29日 水曜日、友引

+ Elevated errors in the analytics services

https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

+ RHSA-2023:7554 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2023:7554

CVE-2023-2163

CVE-2023-3812

CVE-2023-5178

+ Google Chrome 119.0.6045.199/.200, 118.0.5993.159 released

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_28.html

+ Mozilla Thunderbird 115.5.1 released

https://www.thunderbird.net/en-US/thunderbird/115.5.1/releasenotes/

+ Apache Tomcat の脆弱性(Important: CVE-2023-46589)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20231129/

CVE-2023-46589

■b.root-servers.net（B-Root）のIPアドレス変更に伴う設定変更について

https://jprs.jp/tech/notice/2023-11-28-b.root-servers.net-ip-address-change.html

日経NETWORK 特別リポート

GPU進化でパスワード解読が加速

旧システムは保存方法の見直しを

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111600071/?ST=nxt_thmit_security

NEWS close-up

楽天が「security.txt」を導入

公開サーバーに置くテキストファイル　なぜセキュリティー向上に役立つのか

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111700230/?ST=nxt_thmit_security

ニュース解説

中部電力系が制御システムの資産管理を刷新、脱Excelでサイバーリスクに備える

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08646/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態

https://xtech.nikkei.com/atcl/nxt/column/18/00676/112600155/?ST=nxt_thmit_security

28日 火曜日、先勝

+ Elevated errors in the analytics services

https://confluence.status.atlassian.com/incidents/kzth7vmjyl3k

NEWS close-up

NTT西子会社で900万件の顧客情報流出

ずさんだったセキュリティーやガバナンス　内部不正が起こる「要件満たす」

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111600228/?ST=nxt_thmit_security

当事者が語る！ トラブルからの脱出

ネットワークにつながらない　監視カメラからUDP増幅攻撃

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/111600071/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

泉北高速鉄道子会社の不正アクセス、実は故障で「情報の漏洩はありません」

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500242/?ST=nxt_thmit_security

LINEヤフーが40万件超の個人情報流出、マルウエア感染から不正アクセス被害

https://xtech.nikkei.com/atcl/nxt/news/18/16340/?ST=nxt_thmit_security

27日 月曜日、赤口

+ Apache POI 5.2.5 available

https://poi.apache.org/changes.html#5.2.5

JVNVU#98496793 Rockwell Automation製Stratix 5800およびStratix 5200における複数の脆弱性

http://jvn.jp/vu/JVNVU98496793/index.html

JVNVU#97193440 複数のKeysight Technologies製品における信頼できないデータのデシリアライゼーションの脆弱性

http://jvn.jp/vu/JVNVU97193440/index.html

piyokangoの月刊システムトラブル

ETC利用照会に不正アクセス　メールの「＠より前」利用か

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111600057/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

インターネットの根幹支えるDNS、「つくづく面倒なプロトコル」と言わざるを得ない

https://xtech.nikkei.com/atcl/nxt/column/18/02598/111700003/?ST=nxt_thmit_security

ソニーとAP通信がカメラ内デジタル署名技術を実証実験、フェイク画像の拡散抑制へ

https://xtech.nikkei.com/atcl/nxt/news/18/16336/?ST=nxt_thmit_security

個情委がデータガバナンスの組織事例公開、法務との連携でITの「攻守」盤石に

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08654/?ST=nxt_thmit_security

