31日 火曜日、先勝

+ Zabbix 5.0.39, 4.0.50 released

https://www.zabbix.com/rn/rn5.0.39

https://www.zabbix.com/rn/rn4.0.50

+  VMSA-2023-0024 VMware Tools updates address Local Privilege Escalation and SAML Token Signature Bypass vulnerabilities (CVE-2023-34057, CVE-2023-34058)

https://www.vmware.com/security/advisories/VMSA-2023-0024.html

CVE-2023-34057

CVE-2023-34058

クラウド活用に潜む落とし穴

「どこから出すか」で変わる料金　タグを使って無駄を省く

Part5 従量課金に潜む落とし穴

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800005/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴

接続数の「上限」踏まえた設計を　自由に設定できないルーターにも注意

Part4 大規模な環境に潜む落とし穴

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800004/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴

移行を機にネットワークを再設計　仮想ファイアウオールは「1択」

Part3 クラウドの仕様に潜む落とし穴

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800003/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴

PoCでトラフィック量の目安を知る　SaaSに張るセッションを見落とさない

Part2 クラウドにつなぐ準備に潜む落とし穴

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800002/?ST=nxt_thmit_security

クラウド活用に潜む落とし穴

「ネット経由の貸し出し」が浸透　仮想化技術で柔軟さ高める

Part1 クラウドの基礎知識

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101800176/101800001/?ST=nxt_thmit_security

Microsoft製品で構築するゼロトラスト

Microsoft製品がカバーする、ゼロトラストの6つの基本要素

https://xtech.nikkei.com/atcl/nxt/column/18/02628/102900001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

岡山県が手放したドメインを第三者が取得、注意喚起を出すも県サイトにURL残る

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500238/?ST=nxt_thmit_security

NEWS close-up

LockBit被害の菱機工業がセキュリティー強化へ

苦い教訓を生かしゼロトラストにかじ　次世代ウイルス対策ソフトも導入

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101900227/?ST=nxt_thmit_security

JVN#48057522 Inkdrop におけるコードインジェクションの脆弱性

http://jvn.jp/jp/JVN48057522/index.html

JVNVU#99110526 Dingtian製DT-R002におけるCapture-replayによる認証回避の脆弱性

http://jvn.jp/vu/JVNVU99110526/index.html

JVNVU#95553816 Centralite製Pearl Thermostatにおける制限または調整なしのリソースの割り当ての脆弱性

http://jvn.jp/vu/JVNVU95553816/index.html

JVNVU#97042094 複数のRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97042094/index.html

JVNVU#90408410 Sielco製PolyEco、Radio LinkおよびAnalog FM Transmitterにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90408410/index.html

27日 金曜日、先負

+ About the security content of iOS 17.1 and iPadOS 17.1

https://support.apple.com/ja-jp/HT213982

CVE-2023-41072

CVE-2023-42857

CVE-2023-40449

CVE-2023-40413

CVE-2023-40416

CVE-2023-40423

CVE-2023-42849

CVE-2023-40408

CVE-2023-42846

CVE-2023-42847

CVE-2023-42845

CVE-2023-42841

CVE-2023-41982

CVE-2023-41997

CVE-2023-41988

CVE-2023-40445

CVE-2023-41254

CVE-2023-40447

CVE-2023-41976

CVE-2023-42852

+ About the security content of iOS 16.7.2 and iPadOS 16.7.2

https://support.apple.com/ja-jp/HT213981

+ About the security content of iOS 15.8 and iPadOS 15.8

https://support.apple.com/ja-jp/HT213990

+ About the security content of macOS Sonoma 14.1

https://support.apple.com/ja-jp/HT213984

+ About the security content of macOS Ventura 13.6.1

https://support.apple.com/ja-jp/HT213985

+ About the security content of macOS Monterey 12.7.1

https://support.apple.com/ja-jp/HT213983

+ About the security content of tvOS 17.1

https://support.apple.com/ja-jp/HT213987

+ About the security content of watchOS 10.1

https://support.apple.com/ja-jp/HT213988

+ About the security content of Safari 17.1

https://support.apple.com/ja-jp/HT213986

+ Mozilla Thunderbird 115.4.1 released

https://www.thunderbird.net/en-US/thunderbird/115.4.1/releasenotes/

+ VMSA-2023-0023 VMware vCenter Server updates address out-of-bounds write and information disclosure vulnerabilities (CVE-2023-34048, CVE-2023-34056)

