2022年1月31日月曜日

31日 月曜日、仏滅

+ Linux kernel 5.16.4, 5.25.18, 5.10.95, 5.4.175, 4.19.227, 4.14.264, 4.9.299, 4.4.301 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.4
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.18
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.95
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.175
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.227
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.264
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.299
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.301

+ CESA-2022:0306 Moderate CentOS 7 java-1.8.0-openjdk Security Update
https://lwn.net/Articles/883029/

+ hitachi-sec-2022-101 Multiple Vulnerabilities in Cosminexus
https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2022-101/index.html
+ hitachi-sec-2022-101 Cosminexusにおける複数の脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2022-101/index.html
CVE-2022-21248
CVE-2022-21271
CVE-2022-21277
CVE-2022-21282
CVE-2022-21283
CVE-2022-21291
CVE-2022-21293
CVE-2022-21294
CVE-2022-21296
CVE-2022-21299
CVE-2022-21305
CVE-2022-21340
CVE-2022-21341
CVE-2022-21360
CVE-2022-21365
CVE-2022-21366

+ OpenSSL Security Advisory [28 January 2022]
https://www.openssl.org/news/secadv/20220128.txt
CVE-2021-4160

+Sudo 1.9.9 released
https://www.sudo.ws/releases/stable/#1.9.9

+ Linux Kernelの脆弱性(CVE-2021-24122)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220131.html
CVE-2021-24122

+ Apache Tomcatの脆弱性情報(Low: CVE-2022-23181)
https://security.sios.com/vulnerability/tomcat-security-vulnerability-20220131.html
CVE-2022-23181

+ MIPS上のOpenSSLの脆弱性情報(Moderate: CVE-2021-4160)
https://security.sios.com/vulnerability/openssl-security-vulnerability-20220130.html
CVE-2021-4160

+ Linux Kernelの脆弱性(Moderate: CVE-2021-34866)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220128.html
CVE-2021-34866

セキュリティー大実験室2022
サングラスをかけても虹彩認証は有効か
実験 5
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900005/?ST=nxt_thmit_security

セキュリティー大実験室2022
無線LANの電波は壁越しにどこまで届くのか
実験 4
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900004/?ST=nxt_thmit_security

セキュリティー大実験室2022
液体に浸した記憶媒体からデータを読み出せるか
実験 3
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900003/?ST=nxt_thmit_security

セキュリティー大実験室2022
パスワード付きZIPファイルは解読できるか
実験 2
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900002/?ST=nxt_thmit_security

セキュリティー大実験室2022
マスクを着けたままで顔認証が可能か
実験 1
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900001/?ST=nxt_thmit_security

2022年1月28日金曜日

28日 金曜日、先勝

+ Linux kernel 5.16.3, 5.15.17, 5.10.94, 5.4.174, 4.19.226, 4.14.263, 4.9.298, 4.4.300 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.3
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.17
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.94
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.174
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.226
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.263
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.298
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.300

+ RHSA-2022:0310 Important: java-1.7.1-ibm security update
https://access.redhat.com/errata/RHSA-2022:0310
CVE-2021-35556
CVE-2021-35559
CVE-2021-35564
CVE-2021-35565
CVE-2021-35586
CVE-2021-41035

+ RHSA-2022:0306 Moderate: java-1.8.0-openjdk security update
https://access.redhat.com/errata/RHSA-2022:0306
CVE-2022-21248
CVE-2022-21282
CVE-2022-21283
CVE-2022-21293
CVE-2022-21294
CVE-2022-21296
CVE-2022-21299
CVE-2022-21305
CVE-2022-21340
CVE-2022-21341
CVE-2022-21360
CVE-2022-21365

+ RHSA-2022:0308 Moderate: OpenShift Container Storage 3.11.z security and bug fix update
https://access.redhat.com/errata/RHSA-2022:0308
CVE-2021-3114
CVE-2021-31525

