/
RSS Feed
概要
その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。
本日の巷のニュース
- Apache TomcatのJsonErrorReportValveにエスケープ処理不備の脆弱性
- AndroidとPixelに月例更新 1月分
- CircleCIにセキュリティインシデント
- 宅食サービス「ナッシュ」に不正アクセス。約6000件の顧客情報が流出
おまけ
- 寒い季節はnpm installで暖をとりましょう
Apache TomcatのJsonErrorReportValveにエスケープ処理不備の脆弱性
Apache TomcatのJsonErrorReportValveクラスは、タイプ、メッセージあるいは説明の値をエスケープしない脆弱性が存在します。
影響をうける対象
- Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
- Apache Tomcat 9.0.40から9.0.68までのバージョン
- Apache Tomcat 8.5.83
対処方法
最新へのアップデート
- Apache Tomcat 10.1.2およびそれ以降のバージョン
- Apache Tomcat 9.0.69およびそれ以降のバージョン
- Apache Tomcat 8.5.84およびそれ以降のバージョン
一次情報
- https://jvn.jp/vu/JVNVU92183876/index.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-45143
AndroidとPixelに月例更新 1月分
GoogleがAndroidおよびPixelの月例セキュリティ情報を公開しました。
Android 10 以降を搭載したデバイスは、セキュリティ アップデートとGoogle Play システム アップデートを受信する場合があるそうです。
影響をうける対象
- Android
- Pixel
対処方法
最新へのアップデート
一次情報
- https://source.android.com/docs/security/bulletin/2023-01-01
CircleCIにセキュリティインシデント
CircleCIにセキュリティインシデントが発生しました。不正アクセスの可能性があります。
公式によるとCircleCI システム内での不正な活動は確認されていないとのことです。
影響をうける対象
- CircleCI
対処方法
- CircleCI 内に保存しているすべてのシークレットを直ちにローテーションする
- API トークンをローテーションする
一次情報
- https://circleci.com/ja/blog/january-4-2023-security-alert/
宅食サービス「ナッシュ」に不正アクセス。約6000件の顧客情報が流出
ナッシュという宅配サービスで情報漏洩が発生しました。
食事宅配サービス「ナッシュ」を展開するナッシュ(大阪市北区)は1月4日、第三者によるランサム攻撃を受け、約6000件の顧客情報が流出した可能性があると発表し、謝罪した。社内PCの一部に保存されていた情報が暗号化され、一部システムに障害が発生した。
「ITmedia」より
一次情報
- https://www.itmedia.co.jp/news/articles/2301/05/news077.html
- https://img.nosh.jp/images/chefly/company/release_20230104.pdf
おまけ
寒い時期になりましたね。npm installにすっごい時間かかるよね。それで暖を取ってください。
この元ネタを投稿 deno公式っていうのがまた。
npm install heat pic.twitter.com/kMbDQr2wj7
— Deno (@deno_land) December 29, 2022