vulnerability

こんにちは、お手伝いの大櫛です。 今回は、rustc/Cargoまわりの脆弱性紹介に引き続き、community crates関連の脆弱性を紹介していきます。 rustcと違い、ある脆弱性一つがRustユーザー全体に影響を与えるものではないため、比較的広くつかわれているcrateのものや、個人的に面白いと思ったものを取り上げます。必ずしも今回の脆弱性すべてがCVSSスコアで言うところのクリティカルなものではないこと、今回紹介した以外にもクリティカルな脆弱性は存在し得ることをご留意ください。 また、筆者の理解不足により、脆弱性の説明において誤った内容を述べている可能性があります。そのような記述を…

こんにちは、お手伝いの大櫛です。 今回はrustcや標準ライブラリ、Cargoについて発見された脆弱性のいくつかを紹介していきます。 Cargoについての補足ですが、一般的なセットアップツールの一つであるrustupを使う場合、rustcとCargoはRust toolchainとして強く結びついています。このため、今回はrustcと共に紹介したいと思います。 念のための注釈として、この文章中の「Rust x.y.z以降」という表現はx.y.z自身を含むものとします。 また、この記事中ではMIT/Apacheでデュアルライセンスされている標準ライブラリの実装コードを一部引用している箇所がありま…

cgroups v1 の脆弱性 CVE-2022-0492 について、調査した内容をまとめました。 3/18 にイベントで発表した内容ですが、時間の都合で語りきれなかった部分も多く、内容を加筆してブログに書くことにしました。 speakerdeck.com CVE-2022-0492 概要 release_agent について エクスプロイト 前提条件 要点 検証 修正パッチ コンテナセキュリティ seccomp AppArmor (SELinux) Kubernetes の場合 EKS, GKE の場合 さいごに 参考リンク CVE-2022-0492 Linux コンテナセキュリティ CV…

2021/6/25にLACの社内ブログより以下の記事が公開された。 www.lac.co.jp この記事ではAndroidアプリの「アクセス制御不備」の中の「ディープリンクを使用してリクエストされた、任意のURLにアクセスしてしまう脆弱性」についてJavaで解説されています。 なので私はこの記事を参考にKotlin版を解説していこうと思います。 目次 目次 ディープリンクとは 筆者の環境 脆弱性の実践 Androidのディープリンクの実装 webサイトからのアクティビティ起動 adbを利用したアクティビティ起動 アクセス制御不備の脆弱性の実装 ブラウザからの正規なアクティビティ呼び出し ブラウ…

2024年4月23日に、QYResearchは「脆弱性診断サービス―グローバル市場シェアとランキング、全体の売上と需要予測、2024～2030」の調査資料を発表しました。本レポートは、脆弱性診断サービスの世界市場について分析し、主な売上、動向、市場規模、主要企業の市場シェアとランキングに焦点を当てています。また、地域別、国別、製品タイプ別、用途別の分析も行っています。脆弱性診断サービスの市場規模を2019年から2030年までの売上に基づいて推計と予測しています。定量分析と定性分析の両方を提供することで、企業がビジネス成長戦略を策定し、競争環境を評価し、市場位置を分析し、脆弱性診断サービス関連情…

はじめに こんにちは、イノベーションセンターの鍔木（GitHub: takuma0121）です。 OT/ICSセキュリティリスク可視化サービス、OsecTの開発・運用を担当しています。 2024年3月4日から7日までの間、米国マイアミで開催されたS4x24に聴講参加しました。 このカンファレンスは日本では知名度が高いとは言えませんので、S4の全容とOT/ICSセキュリティのトレンドについてお伝えできればと思います。 目次 はじめに 目次 S4とは プレゼンテーション Vulnerability Management Pavilion Welcome Party / Cabana Session…

ポッドキャスト収録用のメモですよ。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 事件、事故 富士通 Japan の「Fujitsu MICJET コンビニ交付」で再び証明書の誤交付が発生。総務省は富士通に対して行政指導 LINE ヤフーに対して総務省が再度行政指導 欧米の法執行機関の協力により、phishing-as-a-service のプラットフォーム LabHost を摘発 MITRE が外部からの不正侵入を受けたことを公表 攻撃、脅威 Cloudflare が 2024年第 1四半期の DDoS 攻撃レポートを公開 Coveware が …

vul.hatenadiary.com vul.hatenadiary.com 【概要】 項目 内容 CVE番号 CVE-2024-3400 被害 確認 国内攻撃 確認 脆弱性公表時期 2024/04/12 攻撃開始時期 2024/03/26～ 攻撃組織 2023/04/13 時点では単独組織のみ キャンペーン名 Operation MidnightEclipse ■製品ステータス バージョン 影響あり 影響なし Cloud NGFW None All PAN-OS 11.1 >= 11.1.2-h3 (ETA: By 4/14) PAN-OS 11.0 >= 11.0.4-h1 (ETA: …

JPCERTコーディネーションセンターとIPAとが共同で運営するJVNの目的として，最も適切なものはどれか。 ソフトウェアに内在する脆弱性を検出し，情報セキュリティ対策に資する。 ソフトウェアの脆弱性関連情報とその対策情報とを提供し，情報セキュリティ対策に資する。 ソフトウェアの脆弱性に対する汎用的な評価手法を確立し，情報セキュリティ対策に資する。 ソフトウェアの脆弱性のタイプを識別するための基準を提供し，情報セキュリティ対策に資する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 イ 解説 JVNの公式HPにて、以下の…

本日の気になった技術ブログ Tips リンク集です。 Privacy Manifests対応 Unityでandroidビルドを行う【2024年4月】 【Unity】LitMotionを使ってみる 『Winney』の金子勇さんの失われたED法を求めて - Qiita PuTTY vulnerability vuln-p521-bias

【要点】 ◎非合法に仮想通貨のマイニングを行う攻撃手法 【辞書】 ◆クリプトマイニングとクリプトジャッキングの比較 (sysdig) https://sysdig.jp/learn-cloud-native/detection-and-response/cryptomining-vs-cryptojacking/ 【概要】■攻撃方法(感染方法) SNS Facebookメッセンジャー(FacexWorm) 参考情報 パスワードを盗み無断マイニング Twitter メールの添付ファイル 攻撃用ウェブサイト 改ざんされたウェブサイト トロイの木馬 ワーム サイバー攻撃(脆弱マシン) ■攻撃方法(W…