現在位置: ホーム / セキュリティ ブログ

セキュリティ ブログ

セキュリティブログインターネットやクラウドなどのITインフラが整備されることにより、IoTのように身近なものが相互に接続されるようになってきています。これに伴い、不正アクセスや情報漏えいなどのセキュリティ問題が多数報告され、今まで以上に「セキュリティ」に対する関心度が増加しています。

このコーナーでは、特にSIOSが得意とするOSSとITインフラのセキュリティの技術情報を中心にご紹介します。

 

AppArmorの脆弱性( CVE-2017-6507 )

03/25/2017にAppArmorの脆弱性情報(CVE-2017-6507)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

AppArmorの脆弱性( CVE-2017-6507 ) - もっと読む

linux kernelの脆弱性( CVE-2017-7261 )

03/25/2017にkernelの脆弱性情報(CVE-2017-7261)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-7261 ) - もっと読む

Sambaに共有以外のファイルにアクセスされる脆弱性(CVE-2017-2619)

03/23/2017にsambaの脆弱性情報(CVE-2017-2619)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Sambaに共有以外のファイルにアクセスされる脆弱性(CVE-2017-2619) - もっと読む

Subscription-managerの脆弱性( CVE-2017-2663 )

03/22/2017にsubscription-managerの脆弱性情報(CVE-2017-2663)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Subscription-managerの脆弱性( CVE-2017-2663 ) - もっと読む

binutilsに複数の脆弱性( CVE-2017-6965, CVE-2017-6966, CVE-2017-6969, CVE-2017-7209 , CVE-2017-7210 , CVE-2017-7223, CVE-2017-7224, CVE-2017-7225, CVE-2017-7226, CVE-2017-7227 )

03/22/2017にbinutilsの脆弱性情報(CVE-2017-7209, CVE-2017-7210)が公開されました(03/17/2017のものの続きになります)。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 (*) 03/23/2017にbinutilsの脆弱性情報(CVE-2017-7223, CVE-2017-7224, CVE-2017-7225, CVE-2017-7226, CVE-2017-7227)が引き続いて公開されたため、CVE-2017-6965, CVE-2017-6966, CVE-2017-6969と一緒に情報をまとめました。

binutilsに複数の脆弱性( CVE-2017-6965, CVE-2017-6966, CVE-2017-6969, CVE-2017-7209 , CVE-2017-7210 , CVE-2017-7223, CVE-2017-7224, CVE-2017-7225, CVE-2017-7226, CVE-2017-7227 ) - もっと読む

linux kernelの脆弱性( CVE-2017-7187 )

03/21/2017にkernelの脆弱性情報(CVE-2017-7187)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-7187 ) - もっと読む

linux kernelの脆弱性( CVE-2017-6353 , CVE-2017-5986 )

02/27/2017にkernelの脆弱性情報(CVE-2017-6353 , CVE-2017-5986)が公開されていました。少し遅くなりましたが、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-6353 , CVE-2017-5986 ) - もっと読む

Ubuntu 16.10のkernelの脆弱性( CVE-2017-7184 )

03/20/2017にUbuntu 16.10のkernel( 4.8.0.41.52 )の脆弱性情報( CVE-2017-7184 )が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Ubuntu 16.10のkernelの脆弱性( CVE-2017-7184 ) - もっと読む

pcreの脆弱性( CVE-2017-7186 )

03/20/2017にpcreの脆弱性情報( CVE-2017-7186 )が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

pcreの脆弱性( CVE-2017-7186 ) - もっと読む

binutilsの脆弱性( CVE-2017-6965 , CVE-2017-6966 , CVE-2017-6969 )

03/17/2017にbinutilsの脆弱性情報(CVE-2017-6965, CVE-2017-6966, CVE-2017-6969)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

binutilsの脆弱性( CVE-2017-6965 , CVE-2017-6966 , CVE-2017-6969 ) - もっと読む

MySQL(MariaDB) 5.5/5.6のmysql clientの脆弱性( Riddle : CVE-2017-3305 )

03/17/2017にMySQL(MariaDB) 5.5/5.6のmysql clientの脆弱性情報( Riddle : CVE-2017-3305 )が公開されました。Riddle(Ridiculous Database Library Exploit)と名付けられて、特設サイトも出来ています。 今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

MySQL(MariaDB) 5.5/5.6のmysql clientの脆弱性( Riddle : CVE-2017-3305 ) - もっと読む

linux kernelの脆弱性( CVE-2017-6951 )

03/17/2017にkernelの脆弱性情報(CVE-2017-6951)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-6951 ) - もっと読む

Apache Struts2の脆弱性 ( CVE-2017-5638 )

03/06/2017にApache Struts2の脆弱性 ( CVE-2017-5638 )が報告されたことは既に様々なメディアで報告されていますので、皆様ご存知だと思います。また、実際に攻撃も確認されており、JETROなどの複数の組織で実際に情報流出などの被害が出ています。 今回はこの脆弱性の概要と、各ディストリビューションから出ている情報について簡単にまとめてみます。

Apache Struts2の脆弱性 ( CVE-2017-5638 ) - もっと読む

linux kernelの脆弱性( CVE-2017-6874 )

03/14/2017にkernelの脆弱性情報(CVE-2017-6874)が公開されました。Importantのプライオリティのため、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-6874 ) - もっと読む

tomcatに情報漏えいの脆弱性( CVE-2016-8747 )

3/14に、Tomcatに関しての脆弱性情報 ( CVE-2016-8747 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

tomcatに情報漏えいの脆弱性( CVE-2016-8747 ) - もっと読む

QEMUの脆弱性( CVE-2016-9603 ) (Xen: XSA-211)

3/15に、QEMUの脆弱性についての情報(CVE-2016-9603)が出ています。PriorityがImportantで、KVMやXenにも関わってきます(Xen Security Advisory 211 : XSA-211)ので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

QEMUの脆弱性( CVE-2016-9603 ) (Xen: XSA-211) - もっと読む

lxcの脆弱性(CVE-2017-5985)

03/09/2017(日本時間 03/10/2017)にlxcの脆弱性情報(CVE-2017-5985)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

lxcの脆弱性(CVE-2017-5985) - もっと読む

wgetの脆弱性(CVE-2017-6508)

03/08/2017にwgetの脆弱性情報(CVE-2017-6508)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

wgetの脆弱性(CVE-2017-6508) - もっと読む

linux kernelに特権昇格の脆弱性( CVE-2017-2636 )

03/07/2017にkernelのバグによる特権昇格の脆弱性情報(CVE-2017-2636)が公開されました。この脆弱性もImportantで広範囲なバージョン( 約8年前(2009/06/22)のコミット以降全てです)に及ぶため、至急に対処が必要です。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelに特権昇格の脆弱性( CVE-2017-2636 ) - もっと読む

( PoC ) linux kernel特権昇格脆弱性( CVE-2017-6074 ) の暫定回避策の確認

02/22/2017に公開されたkernelの脆弱性情報(CVE-2017-6074)に関して、環境限定のPoCが公開されています。今回はこのPoCと、暫定回避策(モジュールの除去や SELinux )が有効かどうかを確認してみます。

( PoC ) linux kernel特権昇格脆弱性( CVE-2017-6074 ) の暫定回避策の確認 - もっと読む

linux kernelの脆弱性( CVE-2016-9083 , CVE-2016-9084 )

10/27/2016にkernelの脆弱性( CVE-2016-9083 , CVE-2016-9084 )が公開されていました。03/02/2017のRed Hatによる修正に含まれており、PriorityがImportantのものもあるため、今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2016-9083 , CVE-2016-9084 ) - もっと読む

linux kernelに複数の脆弱性( CVE-2017-6345 , CVE-2017-6346 , CVE-2017-6347 , CVE-2017-6348 )

