Day: February 8, 2024

Open-Source Security の現状と未来:コミュニティとユーザーと政府は何を考えるべきか?

How to Navigate Open-Source Security Without Stifling Innovation

2024/02/08 InfoSecurity — Open-Source ソフトウェアのコードが、重要インフラを含むあらゆる部門で利用される規模を反映するかのように、各国政府におけるセキュリティへの関心が高まっている。Open-Source ソフトウェアの広範な利用と、それがもたらすリスクは、2021年12月に発見された悪名高い Log4j の脆弱性により証明された。その影響力は、グローバルで 58% の組織に及んだとされている。

Continue reading “Open-Source Security の現状と未来:コミュニティとユーザーと政府は何を考えるべきか?”

Apache bRPC の脆弱性 CVE-2024-23452 が FIX:HTTP スマグリングの可能性

CVE-2024-23452: Apache bRPC HTTP Request Smuggling Vulnerability

2024/02/08 SecurityOnline — Apache bRPC は、C++言語を用いる産業グレードの RPC フレームワークであり、検索/広告/機械学習/ストレージ/レコメンデーションなどのシステムで多用されている。しかし、最近になって、この重要なインフラストラクチャで、脆弱性 CVE-2024-23452 が発見された。

Continue reading “Apache bRPC の脆弱性 CVE-2024-23452 が FIX:HTTP スマグリングの可能性”

PHP Composer の深刻な脆弱性 CVE-2024-24821 が FIX:ただちにパッチを!

CVE-2024-24821: A Critical Alert for Composer’s PHP Dependency Management

2024/02/08 SecurityOnline — Web 開発の喧騒の中で登場した Composer ツールは、PHP プロジェクトの依存関係を管理するための要である。ライブラリの組み込みと更新を簡素化する Composer は、ワークフローを効率化したい開発者にとって欠かせないものとなっている。しかし、脆弱性 CVE-2024-24821 が発見されたことで、ユーザーは潜在的なコード実行や権限昇格の脅威にさらされ、Composer の信頼性に懸念が生じている。

Continue reading “PHP Composer の深刻な脆弱性 CVE-2024-24821 が FIX:ただちにパッチを!”

Sudo for Windows を Microsoft が発表:人間工学に基づいたソリューションと主張

Microsoft unveils new ‘Sudo for Windows’ feature in Windows 11

2024/02/08 BleepingComputer — 今日、Microsoft は、Windows 11 の新機能として “Sudo for Windows” を発表した。さらに同社は、この新しいツールのオープンソース化に取り組んでおり、より多くの設定オプションと、より広範な機能を持つ代替手段として、Gerardo Grignoli の gsudo を推奨している。Microsoft は、「Sudo for Windows は、昇格前のコンソール・セッションにおいて、ユーザーがダイレクトに昇格コマンドを実行する新しい方法である」と述べている。

Continue reading “Sudo for Windows を Microsoft が発表:人間工学に基づいたソリューションと主張”

Ivanti ICS に新たな脆弱性 CVE-2024-22024:パッチ適用までの緩和策とは?

Ivanti: Patch new Connect Secure auth bypass bug immediately

2024/02/08 BleepingComputer — 2月8日に Ivanti は、Connect Secure/Policy Secure/ZTA Gateway に影響を及ぼす、新たな認証バイパスの脆弱性について警告し、管理者たちにアプライアンスを直ちに保護するよう促した。この脆弱性 CVE-2024-22024 は、ゲートウェイの SAML コンポーネントの XXE (XML eXternal Entities) に起因するものである。その悪用に成功したリモート攻撃者は、ユーザーの操作や認証を必要としない低複雑度の攻撃で、パッチ未適用のアプライアンス上の制限されたリソースにアクセスできるという。

Continue reading “Ivanti ICS に新たな脆弱性 CVE-2024-22024:パッチ適用までの緩和策とは?”

偽 LastPass が Apple App Store に登場:”LassPass” という悪意のアプリに要注意

Fake LastPass password manager spotted on Apple’s App Store

2024/02/08 BleepingComputer — LastPass が警告するのは、Apple App Store で同社のアプリの偽コピーが 配布されており、ユーザーの認証情報を盗むためのフィッシング・アプリとして使用されている可能性が高いというものだ。この偽アプリは、本物アプリと似た名前/似たアイコン/赤を基調としたインターフェイスを使用し、LastPass ふうのデザインで欺く。しかし、この偽アプリの名前は “LastPass” ではなく “LassPass” であり、発行者は Parvati Patel となっている。

Continue reading “偽 LastPass が Apple App Store に登場:”LassPass” という悪意のアプリに要注意”