:: IT Security Neophyte Investigator's MEMO ::: 1月 2022

2022年1月31日月曜日

31日月曜日、仏滅

+ Linux kernel 5.16.4, 5.25.18, 5.10.95, 5.4.175, 4.19.227, 4.14.264, 4.9.299, 4.4.301 released

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.4

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.18

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.95

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.175

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.227

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.264

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.299

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.301

+ CESA-2022:0306 Moderate CentOS 7 java-1.8.0-openjdk Security Update

https://lwn.net/Articles/883029/

+ hitachi-sec-2022-101 Multiple Vulnerabilities in Cosminexus

https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2022-101/index.html

+ hitachi-sec-2022-101 Cosminexusにおける複数の脆弱性

https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2022-101/index.html

CVE-2022-21248

CVE-2022-21271

CVE-2022-21277

CVE-2022-21282

CVE-2022-21283

CVE-2022-21291

CVE-2022-21293

CVE-2022-21294

CVE-2022-21296

CVE-2022-21299

CVE-2022-21305

CVE-2022-21340

CVE-2022-21341

CVE-2022-21360

CVE-2022-21365

CVE-2022-21366

+ OpenSSL Security Advisory [28 January 2022]

https://www.openssl.org/news/secadv/20220128.txt

CVE-2021-4160

+Sudo 1.9.9 released

https://www.sudo.ws/releases/stable/#1.9.9

+ Linux Kernelの脆弱性(CVE-2021-24122)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220131.html

CVE-2021-24122

+ Apache Tomcatの脆弱性情報(Low: CVE-2022-23181)

https://security.sios.com/vulnerability/tomcat-security-vulnerability-20220131.html

CVE-2022-23181

+ MIPS上のOpenSSLの脆弱性情報(Moderate: CVE-2021-4160)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20220130.html

CVE-2021-4160

+ Linux Kernelの脆弱性(Moderate: CVE-2021-34866)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220128.html

CVE-2021-34866

セキュリティー大実験室2022

サングラスをかけても虹彩認証は有効か

実験 5

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900005/?ST=nxt_thmit_security

セキュリティー大実験室2022

無線LANの電波は壁越しにどこまで届くのか

実験 4

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900004/?ST=nxt_thmit_security

セキュリティー大実験室2022

液体に浸した記憶媒体からデータを読み出せるか

実験 3

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900003/?ST=nxt_thmit_security

セキュリティー大実験室2022

パスワード付きZIPファイルは解読できるか

実験 2

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900002/?ST=nxt_thmit_security

セキュリティー大実験室2022

マスクを着けたままで顔認証が可能か

実験 1

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800128/011900001/?ST=nxt_thmit_security

2022年1月28日金曜日

28日金曜日、先勝

+ Linux kernel 5.16.3, 5.15.17, 5.10.94, 5.4.174, 4.19.226, 4.14.263, 4.9.298, 4.4.300 released

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.3

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.17

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.94

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.174

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.226

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.263

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.298

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.300

+ RHSA-2022:0310 Important: java-1.7.1-ibm security update

https://access.redhat.com/errata/RHSA-2022:0310

CVE-2021-35556

CVE-2021-35559

CVE-2021-35564

CVE-2021-35565

CVE-2021-35586

CVE-2021-41035

+ RHSA-2022:0306 Moderate: java-1.8.0-openjdk security update

https://access.redhat.com/errata/RHSA-2022:0306

CVE-2022-21248

CVE-2022-21282

CVE-2022-21283

CVE-2022-21293

CVE-2022-21294

CVE-2022-21296

CVE-2022-21299

CVE-2022-21305

CVE-2022-21340

CVE-2022-21341

CVE-2022-21360

CVE-2022-21365

+ RHSA-2022:0308 Moderate: OpenShift Container Storage 3.11.z security and bug fix update

https://access.redhat.com/errata/RHSA-2022:0308

CVE-2021-3114

CVE-2021-31525

+ RHSA-2022:0307 Moderate: java-1.8.0-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2022:0307

