:: IT Security Neophyte Investigator's MEMO ::: 10月 2022

2022年10月31日月曜日

31日月曜日、仏滅

+ PuTTY 0.78 released

https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.78.html

+ UPDATE: Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

+ PHP 8.1.12, 8.0.25 released

https://www.php.net/ChangeLog-8.php#8.1.12

https://www.php.net/ChangeLog-8.php#8.0.25

UPDATE: JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性

http://jvn.jp/jp/JVN56968681/index.html

JVN#74285622 富士ソフト製ネットワーク製品における複数の脆弱性

http://jvn.jp/jp/JVN74285622/index.html

JVNVU#94803886 複数のRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU94803886/index.html

JVNVU#90122134 SAUTER製moduWebにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU90122134/index.html

JVNVU#93422132 Trihedral製VTScadaにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU93422132/index.html

iPhone トラブルシューティング

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101900148/101900001/?ST=nxt_thmit_security

NEWS pickup ＆ digest

NEWS pickup＆digest（2022/9/20～10/7）

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/101900060/?ST=nxt_thmit_security

ニュース解説

検索結果のトップに偽サイト、フィッシングよけの「常識」が通用しない事態が続々

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07303/?ST=nxt_thmit_security

NEWS close-up

悪用される脆弱性を機械学習で予測

実証コードを収集してモデル構築　悪用可能性をリアルタイムで算出

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

2022年10月28日金曜日

28日金曜日、先勝

+ RHSA-2022:7242 Important: Satellite 6.11.4 Async Security Update

https://access.redhat.com/errata/RHSA-2022:7242

CVE-2022-30122

CVE-2022-31163

+ About the security content of iOS 15.7.1 and iPadOS 15.7.1

https://support.apple.com/ja-jp/HT213490

CVE-2022-32932

CVE-2022-42798

CVE-2022-32929

CVE-2022-32935

CVE-2022-32939

CVE-2022-32949

CVE-2022-32944

CVE-2022-42803

CVE-2022-32926

CVE-2022-42827

CVE-2022-42801

CVE-2022-42810

CVE-2022-32941

CVE-2022-42817

CVE-2022-32923

CVE-2022-32927

CVE-2022-37434

CVE-2022-42800

+ Google Chrome 107.0.5304.87/.88, 106.0.5249.168 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html

https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_27.html

+ VMSA-2022-0027.1 VMware Cloud Foundation updates address multiple vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2022-0027.html

CVE-2021-39144

CVE-2022-31678

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Oct 2022)

https://security.sios.com/vulnerability/java-security-vulnerability-20221028.html

CVE-2022-32215

CVE-2022-21634

CVE-2022-21597

CVE-2022-21628

CVE-2022-21626

CVE-2022-21618

CVE-2022-39399

CVE-2022-21624

CVE-2022-21619

+ Linux Kernelの脆弱性(CVE-2022-43750)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20221028.html

CVE-2022-43750

JVNVU#98508542 Haas Automation製Haas Controllerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98508542/index.html

JVNVU#96515249 HEIDENHAIN製TNC 640における不適切な認証の脆弱性

http://jvn.jp/vu/JVNVU96515249/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

NEWS close-up

悪用される脆弱性を機械学習で予測

実証コードを収集してモデル構築　悪用可能性をリアルタイムで算出

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000189/?ST=nxt_thmit_security

トラブルからの脱出

特定の相手からのメールが届かない、「パケットキャプチャー」があぶり出した真実

https://xtech.nikkei.com/atcl/nxt/column/18/01156/102000035/?ST=nxt_thmit_security

2022年10月27日木曜日

27日木曜日、赤口

+ Google Chrome 106.0.5249.165 released

https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_26.html

+ Mozilla Thunderbird 102.4.1 released

https://www.thunderbird.net/en-US/thunderbird/102.4.1/releasenotes/

+ Wireshark 4.0.1, 3.6.9 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.1.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.9.html

NEWS close-up

ランサムウエア攻撃の実態が明らかに

国内被害企業の6割以上で「2重脅迫」　身代金支払いは世界4割で日本は1割

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/102000188/?ST=nxt_thmit_security

ニュース＆リポート

政府サイトなどにサイバー攻撃　日本企業が採るべき対策は

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/101900798/?ST=nxt_thmit_security

ニュース解説

不十分な個人情報管理の企業に保護委がツール、誰でも使えるようにした「記載例」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07295/?ST=nxt_thmit_security

