タグ

ブックマーク / jvn.jp (12)

  • JVN#93064451: 複数のシャープ製 Android 端末における情報漏えいの脆弱性

    AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前 AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前 AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前 AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前 AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前 AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前 AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前 AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前 AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前 AQUOS sens

    yogasa
    yogasa 2020/04/27
    リンク

  • JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性

    JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

    yogasa
    yogasa 2018/09/27
    リンク

  • JVNVU#99797968: 無線接続するキーボードやマウスなどの入力機器が安全でない独自通信プロトコルを使用している問題

    センシティブなデータを暗号化しない問題 (CWE-311) 複数の無線接続の入力機器 (キーボードやマウスなど) は、2.4GHz 帯 (ISM バンド) を使用する独自の無線通信プロトコルを実装しており、このプロトコルにおける通信の暗号化に不備が存在します。無線通信の到達範囲にいる攻撃者は、ユーザの端末にキー入力を送りつけたり、キーボードに打ち込まれた内容を傍受したり、ユーザの端末を別の入力機器とペアリングさせたりすることが可能です。無線通信の有効範囲は機器によって異なりますが、室内で使用する多くの場合には数メートル程度です。 発見者はさらに詳しい情報を掲載したアドバイザリをリリースし、ウェブサイトも立ち上げています。

    yogasa
    yogasa 2016/03/02
    リンク

  • JVNVU#94679988: Apache Tomcat の複数の脆弱性に対するアップデート

    The Apache Software Foundation から、Apache Tomcat に関する複数の脆弱性に対するアップデートが公開されました。 Apache Tomcat 9.0.0.M1 から 9.0.0.M2 まで Apache Tomcat 8.0.0.RC1 から 8.0.31 まで Apache Tomcat 7.0.0 から 7.0.67 まで Apache Tomcat 6.0.0 から 6.0.44 まで これら以前の、サポート対象外の Apache Tomcat も脆弱性の影響を受ける可能性があります。 The Apache Software Foundation から、Apache Tomcat に関する次の複数の脆弱性に対するアップデートが公開されました。 ディレクトリトラバーサル (CVE-2015-5174) ディレクトリ有無の漏えい (CVE-20

    yogasa
    yogasa 2016/02/24
    リンク

  • JVNVU#95877131: OpenSSL に複数の脆弱性

    影響を受けるシステムは脆弱性により異なりますが、OpenSSL 1.0.2、1.0.1、1.0.0、0.9.8 のすべてのバージョンが影響を受ける可能性があります。 2015年3月19日にアドバイザリ OpenSSL Security Advisory [19 Mar 2015] が公開されました。アドバイザリの情報によると、以下の脆弱性が修正され、修正版の OpenSSL として、1.0.2a、1.0.1m、1.0.0r、0.9.8zf をリリースしたとのことです。 なお、CVE-2015-0204 については、2015年1月8日時点で修正されています。2015年1月8日に公開されたアドバイザリ OpenSSL Security Advisory [08 Jan 2015] では深刻度は「低」とされていましたが、OpenSSL Security Advisory [19 Mar 2015

    yogasa
    yogasa 2015/11/26
    リンク

  • JVN#80144272: TYPE-MOON 製の複数のゲーム製品における OS コマンドインジェクションの脆弱性

    TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します。 Fate/stay night (CD版、DVD版) Fate/hollow ataraxia 魔法使いの夜 Fate/stay night + hollow ataraxia (セット版)

    yogasa
    yogasa 2015/11/05
    リンク

  • JVNVU#98282440: 「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題

    JVNVU#98282440 「提督業も忙しい!」(KanColleViewer) がオープンプロキシとして動作する問題 オンラインゲーム用ユーティリティツール KanColleViewer は、Fiddler Core と呼ばれる HTTP プロキシライブラリを使い、クライアントとゲームサーバ間で行われる HTTPS 通信の内容をキャプチャしています。 Fiddler.FiddlerApplication.Startup() メソッドの呼出しにおいて、localhost 以外のホストからの接続を拒否するフラグの指定を明示的に行っていないため、当該製品が意図せずオープンプロキシとして動作する問題が存在します (CWE-441)。 なお、当該製品が使用する 37564/TCP に対するスキャン活動が観測されています。

  • JVNVU#98974537: OpenSSL に複数の脆弱性

    影響を受けるシステムは脆弱性により異なりますが、OpenSSL 1.0.1、1.0.0、0.9.8 のすべてのバージョンが影響を受ける可能性があります。 2015年1月8日に OpenSSL Security Advisory が公開されました。アドバイザリの情報によると、下記の 8件の脆弱性が修正され、修正版の OpenSSL として、1.0.1k、1.0.0p、0.9.8zd をリリースしたとのことです。 深刻度 - 中 (Severity: Moderate) DTLS segmentation fault in dtls1_get_record (CVE-2014-3571) DTLS memory leak in dtls1_buffer_record (CVE-2015-0206) 深刻度 - 低 (Severity: Low) no-ssl3 configuration se

    yogasa
    yogasa 2015/01/09
    リンク

  • JVN#61247051: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性

    OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在します。 サーバ側およびクライアント側で使用している OpenSSL のバージョンが以下の組み合わせの場合に、脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 最初の SSL/TLS ハンドシェイクでは、暗号化通信で使われる暗号化鍵を生成するために鍵情報の交換を行い、それに続き Change Cipher Spec メッセージがサーバから

  • Japan Vulnerability Notes

    JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品

  • JVN#63901692: Internet Explorer における情報漏えいの脆弱性

    アップグレードする Windows 7 以降または Windows Server 2008 R2 以降の Windows を使用しているユーザは、Internet Explorer 10 へアップグレードしてください。 ワークアラウンドを実施する 以下の回避策を適用することで、脆弱性の影響を軽減することが可能です。 ローカルディスク上に信頼できないファイルを保存しないなお、開発者によると、Internet Explorer 9 およびそれ以前において、脆弱性の修正予定はないとのことです。

  • JVNTA12-240A: Oracle Java 7 に脆弱性

    以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム Java SE Development Kit (JDK 7) Update 6 およびそれ以前 Java SE Runtime Environment (JRE 7) Update 6 およびそれ以前 Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意の OS コマンドが実行可能な脆弱性が存在します。 なお、脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.