2023年6月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2023年6月観測レポートサマリ 本レポートでは、2023年6月中に発生した観測情報と事案についてまとめています。 当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数は先月から増加しました。最大規模を観測した攻撃はSYN FloodやUDP Amplificationなど複数の攻撃手法を組み合わせたものでした。また、この攻撃は最長時間を観測した攻撃でもあり、149時間47分にわたるものでした。 IPS/IDSにおいて検出したインターネットからの攻撃について、当月はApache HTTP Serverの脆弱性(CVE-2021-41773)を利用した攻撃が最も多く観測されていま
Dependabot user-defined rules for security updates and alerts; enforcement of auto-triage rules and presets for organizations (public beta)
Dependabot user-defined rules for security updates and alerts; enforcement of auto-triage rules and presets for organizations (public beta) advanced-securitydependabotenterprisepoliciesrulessecurity-and-compliance October 26, 2023 Auto-triage rules are a powerful tool to help you reduce alert and pull request fatigue substantially, while better managing your alerts at scale. What's changing? Start
🗃 {Programming/Java/org/springframework/security/crypt/password} 🏷 Java 🏷 Spring Boot 🏷 Spring Security 🗓 Updated at 2023-08-17T12:32:42Z 🗓 Created at 2023-08-17T10:43:10Z 🌎 English Page Spring Securityでログイン時にデータベース上の保存されたエンコードされたパスワードを別のアルゴリズムで再度エンコードして保存する方法を紹介します。 変更の手順を先に説明すると、 DelegatingPasswordEncoderのidForEncodeを変える UserDetailsPasswordServiceを実装する ログインし直す です。 以下、少しずつ説明します。 目次 一般的な
先日、AWSのセキュリティに関するコミュニティ「Security-JAWS」にて、AWS環境に特化したCTFが開催されました。 これが超超超楽しくて、学びにもなったとてもいいイベントだったので、少し時間が経ってしまいましたが、writeup兼ふりかえり記を残します。 ちなみに私はCTF初挑戦でAWSも入門書を1周したくらいの知識しかありません。しかし問題の構成がよく練られていたので、私のような初心者でも時間いっぱいじっくりと楽しむことができました(GPTを駆使しつつですが)。 CTFの環境構築に作問に、と、これを準備するのは相当大変だったと思うのですが・・・運営の方々には本当に感謝です! 問題はTrivia、Warmup、Easy、Medium、Hardの5ランクに分かれていて、私はTrivia、Warmup、Easyランクの問題に挑戦しました。 緑色が正解した問題です TriviaはAW
【セキュリティ ニュース】MS、9月の月例パッチを公開 - ゼロデイ脆弱性にも対応(1ページ目 / 全1ページ):Security NEXT
マイクロソフトは、9月の月例セキュリティ更新プログラムを公開し、61件の脆弱性に対処した。「Microsoft Word」に明らかとなった「CVE-2023-36761」など2件の脆弱性についてはすでに悪用が確認されている。 今回のアップデートでは、CVEベースで61件の脆弱性を修正した。「Windows」や「Windows Defender」「Microsoft Office」をはじめ、「Microsoft Exchange Server」「Visual Studio」「.NET Framework」「Azure DevOps」「Microsoft Streamサービス」「3D Builder」などに明らかとなった脆弱性を解消している。 最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は5件。「Visual Studio」に明らかとなった「CVE
スタートアップ・Flatt Securityが技術ブログとオウンドメディアの両方にフルコミットする理由 - はてなブログ DevBlog Meetup #1 LT登壇
はてなブログ DevBlog Meetup #1 のLT枠でお話しさせていただいた内容です。 https://hatena.connpass.com/event/288297/ Flatt Securityの2つの記事媒体の歴史を辿りながら、なぜ小さな組織で大きな工数をかけて記事発信に注力するのか、その理由を紹介しています。
AWS Accounts discontinues the use of security challenge questions
Starting on January 5, 2024, AWS Accounts will no longer support security challenge questions for accounts that have not already enabled them. This will remove the option for customers to add new security challenge questions from the Accounts page in the AWS Management Console. If you have set security challenge questions on your standalone AWS accounts, or have set them on the management account
