一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
自宅でAtermを使っているので焦りましたが、使っている機種は対象から外れていたので一安心です。型番を見る限りでは、発売から一定年数以上経った機種が対象のようですね。ネットワークのセキュリティ対応は日進月歩なので、年数が経った無線LANルータはそれ自体がセキュリティホールになるということかもしれません。ファームウェアの更新はもちろんですが、無線LANルータ自体も安価になってきているので、消耗品と割り切って定期的に買い換えるのがいいかもしれませんね。 無線LANのスピードも年々速くなっていますし、デバイスを定期的に買い替えているのであれば、無線LANルータの更新もあわせて検討すべきでしょう。個人…
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
離散チベット人に対する中国の大規模サイバースパイ活動が明らかに 2024 年 4 月 23 日マッシモ・イントロヴィーニュA+ | あ- 民間企業i-Soonから流出した文書で、ダライ・ラマを含むチベット亡命者の電子メールや携帯電話に対する継続的な攻撃が明らかになった マッシモ・イントロヴィーニュ著 Turquoise Roof 2024 年 4 月レポートの表紙。 中国の諜報機関がチベット人とウイグル人の離散民を監視下に置き、さまざまな方法で嫌がらせをしていることは誰もが知っていた。しかし、 2024 年 2 月 18 日に発生した民間企業、Shanghai Anxun Informatio…
このブログでは、テレアポ代行会社における情報セキュリティ対策について、その重要性、具体的な対策例、顧客の安心・安全を守るための取り組みなどを詳しく解説します。テレアポ代行会社を運営している方、情報セキュリティ対策に関心がある方、ぜひ参考にしてください。 はじめに 情報セキュリティ対策の具体的な内容 個人情報保護法の遵守 情報セキュリティ対策の徹底 顧客情報の適切な管理 定期的な監査 顧客の安心・安全を守る 具体的な対策例 個人情報保護法の遵守 情報セキュリティ対策の徹底 顧客情報の適切な管理 定期的な監査 顧客の安心・安全を守る 本日のまとめ はじめに 近年、情報漏洩や不正アクセスなどの問題が…
gigazine.net ⇧「XZ Utils」の問題は、偶然発見された感じだったような気がするから、コミュニティの健全性は関係ない気はしますが、影響範囲が大きい機能については、AIとかで自動的に脆弱性の検知をしてソースコードに反映できないようにとかして欲しいですな。 REST APIのレスポンス作成でOOEM(OutOfMemoryError)は簡単に起こり得るという話 画面とかであれば、ページング機能を実装して、一度に大量のデータをレスポンスに持たせないようにするなどができるんだけど、疎結合になっているシステム間で、Rest APIで処理のリクエストを送り、別システムで大量の処理を行った後…
今日は主に YJIT の不具合修正、正規表現の不具合修正、parse.y の CRuby 依存を減らす変更などがありました。また今日は脆弱性修正を含む CRuby の安定版の各バージョンのリリースがありました。利用しているバージョンの更新をお願いします。https://www.ruby-lang.org/en/news/ [aa5b53d232] Kevin Newton 2024-04-22 14:07:38 UTC prism の更新。 [1bb7638e7a] Alan Wu 2024-04-22 15:16:46 UTC YJIT でコード生成時に最適化でコードを消し過ぎてコード書き替…
※本記事は、Geminiによる意訳+翻訳を活用し、レイアウト調整したものです。 ※感想は、オリジナルです。 原文 意訳+要約 IoTセキュリティの脆弱性とオペレーションテクノロジーにおけるリスク IoTセキュリティの脆弱性 OTにおけるリスク 対策 まとめ 重要なポイント GeminiへのQA Q:OTシステムとは何ですか? Q:ベンダーロックインされそうな気がしますが 感想+雑記 原文 IoT Security Vulnerabilities in Operational Technology: Addressing the Risks - DEV Community 意訳+要約 IoTセキ…
こんにちは、Orca Security 担当の尾谷です。 表題の通り、Orca Security は稼働しているコンテナのリポジトリ情報まで巻き戻って情報を確認することができます。 今日は実際のスクリーンショットを使って操作方法を解説したいと思います。 稼働しているコンテナは修正できない ご存知の通り、コンテナは今稼働している環境を直接変更するのではなく、イメージの元となるリポジトリのコードを修正して再デプロイする必要があります。 Orca にて取得した以下のアセット「rtl_tomcat_container_4」を元に解説をします。 「rtl_tomcat_container_4」は、サポー…
2024年4月23日に、QYResearchは「脆弱性診断サービス―グローバル市場シェアとランキング、全体の売上と需要予測、2024~2030」の調査資料を発表しました。本レポートは、脆弱性診断サービスの世界市場について分析し、主な売上、動向、市場規模、主要企業の市場シェアとランキングに焦点を当てています。また、地域別、国別、製品タイプ別、用途別の分析も行っています。脆弱性診断サービスの市場規模を2019年から2030年までの売上に基づいて推計と予測しています。定量分析と定性分析の両方を提供することで、企業がビジネス成長戦略を策定し、競争環境を評価し、市場位置を分析し、脆弱性診断サービス関連情…
