2023年12月28日木曜日

28日 木曜日、友引

2023年アクセスランキング
[ITセキュリティー]生成AIの活用と悪用に注目集まる、しかし1位は衝撃のあの記事
勝村 幸博 日経クロステック
https://xtech.nikkei.com/atcl/nxt/column/18/02671/113000003/?ST=nxt_thmit_security

2023年12月27日水曜日

27日 水曜日、先勝

JVNTA#95077890 SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
https://jvn.jp/ta/JVNTA95077890/index.html

JVN#32646742 PowerCMS における複数の脆弱性
https://jvn.jp/jp/JVN32646742/index.html

JVN#23771490 バッファロー製 VR-S1000 における複数の脆弱性
https://jvn.jp/jp/JVN23771490/index.html

日経NETWORK 特別リポート
ずさんで危険なパスワード管理の実態
100万件の大規模Webサイト調査で見えた
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121800072/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新
Wi-Fi 7規格ローンチ間近の今だから振り返る、意外に大きな変化をもたらしたWi-Fi 6
https://xtech.nikkei.com/atcl/nxt/column/18/02598/121900004/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第3回
内部不正対策はサイバー攻撃対策より難しい、基本の「5カ条」を徹底する
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100002/?ST=nxt_thmit_security

2023年12月26日火曜日

26日 火曜日、赤口

+ SMTP実装の脆弱性(SMTP Smuggling)
https://security.sios.jp/vulnerability/misc-security-vulnerability-20231225/
CVE-2023-51764

NEWS close-up
Googleが迷惑メール対策を強化
「Gmail」にメールを送れなくなる恐れ DMARC未対応では済まされない時代に
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121800231/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第2回
内部不正対策の鍵は2つの「隔離」、教訓生かし守り固めるベネッセ
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
健康管理アプリのアクセス障害で過去の記録を確認できなくなった意外な理由
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500246/?ST=nxt_thmit_security

2023年12月25日月曜日

25日 月曜日、大安

+ Apache OpenOffice 4.1.15 is released!
https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.15+Release+Notes

+ Postfix 3.8.4, 3.7.9, 3.6.13, 3.5.23 released
https://www.postfix.org/announcements/postfix-3.8.4.html
https://www.postfix.org/announcements/postfix-3.7.9.html
https://www.postfix.org/announcements/postfix-3.6.13.html
https://www.postfix.org/announcements/postfix-3.5.23.html

+ Glibc Tunables Privilege Escalation
https://cxsecurity.com/issue/WLB-2023120043
CVE-2023-4911

piyokangoの月刊システムトラブル
QRコードから不正サイトに誘導 学習院大学やいなげやで
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121800058/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
ファイアウオールの負荷分散
[第22回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121800023/?ST=nxt_thmit_security

ニュース解説
ランサムウエアでの業務停止に現行BCPで対応可能? 120組織がサイバー演習に挑む
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08742/?ST=nxt_thmit_security

あなたの会社は大丈夫か、「内部不正」との闘い方
第1回
止まらない内部不正、NTTグループ「USBメモリー全面禁止」の真意
https://xtech.nikkei.com/atcl/nxt/column/18/02693/122100003/?ST=nxt_thmit_security

紀伊国屋書店でサイバー攻撃による不正アクセス被害、最大約1万件の個人情報漏洩か
https://xtech.nikkei.com/atcl/nxt/news/18/16484/?ST=nxt_thmit_security

エイチームの個人情報漏洩は93万人以上に影響、Googleドライブの閲覧範囲を誤設定
https://xtech.nikkei.com/atcl/nxt/news/18/16481/?ST=nxt_thmit_security

JVNVU#96089700 QNAP製VioStor NVRにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU96089700/index.html

JVNVU#97943829 ブラザー製iPrint&Scan Desktop for Windowsにおけるファイルアクセス時のリンク解釈が不適切な脆弱性
https://jvn.jp/vu/JVNVU97943829/index.html

JVNVU#92152057 FXC製無線LANルータ「AE1021PE」および「AE1021」におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92152057/index.html

2023年12月22日金曜日

22日 金曜日、友引

+ Service Disruptions Affecting Confluence
https://confluence.status.atlassian.com/incidents/klb0j5wyycq9

