サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
2025年12月3日、JavaScriptライブラリReactを開発するTheReact Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの?React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基本値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でもReact を用いたシステムを公開しているホストが多数
昨今の国内における報道等での脆弱性関連情報の取扱いを踏まえて、今般、経済産業省、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)及び国家サイバー統括室から、国内の脆弱性関連情報を取り扱う全ての皆様(脆弱性関連情報の発見者、製品開発者やウェブサイト運営者、報道機関その他産業界の皆様等)に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応に関するお願いについてお伝えします。 経済産業省では、経済社会の活力の向上及び持続的発展並びに国民の皆様が安全で安心して暮らせる社会の実現に資することを目的として、ソフトウェア等の脆弱性(※1)を悪用した不正アクセス行為やコンピュータウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報(※2)が発見された場合にそれらをど
経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見された脆弱性情報は関係者の間のみで管理され、検証と対策実施が済んでから公表する手順になっている。脆弱性が悪用される可能性を低減させるための措置だ。 しかしFeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。発見者は7月に脆弱性について報告していた。 経産省は、脆弱性の発見者はIPAへの届出を行い、正当な理由がない限り関連情報を第三者に開示しないこと、正当な理由により開示が必要な場合でも、事前にIPAに相談するように求めた。併せて
Ubuntu・RHEL・Fedoraに新たなLinux脆弱性、コアダンプ経由でパスワードハッシュ窃取が可能に Last Updated on 2025-06-27 09:40 by 荒木 啓介 Qualys脅威研究ユニット(TRU)は2025年5月31日、Ubuntu、Red Hat EnterpriseLinux、FedoraのコアダンプハンドラーであるapportとSystemd-coredumpに2つの情報漏洩脆弱性を発見したと発表した。CVE-2025-5054(CVSSスコア4.7)はCanonical apportパッケージ2.32.0以下に存在するレースコンディション脆弱性で、ローカル攻撃者がネームスペースを活用してPID再利用により機密情報を漏洩させることを可能にする。CVE-2025-4598(CVSSスコア4.7)はSystemd-coredumpのレースコンディ
Googleは2025年3月17日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報にアクセスできる無料ツール「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」の提供を開始した。 OSV Scanner V2.0.0では、2025年1月にオープンソース化した「OSV-SCALIBR」(ソフトウェア構成分析支援ライブラリ)の機能を初めて統合し、複数の新機能が追加されている。 「開発者やセキュリティチームが脆弱性管理をシンプルかつ効率的にすることを目標に、OSV-Scannerに新機能を多数追加した。幅広いフォーマットやエコシステムをサポートする、より包括的な脆弱性スキャナーおよび脆弱性修正ツールに進化した」と、Googleは述べている。 OSV-Scanner V2.0.0の新機能 OSV-SCALIBRによる依存関係抽出の強化
この脆弱性を悪用するには攻撃者が特別に細工したHFS+ファイルシステムをシステムにマウントさせる必要がある。しかし通常はファイルシステムのマウントは管理者権限が必要となるため、悪用の難易度は比較的高い。 ただし一部の「Linux」のディストリビューションではユーザーがループバックデバイスを作成し、ISOやディスクイメージをマウントできる設定になっている。この場合、攻撃者は悪意のあるファイルシステムイメージをユーザーにマウントさせることで脆弱性を悪用できる可能性がある。Ubuntuのデスクトップ環境ではローカルユーザーがudisks2を利用して特定のファイルシステムを自動マウントできる設定がデフォルトで有効になっている場合がある。SSD Secure Disclosureはこの脆弱性を実証するPoC(概念実証)エクスプロイトコードを公開している。このエクスプロイトは「Linux Kerne
夫婦間で一方が不機嫌になったときに、謝ったりご機嫌を取ったりする傾向は若い男性ほど強い――。そんな実態が、中央大の山田昌弘教授(家族社会学)たちが行った調査から浮かび上がった。パートナーが恒常的に不…