https://www.vmware.com/security/advisories/VMSA-2023-0023.html

CVE-2023-34048

CVE-2023-34056

+ ClamAV 1.2.1, 1.1.3, 1.0.4, 0.103.11 patch versions published

https://blog.clamav.net/2023/10/clamav-121-113-104-010311-patch.html

+ PHP 8.2.12 released

https://www.php.net/ChangeLog-8.php#8.2.12

+ JVNVU#99631663 OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題（OpenSSL Security Advisory [24th October 2023]）

http://jvn.jp/vu/JVNVU99631663/index.html

CVE-2023-5363

NEWS close-up

トリドールがSaaSでゼロトラスト

SSOやMDM、EDRを続々導入　SaaSアカウント管理にiPaaS見据える

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101800226/?ST=nxt_thmit_security

3分でわかる必修ワード IT

人間の能力を過信しない、クラウドの設定ミスから重要データを守る「CSPM」

クラウド・セキュリティー・ポスチャー・マネジメント（Cloud Security Posture Management、CSPM）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/101300241/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

1単語のように扱われる「TCP/IP」、実はTCPはIPより先に生まれていた

https://xtech.nikkei.com/atcl/nxt/column/18/02598/102000002/?ST=nxt_thmit_security

NEWS close-up

未知の脅威発見にLLMを活用

MicrosoftやGoogleが本腰　CTCは脅威情報を生成AIの学習データに

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101800225/?ST=nxt_thmit_security

ニュース＆リポート

住友生命が1万人で生成AI活用　企画作りや調査、文書作成を効率化

1週間かかる作業を1日で完了、成果に手応え

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/101800976/?ST=nxt_thmit_security

ニュース解説

ドコモがコンテナ対応セキュリティー導入、全スキャンで検知漏れ防ぐ

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08558/?ST=nxt_thmit_security

JVNVU#97149791 Advanced Micro Devices製WindowsカーネルドライバーにおけるIOCTLに対する不十分なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU97149791/index.html

JVN#39139884 Movable Type におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN39139884/index.html

JVNVU#98496793 Rockwell Automation製Stratix 5800およびStratix 5200における権限昇格の問題

http://jvn.jp/vu/JVNVU98496793/index.html

25日 水曜日、先勝

+ Email domain unverified

https://jira-service-management.status.atlassian.com/incidents/jv8rq42647jj

+ Email domain unverified

https://jira-service-management.status.atlassian.com/incidents/8np8669mtvfp

+ Google Chrome 118.0.5993.117/.118 released

https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_24.html

+ Mozilla Firefox 119.0 released

https://www.mozilla.org/en-US/firefox/119.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-45 Security Vulnerabilities fixed in Firefox 119

https://www.mozilla.org/en-US/security/advisories/mfsa2023-45/

CVE-2023-5721

CVE-2023-5722

CVE-2023-5723

CVE-2023-5724

CVE-2023-5725

CVE-2023-5726

CVE-2023-5727

CVE-2023-5728

CVE-2023-5729

CVE-2023-5730

CVE-2023-5731

+ Mozilla Foundation Security Advisory 2023-47 Security Vulnerabilities fixed in Thunderbird 115.4.1

https://www.mozilla.org/en-US/security/advisories/mfsa2023-47/

CVE-2023-5721

CVE-2023-5732

CVE-2023-5724

CVE-2023-5725

CVE-2023-5726

CVE-2023-5727

CVE-2023-5728

CVE-2023-5730

+ OpenSSL Security Advisory [24th October 2023]

https://www.openssl.org/news/secadv/20231024.txt

CVE-2023-5363

+ OpenSSL 3.1.4, 3.0.12 released

https://www.openssl.org/

+ OpenSSLの脆弱性情報(Moderate: CVE-2023-5363)と修正バージョン(OpenSSL 3.1.4 / 3.0.12)

https://security.sios.jp/vulnerability/openssl-security-vulnreability-20231025/

CVE-2023-5363

日経コンピュータ「ITが危ない」

GPU進化でパスワード解読が加速　旧システムは保存方法の見直しを

「ソルト無し・MD5関数」に要注意

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/101700120/?ST=nxt_thmit_security

ニュース解説

楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08552/?ST=nxt_thmit_security

