Tech Insights

【CVE-2024-54266】WordPress用プラグインImageRecycle pdf & image compressionにXSS脆弱性、バージョン3.1.16以前が影響

【CVE-2024-54266】WordPress用プラグインImageRecycle pdf...

ImageRecycle pdf & image compressionのバージョン3.1.16以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、ネットワークからの攻撃が可能で攻撃の複雑さは低い。対策としてバージョン3.1.17へのアップデートが提供されており、Patchstack Allianceのthiennv氏によって発見された重大な脆弱性となっている。

【CVE-2024-54266】WordPress用プラグインImageRecycle pdf...

ImageRecycle pdf & image compressionのバージョン3.1.16以前に反射型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア7.1のハイリスクと評価されており、ネットワークからの攻撃が可能で攻撃の複雑さは低い。対策としてバージョン3.1.17へのアップデートが提供されており、Patchstack Allianceのthiennv氏によって発見された重大な脆弱性となっている。

【CVE-2024-54382】WordPress用Bold Page Builder 5.1.5にパストラバーサルの脆弱性、早急なアップデートの実施を推奨

【CVE-2024-54382】WordPress用Bold Page Builder 5.1...

BoldThemes社のWordPressプラグイン「Bold Page Builder」のバージョン5.1.5以前に、深刻なパストラバーサル脆弱性が発見された。CVSSスコア4.9のミディアムレベルの脆弱性として評価され、攻撃条件の複雑さは低いとされている。Patchstack Allianceの研究者により発見され、バージョン5.1.6以降で修正済み。影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2024-54382】WordPress用Bold Page Builder 5.1...

BoldThemes社のWordPressプラグイン「Bold Page Builder」のバージョン5.1.5以前に、深刻なパストラバーサル脆弱性が発見された。CVSSスコア4.9のミディアムレベルの脆弱性として評価され、攻撃条件の複雑さは低いとされている。Patchstack Allianceの研究者により発見され、バージョン5.1.6以降で修正済み。影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2024-56349】JetBrains TeamCityに不適切なアクセス制御の脆弱性、ビルドログの改ざんリスクに対処が必要

【CVE-2024-56349】JetBrains TeamCityに不適切なアクセス制御の脆...

JetBrains社は2024年12月20日、TeamCityの2024.12より前のバージョンにおいて不適切なアクセス制御の脆弱性を公開した。この脆弱性によって未認証ユーザーがビルドログを改ざん可能な状態となっており、CVSSスコア5.3のミディアムレベルと評価されている。JetBrains社は対策としてTeamCity 2024.12をリリースし、アクセス制御機能を強化している。

【CVE-2024-56349】JetBrains TeamCityに不適切なアクセス制御の脆...

JetBrains社は2024年12月20日、TeamCityの2024.12より前のバージョンにおいて不適切なアクセス制御の脆弱性を公開した。この脆弱性によって未認証ユーザーがビルドログを改ざん可能な状態となっており、CVSSスコア5.3のミディアムレベルと評価されている。JetBrains社は対策としてTeamCity 2024.12をリリースし、アクセス制御機能を強化している。

【CVE-2024-56352】JetBrains TeamCity 2024.12未満に格納型XSS脆弱性、エージェント詳細ページの画像名が攻撃経路に

【CVE-2024-56352】JetBrains TeamCity 2024.12未満に格納...

JetBrains社のCI/CDツールTeamCityにおいて、2024.12より前のバージョンでエージェント詳細ページの画像名を介した格納型XSSの脆弱性が発見された。CVE-2024-56352として識別されたこの脆弱性は、CVSSスコア4.6(MEDIUM)と評価され、攻撃には低い特権レベルとユーザーの関与が必要。既にTeamCity 2024.12で修正済みであり、影響を受けるバージョンのユーザーには更新が推奨される。

【CVE-2024-56352】JetBrains TeamCity 2024.12未満に格納...

