Tech Insights

【CVE-2024-51588】Super Addons for Elementor 1.0に...

2024年11月19日

WordPress用プラグインSuper Addons for Elementor 1.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃条件の複雑さは低いとされている。特権レベルは必要だが利用者の関与が求められ、影響範囲の変更があるため注意が必要だ。Patchstack Allianceの研究者により発見されたこの脆弱性への対応が求められる。

【CVE-2024-51588】Super Addons for Elementor 1.0に...

2024年11月19日

WordPress用プラグインSuper Addons for Elementor 1.0以前のバージョンにDOM-Based XSSの脆弱性が発見された。CVSSスコア6.5の中程度の深刻度と評価されており、攻撃条件の複雑さは低いとされている。特権レベルは必要だが利用者の関与が求められ、影響範囲の変更があるため注意が必要だ。Patchstack Allianceの研究者により発見されたこの脆弱性への対応が求められる。

【CVE-2024-52351】BU Slideshow 2.3.10にクロスサイトスクリプテ...

2024年11月19日

Boston University (IS&T)のWordPressプラグインBU Slideshowにおいて、格納型クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-52351として識別されるこの脆弱性は、バージョン2.3.10以前のすべてのバージョンに影響を及ぼし、CVSSスコア6.5の中程度の深刻度と評価されている。攻撃成功時には情報漏洩やサイト改ざんのリスクがあり、早急な対応が推奨される。

【CVE-2024-52351】BU Slideshow 2.3.10にクロスサイトスクリプテ...

2024年11月19日

Boston University (IS&T)のWordPressプラグインBU Slideshowにおいて、格納型クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-52351として識別されるこの脆弱性は、バージョン2.3.10以前のすべてのバージョンに影響を及ぼし、CVSSスコア6.5の中程度の深刻度と評価されている。攻撃成功時には情報漏洩やサイト改ざんのリスクがあり、早急な対応が推奨される。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

2024年11月19日

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-51843】WordPressのHorsemanagerプラグインにSQL...

2024年11月19日

WordPressのHorsemanagerプラグインでSQL Injection脆弱性が発見された。CVE-2024-51843として識別されるこの脆弱性は、バージョン1.3以前のすべてのバージョンに影響を与える。CVSSスコア8.5と高い深刻度を示しており、ネットワーク経由での攻撃が可能なため、早急なアップデートが推奨されている。Patchstack Allianceのメンバーによって発見された本脆弱性は、データベースの改ざんや情報漏洩のリスクを含んでいる。

【CVE-2024-51837】WordPress WP Contestプラグインにて深刻なS...

2024年11月19日

WordPress用プラグインWP Contestにおいて、SQLインジェクションの脆弱性が発見された。この脆弱性はバージョン1.0.0以下の全てのバージョンに影響を及ぼし、CVSSスコア8.5と高い危険度を示している。低い権限レベルで攻撃可能であり、ユーザーの介入を必要としないことから、早急なアップデートが推奨されている。

【CVE-2024-51837】WordPress WP Contestプラグインにて深刻なS...

2024年11月19日

WordPress用プラグインWP Contestにおいて、SQLインジェクションの脆弱性が発見された。この脆弱性はバージョン1.0.0以下の全てのバージョンに影響を及ぼし、CVSSスコア8.5と高い危険度を示している。低い権限レベルで攻撃可能であり、ユーザーの介入を必要としないことから、早急なアップデートが推奨されている。

【CVE-2024-46890】SINEC INSの全バージョンに重大な脆弱性、特権ユーザーに...

2024年11月19日

SiemensのSINEC INSにおいて、V1.0 SP2 Update 3未満の全バージョンに影響を与える重大な脆弱性が発見された。WebAPIの特定のエンドポイントにおける入力値の検証が不適切であり、高い特権を持つ認証済みリモート攻撃者がOS上で任意のコードを実行可能となる。CVSS v3.1で9.1、CVSS v4.0で9.4と評価される深刻な脆弱性への早急な対応が求められている。

【CVE-2024-46890】SINEC INSの全バージョンに重大な脆弱性、特権ユーザーに...

