OSS脆弱性ブログ

eximの緊急のゼロデイ脆弱性(Critical: CVE-2023-42115)

09/29/2023にeximの緊急のゼロデイ脆弱性(Critical: CVE-2023-42115)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
セキュリティトピック

2023Q3 脆弱性トピック

脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。
セキュリティトピック

2023Q3 国家が関係している攻撃等

2023Q3 国家が関係している攻撃等(北朝鮮やロシア、米国等)のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。
OSS脆弱性ブログ

Apache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228, CVE-2021-4104, CVE-2021-45046, CVE-2021-42550(logback), CVE-2021-45105, CVE-2021-44832 )

12/10/2021にApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)が公開されました。PoCも公開されており、攻撃も観測されています。非常に影響範囲の大きい脆弱性となりますので、こちらで取り上げます。 log4j 1.xでもJNDIを使用する設定にする等の条件を満たせば影響を受ける可能性があるというコメントが出ています。 Red Hatがlog4j 1.x(JMSAppenderを使用した設定になっている場合)のCVE: CVE-2021-4104を出しました。 CVE-2021-44228では設定がデフォルト以外の場合がカバーされていませんでしたので、新たにCVE-2021-45046が発行されました。log4jも2.16.0がリリースされています。 新たにCVE-2021-45105 (無限ループによるDoSの脆弱性)が発行されました。log4jの2.0beta-9から2.16.0までが対象です。それに伴って2.17.0がリリースされています。 新たにCVE-2021-44832 (リモートコード実行の脆弱性)が発行されました。log4jの2.0-alpha7から2.17.0までが対象です。それに伴って2.17.1がリリースされています。 【2021/12/12 12:00追記】AWS/Red Hat/Oracle/F5/NetAppからの情報を追記しました。 【2021/12/12 19:00追記】Microsoft/Googleからの情報を追記しました。 【2021/12/13 05:30追記】CISA/Cisco/Dell/VMWare/IBMからの情報を追記しました。 【2021/12/13 06:00追記】各セキュリティベンダーからの情報を追記しました。 【2021/12/13 17:20追記】Elastic Search, MovableTypeからの情報を追記しました。 【2021/12/13 21:50追記】log4j 1.x+JMSAppenderの脆弱性(CVE-2021-4104)の情報を追記しました。 【2021/12/14 10:00追記】影響を受ける製品(自分用纏め)の情報を追記しました。 【2021/12/14 10:15追記】OWASP ZAP/GVMの情報を追記しました。 【2021/12/15 03:25追記】CVE-2021-45046の情報を追記しました。 【2021/12/19 10:30追記】CVE-2021-42550(logbackの脆弱性), CVE-2021-45105(無限ループのDoS脆弱性)の情報を追記しました。 【2021/12/24 07:50追記】Struts2, Zabbix, NVIDIAの情報を追記しました。 【2021/12/26 13:00追記】SIOS Security ChannelでのPoC動画を追記しました。 【2021/12/29 19:00追記】CVE-2021-44832の情報を追記しました。
セキュリティトピック

2023Q3 サイバー攻撃関連

ここでは実際に2023Q3に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。
セキュリティトピック

2023Q3 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2023Q3のマルウェア・ランサムウェアに関する情報を載せていきます。
OSS脆弱性ブログ

BIND 9の脆弱性情報(High: CVE-2023-3341, CVE-2023-4236)と新バージョン(9.16.44, 9.18.19, 9.19.17)

09/21/2023(JST)に、BIND 9の脆弱性情報(High: CVE-2023-3341, CVE-2023-4236)と新バージョン(9.16.44, 9.18.19, 9.19.17 )が公開されています。リモートからの攻撃が可能な脆弱性ですが、両方とも迂回策があり、CVE-2023-3341に関してはデフォルトの設定ではリモートから攻撃が出来ないものになっています。CVE-2023-4236の迂回策に関しては、DNS-over-TLS機能を無効にすることになるので該当機能を使用している場合には難しいかもしれません。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

OpenSSLの脆弱性情報(Low: CVE-2023-3817)と修正バージョン(OpenSSL 3.1.3 / 3.0.11 / 1.1.1w)

09/08/2022 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-3817)が公開されています。こちらはLowでかつWindowsのみが対象となっていますが、念の為こちらの脆弱性の概要を簡単にまとめてみます。(2023/09/19追記:修正バージョンとしてOpenSSL 3.1.3 / 3.0.11 / 1.1.1wが出ています)
セキュリティブログ

CISA Open Source Software Security Roadmapについての解説

CISAがOpen Source Software Security Roadmapを出しました。今回はこちらの解説を行います。ざっくりとまとめると、CISAがOSSセキュリティに関してFY24-26で4つのObjective(目的)を立てて実施していきます、というお話です。ツールキットやベストプラクティスの開発と公開、OSSコミュニティとの連携・協力などについて触れられています。
OSS脆弱性ブログ

Strutsの脆弱性(Moderate: CVE-2023-41835)

09/14/2023にStrutsの脆弱性(Moderate: CVE-2023-41835)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。