セキュリティ脆弱性その他 - 窓の杜

連載やじうまの杜
何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない？～とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう
(2021/12/13)
連載やじうまの杜
マイクラもハッキング～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】
「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。
(2021/12/10)
「Ruby 3.0.3」「Ruby 2.7.5」「Ruby 2.6.9」が公開【11月29日追記】
3件の脆弱性に対処したセキュリティ更新。対応する「RubyInstaller for Windows」も公開
(2021/11/25)
「Node.js」にセキュリティアップデート、深刻度「Medium」が2件
v12.22.7、v14.18.1、 v16.11.1へアップデートを
(2021/10/13)
「Apache HTTP Server」のゼロデイ脆弱性対策は不十分～「Apache 2.4.51」で追加修正
パストラバーサルによりドキュメントルートの外にあるファイルへアクセスされる
(2021/10/8)
Webサーバー「Apache」にゼロデイ脆弱性～ドキュメントルート外にあるファイルにアクセスされる
(2021/10/6)
「Node.js」の2021年8月セキュリティ更新～深刻度「High」2件を含む3件の脆弱性を修正
v12.22.5、v14.17.5、v16.6.2への更新を
(2021/8/16)
「Node.js」にセキュリティアップデート～深刻度は「High」
v12.22.4、v14.17.4、v16.6.0への更新を
(2021/7/30)
「Apache Tomcat」に複数の脆弱性、最新版への更新を
不正なリクエストの送信・認証、ロックアウト機能のバイパス、DoSなどにつながる可能性
(2021/7/14)
スクリプト言語「Ruby」にセキュリティ更新～3件の脆弱性に対処【7月28日追記】
対処済みの「RubyInstaller for Windows」v3.0.2-1/2.7.4-1/2.6.8-1も公開
(2021/7/8)
「Node.js」の2021年6月セキュリティ更新～深刻度「High」1件を含む4件の脆弱性を修正
v12.22.2、v14.17.2、v16.4.1への更新を
(2021/7/5)
「Node.js 16」が公開～Apple Silicon向けのプリビルドバイナリを初めて提供
「V8」はv9.0に。“Timers Promises API”が試験版を卒業し安定版として利用可能
(2021/4/21)
「Node.js」の2021年4月セキュリティ更新～深刻度“High”の脆弱性を3件修正
v10.24.1、v12.22.1、v14.16.1、v15.14.0への更新を
(2021/4/7)
スクリプト言語「Ruby」にセキュリティ更新～「Ruby 2.5」系統は終了
「Ruby 3.0.1」「Ruby 2.7.3」「Ruby 2.6.7」「Ruby 2.5.9」がダウンロード可能
(2021/4/6)
「OpenSSL」に2件の脆弱性、深刻度は“高” ～「OpenSSL 1.1.1k」への更新を
不正なCA証明書を受け入れてしまう可能性
(2021/3/29)
「Node.js」の2021年2月セキュリティ更新～深刻度“Critical”を含む3件の脆弱性を修正
v10.24.0、v12.21.0、v14.16.0、v15.10.0への更新を
(2021/2/24)
「Python」にバッファオーバーフローの脆弱性～サポート終了の「Python 2」にも影響
リモートからサービス拒否（DoS）や任意コード実行の可能性
(2021/2/8)
「Node.js」の2021年1月セキュリティ更新～CVE番号ベースで3件の脆弱性に対処
v10.23.1、v12.20.1、v14.15.4、v15.5.1の各バージョンが公開
(2021/1/5)
「Ruby 2」より3倍速い～「Ruby 3.0.0」が例年通りクリスマスにリリース
パフォーマンス・並行処理・静的解析の3点を重点強化
(2020/12/25)
「OpenSSL」v1.1.0iが公開～NULLポインター参照の脆弱性に対処
DoS攻撃を受ける可能性があり、深刻度は“高”
(2020/12/10)
Intel、2020年11月のセキュリティアドバイザリを公開～サイドチャネル脆弱性“PLATYPUS”にも対処
CPUやBIOS、NUC、Bluetooth、オーディオど40製品が対象。最大深刻度は“CRITICAL”
(2020/11/11)
Bluetoothスタック「BlueZ」に複数の脆弱性～Intel、2020年10月のセキュリティアドバイザリを公開
「BlueZ」をサポートする「Linux Kernel 5.9」より前のすべてのバージョンに影響
(2020/10/14)
「Ruby 2.7.2」がリリース～「WEBrick」の更新でHTTP Request Smugglingの脆弱性を解消【10月7日追記】
警告の出力で仕様の変更も。10月6日には「RubyInstaller for Windows」もバージョンアップ
(2020/10/5)
「Node.js」の2020年9月セキュリティ更新～“Critical”1件を含む3件の脆弱性に対処
