CVE-2024-22857: Critical Flaw in Popular Zlog Library Opens Door to Arbitrary Code Execution
2024/03/10 SecurityOnline — Ebryx のセキュリティ研究者である Faran Abdullah と Ali Raza は、人気のオープンソースの C Logging ライブラリで Zlog の深刻な脆弱性を発見した。この、ヒープバッファ・オーバーフローの脆弱性 CVE-2024-22857 の、悪用に成功したリモートの攻撃者は、システム上で任意のコードを実行する可能性を持てる。
Continue reading “Zlog Library の深刻な脆弱性 CVE-2024-22857 と PoC:インクルードしているアプリは要注意”CVE-2023-41313: Timing Attack Flaw in Apache Doris Database Puts Data at Risk
2024/03/10 SecurityOnline — Apache Doris に存在する認証プロセスの脆弱性 CVE-2023-41313 の悪用に成功した攻撃者は、タイミング攻撃を仕掛けることが可能になる。この脆弱性は、リアルタイム分析データベース Apache Doris バージョン 2.0.0 未満に対して、影響を及ぼすものだ。
Continue reading “Apache Doris の脆弱性 CVE-2023-41313 が FIX:タイミング攻撃の可能性”Hackers exploit WordPress plugin flaw to infect 3,300 sites with malware
2024/03/10 BleepingComputer — 脅威アクターたちは、Popup Builder プラグインの古いバージョンの脆弱性を悪用して WordPress サイトに侵入し、3,300 以上の Web サイトを悪意のコードで感染させている。攻撃に利用されているのは、Popup Builder のバージョン 4.2.3以降 に存在する、XSS (Cross-Site Scripting) の脆弱性 CVE-2023-6000 だ。この脆弱性が初めて公開されたのは、2023年11月のことである。
Continue reading “WordPress Popup Builder プラグインの脆弱性 CVE-2023-6000:3,300 以上のサイトが悪意のコードに感染”CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”CVE-2024-2044: pgAdmin Remote Code Execution Vulnerability
2024/03/07 SecurityOnline — 広範に利用されている PostgreSQL の管理ツール pgAdmin に存在する、脆弱性 CVE-2024-2044 に対して、先日にパッチが適用された。この脆弱性は、安全が保証されないデータに対するデシリアライズと、不十分な入力検証に起因するものであり、侵害のリスクが常に存在している状況を浮き彫りにしている。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-2044 が FIX:RCE にいたるおそれ”CVE-2024-27295: Directus Flaw Opens Door to Account Takeovers
2024/03/07 SecurityOnline — 多用途のオープンソース・コンテンツ管理プラットフォームである Directus に、脆弱性 CVE-2024-27295 が発見された。この脆弱性により、何千ものプロジェクトにおいて、アカウント乗っ取り攻撃の可能性が生じている。Directus は、その柔軟性と豊富なカスタマイズ・オプションにより、開発者たちに支持されている。具体的に言うと、Docker Pull 2,700 万以上/GitHub Star 約25,000/npm DL 49,000 件/月という状況であり、コンテンツ管理者たちの基盤としての地位を確立している。
Continue reading “Directus の脆弱性 CVE-2024-27295 が FIX:アカウント乗っ取りにつながる恐れ”CVE-2024-25111: Squid Proxy Hit by Serious Denial of Service Bug
2024/03/06 SecurityOnline — Web キャッシングとアクセラレーションの主力ツールである Squid に、深刻なセキュリティ脆弱性 CVE-2024-25111 (CVSS:8.6) が発見された。この脆弱性の悪用に成功した攻撃者は、Squid を利用したシステムを麻痺させ、広範なインターネット・サービスを停止させる可能性がある。
Continue reading “Squid プロキシの脆弱性 CVE-2024-25111 が FIX:直ちにアップデートを!”CVE-2024-27302 (CVSS 9.1): go-zero Framework Authorization Bypass Vulnerability
2024/03/06 SecurityOnline — 人気の go-zero Web/RPC フレームワークに、深刻な脆弱性 CVE-2024-27302 が発見された。この脆弱性の悪用に成功した攻撃者は、CORS (Cross-Origin Resource Sharing) ポリシーをバイパスする可能性がある。
