インフラセキュリティの処方箋
第31回 2017年2月~Wordpress脆弱性とMicrosoftアップデート2月繰り延べの件
この2月は,
今回はその中から,
REST APIの不具合により, Wordpressのコンテンツが容易に改ざんされる脆弱性
本件は,
- Content Injection Vulnerability in WordPress
(Sucuri) - WordPress の脆弱性対策について
(IPA) - WordPress 4.
7.1 の権限昇格脆弱性について検証した (徳丸浩の日記)
この脆弱性は,
REST API自体はこれまでもプラグインで準備されていましたが,
そしてこの脆弱性の困ったところは,
これだけ容易な改ざんを,
現時点でも,
自身のサイトがどのバージョンで動作しているか?
2017年2月のMicrosoftの定例アップデートが中止~一部の緊急アップデート以外は3月に持ち越し
2017年2月のMicrosoftの定例アップデートですが,
Microsoftからのアップデートを適用した後に,
ただし,
- Adobe Flash Player に関するセキュリティアップデート公開
(Adobe) - Adobe Flash Player の脆弱性を修正するセキュリティ更新プログラムを定例外で公開
(日本のセキュリティチーム(Japan Security Team) - Microsoft Technet Blogs)
2月14日に,
バックナンバー
インフラセキュリティの処方箋
- 第44回 2018年3月~修正できない脆弱性対応,繰り返される歴史,そして「あたりまえ」を実践すること
- 第43回 2018年2月~いまも発見される,DLL読み込みに関する脆弱性~どう悪用されるのか?&対処は?
- 第42回 2018年1月~MeltdownとSpectre~現代的なCPUのしくみに根差した脆弱性 / 外部ネットワークを使うためのちょっとした注意
- 第41回 2017年12月~ROBOT:19年前から潜んでいたTLS実装の脆弱性
- 第40回 2017年11月~利用が容易なOffice脆弱性が発見された2017年11月~PoCも出ました
- 第39回 2017年10月~今月も脆弱性祭り~わかっちゃいますが尽きる気配はまったくありません
- 第38回 2017年9月~今月は脆弱性祭り~どうしてこんなに出てくるのか~
- 第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準
- 第36回 2017年7月~ウィルス付きメールにご用心~マクロ付き文書ファイルと脆弱性を突く文書ファイル
- 第35回 2017年6月~EOLなWindowsへの修正ファイル提供と,DLLプリロードの問題