2022年12月29日木曜日

29日 木曜日、赤口

+ パニック注意:Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221228/
CVE-2022-47939
CVE-2022-47940
CVE-2022-47942
CVE-2022-47938
CVE-2022-47941

JVNVU#90679513 富士電機製V-SFTおよびTELLUSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90679513/index.html

JVNVU#92811888 富士電機製V-Serverにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92811888/index.html

日経NETWORK 特別リポート
スパイも驚く「Wi-Peep」の正体
防犯カメラや警備員の場所をドローンで特定
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121900060/?ST=nxt_thmit_security

NEWS close-up
フィッシングに悪用される国内ブランドが明らかに
全世界で「au」が7位にランキング ccTLDとの一致が原因の可能性
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900196/?ST=nxt_thmit_security

NEWS close-up
ディープフェイクを見破る新手法
「恐竜の鳴き声を再現する手法」を応用 99.9%の精度で偽物音声を判別
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900195/?ST=nxt_thmit_security

2022年アクセスランキング
[ITセキュリティ]国内の病院を襲ったランサムウエア、マイナカード関連も上位に
https://xtech.nikkei.com/atcl/nxt/column/18/02293/00012/?ST=nxt_thmit_security

徹底理解「TLS」
過去に遡る情報窃取を阻止、TLS 1.3が重視する「前方秘匿性」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900004/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
ネットに接続していないPCから情報窃取、低周波の電磁波を壁越しにスマホで傍受
https://xtech.nikkei.com/atcl/nxt/column/18/00676/122000123/?ST=nxt_thmit_security

ソフトバンクから営業秘密の持ち出し、被告側は東京地裁判決を不服として控訴
https://xtech.nikkei.com/atcl/nxt/news/18/14391/?ST=nxt_thmit_security

2022年12月27日火曜日

27日 火曜日、仏滅

NEWS close-up
病院を襲ったランサムウエア攻撃の真相
委託事業者のデータセンター経由で感染拡大 2023年1月の完全復旧を目指す
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900194/?ST=nxt_thmit_security

徹底理解「TLS」
100種類以上あった「暗号スイート」をたった5種類に、TLS 1.3が互換性を捨てたワケ
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900003/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
無線LANのフルノシステムズで個人情報流出か、50倍増のアクセス数で判明
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100196/?ST=nxt_thmit_security

富士通の法人向けネット回線サービス「FENICS」に不正アクセス、TKCなど被害
https://xtech.nikkei.com/atcl/nxt/news/18/14389/?ST=nxt_thmit_security

2022年12月26日月曜日

26日 月曜日、先負

piyokangoの月刊システムトラブル
ノートンが銀行アプリを「警告」再インストールを呼びかけ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121900046/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
OP25B
[第10回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121900010/?ST=nxt_thmit_security

Books
インサイドWindows、起動処理の理解はトラブル診断の第一歩
ついに完結した「インサイドWindows」第7版の要点[13]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00289/?ST=nxt_thmit_security

徹底理解「TLS」
10年ぶりに登場した新版のTLS 1.3、「ハンドシェイク」を省略できる理由
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900002/?ST=nxt_thmit_security

あと3年使うぞ!Windows 10
古いWindows 10パソコンがもったいない、Windows 11から自由に操作する方法
https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800015/?ST=nxt_thmit_security

JVNVU#96679793 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96679793/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
http://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#95032760 Priva製TopControl Suiteにおける強度が不十分なパスワードハッシュの使用の脆弱性
http://jvn.jp/vu/JVNVU95032760/index.html

JVNVU#99558552 Rockwell Automation製Studio 5000 Logix Emulateにおける不適切なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU99558552/index.html

2022年12月23日金曜日

23日 金曜日、赤口

+ Dovecot v2.3.20 released
https://dovecot.org/pipermail/dovecot-news/2022-December/000479.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
http://jvn.jp/vu/JVNVU96883262/index.html

徹底理解「TLS」
セキュリティープロトコル「TLS」の古いバージョンが使用禁止に、なぜ危ないのか
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900001/?ST=nxt_thmit_security

2022年12月22日木曜日

22日 木曜日、先負

+ CVE-2022-43552: HTTP Proxy deny use-after-free
https://curl.se/docs/CVE-2022-43552.html
CVE-2022-43552

+ CVE-2022-43551: Another HSTS bypass via IDN
https://curl.se/docs/CVE-2022-43551.html
CVE-2022-43551

+ Mozilla Foundation Security Advisory 2022-54 Security Vulnerabilities fixed in Thunderbird 102.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/
CVE-2022-46874

+ ISC BIND 9.18.10, 9.16.36 released
https://downloads.isc.org/isc/bind9/9.18.10/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.36/doc/arm/html/notes.html

ニュース&リポート
尼崎市は発注者の義務を果たしたか USB紛失事案の報告書を読み解く
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300819/?ST=nxt_thmit_security

ニュース&リポート
富士フイルムが本気のゼロトラスト EDRとSIEMに続き、SASEも導入予定
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300824/?ST=nxt_thmit_security

ニュース&リポート
大阪の病院がランサムウエア被害 不正ログインの横展開に注意
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300821/?ST=nxt_thmit_security

JVNVU#93317778 ARC Informatique製PcVueにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93317778/index.html

JVNVU#90957471 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90957471/index.html

JVNVU#97518052 複数のRockwell Automation製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97518052/index.html

JVNVU#90162908 Delta Electronics製4G Router DX-3021におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU90162908/index.html

JVN#29902403 Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
http://jvn.jp/jp/JVN29902403/index.html

JVN#43561812 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性
http://jvn.jp/jp/JVN43561812/index.html

libksbaの脆弱性(CVE-2022-47629)
https://security.sios.jp/vulnerability/libksba-security-vulnerability-20221222/

2022年12月21日水曜日

21日 水曜日、友引

+ Gpg4win 4.1.0 released
https://www.gpg4win.org/change-history.html

+ Mozilla Thunderbird 102.6.1 released
https://www.thunderbird.net/en-US/thunderbird/102.6.1/releasenotes/

+ UPDATE: Integer Overflow in LibKSBA / GnuPG
https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

2022年12月20日火曜日

20日 火曜日、先勝

UPDATE: JVN#13075438 コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
http://jvn.jp/jp/JVN13075438/index.html

JVNVU#92689335 オムロン製CX-Driveにおける解放済みメモリ使用(use-after-free)の脆弱性
http://jvn.jp/vu/JVNVU92689335/index.html

JVN#06093462 Zenphoto におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN06093462/index.html

piyokangoの週刊システムトラブル
子会社でランサムウエア被害の加賀電子、拠点データを使って10日ほどでほぼ復旧
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100195/?ST=nxt_thmit_security

ニュース解説
データ復旧費用や契約のトラブル回避へ、5団体がベンダーチェックシートを公開
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07521/?ST=nxt_thmit_security

2022年12月19日月曜日

19日 月曜日、赤口

+ RHSA-2022:9079 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9079
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9072
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:9073
CVE-2021-44531
CVE-2021-44532
CVE-2021-44533
CVE-2021-44906
CVE-2022-3517
CVE-2022-21824
CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9067
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update
https://access.redhat.com/errata/RHSA-2022:9058
CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9080
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ Mozilla Firefox 108.0.1 released
https://www.mozilla.org/en-US/firefox/108.0.1/releasenotes/

+ VMSA-2022-0034 VMware vRealize Operations (vROps) updates address privilege escalation vulnerabilities (CVE-2022-31707, CVE-2022-31708)
https://www.vmware.com/security/advisories/VMSA-2022-0034.html
CVE-2022-31707
CVE-2022-31708

UPDATE: JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96195138/index.html

キーワード
プリハイジャック攻撃(Pre-hijacking Attacks)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/121200130/?ST=nxt_thmit_security

木村岳史の極言暴論!
BIPROGYの報告書もザルだった、尼崎市「泥酔USB紛失事件」はこれで幕引きか
https://xtech.nikkei.com/atcl/nxt/column/18/00148/121600263/?ST=nxt_thmit_security

佐野正弘が斬る!ニュースなアプリの裏側
iPhoneやAndroid端末が採用する「パスキー」、パスワードレス認証普及の課題とは
https://xtech.nikkei.com/atcl/nxt/column/18/00086/00240/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Emotetは何度も復活する 「コンテンツの有効化」なしで感染
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

mod_auth_openidcの脆弱性(Moderate: CVE-2022-23527)
https://security.sios.jp/vulnerability/mod-auth-openidc-security-vulnerability-20221217/

2022年12月16日金曜日

16日 金曜日、先負

+ RHSA-2022:9079 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9079
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9072
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:9073
CVE-2021-44531
CVE-2021-44532
CVE-2021-44533
CVE-2021-44906
CVE-2022-3517
CVE-2022-21824
CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9067
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update
https://access.redhat.com/errata/RHSA-2022:9058
CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9080
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ X.orgに複数の脆弱性(Important: CVE-2022-4283, CVE-2022-46340, CVE-2022-46343, CVE-2022-46344)
https://security.sios.jp/vulnerability/xorg-security-vulnerability-20221216/
CVE-2022-4283
CVE-2022-46340
CVE-2022-46343
CVE-2022-46344

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92877622/index.html

JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96195138/index.html

JVN#96321933 電子入札コアシステムにおける複数の脆弱性
http://jvn.jp/jp/JVN96321933/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Emotetは何度も復活する 「コンテンツの有効化」なしで感染
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

2022年12月15日木曜日

15日 木曜日、友引

+ RHSA-2022:8958 Important: bcel security update
https://access.redhat.com/errata/RHSA-2022:8958
CVE-2022-42920

+ About the security content of iCloud for Windows 14.1
https://support.apple.com/ja-jp/HT213538
CVE-2022-46693
CVE-2022-46698

+ About the security content of Safari 16.2
https://support.apple.com/ja-jp/HT213537
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856

+ About the security content of macOS Monterey 12.6.2
https://support.apple.com/ja-jp/HT213533
CVE-2022-42854
CVE-2022-42821
CVE-2022-32942
CVE-2022-42861
CVE-2022-42864
CVE-2022-46689
CVE-2022-42845
CVE-2022-42842
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42855
CVE-2022-42841