+ RHSA-2022:0307 Moderate: java-1.8.0-openjdk security and bug fix update
https://access.redhat.com/errata/RHSA-2022:0307
CVE-2022-21248
CVE-2022-21282
CVE-2022-21283
CVE-2022-21293
CVE-2022-21294
CVE-2022-21296
CVE-2022-21299
CVE-2022-21305
CVE-2022-21340
CVE-2022-21341
CVE-2022-21360
CVE-2022-21365

+ CESA-2022:0143 Important CentOS 7 httpd Security Update
https://lwn.net/Articles/882671/

+ CESA-2022:0274 Important CentOS 7 polkit Security Update
https://lwn.net/Articles/882867/

+ JVNVU#93604797 Apache TomcatにTime-of-check Time-of-use(TOCTOU)競合状態による権限昇格の脆弱性
http://jvn.jp/vu/JVNVU93604797/index.html

+ Linux Kernelの脆弱性(Moderate: CVE-2021-34866)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220128.html
CVE-2021-34866

データは語る
パーソナルデータ活用サービス 安全管理措置の確保に高い関心
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/012000106/?ST=nxt_thmit_security

NEWS close-up
2022年のサイバー脅威予測
ランサムウエアが一層凶悪に 日本での被害報告が増える恐れ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800162/?ST=nxt_thmit_security

日経NETWORK 特別リポート
「隠しカメラ」をスマホで見つけるアプリ登場
ToFセンサーで検出率9割を実現
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/011800049/?ST=nxt_thmit_security

UPDATE: JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94434051/index.html

2022年1月27日木曜日

27日 木曜日、赤口

+ RHSA-2022:0290 Important: parfait:0.5 security update
https://access.redhat.com/errata/RHSA-2022:0290
CVE-2021-4104
CVE-2022-23302
CVE-2022-23305
CVE-2022-23307

+ About the security content of Safari 15.3
https://support.apple.com/ja-jp/HT213058
CVE-2022-22590
CVE-2022-22592
CVE-2022-22589
CVE-2022-22594

+ About the security content of Security Update 2022-001 Catalina
https://support.apple.com/ja-jp/HT213056
CVE-2022-22593
CVE-2022-22579
CVE-2022-22583
CVE-2021-30946
CVE-2021-30972

+ About the security content of macOS Big Sur 11.6.3
https://support.apple.com/ja-jp/HT213055
CVE-2021-30960
CVE-2022-22585
CVE-2022-22587
CVE-2022-22593
CVE-2022-22579
CVE-2022-22583
CVE-2021-30972

+ About the security content of macOS Monterey 12.2
https://support.apple.com/ja-jp/HT213054
CVE-2022-22586
CVE-2022-22584
CVE-2022-22578
CVE-2022-22585
CVE-2022-22591
CVE-2022-22587
CVE-2022-22593
CVE-2022-22579
CVE-2022-22583
CVE-2022-22589
CVE-2022-22590
CVE-2022-22592
CVE-2022-22594

+ About the security content of tvOS 15.3
https://support.apple.com/ja-jp/HT213057
CVE-2022-22584
CVE-2022-22578
CVE-2022-22585
CVE-2022-22593
CVE-2022-22579
CVE-2022-22590
CVE-2022-22592
CVE-2022-22589
CVE-2022-22594

+ About the security content of iOS 15.3 and iPadOS 15.3
https://support.apple.com/ja-jp/HT213053
CVE-2022-22584
CVE-2022-22578
CVE-2022-22585
CVE-2022-22587
CVE-2022-22593
CVE-2022-22579
CVE-2022-22589
CVE-2022-22590
CVE-2022-22592
CVE-2022-22594

+ About the security content of watchOS 8.4
https://support.apple.com/ja-jp/HT213059
CVE-2022-22584
CVE-2022-22578
CVE-2022-22585
CVE-2022-22593
CVE-2022-22590
CVE-2022-22592
CVE-2022-22589
CVE-2022-22594

JVNVU#92576196 GE Gas Power製ToolBoxSTにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92576196/index.html

NEWS close-up
500人超によるサイバー攻撃訓練を開催
暴露型ランサムウエア感染を想定 防御の要となる「横連携」を鍛える
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800161/?ST=nxt_thmit_security

LGWANの障害が一部復旧、コンビニ交付は可能に
https://xtech.nikkei.com/atcl/nxt/news/18/12091/?ST=nxt_thmit_security