オープンソースの監視カメラシステム「ZoneMinder」に脆弱性が明らかとなった。 「同1.37」以降のバージョンに、SQLインジェクションの脆弱性「CVE-2024-51482」が存在することが明らかとなったもの。 特定のリクエストに含まれるパラメータが適切にエスケープ処理されていないため、データベースを制御され、データを改ざんされたり、漏洩するおそれがあるという。 開発者は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10.0」、重要度を「クリティカル(Critical)」とレーティングしている。 開発チームは「同1.37.65」にて脆弱性を修正。利用者にアップデートを呼びかけている。 (Security NEXT - 2024/11/12 ) ツイート
ZDI、パッチ不在の脆弱性でマツダ車のハッキングが可能と警告(CVE-2024-8355、CVE-2024-8359他)SecurityWeek – November 8, 2024 トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)は、マツダ車の複数モデルに搭載されているインフォテイメントシステムに数件の脆弱性が存在し、攻撃者にroot権限で任意のコードを実行される危険性などがあると警告した。 ZDIによると、これらの問題はマツダコネクトのコネクティビティ・マスタ・ユニット(CMU)システムがユーザー入力を適切にサニタイズしないために発生しており、攻撃者が特別に細工したUSBデバイスを接続することで同システムにコマンドを送信可能になるという。影響を受けるのは2014〜2021年モデルのMAZDA3とその他の車種で、欠陥が特定されたソフトウ
数億個のAMD製CPUに存在する深刻な脆弱性「Sinkclose」が報告、検出不可能なマルウェアインストールが可能となり、システムの廃棄が必要になる場合もAMD製CPUに10年以上にわたって存在していた深刻な脆弱性「Sinkclose」が発見された。この脆弱性は、2006年以降に製造されたほぼ全てのAMD製プロセッサに影響を与え、システムの非常に奥深くに侵入することを可能とする物であり、場合によってはマシンの修復が不可能となり、マシン自体を廃棄する必要すらある程に深刻な物となっている。 Sinkclose はウイルス対策を回避し、OS の再インストール後も存続する Sinkcloseは、セキュリティ企業IOActiveの研究者Enrique Nissim氏とKrzysztof Okupski氏によって発見された。彼らは、AMDのドキュメントを何度も読み返す中で、この重大な脆弱性を見出した
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
Check Point SoftwareTechnologiesのゲートウェイ製品にゼロデイ脆弱性「CVE-2024-24919」が明らかとなった問題。当初、パスワードのみを認証に使用する環境が攻撃対象になったと強調されていたが、より多くの利用者が影響を受ける可能性がある。国内では対象機器が多数稼働していると見られ、注意が必要だ。 「CVE-2024-24919」は、同社機器の「リモートアクスVPN」「モバイルアクセス」機能に判明した脆弱性。 同社が提供する「CloudGuardNetwork」「Quantum Maestro」「QuantumScalable Chassis」「QuantumSecurityGateway」「Quantum Spark Appliance」が影響を受ける。 Check Pointでは、現地時間5月27日にセキュリティアドバイザリを公開し、「CVE
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
JPCERTコーディネーションセンター(JPCERT/CC: Japan ComputerEmergency Response Team Coordination Center)は4月5日、「JVN#82074338:NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻撃者に任意のコマンドを実行される可能性があり注意が必要。 JVN#82074338:NEC Atermシリーズにおける複数の脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 NV24-001:セキュリティ情報 |NEC 公開された脆弱性(CVE)の情報は次のとおり。CVE-2024-28005 - 攻撃者がTelnetでログインした場合、機器の設定を変
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。本
JPCERT-AT-2024-0004 JPCERT/CC 2024-02-09(公開) 2024-02-29(更新) I. 概要2024年2月8日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける境域外書き込みの脆弱性(CVE-2024-21762)に関するアドバイザリ(FG-IR-24-015)を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したHTTPリクエストを送信し、結果として任意のコードまたはコマンドを実行する可能性があります。 Fortinetは、アドバイザリにて本脆弱性に対して悪用の可能性を示唆しています。ただし、現時点(2024年2月15日)では影響範囲や対策についての情報のみです。今後もFortinetが提供する最新の情報を確認し、対策や調査の実施を推奨します。 Fortinet FortiOS/FortiPro
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
