最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this vulnerability is CVE-2024-6387. The vulnerability, which is a signal handler race condition in OpenSSH’s server (sshd), allows unauthenticated remote code execution (RCE) as root on glibc-based Linux systems;
本記事は AWSアワード記念!夏のアドベントカレンダー 4日目の記事です。 🎆🏆 3日目 ▶▶ 本記事 ▶▶ 5日目 🏆🎆 はじめに AWS Security Hubとは AWS Security Hubに情報を集約 AWS Security Hubから情報を受け取る AWS Security Hub導入における課題 どのように統制を効かせていくのか AWS Security Hubを有効化していないリージョンの設定 AWS Security Hubを導入した場合の組織構成 リージョンを切り替えて検知内容を確認することで負担が増加している AWS Security Hubの運用における課題 検知後のアクションにどのように繋げていくのか 通知が飛びすぎて重要検知を見逃してしまう ケースに応じた検知の変更をしたい Security Hub オートメーションルール Security Hu
【セキュリティ ニュース】OpenSSHの「regreSSHion」レビュー時にあらたな脆弱性見つかる(1ページ目 / 全1ページ):Security NEXT
OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」を調査する過程で発見され、調整を経て現地時間7月8日に公表された。 「CVE-2024-6387」と同じくシグナルハンドリングの競合状態に関する脆弱性としており、非同期に安全ではない関数が呼び出されるおそれがある。「CVE-2024-6387」に比べて権限が低い子プロセスで引き起こされる問題とし、発見者は即時に大きな影響を与えるものではないと説明している。 CVE番号を採番したRed Hatでは共
【セキュリティ ニュース】WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因(1ページ目 / 全1ページ):Security NEXT
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。 他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたという。 攻撃者はこれら侵害したアカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生した。 同問題を受けてWordPress.orgでは、プラグイン所有者
Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co.
You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way. This is such an enormous attack vector for all organizations that use GitHub that we’re introducing a new term: Cross Fork Object Reference (CFOR). A CFOR vulnerability occurs when one repository fork can ac
This document is distributed as TLP:CLEAR. Disclosure is not limited. Sources may use TLP:CLEAR when information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. Subject to standard copyright rules. TLP:CLEAR information may be distributed without restrictions. For more information on the Traffic Light Protocol, see cisa.gov/t
OpenSSHの脆弱性(regreSSHion: CVE-2024-6387)と9.8リリース - SIOS SECURITY BLOG
07/01/2024にOpenSSHの脆弱性(regreSSHion: CVE-2024-6387)が公開され、OpenSSH 9.8がリリースされました。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 [過去関連リンク(最新5件)] 【悪用に条件あり】OpenSSH(ssh-agent)のリモートコード実行の脆弱性(Important: CVE-2023-38408)とOpenSSH 9.3p2 OpenSSHの脆弱性(CVE-2023-28531)と新バージョン(OpenSSH 9.3) OpenSSHの脆弱性(CVE-2023-25136) OpenSSHのssh-agentの脆弱性情報(CVE-2021-28041)と新バージョン(OpenSSH 8.5)のリリース OpenSSHの脆弱性情報(Important: CVE-2021-41617)と、
集英社のクリエイティビティを守るため、Microsoft 365 E5 とMicrosoft Copilot for Security で、ゼロトラストセキュリティ + AIを活用した最新のセキュリティ環境を実現
Microsoft customer stories See how Microsoft tools help companies run their business.
