エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。
JVNVU#97214223: エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。
JVNVU#97214223: エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。
JVNVU#91883072: NETGEAR製ルーターにおけるバッファオーバーフローの脆弱性
RAX35 ファームウェアバージョン 1.0.6.106より前 RAX38 ファームウェアバージョン 1.0.6.106より前 RAX40 ファームウェアバージョン 1.0.6.106より前
JVNTA#90371415: WindowsカーネルドライバーのIOCTL処理におけるアクセス制御不備の脆弱性
第三者が提供するWindowsカーネルドライバーに、IOCTL処理におけるアクセス制御不備の脆弱性が報告されています。 IOCTLインタフェースを実装したWindowsカーネルドライバー Carbon Blackの研究者により、複数のWDF(Windows Driver Framework)およびWDM(Windows Driver Model)カーネルドライバーに本脆弱性が存在することが報告されています。 WindowsのカーネルドライバーにIOCTLインタフェースを実装することで、ユーザプロセスからカーネルドライバーの動作を制御することが可能になります。 カーネルドライバーはシステムのすべてのリソースにアクセスできるため、その制御を行うユーザは一定の権限を持っていること、アクセスするリソースは一定の範囲のみ、といった制限を実装することが重要です。 カーネルドライバーが、IOCTLリクエ
JVNVU#99012560: 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備
複数のHTTP/2実装において、CONTINUATIONフレームの取り扱い不備によりサービス運用妨害(DoS)攻撃が可能となる問題が指摘されています。 本件の公表時点では、影響を受ける製品として以下が挙げられています。 Node.js HTTP/2 server(CVE-2024-27983) Envoy HTTP/2 codec(CVE-2024-27919、CVE-2024-30255) Tempesta FW(CVE-2024-2758) amphp/http(CVE-2024-2653) Go net/http および net/http2(CVE-2023-45288) nghttp2(CVE-2024-28182) Apache httpd(CVE-2024-27316) Apache Traffic Server(CVE-2024-31309) 影響を受けるバージョンや、上記以
JVN#82074338: NEC Atermシリーズにおける複数の脆弱性
以下のAtermシリーズ製品のすべてのバージョンが本脆弱性の影響を受けます。 CR2500P MR01LN MR02LN W300P W1200EX(-MS) WF300HP WF300HP2 WF800HP WF1200HP WF1200HP2 WG300HP WG600HP WG1200HP WG1200HP2 WG1200HP3 WG1200HS WG1200HS2 WG1200HS3 WG1400HP WG1800HP WG1800HP2 WG1800HP3 WG1800HP4 WG1810HP(JE) WG1810HP(MF) WG1900HP WG1900HP2 WG2200HP WM3400RN WM3450RN WM3500R WM3600R WM3800R WR1200H WR4100N WR4500N WR6600H WR6650S WR6670S WR7800H WR
JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.59が公開されました。 CVE-2023-38709 Apache HTTP Server 2.4.58およびそれ以前 CVE-2024-24795 Apache HTTP Server 2.4.0から2.4.58まで CVE-2024-27316 Apache HTTP Server 2.4.17から2.4.58まで The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.59が公開されました。 Apache HTTP Serverのコア機能におけるHTTPレスポンス分
JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性
株式会社バッファローが提供するLinkStation 200シリーズには、ダウンロードしたデータの完全性検証が十分に行われていないことに起因して、任意のコード実行が可能となる脆弱性が存在します。 LS210Dシリーズ Ver. 1.80 およびそれ以前のバージョン LS210DNシリーズ Ver. 1.80 およびそれ以前のバージョン LS210DCシリーズ Ver. 1.80 およびそれ以前のバージョン LS210DGシリーズ Ver. 1.80 およびそれ以前のバージョン LS210DNBシリーズ Ver. 1.80 およびそれ以前のバージョン LS220Dシリーズ Ver. 1.80 およびそれ以前のバージョン LS220DNシリーズ Ver. 1.80 およびそれ以前のバージョン LS220DCシリーズ Ver. 1.80 およびそれ以前のバージョン LS220DGシリーズ Ver
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性
UDPベースのアプリケーション層プロトコル実装 報告者は、DNS、NTP、TFTP、Daytime、Time、Active Users、Echo、Chargen、QOTDのプロトコル実装において本脆弱性を確認しています。 UDPを利用するアプリケーション層のプロトコル実装において、サービス運用妨害 (DoS) の脆弱性が報告されています。 本脆弱性の影響を受けるプロトコル実装では、通常、不正な通信に対してエラーメッセージを返しますが、IPが偽装されていた場合、偽装されたIPに対してエラーメッセージを返します。偽装されたサーバーも同脆弱性の影響を受ける場合、同じ動作によりエラーメッセージを返すため、相互にエラーメッセージを送信し続け、リソースを消費します。
