読者です 読者をやめる 読者になる 読者になる

TT 脆弱性 Blog

脆弱性情報の記録

ISC BIND 9に複数の脆弱性 - JPCERTが注意喚起

【ニュース】 ◆ISC BIND 9に複数の脆弱性 - JPCERTが注意喚起 (マイナビニュース, 2017/04/14) http://news.mynavi.jp/news/2017/04/14/059/

Apache Tomcatに情報窃取の脆弱性

【ニュース】 ◆Apache Tomcatに情報窃取の脆弱性 (マイナビニュース, 2017/04/14) http://news.mynavi.jp/news/2017/04/14/075/

VMware、ハッキングコンテスト“Pwn2Own”で報告された“ゲスト脱出”の脆弱性を修正

【ニュース】 ◆VMware、ハッキングコンテスト“Pwn2Own”で報告された“ゲスト脱出”の脆弱性を修正 (窓の杜, 2017/03/30 15:18) http://forest.watch.impress.co.jp/docs/news/1052215.html

Google patches Chrome bug from fizzled Pwn2Own hack

【ニュース】 ◆Google patches Chrome bug from fizzled Pwn2Own hack (CIO, 2017/03/30 12:03) http://www.cio.com/article/3186815/browsers/google-patches-chrome-bug-from-fizzled-pwn2own-hack.html?utm_content=bufferea36a&utm_medium=social&utm_so…

「ESXi」など複数VMware製品に深刻な脆弱性 - アップデートがリリース

出典: http://www.security-next.com/080075 【ニュース】 ◆「ESXi」など複数VMware製品に深刻な脆弱性 - アップデートがリリース (Security NEXT, 2017/03/29) http://www.security-next.com/080075 【公開情報】 ◆VMSA-2017-0006 (VMware) http://www.vmwa…

Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由

【ブログ】 ◆Struts 2の脆弱性でHTTPのContent-Typeヘッダーからリモートコード実行ができる理由 (yohgaki's blag, 2017/03/27) https://blog.ohgaki.net/struts-2-http-content-type-header-remote-code-execution

「Apache Struts 2」にあらたな問題が判明 - 「Content-Type」以外のHTTPヘッダでも攻撃可能

【ニュース】 ◆「Apache Struts 2」にあらたな問題が判明 - 「Content-Type」以外のHTTPヘッダでも攻撃可能 (Security NEXT, 2017/03/21) http://www.security-next.com/079743 【公開情報】 ◆S2-046 (Apache, 2017/03/21) https://cwiki.apache.org/conflue…

Apache Tomcat に脆弱性(CVE-2016-8747)

【概要】 脆弱性番号 CVE-2016-8747 脆弱性の内容 同一接続における複数のリクエストの間で情報が漏洩する可能性 リバースプロキシを使用したサーバ環境において、通信内容が他ユーザに漏洩する可能性 対策 アップデート(脆弱性がないバージョン) Apache Tom…

「Apache Struts 2」脆弱性、複数VMware製品に影響 - パッチ提供保留、一部緩和策も

【ニュース】 ◆「Apache Struts 2」脆弱性、複数VMware製品に影響 - パッチ提供保留、一部緩和策も (Security NEXT, 2017/03/15) http://www.security-next.com/079507 【公開情報】 ◆VMSA-2017-0004.7 (VMware) http://www.vmware.com/security/advisories/…

脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例

【ニュース】 ◆脆弱性情報の公開はタイミングが重要、WordPress 4.7.2が好例 (マイナビニュース, 2017/03/12) http://news.mynavi.jp/news/2017/03/12/066/

Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート

【公開情報】 ◆Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート (Softbank Technology, 2017/03/08) https://www.softbanktech.jp/information/20…

Apache Struts2に脆弱性(CVE-2017-5638)

【概要】 脆弱性番号 CVE-2017-5638 脆弱性内容 Apache Struts 2のJakarta Multipart parserのファイルアップロード処理に関連する脆弱性 Exploit Code 存在 攻撃 発生 インシデント JETRO (不正アクセス, 2017/03/08) J-STAGE 科学技術振興機構 (不正アクセ…

「SMBv3」のゼロデイ脆弱性、ウェブ誘導から悪用可能

【ニュース】 ◆「SMBv3」のゼロデイ脆弱性、ウェブ誘導から悪用可能 (Security NEXT, 2017/03/07) http://www.security-next.com/079248

コンテンツマネジメントシステム「dotCMS」に脆弱性

【ニュース】 ◆コンテンツマネジメントシステム「dotCMS」に脆弱性 (Security NEXT, 2017/03/07) http://www.security-next.com/079254

Windowsに再起動引き起こされるゼロデイの脆弱性

【概要】 WindowsのSMBv3実装にゼロデイの脆弱性が存在 Windows Server 2012およびWindows Server 2016にこの脆弱性が存在 【ニュース】 ◆Windowsに再起動引き起こされるゼロデイの脆弱性 (マイナビニュース, 2017/02/07) http://news.mynavi.jp/news/2017/0…

2016年4Qの脆弱性登録は1571件 - 「Android」が129件で最多

IPA

http://www.security-next.com/077730 出典: http://www.security-next.com/077730【ニュース】 ◆2016年4Qの脆弱性登録は1571件 - 「Android」が129件で最多 (Security NEXT, 2017/01/25) http://www.security-next.com/077730

BINDに複数の脆弱性

【ニュース】 ◆BINDに複数の脆弱性 (マイナビニュース, 2017/01/12) http://news.mynavi.jp/news/2017/01/12/273/ ◆ISC Releases Security Updates for BIND (2017/01/11) https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-…

