About Dependabot security updates - GitHub Docs
Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.
Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
Amazon Virtual Private Cloud launches new security group sharing features - AWS
AWS now makes it easier to manage your security groups with new security group sharing features. You can now associate a security group with multiple VPCs in the same account using Security Group VPC Associations. When using shared VPC, you can now also share security groups with participant accounts in that shared VPC using Shared Security Groups. This feature improves security group consistency
VSCode extensions with 9 million installs pulled over security risks
HomeNewsSecurityVSCode extensions with 9 million installs pulled over security risks Microsoft has removed two popular VSCode extensions, 'Material Theme – Free' and 'Material Theme Icons – Free,' from the Visual Studio Marketplace for allegedly containing malicious code. The two extensions are very popular, having been downloaded nearly 9 million times in total, with users now receiving alerts i
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects | OpenJS Foundation
CommunityOpen Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects Posted On: April 15, 2024XZ Utils cyberattack likely not an isolated incident By: Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094)
Plasma is Back!! Intmaxが実現する「真のL2」とは?|Web3 Security Mag | Coincheck
{{article.title}} {{$filters.date(article.date, 'YYYY/MM/dd HH:mm')}} View all notifications
Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0)
Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries
【セキュリティ ニュース】委託先が研修受講者リストをメールで誤送信 - 大阪市(1ページ目 / 全1ページ):Security NEXT
大阪市は、研修受講者に受講票をメール送信する際、誤って研修受講者の個人情報含むリストを添付して送信するミスがあったことを明らかにした。 同市によれば、9月18日に委託先の東住吉区中野地域包括支援センターが、研修受講者25人に表計算ソフトで作成された受講票をメールで送信する際、2023年度の研修受講者の個人情報が記載されているリストを誤って添付して送信するミスがあったという。 翌19日に受信者から連絡があり誤送信が判明。問題のリストには、研修受講者41人分の氏名、電話番号、メールアドレス、資格、介護支援専門員登録番号が記載されていた。 同市では、誤送信先となった研修受講者にメールの削除を依頼。リストに記載されていた研修受講者には、事情の説明と謝罪を行っている。 (Security NEXT - 2024/09/30 ) ツイート
Hackers may have leaked the Social Security Numbers of every American
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
New AWS Security Incident Response helps organizations respond to and recover from security events | Amazon Web Services
AWS News Blog New AWS Security Incident Response helps organizations respond to and recover from security events Today, we announce AWS Security Incident Response, a new service designed to help organizations manage security events quickly and effectively. The service is purpose-built to help customers prepare for, respond to, and recover from various security events, including account takeovers,
ここでは日本語でAWSセキュリティを学習するためのコンテンツをまとめます。AWSの学習コンテンツなどは日本語対応しているものもある一方で、その翻訳やコンテンツ自体のクオリティから理解しづらいものもあります。本ページでは特に日本語での学習に向いているコンテンツを、その評価とともにまとめます。 AWS初心者の方はAWS初心者向けページページからお読みください。メインコンテンツ以外のその他参考情報もご活用ください。 初心者が最初に利用するコンテンツ AWSそのものと、そのセキュリティの基礎を学習できる無料の手厚いコンテンツです。「ところどころかじった知識しかないので体系的に学びたい」「ある程度理解はできているつもりだが、チームメンバーや後輩に説明できるくらい適切に理解したい」等の場合にも、このコンテンツから着手するといいです。 AWS Cloud Practitioner Essentials
Are you content with our current attacks on Content-Type?
