JPCERT-AT-2019-0033 JPCERT/CC 2019-09-02(新規) 2019-09-06(更新) I. 概要JPCERT/CC では、複数の SSL VPN 製品の脆弱性について、脆弱性に対する実証コードなどの詳細な情報が公表されていることを確認しています。 - Palo Alto Networks (CVE-2019-1579) - Fortinet (CVE-2018-13379) - Pulse Secure (CVE-2019-11510) これらの脆弱性を悪用された場合に、攻撃者がリモートから任意のコードを実行できる可能性 (CVE-2019-1579) や、任意のファイルを読み取り、認証情報などの機微な情報を取得する可能性 (CVE-2018-13379, CVE-2019-11510) があります。なお、脆弱性の報告者からは、それぞれの製品について、上記

セブン＆アイ・ホールディングスが決済サービス「7pay（セブンペイ）」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」（広報）としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン＆アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI

Business Insider Japan編集部｢7pay｣取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった｢セキュリティー不備｣につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン＆アイHDが記者会見で被害推定額を｢約5500万円｣と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン＆アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ

ルーターへのサイバー攻撃 どうやら、インターネット接続用のルーター機器にサイバー攻撃が流行しているようです。昨日夕方のニュースです。 www.asahi.com 画面に「Ｆａｃｅｂｏｏｋ拡張ツールバッグを取付て安全性及び使用流暢性を向上します」とのメッセージが表示され、ネットにつながらなくなる。 この記事だけでは詳細まで理解するのは難しいと思いまとめることにします。 スポンサーリンク 事例 すでにオフィスで同じ状況になり、解決された方がいらっしゃいますのでご紹介します。 tips4life.me こちらの内容を読むだけでも十分概要はつかめると思います。 以下、解説です。 攻撃の内容 １）攻撃者がルーターに侵入しDNSサーバーのアドレスを変更する 世の中にはたくさんのインターネット接続用ルーターがありますよね。そのルーターにネットワークインターフェースという通信用の部品が必ず入っていて、その

先週、また興味深いニュースがありました。無線LANルーターなどを製造するコレガが、サポートが終了した自社のルーターに脆弱（ぜいじゃく）性があることを発表するとともに回避策を通知したのです。 その回避策とは「当該ルーターの使用を停止する」こと。これを聞いて、「そんなのアリ？」と拒否反応を示した人も多いかもしれませんが、私は「これはこれで誠実な対応」だと思ったのです。 IT機器にはサポート期間があるが、脆弱性はなくならない 明らかになった脆弱性を管理する情報ポータル、JVN（Japan Vulnerability Notes）によると、コレガの無線LANルーター「CG-WGR1200」には、 不正にメモリ領域を破壊し、設計者が意図しない行動を起こす「バッファオーバーフロー」 意図しない命令が実行できてしまう「OS コマンドインジェクション」 登録された利用者以外がログインできてしまう「認証不備

米Intelの脆弱性対策パッチをインストールした一部のCPU搭載マシンでリブートが増える不具合が確認された問題で、Intelは1月22日、現在出回っているパッチの導入を中止するよう、メーカーやエンドユーザーに呼び掛けた。 Intelは「Meltdown」「Spectre」と呼ばれるCPUの脆弱性が発覚したことを受け、1月上旬までにOEMなどを通じて対策パッチを配信した。ところがこのパッチが原因でリブートが増える不具合が報告され、IntelはBroadwell、Haswell、Skylake、Kaby Lakeの各CPUを搭載したマシンで問題を確認していた。 1月22日の時点では、このうちBroadwellとHaswellの問題について、根本の原因を突き止め、アップデートの初期バージョンを業界パートナー向けにリリースしてテストを行っているという。テストが完了次第、正式リリースを予定している。