2024年11月19日

SiemensのSINEC INSにおいて、V1.0 SP2 Update 3未満の全バージョンに影響を与える重大な脆弱性が発見された。WebAPIの特定のエンドポイントにおける入力値の検証が不適切であり、高い特権を持つ認証済みリモート攻撃者がOS上で任意のコードを実行可能となる。CVSS v3.1で9.1、CVSS v4.0で9.4と評価される深刻な脆弱性への早急な対応が求められている。

【CVE-2024-8882】Zyxel GS1900-48スイッチにバッファオーバーフロー脆...

2024年11月19日

Zyxel社のGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、CGIプログラムのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-8882として識別され、管理者権限を持つLANベースの攻撃者による細工されたURLを通じたDoS攻撃を可能にする。CVSSスコアは4.5（Medium）と評価されている。

【CVE-2024-8882】Zyxel GS1900-48スイッチにバッファオーバーフロー脆...

2024年11月19日

Zyxel社のGS1900-48スイッチファームウェアV2.80(AAHN.1)C0以前のバージョンにおいて、CGIプログラムのバッファオーバーフロー脆弱性が発見された。この脆弱性はCVE-2024-8882として識別され、管理者権限を持つLANベースの攻撃者による細工されたURLを通じたDoS攻撃を可能にする。CVSSスコアは4.5（Medium）と評価されている。

【CVE-2024-50235】Linuxカーネルのwifi機能にポインタ二重解放の脆弱性、複...

2024年11月19日

Linuxカーネルの開発チームが、wifi機能を制御するcfg80211モジュールにおける重要な脆弱性の修正パッチをリリースした。この脆弱性は、ネットワークデバイスの再登録時にwdev->cqm_configポインタの二重解放が発生する可能性がある問題で、Linux 6.6系を含む複数のバージョンに影響を与えている。セキュリティアップデートは各バージョンで提供され、システム管理者による迅速な対応が推奨されている。

【CVE-2024-50235】Linuxカーネルのwifi機能にポインタ二重解放の脆弱性、複...

2024年11月19日

Linuxカーネルの開発チームが、wifi機能を制御するcfg80211モジュールにおける重要な脆弱性の修正パッチをリリースした。この脆弱性は、ネットワークデバイスの再登録時にwdev->cqm_configポインタの二重解放が発生する可能性がある問題で、Linux 6.6系を含む複数のバージョンに影響を与えている。セキュリティアップデートは各バージョンで提供され、システム管理者による迅速な対応が推奨されている。

【CVE-2024-24122】Wanxing Technology Yituプロジェクトでリ...

2024年11月19日

Wanxing TechnologyのYituプロジェクトで重大な脆弱性が発見された。CVE-2024-24122として識別されるこの脆弱性は、CVSS 3.1で深刻度9.8のクリティカルと評価されている。攻撃者はexp.adpxファイルを利用してシステム起動フォルダに悪意のあるスクリプトを配置し、システム再起動時に自動実行させることが可能となっている。特権やユーザー操作が不要な点が特に危険視されている。

【CVE-2024-24122】Wanxing Technology Yituプロジェクトでリ...

2024年11月19日

Wanxing TechnologyのYituプロジェクトで重大な脆弱性が発見された。CVE-2024-24122として識別されるこの脆弱性は、CVSS 3.1で深刻度9.8のクリティカルと評価されている。攻撃者はexp.adpxファイルを利用してシステム起動フォルダに悪意のあるスクリプトを配置し、システム再起動時に自動実行させることが可能となっている。特権やユーザー操作が不要な点が特に危険視されている。

【CVE-2024-24116】Ruijie RG-NBS2009G-Pに特権昇格の脆弱性、リ...

2024年11月19日

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2に特権昇格の脆弱性を発見したと発表した。system/config_menu.htmを介したリモートからの特権取得が可能で、攻撃の自動化も可能とされている。CISAによる評価では部分的な技術的影響があるとされ、早急な対策が必要とされている。

【CVE-2024-24116】Ruijie RG-NBS2009G-Pに特権昇格の脆弱性、リ...

2024年11月19日

MITREは2024年10月2日、Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2に特権昇格の脆弱性を発見したと発表した。system/config_menu.htmを介したリモートからの特権取得が可能で、攻撃の自動化も可能とされている。CISAによる評価では部分的な技術的影響があるとされ、早急な対策が必要とされている。

【CVE-2024-11057】Codezips Hospital Appointment S...

