2022年12月29日木曜日

29日 木曜日、赤口

+ パニック注意:Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221228/
CVE-2022-47939
CVE-2022-47940
CVE-2022-47942
CVE-2022-47938
CVE-2022-47941

JVNVU#90679513 富士電機製V-SFTおよびTELLUSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90679513/index.html

JVNVU#92811888 富士電機製V-Serverにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92811888/index.html

日経NETWORK 特別リポート
スパイも驚く「Wi-Peep」の正体
防犯カメラや警備員の場所をドローンで特定
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121900060/?ST=nxt_thmit_security

NEWS close-up
フィッシングに悪用される国内ブランドが明らかに
全世界で「au」が7位にランキング ccTLDとの一致が原因の可能性
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900196/?ST=nxt_thmit_security

NEWS close-up
ディープフェイクを見破る新手法
「恐竜の鳴き声を再現する手法」を応用 99.9%の精度で偽物音声を判別
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900195/?ST=nxt_thmit_security

2022年アクセスランキング
[ITセキュリティ]国内の病院を襲ったランサムウエア、マイナカード関連も上位に
https://xtech.nikkei.com/atcl/nxt/column/18/02293/00012/?ST=nxt_thmit_security

徹底理解「TLS」
過去に遡る情報窃取を阻止、TLS 1.3が重視する「前方秘匿性」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900004/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
ネットに接続していないPCから情報窃取、低周波の電磁波を壁越しにスマホで傍受
https://xtech.nikkei.com/atcl/nxt/column/18/00676/122000123/?ST=nxt_thmit_security

ソフトバンクから営業秘密の持ち出し、被告側は東京地裁判決を不服として控訴
https://xtech.nikkei.com/atcl/nxt/news/18/14391/?ST=nxt_thmit_security

2022年12月27日火曜日

27日 火曜日、仏滅

NEWS close-up
病院を襲ったランサムウエア攻撃の真相
委託事業者のデータセンター経由で感染拡大 2023年1月の完全復旧を目指す
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900194/?ST=nxt_thmit_security

徹底理解「TLS」
100種類以上あった「暗号スイート」をたった5種類に、TLS 1.3が互換性を捨てたワケ
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900003/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
無線LANのフルノシステムズで個人情報流出か、50倍増のアクセス数で判明
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100196/?ST=nxt_thmit_security

富士通の法人向けネット回線サービス「FENICS」に不正アクセス、TKCなど被害
https://xtech.nikkei.com/atcl/nxt/news/18/14389/?ST=nxt_thmit_security

2022年12月26日月曜日

26日 月曜日、先負

piyokangoの月刊システムトラブル
ノートンが銀行アプリを「警告」再インストールを呼びかけ
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121900046/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
OP25B
[第10回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121900010/?ST=nxt_thmit_security

Books
インサイドWindows、起動処理の理解はトラブル診断の第一歩
ついに完結した「インサイドWindows」第7版の要点[13]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00289/?ST=nxt_thmit_security

徹底理解「TLS」
10年ぶりに登場した新版のTLS 1.3、「ハンドシェイク」を省略できる理由
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900002/?ST=nxt_thmit_security

あと3年使うぞ!Windows 10
古いWindows 10パソコンがもったいない、Windows 11から自由に操作する方法
https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800015/?ST=nxt_thmit_security

JVNVU#96679793 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU96679793/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
http://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#95032760 Priva製TopControl Suiteにおける強度が不十分なパスワードハッシュの使用の脆弱性
http://jvn.jp/vu/JVNVU95032760/index.html

JVNVU#99558552 Rockwell Automation製Studio 5000 Logix Emulateにおける不適切なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU99558552/index.html

2022年12月23日金曜日

23日 金曜日、赤口

+ Dovecot v2.3.20 released
https://dovecot.org/pipermail/dovecot-news/2022-December/000479.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
http://jvn.jp/vu/JVNVU96883262/index.html

徹底理解「TLS」
セキュリティープロトコル「TLS」の古いバージョンが使用禁止に、なぜ危ないのか
https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900001/?ST=nxt_thmit_security

2022年12月22日木曜日

22日 木曜日、先負

+ CVE-2022-43552: HTTP Proxy deny use-after-free
https://curl.se/docs/CVE-2022-43552.html
CVE-2022-43552

+ CVE-2022-43551: Another HSTS bypass via IDN
https://curl.se/docs/CVE-2022-43551.html
CVE-2022-43551

