Spring WebFlux × Spring Securityで動的にOAuth 2.0クライアント情報を取得する - asoview! Tech Blog
こちらの記事は、アソビュー! Advent Calendar 2023の20日目(B面)です。 こんにちは! アソビューでバックエンドエンジニアをしている島田です。 そろそろクリスマスが近づいていますが、4歳の息子に去年は3歳で3つのプレゼントがあったから今年は4つだよね?と末恐ろしいことを言われて恐々としています... (お菓子セットで逃げようかと思います) さて本題ですが、SaaS向けシステムの新規開発を行い、その中でSpring Cloud GatewayにSpring SecurityのOAuth 2.0クライアントを実装しました。 アソビューのバックエンドシステムは、さまざまなアプリケーションで構成されており、それぞれがマイクロサービスとして運用されています。 これにより、バックエンドは分散した形態をとっていますが、外部に公開するAPIに関しては、ユーザーに対して統一感のあるイン
【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります | DevelopersIO
AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Macie.2] Macie 自動機密データ検出を有効にする必要があります [Macie.2] Macie automated sensitive data discovery should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 対象コント
![【Security Hub修復手順】[Macie.2]Macie自動機密データ検出を有効にする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad9624ef3c3eec726d644036ee7ce06f3a9792ac/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-e71a738589e583b65670923628e8b6f4%2F45568b9fd457506bd2f3d6fd304d4b6a%2Faws-security-hub)
Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption | Microsoft Security Blog
Microsoft researchers have uncovered a vulnerability in ESXi hypervisors being exploited by several ransomware operators to obtain full administrative permissions on domain-joined ESXi hypervisors. ESXi is a bare-metal hypervisor that is installed directly onto a physical server and provides direct access and control of underlying resources. ESXi hypervisors host virtual machines that may include
【セキュリティ ニュース】WP向け人気キャッシュプラグインに深刻な脆弱性 - 8月に続き再度修正(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されているプラグイン「LiteSpeed Cache」に深刻な脆弱性が明らかとなった。アップデートが呼びかけられている。 「LiteSpeed Cache for WordPress(LSCWP)」は、キャッシュやコンテンツの最適化により「WordPress」のレスポンスを向上させるプラグイン。日本語にも対応しており、「WooCommerce」「Yoast SEO」などとも互換性があるとして500万以上のサイトに導入されている。 WordPress向けにセキュリティツールを提供するPatchstackが情報を公開し、認証不備の脆弱性「CVE-2024-44000」について明らかにしたもの。管理者権限を取得されるおそれがあるという。 同プラグインに関しては、8月にも権限昇格の脆弱性「CVE-2024-28000」が明ら
2024年10月21日コンソーシアム知見集「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」公開 - Security Transparency Consortium
■2024年10月21日コンソーシアム知見集「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」 ワーキンググループ参画企業の知見を持ち寄り、知見集をまとめました。本ページで公開します。 STC-Knowledge_Collection_01_20241021_1500.pdf
Amazon Redshift announces general availability of row-level security enhancements
Amazon Redshift announces CONJUNCTION TYPE support for row-level security (RLS) policies and RLS support on standard views and late binding views, which enables you to apply granular access controls and ensure that users can only access rows that they are authorized to see, even when the underlying data evolves or user permissions change. RLS support on standard views and late binding views applie
ここでは私が実践した資産拡大の方法(の一部)を紹介します。 再現性は低いかも知れませんので、参考程度に読んでください。 まだ概要を書いただけなので、徐々に詳細に、そしてわかりやすい説明にしたいと思っています。 まずは自己投資しつつ元本確保で FIREのために資産を増やすためには、次の3つしかありません。 ①収入を増やす。 ②支出を減らす。 ③運用の利益を上げる。 最初は①と②に重点を置く ①と②は当たり前に感じられるかもしれません。資産をバケツに貯まる水として例えてみます。蛇口から出る水が収入で、バケツの穴が支出に対応します。いくら蛇口から勢いよく水が出ても、穴が大きければ、貯まりません。逆に出る水が少なくても、穴が小さければ、どんどん貯まります。 まずはよいお金の習慣をつける必要があり、そのためには①と②に重点を置く必要があります。この段階において③はあまり考える必要はありません。 ①を
【セキュリティ ニュース】メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市(1ページ目 / 全2ページ):Security NEXT
奈良県宇陀市は、庁内システムに不正アクセスし、他職員のメールを閲覧していた市民環境部の職員に対し、懲戒処分を行った。 同市によれば、同職員は2020年度から2023年度にかけて、勤務時間中に庁内システムへ同市職員271人になりすまして不正にログインし、メールを閲覧していたもの。 1月7日に所属する上司が共有パソコンを立ち上げたところ、デスクトップに見覚えのないファイルが存在することに気づいたことから、問題が発覚したという。 メールを閲覧するには、各職員に割り振られたIDとパスワードが必要となるが、自らに割り振られたIDより他職員のIDを推測。またパスワードについても初期設定より変更されていないなど、容易に推測できるものに対して不正アクセスを行っていた。 住民の個人情報については、ログインの方法が異なるため不正閲覧はなかったとしている。同職員から外部に対する二次流出なども確認されていない。
Dependabot can fix vulnerable dependencies for you by raising pull requests with security updates.
