Day: January 3, 2025

Tenable Nessus Agent の差分プラグインに欠陥:手動による修正とリセットが必要?

Bad Tenable plugin updates take down Nessus agents worldwide

2025/01/03 BleepingComputer — Tenable が公表したのは、12月31日に更新された、バグを取り込んだ差分プラグインが原因となり、オフラインになってしまたった Nessus 脆弱性スキャナー・エージェントの復活方法である。それによると、ユーザーによるソフトウェアの手動アップグレードが必要になるとのことだ。Tenable がインシデント・レポートで認めているのは、この問題の拡大を防ぐために、プラグイン更新を一時停止したという状況である。なお、このエージェントは、すべてのサイトの特定のユーザーに対してオフラインになっている。

Continue reading “Tenable Nessus Agent の差分プラグインに欠陥:手動による修正とリセットが必要?”

Next.js の DoS 脆弱性 CVE-2024-56332 が FIX:Server Actions に悪用の恐れ

Next.js Patches Denial-of-Service Vulnerability (CVE-2024-56332) in Server Actions

2025/01/03 SecurityOnline — 人気の React フレームワーク Next.js が公表したのは、Server Actions を用いるアプリケーションに対して、サービス拒否 (DoS) 攻撃が仕掛けられる可能性がある、セキュリティ脆弱性への対処である。この脆弱性 CVE-2024-56332 は、PackDraw チームにより検出/公開されたものだ。

Continue reading “Next.js の DoS 脆弱性 CVE-2024-56332 が FIX:Server Actions に悪用の恐れ”

Karmada の脆弱性 CVE-2024-56513 が FIX:Kubernetes システムへの不正な制御が可能

CVE-2024-56513: Karmada Vulnerability Grants Attackers Control of Kubernetes Systems

2025/01/03 SecurityOnline — クラウド・ネイティブ・アプリケーションの管理を容易にするプラットフォーム Karmada (Kubernetes Armada) に、深刻度の高い脆弱性 CVE-2024-56513 (CVSSv4:8.7) が発見された。この脆弱性により、Karmada の PULL モード・クラスターを利用するシステムに、深刻な脅威がもたらされるという。

Continue reading “Karmada の脆弱性 CVE-2024-56513 が FIX:Kubernetes システムへの不正な制御が可能”

Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ:秘密鍵などが標的に

Malicious npm packages target Ethereum developers’ private keys

2025/01/03 BleepingComputer — Ethereum の開発者が使用する、Hardhat を装う 20件の悪意のパッケージが、秘密鍵などの機密データを標的にしている。研究者たちによると、これらの悪意のパッケージは、合計で 1,000回以上ダウンロードされているという。

Continue reading “Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ:秘密鍵などが標的に”

Windows の脆弱性 LDAPNightmare CVE-2024-49113:PoC と技術的詳細が公開

LDAPNightmare, a PoC exploit targets Windows LDAP flaw CVE-2024-49113

2025/01/03 SecurityAffairs — Windows LDAP (Lightweight Directory Access Protocol) に存在する脆弱性 CVE-2024-49113 (CVSS 7.5) は、研究者 Yuki Chen により発見され、すでに修正されているものだ。この LDAPNightmare と命名された脆弱性の悪用により、サービス拒否状態が生じる可能性がある。2024年12月10日 の Microsoft Patch Tuesday で、 Yuki Chen が公表し2つの深刻な LDAP 脆弱性には、CVE-2024-49112 (CVSS 9.8) と CVE-2024-49113 がある。

Continue reading “Windows の脆弱性 LDAPNightmare CVE-2024-49113:PoC と技術的詳細が公開”

iTerm2 の脆弱性 CVE-2025-22275 (CVSS 9.3) が FIX:情報漏洩に至る可能性

CVE-2025-22275 (CVSS 9.3): iTerm2 Patches Critical Security Flaw Exposing User Input and Output

2025/01/02 SecurityOnline — macOS 用の人気ターミナル・エミュレータである iTerm2 に、深刻なセキュリティ脆弱性 CVE-2025-22275 (CVSS 9.3) が発見された。この脆弱性の悪用に成功した攻撃者は、機密性の高いユーザーデータへの不正アクセスの可能性を手にする。なお、この脆弱性の影響の範囲は、バージョン 3.5.6〜3.5.10/3.5.6 以降のベータ版であり、すでに修正されている。

Continue reading “iTerm2 の脆弱性 CVE-2025-22275 (CVSS 9.3) が FIX:情報漏洩に至る可能性”