脆弱性

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…

ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…

この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…

はじめに 前回の投稿（ソフトウェアパッケージ脆弱性対応の進め方）では ベンダーが公開しているセキュリティアドバイザリ（RSS）を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…

はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid…

こんにちはえむえすです。Wi-Fiとインターネットの違いに関して誤認している方も多いと思うので解説していきます。 一旦目次を貼っておきます。 Wi-Fiとは インターネットとは 休憩 Wi-Fiのすべて 電波 セキュリティー 今後 インターネットのすべて プロバイダーと回線の形態 LANとWAN その他 終わり まず、Wi-Fiとインターネットの違いはWi-Fiは電波の名称、インターネットは通信網です。 これだけで理解ができない人は多いと思うのでそれぞれ順を追って説明していくので焦る必要はありません。 Wi-Fiとは まず、Wi-Fiが電波とはどういうことかというと、Wi-Fiの正式名称にヒン…

はじめての方限定！初回購入50%割引クーポン ↑詳細は今すぐクリック↑ インターネットの普及に伴い、スパムメールは私たちの日常生活における一大課題となっています。 特に、フィッシング詐欺や個人情報の漏洩など、スパムメールによる被害は年々増加しており、これに対処するための知識が必要不可欠です。 本記事では、「スパムメール対策 対処方法」というテーマで、不審なメールを見分け、安全にインターネットを利用するための具体的な手法や注意点を詳しく解説します。 メールを安全に使いこなすための基本から応用まで、この記事が皆さんのデジタルライフを守る一助となることを願っています。 記事のポイント フィッシング詐…

3行まとめ ファイル圧縮フォーマットである「xz」のソフトウェアのv5.6.0とv5.6.1にて、悪意のあるコードが含まれていたことが判明し、重大な脆弱性として「CVE-2024-3094」として登録されました。

【攻撃の傾向・手法】 iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される - GIGAZINE Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security PhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。 【脆弱性情報】 CISA Warns: Hackers Actively Attacking Microsoft Sh…

TCO システムの導入から運用にかかるすべてのコスト。total cost of ownership CSMA/CD 伝送路上にフレームを送る。それが衝突したら、ランダムな時間待って、再送する。 CRM SCM costomer relationship management: 顧客のことを分析して、それに合った経営していく。顧客との関係を築くこと。 SCM: サプライチェーンマネジメント。製造における調達などの情報をリアルタイムで反映する。 ワークサンプリング法 作業時間を統計的に見積もること。そのために観測を行う。 ペトリネット 並列処理のタイミングを分析するために使われる手法。 IFRS…

サプライチェーン攻撃：見えない敵に潜む脅威 近年、サイバー攻撃の手口はますます巧妙化しており、企業にとって大きな脅威となっています。中でも、サプライチェーン攻撃は、従来の防御方法では防ぎにくい厄介な攻撃として注目されています。 サプライチェーン攻撃とは？ サプライチェーン攻撃とは、企業が利用するソフトウェアやサービス、ハードウェアなどに不正なコードを仕込み、間接的に企業を攻撃する手法です。攻撃者は、企業自体のシステムを直接攻撃するよりも、サプライヤーなど第三者を経由することで、巧みに防御網を潜り抜けます。 サプライチェーン攻撃の手口 サプライチェーン攻撃には、様々な手口があります。以下に代表的…

社会 LINE、韓国企業との資本関係見直しについて社内検討 総務省指導を念頭 LINEは一部業務を韓国のNAVER社に委託しているが、両社には複雑な資本関係が存在する。総務省も行政指導で見直しを求めた。（LINEヤフー株式会社） Wenliang Wang 2024/03/29 更新: 2024/03/29 大紀元 LINEの利用者情報が漏えいした問題について、運営会社のLINEヤフーは29日、エポックタイムズの取材に対し、「総務省からの行政指導を受けて、（韓国企業NAVER社との）資本提携の見直しを含め、社内で議論している」と回答した。LINEヤフーとNAVER社の間には複雑な資本関係があり…

Windowsは、パソコンの世界において不動の地位を築いてきました。Microsoft社が開発するこのオペレーティングシステムは、その柔軟性、使いやすさ、そして常に進化する機能で、数十年にわたり利用者に利益をもたらしてきました。今回は、Windowsの歴史を振り返りながら、その進化と未来について探ってみたいと思います。 １．マイクロソフトの革新：Windows 1.0からWindows 10へ Windowsの最初のバージョンであるWindows 1.0は、1985年にリリースされました。当時はマウスもグラフィカル・ユーザー・インターフェース（GUI）もまだ一般的ではありませんでしたが、Win…

はじめての方限定！初回購入50%割引クーポン ↑詳細は今すぐクリック↑ インターネットの普及に伴い、スパムメールは私たちの日常生活における一大課題となっています。 特に、フィッシング詐欺や個人情報の漏洩など、スパムメールによる被害は年々増加しており、これに対処するための知識が必要不可欠です。 本記事では、「スパムメール対策 対処方法」というテーマで、不審なメールを見分け、安全にインターネットを利用するための具体的な手法や注意点を詳しく解説します。 メールを安全に使いこなすための基本から応用まで、この記事が皆さんのデジタルライフを守る一助となることを願っています。 記事のポイント フィッシング詐…

2022年後半ごろにSynack Red Team（SRT）に入り、副業でバグバウンティをしています。 日本人メンバーが少なくあまり情報もないので、ある程度報告を行ったリサーチャー目線でプラットフォームの特徴や選考プロセスについて共有します。ブログ公開についてはSynackの許諾済みです。 Synack Red Teamに入るまで 他のバグバウンティプラットフォームとSynackの大きな違いは、やはりメンバーになる前に選考プロセスがある、ということだと思います。 この選考プロセスが結構長くて、自分の場合は全部合わせて2,3カ月くらいかかりました。 履歴書 他プラットフォームでのバグバウンティの…

スパムメールの対策として，TCPポート番号25への通信に対してISPが実施するOP25Bの例はどれか。 ISP管理外のネットワークからの通信のうち，スパムメールのシグネチャに合致するものを遮断する。 ISP管理下の動的IPアドレスからISP管理外のネットワークへの直接の通信を遮断する。 メール送信元のメールサーバについてDNSの逆引きができない場合，そのメールサーバからの通信を遮断する。 メール不正中継の脆弱性をもつメールサーバからの通信を遮断する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 ー ISP管理…

Webアプリケーションソフトウェアの脆弱性を悪用する攻撃手法のうち，入力した文字列がPerlのsystem関数，PHPのexec関数などに渡されることを利用し，不正にシェルスクリプトを実行させるものは，どれに分類されるか。 HTTPヘッダインジェクション OSコマンドインジェクション クロスサイトリクエストフォージェリ セッションハイジャック 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 ー HTTPヘッダインジェクションー OSコマンドインジェクションー クロスサイトリクエストフォージェリー セッションハイジ…