CVE-2024-45216: Critical Authentication Bypass Vulnerability Patched in Apache Solr
2024/10/16 SecurityOnline — 世界最大級のインターネット・サイトにおいて検索機能を支える、信頼性が高くスケーラブルな検索プラットフォーム でApache Solr に存在する、2つのセキュリティ脆弱性 CVE-2024-45216/CVE-2024-45217 が発見された。これらの脆弱性により、Solr インスタンスを実行している組織に深刻なリスクが発生し、認証バイパスや不正なコード実行の危険へといたる可能性があるという。
Continue reading “Apache Solr の認証バイパスの脆弱性 CVE-2024-45216 が FIX:ただちにをパッチを!”CVE-2024-48904 (CVSS 9.8): Critical Command Injection Vulnerability in Trend Micro Cloud Edge
2024/10/16 SecurityOnline — Trend Micro が発表したのは、Cloud Edge アプライアンスに存在する、深刻なコマンド・インジェクション脆弱性についてユーザーに警告する、緊急セキュリティ情報である。この脆弱性 CVE-2024-48904 (CVSS:9.8) の悪用に成功した、リモート攻撃者は認証を必要とすることなく、影響を受けるデバイス上での任意のコード実行の可能性を得る。
Continue reading “Trend Micro Cloud Edge の脆弱性 CVE-2024-48904 (CVSS 9.8) が FIX:直ちにアップデートを!”Matrix Discloses High-Severity Vulnerabilities in Encryption Key Sharing
2024/10/16 SecurityOnline — 先日に Matrix.org セキュリティ・チームが公表したのは、matrix-js-sdk/matrix-react-sdk に影響を及ぼす2つの深刻な脆弱性に関する情報である。これらの脆弱性は 、MSC3061 (新規ユーザーとのルームキー共有仕様) に関連しており、暗号化されたメッセージ履歴への、不正アクセスを許す可能性があるとされる。
Continue reading “Matrix の脆弱性 CVE-2024-47080/47824 が FIX:厳格なキー共有に対応”Apache CloudStack Patches Critical Security Flaws in Latest Release
2024/10/16 SecurityOnline — IaaS (Infrastructure-as-a-Service) クラウドの構築/管理に使用される、人気のオープンソース・プラットフォーム Apache CloudStack の、 LTS セキュリティ・リリース 4.18.2.4/4.19.1.2 が公表された。このリリースでは、4件のセキュリティ脆弱性が対処されているが、そのうちの2件の深刻度は Important と評価されている。
Continue reading “Apache CloudStack の脆弱性 CVE-2024-45219 などが FIX:直ちにアップデートを!”Google: 70% of exploited flaws disclosed in 2023 were zero-days
2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。
Continue reading “2023年に悪用された脆弱性の 70%はゼロデイ:Google Mandiant 調査”SolarWinds Web Help Desk flaw is now exploited in attacks
2024/10/16 BleepingComputer — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、SolarWinds Web Help Desk (WHD) に存在する、認証情報ハードコードの脆弱性 CVE-2024-28987 などの、3件の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。IT ヘルプデスク・スイートである SolarWinds Web Help Desk は、政府機関/大企業/医療機関など、世界中で およそ 30万の顧客を擁している。
Continue reading “CISA KEV 警告 24/10/15:SolarWinds WHD の脆弱性 CVE-2024-28987 などを追加”North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”
2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。 この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。
Continue reading “Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用:北朝鮮の TA-RedAnt とは?”
IoT OT Security News 