JTB、クラウドサービスの設定ミスで1万人超の個人情報漏洩

https://xtech.nikkei.com/atcl/nxt/news/18/14005/?ST=nxt_thmit_security

JVNVU#96850776 AliveCor製KardiaMobileにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96850776/index.html

JVNVU#98957765 Hitachi Energy製DMS600における脆弱なOSSコンポーネントへの依存の問題

http://jvn.jp/vu/JVNVU98957765/index.html

JVNVU#98146300 CKS製CEVASにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU98146300/index.html

JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

JVN#68971465 Everything における HTTP ヘッダインジェクションの脆弱性

http://jvn.jp/jp/JVN68971465/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

2022年10月26日水曜日

26日水曜日、大安

+ RHSA-2022:7184 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7184

CVE-2022-39236

CVE-2022-39249

CVE-2022-39250

CVE-2022-39251

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

+ RHSA-2022:7087 Moderate: 389-ds-base security and bug fix update

https://access.redhat.com/errata/RHSA-2022:7087

CVE-2022-2850

+ RHSA-2022:6735 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2022:6735

CVE-2021-2163

+ RHSA-2022:7178 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7178

CVE-2022-39236

CVE-2022-39249

CVE-2022-39250

CVE-2022-39251

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

+ Google Chrome 107.0.5304.62/63 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

+ VMSA-2022-0027 VMware Cloud Foundation updates address multiple vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2022-0027.html

CVE-2021-39144

CVE-2022-31678

日経コンピュータ「ITが危ない」

「EMV-3Dセキュア」導入に遅れ　中小EC事業者の企業存続が危ぶまれる

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/101800090/?ST=nxt_thmit_security

当事者が語る！トラブルからの脱出

電子メールが届かない　暗号化通信を開始できず

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/102000057/?ST=nxt_thmit_security

Books

ITの先端を概観『世界をリードする8つの最新テクノロジー Web3からメタバース量子コンピューターまで』

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00204/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

ヤフーは電話番号登録で誹謗中傷のさらなる抑止へ、プロ責法改正で変わる事業者

https://xtech.nikkei.com/atcl/nxt/column/18/02224/102400003/?ST=nxt_thmit_security

3分でわかる必修ワード IT

乱数を加えて正確な値を秘匿、「差分プライバシー」とはどんな保護技術か

差分プライバシー（Differential Privacy）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/101100210/?ST=nxt_thmit_security

