:: IT Security Neophyte Investigator's MEMO ::: 2024

2024年4月26日金曜日

26日金曜日、友引

日経NETWORK 特別リポート

きょうから始めるSBOM

トヨタ・ルネサス・キヤノンも注力

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/041700076/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

画面ロックには「ESCキー長押し」　伝えてほしいサポート詐欺対策

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/041600131/?ST=nxt_thmit_security

ITが危ない

生成AIを悪用して拡散するワームが登場する恐れ、セキュリティー研究者が警鐘

https://xtech.nikkei.com/atcl/nxt/column/18/00989/042300148/?ST=nxt_thmit_security

2024年4月25日木曜日

25日木曜日、先勝

+ RHSA-2024:2037 Important: tigervnc security update

https://access.redhat.com/errata/RHSA-2024:2037

CVE-2024-31080

CVE-2024-31081

CVE-2024-31083

+ RHSA-2024:2011 Important: Satellite Client Async Security Update

https://access.redhat.com/errata/RHSA-2024:2011

CVE-2023-38545

+ RHSA-2024:2010 Important: Satellite 6.15.0 release

https://access.redhat.com/errata/RHSA-2024:2010

CVE-2022-40896

CVE-2023-4320

CVE-2023-5189

CVE-2023-36479

CVE-2023-37276

CVE-2023-38037

CVE-2023-40167

CVE-2023-41164

CVE-2023-43665

CVE-2023-47627

CVE-2023-49081

CVE-2023-49082

CVE-2023-52323

CVE-2024-21647

CVE-2024-22047

CVE-2024-22195

CVE-2024-23334

CVE-2024-23829

+ RHSA-2024:1998 Moderate: libreswan security update

https://access.redhat.com/errata/RHSA-2024:1998

CVE-2024-2357

+ Google Chrome 124.0.6367.78/.79 released

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_24.html

+ Statement on glibc/iconv Vulnerability

https://www.php.net/archive/2024.php#2024-04-24-1

CVE-2024-2961

JVNVU#91883072 NETGEAR製ルーターにおけるバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU91883072/index.html

JVN#62737544 RoamWiFi R10における複数の脆弱性

https://jvn.jp/jp/JVN62737544/index.html

実践DX、クラウドで始めるデータマネジメント

データ自体をセキュアに　短期間・低コストで活用進める

［第15回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031700346/041600015/?ST=nxt_thmit_security

日清食品、「デジタル武装」の全貌

第5回

3年でセキュリティー投資額は2倍以上に、プロ人材を集め「先守後攻」貫く日清食品

https://xtech.nikkei.com/atcl/nxt/column/18/02807/041600005/?ST=nxt_thmit_security

三井物産が米企業の持ち分取得で米国セキュリティー市場に参入、グローバル化推進

https://xtech.nikkei.com/atcl/nxt/news/24/00636/?ST=nxt_thmit_security

HOYAが3月末に発生したシステム障害からほぼ復旧、「今期業績への影響は精査中」

https://xtech.nikkei.com/atcl/nxt/news/24/00637/?ST=nxt_thmit_security

2024年4月24日水曜日

24日水曜日、赤口

+ Apahche Tomcat 10.1.23 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.23_(schultz)

piyokangoの月刊システムトラブル

ダイキンから情報流出2万件超　再々委託先が私的にアクセス

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/041600062/?ST=nxt_thmit_security

ネスペ試験で学ぶネットワーク技術のキホン

プロキシーサーバーとセキュリティー

［第26回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/041700027/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

あれもこれも「ノーコード」、このままだと未来はない

https://xtech.nikkei.com/atcl/nxt/column/18/02598/041800008/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

ディープフェイク音声を会話中の「息継ぎ」で見抜く、精度80％超の新手法が登場

https://xtech.nikkei.com/atcl/nxt/column/18/00676/041700165/?ST=nxt_thmit_security

ゆうちょ銀行でシステムトラブル、他の金融機関からの入金が遅延

https://xtech.nikkei.com/atcl/nxt/news/24/00632/?ST=nxt_thmit_security

JVNTA#90371415 WindowsカーネルドライバーのIOCTL処理におけるアクセス制御不備の脆弱性

https://jvn.jp/ta/JVNTA90371415/index.html

JVN#40079147 TvRock におけるサービス運用妨害 (DoS) の脆弱性

https://jvn.jp/jp/JVN40079147/index.html

JVN#24683352 TvRock におけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN24683352/index.html

2024年4月23日火曜日

23日火曜日、大安

+ Intermittent errors when trying to link Issues in the Issue View

https://jira-service-management.status.atlassian.com/incidents/tqqtztl3ybg5

+ RHSA-2024:1962 Important: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2024:1962

CVE-2023-45288

+ RHSA-2024:1822 Moderate: java-11-openjdk security update

https://access.redhat.com/errata/RHSA-2024:1822

CVE-2024-21011

CVE-2024-21012

CVE-2024-21068

CVE-2024-21085

CVE-2024-21094

+ RHSA-2024:1939 Low: thunderbird security update

https://access.redhat.com/errata/RHSA-2024:1939

CVE-2024-3302

+ Zabbix 6.4.14, 6.0.29 released

https://www.zabbix.com/rn/rn6.4.14

https://www.zabbix.com/rn/rn6.0.29

吉川孝志のマルウエア徹底解剖

第2回

マルウエアを多段の自己解凍書庫に隠蔽、セキュリティー検査を回避する巧妙な手口

https://xtech.nikkei.com/atcl/nxt/column/18/02805/041000002/?ST=nxt_thmit_security

記者の眼

「ほにゃららtwitter.com」の登録が急増、Xの危険な試みに驚くもほっこりした気分に

https://xtech.nikkei.com/atcl/nxt/column/18/00138/041901510/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

VPN装置を介したランサムウエア被害3件、脆弱性や設定不備が原因

https://xtech.nikkei.com/atcl/nxt/column/18/00598/040500270/?ST=nxt_thmit_security

使用しない機器の電源はオフに、IPAが長期休暇に向け注意喚起

https://xtech.nikkei.com/atcl/nxt/news/24/00612/?ST=nxt_thmit_security

JVNVU#99836374 Siemens製品に対するアップデート（2024年4月）

https://jvn.jp/vu/JVNVU99836374/index.html

JVNVU#98274902 オムロン製Sysmac Studio/CX-OneおよびCX-Programmerにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98274902/index.html

2024年4月22日月曜日

22日月曜日、仏滅

+ Mozilla Foundation Security Advisory 2024-20 Security Vulnerabilities fixed in Thunderbird 115.10

https://www.mozilla.org/en-US/security/advisories/mfsa2024-20/

CVE-2024-3852

CVE-2024-3854

CVE-2024-3857

CVE-2024-2609

CVE-2024-3859

CVE-2024-3861

CVE-2024-3863

CVE-2024-3302

CVE-2024-3864

+ Apache Struts 6.4.0 released

https://struts.apache.org/announce-2024#a20240419

https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.4.0

JVNTA#95942420 TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題

https://jvn.jp/ta/JVNTA95942420/index.html

JVNVU#97942786 Unitronics製VisionシリーズPLCにおける復元可能な形式でのパスワード保存の脆弱性

https://jvn.jp/vu/JVNVU97942786/index.html

JVNVU#91216202 Armeria-samlにおけるSAMLメッセージ取り扱い不備

https://jvn.jp/vu/JVNVU91216202/index.html

JVNVU#91696361 LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/vu/JVNVU91696361/index.html

吉川孝志のマルウエア徹底解剖

第1回

マルウエアが暗号資産を狙う、認証情報の窃取や不正取引の承認など4つの脅威

https://xtech.nikkei.com/atcl/nxt/column/18/02805/041000001/?ST=nxt_thmit_security

2024年4月19日金曜日

19日金曜日、先勝

+ RHSA-2024:1828 Moderate: java-21-openjdk security update

https://access.redhat.com/errata/RHSA-2024:1828

CVE-2024-21011

CVE-2024-21012

CVE-2024-21068

+ RHSA-2024:1818 Moderate: java-1.8.0-openjdk security update

https://access.redhat.com/errata/RHSA-2024:1818

CVE-2024-21011

CVE-2024-21068

CVE-2024-21085

CVE-2024-21094

+ RHSA-2024:1912 Important: firefox security update

https://access.redhat.com/errata/RHSA-2024:1912

CVE-2024-2609

CVE-2024-3852

CVE-2024-3854

CVE-2024-3857

CVE-2024-3859

CVE-2024-3861

CVE-2024-3864

+ RHSA-2024:1902 Important: shim security update

https://access.redhat.com/errata/RHSA-2024:1902

CVE-2023-40546

CVE-2023-40547

CVE-2023-40548

CVE-2023-40549

CVE-2023-40550

CVE-2023-40551

+ RHSA-2024:1825 Moderate: java-17-openjdk security update

https://access.redhat.com/errata/RHSA-2024:1825

CVE-2024-21011

CVE-2024-21012

CVE-2024-21068

CVE-2024-21094

+ Mozilla Thunderbird 115.10.1 released

https://www.thunderbird.net/en-US/thunderbird/115.10.1/releasenotes/

JVNVU#91264077 PuTTY SSHクライアントのECDSA署名処理に脆弱性

https://jvn.jp/vu/JVNVU91264077/index.html

JVN#50132400 WordPress用プラグインForminatorにおける複数の脆弱性

https://jvn.jp/jp/JVN50132400/index.html

2024年4月18日木曜日

18日木曜日、赤口

+ TortoiseSVN 1.14.7 released

https://tortoisesvn.net/tsvn_1.14_releasenotes.html

+ Mozilla Firefox 125.0.1 released

https://www.mozilla.org/en-US/firefox/125.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2024-18 Security Vulnerabilities fixed in Firefox 125

https://www.mozilla.org/en-US/security/advisories/mfsa2024-18/

CVE-2024-3852

CVE-2024-3853

CVE-2024-3854

CVE-2024-3855

CVE-2024-3856

CVE-2024-3857

CVE-2024-3858

CVE-2024-3859

CVE-2024-3860

CVE-2024-3861

CVE-2024-3862

CVE-2024-3863

CVE-2024-3302

CVE-2024-3864

CVE-2024-3865

+ nginx 1.25.5 relased

https://nginx.org/en/CHANGES

+ Mozilla Thunderbird 115.10.0 released

https://www.thunderbird.net/en-US/thunderbird/115.10.0/releasenotes/

+ ISC BIND 9.18.26, 9.16.50 released

https://downloads.isc.org/isc/bind9/9.18.26/RELEASE-NOTES-bind-9.18.26.html

https://downloads.isc.org/isc/bind9/9.16.50/doc/arm/html/notes.html

+ Oracle Critical Patch Update Advisory - April 2024

https://www.oracle.com/security-alerts/cpuapr2024.html

+ ClamAV 1.3.1, 1.2.3, 1.0.6 patch versions published

https://blog.clamav.net/2024/04/clamav-131-123-106-patch-versions.html

+ Apache Tomcat 9.0.88 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.88_(remm)

VU#253266 Keras 2 Lambda Layers Allow Arbitrary Code Injection in TensorFlow Models

https://www.kb.cert.org/vuls/id/253266

ニュース＆リポート

個情委がLINEヤフーに行政指導　個人データ52万件流出受け

2021年の教訓生かされず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/041001064/?ST=nxt_thmit_security