+ Mozilla Foundation Security Advisory 2022-54 Security Vulnerabilities fixed in Thunderbird 102.6.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/
CVE-2022-46874

+ ISC BIND 9.18.10, 9.16.36 released
https://downloads.isc.org/isc/bind9/9.18.10/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.36/doc/arm/html/notes.html

ニュース&リポート
尼崎市は発注者の義務を果たしたか USB紛失事案の報告書を読み解く
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300819/?ST=nxt_thmit_security

ニュース&リポート
富士フイルムが本気のゼロトラスト EDRとSIEMに続き、SASEも導入予定
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300824/?ST=nxt_thmit_security

ニュース&リポート
大阪の病院がランサムウエア被害 不正ログインの横展開に注意
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300821/?ST=nxt_thmit_security

JVNVU#93317778 ARC Informatique製PcVueにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93317778/index.html

JVNVU#90957471 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90957471/index.html

JVNVU#97518052 複数のRockwell Automation製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97518052/index.html

JVNVU#90162908 Delta Electronics製4G Router DX-3021におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU90162908/index.html

JVN#29902403 Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性
http://jvn.jp/jp/JVN29902403/index.html

JVN#43561812 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における Unicode 制御文字の扱いに関する脆弱性
http://jvn.jp/jp/JVN43561812/index.html

libksbaの脆弱性(CVE-2022-47629)
https://security.sios.jp/vulnerability/libksba-security-vulnerability-20221222/

2022年12月21日水曜日

21日 水曜日、友引

+ Gpg4win 4.1.0 released
https://www.gpg4win.org/change-history.html

+ Mozilla Thunderbird 102.6.1 released
https://www.thunderbird.net/en-US/thunderbird/102.6.1/releasenotes/

+ UPDATE: Integer Overflow in LibKSBA / GnuPG
https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

2022年12月20日火曜日

20日 火曜日、先勝

UPDATE: JVN#13075438 コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
http://jvn.jp/jp/JVN13075438/index.html

JVNVU#92689335 オムロン製CX-Driveにおける解放済みメモリ使用(use-after-free)の脆弱性
http://jvn.jp/vu/JVNVU92689335/index.html

JVN#06093462 Zenphoto におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN06093462/index.html

piyokangoの週刊システムトラブル
子会社でランサムウエア被害の加賀電子、拠点データを使って10日ほどでほぼ復旧
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100195/?ST=nxt_thmit_security

ニュース解説
データ復旧費用や契約のトラブル回避へ、5団体がベンダーチェックシートを公開
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07521/?ST=nxt_thmit_security

2022年12月19日月曜日

19日 月曜日、赤口

+ RHSA-2022:9079 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9079
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9072
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:9073
CVE-2021-44531
CVE-2021-44532
CVE-2021-44533
CVE-2021-44906
CVE-2022-3517
CVE-2022-21824
CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9067
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update
https://access.redhat.com/errata/RHSA-2022:9058
CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9080
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ Mozilla Firefox 108.0.1 released
https://www.mozilla.org/en-US/firefox/108.0.1/releasenotes/

+ VMSA-2022-0034 VMware vRealize Operations (vROps) updates address privilege escalation vulnerabilities (CVE-2022-31707, CVE-2022-31708)
https://www.vmware.com/security/advisories/VMSA-2022-0034.html
CVE-2022-31707
CVE-2022-31708

UPDATE: JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96195138/index.html

キーワード
プリハイジャック攻撃(Pre-hijacking Attacks)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/121200130/?ST=nxt_thmit_security

木村岳史の極言暴論!
BIPROGYの報告書もザルだった、尼崎市「泥酔USB紛失事件」はこれで幕引きか
https://xtech.nikkei.com/atcl/nxt/column/18/00148/121600263/?ST=nxt_thmit_security

佐野正弘が斬る!ニュースなアプリの裏側
iPhoneやAndroid端末が採用する「パスキー」、パスワードレス認証普及の課題とは
https://xtech.nikkei.com/atcl/nxt/column/18/00086/00240/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Emotetは何度も復活する 「コンテンツの有効化」なしで感染
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

mod_auth_openidcの脆弱性(Moderate: CVE-2022-23527)
https://security.sios.jp/vulnerability/mod-auth-openidc-security-vulnerability-20221217/

2022年12月16日金曜日

16日 金曜日、先負

+ RHSA-2022:9079 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9079
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9072
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:9073
CVE-2021-44531
CVE-2021-44532
CVE-2021-44533
CVE-2021-44906
CVE-2022-3517
CVE-2022-21824
CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update
https://access.redhat.com/errata/RHSA-2022:9067
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update
https://access.redhat.com/errata/RHSA-2022:9058
CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2022:9080
CVE-2022-45414
CVE-2022-46872
CVE-2022-46874
CVE-2022-46878
CVE-2022-46880
CVE-2022-46881
CVE-2022-46882

+ X.orgに複数の脆弱性(Important: CVE-2022-4283, CVE-2022-46340, CVE-2022-46343, CVE-2022-46344)
https://security.sios.jp/vulnerability/xorg-security-vulnerability-20221216/
CVE-2022-4283
CVE-2022-46340
CVE-2022-46343
CVE-2022-46344

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92877622/index.html

JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96195138/index.html

JVN#96321933 電子入札コアシステムにおける複数の脆弱性
http://jvn.jp/jp/JVN96321933/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Emotetは何度も復活する 「コンテンツの有効化」なしで感染
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

2022年12月15日木曜日

15日 木曜日、友引

+ RHSA-2022:8958 Important: bcel security update
https://access.redhat.com/errata/RHSA-2022:8958
CVE-2022-42920

+ About the security content of iCloud for Windows 14.1
https://support.apple.com/ja-jp/HT213538
CVE-2022-46693
CVE-2022-46698

+ About the security content of Safari 16.2
https://support.apple.com/ja-jp/HT213537
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856

+ About the security content of macOS Monterey 12.6.2
https://support.apple.com/ja-jp/HT213533
CVE-2022-42854
CVE-2022-42821
CVE-2022-32942
CVE-2022-42861
CVE-2022-42864
CVE-2022-46689
CVE-2022-42845
CVE-2022-42842
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42855
CVE-2022-42841

+ About the security content of macOS Big Sur 11.7.2
https://support.apple.com/ja-jp/HT213534
CVE-2022-42821
CVE-2022-32942
CVE-2022-42864
CVE-2022-46689
CVE-2022-42845
CVE-2022-42842
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42841

+ About the security content of tvOS 16.2
https://support.apple.com/ja-jp/HT213535
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42848
CVE-2022-46693
CVE-2022-42851
CVE-2022-42864
CVE-2022-46690
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42845
CVE-2022-40303
CVE-2022-40304
CVE-2022-42855
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856

+ About the security content of watchOS 9.2
https://support.apple.com/ja-jp/HT213536
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42859
CVE-2022-46693
CVE-2022-42864
CVE-2022-46690
CVE-2022-42837
CVE-2022-46689
CVE-2022-42842
CVE-2022-42845
CVE-2022-40303
CVE-2022-40304
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863

+ About the security content of iOS 15.7.2 and iPadOS 15.7.2
https://support.apple.com/ja-jp/HT213531
CVE-2022-46694
CVE-2022-42848
CVE-2022-42861
CVE-2022-42846
CVE-2022-42864
CVE-2022-42837
CVE-2022-46689
CVE-2022-40303
CVE-2022-40304
CVE-2022-42840
CVE-2022-42855
CVE-2022-46695
CVE-2022-46691
CVE-2022-42852
CVE-2022-46692
CVE-2022-46700
CVE-2022-42856

+ About the security content of iOS 16.2 and iPadOS 16.2
https://support.apple.com/ja-jp/HT213530
CVE-2022-42843
CVE-2022-46694
CVE-2022-42865
CVE-2022-42848
CVE-2022-42859
CVE-2022-46702
CVE-2022-42850
CVE-2022-42846
CVE-2022-46693
CVE-2022-42851
CVE-2022-42864
CVE-2022-46690
CVE-2022-42837
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42861
CVE-2022-42844
CVE-2022-42845
CVE-2022-32943
CVE-2022-42840
CVE-2022-42855
CVE-2022-42862
CVE-2022-46695
CVE-2022-42849
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863

