セキュリティ脆弱性その他

DDRメモリを揺るがしたロウハンマー攻撃、対策済みとされたDDR4システムでも引き続き有効
研究者チームが研究結果を発表、JVNが注意喚起
(2020/3/12)
Intel、2020年2月のセキュリティアドバイザリを公開～Intel CSMEなどに脆弱性
深刻度の最大評価は“HIGH”、特権昇格やサービス拒否（DoS）、情報漏洩につながる恐れ
(2020/2/12)
「Node.js」の2020年2月セキュリティ更新が公開～“Critical”1件を含む3件の脆弱性に対処
HTTPヘッダーのパース処理もより厳密に
(2020/2/10)
Intel製CPUに投機的実行機能にまたサイドチャネル脆弱性、機密データを外部から推測されてしまう可能性
脆弱性の深刻度は“Low”と“Medium”
(2020/1/28)
Intel、2020年1月のセキュリティアドバイザリを公開～グラフィックスやチップセットが対象
深刻度の最大評価は“HIGH”
(2020/1/15)
今後は脆弱性の指摘からキッチリ90日後に情報開示～GoogleのProject Zeroチームがポリシーを変更
現在、脆弱性レポートの97.7％は90日間の開示ポリシー内で修正。次のステップを目指す
(2020/1/9)
「npm」由来の脆弱性を修正した「Node.js」が公開
3件の脆弱性を修正
(2019/12/18)
「Node.js」に「npm」由来の脆弱性、修正版のリリースを予告
本番環境で「npm」を実行しないように呼び掛け
(2019/12/13)
Intel、2019年12月のセキュリティアドバイザリを公開～深刻度の最大評価は“HIGH”
NUCのファームウェアなどが対象
(2019/12/11)
Intel、2019年11月のセキュリティアドバイザリを公開～TSX命令セット対応CPUなど18件が対象
最大深刻度は“Critical”
(2019/11/13)
Intel、2019年10月のセキュリティアドバイザリを公開～Intel NUCなど3製品が対象
最大深刻度は“HIGH”
(2019/10/9)
スクリプト言語「Ruby」に4件の脆弱性～v2.4.8/v2.5.7/v2.6.5が公開（10月3日追記）
2日付で「Ruby」v2.4.8をインストールできない問題を修正したv2.4.9が公開
(2019/10/2)
Intel、2019年9月のセキュリティアドバイザリを公開～2製品が対象
特権昇格や情報漏洩につながる恐れ、最大深刻度は“MEDIUM”
(2019/9/11)
スクリプト言語「Ruby」v2.4.7/2.5.6/2.6.4が公開
標準添付ライブラリである「RDoc」に含まれる「jQuery」のXSS脆弱性に対処
(2019/8/29)
「Node.js」の2019年8月セキュリティ更新が公開～HTTP/2実装のDoS脆弱性を修正
「Node.js 12」、「Node.js 10」、「Node.js 8」のすべてのバージョンに影響
(2019/8/19)
Intel、2019年8月のセキュリティアドバイザリを公開～7製品が対象
「Intel NUC」や「Intel Remote Displays SDK」に影響、最大深刻度は“HIGH”
(2019/8/14)
Intel製品に複数の脆弱性、セキュリティアドバイザリが公開
最大深刻度は“HIGH”
(2019/6/12)
Intel製CPUに新たな脆弱性～“Microarchitectural Data Sampling（MDS）”が公表される
各社が影響範囲と対策を発表
(2019/5/15)
Wi-Fiの新しい認証・暗号化技術“WPA3”に複数の脆弱性～JVNが注意喚起
リモートから弱いパスワード情報や権限を奪取されたり、DoS攻撃を受ける可能性
(2019/4/16)
「RubyGems」の脆弱性に対処した「Ruby」v2.4.6が公開
通常のメンテナンスフェイズはこのリリースで終了、早めの移行を
(2019/4/3)
「Node.js」の2019年2月セキュリティ更新が公開～最大深刻度は“MODERATE”
「Node.js」に固有のセキュリティ修正と「OpenSSL」のアップデートを含む
(2019/3/5)
「Node.js」の2018年11月セキュリティ更新が公開～最大深刻度は“High”