Here’s an overview of some of last week’s most interesting news, articles, interviews and videos: Outsmarting cybercriminal innovation with strategies for enterprise …
AWS Certified Security - Specialty (SCS-C02) に合格した - kakakakakku blog
AWS セキュリティ専門の認定資格 AWS Certified Security - Specialty (SCS-C02) を2023年12月10日に受験して合格した❗️試験問題に関係する内容はガイドラインを厳守するため書かず,今回は個人的な振り返りも兼ねて勉強方法などをまとめておこうと思う👌 aws.amazon.com 🔐 なぜ受験したのか 2023年11月頃から仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいる❗️1ヶ月ほど調査・検証・リリースを繰り返しながら実践的な理解を獲得できた気がするので,知識確認も兼ねて AWS Certified Security - Specialty を受験してみようと思った.仕事は課題軸で「トップダウン」に学べて,資格取得は知識軸で「ボトムアップ」に学べるので,上からと下からを同時に攻めようという思いもあった🔥
【セキュリティ ニュース】「NetScaler Gateway」から認証情報を窃取 - 国内でも複数被害か(1ページ目 / 全2ページ):Security NEXT
「NetScaler ADC(旧Citrix ADC)」「NetScaler Gateway(旧Citrix Gateway)」の脆弱性「CVE-2023-3519」に対する攻撃が発生している問題で、ログインページを改ざんして認証情報を窃取するあらたな攻撃キャンペーンが確認された。国内でホストされている機器にも被害が広がっている。 「CVE-2023-3519」は、リモートよりコードを実行されるおそれがある脆弱性。7月にCitrixがアドバイザリを公表。海外では重要インフラ事業者に対するゼロデイ攻撃なども確認されている。 これまでもセキュリティ機関より注意喚起が行われてきたが、8月以降、同脆弱性を悪用するあらたな攻撃キャンペーンが大規模に展開されていることがわかった。 同キャンペーンについて報告したIBMによれば、VPN接続で使用する正規の認証ページを改ざんする手口で、悪意ある「JavaS
【セキュリティ ニュース】「OpenSSL」にアップデート - 「同1.1.1」はサポート終了(1ページ目 / 全1ページ):Security NEXT
「OpenSSL」の開発チームは、セキュリティアップデートをリリースした。「同1.1.1系」については、今回のアップデートを最後にサポートの終了を迎えている。 現地時間9月11日に「OpenSSL 1.1.1w」、同月19日に「同3.1.3」「同3.0.11」をリリースしたもの。今回のアップデートでは、メッセージ認証符号「POLY1305」の処理に明らかとなった脆弱性「CVE-2023-4807」を修正した。「同1.0.2系」は同脆弱性の影響を受けない。 「AVX512-IFMA命令」をサポートするWindowsの64ビット環境が影響を受ける脆弱性で、アプリケーション内部においてデータ破壊が生じるおそれがある。データ処理の不具合、サービス拒否にくわえ、最悪の場合、アプリケーションのプロセスを制御されるおそれがあるという。 開発グループでは、同脆弱性について現地時間9月8日にセキュリテイアド
LAC Security Insight 第5号 2023 夏 組織が直面しているサイバー攻撃や脅威の最新情報を提供する | LAC WATCH
本レポートは、ラックの中でもサイバー攻撃の脅威に対して最前線で対応しているJSOC及びサイバー救急センター、そして攻撃者が利用するサイバー攻撃手法も採り入れてお客様のシステムへ侵入テストを行うデジタルペンテスト部において、分析・調査・侵入テストを実施する中で得た最近の脅威の傾向や特徴を、セキュリティ専門家が「洞察」としてまとめたものです。 日々発生している実際の攻撃やインシデントに根ざしており、また日本の企業や団体を狙った脅威を中心にまとめているため、日本の企業や団体のサイバーセキュリティ担当者が、自組織が直面しているサイバー攻撃や脅威を把握することができる内容となります。 サイバー119で出動したインシデント傾向 2023年4月~6月の出動傾向 当該期間においては、マルウェア関連、およびサーバ不正侵入により被害を受けた組織からの相談が78%を占める状況となっています。マルウェア関連に関す
【セキュリティ ニュース】ランサムウェア「Play」に警戒を - 米豪当局が注意喚起(1ページ目 / 全2ページ):Security NEXT
米豪当局は、北南米やヨーロッパなどで被害が拡大しているランサムウェア「Play」の攻撃手法など詳細を明らかにし、注意を呼びかけた。 2022年6月以降、活動が確認されている同ランサムウェアについて、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、豪サイバーセキュリティセンター(ACSC)が共同でアドバイザリをリリースし、注意を呼びかけたもの。 攻撃グループは、ランサムウェアを用いてデータを盗み出し、さらに利用できないよう暗号化することで身代金を要求するいわゆる「二重脅迫」のモデルを採用していることで知られており、企業や重要インフラなどでも被害が発生した。 ファイルの拡張子を「.play」に変更する特徴があり、のこされる身代金のメモには要求金額など詳細は示されておらず、メールで連絡を取るよう促される。 FBIでは、10月の時点で同ランサムウェアに
【セキュリティ ニュース】検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県(1ページ目 / 全1ページ):Security NEXT
