Tech Insights

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

2024年11月19日

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング（Stored XSS）の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

【CVE-2024-51662】WordPress用プラグインBlack Widgets Fo...

2024年11月19日

WordPress用プラグインBlack Widgets For Elementorのバージョン1.3.6以前に、重大な格納型クロスサイトスクリプティング（Stored XSS）の脆弱性が発見された。CVE-2024-51662として識別されるこの脆弱性は、CVSSスコア6.5の中程度の深刻度と評価されている。開発元のModernaweb Studioは既にバージョン1.3.7で修正を実施しており、影響を受けるバージョンのユーザーには早急なアップデートが推奨される。

NTT Comが千歳市で自動運転バスの実証実験を開始、IOWNと5Gワイドを活用した遠隔監視シ...

2024年11月19日

NTTコミュニケーションズが北海道千歳市で路線バスの自動運転実証実験を2024年11月に実施することを発表。JR千歳駅から千歳相互観光バス本社営業所ターミナルの区間で、IOWNや5Gワイドを活用した遠隔監視システムを構築する。運転手不足に対応する自動運転の社会実装実現を目指し、将来的な自動運転レベル4の実現に向けたデータ収集を行う。

NTT Comが千歳市で自動運転バスの実証実験を開始、IOWNと5Gワイドを活用した遠隔監視シ...

2024年11月19日

NTTコミュニケーションズが北海道千歳市で路線バスの自動運転実証実験を2024年11月に実施することを発表。JR千歳駅から千歳相互観光バス本社営業所ターミナルの区間で、IOWNや5Gワイドを活用した遠隔監視システムを構築する。運転手不足に対応する自動運転の社会実装実現を目指し、将来的な自動運転レベル4の実現に向けたデータ収集を行う。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

2024年11月19日

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

NTTコムがtsuzumiを活用したAI Advisorを開発、セキュリティ運用の効率化と高度...

2024年11月19日

NTTコミュニケーションズが開発したAI Advisorは、NTTの大規模言語モデルtsuzumiを活用し、セキュリティ運用を支援するソリューションだ。2025年1月からの提供開始を予定しており、セキュリティアラートを95%削減可能。顧客独自の情報をもとにチューニングされ、NTTの独自ノウハウやIoC情報も学習することで、より高度な回答を生成する。

日立ソリューションズ・テクノロジーが英Trustonicと提携し組み込み型セキュリティプラット...

2024年11月19日

日立ソリューションズ・テクノロジーは、英Trustonicと国内初の販売代理店契約を締結し、GlobalPlatform準拠のセキュリティプラットフォーム「Kinibi」の販売を開始した。自動車やモバイル、IoTなどのコネクテッドデバイス向け組み込み型セキュリティソリューションを提供し、要件定義から開発、運用までの包括的な支援体制を整えている。

日立ソリューションズ・テクノロジーが英Trustonicと提携し組み込み型セキュリティプラット...

2024年11月19日

日立ソリューションズ・テクノロジーは、英Trustonicと国内初の販売代理店契約を締結し、GlobalPlatform準拠のセキュリティプラットフォーム「Kinibi」の販売を開始した。自動車やモバイル、IoTなどのコネクテッドデバイス向け組み込み型セキュリティソリューションを提供し、要件定義から開発、運用までの包括的な支援体制を整えている。

LuupがClosca社とコラボした折りたたみヘルメットをAmazonで販売開始、特許取得済み...

2024年11月19日

電動マイクロモビリティのシェアリングサービスを展開するLuupは、スペイン発のデザインブランドClosca社とコラボレーションした折りたたみヘルメットを2024年11月にAmazonで販売開始した。375gの軽量設計と特許取得済みの革新的な構造により、衝撃から頭部を効果的に保護する機能を実現。価格は13,800円で、自転車・電動キックボード用として展開される。

LuupがClosca社とコラボした折りたたみヘルメットをAmazonで販売開始、特許取得済み...

2024年11月19日

電動マイクロモビリティのシェアリングサービスを展開するLuupは、スペイン発のデザインブランドClosca社とコラボレーションした折りたたみヘルメットを2024年11月にAmazonで販売開始した。375gの軽量設計と特許取得済みの革新的な構造により、衝撃から頭部を効果的に保護する機能を実現。価格は13,800円で、自転車・電動キックボード用として展開される。

住信SBIネット銀行がATM手数料の改定内容を変更、キャッシュカード利用でも条件付きで無料化が実現へ

2024年11月19日

住信SBIネット銀行が2024年12月1日から実施予定のATM手数料改定について内容を一部変更することを発表した。当初有料化が予定されていたキャッシュカードでのATM利用について、スマートプログラムのランクに応じて月2回から20回まで無料で利用できる制度が新設される。アプリでのATM利用は完全無料化され、ユーザーの選択肢が広がることで利便性の向上が期待できる。

