Go言語でgo-cve-searchという簡単なcliツールを作ってみました。 作成に当たってのモチベーションとしては以下の4つ。 ・Go言語でcliツールを作ってみたい ・Circleci (CI/CD) を使ってみたい ・READMEにterminalのgifとバッジを付けてみたい ・TDDで開発し…

ビズリーチのOSS 脆弱性管理サービス yamory がついに無料トライアルできるようになったので使ってみました。 以前「ビズリーチのOSS 脆弱性管理サービス yamoryについて調査 どんなことができて、どう実現されているのか」という記事を書きました。 実際に…

ビズリーチより8月27日にGithubのリポジトリからオープンソース(OSS)の脆弱性を発見、管理できるようにするWebアプリケーション「yamory」が発表された。 どんな機能があり、どんなことができるのか、どう実現されていそうかなどについて説明します。 また、…

iOS 12.4のパッチにiOS 12.2に含まれていたuse-after-free(解放済みのメモリ使用)の脆弱 (CVE-2019-8605)が謝って混入していた問題があったが、修正したパッチが提供された。 パッチを適用するにはiPhoneのソフトウェアップデートより行う事ができる。 脱獄…

iOSのセキュリティ研究者のPwn2ownがiOS12.3で修正された脆弱性が最新バージョンiOS12.4で再度混入されたため、脱獄ツールを公開した。 unc0ver v3.5.1 is NOW OUT - Fixes exploit reliability on iOS 12.4, random reboots for some users and adds @Apple…

Linux向けのWebブラウザベースの管理ツールであるWebminにゼロデイ脆弱性が発見された。 この脆弱性はコーディングミスによるものではなく、ハッカーによってバックドアを入れられたものである。 また、この脆弱性はバージョン1.882~1.921に影響し、一年以上…

HTTP/2プロトコルの実装にリソースを過度に消費させる脆弱性が存在し、DoSを引き起こすサーバーは全世界のウェブサイトの40%になる。 8つの脆弱性が公開され、1つ(CVE-2019-9518)はGoogleによって発見され、他7つ(CVE-2019-9511,CVE-2019-9512,CVE-2019-9513…

マイクロソフトがリモートデスクトップに関する2つ(CVE-2019-1181, CVE-2019-1182)のリモートコード実行(RCE)の脆弱性へのパッチを提供した。 この脆弱性は以前修正された BlueKeep(CVE-2019-0708)に似た脆弱性であるという。 影響するバージョンは、「Windo…

"KNOB"と呼ばれる新しいBluetoothの脆弱性(CVE-2019-9506)が公開されました。 この脆弱性は、Bluetoothの暗号鍵の長さを短くすることができ、攻撃者がその暗号鍵を推測し、特定することができる。 暗号鍵が漏洩すると通信が盗聴・改ざんが可能になる。 Bluet…