Developer Productivity室の @uncle__ko です。 サイバー攻撃のニュースなどが盛り上がり、セキュリティについて取り沙汰されることが多い昨今。 開発生産性においてもセキュリティ対策はとても重要です。 今回は開発生産性とSecurity Shift Leftについてまとめようかと思います。 DORAの定義するCapabilitiesにおけるSecurityFourkeysなどを提唱しているDORA(DevOps Research and Assessment)が、組織がソフトウェアの提供と組織のパフォーマンスの向上を促進するためにもつべきものを定義していたりします DORA | CapabilitiesDORA is a long running research program that seeks to understand the capabilities
【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります | DevelopersIO
AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Macie.2] Macie 自動機密データ検出を有効にする必要があります [Macie.2] Macie automated sensitive data discovery should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コント
![【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad9624ef3c3eec726d644036ee7ce06f3a9792ac/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-e71a738589e583b65670923628e8b6f4%2F45568b9fd457506bd2f3d6fd304d4b6a%2Faws-security-hub)
ここでは私が実践した資産拡大の方法(の一部)を紹介します。 再現性は低いかも知れませんので、参考程度に読んでください。 まだ概要を書いただけなので、徐々に詳細に、そしてわかりやすい説明にしたいと思っています。 まずは自己投資しつつ元本確保で FIREのために資産を増やすためには、次の3つしかありません。 ①収入を増やす。 ②支出を減らす。 ③運用の利益を上げる。 最初は①と②に重点を置く ①と②は当たり前に感じられるかもしれません。資産をバケツに貯まる水として例えてみます。蛇口から出る水が収入で、バケツの穴が支出に対応します。いくら蛇口から勢いよく水が出ても、穴が大きければ、貯まりません。逆に出る水が少なくても、穴が小さければ、どんどん貯まります。 まずはよいお金の習慣をつける必要があり、そのためには①と②に重点を置く必要があります。この段階において③はあまり考える必要はありません。 ①を
Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0)
Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Sustaining Digital Certificate Security - Entrust Certificate Distrust
The latest news and insights from Google on security and safety on the Internet
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
Bytecode Breakdown: Unraveling Factorio's Lua Security Flaws
Dynamic languages are safe from memory corruptions bugs, right? 29/06/2024 Research Pwn Lua Some months ago I exploited a vulnerability in the Lua implementation of Factorio that allowed a malicious server to obtain arbitrary execution on clients. As the vulnerability has been patched for months already (Factorio versions below 1.1.101 are affected), is time to share the details with the community
【セキュリティ ニュース】「BIND 9」の脆弱性、関連機関がアップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT
「BIND 9」に複数の脆弱性が明らかとなった問題を受け、関連機関からもアップデートが強く推奨されている。 重要度が「高(High)」とされるサービス拒否の脆弱性「CVE-2024-0760」「CVE-2024-1737」「CVE-2024-1975」「CVE-2024-4076」が判明。 Internet Systems Consortium(ISC)では、これら脆弱性を解消したアップデート「同9.20.0」「同9.18.28」をリリースした。 日本レジストリサービス(JPRS)では、いずれの脆弱性も「緊急」としており、「権威DNSサーバ」「キャッシュDNSサーバ」のいずれもアップデートを強く推奨している。 またアップデートがリリースされたことを受け、日本ネットワークインフォメーションセンター(JPNIC)や、JPCERTコーディネーションセンターなども情報提供を行っている。 (Secu
