2023年12月28日木曜日

28日 木曜日、友引

2023年アクセスランキング
[ITセキュリティー]生成AIの活用と悪用に注目集まる、しかし1位は衝撃のあの記事
勝村 幸博 日経クロステック
https://xtech.nikkei.com/atcl/nxt/column/18/02671/113000003/?ST=nxt_thmit_security

2023年12月27日水曜日

27日 水曜日、先勝

JVNTA#95077890 SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
https://jvn.jp/ta/JVNTA95077890/index.html

JVN#32646742 PowerCMS における複数の脆弱性
https://jvn.jp/jp/JVN32646742/index.html

JVN#23771490 バッファロー製 VR-S1000 における複数の脆弱性
https://jvn.jp/jp/JVN23771490/index.html

日経NETWORK 特別リポート
ずさんで危険なパスワード管理の実態
100万件の大規模Webサイト調査で見えた
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121800072/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
Wi-Fi 7規格ローンチ間近の今だから振り返る、意外に大きな変化をもたらしたWi-Fi 6
https://xtech.nikkei.com/atcl/nxt/column/18/02598/121900004/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第3回
内部不正対策はサイバー攻撃対策より難しい、基本の「5カ条」を徹底する
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100002/?ST=nxt_thmit_security

2023年12月26日火曜日

26日 火曜日、赤口

+ SMTP実装の脆弱性(SMTP Smuggling)
https://security.sios.jp/vulnerability/misc-security-vulnerability-20231225/
CVE-2023-51764

NEWS close-up
Googleが迷惑メール対策を強化
「Gmail」にメールを送れなくなる恐れ DMARC未対応では済まされない時代に
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121800231/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第2回
内部不正対策の鍵は2つの「隔離」、教訓生かし守り固めるベネッセ
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
健康管理アプリのアクセス障害で過去の記録を確認できなくなった意外な理由
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500246/?ST=nxt_thmit_security

2023年12月25日月曜日

25日 月曜日、大安

+ Apache OpenOffice 4.1.15 is released!
https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.15+Release+Notes

+ Postfix 3.8.4, 3.7.9, 3.6.13, 3.5.23 released
https://www.postfix.org/announcements/postfix-3.8.4.html
https://www.postfix.org/announcements/postfix-3.7.9.html
https://www.postfix.org/announcements/postfix-3.6.13.html
https://www.postfix.org/announcements/postfix-3.5.23.html

+ Glibc Tunables Privilege Escalation
https://cxsecurity.com/issue/WLB-2023120043
CVE-2023-4911

piyokangoの月刊システムトラブル
QRコードから不正サイトに誘導 学習院大学やいなげやで
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121800058/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
ファイアウオールの負荷分散
[第22回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121800023/?ST=nxt_thmit_security

ニュース解説
ランサムウエアでの業務停止に現行BCPで対応可能? 120組織がサイバー演習に挑む
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08742/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第1回
止まらない内部不正、NTTグループ「USBメモリー全面禁止」の真意
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100003/?ST=nxt_thmit_security

紀伊国屋書店でサイバー攻撃による不正アクセス被害、最大約1万件の個人情報漏洩か
https://xtech.nikkei.com/atcl/nxt/news/18/16484/?ST=nxt_thmit_security

エイチームの個人情報漏洩は93万人以上に影響、Googleドライブの閲覧範囲を誤設定
https://xtech.nikkei.com/atcl/nxt/news/18/16481/?ST=nxt_thmit_security

JVNVU#96089700 QNAP製VioStor NVRにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96089700/index.html

JVNVU#97943829 ブラザー製iPrint&Scan Desktop for Windowsにおけるファイルアクセス時のリンク解釈が不適切な脆弱性
https://jvn.jp/vu/JVNVU97943829/index.html

JVNVU#92152057 FXC製無線LANルータ「AE1021PE」および「AE1021」におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92152057/index.html

2023年12月22日金曜日

22日 金曜日、友引

+ Service Disruptions Affecting Confluence
https://confluence.status.atlassian.com/incidents/klb0j5wyycq9

+ PHP 8.3.1, 8.2.14, 8.1.27 released
https://www.php.net/ChangeLog-8.php#8.3.1
https://www.php.net/ChangeLog-8.php#8.2.14
https://www.php.net/ChangeLog-8.php#8.1.27

+ UPDATE: JVNVU#91213144 OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU91213144/index.html

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第3回
ルーター/UTM部門はヤマハとフォーティネットに栄冠、前回から首位を維持
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500003/?ST=nxt_thmit_security

スキミング被害や入力前の名刺情報漏えいも報告対象、個情委が規則改正
https://xtech.nikkei.com/atcl/nxt/news/18/16475/?ST=nxt_thmit_security

ニュース解説
独自調査
69社のメルマガを緊急調査、Gmailの厳しい要件はどれだけクリアできているのか
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08744/?ST=nxt_thmit_security

2023年12月21日木曜日

21日 木曜日、先勝

+ Google Chrome 120.0.6099.129/130 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

+ ISC BIND 9.18.21 released
https://downloads.isc.org/isc/bind9/9.18.21/doc/arm/html/notes.html

+ ProFTPD 1.3.8b released
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8b

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第2回
無線LAN部門もシスコが1位、大規模ユーザーからの人気を博す
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500002/?ST=nxt_thmit_security

ニュース解説
JCBがローコード開発ツール導入、「BYOK」対応が採用を後押し
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08736/?ST=nxt_thmit_security

JVNVU#92617675 Subnet Solutions Inc.製PowerSYSTEM Centerにおける引用符で囲まれていない検索パスの脆弱性
https://jvn.jp/vu/JVNVU92617675/index.html

JVNVU#94591712 EFACEC製BCU 500およびUC 500Eにおける複数の脆弱性
https://jvn.jp/vu/JVNVU94591712/index.html

JVNVU#92156020 Open Design Alliance製Drawing SDKにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92156020/index.html

JVNVU#96286477 EuroTel製ETL3100における複数の脆弱性
https://jvn.jp/vu/JVNVU96286477/index.html

JVNVU#95344542 Johnson Controls製の複数のビルディングオートメーション製品におけるリソースの枯渇の脆弱性
https://jvn.jp/vu/JVNVU95344542/index.html

2023年12月20日水曜日

20日 水曜日、赤口

+ Some sites are not loading requests pending Approvals on the customer portal
https://jira-service-management.status.atlassian.com/incidents/m551d1mvgp5w

+ RHSA-2023:7876 Moderate: opensc security update
https://access.redhat.com/errata/RHSA-2023:7876
CVE-2023-40660
CVE-2023-40661

+ RHSA-2023:7877 Low: openssl security update
https://access.redhat.com/errata/RHSA-2023:7877
CVE-2023-3446
CVE-2023-3817
CVE-2023-5678

+ Safari 17.2.1, iOS 17.2.1, iOS 16.7.4 and iPadOS 16.7.4 released
https://support.apple.com/en-us/HT201222

+ Mozilla Firefox 121.0 released
https://www.mozilla.org/en-US/firefox/121.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-56 Security Vulnerabilities fixed in Firefox 121
https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/
CVE-2023-6856
CVE-2023-6135
CVE-2023-6865
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6866
CVE-2023-6860
CVE-2023-6867
CVE-2023-6861
CVE-2023-6868
CVE-2023-6869
CVE-2023-6870
CVE-2023-6871
CVE-2023-6872
CVE-2023-6863
CVE-2023-6864
CVE-2023-6873

+ Mozilla Thunderbird 115.6.0 released
https://www.thunderbird.net/en-US/thunderbird/115.6.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-55 Security Vulnerabilities fixed in Thunderbird 115.6
https://www.mozilla.org/en-US/security/advisories/mfsa2023-55/
CVE-2023-50762
CVE-2023-50761
CVE-2023-6856
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6860
CVE-2023-6861
CVE-2023-6862
CVE-2023-6863
CVE-2023-6864

+ FreeBSD-SA-23:19.openssh Prefix Truncation Attack in the SSH protocol
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:19.openssh.asc
CVE-2023-48795

日経コンピュータ「ITが危ない」
Gmailへメール送信不能の恐れ 迷惑メール対策強化の衝撃
「SPF」「DKIM」「DMARC」への対応確認を
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/121200124/?ST=nxt_thmit_security

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第1回
シスコがスイッチ部門でシェア首位独占、僅差で迫るバッファロー
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500001/?ST=nxt_thmit_security

2023年12月19日火曜日

19日 火曜日、大安

+ Atlassian's cross product user search service is currently degraded.
https://jira-service-management.status.atlassian.com/incidents/tngzbprb76xp
https://confluence.status.atlassian.com/incidents/k6vcx7tk8f7h

+ PuTTY 0.80 released
https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.80.html

+ OpenSSH 9.6/9.6p1 released
https://www.openssh.com/releasenotes.html#9.6p1

Celebrating Two Decades of Innovation with Apache Log4j
https://logging.apache.org/blog/2023/12/18/20-years-of-innovation.html

piyokangoの週刊システムトラブル
顧客への特例対応で障害発生のクラスメソッド、「ポストモーテム」を公開
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500245/?ST=nxt_thmit_security

ニュース解説
犯罪集団が自ら生成AIを開発、NTTデータが明かす2023年のサイバー攻撃実態
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08728/?ST=nxt_thmit_security

マルミミ受託のシステムに不正アクセス、千葉県の施設で個人情報流出
https://xtech.nikkei.com/atcl/nxt/news/18/16455/?ST=nxt_thmit_security

18日 月曜日、仏滅

+ Sudo 1.9.15p4 released
https://www.sudo.ws/releases/stable/#1.9.15p4

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりに SNSの書き込みで個人を割り出す
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/121200123/?ST=nxt_thmit_security

JVNVU#91654304 Cambium Networks製ePMP Force 300-25におけるコードインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91654304/index.html

JVNVU#91399683 Kantech Gen1 ioSmartカードリーダーにおける有効期間後のメモリ解放の欠如の脆弱性
https://jvn.jp/vu/JVNVU91399683/index.html

JVNVU#97015296 Unitronics製VisiLogicにおけるデフォルトの管理パスワード利用の脆弱性
https://jvn.jp/vu/JVNVU97015296/index.html

JVNVU#98271228 Siemens製品に対するアップデート(2023年12月)
https://jvn.jp/vu/JVNVU98271228/index.html

JVNVU#90214301 複数の Philips 製品に脆弱性
https://jvn.jp/vu/JVNVU90214301/index.html

2023年12月15日金曜日

15日 金曜日、先勝

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりに SNSの書き込みで個人を割り出す
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/121200123/?ST=nxt_thmit_security

JVNVU#97876221 WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
https://jvn.jp/vu/JVNVU97876221/index.html

JVNVU#92303821 Schneider Electric製Easy UPS Online Monitoring Softwareにおけるパストラバーサルの脆弱性
https://jvn.jp/vu/JVNVU92303821/index.html

2023年12月14日木曜日

14日 木曜日、赤口

+ Google Chrome 120.0.6099.109/110 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_12.html

+ Zabbix 6.4.10, 6.0.25 released
https://www.zabbix.com/rn/rn6.4.10
https://www.zabbix.com/rn/rn6.0.25

