2023年9月29日金曜日

29日 金曜日、仏滅

+ Google Chrome 116.0.5845.228 released
https://chromereleases.googleblog.com/2023/09/extended-stable-channel-update-for.html

+ Mozilla Firefox 118.0.1 released
https://www.mozilla.org/en-US/firefox/118.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2023-44 Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, and Firefox Focus for Android 118.1.0.
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/
CVE-2023-5217

+ RHSA-2023:5061 Moderate: dmidecode security update
https://access.redhat.com/errata/RHSA-2023:5061
CVE-2023-30630

+ RHSA-2023:5050 Moderate: httpd:2.4 security update
https://access.redhat.com/errata/RHSA-2023:5050
CVE-2023-27522

+ Apache POI 5.2.4 available
https://poi.apache.org/changes.html#5.2.4

+ PHP 8.2.11, 8.1.24 released
https://www.php.net/ChangeLog-8.php#8.2.11
https://www.php.net/ChangeLog-8.php#8.1.24

+ Microsoft Error Reporting Local Privilege Elevation
https://cxsecurity.com/issue/WLB-2023090080
CVE-2023-36874

ネットワークコマンド大全
死活監視は慎重に 複数コマンドを使い分ける
Part4 サーバーの情報を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900004/?ST=nxt_thmit_security

ネットワークコマンド大全
「まずping」からレベルアップ パケットキャプチャーもコマンドで
Part3 ネットワークの状態を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900003/?ST=nxt_thmit_security

ネットワークコマンド大全
IPアドレスは正しいか コマンド操作「基礎中の基礎」
Part2 端末の情報を知る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900002/?ST=nxt_thmit_security

ネットワークコマンド大全
知っておきたい使い分け 繰り返し使うならスクリプト
Part1 基礎知識
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900174/091900001/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
LANを振り返る、かつては1本の「線」だった
https://xtech.nikkei.com/atcl/nxt/column/18/02598/092800001/?ST=nxt_thmit_security

2023年9月28日木曜日

28日 木曜日、先負

+ Outages in Cloud products for a specific region
https://jira-service-management.status.atlassian.com/incidents/3csdq06s7pqb

+ Google Chrome 117.0.5938.132 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

+ ClamAV 1.2.0 feature version and 1.1.2, 1.0.3, 0.103.10 patch versions published
https://blog.clamav.net/2023/08/clamav-120-feature-version-and-111-102.html

JVNVU#99208910 Advantech製EKI-1524-CE シリーズなどにおける複数のクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU99208910/index.html

JVNVU#95820298 Suprema製BioStar 2におけるSQLインジェクションの脆弱性
http://jvn.jp/vu/JVNVU95820298/index.html

JVNVU#97122904 Hitachi Energy製Asset Suite 9における不適切な認証の脆弱性
http://jvn.jp/vu/JVNVU97122904/index.html

JVNVU#98536352 Baker Hughes製Bently Nevada 3500における複数の脆弱性
http://jvn.jp/vu/JVNVU98536352/index.html

JVN#17434995 私本管理Plus における相対パストラバーサルの脆弱性
http://jvn.jp/jp/JVN17434995/index.html

JVNVU#96447193 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるインストール時の不適切なファイルアクセス権設定の脆弱性
http://jvn.jp/vu/JVNVU96447193/index.html

ニュース&リポート
ランサムウエア攻撃の被害が3割増 特定の企業を狙う「侵入型」が猛威
ばらまき型が減り国内検出台数は2割減
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092000961/?ST=nxt_thmit_security

ニュース&リポート
JPCERT/CCがNISCに苦言 サイバー攻撃時の情報共有を軽視
不正アクセス被害の詳細な原因を説明せず
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092000960/?ST=nxt_thmit_security

ニュース解説
LockBit被害の菱機工業、苦い教訓を反映した4種類のセキュリティー対策
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08441/?ST=nxt_thmit_security