oss-security - Re: CVE-2024-6387: RCE in OpenSSH's server, on glibc-based Linux systems
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [<thread-prev] [thread-next>] [day] [month] [year] [list] Date: Mon, 8 Jul 2024 18:21:06 +0200 From: Solar Designer <solar@...nwall.com> To: oss-security@...ts.openwall.com Cc: Qualys Security Advisory <qsa@...lys.com> Subject: Re: CVE-2024-6387: RCE in OpenSSH's server, on glibc-based Linux systems Hi, Today
【セキュリティ ニュース】セキュリティベンダーも脆弱性「regreSSHion」の影響を調査(1ページ目 / 全1ページ):Security NEXT
「OpenSSH」に別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」が明らかとなった問題で、同脆弱性の影響についてセキュリティベンダーからもアナウンスが行われている。 Palo Alto Networksでは、同社ファイアウォール製品が搭載する「PAN-OS」について、「CVE-2024-6387」の影響を受けないと説明。ソフトウェアのアップデートなどは必要ないとしている。 一方SonicWallでは、同社のファイアウォールやウェブアプリケーションファイアウォール(WAF)、メールセキュリティ製品、リモートアクセス製品などにおいて脆弱性の影響を調査中であるとアナウンスしている。 (Security NEXT - 2024/07/02 ) ツイート
【セキュリティ ニュース】ドメインやホスティングが停止すると不安煽るフィッシングに警戒を(1ページ目 / 全1ページ):Security NEXT
ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット
GitHub - Shuffle/Shuffle: Shuffle: A general purpose security automation platform. Our focus is on collaboration and resource sharing.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【セキュリティ ニュース】システムの仕様を知らずメール誤送信が発生 - 東京都福祉保健財団(1ページ目 / 全1ページ):Security NEXT
東京都福祉保健財団は、研修受講者へメールを送信した際、メールアドレスが流出したことを明らかにした。 同財団によれば、7月8日に担当者が研修受講者472人にメールを送信した際、メールアドレスが宛先として設定され、流出したもの。 メール送信にあたり、研修で使用するシステムの「お知らせ機能」にあった「メール送信機能」をはじめて使用。他担当者の確認を経て案内メールを送信したものの、「お知らせ」機能は宛先欄にメールアドレスを挿入するしくみだった。 流出後にシステム会社に確認したことで宛先にメールアドレスが設定される仕様であることを把握したという。 同財団では、対象となる受信者に謝罪。誤送信したメールの削除を依頼した。研修時にあらためて謝罪を行っている。 今回の問題を受けて、今回利用した送信機能を廃止。他機能に関してもセキュリティ上のリスクがないか検証するとしている。 (Security NEXT -
【セキュリティ ニュース】「Joomla」にセキュリティアップデート - XSS脆弱性を修正(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)である「Joomla」の開発チームは、複数の脆弱性を解消したセキュリティアップデートをリリースした。 現地時間7月9日に、脆弱性5件やバグへ対処した「同5.1.2」「同4.4.6」をリリースしたもの。 今回判明した脆弱性は、いずれもコア部分におけるクロスサイトスクリプティング(XSS)の脆弱性としており、2月から6月にかけて報告を受けたという。 重要度を見ると、「CVE-2024-21729」「CVE-2024-21731」「CVE-2024-26278」「CVE-2024-26279」の4件については、4段階中、上から3番目にあたる「中(Moderate)」とし、「CVE-2024-21730」は1段階低い「低(Low)」とした。 (Security NEXT - 2024/07/12 ) ツイート
【セキュリティ ニュース】MS、クラウドの脆弱性にCVE番号を発行 - 透明性確保を目指す(1ページ目 / 全2ページ):Security NEXT