+ Sudo 1.9.15p3 released
https://www.sudo.ws/releases/stable/#1.9.15p3

ニュース解説
グーグルがメール送信者に求める厳しい要件、「ワンクリック登録解除」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08712/?ST=nxt_thmit_security

LANケーブルのディープな世界
第4回
屋外・海底で光ケーブルをどう敷くか、圧縮空気で数キロ先まで敷設する工法も
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700004/?ST=nxt_thmit_security

ニュース解説
2024年は「OT」がサイバー攻撃の標的に、セキュリティー業界の重鎮が予測
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08703/?ST=nxt_thmit_security

JVN#18715935 GROWI における複数の脆弱性
https://jvn.jp/jp/JVN18715935/index.html

JVNVU#98271228 Siemens製品に対するアップデート(2023年12月)
https://jvn.jp/vu/JVNVU98271228/index.html

UPDATE: JVNVU#96269392 Siemens 製品に対するアップデート (2021年4月)
https://jvn.jp/vu/JVNVU96269392/index.html

UPDATE: JVNVU#93441670 Siemens 製品に対するアップデート (2021年3月) 
https://jvn.jp/vu/JVNVU93441670/index.html

2023年12月13日水曜日

13日 水曜日、大安

+ RHSA-2023:7732 Important: tracker-miners security update
https://access.redhat.com/errata/RHSA-2023:7732
CVE-2023-5557

+ RHSA-2023:7716 Important: webkit2gtk3 security update
https://access.redhat.com/errata/RHSA-2023:7716
CVE-2023-42917

+ RHSA-2023:7714 Important: postgresql:12 security update
https://access.redhat.com/errata/RHSA-2023:7714
CVE-2023-5868
CVE-2023-5869
CVE-2023-5870
CVE-2023-39417

+ Mozilla Thunderbird 115.5.2 released
https://www.thunderbird.net/en-US/thunderbird/115.5.2/releasenotes/

+ 2023 年 12 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/12/202312-security-update/

+ VMSA-2023-0027 VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064)
https://www.vmware.com/security/advisories/VMSA-2023-0027.html
CVE-2023-34064

+ Apache Tomcat 10.1.17, 9.0.84, 8.5.97 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.17_(schultz)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.84_(remm)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.97_(schultz)

+ FreeBSD-SA-23:18.nfsclient NFS client data corruption and kernel memory disclosure
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:18.nfsclient.asc
CVE-2023-6660

勝村幸博の「今日も誰かが狙われる」
今後も続くサイバー攻撃者の生成AI活用、事例に見る「あなたもこうしてだまされる」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700156/?ST=nxt_thmit_security

LANケーブルのディープな世界
第3回
LANケーブルの敷き方にもトレンドがある、人気の「ジャック-プラグ」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700003/?ST=nxt_thmit_security

生成AIの安全な利用を可能に、ラックが導入支援サービスを提供開始
https://xtech.nikkei.com/atcl/nxt/news/18/16430/?ST=nxt_thmit_security

JVNVU#97499577 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97499577/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
https://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#90984676 UEFI実装に組み込まれた画像処理ライブラリにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90984676/index.html

2023年12月12日火曜日

12日 火曜日、先負

+ About the security content of Safari 17.2
https://support.apple.com/ja-jp/HT214039
CVE-2023-42890
CVE-2023-42883

+ About the security content of iOS 17.2 and iPadOS 17.2
https://support.apple.com/ja-jp/HT214035
CVE-2023-42919
CVE-2023-42884
CVE-2023-45866
CVE-2023-42927
CVE-2023-42922
CVE-2023-42898
CVE-2023-42899
CVE-2023-42914
CVE-2023-42923
CVE-2023-42897
CVE-2023-42890
CVE-2023-42883

+ About the security content of iOS 16.7.3 and iPadOS 16.7.3
https://support.apple.com/ja-jp/HT214034
CVE-2023-42919
CVE-2023-42884
CVE-2023-42922
CVE-2023-42899
CVE-2023-42914
CVE-2023-42883
CVE-2023-42917
CVE-2023-42916

+ About the security content of macOS Sonoma 14.2
https://support.apple.com/ja-jp/HT214036
CVE-2023-42874
CVE-2023-42919
CVE-2023-42894
CVE-2023-42901
CVE-2023-42902
CVE-2023-42912
CVE-2023-42903
CVE-2023-42904
CVE-2023-42905
CVE-2023-42906
CVE-2023-42907
CVE-2023-42908
CVE-2023-42909
CVE-2023-42910
CVE-2023-42911
CVE-2023-42926
CVE-2023-42882
CVE-2023-42924
CVE-2023-42884
CVE-2023-45866
CVE-2023-42900
CVE-2023-42886
CVE-2023-42927
CVE-2023-42922
CVE-2023-42898
CVE-2023-42899
CVE-2023-42891
CVE-2023-42914
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
CVE-2023-42842
CVE-2023-42932
CVE-2023-5344
CVE-2023-42890
CVE-2023-42883

+ About the security content of macOS Ventura 13.6.3
https://support.apple.com/ja-jp/HT214038

+ About the security content of macOS Monterey 12.7.2
https://support.apple.com/ja-jp/HT214037

+ About the security content of tvOS 17.2
https://support.apple.com/ja-jp/HT214040

+ About the security content of watchOS 10.2
https://support.apple.com/ja-jp/HT214041

JVN#34145838 ジェイテクトエレクトロニクス製 HMI GC-A2シリーズにおける複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN34145838/index.html

LANケーブルのディープな世界
第2回
知られざるLANケーブルの製造工程、導線の「より」が最も難しい
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
相次ぐ不正アクセス、BlackCatランサムウエア感染の中嶋製作所はメールで脅迫届く
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500244/?ST=nxt_thmit_security

2023年12月11日月曜日

11日 月曜日、友引

+ JVNVU#96961218 Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)
http://jvn.jp/vu/JVNVU96961218/index.html
CVE-2023-50164

JVNVU#95535841 Schweitzer Engineering Laboratories製SEL-411Lにおけるレンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限の脆弱性
http://jvn.jp/vu/JVNVU95535841/index.html

JVNVU#95344542 Johnson Controls製の複数のビルディングオートメーション製品におけるリソースの枯渇の脆弱性
http://jvn.jp/vu/JVNVU95344542/index.html

JVNVU#93319242 複数のControlByWeb製Relay製品におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU93319242/index.html

JVNVU#95714039 Sierra Wireless製AirLinkにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95714039/index.html

JVNVU#98954443 Edgecross 基本ソフトウェア Windows版における複数の脆弱性
http://jvn.jp/vu/JVNVU98954443/index.html

佐野正弘が斬る!ニュースなアプリの裏側
個人情報に関する問題を繰り返すLINEヤフー、根底にある要因は何なのか
https://xtech.nikkei.com/atcl/nxt/column/18/00086/00289/?ST=nxt_thmit_security

LANケーブルのディープな世界
第1回
金や鉄ではなぜ駄目なのか、LANケーブルの素材が銅であるワケ
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700001/?ST=nxt_thmit_security

2023年12月8日金曜日

8日 金曜日、大安

+ Squid 6.6 released
http://www.squid-cache.org/Versions/v6/squid-6.6-RELEASENOTES.html#ss1.2

+ S2-066 File upload logic is flawed, and allows an attacker to enable paths with traversals
https://cwiki.apache.org/confluence/display/WW/S2-066
CVE-2023-50164

+ Apache Struts 6.3.0.2, 2.5.33 released
https://struts.apache.org/announce-2023#a20231207-1
https://struts.apache.org/announce-2023#a20231207-2

+ Strutsの脆弱性(Critical: CVE-2023-50164)
https://security.sios.jp/vulnerability/struts-security-vulnerability-20231207/
CVE-2023-50164

クラウドに潜むネットワークの落とし穴
第5回
クラウド料金「最安値」を導くスキルを身につける、経路次第で差は4倍にも
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100005/?ST=nxt_thmit_security

ITが危ない
「Gmail」にメールを送れなくなる恐れ、グーグルによる迷惑メール対策強化の衝撃
https://xtech.nikkei.com/atcl/nxt/column/18/00989/120500134/?ST=nxt_thmit_security

UPDATE: JVNVU#93344744 Intel製品に複数の脆弱性(2022年5月)
http://jvn.jp/vu/JVNVU93344744/index.html

2023年12月7日木曜日

7日 木曜日、仏滅

+ HSTS long file name clears contents
https://curl.se/docs/CVE-2023-46219.html
CVE-2023-46219

+ cookie mixed case PSL bypass
https://curl.se/docs/CVE-2023-46218.html
CVE-2023-46218

+ Google Chrome 120.0.6099.71 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_6.html

+ PostgreSQL JDBC Driver 42.7.1 released
https://jdbc.postgresql.org/changelogs/2023-12-06-42.7.1-release/

VU#811862 Image files in UEFI can be abused to modify boot behavior
https://www.kb.cert.org/vuls/id/811862

JVNVU#97256167 複数のCODESYS Control製品におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU97256167/index.html

JVNVU#92256814 Zebra Technologies製ZTCプリンターにおける代替パスまたはチャネルを使用した認証回避の脆弱性
http://jvn.jp/vu/JVNVU92256814/index.html

JVNVU#92152057 FXC製無線LANルータ「AE1021PE」および「AE1021」におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92152057/index.html

ニュース&リポート
非AD環境のNASが利用不能に? NTLM認証廃止の波紋
ワークグループ環境のユーザーは移行の検討を
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/112800993/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第4回
クラウドの大規模活用に落とし穴、突き進むと大がかりな見直しを迫られかねない
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100004/?ST=nxt_thmit_security

記者の眼
阪神ファンの記者がアレの余韻に浸ったパレード、歓喜の裏で思うクラファンの難しさ
https://xtech.nikkei.com/atcl/nxt/column/18/00138/113001421/?ST=nxt_thmit_security

2023年12月6日水曜日

6日 水曜日、先負

+ Google Chrome 120.0.6099.62/.63 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop.html

+ FreeBSD-SA-23:17.pf TCP spoofing vulnerability in pf(4)
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:17.pf.asc
CVE-2023-6534

クラウドセキュリティー総点検
クラウドセキュリティー総点検
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/112800391/112800001/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第3回
「オンプレのネットワーク構成をクラウドへまるっと移行」はお勧めできない
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100003/?ST=nxt_thmit_security

ニュース解説
サイバー安全保障に特化した人材育成団体が発足、NTTなど5社が参加し能力認証
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08686/?ST=nxt_thmit_security

UPDATE: JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

2023年12月5日火曜日

5日 火曜日、友引

+ Egress connectivity timing out
https://jira-service-management.status.atlassian.com/incidents/j41gny4gbjzl
https://confluence.status.atlassian.com/incidents/fyt32n9vrd17

+ PHP8: php-curl-RCE-Privilage-Escalation
https://cxsecurity.com/issue/WLB-2023120006

マルウエア徹底解剖
脅威をHTMLに隠して「密輸」
[第48回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111600049/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第2回
社内ネットワークとクラウドをつなぐ経路に「落とし穴」、点検したい3つの要所
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100002/?ST=nxt_thmit_security

ニュース解説
C言語ソフトに潜むバッファオーバーフロー攻撃を排除、Codasipが新RISC-Vコア
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08681/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
日本学術振興会が8月に続き11月も個人情報漏洩を発表、Proselfの脆弱性悪用される
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500243/?ST=nxt_thmit_security

