Tech Insights

【CVE-2024-11234】PHPのプロキシ設定に重大な脆弱性、HTTPリクエスト改ざんの危険性が浮上

【CVE-2024-11234】PHPのプロキシ設定に重大な脆弱性、HTTPリクエスト改ざんの...

PHP GroupがPHPのストリームコンテキストにおけるプロキシ設定の重大な脆弱性【CVE-2024-11234】を公開した。PHP 8.1.31未満、8.2.26未満、8.3.14未満のバージョンで、request_fulluriオプションを使用したストリームのプロキシ設定時にURIが適切にサニタイズされておらず、HTTPリクエストの改ざんによって通常アクセスできないリソースへのアクセスが可能になる脆弱性が発見された。

【CVE-2024-11234】PHPのプロキシ設定に重大な脆弱性、HTTPリクエスト改ざんの...

PHP GroupがPHPのストリームコンテキストにおけるプロキシ設定の重大な脆弱性【CVE-2024-11234】を公開した。PHP 8.1.31未満、8.2.26未満、8.3.14未満のバージョンで、request_fulluriオプションを使用したストリームのプロキシ設定時にURIが適切にサニタイズされておらず、HTTPリクエストの改ざんによって通常アクセスできないリソースへのアクセスが可能になる脆弱性が発見された。

【CVE-2024-11647】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11647】Beauty Parlour Management Syste...

VulDBが2024年11月25日、1000 Projects社のBeauty Parlour Management System 1.0に重大な脆弱性が存在することを公開した。view-appointment.phpのviewid引数にSQLインジェクションの脆弱性が確認され、リモートからの攻撃が可能であることが判明。CVSSスコアは6.9を記録し、攻撃の複雑さは低く特権も不要とされている。既に一般公開されており、早急な対応が求められる事態となっている。

【CVE-2024-11647】Beauty Parlour Management Syste...

VulDBが2024年11月25日、1000 Projects社のBeauty Parlour Management System 1.0に重大な脆弱性が存在することを公開した。view-appointment.phpのviewid引数にSQLインジェクションの脆弱性が確認され、リモートからの攻撃が可能であることが判明。CVSSスコアは6.9を記録し、攻撃の複雑さは低く特権も不要とされている。既に一般公開されており、早急な対応が求められる事態となっている。

近代科学社が『つながるコンピュータリテラシー』を発行、情報Iの学習から実践的スキルの習得までをカバー

近代科学社が『つながるコンピュータリテラシー』を発行、情報Iの学習から実践的スキルの習得までをカバー

近代科学社は2024年11月26日、高校の必履修科目「情報I」の学習内容を深化させる新書籍『つながるコンピュータリテラシー』を発行した。Windows11とmacOS14に対応し、Microsoft Office 2021を用いた実践的なスキル習得が可能な構成となっている。兼宗進氏と石塚丈晴氏の監修のもと、コンピュータの基本操作から情報セキュリティ、データ分析まで幅広い知識を体系的に学べる内容だ。

近代科学社が『つながるコンピュータリテラシー』を発行、情報Iの学習から実践的スキルの習得までをカバー

近代科学社は2024年11月26日、高校の必履修科目「情報I」の学習内容を深化させる新書籍『つながるコンピュータリテラシー』を発行した。Windows11とmacOS14に対応し、Microsoft Office 2021を用いた実践的なスキル習得が可能な構成となっている。兼宗進氏と石塚丈晴氏の監修のもと、コンピュータの基本操作から情報セキュリティ、データ分析まで幅広い知識を体系的に学べる内容だ。

テクマトリックス社がAPIの品質担保セミナーを開催、GrandaiderのCEOを招き3つのアプローチを解説へ

テクマトリックス社がAPIの品質担保セミナーを開催、GrandaiderのCEOを招き3つのア...

