【日報】巷のセキュリティ 2022年10月02日

テックラジオ
テックラジオ
【日報】巷のセキュリティ 2022年10月02日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース

  • Knot ResolverにDOS攻撃可能な脆弱性
  • FasterXML jackson-databindにリソース枯渇の脆弱性

Knot ResolverにDOS攻撃可能な脆弱性

フルリゾルバ(キャッシュDNSサーバ)であるKnot Resolver(5.5.3より前のバージョン)には、リモートの攻撃者がサービス拒否 (CPU 消費) を引き起こせる脆弱性が存在します。

対処方法

  • バージョン5.5.3にアップデートする

一次情報

ベンダー情報

備考

すでに修正バージョンが公開されているので早めに更新するのがよいです。

FasterXML jackson-databindにリソース枯渇の脆弱性

Javaで書かれたjackson-databind(2.14.0-rc1以前のバージョン)には、リリース枯渇の脆弱性が存在します。UNWRAP_SINGLE_VALUE_ARRAYS 機能が有効な場合に影響を受ける可能性があります。

対処方法

  • 2.14.0-rc1にアップデート

一次情報

ベンダー情報

備考

JavaでJsonで使う場合は、採用される可能性が高いためプロジェクトで採用しているバージョンを確認して、必要であれば対応したほうがよいです。

UNWRAP_SINGLE_VALUE_ARRAYS 機能が無効なら影響はないため、もう少し様子見でもいいかも。