任天堂株式会社が提供するニンテンドーWi-Fiネットワークアダプタ WAP-001 には、複数の脆弱性が存在します。

Microsoft .NET Framework向けのオープンソースライブラリApache log4netには、XML外部実体参照（XXE）の脆弱性が存在します。影響を受けるバージョンのlog4netを組み込んで開発された.NET FrameworkベースのWindowsアプリケーションやWebアプリケーションは、本脆弱性の影響を受けます。 Apache log4net（2.0.10 より前のバージョン）を組み込んだ.NET FrameworkベースのWindowsアプリケーションおよびWebアプリケーション 2021年10月末に、PEPPERL+FUCHS社が提供する複数のDTM関連製品およびVisuNetにXML外部実体参照（XXE）の脆弱性が存在するとの情報が公表されました。その脆弱性は2017年9月に発見されたMicrosoft .NET Framework向けのオープンソースライ

ISC BINDには、応答速度制限（RRL）が有効な環境で、namedがUDPにて現在有効なインターフェイスの最大送信単位（MTU）より大きいレスポンスを返信しようとしてアサーションエラーが発生する、サービス運用妨害（DoS）（CWE-400、CVE-2021-25218）の脆弱性が存在します。

ソフトバンク株式会社が提供する光BBユニット E-WMTA2.3 には、クロスサイトリクエストフォージェリの脆弱性が存在します。

JVNVU#93485736 IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題（FragAttack） IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに、設計上の問題点が複数発見されました。また、発見者は複数の無線ネットワーク機器に共通する実装上の問題が存在していることも確認しています。これらの問題は総称して「FragAttack」と呼ばれています。 IEEE802.11 規格に関して複数の脆弱性が発見されました。これらの脆弱性のうち、3件については設計上の問題点であり、フレームアグリゲーションやフラグメンテーションの際に、攻撃者によって不正なパケットが挿入されたり、通信内容が窃取されたりする可能性があるというものです。 また、発見者は複数の無線ネットワーク製品に共通する実装上の問題を複数指摘しており、設計上の問題点と

CGI Script Market が提供するマガジンガーＺ <http://cgiscriptmarket.com/magazinegerZ/> は、ウェブサイトにメールマガジン配信機能を提供する CGI スクリプトです。 マガジンガーＺ には、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として

WRC-2533GST2 ファームウェア v1.14 より前のバージョン WRC-1900GST2 ファームウェア v1.14 より前のバージョン WRC-1750GST2 ファームウェア v1.14 より前のバージョン WRC-1167GST2 ファームウェア v1.10 より前のバージョン

JVNTA#95716145 TLS 1.2 およびそれ以前の Diffie-Hellman 鍵交換に対する攻撃手法について (Raccoon Attack) TLS (Transport Layer Security) 1.2 およびそれ以前の鍵交換手順で Diffie-Hellman が使われる場合に対し、中間者攻撃により pre-master secret を解読する攻撃手法 (Raccoon Attack) が報告されています。 TLS (Transport Layer Security) 1.2 およびそれ以前の鍵交換手順で Diffie-Hellman が使われる場合に対し、中間者攻撃により pre-master secret を解読する攻撃手法 (Raccoon Attack) が報告されています。 TLS の暗号化通信では、共有鍵暗号系アルゴリズムによる暗号化を行います。ク

Treck 社が提供する IP スタックを使用している製品 図研エルミックが提供する IP スタック KASAGO を使用している製品 Treck 社が提供する組み込み製品向け IP スタックには複数の脆弱性が存在します。 各脆弱性の詳細は、Treck 社が提供する情報や、脆弱性の報告者 JSOF が提供している情報 (Ripple20) を参照してください。 また、図研エルミックが提供する KASAGO は Treck 社の IP スタックと同じ起源の製品であり、同様の脆弱性が存在します。詳しくは図研エルミックが提供する情報 (KASAGO製品における脆弱性に関するお知らせ) を参照してください。

勾配降下法を用いて学習させたモデルを用いた分類を行う場合に、任意の分類結果が得られるような入力を意図的に作成することが可能です。これは、Kumar et al. による攻撃分類では、perturbation attacks や adversarial examples in the physical domain に該当します。 攻撃対象のシステムに対して、攻撃者がデータの入力や出力の確認などを行うことができる余地が大きいほど、攻撃が成功する可能性は大きくなります。 また、学習プロセスに関する情報（教師データ、学習結果、学習モデル、テストデータなど）があれば、攻撃はより容易に行えるようになります。 現状では、数秒で攻撃できるものから何週間も必要になるものまで様々な事例が知られています。 本件はアルゴリズムの脆弱性であり、攻撃対象となるシステムにおいて機械学習の仕組みがどのように使われている

複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 プロセッサチップ A5 から A11 を搭載する次の製品 iPhones 4s から iPhone X まで iPad 第 2 世代から 第 7 世代まで iPad Mini 第 2 世代および 第 3 世代 iPad Air および iPad Air 2 iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代 Apple Watch Series 1 から Series 3 まで Apple TV 第 3 世代 および 4k iPod Touch 第 5 世代 から 第 7 世代 脆弱性に該当するプロセッサチップを利用している製品であれば、上記以外の製品も影響を受けます。 なお、 A12 以降のプロセッサチップを使用している i

