LenovoのThinkPadやYogaなどのノートPCに特権昇格の脆弱性
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11(新規) 2022-01-04(更新) I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1(Java 8以降のユーザー向け)、2.12.4(Java 7のユーザー向け)及び2.3.2(Java 6のユーザー向け)が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
続々連携がストップしているドコモ口座とWeb口振受付の問題について - novtanの日常
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター:米田 聡 一般メディアにもニュースとして取り上げられたので,2017年末からにわかに騒がれだした「CPUの脆弱性」については,4Gamer読者も多くが聞き及んでいることだろう。海外では,「Spectre」(スペクター)や「Meltdown」(メルトダウン)といったおどろおどろしい名前が付いているので,そちらを目にしたという読者もいると思う。 「Intel製のCPUだけが持つ脆弱性で,AMD製のCPUなら問題ない」から始まって,「いやいやAMD製のCPUも同様の脆弱性を抱えている」,さらには「メモリページング方式の仮想記憶を使うCPUのすべてが持つ脆弱性である」などと,情報が錯綜しているので,何を信じたらいいのか分からないという人も多いのではなかろうか。そもそも,メモリページング方式
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 | JPCERTコーディネーションセンター(JPCERT/CC)
各位 JPCERT-AT-2017-0033 JPCERT/CC 2017-09-06(新規) 2017-09-07(更新) <<< JPCERT/CC Alert 2017-09-06 >>> Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170033.html I. 概要 Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性 (CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理 することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行 される可能性があ
国交省に不正アクセス 不動産登記情報など約20万件流出か
国土交通省は6月6日、同省のWebサイトが「Apache Struts 2」の脆弱性を悪用した不正アクセスを受け、アンケート情報や不動産登記情報など最大約20万件が流出した可能性があると発表した。 流出した可能性があるのは、不動産取引価格などの調査や結果公表を行うサイト「土地総合情報システム」上で、Webアンケートに答えたユーザーの氏名、法人名、契約日、取引価格などが最大4335件。このほか、登記所などでも入手可能な情報ではあるが、所有権移転登記情報(登記原因日、地番、地目、面積など)最大19万4834件も流出した恐れがあるという。 同省は2日午後4時に同サービスの電子回答システムを緊急停止。6日現在、個人情報流出の有無を調査中で、システム監視の強化、再発防止のための対策を検討しているという。土地総合情報システムでは、被害を受けた「不動産取引価格アンケート回答」以外の機能は継続して提供して
タダで飛行機に乗れる脆弱性を突いたハッカー、航空会社からの意外な対応に遭遇する
インドに住む20歳代のハッカーはある日、複数のインドの航空会社のサイトにバグがあることを発見しました。この脆弱性を利用すると、世界中の好きな空港へのチケットを実質無料でゲットできる状態になっていたそうです。 How I could have travelled the World for Free – Kanishk Sajnani – Medium https://medium.com/@kanishksajnani/how-i-could-have-travelled-the-world-for-free-5bb10ac46ae5 この脆弱性を発見したのは、インド在住のカニシク・サージナニ(Kanishk Sajnani)さん。コンピューターセキュリティに関心があるというサージナニさんは、2015年ごろにいくつかのウェブサイトやモバイルアプリの脆弱性をリサーチしていたところ、この問題に
JVNVU#97133859: Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
JVNVU#97133859 Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性 Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2 には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2 が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュー
ソニー製のネットワークカメラ80機種に第三者に悪用されうるバックドアが存在
業務用としてよく利用されているソニーのネットワークカメラにバックドアがあることを、オーストリアのセキュリティ企業が発見しました。攻撃者に利用された場合、当該カメラで任意のコードが実行可能なほか、ネットワーク内に足掛かりを作られるとカメラの機能を悪用されたり、カメラをボットネットの一部として悪用される恐れがあります。 SEC Consult: Backdoor in Sony IPELA Engine IP Cameras http://blog.sec-consult.com/2016/12/backdoor-in-sony-ipela-engine-ip-cameras.html JVNVU#96435227: ソニー製の複数のネットワークカメラ製品に脆弱性 https://jvn.jp/vu/JVNVU96435227/ Researchers Find Fresh Fodder fo
脆弱性を抱えるソフトウェア開発キット「Moplus」、実はバックドア機能の実装が判明 |
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
LenovoのPCにはBIOSレベルでWindowsのシステムファイルを上書きする危険な機能があると判明
Lenovo製PCには、BIOS起動時にWindowsのシステムファイルを上書きすることで、ユーザー情報をサーバーに送信する機能「Lenovo Service Engine(LSE)」があり、これを悪用することで外部からコードを実行される危険があると指摘されています。 Lenovo used Windows anti-theft feature to install persistent crapware | Ars Technica http://arstechnica.com/information-technology/2015/08/lenovo-used-windows-anti-theft-feature-to-install-persistent-crapware/ ◆Lenovo Service Engineとは? Windows 8やWindows 10などには、PCのO
Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない
最近のLenovoのBIOSのアップデートに以下のものがある。 Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。 などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。 Lenovo G50-80 dialog box - Ars Technica OpenForum Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開/ウイルス対策ソフトと互換性には注意
WPA2脆弱性、主要無線LANベンダーの対応状況まとめ 
JVNVU#92900492: Android アプリ「株式会社三菱東京UFJ銀行」に SSL/TLS ダウングレード攻撃が可能となる脆弱性
「HTTP_PROXY」を参照する広範なウェブサーバーに脆弱性 PHP、GO、Apache HTTP Server、Apache Tomcat、HHVM、Pythonに影響
英インデペンデント紙のウェブサイトが改ざん被害、読者に「vvvウイルス」など感染の恐れ 
https://jp.techcrunch.com/2015/07/28/20150727nasty-bug-lets-hackers-into-nearly-any-android-phone-using-nothing-but-a-message/
Windows XPサポート終了で遠隔操作ツールも世代交代、紛れ込む手口が巧妙に 