新潟県は、同県ウェブサイトにおいて、個人情報含むファイルを誤って公開する事故があったことを明らかにした。 同県によれば、3月29日2時ごろ、県民が文書を検索する際の目録となるファイル基準表を委託事業者が公開したが、誤って個人情報が記載されたファイルを公開したという。 4月2日にウェブサイトを閲覧した同県職員から連絡があり判明した。問題のファイルには、用地買収や不利益情報に関する氏名112件と、企業や団体名37件が含まれる。 委託事業者の担当者が、情報公開用のデータではなく、別のデータを用いて公開作業を行ってしまったという。 同県では委託事業者に公開停止を指示し、同日17時過ぎに公開を停止した。部外者による閲覧は確認されていないとしている。 (Security NEXT - 2024/04/15 ) ツイート
【Security Hub修復手順】[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | DevelopersIO
こんにちは、AWS事業本部の平井です。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります ACM = AWS Certificate Manager [ACM.2] RSA certificates managed by ACM should use a key length of at least 2,048 bits 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Sec
![【Security Hub修復手順】[ACM.2] ACM によって管理される RSA 証明書は、少なくとも 2,048 ビットのキーの長さを使用する必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
【セキュリティ ニュース】複数脆弱性によりF5製「BIG-IP」を攻撃 - 痕跡消されるおそれも(1ページ目 / 全2ページ):Security NEXT
F5が提供するネットワーク製品「BIG-IP」に認証をバイパスできる深刻な脆弱性「CVE-2023-46747」が明らかとなった問題で、別の脆弱性を組み合わせた攻撃が発生していることがわかった。侵害されている可能性も考慮し、対処するよう同社は呼びかけている。 同社によると、「CVE-2023-46747」と「構成ユーティリティ」において任意のシステムコマンドを実行することが可能となる「SQLインジェクション」の脆弱性「CVE-2023-46748」を組み合わせた攻撃が確認されたもの。 F5では、10月27日にこれら脆弱性に関するセキュリティアドバイザリを公開。「BIG-IP 17」「同16」「同15」「同14」「同13」向けに脆弱性を修正するホットフィクスをリリースした。特に「CVE-2023-46747」に関しては、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」、重
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects – Open Source Security Foundation
XZ Utils cyberattack likely not an isolated incident By Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094) may not be an isolated incident as evidenced by a similar credible takeover attempt intercepted by the OpenJS Foundation, home to JavaScript projects used by
【セキュリティ ニュース】米当局、行政機関へ「Office」ゼロデイ脆弱性の緩和策実施を要請(1ページ目 / 全1ページ):Security NEXT
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、「Office」に明らかとなったゼロデイ脆弱性について緩和策を講じるよう同国内の行政機関に求めた。 マイクロソフトが7月の月例セキュリティ更新で公表した「CVE-2023-36884」を、現地時間7月17日に「悪用が確認された脆弱性カタログ(KEV)」へ追加したもの。 現地時間7月11日に公開された月例セキュリティ更新では、「CVE-2023-36884」を含めて5件の脆弱性が悪用済みであることが明らかにされ、同庁では「CVE-2023-36884」を除く4件については即日同リストへ追加していた。 今回追加された「CVE-2023-36884」は、細工された「Officeファイル」を開くとバックドアなどに感染させられるおそれがある脆弱性。マイクロソフトではロシアのサイバー攻撃グループが脆弱性を悪用したとの見方を示してい
【セキュリティ ニュース】「Atlassian Confluence」にゼロデイ脆弱性 - 侵害状況の確認を(1ページ目 / 全1ページ):Security NEXT
「Atlassian Confluence」にゼロデイ脆弱性「CVE-2023-22515」が明らかとなった。すでに複数の顧客で悪用が確認されており、アップデートの実施にくわえて侵害の痕跡がないか確認するよう利用者に注意を呼びかけている。 「Confluence Server」「同Data Center」に権限昇格の脆弱性「CVE-2023-22515」が明らかとなったもの。リモートより承認なしに「管理者アカウント」を作成し、インスタンスに対してアクセスすることが可能となるもので、一部顧客より報告を受けているという。 同社では、共通脆弱性評価システム「CVSSv3.0」において同脆弱性のベーススコアを最高値である「10」と評価。重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 Atlassianによりホストされている「Atlassian Cloud」
[レポート]リクルートSOCにおけるAWSとの向き合い方 – AWS Security Forum Japan 2023 #aws #awssecurity | DevelopersIO