「d払い」の障害復旧、クレジットカード支払いのユーザーに影響
https://xtech.nikkei.com/atcl/nxt/news/18/16383/?ST=nxt_thmit_security

広島大学病院のシステム障害、原因は電子カルテシステムのネットワーク機器不具合
https://xtech.nikkei.com/atcl/nxt/news/18/16380/?ST=nxt_thmit_security

JVN#46895889 楽々Document Plus におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN46895889/index.html

2023年12月4日月曜日

4日 月曜日、先勝

+ Some customers aren't receiving email notification when exporting users from User Management
https://confluence.status.atlassian.com/incidents/gcgbls55354c
https://jira-service-management.status.atlassian.com/incidents/rq44y073qdt6

+ Create Component button is missing on some sites
https://jira-service-management.status.atlassian.com/incidents/wjs1m9szqmqv

+ Zabbix 6.4.9, 6.0.24, 5.0.40 released
https://www.zabbix.com/rn/rn6.4.9
https://www.zabbix.com/rn/rn6.0.24
https://www.zabbix.com/rn/rn5.0.40

+ UPDATE: VMSA-2023-0026.1 VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
https://www.vmware.com/security/advisories/VMSA-2023-0026.html

+ Upgrade to Apache Commons Logging 1.3.0
https://logging.apache.org/blog/2023/12/02/apache-common-logging-1.3.0.html

フォーカス
さよならパスワード 導入進む「パスキー」
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400162/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」
ランサム被害でログまで暗号化 約3日で復旧も感染経路特定できず
名古屋港運協会
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/112900145/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第1回
「暗黙のルーター」って何? ネットワーク技術者も必修のクラウド基礎知識
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100001/?ST=nxt_thmit_security

東京海上日動が自賠責保険システムでも情報漏洩か、代理店120店が管理する顧客情報で
https://xtech.nikkei.com/atcl/nxt/news/18/16375/?ST=nxt_thmit_security

JVNVU#97684988 Delta Electronics製DOPSoftにおけるスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97684988/index.html

JVNVU#95489204 複数のPTC製Kepware製品における複数の脆弱性
http://jvn.jp/vu/JVNVU95489204/index.html

JVNVU#95177889 横河電機製STARDOMにおけるリソース枯渇の脆弱性
http://jvn.jp/vu/JVNVU95177889/index.html

JVN#45891816 Ruckus Access Point におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN45891816/index.html

JVNVU#93383160 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるファイル名やパス名の外部制御に関する脆弱性
http://jvn.jp/vu/JVNVU93383160/index.html

2023年12月1日金曜日

1日 金曜日、仏滅

+ Forge Function Invocations outage impacting Smartlinks
https://jira-service-management.status.atlassian.com/incidents/ts43b5ysc25l
https://confluence.status.atlassian.com/incidents/4f5c61c1z6qv

+ About the security content of Safari 17.1.2
https://support.apple.com/ja-jp/HT214033
CVE-2023-42916
CVE-2023-42917

+ About the security content of iOS 17.1.2 and iPadOS 17.1.2
https://support.apple.com/ja-jp/HT214031
CVE-2023-42916
CVE-2023-42917

+ About the security content of macOS Sonoma 14.1.2
https://support.apple.com/ja-jp/HT214032
CVE-2023-42916
CVE-2023-42917

+ Google Chrome 120.0.6099.56 released
https://chromereleases.googleblog.com/2023/11/early-stable-update-for-desktop.html

+ Mozilla Firefox 120.0.1 released
https://www.mozilla.org/en-US/firefox/120.0.1/releasenotes/

+ Apache PDFBox 3.0.1 released
https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353552

+ JVNVU#96182160 Apache Tomcatにおけるリクエストスマグリングの脆弱性
http://jvn.jp/vu/JVNVU96182160/index.html

JVNVU#93383160 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるファイル名やパス名の外部制御に関する脆弱性
http://jvn.jp/vu/JVNVU93383160/index.html

JVNVU#99358007 Delta Electronics製InfraSuite Device Masterにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99358007/index.html

JVNVU#91897450 Franklin Electric Fueling Systems製FFS Colibriにおけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU91897450/index.html

JVNVU#99370831 BD製FACSChorusにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99370831/index.html

JVNVU#98760962 三菱電機製GX Works2のシミュレーション機能における不適切なパケット処理の脆弱性
http://jvn.jp/vu/JVNVU98760962/index.html

専門家に聞くビギナーズクエスチョン
「パスキー」って何?
[今回の回答者]NTTドコモ チーフセキュリティアーキテクト FIDOアライアンス 執行評議会・ボードメンバー 森山 光一
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/111600076/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
なぜ詐欺師に電話をかけるのか 「サポート詐欺」の巧みな手口
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112700121/?ST=nxt_thmit_security

動かないコンピュータ
名古屋港のランサム被害、約3日で復旧もログまで暗号化され感染経路はいまだ不明
https://xtech.nikkei.com/atcl/nxt/column/18/01157/112900099/?ST=nxt_thmit_security

Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
https://xtech.nikkei.com/atcl/nxt/news/18/16368/?ST=nxt_thmit_security

積水ハウスが顧客情報漏洩、BIPROGYの設定不備が原因
https://xtech.nikkei.com/atcl/nxt/news/18/16362/?ST=nxt_thmit_security

JAXAが不正アクセス受けた恐れ、ネットワーク機器の脆弱性悪用か
https://xtech.nikkei.com/atcl/nxt/news/18/16355/?ST=nxt_thmit_security

ownCloudの脆弱性(Critical: CVE-2023-49103, CVE-2023-49104, High: CVE-2023-49105)
https://security.sios.jp/vulnerability/owncloud-security-vulnerability-20231129/

2023年11月29日水曜日

29日 水曜日、友引

+ Elevated errors in the analytics services
https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

+ RHSA-2023:7554 Important: kpatch-patch security update
https://access.redhat.com/errata/RHSA-2023:7554
CVE-2023-2163
CVE-2023-3812
CVE-2023-5178

+ Google Chrome 119.0.6045.199/.200, 118.0.5993.159 released
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_28.html

+ Mozilla Thunderbird 115.5.1 released
https://www.thunderbird.net/en-US/thunderbird/115.5.1/releasenotes/

+ Apache Tomcat の脆弱性(Important: CVE-2023-46589)
https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20231129/
CVE-2023-46589

■b.root-servers.net(B-Root)のIPアドレス変更に伴う設定変更について
https://jprs.jp/tech/notice/2023-11-28-b.root-servers.net-ip-address-change.html

日経NETWORK 特別リポート
GPU進化でパスワード解読が加速
旧システムは保存方法の見直しを
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111600071/?ST=nxt_thmit_security

NEWS close-up
楽天が「security.txt」を導入
公開サーバーに置くテキストファイル なぜセキュリティー向上に役立つのか
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700230/?ST=nxt_thmit_security

ニュース解説
中部電力系が制御システムの資産管理を刷新、脱Excelでサイバーリスクに備える
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08646/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態
https://xtech.nikkei.com/atcl/nxt/column/18/00676/112600155/?ST=nxt_thmit_security

2023年11月28日火曜日

28日 火曜日、先勝

+ Elevated errors in the analytics services
https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

NEWS close-up
NTT西子会社で900万件の顧客情報流出
ずさんだったセキュリティーやガバナンス 内部不正が起こる「要件満たす」
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111600228/?ST=nxt_thmit_security

当事者が語る! トラブルからの脱出
ネットワークにつながらない 監視カメラからUDP増幅攻撃
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/111600071/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
泉北高速鉄道子会社の不正アクセス、実は故障で「情報の漏洩はありません」
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500242/?ST=nxt_thmit_security

LINEヤフーが40万件超の個人情報流出、マルウエア感染から不正アクセス被害
https://xtech.nikkei.com/atcl/nxt/news/18/16340/?ST=nxt_thmit_security

2023年11月27日月曜日

27日 月曜日、赤口

+ Apache POI 5.2.5 available
https://poi.apache.org/changes.html#5.2.5

JVNVU#98496793 Rockwell Automation製Stratix 5800およびStratix 5200における複数の脆弱性
http://jvn.jp/vu/JVNVU98496793/index.html

JVNVU#97193440 複数のKeysight Technologies製品における信頼できないデータのデシリアライゼーションの脆弱性
http://jvn.jp/vu/JVNVU97193440/index.html

piyokangoの月刊システムトラブル
ETC利用照会に不正アクセス メールの「@より前」利用か
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111600057/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
インターネットの根幹支えるDNS、「つくづく面倒なプロトコル」と言わざるを得ない
https://xtech.nikkei.com/atcl/nxt/column/18/02598/111700003/?ST=nxt_thmit_security

ソニーとAP通信がカメラ内デジタル署名技術を実証実験、フェイク画像の拡散抑制へ
https://xtech.nikkei.com/atcl/nxt/news/18/16336/?ST=nxt_thmit_security

個情委がデータガバナンスの組織事例公開、法務との連携でITの「攻守」盤石に
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08654/?ST=nxt_thmit_security

2023年11月24日金曜日

24日 金曜日、先負

+ Notification emails sent with @unknown mentions
https://confluence.status.atlassian.com/incidents/4shmsb4dhnmk

+ Intermittent issues with Confluence Editor
https://confluence.status.atlassian.com/incidents/7bcjq3jqppb0

+ Rocky Linux 8.9 Available Now
https://rockylinux.org/news/rocky-linux-8-9-ga-release/

+  OpenSSL 3.2.0 released
https://www.openssl.org/blog/blog/2023/11/23/OpenSSL32/

+ PHP 8.3.0, 8.2.13, 8.1.26 released
https://www.php.net/ChangeLog-8.php#8.3.0
https://www.php.net/ChangeLog-8.php#8.2.13
https://www.php.net/ChangeLog-8.php#8.1.26

大阪急性期・総合医療センターがシスコのネットワーク監視ツールを導入
https://xtech.nikkei.com/atcl/nxt/news/18/16327/?ST=nxt_thmit_security

ヤマハがL2スイッチ新製品4機種、多数の高速ポートを搭載
https://xtech.nikkei.com/atcl/nxt/news/18/16325/?ST=nxt_thmit_security

JVNVU#98886797 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98886797/index.html

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性
http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#96020889 複数のWAGO製品における別領域リソースに対する外部からの制御可能な参照の脆弱性
http://jvn.jp/vu/JVNVU96020889/index.html

2023年11月22日水曜日

22日 水曜日、先勝

+ Announcing AlmaLinux 8.9 Stable!
https://almalinux.org/blog/2023-11-21-announcing-89-stable/

+ Mozilla Firefox 120.0 released
https://www.mozilla.org/en-US/firefox/120.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-49 Security Vulnerabilities fixed in Firefox 120
https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/
CVE-2023-6204
CVE-2023-6205
CVE-2023-6206
CVE-2023-6207
CVE-2023-6208
CVE-2023-6209
CVE-2023-6210
CVE-2023-6211
CVE-2023-6212
CVE-2023-6213

