2024年1月31日水曜日

31日 水曜日、友引

+ RHSA-2024:0256 Moderate: python3 security update
https://access.redhat.com/errata/RHSA-2024:0256
CVE-2023-27043

+ Google Chrome 121.0.6167.139/140, 120.0.6099.276 released
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_30.html
https://chromereleases.googleblog.com/2024/01/extended-stable-channel-update-for_30.html

+ OpenSSL 3.2.1, 3.1.5, 3.0.13 released
https://www.openssl.org/

JVNVU#94591337 シャープ製クラウド連携エネルギーコントローラ(機器連携コントローラ)における複数の脆弱性
https://jvn.jp/vu/JVNVU94591337/index.html

JVNVU#95103362 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性
https://jvn.jp/vu/JVNVU95103362/index.html

JVNVU#99497477 三菱電機製MELSEC WSシリーズEthernetインタフェースユニットにおけるCapture-replayによる認証回避の脆弱性
https://jvn.jp/vu/JVNVU99497477/index.html

JVNVU#90352157 三菱電機数値制御装置におけるバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU90352157/index.html

2024年こそ「脱パスワード」
先行企業に聞く パスキー認証導入の勘所
Part3 事例
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800183/011800003/?ST=nxt_thmit_security

2024年こそ「脱パスワード」
安全を担保するパスキー認証の仕組みを理解する
Part2 技術
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800183/011800002/?ST=nxt_thmit_security

2024年こそ「脱パスワード」
環境整い「パスキー認証」がいよいよ普及へ
Part1 機運
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800183/011800001/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」
米証券取引委員会も乗っ取られた、あなたの会社のXアカウントもこんなに危ない
https://xtech.nikkei.com/atcl/nxt/column/18/00676/012500159/?ST=nxt_thmit_security

2024年1月30日火曜日

30日 火曜日、先勝

+ Zabbix 6.4.11, 6.0.26, 5.0.41 released
https://www.zabbix.com/rn/rn6.4.11
https://www.zabbix.com/rn/rn6.0.26
https://www.zabbix.com/rn/rn5.0.41

+ OpenLDAP 2.6.7, 2.5.17 released
https://www.openldap.org/software/release/changes.html
https://www.openldap.org/software/release/changes_lts.html

NEWS close-up
「パスキー」導入の国内成果続々
フィッシング詐欺を一掃したドコモ メルカリは認証時間を短縮するも一部で誤解も
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011900236/?ST=nxt_thmit_security

クラウドセキュリティー総点検
クラウドセキュリティー総点検
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011900184/011900001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
Booking.comを介したフィッシングへの警戒は24年も、国内ホテル13施設が注意喚起
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500250/?ST=nxt_thmit_security

2024年1月29日月曜日

29日 月曜日、赤口

+ Service Disruptions Affecting Confluence in Asia Pacific region
https://confluence.status.atlassian.com/incidents/f1m74qw3d0kz

+ Gpg4win 4.3.0 released
https://www.gpg4win.org/change-history.html

+ libpng 1.6.41 released
http://www.libpng.org/pub/png/src/libpng-1.6.41-README.txt

+ JVNVU#93108954 OpenSSLにおけるNULLポインタ参照の脆弱性(Security Advisory [25th January 2024])
https://jvn.jp/vu/JVNVU93108954/index.html

+ JVNVU#92260498 MachineSense製FeverWarnにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92260498/index.html

Linuxでの効果的なAntivirus の設定と運用 ? | サイオスOSS | サイオステクノロジー
https://security.sios.jp/vulnerability/antivirus-security-20161108/

NEWS close-up
サイバー演習に120組織が参加
現実さながらの緊迫した攻撃シナリオ 現行BCPに限界感じる参加者も
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011900235/?ST=nxt_thmit_security

日経NETWORK 特別リポート
事例に見る「あなたもこうしてだまされる」
2024年も続くサイバー攻撃者の生成AI悪用
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/011800073/?ST=nxt_thmit_security