02/28/2017(03/01/2017 JST)にkernelの複数の脆弱性情報( CVE-2017-6345 , CVE-2017-6346 , CVE-2017-6347 , CVE-2017-6348 )が公開されました。PriorityがLowのものからMediumのものまであります。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

linux kernelに複数の脆弱性( CVE-2017-6345 , CVE-2017-6346 , CVE-2017-6347 , CVE-2017-6348 ) - もっと読む

Katello/Foremanによる運用管理 (Part4)

数回に分けて、パッチマネージメントと運用に用いることが出来る、OSSのライフサイクルソフトウェアであるKatelloの使い方を見ています。今回は、WebUIを用いたKatelloのの設定についての続きになります。

Katello/Foremanによる運用管理 (Part4) - もっと読む

util-linux / coreutils の脆弱性(CVE-2017-2616)

02/23/2017に util-linux / coreutils の脆弱性情報(CVE-2017-2616)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

util-linux / coreutils の脆弱性(CVE-2017-2616) - もっと読む

linux kernelの脆弱性( CVE-2017-6214 )

02/23/2017にkernelの脆弱性情報(CVE-2017-6214)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-6214 ) - もっと読む

linux kernelに特権昇格の脆弱性( CVE-2017-6074 )

02/22/2017にkernelのバグによる特権昇格の脆弱性情報(CVE-2017-6074)が公開されました。この脆弱性はImportantで広範囲なバージョン( 約11年前の2.6.18 (Sep 2006)以降全てです)に及ぶため、至急に対処が必要です。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。(PoC記事を別記事として公開しました)。

linux kernelに特権昇格の脆弱性( CVE-2017-6074 ) - もっと読む

curlの脆弱性 ( CVE-2017-2629 )

2/22に、curl / libcurlに関しての脆弱性情報 ( CVE-2017-2629 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

curlの脆弱性 ( CVE-2017-2629 ) - もっと読む

QEMUの脆弱性( CVE-2017-2620 ) (Xen: XSA-209)

2/21に、QEMUの脆弱性についての情報(CVE-2017-2620)が出ています。PriorityがImportantで、KVMやXenにも関わってきますので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 3/1補足: Xen XSA-209 としても出ています。

QEMUの脆弱性( CVE-2017-2620 ) (Xen: XSA-209) - もっと読む

Tomcatの脆弱性 ( CVE-2017-6056 )

2/14に、Tomcatに関しての脆弱性情報 ( CVE-2017-6056 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Tomcatの脆弱性 ( CVE-2017-6056 ) - もっと読む

Katello/Foremanによる運用管理 (Part3)

前回から数回に分けて、パッチマネージメントと運用に用いることが出来る、OSSのライフサイクルソフトウェアであるKatelloの使い方を見ています。今回は、KatelloのWebUIでの設定について記していきます。

Katello/Foremanによる運用管理 (Part3) - もっと読む

OpenSSLの脆弱性 ( CVE-2017-3733 )

2/16に、当初の予告通りopensslに関しての脆弱性情報 ( CVE-2017-3733 )が公開されました。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

OpenSSLの脆弱性 ( CVE-2017-3733 ) - もっと読む

linux kernelの脆弱性( CVE-2017-6001 , (was CVE-2016-6786) )

02/16/2017にkernelの脆弱性情報(CVE-2017-6001)が公開されました。この脆弱性は、以前(CVE-2016-6786)にあったものと同じで、その際の修正が完全ではなかったということになります。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-6001 , (was CVE-2016-6786) ) - もっと読む

QEMUの脆弱性( CVE-2017-2630 )

2/15に、QEMUの脆弱性についての情報(CVE-2017-2630)が出ています。PriorityがImportantで、KVMやXenにも関わってきますので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

QEMUの脆弱性( CVE-2017-2630 ) - もっと読む

glibcの脆弱性(CVE-2015-8982, CVE-2015-8983, CVE-2015-8984)

02/14/2017に、過去(2015年9月)に報告されていたglibcの脆弱性にCVE番号がアサインされました(CVE-2015-8982, CVE-2015-8983, CVE-2015-8984)。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

glibcの脆弱性(CVE-2015-8982, CVE-2015-8983, CVE-2015-8984) - もっと読む

vimの脆弱性 ( CVE-2017-5953 )

02/13/2017にvimの脆弱性情報(CVE-2017-5953)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

vimの脆弱性 ( CVE-2017-5953 ) - もっと読む

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - January 2017)

1月18日に月例のOracle Javaの脆弱性(CVE-2017-3289, CVE-2017-3272, CVE-2017-3241, CVE-2017-3260, CVE-2017-3253, CVE-2016-5546, CVE-2016-5549, CVE-2016-5548, CVE-2017-3252, CVE-2017-3262, CVE-2016-5547, CVE-2016-5552, CVE-2017-3231, CVE-2017-3261, CVE-2017-3259, CVE-2016-8328)が公開されました。今回はこのJavaの脆弱性について、各ディストリビューションの対応状況についてまとめてみます。

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - January 2017) - もっと読む

libxml2の脆弱性(CVE-2017-5969)

02/13/2017にlibxml2の脆弱性情報(CVE-2017-5969)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

libxml2の脆弱性(CVE-2017-5969) - もっと読む

「linux kernel-4.9」でのLSMモジュールについて

12/11/2016に、linux kernelの最新版である「kernel 4.9」がリリースされました。このリリースは「過去最大のリリース」と銘打たれており、様々な新機能が加わっています。このリリースを機に、今一度LSMを用いてkernelの機構として導入されている各セキュリティモジュールについて、簡単に動向などをまとめてみます。

「linux kernel-4.9」でのLSMモジュールについて - もっと読む

linux kernelの脆弱性( CVE-2017-5970 )

02/11/2017にkernelの脆弱性情報(CVE-2017-5970)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-5970 ) - もっと読む

linux kernelの脆弱性( CVE-2016-8636 )

02/11/2017にkernelの脆弱性情報(CVE-2016-8636)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

linux kernelの脆弱性( CVE-2016-8636 ) - もっと読む

bind 9 に設定依存の脆弱性 ( CVE-2017-3135 )

02/09/2017に、BINDに関しての脆弱性情報 ( CVE-2017-3135 )が出ています。サーバの設定に依存しているため限定的ですが、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 RHEL/CentOSからも修正バージョンのbind 9が出ました(RHEL7/CentOS7)

bind 9 に設定依存の脆弱性 ( CVE-2017-3135 ) - もっと読む

bashの自動補完機能の脆弱性( CVE-2017-5932 )

2/8に、bashの脆弱性についての情報(CVE-2017-5932)と修正が出ています。bash-4.4以上で発生する問題ですが任意のコマンドを実行できるため、今回は脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

bashの自動補完機能の脆弱性( CVE-2017-5932 ) - もっと読む

spiceの脆弱性( CVE-2016-9577 , CVE-2016-9578 )

2/6に、spiceの脆弱性についての情報が更新されています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

spiceの脆弱性( CVE-2016-9577 , CVE-2016-9578 ) - もっと読む

QEMUの脆弱性( CVE-2017-5898 )

2/6に、QEMUの脆弱性についての情報が出ています。KVMやXenにも関わってきますので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

QEMUの脆弱性( CVE-2017-5898 ) - もっと読む

linux kernelの脆弱性( CVE-2017-5897 )

02/07/2017にkernelの脆弱性情報(CVE-2017-5897)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2017-5897 ) - もっと読む

linux kernelの脆弱性( CVE-2016-10208 )

10/31/2016に、Kernelに関して複数の脆弱性情報が公開されてました。2/5/2017にCVEが割り当てられました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

linux kernelの脆弱性( CVE-2016-10208 ) - もっと読む

ntfs-3gの脆弱性(CVE-2017-0358)

2/1に、ntfs-3gの脆弱性(CVE-2017-0358)についての情報が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

ntfs-3gの脆弱性(CVE-2017-0358) - もっと読む

QEMUの脆弱性( CVE-2017-2615 )