JetBrains社のCI/CDツールTeamCityにおいて、2024.12より前のバージョンでエージェント詳細ページの画像名を介した格納型XSSの脆弱性が発見された。CVE-2024-56352として識別されたこの脆弱性は、CVSSスコア4.6(MEDIUM)と評価され、攻撃には低い特権レベルとユーザーの関与が必要。既にTeamCity 2024.12で修正済みであり、影響を受けるバージョンのユーザーには更新が推奨される。

【CVE-2024-56356】JetBrains TeamCityにXXE脆弱性、2024.12で修正されセキュリティが向上

【CVE-2024-56356】JetBrains TeamCityにXXE脆弱性、2024....

JetBrains社は2024年12月20日、TeamCity 2024.12より前のバージョンにおいてXMLParser設定の不備によるXXE攻撃の可能性がある脆弱性を公開した。CVSSスコアは5.9でミディアムレベルの深刻度と評価されており、TeamCity 2024.12で修正が実施された。システム管理者には早急な対応が推奨されている。

【CVE-2024-56356】JetBrains TeamCityにXXE脆弱性、2024....

JetBrains社は2024年12月20日、TeamCity 2024.12より前のバージョンにおいてXMLParser設定の不備によるXXE攻撃の可能性がある脆弱性を公開した。CVSSスコアは5.9でミディアムレベルの深刻度と評価されており、TeamCity 2024.12で修正が実施された。システム管理者には早急な対応が推奨されている。

【CVE-2024-56652】LinuxカーネルのXEドライバにuse-after-free脆弱性が発見、レジスタプール実装の不具合により深刻な影響の可能性

【CVE-2024-56652】LinuxカーネルのXEドライバにuse-after-free...

2024年12月27日、LinuxカーネルのXEドライバにおいて重大な脆弱性が発見された。この脆弱性はkrealloc関数によるメモリ再配置時にxarray内のエントリが無効となり、use-after-freeが発生する可能性がある。影響を受けるバージョンはLinux 6.8から6.12.5までで、6.12.6以降および6.13-rc3では修正が適用されている。開発チームはコードの単純化による対策を実施し、将来的な改善を検討している。

【CVE-2024-56652】LinuxカーネルのXEドライバにuse-after-free...

2024年12月27日、LinuxカーネルのXEドライバにおいて重大な脆弱性が発見された。この脆弱性はkrealloc関数によるメモリ再配置時にxarray内のエントリが無効となり、use-after-freeが発生する可能性がある。影響を受けるバージョンはLinux 6.8から6.12.5までで、6.12.6以降および6.13-rc3では修正が適用されている。開発チームはコードの単純化による対策を実施し、将来的な改善を検討している。

KESが分割式ワイヤレスキーボードWaffreeを発売、プロフェッショナル向けの機能性と快適性を追求

KESが分割式ワイヤレスキーボードWaffreeを発売、プロフェッショナル向けの機能性と快適性を追求

株式会社金沢エンジニアリングシステムズは、「分割式×ワイヤレス×JIS配列」という特徴を持つハイエンドキーボードWaffreeを2025年1月10日より発売開始した。アルミ削り出しの筐体とガスケットマウント構造を採用し、Windows及びmacOSに対応。WaffreeToolによる全キーカスタマイズやBluetooth接続での5台までのマルチペアリングに対応し、プロフェッショナルな作業環境を実現する。

KESが分割式ワイヤレスキーボードWaffreeを発売、プロフェッショナル向けの機能性と快適性を追求

株式会社金沢エンジニアリングシステムズは、「分割式×ワイヤレス×JIS配列」という特徴を持つハイエンドキーボードWaffreeを2025年1月10日より発売開始した。アルミ削り出しの筐体とガスケットマウント構造を採用し、Windows及びmacOSに対応。WaffreeToolによる全キーカスタマイズやBluetooth接続での5台までのマルチペアリングに対応し、プロフェッショナルな作業環境を実現する。

VISH株式会社が横川学童保育所に学童保育支援システムを導入、1週間かかっていた請求業務を大幅に効率化

VISH株式会社が横川学童保育所に学童保育支援システムを導入、1週間かかっていた請求業務を大幅...

愛知県半田市の横川学童保育所がVISH株式会社の学童保育支援システムを2023年4月に導入し、複雑な請求業務や保護者対応の効率化に成功。タブレットを活用した入退室管理により保護者へのリアルタイム通知が可能になり、子どもの安全確認が迅速化。初期費用0円、月額料金9,900円で導入できる本システムは、学童保育現場の業務改善に大きく貢献している。

VISH株式会社が横川学童保育所に学童保育支援システムを導入、1週間かかっていた請求業務を大幅...

