Tech Insights

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの不備でアカウント乗っ取りの危険性が浮上

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-51558】Wave 2.0にブルートフォース攻撃の脆弱性、認証システムの...

Brokerage Technology SolutionsのWave 2.0において、APIベースのログインシステムに重大な脆弱性が発見された。バージョン1.1.7未満のシステムで認証失敗の試行回数に制限がないため、ブルートフォース攻撃によってOTP、MPIN、パスワードが不正取得される可能性がある。CVSS v4.0で9.3のクリティカル評価を受け、早急な対策が必要とされている。

【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contributor権限での設定リセットが可能に

【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...

WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-7429】Zotpress 7.3.12に認証の脆弱性、Contribut...

WordPressプラグインのZotpressにおいて、バージョン7.3.12以前に重大な認証の脆弱性が発見された。CVE-2024-7429として識別されるこの脆弱性は、Contributor以上の権限を持つユーザーがプラグインの設定をリセットできる問題を含んでいる。CVSSスコアは4.3(MEDIUM)と評価され、早急な対応が求められている。

【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、AMDのGPUドライバに重大な不具合が発見

【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...

Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。

【CVE-2024-50117】Linux kernelのATIF ACPIメソッドに脆弱性、...

Linux kernelにおいて、AMD DRMドライバのATIF ACPIメソッドに重大な脆弱性が発見された。BIOSから提供されるデータの不適切な処理によりNULLポインタ参照が発生し、システムの異常終了を引き起こす可能性がある。影響を受けるバージョンは4.2から最新版まで広範囲に及び、修正パッチの適用が推奨される。特にバックライト制御機能で問題が確認されており、早急な対応が必要とされている。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修正、メモリ管理機能の強化へ

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50125】Linux kernelのBluetooth SCO脆弱性が修...

Linux kernelの開発チームがBluetooth SCOにおけるUAF脆弱性の修正を発表した。この脆弱性は【CVE-2024-50125】として識別され、sco_sock_timeoutでのメモリ管理の問題が指摘されている。Linux version 5.15以降に影響があり、修正版として6.1.115、6.6.59、6.11.6、6.12-rc5が提供された。修正によりsco_sk_listを用いた有効性確認が実装され、セキュリティが強化された。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆弱性、複数バージョンで修正パッチ提供

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50128】Linuxカーネルのwwan_rtnl_policyに重大な脆...

Linuxカーネルの開発チームにより、wwan_rtnl_policyにおけるグローバルなバッファオーバーフロー脆弱性【CVE-2024-50128】が公開された。この問題は、wwan_rtnl_link_opsでの大きなmaxtypeの割り当てにより、netlink属性解析時にグローバルなバッファ外読み取りを引き起こす。影響範囲は広く、バージョン5.14から最新版まで及び、開発チームは迅速にセキュリティパッチを提供している。

【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱性が発見、制限処理の改善により解決へ

【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...

Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。

【CVE-2024-50132】Linuxカーネルのトレースプローブにおけるメモリアクセス脆弱...

Linuxカーネルのトレースプローブシステムにおいて、MAX_TRACE_ARGS制限の処理に関する重要な脆弱性が発見された。128個以上のfetchargs使用時に無効なメモリアクセスが発生し、カーネルのNULLポインタデリファレンスを引き起こす可能性がある問題に対し、制限の早期適用による解決策が実装された。この修正により、Linux 6.9から6.11.6までのバージョンに影響していた脆弱性が解消された。

【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャットダウンロックで対策を実施

【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...

Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。

【CVE-2024-50135】Linuxカーネルのnvme-pciにレース条件の脆弱性、シャ...