2022年1月26日水曜日

26日 水曜日、大安

+ RHSA-2022:0267 Important: polkit security update
https://access.redhat.com/errata/RHSA-2022:0267
CVE-2021-4034

+ CESA-2022:0204 Moderate CentOS 7 java-11-openjdk Security Update
https://lwn.net/Articles/882525/

+ Mozilla Thunderbird 91.5.1 released
https://www.thunderbird.net/en-US/thunderbird/91.5.1/releasenotes/

+ UPDATE: Oracle Critical Patch Update Advisory - January 2022
https://www.oracle.com/security-alerts/cpujan2022.html

+ Linux Kernelのi915ドライバの脆弱性(Important: CVE-2022-0330)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220126.html
CVE-2022-0330

+ Polkitのローカルユーザ特権昇格脆弱性(Important: CVE-2021-4034)
https://security.sios.com/vulnerability/polkit-security-vulnerability-20220126.html
CVE-2021-4034

JVN#70100915 TransmitMail における複数の脆弱性
http://jvn.jp/jp/JVN70100915/index.html

NEWS close-up
2021年の「最悪パスワード」を発表
世界では「123456」が不動の首位 「sakura」と「asdfghjk」は日本特有
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800160/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
郵送された「USBメモリー」に恐怖の罠、PCに挿すだけでランサムウエアに感染
https://xtech.nikkei.com/atcl/nxt/column/18/00676/012000098/?ST=nxt_thmit_security

ニュース解説
ビジョナルがクラウドリスク評価サービス、自社の「苦しみ」が生んだ新事業
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06499/?ST=nxt_thmit_security

2022年1月25日火曜日

25日 火曜日、仏滅

+ RHSA-2022:0232 Important: kpatch-patch security update
https://access.redhat.com/errata/RHSA-2022:0232
CVE-2021-4155
CVE-2022-0185

+ RHSA-2022:0185 Moderate: java-11-openjdk security update
https://access.redhat.com/errata/RHSA-2022:0185
CVE-2022-21248
CVE-2022-21277
CVE-2022-21282
CVE-2022-21283
CVE-2022-21291
CVE-2022-21293
CVE-2022-21294
CVE-2022-21296
CVE-2022-21299
CVE-2022-21305
CVE-2022-21340
CVE-2022-21341
CVE-2022-21360
CVE-2022-21365
CVE-2022-21366

+ JVNVU#95024141 トレンドマイクロ製Deep SecurityおよびCloud One Workload SecurityのLinux版Agentにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95024141/index.html

piyokangoの月刊システムトラブル
三菱UFJニコスでトラブル カード情報をメールで誤送信
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/011800035/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
さくらインターネットのクラウドサービスに障害発生、利用企業10社超に影響か
https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500149/?ST=nxt_thmit_security

2022年1月24日月曜日

24日 月曜日、先負

+ Linux kernel 5.16.2. 5.15.16, 5.10.93, 5.4.173 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.2
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.16
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.93
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.173

+ phpMyAdmin 4.9.9 is released
https://www.phpmyadmin.net/news/2022/1/23/phpmyadmin-499-released/

+ PMASA-2022-2 Multiple XSS and HTML injection attacks in setup script
https://www.phpmyadmin.net/security/PMASA-2022-2/

+ PMASA-2022-1 Two factor authentication bypass
https://www.phpmyadmin.net/security/PMASA-2022-1/
CVE-2022-23807

+ Apache Tomcat 10.0.16, 9.0.58, 8.5.75 Released
https://tomcat.apache.org/tomcat-10.0-doc/changelog.html#Tomcat_10.0.16_(markt)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.58_(remm)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.75_(schultz)

+ Apache Struts 2.5.29 General Availability
https://struts.apache.org/announce-2022#a20220122

+ OpenLDAP 2.6.1 released
https://www.openldap.org/software/release/changes.html

+ PHP 8.1.2, 8.0.15 released
https://www.php.net/ChangeLog-8.php#8.1.2
https://www.php.net/ChangeLog-8.php#8.0.15