24日 金曜日、先負

+ Notification emails sent with @unknown mentions

https://confluence.status.atlassian.com/incidents/4shmsb4dhnmk

+ Intermittent issues with Confluence Editor

https://confluence.status.atlassian.com/incidents/7bcjq3jqppb0

+ Rocky Linux 8.9 Available Now

https://rockylinux.org/news/rocky-linux-8-9-ga-release/

+  OpenSSL 3.2.0 released

https://www.openssl.org/blog/blog/2023/11/23/OpenSSL32/

+ PHP 8.3.0, 8.2.13, 8.1.26 released

https://www.php.net/ChangeLog-8.php#8.3.0

https://www.php.net/ChangeLog-8.php#8.2.13

https://www.php.net/ChangeLog-8.php#8.1.26

大阪急性期・総合医療センターがシスコのネットワーク監視ツールを導入

https://xtech.nikkei.com/atcl/nxt/news/18/16327/?ST=nxt_thmit_security

ヤマハがL2スイッチ新製品4機種、多数の高速ポートを搭載

https://xtech.nikkei.com/atcl/nxt/news/18/16325/?ST=nxt_thmit_security

JVNVU#98886797 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98886797/index.html

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性

http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#96020889 複数のWAGO製品における別領域リソースに対する外部からの制御可能な参照の脆弱性

http://jvn.jp/vu/JVNVU96020889/index.html

22日 水曜日、先勝

+ Announcing AlmaLinux 8.9 Stable!

https://almalinux.org/blog/2023-11-21-announcing-89-stable/

+ Mozilla Firefox 120.0 released

https://www.mozilla.org/en-US/firefox/120.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-49 Security Vulnerabilities fixed in Firefox 120

https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/

CVE-2023-6204

CVE-2023-6205

CVE-2023-6206

CVE-2023-6207

CVE-2023-6208

CVE-2023-6209

CVE-2023-6210

CVE-2023-6211

CVE-2023-6212

CVE-2023-6213

+ Mozilla Foundation Security Advisory 2023-52 Security Vulnerabilities fixed in Thunderbird 115.5.0

https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/

CVE-2023-6204

CVE-2023-6205

CVE-2023-6206

CVE-2023-6207

CVE-2023-6208

CVE-2023-6209

CVE-2023-6212

+ Mozilla Thunderbird 115.5.0 released

https://www.thunderbird.net/en-US/thunderbird/115.5.0/releasenotes/

ゼロトラストに欠かせないIDガバナンスの勘所

第3回

IDガバナンスのシステム構築は4通り、何を基準に選ぶべきか

https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600003/?ST=nxt_thmit_security

JVNVU#98760962 三菱電機製GX Works2のシミュレーション機能における不適切なパケット処理の脆弱性

http://jvn.jp/vu/JVNVU98760962/index.html

JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU90352157/index.html

21日 火曜日、赤口

+ Rocky Linux 9.3 Available Now

https://rockylinux.org/news/rocky-linux-9-3-ga-release/

+ FreeBSD 14.0-RELEASE Announcement

https://www.freebsd.org/releases/14.0R/announce/

https://www.freebsd.org/releases/14.0R/relnotes/

https://www.freebsd.org/releases/14.0R/errata/

+ PostgreSQL JDBC Driver 42.7.0 released

https://jdbc.postgresql.org/changelogs/2023-11-20-42.7.0-release/

GCC devroom at FOSDEM 2024: Call for Participation open

https://inbox.sourceware.org/gcc/36fadb0549c3dca716eb3b923d66a11be2c67a61.camel@redhat.com/

JVN#15005948 LuxCal Web Calendar における複数の脆弱性

http://jvn.jp/jp/JVN15005948/index.html

日経コンピュータ「ITが危ない」

新型コロナ対策「負の遺産」　独自ドメインの流出に注意

使い終わったドメインは「塩漬け」に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/111300122/?ST=nxt_thmit_security

データは語る

45.1％がルール違反を監視してない　クラウド事業者を調査

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/111000160/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所

第2回

ポイントは「ロール」と「利用権限」、IDガバナンスの実践法

https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600002/?ST=nxt_thmit_security

記者の眼

「ファイアウオール入れた」とは話が違う、実態つかめぬゼロトラストの導入状況

https://xtech.nikkei.com/atcl/nxt/column/18/00138/111601411/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

「0.1秒」以内の複数ログインで他方の情報を表示、クラウド請求書INVOYで発生

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500241/?ST=nxt_thmit_security