v10.22.1、v12.18.4、v14.11.0の各バージョンが公開
(2020/9/16)
「OpenSSL」に暗号通信を解読可能な脆弱性“Raccoon Attack” ～パッチ提供のない旧版は注意
「OpenSSL 1.1.1」への移行を
(2020/9/11)
Intel、2020年9月のセキュリティアドバイザリを公開～第8世代Intel Core以降などのBIOSに問題
リモート管理ソリューション「Intel AMT」「Intel ISM」では“CRITICAL”な脆弱性も
(2020/9/9)
Intel、2020年8月のセキュリティアドバイザリを公開～Xeonシステムに“Critical”な問題
Cisco Talosが先月公表したGPUドライバーの脆弱性は未解決の模様
(2020/8/12)
Intel、2020年6月のセキュリティアドバイザリを公開～CPUのリモート管理機能に致命的な問題
特定レジスタのデータが推測可能な“Special Register Buffer Data Sampling”攻撃にも対策
(2020/6/10)
「Node.js」の2020年6月セキュリティ更新～CVE番号ベースで4件の脆弱性に対処
v10.21.0、v12.18.0、v14.4.0の各バージョンが公開
(2020/6/3)
「OpenSSL」にセグメンテーション違反の脆弱性～修正版のv1.1.1gがリリース
深刻度は4段階中2番目の“High”
(2020/4/22)
Intel、2020年4月のセキュリティアドバイザリを公開～NUCのファームフェアなどに問題
深刻度の最大評価は“HIGH”、特権昇格やサービス拒否（DoS）、情報漏洩につながる恐れ
(2020/4/15)
DDRメモリを揺るがしたロウハンマー攻撃、対策済みとされたDDR4システムでも引き続き有効
研究者チームが研究結果を発表、JVNが注意喚起
(2020/3/12)
Intel、2020年2月のセキュリティアドバイザリを公開～Intel CSMEなどに脆弱性
深刻度の最大評価は“HIGH”、特権昇格やサービス拒否（DoS）、情報漏洩につながる恐れ
(2020/2/12)
「Node.js」の2020年2月セキュリティ更新が公開～“Critical”1件を含む3件の脆弱性に対処
HTTPヘッダーのパース処理もより厳密に
(2020/2/10)
Intel製CPUに投機的実行機能にまたサイドチャネル脆弱性、機密データを外部から推測されてしまう可能性
脆弱性の深刻度は“Low”と“Medium”
(2020/1/28)
Intel、2020年1月のセキュリティアドバイザリを公開～グラフィックスやチップセットが対象
深刻度の最大評価は“HIGH”
(2020/1/15)
今後は脆弱性の指摘からキッチリ90日後に情報開示～GoogleのProject Zeroチームがポリシーを変更
現在、脆弱性レポートの97.7％は90日間の開示ポリシー内で修正。次のステップを目指す
(2020/1/9)
「npm」由来の脆弱性を修正した「Node.js」が公開
3件の脆弱性を修正
(2019/12/18)
「Node.js」に「npm」由来の脆弱性、修正版のリリースを予告
本番環境で「npm」を実行しないように呼び掛け
(2019/12/13)
Intel、2019年12月のセキュリティアドバイザリを公開～深刻度の最大評価は“HIGH”
NUCのファームウェアなどが対象
(2019/12/11)
Intel、2019年11月のセキュリティアドバイザリを公開～TSX命令セット対応CPUなど18件が対象
最大深刻度は“Critical”
(2019/11/13)
Intel、2019年10月のセキュリティアドバイザリを公開～Intel NUCなど3製品が対象
最大深刻度は“HIGH”
(2019/10/9)
スクリプト言語「Ruby」に4件の脆弱性～v2.4.8/v2.5.7/v2.6.5が公開（10月3日追記）
2日付で「Ruby」v2.4.8をインストールできない問題を修正したv2.4.9が公開
(2019/10/2)
Intel、2019年9月のセキュリティアドバイザリを公開～2製品が対象
特権昇格や情報漏洩につながる恐れ、最大深刻度は“MEDIUM”
(2019/9/11)
スクリプト言語「Ruby」v2.4.7/2.5.6/2.6.4が公開
標準添付ライブラリである「RDoc」に含まれる「jQuery」のXSS脆弱性に対処
(2019/8/29)
「Node.js」の2019年8月セキュリティ更新が公開～HTTP/2実装のDoS脆弱性を修正
「Node.js 12」、「Node.js 10」、「Node.js 8」のすべてのバージョンに影響
(2019/8/19)
Intel、2019年8月のセキュリティアドバイザリを公開～7製品が対象
「Intel NUC」や「Intel Remote Displays SDK」に影響、最大深刻度は“HIGH”
(2019/8/14)
Intel製品に複数の脆弱性、セキュリティアドバイザリが公開
最大深刻度は“HIGH”
(2019/6/12)
Intel製CPUに新たな脆弱性～“Microarchitectural Data Sampling（MDS）”が公表される
各社が影響範囲と対策を発表
(2019/5/15)
Wi-Fiの新しい認証・暗号化技術“WPA3”に複数の脆弱性～JVNが注意喚起
リモートから弱いパスワード情報や権限を奪取されたり、DoS攻撃を受ける可能性
(2019/4/16)