Tech Insights
【CVE-2024-45477】Apache NiFiのParameter Context機能...
Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。
【CVE-2024-45477】Apache NiFiのParameter Context機能...
Apache Software FoundationはApache NiFi 1.10.0から1.27.0および2.0.0-M1から2.0.0-M3において、Parameter Contextの設定に関する重大な脆弱性を公開した。認証済みユーザーによる任意のJavaScriptコード実行が可能となるクロスサイトスクリプティングの脆弱性が確認され、Apache NiFi 1.28.0または2.0.0-M4以降へのアップグレードが推奨されている。
【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...
Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。
【CVE-2024-46872】Mattermostの複数バージョンにCSRF脆弱性、Play...
Mattermost社が複数バージョンに影響を与えるセキュリティ脆弱性を公開した。Playbooks機能においてフロントエンドでのユーザー入力の検証が不適切であり、クライアントサイドパストラバーサルによってCSRFを引き起こす可能性が判明。影響を受けるバージョンは9.10.x、9.11.x、9.5.x系列の特定バージョンで、CVSSスコアは4.6(MEDIUM)と評価されている。早急なアップデートが推奨される。
【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...
CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。
【CVE-2024-51567】CyberPanelに認証回避の脆弱性、PSAUXによる大規模...
CyberPanelのデータベース関連機能で認証回避とコマンド実行が可能な重大な脆弱性が発見された。この脆弱性はPOSTリクエスト用のsecMiddlewareを迂回し、statusfileプロパティでシェルメタ文字を使用することで攻撃が可能となる。PSAUXによる攻撃では22,000以上のインスタンスが標的となり、バージョン2.3.6以前と未パッチの2.3.7が影響を受ける。
【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...
WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。
【CVE-2024-43974】WordPressテーマReviveNews 1.0.2に認可...
WordPressテーマReviveNewsにおいて重大な認可制御の脆弱性が発見された。CVE-2024-43974として識別されるこの脆弱性は、バージョン1.0.2以前のすべてのバージョンに影響を与え、CVSS v3.1で6.5(中程度)と評価されている。攻撃者は認証なしでシステムに対して攻撃を実行できる可能性があり、早急なアップデートが推奨される。
LGエレクトロニクスが34型曲面ウルトラワイドスマートモニターを発表、webOS搭載で単体での...
LGエレクトロニクス・ジャパンはwebOS搭載の34型曲面ウルトラワイドモニター「34SR65QC-W」「34SR60QC-B」を発表した。3440×1440ドットの高解像度ディスプレイに加え、HDR10対応とsRGB 99%カバーで高い色再現性を実現。曲率1800Rのスクリーンで没入感のある映像体験を提供する。2024年11月下旬より順次発売予定だ。
LGエレクトロニクスが34型曲面ウルトラワイドスマートモニターを発表、webOS搭載で単体での...
LGエレクトロニクス・ジャパンはwebOS搭載の34型曲面ウルトラワイドモニター「34SR65QC-W」「34SR60QC-B」を発表した。3440×1440ドットの高解像度ディスプレイに加え、HDR10対応とsRGB 99%カバーで高い色再現性を実現。曲率1800Rのスクリーンで没入感のある映像体験を提供する。2024年11月下旬より順次発売予定だ。
ウエルシアドットコムで個人情報漏えいのおそれ、サポート詐欺による不正アクセスで約4万件の顧客情...
ウエルシア薬局株式会社が運営する通販サイト「ウエルシアドットコム」で従業員がサポート詐欺により遠隔操作ソフトをインストールしたことで不正アクセスが発生。約4万件の顧客情報と約900件の従業員情報が漏えいした可能性がある。現時点で実際の漏えいや被害は確認されていないが、外部調査会社による詳細な調査を継続中である。
ウエルシアドットコムで個人情報漏えいのおそれ、サポート詐欺による不正アクセスで約4万件の顧客情...