JVN#86350682 SHIRASAGI における複数の脆弱性

http://jvn.jp/jp/JVN86350682/index.html

2022年10月25日火曜日

25日火曜日、仏滅

+ RHSA-2022:7088 Important: libksba security update

https://access.redhat.com/errata/RHSA-2022:7088

CVE-2022-3515

+ About the security content of Safari 16.1

https://support.apple.com/ja-jp/HT213495

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

+ About the security content of iOS 16.1 and iPadOS 16

https://support.apple.com/ja-jp/HT213489

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32946

CVE-2022-32947

CVE-2022-42820

CVE-2022-42806

CVE-2022-32924

CVE-2022-42808

CVE-2022-42827

CVE-2022-42829

CVE-2022-42830

CVE-2022-42831

CVE-2022-42832

CVE-2022-42811

CVE-2022-32938

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

+ About the security content of macOS Big Sur 11.7.1

https://support.apple.com/ja-jp/HT213493

CVE-2022-42825

CVE-2022-28739

CVE-2022-32862

+ About the security content of macOS Monterey 12.6.1

https://support.apple.com/ja-jp/HT213494

CVE-2022-42825

CVE-2022-28739

CVE-2022-32862

+ About the security content of macOS Ventura 13

https://support.apple.com/ja-jp/HT213488

CVE-2022-42795

CVE-2022-32858

CVE-2022-32898

CVE-2022-32899

CVE-2022-32827

CVE-2022-42789

CVE-2022-42825

CVE-2022-32902

CVE-2022-32904

CVE-2022-32890

CVE-2022-42796

CVE-2022-32940

CVE-2022-42819

CVE-2022-42813

CVE-2022-26730

CVE-2022-32867

CVE-2022-32205

CVE-2022-32206

CVE-2022-32207

CVE-2022-32208

CVE-2022-42814

CVE-2022-32865

CVE-2022-32915

CVE-2022-32928

CVE-2022-42788

CVE-2022-32905

CVE-2022-32947

CVE-2022-42809

CVE-2022-32913

CVE-2022-1622

CVE-2022-32936

CVE-2022-42820

CVE-2022-42806

CVE-2022-32864

CVE-2022-32866

CVE-2022-32911

CVE-2022-32924

CVE-2022-32914

CVE-2022-42808

CVE-2022-42815

CVE-2022-32883

CVE-2022-32908

CVE-2021-39537

CVE-2022-29458

CVE-2022-42818

CVE-2022-32879

CVE-2022-32895

CVE-2022-32918

CVE-2022-42829

CVE-2022-42830

CVE-2022-42831

CVE-2022-42832

CVE-2022-28739

CVE-2022-32881

CVE-2022-32862

CVE-2022-42811

CVE-2022-42793

CVE-2022-32938

CVE-2022-42790

CVE-2022-32870

CVE-2022-32934

CVE-2022-42791

CVE-2021-36690

CVE-2022-0261

CVE-2022-0318

CVE-2022-0319

CVE-2022-0351

CVE-2022-0359

CVE-2022-0361

CVE-2022-0368

CVE-2022-0392

CVE-2022-0554

CVE-2022-0572

CVE-2022-0629

CVE-2022-0685

CVE-2022-0696

CVE-2022-0714

CVE-2022-0729

CVE-2022-0943

CVE-2022-1381

CVE-2022-1420

CVE-2022-1725

CVE-2022-1616

CVE-2022-1619

CVE-2022-1620

CVE-2022-1621

CVE-2022-1629

CVE-2022-1674

CVE-2022-1733

CVE-2022-1735

CVE-2022-1769

CVE-2022-1927

CVE-2022-1942

CVE-2022-1968

CVE-2022-1851

CVE-2022-1897

CVE-2022-1898

CVE-2022-1720

CVE-2022-2000

CVE-2022-2042

CVE-2022-2124

CVE-2022-2125

CVE-2022-2126

CVE-2022-32875

CVE-2022-32886

CVE-2022-32888

CVE-2022-32912

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

CVE-2022-32922

CVE-2022-32892

+ About the security content of tvOS 16.1

https://support.apple.com/ja-jp/HT213492

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32924

CVE-2022-42808

CVE-2022-42811

CVE-2022-42799

CVE-2022-42823

+ About the security content of watchOS 9.1

https://support.apple.com/ja-jp/HT213491

CVE-2022-42825

CVE-2022-32940

CVE-2022-42813

CVE-2022-32947

CVE-2022-32924

CVE-2022-42808

CVE-2022-42811

CVE-2022-42799

CVE-2022-42823

CVE-2022-42824

+ Mozilla Foundation Security Advisory 2022-46 Security Vulnerabilities fixed in Thunderbird 102.4

https://www.mozilla.org/en-US/security/advisories/mfsa2022-46/

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42932

piyokangoの月刊システムトラブル

ニトリに13万件の不正ログイン　リスト型攻撃と推測

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101800044/?ST=nxt_thmit_security

ネスペ試験で学ぶネットワーク技術のキホン

IDS

［第8回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/101900008/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

Z会グループのサービスで「他人の受検結果が見える」、システム不備で個人情報漏洩

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100187/?ST=nxt_thmit_security

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#93193058 B.Braun Melsungen AG社の複数の製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93193058/index.html

2022年10月24日月曜日

24日月曜日、先勝

+ Sudo 1.9.12 released

https://www.sudo.ws/releases/stable/#1.9.12

+ nginxの脆弱性情報(CVE-2022-3638)

https://security.sios.com/vulnerability/nginx-security-vulnerability-20221024.html

CVE-2022-3638

UPDATE: JVNVU#94780329 複数の B. Braun Melsungen 製品に複数の脆弱性

http://jvn.jp/vu/JVNVU94780329/index.html

JVNVU#92858946 Bentley Systems製MicroStation Connectにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92858946/index.html

2022年10月21日金曜日

21日金曜日、仏滅

+ Mozilla Firefox 106.0.1 released

https://www.mozilla.org/en-US/firefox/106.0.1/releasenotes/

JVN#56968681 日本語プログラミング言語「なでしこ3」における複数の脆弱性

http://jvn.jp/jp/JVN56968681/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

あなたのメガネから情報が筒抜け　ビデオ会議中の思わぬ盲点

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/101300093/?ST=nxt_thmit_security

ニュース解説

oViceが常設専用サイトで「障害予報」を提供、情報はすべて伝えると発想転換

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07270/?ST=nxt_thmit_security

楽天モバイル元社員に懲役2年・罰金100万円を求刑、基地局情報などの持ち出しで

https://xtech.nikkei.com/atcl/nxt/news/18/13969/?ST=nxt_thmit_security

2022年10月20日木曜日

20日木曜日、先負

+ RHSA-2022:6997 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:6997

CVE-2022-40674

+ RHSA-2022:7024 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:7024

CVE-2022-40674

+ RHSA-2022:7023 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7023

CVE-2022-40674

+ RHSA-2022:7026 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:7026

VE-2022-40674

+ RHSA-2022:7020 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:7020

CVE-2022-40674

+ Mozilla Thunderbird 102.4.0 released

https://www.thunderbird.net/en-US/thunderbird/102.4.0/releasenotes/

+ ISC BIND 9.18.8, 9.16.34 released

https://downloads.isc.org/isc/bind9/9.18.8/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.34/doc/arm/html/notes.html

+ Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

JVNVU#97893771 Advantech製R-SeeNetにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97893771/index.html

JVNVU#97131578 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97131578/index.html

JVN#10921428 スマートフォンアプリ「Lemon8 (レモンエイト)」におけるアクセス制限不備の脆弱性

http://jvn.jp/jp/JVN10921428/index.html

記者の眼

安くなくても採用が2年間で3倍に、SASEは日本企業のセキュリティーを変えるか

https://xtech.nikkei.com/atcl/nxt/column/18/00138/101801140/?ST=nxt_thmit_security

2022年10月19日水曜日

19日水曜日、友引

+ RHSA-2022:6998 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:6998

CVE-2022-40674

+ Mozilla Firefox 106.0 released

https://www.mozilla.org/en-US/firefox/106.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-44 Security Vulnerabilities fixed in Firefox 106

https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

CVE-2022-42927

CVE-2022-42928

CVE-2022-42929

CVE-2022-42930

CVE-2022-42931

CVE-2022-42932

+ UPDATE: JVNVU#90776782 ISC BINDにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90776782/index.html

+ UPDATE: JVNVU#92867820 OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU92867820/index.html

JVNVU#99955870 横河計測製WTViewerEにおけるバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU99955870/index.html

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

http://jvn.jp/ta/JVNTA96784241/index.html

勝村幸博の「今日も誰かが狙われる」

キーボードに残った「指の熱」でパスワードを盗む、6文字なら100％的中

https://xtech.nikkei.com/atcl/nxt/column/18/00676/101500117/?ST=nxt_thmit_security

イラストでわかるネットワークの基礎

シャドーITを許さない、クラウド利用のセキュリティー問題を防ぐ「CASB」とは

https://xtech.nikkei.com/atcl/nxt/column/18/01842/092000022/?ST=nxt_thmit_security

2022年10月18日火曜日

18日火曜日、先勝

+ Gpg4win 4.0.4 released

https://www.gpg4win.org/change-history.html

+ RHSA-2022:6964 Important: nodejs:16 security update

https://access.redhat.com/errata/RHSA-2022:6964

CVE-2022-35255

CVE-2022-35256

+ RHSA-2022:6963 Important: nodejs security update

https://access.redhat.com/errata/RHSA-2022:6963

CVE-2022-35255

CVE-2022-35256

+ Integer Overflow in LibKSBA / GnuPG

https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

CVE-2022-3512

JVNVU#98836905 Hitachi Energy製Lumada Asset Performance Management (APM) における複数の脆弱性

http://jvn.jp/vu/JVNVU98836905/index.html

技術から読み解く「Web3」

Web3で「デジタルアート」をどう売買するのか、NFTの作成から譲渡まで

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

食肉店公式アプリの個人情報8万件超が漏洩、Webサーバーへの不正アクセスで

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100186/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

「入り口」はマイナンバーカードとJPKI、先進的な前橋市デジタルIDは普及するか

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101400003/?ST=nxt_thmit_security

ニュース解説

紙の健康保険証を2024年秋に廃止できるか、マイナ保険証への完全移行に3つの課題

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07257/?ST=nxt_thmit_security

富士通、データの信頼性やサービスのセキュリティー高める「トラスト機能群」を提供

https://xtech.nikkei.com/atcl/nxt/news/18/13947/?ST=nxt_thmit_security

フォーティネット製品の新たな脆弱性を突く攻撃をIIJが検出、日本は数千台に影響か

https://xtech.nikkei.com/atcl/nxt/news/18/13935/?ST=nxt_thmit_security

2022年10月17日月曜日

17日月曜日、赤口

UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

+ Linux Kernelの脆弱性(Moderate: CVE-2022-41674, CVE-2022-42719, CVE-2022-42720, CVE-2022-42721, CVE-2022-42722)

https://security.sios.com/vulnerability/kernel-security-vulnerability-20221016.html

