ソフトウェアの分散型バージョン管理システム「Git」に複数の脆弱性が明らかとなり、アップデートがリリースされた。脆弱性を報告したGitLabは、重要度を「クリティカル(Critical)」と評価している。 「CVE-2023-23946」は、パストラバーサルの脆弱性。GitLabの関係者より報告が寄せられた。「git apply」において細工した命令により作業ツリー外のパスを上書きすることが可能になる。CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.2」とし、重要度を「高(High)」とレーティングしている。 さらに細工したリポジトリにより、非ローカルのトランスポートを利用している場合も、ローカルクローンの最適化を行わせることが可能となる「CVE-2023-22490」が判明した。CVSS基本値は「5.5」、重要度は「中(Moderat
Fortinetは、現地時間2月16日にセキュリティアップデートを公開し、複数の脆弱性に対処したことを明らかにした。重要度が「クリティカル(Critical)」とされる脆弱性も含まれる。 セキュリティアドバイザリを通じてあわせて40件の脆弱性を明らかにしたもの。アップデートのリリース時に脆弱性へ言及しておらず、修正より長時間経過しているものも含まれる。 「FortiOS」「FortiWeb」をはじめ、「FortiNAC」「FortiProxy」「FortiAnalyzer」「FortiADC」「FortiSandbox」「FortiPortal」「FortiWAN」「FortiAuthenticator」」「FortiSwitch」「FortiExtender」「FortiSwitchManager」が影響を受ける。 重要度がもっとも高い「クリティカル(Critical)」とされる脆弱性は
コンテンツマネジメントシステム(CMS)である「Joomla」の開発チームは、協定世界時2月16日に最新版となる「Joomla 4.2.8」をリリースした。深刻な脆弱性へ対処しており、アップデートするとともにパスワードを変更するよう求めている。 今回のアップデートは、ウェブサービスのAPIにおいてアクセス制御に不備があり、不正アクセスを受けるおそれがある脆弱性「CVE-2023-23752」に対処したもの。2月13日の報告からわずか3日での緊急リリースで、公開にあたって事前予告も行っていた。 「同4.0.0」以降のバージョンが影響を受ける。比較的容易に悪用が可能で重要度を「高(High)」とする一方、あたえる影響については、攻撃者によってサイトの制御を奪われるおそれがあり「クリティカル(Critical)」とレーティングしている。 開発チームでは「Joomla 4.2.8」にて脆弱性を修正
Appleは、セキュリティアップデートとなる「macOS Ventura 13.2.1」をリリースし、3件の脆弱性を解消した。他macOS向けにもブラウザのアップデートを提供している。 今回のアップデートでは、アプリよりカーネルの権限でコードを実行されるおそれがある権限昇格の脆弱性「CVE-2023-23514」や、アプリよりユーザーデータを監視することが可能となる脆弱性「CVE-2023-2352」を解消した。 さらに「WebKit」において細工されたウェブコンテンツを読み込むと「型の取り違え」が生じ、任意のコードを実行されるおそれがある脆弱性「CVE-2023-23529」へ対応している。 同脆弱性については、すでに脆弱性が悪用されている可能性がある。「macOS Big Sur」「macOS Monterey」に対しては、同脆弱性を修正したブラウザの最新版「Safari 16.3.1
OpenSSLの開発チームは、複数の脆弱性に対処したセキュリティアップデート「OpenSSL 3.0.8」「同1.1.1t」をリリースした。 バージョンによって影響は異なるが、今回のアップデートであわせて9件の脆弱性に対応している。4段階ある重要度においてもっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。 重要度が2番目に高い「高(High)」とされる脆弱性は「CVE-2023-0286」の1件。「X.509 GeneralName」における「X.400」のアドレス処理において型の取り違えが生じ、サービス拒否に陥るおそれがあるという。 このほか「Use After Free」の脆弱性「CVE-2023-0215」をはじめ、ダブルフリーの脆弱性「CVE-2022-4450」、NULLポインタ参照の脆弱性「CVE-2023-0217」「CVE-2023-0401」