2024年1月26日金曜日

26日 金曜日、先負

+ Copying legacy pages in Confluence times out
https://confluence.status.atlassian.com/incidents/j3vrk7flfznj

+ OpenSSL Security Advisory [25th January 2024]
https://www.openssl.org/news/secadv/20240125.txt
CVE-2024-0727

+ GnuPG 2.4.4 released
https://lists.gnupg.org/pipermail/gnupg-announce/2024q1/000481.html

北郷達郎のテクノロジー温故知新
高まるリスキリング熱、ネットワーク技術者にとってのプログラミングをどう考えるか
https://xtech.nikkei.com/atcl/nxt/column/18/02598/011900005/?ST=nxt_thmit_security

日本企業における生成AIツールの導入率は2割未満、7割超えの米国と差
https://xtech.nikkei.com/atcl/nxt/news/24/00115/?ST=nxt_thmit_security

個情委がNTT西子会社2社に勧告と指導、不十分な過去調査を指摘
https://xtech.nikkei.com/atcl/nxt/news/24/00107/?ST=nxt_thmit_security

JVN#34565930 a-blog cms における複数の脆弱性
https://jvn.jp/jp/JVN34565930/index.html

2024年1月25日木曜日

25日 木曜日、友引

UPDATE: JVN#96154238 Android アプリ「Spoon (スプーン)」に外部サービスの API キーがハードコードされている問題
https://jvn.jp/jp/JVN96154238/index.html

JVNVU#90499563 APsystems製Energy Communication Unit Power Control Softwareにおける不適切なアクセス制御の脆弱性
https://jvn.jp/vu/JVNVU90499563/index.html

JVNVU#97972353 Crestron製AM-300におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97972353/index.html

JVNVU#92642646 Voltronic Power製ViewPower Proにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92642646/index.html

JVNVU#91066230 Westermo製Lynx 206-F2Gにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91066230/index.html

JVNVU#92686958 Lantronix製XPortにおいて容易に復元可能なパスワードを使用している脆弱性
https://jvn.jp/vu/JVNVU92686958/index.html

JVNVU#99449882 Orthanc製Osimis DICOM Web Viewer におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU99449882/index.html

JVN#70818619 Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN70818619/index.html

JVN#93541851 Oracle WebLogic Server における HTTP ヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN93541851/index.html

JVN#46895889 楽々Document Plus におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN46895889/index.html

piyokangoの月刊システムトラブル
ランサム感染の中嶋製作所 情報流出後に脅迫メール届く
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/011800059/?ST=nxt_thmit_security

ネスペ試験で学ぶ ネットワーク技術のキホン
認証と認可
[第23回]
https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/011900024/?ST=nxt_thmit_security

IPAが「情報セキュリティ10大脅威 2024」発表、ランサム被害などが9年連続選出
https://xtech.nikkei.com/atcl/nxt/news/24/00103/?ST=nxt_thmit_security

シスコ新社長が就任会見、サブスクビジネス強化の方針示す
https://xtech.nikkei.com/atcl/nxt/news/24/00101/?ST=nxt_thmit_security

2024年1月24日水曜日

24日 水曜日、先勝

+ High number of sandboxes being suspended
https://jira-service-management.status.atlassian.com/incidents/2fxdmb33lcmc
https://confluence.status.atlassian.com/incidents/315wfj2j99tq

+ Google Chrome 121.0.6167.85, 120.0.6099.268 released
https://chromereleases.googleblog.com/2024/01/early-stable-update-for-desktop.html
https://chromereleases.googleblog.com/2024/01/extended-stable-channel-update-for.html

+ Mozilla Firefox 122.0 released
https://www.mozilla.org/en-US/firefox/122.0/releasenotes/

+ Mozilla Foundation Security Advisory 2024-01 Security Vulnerabilities fixed in Firefox 122
https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/
CVE-2024-0741
CVE-2024-0742
CVE-2024-0743
CVE-2024-0744
CVE-2024-0745
CVE-2024-0746
CVE-2024-0747
CVE-2024-0748
CVE-2024-0749
CVE-2024-0750
CVE-2024-0751
CVE-2024-0752
CVE-2024-0753
CVE-2024-0754
CVE-2024-0755