CVE-2022-41674

CVE-2022-42719

CVE-2022-42720

CVE-2022-42721

CVE-2022-42722

技術から読み解く「Web3」

Web3を支えるブロックチェーン、押さえるべき「5つの特徴」とは

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300003/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

2024年秋に紙の健康保険証廃止へ、マイナ保険証を支えるJPKIデジタル本人確認

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101300002/?ST=nxt_thmit_security

2022年10月14日金曜日

14日金曜日、先負

+ PostgreSQL 15 Released!

https://www.postgresql.org/about/news/postgresql-15-released-2526/

https://www.postgresql.org/docs/15/release-15.html

+ zlib 1.2.13 released

http://www.zlib.net/ChangeLog.txt

+ UPDATE: JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性

http://jvn.jp/vu/JVNVU92530096/index.html

タッチタイピング自慢はもう古い、今どきの快適入力ワザ

自宅パソコンでパスワード入力を省略、MS公式の無料ツール「Autologon」で可能に

https://xtech.nikkei.com/atcl/nxt/column/18/02185/090200008/?ST=nxt_thmit_security

中田敦のGAFA深読み

グーグルがクラウド新サービスを大量発表、「GAFA深読み」記者が注目したトップ3

https://xtech.nikkei.com/atcl/nxt/column/18/00692/101300091/?ST=nxt_thmit_security

3分でわかる必修ワード IT

インターネットの信頼性向上へ官民で検証開始、「Trusted Web」構想とは

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/092000207/?ST=nxt_thmit_security

ITが危ない

中小EC事業者の「EMV-3Dセキュア」導入に遅れ、企業存続が危ぶまれる事態にも

https://xtech.nikkei.com/atcl/nxt/column/18/00989/101200100/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

プロ責法改正で誹謗中傷の被害者の負担は減るか、弁護士3人の見解は

https://xtech.nikkei.com/atcl/nxt/column/18/02224/101200002/?ST=nxt_thmit_security

マイナンバーカードは「便利」か？デジタル本人確認最前線

マイナンバーカードは便利か？民間での「本人確認」になかなか使われない理由

https://xtech.nikkei.com/atcl/nxt/column/18/02223/101200001/?ST=nxt_thmit_security

ファミマでチケット発券が7時間近く不能に、原因はマルチコピー機の通信障害

https://xtech.nikkei.com/atcl/nxt/news/18/13920/?ST=nxt_thmit_security

NURO 光の速度低下で提供元が陳謝、原因は「特定事業者の異常なトラフィック」

https://xtech.nikkei.com/atcl/nxt/news/18/13919/?ST=nxt_thmit_security

日経クロステックランキング

根強く読まれるIPアドレスの解説、過去分含めたITセキュリティー記事ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300028/?ST=nxt_thmit_security

日経クロステックランキング

「狙われる日本企業」「国家資格の登録者数前年割れ」、ITセキュリティー記事検索流入ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300027/?ST=nxt_thmit_security

日経クロステックランキング

トップはランサム被害の病院の話題、2022年公開のITセキュリティー記事ランキング

https://xtech.nikkei.com/atcl/nxt/column/18/02156/101300026/?ST=nxt_thmit_security

UPDATE: JVNVU#98578731 三菱電機製 MELSEC iQ-R シリーズ CPU ユニットにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98578731/index.html

2022年10月13日木曜日

13日木曜日、友引

+ RHSA-2022:6912 Moderate: .NET Core 3.1 security and bugfix update

https://access.redhat.com/errata/RHSA-2022:6912

CVE-2022-41032

+ Mozilla Thunderbird 102.3.3 released

https://www.thunderbird.net/en-US/thunderbird/102.3.3/releasenotes/

+ JVNVU#92530096 OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性

http://jvn.jp/vu/JVNVU92530096/index.html

CVE-2022-3358

+ Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)

https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html

CVE-2022-36067

+ 【重要：3.0.6/1.1.1rはregressionが見つかったため撤回】OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html

ニュース＆リポート

身代金支払いは世界4割で日本は1割　それでも油断できない「4重脅迫」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300785/?ST=nxt_thmit_security

ニュース＆リポート

サイバー被害「思ったより少ない」　ウクライナから学ぶべきこと

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100300790/?ST=nxt_thmit_security

プロバイダ責任制限法の改正で何が変わる

改正プロバイダ責任制限法が10月施行、誹謗中傷の被害者救済につながるわけ

https://xtech.nikkei.com/atcl/nxt/column/18/02224/101100001/?ST=nxt_thmit_security

