2023年11月29日水曜日

29日 水曜日、友引

+ Elevated errors in the analytics services
https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

+ RHSA-2023:7554 Important: kpatch-patch security update
https://access.redhat.com/errata/RHSA-2023:7554
CVE-2023-2163
CVE-2023-3812
CVE-2023-5178

+ Google Chrome 119.0.6045.199/.200, 118.0.5993.159 released
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_28.html

+ Mozilla Thunderbird 115.5.1 released
https://www.thunderbird.net/en-US/thunderbird/115.5.1/releasenotes/

+ Apache Tomcat の脆弱性(Important: CVE-2023-46589)
https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20231129/
CVE-2023-46589

■b.root-servers.net(B-Root)のIPアドレス変更に伴う設定変更について
https://jprs.jp/tech/notice/2023-11-28-b.root-servers.net-ip-address-change.html

日経NETWORK 特別リポート
GPU進化でパスワード解読が加速
旧システムは保存方法の見直しを
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111600071/?ST=nxt_thmit_security

NEWS close-up
楽天が「security.txt」を導入
公開サーバーに置くテキストファイル なぜセキュリティー向上に役立つのか
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700230/?ST=nxt_thmit_security

ニュース解説
中部電力系が制御システムの資産管理を刷新、脱Excelでサイバーリスクに備える
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08646/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態
https://xtech.nikkei.com/atcl/nxt/column/18/00676/112600155/?ST=nxt_thmit_security

2023年11月28日火曜日

28日 火曜日、先勝

+ Elevated errors in the analytics services
https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

NEWS close-up
NTT西子会社で900万件の顧客情報流出
ずさんだったセキュリティーやガバナンス 内部不正が起こる「要件満たす」
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111600228/?ST=nxt_thmit_security

当事者が語る! トラブルからの脱出
ネットワークにつながらない 監視カメラからUDP増幅攻撃
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/111600071/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
泉北高速鉄道子会社の不正アクセス、実は故障で「情報の漏洩はありません」
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500242/?ST=nxt_thmit_security

LINEヤフーが40万件超の個人情報流出、マルウエア感染から不正アクセス被害
https://xtech.nikkei.com/atcl/nxt/news/18/16340/?ST=nxt_thmit_security

2023年11月27日月曜日

27日 月曜日、赤口

+ Apache POI 5.2.5 available
https://poi.apache.org/changes.html#5.2.5

JVNVU#98496793 Rockwell Automation製Stratix 5800およびStratix 5200における複数の脆弱性
http://jvn.jp/vu/JVNVU98496793/index.html

JVNVU#97193440 複数のKeysight Technologies製品における信頼できないデータのデシリアライゼーションの脆弱性
http://jvn.jp/vu/JVNVU97193440/index.html

piyokangoの月刊システムトラブル
ETC利用照会に不正アクセス メールの「@より前」利用か
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111600057/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
インターネットの根幹支えるDNS、「つくづく面倒なプロトコル」と言わざるを得ない
https://xtech.nikkei.com/atcl/nxt/column/18/02598/111700003/?ST=nxt_thmit_security

ソニーとAP通信がカメラ内デジタル署名技術を実証実験、フェイク画像の拡散抑制へ
https://xtech.nikkei.com/atcl/nxt/news/18/16336/?ST=nxt_thmit_security

個情委がデータガバナンスの組織事例公開、法務との連携でITの「攻守」盤石に
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08654/?ST=nxt_thmit_security

2023年11月24日金曜日

24日 金曜日、先負

+ Notification emails sent with @unknown mentions
https://confluence.status.atlassian.com/incidents/4shmsb4dhnmk

+ Intermittent issues with Confluence Editor
https://confluence.status.atlassian.com/incidents/7bcjq3jqppb0

+ Rocky Linux 8.9 Available Now
https://rockylinux.org/news/rocky-linux-8-9-ga-release/

+  OpenSSL 3.2.0 released
https://www.openssl.org/blog/blog/2023/11/23/OpenSSL32/

+ PHP 8.3.0, 8.2.13, 8.1.26 released
https://www.php.net/ChangeLog-8.php#8.3.0
https://www.php.net/ChangeLog-8.php#8.2.13
https://www.php.net/ChangeLog-8.php#8.1.26

大阪急性期・総合医療センターがシスコのネットワーク監視ツールを導入
https://xtech.nikkei.com/atcl/nxt/news/18/16327/?ST=nxt_thmit_security