+ PHP 8.3.1, 8.2.14, 8.1.27 released
https://www.php.net/ChangeLog-8.php#8.3.1
https://www.php.net/ChangeLog-8.php#8.2.14
https://www.php.net/ChangeLog-8.php#8.1.27

+ UPDATE: JVNVU#91213144 OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU91213144/index.html

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第3回
ルーター/UTM部門はヤマハとフォーティネットに栄冠、前回から首位を維持
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500003/?ST=nxt_thmit_security

スキミング被害や入力前の名刺情報漏えいも報告対象、個情委が規則改正
https://xtech.nikkei.com/atcl/nxt/news/18/16475/?ST=nxt_thmit_security

ニュース解説
独自調査
69社のメルマガを緊急調査、Gmailの厳しい要件はどれだけクリアできているのか
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08744/?ST=nxt_thmit_security

2023年12月21日木曜日

21日 木曜日、先勝

+ Google Chrome 120.0.6099.129/130 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

+ ISC BIND 9.18.21 released
https://downloads.isc.org/isc/bind9/9.18.21/doc/arm/html/notes.html

+ ProFTPD 1.3.8b released
http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8b

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第2回
無線LAN部門もシスコが1位、大規模ユーザーからの人気を博す
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500002/?ST=nxt_thmit_security

ニュース解説
JCBがローコード開発ツール導入、「BYOK」対応が採用を後押し
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08736/?ST=nxt_thmit_security

JVNVU#92617675 Subnet Solutions Inc.製PowerSYSTEM Centerにおける引用符で囲まれていない検索パスの脆弱性
https://jvn.jp/vu/JVNVU92617675/index.html

JVNVU#94591712 EFACEC製BCU 500およびUC 500Eにおける複数の脆弱性
https://jvn.jp/vu/JVNVU94591712/index.html

JVNVU#92156020 Open Design Alliance製Drawing SDKにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92156020/index.html

JVNVU#96286477 EuroTel製ETL3100における複数の脆弱性
https://jvn.jp/vu/JVNVU96286477/index.html

JVNVU#95344542 Johnson Controls製の複数のビルディングオートメーション製品におけるリソースの枯渇の脆弱性
https://jvn.jp/vu/JVNVU95344542/index.html

2023年12月20日水曜日

20日 水曜日、赤口

+ Some sites are not loading requests pending Approvals on the customer portal
https://jira-service-management.status.atlassian.com/incidents/m551d1mvgp5w

+ RHSA-2023:7876 Moderate: opensc security update
https://access.redhat.com/errata/RHSA-2023:7876
CVE-2023-40660
CVE-2023-40661

+ RHSA-2023:7877 Low: openssl security update
https://access.redhat.com/errata/RHSA-2023:7877
CVE-2023-3446
CVE-2023-3817
CVE-2023-5678

+ Safari 17.2.1, iOS 17.2.1, iOS 16.7.4 and iPadOS 16.7.4 released
https://support.apple.com/en-us/HT201222

+ Mozilla Firefox 121.0 released
https://www.mozilla.org/en-US/firefox/121.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-56 Security Vulnerabilities fixed in Firefox 121
https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/
CVE-2023-6856
CVE-2023-6135
CVE-2023-6865
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6866
CVE-2023-6860
CVE-2023-6867
CVE-2023-6861
CVE-2023-6868
CVE-2023-6869
CVE-2023-6870
CVE-2023-6871
CVE-2023-6872
CVE-2023-6863
CVE-2023-6864
CVE-2023-6873

+ Mozilla Thunderbird 115.6.0 released
https://www.thunderbird.net/en-US/thunderbird/115.6.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-55 Security Vulnerabilities fixed in Thunderbird 115.6
https://www.mozilla.org/en-US/security/advisories/mfsa2023-55/
CVE-2023-50762
CVE-2023-50761
CVE-2023-6856
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6860
CVE-2023-6861
CVE-2023-6862
CVE-2023-6863
CVE-2023-6864

+ FreeBSD-SA-23:19.openssh Prefix Truncation Attack in the SSH protocol
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:19.openssh.asc
CVE-2023-48795

日経コンピュータ「ITが危ない」
Gmailへメール送信不能の恐れ 迷惑メール対策強化の衝撃
「SPF」「DKIM」「DMARC」への対応確認を
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/121200124/?ST=nxt_thmit_security