24日 火曜日、赤口

+ Atlassian Account Invite Issues

https://confluence.status.atlassian.com/incidents/7dfvq5kqlx5n

https://jira-service-management.status.atlassian.com/incidents/9qhcsdgft6x6

+ RHSA-2023:5721 Important: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2023:5721

CVE-2023-29406

CVE-2023-39325

CVE-2023-44487

+ VMSA-2023-0021 VMware Aria Operations for Logs updates address multiple vulnerabilities. (CVE-2023-34051, CVE-2023-34052)

https://www.vmware.com/security/advisories/VMSA-2023-0021.html

CVE-2023-34051

CVE-2023-34052

JVNVU#95600622 Trusted Computing GroupのTPM2.0実装における複数の脆弱性

http://jvn.jp/vu/JVNVU95600622/index.html

JVNVU#98683567 オムロン製CX-DesignerにおけるXML外部実体参照（XXE）の脆弱性

http://jvn.jp/vu/JVNVU98683567/index.html

JVN#02058996 HP ThinUpdate におけるサーバ証明書の検証不備の脆弱性

http://jvn.jp/jp/JVN02058996/index.html

piyokangoの週刊システムトラブル

オンラインストレージ「RICOH Drive」にXXE脆弱性、個人情報が流出した可能性

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500237/?ST=nxt_thmit_security

位置情報サービス「NauNau」で個人情報が漏洩か、200万人の情報を閲覧できた可能性

https://xtech.nikkei.com/atcl/nxt/news/18/16145/?ST=nxt_thmit_security

23日 月曜日、大安

+ Degraded experience for Atlassian Intelligence features

https://jira-service-management.status.atlassian.com/incidents/fh3w4s6mlls3

https://confluence.status.atlassian.com/incidents/mkmw4k0kvlsq

+ RHSA-2023:5693 Moderate: Red Hat Ceph Storage 6.1 security, enhancement, and bug fix update

https://access.redhat.com/errata/RHSA-2023:5693

CVE-2018-14041

CVE-2018-20676

CVE-2018-20677

CVE-2023-43040

+ RHSA-2023:5838 Important: nghttp2 security update

https://access.redhat.com/errata/RHSA-2023:5838

CVE-2023-44487

+ RHSA-2023:5837 Important: nghttp2 security update

https://access.redhat.com/errata/RHSA-2023:5837

CVE-2023-44487

+ RHSA-2023:5835 Important: rhc-worker-script enhancement and security update

https://access.redhat.com/errata/RHSA-2023:5835

CVE-2023-39325

CVE-2023-44487

+ RHSA-2023:5803 Important: nodejs:16 security update

https://access.redhat.com/errata/RHSA-2023:5803

CVE-2023-44487

+ UPDATE: Oracle Critical Patch Update Advisory - October 2023

https://www.oracle.com/security-alerts/cpuoct2023.html

+ VMSA-2023-0022 VMware Fusion and Workstation updates address privilege escalation and information disclosure vulnerabilities (CVE-2023-34044, CVE-2023-34045, CVE-2023-34046)

https://www.vmware.com/security/advisories/VMSA-2023-0022.html

CVE-2023-34044

CVE-2023-34045

CVE-2023-34046

+ VMSA-2023-0021 VMware Aria Operations for Logs updates address multiple vulnerabilities. (CVE-2023-34051, CVE-2023-34052)

https://www.vmware.com/security/advisories/VMSA-2023-0021.html

CVE-2023-34051

CVE-2023-34052

+ JVNVU#93413100 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU93413100/index.html

CVE-2023-31122

CVE-2023-45802

CVE-2023-43622

+ Atlassian Confluence Unauthenticated Remote Code Execution

https://cxsecurity.com/issue/WLB-2023100046

CVE-2023-22515

JVNVU#91676340 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91676340/index.html

ついに到来、「パスワードレス」時代

まずは小さい部署から始めよう、企業への「パスキー」導入の勘所

https://xtech.nikkei.com/atcl/nxt/column/18/02618/101900003/?ST=nxt_thmit_security

