Tech Insights

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

2024年11月13日

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51661】WordPressプラグインMedia Library Ass...

2024年11月13日

WordPressプラグインMedia Library Assistant 3.19以前のバージョンにおいて、重大なリモートコード実行の脆弱性が発見された。CVSSスコア9.1と評価される本脆弱性は、OSコマンドインジェクションを介した攻撃が可能となっており、システムの機密性、完全性、可用性に重大な影響を及ぼす可能性がある。開発者は即座にバージョン3.20での修正を実施し、ユーザーへの迅速なアップデートを推奨している。

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

2024年11月13日

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

2024年11月13日

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...

2024年11月13日

WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3（MEDIUM）と評価され、早急な対応が求められている。

【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...

2024年11月13日

WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3（MEDIUM）と評価され、早急な対応が求められている。

【CVE-2024-50116】Linux kernelのnilfs2バグ修正リリース、ファイ...

2024年11月13日

Linux kernelコミュニティが重要なセキュリティアップデートを実施し、nilfs2ファイルシステムのバッファー遅延フラグに関するバグを修正した。CVE-2024-50116として識別されたこの問題は、破損したファイルシステムイメージの読み取り後にread-onlyモードへの移行時に発生する可能性があり、submit_bh_wbcのBUG_ONチェックの失敗を引き起こしていた。

【CVE-2024-50116】Linux kernelのnilfs2バグ修正リリース、ファイ...

2024年11月13日

Linux kernelコミュニティが重要なセキュリティアップデートを実施し、nilfs2ファイルシステムのバッファー遅延フラグに関するバグを修正した。CVE-2024-50116として識別されたこの問題は、破損したファイルシステムイメージの読み取り後にread-onlyモードへの移行時に発生する可能性があり、submit_bh_wbcのBUG_ONチェックの失敗を引き起こしていた。

【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...

2024年11月13日

Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。

【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...

2024年11月13日

Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

2024年11月13日

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

2024年11月13日

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

2024年11月13日

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

2024年11月13日

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...

2024年11月13日

Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。

【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...

2024年11月13日

Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。

【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...

2024年11月13日

Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。

【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...

2024年11月13日

Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

2024年11月13日

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

2024年11月13日

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

2024年11月13日

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

2024年11月13日

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-9579】Poly Video Conference Devicesにリモ...

2024年11月13日

HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77（コマンドインジェクション）に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-9579】Poly Video Conference Devicesにリモ...

2024年11月13日

HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77（コマンドインジェクション）に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...

2024年11月13日

Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。

【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...

2024年11月13日

Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。

【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...

2024年11月13日

Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。

【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...

2024年11月13日

Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。

【CVE-2024-50115】LinuxカーネルKVMのnSVM脆弱性を修正、メモリ管理の安...

2024年11月13日

LinuxカーネルのKVM開発チームが、nested SVMにおけるPDPTEsのメモリロードに関する重要な脆弱性【CVE-2024-50115】の修正パッチをリリース。PAEページング使用時のCR3レジスタの下位5ビット処理に関する問題に対応し、範囲外のメモリ読み取りのリスクを軽減。この更新により、仮想化環境におけるメモリアクセスの安全性が大幅に向上することが期待される。

【CVE-2024-50115】LinuxカーネルKVMのnSVM脆弱性を修正、メモリ管理の安...

2024年11月13日

LinuxカーネルのKVM開発チームが、nested SVMにおけるPDPTEsのメモリロードに関する重要な脆弱性【CVE-2024-50115】の修正パッチをリリース。PAEページング使用時のCR3レジスタの下位5ビット処理に関する問題に対応し、範囲外のメモリ読み取りのリスクを軽減。この更新により、仮想化環境におけるメモリアクセスの安全性が大幅に向上することが期待される。

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

2024年11月13日

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

2024年11月13日

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...

2024年11月13日

Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。

【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...

2024年11月13日

Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。

【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...

2024年11月13日

Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。

【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...

2024年11月13日

Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

2024年11月13日

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

2024年11月13日

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50112】LinuxカーネルがLAMの脆弱性対策でアドレスマスキングを無...

2024年11月13日

LinuxカーネルがLinear Address Masking (LAM)に関する脆弱性【CVE-2024-50112】への対策として、アドレスマスキングを一時的に無効化することを発表。SLAMペーパーで指摘されたトランジェント実行の脆弱性に対応するため、Linear Address Space Separation (LASS)のサポートが実装されるまでの暫定措置として実施される。現時点でLAMをサポートするプロセッサは市場に存在せず、実質的な影響は限定的だ。

【CVE-2024-50112】LinuxカーネルがLAMの脆弱性対策でアドレスマスキングを無...

2024年11月13日

LinuxカーネルがLinear Address Masking (LAM)に関する脆弱性【CVE-2024-50112】への対策として、アドレスマスキングを一時的に無効化することを発表。SLAMペーパーで指摘されたトランジェント実行の脆弱性に対応するため、Linear Address Space Separation (LASS)のサポートが実装されるまでの暫定措置として実施される。現時点でLAMをサポートするプロセッサは市場に存在せず、実質的な影響は限定的だ。

【CVE-2024-50107】LinuxカーネルのPMCドライバーに脆弱性、Thinkpad...