Vim/NeoVimに任意のコード実行の脆弱性

Vim

【ニュース】 ◆Vim/NeoVimに任意のコード実行の脆弱性 (マイナビニュース, 2016/12/27) http://archive.fo/rC2Wb#selection-1261.0-1261.23

SKYSEA Client View の脆弱性(CVE-2016-7836)

【公開情報】 ◆【重要】グローバルIPアドレス環境で運用されている場合の注意喚起(CVE-2016-7836) (Sky, 2016/12/21) http://www.skyseaclientview.net/news/161221/

Windowsに特権昇格の脆弱性 - 今後のアップデートに注目

【ニュース】 ◆Windowsに特権昇格の脆弱性 - 今後のアップデートに注目 (マイナビニュース, 2016/11/02) http://news.mynavi.jp/news/2016/11/02/360/ ◆Windowsに深刻な脆弱性、標的型攻撃で悪用 - 11月8日にパッチが公開予定 (Se curity NEXT, 2016/11/02) …

Qualcommチップセットの脆弱性「QuadRooter」、9億台以上のAndroid端末に影響

【ニュース】 ◆Qualcommチップセットの脆弱性「QuadRooter」、9億台以上のAndroid端末に影響 (Internet Watch, 2016/08/09 14:54) http://internet.watch.impress.co.jp/docs/news/1014527.html

「Apache Struts 2」に深刻な脆弱性

【ニュース】 ◆「Apache Struts 2」に深刻な脆弱性、バージョンアップを強く推奨(ラック)(NetSecurity,2016/06/21 08:00) http://scan.netsecurity.ne.jp/article/2016/06/21/38614.html

Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起

【概要】 現象 メールをOUTLOOKで受け取っただけで感染 脆弱性名称 BadWinmail 攻撃方法 OLEをメールに埋め込む 【ニュース】 ◆Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起 (インプレス…

Microsoft、脆弱性緩和ツール「EMET 5.1」を公開。アプリケーションとの互換性を向上

【ニュース】 ◆Microsoft、脆弱性緩和ツール「EMET 5.1」を公開。アプリケーションとの互換性を向上 (窓の杜, 2014/11/11 15:25) 緩和策の発動時にメモリダンプをローカルに保存する“Local Telemetry”機能が追加 http://forest.watch.impress.co.jp/docs/new…

制御システム向けのセキュアなCコーディングルール - JPCERT/CC

【概要】 ARR38-C ライブラリ関数が無効なポインタを生成しないことを保証する MSC34-C 廃止予定の関数や古い関数を使用しない ARR30-C 境界外を指すポインタや配列添字を生成したり使用したりしない STR31-C 文字データとnull終端文字を格納するために十分…

OpenSSLに重大な脆弱性(1)

【ニュース】 ◆OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ (ITmedia, 2014/04/08 07:27) 悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある http://www.itmedia.co.jp/enterprise/articles/1404…

三四郎の脆弱性

【ニュース】 ◆表計算ソフト「三四郎」に脆弱性、アップデートモジュール適用を (Internet Watch, 2014/01/28 17:02) http://internet.watch.impress.co.jp/docs/news/20140128_632763.html 【公開情報】 ◆三四郎の脆弱性を悪用した不正なプログラムの実行危…

ソフトウエア等脆弱性関連情報取扱基準の一部を改正する告示案

【パブリックコメント】 ◆ソフトウエア等脆弱性関連情報取扱基準の一部を改正する告示案 (経産省, 2014/01/24) http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595114006&Mode=0

動的メモリ管理に関する脆弱性

【解説記事】 ◆動的メモリ管理に関する脆弱性 (@IT, 2014/01/23 18:00) http://www.atmarkit.co.jp/ait/articles/1401/23/news002.html

libpngに脆弱性

【概要】 libpngのバージョン1.6.1~1.6.7にnullポインタ逆参照の脆弱性が存在 【ニュース】 ◆PNGライブラリ「libpng」、コード実行の脆弱性を修正 (ITmedia, 2014/01/10) 脆弱性を修正した最新版の「libpng 1.6.8」がリリースされた http://www.itmedia.co.…

企業のMacの82%は旧バージョン、セキュリティ問題も修正されず

Mac

【ニュース】 ◆企業のMacの82%は旧バージョン、セキュリティ問題も修正されず (ITmedia, 2014/01/10 07:58) Sophosが調べた結果、最新版の「OS X Mavericks 10.9」を使っている企業はわずか18%だった http://www.itmedia.co.jp/news/articles/1401/10/news…

マイクロソフト、1月15日公開の月例パッチは“重要”4件

【ニュース】 ◆マイクロソフト、1月15日公開の月例パッチは“重要”4件 (Internet Watch, 2014/01/10 12:06) http://internet.watch.impress.co.jp/docs/news/20140110_630323.html

Adobe Acrobat/Reader の ToolButton オブジェクト処理に起因する解放済みメモリ使用の脆弱性

【ニュース】 ◆Adobe Acrobat/Reader の ToolButton オブジェクト処理に起因する解放済みメモリ使用の脆弱性(Scan Tech Report) (netSecurity, 2014/01/08 08:00) http://scan.netsecurity.ne.jp/article/2014/01/08/33302.html

HPのプリンタに情報流出の脆弱性

【ニュース】 ◆HPのプリンタに情報流出の脆弱性 (ITmedia, 2006/04/07 08:09) HPのColor LaserJet 2500/4600プリンタでインストールされるToolboxソフトのWindows版に脆弱性が存在し、リモートから情報を盗まれる恐れがある http://www.itmedia.co.jp/enter…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017