:: IT Security Neophyte Investigator's MEMO ::

2023年2月20日月曜日

20日月曜日、友引

+ Sudo 1.9.13p1 released

https://www.sudo.ws/releases/stable/#1.9.13p1

+ GnuTLSの脆弱性(Moderate: CVE-2023-0361)

https://security.sios.jp/vulnerability/gnutls-security-vulnerability-20230217/

CVE-2023-0361

佐野正弘が斬る！ニュースなアプリの裏側

見守り用途で人気のGPSトラッカー、スマートタグのような悪用を防げるか

https://xtech.nikkei.com/atcl/nxt/column/18/00086/00247/?ST=nxt_thmit_security

狙われる病院、急務のランサムウエア対策

「ベンダーと病院はリスク情報の共有を」、電子カルテをランサムウエアから守るには

https://xtech.nikkei.com/atcl/nxt/column/18/02362/021600005/?ST=nxt_thmit_security

JVNVU#90947628 Sub-IoT Open Source Stack for Dash7 Alliance Protocol実装における境界外書き込みの脆弱性

http://jvn.jp/vu/JVNVU90947628/index.html

JVNVU#98419026 BD製Alaris Infusion Centralにおける復元可能な形式でのパスワード保存の脆弱性

http://jvn.jp/vu/JVNVU98419026/index.html

JVNVU#91848962 ウイルスバスタービジネスセキュリティおよびウイルスバスタービジネスセキュリティサービスにおける複数の脆弱性

http://jvn.jp/vu/JVNVU91848962/index.html

UPDATE: JVNVU#91874962 複数のDelta Electronics製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91874962/index.html

UPDATE: JVNVU#97514209 Siemens製品に対するアップデート（2023年2月）

http://jvn.jp/vu/JVNVU97514209/index.html

2023年2月17日金曜日

17日金曜日、先負

+ Google Chrome 110.0.5481.104 released

https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_16.html

+ Mozilla Foundation Security Advisory 2023-07 Security Vulnerabilities fixed in Thunderbird 102.8

https://www.mozilla.org/en-US/security/advisories/mfsa2023-07/

CVE-2023-0616

CVE-2023-25728

CVE-2023-25730

CVE-2023-0767

CVE-2023-25735

CVE-2023-25737

CVE-2023-25738

CVE-2023-25739

CVE-2023-25729

CVE-2023-25732

CVE-2023-25734

CVE-2023-25742

CVE-2023-25746

+ FreeBSD-SA-23:03.openssl Multiple vulnerabilities in OpenSSL

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:03.openssl.asc

CVE-2023-0286

CVE-2023-0215

CVE-2022-4450

CVE-2022-4304

+ FreeBSD-SA-23:02.openssh OpenSSH pre-authentication double free

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:02.openssh.asc

CVE-2023-25136

+ PostgreSQL JDBC Driver 42.5.4 released

https://jdbc.postgresql.org/changelogs/2023-02-16-42.5.4-release/

+ GnuTLSの脆弱性(Moderate: CVE-2023-0361)

https://security.sios.jp/vulnerability/gnutls-security-vulnerability-20230217/

CVE-2023-0361

狙われる病院、急務のランサムウエア対策

ランサムウエア被害に遭うシステムの3つの「ない」、攻撃を前提とした対策を急げ

https://xtech.nikkei.com/atcl/nxt/column/18/02362/021500004/?ST=nxt_thmit_security

2023年2月16日木曜日

16日木曜日、友引

+ CVE-2023-23916: HTTP multi-header compression denial of service

https://curl.se/docs/CVE-2023-23916.html

CVE-2023-23916

+ CVE-2023-23915: HSTS amnesia with --parallel

https://curl.se/docs/CVE-2023-23915.html

CVE-2023-23915

+ CVE-2023-23914: HSTS ignored on multiple requests

https://curl.se/docs/CVE-2023-23914.html

CVE-2023-23914

+ Mozilla Thunderbird 102.8.0 released

https://www.thunderbird.net/en-US/thunderbird/102.8.0/releasenotes/

+ ISC BIND 9.18.12, 9.16.38 released

https://downloads.isc.org/isc/bind9/9.18.12/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.38/doc/arm/html/notes.html

+ ClamAV 0.103.8, 0.105.2 and 1.0.1 patch versions published

https://blog.clamav.net/2023/02/clamav-01038-01052-and-101-patch.html

CVE-2023-20032

CVE-2023-20052

UPDATE: JVNVU#99551468 図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性

http://jvn.jp/vu/JVNVU99551468/index.html

JVNVU#91223897 Intel製品に複数の脆弱性（2023年2月）

http://jvn.jp/vu/JVNVU91223897/index.html

JVNVU#97514209 Siemens製品に対するアップデート（2023年2月）

http://jvn.jp/vu/JVNVU97514209/index.html

JVNVU#95626020 Weintek製EasyBuilder Proにおけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU95626020/index.html

UPDATE: JVNVU#95499848 Siemens 製品に対するアップデート（2020年4月）

http://jvn.jp/vu/JVNVU95499848/index.html

JVN#00712821 tsClinical Define.xml Generator および tsClinical Metadata Desktop Tools における XML 外部実体参照 (XXE) に関する脆弱性

http://jvn.jp/jp/JVN00712821/index.html

JVN#60263237 「エレコムカメラアシスタント」および「QuickFileDealer」のインストーラにおける DLL 読み込みに関する脆弱性

http://jvn.jp/jp/JVN60263237/index.html

ニュース＆リポート

ランサムウエア被害のデータ　警察庁が捜査で復旧したと明かす

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/020900850/?ST=nxt_thmit_security

NECらが新生児の生体認証、ワクチン接種管理をケニアで実証

https://xtech.nikkei.com/atcl/nxt/news/18/14610/?ST=nxt_thmit_security

人気のベンダーが明らかに、ネットワーク機器利用実態調査

企業向けルーター部門はあのベンダーが首位奪還、ゼロトラストの導入状況も明らかに

https://xtech.nikkei.com/atcl/nxt/column/18/02359/021000004/?ST=nxt_thmit_security

狙われる病院、急務のランサムウエア対策

「電子カルテが使えない」、ランサムウエア感染から復旧までの近道

https://xtech.nikkei.com/atcl/nxt/column/18/02362/021400001/?ST=nxt_thmit_security

ソースネクストでカード情報約11万件漏洩の恐れ、ECサイトに不正アクセス

https://xtech.nikkei.com/atcl/nxt/news/18/14662/?ST=nxt_thmit_security

人気のベンダーが明らかに、ネットワーク機器利用実態調査

企業向け無線LAN機器の人気ランキング、あの2社が相変わらずの強さを見せる

https://xtech.nikkei.com/atcl/nxt/column/18/02359/021000002/?ST=nxt_thmit_security

NICTの脅威観測の2022年版、コンテナ「Docker」への攻撃が6位と9位に

https://xtech.nikkei.com/atcl/nxt/news/18/14659/?ST=nxt_thmit_security

2023年2月15日水曜日

15日水曜日、先勝

+ Google Chrome 110.0.5481.100 released

https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update_14.html

+ Mozilla Firefox 110.0 released

https://www.mozilla.org/en-US/firefox/110.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-05 Security Vulnerabilities fixed in Firefox 110

https://www.mozilla.org/en-US/security/advisories/mfsa2023-05/

CVE-2023-25728

CVE-2023-25730

CVE-2023-25743

CVE-2023-0767

CVE-2023-25735

CVE-2023-25737

CVE-2023-25738

CVE-2023-25739

CVE-2023-25729

CVE-2023-25732

CVE-2023-25734

CVE-2023-25740

CVE-2023-25731

CVE-2023-25733

CVE-2023-25736

CVE-2023-25741

CVE-2023-25742

CVE-2023-25744

CVE-2023-25745

+ PHP 8.2.3, 8.1.16, 8.0.28 released

https://www.php.net/ChangeLog-8.php#8.2.3

https://www.php.net/ChangeLog-8.php#8.1.16

https://www.php.net/ChangeLog-8.php#8.0.28

+ Sudo 1.9.13 released

https://www.sudo.ws/releases/stable/#1.9.13

2023年2月14日火曜日

14日火曜日、赤口

+ About the security content of Safari 16.3.1

https://support.apple.com/ja-jp/HT213638

CVE-2023-23529

+ About the security content of iOS 16.3.1 and iPadOS 16.3.1

https://support.apple.com/ja-jp/HT213635

CVE-2023-23514

CVE-2023-23529

+ About the security content of macOS Ventura 13.2.1

https://support.apple.com/ja-jp/HT213633

CVE-2023-23514

CVE-2023-23522

CVE-2023-23529

+ Google Chrome 110.0.5481.96/.97 released

https://chromereleases.googleblog.com/2023/02/stable-channel-desktop-update.html

+ Apache Tomcat Native 2.0.3, 1.2.36 released

https://tomcat.apache.org/native-doc/miscellaneous/changelog.html

https://tomcat.apache.org/native-1.2-doc/miscellaneous/changelog.html

+ OpenLDAP-2.6.4, 2.5.14 released

https://www.openldap.org/software/release/changes.html

https://www.openldap.org/software/release/changes_lts.html

+ phpMyAdminの脆弱性(Moderate: CVE-2023-25727 / PMASA-2023-1)

https://security.sios.jp/vulnerability/phpmyadmin-security-vulnerability-20230214/

CVE-2023-25727

JVN#98612206 プラネックスコミュニケーションズ製ネットワークカメラ CS-WMV02G における複数の脆弱性

http://jvn.jp/jp/JVN98612206/index.html

人気のベンダーが明らかに、ネットワーク機器利用実態調査

IT管理者923人に聞いた利用しているネット機器、スイッチ部門はあのベンダーが独占

https://xtech.nikkei.com/atcl/nxt/column/18/02359/020900001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

サイバー攻撃を受けた金沢西病院が2カ月ぶりの通常診療再開、被害の詳細は説明せず

https://xtech.nikkei.com/atcl/nxt/column/18/00598/021000206/?ST=nxt_thmit_security

2023年2月13日月曜日

13日月曜日、大安

+ Python 3.11.2, Python 3.10.10 and 3.12.0 alpha 5 are available

https://pythoninsider.blogspot.com/2023/02/python-3112-python-31010-and-3120-alpha.html

キーワード

能動的サイバー防御（Active Cyber Defense）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/020800134/?ST=nxt_thmit_security

JVNVU#92734028 Xytronix Research & Design製X-400およびX-600Mにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92734028/index.html

JVNVU#97136726 LS ELECTRIC製XBC-DN32Uにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97136726/index.html

JVNVU#93246494 Johnson Controls製System Configuration Tool（SCT）における複数の脆弱性

http://jvn.jp/vu/JVNVU93246494/index.html

JVNVU#99072022 Horner Automation製Cscape Envision RVにおける複数の脆弱性

http://jvn.jp/vu/JVNVU99072022/index.html

JVNVU#93317778 ARC Informatique製PcVueにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93317778/index.html

JVN#60320736 日本電気製「PC設定ツール」における重要な機能に対する認証の欠如の脆弱性

http://jvn.jp/jp/JVN60320736/index.html

JVNVU#99551468 図研エルミック製KASAGOにおける不十分なランダム値の使用の脆弱性

http://jvn.jp/vu/JVNVU99551468/index.html

JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92327282/index.html

2023年2月10日金曜日

10日金曜日、友引

+ FreeBSD-SA-23:01.geli GELI silently omits the keyfile if read from stdin

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:01.geli.asc

CVE-2023-0751

+ PostgreSQL 15.2, 14.7, 13.10, 12.14, and 11.19 Released!