Continue reading “go-zero フレームワークの脆弱性 CVE-2024-27302 が FIX:PoC もリリース”CVE-2023-6825 (CVSS 9.9): Over a WordPress Million Sites Exposed by File Manager Flaw
2024/03/04 SecurityOnline — 人気の WordPress プラグインである File Manager/File Manager Pro に、深刻なセキュリティ脆弱性 CVE-2023-6825 が発見された。このプラグインの、アクティブなインストール数は 100 万件を超えるため、脆弱性へのパッチ適用が放置されると、広範囲に被害が及ぶ可能性がある。
Continue reading “WordPress File Manager の脆弱性 CVE-2023-6825 が FIX:ただちにパッチ適用を!”CVE-2024-1929 & 1930: Protect Your Linux System from Root Exploits and DoS Attacks
2024/03/04 SecurityOnline — 数多くの Linux ディストリビューションの、コア・コンポーネントである DNF パッケージ・マネージャーに関する、最新のセキュリティ・レビューにより、2つの重大な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、影響を受けたシステムを完全に制御することが可能になる。dnf5daemon-server コンポーネントに存在するこれの脆弱性は、いずれも Suze のセキュリティ研究者であるMatthias Gerstner により発見されたものだ。潜在的な攻撃からシステムを保護するために、早急なパッチ適用が推奨される。
Continue reading “Linux DNF の脆弱性 CVE-2024-1929/1930 が FIX:PoC エクスプロイトが公表”GitHub push protection now on by default for public repositories
2024/03/04 HelpNetSecurity — GitHub のプッシュ保護機能が、すべての公開リポジトリでデフォルトで有効になった。このセキュリティ機能は、API キーやトークンなどの機密情報が、誤ってオンラインに流出することの防止を目的としている。Microsoft の子会社である GitHub は、「この機能により、公開リポジトリへのプッシュでサポートされている機密情報が検出された場合に、その情報はコミットから削除される。あるいはオプション機能として、その機密情報が安全だと判断された場合には、ブロックを回避する」と述べている。
Continue reading “GitHub パブリック・リポジトリのプッシュ保護機能:デフォルトでオンになった”CVE-2023-50378: Apache Ambari Stored Cross-Site Scripting Vulnerability
2024/03/01 SecurityOnline — Hadoop クラスタの複雑な管理を簡素化するツールである Apache Ambari に、蓄積型 XSS (Cross-Site Scripting) の脆弱性 CVE-2023-50378 が発見された。この脆弱性が悪用されると、エントリー・ポイントが、攻撃者により予期せぬものに改ざんされる可能性がある。
Continue reading “Apache Ambari の XSS 脆弱性 CVE-2023-50378 が FIX:直ちにアップデートを!”Urgent Security Alert: Avada WordPress Theme Vulnerability (CVE-2024-1468)
2024/02/29 SecurityOnline — 約 950,000 件の販売実績を持つ人気の WordPress テーマである Avada に、深刻度の高いセキュリティ脆弱性 CVE-2024-1468 (CVSS:8.8) が発見された。この脆弱性が悪用されると、投稿者レベル以上の権限を持つ認証済みの攻撃者が、影響を受ける Web サイト上で任意のファイルをアップロードし、悪意のコードを実行する可能性が生じる。
Continue reading “WordPress テーマ Avada の脆弱性 CVE-2024-1468 が FIX:RCE 攻撃が生じる恐れ”CVE-2024-25065 & CVE-2024-23946: Critical Vulnerabilities Exposed in Apache OFBiz
2024/02/29 SecurityOnline — オープンソースの ERP フレームワークとして人気の Apache OFBiz に、2つの深刻な脆弱性 CVE-2024-25065/CVE-2024-23946 が発見された。これらの脆弱性には、広範なビジネス分野を危険にさらす可能性がある。
Continue reading “Apache OFBiz の脆弱性 CVE-2024-25065/CVE-2024-23946 が FIX:直ちにアップデートを!”CVE-2023-43769 (CVSS 9.1): Couchbase Server Privilege Escalation Flaw
2024/02/28 SecurityOnline — Couchbase Server は、数多くの最新アプリケーションを支える高性能 NoSQL データベースであるが、最近に発見された深刻なセキュリティ脆弱性に対してパッチを適用している。この修正パッチは直ちに利用できるため、Couchbase に依存している企業は速やかに行動すべきである。不作為は、データとオペレーションを危険にさらすことになる。