【セキュリティ ニュース】マルチメディアプレイヤー「VLC」に脆弱性 - 最新版へ更新を(1ページ目 / 全1ページ):Security NEXT
フランスの非営利団体Videolanが開発するマルチメディアプレイヤー「VLC media player」に脆弱性が明らかとなった。10月末にリリースされたアップデートで修正されている。 「MMS(Microsoft Media Server)」プロトコルの処理を行う一部関数にヒープベースのバッファオーバーフローの脆弱性「CVE-2023-47359」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。 脆弱性の発見者は1月9日に開発者へ報告。9月7日に同問題を認識したとの返信があり、現地時間10月30日にリリースされた「同3.0.20」にて修正されたという。 (Security NEXT - 2
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
Amazon Virtual Private Cloud launches new security group sharing features - AWS
Amazon Virtual Private Cloud launches new security group sharing features AWS now makes it easier to manage your security groups with new security group sharing features. You can now associate a security group with multiple VPCs in the same account using Security Group VPC Associations. When using shared VPC, you can now also share security groups with participant accounts in that shared VPC using
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Message-ID: <20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de> Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After obse
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects | OpenJS Foundation
CommunityOpen Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects Posted On: April 15, 2024XZ Utils cyberattack likely not an isolated incident By: Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094)
本記事は 【Advent Calendar 2023】 11日目の記事です。 🎄 10日目 ▶▶ 本記事 ▶▶ 12日目 🎅 はじめに こんにちは、去年の11月に中途入社した上村です。転職してから1年となり、時間が経つのが早いと感じます... 私はSpring Bootを用いたWebアプリケーションに業務で携わっています。その中で、CSRF(クロスサイトリクエストフォージェリ)という脆弱性に触れる機会がありました。Spring Securityの機能により、CSRF対策が簡単にできることを学んだので、紹介していきます。 CSRFとは CSRFとは、Webアプリケーションの脆弱性の一つです。本来拒否すべきリクエストを受信して処理してしまう脆弱性、もしくはその脆弱性を突く攻撃を表します。 通販システムを例として説明します。この通販システム向けの攻撃用サイトを攻撃者が予め用意しておきます。正
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker
Products Docker DesktopContainerize your applicationsDocker HubDiscover and share container imagesDocker ScoutSimplify the software supply chainDocker Build Cloud Speed up your image buildsTestcontainers Desktop Local testing with real dependenciesTestcontainers Cloud Test without limits in the cloud See our product roadmapMORE resources for developers
Ankerの紛失防止タグ Eufy (ユーフィ) Security SmartTrack Cardを購入しました。レビューします。 AnkerのSmartTrack CardはAppleのFind my、日本で言う「探す」に対応しており、AppleのAirTag同等の機能を使うことができます。つまりはカード型AirTagというわけです。 内容物は本体とスタートガイドのみ。 大きさはクレジットカードと同等のサイズ。 厚みはクレジットカード2枚分ほどの厚さ。財布には収まるスリムさはあります。 Ankerのeufy Securityをインストールしてセットアップを行います。 一番下のSmartTrackerを選択します。 SmartTrack Cardを選択します。 諸々設定が終わるとマイデバイスに表示されるようになります。 続いてAppleの探すアプリに登録していきます。 探すアプリを起動して
Plasma is Back!! Intmaxが実現する「真のL2」とは?|Web3 Security Mag | Coincheck
{{article.title}} {{$filters.date(article.date, 'YYYY/MM/dd HH:mm')}} View all notifications
Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0)
Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries
[nginx-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990)
[nginx-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990) Sergey Kandaurov pluknet at nginx.com Wed Feb 14 17:00:05 UTC 2024 Previous message (by thread): [nginx-announce] nginx-1.25.4 Next message (by thread): [nginx-announce] nginx-1.25.5 Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] Two security issues were identified in nginx HTTP/3 implementation, which might