2/1に、QEMUの脆弱性(CVE-2017-2615)についての情報が出ています。KVMやXenにも関わってきますので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

QEMUの脆弱性( CVE-2017-2615 ) - もっと読む

tcpdumpに複数の脆弱性(CVE-2016-7922 等)

1月29日にtcpdumpに複数の脆弱性情報( CVE-2016-7922, CVE-2016-7923, CVE-2016-7924, CVE-2016-7925, CVE-2016-7926, CVE-2016-7927, CVE-2016-7928, CVE-2016-7929, CVE-2016-7930, CVE-2016-7931, CVE-2016-7932, CVE-2016-7933, CVE-2016-7934, CVE-2016-7935, CVE-2016-7936, CVE-2016-7937, CVE-2016-7938, CVE-2016-7939, CVE-2016-7940, CVE-2016-7973, CVE-2016-7974, CVE-2016-7975, CVE-2016-7983, CVE-2016-7984, CVE-2016-7985, CVE-2016-7986, CVE-2016-7992, CVE-2016-8574, CVE-2016-8575, CVE-2017-5202, CVE-2017-5203, CVE-2017-5204, CVE-2017-5205, CVE-2017-5341, CVE-2017-5342, CVE-2017-5482, CVE-2017-5483, CVE-2017-5484, CVE-2017-5485, CVE-2017-5486 )が公開されました。今回は簡単に脆弱性の情報と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

tcpdumpに複数の脆弱性(CVE-2016-7922 等) - もっと読む

libgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169)

1月29日にlibgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169)が公開されました。今回は簡単に脆弱性の情報と、各ディストリビューションの対応について簡単にまとめてみます。

libgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169) - もっと読む

OpenSSLに複数の脆弱性 ( CVE-2017-3730 , CVE-2017-3731 , CVE-2017-3732 )

1月26日にOpenSSLの脆弱性についての情報 ( CVE-2017-3730, CVE-2017-3731, CVE-2017-3732 )と、更新版がリリースされました。今回は最新版で修正された脆弱性と、各ディストリビューションの対応について簡単にまとめてみます。

OpenSSLに複数の脆弱性 ( CVE-2017-3730 , CVE-2017-3731 , CVE-2017-3732 ) - もっと読む

RunCに関しての脆弱性( CVE-2016-9962 )のPoCとSELinuxによるリスクの軽減

RunCに関しての脆弱性( CVE-2016-9962 )のPoCと、SELinuxによってシステムのリスクがどの程度軽減できるかを検証しています。具体的な検証記事は、他サイトの紹介になります。

RunCに関しての脆弱性( CVE-2016-9962 )のPoCとSELinuxによるリスクの軽減 - もっと読む

systemdの重要な脆弱性( CVE-2016-10156 )

1/24に、systemdに関して脆弱性情報(CVE-2016-10156)が公開されています。重要な脆弱性のため、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

systemdの重要な脆弱性( CVE-2016-10156 ) - もっと読む

linux kernelの複数の脆弱性( CVE-2016-10153, CVE-2016-10154, CVE-2017-5547, CVE-2017-5548, CVE-2017-5549, CVE-2017-5550, CVE-2017-5551)

1/24に、linux kernelの複数の脆弱性( CVE-2016-10153 , CVE-2016-10154 , CVE-2017-5547 , CVE-2017-5548 , CVE-2017-5549 , CVE-2017-5550 , CVE-2017-5551 )が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 情報は逐次更新します。

linux kernelの複数の脆弱性( CVE-2016-10153, CVE-2016-10154, CVE-2017-5547, CVE-2017-5548, CVE-2017-5549, CVE-2017-5550, CVE-2017-5551) - もっと読む

Katello/Foremanによる運用管理 (Part2)

前回から数回に分けて、パッチマネージメントと運用に用いることが出来る、OSSのライフサイクルソフトウェアであるKatelloの使い方を見ています。

Katello/Foremanによる運用管理 (Part2) - もっと読む

linux kernel(KVMを有効にしている場合)で複数の脆弱性( CVE-2016-10150, CVE-2017-2583 )

1/19, 1/20と、linux kernelでKVMを有効にしている場合に関して複数の脆弱性情報 ( CVE-2016-10150, CVE-2017-2583 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

linux kernel(KVMを有効にしている場合)で複数の脆弱性( CVE-2016-10150, CVE-2017-2583 ) - もっと読む

OpenSCAP 1.2.13のリリース情報

2017/01/05に、openscapの最新バージョン(1.2.13)が出ています。今回は、この最新バージョンでの変更点の概要を簡単にまとめてみます。

OpenSCAP 1.2.13のリリース情報 - もっと読む

Oracle Javaの脆弱性(CVE-2016-5542, CVE-2016-5554, CVE-2016-5582, CVE-2016-5597, CVE-2016-5573)

10/18/2016に四半期定例のOracle 製品の脆弱性が公開されました。この中でのJavaに関するアップデートがopenjdkに反映されて01/13/2017にリリースされましたので、今回はこのJavaの脆弱性(CVE-2016-5542, CVE-2016-5554, CVE-2016-5582, CVE-2016-5597, CVE-2016-5573)の情報と各ディストリビューションの対応状況について簡単にまとめてみます。

Oracle Javaの脆弱性(CVE-2016-5542, CVE-2016-5554, CVE-2016-5582, CVE-2016-5597, CVE-2016-5573) - もっと読む

bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )

01/12/2017に、BINDに関して複数の脆弱性情報 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 )が出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 情報は逐次更新します。

bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 ) - もっと読む

Dockerに特権昇格の脆弱性 ( CVE-2016-9962 )

01/11/2017に、Dockerに関しての脆弱性情報 ( CVE-2016-9962 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Dockerに特権昇格の脆弱性 ( CVE-2016-9962 ) - もっと読む

GnuTLS の 脆弱性 (GNUTLS-SA-2017-1 : CVE-2017-5334 , GNUTLS-SA-2017-2 : CVE-2017-5335 , CVE-2017-5336 , CVE-2017-5337 )

1/11に、GnuTLSに二つのセキュリティアドバイザリ(GNUTLS-SA-2017-1 : CVE-2017-5334 , GNUTLS-SA-2017-2 : CVE-2017-5335 , CVE-2017-5336 , CVE-2017-5337 )が公開されました。今回は、これらの脆弱性の簡単な説明と各ディストリビューションの対応状況をまとめてみます。

GnuTLS の 脆弱性 (GNUTLS-SA-2017-1 : CVE-2017-5334 , GNUTLS-SA-2017-2 : CVE-2017-5335 , CVE-2017-5336 , CVE-2017-5337 ) - もっと読む

OpenSSLの脆弱性(CVE-2016-7056 )

1/11に、opensslに関しての脆弱性情報 ( CVE-2016-7056 )が公開されました。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

OpenSSLの脆弱性(CVE-2016-7056 ) - もっと読む

Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )

01/10/2017に、Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 )が公開されました。今回は、この脆弱性の簡単な説明と各ディストリビューションの対応状況をまとめてみます。

Apache HadoopのYARN NodeManagerの脆弱性 ( CVE-2016-3086 ) - もっと読む

KDE Arkによる意図しないファイル実行の可能性 ( CVE-2017-5330 )

01/06/2017に、KDE上のArk(KDE上のアーカイバツール)に関して、脆弱性情報 ( CVE-2017-5330 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

KDE Arkによる意図しないファイル実行の可能性 ( CVE-2017-5330 ) - もっと読む

Katello/Foremanによる運用管理 (Part1)

今回から数回に分けて、パッチマネージメントと運用に用いることが出来る、OSSのライフサイクルソフトウェアであるKatello/Foremanのインストールと使い方を見ていきます。 CentOS 7を管理対象として実際に見ていきます。

Katello/Foremanによる運用管理 (Part1) - もっと読む

Libtiff に複数の脆弱性 ( CVE-2016-10092 , CVE-2016-10093 , CVE-2016-10094 , CVE-2016-10095 )