キルネットが攻撃活動再開か、複数の米空港Webサイトでアクセス障害

https://xtech.nikkei.com/atcl/nxt/news/18/13903/?ST=nxt_thmit_security

JVNVU#95961389 Altair製HyperView Playerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95961389/index.html

JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

JVNVU#92418217 Sensormatic Electronics製C?CURE 9000における情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU92418217/index.html

JVNVU#93424017 SVMPC1およびSVMPC2における複数の脆弱性

http://jvn.jp/vu/JVNVU93424017/index.html

2022年10月12日水曜日

12日水曜日、先勝

+ RHSA-2022:6878 Important: expat security update

https://access.redhat.com/errata/RHSA-2022:6878

CVE-2022-40674

+ Google Chrome 106.0.5249.119 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_11.html

+ Security updates available for Adobe ColdFusion | APSB22-44

https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html

CVE-2022-35710

CVE-2022-35711

CVE-2022-35690

CVE-2022-35712

CVE-2022-38418

CVE-2022-38419

CVE-2022-38420

CVE-2022-38421

CVE-2022-38422

CVE-2022-38423

CVE-2022-38424

CVE-2022-42340

CVE-2022-42341

+ Security update available for Adobe Acrobat and Reader | APSB22-46

https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

CVE-2022-35691

CVE-2022-38437

CVE-2022-42342

CVE-2022-42339

CVE-2022-38450

+ Security?update?available?for?Adobe Commerce?|?APSB22-48

https://helpx.adobe.com/security/products/magento/apsb22-48.html

CVE-2022-35698

+ Security updates available for Dimension | APSB22-57

https://helpx.adobe.com/security/products/dimension/apsb22-57.html

CVE-2022-38440

CVE-2022-38441

CVE-2022-38442

CVE-2022-38443

CVE-2022-38444

CVE-2022-38445

CVE-2022-38446

CVE-2022-38447

CVE-2022-38448

+ VMSA-2022-0026 VMware Aria Operations patches address an arbitrary file read vulnerability (CVE-2022-31682).

https://www.vmware.com/security/advisories/VMSA-2022-0026.html

CVE-2022-31682

+ VMSA-2022-0025 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31680, CVE-2022-31681)

https://www.vmware.com/security/advisories/VMSA-2022-0025.html

CVE-2022-31680

CVE-2022-31681

+ Apache Tomcat 10.1.1, 8.5.83 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.1_(markt)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.82_(markt)

+ OpenSSL Security Advisory [11 October 2022]

https://www.openssl.org/news/secadv/20221011.txt

CVE-2022-3358

+ OpenSSL 3.0.6, 1.1.1r released

https://www.openssl.org/

+ UPDATE: JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3358)と新バージョン(3.0.6, 1.1.1r)

https://security.sios.com/vulnerability/openssl-security-vulnerability-20221012.html

CVE-2022-3358

UPDATE: JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

http://jvn.jp/ta/JVNTA96784241/index.html

JVNVU#92805279 バッファロー製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU92805279/index.html

JVN#74592196 bingo!CMS における認証回避の脆弱性

http://jvn.jp/jp/JVN74592196/index.html

JVNVU#93736410 HeimdalのKerberos実装にNULLポインタ参照の脆弱性

http://jvn.jp/vu/JVNVU93736410/index.html

JVN#40620121 Sony Content Transfer のインストーラにおける DLL 読み込みの脆弱性

http://jvn.jp/jp/JVN40620121/index.html

データは語る

インターネットバンキングにリスク　多要素認証、38％が採用せず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/093000125/?ST=nxt_thmit_security

技術から読み解く「Web3」

Web3時代のアプリケーションと組織、「Dapps」と「DAO」を徹底解説

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300002/?ST=nxt_thmit_security

ニュース解説

大和証券がゼロトラスト推進、「SWG」で従業員のネット利用を社内外問わず保護

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07225/?ST=nxt_thmit_security

ニュース解説

キルネットは活動停止を表明、政府系サイトへのサイバー攻撃が示した本当の脅威

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07233/?ST=nxt_thmit_security

Node.jsのvm2のサンドボックスからの脱出の脆弱性(Sandbreak: CVE-2022-36067)

https://security.sios.com/vulnerability/misc-security-vulnerability-20221012.html

2022年10月11日火曜日

11日火曜日、赤口

+ About the security content of iOS 16.0.3

https://support.apple.com/ja-jp/HT213480

CVE-2022-22658

+ Apache Tomcat 10.0.27, 9.0.68 released

https://tomcat.apache.org/tomcat-10.0-doc/changelog.html#Tomcat_10.0.27_(markt)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.68_(markt)