テクマトリックス株式会社は2024年12月10日、APIの品質担保に関するオンラインセミナーを開催する。Grandaider社井上CEOを招き、APIの品質担保における3つの有効なアプローチとその使い分けについて解説。また、APIテスト自動化ツールSOAtestの活用法も紹介される。DX推進でAPI連携システムの開発が活発化する中、品質担保の方法論に課題を抱えるプロジェクトに向けた内容となっている。

テクマトリックス社がAPIの品質担保セミナーを開催、GrandaiderのCEOを招き3つのア...

テクマトリックス株式会社は2024年12月10日、APIの品質担保に関するオンラインセミナーを開催する。Grandaider社井上CEOを招き、APIの品質担保における3つの有効なアプローチとその使い分けについて解説。また、APIテスト自動化ツールSOAtestの活用法も紹介される。DX推進でAPI連携システムの開発が活発化する中、品質担保の方法論に課題を抱えるプロジェクトに向けた内容となっている。

ビルドサロンがYouTuber専用のオンラインサロン開発パッケージを提供開始、ファンとの交流促進とクリエイターの収益化を支援

ビルドサロンがYouTuber専用のオンラインサロン開発パッケージを提供開始、ファンとの交流促...

株式会社ビルドサロンは2024年11月26日、YouTuberや動画クリエイター向けに特化した「YouTuber専用オンラインサロン開発パッケージ」の提供を開始した。限定コンテンツ配信機能やファン交流ツール、多言語対応など充実した機能を標準搭載しており、プログラミングの知識がなくても簡単にオンラインサロンを構築できる。クリエイターのブランディングや収益化を支援する機能も実装されている。

ビルドサロンがYouTuber専用のオンラインサロン開発パッケージを提供開始、ファンとの交流促...

株式会社ビルドサロンは2024年11月26日、YouTuberや動画クリエイター向けに特化した「YouTuber専用オンラインサロン開発パッケージ」の提供を開始した。限定コンテンツ配信機能やファン交流ツール、多言語対応など充実した機能を標準搭載しており、プログラミングの知識がなくても簡単にオンラインサロンを構築できる。クリエイターのブランディングや収益化を支援する機能も実装されている。

アイデミーがAidemy Businessの新規コースを7講座公開、ChatGPT活用とDX人材育成を強化

アイデミーがAidemy Businessの新規コースを7講座公開、ChatGPT活用とDX人...

株式会社アイデミーは2024年11月25日、法人向けオンラインDXラーニング「Aidemy Business」において、ChatGPTのGPTs機能を活用したカスタムチャットボット作成やAPI連携によるビジネスアプリケーション開発、DX推進におけるセキュリティマネジメントなど、全7コースを新規公開した。累計370法人以上の導入実績を持つAidemy Businessは、デジタル人材育成とリスキリングを通じて企業のDX推進を支援している。

アイデミーがAidemy Businessの新規コースを7講座公開、ChatGPT活用とDX人...

株式会社アイデミーは2024年11月25日、法人向けオンラインDXラーニング「Aidemy Business」において、ChatGPTのGPTs機能を活用したカスタムチャットボット作成やAPI連携によるビジネスアプリケーション開発、DX推進におけるセキュリティマネジメントなど、全7コースを新規公開した。累計370法人以上の導入実績を持つAidemy Businessは、デジタル人材育成とリスキリングを通じて企業のDX推進を支援している。

EchoAPIが次世代API開発プラットフォームを公開、開発効率の大幅な向上とPostman互換機能を実現

EchoAPIが次世代API開発プラットフォームを公開、開発効率の大幅な向上とPostman互...

EchoAPI Co., Ltd.は2024年11月26日、API開発の効率化を実現する統合プラットフォームEchoAPIを公開した。Postmanスクリプト構文との完全互換性を持ち、ログイン不要でのアクセスやウルトラライトウェイトデザインを採用することで、開発者の生産性向上に貢献する。HTTP、REST、GraphQL、SOAPなど複数のプロトコルに対応し、アジャイル開発の促進も実現している。

EchoAPIが次世代API開発プラットフォームを公開、開発効率の大幅な向上とPostman互...

