:: IT Security Neophyte Investigator's MEMO ::: 3月 2024

2024年3月29日金曜日

29日金曜日、先負

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

スマホを過熱させて「破壊」　ワイヤレス充電器を乗っ取る攻撃

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/032200129/?ST=nxt_thmit_security

専門家に聞くビギナーズクエスチョン

メールのなりすましをどう防ぐの？

［今回の回答者］TwoFive CTO（最高技術責任者）　加瀬正樹

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/031800081/?ST=nxt_thmit_security

3分でわかる必修ワード IT

SNSなど多様な公開情報を解析、セキュリティー対策に生かす「OSINT」とは

OSINT（Open Source Intelligence）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/031100251/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第5回

フェイク排除にプラットフォームの対策が必要、リテラシーだけでは防ぎきれない

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100005/?ST=nxt_thmit_security

動かないコンピュータ

ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」

https://xtech.nikkei.com/atcl/nxt/column/18/01157/032800106/?ST=nxt_thmit_security

ニュース解説

個人情報保護委員会がLINEヤフーに行政指導、個人データ52万件流出受け

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09104/?ST=nxt_thmit_security

2024年3月28日木曜日

28日木曜日、友引

+ TLS certificate check bypass with mbedTLS

https://curl.se/docs/CVE-2024-2466.html

CVE-2024-2466

+ HTTP/2 push headers memory-leak

https://curl.se/docs/CVE-2024-2398.html

CVE-2024-2398

+ QUIC certificate check bypass with wolfSSL

https://curl.se/docs/CVE-2024-2379.html

CVE-2024-2379

+ Usage of disabled protocol

https://curl.se/docs/CVE-2024-2004.html

CVE-2024-2004

+ RHSA-2024:1536 Moderate: Satellite 6.14.3 Async Security Update

https://access.redhat.com/errata/RHSA-2024:1536

+ Wireshark 4.2.4 released

https://www.wireshark.org/docs/relnotes/wireshark-4.2.4.html

実践DX、クラウドで始めるデータマネジメント

データセキュリティー　「ガードレール」で基盤を安全に

［第14回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031700346/032500014/?ST=nxt_thmit_security

NEWS close-up

暗号化消去のルール整備進む

記憶媒体の破棄が「数秒」で終わる　総務省やNISCに続き文科省もガイドライン

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/031800242/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第4回

フェイクにだまされない、メディア情報リテラシーで自分と社会を守る

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100004/?ST=nxt_thmit_security

2月は電気料金に関する不審な自動音声電話が急増、トビラシステムズが調査結果を公開

https://xtech.nikkei.com/atcl/nxt/news/24/00472/?ST=nxt_thmit_security

国内でも相次ぐSNSの乗っ取り、原因は2要素認証の無効化と怖いマルウエア

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09088/?ST=nxt_thmit_security

JVN#51770585 EC-CUBE における認可回避の脆弱性

https://jvn.jp/jp/JVN51770585/index.html

JVNVU#93932313 SEEnergy製SVR-116におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU93932313/index.html

JVNVU#90582900 AutomationDirect製C-MORE EA9 HMIにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90582900/index.html

JVNVU#95922371 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95922371/index.html

JVN#40367518 SonicDICOM Media Viewer における DLL 読み込みに関する脆弱性

https://jvn.jp/jp/JVN40367518/index.html

JVN#51098626 WordPress 用プラグイン Survey Maker における複数の脆弱性

https://jvn.jp/jp/JVN51098626/index.html

2024年3月27日水曜日

27日水曜日、先勝

+ Some paginated queries in Forge hosted storage kept repeating the last page

https://jira-service-management.status.atlassian.com/incidents/fwygjd5pfk22

https://confluence.status.atlassian.com/incidents/9x2twyz76qgm

+ Confluence Bad gateway error

https://confluence.status.atlassian.com/incidents/c3t76n53v2k9

+ Google Chrome 123.0.6312.86/.87, 122.0.6261.148 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

https://chromereleases.googleblog.com/2024/03/extended-stable-channel-update-for_26.html

+ Zabbix 6.4.13, 6.0.28, 5.0.42 released

https://www.zabbix.com/rn/rn6.4.13

https://www.zabbix.com/rn/rn6.0.28

https://www.zabbix.com/rn/rn5.0.42

+ CESA-2024:1249 Important CentOS 7 kernel Security Update

https://lwn.net/Articles/966664/

UPDATE: JVNVU#99444194 エレコム製無線ルーターにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU99444194/index.html