Intelは、「Meltdown」と「Spectre」の影響を受ける旧型チップにパッチを適用すると予期せぬ再起動が発生する問題が、新型チップでも生じていることを明らかにした。 Intelは米国時間1月17日遅くに公開した最新情報で、ファームウェアパッチの適用によって起こる問題が、旧型の「Broadwell」と「Haswell」のチップだけでなく、最新の「Kaby Lake」までのより新しい世代のCPUでも発生していることを認めた。 このファームウェアアップデートは、Spectreなどの問題による影響を緩和するが、「Ivy Bridge」「Sandy Bridge」「Skylake」「Kaby Lake」の各アーキテクチャを採用するプロセッサを搭載するマシンは、ファームウェアを更新した後に通常より頻繁に再起動を引き起こす場合があると同社は述べた。 Intelは、Meltdown/Spectr

macOS High Sierra 10.13.1の脆弱性を開発者のLemi Orhan Erginが発見した。システム環境設定の「ユーザとグループ」から錠前のボタンをクリックし、環境設定のロックを解除するためにユーザー名とパスワードを入力する場面で、ユーザー名に「root」と入力すると、パスワードを入力しなくてもロックが解除される。ロックが解除されるとゲストユーザーを自由に設定できるようになり、誰でもログイン可能になる。アップルでは問題を把握しておりソフトウェアアップデートの準備を進めている。現状の対策方法は以下のとおり。 ●現状できる対策 (1)アップル公式パッチを待つこと (2)ゲストアカウントへのアクセスを無効にすること (3)システム環境設定からルートパスワードを変更すること ルートパスワード変更方法は以下のとおり。 1.Appleメニュー >「システム環境設定」の順に選択し、「

10月15日、Wi-Fi通信のセキュリティプロトコル「Wi-Fi Protected Access 2（WPA2）」に存在する脆弱性が複数確認されたことが明らかになり、その詳細が16日に公開されました。これらの脆弱性は、「Key Reinstallation AttaCKs」という手法により悪用されることから「KRACK」と呼ばれ、WPA2の暗号化の仕組みを侵害するというものです。 上記を受けて10月16日に放送された『小飼弾の論弾』では、小飼弾氏と山路達也氏が今回のWPA2の脆弱性について、解説を行いました。 左から小飼弾氏、山路達也氏。―人気記事― ビットコイン 儲けたあとは 納税だ。“仮想通貨の納税”について公認会計士にいろいろ聞いてみた 「VALUの主張より日本の憲法が優先される」『VALU』リードエンジニア・小飼弾氏にシステムについて色々聞いてみた 発見された脆弱性は「勝手に鍵を

無線LANの暗号化技術であるWPA2において、「KRACKs」と呼ばれる脆弱性があるとの発表がございました。 本脆弱性はWPA2規格の「子機」機能の実装に依存する脆弱性であるため、WPA2をサポートする子機商品および中継機商品、また親機商品で中継機能(WB・WDS等)をご利用時に影響がございます。 現在、弊社商品の調査を進めており、対象商品、対策につきましては随時情報を公開させていただきます。 現状判明いたしました商品は下記のとおりでございます。 (国内販売商品のみ記載しております)

はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成

2024-06-24 DomainObjectからValueObjectを自動生成するOSS作ってみた ~ ts-vo-generator~

1月下旬のパッチで修正されたWordPressの深刻な脆弱性を突く攻撃が横行している問題で、セキュリティ企業の米Feedjitは2月9日、同日までにFeedjitが把握しているだけで20あまりの集団が別々に攻撃を展開し、改ざんされたページの総数は150万を超えていると報告した。 セキュリティ企業のSucuriは2月6日の時点で、ハッキング集団は4集団、改ざんされたページは6万6000ページと伝えており、わずか数日で事態が一層深刻化している様子がうかがえる。 Feedjitでは、今回の脆弱性が発覚して以来、WordPressを狙う攻撃の成功率も急上昇したと指摘し、「WordPress関連では最悪級の脆弱性」と位置付けた。 悪用が横行しているのは、WordPressが1月26日にリリースした更新版の4.7.2で修正した脆弱性。特に深刻なREST APIの脆弱性については、2月1日まで待ってから

攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在

ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