CTCがシステム運用を効率化するクラウドサービス、オブザーバビリティーを強化

https://xtech.nikkei.com/atcl/nxt/news/18/16315/?ST=nxt_thmit_security

20日 月曜日、大安

+ RHSA-2023:7277 Important: open-vm-tools security update

https://access.redhat.com/errata/RHSA-2023:7277

CVE-2023-34058

CVE-2023-34059

+ RHSA-2023:7265 Important: open-vm-tools security update

https://access.redhat.com/errata/RHSA-2023:7265

CVE-2023-34058

CVE-2023-34059

+ RHSA-2023:7257 Moderate: dotnet6.0 security update

https://access.redhat.com/errata/RHSA-2023:7257

CVE-2023-36049

CVE-2023-36558

キーワード

CSPM（Cloud Security Posture Management）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/111000155/?ST=nxt_thmit_security

ケーススタディー

3万4千人の認証・認可基盤を刷新　多様な利用者を統制し利便性向上

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/110800144/?ST=nxt_thmit_security

ゼロトラストに欠かせないIDガバナンスの勘所

第1回

ゼロトラストに「IDガバナンス」が不可欠である理由

https://xtech.nikkei.com/atcl/nxt/column/18/02652/111600001/?ST=nxt_thmit_security

先端技術ニュースプラス

「IoT機器踏み台攻撃が増加中」、Keysightが脆弱性検査ツール

「EdgeTech+ 2023」開催

https://xtech.nikkei.com/atcl/nxt/column/18/01537/00991/?ST=nxt_thmit_security

JVNVU#93704294 Red Lion製SixTRAKおよびVersaTRAKシリーズのRTUにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93704294/index.html

JVNVU#98954968 CLUSTERPRO Xにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98954968/index.html

JVNVU#94195279 Hitachi Energy製MACH System Softwareにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94195279/index.html

JVN#22220399 CubeCart における複数の脆弱性

http://jvn.jp/jp/JVN22220399/index.html

JVN#13618065 Redmine におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN13618065/index.html

JVNVU#92598492 Siemens製品に対するアップデート（2023年11月）

http://jvn.jp/vu/JVNVU92598492/index.html

17日 金曜日、友引

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」

史上最大のDDoS攻撃　あえてクラウド大手を狙う理由

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/110800120/?ST=nxt_thmit_security

国内企業の56.8％が過去3年間でサイバー攻撃を経験、トレンドマイクロ調査

https://xtech.nikkei.com/atcl/nxt/news/18/16263/?ST=nxt_thmit_security

JVNVU#98585341 Apache ActiveMQにリモートコード実行の脆弱性

http://jvn.jp/vu/JVNVU98585341/index.html

JVNVU#99077347 ファースト製DVRにおける複数の脆弱性

http://jvn.jp/vu/JVNVU99077347/index.html

16日 木曜日、先勝

+ Mozilla Thunderbird 115.4.3 released

https://www.thunderbird.net/en-US/thunderbird/115.4.3/releasenotes/

+ Wireshark 4.2.0, 4.0.11, 3.6.19 released

https://www.wireshark.org/docs/relnotes/wireshark-4.2.0.html

https://www.wireshark.org/docs/relnotes/wireshark-4.0.11.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.19.html

+ ISC BIND 9.18.20, 9.16.45 released

https://downloads.isc.org/isc/bind9/9.18.20/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.45/doc/arm/html/notes.html

+ Apache Tomcat 9.0.83 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.83_(remm)

JVNVU#93840158 富士電機製複数製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93840158/index.html

JVNVU#96399390 Intel製品に複数の脆弱性（2023年11月）

http://jvn.jp/vu/JVNVU96399390/index.html

JVNVU#92598492 Siemens製品に対するアップデート（2023年11月）

http://jvn.jp/vu/JVNVU92598492/index.html

JVN#48057522 Inkdrop におけるコードインジェクションの脆弱性

http://jvn.jp/jp/JVN48057522/index.html

JVNVU#93965614 複数のAVEVA製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93965614/index.html