1月1日にlibtiffに複数の脆弱性( CVE-2016-10092 , CVE-2016-10093 , CVE-2016-10094 , CVE-2016-10095 )が公開されています。今回は、この脆弱性について各ディストリビューションの対応状況を簡単にまとめてみます。情報は逐次更新します。

Libtiff に複数の脆弱性 ( CVE-2016-10092 , CVE-2016-10093 , CVE-2016-10094 , CVE-2016-10095 ) - もっと読む

PHPMailerの脆弱性( CVE-2016-10033 , CVE-2016-10045 )

12/26に、PHPMailerに関しての脆弱性情報 ( CVE-2016-10033 , CVE-2016-10045 )が出ています。まだ情報に関しては流動的なため、SWベンダやディストリビューターの情報を確認して下さい。今回は各ディストリビューションの対応ついてのみ、簡単にまとめてみます。情報は逐次更新します。

PHPMailerの脆弱性( CVE-2016-10033 , CVE-2016-10045 ) - もっと読む

eximの脆弱性情報 ( CVE-2016-9963)

12/25に、eximに関しての脆弱性情報 ( CVE-2016-9963 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

eximの脆弱性情報 ( CVE-2016-9963) - もっと読む

Xenの複数の脆弱性 ( XSA-202: CVE-2016-10024 , XSA-203: CVE-2016-10025 , XSA-204: CVE-2016-10013)

12月22日にXenに複数の脆弱性( XSA-202: CVE-2016-10024 , XSA-203: CVE-2016-10025 , XSA-204: CVE-2016-10013 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。情報は逐次更新します。

Xenの複数の脆弱性 ( XSA-202: CVE-2016-10024 , XSA-203: CVE-2016-10025 , XSA-204: CVE-2016-10013) - もっと読む

MySQLの脆弱性情報(CVE-2016-6663)のPoCとSELinux

MySQLの脆弱性情報(CVE-2016-6662, CVE-2016-6663, CVE-2016-6664)のPoCが公開されていますので、これらを検証してどのように脆弱性が利用できるのか、また『SELinuxでも防げない』という情報は本当かどうかを実際に見てみます。今回は「CVE-2016-6663」について検証します。

MySQLの脆弱性情報(CVE-2016-6663)のPoCとSELinux - もっと読む

Apache 2.4.25のリリースと複数の脆弱性情報(CVE-2016-0736 , CVE-2016-2161 , CVE-2016-5387 , CVE-2016-8740 , CVE-2016-8743 )

12/21にApache 2.4.25がリリースされました。このバージョンでは複数の脆弱性 ( CVE-2016-0736 , CVE-2016-2161 , CVE-2016-5387 , CVE-2016-8740 , CVE-2016-8743 )が修正されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Apache 2.4.25のリリースと複数の脆弱性情報(CVE-2016-0736 , CVE-2016-2161 , CVE-2016-5387 , CVE-2016-8740 , CVE-2016-8743 ) - もっと読む

OpenSSHに複数の脆弱性 ( CVE-2016-10009 , CVE-2016-10010 , CVE-2016-10011 , CVE-2016-10012 )

12/19に、OpenSSH 7.4がリリースされると共に、複数の脆弱性情報 ( CVE-2016-10009 , CVE-2016-10010 , CVE-2016-10011 , CVE-2016-10012 )が報告されています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

OpenSSHに複数の脆弱性 ( CVE-2016-10009 , CVE-2016-10010 , CVE-2016-10011 , CVE-2016-10012 ) - もっと読む

squidの脆弱性情報 ( CVE-2016-10002 , CVE-2016-10003 )

12/17に、squidに関しての脆弱性情報 ( CVE-2016-10002 , CVE-2016-10003 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

squidの脆弱性情報 ( CVE-2016-10002 , CVE-2016-10003 ) - もっと読む

Xenの脆弱性 ( XSA-200: CVE-2016-9932 )

12月13日にXenの脆弱性( XSA-200: CVE-2016-9932 )が公開されています。Xenの全バージョンに影響するものもあるため、今回は、このXenの脆弱性についてまとめてみます。

Xenの脆弱性 ( XSA-200: CVE-2016-9932 ) - もっと読む

tomcatに情報漏えいの脆弱性( CVE-2016-8745 )

12/12に、Tomcatに関しての脆弱性情報 ( CVE-2016-8745 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

tomcatに情報漏えいの脆弱性( CVE-2016-8745 ) - もっと読む

linux kernelの脆弱性( CVE-2016-9576 )

12/8(日本時間12/9)に、Kernelに関して脆弱性の情報(CVE-2016-9576)が公開されています。2.6時代からの脆弱性ということで広範囲に及ぶため、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

linux kernelの脆弱性( CVE-2016-9576 ) - もっと読む

linux kernelの脆弱性( CVE-2016-8655 )

12/6に、Kernelに関して脆弱性の情報( CVE-2016-8655 )が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2016-8655 ) - もっと読む

Linuxでの効果的なAntivirus の設定と運用 (第三部 効果的な運用例)

今回は、AntiVirusのホワイトペーパーシリーズの第三部「効果的な運用方法例」が公開されましたので、簡単に紹介します。

Linuxでの効果的なAntivirus の設定と運用 (第三部 効果的な運用例) - もっと読む

KVMでout-of-boundsメモリアクセスの脆弱性(CVE-2016-9777)

12/2に、KVMに関して脆弱性の情報( CVE-201609777 )が出ています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

KVMでout-of-boundsメモリアクセスの脆弱性(CVE-2016-9777) - もっと読む

QEMUの脆弱性( CVE-2016-9776 )

12/2に、QEMUの脆弱性についての情報が出ています。KVMやXenにも関わってきますので、今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

QEMUの脆弱性( CVE-2016-9776 ) - もっと読む

linux kernelの脆弱性( CVE-2016-8650 )

11/15に、Kernelに関して脆弱性の情報が出ています。11/25にCVEがアサインされ( CVE-2016-8650 )、PoCも公開されていますので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2016-8650 ) - もっと読む

Xenに複数の脆弱性( XSA-191 / XSA-192 / XSA- 193 / XSA-194 / XSA-195 / XSA-196 / XSA- 197 / XSA-198 )

11/22にXenの複数の脆弱性情報( XSA-191 / XSA-192 / XSA- 193 / XSA-194 / XSA-195 / XSA-196 / XSA- 197 / XSA-198 ) が公開されました。今回は、この脆弱性に対する各ディストリビューションの対応状況をまとめます。情報は逐次更新します。

Xenに複数の脆弱性( XSA-191 / XSA-192 / XSA- 193 / XSA-194 / XSA-195 / XSA-196 / XSA- 197 / XSA-198 ) - もっと読む

vim/neovimに任意のコード実行の可能性 ( CVE-2016-1248 )

11/22(日本時間11/23)に、vim/neovimに関して脆弱性の情報が出ています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

vim/neovimに任意のコード実行の可能性 ( CVE-2016-1248 ) - もっと読む

tomcatに複数の脆弱性( CVE-2016-6816, CVE-2016-6817, CVE-2016-8735 )

11/22(日本時間11/23)に、Tomcatに関して複数の脆弱性情報 ( CVE-2016-6816, CVE-2016-6817, CVE-2016-8735 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

tomcatに複数の脆弱性( CVE-2016-6816, CVE-2016-6817, CVE-2016-8735 ) - もっと読む

ntpdにリモートからDoS攻撃を受ける脆弱性(CVE-2016-7434)

11/22に、ntpdに関して脆弱性の情報( CVE-2016-7434 )が出ています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

ntpdにリモートからDoS攻撃を受ける脆弱性(CVE-2016-7434) - もっと読む

KVMでNULLポインタデリファレンスフローの脆弱性(CVE-2016-8630)

11/2に、KVMに関して脆弱性の情報が出ています。各ディストリビューションの情報も出回ってきたので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