2023年9月27日水曜日

27日 水曜日、友引

+ RHSA-2023:4952 Important: firefox security update
https://access.redhat.com/errata/RHSA-2023:4952
CVE-2023-4051
CVE-2023-4053
CVE-2023-4573
CVE-2023-4574
CVE-2023-4575
CVE-2023-4577
CVE-2023-4578
CVE-2023-4580
CVE-2023-4581
CVE-2023-4583
CVE-2023-4584
CVE-2023-4585

+ Mozilla Firefox 118.0 released
https://www.mozilla.org/en-US/firefox/118.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-41 Security Vulnerabilities fixed in Firefox 118
https://www.mozilla.org/en-US/security/advisories/mfsa2023-41/
CVE-2023-5168
CVE-2023-5169
CVE-2023-5170
CVE-2023-5171
CVE-2023-5172
CVE-2023-5173
CVE-2023-5174
CVE-2023-5175
CVE-2023-5176

+ Mozilla Foundation Security Advisory 2023-43 Security Vulnerabilities fixed in Thunderbird 115.3
https://www.mozilla.org/en-US/security/advisories/mfsa2023-43/
CVE-2023-5168
CVE-2023-5169
CVE-2023-5171
CVE-2023-5174
CVE-2023-5176

+ Mozill Thunderbird 115.3.0 released
https://www.thunderbird.net/en-US/thunderbird/115.3.0/releasenotes/

+ VMSA-2023-0020 VMware Aria Operations updates address local privilege escalation vulnerability. (CVE-2023-34043)
https://www.vmware.com/security/advisories/VMSA-2023-0020.html
CVE-2023-34043

JVNVU#95549489 Panasonic製KW Watcherにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95549489/index.html

データは語る
2割強が生成AIを「業務に日々使用」 活用する層が多数派に
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/091500156/?ST=nxt_thmit_security

日経NETWORK 特別リポート
知っておくべき「能動的サイバー防御」の正体
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091900069/?ST=nxt_thmit_security

2023年9月26日火曜日

26日 火曜日、先勝

+ Zabbix 6.0.22, 5.0.38, 4.0.49 released
https://www.zabbix.com/rn/rn6.0.22
https://www.zabbix.com/rn/rn5.0.38
https://www.zabbix.com/rn/rn4.0.49

フォーカス
安全保障の新戦略 能動的サイバー防御
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/091400156/?ST=nxt_thmit_security

NEWS close-up
ビデオ会議に思わぬセキュリティー脅威
入力されたキーを「タイプ音」から特定 パスワードが盗まれる脅威が迫る
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/091500223/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」
バックドアの存在に7年間気づかず ネット接続を8カ月間遮断する事態に
政策研究大学院大学
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/091900140/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
アルプスアルパインが7月に続く不正アクセス被害、個人情報流出を確認
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300219/?ST=nxt_thmit_security

JVNVU#95732401 Trend Micro Mobile Securityにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU95732401/index.html

2023年9月25日月曜日

25日 月曜日、赤口

+ iOS 17.0.2 released
https://support.apple.com/en-us/HT201222

JVNVU#96977612 Real Time Automation製460 Seriesにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU96977612/index.html

JVNVU#94085519 Delta Electronics製DIAScreenにおける境界外書き込みの脆弱性
http://jvn.jp/vu/JVNVU94085519/index.html

JVNVU#96316283 複数のRockwell Automation製品における複数の脆弱性
http://jvn.jp/vu/JVNVU96316283/index.html

JVN#97197972 WordPress 用プラグイン Welcart e-Commerce における複数の脆弱性
http://jvn.jp/jp/JVN97197972/index.html

JVNVU#98137233 Siemens製品に対するアップデート(2023年9月)
http://jvn.jp/vu/JVNVU98137233/index.html

piyokangoの月刊システムトラブル
JPCERT/CCが注意喚起 アップデートでは対応が不十分
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/091900055/?ST=nxt_thmit_security

2023年9月22日金曜日

22日 金曜日、先負

+ ■(緊急)BIND 9.18.xの脆弱性(DNSサービスの停止)について(CVE-2023-4236)
  - BIND 9.18系列のみが対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-09-21-bind9-vuln-dnsovertls.html
CVE-2023-4236

+ ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2023-3341)
  - バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-09-21-bind9-vuln-controlchannel.html
CVE-2023-3341

+ About the security content of Safari 16.6.1
https://support.apple.com/ja-jp/HT213930
CVE-2023-41993

+ About the security content of iOS 17.0.1 and iPadOS 17.0.1
https://support.apple.com/ja-jp/HT213926
CVE-2023-41992
CVE-2023-41991
CVE-2023-41993

+ About the security content of iOS 16.7 and iPadOS 16.7
https://support.apple.com/ja-jp/HT213927
CVE-2023-41992
CVE-2023-41991
CVE-2023-41993

+ About the security content of watchOS 10.0.1
https://support.apple.com/ja-jp/HT213928
CVE-2023-41992
CVE-2023-41991

+ About the security content of watchOS 9.6.3
https://support.apple.com/ja-jp/HT213929
CVE-2023-41992
CVE-2023-41991

+ About the security content of macOS Ventura 13.6
https://support.apple.com/ja-jp/HT213931
CVE-2023-41992
CVE-2023-41991

+ About the security content of macOS Monterey 12.7
https://support.apple.com/ja-jp/HT213932
CVE-2023-41992

+ Google Chrome 117.0.5938.92 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_21.html

+ JVNVU#94469233 ISC BINDにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94469233/index.html
CVE-2023-3341
CVE-2023-4236

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
会議中のタイプ音からキーを特定 パスワードが盗まれる脅威
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/091400116/?ST=nxt_thmit_security

変わる中身と変わらぬ役割、ルーターの「現在地」
チップ高性能化に「コンテナルーター」の登場、キャリア向けルーターが驚きの進化
https://xtech.nikkei.com/atcl/nxt/column/18/02578/091100004/?ST=nxt_thmit_security

JVNVU#93230203 複数のBGP実装における不正なBGP UPDATEメッセージの取り扱いに関する問題
http://jvn.jp/vu/JVNVU93230203/index.html

2023年9月21日木曜日

21日 木曜日、友引

+ Mentions on Jira cards are not sending notifications
https://jira-service-management.status.atlassian.com/incidents/4q2hpd5wdqpx

+ RHSA-2023:4877 Moderate: java-1.8.0-ibm security update
https://access.redhat.com/errata/RHSA-2023:4877
CVE-2023-22049

+ Mozilla Thunderbird 115.2.3 released
https://www.thunderbird.net/en-US/thunderbird/115.2.3/releasenotes/

+ ISC BIND 9.18.19, 9.16.44 released
https://downloads.isc.org/isc/bind9/9.18.19/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.44/doc/arm/html/notes.html

+ UPDATE: JVNVU#96140980 OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題(Security Advisory [8th September 2023])
http://jvn.jp/vu/JVNVU96140980/index.html

+ Windows Common Log File System Driver (clfs.sys) Privilege Escalation
https://cxsecurity.com/issue/WLB-2023090066
CVE-2023-28252

+ BIND 9の脆弱性情報(High: CVE-2023-3341, CVE-2023-4236)と新バージョン(9.16.44, 9.18.19, 9.19.17)
https://security.sios.jp/vulnerability/bind-security-vulnerability-20230921/
CVE-2023-3341
CVE-2023-4236

Microsoftは、過剰な許可を持つSASトークンによるストレージ アカウント内の内部情報の露出を緩和しました
https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token-ja/

JVNVU#96447193 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるインストール時の不適切なファイルアクセス権設定の脆弱性
http://jvn.jp/vu/JVNVU96447193/index.html

JVNVU#95526822 オムロン製複数製品における複数の脆弱性
http://jvn.jp/vu/JVNVU95526822/index.html

JVNVU#98137233 Siemens製品に対するアップデート(2023年9月)
http://jvn.jp/vu/JVNVU98137233/index.html

変わる中身と変わらぬ役割、ルーターの「現在地」
ルーターは通信経路をどう決めるのか、RIP・OSPF・BGPに踏み込んで理解する
https://xtech.nikkei.com/atcl/nxt/column/18/02578/091100003/?ST=nxt_thmit_security

