Tech Insights

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1.3早期データとQUIC 0-RTTで問題に

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの脆弱性が発見、ローカル攻撃による情報漏洩のリスクに対処

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪意のあるアプリが正規アプリとして表示される危険性

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

Adobe CommerceとMagento Open SourceがCommerce Services Connectorの重大な脆弱性に対処、バージョン3.2.6で修正完了

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題をアップデートで修正

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任意のコード実行とメモリリークの危険性に対処

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデートで任意のコード実行やメモリリークに対処

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモリリークや実行拒否の問題を修正

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆弱性に対処し安全性が向上

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆...

AdobeはWindows/macOS向けAdobe After Effectsのセキュリティアップデートを公開した。CVSSスコア7.8の重大な脆弱性を含む複数の問題に対処し、任意のコード実行やメモリリークの脆弱性を修正。影響を受けるバージョンは24.6.2以前および23.6.9以前で、Creative Cloudデスクトップアプリを通じた更新が推奨される。

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆...

AdobeはWindows/macOS向けAdobe After Effectsのセキュリティアップデートを公開した。CVSSスコア7.8の重大な脆弱性を含む複数の問題に対処し、任意のコード実行やメモリリークの脆弱性を修正。影響を受けるバージョンは24.6.2以前および23.6.9以前で、Creative Cloudデスクトップアプリを通じた更新が推奨される。

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問題の修正アップデートを提供

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問...

AdobeはAdobe Audition 24.4.6以前およびAdobe Audition 23.6.9以前のバージョンに影響を与えるOut-of-bounds Read脆弱性(CVE-2024-47449)に対する修正アップデートを公開した。この脆弱性はメモリリークを引き起こす可能性があり、CVSSスコア5.5の重要な問題として特定されている。Creative Cloudデスクトップアプリを通じてAdobe Audition 24.6.3および25.0への更新が提供される。

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問...

AdobeはAdobe Audition 24.4.6以前およびAdobe Audition 23.6.9以前のバージョンに影響を与えるOut-of-bounds Read脆弱性(CVE-2024-47449)に対する修正アップデートを公開した。この脆弱性はメモリリークを引き起こす可能性があり、CVSSスコア5.5の重要な問題として特定されている。Creative Cloudデスクトップアプリを通じてAdobe Audition 24.6.3および25.0への更新が提供される。

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリークとアプリケーション動作停止の脆弱性に対処

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリーク...

Adobeは2024年11月12日、Adobe Bridgeのセキュリティアップデートを公開した。このアップデートでは、メモリリークとアプリケーションの動作停止につながる重要な脆弱性CVE-2024-45147とCVE-2024-47458に対処。Adobe Bridge 13.0.9以前と14.1.2以前のバージョンが影響を受け、新バージョン14.1.3と15.0がリリースされた。

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリーク...

Adobeは2024年11月12日、Adobe Bridgeのセキュリティアップデートを公開した。このアップデートでは、メモリリークとアプリケーションの動作停止につながる重要な脆弱性CVE-2024-45147とCVE-2024-47458に対処。Adobe Bridge 13.0.9以前と14.1.2以前のバージョンが影響を受け、新バージョン14.1.3と15.0がリリースされた。

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的なアクセス制御の問題でロック解除画面にアクセス可能に

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...

Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...

Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。

【CVE-2024-50097】Linuxカーネルのnet: fecコンポーネントにPTP状態保存の脆弱性、カーネルパニックの危険性が判明

【CVE-2024-50097】Linuxカーネルのnet: fecコンポーネントにPTP状態...

Linuxカーネルのnet: fecコンポーネントにおいて、PTP非対応プラットフォームでの状態保存処理に起因する重大な脆弱性が発見された。i.MX25やi.MX27などの特定プラットフォームで、PTP初期化なしで状態保存が実行されることでカーネルパニックが発生する可能性がある。影響を受けるバージョンには6.12-rc2が含まれており、早急なアップデートが推奨される。

【CVE-2024-50097】Linuxカーネルのnet: fecコンポーネントにPTP状態...

Linuxカーネルのnet: fecコンポーネントにおいて、PTP非対応プラットフォームでの状態保存処理に起因する重大な脆弱性が発見された。i.MX25やi.MX27などの特定プラットフォームで、PTP初期化なしで状態保存が実行されることでカーネルパニックが発生する可能性がある。影響を受けるバージョンには6.12-rc2が含まれており、早急なアップデートが推奨される。

【CVE-2024-49401】Samsung MobileのSettings Suggestionsに脆弱性、特権昇格の危険性が明らかに

【CVE-2024-49401】Samsung MobileのSettings Suggest...

