SJ blog
← タグ一覧

#security (44 件)

security

Dirty Frag(CVE-2026-43284/43500)——LinuxカーネルのIPsec・RxRPC欠陥で非特権ユーザーがrootになれる仕組みと対策

Linuxカーネルに存在するDirty Frag(CVE-2026-43284/43500)はIPsec(ESP)とRxRPCのページキャッシュ書き込みプリミティブを悪用し、非特権ユーザーが1コマンドでrootを取得できるLPE。公開PoCで実証済み、コンテナ脱出も可能。

#security #linux #cve #kernel #ipsec #privilege-escalation #lpe #devops
記事へ →
security

Microsoft Exchange CVE-2026-42897——Patch Tuesday後に発覚した未パッチXSSゼロデイが悪用中

Exchange Server 2016/2019/SEのOWAにXSS/スプーフィングの未パッチゼロデイCVE-2026-42897(CVSS 8.1)が5月15日に公開。メールを開くだけで任意JSが実行される。EEMSによる緊急緩和策と管理者向け対応手順を解説。

#security #microsoft #exchange #cve #xss #zero-day #on-premises #owa #email-security
記事へ →
security

史上初・AIが生成したゼロデイエクスプロイト——Google GTIGが2FA回避攻撃の未遂を報告

Google Threat Intelligence Groupが、ハッカーがAIモデルを使って2FA回避のゼロデイPythonスクリプトを生成・大規模悪用を企てたことを確認。AI生成コードの特徴的マーカーと、Googleがベンダーと連携して被害を未然に防いだ経緯を解説。

#security #ai #zero-day #2fa #google #gtig #exploit #offensive-security #threat-intelligence
記事へ →
security

Ollama「Bleeding Llama」CVE-2026-7482——30万台のローカルLLMサーバーがヒープメモリ全漏洩のリスクに晒された仕組み

Ollamaのヒープ範囲外読み取り脆弱性CVE-2026-7482(CVSS 9.1)は未認証の攻撃者がプロセスメモリ全体を外部に流出できる。APIキー・システムプロンプト・チャット断片を3回のAPIコールで盗む攻撃経路と修正済みバージョン0.17.1への対応を解説。

#security #ollama #cve #llm #memory-leak #local-llm #gguf #ai-infrastructure
記事へ →
devops

Kubernetes v1.36「ハル」——セキュリティデフォルト強化とAIワークロード対応が同時に成熟した70件の強化まとめ

Kubernetes v1.36(2026年4月22日リリース、テーマ名「ハル」)はUser Namespaces・Fine-Grained Kubelet API Authorization・Mutating Admission PoliciesがGA。DRAによるAI/MLワークロード向け改善も含む70件の強化。

#kubernetes #k8s #devops #security #release #user-namespaces #ai-workloads #container #admission-webhook
記事へ →
security

GemStuffer——150本超の偽RubyGemがパッケージレジストリを「データ流出チャネル」として悪用した新型手法

GemStufferは150本超の偽Gemを使い、英国地方議会の公開データをRubyGems経由で外部へ持ち出す前例のない手法。開発者への直接攻撃ではないが、パッケージレジストリが攻撃インフラ化する新パターンを示した。

#rubygems #supply-chain #security #malware #open-source #package-registry #data-exfiltration
記事へ →
devops

Windows 11 May 2026 Update——ドライバー信頼ポリシー変更・WSL高速化・FAT32 2TB対応が開発者に与える影響

2026年5月12日にWindows 11 May 2026 Updateがリリース。WHCP署名外ドライバーのデフォルト遮断、バッチファイル実行変更、WSLのLinux↔Windowsファイルアクセス高速化、FAT32 2TB対応など開発者に直結する変更が多数含まれる。

#windows #wsl #security #driver #developer-tools #windows-11
記事へ →
backend

Go 1.26.3 / 1.25.10が11件の脆弱性を修正——html/template XSS・モジュールプロキシバイパス・ReverseProxy情報漏洩を解剖

2026年5月7日リリースのGo 1.26.3と1.25.10は11件のCVEを修正。html/templateのXSS(CVE-2026-27142)、モジュールプロキシのチェックサムバイパス、net/http/httputilのReverseProxyクエリパラメータ漏洩など標準ライブラリ全域に及ぶ。

#go #golang #security #cve #xss #html-template #net-http #module-proxy #backend
記事へ →
security

Ivanti EPMM CVE-2026-6973——管理者権限があればRCEが成立するゼロデイがCISA KEV入り、悪用は現在進行中

Ivanti EPMM(旧MobileIron Core)のCVE-2026-6973は認証済み管理者によるRCEを許す入力バリデーション不備。CVSS 7.2・CISA KEV登録・連邦機関の期限は5月10日。12.6.1.1/12.7.0.1/12.8.0.1へのアップグレードとクレデンシャルのローテーションが急務。