JVNVU#99774191 複数のRockwell Automation製品における不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU99774191/index.html

JVNVU#96079387 ASUSTeK COMPUTER製RT-AC87Uにおける不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU96079387/index.html

15日 水曜日、赤口

+ RHSA-2023:7213 Critical: squid:4 security update

https://access.redhat.com/errata/RHSA-2023:7213

CVE-2023-46846

CVE-2023-46847

+ RHSA-2023:7077 Important: kernel security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2023:7077

CVE-2021-43975

CVE-2022-3594

CVE-2022-3640

CVE-2022-4744

CVE-2022-28388

CVE-2022-38457

CVE-2022-40133

CVE-2022-40982

CVE-2022-42895

CVE-2022-45869

CVE-2022-45887

CVE-2023-0458

CVE-2023-0590

CVE-2023-0597

CVE-2023-1073

CVE-2023-1074

CVE-2023-1075

CVE-2023-1079

CVE-2023-1118

CVE-2023-1206

CVE-2023-1252

CVE-2023-1382

CVE-2023-1855

CVE-2023-1989

CVE-2023-1998

CVE-2023-2513

CVE-2023-3141

CVE-2023-3161

CVE-2023-3212

CVE-2023-3268

CVE-2023-3609

CVE-2023-3611

CVE-2023-3772

CVE-2023-4128

CVE-2023-4132

CVE-2023-4155

CVE-2023-4206

CVE-2023-4207

CVE-2023-4208

CVE-2023-4732

CVE-2023-23455

CVE-2023-26545

CVE-2023-28328

CVE-2023-28772

CVE-2023-30456

CVE-2023-31084

CVE-2023-31436

CVE-2023-33203

CVE-2023-33951

CVE-2023-33952

CVE-2023-35823

CVE-2023-35824

CVE-2023-35825

+ RHSA-2023:7065 Moderate: tomcat security and bug fix update

https://access.redhat.com/errata/RHSA-2023:7065

CVE-2023-24998

CVE-2023-28708

CVE-2023-28709

+ Google Chrome 119.0.6045.159/.160, 118.0.5993.144 released

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_14.html

https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_14.html

+ 2023 年 11 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2023/11/202311-security-update/

+ VMSA-2023-0026 VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060)

https://www.vmware.com/security/advisories/VMSA-2023-0026.html

CVE-2023-34060

+ Apache Tomcat 10.1.16, 8.5.96 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.16_(schultz)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.94_(schultz)

+ Intel CPUの脆弱性（Reptar: CVE-2023-23583）

https://security.sios.jp/vulnerability/misc-security-vulnerability-20231115/

CVE-2023-23583

JVNVU#94119876 エレコム製およびロジテック製ルーターにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94119876/index.html

JVNVU#91630351 エレコム製およびロジテック製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU91630351/index.html

JVN#67822421 OSS Calendar における SQL インジェクションの脆弱性

http://jvn.jp/jp/JVN67822421/index.html

勝村幸博の「今日も誰かが狙われる」

生成AIが「特定班」の代わりを務める、SNSの書き込みから個人が特定される脅威

https://xtech.nikkei.com/atcl/nxt/column/18/00676/110900153/?ST=nxt_thmit_security

プライバシーマーク審査関連資料が漏洩、JIPDECが再発防止策を発表

https://xtech.nikkei.com/atcl/nxt/news/18/16284/?ST=nxt_thmit_security

14日 火曜日、大安

piyokangoの週刊システムトラブル

正規のQRコードから不正サイトに誘導されるトラブル続く、学習院大学やいなげやで

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500240/?ST=nxt_thmit_security

