/
RSS Feed
概要
その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。
本日の巷のニュース
- Debug-jsにサービス拒否の脆弱性
- OpenHarmonyに複数の脆弱性
- usememosにクロスサイトスクリプティングの脆弱性
おまけ
- Visual Studio Codeの拡張機能には注意しようねという話。
Debug-jsにサービス拒否の脆弱性
Debug-jsには、信頼できないユーザー入力が o フォーマッタに渡された場合に正規表現によるサービス拒否の脆弱性が存在します。すでに修正版がリリースされています。
イベントループを2秒間ブロックするには5万文字が必要らしいので深刻度は低いです。
影響をうける対象
- バージョンが2.x.x 系
- バージョンが3.0.x 系
対処方法
- 2.6.9 またはそれ以上にアップデート
- 3.1.0 またはそれ以上にアップデート
一次情報
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-20165
- https://github.com/advisories/GHSA-gxpj-cx7g-858c
OpenHarmonyに複数の脆弱性
OpenHarmony(HarmonyOS)には、通信サブシステムの softbus_client_stub に認証バイパスの脆弱性があり、「SA リレー攻撃」を受ける可能性があります。
影響をうける対象
- OpenHarmony-v3.0-LTS から OpenHarmony-v3.0.5-LTS までのバージョン
対処方法
- OpenHarmony-v3.0.6-LTS、またはそれ以上へのアップデート
一次情報
- https://gitee.com/openharmony/security/blob/master/en/security-disclosure/2023/2023-01.md
usememosにクロスサイトスクリプティングの脆弱性
OSSのセルフホスト型メモハブアプリであるusememosには、クロスサイトスクリプティングの脆弱性が存在します。アップロード機能に十分な検証機能が不足しているためのようです。
影響をうける対象
- 0.10.0より前のバージョン
対処方法
- 0.10.0またはそれ以上のバージョンへのアップデート
一次情報
- https://github.com/usememos/memos/commit/46c13a4b7f675b92d297df6dabb4441f13c7cd9c
- https://huntr.dev/bounties/ec2a29dc-79a3-44bd-a58b-15f676934af6/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0112
Visual Studio Codeの拡張機能には注意しようねという話。
VisualStudioCodeにはコミュニティの拡張機能をインストールして使うことができます。
大変便利ではあるものの、サプライチェーン攻撃を目的として狙われていることに注意しましょう。
Chromeの拡張機能でも同様の注意喚起はよくされているけど、VSCodeの場合は特に開発者がターゲットだから攻撃受けちゃうと金銭的にもダメージが大きい。
インストール数や星の数を除くと識別特性に制約がないとのことなので注意してね。
記事によると、作者に付与される検証バッジは、チェックマークが拡張機能発行者がドメインの実際の所有者であることを証明するだけなので、些細なことで回避できることも調査により判明している。とのこと。
すぐ試していれてみる人って多い印象だから仕事のPCでは特に気をつけてね。
一次情報
- https://thehackernews.com/2023/01/hackers-distributing-malicious-visual.html