2024年11月13日

kernel.orgは2024年11月5日、LinuxカーネルのPMCドライバーに関する重要な脆弱性修正を公開した。この修正はplatform/x86/intel/pmcのpmc_core_iounmap関数に関するもので、特にThinkpad P1 Gen 7（Meteor Lake-P）デバイスで発生していたWARNINGメッセージの問題を解決する。commit 50c6dbdfd16eによって導入されたiounmap関数のアドレス範囲チェックの実装が改善され、システムの安定性が向上した。

【CVE-2024-50107】LinuxカーネルのPMCドライバーに脆弱性、Thinkpad...

2024年11月13日

kernel.orgは2024年11月5日、LinuxカーネルのPMCドライバーに関する重要な脆弱性修正を公開した。この修正はplatform/x86/intel/pmcのpmc_core_iounmap関数に関するもので、特にThinkpad P1 Gen 7（Meteor Lake-P）デバイスで発生していたWARNINGメッセージの問題を解決する。commit 50c6dbdfd16eによって導入されたiounmap関数のアドレス範囲チェックの実装が改善され、システムの安定性が向上した。

【CVE-2024-50108】Linux kernelでPSR-SU機能の不具合が発覚、一時...

2024年11月13日

Linux kernelにおいて、Parade 08-01 TCONデバイスでPSR-SU機能を使用した際に深刻な不具合が発見された。起動時やフルスクリーンのVA-API動画再生時に約1秒間の黒画面が発生し、dmub_psr_enable()呼び出し時にカーネルの警告が表示される問題が確認されている。開発チームは暫定対策としてPSR-SU機能を無効化し、DMUBトレースの分析による根本的な解決策の策定に取り組んでいる。

【CVE-2024-50108】Linux kernelでPSR-SU機能の不具合が発覚、一時...

2024年11月13日

Linux kernelにおいて、Parade 08-01 TCONデバイスでPSR-SU機能を使用した際に深刻な不具合が発見された。起動時やフルスクリーンのVA-API動画再生時に約1秒間の黒画面が発生し、dmub_psr_enable()呼び出し時にカーネルの警告が表示される問題が確認されている。開発チームは暫定対策としてPSR-SU機能を無効化し、DMUBトレースの分析による根本的な解決策の策定に取り組んでいる。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

2024年11月13日

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

2024年11月13日

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

2024年11月13日

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

2024年11月13日

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

2024年11月13日

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

2024年11月13日

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50119】Linuxカーネルのcifsモジュールに警告修正、メモリプール...

2024年11月13日

Linuxカーネル開発チームが2024年11月5日にcifsモジュールの警告修正パッチをリリースした。cifs_io_request_poolの破棄時に発生していた警告問題について、mempool_destroyの代わりにmempool_exit()を使用することで適切な破棄処理を実装。この修正により、メモリ管理の安定性が向上し、システムの信頼性が改善されることが期待される。

【CVE-2024-50119】Linuxカーネルのcifsモジュールに警告修正、メモリプール...

2024年11月13日

Linuxカーネル開発チームが2024年11月5日にcifsモジュールの警告修正パッチをリリースした。cifs_io_request_poolの破棄時に発生していた警告問題について、mempool_destroyの代わりにmempool_exit()を使用することで適切な破棄処理を実装。この修正により、メモリ管理の安定性が向上し、システムの信頼性が改善されることが期待される。

【CVE-2024-50120】Linuxカーネルのsmbクライアントパスワード処理の脆弱性、...

2024年11月13日

LinuxカーネルコミュニティがSMBクライアントのパスワード処理における重要な脆弱性【CVE-2024-50120】への対策を実施。smb3_reconfigure()関数内でのkstrdup処理におけるメモリ割り当て失敗時の適切なエラーハンドリングを実装し、セキュリティリスクを軽減。Linux 6.9以降のバージョンで修正パッチが適用され、6.6系と6.11系でも対策が実施された。

【CVE-2024-50120】Linuxカーネルのsmbクライアントパスワード処理の脆弱性、...

2024年11月13日

LinuxカーネルコミュニティがSMBクライアントのパスワード処理における重要な脆弱性【CVE-2024-50120】への対策を実施。smb3_reconfigure()関数内でのkstrdup処理におけるメモリ割り当て失敗時の適切なエラーハンドリングを実装し、セキュリティリスクを軽減。Linux 6.9以降のバージョンで修正パッチが適用され、6.6系と6.11系でも対策が実施された。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

2024年11月13日

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1（MEDIUM）に分類されている。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

2024年11月13日

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1（MEDIUM）に分類されている。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

2024年11月13日

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3（MEDIUM）と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

2024年11月13日

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3（MEDIUM）と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

2024年11月13日

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

2024年11月13日

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。