ヤマハがL2スイッチ新製品4機種、多数の高速ポートを搭載
https://xtech.nikkei.com/atcl/nxt/news/18/16325/?ST=nxt_thmit_security

JVNVU#98886797 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98886797/index.html

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性
http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#96020889 複数のWAGO製品における別領域リソースに対する外部からの制御可能な参照の脆弱性
http://jvn.jp/vu/JVNVU96020889/index.html

2023年11月22日水曜日

22日 水曜日、先勝

+ Announcing AlmaLinux 8.9 Stable!
https://almalinux.org/blog/2023-11-21-announcing-89-stable/

+ Mozilla Firefox 120.0 released
https://www.mozilla.org/en-US/firefox/120.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-49 Security Vulnerabilities fixed in Firefox 120
https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/
CVE-2023-6204
CVE-2023-6205
CVE-2023-6206
CVE-2023-6207
CVE-2023-6208
CVE-2023-6209
CVE-2023-6210
CVE-2023-6211
CVE-2023-6212
CVE-2023-6213

+ Mozilla Foundation Security Advisory 2023-52 Security Vulnerabilities fixed in Thunderbird 115.5.0
https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/
CVE-2023-6204
CVE-2023-6205
CVE-2023-6206
CVE-2023-6207
CVE-2023-6208
CVE-2023-6209
CVE-2023-6212

+ Mozilla Thunderbird 115.5.0 released
https://www.thunderbird.net/en-US/thunderbird/115.5.0/releasenotes/

ゼロトラストに欠かせないIDガバナンスの勘所
第3回
IDガバナンスのシステム構築は4通り、何を基準に選ぶべきか
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600003/?ST=nxt_thmit_security

JVNVU#98760962 三菱電機製GX Works2のシミュレーション機能における不適切なパケット処理の脆弱性
http://jvn.jp/vu/JVNVU98760962/index.html

JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

2023年11月21日火曜日

21日 火曜日、赤口

+ Rocky Linux 9.3 Available Now
https://rockylinux.org/news/rocky-linux-9-3-ga-release/

+ FreeBSD 14.0-RELEASE Announcement
https://www.freebsd.org/releases/14.0R/announce/
https://www.freebsd.org/releases/14.0R/relnotes/
https://www.freebsd.org/releases/14.0R/errata/

+ PostgreSQL JDBC Driver 42.7.0 released
https://jdbc.postgresql.org/changelogs/2023-11-20-42.7.0-release/

GCC devroom at FOSDEM 2024: Call for Participation open
https://inbox.sourceware.org/gcc/36fadb0549c3dca716eb3b923d66a11be2c67a61.camel@redhat.com/

JVN#15005948 LuxCal Web Calendar における複数の脆弱性
http://jvn.jp/jp/JVN15005948/index.html

日経コンピュータ「ITが危ない」
新型コロナ対策「負の遺産」 独自ドメインの流出に注意
使い終わったドメインは「塩漬け」に
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/111300122/?ST=nxt_thmit_security

データは語る
45.1%がルール違反を監視してない クラウド事業者を調査
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/111000160/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所
第2回
ポイントは「ロール」と「利用権限」、IDガバナンスの実践法
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600002/?ST=nxt_thmit_security

記者の眼
「ファイアウオール入れた」とは話が違う、実態つかめぬゼロトラストの導入状況
https://xtech.nikkei.com/atcl/nxt/column/18/00138/111601411/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
「0.1秒」以内の複数ログインで他方の情報を表示、クラウド請求書INVOYで発生
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500241/?ST=nxt_thmit_security

CTCがシステム運用を効率化するクラウドサービス、オブザーバビリティーを強化
https://xtech.nikkei.com/atcl/nxt/news/18/16315/?ST=nxt_thmit_security

2023年11月20日月曜日

20日 月曜日、大安

+ RHSA-2023:7277 Important: open-vm-tools security update
https://access.redhat.com/errata/RHSA-2023:7277
CVE-2023-34058
CVE-2023-34059

+ RHSA-2023:7265 Important: open-vm-tools security update
https://access.redhat.com/errata/RHSA-2023:7265
CVE-2023-34058
CVE-2023-34059

+ RHSA-2023:7257 Moderate: dotnet6.0 security update
https://access.redhat.com/errata/RHSA-2023:7257
CVE-2023-36049
CVE-2023-36558

キーワード
CSPM(Cloud Security Posture Management)
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/111000155/?ST=nxt_thmit_security