ニュース解説
ランサムウエアの身代金支払いにちょっと待った、ラックが指摘する「思わぬリスク」
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08409/?ST=nxt_thmit_security

JPCERT/CCがトレンドマイクロの企業向け製品の脆弱性を注意喚起
https://xtech.nikkei.com/atcl/nxt/news/18/15942/?ST=nxt_thmit_security

2023年9月20日水曜日

20日 水曜日、先勝

変わる中身と変わらぬ役割、ルーターの「現在地」
「純粋なルーター」はほとんどない、国内外8社の製品ラインアップに見る得意分野
https://xtech.nikkei.com/atcl/nxt/column/18/02578/091100002/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
スマホからWi-Fiで送信されたパスワードを盗聴、暗号解読不要の恐るべき手法
https://xtech.nikkei.com/atcl/nxt/column/18/00676/091500149/?ST=nxt_thmit_security

UPDATE: JVNTA#91513661 FINSプロトコルにおけるセキュリティ上の問題について
http://jvn.jp/ta/JVNTA91513661/index.html

JVNVU#90967486 複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品において任意のコードを実行される脆弱性
http://jvn.jp/vu/JVNVU90967486/index.html

2023年9月19日火曜日

19日 火曜日、赤口

+ Infrastructure outage affecting attachments and Bitbucket Pipelines in all regions
https://jira-service-management.status.atlassian.com/incidents/91x8kkrhf9kh

+ Degraded performance in Cloud
https://jira-service-management.status.atlassian.com/incidents/zznkstscqjdp

+ PostgreSQL ODBC Driver 16.00.000 released
https://www.postgresql.org/ftp/odbc/versions/msi/

+ RHSA-2023:4838 Important: cups security update
https://access.redhat.com/errata/RHSA-2023:4838
CVE-2023-32360

+ iOS 17 and iPadOS 17 released
+ watchOS 10 released
+ tvOS 17 released
https://support.apple.com/en-us/HT201222

+ Google Chrome 117.0.5938.88/.89 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_15.html

+ Dovecot v2.3.21 released
https://dovecot.org/mailman3/archives/list/dovecot-news@dovecot.org/thread/KYDR7WWPEQOBZA3IA4NL5XDSLODZLG6N/

JVNVU#92147395 Rockwell Automation製Pavilion8における不適切な認証の脆弱性
http://jvn.jp/vu/JVNVU92147395/index.html

JVNVU#98137233 Siemens製品に対するアップデート(2023年9月)
http://jvn.jp/vu/JVNVU98137233/index.html

piyokangoの週刊システムトラブル
Webサイトの改ざん被害、原因のacmailerの脆弱性をさくらインターネットが警告
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300233/?ST=nxt_thmit_security

変わる中身と変わらぬ役割、ルーターの「現在地」
本当に問題ない? エンジニアが最低限押さえるべき「ルーターの選び方」
https://xtech.nikkei.com/atcl/nxt/column/18/02578/091100001/?ST=nxt_thmit_security

マツダが不正アクセス被害、社員などのアカウント10万件以上が流出の可能性
https://xtech.nikkei.com/atcl/nxt/news/18/15930/?ST=nxt_thmit_security

データ侵害のコストは過去3年間で15%増加、日本IBMが調査結果を公開
https://xtech.nikkei.com/atcl/nxt/news/18/15928/?ST=nxt_thmit_security

2023年9月15日金曜日

15日 金曜日、友引

+ Atlassian Account login issues
https://jira-service-management.status.atlassian.com/incidents/08sz6v0svpx0

+ Pagination missing in the Requests list page on the JSM Customer Portal
https://jira-service-management.status.atlassian.com/incidents/q2fr0wtj15k9

+ HTTP headers eat all memory
https://curl.se/docs/CVE-2023-38039.html
CVE-2023-38039

+ PostgreSQL 16 Released!
https://www.postgresql.org/about/news/postgresql-16-released-2715/