+ About the security content of macOS Big Sur 11.7.2
https://support.apple.com/ja-jp/HT213534
CVE-2022-42821
CVE-2022-32942
CVE-2022-42864
CVE-2022-46689
CVE-2022-42845
CVE-2022-42842
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42841

+ About the security content of tvOS 16.2
https://support.apple.com/ja-jp/HT213535
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42848
CVE-2022-46693
CVE-2022-42851
CVE-2022-42864
CVE-2022-46690
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42845
CVE-2022-40303
CVE-2022-40304
CVE-2022-42855
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856

+ About the security content of watchOS 9.2
https://support.apple.com/ja-jp/HT213536
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42859
CVE-2022-46693
CVE-2022-42864
CVE-2022-46690
CVE-2022-42837
CVE-2022-46689
CVE-2022-42842
CVE-2022-42845
CVE-2022-40303
CVE-2022-40304
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863

+ About the security content of iOS 15.7.2 and iPadOS 15.7.2
https://support.apple.com/ja-jp/HT213531
CVE-2022-46694
CVE-2022-42848
CVE-2022-42861
CVE-2022-42846
CVE-2022-42864
CVE-2022-42837
CVE-2022-46689
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42855
CVE-2022-46695
CVE-2022-46691
CVE-2022-42852
CVE-2022-46692
CVE-2022-46700
CVE-2022-42856

+ About the security content of iOS 16.2 and iPadOS 16.2
https://support.apple.com/ja-jp/HT213530
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42848
CVE-2022-42859
CVE-2022-46702
CVE-2022-42850
CVE-2022-42846
CVE-2022-46693
CVE-2022-42851
CVE-2022-42864
CVE-2022-46690
CVE-2022-42837
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42861
CVE-2022-42844
CVE-2022-42845
CVE-2022-32943
CVE-2022-42840
CVE-2022-42855
CVE-2022-42862
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863

+ About the security content of macOS Ventura 13.1
https://support.apple.com/ja-jp/HT213532
CVE-2022-42843
CVE-2022-42847
CVE-2022-42865
CVE-2022-42854
CVE-2022-42853
CVE-2022-42859
CVE-2022-32942
CVE-2022-46693
CVE-2022-42864
CVE-2022-46690
CVE-2022-46697
CVE-2022-42837
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42861
CVE-2022-42845
CVE-2022-32943
CVE-2022-42840
CVE-2022-42855
CVE-2022-42862
CVE-2022-24836
CVE-2022-29181
CVE-2022-46695
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856
CVE-2022-42841

+ JVNVU#96155097 OpenSSLのX.509ポリシー制限における二重ロックの問題
http://jvn.jp/vu/JVNVU96155097/index.html

JVNVU#91561630 Siemens製品に対するアップデート(2022年12月)
http://jvn.jp/vu/JVNVU91561630/index.html

JVNVU#95905213 Schneider Electric製APC Easy UPS Online Monitoring Softwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95905213/index.html

JVNVU#96873821 コンテック製CONPROSYS HMI System (CHS)におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96873821/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#91051134 Siemens 製品に対するアップデート (2021年5月)
http://jvn.jp/vu/JVNVU91051134/index.html

UPDATE: JVNVU#91685542 Siemens 製品に対するアップデート(2021年1月)
http://jvn.jp/vu/JVNVU91685542/index.html

UPDATE: JVNVU#97501786 Siemens 製品に対するアップデート(2020年6月)
http://jvn.jp/vu/JVNVU97501786/index.html

UPDATE: JVNVU#95499848 Siemens 製品に対するアップデート(2020年4月)
http://jvn.jp/vu/JVNVU95499848/index.html

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU95858406/index.html

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU94702422/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97244961/index.html

2022年12月14日水曜日

14日 水曜日、先勝

+ Google Chrome 108.0.5359.124/.125 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_13.html

+ Mozilla Firefox 108.0 released
https://www.mozilla.org/en-US/firefox/108.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-51 Security Vulnerabilities fixed in Firefox 108
https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/
CVE-2022-46871
CVE-2022-46872
CVE-2022-46873
CVE-2022-46874
CVE-2022-46875
CVE-2022-46877
CVE-2022-46878
CVE-2022-46879

+ Mozilla Foundation Security Advisory 2022-53 Security Vulnerabilities fixed in Thunderbird 102.6
https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/
CVE-2022-46880
CVE-2022-46872
CVE-2022-46881
CVE-2022-46874
CVE-2022-46875
CVE-2022-46882
CVE-2022-46878

+ Mozilla Thunderbird 102.6.0 released
https://www.thunderbird.net/en-US/thunderbird/102.6.0/releasenotes/

+ Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

+ VMSA-2022-0033 VMware ESXi, Workstation, and Fusion updates address a heap out-of-bounds write vulnerability (CVE-2022-31705)
https://www.vmware.com/security/advisories/VMSA-2022-0033.html
CVE-2022-31705

+ VMSA-2022-0032 VMware Workspace ONE Access and Identity Manager updates address multiple vulnerabilities (CVE-2022-31700, CVE-2022-31701).
https://www.vmware.com/security/advisories/VMSA-2022-0032.html
CVE-2022-31700
CVE-2022-31701

+ VMSA-2022-0031 VMware vRealize Network Insight (vRNI) updates address command injection and directory traversal security vulnerabilities (CVE-2022-31702, CVE-2022-31703)
https://www.vmware.com/security/advisories/VMSA-2022-0031.html
CVE-2022-31702
CVE-2022-31703

+ OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt
CVE-2022-3996

+ UPDATE: JVNVU#96381485 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU96381485/index.html

+ UPDATE: JVNVU#94306894 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU94306894/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
http://jvn.jp/vu/JVNVU90813125/index.html

+ UPDATE: JVNVU#99602154 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU99602154/index.html

+ JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

+ UPDATE: JVNVU#99612123 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU99612123/index.html

+ UPDATE: JVNVU#97014415 Apache Tomcat に対するアップデート
http://jvn.jp/vu/JVNVU97014415/index.html

+ UPDATE: JVNVU#96136392 Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU96136392/index.html

+ UPDATE: JVNVU#94251682 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU94251682/index.html

+ UPDATE: JVNVU#97307781 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU97307781/index.html

+ UPDATE: JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU92184689/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3996)と新バージョン(3.0.8)
https://security.sios.jp/vulnerability/openssl-security-vulnerability-20221214/
CVE-2022-3996

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU95858406/index.html

JVN#60211811 Redmine におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN60211811/index.html

UPDATE: JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92327282/index.html

UPDATE: JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU98487886/index.html

ニュース解説
iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07497/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
1億ドルの身代金を1年半で強奪、全米が警戒する「Hiveランサムウエア」が怖い理由
https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700122/?ST=nxt_thmit_security

ランサムウエア被害の大阪の病院、電子カルテ一部復旧で新規外来も12月下旬再開へ
https://xtech.nikkei.com/atcl/nxt/news/18/14304/?ST=nxt_thmit_security

2022年12月13日火曜日

13日 火曜日、赤口

Books
インサイドWindows、仮想化ベースのセキュリティー「VBS」
ついに完結した「インサイドWindows」第7版の要点[8]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00259/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
有明コロシアムの図面などが流出か、都立スポーツ施設の工事業者にサイバー攻撃
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100194/?ST=nxt_thmit_security

尼崎市USB紛失でBIPROGYも調査報告書、「役職員のコンプライアンス意識が低い」
https://xtech.nikkei.com/atcl/nxt/news/18/14302/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センターで電子カルテが再稼働
https://xtech.nikkei.com/atcl/nxt/news/18/14296/?ST=nxt_thmit_security

2022年12月12日月曜日

12日 月曜日、大安

+ VMSA-2022-0030 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31696, CVE-2022-31697, CVE-2022-31698, CVE-2022-31699)
https://www.vmware.com/security/advisories/VMSA-2022-0030.html
CVE-2022-31696
CVE-2022-31697
CVE-2022-31698
CVE-2022-31699

+ Apache Tomcat 10.1.4 Released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.4_(markt)

+ PHP 8.2.0 released
https://www.php.net/ChangeLog-8.php#8.2.0

木村岳史の極言暴論!
尼崎市「泥酔USB紛失事件」のてんまつ、こんなひどい報告書を読んだのは初めてだ
https://xtech.nikkei.com/atcl/nxt/column/18/00148/120800261/?ST=nxt_thmit_security

楽天モバイル元社員に有罪判決、ソフトバンクから基地局情報などの持ち出しで
https://xtech.nikkei.com/atcl/nxt/news/18/14292/?ST=nxt_thmit_security

業績とサイバー防御力に相関関係、サイバーセキュリティクラウドが調査
https://xtech.nikkei.com/atcl/nxt/news/18/14284/?ST=nxt_thmit_security

JVNVU#92856810 Advantech製iViewにおけるSQLインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92856810/index.html

JVNVU#99843134 AVEVA製InTouch Access Anywhereにおける相対パストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU99843134/index.html

JVNVU#95644791 Rockwell Automation製Logixコントローラにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU95644791/index.html

JVNVU#97099584 バッファロー製ネットワーク機器における複数の脆弱性
http://jvn.jp/vu/JVNVU97099584/index.html

Buildahの脆弱性(Moderate: CVE-2022-4122, Low: CVE-2022-4123)
https://security.sios.jp/vulnerability/buildah-security-vulnerability-20221212/

2022年12月9日金曜日

9日 金曜日、友引

+ RHSA-2022:8900 Important: grub2 security update
https://access.redhat.com/errata/RHSA-2022:8900
CVE-2022-28733

+ containerdの脆弱性(Moderate: CVE-2022-23471)と新バージョン(1.5.16, 1.6.12)
https://security.sios.jp/vulnerability/containerd-security-vulnerability-20221209/
CVE-2022-23471

3分でわかる必修ワード IT
アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは
プリハイジャック攻撃(Pre-hijacking Attacks)
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/112200216/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
選管職員の7割が選挙DXに期待、インターネット投票には根強い懸念やリスク
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120700003/?ST=nxt_thmit_security

金沢西病院が不正アクセス被害を公表、電子カルテが一部閲覧できず
https://xtech.nikkei.com/atcl/nxt/news/18/14283/?ST=nxt_thmit_security

FacebookのVIP特別待遇に「重大な疑義」、監督委員会が是正勧告
https://xtech.nikkei.com/atcl/nxt/news/18/14279/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
マイナンバーカード取得の「実質義務化」はありか?法学者がマイナンバー制度を議論
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月8日木曜日