+ ClamAVの脆弱性(Important: CVE-2022-20698)
https://security.sios.com/vulnerability/clamav-security-vulnerability-20220124.html
CVE-2022-20698

ニュース解説
「ウイルス作成罪」乱用捜査の歯止めになるか、Coinhive無罪判決でも残る課題
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06480/?ST=nxt_thmit_security

暗号資産の無断採掘「Coinhive」事件の無罪が確定、最高裁が高裁から逆転判決
https://xtech.nikkei.com/atcl/nxt/news/18/12049/?ST=nxt_thmit_security

JVNVU#95403720 三菱電機製GENESIS64およびMC Works64における複数の脆弱性
http://jvn.jp/vu/JVNVU95403720/index.html

JVNVU#96845652 McAfee Agent for Windowsにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96845652/index.html

JVNVU#94151526 GROWIにおけるユーザ制御の鍵による認証回避の脆弱性
http://jvn.jp/vu/JVNVU94151526/index.html

JVNVU#96012689 Philips製Vue PACS製品における複数の脆弱性
http://jvn.jp/vu/JVNVU96012689/index.html

JVN#16690037 php_mailform における複数のクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN16690037/index.html

JVNVU#99895108 三菱電機製 GOT およびテンションコントローラの MODBUS/TCP スレーブ通信機能におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU99895108/index.html

JVNVU#99277775 三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU99277775/index.html

VU#287178 McAfee Agent for Windows is vulnerable to privilege escalation due to OPENSSLDIR location
https://www.kb.cert.org/vuls/id/287178

2022年1月20日木曜日

20日 木曜日、大安

+ RHSA-2022:0199 Important: libreswan security update
https://access.redhat.com/errata/RHSA-2022:0199
CVE-2022-23094

+ RHSA-2022:0177 Important: gegl04 security update
https://access.redhat.com/errata/RHSA-2022:0177
CVE-2021-45463

+ RHSA-2022:0161 Moderate: java-17-openjdk security update
https://access.redhat.com/errata/RHSA-2022:0161
CVE-2022-21248
CVE-2022-21277
CVE-2022-21282
CVE-2022-21283
CVE-2022-21291
CVE-2022-21293
CVE-2022-21294
CVE-2022-21296
CVE-2022-21299
CVE-2022-21305
CVE-2022-21340
CVE-2022-21341
CVE-2022-21360
CVE-2022-21365
CVE-2022-21366

+ Google Chrome 96.0.4664.174 released
https://chromereleases.googleblog.com/2022/01/extended-stable-channel-update-for_19.html

+ CESA-2022:0127 Important CentOS 7 thunderbird Security Update
https://lwn.net/Articles/881770/

+ CESA-2022:0063 Moderate CentOS 7 kernel Security Update
https://lwn.net/Articles/881769/

+ CESA-2022:0124 Important CentOS 7 firefox Security Update
https://lwn.net/Articles/881766/

+ CESA-2022:0162 Important CentOS 7 gegl Security Update
https://lwn.net/Articles/881767/

+ CESA-2022:0063 Moderate CentOS 7 kernel Security Update
https://lwn.net/Articles/881768/

+ ISC BIND 9.17.22, 9.16.25 released
https://downloads.isc.org/isc/bind9/9.17.22/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.25/doc/arm/html/notes.html

+ MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2022)
https://security.sios.com/vulnerability/mysql-security-vulnerability-20220120.html

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jan 2022)
https://security.sios.com/vulnerability/java-security-vulnerability-20220120.html

+ Libreswanの脆弱性(Important: CVE-2022-23094)
https://security.sios.com/vulnerability/libreswan-security-vulnerability-20220119.html

JVN#64806328 キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN64806328/index.html

2022年1月19日水曜日

19日 水曜日、仏滅

+ Oracle Critical Patch Update Advisory - January 2022
https://www.oracle.com/security-alerts/cpujan2022.html

+ VMSA-2022-0002 VMware Workstation and Horizon Client for Windows updates address a denial-of-service vulnerability (CVE-2022-22938)
https://www.vmware.com/security/advisories/VMSA-2022-0002.html
CVE-2022-22938

