【要点】 ◎製品に含まれるソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表 security-log.hatenablog.com 【図表】 使用するソフトウェアの構成部品を一覧で管理 出典: https://www.nri-secure.co.jp/gloss…

【ニュース】■2018年 ◆アジアの「ダークウェブ」事情／CVSS基本値だけで判断してはいけない (Internet Watch, 2018/09/06 06:00) https://internet.watch.impress.co.jp/docs/column/security/1140253.html ⇒ https://vul.hatenadiary.com/entry/2018/09/06/…

【ニュース】 ◆There's a good chance your VPN is vulnerable to privacy-menacing TunnelCrack attack (The Register, 2023/08/10) [あなたのVPNがプライバシーを脅かすTunnelCrack攻撃に脆弱である可能性が高い] https://www.theregister.com/2023/08/10/…

【ブログ】 ◆TunnelCrackへの対応 (BoneTech, 2023/08/10) https://bone.jp/articles/2023/230810_tunnelcrack 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆TunnelCrack (まとめ) https://vul.hatenadiary.com/entry/TunnelCrack

【ニュース】 ◆CVSSv4.0は現行のCVSSv3.1とどう違う？ PwC Japanが解説 (ITmedia, 2023/08/10 08:00) https://www.itmedia.co.jp/enterprise/articles/2308/10/news056.html

【訳】CISA： バラクーダESGハッキングに使用されたワールプールの新しいバックドア 【図表】 SeaSpy初期化スクリプト（CISA） 出典: https://www.bleepingcomputer.com/news/security/cisa-new-whirlpool-backdoor-used-in-barracuda-esg-hacks/ 【ニュース…

【訳】Dell CompellentのハードコードされたキーがVMware vCenterの管理者クレジットを暴露する 【図表】 Dell Compellent ディレクトリ内の JAR ファイル (LMG Security) 復元された AES 鍵を使用した管理者認証情報の復号化 (LMG Security) 公開された vCe…

【ニュース】 ◆KDDIや富士通・NECなど5社、通信分野へのSBOM導入に向けた実証事業を開始 (日経XTECH, 2023/08/10) https://xtech.nikkei.com/atcl/nxt/news/18/15715/ 【関連まとめ記事】◆全体まとめ ◆SBOM (まとめ) https://vul.hatenadiary.com/entry/SBOM

【概要】■CVE番号 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/08/09 2023/06/26 CVE-2023-36672 NVD ベンダー 5.7(NVD) CWE-319 重要な情報の平文での送信 2023/08/09 2023/06/18 CVE-2023-35838 NVD ベンダー 5.7(NVD) CWE-610 別領…

【ニュース】 ◆「Zoom」に“Critical”な脆弱性 ～非認証ユーザーがネット経由で権限昇格の恐れ (窓の杜, 2023/08/10 06:45) https://forest.watch.impress.co.jp/docs/news/1523132.html 【関連まとめ記事】◆全体まとめ ◆アプリケーション (まとめ) ◆Zoom (ま…