:: IT Security Neophyte Investigator's MEMO ::: 2022

2022年12月29日木曜日

29日木曜日、赤口

+ パニック注意：Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221228/

CVE-2022-47939

CVE-2022-47940

CVE-2022-47942

CVE-2022-47938

CVE-2022-47941

JVNVU#90679513 富士電機製V-SFTおよびTELLUSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90679513/index.html

JVNVU#92811888 富士電機製V-Serverにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92811888/index.html

日経NETWORK 特別リポート

スパイも驚く「Wi-Peep」の正体

防犯カメラや警備員の場所をドローンで特定

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121900060/?ST=nxt_thmit_security

NEWS close-up

フィッシングに悪用される国内ブランドが明らかに

全世界で「au」が7位にランキング　ccTLDとの一致が原因の可能性

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900196/?ST=nxt_thmit_security

NEWS close-up

ディープフェイクを見破る新手法

「恐竜の鳴き声を再現する手法」を応用　99.9％の精度で偽物音声を判別

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900195/?ST=nxt_thmit_security

2022年アクセスランキング

［ITセキュリティ］国内の病院を襲ったランサムウエア、マイナカード関連も上位に

https://xtech.nikkei.com/atcl/nxt/column/18/02293/00012/?ST=nxt_thmit_security

徹底理解「TLS」

過去に遡る情報窃取を阻止、TLS 1.3が重視する「前方秘匿性」とは何か

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900004/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

ネットに接続していないPCから情報窃取、低周波の電磁波を壁越しにスマホで傍受

https://xtech.nikkei.com/atcl/nxt/column/18/00676/122000123/?ST=nxt_thmit_security

ソフトバンクから営業秘密の持ち出し、被告側は東京地裁判決を不服として控訴

https://xtech.nikkei.com/atcl/nxt/news/18/14391/?ST=nxt_thmit_security

2022年12月27日火曜日

27日火曜日、仏滅

NEWS close-up

病院を襲ったランサムウエア攻撃の真相

委託事業者のデータセンター経由で感染拡大　2023年1月の完全復旧を目指す

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900194/?ST=nxt_thmit_security

徹底理解「TLS」

100種類以上あった「暗号スイート」をたった5種類に、TLS 1.3が互換性を捨てたワケ

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900003/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

無線LANのフルノシステムズで個人情報流出か、50倍増のアクセス数で判明

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100196/?ST=nxt_thmit_security

富士通の法人向けネット回線サービス「FENICS」に不正アクセス、TKCなど被害

https://xtech.nikkei.com/atcl/nxt/news/18/14389/?ST=nxt_thmit_security

2022年12月26日月曜日

26日月曜日、先負

piyokangoの月刊システムトラブル

ノートンが銀行アプリを「警告」再インストールを呼びかけ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121900046/?ST=nxt_thmit_security

ネスペ試験で学ぶネットワーク技術のキホン

OP25B

［第10回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121900010/?ST=nxt_thmit_security

Books

インサイドWindows、起動処理の理解はトラブル診断の第一歩

ついに完結した「インサイドWindows」第7版の要点［13］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00289/?ST=nxt_thmit_security

徹底理解「TLS」

10年ぶりに登場した新版のTLS 1.3、「ハンドシェイク」を省略できる理由

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900002/?ST=nxt_thmit_security

あと3年使うぞ！Windows 10

古いWindows 10パソコンがもったいない、Windows 11から自由に操作する方法

https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800015/?ST=nxt_thmit_security

JVNVU#96679793 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96679793/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性

http://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#95032760 Priva製TopControl Suiteにおける強度が不十分なパスワードハッシュの使用の脆弱性

http://jvn.jp/vu/JVNVU95032760/index.html

JVNVU#99558552 Rockwell Automation製Studio 5000 Logix Emulateにおける不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU99558552/index.html

2022年12月23日金曜日

23日金曜日、赤口

+ Dovecot v2.3.20 released

https://dovecot.org/pipermail/dovecot-news/2022-December/000479.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性

http://jvn.jp/vu/JVNVU96883262/index.html

徹底理解「TLS」

セキュリティープロトコル「TLS」の古いバージョンが使用禁止に、なぜ危ないのか

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900001/?ST=nxt_thmit_security

2022年12月22日木曜日

22日木曜日、先負

+ CVE-2022-43552: HTTP Proxy deny use-after-free

https://curl.se/docs/CVE-2022-43552.html

CVE-2022-43552

+ CVE-2022-43551: Another HSTS bypass via IDN

https://curl.se/docs/CVE-2022-43551.html

CVE-2022-43551

+ Mozilla Foundation Security Advisory 2022-54 Security Vulnerabilities fixed in Thunderbird 102.6.1

https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/

CVE-2022-46874

+ ISC BIND 9.18.10, 9.16.36 released

https://downloads.isc.org/isc/bind9/9.18.10/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.36/doc/arm/html/notes.html

ニュース＆リポート

尼崎市は発注者の義務を果たしたか　USB紛失事案の報告書を読み解く

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300819/?ST=nxt_thmit_security

ニュース＆リポート

富士フイルムが本気のゼロトラスト　EDRとSIEMに続き、SASEも導入予定

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300824/?ST=nxt_thmit_security

ニュース＆リポート

大阪の病院がランサムウエア被害　不正ログインの横展開に注意

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300821/?ST=nxt_thmit_security

JVNVU#93317778 ARC Informatique製PcVueにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93317778/index.html

JVNVU#90957471 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90957471/index.html

JVNVU#97518052 複数のRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97518052/index.html

JVNVU#90162908 Delta Electronics製4G Router DX-3021におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU90162908/index.html

JVN#29902403 Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性

http://jvn.jp/jp/JVN29902403/index.html

JVN#43561812 スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における Unicode 制御文字の扱いに関する脆弱性

http://jvn.jp/jp/JVN43561812/index.html

libksbaの脆弱性(CVE-2022-47629)

https://security.sios.jp/vulnerability/libksba-security-vulnerability-20221222/

2022年12月21日水曜日

21日水曜日、友引

+ Gpg4win 4.1.0 released

https://www.gpg4win.org/change-history.html

+ Mozilla Thunderbird 102.6.1 released

https://www.thunderbird.net/en-US/thunderbird/102.6.1/releasenotes/

+ UPDATE: Integer Overflow in LibKSBA / GnuPG

https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

2022年12月20日火曜日

20日火曜日、先勝

UPDATE: JVN#13075438 コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

http://jvn.jp/jp/JVN13075438/index.html

JVNVU#92689335 オムロン製CX-Driveにおける解放済みメモリ使用（use-after-free）の脆弱性

http://jvn.jp/vu/JVNVU92689335/index.html

JVN#06093462 Zenphoto におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN06093462/index.html

piyokangoの週刊システムトラブル

子会社でランサムウエア被害の加賀電子、拠点データを使って10日ほどでほぼ復旧

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100195/?ST=nxt_thmit_security

ニュース解説

データ復旧費用や契約のトラブル回避へ、5団体がベンダーチェックシートを公開

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07521/?ST=nxt_thmit_security

2022年12月19日月曜日

19日月曜日、赤口

+ RHSA-2022:9079 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9079

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9072

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:9073

CVE-2021-44531

CVE-2021-44532

CVE-2021-44533

CVE-2021-44906

CVE-2022-3517

CVE-2022-21824

CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9067

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update

https://access.redhat.com/errata/RHSA-2022:9058

CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9080

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ Mozilla Firefox 108.0.1 released

https://www.mozilla.org/en-US/firefox/108.0.1/releasenotes/

+ VMSA-2022-0034 VMware vRealize Operations (vROps) updates address privilege escalation vulnerabilities (CVE-2022-31707, CVE-2022-31708)

https://www.vmware.com/security/advisories/VMSA-2022-0034.html

CVE-2022-31707

CVE-2022-31708

UPDATE: JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96195138/index.html

キーワード

プリハイジャック攻撃（Pre-hijacking Attacks）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/121200130/?ST=nxt_thmit_security

木村岳史の極言暴論！

BIPROGYの報告書もザルだった、尼崎市「泥酔USB紛失事件」はこれで幕引きか

https://xtech.nikkei.com/atcl/nxt/column/18/00148/121600263/?ST=nxt_thmit_security

佐野正弘が斬る！ニュースなアプリの裏側

iPhoneやAndroid端末が採用する「パスキー」、パスワードレス認証普及の課題とは

https://xtech.nikkei.com/atcl/nxt/column/18/00086/00240/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

Emotetは何度も復活する　「コンテンツの有効化」なしで感染

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

mod_auth_openidcの脆弱性(Moderate: CVE-2022-23527)

https://security.sios.jp/vulnerability/mod-auth-openidc-security-vulnerability-20221217/

2022年12月16日金曜日

16日金曜日、先負

+ RHSA-2022:9079 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9079

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9072

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:9073

CVE-2021-44531

CVE-2021-44532

CVE-2021-44533

CVE-2021-44906

CVE-2022-3517

CVE-2022-21824

CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9067

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update

https://access.redhat.com/errata/RHSA-2022:9058

CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9080

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ X.orgに複数の脆弱性(Important: CVE-2022-4283, CVE-2022-46340, CVE-2022-46343, CVE-2022-46344)

https://security.sios.jp/vulnerability/xorg-security-vulnerability-20221216/

CVE-2022-4283

CVE-2022-46340

CVE-2022-46343

CVE-2022-46344

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92877622/index.html

JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96195138/index.html

JVN#96321933 電子入札コアシステムにおける複数の脆弱性

http://jvn.jp/jp/JVN96321933/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