JVN#44166658 エレコム製無線 LAN ルーターにおける複数の脆弱性

https://jvn.jp/jp/JVN44166658/index.html

JVNVU#95381465 エレコム製無線ルーターにおける複数の脆弱性

https://jvn.jp/vu/JVNVU95381465/index.html

日経NETWORK 特別リポート

ドメイン管理トラブル撲滅術

「登録したら終わり」ではない

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/031800075/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

はびこる「AIと言った者勝ち」、それでいいのか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/031900007/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第3回

見たいものだけが表示される、知らずに飲み込まれるネットのアルゴリズム

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100003/?ST=nxt_thmit_security

2024年3月26日火曜日

26日火曜日、赤口

+ RHSA-2024:1494 Moderate: thunderbird security update

https://access.redhat.com/errata/RHSA-2024:1494

CVE-2023-5388

CVE-2024-0743

CVE-2024-1936

CVE-2024-2607

CVE-2024-2608

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

+ RHSA-2024:1484 Critical: firefox security update

https://access.redhat.com/errata/RHSA-2024:1484

CVE-2023-5388

CVE-2024-0743

CVE-2024-2607

CVE-2024-2608

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

CVE-2024-2616

CVE-2024-29944

+ RHSA-2024:1481 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2024:1481

+ About the security content of Safari 17.4.1

https://support.apple.com/ja-jp/HT214094

CVE-2024-1580

+ About the security content of macOS Sonoma 14.4.1

https://support.apple.com/ja-jp/HT214096

CVE-2024-1580

+ About the security content of macOS Ventura 13.6.6

https://support.apple.com/ja-jp/HT214095

CVE-2024-1580

+ About the security content of iOS 17.4.1 and iPadOS 17.4.1

https://support.apple.com/ja-jp/HT214097

CVE-2024-1580

+ About the security content of iOS 16.7.7 and iPadOS 16.7.7

https://support.apple.com/ja-jp/HT214098

CVE-2024-1580

+ About the security content of visionOS 1.1.1

https://support.apple.com/ja-jp/HT214093

CVE-2024-1580

+ Apache Tomcat 10.1.20, 8.5.100 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.20_(schultz)

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.100_(schultz)

JVN#46874970 ぜろちゃんねるスクリプト (0ch) におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN46874970/index.html

JVN#17176449 ffBull における OS コマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN17176449/index.html

JVN#40523785 Mini Thread におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN40523785/index.html

JVN#22376992 WebProxy における OS コマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN22376992/index.html

JVN#69107517 TvRock におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN69107517/index.html

JVN#13113728 「解凍レンジ」における任意の実行ファイル読み込みに関する脆弱性

https://jvn.jp/jp/JVN13113728/index.html

JVN#86206017 WordPress 用プラグイン easy-popup-show におけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN86206017/index.html

NEWS close-up

「Gmailガイドライン」が適用開始

対応はなぜギリギリになったのか　メール配信事業者奮闘の舞台裏

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/031800241/?ST=nxt_thmit_security

大人のためのメディア情報リテラシー

第2回

AIによるディープフェイクが新たな脅威に、人間による見分けは困難

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100002/?ST=nxt_thmit_security

ニュース解説

「HTTPSレコード」が技術標準のRFCに、高速通信を普及させる起爆剤となるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09076/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ランサムウエア被害で決算発表延期の日東製網、遅延の取り戻しに「事務量が2倍に」

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500258/?ST=nxt_thmit_security

2024年3月25日月曜日

25日月曜日、大安

+ RHSA-2024:1472 Important: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2024:1472

CVE-2024-1394

+ Mozilla Firefox 124.0.1 released

https://www.mozilla.org/en-US/firefox/124.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2024-15 Security Vulnerabilities fixed in Firefox 124.0.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

CVE-2024-29943

CVE-2024-29944

+ Mozilla Foundation Security Advisory 2024-16 Security Vulnerabilities fixed in Firefox ESR 115.9.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/

CVE-2024-29944

+ Apache PDFBox 2.0.31 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12353787

+ Microsoft Outlook Remote Code Execution Vulnerability - CVE-2024-21413

https://cxsecurity.com/issue/WLB-2024030055

CVE-2024-21413

JVNVU#93546510 ＫＤＤＩ製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93546510/index.html