#ivanti #epmm #cve #rce #security #enterprise #mobile-device-management #cisa #kev
記事へ →
security

Canvas(Instructure)ShinyHunters侵害——2億7500万人データが脅迫対象、身代金期限は5月12日

LMS最大手InstructureのCanvasがShinyHuntersに侵害され、9000校・2億7500万人のデータが人質に。2026年5月12日の身代金期限が迫る。期末試験週と重なった大規模インシデントの経緯と対策を解説。

#canvas #instructure #shinyhunters #data-breach #lms #ransomware #security #education #incident-response
記事へ →
security

CVE-2026-32202:APT28がWindowsシェルの不完全パッチを悪用——LNKファイルを「見るだけ」でNTLMv2ハッシュが盗まれるゼロクリック攻撃

APT28(Fancy Bear)がWindowsシェルの不完全パッチ(CVE-2026-32202)を悪用。フォルダを開くだけでNTLMv2ハッシュが流出するゼロクリック攻撃。CISA KEV登録・5月12日連邦期限。

#security #cve #windows #apt28 #ntlm #zero-click #state-sponsored #credential-theft #lnk
記事へ →
security

CISA+五カ国連合が初の「AIエージェント安全運用ガイドライン」を公開——最小権限・ゼロトラスト・可逆性の原則を本番エージェントに適用する実践

Five Eyes六機関が初のAIエージェント安全ガイドラインを共同発行。権限・設計・行動・構造・サプライチェーンの5リスクを整理し、最小権限・ゼロトラスト・可逆性の原則を本番エージェントへ適用する実践を解説する。

#security #cisa #five-eyes #ai-agents #zero-trust #least-privilege #agentic-ai #compliance #devops
記事へ →
ai

全米主要AIラボがCAISI事前評価に合意——セーフガードを外したフロンティアモデルを政府が国家安全保障の観点で審査する仕組み

2026年5月5日、Microsoft・Google・xAIが米商務省CAISIとフロンティアAIの事前評価協定に署名。OpenAI・Anthropicに続き全主要ラボが参加し、公開前に安全対策を削減した状態でのモデル審査体制が確立した。

#ai #security #government #regulation #frontier-ai #nist #caisi #microsoft #google #xai #anthropic
記事へ →
security

CVE-2026-26268:Cursor AIのGit Hookサンドボックス脱出——リポジトリをクローンするだけで開発者PCがRCE

2026年4月28日開示のCVE-2026-26268(CVSS 8.1)はCursorのAIエージェントがgit checkoutを実行する際に悪意あるベアリポジトリのpre-commit hookを無確認実行してしまう任意コード実行の脆弱性。APIキー・パスワード・社内コードが窃取される。

#security #cursor #cve #rce #git #developer-tools #vulnerability #appsec
記事へ →
security

HackerOne h1 Validation——AI主導で脆弱性報告が76%急増する中、「発見から修正まで」を高速化する新サービスの実態

2026年4月21日、HackerOneはh1 Validationを発表。AIモデルが脆弱性発見を加速し報告件数が76%急増、高深刻度の割合が32%に上昇する中、発見から修正までのギャップを埋めるAI+人間のハイブリッド検証サービスの仕組みと開発チームへの影響を解説。

#security #hackerone #vulnerability #ai #devsecops #bug-bounty #appsec #remediation
記事へ →
security

PyTorch Lightning 2.6.2/2.6.3のサプライチェーン攻撃——「Mini Shai-Hulud」がML開発者の認証情報を狙う仕組みと対策

2026年4月30日、PyPI上のPyTorch Lightning v2.6.2/2.6.3が悪意あるコードに汚染された。インポート時に自動実行し、SSH鍵・クラウド認証情報・GitHubトークンを窃取。42分で修正されたその仕組みと、ML開発者が取るべき対策を解説する。

#security #supply-chain #pytorch #python #pypi #ml #credentials #open-source
記事へ →
security

CVE-2026-40372(CVSS 9.1):ASP.NET Core Data ProtectionのHMACバグが全認証Cookieを偽造可能にした——.NET 10.0.0〜10.0.6が対象、即時10.0.7へ更新+鍵ローテーション必須

Microsoft.AspNetCore.DataProtection 10.0.0〜10.0.6に存在するHMACの計算誤りにより、攻撃者がゼロバイトHMACで認証Cookieを偽造できる。CVSS 9.1、主にLinux/macOS上の.NET 10アプリが対象。10.0.7へのアップグレードに加え、DataProtection鍵リングのローテーションが必須。

#security #aspnet #dotnet #cve #authentication #data-protection #microsoft #cookie #backend #webdev
記事へ →
security