EchoAPI Co., Ltd.は2024年11月26日、API開発の効率化を実現する統合プラットフォームEchoAPIを公開した。Postmanスクリプト構文との完全互換性を持ち、ログイン不要でのアクセスやウルトラライトウェイトデザインを採用することで、開発者の生産性向上に貢献する。HTTP、REST、GraphQL、SOAPなど複数のプロトコルに対応し、アジャイル開発の促進も実現している。

デジタル人材共創連盟が第1回全国情報教育コンテストを開催、第2回は2025年3月にSHIBUYA QWSで実施へ

デジタル人材共創連盟が第1回全国情報教育コンテストを開催、第2回は2025年3月にSHIBUY...

一般社団法人デジタル人材共創連盟が2024年11月23日、第1回デジタル学園祭「全国情報教育コンテスト」の最終審査会をSHIBUYA QWSで開催した。名古屋大学教育学部附属中・高等学校のChappyがグランプリを受賞し、第2回は2025年3月22日にSHIBUYA QWSでの開催が決定。優秀作品は大阪・関西万博のメッセ会場での展示も予定されている。

デジタル人材共創連盟が第1回全国情報教育コンテストを開催、第2回は2025年3月にSHIBUY...

一般社団法人デジタル人材共創連盟が2024年11月23日、第1回デジタル学園祭「全国情報教育コンテスト」の最終審査会をSHIBUYA QWSで開催した。名古屋大学教育学部附属中・高等学校のChappyがグランプリを受賞し、第2回は2025年3月22日にSHIBUYA QWSでの開催が決定。優秀作品は大阪・関西万博のメッセ会場での展示も予定されている。

エルグラムがInstagramツールのアップデートを実施、パネルボタンの回数制限機能が追加され効率的なユーザー管理が可能に

エルグラムがInstagramツールのアップデートを実施、パネルボタンの回数制限機能が追加され...

株式会社ミショナは2024年10月31日にInstagramツール「エルグラム」のアップデートを実施し、パネルボタンの回数制限機能を追加した。DMメッセージ内に最大3枚のカルーセル型パネルを配置でき、選択式ボタンと自動応答を組み合わせたテンプレートの作成が可能。制限回数超過時のメッセージ設定もでき、クーポンの重複利用防止など細やかなユーザー対応が実現できる。

エルグラムがInstagramツールのアップデートを実施、パネルボタンの回数制限機能が追加され...

株式会社ミショナは2024年10月31日にInstagramツール「エルグラム」のアップデートを実施し、パネルボタンの回数制限機能を追加した。DMメッセージ内に最大3枚のカルーセル型パネルを配置でき、選択式ボタンと自動応答を組み合わせたテンプレートの作成が可能。制限回数超過時のメッセージ設定もでき、クーポンの重複利用防止など細やかなユーザー対応が実現できる。

ウルシステムズがauカブコム証券の開発環境を自動化、IaCツールの活用で構築作業を2週間から1日に短縮

ウルシステムズがauカブコム証券の開発環境を自動化、IaCツールの活用で構築作業を2週間から1...

ウルシステムズ株式会社がauカブコム証券の開発環境構築作業を自動化し、2023年6月に新しい仕組みをリリースした。IaCツールを活用して環境構築をコード化することで、作業工数を2週間から1日に短縮。開発プロジェクトの同時並行実施が可能になり、サービス強化のスピードアップとインフラコストの大幅な削減を実現している。

ウルシステムズがauカブコム証券の開発環境を自動化、IaCツールの活用で構築作業を2週間から1...

ウルシステムズ株式会社がauカブコム証券の開発環境構築作業を自動化し、2023年6月に新しい仕組みをリリースした。IaCツールを活用して環境構築をコード化することで、作業工数を2週間から1日に短縮。開発プロジェクトの同時並行実施が可能になり、サービス強化のスピードアップとインフラコストの大幅な削減を実現している。

IDC Japanが国内ローコード/ノーコード/生成AI開発市場の予測を発表、2028年に2701億円規模へと拡大

IDC Japanが国内ローコード/ノーコード/生成AI開発市場の予測を発表、2028年に27...

