Adobe fixes critical preauth vulnerabilities in Magento
2021/08/10 BleepingComputer — Adobe は Patch Tuesday において、Magento の Critical な脆弱性と、Adobe Connect の important バグを修正する、セキュリティ・アップデートを公開した。今日のセキュリティ・アップデートが提供された Adobe 製品は以下の通りだ。
• APSB21-64 Security updates available for Magento
• APSB21-66 Security update available for Adobe Connect
今日のアップデートでは、29件の脆弱性が修正された。Critical な脆弱性の大半は、任意のコード実行およびコマンド実行に関するものである。この Adobe セキュリティ・アップデートの中では、Magento の修正が最も多く、26件の脆弱性が修正されている。特に懸念されるのは、Magento に存在する 10件の認証を必要としない脆弱性であり、サイトにログインすることなく悪用される可能性がある。これらの脆弱性の中には、リモート・コード実行やセキュリティ・バイパスなどがあり、脅威アクターによるサイトとサーバーの乗っ取りを許す可能性もある。
アップデートを直ちにインストール
積極的に悪用されるゼロデイ脆弱性は確認されていないが、Adobe は顧客に対して、最新バージョンへのアップデートを直ちに行うことを推奨している。このような緊急性を要するのは、パッチ適用の有無を比較することで、脅威アクターが脆弱なコードを判断し、その脆弱性を狙ったエクスプロイトを作成できるからだ。多くの場合、ユーザーは以下の手順に従い、自動更新機能を使ってソフトウェアを更新できる。
• Help > Check for Updates を選択。
• Adobe Download Center からインストーラーをダウンロード。
• 自動的にインストールが開始される。
Magento のアップデートについては、適切なパッチをダウンロードして、手動でインストールする必要があるとのことだ。また、新しいアップデートが自動更新できない場合には、上記リンク先のセキュリティ速報から、最新のダウンロード・リンクを確認できる。
いつの間にか、Magento が Adobe Magento になりましたね。調べてみたら、2018年5月に買収したとのことです。その時点で、顧客としては、Canon、Helly Hansen、Paul Smith、Rosetta Stone などが並んでいました。すでに3年が経っているので、大手のユーザーも増えているのでしょう。ご利用の方は、アップデートをお忘れなく!
IoT OT Security News 