+ Moziila Thunderbird 115.7.0 released
https://www.thunderbird.net/en-US/thunderbird/115.7.0/releasenotes/


+ Mozilla Foundation Security Advisory 2024-04 Security Vulnerabilities fixed in Thunderbird 115.7
https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/
CVE-2024-0741
CVE-2024-0742
CVE-2024-0746
CVE-2024-0747
CVE-2024-0749
CVE-2024-0750
CVE-2024-0751
CVE-2024-0753
CVE-2024-0755

+ Linux Kernelの脆弱性(Important: CVE-2024-0193)
https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240124/
CVE-2024-0193

JVN#96154238 Android アプリ「Spoon (スプーン)」に外部サービスの API キーがハードコードされている問題
https://jvn.jp/jp/JVN96154238/index.html

JVN#77736613 国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにおける XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN77736613/index.html

JVN#01434915 電子納品チェックシステム(農林水産省農業農村整備事業版)における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN01434915/index.html

JVN#40049211 防衛省が提供する電子納品物作成支援ツールにおける XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/jp/JVN40049211/index.html

JVNVU#91630351 エレコム製およびロジテック製ネットワーク機器における複数の脆弱性
https://jvn.jp/vu/JVNVU91630351/index.html

JVNVU#90908488 エレコム製無線LANルーターにおけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU90908488/index.html

JVNVU#99896362 ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
https://jvn.jp/vu/JVNVU99896362/index.html

日経コンピュータ「ITが危ない」
正規ドメインも乗っ取られる 高度化するフィッシングに注意
レジストラによる「移管ロック」もすり抜け
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/011800126/?ST=nxt_thmit_security

手順を徹底解説、無線LANパケットキャプチャーを始めよう
第3回
無線LANパケットキャプチャーを始めるまでの「最後の山」、ドライバーを組み込もう
https://xtech.nikkei.com/atcl/nxt/column/18/02723/011800003/?ST=nxt_thmit_security

ニュース解説
NRIセキュアが生成AIアプリの脆弱性診断、2段階の疑似攻撃で
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08822/?ST=nxt_thmit_security

GMOがSOC拠点を開設、攻撃監視・防御サービスの提供も開始
https://xtech.nikkei.com/atcl/nxt/news/24/00097/?ST=nxt_thmit_security

2024年1月23日火曜日

23日 火曜日、赤口

+ Perfomance degradation for Jira instances affecting small cohort of customers
https://jira-service-management.status.atlassian.com/incidents/bf2phb35cdw6

+ About the security content of Safari 17.3
https://support.apple.com/ja-jp/HT214056
CVE-2024-23206
CVE-2024-23213
CVE-2024-23222

+ About the security content of iOS 17.3 and iPadOS 17.3
https://support.apple.com/ja-jp/HT214059
CVE-2024-23212
CVE-2024-23218
CVE-2024-23208
CVE-2024-23207
CVE-2024-23223
CVE-2024-23219
CVE-2024-23211
CVE-2024-23203
CVE-2024-23204
CVE-2024-23217
CVE-2024-23215
CVE-2024-23210
CVE-2024-23206
CVE-2024-23213
CVE-2024-23214
CVE-2024-23222

+ About the security content of iOS 16.7.5 and iPadOS 16.7.5
https://support.apple.com/ja-jp/HT214063
CVE-2023-42937
CVE-2024-23212
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
CVE-2023-42915
CVE-2023-42888
CVE-2024-23211
CVE-2024-23213
CVE-2024-23214
CVE-2024-23206
CVE-2024-23222

+ About the security content of iOS 15.8.1 and iPadOS 15.8.1
https://support.apple.com/ja-jp/HT214062
CVE-2023-42916
CVE-2023-42917