8日 木曜日、先勝

+ RHSA-2022:8880 Moderate: java-1.8.0-ibm security update
https://access.redhat.com/errata/RHSA-2022:8880
CVE-2022-21619
CVE-2022-21624
CVE-2022-21626
CVE-2022-21628

+ RHSA-2022:8850 Moderate: Red Hat OpenStack Platform 16.2.4 (python-ujson) security update
https://access.redhat.com/errata/RHSA-2022:8850
CVE-2022-31116
CVE-2022-31117

+ Google Chrome 108.0.5359.98/.99 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_7.html

+ Wireshark 4.0.2, 3.6.10 released
https://www.wireshark.org/docs/relnotes/wireshark-4.0.2.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.10.html

情報ネットワーク法学会第22回研究大会リポート
マイナンバーカード取得の「実質義務化」はありか?法学者がマイナンバー制度を議論
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月7日水曜日

7日 水曜日、赤口

+ RHSA-2022:8799 Important: pki-core security update
https://access.redhat.com/errata/RHSA-2022:8799
CVE-2022-2414

+ RHSA-2022:8833 Moderate: nodejs:18 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8833
CVE-2022-3517
CVE-2022-43548

+ RHSA-2022:8832 Moderate: nodejs:18 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8832
CVE-2022-3517
CVE-2022-43548

+ FreeBSD 12.4-RELEASE released
https://www.freebsd.org/releases/12.4R/relnotes/

+ Linux Kernelの脆弱性(Moderate: CVE-2022-4127, CVE-2022-4128, CVE-2022-4129)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221207/
CVE-2022-4127
CVE-2022-4128
CVE-2022-4129

+ VMware vCenter vScalation Privilege Escalation
https://cxsecurity.com/issue/WLB-2022120013

Books
インサイドWindows、「メモリマネージャー」が果たす2つの役割
ついに完結した「インサイドWindows」第7版の要点[6]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00242/?ST=nxt_thmit_security

デジタルライフ節約術
100円均一ショップで買える、要注目のデジタル節約グッズを写真で紹介
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700005/?ST=nxt_thmit_security

あと3年使うぞ!Windows 10
Windows 10が見違える速さに!パソコンの無駄を省いてスッキリ
https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800002/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
自社のランサムウエア被害が取引先に悪影響、損害賠償請求リスクはあるか
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600001/?ST=nxt_thmit_security

ニュース解説
フィッシングで狙われたブランド世界7位は「au」、あの国のドメインが影響か
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07458/?ST=nxt_thmit_security

2022年12月6日火曜日

6日 火曜日、大安

+ Zabbix 6.2.6, 6.0.12 released
https://www.zabbix.com/rn/rn6.2.6
https://www.zabbix.com/rn/rn6.0.12

+ Apache Tomcat 9.0.70 Released
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.70_(remm)

デジタルライフ節約術
Amazonでのトラブルのもと、粗悪品や不審な販売業者を見分けるワザ
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700004/?ST=nxt_thmit_security

ニュース解説
半年で10万台にEDR導入、富士フイルムが挑む本気のゼロトラスト
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07452/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
奈良県の委託業者が「グループアドレス」を誤って公開、新型コロナ関連の個人情報流出
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100193/?ST=nxt_thmit_security

快適メールクライアント利用術
誤字・脱字防止から攻撃メール対策まで、覚えておきたいメールテクニック
https://xtech.nikkei.com/atcl/nxt/column/18/02275/120100003/?ST=nxt_thmit_security

JVNVU#93526386 コンテック製SolarView Compactにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU93526386/index.html

2022年12月5日月曜日

5日 月曜日、仏滅

+ Google Chrome 108.0.5359.94/.95 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

+ ProFTPD 1.3.8, 1.3.7f released
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.7f

JVNVU#99552838 BD製BodyGuardにおけるハードウェアインターフェイスに対する保護機構の欠如の脆弱性
http://jvn.jp/vu/JVNVU99552838/index.html

JVNVU#93417785 Horner Automation製Remote Compact Controller 972における複数の脆弱性
http://jvn.jp/vu/JVNVU93417785/index.html

JVNVU#91952379 複数のオムロン製 PLC における複数の脆弱性
http://jvn.jp/vu/JVNVU91952379/index.html

フォーカス
マイナカードは便利か? 鍵を握るのは「JPKI」
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400132/?ST=nxt_thmit_security

デジタルライフ節約術
大型セールやプライム会員を有効活用、Amazonの賢い使い方
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700003/?ST=nxt_thmit_security

ニュース解説
「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07453/?ST=nxt_thmit_security

2022年12月2日金曜日

2日 金曜日、先勝

+ CESA-2022:8560 Important CentOS 7 hsqldb Security Update
https://lwn.net/Articles/916425/

+ CESA-2022:8640 Important CentOS 7 krb5 Security Update
https://lwn.net/Articles/916426/

+ CESA-2022:7186 Important CentOS 7 device-mapper-multipath Security Update
https://lwn.net/Articles/916423/

+ CESA-2022:8491 Important CentOS 7 xorg-x11-server Security Update
https://lwn.net/Articles/916428/

+ CESA-2022:8552 Important CentOS 7 firefox Security Update
https://lwn.net/Articles/916424/

+ CESA-2022:8555 Important CentOS 7 thunderbird Security Update
https://lwn.net/Articles/916427/

JVNVU#94514762 ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94514762/index.html

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91847599/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
防犯カメラの位置をWi-Fiで特定 スパイも驚く「Wi-Peep」の正体
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112400096/?ST=nxt_thmit_security

マルウエア徹底解剖
「YARA」で理解するシグネチャー
[第37回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111700038/?ST=nxt_thmit_security

デジタルライフ節約術
サブスクやスマホの有料オプション、無駄な固定費を見直そう
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700002/?ST=nxt_thmit_security

Books
コストと効果から考えるランサムウエア対策の優先順位
ランサムウエアから会社を守る(4)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00250/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか
ブロックチェーン上のトークンは「証券」なのか、最新の米判決にみる日米の違い
https://xtech.nikkei.com/atcl/nxt/column/18/02132/112800010/?ST=nxt_thmit_security

快適メールクライアント利用術
いつものPCが使えないときはWebメール、まさかのときに役立つ事前セットアップ
https://xtech.nikkei.com/atcl/nxt/column/18/02275/113000002/?ST=nxt_thmit_security

2022年12月1日木曜日

1日 木曜日、赤口

+ Mozilla Foundation Security Advisory 2022-50 Security Vulnerabilities fixed in Thunderbird 102.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-50/
CVE-2022-45414

+ Mozilla Thunderbird 102.5.1 released
https://www.thunderbird.net/en-US/thunderbird/102.5.1/releasenotes/

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91847599/index.html

JVNVU#95076777 Moxa製UCシリーズにおける不適切な物理アクセス制御の脆弱性
http://jvn.jp/vu/JVNVU95076777/index.html

SASE」を読み解く
得意分野がタイプで異なる アクセス制御の設定に注意
Part3 導入時の課題
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600003/?ST=nxt_thmit_security

SASE」を読み解く
危険なサイトやマルウエアを遮断 状態に応じて動的に制御
Part2 中核3技術の動作
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600002/?ST=nxt_thmit_security

SASE」を読み解く
拠点や端末を総合的に守る 「ゼロトラスト」でも活躍
Part1 求められる役割
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600001/?ST=nxt_thmit_security

Books
敵を知って臨め!ランサムウエア被害からの復旧手順
ランサムウエアから会社を守る(3)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00249/?ST=nxt_thmit_security

デジタルライフ節約術
押し寄せる物価上昇の波、デジタル節約術で乗り越えよう
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700001/?ST=nxt_thmit_security

ニュース解説
大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?ST=nxt_thmit_security

快適メールクライアント利用術
メールクライアントに不満があるなら乗り換え検討、お薦めのアプリを紹介
https://xtech.nikkei.com/atcl/nxt/column/18/02275/112800001/?ST=nxt_thmit_security

NECがゲートレス生体認証システム、1分当たり100人の認証で混雑を抑制へ
https://xtech.nikkei.com/atcl/nxt/news/18/14230/?ST=nxt_thmit_security

2022年11月30日水曜日

30日 水曜日、大安

+ Mozilla Firefox 107.0.1 released
https://www.mozilla.org/en-US/firefox/107.0.1/releasenotes/

+ VMSA-2022-0029 VMware Tools for Windows update addresses a denial-of-service vulnerability (CVE-2021-31693)
https://www.vmware.com/security/advisories/VMSA-2022-0029.html
CVE-2021-31693

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU94702422/index.html

NEWS pickup & digest
NEWS pickup&digest(2022/10/10~11/9)
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/111600061/?ST=nxt_thmit_security

Books
まさかうちが…ランサムウエア被害対応時の組織運営の肝は
ランサムウエアから会社を守る(2)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00248/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
Emotetマルウエアは何度も復活する、今回は「コンテンツの有効化」なしでも感染
https://xtech.nikkei.com/atcl/nxt/column/18/00676/112300121/?ST=nxt_thmit_security

2022年11月29日火曜日

29日 火曜日、仏滅

+ RHSA-2022:8640 Important: krb5 security update
https://access.redhat.com/errata/RHSA-2022:8640
CVE-2022-42898

+ RHSA-2022:8649 Important: varnish:6 security update
https://access.redhat.com/errata/RHSA-2022:8649
CVE-2022-45060

+ RHSA-2022:8638 Important: krb5 security update
https://access.redhat.com/errata/RHSA-2022:8638
CVE-2022-42898

+ RHSA-2022:8643 Important: varnish security update
https://access.redhat.com/errata/RHSA-2022:8643
CVE-2022-45060

+ RHSA-2022:8637 Important: krb5 security update
https://access.redhat.com/errata/RHSA-2022:8637
CVE-2022-42898

+ Zabbix 6.2.5, 6.0.11, 5.0.30 released
https://www.zabbix.com/rn/rn6.2.5
https://www.zabbix.com/rn/rn6.0.11
https://www.zabbix.com/rn/rn5.0.30

+ ClamAV 1.0.0 LTS released
https://blog.clamav.net/2022/11/clamav-100-lts-released.html

+ Apache Struts 6.1.1 GA released
https://struts.apache.org/announce-2022#a20221128
https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.1.1

