Day: April 3, 2024

CVE と NVD:脆弱性の正規の情報源は分断されている?

CVE and NVD – A Weak and Fractured Source of Vulnerability Truth

2024/04/03 SecurityWeek — 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のリストと、それに関連する NVD (National Vulnerability Database) だが、脆弱性において一番に信頼すべき情報源とは、もはや考えられなくなっている。現在の CVE システムには改善の余地があり、また、改善すべきものであることを疑う者はいない。米国の DHS (Department of Homeland Security) に支援される、MITRE が管理する CVE リストを、NIST が NVD に統合し、その詳細データを充実させてきた。MITRE が CVE ID の採番や管理を行う一方で、サイバー防衛者たちが脆弱性を評価する上で、拠り所としてきたのが NVD である。

Continue reading “CVE と NVD:脆弱性の正規の情報源は分断されている?”

Node.js の脆弱性 CVE-2024-27983/27982 が FIX:クラッシュと HTTP スマグリングの可能性

Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities

2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x/v20.x/v21.x に存在する、2つの脆弱性に対処するための重要なセキュリティ更新プログラムである。1つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、2つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。

Continue reading “Node.js の脆弱性 CVE-2024-27983/27982 が FIX:クラッシュと HTTP スマグリングの可能性”

Ivanti に新たな脆弱性 CVE-2024-21894 などが発生:RCE/DoS 攻撃の恐れ

Ivanti fixes VPN gateway vulnerability allowing RCE, DoS attacks

2024/04/03 BleepingComputer — IT セキュリティ・ソフトウェア企業 Ivanti がリリースしたのは、同社の Connect Secure/Policy Secure ゲートウェイに影響を及ぼす、複数のセキュリティ脆弱性を修正するためのパッチである。脆弱性 CVE-2024-21894 の悪用に成功した未認証の脅威アクターは、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモート・コードの実行やサービス拒否状態を、パッチを適用していないアプライアンス上で引き起こす可能性を得る。

Continue reading “Ivanti に新たな脆弱性 CVE-2024-21894 などが発生:RCE/DoS 攻撃の恐れ”

Chrome と Pwn2Own:3つ目の深刻な脆弱性 CVE-2024-3159 が FIX:報奨金は $42,500

Google Patches Chrome Flaw That Earned Hackers $42,500 at Pwn2Own

2024/04/03 SecurityWeek — 4月2日 (火) に Google は、2024年3月に開催された Pwn2Own ハッキング・コンテストで証明された、新たなゼロデイ脆弱性を解決する Chrome アップデートを発表した。この、深刻度の高い脆弱性 CVE-2024-3159 は、V8 JavaScript および WebAssembly エンジンに存在する、境界外メモリ・アクセスの問題に起因すると説明されている。

Continue reading “Chrome と Pwn2Own:3つ目の深刻な脆弱性 CVE-2024-3159 が FIX:報奨金は $42,500”

VeridiumID 認証プラットフォームの深刻な脆弱性が FIX:ただちにアップデートを!

Multi Vulnerabilities Discovered in VeridiumID Authentication Platform – Patch Now

2024/04/03 SecurityOnline — 先日の Veridium のセキュリティ・アドバイザリにより明らかになったのは、同社の人気の VeridiumID 認証プラットフォームにおける。一連の深刻な脆弱性の存在である。これらの脆弱性に対してパッチが適用されず、そのまま放置されると、攻撃者による機密ユーザーデータの窃取/ユーザーアカウントの乗っ取り/組織のネットワーク内での悪意のコードの実行などにいたる恐れが生じる。

Continue reading “VeridiumID 認証プラットフォームの深刻な脆弱性が FIX:ただちにアップデートを!”

WordPress LayerSlider Plugin の脆弱性 CVE-2024-2879 が FIX:CVSS 値は 9.8

Critical Security Flaw Found in Popular LayerSlider WordPress Plugin

2024/04/03 TheHackerNews — WordPress の LayerSlider plugin に、致命的なセキュリティ脆弱性 CVE-2024-2879 (CVSS:9.8) が発見された。この脆弱性は SQL インジェクションと分類されており、7.9.11〜7.10.0 までのバージョンに影響を与える。この脆弱性の悪用に成功した攻撃者は、データベースからパスワード・ハッシュなどの機密情報を抜き取る可能性がある。

Continue reading “WordPress LayerSlider Plugin の脆弱性 CVE-2024-2879 が FIX:CVSS 値は 9.8”