+ MySQL 8.0.28, 5.7.37 released
https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-28.html
https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-37.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
添付ファイル中の「文字」が原因 メールが来ない締め切り日の悪夢
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/010600073/?ST=nxt_thmit_security

2022年1月18日火曜日

18日 火曜日、先負

+ Linux Kernelの脆弱性(CVE-2022-23222)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220117.html
CVE-2022-23222

+ Linux kernel 5.16.1, 5.15.15, 5.10.92, 5.4.172, 4.19.225, 4.14.262, 4.9.297, 4.4.299 released
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.1
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.15
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.92
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.172
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.225
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.262
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.297
https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.299

日経コンピュータ「動かないコンピュータ」
11社のECサイトから顧客情報漏洩 最大43万件、新手の攻撃が対策をすり抜け
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/011200099/?ST=nxt_thmit_security

デジタル立国、実践への提言
個別最適の脱し方と「情報」の限界とは、NEC遠藤会長が説くDXの本質
https://xtech.nikkei.com/atcl/nxt/column/18/01813/010200014/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
旭山動物園や日本機械学会が利用する決済サービスで「セキュリティー上の懸念」
https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500148/?ST=nxt_thmit_security

2022年1月17日月曜日

17日 月曜日、友引

+ Mozilla Firefox 96.0.1 released
https://www.mozilla.org/en-US/firefox/96.0.1/releasenotes/

+ Apache POI 5.2.0 available
https://poi.apache.org/changes.html#5.2.0

+ Postfix stable release 3.6.4 and legacy releases 3.5.14, 3.4.24, 3.3.21
http://www.postfix.org/announcements/postfix-3.6.4.html
http://mirror.postfix.jp/postfix-release/official/postfix-3.6.4.HISTORY
http://mirror.postfix.jp/postfix-release/official/postfix-3.5.14.HISTORY
http://mirror.postfix.jp/postfix-release/official/postfix-3.4.24.HISTORY
http://mirror.postfix.jp/postfix-release/official/postfix-3.3.21.HISTORY

UPDATE: JVNVU#93761221 複数のTrane製品におけるコードインジェクションの脆弱性
http://jvn.jp/vu/JVNVU93761221/index.html

JVNVU#93268332 MELSEC FシリーズEthernetインタフェースブロックにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93268332/index.html

UPDATE: JVNVU#98508242 Siemens製品に対するアップデート(2022年1月)
http://jvn.jp/vu/JVNVU98508242/index.html

セキュリティーの新常識
あなたもパスワードを使い回しているはず、ユーザー認証の「常識」はもう限界
https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200007/?ST=nxt_thmit_security

ニュース解説
Log4jの脆弱性を悪用するランサムウエアが出現、既に日本のIT企業で実害か
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06457/?ST=nxt_thmit_security

2022年1月14日金曜日

14日 金曜日、大安

+ RHSA-2022:0130 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:0130
CVE-2021-4140
CVE-2022-22737
CVE-2022-22738
CVE-2022-22739
CVE-2022-22740
CVE-2022-22741
CVE-2022-22742
CVE-2022-22743
CVE-2022-22745
CVE-2022-22747
CVE-2022-22748
CVE-2022-22751

+ RHSA-2022:0129 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:0129
CVE-2021-4140
CVE-2022-22737
CVE-2022-22738
CVE-2022-22739
CVE-2022-22740
CVE-2022-22741
CVE-2022-22742
CVE-2022-22743
CVE-2022-22745
CVE-2022-22747
CVE-2022-22748
CVE-2022-22751

+ 2022 年 1 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan
https://msrc-blog.microsoft.com/2022/01/11/202201-security-updates/

+ Oracle Critical Patch Update Pre-Release Announcement - January 2022
https://www.oracle.com/security-alerts/cpujan2022.html

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

JVN#19826500 パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性
http://jvn.jp/jp/JVN19826500/index.html

JVN#81479705 ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の不十分な保護の脆弱性
http://jvn.jp/jp/JVN81479705/index.html

JVNVU#93268332 MELSEC FシリーズEthernetインタフェースブロックにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93268332/index.html