CVE-2022-21248

CVE-2022-21282

CVE-2022-21283

CVE-2022-21293

CVE-2022-21294

CVE-2022-21296

CVE-2022-21299

CVE-2022-21305

CVE-2022-21340

CVE-2022-21341

CVE-2022-21360

CVE-2022-21365

+ CESA-2022:0143 Important CentOS 7 httpd Security Update

https://lwn.net/Articles/882671/

+ CESA-2022:0274 Important CentOS 7 polkit Security Update

https://lwn.net/Articles/882867/

+ JVNVU#93604797 Apache TomcatにTime-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性

http://jvn.jp/vu/JVNVU93604797/index.html

+ Linux Kernelの脆弱性(Moderate: CVE-2021-34866)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220128.html

CVE-2021-34866

データは語る

パーソナルデータ活用サービス　安全管理措置の確保に高い関心

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/012000106/?ST=nxt_thmit_security

NEWS close-up

2022年のサイバー脅威予測

ランサムウエアが一層凶悪に　日本での被害報告が増える恐れ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800162/?ST=nxt_thmit_security

日経NETWORK 特別リポート

「隠しカメラ」をスマホで見つけるアプリ登場

ToFセンサーで検出率9割を実現

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/011800049/?ST=nxt_thmit_security

UPDATE: JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94434051/index.html

2022年1月27日木曜日

27日木曜日、赤口

+ RHSA-2022:0290 Important: parfait:0.5 security update

https://access.redhat.com/errata/RHSA-2022:0290

CVE-2021-4104

CVE-2022-23302

CVE-2022-23305

CVE-2022-23307

+ About the security content of Safari 15.3

https://support.apple.com/ja-jp/HT213058

CVE-2022-22590

CVE-2022-22592

CVE-2022-22589

CVE-2022-22594

+ About the security content of Security Update 2022-001 Catalina

https://support.apple.com/ja-jp/HT213056

CVE-2022-22593

CVE-2022-22579

CVE-2022-22583

CVE-2021-30946

CVE-2021-30972

+ About the security content of macOS Big Sur 11.6.3

https://support.apple.com/ja-jp/HT213055

CVE-2021-30960

CVE-2022-22585

CVE-2022-22587

CVE-2022-22593

CVE-2022-22579

CVE-2022-22583

CVE-2021-30972

+ About the security content of macOS Monterey 12.2

https://support.apple.com/ja-jp/HT213054

CVE-2022-22586

CVE-2022-22584

CVE-2022-22578

CVE-2022-22585

CVE-2022-22591

CVE-2022-22587

CVE-2022-22593

CVE-2022-22579

CVE-2022-22583

CVE-2022-22589

CVE-2022-22590

CVE-2022-22592

CVE-2022-22594

+ About the security content of tvOS 15.3

https://support.apple.com/ja-jp/HT213057

CVE-2022-22584

CVE-2022-22578

CVE-2022-22585

CVE-2022-22593

CVE-2022-22579

CVE-2022-22590

CVE-2022-22592

CVE-2022-22589

CVE-2022-22594

+ About the security content of iOS 15.3 and iPadOS 15.3

https://support.apple.com/ja-jp/HT213053

CVE-2022-22584

CVE-2022-22578

CVE-2022-22585

CVE-2022-22587

CVE-2022-22593

CVE-2022-22579

CVE-2022-22589

CVE-2022-22590

CVE-2022-22592

CVE-2022-22594

+ About the security content of watchOS 8.4

https://support.apple.com/ja-jp/HT213059

CVE-2022-22584

CVE-2022-22578

CVE-2022-22585

CVE-2022-22593

CVE-2022-22590

CVE-2022-22592

CVE-2022-22589

CVE-2022-22594

JVNVU#92576196 GE Gas Power製ToolBoxSTにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92576196/index.html

NEWS close-up

500人超によるサイバー攻撃訓練を開催

暴露型ランサムウエア感染を想定　防御の要となる「横連携」を鍛える

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800161/?ST=nxt_thmit_security

LGWANの障害が一部復旧、コンビニ交付は可能に

https://xtech.nikkei.com/atcl/nxt/news/18/12091/?ST=nxt_thmit_security

2022年1月26日水曜日

26日水曜日、大安

+ RHSA-2022:0267 Important: polkit security update

https://access.redhat.com/errata/RHSA-2022:0267

CVE-2021-4034

+ CESA-2022:0204 Moderate CentOS 7 java-11-openjdk Security Update

https://lwn.net/Articles/882525/

+ Mozilla Thunderbird 91.5.1 released

https://www.thunderbird.net/en-US/thunderbird/91.5.1/releasenotes/

+ UPDATE: Oracle Critical Patch Update Advisory - January 2022

https://www.oracle.com/security-alerts/cpujan2022.html

+ Linux Kernelのi915ドライバの脆弱性(Important: CVE-2022-0330)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220126.html