住信SBIネット銀行がATM手数料の改定内容を変更、キャッシュカード利用でも条件付きで無料化が実現へ

2024年11月19日

住信SBIネット銀行が2024年12月1日から実施予定のATM手数料改定について内容を一部変更することを発表した。当初有料化が予定されていたキャッシュカードでのATM利用について、スマートプログラムのランクに応じて月2回から20回まで無料で利用できる制度が新設される。アプリでのATM利用は完全無料化され、ユーザーの選択肢が広がることで利便性の向上が期待できる。

吉野家、出前館、パナソニックHDが自動搬送ロボットでのフードデリバリー実証実験を神奈川県藤沢市で開始

2024年11月19日

吉野家、出前館、パナソニックホールディングスの3社は2024年11月15日から11月21日まで、神奈川県藤沢市でフードデリバリーサービスの実証実験を開始した。Fujisawaサスティナブル・スマートタウン内の全住宅を対象に、出前館アプリを通じて注文された吉野家湘南新道辻堂店のメニューを自動搬送ロボット「ハコボ」で配送する。この取り組みは配達員の人手不足解消を目指している。

吉野家、出前館、パナソニックHDが自動搬送ロボットでのフードデリバリー実証実験を神奈川県藤沢市で開始

2024年11月19日

吉野家、出前館、パナソニックホールディングスの3社は2024年11月15日から11月21日まで、神奈川県藤沢市でフードデリバリーサービスの実証実験を開始した。Fujisawaサスティナブル・スマートタウン内の全住宅を対象に、出前館アプリを通じて注文された吉野家湘南新道辻堂店のメニューを自動搬送ロボット「ハコボ」で配送する。この取り組みは配達員の人手不足解消を目指している。

ナビタイムジャパンが乗換NAVITIMEにAI駅混雑予測機能を実装、代替ルート提案で遅延回避を...

2024年11月19日

ナビタイムジャパンは乗換NAVITIMEにAIによる駅混雑予測機能を実装した。時系列解析AIが検索ログと経路探索技術を活用して駅の混雑を予測し、最大歩行速度の算出や移動距離、時間帯、イベントなどの要因を考慮した分析を行う。混雑状況は3段階の矢印で視覚化され、必要に応じて推奨出発時間や代替ルートが提案される。

ナビタイムジャパンが乗換NAVITIMEにAI駅混雑予測機能を実装、代替ルート提案で遅延回避を...

2024年11月19日

ナビタイムジャパンは乗換NAVITIMEにAIによる駅混雑予測機能を実装した。時系列解析AIが検索ログと経路探索技術を活用して駅の混雑を予測し、最大歩行速度の算出や移動距離、時間帯、イベントなどの要因を考慮した分析を行う。混雑状況は3段階の矢印で視覚化され、必要に応じて推奨出発時間や代替ルートが提案される。

セブン銀行がMyセブン銀行アプリに公的個人認証サービスを導入、口座開設の利便性とセキュリティが向上

2024年11月19日

セブン銀行は2024年11月18日、スマートフォンアプリMyセブン銀行の口座開設時の本人確認にマイナンバーカードの公的個人認証サービス(JPKI)を導入した。従来のeKYC方式で必要だった顔写真撮影や申込情報入力が不要となり、より安全で便利な口座開設が可能に。12月23日からは+ConnectのATM窓口サービスでもJPKI導入予定である。

セブン銀行がMyセブン銀行アプリに公的個人認証サービスを導入、口座開設の利便性とセキュリティが向上

2024年11月19日

セブン銀行は2024年11月18日、スマートフォンアプリMyセブン銀行の口座開設時の本人確認にマイナンバーカードの公的個人認証サービス(JPKI)を導入した。従来のeKYC方式で必要だった顔写真撮影や申込情報入力が不要となり、より安全で便利な口座開設が可能に。12月23日からは+ConnectのATM窓口サービスでもJPKI導入予定である。

【CVE-2024-37365】FactoryTalk View MEにリモートコード実行の脆...

2024年11月19日

Rockwell AutomationのFactoryTalk View Machine Editionにリモートコード実行の脆弱性が発見された。CVE-2024-37365として識別されたこの脆弱性は、パブリックディレクトリへのプロジェクト保存とマクロを介した任意のコード実行を可能にし、製造プロセスに重大な影響を及ぼす可能性がある。CVSSスコアは7.3と高く、早急な対応が必要とされている。

【CVE-2024-37365】FactoryTalk View MEにリモートコード実行の脆...