2024年11月19日

Codezips Hospital Appointment System 1.0のremoveBranchResult.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、認証なしでリモート攻撃が可能な状態。既にエクスプロイトコードが公開されており、医療機関の予約システムとして使用されている性質上、早急なセキュリティ対策の実施が求められている。

【CVE-2024-11057】Codezips Hospital Appointment S...

2024年11月19日

Codezips Hospital Appointment System 1.0のremoveBranchResult.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコアは最大7.5を記録し、認証なしでリモート攻撃が可能な状態。既にエクスプロイトコードが公開されており、医療機関の予約システムとして使用されている性質上、早急なセキュリティ対策の実施が求められている。

【CVE-2024-11055】Beauty Parlour Management Syste...

2024年11月19日

1000 ProjectsのBeauty Parlour Management System 1.0において、admin-profile.phpファイルのadminname引数にSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な深刻な問題となっている。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者は直ちにセキュリティパッチの適用を検討すべきだ。

【CVE-2024-11055】Beauty Parlour Management Syste...

2024年11月19日

1000 ProjectsのBeauty Parlour Management System 1.0において、admin-profile.phpファイルのadminname引数にSQLインジェクションの脆弱性が発見された。CVSSスコア7.3のHigh評価で、リモートからの攻撃が可能な深刻な問題となっている。既に攻撃コードが公開されており、早急な対応が必要とされている。システム管理者は直ちにセキュリティパッチの適用を検討すべきだ。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

2024年11月19日

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10685】Contact Form 7プラグインにXSS脆弱性、未認証で...

2024年11月19日

WordPressプラグインのContact Form 7 Redirect & Thank You Pageにおいて、バージョン1.0.6以前に深刻な脆弱性が発見された。tabパラメータの不適切な処理により、未認証の攻撃者が任意のスクリプトを実行可能。CVSSスコア6.1のMEDIUMレベルと評価され、ユーザーの操作を必要とする攻撃シナリオが想定される。早急なアップデートが推奨される。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

2024年11月19日

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

2024年11月19日

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

2024年11月19日

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

2024年11月19日

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-50970】Itsourcecode Online Furniture S...

2024年11月19日

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50970】Itsourcecode Online Furniture S...

2024年11月19日

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

2024年11月19日

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

2024年11月19日

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

【CVE-2024-50310】SIMATIC CP 1543-1 V4.0に認証の不備、非認...

2024年11月19日

Siemens社のSIMATIC CP 1543-1 V4.0において、認証処理の不備による重大な脆弱性が発見された。影響を受けるバージョンV4.0.44からV4.0.50未満のデバイスでは、非認証の攻撃者がリモートからファイルシステムにアクセス可能な状態となっており、CVSS v3.1で7.5、CVSS v4.0で8.7のHIGHスコアが付与されている。早急な対応が必要とされる重大な脆弱性である。

【CVE-2024-50310】SIMATIC CP 1543-1 V4.0に認証の不備、非認...

2024年11月19日

Siemens社のSIMATIC CP 1543-1 V4.0において、認証処理の不備による重大な脆弱性が発見された。影響を受けるバージョンV4.0.44からV4.0.50未満のデバイスでは、非認証の攻撃者がリモートからファイルシステムにアクセス可能な状態となっており、CVSS v3.1で7.5、CVSS v4.0で8.7のHIGHスコアが付与されている。早急な対応が必要とされる重大な脆弱性である。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

2024年11月19日

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1（High）と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

2024年11月19日

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1（High）と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

2024年11月19日

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

2024年11月19日

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...

2024年11月19日

Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。

【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...

2024年11月19日

Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。

パーソルキャリアのHiPro Directが鳥取県週1副社長プロジェクト第3次募集を開始、地方...

2024年11月19日

パーソルキャリアの副業・フリーランス人材マッチングプラットフォーム「HiPro Direct」が、鳥取県のビジネス人材誘致事業「週1副社長プロジェクト2024」の第3次募集を開始。都市部の副業・兼業人材を活用して県内中小企業の経営革新を促進し、年間130名130社のマッチングを目指す。販路開拓やIT化など、地域企業の課題解決に向けた新たな人材活用モデルを展開している。

パーソルキャリアのHiPro Directが鳥取県週1副社長プロジェクト第3次募集を開始、地方...