日経NETWORK 特別リポート
キーボードに残った「指の熱」でパスワードを盗む
6文字なら正解率100%
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111600059/?ST=nxt_thmit_security

NEWS close-up
意図せぬ「身代金」支払いにご用心
ランサムウエア犯罪者が3万ドル受領を主張 データ復旧業者が交渉していたら犯罪の恐れ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700191/?ST=nxt_thmit_security

標的企業をロックオン、ランサムウエア攻撃はなぜ怖い?
ランサムウエアから会社を守る(1)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00247/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
名古屋大・岐阜大運営の大学機構がランサムウエア被害、認証サーバーに総当たり攻撃
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100192/?ST=nxt_thmit_security

尼崎市がUSB紛失に関する第三者委員会の報告書を公開、複数の契約違反が明らかに
https://xtech.nikkei.com/atcl/nxt/news/18/14215/?ST=nxt_thmit_security

富士通がイスラエルに新拠点、AIやネットワークのセキュリティーを研究開発
https://xtech.nikkei.com/atcl/nxt/news/18/14209/?ST=nxt_thmit_security

UPDATE: VN#54728399 TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) において ClassLoader を操作可能な脆弱性
http://jvn.jp/jp/JVN54728399/index.html

2022年11月28日月曜日

28日 月曜日、先負

+ PHP 8.0.26 released
https://www.php.net/ChangeLog-8.php#8.0.26

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92877622/index.html

JVN#87895771 サイボウズ リモートサービスにおけるリソース枯渇に至る脆弱性
http://jvn.jp/jp/JVN87895771/index.html

JVN#53682526 baserCMS における複数のクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN53682526/index.html

2022年11月25日金曜日

25日 金曜日、赤口

+ Google Chrome 107.0.5304.121, 106.0.5249.199 released
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
https://chromereleases.googleblog.com/2022/11/extended-stable-channel-update-for_24.html

+ PHP 8.1.13 released
https://www.php.net/ChangeLog-8.php#8.1.13

先端技術ニュースプラス
AMDが5nm世代初のサーバー用MPU、GoogleやMSがクラウドで採用
https://xtech.nikkei.com/atcl/nxt/column/18/01537/00578/?ST=nxt_thmit_security

サイバー攻撃受けた菱機工業、社内システムの障害続く
https://xtech.nikkei.com/atcl/nxt/news/18/14187/?ST=nxt_thmit_security

JVNVU#97763467 AVEVA製AVEVA Edgeにおける複数の脆弱性
http://jvn.jp/vu/JVNVU97763467/index.html

JVNVU#98663592 Digital Alert Systems製DASDECにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU98663592/index.html

JVNVU#90294891 Phoenix Contact製Automation Worx Software Suiteにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90294891/index.html

JVNVU#95378145 GE Digital製CIMPLICITYにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95378145/index.html

JVNVU#98565313 Moxa製ARM-Based Computersにおける不適切な権限管理の脆弱性
http://jvn.jp/vu/JVNVU98565313/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97244961/index.html

JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94434051/index.html

JVN#29657972 TP-Link RE300 V1 の tdpServer における入力データの不適切な処理に関する脆弱性
http://jvn.jp/jp/JVN29657972/index.html

JVNVU#94926489 Hillrom 製 Welch Allyn medical device management tools に複数の脆弱性
http://jvn.jp/vu/JVNVU94926489/index.html

2022年11月24日木曜日

24日 木曜日、大安

+ RHSA-2022:8560 Important: hsqldb security update
https://access.redhat.com/errata/RHSA-2022:8560
CVE-2022-41853

+ RHSA-2022:8552 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:8552
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45416
CVE-2022-45418
CVE-2022-45420
CVE-2022-45421

+ RHSA-2022:8554 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:8554
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45416
CVE-2022-45418
CVE-2022-45420
CVE-2022-45421

+ RHSA-2022:8580 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:8580
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45416
CVE-2022-45418
CVE-2022-45420
CVE-2022-45421

+ RHSA-2022:8561 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:8561
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45416
CVE-2022-45418
CVE-2022-45420
CVE-2022-45421

+ Apache Tomcat 8.5.84 Released
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.84_(schultz)

+ UPDATE: JVNVU#92673251 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU92673251/index.html

+ JVNVU#90082799 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90082799/index.html

JVNVU#91714912 Cradlepoint製IBR600におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU91714912/index.html

JVN#26044739 Typora における JavaScript コードの無効化処理が不十分な問題
http://jvn.jp/jp/JVN26044739/index.html

JVNVU#94746819 Red Lion Controls製Crimsonにおけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU94746819/index.html

JVN#13927745 WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
http://jvn.jp/jp/JVN13927745/index.html

JVNVU#99505355 Netatalkに複数の脆弱性
http://jvn.jp/vu/JVNVU99505355/index.html

ニュース&リポート
大阪の救急病院にランサムウエア 電子カルテ被害で手術・診療停止
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/111600805/?ST=nxt_thmit_security

piyokangoの月刊システムトラブル
PR TIMESでシステム障害 メンテナンス契機に複数発生
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111600045/?ST=nxt_thmit_security

ニュース&リポート
ランサムウエアの「身代金」 意図せぬ支払いにリスク
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/111600810/?ST=nxt_thmit_security

凸版印刷とNICT、耐量子計算機暗号をICカードシステムに実装
https://xtech.nikkei.com/atcl/nxt/news/18/14135/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
ノートンが銀行アプリを「危険」と警告するトラブル相次ぐ、再インストールを呼びかけ
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100191/?ST=nxt_thmit_security

「ワコムストア」に不正アクセス、約15万人分の個人情報が漏洩か
https://xtech.nikkei.com/atcl/nxt/news/18/14178/?ST=nxt_thmit_security

トリドールHD、「二律両立」のDX
SaaSを最大限活用 肝は変化への対応力
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/111500325/111500002/?ST=nxt_thmit_security

キーワード
分散型アイデンティティー(Decentralized Identity)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/111400128/?ST=nxt_thmit_security

極言正論
国民を利で釣ってどうする マイナカード義務化へ議論尽くせ
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600007/111000126/?ST=nxt_thmit_security

記者の眼
防衛施設の工事作業員は機密情報を盗み放題
https://xtech.nikkei.com/atcl/nxt/mag/ncr/18/00061/111000073/?ST=nxt_thmit_security

群馬大学医学部付属病院が病院システムを刷新、ランサムウエア攻撃にも備える
https://xtech.nikkei.com/atcl/nxt/news/18/14167/?ST=nxt_thmit_security

2022年11月18日金曜日

18日 金曜日、仏滅

JVN#13927745 WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性
http://jvn.jp/jp/JVN13927745/index.html

JVNVU#90082799 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90082799/index.html

JVNVU#99505355 Netatalkに複数の脆弱性
http://jvn.jp/vu/JVNVU99505355/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
ディープフェイク音声を見破る 恐竜の鳴き声応用で精度99.9%
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/111100095/?ST=nxt_thmit_security

2022年11月17日木曜日

17日 木曜日、先負

+ AlmaLinux 9.1 - Now Available
https://almalinux.org/blog/almalinux-91-now-available/

+ Announcing the GA release of Red Hat Enterprise Linux 9.1
https://access.redhat.com/announcements/6984895

+ VU#709991 Netatalk contains multiple error and memory management vulnerabilities
https://www.kb.cert.org/vuls/id/709991
CVE-2022-0194
CVE-2022-23121
CVE-2022-23122
CVE-2022-23123
CVE-2022-23124
CVE-2022-23125

JVN#24659622 RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN24659622/index.html

JVN#37014768 Movable Type における複数の脆弱性
http://jvn.jp/jp/JVN37014768/index.html

2022年11月16日水曜日

16日 水曜日、友引

+ RHSA-2022:8434 Moderate: dotnet7.0 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8434
CVE-2022-41032

+ RHSA-2022:8431 Low: podman security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8431
CVE-2022-2989
CVE-2022-2990

+ RHSA-2022:8400 Moderate: libtirpc security update
https://access.redhat.com/errata/RHSA-2022:8400
CVE-2021-46828

+ RHSA-2022:8393 Moderate: logrotate security update
https://access.redhat.com/errata/RHSA-2022:8393
CVE-2022-1348

+ RHSA-2022:8385 Moderate: dhcp security and enhancement update
https://access.redhat.com/errata/RHSA-2022:8385
CVE-2021-25220

+ RHSA-2022:8340 Moderate: freetype security update
https://access.redhat.com/errata/RHSA-2022:8340
CVE-2022-27404
CVE-2022-27405
CVE-2022-27406

+ RHSA-2022:8318 Moderate: libldb security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8318
CVE-2022-32746

+ RHSA-2022:8317 Moderate: samba security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8317
CVE-2022-32742

+ Mozilla Firefox 107.0 released
https://www.mozilla.org/en-US/firefox/107.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-47 Security Vulnerabilities fixed in Firefox 107
https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45407
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45413
CVE-2022-40674
CVE-2022-45415
CVE-2022-45416
CVE-2022-45417
CVE-2022-45418
CVE-2022-45419
CVE-2022-45420
CVE-2022-45421

+ Mozilla Thunderbird 102.5.0 released
https://www.thunderbird.net/en-US/thunderbird/102.5.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-49 Security Vulnerabilities fixed in Thunderbird 102.5
https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/
CVE-2022-45403
CVE-2022-45404
CVE-2022-45405
CVE-2022-45406
CVE-2022-45408
CVE-2022-45409
CVE-2022-45410
CVE-2022-45411
CVE-2022-45412
CVE-2022-45416
CVE-2022-45418
CVE-2022-45420
CVE-2022-45421

+ UPDATE: JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92867820/index.html

JVNVU#98082029 複数の三菱電機製家電製品のWi-Fi接続処理におけるデッドロックの脆弱性
http://jvn.jp/vu/JVNVU98082029/index.html

勝村幸博の「今日も誰かが狙われる」
防犯カメラや警備員の場所をドローンで特定、スパイも驚く「Wi-Peep」の正体
https://xtech.nikkei.com/atcl/nxt/column/18/00676/111300120/?ST=nxt_thmit_security

Webブラウザーの快適環境構築法
いろんなWebブラウザーを快適にする「Chromeウェブストア」、厳選の拡張機能
https://xtech.nikkei.com/atcl/nxt/column/18/02255/111400003/?ST=nxt_thmit_security