IT管理者1160人に聞いた、2023年の人気ネットワーク機器
第1回
シスコがスイッチ部門でシェア首位独占、僅差で迫るバッファロー
https://xtech.nikkei.com/atcl/nxt/column/18/02690/121500001/?ST=nxt_thmit_security

2023年12月19日火曜日

19日 火曜日、大安

+ Atlassian's cross product user search service is currently degraded.
https://jira-service-management.status.atlassian.com/incidents/tngzbprb76xp
https://confluence.status.atlassian.com/incidents/k6vcx7tk8f7h

+ PuTTY 0.80 released
https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.80.html

+ OpenSSH 9.6/9.6p1 released
https://www.openssh.com/releasenotes.html#9.6p1

Celebrating Two Decades of Innovation with Apache Log4j
https://logging.apache.org/blog/2023/12/18/20-years-of-innovation.html

piyokangoの週刊システムトラブル
顧客への特例対応で障害発生のクラスメソッド、「ポストモーテム」を公開
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500245/?ST=nxt_thmit_security

ニュース解説
犯罪集団が自ら生成AIを開発、NTTデータが明かす2023年のサイバー攻撃実態
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08728/?ST=nxt_thmit_security

マルミミ受託のシステムに不正アクセス、千葉県の施設で個人情報流出
https://xtech.nikkei.com/atcl/nxt/news/18/16455/?ST=nxt_thmit_security

18日 月曜日、仏滅

+ Sudo 1.9.15p4 released
https://www.sudo.ws/releases/stable/#1.9.15p4

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりに SNSの書き込みで個人を割り出す
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/121200123/?ST=nxt_thmit_security

JVNVU#91654304 Cambium Networks製ePMP Force 300-25におけるコードインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91654304/index.html

JVNVU#91399683 Kantech Gen1 ioSmartカードリーダーにおける有効期間後のメモリ解放の欠如の脆弱性
https://jvn.jp/vu/JVNVU91399683/index.html

JVNVU#97015296 Unitronics製VisiLogicにおけるデフォルトの管理パスワード利用の脆弱性
https://jvn.jp/vu/JVNVU97015296/index.html

JVNVU#98271228 Siemens製品に対するアップデート(2023年12月)
https://jvn.jp/vu/JVNVU98271228/index.html

JVNVU#90214301 複数の Philips 製品に脆弱性
https://jvn.jp/vu/JVNVU90214301/index.html

2023年12月15日金曜日

15日 金曜日、先勝

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
生成AIが「特定班」の代わりに SNSの書き込みで個人を割り出す
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/121200123/?ST=nxt_thmit_security

JVNVU#97876221 WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
https://jvn.jp/vu/JVNVU97876221/index.html

JVNVU#92303821 Schneider Electric製Easy UPS Online Monitoring Softwareにおけるパストラバーサルの脆弱性
https://jvn.jp/vu/JVNVU92303821/index.html

2023年12月14日木曜日

14日 木曜日、赤口

+ Google Chrome 120.0.6099.109/110 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_12.html

+ Zabbix 6.4.10, 6.0.25 released
https://www.zabbix.com/rn/rn6.4.10
https://www.zabbix.com/rn/rn6.0.25

+ Sudo 1.9.15p3 released
https://www.sudo.ws/releases/stable/#1.9.15p3

ニュース解説
グーグルがメール送信者に求める厳しい要件、「ワンクリック登録解除」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08712/?ST=nxt_thmit_security

LANケーブルのディープな世界
第4回
屋外・海底で光ケーブルをどう敷くか、圧縮空気で数キロ先まで敷設する工法も
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700004/?ST=nxt_thmit_security

ニュース解説
2024年は「OT」がサイバー攻撃の標的に、セキュリティー業界の重鎮が予測
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08703/?ST=nxt_thmit_security

JVN#18715935 GROWI における複数の脆弱性
https://jvn.jp/jp/JVN18715935/index.html

JVNVU#98271228 Siemens製品に対するアップデート(2023年12月)
https://jvn.jp/vu/JVNVU98271228/index.html

UPDATE: JVNVU#96269392 Siemens 製品に対するアップデート (2021年4月)
https://jvn.jp/vu/JVNVU96269392/index.html

UPDATE: JVNVU#93441670 Siemens 製品に対するアップデート (2021年3月) 
https://jvn.jp/vu/JVNVU93441670/index.html