CVE-2022-0330

+ Polkitのローカルユーザ特権昇格脆弱性(Important: CVE-2021-4034)

https://security.sios.com/vulnerability/polkit-security-vulnerability-20220126.html

CVE-2021-4034

JVN#70100915 TransmitMail における複数の脆弱性

http://jvn.jp/jp/JVN70100915/index.html

NEWS close-up

2021年の「最悪パスワード」を発表

世界では「123456」が不動の首位　「sakura」と「asdfghjk」は日本特有

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800160/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

郵送された「USBメモリー」に恐怖の罠、PCに挿すだけでランサムウエアに感染

https://xtech.nikkei.com/atcl/nxt/column/18/00676/012000098/?ST=nxt_thmit_security

ニュース解説

ビジョナルがクラウドリスク評価サービス、自社の「苦しみ」が生んだ新事業

https://xtech.nikkei.com/atcl/nxt/column/18/00001/06499/?ST=nxt_thmit_security

2022年1月25日火曜日

25日火曜日、仏滅

+ RHSA-2022:0232 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2022:0232

CVE-2021-4155

CVE-2022-0185

+ RHSA-2022:0185 Moderate: java-11-openjdk security update

https://access.redhat.com/errata/RHSA-2022:0185

CVE-2022-21248

CVE-2022-21277

CVE-2022-21282

CVE-2022-21283

CVE-2022-21291

CVE-2022-21293

CVE-2022-21294

CVE-2022-21296

CVE-2022-21299

CVE-2022-21305

CVE-2022-21340

CVE-2022-21341

CVE-2022-21360

CVE-2022-21365

CVE-2022-21366

+ JVNVU#95024141 トレンドマイクロ製Deep SecurityおよびCloud One Workload SecurityのLinux版Agentにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95024141/index.html

piyokangoの月刊システムトラブル

三菱UFJニコスでトラブル　カード情報をメールで誤送信

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/011800035/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

さくらインターネットのクラウドサービスに障害発生、利用企業10社超に影響か

https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500149/?ST=nxt_thmit_security

2022年1月24日月曜日

24日月曜日、先負

+ Linux kernel 5.16.2. 5.15.16, 5.10.93, 5.4.173 released

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.2

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.16

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.93

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.173

+ phpMyAdmin 4.9.9 is released

https://www.phpmyadmin.net/news/2022/1/23/phpmyadmin-499-released/

+ PMASA-2022-2 Multiple XSS and HTML injection attacks in setup script

https://www.phpmyadmin.net/security/PMASA-2022-2/

+ PMASA-2022-1 Two factor authentication bypass

https://www.phpmyadmin.net/security/PMASA-2022-1/

CVE-2022-23807

+ Apache Tomcat 10.0.16, 9.0.58, 8.5.75 Released

https://tomcat.apache.org/tomcat-10.0-doc/changelog.html#Tomcat_10.0.16_(markt)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.58_(remm)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.75_(schultz)

+ Apache Struts 2.5.29 General Availability

https://struts.apache.org/announce-2022#a20220122

+ OpenLDAP 2.6.1 released

https://www.openldap.org/software/release/changes.html

+ PHP 8.1.2, 8.0.15 released

https://www.php.net/ChangeLog-8.php#8.1.2

https://www.php.net/ChangeLog-8.php#8.0.15

+ ClamAVの脆弱性(Important: CVE-2022-20698)

https://security.sios.com/vulnerability/clamav-security-vulnerability-20220124.html

CVE-2022-20698

ニュース解説

「ウイルス作成罪」乱用捜査の歯止めになるか、Coinhive無罪判決でも残る課題

https://xtech.nikkei.com/atcl/nxt/column/18/00001/06480/?ST=nxt_thmit_security

暗号資産の無断採掘「Coinhive」事件の無罪が確定、最高裁が高裁から逆転判決

https://xtech.nikkei.com/atcl/nxt/news/18/12049/?ST=nxt_thmit_security

JVNVU#95403720 三菱電機製GENESIS64およびMC Works64における複数の脆弱性

http://jvn.jp/vu/JVNVU95403720/index.html

JVNVU#96845652 McAfee Agent for Windowsにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96845652/index.html

