piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

トップ > 脆弱性まとめ

脆弱性まとめ

PHPMailerの脆弱性 CVE-2016-10033/CVE-2016-10045についてまとめてみた

脆弱性まとめ

2016年12月25日、PHPのメール送信ライブラリPHPMailerに任意のコード実行可能な脆弱性が確認されたとして情報が公開されました。ここでは脆弱性の関連情報をまとめます。 脆弱性の概要 対象 PHPMailer CVE CVE-2016-10033CVE-2016-10045 影響 RCE 重要度 Cri…

Apache Struts2 の脆弱性 (CVE-2016-3087)についてまとめてみた

脆弱性まとめ

Apache Software Foundationは2016年6月2日に脆弱性情報 S2-033と修正版を公開しました。ここでは関連情報をまとめます。 Apache 公開情報 S2-033 Remote Code Execution can be performed when using REST Plugin with ! operator when Dynamic Method Invo…

ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた

脆弱性まとめ

画像処理ソフトImageMagickに複数の脆弱性が存在するとして2016年5月3日頃、CVE-2016-3714他の脆弱性情報が公開されました。ここでは関連情報をまとめます。 ImageMagick 開発チームの情報 2016年5月3日 ImageMagick Security Issue 脆弱性情報 対象 ImageMa…

Apache Struts2 の脆弱性 (CVE-2016-3081)についてまとめてみた

脆弱性まとめ

Apache Software Foundationは2016年4月19日に脆弱性情報 S2-032と修正版を公開しました。ここでは関連情報をまとめます。 Apache 公開情報 S2-032 — Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled…

ケータイキット for Movable Type の脆弱性についてまとめてみた

脆弱性まとめ

2016年4月22日、アイデアマンズ株式会社は同社製品の「ケータイキット for Movable Type」の脆弱性情報と緊急パッチを公開しました。既にこの脆弱性を悪用した不正アクセス被害が発生しています。ここでは関連情報をまとめます。 公式発表 開発元、およびバ…

Badlock (CVE-2016-2118/CVE-2016-0128)についてまとめてみた

脆弱性まとめ

2016年4月13日、Samba、およびMicrosoftより、Badlockと呼称されたCVE-2016-2118/CVE-2016-0128を含む複数の脆弱性情報、並びに修正版が公開されました。ここでは関連情報をまとめます。 脆弱性概要 対象 Samba Microsoft CVE CVE-2016-2118 CVE-2016-0128 …

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた

脆弱性まとめ

2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL …

GNU Cライブラリの脆弱性(CVE-2015-7547)についてまとめてみた

脆弱性まとめ

2016年2月17日に公開されたGNU Cライブラリの複数の脆弱性の内、CVE-2015-7547*1は任意のコードが実行可能であるとしてGoogleが報告しています。ここではこれら脆弱性に関連する情報をまとめます。 脆弱性情報 Vulnerability Note VU#457759 glibc vulnerabl…

Apache Commonsのcollectionsの脆弱性に関連するリンク集をまとめてみた。

脆弱性まとめ

2015年11月9日頃から騒がれているApache CommonsのCollectionsなどのデシリアライズの実装に起因する脆弱性に関連したリンク集です。 脆弱性情報 CVE Weblogic: CVE-2015-4852WebSphere: CVE-2015-7450Jenkins: CVE-2015-8103Groovy: CVE-2015-3253 影響 RCE…

MS15-093で修正されたIEの脆弱性 CVE-2015-2502についてまとめてみた

脆弱性まとめ

2015年8月19日に修正されたIEの脆弱性 CVE-2015-2502 に関する情報をまとめます。 脆弱性概要 脆弱性の概要情報をまとめたところ次の通り。 愛称 無し Webサイト MS15-093 アイコン 無し CVE CVE-2015-2502 影響 RCE 悪用 有り(0day) 発見者名 Clément Lecig…

Hacking Team 関係の情報をまとめる予定地

脆弱性まとめ

Hacking Team関係の情報をここにまとめます。 脆弱性情報のリーク 7月1日のHacking Teamのリークを受け、リークデータから確認された脆弱性は7月21日時点で6つ存在します。これらは全て発見当時未修正の脆弱性(ゼロデイ)でした。その内、3つはAdobe FlashPla…

Logjam Attackについてまとめてみた

脆弱性まとめ

Diffie-Hellman(DH)鍵交換の脆弱性を使ったTLSプロトコルに対する攻撃「Logjam Attack」に関する情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 Logjam Attack(攻撃手法の愛称) Webサイト https://weakdh.org/ アイコン 無し CVE CVE-2…

