脆弱性。欠陥や、欠陥ではないが何らかの弱点(たとえば、別の何かと組み合わせた特定の条件下でだけ攻撃が成立するものや、十分な時間をかければ突破できるといった強度が低いという部類もの)を含む言葉。主にセキュリティ分野で好んで用いられる。
参考:「欠陥」なのか「脆弱性」なのか - 高木浩光@茨城県つくば市 の日記
なおこの言葉は、1980年代に日本の人類学者・山口昌男氏によって「攻撃誘発性」と訳され、紹介されたことがある。 →ヴァルネラビリティ
cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…
2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…
Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知す…
2022/06/29分のコミットです。 CHANGELOGへの追加はありませんでした。 Fix vulnerability on open redirects actionpack/lib/action_controller/metal/redirecting.rbの修正です。 Allow relative redirects when raise_on_open_redirects is enabledの対応の影響で、http:///www.rubyonrails.org/のような不正な加工されたURLが指定された場合に、open redirect出来てしまうバグがあったのを修正しています。
「ソフトウェア・リリース情報」の表がはみ出していますが、カーソルを横(右)にスクロールするとはみ出した部分が表示されます。 セキュリティインシデントカレンダー カテゴリ凡例 セキュリティ事件 脅威情報 脆弱性情報 セキュリティ技術 観測情報 その他 日付 カテゴリ 概要 5月4日(水) その他 GitHubの最高セキュリティ責任者(CSO)は、アカウントのセキュリティを向上させるため、GitHubでコードを共有するすべてのユーザに対して、2023年末までに1つ以上の2要素認証を有効化する仕様に変更することを公表した。 5月5日(木) セキュリティ技術 FIDO Allianceは、FIDO A…
株式会社インターネットイニシアティブ(IIJ)のセキュリティ情報発信サイト 「wizSafe Security Signal(ウィズセーフ セキュリティ シグナル)」のセキュリティ観測レポートにおいて、2022年5月に発生した観測情報を公開しました 2022年5月観測レポートサマリ DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー ソフトウェアリリース情報 2022年5月観測レポートサマリ 本レポートでは、2022年5月中に発生した観測情報と事案についてまとめています。 当月は1日あたりのDDo…
【ニュース】■2018年 ◆「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定 (Security NEXT, 2018/04/19) http://www.security-next.com/092515 ⇒ https://vul.hatenadiary.com/entry/2018/04/19/000000 ■2019年 ◆OpenSSLに複数の脆弱性、アップデートを (マイナビニュース, 2019/09/15 10:48) https://news.mynavi.jp/article/20190915-893817/ ⇒ https://vul.hate…
【インシデント事例】 ・名古屋大学に不正アクセス 「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか - ITmedia NEWS ・トヨタ紡織グループのタイの販売会社に不正アクセス | ScanNetSecurity 【攻撃の傾向・手法、攻撃組織の動向】 ・FBI: Stolen PII and deepfakes used to apply for remote tech jobs ・Lockbit Ransomware Delivered Through Fake Copyright Claim E-mail 【脆弱性情報】 ・Over 900,000 Kubernete…
DockerやKubernetesが当たり前に使われるようになって、ただこれらのコンテナーツールを便利に使うだけでなく、 安全に使うための工夫が必要になってきています。 コンテナーでアプリケーションを使う上で、コンテナーイメージは重要なパーツの一つです。 コンテナーイメージとはコンテナープラットフォームの上でアプリケーションを動かすための環境を提供するものを指します。 コンテナーではなくネイティブな環境とコンテナーでアプリケーションを実行した場合の関係性を図にしてみると次のようになります。カーネルと実行ファイル、ライブラリーの上でアプリケーションが実行されているのは共通ですが、コンテナーの場合…
先週に続き、2022年6月20日~6月26日に読んだ中で気になったニュースとメモ書き(TLSらじお第62回の前半用原稿)です。 [EdDSA Double-PubKey Oracle攻撃] [CertigoとTlsx] [その他のニュース] ▼e-GovのTLSプロトコル ▼Amazon CloudFrontのTLSヘッダー ▼JavaとTLS ▼OpenSSL:CVE-2022-2068 ▼証明書管理ツールStep [まとめ]