2024年11月19日

Rockwell AutomationのFactoryTalk View Machine Editionにリモートコード実行の脆弱性が発見された。CVE-2024-37365として識別されたこの脆弱性は、パブリックディレクトリへのプロジェクト保存とマクロを介した任意のコード実行を可能にし、製造プロセスに重大な影響を及ぼす可能性がある。CVSSスコアは7.3と高く、早急な対応が必要とされている。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

2024年11月19日

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-47450】Adobe Illustrator 28.7.1にヒープベース...

2024年11月19日

Adobe Illustrator 28.7.1以前のバージョンにヒープベースのバッファオーバーフロー脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、悪意のあるファイルを開くことで現在のユーザーコンテキストでの任意のコード実行が可能となる。機密性・完全性・可用性すべてに高い影響を与える可能性があり、早急な対応が求められる状況だ。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

2024年11月19日

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5（MEDIUM）と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51605】WordPressプラグインGenoo 6.0.10にXSS脆...

2024年11月19日

WordPressプラグインGenooにおいて、バージョン6.0.10以前に影響するDOM-Based XSSの脆弱性が発見された。CVSSスコアは6.5（MEDIUM）と評価され、攻撃には特権レベルとユーザー操作が必要とされるものの、機密性・整合性・可用性すべてに影響を及ぼす可能性がある。WordPressサイト管理者は早急なアップデートが推奨される。

【CVE-2024-51610】WordPress Display Terms Shortco...

2024年11月19日

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5（MEDIUM）と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51610】WordPress Display Terms Shortco...

2024年11月19日

WordPress用プラグインDisplay Terms Shortcodeにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51610として識別されるこの脆弱性は、バージョン1.0.4以下に影響を与え、CVSSスコア6.5（MEDIUM）と評価されている。攻撃成功時は機密性・完全性・可用性すべてに影響が及ぶ可能性があり、早急な対応が求められる。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

2024年11月19日

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51603】WordPressプラグインNMR Strava activi...

2024年11月19日

PatchstackによってWordPress用プラグインNMR Strava activitiesのバージョン1.0.6以前にDOM-BasedタイプのXSS脆弱性が発見された。CVE-2024-51603として識別されたこの脆弱性は、CVSSスコア6.5でMedium評価とされており、特定の条件下でWebページ生成時の入力値の無害化処理が不適切であることに起因している。発見者はPatchstack AllianceのSOPROBROである。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

2024年11月19日

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-51594】WordPress用プラグインGmap Point List ...

2024年11月19日

WordPress用プラグインGmap Point List 1.1.2以前のバージョンにクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51594として識別されたこの脆弱性は、CVSSスコア6.5のメディアムレベルの深刻度であり、特権とユーザーの関与が必要となる。攻撃の自動化は困難だが、セッション情報の窃取などの被害が想定される状況である。

【CVE-2024-34662】Samsung MobileのActivityManagerに...

2024年11月19日

Samsung MobileはActivityManagerにおける不適切なアクセス制御の脆弱性【CVE-2024-34662】を公開した。Android 12、13のSMR Oct-2024 Release 1およびAndroid 14のSMR Sep-2024 Release 1以前のバージョンが影響を受け、ローカル攻撃者による特権的な操作が可能となる。CVSSスコアは6.2を記録し、アップデートによる対応が推奨されている。

【CVE-2024-34662】Samsung MobileのActivityManagerに...

2024年11月19日

Samsung MobileはActivityManagerにおける不適切なアクセス制御の脆弱性【CVE-2024-34662】を公開した。Android 12、13のSMR Oct-2024 Release 1およびAndroid 14のSMR Sep-2024 Release 1以前のバージョンが影響を受け、ローカル攻撃者による特権的な操作が可能となる。CVSSスコアは6.2を記録し、アップデートによる対応が推奨されている。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

2024年11月19日

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1（MEDIUM）を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11130】ZZCMS 2023のmsg.phpにXSS脆弱性が発見、管理...

2024年11月19日

VulDBは2024年11月12日、ZZCMS 2023のmsg.phpファイルにクロスサイトスクリプティングの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-11130】として識別され、keywordパラメータを操作することでXSS攻撃が可能となる。管理者権限での遠隔攻撃が可能で、CVSS v4.0のスコアは5.1（MEDIUM）を記録。既に攻撃コードが公開されており、早急な対策が求められる状況だ。

【CVE-2024-11127】code-projects Job Recruitment 1...

2024年11月19日

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-11127】code-projects Job Recruitment 1...