+ About the security content of macOS Sonoma 14.3
https://support.apple.com/ja-jp/HT214061
CVE-2024-23212
CVE-2024-23218
CVE-2024-23224
CVE-2024-23208
CVE-2024-23209
CVE-2024-23207
CVE-2024-23223
CVE-2024-23211
CVE-2024-23203
CVE-2024-23204
CVE-2024-23217
CVE-2024-23215
CVE-2024-23210
CVE-2024-23206
CVE-2024-23213
CVE-2024-23214
CVE-2024-23222

+ About the security content of macOS Ventura 13.6.4
https://support.apple.com/ja-jp/HT214058
CVE-2024-23212
CVE-2023-42937
CVE-2023-40528
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
CVE-2023-42915
CVE-2024-23224
CVE-2023-42888
CVE-2023-42935
CVE-2024-23207
CVE-2023-42887
CVE-2024-23222

+ About the security content of macOS Monterey 12.7.3
https://support.apple.com/ja-jp/HT214057
CVE-2023-42937
CVE-2024-23212
CVE-2023-38545
CVE-2023-38039
CVE-2023-38546
CVE-2023-42915
CVE-2023-42888
CVE-2024-23207
CVE-2024-23222

+ About the security content of watchOS 10.3
https://support.apple.com/ja-jp/HT214060
CVE-2024-23212
CVE-2024-23218
CVE-2024-23208
CVE-2024-23207
CVE-2024-23223
CVE-2024-23211
CVE-2024-23204
CVE-2024-23217
CVE-2024-23215
CVE-2024-23210
CVE-2024-23206
CVE-2024-23213

+ About the security content of tvOS 17.3
https://support.apple.com/ja-jp/HT214055
CVE-2024-23212
CVE-2024-23218
CVE-2024-23208
CVE-2024-23223
CVE-2024-23215
CVE-2024-23210
CVE-2024-23206
CVE-2024-23213
CVE-2024-23222

+ ClamAV Debian multi-Arch Docker images now available!
https://blog.clamav.net/2024/01/clamav-debian-multi-arch-docker-images.html

+ Postfix stable release 3.8.5, 3.7.10, 3.6.14, 3.5.24
https://www.postfix.org/announcements/postfix-3.8.5.html

+ zlib 1.3.1 released
http://www.zlib.net/

+ JVNVU#98698305 Apache Tomcatにおける情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU98698305/index.html
CVE-2024-21733

+ Firefox 121 / Chrome 120 Denial Of Service
https://cxsecurity.com/issue/WLB-2024010071

日経コンピュータ インタビュー
社会変化を捉え、必要なスキルを標準化 DXをリードする人材の育成を支援
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600001/011800150/?ST=nxt_thmit_security

手順を徹底解説、無線LANパケットキャプチャーを始めよう
第2回
無線LANパケットキャプチャーの環境を整備しよう、日本語化も忘れずに
https://xtech.nikkei.com/atcl/nxt/column/18/02723/011800002/?ST=nxt_thmit_security

記者の眼
「過去最悪の勢い」で高まるサイバー脅威、セキュリティー対策の常識を見直すべきは今
https://xtech.nikkei.com/atcl/nxt/column/18/00138/011801446/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
教職員支援機構が個人情報漏洩の可能性を発表、不正アクセスは半年前に確認していた
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500249/?ST=nxt_thmit_security

JVN#34565930 a-blog cms における複数の脆弱性
https://jvn.jp/jp/JVN34565930/index.html

JVN#73587943 アクセス解析CGI An-Analyzer におけるオープンリダイレクトの脆弱性
https://jvn.jp/jp/JVN73587943/index.html

JVNVU#90042047 AVEVA製PI Serverにおける複数の脆弱性
https://jvn.jp/vu/JVNVU90042047/index.html

2024年1月22日月曜日

22日 月曜日、大安

+ Service Disruptions Affecting Confluence
https://confluence.status.atlassian.com/incidents/dp0w2yvchxfd

+ Apache Tomcat の脆弱性(Important: CVE-2024-21733)
https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20240119/
CVE-2024-21733

JVNVU#97951800 GPUカーネル実装に情報漏えいの脆弱性 (LeftoverLocals)
https://jvn.jp/vu/JVNVU97951800/index.html

JVN#67215338 FusionPBX におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN67215338/index.html

手順を徹底解説、無線LANパケットキャプチャーを始めよう
第1回
意外に簡単、身近なハードで無線LANパケットキャプチャーに挑戦しよう
https://xtech.nikkei.com/atcl/nxt/column/18/02723/011800001/?ST=nxt_thmit_security

2024年1月19日金曜日

19日 金曜日、友引

+ Jira Family is unavailable across shards
https://jira-service-management.status.atlassian.com/incidents/trysdb3vv7y0

+ CESA-2023:5461 Important CentOS 7 ImageMagick Security Update
https://lwn.net/Articles/958641/

+ PHP 8.3.2, 8.2.15 released
https://www.php.net/ChangeLog-8.php#8.3.2
https://www.php.net/ChangeLog-8.php#8.2.15

JVN#83655695 複数の Dahua Technology 製品における認証不備の脆弱性
https://jvn.jp/jp/JVN83655695/index.html

JVNVU#97951800 GPUカーネル実装に情報漏えいの脆弱性 (LeftoverLocals)
https://jvn.jp/vu/JVNVU97951800/index.html

日経コンピュータ 勝村幸博の「今日も誰かが狙われる」
Gmailで6年前の「警告」が現実に 1日4999件以下の送信でも駄目
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/011500124/?ST=nxt_thmit_security

初の独自調査、セキュリティー製品の導入実態
第2回
人気セキュリティー製品の不満点は何か、CASBやSASEなどの利用実態に迫る
https://xtech.nikkei.com/atcl/nxt/column/18/02719/011600002/?ST=nxt_thmit_security

2024年1月18日木曜日

18日 木曜日、先勝

+ Google Chrome 121.0.6167.75 released
https://chromereleases.googleblog.com/2024/01/early-stable-for-desktop.html

+ MySQLの脆弱性(Oracle Critical Patch Update Advisory ? Jan 2024)
https://security.sios.jp/vulnerability/mysql-security-vulnerability-20240117/
CVE-2023-38545
CVE-2023-50164
CVE-2023-39975
CVE-2023-5363
CVE-2023-46589
CVE-2023-41105
CVE-2022-46908
CVE-2023-2283
CVE-2023-28484
CVE-2024-20961
CVE-2024-20962
CVE-2024-20973
CVE-2024-20975
CVE-2024-20977
CVE-2024-20960
CVE-2024-20963
CVE-2024-20985
CVE-2023-2283
CVE-2024-20969
CVE-2024-20967
CVE-2024-20964
CVE-2024-20965
CVE-2024-20981
CVE-2024-20983
CVE-2024-20966
CVE-2024-20970
CVE-2024-20971
CVE-2024-20972
CVE-2024-20974
CVE-2024-20976
CVE-2024-20978
CVE-2024-20982
CVE-2024-20965
CVE-2024-20984
CVE-2024-20968

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory ? Jan 2024)
https://security.sios.jp/vulnerability/java-security-vulnerability-20240117/
CVE-2023-44487
CVE-2023-5072
CVE-2024-20932
CVE-2024-20918
CVE-2024-20952
CVE-2024-20919
CVE-2024-20921
CVE-2024-20926
CVE-2024-20945
CVE-2024-20955
CVE-2024-20923
CVE-2024-20925
CVE-2024-20922

+ Linux 6.4 io_uring Use-After-Free
https://cxsecurity.com/issue/WLB-2024010060

初の独自調査、セキュリティー製品の導入実態
第1回
人気なのはどのベンダー? EDRなどゼロトラスト関連製品の利用実態を初調査
https://xtech.nikkei.com/atcl/nxt/column/18/02719/011600001/?ST=nxt_thmit_security

ニュース解説
大阪急性期・総合医療センターがNDR導入、ランサム被害からの復旧と予防に活用
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08797/?ST=nxt_thmit_security