Linuxカーネルのnvme-pciモジュールにおいて、デバイスリセットとnvme_dev_disable()関数間のレース条件が発見された。この問題は共有リソースへの同時アクセスによって引き起こされ、システムの安定性に影響を与える可能性がある。対策としてshutdown_lockミューテックスによるロック機構が実装され、安全なキュー更新処理が実現された。修正されたバージョンは6.6.59以降、6.11.6以降、6.12-rc4以降となっている。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システムの安定性向上へ

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50103】LinuxカーネルでNULLポインタ参照の脆弱性を修正、システ...

kernel.orgは2024年11月5日、ASoC QcomのLPASSドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50103】の修正を発表した。この問題はLinux 5.10以降のバージョンに影響を与える可能性があり、特に6.1.115から6.6.59までのバージョンで確認されている。システムクラッシュやサービス拒否攻撃のリスクがあるため、早急なパッチ適用が推奨される。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオーバーフロー対策のアップデートを実施

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-50131】Linuxカーネルのトレーシング機能に重大な脆弱性、バッファオ...

Linuxカーネルのトレーシング機能において、NULL文字の扱いに関する重大な脆弱性が発見された。strlen()関数による文字列長の計算に問題があり、バッファオーバーフローが発生する可能性があった。この問題は5.1以降の広範なバージョンに影響を与えており、5.4.285、5.10.229、5.15.170などの主要バージョンで修正パッチが適用された。

【CVE-2024-9579】Poly Video Conference Devicesにリモートコード実行の脆弱性、複数の攻撃を組み合わせることで深刻な影響の可能性

【CVE-2024-9579】Poly Video Conference Devicesにリモ...

HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-9579】Poly Video Conference Devicesにリモ...

HPは特定のPoly Video Conference Devicesにおいて、ユーザー入力の不適切な処理に起因する脆弱性【CVE-2024-9579】を報告した。この脆弱性はCWE-77(コマンドインジェクション)に分類され、CVSSスコア7.5の高リスクと評価されている。複数の攻撃を組み合わせることでリモートコード実行が可能となり、システムの機密性・整合性・可用性に重大な影響を及ぼす可能性がある。

【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、システムの安定性に影響を及ぼす問題が発覚

【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...

Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。

【CVE-2024-50111】LinuxカーネルLoongArchのdo_ale脆弱性、シス...

Linuxカーネルにおいて、LoongArchアーキテクチャのアラインメント例外処理に関する重要な脆弱性が発見された。irq-enabledコンテキストでの例外処理時にget_user()が呼び出される可能性があり、システムの安定性に影響を与える問題が確認されている。この問題に対し、Linux 6.6.59以降、6.11.6以降、6.12-rc5で修正パッチが提供され、IRQの適切な制御によってシステムの安定性が向上している。

【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題でセキュリティリスクが発生

【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...

Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。

【CVE-2024-50114】Linuxカーネルarm64 KVMの脆弱性、メモリ管理の問題...

Linuxカーネルのarm64向けKVMにおいて、vCPU作成失敗時のメモリ管理に関する重大な脆弱性が発見された。syzkallerによって検出されたこの問題は、vCPUの破棄処理における二段階の実装において、失敗ケースの考慮が不十分だったことが原因である。この脆弱性により、システムのクラッシュや任意のコード実行の可能性が指摘されており、迅速な対応が必要となっている。

【CVE-2024-50115】LinuxカーネルKVMのnSVM脆弱性を修正、メモリ管理の安全性が向上へ

【CVE-2024-50115】LinuxカーネルKVMのnSVM脆弱性を修正、メモリ管理の安...

LinuxカーネルのKVM開発チームが、nested SVMにおけるPDPTEsのメモリロードに関する重要な脆弱性【CVE-2024-50115】の修正パッチをリリース。PAEページング使用時のCR3レジスタの下位5ビット処理に関する問題に対応し、範囲外のメモリ読み取りのリスクを軽減。この更新により、仮想化環境におけるメモリアクセスの安全性が大幅に向上することが期待される。

【CVE-2024-50115】LinuxカーネルKVMのnSVM脆弱性を修正、メモリ管理の安...