Emotetは何度も復活する　「コンテンツの有効化」なしで感染

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

2022年12月15日木曜日

15日木曜日、友引

+ RHSA-2022:8958 Important: bcel security update

https://access.redhat.com/errata/RHSA-2022:8958

CVE-2022-42920

+ About the security content of iCloud for Windows 14.1

https://support.apple.com/ja-jp/HT213538

CVE-2022-46693

CVE-2022-46698

+ About the security content of Safari 16.2

https://support.apple.com/ja-jp/HT213537

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

+ About the security content of macOS Monterey 12.6.2

https://support.apple.com/ja-jp/HT213533

CVE-2022-42854

CVE-2022-42821

CVE-2022-32942

CVE-2022-42861

CVE-2022-42864

CVE-2022-46689

CVE-2022-42845

CVE-2022-42842

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42855

CVE-2022-42841

+ About the security content of macOS Big Sur 11.7.2

https://support.apple.com/ja-jp/HT213534

CVE-2022-42821

CVE-2022-32942

CVE-2022-42864

CVE-2022-46689

CVE-2022-42845

CVE-2022-42842

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42841

+ About the security content of tvOS 16.2

https://support.apple.com/ja-jp/HT213535

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42848

CVE-2022-46693

CVE-2022-42851

CVE-2022-42864

CVE-2022-46690

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42845

CVE-2022-40303

CVE-2022-40304

CVE-2022-42855

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

+ About the security content of watchOS 9.2

https://support.apple.com/ja-jp/HT213536

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42859

CVE-2022-46693

CVE-2022-42864

CVE-2022-46690

CVE-2022-42837

CVE-2022-46689

CVE-2022-42842

CVE-2022-42845

CVE-2022-40303

CVE-2022-40304

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

+ About the security content of iOS 15.7.2 and iPadOS 15.7.2

https://support.apple.com/ja-jp/HT213531

CVE-2022-46694

CVE-2022-42848

CVE-2022-42861

CVE-2022-42846

CVE-2022-42864

CVE-2022-42837

CVE-2022-46689

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42855

CVE-2022-46695

CVE-2022-46691

CVE-2022-42852

CVE-2022-46692

CVE-2022-46700

CVE-2022-42856

+ About the security content of iOS 16.2 and iPadOS 16.2

https://support.apple.com/ja-jp/HT213530

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42848

CVE-2022-42859

CVE-2022-46702

CVE-2022-42850

CVE-2022-42846

CVE-2022-46693

CVE-2022-42851

CVE-2022-42864

CVE-2022-46690

CVE-2022-42837

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42861

CVE-2022-42844

CVE-2022-42845

CVE-2022-32943

CVE-2022-42840

CVE-2022-42855

CVE-2022-42862

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

+ About the security content of macOS Ventura 13.1

https://support.apple.com/ja-jp/HT213532

CVE-2022-42843

CVE-2022-42847

CVE-2022-42865

CVE-2022-42854

CVE-2022-42853

CVE-2022-42859

CVE-2022-32942

CVE-2022-46693

CVE-2022-42864

CVE-2022-46690

CVE-2022-46697

CVE-2022-42837

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42861

CVE-2022-42845

CVE-2022-32943

CVE-2022-42840

CVE-2022-42855

CVE-2022-42862

CVE-2022-24836

CVE-2022-29181

CVE-2022-46695

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

CVE-2022-42841

+ JVNVU#96155097 OpenSSLのX.509ポリシー制限における二重ロックの問題

http://jvn.jp/vu/JVNVU96155097/index.html

JVNVU#91561630 Siemens製品に対するアップデート（2022年12月）

http://jvn.jp/vu/JVNVU91561630/index.html

JVNVU#95905213 Schneider Electric製APC Easy UPS Online Monitoring Softwareにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95905213/index.html

JVNVU#96873821 コンテック製CONPROSYS HMI System (CHS)におけるOSコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96873821/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#91051134 Siemens 製品に対するアップデート (2021年5月)

http://jvn.jp/vu/JVNVU91051134/index.html

UPDATE: JVNVU#91685542 Siemens 製品に対するアップデート（2021年1月）

http://jvn.jp/vu/JVNVU91685542/index.html

UPDATE: JVNVU#97501786 Siemens 製品に対するアップデート（2020年6月）

http://jvn.jp/vu/JVNVU97501786/index.html

UPDATE: JVNVU#95499848 Siemens 製品に対するアップデート（2020年4月）

http://jvn.jp/vu/JVNVU95499848/index.html

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU95858406/index.html

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU94702422/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97244961/index.html

2022年12月14日水曜日

14日水曜日、先勝

+ Google Chrome 108.0.5359.124/.125 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_13.html

+ Mozilla Firefox 108.0 released

https://www.mozilla.org/en-US/firefox/108.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-51 Security Vulnerabilities fixed in Firefox 108

https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/

CVE-2022-46871

CVE-2022-46872

CVE-2022-46873

CVE-2022-46874

CVE-2022-46875

CVE-2022-46877

CVE-2022-46878

CVE-2022-46879

+ Mozilla Foundation Security Advisory 2022-53 Security Vulnerabilities fixed in Thunderbird 102.6

https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/

CVE-2022-46880

CVE-2022-46872

CVE-2022-46881

CVE-2022-46874

CVE-2022-46875

CVE-2022-46882

CVE-2022-46878

+ Mozilla Thunderbird 102.6.0 released

https://www.thunderbird.net/en-US/thunderbird/102.6.0/releasenotes/

+ Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

+ VMSA-2022-0033 VMware ESXi, Workstation, and Fusion updates address a heap out-of-bounds write vulnerability (CVE-2022-31705)

https://www.vmware.com/security/advisories/VMSA-2022-0033.html

CVE-2022-31705

+ VMSA-2022-0032 VMware Workspace ONE Access and Identity Manager updates address multiple vulnerabilities (CVE-2022-31700, CVE-2022-31701).

https://www.vmware.com/security/advisories/VMSA-2022-0032.html

CVE-2022-31700

CVE-2022-31701

+ VMSA-2022-0031 VMware vRealize Network Insight (vRNI) updates address command injection and directory traversal security vulnerabilities (CVE-2022-31702, CVE-2022-31703)

https://www.vmware.com/security/advisories/VMSA-2022-0031.html

CVE-2022-31702

CVE-2022-31703

+ OpenSSL Security Advisory [13 December 2022]

https://www.openssl.org/news/secadv/20221213.txt

CVE-2022-3996

+ UPDATE: JVNVU#96381485 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU96381485/index.html

+ UPDATE: JVNVU#94306894 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU94306894/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

http://jvn.jp/vu/JVNVU90813125/index.html

+ UPDATE: JVNVU#99602154 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU99602154/index.html

+ JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

+ UPDATE: JVNVU#99612123 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU99612123/index.html

+ UPDATE: JVNVU#97014415 Apache Tomcat に対するアップデート

http://jvn.jp/vu/JVNVU97014415/index.html

+ UPDATE: JVNVU#96136392 Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU96136392/index.html

+ UPDATE: JVNVU#94251682 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU94251682/index.html

+ UPDATE: JVNVU#97307781 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU97307781/index.html

+ UPDATE: JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU92184689/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3996)と新バージョン(3.0.8)

https://security.sios.jp/vulnerability/openssl-security-vulnerability-20221214/

CVE-2022-3996

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU95858406/index.html

JVN#60211811 Redmine におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN60211811/index.html

UPDATE: JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92327282/index.html

UPDATE: JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU98487886/index.html

ニュース解説

iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07497/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

1億ドルの身代金を1年半で強奪、全米が警戒する「Hiveランサムウエア」が怖い理由

https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700122/?ST=nxt_thmit_security

ランサムウエア被害の大阪の病院、電子カルテ一部復旧で新規外来も12月下旬再開へ

https://xtech.nikkei.com/atcl/nxt/news/18/14304/?ST=nxt_thmit_security

2022年12月13日火曜日

13日火曜日、赤口

Books

インサイドWindows、仮想化ベースのセキュリティー「VBS」

ついに完結した「インサイドWindows」第7版の要点［8］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00259/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

有明コロシアムの図面などが流出か、都立スポーツ施設の工事業者にサイバー攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100194/?ST=nxt_thmit_security

尼崎市USB紛失でBIPROGYも調査報告書、「役職員のコンプライアンス意識が低い」

https://xtech.nikkei.com/atcl/nxt/news/18/14302/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センターで電子カルテが再稼働

https://xtech.nikkei.com/atcl/nxt/news/18/14296/?ST=nxt_thmit_security

2022年12月12日月曜日

12日月曜日、大安

+ VMSA-2022-0030 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31696, CVE-2022-31697, CVE-2022-31698, CVE-2022-31699)

https://www.vmware.com/security/advisories/VMSA-2022-0030.html

CVE-2022-31696

CVE-2022-31697

CVE-2022-31698

CVE-2022-31699

+ Apache Tomcat 10.1.4 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.4_(markt)

+ PHP 8.2.0 released

https://www.php.net/ChangeLog-8.php#8.2.0

木村岳史の極言暴論！

尼崎市「泥酔USB紛失事件」のてんまつ、こんなひどい報告書を読んだのは初めてだ

https://xtech.nikkei.com/atcl/nxt/column/18/00148/120800261/?ST=nxt_thmit_security

楽天モバイル元社員に有罪判決、ソフトバンクから基地局情報などの持ち出しで

https://xtech.nikkei.com/atcl/nxt/news/18/14292/?ST=nxt_thmit_security

業績とサイバー防御力に相関関係、サイバーセキュリティクラウドが調査

https://xtech.nikkei.com/atcl/nxt/news/18/14284/?ST=nxt_thmit_security

JVNVU#92856810 Advantech製iViewにおけるSQLインジェクションの脆弱性

http://jvn.jp/vu/JVNVU92856810/index.html

JVNVU#99843134 AVEVA製InTouch Access Anywhereにおける相対パストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU99843134/index.html

JVNVU#95644791 Rockwell Automation製Logixコントローラにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU95644791/index.html

JVNVU#97099584 バッファロー製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU97099584/index.html

Buildahの脆弱性(Moderate: CVE-2022-4122, Low: CVE-2022-4123)

https://security.sios.jp/vulnerability/buildah-security-vulnerability-20221212/

2022年12月9日金曜日

9日金曜日、友引

+ RHSA-2022:8900 Important: grub2 security update

https://access.redhat.com/errata/RHSA-2022:8900

CVE-2022-28733

+ containerdの脆弱性(Moderate: CVE-2022-23471)と新バージョン(1.5.16, 1.6.12)

https://security.sios.jp/vulnerability/containerd-security-vulnerability-20221209/