+ Urgent Postfix stable release 3.7.3 and non-urgent legacy releases 3.6.7, 3.5.17, 3.4.27

http://www.postfix.org/announcements/postfix-3.7.3.html

+ ISC DHCPの脆弱性(Medium: CVE-2022-2928 , CVE-2022-2929 )

https://security.sios.com/vulnerability/dhcp-security-vulnerability-20221009.html

CVE-2022-2928

CVE-2022-2929

フォーカス

手ぶらでいこう　顔認証の着地点

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/093000127/?ST=nxt_thmit_security

技術から読み解く「Web3」

Web3で注目集める「NFT」、鍵となるスマートコントラクトを図解

https://xtech.nikkei.com/atcl/nxt/column/18/02215/100300001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

会員管理サービスで情報流出、「あり得ない日付」の検索で全件閲覧できる不具合

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100185/?ST=nxt_thmit_security

トヨタが約29万人分の個人情報漏洩の可能性、ソースコードがGitHub上で公開状態に

https://xtech.nikkei.com/atcl/nxt/news/18/13882/?ST=nxt_thmit_security

JVNVU#99960963 トレンドマイクロ製Deep SecurityおよびCloud One - Workload SecurityのWindows版Agentにおける複数の脆弱性

http://jvn.jp/vu/JVNVU99960963/index.html

JVNVU#90214809 Rockwell Automation製FactoryTalk VantagePointにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90214809/index.html

JVNVU#91833560 HIWIN製HIWIN Robot System Software (HRSS)における不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU91833560/index.html

JVN#00845253 GROWI におけるアクセス制限不備の脆弱性

http://jvn.jp/jp/JVN00845253/index.html

VU#730793 Heimdal Kerbos vulnerable to remotely triggered NULL pointer dereference

https://www.kb.cert.org/vuls/id/730793

2022年10月7日金曜日

7日金曜日、友引

+ RHSA-2022:6834 Important: expat security update

https://access.redhat.com/errata/RHSA-2022:6834

CVE-2022-40674

+ RHSA-2022:6820 Moderate: prometheus-jmx-exporter security update

https://access.redhat.com/errata/RHSA-2022:6820

CVE-2022-25857

+ Google Chrome 106.0.5249.103 released

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop.html

+ CESA-2022:6381 Important CentOS 7 open-vm-tools Security Update

https://lwn.net/Articles/907962/

+ Mozilla Thunderbird 102.3.2 released

https://www.thunderbird.net/en-US/thunderbird/102.3.2/releasenotes/

+ JVNVU#96924367 ISC DHCPにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96924367/index.html

CVE-2022-2928

CVE-2022-2929

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

画像ファイルに潜むマルウエア　セキュリティーソフトは検知できず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/092800092/?ST=nxt_thmit_security

基本から学ぶVPN

自宅にVPN接続できる環境を構築、無料の「SoftEther VPN」を使う

https://xtech.nikkei.com/atcl/nxt/column/18/02193/091200004/?ST=nxt_thmit_security

知られざるRed Hat Enterprise Linux

セキュリティーが強化された最新版のRed Hat Enterprise Linux 9

https://xtech.nikkei.com/atcl/nxt/column/18/02195/091300005/?ST=nxt_thmit_security

広島県・市の学校用PC談合問題、NTT西や大塚商会など11社に排除措置命令

https://xtech.nikkei.com/atcl/nxt/news/18/13868/?ST=nxt_thmit_security

ニュース解説

北朝鮮ミサイル発射のJアラートで誤報、原因は初歩的なシステム不具合

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07230/?ST=nxt_thmit_security

基本から学ぶVPN

AndroidやiPhoneにProton VPNを導入して安全通信、留意点は2つだけ

https://xtech.nikkei.com/atcl/nxt/column/18/02193/091200003/?ST=nxt_thmit_security

JVNTA#96784241 VLAN対応ネットワーク機器において、L2保護機構がバイパスされる問題

http://jvn.jp/ta/JVNTA96784241/index.html

JVN#15411362 IPFire の WebUI におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN15411362/index.html

JVNVU#98025948 Horner Automation製Cscapeにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98025948/index.html