JVNVU#98188101 Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性

https://jvn.jp/vu/JVNVU98188101/index.html

JVNVU#90953541 バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性

https://jvn.jp/vu/JVNVU90953541/index.html

piyokangoの月刊システムトラブル

トヨタ系クラウドで情報流出か　AWSアクセスキー悪用される

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/031800061/?ST=nxt_thmit_security

2024年3月22日金曜日

22日金曜日、友引

+ iOS 17.4.1, 16.7.7 released

https://support.apple.com/en-us/HT201222

+ visionOS 1.1.1 released

https://support.apple.com/en-us/HT201222

JVNVU#93188600 UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性

https://jvn.jp/vu/JVNVU93188600/index.html

JVNVU#93571422 Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU93571422/index.html

JVNVU#90671953 Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性

https://jvn.jp/vu/JVNVU90671953/index.html

大人のためのメディア情報リテラシー

第1回

偽情報によるネット汚染が社会問題に、メディア情報リテラシーの必要性

https://xtech.nikkei.com/atcl/nxt/column/18/02779/031100001/?ST=nxt_thmit_security

2024年3月21日木曜日

21日木曜日、先勝

+ Issue with creating issues and transitions

https://jira-service-management.status.atlassian.com/incidents/mx35ghg6m8qq

+ RHSA-2024:1444 Important: nodejs:16 security update

https://access.redhat.com/errata/RHSA-2024:1444

CVE-2023-44487

CVE-2024-22019

+ RHSA-2024:1435 Important: postgresql-jdbc security update

https://access.redhat.com/errata/RHSA-2024:1435

CVE-2024-1597

+ RHSA-2024:1431 Moderate: ruby:3.1 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2024:1431

CVE-2021-33621

CVE-2023-28755

CVE-2023-28756

CVE-2023-36617

+ Google Chrome 123.0.6312.58/.59, 122.0.6261.139 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html

https://chromereleases.googleblog.com/2024/03/extended-stable-channel-update-for.html

+ Mozilla Firefox 124.0 released

https://www.mozilla.org/en-US/firefox/124.0/releasenotes/

+ Mozilla Foundation Security Advisory 2024-12 Security Vulnerabilities fixed in Firefox 124

https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/

CVE-2024-2605

CVE-2024-2606

CVE-2024-2607

CVE-2024-2608

CVE-2023-5388

CVE-2024-2609

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2613

CVE-2024-2614

CVE-2024-2615

+ Mozilla Foundation Security Advisory 2024-14 Security Vulnerabilities fixed in Thunderbird 115.9

https://www.mozilla.org/en-US/security/advisories/mfsa2024-14/

CVE-2024-0743

CVE-2024-2605

CVE-2024-2607

CVE-2024-2608

CVE-2024-2616

CVE-2023-5388

CVE-2024-2610

CVE-2024-2611

CVE-2024-2612

CVE-2024-2614

+ Mozilla Thunderbird 115.9.0 released

https://www.thunderbird.net/en-US/thunderbird/115.9.0/releasenotes/

+ ISC BIND 9.18.25, 9.16.49 released

https://downloads.isc.org/isc/bind9/9.18.25/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.49/doc/arm/html/notes.html

+ VU#417980 Implementations of UDP-based application protocols are vulnerable to network loops

https://www.kb.cert.org/vuls/id/417980

CVE-2009-3563

CVE-2024-1309

CVE-2024-2169

+ Microsoft Outlook Remote Code Execution Vulnerability

https://cxsecurity.com/issue/WLB-2024030042

ニュース＆リポート

情報流出に虚偽報告の「ずさん」　個人情報事件でNTT西社長辞任へ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/031301043/?ST=nxt_thmit_security

ニュース＆リポート

「暗号化消去」に普及の兆し　記録媒体のデータを短時間で抹消

行政向けセキュリティーガイドラインが後押し

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/031301044/?ST=nxt_thmit_security

日経コンピュータ「ITが危ない」

chocoZAPで閉じ込めの悲鳴　スマートロックの運用に注意

完全無人運営、利用者は対応が分からず

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/031400130/?ST=nxt_thmit_security

データは語る

「ランサムウエア」で被害は3.5％　不正アクセスの2割弱が子会社経由

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/031400168/?ST=nxt_thmit_security