2023年12月13日水曜日

13日 水曜日、大安

+ RHSA-2023:7732 Important: tracker-miners security update
https://access.redhat.com/errata/RHSA-2023:7732
CVE-2023-5557

+ RHSA-2023:7716 Important: webkit2gtk3 security update
https://access.redhat.com/errata/RHSA-2023:7716
CVE-2023-42917

+ RHSA-2023:7714 Important: postgresql:12 security update
https://access.redhat.com/errata/RHSA-2023:7714
CVE-2023-5868
CVE-2023-5869
CVE-2023-5870
CVE-2023-39417

+ Mozilla Thunderbird 115.5.2 released
https://www.thunderbird.net/en-US/thunderbird/115.5.2/releasenotes/

+ 2023 年 12 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2023/12/202312-security-update/

+ VMSA-2023-0027 VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064)
https://www.vmware.com/security/advisories/VMSA-2023-0027.html
CVE-2023-34064

+ Apache Tomcat 10.1.17, 9.0.84, 8.5.97 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.17_(schultz)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.84_(remm)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.97_(schultz)

+ FreeBSD-SA-23:18.nfsclient NFS client data corruption and kernel memory disclosure
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:18.nfsclient.asc
CVE-2023-6660

勝村幸博の「今日も誰かが狙われる」
今後も続くサイバー攻撃者の生成AI活用、事例に見る「あなたもこうしてだまされる」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700156/?ST=nxt_thmit_security

LANケーブルのディープな世界
第3回
LANケーブルの敷き方にもトレンドがある、人気の「ジャック-プラグ」とは何か
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700003/?ST=nxt_thmit_security

生成AIの安全な利用を可能に、ラックが導入支援サービスを提供開始
https://xtech.nikkei.com/atcl/nxt/news/18/16430/?ST=nxt_thmit_security

JVNVU#97499577 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97499577/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性
https://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#90984676 UEFI実装に組み込まれた画像処理ライブラリにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90984676/index.html

2023年12月12日火曜日

12日 火曜日、先負

+ About the security content of Safari 17.2
https://support.apple.com/ja-jp/HT214039
CVE-2023-42890
CVE-2023-42883

+ About the security content of iOS 17.2 and iPadOS 17.2
https://support.apple.com/ja-jp/HT214035
CVE-2023-42919
CVE-2023-42884
CVE-2023-45866
CVE-2023-42927
CVE-2023-42922
CVE-2023-42898
CVE-2023-42899
CVE-2023-42914
CVE-2023-42923
CVE-2023-42897
CVE-2023-42890
CVE-2023-42883

+ About the security content of iOS 16.7.3 and iPadOS 16.7.3
https://support.apple.com/ja-jp/HT214034
CVE-2023-42919
CVE-2023-42884
CVE-2023-42922
CVE-2023-42899
CVE-2023-42914
CVE-2023-42883
CVE-2023-42917
CVE-2023-42916

+ About the security content of macOS Sonoma 14.2
https://support.apple.com/ja-jp/HT214036
CVE-2023-42874
CVE-2023-42919
CVE-2023-42894
CVE-2023-42901
CVE-2023-42902
CVE-2023-42912
CVE-2023-42903
CVE-2023-42904
CVE-2023-42905
CVE-2023-42906
CVE-2023-42907
CVE-2023-42908
CVE-2023-42909
CVE-2023-42910
CVE-2023-42911
CVE-2023-42926
CVE-2023-42882
CVE-2023-42924
CVE-2023-42884
CVE-2023-45866
CVE-2023-42900
CVE-2023-42886
CVE-2023-42927
CVE-2023-42922
CVE-2023-42898
CVE-2023-42899
CVE-2023-42891
CVE-2023-42914
CVE-2020-19185
CVE-2020-19186
CVE-2020-19187
CVE-2020-19188
CVE-2020-19189
CVE-2020-19190
CVE-2023-42842
CVE-2023-42932
CVE-2023-5344
CVE-2023-42890
CVE-2023-42883

+ About the security content of macOS Ventura 13.6.3
https://support.apple.com/ja-jp/HT214038

+ About the security content of macOS Monterey 12.7.2
https://support.apple.com/ja-jp/HT214037

+ About the security content of tvOS 17.2
https://support.apple.com/ja-jp/HT214040

