Hatena Blog Tags
はてなブログ トップ
vulnerability
このタグでブログを書く
言葉の解説
ネットで話題
関連ブログ

vulnerability

(コンピュータ)
ばるねらびりてぃ

脆弱性。欠陥や、欠陥ではないが何らかの弱点(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)を含む言葉。主にセキュリティ分野で好んで用いられる。

参考:「欠陥」なのか「脆弱性」なのか - 高木浩光@茨城県つくば市 の日記

なおこの言葉は、1980年代に日本の人類学者・山口昌男氏によって「攻撃誘発性」と訳され、紹介されたことがある。
→ヴァルネラビリティ

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
aimdevel’s blog2ヶ月前

github actionsでyoctoの脆弱性情報をチェックする

始めに 実施内容 脆弱性対応状態チェックスクリプト github actionsのワークフローに組み込み ついでに 終わりに 始めに 前回はyoctoでビルドしたOSの脆弱性情報をファイルで取得するところまで作成した。 aimdevel.hatenablog.com 今回はその結果に未対応の脆弱性があるかどうかを判定できるようにしていく。 実施内容 脆弱性情報は前回の記事で取得できているので、その内容をチェックする以下のスクリプトを作った。 脆弱性対応状態チェックスクリプト meta-my-raspberrypi/ci/cve-check/check_yocto_cve_json.py at …

#GitHub Actions#vulnerability#YoctoProject

ネットで話題

もっと見る
381ブックマークOpenSSL #ccsinjection Vulnerabilityccsinjection.lepidum.co.jp
228ブックマークJapan Vulnerability NotesJVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family d...jvn.jp
172ブックマークGoogle's Vulnerability Reward Program - ma<s>atokinugawa's blogmasatokinugawa.hatenablog.com
140ブックマークDisclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示gist.github.com
125ブックマークJapan Vulnerability NotesJVNVU#95720792: Trend Micro Apex OneおよびApex One SaaSにおける複数の脆弱性(2024年12月) [2024/12/20 16:15] JVNVU#98968158: 複数のHitachi Energy製品における複数の脆弱性 [2024/12/20 14:45] JVNVU#90514806: Delta Electronics製DTM Softにおける信頼できないデータのデシリアライゼーションの脆弱性 [20...jvn.jp
123ブックマークToday's CPU vulnerability: what you need to knowsecurity.googleblog.com
121ブックマークGitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devicesgithub.com
102ブックマークregreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blogblog.qualys.com
101ブックマークVulnerability announced: update your Git clientsAI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine...github.blog

関連ブログ

The light of hope to the other side of the tunnel - Kotsu Kotsu To -4ヶ月前

OWASP Top 10 for LLM Applications 2025 について: ④ Data and Model Poisoning

説明: データ・ポイズニングとは、事前学習(pre-training)、ファインチューニング(fine-tuning)、または埋め込みデータ(embedding data)が操作されることで、脆弱性、バックドア、またはバイアスが意図的に導入される攻撃を指します。この操作により、モデルのセキュリティ、パフォーマンス、または倫理的な振る舞いが損なわれ、有害な出力や能力の低下を引き起こす可能性があります。 データ・ポイズニングの主なリスク モデルの性能低下 バイアスや有害なコンテンツの生成 下流のシステム(downstream systems)の悪用 データ・ポイズニングは、LLM(大規模言語モデル…

#LLM#vulnerability
The light of hope to the other side of the tunnel - Kotsu Kotsu To -4ヶ月前

OWASP Top 10 for LLM Applications 2025 について: ③ Supply Chain

LLM03:Supply Chain 概要 LLMのサプライチェーンはさまざまな脆弱性にさらされており、学習データ、モデル、デプロイメント(展開)プラットフォームの完全性が損なわれる可能性があります。 これらのリスクが現実化すると、バイアスのある出力、セキュリティ侵害、システム障害などの問題が発生する可能性があります。 従来のソフトウェアにおける脆弱性は、コードの欠陥や依存関係に焦点を当てることが多いですが、機械学習(ML)の場合は、サードパーティの事前学習済みモデルやデータにもリスクが及びます。 これらの外部要素は、改ざん(Tampering)やデータポイズニング(Poisoning)攻撃 …

#LLM
Chef InSpec Tech Blogs2年前

InSpec に重大な脆弱性 – CVE-2023-42658

InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク) 脆弱性の内容、対処方法、Fix バージョンについて説明します。 CVE-2023-42658 公式 CVE リンク: https://nvd.nist.gov/vuln/detail/CVE-2023-42658 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658 重大な脆弱性として報告されており、早急な対処が必要であることがわかります。 影響範囲 InSpec CLI の archive check export コマンド実…

#vulnerability#脆弱性
aimdevel’s blog2年前

GitHubのDependabot alertに対処する

前に書いたRustのコードをGitHubにおいていたら、脆弱性情報が通知されていたので、それに対応した。 別のところで同じ対応をするときに困らないように、行った作業をまとめておこうと思う。 対応したリポジトリは以下。 GitHub - aimdevel/part-mount: tool to mount a partition of device file. Security通知の確認 放置していたリポジトリを久しぶりに見に行くと、securityタブに1と表示されていた。 内容を見ると以下のように書かれている。 どうやら問題のあるバージョンのrustixが依存に存在するので、バージョンを上げ…

#GitHub#Rust#vulnerability
paild tech blog2年前

Rust 外部crates脆弱性概説と便利ツール

こんにちは、お手伝いの大櫛です。 今回は、rustc/Cargoまわりの脆弱性紹介に引き続き、community crates関連の脆弱性を紹介していきます。 rustcと違い、ある脆弱性一つがRustユーザー全体に影響を与えるものではないため、比較的広くつかわれているcrateのものや、個人的に面白いと思ったものを取り上げます。必ずしも今回の脆弱性すべてがCVSSスコアで言うところのクリティカルなものではないこと、今回紹介した以外にもクリティカルな脆弱性は存在し得ることをご留意ください。 また、筆者の理解不足により、脆弱性の説明において誤った内容を述べている可能性があります。そのような記述を…

#Rust#vulnerability
paild tech blog2年前

rustcの脆弱性概説と最新stable追従の重要性

こんにちは、お手伝いの大櫛です。 今回はrustcや標準ライブラリ、Cargoについて発見された脆弱性のいくつかを紹介していきます。 Cargoについての補足ですが、一般的なセットアップツールの一つであるrustupを使う場合、rustcとCargoはRust toolchainとして強く結びついています。このため、今回はrustcと共に紹介したいと思います。 念のための注釈として、この文章中の「Rust x.y.z以降」という表現はx.y.z自身を含むものとします。 また、この記事中ではMIT/Apacheでデュアルライセンスされている標準ライブラリの実装コードを一部引用している箇所がありま…

#Rust#vulnerability
kyohmizu's blog3年前

CVE-2022-0492 調査まとめ

cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…

#Security#vulnerability
daiki0508'足跡4年前

Androidアプリのアクセス制御不備の脆弱性 In Kotlin

2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…

#Android Security#vulnerability#Deeplink#Kotlin