GitHubは、「GitHub Desktop」「Atom」の一部バージョンでコード署名に利用した証明書を現地時間2月2日に失効させると発表した。macOS版ではアップデートなど対応が必要となる。 一部プログラムの署名に利用した証明書が同社リポジトリより漏洩した可能性があることが判明したもの。 これらプログラムの開発などに用いていた同社関連リポジトリが、2022年12月6日にマシンアカウントに関連付く侵害された「個人用アクセストークン(PAT)」によって複製されたという。 同社では翌日7日に問題を把握。問題のトークンを失効させて影響を調べたところ、問題のリポジトリに複数の暗号化されたコードサイニング証明書が保管されていたことが判明した。 現地時間1月30日の時点で攻撃者によって証明書を復号されたり、悪用されたといった報告はないが、復号されると悪意あるプログラムの署名に悪用されるおそれがある
Internet Systems Consortium(ISC)が提供する「BIND 9」に複数の脆弱性が明らかとなった。アップデートが提供されており、関連機関は利用者にアップデートを呼びかけている。 リゾルバが再帰リクエストを必要とする多くのクエリを受け取るとアサーションエラーが生じ、予期せず終了するおそれがある「CVE-2022-3924」が判明したもの。 さらに期限切れのキャッシュデータを参照するよう設定している場合に「RRSIGクエリ」の処理においてクラッシュするおそれがある「CVE-2022-3736」や、「Dynamic Update」を有効化している場合にメモリが枯渇するおそれがある脆弱性「CVE-2022-3094」が存在する。 脆弱性の原因となっている機能は、いずれもデフォルトで無効となっているが、有効化している場合に影響があり、リモートより悪用されるおそれがある。 共通
ソフトウェアの分散型バージョン管理システムである「Git」に複数の深刻な脆弱性が判明した。アップデートが提供されている。 ログにおいてフォーマットを指定している場合に、一部演算子の処理に問題があり整数オーバーフローが生じる脆弱性「CVE-2022-41903」が判明したもの。また「gitattributesファイル」のパース処理にも整数のオーバーフローの脆弱性「CVE-2022-23521」が存在するという。脆弱性を悪用されるとリモートよりコードを実行されるおそれがある。 CVE番号を採番したGitHubでは、これら脆弱性についていずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 くわえてWindows版の「同2.39.0」では、GUIツールおけるクローン機能に信頼できない検
ウェブサーバ「Apache HTTP Server」の開発チームは、最新版となる「同2.4.55」をリリースした。脆弱性の修正なども含まれており、アップデートを呼びかけている。 今回のアップデートは「同2.4.x」系における最新のGA版。脆弱性の修正にくわえて、コアにおけるオーバーフロー対策や、複数モジュールにおけるバグの修正などが含まれる。 脆弱性については3件を修正。「mod_proxy_ajp」におけるリクエストスマグリングの脆弱性「CVE-2022-36760」や、「mod_proxy」における応答の分割が可能となる「CVE-2022-37436」、「mod_dav」において域外メモリへのアクセスが生じる「CVE-2006-20001」に対応した。 開発チームでは、同バージョン以前の利用者に対して、アップデートを呼びかけている。 (Security NEXT - 2023/01/1
Mozilla Foundationは、ブラウザの最新版となる「Firefox 109」をリリースした。機能強化のほか、複数の脆弱性に対処している。 今回のアップデートでは、複数の機能強化を実施。Windowsのメディア再生ユーティリティにおいて「Arbitrary Code Guard」によるエクスプロイトの保護機能を有効化した。 さらに10件の脆弱性に対処。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。 2番目に重要度が高い「高(High)」とされる脆弱性は4件。メモリに関する脆弱性「CVE-2023-23605」「CVE-2023-23606」のほか、任意のファイルが読み込むおそれがある脆弱性「CVE-2023-23597」「CVE-2023-23598」に対応した。 重要度が1段階低い「中(Moderate)」の脆弱性4件、もっとも