JVNVU#93534773: 複数のトレンドマイクロ製品における複数の脆弱性
CVE-2023-52090、CVE-2023-52091、CVE-2023-52092、CVE-2023-52093、CVE-2023-52094 Apex One Apex One SaaS CVE-2023-52337、CVE-2023-52338 Deep Security Agent(Windows版) バージョン20.0 ※Deep Security Agentは、Trend Micro Deep Security、Trend Cloud One - Endpoint and Workload SecurityおよびTrend Vision One - Server & Workload Protectionのエージェントソフトウェアです。 ※トレンドマイクロ株式会社によると、以下環境に影響はないとのことです。 Deep Security Virtual Appliance(D
JVNVU#99444194: エレコム製無線ルーターにおけるOSコマンドインジェクションの脆弱性
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。 WRC-1167GS2-B v1.67およびそれ以前のバージョン WRC-1167GS2H-B v1.67およびそれ以前のバージョン WRC-2533GS2-B v1.62およびそれ以前のバージョン WRC-2533GS2-W v1.62およびそれ以前のバージョン WRC-2533GS2V-B v1.62およびそれ以前のバージョン
JVNVU#90908488: エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性が存在します。 WRC-X1800GS-B v1.17およびそれ以前のバージョン WRC-X1800GSA-B v1.17およびそれ以前のバージョン WRC-X1800GSH-B v1.17およびそれ以前のバージョン WRC-X6000XS-G v1.09 WRC-X6000XST-G v1.12およびそれ以前のバージョン
JVNVU#97951800: GPUカーネル実装に情報漏えいの脆弱性 (LeftoverLocals)
GPUカーネル実装 報告者は、AMD、Apple、Qualcommが提供するGPUシステムにおいて本脆弱性を確認しています。 画像処理や機械学習などにおいては単純な数値演算を大量に行う必要があり、専用のGPUを搭載したシステムではこのような処理をCPUの代わりに高速に実行することが可能です。 GPUを使った処理は、以下のような流れで実行されます: CPU側のメモリからGPUが使用するメモリにデータをコピーする GPU上で並列実行されるユーザープログラム(「GPUカーネル」と呼ぶ)がデータを処理する 最後に処理結果のデータをCPU側のメモリにコピーする GPUカーネルの実行後に、GPUが使用したメモリ領域が初期化されない場合、残されている処理結果のデータを、次に実行されるGPUカーネルが読み取ることが可能になります(CVE-2023-4969)。
JVNVU#92420039: Ivanti製Connect SecureおよびPolicy Secureにおける複数の脆弱性
JVNVU#92420039 Ivanti製Connect SecureおよびPolicy Secureにおける複数の脆弱性 緊急 Ivantiが提供するIvanti Connect SecureおよびIvanti Policy Secureには、複数の脆弱性が存在します。 以下の製品のバージョン9系および22系のすべてのサポートバージョンが本脆弱性の影響を受けます。 Ivanti Connect Secure (ICS)(旧名称 Pulse Connect Secure) Ivanti Policy Secure なお、すでにサポートが終了しているバージョンにおける影響は評価されておらず、開発者はサポート対象のバージョンへの移行を推奨しています。 サポートバージョンに関してはGranular Software Release EOL Timelines and Support Matri
JVNTA#95077890: SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
SSH接続においてハンドシェイク中にシーケンス番号の操作を可能とする攻撃手法「Terrapin Attack」が報告されています。 以下のいずれかの暗号方式を利用してSSHプロトコルを実装しているシステム ChaCha20-Poly1305 CBCモードを用いたEncrypt-then-MAC 研究チームは、Terrapin Attackの影響を受けるかどうかをチェックできるツールをGitHubリポジトリで公開しています。 通常、SSH接続時のハンドシェイク処理では、シーケンス番号順にパケットがやり取りされ、途中のパケットが削除された状態で次のパケットを受信すると、シーケンス番号が一致しないことが検出され、接続が中断されます。 Terrapin Attackでは、SSH接続のハンドシェイク通信を傍受および改ざん可能な攻撃者によりハンドシェイク中にIGNOREメッセージが挿入されると、シーケ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#29471697: Androidアプリ「TP-Link Tether」および「TP-Link Tapo」におけるサーバ証明書の検証不備の脆弱性
JVNVU#95381465: エレコム製無線ルーターにおける複数の脆弱性
JVN#54451757: SKYSEA Client View における複数の脆弱性
JVN#52919306: スマートフォンアプリ「東横INN公式アプリ」におけるサーバ証明書の検証不備の脆弱性
JVN#96240417: サーマルカメラ TMC シリーズにおける技術情報の提供が不十分な問題