投稿者「webmaster@jpcert.or.jp」のアーカイブ

JVN: 「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラにおける DLL 読み込みに関する脆弱性

西日本電信電話株式会社が提供する「セキュリティ対策ツール」に対する Windows10 Fall Creators Update向け修正モジュールのインストーラには、DLL 読み込みに関する脆弱性が存在します。続きを読む

JVN: Cisco ASA および FTD の SIP インスペクション機能におけるサービス運用妨害 (DoS) の脆弱性

Cisco Adaptive Security Appliance (ASA) ソフトウェアおよび Cisco Firepower Threat Defense (FTD) の SIP インスペクション機能には、SIP トラフィックの不適切な解析処理に起因する、サービス運用妨害 (DoS) の脆弱性が存在します。続きを読む

JVN: Auto-Maskin DCU 210E、RP 210E および Marine Pro Observer App に複数の脆弱性

Auto-Maskin RP リモートパネルと DCU コントロールユニットは船舶のエンジンの監視および制御を行う製品です。これらの製品には認証や暗号化に関する複数の脆弱性が存在し、攻撃者によって製品にアクセスされ、船舶のエンジン操作を乗っ取られる可能性があります。続きを読む

JVN: Auto-Maskin DCU 210E、RP 210E および Marine Pro Observer App に複数の脆弱性

Auto-Maskin RP リモートパネルと DCU コントロールユニットは船舶のエンジンの監視および制御を行う製品です。これらの製品には認証や暗号化に関する複数の脆弱性が存在し、攻撃者によって製品にアクセスされ、船舶のエンジン操作を乗っ取られる可能性があります。続きを読む

Weekly Report: (再掲) 「フィッシング対策セミナー 2018」開催のお知らせ

フィッシング対策協議会では、2020年に向けてさらに増加が予測されるフィッシング詐欺に対応するため、事業者側の効果的な対策促進をテーマに「フィッシング対策セミナー 2018」を開催いたします。今年度のセミナーでは、フィッシング詐欺に関連する国内の法執行機関、金融機関、米国のフィッシング対策組織から有識者をお招きし、フィッシングの最新の傾向とその対応策などをご紹介いたします。続きを読む

JVN: TP-Link EAP Controller に安全でないデシリアライゼーションの問題

TP-LINK の Linux 向け EAP Controller では、Remote Method Invocation (RMI) 実行時に認証が行われません。また、脆弱なバージョンの Apache Commons Collections を利用しています。その結果、遠隔の第三者によりデシリアライゼーション攻撃が行われ、EAP Controller サーバを制御される可能性があります。続きを読む

Weekly Report: ISC BIND 9 の Update policy 機能の説明が実際の挙動と異なっている問題

ISC BIND 9 のマニュアルには、Update policy 機能で提供されているルールkrb5-subdomain および ms-subdomain の説明が、実際の挙動と異なっている問題があります。結果として、マニュアルの説明では許可しないはずのアップデートリクエストを受け付けてしまう可能性があります。続きを読む

JVN: LAN における DNS 動的登録・更新および、機器の自動検出機能に複数の問題

ルータの DNS 動的登録・更新機能が有効になっており、クライアント PC で自動検出機能が有効になっているネットワークにおいて、当該ネットワークにアクセスできる攻撃者が "wpad" というホスト名を持つ機器をネットワークに追加することで、通信内容が取得されたり改ざんされたりする可能性があります。続きを読む

Weekly Report: ヤマハ製の複数のネットワーク機器に脆弱性

ヤマハ株式会社が提供する複数のネットワーク機器には、スクリプトインジェクションの脆弱性があります。結果として、管理画面にアクセス可能な攻撃者が、細工した入力を行うことで、ユーザのウェブブラウザ上で任意のスクリプトを実行する可能性があります。続きを読む