はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

「OpenSSL」に複数の脆弱性、アップデートリリース

「OpenSSL」に複数の脆弱性が発見された(CVE-2019-1547、CVE-2019-1549、CVE-2019-1563)。

今回発見された脆弱性は、悪用されるとデータの不正窃取などを実施される可能性があるとされており注意が必要。ただし、これら脆弱性は深刻度が低(Low)と評価されている。ベンダーやプロジェクトから提供される脆弱性に注力するとともに、アップデートが提供された場合は迅速にアップデートを適用することが望まれる。

この脆弱性を修正した「OpenSSL 1.1.1d」「1.1.0l」「1.0.2t」が公開されているため、ユーザはアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVNのアナウンス

Pythonに電子メール取り扱い時の挙動に関する脆弱性

 Python.orgは9月12日(現地時間)、Pythonに存在する脆弱性に関する注意喚起を発表した。

 今回発表された脆弱性はemailモジュールに存在する。複数の「@」文字を含むメールアドレスを処理する際、不適切な処理を行ってしまうという。From/Toヘッダーをチェックしている場合などに、拒否すべきメールアドレスを許可してしまう危険がある。

 今回の脆弱性に対応するパッチがリリースされているため、ユーザはアップデートを施すことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

US-CERT、Ciscoの複数のプロダクトに発見された脆弱性について注意喚起

US-CERTは9月5日(現地時間)、Ciscoの複数のプロダクトに脆弱性が発見されたと発表した。今回発表された脆弱性を悪用されると、リモートから制御権を乗っ取られるなどの危険などがある。なお、いずれの脆弱性についてもすでにアップデートが提供されている。

発見された脆弱性はWebサイトに掲載されている。Cisco製品のユーザ・システム管理者は情報を確認の上、アップデートを施す必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文

US-CERT、オーストラリアのサイバーセキュリティセンターの「パスワードスプレー攻撃」に関するアドバイザリを公開

US-CERTは8月8日(現地時間)、オーストラリアのサイバーセキュリティセンター(ACSC)が「パスワードスプレー攻撃」に関するアドバイザリを公開したと発表した。

ACSCは、オーストラリアの組織が標的となった大量のパスワードスプレー攻撃を確認したという。「パスワードスプレー攻撃」はブルートフォース攻撃の一種。ブルートフォース攻撃はIDとパスワードの組み合わせを総当たりで試していく攻撃。ブルートフォース攻撃への対策としては一定期間内に規定回数以上のログイン失敗があった場合に一定時間ログインを禁止するといった対策が取られている。パスワードスプレー攻撃は、総当たりの速度を落とし、同じパスワードを複数のアカウントについて試すなどの方法により、検出が難しいという特徴がある。

ブルートフォース攻撃は古くから存在しているが、パスワードスプレー攻撃は2018年頃に発見され、活動数も2018~2019年にかけて増加していると見られる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

ESET、Androidを標的とした新しいランサムウェアの一群について注意喚起

ESETは7月29日(現地時間)、Androidを標的とした新しいランサムウェアの一群を発見したとして注意喚起を発表した。

ランサムウェアは、ファイルやディスクを勝手に暗号化し、復号を行うために身代金を要求する不正ソフトウェア。近年は減少傾向にあったが、今回新しく発見されたランサムウェアは手口が従来と異なっており、今後影響が大きくなる恐れがあるとしている。

なお、今回のランサムウェアを詳細に解析した結果、42の言語のメッセージを含んでいたという。この中には日本語のメッセージも含まれている。このことから、同種のランサムウェアによって世界中に攻撃が行われる危険もあるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

「GNU Patch」に複数の脆弱性

「GNU Patch」に、複数の脆弱が発見された。影響があるのは「GNU Patch 2.7.6以前」。シンボリックリンク処理に問題があり、特定の入力ファイルでシンボリックリンクを誤って処理してしまう脆弱性(CVE-2019-13636)と、シェルコマンドインジェクションの危険(CVE-2019-13638)。いずれの脆弱性についても修正パッチが提供されており、ユーザはパッチの適用もしくはアップグレードが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
DebianのErrata
GNU Patch

Linux 5.1.17以前にローカルユーザの権限昇格の脆弱性

 packet stormは7月18日(現地時間)、Linuxカーネルに存在する脆弱性に関して注意喚起を発表した。

 今回発表された脆弱性は「Linux 5.1.17以前」のバージョンに存在する。kernel/ptrace.c 中のptrace_linkに不具合があり、ローカルユーザが不正にroot権限を取得される危険がある。重要度は「Important」となっており、危険度の高い脆弱性であることから、ユーザはアップグレードもしくはパッチの適用が強く推奨される。
 

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

Check Point、2019年6月のマルウェアランキングおよび「Emotet」の動向について注意喚起

Check Pointは7月9日(現地時間)、2019年6月のマルウェアランキングおよびバンキングトロジャン「Emotet」の動向について注意喚起を発表した。

PCマルウェアとしてのランキングは1位「XMRig」、2位「Jsecoin」、3位「Cryptoloot」、4位「Dorkbot」となっており、「Emotet」は5位まで下がっている。「Emotet」はこれまで数か月続いていたアクティビティが下がっている。一方、以前にもトロイの木馬が沈黙ののちに猛威を振るった前例はいくつかあり、「Emotet」もメンテナンス・アップデートのために活動が低下している可能性が高く、今後新しい脅威となる可能性が高いとしている。

なお、モバイルマルウェアのランキングは1位「Lotoor」、2位「Triada」、3位「Ztorg」となっている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

「OpenSSL」に脆弱性、アップデートリリース

「OpenSSL」に脆弱性が発見された(CVE-2019-1559)。

発見された脆弱性はゼロバイトレコードパディングオラクル。悪用された場合、アプリケーションがプロトコルエラーとなり、サービス停止などを引き起こす危険がある。

この脆弱性を修正した「OpenSSL 1.0.2r」が公開されているため、ユーザはアップデートが強く推奨される。なお、この脆弱性の修正ではないが「OpenSSL 1.1.1b」もリリースされている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

情報処理推進機構、「情報セキュリティ10大脅威 2019」を発表

 情報処理推進機構(IPA)は1月31日、情報セキュリティにおける脅威のうち、2018年に社会的影響が大きかったトピックからトップ10を選出し、「情報セキュリティ10大脅威2019」として発表した。

 「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。IPAが脅威候補を選出し、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定した。

ランキングは以下の通り。

個人部門
1位 クレジットカード情報の不正利用
2位 フィッシングによる個人情報等の詐取
3位 不正アプリによるスマートフォン利用者の被害
4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求
5位 ネット上の誹謗・中傷・デマ
6位 偽警告によるインターネット詐欺
7位 インターネットバンキングの不正利用
8位 インターネットサービスへの不正ログイン
9位 ランサムウェアによる被害
10位 IoT 機器の不適切な管理

組織部門
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

 新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位)。また、本年の個人ランキングでは“だましによる手口”が顕著となっている。また、組織の4位に新規にランクインした「サプライチェーン」も注目すべき事案として取り上げている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス
記事本文

 

このページのTOPへ

Powered by Wordpress