TT 脆弱性 Blog

脆弱性情報の記録

WindowsのSMBにゼロデイのセキュリティ脆弱性

【ニュース】 ◆WindowsのSMBにゼロデイのセキュリティ脆弱性 (マイナビニュース, 2017/07/27) http://news.mynavi.jp/news/2017/07/27/117/

Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ

【ニュース】 ◆Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ (ZDNet, 2017/06/21 11:48) https://japan.zdnet.com/article/35103039/ 【関連情報】 ◆Large memory management vulnerabilities (Beijaflore, 2005/03/04) https://cansecwest.com/core05…

「sudo」に深刻な脆弱性 - ルート権限を取得されるおそれ

【ニュース】 ◆「sudo」に深刻な脆弱性 - ルート権限を取得されるおそれ (Security NEXT, 2017/06/02) http://www.security-next.com/082335 【公開情報】 ◆Sudo Main Page https://www.sudo.ws/

「Samba」に重大な脆弱性、直ちに対処を

【ニュース】 ◆「Samba」に重大な脆弱性、直ちに対処を (ITmedia, 2017/05/26 08:30) 脆弱(ぜいじゃく)性はたった1行の攻撃コードで悪用できるといい、セキュリティ企業は「炎上の可能性もある恐ろしいバグ」と形容している http://www.itmedia.co.jp/news…

字幕ファイル経由でPCをハッキングすることが可能なことが明らかに

【ニュース】 ◆字幕ファイル経由でPCをハッキングすることが可能なことが明らかに (Gigazine, 2017/05/24 19:00) http://gigazine.net/news/20170524-subtitle-file-hack-computer/

Ubuntu、ログイン画面に不正アクセスできる脆弱性

【概要】 Ubuntu 16.10およびUbuntu 17.04のLightDMディスプレイマネージャにバグ 【ニュース】 ◆Ubuntu、ログイン画面に不正アクセスできる脆弱性 (マイナビニュース, 2017/05/18) http://news.mynavi.jp/news/2017/05/18/067/

MS17-010 の適用状況の確認方法

【概要】 wmic qfe list | find “” 【脆弱性情報】 OS 2017-03 B 2017-03 B’ 2017-04 B’ 2017-05 B’ 個別パッチ Windows XP / Windows Server 2003 / Windows 8 KB4012598 Windows Vista / Windows Server 2008 KB4012598 Windows 7 / Windows Server 2008 R…

MS17-010 の適用状況の確認方法について (WSUS)

【公開情報】 ◆[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS) (Microsoft, 2017/05/15) https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/

ISC BIND 9に複数の脆弱性 - JPCERTが注意喚起

【ニュース】 ◆ISC BIND 9に複数の脆弱性 - JPCERTが注意喚起 (マイナビニュース, 2017/04/14) http://news.mynavi.jp/news/2017/04/14/059/

Apache Tomcatに情報窃取の脆弱性

【ニュース】 ◆Apache Tomcatに情報窃取の脆弱性 (マイナビニュース, 2017/04/14) http://news.mynavi.jp/news/2017/04/14/075/

VMware、ハッキングコンテスト“Pwn2Own”で報告された“ゲスト脱出”の脆弱性を修正

【ニュース】 ◆VMware、ハッキングコンテスト“Pwn2Own”で報告された“ゲスト脱出”の脆弱性を修正 (窓の杜, 2017/03/30 15:18) http://forest.watch.impress.co.jp/docs/news/1052215.html

Google patches Chrome bug from fizzled Pwn2Own hack

【ニュース】 ◆Google patches Chrome bug from fizzled Pwn2Own hack (CIO, 2017/03/30 12:03) http://www.cio.com/article/3186815/browsers/google-patches-chrome-bug-from-fizzled-pwn2own-hack.html?utm_content=bufferea36a&utm_medium=social&utm_so…