20日 金曜日、友引

+ RHSA-2023:5539 Important: libvpx security update

https://access.redhat.com/errata/RHSA-2023:5539

CVE-2023-5217

CVE-2023-44488

+ RHSA-2023:5537 Important: libvpx security update

https://access.redhat.com/errata/RHSA-2023:5537

CVE-2023-5217

CVE-2023-44488

+ RHSA-2023:5532 Important: nodejs security and bug fix update

https://access.redhat.com/errata/RHSA-2023:5532

CVE-2023-32002

CVE-2023-32006

CVE-2023-32559

+ Apache HTTP Server 2.4.58 released

https://downloads.apache.org/httpd/Announcement2.4.html

https://downloads.apache.org/httpd/CHANGES_2.4.58

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」

Wi-Fiで送信のパスワードを盗聴　暗号解読不要の恐るべき手法

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/101300118/?ST=nxt_thmit_security

ついに到来、「パスワードレス」時代

大事な情報はネットワークに流さない、パスワードレス認証「パスキー」の巧みな仕組み

https://xtech.nikkei.com/atcl/nxt/column/18/02618/101700002/?ST=nxt_thmit_security

DNPとセキュアワークス、日本企業に有効なサイバー攻撃対策演習を共同開発

https://xtech.nikkei.com/atcl/nxt/news/18/16129/?ST=nxt_thmit_security

カシオの開発環境に不正アクセス、個人情報含む国内約9万件の情報が漏洩

https://xtech.nikkei.com/atcl/nxt/news/18/16124/?ST=nxt_thmit_security

マルウエア徹底解剖

FBIはいかにQbotに打撃を与えたか

［第47回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/101900048/?ST=nxt_thmit_security

JVN#28846531 ジャストシステム製品における複数の脆弱性

http://jvn.jp/jp/JVN28846531/index.html

19日 木曜日、先勝

+ Mozilla Thunderbird 115.3.3 released

https://www.thunderbird.net/en-US/thunderbird/115.3.3/releasenotes/

ついに到来、「パスワードレス」時代

もうパスワードは使わない、任天堂も対応する「パスキー」の正体

https://xtech.nikkei.com/atcl/nxt/column/18/02618/101600001/?ST=nxt_thmit_security

記者の眼

「ドヤれる」ゴールド登録証は更新者増に効くか、7年目の情報処理安全確保支援士

https://xtech.nikkei.com/atcl/nxt/column/18/00138/100501387/?ST=nxt_thmit_security

JVN#95981460 Proself における XML 外部実体参照 (XXE) に関する脆弱性

http://jvn.jp/jp/JVN95981460/index.html

JVNVU#95781217 Schneider Electric製EcoStruxure Power Monitoring ExpertおよびPower Operationにおける信頼できないデータのデシリアライゼーションの脆弱性

http://jvn.jp/vu/JVNVU95781217/index.html

JVNVU#93535614 Rockwell Automation製FactoryTalk Linxにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU93535614/index.html

JVN#58574030 Cisco Secure Email Gateway におけるスキャン回避の問題

http://jvn.jp/jp/JVN58574030/index.html

1８日 水曜日、赤口

+ Consistent problems to access some instances

https://jira-service-management.status.atlassian.com/incidents/88hjljx9sc60

+ Google Chrome 118.0.5993.88/.89 released

https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_17.html

+ Oracle Critical Patch Update Advisory - October 2023

https://www.oracle.com/security-alerts/cpuoct2023.html

+ Samba 4.19.1, 4.18.8 and 4.17.12 Security Releases are available for Download

https://www.samba.org/samba/history/samba-4.19.1.html

https://www.samba.org/samba/history/samba-4.18.8.html

https://www.samba.org/samba/history/samba-4.17.12.html

+ Samba 4.19.2 Available for Download

https://www.samba.org/samba/history/samba-4.19.2.html

+ Squid Caching Proxy 55 Vulnerabilities

https://cxsecurity.com/issue/WLB-2023100042

CVE-2021-31807

CVE-2021-28652

CVE-2021-28651

CVE-2021-31808

CVE-2021-28662

CVE-2021-31806

CVE-2021-33620

JVNVU#98392064 ジェイテクトエレクトロニクス製OnSinView2における複数の脆弱性

http://jvn.jp/vu/JVNVU98392064/index.html

勝村幸博の「今日も誰かが狙われる」

史上最大のDDoS攻撃はHTTP/2の脆弱性を突く、あえてクラウド大手を狙う怖い理由

https://xtech.nikkei.com/atcl/nxt/column/18/00676/101400151/?ST=nxt_thmit_security

