トップニュース

公開日:2017/11/29
macOS High Sierraに重大な脆弱性

概要
「ルートユーザを無効にする」という設定をしている場合、管理者アカウント(rootユーザー)を悪用される可能性がある。
複数のユーザーがmacOS High Sierraを搭載したPCを利用している場合、悪用される危険性が高い。
rootユーザーにパスワードを適切に設定することを推奨している。
また、macOS High Sierra 10.13以降のバージョンで確認されておりmacOS Sierra 10.12.6は影響を受けない模様。

公開日:2017/09/13 緊急
Bluetooth 実装に複数の脆弱性

概要
Bluetooth 実装に関する複数の脆弱性 "BlueBorne" が 公開されました。本脆弱性は複数のOSにおける実装に影響します。
遠隔の第三者によって、機器に関連する情報やユーザの個人情報が取得されたり、機器上で任意のコードを実行されたりする可能性があります。

詳細はJVNでご確認ください。

公開日:2017/09/06 緊急
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

概要
Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052) Apache Struts2 には、Struts REST プラグインを使用している場合に XML ペイロードのデシリアライズ処理に起因する、任意のコードが実行可能となる脆弱性が存在します。
遠隔の第三者によって細工されたリクエストを処理することで、任意のコードを実行される可能性があります。

詳細はJVNでご確認ください。

公開日:2017/07/14
Apache HTTP Web Server における複数の脆弱性

概要
mod_auth_digest におけるメモリが初期化されない問題 (CVE-2017-9788)
mod_http2 におけるリードアフターフリーの問題 (CVE-2017-9789)

情報漏えいやサービス運用妨害 (DoS) などの影響を受ける可能性があります。

詳細はJVNでご確認ください。

公開日:2017/06/30
ISC BIND に複数の脆弱性

概要
TSIG 認証に関する複数の脆弱性が存在し、TSIG 認証回避による認可されていないゾーン転送の脆弱性を利用したゾーン情報の漏えいやTSIG 認証回避による認可されていないダイナミックアップデートの脆弱性を利用してゾーン情報の書き換えなどの影響を受ける可能性があります。

この脆弱性はTSIGによるアクセス制限を有効にしている場合にのみ対象となります(デフォルトでは無効)

詳細はJVNJPRSでご確認ください。

公開日:2017/06/20
Linuxなどにローカル権限昇格の脆弱性

概要
メモリ管理の脆弱性を利用してメモリ破損を誘発され、任意のコードを実行される恐れがあります。「Stack Clash」と命名
ローカル権限昇格の脆弱性ですが、攻撃者がStack Clashの脆弱性を悪用すれば完全なroot権限を取得することが可能とされています。
影響を受けるシステム
Linux、OpenBSD、NetBSD、FreeBSD、Solarisの各OSで影響が確認されており、他のOSも影響を受ける可能性あり
ベンダー各社から公開される情報を収集する必要があります。
Red Hatでは「複数のパッケージに影響するスタックガードページの回避」として特設サイトが公開されています。

公開日:2017/06/20
Apache における複数の脆弱性に対するアップデート

概要
Apache HTTP Web Server に関する複数の脆弱性に対するアップデートが公開されました。
ap_get_basic_auth_pw() における認証回避の脆弱性 (CVE-2017-3167)
mod_ssl における NULL ポインタ参照の問題 (CVE-2017-3169)
mod_http2 における NULL ポインタ参照の問題 (CVE-2017-7659)
ap_find_token() におけるバッファオーバーリードの脆弱性 (CVE-2017-7668)
mod_mime におけるバッファオーバーリードの脆弱性 (CVE-2017-7679)

想定される影響は各脆弱性により異なりますが、サービス運用妨害 (DoS) などの影響を受ける可能性があります。

詳細はこちらにてご確認下さい

公開日:2017/06/15
ISC BIND にサービス運用妨害 (DoS) の脆弱性

概要
サービス運用妨害 (DoS) の脆弱性が存在します。
Response Policy Zones (RPZ) を使用し NSDNAME あるいは NSIP ポリシールールを設定している場合の
エラー処理におけるサービス運用妨害 (DoS) - CVE-2017-3140
影響を受けるシステム
CVE-2017-3140
BIND 9.9.10
BIND 9.10.5
BIND 9.11.0 から 9.11.1 まで
BIND 9.9.10-S1
BIND 9.10.5-S1

公開日:2017/03/22 「ntpd」に10件の脆弱性

「Network Time Protocol daemon(ntpd)」の開発チームは、サービス拒否を引き起こすおそれがある複数の脆弱性へ対処したアップデート「同4.2.8p10」をリリース
いずれの脆弱性も悪用されると、サービス拒否を引き起こすおそれがある模様
詳しくはNTP Project Security Noticeを参照ください。

更新日:2017/03/21 緊急
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

詳しくはJVNまたは JPCERT/CCを参照して下さい。
概要
遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2 を使用するアプリケーション (Strutsアプリケーション) を実行しているサーバにおいて、任意のコードを実行する可能性があります。
本脆弱性の実証コードが公開され、JPCERT/CC にて実証コードを用いて検証した結果、Struts アプリケーションを実行しているユーザの実行権限で任意のコードが実行されることを確認したそうです。
影響を受けるシステム
- Apache Struts 2.3.5 から 2.3.31 まで
- Apache Struts 2.5 から 2.5.10 まで
回避策
- Multipart パーサを変更する
- File Upload Interceptor を無効化する (Struts 2.5.8 から Struts 2.5.10 に対してのみ有効)
早期にバージョンアップした方が良さそうです。

国際化ドメイン対応サイト

国際空手道連盟 極真会館 郷田道場 カラテ.com
(旧 東京城東支部)
人形町 和食 四季彩 四季彩.net
  日本語ドメイン活用事例に選ばれました。!!
有限会社 フジカ フジカ.com
国際化ドメインテストサイト 石毛工業所.com

↑先頭