NETGEARの無線LANルータ経由でファイル転送すると特定の条件下でデータが破損するというツイートが話題になっている（タレコミ時点で790RT）。

ツイート主のtokkyo氏によれば、APモードのR7800でデータをコピーすると毎度データが破損するこの現象は、海外のネットワーク製品コミュニティで既知のバグとして報告されていたようだ(R7800 data corruption when in Accesspoint mode | SmallNetBuilder Forums)。

昨年1月からのコミュニティの書き込みによれば、この現象は4～5年前の旧機種にあたるR7500でも発生していたといい、700MB程度の大きなファイルを転送する際に、無線/有線を問わず、SMB/FTP/SCPといったプロトコルで発生するという。NETGEARに問題を報告したユーザーによれば昨年10月時点では調査中だったようだが、その後のことは明らかになっていない。

ファイルが正常に転送されたかに見えて破損しているというのは、ぞっとする話である。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | バグ | IT |

関連ストーリー：
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NETGEARのルーターで利用統計を収集しメーカーに送信する機能が追加される 2017年05月25日

すべて読む | ITセクション | 地球 | バグ | サイエンス |

関連ストーリー：
バッタの大群、インド首都にまで到達 2020年06月30日
アフリカでバッタ被害第二波 2020年04月14日
国連食糧農業機関が「昆虫は有望な食料」という報告書をまとめる 2013年05月16日

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した（JVNの発表）。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

1. 当該製品では httpd が root 権限で動作している
2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
3. 本脆弱性の攻撃には認証を必要としない
4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説と実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | バグ |

関連ストーリー：
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
WPA2の脆弱性「KRACK」の対策が進む 2017年10月18日
NETGEARのルーターで利用統計を収集しメーカーに送信する機能が追加される 2017年05月25日
NETGEAR製ルータに脆弱性、対策の1つは「脆弱性を使用しhttpdを停止させる」 2016年12月15日

アフリカやアルゼンチンなど、世界各地で蝗害被害が報告されているが、インドでは首都ニューデリーにも「サバクトビバッタ」の大群が近づいている。CNNなどによると、一部はすでにニューデリーにも到達しているという（CNN、TBS、WIRED、朝日新聞）。

ニューデリー近郊のグルガオン市には27日の午前11時半に到達。数千匹が町に襲来した。インド政府はドラムや爆竹、太鼓などを鳴らして群れを追い払うなどの対策を住民に伝達。また、ドローンを使って殺虫剤を散布するなどの対処もしている模様。しかし、現地住民がアップしている写真や動画を見る限り、音だけで対処できる感じではないと思われる（スプートニク）。

日経新聞によれば、同じくニューデリー近郊のハリヤナ州にも到達したと報じられている。同州には農地が多いことから食料被害が心配される。同じハリヤナ州の都市グルグラムには日系の企業も数多く進出しているとされる（日経新聞）。

すべて読む | ITセクション | 地球 | バグ |

関連ストーリー：
アフリカでバッタ被害第二波 2020年04月14日
国連食糧農業機関が「昆虫は有望な食料」という報告書をまとめる 2013年05月16日
汎用「バカフィルタ」の開発始まる 2007年11月16日
インド、TikTokなどの中国製アプリの使用を禁止へ。国家安全保障上の理由から 2020年07月01日

すべて読む | ITセクション | 日本 | バグ |

関連ストーリー：
喫茶店でAirPodを外すまで店員が注文を取りに来なかったのは良いことか悪いことか 2020年02月05日
美少女ゲームに登場する喫茶店の外観が実在する洋菓子店に酷似、店側は抗議を検討 2019年11月22日
旧来型メイドカフェがこの先生きのこる道は？ 2018年02月13日
飲食店で客の無線LAN使用を時間で制限するシステム 2016年10月04日
秋葉原のリナックスカフェ、12月25日をもって閉店 2011年12月03日

公開後すぐに不具合が発生したために停止され、その後再公開されるもまたすぐ不具合が確認されて再び停止していた厚生労働省の雇用調整助成金オンライン受付システムだが、再停止になった原因はWebブラウザで特定の画面を閲覧中に「戻る」操作を行うと特定の事業者の申請内容を表示するようになっていたためだという（ITmedia、NHK、日経xTECH）。