JVNVU#94151526 GROWIにおけるユーザ制御の鍵による認証回避の脆弱性

http://jvn.jp/vu/JVNVU94151526/index.html

JVNVU#96012689 Philips製Vue PACS製品における複数の脆弱性

http://jvn.jp/vu/JVNVU96012689/index.html

JVN#16690037 php_mailform における複数のクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN16690037/index.html

JVNVU#99895108 三菱電機製 GOT およびテンションコントローラの MODBUS/TCP スレーブ通信機能におけるサービス運用妨害 (DoS) の脆弱性

http://jvn.jp/vu/JVNVU99895108/index.html

JVNVU#99277775 三菱電機製 GOT およびテンションコントローラにおけるサービス運用妨害 (DoS) の脆弱性

http://jvn.jp/vu/JVNVU99277775/index.html

VU#287178 McAfee Agent for Windows is vulnerable to privilege escalation due to OPENSSLDIR location

https://www.kb.cert.org/vuls/id/287178

2022年1月20日木曜日

20日木曜日、大安

+ RHSA-2022:0199 Important: libreswan security update

https://access.redhat.com/errata/RHSA-2022:0199

CVE-2022-23094

+ RHSA-2022:0177 Important: gegl04 security update

https://access.redhat.com/errata/RHSA-2022:0177

CVE-2021-45463

+ RHSA-2022:0161 Moderate: java-17-openjdk security update

https://access.redhat.com/errata/RHSA-2022:0161

CVE-2022-21248

CVE-2022-21277

CVE-2022-21282

CVE-2022-21283

CVE-2022-21291

CVE-2022-21293

CVE-2022-21294

CVE-2022-21296

CVE-2022-21299

CVE-2022-21305

CVE-2022-21340

CVE-2022-21341

CVE-2022-21360

CVE-2022-21365

CVE-2022-21366

+ Google Chrome 96.0.4664.174 released

https://chromereleases.googleblog.com/2022/01/extended-stable-channel-update-for_19.html

+ CESA-2022:0127 Important CentOS 7 thunderbird Security Update

https://lwn.net/Articles/881770/

+ CESA-2022:0063 Moderate CentOS 7 kernel Security Update

https://lwn.net/Articles/881769/

+ CESA-2022:0124 Important CentOS 7 firefox Security Update

https://lwn.net/Articles/881766/

+ CESA-2022:0162 Important CentOS 7 gegl Security Update

https://lwn.net/Articles/881767/

+ CESA-2022:0063 Moderate CentOS 7 kernel Security Update

https://lwn.net/Articles/881768/

+ ISC BIND 9.17.22, 9.16.25 released

https://downloads.isc.org/isc/bind9/9.17.22/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.25/doc/arm/html/notes.html

+ MySQLの脆弱性(Oracle Critical Patch Update Advisory - Jan 2022)

https://security.sios.com/vulnerability/mysql-security-vulnerability-20220120.html

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Jan 2022)

https://security.sios.com/vulnerability/java-security-vulnerability-20220120.html

+ Libreswanの脆弱性(Important: CVE-2022-23094)

https://security.sios.com/vulnerability/libreswan-security-vulnerability-20220119.html

JVN#64806328 キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN64806328/index.html

2022年1月19日水曜日

19日水曜日、仏滅

+ Oracle Critical Patch Update Advisory - January 2022

https://www.oracle.com/security-alerts/cpujan2022.html

+ VMSA-2022-0002 VMware Workstation and Horizon Client for Windows updates address a denial-of-service vulnerability (CVE-2022-22938)

https://www.vmware.com/security/advisories/VMSA-2022-0002.html

CVE-2022-22938

+ MySQL 8.0.28, 5.7.37 released

https://dev.mysql.com/doc/relnotes/mysql/8.0/en/news-8-0-28.html

https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-37.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