ニュース＆リポート

国内外で目立つXの乗っ取り被害　強制変更された認証設定に注意

ネット広告市場の低迷を要因に挙げる声も

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/041001058/?ST=nxt_thmit_security

ニュース＆リポート

サードパーティークッキーが廃止　MSが追随するも米業界団体は批判

企業は廃止に向けた対応が急務

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/041001061/?ST=nxt_thmit_security

ニュース解説

DoS攻撃に新手法、攻撃者のパケット1つで無限に続く「Loop DoS」の正体

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09175/?ST=nxt_thmit_security

シノプシスがSBOMツールBlack Duckの新製品、商用コンポーネントも読み込み可に

https://xtech.nikkei.com/atcl/nxt/news/24/00590/?ST=nxt_thmit_security

JVNVU#98470210 Measuresoft製ScadaProにおける不適切なアクセス制御の脆弱性

https://jvn.jp/vu/JVNVU98470210/index.html

JVNVU#90759957 Electrolink製FM/DAB/TV Transmitterにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90759957/index.html

JVNVU#93358472 複数のRockwell Automation製品における不適切な入力確認の脆弱性

https://jvn.jp/vu/JVNVU93358472/index.html

JVNVU#99647535 RoboDKにおけるヒープベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU99647535/index.html

JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92327282/index.html

JVN#23835228 Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN23835228/index.html

2024年4月16日火曜日

16日火曜日、仏滅

+ PuTTY 0.81 released

https://www.chiark.greenend.org.uk/~sgtatham/putty/releases/0.81.html

CVE-2024-31497

+ Google Chrome 124.0.6367.60 released

https://chromereleases.googleblog.com/2024/04/early-stable-update-for-desktop.html

+ JVNVU#94343502 複数のプログラミング言語のWindows環境におけるコマンド実行処理において引数のエスケープ処理が適切でない問題

https://jvn.jp/vu/JVNVU94343502/index.html

今日から始めるSBOM

自社のレベルを知る　フローチャート診断

［Part 3］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/040800414/040800003/?ST=nxt_thmit_security

今日から始めるSBOM

導入進めるトヨタ　供給網で統一書式

［Part 2］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/040800414/040800002/?ST=nxt_thmit_security

今日から始めるSBOM

機運高まる欧米　日本企業も不可避に

［Part 1］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/040800414/040800001/?ST=nxt_thmit_security

記者の眼

Googleが渋いセキュリティー新技術、「クッキー泥棒」対策の決め手になるか

https://xtech.nikkei.com/atcl/nxt/column/18/00138/040901505/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

偽造された個人確認書類を使ったスマホ経由の申し込みに情報開示、日本信用情報機構で

https://xtech.nikkei.com/atcl/nxt/column/18/00598/040500260/?ST=nxt_thmit_security

JVN#58236836 バッファロー製無線LANルーターにおける複数の脆弱性

https://jvn.jp/jp/JVN58236836/index.html

2024年4月15日月曜日

15日月曜日、先負

+ ■Windows DNSサーバーの脆弱性情報が公開されました（CVE-2024-26221、他6件）

https://jprs.jp/tech/security/2024-04-12-windowsdns.html

CVE-2024-26221

CVE-2024-26222

CVE-2024-26223

CVE-2024-26224

CVE-2024-26227

CVE-2024-26231

CVE-2024-26233

+ PHP 8.1.28 released

https://www.php.net/ChangeLog-8.php#8.1.28

JVNVU#97918092 Rockwell Automation製5015-AENFTXTにおける不適切な入力検証の脆弱性

https://jvn.jp/vu/JVNVU97918092/index.html

JVNVU#99836374 Siemens製品に対するアップデート（2024年4月）

https://jvn.jp/vu/JVNVU99836374/index.html

キーワード

OSINT（Open Source Intelligence）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/040900166/?ST=nxt_thmit_security

2024年4月12日金曜日

12日金曜日、赤口

+ RHSA-2024:1786 Important: httpd:2.4/mod_http2 security update

https://access.redhat.com/errata/RHSA-2024:1786

CVE-2024-27316

+ RHSA-2024:1784 Moderate: gnutls security update

https://access.redhat.com/errata/RHSA-2024:1784

CVE-2024-28834

+ RHSA-2024:1782 Important: bind and dhcp security update

https://access.redhat.com/errata/RHSA-2024:1782

CVE-2023-4408

CVE-2023-50387

CVE-2023-50868

+ RHSA-2024:1781 Important: bind9.16 security update

https://access.redhat.com/errata/RHSA-2024:1781

CVE-2023-4408

CVE-2023-5517

CVE-2023-5679

CVE-2023-6516

CVE-2023-50387

CVE-2023-50868

+ RHSA-2024:1751 Important: unbound security update

https://access.redhat.com/errata/RHSA-2024:1751

CVE-2024-1488

+ Oracle Critical Patch Update Pre-Release Announcement - April 2024

https://www.oracle.com/security-alerts/cpuapr2024.html

+ PHP 8.3.6, 8.2.18 released

https://www.php.net/ChangeLog-8.php#8.3.6

https://www.php.net/ChangeLog-8.php#8.2.18

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

アスキーアートで爆弾作りを伝授　生成AIを悪用する「ArtPrompt」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/040400130/?ST=nxt_thmit_security

ニュース解説

運転免許センターで同時発生した「うるう年」の不具合、和暦設定が引き金に

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09151/?ST=nxt_thmit_security

2024年4月11日木曜日

11日木曜日、大安

+ RHSA-2024:1687 Important: nodejs:20 security update

https://access.redhat.com/errata/RHSA-2024:1687

CVE-2023-46809

CVE-2024-21890

CVE-2024-21891

CVE-2024-21892

CVE-2024-21896

CVE-2024-22017

CVE-2024-22019

+ Google Chrome 123.0.6312.122/.123 released

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_10.html

+ 2024 年 4 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2024/04/202404-security-update/

+ VU#123335 Multiple programming languages fail to escape arguments properly in Microsoft Windows

https://www.kb.cert.org/vuls/id/123335

CVE-2024-1874

CVE-2024-22423

CVE-2024-24576

CVE-2024-3566

社長の疑問に答えるIT専門家の対話術

Uber Eatsに攻めの新機能　技術で安全と信頼を担保

［第264回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020900021/040400161/?ST=nxt_thmit_security

UPDATE: JVNVU#93823979 CPU に対するサイドチャネル攻撃

https://jvn.jp/vu/JVNVU93823979/index.html

JVNVU#92046900 複数のSUBNET Solutions製品における信頼できないサードパーティコンポーネントへの依存の脆弱性

https://jvn.jp/vu/JVNVU92046900/index.html

JVN#70977403 a-blog cmsにおける複数の脆弱性

https://jvn.jp/jp/JVN70977403/index.html

JVNVU#99836374 Siemens製品に対するアップデート（2024年4月）

https://jvn.jp/vu/JVNVU99836374/index.html

2024年4月10日水曜日

10日水曜日、仏滅

+ RHSA-2024:1719 Moderate: rear security update

https://access.redhat.com/errata/RHSA-2024:1719

CVE-2024-23301

+ RHSA-2024:1690 Important: varnish security update

https://access.redhat.com/errata/RHSA-2024:1690

CVE-2024-30156

+ OpenSSL 3.3.0 released

https://www.openssl.org/

+ JVNVU#96443143 OpenSSLにおけるサービス運用妨害（DoS）の脆弱性（Security Advisory [8th April 2024]）

https://jvn.jp/vu/JVNVU96443143/index.html

+ VU#155143 Linux kernel on Intel systems is susceptible to Spectre v2 attacks

https://www.kb.cert.org/vuls/id/155143

CVE-2022-0001

CVE-2024-2201

JVNVU#99012560 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備

https://jvn.jp/vu/JVNVU99012560/index.html

勝村幸博の「今日も誰かが狙われる」

画面ロックされたら「ESCキー長押し」、みんなに伝えてほしいサポート詐欺対策

https://xtech.nikkei.com/atcl/nxt/column/18/00676/040300164/?ST=nxt_thmit_security

2024年4月9日火曜日

9日火曜日、先負

+ OpenSSL Security Advisory [8th April 2024]

https://www.openssl.org/news/secadv/20240408.txt

CVE-2024-2511

JVN#50361500 WordPress用プラグインNinja Formsにおける複数の脆弱性

https://jvn.jp/jp/JVN50361500/index.html

piyokangoの週刊システムトラブル

カオナビの子会社が設定ミスで15万人超の個人情報流出、マイナンバーも対象

https://xtech.nikkei.com/atcl/nxt/column/18/00598/040500259/?ST=nxt_thmit_security

2024年4月8日月曜日

8日月曜日、先勝

+ Scheduled maintenance for Automation in Jira and Confluence

https://jira-service-management.status.atlassian.com/incidents/lnm3kwq71h70

https://confluence.status.atlassian.com/incidents/767wl4ddgwkw

+ Mozilla Firefox 124.0.2 released

https://www.mozilla.org/en-US/firefox/124.0.2/releasenotes/

+ JVNVU#99032532 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

https://jvn.jp/vu/JVNVU99032532/index.html

CVE-2023-38709

CVE-2024-24795

CVE-2024-27316

ニュース解説

「採れない」セキュリティー人材、求人は10年で24倍に

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09139/?ST=nxt_thmit_security

JVNVU#96015982 Hitachi Energy製Asset Suite 9における不適切な認証の脆弱性

https://jvn.jp/vu/JVNVU96015982/index.html

JVNVU#93460697 複数のSchweitzer Engineering Laboratories製品におけるドキュメント化されていない機能の脆弱性

https://jvn.jp/vu/JVNVU93460697/index.html

JVN#82074338 NEC Atermシリーズにおける複数の脆弱性

https://jvn.jp/jp/JVN82074338/index.html

2024年4月5日金曜日

5日金曜日、仏滅

+ CESA-2024:1498 Moderate CentOS 7 thunderbird Security Update

https://lwn.net/Articles/968386/

+ CESA-2024:1486 Critical CentOS 7 firefox Security Update

https://lwn.net/Articles/968385/

+ UPDATE: Oracle Critical Patch Update Advisory - January 2024

https://www.oracle.com/security-alerts/cpujan2024.html

+ Apache HTTP Server 2.4.59 Released

https://downloads.apache.org/httpd/Announcement2.4.html

https://downloads.apache.org/httpd/CHANGES_2.4.59

+ Apache HTTP Serverの脆弱性(Important: CVE-2024-27316, Moderate: CVE-2023-38709, low: CVE-2024-24795)と2.4.59リリース

https://security.sios.jp/vulnerability/apache-security-vulnerability-20240405/

CVE-2024-27316

CVE-2023-38709

CVE-2024-24795

JVNVU#94016877 Centeミドルウェアにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94016877/index.html

JVNVU#91975826 プラネックス製無線LANルータMZK-MF300Nにおける複数の脆弱性

https://jvn.jp/vu/JVNVU91975826/index.html

情報処理安全確保支援士試験に学ぶネットワーク技術

第5回

認証情報をやり取りする「SAML」、支援士試験ではどう出題される？

https://xtech.nikkei.com/atcl/nxt/column/18/02793/032600005/?ST=nxt_thmit_security