2024年11月19日

パーソルキャリアの副業・フリーランス人材マッチングプラットフォーム「HiPro Direct」が、鳥取県のビジネス人材誘致事業「週1副社長プロジェクト2024」の第3次募集を開始。都市部の副業・兼業人材を活用して県内中小企業の経営革新を促進し、年間130名130社のマッチングを目指す。販路開拓やIT化など、地域企業の課題解決に向けた新たな人材活用モデルを展開している。

スペースシードホールディングスがメタバースで月面酒蔵を開設、2040年の宇宙発酵技術の可能性を探求

2024年11月19日

スペースシードホールディングスはUrth社のメタバースサービス「metatell」で月面酒蔵のβ版運用を開始した。新潟の津南醸造をモデルに、2040年の酒蔵を現代に再現するコンセプトで設計。バーチャル蔵見学やグローバルカンファレンスが可能で、宇宙環境での発酵技術研究の場として期待される。

スペースシードホールディングスがメタバースで月面酒蔵を開設、2040年の宇宙発酵技術の可能性を探求

2024年11月19日

スペースシードホールディングスはUrth社のメタバースサービス「metatell」で月面酒蔵のβ版運用を開始した。新潟の津南醸造をモデルに、2040年の酒蔵を現代に再現するコンセプトで設計。バーチャル蔵見学やグローバルカンファレンスが可能で、宇宙環境での発酵技術研究の場として期待される。

スマートニュースがTop News Display Adsの提供を開始、トップ画面全面での静止...

2024年11月19日

スマートニュース株式会社がブランド広告の新プロダクト「Top News Display Ads」を提供開始。SmartNewsアプリのトップ画面全面での縦型静止画広告配信が可能になり、ブランド認知向上を促進。NTTドコモとの提携によるユーザーリーチ拡大や、Top News Video Adsの出稿数増加を受け、当初予定を前倒しして展開を決定した。

スマートニュースがTop News Display Adsの提供を開始、トップ画面全面での静止...

2024年11月19日

スマートニュース株式会社がブランド広告の新プロダクト「Top News Display Ads」を提供開始。SmartNewsアプリのトップ画面全面での縦型静止画広告配信が可能になり、ブランド認知向上を促進。NTTドコモとの提携によるユーザーリーチ拡大や、Top News Video Adsの出稿数増加を受け、当初予定を前倒しして展開を決定した。

【CVE-2024-50254】Linuxカーネルのbpf_iter_bits_destroy...

2024年11月19日

Linuxカーネルのbpf_iter_bits_destroy()関数における重要な脆弱性が修正された。この問題はビットの動的割り当ての判定処理に起因するメモリリークを引き起こす可能性があり、Linux 6.11以降のバージョンに影響を与える。修正では、nr_bitsの型変更とbit設定方法の改善が実施され、セキュリティの向上が図られている。特に長時間稼働するシステムでは重要な更新となる。

【CVE-2024-50254】Linuxカーネルのbpf_iter_bits_destroy...

2024年11月19日

Linuxカーネルのbpf_iter_bits_destroy()関数における重要な脆弱性が修正された。この問題はビットの動的割り当ての判定処理に起因するメモリリークを引き起こす可能性があり、Linux 6.11以降のバージョンに影響を与える。修正では、nr_bitsの型変更とbit設定方法の改善が実施され、セキュリティの向上が図られている。特に長時間稼働するシステムでは重要な更新となる。

【CVE-2024-50251】Linuxカーネルのnetfilterモジュールに脆弱性、複数...

2024年11月19日

kernel.orgは2024年11月9日、Linuxカーネルのnetfilterモジュールに重大な脆弱性【CVE-2024-50251】を発見したと発表した。nft_payloadモジュールにおいて、offsetとlengthのパラメータがskbuffの長さを超える場合にskb_checksum()関数でBUG_ON()が発生する問題が確認されている。影響を受けるバージョンは4.5以降で、すでに複数のバージョンで修正パッチが提供されている。

【CVE-2024-50251】Linuxカーネルのnetfilterモジュールに脆弱性、複数...