愛知県半田市の横川学童保育所がVISH株式会社の学童保育支援システムを2023年4月に導入し、複雑な請求業務や保護者対応の効率化に成功。タブレットを活用した入退室管理により保護者へのリアルタイム通知が可能になり、子どもの安全確認が迅速化。初期費用0円、月額料金9,900円で導入できる本システムは、学童保育現場の業務改善に大きく貢献している。

システナのAI搭載Canbus.AIがJapan DX Week関西展に出展、業務効率化と顧客満足度向上を促進

システナのAI搭載Canbus.AIがJapan DX Week関西展に出展、業務効率化と顧客...

システナは2025年1月15日から17日までインテックス大阪で開催されるJapan DX Week関西展に出展する。AI搭載の問い合わせ自動化サービスCanbus.AIを中心に、医療機関向けCanbus.Medical、製造業向けCanbus.Factoryなど、業種特化型のソリューションを展示。初期費用40万円、月額20万円からの提供で、業務効率化と顧客満足度向上を実現する。

システナのAI搭載Canbus.AIがJapan DX Week関西展に出展、業務効率化と顧客...

システナは2025年1月15日から17日までインテックス大阪で開催されるJapan DX Week関西展に出展する。AI搭載の問い合わせ自動化サービスCanbus.AIを中心に、医療機関向けCanbus.Medical、製造業向けCanbus.Factoryなど、業種特化型のソリューションを展示。初期費用40万円、月額20万円からの提供で、業務効率化と顧客満足度向上を実現する。

FlashIntelが次世代エージェンティックAIを発表、日本企業のDX推進と雇用創出に向けた新たなビジョンを提示

FlashIntelが次世代エージェンティックAIを発表、日本企業のDX推進と雇用創出に向けた...

FlashIntel創業者の石一氏がEntrepreneurで語ったエージェンティックAIのビジョンが注目を集めている。高度な自律性と適応性を備えたAIソリューションにより、製造業のサプライチェーン効率化や金融業のローン審査高速化など、様々な業界でDXを推進。1,000万人の働き方再構築と新規雇用創出を目指し、日本市場での活動を強化する方針だ。

FlashIntelが次世代エージェンティックAIを発表、日本企業のDX推進と雇用創出に向けた...

FlashIntel創業者の石一氏がEntrepreneurで語ったエージェンティックAIのビジョンが注目を集めている。高度な自律性と適応性を備えたAIソリューションにより、製造業のサプライチェーン効率化や金融業のローン審査高速化など、様々な業界でDXを推進。1,000万人の働き方再構築と新規雇用創出を目指し、日本市場での活動を強化する方針だ。

株式会社ルナソルがLINEでSNS自動投稿アプリpostyを開発、AIによる投稿作業の効率化を実現

株式会社ルナソルがLINEでSNS自動投稿アプリpostyを開発、AIによる投稿作業の効率化を実現

株式会社ルナソルは、LINEに画像を投稿するだけでInstagramとXへの投稿が完了するSNS自動投稿アプリ「posty」をリリースした。AIを活用して投稿者の属性に合わせた投稿文とハッシュタグを自動生成する機能を実装しており、SNS運営作業時間を90%以上削減できる。4種類の利用プランが用意され、最も安価なパーソナルプランは月額4,980円から利用可能となっている。

株式会社ルナソルがLINEでSNS自動投稿アプリpostyを開発、AIによる投稿作業の効率化を実現

株式会社ルナソルは、LINEに画像を投稿するだけでInstagramとXへの投稿が完了するSNS自動投稿アプリ「posty」をリリースした。AIを活用して投稿者の属性に合わせた投稿文とハッシュタグを自動生成する機能を実装しており、SNS運営作業時間を90%以上削減できる。4種類の利用プランが用意され、最も安価なパーソナルプランは月額4,980円から利用可能となっている。