17日 火曜日、大安

+ Apache Tomcat 10.1.15 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.15_(schultz)

piyokangoの週刊システムトラブル

利用者がIDを設定するETC利用照会に不正ログイン、メールの「＠より前」を利用か

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500236/?ST=nxt_thmit_security

JVNVU#98207673 Hikvision製Access ControlおよびIntercom製品に複数の脆弱性

http://jvn.jp/vu/JVNVU98207673/index.html

JVN#80476432 web2py における OS コマンドインジェクションの脆弱性

http://jvn.jp/jp/JVN80476432/index.html

JVN#58574030 Cisco Secure Email Gateway におけるスキャン回避の問題

http://jvn.jp/jp/JVN58574030/index.html

16日 月曜日、仏滅

+ MantisBT 2.25.8 released

https://mantisbt.org/blog/archives/mantisbt/736

+ Apache Tomcat 9.0.82 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.82_(remm)

JVNVU#98684785 Weintek製cMT3000 HMI Web CGIにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98684785/index.html

JVNVU#98207673 Hikvision製Access ControlおよびIntercom製品に複数の脆弱性

http://jvn.jp/vu/JVNVU98207673/index.html

13日 金曜日、赤口

+ Users may face slowness/delays when adding new users or customers to their products

https://confluence.status.atlassian.com/incidents/6hpv3cvg045k

+ Anonymous users are being prompted to login

https://confluence.status.atlassian.com/incidents/hzxz9d9vwmx0

+ Users may face slowness/delays when adding new users or customers to their products

https://jira-service-management.status.atlassian.com/incidents/r1jx7k9js9gy

+ Anonymous users are being prompted to login

https://jira-service-management.status.atlassian.com/incidents/vmdrbmwfhj24

+ RHSA-2023:5460 Important: bind9.16 security update

https://access.redhat.com/errata/RHSA-2023:5460

CVE-2023-3341

+ RHSA-2023:5459 Important: ghostscript security update

https://access.redhat.com/errata/RHSA-2023:5459

CVE-2023-36664

+ RHSA-2023:5456 Important: python3.11 security update

https://access.redhat.com/errata/RHSA-2023:5456

CVE-2023-40217

+ RHSA-2023:5455 Important: glibc security update

https://access.redhat.com/errata/RHSA-2023:5455

CVE-2023-4527

CVE-2023-4806

CVE-2023-4813

CVE-2023-4911

+ Mozilla Firefox 118.0.2 released

https://www.mozilla.org/en-US/firefox/118.0.2/releasenotes/

+ Oracle Critical Patch Update Pre-Release Announcement - October 2023

https://www.oracle.com/security-alerts/cpuoct2023.html

ITが危ない

GPU進化でパスワード解読が加速、旧システムは保存方法の見直しを

https://xtech.nikkei.com/atcl/nxt/column/18/00989/101100129/?ST=nxt_thmit_security

実は削れるセキュリティーコスト

意外と削れるセキュリティーガバナンスのコスト、見落としがちな無駄な重複

https://xtech.nikkei.com/atcl/nxt/column/18/02603/101100003/?ST=nxt_thmit_security

ニュース解説

警察庁命名のサイバー攻撃の新手口「ノーウエアランサム」、SNSで大喜利始まる

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08492/?ST=nxt_thmit_security

JVNVU#90509290 三菱電機製MELSEC-Fシリーズ基本ユニットにおける不適切な認証の脆弱性

http://jvn.jp/vu/JVNVU90509290/index.html

12日 木曜日、大安

+ Cannot access Connect applications on Confluence by clicking the three dots menu

https://confluence.status.atlassian.com/incidents/3qzks006gprc

+ CVE-2023-38546 cookie injection with none file

https://curl.se/docs/CVE-2023-38546.html

+ CVE-2023-38545 SOCKS5 heap buffer overflow

https://curl.se/docs/CVE-2023-38545.html

+ 2023 年 10 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2023/10/202310-security-update/

+ Security Updates Available for Adobe Bridge | APSB23-49

https://helpx.adobe.com/security/products/bridge/apsb23-49.html

+ Security?update?available?for?Adobe Commerce?|?APSB23-50

https://helpx.adobe.com/security/products/magento/apsb23-50.html

+ Security update available for Adobe Photoshop | APSB23-51

https://helpx.adobe.com/security/products/photoshop/apsb23-51.html

+ JVNVU#93620838 Apache Tomcatにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93620838/index.html