+ JVNVU#93658064 Apache Struts 2におけるサービス運用妨害(DoS)の脆弱性(S2-065)
http://jvn.jp/vu/JVNVU93658064/index.html

+ JVNVU#96802408 Apache Tomcat Connectors(mod_jk)における情報漏えいの脆弱性
http://jvn.jp/vu/JVNVU96802408/index.html
CVE-2023-41081

+ Strutsの脆弱性(Moderate: CVE-2023-41835)
https://security.sios.jp/vulnerability/struts%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7moderate-cve-2023-41835/
CVE-2023-41835

CISA Open Source Software Security Roadmapについての解説
https://security.sios.jp/security/cisa-open-source-software-security-roadmap/

2023年9月14日木曜日

14日 木曜日、赤口

+ RHSA-2023:4708 Important: subscription-manager security update
https://access.redhat.com/errata/RHSA-2023:4708
CVE-2023-3899

+ S2-065 Excessive disk usage during file upload
https://cwiki.apache.org/confluence/display/WW/S2-065
CVE-2023-41835

+ Apache Struts version 6.3.0.1, 6.1.2.2, 2.5.32 General Availability
https://struts.apache.org/announce-2023#a20230913-1
https://struts.apache.org/announce-2023#a20230913-2
https://struts.apache.org/announce-2023#a20230913-3

+ JVNVU#96140980 OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題(Security Advisory [8th September 2023])
http://jvn.jp/vu/JVNVU96140980/index.html

+ Apache Tomcat JK Connectorの脆弱性(CVE-2023-41081)
https://security.sios.jp/vulnerability/tomcat-jk-connector-security-vulnerability-20230913/
CVE-2023-41081

JVNVU#97200253 Hitachi Energy製Lumada APM Edgeにおける複数の脆弱性
http://jvn.jp/vu/JVNVU97200253/index.html

JVNVU#98137233 Siemens製品に対するアップデート(2023年9月)
http://jvn.jp/vu/JVNVU98137233/index.html

記者の眼
終わりなきパスワードとの闘い、「定期的な変更は不要」という新常識
https://xtech.nikkei.com/atcl/nxt/column/18/00138/091101366/?ST=nxt_thmit_security

2023年9月13日水曜日

13日 水曜日、大安

+ Automation rules execution delayed
https://jira-service-management.status.atlassian.com/incidents/9hm4h83yl7qk

+ RHSA-2023:4706 Important: subscription-manager security update
https://access.redhat.com/errata/RHSA-2023:4706
CVE-2023-3899

+ Google Chrome 117.0.5938.62/.63 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html

+ Mozilla Firefox 117.0.1 released
https://www.mozilla.org/en-US/firefox/117.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2023-40 Security Vulnerability fixed in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird 115.2.2
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/
CVE-2023-4863

+ Mozilla Thunderbird 115.2.2 released
https://www.thunderbird.net/en-US/thunderbird/115.2.2/releasenotes/

+ 2023 年 9 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/09/202309-security-update/

+ Apache Tomcat Connectors 1.2.49 Released
https://tomcat.apache.org/connectors-doc/miscellaneous/changelog.html

+ Security?update available?for Adobe?Connect?| APSB23-33
https://helpx.adobe.com/security/products/connect/apsb23-33.html
CVE-2023-29305
CVE-2023-29306

+ Security update available for Adobe Acrobat and Reader  | APSB23-34
https://helpx.adobe.com/security/products/acrobat/apsb23-34.html
CVE-2023-26369

+ Security updates available for Adobe Experience Manager | APSB23-43
https://helpx.adobe.com/security/products/experience-manager/apsb23-43.html
CVE-2023-38214
CVE-2023-38215

+ JVNVU#96140980 OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題(Security Advisory [8th September 2023])
http://jvn.jp/vu/JVNVU96140980/index.html

データは語る
「従業員のセキュリティー意識が低い」 4割超の企業が「該当する」と回答
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/090500155/?ST=nxt_thmit_security

回線が違っても同じ固定IPを月550円で利用可能に、フリービットが新サービス
https://xtech.nikkei.com/atcl/nxt/news/18/15900/?ST=nxt_thmit_security