+ Mozilla Foundation Security Advisory 2023-52 Security Vulnerabilities fixed in Thunderbird 115.5.0
https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/
CVE-2023-6204
CVE-2023-6205
CVE-2023-6206
CVE-2023-6207
CVE-2023-6208
CVE-2023-6209
CVE-2023-6212

+ Mozilla Thunderbird 115.5.0 released
https://www.thunderbird.net/en-US/thunderbird/115.5.0/releasenotes/

ゼロトラストに欠かせないIDガバナンスの勘所
第3回
IDガバナンスのシステム構築は4通り、何を基準に選ぶべきか
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600003/?ST=nxt_thmit_security

JVNVU#98760962 三菱電機製GX Works2のシミュレーション機能における不適切なパケット処理の脆弱性
http://jvn.jp/vu/JVNVU98760962/index.html

JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

2023年11月21日火曜日

21日 火曜日、赤口

+ Rocky Linux 9.3 Available Now
https://rockylinux.org/news/rocky-linux-9-3-ga-release/

+ FreeBSD 14.0-RELEASE Announcement
https://www.freebsd.org/releases/14.0R/announce/
https://www.freebsd.org/releases/14.0R/relnotes/
https://www.freebsd.org/releases/14.0R/errata/

+ PostgreSQL JDBC Driver 42.7.0 released
https://jdbc.postgresql.org/changelogs/2023-11-20-42.7.0-release/

GCC devroom at FOSDEM 2024: Call for Participation open
https://inbox.sourceware.org/gcc/36fadb0549c3dca716eb3b923d66a11be2c67a61.camel@redhat.com/

JVN#15005948 LuxCal Web Calendar における複数の脆弱性
http://jvn.jp/jp/JVN15005948/index.html

日経コンピュータ「ITが危ない」
新型コロナ対策「負の遺産」 独自ドメインの流出に注意
使い終わったドメインは「塩漬け」に
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/111300122/?ST=nxt_thmit_security

データは語る
45.1%がルール違反を監視してない クラウド事業者を調査
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/111000160/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所
第2回
ポイントは「ロール」と「利用権限」、IDガバナンスの実践法
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600002/?ST=nxt_thmit_security

記者の眼
「ファイアウオール入れた」とは話が違う、実態つかめぬゼロトラストの導入状況
https://xtech.nikkei.com/atcl/nxt/column/18/00138/111601411/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
「0.1秒」以内の複数ログインで他方の情報を表示、クラウド請求書INVOYで発生
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500241/?ST=nxt_thmit_security

CTCがシステム運用を効率化するクラウドサービス、オブザーバビリティーを強化
https://xtech.nikkei.com/atcl/nxt/news/18/16315/?ST=nxt_thmit_security

2023年11月20日月曜日

20日 月曜日、大安

+ RHSA-2023:7277 Important: open-vm-tools security update
https://access.redhat.com/errata/RHSA-2023:7277
CVE-2023-34058
CVE-2023-34059

+ RHSA-2023:7265 Important: open-vm-tools security update
https://access.redhat.com/errata/RHSA-2023:7265
CVE-2023-34058
CVE-2023-34059

+ RHSA-2023:7257 Moderate: dotnet6.0 security update
https://access.redhat.com/errata/RHSA-2023:7257
CVE-2023-36049
CVE-2023-36558

キーワード
CSPM(Cloud Security Posture Management)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/111000155/?ST=nxt_thmit_security

ケーススタディー
3万4千人の認証・認可基盤を刷新 多様な利用者を統制し利便性向上
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/110800144/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所
第1回
ゼロトラストに「IDガバナンス」が不可欠である理由
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600001/?ST=nxt_thmit_security

先端技術ニュースプラス
「IoT機器踏み台攻撃が増加中」、Keysightが脆弱性検査ツール
「EdgeTech+ 2023」開催
https://xtech.nikkei.com/atcl/nxt/column/18/01537/00991/?ST=nxt_thmit_security

JVNVU#93704294 Red Lion製SixTRAKおよびVersaTRAKシリーズのRTUにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93704294/index.html

JVNVU#98954968 CLUSTERPRO Xにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98954968/index.html

JVNVU#94195279 Hitachi Energy製MACH System Softwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94195279/index.html

JVN#22220399 CubeCart における複数の脆弱性
http://jvn.jp/jp/JVN22220399/index.html

JVN#13618065 Redmine におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN13618065/index.html

JVNVU#92598492 Siemens製品に対するアップデート(2023年11月)
http://jvn.jp/vu/JVNVU92598492/index.html

2023年11月17日金曜日

17日 金曜日、友引

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
史上最大のDDoS攻撃 あえてクラウド大手を狙う理由
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/110800120/?ST=nxt_thmit_security

国内企業の56.8%が過去3年間でサイバー攻撃を経験、トレンドマイクロ調査
https://xtech.nikkei.com/atcl/nxt/news/18/16263/?ST=nxt_thmit_security

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性
http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#99077347 ファースト製DVRにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99077347/index.html

2023年11月16日木曜日

16日 木曜日、先勝

+ Mozilla Thunderbird 115.4.3 released
https://www.thunderbird.net/en-US/thunderbird/115.4.3/releasenotes/

+ Wireshark 4.2.0, 4.0.11, 3.6.19 released
https://www.wireshark.org/docs/relnotes/wireshark-4.2.0.html
https://www.wireshark.org/docs/relnotes/wireshark-4.0.11.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.19.html

+ ISC BIND 9.18.20, 9.16.45 released
https://downloads.isc.org/isc/bind9/9.18.20/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.45/doc/arm/html/notes.html

+ Apache Tomcat 9.0.83 Released
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.83_(remm)

JVNVU#93840158 富士電機製複数製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93840158/index.html

JVNVU#96399390 Intel製品に複数の脆弱性(2023年11月)
http://jvn.jp/vu/JVNVU96399390/index.html

JVNVU#92598492 Siemens製品に対するアップデート(2023年11月)
http://jvn.jp/vu/JVNVU92598492/index.html

JVN#48057522 Inkdrop におけるコードインジェクションの脆弱性
http://jvn.jp/jp/JVN48057522/index.html

JVNVU#93965614 複数のAVEVA製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93965614/index.html

JVNVU#99774191 複数のRockwell Automation製品における不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU99774191/index.html

JVNVU#96079387 ASUSTeK COMPUTER製RT-AC87Uにおける不適切なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU96079387/index.html

2023年11月15日水曜日

15日 水曜日、赤口

+ RHSA-2023:7213 Critical: squid:4 security update
https://access.redhat.com/errata/RHSA-2023:7213
CVE-2023-46846
CVE-2023-46847

+ RHSA-2023:7077 Important: kernel security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2023:7077
CVE-2021-43975
CVE-2022-3594
CVE-2022-3640
CVE-2022-4744
CVE-2022-28388
CVE-2022-38457
CVE-2022-40133
CVE-2022-40982
CVE-2022-42895
CVE-2022-45869
CVE-2022-45887
CVE-2023-0458
CVE-2023-0590
CVE-2023-0597
CVE-2023-1073
CVE-2023-1074
CVE-2023-1075
CVE-2023-1079
CVE-2023-1118
CVE-2023-1206
CVE-2023-1252
CVE-2023-1382
CVE-2023-1855
CVE-2023-1989
CVE-2023-1998
CVE-2023-2513
CVE-2023-3141
CVE-2023-3161
CVE-2023-3212
CVE-2023-3268
CVE-2023-3609
CVE-2023-3611
CVE-2023-3772
CVE-2023-4128
CVE-2023-4132
CVE-2023-4155
CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4732
CVE-2023-23455
CVE-2023-26545
CVE-2023-28328
CVE-2023-28772
CVE-2023-30456
CVE-2023-31084
CVE-2023-31436
CVE-2023-33203
CVE-2023-33951
CVE-2023-33952
CVE-2023-35823
CVE-2023-35824
CVE-2023-35825

+ RHSA-2023:7065 Moderate: tomcat security and bug fix update
https://access.redhat.com/errata/RHSA-2023:7065
CVE-2023-24998
CVE-2023-28708
CVE-2023-28709

+ Google Chrome 119.0.6045.159/.160, 118.0.5993.144 released
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_14.html

+ 2023 年 11 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/11/202311-security-update/

+ VMSA-2023-0026 VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060)
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
CVE-2023-34060

+ Apache Tomcat 10.1.16, 8.5.96 Released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.16_(schultz)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.94_(schultz)

+ Intel CPUの脆弱性(Reptar: CVE-2023-23583)
https://security.sios.jp/vulnerability/misc-security-vulnerability-20231115/
CVE-2023-23583

JVNVU#94119876 エレコム製およびロジテック製ルーターにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94119876/index.html

JVNVU#91630351 エレコム製およびロジテック製ネットワーク機器における複数の脆弱性
http://jvn.jp/vu/JVNVU91630351/index.html

JVN#67822421 OSS Calendar における SQL インジェクションの脆弱性
http://jvn.jp/jp/JVN67822421/index.html

勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりを務める、SNSの書き込みから個人が特定される脅威
https://xtech.nikkei.com/atcl/nxt/column/18/00676/110900153/?ST=nxt_thmit_security

プライバシーマーク審査関連資料が漏洩、JIPDECが再発防止策を発表
https://xtech.nikkei.com/atcl/nxt/news/18/16284/?ST=nxt_thmit_security

2023年11月14日火曜日

14日 火曜日、大安

piyokangoの週刊システムトラブル
正規のQRコードから不正サイトに誘導されるトラブル続く、学習院大学やいなげやで
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500240/?ST=nxt_thmit_security

JVN#96209256 プリザンターにおける複数の脆弱性
http://jvn.jp/jp/JVN96209256/index.html

JVN#17806703 Cisco Firepower Management Center Software における複数の脆弱性
http://jvn.jp/jp/JVN17806703/index.html

2023年11月13日月曜日

13日 月曜日、仏滅

+ squidの脆弱性(Critical:CVE-2023-5824, CVE-2023-46846, CVE-2023-46847, High: CVE-2023-46724, CVE-2023-46848)
https://security.sios.jp/vulnerability/squid-security-vulnerability-20231110/
CVE-2023-5824
CVE-2023-4684
CVE-2023-46847
CVE-2023-46724
CVE-2023-46848

+ Linux Kernelの脆弱性(Important: CVE-2023-5178)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20231110/
CVE-2023-5178

ニュース解説
ユーザー名とパスワードが正しいのにNASが利用不能に、NTLM認証廃止の波紋
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08610/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
7割超のフィッシングはDMARCで止める、すり抜けたメールにも多層防御で対抗
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110900008/?ST=nxt_thmit_security

JVNVU#98040889 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性(2023年11月)
http://jvn.jp/vu/JVNVU98040889/index.html

JVNVU#95461779 Johnson Controls製Quantum HD Unityにおける有効なままのデバッグ機能の脆弱性
http://jvn.jp/vu/JVNVU95461779/index.html

JVNVU#90814029 Hitachi Energy製eSOMSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90814029/index.html

JVNVU#93840158 富士電機製複数製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93840158/index.html

JVN#99177549 HOTELDRUID におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN99177549/index.html

JVN#86156389 Remarshal における YAML エイリアスノードの展開処理に関する脆弱性
http://jvn.jp/jp/JVN86156389/index.html

SSHログインにGoogle Authenticatorを使用する
https://security.sios.jp/security/ssh_google_authenticator/