JVNVU#92014758 オムロン製CX-Programmerにおける複数の境界外書き込みの脆弱性

http://jvn.jp/vu/JVNVU92014758/index.html

2022年10月6日木曜日

6日木曜日、先勝

+ RHSA-2022:6815 Important: squid security update

https://access.redhat.com/errata/RHSA-2022:6815

CVE-2022-41318

+ Wireshark 4.0.0 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.0.html

+ ISC DHCP 4.4.3-P1, 4.1-ESV-R16-P2 released

https://downloads.isc.org/isc/dhcp/4.4.3-P1/dhcp-4.4.3-P1-RELNOTES

https://downloads.isc.org/isc/dhcp/4.1-ESV-R16-P2/dhcp-4.1-ESV-R16-P2-RELNOTES

JVNVU#99722530 BD製BD トータリスマルチプロセッサーにおけるハードコードされた認証情報の使用の脆弱性

http://jvn.jp/vu/JVNVU99722530/index.html

JVNVU#95045179 Johnson Controls製Metasys ADXにおける不適切な認証の脆弱性

http://jvn.jp/vu/JVNVU95045179/index.html

JVNVU#94940727 Hitachi Energy製Modular Switchgear Monitoring（MSM）における複数の脆弱性

http://jvn.jp/vu/JVNVU94940727/index.html

JVNVU#92805279 バッファロー製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU92805279/index.html

小売業ではログイン試行80％以上が不正アクセス、OktaによるIDaaS調査

https://xtech.nikkei.com/atcl/nxt/news/18/13798/?ST=nxt_thmit_security

2022年10月5日水曜日

5日水曜日、赤口

+ RHSA-2022:6765 Important: bind security update

https://access.redhat.com/errata/RHSA-2022:6765

CVE-2022-38177

CVE-2022-38178

+ RHSA-2022:6781 Important: bind9.16 security update

https://access.redhat.com/errata/RHSA-2022:6781

CVE-2022-3080

CVE-2022-38177

CVE-2022-38178

+ RHSA-2022:6775 Important: squid:4 security update

https://access.redhat.com/errata/RHSA-2022:6775

CVE-2022-41318

+ OpenSSH 9.1/9.1p1 released

http://www.openssh.com/releasenotes.html#9.1

+ JVNVU#96017091 Microsoft Exchange Serverに複数の脆弱性

http://jvn.jp/vu/JVNVU96017091/index.html

JVNVU#92805279 バッファロー製ネットワーク機器おける複数の脆弱性

http://jvn.jp/vu/JVNVU92805279/index.html

マルウエア徹底解剖

巧妙化が進むショートカット悪用の手口

［第35回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091600036/?ST=nxt_thmit_security

ニュース解説

量子もつれの100年近い研究にノーベル物理学賞、日本人は“4人め”か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07221/?ST=nxt_thmit_security

2つのセキュリティー対策が黎明期に、ガートナーが日本版ハイプ・サイクルを発表

https://xtech.nikkei.com/atcl/nxt/news/18/13775/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

あなたのメガネから情報が筒抜けに、実験で判明したビデオ会議中の思わぬ盲点

https://xtech.nikkei.com/atcl/nxt/column/18/00676/092900116/?ST=nxt_thmit_security

2022年10月4日火曜日

4日火曜日、大安

+ VU#915563 Microsoft Exchange vulnerable to server-side request forgery and remote code execution.

https://www.kb.cert.org/vuls/id/915563

CVE-2022-41040

CVE-2022-41082

JVNVU#99682885 Hitachi Energy製MicroSCADA Pro/X SYS600における複数の脆弱性

http://jvn.jp/vu/JVNVU99682885/index.html

piyokangoの週刊システムトラブル

プレスリリース配信会社で同時に発生した3つの障害、メンテナンスがきっかけに

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100184/?ST=nxt_thmit_security

レジリエンスプログラミングのすすめ

システムのレジリエンスを保つ「要」、分散トレーシングによる可視化

https://xtech.nikkei.com/atcl/nxt/column/18/02090/092900005/?ST=nxt_thmit_security

3日月曜日、仏滅

+ PHP 8.0.24 released

https://www.php.net/ChangeLog-8.php#8.0.24

+ JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU98868043/index.html

+ JVNVU#92650134 Delta Electronics 製 DOPSoft に境界外読み取りの脆弱性

http://jvn.jp/vu/JVNVU92650134/index.html

JVN#78862034 BookStack におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN78862034/index.html

徹底解説　ネットワークスイッチ

進化するPoEや統合管理機能

Part3 動向を知る

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091500144/091500003/?ST=nxt_thmit_security

徹底解説　ネットワークスイッチ

レイヤーや機能・役割で分類

Part2 種類を学ぶ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091500144/091500002/?ST=nxt_thmit_security

徹底解説　ネットワークスイッチ

MACアドレスで転送先を判断

Part1 仕組みを理解する

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091500144/091500001/?ST=nxt_thmit_security

登録: 投稿 (Atom)