TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

ImpervaのクラウドWAFにルール回避のおそれ - すでに修正済み

【ニュース】 ◆ImpervaのクラウドWAFにルール回避のおそれ - すでに修正済み (Security NEXT, 2022/01/26) https://www.security-next.com/133632

SonicWall製VPN製品の脆弱性を狙った攻撃が発生 - 早急に更新を

【ニュース】 ◆SonicWall製VPN製品の脆弱性を狙った攻撃が発生 - 早急に更新を (Security NEXT, 2022/01/26) https://www.security-next.com/133613

「Deep Security」などトレンド2製品に脆弱性 - 実証コードが公開済み

【ニュース】 ◆「Deep Security」などトレンド2製品に脆弱性 - 実証コードが公開済み (Security NEXT, 2022/01/25) https://www.security-next.com/133574

Microsoft、マルウェアの温床となっていた古い「Excel」マクロ機能をデフォルト無効化

【ニュース】 ◆Microsoft、マルウェアの温床となっていた古い「Excel」マクロ機能をデフォルト無効化 (窓の杜, 2022/01/21 16:31) 30年前からある「Excel 4.0」(XLM)マクロ https://forest.watch.impress.co.jp/docs/news/1382510.html

Oracle Java SEに脆弱性、早急にアップデートを

【ニュース】 ◆Oracle Java SEに脆弱性、早急にアップデートを (マイナビニュース, 2022/01/20 15:51) https://news.mynavi.jp/techplus/article/20220120-2252804/

ラベルプリンタ「テプラ」の一部製品に脆弱性 - Wi-Fiの認証情報が漏洩するおそれ

【ニュース】 ◆ラベルプリンタ「テプラ」の一部製品に脆弱性 - Wi-Fiの認証情報が漏洩するおそれ (Security NEXT, 2022/01/14) https://www.security-next.com/133299

「Citrix Workspace App for Linux」に権限昇格の脆弱性

【ニュース】 ◆「Citrix Workspace App for Linux」に権限昇格の脆弱性 (Security NEXT, 2022/01/13) https://www.security-next.com/133191

Widespread, Easily Exploitable Windows RDP Bug Opens Users to Data Theft

【図表】 MiTM process intercepting the TSVCPIPE communication. Source: CyberArk. 出典:【ニュース】 ◆Widespread, Easily Exploitable Windows RDP Bug Opens Users to Data Theft (ThreatPost, 2022/01/12 16:05) [Windows RDPのバグが広く蔓延してお…

Attacking RDP from Inside: How we abused named pipes for smart-card hijacking, unauthorized file system access to client machines and more

【図表】 Virtual channel communication between rdpclip.exe, RDS and the RDP client Output of Sysinternals’ pipelist utility showing the TSVCPIPE pipe MiTM process intercepting the TSVCPIPE communication RDPDR initialization sequence from t…

「H2DB」にRCE脆弱性 - 「Log4Shell」と同じく「JNDI」に起因

【ニュース】 ◆「H2DB」にRCE脆弱性 - 「Log4Shell」と同じく「JNDI」に起因 (Security NEXT. 2022/01/11) https://www.security-next.com/133102

BIND (まとめ)

【目次】 概要 【最新情報】 記事 【ニュース】 【ブログ】 【注意喚起】 関連情報 【関連まとめ記事】 概要 【最新情報】 ◆BIND 9を救ったファジングテスト (マイナビニュース, 2022/01/07 15:29) https://news.mynavi.jp/techplus/article/20220107-224509…

BIND 9を救ったファジングテスト

【ニュース】 ◆BIND 9を救ったファジングテスト (マイナビニュース, 2022/01/07 15:29) https://news.mynavi.jp/techplus/article/20220107-2245090/ 【関連まとめ記事】◆全体まとめ ◆BIND (まとめ) https://vul.hatenadiary.com/entry/BIND

JFrog researchers find JNDI vulnerability in H2 database consoles similar to Log4Shell

【ニュース】 ◆JFrog researchers find JNDI vulnerability in H2 database consoles similar to Log4Shell (ZDNet, 2022/01/07) [JFrogの研究者がLog4Shellに似たH2データベースコンソールにJNDI脆弱性を発見] https://www.zdnet.com/article/jfrog-researc…