Continue reading “Couchbase Server の権限昇格の脆弱性 CVE-2023-43769 (CVSS 9.1) などが FIX:ただちにパッチを!”Kali Linux 2024.1 released with 4 new tools, UI refresh
2023/02/28 BleepingComputer — Kali Linux がリリースしたバージョン 2024.1 には、4つの新しいツール/テーマの刷新/デスクトップの変更などが含まれている。Kali Linux とは、サイバーセキュリティの専門家や、倫理的ハッカーのために作成されたディストリビューションであり、ネットワークに対する侵入テストや、セキュリティ監査/調査のための機能を提供する。今年の最初のバージョンであるためか、Kali チームの最新リリースには、新たな壁紙やブートメニュー、そしてログイン表示の更新などの、ビジュアル要素が取り込まれている。
Continue reading “Kali Linux 2024.1 がリリース:4つの新ツールの提供と UI の刷新”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”Apache Ambari: Urgent Action Needed to Address CVE-2023-50379 Vulnerability
2024/02/27 SecurityOnline — Apache Ambari 2.7.8 未満に、深刻なセキュリティ脆弱性 CVE-2023-50379 (脅威度:Important) が発見された。この脆弱性が悪用されると、Hadoop クラスタ管理に Ambari を利用している組織に、深刻なリスクが生じる可能性がある。
Continue reading “Apache Ambari の脆弱性 CVE-2023-50379 が FIX:直ちにアップデートを!”XSS Flaw In Litespeed Cache Plugin Exposes Millions Of WordPress Sites At Risk
2024/02/27 SecurityAffairs — WordPress LiteSpeed Cache プラグインにおける、認証を必要としないサイト全体の蓄積型 XSS の脆弱性 CVE-2023-40000 により、サイト全体が影響を受けると、Patchstack の研究者たちが警告している。無料版の LiteSpeed Cache プラグインは、WordPress で人気のあるキャッシュ・プラグインであり、400万以上のアクティブ・インストールがある。
Continue reading “WordPress Litespeed Cache の脆弱性 CVE-2023-40000 が FIX:数百万のサイトが危険な状態”CVE-2024-1698 (CVSS 9.8): Critical SQLi Flaw in NotificationX WordPress Plugin
2024/02/26 SecurityOnline — WordPress NotificationX は、30,000以上のインストールを誇る人気のプラグインだが、そのバージョン 2.8.2 以下に、深刻な SQL インジェクションの脆弱性 CVE-2024-1698 が発見された。この脆弱性の悪用に成功した未認証の攻撃者は、悪意のあるコードを注入し、対象となる Web サイトを完全に制御する可能性を得る。なお、この脆弱性の CVSS スコアは 9.8 であり、セキュリティ・リスクは Critical 分類される。
Continue reading “WordPress NotificationX Plugin の CVE-2024-1698 (CVSS 9.8) が FIX:深刻な SQLi”CVE-2024-26592 & 26594: Critical Linux Kernel Flaws Open Door for Code Execution and Data Theft
2024/02/26 SecurityOnline — Linux Kenelの2つの深刻な脆弱性 CVE-2024-26592/CVE-2024-26594 が、Linux システムの管理者たちに警鐘を鳴らしている。これらの脆弱性は、Windows マシンとのシームレスなファイル共有を担う、KSMBD ファイル・サーバに存在しており、深刻な影響をおよぼす可能性がある。しかし幸いなことに、迅速にパッチが適用され、脅威は緩和された。
Continue reading “Linux Kenel の脆弱性 CVE-2024-26592/26594 が FIX:直ちにパッチ適用を!”2024/02/25 SecurityOnline — 200,000 以上のアクティブなインストールを誇る、人気の WordPress プラグイン Ultimate Member に、認証を必要としない SQL インジェクションの脆弱性が見つかった。この深刻な脆弱性 CVE-2024-1071 (CVSS:9.8) には、広く採用されている同プラグインを利用している Web サイトに、重大なリスクをもたらす可能性がある。この脆弱性を発見/報告した Christiaan Swiers には、Wordfence Bug Bounty Program Extravaganza から $2,063 の報奨金が支払われた。
Continue reading “WordPress Ultimate Member Plugin の脆弱性 CVE-2024-1071 が FIX:直ちにアップデートを!”CVE-2024-26582 (CVSS 8.4): Linux Kernel Code Execution Vulnerability