JVN#96209256 プリザンターにおける複数の脆弱性

http://jvn.jp/jp/JVN96209256/index.html

JVN#17806703 Cisco Firepower Management Center Software における複数の脆弱性

http://jvn.jp/jp/JVN17806703/index.html

13日 月曜日、仏滅

+ squidの脆弱性(Critical:CVE-2023-5824, CVE-2023-46846, CVE-2023-46847, High: CVE-2023-46724, CVE-2023-46848)

https://security.sios.jp/vulnerability/squid-security-vulnerability-20231110/

CVE-2023-5824

CVE-2023-4684

CVE-2023-46847

CVE-2023-46724

CVE-2023-46848

+ Linux Kernelの脆弱性(Important: CVE-2023-5178)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20231110/

CVE-2023-5178

ニュース解説

ユーザー名とパスワードが正しいのにNASが利用不能に、NTLM認証廃止の波紋

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08610/?ST=nxt_thmit_security

詐欺メール撲滅大作戦

7割超のフィッシングはDMARCで止める、すり抜けたメールにも多層防御で対抗

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110900008/?ST=nxt_thmit_security

JVNVU#98040889 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性（2023年11月）

http://jvn.jp/vu/JVNVU98040889/index.html

JVNVU#95461779 Johnson Controls製Quantum HD Unityにおける有効なままのデバッグ機能の脆弱性

http://jvn.jp/vu/JVNVU95461779/index.html

JVNVU#90814029 Hitachi Energy製eSOMSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90814029/index.html

JVNVU#93840158 富士電機製複数製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93840158/index.html

JVN#99177549 HOTELDRUID におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN99177549/index.html

JVN#86156389 Remarshal における YAML エイリアスノードの展開処理に関する脆弱性

http://jvn.jp/jp/JVN86156389/index.html

SSHログインにGoogle Authenticatorを使用する

https://security.sios.jp/security/ssh_google_authenticator/

10日 金曜日、大安

+ FreeBSD-SA-23:16.cap_net Incorrect libcap_net limitation list manipulation

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:16.cap_net.asc

CVE-2023-5978

+ FreeBSD-SA-23:15.libc libc stdio buffer overflow

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:15.stdio.asc

CVE-2023-5941

+ PostgreSQL 16.1, 15.5, 14.10, 13.13, 12.17, and 11.22 Released!

https://www.postgresql.org/about/news/postgresql-161-155-1410-1313-1217-and-1122-released-2749/

https://www.postgresql.org/docs/16/release-16-1.html

https://www.postgresql.org/docs/15/release-15-5.html

https://www.postgresql.org/docs/14/release-14-10.html

https://www.postgresql.org/docs/13/release-13-13.html

https://www.postgresql.org/docs/12/release-12-17.html

+ Sudo 1.9.15p2 released

https://www.sudo.ws/releases/stable/#1.9.15p2

+ JVNVU#99711420 OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題（Security Advisory [6th November 2023]）

http://jvn.jp/vu/JVNVU99711420/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2023-5678)

https://security.sios.jp/vulnerability/openssl-security-vulnerability-20231109/

CVE-2023-5678

ゼロトラストを支える技術2023

セキュリティー運用をAIで高度化、「SIEM」「SOAR」の仕組み

https://xtech.nikkei.com/atcl/nxt/column/18/02417/110800012/?ST=nxt_thmit_security

詐欺メール撲滅大作戦

詐欺メールを減らす「送信ドメイン認証」、運用時の3大つまずきポイントと対策

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110300005/?ST=nxt_thmit_security

JVNVU#94434051 三菱電機製MELSECおよびMELIPCシリーズのEthernetポートにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94434051/index.html