導入や運用の手間が少ないデータ漏洩防止のクラウド、ゼットスケーラーが開始
https://xtech.nikkei.com/atcl/nxt/news/18/14146/?ST=nxt_thmit_security

2022年11月15日火曜日

15日 火曜日、先勝

+ Apache Tomcat 10.1.2, 9.0.69 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.2_(markt)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.69_(remm)

JVN#54728399 TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) において ClassLoader を操作可能な脆弱性
http://jvn.jp/jp/JVN54728399/index.html

JVNVU#97968855 日立国際電気製監視システムネットワーク製品(カメラ、エンコーダ、デコーダ)における複数の脆弱性
http://jvn.jp/vu/JVNVU97968855/index.html

Webブラウザーの快適環境構築法
こだわりユーザー向けの「クセ強」Webブラウザー、使い分けで快適環境に
https://xtech.nikkei.com/atcl/nxt/column/18/02255/111100002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
大阪急性期・総合医療センターより4日早くランサムウエアに感染した病院、紙カルテに
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100190/?ST=nxt_thmit_security

2022年11月14日月曜日

14日 月曜日、赤口

+ AlmaLinux 8.7 - Now Available
https://almalinux.org/blog/almalinux-87-now-available/

UPDATE: JVNVU#93762879 Siemens製品に対するアップデート(2022年11月)
http://jvn.jp/vu/JVNVU93762879/index.html

UPDATE: JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91874962/index.html

UPDATE: JVNVU#91456150 LS ELECTRIC製PLCおよびXG5000における不十分な暗号強度の脆弱性
http://jvn.jp/vu/JVNVU91456150/index.html

ニュース解説
なぜエッジにWebAssemblyを採用したか、米FastlyのマクマレンCTOが語った理由
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07364/?ST=nxt_thmit_security

Webブラウザーの快適環境構築法
オススメのWebブラウザーはどれ?Microsoft Edgeが人気の理由
https://xtech.nikkei.com/atcl/nxt/column/18/02255/111000001/?ST=nxt_thmit_security

2022年11月11日金曜日

11日 金曜日、先負

+ PostgreSQL 15.1, 14.6, 13.9, 12.13, 11.18, and 10.23 Released!
https://www.postgresql.org/about/news/postgresql-151-146-139-1213-1118-and-1023-released-2543/
https://www.postgresql.org/docs/15/release-15-1.html
https://www.postgresql.org/docs/14/release-14-6.html
https://www.postgresql.org/docs/13/release-13-9.html
https://www.postgresql.org/docs/12/release-12-13.html
https://www.postgresql.org/docs/11/release-11-18.html

JVN#75437943 アイホン製インターホンシステムにおける情報漏えいの脆弱性
http://jvn.jp/jp/JVN75437943/index.html

正しいデータ整理整頓法
ランサムウエアが怖くなくなるデータ防御法、感染対策から世代バックアップまで
https://xtech.nikkei.com/atcl/nxt/column/18/02247/110900006/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センター、電子カルテの一部が参照可能に
https://xtech.nikkei.com/atcl/nxt/news/18/14116/?ST=nxt_thmit_security

2022年11月10日木曜日

10日 木曜日、友引

+ Announcing the GA release of Red Hat Enterprise Linux 8.7
https://access.redhat.com/announcements/6983803

+ About the security content of iOS 16.1.1 and iPadOS 16.1.1
https://support.apple.com/ja-jp/HT213505
CVE-2022-40303
CVE-2022-40304

+ About the security content of macOS Ventura 13.0.1
https://support.apple.com/ja-jp/HT213504
CVE-2022-40303
CVE-2022-40304

+ Google Chrome 106.0.5249.181 released
https://chromereleases.googleblog.com/2022/11/extended-stable-channel-update-for.html

JVNVU#96604488 複数のUEFI実装における競合状態に関する脆弱性
http://jvn.jp/vu/JVNVU96604488/index.html

JVNVU#94499505 Intel製品に複数の脆弱性(2022年11月)
http://jvn.jp/vu/JVNVU94499505/index.html

JVNVU#93762879 Siemens製品に対するアップデート(2022年11月)
http://jvn.jp/vu/JVNVU93762879/index.html

UPDATE: JVNVU#96592426 Siemens製品に対するアップデート(2021年12月)
http://jvn.jp/vu/JVNVU96592426/index.html

ニュース&リポート
個人情報管理が不十分な企業に保護委が初のツールキット
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/110200800/?ST=nxt_thmit_security

正しいデータ整理整頓法
うっかりミスが怖いパソコンのデータ引っ越し、キホンを知って失敗をなくす
https://xtech.nikkei.com/atcl/nxt/column/18/02247/110800005/?ST=nxt_thmit_security

2022年11月9日水曜日

9日 水曜日、先勝

+ RHSA-2022:7822 Low: container-tools:rhel8 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:7822
CVE-2022-2989
CVE-2022-2990

+ RHSA-2022:7793 Moderate: rsync security and enhancement update
https://access.redhat.com/errata/RHSA-2022:7793
CVE-2022-37434

+ RHSA-2022:7790 Moderate: bind security update
https://access.redhat.com/errata/RHSA-2022:7790
CVE-2021-25220

+ RHSA-2022:7745 Moderate: freetype security update
https://access.redhat.com/errata/RHSA-2022:7745
CVE-2022-27404
CVE-2022-27405
CVE-2022-27406

+ RHSA-2022:7730 Moderate: libldb security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:7730
CVE-2022-32746

+ RHSA-2022:7720 Moderate: e2fsprogs security and bug fix update
https://access.redhat.com/errata/RHSA-2022:7720
CVE-2022-1304

+ RHSA-2022:7704 Moderate: webkit2gtk3 security and bug fix update
https://access.redhat.com/errata/RHSA-2022:7704
CVE-2022-22624
CVE-2022-22628
CVE-2022-22629
CVE-2022-22662
CVE-2022-26700
CVE-2022-26709
CVE-2022-26710
CVE-2022-26716
CVE-2022-26717
CVE-2022-26719
CVE-2022-30293

+ RHSA-2022:7648 Moderate: grafana-pcp security update
https://access.redhat.com/errata/RHSA-2022:7648
CVE-2022-1705
CVE-2022-30630
CVE-2022-30631
CVE-2022-30632
CVE-2022-30635
CVE-2022-32148

+ RHSA-2022:7643 Important: bind9.16 security update
https://access.redhat.com/errata/RHSA-2022:7643
CVE-2021-25220
CVE-2022-0396

+ RHSA-2022:7640 Moderate: mutt security update
https://access.redhat.com/errata/RHSA-2022:7640
CVE-2022-1328

+ Mozilla Thunderbird 102.4.2 released
https://www.thunderbird.net/en-US/thunderbird/102.4.2/releasenotes/

+ VMSA-2022-0028 VMware Workspace ONE Assist update addresses multiple vulnerabilities.
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
CVE-2022-31685
CVE-2022-31686
CVE-2022-31687
CVE-2022-31688
CVE-2022-31689

+ PHP 7.4.33 released
https://www.php.net/ChangeLog-7.php#7.4.33

+ Sudo 1.9.12p1 released
https://www.sudo.ws/releases/stable/#1.9.12p1

+ JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
http://jvn.jp/vu/JVNVU93003913/index.html

+ JVNVU#92673251 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU92673251/index.html

+ VU#434994 Multiple race conditions due to TOCTOU flaws in various UEFI Implementations
https://www.kb.cert.org/vuls/id/434994
CVE-2021-33164

+ Python の脆弱性情報(Importabt: CVE-2022-42919)
https://security.sios.com/vulnerability/python-security-vulnerability-20221108.html

+ Linux Kernelの脆弱性(CVE-2022-43945)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20221108.html

+ sudoの脆弱性情報(Important: CVE-2022-43995)
https://security.sios.com/vulnerability/sudo-security-vulnerability-20221104.html

2022年11月4日金曜日

4日 金曜日、友引

+ Mozilla Thunderbird 102.4.2 released
https://www.thunderbird.net/en-US/thunderbird/102.4.2/releasenotes/

+ sudoの脆弱性情報(Important: CVE-2022-43995)
https://security.sios.com/vulnerability/sudo-security-vulnerability-20221104.html
CVE-2022-43995

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
キーボードに残った「指の熱」 そこからパスワードが盗まれる
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102700094/?ST=nxt_thmit_security

動かないコンピュータ
千葉県南房総市の小中学校にサイバー攻撃、VPN装置の管理者IDが悪用される
南房総市教育委員会
https://xtech.nikkei.com/atcl/nxt/column/18/01157/110100073/?ST=nxt_thmit_security

2022年11月3日木曜日

3日 木曜日、先勝

+ RHSA-2022:7344 Important: kpatch-patch security update
https://access.redhat.com/errata/RHSA-2022:7344
CVE-2022-2588

+ RHSA-2022:7340 Moderate: php-pear security update
https://access.redhat.com/errata/RHSA-2022:7340
CVE-2020-28948
CVE-2020-28949
CVE-2020-36193

+ RHSA-2022:7337 Important: kernel security and bug fix update
https://access.redhat.com/errata/RHSA-2022:7337
CVE-2022-2588
CVE-2022-23816
CVE-2022-23825
CVE-2022-26373
CVE-2022-29900
CVE-2022-29901

+ RHSA-2022:7384 Critical: openssl-container security update
https://access.redhat.com/errata/RHSA-2022:7384
CVE-2022-3602
CVE-2022-3786

+ Zabbix 6.2.4, 6.0.10, 5.0.29 released
https://www.zabbix.com/rn/rn6.2.4
https://www.zabbix.com/rn/rn6.0.10
https://www.zabbix.com/rn/rn5.0.29

+ JVNVU#92673251 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU92673251/index.html
CVE-2022-3602
CVE-2022-3786

+ JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性
http://jvn.jp/vu/JVNVU92530096/index.html

+ JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
http://jvn.jp/vu/JVNVU93003913/index.html

Google検索結果トップに「GIMP」の偽サイト、またもや広告欄の悪用か
https://xtech.nikkei.com/atcl/nxt/news/18/14058/?ST=nxt_thmit_security