近畿大学が学校法人初のAI活用型落とし物管理システムを導入、LINEでの問い合わせ機能で返却率向上へ

近畿大学が学校法人初のAI活用型落とし物管理システムを導入、LINEでの問い合わせ機能で返却率向上へ

近畿大学は2025年2月3日より、株式会社findが提供する落とし物検索サービス「落とし物クラウドfind」を導入する。月間約600個の落とし物に対応する東大阪キャンパスでは、LINEを活用した24時間問い合わせシステムとAIマッチング技術により、返却率の向上と事務職員の負荷軽減を目指す。学校法人初の導入となる本システムは、教育機関におけるDX推進の新たな試みとなる。

近畿大学が学校法人初のAI活用型落とし物管理システムを導入、LINEでの問い合わせ機能で返却率向上へ

近畿大学は2025年2月3日より、株式会社findが提供する落とし物検索サービス「落とし物クラウドfind」を導入する。月間約600個の落とし物に対応する東大阪キャンパスでは、LINEを活用した24時間問い合わせシステムとAIマッチング技術により、返却率の向上と事務職員の負荷軽減を目指す。学校法人初の導入となる本システムは、教育機関におけるDX推進の新たな試みとなる。

【CVE-2024-56654】Linuxカーネルのhci_eventモジュールにRCUロックの脆弱性、複数バージョンで修正パッチをリリース

【CVE-2024-56654】Linuxカーネルのhci_eventモジュールにRCUロック...

Linuxカーネルプロジェクトは2024年12月27日、hci_eventモジュールにおけるRCUロックの使用に関する重大な脆弱性を修正するセキュリティアップデートを公開した。この問題は主にバージョン6.6に影響を与え、list_for_each_entry_rcu内でのrcu_read_(un)lockの不適切な使用が原因となっている。修正パッチは6.6.67以降、6.12.6以降、6.13-rc3以降のバージョンで提供されており、早急なアップデートが推奨される。

【CVE-2024-56654】Linuxカーネルのhci_eventモジュールにRCUロック...

Linuxカーネルプロジェクトは2024年12月27日、hci_eventモジュールにおけるRCUロックの使用に関する重大な脆弱性を修正するセキュリティアップデートを公開した。この問題は主にバージョン6.6に影響を与え、list_for_each_entry_rcu内でのrcu_read_(un)lockの不適切な使用が原因となっている。修正パッチは6.6.67以降、6.12.6以降、6.13-rc3以降のバージョンで提供されており、早急なアップデートが推奨される。

【CVE-2024-56656】Linux kernelの5760X chipでアグリゲーションIDマスクの問題を修正、パケット処理の安定性が向上

【CVE-2024-56656】Linux kernelの5760X chipでアグリゲーショ...

Linux kernelの開発チームが5760X(P7)チップのハードウェアGRO/LROインターフェースにおける重大な問題を修正。アグリゲーションIDフィールドが16ビットから12ビットに再定義された際のメタデータ処理の問題に対応し、パケットヘッダの誤った処理によるシステムの不安定性を解消。P5_PLUSチップのアグリゲーションIDマスクを12ビットに再定義することで、パケット処理の正確性を確保。

【CVE-2024-56656】Linux kernelの5760X chipでアグリゲーショ...

Linux kernelの開発チームが5760X(P7)チップのハードウェアGRO/LROインターフェースにおける重大な問題を修正。アグリゲーションIDフィールドが16ビットから12ビットに再定義された際のメタデータ処理の問題に対応し、パケットヘッダの誤った処理によるシステムの不安定性を解消。P5_PLUSチップのアグリゲーションIDマスクを12ビットに再定義することで、パケット処理の正確性を確保。

LinuxカーネルのALSAコントロールシステムがアップデート、シンボリックリンクのエラー処理が大幅に改善

LinuxカーネルのALSAコントロールシステムがアップデート、シンボリックリンクのエラー処理...

Linuxカーネルの開発チームが、ALSAコントロールシステムにおけるシンボリックリンクのエラー処理を改善するアップデートをリリースした。WARN()関数からdev_err()関数への変更により、エラーメッセージの可読性が向上し、ファジングツールによる誤検知問題も解決。エラーの発生箇所が明確になり、開発者のデバッグ効率が大幅に改善された。この更新は特定のバージョンのLinuxカーネルに影響を与える。

LinuxカーネルのALSAコントロールシステムがアップデート、シンボリックリンクのエラー処理...

