WordPress.org が提供する WordPress は、オープンソースのCMS(コンテンツマネジメントシステム)です。 WordPress には、REST API の処理に起因する脆弱性が存在します。 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテンツを改ざんされる可能性があります。 本脆弱性を悪用する攻撃コードが確認されていますので、対策済みのバージョンへのアップデートを大至急実施してください。 開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。 2/7 更新 Sucuri 社によると、本脆弱性を悪用して多数のウェブサイトが改ざんされたとの情報
2016 年 1 月 12 日(米国時間)を過ぎると Microsoft 社が提供するウェブブラウザ「Internet Explorer」(以後、IE)のサポート対象が“各 Windows OS で利用可能な最新版のみ”にポリシーが変更されます(*1)。サポート対象外となる IE は、セキュリティ更新プログラムが提供されなくなるため、新たな脆弱性が発見されても解消することができません。脆弱性が見つかり攻撃者がそれを悪用すると、ウイルス感染により「ブラウザを正常に利用できなくなる」ほか「情報が漏えいする」などの被害に遭うおそれがあり(図1)、早急なバージョンアップが求められます(*2)。 図1:IE のバージョンごとの影響(イメージ) 1. IE の脆弱性 IPA が運営する脆弱性対策情報データベース JVN iPedia(*3)に登録されている IE 7 から IE 10 までの脆弱性対策
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。 図:脆弱性を悪用した攻撃のイメージ サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。 なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。 サーバ側で SSL 3.0 を無効にした場合 一部のクライアントから接続ができなくなる可能性があります。 クライアント側で S
昨日、教育関係の企業において、大量の顧客情報の漏えいが起こったとの報道がありました。報道では、組織の内部情報にアクセスできる社員以外の内部者によって情報が持ち出された可能性があるとされています。 これまでも従業員や委託先社員等の内部者の不正行為による情報窃取等の被害が数多く起こっており、IPAでは、内部不正防止ガイドラインを公表し、対策の呼びかけを行ってきました。内部不正による情報窃取の多くは金銭やビジネス利用等を目的としています。重要な情報を保持する企業・組織は、内部者による不正を防止するための対策の検討や点検を行うことを改めて呼びかけます。 IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン※1」(以下、ガイドライン)を策定し、公開しています。 ガイドラインでは基本方針や技術的管理、人的管理、物理的管理
ウェブ改ざんに繋がる脆弱性等をコストをかけずに検査する、3種のツールの使い勝手を比較 2013年12月12日 独立行政法人情報処理推進機構 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの脆弱性を検査するオープンソースのツール3種の評価を行い、ツールの特徴と使用における留意点をまとめたレポート「ウェブサイトにおける脆弱性検査の紹介(ウェブアプリケーション編)」を2013年12月12日からIPAのウェブサイトで公開しました。 2013年は、ウェブアプリケーションやウェブサイトを構成するミドルウェアの脆弱性が原因で、多数のウェブサイトで改ざんや情報漏洩などが発生しました。例えば、ユーザが改ざんされたウェブサイトを閲覧し、ウイルスに感染した場合、ウェブサイトを運営する組織は、ユーザへの謝罪や風評対策などの対応を迫られることになります。 現在、ウェブサイトを持たない組織
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く