CVE-2022-23471

3分でわかる必修ワード IT

アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは

プリハイジャック攻撃（Pre-hijacking Attacks）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/112200216/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

選管職員の7割が選挙DXに期待、インターネット投票には根強い懸念やリスク

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120700003/?ST=nxt_thmit_security

金沢西病院が不正アクセス被害を公表、電子カルテが一部閲覧できず

https://xtech.nikkei.com/atcl/nxt/news/18/14283/?ST=nxt_thmit_security

FacebookのVIP特別待遇に「重大な疑義」、監督委員会が是正勧告

https://xtech.nikkei.com/atcl/nxt/news/18/14279/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

マイナンバーカード取得の「実質義務化」はありか？法学者がマイナンバー制度を議論

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月8日木曜日

8日木曜日、先勝

+ RHSA-2022:8880 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2022:8880

CVE-2022-21619

CVE-2022-21624

CVE-2022-21626

CVE-2022-21628

+ RHSA-2022:8850 Moderate: Red Hat OpenStack Platform 16.2.4 (python-ujson) security update

https://access.redhat.com/errata/RHSA-2022:8850

CVE-2022-31116

CVE-2022-31117

+ Google Chrome 108.0.5359.98/.99 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_7.html

+ Wireshark 4.0.2, 3.6.10 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.2.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.10.html

情報ネットワーク法学会第22回研究大会リポート

マイナンバーカード取得の「実質義務化」はありか？法学者がマイナンバー制度を議論

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月7日水曜日

7日水曜日、赤口

+ RHSA-2022:8799 Important: pki-core security update

https://access.redhat.com/errata/RHSA-2022:8799

CVE-2022-2414

+ RHSA-2022:8833 Moderate: nodejs:18 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8833

CVE-2022-3517

CVE-2022-43548

+ RHSA-2022:8832 Moderate: nodejs:18 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8832

CVE-2022-3517

CVE-2022-43548

+ FreeBSD 12.4-RELEASE released

https://www.freebsd.org/releases/12.4R/relnotes/

+ Linux Kernelの脆弱性(Moderate: CVE-2022-4127, CVE-2022-4128, CVE-2022-4129)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221207/

CVE-2022-4127

CVE-2022-4128

CVE-2022-4129

+ VMware vCenter vScalation Privilege Escalation

https://cxsecurity.com/issue/WLB-2022120013

Books

インサイドWindows、「メモリマネージャー」が果たす2つの役割

ついに完結した「インサイドWindows」第7版の要点［6］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00242/?ST=nxt_thmit_security

デジタルライフ節約術

100円均一ショップで買える、要注目のデジタル節約グッズを写真で紹介

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700005/?ST=nxt_thmit_security

あと3年使うぞ！Windows 10

Windows 10が見違える速さに！パソコンの無駄を省いてスッキリ

https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800002/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

自社のランサムウエア被害が取引先に悪影響、損害賠償請求リスクはあるか

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600001/?ST=nxt_thmit_security

ニュース解説

フィッシングで狙われたブランド世界7位は「au」、あの国のドメインが影響か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07458/?ST=nxt_thmit_security

2022年12月6日火曜日

6日火曜日、大安

+ Zabbix 6.2.6, 6.0.12 released

https://www.zabbix.com/rn/rn6.2.6

https://www.zabbix.com/rn/rn6.0.12

+ Apache Tomcat 9.0.70 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.70_(remm)

デジタルライフ節約術

Amazonでのトラブルのもと、粗悪品や不審な販売業者を見分けるワザ

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700004/?ST=nxt_thmit_security

ニュース解説

半年で10万台にEDR導入、富士フイルムが挑む本気のゼロトラスト

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07452/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

奈良県の委託業者が「グループアドレス」を誤って公開、新型コロナ関連の個人情報流出

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100193/?ST=nxt_thmit_security

快適メールクライアント利用術

誤字・脱字防止から攻撃メール対策まで、覚えておきたいメールテクニック

https://xtech.nikkei.com/atcl/nxt/column/18/02275/120100003/?ST=nxt_thmit_security

JVNVU#93526386 コンテック製SolarView Compactにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU93526386/index.html

2022年12月5日月曜日

5日月曜日、仏滅

+ Google Chrome 108.0.5359.94/.95 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

+ ProFTPD 1.3.8, 1.3.7f released

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.7f

JVNVU#99552838 BD製BodyGuardにおけるハードウェアインターフェイスに対する保護機構の欠如の脆弱性

http://jvn.jp/vu/JVNVU99552838/index.html

JVNVU#93417785 Horner Automation製Remote Compact Controller 972における複数の脆弱性

http://jvn.jp/vu/JVNVU93417785/index.html

JVNVU#91952379 複数のオムロン製 PLC における複数の脆弱性

http://jvn.jp/vu/JVNVU91952379/index.html

フォーカス

マイナカードは便利か？　鍵を握るのは「JPKI」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400132/?ST=nxt_thmit_security

デジタルライフ節約術

大型セールやプライム会員を有効活用、Amazonの賢い使い方

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700003/?ST=nxt_thmit_security

ニュース解説

「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07453/?ST=nxt_thmit_security

2022年12月2日金曜日

2日金曜日、先勝

+ CESA-2022:8560 Important CentOS 7 hsqldb Security Update

https://lwn.net/Articles/916425/

+ CESA-2022:8640 Important CentOS 7 krb5 Security Update

https://lwn.net/Articles/916426/

+ CESA-2022:7186 Important CentOS 7 device-mapper-multipath Security Update

https://lwn.net/Articles/916423/

+ CESA-2022:8491 Important CentOS 7 xorg-x11-server Security Update

https://lwn.net/Articles/916428/

+ CESA-2022:8552 Important CentOS 7 firefox Security Update

https://lwn.net/Articles/916424/

+ CESA-2022:8555 Important CentOS 7 thunderbird Security Update

https://lwn.net/Articles/916427/

JVNVU#94514762 ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94514762/index.html

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91847599/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

防犯カメラの位置をWi-Fiで特定　スパイも驚く「Wi-Peep」の正体

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112400096/?ST=nxt_thmit_security

マルウエア徹底解剖

「YARA」で理解するシグネチャー

［第37回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111700038/?ST=nxt_thmit_security

デジタルライフ節約術

サブスクやスマホの有料オプション、無駄な固定費を見直そう

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700002/?ST=nxt_thmit_security

Books

コストと効果から考えるランサムウエア対策の優先順位

ランサムウエアから会社を守る（4）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00250/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか

ブロックチェーン上のトークンは「証券」なのか、最新の米判決にみる日米の違い

https://xtech.nikkei.com/atcl/nxt/column/18/02132/112800010/?ST=nxt_thmit_security

快適メールクライアント利用術

いつものPCが使えないときはWebメール、まさかのときに役立つ事前セットアップ

https://xtech.nikkei.com/atcl/nxt/column/18/02275/113000002/?ST=nxt_thmit_security

2022年12月1日木曜日

1日木曜日、赤口

+ Mozilla Foundation Security Advisory 2022-50 Security Vulnerabilities fixed in Thunderbird 102.5.1

https://www.mozilla.org/en-US/security/advisories/mfsa2022-50/

CVE-2022-45414

+ Mozilla Thunderbird 102.5.1 released

https://www.thunderbird.net/en-US/thunderbird/102.5.1/releasenotes/

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91847599/index.html

JVNVU#95076777 Moxa製UCシリーズにおける不適切な物理アクセス制御の脆弱性

http://jvn.jp/vu/JVNVU95076777/index.html

SASE」を読み解く

得意分野がタイプで異なる　アクセス制御の設定に注意

Part3 導入時の課題

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600003/?ST=nxt_thmit_security

SASE」を読み解く

危険なサイトやマルウエアを遮断　状態に応じて動的に制御

Part2 中核3技術の動作

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600002/?ST=nxt_thmit_security

SASE」を読み解く

拠点や端末を総合的に守る　「ゼロトラスト」でも活躍

Part1 求められる役割

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600001/?ST=nxt_thmit_security

Books

敵を知って臨め！ランサムウエア被害からの復旧手順

ランサムウエアから会社を守る（3）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00249/?ST=nxt_thmit_security

デジタルライフ節約術

押し寄せる物価上昇の波、デジタル節約術で乗り越えよう

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700001/?ST=nxt_thmit_security

ニュース解説

大阪の病院は取引業者からランサムウエアがなぜ広がった？「攻撃の横展開」に注意

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?ST=nxt_thmit_security

快適メールクライアント利用術

メールクライアントに不満があるなら乗り換え検討、お薦めのアプリを紹介

https://xtech.nikkei.com/atcl/nxt/column/18/02275/112800001/?ST=nxt_thmit_security

NECがゲートレス生体認証システム、1分当たり100人の認証で混雑を抑制へ

https://xtech.nikkei.com/atcl/nxt/news/18/14230/?ST=nxt_thmit_security

2022年11月30日水曜日

30日水曜日、大安

+ Mozilla Firefox 107.0.1 released

https://www.mozilla.org/en-US/firefox/107.0.1/releasenotes/

+ VMSA-2022-0029 VMware Tools for Windows update addresses a denial-of-service vulnerability (CVE-2021-31693)

https://www.vmware.com/security/advisories/VMSA-2022-0029.html

CVE-2021-31693

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU94702422/index.html

NEWS pickup ＆ digest

NEWS pickup＆digest（2022/10/10～11/9）

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/111600061/?ST=nxt_thmit_security

Books

まさかうちが…ランサムウエア被害対応時の組織運営の肝は

ランサムウエアから会社を守る（2）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00248/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

Emotetマルウエアは何度も復活する、今回は「コンテンツの有効化」なしでも感染

https://xtech.nikkei.com/atcl/nxt/column/18/00676/112300121/?ST=nxt_thmit_security