「ESXi」など複数VMware製品に深刻な脆弱性 - アップデートがリリース

出典: http://www.security-next.com/080075 【ニュース】 ◆「ESXi」など複数VMware製品に深刻な脆弱性 - アップデートがリリース (Security NEXT, 2017/03/29) http://www.security-next.com/080075 【公開情報】 ◆VMSA-2017-0006 (VMware) http://www.vmwa…

Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由

【ブログ】 ◆Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由 (yohgaki's blag, 2017/03/27) https://blog.ohgaki.net/struts-2-http-content-type-header-remote-code-execution

「Apache Struts 2」にあらたな問題が判明 - 「Content-Type」以外のHTTPヘッダでも攻撃可能

【ニュース】 ◆「Apache Struts 2」にあらたな問題が判明 - 「Content-Type」以外のHTTPヘッダでも攻撃可能 (Security NEXT, 2017/03/21) http://www.security-next.com/079743 【公開情報】 ◆S2-046 (Apache, 2017/03/21) https://cwiki.apache.org/conflue…

Apache Tomcat に脆弱性(CVE-2016-8747)

【概要】 脆弱性番号 CVE-2016-8747 脆弱性の内容 同一接続における複数のリクエストの間で情報が漏洩する可能性 リバースプロキシを使用したサーバ環境において、通信内容が他ユーザに漏洩する可能性 対策 アップデート(脆弱性がないバージョン) Apache Tom…

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)

【公開情報】 ◆マイクロソフト セキュリティ情報 MS17-010 - 緊急 (Microsoft,2017/03/15) Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389) https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx ◆[WannaCrypt] MS…

「Apache Struts 2」脆弱性、複数VMware製品に影響 - パッチ提供保留、一部緩和策も

【ニュース】 ◆「Apache Struts 2」脆弱性、複数VMware製品に影響 - パッチ提供保留、一部緩和策も (Security NEXT, 2017/03/15) http://www.security-next.com/079507 【公開情報】 ◆VMSA-2017-0004.7 (VMware) http://www.vmware.com/security/advisories/…

脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例

【ニュース】 ◆脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例 (マイナビニュース, 2017/03/12) http://news.mynavi.jp/news/2017/03/12/066/

Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート

【公開情報】 ◆Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート (Softbank Technology, 2017/03/08) https://www.softbanktech.jp/information/20…

Apache Struts2に脆弱性(CVE-2017-5638)

【概要】 脆弱性番号 CVE-2017-5638 脆弱性内容 Apache Struts 2のJakarta Multipart parserのファイルアップロード処理に関連する脆弱性 Exploit Code 存在 攻撃 発生 インシデント JETRO (不正アクセス, 2017/03/08) J-STAGE 科学技術振興機構 (不正アクセ…

「SMBv3」のゼロデイ脆弱性、ウェブ誘導から悪用可能

【ニュース】 ◆「SMBv3」のゼロデイ脆弱性、ウェブ誘導から悪用可能 (Security NEXT, 2017/03/07) http://www.security-next.com/079248

コンテンツマネジメントシステム「dotCMS」に脆弱性

【ニュース】 ◆コンテンツマネジメントシステム「dotCMS」に脆弱性 (Security NEXT, 2017/03/07) http://www.security-next.com/079254

Windowsに再起動引き起こされるゼロデイの脆弱性

【概要】 WindowsのSMBv3実装にゼロデイの脆弱性が存在 Windows Server 2012およびWindows Server 2016にこの脆弱性が存在 【ニュース】 ◆Windowsに再起動引き起こされるゼロデイの脆弱性 (マイナビニュース, 2017/02/07) http://news.mynavi.jp/news/2017/0…

2016年4Qの脆弱性登録は1571件 - 「Android」が129件で最多

IPA

http://www.security-next.com/077730 出典: http://www.security-next.com/077730【ニュース】 ◆2016年4Qの脆弱性登録は1571件 - 「Android」が129件で最多 (Security NEXT, 2017/01/25) http://www.security-next.com/077730