2022年11月2日水曜日

2日 水曜日、赤口

+ About the security content of Xcode 14.1
https://support.apple.com/ja-jp/HT213496
CVE-2022-29187
CVE-2022-39253
CVE-2022-39260
CVE-2022-42797

+ OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt
CVE-2022-3602
CVE-2022-3786

+ OpenSSL 3.0.7, 1.1.1s released
https://www.openssl.org/

+ UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96924367/index.html

+ OpenSSLの脆弱性情報(High: CVE-2022-3786, CVE-2022-3602)と新バージョン(3.0.7, 1.1.1s)
https://security.sios.com/vulnerability/openssl-security-vulnerability-20221102.html
CVE-2022-3602
CVE-2022-3786

+ VU#794340: OpenSSL 3.0.0 to 3.0.6 decodes some punycode email addresses in X.509 certificates improperly
https://www.kb.cert.org/vuls/id/794340

マルウエア徹底解剖
「マクロブロック」を回避する手口
[第36回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/102000037/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
ディープフェイク音声を見破る驚きの手法、「恐竜の鳴き声」の応用で精度99.9%
https://xtech.nikkei.com/atcl/nxt/column/18/00676/102700118/?ST=nxt_thmit_security

大阪急性期・総合医療センターのランサムウエア被害、11月2日以降も通常診療停止
https://xtech.nikkei.com/atcl/nxt/news/18/14060/?ST=nxt_thmit_security

JVN#46345126 京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性
http://jvn.jp/jp/JVN46345126/index.html

2022年11月1日火曜日

1日 火曜日、大安

+ CESA-2022:7008 Moderate CentOS 7 java-11-openjdk Security Update
https://lwn.net/Articles/912650/

+ CESA-2022:6765 Important CentOS 7 bind Security Update
https://lwn.net/Articles/912647/

+ CESA-2022:7088 Important CentOS 7 libksba Security Update
https://lwn.net/Articles/912651/

+ CESA-2022:7002 Moderate CentOS 7 java-1.8.0-openjdk Security Update
https://lwn.net/Articles/912649/

+ CESA-2022:6815 Important CentOS 7 squid Security Update
https://lwn.net/Articles/912652/

+ CESA-2022:6834 Important CentOS 7 expat Security Update
https://lwn.net/Articles/912648/

+ CESA-2022:7087 Moderate CentOS 7 389-ds-base Security Update
https://lwn.net/Articles/912646/

+ New packages for ClamAV 0.103.7, 0.104.4, 0.105.1 to resolve CVE's
https://blog.clamav.net/2022/10/new-packages-for-clamav-01037-01044.html
CVE-2022-37434
CVE-2022-40303
CVE-2022-40304

+ Apache Tomcatの脆弱性情報(Low: CVE-2021-42252)
https://security.sios.com/vulnerability/tomcat-security-vulnerability-20221101.html
CVE-2021-42252

+ multipath-toolsによる権限昇格の脆弱性(Leeloo Multipath)(Important: CVE-2022-41974, Moderate: CVE-2022-41973)
https://security.sios.com/vulnerability/multipath-security-vulnerability-20221101.html
CVE-2022-41974
CVE-2022-41973

+ Ansibleの脆弱性(Moderate: CVE-2022-3697)
https://security.sios.com/vulnerability/ansible-security-vulnerability-20221031.html
CVE-2022-3697

これで分かった!TLS
安全性の高い方式に制限 キモはAEADと前方秘匿性
Part3 暗号スイート
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800003/?ST=nxt_thmit_security

これで分かった!TLS
暗号化に必要な情報を交換 TLS 1.3は0-RTTを実現
Part2 ハンドシェイク
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800002/?ST=nxt_thmit_security

これで分かった!TLS
TLS 1.0/1.1は使用禁止に 開発者は対策が急務
Part1 最新動向
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
ランサムウエア被害の日本盛が調査報告、脆弱性があるVPN装置からの不正侵入だった
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100188/?ST=nxt_thmit_security

個人情報保護委員会が企業向けにツールキットを提供、法令順守を促す初めての試み
https://xtech.nikkei.com/atcl/nxt/news/18/13981/?ST=nxt_thmit_security

大阪急性期・総合医療センターがシステム障害で通常診療できず、ランサムウエア攻撃か
https://xtech.nikkei.com/atcl/nxt/news/18/14050/?ST=nxt_thmit_security

2022年10月31日月曜日

31日 月曜日、仏滅

+ PuTTY 0.78 released
https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.78.html

+ UPDATE: Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

+ PHP 8.1.12, 8.0.25 released
https://www.php.net/ChangeLog-8.php#8.1.12
https://www.php.net/ChangeLog-8.php#8.0.25

UPDATE: JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性
http://jvn.jp/jp/JVN56968681/index.html

JVN#74285622 富士ソフト製ネットワーク製品における複数の脆弱性
http://jvn.jp/jp/JVN74285622/index.html

JVNVU#94803886 複数のRockwell Automation製品における複数の脆弱性
http://jvn.jp/vu/JVNVU94803886/index.html

JVNVU#90122134 SAUTER製moduWebにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU90122134/index.html

JVNVU#93422132 Trihedral製VTScadaにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU93422132/index.html

iPhone トラブルシューティング
iPhone トラブルシューティング
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101900148/101900001/?ST=nxt_thmit_security

NEWS pickup & digest
NEWS pickup&digest(2022/9/20~10/7)
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/101900060/?ST=nxt_thmit_security

ニュース解説
検索結果のトップに偽サイト、フィッシングよけの「常識」が通用しない事態が続々
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07303/?ST=nxt_thmit_security

NEWS close-up
悪用される脆弱性を機械学習で予測
実証コードを収集してモデル構築 悪用可能性をリアルタイムで算出
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

2022年10月28日金曜日

28日 金曜日、先勝

+ RHSA-2022:7242 Important: Satellite 6.11.4 Async Security Update
https://access.redhat.com/errata/RHSA-2022:7242
CVE-2022-30122
CVE-2022-31163

+ About the security content of iOS 15.7.1 and iPadOS 15.7.1
https://support.apple.com/ja-jp/HT213490
CVE-2022-32932
CVE-2022-42798
CVE-2022-32929
CVE-2022-32935
CVE-2022-32939
CVE-2022-32949
CVE-2022-32944
CVE-2022-42803
CVE-2022-32926
CVE-2022-42827
CVE-2022-42801
CVE-2022-42810
CVE-2022-32941
CVE-2022-42817
CVE-2022-32923
CVE-2022-32927
CVE-2022-37434
CVE-2022-42800

+ Google Chrome 107.0.5304.87/.88, 106.0.5249.168 released
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html
https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_27.html

+ VMSA-2022-0027.1 VMware Cloud Foundation updates address multiple vulnerabilities.
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
CVE-2021-39144
CVE-2022-31678

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2022)
https://security.sios.com/vulnerability/java-security-vulnerability-20221028.html
CVE-2022-32215
CVE-2022-21634
CVE-2022-21597
CVE-2022-21628
CVE-2022-21626
CVE-2022-21618
CVE-2022-39399
CVE-2022-21624
CVE-2022-21619

+ Linux Kernelの脆弱性(CVE-2022-43750)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20221028.html
CVE-2022-43750

JVNVU#98508542 Haas Automation製Haas Controllerにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98508542/index.html

JVNVU#96515249 HEIDENHAIN製TNC 640における不適切な認証の脆弱性
http://jvn.jp/vu/JVNVU96515249/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91874962/index.html

NEWS close-up
悪用される脆弱性を機械学習で予測
実証コードを収集してモデル構築 悪用可能性をリアルタイムで算出
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

トラブルからの脱出
特定の相手からのメールが届かない、「パケットキャプチャー」があぶり出した真実
https://xtech.nikkei.com/atcl/nxt/column/18/01156/102000035/?ST=nxt_thmit_security

2022年10月27日木曜日

27日 木曜日、赤口

+ Google Chrome 106.0.5249.165 released
https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_26.html

+ Mozilla Thunderbird 102.4.1 released
https://www.thunderbird.net/en-US/thunderbird/102.4.1/releasenotes/

+ Wireshark 4.0.1, 3.6.9 released
https://www.wireshark.org/docs/relnotes/wireshark-4.0.1.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.9.html

NEWS close-up
ランサムウエア攻撃の実態が明らかに
国内被害企業の6割以上で「2重脅迫」 身代金支払いは世界4割で日本は1割
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000188/?ST=nxt_thmit_security

ニュース&リポート
政府サイトなどにサイバー攻撃 日本企業が採るべき対策は
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/101900798/?ST=nxt_thmit_security

ニュース解説
不十分な個人情報管理の企業に保護委がツール、誰でも使えるようにした「記載例」
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07295/?ST=nxt_thmit_security

JTB、クラウドサービスの設定ミスで1万人超の個人情報漏洩
https://xtech.nikkei.com/atcl/nxt/news/18/14005/?ST=nxt_thmit_security

JVNVU#96850776 AliveCor製KardiaMobileにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96850776/index.html

JVNVU#98957765 Hitachi Energy製DMS600における脆弱なOSSコンポーネントへの依存の問題
http://jvn.jp/vu/JVNVU98957765/index.html

JVNVU#98146300 CKS製CEVASにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU98146300/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91874962/index.html

JVN#68971465 Everything における HTTP ヘッダインジェクションの脆弱性
http://jvn.jp/jp/JVN68971465/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

2022年10月26日水曜日

26日 水曜日、大安

+ RHSA-2022:7184 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:7184
CVE-2022-39236
CVE-2022-39249
CVE-2022-39250
CVE-2022-39251
CVE-2022-42927
CVE-2022-42928
CVE-2022-42929
CVE-2022-42932

+ RHSA-2022:7087 Moderate: 389-ds-base security and bug fix update
https://access.redhat.com/errata/RHSA-2022:7087
CVE-2022-2850

+ RHSA-2022:6735 Moderate: java-1.8.0-ibm security update
https://access.redhat.com/errata/RHSA-2022:6735
CVE-2021-2163

+ RHSA-2022:7178 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:7178
CVE-2022-39236
CVE-2022-39249
CVE-2022-39250
CVE-2022-39251
CVE-2022-42927
CVE-2022-42928
CVE-2022-42929
CVE-2022-42932

+ Google Chrome 107.0.5304.62/63 released
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

+ VMSA-2022-0027 VMware Cloud Foundation updates address multiple vulnerabilities.
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
CVE-2021-39144
CVE-2022-31678