KVMでNULLポインタデリファレンスフローの脆弱性(CVE-2016-8630) - もっと読む

SELinuxのCIL (Part4)

今回も引き続きCILの設定方法を紹介します。Fedora25Betaをテスト環境として使用しています。

SELinuxのCIL (Part4) - もっと読む

bashのpopdにSegmentation faultを引き起こす脆弱性 ( CVE-2016-9401 )

11/18に、bashに関してのバグ情報 ( CVE-2016-9401 )が出ています。既にCVEもアサインされているため、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

bashのpopdにSegmentation faultを引き起こす脆弱性 ( CVE-2016-9401 ) - もっと読む

cryptsetup の、リブート時にコンソールからrootシェルを開かれる脆弱性 ( CVE-2016-4484 )

11月14(日本時間11月15)日にCryptsetup Initrd root Shell(CVE-2016-4484)が公開されました。システムパーティションが暗号化されている時に、OSリブート時にコンソールからrootシェルを開かれてしまう脆弱性になります。各ディストリビューションの対応状況をまとめます。

cryptsetup の、リブート時にコンソールからrootシェルを開かれる脆弱性 ( CVE-2016-4484 ) - もっと読む

SELinuxのsandbox環境から脱出可能な脆弱性(CVE-2016-7545)

10月26日にpolicycoreutilsのsandboxコマンドにsandbox環境から脱出可能なバグ(脆弱性)があるとの報告がCVE-2016-7545として公開されました。主要ディストリビューターから修正済みのパッケージもリリースされましたので、改めてCVE-2016-7545の経緯と情報について簡単にまとめてみます。

SELinuxのsandbox環境から脱出可能な脆弱性(CVE-2016-7545) - もっと読む

linux kernelの脆弱性(CVE-2016-8646)

11/15に、Kernelに関して脆弱性の情報 (CVE-2016-8646) が出ています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性(CVE-2016-8646) - もっと読む

OpenSSLに複数の脆弱性 ( CVE-2016-7054 , CVE-2016-7053 , CVE-2016-7055)

11月10日に公開されたOpenSSLの脆弱性についての情報と、各ディストリビューションの対応について簡単にまとめます。情報は逐次更新します。

OpenSSLに複数の脆弱性 ( CVE-2016-7054 , CVE-2016-7053 , CVE-2016-7055) - もっと読む

Linuxでの効果的なAntivirus の設定と運用

Linuxでの効果的なAntivirus の設定と運用に関して、三部構成でホワイトペーパーを公開しています(11/8 時点で第二部の代表的なアンチウィルス製品比較まで公開)。今回はそちらのダイジェストと簡単な説明をしていきます。

Linuxでの効果的なAntivirus の設定と運用 - もっと読む

linux kernelでFireWireケーブルで接続されたリモートからのコード実行の可能性( CVE-2016-8633 )

11/6(日本時間11/7)に、Kernelに関してFireWireドライバでの脆弱性の情報( CVE-2016-8633 )が出ています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。(11/8 RHEL/CentOS, SUSE, Ubuntuのリンクを追加しました)。

linux kernelでFireWireケーブルで接続されたリモートからのコード実行の可能性( CVE-2016-8633 ) - もっと読む

bind 9 での緊急の脆弱性 ( CVE-2016-8864 )

11月2日にbind9の脆弱性(CVE-2016-8864)が公開されています。現在のバージョン以前の全てのバージョンに影響が有り、リモートから攻撃が可能で影響度合いが"High"になっています。ここでは、本脆弱性について簡単にまとめてみます。情報は逐次更新します。

bind 9 での緊急の脆弱性 ( CVE-2016-8864 ) - もっと読む

Dirty COW (CVE-2016-5195) のExploit PoCとSELinux

先週末に公開されたLinux Kernelの脆弱性(Dirty COW)は広範囲に影響する問題であり、Exploitが多数公開されてしまっているため話題に上がっていますが、今回はそれらのExploitを実際に試し、RHEL/CentOSでデフォルトで導入されているSELinuxでそれらが保護できるかどうかの確認と、それらからSELinuxの限界を探っていきたいと思います。

Dirty COW (CVE-2016-5195) のExploit PoCとSELinux - もっと読む

Debianのnginxパッケージに特権昇格の可能性(CVE-2016-1247)

10月26日にDebian上のnginxパッケージに脆弱性が報告されました。念の為、簡単にまとめてみます。

Debianのnginxパッケージに特権昇格の可能性(CVE-2016-1247) - もっと読む

SCAP for openSUSE 42.1 (openSUSE Asia Summit 2016)

今回は、openSUSE Asia Summit 2016で発表した、SCAPでopenSUSEのコンテンツがどの程度あるのかという話と、既存のRHEL用のXCCDFファイルをopenSUSE用にカスタマイズして実行する方法を紹介します。

SCAP for openSUSE 42.1 (openSUSE Asia Summit 2016) - もっと読む

OpenSSLの脆弱性(CVE-2016-8610 : SSL Death Alert)

10月24日に新たに「SSL Death Alert」というOpenSSLの脆弱性についての情報が公開されました。前回(9月22日)の対応で修正されている問題ですが、念の為、各ディストリビューションの対応について簡単にまとめてみます。

OpenSSLの脆弱性(CVE-2016-8610 : SSL Death Alert) - もっと読む

linux kernelに特権昇格の脆弱性(Dirty COW: CVE-2016-5195)

10/21に、Kernelに関して脆弱性(Dirty COW)という権限昇格の情報が出ています。Exploitも公開されているため、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 (10/28補足:実際の攻撃も観測されています)。

linux kernelに特権昇格の脆弱性(Dirty COW: CVE-2016-5195) - もっと読む

bind 9 (RHEL6/CenOS6以前の旧いものに含まれるバージョン)での緊急の脆弱性 ( CVE-2016-2848 )

10月20日(日本時間10月21日)にbind9の脆弱性(CVE-2016-2848)が公開されています。既に公式のbindでは2013年に修正されている問題ですが、Red Hat 6/CentOS 6以前のものなどでは修正が含まれていないものがあるため、本脆弱性について簡単にまとめてみます。

bind 9 (RHEL6/CenOS6以前の旧いものに含まれるバージョン)での緊急の脆弱性 ( CVE-2016-2848 ) - もっと読む

linux kernelの脆弱性( CVE-2016-7039 )

10/11に、Linux Kernelに関して脆弱性の情報 ( CVE-2016-7039 )が出ています。今回は、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

linux kernelの脆弱性( CVE-2016-7039 ) - もっと読む

Tomcat に特権昇格の脆弱性 ( Red Hat : CVE-2016-5425 , Debian : CVE-2016-1240 )

Tomcat に特権昇格の脆弱性 ( Red Hat : CVE-2016-5425 , Debian : CVE-2016-1240 ) が出ています。 今回は、これらの脆弱性情報と各ディストリビューションの対応についてまとめてみます。

Tomcat に特権昇格の脆弱性 ( Red Hat : CVE-2016-5425 , Debian : CVE-2016-1240 ) - もっと読む

QEMUの脆弱性(Virtio GPU : CVE-2016-7994 / USB EHCI: CVE-2016-7995 )

QEMUに複数の脆弱性(Virtio GPU : CVE-2016-7994 / USB EHCI: CVE-2016-7995 )が出ています。今回は、この脆弱性と、各ディストリビューションの対応についてまとめてみます。対応状況などは逐次更新します。

QEMUの脆弱性(Virtio GPU : CVE-2016-7994 / USB EHCI: CVE-2016-7995 ) - もっと読む

bind 9 に緊急の脆弱性 ( CVE-2016-2776 )

bind 9 の全バージョンに緊急の脆弱性 ( CVE-2016-2776 )が出ています。 ここでは、Red HatやCentOSなど各ディストリビューションの対応状況などをまとめています。 情報は逐次更新していきます。 (2016/10/04更新:exploitコードも公開されたので、早急な対応が必要です)

bind 9 に緊急の脆弱性 ( CVE-2016-2776 ) - もっと読む

OpenSSLに複数の脆弱性 ( CVE-2016-6304 , CVE-2016-6305 , SWEET32 等)

