TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Chromebookの「Chrome OS」も更新サイクルが4週間に

【ニュース】 ◆Chromebookの「Chrome OS」も更新サイクルが4週間に (ITmedia, 2021/06/13 06:29) https://www.itmedia.co.jp/news/articles/2106/13/news019.html

Chromeに緊急の脆弱性、サイバー攻撃での利用もすでに観測

【ニュース】 ◆Chromeに緊急の脆弱性、サイバー攻撃での利用もすでに観測 (ITmedia, 2021/06/11 18:30) https://www.itmedia.co.jp/enterprise/articles/2106/11/news129.html

「vCenter Server」脆弱性、実証コード公開済み - 5月28日ごろより探索も

【ニュース】 ◆「vCenter Server」脆弱性、実証コード公開済み - 5月28日ごろより探索も (Security NEXT, 2021/06/07) https://www.security-next.com/126925

SAML認証ライブラリ「Lasso」に脆弱性 - ライブラリ依存の幅広い製品へ影響

【ニュース】 ◆SAML認証ライブラリ「Lasso」に脆弱性 - ライブラリ依存の幅広い製品へ影響 (Security NEXT, 2021/06/03) https://www.security-next.com/126819

診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった

【概要】 項目 内容 原因 現職および元スタッフのユーザーアカウントが適切に削除されていなかった 現象 患者データへのアクセスが可能 【ニュース】 ◆診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった (TechCrunch, …

「VMware vCenter Server」に深刻なRCE脆弱性 - 早急に対応を

【ニュース】 ◆「VMware vCenter Server」に深刻なRCE脆弱性 - 早急に対応を (Security NEXT, 2021/05/26) https://www.security-next.com/126534

Bluetooth (まとめ)

【概要】 公開日 CVE番号 NVD 備考 2017/09/12 CVE-2017-1000251 Linuxカーネルにおける、リモートコード実行の脆弱性(BlueBorne) 2017/09/12 CVE-2017-1000250 LinuxのBluetoothスタック「BlueZ」の情報漏えいの脆弱性(BlueBorne) 2017/09/12 CVE-2017-0785…

VMSA-2021-0010

【公開情報】 ◆VMSA-2021-0010 (VMware, 2021/05/25) https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Bluetoothに複数の脆弱性、なりすましや中間者攻撃のおそれ

【ニュース】 ◆Bluetoothに複数の脆弱性、なりすましや中間者攻撃のおそれ (Security NEXT, 2021/05/25) https://www.security-next.com/126481 【関連まとめ記事】◆全体まとめ ◆Bluetooth (まとめ) https://vul.hatenadiary.com/entry/Bluetooth

「Pulse Connect Secure」に未修正の脆弱性 - 更新準備中、回避策実施を

【ニュース】 ◆「Pulse Connect Secure」に未修正の脆弱性 - 更新準備中、回避策実施を (Security NEXT, 2021/05/25) https://www.security-next.com/126485

人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意

【ニュース】 ◆人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意 (ITmedia, 2021/05/24 15:52) https://www.itmedia.co.jp/enterprise/articles/2105/24/news106.html

Ciscoの複数の製品に脆弱性の報告 アップデート適用を

【ニュース】 ◆Ciscoの複数の製品に脆弱性の報告 アップデート適用を (ITmedia, 2021/05/24 18:30) https://www.itmedia.co.jp/enterprise/articles/2105/24/news117.html

FragAttacks (まとめ)

【図表】 Design flaw: aggregation attack Design flaw: mixed key attack Design flaw: fragment cache attack 出典: https://www.fragattacks.com/ 【ニュース】 ◆事実上ほぼ全てのWi-Fiデバイスに内在する脆弱性「FragAttacks」が公開される、ユーザー名…

脆弱性「FragAttacks」が判明 - ほぼすべてのWi-Fi機器に影響

【ニュース】 ◆脆弱性「FragAttacks」が判明 - ほぼすべてのWi-Fi機器に影響 (Security NEXT, 2021/05/14) https://www.security-next.com/126150 【関連まとめ記事】◆全体まとめ ◆Wi-Fi / 無線LAN (まとめ) ◆FragAttacks (まとめ) https://vul.hatenadiary.…

すべてのWi-Fi製品に影響及ぼす可能性ある脆弱性、再び発見

【ニュース】 ◆すべてのWi-Fi製品に影響及ぼす可能性ある脆弱性、再び発見 (マイナビニュース, 2021/05/13 14:52) https://news.mynavi.jp/article/20210513-1887755/ 【関連まとめ記事】◆全体まとめ ◆Wi-Fi / 無線LAN (まとめ) ◆FragAttacks (まとめ) https…

Wi-Fiの新たな脆弱性「FragAttacks」公表、ベンダー各社が対応を公開中

【ニュース】 ◆Wi-Fiの新たな脆弱性「FragAttacks」公表、ベンダー各社が対応を公開中 (24Wireless, 2021/05/12) https://24wireless.info/wifi-fragattacks-vulnerability