添付ファイル中の「文字」が原因　メールが来ない締め切り日の悪夢

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/010600073/?ST=nxt_thmit_security

2022年1月18日火曜日

18日火曜日、先負

+ Linux Kernelの脆弱性(CVE-2022-23222)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220117.html

CVE-2022-23222

+ Linux kernel 5.16.1, 5.15.15, 5.10.92, 5.4.172, 4.19.225, 4.14.262, 4.9.297, 4.4.299 released

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.16.1

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.15.15

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.92

https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.4.172

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.19.225

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.262

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.297

https://cdn.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.299

日経コンピュータ「動かないコンピュータ」

11社のECサイトから顧客情報漏洩　最大43万件、新手の攻撃が対策をすり抜け

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/011200099/?ST=nxt_thmit_security

デジタル立国、実践への提言

個別最適の脱し方と「情報」の限界とは、NEC遠藤会長が説くDXの本質

https://xtech.nikkei.com/atcl/nxt/column/18/01813/010200014/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

旭山動物園や日本機械学会が利用する決済サービスで「セキュリティー上の懸念」

https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500148/?ST=nxt_thmit_security

2022年1月17日月曜日

17日月曜日、友引

+ Mozilla Firefox 96.0.1 released

https://www.mozilla.org/en-US/firefox/96.0.1/releasenotes/

+ Apache POI 5.2.0 available

https://poi.apache.org/changes.html#5.2.0

+ Postfix stable release 3.6.4 and legacy releases 3.5.14, 3.4.24, 3.3.21

http://www.postfix.org/announcements/postfix-3.6.4.html

http://mirror.postfix.jp/postfix-release/official/postfix-3.6.4.HISTORY

http://mirror.postfix.jp/postfix-release/official/postfix-3.5.14.HISTORY

http://mirror.postfix.jp/postfix-release/official/postfix-3.4.24.HISTORY

http://mirror.postfix.jp/postfix-release/official/postfix-3.3.21.HISTORY

UPDATE: JVNVU#93761221 複数のTrane製品におけるコードインジェクションの脆弱性

http://jvn.jp/vu/JVNVU93761221/index.html

JVNVU#93268332 MELSEC FシリーズEthernetインタフェースブロックにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93268332/index.html

UPDATE: JVNVU#98508242 Siemens製品に対するアップデート（2022年1月）

http://jvn.jp/vu/JVNVU98508242/index.html

セキュリティーの新常識

あなたもパスワードを使い回しているはず、ユーザー認証の「常識」はもう限界

https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200007/?ST=nxt_thmit_security

ニュース解説

Log4jの脆弱性を悪用するランサムウエアが出現、既に日本のIT企業で実害か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/06457/?ST=nxt_thmit_security

2022年1月14日金曜日

14日金曜日、大安

+ RHSA-2022:0130 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:0130

CVE-2021-4140

CVE-2022-22737

CVE-2022-22738

CVE-2022-22739

CVE-2022-22740

CVE-2022-22741

CVE-2022-22742

CVE-2022-22743

CVE-2022-22745

CVE-2022-22747

CVE-2022-22748

CVE-2022-22751

+ RHSA-2022:0129 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:0129

CVE-2021-4140

CVE-2022-22737

CVE-2022-22738

CVE-2022-22739

CVE-2022-22740

CVE-2022-22741

CVE-2022-22742

CVE-2022-22743

CVE-2022-22745

CVE-2022-22747

CVE-2022-22748

CVE-2022-22751

+ 2022 年 1 月のセキュリティ更新プログラム

https://msrc.microsoft.com/update-guide/releaseNote/2022-Jan

https://msrc-blog.microsoft.com/2022/01/11/202201-security-updates/

+ Oracle Critical Patch Update Pre-Release Announcement - January 2022

https://www.oracle.com/security-alerts/cpujan2022.html

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

JVN#19826500 パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性

http://jvn.jp/jp/JVN19826500/index.html

JVN#81479705 ラベルプリンター「テプラ」PRO SR5900P / SR-R7900P における認証情報の不十分な保護の脆弱性

http://jvn.jp/jp/JVN81479705/index.html

JVNVU#93268332 MELSEC FシリーズEthernetインタフェースブロックにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93268332/index.html