2024/02/23 SecurityOnline — Linux Kernel の Transport Layer Security (TLS) サブシステムに、深刻度の高い脆弱性 CVE-2024-26582 (CVSS:8.4) が発見された。この脆弱性は、kTLS (カーネルの TLS 実装) のメモリ処理方法における、解放済みメモリの使用のエラーに起因するものであり、悪用に成功した攻撃者は、脆弱なシステム上で任意のコードを実行する可能性を得る。
Continue reading “Linux Kernel TLS の CVE-2024-26582 が FIX:RCE/DoS が生じる恐れ”CVE-2023-7235: OpenVPN Vulnerability Puts Windows Users at Risk
2024/02/21 SecurityOnline — OpenVPN は、Windows/Mac/Linux 用のバージョン 2.6.9 をリリースし、深刻な特権昇格の脆弱性 CVE-2023-7235 に対処した。この脆弱性は OpenVPN の Windows GUI インストールに影響するものであり、Will Dormann により発見された。
Continue reading “OpenVPN の脆弱性 CVE-2023-7235 が FIX:直ちにアップデートを!”New SSH-Snake malware steals SSH keys to spread across the network
2024/02/21 BleepingComputer — SSH-Snake というオープンソースのネットワーク・マッピングツールを操る脅威アクターが、被害者のインフラ上で密かに秘密鍵を探し出し、横方向へと移動している。Sysdig の Threat Research Team (TRT) が発見した SSH-Snake は、”自己修正型ワーム” と表現されている。このマルウェアは、一般的なスクリプト攻撃に散見されるパターンを回避するという意味で、従来からの SSH ワームとは一線を画している。
Continue reading “SSH-Snake という最新のマルウェア:SSH キーを効果的に窃取してネットワーク全体に拡散”New Malicious PyPI Packages Caught Using Covert Side-Loading Tactics
2024/02/20 TheHackerNews — Python Package Index (PyPI) リポジトリに、2つの悪意のパッケージが存在することが、サイバーセキュリティ研究者たちにより発見/確認された。それらの悪意のパッケージは、DLL サイド・ローディングと呼ばれるテクニックを用いて、セキュリティ・ソフトウェアによる検出を回避し、悪意のコードを実行するものだ。それらのパッケージは NP6HelperHttptest と NP6HelperHttper と名付けられ、削除されるまでに、それぞれが 537回/166回ダウンロードされている。
Continue reading “PyPI に “NP6” を冠した悪意のパッケージ:DLL サイド・ローディングで攻めてくる”Spring Security Vulnerability (CVE-2024-22234): Mitigating Broken Access Control
2024/02/20 SecurityOnline — 先日に公開された Spring Security の脆弱性 CVE-2024-22234 (CVSS:7.4) は、影響を受ける Java Web アプリケーション内において、不正アクセスを生じる可能性があるものだ。Spring Security を認証/認可に利用している場合には、潜在的なリスクに対処するために、緩和策を優先的に実施する必要がある。
Continue reading “Spring Security の脆弱性 CVE-2024-22234 が FIX:直ちにアップデートを!”CVE-2024-1597 (CVSS 10): Critical SQL Injection Flaw in PostgreSQL JDBC Driver
2024/02/20 SecurityOnline — 開発者たちに人気の PostgreSQL データベースに、新たな脆弱性 CVE-2024-1597 (CVSS:10.0) が発見された。この脆弱性が浮き彫りにするのは、予防的なセキュリティ対策の重要性である。ここでは、PostgreSQL JDBCドライバ (pgjdbc) の脆弱性と、その潜在的な影響と、重要な緩和策について探っていく。
Continue reading “PostgreSQL JDBC の脆弱性 CVE-2024-1597 が FIX:CVSS 値は 10.0”CVE-2023-49109: Apache Dolphinscheduler Remote Code Execution Vulnerability
2024/02/20 SecurityOnline — ワークフロー・スケジューリング・プラットフォームである Apache DolphinScheduler に、複数のセキュリティ脆弱性があることが、最近の研究で明らかになった。このソフトウェアを使用している管理者やセキュリティ専門家たちは、これらの脆弱性へ早急に対処する必要がある。
Continue reading “Apache DolphinScheduler の RCE 脆弱性 CVE-2023-49109 が FIX:直ちにアップデートを!”CVE-2024-25600: WordPress’s Bricks Builder RCE Flaw Under Attack
