ソフトウェア・インテグリティ

アーカイブ 'ソフトウェア・セキュリティ・リサーチ' カテゴリ

 

2022年のOSSRAレポートによれば「組織の88%がオープンソースの情報を最新の状態にできずにいる」

オープンソースは何処に在っても適切に管理される必要がありますが、実態はどうなのでしょうか。最新の状況を2022年のOSSRAレポートから確認してみましょう。

続きを読む

カテゴリ: オープンソースのセキュリティ, ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性勧告]Black Duck Hubのクロス・サイト・スクリプティングの脆弱性

CVE-2022-30278は、Black DuckHubで使用しているMadCapFlareを用いたドキュメントファイルの構成によって引き起こされるクロス・サイト・スクリプティング(XSS)の脆弱性です。

続きを読む

カテゴリ: ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性勧告]Directus内に保存されたXSS

Directusに保存されたXSS(クロスサイト・スクリプティング)の脆弱性が発見されました。このJavaScriptで構築されたよく使われているオープンソースのヘッドレスCMS(コンテンツ・マネジメント・システム)のDirectusは、ウェブベースの管理用アプリケーションによって、利用者がコンテンツや コレクションを表示、管理することができます。

続きを読む

カテゴリ: ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性解析]2つの異なるSpringの脆弱性が発見されました – Spring4ShellおよびCVE-2022-22963

先日、さまざまなSpringプロジェクトに影響を与える2つの脆弱性が特定されました。 Spring4ShellとCVE-2022-22963について知っておくべきことについて確認してみましょう。

続きを読む

カテゴリ: セキュリティ・リスクの管理, セキュリティに関するニュースとリサーチ, ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性勧告]NagiosXIで任意のファイル削除とXSSにつながるSQLインジェクション、パストラバーサル脆弱性を発見

CVE-2021-33177、CVE-2021-33178、CVE-2021-33179は SQLインジェクション、パストラバーサルおよびXSS(クロス・サイト・スクリプティング)といった脆弱性がよく使われているアプリケーションで、サービスやネットワーク監視を行うためのNagios XIに発見されました。

続きを読む

カテゴリ: セキュリティに関するニュースとリサーチ, ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性解析]ローカル権限昇格の脆弱性が発見されました

主要なLinuxディストリビューションや一部のUNIXライクなオペレーティングシステムで使用される人気のあるコンポーネントであるため、ソフトウェア開発組織に、それも広範囲に影響を与える可能性があります。 非特権プロセスが特権プロセスと対話するためのメソッドを提供するPolKitの脆弱性には、CVE-2021-4034が割り当てられ、「PwnKit」と命名されました。

続きを読む

カテゴリ: セキュリティに関するニュースとリサーチ, ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性勧告]GOautodialで発見された複数の脆弱性

認証の不備とローカル・ファイルインクルードの脆弱性により、GOautodialAPIを悪用され、情報漏洩と、リモートコードの実行の可能性があります。

続きを読む

カテゴリ: セキュリティに関するニュースとリサーチ, ソフトウェア・セキュリティ・リサーチ

 

[CyRC脆弱性解析]Apache log4j Java ロギングライブラリー のリモートコード実行の脆弱性

シノプシス・サイバーセキュリティ・リサーチセンター(CyRC)は、Apache log4jに関するエクスプロイトのPoCと併せてBlack Duck® Security Advisory (BDSA)を発行し、CVSS スコアを9.4としました。

続きを読む

カテゴリ: Webアプリケーション・セキュリティ, アプリケーション・セキュリティ, オープンソースのセキュリティ, セキュリティに関するニュースとリサーチ, ソフトウェア・セキュリティ・リサーチ, ニュースとお知らせ

 

BSIMM12:ソフトウェア・セキュリティ・プログラムの改善に役立つポイントと推奨事項

BSIMM12は、企業のソフトウェア・セキュリティ・アクティビティに関する調査を実施し、ソフトウェア・セキュリティ・イニシアティブ(SSI)をナビゲートするのに役立つガイドを作成しています。

続きを読む

カテゴリ: ソフトウェア・セキュリティ・リサーチ, マチュリティ・モデル(BSIMM)

 

[CyRC脆弱性勧告]Zephyr Bluetooth LE スタックにおけるサービス拒否の脆弱性

Defensics Bluetooth LEテストスイートを使用して、ZephyrのBluetoothLEスタックに8つの脆弱性が発見されました。

続きを読む

カテゴリ: ソフトウェア・セキュリティ・リサーチ