+ About the security content of macOS Ventura 13.1
https://support.apple.com/ja-jp/HT213532
CVE-2022-42843
CVE-2022-42847
CVE-2022-42865
CVE-2022-42854
CVE-2022-42853
CVE-2022-42859
CVE-2022-32942
CVE-2022-46693
CVE-2022-42864
CVE-2022-46690
CVE-2022-46697
CVE-2022-42837
CVE-2022-46689
CVE-2022-46701
CVE-2022-42842
CVE-2022-42861
CVE-2022-42845
CVE-2022-32943
CVE-2022-42840
CVE-2022-42855
CVE-2022-42862
CVE-2022-24836
CVE-2022-29181
CVE-2022-46695
CVE-2022-42866
CVE-2022-42867
CVE-2022-46691
CVE-2022-46692
CVE-2022-42852
CVE-2022-46696
CVE-2022-46700
CVE-2022-46698
CVE-2022-46699
CVE-2022-42863
CVE-2022-42856
CVE-2022-42841

+ JVNVU#96155097 OpenSSLのX.509ポリシー制限における二重ロックの問題
http://jvn.jp/vu/JVNVU96155097/index.html

JVNVU#91561630 Siemens製品に対するアップデート(2022年12月)
http://jvn.jp/vu/JVNVU91561630/index.html

JVNVU#95905213 Schneider Electric製APC Easy UPS Online Monitoring Softwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95905213/index.html

JVNVU#96873821 コンテック製CONPROSYS HMI System (CHS)におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU96873821/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート(2022年10月)
http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#91051134 Siemens 製品に対するアップデート (2021年5月)
http://jvn.jp/vu/JVNVU91051134/index.html

UPDATE: JVNVU#91685542 Siemens 製品に対するアップデート(2021年1月)
http://jvn.jp/vu/JVNVU91685542/index.html

UPDATE: JVNVU#97501786 Siemens 製品に対するアップデート(2020年6月)
http://jvn.jp/vu/JVNVU97501786/index.html

UPDATE: JVNVU#95499848 Siemens 製品に対するアップデート(2020年4月)
http://jvn.jp/vu/JVNVU95499848/index.html

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU95858406/index.html

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU94702422/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97244961/index.html

2022年12月14日水曜日

14日 水曜日、先勝

+ Google Chrome 108.0.5359.124/.125 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_13.html

+ Mozilla Firefox 108.0 released
https://www.mozilla.org/en-US/firefox/108.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-51 Security Vulnerabilities fixed in Firefox 108
https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/
CVE-2022-46871
CVE-2022-46872
CVE-2022-46873
CVE-2022-46874
CVE-2022-46875
CVE-2022-46877
CVE-2022-46878
CVE-2022-46879

+ Mozilla Foundation Security Advisory 2022-53 Security Vulnerabilities fixed in Thunderbird 102.6
https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/
CVE-2022-46880
CVE-2022-46872
CVE-2022-46881
CVE-2022-46874
CVE-2022-46875
CVE-2022-46882
CVE-2022-46878

+ Mozilla Thunderbird 102.6.0 released
https://www.thunderbird.net/en-US/thunderbird/102.6.0/releasenotes/

+ Oracle Critical Patch Update Advisory - October 2022
https://www.oracle.com/security-alerts/cpuoct2022.html

+ VMSA-2022-0033 VMware ESXi, Workstation, and Fusion updates address a heap out-of-bounds write vulnerability (CVE-2022-31705)
https://www.vmware.com/security/advisories/VMSA-2022-0033.html
CVE-2022-31705

+ VMSA-2022-0032 VMware Workspace ONE Access and Identity Manager updates address multiple vulnerabilities (CVE-2022-31700, CVE-2022-31701).
https://www.vmware.com/security/advisories/VMSA-2022-0032.html
CVE-2022-31700
CVE-2022-31701

+ VMSA-2022-0031 VMware vRealize Network Insight (vRNI) updates address command injection and directory traversal security vulnerabilities (CVE-2022-31702, CVE-2022-31703)
https://www.vmware.com/security/advisories/VMSA-2022-0031.html
CVE-2022-31702
CVE-2022-31703

+ OpenSSL Security Advisory [13 December 2022]
https://www.openssl.org/news/secadv/20221213.txt
CVE-2022-3996

+ UPDATE: JVNVU#96381485 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU96381485/index.html

+ UPDATE: JVNVU#94306894 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU94306894/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
http://jvn.jp/vu/JVNVU90813125/index.html

+ UPDATE: JVNVU#99602154 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU99602154/index.html

+ JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性
http://jvn.jp/vu/JVNVU96768815/index.html

+ UPDATE: JVNVU#99612123 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU99612123/index.html