2022年11月29日火曜日

29日火曜日、仏滅

+ RHSA-2022:8640 Important: krb5 security update

https://access.redhat.com/errata/RHSA-2022:8640

CVE-2022-42898

+ RHSA-2022:8649 Important: varnish:6 security update

https://access.redhat.com/errata/RHSA-2022:8649

CVE-2022-45060

+ RHSA-2022:8638 Important: krb5 security update

https://access.redhat.com/errata/RHSA-2022:8638

CVE-2022-42898

+ RHSA-2022:8643 Important: varnish security update

https://access.redhat.com/errata/RHSA-2022:8643

CVE-2022-45060

+ RHSA-2022:8637 Important: krb5 security update

https://access.redhat.com/errata/RHSA-2022:8637

CVE-2022-42898

+ Zabbix 6.2.5, 6.0.11, 5.0.30 released

https://www.zabbix.com/rn/rn6.2.5

https://www.zabbix.com/rn/rn6.0.11

https://www.zabbix.com/rn/rn5.0.30

+ ClamAV 1.0.0 LTS released

https://blog.clamav.net/2022/11/clamav-100-lts-released.html

+ Apache Struts 6.1.1 GA released

https://struts.apache.org/announce-2022#a20221128

https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.1.1

日経NETWORK 特別リポート

キーボードに残った「指の熱」でパスワードを盗む

6文字なら正解率100％

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111600059/?ST=nxt_thmit_security

NEWS close-up

意図せぬ「身代金」支払いにご用心

ランサムウエア犯罪者が3万ドル受領を主張　データ復旧業者が交渉していたら犯罪の恐れ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700191/?ST=nxt_thmit_security

標的企業をロックオン、ランサムウエア攻撃はなぜ怖い？

ランサムウエアから会社を守る（1）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00247/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

名古屋大・岐阜大運営の大学機構がランサムウエア被害、認証サーバーに総当たり攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100192/?ST=nxt_thmit_security

尼崎市がUSB紛失に関する第三者委員会の報告書を公開、複数の契約違反が明らかに

https://xtech.nikkei.com/atcl/nxt/news/18/14215/?ST=nxt_thmit_security

富士通がイスラエルに新拠点、AIやネットワークのセキュリティーを研究開発

https://xtech.nikkei.com/atcl/nxt/news/18/14209/?ST=nxt_thmit_security

UPDATE: VN#54728399 TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) において ClassLoader を操作可能な脆弱性

http://jvn.jp/jp/JVN54728399/index.html

2022年11月28日月曜日

28日月曜日、先負

+ PHP 8.0.26 released

https://www.php.net/ChangeLog-8.php#8.0.26

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92877622/index.html

JVN#87895771 サイボウズリモートサービスにおけるリソース枯渇に至る脆弱性

http://jvn.jp/jp/JVN87895771/index.html

JVN#53682526 baserCMS における複数のクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN53682526/index.html

2022年11月25日金曜日

25日金曜日、赤口

+ Google Chrome 107.0.5304.121, 106.0.5249.199 released

https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html

https://chromereleases.googleblog.com/2022/11/extended-stable-channel-update-for_24.html

+ PHP 8.1.13 released

https://www.php.net/ChangeLog-8.php#8.1.13

先端技術ニュースプラス

AMDが5nm世代初のサーバー用MPU、GoogleやMSがクラウドで採用

https://xtech.nikkei.com/atcl/nxt/column/18/01537/00578/?ST=nxt_thmit_security

サイバー攻撃受けた菱機工業、社内システムの障害続く

https://xtech.nikkei.com/atcl/nxt/news/18/14187/?ST=nxt_thmit_security

JVNVU#97763467 AVEVA製AVEVA Edgeにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97763467/index.html

JVNVU#98663592 Digital Alert Systems製DASDECにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU98663592/index.html

JVNVU#90294891 Phoenix Contact製Automation Worx Software Suiteにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90294891/index.html

JVNVU#95378145 GE Digital製CIMPLICITYにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95378145/index.html

JVNVU#98565313 Moxa製ARM-Based Computersにおける不適切な権限管理の脆弱性

http://jvn.jp/vu/JVNVU98565313/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97244961/index.html

JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94434051/index.html

JVN#29657972 TP-Link RE300 V1 の tdpServer における入力データの不適切な処理に関する脆弱性

http://jvn.jp/jp/JVN29657972/index.html

JVNVU#94926489 Hillrom 製 Welch Allyn medical device management tools に複数の脆弱性

http://jvn.jp/vu/JVNVU94926489/index.html

2022年11月24日木曜日

24日木曜日、大安

+ RHSA-2022:8560 Important: hsqldb security update

https://access.redhat.com/errata/RHSA-2022:8560

CVE-2022-41853

+ RHSA-2022:8552 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:8552

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45416

CVE-2022-45418

CVE-2022-45420

CVE-2022-45421

+ RHSA-2022:8554 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:8554

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45416

CVE-2022-45418

CVE-2022-45420

CVE-2022-45421

+ RHSA-2022:8580 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:8580

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45416

CVE-2022-45418

CVE-2022-45420

CVE-2022-45421

+ RHSA-2022:8561 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:8561

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45416

CVE-2022-45418

CVE-2022-45420

CVE-2022-45421

+ Apache Tomcat 8.5.84 Released

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.84_(schultz)

+ UPDATE: JVNVU#92673251 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU92673251/index.html

+ JVNVU#90082799 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90082799/index.html

JVNVU#91714912 Cradlepoint製IBR600におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU91714912/index.html

JVN#26044739 Typora における JavaScript コードの無効化処理が不十分な問題

http://jvn.jp/jp/JVN26044739/index.html

JVNVU#94746819 Red Lion Controls製Crimsonにおけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU94746819/index.html

JVN#13927745 WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性

http://jvn.jp/jp/JVN13927745/index.html

JVNVU#99505355 Netatalkに複数の脆弱性

http://jvn.jp/vu/JVNVU99505355/index.html

ニュース＆リポート

大阪の救急病院にランサムウエア　電子カルテ被害で手術・診療停止

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/111600805/?ST=nxt_thmit_security

piyokangoの月刊システムトラブル

PR TIMESでシステム障害　メンテナンス契機に複数発生

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111600045/?ST=nxt_thmit_security

ニュース＆リポート

ランサムウエアの「身代金」　意図せぬ支払いにリスク

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/111600810/?ST=nxt_thmit_security

凸版印刷とNICT、耐量子計算機暗号をICカードシステムに実装

https://xtech.nikkei.com/atcl/nxt/news/18/14135/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ノートンが銀行アプリを「危険」と警告するトラブル相次ぐ、再インストールを呼びかけ

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100191/?ST=nxt_thmit_security

「ワコムストア」に不正アクセス、約15万人分の個人情報が漏洩か

https://xtech.nikkei.com/atcl/nxt/news/18/14178/?ST=nxt_thmit_security

トリドールHD、「二律両立」のDX

SaaSを最大限活用　肝は変化への対応力

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/111500325/111500002/?ST=nxt_thmit_security

キーワード

分散型アイデンティティー（Decentralized Identity）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/111400128/?ST=nxt_thmit_security

極言正論

国民を利で釣ってどうする　マイナカード義務化へ議論尽くせ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600007/111000126/?ST=nxt_thmit_security

記者の眼

防衛施設の工事作業員は機密情報を盗み放題

https://xtech.nikkei.com/atcl/nxt/mag/ncr/18/00061/111000073/?ST=nxt_thmit_security

群馬大学医学部付属病院が病院システムを刷新、ランサムウエア攻撃にも備える

https://xtech.nikkei.com/atcl/nxt/news/18/14167/?ST=nxt_thmit_security

2022年11月18日金曜日

18日金曜日、仏滅

JVN#13927745 WordPress 用プラグイン WordPress Popular Posts における外部入力の不適切な使用に関する脆弱性

http://jvn.jp/jp/JVN13927745/index.html

JVNVU#90082799 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90082799/index.html

JVNVU#99505355 Netatalkに複数の脆弱性

http://jvn.jp/vu/JVNVU99505355/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

ディープフェイク音声を見破る　恐竜の鳴き声応用で精度99.9％

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/111100095/?ST=nxt_thmit_security

2022年11月17日木曜日

17日木曜日、先負

+ AlmaLinux 9.1 - Now Available

https://almalinux.org/blog/almalinux-91-now-available/

+ Announcing the GA release of Red Hat Enterprise Linux 9.1

https://access.redhat.com/announcements/6984895

+ VU#709991 Netatalk contains multiple error and memory management vulnerabilities

https://www.kb.cert.org/vuls/id/709991

CVE-2022-0194

CVE-2022-23121

CVE-2022-23122

CVE-2022-23123

CVE-2022-23124

CVE-2022-23125

JVN#24659622 RICOH IPSiO SP 4210 におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN24659622/index.html

JVN#37014768 Movable Type における複数の脆弱性

http://jvn.jp/jp/JVN37014768/index.html

2022年11月16日水曜日

16日水曜日、友引

+ RHSA-2022:8434 Moderate: dotnet7.0 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8434

CVE-2022-41032

+ RHSA-2022:8431 Low: podman security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8431

CVE-2022-2989

CVE-2022-2990

+ RHSA-2022:8400 Moderate: libtirpc security update

https://access.redhat.com/errata/RHSA-2022:8400

CVE-2021-46828

+ RHSA-2022:8393 Moderate: logrotate security update

https://access.redhat.com/errata/RHSA-2022:8393

CVE-2022-1348

+ RHSA-2022:8385 Moderate: dhcp security and enhancement update

https://access.redhat.com/errata/RHSA-2022:8385

CVE-2021-25220

+ RHSA-2022:8340 Moderate: freetype security update

https://access.redhat.com/errata/RHSA-2022:8340

CVE-2022-27404

CVE-2022-27405

CVE-2022-27406

+ RHSA-2022:8318 Moderate: libldb security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8318