2024年4月4日木曜日

4日木曜日、先負

+ Admin Portal Feature Access Issue

https://jira-service-management.status.atlassian.com/incidents/qgmpxsqcvg59

https://confluence.status.atlassian.com/incidents/mrbzdtnfkzq0

+ Incoming email is not working due to cipher mismatch

https://jira-service-management.status.atlassian.com/incidents/v9jfwtm6p1xf

+ VU#421644 HTTP/2 CONTINUATION frames can be utilized for DoS attacks

https://www.kb.cert.org/vuls/id/421644

CVE-2023-45288

CVE-2024-2653

CVE-2024-27316

CVE-2024-2758

CVE-2024-27919

CVE-2024-27983

CVE-2024-28182

CVE-2024-30255

CVE-2024-31309

JVNVU#93501405 IOSiX製IO-1020 Micro ELDにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93501405/index.html

情報処理安全確保支援士試験に学ぶネットワーク技術

第4回

分からないでは済まされない「ファイアウオール」、支援士試験で構成図に頻出

https://xtech.nikkei.com/atcl/nxt/column/18/02793/032600004/?ST=nxt_thmit_security

2024年4月3日水曜日

3日水曜日、友引

+ RHSA-2024:1646 Important: grafana security and bug fix update

https://access.redhat.com/errata/RHSA-2024:1646

CVE-2024-1394

+ RHSA-2024:1644 Important: grafana-pcp security and bug fix update

https://access.redhat.com/errata/RHSA-2024:1644

CVE-2024-1394

+ RHSA-2024:1615 Moderate: expat security update

https://access.redhat.com/errata/RHSA-2024:1615

CVE-2023-52425

+ RHSA-2024:1612 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2024:1612

CVE-2023-6546

+ RHSA-2024:1610 Moderate: less security update

https://access.redhat.com/errata/RHSA-2024:1610

CVE-2022-48624

+ RHSA-2024:1608 Moderate: opencryptoki security update

https://access.redhat.com/errata/RHSA-2024:1608

CVE-2024-0914

+ RHSA-2024:1607 Important: kernel security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2024:1607

CVE-2021-33631

CVE-2022-38096

CVE-2023-6546

CVE-2023-6931

CVE-2023-51042

CVE-2024-0565

CVE-2024-1086

+ RHSA-2024:1601 Moderate: curl security and bug fix update

https://access.redhat.com/errata/RHSA-2024:1601

CVE-2023-28322

CVE-2023-38546

CVE-2023-46218

+ Google Chrome 123.0.6312.105/.106/.107, 122.0.6261.156 released

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2024/04/extended-stable-channel-update-for.html

+ VMSA-2024-0008 VMware SD-WAN Edge and SD-WAN Orchestrator updates address multiple security vulnerabilities.

https://www.vmware.com/security/advisories/VMSA-2024-0008.html

CVE-2024-22246

CVE-2024-22247

CVE-2024-22248

「日本市場へ投資を続ける」、セキュアワークスのフルトンCOOが明かす

https://xtech.nikkei.com/atcl/nxt/news/24/00489/?ST=nxt_thmit_security

情報処理安全確保支援士試験に学ぶネットワーク技術

第3回

「HTTPS」は支援士試験で出題頻度トップクラス、Webの通信をどう守っているのか

https://xtech.nikkei.com/atcl/nxt/column/18/02793/032600003/?ST=nxt_thmit_security

2024年4月2日火曜日

2日火曜日、先勝

JVNVU#99285099 フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）における初期パスワードに関する脆弱性

https://jvn.jp/vu/JVNVU99285099/index.html

マルウエア徹底解剖

自己解凍書庫を悪用する巧妙な手口

［第52回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/031800053/?ST=nxt_thmit_security

情報処理安全確保支援士試験に学ぶネットワーク技術

第2回

支援士試験でよく出題される「DNS」、仕組みと狙われるワケを押さえる

https://xtech.nikkei.com/atcl/nxt/column/18/02793/032600002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

生成AI「リートン」で入力プロンプトが他人に見られる脆弱性、設定不備で

https://xtech.nikkei.com/atcl/nxt/column/18/00598/021000213/?ST=nxt_thmit_security

2024年4月1日月曜日

1 日月曜日、赤口

+ Data residency migrations cannot be scheduled

https://jira-service-management.status.atlassian.com/incidents/785f79qzdmzh

https://confluence.status.atlassian.com/incidents/jr9qszl903fb

+ FreeBSD-SA-24:03.unbound Multiple vulnerabilities in unbound

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:03.unbound.asc

CVE-2023-50387

CVE-2023-50868

+ xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)

https://security.sios.jp/vulnerability/xz-security-vulnerability-20240330/

CVE-2024-3094

極言正論

繰り返される技術者の「犯罪」　NTT西の事件が示す丸投げの闇

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600007/032500162/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ずさんな安全管理体制が露呈　総務省が異例の行政指導

LINEヤフー

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/032800152/?ST=nxt_thmit_security

情報処理安全確保支援士試験に学ぶネットワーク技術

第1回

「特に重要なネットワーク技術」をどう選ぶ？　ヒントは支援士試験にあり

https://xtech.nikkei.com/atcl/nxt/column/18/02793/032600001/?ST=nxt_thmit_security

JVNVU#92825069 キーエンス製VT STUDIOにおけるDLL読み込みに関する脆弱性

https://jvn.jp/vu/JVNVU92825069/index.html

JVNVU#95439120 キーエンス製KV STUDIOおよびKV REPLAY VIEWERにおける複数の脆弱性

https://jvn.jp/vu/JVNVU95439120/index.html

JVN#23528780 スマートフォンアプリ「Yahoo! JAPAN」におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN23528780/index.html

2024年3月29日金曜日

29日金曜日、先負

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

スマホを過熱させて「破壊」　ワイヤレス充電器を乗っ取る攻撃

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/032200129/?ST=nxt_thmit_security

専門家に聞くビギナーズクエスチョン

メールのなりすましをどう防ぐの？

［今回の回答者］TwoFive CTO（最高技術責任者）　加瀬正樹

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/031800081/?ST=nxt_thmit_security

3分でわかる必修ワード IT

SNSなど多様な公開情報を解析、セキュリティー対策に生かす「OSINT」とは

OSINT（Open Source Intelligence）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/031100251/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第5回

フェイク排除にプラットフォームの対策が必要、リテラシーだけでは防ぎきれない

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100005/?ST=nxt_thmit_security

動かないコンピュータ

ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」

https://xtech.nikkei.com/atcl/nxt/column/18/01157/032800106/?ST=nxt_thmit_security

ニュース解説

個人情報保護委員会がLINEヤフーに行政指導、個人データ52万件流出受け

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09104/?ST=nxt_thmit_security

2024年3月28日木曜日

28日木曜日、友引

+ TLS certificate check bypass with mbedTLS

https://curl.se/docs/CVE-2024-2466.html

CVE-2024-2466

+ HTTP/2 push headers memory-leak

https://curl.se/docs/CVE-2024-2398.html

CVE-2024-2398

+ QUIC certificate check bypass with wolfSSL

https://curl.se/docs/CVE-2024-2379.html

CVE-2024-2379

+ Usage of disabled protocol

https://curl.se/docs/CVE-2024-2004.html

CVE-2024-2004

+ RHSA-2024:1536 Moderate: Satellite 6.14.3 Async Security Update

https://access.redhat.com/errata/RHSA-2024:1536

+ Wireshark 4.2.4 released

https://www.wireshark.org/docs/relnotes/wireshark-4.2.4.html

実践DX、クラウドで始めるデータマネジメント

データセキュリティー　「ガードレール」で基盤を安全に

［第14回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031700346/032500014/?ST=nxt_thmit_security

NEWS close-up

暗号化消去のルール整備進む

記憶媒体の破棄が「数秒」で終わる　総務省やNISCに続き文科省もガイドライン

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/031800242/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第4回

フェイクにだまされない、メディア情報リテラシーで自分と社会を守る

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100004/?ST=nxt_thmit_security

2月は電気料金に関する不審な自動音声電話が急増、トビラシステムズが調査結果を公開

https://xtech.nikkei.com/atcl/nxt/news/24/00472/?ST=nxt_thmit_security

国内でも相次ぐSNSの乗っ取り、原因は2要素認証の無効化と怖いマルウエア

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09088/?ST=nxt_thmit_security

JVN#51770585 EC-CUBE における認可回避の脆弱性

https://jvn.jp/jp/JVN51770585/index.html

JVNVU#93932313 SEEnergy製SVR-116におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU93932313/index.html

JVNVU#90582900 AutomationDirect製C-MORE EA9 HMIにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90582900/index.html

JVNVU#95922371 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95922371/index.html

JVN#40367518 SonicDICOM Media Viewer における DLL 読み込みに関する脆弱性

https://jvn.jp/jp/JVN40367518/index.html

JVN#51098626 WordPress 用プラグイン Survey Maker における複数の脆弱性

https://jvn.jp/jp/JVN51098626/index.html

2024年3月27日水曜日

27日水曜日、先勝

+ Some paginated queries in Forge hosted storage kept repeating the last page

https://jira-service-management.status.atlassian.com/incidents/fwygjd5pfk22

https://confluence.status.atlassian.com/incidents/9x2twyz76qgm

+ Confluence Bad gateway error

https://confluence.status.atlassian.com/incidents/c3t76n53v2k9

+ Google Chrome 123.0.6312.86/.87, 122.0.6261.148 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

https://chromereleases.googleblog.com/2024/03/extended-stable-channel-update-for_26.html

+ Zabbix 6.4.13, 6.0.28, 5.0.42 released

https://www.zabbix.com/rn/rn6.4.13

https://www.zabbix.com/rn/rn6.0.28

https://www.zabbix.com/rn/rn5.0.42

+ CESA-2024:1249 Important CentOS 7 kernel Security Update

https://lwn.net/Articles/966664/

UPDATE: JVNVU#99444194 エレコム製無線ルーターにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU99444194/index.html

JVN#44166658 エレコム製無線 LAN ルーターにおける複数の脆弱性

https://jvn.jp/jp/JVN44166658/index.html

JVNVU#95381465 エレコム製無線ルーターにおける複数の脆弱性

https://jvn.jp/vu/JVNVU95381465/index.html

日経NETWORK 特別リポート

ドメイン管理トラブル撲滅術

「登録したら終わり」ではない

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/031800075/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

はびこる「AIと言った者勝ち」、それでいいのか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/031900007/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第3回

見たいものだけが表示される、知らずに飲み込まれるネットのアルゴリズム

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100003/?ST=nxt_thmit_security

2024年3月26日火曜日

26日火曜日、赤口

+ RHSA-2024:1494 Moderate: thunderbird security update

https://access.redhat.com/errata/RHSA-2024:1494

CVE-2023-5388

CVE-2024-0743

CVE-2024-1936

CVE-2024-2607

CVE-2024-2608

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

+ RHSA-2024:1484 Critical: firefox security update

https://access.redhat.com/errata/RHSA-2024:1484

CVE-2023-5388

CVE-2024-0743

CVE-2024-2607

CVE-2024-2608

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

CVE-2024-2616

CVE-2024-29944

+ RHSA-2024:1481 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2024:1481

+ About the security content of Safari 17.4.1

https://support.apple.com/ja-jp/HT214094

CVE-2024-1580

+ About the security content of macOS Sonoma 14.4.1

https://support.apple.com/ja-jp/HT214096

CVE-2024-1580

+ About the security content of macOS Ventura 13.6.6

https://support.apple.com/ja-jp/HT214095

CVE-2024-1580

+ About the security content of iOS 17.4.1 and iPadOS 17.4.1

https://support.apple.com/ja-jp/HT214097

CVE-2024-1580

+ About the security content of iOS 16.7.7 and iPadOS 16.7.7

https://support.apple.com/ja-jp/HT214098

CVE-2024-1580

+ About the security content of visionOS 1.1.1

https://support.apple.com/ja-jp/HT214093

CVE-2024-1580

+ Apache Tomcat 10.1.20, 8.5.100 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.20_(schultz)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.100_(schultz)