JVNVU#95282683 ジェイテクトエレクトロニクス製Kostac PLC Programming Softwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95282683/index.html

JVNVU#94650413 三菱電機製MELSECシリーズのCPUユニットにおけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU94650413/index.html

2023年9月12日火曜日

12日 火曜日、仏滅

+ About the security content of iOS 15.7.9 and iPadOS 15.7.9
https://support.apple.com/ja-jp/HT213913
CVE-2023-41064

+ About the security content of macOS Monterey 12.6.9
https://support.apple.com/ja-jp/HT213914
CVE-2023-41064

+ About the security content of macOS Big Sur 11.7.10
https://support.apple.com/ja-jp/HT213915
CVE-2023-41064

+ Google Chrome 116.0.5845.187/.188 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

+ OpenSSLの脆弱性情報(Low: CVE-2023-3817)
https://security.sios.jp/vulnerability/openssl-security-vulnerability-20230911/
CVE-2023-3817

piyokangoの週刊システムトラブル
山形大学のWebサーバーで不正アクセス被害、150のサイトを一時閉鎖に
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300232/?ST=nxt_thmit_security

JVN#41113329 Pyramid におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN41113329/index.html

2023年9月11日月曜日

11日 月曜日、先負

JVNVU#98894480 Dover Fueling Solutions製MAGLINK LXにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98894480/index.html

JVNVU#92632027 Phoenix Contact製TC ROUTERおよびTC CLOUD CLIENTにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92632027/index.html

JVNVU#92009092 Socomec製MOD3GP-SY-120Kにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92009092/index.html

JVNVU#97308134 Tenda製N300 Wireless N VDSL2 Modem Routerにおける認証回避の脆弱性
http://jvn.jp/vu/JVNVU97308134/index.html

JVNVU#92217208 Digi International製RealPort Protocolにおけるパスワードの代わりにパスワードハッシュを使用する認証の脆弱性
http://jvn.jp/vu/JVNVU92217208/index.html

JVNVU#90292101 Delta Electronics製CNCSoft-BのDOPSoftコンポーネントにおける複数のバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90292101/index.html

JVN#98946408 WordPress 用プラグイン Advanced Custom Fields におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN98946408/index.html

佐野正弘が斬る!ニュースなアプリの裏側
海外からの迷惑電話が社会問題に、渋谷区などの対策プロジェクトは奏功するか
https://xtech.nikkei.com/atcl/nxt/column/18/00086/00275/?ST=nxt_thmit_security

2023年9月8日金曜日

8日 金曜日、赤口

+ Customers unable to submit CSAT feedback via public API in JSM
https://jira-service-management.status.atlassian.com/incidents/3tvwxw6v2n6q

+ About the security content of macOS Ventura 13.5.2
https://support.apple.com/ja-jp/HT213906
CVE-2023-41064

+ About the security content of iOS 16.6.1 and iPadOS 16.6.1
https://support.apple.com/ja-jp/HT213905
CVE-2023-41064
CVE-2023-41061

+ About the security content of watchOS 9.6.2
https://support.apple.com/ja-jp/HT213907
CVE-2023-41061

+ Google Chrome 117.0.5938.48 released
https://chromereleases.googleblog.com/2023/09/early-stable-update-for-desktop.html

+ FreeBSD-SA-23:11.wifi Wi-Fi encryption bypass
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:11.wifi.asc
CVE-2022-47522

+ FreeBSD-SA-23:10.pf pf incorrectly handles multiple IPv6 fragment headers
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:10.pf.asc
CVE-2023-4809

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
相次ぐガードレールなしの生成AI サイバー犯罪者「御用達」の使い道
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/090400115/?ST=nxt_thmit_security

3分でわかる必修ワード IT
デジタル製品をつくる全企業が取り組むべき「SBOM」、脆弱性に迅速対処
https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/090500238/?ST=nxt_thmit_security

2023年9月7日木曜日

7日 木曜日、大安

ニュース解説
検出台数は2割減なのに被害は3割増、調査で判明した今どきのランサムウエア攻撃とは
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08357/?ST=nxt_thmit_security

