TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

米政府が北朝鮮サイバー脅威アドバイザリー公表/Zoom, Webex, Teams の脆弱性 ほか [Scan PREMIUM Monthly Executive Summary]

【ニュース】 ◆米政府が北朝鮮サイバー脅威アドバイザリー公表/Zoom, Webex, Teams の脆弱性 ほか [Scan PREMIUM Monthly Executive Summary] (NetSecurity, 2020/05/12 09:35) https://scan.netsecurity.ne.jp/article/2020/05/12/44087.html

数分でPC内のデータにアクセス可能なThunderboltの脆弱性が判明、ソフトウェアによる修正は不可能

【ニュース】 ◆数分でPC内のデータにアクセス可能なThunderboltの脆弱性が判明、ソフトウェアによる修正は不可能 (Gigazine, 2020/05/12) https://gigazine.net/news/20200512-thunderspy/

Thunderboltに不正アクセスの脆弱性、5分の離席で全てのデータが盗まれる危険も

【ニュース】 ◆Thunderboltに不正アクセスの脆弱性、5分の離席で全てのデータが盗まれる危険も (ITmedia, 2020/05/12 10:07) ユーザーが席を離れた隙に攻撃者がコンピュータに物理的にアクセスできれば、ドライブの暗号化やパスワードロックと無関係に全デー…

Thunderboltに数分でハッキング完了可能な脆弱性。2011年以降のPCが対象

【ニュース】 ◆Thunderboltに数分でハッキング完了可能な脆弱性。2011年以降のPCが対象 (PC Watch, 2020/05/12 09:06) https://pc.watch.impress.co.jp/docs/news/1251766.html 【関連まとめ記事】◆全体まとめ ◆Thunderbolt (まとめ) ◆Thunderspy (まとめ) h…

機械学習でMicrosoftがセキュリティバグを判定、高い精度が特徴

【ニュース】 ◆機械学習でMicrosoftがセキュリティバグを判定、高い精度が特徴 (@IT, 2020/05/11 08:30) https://www.atmarkit.co.jp/ait/articles/2005/11/news041.html

「VMware vROps」に「Salt」起因の深刻な脆弱性 - 更新準備中、回避策実施を

【ニュース】 ◆「VMware vROps」に「Salt」起因の深刻な脆弱性 - 更新準備中、回避策実施を(Security NEXT, 2020/05/11) http://www.security-next.com/114727 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltSt…

SaltStack RCE 実行してみた (CVE-2020-11651)

【ブログ】 ◆SaltStack RCE 実行してみた (CVE-2020-11651) (Nick Security Log, 2020/05/09) https://www.nicksecuritylog.com/entry/SaltStack_RCE 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltStack

インフラ構成管理ツール「SaltStack」に深刻な脆弱性 - 悪用コード公開、早急に対処を

【ニュース】 ◆インフラ構成管理ツール「SaltStack」に深刻な脆弱性 - 悪用コード公開、早急に対処を (Security NEXT, 2020/05/07) http://www.security-next.com/114633 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/en…

SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起

【公開情報】 ◆SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起 (JPCERT/CC, 2020/05/07) https://www.jpcert.or.jp/at/2020/at200020.html 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.…

PoC exploit for CVE-2020-11651 and CVE-2020-11652

【Exploit Code】 ◆PoC exploit for CVE-2020-11651 and CVE-2020-11652 (jesperla, 2020/05/04) https://github.com/jasperla/CVE-2020-11651-poc 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltStack

Saltstack 3000.1 - Remote Code Execution

【Exploit Code】 ◆Saltstack 3000.1 - Remote Code Execution (Exploit Database, 2020/05/04) https://www.exploit-db.com/exploits/48421 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltStack

CRITICAL VULNERABILITIES UPDATE: CVE-2020-11651 AND CVE-2020-11652

【ブログ】 ◆CRITICAL VULNERABILITIES UPDATE: CVE-2020-11651 AND CVE-2020-11652 (SaltStack, 2020/05/04) https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/ 【関連まとめ記事】◆全体まとめ ◆S…

CVE-2020-11651, CVE-2020-11652: Critical Salt Framework Vulnerabilities Exploited in the Wild

【ブログ】 ◆CVE-2020-11651, CVE-2020-11652: Critical Salt Framework Vulnerabilities Exploited in the Wild (Tenable, 2020/05/03) https://jp.tenable.com/blog/cve-2020-11651-cve-2020-11652-critical-salt-framework-vulnerabilities-exploited-in-…

「WebLogic Server」など既知脆弱性の悪用リスク高まる - 早急に更新を

【ニュース】 ■「WebLogic Server」など既知脆弱性の悪用リスク高まる - 早急に更新を (Security Next, 2020/05/02) http://www.security-next.com/114614