2024年3月19日火曜日

19日火曜日、大安

JVNVU#99690199 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99690199/index.html

JVNVU#96145466 複数の三菱電機製FA製品のEthernet機能におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU96145466/index.html

JVN#94521208 FitNesse における複数の脆弱性

https://jvn.jp/jp/JVN94521208/index.html

どうする「サードパーティークッキー」廃止

グーグル依存から脱却　社内体制の整備が急務

［Part 3］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100003/?ST=nxt_thmit_security

どうする「サードパーティークッキー」廃止

「個」は追いかけない　他社との連携が鍵

［Part 2］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100002/?ST=nxt_thmit_security

どうする「サードパーティークッキー」廃止

段階的廃止が始まる　本命不在の代替策

［Part 1］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/031100408/031100001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

国営公園の施設予約サイトで個人情報流出か、改修中のテスト環境に不正アクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500257/?ST=nxt_thmit_security

ニュース解説

NISTのセキュリティーフレームワークが大幅改訂、「統治」の重要性を強調

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09046/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第3回

「生成AI vs 生成AI」の幕開け、有識者に聞いたサイバー防衛の肝

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100003/?ST=nxt_thmit_security

2024年3月18日月曜日

18日月曜日、仏滅

+ Linux Kernelの脆弱性(CVE-2024-26629, CVE-2024-26630)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240315/

CVE-2024-26629

CVE-2024-26630

+ Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20240314/

CVE-2024-23672

CVE-2024-24549

JVNVU#97802107 Delta Electronics製DIAEnergieにおける複数の脆弱性

https://jvn.jp/vu/JVNVU97802107/index.html

JVN#70640802 Android アプリ「ABEMA（アベマ）」におけるアクセス制限不備の脆弱性

https://jvn.jp/jp/JVN70640802/index.html

JVNVU#93656033 Siemens製品に対するアップデート（2024年3月）

https://jvn.jp/vu/JVNVU93656033/index.html

ケーススタディー

転職サイトの認証基盤をクラウドへ　100万人超をログアウトせず移行

ビズリーチ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/031300152/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ランサム感染で発注システム停止　決算発表や新店舗開店が延期に

イズミ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/031400151/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第2回

サイバー攻撃の脅威特定にかかる時間を半減、生成AIは防御側も強くする

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100002/?ST=nxt_thmit_security

DXのトップランナー、中外製薬の野望

第4回

取引先の脆弱性も可視化する中外製薬、ランサム被害の訓練には社長も参加

https://xtech.nikkei.com/atcl/nxt/column/18/02772/030700005/?ST=nxt_thmit_security

2024年3月15日金曜日

15日金曜日、先勝

+ RHSA-2024:1335 Important: dnsmasq security update

https://access.redhat.com/errata/RHSA-2024:1335

CVE-2023-50387

CVE-2023-50868

+ Apache PDFBox 3.0.2 released

https://pdfbox.apache.org/

+ Apache Tomcat 9.0.87 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.87_(remm)

+ PostgreSQL JDBC Driver 42.7.3 released

https://jdbc.postgresql.org/changelogs/2024-03-14-42.7.3-release/

+ PHP 8.3.4, 8.2.17 released

https://www.php.net/ChangeLog-8.php#8.3.4

https://www.php.net/ChangeLog-8.php#8.2.17

+ JVNVU#99626420 Apache Tomcatにおける複数のサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU99626420/index.html

CVE-2024-2367

CVE-2024-24549

JVNVU#99690199 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99690199/index.html

JVNVU#94650413 三菱電機製MELSECシリーズのCPUユニットにおけるバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU94650413/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

「顔」を盗むiPhoneマルウエア　銀行口座に不正アクセス

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/031100128/?ST=nxt_thmit_security

生成AI時代のサイバー防衛最前線

第1回

声紋や顔の認証も突破、生成AIでサイバー攻撃は激化する

https://xtech.nikkei.com/atcl/nxt/column/18/02778/031100001/?ST=nxt_thmit_security

「Microsoft Copilot for Security」が一般提供へ、日本語でプロンプトの記述が可能に

https://xtech.nikkei.com/atcl/nxt/news/24/00397/?ST=nxt_thmit_security

VU#488902 CPU hardware utilizing speculative execution may be vulnerable to speculative race conditions

https://www.kb.cert.org/vuls/id/488902

2024年3月14日木曜日

14日木曜日、赤口

+ RHSA-2024:1311 Moderate: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2024:1311