How to generate security findings to help your security team with incident response simulations | Amazon Web Services
AWS Security Blog How to generate security findings to help your security team with incident response simulations April 8, 2024: We have updated the post to revise the CloudFormation launch stack link to provision the CloudFormation template. Continually reviewing your organization’s incident response capabilities can be challenging without a mechanism to create security findings with actual Amazo
【セキュリティ ニュース】委託先が研修受講者リストをメールで誤送信 - 大阪市(1ページ目 / 全1ページ):Security NEXT
大阪市は、研修受講者に受講票をメール送信する際、誤って研修受講者の個人情報含むリストを添付して送信するミスがあったことを明らかにした。 同市によれば、9月18日に委託先の東住吉区中野地域包括支援センターが、研修受講者25人に表計算ソフトで作成された受講票をメールで送信する際、2023年度の研修受講者の個人情報が記載されているリストを誤って添付して送信するミスがあったという。 翌19日に受信者から連絡があり誤送信が判明。問題のリストには、研修受講者41人分の氏名、電話番号、メールアドレス、資格、介護支援専門員登録番号が記載されていた。 同市では、誤送信先となった研修受講者にメールの削除を依頼。リストに記載されていた研修受講者には、事情の説明と謝罪を行っている。 (Security NEXT - 2024/09/30 ) ツイート
AWS Certified Security - Specialty (SCS-C02) に合格した - kakakakakku blog
AWS セキュリティ専門の認定資格 AWS Certified Security - Specialty (SCS-C02) を2023年12月10日に受験して合格した❗️試験問題に関係する内容はガイドラインを厳守するため書かず,今回は個人的な振り返りも兼ねて勉強方法などをまとめておこうと思う👌 aws.amazon.com 🔐 なぜ受験したのか 2023年11月頃から仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいる❗️1ヶ月ほど調査・検証・リリースを繰り返しながら実践的な理解を獲得できた気がするので,知識確認も兼ねて AWS Certified Security - Specialty を受験してみようと思った.仕事は課題軸で「トップダウン」に学べて,資格取得は知識軸で「ボトムアップ」に学べるので,上からと下からを同時に攻めようという思いもあった🔥
GitHub - Shuffle/Shuffle: Shuffle: A general purpose security automation platform. Our focus is on collaboration and resource sharing.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Hackers may have leaked the Social Security Numbers of every American
Several months after a hacking group claimed to be selling nearly 3 billion records stolen from a prominent data broker, much of the information appears to have been leaked on a forum. According to Bleeping Computer, the data dump includes 2.7 billion records of personal info for people in the US, such as names, Social Security Numbers, potential aliases and all physical addresses they are known t
【セキュリティ ニュース】情報公開で混乱招いた「FortiSIEM」の深刻な脆弱性 - PoCが公開に(1ページ目 / 全2ページ):Security NEXT
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
【セキュリティ ニュース】MS 365アカウントに不正アクセス、個人情報流出の可能性 - セガ子会社(1ページ目 / 全1ページ):Security NEXT
玩具の製造販売を手がけるセガフェイブは、同社従業員が利用するクラウドサービスのアカウントが不正アクセスを受け、顧客や取引先などの個人情報が流出した可能性があることを明らかにした。 同社によれば、Toysカンパニーの従業員が使用するMicrosoft 365アカウントが不正アクセスを受けたもの。同社のセキュリティを管理するセガサミーホールディングスが4月4日に検知した。 問題のアカウントには、直近1年間の取引先に関する情報やグループ会社従業員の個人情報が含まれていることが同月9日に判明。同月17日には、同従業員が過去に従事したグループ会社の顧客情報も含まれていることが明らかとなっている。 対象となる個人情報は、取引先の氏名、会社住所、電話番号、メールアドレス、口座情報など約1900件、同社従業員とその家族、セガサミーグループの従業員の氏名、住所、電話番号、メールアドレスなど約300件。 さら
【セキュリティ ニュース】MS、3月の定例パッチを公開 - ゼロデイ脆弱性は含まず(1ページ目 / 全2ページ):Security NEXT
マイクロソフトは、2024年3月の月例セキュリティ更新を公開し、あわせて59件の脆弱性に対応した。脆弱性の悪用や公開は確認されていないという。 今回のアップデートでは、「Windows」や「Office」「Microsoft Authenticator」をはじめ、「Windows Defender」「Microsoft Exchange Server」「SQL Server」「Microsoft Intune」「Microsoft Dynamics」「.NET」「Visual Studio Code」「Microsoft Azure Kubernetes Service」などに明らかとなった脆弱性に対処した。 CVEベースで59件の脆弱性を修正している。脆弱性によって影響は異なるが、18件についてはリモートからコードを実行される脆弱性としており、24件では権限の昇格が生じるおそれがある。
【セキュリティ ニュース】8割超のランサム攻撃がVPNやRDP経由 - 警察庁が注意喚起(1ページ目 / 全1ページ):Security NEXT