[レポート]リクルートSOCにおけるAWSとの向き合い方 – AWS Security Forum Japan 2023 #aws #awssecurity AWS Security Forum Japan 2023で行われた「リクルートSOCにおけるAWSとの向き合い方」のセッションレポートです。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。 リクルートSOCにおけるAWSとの向き合い方 リクルートでは、ユーザーの皆さまの大切な情報をお預かりし、複数のマッチングプラットフォームをサービスとして提供しています。それらの数多くのシステムを外部からのサイバー攻撃や内部不正行為から
![[レポート]リクルートSOCにおけるAWSとの向き合い方 – AWS Security Forum Japan 2023 #aws #awssecurity | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f782a3ba21d9875a7314797f8aa3548dc54a098b/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F10%2FAWS_Security_Forum_Japan_2023_logo.png){kind=logo}
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
【セキュリティ ニュース】【更新】「VMware ESXi」など複数製品に脆弱性 - 重要度「クリティカル」(1ページ目 / 全2ページ):Security NEXT
VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。 製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。 個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。 「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use Af
セキュリティ系アップデートの全体像とSecurity Hub深掘り #AWSreInvent #cmregrowth | DevelopersIO
2023/12/11 に開催された #AWSreInvent ふりかえり勉強会 CM re:Growth 2023 OSAKA にて「セキュリティ系アップデートの全体像とSecurity Hub深掘り」 というタイトルで発表しました。 スライドと発表内容をブログで共有します。 スライド セキュリティサービス新機能のおさらい セキュリティサービスの新機能全体像 以下、セキュリティサービスの「新機能の件数」ランキングです。 一番多かったのが Security Hub, Detective のそれぞれ4件で、 次に 3件で Inspector でした。 あとは GuardDuty や IAM Access Analyzer、Config、Control Tower あたりが並んでいます。 それぞれのアップデート一覧はスライドに情報あります。 気になるものがあれば、ぜひ検証してみてください。 思っ
【セキュリティ ニュース】「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を(1ページ目 / 全1ページ):Security NEXT
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を SSH接続などに利用されるターミナルソフトの「PuTTY」に脆弱性が明らかとなった。複数の署名されたデータから秘密鍵を復元されるおそれがある。 「同0.80」から「同0.68」までのバージョンにおいて、NIST P521楕円曲線を使用したECDSA秘密鍵から署名を生成するコードに脆弱性「CVE-2024-31497」が明らかとなったもの。「PuTTY」がバンドルされている「FileZilla」「WinSCP」「TortoiseGit」「TortoiseSVN」なども影響を受けるという。 ECDSA署名時に利用するランダム値の生成に大きな偏りが存在。60程度の署名されたデータと公開鍵から「ECDSA秘密鍵」を復元することが可能だとしている。 中間者攻撃はできないものの、悪意のあるサーバなど
【セキュリティ ニュース】大規模言語モデルを活用するための開発フレームワーク「LangChain」に脆弱性(1ページ目 / 全1ページ):Security NEXT
大規模言語モデル(LLM)を活用したアプリケーションを開発するためのフレームワーク「LangChain」に深刻な脆弱性が明らかとなった。今後修正される見込みだという。 「同0.0.171」において「JSONファイル」の取り扱いに不備があり、リモートより任意のコードを実行されるおそれがある「CVE-2023-36281」が判明したもの。5月にはソースリポジトリにおいて実証コードが示されていた。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングした。 開発関係者は、同ソフトウェアはベータ段階にあり、指摘について優先順位付けのもと対応していると説明。対応が遅れたことについて謝罪し、指摘された問題についてはエスカレーションを行っており、今後修正を行う予
セキュリティ更新プログラム リリース スケジュール (2024 年) | MSRC Blog | Microsoft Security Response Center
2024 年のセキュリティ更新プログラムの公開予定日は下記のとおりです。更新プログラムの評価、テスト、適用の計画にご活用ください。なお、2023 年のリリース スケジュールは「セキュリティ更新プログラム リリース スケジュール (2023 年)」をご覧ください。 概要 概要 IT 管理者やユーザーの皆様の計画的なシステムの更新ができるよう、マイクロソフトでは、セキュリティ更新プログラムを定期的なスケジュールで公開しており、セキュリティ更新プログラムは、 米国太平洋標準時間の毎月第 2 火曜日 に公開しています。日本では、時差の関係上、毎月第 2 火曜日の翌日 (第 2 水曜または第 3 水曜) の公開となります。なお、未修正の脆弱性の悪用が広がっているため迅速にセキュリティ更新プログラムを公開する必要性がある場合など、定期的なスケジュール以外の日程でセキュリティ更新プログラムを公開する場合