CVE-2024-21392

+ RHSA-2024:1308 Moderate: .NET 7.0 security update

https://access.redhat.com/errata/RHSA-2024:1308

CVE-2024-21392

+ Google Chrome 123.0.6132.46 released

https://chromereleases.googleblog.com/2024/03/early-stable-update-for-desktop.html

+ 2024 年 3 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2024/03/202403-security-update/

+ Apache Tomcat の脆弱性(Important: CVE-2024-23672, CVE-2024-24549)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20240314/

CVE-2024-23672

CVE-2024-24549

JVNVU#94068825 Schneider Electric製EcoStruxure Power Designにおける信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU94068825/index.html

JVNVU#95993502 Intel製品に複数の脆弱性（2024年3月）

https://jvn.jp/vu/JVNVU95993502/index.html

JVNVU#93656033 Siemens製品に対するアップデート（2024年3月）

https://jvn.jp/vu/JVNVU93656033/index.html

日本DPO協会とJIPDECが「個人情報保護力量検定制度」創設、4月開始

https://xtech.nikkei.com/atcl/nxt/news/24/00391/?ST=nxt_thmit_security

2024年3月13日水曜日

13日水曜日、大安

+ ■Unboundの脆弱性情報が公開されました（CVE-2024-1931）

https://jprs.jp/tech/security/2024-03-12-unbound.html

+ Gpg4win 4.3.1 released

https://www.gpg4win.org/change-history.html

+ About the security content of GarageBand 10.4.11

https://support.apple.com/ja-jp/HT214090

CVE-2024-23300

+ Google Chrome 122.0.6261.128/.129 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_12.html

+ Linux Kernelの脆弱性(CVE-2024-26621, CVE-2024-26622, CVE-2024-26623, CVE-2024-26624, CVE-2024-26625, CVE-2024-26626, CVE-2024-26627, CVE-2024-26628)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240313/

CVE-2024-26621

CVE-2024-26622

CVE-2024-26623

CVE-2024-26624

CVE-2024-26625

CVE-2024-26626

CVE-2024-26627

CVE-2024-26628

勝村幸博の「今日も誰かが狙われる」

スマホや周囲の物体を過熱させて「破壊」、ワイヤレス充電器を乗っ取る新攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00676/030700162/?ST=nxt_thmit_security

「ゆめタウン」のイズミ、ランサム被害で決算発表を延期

https://xtech.nikkei.com/atcl/nxt/news/24/00386/?ST=nxt_thmit_security

2024年3月12日火曜日

12日火曜日、仏滅

+ Confluence facing access issues in certain EU Central regions

https://confluence.status.atlassian.com/incidents/88pjm6ssx55w

+ OpenSSH 9.7/9.7p1 released

https://www.openssh.com/releasenotes.html#9.7p1

piyokangoの週刊システムトラブル

ダイキンの取引先情報2万件超が流出、再委託先NECの発注先で私的にアクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500256/?ST=nxt_thmit_security

JVNVU#90690569 Sciener製ファームウェアで動作する複数の電子ロック関連製品に脆弱性

https://jvn.jp/vu/JVNVU90690569/index.html

2024年3月11日月曜日

11日月曜日、先負

+ unboundの脆弱性(Moderate: CVE-2024-0193)

https://security.sios.jp/vulnerability/unbound-security-vulnerability-20240310/

CVE-2024-0193

+ Linux Kernelの脆弱性(CVE-2024-26607, CVE-2024-26608, CVE-2024-26609, CVE-2024-26610, CVE-2024-26611, CVE-2024-26612, CVE-2024-26613, CVE-2024-26614, CVE-2024-26615, CVE-2024-26616, CVE-2024-26617, CVE-2024-26618, CVE-2024-26619, CVE-2024-26620)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20240310/

CVE-2024-26607

CVE-2024-26608

CVE-2024-26609

CVE-2024-26610

CVE-2024-26611

CVE-2024-26612

CVE-2024-26613

CVE-2024-26614

CVE-2024-26615

CVE-2024-26616

CVE-2024-26617

CVE-2024-26618

CVE-2024-26619

CVE-2024-26620

ニュース解説

NTT西日本やドコモで相次ぐ情報漏洩、持ち株会社主導の防止策で膿を出し切れるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/09013/?ST=nxt_thmit_security