JVN#46874970 ぜろちゃんねるスクリプト (0ch) におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN46874970/index.html

JVN#17176449 ffBull における OS コマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN17176449/index.html

JVN#40523785 Mini Thread におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN40523785/index.html

JVN#22376992 WebProxy における OS コマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN22376992/index.html

JVN#69107517 TvRock におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN69107517/index.html

JVN#13113728 「解凍レンジ」における任意の実行ファイル読み込みに関する脆弱性

https://jvn.jp/jp/JVN13113728/index.html

JVN#86206017 WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN86206017/index.html

NEWS close-up

「Gmailガイドライン」が適用開始

対応はなぜギリギリになったのか　メール配信事業者奮闘の舞台裏

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/031800241/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第2回

AIによるディープフェイクが新たな脅威に、人間による見分けは困難

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100002/?ST=nxt_thmit_security

ニュース解説

「HTTPSレコード」が技術標準のRFCに、高速通信を普及させる起爆剤となるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09076/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ランサムウエア被害で決算発表延期の日東製網、遅延の取り戻しに「事務量が2倍に」

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500258/?ST=nxt_thmit_security

2024年3月25日月曜日

25日月曜日、大安

+ RHSA-2024:1472 Important: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2024:1472

CVE-2024-1394

+ Mozilla Firefox 124.0.1 released

https://www.mozilla.org/en-US/firefox/124.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2024-15 Security Vulnerabilities fixed in Firefox 124.0.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

CVE-2024-29943

CVE-2024-29944

+ Mozilla Foundation Security Advisory 2024-16 Security Vulnerabilities fixed in Firefox ESR 115.9.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/

CVE-2024-29944

+ Apache PDFBox 2.0.31 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353787

+ Microsoft Outlook Remote Code Execution Vulnerability - CVE-2024-21413

https://cxsecurity.com/issue/WLB-2024030055

CVE-2024-21413

JVNVU#93546510 ＫＤＤＩ製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93546510/index.html

JVNVU#98188101 Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性

https://jvn.jp/vu/JVNVU98188101/index.html

JVNVU#90953541 バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性

https://jvn.jp/vu/JVNVU90953541/index.html

piyokangoの月刊システムトラブル

トヨタ系クラウドで情報流出か　AWSアクセスキー悪用される

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/031800061/?ST=nxt_thmit_security

2024年3月22日金曜日

22日金曜日、友引

+ iOS 17.4.1, 16.7.7 released

https://support.apple.com/en-us/HT201222

+ visionOS 1.1.1 released

https://support.apple.com/en-us/HT201222

JVNVU#93188600 UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性

https://jvn.jp/vu/JVNVU93188600/index.html

JVNVU#93571422 Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU93571422/index.html

JVNVU#90671953 Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性

https://jvn.jp/vu/JVNVU90671953/index.html

大人のためのメディア情報リテラシー

第1回

偽情報によるネット汚染が社会問題に、メディア情報リテラシーの必要性

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100001/?ST=nxt_thmit_security

2024年3月21日木曜日

21日木曜日、先勝

+ Issue with creating issues and transitions

https://jira-service-management.status.atlassian.com/incidents/mx35ghg6m8qq

+ RHSA-2024:1444 Important: nodejs:16 security update

https://access.redhat.com/errata/RHSA-2024:1444

CVE-2023-44487

CVE-2024-22019

+ RHSA-2024:1435 Important: postgresql-jdbc security update

https://access.redhat.com/errata/RHSA-2024:1435

CVE-2024-1597

+ RHSA-2024:1431 Moderate: ruby:3.1 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2024:1431

CVE-2021-33621

CVE-2023-28755

CVE-2023-28756

CVE-2023-36617

+ Google Chrome 123.0.6312.58/.59, 122.0.6261.139 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html

https://chromereleases.googleblog.com/2024/03/extended-stable-channel-update-for.html

+ Mozilla Firefox 124.0 released

https://www.mozilla.org/en-US/firefox/124.0/releasenotes/

+ Mozilla Foundation Security Advisory 2024-12 Security Vulnerabilities fixed in Firefox 124

https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/

CVE-2024-2605

CVE-2024-2606

CVE-2024-2607

CVE-2024-2608

CVE-2023-5388

CVE-2024-2609

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2613

CVE-2024-2614

CVE-2024-2615

+ Mozilla Foundation Security Advisory 2024-14 Security Vulnerabilities fixed in Thunderbird 115.9

https://www.mozilla.org/en-US/security/advisories/mfsa2024-14/

CVE-2024-0743

CVE-2024-2605

CVE-2024-2607

CVE-2024-2608

CVE-2024-2616

CVE-2023-5388

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

+ Mozilla Thunderbird 115.9.0 released

https://www.thunderbird.net/en-US/thunderbird/115.9.0/releasenotes/

+ ISC BIND 9.18.25, 9.16.49 released

https://downloads.isc.org/isc/bind9/9.18.25/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.49/doc/arm/html/notes.html

+ VU#417980 Implementations of UDP-based application protocols are vulnerable to network loops

https://www.kb.cert.org/vuls/id/417980

CVE-2009-3563

CVE-2024-1309

CVE-2024-2169

+ Microsoft Outlook Remote Code Execution Vulnerability

https://cxsecurity.com/issue/WLB-2024030042

ニュース＆リポート

情報流出に虚偽報告の「ずさん」　個人情報事件でNTT西社長辞任へ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/031301043/?ST=nxt_thmit_security

ニュース＆リポート

「暗号化消去」に普及の兆し　記録媒体のデータを短時間で抹消

行政向けセキュリティーガイドラインが後押し

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/031301044/?ST=nxt_thmit_security

日経コンピュータ「ITが危ない」

chocoZAPで閉じ込めの悲鳴　スマートロックの運用に注意

完全無人運営、利用者は対応が分からず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/031400130/?ST=nxt_thmit_security

データは語る

「ランサムウエア」で被害は3.5％　不正アクセスの2割弱が子会社経由

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/031400168/?ST=nxt_thmit_security

2024年3月19日火曜日

19日火曜日、大安

JVNVU#99690199 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99690199/index.html

JVNVU#96145466 複数の三菱電機製FA製品のEthernet機能におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU96145466/index.html

JVN#94521208 FitNesse における複数の脆弱性

https://jvn.jp/jp/JVN94521208/index.html

どうする「サードパーティークッキー」廃止

グーグル依存から脱却　社内体制の整備が急務

［Part 3］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100003/?ST=nxt_thmit_security

どうする「サードパーティークッキー」廃止

「個」は追いかけない　他社との連携が鍵

［Part 2］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100002/?ST=nxt_thmit_security

どうする「サードパーティークッキー」廃止

段階的廃止が始まる　本命不在の代替策

［Part 1］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

国営公園の施設予約サイトで個人情報流出か、改修中のテスト環境に不正アクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500257/?ST=nxt_thmit_security

ニュース解説

NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09046/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第3回

「生成AI vs 生成AI」の幕開け、有識者に聞いたサイバー防衛の肝

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100003/?ST=nxt_thmit_security

2024年3月18日月曜日

18日月曜日、仏滅

+ Linux Kernelの脆弱性(CVE-2024-26629, CVE-2024-26630)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240315/

CVE-2024-26629

CVE-2024-26630

+ Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20240314/

CVE-2024-23672

CVE-2024-24549

JVNVU#97802107 Delta Electronics製DIAEnergieにおける複数の脆弱性

https://jvn.jp/vu/JVNVU97802107/index.html

JVN#70640802 Android アプリ「ABEMA（アベマ）」におけるアクセス制限不備の脆弱性

https://jvn.jp/jp/JVN70640802/index.html

JVNVU#93656033 Siemens製品に対するアップデート（2024年3月）

https://jvn.jp/vu/JVNVU93656033/index.html

ケーススタディー

転職サイトの認証基盤をクラウドへ　100万人超をログアウトせず移行

ビズリーチ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/031300152/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ランサム感染で発注システム停止　決算発表や新店舗開店が延期に

イズミ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/031400151/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第2回

サイバー攻撃の脅威特定にかかる時間を半減、生成AIは防御側も強くする

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100002/?ST=nxt_thmit_security

DXのトップランナー、中外製薬の野望

第4回

取引先の脆弱性も可視化する中外製薬、ランサム被害の訓練には社長も参加

https://xtech.nikkei.com/atcl/nxt/column/18/02772/030700005/?ST=nxt_thmit_security

2024年3月15日金曜日

15日金曜日、先勝

+ RHSA-2024:1335 Important: dnsmasq security update

https://access.redhat.com/errata/RHSA-2024:1335

CVE-2023-50387

CVE-2023-50868

+ Apache PDFBox 3.0.2 released

https://pdfbox.apache.org/

+ Apache Tomcat 9.0.87 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.87_(remm)

+ PostgreSQL JDBC Driver 42.7.3 released

https://jdbc.postgresql.org/changelogs/2024-03-14-42.7.3-release/

+ PHP 8.3.4, 8.2.17 released

https://www.php.net/ChangeLog-8.php#8.3.4

https://www.php.net/ChangeLog-8.php#8.2.17

+ JVNVU#99626420 Apache Tomcatにおける複数のサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU99626420/index.html

CVE-2024-2367

CVE-2024-24549

JVNVU#99690199 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99690199/index.html

JVNVU#94650413 三菱電機製MELSECシリーズのCPUユニットにおけるバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU94650413/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

「顔」を盗むiPhoneマルウエア　銀行口座に不正アクセス

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/031100128/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第1回

声紋や顔の認証も突破、生成AIでサイバー攻撃は激化する

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100001/?ST=nxt_thmit_security

「Microsoft Copilot for Security」が一般提供へ、日本語でプロンプトの記述が可能に

https://xtech.nikkei.com/atcl/nxt/news/24/00397/?ST=nxt_thmit_security

VU#488902 CPU hardware utilizing speculative execution may be vulnerable to speculative race conditions

https://www.kb.cert.org/vuls/id/488902

2024年3月14日木曜日

14日木曜日、赤口

+ RHSA-2024:1311 Moderate: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2024:1311

CVE-2024-21392

+ RHSA-2024:1308 Moderate: .NET 7.0 security update

https://access.redhat.com/errata/RHSA-2024:1308

CVE-2024-21392

+ Google Chrome 123.0.6132.46 released

https://chromereleases.googleblog.com/2024/03/early-stable-update-for-desktop.html

+ 2024 年 3 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2024/03/202403-security-update/

+ Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20240314/

CVE-2024-23672

CVE-2024-24549

JVNVU#94068825 Schneider Electric製EcoStruxure Power Designにおける信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU94068825/index.html

JVNVU#95993502 Intel製品に複数の脆弱性（2024年3月）

https://jvn.jp/vu/JVNVU95993502/index.html

JVNVU#93656033 Siemens製品に対するアップデート（2024年3月）

https://jvn.jp/vu/JVNVU93656033/index.html

日本DPO協会とJIPDECが「個人情報保護力量検定制度」創設、4月開始

https://xtech.nikkei.com/atcl/nxt/news/24/00391/?ST=nxt_thmit_security

2024年3月13日水曜日

13日水曜日、大安

+ ■Unboundの脆弱性情報が公開されました（CVE-2024-1931）

https://jprs.jp/tech/security/2024-03-12-unbound.html

+ Gpg4win 4.3.1 released

https://www.gpg4win.org/change-history.html

+ About the security content of GarageBand 10.4.11

https://support.apple.com/ja-jp/HT214090

CVE-2024-23300

+ Google Chrome 122.0.6261.128/.129 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_12.html