LinuxカーネルのKVM開発チームが、nested SVMにおけるPDPTEsのメモリロードに関する重要な脆弱性【CVE-2024-50115】の修正パッチをリリース。PAEページング使用時のCR3レジスタの下位5ビット処理に関する問題に対応し、範囲外のメモリ読み取りのリスクを軽減。この更新により、仮想化環境におけるメモリアクセスの安全性が大幅に向上することが期待される。

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範囲外読み取りのリスクに対応

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50123】LinuxカーネルのBPF_LINK_TYPE脆弱性を修正、範...

LinuxカーネルチームはBPF_LINK_TYPEの欠落による範囲外読み取りの脆弱性を修正するアップデートを2024年11月5日に公開した。CVE-2024-50123として識別されるこの問題は、Linux 6.10から6.11.5までのバージョンに影響を与えており、bpf_link_show_fdinfo()関数におけるsockmapリンクfdの範囲外読み取りを引き起こす可能性があった。

【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆弱性が発見、複数バージョンに影響

【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...

Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。

【CVE-2024-50124】Linux kernelのBluetooth ISOにUAF脆...

Linux kernel開発チームが2024年11月5日、Bluetooth ISOのiso_sock_timeout処理におけるUse-After-Free脆弱性を修正するアップデートを公開した。この脆弱性はLinux kernel 6.0以降の複数バージョンに影響を与え、メモリ管理の不備によってシステムの安定性を損なう可能性がある。修正パッチでは、iso_conn_lock待機中のconn->skの有効性確認機能が追加された。

【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、arm64システムのメモリ安全性が向上

【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...

Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。

【CVE-2024-50126】Linuxカーネルのtaprio_dump関数における脆弱性、...

Linuxカーネルのtaprio_dump関数において、use-after-freeの脆弱性が発見され、CVE-2024-50126として2024年11月5日に公開された。この問題はKASAN有効化arm64システムで確認され、RCU read-side critical sectionの追加による修正が実施された。影響を受けるバージョンはLinux 6.1から6.11-rc1までで、6.6.59以降と6.11.6以降のバージョンでは修正済みとなっている。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解放後使用の問題が発覚し修正へ

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50130】Linuxカーネルのnetfilter bpf脆弱性、メモリ解...

Linuxカーネルのnetfilter bpfコンポーネントにおいて、ネットワークネームスペースの参照保持に関する重大な脆弱性が発見された。この脆弱性は【CVE-2024-50130】として識別され、bpf_nf_link_releaseでの__nf_unregister_net_hookの処理においてメモリの解放後使用の問題が発生する。影響を受けるバージョンは6.4から6.6.58、6.11.5まで、6.12-rc4以前となっている。

【CVE-2024-50112】LinuxカーネルがLAMの脆弱性対策でアドレスマスキングを無効化、LASSサポートまでの暫定措置として実施

【CVE-2024-50112】LinuxカーネルがLAMの脆弱性対策でアドレスマスキングを無...

LinuxカーネルがLinear Address Masking (LAM)に関する脆弱性【CVE-2024-50112】への対策として、アドレスマスキングを一時的に無効化することを発表。SLAMペーパーで指摘されたトランジェント実行の脆弱性に対応するため、Linear Address Space Separation (LASS)のサポートが実装されるまでの暫定措置として実施される。現時点でLAMをサポートするプロセッサは市場に存在せず、実質的な影響は限定的だ。

【CVE-2024-50112】LinuxカーネルがLAMの脆弱性対策でアドレスマスキングを無...

