「Apache HTTP Web Server 2.4」v2.4.26が公開 ~複数の脆弱性を修正/DoSなどが引き起こされる恐れ。2.2.x系にも影響し、パッチがリリースされる
「Samba」に遠隔操作の脆弱性、修正版が公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Samba 3.5.0以降のバージョンに、リモートから任意のコードを実行可能な脆弱性が見つかった。開発チームが5月24日、脆弱性を修正したSamba 4.6.4、同4.5.10、同4.4.14をリリースし、ユーザーへ直ちにアップデートするよう呼び掛けている。 開発チームによると、悪意あるクライアントから書き込み可能な共有ライブラリをサーバに読み込ませることによって脆弱性を悪用され、リモートから任意のコードを実行されてしまう恐れがある。この脆弱性には「CVE-2017-7494」の識別子が採番された。 早急にアップデートが難しい場合の緩和策では、(1)デフォルトで有効なSELinuxのポリシーにより外部ディレクトリからのエクスプロイトモジ
GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita
GMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか? 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行(RCE)が可能な状態であったらしい 本投稿の趣旨から外れるので、詳しくは調べていません。 経緯・経過 3/6 脆弱性情報が公開されたらしい (Cf. Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について ) 3/8 IPAが情報を掲載 (Cf. Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。 Java WebアプリケーションフレームワークのApache Strutsに複数の脆弱性がみつかり、情報処理推進機構(IPA)やJPCERT コーディネーションセンターが6月20日付でユーザーに注意を呼び掛けた。対策は、脆弱性が修正された最新版の適用となっている。 脆弱性は任意のサービス実行、サービス妨害(DoS)、クロスサイトリクエストフォージェリ(CSRF)、Getterメソッドにおける検証回避、入力値検証の回避の全5件あり、Apache Struts 2.3.20から2.3.28.1までが影響を受ける。また、DoSの脆弱性についてはApache Struts 2.5にも影響が及ぶ。既にサポートが終了しているApache Struts 1への影響は不明。 特に任意のサービス実行につな
米Oracle、CSOのブログ投稿削除か――顧客による「リバースエンジニアリング」は、善意でも知的財産権侵害と主張する内容
2015年8月10日(米国時間)に、米Oracleが運営するブログコミュニティである「Oracle Blogs」に同社のCSO(セキュリティ最高責任者)であるMary Ann Davidson氏が投稿した記事の内容が、Twitter上などで物議を醸している。 「No, You Really Can’t」と題された同記事はすでに削除されているが、その中にはOracleの顧客が同社製品の脆弱性を発見するために、自身で、あるいはコンサルタントの手を借りて「リバースエンジニアリング」を行う事例が増えていることに対し、「ライセンス条項に違反する」と指摘する内容が含まれていた。 記事の中でDavidson氏は、「全てのリバースエンジニアリングを顧客自身が行っているわけではなく、中にはコンサルタントが他の製品をアピールするためにOracle製品のスキャン結果のリポートを提供している例もある」としながら、
Androidの脆弱性「Certifi-Gate」、悪用事例をCheck Pointが報告
リモートサポートツールは危険を伴う。だからCheck Pointが先に「Certifi-Gate」として明らかにしたAndroidベースのmobile Remote Support Tool(mRST)アプリのセキュリティ欠陥の存在は、大きなニュースとなった。mRSTのアクセス権をもつマルウェアに感染したAndroidデバイスの乗っ取りが可能となるのだ。 Check Pointは今回、このCertifi-Gateを悪用した事例を実際に確認したと報告している。 Check Pointのモバイル脅威予防担当技術リーダーAvi Bashan氏は電子メールにて、「先週Certifi-Gateを発表した際、同時にアプリ『Certifi-gate Scanner』を発表した。デバイスをスキャンして感染したアプリがないか、脆弱性が利用されていないかをチェックできるものだ。Certifi-Gateが悪用さ
TechCrunch | Startup and Technology News
After growing 500% year-over-year in the past year, Understory is now launching a product focused on the renewable energy sector.
Androidにまた深刻な脆弱性が発覚、端末を制御される恐れ
米IBMのセキュリティ研究部門X-Forceの研究者が8月10日、Android端末の55%以上に存在する深刻な脆弱性を発見したと発表した。「先端の攻撃者にこの任意のコード実行の脆弱性を利用されれば、何の権限もない悪質アプリが『スーパーアプリ』と化し、端末を制御される恐れがある」と解説している。 この脆弱性に加えて、複数のサードパーティー製Androidソフトウェア開発キット(SDK)の脆弱性も報告。攻撃者によるアプリの制御に利用される恐れがあるとした。 研究チームによれば、Androidの脆弱性は、例えばネットワークへの接続やカメラの利用といった機能をアプリに実装するための「OpenSSLX509Certificate」に存在する。 悪用された場合、被害者の端末にインストールさせた悪質アプリを使って、端末上のアプリやサービスで任意のコードを実行される恐れがある。攻撃者がその気になれば、悪
AndroidのMMS悪用の脆弱性、対応策は?