日経コンピュータ「ITが危ない」
「EMV-3Dセキュア」導入に遅れ 中小EC事業者の企業存続が危ぶまれる
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/101800090/?ST=nxt_thmit_security

当事者が語る! トラブルからの脱出
電子メールが届かない 暗号化通信を開始できず
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/102000057/?ST=nxt_thmit_security

Books
ITの先端を概観『世界をリードする8つの最新テクノロジー Web3からメタバース 量子コンピューターまで』
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00204/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる
ヤフーは電話番号登録で誹謗中傷のさらなる抑止へ、プロ責法改正で変わる事業者
https://xtech.nikkei.com/atcl/nxt/column/18/02224/102400003/?ST=nxt_thmit_security

3分でわかる必修ワード IT
乱数を加えて正確な値を秘匿、「差分プライバシー」とはどんな保護技術か
差分プライバシー(Differential Privacy)
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/101100210/?ST=nxt_thmit_security

JVN#86350682 SHIRASAGI における複数の脆弱性
http://jvn.jp/jp/JVN86350682/index.html

2022年10月25日火曜日

25日 火曜日、仏滅

+ RHSA-2022:7088 Important: libksba security update
https://access.redhat.com/errata/RHSA-2022:7088
CVE-2022-3515

+ About the security content of Safari 16.1
https://support.apple.com/ja-jp/HT213495
CVE-2022-42799
CVE-2022-42823
CVE-2022-42824
CVE-2022-32922

+ About the security content of iOS 16.1 and iPadOS 16
https://support.apple.com/ja-jp/HT213489
CVE-2022-42825
CVE-2022-32940
CVE-2022-42813
CVE-2022-32946
CVE-2022-32947
CVE-2022-42820
CVE-2022-42806
CVE-2022-32924
CVE-2022-42808
CVE-2022-42827
CVE-2022-42829
CVE-2022-42830
CVE-2022-42831
CVE-2022-42832
CVE-2022-42811
CVE-2022-32938
CVE-2022-42799
CVE-2022-42823
CVE-2022-42824
CVE-2022-32922

+ About the security content of macOS Big Sur 11.7.1
https://support.apple.com/ja-jp/HT213493
CVE-2022-42825
CVE-2022-28739
CVE-2022-32862

+ About the security content of macOS Monterey 12.6.1
https://support.apple.com/ja-jp/HT213494
CVE-2022-42825
CVE-2022-28739
CVE-2022-32862

+ About the security content of macOS Ventura 13
https://support.apple.com/ja-jp/HT213488
CVE-2022-42795
CVE-2022-32858
CVE-2022-32898
CVE-2022-32899
CVE-2022-32827
CVE-2022-42789
CVE-2022-42825
CVE-2022-32902
CVE-2022-32904
CVE-2022-32890
CVE-2022-42796
CVE-2022-32940
CVE-2022-42819
CVE-2022-42813
CVE-2022-26730
CVE-2022-32867
CVE-2022-32205
CVE-2022-32206
CVE-2022-32207
CVE-2022-32208
CVE-2022-42814
CVE-2022-32865
CVE-2022-32915
CVE-2022-32928
CVE-2022-42788
CVE-2022-32905
CVE-2022-32947
CVE-2022-42809
CVE-2022-32913
CVE-2022-1622
CVE-2022-32936
CVE-2022-42820
CVE-2022-42806
CVE-2022-32864
CVE-2022-32866
CVE-2022-32911
CVE-2022-32924
CVE-2022-32914
CVE-2022-42808
CVE-2022-42815
CVE-2022-32883
CVE-2022-32908
CVE-2021-39537
CVE-2022-29458
CVE-2022-42818
CVE-2022-32879
CVE-2022-32895
CVE-2022-32918
CVE-2022-42829
CVE-2022-42830
CVE-2022-42831
CVE-2022-42832
CVE-2022-28739
CVE-2022-32881
CVE-2022-32862
CVE-2022-42811
CVE-2022-42793
CVE-2022-32938
CVE-2022-42790
CVE-2022-32870
CVE-2022-32934
CVE-2022-42791
CVE-2021-36690
CVE-2022-0261
CVE-2022-0318
CVE-2022-0319
CVE-2022-0351
CVE-2022-0359
CVE-2022-0361
CVE-2022-0368
CVE-2022-0392
CVE-2022-0554
CVE-2022-0572
CVE-2022-0629
CVE-2022-0685
CVE-2022-0696
CVE-2022-0714
CVE-2022-0729
CVE-2022-0943
CVE-2022-1381
CVE-2022-1420
CVE-2022-1725
CVE-2022-1616
CVE-2022-1619
CVE-2022-1620
CVE-2022-1621
CVE-2022-1629
CVE-2022-1674
CVE-2022-1733
CVE-2022-1735
CVE-2022-1769
CVE-2022-1927
CVE-2022-1942
CVE-2022-1968
CVE-2022-1851
CVE-2022-1897
CVE-2022-1898
CVE-2022-1720
CVE-2022-2000
CVE-2022-2042
CVE-2022-2124
CVE-2022-2125
CVE-2022-2126
CVE-2022-32875
CVE-2022-32886
CVE-2022-32888
CVE-2022-32912
CVE-2022-42799
CVE-2022-42823
CVE-2022-42824
CVE-2022-32922
CVE-2022-32892

+ About the security content of tvOS 16.1
https://support.apple.com/ja-jp/HT213492
CVE-2022-42825
CVE-2022-32940
CVE-2022-42813
CVE-2022-32924
CVE-2022-42808
CVE-2022-42811
CVE-2022-42799
CVE-2022-42823

+ About the security content of watchOS 9.1
https://support.apple.com/ja-jp/HT213491
CVE-2022-42825
CVE-2022-32940
CVE-2022-42813
CVE-2022-32947
CVE-2022-32924
CVE-2022-42808
CVE-2022-42811
CVE-2022-42799
CVE-2022-42823
CVE-2022-42824

+ Mozilla Foundation Security Advisory 2022-46 Security Vulnerabilities fixed in Thunderbird 102.4
https://www.mozilla.org/en-US/security/advisories/mfsa2022-46/
CVE-2022-42927
CVE-2022-42928
CVE-2022-42929
CVE-2022-42932

piyokangoの月刊システムトラブル
ニトリに13万件の不正ログイン リスト型攻撃と推測
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101800044/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
IDS
[第8回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/101900008/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
Z会グループのサービスで「他人の受検結果が見える」、システム不備で個人情報漏洩
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100187/?ST=nxt_thmit_security

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#93193058 B.Braun Melsungen AG社の複数の製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93193058/index.html

2022年10月24日月曜日

24日 月曜日、先勝

+ Sudo 1.9.12 released
https://www.sudo.ws/releases/stable/#1.9.12

+ nginxの脆弱性情報(CVE-2022-3638)
https://security.sios.com/vulnerability/nginx-security-vulnerability-20221024.html
CVE-2022-3638

UPDATE: JVNVU#94780329 複数の B. Braun Melsungen 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU94780329/index.html

JVNVU#92858946 Bentley Systems製MicroStation Connectにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92858946/index.html

2022年10月21日金曜日

21日 金曜日、仏滅

+ Mozilla Firefox 106.0.1 released
https://www.mozilla.org/en-US/firefox/106.0.1/releasenotes/

JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性
http://jvn.jp/jp/JVN56968681/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
あなたのメガネから情報が筒抜け ビデオ会議中の思わぬ盲点
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/101300093/?ST=nxt_thmit_security

ニュース解説
oViceが常設専用サイトで「障害予報」を提供、情報はすべて伝えると発想転換
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07270/?ST=nxt_thmit_security

楽天モバイル元社員に懲役2年・罰金100万円を求刑、基地局情報などの持ち出しで
https://xtech.nikkei.com/atcl/nxt/news/18/13969/?ST=nxt_thmit_security

2022年10月20日木曜日

20日 木曜日、先負

+ RHSA-2022:6997 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:6997
CVE-2022-40674

+ RHSA-2022:7024 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:7024
CVE-2022-40674

+ RHSA-2022:7023 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:7023
CVE-2022-40674

+ RHSA-2022:7026 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:7026
VE-2022-40674

+ RHSA-2022:7020 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:7020
CVE-2022-40674

+ Mozilla Thunderbird 102.4.0 released
https://www.thunderbird.net/en-US/thunderbird/102.4.0/releasenotes/

+ ISC BIND 9.18.8, 9.16.34 released
https://downloads.isc.org/isc/bind9/9.18.8/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.34/doc/arm/html/notes.html

+ Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

JVNVU#97893771 Advantech製R-SeeNetにおける複数の脆弱性
http://jvn.jp/vu/JVNVU97893771/index.html

JVNVU#97131578 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU97131578/index.html

JVN#10921428 スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN10921428/index.html

記者の眼
安くなくても採用が2年間で3倍に、SASEは日本企業のセキュリティーを変えるか
https://xtech.nikkei.com/atcl/nxt/column/18/00138/101801140/?ST=nxt_thmit_security

2022年10月19日水曜日

19日 水曜日、友引

+ RHSA-2022:6998 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:6998
CVE-2022-40674

+ Mozilla Firefox 106.0 released
https://www.mozilla.org/en-US/firefox/106.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-44 Security Vulnerabilities fixed in Firefox 106
https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/
CVE-2022-42927
CVE-2022-42928
CVE-2022-42929
CVE-2022-42930
CVE-2022-42931
CVE-2022-42932

+ UPDATE: JVNVU#90776782 ISC BINDにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90776782/index.html

+ UPDATE: JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92867820/index.html

JVNVU#99955870 横河計測製WTViewerEにおけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU99955870/index.html

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題
http://jvn.jp/ta/JVNTA96784241/index.html

勝村幸博の「今日も誰かが狙われる」
キーボードに残った「指の熱」でパスワードを盗む、6文字なら100%的中
https://xtech.nikkei.com/atcl/nxt/column/18/00676/101500117/?ST=nxt_thmit_security

イラストでわかるネットワークの基礎
シャドーITを許さない、クラウド利用のセキュリティー問題を防ぐ「CASB」とは
https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