ケーススタディー
3万4千人の認証・認可基盤を刷新 多様な利用者を統制し利便性向上
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/110800144/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所
第1回
ゼロトラストに「IDガバナンス」が不可欠である理由
https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600001/?ST=nxt_thmit_security

先端技術ニュースプラス
「IoT機器踏み台攻撃が増加中」、Keysightが脆弱性検査ツール
「EdgeTech+ 2023」開催
https://xtech.nikkei.com/atcl/nxt/column/18/01537/00991/?ST=nxt_thmit_security

JVNVU#93704294 Red Lion製SixTRAKおよびVersaTRAKシリーズのRTUにおける複数の脆弱性
http://jvn.jp/vu/JVNVU93704294/index.html

JVNVU#98954968 CLUSTERPRO Xにおける複数の脆弱性
http://jvn.jp/vu/JVNVU98954968/index.html

JVNVU#94195279 Hitachi Energy製MACH System Softwareにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94195279/index.html

JVN#22220399 CubeCart における複数の脆弱性
http://jvn.jp/jp/JVN22220399/index.html

JVN#13618065 Redmine におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN13618065/index.html

JVNVU#92598492 Siemens製品に対するアップデート(2023年11月)
http://jvn.jp/vu/JVNVU92598492/index.html

2023年11月17日金曜日

17日 金曜日、友引

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
史上最大のDDoS攻撃 あえてクラウド大手を狙う理由
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/110800120/?ST=nxt_thmit_security

国内企業の56.8%が過去3年間でサイバー攻撃を経験、トレンドマイクロ調査
https://xtech.nikkei.com/atcl/nxt/news/18/16263/?ST=nxt_thmit_security

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性
http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#99077347 ファースト製DVRにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99077347/index.html

2023年11月16日木曜日

16日 木曜日、先勝

+ Mozilla Thunderbird 115.4.3 released
https://www.thunderbird.net/en-US/thunderbird/115.4.3/releasenotes/

+ Wireshark 4.2.0, 4.0.11, 3.6.19 released
https://www.wireshark.org/docs/relnotes/wireshark-4.2.0.html
https://www.wireshark.org/docs/relnotes/wireshark-4.0.11.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.19.html

+ ISC BIND 9.18.20, 9.16.45 released
https://downloads.isc.org/isc/bind9/9.18.20/doc/arm/html/notes.html
https://downloads.isc.org/isc/bind9/9.16.45/doc/arm/html/notes.html

+ Apache Tomcat 9.0.83 Released
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.83_(remm)

JVNVU#93840158 富士電機製複数製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93840158/index.html

JVNVU#96399390 Intel製品に複数の脆弱性(2023年11月)
http://jvn.jp/vu/JVNVU96399390/index.html

JVNVU#92598492 Siemens製品に対するアップデート(2023年11月)
http://jvn.jp/vu/JVNVU92598492/index.html

JVN#48057522 Inkdrop におけるコードインジェクションの脆弱性
http://jvn.jp/jp/JVN48057522/index.html

JVNVU#93965614 複数のAVEVA製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93965614/index.html

JVNVU#99774191 複数のRockwell Automation製品における不適切な入力確認の脆弱性
http://jvn.jp/vu/JVNVU99774191/index.html

JVNVU#96079387 ASUSTeK COMPUTER製RT-AC87Uにおける不適切なアクセス制御の脆弱性
http://jvn.jp/vu/JVNVU96079387/index.html

2023年11月15日水曜日

15日 水曜日、赤口

+ RHSA-2023:7213 Critical: squid:4 security update
https://access.redhat.com/errata/RHSA-2023:7213
CVE-2023-46846
CVE-2023-46847

+ RHSA-2023:7077 Important: kernel security, bug fix, and enhancement update
https://access.redhat.com/errata/RHSA-2023:7077
CVE-2021-43975
CVE-2022-3594
CVE-2022-3640
CVE-2022-4744
CVE-2022-28388
CVE-2022-38457
CVE-2022-40133
CVE-2022-40982
CVE-2022-42895
CVE-2022-45869
CVE-2022-45887
CVE-2023-0458
CVE-2023-0590
CVE-2023-0597
CVE-2023-1073
CVE-2023-1074
CVE-2023-1075
CVE-2023-1079
CVE-2023-1118
CVE-2023-1206
CVE-2023-1252
CVE-2023-1382
CVE-2023-1855
CVE-2023-1989
CVE-2023-1998
CVE-2023-2513
CVE-2023-3141
CVE-2023-3161
CVE-2023-3212
CVE-2023-3268
CVE-2023-3609
CVE-2023-3611
CVE-2023-3772
CVE-2023-4128
CVE-2023-4132
CVE-2023-4155
CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4732
CVE-2023-23455
CVE-2023-26545
CVE-2023-28328
CVE-2023-28772
CVE-2023-30456
CVE-2023-31084
CVE-2023-31436
CVE-2023-33203
CVE-2023-33951
CVE-2023-33952
CVE-2023-35823
CVE-2023-35824
CVE-2023-35825