IDC Japan株式会社が国内ローコード/ノーコード/Generative AI開発テクノロジー市場の予測を発表した。2023年の市場規模は1225億円で、年間平均成長率17.1%で拡大し2028年には2701億円規模になる見込み。生成AIによる開発支援機能の進化が著しく、開発者体験に変革をもたらしている。

IDC Japanが国内ローコード/ノーコード/生成AI開発市場の予測を発表、2028年に27...

IDC Japan株式会社が国内ローコード/ノーコード/Generative AI開発テクノロジー市場の予測を発表した。2023年の市場規模は1225億円で、年間平均成長率17.1%で拡大し2028年には2701億円規模になる見込み。生成AIによる開発支援機能の進化が著しく、開発者体験に変革をもたらしている。

【CVE-2024-11648】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクに警戒

【CVE-2024-11648】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、管理者用ディレクトリのadd-customer.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で深刻度「HIGH」と評価されており、認証なしでリモートから攻撃可能。すでに攻撃コードも公開されている状況で、早急な対応が求められている。

【CVE-2024-11648】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、管理者用ディレクトリのadd-customer.phpファイルにSQLインジェクションの脆弱性が発見された。CVSSスコア7.3で深刻度「HIGH」と評価されており、認証なしでリモートから攻撃可能。すでに攻撃コードも公開されている状況で、早急な対応が求められている。

【CVE-2024-11646】Beauty Parlour Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11646】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、edit-services.phpファイルのsername引数に関連する重大な脆弱性が発見された。CVE-2024-11646として識別されるこの脆弱性は、リモートからのSQLインジェクション攻撃を可能にし、CVSS 3.1で7.3(HIGH)の深刻度が評価されている。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11646】Beauty Parlour Management Syste...

1000 Projects社のBeauty Parlour Management System 1.0において、edit-services.phpファイルのsername引数に関連する重大な脆弱性が発見された。CVE-2024-11646として識別されるこの脆弱性は、リモートからのSQLインジェクション攻撃を可能にし、CVSS 3.1で7.3(HIGH)の深刻度が評価されている。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11632】Simple Car Rental Systemに深刻な脆弱性、複数パラメータでSQLインジェクションが可能に

【CVE-2024-11632】Simple Car Rental Systemに深刻な脆弱性...

code-projects Simple Car Rental System 1.0のbook_car.phpファイルで重大な脆弱性が発見された。SQLインジェクションの脆弱性は複数のパラメータに影響を及ぼし、CVSSスコア7.3のHigh評価。特権不要でリモートからの攻撃が可能であり、既に攻撃コードも公開されているため早急な対応が必要とされている。

【CVE-2024-11632】Simple Car Rental Systemに深刻な脆弱性...

code-projects Simple Car Rental System 1.0のbook_car.phpファイルで重大な脆弱性が発見された。SQLインジェクションの脆弱性は複数のパラメータに影響を及ぼし、CVSSスコア7.3のHigh評価。特権不要でリモートからの攻撃が可能であり、既に攻撃コードも公開されているため早急な対応が必要とされている。

【CVE-2024-11631】itsourcecode Tailoring Management System 1.0にSQLインジェクションの脆弱性、リモート攻撃が可能な状態に

【CVE-2024-11631】itsourcecode Tailoring Manageme...

2024年11月23日、itsourcecode社のTailoring Management System 1.0においてSQLインジェクションの脆弱性が発見された。expedit.phpファイルのexpcatパラメータに影響し、リモートからの攻撃が可能な状態となっている。CVSSスコアは4.0で5.3(MEDIUM)、3.1および3.0で6.3(MEDIUM)と評価され、既に公開されており早急な対応が必要である。

【CVE-2024-11631】itsourcecode Tailoring Manageme...