食事宅配サービス「ナッシュ」を展開するナッシュは、パソコンが不正アクセスを受けてランサムウェアに感染し、データが暗号化されたことを明らかにした。 同社によれば、2022年12月21日早朝、社内の一部システムで障害が発生したことから調査を行ったところ、パソコンがランサムウェアに感染し、データが暗号化されていることが判明した。 確認されているのはデータの暗号化のみだが、外部流出の可能性も否定できないとして公表した。対象となるのは、個人や法人などの顧客情報6184件。氏名または会社名、住所、電話番号が含まれる。 サーバの脆弱性を突かれた不正アクセスによるもので、ネットワークの設定やパスワードの強度に問題があったという。同社では、被害が発生した端末のネットワークを遮断。設定や運用の変更など再発防止策を実施。引き続き調査を継続するとともに、対象となる顧客にメールで連絡を取っている。 (Securit
マイクロソフトは、プライベートに設置された「Minecraft」のサーバを狙ってDDoS攻撃を展開するボットネットを確認した。脆弱なIoT機器が踏み台として悪用されているとして注意を呼びかけている。 クロスプラットフォームで活動するボットネット「DEV-1028」を確認したもの。Windowsに感染し、さらにLinuxベースのIoTデバイスへ感染を広げるもので、「Minecraft」のサーバを攻撃することから「MCCrash」と名付けている。 Windowsに対しては、「Windows」を不正にアクティベートできるなどとした「クラッキングツール」を通じてボットプログラムを拡散。 感染後はネットワーク経由で管理が行き届いていないIoTデバイスに対し、SSH経由で初期設定の認証情報など用いた辞書攻撃を展開して感染を広げていたという。 ボットネットでは、プライベートに設置された「Minecraf
TIFF形式のイメージに対する処理機能を提供するライブラリ「LibTIFF」に深刻な脆弱性が明らかとなり、パッチがリリースされた。すでにエクスプロイトについても公開されている。 整数オーバーフローが生じるおそれがある脆弱性「CVE-2022-3970」が明らかとなったもの、リモートよりコードを実行されるおそれがある。すでにエクスプロイトが公開されている。 CVE番号を採番した脆弱性データベース「VulDB」は、共通脆弱性評価システム「CVSSv3.1」において同脆弱性のベーススコアを「6.3」、重要度を「中(Medium)」としている。 一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」ではCVSS基本値を「9.8」、重要度を「クリティカル(Critical)」と評価した。 ソースリポジトリよりパッチが提供されており、アップデートが呼びかけられている。 (Security
ビデオ会議ツールを提供するZoomは、Windows向けクライアントソフトに「DLLインジェクション」の脆弱性が含まれていることを明らかにした。またWindowsやmacOS向けのインストーラーにも脆弱性が判明したという。 重要度が「高(High)」とされる3件の脆弱性が明らかとなったもの。 Windows向けに提供している「Zoom Client for Meetings」「Zoom VDI Windows Meeting Client for Window」「Zoom Rooms for Conference Room」の32ビット版に、意図しないライブラリを読み込む「DLLインジェクション」の脆弱性「CVE-2022-28766」が判明した。 脆弱性を悪用されると、クライアントソフトの権限で任意のコードを実行されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコア
「SHA-3標準(FIPS 202)」にも採択されたKeccakチームが開発する暗号実装「XKCP(eXtended Keccak Code Package) SHA-3」に脆弱性が明らかとなった。「Python」や「PHP」など実装する開発環境も影響を受ける。 スポンジ関数にバッファオーバーフローの脆弱性「CVE-2022-37454」が明らかとなったもの、脆弱性を悪用されると、任意のコードを実行されたり、ハッシュ値の生成などに影響を及ぼすおそれがある。 複数にわけられたデータを処理する際、ひとつあたり約4Gバイトを超えるとバッファオーバーフローが生じるという。開発チームでは脆弱性の重要度を「中(Moderate)」とレーティングしている。 一方、米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く