2024/02/19 SecurityOnline — WordPress 用の Bricks Builder は、広く使用されている サイトビルダーであるが、そこに深刻なリモートコード実行 (RCE) 脆弱性 CVE-2024-25600 (CVSS:9.8) が発見された。この脆弱性は活発に悪用されており、影響を受ける Web サイトに、大きなリスクをもたらしている。
Continue reading “WordPress 用の Bricks Builder の脆弱性 CVE-2024-25600 が FIX:すでに悪用が始まっている”CVE-2023-32484 (CVSS 9.8): Remote Control Risk in Dell EMC Networks
2024/02/17 SecurityOnline — 最近に公開された Dell EMC Enterprise SONiC の脆弱性 CVE-2023-32484 は、データセンター・ネットワークのセキュリティに、重大な影響を及ぼす可能性があるものだ。この脆弱性の悪用に成功した攻撃者は、リモートでコマンドを実行し、影響を受けるネットワーク・スイッチの完全な制御が可能になる。この脆弱性の CVSS 評価は 9.8 (Critical) であり、早急な対策が必要だ。
Continue reading “Dell EMC Enterprise SONiC の脆弱性 CVE-2023-32484 が FIX:直ちにアップデートを!”Protect Your Web Services: Mitigate Squid DoS Vulnerability (CVE-2024-25617)
2024/02/15 SecurityOnline — 広く使用されている Web Proxy/Caching サーバである Squid に、深刻度の高いサービス拒否 (DoS) 脆弱性 CVE-2024-25617 が存在していることが判明した。この脆弱性の悪用に成功した攻撃者は、Squid サーバをクラッシュさせ、重要な Web サービスを中断させ、ネットワーク全体を危険にさらす可能性がある。
Continue reading “Squid の脆弱性 CVE-2024-25617 が FIX:クラッシュ/サービス停止の可能性”Major Node.js Security Flaws: Millions of Apps Could Be Vulnerable
2024/02/15 SecurityOnline — 世界中の何百万人もの開発者が使用している、JavaScript 実行環境である Node.js が、先日に発表したセキュリティ更新プログラムは、複数の深刻度の高い脆弱性を対象としたものである。これらの脆弱性に直ちに対処して、アプリケーションを攻撃から防御する必要がある。
Continue reading “Node.js の複数の脆弱性が FIX:広範な影響が指摘されている”Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages
2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。
Continue reading “Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性”Critical Vulnerabilities Uncovered in GitHub Enterprise Server – Patch Immediately!
2024/02/14 SecurityOnline — 進化し続けるデジタルセキュリティの中で、GitHub Enterprise Server (GHES) はエンタープライズ・レベルのコード管理とコラボレーションの基盤として登場した。この GHES は、GitHub のセルフホスト・バージョンとして、組織に対してリポジトリと開発プロセスを管理する能力を提供する。しかし、最近になって、複数の深刻度の高い脆弱性が公表され、その悪用に成功した攻撃者が、機密性の高いシステムに不正にアクセスする可能性が生じている。したがって、リスクを軽減するための、早急な対策が求められる。
Continue reading “GitHub Enterprise の複数の脆弱性が FIX:ただちにパッチを!”CISA and OpenSSF Release Framework for Package Repository Security
2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。
Continue reading “CISA と OpenSSF の新たな OSS フレームワーク:安全なパッケージ・リポジトリのために”CVE-2024-0985: PostgreSQL’s Critical Security Flaw Exposed
2024/02/11 SecurityOnline — 広く利用されているデータベース・ソフトウェア PostgreSQL に、深刻なセキュリティ上の欠陥が発見され、企業やシステム管理者に懸念が広がっている。この脆弱性 CVE-2024-0985 (CVSS:8.0) の悪用に成功した攻撃者は、昇格した権限で悪意のコードを実行する可能性がある。
Continue reading “PostgreSQL の深刻な脆弱性 CVE-2024-0985 が FIX:直ちにアップデートを!”Google Chrome Zero-Day PoC Code Released