Linuxカーネルの開発チームが、ALSAコントロールシステムにおけるシンボリックリンクのエラー処理を改善するアップデートをリリースした。WARN()関数からdev_err()関数への変更により、エラーメッセージの可読性が向上し、ファジングツールによる誤検知問題も解決。エラーの発生箇所が明確になり、開発者のデバッグ効率が大幅に改善された。この更新は特定のバージョンのLinuxカーネルに影響を与える。

【CVE-2024-56664】Linuxカーネルのsockmap競合状態の脆弱性が修正、システムの安定性が向上へ

【CVE-2024-56664】Linuxカーネルのsockmap競合状態の脆弱性が修正、シス...

Linuxカーネルにおいて、bpfとsockmapの間で発生する競合状態の脆弱性が2024年12月27日に修正された。この脆弱性は【CVE-2024-56664】として識別され、element replaceとclose()の間で発生する競合状態によって、誤った要素の参照解除が行われる問題が確認されている。修正では__sock_map_delete()関数が改善され、置換される可能性のある要素に対するsock_map_unref()の呼び出しを制限する対策が実装された。

【CVE-2024-56664】Linuxカーネルのsockmap競合状態の脆弱性が修正、シス...

Linuxカーネルにおいて、bpfとsockmapの間で発生する競合状態の脆弱性が2024年12月27日に修正された。この脆弱性は【CVE-2024-56664】として識別され、element replaceとclose()の間で発生する競合状態によって、誤った要素の参照解除が行われる問題が確認されている。修正では__sock_map_delete()関数が改善され、置換される可能性のある要素に対するsock_map_unref()の呼び出しを制限する対策が実装された。

【CVE-2024-56665】Linuxカーネルのperf_event_detach_bpf_progに深刻な脆弱性、複数バージョンで修正リリース

【CVE-2024-56665】Linuxカーネルのperf_event_detach_bpf...

kernel.orgは2024年12月27日、Linuxカーネルにおけるperf_event_detach_bpf_progの重要な脆弱性を修正した。この問題はtracepoint perf eventとBPFプログラムの連携時に発生し、特にプロセスの継承処理において深刻なシステムクラッシュを引き起こす可能性があった。Linux 6.12以降のバージョンが影響を受け、6.1.121、6.6.67、6.12.6、6.13-rc3で修正が実施された。

【CVE-2024-56665】Linuxカーネルのperf_event_detach_bpf...

kernel.orgは2024年12月27日、Linuxカーネルにおけるperf_event_detach_bpf_progの重要な脆弱性を修正した。この問題はtracepoint perf eventとBPFプログラムの連携時に発生し、特にプロセスの継承処理において深刻なシステムクラッシュを引き起こす可能性があった。Linux 6.12以降のバージョンが影響を受け、6.1.121、6.6.67、6.12.6、6.13-rc3で修正が実施された。

【CVE-2024-56666】Linuxカーネルのdrm/amdkfdモジュールにnullポインタ参照の脆弱性、早急な対応が必要に

【CVE-2024-56666】Linuxカーネルのdrm/amdkfdモジュールにnullポ...

Linux開発コミュニティが2024年12月27日、drm/amdkfdモジュールにおけるnullポインタ参照の脆弱性を修正するアップデートを公開した。この問題はCVE-2024-56666として識別され、Linux 6.12系の特定のバージョンに影響を与える。6.12.6以降および6.13-rc3で修正されており、該当するバージョンへのアップデートが推奨される。AMD GPUドライバを使用する環境が主な対象となっている。

【CVE-2024-56666】Linuxカーネルのdrm/amdkfdモジュールにnullポ...

Linux開発コミュニティが2024年12月27日、drm/amdkfdモジュールにおけるnullポインタ参照の脆弱性を修正するアップデートを公開した。この問題はCVE-2024-56666として識別され、Linux 6.12系の特定のバージョンに影響を与える。6.12.6以降および6.13-rc3で修正されており、該当するバージョンへのアップデートが推奨される。AMD GPUドライバを使用する環境が主な対象となっている。

【CVE-2024-56668】LinuxカーネルのVT-d IOMMUにNULLポインタの脆弱性、メモリリークの危険性も指摘

【CVE-2024-56668】LinuxカーネルのVT-d IOMMUにNULLポインタの脆...