+ About the security content of watchOS 10.2
https://support.apple.com/ja-jp/HT214041

JVN#34145838 ジェイテクトエレクトロニクス製 HMI GC-A2シリーズにおける複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN34145838/index.html

LANケーブルのディープな世界
第2回
知られざるLANケーブルの製造工程、導線の「より」が最も難しい
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
相次ぐ不正アクセス、BlackCatランサムウエア感染の中嶋製作所はメールで脅迫届く
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500244/?ST=nxt_thmit_security

2023年12月11日月曜日

11日 月曜日、友引

+ JVNVU#96961218 Apache Struts 2における外部からアクセス可能なファイルの脆弱性(S2-066)
http://jvn.jp/vu/JVNVU96961218/index.html
CVE-2023-50164

JVNVU#95535841 Schweitzer Engineering Laboratories製SEL-411Lにおけるレンダリングされたユーザインターフェースレイヤまたはフレームの不適切な制限の脆弱性
http://jvn.jp/vu/JVNVU95535841/index.html

JVNVU#95344542 Johnson Controls製の複数のビルディングオートメーション製品におけるリソースの枯渇の脆弱性
http://jvn.jp/vu/JVNVU95344542/index.html

JVNVU#93319242 複数のControlByWeb製Relay製品におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/vu/JVNVU93319242/index.html

JVNVU#95714039 Sierra Wireless製AirLinkにおける複数の脆弱性
http://jvn.jp/vu/JVNVU95714039/index.html

JVNVU#98954443 Edgecross 基本ソフトウェア Windows版における複数の脆弱性
http://jvn.jp/vu/JVNVU98954443/index.html

佐野正弘が斬る!ニュースなアプリの裏側
個人情報に関する問題を繰り返すLINEヤフー、根底にある要因は何なのか
https://xtech.nikkei.com/atcl/nxt/column/18/00086/00289/?ST=nxt_thmit_security

LANケーブルのディープな世界
第1回
金や鉄ではなぜ駄目なのか、LANケーブルの素材が銅であるワケ
https://xtech.nikkei.com/atcl/nxt/column/18/02682/120700001/?ST=nxt_thmit_security

2023年12月8日金曜日

8日 金曜日、大安

+ Squid 6.6 released
http://www.squid-cache.org/Versions/v6/squid-6.6-RELEASENOTES.html#ss1.2

+ S2-066 File upload logic is flawed, and allows an attacker to enable paths with traversals
https://cwiki.apache.org/confluence/display/WW/S2-066
CVE-2023-50164

+ Apache Struts 6.3.0.2, 2.5.33 released
https://struts.apache.org/announce-2023#a20231207-1
https://struts.apache.org/announce-2023#a20231207-2

+ Strutsの脆弱性(Critical: CVE-2023-50164)
https://security.sios.jp/vulnerability/struts-security-vulnerability-20231207/
CVE-2023-50164

クラウドに潜むネットワークの落とし穴
第5回
クラウド料金「最安値」を導くスキルを身につける、経路次第で差は4倍にも
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100005/?ST=nxt_thmit_security

ITが危ない
「Gmail」にメールを送れなくなる恐れ、グーグルによる迷惑メール対策強化の衝撃
https://xtech.nikkei.com/atcl/nxt/column/18/00989/120500134/?ST=nxt_thmit_security

UPDATE: JVNVU#93344744 Intel製品に複数の脆弱性(2022年5月)
http://jvn.jp/vu/JVNVU93344744/index.html

2023年12月7日木曜日

7日 木曜日、仏滅

+ HSTS long file name clears contents
https://curl.se/docs/CVE-2023-46219.html
CVE-2023-46219

+ cookie mixed case PSL bypass
https://curl.se/docs/CVE-2023-46218.html
CVE-2023-46218

+ Google Chrome 120.0.6099.71 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_6.html

+ PostgreSQL JDBC Driver 42.7.1 released
https://jdbc.postgresql.org/changelogs/2023-12-06-42.7.1-release/

VU#811862 Image files in UEFI can be abused to modify boot behavior
https://www.kb.cert.org/vuls/id/811862

JVNVU#97256167 複数のCODESYS Control製品におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU97256167/index.html

JVNVU#92256814 Zebra Technologies製ZTCプリンターにおける代替パスまたはチャネルを使用した認証回避の脆弱性
http://jvn.jp/vu/JVNVU92256814/index.html

