Critical Security Flaws Discovered in Popular PHP Package Manager
2024/06/11 SecurityOnline — 人気の PHP 対応マネージャである Composer が、先日にリリースしたセキュリティアップ・デートは、2つの重大な脆弱性 CVE-2024-35241/CVE-2024-35242 に対処するものだ。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で悪意のコードを実行する可能性を持つ。開発者に強く推奨されるのは、最新版 (PHP 7.2+では 2.7.7、PHP 5.3~7.1 では2.2.24) への迅速なアップデートである。
Continue reading “PHP Composer の脆弱性 CVE-2024-35241/35242 が FIX:直ちにアップデートを!”CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”CVE-2024-24821: A Critical Alert for Composer’s PHP Dependency Management
2024/02/08 SecurityOnline — Web 開発の喧騒の中で登場した Composer ツールは、PHP プロジェクトの依存関係を管理するための要である。ライブラリの組み込みと更新を簡素化する Composer は、ワークフローを効率化したい開発者にとって欠かせないものとなっている。しかし、脆弱性 CVE-2024-24821 が発見されたことで、ユーザーは潜在的なコード実行や権限昇格の脅威にさらされ、Composer の信頼性に懸念が生じている。
Continue reading “PHP Composer の深刻な脆弱性 CVE-2024-24821 が FIX:ただちにパッチを!”Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack
2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。
Continue reading “PHP Packagist の深刻な脆弱性 CVE-2022-24828:サプライチェーン攻撃にいたる恐れ”Multiple Security Flaws Discovered in Popular Software Package Managers
2022/03/11 TheHackerNews — 一般的なパッケージ・マネージャには、複数のセキュリティ脆弱性が存在している。それらが悪用されると、侵入されたマシンでの任意のコード実行や、ソースコードやアクセストークンなどの機密情報へのアクセスを許してしまう可能性がある。つまり、この種のパッケージ・マネージャを取り扱う開発者は、いずれを使うにしても、悪意の影響を受けることに留意する必要がある。
Continue reading “Composer などのパッケージ・マネージャに脆弱性:開発者を狙う攻撃ベクター”
IoT OT Security News 