https://www.postgresql.org/about/news/postgresql-152-147-1310-1214-and-1119-released-2592/

https://www.postgresql.org/docs/15/release-15-2.html

https://www.postgresql.org/docs/14/release-14-7.html

https://www.postgresql.org/docs/13/release-13-10.html

https://www.postgresql.org/docs/12/release-12-14.html

https://www.postgresql.org/docs/11/release-11-19.html

日経コンピュータ大森敏行のプログラミングで行こう

AIが生成したコードは信用するな　脆弱性の巣窟になりがちなワケ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100112/020600062/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

通話を「加速度センサー」で盗聴　イヤースピーカーの振動を捉える

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/020600100/?ST=nxt_thmit_security

3分でわかる必修ワード IT

事前の情報収集や監視で攻撃を妨害、「能動的サイバー防御」とは

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/011600221/?ST=nxt_thmit_security

2023年2月9日木曜日

9日木曜日、先勝

+ RHSA-2023:0675 Important: tigervnc and xorg-x11-server security update

https://access.redhat.com/errata/RHSA-2023:0675

CVE-2023-0494

+ RHSA-2023:0662 Important: tigervnc security update

https://access.redhat.com/errata/RHSA-2023:0662

CVE-2023-0494

+ phpMyAdmin 4.9.11 and 5.2.1 are released

https://www.phpmyadmin.net/news/2023/2/8/phpmyadmin-4911-and-521-are-released/

+ PMASA-2023-1 XSS vulnerability in drag-and-drop upload

https://www.phpmyadmin.net/security/PMASA-2023-1/

+ JVNVU#91213144 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU91213144/index.html

CVE-2023-0286

CVE-2022-4304

VE-2023-0215

CVE-2022-4203

CVE-2023-0216

CVE-2023-0217

CVE-2023-0401

CVE-2022-4450

記者の眼

AIで高まる「なりすまし」詐欺の脅威、日本企業は対策に本腰を

https://xtech.nikkei.com/atcl/nxt/column/18/00138/020701218/?ST=nxt_thmit_security

JVNVU#99994755 EnOcean製SmartServerにおけるハードコードされた認証情報の使用の脆弱性

http://jvn.jp/vu/JVNVU99994755/index.html

2023年2月8日水曜日

8日水曜日、赤口

+ Knot Resolverの脆弱性情報が公開されました

https://jprs.jp/tech/security/2023-02-03-knotresolver.html

+ RHSA-2023:0625 Important: libksba security update

https://access.redhat.com/errata/RHSA-2023:0625

CVE-2022-47629

+ RHSA-2023:0606 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2023:0606

CVE-2023-0430

+ RHSA-2023:0626 Important: libksba security update

https://access.redhat.com/errata/RHSA-2023:0626

CVE-2022-47629

+ RHSA-2023:0611 Important: git security update

https://access.redhat.com/errata/RHSA-2023:0611

CVE-2022-23521

CVE-2022-41903

+ RHSA-2023:0608 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2023:0608

CVE-2023-0430

+ Mozilla Thunderbird 102.7.2 released

https://www.thunderbird.net/en-US/thunderbird/102.7.2/releasenotes/

+ VMSA-2023-0003 VMware Workstation update addresses an arbitrary file deletion vulnerability (CVE-2023-20854)

https://www.vmware.com/security/advisories/VMSA-2023-0003.html

CVE-2023-20854

+ OpenSSL Security Advisory [7th February 2023]

https://www.openssl.org/news/secadv/20230207.txt

CVE-2023-0286

CVE-2022-4304

CVE-2022-4203

CVE-2023-0215

CVE-2022-4450

CVE-2023-0216

CVE-2023-0217

CVE-2023-0401

+ OpenSSL 3.0.8, 1.1.1t released

https://www.openssl.org/

+ OpenSSLの脆弱性情報(High: CVE-2023-0286, Moderate: CVE-2022-4203, CVE-2022-4304, CVE-2022-4450, CVE-2023-0215, CVE-2023-0216, CVE-2023-0217, CVE-2023-0401)と新バージョン(3.0.8, 1.1.1t)

https://security.sios.jp/vulnerability/openssl-security-vulnerability-20230208/

CVE-2023-0286

CVE-2022-4203

CVE-2022-4304

CVE-2022-4450

CVE-2023-0215

CVE-2023-0216

CVE-2023-0217

CVE-2023-0401

JVN#11257333 スマートフォンアプリ「一蘭公式アプリ」におけるサーバ証明書の検証不備の脆弱性

http://jvn.jp/jp/JVN11257333/index.html

勝村幸博の「今日も誰かが狙われる」

身代金を払う企業がまさかの減少、収入減で焦るランサムウエア攻撃者が立てた新戦略

https://xtech.nikkei.com/atcl/nxt/column/18/00676/013100126/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

通販サイト「ドットエスティ」運営のアダストリアで100万人超の個人情報流出か

https://xtech.nikkei.com/atcl/nxt/column/18/00598/020600201/?ST=nxt_thmit_security

ニュース解説

警察がランサムウエア被害のデータを復旧、どうやって高度な暗号化から復元したのか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07661/?ST=nxt_thmit_security

2023年2月3日金曜日

3日金曜日、先勝

+ glibc 2.37 released

https://sourceware.org/pipermail/libc-alpha/2023-February/145190.html

+ OpenSSH 9.2/9.2p1 released

http://www.openssh.com/releasenotes.html#9.2

+ PHP 8.2.2 Released

https://www.php.net/ChangeLog-8.php#8.2.2

マルウエア徹底解剖

ランサム攻撃のデータ窃取の手口

［第39回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/011800040/?ST=nxt_thmit_security

クライアント保護の新常識

侵入されても致命傷は防げ、攻撃者の「横の動き」を封じるXDRの仕組み

https://xtech.nikkei.com/atcl/nxt/column/18/02348/020200010/?ST=nxt_thmit_security

お見合い不成立でも「顔写真」閲覧の不具合、宮城県の結婚支援サイト

https://xtech.nikkei.com/atcl/nxt/news/18/14577/?ST=nxt_thmit_security

UPDATE: JVN#09409909 WordPress における複数の脆弱性

http://jvn.jp/jp/JVN09409909/index.html

JVNVU#91222434 三菱電機製GOT2000シリーズおよびGT SoftGOT2000のGOT Mobile機能における複数の脆弱性

http://jvn.jp/vu/JVNVU91222434/index.html

2023年2月2日木曜日

2日木曜日、赤口

+ Zabbix 6.2.7, 6.0.13 released

https://www.zabbix.com/rn/rn6.2.7

https://www.zabbix.com/rn/rn6.0.13

+ Mozilla Foundation Security Advisory 2023-04 Security Vulnerabilities fixed in Thunderbird 102.7.1

https://www.mozilla.org/en-US/security/advisories/mfsa2023-04/

CVE-2023-0430

+ Mozilla Thunderbird 102.7.1 released

https://www.thunderbird.net/en-US/thunderbird/102.7.1/releasenotes/

+ Jira Service Management Server and Data Center Advisory (CVE-2023-22501)

https://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html

CVE-2023-22501

+ Apache Portable Runtime(apr)/及びApache Portable Runtime Utility(apr-util)の脆弱性(Moderate: CVE-2022-24963, CVE-2022-25147)

https://security.sios.jp/vulnerability/apr-security-vulnerability-20230202/

CVE-2022-24963

CVE-2022-25147

JVNVU#93371867 Delta Electronics製DOPSoftにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93371867/index.html

ニュース＆リポート

鴻池運輸がセキュリティー対策強化　EDR・SWG・サイバー衛生で多層防御

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/012600839/?ST=nxt_thmit_security

ニュース＆リポート

「リアルでぞっとする」　100組織が挑んだサイバー演習

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/012600841/?ST=nxt_thmit_security

ネットワーク管理の禁じ手

簡易なセキュリティーで無線LANを構築

［第5回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091500145/011800006/?ST=nxt_thmit_security

ニュース＆リポート

LINEで顔写真送る住民票交付はNG　問われる本人確認の厳格性

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/012600843/?ST=nxt_thmit_security

クライアント保護の新常識

セキュリティーも「検査」「隔離」「予防」が重要、3つのツールで守る

https://xtech.nikkei.com/atcl/nxt/column/18/02348/020100009/?ST=nxt_thmit_security

2023年2月1日水曜日

1日水曜日、大安

+ Mozilla Firefox 109.0.1 released

https://www.mozilla.org/en-US/firefox/109.0.1/releasenotes/

+ CESA-2023:0203 Moderate CentOS 7 java-1.8.0-openjdk Security Update

https://lwn.net/Articles/921717/

+ CESA-2023:0046 Important CentOS 7 xorg-x11-server Security Update

https://lwn.net/Articles/921726/

+ CESA-2023:0296 Important CentOS 7 firefox Security Update

https://lwn.net/Articles/921716/

+ CESA-2023:0456 Important CentOS 7 thunderbird Security Update

https://lwn.net/Articles/921724/

+ CESA-2023:0399 Important CentOS 7 kernel Security Update

https://lwn.net/Articles/921719/

+ CESA-2023:0195 Moderate CentOS 7 java-11-openjdk Security Update

https://lwn.net/Articles/921718/

+ CESA-2023:0377 Important CentOS 7 libXpm Security Update

https://lwn.net/Articles/921720/

+ CESA-2023:0045 Important CentOS 7 tigervnc Security Update

https://lwn.net/Articles/921725/

+ CESA-2023:0403 Important CentOS 7 sssd Security Update

https://lwn.net/Articles/921722/

+ CESA-2023:0291 Important CentOS 7 sudo Security Update

https://lwn.net/Articles/921723/

+ CESA-2023:0402 Moderate CentOS 7 bind Security Update

https://lwn.net/Articles/921715/

+ CESA-2022:8799 Important CentOS 7 pki-core Security Update

https://lwn.net/Articles/921721/

+ VMSA-2023-0002 VMware vRealize Operations (vROps) update addresses a CSRF bypass vulnerability (CVE-2023-20856)

https://www.vmware.com/security/advisories/VMSA-2023-0002.html

CVE-2023-20856

+ PostgreSQL JDBC Driver 42.5.2 released

https://jdbc.postgresql.org/changelogs/2023-01-31-42.5.2-release/

+ Linux Kernelの脆弱性(Important: CVE-2023-0240, CVE-2023-0266)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20230201/

CVE-2023-0240

CVE-2023-0266

JVN#22830348 富士フイルムビジネスイノベーション製ドライバー配布ツールにおける復元可能な形式でのパスワード保存の脆弱性

http://jvn.jp/jp/JVN22830348/index.html

JVN#84642320 Android アプリ「スシロー」におけるログファイルからの情報漏えいの脆弱性

http://jvn.jp/jp/JVN84642320/index.html

知っておくべき「ID」の基礎

1度の認証で複数のサービスを利用

Part6 シングルサインオン

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800153/011800006/?ST=nxt_thmit_security

知っておくべき「ID」の基礎

他のサービスにアクセス権限を認可

Part5 アクセス制御

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800153/011800005/?ST=nxt_thmit_security

知っておくべき「ID」の基礎

サービス間でID情報の変更を伝達

Part4 プロビジョニング

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800153/011800004/?ST=nxt_thmit_security

知っておくべき「ID」の基礎

脱パスワードに向け生体認証を併用

Part3 多要素認証

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800153/011800003/?ST=nxt_thmit_security

知っておくべき「ID」の基礎

本人を確認してアクセス権限を付与

Part2 認証と認可

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/011800153/011800002/?ST=nxt_thmit_security