UPDATE: JVNVU#96558207 三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性
http://jvn.jp/vu/JVNVU96558207/index.html

セキュリティーの新常識
auカブコム証券は防御から検知にシフト、マルウエア対策ソフトの「常識」を見直せ
https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200006/?ST=nxt_thmit_security

動かないコンピュータ
SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩
https://xtech.nikkei.com/atcl/nxt/column/18/01157/011300052/?ST=nxt_thmit_security

ソフトバンクやドコモが詐欺SMSの防止機能を今春導入、フィッシング被害拡大に対応
https://xtech.nikkei.com/atcl/nxt/news/18/12003/?ST=nxt_thmit_security

2022年1月13日木曜日

13日 木曜日、仏滅

+ About the security content of iOS 15.2.1 and iPadOS 15.2.1
https://support.apple.com/ja-jp/HT213043
CVE-2022-22588

+ Security update available for Adobe Acrobat and Reader  | APSB22-01
https://helpx.adobe.com/security/products/acrobat/apsb22-01.html
CVE-2021-44701
CVE-2021-44702
CVE-2021-44703
CVE-2021-44704
CVE-2021-44705
CVE-2021-44706
CVE-2021-44707
CVE-2021-44708
CVE-2021-44709
CVE-2021-44710
CVE-2021-44711
CVE-2021-44712
CVE-2021-44713
CVE-2021-44714
CVE-2021-44715
CVE-2021-44739
CVE-2021-44740
CVE-2021-44741
CVE-2021-44742
CVE-2021-45060
CVE-2021-45061
CVE-2021-45062
CVE-2021-45063
CVE-2021-45064
CVE-2021-45067
CVE-2021-45068

+ Security Updates Available for Adobe Illustrator | APSB22-02
https://helpx.adobe.com/security/products/illustrator/apsb22-02.html
CVE-2021-43752
CVE-2021-44700

+ Security Updates Available for Adobe Bridge | APSB22-03
https://helpx.adobe.com/security/products/bridge/apsb22-03.html
CVE-2021-44743
CVE-2021-45051
CVE-2021-45052
CVE-2021-44187
CVE-2021-44186
CVE-2021-44185

+ Security Update Available for Adobe InCopy | APSB22-04
https://helpx.adobe.com/security/products/incopy/apsb22-04.html
CVE-2021-45053
CVE-2021-45054
CVE-2021-45055
CVE-2021-45056

+ Security Update Available for Adobe InDesign | APSB22-05
https://helpx.adobe.com/security/products/indesign/apsb22-05.html
CVE-2021-45057
CVE-2021-45058
CVE-2021-45059

+ ClamAV 0.103.5 and 0.104.2 security patch release; 0.102 past EOL
https://blog.clamav.net/2022/01/clamav-01035-and-01042-security-patch.html
CVE-2022-20698

+ FreeBSD-SA-22:01.vt vt console buffer overflow
https://www.freebsd.org/security/advisories/FreeBSD-SA-22:01.vt.asc
CVE-2021-29632

+ Log4Shell HTTP Header Injection
https://cxsecurity.com/issue/WLB-2022010065
CVE-2021-44228

セキュリティーの新常識
リモートアクセスの新常識、「脱VPN」で静岡ガスが採用した渋滞知らずの手段とは
https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200004/?ST=nxt_thmit_security

JVN#49047921 Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題
http://jvn.jp/jp/JVN49047921/index.html

JVN#72788165 WordPress 用プラグイン Quiz And Survey Master における複数の脆弱性
http://jvn.jp/jp/JVN72788165/index.html

JVNVU#98508242 Siemens製品に対するアップデート(2022年1月)
http://jvn.jp/vu/JVNVU98508242/index.html

JVNVU#95717248 Sensormatic Electronics社製VideoEdgeにおける不正な構文構造の不適切な処理の脆弱性
http://jvn.jp/vu/JVNVU95717248/index.html

JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

UPDATE: JVNVU#96269392 Siemens 製品に対するアップデート (2021年4月)
http://jvn.jp/vu/JVNVU96269392/index.html

