プログラミング言語「R」に脆弱性、任意のコード実行の可能性
マイナビニュース / 2024年5月3日 18時37分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月1日、「JVNVU#96606632: Rプログラミング言語の実装において、安全でないデータのデシリアライゼーションが発生する問題(CVE-2024-27322)」において、統計解析向けプログラミング言語「R」のシリアル化されたデータのデシリアライズ処理に脆弱性が発見されたとして、注意を喚起した。この脆弱性を悪用されると、攻撃者が作成したRDS(R Data Serialization)形式のファイルやRパッケージによって任意のコードを実行される可能性がある。
○脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
HiddenLayer Research | R-bitrary Code Execution
脆弱性の情報(CVE)は次のとおり。
CVE-2024-27322 - デシリアライゼーションの脆弱性。悪意を持って作成されたRDS形式のファイルやRパッケージを操作すると、任意のコードを実行される可能性がある
○脆弱性の影響を受ける製品
脆弱性の影響を受ける製品およびバージョンは次のとおり。
R 1.4.0から4.4.0より前のバージョン
○脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
R 4.4.0
○対策
JPCERTコーディネーションセンターは脆弱性の回避策として、「.rds」、「.rdx」、「.rdb」ファイルをコンテナまたはサンドボックス環境で使用するなど、信頼できないデータを含むファイルを読み込ませないように推奨している。
この脆弱性の深刻度は重要(Important)と評価されており注意が必要。プログラミング言語「R」を使用している開発者には、言語開発者の提供する情報に基づいてアップデートを適用することが推奨されている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Adobe AcrobatおよびAcrobat Readerに緊急の脆弱性、アップデートを
マイナビニュース / 2024年5月17日 7時33分
-
軽量HTTP/HTTPSプロキシーデーモンの「Tinyproxy」に緊急の脆弱性
マイナビニュース / 2024年5月9日 12時31分
-
NETGEARの複数のルータに脆弱性、アップデートを
マイナビニュース / 2024年4月25日 13時14分
-
Windowsドライバーに脆弱性、悪用による不正アクセス確認 - JPCERT/CC警告
マイナビニュース / 2024年4月25日 10時9分
-
iPhoneのLINEアプリに脆弱性、アップデートを
マイナビニュース / 2024年4月21日 17時13分
ランキング
-
1JR東日本の「JRE BANK」 太っ腹すぎる特典と、漏らさず手に入れる方法
マイナビニュース / 2024年5月17日 17時30分
-
2レッツノート FV5レビュー - 日常使いで役立ちそうなCore Ultraの性能と3:2のディスプレイ
マイナビニュース / 2024年5月18日 6時0分
-
3「ペット投票」に反応しないで LINE公式がアカウント乗っ取りの注意喚起
おたくま経済新聞 / 2024年5月17日 16時0分
-
4小室哲哉も視聴済み 「Get Wildだと思ったらにんげんていいなだった」が約20万再生の人気で「このセンスほんと好き」「最高www」
ねとらぼ / 2024年5月16日 20時30分
-
5NHKネット配信、改正放送法成立で必須業務化 - TVなくてもスマホ/PCで見るなら受信料必要に
マイナビニュース / 2024年5月17日 18時20分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください