Day: March 18, 2024

米国防総省の Hack the Pentagon:2016年11月以降において5万件の脆弱性を排除

Over 50,000 Vulnerabilities Discovered in DoD Systems Through Bug Bounty Program

2024/03/18 InfoSecurity — 米国防総省 (DoD) の VDP (Vulnerability Disclosure Program) を通じて、5万件を超える脆弱性が提出された。2024年3月15日に DoD の DC3 (Cyber Crime Center) が報告したのは、2016年11月にクラウド・ソーシングによる倫理的ハッキング・スキームを導入した以降において、5万件に達する脆弱性を処理したというものだ。

Continue reading “米国防総省の Hack the Pentagon:2016年11月以降において5万件の脆弱性を排除”

Kubernetes Argo の3つの脆弱性:認証メカニズム破壊にいたる可能性

Three New Critical Vulnerabilities Uncovered in Argo

2024/03/18 InfoSecurity — Kubernetes セットアップで用いられる人気の GitOps CD (Continuous Delivery) ツール Argo に存在する3つの深刻な脆弱性を、KTrust のセキュリティ研究者たちが発見した。これらの脆弱性の悪用に成功した攻撃者は、ブルートフォース巧撃に対するレートリミット保護メカニズムをバイパスし、サービス拒否 (DoS) 攻撃を誘発することで、システム・セキュリティに重大なリスクをもたらし、最終的にはユーザー・アカウントの安全性を損なうことになる。

Continue reading “Kubernetes Argo の3つの脆弱性:認証メカニズム破壊にいたる可能性”

WordPress miniOrange プラグインの脆弱性 CVE-2024-2172 が FIX:サイトの侵害が生じる恐れ

WordPress Admins Urged to Remove miniOrange Plugins Due to Critical Flaw

2024/03/18 TheHackerNews — WordPress プラグインである、miniOrange の Malware Scanner と Web Application Firewall に、深刻なセキュリティ欠陥が発見された。ユーザーに求められるのは、これらのプラグインを Web サイトから削除することだ。Stiofan により発見された、この脆弱性 CVE-2024-2172 は、CVSS スコア 9.8 と評価されている。

Continue reading “WordPress miniOrange プラグインの脆弱性 CVE-2024-2172 が FIX:サイトの侵害が生じる恐れ”

Podman/Buildah の脆弱性 CVE-2024-1753 が FIX:ただちにアップデートを!

CVE-2024-1753: Podman/Buildah Vulnerability Allow Container Escapes

2024/03/18 SecurityOnline — 人気のコンテナ化ツールである Podman と Buildah に、深刻な脆弱性 CVE-2024-1753 が発見された。この脆弱性は CVSS スコア 8.6 (深刻度:Important) と評価されており、悪用に成功した攻撃者は、ビルド・プロセス中にコンテナの制限をエスケープし、基盤となるホスト・システムに大混乱をもたらす可能性がある。

Continue reading “Podman/Buildah の脆弱性 CVE-2024-1753 が FIX:ただちにアップデートを!”

Spring Security の脆弱性 CVE-2024-22257 が FIX:機密システムへの不正アクセスが生じる恐れ

CVE-2024-22257: Spring Security Flaw Opens Door to Broken Access Control Attacks

20224/03/18 SecurityOnline — Java ベースのアプリケーション保護に広く使われているフレームワーク Spring Security に、深刻な脆弱性が発見された。この脆弱性は CVE-2024-22257 (深刻度 “High”) の悪用に成功した攻撃者は、認証をバイパスして機密システムに不正アクセスすることが可能になるという。

Continue reading “Spring Security の脆弱性 CVE-2024-22257 が FIX:機密システムへの不正アクセスが生じる恐れ”

富士通で発生したデータ侵害:個人情報や顧客情報が盗まれた可能性

Fujitsu Suffered A Malware Attack And Probably A Data Breach

2024/03/18 SecurityAffairs — 3月22日に富士通が発表したのは、マルウェア攻撃を受けた同社が、個人情報や顧客情報を脅威アクターに盗まれた可能性があるというものだ。日本の大手テクノロジー企業である富士通は、社内の複数の業務用コンピュータがマルウェアに感染し、影響を受けたシステムをネットワークから遮断したとしている。このインシデントについて、同社が調査を行ったところ、個人情報や顧客情報を含むファイルが、脅威アクターにより流出した可能性があると判明したという。

Continue reading “富士通で発生したデータ侵害:個人情報や顧客情報が盗まれた可能性”