ウエルシア薬局株式会社が運営する通販サイト「ウエルシアドットコム」で従業員がサポート詐欺により遠隔操作ソフトをインストールしたことで不正アクセスが発生。約4万件の顧客情報と約900件の従業員情報が漏えいした可能性がある。現時点で実際の漏えいや被害は確認されていないが、外部調査会社による詳細な調査を継続中である。
サンワサプライが表計算ソフト専用の静音テンキー3製品を発売、Excel作業の効率化と静音性を両立
サンワサプライ株式会社は表計算ソフト向けの静音テンキー3製品を発売した。Bluetooth接続、2.4Gワイヤレス接続、USB接続の3モデルを展開し、Excelでよく使用するショートカットキーを搭載。19mmのキーピッチとパンタグラフ方式のキースイッチを採用し、快適な入力環境と静音性を実現している。市場想定価格は5940円から9020円。
サンワサプライが表計算ソフト専用の静音テンキー3製品を発売、Excel作業の効率化と静音性を両立
サンワサプライ株式会社は表計算ソフト向けの静音テンキー3製品を発売した。Bluetooth接続、2.4Gワイヤレス接続、USB接続の3モデルを展開し、Excelでよく使用するショートカットキーを搭載。19mmのキーピッチとパンタグラフ方式のキースイッチを採用し、快適な入力環境と静音性を実現している。市場想定価格は5940円から9020円。
TSS LINKが情報漏えい対策ソフト コプリガード Ver.7.0を発表、管理外デバイスから...
株式会社ティエスエスリンクがサーバーやPCから共有ファイルのコピーを禁止する情報漏えい対策ソフトウェア「コプリガード Ver.7.0」を2024年11月11日に販売開始。新バージョンでは管理ログの自動収集機能が追加され、新製品の共有フォルダー保護拡張オプションによってコプリガード管理外デバイスからの共有フォルダーへのアクセスを制限できるようになった。
TSS LINKが情報漏えい対策ソフト コプリガード Ver.7.0を発表、管理外デバイスから...
株式会社ティエスエスリンクがサーバーやPCから共有ファイルのコピーを禁止する情報漏えい対策ソフトウェア「コプリガード Ver.7.0」を2024年11月11日に販売開始。新バージョンでは管理ログの自動収集機能が追加され、新製品の共有フォルダー保護拡張オプションによってコプリガード管理外デバイスからの共有フォルダーへのアクセスを制限できるようになった。
日本ワムネットがGigaCC ASPのWeb API機能を提供開始、業務システムとの連携が容易に
日本ワムネットは純国産クラウドストレージGigaCC ASPにおいて、業務システムやWebサービスとの直接連携が可能なWeb API機能の提供を2024年11月11日より開始した。Web API機能は月額30,000円で提供され、先着60社限定で無償提供するキャンペーンを実施している。業務システムからの自動アップロードや承認フロー連携、チャットツール連携などが可能になり、システム間の連携と業務効率化を実現する。
日本ワムネットがGigaCC ASPのWeb API機能を提供開始、業務システムとの連携が容易に
日本ワムネットは純国産クラウドストレージGigaCC ASPにおいて、業務システムやWebサービスとの直接連携が可能なWeb API機能の提供を2024年11月11日より開始した。Web API機能は月額30,000円で提供され、先着60社限定で無償提供するキャンペーンを実施している。業務システムからの自動アップロードや承認フロー連携、チャットツール連携などが可能になり、システム間の連携と業務効率化を実現する。
東芝デジタルソリューションズがSATLYS映像解析AIのNVIDIA Jetson対応版を提供...
東芝デジタルソリューションズは映像解析の学習済みAIモデル「SATLYS映像解析AI」において、NVIDIA Jetson対応版の提供を開始した。人物/物体検出・追跡、カメラ間追跡、顔認識、人物属性推定の4種類のAIモデルを提供し、エッジデバイス内での高度な映像解析処理を実現。リアルタイム性やプライバシーへの配慮が必要なアプリケーション開発を迅速かつ容易に行うことが可能になる。
東芝デジタルソリューションズがSATLYS映像解析AIのNVIDIA Jetson対応版を提供...