JVNVU#92152057 FXC製無線LANルータ「AE1021PE」および「AE1021」におけるOSコマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU92152057/index.html

ニュース&リポート
非AD環境のNASが利用不能に? NTLM認証廃止の波紋
ワークグループ環境のユーザーは移行の検討を
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/112800993/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第4回
クラウドの大規模活用に落とし穴、突き進むと大がかりな見直しを迫られかねない
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100004/?ST=nxt_thmit_security

記者の眼
阪神ファンの記者がアレの余韻に浸ったパレード、歓喜の裏で思うクラファンの難しさ
https://xtech.nikkei.com/atcl/nxt/column/18/00138/113001421/?ST=nxt_thmit_security

2023年12月6日水曜日

6日 水曜日、先負

+ Google Chrome 120.0.6099.62/.63 released
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop.html

+ FreeBSD-SA-23:17.pf TCP spoofing vulnerability in pf(4)
https://www.freebsd.org/security/advisories/FreeBSD-SA-23:17.pf.asc
CVE-2023-6534

クラウドセキュリティー総点検
クラウドセキュリティー総点検
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/112800391/112800001/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第3回
「オンプレのネットワーク構成をクラウドへまるっと移行」はお勧めできない
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100003/?ST=nxt_thmit_security

ニュース解説
サイバー安全保障に特化した人材育成団体が発足、NTTなど5社が参加し能力認証
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08686/?ST=nxt_thmit_security

UPDATE: JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90352157/index.html

2023年12月5日火曜日

5日 火曜日、友引

+ Egress connectivity timing out
https://jira-service-management.status.atlassian.com/incidents/j41gny4gbjzl
https://confluence.status.atlassian.com/incidents/fyt32n9vrd17

+ PHP8: php-curl-RCE-Privilage-Escalation
https://cxsecurity.com/issue/WLB-2023120006

マルウエア徹底解剖
脅威をHTMLに隠して「密輸」
[第48回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111600049/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第2回
社内ネットワークとクラウドをつなぐ経路に「落とし穴」、点検したい3つの要所
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100002/?ST=nxt_thmit_security

ニュース解説
C言語ソフトに潜むバッファオーバーフロー攻撃を排除、Codasipが新RISC-Vコア
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08681/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
日本学術振興会が8月に続き11月も個人情報漏洩を発表、Proselfの脆弱性悪用される
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500243/?ST=nxt_thmit_security

「d払い」の障害復旧、クレジットカード支払いのユーザーに影響
https://xtech.nikkei.com/atcl/nxt/news/18/16383/?ST=nxt_thmit_security

広島大学病院のシステム障害、原因は電子カルテシステムのネットワーク機器不具合
https://xtech.nikkei.com/atcl/nxt/news/18/16380/?ST=nxt_thmit_security

JVN#46895889 楽々Document Plus におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN46895889/index.html

2023年12月4日月曜日

4日 月曜日、先勝

+ Some customers aren't receiving email notification when exporting users from User Management
https://confluence.status.atlassian.com/incidents/gcgbls55354c
https://jira-service-management.status.atlassian.com/incidents/rq44y073qdt6

+ Create Component button is missing on some sites
https://jira-service-management.status.atlassian.com/incidents/wjs1m9szqmqv

+ Zabbix 6.4.9, 6.0.24, 5.0.40 released
https://www.zabbix.com/rn/rn6.4.9
https://www.zabbix.com/rn/rn6.0.24
https://www.zabbix.com/rn/rn5.0.40

+ UPDATE: VMSA-2023-0026.1 VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
https://www.vmware.com/security/advisories/VMSA-2023-0026.html

+ Upgrade to Apache Commons Logging 1.3.0
https://logging.apache.org/blog/2023/12/02/apache-common-logging-1.3.0.html

フォーカス
さよならパスワード 導入進む「パスキー」
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400162/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」
ランサム被害でログまで暗号化 約3日で復旧も感染経路特定できず
名古屋港運協会
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/112900145/?ST=nxt_thmit_security

クラウドに潜むネットワークの落とし穴
第1回
「暗黙のルーター」って何? ネットワーク技術者も必修のクラウド基礎知識
https://xtech.nikkei.com/atcl/nxt/column/18/02658/112100001/?ST=nxt_thmit_security