JVN#48443978 a-blog cms におけるディレクトリトラバーサルの脆弱性

https://jvn.jp/jp/JVN48443978/index.html

JVNVU#91793178 Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性

https://jvn.jp/vu/JVNVU91793178/index.html

2024年3月8日金曜日

8日金曜日、仏滅

+ Performance issues in Jira

https://jira-service-management.status.atlassian.com/incidents/3kdjg8y9fjlw

+ About the security content of Safari 17.4

https://support.apple.com/en-us/HT214089

CVE-2024-23273

CVE-2024-23252

CVE-2024-23254

CVE-2024-23263

CVE-2024-23280

CVE-2024-23284

+ About the security content of macOS Sonoma 14.4

https://support.apple.com/en-us/HT214084

CVE-2024-23291

CVE-2024-23276

CVE-2024-23227

CVE-2024-23233

CVE-2024-23269

CVE-2024-23288

CVE-2024-23277

CVE-2024-23247

CVE-2024-23248

CVE-2024-23249

CVE-2024-23250

CVE-2024-23244

CVE-2024-23205

CVE-2022-48554

CVE-2024-23253

CVE-2024-23270

CVE-2024-23257

CVE-2024-23258

CVE-2024-23286

CVE-2024-23234

CVE-2024-23266

CVE-2024-23235

CVE-2024-23265

CVE-2024-23225

CVE-2024-23278

CVE-2024-0258

CVE-2024-23279

CVE-2024-23287

CVE-2024-23264

CVE-2024-23285

CVE-2024-23283

CVE-2023-48795

CVE-2023-51384

CVE-2023-51385

CVE-2022-42816

CVE-2024-23216

CVE-2024-23267

CVE-2024-23268

CVE-2024-23274

CVE-2023-42853

CVE-2024-23275

CVE-2024-23255

CVE-2024-23294

CVE-2024-23296

CVE-2024-23259

CVE-2024-23273

CVE-2024-23238

CVE-2024-23239

CVE-2024-23290

CVE-2024-23232

CVE-2024-23231

CVE-2024-23230

CVE-2024-23245

CVE-2024-23292

CVE-2024-23289

CVE-2024-23293

CVE-2024-23241

CVE-2024-23272

CVE-2024-23242

CVE-2024-23281

CVE-2024-23260

CVE-2024-23246

CVE-2024-23226

CVE-2024-23252

CVE-2024-23254

CVE-2024-23263

CVE-2024-23280

CVE-2024-23284

+ About the security content of macOS Ventura 13.6.5

https://support.apple.com/en-us/HT214085

+ About the security content of macOS Monterey 12.7.4

https://support.apple.com/en-us/HT214083

+ About the security content of watchOS 10.4

https://support.apple.com/en-us/HT214088

+ About the security content of tvOS 17.4

https://support.apple.com/en-us/HT214086

+ About the security content of visionOS 1.1

https://support.apple.com/en-us/HT214087

+ VMSA-2024-0007 VMware Cloud Director updates address a partial information disclosure vulnerability (CVE-2024-22256).

https://www.vmware.com/security/advisories/VMSA-2024-0007.html

CVE-2024-22256

+ Postfix stable release 3.9.0

http://www.postfix.org/announcements/postfix-3.9.0.html

+ JVN#54451757 SKYSEA Client View における複数の脆弱性

https://jvn.jp/jp/JVN54451757/index.html

CVE-2024-21805

CVE-2024-24964

+ VU#949046 Sceiner firmware locks and associated devices are vulnerable to encryption downgrade and arbitrary file upload attacks

https://www.kb.cert.org/vuls/id/949046

CVE-2023-6960

CVE-2023-7003

CVE-2023-7004

CVE-2023-7005

CVE-2023-7006

CVE-2023-7007

CVE-2023-7009

CVE-2023-7017

JVNVU#95852116 オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU95852116/index.html

2024年3月7日木曜日

7日木曜日、先負

+ Issue with incoming email handler

https://jira-service-management.status.atlassian.com/incidents/x2sr23xwyjy7

+ Configuration data discrepancies in automation rules

https://jira-service-management.status.atlassian.com/incidents/6n7h61hgkwfc

https://confluence.status.atlassian.com/incidents/hgh3djg8dty7

+ VMSA-2024-0006.1 VMware ESXi, Workstation, and Fusion updates address multiple security vulnerabilities (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255)