データは語る

テレワーク「仕事に慣れてから」　新社会人の6割弱が出社を希望

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/012300133/?ST=nxt_thmit_security

クライアント保護の新常識

クライアント保護はEDRから始めよ、次の一歩は「左」と「右」で検討

https://xtech.nikkei.com/atcl/nxt/column/18/02348/013000004/?ST=nxt_thmit_security

2023年1月31日火曜日

31日火曜日、仏滅

+ RHSA-2023:0530 Important: libksba security update

https://access.redhat.com/errata/RHSA-2023:0530

CVE-2022-47629

+ Zabbix 5.0.31 released

https://www.zabbix.com/rn/rn5.0.31

日経コンピュータ「動かないコンピュータ」

委託事業者経由でランサムウエア被害　外来診療の全面再開に2カ月超

大阪急性期・総合医療センター

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/012600125/?ST=nxt_thmit_security

NEWS pickup ＆ digest

NEWS pickup＆digest（2022/12/9～2023/1/5）

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/011800063/?ST=nxt_thmit_security

ニュース解説

MS＆ADが中小向けサイバーリスク診断、導入15万社を目指す勝算

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07628/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ショーケースが半年前にソースコード改ざん被害、利用企業のカード流出は10社超に

https://xtech.nikkei.com/atcl/nxt/column/18/00598/013000200/?ST=nxt_thmit_security

2023年1月30日月曜日

30日月曜日、先負

JVNVU#94588481 三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラにおける認証回避の脆弱性

http://jvn.jp/vu/JVNVU94588481/index.html

JVNVU#93712391 Delta Electronics製CNCSoftおよびScreen Editorにおけるスタックベースのバッファオバーフローの脆弱性

http://jvn.jp/vu/JVNVU93712391/index.html

JVNVU#98478573 ECONOLITE製EOSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98478573/index.html

JVNVU#97803246 Snap One製Wattbox WB-300-IP-3における複数の脆弱性

http://jvn.jp/vu/JVNVU97803246/index.html

JVNVU#94050974 Sierra Wireless製ALEOS Softwareを実行するAirLink Routerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94050974/index.html

JVNVU#93901424 GoAhead Webサーバを使用するRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU93901424/index.html

JVNVU#92505806 Landis+Gyr製E850 (ZMQ200)における検証や整合性確認をしていないCookieへの依存の脆弱性

http://jvn.jp/vu/JVNVU92505806/index.html

NEWS close-up

ネット未接続PCからスマホで情報窃取

低周波の電磁波を壁越しに傍受　1000ビット/秒のデータ転送に成功

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800200/?ST=nxt_thmit_security

マルウエアの概要を理解する

ウクライナ危機で多用された「ワイパー」、暗号化・脅迫・破壊系マルウエアの姿

https://xtech.nikkei.com/atcl/nxt/column/18/02347/00002/?ST=nxt_thmit_security

クライアント保護の新常識

攻撃者の「横の動き」をつかめ、サイバー攻撃を受けたNTTコムの教訓

https://xtech.nikkei.com/atcl/nxt/column/18/02348/012600003/?ST=nxt_thmit_security

2023年1月27日金曜日

27日金曜日、赤口

+ （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3924） - バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html

+ （緊急）BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2022-3736） - バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html

+ （緊急）BIND 9.xの脆弱性（メモリ不足の発生）について（CVE-2022-3094） - バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html

+ RHSA-2023:0476 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2023:0476

+ RHSA-2023:0210 Moderate: java-1.8.0-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0210

+ JVNVU#98318144 ISC BINDにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98318144/index.html

日経NETWORK 特別リポート

全米が警戒する「Hiveランサムウエア」

1億ドルの身代金を1年半で強奪

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/011800061/?ST=nxt_thmit_security

NEWS close-up

「Emotet」マルウエアがまたもや復活

活動再開のたびに機能追加　今回は「コンテンツの有効化」なしでも感染

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800198/?ST=nxt_thmit_security

イラストで学ぶネットワークキーワード

UTM

複数のセキュリティー機能を統合した機器

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900032/011800053/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

ネット非接続のPCから情報窃取　低周波の電磁波をスマホで傍受

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/012400099/?ST=nxt_thmit_security

マルウエアの概要を理解する

「悪意のある」は奥が深い、挙動や感染経路で分けて理解するマルウエア

https://xtech.nikkei.com/atcl/nxt/column/18/02347/00001/?ST=nxt_thmit_security

大森敏行のプログラミングで行こう

AIが生成したコードは信用するな、脆弱性の巣窟になりがちなワケ

https://xtech.nikkei.com/atcl/nxt/column/18/00682/012500111/?ST=nxt_thmit_security

動かないコンピュータ

ランサムウエア被害の大阪の病院、初動から全面復旧まで2カ月間の全貌

https://xtech.nikkei.com/atcl/nxt/column/18/01157/012600079/?ST=nxt_thmit_security

TOHOシネマズでWebチケット購入できず、2度のシステム障害で手書き発券対応に

https://xtech.nikkei.com/atcl/nxt/news/18/14525/?ST=nxt_thmit_security

JVNVU#94588481 三菱電機製MELFA SD/SQシリーズおよびFシリーズのロボットコントローラにおける認証回避の脆弱性

http://jvn.jp/vu/JVNVU94588481/index.html

JVNVU#99673580 三菱電機製MELSECシリーズのWEBサーバ機能における認証回避の脆弱性

http://jvn.jp/vu/JVNVU99673580/index.html

2023年1月26日木曜日

26日木曜日、大安

+ PowerDNS Recursorの脆弱性情報が公開されました（CVE-2023-22617）

https://jprs.jp/tech/security/2023-01-25-powerdns-recursor.html

CVE-2023-22617

+ RHSA-2023:0456 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2023:0456

CVE-2022-46871

CVE-2022-46877

CVE-2023-23598

CVE-2023-23599

CVE-2023-23601

CVE-2023-23602

CVE-2023-23603

CVE-2023-23605

+ RHSA-2023:0463 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2023:0463

CVE-2022-46871

CVE-2022-46877

CVE-2023-23598

CVE-2023-23599

CVE-2023-23601

CVE-2023-23602

CVE-2023-23603

CVE-2023-23605

+ RHSA-2023:0446 Moderate: go-toolset:rhel8 security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0446

CVE-2022-2879

CVE-2022-2880

CVE-2022-41715

+ ISC BIND 9.18.11, 9.16.37 released

https://downloads.isc.org/isc/bind9/9.18.11/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.37/doc/arm/html/notes.html

+ BIND 9の脆弱性情報(High: CVE-2022-3094, CVE-2022-3488, CVE-2022-3736, CVE-2022-3924)と新バージョン(9.16.37, 9.18.11, 9.19.9 )

https://security.sios.jp/vulnerability/bind-security-vulnerability-20230126/

CVE-2022-3094

CVE-2022-3488

CVE-2022-3736

CVE-2022-3924

UPDATE: JVNVU#91740661 OpenAM Web Policy Agent (OpenAMコンソーシアム版)におけるパストラバーサル脆弱性

http://jvn.jp/vu/JVNVU91740661/index.html

JVNVU#90657051 XINJE製XD/E Series PLC Program Toolにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90657051/index.html

JVNVU#93644589 SOCOMEC製MODULYS GPにおけるパスワードに対する弱い暗号化使用の脆弱性

http://jvn.jp/vu/JVNVU93644589/index.html

JVNVU#97195023 コンテック製CONPROSYS HMI System (CHS)における複数のSQLインジェクションの脆弱性

http://jvn.jp/vu/JVNVU97195023/index.html

NEWS close-up

「パスキー」の採用が相次ぐ

iPhoneやAndroid、Windowsが対応　パスワードレス普及の切り札になるか

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/011800197/?ST=nxt_thmit_security

IPAの情報セキュリティー「10大脅威」、ランサムウエア被害が3年連続トップ

https://xtech.nikkei.com/atcl/nxt/news/18/14512/?ST=nxt_thmit_security

2023年1月25日水曜日

25日水曜日、仏滅

+ RHSA-2023:0404 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2023:0404

CVE-2022-2964

+ RHSA-2023:0403 Important: sssd security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0403

CVE-2022-4254

+ RHSA-2023:0402 Moderate: bind security update

https://access.redhat.com/errata/RHSA-2023:0402

CVE-2021-25220

CVE-2022-2795

+ RHSA-2023:0399 Important: kernel security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0399

CVE-2021-26401

CVE-2022-2964

+ RHSA-2023:0203 Moderate: java-1.8.0-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0203

CVE-2023-21830

CVE-2023-21843

+ RHSA-2023:0377 Important: libXpm security update

https://access.redhat.com/errata/RHSA-2023:0377

CVE-2022-4883

+ RHSA-2023:0379 Important: libXpm security update

https://access.redhat.com/errata/RHSA-2023:0379

CVE-2022-4883

CVE-2022-44617

CVE-2022-46285

+ RHSA-2023:0383 Important: libXpm security update

https://access.redhat.com/errata/RHSA-2023:0383

CVE-2022-4883

CVE-2022-44617

CVE-2022-46285

+ About the security content of tvOS 16.3

https://support.apple.com/ja-jp/HT213601

CVE-2023-23499

CVE-2023-23519

CVE-2023-23500

CVE-2023-23502

CVE-2023-23504

CVE-2023-23503

CVE-2023-23512

CVE-2023-23511

CVE-2023-23496

CVE-2023-23518

CVE-2023-23517

+ Google Chrome 109.0.5414.119/.120, 108.0.5359.215 released

https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html

https://chromereleases.googleblog.com/2023/01/extended-stable-channel-update-for_24.html

+ VMSA-2023-0001 VMware vRealize Log Insight latest updates address multiple security vulnerabilities (CVE-2022-31706, CVE-2022-31704, CVE-2022-31710, CVE-2022-31711)

https://www.vmware.com/security/advisories/VMSA-2023-0001.html

CVE-2022-31706

CVE-2022-31704

CVE-2022-31710

CVE-2022-31711

piyokangoの月刊システムトラブル

都施設の業者にサイバー攻撃　有明コロシアムの図面が流出か

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/011800047/?ST=nxt_thmit_security

ITセキュリティー対策最前線

組織で取り組むべきランサムウエア対策

［第1回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/012300001/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

サイバー攻撃者が「ChatGPT」に熱視線、AIによるマルウエア作成の可能性が急浮上

https://xtech.nikkei.com/atcl/nxt/column/18/00676/011900125/?ST=nxt_thmit_security

JVNVU#94200979 オムロン製CX-Motion ProにおけるXML外部実体参照（XXE）の脆弱性

http://jvn.jp/vu/JVNVU94200979/index.html

JVN#01398015 pgAdmin 4 におけるディレクトリトラバーサルの脆弱性

http://jvn.jp/jp/JVN01398015/index.html

JVN#05288621 EasyMail におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN05288621/index.html

2023年1月24日火曜日

24日火曜日、先負

+ RHSA-2023:0284 Important: sudo security update

https://access.redhat.com/errata/RHSA-2023:0284

CVE-2023-22809

+ RHSA-2023:0340 Moderate: bash security update

https://access.redhat.com/errata/RHSA-2023:0340

CVE-2022-3715

+ RHSA-2023:0328 Moderate: go-toolset and golang security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0328

CVE-2022-2879

CVE-2022-2880

CVE-2022-41715

+ RHSA-2023:0321 Moderate: nodejs and nodejs-nodemon security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2023:0321

CVE-2021-44906

CVE-2022-3517

CVE-2022-35256

CVE-2022-43548

+ RHSA-2023:0194 Moderate: java-17-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0194