GitHub - Shuffle/Shuffle: Shuffle: A general purpose security automation platform. Our focus is on collaboration and resource sharing.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【セキュリティ ニュース】情報公開で混乱招いた「FortiSIEM」の深刻な脆弱性 - PoCが公開に(1ページ目 / 全2ページ):Security NEXT
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
【セキュリティ ニュース】MS 365アカウントに不正アクセス、個人情報流出の可能性 - セガ子会社(1ページ目 / 全1ページ):Security NEXT
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
【セキュリティ ニュース】8割超のランサム攻撃がVPNやRDP経由 - 警察庁が注意喚起(1ページ目 / 全1ページ):Security NEXT
警察庁は、ランサムウェアによる被害が引き続き多数発生しているとして注意喚起を行った。特にVPN機器などを経由した攻撃が目立っている。 2023年度の被害調査で有効回答があった115件において、63.4%が脆弱な「VPN」環境が侵入経路だったと指摘。VPN機器における脆弱性や、外部へ流出したアカウント情報が悪用されるなど、脆弱な認証情報が標的になっているとし、あらためて注意を呼びかけた。 一方18.3%は、リモートデスクトップが標的となっている。VPN機器とあわせると81.7%にのぼった。 同庁では、OSなどソフトウェアを最新の状態に保ち、VPN機器についても更新を行うよう注意を喚起。認証情報の適切な管理や、オフラインバックアップの実施など、基本的な対策の徹底を求めた。 またランサムウェアの被害に遭い、データを暗号化された場合は、感染端末をネットワークから隔離して電源を切り、再起動は「厳禁」
【合格体験記】AWS Certified Security - Specialty(SCS-C02) - APC 技術ブログ
はじめに 筆者について SCSについて 学習期間 使用教材 学習方法 試験本番について 感想 おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 先日AWS Certified Security - Specialty(SCS-C02)を受験し、合格しました! 体験記として、勉強方法や感想をまとめておきたいと思います。 筆者について AWS実務経験は2年半ほど CLF、SAA、SOA、SAPを取得済み SCSについて SCSの試験概要 下記公式ページにまとまっていますのでご参照ください。 aws.amazon.com SCSの試験範囲 公式の試験ガイドがわかりやすいです。 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-S
2025年4月、国立感染症研究所(NIID)と国立国際医療研究センター(NCGM)が統合し、「国立健康危機管理研究機構(JIHS)」が発足しました。
Apple pulls data protection tool after UK government security row
Apple pulls data protection tool after UK government security row Apple is taking the unprecedented step of removing its highest level data security tool from customers in the UK, after the government demanded access to user data. Advanced Data Protection (ADP) means only account holders can view items such as photos or documents they have stored online through a process known as end-to-end encryp
Subaru Security Flaws Exposed Its System for Tracking Millions of Cars
About a year ago, security researcher Sam Curry bought his mother a Subaru, on the condition that, at some point in the near future, she let him hack it. It took Curry until last November, when he was home for Thanksgiving, to begin examining the 2023 Impreza's internet-connected features and start looking for ways to exploit them. Sure enough, he and a researcher working with him online, Shubham
2024年12月13日に開催された「カヤック・アンドパッド 合同 プロポーザル供養会」の発表資料です。 クラウドセキュリティを再吟味するために〜実例から学ぶ、考慮すべき観点とその対策事例〜 - connpass https://findy.connpass.com/event/337675/ …
Boost Productivity and Security with the New Chrome Web Store for Enterprises | Google Cloud Blog
Learn more about Chrome Enterprise CorePowerful and flexible management capabilities both in the cloud and on premises, at no additional cost. Learn more Employees love Chrome extensions because they boost productivity, streamline workflows and let them customize their browser. Chrome already helps IT and security teams manage and control extensions, and we’re excited to announce powerful new feat
Pete Hegseth, Mike Waltz, Tulsi Gabbard: Private Data and Passwords of Senior U.S. Security Officials Found Online
$swiper.update(), 300);},close() {this.isOpen = false;setTimeout(() => $swiper.update(), 300);}}" @keyup.escape="if (!$event.defaultPrevented) {$event.preventDefault();close();$focus($refs.toggle);}" @mousedown.outside="close()" :class="{'lg:w-4/12': isOpen,'md:w-5/12': isOpen,}">
【セキュリティ ニュース】施工現場のNASに設定ミス、情報が外部流出 - 大和ハウス工業(1ページ目 / 全2ページ):Security NEXT
大和ハウス工業は、ネットワーク対応ストレージ(NAS)の設定不備により、一部顧客情報がインターネットからアクセスでき、流出したことを明らかにした。 同社によれば、同社が施工する物件の仮設現場事務所内で使用していた「NAS」に設定不備があったもの。顧客情報を含むプロジェクト情報の一部が外部からアクセス可能だった。 具体的には、集合住宅事業部門の一部工事現場に関する情報で、図面や工事概要書、工程表、施工計画書、竣工検査報告書、発注先リストなどとしている。 個人情報としては、物件名称に含まれる施主の氏名約5500件、取引先担当者の氏名や作業員に関する情報など約8300件が含まれる。 そのほか、近隣住民説明会の参加者の氏名約50件、物件に関係する施主の氏名、工事関係資料など36件なども対象としている。
