FreeBSD Issues Critical Security Advisory for CVE-2024-41721 (CVSS 9.8)
2024/09/22 SecurityOnline — FreeBSD の bhyve hypervisor に、深刻な脆弱性 CVE-2024-41721 (CVSS:9.8) が発見された。この脆弱性は、bhyve の USB エミュレーション機能に存在し、仮想 USB コントローラ (XHCI) 上のデバイス・エミュレーションが有効な場合に影響を及ぼすものだ。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、脆弱な FreeBSD システムに深刻な脅威をもたらす可能性を手にする。
Continue reading “FreeBSD の脆弱性 CVE-2024-41721 が FIX :任意のコード実行が生じる恐れ”Critical Dragonfly2 Flaw CVE-2023-27584: Hardcoded Key Threatens Admin Access
2024/09/22 SecurityOnline — Peer-to-Peer (P2P) をベースとするファイル配信システムを、オープンソースとして提供する Dragonfly2 に、深刻なセキュリティ脆弱性 CVE-2023-27584 (CVSS:9.8) が発見された。この脆弱性は、認証プロセスで使用される、ハードコードされた暗号化キーに起因するものであり、管理者権限での不正アクセスも許してしまうため、システムへの攻撃の可能性が生じる。
Continue reading “Dragonfly2 の脆弱性 CVE-2023-27584 が FIX:ハードコードされた暗号化キーによる Admin 侵害”CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information
2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS:9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。
CVE-2024-8698: Keycloak Vulnerability Puts SAML Authentication at Risk
2024/09/22 SecurityOnline — セキュア ID とアクセス管理のために広く利用される、Keycloak の SAML 署名検証プロセスに、深刻度の高い脆弱性が発見された。この脆弱性 CVE-2024-8698 の悪用に成功した攻撃者は、認証メカニズムを回避し、権限昇格やなりすまし攻撃の可能性を手にする。
Continue reading “Keycloak の脆弱性 CVE-2024-8698 が FIX:認証回避の恐れ”
IoT OT Security News 