UPDATE: JVNVU#96558207 三菱電機製 MELSEC iQ-R、Q および L シリーズにおけるリソース枯渇の脆弱性

http://jvn.jp/vu/JVNVU96558207/index.html

セキュリティーの新常識

auカブコム証券は防御から検知にシフト、マルウエア対策ソフトの「常識」を見直せ

https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200006/?ST=nxt_thmit_security

動かないコンピュータ

SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩

https://xtech.nikkei.com/atcl/nxt/column/18/01157/011300052/?ST=nxt_thmit_security

ソフトバンクやドコモが詐欺SMSの防止機能を今春導入、フィッシング被害拡大に対応

https://xtech.nikkei.com/atcl/nxt/news/18/12003/?ST=nxt_thmit_security

2022年1月13日木曜日

13日木曜日、仏滅

+ About the security content of iOS 15.2.1 and iPadOS 15.2.1

https://support.apple.com/ja-jp/HT213043

CVE-2022-22588

+ Security update available for Adobe Acrobat and Reader | APSB22-01

https://helpx.adobe.com/security/products/acrobat/apsb22-01.html

CVE-2021-44701

CVE-2021-44702

CVE-2021-44703

CVE-2021-44704

CVE-2021-44705

CVE-2021-44706

CVE-2021-44707

CVE-2021-44708

CVE-2021-44709

CVE-2021-44710

CVE-2021-44711

CVE-2021-44712

CVE-2021-44713

CVE-2021-44714

CVE-2021-44715

CVE-2021-44739

CVE-2021-44740

CVE-2021-44741

CVE-2021-44742

CVE-2021-45060

CVE-2021-45061

CVE-2021-45062

CVE-2021-45063

CVE-2021-45064

CVE-2021-45067

CVE-2021-45068

+ Security Updates Available for Adobe Illustrator | APSB22-02

https://helpx.adobe.com/security/products/illustrator/apsb22-02.html

CVE-2021-43752

CVE-2021-44700

+ Security Updates Available for Adobe Bridge | APSB22-03

https://helpx.adobe.com/security/products/bridge/apsb22-03.html

CVE-2021-44743

CVE-2021-45051

CVE-2021-45052

CVE-2021-44187

CVE-2021-44186

CVE-2021-44185

+ Security Update Available for Adobe InCopy | APSB22-04

https://helpx.adobe.com/security/products/incopy/apsb22-04.html

CVE-2021-45053

CVE-2021-45054

CVE-2021-45055

CVE-2021-45056

+ Security Update Available for Adobe InDesign | APSB22-05

https://helpx.adobe.com/security/products/indesign/apsb22-05.html

CVE-2021-45057

CVE-2021-45058

CVE-2021-45059

+ ClamAV 0.103.5 and 0.104.2 security patch release; 0.102 past EOL

https://blog.clamav.net/2022/01/clamav-01035-and-01042-security-patch.html

CVE-2022-20698

+ FreeBSD-SA-22:01.vt vt console buffer overflow

https://www.freebsd.org/security/advisories/FreeBSD-SA-22:01.vt.asc

CVE-2021-29632

+ Log4Shell HTTP Header Injection

https://cxsecurity.com/issue/WLB-2022010065

CVE-2021-44228

セキュリティーの新常識

リモートアクセスの新常識、「脱VPN」で静岡ガスが採用した渋滞知らずの手段とは

https://xtech.nikkei.com/atcl/nxt/column/18/01897/122200004/?ST=nxt_thmit_security

JVN#49047921 Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題

http://jvn.jp/jp/JVN49047921/index.html

JVN#72788165 WordPress 用プラグイン Quiz And Survey Master における複数の脆弱性

http://jvn.jp/jp/JVN72788165/index.html

JVNVU#98508242 Siemens製品に対するアップデート（2022年1月）

http://jvn.jp/vu/JVNVU98508242/index.html

JVNVU#95717248 Sensormatic Electronics社製VideoEdgeにおける不正な構文構造の不適切な処理の脆弱性

http://jvn.jp/vu/JVNVU95717248/index.html

JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

UPDATE: JVNVU#96269392 Siemens 製品に対するアップデート (2021年4月)

