【ニュース】 ◆XZ Utils に悪意のあるコードが挿入された問題 (NetSecurity, 2024/04/08 08:00) https://scan.netsecurity.ne.jp/article/2024/04/08/50831.html 【関連まとめ記事】◆全体まとめ ◆ツール / コマンド の脆弱性 (まとめ) ◆XZ Utils (まとめ) ht…

【ニュース】 ◆Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か (ITmedia, 2024/04/02 14:44) https://www.itmedia.co.jp/enterprise/articles/2404/02/news097.html 【関連まとめ記事】◆全体まとめ ◆ツール / コマンド の脆弱性 (…

【訳】Linuxシステム向けXZ Utilsに悪意のあるコードが存在し、リモートでコードが実行される可能性 【図表】 Source: Thomas Roccia(https://twitter.com/fr0gger_/status/1774342248437813525/photo/1) 出典: https://thehackernews.com/2024/04/malicious…

// " + url + "自動で切り替わります。5秒だけお待ち下さい。"); // リダイレクト処理 setTimeout("redirect()", 5000); // 5秒後に転送する function redirect(){ location.href = url; } // 移行を伝える「canonical」の書き換え var link = document.getE…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/27 2024/03/03 CVE-2024-28085 NVD ベンダー - - - 【ニュース】 ◆Decade-old Linux ‘wall’ bug helps make fake SUDO prompts, steal passwords (BleepingComputer, 2024/03/…

【ニュース】■2013年 ◆2012年はAndroidや制御システムの脆弱性報告が急増 (ITmedia, 2013/01/21 16:39) IPAの脆弱性対策情報データベースによれば、危険度の高い脆弱性の割合が多いという http://www.itmedia.co.jp/enterprise/articles/1301/21/news103.htm…

【公開情報】 ◆XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について (JPCERT/CC, 2024/04/01) https://www.jpcert.or.jp/newsflash/2024040101.html 【関連まとめ記事】◆全体まとめ ◆ツール / コマンド の脆弱性 (まとめ) ◆XZ Utils (まと…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/27 2024/03/03 CVE-2024-28085 NVD ベンダー - - - 【ニュース】 ◆Linuxのwallコマンドにパスワード流出につながる脆弱性、更新を (マイナビニュース, 2024/04/01 08:26) http…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/29 2024/03/29 CVE-2024-3094 NVD Red Hat 10.0(Red Hat) CWE-506 埋め込まれた悪意のあるコード 【ニュース】 ◆緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 -…

【ニュース】 ◆最新Androidセキュアコーディングガイドに英語版 - JSSEC (Security NEXT, 2024/04/01) https://www.security-next.com/155376

【ニュース】 ◆ライブラリ「XZ Utils」の一部バージョンに悪意あるコード (Security NEXT, 2024/04/01) https://www.security-next.com/155438 【関連まとめ記事】◆全体まとめ ◆ツール / コマンド の脆弱性 (まとめ) ◆XZ Utils (まとめ) https://vul.hatenad…

【ニュース】 ◆WordPress 用プラグイン easy-popup-show に CSRF の脆弱性 (NetSecurity, 2024/03/29 08:00) 独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月25日、WordPress 用プラグイン easy…

【ニュース】 ◆エレコム製無線ルータに複数の脆弱性 (NetSecurity, 2024/03/29 08:00) 独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月26日、エレコム製無線ルータにおける複数の脆弱性について…

【ニュース】 ◆WordPress 用プラグイン Survey Maker に複数の脆弱性 (NetSecurity, 2024/03/29 08:00) 独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は3月27日、WordPress 用プラグイン Survey Ma…

【訳】NIST、国家脆弱性データベースを運営する新コンソーシアムを発表 【要約】 NISTは、国家脆弱性データベース（NVD）の一部を業界コンソーシアムに移管し、2024年4月から運営を委託することを発表した。NVDは世界で最も包括的な脆弱性データベースであり…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/27 2024/03/03 CVE-2024-28085 NVD ベンダー - - - 【訳】10年前のLinuxの「壁」バグ、偽のSUDOプロンプトを作成しパスワードを盗むのに役立つ 【要約】 Linuxの"wall"コマン…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 CVE-2024-2883 NVD ベンダー - - 【ニュース】 ◆「Chromium」の深刻な脆弱性、すでに悪用済み - 「MS Edge」も緊急更新 (Security NEXT, 2024/03/28) https://www.security-next.com/1…