+ Linux Kernelの脆弱性(CVE-2024-26621, CVE-2024-26622, CVE-2024-26623, CVE-2024-26624, CVE-2024-26625, CVE-2024-26626, CVE-2024-26627, CVE-2024-26628)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240313/

CVE-2024-26621

CVE-2024-26622

CVE-2024-26623

CVE-2024-26624

CVE-2024-26625

CVE-2024-26626

CVE-2024-26627

CVE-2024-26628

勝村幸博の「今日も誰かが狙われる」

スマホや周囲の物体を過熱させて「破壊」、ワイヤレス充電器を乗っ取る新攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00676/030700162/?ST=nxt_thmit_security

「ゆめタウン」のイズミ、ランサム被害で決算発表を延期

https://xtech.nikkei.com/atcl/nxt/news/24/00386/?ST=nxt_thmit_security

2024年3月12日火曜日

12日火曜日、仏滅

+ Confluence facing access issues in certain EU Central regions

https://confluence.status.atlassian.com/incidents/88pjm6ssx55w

+ OpenSSH 9.7/9.7p1 released

https://www.openssh.com/releasenotes.html#9.7p1

piyokangoの週刊システムトラブル

ダイキンの取引先情報2万件超が流出、再委託先NECの発注先で私的にアクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500256/?ST=nxt_thmit_security

JVNVU#90690569 Sciener製ファームウェアで動作する複数の電子ロック関連製品に脆弱性

https://jvn.jp/vu/JVNVU90690569/index.html

2024年3月11日月曜日

11日月曜日、先負

+ unboundの脆弱性(Moderate: CVE-2024-0193)

https://security.sios.jp/vulnerability/unbound-security-vulnerability-20240310/

CVE-2024-0193

+ Linux Kernelの脆弱性(CVE-2024-26607, CVE-2024-26608, CVE-2024-26609, CVE-2024-26610, CVE-2024-26611, CVE-2024-26612, CVE-2024-26613, CVE-2024-26614, CVE-2024-26615, CVE-2024-26616, CVE-2024-26617, CVE-2024-26618, CVE-2024-26619, CVE-2024-26620)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240310/

CVE-2024-26607

CVE-2024-26608

CVE-2024-26609

CVE-2024-26610

CVE-2024-26611

CVE-2024-26612

CVE-2024-26613

CVE-2024-26614

CVE-2024-26615

CVE-2024-26616

CVE-2024-26617

CVE-2024-26618

CVE-2024-26619

CVE-2024-26620

ニュース解説

NTT西日本やドコモで相次ぐ情報漏洩、持ち株会社主導の防止策で膿を出し切れるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09013/?ST=nxt_thmit_security

JVN#48443978 a-blog cms におけるディレクトリトラバーサルの脆弱性

https://jvn.jp/jp/JVN48443978/index.html

JVNVU#91793178 Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性

https://jvn.jp/vu/JVNVU91793178/index.html

2024年3月8日金曜日

8日金曜日、仏滅

+ Performance issues in Jira

https://jira-service-management.status.atlassian.com/incidents/3kdjg8y9fjlw

+ About the security content of Safari 17.4

https://support.apple.com/en-us/HT214089

CVE-2024-23273

CVE-2024-23252

CVE-2024-23254

CVE-2024-23263

CVE-2024-23280

CVE-2024-23284

+ About the security content of macOS Sonoma 14.4

https://support.apple.com/en-us/HT214084

CVE-2024-23291

CVE-2024-23276

CVE-2024-23227

CVE-2024-23233

CVE-2024-23269

CVE-2024-23288

CVE-2024-23277

CVE-2024-23247

CVE-2024-23248

CVE-2024-23249

CVE-2024-23250

CVE-2024-23244

CVE-2024-23205

CVE-2022-48554

CVE-2024-23253

CVE-2024-23270

CVE-2024-23257

CVE-2024-23258

CVE-2024-23286

CVE-2024-23234

CVE-2024-23266

CVE-2024-23235

CVE-2024-23265

CVE-2024-23225

CVE-2024-23278

CVE-2024-0258

CVE-2024-23279

CVE-2024-23287

CVE-2024-23264

CVE-2024-23285

CVE-2024-23283

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

CVE-2022-42816

CVE-2024-23216

CVE-2024-23267

CVE-2024-23268

CVE-2024-23274

CVE-2023-42853

CVE-2024-23275

CVE-2024-23255

CVE-2024-23294

CVE-2024-23296

CVE-2024-23259

CVE-2024-23273

CVE-2024-23238

CVE-2024-23239

CVE-2024-23290

CVE-2024-23232

CVE-2024-23231

CVE-2024-23230

CVE-2024-23245

CVE-2024-23292

CVE-2024-23289

CVE-2024-23293

CVE-2024-23241

CVE-2024-23272

CVE-2024-23242

CVE-2024-23281

CVE-2024-23260

CVE-2024-23246

CVE-2024-23226

CVE-2024-23252

CVE-2024-23254

CVE-2024-23263

CVE-2024-23280

CVE-2024-23284

+ About the security content of macOS Ventura 13.6.5

https://support.apple.com/en-us/HT214085

+ About the security content of macOS Monterey 12.7.4

https://support.apple.com/en-us/HT214083

+ About the security content of watchOS 10.4

https://support.apple.com/en-us/HT214088

+ About the security content of tvOS 17.4

https://support.apple.com/en-us/HT214086

+ About the security content of visionOS 1.1

https://support.apple.com/en-us/HT214087

+ VMSA-2024-0007 VMware Cloud Director updates address a partial information disclosure vulnerability (CVE-2024-22256).

https://www.vmware.com/security/advisories/VMSA-2024-0007.html

CVE-2024-22256

+ Postfix stable release 3.9.0

http://www.postfix.org/announcements/postfix-3.9.0.html

+ JVN#54451757 SKYSEA Client View における複数の脆弱性

https://jvn.jp/jp/JVN54451757/index.html

CVE-2024-21805

CVE-2024-24964

+ VU#949046 Sceiner firmware locks and associated devices are vulnerable to encryption downgrade and arbitrary file upload attacks

https://www.kb.cert.org/vuls/id/949046

CVE-2023-6960

CVE-2023-7003

CVE-2023-7004

CVE-2023-7005

CVE-2023-7006

CVE-2023-7007

CVE-2023-7009

CVE-2023-7017

JVNVU#95852116 オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU95852116/index.html

2024年3月7日木曜日

7日木曜日、先負

+ Issue with incoming email handler

https://jira-service-management.status.atlassian.com/incidents/x2sr23xwyjy7

+ Configuration data discrepancies in automation rules

https://jira-service-management.status.atlassian.com/incidents/6n7h61hgkwfc

https://confluence.status.atlassian.com/incidents/hgh3djg8dty7

+ VMSA-2024-0006.1 VMware ESXi, Workstation, and Fusion updates address multiple security vulnerabilities (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255)

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

ニュース＆リポート

官民のデータ保護担当者が集結　AIや人口減で個人データ利用が増加へ

個人情報保護法見直し議論の「論点の1つはAI」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022801037/?ST=nxt_thmit_security

ニュース＆リポート

「Gmailガイドライン」適用開始　送信ドメイン認証の対応率が急上昇

本誌の51社対象メルマガ追跡調査で判明

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022801036/?ST=nxt_thmit_security

ニュース＆リポート

20年近く利用したドメインが人の手に　レジストラ移管を使ったハイジャック

不正と分かっても取り戻せない事情

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022901042/?ST=nxt_thmit_security

ニュース解説

位置情報改ざん防ぐ「みちびき」の信号認証、日野自動車子会社がCO2排出量測定に

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08975/?ST=nxt_thmit_security

記者の眼

NTT西子会社の内部不正問題を人ごとにしないで、「調査報告書」から学べる教訓

https://xtech.nikkei.com/atcl/nxt/column/18/00138/030501482/?ST=nxt_thmit_security

JVN#34328023 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN34328023/index.html

JVN#82749078 ブラザー製 Web Based Management を実装しているプリンターやスキャナーにおける複数の脆弱性

https://jvn.jp/jp/JVN82749078/index.html

JVNVU#96911165 Nice製Linear eMerge E3-Seriesにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96911165/index.html

JVNVU#91126191 Santesoft製Sante FFT Imagingにおける境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU91126191/index.html

JVN#52919306 スマートフォンアプリ「東横INN公式アプリ」におけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/jp/JVN52919306/index.html

JVNVU#90228926 Integration Objects製OPC UA Server Toolkitにおけるログ出力内容の不適切な無害化の脆弱性

https://jvn.jp/vu/JVNVU90228926/index.html

2024年3月6日水曜日

6日水曜日、友引

+ RHSA-2024:1063 Important: edk2 security update

https://access.redhat.com/errata/RHSA-2024:1063

CVE-2023-45230

CVE-2023-45234

+ About the security content of iOS 17.4 and iPadOS 17.4

https://support.apple.com/ja-jp/HT214081

CVE-2024-23243

CVE-2024-23225

CVE-2024-23296

CVE-2024-23256

+ About the security content of iOS 16.7.6 and iPadOS 16.7.6

https://support.apple.com/ja-jp/HT214082

CVE-2024-23225

+ iOS 15.8.2 and iPadOS 15.8.2 released

https://support.apple.com/en-us/HT201222

+ Google Chrome 122.0.6261.111/.112 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop.html

+ Mozilla Firefox 123.0.1 released

https://www.mozilla.org/en-US/firefox/123.0.1/releasenotes/

+ Mozilla Thunderbird 115.8.1 released

https://www.thunderbird.net/en-US/thunderbird/115.8.1/releasenotes/

+ VMSA-2024-0006 VMware ESXi, Workstation, and Fusion updates address multiple security vulnerabilities (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255)

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

CVE-2024-22252

CVE-2024-22253

CVE-2024-22254

CVE-2024-22255

+ FreeBSD 13.3-RELEASE Released

https://www.freebsd.org/releases/13.3R/relnotes/

日経コンピュータ「ITが危ない」

マイナカード利用「認証アプリ」　プライバシーリスクに懸念の声

個人の利用状況を国が一元管理可能に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/022900129/?ST=nxt_thmit_security

情報漏洩続くLINEヤフーに総務省が行政指導、ネイバーとの依存関係に改善求める

https://xtech.nikkei.com/atcl/nxt/news/24/00352/?ST=nxt_thmit_security

鹿児島の国分生協病院、ランサムウエア攻撃受け診療記録PDFの一部アクセスできず

https://xtech.nikkei.com/atcl/nxt/news/24/00350/?ST=nxt_thmit_security

紙でも渡せる電子契約「ONEデジ署名」開始、リーテックス

https://xtech.nikkei.com/atcl/nxt/news/24/00343/?ST=nxt_thmit_security

2024年3月5日火曜日

5日火曜日、先勝

+ Mozilla Foundation Security Advisory 2024-11 Security Vulnerabilities fixed in Thunderbird 115.8.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-11/

