InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
Oracle Weblogic Serverにリモートで悪用される可能性のある大きな脆弱性
セキュリティ研究者がOracle Weblogic Server(WLS)に新たにリモートから悪用可能な脆弱性を発見した。CVE-2019-2725はユーザ認証なしでリモートから悪用される可能性があり、全体のCVSSスコアは10のうち9.3であり、重大な脆弱性となる。Oracleはこの問題の影響を受けるサーバのバージョンが10.3.6.0と12.1.3.0であることを記したセキュリティ警告を発表した。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。
-
アジャイルにおける設計とセキュリティ - QCon London Q&Aより
セキュリティ分野の専門家による設計書のレビューを行えば,脆弱性スキャンやセキュリティオートメーションでは検出不可能な,潜在的なセキュリティ問題を見つけることができる。このようなレビューでは,アクセストークンの発行や管理,外部サービスへのデータ転送,信頼できないコードの実行といった重要な部分に集中することが必要だ — AppLandの共同創業者でエンタープライズソフトウェアエンジニアのKevin Gilpin氏は,QCon London 2019年でこのように述べた。
-
ZipSlip,NodeJSのセキュリティ,BBSハッキングについて
今年初め,人気の高いBowerパッケージマネージャのアーカイブ抽出機能に脆弱性が発見され,ユーザのディスクに攻撃者が任意のファイルを書き込めることが明らかになった。後に明らかになったように,この攻撃で使用されているベクタアタックは,BBS初期の時代から知られているものだ。InfoQはTal氏と話す機会を得て,ソフトウェアのセキュリティ,特にNode.jsのセキュリティについて学ぶことができた。
-
GitHubのPRを自動生成して脆弱性を修正するDependabot
Dependabotは,GitHub Security Advisory APIを活用することで,依存関係のトラッキングを支援し,プログラムのセキュリティを監視し,潜在的な脆弱性を解決するためのPRを自動生成することによって可能な限り簡単かつ確実な除去を実現する。
-
マイクロソフトが現在使われている Internet Explorerのゼロデイ・エクスプロイトにパッチを適用
マイクロソフトは、リモートでコードが実行される可能性があるInternet Explorer(IE)スクリプトエンジンの重大な脆弱性の帯域外更新(通常の予定されているリリースとは別の更新)を公開した。TenableのリサーチエンジニアSatnam Narang氏によると、この脆弱性は実際に悪用されているため、ユーザはできるだけ早くシステムを更新する必要がある。
-
サイドチャネル攻撃に対して脆弱なGPU
SpecterとMeltdownが2018年の初めに実証されて以来、研究者はIntelとAMDの両方のCPUに影響を与えるサイドチャネルの脆弱性の多くの変種を発見している。GPUはそのような攻撃の影響を受けないように見えた。今まではそうだった。
-
GitHubが開発者向けのワークフローツールをリリース:Actions、Suggested Changes、.NET/Java向けのSecurity Alerts
サンフランシスコで開催されたGitHub Universeで、GitHubは、開発者に対して、アクション、推奨される変更、.NETとJava向けのセキュリティアラートなどのワークフローをより効果的にするための、新しい多くのツールを発表した。
-
新たなGit Submoduleの脆弱性にパッチが当てられた
Gitコミュニティは、cloneおよびsubmoduleコマンドに影響を及ぼすセキュリティ脆弱性を公開した。これは、脆弱性のあるマシンが悪意のあるリポジトリにアクセスした時、リモートコードの実行を可能にするというものだ。この脆弱性はMitreによってCVE–2018–17456にアサインされ、Git 2.19.1で修正された。
-
LLVMを拡張してメモリ空間安全性をCで実現するChecked C
Checked CはMicrosoft Researchの主導による、オープンでコラボレーティブなプロジェクトである。C言語を拡張して、バッファオーバーランや領域外メモリアクセス、不正な型キャストといったエラーのない、信頼性の高いプログラムを記述できるようにすることを目標とする。移植を容易にするため、Checked Cコードでは、標準Cで記述されたコードとの共存を可能にしている。
-
Intelが新たな投機的実行脆弱性"L1 Terminal Fault"を公表
Intelは、プロセッサのL1データキャッシュに存在する情報を潜在的に漏洩させる可能性のある、L1 Terninal Fault (L1TF)と呼ばれる新たな投機的実行サイドチャネル脆弱性を公表した。Intelによる最新のマイクロコードアップデートと、オペレーティングシステムやハイパーバイザスタックの対応アップデートをベースとした緩和策がすでに提供されている。
-
WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ
オープンソースのセキュリティおよびライセンスコンプライアンス管理ソリューションプロバイダのWhiteSourceが、Vulnerability Checkerをローンチした。オープンソースのクリティカルな脆弱性に関するアラートを提供する、新しい、無償のスタンドアロンCLIツールだ。
-
NetBSD 8.0がSpectre V2/V4、Meltdown、Lazy FPUの軽減などを提供
NetBSD 8.0は、多くのアーキテクチャー間の移植性を提供するBSDベースのOSのメジャーリリースであるが、Spectre V2/V4、Meltdown、Lazy FPUの脆弱性を軽減し、多くの新機能とバグ修正を提供している。
-
Spectre 1.1および1.2の脆弱性が公開された
CPUの投機的実行の欠陥を利用した2つの新しい脆弱性が最近明らかにされた。Specter 1.1および1.2と呼ばれ、オリジナルのSpecter(Spectre-v1)脆弱性の変種である。Specter 1.1および1.2は、投機的ストアを利用して、Spectre-v1の軽減を逃れるための投機的バッファオーバーフローを作成する。
-
TLBleedはTLB上でスヌーピングすることで、CPUからの暗号鍵を漏洩できる
TLBleedで知られるIntelプロセッサに影響を及ぼす新しいサイドチャネルの脆弱性は、Translation Look-aside Buffers (TLBs)でスヌーピングすることで情報を漏洩する可能性があると、VUsecセキュリティ研究者Ben Grasは書いている。