CVE-2022-32746

+ RHSA-2022:8317 Moderate: samba security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8317

CVE-2022-32742

+ Mozilla Firefox 107.0 released

https://www.mozilla.org/en-US/firefox/107.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-47 Security Vulnerabilities fixed in Firefox 107

https://www.mozilla.org/en-US/security/advisories/mfsa2022-47/

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45407

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45413

CVE-2022-40674

CVE-2022-45415

CVE-2022-45416

CVE-2022-45417

CVE-2022-45418

CVE-2022-45419

CVE-2022-45420

CVE-2022-45421

+ Mozilla Thunderbird 102.5.0 released

https://www.thunderbird.net/en-US/thunderbird/102.5.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-49 Security Vulnerabilities fixed in Thunderbird 102.5

https://www.mozilla.org/en-US/security/advisories/mfsa2022-49/

CVE-2022-45403

CVE-2022-45404

CVE-2022-45405

CVE-2022-45406

CVE-2022-45408

CVE-2022-45409

CVE-2022-45410

CVE-2022-45411

CVE-2022-45412

CVE-2022-45416

CVE-2022-45418

CVE-2022-45420

CVE-2022-45421

+ UPDATE: JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU92867820/index.html

JVNVU#98082029 複数の三菱電機製家電製品のWi-Fi接続処理におけるデッドロックの脆弱性

http://jvn.jp/vu/JVNVU98082029/index.html

勝村幸博の「今日も誰かが狙われる」

防犯カメラや警備員の場所をドローンで特定、スパイも驚く「Wi-Peep」の正体

https://xtech.nikkei.com/atcl/nxt/column/18/00676/111300120/?ST=nxt_thmit_security

Webブラウザーの快適環境構築法

いろんなWebブラウザーを快適にする「Chromeウェブストア」、厳選の拡張機能

https://xtech.nikkei.com/atcl/nxt/column/18/02255/111400003/?ST=nxt_thmit_security

導入や運用の手間が少ないデータ漏洩防止のクラウド、ゼットスケーラーが開始

https://xtech.nikkei.com/atcl/nxt/news/18/14146/?ST=nxt_thmit_security

2022年11月15日火曜日

15日火曜日、先勝

+ Apache Tomcat 10.1.2, 9.0.69 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.2_(markt)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.69_(remm)

JVN#54728399 TERASOLUNA Global Framework および TERASOLUNA Server Framework for Java (Rich版) において ClassLoader を操作可能な脆弱性

http://jvn.jp/jp/JVN54728399/index.html

JVNVU#97968855 日立国際電気製監視システムネットワーク製品（カメラ、エンコーダ、デコーダ）における複数の脆弱性

http://jvn.jp/vu/JVNVU97968855/index.html

Webブラウザーの快適環境構築法

こだわりユーザー向けの「クセ強」Webブラウザー、使い分けで快適環境に

https://xtech.nikkei.com/atcl/nxt/column/18/02255/111100002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

大阪急性期・総合医療センターより4日早くランサムウエアに感染した病院、紙カルテに

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100190/?ST=nxt_thmit_security

2022年11月14日月曜日

14日月曜日、赤口

+ AlmaLinux 8.7 - Now Available

https://almalinux.org/blog/almalinux-87-now-available/

UPDATE: JVNVU#93762879 Siemens製品に対するアップデート（2022年11月）

http://jvn.jp/vu/JVNVU93762879/index.html

UPDATE: JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

UPDATE: JVNVU#91456150 LS ELECTRIC製PLCおよびXG5000における不十分な暗号強度の脆弱性

http://jvn.jp/vu/JVNVU91456150/index.html

ニュース解説

なぜエッジにWebAssemblyを採用したか、米FastlyのマクマレンCTOが語った理由

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07364/?ST=nxt_thmit_security

Webブラウザーの快適環境構築法

オススメのWebブラウザーはどれ？Microsoft Edgeが人気の理由

https://xtech.nikkei.com/atcl/nxt/column/18/02255/111000001/?ST=nxt_thmit_security

2022年11月11日金曜日

11日金曜日、先負

+ PostgreSQL 15.1, 14.6, 13.9, 12.13, 11.18, and 10.23 Released!

https://www.postgresql.org/about/news/postgresql-151-146-139-1213-1118-and-1023-released-2543/

https://www.postgresql.org/docs/15/release-15-1.html

https://www.postgresql.org/docs/14/release-14-6.html

https://www.postgresql.org/docs/13/release-13-9.html

https://www.postgresql.org/docs/12/release-12-13.html

https://www.postgresql.org/docs/11/release-11-18.html

JVN#75437943 アイホン製インターホンシステムにおける情報漏えいの脆弱性

http://jvn.jp/jp/JVN75437943/index.html

正しいデータ整理整頓法

ランサムウエアが怖くなくなるデータ防御法、感染対策から世代バックアップまで

https://xtech.nikkei.com/atcl/nxt/column/18/02247/110900006/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センター、電子カルテの一部が参照可能に

https://xtech.nikkei.com/atcl/nxt/news/18/14116/?ST=nxt_thmit_security

2022年11月10日木曜日

10日木曜日、友引

+ Announcing the GA release of Red Hat Enterprise Linux 8.7

https://access.redhat.com/announcements/6983803

+ About the security content of iOS 16.1.1 and iPadOS 16.1.1

https://support.apple.com/ja-jp/HT213505

CVE-2022-40303

CVE-2022-40304

+ About the security content of macOS Ventura 13.0.1

https://support.apple.com/ja-jp/HT213504

CVE-2022-40303

CVE-2022-40304

+ Google Chrome 106.0.5249.181 released

https://chromereleases.googleblog.com/2022/11/extended-stable-channel-update-for.html

JVNVU#96604488 複数のUEFI実装における競合状態に関する脆弱性

http://jvn.jp/vu/JVNVU96604488/index.html

JVNVU#94499505 Intel製品に複数の脆弱性（2022年11月）

http://jvn.jp/vu/JVNVU94499505/index.html

JVNVU#93762879 Siemens製品に対するアップデート（2022年11月）

http://jvn.jp/vu/JVNVU93762879/index.html

UPDATE: JVNVU#96592426 Siemens製品に対するアップデート（2021年12月）

http://jvn.jp/vu/JVNVU96592426/index.html

ニュース＆リポート

個人情報管理が不十分な企業に保護委が初のツールキット

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/110200800/?ST=nxt_thmit_security

正しいデータ整理整頓法

うっかりミスが怖いパソコンのデータ引っ越し、キホンを知って失敗をなくす

https://xtech.nikkei.com/atcl/nxt/column/18/02247/110800005/?ST=nxt_thmit_security

2022年11月9日水曜日

9日水曜日、先勝

+ RHSA-2022:7822 Low: container-tools:rhel8 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:7822

CVE-2022-2989

CVE-2022-2990

+ RHSA-2022:7793 Moderate: rsync security and enhancement update

https://access.redhat.com/errata/RHSA-2022:7793

CVE-2022-37434

+ RHSA-2022:7790 Moderate: bind security update

https://access.redhat.com/errata/RHSA-2022:7790

CVE-2021-25220

+ RHSA-2022:7745 Moderate: freetype security update

https://access.redhat.com/errata/RHSA-2022:7745

CVE-2022-27404

CVE-2022-27405

CVE-2022-27406

+ RHSA-2022:7730 Moderate: libldb security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:7730

CVE-2022-32746

+ RHSA-2022:7720 Moderate: e2fsprogs security and bug fix update

https://access.redhat.com/errata/RHSA-2022:7720

CVE-2022-1304

+ RHSA-2022:7704 Moderate: webkit2gtk3 security and bug fix update

https://access.redhat.com/errata/RHSA-2022:7704

CVE-2022-22624

CVE-2022-22628

CVE-2022-22629

CVE-2022-22662

CVE-2022-26700

CVE-2022-26709

CVE-2022-26710

CVE-2022-26716

CVE-2022-26717

CVE-2022-26719

CVE-2022-30293

+ RHSA-2022:7648 Moderate: grafana-pcp security update

https://access.redhat.com/errata/RHSA-2022:7648

CVE-2022-1705

CVE-2022-30630

CVE-2022-30631

CVE-2022-30632

CVE-2022-30635

CVE-2022-32148

+ RHSA-2022:7643 Important: bind9.16 security update

https://access.redhat.com/errata/RHSA-2022:7643

CVE-2021-25220

CVE-2022-0396

+ RHSA-2022:7640 Moderate: mutt security update

https://access.redhat.com/errata/RHSA-2022:7640

CVE-2022-1328

+ Mozilla Thunderbird 102.4.2 released

https://www.thunderbird.net/en-US/thunderbird/102.4.2/releasenotes/

+ VMSA-2022-0028 VMware Workspace ONE Assist update addresses multiple vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2022-0028.html

CVE-2022-31685

CVE-2022-31686

CVE-2022-31687

CVE-2022-31688

CVE-2022-31689

+ PHP 7.4.33 released

https://www.php.net/ChangeLog-7.php#7.4.33

+ Sudo 1.9.12p1 released

https://www.sudo.ws/releases/stable/#1.9.12p1

+ JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題

http://jvn.jp/vu/JVNVU93003913/index.html

+ JVNVU#92673251 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU92673251/index.html

+ VU#434994 Multiple race conditions due to TOCTOU flaws in various UEFI Implementations

https://www.kb.cert.org/vuls/id/434994

CVE-2021-33164

+ Python の脆弱性情報(Importabt: CVE-2022-42919)

https://security.sios.com/vulnerability/python-security-vulnerability-20221108.html

+ Linux Kernelの脆弱性(CVE-2022-43945)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20221108.html

+ sudoの脆弱性情報(Important: CVE-2022-43995)

https://security.sios.com/vulnerability/sudo-security-vulnerability-20221104.html

2022年11月4日金曜日

4日金曜日、友引

+ Mozilla Thunderbird 102.4.2 released

https://www.thunderbird.net/en-US/thunderbird/102.4.2/releasenotes/

+ sudoの脆弱性情報(Important: CVE-2022-43995)

https://security.sios.com/vulnerability/sudo-security-vulnerability-20221104.html