2024/02/11 SecurityOnline — Google Chrome に影響を及ぼすゼロデイ脆弱性 CVE-2022-4262 (CVSS 8.8) の、PoC (Proof-of-Concept) エクスプロイト・コードと技術的詳細が公開された。この脆弱性の核心は、Chrome ブラウザを動かす重要なコンポーネントである、Chrome V8 JavaScript エンジンにある。この深刻度の高い、タイプ・コンフュージョンの脆弱性は、Google TAG (Threat Analysis Group) の Clement Lecigne により明らかにされた。タイプ・コンフュージョンの脆弱性とは、ソフトウェアが渡されたオブジェクト・タイプを検証できない場合に発生し、予測不可能な動作を引き起こすものだ。
Continue reading “Chrome のゼロデイ脆弱性 CVE-2022-4262:詳細な情報と PoC エクスプロイトが公開された”CVE-2024-24806: Critical SSRF Flaw Found in libuv – a Multi-Platform C Library
2024/02/10 SecurityOnline — 多目的な C ライブラリの1つである libuv は、Node.js のイベント・ループから各種ソフトウェア・プロジェクトの静的な効率性にいたるまで、多くのアプリケーションの非同期システムを支えている。epoll/kqueue/Windows IOCP/Linux io_uring/Solaris イベントポートなどの、多様な I/O メカニズムを橋渡しする libuv の機能は、非同期操作の領域における最適なツールとなっている。しかし、その libuv に、脆弱性 CVE-2024-24806 が発見された。
Continue reading “C ライブラリ libuv の SSRF 脆弱性 CVE-2024-24806 が FIX:直ちにアップデートを!”How to Navigate Open-Source Security Without Stifling Innovation
2024/02/08 InfoSecurity — Open-Source ソフトウェアのコードが、重要インフラを含むあらゆる部門で利用される規模を反映するかのように、各国政府におけるセキュリティへの関心が高まっている。Open-Source ソフトウェアの広範な利用と、それがもたらすリスクは、2021年12月に発見された悪名高い Log4j の脆弱性により証明された。その影響力は、グローバルで 58% の組織に及んだとされている。
Continue reading “Open-Source Security の現状と未来:コミュニティとユーザーと政府は何を考えるべきか?”CVE-2024-23452: Apache bRPC HTTP Request Smuggling Vulnerability
2024/02/08 SecurityOnline — Apache bRPC は、C++言語を用いる産業グレードの RPC フレームワークであり、検索/広告/機械学習/ストレージ/レコメンデーションなどのシステムで多用されている。しかし、最近になって、この重要なインフラストラクチャで、脆弱性 CVE-2024-23452 が発見された。
Continue reading “Apache bRPC の脆弱性 CVE-2024-23452 が FIX:HTTP スマグリングの可能性”CVE-2024-24821: A Critical Alert for Composer’s PHP Dependency Management
2024/02/08 SecurityOnline — Web 開発の喧騒の中で登場した Composer ツールは、PHP プロジェクトの依存関係を管理するための要である。ライブラリの組み込みと更新を簡素化する Composer は、ワークフローを効率化したい開発者にとって欠かせないものとなっている。しかし、脆弱性 CVE-2024-24821 が発見されたことで、ユーザーは潜在的なコード実行や権限昇格の脅威にさらされ、Composer の信頼性に懸念が生じている。
Continue reading “PHP Composer の深刻な脆弱性 CVE-2024-24821 が FIX:ただちにパッチを!”ClamAV Bugs Expose Users to Command Injection (CVE-2024-20328) and DoS Attacks (CVE-2024-20290)
2024/02/07 SecurityOnline — OSS のアンチウイルス・エンジン ClamAV に存在する、深刻な脆弱性について、先日に Cisco が明らかにした。それらの脆弱性には、エンドポイント/クラウドサービス/Web セキュリティ・インフラなどに大混乱をもたらす可能性があるため、早急な対策が必要である。
Continue reading “ClamAV の脆弱性 CVE-2024-20328/CVE-2024-20290 が FIX:ただちにパッチを!”Critical Shim Bug Impacts Every Linux Boot Loader Signed In The Past Decade
2024/02/07 SecurityAffairs — shim のバージョン 15.8 がリリースされ、6つの脆弱性が修正された。これらの脆弱性のうち、最も深刻な脆弱性が CVE-2023-40547 (CVSS:9.8) である。特定の状況下において、この http ブート・サポートの脆弱性は、Secure Boot のバイパスにつながり、リモート・コード実行を引き起こす可能性を持つ。
