Pexip Issues Urgent Security Update to Address Critical Vulnerabilities
2025/04/08 SecurityOnline — セルフホスト型ビデオ会議プロバイダーである Pexip が発表したのは、Infinity プラットフォームに存在する深刻な脆弱性を詳述するセキュリティ情報である。その内容は、深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2024-12084 と、サービス拒否の脆弱性 CVE-2025-32095/CVE-2025-30080 に関するものである。
深刻なヒープバッファ・オーバーフロー:CVE-2024-12084
Pexip Infinity で用いられる rsync デーモンで発見された脆弱性 CVE-2024-12084 (CVSS 3.1:9.8) は、深刻なヒープバッファ・オーバーフローの欠陥であると説明されている。この脆弱性は、チェックサム長 (s2length) のコード内における、不適切な処理に起因する。この脆弱性を悪用する攻撃者は、sum2 バッファの境界外への書き込みを達成し、深刻な結果を引き起こす可能性を手にする。
ただし、rsync デーモンは、Infinity デプロイメントの外部ネットワークには公開されていないため、この脆弱性を悪用する前提として、Infinity ノードのオペレーティング・システムにアクセスする必要があるとも指摘されている。それにより、Infinity デプロイメントのリスクは、Critical から High に引き下げられている。
サービス拒否:CVE-2025-32095/CVE-2025-CVE-2024-12084
このセキュリティ情報では、Pexip Infinity のシグナリング実装における、不適切な入力検証に関連する、深刻度の高い2つの脆弱性が取り上げられている。これらの脆弱性は CVE-2025-32095/CVE-2025-30080 (CVSS 3.1:7.5) を悪用するリモートの攻撃者は、ソフトウェアによるアボートをトリガーし、サービス拒否を引き起こす可能性を手にする。
このアドバイザリには、「細工されたシグナリング・メッセージを送信するリモート攻撃者は、ソフトウェアによるアボートをトリガーできる」と記されている。影響を受ける Pexip Infinity のバージョンは、CVE-2025-32095 に関してはバージョン 37.0 以下である、CVE-2025-30080 はバージョン 29~36.2 となる。
緩和策と解決策
Pexip のセキュリティ情報には、これらの脆弱性への対処方法が明確に記載されている。これらの脆弱性に対して推奨される解決策は、Pexip Infinity v37.0 へのアップグレードである。さらに、Pexip は緩和策として、Infinity がデプロイメントされる OS へのアクセスを、信頼できるユーザーだけに許可するよう求めている。
ビデオ会議プラットフォームである Pexip Infinity に、複数の脆弱性が報告されています。なかでも、CVE-2024-12084 は CVSS スコア 9.8 の非常に深刻な脆弱性です。ご利用中のチームは、アップグレードや緩和策の実施をご検討ください。また、rsync の脆弱性 CVE-2024-12084 に関する詳細は、下記の記事もぜひご参照ください。
2025/02/25:Rsync の脆弱性 CVE-2024-12084 などの PoC が公開
2025/01/14:Rsync の脆弱性 CVE-2024-12084 などが FIX
IoT OT Security News 
You must be logged in to post a comment.