http://jvn.jp/vu/JVNVU96269392/index.html

2022年1月12日水曜日

12日水曜日、先負

+ RHSA-2022:0064 Moderate: openssl security update

https://access.redhat.com/errata/RHSA-2022:0064

CVE-2021-3712

+ RHSA-2022:0063 Moderate: kernel security and bug fix update

https://access.redhat.com/errata/RHSA-2022:0063

CVE-2020-25704

CVE-2020-36322

CVE-2021-42739

+ RHSA-2022:0059 Moderate: webkitgtk4 security update

https://access.redhat.com/errata/RHSA-2022:0059

CVE-2021-30858

+ Mozilla Firefox 96.0 released

https://www.mozilla.org/en-US/firefox/96.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-01 Security Vulnerabilities fixed in Firefox 96

https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/

CVE-2022-22746

CVE-2022-22743

CVE-2022-22742

CVE-2022-22741

CVE-2022-22740

CVE-2022-22738

CVE-2022-22737

CVE-2021-4140

CVE-2022-22750

CVE-2022-22749

CVE-2022-22748

CVE-2022-22745

CVE-2022-22744

CVE-2022-22747

CVE-2022-22736

CVE-2022-22739

CVE-2022-22751

CVE-2022-22752

+ Mozilla Foundation Security Advisory 2022-03 Security Vulnerabilities fixed in Thunderbird 91.5

https://www.mozilla.org/en-US/security/advisories/mfsa2022-03/

CVE-2022-22746

CVE-2022-22743

CVE-2022-22742

CVE-2022-22741

CVE-2022-22740

CVE-2022-22738

CVE-2022-22737

CVE-2021-4140

CVE-2022-22748

CVE-2022-22745

CVE-2022-22744

CVE-2022-22747

CVE-2022-22739

CVE-2022-22751

+ Mozilla Thunderbird 91.5.0 released

https://www.thunderbird.net/en-US/thunderbird/91.5.0/releasenotes/

+ Microsoft Windows Defender / Detection Bypass

https://cxsecurity.com/issue/WLB-2022010058

JVNVU#94598199 Silicon Labs製Z-Waveチップセットを利用するデバイスにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94598199/index.html

セキュリティーの新常識

半数以上の日本企業がランサム被害に、セキュリティーの「常識」を見直せているか

https://xtech.nikkei.com/atcl/nxt/column/18/01897/122100001/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

危ないSMSは「不在通知」だけではない、スマホユーザーを襲うスミッシングの新手口

https://xtech.nikkei.com/atcl/nxt/column/18/00676/010500097/?ST=nxt_thmit_security

パナソニックが不正アクセスの結果発表、サーバーに採用応募者や取引先の個人情報

https://xtech.nikkei.com/atcl/nxt/news/18/11978/?ST=nxt_thmit_security

2022年1月11日火曜日

11日火曜日、友引

+ VU#142629 Silicon Labs Z-Wave chipsets contain multiple vulnerabilities

https://www.kb.cert.org/vuls/id/142629

CVE-2020-10137

CVE-2020-9057

CVE-2020-9058

CVE-2020-9059

CVE-2020-9060

CVE-2020-9061

+ Linux Kernelの脆弱性(Important: CVE-2021-4155)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20220111.html

CVE-2021-4155

+ Sambaの脆弱性情報(Moderate: CVE-2021-20316)

https://security.sios.com/vulnerability/samba-secuirty-vulnerability-20220111.html

CVE-2021-20316

+ containerdの脆弱性(High: CVE-2021-43816)と新バージョン(v1.5.9)

https://security.sios.com/vulnerability/containerd-security-vulnerability-20220107.html

CVE-2021-43816

piyokangoの週刊システムトラブル

実行中のスクリプトを上書きして77TBのデータを消失、京大のスパコンで事故

https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500147/?ST=nxt_thmit_security

記者の眼

異なるiPhoneでWi-FiのMACアドレスが重複？新機種移行でのトラブルに要注意

https://xtech.nikkei.com/atcl/nxt/column/18/00138/010500952/?ST=nxt_thmit_security

JVNVU#91224097 Philips製Engage Softwareに不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU91224097/index.html

JVNVU#91728245 オムロン製CX-Oneにおけるスタックベースのバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU91728245/index.html

