【テックラジオ】巷のセキュリティ 2023年01月05日

テックラジオ
テックラジオ
【テックラジオ】巷のセキュリティ 2023年01月05日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース 

  • Apache TomcatのJsonErrorReportValveにエスケープ処理不備の脆弱性
  • AndroidとPixelに月例更新 1月分
  • CircleCIにセキュリティインシデント
  • 宅食サービス「ナッシュ」に不正アクセス。約6000件の顧客情報が流出

おまけ

  • 寒い季節はnpm installで暖をとりましょう

Apache TomcatのJsonErrorReportValveにエスケープ処理不備の脆弱性

Apache TomcatのJsonErrorReportValveクラスは、タイプ、メッセージあるいは説明の値をエスケープしない脆弱性が存在します。

影響をうける対象

  • Apache Tomcat 10.1.0-M1から10.1.1までのバージョン
  • Apache Tomcat 9.0.40から9.0.68までのバージョン
  • Apache Tomcat 8.5.83

対処方法

最新へのアップデート

  • Apache Tomcat 10.1.2およびそれ以降のバージョン
  • Apache Tomcat 9.0.69およびそれ以降のバージョン
  • Apache Tomcat 8.5.84およびそれ以降のバージョン

一次情報

  • https://jvn.jp/vu/JVNVU92183876/index.html
  • https://nvd.nist.gov/vuln/detail/CVE-2022-45143

AndroidとPixelに月例更新 1月分

GoogleがAndroidおよびPixelの月例セキュリティ情報を公開しました。

Android 10 以降を搭載したデバイスは、セキュリティ アップデートとGoogle Play システム アップデートを受信する場合があるそうです。

影響をうける対象

  • Android
  • Pixel

対処方法

最新へのアップデート

一次情報

  • https://source.android.com/docs/security/bulletin/2023-01-01

CircleCIにセキュリティインシデント

CircleCIにセキュリティインシデントが発生しました。不正アクセスの可能性があります。
公式によるとCircleCI システム内での不正な活動は確認されていないとのことです。

影響をうける対象

  • CircleCI

対処方法

  • CircleCI 内に保存しているすべてのシークレットを直ちにローテーションする
  • API トークンをローテーションする

一次情報

  • https://circleci.com/ja/blog/january-4-2023-security-alert/

宅食サービス「ナッシュ」に不正アクセス。約6000件の顧客情報が流出

ナッシュという宅配サービスで情報漏洩が発生しました。

食事宅配サービス「ナッシュ」を展開するナッシュ(大阪市北区)は1月4日、第三者によるランサム攻撃を受け、約6000件の顧客情報が流出した可能性があると発表し、謝罪した。社内PCの一部に保存されていた情報が暗号化され、一部システムに障害が発生した。

「ITmedia」より

一次情報

  • https://www.itmedia.co.jp/news/articles/2301/05/news077.html
  • https://img.nosh.jp/images/chefly/company/release_20230104.pdf

おまけ

寒い時期になりましたね。npm installにすっごい時間かかるよね。それで暖を取ってください。

この元ネタを投稿 deno公式っていうのがまた。