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

ニュース＆リポート

官民のデータ保護担当者が集結　AIや人口減で個人データ利用が増加へ

個人情報保護法見直し議論の「論点の1つはAI」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022801037/?ST=nxt_thmit_security

ニュース＆リポート

「Gmailガイドライン」適用開始　送信ドメイン認証の対応率が急上昇

本誌の51社対象メルマガ追跡調査で判明

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022801036/?ST=nxt_thmit_security

ニュース＆リポート

20年近く利用したドメインが人の手に　レジストラ移管を使ったハイジャック

不正と分かっても取り戻せない事情

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/022901042/?ST=nxt_thmit_security

ニュース解説

位置情報改ざん防ぐ「みちびき」の信号認証、日野自動車子会社がCO2排出量測定に

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08975/?ST=nxt_thmit_security

記者の眼

NTT西子会社の内部不正問題を人ごとにしないで、「調査報告書」から学べる教訓

https://xtech.nikkei.com/atcl/nxt/column/18/00138/030501482/?ST=nxt_thmit_security

JVN#34328023 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN34328023/index.html

JVN#82749078 ブラザー製 Web Based Management を実装しているプリンターやスキャナーにおける複数の脆弱性

https://jvn.jp/jp/JVN82749078/index.html

JVNVU#96911165 Nice製Linear eMerge E3-Seriesにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96911165/index.html

JVNVU#91126191 Santesoft製Sante FFT Imagingにおける境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU91126191/index.html

JVN#52919306 スマートフォンアプリ「東横INN公式アプリ」におけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/jp/JVN52919306/index.html

JVNVU#90228926 Integration Objects製OPC UA Server Toolkitにおけるログ出力内容の不適切な無害化の脆弱性

https://jvn.jp/vu/JVNVU90228926/index.html

2024年3月6日水曜日

6日水曜日、友引

+ RHSA-2024:1063 Important: edk2 security update

https://access.redhat.com/errata/RHSA-2024:1063

CVE-2023-45230

CVE-2023-45234

+ About the security content of iOS 17.4 and iPadOS 17.4

https://support.apple.com/ja-jp/HT214081

CVE-2024-23243

CVE-2024-23225

CVE-2024-23296

CVE-2024-23256

+ About the security content of iOS 16.7.6 and iPadOS 16.7.6

https://support.apple.com/ja-jp/HT214082

CVE-2024-23225

+ iOS 15.8.2 and iPadOS 15.8.2 released

https://support.apple.com/en-us/HT201222

+ Google Chrome 122.0.6261.111/.112 released

https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop.html

+ Mozilla Firefox 123.0.1 released

https://www.mozilla.org/en-US/firefox/123.0.1/releasenotes/

+ Mozilla Thunderbird 115.8.1 released

https://www.thunderbird.net/en-US/thunderbird/115.8.1/releasenotes/

+ VMSA-2024-0006 VMware ESXi, Workstation, and Fusion updates address multiple security vulnerabilities (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-22255)

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

CVE-2024-22252

CVE-2024-22253

CVE-2024-22254

CVE-2024-22255

+ FreeBSD 13.3-RELEASE Released

https://www.freebsd.org/releases/13.3R/relnotes/

日経コンピュータ「ITが危ない」

マイナカード利用「認証アプリ」　プライバシーリスクに懸念の声

個人の利用状況を国が一元管理可能に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/022900129/?ST=nxt_thmit_security

情報漏洩続くLINEヤフーに総務省が行政指導、ネイバーとの依存関係に改善求める

https://xtech.nikkei.com/atcl/nxt/news/24/00352/?ST=nxt_thmit_security

鹿児島の国分生協病院、ランサムウエア攻撃受け診療記録PDFの一部アクセスできず

https://xtech.nikkei.com/atcl/nxt/news/24/00350/?ST=nxt_thmit_security

紙でも渡せる電子契約「ONEデジ署名」開始、リーテックス

https://xtech.nikkei.com/atcl/nxt/news/24/00343/?ST=nxt_thmit_security

2024年3月5日火曜日

5日火曜日、先勝

+ Mozilla Foundation Security Advisory 2024-11 Security Vulnerabilities fixed in Thunderbird 115.8.1

https://www.mozilla.org/en-US/security/advisories/mfsa2024-11/

CVE-2024-1936

+ Postfix stable release 3.8.6, and legacy releases 3.7.11, 3.6.15, 3.5.25

http://www.postfix.org/announcements/postfix-3.8.6.html

マルウエア徹底解剖

暗号資産を取り巻く脅威

［第51回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/021600052/?ST=nxt_thmit_security