2023年11月10日金曜日

10日 金曜日、大安

+ FreeBSD-SA-23:16.cap_net Incorrect libcap_net limitation list manipulation
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:16.cap_net.asc
CVE-2023-5978

+ FreeBSD-SA-23:15.libc libc stdio buffer overflow
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:15.stdio.asc
CVE-2023-5941

+ PostgreSQL 16.1, 15.5, 14.10, 13.13, 12.17, and 11.22 Released!
https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/
https://www.postgresql.org/docs/16/release-16-1.html
https://www.postgresql.org/docs/15/release-15-5.html
https://www.postgresql.org/docs/14/release-14-10.html
https://www.postgresql.org/docs/13/release-13-13.html
https://www.postgresql.org/docs/12/release-12-17.html

+ Sudo 1.9.15p2 released
https://www.sudo.ws/releases/stable/#1.9.15p2

+ JVNVU#99711420 OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題(Security Advisory [6th November 2023])
http://jvn.jp/vu/JVNVU99711420/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2023-5678)
https://security.sios.jp/vulnerability/openssl-security-vulnerability-20231109/
CVE-2023-5678

ゼロトラストを支える技術2023
セキュリティー運用をAIで高度化、「SIEM」「SOAR」の仕組み
https://xtech.nikkei.com/atcl/nxt/column/18/02417/110800012/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
詐欺メールを減らす「送信ドメイン認証」、運用時の3大つまずきポイントと対策
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110300005/?ST=nxt_thmit_security

JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94434051/index.html

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性
http://jvn.jp/vu/JVNVU91988072/index.html

2023年11月9日木曜日

9日 木曜日、仏滅

+ HOT-106056 Atlassian Intelligence functionally completely down
https://jira-service-management.status.atlassian.com/incidents/wcxjlxlm3bc6
https://confluence.status.atlassian.com/incidents/jyhhxhzp51yf

+ RHSA-2023:6818 Important: Satellite 6.14 security and bug fix update
https://access.redhat.com/errata/RHSA-2023:6818
CVE-2022-0759
CVE-2022-1292
CVE-2022-2068
CVE-2022-3644
CVE-2022-3874
CVE-2022-4130
CVE-2022-40899
CVE-2022-41717
CVE-2022-44566
CVE-2022-44570
CVE-2022-44571
CVE-2022-44572
CVE-2022-46648
CVE-2022-47318
CVE-2023-0118
CVE-2023-0119
CVE-2023-1894
CVE-2023-22792
CVE-2023-22794
CVE-2023-22795
CVE-2023-22796
CVE-2023-22799
CVE-2023-27530
CVE-2023-27539
CVE-2023-29406
CVE-2023-30608
CVE-2023-31047
CVE-2023-32681
CVE-2023-36053
CVE-2023-39325
CVE-2023-40267
CVE-2023-44487

+ Squid 6.5 release notes
http://www.squid-cache.org/Versions/v6/squid-6.5-RELEASENOTES.html

+UPDATE: Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ Sudo 1.9.15p1 released
https://www.sudo.ws/releases/stable/#1.9.15p1

ニュース&リポート
顧客情報900万件持ち出し防げず NTT西子会社のずさんな内部不正対策
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/103100979/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
なりすまし対策の欠点を補うDMARCと、現時点で攻撃者お手上げのBIMI
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110700007/?ST=nxt_thmit_security

編集長の眼
「自信のない」セキュリティー組織、薦めたい1冊の教科書がある
https://xtech.nikkei.com/atcl/nxt/column/18/00139/110700099/?ST=nxt_thmit_security

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性
http://jvn.jp/vu/JVNVU91988072/index.html

2023年11月8日水曜日

8日 水曜日、先負

+ Users unable to access boards, projects and issues in Jira Cloud
https://jira-service-management.status.atlassian.com/incidents/r0csdzyzjr3w


+ Google Chrome 118.0.5993.136 released
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_7.html

+ Mozilla Firefox 119.0.1 released
https://www.mozilla.org/en-US/firefox/119.0.1/releasenotes/

+ Mozilla Thunderbird 115.4.2 released
https://www.thunderbird.net/en-US/thunderbird/115.4.2/releasenotes/

+ OpenSSL Security Advisory [6th November 2023]
https://www.openssl.org/news/secadv/20231106.txt
CVE-2023-5678

JVN#29195731 EC-CUBE 3系および 4系において任意のコードを実行される脆弱性
http://jvn.jp/jp/JVN29195731/index.html

JVNVU#93436992 Red Lion製CrimsonにおけるNullバイトまたはNUL文字の不適切な無害化処理の脆弱性
http://jvn.jp/vu/JVNVU93436992/index.html

JVNVU#93518708 Franklin Electric製T5シリーズにおける強度が不十分なパスワードハッシュの使用の脆弱性
http://jvn.jp/vu/JVNVU93518708/index.html

JVNVU#96908561 Weintek製EasyBuilder Proにおけるハードコードされた認証情報の使用の脆弱性
http://jvn.jp/vu/JVNVU96908561/index.html

JVNVU#94501804 Schneider Electric製SpaceLogic C-Bus Toolkitにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94501804/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ
ゼロトラスト推進の「一丁目一番地」はID基盤整備
https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600002/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
SPFとDKIMをおさらい、IPアドレスとデジタル署名で身元証明
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110600006/?ST=nxt_thmit_security

2023年11月7日火曜日

7日 火曜日、友引

+ Sudo 1.9.15 released
https://www.sudo.ws/releases/stable/#1.9.15

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94620134/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ
クラウド移行がセキュリティー対策強化のチャンスである理由
https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600001/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
ユーザーをだますフィッシングメール、2つの「From」をなぜ偽装できるのか
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
大阪市宛てのメールが届かない障害、原因はセキュリティー機能の過剰反応
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500239/?ST=nxt_thmit_security

2023年11月6日月曜日

6日 月曜日、先勝

+ Jira Automation rules failed when sending out emails
https://jira-service-management.status.atlassian.com/incidents/bvds889xdv0q

+ gawk 5.3.0 released
http://ftp.gnu.org/gnu/gawk/?C=M;O=D

+ Apache PDFBox 2.0.30 released
https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353385

+ VMWare Aria Operations For Networks SSH Private Key Exposure
https://cxsecurity.com/issue/WLB-2023110005
CVE-2023-34039

詐欺メール撲滅大作戦
詐欺メール撲滅にGoogleとYahooも本腰、導入が求められる「送信ドメイン認証」
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100001/?ST=nxt_thmit_security

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94620134/index.html

JVN#14762986 e-Taxソフトにおける XML 外部実体参照 (XXE) に関する脆弱性
http://jvn.jp/jp/JVN14762986/index.html

2023年11月2日木曜日

2日 木曜日、先負

+ UPDATE: Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ Postfix stable release 3.8.3, and legacy releases 3.7.8, 3.6.12, 3.5.22
http://www.postfix.org/announcements/postfix-3.8.3.html

JVN#03447226 スマートフォンアプリ「すかいらーくアプリ」におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN03447226/index.html

JVNVU#96482726 富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)における脆弱性
http://jvn.jp/vu/JVNVU96482726/index.html

JVNVU#99737177 Zavio製IP Cameraにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99737177/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
「使い回し」のアレンジも破られる 高確率でパスワード推測の新手法
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102700119/?ST=nxt_thmit_security

マイクロソフト製品で構築するゼロトラスト
端末からクラウドまで保護、Microsoft Defenderの全体像
https://xtech.nikkei.com/atcl/nxt/column/18/02628/103000003/?ST=nxt_thmit_security

2023年11月1日水曜日

1日 水曜日、友引

+ MantisBT 2.26.0 released
https://mantisbt.org/blog/archives/mantisbt/743

+ Google Chrome 119.0.6045.105/.106 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html

+ Zabbix 6.4.8, 6.0.23 released
https://www.zabbix.com/rn/rn6.4.8
https://www.zabbix.com/rn/rn6.0.23

UPDATE: JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

JVN#94132951 サイボウズ リモートサービスにおけるリソースの枯渇の脆弱性
http://jvn.jp/jp/JVN94132951/index.html

JVNVU#99565391 MCL Technologies製MCL-Netにおけるディレクトリトラバーサルの脆弱性
http://jvn.jp/vu/JVNVU99565391/index.html

勝村幸博の「今日も誰かが狙われる」
なぜ詐欺師に電話をかけてしまうのか、偽の警告で脅す「サポート詐欺」の巧みな手口
https://xtech.nikkei.com/atcl/nxt/column/18/00676/102600152/?ST=nxt_thmit_security

Microsoft製品で構築するゼロトラスト
脱VPNを推進しインターネット利用を保護、進化するMicrosoftのSASE製品群
https://xtech.nikkei.com/atcl/nxt/column/18/02628/102900002/?ST=nxt_thmit_security

2023年10月31日火曜日

31日 火曜日、先勝

+ Zabbix 5.0.39, 4.0.50 released
https://www.zabbix.com/rn/rn5.0.39
https://www.zabbix.com/rn/rn4.0.50

+  VMSA-2023-0024 VMware Tools updates address Local Privilege Escalation and SAML Token Signature Bypass vulnerabilities (CVE-2023-34057, CVE-2023-34058)
https://www.vmware.com/security/advisories/VMSA-2023-0024.html
CVE-2023-34057
CVE-2023-34058

クラウド活用に潜む落とし穴
「どこから出すか」で変わる料金 タグを使って無駄を省く
Part5 従量課金に潜む落とし穴
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800005/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴
接続数の「上限」踏まえた設計を 自由に設定できないルーターにも注意
Part4 大規模な環境に潜む落とし穴
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800004/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴
移行を機にネットワークを再設計 仮想ファイアウオールは「1択」
Part3 クラウドの仕様に潜む落とし穴
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800003/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴
PoCでトラフィック量の目安を知る SaaSに張るセッションを見落とさない
Part2 クラウドにつなぐ準備に潜む落とし穴
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800002/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴
「ネット経由の貸し出し」が浸透 仮想化技術で柔軟さ高める
Part1 クラウドの基礎知識
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800001/?ST=nxt_thmit_security

Microsoft製品で構築するゼロトラスト
Microsoft製品がカバーする、ゼロトラストの6つの基本要素
https://xtech.nikkei.com/atcl/nxt/column/18/02628/102900001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
岡山県が手放したドメインを第三者が取得、注意喚起を出すも県サイトにURL残る
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500238/?ST=nxt_thmit_security

NEWS close-up
LockBit被害の菱機工業がセキュリティー強化へ
苦い教訓を生かしゼロトラストにかじ 次世代ウイルス対策ソフトも導入
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101900227/?ST=nxt_thmit_security

JVN#48057522 Inkdrop におけるコードインジェクションの脆弱性
http://jvn.jp/jp/JVN48057522/index.html

JVNVU#99110526 Dingtian製DT-R002におけるCapture-replayによる認証回避の脆弱性
http://jvn.jp/vu/JVNVU99110526/index.html

JVNVU#95553816 Centralite製Pearl Thermostatにおける制限または調整なしのリソースの割り当ての脆弱性
http://jvn.jp/vu/JVNVU95553816/index.html