【要点】 ◎ 脆弱性: CVE-2021-44228を狙う攻撃 ◎ 攻撃活動が活発化傾向 ◎ マルウェア(ランサムウェア, コインマイナー, Bot等)のダウンロード活動が活発化 ■関連情報(まとめサイト) - 脆弱性関連 - ◆Log4Shell [脆弱性] (まとめ) [TT 脆弱性 Blog] ⇒ 脆弱性関係の情報はこちら https://vul.hatenadiary.com/entry/Log4Shell vul.hatenadiary.com ■警察庁の攻撃数観測データ 出典: https://www.npa.go.jp/cyberpolice/important/2021/202…
【要点】 ◎本拠地をロシアにおくランサムウェア犯罪組織 ◎ Ryuk の後継ランサムウェア。Ryuk の使用は現在停止している。ロシアの犯罪組織 Wizard Spider が RaaSで使用していると考えられている incidents.hatenablog.com 【目次】 概要 【辞書】 【概要】 【最新情報】 記事 【ニュース】 【図表】 【検索】 【リークサイト】 【関連情報】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Conti (Malpedia) https://malpedia.caad.fkie.fraunhofer.de/details/win.conti ◆Cont…
わからないことには投資しない、を鉄則としている身ですが(臆病なだけ)”Cryptocurrency” には未知の魅力を感じていました。しかしこの報告書でブロックチェーンの脆弱性が明らかになったようです!! 今は、特別なコンピューターシステムを駆使しなくても、いろんなアプリで簡単にマイニングできるようになっています。投資リスク”ゼロ”!! まぁ、それなら、いいかな? VOAで英語を学びましょう!! 忘れかけてる単語復習!! 米機関、暗号通貨の分散型システムに疑問を呈す(和訳) US Agency Raises Questions about Cryptocurrency’s Decentrali…
【目次】 概要 【概要】 【CVE_DB】 【最新情報】 記事 【ニュース】 【ブログ】 【公開情報】 関連情報 【関連まとめ記事】 概要 【概要】 日 CVE番号 NVD CVSS v3 CWE 脆弱性 備考 2021/12/14 CVE-2021-25036 NVD 8.8 CWE-287 特権昇格 2021/12/14 CVE-2021-25037 NVD 6.5 CWE-89 SQL インジェクション 2022/02/08 CVE-2022-24663 NVD 9.9 CWE-94 Code Injection ショートコードによるリモートコード実行の脆弱性, 2022/02/08 C…
よく使うgemをまとめてみる 前口上 先月まとめたように、SaaSブームの中でアプリからWebへの回帰が少し起きている感覚があり、アプリのバックエンドでAPIだけなら軽量フレームワークでいけた場合でも、画面の描画もやる場合はなんだかんだでフルスタックフレームワークの方が融通がきくように感じています。 とりわけB向けサービスではアクセスがそれほどないが業務要件が複雑という場合もあり、ORMの能力がダイレクトにビジネス上の競争力につながるため素朴なRailsでActiveRecordの構成がはまるケースも多いです。 Ruby on Railsでの開発は枯れに枯れているのですが、まとめたことがなかっ…
よく調べずに git のバージョンを更新してハマりました。 解決方法は単純だったので忘れないように備忘録しておこうと思います。 起こったこと いつものように git status を実行したところ以下のようなエラーが表示されました。 $ git status fatal: unsafe repository ('C:/src/XXXXXXXXXXXXXXXXXX' is owned by someone else) To add an exception for this directory, call: git config --global --add safe.directory C:/…
みんな大好き〜ガールズグループチャレンジー!!! I'm watching Total Ru-quest Live on WOW Presents Plushttp://www.wowpresentsplus.com/videos/ras-706 スナッチゲームなんかは「みんな大好き(?)」みたいにハテナマークをつけてしまうのですが、ガールズグループチャレンジに関しては自信を持ってみんな好きでしょ!と言えます。いや〜神々の遊びであるこのシーズン、普段はときめき度がそうでもないチャレンジでも最高を叩き出してくれますが、もともと好きなチャレンジだと本当、最the高ですね…全員かわいい、今すぐデビュ…
【ニュース】 ◆Chinese APT groups targeting India, Pakistan and more with Sophos firewall vulnerability (The Record, 2022/06/17) [中国のAPTグループがSophos Firewallの脆弱性を利用してインド、パキスタンなどを標的にしていることが判明] https://therecord.media/chinese-apt-groups-targeting-india-pakistan-and-more-with-sophos-firewall-vulnerability/ ⇒ h…