脆弱性。欠陥や、欠陥ではないが何らかの弱点(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)を含む言葉。主にセキュリティ分野で好んで用いられる。
参考:「欠陥」なのか「脆弱性」なのか - 高木浩光@茨城県つくば市 の日記
なおこの言葉は、1980年代に日本の人類学者・山口昌男氏によって「攻撃誘発性」と訳され、紹介されたことがある。 →ヴァルネラビリティ
InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク) 脆弱性の内容、対処方法、Fix バージョンについて説明します。 CVE-2023-42658 公式 CVE リンク: https://nvd.nist.gov/vuln/detail/CVE-2023-42658 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658 重大な脆弱性として報告されており、早急な対処が必要であることがわかります。 影響範囲 InSpec CLI の archive check export コマンド実…
前に書いたRustのコードをGitHubにおいていたら、脆弱性情報が通知されていたので、それに対応した。 別のところで同じ対応をするときに困らないように、行った作業をまとめておこうと思う。 対応したリポジトリは以下。 GitHub - aimdevel/part-mount: tool to mount a partition of device file. Security通知の確認 放置していたリポジトリを久しぶりに見に行くと、securityタブに1と表示されていた。 内容を見ると以下のように書かれている。 どうやら問題のあるバージョンのrustixが依存に存在するので、バージョンを上げ…
こんにちは、お手伝いの大櫛です。 今回は、rustc/Cargoまわりの脆弱性紹介に引き続き、community crates関連の脆弱性を紹介していきます。 rustcと違い、ある脆弱性一つがRustユーザー全体に影響を与えるものではないため、比較的広くつかわれているcrateのものや、個人的に面白いと思ったものを取り上げます。必ずしも今回の脆弱性すべてがCVSSスコアで言うところのクリティカルなものではないこと、今回紹介した以外にもクリティカルな脆弱性は存在し得ることをご留意ください。 また、筆者の理解不足により、脆弱性の説明において誤った内容を述べている可能性があります。そのような記述を…
こんにちは、お手伝いの大櫛です。 今回はrustcや標準ライブラリ、Cargoについて発見された脆弱性のいくつかを紹介していきます。 Cargoについての補足ですが、一般的なセットアップツールの一つであるrustupを使う場合、rustcとCargoはRust toolchainとして強く結びついています。このため、今回はrustcと共に紹介したいと思います。 念のための注釈として、この文章中の「Rust x.y.z以降」という表現はx.y.z自身を含むものとします。 また、この記事中ではMIT/Apacheでデュアルライセンスされている標準ライブラリの実装コードを一部引用している箇所がありま…
cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…
2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…
Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知す…