BINDに複数の脆弱性

【ニュース】 ◆BINDに複数の脆弱性 (マイナビニュース, 2017/01/12) http://news.mynavi.jp/news/2017/01/12/273/ ◆ISC Releases Security Updates for BIND (2017/01/11) https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-…

Vim/NeoVimに任意のコード実行の脆弱性

Vim

【ニュース】 ◆Vim/NeoVimに任意のコード実行の脆弱性 (マイナビニュース, 2016/12/27) http://archive.fo/rC2Wb#selection-1261.0-1261.23

SKYSEA Client View の脆弱性(CVE-2016-7836)

【公開情報】 ◆【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836) (Sky, 2016/12/21) http://www.skyseaclientview.net/news/161221/

Windowsに特権昇格の脆弱性 - 今後のアップデートに注目

【ニュース】 ◆Windowsに特権昇格の脆弱性 - 今後のアップデートに注目 (マイナビニュース, 2016/11/02) http://news.mynavi.jp/news/2016/11/02/360/ ◆Windowsに深刻な脆弱性、標的型攻撃で悪用 - 11月8日にパッチが公開予定 (Se curity NEXT, 2016/11/02) …

Qualcommチップセットの脆弱性「QuadRooter」、9億台以上のAndroid端末に影響

【ニュース】 ◆Qualcommチップセットの脆弱性「QuadRooter」、9億台以上のAndroid端末に影響 (Internet Watch, 2016/08/09 14:54) http://internet.watch.impress.co.jp/docs/news/1014527.html

「Apache Struts 2」に深刻な脆弱性

【ニュース】 ◆「Apache Struts 2」に深刻な脆弱性、バージョンアップを強く推奨(ラック)(NetSecurity,2016/06/21 08:00) http://scan.netsecurity.ne.jp/article/2016/06/21/38614.html

「Apache Struts 2」に深刻な脆弱性 – 一部実証コードが公開済み

【ニュース】 ◆「Apache Struts 2」に深刻な脆弱性 – 一部実証コードが公開済み (Security NEXT, 2016/04/27) http://www.security-next.com/069349

「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用

【ニュース】 ◆「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (Internet watch, 2016/04/25 15:01) http://internet.watch.impress.co.jp/docs/news/2016…

Flashの緊急パッチ、今すぐ更新を

【ニュース】 ◆Flashの緊急パッチ、今すぐ更新を (読売新聞, 2016/04/11) http://www.yomiuri.co.jp/science/goshinjyutsu/20160411-OYT8T50010.html

Flashのゼロデイ脆弱性、ランサムウェアの配布に使われる

【ニュース】 ◆Latest Flash Zero Day Being Used to Push Ransomware (threat post, 2016/04/07 09:08) https://threatpost.com/latest-flash-zero-day-being-used-to-push-ransomware/117248/ ◆Flashのゼロデイ脆弱性、ランサムウェアの配布に使われる (マ…

Oracle Java SEに任意コード実行の脆弱性

【概要】 Java SE JDK/JRE 8 Update 66およびこれよりも前のバージョンに脆弱性が存在 【ニュース】 ◆Oracle Java SEに任意コード実行の脆弱性 (マイナビニュース, 2016/01/21) http://news.mynavi.jp/news/2016/01/21/365/

Oracleが定例パッチ公開、計248件の脆弱性を修正

【ニュース】 ◆Oracleが定例パッチ公開、計248件の脆弱性を修正、Java SEやデータベース製品など (Internet Watch, 2016/01/20 15:25) http://internet.watch.impress.co.jp/docs/news/20160120_739860.html

BIND 9 に脆弱性、9.3.0以降の全バージョンに影響

【ニュース】 ◆「BIND 9」に脆弱性、9.3.0以降の全バージョンに影響 (Internet Watch, 2016/01/20 14:26) http://internet.watch.impress.co.jp/docs/news/20160120_739835.html ◆BIND 9に不正なレコード受信で異常終了する脆弱性 (Security NEXT, 2016/01/2…