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Foundation
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects XZ Utils cyberattack likely not an isolated incident By Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated incident as
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
本レポートでは、2024年6月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年6月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は390件であり、1日あたりの平均件数は13.00件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,228万ppsのパケットによって110.88Gbps
【セキュリティ ニュース】検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県(1ページ目 / 全1ページ):Security NEXT
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
【セキュリティ ニュース】「BIND 9」にアップデート - DoS脆弱性4件を修正(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
マルチアカウント環境における全アカウント・全リージョンのSecurity Hubセキュリティ基準を一括集計して確認してみた | DevelopersIO
マルチアカウント環境における全アカウント・全リージョンのSecurity Hubセキュリティ基準を一括集計して確認してみた はじめに マルチアカウント環境において、全アカウント・全リージョンのSecurity Hubセキュリティ基準の有効化状況を一括で集計し、確認する方法をご紹介します。 マルチアカウント環境では、アカウントごとに有効化するセキュリティ基準が異なる場合、各アカウントで意図したセキュリティ基準が正しく有効化されているかを確認したり、 Security Hubの中央設定を利用していない場合、全アカウントで特定のセキュリティ基準が有効化されているかを確認したいケースがあります。 このような場合、効率的に全アカウントのセキュリティ基準の有効化状況を確認するには、管理アカウントから一括で情報を収集し、集計する方法が有効です。本記事では、その具体的な手順を解説します。 実施手順の概要は
【セキュリティ ニュース】「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を(1ページ目 / 全1ページ):Security NEXT
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
GitHub - google/vanir: Vanir is a source code-based static analysis tool that automatically identifies the list of missing security patches in the target system. By default, Vanir pulls up-to-date CVEs from Open Source Vulnerabilities (OSV) together with
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【セキュリティ ニュース】石光商事のランサム被害、SIM搭載PC経由でサーバを侵害(1ページ目 / 全2ページ):Security NEXT
コーヒーの輸入販売をはじめ、食品事業を手がける石光商事は、同社国内グループ会社のサーバがランサムウェアの被害を受けた問題で、対応状況を明らかにした。データ流出の痕跡が確認されたものの、個人情報は含まれていないとしている。 同社やグループ会社である東京アライドコーヒーロースターズ、関西アライドコーヒーロースターズ、ユーエスフーズで利用している一部サーバーが外部よりサイバー攻撃を受けたもの。ランサムウェアによってサーバ内に保存されていたファイルを暗号化された。 同社は9月20日に事態を公表。個人情報保護委員会へ報告するとともに警察へ相談、外部協力のもと、原因や影響範囲の調査や復旧作業を進めていた。 同社によると、SIMカードを搭載するノートパソコンがリモートデスクトップ接続を介した攻撃を受け、同端末経由でグループで利用するサーバにアクセス。データの暗号化が行われたと見られている。 攻撃を通じて
【Security Hub修復手順】[Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.2] Amazon Inspector ECRスキャンを有効にする必要があります [Inspector.2] Amazon Inspector ECR scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コントロールの説明 本コントロールは、Amazon Inspector ECRスキャンが有効になって
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
Sustaining Digital Certificate Security - Entrust Certificate Distrust
The latest news and insights from Google on security and safety on the Internet
【セキュリティ ニュース】「FortiOS」に3件の脆弱性 - アップデートにて修正(1ページ目 / 全2ページ):Security NEXT
Fortinetのアプライアンス製品にOSとして搭載されている「FortiOS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において3件の脆弱性が明らかとなったもの。「CVE-2023-41677」は、管理者の「Cookie」が漏洩する脆弱性。認証情報の保護が不十分であり、管理者をだまして「SSL VPN」経由で細工したサイトにアクセスさせることで、「Cookie」を取得されるおそれがあるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。同脆弱性については「FortiProxy」も影響を受ける。 また特権を持つ場合にコマンドラインインターフェイスで任意のコードまたはコマンドを実行できる脆弱性「CVE-2023-48784」が判明。 さらに「HT
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bypassing airport security via SQL injection
mini Security-JAWS Docs
Flatt Security XSS Challenge 解答・解説
国立健康危機管理研究機構(Japan Institute for Health Security:JIHS)
Niishi Kubo | GitLab,Limeboard on X: "クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy https://t.co/AJuYi6Xr7k"
マルチプロダクト開発の現場でAWS Security Hubを1年以上運用して得た教訓
Modern Approaches to Network Access Security | CISA
wizSafe Security Signal 2024年6月 観測レポート
Ukraine Front Line on X: "The Budepest Memorandum signed by the U.S. in 1994 as security guarantees for Ukraine disappeared from the @WhiteHouse website. F#ck Trump! https://t.co/eopyHAhpek"