Samsung MobileはSettings Suggestionsにおける入力検証の脆弱性【CVE-2024-49401】を修正するセキュリティアップデートを公開した。この脆弱性はAndroid 13および14搭載デバイスに影響を与え、ローカル攻撃者による特権活動の実行を可能にする。CVSSスコアは5.1(MEDIUM)で、特別な権限やユーザー操作を必要とせずに攻撃が実行可能となっている。

【CVE-2024-49401】Samsung MobileのSettings Suggest...

Samsung MobileはSettings Suggestionsにおける入力検証の脆弱性【CVE-2024-49401】を修正するセキュリティアップデートを公開した。この脆弱性はAndroid 13および14搭載デバイスに影響を与え、ローカル攻撃者による特権活動の実行を可能にする。CVSSスコアは5.1(MEDIUM)で、特別な権限やユーザー操作を必要とせずに攻撃が実行可能となっている。

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処理機能に深刻な問題が発覚

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...

オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。

【CVE-2024-47830】Planeにサーバサイドリクエストフォージェリの脆弱性、画像処...

オープンソースのプロジェクト管理ツールPlaneに深刻な脆弱性が発見された。/_next/Imageエンドポイントにおけるワイルドカードサポートの実装により、サーバサイドリクエストフォージェリ(SSRF)の脆弱性が確認され、CVE-2024-47830として報告された。CVSSスコア9.3のクリティカルな脆弱性として評価され、バージョン0.23.0で修正が完了している。

【CVE-2024-47302】WordPress用プラグインFluent Support 1.8.0にアクセス制御の脆弱性が発見、修正版の適用が必要に

【CVE-2024-47302】WordPress用プラグインFluent Support 1...

WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。

【CVE-2024-47302】WordPress用プラグインFluent Support 1...

WPManageNinja LLCのWordPressプラグインFluent Support 1.8.0以前のバージョンにおいて、認可機能の不備による重大な脆弱性が発見された。CVE-2024-47302として識別されたこの脆弱性は、CVSSスコア5.3(MEDIUM)と評価され、アクセス制御の設定不備によりセキュリティリスクが確認されている。開発元は迅速な対応を行い、バージョン1.8.1で修正を完了している。

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコード実行のリスクが浮上

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...

h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。

【CVE-2024-45402】picotlsにDouble Free脆弱性が発見、任意のコー...

h2o社が開発するTLSプロトコルライブラリpicotlsにおいて、偽装されたTLSハンドシェイクメッセージを解析する際に深刻な脆弱性が発見された。この脆弱性は同じメモリ領域を二重に解放してしまう問題で、特定の条件下では攻撃者による任意のコード実行を許してしまう可能性がある。CVSSスコアは8.6(High)と高い深刻度が付与されており、早急な対応が必要とされている。

【CVE-2024-43929】WordPress用プラグインJobSearchに認証の欠如による脆弱性が発見、アクセス制御の不備で権限のない操作が可能に

【CVE-2024-43929】WordPress用プラグインJobSearchに認証の欠如に...

Patchstack社がWordPressプラグインJobSearchのバージョン2.5.4以前に認証の欠如による脆弱性が存在することを公開した。CVE-2024-43929として識別されたこの脆弱性は、アクセス制御リスト(ACL)による制約が不十分であり、攻撃者による不正なアクセスを許す可能性がある。CVSS3.1での評価は6.5(ミディアム)で、対策としてバージョン2.5.6へのアップデートが提供されている。

【CVE-2024-43929】WordPress用プラグインJobSearchに認証の欠如に...

Patchstack社がWordPressプラグインJobSearchのバージョン2.5.4以前に認証の欠如による脆弱性が存在することを公開した。CVE-2024-43929として識別されたこの脆弱性は、アクセス制御リスト(ACL)による制約が不十分であり、攻撃者による不正なアクセスを許す可能性がある。CVSS3.1での評価は6.5(ミディアム)で、対策としてバージョン2.5.6へのアップデートが提供されている。

【CVE-2024-34678】Samsung Mobile Devicesにlibsapeextractor.soの脆弱性、メモリ破損のリスクに対処へ

【CVE-2024-34678】Samsung Mobile Devicesにlibsapee...

Samsung社が2024年11月のセキュリティアップデートを公開し、libsapeextractor.soにおけるOut-of-bounds write脆弱性【CVE-2024-34678】に対処することを発表した。この脆弱性はローカル攻撃者によってメモリ破損を引き起こされる可能性があり、CVSS v3.1で5.9(Medium)と評価されている。SMR Nov-2024 Release 1での修正が予定されており、Android 12、13、14搭載デバイスのユーザーは注意が必要だ。

【CVE-2024-34678】Samsung Mobile Devicesにlibsapee...