CVE-2023-45648

CVE-2023-44487

CVE-2023-42795

CVE-2023-42794

+ Apache Tomcat の脆弱性(Important: CVE-2023-45648, CVE-2023-44487, CVE-2023-42795)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20231011/

CVE-2023-45648

CVE-2023-44487

CVE-2023-42795

CVE-2023-42794

ニュース＆リポート

セブン銀行が将来に備える一手　ATMの新サービスで収益源を発掘

プラットフォーム化で非金融ニーズも視野に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092900963/?ST=nxt_thmit_security

ニュース＆リポート

身代金支払いに炎上以外のリスク　捜査で業務に支障を来す場合も

ラックがランサムウエア対応の提言書

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092900966/?ST=nxt_thmit_security

実は削れるセキュリティーコスト

システムごとの個別セキュリティー対策、統合すればコスト削減に直結

https://xtech.nikkei.com/atcl/nxt/column/18/02603/101000002/?ST=nxt_thmit_security

JVNVU#98753493 Siemens製品に対するアップデート（2023年10月）

http://jvn.jp/vu/JVNVU98753493/index.html

11日 水曜日、仏滅

+ Jira is not accessible for some users due CORS errors

https://jira-service-management.status.atlassian.com/incidents/hzbvczpflnb3

+ About the security content of iOS 16.7.1 and iPadOS 16.7.1

https://support.apple.com/ja-jp/HT213972

CVE-2023-42824

CVE-2023-5217

+ Google Chrome 118.0.5993.70/.71 released

https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html

+ Mozilla Thunderbird 115.3.2 released

https://www.thunderbird.net/en-US/thunderbird/115.3.2/releasenotes/

+ Apache Tomcat 10.1.14, 9.0.81, 8.5.94 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.14_(schultz)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.81_(remm)

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94

データは語る

生産設備や機械への脅威　「悪意あるマルウエア」を8割が懸念

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/092900157/?ST=nxt_thmit_security

実は削れるセキュリティーコスト

過去に導入した複数のセキュリティーツールで機能が重複、排除すればコストダウンに

https://xtech.nikkei.com/atcl/nxt/column/18/02603/100500001/?ST=nxt_thmit_security

JVNVU#94752076 キーエンス製KV STUDIOおよびKV REPLAY VIEWERにおける境界外読み取りの脆弱性

http://jvn.jp/vu/JVNVU94752076/index.html

JVNVU#99039725 マイクロリサーチ製MR-GM シリーズにおける複数の脆弱性

http://jvn.jp/vu/JVNVU99039725/index.html

libcueの脆弱性(CVE-2023-43641)によるGNOME環境でのリモートコード実行

https://security.sios.jp/vulnerability/libcue-security-vulnerability-20231009/

10日 火曜日、先負

+ iOS 17.0.3 および iPadOS 17.0.3 のセキュリティコンテンツについて

https://support.apple.com/ja-jp/HT213961

CVE-2023-42824

CVE-2023-5217

+ Wireshark 4.0.10 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.10.html

+ OpenSSH 9.5 released

http://www.openssh.com/releasenotes.html#9.5p1

+ ProFTPD 1.3.8a released

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8a

http://www.proftpd.org/docs/NEWS-1.3.8a

+ JVNVU#91213144 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU91213144/index.html

CVE-2023-0286

CVE-2022-4304

CVE-2023-0215

CVE-2022-4203

CVE-2023-0216

CVE-2023-0217

CVE-2023-0401

CVE-2022-4450

+ glibcの脆弱性(“Looney Tunables”, Important: CVE-2023-4911 )

https://security.sios.jp/vulnerability/glibc-security-vulnerability-20231004/

CVE-2023-4911

+ glibc ld.so Local Privilege Escalation

https://cxsecurity.com/issue/WLB-2023100018

CVE-2023-4911

CVE-2019-19726

JVNVU#97425465 複数のHitachi Energy製品に対するアップデート

http://jvn.jp/vu/JVNVU97425465/index.html

JVNVU#99083531 Qognify製NiceVisionにおけるハードコードされた認証情報の使用の脆弱性

http://jvn.jp/vu/JVNVU99083531/index.html

JVN#15808274 e-Gov電子申請アプリケーションにおける Custom URL Scheme の処理にアクセス制限不備の脆弱性

http://jvn.jp/jp/JVN15808274/index.html

JVN#08237727 Citadel WebCit のインスタントメッセージング機能におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN08237727/index.html

piyokangoの週刊システムトラブル

ソフトバンクグループのECサイトに不正アクセス、IPSが検知し詳細は調査中

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500235/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」