最近こういうのをみたので、詳しくないですが私見を書きます。 Xユーザーののらねこ!冬コミ新刊小型PC本配信中さん: 「普通の人はどこの無線ルーターを買えばいいのか、意外と正解が人によってバラバラなのが面白い。ヤマハとかUnifiとかシスコとかArubaとか業務用APを持ち出してくる人は普通の人ではないので無視してよい」 / X NEC, NETGEAR, ASUS 無難というか、ハズレが少ない気がする 同時接続とかは強くないだろうけど、一般利用ならだいたい大丈夫だと思う バッファロー 基本的に品質が悪い JVN#58236836: バッファロー製無線LANルーターにおける複数の脆弱性 とか、パ…
はじめに 情報セキュリティ本部(いわゆる情報システムとセキュリティを束ねる部門)では、ほぼ全てのポジションで一緒に働いてくださる方を募集しています。 それぞれが、一体どういうチームでどんなことをやっているのかを、このブログでお伝えしたいと思います。興味をもっていただけた場合、カジュアル面談フォーム からお申し込みをお願いします! SmartHRの従業員数 毎年、従業員数がどんどん増えています。2024年3月には、ついに1,000名を超えました。 SmartHRの従業員数 従業員数の増加に比例するように、SmartHRの事業も成長し、プロダクト数も拡大しています。 SmartHRのプロダクト数 …
ソース: blog.yappare.com 脆弱性:SQLインジェクション 訳: 最近、侵入テスト中に見つかった SQL インジェクションを解決するときに、いくつかの新しいこととバグバウンティを学び。 私にとって新しいと思われる新しいテクニックの 1 つは、師匠の pokleyzz から学んだもので。 この挿入は最近のバグ報奨プログラムで発見され、実際のパス/パラメータが置き換えられ。 インジェクションは次のエンドポイントの「idNumber」パラメータで見つかりました /foo/?theName=YAP&idNumber=248001[ここ] このターゲットでは一般的なペイロードが実行され、…
今日は23:00に寝て7:30に起き、朝食にベースブレッドのチョコ味を食べました。顔を洗って携帯でポケモンGOとポケモンスリープとピクミンブルームとXとDiscordtとGoogleスケジュールとGmailを見ていたらあっというまに8:30になっていました。11:30には家を出て単発肉体労働に向かいたいと思っています。残り3時間。とりあえず着替えるところからです。ポケモンスリープの睡眠計測を忘れていてびっくりしました。手入力で入れました。持っている「動きやすい服」が昨日着た一着だけなので、寝巻きにしているTシャツを召喚することになってしまい、ちょっと笑っちゃいました。どちらかといえば綺麗系な服…
ソース: medium.com 脆弱性:ファイルアップロード 訳: 今日は、報奨金プロジェクトで発見した、ファイルのアップロードによって引き起こされる XSS という興味深い脆弱性を共有したいと。 脆弱な機能はターゲットのフィードバック セクションにあり、画像ファイルをアップロードできるようになり。 データパケットを見てみましょう。 最初の試み。filename=”1713317086261.jpg” を filename=”1713317086261.svg” に変更 以下のようにうまく動作しなかったようで。(SVGファイルへのパスにアクセスできなかったため) そこで、2回目の挑戦をして。 …
Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 本日追加→ 不正アクセス なごみ 4月22日 「味市春香なごみオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 原因 「味市春香なごみオンラインショップ」のペイメントアプリケーション改ざん 被害 15,274名のクレジットカード情報および個人情報 作業ミス 大塚商会 4月19日 メール誤送信に関するお詫びとお知らせ 原因 社外の特定の1名に、個人情…
JR東海が中央リニア新幹線の開業時期の延期を発表しました。静岡県が着工不許可としてから7年、今さらの発表です。JR東海は新たな開業予定時期を示していませんが、静岡工区の着工遅れがそのまま反映されて2034年以降になると考えられています。 延期発表に合わせるように他の工区での進捗遅れも発表したことで、「JR東海は延期はすべて静岡のせいかのようにしているが、静岡工区以外にも問題山積であり、静岡を隠れ蓑にしているだけ」といった記事もありました。 大規模インフラ建設の開業予定は、何も問題がなくすべて順調に進んだ場合の最速を示すのが一般的で遅れが生じることは珍しくなく、そういった指摘は批判派がここぞとば…
※本ページは、アフィリエイト広告を利用しています。 WordPressは現在に置いてもシェア第1位のCMSですが、そのテーマを自作するのはWordPressのアップデートに伴い非常に難しくなりました。 ブロックエディタ、フルサイト編集、theme.jsonの作成、対応PHPのバージョンアップなど、テーマの自作には様々なハードルがあります。 現代のWordPressのテーマ作成が難しい理由 ブロックエディタへの対応 オリジナルブロックの作成 フルサイト編集機能の対応 theme.jsonの理解 構文と設定の理解 試行錯誤とデバッグ ドキュメントの不足 従来からあるWordPressの問題 セキュ…