2024年11月23日、itsourcecode社のTailoring Management System 1.0においてSQLインジェクションの脆弱性が発見された。expedit.phpファイルのexpcatパラメータに影響し、リモートからの攻撃が可能な状態となっている。CVSSスコアは4.0で5.3(MEDIUM)、3.1および3.0で6.3(MEDIUM)と評価され、既に公開されており早急な対応が必要である。

【CVE-2024-9261】IrfanView 4.66 64bit版にスタックベースのバッファオーバーフローの脆弱性、任意コード実行のリスクに警戒

【CVE-2024-9261】IrfanView 4.66 64bit版にスタックベースのバッ...

Zero Day Initiativeが2024年11月22日に、IrfanView 4.66 64bit版においてSIDファイル解析機能に関する重大な脆弱性を公開した。この脆弱性はスタックベースのバッファオーバーフローを引き起こし、攻撃者による任意のコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性として評価されており、ユーザーの操作を介した攻撃シナリオが想定される。

【CVE-2024-9261】IrfanView 4.66 64bit版にスタックベースのバッ...

Zero Day Initiativeが2024年11月22日に、IrfanView 4.66 64bit版においてSIDファイル解析機能に関する重大な脆弱性を公開した。この脆弱性はスタックベースのバッファオーバーフローを引き起こし、攻撃者による任意のコード実行を可能にする。CVSSスコア7.8の高リスク脆弱性として評価されており、ユーザーの操作を介した攻撃シナリオが想定される。

【CVE-2024-11538】IrfanView 4.67.0.0でDXFファイル解析の脆弱性が発見、リモートコード実行の危険性

【CVE-2024-11538】IrfanView 4.67.0.0でDXFファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0におけるDXFファイル解析の脆弱性を報告した。この脆弱性はメモリ破損を引き起こし、リモートコード実行を可能にする危険性がある。CVSS v3.0で7.8のHighスコアが付与され、ユーザーの操作を必要とするものの、深刻な影響をもたらす可能性がある。開発者による早急な対応が求められている。

【CVE-2024-11538】IrfanView 4.67.0.0でDXFファイル解析の脆弱...

Zero Day InitiativeがIrfanView 4.67.0.0におけるDXFファイル解析の脆弱性を報告した。この脆弱性はメモリ破損を引き起こし、リモートコード実行を可能にする危険性がある。CVSS v3.0で7.8のHighスコアが付与され、ユーザーの操作を必要とするものの、深刻な影響をもたらす可能性がある。開発者による早急な対応が求められている。

【CVE-2024-11588】AVL-DiTEST-DiagDevのlibdoip 1.0.0でNULLポインタ参照の脆弱性、DoIP通信に影響の可能性

【CVE-2024-11588】AVL-DiTEST-DiagDevのlibdoip 1.0....

AVL-DiTEST-DiagDevのlibdoip 1.0.0において、DoIPConnection::reactOnReceivedTcpMessage関数にnull pointer dereferenceの脆弱性が発見された。CVE-2024-11588として識別されるこの脆弱性は、CVSSv4.0で5.1(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-476およびCWE-404に分類される重要な脆弱性だ。

【CVE-2024-11588】AVL-DiTEST-DiagDevのlibdoip 1.0....

AVL-DiTEST-DiagDevのlibdoip 1.0.0において、DoIPConnection::reactOnReceivedTcpMessage関数にnull pointer dereferenceの脆弱性が発見された。CVE-2024-11588として識別されるこの脆弱性は、CVSSv4.0で5.1(MEDIUM)と評価され、攻撃条件の複雑さは低く、特権レベルは必要だがユーザーインタラクションは不要とされている。CWE-476およびCWE-404に分類される重要な脆弱性だ。

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が発見、リモート攻撃の可能性も

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が...

2024年11月21日、idcCMS 1.60の「/inc/classProvCity.php」ファイルにおいて、GetCityOptionJs関数の引数idNameに関連するクロスサイトスクリプティングの脆弱性が公開された。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、リモートからの攻撃が可能な状態。エクスプロイトコードも公開されており、早急な対応が必要とされている。

【CVE-2024-11587】idcCMS 1.60でクロスサイトスクリプティングの脆弱性が...