東芝デジタルソリューションズは映像解析の学習済みAIモデル「SATLYS映像解析AI」において、NVIDIA Jetson対応版の提供を開始した。人物/物体検出・追跡、カメラ間追跡、顔認識、人物属性推定の4種類のAIモデルを提供し、エッジデバイス内での高度な映像解析処理を実現。リアルタイム性やプライバシーへの配慮が必要なアプリケーション開発を迅速かつ容易に行うことが可能になる。
TwoFiveがなりすましメール対策実態調査を発表、日経225企業のDMARC導入率が92パー...
株式会社TwoFiveが日経225企業のなりすましメール対策実態調査結果を発表。DMARC導入率は92.0%で前年比24.0ポイント増、強制力のあるポリシー適用組織も50.7%まで上昇。受信側DMARCサービスは664件と倍増し、送受信双方での対策が進展。意図しないメール送信の監視と処理状況の把握に対する意識の高まりが顕著となった。
TwoFiveがなりすましメール対策実態調査を発表、日経225企業のDMARC導入率が92パー...
株式会社TwoFiveが日経225企業のなりすましメール対策実態調査結果を発表。DMARC導入率は92.0%で前年比24.0ポイント増、強制力のあるポリシー適用組織も50.7%まで上昇。受信側DMARCサービスは664件と倍増し、送受信双方での対策が進展。意図しないメール送信の監視と処理状況の把握に対する意識の高まりが顕著となった。
【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...
Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。
【CVE-2024-43982】WordPress用プラグインLogin As Usersにア...
Geek Code LabのWordPress用プラグインLogin As Usersにおいて、バージョン1.4.3以前に深刻な脆弱性が発見された。CVE-2024-43982として識別されるこの問題は、アクセス制御の設定が不適切であることによってアカウント乗っ取りの可能性があり、CVSSスコア8.8と高い深刻度を示している。対策としてバージョン1.4.4へのアップデートが提供されている。
【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...
CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。
【CVE-2024-43980】WordPressテーマFotaWP 1.4.1に権限管理の脆...
CozyThemes社のWordPressテーマFotaWP 1.4.1以前のバージョンにおいて権限管理の脆弱性が発見された。CVE-2024-43980として識別されたこの問題は、アクセス制御の設定が不適切であり、CVSSスコア6.5(MEDIUM)と評価されている。Patchstack Allianceのメンバーによって発見され、バージョン1.4.2で修正された本脆弱性は、不正アクセスのリスクを抱えている。
【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...
Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。
【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...
Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。
【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...
WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。
【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...
WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。
【CVE-2024-50116】Linux kernelのnilfs2バグ修正リリース、ファイ...
Linux kernelコミュニティが重要なセキュリティアップデートを実施し、nilfs2ファイルシステムのバッファー遅延フラグに関するバグを修正した。CVE-2024-50116として識別されたこの問題は、破損したファイルシステムイメージの読み取り後にread-onlyモードへの移行時に発生する可能性があり、submit_bh_wbcのBUG_ONチェックの失敗を引き起こしていた。
【CVE-2024-50116】Linux kernelのnilfs2バグ修正リリース、ファイ...
Linux kernelコミュニティが重要なセキュリティアップデートを実施し、nilfs2ファイルシステムのバッファー遅延フラグに関するバグを修正した。CVE-2024-50116として識別されたこの問題は、破損したファイルシステムイメージの読み取り後にread-onlyモードへの移行時に発生する可能性があり、submit_bh_wbcのBUG_ONチェックの失敗を引き起こしていた。
【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...
Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。
【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...
Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。
【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...
Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。
【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...
Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。
【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...
Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。
【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...
Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。
【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...
Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。
【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...
Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。
【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...
Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。
【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...
Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。
【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...
kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。
【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...
kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。
【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...
Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。
【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...
Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。
【CVE-2024-9579】Poly Video Conference Devicesにリモ...
HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。
【CVE-2024-9579】Poly Video Conference Devicesにリモ...
HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。
【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...
Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。
【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...
Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。
【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...
Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。
【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...
Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。
【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...
LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。
【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...
LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。
【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...
Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。
【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...
Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。
【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...
Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。
【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...
Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。
【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...
Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。
【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...
Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。