LinuxカーネルがLinear Address Masking (LAM)に関する脆弱性【CVE-2024-50112】への対策として、アドレスマスキングを一時的に無効化することを発表。SLAMペーパーで指摘されたトランジェント実行の脆弱性に対応するため、Linear Address Space Separation (LASS)のサポートが実装されるまでの暫定措置として実施される。現時点でLAMをサポートするプロセッサは市場に存在せず、実質的な影響は限定的だ。

【CVE-2024-50107】LinuxカーネルのPMCドライバーに脆弱性、Thinkpad P1 Gen 7での警告メッセージを修正

【CVE-2024-50107】LinuxカーネルのPMCドライバーに脆弱性、Thinkpad...

kernel.orgは2024年11月5日、LinuxカーネルのPMCドライバーに関する重要な脆弱性修正を公開した。この修正はplatform/x86/intel/pmcのpmc_core_iounmap関数に関するもので、特にThinkpad P1 Gen 7(Meteor Lake-P)デバイスで発生していたWARNINGメッセージの問題を解決する。commit 50c6dbdfd16eによって導入されたiounmap関数のアドレス範囲チェックの実装が改善され、システムの安定性が向上した。

【CVE-2024-50107】LinuxカーネルのPMCドライバーに脆弱性、Thinkpad...

kernel.orgは2024年11月5日、LinuxカーネルのPMCドライバーに関する重要な脆弱性修正を公開した。この修正はplatform/x86/intel/pmcのpmc_core_iounmap関数に関するもので、特にThinkpad P1 Gen 7(Meteor Lake-P)デバイスで発生していたWARNINGメッセージの問題を解決する。commit 50c6dbdfd16eによって導入されたiounmap関数のアドレス範囲チェックの実装が改善され、システムの安定性が向上した。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、複数バージョンのセキュリティパッチを緊急リリース

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50110】Linuxカーネルのxfrmコンポーネントに情報漏洩の脆弱性、...

LinuxカーネルのxfrmコンポーネントにおいてKMSANによるファジングテストにより重大な情報漏洩の脆弱性が発見された。この問題は未初期化メモリ領域の内容がユーザー空間に露出する可能性があり、セキュリティ上の深刻な懸念が示されている。Linux財団は複数のバージョンに対してセキュリティパッチを提供し、構造体のパディングを適切にクリアする修正を実施している。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、general protection faultを引き起こす問題に対応

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50113】Linux kernelのFirewire脆弱性が発覚、gen...

Linux kernelのFirewireコンポーネントに重要な脆弱性が発見された。この問題は3つ以上のポートを持つノードデバイスが1394 OHCIコントローラーに接続された際にgeneral protection faultを引き起こす可能性がある。Linux 6.11および6.12-rc5以降のバージョンで修正パッチが提供され、親デバイスのポートインデックスに正しい値を割り当てる実装の改善が行われている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、フリースペースツリーの処理に問題

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50118】Linuxカーネルのbtrfsファイルシステムに深刻な脆弱性、...

Linuxカーネルの開発チームが、btrfsファイルシステムにおけるro->rw再構成時の重大な脆弱性を修正した。この脆弱性は、read-onlyからread-writeモードへの切り替え時にNULLポインタ参照を引き起こし、カーネルOopsを発生させる可能性がある。影響を受けるのはLinux 6.8未満のすべてのバージョンで、6.11.6以降および6.12-rc5以降で修正が適用されている。

【CVE-2024-50120】Linuxカーネルのsmbクライアントパスワード処理の脆弱性、セキュリティリスクの軽減へ

【CVE-2024-50120】Linuxカーネルのsmbクライアントパスワード処理の脆弱性、...

LinuxカーネルコミュニティがSMBクライアントのパスワード処理における重要な脆弱性【CVE-2024-50120】への対策を実施。smb3_reconfigure()関数内でのkstrdup処理におけるメモリ割り当て失敗時の適切なエラーハンドリングを実装し、セキュリティリスクを軽減。Linux 6.9以降のバージョンで修正パッチが適用され、6.6系と6.11系でも対策が実施された。

【CVE-2024-50120】Linuxカーネルのsmbクライアントパスワード処理の脆弱性、...

