【日報】巷のセキュリティ 2022年10月08日

テックラジオ
テックラジオ
【日報】巷のセキュリティ 2022年10月08日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース

  • vCenter Server のPSCに危険なデシリアライズの脆弱性
  • puppetlabs-apt モジュールにコマンドインジェクションの脆弱性
  • NovelAIが不正アクセスを受けてソースコード流出

おまけ

  • CSAが公開:中国からのサイバー攻撃トップはやっぱりLog4j

vCenter Server のPSCに危険なデシリアライズの脆弱性

vCenter ServerのPSC (Platform services controller) には、安全でないデシリアライゼーションの脆弱性が存在します。VMware は、この問題の重要度をCVSSv3 の基本スコアの最大値 7.2と評価しています。

影響をうける対象

  • 外部 PSC を備えた vCenter Server 6.5

対処方法

  • 3u パッチを適用

一次情報

ベンダー情報

備考

かなり対象は絞られていますので、該当するバージョンであるかなど確認してみましょう。

puppetlabs-apt モジュールにコマンドインジェクションの脆弱性

オープンソースの構成管理ツールであるPuppetのpuppetlabs-apt モジュールには、コマンドインジェクションの脆弱性が存在します。

影響をうける対象

  • 9.0.0より前のバージョン

対処方法

  • 9.0.0にアップデート

一次情報

ベンダー情報

備考

ベンダー情報によると、悪意のあるアクターが、モジュールにサニタイズされていない入力を提供できる場合にのみって言っているので、この脆弱性を使えるケースは稀ですね。

NovelAIが不正アクセスを受けてソースコード流出

画像生成AIサービスであるNovelAIのソースコードと、ソフトウェアが第三者の不正アクセスによって流出しました。

現時点では、個人情報や暗号化された情報がアクセスされたり、個人の財務情報が流出したという事実はないとのことです。

一次情報

備考

個人情報は大丈夫らしい。この間トヨタがソースコード流出させたときはメールアドレスが含まれてたらしいね。今回も個人情報ではないけどメールアドレスが流出している可能性ってないのかな。

実は漏れちゃってましたパターンあるからなぁ。。