Day: September 25, 2024

Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少

Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%

2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。

Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”

Pure Storage FlashArray/FlashBlade の脆弱性 CVE-2024-0001 などが FIX:直ちにアップデートを!

FlashArray, FlashBlade at Risk: Pure Storage Reveals CVSS 10 Vulnerabilities

2024/09/25 SecurityOnline — Pure Storage が公開したセキュリティ勧告は、FlashArray/FlashBlade ストレージ・システムに影響を与える5つの深刻な脆弱性に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行や不正アクセスなどを達成し、重要な業務を妨害する可能性を手にする。

Continue reading “Pure Storage FlashArray/FlashBlade の脆弱性 CVE-2024-0001 などが FIX:直ちにアップデートを!”

TeamViewer の脆弱性 CVE-2024-7479/7481 (CVSS 8.8) が FIX:権限昇格の恐れ

TeamViewer Urges Users to Patch Privilege Escalation Flaws (CVE-2024-7479 and CVE-2024-7481)

2024/09/25 SecurityOnline — TeamViewer が公開したのは、Windows 用のリモート・クライアントおよびリモートホスト製品に影響を与える、2つの重大な脆弱性 CVE-2024-7479/CVE-2024-7481 に関する情報である。これらの脆弱性は、いずれも CVSSスコアが 8.8 と評価されており、特に古いバージョンのソフトウェアを使用しているユーザーにとって深刻なリスクとなり得る。

Continue reading “TeamViewer の脆弱性 CVE-2024-7479/7481 (CVSS 8.8) が FIX:権限昇格の恐れ”

WordPress Events Calendar Plugin の脆弱性 CVE-2024-8275 が FIX:SQLi に至る恐れ

Critical SQL Injection Vulnerability Discovered in ‘The Events Calendar’ WordPress Plugin (CVE-2024-8275)

2024/09/25 SecurityOnline — 人気の WordPress プラグインである The Events Calendar に、深刻なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-8275 (CVSS:9.8) は、バージョン 6.6.4 以下に影響を及ぼすものだ。Events Calendar plugin は、WordPress サイト上でのイベント・カレンダーの容易な作成/管理を実現するものであり、70万以上のアクティブ・インストール数を誇っている。このプラグインは、オンラインおよび F2F のイベントをサポートしており、また、プロフェッショナル向けの広範な機能を提供している。

Continue reading “WordPress Events Calendar Plugin の脆弱性 CVE-2024-8275 が FIX:SQLi に至る恐れ”

Proxmox VE/MG の深刻な API 脆弱性 CVE-2024-21545 が FIX:機密データの漏えいの恐れ

Proxmox Virtual Environment and Mail Gateway Exposed to Critical API Vulnerability

2024/09/25 SecurityOnline — Proxmox の Virtual Environment および Mail Gateway に、深刻な脆弱性 CVE-2024-21545 (CVSS:8.2)  が存在することが、Snyk Security Labs により発見された。この脆弱性が悪用されると、機密ファイルへの不正アクセスが可能となり、システム全体が侵害される恐れが生じる。この脆弱性は、API レスポンス処理における不十分な保護対策に起因するものであり、特定の特権を持つ攻撃者に対して、任意のホスト・ファイルのダウンロードを許すとされる。

Continue reading “Proxmox VE/MG の深刻な API 脆弱性 CVE-2024-21545 が FIX:機密データの漏えいの恐れ”

GitLab の SAML 脆弱性 CVE-2024-45409:セキュリティ修正を拡張

GitLab backports fix for CVE-2024-45409 to older versions

2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10/16.9.11/16.8.10/16.7.10/16.6.10/16.5.10/16.4.7/16.3.9/16.2.11/16.1.8/16.0.10) へと直ちにアップグレードすることだ。 これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。

Continue reading “GitLab の SAML 脆弱性 CVE-2024-45409:セキュリティ修正を拡張”

SolarWinds WHD の脆弱性 CVE-2024-28987:PoC エクスプロイトが提供

PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)

2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。

Continue reading “SolarWinds WHD の脆弱性 CVE-2024-28987:PoC エクスプロイトが提供”