+ RHSA-2023:7065 Moderate: tomcat security and bug fix update
https://access.redhat.com/errata/RHSA-2023:7065
CVE-2023-24998
CVE-2023-28708
CVE-2023-28709

+ Google Chrome 119.0.6045.159/.160, 118.0.5993.144 released
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_14.html

+ 2023 年 11 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/11/202311-security-update/

+ VMSA-2023-0026 VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060)
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
CVE-2023-34060

+ Apache Tomcat 10.1.16, 8.5.96 Released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.16_(schultz)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.94_(schultz)

+ Intel CPUの脆弱性(Reptar: CVE-2023-23583)
https://security.sios.jp/vulnerability/misc-security-vulnerability-20231115/
CVE-2023-23583

JVNVU#94119876 エレコム製およびロジテック製ルーターにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94119876/index.html

JVNVU#91630351 エレコム製およびロジテック製ネットワーク機器における複数の脆弱性
http://jvn.jp/vu/JVNVU91630351/index.html

JVN#67822421 OSS Calendar における SQL インジェクションの脆弱性
http://jvn.jp/jp/JVN67822421/index.html

勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりを務める、SNSの書き込みから個人が特定される脅威
https://xtech.nikkei.com/atcl/nxt/column/18/00676/110900153/?ST=nxt_thmit_security

プライバシーマーク審査関連資料が漏洩、JIPDECが再発防止策を発表
https://xtech.nikkei.com/atcl/nxt/news/18/16284/?ST=nxt_thmit_security

2023年11月14日火曜日

14日 火曜日、大安

piyokangoの週刊システムトラブル
正規のQRコードから不正サイトに誘導されるトラブル続く、学習院大学やいなげやで
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500240/?ST=nxt_thmit_security

JVN#96209256 プリザンターにおける複数の脆弱性
http://jvn.jp/jp/JVN96209256/index.html

JVN#17806703 Cisco Firepower Management Center Software における複数の脆弱性
http://jvn.jp/jp/JVN17806703/index.html

2023年11月13日月曜日

13日 月曜日、仏滅

+ squidの脆弱性(Critical:CVE-2023-5824, CVE-2023-46846, CVE-2023-46847, High: CVE-2023-46724, CVE-2023-46848)
https://security.sios.jp/vulnerability/squid-security-vulnerability-20231110/
CVE-2023-5824
CVE-2023-4684
CVE-2023-46847
CVE-2023-46724
CVE-2023-46848

+ Linux Kernelの脆弱性(Important: CVE-2023-5178)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20231110/
CVE-2023-5178

ニュース解説
ユーザー名とパスワードが正しいのにNASが利用不能に、NTLM認証廃止の波紋
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08610/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
7割超のフィッシングはDMARCで止める、すり抜けたメールにも多層防御で対抗
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110900008/?ST=nxt_thmit_security

JVNVU#98040889 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性(2023年11月)
http://jvn.jp/vu/JVNVU98040889/index.html

JVNVU#95461779 Johnson Controls製Quantum HD Unityにおける有効なままのデバッグ機能の脆弱性
http://jvn.jp/vu/JVNVU95461779/index.html

JVNVU#90814029 Hitachi Energy製eSOMSにおける複数の脆弱性
http://jvn.jp/vu/JVNVU90814029/index.html

JVNVU#93840158 富士電機製複数製品における複数の脆弱性
http://jvn.jp/vu/JVNVU93840158/index.html

JVN#99177549 HOTELDRUID におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN99177549/index.html

JVN#86156389 Remarshal における YAML エイリアスノードの展開処理に関する脆弱性
http://jvn.jp/jp/JVN86156389/index.html

SSHログインにGoogle Authenticatorを使用する
https://security.sios.jp/security/ssh_google_authenticator/

2023年11月10日金曜日

10日 金曜日、大安

+ FreeBSD-SA-23:16.cap_net Incorrect libcap_net limitation list manipulation
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:16.cap_net.asc
CVE-2023-5978

+ FreeBSD-SA-23:15.libc libc stdio buffer overflow
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:15.stdio.asc
CVE-2023-5941