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害 (DoS) 状態に関する検討が行われています(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっています。 Data Dribble - CVE-2019-9511 攻撃者は複数のストリームを通じて大きなサイズのデータをリクエストし、ウィンドウサイズやストリームの優先順位を操作して、データが 1 バイト単位で処理されるように仕向けます。これらのデータを効率的に処理できなければ、CPU, メモリ、もしくはその両方が大量に消費され、サービス運用妨害 (DoS) 状態が引き起こされる可能

秘文 機密ファイル復号プログラムには、DLL 読み込みに関する脆弱性が存在します。 なお、本脆弱性は JVN#55516206 とは異なる問題です。

NTP.org が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。 NTP Project (NTP.org) が提供する Network Time Protocol daemon (ntpd) には複数の脆弱性が存在します。詳細は NTP project が提供する情報をご確認ください。 NTP Bug 3119 NULL ポインタ参照 (CWE-476) - CVE-2016-9311

概要 IPA(独立行政法人 情報処理推進機構)及びJPCERTコーディネーションセンターでは、情報セキュリティ早期警戒パートナーシップに基づいて届出られたソフトウェア製品の製品開発者、またはその関係者からのご連絡を求めています。 調査対象 情報セキュリティ早期警戒パートナーシップに基づいて届けられたソフトウェア製品で、インターネット等から入手し得る情報では連絡が取れない、以下の一覧に掲載されている製品開発者、またはその関係者が調査対象です。

JVNVU#98282440 「提督業も忙しい！」(KanColleViewer) がオープンプロキシとして動作する問題 オンラインゲーム用ユーティリティツール KanColleViewer は、Fiddler Core と呼ばれる HTTP プロキシライブラリを使い、クライアントとゲームサーバ間で行われる HTTPS 通信の内容をキャプチャしています。 Fiddler.FiddlerApplication.Startup() メソッドの呼出しにおいて、localhost 以外のホストからの接続を拒否するフラグの指定を明示的に行っていないため、当該製品が意図せずオープンプロキシとして動作する問題が存在します (CWE-441)。 なお、当該製品が使用する 37564/TCP に対するスキャン活動が観測されています。

ワイモバイルからの情報 脆弱性識別番号：JVN#81094176 脆弱性タイトル：Android OS がオープンリゾルバとして機能してしまう問題 ステータス：該当製品あり 以下の情報は、製品開発者から JVN に提供されたものです。 弊社携帯網（3G/4G LTE）をご利用中の場合、またはソフトバンクWi-Fiスポットを ご利用中の場合は基本的に本脆弱性の影響をうけません。Wi-Fiテザリングをご利用中 の場合も本脆弱性の影響をうけません。 信頼できないWi-Fi アクセスポイントに接続した状態で、USBテザリング機能、または Bluetoothテザリング機能を有効にした場合に、悪意ある第三者の不正な行為に気付 かないうちに加担してしまう可能性があります。 本脆弱性の影響を受ける製品は、次の製品です。 以下の製品は、対応検討中です。 ・京セラ社製 WX10K ・富士通社製 EM01F ・

SoftBankからの情報 脆弱性識別番号：JVN#81094176 脆弱性タイトル：Android OS がオープンリゾルバとして機能してしまう問題 ステータス：該当製品あり 以下の情報は、製品開発者から JVN に提供されたものです。 弊社携帯網（3G/4G LTE）をご利用中の場合、またはソフトバンクWi-Fiスポットを ご利用中の場合は基本的に本脆弱性の影響をうけません。Wi-Fiテザリングをご利用中 の場合も本脆弱性の影響をうけません。 信頼できないWi-Fi アクセスポイントに接続した状態で、USBテザリング機能、または Bluetoothテザリング機能を有効にした場合に、悪意ある第三者の不正な行為に気付 かないうちに加担してしまう可能性があります。 本脆弱性の影響を受ける製品は、次の製品です。 以下の製品は、最新ソフトウェアにて対処しておりますので、更新がまだの方は最新 ソフ

株式会社NTTドコモからの情報 脆弱性識別番号：JVN#81094176 脆弱性タイトル：Android OS がオープンリゾルバとして機能してしまう問題 ステータス：該当製品あり 以下の情報は、製品開発者から JVN に提供されたものです。 NTTドコモのネットワーク（3G/LTE, docomo Wi-Fi）をご利用中は、本脆弱性の影響を受けません。 また、Wi-Fiテザリングの機能をご利用中も、本脆弱性の影響を受けません。 信頼できないWi-Fiアクセスポイントに接続した状態で、USBテザリング、又はBluetoothテザリングの機能を有効にしないよう、お気をつけ下さい。 影響を受ける製品は、以下の2010年冬～2014年夏の製品です。 ■対処ソフト提供済み 対処ソフトの適用がまだの場合は、最新ソフトへアップデートをお願いします。 https://www.nttdocomo.co.j

ＫＤＤＩ株式会社からの情報 脆弱性識別番号：JVN#81094176 脆弱性タイトル：Android OS がオープンリゾルバとして機能してしまう問題 ステータス：該当製品あり 以下の情報は、製品開発者から JVN に提供されたものです。 影響を受ける製品は、以下の製品です。 対処ソフトの適用がまだの場合は、最新ソフトへアップデートをお願いします。 また、信頼できないネットワークやWi-Fiアクセスポイントに接続した状態でのテザリング機能のご利用はお控えください。 IS03 android™2.2　　　　　　　　対処未定 IS05　　　　　　　　　　　　　　　対処未定 AQUOS PHONE IS11SH　　　　　　　対処未定 AQUOS PHONE IS12SH　　　　　　　対処未定 AQUOS PHONE IS13SH　　　　　　　対処未定 AQUOS PHONE IS14SH