Day: April 2, 2024

XZ Utils の脆弱性 CVE-2024-3094:バックドア検出の無料スキャナーを Binarly が開発/提供

Binarly Released The Free Online Scanner To Detect The Cve-2024-3094 Backdoor

2024/04/02 SecurityAffairs — 3月29日に Microsoft のエンジニアである Andres Freund が明らかにしたのは、xz ツールとライブラリの最新バージョンにバックドアが存在するという現実である。この脆弱性は、CVE-2024-3094 (CVSS:10.0) として追跡されている。Red Hat は、Fedora の開発版/実験版が稼働しているシステムを直ちに使用中止するよう、ユーザーに呼びかけている。XZ は、一般的なデータ圧縮フォーマットであり、Linux ディストリビューションにおける、コミュニティ主導型と商用型の大半に実装されている。

Continue reading “XZ Utils の脆弱性 CVE-2024-3094:バックドア検出の無料スキャナーを Binarly が開発/提供”

VMware SD-WAN の脆弱性 CVE-2024-22246 などが FIX:ただちにアップデートを!

VMware SD-WAN Vulnerabilities Pose Risk to Network Security, Patches Released

2024/04/02 SecurityOnline — VMware がリリースしたのは、SD-WAN (Software-Defined Wide Area Network) ソリューションに存在する、複数の深刻な脆弱性に対処するセキュリティ・パッチである。これらの脆弱性に対するパッチが適用されずに、そのまま放置されると、ネットワーク接続の管理に VMware SD-WAN を利用している組織において、深刻なリスクが生じる恐れがある。

Continue reading “VMware SD-WAN の脆弱性 CVE-2024-22246 などが FIX:ただちにアップデートを!”

Progress Flowmon の脆弱性 CVE-2024-2389 が FIX:CVSS 値は 10.0

CVE-2024-2389 (CVSS 10): Critical Security Flaw Discovered in Progress Flowmon Network Monitoring Tool

2024/04/02 SecurityOnline — Progress Flowmon に存在する、深刻な脆弱性 CVE-2024-2389  (CVSS:10.0) に対するセキュリティ・パッチがリリースされた。この、広範に利用されている、ネットワーク Monitoring/Security ソリューションの脆弱性が攻撃者に悪用されると、機密性の高いネットワーク・インフラへの不正アクセスが生じる可能性がある。

Continue reading “Progress Flowmon の脆弱性 CVE-2024-2389 が FIX:CVSS 値は 10.0”

Apache Pulsar の脆弱性 CVE-2024-29834 が FIX:直ちにアップデートを!

Apache Pulsar Patches Authorization Flaw (CVE-2024-29834) – Update Now to Protect Sensitive Data

2024/04/02 SecurityOnline — OSS メッセージング/ストリーミング・プラットフォームとして人気の Apache Pulsar に存在する、深刻なセキュリティ脆弱性 CVE-2024-29834 にパッチが適用された。この脆弱性の悪用に成功した、権限のない攻撃者は、機密データ・ストリームやシステム・アクセス・ルールなどの変更が可能になるため、組織のデータが危険にさらされる可能性が生じる。

Continue reading “Apache Pulsar の脆弱性 CVE-2024-29834 が FIX:直ちにアップデートを!”

Google が数十億件のデータ破棄に合意:Chrome を介した不誠実な情報収集が結審

Google Agreed To Erase Billions Of Browser Records To Settle A Class Action Lawsuit

2024/04/02 SecurityAffairs — Google は、利用者からの集団訴訟に対して、”Incognito Mode” で収集された数十億件のユーザー閲覧行動などの、データを削除することに合意した。この、法律事務所 Boies Schiller Flexner が 2020年に起こした集団訴訟は、Google が Chrome ユーザーに Incognito Mode ではオンライン活動が追跡されないと欺き、同社がユーザーの知らないうちに、あるいは明示的な同意なしに、ユーザーの閲覧データを収集していたとしている。

Continue reading “Google が数十億件のデータ破棄に合意:Chrome を介した不誠実な情報収集が結審”

XZ Utils for Linux に仕込まれた悪意のコード:RCE を引き起こすという調査結果

Malicious Code in XZ Utils for Linux Systems Enables Remote Code Execution

2024/04/02 TheHackerNews — 主要 Linux ディストリビューションで広範に使用されている、OSS ライブラリ XZ Utils に挿入された悪意のコードは、リモートからのコード実行も可能であることが、新たな分析により明らかになった。脆弱性 CVE-2024-3094 (CVSS:10.0) を悪用する大胆なサプライチェーン侵害は、Microsoft のエンジニアであり、PostgreSQL の開発者でもある Andres Freund が、先週に警告したものである。このデータ圧縮ユーティリティにバックドアが存在するため、リモートの攻撃者がセキュア・シェル認証を回避し、影響を受けたシステムへの完全なアクセスを提供することが明らかになっている。

Continue reading “XZ Utils for Linux に仕込まれた悪意のコード:RCE を引き起こすという調査結果”