Samsung社が2024年11月のセキュリティアップデートを公開し、libsapeextractor.soにおけるOut-of-bounds write脆弱性【CVE-2024-34678】に対処することを発表した。この脆弱性はローカル攻撃者によってメモリ破損を引き起こされる可能性があり、CVSS v3.1で5.9(Medium)と評価されている。SMR Nov-2024 Release 1での修正が予定されており、Android 12、13、14搭載デバイスのユーザーは注意が必要だ。

【CVE-2024-50098】Linux kernelのUFSシャットダウン時のデッドロック問題が修正、システムの安定性が向上

【CVE-2024-50098】Linux kernelのUFSシャットダウン時のデッドロック...

Linux kernelにおいて、UFSシャットダウン時に発生していたデッドロック問題の修正が公開された。音声ドライバーのファームウェア読み込み時にmutex_lockを保持したままI/O処理待ちになることで発生していた問題に対し、SDEV_OFFLINE設定による解決策が実装された。この更新により、特に起動初期段階での再起動時における安定性が向上している。

【CVE-2024-50098】Linux kernelのUFSシャットダウン時のデッドロック...

Linux kernelにおいて、UFSシャットダウン時に発生していたデッドロック問題の修正が公開された。音声ドライバーのファームウェア読み込み時にmutex_lockを保持したままI/O処理待ちになることで発生していた問題に対し、SDEV_OFFLINE設定による解決策が実装された。この更新により、特に起動初期段階での再起動時における安定性が向上している。

【CVE-2024-50106】Linuxカーネルのnfsdモジュールにuse-after-free脆弱性、競合状態の解消へ向けた修正を実施

【CVE-2024-50106】Linuxカーネルのnfsdモジュールにuse-after-f...

Linuxカーネル開発チームは、nfsdモジュールにおけるuse-after-free脆弱性を修正するパッチを公開した。この脆弱性は、laundromatスレッドとfree_stateid処理スレッド間の競合状態により発生し、解放済みの委任stateidへのアクセスを引き起こす可能性がある。修正では、stidのsc_statusに新しい値を追加することで、スレッド間の協調を改善し、安全性を確保している。

【CVE-2024-50106】Linuxカーネルのnfsdモジュールにuse-after-f...

Linuxカーネル開発チームは、nfsdモジュールにおけるuse-after-free脆弱性を修正するパッチを公開した。この脆弱性は、laundromatスレッドとfree_stateid処理スレッド間の競合状態により発生し、解放済みの委任stateidへのアクセスを引き起こす可能性がある。修正では、stidのsc_statusに新しい値を追加することで、スレッド間の協調を改善し、安全性を確保している。

MicrosoftがAzure DevOps Server 2022.2と2020.1.2のパッチをリリース、セキュリティ機能の強化でシステムの安全性が向上

MicrosoftがAzure DevOps Server 2022.2と2020.1.2のパ...

MicrosoftはAzure DevOps Server 2022.2 Patch 2とAzure DevOps Server 2020.1.2 Patch 14を2024年11月12日にリリースした。両パッチはセキュリティ強化を目的としており、devops2022.2patch2.exeとdevops2020.1.2patch14.exeのCheckInstallコマンドで適用状況を確認できる。最新かつ安全な製品体験の実現に向け、ユーザーには最新版のインストールが強く推奨されている。

MicrosoftがAzure DevOps Server 2022.2と2020.1.2のパ...

MicrosoftはAzure DevOps Server 2022.2 Patch 2とAzure DevOps Server 2020.1.2 Patch 14を2024年11月12日にリリースした。両パッチはセキュリティ強化を目的としており、devops2022.2patch2.exeとdevops2020.1.2patch14.exeのCheckInstallコマンドで適用状況を確認できる。最新かつ安全な製品体験の実現に向け、ユーザーには最新版のインストールが強く推奨されている。

株式会社ハナパートナーが月額11,000円のITサポートサービスを開始、中小企業の業務効率化に貢献

株式会社ハナパートナーが月額11,000円のITサポートサービスを開始、中小企業の業務効率化に貢献

株式会社ハナパートナーは2024年11月11日、中小企業の情報システム担当者向けITサポートサービス「ハナちょこサポート」の提供を開始した。月額11,000円から利用可能で、経験豊富なエンジニアによる専門的なサポートを提供。新規ITツールの導入支援から既存システムの運用効率化まで、幅広いニーズに対応する。30分の無料相談と簡易セキュリティ診断も実施している。

株式会社ハナパートナーが月額11,000円のITサポートサービスを開始、中小企業の業務効率化に貢献

株式会社ハナパートナーは2024年11月11日、中小企業の情報システム担当者向けITサポートサービス「ハナちょこサポート」の提供を開始した。月額11,000円から利用可能で、経験豊富なエンジニアによる専門的なサポートを提供。新規ITツールの導入支援から既存システムの運用効率化まで、幅広いニーズに対応する。30分の無料相談と簡易セキュリティ診断も実施している。

【CVE-2024-8499】Checkout Field Editor for WooCommerceに反映型XSS脆弱性、ユーザー情報漏洩のリスクに

【CVE-2024-8499】Checkout Field Editor for WooCom...

WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。

【CVE-2024-8499】Checkout Field Editor for WooCom...

WordPressプラグインCheckout Field Editor for WooCommerceのバージョン2.0.3以前に反映型クロスサイトスクリプティングの脆弱性が発見された。render_review_request_notice関数での入力検証の不備が原因で、認証不要で悪意のあるスクリプトを注入可能。CVSSスコア4.7の中程度の深刻度だが、ECサイトのユーザー情報漏洩のリスクがある。

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマンドインジェクションの脆弱性が発見、早急な対応が必要に

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...

Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。

【CVE-2024-35522】Netgear EX3700 AC750に深刻な認証済みコマン...

Netgear EX3700 AC750 WiFi Range Extender Essentials Editionにおいて、operating_mode.cgiのap_modeパラメータを介した認証済みコマンドインジェクションの脆弱性が発見された。CVSSスコア8.4のHigh評価で、機密性・完全性・可用性すべてに高い影響を及ぼす可能性があり、ファームウェアの更新による対応が必要となっている。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトとSSRF攻撃のリスクが浮上

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトと...

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性を公開した。Jetty 7.0.0から12.0.11までの全バージョンが影響を受け、URIのauthority部分における検証が不十分であることが判明。ブラウザとの挙動の違いにより、オープンリダイレクトやSSRF攻撃の危険性が指摘されている。

【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不要のDoS攻撃の脆弱性、複数バージョンに影響

【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不...

Eclipse FoundationがJettyのPushSessionCacheFilterに認証されていないユーザーによるDoS攻撃が可能な脆弱性を公開した。バージョン10.0.0から10.0.17、11.0.0から11.0.17、12.0.0から12.0.3に影響し、メモリリソースの枯渇によるサービス停止の危険性がある。CVSSスコアは3.1でLowに分類されているが、早急な対応が推奨されている。

【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不...

Eclipse FoundationがJettyのPushSessionCacheFilterに認証されていないユーザーによるDoS攻撃が可能な脆弱性を公開した。バージョン10.0.0から10.0.17、11.0.0から11.0.17、12.0.0から12.0.3に影響し、メモリリソースの枯渇によるサービス停止の危険性がある。CVSSスコアは3.1でLowに分類されているが、早急な対応が推奨されている。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研究データの保護に向けた対策が急務に

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-47826】eLabFTW 5.1.5未満でHTML注入の脆弱性が発見、研...

研究室向け電子実験ノートeLabFTWのバージョン5.1.5未満において、実験・データベース・検索ページでHTML注入が可能となる脆弱性が発見された。CVSSスコアは3.5(低)と評価されているものの、研究データの重要性から早急な対応が必要とされる。この問題はバージョン5.1.5へのアップデートで解決可能だが、今後も継続的なセキュリティ対策の強化が求められる。

【CVE-2024-9486】Kubernetes Image Builder v0.1.37以前にデフォルト認証情報の脆弱性、root権限取得のリスクで緊急アップデートを推奨

【CVE-2024-9486】Kubernetes Image Builder v0.1.37...

Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。

【CVE-2024-9486】Kubernetes Image Builder v0.1.37...

Kubernetes Image Builder v0.1.37以前のバージョンで、Proxmoxプロバイダーを使用したVMイメージにデフォルト認証情報が残存する重大な脆弱性が発見された。CVSSスコア9.8のCRITICALレベルで、root権限でのアクセスが可能となるリスクがある。v0.1.38で修正されており、影響を受けるシステムの緊急アップデートが推奨される。

【CVE-2024-45085】IBM WebSphere Application Server 8.5にDoS脆弱性、特定設定下でサービス停止の可能性

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。

【CVE-2024-45085】IBM WebSphere Application Serve...

IBMは2024年10月15日、WebSphere Application Server 8.5において特定の設定下でサービス拒否攻撃が可能となる脆弱性を公開した。CVSSスコア5.9の中程度の深刻度と評価され、リモートからの攻撃により予期せぬエラーを引き起こしサービスの停止につながる可能性がある。既知の攻撃は確認されていないものの、システム管理者は適切なパッチ適用などの対策が必要となる。