マイクロソフトは、同社クラウドサービスにおいて重大な脆弱性が発見され、修正した場合にCVE番号を採番する試みを開始した。透明性の確保が目的としている。 クラウドサービスに脆弱性が判明した場合も、クラウド側だけの対応で完結し、利用者側でパッチや緩和策の実施など、アクションを必要としないケースでは、同社に限らずこれまでの慣例で、積極的に情報開示が行われてこなかった。 同社はクラウドサービスが必要不可欠となるなか、透明性の確保が求められていると説明。利用者側における対応が不要とされる場合であっても、クラウドサービスに重大な脆弱性が見つかった場合にはCVE番号を発行することにしたという。 脆弱性の公表を受けて特に利用者がアクションを講じる必要はないが、情報共有を通じて同社やパートナーにおける学習、さらなる改善を促し、重要インフラの安全性、レジリエンスの向上を目指すとしている。 早速同社では、現地時
【セキュリティ ニュース】「BIND 9」にアップデート - DoS脆弱性4件を修正(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
【セキュリティ ニュース】20周年記念事業の参加者宛メールで複数誤送信 - 太田市(1ページ目 / 全1ページ):Security NEXT
群馬県太田市は、メールの送信ミスで太田市20周年記念事業の参加者に関する氏名とメールアドレスが流出したことを明らかにした。 同市によれば、6月21日19時ごろ、2025年3月9日に開催を予定している「太田市20周年記念事業群馬交響楽団と20周年記念合唱団第九コンサート」の合唱参加者5人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態で誤送信したもの。 送信直後に問題に気づき、対象者に電話で連絡し。誤送信したメールの削除を依頼した。 また7月1日にも合唱参加者128人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態が発生した。 翌2日にメールの受信者から誤送信を指摘する連絡があり判明。同市では対象者に経緯の報告と謝罪を行い、誤送信したメールを削除するよう求めた。 (Security NEXT - 2024/07/09 ) ツイート
【セキュリティ ニュース】複数のCitrix製品に「クリティカル」とされる脆弱性 - 「regreSSHion」も影響(1ページ目 / 全2ページ):Security NEXT
Cloud Software Groupは、Citrix製品に関するセキュリティアドバイザリを公開した。「クリティカル」とされる脆弱性も含まれる。「OpenSSH」の脆弱性「regreSSHion」についても一部製品が影響を受けることを明らかにし、アップデートするよう求めた。 現地時間7月9日にアドバイザリ6件を公開したもの。このうち1件については重要度をもっとも高い「クリティカル(Critical)」とレーティングしている。 同アドバイザリでは「NetScaler Console(旧Citrix ADM)」に判明した認証不備の脆弱性「CVE-2024-6235」、「NetScaler Console」「NetScaler SDX」「NetScaler Agent」において域外メモリへ書き込みが可能となる「CVE-2024-6236」に言及。 「CVE-2024-6235」については、共通
【セキュリティ ニュース】児童相談所が児童の個人情報をメール誤送信 - 栃木県(1ページ目 / 全1ページ):Security NEXT
栃木県は、医療型障害児入所施設の待機児童リストを、誤って中央児童相談所より福祉型障害児入所施設へメールで送信するミスがあったことを公表した。 同県によれば、本来ならば福祉型障害児入所施設と医療型障害児入所施設にそれぞれの入所待機児童リストを送付すべきところ、福祉型障害児入所施設4施設に対し、医療型障害児入所施設の入所待機児童リストを7月1日にメールで送信するミスがあったという。 誤送信したリストには、児童42人分の住所、生年月日、性別、障害の程度、疾病歴などが記載されていた。 翌2日にメールを受信した施設から添付ファイルが誤っているとの指摘があり判明。同日誤送信先の施設に対し、添付ファイルの削除を依頼した。また対象となる児童の保護者に対し、電話で謝罪を行っている。 (Security NEXT - 2024/07/12 ) ツイート
【セキュリティ ニュース】「PHP」の脆弱性、国内でも被害発生 - IPAが注意喚起(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、国内において6月に判明した「PHP」の脆弱性「CVE-2024-4577」を悪用した「ネットワーク貫通型攻撃」による被害が確認されているとして注意喚起を行った。 問題とされる「CVE-2024-4577」は、PHPの「CGIモジュール」において引数インジェクションが可能となる脆弱性。Windowsにおけるエンコーディング変換機能の影響によるもので、Windows環境で利用している場合に影響を受ける。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル(Critical)」とレーティングされている。現地時間6月6日にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正された。 Impervaでは、「WebShell」の設置やランサムウェア「TellYouThePass」の感染活動に悪用されたこ