JVNVU#97042094 複数のRockwell Automation製品における複数の脆弱性
http://jvn.jp/vu/JVNVU97042094/index.html

JVNVU#90408410 Sielco製PolyEco、Radio LinkおよびAnalog FM Transmitterにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90408410/index.html

2023年10月27日金曜日

27日 金曜日、先負

+ About the security content of iOS 17.1 and iPadOS 17.1
https://support.apple.com/ja-jp/HT213982
CVE-2023-41072
CVE-2023-42857
CVE-2023-40449
CVE-2023-40413
CVE-2023-40416
CVE-2023-40423
CVE-2023-42849
CVE-2023-40408
CVE-2023-42846
CVE-2023-42847
CVE-2023-42845
CVE-2023-42841
CVE-2023-41982
CVE-2023-41997
CVE-2023-41988
CVE-2023-40445
CVE-2023-41254
CVE-2023-40447
CVE-2023-41976
CVE-2023-42852

+ About the security content of iOS 16.7.2 and iPadOS 16.7.2
https://support.apple.com/ja-jp/HT213981

+ About the security content of iOS 15.8 and iPadOS 15.8
https://support.apple.com/ja-jp/HT213990

+ About the security content of macOS Sonoma 14.1
https://support.apple.com/ja-jp/HT213984

+ About the security content of macOS Ventura 13.6.1
https://support.apple.com/ja-jp/HT213985

+ About the security content of macOS Monterey 12.7.1
https://support.apple.com/ja-jp/HT213983

+ About the security content of tvOS 17.1
https://support.apple.com/ja-jp/HT213987

+ About the security content of watchOS 10.1
https://support.apple.com/ja-jp/HT213988

+ About the security content of Safari 17.1
https://support.apple.com/ja-jp/HT213986

+ Mozilla Thunderbird 115.4.1 released
https://www.thunderbird.net/en-US/thunderbird/115.4.1/releasenotes/

+ VMSA-2023-0023 VMware vCenter Server updates address out-of-bounds write and information disclosure vulnerabilities (CVE-2023-34048, CVE-2023-34056)
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
CVE-2023-34048
CVE-2023-34056

+ ClamAV 1.2.1, 1.1.3, 1.0.4, 0.103.11 patch versions published
https://blog.clamav.net/2023/10/clamav-121-113-104-010311-patch.html

+ PHP 8.2.12 released
https://www.php.net/ChangeLog-8.php#8.2.12

+ JVNVU#99631663 OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題(OpenSSL Security Advisory [24th October 2023])
http://jvn.jp/vu/JVNVU99631663/index.html
CVE-2023-5363

NEWS close-up
トリドールがSaaSでゼロトラスト
SSOやMDM、EDRを続々導入 SaaSアカウント管理にiPaaS見据える
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101800226/?ST=nxt_thmit_security

3分でわかる必修ワード IT
人間の能力を過信しない、クラウドの設定ミスから重要データを守る「CSPM」
クラウド・セキュリティー・ポスチャー・マネジメント(Cloud Security Posture Management、CSPM)
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/101300241/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
1単語のように扱われる「TCP/IP」、実はTCPはIPより先に生まれていた
https://xtech.nikkei.com/atcl/nxt/column/18/02598/102000002/?ST=nxt_thmit_security

NEWS close-up
未知の脅威発見にLLMを活用
MicrosoftやGoogleが本腰 CTCは脅威情報を生成AIの学習データに
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101800225/?ST=nxt_thmit_security

ニュース&リポート
住友生命が1万人で生成AI活用 企画作りや調査、文書作成を効率化
1週間かかる作業を1日で完了、成果に手応え
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/101800976/?ST=nxt_thmit_security

ニュース解説
ドコモがコンテナ対応セキュリティー導入、全スキャンで検知漏れ防ぐ
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08558/?ST=nxt_thmit_security

JVNVU#97149791 Advanced Micro Devices製WindowsカーネルドライバーにおけるIOCTLに対する不十分なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU97149791/index.html

JVN#39139884 Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN39139884/index.html

JVNVU#98496793 Rockwell Automation製Stratix 5800およびStratix 5200における権限昇格の問題
http://jvn.jp/vu/JVNVU98496793/index.html

25日 水曜日、先勝

+ Email domain unverified
https://jira-service-management.status.atlassian.com/incidents/jv8rq42647jj

+ Email domain unverified
https://jira-service-management.status.atlassian.com/incidents/8np8669mtvfp

+ Google Chrome 118.0.5993.117/.118 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_24.html

+ Mozilla Firefox 119.0 released
https://www.mozilla.org/en-US/firefox/119.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-45 Security Vulnerabilities fixed in Firefox 119
https://www.mozilla.org/en-US/security/advisories/mfsa2023-45/
CVE-2023-5721
CVE-2023-5722
CVE-2023-5723
CVE-2023-5724
CVE-2023-5725
CVE-2023-5726
CVE-2023-5727
CVE-2023-5728
CVE-2023-5729
CVE-2023-5730
CVE-2023-5731

+ Mozilla Foundation Security Advisory 2023-47 Security Vulnerabilities fixed in Thunderbird 115.4.1
https://www.mozilla.org/en-US/security/advisories/mfsa2023-47/
CVE-2023-5721
CVE-2023-5732
CVE-2023-5724
CVE-2023-5725
CVE-2023-5726
CVE-2023-5727
CVE-2023-5728
CVE-2023-5730

+ OpenSSL Security Advisory [24th October 2023]
https://www.openssl.org/news/secadv/20231024.txt
CVE-2023-5363

+ OpenSSL 3.1.4, 3.0.12 released
https://www.openssl.org/

+ OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)
https://security.sios.jp/vulnerability/openssl-security-vulnreability-20231025/
CVE-2023-5363

日経コンピュータ「ITが危ない」
GPU進化でパスワード解読が加速 旧システムは保存方法の見直しを
「ソルト無し・MD5関数」に要注意
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/101700120/?ST=nxt_thmit_security

ニュース解説
楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08552/?ST=nxt_thmit_security

2023年10月24日火曜日

24日 火曜日、赤口

+ Atlassian Account Invite Issues
https://confluence.status.atlassian.com/incidents/7dfvq5kqlx5n
https://jira-service-management.status.atlassian.com/incidents/9qhcsdgft6x6

+ RHSA-2023:5721 Important: go-toolset:rhel8 security update
https://access.redhat.com/errata/RHSA-2023:5721
CVE-2023-29406
CVE-2023-39325
CVE-2023-44487

+ VMSA-2023-0021 VMware Aria Operations for Logs updates address multiple vulnerabilities. (CVE-2023-34051, CVE-2023-34052)
https://www.vmware.com/security/advisories/VMSA-2023-0021.html
CVE-2023-34051
CVE-2023-34052

JVNVU#95600622 Trusted Computing GroupのTPM2.0実装における複数の脆弱性
http://jvn.jp/vu/JVNVU95600622/index.html

JVNVU#98683567 オムロン製CX-DesignerにおけるXML外部実体参照(XXE)の脆弱性
http://jvn.jp/vu/JVNVU98683567/index.html

JVN#02058996 HP ThinUpdate におけるサーバ証明書の検証不備の脆弱性
http://jvn.jp/jp/JVN02058996/index.html

piyokangoの週刊システムトラブル
オンラインストレージ「RICOH Drive」にXXE脆弱性、個人情報が流出した可能性
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500237/?ST=nxt_thmit_security

位置情報サービス「NauNau」で個人情報が漏洩か、200万人の情報を閲覧できた可能性
https://xtech.nikkei.com/atcl/nxt/news/18/16145/?ST=nxt_thmit_security

2023年10月23日月曜日

23日 月曜日、大安

+ Degraded experience for Atlassian Intelligence features
https://jira-service-management.status.atlassian.com/incidents/fh3w4s6mlls3
https://confluence.status.atlassian.com/incidents/mkmw4k0kvlsq

+ RHSA-2023:5693 Moderate: Red Hat Ceph Storage 6.1 security, enhancement, and bug fix update
https://access.redhat.com/errata/RHSA-2023:5693
CVE-2018-14041
CVE-2018-20676
CVE-2018-20677
CVE-2023-43040

+ RHSA-2023:5838 Important: nghttp2 security update
https://access.redhat.com/errata/RHSA-2023:5838
CVE-2023-44487

+ RHSA-2023:5837 Important: nghttp2 security update
https://access.redhat.com/errata/RHSA-2023:5837
CVE-2023-44487

+ RHSA-2023:5835 Important: rhc-worker-script enhancement and security update
https://access.redhat.com/errata/RHSA-2023:5835
CVE-2023-39325
CVE-2023-44487

+ RHSA-2023:5803 Important: nodejs:16 security update
https://access.redhat.com/errata/RHSA-2023:5803
CVE-2023-44487

+ UPDATE: Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ VMSA-2023-0022 VMware Fusion and Workstation updates address privilege escalation and information disclosure vulnerabilities (CVE-2023-34044, CVE-2023-34045, CVE-2023-34046)
https://www.vmware.com/security/advisories/VMSA-2023-0022.html
CVE-2023-34044
CVE-2023-34045
CVE-2023-34046

+ VMSA-2023-0021 VMware Aria Operations for Logs updates address multiple vulnerabilities. (CVE-2023-34051, CVE-2023-34052)
https://www.vmware.com/security/advisories/VMSA-2023-0021.html
CVE-2023-34051
CVE-2023-34052

+ JVNVU#93413100 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU93413100/index.html
CVE-2023-31122
CVE-2023-45802
CVE-2023-43622

+ Atlassian Confluence Unauthenticated Remote Code Execution
https://cxsecurity.com/issue/WLB-2023100046
CVE-2023-22515

JVNVU#91676340 複数のHitachi Energy製品における複数の脆弱性
http://jvn.jp/vu/JVNVU91676340/index.html

ついに到来、「パスワードレス」時代
まずは小さい部署から始めよう、企業への「パスキー」導入の勘所
https://xtech.nikkei.com/atcl/nxt/column/18/02618/101900003/?ST=nxt_thmit_security

2023年10月20日金曜日

20日 金曜日、友引

+ RHSA-2023:5539 Important: libvpx security update
https://access.redhat.com/errata/RHSA-2023:5539
CVE-2023-5217
CVE-2023-44488

+ RHSA-2023:5537 Important: libvpx security update
https://access.redhat.com/errata/RHSA-2023:5537
CVE-2023-5217
CVE-2023-44488

+ RHSA-2023:5532 Important: nodejs security and bug fix update
https://access.redhat.com/errata/RHSA-2023:5532
CVE-2023-32002
CVE-2023-32006
CVE-2023-32559

+ Apache HTTP Server 2.4.58 released
https://downloads.apache.org/httpd/Announcement2.4.html
https://downloads.apache.org/httpd/CHANGES_2.4.58

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Wi-Fiで送信のパスワードを盗聴 暗号解読不要の恐るべき手法
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/101300118/?ST=nxt_thmit_security

ついに到来、「パスワードレス」時代
大事な情報はネットワークに流さない、パスワードレス認証「パスキー」の巧みな仕組み
https://xtech.nikkei.com/atcl/nxt/column/18/02618/101700002/?ST=nxt_thmit_security

DNPとセキュアワークス、日本企業に有効なサイバー攻撃対策演習を共同開発
https://xtech.nikkei.com/atcl/nxt/news/18/16129/?ST=nxt_thmit_security