Continue reading “Linux shim の深刻な RCE 脆弱性 CVE-2023-40547 などが FIX”One Click, System Exposed: cpio (CVE-2023-7216) Threatens Unix Security
2024/02/06 SecurityOnline — 主に Unix ライクなオペレーティング・システムで見られる “cpio” コマンドライン・ユーティリティは、アーカイブ・ファイル内のファイルをパッケージ化/解凍する機能を備えている。汎用性が高く、複数のアーカイブ形式をサポートする “cpio” は、システム管理者やユーザーにとって強力なツールだ。しかし、この cpio に、システム・セキュリティの根幹に影響を及ぼしかねない脆弱性が発見された。
Continue reading “Unix cpio の脆弱性 CVE-2023-7216:PoC エクスプロイトが提供”The Critical CVE-2024-1143 Vulnerability in Central Dogma
2024/02/05 SecurityOnline — ソフトウェア開発やシステム管理の世界において、堅牢でセキュアなコンフィグレーション・リポジトリは、円滑な運用や機密データの保護に欠かせない要素だ。LINE が開発した、オープンソースの高可用性バージョン管理サービス設定リポジトリ Central Dogma は、この目的のために広く使われているツールである。しかし最近になって、脆弱性 CVE-2024-1143 の存在が判明し、Central Dogma のユーザーにとって重大な脅威となっている。
Continue reading “Central Dogma の脆弱性 CVE-2024-1143 が FIX:CVSS 値 10.0 の XSS”CVE-2023-6989: Shield Security Plugin Hit by Severe LFI Vulnerability, 50,000+ Sites Affect
2024/02/05 SecurityOnline — 50,000 以上のアクティブなインストールを誇る WordPress プラグイン Shield Security に、深刻な脆弱性が発見された。この脆弱性は、Wordfence バグ・バウンティ・プログラムを介して、研究者である hir0ot により発見された。
Continue reading “WordPress Shield Security プラグインの脆弱性 CVE-2023-6989:5万件以上のサイトに LFI の危機”Escaping the Sandbox: CVE-2024-21399 Microsoft Edge RCE Vulnerability
2024/02/04 SecurityOnline — Microsoft Edge のセキュリティ・アップデートがリリースされ、複数の脆弱性が修正された。Chromium に起因する Chrome の脆弱性は、Mac/Linux 向けのバージョン121.0.6167.139 および、Windows 向けの 121.0.6167.139/140 で対処されてきたが、それに続くかたちで、Microsoft Edge のバージョン 121.0.2277.98 が発表された。
Continue reading “Microsoft Edge の脆弱性 CVE-2024-21399 が FIX:リモートコード実行の可能性”Under Attack: CVE-2023-6700 in ‘Cookie Information’ Plugin Threatens 100k WordPress Sites
2024/02/02 SecurityOnline — 進化し続けるインターネットの世界において、データ・プライバシーと GDPR (General Data Protection Regulation) などの規制へのコンプライアンスの重要性は、日々高まりつつある。そんな中、人気の CMS の1つである WordPress は、これらの規制を遵守するのを支援するプラグインを、Web サイト所有者に対して数多く提供している。しかし、WordPress の Cookie Information | Free GDPR Consent Solution プラグインに、重大なセキュリティ脆弱性 CVE-2023-6700 が発見され、脅威アクターにより積極的に悪用されていることが判明した。
Continue reading “WordPress の Cookie Information | Free GDPR プラグインに脆弱性:活発な悪用を観測”CVE-2024-21626: Docker Confronts Critical Container Escape Threat
2024/02/01 SecurityOnline — 進化し続けるテクノロジーの世界において、特にコンテナ化の領域においては、セキュリティは依然として最重要の関心事である。先日に Snyk Labs が、コンテナ・エコシステムに影響を及ぼす4件の深刻なセキュリティ脆弱性を特定したことで、Docker は重大な課題に直面している。これらの脆弱性は、runc/BuildKit/Moby などの主要なコンポーネントに影響を及ぼし、コンテナ化されたアプリケーションの完全性と安全性に深刻なリスクをもたらすものだ。
Continue reading “Docker のコンテナ・エスケープの脆弱性 CVE-2024-21626 などが FIX:直ちにパッチを!”
IoT OT Security News 
You must be logged in to post a comment.