【セキュリティ ニュース】「Node.js」にセキュリティアップデート - 複数脆弱性を修正(1ページ目 / 全1ページ):Security NEXT
「Node.js」の開発チームは、複数の脆弱性を解消したセキュリティアップデート「Node.js 22.4.1」「同20.15.1」「同18.20.4」をリリースした。 現地時間7月8日にセキュリティアドバイザリを公開。バージョンによって影響を受ける脆弱性は異なるが、CVEベースであわせて5件の脆弱性へ対処したことを明らかにしたもの。当初7月2日に公開が予定されていたが、2度の延期を経てリリースされた。 今回修正された脆弱性のなかでもっとも重要度が高い脆弱性は「CVE-2024-36138」。Windows環境に影響があり、4段階における重要度において、上から2番目にあたる「高(High)」とレーティングされている。 過去に判明した別名「BatBadBut」に関連する脆弱性「CVE-2024-27980」の修正が不十分でバイパスされるおそれがあることが判明した。 このほか、重要度が「中(M
【セキュリティ ニュース】写真教室参加希望者宛のメールで誤送信 - 宮城県東北歴史博物館(1ページ目 / 全1ページ):Security NEXT
宮城県は、東北歴史博物館においてメールの送信ミスがあり、写真教室の参加希望者に関するメールアドレスが流出したことを明らかにした。 同県によれば、同博物館が主催する写真教室の参加希望者19人に対し、7月9日11時50分ごろと13時半ごろの2回にわけて案内メールを送信した際、送信先を誤って宛先に設定するミスがあったもの。受信者間でメールアドレスが閲覧できる状態となった。 同日に別の職員が問題に気づいた。同博物館では対象となる関係者にメールで謝罪し、誤送信したメールの削除を依頼。電話による謝罪も行っている。 (Security NEXT - 2024/07/23 ) ツイート
Phish-Friendly Domain Registry “.top” Put on Notice – Krebs on Security
The Chinese company in charge of handing out domain names ending in “.top” has been given until mid-August 2024 to show that it has put in place systems for managing phishing reports and suspending abusive domains, or else forfeit its license to sell domains. The warning comes amid the release of new findings that .top was the most common suffix in phishing websites over the past year, second only
【セキュリティ ニュース】個人情報含む書類を市サイトに誤掲載 - 尼崎市(1ページ目 / 全1ページ):Security NEXT
兵庫県尼崎市は、産業廃棄物処理事業者の関係者に関する個人情報が記載された書類を、同市ウェブサイトに誤って掲載したことを明らかにした。 同市によれば、本来非公表である産業廃棄物処理計画実施状況報告書の提出シートを、3月28日から6月27日にかけて誤って同市ウェブサイトに掲載するミスがあったという。 事業者より指摘があり、6月27日11時半ごろ、問題が判明した。問題の書類には、61事業所の担当者に関する氏名、メールアドレス、所属、電話番号、ファックス番号のほか、一部会社印、代表者印の印影なども含まれる。 同市では、誤掲載した書類を削除。関係者に対して謝罪を行っている。 (Security NEXT - 2024/07/12 ) ツイート
【セキュリティ ニュース】「AirPods」や 「Beats Fit Pro」などに脆弱性 - アップデートを公開(1ページ目 / 全1ページ):Security NEXT
Appleは、同社イヤフォンやヘッドフォン向けにファームウェアのセキュリティアップデートをリリースした。 今回のアップデートでは、「Bluetooth」に関する脆弱性「CVE-2024-27867」を修正した。 第2世代以降の「AirPods」をはじめ、「AirPods Pro」「AirPods Max「Powerbeats Pro」「Beats Fit Pro」が影響を受ける。 以前ペアリングしたことがある機器への接続要求を行った際、要求した機器になりすましてイヤフォンやヘッドフォンへのアクセスが可能となる。 同社では、「AirPods」向けにアップデートとなるファームウェア「6A326」「6F8」、「Beats」向けに「6F8」をリリースした。 (Security NEXT - 2024/06/27 ) ツイート
【セキュリティ ニュース】不審者情報メールに被害児童の個人情報を誤記載 - 新潟市(1ページ目 / 全1ページ):Security NEXT
