Critical OpenPGP.js Flaw Allows Message Signature Spoofing
2025/05/21 SecurityOnline — 安全なメッセージングと暗号化のために広く利用される、JavaScript ライブラリを提供する OpenPGP.js プロジェクトが、深刻な脆弱性 CVE-2025-47934 を修正した。この脆弱性を悪用する攻撃者は、メッセージの署名を偽装し、本物を装いながらコンテンツ操作を可能にするという。この脆弱性は、ブラウザベースのメール・クライアント/エクステンション/Web サービスなどの、OpenPGP.js を利用する広範なアプリケーションにおける、署名付き通信と暗号化された通信の整合性を脅かすものだ。
Continue reading “OpenPGP.js の脆弱性 CVE-2025-47934 が FIX:メッセージへの偽装署名の恐れ”glibc Vulnerability Puts Millions of Linux Systems at Risk of Code Execution
2025/05/19 SecurityOnline — 数多くの Linux アプリケーションにおいて、基本コンポーネントとして活用される GNU C Library (glibc) で、新たな脆弱性が報告された。この脆弱性が示すのは、静的 setuid バイナリの共有ライブラリ読込みメカニズムに存在する、潜在的に悪用が可能な欠陥の詳細である。この脆弱性 CVE-2025-4802 は、静的 setuid バイナリが dlopen() を介して動的ライブラリを呼び出す際に、LD_LIBRARY_PATH 環境変数を不適切に使用することに起因する。
Continue reading “GNU C Library (glibc) の脆弱性 CVE-2025-4802 が FIX:各種の Linux ディストロにコード実行の可能性”Multiple CVEs in GNU Screen: Local Root Exploit and TTY Hijacking Discovered
2025/05/13 SecurityOnline — 広く使用されるターミナル・マルチプレクサ GNU Screen に存在する、複数の深刻な脆弱性が、SUSE セキュリティ・チームによる包括的なセキュリティ監査により明らかにされた。その中には、ローカル権限から root 権限への昇格を可能にする脆弱性も含まれるという。これらの脆弱性は、最新の Screen 5.0.0リリースと、広く導入されている Screen 4.9.x に影響を及ぼすが、ディストリビューションのコンフィグに応じて差異が生じるという。
Continue reading “GNU Screen の複数の脆弱性が FIX:ローカル Root の悪用や TTY ハイジャックなど”GRUB2 Bootloader Vulnerabilities Expose Millions of Systems to Attacks
2025/02/25 SecurityOnline — 数多くの Linux ディストリビューションで使用される人気のブートローダー GRUB2 に、一連の深刻な脆弱性が発見された。これらの脆弱性を悪用する攻撃者は、セキュリティ対策を回避しながら、世界中の何百万ものシステムを危険にさらす可能性を手にする。
Continue reading “GRUB2 ブートローダーの複数の脆弱性:さまざまな Linux システムに深刻な影響”Wget Vulnerability (CVE-2024-10524) Opens Door to SSRF Attacks
2024/11/19 SecurityOnline — Wget に存在する脆弱性 CVE-2024-10524 を悪用する攻撃者は、内部サーバまたは制限されたサーバへ向けて、想定外のリクエスト送信を可能にする。インターネットからファイルをダウンロードするために広く使用される、このコマンド・ライン・ツール の脆弱性は、JFrog のセキュリティ研究者 Goni Golan により報告されたものだ。
Continue reading “Wget の脆弱性 CVE-2024-10524 が FIX:短縮 URL による SSRF 攻撃の可能性”Decade-Old Linux Vulnerability Can Be Exploited for DDoS Attacks on CUPS
2024/10/02 HackRead — サイバーセキュリティ研究者である Simone Margaritelli (別名 evilsocket) が、新たに発見した Linux の深刻な脆弱性について報告する。この欠陥は、10年前から存在しており、すべての GNU/Linux システムに影響を及ぼすものだ。なお、CVSS は 9.9 と評価されているが、CVE は割り当てられていない。この脆弱性の悪用に成功した攻撃者は、GNU/Linux システムの完全な制御が可能となり、Linux 上でのリモート・コード実行の可能性を得る。
Continue reading “10年前から存在していた Linux の脆弱性と CUPS 攻撃:CVSS 9.9 だが CVE はまだ無い”Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
2024/09/23 SecurityOnline — GNU/Linux などの全てのシステムに対して、潜在的な影響を与える重大なセキュリティ脆弱性が、著名なセキュリティ研究家である Simone Margaritelli により発見された。Canonical や Red Hat などの業界大手も存在を認める、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2024-7589/CVE-2024-38063 は、CVSS スコア 9.9 と評価されている。
Continue reading “GNU/Linux システムの RCE 脆弱性 (CVSS 9.9):情報開示とパッチ適用までに実施すべきは?”CVE-2024-2961 – glibc Vulnerability Opens Door to PHP Attacks: Patch Immediately
2024/04/19 SecurityOnline — GNU C Library (glibc) の iconv 関数において、先日に発見された脆弱性 CVE-2024-2961 は、PHP で構築される Web アプリケーションに深刻な影響を及ぼすものだ。この脆弱性を悪用するリモートの攻撃者により、境界を越えたメモリ書き込みが可能となり、 脆弱な PHP アプリケーションのコンテキスト内で、任意のコードを実行される可能性が生じる。
Continue reading “glibc の深刻な脆弱性 CVE-2024-2961 が FIX:PHP 環境への攻撃が予測される”Root Access Vulnerability In Gnu Library C (Glibc) Impacts Many Linux Distros
2024/01/30 SecurityAffairs — GNU Library C (glibc) に存在する4件のセキュリティ脆弱性が、Qualys Threat Research Unit により発見されたが、その中には、CVE-2023-6246 として追跡されているヒープベースのバッファオーバーフローの欠陥も含まれる。GNU Library C (glibc) は、Linux などの Unix 系オペレーティング・システムに不可欠な、システム・サービスを提供するフリーのソフトウェア・ライブラリである。
Continue reading “Gnu Library C の Root Access 脆弱性 CVE-2023-6246:影響を受ける Linux の範囲は?”‘Looney Tunables’ Glibc Vulnerability Exploited in Cloud Attacks
2023/11/06 SecurityWeek — 最近パッチが適用された GNU C Library (glibc) に存在する深刻な特権昇格の脆弱性が、Kinsing マルウェアの展開やクリプトジャッキング攻撃を操る脅威グループにより、クラウドへの攻撃で悪用されている。Looney Tunablesと名付けられた脆弱性 CVE-2023-4911 は、Debian/Gentoo/Red Hat/Ubuntu などの主要 Linux ディストリビューションに影響を及ぼすことが判明している。この脆弱性により、ローカル攻撃者は昇格した権限で、任意のコードを実行できるという。
Continue reading “GNU C Library の脆弱性 CVE-2023-4911:クラウドを狙う脅威アクターが兵器化”Exploits released for Linux flaw giving root on major distros
2023/10/05 BleepingComputer — GNU C Library の Dynamic Loader に存在する深刻度の高い脆弱性を介して、主要な Linux ディストリビューション上でローカル攻撃者が root 権限を取得するという、PoC エクスプロイトがオンライン上で提供されている。Looney Tunables と名付けられた脆弱性 CVE-2023-4911 は、バッファオーバー・フローに起因するものであり、デフォルトでインストールされている Debian 12/13 および、Ubuntu 22.04/23.04、Fedora 37/38 に影響を及ぼす。
Continue reading “GNU C Library の脆弱性 CVE-2023-4911:PoC エクスプロイトが登場し始めた”
IoT OT Security News 