今日から始めるSBOM

第4回

キヤノンメディカルは2000の製品でSBOM作成可能に、対応急務の医療機器業界

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

近畿大学の学生・教職員向けECサイトの運営会社で個人情報流出、メール乗っ取りで

https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500255/?ST=nxt_thmit_security

ニュース解説

記録媒体の廃棄はドリルよりも「暗号化消去」、ルール整備で認知高まるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08979/?ST=nxt_thmit_security

2024年3月4日月曜日

4日月曜日、赤口

フォーカス

詳報・9部門の調査結果

パートナー満足度調査2024

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/022800171/?ST=nxt_thmit_security

フォーカス

パートナー満足度調査2024　人材不足下で新需要に応える

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/022800170/?ST=nxt_thmit_security

絵で見て分かるネットワーク必修キーワード

暗号化

第三者が解読できないデータに変換する技術

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900172/021600006/?ST=nxt_thmit_security

専門家に聞くビギナーズクエスチョン

公衆無線LANで仕事をしても大丈夫？

［今回の回答者］EGセキュアソリューションズ取締役CTO　徳丸浩

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800014/021600079/?ST=nxt_thmit_security

キーワード

デジタルサービス法（DSA：Digital Services Act）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/022800163/?ST=nxt_thmit_security

今日から始めるSBOM

第3回

トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600003/?ST=nxt_thmit_security

JVNVU#95474666 Delta Electronics製CNCSoft-Bにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU95474666/index.html

JVNVU#94598176 MicroDicom製DICOM viewerにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94598176/index.html

2024年3月1日金曜日

1日金曜日、先負

+ Configuration data discrepancies in automation rules

https://jira-service-management.status.atlassian.com/incidents/6n7h61hgkwfc

https://confluence.status.atlassian.com/incidents/hgh3djg8dty7

+ RHSA-2024:1061 Moderate: Red Hat Satellite 6 security and bug fix update

https://access.redhat.com/errata/RHSA-2024:1061

CVE-2022-4130

CVE-2023-0809

CVE-2023-3592

CVE-2023-4886

CVE-2023-28366

JVN#35928117 RevoWorks 製品における保護メカニズムの不具合の脆弱性

https://jvn.jp/jp/JVN35928117/index.html

JVN#77203800 OET-213H-BTS1 における不適切な初期設定

https://jvn.jp/jp/JVN77203800/index.html

JVN#78084105 OpenPNE 用プラグイン opTimelinePlugin におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN78084105/index.html

身に付けるべきネットワーク技術

認証状況を複数サービスで連携

Part5 SAML

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600005/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

不要な通信を判断・遮断

Part4 ファイアウオール

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600004/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

インターネット通信を暗号化

Part3 HTTPS

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600003/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

ドメイン名からIPアドレスを取得

Part2 DNS

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600002/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

高校入試出願のメール不達は必然　Gmailガイドラインの誤解を解く

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/022600127/?ST=nxt_thmit_security

身に付けるべきネットワーク技術

支援士試験は優れた教材

Part1 総論

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/021600185/021600001/?ST=nxt_thmit_security

NEWS close-up

正規ドメインを乗っ取るフィッシング

「移管ロック」をすり抜ける巧妙な手口　日本の被害事例をJPCERT／CCが報告

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/021600240/?ST=nxt_thmit_security

ニュース解説

「Mirai」の亜種がIoT機器を襲う、ダークネットが暴いた危険な現状

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08969/?ST=nxt_thmit_security

今日から始めるSBOM

第2回

あなたの会社はどのレベル？　フローチャートでSBOM診断

https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600002/?ST=nxt_thmit_security

情報流出に調査の虚偽報告、NTT西日本社長を引責辞任に追い込んだ「ずさん」な実態

https://xtech.nikkei.com/atcl/nxt/column/18/00001/08977/?ST=nxt_thmit_security

登録: 投稿 (Atom)