Fragment and Forge: Breaking Wi-Fi Through Frame Aggregation and Fragmentation

【要点】 ◎FragAttacks に関する論文です 【概要】 In this paper, we present three design flaws in the 802.11 standard that underpins Wi-Fi. One design flaw is in the frame aggregation functionality, and another two are in the frame fragmenta…

FragAttack

【図表】 出典: https://www.fragattacks.com/ 【公開情報】 ◆FragAttack (fragattacks.com, 2021/05/12) https://www.fragattacks.com/ 【関連まとめ記事】◆全体まとめ ◆Wi-Fi / 無線LAN (まとめ) ◆FragAttacks (まとめ) https://vul.hatenadiary.com/entry…

FragAttack: New Wi-Fi vulnerabilities that affect… basically everything

【概要】■CVE番号 CVE番号 備考 CVE-2020-24588 Aggregation attack (accepting non-SPP A-MSDU frames) CVE-2020-24587 Mixed key attack (reassembling fragments encrypted under different keys). CVE-2020-24586 Fragment cache attack (not clearing f…

事実上ほぼ全てのWi-Fiデバイスに内在する脆弱性「FragAttacks」が公開される、ユーザー名やパスワードの流出、PCの乗っ取りも可能

【ニュース】 ◆事実上ほぼ全てのWi-Fiデバイスに内在する脆弱性「FragAttacks」が公開される、ユーザー名やパスワードの流出、PCの乗っ取りも可能 (Gigazine, 2021/05/12 19:00) https://gigazine.net/news/20210512-fragattacks-security-flaws-all-wi-fi-d…

Windows 10がクラッシュする不具合、AMD SCSIAdapterが原因

【ニュース】 ◆Windows 10がクラッシュする不具合、AMD SCSIAdapterが原因 (Gigazine, 2021/05/11 21:00) https://gigazine.net/news/20210511-amd-scsiadapter-update-crash-windows/

Eximに緊急の脆弱性、サーバ400万台に影響 - 直ちにアップデートを

【ニュース】 ◆Eximに緊急の脆弱性、サーバ400万台に影響 - 直ちにアップデートを (マイナビニュース, 2021/05/07 07:46) https://news.mynavi.jp/article/20210507-1884288/

デルのパソコン約400機種に脆弱性。すぐにアップデートを

【ニュース】 ◆デルのパソコン約400機種に脆弱性。すぐにアップデートを (Gizmode, 2021/05/07 14:00) https://www.gizmodo.jp/2021/05/dell-vulnerability.html

Cisco HyperFlex web interface has critical flaw that lets attackers get root and execute arbitrary commands

【ニュース】 ◆Cisco HyperFlex web interface has critical flaw that lets attackers get root and execute arbitrary commands (The Register, 2021/05/07) [Cisco HyperFlexのWebインターフェイスには、攻撃者がルートを取得して任意のコマンドを実行で…

BIND9に脆弱性、アップデートや回避策を

【ニュース】 ◆BIND9に脆弱性、アップデートや回避策を (マイナビニュース, 2021/04/30 12:16) https://news.mynavi.jp/article/20210430-1881861/ 【関連まとめ記事】◆全体まとめ ◆BIND (まとめ) https://vul.hatenadiary.com/entry/BIND

「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解

【ニュース】 ◆「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解 (ITmedia, 2021/04/27 23:43) https://www.itmedia.co.jp/news/articles/2104/27/news162.html

FileZen (まとめ)

【ニュース】 ◆ファイル送受信製品「FileZen」に脆弱性 - アップデートは準備中、緩和策の実施を (Security NEXT, 2021/02/16) https://www.security-next.com/123390 ⇒ https://vul.hatenadiary.com/entry/2021/02/16/000000 ◆FileZenに緊急の脆弱性、直ち…

Drupal (まとめ)

【目次】 概要 【最新情報】 記事 【ニュース】 概要 【最新情報】 ◆Drupalに緊急の脆弱性、直ちにアップデートを (マイナビニュース, 2021/04/23 12:35) https://news.mynavi.jp/article/20210423-1877238/ ⇒ https://vul.hatenadiary.com/entry/2021/04/23…

【FileZen】脆弱性対応の経緯

【公開情報】 ◆【FileZen】脆弱性対応の経緯 (Soliton, 2021/04/23) https://www.soliton.co.jp/support_info/fz2104.html 【関連情報】[TT Malware Log] ◆FileZen (まとめ) https://malware-log.hatenablog.com/entry/FileZen 【関連まとめ記事】◆全体まと…

「Drupal」にXSS脆弱性、早急にアップデート実施を

【ニュース】 ◆「Drupal」にXSS脆弱性、早急にアップデート実施を (Security NEXT, 2021/04/23) https://www.security-next.com/125543 【関連まとめ記事】◆全体まとめ ◆Drupal (まとめ) https://vul.hatenadiary.com/entry/Drupal


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017