マルチメディアフレームワーク「FFmpeg」の最新版v2.8.5が公開、2件の脆弱性修正

【ニュース】 ◆マルチメディアフレームワーク「FFmpeg」の最新版v2.8.5が公開、2件の脆弱性修正 (窓の杜, 2016/01/18 15:18) 「FFmpeg」v2系統に影響し、任意のローカルファイルを読み取られる恐れ http://www.forest.impress.co.jp/docs/news/20160118_7394…

シスコ製品(Aironet 1800)に深刻な脆弱性--パッチが公開

【ニュース】 ◆シスコ製品に深刻な脆弱性--パッチが公開 (ZDNet, 2016/01/15 11:44) http://japan.zdnet.com/article/35076261/ 【脆弱性情報】 ◆Cisco Aironet 1800 Series Access Point Default Static Account Credentials Vulnerability (CISCO, 2016/01…

FFmpegに脆弱性

【ニュース】 ◆FFmpegに脆弱性 (マイナビニュース, 2016/01/15) http://news.mynavi.jp/news/2016/01/15/458/ ◆Zero-Day FFmpeg Vulnerability Lets Anyone Steal Files from Remote Machines (Softpedia, 2016/01/14 07:03) http://news.softpedia.com/news…

DHCPが異常停止する脆弱性 - ほぼすべての環境に影響

【ニュース】 ◆DHCPが異常停止する脆弱性 - ほぼすべての環境に影響 (Security NEXT, 2016/01/13) http://www.security-next.com/065837

11月は脆弱性攻撃が大幅減、危険なSQLインジェクションに注意

【ニュース】 ◆11月は脆弱性攻撃が大幅減、危険なSQLインジェクションに注意 - ペンタ (マイナビニュース, 2016/01/12) http://news.mynavi.jp/news/2016/01/12/419/

Adobe Flash Player v20.0.0.267のActiveX埋め込みに問題、修正版がリリース

【ニュース】 ◆「Adobe Flash Player」v20.0.0.267のActiveX埋め込みに問題、修正版がリリース (窓の杜, 2016/01/07 17:13) すでに自動更新で配信済み。Windows 8.x向けのみ12日へずれ込む予定 http://www.forest.impress.co.jp/docs/news/20160107_738040.h…

Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起

【概要】 現象 メールをOUTLOOKで受け取っただけで感染 脆弱性名称 BadWinmail 攻撃方法 OLEをメールに埋め込む 【ニュース】 ◆Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起 (インプレス…

AVG Web TuneUp に深刻な脆弱性

【ニュース】 ◆セキュリティベンダーAVGが公開しているChrome拡張「AVG Web TuneUp」に深刻な脆弱性 (窓の杜, 2016/01/05 17:42) 12月21日付けでリリースされたv4.2.5.169で修正済みか http://www.forest.impress.co.jp/docs/news/20160105_737613.html

Flash Playerのパッチ適用を急いで 脆弱性突く攻撃発生

【ニュース】 ◆Flash Playerのパッチ適用を急いで 脆弱性突く攻撃発生 (ITmedia, 2016/01/05 07:20) 12月下旬にパッチが公開された時点で攻撃の発生が確認されていた http://www.itmedia.co.jp/news/articles/1601/05/news046.html ◆「Adobe Flash Player」…

米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能

【ニュース】 ◆米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能 (スラド, 2015/12/14) http://security.srad.jp/story/15/12/13/1743245/

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

【ニュース】 ◆汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中 (Security NEXT, 2015/11/17) http://www.security-next.com/064338

エクスプロイトキットの8割がFlashの脆弱性を悪用

【ニュース】 ◆エクスプロイトキットの8割がFlashの脆弱性を悪用 (マイナビニュース, 2015/11/13) http://news.mynavi.jp/news/2015/11/13/239/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017