【ニュース】 ◆ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を (Security NEXT, 2024/03/28) https://www.security-next.com/155299

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/05/09 2023/01/31 CVE-2023-24955 NVD Microsoft 7.2(Microsoft) - - 【ニュース】 ◆「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起 (Security NEXT, 2024/03/27…

【訳】Google、Pwn2Own 2024で悪用されたChromeのゼロデイを修正 【図表】 出典: https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-days-exploited-at-pwn2own-2024/ 【要約】 GoogleはPwn2Own Vancouver 2024で悪用されたChromeの…

【訳】CISAは、Microsoft SharePointのRCEバグを積極的に悪用されているとしている 【要約】 CISAは、Microsoft SharePointのコードインジェクションの脆弱性を積極的に悪用されていると判断し、重大な特権昇格の欠陥と連鎖してリモートコード実行攻撃を警告…

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/05/09 2023/01/31 CVE-2023-24955 NVD Microsoft 7.2(Microsoft) - - 【ニュース】 ◆「SharePoint Server」の脆弱性悪用に要警戒 - 米当局が注意喚起 (Security NEXT, 2024/03/27)…

【訳】ドイツ、脆弱なマイクロソフトExchangeサーバー17K台がネット上に公開されたと警告 【図表】 出典: https://www.bleepingcomputer.com/news/security/germany-warns-of-17k-vulnerable-microsoft-exchange-servers-exposed-online/ 【要約】 ドイツの…

【ニュース】■2013年 ◆Ruby on Rails has SQL injection vuln (The Register, 2013/01/04 07:00) http://www.theregister.co.uk/2013/01/03/ruby_on_rails_sql_injection_vuln/ ⇒ https://vul.hatenadiary.com/entry/2013/01/04/000000 ■2014年 ◆Ruby on Rai…

【訳】CISA、ソフトウェア開発者にSQLインジェクション脆弱性の排除を促す 【ニュース】 ◆CISA urges software devs to weed out SQL injection vulnerabilities (BleepingComputer, 2024/03/25 14:26) [CISA、ソフトウェア開発者にSQLインジェクション脆弱…

【訳】Mozilla、Pwn2Ownで悪用されたFirefoxのゼロデイバグ2件を修正 【ニュース】 ◆Mozilla fixes two Firefox zero-day bugs exploited at Pwn2Own (BleepingComputer, 2024/03/22 13:45) [Mozilla、Pwn2Ownで悪用されたFirefoxのゼロデイバグ2件を修正] h…

【訳】アップル製シリコンCPUへの新たなGoFetch攻撃で暗号鍵が盗まれる可能性 【図表】 出典: https://www.bleepingcomputer.com/news/security/new-gofetch-attack-on-apple-silicon-cpus-can-steal-crypto-keys/ 【要約】 新たなサイドチャネル攻撃「GoFet…

【ニュース】 ◆攻撃者すら停止できない無限ループのUDP通信起こす脆弱性、約30万台に影響 (マイナビニュース, 2024/03/22 10:05) https://news.mynavi.jp/techplus/article/20240322-2911639/

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/20 2023/10/27 CVE-2023-46808 NVD Ivanti 9.9(Ivanti) - - 2024/03/20 2023/08/31 CVE-2023-41724 NVD Ivanti 9.6(Ivanti) - - 【ニュース】 ◆Ivantiの複数製品に深刻な脆弱…

【訳】GitHubの新しいAI搭載ツール、コードの脆弱性を自動修正 【要約】 GitHubは、AI機能を備えた新しいツールを発表し、コード中の脆弱性を自動的に修正することを可能にしました。この機能は、GitHub Advanced Security（GHAS）の一部であり、公開ベータ…