InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
Log4Shellの防御 - Contrast SecurityのArshan Dabirsianghi氏が語るJava Agent
システムの持つ重要性と、log4shellの脆弱性が深刻かつ重大であることから、その修正には新たなアプローチが求められていた。この防御戦略で重要な役割を果たすのはJava Agentだ。アプローチに関する理解を深めるべく、InfoQは今回、Contrast Securityの創設者でチーフサイエンティストのArshan Debirsianghi氏に話を聞いた。
-
12年間使われているLinuxディストリビューションの脆弱性PwnKitによりローカルの権限昇格が可能に
最近公開された脆弱性は、PolKitコンポーネントに影響を与えるものだが、12年以上にわたっていくつかのLinuxディストリビューションに存在している。この脆弱性は簡単に悪用できてしまうと、それを発見したQualys Research TeamのディレクタBharat Jogi氏は言っている。特権のないユーザが脆弱なホストで完全なroot権限を取得できてしまう。
-
Cloudflareレポートで2021年第4四半期のDDoS攻撃の驚異的な増加が示された
Cloudflareは、DDoS攻撃に関する四半期ごとのトレンドレポートをリリースするという慣習に沿って、2021年第4四半期の新しい調査結果を公開した。L3/4 DDoS攻撃が95%増加しており、Ransom DDoS攻撃の記録的なレベルが示された。
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
Googleのネットワークベースの脅威検出サービスクラウドIDSが一般向け提供へ
最近、Googleはネットワークベースの脅威検出のためのCloud IDSの一般向け提供を発表した。このコアネットワークセキュリティ製品は、ネットワークベースの脅威の検出をサポートする。組織が侵入検知システムを必要とするコンプライアンス基準を満たす助けとなる。
-
Linuxカーネルの新たなサイドチャネル脆弱性により、DNSのキャッシュポイズニングが可能に
カリフォルニア大学リバーサイド校の研究チームによる最新の論文には、これまで見落とされていたLinuxカーネルのサイドチャネルの存在が指摘されている。これはDNSサーバ攻撃に悪用される可能性がある。
-
RCEエクスプロイトが許可される複数のLog4jバージョンの脆弱性の影響
12月9日、著名な Java ロギングライブラリである log4j でゼロデイエクスプロイトが発見されたことが Twitter で公開された。含まれるのは 2.0 から 2.14.1 までのすべてのライブラリのバージョンで影響を受ける。Log4j 2.15.0 がリリースされ、この脆弱性はなくなった。GitHub で公開された POC が指摘したように、log4j が攻撃者によって制御された文字列値をログに記録すると、RCE が発生する。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
動的プロセス分離はクラウドシステムでSpectreの対処に役立つ
Cloudflare で開発された動的プロセス分離は、Spectre のような攻撃から効果的な保護を提供し、複数のテナント間の Spectre 攻撃を完全に軽減して、システムを保護する技術であると、先ごろ Cloudflare と Graz University の共同研究が示した。
-
FacebookのMariana Trenchが、開発者によるAndroidアプリとJavaアプリの脆弱性発見を支援
最近Mariana Trench(MT)がFacebookによってオープンソース化された。MTは開発者がAndroidアプリケーションとJavaアプリケーションのセキュリティとプライバシーのバグを特定して防止するのを支援することを目的としたものだ。
-
Travis CIの脆弱性が顧客の秘密を漏洩した可能性
人気の継続的インテグレーションおよびデリバリーサービスであるTravis CIは、署名キー、アクセスクレデンシャル、APIトークンなどのセキュアな環境変数を漏洩する可能性のある脆弱性を明らかにした。この欠陥は9月10日にすぐに修正されたが、開発者コミュニティはこの問題のTravis CIの対応が不十分であることに気づいた。
-
CVEはクラウドの脆弱性の解決策か?
先頃のBlack Hat USA 2021で、クラウドインフラストラクチャ企業のWizのセキュリティ専門家は、クラウドの脆弱性に関するCVEデータベースが必要であると主張し、クラウドとサイバーセキュリティのコミュニティで議論を始めた。
-
GitLabがFalcoベースのツールで、悪意のあるコードを検出するためのPackage Hunterをオープンソース化
GitLabは、新しいオープンソースツールPackage Hunterをリリースした。このツールの目的は、サンドボックス内でプロジェクトの依存関係を実行することで悪意のあるコードを検出することである。Package Hunterは、Falcoを利用して、実行時に予期しないアプリケーションの動作を検出する。
-
現行のSpectre防御を無効にする新たなエクスプロイト、修正はパフォーマンスに影響
バージニア大学工学応用科学部(UVA Engineering)の研究者たちが先頃、既存のSpectre防御を回避して、Intel/AMDのマイクロ命令キャッシュから機密を盗み取ることの可能な、新たなSpectreハードウェアエクスプロイトを公開した。IntelとAMDは、新たなガイダンスは不要だと述べている。一方で研究者たちは、修正は展開が困難か、あるいはパフォーマンスの低下を伴う、と指摘する。
-
インフラストラクチャ脆弱性スキャナーのCheckovがコンテキストアウェア評価を追加
Bridgecrewは、Checkovの最初の2.xバージョンを発表した。Checkovは、Infrastructure as Code(IaC)用のオープンソーススキャナーである。2.0リリースには、再設計されたバックエンドが含まれており、グラフベースになっているため、マルチリソースクエリをより適切に処理できる。250近くの新しいポリシーが追加され、カバレッジも増加している。