LinuxカーネルコミュニティがSMBクライアントのパスワード処理における重要な脆弱性【CVE-2024-50120】への対策を実施。smb3_reconfigure()関数内でのkstrdup処理におけるメモリ割り当て失敗時の適切なエラーハンドリングを実装し、セキュリティリスクを軽減。Linux 6.9以降のバージョンで修正パッチが適用され、6.6系と6.11系でも対策が実施された。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、データ改ざんのリスクが浮上

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1(MEDIUM)に分類されている。

【CVE-2024-0134】NVIDIA Container Toolkitに深刻な脆弱性、...

NVIDIA Container ToolkitとGPU OperatorのLinux版において、UNIX脆弱性が発見された。特別に作成されたコンテナイメージにより、ホスト上に不正なファイルが作成される可能性があり、データ改ざんのリスクが指摘されている。影響を受けるバージョンはContainer Toolkit v1.16.2以前とGPU Operator 24.6.2以前で、CVSSスコアは4.1(MEDIUM)に分類されている。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザーによるサーバーサイド攻撃のリスクに

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザー...

Combodo社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見された。低権限ユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、CVSSスコアは4.3(MEDIUM)と評価されている。影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満で、新バージョンでパッチが適用され対策が施された。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除機能の実装、システムの安定性向上へ

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。

【CVE-2024-50136】Linuxカーネルのnet/mlx5モジュールにおける通知解除...

Linuxカーネルコミュニティが、eswitch初期化失敗時の通知解除機能を実装したアップデートを公開。CVE-2024-50136として識別されるこの問題は、通知の重複登録によるシステムの不安定性を引き起こす可能性があったが、新機能の実装により解決された。影響を受けるLinux 6.6系を含む複数のバージョンに対してパッチが提供され、システムの安定性と信頼性が向上している。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタクラッシュの脆弱性を修正、複数バージョンでアップデートが必要に

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50133】LinuxカーネルのLoongArchにおけるvDSOポインタ...

LinuxカーネルのLoongArchアーキテクチャにおいて、vDSOがマッピングされていないタスクでstack_top()関数を呼び出した際にシステムがクラッシュする重大な脆弱性が発見された。この問題は特にkthreadなどで発生し、バージョン5.19から6.11の間で影響を受ける。開発チームは6.1.115以降などの複数バージョンで修正パッチをリリースしており、早急なアップデートが推奨される。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PDデバイスのループ処理に関する不具合を修正へ

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50129】Linuxカーネルにおける境界外アクセスの脆弱性、PSE-PD...

Linuxカーネルの開発チームが、PSE-PDデバイスのループ処理における境界外アクセスの脆弱性を修正するパッチをリリースした。この脆弱性は【CVE-2024-50129】として識別され、Linux 6.10から6.11.5までのバージョンに影響を与える。修正パッチではpcdev->nr_lines変数を用いてループの上限を正確に設定することで、メモリの境界外アクセスによる問題を防止する。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の競合問題に対処完了

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50121】Linuxカーネルのnfsdモジュールに脆弱性、リソース解放の...

Linuxカーネルにおいて、nfsdモジュールのリソース解放処理に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50121】として識別され、nfsd_client_shrinkerとnfs4_state_shutdown_netの同時実行時に競合状態が発生し、use-after-free errorを引き起こす可能性があった。Linux 6.2以降のバージョンに影響し、6.6.59、6.11.6、6.12-rc5で修正が適用されている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参照によるシステム異常終了の可能性

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。

【CVE-2024-50109】Linuxカーネルのraid10に深刻な脆弱性、ヌルポインタ参...

Linuxカーネルのraid10実装において、raid10_run()関数内でraid10_set_queue_limits()が成功した後に後続の処理が失敗した場合、mddevのprivateメンバーがNULLのままraid10_size()関数が呼び出される脆弱性が発見された。この問題はCVE-2024-50109として識別され、Linux 6.9からLinux 6.11.6までのバージョンに影響を及ぼす。システムの安定性に関わる重要な問題として、早急な対応が求められている。