JVNVU#96957535 EDK2 NetworkPkg IPスタック実装における複数の脆弱性
https://jvn.jp/vu/JVNVU96957535/index.html

JVNVU#94855660 SMTPのデータの終端の処理の実装に関する問題
https://jvn.jp/vu/JVNVU94855660/index.html

JVNVU#94018836 SEW-EURODRIVE製MOVITOOLS MotionStudioにおけるXML外部エンティティ参照の不適切な制限の脆弱性
https://jvn.jp/vu/JVNVU94018836/index.html

JVNVU#90228926 Integration Objects製OPC UA Server Toolkitにおけるログ出力内容の不適切な無害化の脆弱性
https://jvn.jp/vu/JVNVU90228926/index.html

2024年1月17日水曜日

17日 水曜日、

+ RHSA-2024:0256 Moderate: python3 security update
https://access.redhat.com/errata/RHSA-2024:0256
CVE-2023-27043

+ RHSA-2024:0253 Moderate: sqlite security update
https://access.redhat.com/errata/RHSA-2024:0253
CVE-2023-7104

+ Google Chrome 120.0.6099.224/225 released
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

+ Oracle Critical Patch Update Advisory - January 2024
https://www.oracle.com/security-alerts/cpujan2024.html

+ VMSA-2024-0001 VMware Aria Automation (formerly vRealize Automation) updates address a Missing Access Control vulnerability (CVE-2023-34063)
https://www.vmware.com/security/advisories/VMSA-2024-0001.html
CVE-2023-34063

+ JVNVU#90782686 OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題(Security Advisory [15th January 2024])
https://jvn.jp/vu/JVNVU90782686/index.html

+ VU#446598 GPU kernel implementations susceptible to memory leak
https://www.kb.cert.org/vuls/id/446598
CVE-2023-4969

+ VU#302671 SMTP end-of-data uncertainty can be abused to spoof emails and bypass policies
https://www.kb.cert.org/vuls/id/302671

+ VU#132380 Vulnerabilities in EDK2 NetworkPkg IP stack implementation.
https://www.kb.cert.org/vuls/id/132380
CVE-2023-45229
CVE-2023-45230
CVE-2023-45231
CVE-2023-45232
CVE-2023-45233
CVE-2023-45234
CVE-2023-45235
CVE-2023-45236
CVE-2023-45237

勝村幸博の「今日も誰かが狙われる」
間違いメールから始まる恋など存在しない、最新のネット詐欺に記者があえて乗ってみた
https://xtech.nikkei.com/atcl/nxt/column/18/00676/011100158/?ST=nxt_thmit_security

JVN#63383723 Drupal における特定の構造を持つ入力に対する不適切な取り扱いの脆弱性
https://jvn.jp/jp/JVN63383723/index.html

2024年1月16日火曜日

16日 火曜日、大安

+ HOT-106981: Outage in Atlassian Intelligence functionality in multiple products
https://jira-service-management.status.atlassian.com/incidents/slhhnf6l36b5
https://confluence.status.atlassian.com/incidents/s5d0mwb3c0t2

+ OpenSSL Security Advisory [15th January 2024]
https://www.openssl.org/news/secadv/20240115.txt
CVE-2023-6237

UPDATE: JVN#96240417 サーマルカメラ TMC シリーズにおける技術情報の提供が不十分な問題
https://jvn.jp/jp/JVN96240417/index.html

JVN#51135247 プリザンターにおけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN51135247/index.html

記者の眼
改正NICT法で国のIoT機器調査が強化、ランサムウエア攻撃にも効く潜在力に期待
https://xtech.nikkei.com/atcl/nxt/column/18/00138/011101442/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
伊丹市が暗号化されない「ノーウエアランサム」の被害に、健診データが対象
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500248/?ST=nxt_thmit_security

分散クラウドとAIを使ったランサムウエアが2024年のトレンド、アカマイが予測
https://xtech.nikkei.com/atcl/nxt/news/24/00048/?ST=nxt_thmit_security