Copy Fail(CVE-2026-31431):2017年から潜伏していたLinuxカーネルのLPE——732バイトのPythonスクリプトで全主要ディストリビューションがroot権限を奪われる

Theoriが4月29日に開示したCVE-2026-31431(CVSS 7.8)はLinuxカーネルのalgif_aeadモジュールの論理バグで、非特権ユーザーがAF_ALG+spliceを組み合わせるだけでpage cacheに4バイト書き込みを行い、setuidバイナリを書き換えてroot取得できる。2017年以降のすべてのカーネル(4.14〜6.18.21)が対象。

#security #linux #kernel #cve #lpe #privilege-escalation #cryptography #af-alg #devops #server
記事へ →
backend

Node.js 20がEOL——2026年4月30日以降はセキュリティパッチなし。Node 22 LTS vs Node 24への移行手順と破壊的変更まとめ

Node.js 20は2026年4月30日に公式サポートを終了。以降はCVEを含む全パッチが停止される。Node 22 LTS(推奨)とNode 24の選択基準、主要な破壊的変更(require(esm)・crypto API削除・V8更新によるネイティブアドオン再ビルド)、AWS Lambda・Vercel・Docker環境での移行手順を解説する。

#nodejs #javascript #backend #migration #eol #lts #node22 #node24 #security #devops
記事へ →
security

GitHub CVE-2026-3854:git push 1回でサーバー完全制圧——セルフホストの88%が影響圏

git pushのオプション値をサービスヘッダーに未サニタイズで渡していたコマンドインジェクション(CVSS 8.7)がGitHub.comとEnterprise Server全バージョンに影響。プッシュアクセスさえあれば全リポジトリ・全シークレットを奪える。Enterprise Server向けパッチが4月29日公開済み。

#security #github #cve #rce #git #enterprise #devops #command-injection #vulnerability
記事へ →
security

LiteLLM CVE-2026-42208:開示36時間後に悪用が始まったCVSS 9.3 SQLインジェクション

22,000以上のGitHubスターを持つLLMゲートウェイLiteLLMで、認証前に悪用可能なSQLインジェクション(CVSS 9.3)が発見・悪用された。OpenAI・Anthropic・AWS BedrockのAPIキーが窃取対象。対応バージョン1.83.7-stableへの即時アップグレードが必要。

#security #litellm #sql-injection #cve #llm #openai #anthropic #ai #proxy #vulnerability
記事へ →
security

Lovableの48日間マルチテナント欠陥——BOLAで他ユーザーのソースコード・DBクレデンシャルが誰でも閲覧可能だった

AIアプリビルダーLovableで2026年2月3日〜4月20日の48日間、BOLA(Broken Object Level Authorization)によりすべての公開プロジェクトのソースコード・Supabase認証情報・チャット履歴に誰でもアクセスできる状態が続いた。HackerOneへの複数報告が無視された経緯と、マルチテナントSaaSの設計教訓を解説。

#security #lovable #bola #owasp #vibe-coding #multi-tenant #api-security #data-breach
記事へ →
security

npm CanisterSprawlワーム——自己増殖するサプライチェーン攻撃がpostinstallでAI APIキー・クラウド認証情報を窃取

2026年4月21〜22日に発見された自己増殖型npmワーム「CanisterSprawl」は、postinstallフックで約40カテゴリの秘密情報を収集し、盗んだnpmトークンで被害者の全パッケージに感染を拡大する。PyPIにも波及するマルチエコシステム攻撃の仕組みと対策を解説。

#security #npm #supply-chain #package-manager #malware #ci-cd #javascript #devops
記事へ →
security

SGLang CVE-2026-5760(CVSS 9.8)——悪意あるGGUFモデルが推論サーバーをRCEに陥らせるJinja2 SSTI攻撃

SGLang 0.59のリランキングエンドポイント(/v1/rerank)にCVSS 9.8のRCE脆弱性。HuggingFaceからダウンロードした悪意あるGGUFモデルのtokenizer.chat_templateにJinja2 SSTIペイロードを仕込むことで任意コードを実行できる。パッチ未提供、即時緩和策を解説。

#security #sglang #cve #rce #llm #gguf #huggingface #jinja2 #ai-infrastructure
記事へ →
security

MicrosoftがAIエージェント向けオープンソース「Agent Governance Toolkit」を公開——OWASP Agentic Top 10を全カバー、p99 0.1ms以下のランタイムポリシーエンジン

Microsoftが4月2日にAgent Governance Toolkitをオープンソース公開(MIT)。LangChain・CrewAI・Google ADK対応、p99 0.1ms以下のポリシー適用でOWASP Agentic AI Top 10を業界初の完全網羅。Python/TypeScript/Go/Rust/.NET対応。

#microsoft #ai-agents #open-source #owasp #security #langchain #governance #runtime
記事へ →