CVE-2024-36268: Apache InLong Vulnerability Leaves Systems Open to Remote Attacks
2024/08/04 SecurityOnline — Apache InLong プロジェクトは、大規模なデータ・ストリーム処理において広範に利用されるデータ統合フレームワークであるが、その TubeMQ コンポーネントに深刻な脆弱性が発見され、それを伝えるセキュリティ勧告が発表された。このコード・インジェクションの脆弱性 CVE-2024-36268 の悪用に成功した、リモートの攻撃者は、標的とするシステム上で任意のコードを実行する可能性を手にする。
Continue reading “Apache InLong の脆弱性 CVE-2024-36268 が FIX:リモート・コード・インジェクションの可能性”CVE-2024-38100: Leaked Wallpaper Exploit Exposes Windows Users to Privilege Escalation Attacks
2024/08/04 SecurityOnline — Microsoft が最新のセキュリティ情報で公表したのは、Windows のファイル・エクスプローラーにおける、深刻な脆弱性を CVE-2024-38100 (CVSS:7.8) の情報である。この脆弱性は、Semperis の Andrea Pierini により発見され、研究者 Michael Zhmaylo により “Leaked Wallpaper” と名付けられた。この特権昇格の脆弱性の悪用に成功した攻撃者は、たとえ低特権アカウントからであっても、管理者権限の取得を達成する。また、どのセッションからでも、他のユーザーの NetNTLM ハッシュの漏洩を可能にする。
Continue reading “Windows の深刻な脆弱性 “Leaked Wallpaper” CVE-2024-38100:PoC が提供された”Linux kernel impacted by new SLUBStick cross-cache attack
2024/08/04 BleepingComputer — SLUBStick と名付けられた Linux Kernel クロス・キャッシュ攻撃により、影響が限定されるヒープ関連の脆弱性が、任意のメモリ Read/Write 機能に変換されるという。研究者たちによると、それは 99% のレベルで成功しており、特権昇格やコンテナ・エスケープにいたることが実証されているようだ。この発見は、グラーツ工科大学の研究者チームによるものであり、32-Bit と 64-Bit システムで9件の既存の CVE を使用し、Linux Kernel バージョン 5.9/6.2 で攻撃を実証し、高い汎用性を示した。
Continue reading “SLUBStick クロス・キャッシュ攻撃:Linux Kernel への影響が実証された”CVE-2024-38856: Critical Apache OFBiz Flaw Opens Door to Unauthorized Code Execution
2024/08/04 SecurityOnline — OSS の ERP (enterprise resource planning) プラットフォームとして広く採用されている、Apache OFBiz に存在する脆弱性により、コードが不正に実行される可能性があるとする、緊急のセキュリティ・アドバイザリが出されている。この脆弱性 CVE-2024-38856 は Important に分類されているが、ERP システムは事業運営において重要な役割を担っているため、直ちに対策を講じるよう、セキュリティ専門家たちが組織に警告している。
Continue reading “Apache OFBiz の RCE 脆弱性 CVE-2024-38856 が FIX:ただちにパッチを!”Hackers attempt to sell the personal data of 3 billion people resulting from an April data breach
2024/08/04 SecurityAffairs — National Public Data と連携して活動する Jerico Pictures Inc が、2024年4月に発生したデータ流出インシデントにおいて、約 30億人の個人情報を流出させたと訴える、集団訴訟案が提出された。4月8日のことだが、USDoD と名乗る脅威アクターが、ダークウェブ・フォーラムで National Public Data のデータベースを販売すると発表した。USDoD は29億人分の個人データを販売するとし、$3,500,000 という価格を設定した。
Continue reading “National Public Data のデータ侵害:30億人の個人情報の流出と集団訴訟”Critical Admidio Vulnerabilities CVE-2024-37906 and CVE-2024-38529 Revealed
2024/08/04 SecurityOnline — 世界中の組織やグループで使用されている人気の OSS ユーザー管理システム Admidio に存在する、2つの深刻なセキュリティ脆弱性 CVE-2024-37906/CVE-2024-38529 が、サイバー・セキュリティ研究者たちにより発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データやシステムを侵害し、機密性/完全性/可用性を脅かす可能性を手にする。
Continue reading “Admidio の深刻な脆弱性 CVE-2024-37906/38529 が FIX:ただちにパッチを!”Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust
2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。
Continue reading “DARPA の TRACTOR プログラム:C → Rust 変換によりメモリ・セーフ言語へ加速”
IoT OT Security News 