2024年11月19日

kernel.orgは2024年11月9日、Linuxカーネルのnetfilterモジュールに重大な脆弱性【CVE-2024-50251】を発見したと発表した。nft_payloadモジュールにおいて、offsetとlengthのパラメータがskbuffの長さを超える場合にskb_checksum()関数でBUG_ON()が発生する問題が確認されている。影響を受けるバージョンは4.5以降で、すでに複数のバージョンで修正パッチが提供されている。

【CVE-2024-50239】Linuxカーネルのqmp-usb-legacyドライバにNU...

2024年11月19日

Linuxカーネルのqmp-usb-legacyドライバにおいて、ランタイムサスペンド時にNULLポインタ参照が発生する脆弱性が発見された。この問題は、コミット413db06c05e7によってプラットフォームデバイスドライバデータの初期化処理が削除されたことに起因している。現在、修正パッチがリリースされ、Linux 6.6.60、6.11.7、6.12-rc6以降のバージョンで対応が完了している。

【CVE-2024-50239】Linuxカーネルのqmp-usb-legacyドライバにNU...

2024年11月19日

Linuxカーネルのqmp-usb-legacyドライバにおいて、ランタイムサスペンド時にNULLポインタ参照が発生する脆弱性が発見された。この問題は、コミット413db06c05e7によってプラットフォームデバイスドライバデータの初期化処理が削除されたことに起因している。現在、修正パッチがリリースされ、Linux 6.6.60、6.11.7、6.12-rc6以降のバージョンで対応が完了している。

Adobe Audition 24.4.6以前に境界外読み取りの脆弱性を確認、メモリ情報の漏洩...

2024年11月19日

Adobe社は音声編集ソフトウェアAuditionのバージョン23.6.9、24.4.6以前に境界外読み取りの脆弱性【CVE-2024-47449】を確認した。この脆弱性により、攻撃者は機密性の高いメモリ情報を漏洩させ、ASLRなどの緩和策をバイパスする可能性がある。CVSSスコアは5.5（中程度）で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの迅速なアップデートが推奨される。

Adobe Audition 24.4.6以前に境界外読み取りの脆弱性を確認、メモリ情報の漏洩...

2024年11月19日

Adobe社は音声編集ソフトウェアAuditionのバージョン23.6.9、24.4.6以前に境界外読み取りの脆弱性【CVE-2024-47449】を確認した。この脆弱性により、攻撃者は機密性の高いメモリ情報を漏洩させ、ASLRなどの緩和策をバイパスする可能性がある。CVSSスコアは5.5（中程度）で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの迅速なアップデートが推奨される。

【CVE-2024-44196】macOS Ventura 13.7.1とSonoma 14....

2024年11月19日

Appleが公開したmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートにより、ファイルシステムの保護領域に関する権限の問題が修正された。CVSSスコア7.5と高い深刻度を示すこの脆弱性は、アプリケーションが保護された部分を変更できてしまう問題を含んでおり、追加の制限によって対処されている。

【CVE-2024-44196】macOS Ventura 13.7.1とSonoma 14....

2024年11月19日

Appleが公開したmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートにより、ファイルシステムの保護領域に関する権限の問題が修正された。CVSSスコア7.5と高い深刻度を示すこの脆弱性は、アプリケーションが保護された部分を変更できてしまう問題を含んでおり、追加の制限によって対処されている。

【CVE-2024-50237】Linuxカーネルのwifi mac80211モジュールに脆弱...

2024年11月19日

Linuxカーネルのwifi mac80211モジュールに、停止状態のvifをドライバーに渡すことでシステムクラッシュを引き起こす可能性のある脆弱性が発見された。この問題は【CVE-2024-50237】として識別され、Linux3.19から6.12-rc6まで広範囲に影響を及ぼすことが判明。開発チームは各バージョンに対応した修正パッチを提供し、セキュリティと安定性の向上を図った。

【CVE-2024-50237】Linuxカーネルのwifi mac80211モジュールに脆弱...

2024年11月19日

Linuxカーネルのwifi mac80211モジュールに、停止状態のvifをドライバーに渡すことでシステムクラッシュを引き起こす可能性のある脆弱性が発見された。この問題は【CVE-2024-50237】として識別され、Linux3.19から6.12-rc6まで広範囲に影響を及ぼすことが判明。開発チームは各バージョンに対応した修正パッチを提供し、セキュリティと安定性の向上を図った。