AWS環境のセキュリティを考える上で、重要な役割を担うサービスの1つが「AWS Security Hub」です。クラウドは大変便利でメリットの多いものですが、誤ってデータを公開してしまうなどのリスクがあることは否定できません。AWS Security Hubではこういったセキュリティに関わる各種設定について問題ないかをチェックします。AWS環境のセキュリティを担保するためにも、積極的に活用することをお勧めします。本コラムでは、AWS Security Hubについて基本的なサービス紹介からメリット、料金まで詳しく解説します。 AWS Security Hubとは? AWS Security Hubのメイン機能としては、「セキュリティ基準機能」と呼ばれるものが挙げられます。これは、Cloud Security Posture Management(CSPM)に相当するサービスで、「AWSリソ
【合格体験記】AWS Certified Security - Specialty(SCS-C02) - APC 技術ブログ
はじめに 筆者について SCSについて 学習期間 使用教材 学習方法 試験本番について 感想 おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 先日AWS Certified Security - Specialty(SCS-C02)を受験し、合格しました! 体験記として、勉強方法や感想をまとめておきたいと思います。 筆者について AWS実務経験は2年半ほど CLF、SAA、SOA、SAPを取得済み SCSについて SCSの試験概要 下記公式ページにまとまっていますのでご参照ください。 aws.amazon.com SCSの試験範囲 公式の試験ガイドがわかりやすいです。 https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-S
「Microsoft Copilot for Security」の一般提供が2024年4月1日にスタート、利用価格は計算ユニット1つごとに1時間4ドル
Microsoftが、これまでプレビュー版として提供してきたセキュリティ向けのジェネレーティブAI「Microsoft Copilot for Security」を、2024年4月1日から一般提供することを発表しました。 Microsoft Copilot for Security | Microsoft Security https://www.microsoft.com/ja-jp/security/business/ai-machine-learning/microsoft-copilot-security Microsoft Copilot for Security is generally available on April 1, 2024 | Microsoft Security Blog https://www.microsoft.com/en-us/security/bl
【セキュリティ ニュース】「FortiOS」に3件の脆弱性 - アップデートにて修正(1ページ目 / 全2ページ):Security NEXT
Fortinetのアプライアンス製品にOSとして搭載されている「FortiOS」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において3件の脆弱性が明らかとなったもの。「CVE-2023-41677」は、管理者の「Cookie」が漏洩する脆弱性。認証情報の保護が不十分であり、管理者をだまして「SSL VPN」経由で細工したサイトにアクセスさせることで、「Cookie」を取得されるおそれがあるという。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」で、重要度を4段階中、上から2番目にあたる「高(High)」とレーティングした。同脆弱性については「FortiProxy」も影響を受ける。 また特権を持つ場合にコマンドラインインターフェイスで任意のコードまたはコマンドを実行できる脆弱性「CVE-2023-48784」が判明。 さらに「HT
Linux Professional Institute、ITセキュリティの入門認定「Security Essentials」の日本語試験をリリース
Linux Professional Institute(LPI)は、LPI認定試験の入門レベルEssentialsシリーズに、ITセキュリティに関する「Security Essentials v1.0」の日本語試験をリリースしたことを9月6日に発表した。受験価格は1万円(税別)で、誰でも受験可能。 Essentialsシリーズは、2019年のLinux入門試験「Linux Essentials」のリリース以降、年々認定者を増やしているエントリーレベルの資格試験。今回、同シリーズの新しい認定として初心者向けのITセキュリティ認定、「Security Essentials」の日本語試験がリリースされた。 Security Essentialsでは、「基本的なセキュリティ概念」「暗号化」「デバイスとストレージのセキュリティ」「ネットワークとサービスのセキュリティ」「アイデンティティの保護」「プ
MozillaがMessaging Layer Security(MLS)プロトコルの準拠を発表:強みは透明性の高い設計プロセスとプライバシーの保護 MozillaはMessaging Layer Security(MLS)プロトコルへの準拠を発表した。新しいMLSプロトコルは通信する際の機密性とプライバシーを確保し、グループコミュニケーションのための安全な環境を構築するという。 2023年7月20日、Mozillaは、グループメッセージング用の新しい通信プロトコル規格であるMessaging Layer Security(MLS)プロトコルへの準拠を発表した。 プライバシーとセキュリティはデフォルトであるべき 「新しいMLSプロトコルは画期的で、エンドツーエンドの暗号化をグループに提供することで人々が互いに通信する際の機密性とプライバシーを確保する」とMozillaは評価している。また、
Published March 15, 2024 | スウェーデンSOC訪問レポート~GROW UP!~