OpenSSLに複数の脆弱性 ( CVE-2016-6304 , CVE-2016-6305 , SWEET32 等)と各ディストリビューションの対応について記載します。 2016/09/26に追記された情報も含みます。 (2016/09/29更新:主要なディストリビューションの修正パッケージがほぼ出揃いました)

OpenSSLに複数の脆弱性 ( CVE-2016-6304 , CVE-2016-6305 , SWEET32 等) - もっと読む

MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662)

9月12日にMySQLの脆弱性(CVE-2016-6662)が公開されました。今回は、この脆弱性について各ディストリビューションの対応状況を簡単にまとめてみます。 (※)10/19のOracle CPU(Critical Patch Update)による情報を反映しました。

MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662) - もっと読む

Xenに複数の脆弱性( XSA-185 / XSA-186 / XSA- 187 / XSA-188 )

9/8にXenの複数の脆弱性が公開されています。ここでは、このXenの脆弱性情報について、 各ディストリビューションの対応をまとめていきます。情報は順次更新していきます。

Xenに複数の脆弱性( XSA-185 / XSA-186 / XSA- 187 / XSA-188 ) - もっと読む

OWASP ModSecurity CRS Version 3.0 rc1について

8月にOWASP ModSecurity CRS Version 3.0のRC1がリリースされたので、ModSecurity CRS Version 3.0について、簡単に見てみます。

OWASP ModSecurity CRS Version 3.0 rc1について - もっと読む

VMware Modified Enhanced SCAP Content Editorについて

今回は、SCAP関連の情報として、VMWareからOSSでリリースされたVMWare SCAP Editを紹介します。

VMware Modified Enhanced SCAP Content Editorについて - もっと読む

Libgcrypt ・GnuPG 1.4 の 脆弱性 ( CVE-2016-6313 )

LibgcryptとGnuPG 1.4に、 RNG 出力が予測することが可能な脆弱性 ( CVE-2016-6313 ) が発見されました。 1998年から存在し、影響度合いも大きいため、ここでは各ディストリビュータの 情報を集めます(情報は逐次更新されます)。

Libgcrypt ・GnuPG 1.4 の 脆弱性 ( CVE-2016-6313 ) - もっと読む

OpenStack Mitakaのセキュリティについて(4) 最終回

今回は、Mitakaで変更されたセキュリティの中で、残りのneutronとcinderの変更部分について説明したいと思います。

OpenStack Mitakaのセキュリティについて(4) 最終回 - もっと読む

virtioの脆弱性を用いたゲストOS管理者によるホストOSへのDoS 攻撃( CVE-2016-5403 )

7/20に、virtioの脆弱性についての情報が出ています。KVMやXenにも関わってきますので、今回は、この脆弱性の概要を簡単にまとめます。対応状況は逐次更新します。

virtioの脆弱性を用いたゲストOS管理者によるホストOSへのDoS 攻撃( CVE-2016-5403 ) - もっと読む

XenでPVゲスト使用時の脆弱性 ( Bunker Buster : CVE-2016-6258 )

7月26日にXenの脆弱性( Bunker Buster )が公開されています。ゲストOSからの脱出で、Xenの全バージョンに影響するため、今回は、このXenの脆弱性についてまとめてみます。

XenでPVゲスト使用時の脆弱性 ( Bunker Buster : CVE-2016-6258 ) - もっと読む

httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.)

7/19(JST)に、httpdを含むCGIアプリケーション関連の脆弱性(httpoxy)が報告されています。範囲も影響度合いも広いので、ここでは各ディストリビューション対応状況をまとめてみます。

httpoxy : CGI/言語などを利用したHTTP_PROXY書き換えの脆弱性(CVE-2016-5387 etc.) - もっと読む

linux kernelの脆弱性(CVE-2016-5696, (was CVE-2016-5389))

7/12(JST)にlinux kernelの脆弱性が公開されました。影響度合いもImportantのため、ここではこの脆弱性に対する各ディストリビューションの対応状況をまとめてみます。

linux kernelの脆弱性(CVE-2016-5696, (was CVE-2016-5389)) - もっと読む

wgetに任意のファイルを書き込むことが可能になる脆弱性(CVE-2016-4971)

6月9日にwget-1.8がリリースされました。7/6にdebian/ubuntuの方も対応が完了していますので、今回はこの脆弱性についてまとめてみます。

wgetに任意のファイルを書き込むことが可能になる脆弱性(CVE-2016-4971) - もっと読む

httpd2で、HTTP/2を使ってTLS Certificate 認証がバイパスされる可能性 (CVE-2016-4979)

7/5(JST)に、httpd2に複数の脆弱性が報告されています。ここでは、これらの脆弱性について簡単にまとめてみます。

httpd2で、HTTP/2を使ってTLS Certificate 認証がバイパスされる可能性 (CVE-2016-4979) - もっと読む

libxml2に複数の脆弱性

libxml2に複数の脆弱性が見つかっています。今回は、これらの情報をまとめてみます。

libxml2に複数の脆弱性 - もっと読む

setroubleshoot/setroubleshoot-pluginsに複数の脆弱性

etroubleshoot/setroubleshoot-pluginsに複数の脆弱性(CVE-2016-4444, CVE-2016-4446, CVE-2016-4989)が見つかりました。 Importantの影響度合いのため、簡単にまとめてみます。

setroubleshoot/setroubleshoot-pluginsに複数の脆弱性 - もっと読む

linux kernelの複数の脆弱性(CVE-2015-8767, CVE-2016-4565)

6/24(JST)に、Red Hat Enterprise Linuxから、linux kernelの複数の脆弱性(CVE-2015-8767, CVE-2016-4565)の修正が報告されています。影響度合いも"Important"のため、ここでは、これらの脆弱性について簡単にまとめてみます。

linux kernelの複数の脆弱性(CVE-2015-8767, CVE-2016-4565) - もっと読む

OpenStack Mitakaのセキュリティについて(3)

今回はOpenStack MitakaでのKeystoneのセキュリティ新機能に関して、残りのものを簡単に紹介します。

OpenStack Mitakaのセキュリティについて(3) - もっと読む

OpenStack Neutronに複数の脆弱性 (CVE-2016-5362, CVE-2016.5633, CVE-2015-8914)

OpenStack Neutronに複数の脆弱性が発見されました。 ここでは、各ディストリビューションの対応を含めてまとめています。

OpenStack Neutronに複数の脆弱性 (CVE-2016-5362, CVE-2016.5633, CVE-2015-8914) - もっと読む

OpenStack Mitakaのセキュリティについて(2)

OpenStack Mitakaの新規のセキュリティを紹介しています。第二回はRoleが中心になります。

OpenStack Mitakaのセキュリティについて(2) - もっと読む

ntpdに複数の脆弱性(CVE-2016-4957, その他)

ntpdに複数の脆弱性が出ています。ここでは、各ディストリビューションの対応について まとめています。逐次更新します。

ntpdに複数の脆弱性(CVE-2016-4957, その他) - もっと読む

OpenStack Keystoneの脆弱性 (CVE-2016-4911)

OpenStack Keystoneに脆弱性が発見されました。 今回は、こちらの各ディストリビューションでの対応状況をまとめてみます。

OpenStack Keystoneの脆弱性 (CVE-2016-4911) - もっと読む

OpenStack Mitakaのセキュリティについて(1)

OpenStack Mitakaが4/7にリリースされました。 今回のMitakaでのセキュリティの変更点について、主要な各コンポーネントごとに 概略を見ていきます。

OpenStack Mitakaのセキュリティについて(1) - もっと読む

Oracle Javaの脆弱性(CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425, CVE-2016-3427)