カシオの開発環境に不正アクセス、個人情報含む国内約9万件の情報が漏洩
https://xtech.nikkei.com/atcl/nxt/news/18/16124/?ST=nxt_thmit_security

マルウエア徹底解剖
FBIはいかにQbotに打撃を与えたか
[第47回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/101900048/?ST=nxt_thmit_security

JVN#28846531 ジャストシステム製品における複数の脆弱性
http://jvn.jp/jp/JVN28846531/index.html

2023年10月19日木曜日

19日 木曜日、先勝

+ Mozilla Thunderbird 115.3.3 released
https://www.thunderbird.net/en-US/thunderbird/115.3.3/releasenotes/

ついに到来、「パスワードレス」時代
もうパスワードは使わない、任天堂も対応する「パスキー」の正体
https://xtech.nikkei.com/atcl/nxt/column/18/02618/101600001/?ST=nxt_thmit_security

記者の眼
「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士
https://xtech.nikkei.com/atcl/nxt/column/18/00138/100501387/?ST=nxt_thmit_security

JVN#95981460 Proself における XML 外部実体参照 (XXE) に関する脆弱性
http://jvn.jp/jp/JVN95981460/index.html

JVNVU#95781217 Schneider Electric製EcoStruxure Power Monitoring ExpertおよびPower Operationにおける信頼できないデータのデシリアライゼーションの脆弱性
http://jvn.jp/vu/JVNVU95781217/index.html

JVNVU#93535614 Rockwell Automation製FactoryTalk Linxにおける不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU93535614/index.html

JVN#58574030 Cisco Secure Email Gateway におけるスキャン回避の問題
http://jvn.jp/jp/JVN58574030/index.html

2023年10月18日水曜日

18日 水曜日、赤口

+ Consistent problems to access some instances
https://jira-service-management.status.atlassian.com/incidents/88hjljx9sc60

+ Google Chrome 118.0.5993.88/.89 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_17.html

+ Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ Samba 4.19.1, 4.18.8 and 4.17.12 Security Releases are available for Download
https://www.samba.org/samba/history/samba-4.19.1.html
https://www.samba.org/samba/history/samba-4.18.8.html
https://www.samba.org/samba/history/samba-4.17.12.html

+ Samba 4.19.2 Available for Download
https://www.samba.org/samba/history/samba-4.19.2.html

+ Squid Caching Proxy 55 Vulnerabilities
https://cxsecurity.com/issue/WLB-2023100042
CVE-2021-31807
CVE-2021-28652
CVE-2021-28651
CVE-2021-31808
CVE-2021-28662
CVE-2021-31806
CVE-2021-33620

JVNVU#98392064 ジェイテクトエレクトロニクス製OnSinView2における複数の脆弱性
http://jvn.jp/vu/JVNVU98392064/index.html

勝村幸博の「今日も誰かが狙われる」
史上最大のDDoS攻撃はHTTP/2の脆弱性を突く、あえてクラウド大手を狙う怖い理由
https://xtech.nikkei.com/atcl/nxt/column/18/00676/101400151/?ST=nxt_thmit_security

2023年10月17日火曜日

17日 火曜日、大安

+ Apache Tomcat 10.1.15 Released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.15_(schultz)

piyokangoの週刊システムトラブル
利用者がIDを設定するETC利用照会に不正ログイン、メールの「@より前」を利用か
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500236/?ST=nxt_thmit_security

JVNVU#98207673 Hikvision製Access ControlおよびIntercom製品に複数の脆弱性
http://jvn.jp/vu/JVNVU98207673/index.html

JVN#80476432 web2py における OS コマンドインジェクションの脆弱性
http://jvn.jp/jp/JVN80476432/index.html

JVN#58574030 Cisco Secure Email Gateway におけるスキャン回避の問題
http://jvn.jp/jp/JVN58574030/index.html

2023年10月16日月曜日

16日 月曜日、仏滅

+ MantisBT 2.25.8 released
https://mantisbt.org/blog/archives/mantisbt/736

+ Apache Tomcat 9.0.82 Released
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.82_(remm)

JVNVU#98684785 Weintek製cMT3000 HMI Web CGIにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98684785/index.html

JVNVU#98207673 Hikvision製Access ControlおよびIntercom製品に複数の脆弱性
http://jvn.jp/vu/JVNVU98207673/index.html

2023年10月13日金曜日

13日 金曜日、赤口

+ Users may face slowness/delays when adding new users or customers to their products
https://confluence.status.atlassian.com/incidents/6hpv3cvg045k

+ Anonymous users are being prompted to login
https://confluence.status.atlassian.com/incidents/hzxz9d9vwmx0

+ Users may face slowness/delays when adding new users or customers to their products
https://jira-service-management.status.atlassian.com/incidents/r1jx7k9js9gy

+ Anonymous users are being prompted to login
https://jira-service-management.status.atlassian.com/incidents/vmdrbmwfhj24

+ RHSA-2023:5460 Important: bind9.16 security update
https://access.redhat.com/errata/RHSA-2023:5460
CVE-2023-3341

+ RHSA-2023:5459 Important: ghostscript security update
https://access.redhat.com/errata/RHSA-2023:5459
CVE-2023-36664

+ RHSA-2023:5456 Important: python3.11 security update
https://access.redhat.com/errata/RHSA-2023:5456
CVE-2023-40217

+ RHSA-2023:5455 Important: glibc security update
https://access.redhat.com/errata/RHSA-2023:5455
CVE-2023-4527
CVE-2023-4806
CVE-2023-4813
CVE-2023-4911

+ Mozilla Firefox 118.0.2 released
https://www.mozilla.org/en-US/firefox/118.0.2/releasenotes/

+ Oracle Critical Patch Update Pre-Release Announcement - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

ITが危ない
GPU進化でパスワード解読が加速、旧システムは保存方法の見直しを
https://xtech.nikkei.com/atcl/nxt/column/18/00989/101100129/?ST=nxt_thmit_security

実は削れるセキュリティーコスト
意外と削れるセキュリティーガバナンスのコスト、見落としがちな無駄な重複
https://xtech.nikkei.com/atcl/nxt/column/18/02603/101100003/?ST=nxt_thmit_security

ニュース解説
警察庁命名のサイバー攻撃の新手口「ノーウエアランサム」、SNSで大喜利始まる
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08492/?ST=nxt_thmit_security

JVNVU#90509290 三菱電機製MELSEC-Fシリーズ基本ユニットにおける不適切な認証の脆弱性
http://jvn.jp/vu/JVNVU90509290/index.html

2023年10月12日木曜日

12日 木曜日、大安

+ Cannot access Connect applications on Confluence by clicking the three dots menu
https://confluence.status.atlassian.com/incidents/3qzks006gprc

+ CVE-2023-38546 cookie injection with none file
https://curl.se/docs/CVE-2023-38546.html

+ CVE-2023-38545 SOCKS5 heap buffer overflow
https://curl.se/docs/CVE-2023-38545.html

+ 2023 年 10 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/10/202310-security-update/

+ Security Updates Available for Adobe Bridge | APSB23-49
https://helpx.adobe.com/security/products/bridge/apsb23-49.html

+ Security?update?available?for?Adobe Commerce?|?APSB23-50
https://helpx.adobe.com/security/products/magento/apsb23-50.html

+ Security update available for Adobe Photoshop | APSB23-51
https://helpx.adobe.com/security/products/photoshop/apsb23-51.html

+ JVNVU#93620838 Apache Tomcatにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93620838/index.html
CVE-2023-45648
CVE-2023-44487
CVE-2023-42795
CVE-2023-42794

+ Apache Tomcat の脆弱性(Important: CVE-2023-45648, CVE-2023-44487, CVE-2023-42795)
https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20231011/
CVE-2023-45648
CVE-2023-44487
CVE-2023-42795
CVE-2023-42794

ニュース&リポート
セブン銀行が将来に備える一手 ATMの新サービスで収益源を発掘
プラットフォーム化で非金融ニーズも視野に
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092900963/?ST=nxt_thmit_security

ニュース&リポート
身代金支払いに炎上以外のリスク 捜査で業務に支障を来す場合も
ラックがランサムウエア対応の提言書
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092900966/?ST=nxt_thmit_security

実は削れるセキュリティーコスト
システムごとの個別セキュリティー対策、統合すればコスト削減に直結
https://xtech.nikkei.com/atcl/nxt/column/18/02603/101000002/?ST=nxt_thmit_security

JVNVU#98753493 Siemens製品に対するアップデート(2023年10月)
http://jvn.jp/vu/JVNVU98753493/index.html

2023年10月11日水曜日

11日 水曜日、仏滅

+ Jira is not accessible for some users due CORS errors
https://jira-service-management.status.atlassian.com/incidents/hzbvczpflnb3

+ About the security content of iOS 16.7.1 and iPadOS 16.7.1
https://support.apple.com/ja-jp/HT213972
CVE-2023-42824
CVE-2023-5217

+ Google Chrome 118.0.5993.70/.71 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html

+ Mozilla Thunderbird 115.3.2 released
https://www.thunderbird.net/en-US/thunderbird/115.3.2/releasenotes/

+ Apache Tomcat 10.1.14, 9.0.81, 8.5.94 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.14_(schultz)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.81_(remm)
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

データは語る
生産設備や機械への脅威 「悪意あるマルウエア」を8割が懸念
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/092900157/?ST=nxt_thmit_security

実は削れるセキュリティーコスト
過去に導入した複数のセキュリティーツールで機能が重複、排除すればコストダウンに
https://xtech.nikkei.com/atcl/nxt/column/18/02603/100500001/?ST=nxt_thmit_security

JVNVU#94752076 キーエンス製KV STUDIOおよびKV REPLAY VIEWERにおける境界外読み取りの脆弱性
http://jvn.jp/vu/JVNVU94752076/index.html

JVNVU#99039725 マイクロリサーチ製MR-GM シリーズにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99039725/index.html

libcueの脆弱性(CVE-2023-43641)によるGNOME環境でのリモートコード実行
https://security.sios.jp/vulnerability/libcue-security-vulnerability-20231009/

2023年10月10日火曜日

10日 火曜日、先負

+ iOS 17.0.3 および iPadOS 17.0.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213961
CVE-2023-42824
CVE-2023-5217

+ Wireshark 4.0.10 released
https://www.wireshark.org/docs/relnotes/wireshark-4.0.10.html

+ OpenSSH 9.5 released
http://www.openssh.com/releasenotes.html#9.5p1

+ ProFTPD 1.3.8a released
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8a
http://www.proftpd.org/docs/NEWS-1.3.8a

+ JVNVU#91213144 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU91213144/index.html
CVE-2023-0286
CVE-2022-4304
CVE-2023-0215
CVE-2022-4203
CVE-2023-0216
CVE-2023-0217
CVE-2023-0401
CVE-2022-4450

+ glibcの脆弱性(“Looney Tunables”, Important: CVE-2023-4911 )
https://security.sios.jp/vulnerability/glibc-security-vulnerability-20231004/
CVE-2023-4911

+ glibc ld.so Local Privilege Escalation
https://cxsecurity.com/issue/WLB-2023100018
CVE-2023-4911
CVE-2019-19726