JVNVU#95975323 Fernhill Software製Fernhill SCADA Serverにおける無制限なリソース消費の脆弱性

http://jvn.jp/vu/JVNVU95975323/index.html

JVNVU#92279973 IDEC製PLCに複数の脆弱性

http://jvn.jp/vu/JVNVU92279973/index.html

2022年1月7日金曜日

7日金曜日、仏滅

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

+ containerdの脆弱性(High: CVE-2021-43816)と新バージョン(v1.5.9)

https://security.sios.com/vulnerability/containerd-security-vulnerability-20220107.html

CVE-2021-43816

2022年1月6日木曜日

6日木曜日、先負

+ Google Chrome 96.0.4664.131 released

https://chromereleases.googleblog.com/2022/01/extended-stable-channel-update-for.html

+ CESA-2022:0003 Important CentOS 7 xorg-x11-server Security Update

https://lwn.net/Articles/880445/

ニュース＆リポート

インターネットの安全性が崩壊？　致命的な脆弱性「Log4Shell」の正体

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122400654/?ST=nxt_thmit_security

ニュース＆リポート

ランサムウエアが一層凶悪に　2022年のサイバー脅威予測

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122400657/?ST=nxt_thmit_security

UPDATE: JVN#09136401 WordPress 用プラグイン Advanced Custom Fields における複数の認証欠如の脆弱性

http://jvn.jp/jp/JVN09136401/index.html

2022年1月5日水曜日

5日水曜日、友引

+ RHSA-2022:0003 Important: xorg-x11-server security update

https://access.redhat.com/errata/RHSA-2022:0003

CVE-2021-4008

CVE-2021-4009

CVE-2021-4010

CVE-2021-4011

+ RHSA-2022:0001 Important: grafana security update

https://access.redhat.com/errata/RHSA-2022:0001

CVE-2021-44716

+ VMSA-2022-0001 VMware Workstation, Fusion and ESXi updates address a heap-overflow vulnerability (CVE-2021-22045)

https://www.vmware.com/security/advisories/VMSA-2022-0001.html

CVE-2021-22045

+ UPDATE: JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

盗撮用「隠しカメラ」を見逃さない　検出率9割のスマホアプリの正体

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/122000072/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

四万十町の再委託先がランサムウエア被害、脆弱性のある保守端末を狙われる

https://xtech.nikkei.com/atcl/nxt/column/18/00598/121500146/?ST=nxt_thmit_security

ニュース解説

2022年度デジタル予算は過去最大の1.2兆円、地方・人・マイナンバーに重点投資

https://xtech.nikkei.com/atcl/nxt/column/18/00001/06422/?ST=nxt_thmit_security

新春技術大予測2022

統合型「SASE」に脚光

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/122100270/122300008/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

添付ファイル中の「文字」が原因でメールが届かない、締め切り日の編集部を襲った悪夢

https://xtech.nikkei.com/atcl/nxt/column/18/00676/122100095/?ST=nxt_thmit_security

2022年1月3日月曜日

3日月曜日、赤口

+ Wireshark 3.6.1, 3.4.11 released

https://www.wireshark.org/docs/relnotes/wireshark-3.6.1.html

https://www.wireshark.org/docs/relnotes/wireshark-3.4.11.html

+ Apache Struts 2.5.28.3 released

https://struts.apache.org/announce-2022#a20220102

+ hitachi-sec-2021-147 Vulnerability in Hitachi Storage Plug-in for VMware vCenter

https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-147/index.html

+ hitachi-sec-2021-147 Hitachi Storage Plug-in for VMware vCenterにおける脆弱性

https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-147/index.html

CVE-2021-44228

+ hitachi-sec-2021-146 Vulnerability in Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Ops Center Analyzer, Hitachi Ops Center Automator and Hitachi Ops Center Administrator

https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2021-146/index.html

+ hitachi-sec-2021-146 Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Ops Center Analyzer, Hitachi Ops Center AutomatorおよびHitachi Ops Center Administratorにおける脆弱性

https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2021-146/index.html

CVE-2021-44228

令和時代のネットワーク防衛術

「脱PPAP」からのデータガバナンス

［第4回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/092100119/122000004/?ST=nxt_thmit_security

マルウエア徹底解剖

マルウエアのコードを読み解く

［第26回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/122000026/?ST=nxt_thmit_security

登録: 投稿 (Atom)