Day: February 14, 2024

NGINX の緊急アップデート:新たな脆弱性 CVE-2024-24989/CVE-2024-24990 が FIX

NGINX Releases Urgent Patch for HTTP/3 Vulnerabilities (CVE-2024-24989, CVE-2024-24990)

2024/02/14 SecurityOnline — 数多くの高トラフィック Web サイトを支える、代表的な Web サーバの1つである NGINX が、緊急パッチ (バージョン1.25.4) をリリースし、実験的な HTTP/3 実装に潜む2つの重大な脆弱性 CVE-2024-24989/CVE-2024-24990 に対処した。この新しく高速なプロトコルは、Web のパフォーマンスを向上させるが、その最先端性ゆえに、潜在的なセキュリティ・リスクも引き起こしている。

Continue reading “NGINX の緊急アップデート:新たな脆弱性 CVE-2024-24989/CVE-2024-24990 が FIX”

Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性

Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages

2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。

Continue reading “Ubuntu の “Command-Not-Found” ユーティリティの悪用:悪意のパッケージをインストールする可能性”

GitHub Enterprise の複数の脆弱性が FIX:ただちにパッチを!

Critical Vulnerabilities Uncovered in GitHub Enterprise Server – Patch Immediately!

2024/02/14 SecurityOnline — 進化し続けるデジタルセキュリティの中で、GitHub Enterprise Server (GHES) はエンタープライズ・レベルのコード管理とコラボレーションの基盤として登場した。この GHES は、GitHub のセルフホスト・バージョンとして、組織に対してリポジトリと開発プロセスを管理する能力を提供する。しかし、最近になって、複数の深刻度の高い脆弱性が公表され、その悪用に成功した攻撃者が、機密性の高いシステムに不正にアクセスする可能性が生じている。したがって、リスクを軽減するための、早急な対策が求められる。

Continue reading “GitHub Enterprise の複数の脆弱性が FIX:ただちにパッチを!”

Microsoft Exchange のゼロデイ CVE-2024-21410:修正前に悪用されていた

Microsoft: New critical Exchange bug exploited as zero-day

2024/02/14 BleepingComputer — 2月14日のセキュリティ・アドバイザリで、Microsoft が警告しているのは、Exchange Server の深刻な脆弱性 CVE-2024-21410 が、2月の Patch Tuesday で修正される前にゼロデイとして悪用されていたことだ。この脆弱性は、Microsoft 社内で発見されたものであり、Microsoft Exchange Server の脆弱なバージョンを標的とした NTLM リレー攻撃において、リモートの認証されていない脅威アクターに、権限の昇格をゆるす可能性があるものだ。

Continue reading “Microsoft Exchange のゼロデイ CVE-2024-21410:修正前に悪用されていた”

Outlook のゼロデイ脆弱性 CVE-2024-21413:RCE 攻撃につながる恐れ

Microsoft Warns of ‘In the Wild’ Outlook Attack – #MonikerLink Bug (CVE-2024-21413)

2024/02/14 SecurityOnline — Microsoft は、Outlook で新たに発見された、ゼロデイ脆弱性 CVE-2024-21413 のアドバイザリを公開した。この脆弱性 CVE-2024-21413 (CVSS:9.8) は、Check Point の Haifei Li により発見されたものであり、その悪用に成功した攻撃者は、悪意のリンクを含む電子メールを送信するだけで、リモートからのコード実行が可能になるという深刻なものだ。

Continue reading “Outlook のゼロデイ脆弱性 CVE-2024-21413:RCE 攻撃につながる恐れ”