CVE-2022-43995

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

キーボードに残った「指の熱」　そこからパスワードが盗まれる

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102700094/?ST=nxt_thmit_security

動かないコンピュータ

千葉県南房総市の小中学校にサイバー攻撃、VPN装置の管理者IDが悪用される

南房総市教育委員会

https://xtech.nikkei.com/atcl/nxt/column/18/01157/110100073/?ST=nxt_thmit_security

2022年11月3日木曜日

3日木曜日、先勝

+ RHSA-2022:7344 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2022:7344

CVE-2022-2588

+ RHSA-2022:7340 Moderate: php-pear security update

https://access.redhat.com/errata/RHSA-2022:7340

CVE-2020-28948

CVE-2020-28949

CVE-2020-36193

+ RHSA-2022:7337 Important: kernel security and bug fix update

https://access.redhat.com/errata/RHSA-2022:7337

CVE-2022-2588

CVE-2022-23816

CVE-2022-23825

CVE-2022-26373

CVE-2022-29900

CVE-2022-29901

+ RHSA-2022:7384 Critical: openssl-container security update

https://access.redhat.com/errata/RHSA-2022:7384

CVE-2022-3602

CVE-2022-3786

+ Zabbix 6.2.4, 6.0.10, 5.0.29 released

https://www.zabbix.com/rn/rn6.2.4

https://www.zabbix.com/rn/rn6.0.10

https://www.zabbix.com/rn/rn5.0.29

+ JVNVU#92673251 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU92673251/index.html

CVE-2022-3602

CVE-2022-3786

+ JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性

http://jvn.jp/vu/JVNVU92530096/index.html

+ JVNVU#93003913 Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題

http://jvn.jp/vu/JVNVU93003913/index.html

Google検索結果トップに「GIMP」の偽サイト、またもや広告欄の悪用か

https://xtech.nikkei.com/atcl/nxt/news/18/14058/?ST=nxt_thmit_security

2022年11月2日水曜日

2日水曜日、赤口

+ About the security content of Xcode 14.1

https://support.apple.com/ja-jp/HT213496

CVE-2022-29187

CVE-2022-39253

CVE-2022-39260

CVE-2022-42797

+ OpenSSL Security Advisory [01 November 2022]

https://www.openssl.org/news/secadv/20221101.txt

CVE-2022-3602

CVE-2022-3786

+ OpenSSL 3.0.7, 1.1.1s released

https://www.openssl.org/

+ UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

+ OpenSSLの脆弱性情報(High: CVE-2022-3786, CVE-2022-3602)と新バージョン(3.0.7, 1.1.1s)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20221102.html

CVE-2022-3602

CVE-2022-3786

+ VU#794340: OpenSSL 3.0.0 to 3.0.6 decodes some punycode email addresses in X.509 certificates improperly

https://www.kb.cert.org/vuls/id/794340

マルウエア徹底解剖

「マクロブロック」を回避する手口

［第36回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/102000037/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

ディープフェイク音声を見破る驚きの手法、「恐竜の鳴き声」の応用で精度99.9％

https://xtech.nikkei.com/atcl/nxt/column/18/00676/102700118/?ST=nxt_thmit_security

大阪急性期・総合医療センターのランサムウエア被害、11月2日以降も通常診療停止

https://xtech.nikkei.com/atcl/nxt/news/18/14060/?ST=nxt_thmit_security

JVN#46345126 京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性

http://jvn.jp/jp/JVN46345126/index.html

2022年11月1日火曜日

1日火曜日、大安

+ CESA-2022:7008 Moderate CentOS 7 java-11-openjdk Security Update

https://lwn.net/Articles/912650/

+ CESA-2022:6765 Important CentOS 7 bind Security Update

https://lwn.net/Articles/912647/

+ CESA-2022:7088 Important CentOS 7 libksba Security Update

https://lwn.net/Articles/912651/

+ CESA-2022:7002 Moderate CentOS 7 java-1.8.0-openjdk Security Update

https://lwn.net/Articles/912649/

+ CESA-2022:6815 Important CentOS 7 squid Security Update

https://lwn.net/Articles/912652/

+ CESA-2022:6834 Important CentOS 7 expat Security Update

https://lwn.net/Articles/912648/

+ CESA-2022:7087 Moderate CentOS 7 389-ds-base Security Update

https://lwn.net/Articles/912646/

+ New packages for ClamAV 0.103.7, 0.104.4, 0.105.1 to resolve CVE's

https://blog.clamav.net/2022/10/new-packages-for-clamav-01037-01044.html

CVE-2022-37434

CVE-2022-40303

CVE-2022-40304

+ Apache Tomcatの脆弱性情報(Low: CVE-2021-42252)

https://security.sios.com/vulnerability/tomcat-security-vulnerability-20221101.html

CVE-2021-42252

+ multipath-toolsによる権限昇格の脆弱性(Leeloo Multipath)(Important: CVE-2022-41974, Moderate: CVE-2022-41973)

https://security.sios.com/vulnerability/multipath-security-vulnerability-20221101.html

CVE-2022-41974

CVE-2022-41973

+ Ansibleの脆弱性(Moderate: CVE-2022-3697)

https://security.sios.com/vulnerability/ansible-security-vulnerability-20221031.html

CVE-2022-3697

これで分かった！TLS

安全性の高い方式に制限　キモはAEADと前方秘匿性

Part3　暗号スイート

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800003/?ST=nxt_thmit_security

これで分かった！TLS

暗号化に必要な情報を交換　TLS 1.3は0-RTTを実現

Part2　ハンドシェイク

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800002/?ST=nxt_thmit_security

これで分かった！TLS

TLS 1.0/1.1は使用禁止に　開発者は対策が急務

Part1　最新動向

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800147/101800001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ランサムウエア被害の日本盛が調査報告、脆弱性があるVPN装置からの不正侵入だった

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100188/?ST=nxt_thmit_security

個人情報保護委員会が企業向けにツールキットを提供、法令順守を促す初めての試み

https://xtech.nikkei.com/atcl/nxt/news/18/13981/?ST=nxt_thmit_security

大阪急性期・総合医療センターがシステム障害で通常診療できず、ランサムウエア攻撃か

https://xtech.nikkei.com/atcl/nxt/news/18/14050/?ST=nxt_thmit_security

2022年10月31日月曜日

31日月曜日、仏滅

+ PuTTY 0.78 released

https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.78.html

+ UPDATE: Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

+ PHP 8.1.12, 8.0.25 released

https://www.php.net/ChangeLog-8.php#8.1.12

https://www.php.net/ChangeLog-8.php#8.0.25

UPDATE: JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性

http://jvn.jp/jp/JVN56968681/index.html

JVN#74285622 富士ソフト製ネットワーク製品における複数の脆弱性

http://jvn.jp/jp/JVN74285622/index.html

JVNVU#94803886 複数のRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU94803886/index.html

JVNVU#90122134 SAUTER製moduWebにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU90122134/index.html

JVNVU#93422132 Trihedral製VTScadaにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU93422132/index.html

iPhone トラブルシューティング

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101900148/101900001/?ST=nxt_thmit_security

NEWS pickup ＆ digest

NEWS pickup＆digest（2022/9/20～10/7）

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/101900060/?ST=nxt_thmit_security

ニュース解説

検索結果のトップに偽サイト、フィッシングよけの「常識」が通用しない事態が続々

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07303/?ST=nxt_thmit_security

NEWS close-up

悪用される脆弱性を機械学習で予測

実証コードを収集してモデル構築　悪用可能性をリアルタイムで算出

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

2022年10月28日金曜日

28日金曜日、先勝

+ RHSA-2022:7242 Important: Satellite 6.11.4 Async Security Update

https://access.redhat.com/errata/RHSA-2022:7242

CVE-2022-30122

CVE-2022-31163

+ About the security content of iOS 15.7.1 and iPadOS 15.7.1

https://support.apple.com/ja-jp/HT213490

CVE-2022-32932

CVE-2022-42798

CVE-2022-32929

CVE-2022-32935

CVE-2022-32939

CVE-2022-32949

CVE-2022-32944

CVE-2022-42803

CVE-2022-32926

CVE-2022-42827

CVE-2022-42801

CVE-2022-42810

CVE-2022-32941

CVE-2022-42817

CVE-2022-32923

CVE-2022-32927

CVE-2022-37434

CVE-2022-42800

+ Google Chrome 107.0.5304.87/.88, 106.0.5249.168 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html

https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_27.html

+ VMSA-2022-0027.1 VMware Cloud Foundation updates address multiple vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2022-0027.html

CVE-2021-39144

CVE-2022-31678

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2022)

https://security.sios.com/vulnerability/java-security-vulnerability-20221028.html

CVE-2022-32215

CVE-2022-21634

CVE-2022-21597

CVE-2022-21628

CVE-2022-21626

CVE-2022-21618

CVE-2022-39399

CVE-2022-21624

CVE-2022-21619

+ Linux Kernelの脆弱性(CVE-2022-43750)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20221028.html

CVE-2022-43750

JVNVU#98508542 Haas Automation製Haas Controllerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98508542/index.html

JVNVU#96515249 HEIDENHAIN製TNC 640における不適切な認証の脆弱性

http://jvn.jp/vu/JVNVU96515249/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

NEWS close-up

悪用される脆弱性を機械学習で予測

実証コードを収集してモデル構築　悪用可能性をリアルタイムで算出

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

トラブルからの脱出

特定の相手からのメールが届かない、「パケットキャプチャー」があぶり出した真実

https://xtech.nikkei.com/atcl/nxt/column/18/01156/102000035/?ST=nxt_thmit_security

2022年10月27日木曜日

27日木曜日、赤口

+ Google Chrome 106.0.5249.165 released

https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_26.html

+ Mozilla Thunderbird 102.4.1 released

https://www.thunderbird.net/en-US/thunderbird/102.4.1/releasenotes/

+ Wireshark 4.0.1, 3.6.9 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.1.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.9.html