CVE-2023-21835

CVE-2023-21843

+ About the security content of Safari 16.3

https://support.apple.com/ja-jp/HT213600

CVE-2023-23496

CVE-2023-23518

CVE-2023-23517

+ About the security content of iOS 12.5.7

https://support.apple.com/ja-jp/HT213597

CVE-2022-42856

+ About the security content of macOS Monterey 12.6.3

https://support.apple.com/ja-jp/HT213604

CVE-2023-23499

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

CVE-2022-35252

CVE-2023-23513

CVE-2023-23493

CVE-2022-32915

CVE-2023-23507

CVE-2023-23504

CVE-2023-23502

CVE-2023-23497

CVE-2023-23505

CVE-2023-23511

CVE-2023-23518

CVE-2023-23517

CVE-2023-23508

+ About the security content of macOS Big Sur 11.7.3

https://support.apple.com/ja-jp/HT213603

CVE-2023-23499

CVE-2022-35252

CVE-2023-23513

CVE-2023-23497

CVE-2023-23505

CVE-2023-23518

CVE-2023-23517

CVE-2023-23508

+ About the security content of watchOS 9.3

https://support.apple.com/ja-jp/HT213599

CVE-2023-23499

CVE-2023-23519

CVE-2023-23500

CVE-2023-23502

CVE-2023-23504

CVE-2023-23503

CVE-2023-23512

CVE-2023-23505

CVE-2023-23511

CVE-2023-23496

CVE-2023-23518

CVE-2023-23517

+ About the security content of iOS 15.7.3 and iPadOS 15.7.3

https://support.apple.com/ja-jp/HT213598

CVE-2023-23500

CVE-2023-23504

CVE-2023-23498

CVE-2023-23503

CVE-2023-23505

+ About the security content of iOS 16.3 and iPadOS 16.3

https://support.apple.com/ja-jp/HT213606

CVE-2023-23499

CVE-2023-23519

CVE-2023-23500

CVE-2023-23502

CVE-2023-23504

CVE-2023-23498

CVE-2023-23503

CVE-2023-23512

CVE-2023-23505

CVE-2023-23511

CVE-2023-23496

CVE-2023-23518

CVE-2023-23517

+ About the security content of macOS Ventura 13.2

https://support.apple.com/ja-jp/HT213605

CVE-2023-23499

CVE-2022-42915

CVE-2022-42916

CVE-2022-32221

CVE-2022-35260

CVE-2023-23513

CVE-2023-23493

CVE-2023-23519

CVE-2023-23507

CVE-2023-23500

CVE-2023-23502

CVE-2023-23504

CVE-2023-23506

CVE-2023-23498

CVE-2023-23503

CVE-2023-23497

CVE-2023-23510

CVE-2023-23512

CVE-2023-23505

CVE-2022-3705

CVE-2023-23511

CVE-2023-23496

CVE-2023-23518

CVE-2023-23517

CVE-2023-23501

CVE-2023-23508

+ Mozilla Thunderbird 102.7.0 released

https://www.thunderbird.net/en-US/thunderbird/102.7.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-03 Security Vulnerabilities fixed in Thunderbird 102.7

https://www.mozilla.org/en-US/security/advisories/mfsa2023-03/

CVE-2022-46871

CVE-2023-23598

CVE-2023-23599

CVE-2023-23601

CVE-2023-23602

CVE-2022-46877

CVE-2023-23603

CVE-2023-23605

+ UPDATE: Oracle Critical Patch Update Advisory - January 2023

https://www.oracle.com/security-alerts/cpujan2023.html

+ Postfix stable release 3.7.4 and legacy releases 3.6.8, 3.5.18, 3.4.28

http://www.postfix.org/announcements/postfix-3.7.4.html

+ (悪用には前提条件あり)　”sudo -e”オプション(sudoedit)の脆弱性(Important: CVE-2023-22809)

https://security.sios.jp/vulnerability/sudo-security-vulnerability-20230120/

CVE-2023-22809

JVN#72418815 Pgpool-II における情報漏えいの脆弱性

http://jvn.jp/jp/JVN72418815/index.html

JVNVU#97195023 コンテック製CONPROSYS HMI System (CHS)における複数のSQLインジェクションの脆弱性

http://jvn.jp/vu/JVNVU97195023/index.html

JVNVU#95910765 Hitachi Energy製PCU400における脆弱なOSSコンポーネントへの依存の問題

http://jvn.jp/vu/JVNVU95910765/index.html

piyokangoの週刊システムトラブル

SUBARUのディーラーがシステム障害で発注できない状態に、直前の改修が影響か

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100199/?ST=nxt_thmit_security

記者の眼

コロナ下に進化していたデジタルでの入国手続きを体験、でもまだ残る「壁」

https://xtech.nikkei.com/atcl/nxt/column/18/00138/012301207/?ST=nxt_thmit_security

タカミヤがLockBitに感染、ベトナム拠点が不正アクセス受ける

https://xtech.nikkei.com/atcl/nxt/news/18/14498/?ST=nxt_thmit_security

北関東マツダから約5万件の個人情報が流出か、委託先サーバーに不正アクセス

https://xtech.nikkei.com/atcl/nxt/news/18/14486/?ST=nxt_thmit_security

2023年1月20日金曜日

20日金曜日、仏滅

+ Apache Tomcat 8.5.85 Released

https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.85_(schultz)

+ UPDATE: JVNVU#99928083 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU99928083/index.html

+ ”sudo -e”オプション(sudoedit)の脆弱性(Important: CVE-2023-22809)

https://security.sios.jp/vulnerability/sudo-security-vulnerability-20230120/

CVE-2023-22809

2023年1月19日木曜日

19日木曜日、先負

+ RHSA-2023:0261 Critical: Satellite 6.12.1 Async Security Update

https://access.redhat.com/errata/RHSA-2023:0261

CVE-2022-32224

CVE-2022-42889

+ RHSA-2023:0200 Moderate: java-11-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0200

CVE-2023-21835

CVE-2023-21843

+ RHSA-2023:0192 Moderate: java-17-openjdk security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0192

CVE-2023-21835

CVE-2023-21843

+ Wireshark 4.0.3, 3.6.11 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.3.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.11.html

+ Sudo 1.9.12p2 released

https://www.sudo.ws/releases/stable#1.9.12p2

+ JVNVU#99928083 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU99928083/index.html

JVNVU#97719125 TP-Link製ルータにおける複数の脆弱性

http://jvn.jp/vu/JVNVU97719125/index.html

JVNVU#98520511 Netcomm製ルータにおける複数の脆弱性

http://jvn.jp/vu/JVNVU98520511/index.html

JVNVU#99673580 三菱電機製MELSECシリーズのWEBサーバ機能における認証回避の脆弱性

http://jvn.jp/vu/JVNVU99673580/index.html

JVNVU#92701384 GE Digital製Proficy Historianにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92701384/index.html

JVNVU#96498348 複数の三洋電機製CCTVネットワークカメラにおけるクロスサイトリクエストフォージェリの脆弱性

http://jvn.jp/vu/JVNVU96498348/index.html

JVNVU#90782730 Siemens製品に対するアップデート（2023年1月）

http://jvn.jp/vu/JVNVU90782730/index.html

ニュース＆リポート

政府デジタル予算は1.2兆円　デジタル庁の一括計上は200億円増

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/011200831/?ST=nxt_thmit_security

ニュース＆リポート

双日・日清・小学館らが続々と脱PPAP　これから求められるのは安全＋利便性

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/011200832/?ST=nxt_thmit_security

ニュース＆リポート

データ復旧依頼のトラブル回避へ　5団体がチェックシートを公開

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/011200834/?ST=nxt_thmit_security

2023年1月18日水曜日

18日水曜日、友引

+ Mozilla Firefox 109.0 released

https://www.mozilla.org/en-US/firefox/109.0/releasenotes/

+ Mozilla Foundation Security Advisory 2023-01 Security Vulnerabilities fixed in Firefox 109

https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

CVE-2023-23597

CVE-2023-23598

CVE-2023-23599

CVE-2023-23600

CVE-2023-23601

CVE-2023-23602

CVE-2023-23603

CVE-2023-23604

CVE-2023-23605

CVE-2023-23606

+ Oracle Critical Patch Update Advisory - January 2023

https://www.oracle.com/security-alerts/cpujan2023.html

+ Apache HTTP Server 2.4.55 released

https://downloads.apache.org/httpd/Announcement2.4.html

+ VU#572615 Vulnerabilities in TP-Link routers, WR710N-V1-151022 and Archer C5 V2

https://www.kb.cert.org/vuls/id/572615

CVE-2022-4498

CVE-2022-4499

+ VU#986018 New Netcomm router models NF20MESH, NF20, and NL1902 vulnerabilities

https://www.kb.cert.org/vuls/id/986018

CVE-2022-4873

CVE-2022-4874

+ Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)

https://security.sios.jp/vulnerability/apache-security-vulnerability-20230118/

CVE-2006-20001

CVE-2022-36760

CVE-2022-37436

JVNVU#99673580 三菱電機製MELSECシリーズのWEBサーバ機能における認証回避の脆弱性

http://jvn.jp/vu/JVNVU99673580/index.html

JVN#31073333 WordPress 用プラグイン Welcart e-Commerce におけるディレクトリトラバーサルの脆弱性

http://jvn.jp/jp/JVN31073333/index.html

ニュース解説

鴻池運輸がセキュリティー対策を強化、EDR・SWG・IDP・サイバー衛生で防御

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07589/?ST=nxt_thmit_security

2023年1月17日火曜日

17日火曜日、先勝

+ RHSA-2023:0167 Important: dpdk security update

https://access.redhat.com/errata/RHSA-2023:0167

CVE-2022-2132

+ RHSA-2023:0173 Moderate: libxml2 security update

https://access.redhat.com/errata/RHSA-2023:0173

CVE-2022-40303

CVE-2022-40304

+ RHSA-2023:0171 Important: dpdk security update

https://access.redhat.com/errata/RHSA-2023:0171

CVE-2022-2132

日経コンピュータ「動かないコンピュータ」

全システムがランサムウエア感染　身代金は支払わず2カ月超で再構築

ならコープ

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/011200124/?ST=nxt_thmit_security

記者の眼

世界で紛争・緊張が続く2023年、ITに台湾有事と「超限戦」への備えはあるか

https://xtech.nikkei.com/atcl/nxt/column/18/00138/011301197/?ST=nxt_thmit_security

ニュース解説

LINE使う住民票受け取りサービスは「適法ではない」、問われる厳格な本人確認

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07579/?ST=nxt_thmit_security

2023年1月16日月曜日

16日月曜日、赤口

+ RHSA-2023:0123 Important: kpatch-patch security update

https://access.redhat.com/errata/RHSA-2023:0123

CVE-2022-2964

CVE-2022-4139

+ RHSA-2023:0116 Moderate: libtasn1 security update

https://access.redhat.com/errata/RHSA-2023:0116

CVE-2021-46848

+ RHSA-2023:0113 Moderate: postgresql:10 security update

https://access.redhat.com/errata/RHSA-2023:0113

CVE-2022-2625

+ RHSA-2023:0110 Moderate: sqlite security update

https://access.redhat.com/errata/RHSA-2023:0110

CVE-2022-35737

+ RHSA-2023:0103 Moderate: expat security update

https://access.redhat.com/errata/RHSA-2023:0103

CVE-2022-43680

+ RHSA-2023:0100 Moderate: systemd security and bug fix update

https://access.redhat.com/errata/RHSA-2023:0100

CVE-2022-3821

+ RHSA-2023:0096 Moderate: dbus security update

https://access.redhat.com/errata/RHSA-2023:0096

CVE-2022-42010

CVE-2022-42011

CVE-2022-42012

+ RHSA-2023:0089 Moderate: libreoffice security update

https://access.redhat.com/errata/RHSA-2023:0089

CVE-2022-3140

CVE-2022-26305

CVE-2022-26306

CVE-2022-26307

+ RHSA-2023:0087 Moderate: usbguard security update

https://access.redhat.com/errata/RHSA-2023:0087

CVE-2019-25058

+ RHSA-2023:0079 Moderate: .NET 6.0 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2023:0079