警察庁は、ランサムウェアによる被害が引き続き多数発生しているとして注意喚起を行った。特にVPN機器などを経由した攻撃が目立っている。 2023年度の被害調査で有効回答があった115件において、63.4%が脆弱な「VPN」環境が侵入経路だったと指摘。VPN機器における脆弱性や、外部へ流出したアカウント情報が悪用されるなど、脆弱な認証情報が標的になっているとし、あらためて注意を呼びかけた。 一方18.3%は、リモートデスクトップが標的となっている。VPN機器とあわせると81.7%にのぼった。 同庁では、OSなどソフトウェアを最新の状態に保ち、VPN機器についても更新を行うよう注意を喚起。認証情報の適切な管理や、オフラインバックアップの実施など、基本的な対策の徹底を求めた。 またランサムウェアの被害に遭い、データを暗号化された場合は、感染端末をネットワークから隔離して電源を切り、再起動は「厳禁」
SIEMからデータ基盤へ - Amazon Security Lakeを試してる話 - LayerX エンジニアブログ
LayerX Fintech事業部*1ので、ガバナンス・コンプラエンジニアリングをしている @ken5scal です。 はじめに 本ブログは、以前執筆した「SIEMの限界」から「データ基盤への道」への具体的な取り組み、いわば試行錯誤の途中経過をお伝えするものです。今後も継続的に試行錯誤や改善策をお届けしていく予定ですので、この過程に興味をお持ちの方は、ぜひフォローをお願いいたします。 tech.layerx.co.jp 「SIEMの限界」で述べた通り、当社は「メンテナンスや運用、対応策にかかるコストと工数に比して、自社の持てるコントロールや自由度が限定的」という課題を既存のSIEMに感じています。 まず、SIEMの強みとされる相関分析の効果を最大化するには、監査ログ以外にも以下のデータを相関できる必要があります。 ユーザーやデバイス等の資産情報 権限 NWトラフィック 特にNWトラフィック
AWS Accounts discontinues the use of security challenge questions
Starting on January 5, 2024, AWS Accounts will no longer support security challenge questions for accounts that have not already enabled them. This will remove the option for customers to add new security challenge questions from the Accounts page in the AWS Management Console. If you have set security challenge questions on your standalone AWS accounts, or have set them on the management account
Here’s an overview of some of last week’s most interesting news, articles, interviews and videos: Outsmarting cybercriminal innovation with strategies for enterprise …
【セキュリティ ニュース】ランサムウェア「Play」に警戒を - 米豪当局が注意喚起(1ページ目 / 全2ページ):Security NEXT
米豪当局は、北南米やヨーロッパなどで被害が拡大しているランサムウェア「Play」の攻撃手法など詳細を明らかにし、注意を呼びかけた。 2022年6月以降、活動が確認されている同ランサムウェアについて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、豪サイバーセキュリティセンター(ACSC)が共同でアドバイザリをリリースし、注意を呼びかけたもの。 攻撃グループは、ランサムウェアを用いてデータを盗み出し、さらに利用できないよう暗号化することで身代金を要求するいわゆる「二重脅迫」のモデルを採用していることで知られており、企業や重要インフラなどでも被害が発生した。 ファイルの拡張子を「.play」に変更する特徴があり、のこされる身代金のメモには要求金額など詳細は示されておらず、メールで連絡を取るよう促される。 FBIでは、10月の時点で同ランサムウェアに
本レポートでは、2024年6月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年6月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は390件であり、1日あたりの平均件数は13.00件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,228万ppsのパケットによって110.88Gbps
【セキュリティ ニュース】検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県(1ページ目 / 全1ページ):Security NEXT
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
【Security Hub修復手順】[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | DevelopersIO
こんにちは、AWS事業本部の平井です。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります ACM = AWS Certificate Manager [ACM.2] RSA certificates managed by ACM should use a key length of at least 2,048 bits 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Sec
![【Security Hub修復手順】[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Foundation
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects XZ Utils cyberattack likely not an isolated incident By Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated incident as
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ミジンコ版FIREへの道【2024年版】 | Security Akademeia【セキュリティアカデメイア】
About Dependabot security updates - GitHub Docs
Bypassing airport security via SQL injection
Spring Securityで簡単にCSRF対策ができる - NRIネットコムBlog
財布に収まる紛失防止タグ。Anker Eufy Security SmartTrack Card レビュー - すまほん!!
Niishi Kubo | GitLab,Limeboard on X: "クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy https://t.co/AJuYi6Xr7k"
News Archives - Help Net Security
wizSafe Security Signal 2024年6月 観測レポート
Modern Approaches to Network Access Security | CISA