CVE-2024-23945: Serious Vulnerability in Apache Hive and Spark Could Lead to Exploitation
2024/12/24 SecurityOnline — 大規模なデータ処理および分析に広く使用される2つのシステム、Apache Hive/Apache Spark において、新たな脆弱性 CVE-2024-23945 (CVSS:8.7) が発見された。この脆弱性は、CookieSigner メカニズムに影響を与え、メッセージの検証が失敗した場合に有効な Cookie 署名を露出するため、深刻なセキュリティリスクを引き起こす。つまり、この欠陥を突く攻撃者は、さらなるシステム悪用の可能性を得る。
Continue reading “Apache Hive/Spark の脆弱性 CVE-2024-23945 が FIX:ただちにアップデートを!”CVE-2024-31861: Apache Zeppelin Vulnerability Opens Door to Code Injection Attacks
2024/04/10 SecurityOnline — 人気のデータ分析ノートブック・ツールである Apache Zeppelin に、新たなセキュリティ脆弱性 CVE-2024-31861 (重要度:Important) が発見された。この脆弱性の悪用に成功した攻撃者は、Zeppelin のシェル・インタプリタを通じて悪意のコードを注入し、機密システムの完全性とセキュリティに影響を与える可能性がある。
Continue reading “Apache Zeppelin の脆弱性 CVE-2024-31861:コード・インジェクション攻撃が生じる恐れ”Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI
2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。
Continue reading “PyPI に colorfool という悪意のパッケージが登場:情報スティーラー/RAT を配布”
IoT OT Security News 