2022年1月12日水曜日

12日 水曜日、先負

+ RHSA-2022:0064 Moderate: openssl security update
https://access.redhat.com/errata/RHSA-2022:0064
CVE-2021-3712

+ RHSA-2022:0063 Moderate: kernel security and bug fix update
https://access.redhat.com/errata/RHSA-2022:0063
CVE-2020-25704
CVE-2020-36322
CVE-2021-42739

+ RHSA-2022:0059 Moderate: webkitgtk4 security update
https://access.redhat.com/errata/RHSA-2022:0059
CVE-2021-30858

+ Mozilla Firefox 96.0 released
https://www.mozilla.org/en-US/firefox/96.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-01 Security Vulnerabilities fixed in Firefox 96
https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/
CVE-2022-22746
CVE-2022-22743
CVE-2022-22742
CVE-2022-22741
CVE-2022-22740
CVE-2022-22738
CVE-2022-22737
CVE-2021-4140
CVE-2022-22750
CVE-2022-22749
CVE-2022-22748
CVE-2022-22745
CVE-2022-22744
CVE-2022-22747
CVE-2022-22736
CVE-2022-22739
CVE-2022-22751
CVE-2022-22752

+ Mozilla Foundation Security Advisory 2022-03 Security Vulnerabilities fixed in Thunderbird 91.5
https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/
CVE-2022-22746
CVE-2022-22743
CVE-2022-22742
CVE-2022-22741
CVE-2022-22740
CVE-2022-22738
CVE-2022-22737
CVE-2021-4140
CVE-2022-22748
CVE-2022-22745
CVE-2022-22744
CVE-2022-22747
CVE-2022-22739
CVE-2022-22751

+ Mozilla Thunderbird 91.5.0 released
https://www.thunderbird.net/en-US/thunderbird/91.5.0/releasenotes/

+ Microsoft Windows Defender / Detection Bypass
https://cxsecurity.com/issue/WLB-2022010058

JVNVU#94598199 Silicon Labs製Z-Waveチップセットを利用するデバイスにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94598199/index.html

セキュリティーの新常識
半数以上の日本企業がランサム被害に、セキュリティーの「常識」を見直せているか
https://xtech.nikkei.com/atcl/nxt/column/18/01897/122100001/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
危ないSMSは「不在通知」だけではない、スマホユーザーを襲うスミッシングの新手口
https://xtech.nikkei.com/atcl/nxt/column/18/00676/010500097/?ST=nxt_thmit_security

パナソニックが不正アクセスの結果発表、サーバーに採用応募者や取引先の個人情報
https://xtech.nikkei.com/atcl/nxt/news/18/11978/?ST=nxt_thmit_security

2022年1月11日火曜日

11日 火曜日、友引

+ VU#142629 Silicon Labs Z-Wave chipsets contain multiple vulnerabilities
https://www.kb.cert.org/vuls/id/142629
CVE-2020-10137
CVE-2020-9057
CVE-2020-9058
CVE-2020-9059
CVE-2020-9060
CVE-2020-9061

+ Linux Kernelの脆弱性(Important: CVE-2021-4155)
https://security.sios.com/vulnerability/kernel-security-vulnerability-20220111.html
CVE-2021-4155

+ Sambaの脆弱性情報(Moderate: CVE-2021-20316)
https://security.sios.com/vulnerability/samba-secuirty-vulnerability-20220111.html
CVE-2021-20316

+ containerdの脆弱性(High: CVE-2021-43816)と新バージョン(v1.5.9)
https://security.sios.com/vulnerability/containerd-security-vulnerability-20220107.html
CVE-2021-43816

piyokangoの週刊システムトラブル
実行中のスクリプトを上書きして77TBのデータを消失、京大のスパコンで事故
https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500147/?ST=nxt_thmit_security

記者の眼
異なるiPhoneでWi-FiのMACアドレスが重複?新機種移行でのトラブルに要注意
https://xtech.nikkei.com/atcl/nxt/column/18/00138/010500952/?ST=nxt_thmit_security

JVNVU#91224097 Philips製Engage Softwareに不適切なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU91224097/index.html