Sustaining Digital Certificate Security - Entrust Certificate Distrust
The latest news and insights from Google on security and safety on the Internet
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
Finding LogoFAIL: The Dangers of Image Parsing During System Boot | Binarly – AI -Powered Firmware Supply Chain Security Platform
Binarly REsearch team investigates vulnerable image parsing components across the entire UEFI firmware ecosystem and finds all major device manufacturers are impacted on both x86 and ARM-based devices. [ See previous blog post “The Far-Reaching Consequences of LogoFAIL” preview of Black Hat EU presentation ] As discussed in our previous blog, security defects in image parsers expose significant at
Analysis of Storm-0558 techniques for unauthorized email access | Microsoft Security Blog
Executive summary On July 11, 2023, Microsoft published two blogs detailing a malicious campaign by a threat actor tracked as Storm-0558 that targeted customer email that we’ve detected and mitigated: Microsoft Security Response Center and Microsoft on the Issues. As we continue our investigation into this incident and deploy defense in depth measures to harden all systems involved, we’re providin
【セキュリティ ニュース】「OpenSSL」に脆弱性、影響「低」 - 他脆弱性とあわせて今後修正(1ページ目 / 全1ページ):Security NEXT
「OpenSSL」の開発チームは、あらたな脆弱性「CVE-2023-3446」が判明したことを明らかにした。アップデートはすぐに用意せず、今後の更新で修正する見込み。 同脆弱性は、関数「DH_check」において大きなパラメータが設定された場合に処理速度が大きく低下するおそれがあるもので、現地時間7月19日にアドバイザリをリリースした。「DH_check_ex」「EVP_PKEY_param_check」といった関数も「DH_check」を呼び出すため影響を受けるおそれがある。 開発チームは、同脆弱性の重要度を「低(Low)」とレーティング。リポジトリにおいて修正を行った。 「OpenSSL 3.1」「同3.0」「同1.1.1」「同1.0.2」が影響を受けるが、今回のアドバイザリをリリースしたタイミングで同脆弱性の修正を目的するためアップデートは用意せず、今後のアップデートで修正する予定。
本レポートでは、2024年3月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年3月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は222件であり、1日あたりの平均件数は7.61件でした。期間中に観測された最も規模の大きな攻撃では、最大で約6万ppsのパケットによって612.30Mbpsの通信が発
Bytecode Breakdown: Unraveling Factorio's Lua Security Flaws
Dynamic languages are safe from memory corruptions bugs, right? 29/06/2024 Research Pwn Lua Some months ago I exploited a vulnerability in the Lua implementation of Factorio that allowed a malicious server to obtain arbitrary execution on clients. As the vulnerability has been patched for months already (Factorio versions below 1.1.101 are affected), is time to share the details with the community
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
wizSafe Security Signal 2023年6月 観測レポート
Spring Securityでログイン時にパスワードハッシュアルゴリズムを変更する方法 - IK.AM
AWS特化のCTFが超楽しかった!【Security-JAWS / writeup】
News Archives - Help Net Security
【初心者向け】AWS Security Hubとは?概要からメリット、料金まで解説 | クラスメソッド株式会社
MozillaがMessaging Layer Security(MLS)プロトコルの準拠を発表
NTTセキュリティテクニカルブログ | Security Holding
wizSafe Security Signal 2024年3月 観測レポート