+ PostgreSQL 16.1, 15.5, 14.10, 13.13, 12.17, and 11.22 Released!
https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/
https://www.postgresql.org/docs/16/release-16-1.html
https://www.postgresql.org/docs/15/release-15-5.html
https://www.postgresql.org/docs/14/release-14-10.html
https://www.postgresql.org/docs/13/release-13-13.html
https://www.postgresql.org/docs/12/release-12-17.html

+ Sudo 1.9.15p2 released
https://www.sudo.ws/releases/stable/#1.9.15p2

+ JVNVU#99711420 OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題(Security Advisory [6th November 2023])
http://jvn.jp/vu/JVNVU99711420/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2023-5678)
https://security.sios.jp/vulnerability/openssl-security-vulnerability-20231109/
CVE-2023-5678

ゼロトラストを支える技術2023
セキュリティー運用をAIで高度化、「SIEM」「SOAR」の仕組み
https://xtech.nikkei.com/atcl/nxt/column/18/02417/110800012/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
詐欺メールを減らす「送信ドメイン認証」、運用時の3大つまずきポイントと対策
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110300005/?ST=nxt_thmit_security

JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94434051/index.html

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性
http://jvn.jp/vu/JVNVU91988072/index.html

2023年11月9日木曜日

9日 木曜日、仏滅

+ HOT-106056 Atlassian Intelligence functionally completely down
https://jira-service-management.status.atlassian.com/incidents/wcxjlxlm3bc6
https://confluence.status.atlassian.com/incidents/jyhhxhzp51yf

+ RHSA-2023:6818 Important: Satellite 6.14 security and bug fix update
https://access.redhat.com/errata/RHSA-2023:6818
CVE-2022-0759
CVE-2022-1292
CVE-2022-2068
CVE-2022-3644
CVE-2022-3874
CVE-2022-4130
CVE-2022-40899
CVE-2022-41717
CVE-2022-44566
CVE-2022-44570
CVE-2022-44571
CVE-2022-44572
CVE-2022-46648
CVE-2022-47318
CVE-2023-0118
CVE-2023-0119
CVE-2023-1894
CVE-2023-22792
CVE-2023-22794
CVE-2023-22795
CVE-2023-22796
CVE-2023-22799
CVE-2023-27530
CVE-2023-27539
CVE-2023-29406
CVE-2023-30608
CVE-2023-31047
CVE-2023-32681
CVE-2023-36053
CVE-2023-39325
CVE-2023-40267
CVE-2023-44487

+ Squid 6.5 release notes
http://www.squid-cache.org/Versions/v6/squid-6.5-RELEASENOTES.html

+UPDATE: Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ Sudo 1.9.15p1 released
https://www.sudo.ws/releases/stable/#1.9.15p1

ニュース&リポート
顧客情報900万件持ち出し防げず NTT西子会社のずさんな内部不正対策
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/103100979/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
なりすまし対策の欠点を補うDMARCと、現時点で攻撃者お手上げのBIMI
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110700007/?ST=nxt_thmit_security

編集長の眼
「自信のない」セキュリティー組織、薦めたい1冊の教科書がある
https://xtech.nikkei.com/atcl/nxt/column/18/00139/110700099/?ST=nxt_thmit_security

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性
http://jvn.jp/vu/JVNVU91988072/index.html

2023年11月8日水曜日

8日 水曜日、先負

+ Users unable to access boards, projects and issues in Jira Cloud
https://jira-service-management.status.atlassian.com/incidents/r0csdzyzjr3w


+ Google Chrome 118.0.5993.136 released
https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_7.html

+ Mozilla Firefox 119.0.1 released
https://www.mozilla.org/en-US/firefox/119.0.1/releasenotes/

+ Mozilla Thunderbird 115.4.2 released
https://www.thunderbird.net/en-US/thunderbird/115.4.2/releasenotes/

+ OpenSSL Security Advisory [6th November 2023]
https://www.openssl.org/news/secadv/20231106.txt
CVE-2023-5678

JVN#29195731 EC-CUBE 3系および 4系において任意のコードを実行される脆弱性
http://jvn.jp/jp/JVN29195731/index.html

JVNVU#93436992 Red Lion製CrimsonにおけるNullバイトまたはNUL文字の不適切な無害化処理の脆弱性
http://jvn.jp/vu/JVNVU93436992/index.html