PC70万台超のボットネット壊滅　あなたの情報は盗まれていないか

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/092700117/?ST=nxt_thmit_security

クラウドセキュリティー総点検

みずほFGはExcelチェックシートから移行、クラウド点検はポスチャー管理で自動化

https://xtech.nikkei.com/atcl/nxt/column/18/02599/100400003/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」

「奪えるところからできるだけ奪う」戦略が加速？　ランサムウエアの未来を読む

https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700005/?ST=nxt_thmit_security

ソニーグループは攻撃を確認もドコモは痕跡なし、ランサムリークサイト掲載の2社

https://xtech.nikkei.com/atcl/nxt/news/18/16049/?ST=nxt_thmit_security

クラウドセキュリティー総点検

自社のクラウドセキュリティーは大丈夫か、今すぐ点検すべき12項目

https://xtech.nikkei.com/atcl/nxt/column/18/02599/100300002/?ST=nxt_thmit_security

記者の眼

一企業では難しい脆弱性対策の徹底、記者が提案したいクラウド移行という選択

https://xtech.nikkei.com/atcl/nxt/column/18/00138/100101382/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」

今やるべきランサムウエア対策の勘所、身代金を支払うと復旧にコストも時間もかかる

https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700004/?ST=nxt_thmit_security

4日 水曜日、先負

+ Google Chrome 117.0.5938.149/.150 released

https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop.html

+ Apache Tomcat Native 2.0.6, 1.2.39 released

https://tomcat.apache.org/native-doc/miscellaneous/changelog.html

https://tomcat.apache.org/native-1.2-doc/miscellaneous/changelog.html

ITセキュリティー対策最前線

海外拠点のセキュリティー管理　ルール、体制、技術的対策が鍵

［最終回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/092700010/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」

変わるランサムウエア攻撃の手口、VPN装置経由の侵入や「2重脅迫」が当たり前に

https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700003/?ST=nxt_thmit_security

3日 火曜日、友引

+ Apache Tomcat Native 2.0.6 Released

https://tomcat.apache.org/native-doc/miscellaneous/changelog.html

マルウエア徹底解剖

管理者権限を陰で奪う「UACバイパス」

［第46回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091900047/?ST=nxt_thmit_security

過去から未来まで一気に解説、ランサムウエア「解体新書」

当初の「変わり種」は今やサイバー兵器に、30年以上に及ぶランサムウエアの歴史

https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

都の子育て支援事業「018サポート」で17万人にチラシ誤送付、原因はプログラムのバグ

https://xtech.nikkei.com/atcl/nxt/column/18/00598/021000212/?ST=nxt_thmit_security

SCSKがセキュリティー対策の専門会社、2030年までに1000億円の事業規模を目指す

https://xtech.nikkei.com/atcl/nxt/news/18/16020/?ST=nxt_thmit_security

JVNVU#94497038 フルノシステムズ製無線LANアクセスポイント（STモード利用時）における複数の脆弱性

http://jvn.jp/vu/JVNVU94497038/index.html

JVN#39596244 医薬品医療機器等法対応医薬品等電子申請ソフトにおける XML 外部実体参照 (XXE) に関する脆弱性

http://jvn.jp/jp/JVN39596244/index.html

2日 月曜日、先勝

+ Mozilla Thunderbird 115.3.1 released

https://www.thunderbird.net/en-US/thunderbird/115.3.1/releasenotes/

過去から未来まで一気に解説、ランサムウエア「解体新書」

国内で急増するランサムウエア被害の実態、半数が復旧に1000万円超を投じる

https://xtech.nikkei.com/atcl/nxt/column/18/02597/092700001/?ST=nxt_thmit_security

JVNVU#96453567 Rockwell Automation製PanelView 800における不適切な入力検証の脆弱性

http://jvn.jp/vu/JVNVU96453567/index.html

JVNVU#97210928 DEXMA製DexGateにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97210928/index.html

eximの緊急のゼロデイ脆弱性(Critical: CVE-2023-42115)

https://security.sios.jp/vulnerability/exim-security-vulnerability-20230930/