CVE-2023-21538

+ RHSA-2023:0076 Moderate: Red Hat Ceph Storage 5.3 security update and Bug Fix

https://access.redhat.com/errata/RHSA-2023:0076

CVE-2022-24785

+ Apache Tomcat 10.1.5, 9.0.71 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.5_(markt)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.71_(remm)

+ Kernel Page Table Isolation（KPTI）下でKALSRを破る脆弱性(EntryBleed: Important: CVE-2022-4543)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20230114/

CVE-2022-4543

JVNVU#92713302 Sewio製RTLS Studioにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92713302/index.html

JVNVU#95533682 RONDS製Equipment Predictive Maintenanceにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95533682/index.html

JVNVU#93687472 InHand Networks製ルーターInRouterにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93687472/index.html

JVNVU#95531475 SAUTER Controls製Nova 200-220シリーズにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95531475/index.html

JVNVU#92037839 Johnson Controls製Metasysにおける認証情報の不十分な保護の脆弱性

http://jvn.jp/vu/JVNVU92037839/index.html

JVNVU#96282319 Hitachi Energy製Lumada APMにおける不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU96282319/index.html

JVNVU#90782730 Siemens製品に対するアップデート（2023年1月）

http://jvn.jp/vu/JVNVU90782730/index.html

フォーカス

クラウド最適化が脚光　23年の注目IT基盤

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/011000134/?ST=nxt_thmit_security

2023年1月13日金曜日

13日金曜日、先負

+ Oracle Critical Patch Update Pre-Release Announcement - January 2023

https://www.oracle.com/security-alerts/cpujan2023.html

+ Linux KernelのnfsでリモートDoSの脆弱性(Important: CVE-2022-4379)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20230112/

CVE-2022-4379

+ 2023 年 1 月のセキュリティ更新プログラム (月例)

https://msrc-blog.microsoft.com/2023/01/10/202301-security-update/

JVN#57296685 ピクセラ製 PIX-RT100 における複数の脆弱性

http://jvn.jp/jp/JVN57296685/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

1年半で1億ドルの身代金を強奪　恐ろしい「Hiveランサムウエア」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/010400098/?ST=nxt_thmit_security

日経コンピュータ中田敦のGAFA深読み

AWS re:Inventで新発表64件　記者が注目したトップ3

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100111/010400089/?ST=nxt_thmit_security

3分でわかる必修ワード IT

AIで学びの個別最適化を実現、「適応学習」とは

適応学習（Adaptive Learning）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/122200219/?ST=nxt_thmit_security

動かないコンピュータ

ランサムウエア被害のならコープ、身代金は支払わずシステム再構築に2カ月超

https://xtech.nikkei.com/atcl/nxt/column/18/01157/011200078/?ST=nxt_thmit_security

大森敏行のプログラミングで行こう

疑似量子に量子インスパイアード、「本物」の量子コンピューターと何が違う？

https://xtech.nikkei.com/atcl/nxt/column/18/00682/011000107/?ST=nxt_thmit_security

個人情報保護委員会が破産者サイトを刑事告発、2022年11月の停止命令を無視

https://xtech.nikkei.com/atcl/nxt/news/18/14429/?ST=nxt_thmit_security

Open vSwitchの脆弱性(Moderate: CVE-2022-4337, CVE-2022-4338)

https://security.sios.jp/vulnerability/openvswitch-security-vulnerability-20230112/

2023年1月12日木曜日

12日木曜日、友引

+ RHSA-2023:0079 Moderate: .NET 6.0 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2023:0079

CVE-2023-21538

+ RHSA-2023:0076 Moderate: Red Hat Ceph Storage 5.3 security update and Bug Fix

https://access.redhat.com/errata/RHSA-2023:0076

CVE-2022-24785

JVN#99957889 MAHO-PBX NetDevancerシリーズにおける複数の脆弱性

http://jvn.jp/jp/JVN99957889/index.html

JVNVU#93704047 CLUSTERPRO Xにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93704047/index.html

JVNVU#91744508 オムロン製CX-Motion-MCHにおける初期化されていないポインタへアクセスする脆弱性

http://jvn.jp/vu/JVNVU91744508/index.html

JVNVU#97575890 オムロン製CP1L-EL20DR-Dに利用可能なデバッグ機能が存在している脆弱性

http://jvn.jp/vu/JVNVU97575890/index.html

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92877622/index.html

JVN#03832974 pgAdmin 4 におけるオープンリダイレクトの脆弱性

http://jvn.jp/jp/JVN03832974/index.html

JVN#78481846 TP-Link SG105PE における認証回避の脆弱性

http://jvn.jp/jp/JVN78481846/index.html

JVNVU#94327726 Intel製oneAPIツールキットにおける権限昇格の脆弱性

http://jvn.jp/vu/JVNVU94327726/index.html

JVNVU#90782730 Siemens製品に対するアップデート（2023年1月）

http://jvn.jp/vu/JVNVU90782730/index.html

JVNVU#94394798 Black Box製KVMエクステンダにおけるディレクトリトラバーサルの脆弱性

http://jvn.jp/vu/JVNVU94394798/index.html

JVNVU#95499848 Siemens 製品に対するアップデート（2020年4月）

http://jvn.jp/vu/JVNVU95499848/index.html

大阪急性期・総合医療センター、通常診療に関わるシステムが完全復旧

https://xtech.nikkei.com/atcl/nxt/news/18/14421/?ST=nxt_thmit_security

アフラックの個人情報130万人分が流出、外部委託業者が不正アクセス受け

https://xtech.nikkei.com/atcl/nxt/news/18/14419/?ST=nxt_thmit_security

2023年1月11日水曜日

11日水曜日、先勝

+ Google Chrome 109.0.5414.74/.75, 108.0.5359.179 released

https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2023/01/extended-stable-channel-update-for.html

+ Apache Ant 1.10.13 Released

https://ant.apache.org/bindownload.cgi

勝村幸博の「今日も誰かが狙われる」

スマホの通話を「加速度センサー」で盗聴、イヤースピーカーのかすかな振動を捉える

https://xtech.nikkei.com/atcl/nxt/column/18/00676/010500124/?ST=nxt_thmit_security

ニュース解説

「リアルでぞっとする」、100組織のCSIRTが挑んだサイバー演習の攻撃シナリオとは

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07570/?ST=nxt_thmit_security

伊藤忠商事、グループのサイバーセキュリティー強化に向け子会社設立へ

https://xtech.nikkei.com/atcl/nxt/news/18/14417/?ST=nxt_thmit_security

Books

身代金は支払ってもよい？『ランサムウエアから会社を守る～身代金支払いの是非から事前の防御計画まで』

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00254/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

2023年に注意すべきサイバー攻撃とシステム障害、前年振り返りからピックアップ

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100197/?ST=nxt_thmit_security

JVNVU#91740661 OpenAM Web Policy Agent (OpenAMコンソーシアム版)におけるパストラバーサル脆弱性

http://jvn.jp/vu/JVNVU91740661/index.html

JVNVU#96873821 コンテック製CONPROSYS HMI System (CHS)における複数の脆弱性

http://jvn.jp/vu/JVNVU96873821/index.html

2023年1月10日火曜日

10日火曜日、赤口

+ RHSA-2023:0045 Important: tigervnc security update

https://access.redhat.com/errata/RHSA-2023:0045

CVE-2022-4283

CVE-2022-46340

CVE-2022-46341

CVE-2022-46342

CVE-2022-46343

CVE-2022-46344

+ RHSA-2023:0050 Moderate: nodejs:14 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2023:0050

CVE-2021-44906

CVE-2022-0235

CVE-2022-3517

CVE-2022-24999

CVE-2022-43548

+ RHSA-2023:0049 Moderate: grub2 security update

https://access.redhat.com/errata/RHSA-2023:0049

CVE-2022-2601

CVE-2022-3775

+ Linux KernelのSYSCTLサブシステムでスタックオーバーフローの脆弱性(Important: CVE-2022-4378)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20230107/

CVE-2022-4378

JVNVU#99602271 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU99602271/index.html

JVN#55675303 デジタルアーツ製 m-FILTER における認証不備の脆弱性

http://jvn.jp/jp/JVN55675303/index.html

2023年1月6日金曜日

6日金曜日、友引

+ Mozilla Firefox 108.0.2 released

https://www.mozilla.org/en-US/firefox/108.0.2/releasenotes/

+ PHP 8.2.1, 8.1.14, 8.0.27 released

https://www.php.net/ChangeLog-8.php#8.2.1

https://www.php.net/ChangeLog-8.php#8.1.14

https://www.php.net/ChangeLog-8.php#8.0.27

マルウエア徹底解剖

ランサム攻撃の前兆となるマルウエア

［第38回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/121900039/?ST=nxt_thmit_security

サイバーレジリエンスの向上を、トレンドマイクロが2022年を総括

https://xtech.nikkei.com/atcl/nxt/news/18/14406/?ST=nxt_thmit_security

JVN#16765254 ruby-git における複数のコードインジェクションの脆弱性

http://jvn.jp/jp/JVN16765254/index.html

2023年1月5日木曜日

5日木曜日、先勝

+ RHSA-2023:0016 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2023:0016

CVE-2022-42856

+ RHSA-2023:0021 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2023:0021

CVE-2022-42856

+ UPDATE: JVNVU#92183876 Apache TomcatのJsonErrorReportValveにおけるエスケープ処理不備の問題

http://jvn.jp/vu/JVNVU92183876/index.html

+ UPDATE: JVNVU#98868043 Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU98868043/index.html

ニュース＆リポート

パスワードレスへの切り札か　「パスキー」認証の対応進む

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/122600827/?ST=nxt_thmit_security

日経コンピュータ「ITが危ない」

日本企業がGDPRの摘発対象に　顧客システムの情報漏洩で制裁金

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/122600096/?ST=nxt_thmit_security

渋谷区HPのアクセス障害が継続中、「アノニマス」が犯行声明

https://xtech.nikkei.com/atcl/nxt/news/18/14400/?ST=nxt_thmit_security

2023年1月4日水曜日

4日水曜日、赤口

+ Apache Tomcatの脆弱性(Low: CVE-2022-45143)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20230104/

CVE-2022-45143

新春IT大予測2023

ランサムウエア脅威は続く

セキュリティー

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121900332/121900010/?ST=nxt_thmit_security

新春IT大予測2023

「超限戦」に備えよ

社会リスク

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121900332/121900001/?ST=nxt_thmit_security

ニュース解説

日清・双日・小学館らが続々と脱PPAP、2023年に求められるのは安全＋利便性

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07551/?ST=nxt_thmit_security

新春IT大予測2023

［社会リスク編］企業が2023年に備えるべき、デジタル分野2つのリスクはこれ

https://xtech.nikkei.com/atcl/nxt/column/18/02317/122600001/?ST=nxt_thmit_security

NEWS pickup ＆ digest

NEWS pickup＆digest（2022/11/10～12/8）

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800011/121900062/?ST=nxt_thmit_security