JVNVU#93518708 Franklin Electric製T5シリーズにおける強度が不十分なパスワードハッシュの使用の脆弱性
http://jvn.jp/vu/JVNVU93518708/index.html

JVNVU#96908561 Weintek製EasyBuilder Proにおけるハードコードされた認証情報の使用の脆弱性
http://jvn.jp/vu/JVNVU96908561/index.html

JVNVU#94501804 Schneider Electric製SpaceLogic C-Bus Toolkitにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94501804/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ
ゼロトラスト推進の「一丁目一番地」はID基盤整備
https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600002/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
SPFとDKIMをおさらい、IPアドレスとデジタル署名で身元証明
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110600006/?ST=nxt_thmit_security

2023年11月7日火曜日

7日 火曜日、友引

+ Sudo 1.9.15 released
https://www.sudo.ws/releases/stable/#1.9.15

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94620134/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ
クラウド移行がセキュリティー対策強化のチャンスである理由
https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600001/?ST=nxt_thmit_security

詐欺メール撲滅大作戦
ユーザーをだますフィッシングメール、2つの「From」をなぜ偽装できるのか
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
大阪市宛てのメールが届かない障害、原因はセキュリティー機能の過剰反応
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500239/?ST=nxt_thmit_security

2023年11月6日月曜日

6日 月曜日、先勝

+ Jira Automation rules failed when sending out emails
https://jira-service-management.status.atlassian.com/incidents/bvds889xdv0q

+ gawk 5.3.0 released
http://ftp.gnu.org/gnu/gawk/?C=M;O=D

+ Apache PDFBox 2.0.30 released
https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353385

+ VMWare Aria Operations For Networks SSH Private Key Exposure
https://cxsecurity.com/issue/WLB-2023110005
CVE-2023-34039

詐欺メール撲滅大作戦
詐欺メール撲滅にGoogleとYahooも本腰、導入が求められる「送信ドメイン認証」
https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100001/?ST=nxt_thmit_security

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性
http://jvn.jp/vu/JVNVU94620134/index.html

JVN#14762986 e-Taxソフトにおける XML 外部実体参照 (XXE) に関する脆弱性
http://jvn.jp/jp/JVN14762986/index.html

2023年11月2日木曜日

2日 木曜日、先負

+ UPDATE: Oracle Critical Patch Update Advisory - October 2023
https://www.oracle.com/security-alerts/cpuoct2023.html

+ Postfix stable release 3.8.3, and legacy releases 3.7.8, 3.6.12, 3.5.22
http://www.postfix.org/announcements/postfix-3.8.3.html

JVN#03447226 スマートフォンアプリ「すかいらーくアプリ」におけるアクセス制限不備の脆弱性
http://jvn.jp/jp/JVN03447226/index.html

JVNVU#96482726 富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)における脆弱性
http://jvn.jp/vu/JVNVU96482726/index.html

JVNVU#99737177 Zavio製IP Cameraにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99737177/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
「使い回し」のアレンジも破られる 高確率でパスワード推測の新手法
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102700119/?ST=nxt_thmit_security

マイクロソフト製品で構築するゼロトラスト
端末からクラウドまで保護、Microsoft Defenderの全体像
https://xtech.nikkei.com/atcl/nxt/column/18/02628/103000003/?ST=nxt_thmit_security

2023年11月1日水曜日

1日 水曜日、友引

+ MantisBT 2.26.0 released
https://mantisbt.org/blog/archives/mantisbt/743

+ Google Chrome 119.0.6045.105/.106 released
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html

+ Zabbix 6.4.8, 6.0.23 released
https://www.zabbix.com/rn/rn6.4.8
https://www.zabbix.com/rn/rn6.0.23

UPDATE: JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

JVN#94132951 サイボウズ リモートサービスにおけるリソースの枯渇の脆弱性
http://jvn.jp/jp/JVN94132951/index.html

JVNVU#99565391 MCL Technologies製MCL-Netにおけるディレクトリトラバーサルの脆弱性
http://jvn.jp/vu/JVNVU99565391/index.html

勝村幸博の「今日も誰かが狙われる」
なぜ詐欺師に電話をかけてしまうのか、偽の警告で脅す「サポート詐欺」の巧みな手口
https://xtech.nikkei.com/atcl/nxt/column/18/00676/102600152/?ST=nxt_thmit_security

Microsoft製品で構築するゼロトラスト
脱VPNを推進しインターネット利用を保護、進化するMicrosoftのSASE製品群
https://xtech.nikkei.com/atcl/nxt/column/18/02628/102900002/?ST=nxt_thmit_security