OSS脆弱性ブログ

12/18/2023にSMTP Smugglingという脆弱性(CVE-2023-51764(Postfix), CVE-2023-51765(Sendmail), CVE-2023-51766(exim4))が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

01月17日に四半期恒例のOracle Critical Patch UpdateでOracle Javaの脆弱性(CVE-2023-44487, CVE-2023-5072, CVE-2024-20932, CVE-2024-20918, CVE-2024-20952, CVE-2024-20919, CVE-2024-20921, CVE-2024-20926, CVE-2024-20945, CVE-2024-20955, CVE-2024-20923, CVE-2024-20925, CVE-2024-20922)が公開されました。今回はこちらのJavaの脆弱性についてまとめてみます。

01月17日に四半期恒例のOracle Critical Patch Updateが公開されました。今回はこの中のMySQLの脆弱性(CVE-2023-38545, CVE-2023-50164, CVE-2023-39975, CVE-2023-39975, CVE-2023-5363, CVE-2023-5363, CVE-2023-46589, CVE-2023-5363, CVE-2023-5363, CVE-2023-5363, CVE-2023-41105, CVE-2022-46908, CVE-2023-2283, CVE-2023-28484, CVE-2024-20961, CVE-2024-20962, CVE-2024-20973, CVE-2024-20975, CVE-2024-20977, CVE-2024-20960, CVE-2024-20963, CVE-2024-20985, CVE-2023-2283, CVE-2024-20969, CVE-2024-20967, CVE-2024-20964, CVE-2024-20965, CVE-2024-20981, CVE-2024-20983, CVE-2024-20966, CVE-2024-20970, CVE-2024-20971, CVE-2024-20972, CVE-2024-20974, CVE-2024-20976, CVE-2024-20978, CVE-2024-20982, CVE-2024-20965, CVE-2024-20984, CVE-2024-20968)についてまとめてみます。

01/19/2024にApache Tomcat の脆弱性(Important: CVE-2024-21733)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

01/02/2024にLinux Kernelの脆弱性(Important: CVE-2024-0193)が公開されていました。遅くなりましたが、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

Linuxでの効果的なAntivirus の設定と運用 Linuxでの効果的なAntivirus の設定と運用に関して、三部構成でホワイトペーパーを公開しています(11/8 時点で第二部の代表的なアンチウィルス製品比較まで公開)。今回はそち...

11/21/2023にownCloudの脆弱性(Critical: CVE-2023-49103, CVE-2023-49104, High: CVE-2023-49105)が公開されました。こちらを狙った攻撃も既に行われている様です。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

10/03/2023にglibcの脆弱性("Looney Tunables", Important: CVE-2023-4911)が公開されました。問題を報告したQualysチームによると、Fedora 37/38, Ubuntu 22.04/23.04, Debian 12/13のデフォルトインストールでこの脆弱性を悪用してローカルのユーザがroot権限を取得することに成功しています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

12/10/2021にApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)が公開されました。PoCも公開されており、攻撃も観測されています。非常に影響範囲の大きい脆弱性となりますので、こちらで取り上げます。 log4j 1.xでもJNDIを使用する設定にする等の条件を満たせば影響を受ける可能性があるというコメントが出ています。 Red Hatがlog4j 1.x(JMSAppenderを使用した設定になっている場合)のCVE: CVE-2021-4104を出しました。 CVE-2021-44228では設定がデフォルト以外の場合がカバーされていませんでしたので、新たにCVE-2021-45046が発行されました。log4jも2.16.0がリリースされています。 新たにCVE-2021-45105 (無限ループによるDoSの脆弱性）が発行されました。log4jの2.0beta-9から2.16.0までが対象です。それに伴って2.17.0がリリースされています。 新たにCVE-2021-44832 (リモートコード実行の脆弱性）が発行されました。log4jの2.0-alpha7から2.1７.0までが対象です。それに伴って2.17.1がリリースされています。 【2021/12/12 12:00追記】AWS/Red Hat/Oracle/F5/NetAppからの情報を追記しました。 【2021/12/12 19:00追記】Microsoft/Googleからの情報を追記しました。 【2021/12/13 05:30追記】CISA/Cisco/Dell/VMWare/IBMからの情報を追記しました。 【2021/12/13 06:00追記】各セキュリティベンダーからの情報を追記しました。 【2021/12/13 17:20追記】Elastic Search, MovableTypeからの情報を追記しました。 【2021/12/13 21:50追記】log4j 1.x+JMSAppenderの脆弱性(CVE-2021-4104)の情報を追記しました。 【2021/12/14 10:00追記】影響を受ける製品（自分用纏め）の情報を追記しました。 【2021/12/14 10:15追記】OWASP ZAP/GVMの情報を追記しました。 【2021/12/15 03:25追記】CVE-2021-45046の情報を追記しました。 【2021/12/19 10:30追記】CVE-2021-42550(logbackの脆弱性), CVE-2021-45105(無限ループのDoS脆弱性)の情報を追記しました。 【2021/12/24 07:50追記】Struts2, Zabbix, NVIDIAの情報を追記しました。 【2021/12/26 13:00追記】SIOS Security ChannelでのPoC動画を追記しました。 【2021/12/29 19:00追記】CVE-2021-44832の情報を追記しました。

09/08/2022 (JST) にOpenSSLの脆弱性情報(Low: CVE-2023-3817)が公開されています。こちらはLowでかつWindowsのみが対象となっていますが、念の為こちらの脆弱性の概要を簡単にまとめてみます。(2023/09/19追記：修正バージョンとしてOpenSSL 3.1.3 / 3.0.11 / 1.1.1wが出ています)