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性

http://jvn.jp/vu/JVNVU91988072/index.html

9日 木曜日、仏滅

+ HOT-106056 Atlassian Intelligence functionally completely down

https://jira-service-management.status.atlassian.com/incidents/wcxjlxlm3bc6

https://confluence.status.atlassian.com/incidents/jyhhxhzp51yf

+ RHSA-2023:6818 Important: Satellite 6.14 security and bug fix update

https://access.redhat.com/errata/RHSA-2023:6818

CVE-2022-0759

CVE-2022-1292

CVE-2022-2068

CVE-2022-3644

CVE-2022-3874

CVE-2022-4130

CVE-2022-40899

CVE-2022-41717

CVE-2022-44566

CVE-2022-44570

CVE-2022-44571

CVE-2022-44572

CVE-2022-46648

CVE-2022-47318

CVE-2023-0118

CVE-2023-0119

CVE-2023-1894

CVE-2023-22792

CVE-2023-22794

CVE-2023-22795

CVE-2023-22796

CVE-2023-22799

CVE-2023-27530

CVE-2023-27539

CVE-2023-29406

CVE-2023-30608

CVE-2023-31047

CVE-2023-32681

CVE-2023-36053

CVE-2023-39325

CVE-2023-40267

CVE-2023-44487

+ Squid 6.5 release notes

http://www.squid-cache.org/Versions/v6/squid-6.5-RELEASENOTES.html

+UPDATE: Oracle Critical Patch Update Advisory - October 2023

https://www.oracle.com/security-alerts/cpuoct2023.html

+ Sudo 1.9.15p1 released

https://www.sudo.ws/releases/stable/#1.9.15p1

ニュース＆リポート

顧客情報900万件持ち出し防げず　NTT西子会社のずさんな内部不正対策

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/103100979/?ST=nxt_thmit_security

詐欺メール撲滅大作戦

なりすまし対策の欠点を補うDMARCと、現時点で攻撃者お手上げのBIMI

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110700007/?ST=nxt_thmit_security

編集長の眼

「自信のない」セキュリティー組織、薦めたい1冊の教科書がある

https://xtech.nikkei.com/atcl/nxt/column/18/00139/110700099/?ST=nxt_thmit_security

JVNVU#91988072 General Electric製MiCOM S1 Agileにおけるファイル検索パスの制御不備の脆弱性

http://jvn.jp/vu/JVNVU91988072/index.html

8日 水曜日、先負

+ Users unable to access boards, projects and issues in Jira Cloud

https://jira-service-management.status.atlassian.com/incidents/r0csdzyzjr3w

+ Google Chrome 118.0.5993.136 released

https://chromereleases.googleblog.com/2023/11/extended-stable-channel-update-for_7.html

+ Mozilla Firefox 119.0.1 released

https://www.mozilla.org/en-US/firefox/119.0.1/releasenotes/

+ Mozilla Thunderbird 115.4.2 released

https://www.thunderbird.net/en-US/thunderbird/115.4.2/releasenotes/

+ OpenSSL Security Advisory [6th November 2023]

https://www.openssl.org/news/secadv/20231106.txt

CVE-2023-5678

JVN#29195731 EC-CUBE 3系および 4系において任意のコードを実行される脆弱性

http://jvn.jp/jp/JVN29195731/index.html

JVNVU#93436992 Red Lion製CrimsonにおけるNullバイトまたはNUL文字の不適切な無害化処理の脆弱性

http://jvn.jp/vu/JVNVU93436992/index.html

JVNVU#93518708 Franklin Electric製T5シリーズにおける強度が不十分なパスワードハッシュの使用の脆弱性

http://jvn.jp/vu/JVNVU93518708/index.html

JVNVU#96908561 Weintek製EasyBuilder Proにおけるハードコードされた認証情報の使用の脆弱性

http://jvn.jp/vu/JVNVU96908561/index.html

JVNVU#94501804 Schneider Electric製SpaceLogic C-Bus Toolkitにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94501804/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ

ゼロトラスト推進の「一丁目一番地」はID基盤整備

https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600002/?ST=nxt_thmit_security

詐欺メール撲滅大作戦

SPFとDKIMをおさらい、IPアドレスとデジタル署名で身元証明

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110600006/?ST=nxt_thmit_security