2022年12月29日木曜日

29日木曜日、赤口

+ パニック注意：Linux Kernelのksmbdの脆弱性(Critical: CVE-2022-47939, CVE-2022-47940, CVE-2022-47942, Moderate: CVE-2022-47938, CVE-2022-47941)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221228/

CVE-2022-47939

CVE-2022-47940

CVE-2022-47942

CVE-2022-47938

CVE-2022-47941

JVNVU#90679513 富士電機製V-SFTおよびTELLUSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90679513/index.html

JVNVU#92811888 富士電機製V-Serverにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92811888/index.html

日経NETWORK 特別リポート

スパイも驚く「Wi-Peep」の正体

防犯カメラや警備員の場所をドローンで特定

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/121900060/?ST=nxt_thmit_security

NEWS close-up

フィッシングに悪用される国内ブランドが明らかに

全世界で「au」が7位にランキング　ccTLDとの一致が原因の可能性

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900196/?ST=nxt_thmit_security

NEWS close-up

ディープフェイクを見破る新手法

「恐竜の鳴き声を再現する手法」を応用　99.9％の精度で偽物音声を判別

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900195/?ST=nxt_thmit_security

2022年アクセスランキング

［ITセキュリティ］国内の病院を襲ったランサムウエア、マイナカード関連も上位に

https://xtech.nikkei.com/atcl/nxt/column/18/02293/00012/?ST=nxt_thmit_security

徹底理解「TLS」

過去に遡る情報窃取を阻止、TLS 1.3が重視する「前方秘匿性」とは何か

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900004/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

ネットに接続していないPCから情報窃取、低周波の電磁波を壁越しにスマホで傍受

https://xtech.nikkei.com/atcl/nxt/column/18/00676/122000123/?ST=nxt_thmit_security

ソフトバンクから営業秘密の持ち出し、被告側は東京地裁判決を不服として控訴

https://xtech.nikkei.com/atcl/nxt/news/18/14391/?ST=nxt_thmit_security

2022年12月27日火曜日

27日火曜日、仏滅

NEWS close-up

病院を襲ったランサムウエア攻撃の真相

委託事業者のデータセンター経由で感染拡大　2023年1月の完全復旧を目指す

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121900194/?ST=nxt_thmit_security

徹底理解「TLS」

100種類以上あった「暗号スイート」をたった5種類に、TLS 1.3が互換性を捨てたワケ

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900003/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

無線LANのフルノシステムズで個人情報流出か、50倍増のアクセス数で判明

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100196/?ST=nxt_thmit_security

富士通の法人向けネット回線サービス「FENICS」に不正アクセス、TKCなど被害

https://xtech.nikkei.com/atcl/nxt/news/18/14389/?ST=nxt_thmit_security

2022年12月26日月曜日

26日月曜日、先負

piyokangoの月刊システムトラブル

ノートンが銀行アプリを「警告」再インストールを呼びかけ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/121900046/?ST=nxt_thmit_security

ネスペ試験で学ぶネットワーク技術のキホン

OP25B

［第10回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031500132/121900010/?ST=nxt_thmit_security

Books

インサイドWindows、起動処理の理解はトラブル診断の第一歩

ついに完結した「インサイドWindows」第7版の要点［13］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00289/?ST=nxt_thmit_security

徹底理解「TLS」

10年ぶりに登場した新版のTLS 1.3、「ハンドシェイク」を省略できる理由

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900002/?ST=nxt_thmit_security

あと3年使うぞ！Windows 10

古いWindows 10パソコンがもったいない、Windows 11から自由に操作する方法

https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800015/?ST=nxt_thmit_security

JVNVU#96679793 Trend Micro Apex OneおよびTrend Micro Apex One SaaSにおける複数の脆弱性

http://jvn.jp/vu/JVNVU96679793/index.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性

http://jvn.jp/vu/JVNVU96883262/index.html

JVNVU#95032760 Priva製TopControl Suiteにおける強度が不十分なパスワードハッシュの使用の脆弱性

http://jvn.jp/vu/JVNVU95032760/index.html

JVNVU#99558552 Rockwell Automation製Studio 5000 Logix Emulateにおける不適切なアクセス制御の脆弱性

http://jvn.jp/vu/JVNVU99558552/index.html

2022年12月23日金曜日

23日金曜日、赤口

+ Dovecot v2.3.20 released

https://dovecot.org/pipermail/dovecot-news/2022-December/000479.html

JVNVU#96883262 三菱電機製MELSEC iQ-RシリーズおよびMELIPCシリーズのEthernetポートにおけるリソースの不適切なシャットダウンおよびリリースの脆弱性

http://jvn.jp/vu/JVNVU96883262/index.html

徹底理解「TLS」

セキュリティープロトコル「TLS」の古いバージョンが使用禁止に、なぜ危ないのか

https://xtech.nikkei.com/atcl/nxt/column/18/02306/121900001/?ST=nxt_thmit_security

2022年12月22日木曜日

22日木曜日、先負

+ CVE-2022-43552: HTTP Proxy deny use-after-free

https://curl.se/docs/CVE-2022-43552.html

CVE-2022-43552

+ CVE-2022-43551: Another HSTS bypass via IDN

https://curl.se/docs/CVE-2022-43551.html

CVE-2022-43551

+ Mozilla Foundation Security Advisory 2022-54 Security Vulnerabilities fixed in Thunderbird 102.6.1

https://www.mozilla.org/en-US/security/advisories/mfsa2022-54/

CVE-2022-46874

+ ISC BIND 9.18.10, 9.16.36 released

https://downloads.isc.org/isc/bind9/9.18.10/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.16.36/doc/arm/html/notes.html

ニュース＆リポート

尼崎市は発注者の義務を果たしたか　USB紛失事案の報告書を読み解く

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300819/?ST=nxt_thmit_security

ニュース＆リポート

富士フイルムが本気のゼロトラスト　EDRとSIEMに続き、SASEも導入予定

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300824/?ST=nxt_thmit_security

ニュース＆リポート

大阪の病院がランサムウエア被害　不正ログインの横展開に注意

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121300821/?ST=nxt_thmit_security

JVNVU#93317778 ARC Informatique製PcVueにおける複数の脆弱性

http://jvn.jp/vu/JVNVU93317778/index.html

JVNVU#90957471 富士電機製Tellus Lite V-Simulatorにおける複数の脆弱性

http://jvn.jp/vu/JVNVU90957471/index.html

JVNVU#97518052 複数のRockwell Automation製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97518052/index.html

JVNVU#90162908 Delta Electronics製4G Router DX-3021におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU90162908/index.html

JVN#29902403 Squirrel.Windows で生成したインストーラにおける DLL 読み込みに関する脆弱性

http://jvn.jp/jp/JVN29902403/index.html

JVN#43561812 スマートフォンアプリ「＋メッセージ（プラスメッセージ）」における Unicode 制御文字の扱いに関する脆弱性

http://jvn.jp/jp/JVN43561812/index.html

libksbaの脆弱性(CVE-2022-47629)

https://security.sios.jp/vulnerability/libksba-security-vulnerability-20221222/

2022年12月21日水曜日

21日水曜日、友引

+ Gpg4win 4.1.0 released

https://www.gpg4win.org/change-history.html

+ Mozilla Thunderbird 102.6.1 released

https://www.thunderbird.net/en-US/thunderbird/102.6.1/releasenotes/

+ UPDATE: Integer Overflow in LibKSBA / GnuPG

https://gnupg.org/blog/20221017-pepe-left-the-ksba.html

2022年12月20日火曜日

20日火曜日、先勝

UPDATE: JVN#13075438 コーレル製 Roxio SAIB サービスによって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

http://jvn.jp/jp/JVN13075438/index.html

JVNVU#92689335 オムロン製CX-Driveにおける解放済みメモリ使用（use-after-free）の脆弱性

http://jvn.jp/vu/JVNVU92689335/index.html

JVN#06093462 Zenphoto におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN06093462/index.html

piyokangoの週刊システムトラブル

子会社でランサムウエア被害の加賀電子、拠点データを使って10日ほどでほぼ復旧

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100195/?ST=nxt_thmit_security

ニュース解説

データ復旧費用や契約のトラブル回避へ、5団体がベンダーチェックシートを公開

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07521/?ST=nxt_thmit_security

2022年12月19日月曜日

19日月曜日、赤口

+ RHSA-2022:9079 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9079

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9072

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:9073

CVE-2021-44531

CVE-2021-44532

CVE-2021-44533

CVE-2021-44906

CVE-2022-3517

CVE-2022-21824

CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9067

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update

https://access.redhat.com/errata/RHSA-2022:9058

CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9080

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ Mozilla Firefox 108.0.1 released

https://www.mozilla.org/en-US/firefox/108.0.1/releasenotes/

+ VMSA-2022-0034 VMware vRealize Operations (vROps) updates address privilege escalation vulnerabilities (CVE-2022-31707, CVE-2022-31708)

https://www.vmware.com/security/advisories/VMSA-2022-0034.html

CVE-2022-31707

CVE-2022-31708

UPDATE: JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96195138/index.html

キーワード

プリハイジャック攻撃（Pre-hijacking Attacks）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/121200130/?ST=nxt_thmit_security

木村岳史の極言暴論！

BIPROGYの報告書もザルだった、尼崎市「泥酔USB紛失事件」はこれで幕引きか

https://xtech.nikkei.com/atcl/nxt/column/18/00148/121600263/?ST=nxt_thmit_security

佐野正弘が斬る！ニュースなアプリの裏側

iPhoneやAndroid端末が採用する「パスキー」、パスワードレス認証普及の課題とは

https://xtech.nikkei.com/atcl/nxt/column/18/00086/00240/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

Emotetは何度も復活する　「コンテンツの有効化」なしで感染

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

mod_auth_openidcの脆弱性(Moderate: CVE-2022-23527)

https://security.sios.jp/vulnerability/mod-auth-openidc-security-vulnerability-20221217/

2022年12月16日金曜日

16日金曜日、先負

+ RHSA-2022:9079 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9079

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9072 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9072

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9073 Moderate: nodejs:16 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:9073

CVE-2021-44531

CVE-2021-44532

CVE-2021-44533

CVE-2021-44906

CVE-2022-3517

CVE-2022-21824

CVE-2022-43548

+ RHSA-2022:9067 Important: firefox security update

https://access.redhat.com/errata/RHSA-2022:9067

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ RHSA-2022:9058 Important: prometheus-jmx-exporter security update

https://access.redhat.com/errata/RHSA-2022:9058

CVE-2022-1471

+ RHSA-2022:9080 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2022:9080

CVE-2022-45414

CVE-2022-46872

CVE-2022-46874

CVE-2022-46878

CVE-2022-46880

CVE-2022-46881

CVE-2022-46882

+ X.orgに複数の脆弱性(Important: CVE-2022-4283, CVE-2022-46340, CVE-2022-46343, CVE-2022-46344)

https://security.sios.jp/vulnerability/xorg-security-vulnerability-20221216/

CVE-2022-4283

CVE-2022-46340

CVE-2022-46343

CVE-2022-46344

JVNVU#92877622 オムロン製CX-Programmerにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92877622/index.html

JVNVU#96195138 シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96195138/index.html

JVN#96321933 電子入札コアシステムにおける複数の脆弱性

http://jvn.jp/jp/JVN96321933/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

Emotetは何度も復活する　「コンテンツの有効化」なしで感染

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120700097/?ST=nxt_thmit_security