+ UPDATE: JVNVU#97014415 Apache Tomcat に対するアップデート
http://jvn.jp/vu/JVNVU97014415/index.html

+ UPDATE: JVNVU#96136392 Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU96136392/index.html

+ UPDATE: JVNVU#94251682 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU94251682/index.html

+ UPDATE: JVNVU#97307781 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU97307781/index.html

+ UPDATE: JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU92184689/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3996)と新バージョン(3.0.8)
https://security.sios.jp/vulnerability/openssl-security-vulnerability-20221214/
CVE-2022-3996

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU95858406/index.html

JVN#60211811 Redmine におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN60211811/index.html

UPDATE: JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92327282/index.html

UPDATE: JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU98487886/index.html

ニュース解説
iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07497/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
1億ドルの身代金を1年半で強奪、全米が警戒する「Hiveランサムウエア」が怖い理由
https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700122/?ST=nxt_thmit_security

ランサムウエア被害の大阪の病院、電子カルテ一部復旧で新規外来も12月下旬再開へ
https://xtech.nikkei.com/atcl/nxt/news/18/14304/?ST=nxt_thmit_security

2022年12月13日火曜日

13日 火曜日、赤口

Books
インサイドWindows、仮想化ベースのセキュリティー「VBS」
ついに完結した「インサイドWindows」第7版の要点[8]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00259/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
有明コロシアムの図面などが流出か、都立スポーツ施設の工事業者にサイバー攻撃
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100194/?ST=nxt_thmit_security

尼崎市USB紛失でBIPROGYも調査報告書、「役職員のコンプライアンス意識が低い」
https://xtech.nikkei.com/atcl/nxt/news/18/14302/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センターで電子カルテが再稼働
https://xtech.nikkei.com/atcl/nxt/news/18/14296/?ST=nxt_thmit_security

2022年12月12日月曜日

12日 月曜日、大安

+ VMSA-2022-0030 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31696, CVE-2022-31697, CVE-2022-31698, CVE-2022-31699)
https://www.vmware.com/security/advisories/VMSA-2022-0030.html
CVE-2022-31696
CVE-2022-31697
CVE-2022-31698
CVE-2022-31699

+ Apache Tomcat 10.1.4 Released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.4_(markt)

+ PHP 8.2.0 released
https://www.php.net/ChangeLog-8.php#8.2.0

木村岳史の極言暴論!
尼崎市「泥酔USB紛失事件」のてんまつ、こんなひどい報告書を読んだのは初めてだ
https://xtech.nikkei.com/atcl/nxt/column/18/00148/120800261/?ST=nxt_thmit_security

楽天モバイル元社員に有罪判決、ソフトバンクから基地局情報などの持ち出しで
https://xtech.nikkei.com/atcl/nxt/news/18/14292/?ST=nxt_thmit_security

業績とサイバー防御力に相関関係、サイバーセキュリティクラウドが調査
https://xtech.nikkei.com/atcl/nxt/news/18/14284/?ST=nxt_thmit_security

JVNVU#92856810 Advantech製iViewにおけるSQLインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92856810/index.html

JVNVU#99843134 AVEVA製InTouch Access Anywhereにおける相対パストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU99843134/index.html

JVNVU#95644791 Rockwell Automation製Logixコントローラにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU95644791/index.html

JVNVU#97099584 バッファロー製ネットワーク機器における複数の脆弱性
http://jvn.jp/vu/JVNVU97099584/index.html

Buildahの脆弱性(Moderate: CVE-2022-4122, Low: CVE-2022-4123)
https://security.sios.jp/vulnerability/buildah-security-vulnerability-20221212/

2022年12月9日金曜日

9日 金曜日、友引

+ RHSA-2022:8900 Important: grub2 security update
https://access.redhat.com/errata/RHSA-2022:8900
CVE-2022-28733

+ containerdの脆弱性(Moderate: CVE-2022-23471)と新バージョン(1.5.16, 1.6.12)
https://security.sios.jp/vulnerability/containerd-security-vulnerability-20221209/
CVE-2022-23471

3分でわかる必修ワード IT
アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは
プリハイジャック攻撃(Pre-hijacking Attacks)
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/112200216/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
選管職員の7割が選挙DXに期待、インターネット投票には根強い懸念やリスク
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120700003/?ST=nxt_thmit_security

金沢西病院が不正アクセス被害を公表、電子カルテが一部閲覧できず
https://xtech.nikkei.com/atcl/nxt/news/18/14283/?ST=nxt_thmit_security