2024年1月15日月曜日

15日 月曜日、仏滅

+ Microsoft SQL Server db_ddladmin Privilege Escalation
https://cxsecurity.com/issue/WLB-2024010051

JVN#37326856 WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
https://jvn.jp/jp/JVN37326856/index.html

JVNVU#91020765 Rapid Software製Rapid SCADAにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91020765/index.html

JVNVU#96567907 Horner Automation製Cscapeにおけるスタックベースのバッファオーバーフローの脆弱性
https://jvn.jp/vu/JVNVU96567907/index.html

JVNVU#94004666 Schneider Electric製Easergy Studioにおける信頼できないデータのデシリアライゼーションの脆弱性
https://jvn.jp/vu/JVNVU94004666/index.html

JVNVU#92179258 Siemens製品に対するアップデート(2024年1月)
https://jvn.jp/vu/JVNVU92179258/index.html

【翻訳】CVSS v4.0ユーザガイド
https://security.sios.jp/security/cvss-v40-user-guide/

2024年1月12日金曜日

12日 金曜日、先勝

+ About the security content of Magic Keyboard Firmware Update 2.0.6
https://support.apple.com/ja-jp/HT214050
CVE-2024-0230

+ Oracle Critical Patch Update Pre-Release Announcement - January 2024
https://www.oracle.com/security-alerts/cpujan2024.html

JVNVU#92420039 Ivanti製Connect SecureおよびPolicy Secureにおける複数の脆弱性
https://jvn.jp/vu/JVNVU92420039/index.html

2024年1月11日木曜日

11日 木曜日、赤口

+ RHSA-2024:0155 Moderate: gnutls security update
https://access.redhat.com/errata/RHSA-2024:0155
CVE-2023-5981

+ RHSA-2024:0130 Moderate: frr security update
https://access.redhat.com/errata/RHSA-2024:0130
CVE-2023-38406
CVE-2023-38407
CVE-2023-47234
CVE-2023-47235

+ RHSA-2024:0105 Moderate: nss security update
https://access.redhat.com/errata/RHSA-2024:0105
CVE-2023-5388

+ Vim 9.1 is released!
https://www.vim.org/vim-9.1-released.php

+ JVNVU#98269979 OpenSSLにおけるPOLY1305 MAC実装不備の問題(Security Advisory [9th January 2024])
https://jvn.jp/vu/JVNVU98269979/index.html

JVNVU#91449435 Intel製品に複数の脆弱性(2024年1月)
https://jvn.jp/vu/JVNVU91449435/index.html

JVNVU#92179258 Siemens製品に対するアップデート(2024年1月)
https://jvn.jp/vu/JVNVU92179258/index.html

JVNVU#91654304 Cambium Networks製ePMP Force 300-25におけるコードインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91654304/index.html

ニュース&リポート
ガートナーの2024年版注目技術 AIには「ガードレール」が不可欠に
ITエンジニア不足には「AI拡張型開発」で対応
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122601011/?ST=nxt_thmit_security

ニュース&リポート
狙われる国内企業の海外子会社 生成AI活用で攻撃は「効率的」に
NTTデータGが2023年のサイバー攻撃を総括
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122501010/?ST=nxt_thmit_security

ニュース解説
セブン銀行がSaaS活用で自動化推進、ID管理工数半減を目指す
https://xtech.nikkei.com/atcl/nxt/column/18/00001/08784/?ST=nxt_thmit_security

2023年のランサムウエア被害は過去最大、トレンドマイクロ調査
https://xtech.nikkei.com/atcl/nxt/news/24/00025/?ST=nxt_thmit_security

2024年1月10日水曜日

10日 火曜日、先負

+ Delayed SCIM provisioning syncs of users and groups from Identity Providers
https://jira-service-management.status.atlassian.com/incidents/zt1rvd6kwc5y
https://jira-service-management.status.atlassian.com/incidents/zt1rvd6kwc5y

+ RHSA-2024:0089 Important: kpatch-patch security update
https://access.redhat.com/errata/RHSA-2024:0089
CVE-2023-4622
CVE-2023-42753