SaltStack Salt critical bugs allow data center, cloud server hijacking as root

【ニュース】 ◆SaltStack Salt critical bugs allow data center, cloud server hijacking as root (ZDNet, 2020/05/01) https://www.zdnet.com/article/saltstack-salt-critical-bugs-allow-data-center-cloud-server-hijacking-as-root/ 【関連まとめ記事…

SaltStack Patches Critical Vulnerabilities in Salt

【ニュース】 ◆SaltStack Patches Critical Vulnerabilities in Salt (US-CERT, 2020/05/01) https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt

Critical SaltStack vulnerability affects thousands of datacentres

【ニュース】 ◆Critical SaltStack vulnerability affects thousands of datacentres (ComputerWeekly, 2020/04/30 15:53) Critical vulnerabilities in the Salt remote task and configuration framework enable hackers to take control of cloud servers…

HARDENING SALT

【公開情報】 ◆HARDENING SALT (SaltStack, 2020/04/30) https://docs.saltstack.com/en/latest/topics/hardening.html#general-hardening-tip 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltStack

SaltStack authorization bypass

【公開情報】 ◆SaltStack authorization bypass (F-Secure, 2020/04/30) https://labs.f-secure.com/advisories/saltstack-authorization-bypass 【関連まとめ記事】◆全体まとめ ◆SaltStack (まとめ) https://vul.hatenadiary.com/entry/SaltStack

「Microsoft Teams」にアカウント乗っ取りの脆弱性--修正済み

【概要】 クライアントが起動されるたびに、login.microsoftonline.comで認証された一時的なトークンが新たに作成 teams.microsoft.comの2つのサブドメインが乗っ取り可能な状態 【ニュース】 ◆「Microsoft Teams」にアカウント乗っ取りの脆弱性--修正済み (…

Windows 10アップデートで異常終了する不具合など、Microsoftが調査開始

【ニュース】 ◆Windows 10アップデートで異常終了する不具合など、Microsoftが調査開始 (PC Watch, 2020/04/28 12:47) https://pc.watch.impress.co.jp/docs/news/1249984.html

Twitterが「SMSによる通知サービス」をほぼすべての国で終了すると発表

【ニュース】 ◆Twitterが「SMSによる通知サービス」をほぼすべての国で終了すると発表 (Gigazine, 2020/04/28 13:15) https://gigazine.net/news/20200428-twitter-sms-notification-disabled/

Sophos製ファイアウォールに脆弱性、全てのユーザーにデータ侵害の可能性

【ニュース】 ◆Sophos製ファイアウォールに脆弱性、全てのユーザーにデータ侵害の可能性 (ITmedia, 2020/04/28 09:04) Sophosの「XG Firewall」に未知の脆弱性が存在し、悪用されていたことが分かった。同社は「影響を受けるファイアウォールを使用している…

ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性

【ニュース】 ◆ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 (PC Watch, 2020/04/27 13:14) https://pc.watch.impress.co.jp/docs/news/1249694.html

Windows 10アップデート後に異常終了やファイル消失などの不具合発生か

【ニュース】 ◆Windows 10アップデート後に異常終了やファイル消失などの不具合発生か (PC Watch, 2020/04/24 18:29) https://pc.watch.impress.co.jp/docs/news/1249497.html

You’ve Got (0-click) Mail!

【概要】■攻撃ターゲット 北米のフォーチュン500組織の個人 日本のキャリアの幹部 ドイツのVIP サウジアラビアとイスラエルのMSSP ヨーロッパのジャーナリスト 疑いあり:スイス企業の幹部 【ブログ】 ◆You’ve Got (0-click) Mail! (ZecOps, 2020/04/20) htt…

Google Chromeに緊急の脆弱性、ただちにアップデートを

【ニュース】 ◆Google Chromeに緊急の脆弱性、ただちにアップデートを (マイナビニュース, 2020/04/18 14:10) https://news.mynavi.jp/article/20200418-1018805/

Gitに深刻な脆弱性、認証情報など取得されるおそれ

【概要】■CVE番号 CVE-2020-5260 【ニュース】 ◆Gitに深刻な脆弱性、認証情報など取得されるおそれ (Security NEXT, 2020/04/17) http://www.security-next.com/114201

「Chrome」の音声認識機能に深刻な脆弱性 - アップデートが公開

【ニュース】 ◆「Chrome」の音声認識機能に深刻な脆弱性 - アップデートが公開 (Security NEXT, 2020/04/16) http://www.security-next.com/114167

「Pulse Connect Secure」に複数脆弱性 - 定例外のアドバイザリを公開

【ニュース】 ◆「Pulse Connect Secure」に複数脆弱性 - 定例外のアドバイザリを公開 (Security NEXT, 2020/04/09) http://www.security-next.com/113916


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017