FacebookのVIP特別待遇に「重大な疑義」、監督委員会が是正勧告
https://xtech.nikkei.com/atcl/nxt/news/18/14279/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
マイナンバーカード取得の「実質義務化」はありか?法学者がマイナンバー制度を議論
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月8日木曜日

8日 木曜日、先勝

+ RHSA-2022:8880 Moderate: java-1.8.0-ibm security update
https://access.redhat.com/errata/RHSA-2022:8880
CVE-2022-21619
CVE-2022-21624
CVE-2022-21626
CVE-2022-21628

+ RHSA-2022:8850 Moderate: Red Hat OpenStack Platform 16.2.4 (python-ujson) security update
https://access.redhat.com/errata/RHSA-2022:8850
CVE-2022-31116
CVE-2022-31117

+ Google Chrome 108.0.5359.98/.99 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_7.html

+ Wireshark 4.0.2, 3.6.10 released
https://www.wireshark.org/docs/relnotes/wireshark-4.0.2.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.10.html

情報ネットワーク法学会第22回研究大会リポート
マイナンバーカード取得の「実質義務化」はありか?法学者がマイナンバー制度を議論
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月7日水曜日

7日 水曜日、赤口

+ RHSA-2022:8799 Important: pki-core security update
https://access.redhat.com/errata/RHSA-2022:8799
CVE-2022-2414

+ RHSA-2022:8833 Moderate: nodejs:18 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8833
CVE-2022-3517
CVE-2022-43548

+ RHSA-2022:8832 Moderate: nodejs:18 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2022:8832
CVE-2022-3517
CVE-2022-43548

+ FreeBSD 12.4-RELEASE released
https://www.freebsd.org/releases/12.4R/relnotes/

+ Linux Kernelの脆弱性(Moderate: CVE-2022-4127, CVE-2022-4128, CVE-2022-4129)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221207/
CVE-2022-4127
CVE-2022-4128
CVE-2022-4129

+ VMware vCenter vScalation Privilege Escalation
https://cxsecurity.com/issue/WLB-2022120013

Books
インサイドWindows、「メモリマネージャー」が果たす2つの役割
ついに完結した「インサイドWindows」第7版の要点[6]
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00242/?ST=nxt_thmit_security

デジタルライフ節約術
100円均一ショップで買える、要注目のデジタル節約グッズを写真で紹介
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700005/?ST=nxt_thmit_security

あと3年使うぞ!Windows 10
Windows 10が見違える速さに!パソコンの無駄を省いてスッキリ
https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800002/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート
自社のランサムウエア被害が取引先に悪影響、損害賠償請求リスクはあるか
https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600001/?ST=nxt_thmit_security

ニュース解説
フィッシングで狙われたブランド世界7位は「au」、あの国のドメインが影響か
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07458/?ST=nxt_thmit_security

2022年12月6日火曜日

6日 火曜日、大安

+ Zabbix 6.2.6, 6.0.12 released
https://www.zabbix.com/rn/rn6.2.6
https://www.zabbix.com/rn/rn6.0.12

+ Apache Tomcat 9.0.70 Released
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.70_(remm)

デジタルライフ節約術
Amazonでのトラブルのもと、粗悪品や不審な販売業者を見分けるワザ
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700004/?ST=nxt_thmit_security

ニュース解説
半年で10万台にEDR導入、富士フイルムが挑む本気のゼロトラスト
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07452/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
奈良県の委託業者が「グループアドレス」を誤って公開、新型コロナ関連の個人情報流出
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100193/?ST=nxt_thmit_security

快適メールクライアント利用術
誤字・脱字防止から攻撃メール対策まで、覚えておきたいメールテクニック
https://xtech.nikkei.com/atcl/nxt/column/18/02275/120100003/?ST=nxt_thmit_security

JVNVU#93526386 コンテック製SolarView Compactにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU93526386/index.html

2022年12月5日月曜日

5日 月曜日、仏滅

+ Google Chrome 108.0.5359.94/.95 released
https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

+ ProFTPD 1.3.8, 1.3.7f released
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.7f

JVNVU#99552838 BD製BodyGuardにおけるハードウェアインターフェイスに対する保護機構の欠如の脆弱性
http://jvn.jp/vu/JVNVU99552838/index.html

JVNVU#93417785 Horner Automation製Remote Compact Controller 972における複数の脆弱性
http://jvn.jp/vu/JVNVU93417785/index.html