2024年11月21日、idcCMS 1.60の「/inc/classProvCity.php」ファイルにおいて、GetCityOptionJs関数の引数idNameに関連するクロスサイトスクリプティングの脆弱性が公開された。CVSSスコアは最新のバージョン4.0で5.3(MEDIUM)を記録しており、リモートからの攻撃が可能な状態。エクスプロイトコードも公開されており、早急な対応が必要とされている。

【CVE-2024-53066】LinuxカーネルのKMSAN警告、decode_getfattr_attrs関数の未初期化変数を修正

【CVE-2024-53066】LinuxカーネルのKMSAN警告、decode_getfat...

kernel.orgが2024年11月19日に公開したLinuxカーネルの脆弱性CVE-2024-53066は、decode_getfattr_attrs関数でのKMSAN警告に関するものだ。この問題はnfs_fattr_initでfattr->mdsthresholdが初期化されていないことが原因で発生しており、decode_attr_mdsthreshold関数呼び出し時に警告が生成されていた。バージョン3.5以降のカーネルで影響を受け、複数のパッチによる修正が実施された。

【CVE-2024-53066】LinuxカーネルのKMSAN警告、decode_getfat...

kernel.orgが2024年11月19日に公開したLinuxカーネルの脆弱性CVE-2024-53066は、decode_getfattr_attrs関数でのKMSAN警告に関するものだ。この問題はnfs_fattr_initでfattr->mdsthresholdが初期化されていないことが原因で発生しており、decode_attr_mdsthreshold関数呼び出し時に警告が生成されていた。バージョン3.5以降のカーネルで影響を受け、複数のパッチによる修正が実施された。

Linuxカーネルdvbdevのメモリアクセス脆弱性、明示的なガード追加による対策を実施

Linuxカーネルdvbdevのメモリアクセス脆弱性、明示的なガード追加による対策を実施

kernel.orgはLinuxカーネルのdvbdevコンポーネントに存在するメモリアクセスの脆弱性対策として、明示的なガードを追加するセキュリティアップデートを公開した。この脆弱性はCONFIG_DVB_DYNAMIC_MINORSの設定状態による動作の違いと境界チェックの不足に起因しており、特定のデバイスで予期せぬメモリアクセスが発生する可能性があった。

Linuxカーネルdvbdevのメモリアクセス脆弱性、明示的なガード追加による対策を実施

kernel.orgはLinuxカーネルのdvbdevコンポーネントに存在するメモリアクセスの脆弱性対策として、明示的なガードを追加するセキュリティアップデートを公開した。この脆弱性はCONFIG_DVB_DYNAMIC_MINORSの設定状態による動作の違いと境界チェックの不足に起因しており、特定のデバイスで予期せぬメモリアクセスが発生する可能性があった。

【CVE-2024-53057】Linuxカーネルのqdisc処理に重大な脆弱性、UAFの問題でセキュリティリスクが発生

【CVE-2024-53057】Linuxカーネルのqdisc処理に重大な脆弱性、UAFの問題...

Linuxカーネルにおいて、qdisc_tree_reduce_backlogの処理に関する重要な脆弱性が発見された。この問題はメジャーハンドルffff:を持つQdiscsの処理に関連しており、特にDRRのようなアクティブクラスリストを維持するqdiscsにおいて、深刻なUAF(Use-After-Free)の問題を引き起こす可能性がある。複数のバージョンで修正がリリースされ、早急な更新が推奨される。

【CVE-2024-53057】Linuxカーネルのqdisc処理に重大な脆弱性、UAFの問題...

Linuxカーネルにおいて、qdisc_tree_reduce_backlogの処理に関する重要な脆弱性が発見された。この問題はメジャーハンドルffff:を持つQdiscsの処理に関連しており、特にDRRのようなアクティブクラスリストを維持するqdiscsにおいて、深刻なUAF(Use-After-Free)の問題を引き起こす可能性がある。複数のバージョンで修正がリリースされ、早急な更新が推奨される。

【CVE-2024-53056】Linux kernelのmediatekドライバーでNULLポインタ参照の脆弱性が発見され修正完了

【CVE-2024-53056】Linux kernelのmediatekドライバーでNULL...

