![LenovoのThinkPadやYogaなどのノートPCに特権昇格の脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/28ae0f1b7563c583b01c11abaf6cb42d2dbc0bf8/height=288;version=1;width=512/https%3A%2F%2Fpc.watch.impress.co.jp%2Fimg%2Fpcw%2Flist%2F1375%2F191%2F01.jpg)
各位 JPCERT-AT-2017-0033 JPCERT/CC 2017-09-06(新規) 2017-09-07(更新) <<< JPCERT/CC Alert 2017-09-06 >>> Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170033.html I. 概要 Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性 (CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理 することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行 される可能性があ
国交省のWebサイト「不動産取引価格アンケート回答」が、「Apache Struts 2」の脆弱性を悪用した不正アクセスを受けた。 国土交通省は6月6日、同省のWebサイトが「Apache Struts 2」の脆弱性を悪用した不正アクセスを受け、アンケート情報や不動産登記情報など最大約20万件が流出した可能性があると発表した。 流出した可能性があるのは、不動産取引価格などの調査や結果公表を行うサイト「土地総合情報システム」上で、Webアンケートに答えたユーザーの氏名、法人名、契約日、取引価格などが最大4335件。このほか、登記所などでも入手可能な情報ではあるが、所有権移転登記情報(登記原因日、地番、地目、面積など)最大19万4834件も流出した恐れがあるという。 同省は2日午後4時に同サービスの電子回答システムを緊急停止。6日現在、個人情報流出の有無を調査中で、システム監視の強化、再発防止
インドに住む20歳代のハッカーはある日、複数のインドの航空会社のサイトにバグがあることを発見しました。この脆弱性を利用すると、世界中の好きな空港へのチケットを実質無料でゲットできる状態になっていたそうです。 How I could have travelled the World for Free – Kanishk Sajnani – Medium https://medium.com/@kanishksajnani/how-i-could-have-travelled-the-world-for-free-5bb10ac46ae5 この脆弱性を発見したのは、インド在住のカニシク・サージナニ(Kanishk Sajnani)さん。コンピューターセキュリティに関心があるというサージナニさんは、2015年ごろにいくつかのウェブサイトやモバイルアプリの脆弱性をリサーチしていたところ、この問題に
JVNVU#97133859 Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性 Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2 には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2 が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュー
業務用としてよく利用されているソニーのネットワークカメラにバックドアがあることを、オーストリアのセキュリティ企業が発見しました。攻撃者に利用された場合、当該カメラで任意のコードが実行可能なほか、ネットワーク内に足掛かりを作られるとカメラの機能を悪用されたり、カメラをボットネットの一部として悪用される恐れがあります。 SEC Consult: Backdoor in Sony IPELA Engine IP Cameras http://blog.sec-consult.com/2016/12/backdoor-in-sony-ipela-engine-ip-cameras.html JVNVU#96435227: ソニー製の複数のネットワークカメラ製品に脆弱性 https://jvn.jp/vu/JVNVU96435227/ Researchers Find Fresh Fodder fo
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
最近のLenovoのBIOSのアップデートに以下のものがある。 Lenovo Newsroom | Lenovo Statement on Lenovo Service Engine (LSE) BIOS この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoft Windows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。 などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。 Lenovo G50-80 dialog box - Ars Technica OpenForum Windows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く