‘WallEscape’ Linux Vulnerability Leaks User Passwords
2024/04/01 SecurityWeek — Linux システムの util-linux コア・ユーティリティ・パッケージで発見された新たな脆弱性について、セキュリティ研究者たちが文書化を進めている。それによると、悪用に成功した攻撃者は、ユーザー・パスワード の漏えいや、クリップボード内容の改ざんなどを引き起こす可能性があるという。”WallEscape” と名付けられた脆弱性 CVE-2024-28085 は、コマンドライン引数におけるエスケープシーケンスをフィルタリングしない、util-linux の “wall” コマンドに影響を及ぼすものである。
Continue reading “WallEscape 脆弱性 CVE-2024-28085:Linux のパスワードが漏えいする可能性とは?”Google now blocks spoofed emails for better phishing protection
2024/04/01 BleepingComputer — Google が開始したメールの自動的なブロックとは、スパム/フィッシング攻撃に対する防御を、新しいガイドラインの要求に応じて強化するものである。それにより、大量送信者により送信される欺瞞的なメッセージは、フルイにかけられることになる。現時点において Google は、Gmail アカウントに対して 5,000通を超えるメッセージを送信するドメインに対して、SPF/DKIM と DMARC メール認証を設定するよう求めている。この制限は、2023年10月に発表されたものである。
Continue reading “Gmail におけるスパム/フィッシング対策の強化:メール送信事業者は注意が必要”CVE-2024-29201 & CVE-2024-29202 Flaws Expose JumpServer Users to RCE Attacks
2024/04/01 SecurityOnline —人気の OSS 要塞ホスト・システムである JumpServer に、2件のリモート・コード実行の脆弱性 CVE-2024-29201/CVE-2024-29202 が発見された。この脆弱性は、セキュリティ・インフラストラクチャを JumpServer に依存している、各種の組織に深刻なリスクをもたらす。
Continue reading “JumpServer の深刻な脆弱性 CVE-2024-29201/29202 が FIX:ただちにパッチを!”Supply Chain Attack: Major Linux Distributions Impacted by XZ Utils Backdoor
2024/04/01 SecurityWeek — データ圧縮ライブラリである XZ Utils のバックドア付きバージョンにより、主要な Linux ディストリビューションがサプライチェーン攻撃の影響を受けている。このバックドアは、Microsoft の Software Engineer である Andres Freund により発見されたものである。彼によると、2024年2月にリリースされた XZ Utils 5.6.0 の tarball ダウンロード・パッケージに、悪意のコードが混入していたという。その直後にリリースされたバージョン 5.6.1 では、難読化の追加や一部の設定で発生するエラーの修正など、悪意のコードが更新されていた。
Continue reading “XZ Utils に注入されたバックドア:主要の Linux ディストリビューションに影響”Bitdefender CVE-2023-6154 Flaw Alert: Update Now to Prevent Potential Privilege Escalation
2024/04/01 SecurityOnline — サイバーセキュリティ・ソリューションのリーディング・プロバイダである Bitdefender は、同社の人気製品 Total Security/Internet Security/Antivirus Plus/Antivirus Free に存在する、脆弱性 CVE-2023-6154 (CVSS:7.8) に対処するパッチをリリースした。
Continue reading “Bitdefender の権限昇格の脆弱性 CVE-2023-6154 が FIX:直ちにアップデートを!”
IoT OT Security News 