CVE-2024-1936

+ Postfix stable release 3.8.6, and legacy releases 3.7.11, 3.6.15, 3.5.25

http://www.postfix.org/announcements/postfix-3.8.6.html

マルウエア徹底解剖

暗号資産を取り巻く脅威

［第51回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/021600052/?ST=nxt_thmit_security

今日から始めるSBOM

第4回

キヤノンメディカルは2000の製品でSBOM作成可能に、対応急務の医療機器業界

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

近畿大学の学生・教職員向けECサイトの運営会社で個人情報流出、メール乗っ取りで

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500255/?ST=nxt_thmit_security

ニュース解説

記録媒体の廃棄はドリルよりも「暗号化消去」、ルール整備で認知高まるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08979/?ST=nxt_thmit_security

2024年3月4日月曜日

4日月曜日、赤口

フォーカス

詳報・9部門の調査結果

パートナー満足度調査2024

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/022800171/?ST=nxt_thmit_security

フォーカス

パートナー満足度調査2024　人材不足下で新需要に応える

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/022800170/?ST=nxt_thmit_security

絵で見て分かるネットワーク必修キーワード

暗号化

第三者が解読できないデータに変換する技術

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900172/021600006/?ST=nxt_thmit_security

専門家に聞くビギナーズクエスチョン

公衆無線LANで仕事をしても大丈夫？

［今回の回答者］EGセキュアソリューションズ取締役CTO　徳丸浩

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/021600079/?ST=nxt_thmit_security

キーワード

デジタルサービス法（DSA：Digital Services Act）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/022800163/?ST=nxt_thmit_security

今日から始めるSBOM

第3回

トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600003/?ST=nxt_thmit_security

JVNVU#95474666 Delta Electronics製CNCSoft-Bにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU95474666/index.html

JVNVU#94598176 MicroDicom製DICOM viewerにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94598176/index.html

2024年3月1日金曜日

1日金曜日、先負

+ Configuration data discrepancies in automation rules

https://jira-service-management.status.atlassian.com/incidents/6n7h61hgkwfc

https://confluence.status.atlassian.com/incidents/hgh3djg8dty7

+ RHSA-2024:1061 Moderate: Red Hat Satellite 6 security and bug fix update

https://access.redhat.com/errata/RHSA-2024:1061

CVE-2022-4130

CVE-2023-0809

CVE-2023-3592

CVE-2023-4886

CVE-2023-28366

JVN#35928117 RevoWorks 製品における保護メカニズムの不具合の脆弱性

https://jvn.jp/jp/JVN35928117/index.html

JVN#77203800 OET-213H-BTS1 における不適切な初期設定

https://jvn.jp/jp/JVN77203800/index.html

JVN#78084105 OpenPNE 用プラグイン opTimelinePlugin におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN78084105/index.html

身に付けるべきネットワーク技術

認証状況を複数サービスで連携

Part5 SAML

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600005/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

不要な通信を判断・遮断

Part4 ファイアウオール

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600004/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

インターネット通信を暗号化

Part3 HTTPS

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600003/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

ドメイン名からIPアドレスを取得

Part2 DNS

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600002/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

高校入試出願のメール不達は必然　Gmailガイドラインの誤解を解く

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/022600127/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

支援士試験は優れた教材

Part1 総論

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600001/?ST=nxt_thmit_security

NEWS close-up

正規ドメインを乗っ取るフィッシング

「移管ロック」をすり抜ける巧妙な手口　日本の被害事例をJPCERT／CCが報告

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/021600240/?ST=nxt_thmit_security

ニュース解説

「Mirai」の亜種がIoT機器を襲う、ダークネットが暴いた危険な現状

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08969/?ST=nxt_thmit_security

今日から始めるSBOM

第2回

あなたの会社はどのレベル？　フローチャートでSBOM診断

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600002/?ST=nxt_thmit_security

情報流出に調査の虚偽報告、NTT西日本社長を引責辞任に追い込んだ「ずさん」な実態

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08977/?ST=nxt_thmit_security

2024年2月29日木曜日

29日木曜日、友引

+ Issue with Automation and Connect Apps

https://jira-service-management.status.atlassian.com/incidents/rrhk1kk4m0kv

https://confluence.status.atlassian.com/incidents/g6r170rx03n3

+ RHSA-2024:0975 Important: postgresql:13 security update

https://access.redhat.com/errata/RHSA-2024:0975

CVE-2024-0985

+ RHSA-2024:0974 Important: postgresql:12 security update

https://access.redhat.com/errata/RHSA-2024:0974

CVE-2024-0985

+ RHSA-2024:0973 Important: postgresql:15 security update

https://access.redhat.com/errata/RHSA-2024:0973

CVE-2024-0985

+ RHSA-2024:0967 Moderate: opensc security update

https://access.redhat.com/errata/RHSA-2024:0967

CVE-2023-5992

+ RHSA-2024:0965 Important: unbound security update

https://access.redhat.com/errata/RHSA-2024:0965

CVE-2023-50387

CVE-2023-50868

+ RHSA-2024:0964 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2024:0964

CVE-2024-1546

CVE-2024-1547

CVE-2024-1548

CVE-2024-1549

CVE-2024-1550

CVE-2024-1551

CVE-2024-1552

CVE-2024-1553

+ Tcl/Tk 8.6.14 released

https://www.tcl.tk/software/tcltk/8.6.html

JVNVU#98913229 Santesoft製Sante DICOM Viewer Proにおける境界外読み取りの脆弱性

https://jvn.jp/vu/JVNVU98913229/index.html

NEWS close-up

大阪急性期・総合医療センターがNDRを本格導入

攻撃者に狙われた「横展開への弱さ」を克服　被害直後から試験運用して復旧にも生かす

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/021600239/?ST=nxt_thmit_security

「内部不正」との闘い方

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600186/021600001/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか

著者鼎談・ブロックチェーンは暗号技術の歴史から学べ

https://xtech.nikkei.com/atcl/nxt/column/18/02132/021900016/?ST=nxt_thmit_security

2024年2月28日水曜日

28日水曜日、先勝

+ Some email requests aren't being processed

https://jira-service-management.status.atlassian.com/incidents/zbmtkptpwx9c

+ RHSA-2024:0956 Important: postgresql:10 security update

https://access.redhat.com/errata/RHSA-2024:0956

CVE-2024-0985

+ RHSA-2024:0955 Important: firefox security update

https://access.redhat.com/errata/RHSA-2024:0955

CVE-2024-1546

CVE-2024-1547

CVE-2024-1548

CVE-2024-1549

CVE-2024-1550

CVE-2024-1551

CVE-2024-1552

CVE-2024-1553

+ Google Chrome 122.0.6261.94/.95 released

https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_27.html

+ VMSA-2024-0005 VMware Workstation and Fusion updates address an out-of-bounds read vulnerability (CVE-2024-22251)

https://www.vmware.com/security/advisories/VMSA-2024-0005.html

CVE-2024-22251

+ Linux Kernelの脆弱性(CVE-2023-52443, CVE-2023-52444, CVE-2023-52445, CVE-2023-52446, CVE-2023-52446, CVE-2023-52448, CVE-2023-52449, CVE-2023-52450, CVE-2023-52451, CVE-2023-52452)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240225/

CVE-2023-52443

CVE-2023-52444

CVE-2023-52445

CVE-2023-52446

CVE-2023-52447

CVE-2023-52448

CVE-2023-52449

CVE-2023-52450

CVE-2023-52451

CVE-2023-52452

日経NETWORK 特別リポート

第1回　セキュリティー製品利用実態調査

人気のベンダーと満足・不満ポイントが明らかに

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/021600074/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか

Web3はWeb2を飲み込むのか、ブロックチェーンが企業や政府に与える影響

https://xtech.nikkei.com/atcl/nxt/column/18/02132/021900015/?ST=nxt_thmit_security

奈良市教委が小中高65校にゼロトラスト、Google活用し教師の業務を効率化

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08955/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

「顔」を盗むiPhoneマルウエア出現、ディープフェイクで銀行口座に不正アクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00676/022200161/?ST=nxt_thmit_security

JVNVU#96145466 複数の三菱電機製FA製品のEthernet機能におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU96145466/index.html

JVN#73283159 baserCMS における複数の脆弱性

https://jvn.jp/jp/JVN73283159/index.html

2024年2月27日火曜日

27日火曜日、赤口

+ Zabbix 6.4.12, 6.0.27 released

https://www.zabbix.com/rn/rn6.4.12

https://www.zabbix.com/rn/rn6.0.27

+ UPDATE: JVNVU#94155938 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

https://jvn.jp/vu/JVNVU94155938/index.html

+ UPDATE: JVNVU#91253151 Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU91253151/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

https://jvn.jp/vu/JVNVU90813125/index.html

徹底考察、ブロックチェーンは人類を幸せにするのか

Web2は集中的でWeb3は分散化？　ウェブの歴史にみる「分散の誤謬」とは

https://xtech.nikkei.com/atcl/nxt/column/18/02132/021900014/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

AWSアクセスキーの不適切な取り扱いで情報漏洩続く、トヨタ関連でも被害

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500254/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

商用開始からもうすぐ4年、「5Gがもたらす夢の世界」は実現できたか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/021900006/?ST=nxt_thmit_security

編集長の眼

ゼロデイ攻撃への備えはあるか？　先進企業が取った意外な対策

https://xtech.nikkei.com/atcl/nxt/column/18/00139/022200101/?ST=nxt_thmit_security

「パートナー満足度調査 2024」結果発表、法人向けPCやクラウド基盤で首位交代

https://xtech.nikkei.com/atcl/nxt/news/24/00119/?ST=nxt_thmit_security

JVNVU#93485736 IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題（FragAttack）

https://jvn.jp/vu/JVNVU93485736/index.html

JVNVU#91060415 Delta Electronics製CNCSoft-BのDOPSoftコンポーネントにおけるファイル検索パスの制御不備の脆弱性

https://jvn.jp/vu/JVNVU91060415/index.html

2024年2月26日月曜日

26日月曜日、大安

+ Google Chrome 122.0.6261.69/.70 released

https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_22.html

+ CESA-2024:0857 Important CentOS 7 python-pillow Security Update

https://lwn.net/Articles/963174/

+ VMSA-2024-0003 Addressing Arbitrary Authentication Relay and Session Hijack Vulnerabilities in Deprecated VMware Enhanced Authentication Plug-in (EAP) (CVE-2024-22245, CVE-2024-22250)

https://www.vmware.com/security/advisories/VMSA-2024-0003.html

CVE-2024-22245

CVE-2024-22250

piyokangoの月刊システムトラブル

伊丹市がノーウエアランサム被害　システム委託先が感染

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/021600060/?ST=nxt_thmit_security

「ゆめタウン」のイズミ、ランサム被害で組織変更と役員人事を2カ月半後ろ倒し

https://xtech.nikkei.com/atcl/nxt/news/24/00302/?ST=nxt_thmit_security

長野県の高校で1万4231人分漏洩の恐れ、規定の期間内に個情委への詳細報告せず

https://xtech.nikkei.com/atcl/nxt/news/24/00300/?ST=nxt_thmit_security

Linux Kernel ProjectがCNA(CVE Numbering Authorities)の一員に

https://security.sios.jp/security/linux-kernel-project-cna/

2024年2月22日木曜日

22日木曜日、先勝

+ Intermittent 503 errors.