JVNVU#97425465 複数のHitachi Energy製品に対するアップデート
http://jvn.jp/vu/JVNVU97425465/index.html

JVNVU#99083531 Qognify製NiceVisionにおけるハードコードされた認証情報の使用の脆弱性
http://jvn.jp/vu/JVNVU99083531/index.html

JVN#15808274 e-Gov電子申請アプリケーションにおける Custom URL Scheme の処理にアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN15808274/index.html

JVN#08237727 Citadel WebCit のインスタントメッセージング機能におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN08237727/index.html

piyokangoの週刊システムトラブル
ソフトバンクグループのECサイトに不正アクセス、IPSが検知し詳細は調査中
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500235/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
PC70万台超のボットネット壊滅 あなたの情報は盗まれていないか
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/092700117/?ST=nxt_thmit_security

クラウドセキュリティー総点検
みずほFGはExcelチェックシートから移行、クラウド点検はポスチャー管理で自動化
https://xtech.nikkei.com/atcl/nxt/column/18/02599/100400003/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」
「奪えるところからできるだけ奪う」戦略が加速? ランサムウエアの未来を読む
https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700005/?ST=nxt_thmit_security

ソニーグループは攻撃を確認もドコモは痕跡なし、ランサムリークサイト掲載の2社
https://xtech.nikkei.com/atcl/nxt/news/18/16049/?ST=nxt_thmit_security

クラウドセキュリティー総点検
自社のクラウドセキュリティーは大丈夫か、今すぐ点検すべき12項目
https://xtech.nikkei.com/atcl/nxt/column/18/02599/100300002/?ST=nxt_thmit_security

記者の眼
一企業では難しい脆弱性対策の徹底、記者が提案したいクラウド移行という選択
https://xtech.nikkei.com/atcl/nxt/column/18/00138/100101382/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」
今やるべきランサムウエア対策の勘所、身代金を支払うと復旧にコストも時間もかかる
https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700004/?ST=nxt_thmit_security

2023年10月4日水曜日

4日 水曜日、先負

+ Google Chrome 117.0.5938.149/.150 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop.html

+ Apache Tomcat Native 2.0.6, 1.2.39 released
https://tomcat.apache.org/native-doc/miscellaneous/changelog.html
https://tomcat.apache.org/native-1.2-doc/miscellaneous/changelog.html

ITセキュリティー対策最前線
海外拠点のセキュリティー管理 ルール、体制、技術的対策が鍵
[最終回]
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/092700010/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」
変わるランサムウエア攻撃の手口、VPN装置経由の侵入や「2重脅迫」が当たり前に
https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700003/?ST=nxt_thmit_security

2023年10月3日火曜日

3日 火曜日、友引

+ Apache Tomcat Native 2.0.6 Released
https://tomcat.apache.org/native-doc/miscellaneous/changelog.html

マルウエア徹底解剖
管理者権限を陰で奪う「UACバイパス」
[第46回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091900047/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」
当初の「変わり種」は今やサイバー兵器に、30年以上に及ぶランサムウエアの歴史
https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
都の子育て支援事業「018サポート」で17万人にチラシ誤送付、原因はプログラムのバグ
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021000212/?ST=nxt_thmit_security

SCSKがセキュリティー対策の専門会社、2030年までに1000億円の事業規模を目指す
https://xtech.nikkei.com/atcl/nxt/news/18/16020/?ST=nxt_thmit_security

JVNVU#94497038 フルノシステムズ製無線LANアクセスポイント(STモード利用時)における複数の脆弱性
http://jvn.jp/vu/JVNVU94497038/index.html

JVN#39596244 医薬品医療機器等法対応医薬品等電子申請ソフトにおける XML 外部実体参照 (XXE) に関する脆弱性
http://jvn.jp/jp/JVN39596244/index.html

2023年10月2日月曜日

2日 月曜日、先勝

+ Mozilla Thunderbird 115.3.1 released
https://www.thunderbird.net/en-US/thunderbird/115.3.1/releasenotes/

過去から未来まで一気に解説、ランサムウエア「解体新書」
国内で急増するランサムウエア被害の実態、半数が復旧に1000万円超を投じる
https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700001/?ST=nxt_thmit_security

JVNVU#96453567 Rockwell Automation製PanelView 800における不適切な入力検証の脆弱性
http://jvn.jp/vu/JVNVU96453567/index.html

JVNVU#97210928 DEXMA製DexGateにおける複数の脆弱性
http://jvn.jp/vu/JVNVU97210928/index.html

eximの緊急のゼロデイ脆弱性(Critical: CVE-2023-42115)
https://security.sios.jp/vulnerability/exim-security-vulnerability-20230930/

2023年9月29日金曜日

29日 金曜日、仏滅

+ Google Chrome 116.0.5845.228 released
https://chromereleases.googleblog.com/2023/09/extended-stable-channel-update-for.html

+ Mozilla Firefox 118.0.1 released
https://www.mozilla.org/en-US/firefox/118.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2023-44 Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, and Firefox Focus for Android 118.1.0.
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/
CVE-2023-5217

+ RHSA-2023:5061 Moderate: dmidecode security update
https://access.redhat.com/errata/RHSA-2023:5061
CVE-2023-30630

+ RHSA-2023:5050 Moderate: httpd:2.4 security update
https://access.redhat.com/errata/RHSA-2023:5050
CVE-2023-27522

+ Apache POI 5.2.4 available
https://poi.apache.org/changes.html#5.2.4

+ PHP 8.2.11, 8.1.24 released
https://www.php.net/ChangeLog-8.php#8.2.11
https://www.php.net/ChangeLog-8.php#8.1.24

+ Microsoft Error Reporting Local Privilege Elevation
https://cxsecurity.com/issue/WLB-2023090080
CVE-2023-36874

ネットワークコマンド大全
死活監視は慎重に 複数コマンドを使い分ける
Part4 サーバーの情報を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900004/?ST=nxt_thmit_security

ネットワークコマンド大全
「まずping」からレベルアップ パケットキャプチャーもコマンドで
Part3 ネットワークの状態を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900003/?ST=nxt_thmit_security

ネットワークコマンド大全
IPアドレスは正しいか コマンド操作「基礎中の基礎」
Part2 端末の情報を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900002/?ST=nxt_thmit_security

ネットワークコマンド大全
知っておきたい使い分け 繰り返し使うならスクリプト
Part1 基礎知識
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900001/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
LANを振り返る、かつては1本の「線」だった
https://xtech.nikkei.com/atcl/nxt/column/18/02598/092800001/?ST=nxt_thmit_security

2023年9月28日木曜日

28日 木曜日、先負

+ Outages in Cloud products for a specific region
https://jira-service-management.status.atlassian.com/incidents/3csdq06s7pqb

+ Google Chrome 117.0.5938.132 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

+ ClamAV 1.2.0 feature version and 1.1.2, 1.0.3, 0.103.10 patch versions published
https://blog.clamav.net/2023/08/clamav-120-feature-version-and-111-102.html

JVNVU#99208910 Advantech製EKI-1524-CE シリーズなどにおける複数のクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU99208910/index.html

JVNVU#95820298 Suprema製BioStar 2におけるSQLインジェクションの脆弱性
http://jvn.jp/vu/JVNVU95820298/index.html

JVNVU#97122904 Hitachi Energy製Asset Suite 9における不適切な認証の脆弱性
http://jvn.jp/vu/JVNVU97122904/index.html

JVNVU#98536352 Baker Hughes製Bently Nevada 3500における複数の脆弱性
http://jvn.jp/vu/JVNVU98536352/index.html

JVN#17434995 私本管理Plus における相対パストラバーサルの脆弱性
http://jvn.jp/jp/JVN17434995/index.html

JVNVU#96447193 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるインストール時の不適切なファイルアクセス権設定の脆弱性
http://jvn.jp/vu/JVNVU96447193/index.html

ニュース&リポート
ランサムウエア攻撃の被害が3割増 特定の企業を狙う「侵入型」が猛威
ばらまき型が減り国内検出台数は2割減
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092000961/?ST=nxt_thmit_security

ニュース&リポート
JPCERT/CCがNISCに苦言 サイバー攻撃時の情報共有を軽視
不正アクセス被害の詳細な原因を説明せず
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092000960/?ST=nxt_thmit_security

ニュース解説
LockBit被害の菱機工業、苦い教訓を反映した4種類のセキュリティー対策
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08441/?ST=nxt_thmit_security

2023年9月27日水曜日

27日 水曜日、友引

+ RHSA-2023:4952 Important: firefox security update
https://access.redhat.com/errata/RHSA-2023:4952
CVE-2023-4051
CVE-2023-4053
CVE-2023-4573
CVE-2023-4574
CVE-2023-4575
CVE-2023-4577
CVE-2023-4578
CVE-2023-4580
CVE-2023-4581
CVE-2023-4583
CVE-2023-4584
CVE-2023-4585

+ Mozilla Firefox 118.0 released
https://www.mozilla.org/en-US/firefox/118.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-41 Security Vulnerabilities fixed in Firefox 118
https://www.mozilla.org/en-US/security/advisories/mfsa2023-41/
CVE-2023-5168
CVE-2023-5169
CVE-2023-5170
CVE-2023-5171
CVE-2023-5172
CVE-2023-5173
CVE-2023-5174
CVE-2023-5175
CVE-2023-5176

+ Mozilla Foundation Security Advisory 2023-43 Security Vulnerabilities fixed in Thunderbird 115.3
https://www.mozilla.org/en-US/security/advisories/mfsa2023-43/
CVE-2023-5168
CVE-2023-5169
CVE-2023-5171
CVE-2023-5174
CVE-2023-5176

+ Mozill Thunderbird 115.3.0 released
https://www.thunderbird.net/en-US/thunderbird/115.3.0/releasenotes/

+ VMSA-2023-0020 VMware Aria Operations updates address local privilege escalation vulnerability. (CVE-2023-34043)
https://www.vmware.com/security/advisories/VMSA-2023-0020.html
CVE-2023-34043

JVNVU#95549489 Panasonic製KW Watcherにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95549489/index.html

データは語る
2割強が生成AIを「業務に日々使用」 活用する層が多数派に
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/091500156/?ST=nxt_thmit_security

日経NETWORK 特別リポート
知っておくべき「能動的サイバー防御」の正体
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091900069/?ST=nxt_thmit_security

2023年9月26日火曜日

26日 火曜日、先勝

+ Zabbix 6.0.22, 5.0.38, 4.0.49 released
https://www.zabbix.com/rn/rn6.0.22
https://www.zabbix.com/rn/rn5.0.38
https://www.zabbix.com/rn/rn4.0.49

フォーカス
安全保障の新戦略 能動的サイバー防御
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/091400156/?ST=nxt_thmit_security

NEWS close-up
ビデオ会議に思わぬセキュリティー脅威
入力されたキーを「タイプ音」から特定 パスワードが盗まれる脅威が迫る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/091500223/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」
バックドアの存在に7年間気づかず ネット接続を8カ月間遮断する事態に
政策研究大学院大学
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/091900140/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
アルプスアルパインが7月に続く不正アクセス被害、個人情報流出を確認
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300219/?ST=nxt_thmit_security

JVNVU#95732401 Trend Micro Mobile Securityにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU95732401/index.html