2022年12月15日木曜日

15日木曜日、友引

+ RHSA-2022:8958 Important: bcel security update

https://access.redhat.com/errata/RHSA-2022:8958

CVE-2022-42920

+ About the security content of iCloud for Windows 14.1

https://support.apple.com/ja-jp/HT213538

CVE-2022-46693

CVE-2022-46698

+ About the security content of Safari 16.2

https://support.apple.com/ja-jp/HT213537

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

+ About the security content of macOS Monterey 12.6.2

https://support.apple.com/ja-jp/HT213533

CVE-2022-42854

CVE-2022-42821

CVE-2022-32942

CVE-2022-42861

CVE-2022-42864

CVE-2022-46689

CVE-2022-42845

CVE-2022-42842

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42855

CVE-2022-42841

+ About the security content of macOS Big Sur 11.7.2

https://support.apple.com/ja-jp/HT213534

CVE-2022-42821

CVE-2022-32942

CVE-2022-42864

CVE-2022-46689

CVE-2022-42845

CVE-2022-42842

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42841

+ About the security content of tvOS 16.2

https://support.apple.com/ja-jp/HT213535

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42848

CVE-2022-46693

CVE-2022-42851

CVE-2022-42864

CVE-2022-46690

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42845

CVE-2022-40303

CVE-2022-40304

CVE-2022-42855

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

+ About the security content of watchOS 9.2

https://support.apple.com/ja-jp/HT213536

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42859

CVE-2022-46693

CVE-2022-42864

CVE-2022-46690

CVE-2022-42837

CVE-2022-46689

CVE-2022-42842

CVE-2022-42845

CVE-2022-40303

CVE-2022-40304

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

+ About the security content of iOS 15.7.2 and iPadOS 15.7.2

https://support.apple.com/ja-jp/HT213531

CVE-2022-46694

CVE-2022-42848

CVE-2022-42861

CVE-2022-42846

CVE-2022-42864

CVE-2022-42837

CVE-2022-46689

CVE-2022-40303

CVE-2022-40304

CVE-2022-42840

CVE-2022-42855

CVE-2022-46695

CVE-2022-46691

CVE-2022-42852

CVE-2022-46692

CVE-2022-46700

CVE-2022-42856

+ About the security content of iOS 16.2 and iPadOS 16.2

https://support.apple.com/ja-jp/HT213530

CVE-2022-42843

CVE-2022-46694

CVE-2022-42865

CVE-2022-42848

CVE-2022-42859

CVE-2022-46702

CVE-2022-42850

CVE-2022-42846

CVE-2022-46693

CVE-2022-42851

CVE-2022-42864

CVE-2022-46690

CVE-2022-42837

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42861

CVE-2022-42844

CVE-2022-42845

CVE-2022-32943

CVE-2022-42840

CVE-2022-42855

CVE-2022-42862

CVE-2022-46695

CVE-2022-42849

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

+ About the security content of macOS Ventura 13.1

https://support.apple.com/ja-jp/HT213532

CVE-2022-42843

CVE-2022-42847

CVE-2022-42865

CVE-2022-42854

CVE-2022-42853

CVE-2022-42859

CVE-2022-32942

CVE-2022-46693

CVE-2022-42864

CVE-2022-46690

CVE-2022-46697

CVE-2022-42837

CVE-2022-46689

CVE-2022-46701

CVE-2022-42842

CVE-2022-42861

CVE-2022-42845

CVE-2022-32943

CVE-2022-42840

CVE-2022-42855

CVE-2022-42862

CVE-2022-24836

CVE-2022-29181

CVE-2022-46695

CVE-2022-42866

CVE-2022-42867

CVE-2022-46691

CVE-2022-46692

CVE-2022-42852

CVE-2022-46696

CVE-2022-46700

CVE-2022-46698

CVE-2022-46699

CVE-2022-42863

CVE-2022-42856

CVE-2022-42841

+ JVNVU#96155097 OpenSSLのX.509ポリシー制限における二重ロックの問題

http://jvn.jp/vu/JVNVU96155097/index.html

JVNVU#91561630 Siemens製品に対するアップデート（2022年12月）

http://jvn.jp/vu/JVNVU91561630/index.html

JVNVU#95905213 Schneider Electric製APC Easy UPS Online Monitoring Softwareにおける複数の脆弱性

http://jvn.jp/vu/JVNVU95905213/index.html

JVNVU#96873821 コンテック製CONPROSYS HMI System (CHS)におけるOSコマンドインジェクションの脆弱性

http://jvn.jp/vu/JVNVU96873821/index.html

UPDATE: JVNVU#92214181 Siemens製品に対するアップデート（2022年10月）

http://jvn.jp/vu/JVNVU92214181/index.html

UPDATE: JVNVU#91051134 Siemens 製品に対するアップデート (2021年5月)

http://jvn.jp/vu/JVNVU91051134/index.html

UPDATE: JVNVU#91685542 Siemens 製品に対するアップデート（2021年1月）

http://jvn.jp/vu/JVNVU91685542/index.html

UPDATE: JVNVU#97501786 Siemens 製品に対するアップデート（2020年6月）

http://jvn.jp/vu/JVNVU97501786/index.html

UPDATE: JVNVU#95499848 Siemens 製品に対するアップデート（2020年4月）

http://jvn.jp/vu/JVNVU95499848/index.html

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU95858406/index.html

JVNVU#94702422 三菱電機製MELSEC iQ-RシリーズEthernetインタフェースユニットにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU94702422/index.html

JVNVU#95633416 三菱電機製GOT2000シリーズのFTPサーバ機能における不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU95633416/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

http://jvn.jp/vu/JVNVU97244961/index.html

2022年12月14日水曜日

14日水曜日、先勝

+ Google Chrome 108.0.5359.124/.125 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_13.html

+ Mozilla Firefox 108.0 released

https://www.mozilla.org/en-US/firefox/108.0/releasenotes/

+ Mozilla Foundation Security Advisory 2022-51 Security Vulnerabilities fixed in Firefox 108

https://www.mozilla.org/en-US/security/advisories/mfsa2022-51/

CVE-2022-46871

CVE-2022-46872

CVE-2022-46873

CVE-2022-46874

CVE-2022-46875

CVE-2022-46877

CVE-2022-46878

CVE-2022-46879

+ Mozilla Foundation Security Advisory 2022-53 Security Vulnerabilities fixed in Thunderbird 102.6

https://www.mozilla.org/en-US/security/advisories/mfsa2022-53/

CVE-2022-46880

CVE-2022-46872

CVE-2022-46881

CVE-2022-46874

CVE-2022-46875

CVE-2022-46882

CVE-2022-46878

+ Mozilla Thunderbird 102.6.0 released

https://www.thunderbird.net/en-US/thunderbird/102.6.0/releasenotes/

+ Oracle Critical Patch Update Advisory - October 2022

https://www.oracle.com/security-alerts/cpuoct2022.html

+ VMSA-2022-0033 VMware ESXi, Workstation, and Fusion updates address a heap out-of-bounds write vulnerability (CVE-2022-31705)

https://www.vmware.com/security/advisories/VMSA-2022-0033.html

CVE-2022-31705

+ VMSA-2022-0032 VMware Workspace ONE Access and Identity Manager updates address multiple vulnerabilities (CVE-2022-31700, CVE-2022-31701).

https://www.vmware.com/security/advisories/VMSA-2022-0032.html

CVE-2022-31700

CVE-2022-31701

+ VMSA-2022-0031 VMware vRealize Network Insight (vRNI) updates address command injection and directory traversal security vulnerabilities (CVE-2022-31702, CVE-2022-31703)

https://www.vmware.com/security/advisories/VMSA-2022-0031.html

CVE-2022-31702

CVE-2022-31703

+ OpenSSL Security Advisory [13 December 2022]

https://www.openssl.org/news/secadv/20221213.txt

CVE-2022-3996

+ UPDATE: JVNVU#96381485 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU96381485/index.html

+ UPDATE: JVNVU#94306894 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU94306894/index.html

+ UPDATE: JVNVU#90813125 OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題

http://jvn.jp/vu/JVNVU90813125/index.html

+ UPDATE: JVNVU#99602154 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU99602154/index.html

+ JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性

http://jvn.jp/vu/JVNVU96768815/index.html

+ UPDATE: JVNVU#99612123 OpenSSLに複数の脆弱性

http://jvn.jp/vu/JVNVU99612123/index.html

+ UPDATE: JVNVU#97014415 Apache Tomcat に対するアップデート

http://jvn.jp/vu/JVNVU97014415/index.html

+ UPDATE: JVNVU#96136392 Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU96136392/index.html

+ UPDATE: JVNVU#94251682 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU94251682/index.html

+ UPDATE: JVNVU#97307781 Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性

http://jvn.jp/vu/JVNVU97307781/index.html

+ UPDATE: JVNVU#92184689 Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

http://jvn.jp/vu/JVNVU92184689/index.html

+ OpenSSLの脆弱性情報(Low: CVE-2022-3996)と新バージョン(3.0.8)

https://security.sios.jp/vulnerability/openssl-security-vulnerability-20221214/

CVE-2022-3996

JVNVU#95858406 三菱電機製GENESIS64のプロジェクト管理機能におけるパストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU95858406/index.html

JVN#60211811 Redmine におけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/jp/JVN60211811/index.html

UPDATE: JVNVU#92327282 コンテック製SolarView Compactにおける複数の脆弱性

http://jvn.jp/vu/JVNVU92327282/index.html

UPDATE: JVNVU#98487886 GRUB2 にバッファオーバーフローの脆弱性

http://jvn.jp/vu/JVNVU98487886/index.html

ニュース解説

iOSやAndroidに相次ぎ搭載、「パスキー」はパスワードレス普及の切り札になるか

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07497/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

1億ドルの身代金を1年半で強奪、全米が警戒する「Hiveランサムウエア」が怖い理由

https://xtech.nikkei.com/atcl/nxt/column/18/00676/120700122/?ST=nxt_thmit_security

ランサムウエア被害の大阪の病院、電子カルテ一部復旧で新規外来も12月下旬再開へ

https://xtech.nikkei.com/atcl/nxt/news/18/14304/?ST=nxt_thmit_security

2022年12月13日火曜日

13日火曜日、赤口

Books

インサイドWindows、仮想化ベースのセキュリティー「VBS」

ついに完結した「インサイドWindows」第7版の要点［8］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00259/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

有明コロシアムの図面などが流出か、都立スポーツ施設の工事業者にサイバー攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100194/?ST=nxt_thmit_security

尼崎市USB紛失でBIPROGYも調査報告書、「役職員のコンプライアンス意識が低い」

https://xtech.nikkei.com/atcl/nxt/news/18/14302/?ST=nxt_thmit_security

ランサムウエア被害の大阪急性期・総合医療センターで電子カルテが再稼働

https://xtech.nikkei.com/atcl/nxt/news/18/14296/?ST=nxt_thmit_security

2022年12月12日月曜日

12日月曜日、大安

+ VMSA-2022-0030 VMware ESXi and vCenter Server updates address multiple security vulnerabilities (CVE-2022-31696, CVE-2022-31697, CVE-2022-31698, CVE-2022-31699)

https://www.vmware.com/security/advisories/VMSA-2022-0030.html

CVE-2022-31696

CVE-2022-31697

CVE-2022-31698

CVE-2022-31699

+ Apache Tomcat 10.1.4 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.4_(markt)

+ PHP 8.2.0 released

https://www.php.net/ChangeLog-8.php#8.2.0

木村岳史の極言暴論！

尼崎市「泥酔USB紛失事件」のてんまつ、こんなひどい報告書を読んだのは初めてだ

https://xtech.nikkei.com/atcl/nxt/column/18/00148/120800261/?ST=nxt_thmit_security

