vulnerability

Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知す…

2022/06/29分のコミットです。 CHANGELOGへの追加はありませんでした。 Fix vulnerability on open redirects actionpack/lib/action_controller/metal/redirecting.rbの修正です。 Allow relative redirects when raise_on_open_redirects is enabledの対応の影響で、http:///www.rubyonrails.org/のような不正な加工されたURLが指定された場合に、open redirect出来てしまうバグがあったのを修正しています。

「ソフトウェア・リリース情報」の表がはみ出していますが、カーソルを横（右）にスクロールするとはみ出した部分が表示されます。 セキュリティインシデントカレンダー カテゴリ凡例 セキュリティ事件 脅威情報 脆弱性情報 セキュリティ技術 観測情報 その他 日付 カテゴリ 概要 5月4日（水） その他 GitHubの最高セキュリティ責任者（CSO）は、アカウントのセキュリティを向上させるため、GitHubでコードを共有するすべてのユーザに対して、2023年末までに1つ以上の2要素認証を有効化する仕様に変更することを公表した。 5月5日（木） セキュリティ技術 FIDO Allianceは、FIDO A…

株式会社インターネットイニシアティブ（ＩＩＪ）のセキュリティ情報発信サイト 「wizSafe Security Signal（ウィズセーフ セキュリティ シグナル）」のセキュリティ観測レポートにおいて、2022年5月に発生した観測情報を公開しました 2022年5月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2022年5月観測レポートサマリ 本レポートでは、2022年5月中に発生した観測情報と事案についてまとめています。 当月は1日あたりのDDo…

【インシデント事例】 ・名古屋大学に不正アクセス 「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか - ITmedia NEWS ・トヨタ紡織グループのタイの販売会社に不正アクセス | ScanNetSecurity 【攻撃の傾向・手法、攻撃組織の動向】 ・FBI: Stolen PII and deepfakes used to apply for remote tech jobs ・Lockbit Ransomware Delivered Through Fake Copyright Claim E-mail 【脆弱性情報】 ・Over 900,000 Kubernete…

DockerやKubernetesが当たり前に使われるようになって、ただこれらのコンテナーツールを便利に使うだけでなく、 安全に使うための工夫が必要になってきています。 コンテナーでアプリケーションを使う上で、コンテナーイメージは重要なパーツの一つです。 コンテナーイメージとはコンテナープラットフォームの上でアプリケーションを動かすための環境を提供するものを指します。 コンテナーではなくネイティブな環境とコンテナーでアプリケーションを実行した場合の関係性を図にしてみると次のようになります。カーネルと実行ファイル、ライブラリーの上でアプリケーションが実行されているのは共通ですが、コンテナーの場合…

先週に続き、2022年6月20日～6月26日に読んだ中で気になったニュースとメモ書き（TLSらじお第62回の前半用原稿）です。 [EdDSA Double-PubKey Oracle攻撃] [CertigoとTlsx] [その他のニュース] ▼e-GovのTLSプロトコル ▼Amazon CloudFrontのTLSヘッダー ▼JavaとTLS ▼OpenSSL：CVE-2022-2068 ▼証明書管理ツールStep [まとめ]

【要点】 ◎ 脆弱性: CVE-2021-44228を狙う攻撃 ◎ 攻撃活動が活発化傾向 ◎ マルウェア(ランサムウェア, コインマイナー, Bot等)のダウンロード活動が活発化 ■関連情報(まとめサイト) - 脆弱性関連 - ◆Log4Shell [脆弱性] (まとめ) [TT 脆弱性 Blog] ⇒ 脆弱性関係の情報はこちら https://vul.hatenadiary.com/entry/Log4Shell vul.hatenadiary.com ■警察庁の攻撃数観測データ 出典: https://www.npa.go.jp/cyberpolice/important/2021/202…

わからないことには投資しない、を鉄則としている身ですが（臆病なだけ）”Cryptocurrency” には未知の魅力を感じていました。しかしこの報告書でブロックチェーンの脆弱性が明らかになったようです！！ 今は、特別なコンピューターシステムを駆使しなくても、いろんなアプリで簡単にマイニングできるようになっています。投資リスク”ゼロ”！！ まぁ、それなら、いいかな？ VOAで英語を学びましょう！！ 忘れかけてる単語復習！！ 米機関、暗号通貨の分散型システムに疑問を呈す（和訳） US Agency Raises Questions about Cryptocurrency’s Decentrali…

【目次】 概要 【概要】 【CVE_DB】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 関連情報 【関連まとめ記事】 概要 【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/12/14 CVE-2021-25036 NVD 8.8 CWE-287 特権昇格 2021/12/14 CVE-2021-25037 NVD 6.5 CWE-89 SQL インジェクション 2022/02/08 CVE-2022-24663 NVD 9.9 CWE-94 Code Injection ショートコードによるリモートコード実行の脆弱性, 2022/02/08 C…

よく使うgemをまとめてみる 前口上 先月まとめたように、SaaSブームの中でアプリからWebへの回帰が少し起きている感覚があり、アプリのバックエンドでAPIだけなら軽量フレームワークでいけた場合でも、画面の描画もやる場合はなんだかんだでフルスタックフレームワークの方が融通がきくように感じています。 とりわけB向けサービスではアクセスがそれほどないが業務要件が複雑という場合もあり、ORMの能力がダイレクトにビジネス上の競争力につながるため素朴なRailsでActiveRecordの構成がはまるケースも多いです。 Ruby on Railsでの開発は枯れに枯れているのですが、まとめたことがなかっ…

よく調べずに git のバージョンを更新してハマりました。 解決方法は単純だったので忘れないように備忘録しておこうと思います。 起こったこと いつものように git status を実行したところ以下のようなエラーが表示されました。 $ git status fatal: unsafe repository ('C:/src/XXXXXXXXXXXXXXXXXX' is owned by someone else) To add an exception for this directory, call: git config --global --add safe.directory C:/…

【ニュース】 ◆Chinese APT groups targeting India, Pakistan and more with Sophos firewall vulnerability (The Record, 2022/06/17) [中国のAPTグループがSophos Firewallの脆弱性を利用してインド、パキスタンなどを標的にしていることが判明] https://therecord.media/chinese-apt-groups-targeting-india-pakistan-and-more-with-sophos-firewall-vulnerability/ ⇒ h…