JVNVU#91952379 複数のオムロン製 PLC における複数の脆弱性
http://jvn.jp/vu/JVNVU91952379/index.html

フォーカス
マイナカードは便利か? 鍵を握るのは「JPKI」
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400132/?ST=nxt_thmit_security

デジタルライフ節約術
大型セールやプライム会員を有効活用、Amazonの賢い使い方
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700003/?ST=nxt_thmit_security

ニュース解説
「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07453/?ST=nxt_thmit_security

2022年12月2日金曜日

2日 金曜日、先勝

+ CESA-2022:8560 Important CentOS 7 hsqldb Security Update
https://lwn.net/Articles/916425/

+ CESA-2022:8640 Important CentOS 7 krb5 Security Update
https://lwn.net/Articles/916426/

+ CESA-2022:7186 Important CentOS 7 device-mapper-multipath Security Update
https://lwn.net/Articles/916423/

+ CESA-2022:8491 Important CentOS 7 xorg-x11-server Security Update
https://lwn.net/Articles/916428/

+ CESA-2022:8552 Important CentOS 7 firefox Security Update
https://lwn.net/Articles/916424/

+ CESA-2022:8555 Important CentOS 7 thunderbird Security Update
https://lwn.net/Articles/916427/

JVNVU#94514762 ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94514762/index.html

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91847599/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
防犯カメラの位置をWi-Fiで特定 スパイも驚く「Wi-Peep」の正体
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112400096/?ST=nxt_thmit_security

マルウエア徹底解剖
「YARA」で理解するシグネチャー
[第37回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111700038/?ST=nxt_thmit_security

デジタルライフ節約術
サブスクやスマホの有料オプション、無駄な固定費を見直そう
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700002/?ST=nxt_thmit_security

Books
コストと効果から考えるランサムウエア対策の優先順位
ランサムウエアから会社を守る(4)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00250/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか
ブロックチェーン上のトークンは「証券」なのか、最新の米判決にみる日米の違い
https://xtech.nikkei.com/atcl/nxt/column/18/02132/112800010/?ST=nxt_thmit_security

快適メールクライアント利用術
いつものPCが使えないときはWebメール、まさかのときに役立つ事前セットアップ
https://xtech.nikkei.com/atcl/nxt/column/18/02275/113000002/?ST=nxt_thmit_security

2022年12月1日木曜日

1日 木曜日、赤口

+ Mozilla Foundation Security Advisory 2022-50 Security Vulnerabilities fixed in Thunderbird 102.5.1
https://www.mozilla.org/en-US/security/advisories/mfsa2022-50/
CVE-2022-45414

+ Mozilla Thunderbird 102.5.1 released
https://www.thunderbird.net/en-US/thunderbird/102.5.1/releasenotes/

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91847599/index.html

JVNVU#95076777 Moxa製UCシリーズにおける不適切な物理アクセス制御の脆弱性
http://jvn.jp/vu/JVNVU95076777/index.html

SASE」を読み解く
得意分野がタイプで異なる アクセス制御の設定に注意
Part3 導入時の課題
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600003/?ST=nxt_thmit_security

SASE」を読み解く
危険なサイトやマルウエアを遮断 状態に応じて動的に制御
Part2 中核3技術の動作
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600002/?ST=nxt_thmit_security

SASE」を読み解く
拠点や端末を総合的に守る 「ゼロトラスト」でも活躍
Part1 求められる役割
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600001/?ST=nxt_thmit_security

Books
敵を知って臨め!ランサムウエア被害からの復旧手順
ランサムウエアから会社を守る(3)
https://xtech.nikkei.com/atcl/nxt/column/18/01687/00249/?ST=nxt_thmit_security

デジタルライフ節約術
押し寄せる物価上昇の波、デジタル節約術で乗り越えよう
https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700001/?ST=nxt_thmit_security

ニュース解説
大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意
https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?ST=nxt_thmit_security

快適メールクライアント利用術
メールクライアントに不満があるなら乗り換え検討、お薦めのアプリを紹介
https://xtech.nikkei.com/atcl/nxt/column/18/02275/112800001/?ST=nxt_thmit_security

NECがゲートレス生体認証システム、1分当たり100人の認証で混雑を抑制へ
https://xtech.nikkei.com/atcl/nxt/news/18/14230/?ST=nxt_thmit_security