https://jira-service-management.status.atlassian.com/incidents/bgwwy33q6mxv

+ Increased authentication errors across multiple products

https://confluence.status.atlassian.com/incidents/trj91p0pkbp8

+ CESA-2023:5616 Important CentOS 7 python-reportlab Security Update

https://lwn.net/Articles/962995/

+ Mozilla Thunderbird 115.8.0 released

https://www.thunderbird.net/en-US/thunderbird/115.8.0/releasenotes/

+ JVNVU#93534773 複数のトレンドマイクロ製品における複数の脆弱性

https://jvn.jp/vu/JVNVU93534773/index.html

CVE-2023-52090

CVE-2023-52091

CVE-2023-52092

CVE-2023-52093

CVE-2023-52094

CVE-2023-52337

CVE-2023-52338

+ JVNVU#96033712 Trend Micro Apex Centralにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96033712/index.html

JVNVU#98754764 三菱電機製放電加工機におけるリモートコード実行の脆弱性

https://jvn.jp/vu/JVNVU98754764/index.html

JVNVU#93570412 Commend製WS203VICMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93570412/index.html

JVNVU#92510707 CISA製Ethercat Zeek Pluginにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92510707/index.html

ニュース＆リポート

防衛省がサイバー人材の育成を強化　陸自の通信学校を改組し専門家養成

官民を行き来する「リボルビングドア」に期待

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/021501035/?ST=nxt_thmit_security

国際サイバー犯罪集団「ロックビット」摘発、メンバー2人を逮捕

https://xtech.nikkei.com/atcl/nxt/news/24/00289/?ST=nxt_thmit_security

警察庁がランサムウエア「LockBit」専用の復号ツール、ユーロポールにも提供

https://xtech.nikkei.com/atcl/nxt/news/24/00287/?ST=nxt_thmit_security

2024年2月21日水曜日

21日水曜日、赤口

+ SLAs not being calculated for Jira Service Management tickets

https://jira-service-management.status.atlassian.com/incidents/pp4chrl80ltq

+ MantisBT 2.26.1 Released

https://mantisbt.org/blog/archives/mantisbt/753

CVE-2024-23830

+ RHSA-2024:0876 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2024:0876

CVE-2023-4623

CVE-2023-4921

CVE-2023-45871

CVE-2024-0646

+ RHSA-2024:0866 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2024:0866

CVE-2023-5676

CVE-2023-22067

CVE-2023-22081

+ Google Chrome 122.0.6261.57/.58 released

https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_20.html

+ Mozilla Firefox 123.0 released

https://www.mozilla.org/en-US/firefox/123.0/releasenotes/

+ Mozilla Foundation Security Advisory 2024-05 Security Vulnerabilities fixed in Firefox 123

https://www.mozilla.org/en-US/security/advisories/mfsa2024-05/

CVE-2024-1546

CVE-2024-1547

CVE-2024-1554

CVE-2024-1548

CVE-2024-1549

CVE-2024-1550

CVE-2024-1551

CVE-2024-1555

CVE-2024-1556

CVE-2024-1552

CVE-2024-1553

CVE-2024-1557

+ Mozilla Foundation Security Advisory 2024-07 Security Vulnerabilities fixed in Thunderbird 115.8

https://www.mozilla.org/en-US/security/advisories/mfsa2024-07/

CVE-2024-1546

CVE-2024-1547

CVE-2024-1548

CVE-2024-1549

CVE-2024-1550

CVE-2024-1551

CVE-2024-1552

CVE-2024-1553

+ VMSA-2024-0003 Addressing Arbitrary Authentication Relay and Session Hijack Vulnerabilities in Deprecated VMware Enhanced Authentication Plug-in (EAP) (CVE-2024-22245, CVE-2024-22250)

https://www.vmware.com/security/advisories/VMSA-2024-0003.html

CVE-2024-22245

CVE-2024-22250

詐欺メール撲滅大作戦

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/021400404/021400001/?ST=nxt_thmit_security

JVNVU#98754764 三菱電機製放電加工機におけるリモートコード実行の脆弱性

https://jvn.jp/vu/JVNVU98754764/index.html

JVNVU#91630351 エレコム製およびロジテック製ネットワーク機器における複数の脆弱性

https://jvn.jp/vu/JVNVU91630351/index.html

JVNVU#99444194 エレコム製無線ルーターにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU99444194/index.html

JVN#44166658 エレコム製無線 LAN ルーターにおける複数の脆弱性

https://jvn.jp/jp/JVN44166658/index.html

2024年2月20日火曜日

20日火曜日、大安

+ Apache Tomcat 10.1.19, 9.0.86, 8.5.99 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.19_(schultz)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.86_(remm)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.99_(schultz)

NEC、ソースコードではなく実行ファイルの静的解析で脆弱性を検出

https://xtech.nikkei.com/atcl/nxt/news/24/00232/?ST=nxt_thmit_security

ニュース解説

20年近く利用したドメインを第三者に奪われる、事業者も真相が分からない事件

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08923/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ライブ配信サービス「ツイキャス」にDDoS攻撃で障害発生、攻撃者への対応を検討

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500253/?ST=nxt_thmit_security

2024年2月19日月曜日

19日月曜日、仏滅

+ ■Windows DNSの脆弱性情報が公開されました（CVE-2023-50387、CVE-2024-21342、CVE-2024-21377）

https://jprs.jp/tech/security/2024-02-16-windowsdns.html

CVE-2023-50387

CVE-2024-21342

CVE-2024-21377

+ ■Unboundの脆弱性情報が公開されました（CVE-2023-50387、CVE-2023-50868）

https://jprs.jp/tech/security/2024-02-16-unbound.html

CVE-2023-50387

CVE-2023-50868

+ ■PowerDNS Recursorの脆弱性情報が公開されました（CVE-2023-50387、CVE-2023-50868）

https://jprs.jp/tech/security/2024-02-16-powerdns-recursor.html

CVE-2023-50387

CVE-2023-50868

+ ■Knot Resolverの脆弱性情報が公開されました（CVE-2023-50387、CVE-2023-50868）

https://jprs.jp/tech/security/2024-02-16-knotresolver.html

CVE-2023-50387

CVE-2023-50868

+ UPDATE: Oracle Critical Patch Update Advisory - January 2024

https://www.oracle.com/security-alerts/cpujan2024.html

+ Microsoft Windows Defender / Trojan.Win32/Powessere.G Detection Mitigation Bypass Part 2.

https://cxsecurity.com/issue/WLB-2024020058

JVNVU#96651432 Rockwell Automation製FactoryTalk Service Platformにおける実行時の不適切なパーミッション割り当ての脆弱性

https://jvn.jp/vu/JVNVU96651432/index.html

JVNVU#91198149 Siemens製品に対するアップデート（2024年2月）

https://jvn.jp/vu/JVNVU91198149/index.html

キーワード

量子暗号（Quantum Cryptography）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/021500161/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ネット出願にGmailが使えないトラブル　原因特定の難航で復旧に1カ月

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/021500150/?ST=nxt_thmit_security

2024年2月16日金曜日

16日金曜日、先勝

+ PHP 8.3.3, 8.2.16 released

https://www.php.net/ChangeLog-8.php#8.3.3

https://www.php.net/ChangeLog-8.php#8.2.16

JVNVU#94620134 三菱電機製MELSECシリーズにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94620134/index.html

JVN#48966481 a-blog cms における URL 偽装の脆弱性

https://jvn.jp/jp/JVN48966481/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

米証券取引委員会も乗っ取られた　あなたの会社のXも危ない

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/020900126/?ST=nxt_thmit_security

動かないコンピュータ

神奈川県公立高入試のネット出願にGmailが使えず、原因特定の難航で復旧に1カ月

https://xtech.nikkei.com/atcl/nxt/column/18/01157/021500104/?ST=nxt_thmit_security

2024年2月15日木曜日

15日木曜日、赤口

+ Service Disruptions Affecting Atlassian Products

https://jira-service-management.status.atlassian.com/incidents/qkwwdtgghdnk

https://confluence.status.atlassian.com/incidents/cg5zk4q8lphm

+ ■（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-50868）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nsec3.html

CVE-2023-50868

+ ■（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-50387）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-keytrap.html

CVE-2023-50387

+ ■（緊急）BIND 9.xの脆弱性（メモリ不足の発生）について（CVE-2023-6516）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-cache-cleaning.html

CVE-2023-6516

+ ■（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2023-5679）

- serve-staleとDNS64を共に有効にしている場合のみ対象、

バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-serve-stale.html

CVE-2023-5679

+ ■（緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2023-5517）

- nxdomain-redirect機能を有効にしている場合のみ対象、

バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-nxdomain-redirect.html

CVE-2023-5517

+ ■（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2023-4408）

- フルリゾルバー（キャッシュDNSサーバー）／権威DNSサーバーの双方が対象、

バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2024-02-14-bind9-vuln-dnsmessage.html

CVE-2023-4408

+ Google Chrome 122.0.6261.39, 120.0.6099.291 released

https://chromereleases.googleblog.com/2024/02/early-stable-update-for-desktop.html

https://chromereleases.googleblog.com/2024/02/extended-stable-channel-update-for_13.html

+ nginx 1.25.4 released

https://nginx.org/en/CHANGES

+ Wireshark 4.2.3, 4.0.13, 3.6.21 released

https://www.wireshark.org/docs/relnotes/wireshark-4.2.3.html

https://www.wireshark.org/docs/relnotes/wireshark-4.0.13.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.21.html

+ JVNVU#92131687 ISC BINDにおける複数の脆弱性（2024年2月）

https://jvn.jp/vu/JVNVU92131687/index.html

+ BIND 9の脆弱性情報(High: CVE-2023-4408, CVE-2023-5517, CVE-2023-5679, CVE-2023-6516, CVE-2023-50387, CVE-2023-50868, Medium: CVE-2023-5680)と新バージョン(9.16.48, 9.18.24, 9.19.21 )

https://security.sios.jp/vulnerability/bind-security-vulnerability-20240214/

+ FreeBSD-SA-24:02.tty jail(2) information leak

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:02.tty.asc

CVE-2024-25941

+ FreeBSD-SA-24:01.bhyveload bhyveload(8) host file access

https://www.freebsd.org/security/advisories/FreeBSD-SA-24:01.bhyveload.asc

CVE-2024-25940

JVNVU#95085830 三菱電機製MELSEC iQ-Rシリーズ安全CPUおよびSIL2プロセスCPUユニットにおける不適切な権限設定の脆弱性

https://jvn.jp/vu/JVNVU95085830/index.html

JVNVU#93381734 Androidアプリ「Mopria Print Service」におけるIntentの取り扱い不備の脆弱性

https://jvn.jp/vu/JVNVU93381734/index.html

JVNVU#98315122 Intel製品に複数の脆弱性（2024年2月）

https://jvn.jp/vu/JVNVU98315122/index.html

JVNVU#91198149 Siemens製品に対するアップデート（2024年2月）

https://jvn.jp/vu/JVNVU91198149/index.html

AIの安全性を検討する専門機関をIPAが設立、評価基準の策定目指す

https://xtech.nikkei.com/atcl/nxt/news/24/00243/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

高校入試出願システムのメール不達は必然、「Gmailガイドライン」の誤解を解く

https://xtech.nikkei.com/atcl/nxt/column/18/00676/020700160/?ST=nxt_thmit_security

2024年2月14日水曜日

14日水曜日、大安

+ User mention in issues' Description shown as @User instead of user name

https://jira-service-management.status.atlassian.com/incidents/4xr7bdrb1n18

+ ISC BIND 9.18.24, 9.16.48 released

https://downloads.isc.org/isc/bind9/9.18.24/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.48/doc/arm/html/notes.html