4月末に、月例のOracle Javaの脆弱性が公開されています。影響範囲も大きくCriticalなものもあり、3月のものとも異なるため、今回はこのJavaの脆弱性についてまとめてみます。

Oracle Javaの脆弱性(CVE-2016-0686, CVE-2016-0687, CVE-2016-0695, CVE-2016-3425, CVE-2016-3427) - もっと読む

QEMUのVGA関連の脆弱性(CVE-2016-3710, CVE-2016-3712)

5月10日にQEMUの脆弱性についての情報と、更新版がリリースされました。今回は、最新版で修正された脆弱性と、各ディストリビューションの対応について簡単にまとめてみます。情報は逐次更新します。

QEMUのVGA関連の脆弱性(CVE-2016-3710, CVE-2016-3712) - もっと読む

OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)

2016/5/3時点で、OpenSSLの複数の脆弱性が公開され、新しいバージョンが出てきています。 今回は、これらの脆弱性の説明と、各ディストリビューションの対応をまとめてみます。 逐次更新しています。

OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等) - もっと読む

ntpdに複数の脆弱性(CVE-2016-1547, CVE-2016-2516, その他)

Network Time Protocol daemon (ntpd) 4.2.8p7以前には、入力値検査不備、認証回避、リソース枯渇、NULL ポインタ参照など、複数の脆弱性が存在することが公開されました。今回は、各ディストリビューションの対応状況をまとめてみます。都度更新されます。

ntpdに複数の脆弱性(CVE-2016-1547, CVE-2016-2516, その他) - もっと読む

ランサムウェアSamsam(Samas)による攻撃とJBossの脆弱性(CVE-2010-0738)

4/18に先月から猛威を振るっているランサムウェア「Samsam(Samas)」の攻撃でJBOSSの脆弱性が使われている形跡があるとCisco Talosが報告しています。今回は、この件を少し見てみます。

ランサムウェアSamsam(Samas)による攻撃とJBossの脆弱性(CVE-2010-0738) - もっと読む

nginxでWAF(Web Application Firewall) を作る(第三回)

前回と同様に、引き続きnginx+ModSecurityによるWAFの作成を行います。

nginxでWAF(Web Application Firewall) を作る(第三回) - もっと読む

BadLock脆弱性情報と各社パッチ情報 (CVE-2016-0128, CVE-2016-2118, その他)

4月13日に公開されました「BadLock」の脆弱性情報とパッチをまとめます。随時更新していきます。

BadLock脆弱性情報と各社パッチ情報 (CVE-2016-0128, CVE-2016-2118, その他) - もっと読む

PostgreSQL上のセキュリティ(第一回)

今回から数回に分けて、PostgreSQL上のセキュリティを紹介します。

PostgreSQL上のセキュリティ(第一回) - もっと読む

nginxでWAF(Web Application Firewall) を作る(第二回)

数回に分けて、「nginxでWAFを作る」というコンテンツを公開しています。 第二回は、nginx/mod_securityのRPMパッケージ作成について説明します。

nginxでWAF(Web Application Firewall) を作る(第二回) - もっと読む

SELinuxのCIL (Part2)

前回から引き続き、SELinuxのCILについて説明します。今回はReferencePolicyの作成になります。

SELinuxのCIL (Part2) - もっと読む

Oracle Javaの脆弱性(CVE-2016-0636)

Oracle JavaのCriticalな脆弱性が公開されていますので、各ディストリビューションの対応状況をまとめます。

Oracle Javaの脆弱性(CVE-2016-0636) - もっと読む

OpenSSHの脆弱性(CVE-2016-3115)

3月3日に公開されたOpenSSHのXforwardingの脆弱性に対しての各ディストリビューションの対応をまとめます。

OpenSSHの脆弱性(CVE-2016-3115) - もっと読む

nginxでWAF(Web Application Firewall) を作る(第一回)

これから数回に分けて、「nginxでWAFを作る」というコンテンツを公開していきます。 まず第一回は、WAFの概略と必要性、WAFの種類について説明します。

nginxでWAF(Web Application Firewall) を作る(第一回) - もっと読む

bind 9に緊急の脆弱性(CVE-2016-1285, CVE-2016-1286, CVE-2016-2088)

3月10日にbind9の脆弱性(CVE-2016-1285, CVE-2016-1286, CVE-2016-2088)について、各社の対応状況をまとめてみます。

bind 9に緊急の脆弱性(CVE-2016-1285, CVE-2016-1286, CVE-2016-2088) - もっと読む

GPOSPP v4.0 での変更点

今回は、少し古い話ですがGPOSPP ver4.0について簡単にまとめています。

GPOSPP v4.0 での変更点 - もっと読む

OpenSSLの脆弱性 (CVE-2016-0800(DROWN),CVE-2016-0705,CVE-2016-0798,CVE-2016-0797,CVE-2016-0799,CVE-2016-0702(CacheBleed),CVE-2016-07-03,CVE-2016-0704)

3/1にOpenSSLにDROWN, CachBleedを含む複数の脆弱性の情報と、修正バージョンが リリースされました。簡単に修正内容と各ディストリビューションの情報をまとめます。

OpenSSLの脆弱性 (CVE-2016-0800(DROWN),CVE-2016-0705,CVE-2016-0798,CVE-2016-0797,CVE-2016-0799,CVE-2016-0702(CacheBleed),CVE-2016-07-03,CVE-2016-0704) - もっと読む

Dockerの--security-optオプション(AppArmor)

Dockerの--security-optオプションを用いることで、DockerをSELinuxやAppArmorのような 強制アクセス制御と組み合わせることが可能です。 今回は、OpenSUSE.Asia Summit 2015で発表した、DockerとAppArmorを組み合わせる方法を 解説します。

Dockerの--security-optオプション(AppArmor) - もっと読む

glibcの複数の脆弱性(CVE-2015-7547,CVE-2015-8776,CVE-2015-8778,CVE-2015-8779)

2月17日にglibcの複数の脆弱性の公開と、更新版がリリースされました。特にCritica lのものもあるので、今回は修正された脆弱性について簡単にまとめてみます。

glibcの複数の脆弱性(CVE-2015-7547,CVE-2015-8776,CVE-2015-8778,CVE-2015-8779) - もっと読む

Linux Kernelに複数の脆弱性(CVE-2013-4312,CVE-2015-7566,CVE-2015-8767,CVE-2016-0723,CVE-2016-0728)

Linuxカーネルに複数の脆弱性(CVE-2013-4312,CVE-2015-7566,CVE-2015-8767,CVE-2016-0723,CVE-2016-0728)が見つかりました。緊急のものもあるので、各ディストリビューションの状況を追いかけてみます。

Linux Kernelに複数の脆弱性(CVE-2013-4312,CVE-2015-7566,CVE-2015-8767,CVE-2016-0723,CVE-2016-0728) - もっと読む

bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705)

bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705)が発生しました。 各ディストリビューションの状況を追いかけてみます。

bind 9に緊急の脆弱性(CVE-2015-8704, CVE-2015-8705) - もっと読む

HIPAAの背景と「HIPAA Security Rule Toolkit」の使い方

12/30に発生した保険証漏洩に絡めて、HIPAAの背景と、HIPAAの提供している「HIPAA Security Rule Toolkit」に関して紹介します。

HIPAAの背景と「HIPAA Security Rule Toolkit」の使い方 - もっと読む

bind9の緊急の脆弱性 (CVE-2015-8000,CVE-2015-8461)

bind9に緊急の脆弱性(CVE-2015-8000)とMediumの脆弱性(CVE-2015-8461)が報告されているため、至急のアップデートが求められています。ここでは、更新情報を紹介します。 (各社対応については逐次更新します)。

bind9の緊急の脆弱性 (CVE-2015-8000,CVE-2015-8461) - もっと読む

「YARAルール」とClamAV

ClamAVがバージョン0.99で「YARAルール」をサポートしました。 今回は「YARAルール」についての簡単な説明と、ClamAVとの連携について簡単に解説します。