Linux kernelの開発チームが、mediatekドライバーにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。この脆弱性はCVE-2024-53056として識別され、mtk_crtc_create関数内でmbox_request_channelの呼び出しが失敗した際に発生する問題であった。Linux version 5.17から6.11.7の範囲で影響を受け、適切なNULLチェックの追加により修正が完了している。

【CVE-2024-53056】Linux kernelのmediatekドライバーでNULL...

Linux kernelの開発チームが、mediatekドライバーにおけるNULLポインタ参照の脆弱性を修正するアップデートを公開した。この脆弱性はCVE-2024-53056として識別され、mtk_crtc_create関数内でmbox_request_channelの呼び出しが失敗した際に発生する問題であった。Linux version 5.17から6.11.7の範囲で影響を受け、適切なNULLチェックの追加により修正が完了している。

【CVE-2024-53053】LinuxカーネルでUFS CoreのRTCアップデート時のデッドロック問題が修正、システムの安定性向上へ

【CVE-2024-53053】LinuxカーネルでUFS CoreのRTCアップデート時のデ...

LinuxカーネルのUFS CoreにおいてRTCアップデート時にデッドロックが発生する脆弱性【CVE-2024-53053】が発見され修正された。この問題はufshcd_rtc_workがufshcd_rpm_put_sync()を呼び出した際にpmのusage_countが0の場合に発生するもので、ufshcd_rpm_put()への置き換えによって解決。影響を受けるバージョン6.8以降のシステムへのアップデートが推奨される。

【CVE-2024-53053】LinuxカーネルでUFS CoreのRTCアップデート時のデ...

LinuxカーネルのUFS CoreにおいてRTCアップデート時にデッドロックが発生する脆弱性【CVE-2024-53053】が発見され修正された。この問題はufshcd_rtc_workがufshcd_rpm_put_sync()を呼び出した際にpmのusage_countが0の場合に発生するもので、ufshcd_rpm_put()への置き換えによって解決。影響を受けるバージョン6.8以降のシステムへのアップデートが推奨される。

Linux kernelのio_uringに脆弱性、フリーズ処理時のデッドロックリスクが判明

Linux kernelのio_uringに脆弱性、フリーズ処理時のデッドロックリスクが判明

kernel.orgが2024年11月19日に公開したLinux kernelのio_uring脆弱性【CVE-2024-53052】は、書き込み開始時のsuper block rwsem処理に起因するデッドロックの危険性を持つ。フリーズ処理との競合によってシステムが応答不能に陥る可能性があるが、CAP_SYS_ADMIN権限が必要なため一般ユーザーへの影響は限定的である。

Linux kernelのio_uringに脆弱性、フリーズ処理時のデッドロックリスクが判明

kernel.orgが2024年11月19日に公開したLinux kernelのio_uring脆弱性【CVE-2024-53052】は、書き込み開始時のsuper block rwsem処理に起因するデッドロックの危険性を持つ。フリーズ処理との競合によってシステムが応答不能に陥る可能性があるが、CAP_SYS_ADMIN権限が必要なため一般ユーザーへの影響は限定的である。

【CVE-2024-53049】Linuxカーネルslub_kunitの警告問題が修正、システムの安定性向上に貢献

【CVE-2024-53049】Linuxカーネルslub_kunitの警告問題が修正、システ...

kernel.orgは2024年11月19日、Linuxカーネルのslub/kunitにおける警告の修正を公開した。__kmalloc_cache_noprofの直接使用によるalloc_tag未割り当ての問題に対し、専用のalloc_hookレイヤーを実装することで解決。影響を受けるバージョンは6.11から6.11.6までで、6.11.7以降では修正済み。この更新によりシステムの安定性が向上している。

