「直ちに」Bashにパッチを:OS XやLinuxのシステムを破壊し無防備にする「Shellshock」バグ~Heartbleed級のリモートコード実行可能な脆弱性が、CGIスクリプトからDHCPクライアントまで影響(The Register)
今回のBashの欠陥にShellshockという名前を提案した、Errata SecurityのRobert Grahamもまた、このプログラミングのへまはHeartbleedと同様に深刻だと言う。ただし次のように言及している。
国際
TheRegister
無数のWebサイト、サーバ、PC、OS X Mac、各種のホームルータ、その他いろいろが、ハッカーによって乗っ取られる危険に陥っている。
この脆弱性は4.3以前のバージョンのBashに存在しており、Stephane Chazelasが発見した。侵害のリスクに特にさらされているのはApache Webサーバだ。なんらかの方法でBashを使用または起動するCGIスクリプトや、CGIスクリプトにより起動される子プロセスのBashは、リモートコードインジェクションに対して脆弱である。OpenSSHと一部のDHCPクライアントも、Bashを使用しているマシン上では影響を受ける。
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンスサプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サプライチェーン攻撃が問題になっている。正規サーバーやシステムを利用する攻撃のため、検知が困難なことも被害を広げている。対策には発想の転換が必要なようだ。
-
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
ロシアによる国家支援型サイバー攻撃は1996年の「Moonlight Maze」が最初といわれている。米国の兵器に関する情報を狙ったサイバーエスピオナージで、現在のAPT攻撃の源流といってもいいかもしれない。
-
Microsoft Windows のトレース機能における検証不備により任意の場所へのファイルの複製が可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、サービス起動時に操作するファイルのシンボリックリンク検証不備に起因する、任意のファイルの書き換えが可能となる脆弱性が、報告されています。
-
これが「海のペンテスト」の成果、海運テクノロジー企業のセキュリティ対策は超ピンキリ(The Register)
説明にあたってハーン氏は「悲惨な」「劣悪な」という語を多用した。ハーン氏のチームは、深海探査艇、掘削リグ、完成したばかりのクルーズ船、パナマックス(パナマ運河対応)のコンテナ船、その他いくつかの船舶を含めて、幅広い調査を行ったという。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「Apache Tomcat」の脆弱性を確認するアクセスが増加(警察庁)
Appleが8製品10バージョンのセキュリティアップデートを公開(JVN)
機械学習アルゴリズムに脆弱性(JVN)
PayPayを騙る偽メール報告、アカウントを一時停止したとして誘導(フィッシング対策協議会)
「Adobe Type Manager Library」にリモートコード実行の未パッチ脆弱性(JVN)
脆弱性があるが開発者と連絡がつかないソフト一覧、使用中止呼びかけ(JVN)
インシデント・事故 記事一覧へ
「Xbox Series X」使用予定のソースコードが盗まれる(AMD)
「ステップスポーツオンラインショップ」に不正アクセス、63名分のカード情報流出(ステップ)
自治体公式ツイッター不明投稿、不正アクセスか(福山市)
成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)
プリンセス・クルーズのメールに不正アクセス、顧客情報流出可能性(カーニバル・ジャパン)
海外子会社従業員のアカウント情報窃取、迷惑メール440件送信(トクヤマ)
調査・レポート・白書 記事一覧へ
CISO に求める役割ベスト3とこれから求める役割(IPA)
クラウドを利用する組織は8割超、DXとセキュリティの実態調査(タレス)
セキュリティ対策状況、経営層600人調査(サイバーセキュリティクラウド)
新型コロナ対策で増加するリモートワークで重要な6つの要素(クラウドストライク)
Microsoft SMBv3におけるリモートコード実行の脆弱性を検証(NTTデータ先端技術)
マルウェアの系統を自動判定するDNA鑑定など紹介 -- CYBER GRID JOURNAL(ラック)
研修・セミナー・カンファレンス 記事一覧へ
サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