+ 2024 年 2 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2024/02/202402-security-update/

+ Apache Tomcat Native 1.3.0 Released

https://tomcat.apache.org/native-1.3-doc/miscellaneous/changelog.html

JVNVU#95085830 三菱電機製MELSEC iQ-Rシリーズ安全CPUおよびSIL2プロセスCPUユニットにおける不適切な権限設定の脆弱性

https://jvn.jp/vu/JVNVU95085830/index.html

JVNVU#97099584 バッファロー製ネットワーク機器における複数の脆弱性

https://jvn.jp/vu/JVNVU97099584/index.html

JVNVU#94777495 Qolsys製IQ Panel 4およびIQ4 Hubにおける情報漏えいの脆弱性

https://jvn.jp/vu/JVNVU94777495/index.html

2024年2月13日火曜日

13日火曜日、仏滅

+ Service Disruptions Affecting Confluence Cloud

https://confluence.status.atlassian.com/incidents/pjf02xsdr2mf

+ RHSA-2024:0786 Moderate: nss security update

https://access.redhat.com/errata/RHSA-2024:0786

CVE-2023-6135

+ RHSA-2024:0769 Moderate: tcpdump security update

https://access.redhat.com/errata/RHSA-2024:0769

CVE-2021-41043

+ RHSA-2024:0768 Moderate: libmaxminddb security update

https://access.redhat.com/errata/RHSA-2024:0768

CVE-2020-28241

+ PostgreSQLの脆弱性(Important: CVE-2024-0985)

https://security.sios.jp/vulnerability/postgresql-security-vulnerability-20240213/

CVE-2024-0985

JVNVU#92344106 ProPump and Controls製Osprey Pump Controllerにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92344106/index.html

piyokangoの週刊システムトラブル

富士通の2つのサービスで不正アクセス被害のエッカ石油、情報流出で謝罪

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500252/?ST=nxt_thmit_security

ニュース解説

大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08889/?ST=nxt_thmit_security

2024年2月9日金曜日

9日金曜日、大安

+ RHSA-2024:0748 Important: container-tools:4.0 security update

https://access.redhat.com/errata/RHSA-2024:0748

CVE-2023-39326

CVE-2023-45287

CVE-2024-21626

+ RHSA-2024:0746 Important: new container image: rhceph-5.3

https://access.redhat.com/errata/RHSA-2024:0746

CVE-2022-23498

CVE-2022-41717

CVE-2023-0056

CVE-2023-0507

CVE-2023-0594

CVE-2023-1387

CVE-2023-22462

CVE-2023-24538

CVE-2023-25725

+ Apache Tomcat Native 2.0.7 Released

https://tomcat.apache.org/native-doc/miscellaneous/changelog.html

+ PostgreSQL 16.2, 15.6, 14.11, 13.14, and 12.18 Released!

https://www.postgresql.org/about/news/postgresql-162-156-1411-1314-and-1218-released-2807/

https://www.postgresql.org/docs/16/release-16-2.html

https://www.postgresql.org/docs/15/release-15-6.html

https://www.postgresql.org/docs/14/release-14-11.html

https://www.postgresql.org/docs/13/release-13-14.html

https://www.postgresql.org/docs/12/release-12-18.html

攻めのセキュリティー対策の鍵「OSINT」

第5回

セキュリティー対策の最先端「デジタルOSINT」、進む生成AIの活用

https://xtech.nikkei.com/atcl/nxt/column/18/02700/010900005/?ST=nxt_thmit_security

警視庁が「Gmail」への防犯情報提供を再開、システム保守が完了

https://xtech.nikkei.com/atcl/nxt/news/24/00217/?ST=nxt_thmit_security

2024年2月8日木曜日

8日木曜日、仏滅

+ User searches failing

https://jira-service-management.status.atlassian.com/incidents/6j3gx6mt97tt

https://confluence.status.atlassian.com/incidents/vrrdjscjz4r3

+ ClamAV 1.3.0 feature release and 1.2.2, 1.0.5 security patch release!

https://blog.clamav.net/2023/11/clamav-130-122-105-released.html

攻めのセキュリティー対策の鍵「OSINT」

第4回

インテリジェンスを脅威に適用、サイバーセキュリティーを強化する

https://xtech.nikkei.com/atcl/nxt/column/18/02700/010900004/?ST=nxt_thmit_security

楽天Gらが偽信号に負けないドローン運送の実証、準天頂衛星の「信号認証」を利用

https://xtech.nikkei.com/atcl/nxt/news/24/00205/?ST=nxt_thmit_security

JVN#44033918 Zeroshell における OS コマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN44033918/index.html

JVNVU#95994050 複数のHID Global製品における不適切な認可の脆弱性

https://jvn.jp/vu/JVNVU95994050/index.html

2024年2月7日水曜日

7日水曜日、先負

+ Drop in the success rate of Forge hosted storage API calls

https://jira-service-management.status.atlassian.com/incidents/1vxdhxsq14r7

https://confluence.status.atlassian.com/incidents/8nnf5gk00y4t

+ Editing legacy pages result in the page not loading

https://confluence.status.atlassian.com/incidents/725730n69sft

+ Google Chrome 121.0.6167.160/161, 120.0.6099.283 released

https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2024/02/extended-stable-channel-update-for.html

+ Mozilla Firefox 122.0.1 released

https://www.mozilla.org/en-US/firefox/122.0.1/releasenotes/

+ CESA-2024:0629 Important CentOS 7 tigervnc Security Update

https://lwn.net/Articles/961063/

+ CESA-2024:0600 Important CentOS 7 firefox Security Update

https://lwn.net/Articles/961060/

https://lwn.net/Articles/961061/

+ CESA-2024:0013 Important CentOS 7 gstreamer1-plugins-bad-free Security Update

https://lwn.net/Articles/961062/

+ VMSA-2024-0002 VMware Aria Operations for Networks (Formerly vRealize Network Insight) updates address multiple vulnerabilities

https://www.vmware.com/security/advisories/VMSA-2024-0002.html

CVE-2024-22237

CVE-2024-22238

CVE-2024-22239

CVE-2024-22240

CVE-2024-22241

JVNVU#92207212 Moby BuildKit および OCI runc に複数の脆弱性

https://jvn.jp/vu/JVNVU92207212/index.html

JVN#18743512 Android アプリ「サイボウズ KUNAI for Android」におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/jp/JVN18743512/index.html

JVNVU#90033405 キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU90033405/index.html

日経コンピュータ「ITが危ない」

住民税の通知書電子化に暗雲　暗号化ZIPで「紙より不便」の声

WindowsとAndroidは標準機能で復号不能

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/020100127/?ST=nxt_thmit_security

攻めのセキュリティー対策の鍵「OSINT」

第3回

戦争中の諜報活動にも使われてきた「OSINT」、その歴史と動向を知る

https://xtech.nikkei.com/atcl/nxt/column/18/02700/010900003/?ST=nxt_thmit_security

ニュース解説

健康づくり企業は社内ITの健康も守る、タニタのEDR導入で見えた次の一手

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08878/?ST=nxt_thmit_security

2024年2月6日火曜日

6日火曜日、友引

攻めのセキュリティー対策の鍵「OSINT」

第2回

インテリジェンスの様々な手法、オープンな情報源を利用する「OSINT」

https://xtech.nikkei.com/atcl/nxt/column/18/02700/010900002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

Y4.comのノーウエアランサム被害、開発委託先が削除しなかったアクセスキーが流出

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500251/?ST=nxt_thmit_security

ニュース解説

防衛省がサイバー防衛人材育成強化、官民行き来する「リボルビングドア」は実現するか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08873/?ST=nxt_thmit_security

JVNVU#97836276 シャープNECディスプレイソリューションズ製パブリックディスプレイにおけるローカルファイルインクルードの脆弱性

https://jvn.jp/vu/JVNVU97836276/index.html

2024年2月5日月曜日

5日月曜日、先勝

+ Automation for Jira email address handling failures

https://jira-service-management.status.atlassian.com/incidents/jx3f59k2z4tf

+ Squid 6.7 released

http://www.squid-cache.org/Versions/v6/squid-6.7-RELEASENOTES.html

+ libpng 1.6.42 released

http://www.libpng.org/pub/png/src/libpng-1.6.42-README.txt

+ UPDATE: JVNVU#93108954 OpenSSLにおけるNULLポインタ参照の脆弱性（Security Advisory [25th January 2024]）

https://jvn.jp/vu/JVNVU93108954/index.html

+ UPDATE: JVNVU#90782686 OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題（Security Advisory [15th January 2024]）

https://jvn.jp/vu/JVNVU90782686/index.html

+ UPDATE: JVNVU#98269979 OpenSSLにおけるPOLY1305 MAC実装不備の問題（Security Advisory [9th January 2024]）

https://jvn.jp/vu/JVNVU98269979/index.html

+ UPDATE: JVNVU#99711420 OpenSSLにおけるDHキー生成とパラメータチェックに過剰な時間がかかる問題（Security Advisory [6th November 2023]）

https://jvn.jp/vu/JVNVU99711420/index.html

+ glibcの脆弱性(Important: CVE-2023-6246)

https://security.sios.jp/vulnerability/glibc-security-vulnerability-20240205/

CVE-2023-6246

+ runcの脆弱性(Leaky Vessels: CVE-2024-21626, CVE-2024-23651, CVE-2024-23653, CVE-2024-23652 )

https://security.sios.jp/vulnerability/runc-security-vulnerability-20240201/

CVE-2024-21626

CVE-2024-23651

CVE-2024-23653

CVE-2024-23652

+ Apache Tomcatの脆弱性(Moderate: CVE-2023-41080)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20230903/

CVE-2023-41080

+ VMWare Toolsの脆弱性(Important: CVE-2023-20900)

https://security.sios.jp/vulnerability/vmware-tools-security-vulnerability-20230904/

CVE-2023-20900

+ Apache Tomcat JK Connectorの脆弱性(CVE-2023-41081)

https://security.sios.jp/vulnerability/tomcat-jk-connector-security-vulnerability-20230913/

CVE-2023-41081

+ Strutsの脆弱性(Moderate: CVE-2023-41835)

https://security.sios.jp/vulnerability/struts%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7moderate-cve-2023-41835/

CVE-2023-41835

JVNVU#93740658 HOME SPOT CUBE2における複数のバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU93740658/index.html

JVNVU#99844997 トレンドマイクロ製Airサポートにおける不適切なアクセス権の割り当ての脆弱性

https://jvn.jp/vu/JVNVU99844997/index.html

JVNVU#98749981 Gessler GmbH製WEB-MASTERにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98749981/index.html

JVNVU#97551235 AVEVA製AVEVA Edgeにおけるファイル検索パスの制御不備の脆弱性

https://jvn.jp/vu/JVNVU97551235/index.html

JVNVU#94018836 SEW-EURODRIVE製MOVITOOLS MotionStudioにおけるXML外部エンティティ参照の不適切な制限の脆弱性

https://jvn.jp/vu/JVNVU94018836/index.html

キーワード

STO（Security Token Offering）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/012900160/?ST=nxt_thmit_security

攻めのセキュリティー対策の鍵「OSINT」

第1回

「OSINT」を理解するのに必要な概念、インテリジェンスとは何か

https://xtech.nikkei.com/atcl/nxt/column/18/02700/010900001/?ST=nxt_thmit_security

登録: 投稿 (Atom)