UPDATE: JVN#95727578 富士通製リアルタイム映像伝送装置「IPシリーズ」におけるハードコードされた認証情報の使用の脆弱性
http://jvn.jp/jp/JVN95727578/index.html

JVNVU#92468046 PTC製Kepwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92468046/index.html

JVN#42691027 「direct」デスクトップ版アプリ Mac版におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN42691027/index.html

JVNVU#99068669 Softneta製MedDream PACSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99068669/index.html

JVN#40604023 セイコーソリューションズ製 SkyBridge MB-A100/A110/A200/A130 および SkySpider MB-R210 における複数の脆弱性
http://jvn.jp/jp/JVN40604023/index.html

VU#304455 Authentication Bypass in Tenda N300 Wireless N VDSL2 Modem Router
https://www.kb.cert.org/vuls/id/304455

2023年9月6日水曜日

6日 水曜日、仏滅

+ RHSA-2023:4644 Important: .NET 6.0 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2023:4644
CVE-2023-35390
CVE-2023-38180

+ RHSA-2023:4643 Important: .NET 7.0 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2023:4643
CVE-2023-35390
CVE-2023-38180

+ RHSA-2023:4642 Important: .NET 7.0 security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2023:4642
CVE-2023-35390
CVE-2023-38180

+ RHSA-2023:4635 Important: rust-toolset:rhel8 security update
https://access.redhat.com/errata/RHSA-2023:4635
CVE-2023-38497

+ RHSA-2023:4634 Important: rust security update
https://access.redhat.com/errata/RHSA-2023:4634
CVE-2023-38497

+ Google Chrome 116.0.5845.179/.180 released
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop.html

+ VMSA-2023-0019.1 VMware Tools updates address a SAML Token Signature Bypass Vulnerability (CVE-2023-20900)
https://www.vmware.com/security/advisories/VMSA-2023-0019.html

+ Apache Struts version 6.3.0 General Availability
https://struts.apache.org/announce-2023#a20230904
https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.3.0

GNU Tools Cauldron 2023
https://gcc.gnu.org/wiki/cauldron2023

JVN#78113802 F-RevoCRM における複数の脆弱性
http://jvn.jp/jp/JVN78113802/index.html

JVN#92720882 PMailServer および PMailServer2 付属 CGI における複数の脆弱性
http://jvn.jp/jp/JVN92720882/index.html

ITセキュリティー対策最前線
生体認証決済を安全に 対策の鍵はリスク分析
[第9回]
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/090400009/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
パソコン70万台超のボットネットが壊滅、あなたの情報が盗まれていないか確認しよう
https://xtech.nikkei.com/atcl/nxt/column/18/00676/090200143/?ST=nxt_thmit_security

2023年9月5日火曜日

5日 火曜日、先負

+ Mozilla Foundation Security Advisory 2023-39 Security Issues in Mozilla VPN for Linux prior to v2.16.1
https://www.mozilla.org/en-US/security/advisories/mfsa2023-39/
CVE-2023-4104

+ VMWare Toolsの脆弱性(Important: CVE-2023-20900)
https://security.sios.jp/vulnerability/vmware-tools-security-vulnerability-20230904/
CVE-2023-20900

+ Linux 6.4 Use-After-Free / Race Condition
https://cxsecurity.com/issue/WLB-2023090009

マルウエア徹底解剖
「OneNote」を悪用するマルウエア
[第45回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081700046/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
県立高教諭が未払い通知の発信元を調べているうちに遠隔操作被害に、長野県が発表
https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300231/?ST=nxt_thmit_security

JVN#82758000 SHIRASAGI における複数の脆弱性
http://jvn.jp/jp/JVN82758000/index.html

2023年9月4日月曜日

4日 月曜日、友引

+ Delayed execution of Automation Rules
https://jira-service-management.status.atlassian.com/incidents/h947p400vbhm

+ Delayed execution of Automation Rules
https://jira-service-management.status.atlassian.com/incidents/c3059hb689l9