NEWS close-up

ランサムウエア攻撃の実態が明らかに

国内被害企業の6割以上で「2重脅迫」　身代金支払いは世界4割で日本は1割

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000188/?ST=nxt_thmit_security

ニュース＆リポート

政府サイトなどにサイバー攻撃　日本企業が採るべき対策は

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/101900798/?ST=nxt_thmit_security

ニュース解説

不十分な個人情報管理の企業に保護委がツール、誰でも使えるようにした「記載例」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07295/?ST=nxt_thmit_security

JTB、クラウドサービスの設定ミスで1万人超の個人情報漏洩

https://xtech.nikkei.com/atcl/nxt/news/18/14005/?ST=nxt_thmit_security

JVNVU#96850776 AliveCor製KardiaMobileにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96850776/index.html

JVNVU#98957765 Hitachi Energy製DMS600における脆弱なOSSコンポーネントへの依存の問題

http://jvn.jp/vu/JVNVU98957765/index.html

JVNVU#98146300 CKS製CEVASにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU98146300/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

JVN#68971465 Everything における HTTP ヘッダインジェクションの脆弱性

http://jvn.jp/jp/JVN68971465/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

2022年10月26日水曜日

26日水曜日、大安

+ RHSA-2022:7184 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7184

CVE-2022-39236

CVE-2022-39249

CVE-2022-39250

CVE-2022-39251

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

+ RHSA-2022:7087 Moderate: 389-ds-base security and bug fix update

https://access.redhat.com/errata/RHSA-2022:7087

CVE-2022-2850

+ RHSA-2022:6735 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2022:6735

CVE-2021-2163

+ RHSA-2022:7178 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7178

CVE-2022-39236

CVE-2022-39249

CVE-2022-39250

CVE-2022-39251

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

+ Google Chrome 107.0.5304.62/63 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

+ VMSA-2022-0027 VMware Cloud Foundation updates address multiple vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2022-0027.html

CVE-2021-39144

CVE-2022-31678

日経コンピュータ「ITが危ない」

「EMV-3Dセキュア」導入に遅れ　中小EC事業者の企業存続が危ぶまれる

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/101800090/?ST=nxt_thmit_security

当事者が語る！トラブルからの脱出

電子メールが届かない　暗号化通信を開始できず

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/102000057/?ST=nxt_thmit_security

Books

ITの先端を概観『世界をリードする8つの最新テクノロジー Web3からメタバース量子コンピューターまで』

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00204/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

ヤフーは電話番号登録で誹謗中傷のさらなる抑止へ、プロ責法改正で変わる事業者

https://xtech.nikkei.com/atcl/nxt/column/18/02224/102400003/?ST=nxt_thmit_security

3分でわかる必修ワード IT

乱数を加えて正確な値を秘匿、「差分プライバシー」とはどんな保護技術か

差分プライバシー（Differential Privacy）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/101100210/?ST=nxt_thmit_security

JVN#86350682 SHIRASAGI における複数の脆弱性

http://jvn.jp/jp/JVN86350682/index.html

2022年10月25日火曜日

25日火曜日、仏滅

+ RHSA-2022:7088 Important: libksba security update

https://access.redhat.com/errata/RHSA-2022:7088

CVE-2022-3515

+ About the security content of Safari 16.1

https://support.apple.com/ja-jp/HT213495

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

+ About the security content of iOS 16.1 and iPadOS 16

https://support.apple.com/ja-jp/HT213489

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32946

CVE-2022-32947

CVE-2022-42820

CVE-2022-42806

CVE-2022-32924

CVE-2022-42808

CVE-2022-42827

CVE-2022-42829

CVE-2022-42830

CVE-2022-42831

CVE-2022-42832

CVE-2022-42811

CVE-2022-32938

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

+ About the security content of macOS Big Sur 11.7.1

https://support.apple.com/ja-jp/HT213493

CVE-2022-42825

CVE-2022-28739

CVE-2022-32862

+ About the security content of macOS Monterey 12.6.1

https://support.apple.com/ja-jp/HT213494

CVE-2022-42825

CVE-2022-28739

CVE-2022-32862

+ About the security content of macOS Ventura 13

https://support.apple.com/ja-jp/HT213488

CVE-2022-42795

CVE-2022-32858

CVE-2022-32898

CVE-2022-32899

CVE-2022-32827

CVE-2022-42789

CVE-2022-42825

CVE-2022-32902

CVE-2022-32904

CVE-2022-32890

CVE-2022-42796

CVE-2022-32940

CVE-2022-42819

CVE-2022-42813

CVE-2022-26730

CVE-2022-32867

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

CVE-2022-42814

CVE-2022-32865

CVE-2022-32915

CVE-2022-32928

CVE-2022-42788

CVE-2022-32905

CVE-2022-32947

CVE-2022-42809

CVE-2022-32913

CVE-2022-1622

CVE-2022-32936

CVE-2022-42820

CVE-2022-42806

CVE-2022-32864

CVE-2022-32866

CVE-2022-32911

CVE-2022-32924

CVE-2022-32914

CVE-2022-42808

CVE-2022-42815

CVE-2022-32883

CVE-2022-32908

CVE-2021-39537

CVE-2022-29458

CVE-2022-42818

CVE-2022-32879

CVE-2022-32895

CVE-2022-32918

CVE-2022-42829

CVE-2022-42830

CVE-2022-42831

CVE-2022-42832

CVE-2022-28739

CVE-2022-32881

CVE-2022-32862

CVE-2022-42811

CVE-2022-42793

CVE-2022-32938

CVE-2022-42790

CVE-2022-32870

CVE-2022-32934

CVE-2022-42791

CVE-2021-36690

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

CVE-2022-32875

CVE-2022-32886

CVE-2022-32888

CVE-2022-32912

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

CVE-2022-32892

+ About the security content of tvOS 16.1

https://support.apple.com/ja-jp/HT213492

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32924

CVE-2022-42808

CVE-2022-42811

CVE-2022-42799

CVE-2022-42823

+ About the security content of watchOS 9.1

https://support.apple.com/ja-jp/HT213491

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32947

CVE-2022-32924

CVE-2022-42808

CVE-2022-42811

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

+ Mozilla Foundation Security Advisory 2022-46 Security Vulnerabilities fixed in Thunderbird 102.4

https://www.mozilla.org/en-US/security/advisories/mfsa2022-46/

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

piyokangoの月刊システムトラブル

ニトリに13万件の不正ログイン　リスト型攻撃と推測

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101800044/?ST=nxt_thmit_security

ネスペ試験で学ぶネットワーク技術のキホン

IDS

［第8回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/101900008/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

Z会グループのサービスで「他人の受検結果が見える」、システム不備で個人情報漏洩

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100187/?ST=nxt_thmit_security

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#93193058 B.Braun Melsungen AG社の複数の製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93193058/index.html

2022年10月24日月曜日

24日月曜日、先勝

+ Sudo 1.9.12 released

https://www.sudo.ws/releases/stable/#1.9.12

+ nginxの脆弱性情報(CVE-2022-3638)

https://security.sios.com/vulnerability/nginx-security-vulnerability-20221024.html

CVE-2022-3638

UPDATE: JVNVU#94780329 複数の B. Braun Melsungen 製品に複数の脆弱性

http://jvn.jp/vu/JVNVU94780329/index.html

JVNVU#92858946 Bentley Systems製MicroStation Connectにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92858946/index.html

2022年10月21日金曜日

21日金曜日、仏滅

+ Mozilla Firefox 106.0.1 released

https://www.mozilla.org/en-US/firefox/106.0.1/releasenotes/

JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性

http://jvn.jp/jp/JVN56968681/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

あなたのメガネから情報が筒抜け　ビデオ会議中の思わぬ盲点

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/101300093/?ST=nxt_thmit_security

ニュース解説

oViceが常設専用サイトで「障害予報」を提供、情報はすべて伝えると発想転換

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07270/?ST=nxt_thmit_security

楽天モバイル元社員に懲役2年・罰金100万円を求刑、基地局情報などの持ち出しで

https://xtech.nikkei.com/atcl/nxt/news/18/13969/?ST=nxt_thmit_security

2022年10月20日木曜日

20日木曜日、先負

+ RHSA-2022:6997 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:6997

CVE-2022-40674

+ RHSA-2022:7024 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:7024

CVE-2022-40674

+ RHSA-2022:7023 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7023

CVE-2022-40674

+ RHSA-2022:7026 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7026

VE-2022-40674

+ RHSA-2022:7020 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:7020

CVE-2022-40674

+ Mozilla Thunderbird 102.4.0 released

https://www.thunderbird.net/en-US/thunderbird/102.4.0/releasenotes/

+ ISC BIND 9.18.8, 9.16.34 released

https://downloads.isc.org/isc/bind9/9.18.8/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.34/doc/arm/html/notes.html

+ Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

JVNVU#97893771 Advantech製R-SeeNetにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97893771/index.html

JVNVU#97131578 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97131578/index.html

JVN#10921428 スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性

http://jvn.jp/jp/JVN10921428/index.html

記者の眼

安くなくても採用が2年間で3倍に、SASEは日本企業のセキュリティーを変えるか

https://xtech.nikkei.com/atcl/nxt/column/18/00138/101801140/?ST=nxt_thmit_security

2022年10月19日水曜日

19日水曜日、友引

+ RHSA-2022:6998 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:6998

CVE-2022-40674

+ Mozilla Firefox 106.0 released

https://www.mozilla.org/en-US/firefox/106.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-44 Security Vulnerabilities fixed in Firefox 106

https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42930

CVE-2022-42931

CVE-2022-42932

+ UPDATE: JVNVU#90776782 ISC BINDにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90776782/index.html

+ UPDATE: JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU92867820/index.html

JVNVU#99955870 横河計測製WTViewerEにおけるバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU99955870/index.html

