目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2024/05/21
Androidアプリ「TP-Link Tether」および「TP-Link Tapo」におけるサーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN29471697/index.html
TP-LINK GLOBAL INC.が提供するAndroidアプリ「TP-Link Tether」および「TP-Link Tapo」には、サーバ証明書の検証不備の脆弱性が存在します。
モバイルアプリのアップデートを手動で行っていると、気づいたらアップデートがたまっていることがあります。
OS設定によってアップデートが定期実行されるようにしましょう。
2024/5/23
Enterprise Server 3.12 release notes
https://docs.github.com/en/enterprise-server@3.12/admin/release-notes
CRITICAL: On instances that use SAML single sign-on (SSO) authentication with the optional encrypted assertions feature, an attacker could forge a SAML response to provision and/or gain access to a user with administrator privileges.
重要度の高い修正が行われたようです。認証にかかわる脆弱性が発見されたため、今回のアップデートは必須です。
2024/5/24
住宅オーナー様等向けの会員制サイトにサイバー攻撃を受けたことによる
お客様情報等の外部漏えいについて
https://www.sekisuihouse.co.jp/company/topics/library/2024/20240524_1/20240524_1.pdf
調査を行った結果、2008 年~2011 年に実施したフォトギャラリーで使用し、現在は運用していないペー
ジでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けた
ことにより、当該サイトのデータベースからお客様のメールアドレス・ログイン ID・パスワード及び積水
ハウスグループ従業員等のメールアドレスと弊社システムへのログイン時に使用するパスワードが漏えい
したことがわかりました。
SQLインジェクションとみられる攻撃により、顧客情報が大量に漏洩したようです。パスワードがどのように保管されていたのか気になります。
古くなったサイトやページの運用方法にセキュリティの観点は欠かせません。
担当: HO