パッチ適用できるのはNexusシリーズでもごく一部しかなく、メーカーやキャリアからのパッチ提供にも時間がかかる見通しだ。 Android OSのメディア再生エンジン「Stagefright」に脆弱性が見つかった問題で、セキュリティ機関などから当面の回避策などが紹介されている。既にGoogleがパッチを公開しているが、現時点で適用できるはNexusシリーズ端末のごく一部しかない状況だ。 脆弱性は7件存在し、そのいずれかが悪用されると、リモートから端末を不正に操作されてしまう恐れがある。悪用には攻撃者が相手の電話番号を知る必要があるものの、攻撃者が細工したMMS(マルチメディアメッセージングサービス)メッセージを送り付けるだけで端末を不正操作できてしまう可能性があることから、米Symantecは「緊急」レベルの脆弱性だと分析する。 影響を受けるのはAndroid 2.2~5.1.1 r5より前
「Android」に脆弱性、テキストメッセージ受信で端末乗っ取りの恐れ--セキュリティ企業報告
UPDATE モバイルセキュリティ企業のZimperiumが、「Android」に組み込まれた脆弱性を発見したと述べている。Androidを搭載するほぼすべての端末が危険にさらされる恐れがあるという。 Zimperiumによると、脆弱性はAndroidに組み込まれた「Stagefright」というメディアライブラリに存在するという。悪意のあるハッカーはこれを利用して、Android端末にシンプルなテキストメッセージを送信することができる。スマートフォンがそれを受信すると、ハッカーはその端末の制御を完全に奪い、クレジットカード番号や個人情報といった端末上のあらゆる情報を取得することができるという。 ZimperiumはNational Public Radio(NPR)に対し、これまでのところ同脆弱性は利用されていないと述べたが、同社のブログで、Android端末の95%がこの脆弱性にさらさ
Flash Playerに致命的な脆弱性、修正プログラムなくIPAは無効化を推奨
画面●「Adobe Flash Player」のダウンロード画面。2015年7月13日時点の最新版(Windows版およびMac版は18.0.0.203)にも脆弱性があるとされ、修正プログラムは公開されていない 情報処理推進機構(IPA)は2015年7月13日、Windows版やMac版などの「Adobe Flash Player」の最新バージョンおよびそれより前のバージョンに脆弱性があるとして、注意喚起する文書を出した。細工されたWebサイトを閲覧すると、第三者に任意の命令を実行される可能性がある。米アドビシステムズは、この脆弱性の深刻さを4段階中最悪の「致命的」と位置付けている。7月13日時点で修正プログラムは公開されておらず、Flash Playerをアンインストールするか無効化する以外に対策はない(画面)。 IPAの注意喚起は、アドビシステムズの7月10日から12日にかけての発表を
無駄なウイルス対策より「Googleドライブ」を使え――セキュリティ専門家
関連キーワード EMC | IBM(アイ・ビー・エム) | Intel(インテル) | McAfee(マカフィー) | ソーシャルエンジニアリング 前編「ニセIT部門からの『パスワード教えて詐欺』が危険 だまされないためには?」では、人の脆弱性を突くソーシャルエンジニアリング攻撃が巧妙化している現状を説明し、具体的なソーシャルエンジニアリング攻撃の例を示した。 後編では、ソーシャルエンジニアリング攻撃によって侵入したマルウェアへの対処方法や、データ流出の被害を防ぐために企業がなすべき対策を紹介する。 「iPad Air 2 Wi-Fi 16GB」、読者プレゼント実施中! TechTargetジャパンは、代表的なオフィススイートであるMicrosoftの「Microsoft Office」関連の記事を集約したテーマサイト「iPhone、iPad、Android版登場で何が変わる? あなたがき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性 2.4系はアップデート、2.2系はパッチ適用を推奨
Samba、リモートから任意のコードを実行可能な脆弱性、「3.5.0」以降に影響 
AndroidのMessagingコンポーネントに新たな2つの脆弱性 
「Flash Player」の緊急パッチ公開、ゼロデイ脆弱性2件を修正、すでに国内で攻撃活動も 
Adobe、2件のゼロデイ脆弱性を修正した「Adobe Flash Player」を定例外で公開
Oracle、ゼロデイ脆弱性を修正した「Java SE 8 Update 51」を公開
「Java」に久しぶりの“ゼロデイ脆弱性”、標的型攻撃で悪用されているのを確認 
警視庁、ロジテックの古い無線LANルーターを狙った攻撃を確認、該当製品ユーザーはアップデートを 