JVNVU#91728245 オムロン製CX-Oneにおけるスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU91728245/index.html

JVNVU#95975323 Fernhill Software製Fernhill SCADA Serverにおける無制限なリソース消費の脆弱性
http://jvn.jp/vu/JVNVU95975323/index.html

JVNVU#92279973 IDEC製PLCに複数の脆弱性
http://jvn.jp/vu/JVNVU92279973/index.html

2022年1月7日金曜日

7日 金曜日、仏滅

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

+ containerdの脆弱性(High: CVE-2021-43816)と新バージョン(v1.5.9)
https://security.sios.com/vulnerability/containerd-security-vulnerability-20220107.html
CVE-2021-43816

2022年1月6日木曜日

6日 木曜日、先負

+ Google Chrome 96.0.4664.131 released
https://chromereleases.googleblog.com/2022/01/extended-stable-channel-update-for.html

+ CESA-2022:0003 Important CentOS 7 xorg-x11-server Security Update
https://lwn.net/Articles/880445/

ニュース&リポート
インターネットの安全性が崩壊? 致命的な脆弱性「Log4Shell」の正体
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122400654/?ST=nxt_thmit_security

ニュース&リポート
ランサムウエアが一層凶悪に 2022年のサイバー脅威予測
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122400657/?ST=nxt_thmit_security

UPDATE: JVN#09136401 WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性
http://jvn.jp/jp/JVN09136401/index.html

2022年1月5日水曜日

5日 水曜日、友引

+ RHSA-2022:0003 Important: xorg-x11-server security update
https://access.redhat.com/errata/RHSA-2022:0003
CVE-2021-4008
CVE-2021-4009
CVE-2021-4010
CVE-2021-4011

+ RHSA-2022:0001 Important: grafana security update
https://access.redhat.com/errata/RHSA-2022:0001
CVE-2021-44716

+ VMSA-2022-0001 VMware Workstation, Fusion and ESXi updates address a heap-overflow vulnerability (CVE-2021-22045)
https://www.vmware.com/security/advisories/VMSA-2022-0001.html
CVE-2021-22045

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
盗撮用「隠しカメラ」を見逃さない 検出率9割のスマホアプリの正体
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/122000072/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
四万十町の再委託先がランサムウエア被害、脆弱性のある保守端末を狙われる
https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500146/?ST=nxt_thmit_security

ニュース解説
2022年度デジタル予算は過去最大の1.2兆円、地方・人・マイナンバーに重点投資
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06422/?ST=nxt_thmit_security

新春技術大予測2022
統合型「SASE」に脚光
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/122100270/122300008/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
添付ファイル中の「文字」が原因でメールが届かない、締め切り日の編集部を襲った悪夢
https://xtech.nikkei.com/atcl/nxt/column/18/00676/122100095/?ST=nxt_thmit_security

2022年1月3日月曜日

3日 月曜日、赤口

+ Wireshark 3.6.1, 3.4.11 released
https://www.wireshark.org/docs/relnotes/wireshark-3.6.1.html
https://www.wireshark.org/docs/relnotes/wireshark-3.4.11.html

+ Apache Struts 2.5.28.3 released
https://struts.apache.org/announce-2022#a20220102

+ hitachi-sec-2021-147 Vulnerability in Hitachi Storage Plug-in for VMware vCenter
https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-147/index.html
+ hitachi-sec-2021-147 Hitachi Storage Plug-in for VMware vCenterにおける脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-147/index.html
CVE-2021-44228

+ hitachi-sec-2021-146 Vulnerability in Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Ops Center Analyzer, Hitachi Ops Center Automator and Hitachi Ops Center Administrator
https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-146/index.html
+ hitachi-sec-2021-146 Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Ops Center Analyzer, Hitachi Ops Center AutomatorおよびHitachi Ops Center Administratorにおける脆弱性
https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-146/index.html
CVE-2021-44228

令和時代のネットワーク防衛術
「脱PPAP」からのデータガバナンス
[第4回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/092100119/122000004/?ST=nxt_thmit_security

マルウエア徹底解剖
マルウエアのコードを読み解く
[第26回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/122000026/?ST=nxt_thmit_security