LinuxカーネルのVT-d IOMMUにおいて、ネストされた親ドメインでのqi_batchのNULLポインタ参照とメモリリークの脆弱性が発見された。CVE-2024-56668として識別されるこの問題は、Linux 6.12から6.12.6未満および6.13-rc3より前のバージョンに影響を与える。開発チームはqi_batch割り当てのヘルパー関数を導入し、問題の解決を図っている。

【CVE-2024-56668】LinuxカーネルのVT-d IOMMUにNULLポインタの脆...

LinuxカーネルのVT-d IOMMUにおいて、ネストされた親ドメインでのqi_batchのNULLポインタ参照とメモリリークの脆弱性が発見された。CVE-2024-56668として識別されるこの問題は、Linux 6.12から6.12.6未満および6.13-rc3より前のバージョンに影響を与える。開発チームはqi_batch割り当てのヘルパー関数を導入し、問題の解決を図っている。

【CVE-2024-56669】Linux kernelのiommu/vt-dドライバにキャッシュタグ処理の脆弱性、メモリリークとカーネルクラッシュのリスクに対処

【CVE-2024-56669】Linux kernelのiommu/vt-dドライバにキャッ...

Linux kernelのiommu/vt-dドライバにおいて、ATSキャッシュタグの不適切な解放タイミングに起因する脆弱性が発見された。この問題は特に複数のVFをvfio-pciを介して単一のユーザースペースプロセスに渡す際に顕著となり、メモリリークやカーネルクラッシュを引き起こす可能性がある。影響を受けるバージョンは6.10から6.12.5までで、既に修正パッチが提供されている。

【CVE-2024-56669】Linux kernelのiommu/vt-dドライバにキャッ...

Linux kernelのiommu/vt-dドライバにおいて、ATSキャッシュタグの不適切な解放タイミングに起因する脆弱性が発見された。この問題は特に複数のVFをvfio-pciを介して単一のユーザースペースプロセスに渡す際に顕著となり、メモリリークやカーネルクラッシュを引き起こす可能性がある。影響を受けるバージョンは6.10から6.12.5までで、既に修正パッチが提供されている。

Linux kernelのgraniterapids vGPIOドライバでクラッシュ問題を修正、システムの安定性向上へ

Linux kernelのgraniterapids vGPIOドライバでクラッシュ問題を修正...

Linux kernelの開発チームがgraniterapids vGPIOドライバのクラッシュ問題を修正した。問題の原因はirq_chip構造体のconst修飾子違反によるもので、probe()関数内のirq_chip.name設定を構造体初期化時に移動することで解決。この修正によりシステムの安定性が向上し、今後はgpio_irq_chip_set_chip()関数の実装最適化も検討されている。

Linux kernelのgraniterapids vGPIOドライバでクラッシュ問題を修正...

Linux kernelの開発チームがgraniterapids vGPIOドライバのクラッシュ問題を修正した。問題の原因はirq_chip構造体のconst修飾子違反によるもので、probe()関数内のirq_chip.name設定を構造体初期化時に移動することで解決。この修正によりシステムの安定性が向上し、今後はgpio_irq_chip_set_chip()関数の実装最適化も検討されている。

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-Free脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-...

kernel.orgは2024年12月27日、Linuxカーネルのblk-cgroupにおけるUse-After-Free脆弱性を公開した。この脆弱性はblkcg_unpin_online関数内でblkcg階層を上向きに移動する際に発生し、解放済みメモリへのアクセスによってシステムの安定性に影響を与える可能性がある。対象となるバージョンはLinux 5.7から6.13-rc3までの広範囲に及び、各バージョン向けの修正パッチが提供されている。

【CVE-2024-56672】Linuxカーネルのblk-cgroupにUse-After-...

kernel.orgは2024年12月27日、Linuxカーネルのblk-cgroupにおけるUse-After-Free脆弱性を公開した。この脆弱性はblkcg_unpin_online関数内でblkcg階層を上向きに移動する際に発生し、解放済みメモリへのアクセスによってシステムの安定性に影響を与える可能性がある。対象となるバージョンはLinux 5.7から6.13-rc3までの広範囲に及び、各バージョン向けの修正パッチが提供されている。

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemmapページテーブル解放処理の脆弱性が発見、カーネルパニックのリスクに注意

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemma...

