最新記事一覧
JPCERT/CCは、WordPress用プラグイン「Forminator」に複数の脆弱性が存在すると伝えた。これらの中にはCVSS 9.8に分類されるものも含まれるため注意が必要だ。
()
IvantiはMDMソリューション「Avalanche」のバージョン6.4.3をリリースした。今回のアップデートは2件の重大な脆弱性を含む27件の問題に対処した。修正された脆弱性の中にはシステムへの不正アクセスを許す可能性のあるものが含まれている。
()
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」(Critical)に分類されているため、迅速な対応が求められる。
()
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。
()
Rustセキュリティレスポンスワーキンググループは、Rustの標準ライブラリに脆弱性(CVE-2024-24576)が存在すると報告した。サイバー攻撃者が任意のシェルコマンドを実行できる可能性がある。
()
Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。
()
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。
()
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。
()
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。
()
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。
()
脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。
()
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。
()
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。
()
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。
()
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。
()
日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97%から2022年には83%となり、減少傾向にあることが分かった。
()
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。
()
「Microsoft Outlook」に存在する脆弱性を悪用する攻撃者集団の攻撃活動が明らかになった。Microsoftがパッチを公開済みであるにもかかわらず、危険な状況が続いているのはなぜか。
()
サイバー攻撃に限らず物事には始まりと終わりがある。侵入における「起点」で留意すべきポイントと、それでもやられてしまった場合の「終点」でどのような手を講じ、どう動くべきかを説いた。
()
Mend.ioはセキュリティスコアリング指標「EPSS」について解説した。EPSSのメリットや課題、CVSSとの使い分けなどをまとめた。
()
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。
()
ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。
()
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。
()
Veracodeが実施した調査によると、アプリケーションの3分の1以上が脆弱なバージョンのLog4jを使っていることが分かった。Log4Shellが存在しているバージョンをいまだに使っている企業もあるという。
()
VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。
()
Shadowserver Foundationは、サポートが終了した脆弱なMicrosoft Exchange Serverが約2万台稼働していると報じた。複数の脆弱性が存在しているとされており、注意が必要だ。
()
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。
()
Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。
()
CISAはJuniper Junos OSの5つの脆弱性を新たに脆弱性カタログに追加した。これらはリモートからのコード実行が可能で、CVSSスコア値9.8で「緊急」に分析される。
()
米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。
()
ファイル共有サービス「Citrix ShareFile」の脆弱性を悪用した攻撃が活発化し、米国政府機関が注意を呼び掛けている。どのような脆弱性なのか、セキュリティ専門家の見解をまとめた。
()
FIRSTは共通脆弱性評価システム(CVSS)の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。
()
ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。
()
Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。
()
VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。
()
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」(Critical)に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。
()
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。
()
CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。
()
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。
()
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。
()
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。
()
Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。
()
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。
()
Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。
()
Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。
()
TWCERT/CCはASUSTeKの3つのWi-Fiルーターに「緊急」の脆弱性があると発表した。ルーターが乗っ取られる危険性があり、ユーザーは迅速にアップデートを適用することが求められている。
()
VMwareのネットワーク監視ツール「Aria Operations for Networks」に「緊急」の脆弱性が見つかった。CVSS v3スコア9.8となっており、該当製品を使っている企業は直ちにアップデートしてほしい。
()
CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。
()
VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。
()
Intelのプロセッサに情報漏えいを引き起こす危険がある脆弱性「Downfall」が見つかった。同プロセッサはサーバ市場で70%以上のシェアを占めていることから、インターネットを使用する全てのユーザーが影響を受ける可能性がある。
()