playerの脆弱性対策情報、今年は9月時点で190件、すでに昨年1年間の2.5倍
JVN#93004610: Redmine におけるオープンリダイレクトの脆弱性
脆弱性情報サイト「JVN」が実施したアンケートのCGIに脆弱性が指摘される