表示される情報には役員や従業員の氏名、生年月日、給与、法人の口座情報などが含まれていたとのこと。申請書類をダウンロードすることもできたようだ。厚生労働省はテストが不十分だったとしており、また不具合があるとして停止された最初のバージョンでもこの不具合が発生していた可能性が高い。

このシステムは富士通が約1億円で受注したもので、開発・保守・テストをそれぞれ3社に外注していた。

すべて読む | セキュリティセクション | セキュリティ | バグ | 情報漏洩 |

関連ストーリー：
不具合が見つかった雇用調整助成金オンライン申請、再開するもまたその日のうちに不具合が見つかって停止 2020年06月08日
雇用調整助成金申請システムで他人の個人情報を閲覧できる不具合が発覚、その影響でオンライン申請受付を一時停止 2020年05月21日
郵送とオンラインのハイブリッド給付金申請システム、非エンジニアの市職員が開発 2020年06月03日
特別定額給付金のオンライン申請は何度も手続きできる仕様になっている 2020年05月19日
高松市、特別定額給付金のオンライン申請の受付中止へ 2020年05月21日
マイナンバーカードの電子証明書発行システム、接続しにくくなるトラブル 2020年05月12日

taraiok曰く、

人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている（ZDNet、Slashdot）。

Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。

今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database（NVD）に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ |

関連ストーリー：
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
お名前.comが顧客に提供する管理ツールに脆弱性が見つかる、コインチェックなどがこれを狙った攻撃を受ける 2020年06月05日
Chromiumプロジェクト、重大度の高いセキュリティバグの約70％がメモリに由来すると発表 2020年05月28日
オープンソースソフトウェアの脆弱性、2019年は前年から50％近く増加したとの調査結果 2020年03月14日

headless曰く、

アカウント情報流出通知サービスHave I been pwned?（HIBP）からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ（fyr.io、The Register）。

問題の脆弱性CVE-2020-11032はSQLインジェクション文字列を含むチケットを登録し、addme_assignまたはaddme_observerボタンをクリックするとSQLインジェクションが引き起こされるというものだ。この脆弱性はGLPI 9.4.6で修正されており、問題発生時にはGitHubで既に公開されていた。しかし、この時点ではGLPIプロジェクトのダウンロードページは更新されておらず（5月29日のInternet Archiveスナップショット）、影響を受けたMatt氏の会社では脆弱性のあるGLPI 9.4.5を使用していたそうだ。現在はGLPIプロジェクトのダウンロードページでもGLPI 9.4.6が公開されているものの、あわてて差し替えたのかバージョンの下には9.4.5と同じ日付（18/12/2019）が記載されている。

HIBPからの通知メールには「';--have i been pwned?」というロゴが入っているのだが、画像ではなくテキストであり、これがSQLインジェクションを引き起こしたらしい。Matt氏の会社ではヘルプデスクのサポートアドレスを通知先としてHIBPに登録しており、このアドレスで受信した電子メールは自動でチケットに登録される仕組みになっていたという。そのため、Matt氏がチケットを自分に割り当てたところSQLインジェクションが引き起こされ、登録済み全チケットの説明フィールドの内容が消去されてHIBPロゴの一部に置き換えられてしまったとのこと。

Matt氏は実験を繰り返し、「';-- "」の6文字を入力したフィールドが影響を受けることを確認。ここまで手間をかけたうえでバグを報告しようとGitHubページを訪れたところ、1か月近く前に修正済みだったと知ることになる。チケット自体は前夜にバックアップを取っていたため、失われたデータは少なかったとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | idle | 情報漏洩 |

関連ストーリー：
パナソニック、同社製機内エンターテインメントシステムの脆弱性で旅客機乗っ取りが可能になるという主張に反論 2016年12月23日
米国防総省の懸賞金付きバグ探しプログラム「Hack the Pentagon」、成功を受けて拡大へ 2016年06月23日
「安全なウェブサイトの作り方」改訂第7版が公開 2015年03月16日