7日 火曜日、友引

+ Sudo 1.9.15 released

https://www.sudo.ws/releases/stable/#1.9.15

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94620134/index.html

プロが教える、クラウド活用でゼロトラストを実践する4ステップ

クラウド移行がセキュリティー対策強化のチャンスである理由

https://xtech.nikkei.com/atcl/nxt/column/18/02632/110600001/?ST=nxt_thmit_security

詐欺メール撲滅大作戦

ユーザーをだますフィッシングメール、2つの「From」をなぜ偽装できるのか

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

大阪市宛てのメールが届かない障害、原因はセキュリティー機能の過剰反応

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500239/?ST=nxt_thmit_security

6日 月曜日、先勝

+ Jira Automation rules failed when sending out emails

https://jira-service-management.status.atlassian.com/incidents/bvds889xdv0q

+ gawk 5.3.0 released

http://ftp.gnu.org/gnu/gawk/?C=M;O=D

+ Apache PDFBox 2.0.30 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353385

+ VMWare Aria Operations For Networks SSH Private Key Exposure

https://cxsecurity.com/issue/WLB-2023110005

CVE-2023-34039

詐欺メール撲滅大作戦

詐欺メール撲滅にGoogleとYahooも本腰、導入が求められる「送信ドメイン認証」

https://xtech.nikkei.com/atcl/nxt/column/18/02631/110100001/?ST=nxt_thmit_security

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94620134/index.html

JVN#14762986 e-Taxソフトにおける XML 外部実体参照 (XXE) に関する脆弱性

http://jvn.jp/jp/JVN14762986/index.html

2日 木曜日、先負

+ UPDATE: Oracle Critical Patch Update Advisory - October 2023

https://www.oracle.com/security-alerts/cpuoct2023.html

+ Postfix stable release 3.8.3, and legacy releases 3.7.8, 3.6.12, 3.5.22

http://www.postfix.org/announcements/postfix-3.8.3.html

JVN#03447226 スマートフォンアプリ「すかいらーくアプリ」におけるアクセス制限不備の脆弱性

http://jvn.jp/jp/JVN03447226/index.html

JVNVU#96482726 富士フイルムビジネスイノベーション製およびXerox Corporation製複合機（MFP）における脆弱性

http://jvn.jp/vu/JVNVU96482726/index.html

JVNVU#99737177 Zavio製IP Cameraにおける複数の脆弱性

http://jvn.jp/vu/JVNVU99737177/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」

「使い回し」のアレンジも破られる　高確率でパスワード推測の新手法

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102700119/?ST=nxt_thmit_security

マイクロソフト製品で構築するゼロトラスト

端末からクラウドまで保護、Microsoft Defenderの全体像

https://xtech.nikkei.com/atcl/nxt/column/18/02628/103000003/?ST=nxt_thmit_security

1日 水曜日、友引

+ MantisBT 2.26.0 released

https://mantisbt.org/blog/archives/mantisbt/743

+ Google Chrome 119.0.6045.105/.106 released

https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html

+ Zabbix 6.4.8, 6.0.23 released

https://www.zabbix.com/rn/rn6.4.8

https://www.zabbix.com/rn/rn6.0.23

UPDATE: JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU90352157/index.html

JVN#94132951 サイボウズ リモートサービスにおけるリソースの枯渇の脆弱性

http://jvn.jp/jp/JVN94132951/index.html

JVNVU#99565391 MCL Technologies製MCL-Netにおけるディレクトリトラバーサルの脆弱性

http://jvn.jp/vu/JVNVU99565391/index.html

勝村幸博の「今日も誰かが狙われる」

なぜ詐欺師に電話をかけてしまうのか、偽の警告で脅す「サポート詐欺」の巧みな手口

https://xtech.nikkei.com/atcl/nxt/column/18/00676/102600152/?ST=nxt_thmit_security

Microsoft製品で構築するゼロトラスト

脱VPNを推進しインターネット利用を保護、進化するMicrosoftのSASE製品群

https://xtech.nikkei.com/atcl/nxt/column/18/02628/102900002/?ST=nxt_thmit_security