/
RSS Feed
概要
その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。
本日の巷のニュース
- vCenter Server のPSCに危険なデシリアライズの脆弱性
- puppetlabs-apt モジュールにコマンドインジェクションの脆弱性
- NovelAIが不正アクセスを受けてソースコード流出
おまけ
- CSAが公開:中国からのサイバー攻撃トップはやっぱりLog4j
vCenter Server のPSCに危険なデシリアライズの脆弱性
vCenter ServerのPSC (Platform services controller) には、安全でないデシリアライゼーションの脆弱性が存在します。VMware は、この問題の重要度をCVSSv3 の基本スコアの最大値 7.2と評価しています。
影響をうける対象
- 外部 PSC を備えた vCenter Server 6.5
対処方法
- 3u パッチを適用
一次情報
ベンダー情報
備考
かなり対象は絞られていますので、該当するバージョンであるかなど確認してみましょう。
puppetlabs-apt モジュールにコマンドインジェクションの脆弱性
オープンソースの構成管理ツールであるPuppetのpuppetlabs-apt モジュールには、コマンドインジェクションの脆弱性が存在します。
影響をうける対象
- 9.0.0より前のバージョン
対処方法
- 9.0.0にアップデート
一次情報
ベンダー情報
備考
ベンダー情報によると、悪意のあるアクターが、モジュールにサニタイズされていない入力を提供できる場合にのみって言っているので、この脆弱性を使えるケースは稀ですね。
NovelAIが不正アクセスを受けてソースコード流出
画像生成AIサービスであるNovelAIのソースコードと、ソフトウェアが第三者の不正アクセスによって流出しました。
現時点では、個人情報や暗号化された情報がアクセスされたり、個人の財務情報が流出したという事実はないとのことです。
一次情報
備考
個人情報は大丈夫らしい。この間トヨタがソースコード流出させたときはメールアドレスが含まれてたらしいね。今回も個人情報ではないけどメールアドレスが流出している可能性ってないのかな。
実は漏れちゃってましたパターンあるからなぁ。。