新潟市は、秋葉区において不審者情報提供メールに被害児童の個人情報を誤って記載し、区内保育園へ送信するミスがあったことを明らかにした。 同市によれば、6月19日に秋葉区の職員が速報として「不審者情報」を区内25の保育園にメールで送信したが、被害に遭った児童3人に関する氏名などがマスキング処理されていなかったという。 同月21日にメールを見た保育園園長から電話で連絡があり問題が判明した。同日メール送信先である保育園にメールの削除を依頼。対象者に経緯の説明と謝罪を行った。 今回の問題を受け、今後は情報提供された書類の修正、メール送信を異なる職員が担当し、ダブルチェックを徹底して再発の防止を図るとしている。 (Security NEXT - 2024/07/02 ) ツイート
【セキュリティ ニュース】監視システムに個人情報を誤保存、委託先から閲覧可能に - ファストリ(1ページ目 / 全2ページ):Security NEXT
ユニクロやジーユーを傘下に持つファーストリテイリングは、本来個人情報の取り扱いを委託していない一部委託事業者において、同社情報システム内の顧客情報を閲覧できる状態だったことを公表した。委託先とは秘密保持契約を締結しており、不正な持ち出しなどは確認されていないとしている。 同社によれば、同社サービスの稼働状況を監視するシステムにおいて、委託先が本来閲覧できないはずの個人情報を閲覧できる状態となっていたもの。 1月に判明し、同社ではアクセスを遮断して調査したところ、2023年6月以降、同社グループのオンラインストアを含む複数のサービスにおいて、一部の顧客の個人情報が同システム上へ保存される設定となっていたことがわかった。 同問題により、個人情報の取り扱いについて委託していない一部の委託業者より、同システムに保存された顧客の個人情報を閲覧できる状態にあったという。 具体的には、2023年6月から
Microsoft Patch Tuesday, July 2024 Edition – Krebs on Security
Microsoft Corp. today issued software updates to plug at least 139 security holes in various flavors of Windows and other Microsoft products. Redmond says attackers are already exploiting at least two of the vulnerabilities in active attacks against Windows users. The first Microsoft zero-day this month is CVE-2024-38080, a bug in the Windows Hyper-V component that affects Windows 11 and Windows S
【セキュリティ ニュース】ビデオ会議サービス「Zoom」に複数脆弱性 - 最新版へ更新を(1ページ目 / 全1ページ):Security NEXT
ビデオ会議サービスを提供するZoomは、セキュリティアドバイザリを公開し、同社ソフトウェアに関する8件の脆弱性に対処したことを明らかにした。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあわせてセキュリティアドバイザリを公開したもの。「Zoom Workplace」や「Zoom Apps」「SDK」に関する脆弱性8件を明らかにした。 「Zoom Apps」のWindows向けインストーラーに判明した権限昇格の脆弱性「CVE-2024-27240」については、重要度を上から2番目の「高(High)」とレーティング。のこる7件の脆弱性は1段階低い「中(Medium)」とした。 これら脆弱性は、いずれもアップデートにより修正済みとしており、最新版のソフトウェアを利用するよう求めている。今回修正された脆弱性は以下のとおり。 CVE-2024-
【セキュリティ ニュース】「Ghostscript」の脆弱性に注意 - 3月と5月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「PostScript」や「PDF」を処理するインタプリタの「Ghostscript」の脆弱性について注意が呼びかけられている。3月から5月にかけてリリースされたアップデートで修正済みだという。 現地時間3月6日にリリースされた「同10.03.0」、5月2日にリリースされた「同10.03.1」にて複数の脆弱性が修正されているとして、注意喚起が行われたもの。 5月に「同10.03.1」がリリースされた際は、「CVE」ベースで5件の脆弱性を修正したことが公表されたが、特に脆弱性の言及がなかった「同10.03.0」においても、5件の脆弱性が修正されているという。 具体的には「CVE-2024-29506」「CVE-2024-29507」「CVE-2024-29508」「CVE-2024-29509」「CVE-2024-29511」で7月に入りメーリングリストで報告された。 5月10日のアップデー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Security Hubを活用した効率的でセキュアなマルチアカウント管理 - NRIネットコムBlog
Modern Approaches to Network Access Security
開発生産性とSecurity Shift Left
ミジンコ版FIREへの道【2024年版】 | Security Akademeia【セキュリティアカデメイア】
Modern Approaches to Network Access Security | CISA