2022年10月18日火曜日

18日 火曜日、先勝

+ Gpg4win 4.0.4 released
https://www.gpg4win.org/change-history.html

+ RHSA-2022:6964 Important: nodejs:16 security update
https://access.redhat.com/errata/RHSA-2022:6964
CVE-2022-35255
CVE-2022-35256

+ RHSA-2022:6963 Important: nodejs security update
https://access.redhat.com/errata/RHSA-2022:6963
CVE-2022-35255
CVE-2022-35256

+ Integer Overflow in LibKSBA / GnuPG
https://gnupg.org/blog/20221017-pepe-left-the-ksba.html
CVE-2022-3512

JVNVU#98836905 Hitachi Energy製Lumada Asset Performance Management (APM) における複数の脆弱性
http://jvn.jp/vu/JVNVU98836905/index.html

技術から読み解く「Web3」
Web3で「デジタルアート」をどう売買するのか、NFTの作成から譲渡まで
https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
食肉店公式アプリの個人情報8万件超が漏洩、Webサーバーへの不正アクセスで
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100186/?ST=nxt_thmit_security

マイナンバーカードは「便利」か?デジタル本人確認最前線
「入り口」はマイナンバーカードとJPKI、先進的な前橋市デジタルIDは普及するか
https://xtech.nikkei.com/atcl/nxt/column/18/02223/101400003/?ST=nxt_thmit_security

ニュース解説
紙の健康保険証を2024年秋に廃止できるか、マイナ保険証への完全移行に3つの課題
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07257/?ST=nxt_thmit_security

富士通、データの信頼性やサービスのセキュリティー高める「トラスト機能群」を提供
https://xtech.nikkei.com/atcl/nxt/news/18/13947/?ST=nxt_thmit_security

フォーティネット製品の新たな脆弱性を突く攻撃をIIJが検出、日本は数千台に影響か
https://xtech.nikkei.com/atcl/nxt/news/18/13935/?ST=nxt_thmit_security

2022年10月17日月曜日

17日 月曜日、赤口

UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96924367/index.html

JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

+ Linux Kernelの脆弱性(Moderate: CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20221016.html
CVE-2022-41674
CVE-2022-42719
CVE-2022-42720
CVE-2022-42721
CVE-2022-42722

技術から読み解く「Web3」
Web3を支えるブロックチェーン、押さえるべき「5つの特徴」とは
https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300003/?ST=nxt_thmit_security

マイナンバーカードは「便利」か?デジタル本人確認最前線
2024年秋に紙の健康保険証廃止へ、マイナ保険証を支えるJPKIデジタル本人確認
https://xtech.nikkei.com/atcl/nxt/column/18/02223/101300002/?ST=nxt_thmit_security

2022年10月14日金曜日

14日 金曜日、先負

+ PostgreSQL 15 Released!
https://www.postgresql.org/about/news/postgresql-15-released-2526/
https://www.postgresql.org/docs/15/release-15.html

+ zlib 1.2.13 released
http://www.zlib.net/ChangeLog.txt

+ UPDATE: JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性
http://jvn.jp/vu/JVNVU92530096/index.html

タッチタイピング自慢はもう古い、今どきの快適入力ワザ
自宅パソコンでパスワード入力を省略、MS公式の無料ツール「Autologon」で可能に
https://xtech.nikkei.com/atcl/nxt/column/18/02185/090200008/?ST=nxt_thmit_security

中田敦のGAFA深読み
グーグルがクラウド新サービスを大量発表、「GAFA深読み」記者が注目したトップ3
https://xtech.nikkei.com/atcl/nxt/column/18/00692/101300091/?ST=nxt_thmit_security

3分でわかる必修ワード IT
インターネットの信頼性向上へ官民で検証開始、「Trusted Web」構想とは
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/092000207/?ST=nxt_thmit_security

ITが危ない
中小EC事業者の「EMV-3Dセキュア」導入に遅れ、企業存続が危ぶまれる事態にも
https://xtech.nikkei.com/atcl/nxt/column/18/00989/101200100/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる
プロ責法改正で誹謗中傷の被害者の負担は減るか、弁護士3人の見解は
https://xtech.nikkei.com/atcl/nxt/column/18/02224/101200002/?ST=nxt_thmit_security

マイナンバーカードは「便利」か?デジタル本人確認最前線
マイナンバーカードは便利か?民間での「本人確認」になかなか使われない理由
https://xtech.nikkei.com/atcl/nxt/column/18/02223/101200001/?ST=nxt_thmit_security

ファミマでチケット発券が7時間近く不能に、原因はマルチコピー機の通信障害
https://xtech.nikkei.com/atcl/nxt/news/18/13920/?ST=nxt_thmit_security

NURO 光の速度低下で提供元が陳謝、原因は「特定事業者の異常なトラフィック」
https://xtech.nikkei.com/atcl/nxt/news/18/13919/?ST=nxt_thmit_security

日経クロステック ランキング
根強く読まれるIPアドレスの解説、過去分含めたITセキュリティー記事ランキング
https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300028/?ST=nxt_thmit_security

日経クロステック ランキング
「狙われる日本企業」「国家資格の登録者数前年割れ」、ITセキュリティー記事検索流入ランキング
https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300027/?ST=nxt_thmit_security

日経クロステック ランキング
トップはランサム被害の病院の話題、2022年公開のITセキュリティー記事ランキング
https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300026/?ST=nxt_thmit_security

UPDATE: JVNVU#98578731 三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98578731/index.html

2022年10月13日木曜日

13日 木曜日、友引

+ RHSA-2022:6912 Moderate: .NET Core 3.1 security and bugfix update
https://access.redhat.com/errata/RHSA-2022:6912
CVE-2022-41032

+ Mozilla Thunderbird 102.3.3 released
https://www.thunderbird.net/en-US/thunderbird/102.3.3/releasenotes/

+ JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性
http://jvn.jp/vu/JVNVU92530096/index.html
CVE-2022-3358

+ Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)
https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html
CVE-2022-36067

+ 【重要:3.0.6/1.1.1rはregressionが見つかったため撤回】OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)
https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html

ニュース&リポート
身代金支払いは世界4割で日本は1割 それでも油断できない「4重脅迫」
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300785/?ST=nxt_thmit_security

ニュース&リポート
サイバー被害「思ったより少ない」 ウクライナから学ぶべきこと
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300790/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる
改正プロバイダ責任制限法が10月施行、誹謗中傷の被害者救済につながるわけ
https://xtech.nikkei.com/atcl/nxt/column/18/02224/101100001/?ST=nxt_thmit_security

キルネットが攻撃活動再開か、複数の米空港Webサイトでアクセス障害
https://xtech.nikkei.com/atcl/nxt/news/18/13903/?ST=nxt_thmit_security

JVNVU#95961389 Altair製HyperView Playerにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95961389/index.html

JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

JVNVU#92418217 Sensormatic Electronics製C?CURE 9000における情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU92418217/index.html

JVNVU#93424017 SVMPC1およびSVMPC2における複数の脆弱性
http://jvn.jp/vu/JVNVU93424017/index.html

2022年10月12日水曜日

12日 水曜日、先勝

+ RHSA-2022:6878 Important: expat security update
https://access.redhat.com/errata/RHSA-2022:6878
CVE-2022-40674

+ Google Chrome 106.0.5249.119 released
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_11.html

+ Security updates available for Adobe ColdFusion | APSB22-44
https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html
CVE-2022-35710
CVE-2022-35711
CVE-2022-35690
CVE-2022-35712
CVE-2022-38418
CVE-2022-38419
CVE-2022-38420
CVE-2022-38421
CVE-2022-38422
CVE-2022-38423
CVE-2022-38424
CVE-2022-42340
CVE-2022-42341

+ Security update available for Adobe Acrobat and Reader  | APSB22-46
https://helpx.adobe.com/security/products/acrobat/apsb22-46.html
CVE-2022-35691
CVE-2022-38437
CVE-2022-42342
CVE-2022-42339
CVE-2022-38450

+ Security?update?available?for?Adobe Commerce?|?APSB22-48
https://helpx.adobe.com/security/products/magento/apsb22-48.html
CVE-2022-35698

+ Security updates available for Dimension | APSB22-57
https://helpx.adobe.com/security/products/dimension/apsb22-57.html
CVE-2022-38440
CVE-2022-38441
CVE-2022-38442
CVE-2022-38443
CVE-2022-38444
CVE-2022-38445
CVE-2022-38446
CVE-2022-38447
CVE-2022-38448

+ VMSA-2022-0026 VMware Aria Operations patches address an arbitrary file read vulnerability (CVE-2022-31682).
https://www.vmware.com/security/advisories/VMSA-2022-0026.html
CVE-2022-31682

+ VMSA-2022-0025 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31680, CVE-2022-31681)
https://www.vmware.com/security/advisories/VMSA-2022-0025.html
CVE-2022-31680
CVE-2022-31681

+ Apache Tomcat 10.1.1, 8.5.83 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.1_(markt)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.82_(markt)

+ OpenSSL Security Advisory [11 October 2022]
https://www.openssl.org/news/secadv/20221011.txt
CVE-2022-3358

+ OpenSSL 3.0.6, 1.1.1r released
https://www.openssl.org/

+ UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96924367/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)
https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html
CVE-2022-3358

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題
http://jvn.jp/ta/JVNTA96784241/index.html

JVNVU#92805279 バッファロー製ネットワーク機器における複数の脆弱性
http://jvn.jp/vu/JVNVU92805279/index.html

JVN#74592196 bingo!CMS における認証回避の脆弱性
http://jvn.jp/jp/JVN74592196/index.html

JVNVU#93736410 HeimdalのKerberos実装にNULLポインタ参照の脆弱性
http://jvn.jp/vu/JVNVU93736410/index.html

JVN#40620121 Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性
http://jvn.jp/jp/JVN40620121/index.html

データは語る
インターネットバンキングにリスク 多要素認証、38%が採用せず
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/093000125/?ST=nxt_thmit_security

技術から読み解く「Web3」
Web3時代のアプリケーションと組織、「Dapps」と「DAO」を徹底解説
https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300002/?ST=nxt_thmit_security

ニュース解説
大和証券がゼロトラスト推進、「SWG」で従業員のネット利用を社内外問わず保護
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07225/?ST=nxt_thmit_security

ニュース解説
キルネットは活動停止を表明、政府系サイトへのサイバー攻撃が示した本当の脅威
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07233/?ST=nxt_thmit_security

Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)
https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html