Tag: CVE-2023-44487

SAP の March 2024 Security Patch Day:CVE-2019-10744 などの 10件の脆弱性を修正

SAP Security Patch Day: CVE-2024-22127 – Critical Vulnerability Demand Immediate Action

2024/03/12 securityonline — エンタープライズ・ソフトウェアのリーダーである SAP は、March 2024 Security Patch Day の一環として、広く使用されている製品群に存在する、複数の脆弱性に対処するパッチ一式をリリースした。リストのトップは、コード・インジェクションの脆弱性を修正した、脅威度が高い3つの “Hot News” セキュリティ・ノートである。これらの脆弱性が悪用されると、攻撃者に、影響を受けたシステムを完全に侵害される可能性がある。

Continue reading “SAP の March 2024 Security Patch Day:CVE-2019-10744 などの 10件の脆弱性を修正”

Cloudflare が緩和した 89件の大規模 HTTP DDoS 攻撃:なぜ 100M rps 超えが多発するのか?

Cloudflare Mitigated 89 Hyper-Volumetric HTTP Distributed DDoS Attacks Exceeding 100 Million rps

2023/10/23 SecurityAffairs — 2023年の Cloudflare DDoS 脅威レポートによると、同社は数千件のハイパー・ボリューム・メトリック HTTP 分散型サービス拒否 (DDoS) 攻撃を阻止したという。同社が阻止した攻撃のうちの 89 件が、100 million rps (requests per second) を超えていたという。最大の攻撃のピーク値は 201 million rps であり、これは過去最大の攻撃 71M rps の3倍に相当する。これらの攻撃は、HTTP/2 Rapid Reset が脆弱性 CVE-2023-44487 を悪用したものである。

Continue reading “Cloudflare が緩和した 89件の大規模 HTTP DDoS 攻撃:なぜ 100M rps 超えが多発するのか?”

CISA KEV 警告 23/10/10:Adobe /Cisco/Microsoft/HTTP/2 などの5件の脆弱性

CISA Warns of Attacks Exploiting Adobe Acrobat Vulnerability 

2023/10/11 SecurityWeek — 10月10日 (火) に米国の CISA は、KEV (Known Exploited Vulnerabilities) カタログに5件のセキュリティ欠陥を追加し、今年の初めに明るみに出た Adobe Acrobat/Acrobat Reader の脆弱性を悪用する攻撃について、連邦政府組織に警告した。Adobe Acrobat/Acrobat Reader に存在する use-after-free の脆弱性 CVE-2023-21608 の悪用により、ユーザーのコンテキスト権限でリモートコード実行 (RCE) が可能になるという。

Continue reading “CISA KEV 警告 23/10/10:Adobe /Cisco/Microsoft/HTTP/2 などの5件の脆弱性”

HTTP/2 Rapid Reset という新たな DDoS テクニック:ピーク時で 398 million rps を記録

New ‘HTTP/2 Rapid Reset’ Technique Behind Record-Breaking DDoS Attacks

2023/10/10 SecurityAffairs — HTTP/2 Rapid Reset と名付けられた、新たなゼロデイ DDoS 攻撃手法が、8月以降の攻撃で悪用され、記録的な被害を及ぼしていることが、研究者たちにより明らかにされた。Google の発表は、ピーク時で 398 million rps (requests per second) に達する、一連の大規模な DDoS 攻撃を新たに観測したというものだ。この攻撃は、ストリームの多重化をベースとする、斬新な HTTP/2 Rapid Reset 技法に依存し、複数のインターネット・インフラ企業に影響を与えている。 

Continue reading “HTTP/2 Rapid Reset という新たな DDoS テクニック:ピーク時で 398 million rps を記録”

Microsoft 2023-10 月例アップデート:3件のゼロデイと 104件の脆弱性に対応

Microsoft October 2023 Patch Tuesday fixes 3 zero-days, 104 flaws

2023/10/10 BleepingComputer — 今日は Microsoft の October 2023 Patch Tuesday であり、104件の欠陥に対するセキュリティ更新プログラムが提供されたが、その中には3件の積極的に悪用されるゼロデイ脆弱性も含まれる。また、45件のリモート・コード実行 (RCE) のバグが修正されたが、その中の 12件の脆弱性に対してのみ、Microsoft は Critical と評価している。

Continue reading “Microsoft 2023-10 月例アップデート:3件のゼロデイと 104件の脆弱性に対応”