Citrix ADCとCitrix Gatewayにおけるディレクトリトラバーサル脆弱性(CVE-2019-19781)のエクスプロイト状況
This post is also available in: English (英語) 概要 昨年末、Citrix Application Delivery Controller(ADC)およびCitrix Gatewayに脆弱性が確認されました。この脆弱性を悪用したリモートの攻撃者は、容易にディレクトリトラバーサルリクエストを送信し、ユーザー認証なしでシステム構成ファイルから機密情報を読み取り、任意のコードをリモートから実行できます。この脆弱性は、サポートされているすべての製品バージョンとサポートされているすべてのプラットフォームに影響します。 Citrix ADCおよびCitrix Gatewayバージョン13.0のすべてのサポートされているビルド Citrix ADCおよびNetScaler Gatewayバージョン12.1のすべてのサポートされているビルド Citrix ADCお
シスコ、「IOS」のセキュリティ情報--深刻度の高い脆弱性にも対処
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます シスコが、広く導入されている「Cisco IOS」と「Cisco IOS XE」に存在する、深刻度が「High」と設定された10件以上のセキュリティの脆弱性について明らかにしている。そのうち1件は、産業用ルーターとグリッドルーターに影響があるという。 Ciscoは管理者に、デバイスで動作しているCisco IOSとCisco IOS XEのバージョンを確認し、これら13件の脆弱性に対処したアップデートが適用されている状態にするよう勧告している。 これらの脆弱性に関する情報は、同社が年2回、Cisco IOSおよびCisco IOS XEのセキュリティ情報を提供するセキュリティアドバイザリーバンドルで公表された。 12件のアドバイザリーで
Apacheウェブサーバに脆弱性、パッチが公開--共有ホスト環境の管理者権限奪取を誘発
The Apache Software Foundationは米国時間4月1日、Apache(httpd)ウェブサーバに存在する深刻な脆弱性(「CVE-2019-0211」)に対するパッチを公開した。同脆弱性は特定の状況下において、悪意あるサーバスクリプトの管理者(root)権限での実行を許してしまうことで、そのサーバの乗っ取りを可能にするというものだ。 同脆弱性はUNIXシステム向けのApacheウェブサーバ(バージョン2.4.17から2.4.38)のみに影響を与えるものであり、同日にリリースされたバージョン2.4.39によってフィックスされている。 Apacheチームによると、同脆弱性を悪用することで、低い権限で実行されるはずのApacheの子プロセス(CGIスクリプトなど)において、親プロセスの権限で悪意あるコードを実行できるようになるという。 Apache httpdはたいていのU
JVNVU#98536678: 複数の SAML ライブラリに認証回避の脆弱性
複数の SAML ライブラリに、サービスプロバイダへの認証が回避される問題が存在します。この問題は XML DOM トラバーサルおよび正規化を行う API の挙動に起因しており、攻撃者は XML 署名の検証を無効化することなく、SAML データを改ざんすることが可能です。 OneLogin - "python-saml" (CVE-2017-11427) OneLogin - "ruby-saml" (CVE-2017-11428) Clever - "saml2-js" (CVE-2017-11429) OmniAuth SAML (CVE-2017-11430) Shibboleth OpenSAML C++ (CVE-2018-0489) 不適切な認証 (CWE-287) Security Assertion Markup Language (SAML) は主に SSO (Singl
JVN#57842148: Lhaplus の ZIP64 形式のファイル展開における検証不備の脆弱性
Lhaplus は、ファイルの圧縮・展開を行うソフトウェアです。Lhaplus には、ZIP64 形式のファイルを展開する際に、展開するファイルの内容を検証しない、検証不備の脆弱性が存在します。
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UPDATE: Schakel Citrix-systemen uit waar dat kan of tref aanvullende maatregelen
Duo Finds SAML Vulnerabilities Affecting Multiple Implementations