「OpenDolphin」に権限昇格など複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、ライフサイエンスコンピューティングが提供する「OpenDolphin」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2018年10月29日（月） 08時00分

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性
DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に
サイボウズGaroon に複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月26日、ライフサイエンスコンピューティング株式会社が提供する「OpenDolphin」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは8.8。株式会社シマンテックアドバイザリーサービスチームが報告を行った。

「OpenDolphin 2.7.0 およびそれ以前」には、権限昇格（CVE-2018-16161）、情報漏えい（CVE-2018-16162）、アクセス制限不備（CVE-2018-16163）の脆弱性が存在する。これらの脆弱性が悪用されると、当該製品のユーザによって管理者権限で任意の操作を実行されるなどの影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》

ソース・関連リンク

システムログツール Sysmon のバイパス・回避・改ざん手法と対策2018.10.25 Thu 8:30
VLC Media Player において mkv ファイルのパース処理におけるメモリ操作の不備に起因する Use-After-Free の脆弱性（Scan Tech Report）2018.10.23 Tue 8:30
スーパーマイクロ社製サーバの中国製スパイチップ報道、専門家がブルームバーグ報道を鵜呑みにしない理由（The Register）2018.10.22 Mon 8:30
朝日新聞のサイバー事件報道姿勢－記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」2018.10.18 Thu 8:30

Scan PREMIUM 会員限定記事

脆弱性と脅威 2024.5.16(Thu) 8:10
runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

2024 年 1 月に公開された、Docker や Kubernetes の基盤として用いられている runc に、コンテナ内部からホスト OS への侵害につながる脆弱性が報告されています。
範を示す～ MITRE がサイバー攻撃被害公表

　「MITRE はこのインシデントを開示しました。これは当団体が公共の利益のために活動し、企業のセキュリティ強化のためのベストプラクティスを提唱し、業界の現在のサイバー防御体制強化に必要な措置を講ずると約束しているからです」
2024.5.14(Tue) 8:10
AI とドローン利活用最悪事例～米保険会社住宅空撮し保険契約猛烈却下

　保険契約の申し込みや更新を処理するコストの低下を追求するあまり、保険会社は不正確な査定を行い、さらにはプライバシーを侵害するという最悪の方向に向かっているようだ。
2024.5.10(Fri) 8:10
北中華製AIを攻撃活用／北 DMARC不正利用／北日本のアニメ制作関与かほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

　Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能（AI）を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
2024.5.9(Thu) 8:10

Scan PREMIUM 会員限定記事特集をもっと見る

ScanNetSecurityをフォローしよう！

@scannetsecurityをフォロー

シェア
ツイート
ブックマーク
後で読む

「OpenDolphin」に権限昇格など複数の脆弱性（JVN）

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

範を示す～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例～米保険会社住宅空撮し保険契約猛烈却下

北中華製AIを攻撃活用／北 DMARC不正利用／北日本のアニメ制作関与かほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

カテゴリ別新着記事

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

範を示す ～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例 ～ 米保険会社 住宅空撮し保険契約 猛烈却下

北 中華製AIを攻撃活用／北 DMARC不正利用／北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Ruijie 製ルータBCR810W/BCR860 に OSコマンドインジェクションの脆弱性

マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性（Scan Tech Report）

DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

サイボウズGaroon に複数の脆弱性

インシデント・事故 記事一覧へ

検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

個人情報漏えいの疑いも ～ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に

「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

調査・レポート・白書・ガイドライン 記事一覧へ

GMOイエラエ「軽量暗号 Ascon などに関わる標準化動向調査」が CRYPTREC に公開

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期 インターネット定点観測レポート

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

サイバーセキュリティ人材、女性の平均給与は男性と約８０万円差 ～ ISC2 調査

Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少？ 感染率と身代金支払率 15 ヶ国調査 2024」

ロシア からの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

研修・セミナー・カンファレンス 記事一覧へ

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ ～ AeyeScan「診断マネジメントプラットフォーム」

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法 ～ 5/23 解説セミナー開催

脆弱性診断の「基本のキ」企業での取り組み事例を交えながらリアルに解説

ビッグ・ブラザー２０２４ ～ 監視カメラと画像分析 その高成長市場と国際動向

SECON 2024 レポート：最先端のサイバーフィジカルシステムを体感

トレーニング 6 年ぶり復活 11/9 ～ 11/15「CODE BLUE 2024」開催

製品・サービス・業界動向 記事一覧へ

「Cloudbase」が Oracle Cloud Infrastructure 対応

NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

認証とID管理にガバナンスを ～ NTTデータ先端技術「VANADIS」で実現する「IGA（Identity Governance and Administration）」とは

「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付

脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

「LogStare Collector」新バージョン 2.3.8 リリース、バイナリファイルの収集とダウンロード機能搭載

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

範を示す～ MITRE がサイバー攻撃被害公表

AI とドローン利活用最悪事例～米保険会社住宅空撮し保険契約猛烈却下

北中華製AIを攻撃活用／北 DMARC不正利用／北日本のアニメ制作関与かほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

個人情報漏えいの疑いも～八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

調査・レポート・白書・ガイドライン記事一覧へ

日本国内では Mirai と別のマルウェアが独自ボットネット形成、2024年第1四半期インターネット定点観測レポート

サイバーセキュリティ人材、女性の平均給与は男性と約８０万円差～ ISC2 調査

Proofpoint Blog 36回「身代金を払わない結果日本のランサムウェア感染率減少？感染率と身代金支払率 15 ヶ国調査 2024」

ロシアからの攻撃が 6 割、EGセキュア「SiteGuard セキュリティレポート（2024.1Q）」公表

研修・セミナー・カンファレンス記事一覧へ

毎年同じ年中行事化した診断から、予算を効果的に配分する濃淡をつけた診断へ～ AeyeScan「診断マネジメントプラットフォーム」

セキュリティマネージャーに捧ぐ「理想の脆弱性診断のプロセス」実現方法～ 5/23 解説セミナー開催

ビッグ・ブラザー２０２４～監視カメラと画像分析その高成長市場と国際動向

製品・サービス・業界動向記事一覧へ

NRIセキュア研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

認証とID管理にガバナンスを～ NTTデータ先端技術「VANADIS」で実現する「IGA（Identity Governance and Administration）」とは

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