東京海上日動が自賠責保険システムでも情報漏洩か、代理店120店が管理する顧客情報で
https://xtech.nikkei.com/atcl/nxt/news/18/16375/?ST=nxt_thmit_security

JVNVU#97684988 Delta Electronics製DOPSoftにおけるスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU97684988/index.html

JVNVU#95489204 複数のPTC製Kepware製品における複数の脆弱性
http://jvn.jp/vu/JVNVU95489204/index.html

JVNVU#95177889 横河電機製STARDOMにおけるリソース枯渇の脆弱性
http://jvn.jp/vu/JVNVU95177889/index.html

JVN#45891816 Ruckus Access Point におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN45891816/index.html

JVNVU#93383160 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるファイル名やパス名の外部制御に関する脆弱性
http://jvn.jp/vu/JVNVU93383160/index.html

2023年12月1日金曜日

1日 金曜日、仏滅

+ Forge Function Invocations outage impacting Smartlinks
https://jira-service-management.status.atlassian.com/incidents/ts43b5ysc25l
https://confluence.status.atlassian.com/incidents/4f5c61c1z6qv

+ About the security content of Safari 17.1.2
https://support.apple.com/ja-jp/HT214033
CVE-2023-42916
CVE-2023-42917

+ About the security content of iOS 17.1.2 and iPadOS 17.1.2
https://support.apple.com/ja-jp/HT214031
CVE-2023-42916
CVE-2023-42917

+ About the security content of macOS Sonoma 14.1.2
https://support.apple.com/ja-jp/HT214032
CVE-2023-42916
CVE-2023-42917

+ Google Chrome 120.0.6099.56 released
https://chromereleases.googleblog.com/2023/11/early-stable-update-for-desktop.html

+ Mozilla Firefox 120.0.1 released
https://www.mozilla.org/en-US/firefox/120.0.1/releasenotes/

+ Apache PDFBox 3.0.1 released
https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353552

+ JVNVU#96182160 Apache Tomcatにおけるリクエストスマグリングの脆弱性
http://jvn.jp/vu/JVNVU96182160/index.html

JVNVU#93383160 三菱電機製複数のFAエンジニアリングソフトウェア製品におけるファイル名やパス名の外部制御に関する脆弱性
http://jvn.jp/vu/JVNVU93383160/index.html

JVNVU#99358007 Delta Electronics製InfraSuite Device Masterにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99358007/index.html

JVNVU#91897450 Franklin Electric Fueling Systems製FFS Colibriにおけるパストラバーサルの脆弱性
http://jvn.jp/vu/JVNVU91897450/index.html

JVNVU#99370831 BD製FACSChorusにおける複数の脆弱性
http://jvn.jp/vu/JVNVU99370831/index.html

JVNVU#98760962 三菱電機製GX Works2のシミュレーション機能における不適切なパケット処理の脆弱性
http://jvn.jp/vu/JVNVU98760962/index.html

専門家に聞くビギナーズクエスチョン
「パスキー」って何?
[今回の回答者]NTTドコモ チーフセキュリティアーキテクト FIDOアライアンス 執行評議会・ボードメンバー 森山 光一
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/111600076/?ST=nxt_thmit_security

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
なぜ詐欺師に電話をかけるのか 「サポート詐欺」の巧みな手口
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112700121/?ST=nxt_thmit_security

動かないコンピュータ
名古屋港のランサム被害、約3日で復旧もログまで暗号化され感染経路はいまだ不明
https://xtech.nikkei.com/atcl/nxt/column/18/01157/112900099/?ST=nxt_thmit_security

Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
https://xtech.nikkei.com/atcl/nxt/news/18/16368/?ST=nxt_thmit_security

積水ハウスが顧客情報漏洩、BIPROGYの設定不備が原因
https://xtech.nikkei.com/atcl/nxt/news/18/16362/?ST=nxt_thmit_security

JAXAが不正アクセス受けた恐れ、ネットワーク機器の脆弱性悪用か
https://xtech.nikkei.com/atcl/nxt/news/18/16355/?ST=nxt_thmit_security

ownCloudの脆弱性(Critical: CVE-2023-49103, CVE-2023-49104, High: CVE-2023-49105)
https://security.sios.jp/vulnerability/owncloud-security-vulnerability-20231129/