セキュリティエンジニアが気になったニュースまとめ 2024/05/20~05/26

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。 

2024/05/21

Androidアプリ「TP-Link Tether」および「TP-Link Tapo」におけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/jp/JVN29471697/index.html

TP-LINK GLOBAL INC.が提供するAndroidアプリ「TP-Link Tether」および「TP-Link Tapo」には、サーバ証明書の検証不備の脆弱性が存在します。

モバイルアプリのアップデートを手動で行っていると、気づいたらアップデートがたまっていることがあります。

OS設定によってアップデートが定期実行されるようにしましょう。

2024/5/23

Enterprise Server 3.12 release notes

https://docs.github.com/en/enterprise-server@3.12/admin/release-notes

CRITICAL: On instances that use SAML single sign-on (SSO) authentication with the optional encrypted assertions feature, an attacker could forge a SAML response to provision and/or gain access to a user with administrator privileges.

重要度の高い修正が行われたようです。認証にかかわる脆弱性が発見されたため、今回のアップデートは必須です。

2024/5/24

住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによる
お客様情報等の外部漏えいについて

https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/20240524_1.pdf

調査を行った結果、2008 年~2011 年に実施したフォトギャラリーで使用し、現在は運用していないペー
ジでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けた
ことにより、当該サイトのデータベースからお客様のメールアドレス・ログイン ID・パスワード及び積水
ハウスグループ従業員等のメールアドレスと弊社システムへのログイン時に使用するパスワードが漏えい
したことがわかりました。

SQLインジェクションとみられる攻撃により、顧客情報が大量に漏洩したようです。パスワードがどのように保管されていたのか気になります。

 

まとめのまとめ

古くなったサイトやページの運用方法にセキュリティの観点は欠かせません。

担当: HO

タイトルとURLをコピーしました