LinuxカーネルのRISC-V実装において、vmemmapページテーブルの解放処理に関する重大な脆弱性【CVE-2024-56673】が発見された。この問題は、pmdデストラクタの不適切な呼び出しによってカーネルパニックを引き起こす可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12.5までで、6.12.6以降のバージョンで修正されている。RISC-V環境でSPARSEMEM_VMEMMAPを使用している場合、早急なアップデートが推奨される。

【CVE-2024-56673】Linux kernelのRISC-V実装におけるvmemma...

LinuxカーネルのRISC-V実装において、vmemmapページテーブルの解放処理に関する重大な脆弱性【CVE-2024-56673】が発見された。この問題は、pmdデストラクタの不適切な呼び出しによってカーネルパニックを引き起こす可能性がある。影響を受けるバージョンはLinux kernel 6.11から6.12.5までで、6.12.6以降のバージョンで修正されている。RISC-V環境でSPARSEMEM_VMEMMAPを使用している場合、早急なアップデートが推奨される。

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大な脆弱性、BQLクラッシュの問題が解決へ

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大...

Linux kernelのvirtio-netモジュールにおいて、virtnet_closeとvirtnet_openの処理順序に起因する重大な脆弱性が発見された。高負荷なネットワークトラフィック下で発生するBQLクラッシュの問題に対し、netdev_tx_reset_queue()の呼び出し位置を変更することで解決。この修正はLinux 6.12.6以降に適用され、フリーズ/リストアパスでの明示的な呼び出しが必要となった。

【CVE-2024-56674】Linux kernelのvirtio-netモジュールに重大...

Linux kernelのvirtio-netモジュールにおいて、virtnet_closeとvirtnet_openの処理順序に起因する重大な脆弱性が発見された。高負荷なネットワークトラフィック下で発生するBQLクラッシュの問題に対し、netdev_tx_reset_queue()の呼び出し位置を変更することで解決。この修正はLinux 6.12.6以降に適用され、フリーズ/リストアパスでの明示的な呼び出しが必要となった。

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複数バージョンに影響

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複...

Linuxカーネルにおいて、bpf_progとアタッチメントのRCUフレーバーの不一致によるUAF脆弱性が発見され修正された。Uprobesがtasks-trace-RCU保護下で動作する一方、非スリープ可能なBPFプログラムが通常のRCUで解放されることで発生する問題で、Linux 6.0以降の複数バージョンに影響。tasks-trace-RCU猶予期間の明示的待機により修正される。

【CVE-2024-56675】Linuxカーネルのbpf_prog関連UAF脆弱性が修正、複...

Linuxカーネルにおいて、bpf_progとアタッチメントのRCUフレーバーの不一致によるUAF脆弱性が発見され修正された。Uprobesがtasks-trace-RCU保護下で動作する一方、非スリープ可能なBPFプログラムが通常のRCUで解放されることで発生する問題で、Linux 6.0以降の複数バージョンに影響。tasks-trace-RCU猶予期間の明示的待機により修正される。

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6.6系と6.12系で修正パッチを提供

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6...

kernel.orgは2024年12月29日、Linuxカーネルのcephモジュールにおけるメモリリークの脆弱性を公開した。ceph_direct_read_write()関数でiter_get_bvecs_alloc()により確保したbvecs配列がメモリリークを引き起こす問題が確認された。Linux 6.6.69以降の6.6系、6.12.7以降の6.12系、および6.13-rc4以降では、この脆弱性に対するパッチが適用済みとなっている。

【CVE-2024-56710】Linuxカーネルのcephモジュールでメモリリーク脆弱性、6...

