Security Period

今年

今年に公開したセキュリティ関連情報です。

種類

対象

期間

2026/05/14 CVE

2026年5月に公開された NGINX の rewrite モジュール脆弱性 CVE-2026-42945 について、影響条件、rewrite 設定の確認、ASLR、パッケージ更新時の注意点を整理します。

2026/05/13 サプライチェーン

2026年5月12日早朝、TanStack Router / Start 系の npm パッケージにマルウェア入りバージョンが公開されました。GitHub Actions の OIDC とキャッシュを悪用した攻撃の概要、影響確認、対応方針を整理します。

2026/05/11 CVE

2026年5月に公開された Linux カーネルのローカル権限昇格脆弱性 Dirty Frag（CVE-2026-43284 / CVE-2026-43500）について、Copy Fail との関係、影響範囲、暫定緩和策、対応方針を整理します。

2026/04/30 CVE

2026年4月末に公開された Linux カーネルのローカル権限昇格脆弱性 CVE-2026-31431「Copy Fail」について、何が起きているのか、どの環境が影響を受けるのか、対応方針を整理します。PoC が公開されており、共有サーバーや CI 環境では高優先で対応すべき内容です。

2026/04/01 サプライチェーン

2026年3月31日、週間1億DLを超える axios の npm パッケージが乗っ取られ、マルウェア入りバージョンが公開されました。何が起きたのか、影響確認の方法、そして lockfile と npm ci による防御策を整理します。