Day: June 26, 2024

Canonical が公表した Everything LTS とは? 必要最小限の Ubuntu コンテナが攻撃面積を狭める

Canonical Unveils ‘Everything LTS’: 12-Year Security for Custom Docker Images

2024/06/26 SecurityOnline — 6月26日に Canonical は、Long Term Support (LTS) サービスの大幅な拡充を発表し、従来からの “deb” パッケージに加えて、ディストリビューションが不要の Dockerイメージの設計/構築サービスも、新たに提供することを明らかにした。このサービスは、対象となるソフトウェアが事前に Ubuntu でパッケージ化されているかどうかに関係なく、あらゆるオープンソースのアプリケーションや依存関係に対して、12年間のセキュリティ・メンテナンスを提供するものだという。

Continue reading “Canonical が公表した Everything LTS とは? 必要最小限の Ubuntu コンテナが攻撃面積を狭める”

GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX

GitLab Releases Critical Updates to Address Multiple Vulnerabilities

2024/06/26 SecurityOnline — DevOps ライフサイクル・ツールの主要プラットフォームである GitLab は、Community Edition (CE)/Enterprise Edition (EE) 向けのクリティカル・アップデートをリリースした。新バージョンの 17.1.1/17.0.3/16.11.5 には、重要なセキュリティとバグの修正が含まれている。GitLab は全てのユーザーに対して、潜在的な悪用からインストールを保護するため、直ちにアップグレードするよう呼びかけている。

Continue reading “GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX”

Fortra FileCatalyst Workflow の SQLi 脆弱性 CVE-2024-5276 が FIX:PoC も提供

CVE-2024-5276 (CVSS 9.8): Critical SQLi Flaw in Fortra FileCatalyst Workflow, PoC Available

2024/06/26 SecurityOnline −−− エンタープライズ向けのファイル転送ソリューションとして人気の、Fortra FileCatalyst Workflow に存在する、SQL インジェクションの脆弱性 CVE-2024-5276 (CVSS:9.8)  が公表された。この脆弱性の悪用に成功した攻撃者は、アプリケーション・データベース内の機密情報の改ざんに加えて、管理ユーザーの作成/データ削除などの可能性を手にする。

Continue reading “Fortra FileCatalyst Workflow の SQLi 脆弱性 CVE-2024-5276 が FIX:PoC も提供”

FreeRTOS-Plus-TCP の脆弱性 CVE-2024-38373 が FIX:無数の IoT デバイスが危険な状況

CVE-2024-38373: FreeRTOS-Plus-TCP Flaw Exposes Millions of IoT Devices to Critical Risk

2024/06/26 SecurityOnline — IoT (Internet of Things) デバイスや組み込みシステムで広く使用されている、TCP/IP スタックである FreeRTOS-Plus-TCP に、重大な脆弱性 CVE-2024-38373 (CVSS:9.6) が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コードを実行が可能となり、何百万台もの接続されたデバイスの、セキュリティと完全性を破壊する可能性を手にする。

Continue reading “FreeRTOS-Plus-TCP の脆弱性 CVE-2024-38373 が FIX:無数の IoT デバイスが危険な状況”

CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている

CISA: Most critical open source projects not using memory safe code

2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA/FBI/ASD (Australian Signals Directorate)/ACSC (Australian Cyber Security Centre)/CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。

Continue reading “CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている”

MOVEit Transfer の脆弱性 CVE-2024-5806:PoC の公開と活発な悪用

CVE-2024-5806: MOVEit Transfer Vulnerability Under Active Exploit, PoC Published

2024/06/25 SecurityOnline — MOVEit Transfer の深刻な脆弱性 CVE-2024-5806 (CVSS:9.1) が公表されたが、すでに悪用が活発化しているようだ。ファイル転送ソフト MOVEit の開発元である Progress は、6月25日の時点で、この脆弱性に関する情報を公開したが、その後から広範囲におよぶ悪用の試行が検出されていると、セキュリティ研究者たちが指摘している。

Continue reading “MOVEit Transfer の脆弱性 CVE-2024-5806:PoC の公開と活発な悪用”