2024年11月19日

code-projects Job Recruitment 1.0において、admin.phpファイルのuserid引数に対するSQL injection脆弱性が発見された。CVSSスコアは中程度と評価されているものの、遠隔からの攻撃が可能で既に一般に公開されている。CVE-2024-11127として識別されたこの脆弱性は、データベースへの不正アクセスや改ざんのリスクが存在するため、早急な対応が必要とされている。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

2024年11月19日

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read（OOBR）による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5（Medium）で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-49512】InDesign Desktop ID19.5以前にOOBR脆...

2024年11月19日

Adobe社がInDesign Desktop ID18.5.3、ID19.5以前のバージョンにおいて重大な脆弱性を確認した。Out-Of-Bounds Read（OOBR）による機密メモリの情報漏洩が可能となっており、攻撃者がASLRなどの保護機能を回避できる状態となっている。CVSSスコアは5.5（Medium）で、攻撃には利用者による悪意のあるファイルの開封が必要となる。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

2024年11月19日

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11175】Public CMS 5.202406.dにクロスサイトスクリ...

2024年11月19日

Public CMS 5.202406.dのVoting Management機能において、/admin/cmsVote/saveファイルに関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3でMediumレベルと評価されており、特権レベルが低い状態でもリモートからの攻撃が可能なことから、早急なパッチ適用による対策が推奨されている。パッチはb9530b9cc1f5cfdad4b637874f59029a6283a65cとして提供されている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

2024年11月19日

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-11125】GetSimpleCMS 3.3.16にクロスサイトリクエスト...

2024年11月19日

GetSimpleCMS 3.3.16においてprofile.phpファイルに関連するクロスサイトリクエストフォージェリの脆弱性が発見され、CVE-2024-11125として識別された。CVSSスコアは6.9を記録し、リモートからの攻撃が可能な状態である。ベンダーへの報告に対して反応がなく、早急な対応が求められている。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

2024年11月19日

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50236】Linux kernelのath10kドライバーにメモリリーク...

2024年11月19日

Linux kernelのWiFiドライバーath10kにおいて、管理パケットTX処理時のメモリリークが発見された。この脆弱性はCVE-2024-50236として報告され、16バイトのメモリが未解放となる問題が確認されている。kmemleak診断ツールにより検出されたこの問題に対し、複数のバージョンで修正パッチが提供された。システムの安定性確保のため、該当バージョンを使用している場合は修正パッチの適用が推奨される。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

2024年11月19日

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50240】Linuxカーネルのqmp-usbドライバーにNULLポインタ...

2024年11月19日

Linuxカーネルの開発チームが、qmp-usbドライバーにおけるNULLポインタ参照の脆弱性【CVE-2024-50240】の修正パッチをリリース。この問題は、プラットフォームデバイスドライバーデータの初期化不備に起因し、ランタイムサスペンド時にシステムの不安定化を引き起こす可能性がある。Linux 6.2以降のバージョンが影響を受け、6.6.60、6.11.7、6.12-rc6などで修正が提供された。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

2024年11月19日

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50253】Linux kernelのBPF機能にスタック破損の脆弱性、メ...

2024年11月19日

Linux kernelの開発チームが、BPF機能のメモリ管理における重要な脆弱性の修正パッチをリリース。bpf_iter_bits_new()関数でのnr_wordsパラメータの検証不足により、特定条件下でスタック破損が発生する可能性があった。修正により最大値を511に制限し、bpf_mem_alloc_check_size()ヘルパーを導入することで、より安全なメモリ管理を実現。Linux kernel 6.11.7以降で問題が解決されている。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

2024年11月19日

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50256】Linux kernelのnetfilterモジュールに重大な...

2024年11月19日

Linux kernelの開発チームがnetfilterモジュールのnf_reject_ipv6コンポーネントにおける重大な脆弱性を修正。CVE-2024-50256として識別されたこの問題は、nf_send_reset6()関数でのクラッシュを引き起こす可能性があり、dev->hard_header_lenが0の状態でイーサネットヘッダー処理を試みることが原因。LL_MAX_HEADERを使用することで安定性を確保し、11月9日に修正版をリリース。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

2024年11月19日

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

2024年11月19日

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

2024年11月19日

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。

【CVE-2024-50252】Linuxカーネルのmlxswドライバーにおけるメモリリーク脆...

2024年11月19日

Linuxカーネルのmlxswドライバーにおいて、spectrum_ipip機能のリモートIPv6アドレス変更時にメモリリークが発生する脆弱性が発見された。ip6greネットワークデバイスのリモートアドレス変更時に新しいアドレスがハッシュテーブルに追加されず、古いアドレスも削除されない問題が存在し、参照カウントの適切な処理による修正が実施された。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

2024年11月19日

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

2024年11月19日

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

2024年11月19日

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3（MEDIUM）を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

2024年11月19日

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3（MEDIUM）を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

2024年11月19日

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

2024年11月19日

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。