【CVE-2024-53049】Linuxカーネルslub_kunitの警告問題が修正、システ...

kernel.orgは2024年11月19日、Linuxカーネルのslub/kunitにおける警告の修正を公開した。__kmalloc_cache_noprofの直接使用によるalloc_tag未割り当ての問題に対し、専用のalloc_hookレイヤーを実装することで解決。影響を受けるバージョンは6.11から6.11.6までで、6.11.7以降では修正済み。この更新によりシステムの安定性が向上している。

【CVE-2024-53043】Linuxカーネルのmctp i2cモジュールにNULLアドレス処理の脆弱性、セキュリティ更新で対処

【CVE-2024-53043】Linuxカーネルのmctp i2cモジュールにNULLアドレ...

Linuxカーネルのmctp i2cモジュールにおいて、近隣テーブルエントリが存在しない場合のNULLアドレス処理に関する脆弱性が発見された。この問題は【CVE-2024-53043】として特定され、Linux 5.18以降の特定バージョンに影響を与える。最新のセキュリティアップデートでは、パケット破棄処理の実装やアドレスチェックの強化により、潜在的なセキュリティリスクの軽減が図られている。

【CVE-2024-53043】Linuxカーネルのmctp i2cモジュールにNULLアドレ...

Linuxカーネルのmctp i2cモジュールにおいて、近隣テーブルエントリが存在しない場合のNULLアドレス処理に関する脆弱性が発見された。この問題は【CVE-2024-53043】として特定され、Linux 5.18以降の特定バージョンに影響を与える。最新のセキュリティアップデートでは、パケット破棄処理の実装やアドレスチェックの強化により、潜在的なセキュリティリスクの軽減が図られている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリプト実行が可能に

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-52392】WordPress W3SPEEDSTERプラグインにCSRF脆弱性、バージョン7.25以前のユーザーに影響

【CVE-2024-52392】WordPress W3SPEEDSTERプラグインにCSRF...

Patchstack OÜはWordPress用プラグインW3SPEEDSTERにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見した。バージョン7.25以前が影響を受け、CVSSスコア6.3のMedium評価とされている。攻撃の複雑さは低いものの利用者の関与が必要で、情報漏洩や改ざんのリスクがある。バージョン7.27以降で修正されているため、影響を受けるバージョンを使用している場合は最新版への更新が推奨される。

【CVE-2024-52392】WordPress W3SPEEDSTERプラグインにCSRF...

Patchstack OÜはWordPress用プラグインW3SPEEDSTERにおいてクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見した。バージョン7.25以前が影響を受け、CVSSスコア6.3のMedium評価とされている。攻撃の複雑さは低いものの利用者の関与が必要で、情報漏洩や改ざんのリスクがある。バージョン7.27以降で修正されているため、影響を受けるバージョンを使用している場合は最新版への更新が推奨される。

【CVE-2024-51669】WordPressプラグインDynamic Widgetsにクロスサイトリクエストフォージェリの脆弱性、バージョン1.6.5で修正完了

【CVE-2024-51669】WordPressプラグインDynamic Widgetsにク...

WordPressプラグインDynamic Widgetsのバージョン1.6.4以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2024-51669として識別されるこの脆弱性は、CVSS v3.1で基本スコア4.3のミディアムレベルと評価されている。Vivwebs社は脆弱性の修正版としてバージョン1.6.5をリリースしており、影響を受ける可能性のあるユーザーには最新バージョンへのアップデートが推奨されている。

【CVE-2024-51669】WordPressプラグインDynamic Widgetsにク...

WordPressプラグインDynamic Widgetsのバージョン1.6.4以前に、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が発見された。CVE-2024-51669として識別されるこの脆弱性は、CVSS v3.1で基本スコア4.3のミディアムレベルと評価されている。Vivwebs社は脆弱性の修正版としてバージョン1.6.5をリリースしており、影響を受ける可能性のあるユーザーには最新バージョンへのアップデートが推奨されている。