kernel.orgは2024年12月29日、Linuxカーネルのcephモジュールにおけるメモリリークの脆弱性を公開した。ceph_direct_read_write()関数でiter_get_bvecs_alloc()により確保したbvecs配列がメモリリークを引き起こす問題が確認された。Linux 6.6.69以降の6.6系、6.12.7以降の6.12系、および6.13-rc4以降では、この脆弱性に対するパッチが適用済みとなっている。

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、システムリソースへの影響に注意

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、...

kernel.orgは2024年12月29日、Linuxカーネルのudmabufコンポーネントにおけるメモリリークの脆弱性【CVE-2024-56712】を公開した。この問題は、export_udmabuf()関数でFDテーブルが満杯になった際にdma_buf_fd()が失敗すると、既に作成されたdma_bufがメモリリークを引き起こす。修正はLinux 6.12.7以降と6.13-rc4以降で提供される。

【CVE-2024-56712】Linuxカーネルのudmabufにメモリリーク脆弱性が発見、...

kernel.orgは2024年12月29日、Linuxカーネルのudmabufコンポーネントにおけるメモリリークの脆弱性【CVE-2024-56712】を公開した。この問題は、export_udmabuf()関数でFDテーブルが満杯になった際にdma_buf_fd()が失敗すると、既に作成されたdma_bufがメモリリークを引き起こす。修正はLinux 6.12.7以降と6.13-rc4以降で提供される。

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISCVプラットフォームの安定性向上へ

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISC...

LinuxカーネルのPCI/MSI実装において、RISCVプラットフォーム上での警告発生問題が修正された。この更新により、階層的な割り込みドメインを使用するシステムでの安定性が向上。特にpci_msi_setup_msi_irqs()からの警告問題が解決され、MSI-Xのレガシーフォールバックの処理が改善された。Loongarchプラットフォームでも同様の問題が修正され、より安定した運用が可能になった。

【CVE-2024-56760】LinuxカーネルのPCI/MSI実装における脆弱性、RISC...

LinuxカーネルのPCI/MSI実装において、RISCVプラットフォーム上での警告発生問題が修正された。この更新により、階層的な割り込みドメインを使用するシステムでの安定性が向上。特にpci_msi_setup_msi_irqs()からの警告問題が解決され、MSI-Xのレガシーフォールバックの処理が改善された。Loongarchプラットフォームでも同様の問題が修正され、より安定した運用が可能になった。

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで修正パッチを適用

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで...

Linuxカーネルのトレーシング機能において、tracing_cpumask_writeの不適切なカウント処理に関する脆弱性が発見された。この問題は大きなカウント値が提供された場合にbitmap_parse_userで警告がトリガーされる可能性があり、Linux 2.6.29以降の広範なバージョンに影響を与える。既に5.10.233、5.15.176、6.1.123など複数のバージョンで修正パッチが適用され、セキュリティ対策が実施されている。

【CVE-2024-56763】Linuxカーネルのトレーシング機能に脆弱性、複数バージョンで...

Linuxカーネルのトレーシング機能において、tracing_cpumask_writeの不適切なカウント処理に関する脆弱性が発見された。この問題は大きなカウント値が提供された場合にbitmap_parse_userで警告がトリガーされる可能性があり、Linux 2.6.29以降の広範なバージョンに影響を与える。既に5.10.233、5.15.176、6.1.123など複数のバージョンで修正パッチが適用され、セキュリティ対策が実施されている。

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelプロジェクトは2025年1月6日、ublkコンポーネントにおけるgendiskの参照に関する脆弱性の修正を公開した。この問題は、add_disk()が失敗した際にgendiskが解放される可能性があり、ublk_abort_requests()内でuse-after-freeが発生する可能性があることが判明。影響を受けるバージョンはLinux kernel 6.7および特定のコミットハッシュの範囲となっている。

Linux kernelのublkコンポーネントでメモリ管理の脆弱性を修正、システムの安定性向上へ

Linux kernelプロジェクトは2025年1月6日、ublkコンポーネントにおけるgendiskの参照に関する脆弱性の修正を公開した。この問題は、add_disk()が失敗した際にgendiskが解放される可能性があり、ublk_abort_requests()内でuse-after-freeが発生する可能性があることが判明。影響を受けるバージョンはLinux kernel 6.7および特定のコミットハッシュの範囲となっている。