今週気になったIT関連のニュース

2021年3月15日～2021年3月21日に読んだ中で気になったニュースとメモ書きです。 気になったニュースをまとめている目的はこちら

目次

• Microsoft Exchange Serverの脆弱性に関する続報
• 教育用のWordPressのPluginに対する攻撃
• 最後に

Microsoft Exchange Serverの脆弱性に関する続報

2021年3月1日～2021年3月7日 、2021年3月8日～2021年3月14日の記事でも取り上げたMicrosoft Exchange Serverに関する脆弱性の続報です。

What

• Microsoft Defenderに、Exchange Serverの脆弱性を緩和する機能が追加された
• Microsoftの発表内容
  • Automatic on-premises Exchange Server mitigation now in Microsoft Defender Antivirus
• 対応のためのツールの公開やサポートが切れたバージョンへの対応など、Microsoftの対応が手厚い印象
  • それだけ今回の脆弱性に対する攻撃が危険な状態にあるとも受け取れる
  • 以前メールサーバの運用を担当していたことがあるので、メールサーバの更新調整に時間がかかるのはとてもわかる

When

• 2021年3月18日

関連記事

• Microsoft Defender can now protect servers against ProxyLogon attacks
• Microsoft Defender Antivirus now automatically mitigates Exchange Server vulnerabilities

教育用のWordPressのPluginに対する攻撃

What

• learning-management systemを追加する「Tutor LMS」というWordPressプラグインにSQLインジェクションと権限昇格の脆弱性があった
  • Tutor LMS – eLearning and online course solution
  • それぞれの脆弱性の詳細はこちら
  • Several Vulnerabilities Patched in Tutor LMS Plugin
    • 脆弱性の発見から修正までのタイムラインも記されている
    • 報告者の文面を見るに、プラグインの開発者は誠実に素早く脆弱性の修正対応をしてくれた模様
• 「2021年は多くのWordPressプラグインの問題が見つかっている」というような記載があった
  • 例して挙げられていた脆弱性の情報
    • Cyberattackers Exploiting Critical WordPress Plugin Bug
    • Unpatched WordPress Plugin Code-Injection Bug Afflicts 50K Sites
    • Critical WordPress-Plugin Bug Found in ‘Orbit Fox’ Allows Site Takeover
  • WordPressのプラグインはとても多いので、脆弱性が多く見つかるのは2021年に限った話ではないのではないか？と思った
  • どこかにWordPressプラグインの脆弱性数のまとめはあるだろうか？

When

• 2020年12月15日から2021年2月16日の期間で脆弱性を修正した

関連記事

• Tutor LMS for WordPress Open to Info-Stealing Security Holes
• Several Vulnerabilities Patched in Tutor LMS Plugin

最後に

今週はニュース記事を読む時間が少なかったので、ストックした記事も少なめでした。
数週間Notionで情報の蓄積をしてみて、蓄積のフローはいい感じに回るようになってきた気がします。

次のステップとして、蓄積した記事からEver Green Notesを作って知識を組み合わせていきたい。
Ever Green Notesについてはこちら
ノートを使い捨てでおしまいにしない「エバーグリーンノート」という考え方