楽天モバイル元社員に有罪判決、ソフトバンクから基地局情報などの持ち出しで

https://xtech.nikkei.com/atcl/nxt/news/18/14292/?ST=nxt_thmit_security

業績とサイバー防御力に相関関係、サイバーセキュリティクラウドが調査

https://xtech.nikkei.com/atcl/nxt/news/18/14284/?ST=nxt_thmit_security

JVNVU#92856810 Advantech製iViewにおけるSQLインジェクションの脆弱性

http://jvn.jp/vu/JVNVU92856810/index.html

JVNVU#99843134 AVEVA製InTouch Access Anywhereにおける相対パストラバーサルの脆弱性

http://jvn.jp/vu/JVNVU99843134/index.html

JVNVU#95644791 Rockwell Automation製Logixコントローラにおける不適切な入力確認の脆弱性

http://jvn.jp/vu/JVNVU95644791/index.html

JVNVU#97099584 バッファロー製ネットワーク機器における複数の脆弱性

http://jvn.jp/vu/JVNVU97099584/index.html

Buildahの脆弱性(Moderate: CVE-2022-4122, Low: CVE-2022-4123)

https://security.sios.jp/vulnerability/buildah-security-vulnerability-20221212/

2022年12月9日金曜日

9日金曜日、友引

+ RHSA-2022:8900 Important: grub2 security update

https://access.redhat.com/errata/RHSA-2022:8900

CVE-2022-28733

+ containerdの脆弱性(Moderate: CVE-2022-23471)と新バージョン(1.5.16, 1.6.12)

https://security.sios.jp/vulnerability/containerd-security-vulnerability-20221209/

CVE-2022-23471

3分でわかる必修ワード IT

アカウント乗っ取りの新手法、「プリハイジャック攻撃」の手口とは

プリハイジャック攻撃（Pre-hijacking Attacks）

https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/112200216/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

選管職員の7割が選挙DXに期待、インターネット投票には根強い懸念やリスク

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120700003/?ST=nxt_thmit_security

金沢西病院が不正アクセス被害を公表、電子カルテが一部閲覧できず

https://xtech.nikkei.com/atcl/nxt/news/18/14283/?ST=nxt_thmit_security

FacebookのVIP特別待遇に「重大な疑義」、監督委員会が是正勧告

https://xtech.nikkei.com/atcl/nxt/news/18/14279/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

マイナンバーカード取得の「実質義務化」はありか？法学者がマイナンバー制度を議論

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月8日木曜日

8日木曜日、先勝

+ RHSA-2022:8880 Moderate: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2022:8880

CVE-2022-21619

CVE-2022-21624

CVE-2022-21626

CVE-2022-21628

+ RHSA-2022:8850 Moderate: Red Hat OpenStack Platform 16.2.4 (python-ujson) security update

https://access.redhat.com/errata/RHSA-2022:8850

CVE-2022-31116

CVE-2022-31117

+ Google Chrome 108.0.5359.98/.99 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop_7.html

+ Wireshark 4.0.2, 3.6.10 released

https://www.wireshark.org/docs/relnotes/wireshark-4.0.2.html

https://www.wireshark.org/docs/relnotes/wireshark-3.6.10.html

情報ネットワーク法学会第22回研究大会リポート

マイナンバーカード取得の「実質義務化」はありか？法学者がマイナンバー制度を議論

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600002/?ST=nxt_thmit_security

2022年12月7日水曜日

7日水曜日、赤口

+ RHSA-2022:8799 Important: pki-core security update

https://access.redhat.com/errata/RHSA-2022:8799

CVE-2022-2414

+ RHSA-2022:8833 Moderate: nodejs:18 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8833

CVE-2022-3517

CVE-2022-43548

+ RHSA-2022:8832 Moderate: nodejs:18 security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2022:8832

CVE-2022-3517

CVE-2022-43548

+ FreeBSD 12.4-RELEASE released

https://www.freebsd.org/releases/12.4R/relnotes/

+ Linux Kernelの脆弱性(Moderate: CVE-2022-4127, CVE-2022-4128, CVE-2022-4129)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20221207/

CVE-2022-4127

CVE-2022-4128

CVE-2022-4129

+ VMware vCenter vScalation Privilege Escalation

https://cxsecurity.com/issue/WLB-2022120013

Books

インサイドWindows、「メモリマネージャー」が果たす2つの役割

ついに完結した「インサイドWindows」第7版の要点［6］

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00242/?ST=nxt_thmit_security

デジタルライフ節約術

100円均一ショップで買える、要注目のデジタル節約グッズを写真で紹介

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700005/?ST=nxt_thmit_security

あと3年使うぞ！Windows 10

Windows 10が見違える速さに！パソコンの無駄を省いてスッキリ

https://xtech.nikkei.com/atcl/nxt/column/18/02267/111800002/?ST=nxt_thmit_security

情報ネットワーク法学会第22回研究大会リポート

自社のランサムウエア被害が取引先に悪影響、損害賠償請求リスクはあるか

https://xtech.nikkei.com/atcl/nxt/column/18/02283/120600001/?ST=nxt_thmit_security

ニュース解説

フィッシングで狙われたブランド世界7位は「au」、あの国のドメインが影響か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07458/?ST=nxt_thmit_security

2022年12月6日火曜日

6日火曜日、大安

+ Zabbix 6.2.6, 6.0.12 released

https://www.zabbix.com/rn/rn6.2.6

https://www.zabbix.com/rn/rn6.0.12

+ Apache Tomcat 9.0.70 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.70_(remm)

デジタルライフ節約術

Amazonでのトラブルのもと、粗悪品や不審な販売業者を見分けるワザ

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700004/?ST=nxt_thmit_security

ニュース解説

半年で10万台にEDR導入、富士フイルムが挑む本気のゼロトラスト

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07452/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

奈良県の委託業者が「グループアドレス」を誤って公開、新型コロナ関連の個人情報流出

https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100193/?ST=nxt_thmit_security

快適メールクライアント利用術

誤字・脱字防止から攻撃メール対策まで、覚えておきたいメールテクニック

https://xtech.nikkei.com/atcl/nxt/column/18/02275/120100003/?ST=nxt_thmit_security

JVNVU#93526386 コンテック製SolarView Compactにおけるクロスサイトスクリプティングの脆弱性

http://jvn.jp/vu/JVNVU93526386/index.html

2022年12月5日月曜日

5日月曜日、仏滅

+ Google Chrome 108.0.5359.94/.95 released

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

+ ProFTPD 1.3.8, 1.3.7f released

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.8

http://www.proftpd.org/docs/RELEASE_NOTES-1.3.7f

JVNVU#99552838 BD製BodyGuardにおけるハードウェアインターフェイスに対する保護機構の欠如の脆弱性

http://jvn.jp/vu/JVNVU99552838/index.html

JVNVU#93417785 Horner Automation製Remote Compact Controller 972における複数の脆弱性

http://jvn.jp/vu/JVNVU93417785/index.html

JVNVU#91952379 複数のオムロン製 PLC における複数の脆弱性

http://jvn.jp/vu/JVNVU91952379/index.html

フォーカス

マイナカードは便利か？　鍵を握るのは「JPKI」

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/112400132/?ST=nxt_thmit_security

デジタルライフ節約術

大型セールやプライム会員を有効活用、Amazonの賢い使い方

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700003/?ST=nxt_thmit_security

ニュース解説

「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07453/?ST=nxt_thmit_security

2022年12月2日金曜日

2日金曜日、先勝

+ CESA-2022:8560 Important CentOS 7 hsqldb Security Update

https://lwn.net/Articles/916425/

+ CESA-2022:8640 Important CentOS 7 krb5 Security Update

https://lwn.net/Articles/916426/

+ CESA-2022:7186 Important CentOS 7 device-mapper-multipath Security Update

https://lwn.net/Articles/916423/

+ CESA-2022:8491 Important CentOS 7 xorg-x11-server Security Update

https://lwn.net/Articles/916428/

+ CESA-2022:8552 Important CentOS 7 firefox Security Update

https://lwn.net/Articles/916424/

+ CESA-2022:8555 Important CentOS 7 thunderbird Security Update

https://lwn.net/Articles/916427/

JVNVU#94514762 ユニモテクノロジー製デジタルビデオレコーダにおける複数の脆弱性

http://jvn.jp/vu/JVNVU94514762/index.html

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91847599/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

防犯カメラの位置をWi-Fiで特定　スパイも驚く「Wi-Peep」の正体

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/112400096/?ST=nxt_thmit_security

マルウエア徹底解剖

「YARA」で理解するシグネチャー

［第37回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111700038/?ST=nxt_thmit_security

デジタルライフ節約術

サブスクやスマホの有料オプション、無駄な固定費を見直そう

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700002/?ST=nxt_thmit_security

Books

コストと効果から考えるランサムウエア対策の優先順位

ランサムウエアから会社を守る（4）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00250/?ST=nxt_thmit_security

徹底考察、ブロックチェーンは人類を幸せにするのか

ブロックチェーン上のトークンは「証券」なのか、最新の米判決にみる日米の違い

https://xtech.nikkei.com/atcl/nxt/column/18/02132/112800010/?ST=nxt_thmit_security

快適メールクライアント利用術

いつものPCが使えないときはWebメール、まさかのときに役立つ事前セットアップ

https://xtech.nikkei.com/atcl/nxt/column/18/02275/113000002/?ST=nxt_thmit_security

2022年12月1日木曜日

1日木曜日、赤口

+ Mozilla Foundation Security Advisory 2022-50 Security Vulnerabilities fixed in Thunderbird 102.5.1

https://www.mozilla.org/en-US/security/advisories/mfsa2022-50/

CVE-2022-45414

+ Mozilla Thunderbird 102.5.1 released

https://www.thunderbird.net/en-US/thunderbird/102.5.1/releasenotes/

JVNVU#91847599 複数のHitachi Energy製品における複数の脆弱性

http://jvn.jp/vu/JVNVU91847599/index.html

JVNVU#95076777 Moxa製UCシリーズにおける不適切な物理アクセス制御の脆弱性

http://jvn.jp/vu/JVNVU95076777/index.html

SASE」を読み解く

得意分野がタイプで異なる　アクセス制御の設定に注意

Part3 導入時の課題

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600003/?ST=nxt_thmit_security

SASE」を読み解く

危険なサイトやマルウエアを遮断　状態に応じて動的に制御

Part2 中核3技術の動作

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600002/?ST=nxt_thmit_security

SASE」を読み解く

拠点や端末を総合的に守る　「ゼロトラスト」でも活躍

Part1 求められる役割

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600149/111600001/?ST=nxt_thmit_security

Books

敵を知って臨め！ランサムウエア被害からの復旧手順

ランサムウエアから会社を守る（3）

https://xtech.nikkei.com/atcl/nxt/column/18/01687/00249/?ST=nxt_thmit_security

デジタルライフ節約術

押し寄せる物価上昇の波、デジタル節約術で乗り越えよう

https://xtech.nikkei.com/atcl/nxt/column/18/02251/110700001/?ST=nxt_thmit_security

ニュース解説

大阪の病院は取引業者からランサムウエアがなぜ広がった？「攻撃の横展開」に注意

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?ST=nxt_thmit_security

快適メールクライアント利用術

メールクライアントに不満があるなら乗り換え検討、お薦めのアプリを紹介

https://xtech.nikkei.com/atcl/nxt/column/18/02275/112800001/?ST=nxt_thmit_security

NECがゲートレス生体認証システム、1分当たり100人の認証で混雑を抑制へ

https://xtech.nikkei.com/atcl/nxt/news/18/14230/?ST=nxt_thmit_security

登録: 投稿 (Atom)