QEMU 仮想フロッピードライブコントローラの脆弱性(通称:VENOM) CVE-2015-3456についてまとめてみた。

脆弱性まとめ

2015年5月13日にCrowdStrike社が仮想フロッピーディスクコントローラの脆弱性情報を公開しました。ここでは関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 VENOMVIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATIONの略 アイ…

MS15-034で修正されたHTTP.sysの脆弱性 CVE-2015-1635についてまとめてみた。

脆弱性まとめ

2015年4月のMicrosoftが公開した更新プログラム MS15-034で修正されたHTTP.sysの脆弱性について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 無し アイコン 無し CVE CVE-2015-1635 発見者名 “…the Citrix Security Response Team……

FREAK についてまとめてみた

脆弱性まとめ

輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK(Factoring attack on RSA-EXPORT Keysの略)輸出グレード暗号の強制使用に関する呼称 ア…

Internet Explorerの脆弱性 CVE-2015-0072 についてまとめてみた。

脆弱性まとめ

2015年1月31日にFull DisclosureにInternet Explorerの脆弱性情報が投稿されました。ここでは脆弱性に関連する情報をまとめます。 脆弱性の概要 脆弱性識別情報 CVE:CVE-2015-0072 脆弱性の通称 UXSS(ユニバーサルクロスサイトスクリプティング) 脆弱性を…

Adobe Flash Playerの脆弱性 CVE-2015-0313に関連する情報をまとめてみた

脆弱性まとめ

2015年2月2日にAdobe Flash Playerの脆弱性、およびそれを悪用する攻撃が確認されており、Adobeから関連情報が公開されました。ここで箱の脆弱性に関連する情報をまとめます。 脆弱性関連情報 脆弱性識別情報 CVE:CVE-2015-0313 JVN: 脆弱性の影響 リモー…

glibc の脆弱性 CVE-2015-0235(通称:GHOST)についてまとめてみた

脆弱性まとめ

2015年1月27日(現地時間) Qualysはglibc(GNU C Library)に脆弱性を発見し、情報を公開しました。ここでは関連情報をまとめます。(暫定まとめなので精度低め、網羅性無しです。。) (1) 脆弱性関連情報 Qualysが公開した脆弱性情報 The GHOST Vulnerability Qu…

Adobe Flash Playerの脆弱性 CVE-2015-0310/CVE-2015-0311に関連する情報をまとめてみた

脆弱性まとめ

2015年1月22日、1月23日(日本時間)にAdobe Flash Playerの脆弱性、及びそれを悪用する攻撃が確認されており、Adobeから関連情報が公開されました。ここではこの脆弱性に関連する情報をまとめます。 悪用が確認されている脆弱性 悪用が確認されている脆弱性は…

NTPDの脆弱性 CVE-2014-9295他の関連情報をまとめてみた。

脆弱性まとめ

2014年12月18日にNTP ProjectはNTPDに複数の脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここでは任意のコードが実行可能とされるCVE-2014-9295を中心に関連情報についてまとめます。 注意喚起・脆弱性公開情報 2014年12月19日 US-C…

一太郎の脆弱性 CVE-2014-7247の関連情報をまとめてみた。

脆弱性まとめ

2014年11月13日にジャストシステムが同社の一太郎に脆弱性が確認され、その修正プログラムを公開したことを発表しました。ここではその関連情報をまとめます。 開発元 公式発表 2014/11/13 [JS14003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性…

Windows OLEの脆弱性(CVE-2014-4114)関連情報をまとめてみた

脆弱性まとめ

iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindowsの脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関…

Shellshockの影響が及ぶケースをまとめてみた

脆弱性まとめ

ここではBashの脆弱性 ShellShockの影響が及ぶケースとして情報が出ているものをまとめます。記載情報はpiyokangoが見つけた情報をまとめているだけであり、当該脆弱性による影響が及ぶケースをすべて網羅しているわけではありませんのでご注意ください。 関…

bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた

脆弱性まとめ

bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Ba…

Kasperskyが発見したAdobe Reader/Acrobatの脆弱性 CVE-2014-0546に関係する情報についてまとめてみた

脆弱性まとめ

Adobeが公開したアドバイザリAPSB14-19に記載されている Adobe Reader/Acrobatの脆弱性 CVE-2014-0546に関係する情報についてここではまとめます。 概要 Adobe Reader/Acrobatの脆弱性はKasperskyが発見し、Adobeへ報告したもので、2社の発表によれば限定的…

OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。

脆弱性まとめ

lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。 尚、6月6日にレピダ…

Corelan Teamが発見したIEの脆弱性CVE-2014-1770に関係する情報についてまとめてみた

脆弱性まとめ

ZDIが公開したアドバイザリZDI-14-140に記載されている IEの脆弱性 CVE-2014-1770についてここではまとめます。