Zimbra bug allows stealing email logins with no user interaction
2022/06/15 BleepingComputer — Eメール・ソリューションのひとつである Zimbra は、世界の政府機関/金融機関/教育機関などの、数多くの組織で広く利用されている。その Zimbra の特定のバージョンに影響する深刻な脆弱性について、技術的な詳細が明らかにされた。脆弱性 CVE-2022-27924 は、悪用に成功した攻撃者に対して、認証/ユーザー操作を必要としないログイン情報の窃取を許し、オープンソース版/商用版の Zimbra 8.8.x/9.x に影響を及ぼす。
Continue reading “Zimbra の脆弱性 CVE-2022-27924 が FIX:ユーザー操作なしでEメールのログイン情報が窃取される”Log4Shell-like Critical RCE Flaw Discovered in H2 Database Console
2022/01/07 TheHackerNews — H2 データベース・コンソールで発見されたリモートコード実行の脆弱性だが、先月に明らかになった Log4Shell と同じ構造を持つ欠陥であることが、研究者たちにより公表された。JFrog の研究者である Andrey Polkovenko と Shachar Menashe は、「Log4j 以外のコンポーネントで発表された、Log4Shell に似た初めての深刻な問題であり、Log4Shell と同じ根本的な原因であう、JNDI リモートクラス・ローディングを悪用するものだ」と述べている。
Continue reading “H2 Database Console に Log4Shell と同じ構造の脆弱性:約 6,800 件のアーティファクトに影響”AppSec and Software Community Respond to Log4j
2021/12/30 SecurityBoulevard — アプリケーション・セキュリティとオープンソース・ソフトウェアのコミュニティは、Java Log4j の脆弱性の問題に立ち向かい、ソフトウェアへのパッチ適用/情報の共有/緩和策やツールの提供などを行っている。まだ危機を脱したわけではないが、彼らのこれまでの行動には感銘を受けた。
Continue reading “Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ”New Log4j Attack Vector Discovered
2021/12/21 DarkReading — 12月9日に公開された Log4j のリモートコード実行 (RCE) の脆弱性だが、それを狙う攻撃への対応を進めている企業は、いくつかの新たな検討事項を念頭に置いている。Blumira のセキュリティ研究者たちは、内部およびローカルに公開された Log4j アプリケーションに対して、JavaScript による WebSocket 接続を介した、RCE の脆弱性がトリガーされる可能性があることを発見した。
Continue reading “Log4j の新たな攻撃ベクター WebSocket と3つの脆弱性に関する整理”
IoT OT Security News 