「Node.js」に固有のセキュリティ修正と「OpenSSL」のアップデートを含む
(2018/11/29)
「FFmpeg 4.1」が公開～“AV1”のパーサー、“ATRAC9”・“AVS2”デコーダーを追加
12件の脆弱性を修正
(2018/11/12)
Hyper-Threading搭載のIntel CPUに新たな脆弱性～“PortSmash”が明らかに
「OpenSSL」の秘密鍵を盗み出す実証コードが公開。他社製CPUにも影響か
(2018/11/5)
Bluetooth実装に脆弱性、秘密鍵を取得される恐れ～JVNが注意喚起
今後のファームウエアやドライバーのアップデートに注意
(2018/7/26)
広く採用されている書庫展開処理に任意コード実行を許す脆弱性～数千のプロジェクトに影響
英セキュリティ企業が“Zip Slip”と命名、StackOverflowを介して拡散か
(2018/6/6)
7件の脆弱性を修正した「Apache HTTP Web Server」v2.4.33が公開～JVNが更新を勧告
内容はサービス運用妨害（DoS）が4件、認証回避が2件、情報改竄が1件
(2018/3/28)
「Git」「Mercurial」「Subversion」などにコマンドインジェクションの脆弱性
「SourceTree」などの関連製品にも修正版がリリースされる
(2017/8/17)
「Apache HTTP Web Server 2.4」v2.4.26が公開～複数の脆弱性を修正
DoSなどが引き起こされる恐れ。2.2.x系にも影響し、パッチがリリースされる
(2017/6/20)
「Apache Tomcat」にセキュリティ制限回避の脆弱性、最新版への更新を
細工されたHTTPリクエストを処理すると、エラーページの削除や上書きが行われる可能性
(2017/6/7)
「Apache HTTP Web Server 2.4」に複数の脆弱性、修正版のv2.4.25が公開
情報漏洩や意図しない外部リソースへのアクセス、DoSなどが引き起こされる恐れ
(2016/12/21)
「OpenSSL」v1.1.0cが公開。深刻度“High”を含む3件の脆弱性を修正
“CVE-2016-7055”はv1.0.2にも影響するが影響が軽微なため修正版のリリースは先送り
(2016/11/11)
22日にリリースされた「OpenSSL」のアップデートに脆弱性、v1.1.0b/v1.0.2jが公開
“Critical”を含む2件の脆弱性が修正される
(2016/9/27)
「OpenSSL」に14件の脆弱性、修正を施した最新版v1.1.0a/v1.0.2i/v1.0.1uが公開
深刻度の内訳は“High”が1件、“High”が1件、“Low”が12件
(2016/9/23)
CGIを利用するWebサーバーの脆弱性、中間者攻撃や不正なホストへの接続に悪用の恐れ
「PHP」や「Python」、「Go」などのプログラミング言語や「Apache」サーバーに影響
(2016/7/19)
「OpenSSL」に6件の脆弱性、修正を施した最新版v1.0.2h/v1.0.1tが公開
深刻度の内訳は“High”が2件、“Low”が4件
(2016/5/6)
“DROWN”“CacheBleed”脆弱性に対処した「OpenSSL」の最新版が公開
SSLv2が初期状態で無効化
(2016/3/2)
「OpenSSL」に2件の脆弱性、修正を施した最新版が公開
昨年大きな話題になった“Logjam”攻撃への緩和策も
(2016/1/29)
JPCERT/CC、連絡のとれない開発者の製品に関する脆弱性情報の公表を開始
従来の原則では公開できなかった脆弱性も公表の対象に
(2015/9/3)
Microsoft、「Ask Toolbar」をマルウェアとして扱う方針を明らかに
「Java」などの製品に同梱。検索プロバイダーの上書きなどの動作が基準に抵触
(2015/6/10)
“一太郎”シリーズに脆弱性。悪意あるファイルを開くとPCを乗っ取られる可能性
脆弱性を修正するセキュリティ更新モジュールが公開済
(2014/11/13)
SSL/TLSライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが公開
“SSL 3.0”に関わる2件を含む4件のセキュリティ修正
(2014/10/16)