「YARAルール」とClamAV - もっと読む

OpenSSLの複数の脆弱性(12/05/2015)

OpenSSLに複数の脆弱性が報告され、バージョンが更新されています。 情報をまとめています。

OpenSSLの複数の脆弱性(12/05/2015) - もっと読む

セキュリティ製品自身の脆弱性情報

今回は、今月に立て続けに報告されたために目立った、セキュリティ製品自身の脆弱性情報に関して触れてみます。

セキュリティ製品自身の脆弱性情報 - もっと読む

Androidアプリの「Moplus問題」

今回は、Androidアプリの「Moplus問題」について触れてみます

Androidアプリの「Moplus問題」 - もっと読む

SCAP Security Guide 0.1.26 (更新)

SCAP Security Guide 0.1.26が公開されました。 ここでは、RHEL7でデフォルトで入っているものからの差分と 簡単なインストール方法を紹介します。

SCAP Security Guide 0.1.26 (更新) - もっと読む

SELinuxのCIL (Part1)

今回は前回に引き続き、SELinuxのCILを例を上げて説明します。

SELinuxのCIL (Part1) - もっと読む

XcodeGhostについて

OSSではありませんが、重大な問題となっているためiOSアプリのセキュリティ問題に関して触れてみます。

XcodeGhostについて - もっと読む

SELinuxの現在の動向

前回に引き続き、LSMに含まれるモジュールの現在の動向を紹介します。まず最初に、SELinuxの現在の動向について紹介します。

SELinuxの現在の動向 - もっと読む

ドキュメントアクション

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン

最新の記事
AppArmorの脆弱性( CVE-2017-6507 ) 2017年03月26日
linux kernelの脆弱性( CVE-2017-7261 ) 2017年03月25日
Sambaに共有以外のファイルにアクセスされる脆弱性(CVE-2017-2619) 2017年03月24日
Subscription-managerの脆弱性( CVE-2017-2663 ) 2017年03月22日
binutilsに複数の脆弱性( CVE-2017-6965, CVE-2017-6966, CVE-2017-6969, CVE-2017-7209 , CVE-2017-7210 , CVE-2017-7223, CVE-2017-7224, CVE-2017-7225, CVE-2017-7226, CVE-2017-7227 ) 2017年03月22日
linux kernelの脆弱性( CVE-2017-7187 ) 2017年03月21日
linux kernelの脆弱性( CVE-2017-6353 , CVE-2017-5986 ) 2017年03月21日
Ubuntu 16.10のkernelの脆弱性( CVE-2017-7184 ) 2017年03月20日
pcreの脆弱性( CVE-2017-7186 ) 2017年03月20日
binutilsの脆弱性( CVE-2017-6965 , CVE-2017-6966 , CVE-2017-6969 ) 2017年03月19日
MySQL(MariaDB) 5.5/5.6のmysql clientの脆弱性( Riddle : CVE-2017-3305 ) 2017年03月18日
linux kernelの脆弱性( CVE-2017-6951 ) 2017年03月17日
Apache Struts2の脆弱性 ( CVE-2017-5638 ) 2017年03月15日
linux kernelの脆弱性( CVE-2017-6874 ) 2017年03月15日
tomcatに情報漏えいの脆弱性( CVE-2016-8747 ) 2017年03月14日
QEMUの脆弱性( CVE-2016-9603 ) (Xen: XSA-211) 2017年03月14日
lxcの脆弱性(CVE-2017-5985) 2017年03月10日
wgetの脆弱性(CVE-2017-6508) 2017年03月08日
linux kernelに特権昇格の脆弱性( CVE-2017-2636 ) 2017年03月08日
( PoC ) linux kernel特権昇格脆弱性( CVE-2017-6074 ) の暫定回避策の確認 2017年03月06日
linux kernelの脆弱性( CVE-2016-9083 , CVE-2016-9084 ) 2017年03月03日
linux kernelに複数の脆弱性( CVE-2017-6345 , CVE-2017-6346 , CVE-2017-6347 , CVE-2017-6348 ) 2017年03月01日
Katello/Foremanによる運用管理 (Part4) 2017年02月28日
util-linux / coreutils の脆弱性(CVE-2017-2616) 2017年02月24日
linux kernelの脆弱性( CVE-2017-6214 ) 2017年02月24日
linux kernelに特権昇格の脆弱性( CVE-2017-6074 ) 2017年02月23日
curlの脆弱性 ( CVE-2017-2629 ) 2017年02月22日
QEMUの脆弱性( CVE-2017-2620 ) (Xen: XSA-209) 2017年02月22日
Tomcatの脆弱性 ( CVE-2017-6056 ) 2017年02月21日
Katello/Foremanによる運用管理 (Part3) 2017年02月21日
OpenSSLの脆弱性 ( CVE-2017-3733 ) 2017年02月16日
linux kernelの脆弱性( CVE-2017-6001 , (was CVE-2016-6786) ) 2017年02月16日
QEMUの脆弱性( CVE-2017-2630 ) 2017年02月15日
glibcの脆弱性(CVE-2015-8982, CVE-2015-8983, CVE-2015-8984) 2017年02月15日
vimの脆弱性 ( CVE-2017-5953 ) 2017年02月14日
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - January 2017) 2017年02月14日
libxml2の脆弱性(CVE-2017-5969) 2017年02月13日
「linux kernel-4.9」でのLSMモジュールについて 2017年02月13日
linux kernelの脆弱性( CVE-2017-5970 ) 2017年02月13日
linux kernelの脆弱性( CVE-2016-8636 ) 2017年02月12日
bind 9 に設定依存の脆弱性 ( CVE-2017-3135 ) 2017年02月09日
bashの自動補完機能の脆弱性( CVE-2017-5932 ) 2017年02月08日
spiceの脆弱性( CVE-2016-9577 , CVE-2016-9578 ) 2017年02月08日
QEMUの脆弱性( CVE-2017-5898 ) 2017年02月08日
linux kernelの脆弱性( CVE-2017-5897 ) 2017年02月08日
linux kernelの脆弱性( CVE-2016-10208 ) 2017年02月06日
ntfs-3gの脆弱性(CVE-2017-0358) 2017年02月02日
QEMUの脆弱性( CVE-2017-2615 ) 2017年02月02日
tcpdumpに複数の脆弱性(CVE-2016-7922 等) 2017年01月30日
libgdに複数の脆弱性情報 (CVE-2016-9317, CVE-2016-6912, CVE-2016-10167, CVE-2016-10168, CVE-2016-10169) 2017年01月29日
OpenSSLに複数の脆弱性 ( CVE-2017-3730 , CVE-2017-3731 , CVE-2017-3732 ) 2017年01月27日
RunCに関しての脆弱性( CVE-2016-9962 )のPoCとSELinuxによるリスクの軽減 2017年01月26日
systemdの重要な脆弱性( CVE-2016-10156 ) 2017年01月25日
linux kernelの複数の脆弱性( CVE-2016-10153, CVE-2016-10154, CVE-2017-5547, CVE-2017-5548, CVE-2017-5549, CVE-2017-5550, CVE-2017-5551) 2017年01月25日
Katello/Foremanによる運用管理 (Part2) 2017年01月24日
linux kernel(KVMを有効にしている場合)で複数の脆弱性( CVE-2016-10150, CVE-2017-2583 ) 2017年01月21日
OpenSCAP 1.2.13のリリース情報 2017年01月16日
Oracle Javaの脆弱性(CVE-2016-5542, CVE-2016-5554, CVE-2016-5582, CVE-2016-5597, CVE-2016-5573) 2017年01月13日
bind に複数の脆弱性 ( CVE-2016-9131 , CVE-2016-9147 , CVE-2016-9444 , CVE-2016-9778 ) 2017年01月12日
Dockerに特権昇格の脆弱性 ( CVE-2016-9962 ) 2017年01月11日
最新の記事 - もっと...