マイクロソフトが9年前に修正したはずの脆弱性が、いまになってハッカーに悪用され始めた

【ニュース】 ◆マイクロソフトが9年前に修正したはずの脆弱性が、いまになってハッカーに悪用され始めた (WIRED, 2021/01/07 17:00) https://wired.jp/2022/01/07/zloader-microsoft-signature-verification-hack/

Google Chromeの最新バージョンがリリース 深刻度「緊急」の脆弱性を修正

【ニュース】 ◆Google Chromeの最新バージョンがリリース 深刻度「緊急」の脆弱性を修正 (ITmedia, 2022/01/07) https://www.itmedia.co.jp/enterprise/articles/2201/07/news030.html

IoTベンダー各社、脆弱性レポート提出には消極的

【図表】 出典: https://eetimes.itmedia.co.jp/ee/articles/2201/06/news053.html 【ニュース】 ◆IoTベンダー各社、脆弱性レポート提出には消極的 (EE Times, 2022/01/06 09:30) https://eetimes.itmedia.co.jp/ee/articles/2201/06/news053.html

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

【ニュース】 ◆米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 (TechCrunch, 2022/01/06) https://jp.techcrunch.com/2022/01/06/2022-01-05-ftc-legal-action-log4j/

CWE (まとめ)

【CWEリスト】

「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開

【ニュース】 ◆「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開 (窓の杜, 2021/12/29 11:04) https://forest.watch.impress.co.jp/docs/news/1377994.html

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開

【ニュース】 ◆「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開 (ITmedia, 2021/12/9 16:05) https://www.itmedia.co.jp/news/articles/2112/29/news060.html

2021年末で「CentOS 8」のサポートが終了 - リリースからわずか2年強

【概要】■移行先 OS名称 URL MIRACLE LINUX 8.4 https://www.miraclelinux.com/ MIRACLE LINUX 9 https://www.miraclelinux.com/ Rocky Linux https://rockylinux.org/ AlmaLinux https://almalinux.org/ja/ Oracle Linux https://www.oracle.com/jp/linux/ …

Log4j 2.17.1 out now, fixes new remote code execution bug

【ニュース】 ◆Log4j 2.17.1 out now, fixes new remote code execution bug (BleepingComputer, 2021/12/28 15:12) https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/

Apache HTTP Server (まとめ)

【目次】 概要 【概要】 記事 【ニュース】 【公開情報】 【関連情報】 概要 【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/10/06 CVE-2021-41773 NVD 7.5 CWE-22 パストラバーサル Apache 2.4.50 で修正 2021/10/06 CVE-2021-41524 NVD 7.5 CWE-47…

Apache HTTP Server 2.4.52が公開 深刻度「緊急」の脆弱性に対処

【ニュース】 ◆Apache HTTP Server 2.4.52が公開 深刻度「緊急」の脆弱性に対処 (ITmedia, 2021/12/24) https://www.itmedia.co.jp/enterprise/articles/2112/24/news049.html

TP-LinkのWi-Fiルータに脆弱性、アップデートを

【ニュース】 ◆TP-LinkのWi-Fiルータに脆弱性、アップデートを (マイナビニュース, 2021/12/24 10:05) https://news.mynavi.jp/techplus/article/20211224-2237830/

WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要

【ニュース】 ◆WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要 (マイナビニュース, 2021/12/23 10:15) https://news.mynavi.jp/techplus/article/20211223-2236206/

WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を

【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/12/14 CVE-2021-25036 9.9 特権昇格 2021/12/14 CVE-2021-25037 7.7 SQL インジェクション 【ニュース】 ◆WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を (ITmedia, 2021/12/23 07:00)…

Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites

【ブログ】 ◆Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites (Sucuri Blog, 2021/12/21) https://blog.sucuri.net/2021/12/critical-vulnerabilities-in-all-in-one-seo-plugin-affects-millions-of-wordpress-…

Log4j [脆弱性] (まとめ)

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ …

MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート

【ニュース】 ◆MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート (Security NEXT, 2021/12/20) https://www.security-next.com/132668


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022