チェック・ポイントは、eBayのEコマース・プラットフォームである「Magento」に深刻な脆弱性を発見したと発表した。
JPRSは、「PowerDNS Authoritative Server」および「PowerDNS Recursor」の脆弱性について発表した。
IPAおよびJPCERT/CCは、多川貴郎氏が提供するPHPで動作するメールフォーム「TransmitMail」に複数の脆弱性が存在すると「JVN」で発表した。
HTTPプロキシを異常な値に設定することが、libsystem_network.dylibにおける複数のUAFの問題の端緒となる。この脆弱性が、複数のセキュリティ上望まない結果を引き起こす。
IPAおよびJPCERT/CCは、HPが提供する「HP Network Automation」のWeb管理画面に複数の脆弱性が存在すると「JVN」で発表した。
Vesacode は、「テストを行ったデバイスのうち、1 つを除いたすべて」が、この全く攻撃的ではない脆弱性のテストにすら合格しないことを見出した。
NTTデータ先端技術は、HTTP.sys の脆弱性により、リモートでコードが実行される脆弱性に関する検証レポートを公開した。
日本マイクロソフトは、2015年4月のセキュリティ情報を公開した。
IPA)よびJPCERT/CCは、RichFacesが提供するJavaServer Faces(JSF)向けに Ajax 機能を持つコンポーネントを提供するライブラリ「JBoss RichFaces」に任意のJavaコードが実行される脆弱性が存在すると「JVN)で発表した。
IPAは、「3か月後に控えたWindows Server 2003のサポート終了に関する注意喚起」を改めて発表した。これは、日本マイクロソフト社が提供しているOS「Windows Server 2003」のサポートが7月15日に終了することを受けたもの。
「それはローカルで、あるいは遠隔コードを実行するエクスプロイトと組み合わせて利用することができる、ローカル権限の root 権限への昇格だ」
IPAは、ファイルの圧縮・展開を行うWindows向けソフトウェア「Lhaplus」に任意のコードを実行される脆弱性が存在すると発表した。
IPAおよびJPCERT/CCは、Network Time Protocol projectが提供する「ntpd」に複数の脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、Apple社が提供する複数の製品に脆弱性が存在すると「JVN」で発表した。これはApple社が各製品向けのセキュリティアップデートを公開したことを受けたもの。
このCylance の研究者によって発見された脆弱性は、ANTLabs製のInnGateに存在している。それはインターネットのアクセスを管理し、またそれを販売するため、多くのホテルやカンファレンス会場で利用されているデバイスだ。
「顧客自身がジェイルブレイクをする必要はない。紛失、あるいは盗難に遭った携帯電話は、ブルートフォース攻撃を受け、その後、私の技術を利用してパスコードの検索ができるように、ジェイルブレイクされる可能性がある」と彼は結論づけた。
IPAおよびJPCERT/CCは、Eaden McKeeが提供するウェブログソフトウェア「bBlog」にクロスサイトリクエストフォージェリの脆弱性が存在すると「JVN」で発表した。
「その小さなプログラム『Dell Service Tag Detector』は、サービスタグを確認する以外にも数多くのことを行う」「攻撃者が恣意的にファイルをダウンロードし、実行するためのプログラムを遠隔起動できる可能性もある」とForbesは語った。
IPAおよびJPCERT/CCは、一部のマルチキャストDNS(mDNS)実装に、外部からのユニキャストクエリに応答する問題が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、サイトー企画が提供するテキストエディタソフト「秀丸エディタ」にバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。
IPAおよびJPCERT/CCは、複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われている問題について「JVN」で発表した。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)