+ Google Chrome 120.0.6099.216/217 released
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_9.html

+ Mozilla Firefox 121.0.1 released
https://www.mozilla.org/en-US/firefox/121.0.1/releasenotes/

+ Mozilla Thunderbird 115.6.1 released
https://www.thunderbird.net/en-US/thunderbird/115.6.1/releasenotes/

+ Wireshark 4.2.2, 4.0.12, 3.6.20 released
https://www.wireshark.org/docs/relnotes/wireshark-4.2.2.html
https://www.wireshark.org/docs/relnotes/wireshark-4.0.12.html
https://www.wireshark.org/docs/relnotes/wireshark-3.6.20.html

+ 2024 年 1 月のセキュリティ更新プログラム (月例)
https://msrc.microsoft.com/blog/2024/01/202401-security-update/

+ Apache Tomcat 10.1.18, 9.0.85, 8.5.98 released
https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.18_(schultz)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.85_(remm)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.98_(schultz)

+ Security updates available for Substance 3D Stager | APSB24-06
https://helpx.adobe.com/security/products/substance3d_stager/apsb24-06.html
CVE-2024-20710
CVE-2024-20711
CVE-2024-20712
CVE-2024-20713
CVE-2024-20714
CVE-2024-20715

+ OpenSSL Security Advisory [9th January 2024]
https://www.openssl.org/news/secadv/20240109.txt
CVE-2023-6129

UPDATE: JVNVU#91654304 Cambium Networks製ePMP Force 300-25におけるコードインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91654304/index.html

JVNVU#92102247 Panasonic製Control FPWIN Pro7における複数の脆弱性
https://jvn.jp/vu/JVNVU92102247/index.html

JVNVU#91401812 複数のTP-Link製品におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU91401812/index.html

2024年1月9日火曜日

9日 火曜日、友引

+ Confluence Copy page Performance degration
https://confluence.status.atlassian.com/incidents/7hj5d4wfr1x1

+ RHSA-2024:0046 Important: squid:4 security update
https://access.redhat.com/errata/RHSA-2024:0046
CVE-2023-46724
CVE-2023-46728
CVE-2023-49285
CVE-2023-49286

+ RHSA-2024:0018 Important: tigervnc security update
https://access.redhat.com/errata/RHSA-2024:0018
CVE-2023-6377
CVE-2023-6478

+ RHSA-2024:0012 Important: firefox security update
https://access.redhat.com/errata/RHSA-2024:0012
CVE-2023-6856
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6860
CVE-2023-6861
CVE-2023-6862
CVE-2023-6863
CVE-2023-6864
CVE-2023-6865
CVE-2023-6867

+ RHSA-2024:0003 Important: thunderbird security update
https://access.redhat.com/errata/RHSA-2024:0003
CVE-2023-6856
CVE-2023-6857
CVE-2023-6858
CVE-2023-6859
CVE-2023-6860
CVE-2023-6861
CVE-2023-6862
CVE-2023-6863
CVE-2023-6864
CVE-2023-50761
CVE-2023-50762

+ TortoiseSVN 1.14.6 released
https://tortoisesvn.net/downloads.html

+ Sudo 1.9.15p5 released
https://www.sudo.ws/releases/stable/#1.9.15p5

JVNVU#92008538 Rockwell Automation製FactoryTalk Activation Managerにおける複数の境界外書き込みの脆弱性
https://jvn.jp/vu/JVNVU92008538/index.html

JVNVU#97015296 Unitronics製VisiLogicにおけるデフォルトの管理パスワード利用の脆弱性
https://jvn.jp/vu/JVNVU97015296/index.html

新春IT大予測2024
攻撃者の生成AI活用は続く
セキュリティー
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/122500396/122500013/?ST=nxt_thmit_security

新春IT大予測2024
生成AIの悪用に警戒
社会リスクとIT戦略
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/122500396/122500006/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル
丹青社のなりすましメール、委託先のサーバーが不正アクセスを受け個人情報流出も
https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500247/?ST=nxt_thmit_security