+ VMSA-2023-0019 VMware Tools updates address a SAML Token Signature Bypass Vulnerability (CVE-2023-20900)
https://www.vmware.com/security/advisories/VMSA-2023-0019.html
CVE-2023-20900

+ VMSA-2023-0018.1 VMware Aria Operations for Networks updates address multiple vulnerabilities. (CVE-2023-34039, CVE-2023-20890)
https://www.vmware.com/security/advisories/VMSA-2023-0018.html
CVE-2023-34039
CVE-2023-20890

+ Postfix stable release 3.8.2, and legacy releases 3.7.7, 3.6.11, 3.5.21
http://www.postfix.org/announcements/postfix-3.8.2.html

+ UPDATE: JVNVU#92673251 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU92673251/index.html

+ UPDATE: JVNVU#94155938 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU94155938/index.html

+ UPDATE: JVNVU#91253151 Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害(DoS)の脆弱性
http://jvn.jp/vu/JVNVU91253151/index.html

+ UPDATE: JVNVU#91213144 OpenSSLに複数の脆弱性
http://jvn.jp/vu/JVNVU91213144/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題
http://jvn.jp/vu/JVNVU90813125/index.html

+ UPDATE: JVNVU#90416738 Apache Tomcat の複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU90416738/index.html

+ Apache Tomcatの脆弱性(Moderate: CVE-2023-41080)
https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20230903/
CVE-2023-41080

JVNVU#92686627 Service Location Protocol実装機器がサービス運用妨害(DoS)攻撃に悪用される可能性(CVE-2023-29552)
http://jvn.jp/vu/JVNVU92686627/index.html

JVNVU#94675398 Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性
http://jvn.jp/vu/JVNVU94675398/index.html

JVNVU#98997569 ARDEREG製Sistemas SCADAにおけるSQLインジェクションの脆弱性
http://jvn.jp/vu/JVNVU98997569/index.html

JVNVU#93835558 GE Digital製CIMPLICITYにおけるプログラム実行の制御不備の脆弱性
http://jvn.jp/vu/JVNVU93835558/index.html

ニュース解説
規範示すべきNISCがサイバー攻撃時の情報共有を軽視、JPCERT/CCが指摘
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08341/?ST=nxt_thmit_security

2023年9月1日金曜日

1日 金曜日、大安

+ Delayed execution of Automation Rules
https://jira-service-management.status.atlassian.com/incidents/c3059hb689l9

+ Mozilla Foundation Security Advisory 2023-38 Security Vulnerabilities fixed in Thunderbird 115.2
https://www.mozilla.org/en-US/security/advisories/mfsa2023-38/
CVE-2023-4573
CVE-2023-4574
CVE-2023-4575
CVE-2023-4576
CVE-2023-4577
CVE-2023-4051
CVE-2023-4578
CVE-2023-4053
CVE-2023-4580
CVE-2023-4581
CVE-2023-4582
CVE-2023-4583
CVE-2023-4584
CVE-2023-4585

+ Mozilla Foundation Security Advisory 2023-37 Security Vulnerabilities fixed in Thunderbird 102.15
https://www.mozilla.org/en-US/security/advisories/mfsa2023-37/

+ PHP 8.2.10, 8.1.23 released
https://www.php.net/ChangeLog-8.php#8.2.10
https://www.php.net/ChangeLog-8.php#8.1.23

+ Pythonの脆弱性(Important: CVE-2023-40217)
https://security.sios.jp/vulnerability/python-security-vulnerability-20230831/
CVE-2023-40217

JVN#42527152 FFRI yarai および FFRI yarai Home and Business Edition における例外条件の不適切な処理の脆弱性
http://jvn.jp/jp/JVN42527152/index.html

JVN#60140221 i-PRO 製 VI Web Client における複数の脆弱性
http://jvn.jp/jp/JVN60140221/index.html

JVNVU#92007249 CODESYS GmbH製CODESYS Development Systemにおける複数の脆弱性
http://jvn.jp/vu/JVNVU92007249/index.html

JVNVU#96671664 PTC製Codebeamerにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU96671664/index.html