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

http://jvn.jp/ta/JVNTA96784241/index.html

勝村幸博の「今日も誰かが狙われる」

キーボードに残った「指の熱」でパスワードを盗む、6文字なら100％的中

https://xtech.nikkei.com/atcl/nxt/column/18/00676/101500117/?ST=nxt_thmit_security

イラストでわかるネットワークの基礎

シャドーITを許さない、クラウド利用のセキュリティー問題を防ぐ「CASB」とは

https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

2022年10月18日火曜日

18日火曜日、先勝

+ Gpg4win 4.0.4 released

https://www.gpg4win.org/change-history.html

+ RHSA-2022:6964 Important: nodejs:16 security update

https://access.redhat.com/errata/RHSA-2022:6964

CVE-2022-35255

CVE-2022-35256

+ RHSA-2022:6963 Important: nodejs security update

https://access.redhat.com/errata/RHSA-2022:6963

CVE-2022-35255

CVE-2022-35256

+ Integer Overflow in LibKSBA / GnuPG

https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

CVE-2022-3512

JVNVU#98836905 Hitachi Energy製Lumada Asset Performance Management (APM) における複数の脆弱性

http://jvn.jp/vu/JVNVU98836905/index.html

技術から読み解く「Web3」

Web3で「デジタルアート」をどう売買するのか、NFTの作成から譲渡まで

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

食肉店公式アプリの個人情報8万件超が漏洩、Webサーバーへの不正アクセスで

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100186/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

「入り口」はマイナンバーカードとJPKI、先進的な前橋市デジタルIDは普及するか

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101400003/?ST=nxt_thmit_security

ニュース解説

紙の健康保険証を2024年秋に廃止できるか、マイナ保険証への完全移行に3つの課題

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07257/?ST=nxt_thmit_security

富士通、データの信頼性やサービスのセキュリティー高める「トラスト機能群」を提供

https://xtech.nikkei.com/atcl/nxt/news/18/13947/?ST=nxt_thmit_security

フォーティネット製品の新たな脆弱性を突く攻撃をIIJが検出、日本は数千台に影響か

https://xtech.nikkei.com/atcl/nxt/news/18/13935/?ST=nxt_thmit_security

2022年10月17日月曜日

17日月曜日、赤口

UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

+ Linux Kernelの脆弱性(Moderate: CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20221016.html

CVE-2022-41674

CVE-2022-42719

CVE-2022-42720

CVE-2022-42721

CVE-2022-42722

技術から読み解く「Web3」

Web3を支えるブロックチェーン、押さえるべき「5つの特徴」とは

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300003/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

2024年秋に紙の健康保険証廃止へ、マイナ保険証を支えるJPKIデジタル本人確認

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101300002/?ST=nxt_thmit_security

2022年10月14日金曜日

14日金曜日、先負

+ PostgreSQL 15 Released!

https://www.postgresql.org/about/news/postgresql-15-released-2526/

https://www.postgresql.org/docs/15/release-15.html

+ zlib 1.2.13 released

http://www.zlib.net/ChangeLog.txt

+ UPDATE: JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性

http://jvn.jp/vu/JVNVU92530096/index.html

タッチタイピング自慢はもう古い、今どきの快適入力ワザ

自宅パソコンでパスワード入力を省略、MS公式の無料ツール「Autologon」で可能に

https://xtech.nikkei.com/atcl/nxt/column/18/02185/090200008/?ST=nxt_thmit_security

中田敦のGAFA深読み

グーグルがクラウド新サービスを大量発表、「GAFA深読み」記者が注目したトップ3

https://xtech.nikkei.com/atcl/nxt/column/18/00692/101300091/?ST=nxt_thmit_security

3分でわかる必修ワード IT

インターネットの信頼性向上へ官民で検証開始、「Trusted Web」構想とは

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/092000207/?ST=nxt_thmit_security

ITが危ない

中小EC事業者の「EMV-3Dセキュア」導入に遅れ、企業存続が危ぶまれる事態にも

https://xtech.nikkei.com/atcl/nxt/column/18/00989/101200100/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

プロ責法改正で誹謗中傷の被害者の負担は減るか、弁護士3人の見解は

https://xtech.nikkei.com/atcl/nxt/column/18/02224/101200002/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

マイナンバーカードは便利か？民間での「本人確認」になかなか使われない理由

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101200001/?ST=nxt_thmit_security

ファミマでチケット発券が7時間近く不能に、原因はマルチコピー機の通信障害

https://xtech.nikkei.com/atcl/nxt/news/18/13920/?ST=nxt_thmit_security

NURO 光の速度低下で提供元が陳謝、原因は「特定事業者の異常なトラフィック」

https://xtech.nikkei.com/atcl/nxt/news/18/13919/?ST=nxt_thmit_security

日経クロステックランキング

根強く読まれるIPアドレスの解説、過去分含めたITセキュリティー記事ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300028/?ST=nxt_thmit_security

日経クロステックランキング

「狙われる日本企業」「国家資格の登録者数前年割れ」、ITセキュリティー記事検索流入ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300027/?ST=nxt_thmit_security

日経クロステックランキング

トップはランサム被害の病院の話題、2022年公開のITセキュリティー記事ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300026/?ST=nxt_thmit_security

UPDATE: JVNVU#98578731 三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98578731/index.html

2022年10月13日木曜日

13日木曜日、友引

+ RHSA-2022:6912 Moderate: .NET Core 3.1 security and bugfix update

https://access.redhat.com/errata/RHSA-2022:6912

CVE-2022-41032

+ Mozilla Thunderbird 102.3.3 released

https://www.thunderbird.net/en-US/thunderbird/102.3.3/releasenotes/

+ JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性

http://jvn.jp/vu/JVNVU92530096/index.html

CVE-2022-3358

+ Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)

https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html

CVE-2022-36067

+ 【重要：3.0.6/1.1.1rはregressionが見つかったため撤回】OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html

ニュース＆リポート

身代金支払いは世界4割で日本は1割　それでも油断できない「4重脅迫」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300785/?ST=nxt_thmit_security

ニュース＆リポート

サイバー被害「思ったより少ない」　ウクライナから学ぶべきこと

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300790/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

改正プロバイダ責任制限法が10月施行、誹謗中傷の被害者救済につながるわけ

https://xtech.nikkei.com/atcl/nxt/column/18/02224/101100001/?ST=nxt_thmit_security

キルネットが攻撃活動再開か、複数の米空港Webサイトでアクセス障害

https://xtech.nikkei.com/atcl/nxt/news/18/13903/?ST=nxt_thmit_security

JVNVU#95961389 Altair製HyperView Playerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95961389/index.html

JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

JVNVU#92418217 Sensormatic Electronics製C?CURE 9000における情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU92418217/index.html

JVNVU#93424017 SVMPC1およびSVMPC2における複数の脆弱性

http://jvn.jp/vu/JVNVU93424017/index.html

2022年10月12日水曜日

12日水曜日、先勝

+ RHSA-2022:6878 Important: expat security update

https://access.redhat.com/errata/RHSA-2022:6878

CVE-2022-40674

+ Google Chrome 106.0.5249.119 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_11.html

+ Security updates available for Adobe ColdFusion | APSB22-44

https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html

CVE-2022-35710

CVE-2022-35711

CVE-2022-35690

CVE-2022-35712

CVE-2022-38418

CVE-2022-38419

CVE-2022-38420

CVE-2022-38421

CVE-2022-38422

CVE-2022-38423

CVE-2022-38424

CVE-2022-42340

CVE-2022-42341

+ Security update available for Adobe Acrobat and Reader | APSB22-46

https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

CVE-2022-35691

CVE-2022-38437

CVE-2022-42342

CVE-2022-42339

CVE-2022-38450

+ Security?update?available?for?Adobe Commerce?|?APSB22-48

https://helpx.adobe.com/security/products/magento/apsb22-48.html

CVE-2022-35698

+ Security updates available for Dimension | APSB22-57

https://helpx.adobe.com/security/products/dimension/apsb22-57.html

CVE-2022-38440

CVE-2022-38441

CVE-2022-38442

CVE-2022-38443

CVE-2022-38444

CVE-2022-38445

CVE-2022-38446

CVE-2022-38447

CVE-2022-38448

+ VMSA-2022-0026 VMware Aria Operations patches address an arbitrary file read vulnerability (CVE-2022-31682).

https://www.vmware.com/security/advisories/VMSA-2022-0026.html

CVE-2022-31682

+ VMSA-2022-0025 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31680, CVE-2022-31681)

https://www.vmware.com/security/advisories/VMSA-2022-0025.html

CVE-2022-31680

CVE-2022-31681

+ Apache Tomcat 10.1.1, 8.5.83 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.1_(markt)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.82_(markt)

+ OpenSSL Security Advisory [11 October 2022]

https://www.openssl.org/news/secadv/20221011.txt

CVE-2022-3358

+ OpenSSL 3.0.6, 1.1.1r released

https://www.openssl.org/

+ UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html

CVE-2022-3358

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

http://jvn.jp/ta/JVNTA96784241/index.html

JVNVU#92805279 バッファロー製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU92805279/index.html

JVN#74592196 bingo!CMS における認証回避の脆弱性

http://jvn.jp/jp/JVN74592196/index.html

JVNVU#93736410 HeimdalのKerberos実装にNULLポインタ参照の脆弱性

http://jvn.jp/vu/JVNVU93736410/index.html

JVN#40620121 Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性

http://jvn.jp/jp/JVN40620121/index.html

データは語る

インターネットバンキングにリスク　多要素認証、38％が採用せず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/093000125/?ST=nxt_thmit_security

技術から読み解く「Web3」

Web3時代のアプリケーションと組織、「Dapps」と「DAO」を徹底解説

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300002/?ST=nxt_thmit_security

ニュース解説

大和証券がゼロトラスト推進、「SWG」で従業員のネット利用を社内外問わず保護

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07225/?ST=nxt_thmit_security

ニュース解説

キルネットは活動停止を表明、政府系サイトへのサイバー攻撃が示した本当の脅威

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07233/?ST=nxt_thmit_security

Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)

https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html

登録: 投稿 (Atom)