Note:201408-1

不定期に気になった記事をノート代わりに。

「無印良品ネットストア」への不正ログインに関するご報告

弊社が運営する「無印良品ネットストア」にて、登録されたお客さまご本人以外の第三者による不正ログインを受ける事態が発生したことを確認いたしました。
今回の不正ログインの手法は、昨今様々なインターネットサービスで発生しているものと同様に、他社サービスから流出した可能性のあるID(メールアドレス)・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われています。
[良品計画]

無印良品ネットストアで不正ログイン。

ワイモバイル、個人情報1321人分紛失 PCなくす

携帯電話4位のワイモバイルは15日、合併前の旧イー・アクセスが提供していたサービス「つながるマップ」の利用者1321人分の住所や氏名などの個人情報が入ったパソコンを、委託会社の社員が紛失したと発表した。クレジットカード情報は含まれておらず、個人情報が悪用された報告は受けていないという。
[朝日新聞デジタル]

イー・アクセス(現ワイモバイル)で情報漏洩。

ネットエージェント杉浦氏に緊急取材!Baiduサーバとの通信が噂のアプリ『ESファイルエクスプローラー』

あくまでも、Baiduのアカウントを持っているユーザーがBaiduクラウドを利用した場合のみ、端末の個別IDなども一緒に送られている、という事実しか確認できていません。
[APPREVIEW]

ES ファイルエクスプローラーが個人情報を送信しているという噂について。

WordPress 3.9.2 セキュリティリリース

過去すべてのバージョンに対するセキュリティリリースとして WordPress 3.9.2 がご利用いただけるようになりました。サイトをいますぐ更新されることを強くおすすめします。
このリリースでは、Salesforce.com のプロダクトセキュリティチームの Nir Goldshlager によって報告された PHP の XML 処理に含まれるサービス妨害 (DoS) 問題の可能性を修正しています。WordPress セキュリティチームの Michael Adams と Andrew Nacin、そして Drupal セキュリティチームの David Rothstein が修正を行いました。2つのプロジェクトがセキュリティリリースのために共同で調整を行ったのは今回が初めてのことです。
[WordPress]

WordPress のセキュリティリリースが出ています。

SA-CORE-2014-004 - Drupal core - Denial of service

Drupal 6 and Drupal 7 include an XML-RPC endpoint which is publicly available (xmlrpc.php). The PHP XML parser used by this XML-RPC endpoint is vulnerable to an XML entity expansion attack and other related XML payload attacks which can cause CPU and memory exhaustion and the site's database to reach the maximum number of open connections. Any of these may lead to the site becoming unavailable or unresponsive (denial of service).
[Drupal.org]

Drupal に DoS 攻撃を受ける脆弱性。

OpenSSL Security Advisory [6 Aug 2014]


[OpenSSL]

OpenSSL に複数の脆弱性。

Security Announcement Archive

Remote code execution in nmbd
[Samba]

Samba 4.x に脆弱性。

「MySQL 5.6.20」がリリース、InnoDBやレプリケーション機能を強化

米OracleのMySQL開発チームは7月31日、オープンソースで開発されているリレーショナルデータベースシステム(RDBMS)MySQLの最新版「MySQL 5.6.20」をリリースした。商用版およびGPLv2でリリースされるCommunity版が提供されている。
[SourceForge.JP Magazine]

MySQL 5.6.20 がリリースされました。

USBの根幹に脆弱性発覚、死角はファームウェア

Wiredによれば、セキュリティ研究者のKarsten NohlさんとJakob Lellさんが、USBの基本的な通信機能をコントロールするファームウェアをリヴァース・エンジニアしました。彼らはさらにBadUSBというマルウェアも作り、ファームウェア内部に入れ込みました。それによって「USBデヴァイスにインストールすれば完全にPCを乗っ取ることができ、見えないところでファイルをメモリスティックから書き換えたり、ユーザーのインターネットトラフィックをリダイレクトしたりもできる」ようになってしまいます。
[ギズモード・ジャパン]

これは結構怖い気がします。

FreeBSD 9.3-RELEASE登場

FreeBSDプロジェクトは7月16日、「FreeBSD 9.3-RELEASE Announcement」においてFreeBSD 9系の最新版となる「FreeBSD 9.3-RELEASE」の公開を発表した。安定性向上を目的としたバージョンになっているほか、いくつかの新機能が導入されている。セキュリティサポートの提供は2017年1月1日まで。amd64版、i386版、ia64版、powerpc版、powerpc64版、sparc64版のインストールイメージファイルをFTPサーバなどから取得可能。
[マイナビニュース]

FreeBSD 9.3R がリリースされました。

カテゴリ: 

sakura